Computing power comparison: mainframe versus Intel Xeon

[zVlad]

Я дал многословные обяснения, но я не питаю иллюзий что даже ты до конца понимаешь абсурдность показанных "дыр". Еще раз призываю тебя вдуматься в то что ничего нового это "исследование" не показывает. Все это хорошо известные механизмы и приемы, да, дающие тот результат что был заявлен, но не отвечающие на вопрос как обойти защиту доступа к этим механизмам. Это все равно что дать зашифрованный текст и ключ к нему.

Влад, я видел много ситуаций из серии "не может быть", потому и не делаю поспешных выводов

Что в этой конкретной ситуации ты еще видишь из серии вроде как "не может быть"? Для меня здесь настолько нет никаких сомнений что я даже отказался писать в ИБМ и спрашивать, ссылаясь на найденную тобой инфу, как так? Я просто поставил себя на их место и сам себе ответил на все могущие быть вопросы. В том числе, и главным образом, а почему вы это в корнп не пресекаете, и, например, не удаляете SVC 107? Потому что ответ очевиден: системный программист, имеющий доступ к системе, все это и без SVC 107 сделает, а для не системного программиста (равно как и системного без доступа к системе) SVC 107 просто не существует и точка и это действительно так.
Я ожидал от тебя вопроса как такую возможность, открывшуюся по недосмотру, можно было бы хотя бы вовремя идентифицировать и алертнуть. Утром просмотрел записи в регистрации действий с базой RACF, которую тест ELF.APF модифицирует командой ALTER USER, чтобы эскалацию прав зафиксировать перманентно - запись есть и наверняка есть интерфейс, который можно "подвесить" к процессу генерирующему эту запись так чтобы в реальном времени такие попытки перехватывать и может даже пресекать. И это было бы без обработки терабайтов осуществимо. Я говорю "бы" будучи на 99% уверен.
Есть вещи из "не может быть" доказуемые теоритически и практически на таком уровне поддерживаемые что это именно не может быть, без ковычек.
Я понимаю тебя с тем зоопарком диких животных с которым ты имеешь дело и полностью с тобой согласен. На твоем бы месте я мыслил точно так же бы. Но о том и разговор что есть разные варианты с разными последствиями и возможностями для технологий безопасности.

[zVlad]

Я еще кое что собираюсь проделать на своих системах в свете того что нашел Flash-04.
У нас довольно халатное (традиционно) отношение к доступу к авторизованным библиотекам. Их непозволительно много, по крайней мере. Те аудиты что я привлекался этими вопросами не задавались. Я к завтрему (сегодня времени в обрез) напишу програмку которая просканирует все библиотеки и покажет кто имеет к ним доступ выше чем на чтение. Надеюсь что "простые" програмисты в списке не окажутся, только системные.
Самое важное в этом замысле показать что права в z/OS не отбираются (что можно и забыть сделать), а ДАЮТСЯ, что по нормальному должно исключать несанкционированное "давание" в принципе.
Кроме того есть такой параметр у RACF что позволяет, или запрещает, доступ к ресурсам не имеющим защитного профайла. Т.е. мы забыли выставить защитный профиль. С этим параметром, который давно у всех запрещающий, доступ не будет даваться никому. Тоже самое произойдет если профиль был, но его удалили, по ошибке или намеренно. Для сравнения: байты доступа в Юникс подобных системаx постоянно "сезжают" или их можно изменить и никто про это никогда не узнает.

[zVlad]

Програмку проверки доступа к авторизованным библиотекам я таки успел написать. Как и предполагалось ничего такого чтобы "АХ, блин, черт!" нет. Это уже показатель с учетом нашей халатности. И это тестовая система. Тем не менее я вижу что пора бы начать борьбу с халатностью, и есть повод чтобы наехать на моего теам леад, который надавал ненужных прав некоторым людям из "системщиков", но им это не нужно явно. Надо будет отобрать.

А вот у вас, коллеги с Windows and Linux, такой раскоши на раз-два-три на коленке что-то написать и выполнить аудит доступа к критическому ресурсу нет. И даже если есть то сразу после такого аудита и исправления огрехов вы не можете быть уверены что завтра же все не изменится.

