|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Поэтому системному администратору нужны инструменты, которые позволяют обойти ситуацию: «Ключ от срочной медицинской комнаты хранится в срочной медицинской комнате». При этом очень желательно, чтобы эти действия можно было автоматизировать. Еще один очень интересный вопрос – резервное копирование. Например, если копии выполняются на съемные носители, то нужно предусмотреть их замену. А как это сделать, если объект расположен отнюдь не близко? Ниже я привел несколько продуктов, которые появились в 2018 году и как раз направлены на облегчение жизни системного администратора, системного инженера и так далее. Zyxel Nebula – когда не нужно ездить для настройки сетиФилиал не будет филиалом, если нет связи с центральной штаб-квартирой. Для этого нужен доступ по VPN. Закупить соответствующий маршрутизатор от известного западного бренда проблем не составляет. Как и позвонить в центральный офис и попросить сетевого администратора настроить соединение. И тут вспоминаем, что большинство маршрутизаторов при первой настройке требуют подключиться к ним со стороны LAN. Чтобы настроить доступ извне, сетевому админу из центрального офиса нужно подключиться к маршрутизатору, а чтобы подключиться к маршрутизатору, нужно настроить доступ извне. Разумеется, можно поискать, как соединиться обходным путем с компьютером в локальной сети, например, через какое-то облачное приложение типа Team Viewer и все-таки настроить маршрутизатор. Есть и другие способы настройки. Например, сетевому администратору лично приехать на удаленную точку. Или найти и нанять специалиста, который умеет это делать. Но чувствуете, сколько сразу новых, интересных задач прибавилось? Это только про проблемы филиальной структуры сейчас говорим. У бизнеса на этапе развития все те же самые наболевшие вопросы, только нет сетевого администратора в штаб-квартире, потому что и столичной штаб-квартиры в обычном понимании тоже пока нет. Но сетевое оборудование уже есть, и его нужно кому-то настроить. Например, нанять администратора на «удаленку». Конечно, было бы здорово, если бы единица сетевого оборудования сама вышла в интернет и сказала: «Готова к удаленному управлению. Вот мой IP-адрес, а вот веб-интерфейс для настройки». Мечта, да и только. Вот именно эту мечту реализовали в Zyxel, выпустив серию Nebula. Новое оборудование сразу пытается подключиться к облаку. Чтобы его зарегистрировать, нужно просто установить приложение Nebula на мобильный и сделать скан QR-кода. И это, по сути, вся процедура адаптации. После того как устройство подключилось к Zyxel Nebula, его настройку можно выполнить через облачный веб-интерфейс. Если администратор «перемудрил» с настройками и сам себе отрезал доступ, Zyxel Nebula его честно об этом предупредит. Это особенно удобно, когда приходится работать удаленно без возможности оперативно приехать на площадку. Рисунок 1. Использование Zyxel Nebula по сравнению с традиционным методом «обхода» Стоит отметить, что для связи с облаком используется именно исходящее соединение со стороны устройства. Необходим лишь доступ в интернет на уровне обычного браузера. Нет нужды открывать порты на самом маршрутизаторе, повышать уровень привилегий, пробрасывать трафик и делать другие небезопасные вещи. При этом кроме самого облачного сервиса через это соединение никто не подключается. Значит, нет TCP-порта, который всегда открыт и ждет, кто в него постучится. Важный момент – с Nebula облачная инфраструктура может легко управляться через NAT без трансляции TCP-портов. Рисунок 2. Интернет-шлюз Zyxel NSG200 с управлением из Zyxel Nebula Ранее облачное управление поддерживалось только для интернет-шлюзов. Сейчас у Zyxel появилось множество точек доступа (серия NebulaFlex) и коммутаторов, которые поддерживают управление из облака. На данный момент в этот список входит уже 25 устройств, и в 2019 году его планируют значительно расширить. Своего рода командным пунктом является Nebula Control Center, работающий на базе браузера. В 2018 году он получил более 20 новых функций, в том числе:
