В современном мире достаточно средств, которые призваны облегчить работу системным администраторам, системным инженерам, системным архитекторам.n
О ЦОД, потребителях и инструментах администратора
Речь пойдет о комплексной системе «ЦОД — потребители». Потребители могут быть самые разные. Например, сеть автозаправок. На каждой точке необходимы электропитание, кассовый аппарат с терминалом для электронных платежей, связь с центральным офисом — значит, как минимум там нужны роутер и связь по VPN. Также может понадобиться компьютер для ведения отчетов и другие необходимые вещи.nnДаже за этим маленьким «хозяйством» нужно следить, нужно о нем заботиться. Но к каждой заправке не приставишь системного администратора. Ехать на отдаленную точку — это потерять в лучшем случае несколько часов. И все это время оборудование работать не будет. Помимо затрат на дорогу, еще и убытки от простоя. Мало того, специалист, который поедет, будет недоступен в дороге и не сможет помочь при решении других задач.nnИ не только заправки. Маленькие магазины, фельдшерские пункты и многое другое. Страна у нас большая, и многие объекты удалены от центра и друг от друга.nnКак это бывает на практике? Системный администратор пытается «достучаться» до проблемного устройства. Например, при проблемах сетевого оборудования максимально используем веб-интерфейс, командную строку через SSH. Если не получается — остается просить того, кто в данный момент на месте, оживить оборудование «холодной» перезагрузкой через отключение питания.nnВ ЦОД проблем не намного меньше. Крупные центры обработки данных принято размещать за чертой города. Добираться туда — точно потерять много времени в дороге.nnА по приезду начинаются другие проблемы. Очень часто время визита на режимный объект нужно согласовывать заранее. То есть писать заявку, получать временный пропуск и так далее. На режимных объектах мобильные телефоны нужно сдавать на входе.nnЕсли даже не нужно ничего согласовывать для прохода и сдавать мобильник — далеко не факт, что сотовая связь будет работать в машинном зале. Если удается дозвониться до пользователей или коллег из ИТ-отдела, порой приходится просто кричать в трубку, потому что среди работающих серверов очень плохая слышимость.nnЕсли в ЦОД есть дежурный — вначале можно попытаться связаться с ним. Но проблемы слышимости и качества связи остаются те же. К тому же у дежурного администратора чаще всего нет полномочий вмешиваться в работу оборудования клиента. То есть максимум, что он может, — нажать кнопочку «Reset» или щелкнуть выключателем.nnИногда в ЦОД дежурный один на несколько этажей. И в его обязанностях — не ходить среди стоек, выполняя просьбы клиента, а пристально следить на своем месте за системой мониторинга. Выполняя просьбу клиента «помочь разобраться», можно проморгать большую беду по другим направлениям.nnПоэтому системному администратору нужны инструменты, которые позволяют обойти ситуацию: «Ключ от срочной медицинской комнаты хранится в срочной медицинской комнате». При этом очень желательно, чтобы эти действия можно было автоматизировать.nnЕще один очень интересный вопрос — резервное копирование. Например, если копии выполняются на съемные носители, то нужно предусмотреть их замену. А как это сделать, если объект расположен отнюдь не близко?nnНиже я привел несколько продуктов, которые появились в 2018 году и как раз направлены на облегчение жизни системного администратора, системного инженера и так далее.n
Zyxel Nebula — когда не нужно ездить для настройки сети
Филиал не будет филиалом, если нет связи с центральной штаб-квартирой. Для этого нужен доступ по VPN. Закупить соответствующий маршрутизатор от известного западного бренда проблем не составляет. Как и позвонить в центральный офис и попросить сетевого администратора настроить соединение.nnИ тут вспоминаем, что большинство маршрутизаторов при первой настройке требуют подключиться к ним со стороны LAN.nnЧтобы настроить доступ извне, сетевому админу из центрального офиса нужно подключиться к маршрутизатору, а чтобы подключиться к маршрутизатору, нужно настроить доступ извне.nnРазумеется, можно поискать, как соединиться обходным путем с компьютером в локальной сети, например, через какое-то облачное приложение типа Team Viewer и все-таки настроить маршрутизатор.nnЕсть