La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => 
Dyjix => Discussion démarrée par: Hexicans le 13 mai 2022 à 17:13:16
-
Bonjour à tous,
Loin de moi d'imaginer d'avoir une section un jour, et encore moins de mener Dyjix jusqu'à ce que nous sommes aujourd'hui :D
Dyjix est une société d’hébergement, fondée en 2014 sous le statut associatif, puis passée en SAS en 2022. Notre équipe se compose aujourd’hui de 3 personnes, réparties dans toute la France.
Nous avons commencé par être présent à Cogent Rennes avec Be1host, puis nous avons tout déplacé à DC2SCALE Velizy.
Nous sommes présents sur Paris avec 3 baies chez DC2SCALE, et également sur Grenoble avec 1 baie (DC2ALPES). Nous prévoyons également d’ajouter une baie dans le nouveau datacenter de DC2SCALE à Velizy, dès qu’il sera prêt. Nous sommes également opérateur et notre numéro d'ASN est 212815.
En terme de réseau sur Paris :
- Un port 100 Gbps (VLAN Transit Fiberway + VLAN FranceIX). Cela nous permet de profiter d’une bonne interconnexion FranceIX pour recevoir les ddos, sans pour autant payer le prix d’un port 100G FranceIX. Cela facilite également les upgrades.
- 1 port 10 Gbps (Transit: Fiberway) sur un second routeur, avec circuit séparé chez DC2SCALE, afin de profiter d’un circuit via Appliwave en secours.
- Un L2 en 10G jusqu’à notre PoP de Grenoble
En terme de réseau sur Grenoble :
- 1 port 10 Gbps avec :
- 1 Port 10 Gbps avec du transit en direct sur Grenoble en cas de rupture du L2
- 1 Port 10 Gbps avec le L2
Du transit en direct sur Grenoble en cas de rupture du L2
En terme de trafic, nous avons entre 7G et 15G de continu sur notre réseau AS212815 (https://bgp.he.net/AS212815 (https://bgp.he.net/AS212815))
Notre infrastructure de Velizy :
(https://lafibre.info/images/datacenter/202205_dyjix_infrastructure_01.jpg)
(https://lafibre.info/images/datacenter/202205_dyjix_infrastructure_02.webp)
Voici notre cœur de réseau parisien. Nous utilisons un N9K C93180YC-FX (48x10/25G et 6x40G/100G) et nous allons sous peu passer sur un NCS.
(https://lafibre.info/images/datacenter/202205_dyjix_infrastructure_03.webp)
En management, nous utilisons un Fortinet 100D. Il nous permet de gérer notre réseau privé, donner un VLAN+VPN aux clients housing pour avoir leur ILO/IDRAC en IP privée et de manière sécurisée, mais aussi de séparer nos PDU de nos serveurs internes etc. Nous en avons un par site.
Notre second routeur avec le lien de secours :
(https://lafibre.info/images/datacenter/202205_dyjix_infrastructure_04.webp)
Notre infrastructure de Grenoble :
(https://lafibre.info/images/datacenter/202205_dyjix_infrastructure_05.webp)
Nous utilisons encore une fois un N9K 9396PX que je songe à remplacer par un ASR, vu que nous n’avons pas des gros besoins en termes de capacité mais plutôt des fonctionnalités avancées, dont une fullview. Je suis en cours de réflexion.
Impossible pour nous de ne pas vous parler des attaques par déni de service que nous recevons, nous avons développé notre solution dans l’ombre afin d’être prêt le jour où.. :-)
Afin de palier au problème des DDoS reçu sur notre infrastructure et celle de nos clients Dyjix à mis en place des solutions de mitigation, parmi celles ci nous avons deux solutions qui interviennent directement sur notre réseau :
1) Un logiciel de détection d’attaque grâce à des seuils définis.
2) Un logiciel de filtrage sur un serveur dédié, avec XDP.
La détection :
La solution de détection que nous utilisons nous permet de détecter les attaques et de prendre une décision en fonction de l’attaque :
- Changer le next-hop pour 1 IP, en entrant, pour rediriger le trafic dans le serveur de filtrage
- Appliquer une communauté BGP à l’IP afin de la blackhole (RTBH)
- Notifier de l’attaque sans effectuer d’action
Le filtrage :
Afin de mener à bien notre filtrage, nous utilisons XDP. Attention, nous n’avons pas vocation à devenir un prestataire anti-ddos, simplement nous souhaitons nous protéger ainsi que nos clients en mettant tous les moyens possibles en œuvre à notre niveau.
XDP est très connu et très utilisé, notamment par PATH, ce n’est pas du bricolage :-).
Pour cela, nous utilisons un serveur Dell R630 avec une carte 2x100G Mellanox.
(https://lafibre.info/images/datacenter/202205_dyjix_infrastructure_06.jpg)
Afin de détailler un peu ça, nous ferons un second post.
-
Une infra digne de la qualité que tu proposes pour les clients Dyjix Axel ! Et ce n'est que le début, j'ai hate de voir l'évolution de Dyjix dans les prochaines années ;)
-
Une infra digne de la qualité que tu proposes pour les clients Dyjix Axel ! Et ce n'est que le début, j'ai hate de voir l'évolution de Dyjix dans les prochaines années ;)
Merci pour ton retour !
Le plus gros projet à venir, c'est la porte de collecte sur laquelle nous allons nous positionner afin de pouvoir vendre des abonnements internet pour des besoins spécifiques (notamment les événements dont on fournit les IPs et le réseau — Les LAN) 😇
-
Bonsoir,
Félicitations à Axel et le reste de l'équipe ;) pour ce beau projet ! Hâte d'en voir plus !
Un beau réseau et des offres sympa comme le LIR Sponsoring pour avoir son AS ainsi que ses IPv6.
-
Hello !
Merci beaucoup ! :)
On a encore beaucoup de projets et d'idées devant nous 😇
-
Un rapport avec camera café ? Digix c'est la boite du dessus :D
-
Un rapport avec camera café ? Digix c'est la boite du dessus :D
Ahah on nous ne le fais souvent remarquer, mais aussi étonnant que cela peux paraître ce n'étais pas intentionnel 😅
Mais peut être que caméra café nous as influencés inconsciemment pour choisir le nom de Dyjix, qui sais 😋
-
Félicitation pour tout le travail et les informations données.
J'ai séparé les messages lié à un hors-sujet que j'avais commencé : Mitigation des DDOS (https://lafibre.info/serveur-linux/mitigation-des-ddos/) qui se retrouve dans la section Linux (usage serveur) (https://lafibre.info/serveur-linux/)
Hexicans et Hanarion : je vous ait changé votre profil qui est tagué "AS212815 Officiel Dyjix"
-
Merci Vivien :)
-
Article très intéressant et encore félicitations pour toute cette avancée :)
-
Article très intéressant et encore félicitations pour toute cette avancée :)
Merci Adrien ! Il y a encore mal de pain sur la planche :)
-
Je viens d'intégrer les images au forum.
Utilisateurs de Chrome ou Edge, vous n'avez pas du voir les belles photos, c'était des liens http (et non https)
-
Bonjour,
Puisque mes commentaires Linkedin se font supprimer, je vais plutôt poster ici où il y'a peu de chances que ça disparaisse :)
Récemment, Dyjix a annoncé avoir mis en place une "interconnexion privée" avec Amazon :
(https://pix.milkywan.fr/S9Ira4BM.png)
Ce qui m'a un peu surpris puisque depuis de nombreuses semaines, Dyjix n'annoncait plus ses IP sur FranceIX, mais seulement celles de ses clients.
