ProHoster > Blog > administrasie > Hoe om beheer oor jou netwerkinfrastruktuur te neem. Hoofstuk eerste. Hou vas

Hoe om beheer oor jou netwerkinfrastruktuur te neem. Hoofstuk eerste. Hou vas

Hierdie artikel is die eerste in 'n reeks artikels "Hoe om beheer oor jou netwerkinfrastruktuur te neem." Die inhoud van alle artikels in die reeks en skakels kan gevind word hier.

Ek gee ten volle toe dat daar 'n voldoende aantal maatskappye is waar 'n netwerkstilstand van een uur of selfs een dag nie krities is nie. Ongelukkig of gelukkig het ek nie die geleentheid gehad om op sulke plekke te werk nie. Maar natuurlik is die netwerke anders, die vereistes verskil, die benaderings verskil, en tog, in een of ander vorm, sal die lys hieronder in baie gevalle eintlik 'n "moet-doen" wees.

Dus, die aanvanklike voorwaardes.

Jy is in 'n nuwe werk, jy het 'n bevordering ontvang, of jy het besluit om 'n nuwe blik op jou verantwoordelikhede te neem. Die maatskappy netwerk is jou area van verantwoordelikheid. Vir jou is dit in baie opsigte 'n uitdaging en nuut, wat die mentortoon van hierdie artikel ietwat regverdig :). Maar ek hoop dat die artikel ook nuttig kan wees vir enige netwerkingenieur.

Jou eerste strategiese doelwit is om te leer om entropie te weerstaan ​​en die vlak van diens gelewer te handhaaf.

Baie van die probleme wat hieronder beskryf word, kan op verskillende maniere opgelos word. Ek opper doelbewus nie die onderwerp van tegniese implementering nie, want... in beginsel is dit dikwels nie so belangrik hoe jy hierdie of daardie probleem opgelos het nie, maar wat belangrik is, is hoe jy dit gebruik en of jy dit enigsins gebruik. Byvoorbeeld, jou professioneel geboude moniteringstelsel is van min nut as jy nie daarna kyk nie en nie op waarskuwings reageer nie.

Оборудование

Eerstens moet jy verstaan ​​waar die grootste risiko's is.

Weereens, dit kan anders wees. Ek gee toe dat dit iewers byvoorbeeld sekuriteitskwessies sal wees, en iewers kwessies wat verband hou met die kontinuïteit van die diens, en iewers, miskien, iets anders. Hoekom nie?

Kom ons aanvaar, om duidelik te wees, dat dit steeds kontinuïteit van diens is (dit was die geval in al die maatskappye waar ek gewerk het).

Dan moet jy met die toerusting begin. Hier is 'n lys van onderwerpe om aandag aan te gee:

  • klassifikasie van toerusting volgens graad van kritiekheid
  • rugsteun van kritieke toerusting
  • ondersteuning, lisensies

Jy moet deur moontlike mislukkingscenario's dink, veral met toerusting aan die bokant van jou kritieke klassifikasie. Gewoonlik word die moontlikheid van dubbele probleme afgeskeep, anders kan jou oplossing en ondersteuning onredelik duur word, maar in die geval van werklik kritieke netwerkelemente, waarvan die mislukking die besigheid aansienlik kan raak, moet jy daaroor dink.

Voorbeeld

Kom ons sê ons praat van 'n wortelskakelaar in 'n datasentrum.

Aangesien ons saamgestem het dat dienskontinuïteit die belangrikste kriterium is, is dit redelik om "warm" rugsteun (oortolligheid) van hierdie toerusting te verskaf. Maar dit is nie al nie. Jy moet ook besluit hoe lank, as die eerste skakelaar breek, dit aanvaarbaar is dat jy met net een oorblywende skakelaar saamleef, want daar is 'n risiko dat dit ook breek.

Belangrik! Jy hoef nie self oor hierdie kwessie te besluit nie. U moet die risiko's, moontlike oplossings en koste aan bestuur of maatskappybestuur beskryf. Hulle moet besluite neem.

Dus, as daar besluit word dat, gegewe die klein waarskynlikheid van 'n dubbele mislukking, om vir 4 uur op een skakelaar in beginsel aanvaarbaar te wees, dan kan u eenvoudig die toepaslike ondersteuning neem (waarvolgens die toerusting binne 4 vervang sal word ure).

