proxy

Tailscale Funnel 公開測試

去年 11 月的時候寫過 Tailscale Funnel 的消息：「Tailscale 也推出類似 Cloudflare Tunnel 的產品，Tailscale Funnel」，剛剛則是宣佈公開測試：「Tailscale Funnel now available in beta」。

測了一下，設定不算太難，但有些步驟要做：

在網頁上先允許 Access Controls 內的 Funnel。
然後允許 DNS 內的 HTTPS Certificates。
剩下就是照著文件跑，在本地跑對應的指令。

他的想法是把 *.ts.net 這個網域拿出來 internet 上面用，但他希望 Let's Encrypt 簽的 SSL key 應該要放在本地端，而不是讓 Tailscale 看到內容。

但同樣也考慮到使用者的體驗，Tailscale 不需要使用者自己處理 SSL certificate 一堆事情，而是實做在 tailscaled 這隻程式裡面，讓本地端的程式還是走 HTTP 而非 HTTPS。

對應的，使用者如果想要取得對應的 key 與 cert，也可以透過 tailscale cert 指令取得。

測了一下位置，HiNet 的使用者會透過東京的節點轉進來，拿來跑測試開發機應該是夠用。

以他的用法來說，跟 Cloudflare Funnel 的定位不太一樣，反倒是擠壓 ngrok 這類服務。

Etsy 使用 Vitess 的過程

Etsy 寫了三偏關於使用 Vitess 解決資料庫效能問題的文章：「Scaling Etsy Payments with Vitess: Part 1 – The Data Model」、「Scaling Etsy Payments with Vitess: Part 2 – The “Seamless” Migration」、「Scaling Etsy Payments with Vitess: Part 3 – Reducing Cutover Risk」。

Vitess 是 YouTube 團隊開發出來的東西，試著透過一層 proxy 解決後端 MySQL 資料庫在 sharding 後查詢邏輯的問題。

有一些地方的資訊整理出來：

首先是現代暴力解的能耐，從維基百科可以查到 Etsy 在 2015 年就上市了，但到了 2020 年年底撞到 vertically scaling 的天花板 (這邊是指 GCP 的上限)，可以看到現在的暴力法可以撐超久... 如果再多考慮到實體機房的話應該可以找到更大台的機器。

第二個是 Etsy 在 2020 年年底開始從資料庫搬資料，一路到 2022 年五月，算起來差不多搬了一年半，總共轉移了 4 個 database 到 Vitess 的 cluster 上，共 23 張表格與 40B rows。

第三個是利用 Vindexes 這個技術降低 sharding 時所帶來的限制。這個之前沒研究過：

A Vindex provides a way to map a column value to a keyspace ID.

從「Older Version Docs」這邊翻舊版的文件，發現 5.0+ 都有，再往 GitHub 上面的資料翻，看起來從 2016 年的版本就有了，不過當時看起來還一直在擴充：「Vitess v2.0.0-rc.1」。

回來看現在的功能，有 primary vindex 的設計：

The Primary Vindex for a table is analogous to a database primary key. Every sharded table must have one defined. A Primary Vindex must be unique: given an input value, it must produce a single keyspace ID.

然後是 secondary vindex(es) 的設計，指到 keyspace id(s)，然後這個資訊會被用在 routing 上：

Secondary Vindexes are additional vindexes against other columns of a table offering optimizations for WHERE clauses that do not use the Primary Vindex. Secondary Vindexes return a single or a limited set of keyspace IDs which will allow VTGate to only target shards where the relevant data is present. In the absence of a Secondary Vindex, VTGate would have to send the query to all shards (called a scatter query).

It is important to note that Secondary Vindexes are only used for making routing decisions. The underlying database shards will most likely need traditional indexes on those same columns, to allow efficient retrieval from the table on the underlying MySQL instances.

然後是 functional vindex 與 lookup vindex，前者用演算法定義 keyspace id，後者讓你查：

A Functional Vindex is a vindex where the column value to keyspace ID mapping is pre-established, typically through an algorithmic function. In contrast, a Lookup Vindex is a vindex that provides the ability to create an association between a value and a keyspace ID, and recall it later when needed. Lookup Vindexes are sometimes also informally referred to as cross-shard indexes.

