Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов"	+/–
Сообщение от opennews (ok), 22-Май-26, 11:07
Опубликован релиз Proxmox Virtual Environment 9.2, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.7 ГБ... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65501
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–5 +/–
Сообщение от бочок (ok), 22-Май-26, 11:07
А запуск LXC с докер образов забили допиливать?(
Ответить | Правка | Наверх | Cообщить модератору

	3. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Аноним (3), 22-Май-26, 11:36
	Что-то да, в прошлых 2 версиях было много technology preview (application containers from suitable OCI images, snapshots on thick LVM with snapshots as volume chains, snapshots as volume chains on Directory/NFS/CIFS, nftables firewall) и никаких апдейтов по ним или выходу в GA в этом релизе
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Аноним (44), 22-Май-26, 15:51
	У них ХА и СДН еще не допилен, я думаю они их в первую очередь хотят допилить. Но так то контейнеров хочется нативных, а не держать отдельную виртуалку под них.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
Сообщение от Аноним (2), 22-Май-26, 11:22
>сотнями или даже тысячами виртуальных машин Миллиардами! Никто это не использует в серьезных дата центрах. Это ниша небольших контор, с серверной максимум на 10-15 сервов
Ответить | Правка | Наверх | Cообщить модератору

	4. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от isfdskjdhghg (?), 22-Май-26, 11:37
	А что вы лично используете в серьёзных датацентрах?
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–3 +/–
	Сообщение от Horo45 (?), 22-Май-26, 12:27
	Опенстак
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+3 +/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 11:39
	Дааа? А ты много серьезных датацентров видел? )).
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	6. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+2 +/–
	Сообщение от Ярослав Г. (?), 22-Май-26, 11:41
	А Аэрофлот - небольшая контора на 10-15 серверов?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	13. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 13:04
	То есть вы таки хотите сказать, что у Аэрофлота применяется для виртуализации нечто, в котором qemu запущено от рута, да ещё и без ограничения системных вызовов через seccomp? Что-то, что в случае эксплуатации ошибок, типа CVE-2021-3748, даёт взломщикам полный доступ к серверу? Просто именно таков Proxmox VE ;)
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 14:53
	А что, аэрофлот чужие ВМ крутит, как хостинг какой-то и взлом самих ВМ не является уже проблемой? Или Аэрофлот не мониторит активность внутри тех ВМ, которые он крутит?
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 14:57
	А что это, безопасность нынче не принято эшелонировать? Хватит только мер на самих ВМ? Сгорел сарай, туда и хату?
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:12
	То есть что такое безопасность вы не в курсе. И для чего применяется изоляция процессов, какие накладные расходы оно вызывает, а так же что такое seccomp вы, видимо, где-то слышали. А уж про то, что изоляция и seccomp поможет от эксплуатации вышеприведенной уязвимости...
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от Aliech (ok), 22-Май-26, 15:16
	Они помогают минимизировать последствия для хоста. Не защитить от эксплуатации. Не надо пытаться придать моим репликам иной смысл.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:18
	То есть пошли пространные размышления. Перечислите три постулата информационной безопасности. После этого подумайте.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 15:40
	> То есть пошли пространные размышления. Перечислите три постулата информационной безопасности. > После этого подумайте. Ну да, ну да. Оправдывать отсутствие мер по обеспечению безопасности хоста "тремя постулатами" - это мощно. Это - не пространные размышления. Или вы менеджер Аэрофлота, вот тот самый, который может получить премию за внедрение Proxmox VE (потому что, если бы уже премию получили, то вряд ли бы так переживали)?
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:44
	По теме, значит, сказать нечего? Ты даже загуглить не смог?
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от Анонимоусссср (?), 24-Май-26, 03:35
	Теперь я понимаю Линуса, который говорил про обеьян, мастурбирующих на безопасность. Обезьяны такие обезьяны :)
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	91. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 24-Май-26, 03:38
	> Теперь я понимаю Линуса, который говорил про обеьян, мастурбирующих на безопасность. Обезьяны > такие обезьяны :) Ой бы в контексте второй недели безостановочного обнаружения дыр эту цитату вспоминать ;)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от нах. (?), 22-Май-26, 15:26
	> То есть вы таки хотите сказать, что у Аэрофлота применяется для виртуализации нечто а как по-твоему их поломали, стерев все сервера и все базы? Именно что используется - нечто. И не только для виртуализации, а для всего. аэрофлот паталогически жадная (и т-пая) контора. Все кто там что-то нормальное строил в начале нулевых - сбежали оттуда еще после 2008го.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	59. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 18:54
	А ты прямо со свечкой стоял, знаешь, как их поломали? Прям вот взломали виртуалку, из нее пролезли в хост, получили доступ к кластеру проксмокса, и уже там лапками всё стёрли? Или, может, какой-то сотрудник пролюбил где-то свои пароли, коими и воспользовались, ммм? Трепло.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от нах. (?), 22-Май-26, 22:24
	> А ты прямо со свечкой стоял, знаешь, как их поломали? ну ты-то вот точно стоял? > проксмокса, и уже там лапками всё стёрли? Или, может, какой-то сотрудник > пролюбил где-то свои пароли, ага. на опеннет выложил. Такой большой, а все в сказки верит.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 13:30
	> ну ты-то вот точно стоял? Не стоял. Ну и не утверждаю, что что-то знаю, только предполагаю. А ты вот прямо уверенный такой. >ага. на опеннет выложил. Такой большой, а все в сказки верит. Ясно-понятно. Балабол.
	Ответить | Правка | Наверх | Cообщить модератору