Не согласны? Приведите аналогичный пример аудита контроля доступа к критическому для безопасности ресурсу и обоснуйте что после исправления огрехов они снова появиться не смогут. Ткните меня носом, я буду только рад что узнаю что-то новое. Но боюсь вам это не удастся. По крайней мере у нас, на Wintel serverax, есть scripts которые периодически удаляют аккаунты из "administrators" "неизвестно как" туда попадающие. Flash-04 должен лопатить терабайты, покупая наверняка дорогущие проги, и обосновывая установку новых и новых серверов для этого. И никакой гарантии наверняка у него нет, он даже не верит ни в какие "не может быть", настолько его его же платформа разочаровала и обезнадежила. А у меня все под контролем. Вот!

[mskmel]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм.

Вот это так и осталось без ответа

"The workloads running across 3 Intel servers with 40 cores each (120 cores total) cost $13.7 million compared to z/VM on an zEC12 running 32 IFLs"

Т.е. получается 4 к 1.

"The new IBM z14® offers massive processing capacity with up to 170 user-configurable IFLs on one server."
170IFLs*4=680cores x86 или всего 15 небольших х86 серверов по 44 ядра, 1/3 стойки за 300-500к$.

Ошибся?

[flip_flop]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм.

Вот это так и осталось без ответа

"The workloads running across 3 Intel servers with 40 cores each (120 cores total) cost $13.7 million compared to z/VM on an zEC12 running 32 IFLs"

Т.е. получается 4 к 1.

"The new IBM z14® offers massive processing capacity with up to 170 user-configurable IFLs on one server."
170IFLs*4=680cores x86 или всего 15 небольших х86 серверов по 44 ядра, 1/3 стойки за 300-500к$.

Ошибся?

Хе-хе, оживляем вечную дискуссию.

680 коров - это немного. Например, в одном scale-up сервере (не кластере, эти важно для дискуссии, а в именно одном сервере) от HP (HP Superdome Flex) имеется 32 сокета (при 48 ТБ памяти). Современные Xeon Scalable Platinum имеют 28 коров на сокет. Итого 32*28=896 коров. Пти этом HP позиционирует такой сервер как сервер для mission critical workloads. То есть хорошая аналогия с МФ: scale-up, одна стойка, mission critical, примерно одинаковая память (48 TB у HP Superdome Flex vs 32 TB у МФ), примерно сопоставимая производительность (по mskmel: 896 vs 680 условных попугаев), подобное предназначение - серверы для ИТ (не суперкомпьютеры). Хотелось бы тестбенчей для сравнения. При одинаковой любой мыслимой и немыслимой нагрузке. Хотелось бы, но не можем, ибо данных от МФ нет.

Важный момент - можно сравнивать не только МФ супротив кластера но и МФ супротив подобного scale-up сервера. Сравнение кластера супротив scale-up сервера тоже интересно, но его можно оставить за кадром.

[mskmel]

680 коров - это немного. Например, в одном scale-up сервере (не кластере, эти важно для дискуссии, а в именно одном сервере) от HP (HP Superdome Flex) имеется 32 сокета (при 48 ТБ памяти). Современные Xeon Scalable Platinum имеют 28 коров на сокет. Итого 32*28=896 коров.

Оно то столько коров насовать можно, но бежать одно приложение без партиций будет печально. Superdome это Чудовище Франкенштейна, т.е. HP Не думаю что он как-то заметно хорошо продаётся. Раньше супердомы любили за HPUX, но HP не осилила его портировать на х86 - потому Линукс.

При этом 384 современные коровы в супердоме медленнее чем 256 в POWER7 2010го года разлива. Вокруг себя наблюдаю замену 256 ядерных юникс серверов 120-144 ядерными х86, которые в свою очередь меняются на 4х сокетники. Производительность ядра медленно, но растёт. Количество ядер тоже растёт.

[Flash-04]

Влад, не задавайся. У нас давно ведётся борьба с левыми учетками, и за 10 лет я бы сказал что прогресс впечатляющий. Я уже не говорю про Active Directory для Windows, а про Linux сервера которые таки тоже к нему прикрутили, поэтому на серверах как правило только стандартный набор локальных учёток, а пользователи заходят под своими из AD. Ну и нафига после этого каждый сервер проверять? Все в AD, и для него audit tools - вагон и маленькая тележка. У тебя же один несчастный MF, и если бы ты на нем не мог делать audit, то это было бы как минимум странно.

[zVlad]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм.

Вот это так и осталось без ответа

"The workloads running across 3 Intel servers with 40 cores each (120 cores total) cost $13.7 million compared to z/VM on an zEC12 running 32 IFLs"

Т.е. получается 4 к 1.