и другие способы настройки. Например, сетевому администратору лично приехать на удаленную точку. Или найти и нанять специалиста, который умеет это делать. Но чувствуете, сколько сразу новых, интересных задач прибавилось? Это только про проблемы филиальной структуры сейчас говорим.nnУ бизнеса на этапе развития все те же самые наболевшие вопросы, только нет сетевого администратора в штаб-квартире, потому что и столичной штаб-квартиры в обычном понимании тоже пока нет. Но сетевое оборудование уже есть, и его нужно кому-то настроить. Например, нанять администратора на «удаленку».nnКонечно, было бы здорово, если бы единица сетевого оборудования сама вышла в интернет и сказала: «Готова к удаленному управлению. Вот мой IP-адрес, а вот веб-интерфейс для настройки». Мечта, да и только.nnВот именно эту мечту реализовали в Zyxel, выпустив серию Nebula.nnНовое оборудование сразу пытается подключиться к облаку. Чтобы его зарегистрировать, нужно просто установить приложение Nebula на мобильный и сделать скан QR-кода. И это, по сути, вся процедура адаптации. После того как устройство подключилось к Zyxel Nebula, его настройку можно выполнить через облачный веб-интерфейс.nnЕсли администратор «перемудрил» с настройками и сам себе отрезал доступ, Zyxel Nebula его честно об этом предупредит. Это особенно удобно, когда приходится работать удаленно без возможности оперативно приехать на площадку.nnСтоит отметить, что для связи с облаком используется именно исходящее соединение со стороны устройства. Необходим лишь доступ в интернет на уровне обычного браузера. Нет нужды открывать порты на самом маршрутизаторе, повышать уровень привилегий, пробрасывать трафик и делать другие небезопасные вещи. При этом кроме самого облачного сервиса через это соединение никто не подключается. Значит, нет TCP-порта, который всегда открыт и ждет, кто в него постучится.nnnnВажный момент — с Nebula облачная инфраструктура может легко управляться через NAT без трансляции ТСР-портов.nnРанее облачное управление поддерживалось только для интернет-шлюзов. Сейчас у Zyxel появилось множество точек доступа (серия NebulaFlex) и коммутаторов, которые поддерживают управление из облака. На данный момент в этот список входит уже 25 устройств, и в 2019 году его планируют значительно расширить.nnnnnnСвоего рода командным пунктом является Nebula Control Center, работающий на базе браузера. В 2018 году он получил более 20 новых функций, в том числе:n
- Mesh Wi-Fi служит для расширения покрытия беспроводной сети с использованием имеющихся точек доступа в качестве ретрансляторов.
- Журналы трафика (Traffic logs), в которых собирается информация о трафике, проходящем через шлюз для последующего анализа.
- Топология VPN: инструмент для изучения топологии виртуальной частной сети.
Не нужно думать, что без доступа к облаку управление будет утрачено. К услугам сетевого администратора интерфейс командной строки, в котором можно с удовольствием копаться, выполняя различные настройки.nnКоммутаторы из новых серий, как и раньше, поддерживают работу в автономном режиме (смарт-управление) или же их можно перевести под централизованное управление Zyxel Nebula, при этом без покупки дополнительных лицензий. То есть основной пакет услуг предоставляется бесплатно.nnЕще один интересный момент — Zyxel Nebula берет на себя функцию учета сетевого оборудования.nnВсе мы прекрасно знаем, как ведет учет сетевого оборудования бухгалтерия. С тем же успехом можно назвать все сетевые устройства: «Устройство № 1», «Устройство No 2» и так далее.nnПоэтому сетевой администратор или начальник ИТ-департамента организует свою внутреннюю систему учета, в которой указываются не только название, стоимость и дата покупки, а еще роль в инфраструктуре, гарантийные ремонты и так далее. Мне даже приходилось встречать специального ИТ-логиста, который занимался подобными вещами.nnА с Zyxel Nebula это выглядит гораздо проще:n
- Единая база данных, в которой уже есть нужная информация о зарегистрированных устройствах.
- Устройства уже распределены по филиалам, за которыми «числятся».
- Нужная информация и даже расположение на карте Google могут быть получены в любом месте, где есть интернет. Не нужно организовывать специальный доступ к базе, узнавать IP-адреса, чтобы разрешить подключение и так далее.