	93. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 24-Май-26, 10:52
	> Не стоял. Ну и не утверждаю, что что-то знаю, только предполагаю. то есть именно ты и есть - балабол. (как обычно - проекция такая проекция)
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от жЫр с монитора (?), 24-Май-26, 14:54
	То есть всякие утверждения, которые пруфануть не получается выдаешь ты, а балабол - я? Какая же ты мелкая шавка, оказывается )
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Анонисссм (?), 22-Май-26, 15:41
	Есть пруфы, что в эрофлоте так всё и сломали? Причём из VM было легко вылезти? Типа, вруть? While the process initialization requires root privileges to configure host-level resources (like network bridges, storage attachments, and hardware passthrough), Proxmox immediately drops privileges or isolates the execution using Linux security modules.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	41. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 15:44
	> Есть пруфы, что в эрофлоте так всё и сломали? Причём из VM > было легко вылезти? Это к нах. Это он про случившийся взлом писал. > Типа, вруть? > While the process initialization requires root privileges to configure host-level resources > (like network bridges, storage attachments, and hardware passthrough), Proxmox immediately > drops privileges or isolates the execution using Linux security modules. А проверьте сами. Зайдите на хост с работающим PVE и посмотрите, от какого пользователя запущены там все qemu (не части обвязки proxmox'а), и есть ли для тех qemu включённая изоляция вызовов. Спойлер: от рута, изоляции нет. Но не верьте на слово. Проверьте сами.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 22-Май-26, 15:50
	как бы тебе это объяснить... ну в общем куема - это просто враппер для _ядерных_ вызовов. И тут уж от какого пользователя не запускай... мелкие проблемы в паравиртуализаторе могут тебя лично и не задеть. интересно, кстати, недельной давности баг с доступом в гипервизор хотя бы в редхатоидах уже исправили или опять индус в отпуске?
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 15:54
	> как бы тебе это объяснить... ну в общем куема - это просто > враппер для _ядерных_ вызовов. И тут уж от какого пользователя не > запускай... мелкие проблемы в паравиртуализаторе могут тебя лично и не задеть. > интересно, кстати, недельной давности баг с доступом в гипервизор хотя бы в > редхатоидах уже исправили или опять индус в отпуске? Ага, а ещё там кроме враппера к системным вызовам есть код, обрабатывающий i/o. То есть эмулируемые интерфейсы устройств. И вот с этим есть тоже проблемы. См. например USN-8161-1 от Cannonical. Но к тебе нах., в контексте данной беседы, вообще 0% вопросов. То, что ты поучать начал, - это привычно. У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий инцидентов.
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 22-Май-26, 16:46
	> У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий > инцидентов. сгорела хата - нехай горит и забор... я бы тоже особо напрягаться не стал, если бы мне такое всучили. кстати, мы тут (пока без обещаний оплатить) собрались таки тестировать импортозамещенную виртуализацию. Пока (при очень поверхностном внешнем погляде, еще до установки даже) - выглядит как п-ц. Каковым вероятно и окажется и внутри тоже. Если чудо вдруг произойдет - непременно проинформирую (мои nda ничуть не запрещают информировать о чудесах)
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 17:06
	>> У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий >> инцидентов. > сгорела хата - нехай горит и забор... я бы тоже особо напрягаться > не стал, если бы мне такое всучили. > кстати, мы тут (пока без обещаний оплатить) собрались таки тестировать импортозамещенную > виртуализацию. Пока (при очень поверхностном внешнем погляде, еще до установки даже) > - выглядит как п-ц. Каковым вероятно и окажется и внутри тоже. > Если чудо вдруг произойдет - непременно проинформирую (мои nda ничуть не запрещают > информировать о чудесах) Интересно. Я из большого Ынтерпраза уже ушёл. Но очень интересно, как оно там движется. Так что, лично я, буду ждать вестей, если таковые будут.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 17:37
	Ты как бы немного теплое с мягким опять путаешь. Ни Ovirt ни Openstack от этих проблем не помогут. И никакая изоляция опять же не поможет. А запуск каждой виртуалки под отдельным пользователем... Ну городи, городи )
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	54. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 17:58
	> Ты как бы немного теплое с мягким опять путаешь. Ни Ovirt ни > Openstack от этих проблем не помогут. И никакая изоляция опять же > не поможет. А запуск каждой виртуалки под отдельным пользователем... Ну городи, > городи ) OVirt и OpenStack юзают libvirt, там есть отдельный пользователь для запуска ВМ, и запускается оно только с seccomp. И лучше так, чем с рутом и абы как.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 18:51
	Ээээ.... Я даже не знаю, как бы тебе это сказать... В общем, в proxmox тоже используется libvirt. И точно тот же KVM. И в том же Openstack из коробки нет никакого seccomp. Как, в общем-то, и в OVirt. И отдельного пользователя для виртуалок... Хотя если ты получил доступ к пользователю от которого работают твои виртуалки - рут на сервере тебе уже нахрен не нужОн. Когда ж вы думать научитесь? А запустить в проксмоксе qemu с нужным флагом и лапками настроить профили тебе в общем-то никто не мешает. Если ты понимаешь, что оно делает и зачем )
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 18:55
	> Ээээ.... Я даже не знаю, как бы тебе это сказать... В общем, > в proxmox тоже используется libvirt. И точно тот же KVM. И > в том же Openstack из коробки нет никакого seccomp. Как, в > общем-то, и в OVirt. И отдельного пользователя для виртуалок... Хотя если > ты получил доступ к пользователю от которого работают твои виртуалки - > рут на сервере тебе уже нахрен не нужОн. Когда ж вы > думать научитесь? А запустить в проксмоксе qemu с нужным флагом и > лапками настроить профили тебе в общем-то никто не мешает. Если ты > понимаешь, что оно делает и зачем ) Серьёзно. А где в Proxmox libvirt? Мне казалось, что это у них один из поводов для гордости, тот факт, что libvirt не используется для запуска qemu, нет? А какие опции libvirt'а отключают запуск qemu с '-sandbox' (а это и есть включение seccomp'а)? Потому что libvirt именно так и запускает qemu. И что-то вот эта часть уже выглядит так, как если бы ты вообще не интересовался, как же оно работает всё...
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 13:26
	А, ой. Либвирта там и правда нет. Дико извиняюсь, вот тут был не прав. Но тем не менее ты можешь и сам запустить qemu с -sandbox. И технологии там ТОЧНО такие же. У тебя для этого есть даже исходники. Можешь даже пакет с патчем написать... А бред вида "опции libvirt'а отключают запуск qemu с '-sandbox' (а это и есть включение seccomp'а)?" даже комментировать не хочу.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 23-Май-26, 15:44
	> А, ой. Либвирта там и правда нет. Дико извиняюсь, вот тут был не прав. Но тем не менее ты можешь и сам запустить qemu с -sandbox. И технологии там ТОЧНО такие же. У тебя для этого есть даже исходники. Не подменяй тезисы. Proxmox не обеспечивает запуск qemu с опцией -sandbox (а значит qemu не просит ядро себя ограничить по вызовам). Для активации этой опции НЕТ графических настроек. Как следствие ВСЕ пользователи Proxmox лишены seccomp'а, который помог бы им минимизировать последствия целого класса атак. Спойлер: ручками одну опцию тоже не добавить в код запуска, так как ребятки из Proxmox не осилили запуск qemu организовать должным образом, продолжая использовать -daemonize вместо действий со стороны своей запускалки. А -daemonize, в том числе, блокирует возможность постановки qemu на seccomp по ряду вызовов. > А бред вида "опции libvirt'а отключают запуск qemu с '-sandbox' (а это и есть включение seccomp'а)?" даже комментировать не хочу. Конечно комментировать не хочешь. Потому что внезапно придётся признать, что в libvirt по-умолчанию уже многое лето qemu запускается с -sandbox, то есть часть его вызовов системных, притом самых полезных для эскалации инцидента после успешного взлома, порезаны ядром через seccomp. И это поведение по-умлочанию, чтобы изменить которое надо прям отдельно идти и конфиги править. И, внезапно, большинство инсталляций oVirt и OpenStack будут с qemu, который, в свою очередь, будет с включённым seccomp. То есть второй твой тезис тоже вскроется как враньё.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 23:42
	> НЕТ графических настроек Так ты виндузятник, еще не заставший Повершелл чтоли? Почему тебя должно пугать отсутствие графической галочки? > который помог бы им минимизировать последствия целого класса атак. Не всем нужно, и не всегда помог бы. И вообще целесообразность сей петрушки с потенциальным снижением производительности может быть вредна. И нет, не лишены, если им это надо. >Потому что внезапно придётся признать Я где-то утверждал обратное? Че опять как чучело решил передернуть? >большинство инсталляций oVirt и OpenStack будут Ну и пусть будут. В чем проблема? В том, что ты осилить сказанное не можешь? С учетом того, что тот же овирт и опенстек ооочень плохо сделаны, что на них щас только легаси крутится, это, конечно, круто. А, ну и всякие импортозамещения на них делают, ога. И то, там от легаси избавляются. >-daemonize, в том числе, блокирует возможность постановки qemu на seccomp по ряду вызовов. А теперь давай пруфца на доку или на сорцы. Потому, что ты щас врёшь. Кстати, а зачем эскалировать привилегии, если вылез из виртуалки в обычном случае? ). Там ж кроме виртуалок то нихрена и нет, и ты к любой можешь уже обратиться. Как тебе seccomp в этом поможет - загадка, да...
	Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

	88. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 24-Май-26, 00:50
	> Так ты виндузятник, еще не заставший Повершелл чтоли? Почему тебя должно пугать отсутствие графической галочки? Не зачёт, потому что раньше ты писал ТАКОЕ: > А запустить в проксмоксе qemu с нужным флагом и лапками настроить профили тебе в общем-то никто не мешает. И вот мы находимся в ситуации, когда оказывается, что НЕ МОЖЕМ мы запустить с нужными для нас параметрами без капитального изменения логики работы Proxmox. Так кто балабол то? -- > Я где-то утверждал обратное? Че опять как чучело решил передернуть? Утверждал. Вот тут: > И в том же Openstack из коробки нет никакого seccomp. Как, в общем-то, и в OVirt. А он там есть. Прямо в ядре. И его для себя запрашивает qemu при запуске, потому что ту qemu запускает libvirt с нужными параметрами. Но ты и тут показал, что вообще ничего не знаешь о предмете. > Ну и пусть будут. В чем проблема? В том, что ты осилить сказанное не можешь? Ты выше писал, что это не так. И что seccomp'а там нет. Я просто показываю, что твой довод - ложь. А ты - балабол. > С учетом того, что тот же овирт и опенстек ооочень плохо сделаны, что на них щас только легаси крутится, это, конечно, круто. Проблемы Proxmox'а не исчезают от того, что иные решения тоже не хороши. -- > А теперь давай пруфца на доку или на сорцы. На что тебе пруфы? На то, что в Proxmox qemu запускается с -daemonize? Так это на каждом хосте с Proxmox можно увидеть самому. Или ты не понимаешь, зачем там qemu запускается именно с этой опцией? Или ты не понимаешь, как запрет системного вызова для того же fork() (а его тоже режут seccomp'ом) мешает отработке -daemonize в qemu? Ну так у меня нет времени на ликбез по техникам увода в фон приложений. Захочешь восполнить пробелы в знаниях, сам сходишь в исходники. Не обязательно даже qemu. Увод в фон в *nix +/- одинаково делается уже не первый десяток лет. > Потому, что ты щас врёшь. Я даже не знаю, как на это реагировать. Ты какой-то менеджер внедренец Proxmox'а, что ли? Менеджер потому, что знаешь так мало о предмете. Технарю положено знать больше. Внедренец Proxmox'а - потому что такое мощное отрицалово фактов. Или ты уже завязался на это решение, и теперь так тригеришься об то, что тебе показали не самые лучшие решения из его конструкции? > Кстати, а зачем эскалировать привилегии, если вылез из виртуалки в обычном случае? Ну реально менеджер. И читать не умеешь, потому что я писал об "эскалации инцидента". Именно так. Посмотри сам. Потому что "исполнение кода" - ещё не полноценный выход из виртуалки. Для полноценного выхода из виртуалки понадобится много чего, большая его часть как раз отсекается seccomp'ом. Не панацея, но сильно увеличивает косты на реализацию полноценной атаки через подобные уязвимости. -- Ты уже расписался за то, что не знаешь как работает Proxmox. Не знаешь, как работает libvirt, то есть не знаешь, как работает низовой уровень OpenStack и oVirt. Не знаешь за seccomp и за то, нафига ограничивать системные вызовы. И за то, что не знаешь, как софт в бэкграунд уходит. "Остановитесь" (с) Янукович
	Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

