「1。 サーバーを海外に保管»
(c)9.5ロシアで安全なビジネスを行うための規則
導入部。
私たちは従業員10人の小さな会社で、その半分は定期的にリモートで働いています。
私たちが最初に持っていたのは、オフィスにあったWindowsとターミナルアクセスを備えたサーバーです。 すべてのユーザーにラップトップがありました。 ビジネスに重要な情報を除き、特に機密情報はありません。
ある時点で、私は妄想に完全に「終わった」ので、サーバーをオフィスの外に移動することにしました。
1) 2台のサーバーをレンタルしました。1台はドイツに、2台はオランダにあります。
構成は同じです:Intel Xeon Quad Core E3-1230 3.20 GHz / 8GB / 2x 1TB。
必須条件は次のとおりです。IP-KVM24x7、24時間体制のテクニカルサポート対応の保証、翌営業日サーバー交換保証(NBD)、無制限のトラフィック。
追加のソフトウェア要件:Windows 2008標準、Windows 2008エンタープライズ、ターミナルライセンス、およびMS Office(Word、Excel、PowerPoint)
これらの願望はかなり控えめな予算を決定しました:756ユーロ/月。
ホスティング事業者には名前が付けられません。 Webmoneyを介して(つまり、クレジットカードではなく)支払いたいという要望があるため、再販業者に頼らざるを得なかったとしか言えません。
2)初期段階での両方のサーバーのセットアップは完全に同一でした。 サーバーへのアクセスを取得した後、最初の1日全体がOSの更新に費やされました。 Hyper-Vをインストールした後。
すぐに、仮想マシンがCentOSで作成され、ルーターになりました。「白い」IPを持つのは彼女でした。 他のすべてのマシン(ホストシステムを含む)はグレーアドレスで動作しました。
IPを使用してこの焦点を実行するには、常時接続されたIP-KVMが役立ちました。 この場合、各サーバー上のビルトインIPMIおよびiLo。
Open VPNサーバーがルーター上で発生しましたが、「外部」からのみアクセスできました。 他のすべてのポートは閉じられました。
また、NATとプロキシサーバーがルーターで発生しました。
3)使用可能なすべてのメモリの最初のサーバーで、Windows 2008 Standardを使用して仮想マシンが作成され、これが新しいオフィスサーバーになりました。
ターミナルでの10人の同時作業に7 GB-快適な状態以上。 インターネットは、プロキシを介してのみオフィスサーバーユーザーにアクセスできます。
Dr.Webは機能します。ライセンスは、オフィスが接続されているネットワークからサブスクリプションで取得したものです。
オフィスソフトウェアの標準セット:MS Office、Acrobat Reader、PDF Creator、WinRAR、InfranView、KeePass、Chrome、Firefox。
ユーザーが混乱しないように、誰もがBginfoファイルをスタートアップに添付する必要がありました。これにより、デスクトップの色が変更され、どのサーバーであるかが書き込まれます。
4) 2番目のサーバーでは、すべてが少し面白くなっています。
ホストサーバーにはWindows 2008 Enterpriseがあり、Windows 2008 Standardで最大4台の仮想マシンを無料でインストールできます。
したがって、これは実際には会計士のサーバーです。ここでは、4つの仮想マシンが動作します。CRM/請求、1C8(切り替え)、1C7(処理)、およびクライアントバンクです。
4つのサーバーはすべて互いに分離されています。それらは、互いに見えない異なる仮想Hyper-Vネットワークに配置されています。
これは、マシンの1つが何らかの感染を検出した場合に、感染がそれを超えて広がることがないようにするためです。
同じマシンから、MeDOCおよびPodatkov Zvitnitを通じて税レポートを送信します。 「会計」サーバーからのトラフィックはVPNトンネルを介してオフィスにルーティングされるため、税務署はレポートがヨーロッパからではなくオフィスのIPから来ていることを確認します。
1Cを搭載したサーバー上のオフィス仮想マシンと同様に、インターネットはプロキシ、Dr.Webs、および標準ソフトウェア作業を通じてアクセスできます。
1Cでは、7番目のキーはUsb-over-networkを介して機能し、1C 8ではソフトウェアキーを使用します。
