- Зміст статті З приходом ери віртуальних машин було досягнуто значного спрощення доставка додатків,...
- Переваги Virtual Appliance
- Колекція Turnkey Linux
Зміст статті
З приходом ери віртуальних машин було досягнуто значного спрощення доставка додатків, і тепер все частіше розробниками пропонуються сконфігуровані шаблони віртуальних машин (Virtual Appliances), які можна використовувати не тільки для тестування, а й в робочому середовищі. Асортимент попередньо налаштованих VA досить широкий і покриває всі потреби ІТ: від брандмауерів і систем захисту до додатків і серверів різного призначення. Давай розберемо, чим можна замінити традиційні рішення.
Без постійного моніторингу систем і сервісів буде дуже складно попередити проблеми і швидко зреагувати в позаштатній ситуації. Зібрана інформація дозволяє своєчасно побачити вузькі місця. Одна з популярних опенсорсний систем моніторингу - Nagios, можливості якого дозволяють використовувати його і в великих мережах. Але в базовій поставці він зазвичай нецікавий, тому адміністратори його часто обважують плагінами, а для доступу до зібраної інформації використовують веб-інтерфейс. У підсумку зібрати систему новачкові стає не по силам. Але це легко вирішується.
Opsview побудований на базі Nagios і являє собою вже готову до роботи систему моніторингу з простим, інформативним, логічно організованим веб-інтерфейсом. Повністю сумісний з Nagios і підтримує всі його функції. Реалізована підтримка SNMPv3 з MRTG, швидкий імпорт ресурсів, моніторинг систем віртуалізації (VMware, KVM, Xen, Hyper-V і Amazon EC2) і багато іншого. Шаблони хостів (Host Templates) дозволяють визначити список перевірок (Service Checks) для певного типу вузлів. Інтерфейс показує статус хостів, сервісів і мережі, виводить події, реалізовані попередження, які можуть надсилатися на email, RSS або мобільний пристрій. Все це дозволяє мати повну картину того, що відбувається в мережі, доступність додатків і продуктивність. У поставку входять два модулі: MRTG (висновок графіків) і Nagvis (показує карту мережі). Розширити функціонал можна за допомогою модулів і плагінів з Nagios Exchange. Документація дозволяє написати плагін з потрібними функціями самостійно.
Документація проекту англійською і цілком здатна відповісти на будь-які запитання. Opsview пропонується в декількох версіях. Варіант Core безкоштовний, хоча і дещо обмежений в функціоналі, але його цілком достатньо для більшості ситуацій.
Для швидкого розгортання реалізований OVF-образ для VMware, який можна завантажити після реєстрації. У вимогах зазначено: 3,5 Гб RAM і HDD 80 Гб. Після запуску VM буде виведений адреса для входу (логін admin, пароль initial).
Альтернативою Opsview можна вважати Cacti , Реалізований на JumpBox . Сам Cacti використовує для збору даних SNMP, будуючи вельми наочні графіки, для установки вимагає LAMP-сервер і декількох, в общем-то, нехитрих операцій. Тестовий період на JumpBox становить 15 днів, вартість 60 або 150 доларів на місяць, в залежності від обраної ліцензії.
Панель моніторингу Opsview
Сьогодні все більше співробітників працюють за межами корпоративної мережі, вимагаючи оперативного і безпечного доступу до даних, зазвичай це вирішується за допомогою VPN. Хоча тут не все так просто. Слід враховувати ряд факторів: необхідність установки агента на клієнтський ПК, можливість блокування нестандартних портів провайдером, робота через NAT і так далі. Саме тому набирають силу рішення, що базуються на SSL і використовують для підключення стандартний порт (зазвичай HTTPS / 443). Всі настройки проводяться на серверній стороні, користувачеві не потрібно встановлювати і налаштовувати клієнтське ПЗ, він просто підключається і працює, не вникаючи в технології і проблеми.