	89. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 24-Май-26, 02:05
	Сижу такой на кухне, жду, пока гейзерная кофеварка кофе погонит вверх... Думаю, мб загуглить вопрос то? Ну просто так ты меня удивил своей некомпетентностью... Но не все, даже считающие себя системными администраторами, знают про то, как на самом деле вызовы выглядят, нафига их ограничивать, какие из них нужны, чтобы программу в фон загнать пинками... не все понимают, что необходимо для эксплуатации уязвимости... Короче, не все хоть чуть-чуть проф. пригодны. Бывает. И обнаружилось, что, с одной стороны, сообщество Proxmox не то, чтобы совсем пропащее, и нашёлся ЦЕЛЫЙ ОДИН человек, который спросил за этот уже, на самом деле, базовый функционал, который разработчики проигнорировали. И спросил он аж в 2021 году. Прошло пять лет, запускать qemu по-человечески разработчики так и не научились. То есть это разработчики совсем пропащие + толпа пользователей, из которых только один обладал должной квалификацией, чтобы хотя бы ознакомится с вопросом и спросить у разрабов. Было бы смешно, если бы не было так позорно. https://forum.proxmox.com/threads/qemu-escape-mitigations.98333/
	Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

	102. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 24-Май-26, 19:50
	Ну то есть ты ничего не понял из написанного там. А ларчик то просто открывается: есть квалификация - делай. Нет квалификации - тебя это не спасёт. А, ну и да. Ты же в остальных тредах обосрался. Не везде оно нужно.
	Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

	104. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 24-Май-26, 23:41
	> Ну то есть ты ничего не понял из написанного там. А ларчик > то просто открывается: есть квалификация - делай. Нет квалификации - тебя > это не спасёт. А, ну и да. Ты же в остальных > тредах обосрался. Не везде оно нужно. Ну вообще успокоительного там только ответ разработчика Proxmox. Мол "мы всё патчим быстро, а значит оно не страшно". Ну тут надо быть не в себе, чтобы не заметить, что "быстро" - это всё-таки какое-то время. И что не все проблемы доходят до оформления в виде CVE раньше, чем до появления эксплойта, доступного за деньги. И чтобы об такое успокоиться, надо быть реально... менеджером по продажам услуг по внедрению Proxmox? Да, наверное...
	Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

	107. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 25-Май-26, 09:30
	ну сделай сам, елки. Ещё раз: сорцы тебе даны. Ну сделай пакет, как надо. Если тебе надо. Кто мешает то? А, ты же балабол, ты не знаешь, ты с пеной у рта кричишь, что пркосмокс гавно. Хотя на самом деле, даже не знаешь, почему. Ты кричишь "безопасность", хотя не знаешь, что такое безопасность на самом деле. Твоим словам - грош цена. Проблема в том, что этот один в этом топике хочет чего-то, что никому кроме него не нужно. Ну пусть хочет. А так - и правда, я тебя все время спрашиваю "зачем", ты мне выдаешь какие-то абстрактные вещи. А я не понимаю, а нахрена это городить конкретно во всех применениях то? Оно действительно не всем нужно. Если где-то включено что-то по умолчанию (но ты же только уцепился за seccomp, видимо других аспектов ты и знать не знаешь), ну пусть включено. Где-то выключено? Ну и пусть выключено. Дальше то что? Ты щас опять съедешь и будешь говорить, что проксмокс - гавно, миллионы мух... Ну и сиди на своем Опенстек, пользуйся им. Успокойся уже.
	Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

	117. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 25-Май-26, 18:37
	> ну сделай сам, елки. Ещё раз: сорцы тебе даны. Ну сделай пакет, > как надо. Если тебе надо. Кто мешает то? А, ты же > балабол, ты не знаешь, ты с пеной у рта кричишь, что > пркосмокс гавно. Хотя на самом деле, даже не знаешь, почему. Ты > кричишь "безопасность", хотя не знаешь, что такое безопасность на самом деле. > Твоим словам - грош цена. Мне это сделать, чтобы что? Чтобы доказать кому-то что-то? Какой-то белке-истеричке, которой достаточно рассказать о проблемах в её инструменте, чтобы она сразу тригернулась и всё превратила в "ты говоришь xxx - г-но"? Смешно. Особенно в контексте того, что лично я Proxmox'ом не пользуюсь, и мне с того пользы ровно "0". > Проблема в том, что этот один в этом топике хочет чего-то, что > никому кроме него не нужно. Ну пусть хочет. А так - > и правда, я тебя все время спрашиваю "зачем", ты мне выдаешь > какие-то абстрактные вещи. А я не понимаю, а нахрена это городить > конкретно во всех применениях то? Оно действительно не всем нужно. Если > где-то включено что-то по умолчанию (но ты же только уцепился за > seccomp, видимо других аспектов ты и знать не знаешь), ну пусть > включено. Где-то выключено? Ну и пусть выключено. Дальше то что? Ты > щас опять съедешь и будешь говорить, что проксмокс - гавно, миллионы > мух... Ну и сиди на своем Опенстек, пользуйся им. Успокойся уже. А в том и фокус, что речь не "о не всем нужно", а о том, что это просто в Proxmox невозможно. Ну вот невозможно иметь чуть больше уверенности в своём проде, если у тебя Proxmox. Хотя можно быть оголтелым фанатиком, брызжущим разным во все стороны, агрессивно реагирующим на тех, кто показывает на проблемы в любимом инструменте. Кстати, я не пользуюсь OpenStack. Как ушёл из большого it, мне ни oVirt более не интересен, ни OpenStack, ни прочие наколенные поделия, типа Proxmox. Хотя они все - весьма наколенные поделия. Дело в том, что kvm я внедрил на своём месте работы ещё до того, как даже libvirt ещё нормально не стал заводится в не RH-клонах. Да. Году так в 2010 у нас уже была моя самописная управлялка на perl'е. И вот я её для своих нужд по-прежнему развивал всё это время. Фитч там не много, ровно столько, сколько нужно мне. Но вот тот же сброс привилегий адекватный уход в фон, не мешающие применению seccomp на qemu, я осилил сделать. Практически сразу появления этого функционала в qemu. В отличии от разрабов Proxmox, которым ещё в 2021 году на это указали. И, казалось бы, мне ничего не мешает просто взять и задонатить этот код в Proxmox. Тем более что ВЕСЬ КОД взаимодействующий с непосредственно qemu там написан на perl (внимание!). Однако факт в том, что, фактически, технический долг у них там растёт буквально не по дням, а с каждой новой строчкой кода. Я имею ввиду то, что они, добавляя новые фитчи, целиком их завязывают на то, что qemu будет крутится под рутом и с полным набором вызовов. Так что внедрить даже мой хорошо работающий код, конкретно так не приведя в порядок старый, не поменяв архитектуру решения, не выйдет. И это им не оправдание. Ведь с 2021 года они ситуацию в этом направлении лишь усугубляли как могли. Ну и, докучи, что-то меня после общения с тобой конкретно наводит на мысль, что нафиг этот Proxmox и его комьюнити. Нравится жить в выгребной яме сомнительных технологических решений - их право. Тем более что у некоторых начинается буквально крестовый поход против тех, кто указывает на проблемы в их любимом инструменте. Чтобы за них ещё уменьшать их риски? Ну уж нет. Лучше понаблюдаю. Возможно, что это будет весело.
	Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

	118. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 25-Май-26, 19:36
	> Мне это сделать, чтобы что? Если тебе это надо - сделай сам. Ты же упираешься, что без этого работать нельзя. Софт открытый, тебе никто ничего не обещал. Вперёд. > это просто в Proxmox невозможно. Если у тебя не хватает квалификации - че ты вообще в эту область лезешь? Как это невозможно? У тебя исходники забрали? > Как ушёл из большого it, мне ни oVirt более не интересен, ни OpenStack, ни прочие наколенные поделия, типа Proxmox Оно тебе так не интересно, что ты продолжаешь тут доказывать, что проксмокс - дерьмо с пеной у рта. >адекватный уход в фон, не мешающие применению seccomp на qemu, я осилил сделать не осилил. Врёшь. seccomp был интегрирован в bpf только в 2012. И libseccomp появился в 2012. В нем находят уязвимости, кстати, иногда такие, что его отсутствие лучше чем присутствие. Охренеть, да? А вот ещё о чем ты не подумал. Так же в 2012 и началась работа над интеграцией seccomp в qemu. А вполне себе серьезные обновления, которые его действительно включили так, что он стал иметь смысл полетели только 2021. > И, казалось бы, мне ничего не мешает просто взять и задонатить этот код в Proxmox. Они вообще-то коммерческую версию предоставляют. Продают. >И, казалось бы, мне ничего не мешает просто взять и задонатить этот код в Proxmox. Тем более что ВЕСЬ КОД взаимодействующий с непосредственно qemu там написан на perl (внимание!). Однако факт в том, что, фактически, технический долг у них там растёт буквально не по дням, а с каждой новой строчкой кода. Ты же перл знаешь, ну поправь, да, если тебя это так волнует. Но... Я не верю, что ты вообще что-то можешь. >целиком их завязывают на то, что qemu будет крутится под рутом и с полным набором вызовов Шта? Обертка на perl завязывает как-то qemu на это? А. Ну, наверное, ты не в курсе части функционала проксмокса. Там некоторые вещи действительно могут делаться только из под рута, да. А qemu это так. Ничто не мешает его запустить под другим пользователем. >Ну и, докучи, что-то меня после общения с тобой конкретно наводит на мысль, что нафиг этот Proxmox и его комьюнити. Тебе же плевать на этот проксмокс? Он тебе не интересен? А нет, ты тут что-то доказываешь, аж тапки теряешь.
	Ответить | Правка | К родителю #117 | Наверх | Cообщить модератору

