Nova poslovna zgrada, nova mreza, sve novo (180+zaposlenih)

[daxyco]

Takodje imam još dva više tehnička pitanja
1. Svaki server imaju po dva napajanja. Ja ču imati dva UPS-a. Kako to sve povezati.
Da se 1.UPS napaja direktno strujom. 2.UPS sa agregata. a onda jedno napajanje servera ide sa 1. UPS-a a drugo napajanje sa 2.UPS-a ?

2. pitanje odnosi se na distribuciju telekomovog IPTV kroz objekat. Sastanak sa njima imam tek za 20ak dana al telefonom mi je njihov menadzer prodaje dao zbunjujuće informacije.
Ok TV mreža mora biti razdvojena od ostatka saobraćaja jer ne može IPTV zajedno sa IPtelefonijom i računarskom mrežom. Svakako sam planirao da u spratnim rekovima posebno odvojim konektore koji idu ka TV aparatima. AL mi nije jasno za šta još moram da napravim mesta u reku. Za neki svič? Kakva su vaša iskustva sa tim?

Za 2. pitanje, ako ćeš imati upravljive svičeve ne moraš imati dodatnu opremu, jednostavno podesiš iptv vlan na odgovarajućim portovima i to je to. Ti portovi automatski mogu da se koriste za iptv.

Sent from my SM-G985F using Tapatalk

[Mx2qi7]

Zanimljiva tema. Tri stvari bih dodao/pitao?
1. Da li ste razmišljali da hostujete svoj lokalni Nextcloud server za File Storage (i sve ostalo, ako vam treba). Rešilo bi gomilu problema sa podešavanjem prava korisnika i pristupom fajlovima
2. Da li ste razmišljali da (skoro) sve prebacite na Cloud? Uključujući i servise za autorizaciju (Okta, Onelogin, itd.)
3. Kakav vam je plan ako (skoro) svi zaposleni moraju da rade od kuće? Da li će imati pristup svim potrebnim fajlovima i servisima, da li ćeš morati da podešavaš VPN svima (koji tip, klijent, itd.)

Ma nema ništa outsource jedva sam vlasnika nagoorio kad sam došao u firmu da sajt i mail server prebaci kod provajdera.
3. Pa nekih 10ak ključnih ljudi imaju VPN. Ostali preko njih dobijaju potrebne fajlove i upustva. Tako je funkcionisalo u prvom naletu korone i nije bilo nekih poteškoća al i u vreme godišnjih odmora isl. Jer u većini slučajeva zaposleni može blanko obrazce da skine na flešku i da popunjava sledećih mesec dana pre nego što ih okači na server.

Da imaću upravljive svičeve, al me je ovaj lik iz telekoma poprilično zbunio

[Gaston]

Takodje imam još dva više tehnička pitanja
1. Svaki server imaju po dva napajanja. Ja ču imati dva UPS-a. Kako to sve povezati.
Da se 1.UPS napaja direktno strujom. 2.UPS sa agregata. a onda jedno napajanje servera ide sa 1. UPS-a a drugo napajanje sa 2.UPS-a ?

2. pitanje odnosi se na distribuciju telekomovog IPTV kroz objekat. Sastanak sa njima imam tek za 20ak dana al telefonom mi je njihov menadzer prodaje dao zbunjujuće informacije.
Ok TV mreža mora biti razdvojena od ostatka saobraćaja jer ne može IPTV zajedno sa IPtelefonijom i računarskom mrežom. Svakako sam planirao da u spratnim rekovima posebno odvojim konektore koji idu ka TV aparatima. AL mi nije jasno za šta još moram da napravim mesta u reku. Za neki svič? Kakva su vaša iskustva sa tim?

