Если точнее, речь идёт об initrd, который используется в процессе загрузке Linux. Новые патчи, предложенные для следующего релиза ядра Linux 5.8, позволят использовать образ, размещённый непосредственно во флеш-памяти BIOS/UEFI материнской платы. Свободное место  для initrd можно получить, удалив из прошивки, например, Intel ME.

Новые патчи добавляют возможность передать в параметре initrdmem физический адрес и размер initrd, записанного во флеш-память. Такой подход необходим из-за ограничений, связанных со строением UEFI: добавление нового раздела невозможно без пересборки образа прошивки из исходников или написания отдельного драйвера. Так что единственная возможность — прямое указание адреса в памяти.

Новую функцию предлагается сделать опциональной для x86-платформ, а свободное место для initrd можно получить, удалив Intel ME. Автор патча отмечает, что для Intel ME обычно отводится половина объёма набортной флеш-памяти, да и вторая половина может использоваться не полностью, так что из типовых 16 Мбайт может быть доступно более десяти, чего вполне достаточно для initrd. Автор также занимается разработкой coreboot, открытой замены BIOS/UEFI.

Напомним, что в 2017 году в Intel ME (Management Engine) нашли серьёзные уязвимости, которые впоследствии были подтверждены Intel. В качестве одной из основных мер защиты предлагалось отключение части функций или полное удаление компонентов ME из прошивки плат. Соответствующие утилиты были созданы и сторонними разработчиками, и производителями оборудования.

Впрочем, новые патчи пригодятся не только для серверов или, реже, десктопных ПК, но и для одноплатных и промышленных компьютеров — в комментариях к патчу, например, указывается возможность работы на Atomic Pi на базе Intel Atom.

Иметь в своём распоряжении аппаратные ресурсы ПЛИС (FPGA) — всего лишь полдела. Нужно ещё располагать удобными инструментами, позволяющими эти ресурсы задействовать. Компания InAccel предлагает новый способ: использовать возможности ПЛИС-ускорителей с помощью браузера и браузерных приложений.

Один из вариантов ускорителя Xilinx Alveo

Изначально компания Xilinx представила открытый набор библиотек Vitis Library. Он позволял буквально «из коробки» использовать выпускаемые Xilinx программируемые матрицы совместно с уже имеющимися приложениями практически без вмешательства или же с минимальным вмешательством в их код. В список Vitis Library входили библиотеки для обычных вычислений, статистики, линейной алгебры и библиотеки обработки сигналов (DSP), а также ряд специфических библиотек, вроде поддержки машинного зрения и финансовых расчётов.

Веб-браузеры в наше время применяются очень широко. Даже программное обеспечение недавно запущенного космического корабля Dragon 2 использует связку HTML5 + JavaScript, правда, только для интерфейса; системы класса mission critiral всё же написаны на C++.

Компания InAccel решила совместить преимущества современных браузеров с преимуществами ПЛИС. Пока выпущена демоверсия разработанной InAccel технологии, но она уже работает с платами Xilinx серии Alveo.

Новый фреймворк основан на Jupyter Hub, платформе, позволяющей создавать среды для научных задач, работающие в облаке и не требующие процедур инсталляции и поддержки от конечных пользователей. Частью комплекса является Jupyter Notebook, веб-приложение, позволяющее создавать различные документы, сочетающие в себе выполняемый код, уравнения, визуализации и описательные тексты; этими документами можно делиться с коллегами в онлайн-режиме.

С помощью фреймворка InAccel теперь пользователи Jupyter Hub смогут пользоваться всеми преимуществами ПЛИС, такими, как низкая латентность и высокая производительность в специфических задачах. Система способна работать как локально, с использованием плат Alveo, так и в облаке, включая таких провайдеров, как AWS, Azure и Alibaba Cloud. Имеется пробный доступ для тех, кто желает протестировать новую технологию. Полный список библиотек VitAll можно найти на сайте компании.

iXsystems известна Unix-сообществу двумя разработками: FreeNAS и TrueNAS, которые она в марте этого года объединила в под одним брендом. FreeNAS теперь называется TrueNAS CORE. Новый проект под названием TrueNAS SCALE разрабатывался давно и должен заполнить пробел в портфеле программных продуктов iXsystems.

Сам автор системы, Крис Мур, расшифровывает SCALE следующим образом: Scale-out, Converged, Active-active, Linux containers, Easy-to-manage. TrueNAS SCALE ориентирован на конвергентную инфраструктуру и получит горизонтально масштабируемое хранилище, а также возможность работы с контейнерами, что отвечает запросам современных корпоративных заказчиков. 

