Десять золотых правил системного администратораОлег ЧерныйSharePoint/Azure AdministratorEDGAR Online, RR Donnelley

1. Автоматизируй все, что может быть автоматизировано.Цели:

• Экономия времени при выполнении рутинных задач• Сбор системной информации и оповещение• Резервное копирование • Установка операционных систем• Установка программного обеспечения• Установка обновлений• Запуск и остановка виртуальных машин

• Повышенная управляемость систем• Копирование настроек из одной системы в другую• Возможность централизованного управления

1. Автоматизируй все, что может быть автоматизировано.Средства: • Скриптовые языки программирования:• Bash / Perl / Python / Ruby• Windows PowerShell

• Специализированное ПО:• Windows Deployment Services• Windows Server Update Services• System Center • Планировщики задач

2. Документируй то, что делаешь

и делай то, что документируешь.Цели: • Возможность контроля со стороны коллег• Предотвращение ошибок в финальных настройках• История проделанных работ• Упрощенный поиск ошибок в настройках• Практичный подход при делегировании полномочий

• Возможность контроля со стороны руководства• Руководитель IT отдела имеет объективную оценку

вашей работы• Руководитель бизнеса имеет объективную оценку работы

IT отдела

2. Документируй то, что делаешь

и делай то, что документируешь.Средства: • Ticketing System• Jira (http://www.jira.com)• Spiceworks (http://www.spiceworks.com/)• Microsoft TFS

• Скриптовые языки программирования• Bash / Perl / Python / Ruby• Windows PowerShell

• Конфигурационные файлы приложений и служб• Групповые политики Active Directory

3. Определи стратегию резервного копирования и аварийного восстановления.и аварийного восстановления.Цели:

• Восстановление данных в случае их утраты• Восстановление работоспособности систем• Предусмотреть возможные сценарии • Неумелое использование системы пользователями• Обновление ПО приводит к его неработоспособности • Обновления безопасности ОС причиняют вред

• Предусмотреть “невозможное”• Пожар в датацентре• Windows Azure или Amazon AWS перестали нас

обслуживать• Любой сценарий из фильмов-катастроф

3. Определи стратегию резервного копирования и аварийного восстановления.и аварийного восстановления.Средства: • ПО для резервного копирования и восстановления• Средствами стандартных инструментов операционной

системы• Средставами программного продукта (SQL Server,

SharePoint)• System Center Data Protection Manager

• Хранение данных в облаках• Windows Azure Backup

• Создание тестовых сред• Тестируй обновления ПО и ОС на тестовых серверах

• Disaster Recovery• Альтернативная площадка для работы наших серверов

4. Распределяй нагрузку между серверами.Цели: • Обеспечение балансировки нагрузки• Клиенты распределяются равномерно между серверами• Клиент направляется на сервер, у которого в данный

момент больше свободных ресурсов• Оптимизация сетевого трафика• Клиент направляется на сервер, который расположен в

одной локальной сети с клиентом• Клиент направляется на кэширующий сервер, который

находится в одной географической области с клиентом.

4. Распределяй нагрузку между серверами.Средства: Аппаратные балансировщики нагрузки

4. Распределяй нагрузку между серверами.Средства: Windows Azure Load Balancer

4. Распределяй нагрузку между серверами.

Средства: Active Directory Sites и контроллеры домена и DFS

Site A

Site B

4. Распределяй нагрузку между серверами.Средства: Windows Azure Content Delivery Network (CDN)

5. Обеспечь высокую доступность служб.Цели: • Обеспечение надежной работы серверов, критичных

для нормального функционирования предприятия• Серверы аутентификации• Файловые серверы• DNS серверы• Серверы баз данных

• Предоставление определенных гарантий клиентам• Клиенты получают доступ к услуге с определенным SLA

(Service Level Agreement)• SLA = 99,95% означает, что наша услуга не будет доступна

клиенту всего 4 часа и 23 минуты в году

5. Обеспечь высокую доступность служб.Средства: • Репликация данных между серверами• Active Directory репликация и контроллеры домена• Distributed File System

• На основе высокой доступности баз данных• Microsoft SQL Server и зеркалирование с автоматическим

или ручным восстановлением• Microsoft SQL Server и репликация для групп высокой

доступности AlwaysOn• Microsoft SQL Server и отказоустойчивые кластеры

• Встроенные возможности программного обеспечения• Одновременный запуск одинаковых служб на SharePoint

серверах

6. Планируй увеличение рабочей нагрузки.Цели: • Обеспечение надежной работы услуги при

увеличении количества клиентов• Сезонное увеличение • Прогрессирующее увеличение• Неожиданное увеличение

• Планирование финансовых затрат• Рабочую нагрузку можно увеличивать по необходимости,

планируя расходы заранее• Рабочую нагрузку можно уменьшать, это позволяет

снизить текущие расходы• Внедрение автоматических сценариев

6. Планируй увеличение рабочей нагрузки.Средства: • Облачные решения• Автоматическое изменение количества экземпляров PaaS

серверов • Ручное изменение характеристик IaaS сервера: • количество CPU cores, объем RAM (требуется перезагрузка)

• Кластерные решения• Для увеличения рабочей нагрузки – добавляем сервер в

кластер• Разделение функций Web серверов на несколько

уровней• Web Front End (WFE) серверы – балансировщик нагрузки

направляет клиентов на эти серверы. WFE возвращает контент

• Application серверы (backend серверы) – бизнес-логика приложения

6. Планируй увеличение рабочей нагрузки.