"The new IBM z14® offers massive processing capacity with up to 170 user-configurable IFLs on one server."
170IFLs*4=680cores x86 или всего 15 небольших х86 серверов по 44 ядра, 1/3 стойки за 300-500к$.

Ошибся?

Я с самого начала не понял о чем Вы и решил не отвечать. В арифметике Вы не ошиблись, но о чем Ваши арифметические вычисления и зачем они совершенно не понятно.
Сто телег запряженных лошадьми наверное перевезут столько же угля сколько один карьерный самосвал. Цена одной лошади.... а цена карьерного самосвала.... да я лучше куплю 1000 телег! Так что ли?

[zVlad]

Влад, не задавайся. У нас давно ведётся борьба с левыми учетками, и за 10 лет я бы сказал что прогресс впечатляющий. Я уже не говорю про Active Directory для Windows, а про Linux сервера которые таки тоже к нему прикрутили, поэтому на серверах как правило только стандартный набор локальных учёток, а пользователи заходят под своими из AD. Ну и нафига после этого каждый сервер проверять? Все в AD, и для него audit tools - вагон и маленькая тележка. У тебя же один несчастный MF, и если бы ты на нем не мог делать audit, то это было бы как минимум странно.

Речь идет вовсе не только об учетках, но о всех профайлах защищающих все различимые ресурсы.
Если бы в меня был не один мф а много то база данных для всех них осталасьбы ровно одна. Но в ней не только учетки, все правила хранятся и инфорсаются для всех защищаемых ресурсов. И нет никаких локальных профайлов в принципе. Кстати RACF может быть и AD тоже и уже давно.
Но не в одном этом дело. Я просил привести пример ресурса получив доступ к которому можно вломиться в систему и как доступ к такому ресурсу контролируется, аудитируется и гарантируется от несакционированного использования. Сертификаты какие-нибудь что ли? Были ведь вломы когда поменялась программа запускаемая в режиме ядра, но оказавшаяся незащищенной от подмены. Те жи драйверы можно подменить? Почему нет.

[mskmel]

Сто телег запряженных лошадьми наверное перевезут столько же угля сколько один карьерный самосвал. Цена одной лошади.... а цена карьерного самосвала.... да я лучше куплю 1000 телег! Так что ли?

Вы же сами утверждали, что МФ это как раз для большого кол-ва разных задач. 1000 телег как раз для 1000 разных задач лучше. Для развозки посылок 1000 легковушек будет лучше, чем один карьерный самосвал.
Смысл моей арифметики перевести текущие вычислительные потребности в количество нужных МФ. Выходит что если есть 1000 кор из которых 680 нагружено на 100%, то нужен один полностью набитый МФ.

[flip_flop]

Оно то столько коров насовать можно, но бежать одно приложение без партиций будет печально. Superdome это Чудовище Франкенштейна, т.е. HP Не думаю что он как-то заметно хорошо продаётся. Раньше супердомы любили за HPUX, но HP не осилила его портировать на х86 - потому Линукс.

Не знал про Чудовище Франкенштейна, да и вопрос чисто умозрительный, буду знать

Вокруг себя наблюдаю замену 256 ядерных юникс серверов 120-144 ядерными х86, которые в свою очередь меняются на 4х сокетники. Производительность ядра медленно, но растёт. Количество ядер тоже растёт.

Прогресс на марше. Тут некоторые возражали применению 4х сокетников в своё время. Примеры можно, чисто из любопытства?

[Dmitry67]

А сколько у чудовища франкенштейна NUMA nodes?

[flip_flop]

А сколько у чудовища франкенштейна NUMA nodes?

16 для 32 сокетов. Вообще-то именно Flex - скорее SGI чем HP. Так что может быть и не совсем Франкенштейн или же Франкенштейн 2 Некоторые детали: https://www.nextplatform.com/2017/11/06 ... k-makeover . Но если SGI делал более мощные компютеры и позиционировал их как нечто среднее между суперкомпьютерами и компьютерами для in memory database/analytics, то после поглощения SGI, HP делает середнячков и позиционирует их как обычные серверы для IT. Но при этом FLEX развивается быстрее чем их родные Франкенштейны Да и результаты CPU.org тестбенчей для Spec*_rate вполне ничего - рекорды для 32-х и 16-и сокетных серверов.

Всё умозрительно и на основе чтения журналов типа Мурзилок.

