athacker

На винде набор нативно поддерживаемых VPN протоколов невелик. PPTP, L2TP+IPsec, SSTP. Собственно, всё. В андроиде (8-ом, во всяком случае) поддерживаются из коробки протоколы PPTP, L2TP+IPsec, плюс несколько вариантов чистого IPsec.

PPTP с шифрованием на андроиде у меня не взлетел. Там шифрование реализуется совместным модулем компрессии и шифрования MPPC+MPPE (хотя по структуре протокола это два разных уровня должны быть). В целом оно работает, но на связке mpd5 и андроидом у меня не завелось. Плюс PPTP -- его легко настроить. Минус -- он не считается по современным меркам защищённым протоколом.

Выбирайте то, к чему душа больше лежит. IT Ops останутся навсегда, какие бы облака там не парили над нами. Всё равно полно организаций, которые не доверяют потусторонним конторам хранение своих данных и обслуживание своей IT-инфраструктуры (и правильно делают). Особенно в свете развития законов и методик оповещения об утечках и т. п.

IT Ops, на мой взгляд, поинтереснее (сам такой потому что), так как задачи разнообразнее. Но в DevOps, например, денег больше платят. Хотя в IT Ops сейчас тоже много из DevOps наприлетало -- Infrastructure as a Code, ansible/chef/puppet, хранение конфигов/плейбуков в VCS, вот это вот всё. И это действительно приводит к тому, что нужно меньше людей, чтобы управлять существенно бОльшими по размеру инфраструктурами. Но и квалификация этих людей тоже должна быть выше, и программерский бэкграунд какой-то тоже нужен. Потому что даже в IT Ops очень много автоматизации, которую нужно писать руками на Shell, Powershell, Python, смотря где как принято.

Отдельный денежный сегмент -- это DBA. Oracle, PostgreSQL, MariaDB -- прокачанных DBA мало, и стоят они дорого. С другой стороны, рынок, где требуются DBA -- довольно узок. И чтобы не было проблем с поиском работы -- квалификация должна быть высокой.

Есть ещё NetOps, т. е. сетевые инженеры. Но там сейчас грустно -- несмотря на то, что для работ в операторских сетях, например, нужна нефиговая такая квалификация и знание особенностей кучи вендорского железа (редко кто строит гомогенные в смысла вендора сетевого железа сети, в основном сборная солянка - -Cisco/Juniper/Mikrotik/Dlink/Huawei), но зарплаты там (по Москве) -- 90-100 тысяч. При этом практикуются ночные/выходные дежурства и всё такое. Можно найти прекрасные места, где сетевой инженер будет зарабатывать бОльшую сумму, но в целом -- как-то так.

Если резюмировать -- в IT Ops ниже порог вхождения в целом. Т. е. можно найти работу, где не требуется серьёзная квалификация, но и денег будет соответственно.

DevOps -- порог вхождения выше, т. к. DevOps подразумевает выполнение вполне конкретного набора задач, и для их выполнения уже вряд ли возьмут человека с улицы, надеясь, что он "по ходу разберётся" (а вот в IT Ops или даже NetOps в мелких и средних конторах ещё может прокатывать). Квалификация требуется выше, но и денег больше.

DBA -- всё ещё сложнее, чем с DevOps. Рынок узкий, квалификация нужна высокая, но зарплаты тоже высоки, повыше DevOps, по моим наблюдениям.

В чистый NetOps сейчас уходить... Ну такоэ... Есть крупные конторы, где этим можно нормально зарабатывать, но всё равно, квалификация требуется высокая, а денег относительно требуемого объёма знаний платят не так уж много. Вот IT Ops + NetOps -- это да, тут можно найти хорошую работу. Но для этого книжек придётся прочитать в полтора раза больше, чем отдельно IT Ops и в два раза больше -- чем отдельно NetOps :-)

В рамках одного ESXi-сервера вы многого не сделаете. Проработайте возможность запилить либо сервер помощнее, внутри которого установить несколько виртуальных ESXi, внутри которых уже будут работать виртуалки, либо поставить хотя бы парочку серверов с ESXi. Тогда появится возможность подключить эти ESXi к vCenter и попробовать миграцию, распределённый свич и много других технологий, которые умеет vSphere.

