Názory k článku Roman Vrba (SPCSS): Státní cloud přinese úklid, přepisování starých aplikací a rozšíření datacentra

Hodnotím kladně kam to dospělo - z HW hlediska mě to příjde OK za celkem i slušnou cenu. Lokalita fajn, perimetr s plotem fajn, ale ten SW stack je docela děsivý.

Tedy VMWare, Azure, Windows. Rozhodně bych nemluvil o "enterprise" řešeních.
VMWare je vyloženě černá ovce, protože Broadcom s ním provede buhví co a všude uvadá. Azure je spíš podprůměrná cloudová platforma, kde stejně všichni používají jen VPSky a Windows Server je řešení pro small byznys.
Navíc licencování všech těchto produktů je dost "divoké". V reálných cloudech se tudíž téměř nepoužívají (je to exotika).

Dotaz na OpenStack se mi jeví velmi relevantní a určitě by to stálo za to uvažovat nad něčím trošku vyspělým. Jako v těch "ne-enterprise řešeních, která používají ti velcí hráči" SD storage, SD síť atd.

Takže jsem zvědav kam to bude postupovat, ale zatím to vypadá celkem nadějně.

A co je pro tebe enterprise jiného než právě vmware, ms? To je právě enterprise jak vyšité (nezaměňuj s objektivními kritérii a hodnocením kvality).

Vmware uvadá? Vždyť v Evropě je jednička na poli virtualizací, za sebou má tak max. Citrix. V loňském roce dokonce posílil.

Azure a podprůměrná? Těch velkých cloudů je pár, blbě se z 4 dělá průměr, že. Azure je technicky poměrně vyspělý, má daleko lépe řešení api/cli/ui proti třeba aws, máme s ním daleko méně chyb při accountingu, poskytuje homogennější prostředí než GC nebo AWS. Vím, je to o úhlu pohledu, ale rozhodně bych to neprůměroval.

Windows a pro small řešení? Uhf, to tak není. MS SQL Server pohání kdejaké velké řešení (Alza také není small), bohužel velká řada státních projektů právě využívá MS SQL Server a zkušenosti s provozem na linuxu jsou obecně malé (také se mi do toho moc nechce chodit), tady asi vítr vane. Na druhou stranu pak tady máme Oracle a pak zase dlouho nic, když chceme nějakou spolehlivou distribuovanou databázi (vím, staví se to i na pg, ale to má svoje nevýhody).

SD storage, SD síť má jednu obrovskou nevýhodu, je to nové, strašně pomalé (really), každopádně openshift tam nechávají. Co vůbec považuješ za vyspělé řešení? Openstack?

Co znamená z pohledu vývoje? To, že to neumí lokální vývoj? Třeba z pohledu jak řešit zabezpečení, auditovat přístupy je naopak navrchu. Je těžké ale něco obecně srovnávat, když tady máš jednotky poskytovatelů a každý má stovky, tisíce služeb, které nabízí. Každý v tom umí vidět někde výhody, někde problémy.

Standardní open source nenabízí snad žádný cloud, všichni to mají méně či víceméně poohejbané, změněné nebo do toho mají zadrátovaný svůj backend.

Dokumentace je také hodně subjektivní, třeba AWS, každou službu tam dělá jiný samostatný tým, takže vše se chová jinak, dokumentaci si píšou sami, každá je jiná a často se zabírá více popisem technického řešení než samotným použitím nebo limitům. Jinak jsou pojmenované položky v CLI a jinak v API, rekonstruovat občas nějaký stav je složité. V Azure web používá podobné api jak můžeš používat ty, snadno se vše exportuje a zjišťuje (audituje), co se tam naklikalo. Každopádně rozsah těhle cloudů a jejich služb je tak velký, že opravdu to nemá smysl hodnotit obecně, ale vždy ke konkrétním službám a způsobu použití.

Hm, hm, hm, vše vzniká na linuxu a open source? To je tak asi zbožné přání. V open source jsem celý život, ale prostě nedá se nad tím vše udělat. Třeba vysokodostupná SQL databáze s live migrací a šífrováním je něco, co prostě v open source neexistuje (luks je jen velký kompromis). Programování pro linux se dělá snad pouze v javě (to zase není taková suprovina, že), #C a .NET jsou naopak velice silné nástroje a u státních zakázek dominují (jde asi o dlouhodobou udržovatelnost, go/python/php se nedají na roky zakonzervovat a mají kratší životní cykly).

