ProHoster > Blog > Administrazioa > Nola hartu zure sareko azpiegituraren kontrola. Lehenengo kapitulua. Eutsi

Nola hartu zure sareko azpiegituraren kontrola. Lehenengo kapitulua. Eutsi

Artikulu hau "Nola hartu zure sareko azpiegituraren kontrola" artikulu sorta bateko lehena da. Serieko artikulu guztien edukia eta estekak aurki daitezke Hemen.

Erabat onartzen dut enpresa kopuru nahikoa dagoela, non sarea ordubeteko edo egun bateko geldialdia ezinbestekoa ez den. Zoritxarrez edo zorionez, ez nuen horrelako lekuetan lan egiteko aukerarik izan. Baina, noski, sareak desberdinak dira, baldintzak desberdinak dira, planteamenduak desberdinak dira, eta hala ere, modu batean edo bestean, beheko zerrenda kasu askotan "behar-beharrezkoa" izango da.

Beraz, hasierako baldintzak.

Lan berri batean zaude, igoera bat jaso duzu edo zure ardurei begirada berri bat ematea erabaki duzu. Enpresaren sarea zure ardura-eremua da. Zuretzat, hau zentzu askotan erronka eta berria da, eta horrek zertxobait justifikatzen du artikulu honen tutoretza-tonua :). Baina espero dut artikulua edozein sare ingeniarirentzat ere baliagarria izan daitekeela.

Zure lehen helburu estrategikoa entropiari aurre egiten ikastea eta emandako zerbitzu maila mantentzea da.

Jarraian deskribatzen diren arazoetako asko hainbat bideren bidez konpon daitezke. Ez dut nahita planteatzen inplementazio teknikoaren gaia, zeren... printzipioz, askotan ez da hain garrantzitsua arazo hau edo beste nola konpondu duzun, baina garrantzitsua dena da nola erabiltzen duzun eta ea erabiltzen duzun. Adibidez, profesionalki eraikitako monitorizazio sistemak ezer gutxi balio du ez badiozu begiratzen eta ez badiozu alertak erantzuten.

ΠžΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅

Lehenik eta behin ulertu behar duzu non dauden arriskurik handienak.

Berriz ere, ezberdina izan daiteke. Onartzen dut nonbait, adibidez, segurtasun kontuak izango direla, eta nonbait, zerbitzuaren jarraipenari lotutako gaiak, eta nonbait, agian, beste zerbait. Zergatik ez?

Demagun, argi gera dadin, zerbitzuaren jarraipena dela oraindik (lan egin nuen enpresa guztietan hala izan zen).

Ondoren, ekipamenduarekin hasi behar duzu. Hona hemen arreta jarri beharreko gaien zerrenda:

  • ekipoen sailkapena kritikotasun-mailaren arabera
  • ekipo kritikoen babeskopia
  • laguntza, lizentziak

Huts-eszenatoki posibleetan pentsatu behar duzu, batez ere zure kritikotasun sailkapenaren goiko aldean dauden ekipoekin. Normalean, arazo bikoitzak izateko aukera alde batera uzten da, bestela zure konponbidea eta laguntza arrazoirik gabe garestia izan daiteke, baina sareko elementu benetan kritikoen kasuan, zeinen porrotak negozioan nabarmen eragin dezakeen, pentsatu beharko zenuke.

Adibidea

Demagun datu-zentro bateko erro-switching bati buruz ari garela.

Zerbitzuaren jarraitasuna irizpide garrantzitsuena dela adostu genuenez, arrazoizkoa da ekipo honen babeskopia (erredundantzia) "beroa" ematea. Baina hori ez da guztia. Era berean, erabaki behar duzu zenbat denboraz, lehenengo etengailua apurtzen bada, onargarria den gelditzen den etengailu bakarrarekin bizitzea, hori ere hautsi egiteko arriskua baitago.

Garrantzitsua! Ez duzu zuk zeuk erabaki behar gai hau. Zuzendaritzaren edo enpresaren kudeaketaren arriskuak, irtenbide posibleak eta kostuak deskribatu behar dituzu. Erabakiak hartu behar dituzte.

Beraz, erabakitzen bazen, hutsegite bikoitza izateko probabilitate txikia kontuan hartuta, etengailu batean 4 orduz lan egitea, printzipioz, onargarria dela, orduan laguntza egokia har dezakezu (horren arabera ekipamendua 4 barru ordezkatuko da). orduak).

Baina ez emateko arriskua dago. Zoritxarrez, halako egoera batean aurkitu ginen behin. Lau ordu beharrean, ekipoak astebetez bidaiatu zuen!!!

