ProHoster > Blog > Ma'muriyat > Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Birinchi bob. Tutmoq

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Birinchi bob. Tutmoq

Ushbu maqola "Tarmoq infratuzilmangizni qanday nazorat qilish kerak" turkumidagi birinchi maqoladir. Seriyadagi barcha maqolalarning mazmuni va havolalarni topishingiz mumkin shu yerda.

Men to'liq e'tirof etamanki, tarmoqning bir soat yoki hatto bir kunlik uzilishlari juda muhim bo'lmagan kompaniyalar soni etarli. Afsuskimi, xayriyatmi, bunday joylarda ishlash imkonim bo'lmadi. Lekin, albatta, tarmoqlar har xil, talablar boshqacha, yondashuvlar har xil va shunga qaramay, u yoki bu shaklda quyida keltirilgan ro'yxat ko'p hollarda aslida "bajarish kerak" bo'ladi.

Shunday qilib, dastlabki shartlar.

Siz yangi ishdasiz, ko'tarildingiz yoki mas'uliyatingizga yangicha qarashga qaror qildingiz. Kompaniya tarmog'i sizning mas'uliyat sohangizdir. Siz uchun bu ko'p jihatdan qiyin va yangi bo'lib, ushbu maqolaning murabbiylik ohangini biroz oqlaydi :). Ammo umid qilamanki, maqola har qanday tarmoq muhandisi uchun ham foydali bo'lishi mumkin.

Sizning birinchi strategik maqsadingiz - entropiyaga qarshi turishni va taqdim etilayotgan xizmat darajasini saqlab qolishni o'rganishdir.

Quyida tavsiflangan ko'plab muammolarni turli usullar bilan hal qilish mumkin. Men ataylab texnik amalga oshirish mavzusini ko'tarmayman, chunki... printsipial jihatdan, u yoki bu muammoni qanday hal qilganingiz ko'pincha unchalik muhim emas, lekin muhimi, siz uni qanday ishlatishingiz va undan umuman foydalanasizmi. Misol uchun, agar siz unga qaramasangiz va ogohlantirishlarga javob bermasangiz, professional tarzda qurilgan monitoring tizimingiz kam foyda keltiradi.

uskunalar

Avval siz eng katta xavflar qaerda ekanligini tushunishingiz kerak.

Shunga qaramay, u boshqacha bo'lishi mumkin. Qaerdadir, masalan, bu xavfsizlik masalalari, qayerdadir, xizmatning uzluksizligi bilan bog'liq muammolar va qayerdadir, ehtimol, boshqa narsa bo'lishini tan olaman. Nega yo'q?

Aytaylik, bu hali ham xizmatning uzluksizligi (bu men ishlagan barcha kompaniyalarda shunday edi).

Keyin jihozlardan boshlashingiz kerak. Bu erda e'tibor berish kerak bo'lgan mavzular ro'yxati:

  • uskunalarni tanqidiylik darajasi bo'yicha tasniflash
  • muhim uskunalarning zaxira nusxasi
  • qo'llab-quvvatlash, litsenziyalar

Mumkin bo'lgan nosozlik stsenariylari haqida o'ylashingiz kerak, ayniqsa tanqidiylik tasnifingizning yuqori qismidagi uskunalar bilan. Odatda, ikki tomonlama muammolar ehtimoli e'tiborga olinmaydi, aks holda sizning yechimingiz va yordamingiz asossiz qimmatga tushishi mumkin, ammo muvaffaqiyatsizligi biznesga sezilarli ta'sir ko'rsatishi mumkin bo'lgan haqiqatan ham muhim tarmoq elementlari bo'lsa, bu haqda o'ylashingiz kerak.

misol

Aytaylik, biz ma'lumotlar markazidagi ildiz kaliti haqida gapiramiz.

Xizmatning uzluksizligi eng muhim mezon ekanligiga rozi bo'lganimiz sababli, ushbu uskunaning "issiq" zaxirasini (ortiqchaligini) ta'minlash maqsadga muvofiqdir. Lekin bu hammasi emas. Bundan tashqari, agar birinchi kalit buzilgan bo'lsa, qolgan bitta kalit bilan qancha vaqt yashashingiz maqbulligini hal qilishingiz kerak, chunki u ham sinishi xavfi mavjud.