Не нужно думать, что без доступа к облаку управление будет утрачено. К услугам сетевого администратора интерфейс командной строки, в котором можно с удовольствием копаться, выполняя различные настройки. Коммутаторы из новых серий, как и раньше, поддерживают работу в автономном режиме (смарт-управление) или же их можно перевести под централизованное управление Zyxel Nebula, при этом без покупки дополнительных лицензий. Тоесть основной пакет услуг предоставляется бесплатно. Рисунок 3. Гибридный Smart коммутатор Zyxel NebulaFlex на 48 портов Еще один интересный момент – Zyxel Nebula берет на себя функцию учета сетевого оборудования. Все мы прекрасно знаем, как ведет учет сетевого оборудования бухгалтерия. С тем же успехом можно назвать все сетевые устройства: «Устройство № 1», «Устройство № 2» и так далее. Поэтому сетевой администратор или начальник ИТ-департамента организует свою внутреннюю систему учета, в которой указываются не только название, стоимость и дата покупки, а еще роль в инфраструктуре, гарантийные ремонты и так далее. Мне даже приходилось встречать специального ИТ-логиста, который занимался подобными вещами. А с Zyxel Nebula это выглядит гораздо проще:
И самое главное – все заносится в базу данных Zyxel Nebula автоматически, нет кошмара в виде заполнения карточек учета или переписывания серийных номеров вручную. Zyxel Nebula позволяет по-другому взглянуть на проблему учета паролей и реквизитов доступа. Ответственное лицо, например владелец компании, ресурса и так далее, регистрирует инфраструктуру на себя и добавляет к управлению подчиненных лиц, например сетевого администратора, дежурного и так далее. Если кто-то из подчиненных утерял или дискредитировал пароль – «волшебное слово» можно легко сменить. Если сотрудник уволился – удаление учетной записи проблемы не представляет. Итак, с новинками в сетевом секторе мы разобрались. Теперь предстоит не менее важный вопрос – электропитание. RPCM – система управления электропитанием от компании RCNTEC с автоматическим управлениемРанее были описаны ситуации, когда без контроля электропитания жить и работать в принципе можно, но крайне хлопотно, неудобно и попросту невыгодно. Ситуацию в этой сфере я бы обозначил так: ИТ-инфраструктура без защиты, автоматизации и контроля в рамках системы электропитания не является управляемой. Там, где оборудование подключается к розетке, сразу возникает несколько вопросов:
Одним из главных критериев при размещении оборудования ЦОД и на отдельных точках является предоставляемая мощность. И возникает вопрос: «Какой из клиентов потребляет больше допустимого или оплаченного лимита?» Отдельной темой является защита от коротких замыканий и перегрузок. Если закоротило блок питания, в лучшем случае выбьет порт на ИБП. В худшем случае сгорит внутренняя электроника ИБП. И совсем плохо – выбьет входной автомат, который может отключить еще кучу оборудования. Тут возникает интересный момент – сбойное оборудование еще надо вычислить. Если «выбивает» центральный автомат – это не так легко. С RPCM эта задача выглядит гораздо проще из-за того, что отключается конкретный вывод с«виновным» устройством. Но защита от КЗ и перегрузок – только часть проблемы. Иногда бывает нужно что-то выключить или включить удаленно, а сделать это некому. А еще нужно оповещать системного администратора о проблемах и иметь механизм контроля и перезапуска подключенного оборудования. Вот такое устройство выпустила компания RCNTEC (ООО «АРСИЭНТЕК»). Вначале, в 2017 году, проявилась модель Resilient Power Control Module – RPCM 1502 на 16 ампер. Но 16 ампер при 230 вольт напряжения – это 3860 ватт. Для питания производительных серверов неплохо бы иметь мощность раза в два больше – и в 2018 году компания RCNTEC выпустила RPCM 1532 на 32 А. RPCM 1532 рассчитан на более крупные корпоративные ИТ-инфраструктуры. Он позволяет выдать 7360 ватт при 230 вольтах и рассчитан на питание мощных серверов и систем с большим энергопотреблением. Рисунок 4. RPCM 1532А хорошо подходит для питания серверов и другого оборудования ЦОД Потом появился RPCM ME 1563 на 63А с мощностью до 14 490 при 230 вольтах для питания вычислительных устройств с еще более высоким уровнем потребления энергии (ME расшифровывается как Mining Edition). Теперь представьте, что на удаленной точке есть небольшой «джентльменский набор» оборудования: коммутатор, пара простеньких серверов и еще чего-то. И, естественно, там никакого админа нет. Если сервер или коммутатор зависнут и станут недоступны по сети, их можно только перезагрузить. Надо ли ради этого ехать на удаленную точку? А если поручить RPCM самому определить, что устройство не работает? Как бы мы сами это сделали, находясь на месте? Подключились бы к коммутатору и выполнили ping устройства, шлюза, потом внешнего адреса в интернет. Попробовали бы подключиться к серверу по SSH/HTTP или на консоль. Если он при этом не отвечает, то в перезагрузку. Часто признаком