Tag: VPN

Домашен дейтацентър или лаборатория|HomeLab, Home Data center

Много devops, програмисти, системни и мрежови администратори изграждат свои домашни лаборатории, мини дейтацентрове, включително доста амбициозни и сериозно направени системи…

В тази статия разглеждам някои от съществените лимити, с които следва да се съобразяваме в амбициите и инвестициите си.

Тъй като е удобно и дори изглежда изгодно да натоварим домашната си лаборатория със сериозни задачи (например проекти за клиенти) – изхождайки от опита си за проектиране и изграждане на сериозна домашна лаборатория (от клас мини дейта център :), споделям лош опит, в желанието си да спестя на читателя настъпването на някоя и друга мотика по пътя. 😉

1. Не правете голяма инвестиция – в крайна сметка домашната лаборатория е за тестове и PoC (Proof of Concept), използването и за други цели рано или късно води до задънена улица и по някое време ще се наложи да отпишете инвестираното и направите нещата както трябва.
Все пак, по-долу (т. 7.) описвам добра (макар не изключителна) идея, която може да осмисли сериозното използване на домашната инфраструктура.

Така че – инвестирайте разумно и пестеливо, за да не загубите много (пари, време, нерви, недоволни клиенти и пропуснати възможности).

2. Причината да отпишете инвестицията е, че домашният дейтацентър не скалира добре – нито в посока повече оборудване, но винаги ще е зле в посока отказоустойчивост и надеждност на работата.

Винаги! Винаги!!

Дали съм достатъчно категоричен?

Винаги!!!

3. Имайте предвид, че много рядко електрическите инсталации в стандартните жилища са оразмерени добре, за да поддържат
7 x 24 x 365 дори малки товари от 1-2KW. Това не винаги се забелязва и никога не е проблем в началото, но е добре да се провери след няколко месеца работа дали предпазителите и изходните шини не греят. Следващите индикатори са черни конвективни следи над таблото, миризма на изгоряло и вой на пожарни сирени.

4. Проблемите с шума са добре известни и всеки чувал стартиращ или натоварен сървър има ясна звукова представа за тях. :). Ще добавя само, че шумът от вентилаторите на средномощен сървър, в някои сгради се чува и през нощта, включително И от съседите.
Разбира се, те не са чак такъв проблем, но помислете за отношенията си с партньора… 🙂  

5. Охлаждането – няма лесен и смислен начин да направите добро охлаждане, ако ще имате повече сървъри. Студеният въздух трябва да се движи отдолу нагоре и фронт/гръб спрямо сървърите (ако са за рак монтаж). Това, което можете да направите е да държите достатъчно ниска температурата в помещението, за да осигурите генерално температурния режим на оборудването, но тази схема консумира повече енергия и поради това е ценово неефективна.

Е, ако имате достатъчно средства може да заложите на рак със собствена климатизация, но това е инвестиция, която не си струва предвид описаното в т. 2.

6. Възможните компромиси –

– Ако просто имате нужда от домашен лаб – използвайте втора ръка мобилни работни станции – те дават доста мощност и са относително тихи (стига да не спите в едно и също помещение с тях). Предимствата им – не ви трябва UPS или KVM имате си вградени монитор, мишка и клавиатура.

– За ML (Machine Learning) – сглобете си машина с големи бавни вентилатори, не повече от един, но възможно най-мощен ускорител, например NVidia GeForce RTX 2080Ti. Пак ще шуми, но ако е в съседно помещение се търпи. Или не се търпи – зависи…

7. Направете си (или използвайте “as a service”) мониторинг – като минимум – температура на околната среда и на системите – трябва да знаете температурното им състояние и да получавате известия при надвишаване на допустимите рамки.

Разбира се мониторинга е необходим и за други цели – например: параметри на експлоатация, надеждност, сигурност, контрол на SLA.

Хубавото в тази схема е, че когато прехвърлите проектите си, където им е мястото – тогава домашната инфраструктура може да се използва за независим (или втори) мониторинг.

