https://xn--r1a.website/Hinshtein/6558

Я весь в предвкушении, ждём охуительный postmortem 🌝

Everything is Lost (a song about data backup)

Последние несколько дней я потратил на решение проблемы с нерабочим externalTrafficPolicy: Сluster в Cozystack.

После углублённого анализа кода BPF-программ как всегда оказалось что проблема не там, а в списке девайсов, на которые Cilium добавляет необходимые обработчики.

По умолчанию Cilium собирает список из девайсов, которые содержат InternalAddress ноды и все для которых указаны global unicast маршруты. Девайс ovn0 в этом списке не фигурирует. Однако kube-ovn использует его как для доставки трафика пода на ноды.

На данный момент в Cilium есть возможность передать список девайсов явно, но тогда не будет работать автодетект, или использовать автодетект, но тогда не попадает ovn0, что автоматически делает`externalTrafficPolicy: Сluster` неработоспособным.

Для решения этой проблемы подготовил патч, который добавляет в cilium-agent опцию --enforce-device-detection которая позволяет использовать автодетекшен в дополнение к указаным в списке девайсам. Теперь нужно этот патч отстоять, если у вас есть подходящая user-story, прокоментируйте этот PR плз:

https://github.com/cilium/cilium/pull/32730#issuecomment-2135982096

Долго думал что не буду про это писать. Но почитав и исследовав вопрос решил, что вам будет интересно.

На прошлой неделе начался большой бум среди всех, кто как-то завязан на поиск Гугла (а это почти весь современный интернет, все его разработчики). Некто "Erfan Azimi", владец SEO фирмы внезапно начал показывать слитые ему документы о том как устроено ранжирование в поиске Гугла. На самом деле всё чуть сложнее, не сам поиск, а различные API вокруг него, но как вы понимаете даже по этим API уже можно понять многое. Утечка произошла по ошибке, один из разработчиков в гугле написал программу для превращения API в вызовы на любимом им языке программирования, но вместо публичных вызовов выложил все (если вам интересно, я приложил ссылку на коммит, в котором содержатся все эти описания [1]).

Многочисленные проверки через разных бывших и действующих гуглеров говорят, что это не подделка, не шутка, а вполне реальная утечка, исследованием которой теперь очень озабочены все SEO-ресерчеры. Дам вам ссылку на самый глубокий из них [2], но если кратко то вот что уже сейчас понятно:

- В поиске гугла есть белые списки сайтов, которые принудительно оптимизированы. Как минимум это известно о некоторых тематиках, таких как выборы штатах в 2020 или ковид.
- Название домена, а так же субдоменов является значимой информацией (гугл всегда говорил что это не так).
- Есть отдельная песочница для новых сайтов. Гугл всегда это отрицал.
- В поиске напрямую используются данные из EWOK (это система, в которой живые люди сидят и за деньги оценивают какой вариант выдачи в поиске лучше). Да, судя по всему есть пользователи, которые своими глазами и мнением определяют, какой из нескольких сайтов лучше по некоторому запросу.
- Гугл активно использует информацию по поведению пользователей на сайте для ранжирования
- Данные по тому, куда пользователь нажимает на странице берутся не только из гугл-аналитики, но и напрямую из браузера Chrome
- По количеству кликов на странице сайты делятся на три категории, для каждой из которых строится свой "ранк качества", более популярные по кликам сайты приносят бОльший вклад в пейджранк, т.е. более ценны
- Гугл внутри учитывает размер бренда сайта, не только по самому сайту но и вцелом по упоминанию этого сайта в интернете (даже без ссылок)
- Контент и ссылки вообще вторичны, сейчас гораздо значимее именно клики и навигация по сайту (то что называют "поведенческий фактор").
- Как следствие для большинства мелких компаний и сайтов SEO почти не значим, пока вы не создадите бренд, пользователей на сайте и репутацию для аудитории.

Безусловно это самая значимая утечка про поиск гугла за последние 10-15 лет. По ней очень вероятно, что гугл часто врет [3] когда публично рассказывает о поиске. Скорее всего надо переставать верить, что "content is king", кликбейты + фермы ботов - вот нынешний путь к успеху в SEO. Разумеется гугл от комментариев отказался [4]. Если вам хочется почитать на эту тему еще что-то - вот неплохая статья в iPullRank [5].

А если вам хочется как-то перестать сливать все свои данные в гугл - поставьте себе что-то не из хрома, например Firefox.