	123. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 25-Май-26, 21:45
	> Если тебе это надо - сделай сам. Ты же упираешься, что без этого работать нельзя. Софт открытый, тебе никто ничего не обещал. Вперёд. Зачем? Ради чего? Я же не пользователь Proxmox. Какая мне выгода с потраченного времени будет? Вот когда-то, когда у меня в трудовой было написано "старший разработчик ос", был ещё смысл идти к начальству с предложением взять Proxmox и сделать его своими силами лучше. За это хотя бы заплатили бы. Но тогда я особо не интересовался, как там это поделие живёт. > Оно тебе так не интересно, что ты продолжаешь тут доказывать, что проксмокс - дерьмо с пеной у рта. Но ты же можешь привести цитату, где я именно таким словом характеризовал Proxmox? Там тебя выше нах. за проекции в твоей башке пинял. Ну так вот. Он был прав. > не осилил. Врёшь. seccomp был интегрирован в bpf только в 2012. И libseccomp появился в 2012. В нем находят уязвимости, кстати, иногда такие, что его отсутствие лучше чем присутствие. Охренеть, да? А вот ещё о чем ты не подумал. Так же в 2012 и началась работа над интеграцией seccomp в qemu. А вполне себе серьезные обновления, которые его действительно включили так, что он стал иметь смысл полетели только 2021. Ахах, ты специально трактуешь "со старта" не как "с момента появления поддержки", лишь бы только было за что уцепиться. Это как-то жалко даже. Кстати, FYI, seccomp "живой" аж с qemu 1.2.x. И приблизительно в те же времена я научился жить без '-daemonize' у qemu. И к моменту появления qemu-2.8.x он у меня уже был опцией по-умолчанию. А в Proxmox всё никак не научаться ;) >> И, казалось бы, мне ничего не мешает просто взять и задонатить этот код в Proxmox. > Они вообще-то коммерческую версию предоставляют. Продают. И что, ты думаешь они готовы заплатить за мою помощь? Не уверен. >> И, казалось бы, мне ничего не мешает просто взять и задонатить этот код в Proxmox. Тем более что ВЕСЬ КОД взаимодействующий с непосредственно qemu там написан на perl (внимание!). Однако факт в том, что, фактически, технический долг у них там растёт буквально не по дням, а с каждой новой строчкой кода. Я имею ввиду то, что они, добавляя новые фитчи, целиком их завязывают на то, что qemu будет крутится под рутом и с полным набором вызовов. Так что внедрить даже мой хорошо работающий код, конкретно так не приведя в порядок старый, не поменяв архитектуру решения, не выйдет. И это им не оправдание. Ведь с 2021 года они ситуацию в этом направлении лишь усугубляли как могли. > Шта? Обертка на perl завязывает как-то qemu на это? А. Ну, наверное, ты не в курсе части функционала проксмокса. Там некоторые вещи действительно могут делаться только из под рута, да. А qemu это так. Ничто не мешает его запустить под другим пользователем. Вот ты специально выворачиваешь так, чтобы было за что зацепиться. А ведь я всего-то написал о том, что они продолжают добавлять фитчи таким образом, который отрезает пути к запуску не от root'а и с seccomp'ом. Подумай на досуге об правах на образы, об правах на блочные устройства, и вот об всём таком, что на данный момент никак не приводится в состояние, которое требуется для запуска из под обычного пользователя. И элемент, который выполнял бы эту работу, ещё предстоит разработать для интеграции в Proxmox и написать. То есть проделать немалую работу по перелопачиванию архитектуры решения. И это было проще сделать в 2021ом, когда фитч было меньше. Но в 2021ом они на вопрос своего же пользователя забили, продолжив просто наваливать нового функционала. > Тебе же плевать на этот проксмокс? Он тебе не интересен? А нет, ты тут что-то доказываешь, аж тапки теряешь. Да нет. Ты просто глупости несёшь, и почему-то они меня задевали. Но оно выродилось до переиначивания моих реплик и кривых толкований. Так что всё. Мне не пофиг на Proxmox лишь в контексте того, что можно понаблюдать за этим Webmin'ом от мира виртуализации. И словить лулзов.
	Ответить | Правка | К родителю #118 | Наверх | Cообщить модератору

	62. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 19:29
	Вообще, конечно, телепердача "Аншлаг" на Опеннет! Кексперд, ранее вписывавшийся за Proxmox, упрекавший собеседника в том, что он не знает того, сего, пятого-десятого и... Кексперд тот не знает, из чего на самом деле состоит тот самый Proxmox, а так же совсем не знает, как там запускаются виртуалки. И про то, как выполнена интеграция вызова seccomp'а в qemu тоже не знает. И об том, как оно выглядит в libvirt - тоже не знает. Но очень хочет пояснить за oVirt и OpenStack, которые запускают всё только через libvirt. Реально. Кроссовер Аншлага и Кривого Зеркала! Спешите видеть!
	Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

	75. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 13:29
	Бгг. Ну ты и как чучело себя ведешь, у тебя совсем с мышлением все плохо стало, чтоли? Соврал вот почти в каждом слове.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+2 +/–
	Сообщение от нах. (?), 22-Май-26, 15:58
	> Типа, вруть? не вруть, недоговаривають. Это речь о нескучном рест-интерфейсике (то что и есть сам проксмоксь) - он вот действительно дроп привилежес и все такое. Выглядит надежно (нетъ) - ну то есть ты понимаешь, да, что у тебя в сеть торчит нечто работающее от рута потому что хост-левел ресурсес по другому как-то не получается в линуксах настраивать? С этим вот - борются, местами даже и успешно (то есть я не слышал чтобы кого-то именно через вебморду поломали... потому что никто ее разумеется и не высовывает из защищенных сетей) А с тем что там внутре кевеем коровосинкой с цефом погоняет - с этим бороться бесполезно, только возглавить. Но на два хоста и третий запасной в колд-стендбае чтоб за электричество не платить - сойдет. С тех пор как вмварь продалась на кладбище - вариантов у тебя особо и нет.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	15. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+2 +/–
	Сообщение от 12yoexpert (ok), 22-Май-26, 13:33
	ты бы ещё ГазМяс привёл в пример или Сберкассу
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	21. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 14:53
	А что, ГазМяс и Сберкасса это не серьезно? )
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 22-Май-26, 22:34
	> А что, ГазМяс и Сберкасса это не серьезно? ) ну э... ты вот ихних акциев уже купил ведь, конечно же, да?! Они ведь щас дешооооовые! Надо брать! (или не надо...) Вот по этой причине - в их сторону нужно смотреть вместе с аерофлотом и кто там еще был недавно... а, ВСК - только как делать ни в коем случае не надо, если только тебя дулом автомата еще не тыкают. (и да, pve там был, среди прочих как не надо)
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 13:28
	В смысле? Вот ваще как одно с другим у тебя в голове связано? Ты мне щас хочешь сказать, что это не серьезный бизнес? Что тогда серьезный? А, да, точно. Ты же тыртырпрайз - админ, который тыртырпрайз только по слухам где-то слышал, но не видел. А то выходит что тебя прям срочно в президенты всея планеты надо ставить - и в технике разбираешься, и в психологии, и в экономике вон. И это ты еще, видимо, таланты не все раскрыл.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 23-Май-26, 20:58
	> В смысле? Вот ваще как одно с другим у тебя в голове > связано? Ты мне щас хочешь сказать, что это не серьезный бизнес? но почему же ты не покупаешь акции этого сириозного бузинеса? Они сейчас стоят около нуля. Ниже уже некуда, только вверх. Хватай! А если что-то в голове у тебя щелкает почему все же это делать можно только при совсем уж лишних деньгах (шанс выиграть и выиграть крупно в этой лотерее безусловно есть) - то странно почему у тебя не выстроится логическая связь - что вот ровно по той же причине обращать внимание на используемые ими технические решения стоит ровно в той же пропорции и с теми же оговорками. > Что тогда серьезный? А, да, точно. Ты же тыртырпрайз - админ, ratheon говорят уже поздно покупать... elbit кажись не торгуется на открытом рынке... короче да, лучше пока вкладываться в консервативные активы - тушенку, сгущенку и патроны 5.45 elbit, понятно, нам ничего не расскажет... хотя по некоторым косвенным подозрениям таки vmware.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 23:44
	>но почему же ты не покупаешь акции этого сириозного бузинеса Откуда ты знаешь, покупаю я их или не покупаю? Балабол. >короче да, лучше пока вкладываться в консервативные активы - тушенку, сгущенку и патроны 5.45 Балабол.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+3 +/–
	Сообщение от King_Carlo (ok), 22-Май-26, 12:09
	В серьёзных датацентрах надо разворачивать oVirt - технические задания, рабочие проекты, внедрение, эксплуатация, бесконечный бюджет! Вот! А этот ваш proxmox любой пионер может развернуть в кластер, куда это годится? Зарабатывать как?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	10. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от Аноним (10), 22-Май-26, 12:36
	https://www.openstack.org/software/
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 14:54
	Ни Овирт, ни Опенстек уже в серьезных проектах не применяют на этапе проектирования. Только легаси осталось.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+2 +/–
	Сообщение от Аноним (68), 22-Май-26, 23:14
	...И что применяют тогда в современных проектах, если не секрет?
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Килфлаг (?), 23-Май-26, 09:26
	Alt-виртуализация  🙈 Что есть тот же прохмох но с заменённой картинкой
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 24-Май-26, 16:38
	> Alt-виртуализация  🙈 > Что есть тот же прохмох но с заменённой картинкой Кому сдалась твоя картинка, оно с лицензией фстэк! (а устанавливать больше одной подотчетной единицы в общем и незачем) интересно, они хоть что-то кроме замены картинки и оплаты кому-нада, вообще способны сами-то с ним делать? (что на этих нище6родов работает кто-то из разбирающихся в тонкостях kvm, паравиртуализации, ceph трех разных релизов, zfs не к ночи будь помянута, ovs и что там еще понатащили даже не в самые последние проксмоксы  - я не то чтобы позволю себе усомниться, а просто чота ржу) Ну может хоть подписку на шта6ильные релизы себе купили, хотя бы на один хост, через товарищ-майора-под-прикрытием с гражданством какой-нибудь Чехии?
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 13:32
	Ну так смотри, пожалуйста, никто не запрещает, что применяют. Я тебе спойлерну: в основном проприетарщину, либо выкатывают свои решения на базе KVM. Благо, это не так и сложно ).
	Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

