Di dema nivîsandina vê gotarê de, lêgerînek li ser malperek kar a populer ji bo peyva "Endezyarê Torê" li seranserê Rûsyayê dora sê sed cîhên vala vegeriya. Ji bo berhevdanê, lêgerîna peyva "rêveberê pergalê" hema hema 2.5 hezar cîhên vala vedigere, û "endazyarê DevOps" - hema hema 800.
Ma ev tê vê wateyê ku di demên ewrên serketî, Docker, Kubernetes û Wi-Fi-ya gelemperî ya berbelav de êdî torgilok hewce ne?
Ka em wê fêhm bikin (c)
Werin em hev nas bikin. Navê min Alexey e, û ez torgilok im.
Zêdetirî 10 sal in ku ez beşdarî toran bûm û ji 15 salan zêdetir bi pergalên *nix-ê yên cihêreng re dixebitim (Min şansek hebû ku hem bi Linux û hem jî bi FreeBSD-ê re mijûl bikim). Min di operatorên telekomê de, pargîdaniyên mezin ên ku wekî "karsaziyê" têne hesibandin de xebitî, û di van demên dawî de ez di fîntekek "ciwan û wêrek" de dixebitim, ku ewr, devops, kubernetes û gotinên din ên tirsnak ên ku bê guman dê min û hevkarên min neçar bikin. . Hin roj. Dibe ku bibe.
betalkirin: "Di jiyana me de, ne her tişt her dem û li her derê ye, lê tiştek, carinan li cîhan e" (c) Maxim Dorofeev.
Her tiştê ku li jêr hatî nivîsandin dikare û divê wekî ramana kesane ya nivîskar were hesibandin, ku ne îdîa dike ku rastiya dawî ye, an jî lêkolînek bêkêmasî ye. Hemî karakter xeyalî ne, hemî tesadufî rasthatî ne.
Bi xêr hatî dinyaya min.
Li ku derê hûn dikarin torêvanan jî bibînin?
1. Operatorên telekomê, pargîdaniyên karûbar û entegratorên din. Li vir her tişt hêsan e: torê ji bo wan karsaziyek e. Ew rasterast girêdanê (operator) difroşin an jî ji bo destpêkirina / domandina torên xerîdarên xwe karûbaran peyda dikin.
Li vir gelek ezmûn heye, lê ne pir drav (heya ku hûn derhênerek an rêveberek firotanê ya serkeftî ne). Lê dîsa jî, heke hûn ji toran hez dikin, û hûn tenê di destpêka rêwîtiya xwe de ne, kariyerek ji bo piştgirîkirina hin operatorên ne pir mezin dê, heya niha jî, bibe xalek destpêkek îdeal (di yên federal de her tişt pir nivîsar e, û li wir ji bo afirîneriyê cîhek hindik e). Welê, çîrokên li ser ka hûn çawa dikarin di nav çend salan de ji endezyarek li ser erkê mezin bibin heya rêveberek asta C jî pir rast in, her çend kêm be jî, ji ber sedemên diyar. Her tim hewcedarî bi personelan heye, ji ber ku veguhertin çêdibe. Ev di heman demê de hem baş û hem jî xirab e - ji hêla din ve, her gav vala hene - pirî caran yên herî çalak/aqilmend zû ji bo pêşvebirinê an jî cîhên din, "germtir" derdikevin.
