Рубрика «Блог компании КРОК» - 23

Видеонаблюдение в ЦОДах: совмещаем паранойю охраны с паранойей инженеров
Инженер во время штатной проверки

В розничных сетях сейчас одна из главных задач видеонаблюдения — это распознавание лиц злоумышленников из известной базы на входе.

Видеонаблюдение в ЦОДах пошло по немного другой ветви эволюции. Начнём с того, что охрана даже просто не знает, на что смотреть, и контроль, по сути, заканчивается на периметре. А случается всякое. Знаю, например, о случае нештатного запуска системы пожаротушения. Причину искали по записям — оказалось, монтажник опёрся локтем в коридоре на кнопку.

Бывают запросы на то, кто открывал стойку. В каком-нибудь ЦОДе может случиться так, что несут что-то по проходу и задевают кабель. Или вот ещё случай: инженер одной компании обслуживал верхний сервер в стойке, в процессе у него упала лестница и ударила прямо по другому серверу, в итоге — раскололся разъём.

Поэтому, конечно, видеонаблюдение в ЦОДах нужно. Расскажу, как мы это делаем для заказчиков, и как организовали в своих дата-центрах. Читать полностью »

VDI: плюсы, минусы, подводные камни для крупного бизнеса, НПО и КБ
Один из пожилых инженеров решил, что у него в руках сверхсовременный секретный кластер для 3D-расчётов. Мы были жестоки и не стали говорить, что это всего лишь тонкий клиент.

VDI — это инфраструктура виртуальных рабочих столов. В отличие от «обычного» терминального доступа, упрощая, речь идёт не о нескольких одновременных пользовательских сессиях на одном сервере с операционной системой, а о нескольких виртуальных машинах на физическом сервере. Каждый пользователь получает свой собственный виртуальный ПК, куда может подключаться хоть с телефона.

Есть миф, что VDI — это всегда очень дорого. В целом это была правда до последних лет. В моей практике только в прошлом году VDI начали использовать, как решение для экономии на инфраструктуре. До этого VDI чаще всего была необходимыми затратами на безопасность корпоративных данных.

Не так давно появился пример снижения стоимости рабочего места: есть конструкторское бюро в Москве, и есть заводы по России. Чертежи поступают на заводы в 3D-формате, необходим было вносить небольшие изменения. На заводах не могли вносить изменения без дорогостоящей инфраструктуры. Закупалась очень мощная машина серверного уровня, на неё ставился дорогой комплект ПО. Затем эта машина и это ПО поддерживались администраторами из головной организации — при сложных случаях доходило до неблизкого выезда. С внедрением VDI всё стало происходить в дата-центре в Москве.Читать полностью »

Как мы озвучивали стадион «Спартака»
На стадионе «Открытие Арена» помещается 45 360 человек — это аудитория хорошего поста на Хабре. Фото на момент начала наших работ.

Примерно 9% пользователей во время матча заняты тем, что кричат кричалки, шумят шумелки и жгут фаеры. 90% по ТЗ внимательно слушают речь комментатора и рекламу, а оставшийся 1% – плюется и говорит, что сделал бы звук лучше.

Именно эти звуки (рекламы и речи) мы должны были донести до каждого зрителя так, чтобы у него, с одной стороны, не лопнули барабанные перепонки, а с другой — он слышал всё нормально и отчётливо. То есть нужно было обеспечить равномерное покрытие и высокую разборчивость речи для каждого. Читать полностью »

Особенности отражения DDoS атак и история атаки на один крупный банк

Раньше DDoS-атаки могли успешно отбиваться на стороне ЦОДа атакуемой компании. Быстрые умные действия админа и хорошее фильтрующее железо гарантировали достаточную защиту от атак. Сегодня услуги ботнетов стремительно дешевеют, и DDoS становится доступен чуть ли не в малом бизнесе.