	92. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 24-Май-26, 08:55
	> Ну так смотри, пожалуйста, никто не запрещает, что применяют. Я тебе спойлерну: Балабол. > в основном проприетарщину, либо выкатывают свои решения на базе KVM. Благо, > это не так и сложно ). да ну?! Балабол.
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 24-Май-26, 14:52
	Балабол. Но это не отменяет того, что в нормальных местах решения в 99% случаев как раз таки люто проприетарные.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 24-Май-26, 16:32
	пруфов разумеется не будет - балаболка так видит. Конечно же каждая чебуречная изобретает проприетарное решение, ничуть не хуже какой-то там проксмоксы которая этим десять лет занимается профессионально.
	Ответить | Правка | Наверх | Cообщить модератору

	103. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 24-Май-26, 19:51
	Проксмокс не продает платный саппорт, все коммьюнити пользуются? Или все нанимают КОМАНДУ разрабов, чтобы крутить этот ваш Опенстек? Бггг. Ты глаза то разуй, загугли.
	Ответить | Правка | Наверх | Cообщить модератору

	106. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 25-Май-26, 00:22
	> Проксмокс не продает платный саппорт, все коммьюнити пользуются? клиент начинает путаться в показаниях. >> Но это не отменяет того, что в нормальных местах решения в 99% случаев как раз таки >> люто проприетарные.
	Ответить | Правка | Наверх | Cообщить модератору

	108. Скрыто модератором	+/–
	Сообщение от жЫр с монитора (?), 25-Май-26, 09:32
	И? Не, блин, иди ещё и понятия проприетарного выучи. Проксмокс продает ЗАКРЫТЫЕ исходники в т.ч. Есть такой энтерпрайз-репозиторий.
	Ответить | Правка | Наверх | Cообщить модератору

	110. Скрыто модератором	+/–
	Сообщение от нах. (?), 25-Май-26, 11:00
	лол. Ну расскажи же нам, темным, ЧТО лежит в этом энтер-прайс репозитории. (дайте угадаю - этот жырноватый тролль никогда разумеется к нему допущен и не был. Настолько, что даже не в курсе что все что дает подписка - это доступ к минорным обновлениям-бэкпортам, да, снова здорова - GPL licensed кода.)
	Ответить | Правка | Наверх | Cообщить модератору

	120. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 25-Май-26, 19:47
	ТО есть многоуважаемый нах. понятия не имеет что же такое лежит в энтерпрайзном репозитории проксмокса... И то, что открытый код не значит, что он не может быть проприетарным. Да. А ещё многоуважаемый нах. не слышал про всякие proxmox datacenter manager. Уже не только то, что доступно публике, да? Шо он несёт...
	Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

	121. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от нах. (?), 25-Май-26, 20:12
	повторяю: там лежит открытый код. Под лицензией gpl. (как обычно, с контрактом в нагрузку) Потому что никакого другого кода у проксмоксы нет. > А ещё многоуважаемый нах. не слышал про всякие proxmox datacenter manager. https://git.proxmox.com/?p=proxmox-datacenter-manager.git;a=... AGPLv3 порассказывай мне еще о чем я там не слышал. в общем я больше не трачу время на ответы очевидному [censored] ты не просто балабол, ты просто ...
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от King_Carlo (ok), 24-Май-26, 12:45
	>выкатывают свои решения на базе KVM Попячся! Какие нафиг свои решения? Готовые то внедряют через опу, а тут свои выкатывают, ага. Смешно.
	Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

	97. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–2 +/–
	Сообщение от жЫр с монитора (?), 24-Май-26, 14:52
	Обертки над KVM/libvirt. Вот такие вота решения.
	Ответить | Правка | Наверх | Cообщить модератору

	109. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от King_Carlo (ok), 25-Май-26, 09:52
	Какие обёртки? Virt-manager?
	Ответить | Правка | Наверх | Cообщить модератору

	119. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от жЫр с монитора (?), 25-Май-26, 19:37
	Бгг. Ну ты погугли.
	Ответить | Правка | Наверх | Cообщить модератору

	122. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 25-Май-26, 20:13
	> Бгг. Ну ты погугли. балабол
	Ответить | Правка | Наверх | Cообщить модератору

	124. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от King_Carlo (ok), 25-Май-26, 22:34
	То есть лично ты ни одной не знаешь? :)
	Ответить | Правка | К родителю #119 | Наверх | Cообщить модератору

	45. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от нах. (?), 22-Май-26, 15:51
	не хотел бы тебя огорчать, но oVirt - на кладбище редхата. Пока был живой - в общем-то разворачивался несложно, только вот что дальше делать - никто не знал, индусы rhbm, как оказалось - тоже. В сириозных импортозамечательных прожектах ты можешь конечно развернуть z-virt, как патреот, только уволиться задним числом не забудь вовремя.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	12. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–2 +/–
	Сообщение от theDolphin (ok), 22-Май-26, 12:51
	Ты даже не представляешь, насколько ты не прав )
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	16. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+2 +/–
	Сообщение от 12yoexpert (ok), 22-Май-26, 13:35
	ты даже не представляешь, насколько он прав
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от theDolphin (ok), 22-Май-26, 13:42
	Я то как раз немного представляю, у нас несколько сотен (не соврать тысяч, за весь IT компании не скажу) серваков под PVE.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 14:14
	И как вы порешали отсутствие изоляции системных вызовов qemu? Или у вас такие манящие и доступные сервера в проде стоят?
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 14:55
	Поясните нужность этой изоляции.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 14:58
	А бывает ненужная изоляция? Любая изоляция нужная, если она не вносит критического роста накладных расходов.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:07
	То есть зачем оно нужно и какие накладные расходы - вы не в курсе. Что-то слышал и мнение имеет. Ясно-понятно.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от Aliech (ok), 22-Май-26, 15:14
	Ну так просветите, насколько же падает производительность i/o виртуальных машин при включённом seccomp на ваших задачах? Или слив с вопроса засчитывать?
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:17
	seccomp это НЕ изоляция. Марш матчасть учить, чудо.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от Aliech (ok), 22-Май-26, 15:19
	О, да ладно. Ограничение системных вызовов НЕ ЧАСТЬ изоляции? Марш учить мат. часть, чудо.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:21
	Нет. Изоляция и ограничение системных вызовов совершенно разные вещи. seccomp может быть ОДНИМ ИЗ механизмов обеспечения изоляции. Но сам по себе изоляцией процессов не является. И, строго говоря, сам по себе seccomp никак не изолирует процессы друг от друга.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 15:24
	"Соломенное чучело", как оно есть. Потому что я об seccomp писал лишь как об одной из мер, призванных минимизировать возможный ущерб. Я уже выше просил не придумывать иных смыслов. Или аргументов нет, и пора перевирать чужие?
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:43
	А потом скатился на seccomp. Может тебе самому сначала врать перестать, глядишь и фигню нести меньше будешь? Хотя чей та. Иногда и seccomp приводит к трехкратному снижению производительности. Но ты то об этом не знаешь.
	Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

