기업 환경에서 개발자가 자체 VM 서버를 실행하는 데 필요한 사항 [닫기]

이 시나리오는 또한 다른 독자들에게 다른 질문과 함께 SO에 게시되었으며 매우 좋은 답변을 받았으므로 매우 기쁩니다.

우리는 엔터프라이즈 조직 내 4 명의 소규모 개발자 팀을 위해 가상화를 사용하여 개발 환경을 구현하려고합니다. 이를 통해 별도의 개발, 테스트 및 준비 환경을 설정할 수있을뿐만 아니라 평가중인 시스템 또는 도구에 필요한 새로운 운영 체제에 액세스 할 수 있습니다.

우리는 기존의 워크 스테이션 급 컴퓨터의 용도를 변경하고 24GB RAM과 RAID-10을 사용했으며 컴퓨터를 도메인에 추가하려고 시도 할 때까지 잘 작동했습니다.

이제 우리는 처음부터 모든 엔터프라이즈 개발자가 개발 및 테스트 환경의 로컬 제어를위한 싸움과 싸워야하는 전쟁을 시작하고 있습니다. 네트워크 및 IT 관리자는 "ESX 서버는 엔터프라이즈 표준입니다"에서 "서버는 클라이언트 VLAN에서 허용되지 않음"에서 "[빈칸 채우기"는 현재 보유하고있는 기술이 아닙니다. 로컬 또는 엔터프라이즈 IT 조직 "

프로덕션 수준의 하드웨어와 공식적인 IT 지원을 정당화 할 수있을 것입니다. 이것을 생산 시스템으로 취급함으로써 할당되며, 그렇게해도 우리가 원하는 지역 통제력을 잃을 수 있습니다.

비 프로덕션 환경의 개발자 제어를 위해 많은 개발자가 엔터프라이즈 내의 개발자와 비슷한 어려움을 겪었다 고 생각합니다. 제 질문은 다음과 같습니다.

1. 개발자가 이러한 유형의 사일로를 표준 네트워크 및 보안 정책이있는 엔터프라이즈 내에 존재하게하여 이러한 유형의 비 (중앙) 관리 인프라를 일반적으로 (그리고 이해할 수있게) 배제 할 수있게하려는 논쟁은 무엇입니까?
2. 이는 개발자가 기술 또는 비즈니스 타당성을 제시하고 패치 관리 및 AV가 일어날 수 있도록하는 것, 또는 제어 및 소유권에 대한 정치적 투쟁의 문제일까요?
3. 선택의 여지가 있다면 하드웨어 / OS의 소유권과 지원을받는 동안 개발자에게 로컬 관리자 권한을 부여하거나 패치 관리 / AV를 설치하고 문제가 발생할 경우 책임을 부과하면서 완전히 관리하도록 하시겠습니까?
4. 개발자가 인프라에서 "로그 서버"를 로컬에서 제어 할 수 없도록 차단 한 경우 개발자가 개발 환경을 연결이 끊긴 VLAN / 완전히 분리 된 네트워크로 이동 했습니까?

이 질문의 범위를 제한하는 몇 가지 가정 :

1. 다시 말하면 개발 환경을 위한 것이며 프로덕션로드 나 지원 가능성이 필요하지 않습니다. 외부에서 접근 할 수있는 것이 없습니다.
2. 이것은 Hyper-V와 ESX의 성전이 아닙니다. (우리는 둘 중 어느 쪽이든 좋을 것입니다. 그러나 Hyper-V는 이러한 목적을 위해 MSDN에서 "무료"이기 때문에 선택되었습니다. [예, VMWare에는 무료 도구도 있습니다. 도구는 일반적으로 그렇지 않으며] "Microsoft Shop"에서 로컬 개발자가 쉽게 관리 할 수 ​​있습니다.) 따라서이 질문의 범위를 벗어나거나 반대하는 주장은 없습니다.
3. 개발자 팀은 이미 패치 관리 및 바이러스 백신을 관리하거나 IT가 지원할 경우 기존 엔터프라이즈 시스템과 통합 할 것을 보증했지만 확실하게 수용 할 수 있는지 여부는 확실히 범위 내에 있습니다.

우선 관리자가 철회해야하는 몇 가지 이유가 있습니다.