1. Zašto dva UPS-a? Izračunaj ukupnu instaliranu snagu uređaja koje češ imati u sali, dodaj 20-30% na to (za buduća proširenja) i kupi jedan trofazni samostojeći UPS. Za svaki rek kupi PDU letve (kod mene su po dve po reku, svaka vezana za posebnu fazu) i u njih bodeš potrošače. Potrošači se uvek napajaju sa UPS-a, pa prekida u slučaju nestanka struje nema. Primer kod mene: 2x6880X, 1 ASA 5523X, 1 ASA5585X, Nexus 5672UP, po jedan 4431 i 4221 i par 2960X svičeva, svi u jednom reku. U drugom reku su serveri (par komada) i storage, oba su vezana na UPS od 36kVA. Mi smo malo preterali (''malo''...) sa snagom, ali posao je takav da je cena za opremu smešna spram potencijalnog gubitka koji bi se desio da ta ista oprema ne radi.

2. Za ovo si već dobio odgovor. A komercijalisti Telekoma umeju da mrse za sve pare.

[Mx2qi7]

1. Zašto dva UPS-a? Izračunaj ukupnu instaliranu snagu uređaja koje češ imati u sali, dodaj 20-30% na to (za buduća proširenja) i kupi jedan trofazni samostojeći UPS. Za svaki rek kupi PDU letve (kod mene su po dve po reku, svaka vezana za posebnu fazu) i u njih bodeš potrošače. Potrošači se uvek napajaju sa UPS-a, pa prekida u slučaju nestanka struje nema. Primer kod mene: 2x6880X, 1 ASA 5523X, 1 ASA5585X, Nexus 5672UP, po jedan 4431 i 4221 i par 2960X svičeva, svi u jednom reku. U drugom reku su serveri (par komada) i storage, oba su vezana na UPS od 36kVA. Mi smo malo preterali (''malo''...) sa snagom, ali posao je takav da je cena za opremu smešna spram potencijalnog gubitka koji bi se desio da ta ista oprema ne radi.

Pa ako taj jedan stane iz bilo kog razloga staje sve. Ovako imam redudansu. Od potrošača od servera ću za početak imati
2X nova servera po 350W + stari server 250. Sorage nismo još odavrali al i oni su oko 350W. + još jedan server u budućnosti 350W. Što mu ispadne 1600W
Uzmem dva od 2KW jer večina nove opreme ima dva napajanja pa tako imam punu redudasu.
Znači ovako neka šema na brzinu https://imgur.com/a/9dBnHvL

[Gaston]

Pa ako taj jedan stane iz bilo kog razloga staje sve. Ovako imam redudansu. Od potrošača od servera ću za početak imati
2X nova servera po 350W + stari server 250. Sorage nismo još odavrali al i oni su oko 350W. + još jedan server u budućnosti 350W. Što mu ispadne 1600W
Uzmem dva od 2KW jer večina nove opreme ima dva napajanja pa tako imam punu redudasu.
Znači ovako neka šema na brzinu https://imgur.com/a/9dBnHvL

Ne ide to baš tako. Ovako kako si nacrtao, redudanse nema. Ali bez obzira, jedan kršten UPS ti završava posao. Ovde si nabrojao samo serversku opremu (uzgred, koji ti je to server sa napajanjem od 350W?), a gde je komunikaciona oprema, storage, backup uređaj (neka je to i neki NAS, nije bitno), video nadzor i njegov uređaj za skladištenje snimaka? Verovatno sam nešto i zaboravio. Te male UPS-eve stavi na spratne rekove i pokrij i taj deo opreme. Gledaj da ti i te koncentracije budu na agregatnoj struji, ako je ikako moguće.

[Space Beer]

Ma nema ništa outsource jedva sam vlasnika nagoorio kad sam došao u firmu da sajt i mail server prebaci kod provajdera.
3. Pa nekih 10ak ključnih ljudi imaju VPN. Ostali preko njih dobijaju potrebne fajlove i upustva. Tako je funkcionisalo u prvom naletu korone i nije bilo nekih poteškoća al i u vreme godišnjih odmora isl. Jer u većini slučajeva zaposleni može blanko obrazce da skine na flešku i da popunjava sledećih mesec dana pre nego što ih okači na server.

