みなさんこんにちは！



記事「 予算編成組織でのenekeyschik /システム管理者としての経験 」を書いてからちょうど1年後、私の副議長が書いてから2.5年後。 「 ITインフラストラクチャの蘇生 」部門の部長とともにこの話を続けていきたいと思います。







私はフレーズに出くわしたコメントの一つで覚えています：

したがって、私はまだこのゴミ捨て場の両方のhabrausersに彼らのスピリットを詰めてそれらを捨てることを勧めます-あなたは2年後でもこの沼地で何もかき集めません、そして12,000のゴミに苦しんで座っていることは時間を殺す非常にばかげた方法です。

しかし、奇妙なことに、私たちがしたことから、それでも何かが起こったので、私たちがどこまで行ったかを伝えたいと思います：

• 自動アカウントおよび組織単位（OU）管理を備えたActive Directoryドメインサービスドメインを作成しました。
• 実装されたOffice 365
• Spacewalk展開（* nixオペレーティングシステムを管理するためのソフトウェア）;
• HA MySQL Serverマスターマスター（アクティブ-パッシブ）を作成しました;
• Ajentiホスティングパネルが展開されました。
• 会社のWebリソースへのSSLアクセスが構成されています。
• VMware vCenterを4.0から5.1U3に移行しました。
• ESET NOD32 Business Editionバージョンを実装しました。 5;
• CDAを使用したITU Cisco ASA 5525-X NGFWに基づいて、ネットワークに許可を実装しました。
• サーバールームの空調に関する問題を解決しました。

過去1年間、私の新しい同僚（ 攻撃 -彼は読み取り専用アカウントを持っているので、記事を一緒に書いています）は、前回の記事で議論され、コンピテンシーの領域を限定し、ITインフラストラクチャを適切な外観にするようになりました。 彼は、自動化スクリプト（PowerShellを含む）の作成、同期のセットアップ、nixサーバーとそれらに接続されたすべてのサーバーの展開とサポートに従事しています。 Microsoft Windows、MS SQL、Office 365製品、仮想化、データネットワーク（イーサネット、SAN）を扱っています。

会社のITインフラストラクチャの簡単な説明

アクティブシスコネットワーキング：

• コア：Catalyst 6509;
• アクセス：Catalyst 35XX;
• WLAN-コントローラー：4404および50 AP。

すべての切り替えの前に、1G光ファイバーケーブルがあります。これは、せいぜいラック内の各スイッチに接続されます。最悪の場合は、ラック内のスイッチの半分に接続されます（残りのスイッチはカスケード接続されます）。



サーバーインフラストラクチャ：

• 11個のSun Fire X4170M2サーバーを備えた2つの42UラックとESXiクラスターの組み合わせ。
• Hitachi AMS 2100ストレージ
• 2台のインラインAPC InRowエアコン（冗長性なし）。リモートユニットは、暑い日に庭の噴霧器からの水を流して冷却されます。

AD DSおよびOffice 365（Azure）

実装時の主な目的は、電子メールサービスのライフサイクルの自動化でした。 これらの目的のために、企業で既に部分的に展開されているOffice 365ソフトウェア製品を使用しました従業員は、企業メールを使用し始め、非常に頻繁に（特に企業メールシステムの注文に署名した後）。