[Dmitry67]

А сколько у чудовища франкенштейна NUMA nodes?

16 для 32 сокетов. Вообще-то именно Flex - скорее SGI чем HP. Так что может быть и не совсем Франкенштейн или же Франкенштейн 2 Некоторые детали: https://www.nextplatform.com/2017/11/06 ... k-makeover . Но если SGI делал более мощные компютеры и позиционировал их как нечто среднее между суперкомпьютерами и компьютерами для in memory database/analytics, то после поглощения SGI, HP делает середнячков и позиционирует их как обычные серверы для IT. Но при этом FLEX развивается быстрее чем их родные Франкенштейны Да и результаты CPU.org тестбенчей для Spec*_rate вполне ничего - рекорды для 32-х и 16-и сокетных серверов.

Всё умозрительно и на основе чтения журналов типа Мурзилок.

Я бы предпочел большую ферму из обычных серверов нескольким монстрам
Ибо лишь небольшое количество аппликаций are NUMA-aware, кроме того, при включенном CPU hot plug in VMware не умеет корректно транслировать NUMA-структуру host для guest VM (если есть "большие" VM которые не помещаются на одной NUMA)

[mskmel]

Тут некоторые возражали применению 4х сокетников в своё время.

В пользу чего? 2х сокетников? Не всегда ими можно нужное количество ядер набрать, но и тут прогресс даёт о себе знать

[zVlad]

Тут некоторые возражали применению 4х сокетников в своё время.

В пользу чего? 2х сокетников? Не всегда ими можно нужное количество ядер набрать, но и тут прогресс даёт о себе знать

Прогресс в чем? В латании тришкинного кафтана - кремневой пластинки на которую уже не запихаешь больше элементов?
Это не прогресс. Для прогресса нужны идеи более высокого уровня чем TB-ы, GHz-ы, сантиметры и Gb/sec.
Виртуализация выдохлась и тоже уже себя не оправдывает. Клауды это игрушки для маленьких, хотя в них и из средней группы детского сады (например наша компания) пытаются играть. Поиграют и поймут что это тоже фикция.
Я и намека прогрессa на middle range servers under Windows, and Linux не вижу. Вместо этого вижу затянувшееся топтание на месте перед дверью с надписью "Централизованная обработка" куда с имеющимся багажом протиснуться никак не удается.

[Flash-04]

Влад, ты это серьёзно?

[flip_flop]

Тут некоторые возражали применению 4х сокетников в своё время.

В пользу чего? 2х сокетников? Не всегда ими можно нужное количество ядер набрать, но и тут прогресс даёт о себе знать

Да, тут гуру в сервероприложениях утверждали о большей оптимальноссти двухсокетников.

[flip_flop]

А сколько у чудовища франкенштейна NUMA nodes?

16 для 32 сокетов. Вообще-то именно Flex - скорее SGI чем HP. Так что может быть и не совсем Франкенштейн или же Франкенштейн 2 Некоторые детали: https://www.nextplatform.com/2017/11/06 ... k-makeover . Но если SGI делал более мощные компютеры и позиционировал их как нечто среднее между суперкомпьютерами и компьютерами для in memory database/analytics, то после поглощения SGI, HP делает середнячков и позиционирует их как обычные серверы для IT. Но при этом FLEX развивается быстрее чем их родные Франкенштейны Да и результаты CPU.org тестбенчей для Spec*_rate вполне ничего - рекорды для 32-х и 16-и сокетных серверов.

Всё умозрительно и на основе чтения журналов типа Мурзилок.

Я бы предпочел большую ферму из обычных серверов нескольким монстрам
Ибо лишь небольшое количество аппликаций are NUMA-aware, кроме того, при включенном CPU hot plug in VMware не умеет корректно транслировать NUMA-структуру host для guest VM (если есть "большие" VM которые не помещаются на одной NUMA)

Ожидаемый аргумент. Не знаю, не спорю. Я просто пытался привести примеры того, что и на Xeon имеются монстры типа МФ

[mskmel]

В пользу чего? 2х сокетников? Не всегда ими можно нужное количество ядер набрать, но и тут прогресс даёт о себе знать

Прогресс в чем? В латании тришкинного кафтана - кремневой пластинки на которую уже не запихаешь больше элементов?
Это не прогресс. Для прогресса нужны идеи более высокого уровня чем TB-ы, GHz-ы, сантиметры и Gb/sec.

