Home » Разное » Построение ИТ инфраструктуры небольшого офиса

Построение ИТ инфраструктуры небольшого офиса

В данной публикации я сделаю большую подборку статей с моего сайта, касающуюся настройки своей инфраструктуры в небольшом офисе. Это не будет набором лучших практик, скорее просто навигационная статья, объединяющая все, что у меня есть по этой теме, с моими комментариями и рекомендациями. Я постараюсь передать свой опыт по построению небольших, готовых к эксплуатации, инфраструктур.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке. Есть бесплатные курсы.

Введение

Как я уже сказал ранее, статья будет в основном навигационная, чтобы было проще ориентироваться тем, кто будет искать материалы на эту тему. Написать я ее решил после того, как меня несколько раз попросили помочь с темой планирования и разворачивания различных сервисов в небольшой компании. Это будет актуально для начинающих сисадминов, которые захотят изучить операционную систему Linux и попробовать ее в реальной эксплуатации, так как почти все статьи будут с ее использованием.

Некоторые статьи очень старые, так как писались в стародавние времена, когда я сам занимался поддержкой офисов. Сейчас я ушел от этой деятельности, но, как мне кажется, неплохо понимаю специфику и подходы к ИТ в малом и среднем бизнесе. По крайней мере какой-то серьезной критики и замечаний к тому, что я делал, не получал. В общем и целом все настроенное было адекватно и функционально в плане решения поставленных задач.

И еще раз важное замечание. Не надо принимать мои статьи и рекомендации за истину в последней инстанции. Я просто делюсь своим опытом, таким, какой он есть. К тому же, я обычный человек и могу заблуждаться, делать что-то неправильно и советовать ерунду. Если вы видите это, то обязательно пишите об этом в комментариях. Не претендую на лавры крупного специалиста и всезнайки. У меня просто большой практический опыт и им имеет смысл делиться, даже если он не совсем правильный во всем.

Шлюз для небольшого офиса

На базе стандартной ОС

Начнем с основного - доступа в интернет. Для этого нам нужен шлюз. Его выбор будет сильно зависеть от конкретных требований к функционалу и быстродействию. Лично я предпочитаю софтовые шлюзы на базе популярных операционных систем:

Сам я начинал с freebsd, но сейчас, очевидно, это не самый лучший выбор, так как freebsd растеряла всю свою популярность и мало где используется. А выбор между debian и centos - это выбор между вашими предпочтениями. Принципиальной разницы в эксплуатации не будет. Единственный совет - стройте всю инфраструктуру, по возможности, на базе одной операционной системы.

Поясню, почему лично мне такой вариант нравится больше всего. Во-первых, унификация. Как я уже сказал, удобно все делать на базе одной системы. Во-вторых, гибкость настроек. Вы можете реализовать практически все, что пожелаете. К примеру, настроить openvpn сервер. При этом, вы можете насоздавать любое количество тоннелей с различными параметрами. Например, кого-то посадить на стандартный udp порт, кого-то на tcp. На каких-то тоннелях включить сжатие, где-то убрать и т.д. Это очень удобно. Сюда же можно будет добавить l2tp или что-то еще.

Если нужен прокси сервер - не вопрос. Можно поставить на эту же машину, либо отдельную. Конечный функционал будет зависеть только от ваших познаний в Linux. Еще пример на эту тему - блокировка доступа по странам. Со своим программным шлюзом подобные вещи не представляют особой сложности и быстро настраиваются. В-третьих, шлюзы на linux, скорее всего, будут на базе какого-то типового x86_64 железа или виртуальной машины, что позволяет обеспечить огромное быстродействие и возможность наращивания производительности.

На базе готовой программной сборки

Отдельно стоит рассмотреть программный шлюз на базе преднастроенной сборки. Под капотом там скорее всего будет тот же linux или freebsd, но все управление осуществляется через web интерфейс. Пример такого шлюза я разбирал в статье - шлюз на базе clearos. Мне довелось плотно с ним поработать в одной организации, поэтому и появилась статья. Я не могу сказать, что однозначно его рекомендую. Плюс там только в том, что он на базе Centos. В данном сегменте, на мой взгляд, лидер - pfsense. Сам я никогда не разворачивал подобные сборки, если обслуживал инфраструктуру сам, они мне доставались по наследству.