2. "Saziya" bi şert. Ne girîng e ku çalakiya wî ya sereke bi IT ve girêdayî ye an na. Ya sereke ev e ku ew xwedan beşa IT-ya xwe ye, ku xebata pergalên navxweyî yên pargîdaniyê, di nav de tora li nivîsgehan, kanalên ragihandinê bi şaxan re, û hwd. Di pargîdaniyên weha de fonksiyonên endezyarek torê dikare "part-time" ji hêla rêveberê pergalê ve were kirin (heke binesaziya torê piçûk be an ji hêla peymankarek derveyî ve were rêve kirin), û pisporek torê, heke yek hebe, dikare li ser di heman demê de li têlefon û SAN binêre (ne baş e). Ew cûda didin - ew pir bi qezenca karsaziyê, mezinahiya pargîdanî û strukturê ve girêdayî ye. Min bi pargîdaniyên ku pergalên Cisco bi rêkûpêk "di bermîlan de barkirin" re xebitî, û bi pargîdaniyên ku torgilok ji felq, dar û kasêtên şîn dihatin çêkirin, û pêşkêşker qet nehatin nûve kirin (ne hewce ye ku were gotin, ti rezervan jî nehatin peyda kirin). Li vir ezmûnek pir kêm heye, û ew ê hema hema bê guman li qada firoşkar-qeyda hişk be, an jî "çawa meriv ji tiştek tiştek çêbike." Bi kesane, min ew pir bêhêz dît, her çend pir kes jê hez dikin - her tişt pir pîvan û pêşbîn e (heke em li ser pargîdaniyên mezin diaxivin), "dorakha-bahato", hwd. Bi kêmanî salê carekê, hin firoşyarên mezin dibêjin ku wan pergalek din a mega-super-duper peyda kiriye ku dê nuha her tiştî bixweber bike û hemî rêvebirên pergalê û torê dikarin werin belav kirin, û dihêle ku çend bişkokan di navbeynek xweşik de bişkînin. Rastî ev e ku, her çend em lêçûnên çareseriyê paşguh bikin jî, şebek ji wir naçin. Erê, belkî li şûna konsolê dê dîsa navbeynkarek tevnvî hebe (lê ne perçeyek taybetî ya hardware, lê pergalek mezin a ku bi dehan û bi sedan perçeyên weha yên hardware îdare dike), lê zanîna "her tişt çawa di hundurê de dixebite" dê hîn jî pêwîst be.
3. Şîrketên Product, qezenca ku ji pêşkeftina (û, bi gelemperî, xebitandina) hin nermalava an platformê tê - heman hilber. Bi gelemperî ew piçûk û zirav in, ew hîn ji pîvana pargîdanî û burokratîzekirina wan dûr in. Li vir e ku heman devops, cubers, dockers û peyvên din ên tirsnak bi girseyî têne dîtin, ku bê guman dê endezyarên torê û torê bike bingehek nehewce.
Torgilokek ji rêveberê pergalê çawa cûda ye?
Di têgihîştina mirovan de ne ji IT - tiştek. Her du jî li perdeya reş dinêrin û hin efsûnan dinivîsin, carinan jî bêdeng sond dixwin.
Di têgihîştina bernamenûsan de - dibe ku ji hêla qada mijarê ve. Rêvebirên pergalê serveran birêve dibin, toran guheztin û rêweran birêve dibin. Carinan rêveberî xirab e, û her tişt ji bo her kesî têk diçe. Welê, di rewşek xerîb de, torêker jî sûcdar in. Tenê ji ber ku li te bixapîne, ji ber vê yekê ye.
Bi rastî, cûdahiya sereke nêzîkbûna xebatê ye. Dibe ku, di nav toran de ye ku piraniya alîgirên nêzîkatiya "Eger ew kar dike, dest nede!" hene. Wekî qaîdeyek, tiştek (di hundurê yek firoşkarê de) tenê bi yek awayê dikare were kirin; tevahî veavakirina qutîkê li wir di kefa destê we de ye. Mesrefa xeletiyek pir zêde ye, û carinan jî pir zêde ye (mînak, hûn ê neçar bibin ku çend sed kîlometre rêve bikin da ku routerê ji nû ve bidin destpêkirin, û di vê demê de çend hezar kes dê bê ragihandinê bimînin - ji bo operatorek telekomê rewşek pir gelemperî) .
Bi dîtina min, ji ber vê yekê endazyarên torê, ji aliyekî ve, ji bo aramiya torê pir pir motîve ne (û guheztin dijminê sereke yê aramiyê ye), û ya duyemîn jî, zanîna wan ji berfirehiyê kûrtir dibe (hûn ne pêdivî ye ku meriv bikaribe bi dehan şeytanên cihêreng mîheng bike, hûn hewce ne ku teknolojiyên û pêkanîna wan ji hilberînerek amûrek taybetî zanibin). Ji ber vê yekê rêvebirê pergalê yê ku google kir ku meriv çawa vlanek li ser pergalek Cisco tomar bike, hîn ne torê ye. Û ne mimkûn e ku ew ê bikaribe bi bandor piştgirî bike (û her weha pirsgirêk çareser bike) torgilokek hindiktir an hindiktir tevlihev.
