Что сейчас хотят от Linux-админов и сколько платят?

Гуру, научи, на кой для 200 компов vlan-ы и маршрутизация?

Разнести пользователей по vlan-ам по функциональному признаку, нарезать acl-ы.

Не рано ли при таком количестве об этом задумываться?

Нет.

За пару месяцев не осилить. Хотя... с CI я дело имел еще на прошлой работе, а в proxmox тыкал палкой.

Чтобы больше вопросов не было, разъясню: я имел в виду грамотное планирование

Грамотное планирование сети - это не «не сложно», и подводных камней там чуть больше, чем дофига.

Сама теория в принципе не особо сложная, тем более, если есть возможность сесть, подумать, как надо, включить «гугл».

Теория чего? Передачи сигнала? Или теория построения СКС? Или ЛВС?

Helm

Helm 3 так-то без серверов, разве что репу поднять.

CI в гите

Не знал что git умеет гонять тесты, разве что хуки в .git/config писать (:

Разнести пользователей по vlan-ам по функциональному признаку, нарезать acl-ы.

Зачем? Или это как в шутке про кота и яйца?

Начиная от best-practice по проектированию и обслуживанию сетей, заканчивая требованиями compliance и банальной гигиеной - плоская сеть в случае какой-то экстренной ситуации ложится сразу вся, а сегментированная - нет.

Банальный broadcast storm уложит плоскую сеть всю и насмерть.

Банальный broadcast storm уложит плоскую сеть всю и насмерть.

Или не уложит, если у тебя нормальный свитч.

Да, можно настроить ограничение на количество бродкастов - но так себе идея.

И давайте не забывать, что шторм - это только одна из проблем. Те же криптолокеры очень любят плоские сети и сети без фильтрации между сегментами.

Ну и если о высоком, то от L2 вообще рекомендуют избавляться везде, где только можно.

Те же криптолокеры очень любят плоские сети и сети без фильтрации между сегментами.

А сегментировать-то нафига? Просто зарежь трафик между клиентскими нодами и разреши пакеты слать только на сервера и гейтвей.

Мне просто интересно, как ты IPv6 будешь сегментировать, если там префиксы /64?

Я бы советовал в DevOps

Программировать умеете, адвинить тоже.

В Канаде я видел контракты на $150CAD в час но нужно было быть очень крутым

Ищете работы на том-же монстре, смотрите что требуется читаете тренируете и вперед

А сегментировать-то нафига? Просто зарежь трафик между клиентскими нодами и разреши пакеты слать только на сервера и гейтвей.

Пилить фильтрацию на конечных точках - так себе идея, потому, что этим становится сложно управлять.

Мне просто интересно, как ты IPv6 будешь сегментировать, если там префиксы /64?

Чем же сегментирование ipv6 принципиально отличается? Или тебя просто смущает размер подсети?

Пилить фильтрацию на конечных точках - так себе идея, потому, что этим становится сложно управлять.

Не сильно сложнее, чем привязывать юзеров к сегментам. Особенно когда существует WiFi, юзеры ходят со своими девайсами и т.д.

Чем же сегментирование ipv6 принципиально отличается? Или тебя просто смущает размер подсети?

Меня он не смущает, но тебе придётся получать по /64 префиксу на сегмент, и кто-нибудь может полезть в залупу на этом этапе. Вообще так, насколько мне известно, никто не делает.

Не сильно сложнее, чем привязывать юзеров к сегментам.

Если у нас сеть на 200 человек (как изначально и говорилось), то проще сделать фильтрацию по сегментам, не заморачиваясь с такой привязкой.

Особенно когда существует WiFi, юзеры ходят со своими девайсами и т.д.

А в такой ситуации я достану NAC с 802.1x, и все у меня будет хорошо.

Меня он не смущает, но тебе придётся получать по /64 префиксу на сегмент, и кто-нибудь может полезть в залупу на этом этапе.

Пусть лезут, куда хотят. Надо будет - будет транспортный сегмент на 2 адреса с маской /64

Вообще так, насколько мне известно, никто не делает.

На сколько мне известно, никто не тащит ipv6 в приватные сети.

вот для примера

На сколько мне известно, никто не тащит ipv6 в приватные сети.

Тащит

Я бы сказал, что поздно. 200 сотрудников - это компы, телефоны, принтеры, wi-fi точки, возможно какое-то специфичное для компании оборудование, сервера/свитчи и т.д. Ну т.е. 300-450 работающих сетевых портов, если сотрудники работают в офисе. И все это должно быть разделено, изолировано друг от друга.

Кстати, есть ли возможность во что-то из этого потыкать палкой на десктопе? Для Kubernetes вроде нашел microk8s.

да в общем-то все можно, только у нас могут быть разные понятия десктопа.

только у нас могут быть разные понятия десктопа

Мой с десяток виртуалок потянет.

ну так тем более, вперду :)

Ищу работу linux-админом. Интим и гербалайф Форекс и криптовалюту не предлагать.