Horregatik, arrisku hori ere eztabaidatu behar da eta, agian, zuzenagoa izango da beste etengailu bat (hirugarrena) erostea eta ordezko piezen pakete batean gordetzea (Β«hotzaΒ» babeskopia) edo laborategiko helburuetarako erabiltzea.

Garrantzitsua! Egin kalkulu-orri bat iraungitze-datarekin daukazun laguntza guztiarekin eta gehitu zure egutegian, gutxienez hilabete lehenago mezu elektroniko bat jaso dezazun, zure laguntza berritzeaz kezkatzen hasi beharko zenukeen.

Ez zaizu barkatuko zure laguntza berritzea ahazten bazaizu eta amaitu eta biharamunean zure hardware etenaldiak.

Larrialdiko lanak

Zure sarean gertatzen dena edozein dela ere, hobe da zure sareko ekipoetarako sarbidea mantentzea.

Garrantzitsua! Ekipo guztietarako kontsolarako sarbidea izan behar duzu eta sarbide hori ez da erabiltzailearen datu-sarearen osasunaren araberakoa izan behar.

Era berean, aldez aurretik gerta daitezkeen eszenatoki negatiboak aurreikusi eta beharrezko ekintzak dokumentatu behar dituzu. Dokumentu honen erabilgarritasuna ere funtsezkoa da, beraz, ez da soilik sailerako partekatutako baliabide batean argitaratu behar, baizik eta lokalean gorde behar da ingeniarien ordenagailuetan.

Egon behar da

  • saltzaile edo integratzaileen laguntzarekin txartel bat irekitzeko behar den informazioa
  • edozein ekipamendura (kontsola, kudeaketa) iristeko informazioa.

Jakina, beste edozein informazio erabilgarria ere eduki dezake, adibidez, hainbat ekiporen berritze-prozeduraren deskribapena eta diagnostiko-komando erabilgarriak.

Afiliatuek

Orain bazkideekin lotutako arriskuak ebaluatu behar dituzu. Normalean hau

  • Interneteko hornitzaileak eta trafikoa trukatzeko puntuak (IX)
  • komunikazio kanal hornitzaileak

Zein galdera egin behar diozu zeure buruari? Ekipamenduarekin gertatzen den bezala, larrialdi-egoera desberdinak kontuan hartu behar dira. Adibidez, Interneteko hornitzaileentzat, honelako zerbait izan daiteke:

  • zer gertatzen da X Internet hornitzaileak zerbitzua emateari uzten badiozu arrazoiren batengatik?
  • Beste hornitzaileek nahikoa banda zabalera izango al dute zuretzat?
  • Zenbateraino mantenduko da konektibitatea?
  • Zenbateraino dira independenteak zure Interneteko hornitzaileak eta horietako baten etenaldi larriak arazoak eragingo al ditu besteekin?
  • zenbat sarrera optiko zure datu-zentroan?
  • zer gertatuko da sarreraren bat guztiz suntsitzen bada?

Sarrerei dagokienez, nire praktikan bi enpresa ezberdinetan, bi datu-zentro ezberdinetan, hondeamakin batek putzuak suntsitu zituen eta mirariaz bakarrik gure optika ez zen kaltetu. Hau ez da hain kasu arraroa.

Eta, noski, galdera hauek ez ezik, berriro ere, zuzendaritzaren laguntzarekin, edozein egoeratan irtenbide onargarria eman behar duzu.

Babeskopia

Hurrengo lehentasuna ekipoen konfigurazioen babeskopia bat izan daiteke. Nolanahi ere, hori oso puntu garrantzitsua da. Ez ditut zerrendatuko konfigurazioa gal dezakezun kasu horiek; hobe da ohiko babeskopiak egitea eta ez pentsatzea. Horrez gain, ohiko babeskopiak oso erabilgarriak izan daitezke aldaketak kontrolatzeko.

Garrantzitsua! Egin babeskopiak egunero. Hau ez da datu kopuru handia honetan gordetzeko. Goizean, guardiako ingeniariak (edo zuk) sistemaren txosten bat jaso beharko zenuke, non argi eta garbi adierazten duen babeskopia arrakastatsua izan den ala ez, eta segurtasun kopiak arrakastarik izan ez badu, arazoa konpondu behar da edo txartel bat sortu behar da ( ikusi sare saileko prozesuak).