[1] https://github.com/googleapis/elixir-google-api/commit/078b497fceb1011ee26e094029ce67e6b6778220
[2] https://sparktoro.com/blog/an-anonymous-source-shared-thousands-of-leaked-google-search-api-documents-with-me-everyone-in-seo-should-see-them/
[3] https://www.seroundtable.com/google-chrome-search-usage-15618.html
[4] https://www.theverge.com/2024/5/28/24166177/google-search-ranking-algorithm-leak-documents-link-seo
[5] https://ipullrank.com/google-algo-leak

Доброй ночи 🫡

$ curl https://hub.docker.com/

<html><body><h1>403 Forbidden</h1>
Since Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Republic of Crimea, Sudan, and Syria. If you are not in one of these cities, countries, or regions and are blocked, please reach out to https://hub.docker.com/support/contact/
</body></html>

Рецепты для тушения жоп

Из куберчата раз https://xn--r1a.website/kubernetes_ru/838185

$ cat /etc/docker/daemon.json

"registry-mirrors": ["https://daocloud.io", "https://c.163.com/", "https://registry.docker-cn.com"]

Можно докинуть разные зеркала, например, гугловое - https://mirror.gcr.io

Из куберчата два https://xn--r1a.website/kubernetes_ru/838178

Dependency proxy гитлаба пока спасает, пока свои зеркала поднимаем.
Любой образ можно качнуть через него, достаточно завести группу и сделать к ней API'шный ключик с правами read_registry. Дальше просто
 
docker pull gitlab.com/<GROUP_NAME>/dependency_proxy/containers/alpine:latest

Так же в качестве зеркала работает yandex

$ docker pull cr.yandex/mirror/alpine

Using default tag: latest
latest: Pulling from mirror/alpine
59bf1c3509f3: Pull complete 
Digest: sha256:e7d88de73db3d3fd9b2d63aa7f447a10fd0220b7cbf39803c803f2af9ba256b3
Status: Downloaded newer image for cr.yandex/mirror/alpine:latest
cr.yandex/mirror/alpine:latest

использование:

1. через конфиг докера (как зеркало docker.io)

расположен в
операционная система  путь к файлу конфигурации
Linux, regular setup  /etc/docker/daemon.json
Linux, rootless mode  ~/.config/docker/daemon.json
Windows  C:\ProgramData\docker\config\daemon.json

конфиг:
{ "registry-mirrors" : [ "https:\/\/huecker.io" ] }

теперь при попытке загрузки образа, докер будет сначала пытаться использовать прокси

2. явное указание адреса

$ docker pull huecker.io/library/alpine:latest

https://huecker.io

ЗЫ Все потенциальные проблемы с supply-chain принимаются на вашей стороне 🌝

Timeweb сделал свой прокси https://dockerhub.timeweb.cloud/, но инструкция и оформление один в один как на https://huecker.io была

Хуёкер, кстати, умер уже 🫡

Про supply-chain не забываем

Трансляция из Тбилисского хакспейса (@f0rthsp4ce) должна начаться вот-вот

https://www.youtube.com/watch?v=Q15sSdthKdM

Будет три доклада:
- GNU Guix: обзор возможностей и сравнение с дистрибутивами GNU/Linux. (Михаил Кириллов) :: Что из себя представляет проект Guix, какие возможности в нем представлены относительно других дистрибутивов например NixOS, Gentoo, etc. Что такое воспроизводимая сборка и раскрутка компилятора, а также почему Guix предоставляет больше свобод пользователю чем остальные.

- Как захакать любой проект (который есть в гикс) за 3 секунды? (Antony S) :: Имея описание пакета Guix, как за несколько секунд получить среду разработки этого пакета? Как внести изменения в его исходный код, и сразу же протестировать их?

- Arei/Ares: Интерактивная разработка на Guile Scheme. (Andrew Tropin) :: Что такое explorative programming? Почему REPL недостаточно? Как пользоваться всей мощью лиспов? При чём здесь Guix?

Чудо понедельнишное!

Без VPN-а отработал 🌝

$ docker pull alpine
Using default tag: latest
latest: Pulling from library/alpine
d25f557d7f31: Pull complete 
Digest: sha256:77726ef6b57ddf65bb551896826ec38bc3e53f75cdde31354fbffb4f25238ebd
Status: Downloaded newer image for alpine:latest
docker.io/library/alpine:latest

Всем привет!

Завтра буду на БЕКОНе - https://bekon.luntry.ru/

Буду выступать с докладом в котором расскажу, как можно улучшить Docker-образ и сделать его работу в Kubernetes безопасней

Кто хочет пересечься, пишите в комменты или в личку