Cf, un "show bgp" depuis mon routeur, hier vers 17h (détail qui a son importance)
a7050sx.edge.dc2#show bgp nei 37.49.236.250 received-routes | i 212815
45.13.116.0/24 37.49.238.14 - - - - 212815 47484 i
45.13.116.0/24 37.49.236.249 - - - - 49434 212815 47484 i
45.152.70.0/24 37.49.236.249 - - - - 49434 212815 50046 i
45.154.96.0/24 37.49.236.249 - - - - 49434 212815 i
83.150.217.0/24 37.49.236.249 - - - - 49434 212815 i
94.176.160.0/24 37.49.238.14 - - - - 212815 211448 i
94.176.160.0/24 37.49.236.249 - - - - 49434 212815 211448 i
94.176.160.0/24 37.49.237.255 - - - - 200780 200780 200780 49434 47400 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 211448 i
94.176.160.0/24 37.49.237.100 - - - - 200780 49434 47400 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 211448 i
94.176.161.0/24 37.49.238.14 - - - - 212815 211448 i
94.176.161.0/24 37.49.236.249 - - - - 49434 212815 211448 i
185.171.202.0/24 37.49.236.249 - - - - 49434 212815 i
193.38.250.0/24 37.49.236.249 - - - - 49434 212815 i
193.38.250.1/32 37.49.237.0 - - - - 212815 i
On peut constater que les seules IP annoncées par AS212815 sur son port sont des préfixes de clients, la seule annonce 212815i est une annonce de Blackhole.
J'ai aussi accès à une instance AWS à Paris, et on peut constater que le trafic passe en transit via leur unique transitaire FiberWay. En comparaison, j'ai mis un Traceroute vers MilkyWan, qui a un peering direct avec Amazon sur France-IX :
(https://pix.milkywan.fr/BUGSsKRU.png)
Bref, sur ce postulat, voici ce que j'ai commenté :
(https://pix.milkywan.fr/8j80vo96.png)
À la suite de ce commentaire qui a été supprimé par Dyjix, j'ai pu observer quelques changements, quelques blocs sont apparus sur France-IX :)
a7050sx.edge.dc2#show bgp nei 37.49.236.250 received-routes | i 212815
45.13.116.0/24 37.49.238.14 - - - - 212815 47484 i
45.13.116.0/24 37.49.236.249 - - - - 49434 212815 47484 i
45.152.70.0/24 37.49.236.249 - - - - 49434 212815 50046 i
45.154.96.0/24 37.49.236.249 - - - - 49434 212815 i
83.150.217.0/24 37.49.236.249 - - - - 49434 212815 i
83.150.217.0/24 37.49.238.14 - - - - 212815 i
94.176.160.0/24 37.49.238.14 - - - - 212815 211448 i
94.176.160.0/24 37.49.236.249 - - - - 49434 212815 211448 i
94.176.160.0/24 37.49.237.255 - - - - 200780 200780 200780 49434 47400 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 211448 i
94.176.160.0/24 37.49.237.100 - - - - 200780 49434 47400 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 211448 i
94.176.161.0/24 37.49.238.14 - - - - 212815 211448 i
94.176.161.0/24 37.49.236.249 - - - - 49434 212815 211448 i
185.171.202.0/24 37.49.236.249 - - - - 49434 212815 i
185.171.202.3/32 37.49.237.0 - - - - 212815 i
193.38.250.0/24 37.49.236.249 - - - - 49434 212815 i
193.38.250.0/24 37.49.238.14 - - - - 212815 i
193.38.250.1/32 37.49.237.0 - - - - 212815 i
Bon cela dit, rien de fou, selon les Whois des deux blocs, ils ne semblent pas appartenir ou être loués à Dyjix, on peut donc en conclure que leurs clients ne sont toujours pas annoncés chez France-IX.
On peut aussi aller voir le LG de France-IX, pour être sur que ce ne soit pas local à MilkyWan :
https://lg.franceix.net/prefix_detail/RS1-PAR+RS2-PAR+RS1-MRS+RS2-MRS/ipv4?q=185.171.202.0/24%20
Archive au 10/07/2022 :
(https://pix.milkywan.fr/Le5VJXWa.png)
On peut donc observer que ce bloc (qui est le bloc qui leur appartient, via leur LIR fr.scalynet et qui héberge la majorité de leur infrastructure) n'est annoncé que par AS49434, Fiberway, leur (unique) transitaire.
Bref, je constate encore une fois la malhonnêteté intellectuelle de Dyjix, qui se vante à de nombreuses reprises d'avoir monté un peering avec Amazon, cf cet autre post (je ne suis pas allé chercher autre part que LinkedIn, mais c'est la même chose sur Twitter) :
(https://pix.milkywan.fr/40dyocXM.png)
Mon analyse personnelle est qu'ils n'ont que 200Mbit/s de commit sur France-IX, ce qui est surprenant quand on voit leurs courbes de trafic :
(https://pix.milkywan.fr/IeKlTs5l.jpeg)
Et qu'ils ne peuvent donc pas se permettre de réellement faire du trafic sur l'IX, sous peine d'exploser ce commit (qui correspond au palier gratuit de FranceIX).
Il n'y a rien de mal à ne pas annoncer la majorité de ses blocs sur FranceIX, mais le mieux c'est de le dire et de ne pas se vanter de monter plein de peerings quand on ne compte pas se donner les moyens de faire passer du trafic par là.
My 2 cents
Hugues
-
Bonjour Hugues,
Comme déjà énoncé sur Linkedin, si tu remarques un comportement anormal qui s'apparente à un souci technique, il faut nous contacter via le NOC, et pas sous un post Linkedin.
> Ce qui m'a un peu surpris puisque depuis de nombreuses semaines, Dyjix n'annoncait plus ses IP sur FranceIX, mais seulement celles de ses clients.
Nous étions déconnecté de FranceIX par FranceIX, donc nous ne pouvions en effet plus annoncer nos préfixes.
> J'ai aussi accès à une instance AWS à Paris, et on peut constater que le trafic passe en transit via leur unique transitaire FiberWay. En comparaison, j'ai mis un Traceroute vers MilkyWan, qui a un peering direct avec Amazon sur France-IX :
Le préfixe 185.171.202.0/24 n'était pas annoncé à FranceIX depuis hier matin, à la suite d'attaques ddos. Aucun intérêt d'exploser le commit FranceIX (que nous payons, comparé à toi peut-être, nous ne sommes pas sponsorisés), quand nous travaillons au maximum avec DC2SCALE pour mutualiser les commîts tout en ayant un prix très attractif.
Et en effet, les IP qui consomment ne sont pas annoncés, car le transport L2 DC2SCALE <-> FranceIX coûte, encore une fois. Nous avons déjà demandé à augmenter, mais cela devrait se faire prochainement (ça ne dépend pas de nous!)
Si tu souhaites avoir tous nos préfixes, tu peux contacter notre peering Team ;-) et avoir une session avec une plage de préfixe plus large que ceux annoncés sur les RS.
> Et qu'ils ne peuvent donc pas se permettre de réellement faire du trafic sur l'IX, sous peine d'exploser ce commit (qui correspond au palier gratuit de FranceIX).
Pour répondre à ça, on l'a déjà explosé (et payé en hors forfait).
> Il n'y a rien de mal à ne pas annoncer la majorité de ses blocs sur FranceIX, mais le mieux c'est de le dire et de ne pas se vanter de monter plein de peerings quand on ne compte pas se donner les moyens de faire passer du trafic par là.
