"הר" פתרונות האבטחה שאינו רלוונטי כל כך

שמענו לאחרונה את מה שהתרחש אצל חברת שירביט (הפריצה שאירעה לתשתית של חברת הביטוח. כיום נודע שהפורצים החליטו לחסוך לעצמם את כל עניין הצפנת המידע עם תוכנת כופרה, והם (הפורצים) החליטו ישר ללכת לסחיטה: 50 ביטקויינים או שהם מפיצים/מוכרים את המידע).

אפשר לצקצק בלשון ואפשר לתהות על ההתנהלות של חברת שירביט בכל הנוגע לאבטחת מידע והגנה על התכנים, אך לפחות ממספר שיחות עם חברים ועמיתים – לא מעט ארגונים גדולים חשופים לא פחות ממה ששירביט היו חשופים לפריצות, ולצערי הרב, עדיין התפיסה של "יש לנו חומת אש, WAF, IPS/IDS, אז אנחנו מוגנים" – שולטת באותם ארגונים.

המציאות פשוטה: גם אם תקים "הר" של Appliances לצרכי אבטחת מידע בכדי להגן על חדירה מבחוץ, הפורצים יכולים לעקוף את כל ההגנות הללו עם פעילות Phishing וכניסה למערכת עם פרטים גנובים. חשוב לזכור: הנקודה הכי חלשה ברוב הארגונים – היא המשתמשים, ולא יעזרו חידודי נהלים לא לפתוח לינקים, לא להוריד/להריץ קבצים במייל וכו' מהסיבה הפשוטה ביותר: אם משתמש קיבל מייל Phishing והוא הזין בו פרטי חיבור אמיתיים, ברוב המקרים הוא לא ירוץ למחלקת IT או אבט"מ לספר על כך. אחרי הכל, מדוע לו לחטוף על הראש? עדיף להפעיל ראש קטן ולהתעלם מכך.

הנקודה הכי חשובה בכל הסתכלות על אבטחת מידע היא Zero Trust. לא לתת שום Trust בין אם מדובר בתקשורת מבחוץ פנימה או בין שרתים או בין מכונות דסקטופ לשרתים. אחרי הכל, אם מאן דהוא הצליח להשיג פרטי גישת VPN למערכת שלכם, מהרגע שהוא מתחבר, הוא נמצא בתוך התשתית של החברה, גם אם יש לו הרשאות מוגבלות (גם עם הרשאות מוגבלות אפשר ליצור נזקים גדולים). יקח לחברה זמן להבין שהפורץ משתמש בפרטי גישת VPN שנגנבו בפעולות Phishing ממשתמש לגטימי, ומאותו רגע שהפורץ מחובר, גרימת הנזק היא פנימית, ה-Firewall וה-WAF שלך לא עוזרים במאומה באותו זמן – וכאן, כדאי לזכור, פורץ חכם לא יחפש לגרום מיידית נזק, אלא יחפש בתשתית נקודות חולשה או תשתית "צדדית" שעליה הוא יכול להתקין את ה-Payload ורק לאחר מספר ימים להפעיל זאת ולהתחיל לגרום נזק/להצפין תוכן או להעביר תכנים.

ישנם דברים שניתן לעשות בעלות לא גבוהה בתשתית החברה. חלק מהרעיונות ישמעו אולי כ-לא קונבנציונאליים בארגונים מסויימים, אבל אני עדיין ממליץ לחשוב עליהן ולא לפסול אותן מראש:

  • להיפטר מסיסמאות: סיסמאות היו ויהיו – מקור לאחד מכאבי הראש הגדולים, כולל כל ה-Policies ליצור אותם, החלפתם וכו'. גם במיקרוסופט ובחברות תוכנה אחרות הבינו זאת מזמן והם מציעים פתרונות שונים המבוססים על טביעת אצבע, Windows Hello, מפתחות כמו Yubikey של Yubico (או Tian של גוגל, ויש גם מפתחות המבוססים בכלל על קוד פתוח כמו Solokeys). בנוסף, שימוש במפתחות מאפשר להשתמש בהצפנות שונות (נתמכות בעיקר ב-Yubikey) ויחסית די קל להטמיע את הפתרונות בכל מערכות ההפעלה.
  • הצפנת תכנים: הסיוט הכי גדול לחברות מבחינת אבטחת מידע, הוא גניבה ו/או הצפנה באמצעות כופרה של המידע, וארגונים גדולים מאוד (חברות כמו קאנון, אוניברסיטאות, בתי חולים ועוד) חוו את הסיוט ונזק משמעותי נגרם לאותם ארגונים. אחד הפתרונות שניתן לבצע הוא הצפנה של רוב התכנים החשובים, וביצוע Decryption דרך Gateway שאליו מחוברים מספר מצומצם של משתמשים. ניתן לדוגמא לבצע זאת בעזרת הקמת LUN שיחובר למערכת לינוקס וירטואלית. מערכת הלינוקס תבצע encryption/decryption עם כלי כמו LUKS-2 או בכלים אחרים, ושיתוף (לאחר decryption) עם SAMBA. אפשר להתגונן נגד כופרה תוך שימוש ב-snapshots (במכונת הלינוקס בשימוש LVM).
  • ביצוע Snapshots – באופן עקרוני, Snapshots ברמת File systems לא אמורים לצרוך כמות משאבים גדולה ליצירה ולכן מומלץ ליצור Snapshots בפתרון האחסון ל-File systems בצורה תכופה מאוד (כל שעה לדוגמא, ובמקרים חשובים כמו הנח"ש – כל מחצית שעה). כך, אם ישנה התקפת כופרה, ניתן לשחזר מה-Snapshot במהירות במקום לשחזר מקלטות.
  • Pen testing הוא פתרון חלקי שלדעתי אינו מספק: לצערי לא מעט ארגונים וחברות שוכרים מישהו מחברה שיבצע בדיקות (Penetration testing), ורובם גם משתמשים באותם כלים וב-Kali Linux (מתי אנשים יבינו ששימוש ב-Kali Linux הוא "אות קין" שלמשתמש אין הבנה רצינית בלינוקס? כל הפצת לינוקס כוללת את כל הכלים הדרושים!) כדי לבצע את הבדיקות, ובמתודה זו הבדיקות והסריקות פשוט אינן מספקות את התשובה המלאה.
    בדיקות הקשחה וחדירה זה לא רק שימוש בכלים כמו nmap, nessus ו-1001 כלים נוספים, אלא לימוד כל המערכת ועבודה בצוות כדי לחשוב על נסיונות חדירה מכל מערכת שרצה בארגון, חולשות שקיימות לכל שרת, לכל Appliance ולכל ציוד (במיוחד ציוד ישן שאין לו עדכונים כבר מספר שנים – ציוד כזה מומלץ להחליף כמה שיותר מוקדם), מי הם האנשים בחברה שפעולות Phishing עליהם יכולות לגרום נזק מהותי, היכן ניתן לעצור או להאט דליפת מידע אם גורם כלשהו הצליח לפרוץ, האם יש עצירה אוטומטית של תעבורת Upload ל-IP שאינו white listed לאחר כמה מאות מגהבייט לדוגמא (כשהפורץ מנסה לגנוב כמה שיותר קבצים), ובקיצור – הכלים הם רק חלק קטן מהעבודה, ודרוש צוות רציני כדי לנסות לפרוץ (מבלי להגביל את הצוות, אבל עם הנחיה לגבות את הכל ולרשום כל גילוי ושינוי) ולא מישהו שהקים Kali Linux על מכונה וירטואלית ומכיר כמה כלים.
  • "קמצנות כרונית" של הרשאות: תופעה שקיימת בכל ארגון – עודף הרשאות שניתנו למשתמשים שונים, הרשאות שנפתחו "זמנית" ונשארו פתוחות או הרשאות שנפתחו ברמת worldwide (בלינוקס/יוניקס זה מוכר כ-777) בגלל שמישהו התעצל לחפש בגוגל ולקרוא איך מגדירים הרשאות בלינוקס. מאוד מומלץ לבצע אחת לחודש או לתקופה לעבור על כל ההרשאות (גם הרשאות מקומיות!) ולצמצם את ההרשאות. אם רוצים להשתמש לדוגמא ב-passwordless ssh, יש להגביל את החיבוריות להרצת פקודות מסויימות, כניסה מכתובות IP מסויימות, ועוד.
  • עדכוני תוכנה ללא תאריכון: אחת הבעיות שכתבתי לגביה שוב ושוב בבלוג זה – מנמ"ר מחליט שעדכונים יהיו אחת ל-X חודשים ותו לא. לך תסביר לאותו מנמ"ר שחולשות אבטחה מתגלות כל הזמן ויש לא מעט מקרים שיש צורך דחוף בהתקנת עדכונים, אחרת התשתית חשופה. דוגמא פשוטה: אם אתם משתמשים ב-vSphere, האם עדכנתם את הטלאי הדחוף הזה?

לסיכום: לפעמים יש צורך בשינוי הגישה והמחשבה על אבטחת התשתית והארגון. הגנה "מבחוץ" כבר לא נותנת כיום פתרונות לנסיונות הפישינג והפריצה, וברוב המקרים הפריצה בכלל תגיע מנסיון פישינג למשתמש וכשהפורץ ישתמש בהרשאות המשתמש מתוך הארגון, או אז תחל ה"חגיגה" ולכן אולי כדאי לחשוב על הדברים בצורה מעט שונה.

מה הקטע, אינטל?