Плюс такого подхода в том, что не нужны специальные знания Linux, чтобы управлять шлюзом. Вся настройка осуществляется через web интерфейс. Соответственно, высоких требований к специалисту, обслуживающему такой шлюз, тоже нет. Вы можете передать такое хозяйство на обслуживание практически кому угодно.

На базе готового аппаратного решения

Здесь речь идет о популярных роутерах на базе Zyxel, D-link, Mikrotik и т.д. На мой взгляд однозначный лидер в этом сегменте по соотношению цена/качество/функционал - Микротик. Не хочется подробно останавливаться на этом моменте, потому что он дискуссионный.

Если у вас типовые требования к функционалу шлюза то я однозначно рекомендую ставить Mikrotik, а не программный роутер. Микротик сэкономит вам кучу времени, так как в готовом виде предлагает функционал, удовлетворяющий процентов на 90-95 потребности типового офиса. По нему много материалов в сети, есть вендорские курсы и сертификация.

Вы без проблем найдете решение вашей задачи либо в интернете, либо где-то в профильных чатах телеграмма. Умение настраивать микротики вам скорее всего пригодится в будущем, так как в вакансиях малого и среднего бизнеса чаще всего встречается желание видеть в соискателе умение настраивать оборудование именно этого вендора.

Выбор сервера для офиса

В этом разделе я рассмотрю вопрос покупки серверов для офиса. Выбор тут обычно состоит из вариантов приобретения:

  1. Серверного брендового железа.
  2. Серверного железа noname.
  3. Десктопного железа.

Мне знакома одна компания, которая много лет все свои сервисы размещала на десктопном железе. Люди искренне не понимали, зачем платить больше, если и так все работает. При этом у них реально ничего не ломалось. Не сразу, но мне все же удалось убедить перейти на брендовые сервера (HPE).

Переплачивать или нет за бренд - решать руководству. Ваша задача доходчиво разъяснить, в чем разница. У меня есть отдельная статья на этот счет - зачем нужен брендовый сервер. Лично я всегда настаиваю на покупке хорошего сервера, пусть и б.у. если нет возможности купить новый. Сервер обязательно должен быть с двумя блоками питания, с рейд контроллером для возможности горячей замены дисков, с bmc. Все остальное по потребностям в производительности.

Добавлю еще один важный момент. Если будете использовать объемные HDD диски (2+Tb), не собирайте raid5. В случае замены диска, массив очень долго перестраивается и есть большая вероятность сбоя второго диска. В этом случае вы теряете все данные. Я в основном использую raid1 или raid10, в том числе и для ssd. Для бэкапов, если на сервере 5 и более дисков, делаю raid6.

Выбор гипервизора

Дальше идет очень спорная тема - какой выбрать гипервизор. Я всегда, в обязательном порядке, все настраиваю в виртуальных машинах. На железо ставится только гипервизор и больше ничего. Это позволяет полностью отвязаться от железа. Гипервизоров, к слову, обязательно должно быть два. Не важно, какое там будет железо, главное, у вас всегда должна быть возможность оперативно развернуть все сервисы на подменном железе, в случае выхода из строя основного.

Если нет возможности приобрести идентичное оборудование в резерв, подберите что-то, что позволит запустить на время ремонта основного сервера только критичные виртуалки. Проработайте этот момент, все настройте, а лучше автоматизируйте разворачивание бэкапов виртуальных машин на запасное железо.

Теперь, собственно, о гипервизорах. Я рассматриваю только бесплатные варианты, так как чаще всего потребности малого и среднего бизнеса могут быть удовлетворены бесплатными гипервизорами. Выбор состоит из следующих вариантов:

  1. VMWare Esxi. Нормальный вариант от лидера отрасли. Одно время там были неприятные ограничения в бесплатной версии, но сейчас вроде бы нет этих проблем. Существенным минусом vmware я считаю невозможность установить ее на софтовый рейд. Если у вас нет железного рейд контроллера, то esxi вам не подойдет.
  2. Hyper-V. Если не ошибаюсь, он второй по популярности и доли рынка гипервизоров. Вариант нормальный, встает на фейк рейды (не рекомендую на них ставить) и даже позволяет их мониторить. Я использую Hyper-V там, где предполагается эксплуатация виртуальных машин на базе Windows. Статья по настройке актуальной версии - Установка и настройка Windows Hyper-V Server 2019. Существенный минус Hyper-V - не умеет пробрасывать usb в виртуальные машины. Если у вас usb токен, например, от лицензии 1С, это может стать проблемой. Ну а плюс это то, что под капотом привычный Windows Server.
  3. KVM в составе ProxMox. Если посмотреть статистику по использованию гипервизора kvm, то окажется, что она ничтожно мала. Почему так, я не очень понимаю, ведь kvm использует огромное число хостеров для построения своей инфраструктуры. Она же в основе продукта Red Hat - RHEV. В общем случае я предпочитаю использовать proxmox. Он без проблем устанавливается на софтовый рейд mdadm. Его легко и быстро установить и настроить (по сравнению с hyper-v). У него удобный интерфейс управления через браузер. Из коробки присутствует инструмент для бэкапов, правда поддерживает только полные бэкапы виртуальных машин. Тем не менее, в других гипервизорах этот вопрос придется решать отдельно. Proxmox умеет пробрасывать usb в виртуальные машины. Из минусов kvm - нет удобного софта для горячих инкрементных бэкапов. Я колхозил скрипт для этого - Live (горячий) бэкап виртуальных машин KVM, но сам не использую. Решение рабочее, но бывает сбоит и приводит к проблемам, если не уследить. Нужно аккуратно пользоваться и обрабатывать различные нестандартные ситуации.
  4. XenServer. Раньше я активно использовал этот гипервизор. Нравилось то, что так же вставал на mdadm, под капотом centos, плюс удобная панель управления в виде приложения на Windows. Минус бесплатной версии xenserver, который доставал - за многими настройками приходилось лазить в консоль и писать километровые команды. Например, чтобы добавить виртуальную машину в автозагрузку. XenServer тоже позволяет пробрасывать usb виртуалкам. На тот момент, когда я им пользовался, была бесплатная утилита по бэкапу, поддерживающая дедупликацию и инкрементные live бэкапы. Потом ее сделали полностью платной. И одновременно с этим, 7-я версия XenServer перестала устанавливаться на mdadm. В итоге все его плюсы превратились в тыкву и я перестал его использовать.

Установка и настройка Windows Hyper-V Server 2019Вкратце все расписал, что знал, по гипервизорам. Какой из них использовать - решать вам. Я остановился на proxmox и hyper-v. Как уже сказал ранее, важно ничего не ставить на сам гипервизор, чтобы не привязываться к железу и без проблем переезжать на другой гипервизор.

Почтовый сервер

По почтовому серверу у меня есть отдельная подробная статья с огромным количеством комментариев - выбор почтового сервера. Если решите использовать свой, то выбор, в основном будет стоять между самосбором на основе необходимых компонентов (postfix+dovecot), либо какого-то готового варианта, типа Zimbra или Iredmail. Платный вариант с Exchange я не рассматриваю. Если инфраструктура на Windows и есть деньги на Exchange, то имеет смысл использовать его.

В первом случае вы настроите только то, что вам реально нужно. Это снижает требование к железу, повышает надежность, упрощает дебаг, так как система более простая получается. Но и настроить все это не просто. Почтовый сервер требует некоторого опыта в linux и совсем новичкам дается не просто. Но зато вы получаете гибкость (перенос почтового сервера, защита почтового сервера) и возможность настроить некоторые нестандартные вещи (автозамена темы письма, запрет писем с поддельным полем from, очистка почтовой базы).

Готовая сборка в этом плане проще, так как быстрее ставится и имеет готовый интерфейс для управления. Но в замен вы теряете в гибкости. Плюс, вам будет трудно решать проблемы, если до этого с почтовыми серверами не работали. К примеру, мне сейчас все равно, что использовать, хоть Zimbra, хоть Iredmail. Я и логи знаю где смотреть, и в базу могу залезть что-то глянуть, и бэкапы скриптами наколхозить если что. Иначе за них придется платить отдельные деньги.

В общем, по почтовому серверу резюме такое - если есть желание разбираться в этой теме, настраивайте сервер сами. Если просто нужна нормальная почта, а почтовыми серверами заниматься нет большого желания, ставьте Zimbra или что-то подобное.

Файловый сервер для офиса

С файловыми серверами все просто. Если инфраструктура на Windows с AD и есть возможность поднять файловый сервер на Windows, поступите именно так. Это простой, удобный и надежный вариант. Из разряда настроил и забыл. Альтернатива - Samba, с AD или без.

