ATOM: автоматизация сети ЦОД начинается с решения рутинных задач
Всем привет! Это наша первая статья про нашу систему автоматизации. Мы активно занимаемся разработкой системой автоматизации и визуализации АТОМ для сетей ЦОД в компании Ростелеком, о которой пойдёт речь.
Лень — двигатель прогресса. Именно по этой причине Ansible — лучший друг любого админа, которые не хочет руками применять настройки к 1000 серверов. Я использую его на регулярной основе, но при этом именно тема инвентарных файлов каждый раз умудряется меня удивить. Поэтому в этой статье решил собрать всю общую информацию, начиная с inventory.ini и заканчивая плагинами для динамических инвентарей.
Инвентарь — это не просто список серверов. Это карта вашей инфраструктуры, в которой отражено, где что находится, как ко всему подключаться и какие настройки применять. Правильно организованный инвентарь может сэкономить кучу времени, а неправильный — превратить деплой в бесконечную отладку.
Современная инфраструктура приложений динамична и требует гибкости от конфигурации ключевых элементов. В этой статье мы разберём все варианты реализации динамических групп серверов (upstream) в Angie. С помощью этих методов вы сможете изменять состав и статус серверов без вмешательства в конфигурацию Angie.
Сначала были физические серверы - дорогие и неэффективные. Затем пришли виртуальные машины, которые позволили запускать несколько изолированных ОС на одном железе. Но цена изоляции оставалась высокой: полная копия ОС, гигабайты диска, минуты на запуск.
Контейнеры - следующий шаг эволюции. Зачем виртуализировать целое железо и запускать полноценную ОС, если можно изолировать только сам процесс, используя встроенные механизмы ядра? Этот подход на порядок легче, быстрее и эффективнее.
Если вы когда-нибудь пытались объяснить финдиру, почему вам нужно больше денег и еще больше мощностей, или искали ответ на вопрос, какой отдел ответственен за половину бюджета на инфраструктуру, значит, вы в клубе. В клубе тех, кто каждый месяц смотрит на список из сотен виртуалок и вообще не понимает: зачем они нужны, кто за них отвечает и что с ними делать дальше.
Это финал нашей трилогии про FinOps в Cloud Director. В первых двух частях мы разобрали, как тегировать ресурсы и не сойти с ума, а сейчас посмотрим, что с этими данными делать дальше.
Если вы не знакомы с тегированием и принципами организации ресурсов в VMware, то загляните в часть 1, где мы разобрали тегирование как таковое, и в часть 2 — про инструменты пользователя Cloud Director.
Статьи предназначены для тех, кто только начинает разбираться с FinOps и Cloud Director. Хотя если вы уже год мучаетесь с виртуалками и никак не можете понять, куда утекает бюджет, вам тоже сюда.
Показывать буду на примере нашей платформы Cloudmaster. На самом деле, можно и в Excel — принципы-то одинаковые. Просто с Cloudmaster будет сильно быстрее, потому что не надо каждый раз переписывать формулы. Если политика безопасности позволяет, можете попробовать 14 дней бесплатно. А если нельзя или не хочется, для каждого шага добавлю альтернативу, как провернуть это в обычной табличке. Помечать буду вот так: 🔢📊. Подробности реализации формул и CLI-скриптов за рамками статьи. Там никаких хитростей, только ваше время и внимание.
Если у вас есть удаленные сотрудники, которые работают удаленно где-то в Тайланде то статья для вас)
В условиях изменяющейся сетевой инфраструктуры пользователи мобильного интернета сталкиваются с вопросами: какие ресурсы остаются доступными, и как это выглядит на техническом уровне? Этот материал — результат практического исследования с использованием стандартных инструментов сетевого анализа.
Никаких домыслов — только измерения, цифры и технические факты.
Здраствуйте, коллеги. Сегодня делаем базовые конфиги на Palo Alto: NAT для выхода в интернет, лог-форвардинг, security-профили, интерфейсы, роутинг и сервисные роуты. Всё коротко, понятно, с примерами.
