[Перевод] Программисты, девопсы и коты Шрёдингера

2 месяца ago

Реальность сетевого инженера (с лапшой и… солью?)

В последнее время, обсуждая с инженерами разные инциденты, я заметил интересную закономерность.

В этих обсуждениях неизменно возникает вопрос «первопричины». Верные читатели наверняка знают, что у меня есть несколько мыслей по этому поводу. Во многих организациях анализ инцидентов полностью основан на этой концепции. Они используют разные техники выявления причинно-следственных связей, такие как «Пять почему». Эти методы предполагают так называемую «линейность событий» как неоспоримую догму.

Когда вы подвергаете сомнению эту идею и указываете на то, что в сложных системах линейность успокаивающе обманчива, то рождается увлекательная дискуссия. Спорщики страстно настаивают, что только знание «первопричины» позволяет понять происходящее.

Я заметил интересную закономерность: разработчики и девопсы по-разному реагируют на эту идею. По моему опыту, разработчики чаще утверждают, что первопричина имеет значение и что в событиях всегда можно установить причинно-следственные связи. С другой стороны, девопсы чаще соглашаются, что сложный мир не всегда подчиняется линейности.
Читать дальше →
ITSumma

Программный интернет-шлюз для небольшой организации

2 месяца ago
Любой бизнесмен стремится к сокращению расходов. То же самое касается и IT-инфраструктуры.

При открытии нового офиса у кого-то начинают шевелиться волосы. Ведь надо организовать:
  • локальную сеть;
  • выход в интернет. Лучше ещё с резервированием через второго провайдера;
  • VPN до центрального офиса (или до всех филиалов);
  • HotSpot для клиентов с авторизацией по sms;
  • фильтрацию трафик так, чтобы сотрудники не сидели в соцсетях и не трещали в скайпе;
  • защиту сеть от вирусов и атак. Обеспечить защиту от вторжений (IDS/IPS);
  • свой почтовый сервер (если не доверяете всяким pdd.yandex.ru) с антивирусом и антиспамом;
  • файловую помойку;
  • Вероятно Вам нужна телефония, т.е. организовать АТС, подключить к SIP провайдеру и другие плюшки...


Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.

Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).



Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.

Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте.
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.
Читать дальше →
LMonoceros

[Перевод] Как с tcpserver и netcat открыть туннель в Kubernetes pod или контейнер

2 месяца ago
Прим. перев.: Эта практическая заметка от создателя LayerCI — отличная иллюстрация так называемых tips & tricks для Kubernetes (и не только). Предлагаемое здесь решение — лишь одно из немногих и, пожалуй, не самое очевидное (для некоторых случаев может подойти уже упомянутый в комментариях «родной» для K8s kubectl port-forward). Однако оно позволяет как минимум посмотреть на проблему с позиции применения классических утилит и их дальнейшего комбинирования — одновременно простого, гибкого и мощного (см. «другие идеи» в конце для вдохновения).



Представьте типичную ситуацию: вы хотите, чтобы порт на локальном компьютере волшебным образом перенаправлял трафик в pod/контейнер (или наоборот). Читать дальше →
IlyaArens

Как правильно использовать доступный объем хранилища

2 месяца ago
Мы давно пользуемся облачными сервисами: почта, хранилища, соцсети, мессенджеры. Все они работают удаленно — отправляем сообщения и файлы, а хранятся и обрабатываются они на удаленных серверах. Также работает и облачный гейминг: пользователь подключается к сервису, выбирает игру и запускает. Для игрока это удобно, потому что игры запускаются почти мгновенно, не занимают память, и не нужен мощный игровой компьютер.



Для облачного сервиса все иначе — у него возникают проблемы хранения данных. Каждая игра может весить десятки или сотни гигабайт, например, «Ведьмак 3» занимает 50 Гбайт, а «Call of Duty: Black Ops III» — 113. При этом игроки не будут пользоваться сервисом с 2-3 играми, как минимум нужно несколько десятков. Кроме хранения сотен игр, сервису нужно решать, какой объем хранилища выделять на одного игрока, и масштабироваться, когда их будут тысячи.

Хранить ли все это на своих серверах: сколько их нужно, где ставить дата-центры, как «на лету» синхронизировать данные между несколькими дата-центрами? Покупать «облака»? Использовать виртуальные машины? Можно ли хранить данные пользователей со сжатием в 5 раз и предоставлять их в real-time? Как исключить любое влияние пользователей друг на друга при последовательном использовании одной и той же виртуальной машины?