8. Ако правилно изберете оркестрацията на виртуализация/контейнеризация – ще можете лесно да мигрирате приложенията си към ваши ресурси в частни или публични клауд платформи. Така ще си запазите възможноста да правите бързи и евтини тестове и PoC в домашната среда, същевременно ще можете лесно да мигрирате продакшън системите на правилните платформи.

9. Спестете си проблеми със сигурността и надеждността и разделете правилно инфраструктурата за тестове и PoC от домашния си интернет, не ги смесвайте от самото начало най-добре – т.е. организирайте си файъруол (може и виртуализиран, но с много мисъл), умен суич/и.

Повтарям – от самото начало разделете едното от другото, никакъв компромис, временно решение и прочие.

Home Office – Дистанционна работа – съвети, решения, опит

Резюме

Пандемията COVID-19 стана причина за бурно преминаване към така наречения home office (домашен офис, remote office, remote working и т.н.). Много компании, особено работещи в областта на информационните технологии и BPO (Business Process Oursourcing) бяха подготвени и кризисната реакция протече гладко. Други компании потърсиха и имплементираха решения в спешен порядък, при което основен фокус бе навременното осигуряване възможността за отдалечена работа. 

Home office представлява сериозно предизвикателство, а някои подценени аспекти на сигурността създават предпоставки за бъдещи проблеми. 

Целта на документа е да дефинира обща методологична и организационна рамка за изграждане и експлоатация на инфраструктура за отдалечена работа, както и насочване вниманието на мениджмънта към правилната организация на работния процес. 

Посочени са конкретни open source технологии и решения за изграждане и поддръжка на инфраструктура за дистанционна работа, но съветите и споделените добри практики са валидни за целия спектър на възможните, включително комерсиални решения. 

Принципи
Предварителна подготовка

Възможността за отдалечена работа се свежда до решаване на следните задачи на ниво организация и IT ресурси – 

  • Технология за създаване на роли, групи и потребители
    • Управление на фирмената IT сигурност чрез правилно проектиране нивата на достъп до фирмените ресурси
    • Дефиниране на потребителските роли
    • Разпределяне на правата по роли и групи потребители
  • Процес за управление на автентикация и оторизация на потребителите
  • Осигуряване на достъп до чрез VPN технология до фирмените ресурси
  • Контролиране на достъпа
  • Наблюдение, детекция на подозрително поведение, управление на инциденти свързани със сигурността

Доколкото във фирмите с развита IT инфраструктура, изброените проблеми и задачи са решени на локално ниво (т.е. вътре във формения офис), то накратко ще опишем технологично решение за отдалечена работа за малки фирми, не разполагащи със съответната инфраструктура, а след това ще се фокусираме върху общите предизвикателства и добри практики, гарантиращи сигурност и ефективност на отдалечената работа.  

Организация и управление на работния процес

За успешната отдалечена работа е необходимо да:

  • Организационни решения
    • Организирате управление на отдалечения достъп със съответните потребителски имена, пароли и сертификати за криптиране на комуникацията
    • Предварително определена и форсирана стратегия за управление на отдалечения достъп до фирмените ресурси

 

  •  
  • Технологични решения
    • Разполагате с механизъм потребителите самостоятелно да възстановяват забравени пароли
    • Разполагате с написана и добре структурирана помощна информация и екип в състояние да обучи потребителите и да ги поддържа в процеса на работа
    • Предварително конфигурирана и тествана в офиса свързаност към фирмения VPN сървър, за да се избегне ситуация за решаване на проблеми в момент, когато потребителите преминат към отдалечена работа от домовете си
    • Предварително инсталирани антивирусни програми
    • Предварително инсталирани системи за Host based Intrusion Detection, защитаващи критични системни файлове и директории
    • Предварително организирана система за събиране, анализ и реакция при критични събития 

 

Сигурност

Въпреки, че сигурността е част от работния процес, отделяме специално внимание на темата, защото инкубационният период на проблемите породени от бързо и недостатъчно добре планирано преминаване към режим на отдалечена работа е дълъг и това е предпоставка за сериозно компрометиране на фирмената и в частност информационна сигурност.