然後 lookup vindex 還有對 consistent hashing 的支援：

Consistent lookup vindexes use an alternate approach that makes use of careful locking and transaction sequences to guarantee consistency without using 2PC. This gives the best of both worlds, with the benefit of a consistent cross-shard vindex without paying the price of 2PC. To read more about what makes a consistent lookup vindex different from a standard lookup vindex read our consistent lookup vindexes design documentation.

這樣整體看起來，Vitess 把所有常見的 sharding 方式都包進去了，如果以後真的遇到這個量的話，也不需要自己在 application 或是 library 做一堆事情了...

Tailscale 也推出類似 Cloudflare Tunnel 的產品，Tailscale Funnel

Tailscale 也推出了類似 Cloudflare Tunnel 的產品，叫做 Tailscale Funnel：「Introducing Tailscale Funnel」。

都是透過 server 本身主動連到 Cloudflare 或是 Tailscale 的伺服器上，接著外部的 request 就可以繞進來了。

不過 Tailscale Funnel 的定位跟 Cloudflare Tunnel 有些差異，看起來 Tailscale Funnel 比較偏向給 dev/stage 環境的用法，Cloudflare Tunnel 像是要跑在 production 的設計？

目前是 alpha 階段，有些限制，像是目前能開的 port：

The ports you can specify to expose your servers on are currently to 443, 8443 and 10000.

另外從技術面上看起來一定得用 TLS 連線，因為他得透過 TLS 的 SNI 資訊來決定是誰：

We can only see the source IP and port, the SNI name, and the number of bytes passing through.

對於已經有用 Tailscale 的使用者來說好像可以玩看看，但另外一點是 Cloudflare 的機房密度很高，這點可能是 Tailscale 也要想一下的問題？

Curl 的 --socks5 與 --socks5-hostname

SOCKS5 支援用 hostname 連線，而且是透過 SOCKS server 查 IP address，然後查資料的時候翻到「Curl: Re: ��: Why resolve the dns locally when using a socks5 proxy」這篇，發現 Curl 的 --socks5 原來有雷，一般人會想要用的應該是 --socks5-hostname 才對 XDDD

這是 --socks5：

Use the specified SOCKS5 proxy - but resolve the host name locally. If the port number is not specified, it is assumed at port 1080.

而這是 --socks5-hostname：

Use the specified SOCKS5 proxy (and let the proxy resolve the host name). If the port number is not specified, it is assumed at port 1080.

另外也有 --socks4 與 --socks4a，不過 SOCKS4a 的協定最主要就是加上 hostname 的連線：

SOCKS4a extends the SOCKS4 protocol to allow a client to specify a destination domain name rather than an IP address; this is useful when the client itself cannot resolve the destination host's domain name to an IP address.

然後隔壁棚的 socks5:// 與 socks5h:// 也有異曲同工之妙...

透過 SOCKS5 界面連進 WireGuard 網段的軟體 wireproxy

在 Hacker News 上看到「A userspace WireGuard client that exposes itself as a proxy (github.com/octeep)」看到這個有趣的東西，可以把自己當作是一個 WireGuard client，然後透過 SOCKS5 界面讓使用者使用... 專案則是在 GitHub 上的「Wireguard client that exposes itself as a socks5 proxy」這邊可以看到。

除了軟體本身有支援 SOCKS5 的可以用以外，另外可以搭配透過 LD_PRELOAD 把 TCP 連線都轉進 SOCKS5 服務的套件來用，像是 tsocks 或是 redsocks 這種工具。

然後這包東西是用 Golang 寫的，好像剛好可以拿來練手包 Ubuntu PPA...

MangoDB 改名為 FerretDB (雪貂)

先前提到的 MongoDB 相容方案 MangoDB，透過PostgreSQL 當底層而且維持 open source license 的方案 (參考先前寫的「MangoDB：拿 PostgreSQL 當作後端的 MongoDB 相容層」)，正式改名為 FerretDB：「MangoDB has a new name, and the momentum is stronger than ever. Meet FerretDB!」。

依照官方的說明，應該就是收到 C&D notice 了：

Moreover, a representative of MongoDB Inc. asked us to stop using the MangoDB name on our website, GitHub, or anywhere else, due to similarity or potential confusion.