Все эти задачи успешно удалось решить в Playkey.net — облачной игровой платформе. Владимир Рябов (Graymansama) — руководитель отдела системного администрирования — подробно расскажет о технологии ZFS для FreeBSD, которая в этом помогла, и ее свежем форке ZOL (ZFS on Linux).
Читать дальше →
osminog

SD-WAN и DNA в помощь админу: особенности архитектур и практика

2 месяца ago

Стенд, который можно пощупать у нас в лабе, если хочется.

SD-WAN и SD-Access — два разных новых проприетарных подхода к построению сетей. В будущем они должны слиться в одну оверлейную сеть, но пока только приближаются. Логика такая: берём сеть образца 1990-х и накатываем на неё все нужные патчи и фичи, не дожидаясь, пока это ещё лет через 10 станет новым открытым стандартом.

SD-WAN — это патч SDN к распределённым корпоративным сетям. Транспорт отдельно, контроль отдельно, поэтому контроль упрощается.

Плюсы — все каналы связи используются активно включая резервный. Есть маршрутизация пакетов до приложений: что, через какой канал и с каким приоритетом. Упрощённая процедура развёртывания новых точек: вместо накатывания конфига — только указания адреса сервера Циски в большом Интернете, ЦОДе КРОК или заказчика, откуда берутся конфиги именно для вашей сети.

SD-Access (DNA) — это автоматизация управления локальной сетью: конфигурация из одной точки, визарды, удобные интерфейсы. Фактически строится другая сеть с другим транспортом на уровне протоколов поверх вашей, и на границах периметра обеспечивается совместимость со старыми сетями.

С этим тоже разберёмся ниже.

Теперь немного демонстраций на тестовых стендах в нашей лабе, как это выглядит и работает. Читать дальше →
MKazakov_croc

1.Elastic stack: анализ security логов. Введение

2 месяца ago


В связи окончанием продаж в России системы логирования и аналитики Splunk, возник вопрос, чем это решение можно заменить? Потратив время на ознакомление с разными решениями, я остановился на решении для настоящего мужика — «ELK stack». Эта система требует времени на ее настройку, но в результате можно получить очень мощную систему по анализу состояния и оперативного реагирования на инциденты информационной безопасности в организации. В этом цикле статей мы рассмотрим базовые (а может и нет) возможности стека ELK, рассмотрим каким образом можно парсить логи, как строить графики и дашбоарды, и какие интересные функции можно сделать на примере логов с межсетевого экрана Check Point или сканера безопасности OpenVas. Для начала, рассмотрим, что же это такое — стек ELK, и из каких компонентов состоит.
Читать дальше →
GlebRyaskin

Запуск команд в процессе доставки нового релиза приложения в Kubernetes

2 месяца ago


В своей практике мы часто сталкиваемся с задачей адаптации клиентских приложений для запуска в Kubernetes. При проведении данных работ возникает ряд типовых проблем. Одну из них мы недавно осветили в статье Локальные файлы при переносе приложения в Kubernetes, а о другой, связанной уже с процессами CI/CD, — расскажем в этом материале.

Произвольные команды с Helm и werf
Приложение — это не только бизнес-логика и данные, но и набор произвольных команд, которые необходимо выполнить для успешного обновления. Это могут быть, например, миграции для баз данных, «ожидатели» готовности внешних ресурсов, какие-то перекодировщики или распаковщики, регистраторы во внешних Service Discovery — на разных проектах можно встретить разные задачи.

Что же предлагает Kubernetes для решения таких задач? Читать дальше →
konstantin_axenov

4. Анализ зловредов с помощью форензики Check Point. CloudGuard SaaS

2 месяца ago


Мы добрались до последнего продукта из нашего цикла статей по форензике от Check Point. На этот раз речь пойдет об облачной защите. Трудно представить компанию, которая не использует облачные сервисы (так называемый SaaS). Office 365, GSuite, Slack, Dropbox и т.д. И наибольший интерес здесь представляет облачная электронная почта и облачное файловое хранилище. То, чем каждый день пользуются наши сотрудники. Однако, облачные сервисы находятся вне нашей сети и периметр для них отсутствует, как таковой. Это, в свою очередь, очень сильно повышает вероятность атаки на наших пользователей. Вариантов защиты для облачных приложений не так уж и много. Ниже мы рассмотрим решение Check Point CloudGuard SaaS, от чего он защищает и, самое главное, какую форензику и отчетность предоставляет. Это может быть интересно тем, кто хочет провести аудит безопасности своих облачных сервисов. Читать дальше →
cooper051

Kubernetes — это новый Linux? Интервью с Павлом Селивановым

2 месяца ago

Расшифровка:
Азат Хадиев: Здравствуйте. Меня зовут Азат Хадиев. Я разработчик PaaS направления Mail.ru Cloud Solutions. Со мной здесь Павел Селиванов из компании Southbridge. Мы находится на конференции DevOpsDays. Он здесь выступит с докладом о том, что с Kubernetes можно построить DevOps, но скорее всего у вас ничего не получится. Почему такая мрачная тема?
Читать дальше →
aSkobin

[Из песочницы] Mikrotik и Linux. Рутина и автоматизация

2 месяца ago
Представлюсь, меня зовут Андрей.

