Задать вопрос
Админ в ИБ.

Достижения

Все достижения (34)

Наибольший вклад в теги

Все теги (198)

Лучшие ответы пользователя

Все ответы (732)
  • Администрирование Linux - актуально ли?

    athacker
    @athacker
    Если собираетесь куда-то из города валить, или есть потенциальная возможность устроиться в такое место, где будут нужны юниксовые сервера и прочие нано-технологии, то начать изучать что-то очень просто.

    Придумайте себе сеть организации. С доменами Active Directory, с внутренней почтой (сначала, допустим, на linux/FreeBSD/postfix/dovecot, а потом -- на Exchange, или наоборот), с внутренними DNS и DHCP-серверами.

    С файловыми серверами, доступ к которым на уровне доменных учётных записей и групп распределяется. И запилите эту сеть на виртуальных машинах. Несколько виртуальных серверов Windows/Unix, парочку клиентских станций с виндой/линуксом.

    Поднимите свой веб-сервер, нарисуйте на нём простенький веб-сайт на базе какой-нибудь популярной CMS типа Joomla, Wordpress, чо-там-ещё-нынче-модно.

    Потом придумайте этой конторе удалённый филиал, и постройте инфраструктуру для него, и чтобы между ними ещё и VPN был, и с маршрутизацией правильной, чтобы машины из одного филиала видели другой, и наоборот.

    А потом сделайте так, чтобы VPN-канал между филиалами был зарезервирован через двух разных провайдеров, да причём переключения производились автоматически и абсолютно прозрачно для клиентов. В этом вам поможет динамическая маршрутизация и протоколы OSPF или BGP.

    Факультативно -- можете поднять в удалённом филиале так называемый RoDC -- read-only domain controller :-)

    Вот когда всё это запилите, то приходите за новым заданием.

    А если же не собираетесь валить из города, или нет никакой вообще возможности устроиться в контору с юниксами и нано-технологиями, то лучше переориентироваться на программерство. Программерам найти удалённую работу значительно проще, чем админам.
    Ответ написан
    6 комментариев
  • Как правильно перевести всю инфраструктуру на виртуализацию?

    athacker
    @athacker
    1) Поддерживаю ораторов, которые говорят о разворачивании машин с нуля в виртуалке, без попыток конвертации P2V. При конвертации могут разные артефакты всплывать, ну нафиг. Грамотно спланированный перенос не потребует даже даунтайма сервисов.

    2) СХД отдать только под виртуализацию, никаких бэкапов там. В вашем случае -- это примерно как из пушки по воробьям. Под бэкапы -- вытащить все винты из ваших пролиантов и сложить их на один какой-то сервак, и на его основе сделать бэкапохранилку. ESX может грузиться и по iSCSI, и с флэшки. У пролиантов есть отсек для SD-карточки, можете туда флэшку с ESX воткнуть. Иными словами -- для хостов виртуализации жёсткие диски не нужны.

    3) Kerio -- фу-фу-фу! :-) Карточки вам не нужны, аппаратный роутер, в принципе, тоже. Каждого провайдера в отдельный VLAN, оба VLAN -- в виртуалку, на виртуальный сервер с FreeBSD, например. И всё, маршрутизируйте как угодно.

    4) QNAP в качестве СХД -- фу-фу-фу! Уж лучше самосбор какой-нибудь (сервак с большой дисковой корзиной, или отдельно пара серверов+корзинка DAS), с FreeBSD и ZFS внутри, да даже с виндой. Оно и дешевле обойдётся, и обслуживать проще. У NAS-ов из дешёвого сегмента артефакты бывают очень разнообразные и зело причудливые. Отваливаются LUNы, слетают права, вообще из сети пропадает. Короче, нахлебались, было дело.

    5) Подумайте в сторону винды. Учтите, что Windows 2012 R2 Standard в качестве хоста виртуализации (Hyper-V) даёт возможность внутри себя виртуализовать 2 виндовых сервера по этой же лицензии. Иными словами, если у вас 3 лицензионных Win2012 R2 стоят на хостах, то с их помощью вы можете виртуализовать 6 серверов с виндой, не покупая никаких доп. лицензий.

    Hyper-V умеет запускать виртуалки прямо на файловых шарах SMB 3.0. То есть, не нужно iSCSI, FC и прочих модных технологий из области NAS/SAN. Достаточно Win2012 R2 и открытой файловой шарой на нём. Винда умеет технологию Storage Spaces. Которая (технология) умеет даже автоматически tiering, причём из коробки. QNAP, который это умеет, будет стоить тысяч под 300 рублей. Это без дисков.

