Computing power comparison: mainframe versus Intel Xeon

[zVlad]

Я дал многословные обяснения, но я не питаю иллюзий что даже ты до конца понимаешь абсурдность показанных "дыр". Еще раз призываю тебя вдуматься в то что ничего нового это "исследование" не показывает. Все это хорошо известные механизмы и приемы, да, дающие тот результат что был заявлен, но не отвечающие на вопрос как обойти защиту доступа к этим механизмам. Это все равно что дать зашифрованный текст и ключ к нему.

Влад, я видел много ситуаций из серии "не может быть", потому и не делаю поспешных выводов

Что в этой конкретной ситуации ты еще видишь из серии вроде как "не может быть"? Для меня здесь настолько нет никаких сомнений что я даже отказался писать в ИБМ и спрашивать, ссылаясь на найденную тобой инфу, как так? Я просто поставил себя на их место и сам себе ответил на все могущие быть вопросы. В том числе, и главным образом, а почему вы это в корнп не пресекаете, и, например, не удаляете SVC 107? Потому что ответ очевиден: системный программист, имеющий доступ к системе, все это и без SVC 107 сделает, а для не системного программиста (равно как и системного без доступа к системе) SVC 107 просто не существует и точка и это действительно так.
Я ожидал от тебя вопроса как такую возможность, открывшуюся по недосмотру, можно было бы хотя бы вовремя идентифицировать и алертнуть. Утром просмотрел записи в регистрации действий с базой RACF, которую тест ELF.APF модифицирует командой ALTER USER, чтобы эскалацию прав зафиксировать перманентно - запись есть и наверняка есть интерфейс, который можно "подвесить" к процессу генерирующему эту запись так чтобы в реальном времени такие попытки перехватывать и может даже пресекать. И это было бы без обработки терабайтов осуществимо. Я говорю "бы" будучи на 99% уверен.
Есть вещи из "не может быть" доказуемые теоритически и практически на таком уровне поддерживаемые что это именно не может быть, без ковычек.
Я понимаю тебя с тем зоопарком диких животных с которым ты имеешь дело и полностью с тобой согласен. На твоем бы месте я мыслил точно так же бы. Но о том и разговор что есть разные варианты с разными последствиями и возможностями для технологий безопасности.

[zVlad]

Я еще кое что собираюсь проделать на своих системах в свете того что нашел Flash-04.
У нас довольно халатное (традиционно) отношение к доступу к авторизованным библиотекам. Их непозволительно много, по крайней мере. Те аудиты что я привлекался этими вопросами не задавались. Я к завтрему (сегодня времени в обрез) напишу програмку которая просканирует все библиотеки и покажет кто имеет к ним доступ выше чем на чтение. Надеюсь что "простые" програмисты в списке не окажутся, только системные.
Самое важное в этом замысле показать что права в z/OS не отбираются (что можно и забыть сделать), а ДАЮТСЯ, что по нормальному должно исключать несанкционированное "давание" в принципе.
Кроме того есть такой параметр у RACF что позволяет, или запрещает, доступ к ресурсам не имеющим защитного профайла. Т.е. мы забыли выставить защитный профиль. С этим параметром, который давно у всех запрещающий, доступ не будет даваться никому. Тоже самое произойдет если профиль был, но его удалили, по ошибке или намеренно. Для сравнения: байты доступа в Юникс подобных системаx постоянно "сезжают" или их можно изменить и никто про это никогда не узнает.

[zVlad]

Програмку проверки доступа к авторизованным библиотекам я таки успел написать. Как и предполагалось ничего такого чтобы "АХ, блин, черт!" нет. Это уже показатель с учетом нашей халатности. И это тестовая система. Тем не менее я вижу что пора бы начать борьбу с халатностью, и есть повод чтобы наехать на моего теам леад, который надавал ненужных прав некоторым людям из "системщиков", но им это не нужно явно. Надо будет отобрать.

А вот у вас, коллеги с Windows and Linux, такой раскоши на раз-два-три на коленке что-то написать и выполнить аудит доступа к критическому ресурсу нет. И даже если есть то сразу после такого аудита и исправления огрехов вы не можете быть уверены что завтра же все не изменится.

Не согласны? Приведите аналогичный пример аудита контроля доступа к критическому для безопасности ресурсу и обоснуйте что после исправления огрехов они снова появиться не смогут. Ткните меня носом, я буду только рад что узнаю что-то новое. Но боюсь вам это не удастся. По крайней мере у нас, на Wintel serverax, есть scripts которые периодически удаляют аккаунты из "administrators" "неизвестно как" туда попадающие. Flash-04 должен лопатить терабайты, покупая наверняка дорогущие проги, и обосновывая установку новых и новых серверов для этого. И никакой гарантии наверняка у него нет, он даже не верит ни в какие "не может быть", настолько его его же платформа разочаровала и обезнадежила. А у меня все под контролем. Вот!