7. Создай эффективную систему наблюдения.Цели: • Сбор критически важной информации о текущем

состоянии системы• Доступность служб и серверов • Время отклика служб • Количество свободного пространства на жестких дисках• Наличие ошибок в системных журналах • Список установленного ПО и обновлений

• Оповещение о критическом состоянии системы• По электронной почте• СМС, клиентское ПО на мобильных устройствах

• Внедрение автоматических сценариев

7. Создай эффективную систему наблюдения.Средства: • Системные журнальные файлы• Журнальные файлы приложений• Программы мониторинга• Spiceworks• System Center Operation Manager • zabbix / nagios

• Счетчики производительности Windows• Скриптовые языки • Возможность автоматического исправления возникшей

проблемы

8. Делегируй полномочия

Цели: • Безопасность• В каждой системе должен быть лишь один

суперпользователь• Каждый сотрудник наделен лишь необходимыми

полномочиями• Распределение нагрузки между сотрудниками IT

отдела• По сложности задач• По компетенции• По приоритетам

• Несколькоуровневая система поддержки пользователей• Задачи “верхнего” уровня могут выполняться не IT

специалистами• Задачи “нижнего” уровня выполняются только IT

специалистами

8. Делегируй полномочия

Средства: • Делегирование в Windows• С помощью Organizational Units в Active Directory• По географическому принципу• Согласно бизнес - логике предприятия

• Добавлением пользователей в специализированные группы

• Назначением прав на определенные ресурсы и программы

• Делегирование в UNIX• SUID• sudo• Предоставлением прав на конфигурационные файлы

9. Изолируй работу служб друг от другаЦели: • Безопасность• Каждая служба должна обладать минимум привилегий• При взломе службы злоумышленник получит доступ лишь к

ней• Надежность• Выход из строя службы не влечет за собой выход из строя

других, независимых от нее служб• Выход из строя отдельных служб, не влечет за собой выход

из строя всей системы в целом• Поиск неисправностей• Возникшие проблемы проще идентифицировать в логах и,

как следсвие, неисправность может быть устранена быстрее

9. Изолируй работу служб друг от другаСредства: • UNIX• По умолчанию: службам выделен отдельный пользователь• Chroot окружение

• Windows• Managed Service Accounts в Active Directory

• Виртуализация• Каждая роль сервера – отдельная виртуальная машина

• Изолирование по географическому или бизнес принципу• Создание нескольких серверов сертификатов для разных

географических областей или подразделений предприятия

10. Построй защищенную, масштабируемую и надежную сеть предприятияЦели: • Исключить попытки несанкционированного доступа к• Серверам, доступным пользователям в сети Интернет• Серверам, доступным во внутренней сети предприятия• Сетевому оборудованию• Клиентским компьютерам сотрудников вашего

предприятия• Организовать беспрерывное подключение

предприятия к сети Интернет• Обеспечить для сотрудников удаленный доступ ко

внутренней сети предприятия• Планирование увеличения сетевой нагрузки

10. Построй защищенную, масштабируемую и надежную сеть предприятияСредства: • Демилитаризованная зона

10. Построй защищенную, масштабируемую и надежную сеть предприятияСредства: • VPN для доступа во внутреннюю сеть и управления

серверами • Подключение Интернет - серверов в VPN сеть• Удаленный доступ к Интернет - серверам с помощью jump-

сервера

10. Построй защищенную, масштабируемую и надежную сеть предприятияСредства: • Трехуровневая иерархическая модель сети Cisco

10. Построй защищенную, масштабируемую и надежную сеть предприятияСредства: • Протоколы динамической маршрутизации

10. Построй защищенную, масштабируемую и надежную сеть предприятияСредства: • Port security на уровне коммутаторов

10. Построй защищенную, масштабируемую и надежную сеть предприятия• Внедрение инфраструктуры PKI• Шифрование и аутентификация на основе

сертификатов

10. Построй защищенную, масштабируемую и надежную сеть предприятияСредства: • Демилитаризованная зона• VPN для доступа во внутреннюю сеть и управления

серверами • Подключение Интернет - серверов в VPN сеть• Удаленный доступ к Интернет - серверам только внутри VPN

сети• Создание jump-сервера для удаленных пользователей

• Трехуровневая иерархическая модель сети Cisco• Протоколы динамической маршрутизации• Port security на уровне коммутаторов• Внедрение инфраструктуры PKI• Шифрование и аутентификация на основе

сертификатов

Десять золотых правил системного администратора.1. Автоматизируй все, что может быть автоматизировано.2. Документируй то, что делаешь и делай то, что

документируешь.3. Определи стратегию резервного копирования и аварийного

восстановления.4. Распределяй нагрузку между серверами.5. Обеспечь высокую доступность служб.6. Планируй увеличение рабочей нагрузки.7. Создай эффективную систему наблюдения.8. Делегируй полномочия.9. Изолируй работу служб друг от друга.10.Построй защищенную, масштабируемую, надежную сеть

предприятия.