Muhim! Bu masalani o'zingiz hal qilishingiz shart emas. Menejment yoki kompaniya boshqaruvi uchun xavflarni, mumkin bo'lgan echimlarni va xarajatlarni tavsiflashingiz kerak. Ular qaror qabul qilishlari kerak.

Shunday qilib, agar er-xotin nosozlikning kichik ehtimolini hisobga olgan holda, bitta kalitda 4 soat ishlash, qoida tariqasida, maqbul deb qaror qilingan bo'lsa, siz shunchaki tegishli yordamni olishingiz mumkin (ushbu uskuna 4 soat ichida almashtiriladi) soat).

Ammo ular etkazib bermaslik xavfi mavjud. Afsuski, bir paytlar shunday holatga tushib qolganmiz. To'rt soat o'rniga uskunalar bir hafta sayohat qildi!!!

Shuning uchun, bu xavfni ham muhokama qilish kerak va, ehtimol, siz boshqa kalitni (uchinchi) sotib olishingiz va uni ehtiyot qismlar paketida ("sovuq" zaxira) saqlashingiz yoki uni laboratoriya maqsadlarida ishlatishingiz to'g'ri bo'ladi.

Muhim! Yaroqlilik muddati ko'rsatilgan barcha qo'llab-quvvatlash jadvalini tuzing va uni taqvimingizga qo'shing, shunda sizga kamida bir oy oldin elektron pochta xabari keladi, bu sizga yordamni yangilash haqida tashvishlanishni boshlashingiz kerak.

Agar siz qo'llab-quvvatlashni yangilashni unutib qo'ysangiz va u tugatgandan keyingi kun sizning uskunangizdagi buzilishlar kechirilmaydi.

Favqulodda ish

Tarmoqingizda nima sodir bo'lishidan qat'iy nazar, siz tarmoq uskunasiga kirishni saqlab qolishingiz kerak.

Muhim! Siz barcha jihozlarga konsoldan kirish huquqiga ega bo'lishingiz kerak va bu kirish foydalanuvchi ma'lumotlar tarmog'ining sog'lig'iga bog'liq bo'lmasligi kerak.

Bundan tashqari, mumkin bo'lgan salbiy stsenariylarni oldindan ko'rib chiqishingiz va kerakli harakatlarni hujjatlashtirishingiz kerak. Ushbu hujjatning mavjudligi ham juda muhim, shuning uchun u nafaqat bo'lim uchun umumiy resursga joylashtirilishi, balki muhandislarning kompyuterlarida mahalliy ravishda saqlanishi kerak.

Bo'lishi kerak

  • sotuvchi yoki integrator yordami bilan chipta ochish uchun zarur bo'lgan ma'lumotlar
  • har qanday uskunaga qanday borish haqida ma'lumot (konsol, boshqaruv)

Albatta, u boshqa foydali ma'lumotlarni ham o'z ichiga olishi mumkin, masalan, turli xil uskunalarni yangilash tartibining tavsifi va foydali diagnostika buyruqlari.

hamkorlar

Endi siz sheriklar bilan bog'liq xavflarni baholashingiz kerak. Odatda bu

  • Internet provayderlari va trafik almashinuv punktlari (IX)
  • aloqa kanali provayderlari

O'zingizga qanday savollarni berishingiz kerak? Uskunalarda bo'lgani kabi, turli xil favqulodda vaziyatlar stsenariylarini ham hisobga olish kerak. Masalan, Internet-provayderlar uchun bu shunday bo'lishi mumkin:

  • Agar X Internet-provayderi biron sababga ko'ra sizga xizmat ko'rsatishni to'xtatsa nima bo'ladi?
  • Boshqa provayderlar siz uchun etarli tarmoqli kengligiga ega bo'ladimi?
  • Ulanish qanchalik yaxshi bo'lib qoladi?
  • Sizning internet provayderlaringiz qanchalik mustaqil va ulardan birining jiddiy uzilishi qolganlari bilan muammo tug'diradimi?
  • ma'lumotlar markazingizga qancha optik kirish bor?
  • agar kirishlardan biri butunlay vayron bo'lsa nima bo'ladi?

