Log for Ubuntu 台灣社群
可請問一下 PVE(KVM+LXC) & Ubuntu MicroClound (LXC) 那一個優勢會比較好!
* 二者支援chep集群管理
* 介面 & 功能:PVE> Microclound
* MicroClound 的架構&層級比較像 K8s (需至少3個節點才能搭起來)
* 二者支援chep集群管理
* 介面 & 功能:PVE> Microclound
* MicroClound 的架構&層級比較像 K8s (需至少3個節點才能搭起來)
我應該封鎖 ICMP 嗎? (★ 73 分)
網路管理員 經常因為擔心 ICMP (網際控制訊息協定) 具有安全風險,而在防火牆邊界將其一律封鎖。然而 ICMP 並非全無用武之地,它提供了一系列針對網路診斷與正確運作不可或缺的功能,建議僅封鎖真正有風險的類型,而非一概拒絕所有 ICMP 流量。
最常見的 Echo Request 與 Echo Reply (也就是 ping 工具) 允許網管人員快速判斷主機是否可達;在 IPv4 (第 4 版網際位址協定) 環境中,Fragmentation Needed (第 3 類第 4 碼)/在 IPv6 (第 6 版網際位址協定) 環境中,Packet Too Big (第 2 類第 0 碼) 則是 Path MTU Discovery (PMTUD, 路徑最大傳輸單位偵測) 的關鍵元件,協助雙端依據路徑上的最小 MTU (最大傳輸單位) 自動調整 TCP Maximum Segment Size (MSS, 最大分段大小),避免大量封包因超過 MTU 而在路由器被丟棄卻無錯誤回報,否則當這些 ICMP 訊息被阻斷時,連線將無預警地停滯、難以偵錯。
Time Exceeded 訊息 (IPv4 第 11 類第 0 碼/IPv6 第 3 類第 0 碼) 供 traceroute 工具藉由調整 TTL (Time To Live, 存活時間) 逐跳追蹤路由;IPv6 則仰賴 Neighbour Discovery Protocol (NDP, 鄰居發現協定) 及 Stateless Address AutoConfiguration (SLAAC, 無狀態位址自動配置) 的 Router Solicitation、Router Advertisement、Neighbour Solicitation、Neighbour Advertisement 及 Redirect 訊息在網路內部完成位址解析與自動設定。雖然這些 ICMP 類型都非常重要,仍可針對整體流量實施速率限制,以免路由器因大量 ICMP 回應而產生過高的處理負載。
Hacker News 社群中,多位網管與資深工程師指出,系統管理員 若不放行上述必要 ICMP 訊息,經常將 PMTUD 問題歸咎於 ISP,卻忽略自身防火牆設定;實際上,多數電信業者的 CPE (客戶端終端設備) 封鎖 Fragmentation Needed/Packet Too Big 會直接導致設備無法通過認證。一些人建議依來源分級選擇性封鎖,只對不受信任或非必要來源阻擋 ICMP,同時對重要訊息啟動 MSS 夾限 (clamping) 或速率限制,以在安全與可用性之間取得平衡;總體共識是不應一刀切地關閉 ICMP,而是有策略地放行各類重要訊息並妥善管理流量。
👥 43 則討論、評論 💬
https://news.ycombinator.com/item?id=44057219
網路管理員 經常因為擔心 ICMP (網際控制訊息協定) 具有安全風險,而在防火牆邊界將其一律封鎖。然而 ICMP 並非全無用武之地,它提供了一系列針對網路診斷與正確運作不可或缺的功能,建議僅封鎖真正有風險的類型,而非一概拒絕所有 ICMP 流量。
最常見的 Echo Request 與 Echo Reply (也就是 ping 工具) 允許網管人員快速判斷主機是否可達;在 IPv4 (第 4 版網際位址協定) 環境中,Fragmentation Needed (第 3 類第 4 碼)/在 IPv6 (第 6 版網際位址協定) 環境中,Packet Too Big (第 2 類第 0 碼) 則是 Path MTU Discovery (PMTUD, 路徑最大傳輸單位偵測) 的關鍵元件,協助雙端依據路徑上的最小 MTU (最大傳輸單位) 自動調整 TCP Maximum Segment Size (MSS, 最大分段大小),避免大量封包因超過 MTU 而在路由器被丟棄卻無錯誤回報,否則當這些 ICMP 訊息被阻斷時,連線將無預警地停滯、難以偵錯。
Time Exceeded 訊息 (IPv4 第 11 類第 0 碼/IPv6 第 3 類第 0 碼) 供 traceroute 工具藉由調整 TTL (Time To Live, 存活時間) 逐跳追蹤路由;IPv6 則仰賴 Neighbour Discovery Protocol (NDP, 鄰居發現協定) 及 Stateless Address AutoConfiguration (SLAAC, 無狀態位址自動配置) 的 Router Solicitation、Router Advertisement、Neighbour Solicitation、Neighbour Advertisement 及 Redirect 訊息在網路內部完成位址解析與自動設定。雖然這些 ICMP 類型都非常重要,仍可針對整體流量實施速率限制,以免路由器因大量 ICMP 回應而產生過高的處理負載。
Hacker News 社群中,多位網管與資深工程師指出,系統管理員 若不放行上述必要 ICMP 訊息,經常將 PMTUD 問題歸咎於 ISP,卻忽略自身防火牆設定;實際上,多數電信業者的 CPE (客戶端終端設備) 封鎖 Fragmentation Needed/Packet Too Big 會直接導致設備無法通過認證。一些人建議依來源分級選擇性封鎖,只對不受信任或非必要來源阻擋 ICMP,同時對重要訊息啟動 MSS 夾限 (clamping) 或速率限制,以在安全與可用性之間取得平衡;總體共識是不應一刀切地關閉 ICMP,而是有策略地放行各類重要訊息並妥善管理流量。
👥 43 則討論、評論 💬
https://news.ycombinator.com/item?id=44057219