    Исходя из набора сервисов, который у вас есть в сети, вам, в принципе, СХД и не нужна. Не те скорости, не те объёмы. У вас же нет 10-гигабитных линков, правильно я понимаю? Посмотрите вместо СХД на какие-нибудь сервера с большими корзинками. Ну, допустим, от 8 до 24 дисков. 8 есть практически у всех, у Dell есть 10 и 20 дисков, у STSS есть сервера с корзиной на 24 диска (вот так оно выглядит). Либо на DAS (direct attached storage). Нужен сервер (практически любой), в сервер SAS-HBA адаптер с парой внешних портов, и корзинка DAS, которая SAS-кабелями подключается к этому адаптеру.

    Примите во внимание также, что брендовые СХД (даже QNAP) -- это вещь в себе, и диагностику там провести достаточно сложно. Поэтому обычно покупается поддержка у вендора. А она стоит тоже порядком денег. А без поддержки самому лазить в потроха СХД -- чревато граблями вооооооот такого размера. Самосбор же проще диагностировать и проще чинить (менять компоненты), если вдруг что.
    Ответ написан
    19 комментариев
  • Куда движется профессия системного администратора?

    athacker
    @athacker
    Выбирайте то, к чему душа больше лежит. IT Ops останутся навсегда, какие бы облака там не парили над нами. Всё равно полно организаций, которые не доверяют потусторонним конторам хранение своих данных и обслуживание своей IT-инфраструктуры (и правильно делают). Особенно в свете развития законов и методик оповещения об утечках и т. п.

    IT Ops, на мой взгляд, поинтереснее (сам такой потому что), так как задачи разнообразнее. Но в DevOps, например, денег больше платят. Хотя в IT Ops сейчас тоже много из DevOps наприлетало -- Infrastructure as a Code, ansible/chef/puppet, хранение конфигов/плейбуков в VCS, вот это вот всё. И это действительно приводит к тому, что нужно меньше людей, чтобы управлять существенно бОльшими по размеру инфраструктурами. Но и квалификация этих людей тоже должна быть выше, и программерский бэкграунд какой-то тоже нужен. Потому что даже в IT Ops очень много автоматизации, которую нужно писать руками на Shell, Powershell, Python, смотря где как принято.

    Отдельный денежный сегмент -- это DBA. Oracle, PostgreSQL, MariaDB -- прокачанных DBA мало, и стоят они дорого. С другой стороны, рынок, где требуются DBA -- довольно узок. И чтобы не было проблем с поиском работы -- квалификация должна быть высокой.

    Есть ещё NetOps, т. е. сетевые инженеры. Но там сейчас грустно -- несмотря на то, что для работ в операторских сетях, например, нужна нефиговая такая квалификация и знание особенностей кучи вендорского железа (редко кто строит гомогенные в смысла вендора сетевого железа сети, в основном сборная солянка - -Cisco/Juniper/Mikrotik/Dlink/Huawei), но зарплаты там (по Москве) -- 90-100 тысяч. При этом практикуются ночные/выходные дежурства и всё такое. Можно найти прекрасные места, где сетевой инженер будет зарабатывать бОльшую сумму, но в целом -- как-то так.

    Если резюмировать -- в IT Ops ниже порог вхождения в целом. Т. е. можно найти работу, где не требуется серьёзная квалификация, но и денег будет соответственно.

    DevOps -- порог вхождения выше, т. к. DevOps подразумевает выполнение вполне конкретного набора задач, и для их выполнения уже вряд ли возьмут человека с улицы, надеясь, что он "по ходу разберётся" (а вот в IT Ops или даже NetOps в мелких и средних конторах ещё может прокатывать). Квалификация требуется выше, но и денег больше.

    DBA -- всё ещё сложнее, чем с DevOps. Рынок узкий, квалификация нужна высокая, но зарплаты тоже высоки, повыше DevOps, по моим наблюдениям.