Да, вместо того чтобы взять за основу FreeBSD, iXsystems выпускает TrueNAS SCALE на базе Debian GNU/Linux и тому есть причина. Несмотря на то, что iXsystems на протяжении многих лет расширяла возможности Jail и виртуализации во FreeBSD, сложно отрицать очевидное — KVM и Linux- контейнеры имеют гораздо более обширную экосистему.  TrueNAS SCALE продолжит продвигать файловую систему ZFS, так как OpenZFS (ZFS On Linux) теперь используется и в обычной TrueNAS.

Очевидно, что новый продукт iXsystems создает определённую конкуренцию Proxmox VE, т.к. предлагает набор схожих функций и базируется на той же ОС Debian Linux. Конечно, Proxmox VE существует уже много лет, признан сообществом и имеет большую клиентскую базу, однако TrueNAS SCALE обещает быть проще в развертывании и управлении и при этом ни в чем не уступать конкуренту.

Будем наблюдать за противостоянием двух систем, возможно, это подстегнет разработчиков быстрее разрабатывать новые полезные функции, а не «почивать на лаврах» прошлых успехов. Исходный код TrueNAS SCALE уже доступен на GitHub и находится в стадии активной разработки. Пока что  iXsystems будет одновременно разивать обе системы и оказывать поддержку заказчикам TrueNAS на базе FreeBSD. А вот от развития десктопного дистрибутива TrueOS компания весной отказалась. 

В России представлена система видеоконференцсвязи (ВКС), построенная с использованием аппаратно-программных компонентов отечественного производства. Решение разработано компаниями МЦСТ (Московский центр SPARC-технологий), TrueConf и «Базальт СПО».

Утверждается, что это первый полностью российский продукт, который будет выпускаться серийно.

В основу созданного российскими разработчиками комплекса положен сервер «Эльбрус-804» с четырьмя 8-ядерными процессорами «Эльбрус-8С», функционирующий под управлением операционной системы «Альт Сервер». Для организации многоточечных видеоконференций задействовано программное решение TrueConf MCU, которое совместимо с различными H.323- и SIP-терминалами, а также с ВКС-инфраструктурой и системами корпоративных коммуникаций Cisco Systems, Polycom, Avaya, Huawei Technologies.

«Создание первой российской ВКС для платформы «Эльбрус» направлено на укрепление технологической и информационной безопасности страны в сферах, где требуется высокий уровень защиты связи и не допускается применение любых иностранных решений», — говорится в заявлении разработчиков.

Ранее, напомним, компания МЦСТ разместила в отрытом доступе руководство для разработчиков, занимающихся созданием, портированием и оптимизацией приложений для платформы «Эльбрус». Это вселяет надежду на то, что в перспективе программного обеспечения для вычислительных комплексов отечественного производства станет намного больше.

Похоже, что пандемия коронавируса никак не затронула европейский рынок ЦОД. Согласно прогнозам консалтинговой компании в области недвижимости CBRE, FLAP-рынки (Франкфурт, Лондон, Амстердам, Париж) достигнут в этом году результата в 200 МВт, что почти не отличается от прошлогоднего показателя, равного 201 МВт.

Thinkstopck / Rudy Balasko

Митул Патель (Mitul Patel), глава отдела исследований ЦОД в EMEA, отметил, что первый квартал был сравнительно «тихим» для облачных компаний — спрос составил всего 26 МВт вычислительной мощности. Но в дальнейшем аналитики CBRE ожидают значительный рост, так как запросы облачных провайдеров на новую ЦОД-инфраструктуру в Европе не уменьшатся. Кстати, CBRE не считает, что Covid-19 несет прямую ответственность за низкие показатели в квартале, полагая, что это скорее связно с особенностями учёта предоставления услуг и сроками ввода новых мощностей. 

По данным CBRE, как минимум 138 МВт дополнительных мощностей уже зарезервировано или будет предложено на рынках FLAP до конца года. Добавим дополнительные сделки, которые наверняка появятся на рынке до конца года, и есть большая вероятность, что рынки FLAP достигнут показателя 200 МВт второй год подряд.

«Возможно, одна из наиболее значительных проблем в нынешних условиях связана со строительством новых объектов и оснащением залов для новых арендаторов, — отметил Патель. — Освоение рынка зависит [от] расширения этих объектов для размещения новых мощностей конечных пользователей, поэтому минимизация любых задержек с программами строительства будет иметь важное значение для общего успеха».