• 또한 IT는 패치 관리, 바이러스 백신 소프트웨어, pci 준수, 연례 (또는 더 빈번한) 보안 감사 등과 같은 사항에 대한 보고 를 담당합니다 .이를 처리한다는 확신을 갖는 것뿐만 아니라 하는 그것을 증명 외부에.

  예를 들어 소규모 대학에서 네트워크를 운영하고 있으며 학생 실험을위한 몇 가지 데이터 수집 시스템을 갖춘 물리 실험실이 있습니다. 그들이하는 유일한 일은 과학적 기기에서 데이터를 수집하고 학생이 분석하고 강사에게 전달할 수 있도록 결과를 직접 연결된 프린터로 인쇄하는 것입니다. 인터넷에 연결 되어 있지 않으며 로컬 네트워크를 통해 AV 및 Windows 업데이트도 적용됩니다. 네트워크에 연결되어 있고 AV 소프트웨어를 전혀 실행하지 않는 유일한 이유는 모니터링 소프트웨어에 여전히 존재하고 최신 상태임을보고하는 명백한 목적 때문입니다. 네트워크 연결을 제거하는 것이 실제로 더 안전하기 때문에 어리석은 일 이지만 처음으로 교육 보조금으로 비용을 지불했기 때문에 제보고 요구 사항입니다.

• 좋든 싫든 개발자 서버 는 개발자의 관점에서 프로덕션 시스템입니다. 한 달 정도 걸릴 수 있으며 개발자는 서버를 사용할 수 있다고 가정하는 프로세스로 인해 다운 작업을 수행하는 데 어려움을 겪을 수 있습니다. 기술 장애로 인해 근로자가 유휴 상태가되는 상황을 피 / 제한하는 것은 기업이 여전히 중앙 집중식 IT 부서를 사용하는 큰 이유입니다.
• "ESX Server가 엔터프라이즈 표준"인 경우이를 준수해야합니다. 현재 hyper-v, vmware, xen 및 다른 것들이 어떻게 작동하는지간에 중요한 차이점이 있으며, 하나를 위해 만들어진 머신은 다른 머신에서 잘 작동한다고 가정 할 수 없습니다. 이 작업을 수행하려는 경우 IT는 어느 시점에서 IT를 관리하는 데 도움이 필요하며 머신에 문제가 생길 수있는 많은 멍이 든 후에이를 vmware로 변환하지 않아도됩니다.
• 언젠가이 기계는 오래되어 정기적 인 유지 보수가 필요하거나 표준 교체주기를 설정해야합니다. 새로운 서버조차도 때때로 부랑자가 있습니다. 이러한 상황은 사람들이 업무를 수행 할 수없는 무언가가 고장난 후에 만 IT 랩에 거의 항상 도달 합니다. IT 부서는 서버를 조기에 책임지고 수행함으로써 계획을 세우지 않은 중단을 피할 수 있도록 훨씬 나은 작업을 수행 할 수 있습니다.
• 이것은 개인적이지만 네트워크에서 원하는 마지막 것은 서버로 가장하는 또 다른 데스크톱이라고 말할 수 있습니다 . 나는 지난 몇 년 동안 저에게 평생 동안 지속될 수있는 것들을 충분히 다루었습니다.

즉, IT는이 이니셔티브를 지원할 수 있어야합니다. "아니오"라고 말하는 것만으로는 충분하지 않습니다. 그들에게 당신의 (매우 실제적인) 요구를 충족시키는 대안을 생각해 보라고하십시오. 여기서 유일한 정치적 상황은 대안이 더 큰 스티커 가격을 가질 가능성이 있다는 것입니다 (아직 볼 수없는 비용을 계획하고 있기 때문에). IT 부서는 예산을 책정하지 않았기 때문에 원하지 않을 것이지만 지금 당장 만족 스러웠던 솔루션에 소비 한 비용의 6 배이기 때문에 위험에 빠질 것입니다.