Одне з популярних рішень - StoneGate SSL VPN , Який, будучи єдиною точкою доступу до всіх програм, виступає в ролі своєрідного проксі між клієнтом і сервісом і забезпечує аутентифікацію, контроль стану пристрою і шифрування. Для роботи використовується веб-браузер (з підтримкою Java або ActiveX), після перевірки облікових даних завантажується агент, який забезпечує туннелирование, і видається список доступних додатків. Користувачеві залишається тільки підключитися, вибравши значок. Установки і політики настроюються і застосовуються автоматично на шлюзі. Підтримується кілька методів аутентифікації, розширена політика паролів, контроль доступу (IP, пристрій, група, час, політики безпеки). Можливо примусове видалення даних з локальної системи по закінченню сесії. Для реалізації OTP використовується SMS-повідомлення або спеціальний клієнт StoneGate SSL VPN MobileID Client, доступний для всіх популярних платформ. Всі настройки проводяться за допомогою веб-браузера (Web Console) або Stonesoft Management Center, використовуваного для централізованого управління декількома пристроями.
StoneGate SSL VPN реалізований в тому числі і у вигляді OVF x64 образу, який можна запустити в будь-якій сучасній віртуальній машині (продукт має статус VMware Ready). Після запуску віртуальної машини потрібно вказати мережеві настройки для інтерфейсу конфігурації, ім'я вузла, встановити пароль root і веб-адміністратора (admin, за замовчуванням Pass1234) і активувати SSH. Решту можна задати вже в веб-консолі на 10000-м порту (наприклад, https://192.168.1.100:10000/). Налаштувань небагато, вони розбиті на групи, призначення яких зрозуміло і без перекладу. Послідовність дій добре розписана в керівництві адміністратора, не потрібно правка конфігураційних файлів, просто уважно заповнюємо запропоновані поля.
Налаштування сервісів в інтерфейсі StoneGate SSL VPN
Інтернет-шлюз - один з ключових компонентів мережевої інфраструктури будь-якої організації і повинен не тільки забезпечувати користувачів стабільним доступом в інтернет, а й захищати від більшості (в ідеалі всіх) можливих загроз. Адміністратору потрібно мати можливість гнучко налаштовувати права доступу, обмежувати трафік за певними критеріями (IP, протокол, URL, час, роль користувача) і отримувати детальну статистику. І таке рішення повинно бути простим і зрозумілим в настройках і цілком може працювати у віртуальній машині.
Всім сисадмінам добре відомий Kerio Winroute Firewall, який з недавніх пір поставляється під іншим ім'ям Kerio Control і цілком підходить під нашу задачу. Крім традиційних для такого виду продуктів можливостей, ми отримуємо ще й брандмауер рівня додатків з можливістю моніторингу та протоколювання всієї діяльності користувачів в інтернеті. Передбачена можливість блокування небажаних ресурсів декількома способами, блокування P2P-мереж і небажаних програм, перевірка файлів за допомогою антивірусу Sophos, гнучке управління політиками доступу і багато іншого. Реалізовано і допоміжні функції, такі як управління смугою пропускання, QoS, балансування навантаження, обмеження тривалості сесії, VPN-підключення з IPsec і Kerio (власний клієнт), VLAN і SNMP, NAT і сервер DHCP, проксі-сервер, моніторинг і створення звітів про діяльності користувача.
Установка Windows без проблем
Розгортання великої кількості ОС в ручному режимі з локального приводу - заняття дуже клопітка і займає багато часу. Сучасні BIOS підтримують можливість мережевої установки, тому цю функцію частіше і використовують для автоматизації процесу. Єдине ускладнення - доведеться розгорнути відповідну середу. Але в цьому немає необхідності: FOG є Linux-систему з уже налаштованим TFTP, PXE, DHCP, NFS і Wake-On-LAN, призначену для мережевого завантаження Windows XP +, а при бажанні і будь-яких інших ОС. Можливо управляти розмірами розділів, змінювати розмір образу, перейменовувати цільові комп'ютери. Управління проводиться за допомогою зрозумілого веб-інтерфейсу. Адміністратор просто завантажує образи, які згодом стають доступні для мережевого завантаження. Реалізовано в тому числі і у вигляді VA, тому розгорнути новий сервіс можна протягом 15 хвилин.
При цьому Kerio Control залишається дуже простим в адмініструванні. Більшість установок виробляються за допомогою майстрів або готових форм, які потрібно лише заповнити. Для управління настройками використовується браузер (в тому числі і з iOS 5 + і Android 4).
Релізи версії 8 випускаються виключно у вигляді Appliance: для установки на «голому залізі» Software Appliance і Virtual Appliance. Останній містить у своєму складі оптимізовану ОС Linux і спеціально налаштований для швидкого розгортання в віртуальних середовищах VMware ESXi / Player / Workstation / Fusion і Hyper-V (Win2k8R2-2012R2). Їх можна вільно завантажити з сайту компанії і використовувати для тестування протягом 30 днів.
