Это довольно сложный вопрос. Сейчас нас больше десяти человек, самих продуктов – с десяток, людей, над ними работающих – пара сотен. Значит «девопсеров» 3-5% от продуктовой разработки.
Сейчас наша команда DevOps – это выделенный отдел в компании. Разумеется, мы тесно сотрудничаем с коллегами из ИТ-отдела: они помогают нам решать сетевые и инфраструктурные вопросы, и вопросы связанные с бекапами. Все наши сервисы расположены на машинах, «живущих» в облаке, предоставляемом ИТ-отделом.
Команда у нас смешанная, с крайне размытой специализацией (но она всё же есть), коротко: есть QA + Dev + IT. Есть у нас сотрудники с большим опытом работы с трекинговыми системами, есть сотрудники, которые в основном занимаются разработкой типовых сборочных конфигураций, есть сотрудники поддерживающие сервисы мониторинга, есть разработчики внутренних инструментов и прочие.
1. Под каждый проект (комплексный процесс, включающий в себя сборку инсталлятора и компонент для него, деплой их на тестовые сервера и автоматизированное тестирование):
в TeamCity выделяется пул сборочных серверов (обычно 1-4 машины на проект), за поддержку которых отвечает DevOps. На этих машинах запускаются только сборочные конфигурации, шаги которых компилируют исходный код (хранимый в GitLab), получают артефакт (одну версию собранной компоненты или всего инсталлятора) и выкладывают его в Artifactory для хранения.
в TeamCity выделяется пул деплойных серверов (также 1-4 машины на проект). В этом пуле запускаются только деплойные конфигурации, которые отвечают за доставку артефактов сборки на сервера тестирования. За деплойные конфигурации и пулы отвечать может как команда DevOps, так и QA.
в TeamCity выделяется пул серверов для тестирования (сколько угодно, в зависимости от требований команды QA), за которые отвечает команда QA. В этом пуле запускаются конфигурации, которые выполняют автоматические функциональные тесты на собранные компоненты или инсталляторы. По результатам тестов артефакты компонент или инсталляторов могут быть «продвинуты» (скопированы) в специальные репозитории на Artifactory для хранения протестированных сборок. Иногда деплойные и тестовые сервера могут быть в одном пуле (для небольших проектов).
2. Для управления виртуальными машинами (включение, выключение, откаты ВМ на снапшоты, запуск процессов и прочее) мы используем vSphereTools. Про автоматическое управление виртуальными машинами будет рассказано в 6-й статье нашего цикла «vSphereTools — инструмент для автоматизации работы с vSphere». Предварительно презентацию с доклада по этому инструменту можно посмотреть здесь: www.slideshare.net/phdays/vspheretools-vsphere
3. Docker используется в нашей инфраструктуре для различных целей:
для подготовки контейнеров со сборочным, деплойным и тестовым окружением для проектов,
сервисы, которые мы предоставляем как отдел DevOps (TeamCity, Artifactory, GitLab, Youtrack, UpSource, Zabbix и все остальные) для всех команд.
Так в данной дискуссии речь как раз об экспорте. Товарищ mezastel рекламирует «первую поправку» — и на этом основании считает, что США должны определять политику всего Интернета. То есть Интернета в других странах мира.
Но как мы уже выяснили, в случае других стран США вполне могут забыть про свободу слова и руководствоваться только собственными корыстными интересами. В чём же тогда преимущество американского управления перед российским и китайским?
Если вас так беспокоит Саудовская Аравия, вам стоит иметь в виду, что именно эта страна — самый любимый торговый партнер США на Ближнем Востоке. С самыми тёплыми дипломатическими отношениями. Так что публичное отрубание голов и дискриминация женщин в данном случае совершенно не беспокоят американцев, невзирая на рекламируемую любовь к «первой поправке» и прочим свободам.
Да-да, это и есть ответ на ваш вопрос: почему глава комиссии по правам человека в ООН — Саудовская Аравия.
А еще можно напомнить, что именно американские корпорации (Intel, Cisco, Microsoft) построили для Китая «Великий Китайский Firewall», предназначенный для борьбы со свободой слова. Упс, опять никому не интересна «первая поправка», когда рулит коммерческая выгода.