또한 걸을 수 있기 전에 달리려고하는 것처럼 들립니다. 개발 프로세스를 개선하려고합니다. 전 개발자로서 저는 그것이 훌륭하다고 생각합니다. 그러나 많은 VM과 "환경"(예 : dev, stage, qa 등)을 버리지 마십시오. 새로운 프로세스가 어떻게 보일지, 개발자가 작업을 수행하는 방법을 계획하십시오. 지속적인 통합을 사용 하시겠습니까? 자동화 된 빌드? 어떤 소프트웨어를 사용하여 지원합니까? 개발자가 코드를 프로덕션 또는 스테이징으로 옮길 수 있습니까? 아니면 QA만이 그 능력을 갖습니까? 별도의 준비가 필요하십니까? 두 가지 개발 브랜치는 어떻습니까 (하나는 vNext, 하나는 vCurrent 관련 버그)?

개발 책임자 나 관리자가이 모든 것을 해결할 수 있도록 서버가 필요할 수도 있지만, 그렇다면 첫 번째 단계가되어야하며, 개발자가 실제 서버를 사용 하기 전에 설정 및 초기 프로세스 설계를 수행해야합니다. 사용하다.

1) 개발자가 어떤 유형의 사일로가 표준 네트워크 및 보안 정책을 가지고있어 이러한 유형의 비 (중앙) 관리 인프라를 일반적으로 (그리고 이해할 수있게) 배제 할 수있는 기업 내에 존재할 수있게했는지에 대한 논쟁 ?

없음 – 주로 조직에서 관리 역할을 수행하지 않기 때문에 이러한 "정치적 요소"가 실제로 관여하지 않기 때문입니다. 실제로 저를 설득 할 수있는 유일한 주장은 네트워크 정책에 명시 적으로 위반하고 시스템 운영 팀의 통제 및 가시성에서 면제되는 것을 허용하는 것입니다. 상사의 상사로부터의 에어 갭과 CYA 편지입니다.

내가 "아니오"라고 말하는 사업이 되고자하는 것이 아니라, 운영 팀의 관점에서이를 끝내기위한 좋은 방법이 없다는 것입니다.

1. 우리는 기본 기술 세트가 전체 네트워크와 관련 문제 공간을 볼 수없는 네트워크의 서버를 관리하지 않는 사람들이 관리하는 서버로 끝납니다. 이것은 단지 "보호"잔디의 정치적 문제가 아닙니다. 예를 들어 개발자가 어떤 이유로 DHCP를 켤 때 어떤 일이 발생하는지 상상해보십시오.
2. 결국 개발 팀의 서버를 관리하게됩니다. 이것은 반대의 이유로 지저분합니다. 개발자들은 우리가 이것을 패치하고 있다는 것을 끊임없이 고민하고 있습니다. 이는 운영 팀이 부담과 괴로움을 느끼고 개발 팀이 좌절과 무시 감을 느끼는 교착 상태로 빠르게 변합니다.
3. 정치적 결과가 있습니다. 개발자가 왜 "특별"한지, 왜 네트워크 정책에서 면제되는지 다른 부서에 설명해야하기 때문입니다.

2) 이는 개발자가 기술 또는 비즈니스 타당성을 제시하고 패치 관리 및 AV가 일어날 수 있도록하는 것, 또는 제어 및 소유권에 대한 정치적 투쟁의 문제입니까?

개발자가 비즈니스 사례를 만들어야 할 필요는 없다고 생각합니다. 개발자가 개발해야하고,이를 위해서는 어떤 종류의 개발 환경이 필요하다는 것이 분명합니다. 패치 관리 및 AV에 관해서는 이것이 운영 팀의 일이며 우리는 그것이 완료되도록 보장 할 것입니다. 개발자가 할 수 없다고 생각하는 것은 아닙니다. 시스템 관리자는 시스템 관리자가 시스템을 유지하고 있습니다. 시스템 관리자 는 아무것도 할 일을 전혀 믿지 않으므로 개인적인 일이 아닙니다. 물론 다른 사람이 "직업을하는 것"과 같은 느낌의 정치적 문제가 있지만, 이는 실제로 기술적 인 문제가 아니기 때문에 SF의 범위를 벗어납니다.

3) 선택의 여지가 있다면 하드웨어 / OS의 소유권과 지원을받는 동안 개발자에게 로컬 관리자 권한을 부여하거나 패치 관리 / AV를 설치하고 책임을 져야하는 책임을지게하면서 완전히 관리하도록 하시겠습니까? 문제?

위에서 설명한 이유로도 마찬가지입니다.