Первоначальная задача стояла такая — создать сотни конфигов для Mikrotik, чтобы поднять на каждом ovpn с сертификатом, затем залить на сотни Mikrotik конфиги, а так же сертификаты и ключ.

Пароль от сертификата у каждого уникален. Создавать сотни конфигов руками бред, да и в друг завтра скажут сделать новые или захочется залить еще какие-то изменения на Mikrotik.

Чего я хотел добиться:

  1. создавать автоматически уйму скриптов;
  2. автоматически отправить их на нужное мне оборудования;
  3. быть уверенным в том, что они отработали без ошибок или узнать о том, что конфиг выполнился не корректно.

image
Используя Bash и FTP все получилось.
Читать дальше →
Andreyeus

[Из песочницы] Автобэкапы сетевого оборудования и хранение их в системе контроля версий

2 месяца ago
Уточнение: решение настроено для D-Link DFL, cisco 29xx и WatchGuard Firebox, но подходит для всего, что умеет делать бэкапы при подключении по ssh и/или заливать их по расписанию/событию на ftp/tftp сервер.

Всё началось с того, что мой знакомый программист спросил: «А почему ты не хранишь сетевые конфиги в системе контроля версий?». А и правда – подумала я – почему? Большая часть конфигурационных файлов может быть выгружена в текстовом формате (ну, это бинарники, конечно, но в текстовом редакторе открываются и отображается читабельная информация).
Читать дальше →
virrasha

Расшифровка вебинара «SRE — хайп или будущее?»

2 месяца 1 неделя ago

У вебинара плохой звук, поэтому мы сделали расшифровку.


Меня зовут Медведев Эдуард. Я сегодня поговорю о том, что такое SRE, как появилось SRE, какие есть критерии работы у SRE-инженеров, немножко о критериях надежности, немножко о ее мониторинге. Мы пройдемся по верхам, потому что за час много не расскажешь, но я дам материалы для дополнительного ознакомления, и мы все ждем вас на Слёрме SRE. в Москве в конце января.

Читать дальше →
aSkobin

Использование партиционирования в MySQL для Zabbix с большим количеством объектов мониторинга

2 месяца 1 неделя ago
Для мониторинга серверов и служб у нас давно, и все еще успешно, используется комбинированное решение на базе Nagios и Munin. Однако эта связка имеет ряд недостатков, поэтому мы, как и многие, активно эксплуатируем Zabbix. В этой статье мы расскажем о том, как минимальными усилиями можно решить проблему с производительностью при увеличении числа снимаемых метрик и росте объемов БД MySQL
Читать дальше →
OlegGrabko

ClickHouse + Graphite: как значительно уменьшить потребляемое место на дисках

2 месяца 1 неделя ago


Приветствую, habr.


Если кто-то эксплуатирует систему graphite-web и столкнулся с проблемой производительности хранилища whisper (IO, потребляемое дисковое пространство), то шанс того, что был брошен взгляд на ClickHouse в качестве замены, должен стремиться к единице. Данное утверждение подразумевает то, что в качестве принимающего метрики демона уже используется сторонняя реализация, например carbonwriter или go-carbon.


ClickHouse хорошо решает описанные проблемы. К примеру, после переливки 2TiB данных из whisper, они уместились в 300GiB. Подробно на сравнении я останавливаться не буду, статей на эту тему хватает. К тому же, до недавнего времени с нашим ClickHouse хранилищем было не всё идеально.

Так что же не так?
felix0id

DevOps-инженеров не существует. Кто тогда существует, и что с этим делать?

2 месяца 1 неделя ago


В последнее время такие объявления заполонили интернет. Несмотря на приятную зарплату, не может не смущать, что внутри написана дикая ересь. Вначале предполагается, что «DevOps» и «инженер» можно каким-то образом склеить вместе в одно слово, а далее идет рандомный список требований, часть которых явно скопирована из вакансии сисадмина.


В этом посте хочется немного поговорить, как мы дошли до жизни такой, что такое DevOps на самом деле и что теперь с этим делать.