Около половины атак идут на интернет-магазины или коммерческие сайты компаний в духе «завалить конкурента», почти всегда атакуют сайты СМИ, особенно после «горячих» публикаций, намного чаще, чем кажется, бьют по госсервисам. В России главные цели – банки, розница, СМИ и тендерные площадки. Один из крупных российских банков, например, периодически блокирует трафик из Китая – атаки оттуда приходят с завидной регулярностью, одна из последних была больше 100 Гб/с.

Соответственно, когда атака переваливает, скажем, за 10 Гб/с, отражать её на своей стороне становится проблематично из-за банального забивания канала. Именно в этот момент нужно делать переключение на центр очистки данных, чтобы весь «плохой» трафик отсеивался ещё где-то около магистральных каналов, а не шёл к вам. Сейчас расскажу, как это работает у одного из наших вендоров защитных средств – Arbor, мониторящего около 90 Тбит/сек (45% мирового трафика Интернета).Читать полностью »

Практика эксплуатационщика: 1000 дней без простоя ЦОДа TIER III
Окисление контактов перемычки аккумулятора вызвало нагрев. При наружном осмотре следов окисления не видно, поскольку оно произошло между клеммой аккумулятора и наконечником перемычки.

Пару недель назад у меня и коллег случился маленький праздник: 1000 дней непрерывной работы ЦОДа без простоя сервиса. В смысле — без влияния на оборудование заказчиков, но со штатными и не очень работами по системам.

Ниже я расскажу о том, как я и мои коллеги обслуживают ЦОД повышенной ответственности, и какие бывают подводные камни.
Читать полностью »

Это страшное слово – ВКС
В Москве стоит серверная часть, преобразовывающая и коммутирующая видеосигнал, от неё расходятся каналы до судов регионов и других госорганов

За 8 лет работы с ВКС, я понял, что у начинающего системного администратора отношение к ВКС очень простое: чего, мол, там думать, Скайп и Lync пользователям – и всех делов. В целом, коммуникаторы на уровне Facetime и подобных достаточно хорошо, и, главное, дёшево решают задачи малого и, местами, среднего бизнеса.

В крупном бизнесе ситуация другая. Как правило, есть собственные защищённые каналы связи (физические или виртуальные), и за пределы корпоративного интранета информация уходить не должна в принципе. Кроме того, появляются требования к качеству картинки, оборудованию, интеграции с уже существующей телефонией и даже сервисами перевода.

Пример одной из решённых нашей командой задач – связь арбитражных судов по всей РФ. Транспортный уровень — MPLS-сеть на 114 объектов: чаще оптика, но есть и спутниковые каналы для удалённых регионов. HD-картинка может пробрасываться на конференции точка-точка, либо на многоточечные от 4 без участия центра до 40 судов на базе центрального сервера. Есть каналы наружу, например, до других госорганов РФ. Возможна трансляция конференций внутри сети для online просмотра заседаний. Все ВКС-заседания записываются для дальнейшей рассылки копий сторонам. С появлением СВКС в АПК внесены изменения, дающие право сторонам проводить заседания с использованием ВКС и заменяющие личное присутствие. Также решаются задачи заседаний Президиума, собрания научно-консультативных советов (НКС), дистанционного обучения сотрудников судов.Читать полностью »

FAQ про охлаждение дата центров: как сделать дёшево, сердито, надёжно и вписаться в габариты площадки

— Какой обычно есть выбор для охлаждения ЦОДа?

  • Фреоновое охлаждение. Проработано, просто, доступно, но главный минус — ограниченные возможности по манёвру в энергоэффективности. Также часто мешают физические ограничения по длине трассы между наружными и внутренними блоками.
  • Системы с водой и гликолевыми растворами. То есть хладагентом всё ещё остаётся фреон, а вот хладоносителем уже будет другое вещество. Трасса может быть длиннее, но главное, что открывается многообразие вариантов настройки режимов работы системы.
  • Системы комбинированного типа: кондиционер может быть и фреонового, и водяного охлаждения (здесь масса нюансов).
  • Охлаждение воздухом с улицы — это различные варианты фрикулинга: роторные теплообменные аппараты, прямые и косвенные охладители и так далее. Общий смысл — либо прямой теплоотвод фильтрованным воздухом, либо замкнутая система, где уличный воздух охлаждает внутренний через теплообменник. Нужно смотреть на возможности площадки, так как возможны внезапные решения.

