[Solved] Szerver - kliens infrastruktúra kialakítás + hálózat + megfigyelő rendszer

Minek gondolkodsz Lnuxban, ha a windowst ismered. Egyertelmu a leirasodbol, hogy azzal jarnal jobban.
Ne eroltesd a Linuxot szerintem ebben az esetben.
Termeszetesen minden szolgaltatast megtalalsz a Linux oldalon is amire szukseged van es szepen mukodnek a HA megoldasok is. De a leirasodbol nekem egyertelmu, hogy a wint valaszd.

Amugy en elore gondolkodva alapvetoen AWS-ben hoznam letre a szervert es kesz. Ott mindenre megvan a szolgaltatas es alapbol redundans. Es a kesobbiekben a geolokaciok bekothetok.

Amit nem lattam a leirasodban es erdemes vele fogalkozni:
1. nyomtatas
2. fax
3. telefon
4. internet szabalyzas
5. levelezes

Kovetkezok szamomra nem vilgos:
1. VPN a szerver-kliensek között. ( Minden egyes kliens vpn kapcsolatot epit ki vagy telephelyenkent lesz egy VPN)
2. Tehát nagyjából egy böngészőt fognak használni, egy számlázó programot és egy-két kisebb tool-t.( Mi a kisebb tool? Minden bongeszo alapu lesz? Nem lesz vastagklienses alkalmazas?)
3. Az irodai kliensek bérelt vonalon fognak egy szerverhez kapcsolódni. --> Helyi szerver/szerverszoba nem lesz. (MI ertesz beret vonalon L2, L3 kapcsolat? Telephelyen lesz internet kijarat? )

Szia!

Hát elég komplex a kérdésed, ritka h. ilyen thread-et nem trollkodnak szét h. "minek csinálod ha nem értesz hozzá" és stb :)
Samba4 jó lehet, ha Win license-en akarsz spóreszolni, Win 8.1-ig oké, ezt állíthatom, a 10-el voltak furaságok, de ment azért, csak van amin még reszelni kell sztem a sambaban.

A többire én így nem mondanék semmit, lehet majd becsatlakozom egy-egy szálba.

Megfigyelő rendszer: Ok, mennyi kamera, mi a büdzsé, hogy akarják nézni, stb.? Erre csípőből azt mondanám ha 16 kameráig bezárólag kell, akkor Axis Camera Companion. NVR nélkül tud központosítottan működni (vagyis olyasmi), íme: http://www.axis.com/sa/en/products/axis-camera-companion.

Üdv,
Zoli

up!

nálunk ilyesmi rendszer van, s másoknak is üzemeltetünk ilyet!
ha érdekel, keress privátban!

Subscribe

Itt nagyon sok még a kérdés, érzésre ellentmondások is (például NAS), amire a válaszok sokat alakíthatnak.

Mivel minden távol lesz, távoli bejelentkezéses (RDP vagy hasonló) rendszert sem vetnék el, főleg ha több irodát kell kialakítani a jövőben, hasonló módon. Így az irodába elég lenne vékony klienseket tenni, a felügyelet nagyon le tud egyszerűsödni (főleg több iroda esetén).

A NAS helyi funkciója nem világos, azok tipikusan nem magas rendelkezésre állású eszközök. Itt nemcsak a redundanciára gondolok, hanem arra is, hogyha elromlik, akkor nem feltétlenül van megjavítva 2-3 nap alatt. Két szerverrel a biztonsági mentést is meg lehet oldani, de a kérdés akár komplexebb is lehet annál, minthogy fájlokat kimásoltok valahova.

Kérdés az is, hogy a böngészős számlázó azt jelenti, hogy saját alkalmazás kiszolgáló fut (későbbi mondat ezt akár cáfolhatja is), vagy külső szolgáltatónál lesz használva. Levelezést is említesz, tehát saját felügyeletű szolgáltatás azért lesz.

Ha a szerver nem helyileg lesz, akkor nem biztos, hogy az a célszerű "LAN management"-hez (itt a "LAN" szerintem eléggé messze van a valós jelentésétől), illetve egy holnap inkompatibilis egy DC-vel (előbbi DMZ, másik belső hálózat).

A fentiekből kifolyólag (hálózati szegmentáció, többféle szolgáltatás) mindenképpen célszerű lenne virtualizálni is (fizikailag drága lenne).

Kicsit bonyolítja a dolgot, hogy több jövőbeli irodára is fel kell készülni, azaz a hálózatot annak megfelelően kell kialakítani.

" - Hardveres tűzfalat betegyek-e? (A szerver után lenne célszerű elhelyezni, de ha datacenterben vagyok, azt hiszem ezzel nem kel foglalkoznom :))" - attól, hogy adatközpontban vagy, a Te adataid nem lesznek jobban védettek, semmilyen irányban. Attól, hogy ilyen helyen fut a szerver (vagy akár VM-ek), pont úgy kell védeni, mintha a telephelyen futna a szerver szobában. Esetleg ilyen-olyan minimális védelmet kapsz, de ezt vagy tisztázni kell, vagy nem építeni rá.

