Transparent proxy na TEN34

[Marek Antos]

(* Poznamka na okraj: pokud nekdo zrovna nema naladu na cteni
necelych 8 kB textu, neni pro nej tento prispevek prilis vhodny *)

Dobry den,

On  2 Jun 98 at 16:57, Bohumil Chalupa wrote:

> Kterazto uvaha muze jednoho privest i na tu myslenku, ze kdyby si vsichni
> poskytovatele hned na vstupni strance presmerovali klienta na jiny port,
> bude cache uplne vedle.   :-)

urcite jo, ostatne je i rada dalsich zpusobu a uzivaji se.

Drive, nez zacneme resit problem, jak to precurat a nekde za bukem
se vysmat providerovi, ktery tu cache nasadil, je ale potreba zvazit
jinou otazku. Je cachovani vyhodna vec? Ja si myslim, ze urcite ano,
a pri spravnem pristupu dokonce pro vsechny strany.

a) Poskytovatel pripojeni

Zvysi propustnost linek, ma spokojenejsi zakazniky, usetri za
prenosovou kapacitu. Neni treba diskutovat dal, tady je to zrejme.

b) Zakaznik resp. ctenar

Zrychli se mu pristup, coz je samo o sobe dostatecny duvod k
radosti. Pokud je to navic komutant, usetri primo v podobe kratsiho
uctu za telefon (nuly jen pres dva papiry). Jestlize ne,
zbyva tu jeste moznost, ze je kapitalista; pak uz mu urcite davno
hodinky cas odtikavaji v dolarech.

V urcitem smeru se ale muze jeho postaveni i zhorsit - neaktualni
stranky v cache. Tady jsme u klicoveho bodu celeho problemu: jak ty
cache nastavit tak, aby s aktualnosti nebyl problem.

c) Provozovatel obsahu

Pokud spravne nastavi jednotlive casti svych stranek, takze se
napriklad obrazky cachovat budou a zbytek nikoliv (bannery jsou
jasne, samotne dokumenty kvuli kodovani cestiny bohuzel taky), muze
celou veci taky ziskat.

* Lidi k nemu budou mit rychlejsi pristup (minimalne k tem obrazkum,
ktere tvori podstatnou cast objemu dat);

* budou ho vic navstevovat (no, aspon o trosku jo... :-);

* kdyz uz u nej jednou budou, prolezou vic stranek (dorazim-li na
server, ktery je beznadejne pomaly a zrovna tam neco cilene
nepotrebuji, velmi rychle ztracim nervy a zaviram okno).

Na druhe strane muze taky neco ztratit. Predevsim to ucini caru pres
rozpocet tem, kteri stale pocitaji navstevnost pres unikatni IP
adresy. Jenze tahle velicina dnes opravdu stoji na velmi hlinenych
nohach a to nejen kvuli cache serverum, takze i kdyz se vseobecne
pouziva (je to nejsikovneji uchopitelne cislo ze vsech, ktere vam
bezne statisticke programy nabizeji), timto zpusobem nelze proti
cache serverum argumentovat. Druhym problemem muze byt ohlidani
aktualnosti stranek v proxy cache serverech - znova se tu
vynoruje tataz otazka spravneho nastaveni tech serveru.

---

Vnimavy ctenar promine, kdyz vyslovim, co uz jiste davno pochopil.
Proxy cache, zvlaste ty s privlastkem transparentni (protoze jsou z
definice mnohem sireji vyuzite), jsou nepochybne dobra vec, ktera si
zaslouzi rozsireni a - cimz se dostavam k meritu veci - pri splneni
urcitych podminek muze byt prospesna pro vsechny zucastnene.

Diskuse se tedy nema ubirat smerem - proxy cache ano ci ne, protoze
tahle bitva je stejne predem rozhodnuta v jejich prospech a musim to
hodnotit jako klad. Spravna otazka zni: jak ty potvurky mrnave
nastavit a jaka dalsi opatreni prijmout.

A tady presne byl ten bod zlomu, ktery odstartoval celou tu aferu
(nekteri se na mne proto slovo pouzite v teto souvislosti zlobi, ale
mne se zda patricne). CESNET totiz nasadil zminenou cache, takze
spravci serveru nahle nasli u zhruba 10 % pozadavku na serveru adresu
jednoho stroje. V tu ranu se zacali ptat, co se to deje, proc se to
deje a vyjadrili svuj nesouhlas, nekteri umirnene, nekteri
radikalneji (stylem "jestli to tak zustane, blokneme je" - nebylo
jich malo a nemuzu rici, ze by to jako reakce v prvni chvili nebylo
pochopitelne). A presne v tomto okamziku se v odpovedi na zadosti o
zverejnovani statistik zacaly z CESNETu ozyvat hlasky jako:

"KDO si myslis, ze Vam je da ? Jako ze CESNET bude mit pro TEN
zamestnanych X lidi, ktery budou overovat, za dany spravce serveru je
skutecne ten pravy? Cece dyt ste vsichni uplne na hlavu. Mereni dle
unikatnich IP adres je sto let za vopicema. Neposkytuje PRAZADNY
vyraz toho, kolik lidi tam ci onam leze. Me na ... chodi denne kolem
1200 - 1500 lidi uz stabilne asi tri mesice. A pritom traffic FURT
stoupa."