クライアントバンクサーバーでは、インターネットが切断されます。アクセスは銀行のサーバーのみになります。 銀行は、実際のIPサーバーではなく、オフィスのIPも参照します。
5)これらのサーバーはすべて、Open VPNサーバー(2つのうちのいずれか)での承認後、リモートデスクトップ(RDP)を介してアクセスできます。
そして、私の妄想のもう1つの成果は、Open VPNサーバーに接続するとき、ネットワーク上で単一のサーバーを見ることは不可能だということです。
RDPを使用すると、非標準ポートを介してのみサーバーにアクセスできます。非標準ポートは、対応する仮想マシンのRDPポートに「転送」(DNAT)されます。
6)オフィスには、Wi-FiルーターD Link DIR-320があります。 再フラッシュしてから、OpenVPNクライアントを構成しました。
DIR-320にはUSBプリンターが含まれており、すべての仮想マシンがトンネルを介して印刷できます。
オフィスの従業員は、ラップトップで何も変更することなく作業できます。
リモートで作業する従業員には、Open VPNキーと次の指示が与えられました:MacOS / Windowsでトンネルを構成する方法、リモートデスクトップにアクセスする方法、オフィスプリンターに印刷する方法、ホームプリンターに印刷する方法など。
7)最も重要なことはバックアップです。
ホストシステムにはHyper-V以外のものはないため、バックアップしていません。
金曜日の午後、すべての従業員は、すべてのアプリケーションを閉じてすべてのドキュメントを保存することを忘れないように求めるニュースレター(Googleカレンダーからのイベントリマインダー)を受け取ります。
金曜日から土曜日の夜に、Power Shellスクリプトはすべての仮想マシンをオフにし、VHDイメージを別のフォルダーにコピーし、そこからVPNトンネル経由でウクライナのサーバーにバックアップサーバーにコピーします。
しかし、これは戦いの半分に過ぎません。
毎日、すべての仮想マシンで、日中に変更されたデータをアーカイブするスクリプトが起動されます。 そして毎週、すべてのユーザーデータをアーカイブします(ドキュメントから1Cデータベースまで)。
アーカイブはこの指示に基づいています: habrahabr.ru/blogs/personal/82185が 、パスワードで保護されたマルチボリュームのアーカイブを作成し、回復のための情報を追加します。 アーカイブはDropBoxとGoogle Driveのプレミアムアカウントに保存され、これらのサービスを介して両方のサーバー(ラップトップのディレクター)にアクセスします。
最後に私たちが持っているもの:
「リクエストに応じて、いつでもドキュメントを復元できます。」
-数百のランダムな文字のパスワードを持つすべてのアーカイブ。 DropBoxがすべてのファイルを再び表示したとしても、アーカイブを開くのは非常に困難です。
-DCのいずれかで不可抗力が発生した場合、私は1時間以内に、1週間前に別の国の別のサーバーでサーバーのコピーを起動し、アーカイブから変更をロールアップできます。
説明されたすべてが、ほぼ1年間、私たちと協力してきました。 4つのサーバー上のソフトウェアの更新に4倍の時間がかかることを除いて、特別な苦情はありません:)。
バックアップアーカイブからデータをオンデマンドで数回復元しました。これは時計のように機能します。
テストのために、DCのシャットダウンを数回シミュレートしました。いずれかのサーバーのバックアップからすべてのサーバーを持ち上げました。 ソフトウェアキーを備えた1C8を除き、すべてが機能します。新しいサーバーで完全に同様の構成を行うことが重要です。
会計士はラップトップを「飛行」しました。作業は30分で復元され、新しいものを発行してサーバーに接続するためのショートカットを設定するだけでした。
ルーターのアップグレードのために、データセンターは30分間数回使用できませんでしたが、勤務時間中はそうではありませんでした。
また、オランダのDCに対する攻撃が発生した場合は、就業時間中に約1時間すべてが「遅れ」ます。
理論的には、暗号化されたFSを追加し、異なる大陸にサーバーを分散することは可能ですが、私たちの場合、これには意味がありません。
この情報がおもしろかったと思います。 誰かに役立つとうれしいです。
この構成を繰り返すことにした場合は、遠慮なく質問してください。私は喜んでアドバイスを提供し、明白でない詳細を開示します。