Lê çima hûn hewceyê torêkerek heye heke we mêvandarek heye?
Ji bo dravê zêde (û heke hûn xerîdarek pir mezin û delal in, belkî jî belaş, "wek heval"), endezyarên navenda daneyê dê guheztinên we li gorî hewcedariyên we mîheng bikin, û belkî jî ji we re bibin alîkar ku hûn pêwendiyek BGP bi pêşkêşvanan re saz bikin. (heke we ji bo ragihandinê jêrtora navnîşanên IP-ya we hebe).
Pirsgirêka sereke ev e ku navenda daneyê ne beşa weya IT-ê ye, ew pargîdaniyek cihê ye ku armanca wê qezenckirina qezencê ye. Di nav de li ser hesabê we wekî xerîdar. Navenda daneyê rafikan peyda dike, elektrîkê û sermayê ji wan re peyda dike, û di heman demê de hin girêdana "dewra" bi Înternetê re peyda dike. Li ser bingeha vê binesaziyê, navenda daneyê dikare alavên we mêvandar bike (colocation), serverek ji we re kirê bike (serverek veqetandî), an karûbarek birêvebir peyda bike (mînak, OpenStack an K8s). Lê karsaziya navendek daneyê (bi gelemperî) ne rêveberiya binesaziya xerîdar e, ji ber ku ev pêvajo pir kedkar e, kêm otomatîk e (û di navendek daneya normal de her tiştê ku gengaz e otomatîk e), yekbûyî hîn xirabtir e (her xerîdar ferdî ye) û bi giştî bi gilî û gazincên ("tu ji min re dibêjî ku server sazkirî bû, lê niha têk çûye, ev hemû sûcê te ye!!!111"). Ji ber vê yekê, heke mêvandar bi tiştek ji we re bibe alîkar, ew ê hewl bide ku wê bi qasî ku pêkan hêsan û hêsan bike. Ji ber ku kirina wê bikêrhatî ye, bi kêmanî ji hêla lêçûnên kedê yên endezyarên vê heman mêvandar ve (lê rewş cûda ne, li vegotinê binêre). Ev nayê vê wateyê ku mêvandar dê her tiştî xirab bike. Lê qet ne rastiyek e ku ew ê tiştê ku hûn bi rastî hewce ne bikin.
Wusa dixuye ku tişt pir eşkere ye, lê çend caran di pratîka xwe de ez rastî vê yekê hatim ku pargîdaniyan piçekî ji ya ku divê bêtir dest pê kir ku xwe bispêrin pêşkêşvanê mêvandariya xwe, û ev yek rê neda tiştek baş. Diviya bû ku min bi dirêjî û bi hûrgulî rave bikim ku yek SLA dê windahiyên ji dema domandinê venegire (îstîsna hene, lê bi gelemperî ew ji bo xerîdar pir, pir biha ye) û ku mêvandar qet haya wî ji tiştê ku diqewime nine. binesaziya xerîdar (ji bilî nîşanên pir gelemperî). Û mêvandar jî ji we re paşgiran çênake. Ger ji yekê zêdetir mêvandar hebin rewş hîn xirabtir e. Di rewşek pirsgirêkek di navbera wan de, bê guman ew ê ji we re nebînin ka çi xelet bûye.
Bi rastî, motîvên li vir tam heman in wekî dema hilbijartina "tîmê rêvebirê hundurîn li hember çavkaniyê". Ger xetere têne hesibandin, kalîte têrker e, û karsaz guh nade, çima wê biceribîne. Ji hêla din ve, torê yek ji qatên bingehîn ên binesaziyê ye, û heke hûn berê xwe bidin her tiştê din, ne hêja ye ku meriv wê ji xortên derveyî re bihêle.
Di kîjan rewşan de torêker hewce ye?