такого зависания служит аномально низкое для данного устройства энергопотребление (если только не настроен режим сбережения энергии). Разработчики в RCNTEC в 2018 году создали новую прошивку для уже выпущенных и новых RPCM, в которой есть встроенная система контроля и автоматизации. Теперь RPCM способен сам определять проблемные устройства и перезагружать их по питанию. Контроль может осуществляться по уровню энергопотребления (при нестандартно низком падении потребления становится понятно, что устройство не работает в штатном режиме), а также проверкой доступности TCP-порта, через ping и специально для майнеров – по уровню хешрейта. Рисунок 5. Окно настройки мониторинга оборудования в веб-интерфейсе RPCM Рассмотрим ситуацию с автозаправкой. Не нужно ждать, когда сетевой шлюз завис и на него наконец обратили внимание, потом позвонили в центральный офис и решили его вернуть в строй методом выключения и повторного включения. Если что-то из оборудования не работает и не может управляться удаленно по сети, то RPCM проверит ее состояние по доступности TCP-порта и через ping. Если «не пингуется» или порт не отвечает на TCP-запрос, системный администратор получит уведомление о проблеме. Если в течение выделенного промежутка он не сможет устранить проблему, то RPCM самостоятельно перезагрузит данное устройство по питанию. Да, такие отключения сами по себе несут некоторое зло. Но это можно сравнить с электрошоком при реанимации – больного сильно ударило током, но его сердце снова заработало, и он стал дышать. Разумеется, подобные трюки с перезагрузкой по питанию нельзя выполнять, например, на виртуальной системе или СХД. Здесь нужно долго и кропотливо разбираться, в чем причина сбоев, и устранять проблему в корне. Мой рассказ был бы не полон, если бы я не упомянул о мощных устройствах, которые компания RCNTEC выпустила совсем недавно. «Мощных» – в прямом смысле этого слова. Это новые модели RPCM 3x250 и RPCM DELTA. RPCM 3x250 содержит целых три независимых контроллера электропитания по 250 ампер (!), и подключается этот управляющий комплекс сразу к трехфазной цепи по одному контроллеру к каждой фазе по принципу соединения «звезда» (фаза-ноль-заземление). В итоге потребитель получает 30 независимых выводов по 25 А. 250 А – это большая величина. Одного RPCM 3x250 хватит, чтобы поддерживать электропитание, например, крупного вычислительного кластера или торгового центра, небольшого промышленного предприятия и так далее. Рисунок 6. Внешний вид RPCM 3x250 RPCM DELTA в целом схож со своим собратом, но предназначен для электросетей с фазным напряжением 120 вольт. Он подключается не к каждой отдельной фазе, а использует межфазное подключение по схеме «треугольника» (фаза1-фаза2-заземление), что дает 208 вольт на входе. Это позволяет увеличить подаваемую мощность. И обе эти модели также имеют систему автоматического управления подключенными устройствами по уровню электропитания, по TCP, по ping и по уровню хешрейта. Как и в более «легких моделях» RPCM 15xx. На данный момент это передовые решения по контролю за электропитанием и подключенным оборудованием. Управляющих комплексов с такими широкими возможностям, а тем более для подключения к трем фазам и с таким уровнем мощности я пока больше нигде не встречал: ни в литературе, ни в рекламе. Вдвойне приятно, что эти модели проектируются и собираются в России, при этом их охотно покупают во многих странах. Это и есть настоящее импортозамещение: не закрывать доступ хорошим товарам и технологиям в угоду внутренним производителям, а самим разрабатывать и производить замечательные вещи, чтобы продавать их по всему миру. Acronis и облачное резервное копированиеС продуктами этой фирмы я работаю давно, и некоторые решения уже не раз выручали. Например, в свое время удалось снять образ зашифрованного дискового массива «как есть» без расшифровки при помощи Acronis True Image Server (была такая версия популярного ПО). Ключа и пароля от системы шифрования у меня на тот момент не было, а Acronis True Image Server был. И это помогло избежать в дальнейшем кучи неприятностей. Но вот идея «облачного копирования» у меня до сегодняшнего момента вызывала сомнения. Дело даже не в стоимости хранения, а в скорости передачи информации. Допустим, организация полностью отказалась от создания локальных резервных копий и бэкапы размещает исключительно в облаке с передачей по интернет-каналу. Да, не надо бегать с ленточными картриджами в чемодане и передавать их в хранилище. Но проблема – в