И самое главное — все заносится в базу данных Zyxel Nebula автоматически, нет кошмара в виде заполнения карточек учета или переписывания серийных номеров вручную.nnZyxel Nebula позволяет по-другому взглянуть на проблему учета паролей и реквизитов доступа. Ответственное лицо, например владелец компании, ресурса и так далее, регистрирует инфраструктуру на себя и добавляет к управлению подчиненных лиц, например сетевого администратора, дежурного и так далее.nnЕсли кто-то из подчиненных утерял или дискредитировал пароль — «волшебное слово» можно легко сменить. Если сотрудник уволился — удаление учетной записи проблемы не представляет.nnИтак, с новинками в сетевом секторе мы разобрались. Теперь предстоит не менее важный вопрос — электропитание.n
RPCM — система управления электропитанием от компании RCNTEC с автоматическим управлением
Ранее были описаны ситуации, когда без контроля электропитания жить и работать в принципе можно, но крайне хлопотно, неудобно и попросту невыгодно.nnСитуацию в этой сфере я бы обозначил так:ИТ-инфраструктура без защиты, автоматизации и контроля в рамках системы электропитания не является управляемой.nnТам, где оборудование подключается к розетке, сразу возникает несколько вопросов:n
- Контроль и учет потребления.
- Защита от различных аварийных ситуаций типа коротких замыканий и перегрузок.
- Возможность удаленного управления.
- Мониторинг и автоматизация, поддержание ИТ-инфра-структуры в работающем состоянии.
Одним из главных критериев при размещении оборудования ЦОД и на отдельных точках является предоставляемая мощность. И возникает вопрос: «Какой из клиентов потребляет больше допустимого или оплаченного лимита?»nnОтдельной темой является защита от коротких замыканий и перегрузок. Если закоротило блок питания, в лучшем случае выбьет порт на ИБП. В худшем случае сгорит внутренняя электроника ИБП. И совсем плохо — выбьет входной автомат, который может отключить еще кучу оборудования.nnТут возникает интересный момент — сбойное оборудование еще надо вычислить. Если «выбивает» центральный автомат — это не так легко. С RPCM эта задача выглядит гораздо проще из-за того, что отключается конкретный вывод с «виновным» устройством.nnНо защита от КЗ и перегрузок — только часть проблемы. Иногда бывает нужно что-то выключить или включить удаленно, а сделать это некому. А еще нужно оповещать системного администратора о проблемах и иметь механизм контроля и перезапуска подключенного оборудования.nnВот такое устройство выпустила компания RCNTEC (ООО «АРСИЭН-ТЕК»). Вначале, в 2017 году, проявилась модель Resilient Power Control Module — RPCM 1502 на 16 ампер.nnНо 16 ампер при 230 вольт напряжения — это 3860 ватт. Для питания производительных серверов неплохо бы иметь мощность раза в два больше — и в 2018 году компания RCNTEC выпустила RPCM 1532 на 32 А.nnRPCM 1532 рассчитан на более крупные корпоративные ИТ-инфраструктуры. Он позволяет выдать 7360 ватт при 230 вольтах и рассчитан на питание мощных серверов и систем с большим энергопотреблением.nnПотом появился RPCM ME 1563 на 63А с мощностью до 14 490 при 230 вольтах для питания вычислительных устройств с еще более высоким уровнем потребления энергии (ME расшифровывается как Mining Edition).nnТеперь представьте, что на удаленной точке есть небольшой «джентльменский набор» оборудования: коммутатор, пара простеньких серверов и еще чего-то. И, естественно, там никакого админа нет. Если сервер или коммутатор зависнут и станут недоступны по сети, их можно только перезагрузить. Надо ли ради этого ехать на удаленную точку?nnА если поручить RPCM самому определить, что устройство не работает? Как бы мы сами это сделали, находясь на месте? Подключились бы к коммутатору и выполнили ping устройства, шлюза, потом внешнего адреса в интернет. Попробовали бы подключиться к серверу по SSH/HTTP или на консоль. Если он при этом не отвечает, то в перезагрузку. Часто признаком такого зависания служит аномально низкое для данного устройства энергопотребление (если только не настроен режим сбережения энергии).nnРазработчики в RCNTEC в 2018 году создали новую прошивку для уже выпущенных и новых RPCM, в которой есть встроенная система контроля и автоматизации.nnТеперь RPCM способен сам определять проблемные устройства и перезагружать их по