Rocky Linux 10 將支援 RISC-V 架構 (★ 104 分)
Rocky Linux 10 正式宣告支援 RISC-V 架構,此次發行將推出 riscv64gc 架構的映像檔,專門對應 Fedora RISC-V Community 與 Rocky 的 AltArch SIG (Alternative Architecture Special Interest Group) 合作成果,涵蓋 StarFive VisionFive 2、QEMU 以及 SiFive HiFive Premier P550 等平台。此專案秉持上游優先 (upstream first) 策略,已完成多項回送 (backport) 並正積極向上游貢獻,歡迎社群共同啟用新硬體目標與擴充(如 RVA23 指令集擴充),並感謝 RISC-V International、RISE、Rivos, Inc. 及 Fedora 社群的技術與硬體支援。
Rocky Linux 視 RISC-V 為次要架構 (Alternative Architecture),riscv64gc 核心建置失敗不會阻礙其他架構的發行,避免個別架構錯誤延宕整體更新。採用標準 EL10 核心,VisionFive 2 與 QEMU 可開箱即用;SiFive P550 則需仰賴廠商提供的核心,部分功能尚在完善中;至於 Milk-V 與 Banana Pi 等板卡,將待主線支援成熟後再行納入。
隨著 Rocky Linux 10 RISC-V 映像檔與安裝指南即將釋出,社群可透過 Mattermost 平台的 SIG/Altarch 頻道交流意見,並透過 Bluesky、LinkedIn 或 RSS 訂閱專案動態。Rocky Linux 自 x86_64、Arm、PowerPC、S390X 漸進延伸到 RISC-V,此舉標誌著更開放且跨架構的生態系統里程碑,不論用於企業生產環境或開放硬體實驗,Rocky Linux 10 都提供一片天地。
在 Hacker News 討論中,多數讀者認為 Rocky Linux 10 支援 RISC-V 屬於意料之中,因為 Red Hat 先前已於 RHEL 10 (Red Hat Enterprise Linux,紅帽企業版 Linux) 聯手 SiFive 推出開發者預覽;有人讚賞 Rocky 利用上游資源快速推出多板支援,並指出為不同架構維護完整打包與測試基礎設施相當耗時,但未來新增板卡將更為順暢。社群也提到 RISC-V 軟體生態已趨成熟,可先透過 OrangePi RV2 等單板電腦實驗,並期待桌面級與筆電級硬體出現;此外,就非 x86 架構的 Linux 開機流程,主流仍是使用 DT (Device Tree,裝置樹),而 ACPI (Advanced Configuration and Power Interface,進階組態與電源介面) 目前主要應用於伺服器領域,Linux 在 ARM 筆電上亦以 DT 啟動,相較之下 Windows 則仰賴 ACPI。
👥 34 則討論、評論 💬
https://news.ycombinator.com/item?id=44056104
Rocky Linux 10 正式宣告支援 RISC-V 架構,此次發行將推出 riscv64gc 架構的映像檔,專門對應 Fedora RISC-V Community 與 Rocky 的 AltArch SIG (Alternative Architecture Special Interest Group) 合作成果,涵蓋 StarFive VisionFive 2、QEMU 以及 SiFive HiFive Premier P550 等平台。此專案秉持上游優先 (upstream first) 策略,已完成多項回送 (backport) 並正積極向上游貢獻,歡迎社群共同啟用新硬體目標與擴充(如 RVA23 指令集擴充),並感謝 RISC-V International、RISE、Rivos, Inc. 及 Fedora 社群的技術與硬體支援。
Rocky Linux 視 RISC-V 為次要架構 (Alternative Architecture),riscv64gc 核心建置失敗不會阻礙其他架構的發行,避免個別架構錯誤延宕整體更新。採用標準 EL10 核心,VisionFive 2 與 QEMU 可開箱即用;SiFive P550 則需仰賴廠商提供的核心,部分功能尚在完善中;至於 Milk-V 與 Banana Pi 等板卡,將待主線支援成熟後再行納入。
隨著 Rocky Linux 10 RISC-V 映像檔與安裝指南即將釋出,社群可透過 Mattermost 平台的 SIG/Altarch 頻道交流意見,並透過 Bluesky、LinkedIn 或 RSS 訂閱專案動態。Rocky Linux 自 x86_64、Arm、PowerPC、S390X 漸進延伸到 RISC-V,此舉標誌著更開放且跨架構的生態系統里程碑,不論用於企業生產環境或開放硬體實驗,Rocky Linux 10 都提供一片天地。
在 Hacker News 討論中,多數讀者認為 Rocky Linux 10 支援 RISC-V 屬於意料之中,因為 Red Hat 先前已於 RHEL 10 (Red Hat Enterprise Linux,紅帽企業版 Linux) 聯手 SiFive 推出開發者預覽;有人讚賞 Rocky 利用上游資源快速推出多板支援,並指出為不同架構維護完整打包與測試基礎設施相當耗時,但未來新增板卡將更為順暢。社群也提到 RISC-V 軟體生態已趨成熟,可先透過 OrangePi RV2 等單板電腦實驗,並期待桌面級與筆電級硬體出現;此外,就非 x86 架構的 Linux 開機流程,主流仍是使用 DT (Device Tree,裝置樹),而 ACPI (Advanced Configuration and Power Interface,進階組態與電源介面) 目前主要應用於伺服器領域,Linux 在 ARM 筆電上亦以 DT 啟動,相較之下 Windows 則仰賴 ACPI。
👥 34 則討論、評論 💬
https://news.ycombinator.com/item?id=44056104