C'est un peu l'hôpital qui se fiche de la charité quand nous n'annonçons pas les blocs qui se font attaquer seulement 24h sur FranceIX. Mais les clients sont bien annoncés.
Par ailleurs, il n'appartient qu'à nous la décision d'annoncer nos préfixes à tel ou tel endroit en temps et en heure. Je ne vois pas trop ce que ça change, y compris lors de maintenances.
-
Ah je vois que mes messages ont de l'effet, ça fait plaisir ;)
(https://pix.milkywan.fr/dB1jeEkz.jpeg)
(https://pix.milkywan.fr/jkfNwZwf.png)
-
Par ailleurs, nous avons remis les préfixes hier soir. Mais malgré le blackhole, et le fait de ne pas annoncer nos préfixes à certains peers qui nous envoient beaucoup de traffic sur FranceIX, cela ça n'a pas suffit à baisser le commit.
Nous avons donc à nouveau retiré le bloc hier soir de FranceIX.
Mais le peering avec Amazon est bien présent, pour nous et nos downstream, simplement il n'est pas obligatoire d'être utilisé toute l'année :)
-
Nous étions déconnecté de FranceIX par FranceIX, donc nous ne pouvions en effet plus annoncer nos préfixes.
Tu te doutes bien que je ne faisais pas mention de cet événement, je sais bien que ce n'était pas de votre responsabilité, mais ce n'est pas la première fois que je jette un oeil aux annonces sur FranceIX ;)
Le préfixe 185.171.202.0/24 n'était pas annoncé à FranceIX depuis hier matin, à la suite d'attaques ddos. Aucun intérêt d'exploser le commit FranceIX (que nous payons, comparé à toi peut-être, nous ne sommes pas sponsorisés), quand nous travaillons au maximum avec DC2SCALE pour mutualiser les commîts tout en ayant un prix très attractif.
Dans ce cas, pourquoi arrêter d'annoncer à Amazon également, puisque vous avez une "interconnexion privée", faut-il en déduire que ce que tu appelles "interconnexion privée" est un peering direct sur FranceIX ? Si c'est bien le cas, pourquoi ne pas simplement arrêter les annonces aux RS ?
Et en effet, les IP qui consomment ne sont pas annoncés, car le transport L2 DC2SCALE <-> FranceIX coûte, encore une fois. Nous avons déjà demandé à augmenter, mais cela devrait se faire prochainement (ça ne dépend pas de nous!)
Dans ce cas, pourquoi me répondre l'inverse sur LinkedIn ? Pourquoi supprimer mon commentaire ? Pourquoi cette absence de transparence ?
Pourquoi les IP sont magiquement ré-annoncées depuis mon post ici ?
Et pourquoi se vanter d'avoir un peering avec Amazon si tu n'as pas la capacité d'offload ton trafic dessus ? Surtout que tu parles de backups et de PRA, ce qui fera aussi exploser ton commit.
En l'état, je trouve ça inquiétant d'avoir une latence qui peut être multipliée par 10 entre mon prestataire et Amazon à chaque DDoS.
Bref, tout cela est bien obscur, je trouve ça dommage de devoir en arriver là pour avoir des explications et des actions, je plains les clients :/
-
Bonjour,
Dans ce cas, pourquoi arrêter d'annoncer à Amazon également, puisque vous avez une "interconnexion privée", faut-il en déduire que ce que tu appelles "interconnexion privée" est un peering direct sur FranceIX ? Si c'est bien le cas, pourquoi ne pas simplement arrêter les annonces aux RS ?
Parce qu'hier, l'attaque venait également de certains peelings privés, dont SFR, nos communautés BGP sont faites tel que :
- RS
- Transit
- Peering privés
Je ne comprends vraiment pas la haine envers Dyjix lorsqu'on arrête d'annoncer 1 préfixe pendant 24h sur les RS / Peering privés.
Dans ce cas, pourquoi me répondre l'inverse sur LinkedIn ? Pourquoi supprimer mon commentaire ? Pourquoi cette absence de transparence ?
Sur Linkedin j'ai bien mentionné que le L2 jusqu'à FranceIX nous était facturé. Et puis ce n'est pas la première fois que je notifie le fait qu'on aimerait bien augmenter. J'ai supprimé ton commentaire parce qu'il n'a pas sa place, et ce comme d'habitude, mais le forum n'est pas un endroit pour régler les problèmes.
J'ai un e-mail, qui fonctionne, alors en cas de doute, tu peux me contacter par e-mail. Il n'y a aucun absence ce transparente, cependant nous ne faisons pas de support sous un poste Linkedin, mais sur notre e-mail qui est davantage dédiée à cette usage. Je doute que les internautes sur Linkedin portent un réel intérêt au fait de savoir pourquoi tel ou telle IP n'est pas annoncée sur FranceIX.
Et pourquoi se vanter d'avoir un peering avec Amazon si tu n'as pas la capacité d'offload ton trafic dessus ? Surtout que tu parles de backups et de PRA, ce qui fera aussi exploser ton commit.
Cela ne m'empêche pas d'augmenter le commit au moment voulu, mais je fais rarement les choses si je n'ai pas la clientèle en face. Donc il sera augmenté en temps voulu.
En l'état, je trouve ça inquiétant d'avoir une latence qui peut être multipliée par 10 entre mon prestataire et Amazon à chaque DDoS.
C'est loin d'être à chaque ddos, on parle d'un ddos qui a duré plus ou moins 24h. C'est plutôt rare. Et puis, plein d'autres opérateurs font des maintenances, dont cloudflare depuis 3 nuits, la latence passe de 1ms à 13ms chez nous, ça n'inquiète personne. Je pense que c'est un faux problème que tu soulèves.
Pourquoi les IP sont magiquement ré-annoncées depuis mon post ici ?
La réponse est sur mon graphique ci-dessus, mais pour autant il faut prendre le temps de le lire :), l'attaque est terminée donc on a remis le bloc.
Bref, tout cela est bien obscur, je trouve ça dommage de devoir en arriver là pour avoir des explications et des actions, je plains les clients :/
Les clients nous contactent via le support et pas sous un poste Linkedin, donc ça se passe très bien. Tant qu'ils sont UP ;-)
J'ai aussi accès à une instance AWS à Paris, et on peut constater que le trafic passe en transit via leur unique transitaire FiberWay. En comparaison, j'ai mis un Traceroute vers MilkyWan, qui a un peering direct avec Amazon sur
L'analyse n'est pas bonne à priori, regarde mieux les routes que tu as.
La jalousie des milkynien...
-
Je ne comprends vraiment pas la haine envers Dyjix lorsqu'on arrête d'annoncer 1 préfixe pendant 24h sur les RS / Peering privés.
Oh c'est juste qu'avec toi on est habitué aux petites manipulations de la vérité, comme quand tu annonce partout que tu as deux transitaires alors que c'était faux jusqu'en Février 2022 (et encore, il y'a toujours un seul AS dans le path, 49434, c'est donc très discutable de dire que tu en as deux), je sais aussi que tu aimes bien attaquer ceux que tu considère comme tes concurrents, on en a d'ailleurs fait les frais ;)
Je n'aurais pas eu besoin de poster ici (ou je sais que les posts ne sont pas supprimés arbitrairement) si tu ne m'avais pas bloqué sur Twitter et supprimé mon post LinkedIn.