Рынки FLAP в настоящее время имеют общую мощность ЦОД в размере 1699 МВт, прибавив 30 МВт в 1 квартале 2020 года. На Франкфурт и Амстердам приходится более 95 % новых предложений в этом квартале — в основном, благодаря расширению существующих площадок. Доля свободных площадей на рынке FLAP составляет около 21,6 %. Причём в Амстердаме один из самых высоких показателей — 25 %, а в Париже она упала до 12 %, самого низкого уровня за четыре года.

CBRE полагает, что этот показатель не достигнет критического уровня, хотя сбои в цепочке поставок из-за Covid-19 сложно предугадать. Франкфурт является рынком с наибольшим риском потерь в случае появления каких-либо проблем со строительством или поставками, так как он остается самым эффективным рынком в Европе. Наиболее прочные позиции у Лондона — в этом году здесь будет размещено заказов на аренду вычислительных мощностей на 800 МВт — вдвое больше, чем четыре года назад. 

В Амстердаме может наблюдаться некоторый рост в Схипхоле, хотя из-за моратория на расширение, введенного двумя муниципалитетами, дальнейшее развитие выглядит проблемным. Впрочем, CBRE полагает что к концу года мораторий снимут. В Париже рост оказываемых услуг колокейшн ожидается в следующем благодаря вводу в эксплуатацию новых объектов мощностью от 5 МВт.

Тенденции в области облачных закупок также изменились, и всё больше их приходится на крупные компании, которые приобретают целые объекты, способные обеспечить мощность более 15 МВт. Отдельно отмечается приход очень крупных игроков, готовых арендовать 20+ МВт площадки целиком. Ожидается, что их число возрастёт до 9, тогда как в 2019 году их было 4, а в 2018 году — всего 1.

WANdisco и Microsoft объединили усилия для создания собственного сервиса Azure, который позволяет организациям перемещать большие объёмы данных в облако без прерывания бизнес-процессов. В основе платформы WANdisco LiveData Platform for Azure лежит запатентованный механизм Distributed Coordination Engine (DConE), который во время миграции данных обеспечивает Active-Active репликацию без единой точки отказа или узких мест.

С помощью этого механизма из серверов формируется распределённая система, а сами они могут находиться и в одной локальной сети, и за тысчи километров друг от друга. Кроме того, DConE не меняет поведение приложений и обеспечивает прозрачность работы. По словам Дауда Хана (Daud Khan), вице-президента WANdisco по корпоративному развитию, это максимизирует производительность и снижает затраты, обеспечивая согласованный доступ к данным в реальном времени и совместную работу в глобально распределённой организации. 

В результате такая система позволяет осуществлять миграцию данных в облака в петабайтном масштабе без прерывания работы ПО, чего практически невозможно было ранее достичь, отметил Мерв Адриан (Merv Adrian), вице-президент Gartner по исследованиям в области данных и аналитики. Возможность синхронизации означает, что изменение, сделанное на стороне-источнике, пока передача активна, будет зафиксировано и применено на целевом конечном пункте, что позволит бизнесу продолжать обычную работу с обеих сторон: и локально, и в облаке.

«Поскольку объёмы слишком велики для большинства организаций, у них было два варианта: либо дублировать системы, пока вы не закончите (миграцию), либо согласиться с тем, что во время миграции вы не сможете работать, — сказал он. — Таким образом, для многих организаций требование создать ещё одну копию до того, как вы её переместите, а затем переместить, было сложным, трудоёмким, разрушительным, рискованным и дорогостоящим».

Чтобы упростить процесс переноса данных в хранилище Azure Data Lake Storage, WANdisco и Microsoft предоставляют два инструмента: LiveData Migrator for Azure и LiveData Plane for Azure. Согласно WANdisco, эти сервисы автоматически обеспечивают в режиме Active-Active целостность данных локальной Hadoop-системой и Azure Data Lake Storage Gen2. LiveData Migrator for Azure упрощает миграцию данных в Azure Data Lake Storage, используя одно сканирование данных и гарантируя, что любые изменения в источнике отражаются в хранилище ADLS по мере выполнения миграции.

С помощью LiveData Plane for Azure организации смогут обеспечивать согласованность данных между источником и местом назначения, создав настоящее гибридное облако, в котором приложения могут читать и записывать данные, а все изменения будут тут же синхронизироваться. «Это устраняет необходимость большого переключения между средами и устраняет риск потери данных во время миграции», — сообщил Хан.