Piştre em ê bi taybetî li ser pargîdaniyên xwarinên nûjen biaxivin. Digel operator û pargîdaniyê, her tişt zelal e, zêde an kêmasî - di van salên dawî de hindik li wir guherî, û berê li wir torgilok hewce bûn, û ew naha hewce ne. Lê bi wan heman “ciwan û wêrek” tişt ewqas ne zelal in. Bi gelemperî ew tevahiya binesaziya xwe di nav ewran de bi cih dikin, ji ber vê yekê ew bi rastî jî ne hewceyî admînan in - ji bilî rêvebirên heman ewran, bê guman. Binesaziya, ji aliyekî ve, di sêwirana xwe de pir sade ye, ji hêla din ve, ew baş bixweber e (ansibil/puppet, terraform, ci/cd... baş e, hûn dizanin). Lê tewra li vir rewş hene ku hûn nekarin bêyî endezyarek torê bikin.
Mînak 1, klasîk
Bifikirin ku pargîdaniyek bi yek serverek bi navnîşana IP-ya gelemperî, ku di navendek daneyê de ye, dest pê dike. Hingê du server hene. Dûv re bêtir... Zû an dereng, dê di navbera serveran de pêdivî bi torgilokek taybet hebe. Ji ber ku seyrûsefera "derveyî" hem ji hêla berfê ve (mînakî ne ji 100Mbit/s zêdetir) û hem jî ji hêla qebareya dakêşan/barkirî ya mehê ve sînorkirî ye (hostevanên cihêreng tarîfên cihêreng hene, lê bandfirehiya cîhana derve bi gelemperî ji a tora taybet).
Mêvandar qertên torê yên din li pêşkêşkeran zêde dike û wan di nav guheztinên xwe de di vlanek cûda de vedihewîne. Di navbera pêşkêşkeran de deverek herêmî ya "drav" xuya dike. Rehet!
Hejmara pêşkêşkeran zêde dibe, û seyrûsefera li ser tora taybet jî mezin dibe - paşvekişandin, dubarekirin, hwd. Mêvandar pêşkêşî we dike ku we biguhezîne nav guheztinên cûda da ku hûn mudaxeleyî xerîdarên din nekin, û ew bi we re mudaxele nekin. Mêvandar hin guheztan saz dike û bi rengekî wan mîheng dike - bi îhtîmalek mezin, di navbera hemî serverên we de torgilokek guncan dihêle. Her tişt baş dixebite, lê di demek diyar de pirsgirêk dest pê dikin: dereng di navbera mêvandaran de bi periyodîk zêde dibin, têketin di çirkeyê de ji pir pakêtên arp gilî dikin, û di dema kontrolê de pentester tevaya tora weya herêmî qul kir, tenê serverek şikand.
Divê çi were kirin?
Torê li beşan dabeş bikin - vlan. Di her vlan de navnîşana xweya xwe mîheng bikin, dergehek ku dê seyrûseferê di navbera toran de veguhezîne hilbijêrin. Acl-ê li ser dergehê mîheng bikin da ku gihîştina di navbera beşan de sînordar bike, an tewra dîwarek fîşekek cihê li nêzê saz bike.
Mînak 1, berdewam kir
Pêşkêşker bi yek kordê bi LAN-ê ve girêdayî ne. Veguheztinên di refikan de bi rengekî bi hev ve girêdayî ne, lê heke di refikekê de qezayek çêbibe, sê yên din ên cîran dikevin. Plan hene, lê di derbarê têkildariya wan de guman hene. Her server navnîşana xweya gelemperî heye, ku ji hêla mêvandar ve tê derxistin û bi rackê ve girêdayî ye. Ewan. Dema ku serverek veguherîne, navnîşan divê bê guhertin.
Divê çi were kirin?
Pêşkêşkeran bi karanîna LAG (Koma Tevhevkirina Girêdanê) bi du têlan ve girêdin bi guheztinên di rakê de (ew jî hewce ne ku zêde bibin). Têkiliyên di navbera refikan de veqetînin, wan veguherînin celebek "stêrk" (an jî CLOS-a nuha moda), da ku windabûna yek raftê bandorê li yên din neke. Rafên "navendî" yên ku dê bingeha torê tê de cih bigire û li ku derê rafikên din dê werin girêdan hilbijêrin. Di heman demê de, navnîşana gelemperî bi rêkûpêk bikin, ji mêvandar (an jî ji RIR, heke gengaz be) jêderek bin, ku hûn bixwe (an jî bi navgîniya mêvandar) ji cîhanê re ragihînin.