"A szerver bérelve lesz, nem saját. --> Az adatok sertetlensége/integritása" - kérdés, hogy milyen a cég érzékenysége, miként van kezelve a szerver, például hibás merevlemez stb. Ha para van, akkor titkosítani is lehet operációs rendszeren belül, de ennek vannak különféle következményei, amivel nem árt tisztában lenni. Jellemzően ehhez is egészében kell látni az infrastruktúrát és az üzemeltetési folyamatokat, akkor lehet pontosan mérlegelni.

Arra figyelj oda, hogy itt sok tippet kaphatsz, de ha nem látod át 100%-osan a projektet (kérlek ne vedd rossz néven, de nem látod át), akkor nagy katyvasz lesz belőle. Célszerű lenne valaki olyat bevonni, akinek rálátása van az alap infrastruktúra megoldásokra (hálózat mindenféle vonatkozásban, operációs rendszerek, virtualizáció, mentések, ..., ...).

Ez egy baromi nagy projekt, sok pénz, (sőt kb. úgy látom, hogy korlátlan pénz) baromi sok szempont. Töredékét se írtad le a döntésekhez szükséges információknak, csak egyre nagyobb káoszt generálsz.
Itt majd jönnek osztani az észt összevissza sokan (:-)) de neked nincs se tapasztalatod, se kompetenciád hasonló projektekben (bocs, ez látszik. a némi szerveres tudásod ide nem elég). Ha a helyedben lennék, én felvenném a kapcsolatot egy tanácsadó céggel vagy megfelelően tapasztalt személlyel. (úgyse fogod megtenni, mert "te majd megoldod" de meg is fogod bánni majd később :-))

"- Az irodai kliensek bérelt vonalon fognak egy szerverhez kapcsolódni. --> Helyi szerver/szerverszoba nem lesz."

Ez esetben backup kapcsolat is legyen, más nagy szolgáltatótól. (Hallottam már olyat, hogy elment a "jóskapista kft" által biztosított backup vonal is elment amikor a fő matáv vonal, mert ők is matávon forgalmaztak.)
Erre is időt kell szánni, láttam már olyat hogy többszáz napos határidővel vállalta egy nagyobb netkapcsolat kiépítését a szolgáltató.

Az irodánál az elektromos hálózat minősége is fontos, azt is át kell nézetni villanyszerelővel a kismegszakítótól kezdve. Ha a betápot bővíteni kell, akkor az áramszolgáltatóval kell majd küzdened. Érdemes lehet a túlfeszvédelmet már a kismegszakítónál megoldani szerintem.

A 220 és LAN kábelezést egy hozzáértő céggel csináltasd meg, több cégtől ajánlat, stb. A 20 gépre szerintem 60-80 végpontot ki kell majd építeni, mert lehet hogy X ide költözik, Y-nak kell egy nyomtató, elromlik a kábel a falban, stb. Nem kell mindet switch-be kötni, legyen kifejtve aztán majd azt kötöd be amit kell.

A router, switch, kamerás vackok, elé mindenképp javaslok egy UPS-t, illetve ez legyen egy zárt fali kis rack szekrényben elhelyezve.
A router és a switch SPOF, ha bármelyik megáll akkor az iroda is megáll. Ha megoldható akkor legyen redundáns vagy hidegtartalék.

Kliensből én sok éves NBD garral vennék bármit is, ha bármi megdől akkor másnap(*) jönnek és javítják. Ha egységsugarú a munka és fontos hogy ne legyen kiesés, akkor érdemes lehet +1 gépet venni, azt is bekonfigolni és hidegtartalékként letenni. Ha egy PC ledől akkor Mancika átül a tartalék géphez, bekapcsolja és folytatja a munkát.

Ha minden kliensed azonos típusú (vagy legalább minden desktop és minden noti) akkor ahhoz egy OS image kell azonos driver-ekkel, szóval azt vegyél, ebből lehetőleg ne engedj.

Kliens és server oldalon is fontos lehet a backup, ezzel is törődni kell.

Ha iroda alatt nem csak az IT infra a feladatod, hanem bútortól a padlószőnyegen át az elrendezésig minden nyavalya is, akkor azt a részt próbáld meg lehetőleg lepasszolni valakinek. :) Lehetőleg olyannak, aki ott fog dolgozni, preferáltan olyannak aki ott főnök vagy hangadó lesz. Persze ha a te felelősséged akkor az ő munkáját is ellenőrizned kell...