В целом, интеграция Samba + AD работает. Но есть нюансы. Я за всю свою карьеру сталкивался с различными проблемами работы самбы. То права доступа к файлам слетают, то авторизация не работает, то еще какие-то проблемы. Все решаемо, но доставляет лишние хлопоты. У самбы ужасные логи, трудно дебажить. Если проблемы с авторизацией и вводом в домен, приходится практически вслепую исправлять ошибки, так как в логи неинформативны. При бэкапах и переносе сервера будет отдельно стоять вопрос сохранения прав доступа.

Если у вас нет AD, то никаких проблем не будет. Настраиваете Самбу, логирование доступа, корзину. Корзина для удаленных файлов особенно нравится. Если не ошибаюсь, для винды ее до сих пор не завезли.

Выбор сервера телефонии

С выбором решения по VOIP для офиса вопросов много. Я не знаю, что тут однозначно посоветовать, так как мой опыт очень узок. Выбирать придется из следующего:

  1. Ванильный Asterisk. Я всегда использовал его. Как обычно, основное преимущество - гибкость настроек, выбор подходящей операционной системы. Минус - сложно настраивать. Если не знакомы с астериском, просто так взять и въехать в тот же dialplan сходу не получится. У меня есть отличная статья по этой теме для новичков - настройка asterisk. Освоите голый астериск, все остальное будет значительно проще.
  2. Freepbx. Это готовая панель управления на базе asterisk. Все управление происходит через веб интерфейс. В консоль сервера лазить не надо. Плюс тут очевиден - проще разобраться и быстрее настроить. Минус тоже закономерен - вы ограничены в функционале тем, что заложили в него разработчики панели. В целом, это нормальное решение, много где его видел, каких-то явных проблем не знаю.
  3. Платное софтовое решение. Мне более ли менее известно 3cx. Сам его не настраивал, но видел компанию, где оно использовалось. Ничего конкретного сказать не могу, так как нет собственного опыта эксплуатации. Плохих отзывов не слышал. В целом, хорошее коробочное решение, которое можно установить на свое железо (это важно), в случае необходимости перенести.
  4. Готовое аппаратное решение. Вы покупаете железку с готовым интерфейсом управления. Это может быть браузер, либо какая-то вендорская программа. Тут я тоже ничего не могу сказать конкретного, так как сам не эксплуатировал. У всех известных вендоров по телефонии есть решения на базе VOIP. Я немного сталкивался с телефонными станциями Siemens и Panasonic с платами расширения для VOIP. Мне не нравятся эти решения, так как привязаны к железу. Если обычную виртуалку с asterisk можно забэкапить и развернуть где угодно, то что делать с телефонной станцией в случае ее поломки?
  5. Виртуальная АТС как услуга. Вы покупаете у облачного провайдера готовую услугу. Управляете ей через браузер. Свой сервер не нужен. Абонентские устройства сразу подключаются к облаку через интернет. Решение сейчас популярное и удобное, так как не требует начальных затрат и особой настройки. Покупается услуга, быстро настраивается и можно сразу пользоваться. Очевидных минусов тут два. Первое, вы регулярно платите абонентку за услугу, в то время как свой сервер условно бесплатен, если у вас им занимается сисадмин на полной ставке. Второе, без интернета у вас нет связи между сотрудниками офиса. Да и в целом, все локальное общение идет через интернет и зависит от него, что явно не удобно. Этот вариант однозначно подходит тем, у кого нет штатного сисадмина с подходящими компетенциями. Для всех остальных надо думать и взвешивать все варианты.

Вот такой расклад по выбору телефонии для офиса. Как я уже сказал, сам предпочитал всегда Asterisk, но явный минус такого решения - мало кто знает его хорошо. Если подбирается сисадмин общего назначения для обслуживания офиса, не так много из них будут хорошо разбираться в астериске, даже если укажут его в резюме.

Выбор self-hosted чата

С выбором своего чата все еще сложнее, чем с телефонией. Лично мне не подошло ни одно из решений, которое можно установить на свой собственный сервер. Правда было это давно. Где-то пару лет назад проходили мои тесты в этой области. Пробовал следующие чат-серверы:

В этом списке не хватает еще одного бесплатного чата, который мне часто советовали попробовать - Rocket.Chat. Когда я его смотрел, он был похож на Mattermost, но это было очень давно. Скорее всего они уже разошлись в разные стороны. В настоящее время у меня есть желание еще раз проработать этот вопрос. Попробовать все популярные чаты и что-то выбрать для использования.

Основная проблема со своим чат сервером в том, что ожидаешь функционала, к которому привык в популярных мессенджерах - Telegram, WhatsApp, Slack и т.д. Но по факту они намного хуже и нужно идти на какие-то компромиссы, а не хочется. Так что в настоящий момент я не могу посоветовать какой-то конкретный чат. Из списка тех, что я пробовал, лично мне больше всего понравился MyChat, хотя он платный, но стоимость не высокая. Основной его плюс для меня - легковесный нативный клиент.

Система мониторинга

Zabbix 5.0С выбором системы мониторинга для своей инфраструктуры меньше всего вопросов и сомнений. Тут я однозначно рекомендую Zabbix. У меня очень много статей по этой теме. Если вы новичок, то начать стоит с подробной статьи по установке и начальной настройке. Далее можно добавить уведомления в Telegram.

Может возникнуть закономерный вопрос. А почему именно Zabbix в качестве системы мониторинга? Ведь сейчас очень популярен прометеус. Сравнение Zabbix vs Prometheus я сделал в отдельной статье. Все подробности там. Есть еще Nagios и Icinga. В целом, я знаком с ними, но как по мне, функционал сильно хуже по сравнению с Zabbix. Не вижу причин их использовать. Хотя недавно общался с человеком, который обслуживает мониторинг nagios на тысячи хостов. Для меня это было откровением, так как не думал, что ее используют в масштабных системах. Считал, что это больше для небольшой инфраструктуры, где не принципиально, что использовать.

Сбор и хранение логов

Для начала расскажу, зачем вообще хранить логи. В целом, в небольшой организации можно обойтись без централизованного хранения логов. Можно вручную проверять каждый лог по мере необходимости. Тем не менее, я обычно настраиваю единое хранилище. Из того, что регулярно будет требовать внимания - логи почтового сервера, в частности postfix и dovecot, логи asterisk и samba. Вам будет значительно проще находить нужную информацию из единой точки входа.

В самом простом варианте вы можете собрать все необходимые логи в текстовые файлы с помощью syslog-ng и просматривать их через webmin. Почему именно webmin? Мне лично нравится там просмотрщик текстовых логов. Удобно работает выборка и поиск. Именно такое решение я часто применял. Требует минимальных ресурсов на работу, плюс настраивается все очень просто и быстро.

Если вам нужно удобное хранилище логов с хорошим поиском, визуализацией, редактированием на лету и т.д., то конечно лучше использовать для этого ELK Stack. У меня много статей на тему сбора и визуализации информации из логов разных сервисов и устройств. Все это хранится в отдельном разделе. Выбирайте, что вам нужно и настраивайте. Но даже если вы просто соберете все логи в elasticsearch, без визуализации и настройки, это все равно значительно облегчит вам управление инфраструктуры. А если нужно проводить какой-то анализ происшествий, событий безопасности или сбоев, то без него вообще не обойтись.

Пример подбора серверов для офиса

Сейчас я на конкретном примере небольшого офиса на 50 человек разберу приобретение серверов и распределение виртуальных машин на них с установкой необходимых сервисов. Сразу предупреждаю, что это максимально комфортный вариант по железу, лицензиям, распределению виртуальных машин.

Подбор серверов для офиса

Скачать таблицу.

При таком раскладе и один сервер сможет потянуть всю нагрузку, в случае аварии с другим. Если вам нужно сэкономить на лицензиях Windows Server, то понятно, что надо будет все компоновать поплотнее. В самом экономном варианте, на каждом гипервизоре будет по одному Windows Server. Само железо может быть очень бюджетным, если будет приобретаться б.у. Каждый сервер можно уложить в бюджет ~2,500$ или 150 000 р.

Советую не экономить на памяти. Она стоит не дорого, но очень упрощает жизнь. Чем больше, тем лучше. В общем случае, можно обойтись и без SSD. 1С, конечно, будет неспешно работать, но в целом жить можно. Так же не советую покупать дорогие процессоры. Зачастую они остаются недонагруженными, так что можно что-то попроще брать.

Сервер бэкапов можно собрать на любом, в том числе десктопном, железе. На нем не будет ни нагрузки, ни жесткого требования к максимальному аптайму. Чаще всего он будет работать по ночам и забирать информацию с серверов. Но если есть возможность, лучше все же какой-то простенький сервер, чтобы было удаленное управление через ipmi. Как правильно делать бэкапы я подробно рассказал, а так же объяснил отдельно, почему надо так же дублировать бэкапы куда-то вовне, если вы арендуете размещение своих серверов у какого-то хостера.

Заключение

Материал получился очень большим. Планировал сделать небольшую заметку, в итоге наполнял статью несколько дней. Собрал в ней все, что вспомнил из своего опыта и то, что описывал на сайте. Надеюсь, вам пригодится эта информация. Замечания, критику, пожелания жду в комментариях. Материал получился спорным, как ни крути.

И еще важное дополнение. Все описанное железо не обязательно размещать у себя. Его можно либо полностью арендовать, либо приобрести самостоятельно и разместить в ЦОД. Только выбирайте хостера правильно.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте . Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:
  • Знания, ориентированные на практику;
  • Реальные ситуации и задачи;
  • Лучшее из международных программ.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Автор Zerox

Zerox
Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

31 комментарий

  1. Аватар
    Андрей

    Из опыта могу сказать, что pfSense работает сверхнадежно, как OpenVPN, так и IPsec, аптаймы годовые - норма, ничего не рвется. pfSesne выбрали из-за возможности дополнительно поставить Haproxy и удобно админить. Я не считаю, что pfSense нужен для админов с низкой квалификацией, как раз-таки в нем многое автоматизировано и избавляет от необходимости сидеть в CLI, логи тоже удобно смотреть и фильтровать. А еще крутая фишка - автоматическое резервное копирование по каждому изменению настроек в облако с доступом по ключу. Используем pfSense как пограничный роутер для Proxmox с доступом в инфраструктуру через VPN.

    • Zerox

      Годовые аптаймы как раз не норма. Надо же обновления ставить и перезагружаться :) А вот тут с готовыми сборками обычно могут быть проблемы. Чистую систему с софтом из стабильных репозиториев я с большей уверенностью обновляю, нежели какую-то сборку. Шанс что что-то пойдет не так намного выше.

  2. Аватар

    Самый большой минус Free ESXi - нет возможности использовать любой софт для РК т.к. в нем нет АРI

  3. Аватар
    Максим Косолапов

    Из решений по телефонии и веб интерфейсом использовали сначала бесплатный elastix, но потом когда его купила 3cx и сделала платным, то нашли проект Issabel, это продолжение развития бесплатного elastix на современном asterisk и его плюшках и без проблем мигрировали туда, сейчас продолжаем пользоваться Issabel и вполне можно рассматривать этот проект как хорошо зарекомендовавшее себя бесплатное решение.

  4. Аватар
    Евгений

    Очень здорово, статья хорошо систематизирует накопленный опыт, спасибо, Владимир!

  5. Аватар
    Аноним

    спасибо

  6. Аватар

    Хорошая статья, очень интересно. Что касается чата - использовали simple chat (schat.me) Проект к сожалению уже заброшенный. Но свои задачи решает успешно.

  7. Аватар
    Сергей

    Владимир, а на серверах под разные дисковые массивы (раид10 на hdd и раид1 на ssd) - не требуется ли раздельные контроллеры?

    • Zerox

      Нет, можно в рамках одного все настроить.

      • Аватар
        Сергей

        Технически - да, можно.
        Но, с точки зрения производительности, я сталкивался с версией, что под каждый массив, по феншую - отдельный контроллер.
        В нагрузках типа 10-20 пользователей - скорей всего приемлемо все в одну кучу.
        А вот если 50+ ?

        • Zerox

          У меня нет информации о снижении производительности рейд контроллера при использовании разных массивов. Не слышал ничего подобного.

  8. Аватар

    По-поводу чата использую сервер OpenFire + клиент Spark, минимальный функционал обеспечен.
    По-поводу почты, всё таки для малого бизнеса проще использовать ту же Yandex почту, т.к. сейчас бизнес становится более белым и переживать что ваше письмо кто-то прочитает уже не актуально. А по бекапу почты, можно найти средства и выполнять его если необходимо. Плюс у того же Яндекса антиспам и антивирус думаю что будет всяко лучше работать, чем самому это настраивать и сопровождать. Проблем в последнее время с доставкой писем с той же Yandex почты не наблюдается. ИМХО Yandex почта оптимальный вариант.
    По-поводу использования брендованных аппаратных решений, опять же для малого бизнеса (10-50 ПК), считаю не целесообразной тратой денежных ресурсов заказчика. Сейчас даже десктопные решения надежны и не вызывают проблем. А тот же блок питания можно купить из наличия в магазине и устранить проблему в течении часа. На своем опыте скажу, что такие решения работают в разных организациях более 5-8 лет и проблем не наблюдается. В основном беру матери Supermicro c IPMI на десктопном процессоре, при этом проц. выбираю с более высокой тактовой частотой, т.к. частота - это приоритет номер один для работы в 1С. Если же брать подобную конфигурацию на XEON-ах это будет в 2-3 раза дороже, да и частоты у XEON-ов ниже. SSD на M.2 или SATA SSD + Proxmod + mdadm + HDD для файлообменника и бэкапов.