— Так давайте бахнем классические фреоновые системы, в чём проблема?
Классические фреоновые системы отлично работают в малых серверных и, не часто, средних ЦОДах. Как только машзал переваливает за 500–700 кВт, возникают проблемы с размещением наружных блоков кондиционеров. Для них банально не хватает места. Приходится искать свободные площади подальше от ЦОДов, но тут вмешивается длина трассы (её не хватает). Конечно, можно спроектировать систему на пределе возможностей, но тогда растут потери в контуре, снижается эффективность, усложняется эксплуатация. В итоге для средних и больших ЦОДов сугубо фреоновые системы зачастую невыгодны.Читать полностью »

Как железо Dell ездит, монтируется и обслуживается + пример внедрения

У нас относительно недавно открылся первый в РФ центр решений Dell — место, где развёрнута инфраструктура (софт плюс разное железо) от этого производителя. Но рассказывать я буду не столько про него, сколько про то, как оборудование собирается, везётся и что делать, если из корпуса вдруг пошёл дым, и для чего в России нужны «миниЦОДы под столом».

Как железо Dell ездит, монтируется и обслуживается + пример внедрения

А пока знакомьтесь — стойка Active System у нас выглядит следующим образом:

  • 1 блейд-шасси Dell PowerEdge M1000e — 9 вентиляторов, 6 БП 2700 Вт;
  • 2 блейд-коммутатора Dell MXL 10/40GbE — внешних портов на коммутатор — 2 по 40 Гб/c без дополнительных модулей, FTOS — 9.2, 6 кабелей DAC;
  • 6 блейд-серверов Dell PowerEdge M620 — 2 процессора E5-2660, 128 ГБ оперативной памяти (8 по 16 ГБ, 1600 МГц), BRCM 10GbE 2-Port 57810, PERC S110, Dual SD Card;
  • сервер Dell PowerEdge R620 — 1 процессор E5-2620, 96 ГБ оперативной памяти (6 по 16 ГБ, 1333 МГц), BRCM 10G/GbE (2+2)-Port 57800, PERC S110, Dual SD Card;
  • СХД Dell EqualLogic PS6110XS — RAID 6 Accelerated, 7x400 ГБ SSD, 17x600 ГБ 10K SAS;
  • 2 оптических коммутатора Dell Force10 S4810.

Читать полностью »

Новая жизнь старой СХД — волшебное железо Violin для ускорения массивов

Если у вас стоят такие СХД, как EMC Clariion, VNX, VMAX, Symmetrix DMX3, DMX4, AMS 2000, HUS и другие подобные, и вам не хватает их производительности, у меня хорошая новость.

Новую быструю СХД покупать, возможно, не надо. Если вам достаточно ускорить задачи чтения, есть решение куда дешевле апгрейда массива и проще по внедрению, чем диски в Symmetix. Называется Violin Maestro.

Это аппаратный кэш на чтение, который подключается между хостом и СХД. Железка уже протестирована и уже в России. Её можно брать и ставить без какого-либо простоя и остановок. Читать полностью »

0100010000110010001000000100110000110010001000000100011000110010001000
0001010010001100100010000001010101001100100010000001000010001100100010
0000010001000011001000100000010001100011001000100000010100100011001000
1000000101010100110010001000000101001000110010001000000101010100110010

Это глайдер, но вы его не видите

Этот год был очень богат на уязвимости, красивые взломы и нестандартные методы атаки. В этом же году Минобороны решило создать специальные ИБ-войска для защиты критичных объектов. На очередной конференции C^2 эксперты расскажут про это и поделятся предметным практическим опытом.

Вот отчёт с прошлой конференции, возможно, интересный вам выступлением Митника.

После конференции начинается CTF-турнир по ИБ, уже не первый в России из линейки Cyber Challenge.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js