Национальный научный фонд США выделил Университету Индианы грант на реализацию проекта Jetstream 2, распределённой суперкомпьютерной системы для научных исследований, ИИ и масштабного анализа данных, отличительной чертой которой станет дружелюбность к новичкам, не имевших до того большого опыта работы с высокопроизводительными вычислениями (HPC).

Jetstream 2 представляет собой распределённую облачную систему, состоящую из пяти отдельных кластеров суммарной производительностью 8 Пфлопс, расположенных в Индиане, Аризоне, Техасе, Нью-Йорке и на Гавайях. Аппаратная часть представлена процессорами AMD EPYC и ускорителями NVIDIA A100, которые дополняет хранилище ёмкостью 18,5 Пбайт.

Доступ к системе будет осуществляться по облачной модели. Пользователи получат готовый набор из вычислительных ресурсов, ПО и доступа к хранилищу. Собственно говоря, в этом и есть отличие от традиционных HPC-систем: Jetstream 2 максимально использует виртуализацию. В том числе виртуализацию GPU — NVIDA A100 позволяет разделить ресурсы на семь независимых сегментов. Это, как надеются создатели, упростить доступ учёных и исследователей к современным технологии глубокого обучения и искусственного интеллекта. Слоган проекта: «ИИ для всех».

Кроме того, Jetstream 2 сама по себе будет действующей моделью распределённых вычислений, легко расширяемой и реконфигурируемой. Это станет наглядным примером для других институтов и университетов, которые могут объединить свои ресурсы в высокоэффективную и гибкую инфраструктуру.

Jetstream 2 станет наследницей системы Jetstream, запущенной в 2014 году и доступной в рамках проекта XSEDE, которая доказала свою эффективность. Сейчас ресурсы системы используются консорциумом COVID-19 HPC Consortium и направлены на борьбу с коронавирусом.

Борьба с различными уязвимостями семейства Spectre уже приводила к неоднозначным результатам. Даже сам создатель Linux, Линус Торвальдс, с негодованием отметил, что падение производительности на 50% явно не стоит такой «защиты». Речь шла об исправлении STIBP (Single Thread Indirect Branch Predictors) для процессоров с SMT/HT. На этот раз он выступил против включения в ядро Linux 5.8 опции сброса кеша данных L1 при переключении контекста.

Окно внесения различных нововведений в новое ядро Linux 5.8 открывается: так, мы уже писали о том, что эта ветка получит поддержку процессорной архитектуры MIPS R5. Как оказалось, в рамках борьбы с уязвимостями класса Spectre, а также другими потенциальными утечками из кешей, которым ещё нет названия, в ядре 5.8 должна была появиться такая неоднозначная функция, как сброс кеша данных L1 при переключении контекста. К счастью, Торвальдс не одобрил этой идеи и даже назвал её безумной.

Дело в том, что речь идёт не просто о сбросе кеша в действительно требующей этого ситуации. Это функция, позволяющая делать такой сброс по «приказу» любого приложения, причём это приложение в многозадачной ОС, каковой является Linux, будет замедлять не только себя, но и остальные процессы. Для высоконагруженных серверных систем это крайне вредная практика. Кроме того, сам сброс является осмысленной задачей только для процессоров Intel, и Торвальс закономерно посчитал навязывание сброса L1 даже тем конфигурациям, где оно не требуется, плохой идеей.

В своём посте, посвященном этой теме, он прямо заявил, что не желает видеть опции в стиле «я могу заставить делать ядро глупые вещи». Такая опция должна иметь двойное подтверждение. Кроме того, использование SMT делает всю идею практически бессмысленной. Далее Торвальдс отметил, что будет счастлив получить больше информации о том, почему он может быть неправ, но на данный момент он отзывает данную опцию ядра 5.8 по причине «нехватки информации».

За патч со сбросом данных из L1 при смене контекстов отвечает разработчик из Amazon, но пока с его стороны, а также со стороны Intel не поступало никаких комментариев и заверений в том, что этот патч действительно необходим и действительно спасает от реальных угроз. 

VMware — один из признанных лидеров в области технологий виртуализации. Однако так ли уж надёжны все решения этой компании? Группа хакеров Citadelo даёт отрицательный ответ. Некоторые инструменты VMWare на удивление легко поддаются взлому, как это случилось с vCloud Director.

vCloud Director — средство развёртывания облачных систем и управления ими. Оно используется как провайдерами публичных облачных услуг, так и компаниями, создающими «приватные» облака. Взлом такого облака может принести массу ценной для хакера информации. Уязвимость CVE-2020-3956 была закрыта патчем в середине мая, однако прошло не так много времени, чтобы обновление успели произвести все, кто пользуется этим инструментарием.