Btw, mám za sebou stovky navrhutých a realizovaných systémů, malé, velké, firemní, státní a v tomhle oboru se pohybuji. Realizovat něco nad open source je prostě těžké, ty věci nejsou dostatečné a penetrace je opravdu zatím velice špatná, snažím se o opak, ale ty chybějící funkce do open source prostě nikdo nechce zaplatit, protože si každý myslí, že to je zadarmo...

Azure roste vic jak aws/gcp. Openstack je mrsina. A cena neni vubec jasna, rec je o usporach, pritom jeste neni ani jasne co tam pujde a kdo jak prepise. Plot je fajn.

Azure rozhodně je podprůměrný cloud a z těch top 3 nejhorší (minimálně z pohledu vývoje). To, že to MS umí prodat nemá s kvalitou Azure vůbec nic společného. To, že to tak prodává resp. vnucuje je jenom díky jejich zaháčkování ve firmách a institucích díky Windows, Office atp. Většina těch velkých cloudových providerů nabízí standardní open source řešení plus něco svého navíc a jenom Azure má skoro vše své interní a spousta věcí nelze ani testovat lokálně. Moje zkušenost api/cli/ui s Azure a ostaními je přesně opačná. Perlička k tomu UI je vyhledávání jenom v tom co je vylistované na stránce. Takže máte třeba milion blobů, ale vyhledává to jenom v prvních 20. V čem Azure ale oproti konkurenci zaostává je dokumentace, protože to je jenom kupa hnoje. Stačí se podívat na dokumentaci u AWS a Azure. Další v čem je Azure naprosto mimo je kvalita jejich knihoven (mám zkušenosti s Java a Python), protože označit to jako hnůj je urážka hnoje. Možná to pro C# je jiné ale to nevím. Ale nikdo, kdo nad tím trochu přemýšlí, se nechce locknout na jeden programovací jazyk.

Windows a pro small řešení? Uhf, to tak není. MS SQL Server pohání kdejaké velké řešení (Alza také není small), bohužel velká řada státních projektů právě využívá MS SQL Server a zkušenosti s provozem na linuxu jsou obecně malé (také se mi do toho moc nechce chodit), tady asi vítr vane. Na druhou stranu pak tady máme Oracle a pak zase dlouho nic, když chceme nějakou spolehlivou distribuovanou databázi (vím, staví se to i na pg, ale to má svoje nevýhody).
Tohle je dobrý blábol a ukazuje na naprosté odtržení od reality. Nové řešení na MS SQL a Oracle již téměř nevznikají a z velké části ty projekty dojíždí (možná tak ve státní správě). Lidi jsou líní a nechtějí se učit nové věci. Kvůli tomu, že to 20 let dělají takhle, tak je ani nenapadne, že to jde dělat jinak, lépe a levněji. Nová řešení se staví na Linuxu s open source. Možná zkušenosti ve státní sféře jsou malé, ale obecně je to s Linuxem právě naopak, protože na něm běží většina serverů a jenom pár exotických běží na Windows a většinou jenom kvůli MS věcem zbytek.
Mimochodem zrovna Alza by mohla o MS SQL vyprávět.

Co znamená z pohledu vývoje? To, že to neumí lokální vývoj?
To, že nemůžete např. otestovat spojení s databází bez toho aniž byste se připojil do cloudu. Tohle je obrovský problém. Každý vývojář pro otestování se proto musí připojit ke cloudu.

Standardní open source nenabízí snad žádný cloud, všichni to mají méně či víceméně poohejbané, změněné nebo do toho mají zadrátovaný svůj backend.
To není pravda. Azure totiž poskytuje něco jako Kafka, Mongo, AMQP "like" API/protokol, ale nikdy to není to samé jako originál a je pain s tím dělat a defacto vás to donutí využívat jejich proprietární řešení. Pokud chcete stavět řešení pro cloud agnostic, tak můžete skoro na všechny služby v Azure zapomenout.

