MindPhaser34
@MindPhaser34
Системный администратор, DevOps

Как лучше организовать управление разнородной инфраструктуры (Linux,Windows,etc)?

Нужен Ваш совет и опыт. Занимаюсь администрированием ОС и сетей 5 лет. Конечно, в основном это Windows Server (MS AD,Exchange и пр). Помимо, имею сертификат о прохождении курса по Linux (проходил пару курсов на Stepik), разворачивал в небоевой среде несколько сервисов (в т.ч. LAMP,nginx,etc). То есть имею общие, поверхностные знания о системе. На последней работе была большая инфраструктура из 17 поддоменов, ~500 рабочих станций, ~100 серверов. Linux практически не было (только postfix и mysql\postgre). Общую логику построения инфраструктуры на основе Windows я вижу\понимаю\знаю, как это происходит. В двух словах - поднимаем домен и DC, настраиваем сетевые интерфейсы, устанавливаем нужные службы (AD+DNS, DHCP и пр.), заводим учётки пользователей в AD, вводим рабочие компы сотрудников в домен и пр.
Случилось так, что через, буквально, 2 недели устроюсь на другое рабочее место с совершенно другой, разнородной инфраструктурой – там есть и Linux (в большей степени, со всякими DevOps инструментами типа Docker, GitLab и пр), и Windows (в гораздо меньшей – 1-2 хоста) и MacOS (ноут начальства). Компания небольшая, но перспективная (пока в ней 20 чел). Волнуют следующие вопросы:
1) Подскажите, пожалуйста, общую логику построения сети в Linux? Нужно ли поднимать домен, как в Windows, чтобы потом создавать пользователей и пр?
2) Как лучше всего это всё объединить и на основе чего, какие инструменты для управления задействовать – MS AD\Samba\FreeIPA\OpenLDAP\Ansible\etc? Ваш опыт.
3) И если смотреть на перспективу дальнейшего расширения – какой путь лучше выбрать? (Поднимать домен на основе MS AD и потом уже как-то управлять из него Linux-хостами или ограничиваться какими-то open-source unix-инструментами)? Как лучше это сделать (этапы, инструменты и пр)?
4) По Вашему - стоит ли задействовать в этой цепочке облака (AWS, Azure, Yandex, etc)? В каких случаях это было бы оптимально?
Вообщем, всё это как-то хаотично крутиться в голове, не знаю даже с чего начать. Если не трудно – подскажите, что да как. Если трудно – то просто тыкните «где» и «что» можно почитать.

Заранее спасибо Всем, кто уделил внимание.

UPD: После продолжительной дискуссии с коллегами для себя сделал вывод, что самое подходящее масштабируемое решение будет развернуть домен MS AD (сервер уже есть). И постепенно вогнать туда машинки по разным OU (отдельная OU для линукс и для windows). Авторизацию для Linux пользователей задействовать через cвязку SSSD+Samba4. Позже позже задействовать SSO. Постепенно уходить от OpenLDAP. Windows десктопы конфигурировать через групповые политики, Linux через Ansible, . Но это в планах, а как будет на деле, покажет время! )

Ещё раз спасибо всем, кто помог в этом всём разобраться
  • Вопрос задан
  • 2044 просмотра
Решения вопроса 3
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Если бы предприятию был нужен домен - они в каком-то виде наверняка реализовали его до вас. Для единой системы хранения учётных данных обычно используют LDAP. Поднимать AD/DC только ради этого - перебор.

Из вашего рассказа не ясно, используется ли линукс в качестве десктопных машин. Если да - управлять ими можно теми же способами, что и серверами - Ansible, Chef etc. Правда, не ясно, что вы в данном случае подразумеваете под "управлять" - накатывать обновления, устанавливать новые пакеты?
Ответ написан
@nikweter
Системный администратор
Мой опыт - freeipa для linux, AD для винды, между доменами доверие. Управляю хостами Ansible. Жить можно, но проблем куда больше чем в чисто виндовом окружении.
Ответ написан
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
А Вы, простите, технический директор, чтобы такого рода вопросы решать? Поскольку это уже "политика", а не "техника". Если да, то начать нужно с задач, которые нужно автоматизировать и уже от этого списка выбирать инструменты.
Если нет - не греть голову, использовать что скажут :)
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
take
@take
я люблю любить
1. Первое правило -- не бежать впереди паровоза. Не бежать и позади. Ехать. Отсюда -- не создавать себе проблем заранее. Увеличиваем количество сервисов, работаем на энтропию. Все работает? 20 машин? ssh, rdp, vpn.

2. Второе правило -- не нервничать, вселять уверенность в других, решать задачи по мере поступления. Людям не нужны ваши админские плюшки: AD, WSUS, Ansible и т.п. Им нужно, чтобы все работало и если что-то отвалилось -- быстро восстанавливалось. Подумайте о втором, третьем резервировании. Запасной Интернет-канал, запасные виртуальные сервера, свичи, диски. NAS внутри и NAS снаружи, в облаке и т.п. (про бэкапы молчу)

3. Создавайте простые, но нужные сервисы людям. У вас уже есть джабер-сервер внутри для локального чата? Openfire+LDAP и люди оценят.

4. Хорошую вещь АДом не назовут. У вас 1 (одна! windows машина у HR). Зачем win-домен?! Чтобы было удобно что? Лениться? Повторю: ssh, rdp, через vpn за чашкой кофе утром в кафе. Компания Google как-то наверное обходится без домена, Apple тоже (надеюсь, точно не знаю ;)

Сорри за некоторую жесткость.
Ответ написан
@ProFfeSsoRr
Сис.админ по Linux
Если "в основном линукс, DevOps и вот это вот всё" - не надо тащить сюда практики из мира Windows, это лишний труд. Так что - MS AD мимо. OpenLDAP для хранения пользователей, система хранения конфигурации (например Ansible) - для всего остального. Ansible под Windows активно пилится сейчас, хотя для пары виндовых хостов имхо избыточно всё, и настройка вручную - самое быстрое и надежное решение. Но коли вы уже умеете в винду - тогда заворачивайте винду в AD наверное, тут вам виднее, что с ней сделать такого, чтоб как можно проще и удобнее было работать.
Чужая облачная инфрастуктура выбирается тогда, когда она - дешевле своей. Т.е. для ответа на этот вопрос нужно посчитать бюджет.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
17 янв. 2022, в 04:50
1000000 руб./за проект
17 янв. 2022, в 02:06
1000 руб./в час
17 янв. 2022, в 01:18
12000 руб./за проект