1Cニックネームとともに、ADでのアカウントの自動作成をセットアップします。 このプロセスを次のように編成しました。

1. 1Cサーバーは、従業員と組織（OU）の構造に関するデータを特定の構造を持つファイルにアップロードします。
2. PowerShellスクリプトはデータを取得し、パッチファイル（ADの現在の状態と1Cからのアンロードの違い）を形成します。 このパッチの概要は、関係者に送信されます（一部の上級職に影響するアクションには、手動による確認が必要です）。 その後、夜間にパッチが適用されます。新しいOUが作成および更新されます。 アカウントは（もちろん部門ごとに）追加、更新、アクティブ化、非アクティブ化されます。 このアプローチにより、偶然（1Cのエラーなど）ですべてのアカウントが非アクティブ化されないこと（パッチの変更数の個別チェック）または上級管理職とシステム管理者のアカウントが無効になりません。
3. ローカルアカウントを確立した後、DirSyncはローカルADとクラウドAzure AD（AAD）を同期します（通常、30分ごとに同期されます）。
4. 次に、スクリプトはグループの所属に応じてクラウドAADでライセンスを設定し、アカウント設定を構成します。
5. ここで、ユーザーは自分のアカウントからパスワードを取得する必要があります。 パスワードの発行を自動化するために、特別なPowerShellスクリプトが作成され、ADのメニュー項目「新しいパスワードの印刷」が追加されました。 クリックすると、ユーザーのパスワードと、このユーザーの「デフォルト」プリンターで情報サービスを使用するための指示が自動的に印刷されます（下図）。 印刷後、すべてのファイルが削除されます。

現在、ドメインにPCを入力するプロセスは進行中です。 現在、ドメインにはOC Windows 8.1を実行している150台以上のPCがあります。 将来的には、会社のすべてのPCにWindows 10を展開する予定です。PCに名前を付けるには、PCに貼り付けてドメインに登録するコンピューターのテンプレート識別子（COMP-00045など）が付いたステッカーを使用します。

OS * nixおよびSpacewalk

zoo * nixサーバーが存在するため、一部は既にサポートが終了しています（Ubuntu 10.04など）。他のサーバーはmake installを使用してパッケージを構築するなど、単純に台無しになります。新しい* nixサーバー。 CentOSディストリビューションは、多数の構造化されたマニュアル、サポート期間、およびかなり保守的なポリシーがあるため、私たちの目的に最適であると判断しました。 Spacewalkを使用してこれらのサーバーを管理することが決定されました。 Spacewalkは、プロキシリポジトリサポート（Windows上のWSUSなど）をサポートし、構成ファイル、インストール済みパッケージ、および接続されたサーバーでコマンドを実行する機能をサポートするオペレーティングシステム用の* nix管理システムです。



その結果、テンプレートをVMware vSphereで作成し、スクリプトを使用してドメインにサーバーを入力し（DNSおよび承認用）、ネットワークとユーザーを構成しました。 したがって、新しいシステムの展開は次のように要約されました。

1. VMware vSphereのテンプレートから仮想マシンを作成する
2. この仮想マシンに接続し、システムIP（静的またはDHCP）およびその他のパラメーター（ホスト名を含む）を割り当てるスキャンスクリプト（bash）を実行し、サーバーをADドメインに入力し、サーバーをSpacewalkに接続します。必要なパッケージをすぐにインストールし、構成ファイルを展開します。

したがって、ドメインアクセスポリシー（ドメインアカウントへのログイン）、Errata自動更新、設定されたZabbixモニタリング、集中管理されたリポジトリおよび構成ファイル（Spacewalk）を備えた新しい* nixサーバーを取得します。



ディストリビューションが統合されたことにより、サーバー管理が大幅に簡素化されました（同一のコマンド、構成ファイルの場所、単一のリポジトリーおよびパッケージ）。 また、Spacewalk OSの集中制御システムのおかげで、構成ファイルは失われません（また、変数置換によりすべてのサーバーの構成ファイルを一度に更新できます）。更新が必要なサーバーを常に確認でき、重要な更新が自動的にインストールされます。



現在、アプリケーション（主にWebアプリケーション）を新しいサーバーに転送し、新しいサービスを展開する作業が進行中です。

HA MySQL DB

ほとんどすべてのアプリケーションの継続的な運用には、データベースの中断のない運用が必要です。 また、会社の既存のアプリケーションのほとんどはMySQLを使用しているため、MySQLサーバーがデプロイされました（MariaDBではなく、デプロイメント時に開発者から通知された何らかのエラーがあったためです）。