питанию. Контроль может осуществляться по уровню энергопотребления (при нестандартно низком падении потребления становится понятно, что устройство не работает в штатном режиме), а также проверкой доступности TCP-порта, через ping и специально для майнеров — по уровню хешрейта.nnРассмотрим ситуацию с автозаправкой. Не нужно ждать, когда сетевой шлюз завис и на него наконец обратили внимание, потом позвонили в центральный офис и решили его вернуть в строй методом выключения и повторного включения.nnЕсли что-то из оборудования не работает и не может управляться удаленно по сети, то RPCM проверит ее состояние по доступности TCP-порта и через ping. Если «не пингуется» или порт не отвечает на TCP-запрос, системный администратор получит уведомление о проблеме.nnЕсли в течение выделенного промежутка он не сможет устранить проблему, то RPCM самостоятельно перезагрузит данное устройство по питанию. Да, такие отключения сами по себе несут некоторое зло. Но это можно сравнить с электрошоком при реанимации -больного сильно ударило током, но его сердце снова заработало, и он стал дышать.nnРазумеется, подобные трюки с перезагрузкой по питанию нельзя выполнять, например, на виртуальной системе или СХД. Здесь нужно долго и кропотливо разбираться, в чем причина сбоев, и устранять проблему в корне.nnМой рассказ был бы не полон, если бы я не упомянул о мощных устройствах, которые компания RCNTEC выпустила совсем недавно. «Мощных» — в прямом смысле этого слова.nnЭто новые модели RPCM 3×250 и RPCM DELTA.nnRPCM 3×250 содержит целых три независимых контроллера электропитания по 250 ампер (!), и подключается этот управляющий комплекс сразу к трехфазной цепи по одному контроллеру к каждой фазе по принципу соединения «звезда» (фаза-ноль-заземление). В итоге потребитель получает 30 независимых выводов по 25 А.nn250 А — это большая величина. Одного RPCM 3×250 хватит, чтобы поддерживать электропитание, например, крупного вычислительного кластера или торгового центра, небольшого промышленного предприятия и так далее.nnRPCM DELTA в целом схож со своим собратом, но предназначен для электросетей с фазным напряжением 120 вольт. Он подключается не к каждой отдельной фазе, а использует межфазное подключение по схеме «треугольника» (фаза1-фаза2-заземление), что дает 208 вольт на входе. Это позволяет увеличить подаваемую мощность.nnИ обе эти модели также имеют систему автоматического управления подключенными устройствами по уровню электропитания, по TCP, по ping и по уровню хешрейта. Как и в более «легких моделях» RPCM 15хх.nnНа данный момент это передовые решения по контролю за электропитанием и подключенным оборудованием. Управляющих комплексов с такими широкими возможностям, а тем более для подключения к трем фазам и с таким уровнем мощности я пока больше нигде не встречал: ни в литературе, ни в рекламе.nnВдвойне приятно, что эти модели проектируются и собираются в России, при этом их охотно покупают во многих странах.nnЭто и есть настоящее импортозамещение: не закрывать доступ хорошим товарам и технологиям в угоду внутренним производителям, а самим разрабатывать и производить замечательные вещи, чтобы продавать их по всему миру.n
Acronis и облачное резервное копирование
С продуктами этой фирмы я работаю давно, и некоторые решения уже не раз выручали. Например, в свое время удалось снять образ зашифрованного дискового массива «как есть» без расшифровки при помощи Acronis True Image Server (была такая версия популярного ПО). Ключа и пароля от системы шифрования у меня на тот момент не было, a Acronis True Image Server был. И это помогло избежать в дальнейшем кучи неприятностей.nnНо вот идея «облачного копирования» у меня до сегодняшнего момента вызывала сомнения. Дело даже не в стоимости хранения, а в скорости передачи информации.nnДопустим, организация полностью отказалась от создания локальных резервных копий и бэкапы размещает исключительно в облаке с передачей по интернет-каналу.nnДа, не надо бегать с ленточными картриджами в чемодане и передавать их в хранилище. Но проблема — в ширине канала. Уместиться в «окно бэкапа» при скорости передачи, скажем, 100 Mb/s даже для средней компании будет очень непросто.nnПримечание. «Окном бэкапа» называется временной интервал, когда процесс резервного копирования оказывает минимум