Kiritilgan ma'lumotlarga kelsak, mening amaliyotimda ikki xil kompaniyada, ikki xil ma'lumot markazlarida ekskavator quduqlarni vayron qildi va faqat mo''jiza tufayli bizning optikamiz ta'sir qilmadi. Bu unchalik kam uchraydigan holat emas.

Va, albatta, siz nafaqat bu savollarni berishingiz kerak, balki yana menejmentning yordami bilan har qanday vaziyatda maqbul echimni taqdim etishingiz kerak.

Zaxira

Keyingi ustuvorlik uskuna konfiguratsiyasining zaxira nusxasi bo'lishi mumkin. Har holda, bu juda muhim nuqta. Men konfiguratsiyani yo'qotishingiz mumkin bo'lgan holatlarni sanab o'tmayman, muntazam zaxira nusxalarini yaratish va bu haqda o'ylamaslik yaxshiroqdir. Bundan tashqari, muntazam zaxira nusxalari o'zgarishlarni kuzatishda juda foydali bo'lishi mumkin.

Muhim! Har kuni zaxira nusxalarini yarating. Buni tejash uchun bu unchalik katta ma'lumot emas. Ertalab navbatchi muhandis (yoki siz) tizimdan hisobot olishi kerak, unda zaxira nusxasi muvaffaqiyatli yoki muvaffaqiyatli bo'lmaganligi aniq ko'rsatilgan va agar zaxira muvaffaqiyatsiz bo'lsa, muammoni hal qilish yoki chipta yaratish kerak ( tarmoq bo'limi jarayonlariga qarang).

Dasturiy ta'minot versiyalari

Uskunaning dasturiy ta'minotini yangilashga arziydimi yoki yo'qmi degan savol unchalik aniq emas. Bir tomondan, eski versiyalar ma'lum xatolar va zaifliklardir, lekin boshqa tomondan, yangi dasturiy ta'minot, birinchidan, har doim ham og'riqsiz yangilash protsedurasi emas, ikkinchidan, yangi xatolar va zaifliklar.

Bu erda siz eng yaxshi variantni topishingiz kerak. Bir nechta aniq tavsiyalar

  • faqat barqaror versiyalarni o'rnating
  • Shunga qaramay, siz dasturiy ta'minotning juda eski versiyalarida yashamasligingiz kerak
  • ba'zi bir dasturiy ta'minot qaerda joylashganligi haqida ma'lumot bilan belgi qo'ying
  • dasturiy ta'minot versiyalaridagi zaifliklar va xatolar to'g'risidagi hisobotlarni vaqti-vaqti bilan o'qib chiqing va jiddiy muammolar yuzaga kelganda, yangilash haqida o'ylashingiz kerak.

Ushbu bosqichda, uskunaga konsoldan kirish, qo'llab-quvvatlash haqida ma'lumot va yangilash jarayonining tavsifi bilan siz, qoida tariqasida, ushbu bosqichga tayyormiz. Ideal variant, sizda butun protsedurani tekshirishingiz mumkin bo'lgan laboratoriya jihozlari mavjud bo'lsa, lekin, afsuski, bu tez-tez sodir bo'lmaydi.

Jiddiy jihozlar bo'lsa, sotuvchining qo'llab-quvvatlash xizmatiga yangilashda yordam so'rab murojaat qilishingiz mumkin.

Chipta tizimi

Endi siz atrofga qarashingiz mumkin. Siz boshqa bo'limlar bilan va bo'lim ichida o'zaro munosabatlar jarayonlarini o'rnatishingiz kerak.

Bu kerak bo'lmasligi mumkin (masalan, sizning kompaniyangiz kichik bo'lsa), lekin men ishni barcha tashqi va ichki vazifalar chipta tizimidan o'tadigan tarzda tashkil qilishni tavsiya qilaman.

Chipta tizimi asosan sizning ichki va tashqi aloqalaringiz uchun interfeysdir va siz ushbu interfeysni etarlicha batafsil tavsiflashingiz kerak.