Sur Linkedin j'ai bien mentionné que le L2 jusqu'à FranceIX nous était facturé. Et puis ce n'est pas la première fois que je notifie le fait qu'on aimerait bien augmenter. J'ai supprimé ton commentaire parce qu'il n'a pas sa place, et ce comme d'habitude, mais le forum n'est pas un endroit pour régler les problèmes.
Tu sais, ça t'honorerait de faire preuve d'un peu plus d'honnêteté et de transparence, au lieu de supprimer les posts qui ne te plaisent pas, surtout que, relis toi, tu m'as répondu n'importe quoi.
J'ai un e-mail, qui fonctionne, alors en cas de doute, tu peux me contacter par e-mail. Il n'y a aucun absence ce transparente, cependant nous ne faisons pas de support sous un poste Linkedin, mais sur notre e-mail qui est davantage dédiée à cette usage. Je doute que les internautes sur Linkedin portent un réel intérêt au fait de savoir pourquoi tel ou telle IP n'est pas annoncée sur FranceIX.
Donc parler technique sur LinkedIn (interconnexion privée, AS212815, housing) c'est ok pour toi, mais pas en commentaire ? J'ai du mal à comprendre.
Cela ne m'empêche pas d'augmenter le commit au moment voulu, mais je fais rarement les choses si je n'ai pas la clientèle en face. Donc il sera augmenté en temps voulu.
Je croyais que le souci n'était pas de ton coté mais de celui de ton fournisseur ? Il est en cours d'upgrade ou pas ce commit ? :) Pour info coté FranceIX c'est un papier à signer par ton fournisseur...
La jalousie des milkynien...
Grave, je suis tellement jaloux, d'ailleurs c'est moi qui ai besoin de DDoS Dyjix pour me sentir exister (ah non, on me fait signe dans l'oreillette que c'est bien l'inverse qui s'est produit le 5 Juillet 2020)
-
Oh c'est juste qu'avec toi on est habitué aux petites manipulations de la vérité, comme quand tu annonce partout que tu as deux transitaires alors que c'était faux jusqu'en Février 2022 (et encore, il y'a toujours un seul AS dans le path, 49434, c'est donc très discutable de dire que tu en as deux), je sais aussi que tu aimes bien attaquer ceux que tu considère comme tes concurrents, on en a d'ailleurs fait les frais ;)
Pourtant, j'ai fais exprès de le mettre également via un second routeur et sur un second ASN, exprès pour toi : 47400 ;-).
Cela permet aux mauvaises langues d'y voir plus clair.
Tu sais, ça t'honorerait de faire preuve d'un peu plus d'honnêteté et de transparence, au lieu de supprimer les posts qui ne te plaisent pas, surtout que, relis toi, tu m'as répondu n'importe quoi.
Quand tu as un souci avec un opérateur, Seabone, Sparkle, FranceIX, hurricane.. Tu ne les contactes pas sous un post Linkedin. Et bien nous c'est pareil.
Donc parler technique sur LinkedIn (interconnexion privée, AS212815, housing) c'est ok pour toi, mais pas en commentaire ? J'ai du mal à comprendre.
Je n'ai pas parlé technique, j'ai parlé avec des mots simples, je n'ai pas parlé de peering mais bien d'interconnexion privée.
Je croyais que le souci n'était pas de ton coté mais de celui de ton fournisseur ? Il est en cours d'upgrade ou pas ce commit ? :) Pour info coté FranceIX c'est un papier à signer par ton fournisseur...
La demande d'upgrade de commit est ouverte pour notre traffic actuel. Si Amazon venait à exploser ce nouveau seuil de commit, nous l'augmenterons en effet en temps voulu comme déjà indiqué.
-
L'analyse n'est pas bonne à priori, regarde mieux les routes que tu as
94.176.160.0/24 37.49.236.249 - - - - 49434 212815 211448 i
94.176.160.0/24 37.49.237.100 - - - - 200780 49434 47400 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 212815 211448 i
Tu tends le bâton pour te faire battre là, non ? 49434 sur les deux paths, mais je ne t'apprends rien ;)
-
Je n'ai pas parlé technique, j'ai parlé avec des mots simples, je n'ai pas parlé de peering mais bien d'interconnexion privée.
Ce qui n'est pas exact, FranceIX étant une plateforme de Peering Public.
-
Ce qui n'est pas exact, FranceIX étant une plateforme de Peering Public.
Ouep, mais il faut utiliser des mots simples pour s'adresser à son public.
-
"Interconnexion directe" est le bon terme, tu le sauras pour le prochain post ;-)
-
Supprimer les commentaires sur LinkedIn, ça fait tellement vendeur d'escroquerie en cryptomonnaies. (Ou fans d'un parti avec son leader copain des dictatures)
Pourquoi ne pas avoir laisser les posts de Hugues et répondre point à point de manière factuel ?
-
"Interconnexion directe" est le bon terme, tu le sauras pour le prochain post ;-)
;-)
-
Supprimer les commentaires sur LinkedIn, ça fait tellement vendeur d'escroquerie en cryptomonnaies. (Ou fans d'un parti avec son leader copain des dictatures)
Pourquoi ne pas avoir laisser les posts de Hugues et répondre point à point de manière factuel ?
Parce que l'objectif d'Hugues n'est pas de comprendre ou de féliciter mais plutôt de nous aplatir en public, donc son commentaire n'a aucun sens sous notre publication.
-
Parce que l'objectif d'Hugues n'est pas de comprendre ou de féliciter mais plutôt de nous aplatir en public, donc son commentaire n'a aucun sens sous notre publication.
Les commentaires de Hugues étaient-ils faux, calomnieux ou offensants ?
Des adultes responsables auraient argumentés au lieu de jouer les kikoulols...
-
Par ailleurs, nous avons remis les préfixes hier soir. Mais malgré le blackhole, et le fait de ne pas annoncer nos préfixes à certains peers qui nous envoient beaucoup de traffic sur FranceIX, cela ça n'a pas suffit à baisser le commit.
Nous avons donc à nouveau retiré le bloc hier soir de FranceIX.
Prepend ?
Pour utiliser le blackholing sur FranceIX (avec fastnetmon et exabgp), ça marche très très bien, en qq secondes le trafic incriminé ne rentre plus. Par contre, si les attaques arrosent toute ta plage, là oui c'est problématique. Je te conseille de plutôt garder tes préfixes annoncés sur les RS, mais tu ajoutes les communautés au fur et à mesure pour ne plus réannoncer à certains peers précis (notamment ceux qui consomment le plus). Car sinon tu n'as pas fini.
Et si les attaques sont vraiment préjudiciables à l'ensemble de l'activité... ne vaut-il pas mieux prendre le pb dans l'autre sens et dégager les clients concernés ?
Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup. ;)
Enfin, je pense que le pb de fond vienne juste du fait que tu dises que Dyjix ait une interco privée avec AWS, alors que cela ne semble pas être le cas, c'est juste une session bgp sur franceix. Je comprends qu'en étant petit, l'on doive jouer des coudes pour se faire une place (surtout dans l'héberg qui est ultra concurrentiel), mais cela amène à une surenchère inutile. Si l'on peut juste admettre cela et passer à autre chose ::)
-
Loin de là, d'ailleurs ils sont plutôt content d'être chez nous, avec de la transparence. Il n'y a pas d'incident, et sur ceux qu'il y a eu, ils ont toujours sû directement ce qu'il s'est passé.
Je confirme de ne pas avoir de souci :) Très content d'être chez Dyjix personnellement.
Depuis presque un an d'ailleurs.
