J'ai employé une demi heure de mon dimanche pour mettre à disposition du monde un service indispensable quand on forme un padawan : une manière simple mais efficace de lui signifier qu'il a subi un échec tout en l'instruisant sur la meilleure méthode pour corriger le tir.
Exemple : Omar ne se souvient plus de son blog. Je lui signifie donc son echec et je lui rappelle l'adresse : http://youfail.fr/omar
Have fun.
Rédigé à 14:31 dans Geekerie, Inutile mais indispensabl, Science, Stupid, Sysadmin, The Other one | Lien permanent | Commentaires (1)
Change : lose a well known current reality towards an insecure future, motivated by an expected progress
Rédigé à 19:07 | Lien permanent | Commentaires (0)
J'ai publié un article ce matin sur le nouveau réseau de transport Ethernet d'Intrinsec.
Ca fait un peu plus d'un an que je conduis le projet, et on est dans la dernière ligne droite pour la mise en production ! :-)
Rédigé à 11:28 dans Brocade, Intrinsec, Network Infrastructure | Lien permanent | Commentaires (0)
Quand on veut avoir une infrastructure réseau redondée, on fait du BGP. Un numéro d'AS, des préfixes, on annonce le tout à deux opérateurs et voilà hop l'infrastructure est sécurisée et sans les explosions synaptiques d'un système de loadbalancing et ses mécanismes de NAT, de gestion de la route par défaut , etc etc...
Quand on a un numéro d'AS, des transitaires, des clients qui demandent et achetent toujours plus de bande passante avec une latence minimale entre leur infrastructure et les Box des opérteurs grands publiques, on est amené dans sa réflexion à s'orienter vers les points de Peering publique.
Un point de peering, c'est une infrastructure neutre et localisée dans une aglomération dense en réseau telecom, où les backbones de plusieurs opérateurs, fournisseurs de contenus et réseau d'entreprise de grande taille se trouvent. Chacune de ces entités cible dispose d'un numéro d'AS, identifiant leur réseau publiquement.
Preque toutes ces différentes entités achetent à un opérateur du transit vers "Internet". Seul les plus gros (les opérateurs "Tier 1") n'ont pas ce besoin. Le plus gros est selon le classement CAIDA l'opérateur "Level3" de par l'étendu de son réseau et des réseaux qui y sont raccordés.
L'achat de transit a un coût. C'est un coût au mégabit par seconde ramené au 95ème percentile pour les offres wholesale et au biling au service souscrit avec limitation de la bande passante maximale pour les offres plus "Entreprise". C'est à dire que dans un cas vous avez toute la capacité du port disponible et vous payez selon ce que vous consommez avec un calcule réalisé en fin de mois, et dans l'autre vous êtes bloqué à une bande passante maximale garantie, que vous payez quoi qu'il arrive.
Dans les deux cas le paquet transmis est facturé, et il coûte cher. Quand votre réseau grandit, que votre consommation de bande passante décolle, en bon père de famille vous allez acheter plus de bande passante à vos transitaires et la facture va monter ; le but du peering est de limiter l'hémoragie des coûts récurents de transmission vers Internet des paquets, avec une constation simple : si vous payez pour émettre un paquet sur votre transit, le réseau en face va payer lui aussi pour recevoir le paquet auprès de son fournisseur de transit. Comment éviter de payer du transit pour ces flux importants ? Etablir une connexion directement entre votre réseau et le réseau partenaire. C'est un peering.
Les points de peering publiques sont dans la plupart des cas des infrastructures neutres et financées par les réseaux qui s'y connectent. Leur objectif est de mettre à disposition une infrastructure permettant de relier ensemble les différents réseaux qui s'échangent du trafique. En orientant les paquets sur un point de peering plutôt que sur un lien de transit, on réduit le coût du paquet. En effet, les infrastructures des points de peering sont bien plus abordable que les services de transit.
Il y en a partout autour de la planete, des points de peering. Si on se concentre sur l'Europe, les principaux qui me viennent à l'esprit sont le LINX à Londres, et l'AMS-IX à Amsterdam. Au final, chaque grand Pays a son point de Peering. Chaque ... Sauf la France qui y est allée de sa petite exception culturelle ! :-) C'est dans notre folklore, on ne va pas se renier !