Ok, ali svakako razmisli o file serveru kao što je Nextcloud (Seafile, Owncloud, Filecloud...), pošto je mnogo lakše za održavanje od standardnog SFTP/NAS rešenja. Bar smo u mojoj firmi imali problema sa pravima korisnika, pristupom i sl. U tom slučaju ti ni ActiveDirectory nije toliko bitan, lako se barata sa korisnicima, itd. Još ako im VirtualDrive izađe iz bete u skorije vreme (Owncloud ga već ima, ne znam za ostale), onda ćeš biti siguran da su fajlovi korisnika uvek na serveru. Pri tom, to nosi i fleksibilnost u smislu migracije, bilo na drugi lokalni server, bilo na cloud, ako se nekad nešto promeni

Moj savet ti je da razmisliš i napraviš sistem tako da bude fleksibilan. Da danas sve može da bude lokalno, sutra sve u oblacima, a prekosutra pola tamo, pola ovde. Jer je vrlo moguće da menadžment/gazda promeni odluku preko noći, čak iako ti se ne čini da je nešto tako realno

[ness1602]

U toku predhodne nedelje imali smo sastanke sa potencijalnim dobavljačima za opremu.
Ponudili su nam dobre brndname servere (da ih sad ne reklamiram ovde) sa VMwarelicencama ispod svake cene. Oni su direktni uvoznici a i već dugo saradjujemo tkd imamo dobar popust.
2X miror servera sa 3 virtuelne mašine. 1 za domen 2 za budzet i srodne aplikacije i 3 za ostale aplikacije (uglavnom deljenje baze podataka sa par zaposlenih i cca 10gb)

Što se File servera tiče tu još nismo odredili konkretan model jer mora da se u budzet uvrsti i veći broj novih radnih stanica, pa ćemo videti na kraju koliko će novca ostati.
Uglavnom sistem je do sada radio ovako
Jedan zajednički nalog, svi imaju pristup da preuzmu fajlove, al samo sam ja mogao da uploadujem nove i menjam postojeće (Uglavnom su tu upustva,obrazci, interni dokumenti za zaposlene, nekoliko video tutorijala cca 20gb)
nalozi po službama, tu je slično kao i gore samo što pristup imaju zaposleni u konkretnoj službi, stim što po okončanju predmeta zaposleni uploaduje fajlove u taj nalog. Al nemaju pravo da ga brišu i menjaju, Ako je potreba izmena ubacuju ga i imenuje ime-V2.
A radi izgledao otprilike ovako. Zaposleni preuzima obrazce na svoj računar, popunjava jedan po jedan. Kad završi prvi kreira folder na profilu sa nazivom predmeta i tu ubacuje popunjene obrazce.
Pojedinačni nalozi. Svaki zaposleni ima svoj nalog od 2-10GB za bitne fajlove koje žele da čuvaju. Tu mogu slobodna da dodaju, brišu, mednjaju.

Postojao je jedan nalog gde sam ja ručno povremeno radio backup sa bitnih servera i računara

Ja bih ovde uzeo dve masine i stavio Proxmox na njih, nema cene za licence,a ocigledno je da su tebi ovo smesne masine. Podesio bih zfs replikaciju na 5 minuta, i to je to. Bekap se podesi na PBS svaki dan recimo, i to je to. Sto se tice deljenog servera,slazem se da bih digao NextCloud , on ima i AD autentifikaciju ako ti je to toliko bitno.

[veljkope]

Ja bih ovde uzeo dve masine i stavio Proxmox na njih, nema cene za licence,a ocigledno je da su tebi ovo smesne masine. Podesio bih zfs replikaciju na 5 minuta, i to je to. Bekap se podesi na PBS svaki dan recimo, i to je to. Sto se tice deljenog servera,slazem se da bih digao NextCloud , on ima i AD autentifikaciju ako ti je to toliko bitno.

Mislim da treba da se razjasni kakve su mu licence nudili za vmware, jer koliko znam free esexi ima samo nekoliko ogranicenja :

8 korova po virt masini
ne moze da se menedzuje preko vcentra
i nema support

Tako da mi je ta prica oko licenci i dalje malo mutna...

[Mx2qi7]

Mislim da treba da se razjasni kakve su mu licence nudili za vmware, jer koliko znam free esexi ima samo nekoliko ogranicenja :

8 korova po virt masini
ne moze da se menedzuje preko vcentra
i nema support

Tako da mi je ta prica oko licenci i dalje malo mutna...

Ograničenja kod licence su
- Max 3 virtuelne mašine
- jednoj mašini mogu dodeliti max polovinu ukupnog rama
- i 8 jezara po mašini

Meni ovo svakako odgovara jer:
3 Virtuelne mašine zadovoljavaju i delom premašuju trenutne potrebe, kad se krene u nabavku novih aplikacija tada će se dokupljivati i hardver a i softver za njih
- i ovo ispunjavam (8,8,16) ukupno 32GB Ram
-Ukupno če biti Xenon sa 8C

[e6111]

Ad hoc pitanje za ucesnike, da li to u domacem “IT-u” i dalje nije uopste prisutan InfoSec kao podrazumevana stavka cele price posebno za organizacije ovog tipa (male ili srednje) koje zahtevaju onsite infra? Mislim da nisam video pitanje ili savet na tu temu.

[doggy]

Ja po domaćim firmama sa kojima imam iskustva to nisam video (bar manjim i srednjim). U firmi gde sad radim imamo ljude koji se samo time bave (za strane klijente), takvih ima i po bankama i većim preduzećima i u takvim sistemima njihova odluka može da stopira ceo projekat. Mala i srednja preduzeća uglavnom zavise od znanja i iskustva admina koji su jack of all trades. Znam da čak i neke outsourcing firme nemaju takve ljude, ali uglavnom imaju admine sa iskustvom koji prate best practices koliko god to klijent dopusti.

Sent from my VOG-L29 using Tapatalk

[cisco]

Kod nas ljudi imaju tendenciju da naprave nešto da radi, a onda (kad im se desi incident) krenu da se bave bezbednošću. Nakalemiti bezbednost na nešto što već radi je obično skuplje (od malo skuplje do katastrofa skupo), nego kad se to uzme u obzir od početka. Još češće se dešava da posle incidenta ljudi kupe neko rešenje koje onda traljavo implementiraju jer ne shvataju da implementacija ume da košta više od hardvera i licenci. Oni koji sve odrade kako treba su retki, ali i među njima ima onih koji posle zapostave implementirano rešenje ili ga čak svesno (neopravdano?) zaobilaze.
Infosec je kompleksna priča i nije nešto što se odradi i završi. Manje firme jednostavno ne mogu (ili ne žele) da priušte kvalitetne ljude i rešenja, a managed security je kod nas u povoju (ako ga ima), verovatno zato što je i tržište nezrelo.

[ness1602]

Nema,jako slabo Infosec, osim ako ti to spoljni(strani) revizori ne traze. IT nije jeftina stvar, kao sto misle domaci direktori, neko sa srafcigerom i tonerom u ruci. Security se svodi da samo jedan ili dva coveka imaju sve sifre i to je to.

[veljkope]

Nema,jako slabo Infosec, osim ako ti to spoljni(strani) revizori ne traze. IT nije jeftina stvar, kao sto misle domaci direktori, neko sa srafcigerom i tonerom u ruci. Security se svodi da samo jedan ili dva coveka imaju sve sifre i to je to.

Zavisi kako gde, negde se postuje i PCI-DSS i ISO 27001, a neki smo i ucestvovali u što inhouse što u outsource deploymentu sistema koji ispunjavaju navedene standard

[ness1602]

Ma ucestvovao sam i ja u dve implementqacije 27001, inhouse, ali i dalje stojim pri svojim izjavama