-
Parce que l'objectif d'Hugues n'est pas de comprendre ou de féliciter mais plutôt de nous aplatir en public, donc son commentaire n'a aucun sens sous notre publication.
Pas exactement. Il y'a chez Dyjix des choses que je trouve très bien, notamment la partie que vous développez sur l'Anti-DDoS. Il y'a aussi des gens très bien, Pierre, si tu me lis... ;)
Mais il y'a aussi des choses que je n'aime pas, et dont je t'ai fait part en privé depuis longtemps. Notamment une certaine langue de bois sur la partie technique & réseau. On sent que tu aimerais avoir certaines choses, mais tu n'y arrive pas et tu te sens obligé de maquiller la vérité (les deux transits par exemple) plutôt que de dire les choses franchement.
Il y'a aussi ce mélange des genres entre l'association dyjix et la SAS, pour bien connaitre la chose, il est très compliqué voir impossible de transitionner d'une Asso 1901 à une SAS en respectant la loi. Je n'ai pas vu passer de communication RGPD informant les clients de l'association que leurs informations ont été transmises à un tiers (Dyjix SAS) par exemple.
Après forcément, après le compte twitter anonyme et les ddos que tu nous a mis, je l'ai un petit peu mauvaise, surtout que je n'ai jamais eu d'explications sincères ni d'excuses à ce sujet, pas faute de t'en avoir parlé de vive voix.
-
Prepend ?
Pour utiliser le blackholing sur FranceIX (avec fastnetmon et exabgp), ça marche très très bien, en qq secondes le trafic incriminé ne rentre plus. Par contre, si les attaques arrosent toute ta plage, là oui c'est problématique. Je te conseille de plutôt garder tes préfixes annoncés sur les RS, mais tu ajoutes les communautés au fur et à mesure pour ne plus réannoncer à certains peers précis (notamment ceux qui consomment le plus). Car sinon tu n'as pas fini.
Et si les attaques sont vraiment préjudiciables à l'ensemble de l'activité... ne vaut-il pas mieux prendre le pb dans l'autre sens et dégager les clients concernés ?
Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup. ;)
Enfin, je pense que le pb de fond vienne juste du fait que tu dises que Dyjix ait une interco privée avec AWS, alors que cela ne semble pas être le cas, c'est juste une session bgp sur franceix. Je comprends qu'en étant petit, l'on doive jouer des coudes pour se faire une place (surtout dans l'héberg qui est ultra concurrentiel), mais cela amène à une surenchère inutile. Si l'on peut juste admettre cela et passer à autre chose ::)
Hello,
On aurait pu en effet, mais je n'ai pas eu le temps pour ça hier. C'était plus simple pour moi d'enlever le préfixe en question, d'ailleurs prepend nous aurait mené au même aboutissement : enlever le traffic de FranceIX.
Pour utiliser le blackholing sur FranceIX (avec fastnetmon et exabgp), ça marche très très bien, en qq secondes le trafic incriminé ne rentre plus. Par contre, si les attaques arrosent toute ta plage, là oui c'est problématique. Je te conseille de plutôt garder tes préfixes annoncés sur les RS, mais tu ajoutes les communautés au fur et à mesure pour ne plus réannoncer à certains peers précis (notamment ceux qui consomment le plus). Car sinon tu n'as pas fini.
Nous on utilise wanguard, mais comme tout le monde n'accepte pas les annonces de /32 sur FranceIX et n'interprète pas la communauté BGP de blackhole, on reçoit toujours trop de traffic.
Pour les résidus via FranceIX, beaucoup de hurricane, du SFR, et ensuite 100 - 200 Mbps par là par beaucoup d'opérateurs. Le panel FranceIX n'aide pas vraiment à connaitre tous les opérateurs, alors pour 24h.
Et si les attaques sont vraiment préjudiciables à l'ensemble de l'activité... ne vaut-il pas mieux prendre le pb dans l'autre sens et dégager les clients concernés ?
L'attaque n'était pas objectivement visée. Elle était visée sur deux IPs différentes en début de bloc (185.171.202.2 & 185.171.202.3). Il n'y avait pas d'impact car nous avons une solution de filtrage, simplement le commit FranceIX ne nous laisse peu de marge, là où chez nos transitaires nous avons des plus gros commîts (et surtout, nous sortons + de traffic que ce que nous en rentrons, alors ça s'équilibre).
Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup. ;)
Intéressant !
Enfin, je pense que le pb de fond vienne juste du fait que tu dises que Dyjix ait une interco privée avec AWS, alors que cela ne semble pas être le cas, c'est juste une session bgp sur franceix. Je comprends qu'en étant petit, l'on doive jouer des coudes pour se faire une place (surtout dans l'héberg qui est ultra concurrentiel), mais cela amène à une surenchère inutile. Si l'on peut juste admettre cela et passer à autre chose ::)
J'ai rien contre ça, j'ai utilisé des mots simples, mais bon il aurait suffit de le notifier dès le début au lieu d'attaquer ^^
Mais il y'a aussi des choses que je n'aime pas, et dont je t'ai fait part en privé depuis longtemps. Notamment une certaine langue de bois sur la partie technique & réseau. On sent que tu aimerais avoir certaines choses, mais tu n'y arrive pas et tu te sens obligé de maquiller la vérité (les deux transits par exemple) plutôt que de dire les choses franchement.
On a bien deux transitaires différents via deux chemins / routeurs différents que ce soit chez nous ou chez notre transitaire. D'ailleurs il a déjà fait ses preuves.
Il y'a aussi ce mélange des genres entre l'association dyjix et la SAS, pour bien connaitre la chose, il est très compliqué voir impossible de transitionner d'une Asso 1901 à une SAS en respectant la loi. Je n'ai pas vu passer de communication RGPD informant les clients de l'association que leurs informations ont été transmises à un tiers (Dyjix SAS) par exemple.
Je laisserais Pierre pour la partie légale, il est plus calé que moi :)
-
Quand tu as un souci avec un opérateur, Seabone, Sparkle, FranceIX, hurricane.. Tu ne les contactes pas sous un post Linkedin. Et bien nous c'est pareil.
Est-ce qu'on peut vraiment parler de "soucis" (donc panne ?) dans la mesure où il s'agit d'une volonté de ta part ?
Je peux éventuellement comprendre le choix stratégique (même si j'ai du mal à voir comment le transport jusqu'à FranceIX peut vous couter suffisamment cher pour qu'il soit impactant), mais par contre, je ne comprend pas trop le manque de transparence : Si tu mets en avant une "faible latence" vers AWS sur ton post LinkedIn, mais qu'en réalité, tes clients n'y ont pas accès, c'est assez limite, et un peu de transparence (publique) ne ferait pas de mal.
Je pense que le débat public n'est pas une mauvaise idée, histoire que d'éventuels clients intéressés par cette "faible latence" sache à quoi s'attendre.
Par contre, 18ms pour joindre AWS hors peering, depuis une région AWS à Paris, et vers un DC à Paris, ça me semble très élevé. Ca a l'air de remonter via FRA, non ?
-
On a bien deux transitaires différents via deux chemins / routeurs différents que ce soit chez nous ou chez notre transitaire. D'ailleurs il a déjà fait ses preuves.
C'est précisément ce qui me gène, tu ne peux pas dire que tu as deux transitaires avec ça.