4) 개발자가 인프라에서 "불량 서버"를 로컬에서 제어 할 수 없도록 차단 한 경우 개발자가 개발 환경을 연결이 끊긴 VLAN / 완전히 분리 된 네트워크로 이동 했습니까?

에어 갭. 이 상황을 처리하는 가장 좋은 방법은 개발자에게 환경 (및 환경 제어)을 제공 한 다음 에어 갭 또는 다른 강력한 방법을 사용하여 네트워크와 분리하는 것입니다. 이것은 본질적으로 우리가 공공 와이파이를 처리하는 방법입니다. 당신은 와이파이 서비스를 원하십니까? 확실한. 네트워크 연결에 대한 비용을 지불하면 WAP를 관리하지만 네트워크에는 영향을 미치지 않습니다. 죄송합니다. 당신의 요구는 수백 가지 중 하나 일뿐입니다. 고려해야 할 다른 문제가 있습니다.

기술적으로 영리한 개발자는 어쨌든 원하는 것을 얻을 수있는 방법을 찾을 것이기 때문에 거절하는 것은 아닙니다. 따라서 고객의 요구에 맞는 환경을 제공하고 행복하게 한 다음 개발 환경에서 수행 하는 모든 작업이 비즈니스 네트워크의 나머지 부분에 닿지 않도록하는 방법을 찾으십시오 .

TL; DR : 별도의 물리적 네트워크 또는 VLAN에서 원하는 가상화 플랫폼을 갖춘 서버를 제공합니다. 개발 환경에 대한 액세스는 운영 팀이 제어하고 모니터링하는 단일 요새 호스트를 통해 이루어집니다. 비즈니스에서 수행하는 작업-지원되지는 않지만 서버 관리 측면에서 시간이 허락되면 조언과 도움을 제공합니다.

소비자 급 RAM, 소비자 급 HDD, 소비자 급 PSU 및 소비자 급 RAID가 장착 된 워크 스테이션 급 컴퓨터를 가지고왔다면 서버 네트워크에 두는 것도 거부 할 것입니다.

서버 VLAN에 이와 같은 것을 넣는 것에 대해 이해해야 할 것이 많이 있습니다.

1. 서버 VLAN은 DMZ 일 수 있습니다. 비무장 지대에서 당신은 넣지 마십시오 아무것도 강화 및 확보되지 않습니다. 이것은 당신이 그들에게 건네 준 기계 일뿐입니다. 또한 정기적 인 패치 및 업데이트를 의미하며 중앙에서 관리됩니다. 관리되지 않는 각 서버에 로그온하지 않고 직접 패치를 적용하지 않을 것입니다.

2. 해당 시스템의 구성 요소가 실패합니다. 약속합니다. 6 개월이나 12 개월, 24 개월 안에 배가 올라갑니다. 그렇다면 백업은 어디에 있습니까? 오, 설정 안했어? 그러나 나는 그것이 서버라고 생각 했습니까? 아, 다른 사람이 프로비저닝 한 서버? ... 그리고 비난 게임이 다시 시작됩니다.

3. 충돌로 인해 누가 팬을 때리나요? 대부분의 조직에서 "나는 그것을 돌봐 줄 개발자에게 주었다"는 날지 않을 것입니다.

4. 그들은 어디에 넣을 것인가? 요즘 서버는 모두 랙에 장착되어 있으며 타워에 랙을 설치하면 공간이 낭비되므로 랙이 적합하지 않을 수 있습니다.

따라서 IT 부서는이 임의의 컴퓨터를 서버 네트워크에 두지 않는 것이 매우 정당합니다.

그러나 업무를 올바르게 수행 할 수 있도록하는 것은 IT 부서의 업무입니다. 그들은 필요할 때 필요한 것을 가지고 있는지 확인해야합니다. 비즈니스 를 계속 운영 해야하는 소프트웨어가있는 경우이를 실행할 수있는 플랫폼을 제공 해야 합니다. 그것이 그들의 직업 설명입니다. 그러나 업무 수행에 필요한 정보가 있는지 확인해야합니다.

조직에서 새로운 프로젝트를 시작한다고 말하면 Dev, Live 및 Staging이라는 3 개의 VM을 제공했을 것입니다. Dev에 대한 전체 관리자 권한이 있으며 다른 두 가지 작업을 수행하는 데 필요한 사항에 대해 논의합니다. 그들에게 모든 관리자 권한이 필요하고 정당화 할 수 있다면 얻을 수 있습니다. VM 배포가 중단되었습니다. VMWare는이 작업을 매우 간단하게 만듭니다. VM을 배포하는 데 VM 당 약 5 분이 걸립니다.