Dokumentace je také hodně subjektivní
V tomhle případě to rozhodně není subjektivní. Dokumentace Azure je strašně strohá a spousta věcí tam buď naprosto chybí a nebo jsou nedostatečně popsané.

Hm, hm, hm, vše vzniká na linuxu a open source? To je tak asi zbožné přání. V open source jsem celý život, ale prostě nedá se nad tím vše udělat. Třeba vysokodostupná SQL databáze s live migrací a šífrováním je něco, co prostě v open source neexistuje (luks je jen velký kompromis). Programování pro linux se dělá snad pouze v javě (to zase není taková suprovina, že), #C a .NET jsou naopak velice silné nástroje a u státních zakázek dominují (jde asi o dlouhodobou udržovatelnost, go/python/php se nedají na roky zakonzervovat a mají kratší životní cykly).
Nikde jsem nepsal, že vše. Stačí se podívat na technologické firmy a většina bude využívat Linux a open source a nebo svoje interní věci na nové projekty a nebo právě nějaký cloud.
Opravdu programování pro linux se nedělá jenom v Javě ale de facto ve všech jazycích, kromě právě C#, který jako jediný se provozuje na Windows. C# a .NET ale nedominují u státní zakázek díky svým kvalitám, ale díky tlačení ze strany MS. Globálně C# rozhodně není majoritní a moc opravdu obřích technologických firem ho nepoužívá (kromě MS).
A zrovna česká státní správa není zrovna ukázka toho jak se to má dělat.

Realizovat něco nad open source je prostě těžké, ty věci nejsou dostatečné a penetrace je opravdu zatím velice špatná, snažím se o opak, ale ty chybějící funkce do open source prostě nikdo nechce zaplatit, protože si každý myslí, že to je zadarmo...
To záleží co si ty věci nejsou dostatečné představit. Pokud je to myšleno jako nějaké krabicové řešení pro ERP atp. tak ano tady opravdu open source nemůže vyhrát. Ale pokud se bavíme o zakázkovém vývoji tak by mě zajímalo co vám konkrétně chybí. Často jsou problém různé certifikace.

otestovat spojení s databází? K čemu? :) To trochu nabourává právě nějaké bezpečnostní perimetr, když se potřebuji od sebe někam připojovat. Když to potřebuji kvůli tomu, abych dělal vývoj, tak budu mít dev databázi, mock, fixtures atd. To chápu, ne všichni s tím jsou spokojení a raději dělají pokus-omyl. Nekritizoval bych za to ale konkrétní cloud, prostě to je problém jakéhokoliv SaaS.
Jde o to vytvořit izolované testy tak aby právě nebylo potřeba volat žádnou třetí stranu a zároveň ověřit, že se to chová tak jak tvrdí. Ono je opravdu paráda pak řešit proč se to chová v produkci úplně jinak. Viz Cosmos DB a všechny jeho like API. Nebo Service Bus a jeho prapodivná implementace AMQP, která funguje jenom s knihovnou od MS.

AWS poskytuje Mongo i Elasticsearch jediný rozdíl je, že starší verzi před změnou licencí. Naproti tomu třeba Cosmos DB s Mongo like API neposkytuje text search, agregace se nedají používat protože asi 90% operátorů buď chybí nebo se chovají úplně jinak a to ani nemusím zmiňovat regexpy, které se chovají úplně jinak.

V kterém cloudu jejich dokumentace pokrývá 100 % jejich funkcí? Ze zkušenosti v žádném a to, jestli tam něco chybí je zase věcí toho, jaké vlastně mám znalosti a co už znám. Někdo potřebuje popsat jak používat iodc, někomu prostě stačí jen endpointy.
Nejde o to pokrýt 100% ale ty důležité části a principy a to u Azure prostě není. Jedna naše zkušenost z praxe Azure IoT Hub. Člověk nemá šanci pochopit jak to funguje z dokumentace a nejvíc vtipné bylo, že to nebyl schopný říct ani jejich support. Konkrétně jsme řešili TPM a provisioning. Víte co nám nakonec nejvíce pomohlo
podívat se do dokumentace v AWS a GCP. U toho Azure IoT Hub DSP nejsou ani ty endpointy popsané. Další lahůdka je jejich CosmosDB a ServiceBus tam je toho tak málo.