Pourquoi ? Parce que tu as toujours des SPOF :
- Une attaque sur le réseau de ton transitaire qui ferait tomber les deux routeurs (je ne parle pas de DDoS)
- Une erreur de conf d'un ingé ou d'un script qui casserait le routage des deux pattes
Tu as une liaison diversifiée avec AS49434 (je n'ai pas regardé en détail si il y'avait des SPOF sur cette partie mais on va dire que non), mais pas au delà.
Pour le coup j'ai du mal avec ce genre de détails techniques maquillés, j'ai déjà vu des backbones tomber parce qu'un commercial avait vendu un "tkt c'est redondant", rogers en a fait les frais encore Hier de mémoire.
-
- Une attaque sur le réseau de ton transitaire qui ferait tomber les deux routeurs (je ne parle pas de DDoS)
Quel type d'attaque ?
- Une erreur de conf d'un ingé ou d'un script qui casserait le routage des deux pattes
Disons que l'objectif était plutôt de réduire le risque que de l'éliminer, le risque 0 n'existe pas.
Je peux éventuellement comprendre le choix stratégique (même si j'ai du mal à voir comment le transport jusqu'à FranceIX peut vous couter suffisamment cher pour qu'il soit impactant), mais par contre, je ne comprend pas trop le manque de transparence :
Pour cela, je laisse notre revendeur DC2SCALE répondre, c'est eux qui font les prix. Mais si tu as une meilleure solution à nous proposer, on est partant :)
Si tu mets en avant une "faible latence" vers AWS sur ton post LinkedIn, mais qu'en réalité, tes clients n'y ont pas accès, c'est assez limite, et un peu de transparence (publique) ne ferait pas de mal.
On a seulement enlevé 1 préfixe pendant 24h.. Ce n'est pas tous les clients :). Le peering n'y était pas avant également, donc ça ne doit pas changer grand chose. Et puis si ça peut te rassurer, pour l'instant on est à <1Mbps avec Amazon. Nous l'avons fait dans un contexte stratégique, si la liaison était largement utilisée, nous ne l'aurions pas coupée.
Par contre, 18ms pour joindre AWS hors peering, depuis une région AWS à Paris, et vers un DC à Paris, ça me semble très élevé. Ca a l'air de remonter via FRA, non ?
Je ne vais pas recouper pour tester sinon notre cher Hugues va nous notifier qu'on a recoupé (on est surveillé :))
Pour le coup j'ai du mal avec ce genre de détails techniques maquillés, j'ai déjà vu des backbones tomber parce qu'un commercial avait vendu un "tkt c'est redondant", rogers en a fait les frais encore Hier de mémoire.
On a déjà eu recourt pour des raisons personnelles à cette liaison, et ça marche bien. Et tout a un prix, on réduit le risque dans la limite de nos moyens.
-
Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup. ;)
(désolé pour le HS)
France-IX est bien au courant de ce qui se fait ailleurs (et pour être transparent, c'était même discuté en interne avant que ça ne soit poussé ailleurs), mais comme toute structure, il n'y a hélas pas de moyens illimités (on recrute !!!!)... C'est en réflexion/todolist pour... Un jour peut être !
Mais n'hésitez pas à dire ce que vous voulez en priorité, ce qu'il manque (de manière constructive évidemment, mais on a pas à se plaindre de ça).
On sait parfois être assez agiles (I.E. pousser en deux semaines des fix sur tous les RS avec des périodes de lab, de tests d'observation) quand il le faut.
-
On a déjà eu recourt pour des raisons personnelles à cette liaison, et ça marche bien.
Oh ben je me doute que ça marche, c'est aussi mon chemin derrière, mais ça n'enlève rien à mon propos.
Tu as annoncé le peering avec Amazon il y'a 11 mois tout de même.
1Mbps avec Amazon sur 5Gbit/s de traf, ça fait peu, même nous avec seulement 1,5Gbps de trafic, on fait ~60Mbps avec Amazon.
-
Oh ben je me doute que ça marche, c'est aussi mon chemin derrière, mais ça n'enlève rien à mon propos.
Tu as annoncé le peering avec Amazon il y'a 11 mois tout de même.
1Mbps avec Amazon sur 5Gbit/s de traf, ça fait peu, même nous avec seulement 1,5Gbps de trafic, on fait ~60Mbps avec Amazon.
Et oui, le taux de traffic dépend de ton type de clientèle, ça ne date pas d'aujourd'hui...
-
Et oui, le taux de traffic dépend de ton type de clientèle, ça ne date pas d'aujourd'hui...
Certes, mais on parle d'Amazon, pas de Netflix, AWS c'est un des leaders du Cloud quand même, y'a un paquet de trucs qui passent par chez eux, hors e-commerce et Prime Video.
-
Certes, mais on parle d'Amazon, pas de Netflix, AWS c'est un des leaders du Cloud quand même, y'a un paquet de trucs qui passent par chez eux, hors e-commerce et Prime Video.
Eh oui, mais la majorité du traffic n'est pas vers chez eux pour nous, et je doute qu'on soit les seuls.
D'ailleurs, heureusement, on a une préférence pour le cloud souverain.
-
Je ne vois pas trop le rapport mais soit. Sur des réseaux avec des cibles clientes similaires, je n'ai pas les mêmes chiffres, chacun fera sa conclusion, moi j'ai la mienne :)
-
Pour cela, je laisse notre revendeur DC2SCALE répondre, c'est eux qui font les prix. Mais si tu as une meilleure solution à nous proposer, on est partant :)
Je suis sûr que plein de monde ici est en mesure de proposer du L2/Wave en région parisienne. Par contre, avant de pouvoir proposer une "meilleure solution", il faudrait sans doute savoir quelle est ta solution actuelle (et donc son coût) ;)
-
Bon les gars, c'est midi. Pause apéro. Vous prenez quoi ? :P
-
Je suis sûr que plein de monde ici est en mesure de proposer du L2/Wave en région parisienne. Par contre, avant de pouvoir proposer une "meilleure solution", il faudrait sans doute savoir quelle est ta solution actuelle (et donc son coût) ;)
Le coût ne sera pas divulgué ici pour respecter mon fournisseur qui a le droit d'effectuer des coûts différents entre ses clients, et nous nos propres négociations.
Mais chose est sûre, FranceIX nous est distribué sur un port 100G, ce qui nous a déjà permis de recevoir une grosse attaque sans pour autant drop le lien FranceIX. Et tout ça, à un coût beaucoup moins cher que celui facturé par FranceIX.
Appliwave propose probablement de la wave là où nous sommes mais on est loin de trouver une solution similaire au même tarif.
Et puis, ce n'est qu'à titre personnel, mais je préfère faire travailler un acteur avec qui je travaille main dans la main depuis le début, en mutualisant les coûts mutuellement, et avec d'excellentes relations personnelles, plutôt que d'autres acteurs. Je sais que ce n'est pas forcément bien de travailler qu'avec un seul acteur, mais on garde une bonne distance pro :)
D'ailleurs, l'information sort de son contexte, mais on va être connecté à GPE très prochainement.
Bon les gars, c'est midi. Pause apéro. Vous prenez quoi ? :P
Un diabolo fraise! ;-p et toi ?
-
Prepend ?
Pour utiliser le blackholing sur FranceIX (avec fastnetmon et exabgp), ça marche très très bien, en qq secondes le trafic incriminé ne rentre plus. Par contre, si les attaques arrosent toute ta plage, là oui c'est problématique. Je te conseille de plutôt garder tes préfixes annoncés sur les RS, mais tu ajoutes les communautés au fur et à mesure pour ne plus réannoncer à certains peers précis (notamment ceux qui consomment le plus). Car sinon tu n'as pas fini.