IT 부서가 대기업의 모든 IT 부서가 겪는 어려움으로 고통받는 것처럼 들립니다. 작은 성을 짓고 당신의 삶을 지키고, 다른 사람들을 들여 보내지 않고, 보살 피는 등. 매일 다른 사람들의 IT 부서를 다루는 사람으로서, 나는 항상 그것을 봅니다. 그리고 그것은 좌절입니다.

기본적인 사실은 IT 부서 내에서 변경이 이루어져야하며 그 위에서 변경해야한다는 것입니다. 그리고 IT 부서가 자신에게 힘이 아니라는 사실을 알 수 있다면 (대부분의 기업에서 수입을 창출하지 못하기 때문에 이는 상당히 큰 타격이 될 수 있음) 기존 직원 을 지원하기 위해 존재합니다 및 향상 모두가 행복한 가정을 재생되기 때문에 다음, 당신의 질문에 무관하게 찾을 수 있습니다, 사업.

왜 도메인에 추가하고 싶습니까? 다른 방법으로 질문하면 더 나은 답변을 얻을 수 있습니다. 회사 LAN에 연결되어 있지 않은 한 원하는대로 수행 할 수 있도록 랩을 설정할 수 있습니다. (인터넷에 액세스해야하는 경우 DMZ 지원 VLAN을 얻을 수 있습니다. 특히 다운로드와 같이 외출 하기 위해 VLAN을 사용하는 경우에는 문제가되지 않습니다 .)

그것은 그 질문에 대한 많은 많은 다른 답변 중 하나입니다.

환경의 모든 부분에 대해 관리자 액세스 권한을 가진 개발자 (아마도 대부분 반대)에 대해 많은 답변을 얻을 수 있지만 결론은 다음과 같습니다.

sysadmin 그룹은 프로덕션 시스템을 안정적이고 안전하게 운영하는 업무를 담당하며, 해당 시스템이 회사가 지불하는 서비스 (예 : 지불하기 때문에)가 원하는 수준으로 서비스를 제공 할 책임이 있습니다.

마찬가지로, 개발팀은 비록 다른 분야에도 불구하고 회사 (웹, 앱 등)에 서비스를 제공하는 임무를 맡았습니다. 개발 환경에 대한 통제를 위해 싸우는 것은 비생산적이며 어느 쪽에도 유용한 목적을 제공하지 않습니다.

나는 작은 ISV / ASP에서 일합니다. 한 명의 개발자와 한 명의 sysadmin (me)이 있습니다. 우리는 상호 존중과 신뢰를 바탕으로 관계가 있습니다. 회사의 중요한 목표를 달성하기 위해 팀으로 일해야합니다. 개발자에게 워크 스테이션과 서버가 포함 된 개발 환경에 완벽하게 액세스 할 수 있습니다. 보안, 업데이트, AV 및 하드웨어를 위해 개발 시스템을 관리하고 나머지는 나머지를 수행합니다. 코드를 제작할 준비가되면 코드를 전달하고 필요한 구성을 도와 주며 뒤로 물러납니다. 우리는 서로에게 상호 지원을 제공합니다.

개발자는 개발 환경의 마스터 여야하고 Sysadmins는 합리적인 경계 내에서 합리적인 점검, 균형 및 제어를 통해 프로덕션 환경의 마스터 여야합니다. 어느 쪽이 "교차"해야 할 경우, 그들의 통치와지도하에 "당국"과 협력하고 협력해야합니다.

우선, 내 경험은 소규모 조직에서 엄격하지만이 문제는 모든 규모의 회사에서 발생합니다.

1.  What arguments have your developers made that won you over to
allow these types of silos to exist within enterprises which have
standard network and security policies in

제 관점에서 개발자가해야 할 유일한 주장은 "우리는 이것을 필요로합니다"입니다. 그들이 먼저 나에게 온다면, 나는 그들의 필요를 이해하고 우리가 해결할 수있는 것을 보려고 노력할 것입니다. 그러나 궁극적으로 그들이 "우리는 이것을 필요로한다"고 말하면 나는 그들이하고있는 일을 알고 있다는 의심과 신뢰의 이점을 줄 것입니다.