Maar daar is 'n risiko dat hulle nie sal lewer nie. Ongelukkig het ons onsself een keer in so 'n situasie bevind. In plaas van vier ure het die toerusting vir 'n week gereis!!!

Daarom moet hierdie risiko ook bespreek word en miskien sal dit meer korrek wees vir jou om nog 'n skakelaar (derde) te koop en dit in 'n onderdele-pakket te hou (“koue” rugsteun) of dit vir laboratoriumdoeleindes te gebruik.

Belangrik! Maak 'n sigblad van al die ondersteuning wat jy het met vervaldatums en voeg dit by jou kalender sodat jy ten minste 'n maand voor die tyd 'n e-pos kry dat jy jou moet begin bekommer oor die hernuwing van jou ondersteuning.

Jy sal nie vergewe word as jy vergeet om jou ondersteuning te hernu nie en die dag nadat dit eindig, breek jou hardeware.

Nood werk

Wat ook al op jou netwerk gebeur, ideaal gesproke moet jy toegang tot jou netwerktoerusting behou.

Belangrik! Jy moet konsoletoegang tot alle toerusting hê en hierdie toegang behoort nie van die gesondheid van die gebruikerdatanetwerk af te hang nie.

Jy moet ook vooraf moontlike negatiewe scenario's voorsien en die nodige aksies dokumenteer. Die beskikbaarheid van hierdie dokument is ook van kritieke belang, daarom moet dit nie net op 'n gedeelde hulpbron vir die departement geplaas word nie, maar ook plaaslik op die ingenieurs se rekenaars gestoor word.

Daar moet wees

  • inligting wat nodig is om 'n kaartjie oop te maak met verkoper- of integreerondersteuning
  • inligting oor hoe om by enige toerusting uit te kom (konsole, bestuur)

Dit kan natuurlik ook enige ander nuttige inligting bevat, byvoorbeeld 'n beskrywing van die opgraderingsprosedure vir verskeie toerusting en nuttige diagnostiese opdragte.

Партнеры

Nou moet jy die risiko's wat met vennote geassosieer word, assesseer. Gewoonlik hierdie

  • Internetverskaffers en verkeersuitruilpunte (IX)
  • kommunikasiekanaalverskaffers

Watter vrae moet jy jouself afvra? Soos met toerusting, moet verskillende noodscenario's oorweeg word. Byvoorbeeld, vir internetverskaffers kan dit iets wees soos:

  • wat gebeur as internetverskaffer X om een ​​of ander rede ophou om vir jou diens te verskaf?
  • Sal ander verskaffers genoeg bandwydte vir jou hê?
  • Hoe goed sal die konnektiwiteit bly?
  • Hoe onafhanklik is jou internetverskaffers en sal 'n ernstige onderbreking van een van hulle probleme met die ander veroorsaak?
  • hoeveel optiese insette in jou datasentrum?
  • wat sal gebeur as een van die insette heeltemal vernietig word?

Wat insette betref, in my praktyk in twee verskillende maatskappye, in twee verskillende datasentrums, het 'n graafmasjien putte vernietig en slegs deur wonderwerk is ons optika nie geraak nie. Dit is nie so 'n seldsame geval nie.

En natuurlik hoef jy nie net hierdie vrae te vra nie, maar, weereens, met die ondersteuning van bestuur, om 'n aanvaarbare oplossing in enige situasie te bied.

Ondersteuning

Die volgende prioriteit kan 'n rugsteun van toerustingkonfigurasies wees. Dit is in elk geval 'n baie belangrike punt. Ek sal nie die gevalle lys wanneer u die konfigurasie kan verloor nie; dit is beter om gereelde rugsteun te maak en nie daaraan te dink nie. Daarbenewens kan gereelde rugsteun baie nuttig wees om veranderinge te monitor.

Belangrik! Maak daagliks rugsteun. Dit is nie so 'n groot hoeveelheid data om hierop te bespaar nie. Soggens moet die ingenieur aan diens (of jy) 'n verslag van die stelsel ontvang, wat duidelik aandui of die rugsteun suksesvol was of nie, en as die rugsteun onsuksesvol was, moet die probleem opgelos word of 'n kaartjie moet geskep word ( sien netwerkafdelingprosesse).