Keling, kirishni ochishning muhim va keng tarqalgan vazifasini misol qilib olaylik. Men kompaniyalardan birida mukammal ishlagan algoritmni tasvirlab beraman.

misol

Ko'pincha kirish mijozlari o'z istaklarini tarmoq muhandisi uchun tushunarsiz tilda, ya'ni dastur tilida, masalan, "menga 1C-ga kirish huquqini bering" degan haqiqatdan boshlaylik.

Shuning uchun biz hech qachon bunday foydalanuvchilarning so'rovlarini to'g'ridan-to'g'ri qabul qilmaganmiz.
Va bu birinchi talab edi

  • kirish so'rovlari texnik bo'limlardan kelib chiqishi kerak (bizning holimizda bular unix, windows, yordamchi muhandislar edi)

Ikkinchi talab - bu

  • bu ruxsat tizimga kiritilishi kerak (biz ushbu so'rovni olgan texnik bo'lim tomonidan) va so'rov sifatida biz ushbu tizimga kiritilgan kirishga havolani olamiz

Ushbu so'rovning shakli biz uchun tushunarli bo'lishi kerak, ya'ni.

  • so'rovda qaysi quyi tarmoq va qaysi quyi tarmoqqa kirish ochiq bo'lishi kerakligi, shuningdek protokol va (tcp/udp bo'lsa) portlari haqida ma'lumot bo'lishi kerak.

U erda ham ko'rsatilishi kerak

  • ushbu ruxsat nima uchun ochilganligi tavsifi
  • vaqtinchalik yoki doimiy (vaqtinchalik bo'lsa, qaysi sanagacha)

Va juda muhim nuqta - bu tasdiqlash

  • kirishni boshlagan bo'lim boshlig'idan (masalan, buxgalteriya hisobi)
  • texnik bo'lim boshlig'idan, bu so'rov tarmoq bo'limiga kelgan joydan (masalan, yordam xizmati)

Bunday holda, ushbu ruxsatning "egasi" kirishni boshlagan bo'lim boshlig'i hisoblanadi (bizning misolimizda buxgalteriya hisobi) va u ushbu bo'lim uchun kirish huquqiga ega bo'lgan sahifaning yangilanishini ta'minlash uchun javobgardir. .

Jurnal yozish

Bu siz cho'kib ketishingiz mumkin bo'lgan narsadir. Ammo agar siz proaktiv yondashuvni amalga oshirmoqchi bo'lsangiz, unda siz ushbu ma'lumotlar oqimi bilan qanday kurashishni o'rganishingiz kerak.

Mana bir nechta amaliy tavsiyalar:

  • kundaliklarni har kuni ko'rib chiqishingiz kerak
  • rejalashtirilgan ko'rib chiqishda (favqulodda vaziyat emas) siz o'zingizni 0, 1, 2 jiddiylik darajalari bilan cheklashingiz va zarur deb hisoblasangiz, boshqa darajadagi tanlangan naqshlarni qo'shishingiz mumkin.
  • jurnallarni tahlil qiladigan va siz e'tibor bermaslik ro'yxatiga qo'shgan naqshlarni e'tiborsiz qoldiradigan skript yozing

Ushbu yondashuv vaqt o'tishi bilan siz uchun qiziq bo'lmagan jurnallarning e'tiborsiz ro'yxatini yaratishga va faqat siz haqiqatan ham muhim deb hisoblaganlarni qoldirishga imkon beradi.
Bu biz uchun juda yaxshi ishladi.

Monitoring

Kompaniyada monitoring tizimi yo'qligi odatiy hol emas. Siz, masalan, jurnallarga tayanishingiz mumkin, lekin uskuna hech narsa "aytishga" vaqt topolmasdan oddiygina "o'lishi" mumkin yoki udp syslog protokol paketi yo'qolishi va kelmasligi mumkin. Umuman olganda, albatta, faol monitoring muhim va zarurdir.