במהלך השנים, יצא לי, כיועץ עצמאי, להשתתף בפגישות בחברות שונות כמראיין באספקט היותר "גיקי" כשמראיינים נציג של חברה לגבי מוצר או לגבי מועמד למשרה טכנית חשובה. בדרך כלל הציפיה ממני במהלך הישיבה, היא להיכנס טיפה לעומק למושגים הטכניים או לשאול שאלה קצרה טכנית שתבדוק את הידע של הנציג לגבי המוצר או המועמד לגבי הידע שברשותו. הנציגים או המועמדים המועדפים עליי הם אלו שיודעים לספר מה הם עשו, באלו אתגרים הם עמדו, והכי חשוב – כמה שפחות ריכולים על המתחרים. יש כאלו, לפעמים, שמגיעים, רק כדי ללכלך על אחרים כמה הם גרועים וכמה הם עצמם הרבה יותר טובים (למרות שהם לא ממש מצליחים להוכיח בראיון במה הם יותר טובים)

בימים האחרונים נראה כי באינטל החליטו ללכת בדיוק בשיטה של הלכלוך.

תזכורת קצרה: בשנה שעברה הכריזה AMD על סידרת מעבדי Ryzen 4000 למחשבים ניידים בדרגות שונות. למעבדים הללו לא היה את כל ה"בלינג בלינג" שאינטל כה טורחת לציין (כמו AVX512) אבל מה שכן – מעבדים אלו נתנו ביצועים טובים, הן בחיבור לחשמל והן מהסוללה, כולל אורך חיי סוללה טובים, והסוקרים היללו את המעבדים וחלק גדול מהמחשבים הניידים הללו. הפתרון של אינטל באותו זמן למעבדים הללו – היה פתרון שקיבל ביצועים נמוכים יותר כמעט בכל מבחן סטנדרטי. נוסיף את ההתלהבות הן של היצרנים והן של הרוכשים, ונגלה כי AMD הצליחה לכבוש נתח שוק לא קטן משוק המחשבים הניידים תוך מספר חודשים, וזה אף הגיע למצב שיצרניות יצרו דגמים חדשים שכלל לא תוכננו מראש – כדי לעמוד בדרישות שהשוק פתאום הציב.

לפני מספר חודשים הציגה אינטל את מעבדי ה-Tiger Lake שלהם למחשבים נייידים (ליתר דיוק: הציגו רק חלק, את החלק השני של מעבדים עם 8 ליבות החברה לא הציגה עד היום, משום מה). מבחינה טכנית, המעבדים הללו הם מעבדים די טובים והיה צפוי כי אינטל תתרכז בהצגת יכולות ויתרונות מעבדים אלו בהשוואה למעבדים למחשבים ניידים מדור קודם של החברה … אבל זה לא קרה. במקום זה, במשך שעה וחצי הרצו הנציגים על החסרונות של מעבדי Ryzen במקום להשקיע את הזמן בהצגת היתרונות של מעבדי החברה. בנוסף, אינטל הצהירו כי מבחני ביצועים סטנדרטיים זה דבר פאסה ואילו מבחנים "אמיתיים" – הם הם הדבר… כמו להמיר קובץ PPT ל-PDF. אתם עושים את זה 20 פעם ביום, לא??

התקשורת עשתה מה שהיא אוהבת לעשות במקרים כאלו: רובם פשוט התעלמו מההרצאה והלכו לבחון ולפרסם תוצאות סקירות על מעבדים אלו, ובחלק מהמקרים הפרסומים היו מוגבלים מראש, כאשר אינטל הכתיבה לסוקרים כי יש לבחון את המחשבים הניידים עם המעבדים החדשים רק כשהם מחוברים לחשמל, ואין לציין כי המעבדים החדשים צורכים בממוצע פי 2 חשמל בהשוואה למעבדי ה-Ryzen 4000U של AMD. גם איסורים אלו במהלך הזמן נעקפו והראו שבסופו של דבר, וגם כאן, ברוב המקרים הפתרונות של AMD – עדיין מובילים, במיוחד שאתה צריך עבודה של ליבות מעבד.

חלפו מאז מספר חודשים, כולם שכחו מכך, עד … הימים האחרונים, בהם אינטל הציגה תיאוריית קונספירציה חדשה: המעבדים של AMD במחשבים הניידים "מרמים" את המשתמש, ובשימוש סוללה ללא הזנת חשמל מהקיר, המעבדים מתחילים לתת ביצועים גבוהים כשהם נדרשים – רק לאחר 10 שניות! והנה הוכחה לדוגמא:

מה אנחנו רואים בגרף לעיל? (אפשר ללחוץ עליו להגדלה) – הגרף מראה כי מעבדי ה-Ryzen 4000 למחשבים ניידים, משהים את עליית המהירות ב-7-10 שניות כשהם אינם מחוברים לחשמל (הגרפים הצהובים) לפני שהם מעלים את המהירות בפועל וכתוצאה מכך, הביצועים הגבוהים "מעוכבים" ב-7-10 שניות כשהמשתמש לא מחובר לחשמל!

אכן קונספירציה! קראו לרודי ג'וליאני ונארגן תביעה יצוגית נגד AMD!

בפועל, אם המהנדסים של אינטל היו טורחים לשוחח עם המהנדסים של יצרני המחשבים הניידים, הם היו מגלים כי AMD מציידת את היצרן עם רשימת מסמכים גדולה, כולל לא מעט מסמכים והמלצות לגבי חסכרון בחשמל ופרופילים ש-AMD בנו במערכת ושהיצרן יכול להפעיל או לכבות או לכתוב פרופיל משלו. עניין ה-7-10 שניות ידוע לכל היצרנים והם דווקא מאוד אוהבים זאת ומפעילים כברירת מחדל את הפרופיל הזה, ואפשר להבין אותם: אם המשתמש נמצא בחוץ ואין לו שום נקודת חשמל באזור, האם הוא יסכים לביצועים מופחתים תמורת זמן סוללה יותר ארוך? אני לא מכיר אחד שיאמר "לא", במיוחד שאם הוא מתעקש על הביצועים היותר גבוהים – הוא יקבל אותם גם כך לאחר מספר שניות. הפתרון המתחרה של אינטל, אגב, הוא "להזניק" את ביצועי המעבד בצורה מיידית, מה שגם מביא לאחר מספר שניות את המעבד לנקודת חום של 97-99 מעלות, מה שמעביר את המעבד למצב Throttle ומפעיל מאווררים ברעש של מנוע סילון קטנטן למשך כמה דקות עם ביצועים יותר נמוכים עד שהמעבד יתקרר. תשאלו את משתמשי אפל על כך.

יצא לי לצפות במצגת של אינטל, ויש לי לא מעט השגות לגבי ההתעלמות ממתודות בדיקות סטנדרטיות לטובת בדיקות נישתיות (במקרה הטוב), כמות המחשבים הניידים שנבדקה, עומק הבדיקות ועוד, אך אינני חושב שכדאי להיכנס לכך. אינטל היא יצרנית מעבדים מעולה שפספסה פה ושם ואני בטוח שהיא תוציא מעבדים חזקים בהמשך (כבר במרץ הקרוב לדסקטופ ותכריז על מעבדים חדשים למחשבים ניידים בתערוכת CES הקרובה), אך אינני חושב שלכלוך על המתחרה הקטן הוא צעד נבון.

לסיכום: בין אם מדובר באינטל הענקית ובין אם מדובר על נציג של חברה – לכלוך על אחרים לא מקנה לך נקודות זכות. דבר על המוצר, דבר על יתרונותיו, תשווה באופן הוגן ומובן לאחרים והשתמש בסטנדרטים ידועים. זו הדרך להגדיל את הסיכוי לזכות במשרה או במכרז או בכל משהו שניתן לזכות בו.

כמה מילים על מחשבי המק עם מעבד M1

עתה, כשכמעט כל אתר חדשות טכנולוגיה פרסם סקירה על המחשבים, וכל ערוץ יוטיוב טכנולוגי הדגים את מחשבי M1 ואת הביצועים המעולים, החלטתי לכתוב פוסט קצת שונה על הנושא ולהתייחס לדברים מזוויות מעט שונות.

אין ספק, בשנים האחרונות עבדו קשה מאוד באפל על מעבד ה-M1. חלק לא קטן מהעבודה היה יותר קשור לעקיפת פטנטים של אינטל ו-AMD (אי אפשר להוסיף תמיכה ישירה ב-X86-64 למעבד בלי אישור ורשיון מ-אינטל, משהו שאינטל לא חלמה אפילו למכור לאפל) ולכן כשמסתכלים על המספרים מבחינת מפרט המעבד M1, מקבלים תמונה של מפלצת! גודל ה-Cache לדוגמא ב-M1 עוקף בקלילות כל מעבד של אינטל או AMD הן במחשבים נייחים והן במחשבים ניידים. כל עניין ה-Branch Prediction לדוגמא (בכך בעצם ניתן לדעת כמה המעבד הוא "חכם" – איך שהוא מצליח לחזות את הפקודות העתידיות לבוא וכבר להריץ אותן, עוד לפני שהמערכת מבקשת זאת) – עובר בכמה וכמה דרגות את המעבדים המתחרים, של כל המתחרים, והשילוב היוצא מן הכלל במעבד של ליבות חלשות וחסכוניות, ליבות חזקות, Cache שזמין לכל חלקי ה-CPU כולל ה-GPU וה-Neural Engine ועוד – זו הברקה מעולה של אפל, וככלל – עצם העובדה ש-M1 מצליח ב-10-24 וואט להריץ אפליקציות X86-64 במהירות שרוב הזמן עוקפת את כל המעבדים הניידים המתחרים ונותנת ביצועים הרבה יותר גבוהים עם אפליקציות ARM Native, היא משהו מרשים בכל קנה מידה.