Отслеживать доступность сайтов — стандартная задача любого веб-мастера, который обязательно устанавливает такие «мониторы» на свои ресурсы. Он проверяет, какой контент возвращается по запросу: стандартная веб-страница или сообщение об ошибке. Логично поставить такую проверку в ежеминутном режиме с подачей громкого уведомления в случае инцидента (если сайт недоступен).
По сути, проверка доступности ресурса и мониторинг изменений на странице — это одно и то же. Ведь если произошло какое-то изменение — это значит, что ранее недоступный ресурс стал доступным, или наоборот.
Но если мониторинг сайтов сделать удобным и простым, то открываются десятки новых, полезных вариантов использования для обычного человека: отслеживание цен, распродаж, покупка товаров на скидках, бронирование билетов и талонов в поликлинику, появление на Хабре статьи по ключевому слову, мониторинг изменений в файлах PDF, поисковой выдаче Google и многое другое...
Контроллер домена лежит. Терминальные серверы уходят в синий экран один за другим, а триста сотрудников молча смотрят на неработающие АРМ. Это не атака хакеров. Это начался пентест.
К сожалению, такие истории иногда случаются. Один неосторожный запуск эксплойта, слишком агрессивное сканирование в пиковые часы или использование незнакомого инструмента в проде — и вот уже тестирование на проникновение приносит больше реального ущерба, чем гипотетическая угроза.
Меня зовут Дмитрий Калинин, я руковожу отделом по работе с уязвимостями информационных систем в Бастионе, и за годы практики я видел достаточно ошибок. Включая свои собственные.
Дальше расскажу реальные истории о том, как ZeroLogon чуть не уничтожил домен заказчика, как утренний запуск Nmap парализовал офис на несколько часов, и почему некоторые пентестеры могут быть опаснее хакеров. А затем разберем, какие точки отказа в корпоративной сети ломаются первыми и как не превратить аудит безопасности в производственную катастрофу.
Да, я знаю. «Опять статья про WireGuard». Но это не очередное «how-to» на 5 строк. Это — история боли, паранойи и, наконец, автоматизации. Это история о том, как мы перестали «обслуживать» VPN и заставили его работать на нас...
Как‑то я писал статью «Личное облако на Proxmox» где описывал как установить Proxmox разными способами и в целом, что это такое, обещал, что когда то, под настроение опишу продолжение про сетевую часть домашнего облака с сервисами, доступными из интернет на домашнем сервере, вот, пожалуйста
Прошлая статья была посвящена базовой настройке. Что сейчас я имею в итоге, немного изменив то, что делал я получил:
Привет, Хабр! Меня зовут Денис, я руковожу технической поддержкой в одной из крупнейших компаний России. Более 16 лет я работаю в IT, а последние годы занимаюсь управлением поддержки и автоматизацией процессов.
Хочу поделиться нашим опытом перехода на новый ИТ-стек, построенный на полностью российских решениях (Astra Linux, R7 Office, TrueConf и другие), и преодоления всех сложностей. Возможно, кого-то из вас это оградит от пары седых волос и сэкономит сотни часов работы поддержки.
Это мой первый подход в написании статьи, прошу не закидывать тапками. Статья вводная, но, если вам будет интересно, я готов рассказать про каждый инструмент подробнее.
Cloudflare показывает, как превратить метрики в механизм безопасных релизов под глобальной нагрузкой. В основе — Health Mediated Deployments: решения о выкатывании принимаются по SLI/SLO из Prometheus/Thanos, с распределёнными агрегациями на уровне дата-центров, recording rules, бэктестингом инцидентов и адаптивным ограничением параллелизма. Результат — заметно быстрее вычисляются критичные запросы, батчи ускорены примерно в 15 раз, а откаты происходят до того, как проблема успевает разрастись.