Hacker News 上沒什麼討論，不過這邊還是列一下：「MangoDB has a new name (ferretdb.io)」，裡面有提到另外的「Ferret Database」這個網站，看起來是真的雪貂網站 XDDD

來看 Intel + Varnish 的單機 500Gbps 的 PR 新聞稿

在「Varnish Software Achieves 500Gbps Throughput Per Server for UHD Video Content」這邊看到 PR 稿，由 Intel 與 Varnish 合作，宣稱達到單機 500Gbps 的 throughput 了：

According to Varnish Software, the following were the outcomes of the test:

509.7 Gbps live-linear throughput, using a dual-processor configuration

487.2 Gbps video-on-demand throughput, using a dual-processor configuration

白皮書在「Delivering up to 500 Gbps Throughput for Next-Gen CDNs」這頁可以用個資交換下載，不過用搜尋引擎找一下可以發現 Intel 那邊有放出 PDF (但不確定兩邊給的是不是同一份)：「Delivering up to 500 Gbps Throughput for Next-Gen CDNs」。

單 CPU 的伺服器是四個 100Gbps 界面接出來，雙 CPU 的伺服器是八個 (這邊 SUT 是 system under test 的縮寫)：

These client systems were connected to the CDN servers using 100 GbE links through a switch; 4x100 GbE connections for the single-processor SUT, and 8x100 GbE for the dualprocessor SUT. Testing was done using Wrk, a widely recognized open-source HTTP(S) benchmarking tool.

不過如果實際看圖會發現伺服器是兩個 100Gbps (單 CPU) 與四個 100Gbps (雙 CPU)，然後 wrk 也吃了兩個或是四個 100Gbps：

在白皮書最後面也有提到測試的配置，都是在 Ubuntu 20.04 上面跑，單 CPU 用的是兩張 Intel 的 100Gbps 網卡，雙 CPU 的用的是四張 Mellanox 的 100Gbps 網卡：

3rd generation Intel Xeon Scalable testing done by Intel in September 2021. Single processor SUT configuration was based on the Supermicro SMC 110P-WTR-TNR single socket server based on Intel® Xeon® Platinum 8380 processor (microcode: 0xd000280) with 40 cores operating at 2.3 GHz. The server featured 256 GB of RAM. Intel® Hyper-Threading Technology was enabled, as was Intel® Turbo Boost Technology 2.0. Platform controller hub was the Intel C620. NUMA balancing was enabled. BIOS version was 1.1. Network connectivity was provided by two 100 GbE Intel® Ethernet Network Adapters E810. 1.2 TB of boot storage was available via an Intel SSD. Application storage totaled 3.84TB per drive and was provided by 8 Intel P5510 SSDs. The operating system was Ubuntu Linux release 20.04 LTS with kernel 5.4.0-80 generic. Compiler GCC was version 9.3.0. The workload was wrk/master (April 17, 2019), and the version of Varnish was varnishplus-6.0.8r3. Openssl v1.1.1h was also used. All traffic from clients to SUT was encrypted via TLS.

3rd generation Intel Xeon Scalable testing done by Intel in September 2021. Dual processor SUT configuration was based on the Supermicro SMC 22OU-TNR dual socket server based on Intel® Xeon® Platinum 8380 processor (microcode: 0xd000280) with 40 cores operating at 2.3 GHz. The server featured 256 GB of RAM. Intel® Hyper-Threading Technology was enabled, as was Intel® Turbo Boost Technology 2.0. Platform controller hub was the Intel C620. NUMA balancing was enabled. BIOS version was 1.1. Network connectivity was provided by four 100 GbE Mellanox MCX516A-CDAT adapters. 1.2 TB of boot storage was available via an Intel SSD. Application storage totaled 3.84TB per drive and was provided by 12 Intel P5510 SSDs. The operating system was Ubuntu Linux release 20.04 LTS with kernel 5.4.0-80- generic. Compiler GCC was version 9.3.0. The workload was wrk/master (April 17, 2019), and the version of Varnish was varnish-plus6.0.8r3. Openssl v1.1.1h was also used. All traffic from clients to SUT was encrypted via TLS.

不過馬上就會滿頭問號，四張 100Gbps 是怎麼跑到 500Gbps 的頻寬...