וכאן חשוב להכיר את התחרות, על מנת לקבל פרופורציות. קחו את מיקרוסופט, לדוגמא, שמנסה כבר 4 פעמים להפיץ ולמכור גירסת Windows שתרוץ על ARM. מיקרוסופט כבר בנתה גירסה כזו ואף מנסה למכור כזו, אולם אם תנסו להריץ אפליקציות 32 ביט X86 על Windows המבוסס ARM על המחשבים הניידים הללו (כמו Surface Pro X), כבר בשניות הראשונות תוכלו לראות את ההבדלים התהומיים בביצועים בהשוואה ל-M1 של אפל: עם M1 ו-Rosetta 2 ניתן להגיע בערך ל-80-90% מהביצועים הטבעיים שמקבלים עם מעבדים של אינטל או AMD, ואילו עם ה-Surface Pro X תגיעו לביצועים של 30-50 אחוז, וגם זה – אם יש לכם מזל. מדוע? כי בשעה שאפל "תקפו" את עניין הרצת אפליקציות X86-64 הן דרך המרה של הקבצים הבינאריים בזמן ההתקנה ובחלקים מסויימים בלבד משתמשים ב-JIT להמרה וקימפול דינמיים, במיקרוסופט עשו מאמצים כבירים כדי לתת ביצועים בינוניים של X86 – כלומר 32 ביט בלבד, וזאת למרות שרוב האפליקציות כיום הם 64 ביט, כך שמיקרוסופט מראש מכרה מוצר חצי אפוי, ורק לאחרונה הודיעה החברה כי היא מוסיפה תמיכה של 64 ביט X86-64 … דרך האמולציה הקלאסית.  כמ שציינתי – חצי אפוי.

ככלל, מצב השוק בכל הקשור למעבדי ARM לדסקטופ הוא בכי רע, והמעבדים שכן קיימים כיום, הם די חלשים, ומה שלא ממש חלש (כדוגמת Snapdragon 865 – שנחשב חלש מאוד בהשוואה ל-M1, אגב) נמכר בתנאים ובמחירים מטורפים עם תמיכה חלשה בצד ג', כך שקשה לראות היום דסקטופ אלטרנטיבי מבוסס ARM עם ביצועים טובים וגבוהים (ולמי שחושב על הפתרונות של NVIDIA, נזכיר כי החברה קמצנית כרונית ב-RAM, ומשתמשת ב-GPU CORE מלפני יותר מ-5 שנים!).

מבחינת הדברים הנוספים: אפל בנתה בתוך ה-M1 את ה-GPU הפנימי החדש שלה. מבחינת ביצועים בהשוואה ל-PC, מדובר על משהו שהוא לא יותר מאשר GTX 1050 או MX350 של nVidia. יחד עם זאת, מכיוון שיש Cache רציני, גישה ישירות ל-RAM ועוד טריקים שאפל משתמשת – נוצר מצב בו רואים ביצועים יפים מאוד עם אפליקציות ליצירת/עריכת תכנים על מחשבי מקבוק בתצורה הכי בסיסית! הנה דוגמא להרצת Davinci Resolve 17 בטא בגירסה Native ל-M1 שמשתמשים בקליפים של 4K ו-8K שצולמו ב-RED:

נשאלת השאלה – איך זה לכל הרוחות רץ בצורה טובה עם 8 ג'יגהבייט זכרון? הרי אם תיקחו כל PC נייד ותגבילו אותו ל-8 ג'יגהבייט זכרון עם GPU פנימי שמגיע עם המעבד – לא תקבלו אפילו 20% ביצועים מזה! אז איך אפל עושים זאת?

והתשובה לכך פשוטה: לאפל יש שנים של נסיון בניהול תהליכים ואפליקציות שרצות במקביל בתוך המכשיר מבלי להשתמש בהרבה זכרון. קחו לדוגמא את ה-iPad Pro, מכשיר שאפשר בכיף גם לערוך איתו וידאו ולבצע דברים רבים נוספים במקביל בו. כמה RAM יש בו? 4 ג'יגהבייט, וזאת בהשוואה לפתרונות מבוססי אנדרואיד שכיום מגיעים עם 6 ו-8 ג'יגהבייט שעדיין לא נותנים את אותם ביצועים בהשוואה לאייפונים ואייפדים. מה שאפל בעצם עשתה, היא לייבא את כל עניין ניהול הזכרון ל-MAC OS ועוד חלקים מהאייפון/אייפד אל מערכת ההפעלה החדשה (ה-Big Sur) וברגע שהאפליקציות מקומפלות ל-M1 ורצות בצורה טבעית, דרישות הזכרון של אותן האפליקציה יהיו שונות וברוב המקרים הן תרוצנה בצורה טובה גם על מחשב עם 8 ג'יגהבייט RAM בלבד. במילים אחרות: אפליקציות טבעיות ל-M1 יכולות לתת ביצועים לא רק שיותר גבוהים בהשוואה לגרסאות X86-64, אלא גם לחסוך במשאבי זכרון.

אז .. לרוץ ולרכוש איזה מקבוק אייר/פרו או מק-מיני מבוססים M1? לא כל כך מהר…

מכיוון שמדובר במערכת חדשה לגמרי, כמות הדרייברים שאפל כתבה למעבד היא מינימלית ובקושי כוללת דרייברים לציוד צד ג', כך שישנן בעיות כמו:

  • לא ניתן לחבר יותר ממסך אחד חיצונית
  • לא ניתן להפעיל שום GPU חיצוני (לא חשוב איזה כרטיס יש ב-eGPU) – כי אין דרייברים
  • מצלמות Webcam רבות שתומכות בסטנדרטים שונים מ-UVC – לא יעבדו בשלב זה
  • ציוד שדורש דרייבר Serial פשוט – הדרייבר לא קיים
  • יש בעיות עם כרטיסי רשת שונים במהירות 10 ג'יגהביט
  • יש לא מעט באגים ב-OS שרץ על ה-M1.

לכן – אם אתה רוצה למכור את המחשב הנייד הנוכחי שלך ולעבור למחשב נייד מבוסס M1 – אני ממליץ לא לבצע זאת בשלב זה ולהמתין לגירסה הבאה שתצא בשנה הבאה או לגירסת ה-A14T שתצא בשנה הבאה כפתרון דסקטופ. אם לעומת זאת, אתה מעוניין לקנות מק מיני M1 כמחשב נוסף – לך על זה, רק קח בחשבון בעיות תאימות וחוסר דרייברים.

לסיכום: אפל הצליחה להוכיח ש-ARM לדסקטופ יכול להיות רעיון מעולה עם ביצועים שעוקפים (לא לזמן רב, אגב) את המתחרים. האם המתחרים יקחו זאת לתשומת ליבם? אולי, ואולי לא (אני בספק אם משהו ישתנה בצורה מהותית במהלך השנתיים הקרובות), אבל מה שאפל מציעה כרגע יכול בהחלט לקרוץ למתחילים כרגע, ולמקצועיים בהמשך הדרך. זה לא אומר שכדאי וצריך מיד לזרוק את כל מחשבי המק שמבוססים על אינטל, אבל אם זה מה שאפל מצליחה להוציא ממחשב נייד, יהיה בהחלט מעניין לראות מה היא תוציא על מחשבים נייחים.

תכירו – Raspberry Pi 400

אחד הדברים המבורכים ש-Raspberry Pi Foundation עשה לשוק ה-SBC (כלומר Single Board computer) – הוא השינוי המהותי בכל הקשור למחשבים זולים. ישנם גם השינויים האחרים כמו שינוי מקצה לקצה של שוק המערכות המשובצות, אבל השינוי שקשור ליצור ומכירת SBC לקהל, גם לקהל הלא מנוסה – הוא שינוי ענק שרק עזר לקהל רב שלא יכל לאפשר לעצמו מחשבים במאות ואלפי דולרים.

המוצר החדש שה-Foundation שיחרר רשמית לשוק היום נראה במבט ראשון כמקלדת תמימה, וזה קצת הפתיע בוחני חומרה מסויימת במבט הראשון שהם הסתכלו. ל-Foundation כבר יש מקלדת שהם מוכרים בזול ($20), אבל מבט מאחורי המקלדת הראה משהו די מפתיע: את כל היציאות של ה-Raspberry Pi. לפנינו, אם כן, Raspberry Pi בתוך מקלדת.

למי שתוהה או אינו זוכר מאיפה מוכר ה-Form Factor הנ"ל: עיצוב ה-Pi החדש הוא בעצם הומאז' לאמיגה 500 (ולפיכך השם – Pi 400). באמיגה הנ"ל, באטארי ST ובעוד מספר מחשבים באותה תקופה, היה נהוג להכניס את הכל לתוך קופסא שהמקלדת בה היא הדומיננטית, החיבורים מאחור וכניסת הדיסקטים (זוכרים אותם?) מצד ימין. בשנת 2020 אין לנו דיסקטים אבל ב-Pi 400 יש בהחלט כניסה לכרטיסי מיקרו SD, חיבורי USB, חיבור רשת קווי וכאקסטרא – חיבורי ה-GPIO. מחפשים את החיבורים האלחוטיים? הם כאן: 5 Bluetooth ו-WiFi (כולל תמיכה ב-AC). פרטים נוספים לגבי המפרט:

  • מהירות המעבד (עדיין אותו מעבד שקיים ב-Pi 4 אך עם Stepping שונה) עלתה ב-300 מגהרץ
  • זכרון: 4GB LPDDR4 SDRAM
  • חיבורים למסכים: 2 כניסות מיקרו HDMI
  • חיבורי USB: חיבור USB 2.0 (יחיד) וחיבורי USB 3.0 (זוג)
  • אחסון: המחשב מגיע עם כרטיס מיקרו SD בגודל 16 ג'יגהבייט, אך הוא תומך ב-Boot מציוד בחיבור USB או PXE.
  • קירור: קירור המעבד ושאר החלקים הוא פאסיבי ומתבצע בעזרת heat sink פאסיבי.
  • משקל: 384 גרם.