Вакансии по пентесту всё чаще требуют не только понимания принципов работы ключевых СЗИ (WAF, EDR, NAC), но и практических навыков их обхода. То же самое касается EDR/AV. В реальных отчётах о кибератаках также регулярно упоминается, как злоумышленники обходят средства защиты и остаются незамеченными.
Предлагаем рассмотреть пару приемов таких обходов и проверить, готовы ли ваши системы защиты к подобным вызовам.
Меня зовут Саша Шилкин, я работаю в Yandex Infrastructure и занимаюсь автоматизацией сети. Сегодня расскажу про обновление конфигурации сетевых устройств и про то, как мы его делаем в нашей команде: как начинали, как менялась конфигурация, какие для этого были предпосылки.
Мы уже рассказывали о задаче автоматического обновления конфигурации на масштабах сети всего Яндекса. В своей статье я поделюсь опытом, как мы решаем эту задачу именно для облачной платформы. Мы обращаемся к накопленному опыту коллег, однако наши сети хоть и похожие, но отличаются в некоторых местах, особенно процессно.
Все инструменты, о которых пойдёт речь, выложены в опенсорс. Если у вас возникнет желание попробовать то, о чём я рассказываю, многое вы сможете повторить самостоятельно. Ну и поскольку в каких‑то деталях наша адаптация инструментов имеет свои особенности — мой рассказ будет интересен всем, кто хочет внедрить ту самую Аннушку из опенсорса с учётом своей ситуации.
Статья написана по материалам моего выступления на nexthop, конференции по сетевым технологиям, — с небольшими дополнениями, которые произошли за год.
В этом году на nexthop 2025 я также расскажу об автоматизации масштабируемой сети для BareMetal‑серверов — так что, если эта тема интересна, заглядывайте к нам 19 ноября.
Первый Docker-образ для моего Go-приложения весил 1.92 GB. Для микросервиса на 100 строк — абсурдно. Решил разобраться, куда именно уходит место и как добиться максимально лёгкого образа.
Народный SIEM Wazuh активно используется специалистами ИБ в различных организациях. Он может собирать и анализировать события безопасности получаемые с источников, генерировать уведомления об инцидентах и строить отчеты. Однако, было бы неплохо, чтобы он еще умел подавать кофе производить оценку конфигурации безопасности.
Оценка безопасности конфигурации — это процесс проверки соответствия всех систем набору предопределенных правил, касающихся параметров конфигурации и разрешенного использования приложений. Одним из наиболее надежных способов обеспечения безопасности ресурсов сети является усиление их защищенности. Таким образом, оценка безопасности конфигурации — это эффективный способ выявить слабые места в ваших конечных точках и устранить их, чтобы уменьшить вероятность атаки.
В Wazuh для этой цели используется специальный SCA-модуль. В данном случае SCA (Security Configuration Assessment) это именно оценка безопасности конфигурации, а не анализ используемых приложением зависимостей (Software Composition Analysis).
Здравствуйте, меня зовут Юрий Юшкевич, я руководитель ИТ-разработки/CTO. В этой статье я расскажу о процессе замены APM-решения в крупной финтех-компании: почему мы ушли с Instana, как выбирали альтернативу и что изменилось после внедрения Proto Observability Platform.
Концепция “Инфраструктура как код” (IaC) стала неотъемлемой частью методологии DevOps. С помощью IaC мы можем без труда развернуть в облаке нужную инфраструктуру. При этом, мы можем развернуть абсолютно идентичные инфраструктуры как для среды разработки, так и для тестирования и для продуктивной среды.
На просторах сети можно встретить большое количество публикаций, посвященных использованию «иностранных» облаков, таких как Amazon, Google и Microsoft. Однако, в текущих условиях использование данных провайдеров практически невозможно. Между тем на российском рынке также есть много интересных игроков. В рамках данной статьи мы посмотрим использование Яндекс Облака. Но для начала давайте разберемся с тем как в принципе реализуется IaC.