Такие вакансии можно всячески порицать, но факт остается фактом: их много, и так устроен рынок на данный момент. Мы сделали девопс-конференцию и открыто заявляем: «DevOops — не для DevOps-инженеров». Тут многим покажется странным и диким: почему люди, делающие совершенно коммерческое мероприятие, идут против рынка. Сейчас всё объясним.

Читать дальше →
olegchir

2. Fortinet Getting Started v 6.0. Архитектура решения

2 месяца 1 неделя ago


Приветствую! Добро пожаловать на второй урок курса Fortinet Getting Started. Если вы еще не знакомы с курсом, советую посмотреть первый урок — в нем разъясняются основные цели и структура курса. Данный урок является чисто теоретическим, но в нем содержится множество полезной информации:

  • Краткий обзор концепции Fortinet Security Fabric и входящих в неё продуктов;
  • Функциональные возможности межсетевого экрана FortiGate;
  • Данные о сертификации ФСТЭК;
  • Обзор продуктовой линейки FortiGate;
  • Информация о режимах администрирования и работы устройства;

Ссылка на видео под катом. Читать дальше →
Recrout

[Перевод] Проблема конфиденциальности данных в Active Directory

2 месяца 1 неделя ago


Я занимался тестированиями на проникновение с использованием PowerView и использовал его для извлечения информации о пользователях из Active Directory (далее – AD). В то время я делал акцент на сборе информации о членстве в группах безопасности, а затем использовал эту информацию, чтобы перемещаться по сети. В любом случае, AD содержит конфиденциальные данные о сотрудниках, некоторые из них действительно не должны быть доступны всем в организации. Фактически в файловых системах Windows существует эквивалентная проблема «Everyone», которая также может использоваться как внутренними, так и внешними злоумышленниками.

Но прежде, чем мы расскажем о проблемах конфиденциальности и способах их устранения, давайте взглянем на данные, хранящиеся в AD.
Читать дальше →
Varonis

3. Анализ зловредов с помощью форензики Check Point. SandBlast Mobile

2 месяца 1 неделя ago


Добро пожаловать в третью статью нашего цикла по форезнике от Check Point. На этот раз мы рассмотрим SandBlast Mobile. Мобильные устройства уже давно стали частью нашей жизни. В смартфонах наша работа, наш досуг, развлечения, личные данные. Про это знают и злоумышленники. Согласно отчету Check Point за 2019 год, три самых распространенных вектора атаки на пользователей:

  • Email (вредоносные вложения, ссылки);
  • Web (вирусное ПО, фишинг);
  • Smartphones (вредоносные приложения, поддельные WiFi сети, фишинг).

Первые два вектора мы можем закрыть уже рассмотренными SandBlast Network и SandBlast Agent. Остаются смартфоны, угрозы для которых все чаще фигурируют в новостях. Для защиты этого вектора атаки у Check Point есть специализированное решение — SandBlast Mobile. Ниже мы рассмотрим форензику, которую мы можем получить при расследовании инцидентов на мобильных устройствах. Читать дальше →
cooper051

Балансировка нагрузки в Zimbra Open-Source Edition при помощи HAProxy

2 месяца 1 неделя ago
Одной из главных задач при построении масштабных инфраструктур Zimbra OSE является грамотная балансировка нагрузки. Помимо того, что она повышает отказоустойчивость сервиса, без балансировки нагрузки невозможно обеспечить одинаковую отзывчивость сервиса для всех пользователей. Для того, чтобы решить эту задачу, используются балансировщики нагрузки — программные и аппаратные решения, перераспределяющие запросы между серверами. Среди них есть как довольно примитивные, вроде RoundRobin, который просто каждый следующий запрос направляет следующему в списке серверу, а есть и более продвинутые, например HAProxy, который широко применяется в высоконагруженных вычислительных инфраструктурах из-за ряда весомых достоинств. Давайте же посмотрим на то, как можно обеспечить совместную работу балансировщика нагрузки HAProxy и Zimbra OSE.

image Читать дальше →
Zextras

Kubernetes 1.17: обзор основных новшеств

2 месяца 1 неделя ago
Вчера, 9 декабря, состоялся очередной релиз Kubernetes — 1.17. По сложившейся для нашего блога традиции, мы рассказываем о наиболее значимых изменениях в новой версии.



Информация, использованная для подготовки этого материала, взята из официального анонса, таблицы Kubernetes enhancements tracking, CHANGELOG-1.17 и соответствующих issues, pull requests, а также Kubernetes Enhancement Proposals (KEP). Итак, что нового?.. Читать дальше →
distol
Checked
7 часов 44 минуты ago
habrahabr.ru/hub/sys_admin/
Системное администрирование – Лишь бы юзер был доволен
Подписаться на лента habrahabr.ru/hub/sys_admin/