Et si les attaques sont vraiment préjudiciables à l'ensemble de l'activité... ne vaut-il pas mieux prendre le pb dans l'autre sens et dégager les clients concernés ?
Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup. ;)
Enfin, je pense que le pb de fond vienne juste du fait que tu dises que Dyjix ait une interco privée avec AWS, alors que cela ne semble pas être le cas, c'est juste une session bgp sur franceix. Je comprends qu'en étant petit, l'on doive jouer des coudes pour se faire une place (surtout dans l'héberg qui est ultra concurrentiel), mais cela amène à une surenchère inutile. Si l'on peut juste admettre cela et passer à autre chose ::)
Tant qu'à faire autant rendre ce topic digne d'intérêt et pas d'un règlement de compte.
L'aspect technique et technologique, de la problématique servirait certainement au plus grand nombre.
-
Hello,
Il y'a aussi des gens très bien, Pierre, si tu me lis... ;)
Tout d'abord, merci beaucoup pour le compliment :D
Il y'a aussi ce mélange des genres entre l'association dyjix et la SAS, pour bien connaitre la chose, il est très compliqué voir impossible de transitionner d'une Asso 1901 à une SAS en respectant la loi. Je n'ai pas vu passer de communication RGPD informant les clients de l'association que leurs informations ont été transmises à un tiers (Dyjix SAS) par exemple.
A ce propos, tu as tout à fait raison il est très dur de transitionner d'une asso à une société dans les règles. Nous avons travaillé dessus nuits et jours pendant près de 3 mois, avec l'appui d'un cabinet d'experts-comptables/juristes (ce qui nous a d'ailleurs valu une belle facture de conseil...).
Les actifs de l'association (peu nombreux en fin de compte) ont été transférés un à un à la société en regardant les règles avec le cabinet de conseils. Nous l'avons fait au cas par cas pour être sûrs de ne louper aucun détail. Comme tu dois t'en douter, la trésorerie est intransférable et donc la société a débuté de zéro, avec comme seul apport le capital amené par Axel, Landry et moi (1020€ en tout). On a pas mal serré des dents au début mais c'est passé !
Concernant le RGPD, on a envoyé un mail à tous nos clients pour leur dire qu'on changeait de structure et donc que les documents légaux (incluant les mentions légales) allaient être modifiés. Le mail ne parlait, certes, pas de RGPD ou de données personnelles à proprement parler, nous n'y avons pas pensé et ça aurait été une bonne idée.
J'espère avoir été clair sur les points légaux :) Si ce n'est pas le cas je répondrai à vos questions avec plaisir.
-
A ce propos, tu as tout à fait raison il est très dur de transitionner d'une asso à une société dans les règles. Nous avons travaillé dessus nuits et jours pendant près de 3 mois, avec l'appui d'un cabinet d'experts-comptables/juristes (ce qui nous a d'ailleurs valu une belle facture de conseil...).
Les actifs de l'association (peu nombreux en fin de compte) ont été transférés un à un à la société en regardant les règles avec le cabinet de conseils. Nous l'avons fait au cas par cas pour être sûrs de ne louper aucun détail. Comme tu dois t'en douter, la trésorerie est intransférable et donc la société a débuté de zéro, avec comme seul apport le capital amené par Axel, Landry et moi (1020€ en tout). On a pas mal serré des dents au début mais c'est passé !
Concernant le RGPD, on a envoyé un mail à tous nos clients pour leur dire qu'on changeait de structure et donc que les documents légaux (incluant les mentions légales) allaient être modifiés. Le mail ne parlait, certes, pas de RGPD ou de données personnelles à proprement parler, nous n'y avons pas pensé et ça aurait été une bonne idée.
J'espère avoir été clair sur les points légaux :) Si ce n'est pas le cas je répondrai à vos questions avec plaisir.
Au même titre que Milkywan, si vous nous faites un mélange des genres, on va vous tomber dessus, cela va pas faire un plis.
Soit vous avez une association, tel FDN, avec des cotisants, membres de l'association, qui ont un droit de parole, de regard sur les comptes, une assemblée générale des participants à l'association à jour des cotisations, une vraie association à but non lucratif.
Soit vous utilisez ce statuts pour avoir des clients, à qui vous facturez un service, au bénéfice de la structure et dirigeants de fait, pseudo-actionnaires et vous entrez dans un processus de concurrence déloyale aux yeux des confrères et administrations.
Il faut choisir votre camp.
Association, vous ne serez pas inquiétés outre mesure, la taille de la structure n'entre pas en compétition avec les autres opérateurs.
Si vous changez de statut, vous êtes opérateurs à part entière avec les prérogatives, mais aussi obligations, et ce n'est plus une question de taille, de chiffre d'affaire, ou de nombre de salariés.
Evitez d'entretenir le mélange des genres, personnellement j'aime pas trop cela, et ne manque pas de le dénoncer ouvertement. Cela n'engage que moi, mais c'est une question de conviction propre.
Je n'ai rien contre vous, on peut comprendre que pour amorcer votre activité ce soit une étape de compréhension du marché.
Cela ne doit pas par contre pas devenir un mode de fonctionnement pour casser du sucre sur le dos des confrères ou leur prendre des parts de marché, parce que là c'est déloyal, vous apportez un service concurrentiel différentiant, très bien, si c'est pas le cas, le marché est assez concurrentiel pour sortir tous ceux qui n'y ont pas de valeur propre.
On vous souhaite de trouver votre place et d'apporter à vos clients un service qu'ils souhaitent.
-
Au même titre que Milkywan, si vous nous faites un mélange des genres, on va vous tomber dessus, cela va pas faire un plis.
Soit vous avez une association, tel FDN, avec des cotisants, membres de l'association, qui ont un droit de parole, de regard sur les comptes, une assemblée générale des participants à l'association à jour des cotisations, une vraie association à but non lucratif.
Soit vous utilisez ce statuts pour avoir des clients, à qui vous facturez un service, au bénéfice de la structure et dirigeants de fait, pseudo-actionnaires et vous entrez dans un processus de concurrence déloyale aux yeux des confrères et administrations.
Il faut choisir votre camp.
Association, vous ne serez pas inquiétés outre mesure, la taille de la structure n'entre pas en compétition avec les autres opérateurs.
Si vous changez de statut, vous êtes opérateurs à part entière avec les prérogatives, mais aussi obligations, et ce n'est plus une question de taille, de chiffre d'affaire, ou de nombre de salariés.
Evitez d'entretenir le mélange des genres, personnellement j'aime pas trop cela, et ne manque pas de le dénoncer ouvertement. Cela n'engage que moi, mais c'est une question de conviction propre.
Je n'ai rien contre vous, on peut comprendre que pour amorcer votre activité ce soit une étape de compréhension du marché.
Cela ne doit pas par contre pas devenir un mode de fonctionnement pour casser du sucre sur le dos des confrères ou leur prendre des parts de marché, parce que là c'est déloyal, vous apportez un service concurrentiel différentiant, très bien, si c'est pas le cas, le marché est assez concurrentiel pour sortir tous ceux qui n'y ont pas de valeur propre.
On vous souhaite de trouver votre place et d'apporter à vos clients un service qu'ils souhaitent.
L’association n’a plus aucune activité depuis le 01/02/2022, et sera prochainement dissoute (le temps de régler les dernières questions légales). Depuis cette date, nous ne l’avons plus jamais mise en avant et travaillons uniquement avec la société nouvellement créée.