Sagteware weergawes

Die vraag of dit die moeite werd is om die sagteware van die toerusting op te gradeer, is nie so duidelik nie. Aan die een kant is ou weergawes bekende foute en kwesbaarhede, maar aan die ander kant is nuwe sagteware eerstens nie altyd 'n pynlose opgraderingsprosedure nie, en tweedens nuwe foute en kwesbaarhede.

Hier moet jy die beste opsie vind. 'n Paar voor die hand liggende aanbevelings

  • installeer slegs stabiele weergawes
  • Tog moet jy nie op baie ou weergawes van sagteware leef nie
  • maak 'n bord met inligting oor waar sommige sagteware geleë is
  • lees gereeld verslae oor kwesbaarhede en foute in sagteware weergawes, en in die geval van kritieke probleme, moet jy daaraan dink om op te gradeer

Op hierdie stadium, met konsoletoegang tot die toerusting, inligting oor ondersteuning en 'n beskrywing van die opgraderingsprosedure, is u in beginsel gereed vir hierdie stap. Die ideale opsie is wanneer jy laboratoriumtoerusting het waar jy die hele prosedure kan nagaan, maar dit gebeur ongelukkig nie gereeld nie.

In die geval van kritieke toerusting, kan jy die verkoper se ondersteuning kontak met 'n versoek om jou te help met die opgradering.

Kaartjie stelsel

Nou kan jy rondkyk. Jy moet prosesse vir interaksie met ander departemente en binne die departement daarstel.

Dit is dalk nie nodig nie (byvoorbeeld as jou maatskappy klein is), maar ek sal sterk aanbeveel om werk so te organiseer dat alle eksterne en interne take deur die kaartjiestelsel gaan.

Die kaartjiestelsel is in wese jou koppelvlak vir interne en eksterne kommunikasie, en jy moet hierdie koppelvlak in voldoende detail beskryf.

Kom ons neem 'n voorbeeld van 'n belangrike en algemene taak om toegang oop te maak. Ek sal 'n algoritme beskryf wat perfek in een van die maatskappye gewerk het.

Voorbeeld

Kom ons begin met die feit dat toegangskliënte dikwels hul begeertes formuleer in 'n taal wat vir 'n netwerkingenieur onverstaanbaar is, naamlik in die taal van die toepassing, byvoorbeeld, "gee my toegang tot 1C."

Daarom het ons nog nooit versoeke direk van sulke gebruikers aanvaar nie.
En dit was die eerste vereiste

  • versoeke vir toegang moet van tegniese departemente kom (in ons geval was dit unix, windows, hulptoonbank-ingenieurs)

Die tweede vereiste is dat

  • hierdie toegang moet aangeteken word (deur die tegniese afdeling van wie ons hierdie versoek ontvang het) en as 'n versoek ontvang ons 'n skakel na hierdie aangetekende toegang

Die vorm van hierdie versoek moet vir ons verstaanbaar wees, m.a.w.

  • die versoek moet inligting bevat oor watter subnet en tot watter subnet toegang oop moet wees, asook die protokol en (in die geval van tcp/udp) poorte

Dit moet ook daar aangedui word

  • beskrywing van hoekom hierdie toegang oopgemaak word
  • tydelik of permanent (indien tydelik, tot watter datum)

En 'n baie belangrike punt is goedkeurings

  • van die hoof van die departement wat toegang geïnisieer het (byvoorbeeld, rekeningkunde)
  • van die hoof van die tegniese afdeling, van waar hierdie versoek na die netwerkafdeling gekom het (byvoorbeeld hulptoonbank)

In hierdie geval word die "eienaar" van hierdie toegang beskou as die hoof van die departement wat die toegang geïnisieer het (rekeningkunde in ons voorbeeld), en hy is verantwoordelik om te verseker dat die bladsy met aangetekende toegang vir hierdie departement op datum bly .

Tekening

Dit is iets waarin jy kan verdrink. Maar as jy 'n proaktiewe benadering wil implementeer, moet jy leer hoe om hierdie datavloed te hanteer.

Hier is 'n paar praktiese aanbevelings:

  • jy moet die logs daagliks hersien
  • in die geval van 'n beplande hersiening (en nie 'n noodsituasie nie), kan jy jouself beperk tot ernsvlakke 0, 1, 2 en geselekteerde patrone van ander vlakke byvoeg as jy dit nodig ag
  • skryf 'n skrip wat logs ontleed en daardie logs ignoreer waarvan jy patrone by die ignoreerlys gevoeg het

Hierdie benadering sal jou in staat stel om met verloop van tyd 'n ignoreerlys van logs te skep wat nie vir jou interessant is nie en net dié laat wat jy werklik belangrik ag.
Dit het uitstekend gewerk vir ons.