Ha fél éved van akkor tervezz úgy, hogy menetrend szerint 5 hónap alatt kész legyen minden. Valami úgyis csúszni fog, és valszeg nem csak 1 valami, így legalább lesz némi mozgástered.

Ha én most csinálnék hasonlót akkor O365 meg Azure AD Connectet nézegetnék. Ha nincs különösebb security requirement mindent tolnék a cloudba.

Rejtett subscribe...

Fentebb már írták, hogy kezdj el pontosítani, prioritásokat belőni, mérni/tesztelni (pl. sávszél igények) stb. és több feladatot már ne vegyél fel.

Domain Controllernek, viszont nem tudom, hogy több száz kliens gép esetében lesz-e ez olyan stabil mint a Windows-os AD, ill. minden szolgáltatást amire szükségem lesz megtalálok a Linux oldalon.

Nem "illik", de nálam egy eléggé soványra tett VM egyedüli DC-ként [tipp: soha! :) ] ~80 gépnek elviszi a DC feladatait (AD, GPO). Ezt azért közel lineárisan tudod skálázni AD-vel, ha elég sok DC-d van (és jól csinálod a site kiosztást, akár úgy is, hogy minden telephelyre biztos, ami biztos, valami kenyérpiríton leteszel még egy DC-t).

Ha linux szervert választok, hogyan oldhatom meg a primary-slave szerver üzemmódot

Gondolkodhatsz aktív-aktívban (azzal kényelmesebben lehet nagyot szívni :) ), az AD-vel ugye ez megoldott, ha jól láttam azon kívül csak fájlkiszolgálás (itt aztán attól függően, hogy mennyire gond, ha kiesik válogathatsz onnan, hogy kézzel replikálsz időnként és kieséskor átütöd a DNS rekordot a pri-slave drbd és failoveren kersztül a pri-pri drbd és klaszter fájlrendszeren keresztül akár egészen a Gluster/ceph klaszter [legalább három gép!] és aktív-aktívig [májusban érdemes lesz a SambaXP előadásaiba belehallgatni/megnézni őket, a program szerint erről a felállásról többször lesz szó]) és levelezés (ott ugye az smtp miatt azonnal van failover-ed, egyszerűen az egyik MX az egyik adatközpontban, a másik a másik adatközpontban levő gépre mutat, mindkettő az amúgy is replikált AD-ból veszi a usereket/authol). Ha kell kifejezetten Exchange, akkor a Samba szvsz. felejtős (OpenChange a 4.1-nél tart, ami EoL, tavaly december óta nem sok minden változott a github repóban, nem sok jót mutat...), nézz szét valami csoportmunka + ActiveSync környékén. Vagy marad a Windows Server és az MS Exchange.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nekem erről a desktop virtualizáció jut eszembe: egy rakat "buta" lokális gép, site2site vpn, DC és TS funkciók az adatközpontban (két-két példányban). A gépeket valamilyen virtualizációs technológiával célszerű kialakítani, ezzel az erőforrásigényhez jobban igazodó rendszert kaptok, és a hardverproblémákat is egyszerűbb kezelni - és egy site recovery is egészen másképp, könnyebben (storage replikáció a virtualizáció alatt) megvalósítható.

Tehát az app, a böngésző, és úgy zusammen minden a szerveren kerül összerakásra, futtatásra - ezzel a lokális gépek mentése/helyreállítása/kezelése gyakorlatilag kiesik, a szoftverek telepítését, beállítását is csak a ts-e(ke)n kell elvégezni.

Az persze erősen javasolt, hogy legyen az alkalmazások hibakereséséhez, frissítések/verzióváltások előkészítéséhez illetve teszteléséhez tesztszerver _is_.

A bizalomra ("Elhihetem a datacenternek, hogy nem nézegetik a belső levelezést/adataimat") valóban szükség van - ha nincs bizalmad a szolgáltató felé, akkor fizikai szervert bérelj, titkosított diszkekkel - a bérbeadónak meg ne adj OS-oldalon semmilyen jogosultságot (ezzel viszont a te kezedbe kerül a teljes backup/recovery/high availability kérdés is, ami kellően nagy rúdaszpirin lehet). De egyszerűbb/olcsóbb a jogászokkal megnézetni, hogy mit és hogyan vállalnak - a jogszabályi kötelezettségeken felül.

A megfigyelő/vagyonvédelmi rendszer (videós móka) kialakítására én keresnék egy szakcéget, mert nem csak annyi, hogy "valahova kirakok néhány kamerát meg bedrótozom és mentem a képeket", és a dolgozókkal aláíratom a megfelelő papírokat és kirakom a matricákat, hogy kamerázott helyszín. A kamera pl. nem láthat rá a képernyőre/billentyűzetre, egymást viszont látniuk kell (ne lehessen egyik kamerához sem hozzáférni fizikailag úgy, hogy azt legalább egy másik ne rögzítse), satöbbi.