Notre objectif était clairement de se séparer du statut d’asso pour avoir un cadre légal précis et qui nous permettrait de nous développer en respectant les règles ;)
-
Bonjour,
pour ceux qui sont intéressés par aller essayer leurs services, ou être hébergés chez eux, il me semble importer de soulever le fait que leurs serveurs ne sont pas, pour la plupart, redémarrés depuis presque plusieurs années ... (Qui a parlés de nouveau kernel/patch de sécurité ?)
-
Bonjour,
pour ceux qui sont intéressés par aller essayer leurs services, ou être hébergés chez eux, il me semble importer de soulever le fait que leurs serveurs ne sont pas, pour la plupart, redémarrés depuis presque plusieurs années ... (Qui a parlés de nouveau kernel/patch de sécurité ?)
Hello,
Un peu facile de parler de la machine la plus vielle de notre infrastructure sans savoir à quoi elle correspond.
Déjà, la plupart des hôtes sont patchés dès que possible pour les failles critiques (à minima pour les mises à jour), pour le kernel, une fois tous les ~6 mois sur cette offre. SolusVM nous offre des solutions de livemigration qui fonctionnent plutôt bien.
Par contre, les VPS qui sont sur cette machine étaient sur une autre machine avant, et ont déjà été déplacés lorsque l'autre machine a rendu lame (et était patchée) :)
Mais bon, il y va de même pour les équipements réseau après-tout. Qui patch ses équipements tous les mois ici ? :)
Nous pourrions augmenter la fréquence des patchs simplement en facturant plus cher les instances afin d'avoir un meilleur fond de roulement.
-
Et sinon le "patch à chaud" qui fait qu'il n'est plus nécessaire de redémarrer est de plus en plus proposé.
Chez Ubuntu : https://ubuntu.com/security/livepatch
À noter que seuls les kernels GA (ceux qui ont un support sur 10 ans) ont ce service :
- Kernel 4.15 (Ubuntu 16.04 en mode HWE et Ubuntu 18.04)
- kernel 5.4 (Ubuntu 18.04 en mode HWE et Ubuntu 20.04)
- kernel 5.15 (Ubuntu 20.04 en mode HWE et Ubuntu 22.04)
-
Les livepatch ont l'air intéressant. Intéressant seulement car pour commencer ils demande d'utiliser ubuntu. C'est mort si vous avez un autre système dessus.
Deuxièmement, si c'était la solution miracle, cela ne serait pas utilisé par la majorité des hébergeurs dans le monde ? Rien qu'en france, chez Ikoula, il est clairement informé aux clients une maintenance impliquant une indisponibilité les premiers mardi du mois, entre 0h et 2h.
Malheureusement, le seul argument qui nous est présenté est celui de l'uptime pour les clients, la fameuse qualité de service.
N'en déplaise à certains, il me semble que redémarrer un raspberry pi prend beaucoup plus de temps à démarrer qu'un serveur plus ou moins standard (ça dépend évidement du modèle), si on prend en compte la durée de redémarrage de tout les services.
Donc vous laisser vos anciens serveurs sans faire d'apt upgrade, mais vous le faites pour les nouveaux ? Permettez moi de douter de vous dans ce cas
-
N'en déplaise à certains, il me semble que redémarrer un raspberry pi prend beaucoup plus de temps à démarrer qu'un serveur plus ou moins standard
C'est l'inverse plutôt
-
Ah et oui aussi: l'argument du prix pour avoir un système potentiellement vérolé vous convient ?
Que cela soit chez ovh ou un autre fournisseur de vm (comme ikoula), pour un prix mensuel d'environ 3€/mois j'ai un service d'une certaine qualité.
Voulons nous encore de ces "pseudos" hébergeurs, qui sois disant pour faire des machines "abordables", s'adonnent à des pratiques que l'on pourrais trouver d'un certain amateurisme, cela est-il convenable pour un hébergeur qui se veut professionnel ?
Cordialement,
-
Chez Ubuntu : https://ubuntu.com/security/livepatch
Il n'y a pas que Canonical LivePatch qui fait cela mais aussi KernelCare par exemple (Maintenant TuxCare) qui fait ça depuis longtemps :)
Et contrairement au nom, cela ne patch pas que le kernel
Donc vous laisser vos anciens serveurs sans faire d'apt upgrade, mais vous le faites pour les nouveaux ? Permettez moi de douter de vous dans ce cas
Un apt upgrade (dnf upgrade dans notre cas car CentOS Hardened) ne nécessite généralement pas de redémarrage, et il est effectué régulièrement sur nos machines récentes et sur nos machines "anciennes"
-
SolusVM nous offre des solutions de livemigration qui fonctionnent plutôt bien.
Est-ce qu'il s'agit de vrai migration à chaud maintenant ? Je suis curieux de savoir s'ils ont enfin déployé cette fonctionnalité. Auparavant ca se "limitait" (même si c'est déjà pas mal !) à de la copie de disque dur, puis au redémarrage du container sur l'hôte de destination. L'interruption était réduite (de l'ordre d'1-2min), mais provoquait quand même redémarrage de tous les services du container.. Pas terrible. Cela dit, je crois que même PVE (via LXC) ne le supporte pas pour les container :(
Mais bon, il y va de même pour les équipements réseau après-tout. Qui patch ses équipements tous les mois ici ? :)
Je pense que les équipements réseau ne sont pas autant exposés aux failles que des hyperviseurs, sur lesquels tu n'as pas vraiment le contrôle des instructions envoyés/exécutés en virtualisation/containerisation par les utilisateurs.. Ceci dit, avec une bonne stack réseau bien redondante, rien n'empêche le patch des équipements, sauf le temps humain. C'est probablement plus facile qu'un hyperviseur :)
Et sinon le "patch à chaud" qui fait qu'il n'est plus nécessaire de redémarrer est de plus en plus proposé.
C'est vrai, et il y a pas mal de boites spécialisées dans le sujet. Par contre, ça ne permet très généralement que de patcher le kernel ou quelques composants clefs. Pour patcher proprement certains applicatifs de virtualisation (par exemple qemu dans le cas de KVM), outre un redémarrage du process (et de la VM), je crois qu'il n'y a pas grand chose de dispo.
-
Presque toutes les distributions orientées entreprises proposent un système de livepatch, par contre cela peut ne pas être inclus de base (comme pour Canonical).
Sur une machine virtuelle, c'est au client de faire les mises à jour de sa VM.
Dyjix n'est responsable que de l'Hyperviseur.
-
Donc vous laisser vos anciens serveurs sans faire d'apt upgrade, mais vous le faites pour les nouveaux ? Permettez moi de douter de vous dans ce cas
Ce n'est pas réellement un problème si c'est bien construit et que l'hyperviseur n'est pas accessible par ailleurs que par un réseau OOB
Les accès Kernel par les VM, les IO direct c'est fait pour ça.
C'est un mauvais procès.
Aller demander aux banques sur quoi ils tournent, et c'est pas prêt de bouger.
Je connais pas les produits de Dyjix certainement ni pire ni meilleurs que beaucoup.
Si le questionnement de les choisir, se porte sur leur uptime et la m.a.j du kernel, c'est un faux débat et un faux procès.
Si leur produits ne plaisent pas à tutosfaciles48, il existe d'autres prestataires sur le marché, mais aller leur chercher des noises sur ces arguments, c'est un manque de connaissances et la remise en cause elle n'est pas à faire de ce côté là.
Là c'est à moi qu'il faut permettre de douter des arguments de tutosfaciles48. A bon entendeur.
-
Y'a de l'animation ici :D