Software bertsioak

Ekipamenduaren softwarea berritzea merezi duen ala ez galdera ez da hain argia. Alde batetik, bertsio zaharrak akats eta ahultasun ezagunak dira, baina, bestetik, software berria, lehenik eta behin, ez da beti minik gabeko eguneratze-prozedura bat, eta bestetik, akats eta ahultasun berriak.

Hemen aukerarik onena aurkitu behar duzu. Ageriko gomendio batzuk

  • bertsio egonkorrak soilik instalatu
  • Hala ere, ez zenuke softwarearen bertsio oso zaharrekin bizi behar
  • egin softwareren bat non dagoen informazioarekin seinale bat
  • aldian-aldian irakurri software-bertsioetako ahultasunei eta akatsei buruzko txostenak, eta arazo larriak izanez gero, berritzea pentsatu beharko zenuke.

Fase honetan, ekipamendurako kontsolarako sarbidea, laguntzari buruzko informazioa eta berritze prozeduraren deskribapena izanez gero, printzipioz, prest zaude urrats honetarako. Aukera ezin hobea da laborategiko ekipamendua baduzu, non prozedura osoa egiaztatzeko, baina, tamalez, hori ez da askotan gertatzen.

Ekipamendu kritikoen kasuan, saltzailearen laguntzarekin harremanetan jar zaitezke bertsio berritzen laguntzeko eskaera eginez.

Txartel-sistema

Orain ingurura begiratu dezakezu. Beste sailekin eta sail barruan elkarrekintzarako prozesuak ezarri behar dituzu.

Baliteke hori beharrezkoa ez izatea (adibidez, zure enpresa txikia bada), baina lana antolatzea gomendatuko nuke kanpoko eta barneko zeregin guztiak txartel-sistematik pasa daitezen.

Tiket-sistema, funtsean, barneko eta kanpoko komunikazioetarako zure interfazea da, eta interfaze hau nahikoa xehetasunez deskribatu beharko zenuke.

Har dezagun sarbidea irekitzeko zeregin garrantzitsu eta arrunt baten adibide bat. Enpresaren batean primeran funtzionatu zuen algoritmo bat deskribatuko dut.

Adibidea

Has gaitezen askotan sartzen diren bezeroek sareko ingeniariarentzat ulergaitza den hizkuntza batean formulatzen dituztela beren nahiak, hau da, aplikazioaren hizkuntzan, adibidez, "eman iezadazu 1C sarbidea".

Hori dela eta, ez ditugu inoiz erabiltzaile horien eskaera zuzenean onartu.
Eta hori zen lehen baldintza

  • sarbide-eskaerak sail teknikoetatik etorri behar dira (gure kasuan unix, windows, helpdesk ingeniariak ziren)

Bigarren baldintza hori da

  • sarbide hori erregistratu behar da (eskaera hau jaso dugun departamentu teknikoak) eta eskaera gisa erregistratutako sarbide honetarako esteka bat jasotzen dugu.

Eskaera honen forma ulergarria izan behar zaigu, hau da.

  • eskaerak zein azpisare eta zein azpisarerako sarbidea ireki behar den informazioa izan behar du, baita protokoloa eta (tcp/udp kasuan) atakak ere.

Bertan ere adierazi behar da

  • Sarbide hau zergatik ireki den azaltzea
  • aldi baterako edo iraunkorra (aldi baterako bada, zein datara arte)

Eta oso puntu garrantzitsua onespenak dira

  • sarbidea hasi zuen saileko buruaren eskutik (adibidez, kontabilitatea)
  • sail teknikoko buruaren eskutik, eskaera hori sareko sailera iritsi zen (adibidez, laguntza-zerbitzua)

Kasu honetan, sarbide horren "jabea" sarbideari hasiera eman dion saileko burutzat hartzen da (gure adibidean kontabilitatea), eta bera arduratzen da sail horretarako erregistratutako sarbidea duen orrialdea eguneratuta egoteaz. .

Erregistratzea

Hau ito dezakezun zerbait da. Baina ikuspegi proaktibo bat ezarri nahi baduzu, orduan ikasi behar duzu nola aurre egin datu-lurpio honi.