Celý článek je o českém prostředí a českém cloudovém řešení, zatahovat sem to, jak se to dělá jinde může být ok, ale je nám to k ničemu.
Jako vážně. Ne opravdu nejsme specifický trh ani žádná velmoc. Není jediný důvod to v českém prostředí dělat jinak než všude jinde na světě.

Ano, v linuxu se dá programovat v čemkoliv (dokonce i v tom C# a .NET), ale na zakázkách/pro­jektech to nevidím a ta dominance je jasná. Stejně tak linux se používá, ale hodně se k němu kupuje podpora či je součástí samotné zakázky a dělá jí dodavatel (aneb někdo prostě musí řešit aktualizace a případné migrace a nekompatibilní změny).
Žijete asi v dost specifickém a velmi úzkém prostředí a chtělo by se rozhlédnout kolem. Pokud děláte jenom C#, tak vám to tak může připadat, ale zbytek opravdu neběží na Windows. To už je větší pravděpodobnost, že se setkáte s nějakým unixem než s Windows, když vyškrtneme C#.
Co se snažíte říct s kupování podpory k Linuxu opravdu nechápu. Nebo, že je součástí zakázek. Jako, že to na tom něco mění?

Zakázkový vývoj a open source přece není to stejné.
Ale to přece nikdo netvrdí.

Psal jsem, že v open source spousta věcí chybí (zpravidla je to absence šifrování, ACL, multitentant přístupů), často to tam sice je, ale musíš si to nakonfigurovat, poskládat a otestovat sám, některé části jsou dloudobě neudržované,
Možná to bude pro vás asi šok ale většina toho vašeho šifrování bude postavená právě na nějaké open source knihovně.

je častý problém s licencemi (až neuvěřitelně moc kódu nemá licenci dostatečně uvedenou ke všem částem nebou používá závislosti, které jí mají nekompatibilní). Jednou za čas nastane problém, že nějaký vendor prostět najednou změní licenční politiku a jsi odříznutý od aktualizací, blbě se pak dělají projekty s životností i 3 - 5 let.
Tohle je totální nesmysl. Právě proti změně licence vás často open source chrání. Pokud to licence umožňuje, tak si knihovnu můžete vzít a udržovat sám. To je právě ta myšlenka proč např. GNU vzniklo. Že to bude stát peníze a zdroje? Ano bude, ale stále máte tu možnost. Když vám tohle udělá komerční produkt, tak máte prostě smůlu. Ano je to problém, ale hlavně u komerčních produktů.

otestovat spojení s databází? K čemu? :) To trochu nabourává právě nějaké bezpečnostní perimetr, když se potřebuji od sebe někam připojovat. Když to potřebuji kvůli tomu, abych dělal vývoj, tak budu mít dev databázi, mock, fixtures atd. To chápu, ne všichni s tím jsou spokojení a raději dělají pokus-omyl. Nekritizoval bych za to ale konkrétní cloud, prostě to je problém jakéhokoliv SaaS.

A kdo v cloudu poskytuje Kafku, která je 1:1 s původní Apache Kafkou? Nikdo (AWS má svoje MSK, Google poskytuje pouze Confluent distribuci atd.). To stejné Mongo, žádný z velkých cloudů neposkytuje Mongo jako SaaS ale má tam svoje řešení s Mongo api. Stejně to je i s OpenSearch od AWS, jejich OpenSearch se chová jinak než, když si vezmu zdrojáky a provozuji sám.

V kterém cloudu jejich dokumentace pokrývá 100 % jejich funkcí? Ze zkušenosti v žádném a to, jestli tam něco chybí je zase věcí toho, jaké vlastně mám znalosti a co už znám. Někdo potřebuje popsat jak používat iodc, někomu prostě stačí jen endpointy.

Celý článek je o českém prostředí a českém cloudovém řešení, zatahovat sem to, jak se to dělá jinde může být ok, ale je nám to k ničemu. Ano, v linuxu se dá programovat v čemkoliv (dokonce i v tom C# a .NET), ale na zakázkách/pro­jektech to nevidím a ta dominance je jasná. Stejně tak linux se používá, ale hodně se k němu kupuje podpora či je součástí samotné zakázky a dělá jí dodavatel (aneb někdo prostě musí řešit aktualizace a případné migrace a nekompatibilní změny).