Для роботи VA потрібно CPU 2+ ГГц, RAM 1,5 Гб і HDD 8 Гб. Щоб настроїти VA, будь-яких знань Linux не потрібно. Після запуску активується простий майстер, в якому необхідно вибрати мову, прийняти умови ліцензії та налаштувати мережеві інтерфейси. Після входу в інтерфейс адміністрування стартує майстер активізації, а потім «помічник конфігурації», що допомагає налаштувати базовий захист. В результаті практично після запуску отримуємо готове до роботи рішення. Всі, хто раніше стикався з продуктами Kerio, навряд чи знайдуть щось нове. Все на своїх місцях, а документації та інструкцій в інтернеті повно.
Альтернативою Kerio Control можна назвати дистрибутив pfSense , Який розповсюджується за умовами BSD-ліцензії і забезпечує маршрутизацію, захист трафіку і різні мережеві сервіси.
Панель моніторингу Kerio Control
Переваги Virtual Appliance
Перше віртуальне пристрій Browser Appliance було створено VMware для запуску на програвачі VMware Player і призначалося для безпечного серфінгу в інтернеті. З тих пір область застосування VA значно розширилися. Існують різні думки з приводу використання VA, але тим не менше плюси відзначають навіть скептики. Головна перевага - економія часу. Адже немає необхідності доставляти апаратне рішення і підключати його в мережу. Отримати готовий образ навіть щодо великого розміру можна протягом години. Не потрібно встановлювати ПО, з'ясовувати залежності, початкові налаштування програми і все інше, що зазвичай забирає багато часу. Завдяки віртуалізації знімається питання про підтримку апаратного забезпечення і системних вимогах, які в подальшому легко скорегувати. Просто запускаємо і отримуємо готове рішення, яке потрібно лише прив'язати до іншої мережі (зазвичай справляється DHCP) і відразу можна приступати до тестування. При необхідності в майбутньому такий VA легко можна перенести на більш потужний сервер або імпортувати настройки на реальне апаратне пристрій. Також VA дуже просто резервувати.
Без мережевого сховища даних сьогодні важко уявити будь-який, навіть невеликий офіс. Існує безліч рішень з різними можливостями, реалізацією і ліцензією. Особливою популярністю в невеликих і середніх мережах користуються NAS'и, створені на основі вільних ОС, що мають все необхідне і готові до роботи. Зручно, що деякі проекти, крім ISO-образу, пропонують і VA, хоча вибір невеликий.
OpenMediaVault є реалізацією ідей FreeNAS на пакетної базі Debian (сам FreeNAS побудований на FreeBSD) і орієнтований на спрощену установку доповнень і оновлень, роботу на більшій кількості обладнання і підтримки вбудованих пристроїв.
Доступ до даних забезпечується через SMB / CIFS, FTP / FTPS, TFTP, NFSv3 / v4, SSH і RSYNC, підтримується програмний RAID. Це тільки базові можливості. В плагінах знаходимо підтримку LVM, iSCSI Target, LDAP, клієнт BitTorrent, сервер DAAP, роботу з UPS і антивірус для перевірки файлів. Можлива організація спільного доступу до ресурсів, поділ привілеїв на основі груп, настройка квот, моніторинг SNMP і SMART Загалом, все, що необхідно для організації NAS'а, в OpenMediaVault є. Модулі ставляться за допомогою штатного пакетного менеджера, але все особливості роботи з ним приховані, адміністратор просто вибирає потрібний в веб-інтерфейсі, тобто знати, як працює Linux, не потрібно. Сам веб-інтерфейс локалізовано, зовні він дуже схожий на FreeNAS, але більш зрозумілий у використанні, розібратися в особливостях не складе труднощів.
Для швидкого розгортання доступні образи для VMware і VirtualBox, що містять в тому числі і деякі модулі третіх сторін. При виборі способу потрібно бути уважним, так як пропонується три варіанти: OMVbase (один диск з даними), OMVbasIT (чотири диски) і OMVbasITR5 (чотири диски, сконфигурированних з RAID 5, LVM, ext4 і CIFS). Системні вимоги: RAM 1+ Гб, HDD 2+ Гб. Паролі за умовчанням: root / root, для веб-інтерфейсу - admin / openmediavault.
Альтернативою можна вважати дистрибутив OpenFiler, розробники якого пропонують образ для VMware. Функціонально він нічим не поступається OpenMediaVault, хіба що у вигляді VA доступний тільки реліз 2.3 від 2009 року.
OpenMediaVault дозволить легко створити NAS
Сьогодні бізнес сильно залежить від ІТ, затребуване все, що є, - починаючи від засобів обміну повідомленнями та файлами, базами даних і різними бухгалтерськими програмами. В результаті співробітникам доводиться використовувати велику кількість програм, зазвичай ніяк між собою не пов'язаних. Це ускладнює адміністрування, вимагає додаткових витрат на ліцензії та перенавчання користувачів, виникає проблема синхронізації даних між додатками, ризик помилок і втрати інформації. В результаті з'являється додаткове ПО, що виступає в ролі прокладки, яке також доводиться налаштовувати і освоювати. Тому все більш цікавими стають продукти, в яких інтегровані всі необхідні функції для автоматизації бізнес-процесів і управлінських функцій. Вони отримали назву ERP (Enterprise Resource Planning, планування ресурсів підприємства). По суті, ERP-системи являють собою єдине сховище даних, в якому міститься вся інформація. Але вибрати відповідну дуже важко, так як у кожної реалізації ERP своя логіка, вони рідко поставляються в коробці, вимагають довгої настройки і підгонки.
Openbravo ( openbravo.com , sf.net/projects/openbravo ) Заснований на дуже вдалою ERP Compiere, що дала життя відразу декільком відгалуженням з різною реалізацією і логікою. Поширюється за ліцензією Openbravo Public License (похідна від Mozilla Public License). І на сьогодні це універсальне додаток, що охоплює практично весь спектр потреб будь-якої організації - продажу і CRM, управління продуктами, клієнтами, проектами і обслуговуванням, фінансовий і бухгалтерський облік, закупівлі, склад, виробництво. Має розвинену систему звітів. Модульна архітектура дозволяє зібрати систему під свої потреби. Базовий набір доповнюється майже 300 розширеннями, з яких більша частина поширюється з відкритим вихідним кодом (centralrepository.openbravo.com). Openbravo інтегрується з рядом інших рішень - SugarCRM, PProcessMaker BPM, Liferay Portal, Magento і популярними сервісами - Google Docs, Twitter, Facebook та іншими.
Поставляється у вигляді настановних пакетів, ISO-образів і VA для VMware і Amazon EC2 (доступні більш ранні релізи в збірках для VirtualBox, Citrix XenServer, QEMU / Parallels). Це дозволяє буквально за 15 хвилин розгорнути потрібний функціонал, хоча, звичайно, в подальшому все-таки доведеться донастроіть систему під свої умови. У процесі завантаження ніяких налаштувань не передбачено. Отримуємо IP і для входу використовуємо логін / пароль - Openbravo / openbravo. Подальші налаштування розписані в документації. 
Продукти віртуалізації, що не залежать від апаратного забезпечення, представляють ідеальну основу для поширення ПО. Постійно зростаюча кількість віртуальних пристроїв свідчить про те, що користувачі добре приймають таку форму розподілу систем і додатків - як для тестування, так і для впровадження.
Колекція Turnkey Linux
Turnkey Linux - це не звичайний дистрибутив, як це ми всі звикли розуміти. Насправді це понад 100 збірок на базі Debian (TurnKey Core) під різні завдання, оптимізованих для використання в якості гостьових ОС в системах віртуалізації VMware, Xen, OpenVZ, KVM, VirtualBox, OpenStack і Amazon EC2. Досить вибрати потрібний варіант, і відразу після установки адміністратор отримає повністю працездатні оточення LAMP (Linux, Apache, MySQL, PHP / Python / Perl, XCache, Postfix MTA, SSL), LAPP, Ruby on Rails, Joomla, MediaWiki, WordPress, Drupal, Apache Tomcat, OpenLDAP, Django, MySQL, OS Commerce, ownCloud, PostgreSQL та багато інших. Складання забезпечені системою автоматичного резервного копіювання і засобом для автоматичної установки оновлень. Кожна збірка в середньому займає 200 Мб, при цьому також доступний і веб-інтерфейс управління. наприклад, LAMP stack містить Webmin і phpMyAdmin. Установка будь-якої збірки проста, в ході потрібно ввести тільки необхідні паролі, після чого отримуємо посилання для входу.
Turnkey пропонує кілька інтерфейсів для настройки сервісів