Плюсом ко всему, что сказал коллега выше -- разберитесь в VLAN'ами и принципами организации сети в vSphere:

• Чем отличаются Standard switch от Distributed switch;
  
• что такое портгруппы, каких видов бывают, как создаются/управляются;
  
• Для чего нужны параметры "promiscuous mode", "Forged transmits", "MAC address changes" в настройках портгрупп
  
• Что такое PVLAN и каковы сценарии их использования;
  
• Teaming and failover. Разберитесь с технологиями резервирования и балансировки сетевого доступа. Добейтесь, чтобы при отключении сетевого порта у вас гипервизор не отваливался от сети.
  

Что касается дисков, то "статические" и "динамические" диски в vSphere называются не так. Это в терминологии Вари (и всех других гипервизоров, а также вендоров storage-оборудования) называется "толстые диски" и "тонкие диски". Разберитесь с разницей между "Eager zeroed thick disk", "Lazy zeroed thick disk", "thin disk".

Хранение рабочей информации на компе пользователя -- это зло. Это я про базы 1С и их раздачу по сети. На рабочих станциях вообще должна быть остановлена и запрещена к запуску служба "Сервер". А также "Браузер сети". Вся информация должна храниться на серверах, на дисках, организованных в RAID-массивы. И вот уже туда должен быть доступ у всех, кому эта информация по долгу службы положена.

Пароль админа пользователю не давать -- это само собой.

Что касается безопасных настроек винды, то можно воспользоваться рекомендациями CIS: https://www.cisecurity.org/benchmark/microsoft_win...

Для скачивания PDF там нужно зарегиться, регистрация бесплатна и ни к чему не обязывает.

Резервное копирование -- в обязательном порядке. Причём на другой носитель, не внутри сервера или уж тем более -- рабочей станции.

Про белый список приложений вам уже сказали выше.

Умные люди говорят: "Если есть возможность проложить провод -- тяните провод, не надейтесь на WiFi". WiFi в рабочей сети, да ещё там, где "Большинство пользователей имеют дело с графикой и видео, объемы большие" -- это источник постоянной головной боли.

Одного сервера всегда мало. Потому что будут проблемы с его обслуживанием -- нужно будет тормозить производственный процесс, либо работать во внеурочное время. И если сервер сбойнёт, то вся работа встанет колом.

А поскольку вы упоминаете гипервизор, то с гипервизорами всё ещё хуже -- нужно минимум три сервера в кластере, для обеспечения отказоустойчивости. Если это винда, то ещё потребуется Micrisift Storage Spaces Direct для организации распределённого отказоустойчивого хранилища. Либо другие технологии, типа DataCore, vSAN, ScaleIO, Ceph -- любые распределённые софтверные системы хранения.

Насчёт выбора железок -- будет зависеть от бюджета. Брэндовое железо стоит дороже, но меньше гемора в эксплуатации, и есть вменяемая поддержка. Не-брэндовое стоит дешевле, но больше вероятность сбоев, и поддержка попроще. Из вменяемых брендов вне "большой четвёрки" могу порекомендовать STSS. Собирают сервера на платформе SuperMicro, и достаточно вменяемы по части общения. Поддержка, есть, но для разборок придётся везти железку к ним в офис.

Какой выбирать гипервизор -- также зависит от бюджета. Есть деньги -- выбирайте VMware или Hyper-V с обвязкой (vCenter или SC VMM). Нет денег -- ставьте KVM, ProxMox CE или Nutanix CE.

HelpDesk системы -- тысячи их. iTop, vsDesk, GPLI, OTRS, YouTrack (он не совсем для этого, но легко заточить).

А начинать нужно с базовых вещей -- с организации сети, электропитания на рабочих местах, выделения помещения под серверную. Качественный монтаж и планирование сети, тщательный выбор и тестирование оборудования -- избавляет впоследствии от множества проблем в процессе эксплуатации.

Я бы ученикам гостевые учётки давал. Там никакие изменения не сохраняются в профилях. Соответственно, выход из системы с последующим входом -- и мы снова имеем ту конфигурацию и вид рабочего стола, который был настроен администратором заранее.