IT инфраструктура для стартапа в Узбекистане (часть 1)


Недавно на встрече со своими друзьями меня спросили, почему я пишу в блоге о каких-то гиковских вещах, которые мало кому понятны. При этом мало уделяю внимание реальным проблемам, которые актуальны в стране и в моем ближайшем окружении. На это я только и готов был ответить, что пишу о том, что мне самому интересно в данный момент. Когда-то я уже выражался на этом сайте по поводу моей личной мотивации при написании статьей в заметке “Немного о блогинге”. Однако, спасибо тебе, Фаррух Караматов, за правильные идеи о том, что нужно давать информацию, которая будет практически востребована окружающим тебя сообществом. Не надо слишком сильно отрываться от действительности и летать в облаках, когда тут и сейчас это не востребовано. Кстати, всем рекомендую Фарруха как генератора идей в области IT. Это один из немногих людей, которые видят реальные возможности использования технологий на практике и старается это применить в работе.

Но давайте вернемся к озвученной теме данной статьи. Идея, подсказанная Фаррухом – рассказать о том как построить IT инфраструктуру для вновь создаваемого стартапа. Для тех, кто постоянно варится в данной теме, это кажется банальной вещью, про которую особо и не стоит рассказывать. Для меня на текущий момент есть гораздо более интересные вещи, о которых хочется говорить и писать. Однако, спрос рождает предложение, и если в окружении есть большое количество людей, которые хотят прокачаться в этом – надо обязательно дать им такую возможность, помочь и показать путь в нужном направлении. Несколько полезных советов для такой ситуации я уже публиковал в статье на Хабре – Советы по организации IT в малом бизнесе. Все что там написано, взято из моей реальной практики работы с IT системами в различных организациях. Тут хотелось бы продолжить и показать как подходить к построению IT инфраструктуры для “чайников” из бизнеса.

Читать далее «IT инфраструктура для стартапа в Узбекистане (часть 1)»

VSAN – локомотив SDS от VMware


Давайте порассуждаем об одной технологии в хранении данных, которая только относительно недавно появилась. Но на данный момент она уже семимильными шагами входит в корпоративный сегмент IT. По моим ощущениям, эта технология через несколько лет будет настолько же часто встречающей, как виртуальные машины сегодня. Я имею в виду VMware VSAN или размазанный кластер хранения данных между серверами, на которых одновременно работают гипервизоры ESXi. Частенько это все хозяйство называют гиперконвергентным решением. Под этим термином подразумевают объединение в одном решение вычислительных ресурсов, сетевых и мощностей дисковой подсистемы. И именно VMware VSAN способен обеспечить отказоустойчивую систему хранения данных на самих физических серверах. При этом отпадает необходимость в дорогих системах хранения и сопутствующей сети SAN. В целом, VSAN – представляет собой разновидность Software Defined Storage или SDS. В свою очередь SDS является одним из компонентов идеологии Software Defined Data Center или SDDC.

Технология SDS в виде VMware VSAN была несколько лет назад пионером в этой области. Она позволяет дополнить функционал гипервизиров виртуализации ESXi возможностями по распределенном хранению данных на тех же самых физических серверах. И да, я вижу, что постепенно то тут, то там эта технология начинает применяться в организациях различного профиля. Но для меня лично поводом для размышления стало то, что компания Microsoft начала выпускать аналог VMware VSAN для своих гипервизоров. Данная фишка от компании Била Гейтса называется Storage Spaces Direct (S2D). И тут показательно то, что ценник этого решения от Microsoft по сути нулевой по сравнению с VMware VSAN. И в свете этого перспектива дальнейшего более широкого внедрения конвергентых решений видится радужной.

Читать далее «VSAN – локомотив SDS от VMware»

Мониторим работу pfsense с помощью Zabbix

pfsense image

Мониторинг IT инфраструктуры важен для любой организации. Такие устройства или виртуальные аплаинса как межсетевые экраны обычно мониторятся с помощью Zabbix или похожего программного обеспечения. Вообще, в своем блоге выделено тему мониторинга я еще не поднимал. Тем не менее, это одно из важнейших направлений в работе администратора. С ним приходится работать любому нормальному ITшнику. Чем больше инфраструктура, с которой приходится работать, тем важнее роль системы мониторинга в ней. В современном мире, основные системы мониторинга, с которыми придется работать – это Zabbix и Prometheus. Если первый оптимален под статичную инфраструктуру, то второй больше используется в микросервисной архитектуре и облаках. Соответственно в этой статье мы рассмотрим, как наблюдать за основными параметрами работы межсетевых экранов pfsense.