המחשב הזה בתצורתו הנוכחית, יכול, לעניות דעתי, לתת מענה טוב לילדים או משתמשים שכל צרכיהם הוא גלישה באינטרנט, ZOOM, או דברים כאלו.

מבחינת מחיר – כ"מקלדת" הוא עולה כ-70$. כ-KIT הוא נמכר ב-100$ וכולל ספק כח, כרטיס מיקרו SD, כבל HDMI למיקרו HDMI, וחוברת נחמדה שיכולה לסייע לילדים ולצעירים להפעיל את ה-Pi בפעם הראשונה ולהמשיך להשתמש בו, גם אם אין לצעיר נסיון רב במחשבים. נכון לשעת כתיבת שורות אלו, מי שמייבא את ה-PI לארץ טוען כי ה-Pi 400 לא יגיע לכאן לפחות בחודשיים הקרובים, וכמו כן הוא אינו מתכוון לצרוב עברית על המקלדת ברגע שהמכשיר ימכר כאן (שזה לדעתי פספוס ענק, אבל נו.. בחירה שלו).

מבחינת ביצועים – ב-Phoronix הריצו עליו שורת ניסויים ולפי התוצאות נראה שיש שיפור מסוים, אך לא שיפור כה משמעותי כמו המעבר מ-Pi 3 ל-Pi 4.

לסיכום: שווה לרכוש? בהחלט (כלומר .. אם תצליחו למצוא מהיכן. משום מה בארה"ב זה כלל לא קיים ובשאר המדינות שהאתר מקשר, אפשר אולי למצוא לרכישה, אבל אין משלוח לישראל). זה מתאים לילדים, מתאים כמחשב שני/שלישי ל"משחקים" בלינוקס כדי להכיר את מערכת ההפעלה וגם כדי לבנות פרויקטים קטנטנים לאלו שמתחילים ללמוד אלקטרוניקה.

תכירו: משפחת ה-Ryzen 5000

חברת AMD הכריזה לפני כשבועיים על מעבדי ה-Ryzen דור רביעי לדסקטופ (מבחינת מספרי הדגמים, הם החליטו לקפוץ מ-3000 ל-5000 לאחר שהם הצליחו ליצור סלט שלם בדגמי ה-4000). בפוסט זה אתייחס הן לדגמי הדסקטופ והן למעבדי ה-EPYC לשרתים שיצאו כבר בקרוב.

מעבדי Desktop לשרתים

מבחינת מעבדי הדסקטופ, ב-AMD ממשיכים להוציא את אותם מספרי דגמים שהוציאו בגירסה הקודמת, בקצה הגבוה נמצא 5950X עם 16 ליבות, 5900X עם 12 ליבות, 5800X עם 8 ליבות ו-5600X עם 6 ליבות, בדיוק כמו שהיה עם ה-3950X, 3900X, 3800X, 3600X, רק שהפעם אין בשלב זה דגמים ללא X כמו שהיו בדגמי ה-3000 (אלו יצאו בשנה הבאה). המחירים – עלו במעט, בממוצע כ-50$ בהשוואה למעבדים מסידרה 3000.

מבחינת ביצועים (שזה כמובן הדבר הכי חשוב למשתמשים) – AMD הציגה עליה משמעותית בביצועים של עד 19% – במיוחד בעבודות Single Threaded, ולראשונה במבחנים סינטתיים – AMD עוקפת את כל המעבדים שאינטל מוכרת בגיזרת הדסקטופ (שוב, בעבודות Single Threaded, ב-Multi Threaded המעבדים של AMD עוקפים ממזמן את המעבדים של אינטל). במבחן כמו Cinebench, מעבד כמו ה-5950X מגיע ל-640 ב-Single Threaded ומעבד 5900X מציג באותו מבחן את המספר 631. לשם השוואה, מעבד ה-10900K מגיע ל-539 באותו מבחן ומעבד כמו ה-Tiger Lake החדש לדסקטופ (דגם: Core i7-1185G7) מגיע ל-598 (אך זהו אינו מעבד לדסקטופ, זהו מעבד למחשב נייד).

ישנם שיפורים רבים בתוך המעבדים החדשים, מבנה Cache חדש שנותן ביצועים גבוהים בצורה משמעותית, ושינויים רבים נוספים ש-AMD תפרט עליהם יותר בהרחבה כבר בשבועות הקרובים.

ישנם לא מעט אנשים שכבר יש ברשותם מעבדי Ryzen והם מעוניינים לשדרג – הנה מספר נקודות לגבי הנושא:

  • אם יש לכם לוח אם מבוסס Chipset כמו X570 או B550 – תוכלו כבר בחודש הבא לרכוש את המעבד, לשדרג את ה-BIOS, להחליף את המעבד ולהמשיך לעבוד כרגיל.
  • אם יש לכם לוח אם מבוסס Chipset כמו X470 או B450 – לרוב הדגמים יצא שדרוג BIOS במהלך חודש ינואר אשר יוסיף תאימות למעבדים החדשים (אך יסיר תאימות ממעבדים ישנים כמו Ryzen מסידרה 1000 ו-2000, פשוט אין מקום בשבב הפלאש לכל העדכונים).
  • רשמית – המעבדים יצאו לשוק ב-5/11. הסיכוי שלכם לרכוש ולקבל מעבד כזה בארץ בתאריך הנ"ל – די טוב (נודע לי לאחרונה כי כבר יש מלאי בארץ, אך המכירה אסורה עד ה-5/11).
  • לאלו שאין ברשותם מעבד Ryzen וחושבים לרכוש (במסגרת בניה עצמית של מחשב) לוח אם ואז את המעבד, אני ממליץ להמתין: בהשקה הרשמית יכריזו יצרני לוח האם על לוחות אם חדשים עם תכנונים משופרים.

חשוב לזכור: כמו שזה נראה כרגע, כנראה שסידרת ה-Ryzen מסידרה 5000 הם "תחנה אחרונה", וכשיצאו מעבדי ה-Ryzen 6000 יהיה צורך בלוח אם חדש וכנראה זכרונות חדשים (DDR5), ולכן אם חושבים להשקיע סכום מהותי ברכישת לוח אם חדש ובמעבד, כדאי לקחת בחשבון שכנראה לא ניתן יהיה לשדרג את המערכת למעבדי Ryzen עתידיים.

מעבדי EPYC לשרתים

באופן רשמי, ב-AMD עדיין לא מדברים/מספרים על מעבדי ה-EPYC מסידרה 7003 (שם קוד: Milan), והדברים יפורסמו באופן רשמי במהלך השבועות הקרובים (אני מאמין שבמהלך נובמבר), אבל עד אז – הנה כמה נקודות מעניינות:

  • שיפור ביצועים משמעותי בהשוואה ל-EPYC דור קודם (7002): כמו ב-Ryzen, גם כאן יש תכנון חדש לזכרון המטמון ברמות 1 ו-2, כך שבפועל ה-Latency נחתך בצורה משמעותית, מה שמתורגם לביצועים גבוהים, כאשר ברוב המקרים מדובר על שיפור דו ספרתי.
  • מבחינת וירטואליזציה – מעבד EPYC דור 7002 (הדור הנוכחי) נתנו מספר יתרונות מבחינת אבטחת וירטואליזציה בהשוואה למה שאינטל נותנים (אינטל תתן פתרון מועתק במשפחת מעבדי ה-Xeon הבאים בשנה הבאה, ע.ע. TME) ולאחרונה התבשרנו כי vSpehre 7 עדכון 1 יתן תמיכה בפונקציות החדשות להצפנת מכונות וירטואליות, דבר שיתקבל בהחלט בברכה במקומות שאבטחה היא במקום הראשון. במעבדי EPYC דור 7003 אנחנו צפויים לקבל עוד מספר שיפורים חדשים באבטחת וירטואליזציה (אם כי מבחינת תמיכה, זה אולי יהיה ב-vSphere 7U2 או בגירסה 8, אך אם משתמשים בוירטואליזציה מבוססת KVM – התמיכה תגיע בחודשים הקרובים)
  • אחת הנקודות שעולות שוב ושוב בפורומים שונים של משתמשי EPYC היא תאימות לאפליקציות שאינטל מבצעת בהם אופטימיזציה, כמו הוספת תמיכה ב-AVX 512. ובכן, בדגמי ה-EPYC החדשים יש תמיכה ל-AVX 512 ולעוד מספר טכנולוגיות ידועות.
  • תאימות לאחור – גם הפעם, יהיה אפשר להשתמש במעבד EPYC מסידרה 7003 על שרתים ישנים יותר (3 דורות אחורה). חשוב לציין כי את התמיכה לכך יש צורך לקבל מיצרן השרתים (בד"כ זה יהיה במסגרת KIT הכולל מעבד חדש או במסגרת עדכונים שהיצרן מוציא לשרתים). כל היצרנים יתמכו בשדרוג ממעבדי EPYC דור 7002 לדור 7003, אולם רק חלק מהם יתנו תמיכה לשדרוג מ-EPYC דור 7001.
  • שיפור ביצועים משמעותי בכל הקשור ללינוקס: ב-AMD הוסיפו פקודות חדשות, והוסיפו שיפורים למהדר כמו GCC (זה נקרא Znver3), כך שאם רוצים שיפורים מעבר לשיפורים שמקבלים כברירת מחדל, אפשר לקמפל עם הפרמטרים החדשים ולקבל ביצועים עוד יותר גבוהים

חשוב לציין: גם כאן, כמו עם מעבדי Ryzen, המעבדים שיצאו יהיו כנראה בחזקת "תחנה אחרונה". ב-AMD עובדים במרץ על EPYC דור 7004 (שם קוד: Genoa) שיתן תמיכה ב-PCIe 5, זכרון DDR5, תמיכה ב-CXL, וטכנולוגיות רבות אחרות, כולל שינוי כל ה"שיחה" בין ה-CPU לכרטיסי GPU (בהצלחה ל-NVIDIA עם NVLINK), ומעבדים אלו לא יהיו תואמים אחורה.

