MindPhaser34
@MindPhaser34
Системный администратор, DevOps

Как лучше организовать управление разнородной инфраструктуры (Linux,Windows,etc)?

Нужен Ваш совет и опыт. Занимаюсь администрированием ОС и сетей 5 лет. Конечно, в основном это Windows Server (MS AD,Exchange и пр). Помимо, имею сертификат о прохождении курса по Linux (проходил пару курсов на Stepik), разворачивал в небоевой среде несколько сервисов (в т.ч. LAMP,nginx,etc). То есть имею общие, поверхностные знания о системе. На последней работе была большая инфраструктура из 17 поддоменов, ~500 рабочих станций, ~100 серверов. Linux практически не было (только postfix и mysql\postgre). Общую логику построения инфраструктуры на основе Windows я вижу\понимаю\знаю, как это происходит. В двух словах - поднимаем домен и DC, настраиваем сетевые интерфейсы, устанавливаем нужные службы (AD+DNS, DHCP и пр.), заводим учётки пользователей в AD, вводим рабочие компы сотрудников в домен и пр.
Случилось так, что через, буквально, 2 недели устроюсь на другое рабочее место с совершенно другой, разнородной инфраструктурой – там есть и Linux (в большей степени, со всякими DevOps инструментами типа Docker, GitLab и пр), и Windows (в гораздо меньшей – 1-2 хоста) и MacOS (ноут начальства). Компания небольшая, но перспективная (пока в ней 20 чел). Волнуют следующие вопросы:
1) Подскажите, пожалуйста, общую логику построения сети в Linux? Нужно ли поднимать домен, как в Windows, чтобы потом создавать пользователей и пр?
2) Как лучше всего это всё объединить и на основе чего, какие инструменты для управления задействовать – MS AD\Samba\FreeIPA\OpenLDAP\Ansible\etc? Ваш опыт.
3) И если смотреть на перспективу дальнейшего расширения – какой путь лучше выбрать? (Поднимать домен на основе MS AD и потом уже как-то управлять из него Linux-хостами или ограничиваться какими-то open-source unix-инструментами)? Как лучше это сделать (этапы, инструменты и пр)?
4) По Вашему - стоит ли задействовать в этой цепочке облака (AWS, Azure, Yandex, etc)? В каких случаях это было бы оптимально?
Вообщем, всё это как-то хаотично крутиться в голове, не знаю даже с чего начать. Если не трудно – подскажите, что да как. Если трудно – то просто тыкните «где» и «что» можно почитать.

Заранее спасибо Всем, кто уделил внимание.

UPD: После продолжительной дискуссии с коллегами для себя сделал вывод, что самое подходящее масштабируемое решение будет развернуть домен MS AD (сервер уже есть). И постепенно вогнать туда машинки по разным OU (отдельная OU для линукс и для windows). Авторизацию для Linux пользователей задействовать через cвязку SSSD+Samba4. Позже позже задействовать SSO. Постепенно уходить от OpenLDAP. Windows десктопы конфигурировать через групповые политики, Linux через Ansible, . Но это в планах, а как будет на деле, покажет время! )

Ещё раз спасибо всем, кто помог в этом всём разобраться
  • Вопрос задан
  • 2315 просмотров
Решения вопроса 3
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Если бы предприятию был нужен домен - они в каком-то виде наверняка реализовали его до вас. Для единой системы хранения учётных данных обычно используют LDAP. Поднимать AD/DC только ради этого - перебор.

Из вашего рассказа не ясно, используется ли линукс в качестве десктопных машин. Если да - управлять ими можно теми же способами, что и серверами - Ansible, Chef etc. Правда, не ясно, что вы в данном случае подразумеваете под "управлять" - накатывать обновления, устанавливать новые пакеты?
Ответ написан
@nikweter
Системный администратор
Мой опыт - freeipa для linux, AD для винды, между доменами доверие. Управляю хостами Ansible. Жить можно, но проблем куда больше чем в чисто виндовом окружении.
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
А Вы, простите, технический директор, чтобы такого рода вопросы решать? Поскольку это уже "политика", а не "техника". Если да, то начать нужно с задач, которые нужно автоматизировать и уже от этого списка выбирать инструменты.
Если нет - не греть голову, использовать что скажут :)
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
take
@take
я люблю любить
1. Первое правило -- не бежать впереди паровоза. Не бежать и позади. Ехать. Отсюда -- не создавать себе проблем заранее. Увеличиваем количество сервисов, работаем на энтропию. Все работает? 20 машин? ssh, rdp, vpn.

2. Второе правило -- не нервничать, вселять уверенность в других, решать задачи по мере поступления. Людям не нужны ваши админские плюшки: AD, WSUS, Ansible и т.п. Им нужно, чтобы все работало и если что-то отвалилось -- быстро восстанавливалось. Подумайте о втором, третьем резервировании. Запасной Интернет-канал, запасные виртуальные сервера, свичи, диски. NAS внутри и NAS снаружи, в облаке и т.п. (про бэкапы молчу)

3. Создавайте простые, но нужные сервисы людям. У вас уже есть джабер-сервер внутри для локального чата? Openfire+LDAP и люди оценят.

4. Хорошую вещь АДом не назовут. У вас 1 (одна! windows машина у HR). Зачем win-домен?! Чтобы было удобно что? Лениться? Повторю: ssh, rdp, через vpn за чашкой кофе утром в кафе. Компания Google как-то наверное обходится без домена, Apple тоже (надеюсь, точно не знаю ;)

Сорри за некоторую жесткость.
Ответ написан
@ProFfeSsoRr
Сис.админ по Linux
Если "в основном линукс, DevOps и вот это вот всё" - не надо тащить сюда практики из мира Windows, это лишний труд. Так что - MS AD мимо. OpenLDAP для хранения пользователей, система хранения конфигурации (например Ansible) - для всего остального. Ansible под Windows активно пилится сейчас, хотя для пары виндовых хостов имхо избыточно всё, и настройка вручную - самое быстрое и надежное решение. Но коли вы уже умеете в винду - тогда заворачивайте винду в AD наверное, тут вам виднее, что с ней сделать такого, чтоб как можно проще и удобнее было работать.
Чужая облачная инфрастуктура выбирается тогда, когда она - дешевле своей. Т.е. для ответа на этот вопрос нужно посчитать бюджет.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы