LINUX.ORG.RU
ФорумTalks

Вся сетевая инфраструктура для бизнеса за 5 минут

 ,


6

2

Задача стоит простая, — настроить все бизнес-процессы, ну там чтоб сайт был, почта, какие-то чатики, деловые переписки, файлохранилище, документооборот, вот это вот всё. Чтобы это было видно в интернетах, защищено от атак, ну и так далее.

Зачастую люди не готовы пердолить консоль, я даже больше скажу, за всё время разъездов по дата-центрам Москвы и общению с клиентами, обслуживающим персоналом, мне ещё не довелось встретить шарящего в теме человека. Нету таких вот, идейных задротов, чтобы что-то с нуля смог реализовать. Поднять и настроить целый филлал под ключ.

Всё сводится к тому, что клиент берёт сервер за 100500 рублей, арендует к нему место в стойке в дата-центре, где каждый юнит на вес золото, где каждый сетевой порт (ethernet, SFP) стоит денег, где каждый блок питания 500W / 800W / 1400W стоит денег. Ещё есть всякие third-party услуги по защите от всяких DDoS-атак, и прочая, прочая, прочая. Не брезгует клиент и платить за какой-то стрёмный софт, когда при желании можно написать собственную реализацию на коленке.

Я как доморощенный админ локалхоста искренне поражён ценовой политикой вот этого всего, подходом к решению задач системных администраторов сидящих на зарплате. Задачи простые, а пути их решения, и деньги, которые за это просят ну просто космос!

И сейчас я буду демпинговать всю это фигню. Значится так.

Вместо дорогостоящей аренды стойки в дата-центре Москвы, с выделенным интернет-каналом и опциональной защитой от DDoS, я рекомендую арендовать VDS-сервер за 200-300 рублей, не дороже.

1 ядро, 1гб памяти, канал 100мбит, диск 10гб под систему — этого хватит с головой для нашего столичного филлиала.

Задача перед арендованной VDS стоит крайне простая:

  • Предоставлять интернет-канал наружу;
  • Служить одноразовым «презервативом» для защиты от внешних угроз;
  • Внешний IP-адрес.

Всё общение с внешним миром, как наружу, так и во внутрь нашей сети, происходит через VDS. В случае обнаружения сетевой атаки по каналу VDS задача перед админом стоит простая: обрубить конец. И взять другую VDS, за те же 200 рублей, с новым IP-адресом.

Зачем, скажите мне, тратиться на дорогостоящие услуги по защите от DDoS, если можно менять эти одноразовые VDS «как перчатки»?

Думаю суть ясна. Идём дальше.

Вся наша корпоративная сеть сидит за провайдерским NAT'ом. Нам не нужно, чтобы наша сеть была видна из интернетов. Вот прям вообще. Просто ходим в интернет через провайдера как обычно. От услуги внешнего IP-адреса отказываемся напрочь. Только NAT!

Подключение нашего столичного филлиала происходит следующим образом: стучимся в какую-нибудь квартиру неподалёку от нашего офиса, за тортик или же за себестоимость интернет-тарифа просим физическое лицо подключиться к его домашнему интернету, - таким образом мы сэкономили целое состояние на тарифах для юридических лиц! И спокойно тянём воздушку себе в офис, желательно использовать оптическое волокно, чтобы не собиралось статическое электричество. Можно обойтись и Wi-Fi, но это дороже и не надёжно.

С интернет-каналом вопрос решён. Дальше.

Вместо дорогостоящего сервера, HP DL360 Gen9, стоимость минимальной конфигурации которой начинается от 100,000 рублей, достаточно взять обычный стационарный компьютер в любом компьютерном магазине для запуска виртуалок. Сервер DEXP в конфигурации Intel Core i3 и 48гб памяти с гарантией 3 месяца нам хватит с лихвой.

Компьютер, хост, на котором производится запуск виртуалок, должен быть тупо запускалкой виртуалок и не более того. Сам по себе никаких сервисов не крутит. Так же, не нужно громоздить никаких тоннелей, бриджей и прочего. Просто запускается виртуалка с параметрами по-умолчанию чтобы она тоже могла зайти в интернет как рядовой компьютер. Этого хватит. Мы за NAT'ом, помните?

В идеале, на компьютере для работы нужно всего два диска в зеркальном mdadm RAID 1 для хранения информации, — образов дисков виртуальных машин. Можно обойтись одним диском, но тогда образы дисков нужно будет бэкапить вручную.

Опционально, на третий диск можно установить хост-систему, по желанию, это будет proxmox, esxi, или же что-то своё. Но так же можно и сэкономить на диске, если воспользоваться моим инструментом booty и собрать систему запускающую виртуалки самому, и загружаться в неё прямиком в оперативную память с флешки.

Грубо говоря, одного HDD под виртуалки хватит.

По итогу что мы имеем.

  • Одноразовая VDS за 200 рублей с внешним IP-адресом, дропается в случае обнаружения атаки;
  • Компьютер DEXP для запуска виртуальных машин под служебные нужды; опционально таких серверов можно купить сколько потребуется по мере роста предприятия и бизнес-процессов.
  • Интернет в офис из соседней квартиры.

А теперь вишенка на торте.

Для того, чтобы наш бизнес заработал, осталось только подключить все виртуалки к сети, к той самой VDS, использовать для этого мы будем VPN WireGuard!

Мы включаем компьютер, запускаем виртуалки, устанавливаем ОС, настраиваем, то, сё, пятое-десятое, чики-брики, дело в шляпе.

На VDS приступаем к настройке WireGuard:

# umask 0077
# wg genkey > privatekey
# wg pubkey < privatekey > publickey
# umask 0022

На каждой виртуальной машине с доступом в интернет проделываем тоже самое.

# umask 0077
# wg genkey > privatekey
# wg pubkey < privatekey > publickey
# umask 0022

Затем на VDS настраиваем WireGuard:

# ip link add dev wg0 type wireguard
# ip addr add 192.168.254.1/24 dev wg0
# wg set wg0 listen-port 51820 private-key "./privatekey"
# wg set wg0 peer "копируем сюда publickey из виртуалки" allowed-ips 192.168.254.0/24
# последнюю команду повторять, добавить каждый publickey каждой из виртуалки

На каждой виртуалке с доступом в интернет мы настраиваем WireGuard:

# ip link add dev wg0 type wireguard
# ip addr add 192.168.254.2/24 dev wg0 # двоечку меняем по количеству виртуалок например
# wg set wg0 listen-port 51820 private-key "./privatekey"
# wg set wg0 peer "копируем сюда publickey из vds" endpoint "IP-адрес-VDS:51820" allowed-ips 192.168.254.0/24

Поздравляю! Ваш столичный филиал готов к работе!

# ping 192.168.254.1
PING 192.168.254.1 (192.168.254.1) 56(84) bytes of data.
64 bytes from 192.168.254.1: icmp_seq=1 ttl=64 time=10.4 ms
^C
--- 192.168.254.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 10.361/10.361/10.361/0.000 ms
# wg
interface: wg0
  public key: 5yeOjvLxfD9jicztCMQvarfBHHaI0t31BlJZBjmx8kg=
  private key: (hidden)
  listening port: 51820

peer: lmjidCVduFcrORW+fkEDK6LsXGBANRe5WZWyg7nO3gU=
  endpoint: 82.146.61.33:51820
  allowed ips: 192.168.254.0/24
  latest handshake: 2 seconds ago
  transfer: 1.55 KiB received, 2.02 KiB sent

Что делать дальше — вы знаете.

У нас есть VDS, которая выступает мастер-нодой с VPN, к ней подключаются все виртуальные машины по VPN, на которой происходят бизнес-процессы.

Это обычная внутренняя локальная сеть, на которой отдельными виртуалками вы всё так же настраиваете веб, почту, а правилами iptables управляете доступом.

На одну виртуалку установили веб-сервер, тут-же правилом iptables добавили forwarding всех запросов с VDS на эту виртуалку.

Ещё виртуалка — настроили почту, сделали forwarding почты с VDS на порт виртуалки.

Всё просто! И главное, всё это дело легко переносимо. Перенесли файл с образом виртуалки на другой компьютер, да даже личный ноутбук, запустили — она тут-же подсосалась к VPN на VDS и продолжает делать свою работу!

А вам не жалко будет потерять копеечную VDS и взять другую, развернуть всё уже готовое из ISO-образа (см. booty).

...

Зачем?! Зачем люди продолжают покупать дорогостоящее серверное оборудование, арендовать стойки в дата-центрах, платить бешеные данные за создание сетевой инфрастуктуры для своего бизнеса, если всё решается ТАК ПРОСТО!?

Готов стать админом на вашем предприятии и сделать всё с нуля под ключ, контакты в профиле. =)

★★★★★

ну так тут просто две кнопки нажать за пять минут это 100руб максимум стоит

да ещё и готовый рецепт, тогда лучше Васю позову, он бесплатно сделает

Bad_ptr ★★★★★
()

DEXP в конфигурации Intel Core i3 и 48гб памяти с гарантией 3 месяца

Сдохнут через 3 месяца – что делать? Или еще хуже – ловить какие-то невнятные негарантийные глюки.

У нас есть VDS, которая выступает мастер-нодой с VPN, к ней подключаются все виртуальные машины по VPN

Т.е. правильно понимаю, трафик, который по идее должен оставаться в локалке будет гоняться через внешку?

Ну про шнурок от соседа поржал, это до первой проверки.

frunobulax ★★★
()

стучимся в какую-нибудь квартиру неподалёку от нашего офиса, за тортик или же за себестоимость интернет-тарифа просим физическое лицо подключиться к его домашнему интернету

это ж каким надо быть долбодятлом…

жги дальше :)

Rastafarra ★★★★
()

Нету таких вот, идейных задротов

Я мог стать таким, но вовремя понял, что это мелочёвка и что нужно учиться перепрограммировать нашу матрицу и свою жизнь. Я хочу стать метапрограммистом и создать свою метавселенную, программируя эфир.

xwicked ★★☆
()
Последнее исправление: xwicked (всего исправлений: 1)

Спуф, ты про SaaS слышал когда-нибудь? Тот, кто не хочет пердолится, идёт и покупает всё готовое у какого-нибудь поставщика SaaS услуг для бизнеса типа Zoho или обращается к интегратору.

cocucka ★★★★☆
()

Угадал ТС по первым предложиниям.

Готов стать админом на вашем предприятии и сделать всё с нуля под ключ, контакты в профиле. =)

Спасибо, не надо. Мы купим готовое.

beastie ★★★★★
()

я буду демпинговать всю это фигню

С «демпингаторами» случаются случайности фиговые, опосля коих они теряют способность демпинговать.

quickquest ★★★★★
()

Сто лет так делаю. Только без оптики к соседу, т.к. свой инет есть, и на openvpn, а не wireguard.

Puzan ★★★★★
()

Безумие на марше

int13h ★★★★★
()

просим физическое лицо подключиться к его домашнему интернету, - таким образом мы сэкономили целое состояние на тарифах для юридических лиц

Пора уже книжку выпускать: «Одминские Советы Спуфинга или как вырвать все волосы на жопе за 14 дней»

cocucka ★★★★☆
()
Ответ на: комментарий от Harald

нет ну что вы, я очень ответственный работник. просто думаю может кому нужна помощь в реализации чего-нибудь эдакого. =)

Spoofing ★★★★★
() автор топика

Компьютер DEXP для запуска виртуальных

Лучше бушный сервер купить чем это говно, +ipmi будет.

voltmod ★★★
()
Ответ на: комментарий от frunobulax

Т.е. правильно понимаю, трафик, который по идее должен оставаться в локалке будет гоняться через внешку?

Вооот, верное замечание, нужно модернизировать нашу сеть, например сделать их две, одна для работы в локалке, а вторая для доступна из вне.

Кидайте ещё идеи))

Spoofing ★★★★★
() автор топика

То что ты описал это не бизнес процесс. Что до того что т описал, то это инструмент выполнения некоторых процедур документооборота. И в принципе бизнес процессу пофиг как именно андрей петрович передаст на подпись документ светлане андреевне. Хоть голубиной почтой.

Jetty ★★★★★
()

Даже если не вдаваться в подробности, то вот вообрази себя бизнесменом, который ну вааще не шарит в этих ваших компах и тем более линуксах и у которого уволился и уехал подальше сисадмин, который вот эту вот всю шнягу с VDS и WireGuard устроил.

praseodim ★★★★★
()
Ответ на: комментарий от Spoofing

Это я к тому, что твое решение хорошо для стартапа, чтобы не тратиться на дорогую инфраструктуру или не для стартапа, но чтобы здесь и сейчас сэкономить.

praseodim ★★★★★
()
Ответ на: комментарий от Spoofing

тогда попроси кровавую модерастию стереть этот пост, чтобы работодатель не увидел и не сделал выводы )

Harald ★★★★★
()
Ответ на: комментарий от praseodim

Или очередная РСП ему отказала, и он ушёл в запой и депрессию. А второго такого же запасного Спуфинга в очереди нету!

Harald ★★★★★
()
Последнее исправление: Harald (всего исправлений: 2)

Предлагаю подумать в направлении, что если описанный тобой бизнес на всём экономит, то он и на тебе будет экономить в первую очередь.

Harald ★★★★★
()
Ответ на: комментарий от Bad_ptr

вы знаете, абсолютно точно так же.

вы устанавливаете днс сервер, он работает на сетевом интерфейсе wg0 и точно так же запоминает имена для адресов.

Spoofing ★★★★★
() автор топика

Ты кремниевую долину смотрел что ли?)

Entmatix
()
Ответ на: комментарий от Spoofing

Dns сервер у тебя на мастер ноде. Соответственно надо этот днс пропихнуть клиентам, а клиенты должны на этот сервер пропихнуть свои имена через дхцп или еще как...

Bad_ptr ★★★★★
()

ну там чтоб сайт был, почта, какие-то чатики, деловые переписки, файлохранилище, документооборот, вот это вот всё

Office365
Google workplace

zgen ★★★★★
()
Узок круг этих ***ов. Страшно далеки они от народа

К сожалению это так не работает.

vvn_black ★★★★★
()
Ответ на: комментарий от ergo

Тот случай, когда масштаб мысли не может вырваться дальше локалхоста.

Концентрат треда!

zemidius
()

Ахахахаха!!1

Спасибо, поднял настроение)

theNamelessOne ★★★★★
()
Ответ на: комментарий от Harald

Не, этот пост надо в граните увековечить.

another ★★★★★
()
Ответ на: комментарий от Harald

тебя что уволили

он же выкладывал фотки полгода назад

там пол в серверной провалился.

Mirage1_
()
Ответ на: комментарий от Harald

Он же в подвале с серваками сидит, его к клиентам ни один адекват на расстояние артилерийского выстрела не пустит

burato ★★★★★
()
Ответ на: комментарий от Harald

не обращай внимания, он просто завидует. просто кое-кто вместо того чтобы гулять с девушками — изучает линуксы, а потом приходит к успеху.

возможно идея с впном тоже покажется бредовой, как казалась бредовой booty по-началу, но я её проработаю и буду успешно применять на практике.

Spoofing ★★★★★
() автор топика
Ответ на: комментарий от Spoofing

Завидовать тебе подобным это как некропедозоофилу завидовать

burato ★★★★★
()
Ответ на: комментарий от burato

Лучше - наличие выбора. И этого, прочих других.

dk__
()

а зачем так СЛОЖНО ? с организационной точки зрения это очень сложное и ненадёжное решение.

берётся сервер (ставится на баланс, что важно) и «мальчик за еду» (без обид, имеется в виду что не уникум, и без супер-бэкгроунда) стандартным образом там всё разворачивает и документирует. Чтобы совсем без обид - вместо мальчика однотипно может выступать девочка или компания и вместо одного сервера облака/кластеры etc. И они все, эти мальчики/девочки/компании при этом взаимозаменяемы.

MKuznetsov ★★★★★
()

Всё общение с внешним миром, как наружу, так и во внутрь нашей сети, происходит через VDS. В случае обнаружения сетевой атаки по каналу VDS задача перед админом стоит простая: обрубить конец. И взять другую VDS, за те же 200 рублей, с новым IP-адресом.

Зачем, скажите мне, тратиться на дорогостоящие услуги по защите от DDoS, если можно менять эти одноразовые VDS «как перчатки»?

Во-первых, пока ты меняешь vds и ip-адреса, твои сервисы внешнему миру не доступны, т.к. dns обновляется не мгновенно. Поздравляю, ты сам себе за ddos-ил. Во-вторых, какой нафиг ddos на филиал?

Подключение нашего столичного филлиала происходит следующим образом: стучимся в какую-нибудь квартиру неподалёку от нашего офиса, за тортик или же за себестоимость интернет-тарифа просим физическое лицо подключиться к его домашнему интернету

И идем в задницу. Никто в здравом уме на такую тему не подпишется.

Сервер DEXP в конфигурации Intel Core i3 и 48гб памяти с гарантией 3 месяца нам хватит с лихвой.

На что хватит-то? Ты откуда этот сайзинг взял?

И да, что мы будем делать через 3 месяца? Брать новый dexp и все переподнимать?

Готов стать админом на вашем предприятии и сделать всё с нуля под ключ, контакты в профиле. =)

Нет, не готов

CaveRat ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.