Nemuzu tak docela nesouhlasit s tim, co tenhle odstavec rika, autor
ma pravdu, ono to tak v zasade opravdu je, jenze nezlobte se na mne,
je to netakticky pristup. Podotykam, ze tohle nebylo oficialni
vyjadreni, ale soukromy mail, a tak je na nej take treba koukat. Na
druhou stranu velmi dobre ukazuje, jaky pristup CESNET hned v pocatku
mel (byt mozna v kvetnatejsim podani). Nedivte se pak provozovatelum
obsahu, potazmo APO, ze oplaceli podobne ujetou minci. Kdyby CESNET
zvolil mene "ramenatou" cestu, nepochybne by sklidil lepsi odezvu.

Nasel jsem dnes ve svem mailboxu prehrsel mailu z teto konference a
chvilemi jsem si nebyl jist, jestli jsem si nespletl lokal - vice nez
cokoliv jineho se tu resi problemy, vyplyvajici z autorskeho zakona.
Pokud se tu nekteri chytaji za slovicka, jini za hlavu, spatruji v
tom nepochopeni situace. Podle meho osobniho nazoru se skutecne jedna
o poruseni AutZ, nazory pravnich expertu se lisi (ovsem malokdo z
nich chape, co to cache je), nicmene v dusledku by stejne musel
rozhodovat soud. Pokud ale nekdo porusi AutZ, tedy soukromopravni
normu, neznamena to, ze mu okamzite na rameno dopadne pevna paze
spravedlnosti, reprezentovana zasahovou jednotkou, rozkopnuvsi ve
tri rano jeho dvere od bytu. Zalezi totiz na tom, kdo je porusenim
teto pravni normy dotcen, jak bude reagovat, vse je tedy v jeho
rukou, kterymi nad tim muze klidne mavnout.

Provozovatele obsahu se autorskeho prava nedovolavali kvuli tomu, ze
by chteli cache jako takove zatrhnout, ostatne prece i to APO rika,
ze "chapou podobna opatreni z technickeho hlediska jako prinos k
uvolneni pruchodnosti siti ceskeho Internetu." Je to jen jediny
pravni podklad jejich pokusu o to, aby CESNET prijal nektere jejich
pozadavky (popr. se jimi aspon zacal seriozne zabyvat). Se vztycenym
prstem se tedy rika: "Uvedom si, mily CESNETe, ze dost mozna
porusujes nase autorska prava. My chapeme, ze je to pro dobro veci,
takze to nechceme zatrhnout, ale na oplatku projev nejakou vstricnost
a spln podminky, ktere Ti predkladame."

Vseobecne ale nenasledovala diskuse o tom, zda jsou ty pozadavky
rozumne, ale zacaly se rozebirat slovicka pravnich norem a nanaset
priklady vseho mozneho a predevsim nemozneho. Prirodo, kdyby mi
nejaky pravnik, ktery by mel pocit, ze po precteni dvou clanku o
Internetu v Blesku uz vi vsechno, zacal radit, jak si mam
nakonfigurovat server, odkazal bych ho do patricnych mist. Tady ale
rozebirame (a nejen tady) jakozto pravni laici pravni normy, aniz
bychom do veci videli (ted cilim i na sebe, taky jsem se v nekolika
osobnich mailech s ruznymi lidmi nechal strhnout :-). Drzme se sveho
kopyta a venujme se vecem, kterym rozumime, nebo se nam to aspon dari
presvedciveji predstirat. :-)

Jednou z tech podminek je predani logu onech proxy cache serveru
nezavislemu auditorovi. Jsou tu u nas v zasade dva subjekty, ktere by
prichazely v uvahu, takze ve vyberu neni velky problem. Nespatruji
jej ani v odesilani tech logu, to se nakonec da i automatizovat. Je
tu neco, co CESNETu brani ucinit vstricny krok (i kdyby si pod vousy
septal cokoliv) a pristoupit na tuto podminku? Pro provozovatele
serveru to muze mit svoji nezanedbatelnou cenu, CESNET samotny to
pritom nestoji ani tuk.

Ostatne je nefer tu jmenovat stale jen CESNET - k nasazeni
transparentnich proxy cache serveru se chystaji i dalsi provideri.
CESNET ma tu smulu, ze to chytil jako prvni, na druhou stranu je
nutne vyslovit pochvalu, ze akademicka sit je nositelem pokroku - tak
by to melo byt.

Omlouvam se za trochu rozvlekly mail, ale mel jsem pocit, ze
zevseobecnovani uz bylo v teto veci dost. Resume je jednoduche:
"Proxy cache jsou dobra vec, urcite stoji za to je pouzivat, uzitek
mohou prinest vsem na scene. Je potreba jen jedine - dohodnout se."
Oc jednodusi je ten zaver, o to obtizneji se uplatni v praxi.

Zdravi,
   MA
-----------
Marek Antos
Internet Info, s.r.o.

>> Lupa - server o ceskem Internetu - http://www.lupa.cz  <<