Это вовсе не значит, что Россия и Китай — лучше. Но давайте всё-таки не скатываться в совсем детские мифы о «правильном мировом управлении» под руководством США и только США.
Обзору процессов «до и после» будет посвящен первый доклад нашего митапа. Мы организуем трансляцию и видеозапись, так что заранее «спойлерить» не хотелось бы :)
Да, DevOps лишь элемент общего процесса, но статья и не претендует на описание всей корпоративной культуры разработки. В самом начале статьи есть посыл, что необходимость и ценность практик DevOps в любой современной разработке является общепризнанной.
И эта статья и наше мероприятие о том, как эти практики можно имплантировать в существующие проекты. Не указанием сверху, которое обречено на провал, и не осознанной инициативой снизу, для которой нужно время и зрелость, а грамотно выстроенным сервисом. А инструменты приводим для того, чтобы этот сервис выглядел максимально конкретно. Впрочем, мы готовы все это обсуждать с теми, у кого есть иной опыт.
Пожалуй, вы правы. Сказки — это вымышленные истории, прошедшие жестокий отбор в сотнях лет пересказов и перепечаток. Глупые герои и неинтересные стратегии в этом отборе проиграли. В итоге сказка — это коллекция живых и боевых мемов.
По сравнению с этим покемоны — всего лишь выдуманные недавно персонажи. Возможно, через двадцать лет их никто не вспомнит.
Поэтому для настоящих сказочных героев просто оскорбительно, если в один ряд с ними поставить вымышленную помесь кролика с удавом, названную «покемоном». Царевна-Лягушка и Красная Шапочка даже поесть не сядут рядом.
Может быть, лучше использовать термин «виртуальные персонажи»? Это включает любую ерунду, которая шевелится на экране.
Да, SNMPv3 и доступ только с разрешённых адресов — тоже варианты. Мы про них рассказывали в прошлой публикации по этой теме:
https://habrahabr.ru/company/pt/blog/247355/
Как верно заметили выше, в конце статьи изложены несколько полезных правил. Кроме того, в статье есть ссылка на наш разбор конкретного кейса: работа по протоколу SNMP с уязвимым сетевым оборудованием HP/H3C и Huawei. В конце этого кейса есть раздел «Как защититься» с некоторыми подробностями по защите — посмотрите:
Возможно, вы впервые сталкиваетесь с обобщенными статистическими исследованиями. В таком случае, вот суровая правда: такие исследования почти всегда представляют собой «среднюю температуру по больнице». Почитайте статистику FireEye (Mandriant Report) или Verizon DBIR.
Тем не менее, некоторые выводы из такой обобщенной аналитики сделать можно. Например, Mandiant Report 2013 рассказывается, что 100% взломанных в 2013 году компаний имели у себя регулярно обновляемый антивирус. Там не рассказано про «стоимость систем, сроки разработки и уровень подготовки специалистов». Но тем не менее, сам факт беспомощности антивирусов — интересный.
В нашем случае вывод состоит в том, что приложения на PHP в последние годы стали более безопасными. Это ровно то, что показывает обобщенная статистика. Ни больше, ни меньше.
Мы рассказали об этом владельцем тех систем, которые были исследованы. Относительно того, стоит ли рассказывать всему миру, у нас есть понятие «политика ответственного разглашения». Это значит, что мы расскажем о конкретных уязвимостях тогда, когда сочтём, что этот рассказ сам по себе не создаёт проблему безопасности.
Кстати, в нашем блоге вы можете найти множество подобных рассказов о конкретных уязвимостях. И можете заметить в них приписку типа «Уязвимость устранена производителем». Например:
Команда у нас смешанная, с крайне размытой специализацией (но она всё же есть), коротко: есть QA + Dev + IT. Есть у нас сотрудники с большим опытом работы с трекинговыми системами, есть сотрудники, которые в основном занимаются разработкой типовых сборочных конфигураций, есть сотрудники поддерживающие сервисы мониторинга, есть разработчики внутренних инструментов и прочие.