Сам взлом позволяет получить доступ к внутренней базе данных, включая хеши паролей, повысить уровень привилегий с администратора организации (organization administrator) до практически всесильного администратора всей системы управления (system administrator). Возможна даже модификация страницы входа в vCloud Director для дальнейшего перехвата паролей и другой вводимой пользователями секретной информации.

Как выяснили Томаш Мелихер и Лукаш Вацлавик (Tomáš Melicher and Lukáš Václavík), механика довольно простая. При попытке подставить значение «${7*7}» вместо имени хоста SMTP-сервера в запросе из панели управления vCloud Director они получили следующий ответ системы: «String value has invalid format, value: [49]». Конструкция «${ }» приводит к выполнению её содержимого на стороне сервера, в данном случае это код на Java. 

К счастью, группа Citadelo относится к так называемому «этическому» подвиду хакеров. Ничего вредоносного исследователи не сделали, напротив, они сообщили об этой ситуации VMware, которая 19 мая опубликовала эту информацию вместе с закрывающим уязвимость патчем. Однако пример кода для взлома был также опубликован Citadelo, поэтому тем, кто ещё не воспользовался вышеупомянутым патчем, имеет смысл сделать это как можно скорее.

Все понимают, что истерия по поводу COVID-19 скоро закончится и организации откроют свои офисы и помещения для нормальной работы. Однако и после открытия все равно придется следовать жестким правилам. Чтобы помочь бизнесу отслеживать перемещения людей, проверять температуру, передавать дополнительные данные, компании Cisco, Aruba и Juniper представили новые приложения, использующие аналитику и расширенные возможности беспроводных сетей.

Cisco добавляет приложение DNA Spaces к своей мобильной платформе, которое использует аналитику Wi-Fi для отслеживания абонентов в помещениях в режиме реального времени. Основная идея тут заключается в том, чтобы клиенты могли видеть, сколько людей находится в помещении, чтобы ограничить вход после достижения порогового значения. Такая аналитика позволит спрогнозировать нагрузку на офис, сдвинуть графики уборки помещений, оптимально распределить рабочее время сотрудников.

DNA Spaces состоит из набора технологий Cisco Connected Mobile Experience (CMX) и технологии геолокации, которую в 2018 году Cisco приобрела у July Systems. Поддерживаются беспроводные точки доступа Catalyst, Aironet и Meraki. DNA Spaces может использовать для анализа данных от GPS, Wi-Fi или Bluetooth-маяков, чтобы определять местонахождение пользователя без установки ПО на его устройства. Данные можно использовать для анализа поведения и загруженности помещений в разные периоды времени, выдавая предупреждения при чрезмерной концентрации людей в одной точке.

Еще один новый сервис от Cisco называется DNA Spaces Right Now, он позволяет отслеживать новые устройства, которые находятся в зоне Wi-Fi, показывая на карте, где именно находится устройство. Этот метод гораздо точнее позволяет определить местонахождение сотрудника, чем карта доступа, которая сканируется только на входе в здание. Cisco также добавила сервис IoT Sensor-as-a-Service, который позволяет клиентам управлять устройствами IoT с поддержкой Bluetooth.

Aruba выпускает набор собственных инструментов для работы со своими точками доступа. Технологии по функциям аналогичны решению Cisco. Приложения AiRISTA Flow, CXApp, Kiana Analytics, Modo Labs и Skyfii будут предоставлять различные сервисы для «социального дистанцирования» на основе информации о положении устройств в помещениях. Используя решения от партнеров, Aruba предлагает интегрировать бесконтактные термографические решения со своими голосовыми порталами и контролем доступа.

Juniper не отстает от конкурентов и предлагает свое решение Mist, которое расширяет функции беспроводных точек доступа. Аналитика Wi-Fi и Bluetooth (телефоны, брелоки, маяки) позволяет точно отслеживать местоположение сотрудников, гостей и клиентов.

Как мы видим, многие производители предлагают разнообразные сервисы для слежения и контроля. Истерики по поводу пандемии скоро закончатся, но вот не превратится ли жизнь сотрудников в «цифровой ГУЛАГ»? Ведь однажды введенные ограничения не спешат отменять, а слежение за сотрудниками будет и дальше использоваться, даже когда в этом пропадет необходимость.

В любом случае, ящик Пандоры уже открыт и закрыть его не получится. Просто мы будем жить в новой цифровой реальности, где все больше информации собирается для поведенческого анализа и управления людьми.