לסיכום: AMD פתחה את הרבעון האחרון של 2020 בהכרזה על מעבדי Ryzen, בהמשך החודש על כרטיסי ה-GPU לדסקטופ, ולאחר מכן יגיעו ההכרזות על מעבדי EPYC לשרתים, כרטיסי GPU לצרכי ML/DL. התחרות בתחומי ה-GPU – בשיאה (NVIDIA כבר הכריזה על הכרטיסים שלה, AMD יכריזו בחודש הקרוב, ואינטל במחצית הראשונה של השנה הבאה) והתחרות בתחום המעבדים תתחיל החודש הבא ואילו אינטל תתן מענה הן בתחילת שנה הבאה (ICE Lake, מעבדים שאני לא ממליץ לרכוש, הואיל ואלו מעבדים שיהיו רלוונטיים אולי במשך חצי שנה) והן במחצית השניה של 2021 שבה היא תציג את מעבדי ה-Sapphire Rapids שיהיו מבוססים ארכיטקטורה חדשה (ביי ביי, Skylake), ויהיו שונים מהותית ממה שאינטל מוכרת כיום, ועם שיפורים מדהימים ורעיונות.. יצירתיים.

תכירו: ESXi למעבדי ARM

בכל מה שקשור לוירטואליזציה, עד היום שלטו ללא עוררין מעבדי ה-X86 ובסקטור ה-Enterprise שולטת ללא עוררין חברת VMware, עם פלטפורמת ה-vSphere. אינטל ו-AMD משקיעות מאמצים רבים בפיתוח ושיפור התמיכה בוירטואליזציה במעבדים (ה-"שוס" האחרון: הצפנת מכונות וירטואליות, דבר שקיים זמן רב במעבדי EPYC ויהיה זמין במעבדים בדור הבא בשנה הבאה במעבדים של אינטל).

לאחרונה, יותר ויותר חברות נחשפות לוירטואליזציה בעננים ציבוריים על מעבדים שאינם X86 אלא מעבדי ARM. הסיבה לכך כמובן קשורה לכסף: Instance מבוסס מעבדי ARM זול בהרבה מכל Instance שמבוסס על X86 ואפשר להריץ על אותן מכונות את כל מה שלא דורש CPU חזק, כמו שרתי Web, קונטיינרים פשוטים ועוד, ועל הדרך להוזיל את המחיר בצורה משמעותית.

בעולם השרתים ב-On Prem, כפי שציינתי, מעבדי X86 שולטים, ובשוליים אפשר למצוא גם מעבדי Power של IBM (שתומכים בוירטואליזציה הרבה לפני שאינטל בכלל חשבו על VT-X לדוגמא) ולאחרונה יש יותר ויותר התעניינות גם במעבדי ARM מבחינת הרצת מכונות וירטואליות, קונטיינרים וכו', והפעם מדובר לא רק בגלל המחיר – מספר מעבדים מבוססי ARM לשרתים שיצאו בשנה הבאה הבאה ידעו לתת פייט רציני מבחינת ביצועים גם מול מעבדי Xeon המובילים של אינטל.

ב-VMware היו מודעים לנושא ובשנים האחרונות ישנו צוות שכל מטרתו היה לגייר את קוד ה-ESXi וכל השכבות והחלקים של הפלטפורמה – למעבדי ARM השונים הפופולריים בשוק, וכעת סוף סוף החברה חושפת את המוצר לציבור ומאפשרת הורדה למספר מערכות עם מעבדי ARM שונים:

  • מערכת Raspberry Pi 4 (תצטרכו 8 ג'יגה זכרון, על גירסת ה-4 ג'יגהבייט בקושי תצליח להריץ משהו ותשכחו מ-Raspberry Pi 3 וגרסאות קודמות)
  • מספר מערכות הכוללות מעבדים Ampere eMAG (אין קשר ל-NVidia)
  • Solidrun Honeycomb LX2
  • לוחות המבוססים על LS1046A של NXP (מי שחושב לרכוש ולא מכיר את הלוחות האלו – מומלץ לפני כן לפנות ליבואן של NXP, המערכות שלהם די מורכבות ולא מומלץ לרכוש ישירות מהאתר)

לאלו שכבר רוצים להוריד את ה-ISO – הוא זמין להורדה כאן, רק לפני שרצים להוריד ולהשתמש, אתם מוזמנים לקרוא את ההערות הבאות:

  • הגירסה שזמינה היא נסיונית ומוגבלת בזמן. הגירסה תפעל ל-180 יום ולאחר מכן תצטרכו להקים אותה מחדש.
  • יש קובץ ISO להורדה, אבל בניגוד לגירסת ה-X86, ההתקנה עצמה יותר מורכבת ומי שלא מכיר לינוקס יצטרך להיאזר בסבלנות ולעקוב אחר ההוראות (המעולות) שהם סיפקו. ככלל, ידע בלינוקס מאוד יעזור עם הגירסה הזו (אגב, בגירסה הזו VMWare עושים "אחורה פנה" וחוזרים להיות מבוססי לינוקס)
  • מכיוון שיש עשרות (אם לא מאות) לוחות/SBC מבוססי ARM, רבים יתהו האם ESXi גירסת ARM תרוץ על לוחות אלו. התשובה לכך קשורה בתשובה לגבי הלוח/SBC אם הוא תואם SystemReady SR ופלטפורמת ה-ARM היא V8 ומעלה. אם כן, יש סיכוי שה-ESXi ירוץ. מעבדי ALTRA או Jetson של NVIDIA – לא נתמכים כרגע.
  • מבחינת מערכות הפעלה שניתן להריץ כ-Guest: כרגע אפשר להריץ אובונטו 20, פדורה ועוד כמה הפצות לינוקס. כרגע גרסאות Windows ל-ARM אינן נתמכות.
  • מבחינת Storage – אפשר להשתמש ב-SSD מקומי או לחבר iSCSI. אין תמיכה כרגע ב-NFS.
  • אם אתם מתקינים הפצה בלתי נתמכת וצריך לבחור מהו כרטיס הרשת, זה vmnic128 (לקח לי קצת זמן למצוא את זה)
  • אפשר לנהל את ה-ESXi מ-vCenter כמו כל שרת רגיל – כל עוד אתם משתמשים ב-VCSA 7.0D ומעלה.
  • אם אתם רוצים להריץ כמה וכמה קונטיינרים ומכונות VM – אני ממליץ לרכוש לוח אם או תחנה מבוססת eMAG של Ampere + מעבד, זכרונות וכרטיס רשת שמופיע בתיעוד (לא מלאנוקס וכו')
  • אל תנסו להתקין VMWare Tools דרך ה-vSphere. השתמשו ב-Open VM Tools (קיים לכל ההפצות)
  • יש יכולות של Live Migration, רק שכדאי לשים לב לפני כן להגדרות כרטיס רשת וכו', אחרת אתם עלולים לתקוע את המחשב.
  • אל תחברו ותנתקו ציוד USB מהמחשב, זה יכול לגרום לקריסה.
  • אם אתם רוצים להקים Cluster של ESXi מבוסס Raspberry Pi, אז מומלץ להשתמש ב-HAT ו-PoE במקום ערימת ספקי כח. במסמך של VMWare ל-Pi יש המלצות ספציפיות.
  • אל תנסו להקים VDI על זה 🙂

לסיכום: ESXi על מעבדי ARM יכול להיות פתרון מעולה אם רוצים לנסות מכונות VM שלא מצריכות כח מחשוב מאסיבי, וזה יכול להיות גם פתרון מעולה להרצת קונטיינרים לטסטים/Dev וכו', רק חשוב לזכור שזוהי גירסה ציבורית ראשונה ונסיונית, וחשוב לעקוב אחר ההוראות הניתנות בתיעוד ה-PDF ש-VMware פרסמו.