Monitering

Dit is nie ongewoon dat 'n maatskappy nie 'n moniteringstelsel het nie. U kan byvoorbeeld op logs staatmaak, maar die toerusting kan eenvoudig "sterf" sonder om tyd te hê om iets te "sê", of die udp syslog-protokolpakket kan verlore gaan en nie opdaag nie. In die algemeen is aktiewe monitering natuurlik belangrik en nodig.

Die twee gewildste voorbeelde in my praktyk:

  • monitering van die vrag van kommunikasiekanale, kritieke skakels (byvoorbeeld koppeling met verskaffers). Hulle laat jou toe om proaktief die potensiële probleem van diensagteruitgang as gevolg van verlies aan verkeer te sien en dit dienooreenkomstig te vermy.
  • grafieke gebaseer op NetFlow. Dit maak dit maklik om afwykings in die verkeer te vind en is baie nuttig om 'n paar eenvoudige maar belangrike tipes hacker-aanvalle op te spoor.

Belangrik! Stel SMS-kennisgewings op vir die mees kritieke gebeurtenisse. Dit geld vir beide monitering en aantekening. As jy nie 'n diensskof het nie, moet sms ook buite werksure opdaag.

Dink so deur die proses dat jy nie al die ingenieurs wakker maak nie. Hiervoor het ons 'n ingenieur aan diens gehad.

Verander beheer

Na my mening is dit nie nodig om alle veranderinge te beheer nie. Maar, in elk geval, moet jy, indien nodig, maklik kan vind wie sekere veranderinge op die netwerk gemaak het en hoekom.

'N Paar wenke:

  • gebruik 'n kaartjiestelsel om te verduidelik wat op daardie kaartjie gedoen is, byvoorbeeld deur die toegepaste konfigurasie na die kaartjie te kopieer
  • gebruik kommentaarvermoëns op netwerktoerusting (byvoorbeeld, lewer kommentaar op Juniper). Jy kan die kaartjienommer neerskryf
  • gebruik verskil van u konfigurasie-rugsteun

Jy kan dit as 'n proses implementeer en alle kaartjies daagliks hersien vir veranderinge.

prosesse

Jy moet die prosesse in jou span formaliseer en beskryf. As jy hierdie punt bereik het, behoort jou span reeds ten minste die volgende prosesse aan die gang te hê:

Daaglikse prosesse:

  • werk met kaartjies
  • werk met logs
  • beheer verander
  • daaglikse tjekstaat

Jaarlikse prosesse:

  • verlenging van waarborge, lisensies

Asinchroniese prosesse:

  • reaksie op verskeie noodsituasies

Slot van die eerste deel

Het jy opgelet dat dit alles nog nie oor netwerkkonfigurasie gaan nie, nie oor ontwerp nie, nie oor netwerkprotokolle nie, nie oor roetering nie, nie oor sekuriteit nie ... Dit is iets om. Maar hierdie, hoewel miskien vervelig, is natuurlik baie belangrike elemente van die werk van 'n netwerkafdeling.

Tot dusver, soos jy kan sien, het jy niks in jou netwerk verbeter nie. As daar sekuriteitskwesbaarhede was, dan het dit gebly; as daar 'n slegte ontwerp was, dan het dit gebly. Totdat jy jou vaardighede en kennis as 'n netwerkingenieur toegepas het, waaraan jy heel waarskynlik 'n groot hoeveelheid tyd, moeite en soms geld bestee het. Maar eers moet jy die fondament skep (of versterk), en dan begin bou.

Die volgende dele sal jou vertel hoe om foute te vind en uit te skakel, en dan jou infrastruktuur te verbeter.

Natuurlik hoef jy nie alles opeenvolgend te doen nie. Tyd kan krities wees. Doen dit parallel as hulpbronne dit toelaat.

En 'n belangrike toevoeging. Kommunikeer, vra, konsulteer met jou span. Op die ou end is dit hulle wat dit alles ondersteun en doen.

Bron: will.com

Voeg 'n opmerking