データベースの継続性は、アクティブ-パッシブ戦略（負荷分散はまだ関係ありません）、つまり 1つのサーバーが常にメイン（アクティブ）ですが、クラッシュした場合（またはMySQLサーバーがクラッシュした場合）、すべての要求はパッシブサーバーに送られます。 アクティブサーバーを上げると、すべての要求が再びそのサーバーに送られます。



このフェイルオーバーは、keepalivedデーモンが提供する仮想IP（VIP）を使用して実現されます。 このテクノロジーを使用すると、（プロキシサーバーとは異なり）IPによるスキームへのアクセスを制限でき、余分なホップが作成されないため、余分な遅延が発生しません。



私の意見では、メインデータベースの設定のうち、LDAP認証設定のみが残っています。 もちろん、SSLを構成できますが、これは証明機関（CA）の展開後です。

vCenterおよびバックアップ

また、過去1年間で、100台を超える稼働中の仮想マシンを備えたVMware vSphereクラスターを移行し、HA、DRS、SDRS、およびDPM機能を構成することができました。また、VMware Toolsソフトウェアがすべてのゲストオペレーティングシステムにインストールされたため、仮想インフラストラクチャを最大限に活用できました。



後で、現在トライアルモードで展開されているVeeam Backup and Replicationツールを使用してバックアップシステムが構成されましたが、仮想ラボでの自動バックアップ検証やWindowsアプリケーションのVSSサービスなどの機能は既に構成されています。 VMコピーのバックアップの実践が示しているように、問題なく起動します（pah、pah）。



したがって、クラスター内の仮想マシンの割合は次のようになります。 年末までに、Windows Server 2003を完全に廃止し、古いDebianとUbuntuをCentOS 7に置き換える予定です。

ワークステーションとWindowsサーバーの保護

ワークステーションを保護するために、ESETアンチウイルスを使用しています。 数年間の運用で、それは非常によく証明されており、最も重要なことは、ドメイン外のコンピューターでの優れた集中管理のために持っていることです。 バージョン5を展開したのは、約400台のコンピューターがエージェントをインストールせずにERA管理サーバーにアクセスするため（バージョン6で必要）、それらをインストールするために、ESETエージェントをインストールするためのドメインが必要であるためです。

空調サーバーの問題をどのように解決したか

サーバールームには、最小限のコストでコールドとホットの廊下を作成しました。ラックはモノリシックポリカーボネートで覆われ、ガイドの助けを借りてドアが廊下に入るよ​​うになりました。



その結果、サーバールームの温度は寒いときに18度、暑いときに23度に低下し、エアコンの負荷が40％減少しました。

グローバルネットワークへのアクセス許可の作成

インターネットアクセスを制限するために、Cisco ASA 5525-XおよびCDAサーバーに基づいたネットワーク認証システムを展開しています。 しかし、これはすべて進行中です。 もちろん、ネットワーク上のすべてのデバイスに対してIEEE 802.1Xを使用してこれを実行したいと考えていますが、最終的にどのようになるかはわかりません。

まとめると

奇妙なことに、今年は私の友人と私は大学を卒業すると同時に、かなり多くの大規模で興味深いプロジェクトを実施することができました。 現在、ネットワークやドメインなどを使用するための規則や命令を作成するだけでなく、さまざまなことを組み合わせるプロセスがあります。



その後、HelpDesk組織のソリューションを選択して実装し、System Center Configuration Manager、Operations Manager、および場合によってはService Managerラインから一部の製品を展開します。 その後、サーバー、スイッチなどをアップグレードし、給与を上げるためのお金の不足を伴うIT部門への大規模な金融投資の不足を除いて、ほとんどすべての問題が解決されますが、これはまったく別の話です...



興味のある方は、既に特定の技術的詳細が記載されている上記のソフトウェア製品の実装経験を詳細に説明できます。