[mskmel]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм.

Вот это так и осталось без ответа

"The workloads running across 3 Intel servers with 40 cores each (120 cores total) cost $13.7 million compared to z/VM on an zEC12 running 32 IFLs"

Т.е. получается 4 к 1.

"The new IBM z14® offers massive processing capacity with up to 170 user-configurable IFLs on one server."
170IFLs*4=680cores x86 или всего 15 небольших х86 серверов по 44 ядра, 1/3 стойки за 300-500к$.

Ошибся?

[flip_flop]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм.

Вот это так и осталось без ответа

"The workloads running across 3 Intel servers with 40 cores each (120 cores total) cost $13.7 million compared to z/VM on an zEC12 running 32 IFLs"

Т.е. получается 4 к 1.

"The new IBM z14® offers massive processing capacity with up to 170 user-configurable IFLs on one server."
170IFLs*4=680cores x86 или всего 15 небольших х86 серверов по 44 ядра, 1/3 стойки за 300-500к$.

Ошибся?

Хе-хе, оживляем вечную дискуссию.

680 коров - это немного. Например, в одном scale-up сервере (не кластере, эти важно для дискуссии, а в именно одном сервере) от HP (HP Superdome Flex) имеется 32 сокета (при 48 ТБ памяти). Современные Xeon Scalable Platinum имеют 28 коров на сокет. Итого 32*28=896 коров. Пти этом HP позиционирует такой сервер как сервер для mission critical workloads. То есть хорошая аналогия с МФ: scale-up, одна стойка, mission critical, примерно одинаковая память (48 TB у HP Superdome Flex vs 32 TB у МФ), примерно сопоставимая производительность (по mskmel: 896 vs 680 условных попугаев), подобное предназначение - серверы для ИТ (не суперкомпьютеры). Хотелось бы тестбенчей для сравнения. При одинаковой любой мыслимой и немыслимой нагрузке. Хотелось бы, но не можем, ибо данных от МФ нет.

Важный момент - можно сравнивать не только МФ супротив кластера но и МФ супротив подобного scale-up сервера. Сравнение кластера супротив scale-up сервера тоже интересно, но его можно оставить за кадром.

[mskmel]

680 коров - это немного. Например, в одном scale-up сервере (не кластере, эти важно для дискуссии, а в именно одном сервере) от HP (HP Superdome Flex) имеется 32 сокета (при 48 ТБ памяти). Современные Xeon Scalable Platinum имеют 28 коров на сокет. Итого 32*28=896 коров.

Оно то столько коров насовать можно, но бежать одно приложение без партиций будет печально. Superdome это Чудовище Франкенштейна, т.е. HP Не думаю что он как-то заметно хорошо продаётся. Раньше супердомы любили за HPUX, но HP не осилила его портировать на х86 - потому Линукс.

При этом 384 современные коровы в супердоме медленнее чем 256 в POWER7 2010го года разлива. Вокруг себя наблюдаю замену 256 ядерных юникс серверов 120-144 ядерными х86, которые в свою очередь меняются на 4х сокетники. Производительность ядра медленно, но растёт. Количество ядер тоже растёт.

[Flash-04]

Влад, не задавайся. У нас давно ведётся борьба с левыми учетками, и за 10 лет я бы сказал что прогресс впечатляющий. Я уже не говорю про Active Directory для Windows, а про Linux сервера которые таки тоже к нему прикрутили, поэтому на серверах как правило только стандартный набор локальных учёток, а пользователи заходят под своими из AD. Ну и нафига после этого каждый сервер проверять? Все в AD, и для него audit tools - вагон и маленькая тележка. У тебя же один несчастный MF, и если бы ты на нем не мог делать audit, то это было бы как минимум странно.

[zVlad]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм.

Вот это так и осталось без ответа

"The workloads running across 3 Intel servers with 40 cores each (120 cores total) cost $13.7 million compared to z/VM on an zEC12 running 32 IFLs"

Т.е. получается 4 к 1.

"The new IBM z14® offers massive processing capacity with up to 170 user-configurable IFLs on one server."
170IFLs*4=680cores x86 или всего 15 небольших х86 серверов по 44 ядра, 1/3 стойки за 300-500к$.

Ошибся?

Я с самого начала не понял о чем Вы и решил не отвечать. В арифметике Вы не ошиблись, но о чем Ваши арифметические вычисления и зачем они совершенно не понятно.
Сто телег запряженных лошадьми наверное перевезут столько же угля сколько один карьерный самосвал. Цена одной лошади.... а цена карьерного самосвала.... да я лучше куплю 1000 телег! Так что ли?