A Paris, des points d'échange, il n'y en a pas un... Il y a le SFINX, opéré par Renater, le Free-IX opéré par Free mais où il n'y a plus de nouveaux arrivant, Le PANAP de Club Internet, qui avait bien grossis mais qui est maintenat aux mains de Bytel et qui va être migré vers un autre, le France-IX dont on parlera plus tard... Et la liste continue :
- PAR-IX de France Telecom
- CHTIX d'OVH
- POUIX de Gitoyen
- FNIX6 de Novso, spécialisé sur IPv6
- FR-IX de la coopérative Odpop
- Mixt, peering VOIP d'Acropolis
- et le point d'échange d'Equinix, disponnible sur tous les datacenter Equinix du monde.
Bon. ça fait du monde pour Paris. Et c'est pas fini, il y en a en province !
- MAIX à Marseille opéré par Jaguar Network
- Lyonix à Lyon
- Touix à Toulouse
- ... Et quelques autres, mais j'ai posé mon point. :)
Quand vous souhaitez raccorder votre réseau sur un point d'échange à Paris, le choix n'est donc pas facile... Qui choisir ? Combien en choisir ? Doit-on tous les brancher ???
Ce choix a dû être fait pour Intrinsec. En réalité le choix numéro un était de savoir si nous ferions du peering ou pas. La décision a été prise dans un package plus global de réorganisation de nos liaisons. Le choix s'est porté sur France-IX, le point d'échange qui à mon sens apporte le plus de garantis de pérennité et de qualité de service. De plus, la liste des réseaux disponnible est très convaincante. Ce qui l'est encore plus c'est le route server.
Qu'est ce qu'un route server ? C'est un équipement avec lequel vous montez une session BGP. Tous les autres membres du point de peering montent leur session BGP sur ce route server. Vous annoncez vos préfixes, et le route server renvoie aux autres membres qu'ils peuvent vous joindre via votre IP au sein du point d'échange. A l'inverse, vous recevez les préfixes des autres membres afin d'envoyer votre trafique vers leurs équipements. Sur France-IX, 80% des membres participent au route server. Dont Google, pour ne citer qu'eux. Les ingénieurs réseaux d'Intrinsec seront donc heureux de ne pas avoir à négocier et configurer la session BGP pour le peering au cas par cas avec chacun des réseaux présents. On le fait une fois, et on récupère le gros du trafique ! Awesome !
Pour s'interconnecter avec le point d'échange, il vaut mieux être déjà présent dans les Datacenters où celui-ci a décidé de s'implanter. France-IX fait le tour des Interxion, Telehouse et Telecity RedBus a Courbevoie. C'est assez large, mais il en manque.
Intrinsec sera présent dans les semaines à venir sur France-IX, le projet est dans le tuyaux. Je ferai une note quand notre interface pingera. (#geek) Il faut d'ailleurs noter que notre second datacenter de production se trouvant à Lyon, il y a là bas le Lyonix, avec des acteurs assez intéressants dessus. :-)
En effet, nous revoyons globalement notre politique afin d'être mieux positionné, d'avoir des latences affutées vers les réseaux "Eyeball" grand publiques, et une qualité de service optimale. Cela passe par une sélection attentive des transitaires, une vérification des chemins réseaux empruntés vers les destinations les plus importantes pour nos clients en Europe ainsi qu'une qualité d'interconnexion sans faille vers les Box en France;
Et enfin, pour clore le sujet, il y a l'IPv6, qui passera bien un jour en production lourde. France-IX fait partie de notre plan de déploiement IPv6. Il n'y a plus qu'à avoir des clients motivés à publier des plateformes en v6 après ça !