    • Zerox

      Конечно можно использовать десктопное железо. А вот надо ли на этом экономить, вопрос спорный. Если взять те же 50 человек со средней зарплатой в 50 000р., то один только ФОТ в месяц будет 2 500 000р. Стоит ли здесь экономить 300-400 тысяч на железо, которое нужно будет купить один раз в 5 лет, решать, конечно же, руководству. По моим наблюдениям, более ли менее адекватные руководители на этом не экономят. А экономят чаще всего не очень эффективные бизнесы, которые реально и без серверов вообще проживут. На компе бухгалтера расшарят базы и будут работать, пока их шифровальщик не зашифрует. А потом отдадут 100 т.р. за расшифровку (сталкивался с этим), деньги на это сразу найдутся. В то время как на сервер с бэкапами не хватало.

      • Аватар

        Все таки это вопрос целесообразности. Если вы понимаете что простой 1-2 часа погоды не сделает, а в малых бизнесах это практически так, то десктопное железо целесообразно.
        Возьмите организацию поменьше где 10-20 человек и зарплата не такая как в Москве, затраты на бренд могут оказаться большими для организации и как итог вы можете потерять клиента из-за более высокой цены вашего предложения.

        • Zerox

          Но я все же рассмотрел пример с 50 человек, а не 10-20. При 10-20 свой сервер может быть вообще не нужен, кроме как для 1С, но и тут я бы рассмотрел вариант аренды, так как скорее всего свой сервер и ставить то некуда будет. Проще в том же Selectel дедик взять на десктопном железе и все там настроить. А для бэкапов внешний usb диск в офисе.

      • Аватар

        Есть организации из 3-5 ПК и сервер приобретать это всегда большой вопрос для руководителя. Поэтому задача хорошего Админа минимизировать риски потери информации. Установить SSD в RAID1 на ПК где базы 1С и настроить бэкап на NAS, плюс контроль резервного копирования. Тоже живой вариант.

      • Аватар

        Насчёт брендового сервера с RAID контроллерами вот вам живой пример: был сервер SuperMicro со сказёвыми дисками и своим контроллером. И как-то раз он "полетел" (перестал запускаться). Аппаратная проблема. Но суть не в этом (сервер был старенький относительно). А проблема в том что диски были сказёвые да ещё и в рэйде на собственном аппаратном рэйд контроллере. А как оказалось бэкапы не делались! Но админ думал что делались. В итоге кучу гемора на тему: куда воткнуть сказёвые диски, да ещё и в рэйде!!! В итоге повезло что в одной соседней смежной канторе нашёлся почти аналогичный супермикровский сервер. А был бы простой бытовой комп с простыми HDD, воткнул бы в другой комп и делов то. Да, да я понимаю бэкапы обязательно и т.д. и т.п. Но бэкапы разворачивать тоже время нужно, а надо ещё новый сервак покупать вместо сломанного. Явно у малого бизнеса не стоят запасные серваки брендовые на этот случай. Потому с современными настольными компами с их скоростями, объёмами дисков и оперативки, для малого бизнеса уж лучше они, чем брендовые серваки с их аппаратными рэйдами с 0 совместимостью с другими, оперативка сервачная, которая если выйдет из строя то быстро не найдёшь и дисками SASовскими или сказёвыми. Но это опять же моё личное мнение.
        А вот вторая история: достался супермикровский сервак не такой уж старый со своим аппаратным рэйдом. Стал ставить Proxmox PVE с файловой системой ZFS и нифига!!! Оказалось ZFS не работает через аппаратные RAID контроллеры, а режима прямой работы с дисками у конкретно этого аппаратного рэйда не было!!! Потому пришлось ZFS пустить побоку и поставить на ext4. А другой сервак был на десктопном железе, там всё путём получилось! Вот и думайте и гадайте. Брендовые серваки хороши пока они работают. А когда выходят из строя, геморой постоянный с ними. Но это опять же для малого бизнеса!

