К примеру, у нас на производстве есть обычные стационарные компьютеры, которые общаются со станком через специализированную CAN-плату или по Ethernet кабелю и если просто обновить железо, то специализированный софт на новом ПК не заработает по той или иной причине, а если просить поставщика обновить такой компьютер на более современный, то поставщик запрашивает четырёх значный ценник в долларах и первая цифра далеко не 1
К примеру, есть тонкие клиенты/посты с очень древним железом, которые только отдают картинку от 1с по RDP, такие посты на Linux и только на Legacy, поэтому вариантов два, можно с помощью WinPE восстановить из образа систему на таком компьютере удалённо (по VNC), за считанные минуты, либо, вторым вариантом, что скорее всего реализуемо, это по вендор классу (или по конкретному диапазону ip адресов) скормить им через iPXE тонкий, бездисковый клиент на примере ThinkStation или похожие варианты, что увеличивает отказоустойчивость (поскольку если не доступен iPXE - не работает не один пост), но значительно упрощает и ускоряет развёртывание постов на производстве
Благодарю за уточнение, в данном случае если используется DHCP Active Directory, то достаточно поправить 67 правило, а политики 60-ого правила сами определяют, какой файл кому отдавать благодаря классу поставщиков
Основной аспект в моей статье в том, что интегрирован wds, объяснена возможность запускать WinPE с монтированием в систему дисков для возможности восстановить из бекапа любой компьютер или наоборот сделать бекап, лишь бы iPXE был доступен, запуск антивируса с автоматическим обновлением баз раз в неделю, доработан и обновлён Legacy режим, пояснение и нюансы за autoinstall linux с возможностью в лёгкую интегрировать и добавить его в puppet для будущего, а также статья более комплексна и объяснена на случай "сделай сам"
Проблема готовых решений в том, что не понятно, что изначально внесли в проект создатели, а плашка "Открытый исходный код" ничего не скажет начинающему специалисту, поскольку, к примеру, я в PHP, на котором написан fog project, полный ноль, но за проект спасибо, посмотрю, что он умеет на досуге
Покопался в своих старых записях, две системы, потому что старые процессоры могут не поддерживать x64 вычисления, поэтому одна ОС UEFI x64, вторая ОС Legacy x32, чтобы могла работать даже на тех процессорах, которые понимают только х32
И каким образом он или она попадёт на Пост, если там отключены любые взаимодействия из вне? Обойдёт КПП, охрану, турникет, пройдёт незамеченным на заводе со своей клавиатурой (у Постов нет клавиатуры, только сканер) и воткнувшись начнёт колдовать?
Настраивал, даже работало. Отказались как раз из-за единой точки отказа, если сервер распространяющий тинстейшн не доступен или вышел из строя - простаивает всё производство, а так вышел 1 пост - заменил или переустановил на новый, за пол года сбоев не наблюдается
Идея хорошая и думали об этом, но пришли к выводу, что если злоумышленник уже внутри завода и имеет прямой контакт к этикетке с паролем, то ему он уже явно не нужен, чтобы нанести вред компании К тому же, посты подключаются к серверу без доступа к интернету и который в будущем будет находиться в отдельном VLANе, благодаря чему утечка пароля поста не принесёт ничего
TFTP медленный протокол, к тому же, подобное решение вызвано требованием руководства айти отдела к исполнению, нежели личное желание а ipxe у нас уже развёрнут и с него же акронисом разворачиваются образы, о нём статья будет сильно длиннее и объёмнее, но чуть позже
Закрытая система, то есть на Постах, на которых развёрнута эта ОС сами в себе, ssh и остальные доступы к ним закрыты, ни puppet, ни любой оркестратор попасть в них не смогут
Два, потому что для Legacy и UEFI, чтобы вне зависимости от конфигурации компьютера можно было развернуть из образа ОС и сразу работать
Ну и отказоустойчивость, если PXE не доступен или медленная сеть, то может сильно сказаться на скорости запуска Поста
Каждый поставщик выставляет ценник в зависимости от собственных желаний, у них знания, умения, готовый продукт, отсюда и ценник
Не более 5-ти ПК, запрет на использование в корпоративной среде, как минимум
К примеру, у нас на производстве есть обычные стационарные компьютеры, которые общаются со станком через специализированную CAN-плату или по Ethernet кабелю и если просто обновить железо, то специализированный софт на новом ПК не заработает по той или иной причине, а если просить поставщика обновить такой компьютер на более современный, то поставщик запрашивает четырёх значный ценник в долларах и первая цифра далеко не 1
К примеру, есть тонкие клиенты/посты с очень древним железом, которые только отдают картинку от 1с по RDP, такие посты на Linux и только на Legacy, поэтому вариантов два, можно с помощью WinPE восстановить из образа систему на таком компьютере удалённо (по VNC), за считанные минуты, либо, вторым вариантом, что скорее всего реализуемо, это по вендор классу (или по конкретному диапазону ip адресов) скормить им через iPXE тонкий, бездисковый клиент на примере ThinkStation или похожие варианты, что увеличивает отказоустойчивость (поскольку если не доступен iPXE - не работает не один пост), но значительно упрощает и ускоряет развёртывание постов на производстве
Добрый день!