Про межсетевые экраны pfsense писал уже несколько статей в блоге. Упомяну про Тонкости работы pfsense в среде vmware, и Сложный NAT на pfsense. Это уже третья статья из цикла о них. С учетом тех возможностей, которые дают эти опенсорсные фаерволы, а также их стабильной работы, я думаю это будет не последняя статья о них. Как упомянал выше, мониторинг является неотъемлимой частью любой IT системы. Поэтому отдельно и было решено написать эту статью о том, как следить за работой pfsense. Тут есть свои небольшие хитрости, которые позволят добиться желаемого результата.

Читать далее «Мониторим работу pfsense с помощью Zabbix»

Защита веб приложений с nginx

NGINX

Частенько в процессе работы в IT возникает задача организовать защищенное быстрое функционирование того или иного веб приложения. У кого-то используются свои самописные приложения. У кого-то это сторонние готовые приложения. Но при этом приложения могут работать без аутентификации, либо при запуске использовать большой объем ОЗУ. Это, как правило, приложения на JAVA, Python и т.д., которые запускаются напрямую без использования веб сервера. В принципе, они конечно могут работать и таким образом. Но, в реальных продакшн условиях, это неэффективно с точки зрения компьютерных ресурсов. А также не секьюрно с точки зрения информационной безопасности. Во всех подобных случаях настоятельно советую использовать Nginx веб сервер как реверс прокси для Вашего приложения.

Основные преимущества такой конфигурации просты и очевидны. Во-первых, основная нагрузка по взаимодействию с клиентами перкладывается на профессиональный веб сервер. Nginx с этим делом справляется просто на УРА с минимальными затратами процессора и памяти. Во-вторых, возможность с легкостью устанавливать пароль для доступа к данному приложению. В организационной рабочей среде, приложение без пароля просто находка для хакера. Ну и в-третьих, быстрая настройка доступа через HTTPS протокол, что обеспечивает безопасность передачи данных по сети. Если у Вас публичный сервис, то Вы также можете настроить сертификат с помощью LetsEncrypt, о чем ранее писал в статье на этом блоге. Если сервис непубличный, то придется использовать свои самоподписанные сертификаты.

Читать далее «Защита веб приложений с nginx»

Защищаем почту с SPF, DKIM, DMARC

mail security

Вы заказали домен для своей организации. Решили использовать сервис электронной почтовой службы для взаимодействия с внешним миром. Есть несколько настроек почтовой системы и DNS сервера, которые позволят в будущем избежать попадания ваших почтовых отправлений в спам. А также защитить Вашу электронную почту от поддельных сообщений. Для этого нам нужно соответствующим образом настроить почтовый сервер и DNS зону, в которой этот почтовый сервер работает. Это стандартные записи в DNS – SPF, DKIM, DMARC. Каждая из них представляет собой отдельную технологию и специфичный способ защиты для электронной почты. Как правило, такая настройка делается при инсталяции нового почтового сервиса. После чего это просто будет работать годами, без необходимости постоянного вмешательства.

Эта заметка является логическим дополнением к моей статье на Хабре – “Советы по организации IT в малом бизнесе”. Там поднималась речь о необходимых знаниях и технических средствах, которые позволят новой организации эффективно с минимальными затратами задействовать современные информационные технологии. В этом же направлении была статься на этом блоге – “Реклама в Интернете”. В целом, мне бы самому хотелось обобщить реальный практический опыт и теоретические знания для формализации материалов, которые критически необходимы любому человеку, для организации IT нфраструктуры своей компании с нуля.

Читать далее «Защищаем почту с SPF, DKIM, DMARC»

Ангелы и демоны стораджей EMC

Angels and Devils

В свое время занимался установкой и технической поддержкой стораджей. Стораджи или системы хранения данных – специализированное оборудование для хранения больших объемов данных. Лидер в этой области – компания EMC. Ранее компания была куплена Dell. И теперь она часть корпорации Dell-EMC. Из личного опыта работы со стораджами различных типов и вендоров, могу уверенно сказать, что оборудование EMC – лучшее в своей сфере. Но как у дорогих машин и красивых женщин, у стораджей EMC есть и свои плюсы и минусы.

Недавно пришлось опять столкнуться со стораджем EMC VNX. Технической поддержки для стораджа от производителя не было. И в этой ситуации возникла небольшая проблемка со стораджем при некоректном выключении питания. Появилась ситуация с так называемым грязным кешем или dirty cache. Проблема сама по себе кажется не страшной. Но, решается она, как правило, через техническую поддержку производителя оборудования. А в это время использовать сторадж Вы не можете. И что же делать организации в таком случае?

Читать далее «Ангелы и демоны стораджей EMC»