Zakázkový vývoj a open source přece není to stejné. Psal jsem, že v open source spousta věcí chybí (zpravidla je to absence šifrování, ACL, multitentant přístupů), často to tam sice je, ale musíš si to nakonfigurovat, poskládat a otestovat sám, některé části jsou dloudobě neudržované, je častý problém s licencemi (až neuvěřitelně moc kódu nemá licenci dostatečně uvedenou ke všem částem nebou používá závislosti, které jí mají nekompatibilní). Jednou za čas nastane problém, že nějaký vendor prostět najednou změní licenční politiku a jsi odříznutý od aktualizací, blbě se pak dělají projekty s životností i 3 - 5 let.

Tak jsme zase u toho, že ta dokumentace má nějakou hloubku a občas to vyžaduje nějaké znalosti, které již máš, to je pak o tom, jestli jsi cílovka, jestli ten produkt mají správně postavené. Dělám se všemi cloudy a nedokážu říct, že by jeden měl dokumentaci o dost lepší/horší než jiný, prostě nahoru, dolu.

Jak specifický trh? Vždyť se tady bavíme o státním cloud datacentru, které je určené pro státní projekty, je logické, že budou podporovat to, v čem se větší míře ty státní projekty realizují. Pokud mají spousty už existujících projektů na C# a SQL Serverem tak je logické, že přesně tohle bude státní cloud podporovat.

Proč máš potřebu být tak útočný? Ano, open source knihovny řeší šifrování, ale někdo ti tu knihovnu musí naimplentovat do aplikace/OS a tam to prostě chybí (stačí se podívat kolik open source databází podporuje šifrování dat a jak, nic moc).

Ne, vůbec nemluvím o tom, že GNU tě proti změně licence chrání. Mluvím o tom, že řada hotových kódů nemá licenci správně uvedenou (často třeba licenci mají jen u výsledného balíčku a ne u kódu) nebo ignorují nekompatibilní licence svých závislostí.

Ne o nějakém počítání znalostí nemůže být řeč. Ve té dokumentaci chybí spousta věcí většinou to končí u úplně elementárního příkladů, který stejně nikdo nemůže použít a další věci naprosto chybí. Právě že zkušeností s ostatními mužů s klidně říct, že ta dokumentace Azure je naprosto strašná. A to nemluvím o dokumentaci knihoven (minimálně pro Java a Python).

Jak specifický trh? Vždyť se tady bavíme o státním cloud datacentru, které je určené pro státní projekty, je logické, že budou podporovat to, v čem se větší míře ty státní projekty realizují. Pokud mají spousty už existujících projektů na C# a SQL Serverem tak je logické, že přesně tohle bude státní cloud podporovat.
Vám snad příjde, že to stát dělá nyní dobře? Že jsou ty projekty a řešení dobré. To, že NIA sestřelí takové malé množství requestů je už jenom špička z ledovce. Navíc státní cloud by měl být univerzální a neměl by se budovat vendor lock-in.

Proč máš potřebu být tak útočný? Ano, open source knihovny řeší šifrování, ale někdo ti tu knihovnu musí naimplentovat do aplikace/OS a tam to prostě chybí (stačí se podívat kolik open source databází podporuje šifrování dat a jak, nic moc).

Ne, vůbec nemluvím o tom, že GNU tě proti změně licence chrání. Mluvím o tom, že řada hotových kódů nemá licenci správně uvedenou (často třeba licenci mají jen u výsledného balíčku a ne u kódu) nebo ignorují nekompatibilní licence svých závislostí.
To nemělo být vůbec nic útočného to bylo jenom konstatování faktu. Pokud sáhnete na něco co je pod nějakou známější foundation (což je z těch důležitých knihoven většina), tak tam licence vyřešené jsou a mnohdy mnohem lépe než u komerčních, které např. s GPL vyjebávají (Linux Foundation, GNU, Apache, Eclipse atp.). My se totiž bavíme o úplně něčem jiném. Já píší o zakázkovém vývoji, kde se opravdu něco vyvíjí, ale vy jenom o skládání připravených řešení (krabiček).