    В чистый NetOps сейчас уходить... Ну такоэ... Есть крупные конторы, где этим можно нормально зарабатывать, но всё равно, квалификация требуется высокая, а денег относительно требуемого объёма знаний платят не так уж много. Вот IT Ops + NetOps -- это да, тут можно найти хорошую работу. Но для этого книжек придётся прочитать в полтора раза больше, чем отдельно IT Ops и в два раза больше -- чем отдельно NetOps :-)
    Ответ написан
    4 комментария
  • Фриланс и налоги, стоит ли платить?

    athacker
    @athacker
    Почитайте про службу финансового мониторинга. Прямо так и загуглите: "финмониторинг банковских операций в РФ". И по первым же паре-тройке ссылок пройдитесь. Если коротко -- то да, риск попасть на карандаш есть, так как есть закон N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Согласно которому, если у банков "возникают ПОДОЗРЕНИЯ, что какие-либо операции ОСУЩЕСТВЛЯЮТСЯ в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма", то банк обязан сообщить об этом. При этом размеры сумм в этих операциях значения не имеют.

    Если у вас доход 90 тысяч -- это суммарно за полгода, то наверное, заморачиваться пока не нужно. Но надо понимать, что риск всё равно есть, хотя и небольшой. Если же имеется в виду 90 тысяч ежемесячно, то имеет смысл открыть ИП. У ИП на упрощённой схеме налогообложения довольно щадящие условия, и процент налогов (6%) платится только с дохода.

    Единственный минус ИП -- это обязательность платежей в ПФР и нужно будет оплачивать обслуживание расчётного счёта в банке. Когда я работал, платил около 800 рублей в месяц, сейчас не знаю, сколько. Ну, у разных банков -- по-разному, можно выбрать, где подешевле.
    Ответ написан
    3 комментария
  • Как понять VLANы?

    athacker
    @athacker
    Влан -- это всего лишь идентификатор в ethernet фрейме. Который может принимать значения от 1 до 4094. Вланы не бывают тегированными или не-тегированными, они по определению тегированные. Бывает тегированным или не-тегированным трафик. Тегированный -- это тот, в ethernet фреймах которого соответствующее поле реально содержит VID -- VLAN ID, т. е. номер влана. Не-тегированный -- соответственно, такой фрейм, где номера влана нет.

    Транковый порт коммутатора -- это порт, который настроен таким образом, чтобы принимать и передавать тегированный трафик, и этот трафик может быть из разных вланом (физически это означает, что в трафике могут быть разные VID -- идентификаторы вланов). Например, так настраиваются порты, к которым подключены другие коммутаторы. Или, например, маршрутизаторы. Или, например, сервера с виртуалками.

    Порт, настроенный для приёма не-тегированного трафика, всё равно осознаёт себя в каком-то влане. Т. е. коммутатор внутри себя считает, что в этот порт ему прилетает нетегированный трафик, но этот трафик нужно относить к такому-то влану. Какому конкретно влану -- задаётся сетевым администратором при настройке и включении порта. Не-тегированный трафик может улететь в тегированный (транковый) порт, например, и в этом случае на выходе из транкового порта коммутатор в трафике явным образом проставит тег.

    Может быть и обратная ситуация -- прилетит тегированный трафик в транковый порт (допустим, в 5-ом влане). Коммутатор определит, что получатель трафика находится на таком-то порту, и этот порт настроен для отправки не-тегированного трафика. Тогда коммутатор перед передачей пакета в этот порт уберёт трафик из фрейма и только потом отдаст фрейм в порт.

    В транковые порты может прилетать любое количество вланов (ну, до 4096, понятное дело). В не-тегированные -- только один какой-то влан, как вы понимаете, так как тега-то в трафике нет, и единственный способ отнести этот трафик к какому-то влану -- это явным образом прописать в настройках коммутатора, что вот этот вот порт относится к такому-то влану.

    Обычные компы могут принимать тегированный трафик только в случае дополнительных действий. На винде это должен поддерживать драйвер, и ещё он иметь средства управления вланами на интерфейсе. На линуксе тоже нужно создавать отдельным образом саб-интерфейсы с указанием тегов.

    Что касается микрота -- добейтесь сначала связи между роутером и компом в сети 192.168.1.0, без DHCP и тем более натов.

    IP 192.168.1.1 пингуется из сети 192.168.0.1 -- это понятно, так как адрес принадлежит вашему маршрутизатору. Вы можете ему на интерфейс 8.8.8.8 повесить, и он тоже будет пинговаться, даже при отсутствии интернета -- если между роутером и компом связь есть.

    Service tag ставить не надо -- это уже из области Q-in-Q, вложенных вланов (если на пальцах).

    Vlan1 -- какой vlad ID имеет?
    Ответ написан
    1 комментарий

Лучшие вопросы пользователя

Все вопросы (2)