Mening amaliyotimdagi eng mashhur ikkita misol:

  • aloqa kanallari, muhim havolalar yukini kuzatish (masalan, provayderlarga ulanish). Ular sizga trafikni yo'qotish tufayli xizmat ko'rsatishning mumkin bo'lgan buzilish muammosini faol ko'rish va shunga mos ravishda undan qochish imkonini beradi.
  • NetFlow asosidagi grafiklar. Ular trafikdagi anomaliyalarni topishni osonlashtiradi va xakerlik hujumlarining oddiy, ammo muhim turlarini aniqlash uchun juda foydali.

Muhim! Eng muhim voqealar uchun SMS-xabarnomalarni o'rnating. Bu monitoring va jurnalga ham tegishli. Agar sizda navbatchi smena bo'lmasa, sms ish vaqtidan tashqari ham kelishi kerak.

Barcha muhandislarni uyg'otmaslik uchun jarayonni o'ylab ko'ring. Buning uchun navbatchi muhandisimiz bor edi.

Boshqarishni o'zgartirish

Menimcha, barcha o'zgarishlarni nazorat qilish shart emas. Ammo, har qanday holatda, agar kerak bo'lsa, tarmoqda kim va nima uchun ma'lum o'zgarishlarni amalga oshirganini osongina topishingiz kerak.

Bir necha maslahatlar:

  • chiptada nima qilinganligi haqida batafsil ma'lumot olish uchun chipta tizimidan foydalaning, masalan, qo'llaniladigan konfiguratsiyani chiptaga nusxalash
  • tarmoq uskunasida sharhlash imkoniyatlaridan foydalanish (masalan, Juniper-ga sharh berish). Siz chipta raqamini yozib olishingiz mumkin
  • konfiguratsiya zaxira nusxalaringizning farqidan foydalaning

Siz buni jarayon sifatida amalga oshirishingiz mumkin, har kuni o'zgarishlar uchun barcha chiptalarni ko'rib chiqing.

Jarayonlar

Jamoangizdagi jarayonlarni rasmiylashtirishingiz va tavsiflashingiz kerak. Agar siz shu nuqtaga yetgan bo'lsangiz, jamoangizda kamida quyidagi jarayonlar ishlayotgan bo'lishi kerak:

Kundalik jarayonlar:

  • chiptalar bilan ishlash
  • loglar bilan ishlash
  • boshqaruvni o'zgartirish
  • kundalik tekshirish varag'i

Yillik jarayonlar:

  • kafolatlar, litsenziyalar muddatini uzaytirish

Asinxron jarayonlar:

  • turli favqulodda vaziyatlarga javob

Birinchi qismning xulosasi

Bularning barchasi hali tarmoq konfiguratsiyasi haqida emas, balki dizayn haqida emas, tarmoq protokollari haqida emas, marshrutlash haqida emas, balki xavfsizlik haqida emas ... Bu atrofdagi narsa. Ammo bular, ehtimol, zerikarli bo'lsa ham, albatta, tarmoq bo'linmasi ishining juda muhim elementlari.

Ko'rib turganingizdek, siz o'z tarmog'ingizda hech narsani yaxshilamagansiz. Agar xavfsizlik zaifliklari bo'lsa, ular saqlanib qoldi, agar yomon dizayn bo'lsa, u holda qoldi. Tarmoq muhandisi sifatida o'z ko'nikmalaringiz va bilimlaringizni qo'llaguningizcha, bunga katta vaqt, kuch va ba'zan pul sarflagan bo'lishingiz mumkin. Lekin birinchi navbatda siz poydevor yaratishingiz (yoki mustahkamlashingiz), keyin esa qurilishni boshlashingiz kerak.

Quyidagi qismlar sizga xatolarni qanday topish va yo'q qilish va keyin infratuzilmangizni yaxshilashni aytib beradi.

Albatta, hamma narsani ketma-ket bajarish shart emas. Vaqt tanqidiy bo'lishi mumkin. Agar resurslar imkon bersa, buni parallel ravishda bajaring.

Va muhim qo'shimcha. Jamoangiz bilan muloqot qiling, so'rang, maslahatlashing. Oxir-oqibat, bularning barchasini qo'llab-quvvatlovchi va amalga oshiradiganlar.

Manba: www.habr.com

a Izoh qo'shish