Quelques liens :
Rédigé à 15:52 dans Intrinsec, Network Infrastructure, Sysadmin, Web/Tech | Lien permanent | Commentaires (0)
Tags Technorati: Cloud, Computing, France-IX, GIX, Intrinsec, Lyonix, MC², NAP, network, Peering
Je suis en ce moment sur un projet de refonte du réseau d'Intrinsec (la boite qui m'emploie, ndlr ;-D), et j'ai eu l'envie aujourd'hui de faire un customer feedback sur une entreprise que je me félicite d'avoir accepté de rencontrer lors de la recherche du bon constructeur pour bien répondre à notre besoin et nous accompagner. Après avoir cherché dans toutes les directions, d'en avoir rencontré un certain nombre, d'avoir cherché la meilleure méthode de production, je suis tombé sur les bonnes personnes pour accompagner le projet et réussir au mieux les challenges qu'Intrinsec a à relever du fait de notre croissance et de l'importance centrale d'un réseau robuste, flexible, mais segmenté (siloté comme on dit chez nous).
Cette boîte c'est Brocade, et je leur tire mon chapeau, tant au commerciaux qu'aux avant-ventes. Avec eux, j'ai pu redessiner totalement l'infrastructure initialement prévue et fournir un design plus que convaincant pour que la décision prise d'investir sur Brocade soit éclairée.
On a eu un test-bed, on a eu un accompagnement au test-bed, on a un accompagnement à la mise en production, et par les mêmes personnes qui ont dessiné avec nous l'infrastructure avant de l'acheter. ( et mine de rien, avoir un test-bed, c'est pas si facile chez d'autre constructeur) La phase de pré-production arrive à grands pas pour ce nouveau réseau, mais déjà les phases d'installations et de tests préliminaires sont plus que convaincantes, tout comme le matériel.
Pour parler un peu plus du projet, c'est un backbone MPLS/VPLS pour supporter l'infrastructure de collecte des liaisons privées Fibre Optique de nos clients, jusqu'à la distribution sur les fermes ESX. On a besoin de résilience, on a besoin d'un réseau qui ne bagote pas et qui est facile à configurer, on a besoin de s'affranchir de Spanning-Tree et de faire du traffic-engineering sur nos liaisons longues distances. VPLS sur d'autre fondeurs avait l'air particulièrement imbuvable niveau configuration, surtout si on doit automatiser derrière. On nous a prouvé par A + B qu'en fait, pas du tout, c'est super simple. Et facilement automatisable de notre point de vue.
On avait demandé sur FRnOG des feedbacks sur Brocade, je mets le mien ici, si ça peut servir à un futur client qui se demanderait si c'est une bonne idée de faire des infidélités à son fondeur de toujours. (La réponse est oui, "because new is always better", B.S. ;-) )
Rédigé à 09:30 dans Brocade, Intrinsec, Network Infrastructure, Sysadmin | Lien permanent | Commentaires (1)
Tags Technorati: Backbone, Brocade, Intrinsec, MPLS, Network, VPLS
Je suis tombé grâce à Sylvain Kalache sur un site internet promettant aux dirigeant d'une entreprise de pouvoir surveiller leurs salariés. Le but est d'augmenter la productivité globale des salariés en les épiants... Le moyen technique : une application "invisible" sur votre poste de travail Windows (encore une bonne raison de passer sur Mac), qui va envoyer un screenshot toutes les secondes à votre employeur et enregistrer toutes les lettres que vous tapez sur votre clavier.
C'est stupide. C'est juste de l'espionnage pur et simple, à la limite du voyeurisme. Il y a des normes, des standards, et des best practice à suivre pour éviter que les salariés utilisent le réseau informatique de l'entreprise pour des usages personnels ! aucun besoin d'aller vérifier ce qu'ils font en s'immisçant dans leur vie privée !
Comment ?
Des solutions de filtrage applicatifs existent sur le marcher et sont très simples à mettre en place. Et ont un coût de loin très inférieur à ce que propose la société derrière "surveillermonsalarie.com".
Pour maximum 3000€, matériel et temps ingénieur, vous pouvez empécher une cinquantaine de postes clients d'aller sur des sites improductifs... et bien plus ! protection anti-virale en directe, protection contre les sites choquants, filtrage précis des catégories violentes et non professionnelles, filtrage des protocoles à risque... un vrai réseau sécurisé !
La solution intrusive proposée ne fait qu'une chose : espionner le salarié, qui a la possibilité via l'infrastructure mise en place par l'entreprise d'accéder aux différents sites à impacte sur la productivité, au lieu de l'empêcher purement et simplement sans s'occuper de ce qu'il fait de sa vie.
Analysons les coûts de la solution "surveillermonsalarié" :
790€ par poste.
Je veux épier mes salariés sur 50 postes : 19750€ HT (cf. site web du produit, tout en bas)
Maintenant, le coût ingéniérie et mise en place de la matrice de filtrage applicative comprise d'une solution de protection d'un LAN client :
2 Journée ingénieur dans une SSII qui coûte cher : 2000€ HT
Matériel adéquate pour gérer une à deux lignes ADSL 20 mbps sans redondance particulière : 2500€
Capacité : jusqu'à une centaine de poste clients
Total : 4500€
CQFD. Pour bien moins cher, vous avez beaucoup mieux. Il n'en reste pas moins que si l'employeur achète ce système, c'est pour espionner le salarié sur son poste de travail. Il a d'autre solutions disponibles pour s'en affranchir.
Des fondeurs de matériels qui savent répondre à la problématique :
1°) Fortinet avec ses Fortigates (www.fortinet.com)
2°) Juniper sur ses Netscreen (www.juniper.net)
3°) StoneSoft et son Stonegate ISP (www.stonesoft.com/fr/)
Le site proposant d'épier les salariés. : surveillermonsalarie.com
Rédigé à 02:49 dans Politique, Sysadmin, The Other one, Web/Tech | Lien permanent | Commentaires (0)
That's it, après avoir été rebuté par le côté hégémonique de Google et le fait qu'ils contrôlent un peu trop d'informations critiques de ma vie, je leur sers sur un plateau le détail de mon surf ! Aprioris ils ont déjà sniffé mes mots de passe en faisant la collecte de google street view, alors on est plus à ça près !!!
Blague à part, le navigateur de Google poutre le Safari d'Apple et le Firefox de Mozilla. C'est juste tout simplement agréable. J'ai pas de fenetre qui popup pour les downloads, j'ai juste à cliquer en bas pour qu'il s'ouvre. Je cherche quelques chose, je tape la recherche directement dans la barre d'adresse, j'ai pas à gérer deux champs textes dans ma tête : un pour l'URL, un pour la recherche.
C'est avec ce genre de features toutes bêtes que le produit Google, pensé pour faciliter la vie de l'utilisateur sans le surcharger de détails inutiles et compliqués (ou qui font ramer la machine quand elle est déjà bien chargée, comme la vue 3D de Safari), que Chrome m'a convaincu.
Ils sont vraiment forts chez Google.
Rédigé à 12:01 dans Geekerie, Sysadmin, The Other one, Web/Tech | Lien permanent | Commentaires (0)
Curieux, je clique dessus. Et là, stupéfaction. Mon Twitter et mon Facebook, comme par magie, aspirés. Et sans un seul pseudo formulaire d'approbation vous demandant de confirmer que vous souhaitez afficher à la terre entière vos histoires. Oh My Dear Gods. Sylvain me l'avait dit, je l'avais cru d'une oreille, mais la réalité m'a frappé en pleine face comme un vieux bout de Marouale.
Force est de constaté que l'inventeur mal avisé de Google Buzz Flop, qui a des vues particulièrement avant-gardistes sur le voyeurisme et l'impudeur, n'a pas jugé bon de prévenir les utilisateurs de Google Mail, qui n'ont pas tous la même ouverture d'esprit.
Aussi ai-je emboité le pas de mon camarade Sylvain, et ai-je désactivé promptement la fonctionnalité indésirable.
Une chose est sûre, ma messagerie personnelle va partir ailleurs que chez Google. Tous les oeufs ne doivent pas aller dans le même panier. :)
Rédigé à 01:28 | Lien permanent | Commentaires (1)
Rédigé à 19:06 dans Geekerie, Inutile mais indispensabl, The Other one, Web/Tech | Lien permanent | Commentaires (0)
Rédigé à 13:32 | Lien permanent | Commentaires (0)