Благодарю за уточнение, в данном случае если используется DHCP Active Directory, то достаточно поправить 67 правило, а политики 60-ого правила сами определяют, какой файл кому отдавать благодаря классу поставщиков
Основной аспект в моей статье в том, что интегрирован wds, объяснена возможность запускать WinPE с монтированием в систему дисков для возможности восстановить из бекапа любой компьютер или наоборот сделать бекап, лишь бы iPXE был доступен, запуск антивируса с автоматическим обновлением баз раз в неделю, доработан и обновлён Legacy режим, пояснение и нюансы за autoinstall linux с возможностью в лёгкую интегрировать и добавить его в puppet для будущего, а также статья более комплексна и объяснена на случай "сделай сам"
у iVentoy насколько помню часть функций платные
Проблема готовых решений в том, что не понятно, что изначально внесли в проект создатели, а плашка "Открытый исходный код" ничего не скажет начинающему специалисту, поскольку, к примеру, я в PHP, на котором написан fog project, полный ноль, но за проект спасибо, посмотрю, что он умеет на досуге
Покопался в своих старых записях, две системы, потому что старые процессоры могут не поддерживать x64 вычисления, поэтому одна ОС UEFI x64, вторая ОС Legacy x32, чтобы могла работать даже на тех процессорах, которые понимают только х32
И каким образом он или она попадёт на Пост, если там отключены любые взаимодействия из вне? Обойдёт КПП, охрану, турникет, пройдёт незамеченным на заводе со своей клавиатурой (у Постов нет клавиатуры, только сканер) и воткнувшись начнёт колдовать?
Акронис потому что привычнее и используется всей инфраструктурой, в том числе выездными айтишниками других городов
так скриптом сразу 1с и запускается, без необходимости сотрудником что либо нажимать ещё, он включил Пост, отсканировал штрихкод и сразу попал в 1с
Скорее как одно из возможных решений
Все возможности доступы, http, samba, tftp, ssh и прочие отключены ещё на этапе создания образа
а root права за пол года ещё ни разу не пригождались
Спасибо, попробую
Настраивал, даже работало. Отказались как раз из-за единой точки отказа, если сервер распространяющий тинстейшн не доступен или вышел из строя - простаивает всё производство, а так вышел 1 пост - заменил или переустановил на новый, за пол года сбоев не наблюдается
Идея хорошая и думали об этом, но пришли к выводу, что если злоумышленник уже внутри завода и имеет прямой контакт к этикетке с паролем, то ему он уже явно не нужен, чтобы нанести вред компании
К тому же, посты подключаются к серверу без доступа к интернету и который в будущем будет находиться в отдельном VLANе, благодаря чему утечка пароля поста не принесёт ничего
Верно, как и имя сервера и логин
TFTP медленный протокол, к тому же, подобное решение вызвано требованием руководства айти отдела к исполнению, нежели личное желание
а ipxe у нас уже развёрнут и с него же акронисом разворачиваются образы, о нём статья будет сильно длиннее и объёмнее, но чуть позже
Закрытая система, то есть на Постах, на которых развёрнута эта ОС сами в себе, ssh и остальные доступы к ним закрыты, ни puppet, ни любой оркестратор попасть в них не смогут
Два, потому что для Legacy и UEFI, чтобы вне зависимости от конфигурации компьютера можно было развернуть из образа ОС и сразу работать
Ну и отказоустойчивость, если PXE не доступен или медленная сеть, то может сильно сказаться на скорости запуска Поста