ширине канала. Уместиться в «окно бэкапа» при скорости передачи, скажем, 100 Mb/s даже для средней компании будет очень непросто. Примечание. «Окном бэкапа» называется временной интервал, когда процесс резервного копирования оказывает минимум помех работе других сервисов. При копировании расходуются системные ресурсы: процессор, оперативная память, повышается нагрузка на дисковую подсистему, на сеть и так далее. «Окно бэкапа» – это когда остальные системы работают при минимальной нагрузке и прожорливый процесс резервного копирования им не сильно помешает. При копировании на внешний ресурс по узкому каналу связи нет права на ошибку. Оборвалась связь или администратор перемудрил с настройками копирования – и все, ждем следующего «окна» или устраиваем мучение для пользователей, создавая нагрузку в бизнес-часы. По этой причине к облачным системам для создания и размещения копий вроде Acronis Data Cloud у некоторых администраторов может быть настороженное отношение. Но в последнее время кое-что изменилось. Появилось несколько улучшений, которые коренным образом меняют дело. Меня впечатлил сервис «Физическая пересылка данных». Стало возможным вначале сохранить копию на локальном ресурсе, например на жестком диске, а уже потом передать его в облако Acronis. Физическая передача данных производится на физическом носителе «из рук в руки», таким образом интернет-соединение не нагружается ни во время «окна бэкапа», ни в бизнес-часы. Происходит полноценное перемещение данных off-site, то есть за периметр локальной ИТ-инфраструктуры. Хранение копии в облаке спасает данные от стихийных бедствий и действий злоумышленников. Такой подход помогает сэкономить время и сетевой трафик, отправив данные в облачный центр обработки данных на жестком диске. Персонал ЦОД получает диск, а затем загружает информацию с него в хранилище. Рисунок 7. Два этапа работы «Физической пересылки данных» Использование данного сервиса напоминает заказ товаров по почте или услуги логистической компании. Для копирования можно использовать жесткие диски с интерфейсами SATA, eSATA и USB. Из дополнительных требований – на жестком диске должен быть только один том, допускаются файловые системы FAT32, NTFS, Ext3 или Ext4. Казалось бы, это довольно странно выглядит на фоне предыдущих новостей, касающихся удаленного управления. Но не стоит забывать, что между удаленной точкой и ЦОД может быть очень слабый канал. И передача плотного потока данных может привести к потере управления. А «Физическая пересылка данных» является тем самым компромиссным решением, при котором и канал не загружен, и резервная копия сделана. Очень важно, что системный администратор будет избавлен от необходимости лично приезжать в ЦОД. Ему достаточно один раз передать полную резервную копию. А после создания полной резервной копии регулярное инкрементальное копирование можно выполнять по сети. Помимо перечисленных новых сервисов в систему добавился Acronis Notary Cloud. Это сервис для нотаризации, электронной подписи и верификации документов на базе технологии блокчейн. Новая система создает уникальный цифровой отпечаток для файлов, который сохраняется в публичном реестре блокчейна. Такой подход позволяет гарантировать независимое подтверждение подлинности и наличия файла в нужный момент времени. Из уже известных вещей стоит упомянуть технологию Acronis Active Protection. Acronis Active Protection умеет находить и останавливать сомнительные процессы, а также способна восстанавливать поврежденные файлы автоматически. В новой версии (2018) улучшена технология машинного обучения, которая может находить как известные, так и неизвестные угрозы, а также уменьшает количество ложных срабатываний. Это позволяет бороться даже с абсолютно новыми программами-вымогателями и организовать защиту общих сетевых ресурсов и внешних устройств хранения данных. Есть такая старая шутка, что системный администратор – это человек, который помогает всем, а ему помочь не может никто. Продукты из этого обзора опровергают данное утверждение. В современном мире достаточно средств, которые призваны облегчить работу системным администраторам, системным инженерам, системным архитекторам. И я призываю коллег не замыкаться внутри своих проблем, а шире смотреть на вещи и вовремя находить и подключать к работе новые эффективные инструменты. Например, те, которые описаны в этой статье.
Ключевые слова: ЦОД, системный администратор, инструменты. Комментарии отсутствуют
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|