Ma ev hemî ji hêla rêveberek pergalê ya "asayî" ve ku ne xwediyê zanîna kûr a torê ye dikare were kirin? Bê guman. Ma hoste dê vê yekê bike? Dibe ku ew ê be, lê hûn ê hewceyê taybetmendiyek teknîkî ya pir berfireh hewce bikin, ku kesek jî hewce dike ku ew derxîne. û dûv re kontrol bikin ku her tişt rast hatiye kirin.
Mînak 2: Ewr
Ka em bibêjin ku we di hin ewr giştî de VPC heye. Ji bo ku hûn ji ofîsê an jî beşek pêşîn a binesaziyê bigihîjin tora herêmî ya di hundurê VPC de, hûn hewce ne ku pêwendiyek bi IPSec an kanalek veqetandî vesaz bikin. Ji aliyekî ve, IPSec erzantir e, ji ber ne hewce ye ku hûn hardware zêde bikirin; hûn dikarin di navbera servera xwe de bi navnîşek gelemperî û ewr de tunelek saz bikin. Lê - dereng, performansa tixûbdar (ji ber ku pêdivî ye ku kanal were şîfrekirin), plus pêwendiya ne garantîkirî (ji ber ku gihîştin bi riya Înterneta birêkûpêk e).
Divê çi were kirin?
Têkiliyek bi kanalek veqetandî bilind bikin (mînakek, AWS jê re Têkiliya Direct dibêjin). Ji bo kirina vê yekê, operatorek hevkar bibînin ku dê we girêbide, li ser xala pêwendiyê ya herî nêzê we biryar bide (hem hûn ji operator û hem jî operator bi ewr re), û, di dawiyê de, her tiştî saz bikin. Ma gengaz e ku meriv van hemî bêyî endezyarek torê bike? Bê guman erê. Lê meriv çawa di bûyera pirsgirêkan de bêyî wî pirsgirêkan çareser bike, êdî ew qas ne diyar e.
Di heman demê de dibe ku pirsgirêkên hebûna di navbera ewran de (heke we pirekreng hebe) an pirsgirêkên derengbûnê di navbera herêmên cûda de, hwd. Bê guman, naha gelek amûr derketine ku zelaliya tiştên ku di ewrê de diqewimin zêde dikin (eynî Hezar Çav), lê ev hemî amûrên endezyarek torê ne, û ne şûna wî ne.
Ez dikarim bi dehan mînakên din ên weha ji pratîka xwe derxînim, lê ez difikirim ku diyar e ku tîmê, ku ji astek pêşkeftina binesaziyê dest pê dike, pêdivî ye ku kesek hebe (bi tercîhî ji yekê zêdetir) ku dizane torê çawa dixebite û dikare mîheng bike. alavên torê û heke pirsgirêk derkevin holê çareser bikin. Ji min bawer bike, ew ê tiştek heye ku bike
Divê torêvan çi bizane?
Ji bo endezyarek torê ne hewce ye (û carinan jî zirardar) ku tenê bi torê re mijûl bibe û ne tiştek din. Tewra ku em vebijarka bi binesaziyek ku hema hema bi tevahî di ewrê giştî de dijî (û, çi dibe bila bibe, ew her ku diçe populertir dibe) nehesibînin û, mînakî, li ser ewrên pêşîn an taybetî, li ku derê li ser "zanîna asta CCNP tenê" "Hûn ê nehêlin.
Digel vê yekê, bi rastî, toran - her çend ji bo xwendinê tenê zevîyek bêdawî heye, tewra ku hûn tenê li yek deverê hûr bibin (tora peydaker, pargîdanî, navendên daneyê, Wi-Fi ...)
Bê guman, gelek ji we ê nuha Python û "otomatasyona torê" ya din bi bîr bînin, lê ev tenê şertek pêdivî ye, lê ne têr e. Ji bo ku endezyarek torê "bi serfirazî beşdarî tîmê bibe", divê ew hem bi pêşdebiran û hem jî bi rêvebirên/devs re bi heman zimanî biaxive. Poldayî?