	39. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Анонисссм (?), 22-Май-26, 15:44
	>Или у вас такие манящие и доступные сервера в проде стоят Ты покажешь тулзу, которой я могу на своим proxmox VM вылезти в host? Или она существует в твоем воображении? Или у знакомого сына маминой подруги?
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	47. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 15:56
	У меня тулзы нет. Маминых подруг, которые занимаются взятием на приступ виртуалок с дальнейшим выходом в хост, - тоже нет. Так что, от того, что у меня нет эксплойтов, ни знакомых с такими эксплойтами, ты, конечно же, можешь спать спокойно, продолжая игнорировать CVE.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 17:39
	Ты щас хочешь сказать, что проксмокс не закрывает CVE? Что ты несешь?
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+2 +/–
	Сообщение от Aliech (ok), 22-Май-26, 17:57
	То есть ты додумал за меня, якобы я что-то хочу сказать, а потом сам же начал намекать на глупость придуманных тобой для меня аргументов?) А ты хорош! Кстати, не Proxmox закрывает CVE. Разработчики Qemu закрывают CVE в проекте Qemu. И вот от момента, когда появляется информация о CVE, до моменте исправления, проходит время. И ещё время проходит до момента, когда свежая версия Qemu таки попадёт в твою инсталяцию Proxmox. И магия сработает как надо (а вот эти временные лаги - это всё ещё "как надо"), только если информация об уязвимости таки сначала дойдёт до разработчиков, прежде чем эксплойт уверенно начнут торговать где надо.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 18:45
	А что ты понимаешь под игнорированием CVE? ммм? Я тебе щас секрет открою: даже админ может большинство из них закрыть по обнаружению. Очень часто достаточно других мероприятий. Ну и обновляются вовремя. А где не обновляются - там и во внешнюю сеть зачастую ничего не торчит и существуют иные меры защиты. Ты же написал так, что по духу можно подумать что использование Proxmox это и есть игнорирование CVE. Вот я и спрашиваю - что ты несешь?
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 18:50
	"Это у тебя по духу так" - слабое оправдание для самостоятельного приписывания оппоненту тезисов в споре. Игнорирование CVE - не принятие превентивных мер уменьшения возможного урона, с учётом уже выявленных проблем с безопасностью кода. Потому что наличие CVE нам показывает и вектор возможной угрозы, и потенциальный урон, который может быть нанесён. CVE пофиксили - хорошо, но надо быть глупцом, чтобы этот опыт не учесть. Ну или просто ходить за зарплатой, закрывая таски в тикет-системе.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 13:33
	То есть ты опять балаболишь. Как игнорирование CVE связано с использованием proxmox? Спрошу прямо. Хотя ты ж зассыха, опять стрелки двигать начнешь.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 23-Май-26, 15:57
	> То есть ты опять балаболишь. Как игнорирование CVE связано с использованием proxmox? > Спрошу прямо. Хотя ты ж зассыха, опять стрелки двигать начнешь. О, ты зацепился об "игнорирование CVE", как за соломинку. Но ведь я уже ответил об этом? Непонятно? Русская языка не родная? Сделай над собой усилие, перечитай сообщения выше, и пойми, что я подразумеваю пользователей, в первую очередь. Они они игнорируют все CVE, продолжая пользоваться тем, что архитектурно не подразумевает вообще никаких методов минимизации ущерба.
	Ответить | Правка | Наверх | Cообщить модератору

	81. Скрыто модератором	+/–
	Сообщение от жЫр с монитора (?), 23-Май-26, 15:59
	Нихрена ты не ответил, а опять слился. Как всегда. В общем, трепло, дальше с тобой разговаривать бессмысленно.
	Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

7. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
Сообщение от ЛетящийГроб (?), 22-Май-26, 11:44
https://www.proxmox.com/en/products/proxmox-datacenter-manag... С выходом datacenter-manager пропало ограничение на 30 нод !
Ответить | Правка | Наверх | Cообщить модератору

	11. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от theDolphin (ok), 22-Май-26, 12:50
	Ограничение в 30 нод - это ограничение corosync, которому нужна низколатентная связь full mesh. И это даже не ограничение, а рекомендация. Я запускал PVE на 50+ серваках выделив бекбон отдельную сеть. Интересно, как они порешали этот вопрос.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от ентакусик (?), 22-Май-26, 22:58
	Судя по упоминанию PDM путем распила кластера на несколько поменьше
	Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
Сообщение от Аноним (10), 22-Май-26, 14:36
>добавлены инструменты для создания, редактирования и удаления собственных моделей виртуальных CPU Для многоядерных камней будет польза: https://servernews.ru/1130635
Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+2 +/–
Сообщение от Аноним (55), 22-Май-26, 18:00
Для тех, кто в танке по сетям дам несколько уточнений из оригинального Changelog, чтобы всем стало понятно, что Proxmox развивается в отличие от всякого oVirt и иже с ним. 1. Они пошли правильным путём в первую очередь добавляя и отлаживая eBGP-процесс в SDN! При большом масштабировании на локации с несколькими датацентрами укладывать один PoD в одну AS с iBGP вы прочитаете это как лучшую практику. На деле у вас проблемы масштабирования iBGP в связке с SDN и зависимость от вендоров коммутаторов, поэтому начинать именно с eBGP - мудрейшее решение. 2. Поддержка IPv6 Underlay для контроллеров EVPN - это ещё одна форма сетевого экстаза. Фактически это означает, что можно взять Mellanox Spectrum Switch с Cumulus Linux на борту и настроить всё стандартыми настройками да еще и сразу с RDMA QoS! Поймите, обмен соседством через IPv6 Route Advertisement на eBGP-процессе делает конфигурацию и сопровождение конвергентной фабрики тривиальной задачей. 3. FRR! Везде стоит FRR, значит есть тонна физических адаптеров вроде Mellanox и Chelsio, которую львиную долю операций по eBGP переложат на ASIC сетевого адаптера. Судя по тому как именно идёт сетевое развитие Proxmox, я категорически рекомендую ставить Juniper, Mellanox или Arista в качестве основы сетевой фабрики. Cisco же наоборот будет мешаться под ногами. А ну и комментатор выше уже написал, что они работают над гиперкластеризацией... Proxmox не хватает всего-навсего: - нормального открытого высокоскоростного Storage-решения с поддержкой горизонтального масштабирования (нет это не Ceph) - конфедеративного L2 внутри SDN, чтобы можно было растянуть VXLAN между парой PoD-ов. - блочной репликации поверх L3, которая позволит растягивать некоторые кластеры на 2 PoD - и нормальной реализации NFS, но это уже проблема Linux в целом, потому что нет в нём pNFS-сервера на уровне ядра, такими успехами они скорее на SMB перейдут в своём Linux - NUMA-aware кластерные планировщики, опять же... поэтому современные редакции OpenStack рекомендуют Kubernetes вместо Corosync/Pacemaker кластеризации - ни у профили оборудования им надо сертифицировать, чтобы учить сервис-инженеров правильно серваки под Proxmox собирать
Ответить | Правка | Наверх | Cообщить модератору

	61. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от Ширламырла (?), 22-Май-26, 19:13
	По п.3 какие операции ebgp можно и нужно перекладывать с cpu на asic сетевухи? Сдается мне что никакие.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 22-Май-26, 22:41
	> По п.3 какие операции ebgp можно и нужно перекладывать с cpu на > asic сетевухи? тоже не пойму. Наверное отстал за десять лет от прогресса, но мы подпирали свой bgp bfd не потому что процессоры не успевали за всего лишь внутренними маршрутами в изолированных AS, а потому что протокол писали когда маршрутизаторы были большими.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Ширламырла (?), 22-Май-26, 23:44
	Ну как бы эта... Bfd это про быстрое обнаружение отказа линка до соседа. А bgp про держание в башке маршрутов, их всяко-разно фильтрации и всяко-разно отдаванию и приниманию. Ну да, ну да. Вычислению там. Короче. Bgp это по сути приложуха, которой надо ЦПУ и ОЗУ. И чем больше, тем лучше. Но я не пойму как сие уйдет в сетевуху? Если только она не совсем спецушная, т.е. по сути комп в компе. Есть уже такие. Но очень сильно нишевая вещь. Кому это и правда надо, тот знает где брать и с чем есть.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 23-Май-26, 21:05
	> Ну как бы эта... Bfd это про быстрое обнаружение отказа линка до > соседа. да. потому что тормоза bgp - они именно тут. Его придумали во времена линков 9600 и он крайне медленно реагирует на внешние явления - и так и было задумано. А начнешь трогать таймауты - рискуешь развалить сходимость вообще (т.е. оно начнет волнами ходить), как одни не будем показывать пальцем, узбеки. Поэтому - bfd, чтоб если пакетик (с сабсекудными таймингами) потеряли - тут же начинать перестраивать карту маршуртов. > отдаванию и приниманию. Ну да, ну да. Вычислению там. Короче. Bgp > это по сути приложуха, которой надо ЦПУ и ОЗУ. И чем не, не надо. мы не fullview крутим. Какая бы громадная у тебя ни была сеть - ее bgp ТОЧНО не в это упрется. > Но я не пойму как сие уйдет в сетевуху? Если только она > не совсем спецушная, т.е. по сути комп в компе. Есть уже они современные все такие и есть, но нет смысла именно эту фичу туда перекладывать.
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Аноним (55), 23-Май-26, 02:08
	https://www.nvidia.com/en-us/networking/products/data-proces.../ https://docs.nvidia.com/doca/sdk/doca-hbn-service-guide/inde... > Сдается мне что никакие. Вообще весь eBGP edge c маршрутизацией, IP-маршрутизацию и логику ECMP в том числе сам EVPN. То есть оставить на самом хосте только анонс своих префиксов Я понимаю, что многие упустили эту часть истории "развития" Linux Давным-давно, когда производители сетевых адаптеров и сетевых стеков разных ОС и коммутаторов решали вопрос, как им ускорять обработку пакетов, операционная система Linux всячески сопротивлялась любым методам разгрузки (Offload). Начинается это всё с TCP Offload Engine и тотального нежелания экспертов отдавать контроль и обработку траффика сетевой карте. При этом из ОС выделялись Windows и FreeBSD, которые наоборот всячески этому содействовали, но одновременно конкурировали за реализацию. При этом часть вендоров сетевого оборудования вроде Intel всячески была на стороне MS, в то время как другие интегрировались с FreeBSD и использовали её же код внутри прошивок. Так как реализация в Windows оказалась неконкурентоспособной и проиграла FreeBSD начиная с 2012 R2 в MS полностью отказались от старой логики Offload Engines и начали вдохновляться и портировать в NDIS наработки FreeBSD. При этом вендоры, которые поддерживали MS сейчас либо перепродались либо перестали функционально обновлять драйверы и держат пару адаптеров, которые годятся разве что как LOM (Intel, например). В это время вокруг идей FreeBSD образовались стандартизирующие комитеты вендоров и всё такое прочее. Linux же - отстающий из-за упрямства. Пока в 2007-ом году им на реальном примере не показали, что даже программное Large Receive Offload снижает паразитную нагрузку и улучшает утилизацию, там не почесались. Вообще всё что есть в Linux по сетям до современного Linux Bridge и OVS/OVN лучше просто выкинуть. Всё стало настолько ужасно, что избрели целый фреимворк DPDK, чтобы приложения, которым нужна быстрая сеть могли управлять datapath в обход ядра Linux. Поэтому в мире Linux первое, что вы хотите сделать - избавиться от того недоразумения, которое там в ядре и переложить на иную реализацию на сетевках. Быстрее и качественнее. eBPF, опять же и политики firewall прекрасно уносятся на современные адаптеры, что угодно лишь бы не netfilter c iptables/nftables. Самое удивительное - это то королевство кривых зеркал, которое представляют из себя "анонимные эксперты" линуксоиды. Для них DPDK - это ноухау, а не способ обхода проблем с ядром. Про разгрузки и оптимизацию производительности сети, особенно datapath мало кто знает. Сетевой стек у них лучший, и дальше по тексту... Реальность же в том, что если вы хотите использовать KVM как основной гипервизор, вам нужно построить сетевую и сторадж инфраструктуру вокруг всего этого от правильных вендоров, чтобы сами виртуалки работали с той производительность, что и например на VMware/Hyper-V
	Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