Hona hemen gomendio praktiko batzuk:

  • egunkariak egunero berrikusi behar dituzu
  • aurreikusitako berrikuspen baten kasuan (eta ez larrialdi-egoeran), 0, 1, 2 larritasun-mailetara muga zaitezke eta beste mailetako hautatutako ereduak gehi ditzakezu beharrezkotzat jotzen baduzu.
  • idatzi erregistroak analizatzen dituen eta ez ikusiaren zerrendara gehitu dituzun ereduak baztertzen dituen erregistroak

Ikuspegi honi esker, denborarekin, zuretzat interesgarriak ez diren erregistro-zerrenda baztertu bat sortzeko eta benetan garrantzitsutzat jotzen dituzunak bakarrik uzteko aukera emango dizu.
Oso ondo funtzionatu zuen guretzat.

jarraipenaren

Ez da arraroa enpresa batek monitorizazio sistemarik ez izatea. Esate baterako, erregistroetan fidatu zaitezke, baina ekipamendua besterik gabe "hil" daiteke ezer "esateko" astirik izan gabe, edo udp syslog protokolo paketea galdu eta ez iristea. Orokorrean, jakina, jarraipen aktiboa garrantzitsua eta beharrezkoa da.

Nire praktikako bi adibide ezagunenak:

  • komunikazio-kanalen kargaren jarraipena, esteka kritikoak (adibidez, hornitzaileekin konektatzea). Trafiko galeraren ondorioz zerbitzua hondatzearen balizko arazoa modu proaktiboan ikusteko aukera ematen dute eta, horren arabera, saihesteko.
  • NetFlow-en oinarritutako grafikoak. Trafikoan anomaliak aurkitzea errazten dute eta oso erabilgarriak dira hackerren eraso mota sinple baina esanguratsu batzuk detektatzeko.

Garrantzitsua! Konfiguratu SMS jakinarazpenak gertaera kritikoenetarako. Hau monitorizazioari eta erregistroari dagokio. Laneko txandarik ez baduzu, sms-ak ere lan ordutegitik kanpo iritsi beharko lirateke.

Pentsatu prozesua ingeniari guztiak ez esnatzeko moduan. Ingeniari bat izan genuen horretarako.

Aldatu kontrola

Nire ustez, ez da beharrezkoa aldaketa guztiak kontrolatzea. Baina, edonola ere, gai izan beharko zenuke, behar izanez gero, sarean aldaketa batzuk nork eta zergatik egin dituen erraz aurkitzeko.

A aholku batzuk:

  • erabili txartel-sistema bat txartel horretan egindakoa xehetzeko, adibidez, aplikatutako konfigurazioa txartelean kopiatuz
  • erabili iruzkin-gaitasunak sare-ekipoetan (adibidez, konprometitu iruzkinak Juniper-en). Txartelaren zenbakia idatz dezakezu
  • erabili zure konfigurazio babeskopien diferentzia

Hau prozesu gisa inplementatu dezakezu, txartel guztiak egunero berrikusiz aldaketak ikusteko.

Prozesuak

Zure taldeko prozesuak formalizatu eta deskribatu behar dituzu. Puntu honetara iritsi bazara, zure taldeak gutxienez prozesu hauek martxan izan beharko lituzke:

Eguneroko prozesuak:

  • tiketekin lan egitea
  • erregistroekin lan egitea
  • aldatzeko kontrola
  • eguneko egiaztapen orria

Urteko prozesuak:

  • bermeen luzapena, lizentziak

Prozesu asinkronoak:

  • larrialdi-egoera ezberdinei erantzutea

Lehenengo zatiaren amaiera

Ohartu al zarete hori guztia ez dela sarearen konfigurazioari buruz, ez diseinuari buruz, ez sare protokoloei buruz, ez bideratzeari buruz, ez segurtasunari buruz... Inguruko zerbait da. Baina hauek, agian aspergarriak izan arren, sare-zatiketa baten lanaren elementu oso garrantzitsuak dira, noski.

Orain arte, ikusten duzunez, ez duzu ezer hobetu zure sarean. Segurtasun ahuleziak bazeuden, orduan geratzen ziren; diseinu txarra bazen, orduan geratzen zen. Sareko ingeniari gisa zure trebetasunak eta ezagutzak aplikatu dituzun arte, ziurrenik denbora, ahalegin eta batzuetan diru asko gastatu izana. Baina lehenengo oinarria sortu (edo sendotu) behar duzu, eta gero eraikitzen hasi.

Ondorengo zatiek akatsak nola aurkitu eta ezabatu eta, ondoren, zure azpiegitura nola hobetu esango dizute.

Jakina, ez duzu dena sekuentzialki egin behar. Denbora kritikoa izan daiteke. Baliabideek ahalbidetzen badute paraleloki egin.

Eta gehigarri garrantzitsu bat. Komunikatu, galdetu, kontsultatu zure taldearekin. Azkenean, hori guztia onartzen eta egiten dutenak dira.

Iturria: www.habr.com

Gehitu iruzkin berria