2. Для управления виртуальными машинами (включение, выключение, откаты ВМ на снапшоты, запуск процессов и прочее) мы используем vSphereTools. Про автоматическое управление виртуальными машинами будет рассказано в 6-й статье нашего цикла «vSphereTools — инструмент для автоматизации работы с vSphere». Предварительно презентацию с доклада по этому инструменту можно посмотреть здесь: www.slideshare.net/phdays/vspheretools-vsphere
3. Docker используется в нашей инфраструктуре для различных целей:
Но как мы уже выяснили, в случае других стран США вполне могут забыть про свободу слова и руководствоваться только собственными корыстными интересами. В чём же тогда преимущество американского управления перед российским и китайским?
Да-да, это и есть ответ на ваш вопрос: почему глава комиссии по правам человека в ООН — Саудовская Аравия.
А еще можно напомнить, что именно американские корпорации (Intel, Cisco, Microsoft) построили для Китая «Великий Китайский Firewall», предназначенный для борьбы со свободой слова. Упс, опять никому не интересна «первая поправка», когда рулит коммерческая выгода.
Это вовсе не значит, что Россия и Китай — лучше. Но давайте всё-таки не скатываться в совсем детские мифы о «правильном мировом управлении» под руководством США и только США.
И эта статья и наше мероприятие о том, как эти практики можно имплантировать в существующие проекты. Не указанием сверху, которое обречено на провал, и не осознанной инициативой снизу, для которой нужно время и зрелость, а грамотно выстроенным сервисом. А инструменты приводим для того, чтобы этот сервис выглядел максимально конкретно. Впрочем, мы готовы все это обсуждать с теми, у кого есть иной опыт.
По сравнению с этим покемоны — всего лишь выдуманные недавно персонажи. Возможно, через двадцать лет их никто не вспомнит.
Поэтому для настоящих сказочных героев просто оскорбительно, если в один ряд с ними поставить вымышленную помесь кролика с удавом, названную «покемоном». Царевна-Лягушка и Красная Шапочка даже поесть не сядут рядом.
Может быть, лучше использовать термин «виртуальные персонажи»? Это включает любую ерунду, которая шевелится на экране.
https://habrahabr.ru/company/pt/blog/247355/
Как верно заметили выше, в конце статьи изложены несколько полезных правил. Кроме того, в статье есть ссылка на наш разбор конкретного кейса: работа по протоколу SNMP с уязвимым сетевым оборудованием HP/H3C и Huawei. В конце этого кейса есть раздел «Как защититься» с некоторыми подробностями по защите — посмотрите:
https://habrahabr.ru/company/pt/blog/247355/
http://approof.ptsecurity.ru/
Тем не менее, некоторые выводы из такой обобщенной аналитики сделать можно. Например, Mandiant Report 2013 рассказывается, что 100% взломанных в 2013 году компаний имели у себя регулярно обновляемый антивирус. Там не рассказано про «стоимость систем, сроки разработки и уровень подготовки специалистов». Но тем не менее, сам факт беспомощности антивирусов — интересный.
В нашем случае вывод состоит в том, что приложения на PHP в последние годы стали более безопасными. Это ровно то, что показывает обобщенная статистика. Ни больше, ни меньше.
Мы рассказали об этом владельцем тех систем, которые были исследованы. Относительно того, стоит ли рассказывать всему миру, у нас есть понятие «политика ответственного разглашения». Это значит, что мы расскажем о конкретных уязвимостях тогда, когда сочтём, что этот рассказ сам по себе не создаёт проблему безопасности.
Кстати, в нашем блоге вы можете найти множество подобных рассказов о конкретных уязвимостях. И можете заметить в них приписку типа «Уязвимость устранена производителем». Например:
https://habrahabr.ru/company/pt/blog/280095/
https://habrahabr.ru/company/pt/blog/276459/
https://habrahabr.ru/company/pt/blog/255929/
https://habrahabr.ru/company/pt/blog/250675/
>И при этом мир не рухнул
Лучший ответ на этот вопрос дала девочка из фильма «Семейка Адамсов»:
— Just wait.