- ne tenê bikaribe di Linux-ê de wekî bikarhêner bixebite, lê di heman demê de bi kêmanî di asta sysadmin-jun de jî wê îdare bike: nermalava pêwîst saz bikin, karûbarek têkçûyî ji nû ve bidin destpêkirin, yekîneyek pergala hêsan binivîsin.
- Fêm bikin (qet nebe bi gelemperî) ka stacka torê çawa li Linux-ê dixebite, tora çawa di hîpervisor û konteyneran de dixebite (lxc / docker / kubernetes).
- Bê guman, hûn dikarin bi ansible / chef / puppet an pergalek din a SCM-ê re bixebitin.
- Divê rêzek cûda li ser SDN û torên ji bo ewrên taybet (mînak, TungstenFabric an OpenvSwitch) were nivîsandin. Ev qatek din a mezin a zanînê ye.
Bi kurtasî, min pisporek tîpa T-ya tîpîk diyar kir (wekî ku niha moda ye ku were gotin). Ne tiştek nû xuya dike, lê li ser bingeha ezmûna hevpeyivînê, ne hemî endezyarên torê dikarin bi zanîna bi kêmî ve du mijaran ji navnîşa li jor pesnê xwe bidin. Di pratîkê de, nebûna zanînê "di warên têkildar" de ne tenê danûstendina bi hevalbendan re, lê di heman demê de têgihiştina hewcedariyên ku karsazî li ser torê bicîh dike, wekî binesaziya asta herî nizm a projeyê jî pir dijwar dike. Û bêyî vê têgihîştinê, parastina nêrîna xwe û "firotina" wê ji karsaziyê re dijwartir dibe.
Ji hêla din ve, heman adeta "têgihîştina pergalê çawa dixebite" avantajek pir baş dide torangiran li hember cûrbecûr "generalîst" ên ku ji teknolojiyên ji gotarên li ser Habré/navîn û sohbetên li ser Telegram dizanin, lê bi tevahî nizanin ka meriv çawa dike. prensîbên vê an wê nermalavê li ser kar dike? Û zanîna hin qalibên, wek ku tê zanîn, bi serkeftî şûna zanîna gelek rastiyan.
Encam, an jî tenê TL;DR
- Rêvebirek torê (wek endezyarek DBA an VoIP) pisporek bi profîlek pir teng e (berevajî rêveberên pergalê / devs / SRE), hewcedariya ku tavilê çênabe (û dibe ku ji bo demek dirêj ve çênebe, bi rastî) . Lê heke ew çêbibe, ne mimkûn e ku ew ji hêla pisporiya derveyî ve were guheztin (derveyî an rêveberên gelemperî yên gelemperî, "yên ku li torê jî dinihêrin"). Tiştê ku hinekî xemgîntir e ev e ku hewcedariya pisporên weha hindik e, û, bi şert, di pargîdaniyek bi 800 bernamenûs û 30 devop / rêvebiran de, dibe ku tenê du toran hebin ku bi berpirsiyariyên xwe karekî hêja dikin. Ewan. bazar pir û pir piçûk bû û heye û bi meaşekî baş - hê kêmtir.
- Ji hêla din ve, di cîhana nûjen de torgilokek baş divê ne tenê torgilokan bixwe (û çawa veavakirina wan bixweber bike), di heman demê de pergalên xebitandinê û nermalava ku li ser van toran dixebitin bi wan re jî bizanibe. Bêyî vê, dê pir dijwar be ku hûn fêm bikin ka hevkarên we ji we çi dipirsin û daxwazên / daxwazên xwe (bi maqûl) ji wan re ragihînin.
- Ewr tune, ew tenê komputera kesek din e. Pêdivî ye ku hûn fêhm bikin ku karanîna ewrên gelemperî/taybet an karûbarên pêşkêşkerek mêvandar "ku her tiştî ji we re li ser bingehek kilît dike" vê rastiyê naguhêre ku serlêdana we hîn jî torê bikar tîne, û pirsgirêkên bi wê re dê bandorê li operasyona serlêdana we. Hilbijartina we ew e ku navenda jêhatîbûnê dê li ku derê be, ku dê berpirsiyarê tora projeya we be.
Source: www.habr.com