這份 PR 馬上就讓人想到 Netflix 先前放出來的投影片 (先前有在「Netflix 在單機服務 400Gbps 的影音流量」這篇提到)，在 Netflix 的投影片裡面有提到他們在 Intel 平台上面受限於記憶體的頻寬，整台機器只能跑到 230Gbps。

另外一種猜測是，如果 Intel 與 Varnish 宣稱的 500Gbps 是算 switch 上的總流量 (有這樣算的嗎，你是 Juniper 嗎...)，那這邊的 500Gbps 換算回去差不多就是減半 (還很客氣的沒把 cache 沒中需要去 origin server 拉資料的流量扣掉)，跟 Netflix 在 FreeBSD 上跑出來的結果差不多啊...

坐等反駁 XDDD

繞過 Web 上「防機器人」機制的資料

這兩天的 Hacker News 冒出一些討論在講 Web 上「防機器人」機制要怎麼繞過：

第一篇主要是從各種面向都一起討論，從大方向的分類討論 (「Where to begin building undetectable bot?」)，另外介紹目前有哪些產品 (在「List of anti-bot software providers」這邊)。

在文章裡有提到一個有意思的工具「puppeteer-extra-plugin-stealth」，主要是在 Node.js 類的環境，查了一下在 Python 上也有 pyppeteer-stealth，不過 Python 版本直接講了不完美 XDDD

Transplanted from puppeteer-extra-plugin-stealth, Not perfect.

第二篇文章在開頭就提到他不是很愛 Proxy，因為 Proxy 很容易偵測。在文章最後面則是提到了兩個方案，第一個是用大量便宜的 Android 手機加上 Data SIM 來跑，另外一個是直接用 Android 模擬器加上 4G 網卡跑。

依照這些想法，好像可以來改善一下手上的 RSS 工具...

MangoDB：拿 PostgreSQL 當作後端的 MongoDB 相容層

在 Hacker News Daily 上看到「A truly Open Source MongoDB alternative」這個東西，在「MangoDB: An open-source MongoDB alternative (mangodb.io)」的討論也可以翻一翻。

MongoDB 最主要的問題就是 4.0 以及以後的版本變成 SSPL 後就不是 open source license 了。

而 MangoDB 是個 Proxy service，前端提供 MongoDB 的協定，後端則是 PostgreSQL。

在 GitHub 上的「MangoDB-io/MangoDB」這邊可以看到 MangoDB 主要是用 Golang 寫的，軟體授權則是 Apache License 2.0。

The core of our solution is a stateless proxy, which converts MongoDB protocol queries to SQL, and uses PostgreSQL as a database engine. This will be compatible with MongoDB drivers, and should work as a drop-in replacement to MongoDB in many cases.

這對於只有提供 MongoDB 當儲存層的軟體來說會是個替代方案。不過如果是自己開發的話，這其實也證明了可以直接用 PostgreSQL，基本上 MongoDB 的功能都可以在 PostgreSQL 上找到方案。

話說這個讓我想到 2019 年 AWS 推出 Amazon DocumentDB 的時候，大家都一直在猜 Amazon DocumentDB 是不是拿 PostgreSQL 前面加上一些東西 (參考「大家在猜 Amazon DocumentDB 的底層是不是 PostgreSQL...」)，後來也有人發現再更早之前就有人 PoC 過了：「A proof of concept MongoDB clone built on Postgres (github.com/jerrysievert)」，現在一般的公認應該就是，只是 AWS 沒有 open source 出來。

目前 MangoDB 還在早期的階段，但看起來這波應該會有一些能量進去幫忙...

弄個 whoogle.hasname.com 給大家玩

先前提到的 Whoogle：「自架的 Google Search Proxy 伺服器專案：Whoogle Search」與「改寫「Press "g" to Google (DuckDuckGo)」讓他支援 Whoogle」，後來想一想還是讓沒打算自己架的人可以用好了，指到國外的 latency 還是比較高...

如果你是 Chromium 類的瀏覽器，可以把搜尋引擎改成：

https://whoogle.hasname.com/search?q=%s

如果是我寫的 userscript (「Press "g" to Google (DuckDuckGo)」這個)，可以改成：

https://whoogle.hasname.com/search?q=

然後 nginx 這邊先 access_log off; 了，理論上這樣應該是差不多了？

目前機器是放在客廳 (加 UPS)，之後可能會丟到台灣的 VPS 上？