[zVlad]

Влад, не задавайся. У нас давно ведётся борьба с левыми учетками, и за 10 лет я бы сказал что прогресс впечатляющий. Я уже не говорю про Active Directory для Windows, а про Linux сервера которые таки тоже к нему прикрутили, поэтому на серверах как правило только стандартный набор локальных учёток, а пользователи заходят под своими из AD. Ну и нафига после этого каждый сервер проверять? Все в AD, и для него audit tools - вагон и маленькая тележка. У тебя же один несчастный MF, и если бы ты на нем не мог делать audit, то это было бы как минимум странно.

Речь идет вовсе не только об учетках, но о всех профайлах защищающих все различимые ресурсы.
Если бы в меня был не один мф а много то база данных для всех них осталасьбы ровно одна. Но в ней не только учетки, все правила хранятся и инфорсаются для всех защищаемых ресурсов. И нет никаких локальных профайлов в принципе. Кстати RACF может быть и AD тоже и уже давно.
Но не в одном этом дело. Я просил привести пример ресурса получив доступ к которому можно вломиться в систему и как доступ к такому ресурсу контролируется, аудитируется и гарантируется от несакционированного использования. Сертификаты какие-нибудь что ли? Были ведь вломы когда поменялась программа запускаемая в режиме ядра, но оказавшаяся незащищенной от подмены. Те жи драйверы можно подменить? Почему нет.

[mskmel]

Сто телег запряженных лошадьми наверное перевезут столько же угля сколько один карьерный самосвал. Цена одной лошади.... а цена карьерного самосвала.... да я лучше куплю 1000 телег! Так что ли?

Вы же сами утверждали, что МФ это как раз для большого кол-ва разных задач. 1000 телег как раз для 1000 разных задач лучше. Для развозки посылок 1000 легковушек будет лучше, чем один карьерный самосвал.
Смысл моей арифметики перевести текущие вычислительные потребности в количество нужных МФ. Выходит что если есть 1000 кор из которых 680 нагружено на 100%, то нужен один полностью набитый МФ.

[flip_flop]

Оно то столько коров насовать можно, но бежать одно приложение без партиций будет печально. Superdome это Чудовище Франкенштейна, т.е. HP Не думаю что он как-то заметно хорошо продаётся. Раньше супердомы любили за HPUX, но HP не осилила его портировать на х86 - потому Линукс.

Не знал про Чудовище Франкенштейна, да и вопрос чисто умозрительный, буду знать

Вокруг себя наблюдаю замену 256 ядерных юникс серверов 120-144 ядерными х86, которые в свою очередь меняются на 4х сокетники. Производительность ядра медленно, но растёт. Количество ядер тоже растёт.

Прогресс на марше. Тут некоторые возражали применению 4х сокетников в своё время. Примеры можно, чисто из любопытства?

[Dmitry67]

А сколько у чудовища франкенштейна NUMA nodes?

[flip_flop]

А сколько у чудовища франкенштейна NUMA nodes?

16 для 32 сокетов. Вообще-то именно Flex - скорее SGI чем HP. Так что может быть и не совсем Франкенштейн или же Франкенштейн 2 Некоторые детали: https://www.nextplatform.com/2017/11/06 ... k-makeover . Но если SGI делал более мощные компютеры и позиционировал их как нечто среднее между суперкомпьютерами и компьютерами для in memory database/analytics, то после поглощения SGI, HP делает середнячков и позиционирует их как обычные серверы для IT. Но при этом FLEX развивается быстрее чем их родные Франкенштейны Да и результаты CPU.org тестбенчей для Spec*_rate вполне ничего - рекорды для 32-х и 16-и сокетных серверов.

Всё умозрительно и на основе чтения журналов типа Мурзилок.

[Dmitry67]

А сколько у чудовища франкенштейна NUMA nodes?

16 для 32 сокетов. Вообще-то именно Flex - скорее SGI чем HP. Так что может быть и не совсем Франкенштейн или же Франкенштейн 2 Некоторые детали: https://www.nextplatform.com/2017/11/06 ... k-makeover . Но если SGI делал более мощные компютеры и позиционировал их как нечто среднее между суперкомпьютерами и компьютерами для in memory database/analytics, то после поглощения SGI, HP делает середнячков и позиционирует их как обычные серверы для IT. Но при этом FLEX развивается быстрее чем их родные Франкенштейны Да и результаты CPU.org тестбенчей для Spec*_rate вполне ничего - рекорды для 32-х и 16-и сокетных серверов.

Всё умозрительно и на основе чтения журналов типа Мурзилок.

Я бы предпочел большую ферму из обычных серверов нескольким монстрам
Ибо лишь небольшое количество аппликаций are NUMA-aware, кроме того, при включенном CPU hot plug in VMware не умеет корректно транслировать NUMA-структуру host для guest VM (если есть "большие" VM которые не помещаются на одной NUMA)

[mskmel]

Тут некоторые возражали применению 4х сокетников в своё время.

В пользу чего? 2х сокетников? Не всегда ими можно нужное количество ядер набрать, но и тут прогресс даёт о себе знать