<div dir="ltr"><div dir="ltr"><div><div><div>-----BEGIN PGP SIGNED MESSAGE-----</div><div>Hash: SHA1</div><div><br></div><div>To speak to this a bit further both Jessica and I work at places which build out ephemeral infrastructure and you're absolutely correct.  There is a bit of nuance here in what each of us means when we say managed configurations.  In my case machines have a lifecycle.  They come and they go, but if you need to "update" the machine you don't use a tool like Ansible, Puppet, Chef, etc to change the active running state of a host.  This isn't to say that they're managed manually.  This is truely treating them like the promise of OpenStack of having unicorns and having robots.  You completely re-deploy those robots.  This is true for bare metal as well as cloud providers. </div><div><br></div><div>While this presents a challenge due to the level of trust afforded to a node the longer it has been run, I'm looking to walk before running here.</div><div><br></div><div>Thinking of it in terms of an affinity group, each member can attest that they're part of the group, but this is more so that members of other federations know the scope of interaction.</div><div><br></div><div>"Lets say you are about to deploy 100 relays within the next week." -  Take this an order of magnitude greater and we're on the right track with the correct scale.  It is a regular occurrence for our users to deploy 500 to 5000 nodes at a time.  This is not the scale that everyone uses, obviously, but in that case generating 1000 relay keys and coordinating that key distribution dance across the same number of nodes (more than likely in highly distributed environments) seems to bring more questions than it answers (securing the keys for those nodes, securely distributing them, etc).  When compounding you concern about the network cost for "spare" nodes, I would say this turns it into a no-go as the whole point was to be able to deploy these nodes in the most productive, network friendly mechanism possible.</div><div><br></div><div>- --redbeard</div><div>-----BEGIN PGP SIGNATURE-----</div><div>Version: GnuPG v1</div><div><br></div><div>iQIcBAEBAgAGBQJW21AJAAoJEJM/VAg9bfVm62UQAJgM5y3iZ7tjrN6S7kmOViIe</div><div>VY5yvqYA9nP1QOCVBhERlZ5Qh6Db7igj37qZF1l4wtKnxFz8QizeNgvs2/fL9ZUA</div><div>h5r6TOawpiEvRrx7x6TWN3Pkj2/V1wYXRya/KakpKUzdXbjbEZJ9HIUIJL2/6tNv</div><div>VWJxVmsrQ8DHAkudn/7ZY6ZcT1nUo4Ai/WrdDzG8j8KLwARmL5LwbzOQBy2dZ9Or</div><div>f9b35jyBSkdi8Rf24NZPOAMa7y6N2alnz/EY2knFhn5toxe7ZGnmoGMZ//IOBeoH</div><div>rrz8wyqXcDA9dJYm4obQRD9k9Aj+lW4pYLcB1kThxQmtx6XJt/MBm2NpZ6CmKcJp</div><div>P+LtJijpfcKhQhFGEVs3dyUoZwq9rDMdtBOEo40OOoEKsEj7rlJlbysLr+eFwXFZ</div><div>lscuwx+CcQjJNe6Yu3X2igRiU+mswFQenESpu29K2eYKrNFb2UjSFtZB2wgfWQPq</div><div>3P3H5JLGa5VEw00L8SZy7B1oN8jccwDIv/LG/EnkJontafp+dP9kQ6cuH/LhULrt</div><div>ugTZ5A2epSP8LtanTP4PyOIUWnWjlVAJB8N+B6nYf7OWwehyDpelqIh051oL7rhg</div><div>oFwVcjNx2Rp6sK8jXWmb8rUl3zIRorrSHBFKPvbbM1aK1Y7+tOYAJakBsuAtMFWt</div><div>p351VcOnjCZ855dKaDmm</div><div>=KZkp</div><div>-----END PGP SIGNATURE-----</div></div><div><br></div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Mar 4, 2016 at 4:48 PM nusenu <<a href="mailto:nusenu@openmailbox.org" target="_blank">nusenu@openmailbox.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">> Regarding the state of family support.  I've been working on a project<br>
> which could be used to expand the number of running relays and have been<br>
> trying to find the best way to coordinate this so as to make it both<br>
> obvious who the operator is (which can be done with contact info) as well<br>
> as to help users avoid building circuits within these related nodes.<br>
><br>
> In the vein of "playing nicely" with the network my concern is that when<br>
> running large scale infrastructure one needs to minimize the number of<br>
> moving pieces possible. Ideally this would allow me (in the best case<br>
> scenario) to supply a static family identifier en masse minimizing the need<br>
> for managed configurations.<br>
><br>
> In the worst case scenario (that of an entity trying to launch a sybil<br>
> attack) the administrator would not even attempt to populate this so as to<br>
> try and appear as separate nodes in the network.<br>
><br>
> Do folks have suggestions on the best way to "play nice" here?<br>
<br>
So you want to have a proper MyFamily configuration across a very high<br>
number of relays without reloading them all every time you add a new<br>
relay? Why are you worried about these reloads?<br>
<br>
The only way I can think of is to preemptively create relay keys.<br>
<br>
Lets say you are about to deploy 100 relays within the next week.<br>
First you would create 100 relay keys and collect all fingerprints to<br>
form the MyFamily string. Then you could use that static string and no<br>
reload is required as long as you do not run more than 100 relays.<br>
<br>
Depending on how much "idle/spare" fingerprints are in your MyFamily<br>
string this might also costs the network an unnecessary overhead.<br>
<br>
So adding fingerprints to MyFamily on demand is probably nicer than<br>
creating huge descriptors with spare fingerprints just because you do<br>
not want to reload your tor instances.<br>
<br>
@"minimizing the need for managed configurations"<br>
<br>
If you run "large scale infrastructure" you usually want to have<br>
"managed configurations". No one wants to manage many servers manually.<br>
<br>
Also:<br>
Please consider AS and geo diversity when adding a significant amount of<br>
tor bw and maybe set yourself an upper boundary as to how big you want<br>
to grow.<br>
<br>
_______________________________________________<br>
tor-dev mailing list<br>
<a href="mailto:tor-dev@lists.torproject.org" target="_blank">tor-dev@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev" rel="noreferrer" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev</a><br>
</blockquote></div></div>