惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

G
Google Developers Blog
Google DeepMind News
Google DeepMind News
Hugging Face - Blog
Hugging Face - Blog
D
Docker
F
Fortinet All Blogs
博客园 - 三生石上(FineUI控件)
Project Zero
Project Zero
Engineering at Meta
Engineering at Meta
J
Java Code Geeks
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Simon Willison's Weblog
Simon Willison's Weblog
S
Security Affairs
NISL@THU
NISL@THU
T
Tor Project blog
A
About on SuperTechFans
宝玉的分享
宝玉的分享
腾讯CDC
S
Schneier on Security
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
P
Privacy & Cybersecurity Law Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Stack Overflow Blog
Stack Overflow Blog
P
Privacy International News Feed
雷峰网
雷峰网
C
Cyber Attacks, Cyber Crime and Cyber Security
Vercel News
Vercel News
Cisco Talos Blog
Cisco Talos Blog
D
DataBreaches.Net
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Google Online Security Blog
Google Online Security Blog
Recorded Future
Recorded Future
L
LINUX DO - 热门话题
Microsoft Security Blog
Microsoft Security Blog
Latest news
Latest news
C
Check Point Blog
有赞技术团队
有赞技术团队
T
The Exploit Database - CXSecurity.com
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
云风的 BLOG
云风的 BLOG
SecWiki News
SecWiki News
Application and Cybersecurity Blog
Application and Cybersecurity Blog
爱范儿
爱范儿
月光博客
月光博客
V
Vulnerabilities – Threatpost
T
Threat Research - Cisco Blogs
P
Palo Alto Networks Blog
T
The Blog of Author Tim Ferriss
C
Cisco Blogs
Webroot Blog
Webroot Blog
S
Security @ Cisco Blogs

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Регион выхода — это инфраструктура, а не настройка у пользователя
sh112 · 2026-06-25 · via Все публикации подряд на Хабре

Регион выхода — это инфраструктура, а не настройка у пользователя

Средний

5 мин

0

Сервис открывается, отвечает, всё работает — но цены в другой валюте, половина функций спрятана, а платёжный шаг падает с невнятной ошибкой. Через час выясняется, что выдача зависит от того, из какого региона пришёл запрос, а вы ходите из «неправильного». Знакомо всем, кто проверял локализацию продукта или подключался к региональному B2B‑порталу из другой страны.

Дальше обычно появляется VPN до нужного региона, и на этом задача считается решённой. На практике решённой она не считается — просто проблема переезжает в то место, где её не видно. Прежде чем чинить, стоит выписать, что вообще должно работать:

  1. Выход настроен в одном месте, а не на каждом устройстве и сервере по отдельности.

  2. На выбор маршрута не влияет память и внимательность человека.

  3. Когда что‑то ломается, это видно сразу, а не всплывает потом.

  4. Добавить регион или сменить провайдера можно, не обходя все хосты.

  5. Правило по возможности цепляется к домену, а не к адресу: адрес за CDN живёт своей жизнью. «По возможности» — потому что имя в трафике есть не всегда, и там, где его нет, деваться некуда, кроме адреса.

Почему привычные способы это не закрывают

Начнём с того, как выход настраивают по факту. На клиентах — VPN с тумблером, который переключают руками. На серверах интереснее: на одном HTTP_PROXY прописан в окружении, на другом прокси зашит прямо в код, на третьем стоит статический ip route через конкретный шлюз, а рядом живёт прокси‑контейнер, поднятый когда‑то под одну интеграцию. Каждый кусок настраивали в своё время свои руки, и через год никто не помнит, какой сервис каким путём выходит наружу. Это сразу первые два пункта мимо: картины нет, а половина маршрутов держится на том, что кто‑то не забыл.

Хочется навести порядок и сматчить трафик с правилом централизованно — и тут выясняется, что даже руками это делается двумя разными способами, и у обоих свой потолок.

Можно матчить по адресу. Отдельная таблица маршрутизации и ip rule, который заворачивает нужные подсети назначения на выходной шлюз, а тот делает SNAT в своём регионе:

ip rule add to 198.51.100.0/24 lookup 100
ip route add default via <выходной-шлюз> table 100

Голое ядро, без всякого софта, и работает надёжно — пока цель это стабильный диапазон адресов: свой сервер, фиксированный пул партнёра. Для домена с плавающими адресами список CIDR придётся вести руками, и он устареет быстрее, чем вы его поправите.

