ttl25612 дек 2025 в 11:00

Как мы в Yandex Infrastructure разделили инфраструктурную сеть, сохранив связность

Средний

11 мин

8.7K

Блог компании Yandex Cloud & Yandex InfrastructureСетевые технологии * Сетевое оборудованиеIT-инфраструктура *

Ретроспектива

+18

Комментарии 7

izuru_hitachi 13 дек 2025 в 08:01

Спасибо за интересную статью!
Подскажите пожалуйста, обучающемуся, будущему сетевику: есть ли альтернативы FreeBSD на высоконагруженных сетях?

Заметил, что многие крупные компании используют именно эту ОС в роли маршрутизаторов. Понятно, что FreeBSD хорошо оптимизирована для этих целей, но есть ли другие причины? Очень интересно мнение инженеров, которые работают с такими крупными сетями.

Заранее спасибо за ответы!

poige 14 дек 2025 в 08:44

Как сформулировал некто-5.2 (знамо кто!), в нашем с ним обсуждении этой публикации: «… То, что они используют FreeBSD сегодня — это не потому что networking там “офигенный”. Это потому что: … стоимость миграции стала выше стоимости стагнации. … FreeBSD в статье — это организационный артефакт, не технический выбор. …»

ttl256 15 дек 2025 в 15:58

Добрый день. Безусловно, альтернативы есть. Можно построить высокопроизводительное сетевое устройство как на FreeBSD, так и на Linux. Можно даже не строить, а взять вендорское оборудование.

За всех использующих FreeBSD сказать не могу, но наш выбор в пользу FreeBSD обоснован фреймворком фаерволинга, который позволяет держать 500кк правил в рулсете. Для полного погружения рекомендую доклад Бориса Лыточкина "Can you fit 500M of rules into a firewall?" на EuroBSDCon 2024.

poige 16 дек 2025 в 14:21

наш выбор в пользу FreeBSD обоснован фреймворком фаерволинга, который позволяет держать 500кк правил в рулсете …
рекомендую доклад Бориса Лыточкина

— Там нет никаких «500кк» «в ruleset'е». Более того — весь доклад буквально посвящён тому, чтобы впихнуть полиси в manageable ruleset, через таблицы, маркировку и "goto" ([fw]mark, skipto/call).

Скрытый текст

Так что это примерно как загрузить в две PF tables (или nftables sets) миллионы элементов, использовать одну для from, вторую для to, и потом утверждать, что в ruleset'е firewall'а правил 10^12 — просто путая правила и декартово произведение.

Так что да — рекомендую.