그러나 그것은 시작에 불과합니다. 그것은 방정식의 "Pro"쪽입니다. "콘"은 우리가 곤경에 빠지는 곳입니다 ...

2. Is this just a matter of the developers making a technical or
business justification

"단지"가 놀라운 과소 평가를 제외하고 개발자가 기술 및 비즈니스 정당성을 제시 할 수 있다면 문제는 없을 것입니다. 여기 및 프로그래머에 대한 다른 사람들 (SE 질문이 마이그레이션 된)은 설정에 많은 함정을 지적 했으므로 반복하지는 않습니다. 당신이 그 문제와 IT 부서의 생각 어떤 다른 모든 처리하고 정당화하기위한 계획을 마련하는 경우 모든 비용을, 그것은 의미가 앞서 갈 수 있습니다.

3.  Given the choice, would you prefer to take ownership and support
of the hardware/OS while giving devs local admin rights,

이것은 스타터가 아니며 동일한 시스템을 관리하려는 다른 목표와 책임을 가진 두 그룹을 가질 수 없습니다. 그것은 나쁘게 끝나지 않을 것이고, 나쁘게 시작하여 유혈로 끝날 것입니다.

(more of 3.) ... or let them manage it entirely, while ensuring that
they institute patch management/AV and charging them with
responsibility should they cause problems?

나는 이것이 2에 대한 나의 대답에 의해 커버된다고 생각한다. 이것들은 그들이 해결책을 제시해야 할 기술적 세부 사항이다.

4.  If you successfully blocked developers from having local control
of "rogue servers" on your infrastructure, did the developers just
make due or did they (or you) move the development environment to a
disconnected VLAN/entirely separate network?

kce : "Air-gap"에 동의합니다

개발자가 (환경 관리자가 됨) 추가 오버 헤드를 정당화 할 수있는 경우 개발자는 무료 고삐가있는 자체 미니 네트워크를 가질 수 있지만 완전히 격리됩니다. 나머지 네트워크에는 아무런 영향을 미치지 않습니다. 따라서 "중요한 데이터를 어떻게 백업 할 것인가"와 같은 기술적, 비즈니스 적 정당성을 제시해야합니다.

다시 한 번 kce에 동의해야합니다. "시스템 관리자는 올바른 작업을 수행 할 수있는 것을 신뢰하지 않기 때문에 시스템 관리자를 유지합니다."신뢰할 수없는 구성 요소 중에서 가장 신뢰할 수있는 시스템을 구축하는 것이 우리의 임무입니다. 숙련 된 sysadmin이 믿을 수 없을 정도로 색다른 것을 알고있는 것은 다량의 부정적인 반응을 보일 것입니다.

여기에 그리고 프로그래머에 대한 답변과 의견에서, 나는 당신이 고려하지 않은 측면이 있음이 분명하다고 생각합니다. 시간이 더 걸리 겠지만, IT 담당자와 대화하고 다른 방식으로 다른 것을 제시해야한다고 생각합니다. "우리가해야 할 일은 기존 인프라와 운영에 통합 할 수있는 방법이 있습니까?"

일반적인 문제는 수백만 건의 유사한 경우입니다.

1) 퍼지 책임-회사 근로자의 행동과 이익 사이에는 직접적인 관련이 없습니다. 그는 측정하기가 더 어려운 조직의 규모가 클수록 효과가 아닌 월 단위로 지불됩니다. 그것은 보안, 관리자 등에 적용됩니다. 그들이 당신의 일을 비 평화한다면, 그들은 상관하지 않습니다.

2) 정책 입안자와 보안은 일반적으로 프로그래밍에 대한 지식이 거의 또는 전혀 없다. 그들은 관심이 있더라도 (보통 적용되지 않는) 일을 마비시키고 있다는 것을 이해할 수 없었습니다.

3) 안보 분야에서 바람직한 심리적 프로파일은 편집증 성격 또는 강박 장애입니다. 이 사람들은 어디서나 음모를 봅니다. 개발자가 새로운 서버와 같은 것을 원한다면 반드시 기업 서버를 사용하여 회사 데이터를 훔쳐 위키 리크에 게시하거나 북한에 판매하려고합니다.