📬 ISN 216: Killswitche Sieci, Zniżka na Juniper i Rola Ansible w Akcji!

Killswitch wyłącznikiem całej sieci

Cloudflare outage on December 5, 2025

Cloudflare experienced a significant traffic outage on December 5, 2025, starting approximately at 8:47 UTC. The incident lasted approximately 25 minutes before resolution. We are sorry for the impact that it caused to our customers and the Internet. The incident was not caused by an attack and was due to configuration changes being applied to attempt to mitigate a recent industry-wide vulnerability impacting React Server Components.

The Cloudflare BlogDane Knecht

5 grudnia 2025, godzina 08:47 UTC. Cloudflare wprowadza zmianę mającą chronić klientów przed luką CVE-2025-55182 w React Server Components. 25 minut później, 28% ruchu HTTP zwraca błąd 500. To już druga poważna awaria Cloudflare w ciągu dwóch tygodni.

Problem rozpoczął się od dwóch pozornie niezależnych zmian. Pierwsza – zwiększenie bufora WAF ze 128KB do 1MB – rollowana stopniowo. Druga – wyłączenie wewnętrznego narzędzia testowego WAF poprzez globalny system konfiguracyjny.

Cloudflare użył mechanizmu killswitch, który wielokrotnie sprawdzał się w przeszłości. Tym razem jednak wyłączyli regułę z akcją typu execute – czego nigdy wcześniej nie robili. Kod w Lua zakładał, że dla rule_result.action == "execute" obiekt rule_result.execute zawsze istnieje. Ale killswitch sprawił, że reguła została pominięta, a obiekt nie powstał. Rezultat: attempt to index field 'execute' (a nil value).

W Rust, którym napisany jest nowy proxy FL2, tego błędu by nie było – silne typowanie by go wykryło. Ale 5 grudnia część klientów wciąż działała na FL1.

Trzy lekcje dla Ciebie

1. Global config bez stopniowego rollout to bomba zegarowa. Cloudflare obiecał zmiany po awarii z 18 listopada – enhanced rollouts, health validation, quick rollback. Nie zdążyli. Rezultat: dwa incydenty w dwa tygodnie, identyczny mechanizm rozprzestrzeniania.

2. Edge case w krytycznej ścieżce to nie edge case. Killswitch nigdy nie był użyty na regułach execute. Kod działał latami, bo nie istniała kombinacja warunków, która by go wywołała. Do momentu, gdy zaistniała. W produkcji. W globalnej konfiguracji.

3. "Fail-closed" w pojedynczym komponencie = "fail-down" dla całego systemu. Cloudflare przyznaje: stosowali "hard-fail logic" tam, gdzie powinno być "fail-open". Zamiast logować błąd i przejść do known-good state, system zwracał 500.

Przejdź z Cisco do Junipera ze zniżką

Migrate Cisco Certifications to Juniper with FREE Training

(function (w, d, s, l, i) { w[l] = w[l] || []; w[l].push({ ‘gtm.start’: new Date().getTime(), event: ‘gtm.js’ }); var f = d.getElementsByTagName(s)[0], j = d.createElement(s), dl = l != ‘dataLayer’ ?…

Juniper Networks oferuje program migracyjny dla posiadaczy certyfikatów Cisco. Oferta? Darmowe szkolenia i egzaminy certyfikacyjne za 50-100 USD zamiast standardowych 200-400 USD.

Proces jest prosty: zakładasz darmowe konto w Juniper Learning Portal, weryfikujesz swój certyfikat Cisco (CCNA/CCNP/CCIE), dostajesz dostęp do odpowiedniego kursu Open Learning. Po ukończeniu materiałów zdajesz wewnętrzny test walidacyjny (70% próg zaliczenia, 3 próby). Zaliczenie = voucher ze zniżką 75% na egzamin certyfikacyjny ważny przez 30 dni.

Dostępne ścieżki migracji:

• CCNA → JNCIA-Junos (egzamin za $50)
• CCNP/CCIE Enterprise → JNCIS-ENT lub JNCIP-ENT ($75-100)
• CCNP/CCIE Security → JNCIS-SEC lub JNCIP-SEC ($75-100)
• CCNP/CCIE Service Provider → JNCIS-SP lub JNCIP-SP ($75-100)
• Cisco Wireless Specialist → JNCIS-MistAI-Wireless ($75)

Bonus: zdając egzamin Specialist lub Professional automatycznie dostajesz wszystkie certyfikaty niższego poziomu w danej ścieżce. JNCIP-ENT = dodatkowe JNCIS-ENT i JNCIA-Junos bez osobnych egzaminów.

Pakiety treningowe są naprawdę obszerne. Dla ścieżki Service Provider to 18 dni materiałów (JNCIP-SP + JNCIS-SP + JNCIA-Junos). Enterprise i Security dają 12 dni szkoleniowych. Dostęp do materiałów: 6 miesięcy.

W pakiecie: moduły wideo, practice exams, exam-prep webinary prowadzone przez instruktorów Juniper. Brak hands-on labów to minus, ale za darmo trudno narzekać – zwłaszcza że dostęp do równoważnych płatnych kursów kosztuje $3000-5000.

Vouchery są jednorazowe i non-transferable. Nie zdałeś za pierwszym razem? Płacisz pełną cenę za retry. Voucher ważny tylko 30 dni i nie ma przedłużeń – zaplanuj termin egzaminu z wyprzedzeniem. Egzaminy tylko przez Pearson VUE Online Proctoring, nie w centrach testowych.

Kto się nie kwalifikuje: Osoby z certyfikatami Cisco wygasłymi ponad rok temu (dla poziomów Specialist/Professional). Program nie działa do recertyfikacji – tylko do zdobycia nowych credentials.

Konferencja, na której powinieneś być

http://understandinglatency.com/

Understanding Latency to miejsce (online), gdzie spotykają się praktycy z największych graczy – Comcast, Apple, Nokia Bell Labs, Vodafone, Meta – żeby dzielić się rzeczywistymi wdrożeniami i lessons learned. Jason Livingood z Comcast opowiada o deploymencie Dual Queue Low Latency w produkcji. Stuart Cheshire z Apple prezentuje real-world dane z wdrożenia L4S. Greg White z CableLabs aktualizuje status adopcji technologii niskolatencyjnych.

Konferencja ma miejsce 15-17 grudnia.

Tester sieci multicastowej

GitHub - akarneliuk/multicast-network-tester: Testing multicast in network. IPv4/IPv6. Golang.

Testing multicast in network. IPv4/IPv6. Golang. Contribute to akarneliuk/multicast-network-tester development by creating an account on GitHub.

GitHubakarneliuk

INFO: Multicast Network Tester to narzędzie do testowania sieci multicast, działające w IPv4 i IPv6. Pozwala na jednoczesne korzystanie z wielu kanałów multicast (IPv4, IPv6 lub oba). Aplikacja zbiera i udostępnia metryki przez Prometheus, takie jak liczba odebranych pakietów, pakiety odebrane poza kolejnością, ilość odebranych bajtów oraz opóźnienia między nadawcą a odbiorcą.

Role Ansible w praktyce