השינוי המהותי ש-VMware מתכננת לבצע

כנס VMWorld נערך באופן וירטואלי השנה ב-29-30/9 וכלל מגוון הרצאות, שרובם נעו על מוצרים ונושאים שב-VMWare כבר דיברו עליהם בעבר. אחד הנושאים שעבר "הכרזה מחדש" (3 פעמים! פעם אחת בשנה שעברה, פעם שניה בכנס VMworld ופעם שלישית רק לפני יומיים בכנס GTC) הוא נושא ה"DPU" (כלומר Data Processor Unit) של חברת מלאנוקס, עם מעבדי ה-Bluefield-2. חשבתי לכתוב פוסט על ה-DPU, אך מכיוון שיש עוד מספר שחקנים שהולכים להיכנס בדיוק לתחום זה עם שמות משלהם, החלטתי לכתוב פוסט יותר כללי בנושא.

תכירו – פרויקט Monterey

לפני שניכנס לפרטי הפרויקט, נסתכל על המצב הנוכחי, עוד ברמת ה-Hypervisor, ה-ESXi. כיום, ה-ESXi בעצם מריץ את כל השרותים כ-Hypervisor על מעבדי ה-X86 (ה-Xeon או EPYC) – בין אם מדובר בשרותי רשת, שרותי אחסון, אבטחה, Host Management ועוד. כל זה טוב ויפה, אך זה גוזל לא מעט משאבים מהשרת, וזה גם לא נותן מענה מלא לצרכים של הלקוחות כיום, שרוצים מהירות תקשורת יותר גבוהה, שימוש בכרטיסי FPGA וכרטיסים אחרים, חלוקה יותר טובה של נתיבי PCIe (העבודה שרוב יצרני השרתים, למעט חברת Supermicro ו-TYAN עושים בשרתים שלהם בכל הקשור ל-IOMMU, שלא לדבר על SR-IOV ומיפוי הנתיבים – היא פשוט בושה!), ועוד.

ישנה קטגוריה שלמה של כרטיסים חכמים שיכולים לבצע את כל התהליכים הללו, ובצורה הרבה יותר מאובטחת, יותר מהירה ויותר אמינה. הקטגוריה הזו נקראת SmartNIC. בדרך כלל מדובר בכרטיס רשת שכולל בתוכו מעבד ARM, אחסון Flash קטן, זכרון, ויכולות רציניות לטפל בתעבורה במהירות של 100-200 ג'יגהביט, כולל אבטחה בכל רמות התקשורת, הצפנה, שרותי אחסון NVME "על סיב" ועוד. ב-VMware עסקו בשנתיים האחרונות במיגרציה של קוד ה-ESXi ל-ARM על מנת לאפשר ל-ESXi בעצם לרוץ מהכרטיס ואותו מעבד ARM יתן את כל השרותים שה-ESXi כיום נותן – רק מבלי להשתמש במעבדי ה-X86 בשרת. מעבדי ה-X86 הנ"ל יוכלו להריץ מכונות וירטואליות, קונטיינרים, ומעתה – גם Bare Metal. תוכלו להריץ בעצם כל מערכת הפעלה על "הברזל", כאשר ה-OS יקבל את שרותי התקשורת, אחסון, ניהול וכו'  דרך ה-SmartNIC באופן שקוף. בנוסף, בעזרת ה-SmartNIC ופרויקט אחר (פרויקט Bitfusion) – נוכל גם לקבל שרותים מציוד שאינו נמצא על השרת עצמו, כמו שרותי GPU, שרותי אחסון NVME Over Fiber ועוד.

יוצא מכך, שעם פרויקט זה, לא רק שנקבל יותר מקום פנוי בשרתים, נוכל לקבל גם אפשרויות התקנה נוספות, וניהול אחיד של כל השרתים, אפשרויות Provisioning יותר טובות ועוד.

אם העניין הזה נשמע לכם מוכר ולא מעולם VMware – אתם לא טועים. כך בדיוק עובדת אמזון עם כרטיס ה-Nitro שלהם ומאפשרת ללקוחות לשכור מיידית שרתים פיזיים, מבלי שהשרתים יעברו תהליך Provision כלשהו. הכל רץ מכרטיס עם מעבד ARM ומערכת לינוקס שרצה על הכרטיס ומבצעת את כל הפעולות, ונותנת את כל השרותים הנחוצים בצורה שקופה לשרת. גם ספקי ענן ציבורי אחרים עובדים בשיטות דומות.

פרויקט Monterey נמצא כרגע במצב Preview, אך מי שחושב כבר לקפוץ ולהתחיל להשתמש בפירות של הפרויקט, כדאי שיעצור לרגע. כרטיסי ה-SmartNIC מתחברים בחיבור של 100-200 ג'יגהביט ומעלה, כך שסביר להניח שתצטרכו מתגים אחרים יותר מהירים ויותר יקרים. מבחינת סוגי כרטיסי SmartNIC, אין כרגע הרבה הצעות (יש את Bluefield-2 של חברת מלאנוקס, אינטל, ברודקום ועוד מספר חברות יצאו עם כרטיסים כאלו בשנה הבאה) וסביר להניח שתצטרכו גם בדרך להחליף שרתים, הואיל ויש צורך בשינויים על לוח האם, כולל שינויים מהותיים לקוד ה-UEFI שבשרתים.

לסיכום: זהו עוד מקרה שטכנולוגיה שמתחילה להיווצר ולהיות משומשת אצל ספקי ענן ציבורי (hyperscalers) ומגיעה לאט לאט ל-Enterprise. הפרויקט עצמו, לכשיפעל ויוכרז כ"יציב", וכל הציוד יהיה זמין – יתן פונקציונאליות חדשה וביצועים טובים יותר, אך בשלב זה הפרויקט אינו יותר מאשר "מעניין".

האם ניתן להגן על מחשב נגד גניבות תוכנה?

(הערה: את הפוסט הזה פרסמתי לפני יותר מ-3 שנים בבלוג אחר שכבר אינו קיים ואני מפרסם אותו מחדש עם עדכונים – לבקשת אנשים שפנו בנושא).

לא מעט חברות תוכנה יוצרות קשר בתערוכות, כנסים ודרכי שיווק אחרים כדי למכור את מרכולתן מעבר לים. בחלק מהמקרים התוכנה תינתן להורדה בחינם/כ-DEMO/לאחר תשלום בצורה מקוונת, ובחלק מהמקרים התוכנה תישלח ללקוח באמצעים קונבנציונליים (כן, יש עדיין מקרים כאלו).

אחד החששות הכי גדולים של אותן חברות – הוא שהתוכנה תיגנב, תועתק ו/או תופץ ברבים באמצעים פיראטיים ובמקרים מסויימים – חלקים ממנו יופיעו בתוכנות אחרות מתחרות (אחרי הכל, לא ממש מסובך להעתיק קובץ so או DLL – אלו קבצים של ספריות משותפות).

בעשור האחרון יצא לי לקבל לא מעט פניות שונות שאפשר לסכמן כך: לקוח פוטנציאלי מחו"ל (בד"כ זה סין) יוצר קשר עם חברת התוכנה ומעוניין לרכוש את התוכנה (בד"כ זו תוכנה שלא זמינה Online להורדה ישירה, לעיתים מדובר בתוכנות משולבות חומרה). המחיר זה לא בעיה, והבעיה היחידה היא שהלקוח הפוטנציאלי רוצה לנסות את המוצר עם תוכן משלו, והוא לא מוכן לשלוח את התוכן שלו, ולפיכך מתבקשת החברה הנכבדה לשלוח מחשב עם התוכנה על מנת שהלקוח הפוטנציאלי ינסה ולאחר מכן הם יעברו לשיחות על מחירים, תשלום וכו'.

כאן בדרך כלל כותב שורות אלו מקבל פניות (היו לא מעט כאלו) מהחברה ובה בקשה להצעת מחיר להקשחת מחשב שישלח ללקוח, החל מרמת ה-BIOS, המשך ב-OS ובכל מה שצריך, הכל על מנת שהלקוח הפוטנציאלי לא יפרוץ למכונה ויגנוב את התוכנה..

מערכות הפעלה שונות ניתנות להגנה ברמות שונות. לינוקס ניתן להקשיח בצורה הרבה יותר רצינית מאשר כל גירסת Windows. ניתן להצפין את הדיסק, ניתן לנעול BIOS/UEFI, ניתן גם לבטל אפשרות הפעלת כניסות USB, רשת וכו', אולם מהרגע שהמכונה מגיעה ללקוח הפוטנציאלי, הסיכוי שההגנות הללו ימנעו ממנו להיכנס/להעתיק – שואפים לאפס. אפשר להשתמש בטריקים רבים, אבל המקסימום שהם יגרמו, זה עיכוב בפריצה. (אגב, אני מכיר לא מעט אנשים שבטוחים שתוכנות כמו BitLocker מצפינות דיסקים בצורה יוצאת מן הכלל ולא ניתן בשום מצב לחלץ את המידע. אני ממליץ להם לקרוא את הפוסט הזה).

אז מה ניתן לעשות? לשכנע את הלקוח לנסות משהו אחר. אחת ההצעות: מכונה שתהיה זמינה Online.

מכונות וירטואליות אשר זמינות אונליין – קלות יותר להגנה והרבה יותר קשות לפריצה מאשר ברזל שמגיע ללקוח ב-Fedex. אפשר להתקין מספר תוכנות שעוקבות אחר ההתנהגות של המשתמש ושתדענה לחסום נסיונות שונים של "התחכמות". כמובן שאין 100% הגנה, אך ניתן לנעול ולסגור דברים רבים, במיוחד בלינוקס.