 

Технологии и решения с отворен код
Управление на потребители

Може да се използва LDAP или Active directory за управление на потребителски роли и групи. Извън екосистемата на Майкрософт решенията, може да се използва open source Samba Server като файлов, принт и сървър за управление на потребители в уиндоус или уеб базирана среда. 

Възможни open source решения –

VPN концентратор / сървър

Съществуват няколко широко използвани технологии, например – IPSEC или OpenVPN. Доколкото IPSEC се поддържа без инсталация на допълнителни клиенти в Windows, той изглежда естествена технологичен избор за уиндоус среда.

Лично аз препоръчвам като оптимален вариант OpenVPN, заради по-голямата гъвкавост и универсалност. Повече аргументация можете да намерите в статията тук: OpenVPN.

Ако организацията не разполага с наличен VPN концентратор, включително комерсиални решения от различни доставчици на мрежoв хардуер, като Cisco, Juniper, Fortinet, HP, Aruba, Ubiquiti, Mikrotik и много други, можете да изградите VPN решение от висок клас, базирано на софтуер с отворен код PfSense – представлява Firewall, VPN Concentrator, Intrusion Detection System, Intrusion Prevention System от най-висок клас. 

Решения за комуникация на служителите

Комуникацията между служителите (също и с клиентите) е интегриран елемент от организацията на отдалечената работа. Тук фокусът е към приложенията за онлайн съобщения – chat, а не към мейл – утвърдено, но според някои – остаряло решение за бизнес комуникация.

Обикновено фирмите разполагат с де факто механизъм, който може да е общо фирмено решение или изборът на комуникационна технология да е оставен в ръцете на обикновените потребители и в рамките на отдели и работни групи. 

Макар комерсиалните решения да имат някои преимущества, няма някакви съществени разлики, спрямо решенията с отворен код. Всъщност основна причина да използвате комерсиални решения е съвместимост с клиенти, които са инвестирали в тези технологии, но дори това не е особено огрничаващ фактор.  

Популярни средства са:

Групуеър решение за споделена работа

NextCloud е групуеър (groupware) платформа с отворен код, функционално подобна на Dropbox или Google Drive. Позволява изграждане на независима и безплатна платформа за споделяне на файлове, календар, контакти и съвместна работа върху файлове на ниво организация или по-малка работна група.

Към НексКлауд може да се интегрират уеб базирани офис приложения, например Only Office, което дава възможност за уеб базирана съвместна работа с документи (подобно на Google Drive или Offie365).

Има относително добра съвместимост с MS Office – т.е. Next Cloud + Only Office отваря и визуализира на приемливо ниво документи създадени с MS Office, респективно документите създадени през Only Office са съвместими с MS Office.  

Система за управление и контрол на сигурността

Възможността за отдалечена работа предтавлява изключителен риск за сигурността на организацията. Използването на технически средства за изграждане и гарантиране на сигурността е задължително, а използването на интегрирано решение, което съчетава както събирането, анализа на информация свързана със сигурността и механизми за реакция при инцидент – е силно препоръчително. 

Нашият избор е AlienVault OSSIM – система с отворен код, интегрираща набор от инструменти, предназначени да подпомогнат процеса на поддръжка на информационната сигурност – откриването, управление на последици и предотвратяване на прониквания. Повече информация в статията –  AlienVault OSSIM

 

Съвети към IT мениджъра:
  • Организацията на възможност за отдалечена работа е свързана с два компонента
    • Ефективност на работата – т.е. контрол на производителността на служителите
    • Информационна сигурност 
  • Никога не считайте, че използването на каквато и да е технология за защита, е достатъчна за сигурността на организацията. Сигурността е процес, а не само технология.