        • Zerox

          Так тут целая куча допущений. Этот случай скорее исключение. Я диски всегда заказываю SATA, как раз для того, чтобы не было проблем с совместимостью. Рейд всегда делаю 1 или 10. Так проще всего и данные потом вытащить не сложно, даже если контроллер полетит. Ну и бэкапы никто не отменял, за ними надо следить. Я все же рассмотрел вариант, как все сделать правильно, а не как подстраховаться от косяков :) Тут не знаешь, где подстелить, если халтурщик работать будет.

          За историю спасибо, показательная.

  9. Аватар

    Владимир у вас ссылка "Сравнение Zabbix vs Prometheus" не туда ведет.

  10. Аватар

    Здравствуйте, все конечно зависит от задач админа.

    если рассматривать случай, что админ в компании штатный (что мне кажется редкость в маленьких компаниях), и ему делать нечего, но при этом он деградировать (играть) не хочет, то в целом все верно и статья звучит гласно.

    если исходить из точки зрения, что надо настроить и забыть, как в случае аутсорсинга, то половину из этого можно просто вычеркнуть (self hosted чат ? что? небольшому офису вацапа не хватит?).
    шлюз - микротик, почта - на яндексе, сервер телефонии - любая известная виртуальная атс (вестколл например). на счет остального 2 варианта развития событий:
    1) компания может арендовать виртуальный сервер (у хостера должны быть бэкапы), хранить там все данные, а до офиса при надобности пробрасывается l2 vpn для smb и всякого такого.
    2) компания покупает свой сервер и его админят аутсорсеры. для небольшого офиса по мне так хватит десктопного нормального железа (i5 /i7 + intel / samsung ssd + диск для данных + диск для бэкапов).

    сбор и хранение логов ни в том ни в другом случае особо не нужны. мониторинг - в первом случае у хостера, во втором случае смысла не имеет, ибо если сервак сдыхает, то и мониторинг тоже :)
    Кстати на счет мониторинга, на небольшие инсталляции в режиме далее-далее-готово подходит PRTG. ставится и настраивается действительно без всяких apt install nginx mysql .... и посильно практически каждому админу/конторе-аутсорсеру

    • Zerox

      50 человек в watsapp это неудобно. Особенно если есть текучка. Привязано к личному номеру сотрудника. К тому же многое зависит от процессов в компании. Свой чат может очень сильно помогать. Я это наблюдал в одной компании, где очень активно использовали чат. Сначала скайп, но были проблемы, особенно после некоторых обновлений. Да и в целом управлять без единой панели управления, всеми этими чатами, учетками, доступами очень тяжело.

      То же самое с почтой. Если она активно используется, то для 50-ти человек яндекс.почта не подойдет. Трудно управлять, неудобно дебажить. Как бэкапить и восстанавливать удаленные письма??? Плюс, яндекс ничего не гарантирует и тоже хочет номер телефона сотрудника.

      Админ не обязательно будет на аутсорсе. Может быть хороший специалист на пол или треть ставки. Это оптимальный вариант. Аутсосрсеры обычно не стремятся оптимизировать процессы, так как им это не выгодно. Плюс, могут замыкать процессы на свои сервисы.

      Виртуальный сервер все вопросы не закроет. Их как минимум должно быть несколько. А еще хостер может прилечь на несколько дней, что далеко не редкость. Мониторинг не нужен ровно до того случая, как чей-то пароль от почты уходит вирусу и начинается спам. А потом твой почтовый домен, твой внешний ip попадает в кучу списков с ненадежными ip и у тебя начинаются проблемы. Это я все тоже проходил.

  11. Аватар
    Наталья

    Мне для моих пользователей очень хорошо зашел nextCloud/ownCloud для хранения. Киллерфичей было возможность парой кликом расшарить папку или файл в интернет.

  12. Аватар

    А почему корпоративная яндекс-почта не рассматривалась? Когда нет штатного админа - самое то.

  13. Аватар

    Спасибо. Было интересно почитать. Для меня актуально!

    • Аватар
      Наталья

      Гугль берет за почту денег и за это отвечает за данные. У юзера знакомый интерфейс. И удаленное письмо можно найти, и в техподдержку написать. И самое главное - у админа не болит голова хотя бы об этом.

Добавить комментарий

Ваш адрес email не будет опубликован.

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.