ב-Windows לעומת זאת, אם רוצים להקשיח ברצינות מכונה כזו, יהיה צורך בלהכין אותה מחדש, בלי WDS ולהשתמש בגירסת ה-IoT. בגירסה זו ההתקנה היא הרבה יותר פרטנית ויש צורך לבחור חלקים שונים מתוך מאות חלקים (בניגוד למה שמותקן ב-WDS) ובכך להקטין באופן משמעותי את אפשרויות הפריצה למכונה, ועל זה ניתן להתקין תוכנות צד ג' שחוסמות כניסות USB, חוסמות את תפריט ה"התחל", חוסמות תעבורת רשת, כתיבות לתיקיות לא מאושרות וכו' וכו'.

חוץ מהפתרונות הנ"ל, ישנם עוד פתרונות אחרים שתלויים כמובן בסוג האפליקציה ומה רוצים להריץ, החל מקונטיינרים, מכונות וירטואליות עם פתרונות הצפנה של ה-VM מבוססי מעבדים כמו Ryzen או EPYC, שימוש ב"שוק" של ספקי הענן ועוד ועוד, אך גם חשוב לזכור: אלו פתרונות שיותר קשים לפריצה, אך הם אינם בלתי פריצים לאלו המומחים בנושאים אלו.

אסכם כך את הדברים: אין הגנה של 100% ואם מחשב יגיע לחברה שכל יעודה הוא לפרוץ ולהעתיק חומר – כל מכונה שתגיע לשם תיפרץ. יכול להיות שיקח יום ויכול להיות שיקח שבוע, אבל הם יצליחו בסופו של דבר ולכן לפעמים אולי יהיה כדאי לשכנע את הלקוח לחשוב על פתרונות אחרים שאינם מצריכים משלוח מכונה אליו.

האם מומלץ להעביר מערכת שלמה לענן מ-On Prem?

כל חברה שרוצה להעביר או להקים תשתית אצל סע"צ (ספק ענן ציבורי) – רוצה לקבל תמורה יותר טובה ממה שיש לה כיום, בין אם מדובר על ביצועים יותר גבוהים, מחיר נמוך יותר, תחזוקה פשוטה יותר, שרידות גבוהה יותר ועוד ועוד. אם יש משהו אחד שאף חברה לא רוצה – זה לקבל את מה שיש להם כיום מבחינת ביצועים ושרידות, אך לשלם יותר.

למי שלא מכיר, אחד המושגים הכי שגורים בפני כל מי שמתעסק בתחום עננים ציבורים הוא המושג "Lift & Shift", כלומר המושג מתאר מצב בו הלקוח מעביר את כל או רוב התשתית שלו מה-DC שלו אל ספק הענן בתצורה כמה שיותר זהה. לדוגמא: אם יש ללקוח 100 מכונות וירטואליות שמריצות את כל האפליקציות, הפלטפורמות ושאר דברים ב-On Prem, ב-Lift&shift מעבירים הכל "כמו שזה" (או כמעט) אל ספק הענן הציבורי שהחברה חתמה מולה, כך שבסופה של ההעברה, יש 100 (או קצת פחות) מכונות וירטואליות רצות בענן.

יש לא מעט גורמים, בין אם מדובר בספקי ענן, בין באם מדובר ביועצים ואינטגרטורים שממליצים על כך. הח"מ, שגם מוכר שרותי יעוץ ואינטגרציה, דווקא ממליץ נגד התהליך.

להלן הסיבה מדוע אני לא ממליץ על המהלך:

ללקוח יש 100 מכונות וירטואליות והוא מעביר אותם בתהליך lift & shift. הלקוח בעצם ישלם את מחיר המקסימום לספק הענן מבחינת ההמרה. הועברו 100 מכונות, כאשר רוב המכונות כלל אינן מנצלות את המשאבים ב-VM. מה הרווח של הלקוח ממעבר כזה? מבחינת ביצועים, אינני בטוח שפתאום יהיו ביצועים גבוהים יותר (אלא אם מעבירים מכונות VM משרתים בני יותר מ-7 שנים). מה שכן, התשלום לספק הענן יהיה הרבה יותר מסיבי: אם הגדרת 100 ג'יגהבייט דיסק וירטואלי מבוסס SSD, אתה תשלם על 100 ג'יגהבייט (במיוחד אם הגדרת את ה-Block Storage מ-SSD מהיר), גם אם השתמשת ב-10 ג'יגהבייט. בענן אין "Thin Provisioning", וכנ"ל לגבי זכרון וכח עיבוד, וכל זה עוד לפני שינויים ואופטימיזציות שהלקוח רוצה לעשות כדי לעבוד בענן..

לכן, אם יש משהו אחד שאני ממליץ ללקוחות – זה לא לחשוב על ספקי ענן ציבוריים כחברות Hosting ולא להשתמש בשרותים שלהם כמו בחברות Hosting. במקום זה, אני ממליץ לבחון מספר דברים שיכולים לסייע באופן מהותי:

  • שימוש בשרותים מנוהלים במקום מכונות VM שאתה מקים/מריץ. יצא לי לבחון לא מעט שרותים של ספקי ענן שונים ואני חייב לציין שבמרבית המקרים, השרותים של ספקי הענן נתנו ביצועים טובים. בלא מעט מקרים, אצל לקוחות שונים מריצים מכונות VM שמריצים אפליקציות שונות – אין הגדרות ואופטימיזציה טובה. דוגמא פשוטה: אצל ספקי ענן שונים אפשר לאחסן את ה-DB המנוהל באחסון זול ומכני או SSD או ב-SSD מסוג מהיר, כאשר ה-OS יושב על אחסון מסוג אחר. (בסביבות On prem, רוב מכונות ה-VM גם רצות וגם מאחסנות את ה-DB על אותו סטורג)'. נכון, זה עולה יותר, אך הביצועים גם גבוהים בצורה משמעותית, שלא לדבר על כך שכשזה מגיע להגדרות של אפליקציות שונות (שרתי Web, שרתי SQL ועוד) – אצל רבים אין ממש אופטימיזציה – שכן קיימת בשרותים המנוהלים אצל ספקי הענן.
    לכן, לפני שחושבים להעביר את אותו שרת SQL (לדוגמא) – כדאי לחשב מה העלויות של שרות זהה מנוהל עם Instance דרוש ואחסון, וזאת בהשוואה ל-VM שאתם תקימו. כדאי לקחת בחשבון גם תחזוקה והשבתה שתתרחש במקרה של VM שלכם.
  • אפליקציות עצמאיות: שרותים כמו Beanstalk, או App Service של אז'ור, או App Engine של גוגל – ושלל פתרונות זהים אחרים – שרותים אלו נותנים לך בעצם להריץ את הקוד שלך בשפה שאתה כותב – על תשתיות ספק הענן, כאשר אינך צריך להקים תשתית של VM, תשתית Load Balancing ועוד. אתה כותב קוד ומאחסן אותו בשרות כלשהו, מצמיד Webhook לשרות הנ"ל בענן, והשרות כבר ירים ויריץ את כל מה שצריך מבחינת pipelines, הוא יקמפל ויארוז מה שצריך, ויכין Instances חדשים שבחרת את גודלם. אתה לא צריך לדאוג לגבי עומסים, המערכת תדע לבצע אוטומטית Scale Out לאפליקציה שלך ותוסיף/תוריד Instances כנדרש, ותצמיד אותם ברקע לשרות Load Balancing כך שלא תפסיד בקשות מדפדפנים או ממכשירים שונים (בהתאם לאפליקציה). כאן בדיוק נמצא עקב האכילס אצל חברות רבות שמריצות אפליקציות בתשתית On-Prem (או תשתית Hosting) שמשרתות גולשים וה-Scaling שלהם הוא ידני. עם שרותים כנ"ל, אפשר להגדיר Instances קטנים ולשלם מחיר זול רק על מה שהיה בשימוש, הקץ לניחושים והערכות לגבי הקמה של יותר מדי או פחות מדי משאבים.
  • קונטיינרים: זו ה-טכנולוגיה של השנים האחרונות שחברות רבות כבר עברו להשתמש בה (ומי שלא – הסעיף לעיל רלוונטי לגביו) וכאן ספקי ענן שונים מציעים שרותי קונטיינריזציה שונים, בין אם מדובר על שרותי קונטיינר מנוהלים שאתה מחליט כמה Instances להקים/להוסיף/להוריד, ובין אם מדובר בשרותים שאתה כלל לא דואג לתשתית ובמקום זאת אתה פשוט משלם על שימוש בזכרון ובמשאבי עיבוד. השילוב של קונטיינריזציה ושימוש בתשתית של ספקי ענן ציבוריים יכול לתת פתרון עם ביצועים מעולים ולאו דווקא מאוד יקרים.

מעבר לענן ציבורי יכול לחסוך כסף, כל עוד מוכנים "לשנות את הדיסקט" בראש ולוותר על חלק משיטות העבודה מה-20+ שנה האחרונות. שיטות כמו Lift & Shift לא יעזרו הרבה ללקוח אבל הם בהחלט יעזרו לשורה התחתונה מבחינת כספים לספק הענן הציבורי שבו הלקוח משתמש. אם רוצים לעבור לענן ציבורי, אני ממליץ לחשוב על המעבר כעל פתיחת דף חדש, תוך אימוץ טכנולוגיות מודרניות ונטישה הדרגתית של טכנולוגיות Legacy.