помех работе других сервисов. При копировании расходуются системные ресурсы: процессор, оперативная память, повышается нагрузка на дисковую подсистему, на сеть и так далее. «Окно бэкапа» — это когда остальные системы работают при минимальной нагрузке и прожорливый процесс резервного копирования им не сильно помешает.nnПри копировании на внешний ресурс по узкому каналу связи нет права на ошибку. Оборвалась связь или администратор перемудрил с настройками копирования — и все, ждем следующего «окна» или устраиваем мучение для пользователей, создавая нагрузку в бизнес-часы.nnПо этой причине к облачным системам для создания и размещения копий вроде Acronis Data Cloud у некоторых администраторов может быть настороженное отношение. Но в последнее время кое-что изменилось. Появилось несколько улучшений, которые коренным образом меняют дело.nnМеня впечатлил сервис «Физическая пересылка данных». Стало возможным вначале сохранить копию на локальном ресурсе, например на жестком диске, а уже потом передать его в облако Acronis. Физическая передача данных производится на физическом носителе «из рук в руки», таким образом интернет-соединение не нагружается ни во время «окна бэкапа», ни в бизнес-часы. Происходит полноценное перемещение данных off-site, то есть за периметр локальной ИТ-инфра-структуры. Хранение копии в облаке спасает данные от стихийных бедствий и действий злоумышленников.nnТакой подход помогает сэкономить время и сетевой трафик, отправив данные в облачный центр обработки данных на жестком диске. Персонал ЦОД получает диск, а затем загружает информацию с него в хранилище.nnИспользование данного сервиса напоминает заказ товаров по почте или услуги логистической компании. Для копирования можно использовать жесткие диски с интерфейсами SATA, eSATA и USB.nnИз дополнительных требований — на жестком диске должен быть только один том, допускаются файловые системы FAT32, NTFS, Ext3 или Ext4.nnКазалось бы, это довольно странно выглядит на фоне предыдущих новостей, касающихся удаленного управления. Но не стоит забывать, что между удаленной точкой и ЦОД может быть очень слабый канал. И передача плотного потока данных может привести к потере управления. А «Физическая пересылка данных» является тем самым компромиссным решением, при котором и канал не загружен. и резервная копия сделана.nnОчень важно, что системный администратор будет избавлен от необходимости лично приезжать в ЦОД. Ему достаточно один раз передать полную резервную копию. А после создания полной резервной копии регулярное инкрементальное копирование можно выполнять по сети.nnПомимо перечисленных новых сервисов в систему добавился Acronis Notary Cloud. Это сервис для нотаризации, электронной подписи и верификации документов на базе технологии блокчейн.nnНовая система создает уникальный цифровой отпечаток для файлов, который сохраняется в публичном реестре блокчейна. Такой подход позволяет гарантировать независимое подтверждение подлинности и наличия файла в нужный момент времени. Из уже известных вещей стоит упомянуть технологию Acronis Active Protection.nnAcronis Active Protection умеет находить и останавливать сомнительные процессы, а также способна восстанавливать поврежденные файлы автоматически. В новой версии (2018) улучшена технология машинного обучения, которая может находить как известные, так и неизвестные угрозы, а также уменьшает количество ложных срабатываний.nnЭто позволяет бороться даже с абсолютно новыми программами-вымогателями и организовать защиту общих сетевых ресурсов и внешних устройств хранения данных.nЕсть такая старая шутка, что системный администратор -это человек, который помогает всем, а ему помочь не может никто.nnПродукты из этого обзора опровергают данное утверждение. В современном мире достаточно средств, которые призваны облегчить работу системным администраторам, системным инженерам, системным архитекторам.nnИ я призываю коллег не замыкаться внутри своих проблем, а шире смотреть на вещи и вовремя находить и подключать к работе новые эффективные инструменты. Например, те. которые описаны в этой статье.nnИсточник: журнал «Системный администратор»n
Качественное обслуживание серверной инфраструктуры готов реализовать коллектив специалистов itfb. Обращайтесь за получением помощи или консультацией