Можно матчить по имени — тогда в дело идёт Squid с ACL по dstdomain и cache_peer на выходной узел. Доменная гранулярность появляется, но об неё же всё и спотыкается, как только цель уезжает за CDN. Squid защищается от подмены Host: запрошенное имя он резолвит сам и сверяет результат с адресом, на который реально идёт соединение. За CDN клиент и Squid спрашивают DNS в разные моменты и получают разные адреса из общего пула — проверка не сходится, и Squid рвёт соединение, посчитав это попыткой подмены. Домен при этом живой, сервис доступен, а через прокси не проходит ничего.

Корень в том, что адрес за CDN раздаётся из пула, который меняется и делится между тысячами чужих доменов; обратный резолв такого адреса не возвращает ничего осмысленного, а связка «домен → адрес → маршрут» течёт на каждом обновлении DNS. Для пары доменов на собственном хостинге сойдёт, как общее решение — рассыпается. Цепляться надо за имя, причём там, где оно ещё известно, а не вычислять его обратно по адресу.

Ни один из этих способов сам по себе не плох — это рабочие кирпичи, и если хочется покопаться, на них вполне можно собрать своё. Но мониторинга, единой политики и внятного поведения при сбое в них нет; всё это пишется сверху руками. А без поведения при сбое всплывает третий пункт, и он неприятнее остальных: когда тумблер на клиенте отвалился или прокси стал недоступен, трафик молча уходит напрямую, с реального адреса. Тест локализации показывает свою выдачу, и вы принимаете её за чужую, потому что ошибки‑то не было.

Как это решить

Все пять пунктов сходятся в одну точку: выбор региона — это решение «куда отправить трафик», то есть маршрутизация, и принимать его должна маршрутизация в одном месте, а не сто клиентов и серверов вразнобой.

Достаточно двух ролей. Точка входа — шлюз, через который трафик и так уже идёт: сотрудники через корпоративный VPN, серверы, гостевой Wi‑Fi. Выходные узлы — по лёгкой виртуалке в каждом нужном регионе. Между ними политика, которая и говорит, что куда:

правило "portal-eu":
  назначения:  *.portal.example, *.billing.example
  выход через: узел в регионе EU

Это правило лежит на шлюзе и применяется ко всем сразу. Трафик к указанным доменам уходит через нужный регион независимо от того, кто его начал — сотрудник с ноутбука или бэкенд со своим исходящим вызовом. Включать на устройстве нечего, забыть нечего, зайти «не оттуда» нельзя. Резолв при этом происходит на самой точке входа, пока имя ещё на руках, — поэтому матчинг по домену не разваливается об CDN так, как разваливается у Squid с маршрутизацией постфактум.

Имя берётся из самого трафика: у обычного HTTP это заголовок Host, у HTTPS — SNI в начале TLS‑рукопожатия, ещё до шифрования. В большинстве случаев этого достаточно. Но не всегда: соединение прямо по IP без SNI, ECH, который имя как раз прячет, протокол без имени вовсе — тогда в пакете цепляться не за что, и остаётся адрес. Здесь выручает то, что часть крупных сервисов сами публикуют свои диапазоны: облака и большие CDN выкладывают списки IP, которые остаётся подтянуть в правило по адресу и обновлять по расписанию. Не у всех такое есть и не панацея, но для трафика без имени — рабочая подпорка.

Дешёвые изменения получаются сами собой: новый регион — это виртуалка и строчка в политике, а не обход всех хостов; смена провайдера выходного узла видна только этому узлу. Локальное при этом через регион не гоняется — RFC 1918, CGNAT и .local/.lan идут напрямую, иначе ssh на соседнюю машину поехал бы кругосветку.

Отдельно стоит отказ, потому что в централизованной схеме его можно сделать громким. Выходной узел недоступен — соединение рвётся видимой ошибкой, а не утекает напрямую; а если по умолчанию стоит «не выпускать», то либо трафик идёт через нужный регион, либо не идёт вообще. При этом единой точки отказа для самого трафика нет: выходные узлы держат последнюю версию политики у себя и продолжают работать, даже если управляющий узел лёг, — теряется возможность менять маршруты, а не пропускать их.

Сносить существующее ради этого не нужно. OpenVPN с Pritunl (или WireGuard‑mesh, или просто корпоративный шлюз) остаётся на месте и занимается своим — аутентификацией, OTP, аудитом; выбор региона встаёт рядом отдельным слоем. Канал между узлами разумно держать на обычном 443, чтобы не плодить экзотических портов, которые потом объяснять в firewall‑политике.

Собрать это можно и руками — из тех самых кирпичей с ip rule и Squid, если регионов немного и менять их приходится редко. Когда регионов больше и хочется единой политики с громким отказом, обвязка вокруг них дорастает до отдельного проекта, и в какой‑то момент проще взять готовое. Я свой вариант собрал в ololo‑relay — там ровно эта схема: узел совмещает точку входа и выход, а регион задаётся политикой.