	85. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Ширламырла (?), 23-Май-26, 21:59
	Судя по описанию люди просто сделали спец.плату. Комп в компе. В начале двухтысячных в роутерах Циско был модуль IDS. Представлял из себя без затей практически плату с процом кажись целерон, памятью и парой сетевух. А внутри был Линукс. Ну сейчас, конечно, времена другие, да. Я это все к тому, что до РФ надобность в сетевухах на 400 и 800 гиг х.з. когда придет. Я наверно уж на пенсию уйду. Дедушка старый. Дедушке все равно.
	Ответить | Правка | Наверх | Cообщить модератору

	94. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Аноним (55), 24-Май-26, 11:45
	В этом и суть современных адаптеров у которых скорости 10G и выше! Контроль receive datapath обязателен на них. Допустим у вас есть бюджетный адаптер 10/25G с двумя портами в сервере виртуализации. Причём у вас их таких должно быть столько же сколько процессоров. В двух процессорной матери 2 адаптера по 2 порта. И допустим у вас какой-то мощный Xeon Scalable в количестве двух штук на этой матери. Если вы не будете настраивать RSS, то вы максимум что сможете развить 14-20G с этих сетевок, хотя должны развивать до 100G. Почему? Потому что процессор а одном потоке столько трафика не прожрёт, даже если он у вас там суперкрутой. Обычные адаптеры 10G+, не такие как BlueField обязаны: - Держать на себе несколько аппаратных очередей, то есть уметь делить свой буфер хотя бы на 8 потоков. - Использовать RSS чтобы мапить эти 8+ очередей на ваши процессорные ядра, чтобы в рамках MSI-X прерывания сразу слать трафик на нужное ядро через PCI Express - уметь LRO/LSO и полностью держать на себе пересегментирование нужных протоколов при смене MTU. То есть внутри шины PCI-Express и внутри я дра ОС MTU должен быть 64000, а на выходе тот который на свитче - все популярные формы инкапусляции траффика VLAN и VXLAN особенно - QoS должен поддерживаться аппаратно на Underlay - RDMA для конвергентной сети, когда у вас есть там же storage-трафик. Это база! В случае с OVN/OVS у вас весь "виртуальный коммутатор" (Linux Bridge) должен там быть вместе с политиками фильтрации и сервис чейнинга, потому что иначе это работает жутко медленно, ведь демоны OVS в юзерспейсе. А роутинг - да, это уже требует крутых адаптеров. Просто VMware и Hyper-V имеют кучу хороших значений по умолчанию и имею сертификацию на оборудование. KVM им не уступает по виртуализации, а уступает по всему остальному. Это как раз тот старый анекдот: "В Linux вы вообще всё можете настроить! И вот ВСЁ вы в нём настраивать и будете." А админы Linux даже базы не знают обычно, мне по долгу службы приходится читать лекции строптивым дедам, которые обзываются и задирают нос, но при этом понятия не имеют, как пользоваться своей любимой ОС.
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 24-Май-26, 16:59
	> Обычные адаптеры 10G+, не такие как BlueField обязаны: > - Держать на себе несколько аппаратных очередей, то есть уметь делить свой > буфер хотя бы на 8 потоков. это допустим везде > - Использовать RSS чтобы мапить эти 8+ очередей на ваши процессорные ядра, > чтобы в рамках MSI-X прерывания сразу слать трафик на нужное ядро это допустим тоже > - уметь LRO/LSO и полностью держать на себе пересегментирование нужных протоколов при первое есть даже в рылотыке, второе лечится фиксацией mtu и запретом что-то тут трогать > смене MTU. То есть внутри шины PCI-Express и внутри я дра > ОС MTU должен быть 64000, а вот так делать как раз не надо - себе дороже выйдет. Ну до 10G включительно точно. > а на выходе тот который на свитче а там у нас 9k и мы не так много потеряем на дополнительном служебном фрейминге. Зато нам никогда не понадобится эти пакеты пересобирать. > - все популярные формы инкапусляции траффика VLAN и VXLAN особенно вообще-то лучше бы наоборот избегать как огня. И с тех пор как сетевой отдел уволили в полном составе, заменив на девляпсов - в принципе стало можно (просто спроектировать сеть так чтобы этот костылинг стал ненужным) > - QoS должен поддерживаться аппаратно на Underlay чтоб от него был хоть какой-то толк - надо уметь красить траффик, а у вас... а у вас линoops и траффик этот - хрен знает чей. > - RDMA для конвергентной сети, когда у вас есть там же storage-трафик. ну ок, но тут мы наконец-то подходим к ключевой проблеме: А у нас - lin00ps. У которого 1. нет софта работающего нормально с numa (поэтому пофиг что сетевуха попыталась передать траффик напрямую в память привязанного к ней ксеона - мы теперь пойдем еще раз его перекладывать через межпроцессорную шину), поэтому все кроме lro идет в пень, принося нам только мелкий процент от того что должно 2. в любой момент может прибежать oom-killer и бросить гранату в зал. Поэтому вся "гиперконвергентность" тоже идет лесом, и мы городим изолированные любым способом сторадж и cpu nodes раздельно (а потом снова спрашиваем - ичотакмедленно-то?! И "А чо оно столько жрет?!") > Это база! вот поэтому я ставлю тяжелые линуксные серверы - поверх а не вместо vmware. Пока еще можно. Потому что даже отдать ему хост целиком - будет надежнее чем надеяться что оно само заведется на современном железе (к тому же никто разумеется не будет искать суперуникальное оптимизированное именно под lin00ps а потом годами ловить его глюки) Это мы еще про зоопарк фс и их умение работать с нормальными дисками не вспомнили. А сертификация у наших серверов есть... под ubuntu16. Все правильно написано - даже 18ю (которая на два года постарше будет, чем сами железки) ты на них уже просто так не поставишь - при установке отвалится жо...консоль.
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Аноним (55), 25-Май-26, 00:06
	>> ОС MTU должен быть 64000, >а вот так делать как раз не надо - себе дороже выйдет. Ну до 10G включительно точно Это для 10G+ в условиях хоста виртуализации, когда весь трафик идёт из виртуалок/контейнеров и яростно инкапсулируется в какой-нибудь VXLAN. > просто спроектировать сеть так чтобы этот костылинг стал ненужным Верно, если она у вас спроектирована как IP-фабрика, причём во всех стойках/парах стоек у вас фиксированный набор одних и тех же VLAN, с разницей до IP-префикса, а поверхних вы стаивте OVN, то как раз можно. Опять же, елси нет контейнерных сред или виртуализации - бессмысленное занятие. Там же история с покраской траффика, она красится на VLAN. > А у нас - lin00ps.... Здесь спорить не возможно. До сих пор всё что по гиперконвергентности не работает, а единственный numa aware планировщики развиваются только в мире Kubernetes. В дистрибутивах вообще ничего нет, голяк, и Proxmox в этом смысле тоже бесполезен. Они почему все в "девпсов" начасли превращаться. А вот почему: 1. Ставим Melanox 2. Суём в Kubernetes CNI производства NVIDIA 3. Настраиваем планировщики, которые там уже появились 4. Кладем kubevirt в контейнеры 5. Включаем Multiqueue и RSS внутри 6. NVIDIA всё сделает за вас, знайте только ямлики красиво писать SR-IOV снаружи и DPDK внутри контейнера тоже работают, если надо совсем ядро вычеркнуть из уравнения. > Это мы еще про зоопарк фс и их умение работать с нормальными дисками не вспомнили. Ну совсем по больному... но вы забыли главное! NFS не работает нормально. В Linux нет возможности использовать pNFS-сервер (только клиент) и нет никакой высокоскоростной реализации NFS вообще, в опенорсах только FreeBSD тащит
	Ответить | Правка | Наверх | Cообщить модератору