כמה מילים על "קופסאות שידור"

"מים רבים עברו מתחת לנהר" – אני יכול לאמר כך על תקופה של יותר מעשור שעברה מאז כותב שורות אלו היה עסוק בהרמת שרות Streaming ללקוחות שונים. בניגוד להיום, דברים היו מורכבים וסופר יקרים: שרותי ה-CDN בארץ היו קיימים אך יקרים בטירוף, היה צורך בלרכוש לא מעט שרתי אפליקציות כמו Wowza, לשכור Load Balancers ולהגדיר דברים רבים – בכדי ששידור יזרום, ויזרום גם בעומס (עד שמגיע הרגע שאתה מגלה שספק האינטרנט שהבטיח לך 10 ג'יגהביט בחווה – חיבר אותך "בטעות" למתג של 1 ג'יגהביט).

כיום – כל אחד יכול לשדר לאלפים, עשרות אלפים ומאות אלפים במספר קטן של קליקים בטלפון סלולרי. כל מה שצריך זה לפתוח אפליקציה כמו יוטיוב, ללחוץ על אייקון מצלמת הוידאו, ללחוץ על GO ותוך כמה שניות – המנויים יכולים לראות אותך בכל העולם, לא חשוב היכן אתה נמצא. הכל קל, מהיר, זריז, והכי חשוב – לא מצריך כמעט שום ידע טכני.

הדברים מתחילים להיות יותר ויותר מורכבים ככל שהסיטואציה יותר מורכבת. כן, שידור וידאו ממצלמת הטלפון הסלולרי קל מאוד לבצע, אבל מה אם אני רוצה לשדר דרך מצלמת DSLR מהמחשב? פה אני כבר צריך לחבר כבל HDMI למצלמה ולהשתמש באחת מהתוכנות הפופולריות כמו OBS Studio, Xsplit, או vMix או אחת מהתוכנות האחרות – כדי להתחבר לאחד משרותי השידור הפופולריים (יוטיוב, Twitch, Facebook, (ובצורה לא רשמית – גם אינסטגרם, כל עוד אתה יודע "לשחק" עם ה-RTMP, ואגב – זה בתשלום אחרי 3 השידורים הראשונים). התוכנות הללו גם נותנות לך להשתמש בפילטרים, תוספים, יצירת "סצינות" עם מצלמות שונות (USB, RTMP, HDMI וכו') ואפשר להגיע איתן לתוצאות יפות ומרשימות. היתרון הענק בתוכנות הללו כיום – הוא הפשטות בחיבור לשרותי זרימה עצמם. כך זה נראה ב-OBS Studio, לא נראה לי שלמישהו יהיה קשה עם הממשק הזה להגדיר:

לאחרונה החלו לצוץ כל מיני "קופסאות שידור" (YoloLiv Yolobix יצא לפני מספר חודשים, לפחות עוד שלושה מוצרים חדשים אמורים לצאת בשנה הבאה [אין באפשרותי למסור פרטים עקב NDA]), גם חברת Black Magic יצאה עם שורת מוצרי Atem Mini ויש עוד מספר מוצרים – כולם מכוונים לנקודה מרכזית: לפשט את תהליך השידור תוך כדי קונסולידציה של אמצעי הזרימה למכשיר אחד ושידור מאותה קופסא, מבלי שהמשתמש יצטרך להיות מומחה למחשבים או מבין טוב בענייני זרימת וידאו, H.264, הקלטות, Bit Rate ושלל מושגים אחרים, והם מייעדים את עצמם הן לחובבי שידורי הזרימה (וולוגרים) והן למקצוענים שמצלמים כנסים, אירועים מרובי משתתפים ועוד.

מכשיר ה-YoloLiv לדוגמא, מציג גישה מעניינת. מדובר במכשיר אנדרואיד שכולל בעצם כל מה שצריך כדי לשדר ולהזרים מידע בין ב-WIFI, בסלולר ובחיבור רשת. אפשר לחבר 2 מצמות ב-HDMI ומצלמה בחיבור USB (כל עוד המצלמה משדרת בסטנדרט UVC, כמו המצלמות של לוג'יטק), אפשר להכניס כרטיס SIM, כרטיס SD על מנת להקליט (ולשדר קבצים שקיימים בכרטיס), אפשר לשדר לשרותי ה-Streaming הפופולריים (לפחות בסקירות וידאו שראיתי, יש עדיין כל מיני "קפיצות" שצריך לעשות כדי להגדיר חיבור ליוטיוב לדוגמא) – ובקיצור, למי שצריך להקליט מ-2 מצלמות ובמקביל לשדר את התוכן מאחת המצלמות, (השידור הוא על ערוץ יחיד. אין תמיכה ל-Multi Cam של יוטיוב) – הפתרון הזה הוא פתרון טוב…

… אם לא מסתכלים על הצעות המתחרים ועל המחיר..

המחיר עולה 4800 שקלים (וזה לא בגלל היבואן בארץ. המחיר בחו"ל הוא 1100 דולר), ובמחירים כאלו הדבר הראשון שהייתי ממליץ לעשות, גם לאלו שאין להם שום בעיה להוציא את הסכום – להסתכל על הצעות מתחרות.

בואו ניקח לדוגמא את ה-Atem Mini Pro של Black Magic. בניגוד ל-Yololiv, יש תמיכה בציוד של:

  • 4 מצלמות במקום 2
  • תמיכת שידור פלט וידאו דרך USB לחיבור למחשב, ובכך כשמחברים למחשב אפשר לשדר ישירות לאפליקציות כמו סקייפ, ZOOM, גוגל Meet, שרות Webex ואחרים.
  • הקלטה של הפלט ישירות לדיסק קשיח חיצוני
  • הגדרות הרבה יותר קלות לשידור לפלטפורמות ה-Streaming למיניהן
  • אין צורך (זולת הגדרות ראשוניות) במחשב. קח את המכשיר לאירוע והתחל להשתמש.

המחיר? 2800 שקל ביוגנד.

ישנו דגם יותר משוכלל (ה-Atem Mini Pro ISO) שמאפשר:

  • הקלטת כל ערוץ וידאו בנפרד באיכות גבוהה ב-H.264
  • לחיצה על כפתור אחד יוצרת קובץ פרויקט ל-Davinci Resolve כולל את הוידאו, מעברים בין הערוצים (כלומר כל לחיצה על כפתור למעבר מוקלטת לפרויקט)
  • ועוד פונקציות רבות שברובן כלל לא קיימות אצל המתחרים.

המחיר בארץ – 3990 שקל ביוגנד – כלומר זול ב-800 שקל מה-YoloLiv ונותן הרבה יותר פונקציות.

אחד הדברים החשובים בשידור – הוא שידור דרך תשתית הסלולר (אם אין חיבור DSL/הוט/סיבים לשדר דרכו באותו מקום). שידור דרך סלולר הוא בעייתי מאוד הואיל וברגע אחד ישנה מהירות העלאה של 50 מגהביט וברגע אחר – 2 מגהביט בקושי, למרות שלא זזת מילימטר מהמקום, ועם זה המקודד בתוך הקופסא צריך להתמודד, צריך ליצור בזמנים נכונים את ה-I Frame, וכמה שיותר "למשוך" אם אפשר את ה-B ו-P ולקודד באיכות הכי טובה שאפשרית באותו רוחב פס והתמודדות עם "קפיצות" של רוחב הפס, ולכן צריך מעבד רציני שיודע לקודד ולהתמודד עם סיטואציות אלו. לבלאק מג'יק, "במקרה" יש נסיון ביצור מצלמות וציוד שידור כבר 20 שנה (מ-2001). אני מאמין שהציוד שלהם מקצועי….

נקודה חשובה נוספת לגבי שידור סלולרי – אל "תיבנו" על מודם סלולרי פנימי. במקרים רבים תכנון והטמעת האנטנות הסלולריות במכשירים רבים (כולל מחשבים ניידים, במיוחד של חברה אמריקאית מסויימת שלא אציין את שמה) הוא גרוע והקליטה היא בינונית ומטה. אפשרויות מומלצות:

  1. רכישה ושימוש במכשירי MIFI למיניהם (ודאו כי ה-4G שלהם פועל בארץ. אל תרכשו מ-eBay את ה-MIFI של Huawei. מכשיר גרוע שלא עובר כלל ל-4G בארץ עם אבטחה מאוד גרועה)
  2. אם יש לכם טלפון סלולרי ישן פנוי – חברו אותו ל-Power Bank והפכו אותו (זה בהגדרות) ל-Hot spot.
  3. השתמשו בנתב סלולרי עם אנטנות חיצוניות. קחו את זה לדוגמא – 170 שקל וזה שלכם (ובזמן שאני כותב את הפוסט הזה, הזמנתי את זה לעצמי) ועם חיבור RJ45 לקופסא. אם אתם משדרים כל כמה ימים דרך הסלולר, קנו 2 מכשירים כאלו וציידו אותם ב-SIM של ספק אחר בכל אחד, כך שאם יש בעיות קליטה עם ספק אחד, תוכלו להחליף במהירות מודם מבלי לטרוח להוציא SIM/לסנכרן מול אנטנות וכו'.

לסיכום: לפני שרוכשים פתרון כלשהו הקשור להזרמת מדיה לשידורי מצלמות – חשוב לבדוק מחיר ותמורה מול הצעות מתחרות. במקרה הזה השוויתי שתי הצעות -YoloLiv מול Atem Mini Pro ולעניות דעתי – ההצעה של בלאק מג'יק זולה משמעותית ונותנת יותר. יש כמובן עוד הצעות ועוד מוצרים, ולכן אני ממליץ בזמן הפנוי (ואם מחפשים לרכוש פתרון) להציץ יותר ולשאול אחרים.