Технически может и не такой уж большой прогресс, но всё в итоге сводится к деньгам. Если задача в 2000м требовала железа на 40-50млн, то сейчас это 1-2млн. В этом направлении и двигается прогресс.
Также как многоядерность х86, SPARC и т.п. накормила computing demands в 2008-2012, all flash накормили IOPS и GB\sec в последние годы. Сейчас бОльшая задача софту научиться всем этим пользоваться, железо далеко впереди.

Виртуализация выдохлась и тоже уже себя не оправдывает. Клауды это игрушки для маленьких, хотя в них и из средней группы детского сады (например наша компания) пытаются играть. Поиграют и поймут что это тоже фикция.

Как лихо рынок на десятки млрд $ обозвали фикцией. Клауды это возможность конвертировать CapEx в OpEx, возможность существенно уменьшить время from idea to market.
Виртуализация тоже не стоит на месте, наконец то стала отмирать идея VM и двигаются в сторону контейнеров. На этом поле еще пахать и пахать

Я и намека прогрессa на middle range servers under Windows, and Linux не вижу. Вместо этого вижу затянувшееся топтание на месте перед дверью с надписью "Централизованная обработка" куда с имеющимся багажом протиснуться никак не удается.

"Централизованная обработка" на данном этапе развития технологий выполнима для небольшого процента компаний. Возможно на очередном витке прогресса опять к этому вернуться, но вектор движения сейчас в обратном направлении.
Вокруг меня и не было центральной обработки никогда. Что в 90х, что сейчас, даже самые большие железки слишком маленькие, потому изначально всё проектируется с учётом распределённой обработки, и с поправкой на текущие технологии. МФ с "централизованной обработкой" в этой картинке не было последние 25 лет, ибо слишком маленький.

[flip_flop]

Тут некоторые возражали применению 4х сокетников в своё время.

В пользу чего? 2х сокетников? Не всегда ими можно нужное количество ядер набрать, но и тут прогресс даёт о себе знать

Прогресс в чем? В латании тришкинного кафтана - кремневой пластинки на которую уже не запихаешь больше элементов?

Запихиваем. Почитай о законе Мура - он всё ещё работает. Прогресс в микроэлектронике продолжается, равно как и в архитектурах процессоров и в новых IO. Чему много свидетельств, например возрождение АМД из пепла, неплохие Power9, и прочая, прочая.

Это не прогресс. Для прогресса нужны идеи более высокого уровня чем TB-ы, GHz-ы, сантиметры и Gb/sec.

Хе-хе, и где тут высочайший прогресс от МФ? А в серверах х86 появились акселераторы, GPGPU, FPGA, кроме явного прогресса на физическом уровне (да-да, больше ядер, TB, Gbps, BW и пр.)

Виртуализация выдохлась и тоже уже себя не оправдывает. Клауды это игрушки для маленьких, хотя в них и из средней группы детского сады (например наша компания) пытаются играть. Поиграют и поймут что это тоже фикция.
Я и намека прогрессa на middle range servers under Windows, and Linux не вижу. Вместо этого вижу затянувшееся топтание на месте перед дверью с надписью "Централизованная обработка" куда с имеющимся багажом протиснуться никак не удается.

Ха-ха-ха три раза. А как же большие клауды (которые развлекаются тостами за смерть МФ), гиперинтегрированные дата центры и пр? Даже мне, не проограммисту и не сысадмину, об этом известно.

[flip_flop]

Влад, ты это серьёзно?

Кмк - более чем. Поэтому разговор и интересен

[Flash-04]

Я тоже удивлён. Как раз большой прогресс именно в построении распределеных систем которые при правильном подходе и отказоустойчивые. Да, бывают факапы у того же AWS когда что-то легло и потом долго подымается, но я уверен что они учатся на своих ошибках.

[mskmel]

Да, тут гуру в сервероприложениях утверждали о большей оптимальноссти двухсокетников.

1-2х соткеники самые популярные и простые, потому менее глючные. NUMA это костыль, но бывает что нет других вариантов.
Вот тут о "цене" NUMA
https://bdrouvot.wordpress.com/2015/01/ ... roup_name/
https://fritshoogland.wordpress.com/201 ... -and-numa/

[zVlad]

Влад, ты это серьёзно?

Более чем. Ты думаешь иначе? Ты считаешь что все в ИТ в шоколаде, мы идем верным путем в светлое будущие?