	112. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Шырламырла (?), 25-Май-26, 12:27
	Фигня какая-то. Бюджетные 10/25Г они где? На рынке серверных сетевух остались Broadcom, Intel, Mellanox. Расчет окончен. Все они умеют примерно одинаковое. Ну да, ну да, Mellanox чуть больше, ну да, ну да, Intel превратился в "сетевухи для тех, у кого денег на нормальное не хватило". Да больше выбирать не из чего. Все брендированное - это по сути сделано на чипах этих трех, слегка доработано напильником для решения некоторых задач и ничего большего в мире нет. И все они умеют RSS, LRO, LSO. Правда с LSO незадача, пришлось срочно изобрести GRO. И все они умеют MSI-X и давно уж. Ну да, 3COM наверно не умеет. Он как Запорожец, ржавый но еще едет на дачу и по грибы. Я вижу что BlueFild-ы за которые вы топите, нишевым решением для GPU-фабрик. Когда нужна высоченная скорость, низкая задержка, гиперсвязность. Свести все это в классический свитч не получится, будет узкое место - сам свитч, вернее его ЦПУ. Поэтому вычислительную нагрузку переносят на периферию (ближе к серверам), а на свиче остается просто функция быстрой коммутирующей матрицы и все. BlueField - это по сути комп в компе. Дорогое это удовольствие. Поэтому и штука нишевая. Надо это все далеко не всем. Ну и разговор ну получится. Вероятно вы из мира "Феррари", а я из "ширпотребного автопрома". Как-то так.
	Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

	113. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от Alexander (ok), 25-Май-26, 12:36
	я сам не сильно в курсе, так что загнал ваш текст в ИИ, чтобы понять, насколько ваши утверждения справедливы. возможно, другим тоже будет любопытно (сюда ссылки на пруфы не скопировались, но они есть): --- В целом: примерно 30% правды, 70% публицистики и натянутых выводов. Главное, что правда: Linux действительно исторически не принял full TCP Offload Engine в mainline. Причины были не “упрямство ради упрямства”, а безопасность, закрытые firmware/ASIC, сложность интеграции с QoS/firewall/stack accounting, vendor lock-in и риск получить разные TCP-стеки на каждой NIC. Это хорошо отражено даже в Linux Foundation TOE wiki: patches от вендоров были, но их отклоняли. FreeBSD действительно лучше и раньше интегрировался с некоторыми TOE-вендорами, особенно Chelsio; у FreeBSD были проекты/драйверы для TOE, а Chelsio до сих пор активно рекламирует FreeBSD TOE/DDP для 100G. Windows действительно имел TCP Chimney Offload, а потом Microsoft его фактически похоронила: в современных рекомендациях Microsoft прямо пишет не использовать TCP Chimney Offload и IPsec Task Offload, потому что они deprecated с Windows Server 2016 и могут ухудшать производительность. Linux действительно позже и осторожнее относился к некоторым receive-offload техникам. Generic LRO обсуждался/попал в 2007-м; LWN описывает патч как объединение TCP-пакетов для повышения throughput. Где текст сильно врет или передергивает: “Linux сопротивлялся любым offload” — нет. Linux сопротивлялся именно full TOE, но активно использует TSO, GSO, GRO, checksum offload, tunnel offloads, XDP/AF_XDP и прочее. Официальная документация ядра прямо описывает segmentation offloads как часть Linux networking stack. “DPDK изобрели потому что Linux-сеть ужасна” — слишком грубо. DPDK — это kernel bypass для специальных задач: NFV, low latency, high packet rate, userspace datapath. Он обходит kernel stack ради предсказуемой latency/pps, но это не доказательство, что обычный Linux networking “плохой”. OVS-DPDK существует именно как userspace datapath-вариант, а не как универсальная замена ядра. “Первое, что хотите сделать в Linux — избавиться от ядра и переложить всё на NIC” — неверно. Для большинства workloads правильнее начать с обычных Linux-механизмов: RSS/RPS/XPS, IRQ affinity, GRO/GSO/TSO, virtio-net multiqueue, vhost-net/vhost-vdpa, SR-IOV, XDP/AF_XDP, OVS kernel datapath или OVS-DPDK там, где он реально нужен. Full offload на NIC — не бесплатная магия: он усложняет observability, firewalling, debugging, upgrades и failure modes. “Intel держит пару LOM-адаптеров и не обновляет драйверы” — неправда как общее утверждение. У Intel есть актуальные Linux-драйверы для Ethernet 800 Series; публичный ice repo обновлялся в 2026, а kernel docs описывают поддержку XDP и AF_XDP zero-copy. “Windows проиграла FreeBSD и начала портировать FreeBSD-наработки в NDIS” — доказательств такой формулировки я не вижу. Да, Microsoft отказалась от TCP Chimney как deprecated; но “проиграла FreeBSD” и “портировала FreeBSD в NDIS” звучит как авторская легенда без нормальной верификации. Про KVM/VMware/Hyper-V вывод частично здравый, но тоже утрирован. Чтобы KVM давал близкую к bare metal/VMware/Hyper-V сетевую производительность, действительно нужны правильные NIC, драйверы, NUMA, hugepages, virtio/vhost, SR-IOV или OVS-DPDK в отдельных сценариях. Но это не уникальный “налог Linux”: такие же tuning constraints есть у Hyper-V и VMware. Итог: историческое ядро правды есть — Linux rejected TOE, FreeBSD/Chelsio были сильны в TOE, Windows Chimney устарел, DPDK нужен для kernel bypass. Но общий тезис “Linux networking — недоразумение, всё надо выносить на сетевки” — идеологическая гипербола, а не инженерный вывод. ---
	Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

	72. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от WE (?), 23-Май-26, 12:25
	Там ovirt по моему и сказали что развивать не будут, в OpenStack теперь все ресурсы ушли. Но Proxmox хорош как вирутализация для домохозяек, многие даже играют с ними в частное облако.
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

	84. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 23-Май-26, 21:12
	> Там ovirt по моему и сказали что развивать не будут, в OpenStack > теперь все ресурсы ушли. openstack это не совсем Redhat. Ресурсы ушли в попенштифт, но где-то там и застряли с концами. Проблема опенстека что это конструктор сделай-сам в тыще мест доработать напильником. Для даже недомохозяек но не готовых нанять целую стаю разработчиков с очень специфическим бэкграундом (то есть их еще и просто нет в нужном количестве) потому что их бизнес не услуги дерьмохостинга по 150 ре за тазик это неприемлемо. > Но Proxmox хорош как вирутализация для домохозяек, многие даже играют с ними уже не для домохозяек тоже. Потому что вмваре всьо, новые владельцы совершенно не заинтересованы в том чтобы оно жило. Сколько еще вообще протрепыхается как продукт - непонятно. А больше ничего нет. И это на самом деле очень печальный факт.
	Ответить | Правка | Наверх | Cообщить модератору

111. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
Сообщение от ТупойИнженеГр (?), 25-Май-26, 11:47
Так что там эксперты опеннет на данный момент рекомендуют в плане VMM (гиперов виртуалок) ??? На 1-9 железных серваков  -- ?? 10-49 - ?? 50-100 - ?? Про СуперЦОДы вообще говорить не стоит, т.к. кто действительноимеет эти самые СуперЦОДы, не сложно догадатся, что и железо своё с камнями пилит и ОС(пусть и на соснове каких-то проектов) и т.д. Они могут пилить, есть деньги на тысяч или десятки тысяч инженеров разных напрявлений.
Ответить | Правка | Наверх | Cообщить модератору

	114. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 25-Май-26, 12:44
	> Так что там эксперты опеннет на данный момент рекомендуют в плане VMM дык стырь вмваре, тебе ж разрешили особым указом. Когда сломается - тебя уже там навреняка и не будет. > На 1-9 железных серваков  -- ?? на 1-2 - краденый esxi, на 3+ - 100 - краденый esxi + vcenter + что еще сумеешь понатырить Купить уже не получится. Но они твоих денег особо ведь и не хотят, так что с моральной точки зрения ты чист.
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от ТупойИнженеГр (?), 25-Май-26, 17:30
	Понятно, просто хочется что-то более рабоче-крестьянское. Решения вмваре очень достойные, опыт есть как в проде, так и в тесте. Вот только хоСется что-то более народное, но при этом недорогое, надёжное и функциональное. А Вы по каким-то своим причинам игнорируете решения на базе qemu + kvm ?
	Ответить | Правка | Наверх | Cообщить модератору

	116. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 25-Май-26, 17:55
	> Понятно, просто хочется что-то более рабоче-крестьянское. так пока ты не лезешь в дебри - оно совершенно простое и есть. Просто деревенской бедноте запретили им пользоваться. И по этой же причине - надежное как танк. Тебе ж не нужны ни сложные скрипты, ни чудеса селфсервиса, ни автонастраиваемые сети, просто мышью тык, new vm, next,next,галочку power on after creation, ok. Что может быть проще esxi? А когда начинается "а вот хотим хотя бы перезапуск на соседнем хосте если этот сдох" - то поверх ставится vcenter и... и галочки ровно те же самые на тех же самых местах. > А Вы по каким-то своим причинам игнорируете решения на базе qemu + kvm ? там вон выше целые простыни этих причин. чтоб выкрасить-и-выбросить и пофиг как оно работает - я могу и квм разово запустить. Но мне чаще всего такое как раз и не надо.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема