IRF vizsgatémakör-kidolgozások
Ez az oldal a korábbi SCH wikiről lett áthozva.
Ha úgy érzed, hogy bármilyen formázási vagy tartalmi probléma van vele, akkor, kérlek, javíts rajta egy rövid szerkesztéssel!
Ha nem tudod, hogyan indulj el, olvasd el a migrálási útmutatót.
Modellezés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges előadásdiák: 3. (IT Infrastruktúra modellezése)
Célja: Komplexitás kezelése
Metamodell: Modellezés modellje: Sablon definiálás, kényszerek, összefüggések
Példánya Konkretizáció ----------> -----------> Metamodell Modell Rendszer <--------- <----------- Típusa Absztrakció Meta szintek Absztrakciós szintek Több szinten is lehetnek(több absztrakciós és több meta szint)!
Modellezési lehetőségek:
- Kézi rajz
- Visio ábra
- Visio ábra + adatkötés
- UML
Szabványos modell nyelvekben definiáltak:
- Elemkészlet (absztrakt szintaxis)
- Ábrázolásmód (konkrét szintaxis)
- Jelentés (formális szemantika)
- További kényszerek (jólformáltsági szabályok)
UML:
Általános modellező:
- Struktúra leírására: Osztály, objektum, komponens, telepítés
- Viselkedés leírására: use-case, állapotgép, aktivitás, interakció
Osztálydiagramm elemkészlet:
- Osztály
- Attribútum
- Kompozíció
- Öröklődés
Metaszintek:
- UML metamodell
- Osztály
- Objektum
IT struktúra modellezése: metamodell(~osztály), példány(~objektum)
Modellezés haszna: ellenőrzés(típushelyesség, kényszerek), generálás
XML: jól formált, valid
XSD: elemek: element, comlexType, sequence, attribute
-- sashee - 2009.05.13.
- forras: 03-IRF-2009-modellezes
- modellezes: a rendszer absztrakt abrazolasa
- cel: komplexitas kezelese
- metamodell: modellezesi nyelv modellje
- kapcsolatok az egyes szintek kozott: tipusa/peldanya - metaszint, absztrakcio/konkretizacio - absztrakcios szint
- uml (csak a legalapvetobb jelolesek):
- vonal es csillag a vegen: 1-n kapcsolat
- ures landzsa: orokles
- sima nyil: asszociacio (ha nem orokles akkor kell neki adni vmi nevet)
-- Vajna Miklós - 2009.05.29
IT folyamatkezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges előadásdiák: 4. (Folyamatkezelés és modellezés)
Mukafolyamat: Azon lépések sorozata, melyeket egy adott cél elérése érdekében meg kell valósítani.
Folyamatok modellezése: Aktivitás diagramm
Elemei:
- Akció
- Döntés
- Elágazás
- Objektum
ITIL: Information Technology Infrastructure Library
Céljai:
- Best practice gyűjtemény
- Közös nyelv: mi a probléma, incidens, szolgáltatás
- Nem foglalkozik implementációval
Fő területei:
- Service Strategy (hosszú távú tervezés)
- Service Design (új szolgáltatások tervezése)
- Service Transition (implementálás, bevezetés)
- Service Operation (napi üzemeltetés)
- Continual Service Improvement (folyamatos mérés, javítás)
Alterületek(példák, sok van):
- Kapacitástervezés
- Rendelkezésre állás
- Konfiguráció kezelés
- Változáskezelés
- Telepítés kezelés
- Incidens kezelés
- Problémakezelés
-- sashee - 2009.05.13.
Folyamatmodellezes
- forras: 04-IRF-2009-folyamatkezeles
- workflow: cel erdekeben elkovetendo lepesek sorozata
- uml jelolesek
- belepes: sotet kor
- kilepes: lyukas kor
- akcio: lekerekitett teglalap
- dontes: rombusz
- elagazas: ||}
- teglalap: objektum
- soa: komplex alkalmazasok szolgaltatasokra bontasa, ezek kozott jol definialt interfesz, lazan csatolt architektura
- itil: information technology infrastructure library, best practices gyujtemeny, de nincs benne konkret megvalositasrol szo
- itil alteruletek: kapacitastervezes, rendelkezesreallas, incidenskezeles, problemakezeles, konfiguraciokezeles, valtozaskezeles, stb.
- itup: ibm tivoli unified process
- mof: microsoft operations framework
- gartner: it erettseg szintjei (0..4)
- mio: microsoft infrastructure optimization, technologiak menten lebontva az egyes szintek (pl desktopon mi kell az egyes szinteken)
-- Vajna Miklós - 2009.05.29
Felhasználókezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasor: 5. (Felhasználókezelés)
Rendszer biztonsága = leggyengébb láncszem biztonságossága
C.I.A.:
- Bizalmasság (Confidentability)
- Sértetlenség (Integrity)
- Rendelkezésre állás (Availability)
Cél:
- Rendszer mindig az elvárt módon működjön
- Illetéktelenül ne lehessen adatokhoz jutni, műveleteket végezni
Engedélyezés (Autorizáció)
Hitelesítés (Autentikáció)
- Tudás alapján azonosítható a felhasználó(pl. jelszó)
- Mindenhol szükséges
- Protokollok (Kriptográfia)
Linuxon a felhasználókezelés:
- User: UID, name, password, shell, home directory, comment, expiry date
- Group: GID, name, (password)
Windowson:
- SID: ez alapján azonosítja a rendszer a felhasználót(nem név alapján)
- registryben tárolódnak a felhasználók
- Hozzáférési tokenek
-- sashee - 2009.05.16.
- forras: 05-IRF-felhasznalokezeles
- biztonsag: egyre tobb problema: tervezes-implemenacio-uzemeltetes
- "leggyengebb lancszem"
- biztonsag fogalma: sertetlenseg (integrity), bizalmassag (confidentality), rendelkezesre allas (availability)
- hitelesites (authentikacio, igazolom, hogy en vagyok pisti) vs engedelyezes (authorizacio, mit csinalhat pisti)
- biztonsagi entitasok windows alatt: principal, belole user/group/machine (usernek <gep sid>-<rid> a sidje)
- azonositas: windows alatt ntlm v kerberos
- bash, powershell
-- Vajna Miklós - 2009.05.29
Címtárak
TODO: utolsó módosítás 2011-ben, frissíteni!!!
Szükséges diasor: 6. (Címtárak)
Címtár:
- Nyilvános adattár, címjegyzék
- Felhasználó adatai, számítógépek adatai, biztonsági információk
- Hitelesít: Beléptetéshez hozzá fordulnak a szerverek(így központi lesz a felhasználókezelés)
LDAP(Lightweight Directory Access Protocol):
Séma:
- Statikus, konfigurációs fájlokból
- Szabványok
- Minden elemnek (osztály, attribútum) van azonosítója
- Öröklés
- Attribútumok: Opcionális vagy kötelező, multiplicitás
- Referenciák stringek(DN)
Objektumok:
- RDN: Kitüntetett attribútum, azzel azonosítjuk(~primary key)
- DN: A tartalmazások mentén azonosítható minden objektum a szülők RDN listájával
- Referenciák: DN alapján hivatkoznak
- Típus - példány kapcsolat is referencia, ez az objectClass
- Egy objektumnak több típusa is lehet, akkor az attribútumok uniójával fog rendelkezni
Műveletek:
- Bind: csatlakozás
- Search: lekérdezés, keresés
- Update: módosítás
Active Directory:
- Microsoft címtár implementációja
- Fa szerkezet, belül ez is LDAP
- Hierarchia eleme: szervezeti egység (OU)
- Szerkezeti szintek: tartomány, fa, erdő
Csoportházirend (Group Policy):
- Windows
- Kötelezően érvényre jutó beállítások
- Helyi rendszergazda nem tudja felülbírálni
- Fajtái: számítógép és felhasználó szintű
- Policy vs. Preferences
Identity management
-- sashee - 2009.05.16. -- KoviBalu - 2011.05.30.
- forras: 06-IRF-cimtarak
- kozos adatter, innen tud hitelesiteni majd a webserver, vpn, ssh, stb.
- dns, nis, ldap, ad
- ldap: lightweight directory access protocol
- ldap sema -> cimtar tartalom, hierarchikus
- muveletek: bind, search, update; lekerdezheto a sema is
- rdn: megmondja, hogy melyik attributum az ~ elsodleges kulcs
- gyokernel az rdn altalaban a dn, a tobbinel a cn, igy dn,cn parral egyedileg azonosithato mindenki
- az objectClass referencia mondja meg h az object melyik class peldanya
- az objectClass az egy lista! (eredmeny az attributumok unioja)
- ad: active directory, ldapon alapulo nemszabvanyos megoldas
- ds* parancs kezeli vagy powershell vagy gui
-- Vajna Miklós - 2009.05.29
Engedélyezés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasor: 7. (Engedélyezés)
Engedélyezés(Autorizáció): Mihez van joga a felhasználónak
Általános séma:
- A szereplőt egy adatszerkezet reprezentálja
- A jogosultság egy reláció a szereplők és a védett objektumok között
A rendszer működése során:
- A szereplők műveleteket végeznek
- A műveletek kontextusa tartalmazza a szereplő azonosítóját
- A döntő komponens engedélyezi vagy megtiltja a hozzáférést
- A végrehajtó biztosítja, hogy a döntés érvényre jusson
A rendszer karbantartása során:
- Jogosultságok beállítása
Általában nincs leállás karbantartásra:
- A jogosultságokat leíró adatszerkezet is védett adat
- A jogosultság módosítások azonnal érvényre jutnak
Kihívások:
- Sok szereplő, sok védett objektum, ezért sok lehetséges jogosultsági reláció
- Rendszeres karbantartás szükséges(árva felhasználók,...)
- Törvényi követelmények is lehetnek(naplózás,...)
Fajtái:
- Kötelezőség
- Kötelező
- Belátás szerint
- Szint
- Rendszer szintű
- Erőforrás szintű
- Fajta
- Integritási szintek
- Hozzáférési listák
RBAC(Role Based Access Control): A felhasználókhoz szerepeket rendelünk(hierarhikus), és a szerepekhez rendeljük a jogosultságokat
Linux fájlrendszer jogok (védelmi kód):
- 3*3 bit
- Saját, csoport, többiek
- Olvasás, írás, végrehajtás
- könyvtáraknál olvasás: tartalom listázása; írás: fájl létrehozása, átnevezése, törlése; végrehajtás: tartalmazott fájl elérése
- +3 bit:
- könyvtárakra
- sticky bit (aka t-bit): csak tulajdonos törölhet belőle (amúgy írásjog elég lenne a könyvtárra)
- setgid: csoport öröklődik
- normál (futtatható) fájlokra:
- setuid, setgid: A fájl tulajdonosának a nevében/csoportjában fut (effektív uid/gid)
- könyvtárakra
- Execute tiltás hatása öröklődik a könyvtárakon
Windows csoportházirend:
- Számítógép szintű (SW telepítés, tűzfal,....)
- Felhasználó szintű (képernyő beállításai,...)
- Öröklődés, felüldefiniálás
-- sashee - 2009.05.16.
- forras: 07-IRF-engedelyezes
- hozzaferesi matrix
- torveny: jogosultsagok szetvalasztasa, naplozas
- jogosultsagkezeles:
- kotelezoseg: kotelezo ha kozponti jogosultsagellenorzes, belatas szerint ha tovabb lehet osztani a jogokat
- szint: rendszer szint, eroforras szint (?)
- fajta: ingegritas szintek (no read up, no write down - vagy forditva :P), hozzaferesi listak (acl, rbac)
- xacml (xml + acl)
- linux: bla bla, orokles csak diren exec hianya oroklodik lefele
- windows:
- mandatory integrity control: no write up, ie hasznalja pl
- rendszerszintu jogosultsagok: privilege (gep elallitas, driver telepites, stb) es accountright (ki lephet be, honnan lephet be, stb)
- dacl: discretionary acl, objektumokra. owner akkor is valtoztathat rajta ha nem lenne egyebkent joga. egyebkent engedelyek unioja, de tiltasnak nagyobb prioritasa van
- group policy: gepre es felhasznalora is
-- Vajna Miklós - 2009.05.29
Azonosságkezelés
Szükséges diasor: 8. (Azonosságkezelés)
Egységes azonosságkezelés:
Feladatai (példák):
- Jelszó lejárásáról értesítő küldés
- Inaktív azonosítók szűrése
- Soha sem használt azonosítók szűrése
- Csoport tagságok módosítása
- Lejárt szerződésű felhasználók törlése
- Időzített/triggerelt események
- Ezt adott(bármilyen) infrastruktúrán
Előnyei:
- Rendszermérnök és nem a rendszergazdák határozzák meg a hozzáférést
- Felhasználók életciklusának a kezelése
- Központosított kockázatkezelés
- Egyszerű interface
- Központi házirend kezelés
- Csoporttagságok központi kezelése
- Felhasználótárak és IT erőforrások egységes kezelése
- Egységes jelszókezelés és kérelmek intézése(felhasználói szemszögből)
- Jelentések generálása
Hátrányai:
- Csak jól karbantartott infrastruktúrán működik
- Plusz technológia, karbantartás
- Bevezetés költsége
- A szervezeti felépítés és IM adminisztráció nem egyezik
- Hamis biztonságérzetet adhat, ha rosszul van beállítva
Logikai megvalósítások:
- Egy címtár
- Minden egy helyen van karbantartva
- Mindent egyetlen címtárhoz kell integrálni
- Több címtár
- Flexibilis
- Nehezen karbantartható
- Nehéz házirendeket definiálni
- Árva felhasználók
- Metacímtár (másolat az összes adatról)
- Egységes kép a rendszerről
- Több adminisztrációs belépési pont
- Teljesítménykorlát
- Komplex szabályrendszerek
- Saját adminisztrációs eszközök (adott gyártó eszközeit fogja össze)
Házirendek:
- Általános szabályok (szerep vagy csoport alapú)
- Felhasználói fiókok kezelése
- Prioritás, ütközések feloldása
- Központi rendszeren és a menedzselt erőforrásokon is vannak(szinkronizáció szükséges)
Munkafolyamatok:
- Elemi lépések + feltételkiértékelés
- Kérelmek elbírálása
- Eszkaláció
- Webes felület, email küldés, időzített események
-- sashee - 2009.05.16.
- forras: 08-IRF-identity-management
- cel: ne legyenek elfelejtett felhasznalok, ne kelljen mindent ldapbol authentikalni -> lehet masolat, csak legyen rendesen szinkronizalva
- a cel rendszeren lehetnek "arva" fiokok, csak ez legyen elore megadva, es akkor normalis (pl windows everyone, stb.)
- itim: ibm tivoly identity manager. adatokat ldapban es rdbmsben is tarol.
-- Vajna Miklós - 2009.05.29
Konfigurációkezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 9. (Konfigurációkezelés), 10. (Konfigurációkezelés Windowson)
Feladatai:
- Információ tárolás
- HW leltár
- Hálózati eszközök és topológia leírása
- OS és SW leltár
- SW licenszek
- OS beállítások
- Erőforrások
- Konfiguráció lekérdezése és távoli módosítása
Architektúra:
Kliens* lib/tool? ^ | \/ Konfiguráció-menedzser<---->.... ^ | \/ "Provider"* *: Több is lehet ?: nem biztos, hogy van
- Hordozóprotokoll
- Operációk
- Adatok
- Operációk
CIM(Common Information Model): Adatmodell, mellyel leírható a konfiguráció
Felépítése:
- Objektumorientált szemlélet (~osztálydiagramm)
- Példányosítás, metódushívás
- Meta séma(lásd diasor:9. sor 26-28)
MOF(Managed Object Format): Menedzselt információk deklaratív leírása (CIM meta séma konkrét szintaxisa)
WBEM(Web Based Enterprise Management): Szabványkészlet
- CIM-XML vagy WS-Management
- CIM Query Language
- WBEM Discovery Using the Service Location Protocol
CIM-XML: XML-ben reprezentált CIM információ-csere HTTP felett
- DTD-t használ, ez a CIM metasémát írja le
WS-Management:
- Webszolgáltatás alapú
- Műveletek
- DISCOVER: Erőforrás felderítés
- GET, PUT, CREATE, DELETE: Erőforrás kezelés
- ENUMERATE: Gyűjtemények elemeinek a felsorolása
- SUBSCRIBE: Eseményekre feliratkozás
- EXECUTE: Metódus meghívása
-- sashee - 2009.05.16.
- forras: 09-IRF-konfiguraciokezeles-alapok, 10-IRF-2009-konfiguraciokezeles_windows
- alapok
- cmdb tartalma: license-ek, halozati topologia, szolgaltatasok vs eroforrasok, stb.
- cmdb egy adatbazis, modell kell hozza, ez lesz a cim (common information model)
- oo modell: peldanyositas (useradd), metodushivas (gep restart), stb.
- cimom: cim object manager, modelleket kezel .mofban
- wbem: web based enterprise managenent, (tobbek kozott) cimet hasznalja, eszkoz ra windowson: wbemtest.exe. nem konkret protokoll, az majd a cim-xml meg a ws-management lesz.
- cim-xml: http felett, definialja a cim query language-t is
- wbem(cim-xml) tamogatas sok helyen: openpegasus (rhel, vmware, stb), openwbem (sles), pywbem, stb
- sblim: stanrads based linux instrumentation, ennek kereteben keszult: cim provider rpmhez, perlhez, "cim java api", stb
- small footprint cim broker, egy cimom beagyazott rendszerekhez
- linuxos cmdline tool: wbemcli
- cmpi: common manageability programming interface, szabvanyos cimom provider interface. van benne peldany szolgaltato, metodus szolgaltato, stb
- windowson
- wmi
- cmdline tool: wmic
- hozza wql: wmi wmi query language
- ws-management: web services for management, ez se csak cimre jo...
- muveletek: discover, get, put, create, delete, subscribe, execute
- az egesz https es soap felett
- implementacio: winrm, openwsman (cim-xmlbol fordit)
- winrm tudja a wmit meg annal is tobbet, vista ota (hogy ne kelljen dcommal szenvedni)
- winrm nevu cmdline tool, winrs (windows remote shell)
CMDB
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 11 (CMDB)
Előnyei:
- Központi helyen tárolódnak az adatok
- Szabványos formában
- IT infrastruktúra modell (elemek+kapcsolatok)
- Modell ellenőrzés: Valóságnak megfelel, ellentmondásmentes
- Diagnosztika: Esemény hatása, hiba okának felderítése
Architektúra: 11. diasor 14. dia
Alappillérei:
- Föderáció: Több adatraktár, közöttük külső kulcsok, a részletes adatokat csak ezeken keresztül lehet elérni
- Összeegyeztetés
- Szinkronizáció
- Vizualizáció és leképzés
Autómatikus felderítés:
- IP scannelés (Subnet vagy IP range)
- Port scannelés
- Általános számítógép scannelés
- Specifikus számítógép scannelés
-- sashee - 2009.05.17.
Konfiguraciokezelo adatbazisok (CMDB)
- forras: 11-IRF-2009-CMDB
- motivacio: hogy lassuk h pl hdd ledoglese mit erint, $foo szabvanynak megfelelunk-e
- cmdb: tarolja a teljes infrastrukturat
- termelo-fogyaszto: szabvanyos interfeszen tolnak bele (szenzorok) / vesznek ki belole adatokat
- felderites: agens alapu v megbizoleveles (besshzunk)
- vagy megbizolevel-mentes: nmap, ping, stb (lehet aktiv v passziv, pl wireshark)
- itil cmd: relevans infok elemekrol (ci, configuration item) es a koztuk levo kapcsolatokrol
- nagyvallalai cmdbk:
- foderacio: nem egy db, hanem sok, es kulso kulcsok
- osszeegyeztetes: kulonbozo dbkben levo ci-ket felismerni ha azonosak
- szinkronizacio: eleg legyen egy helyen megvaltoztatni a user uj lakcimet
- vizualizacio es lekepezes: lehessen reportot generalni + szurni
- cmdb resze a ci-k modellje is!
- cmdbf: ipari szabvany cmdb-k kozt
- ibm taddm (tivoli application dependency discovery manager): cmdb ibm modra
- automatikus felderitas: ping, os, portscan, server-specifikus lekerdezesek
-- Vajna Miklós - 2009.05.29
Rendszermonitorozás
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 12. (Rendszermonitorozás)
Célja: Folyamatos képet kapjunk
- Infrastruktúra, eszközök működőképességéről
- Terhelésről, erőforrás kihasználtságról
- Topológiáról, konfigurációról
- Biztonságról
Részfeladatai:
- Adatgyűjtés
- Beavatkozás
- Megjelenítés
- Riasztás
- Pillanatnyi adatok tárolása
- Historikus adatok tárolása
Adatgyűjtés: Hálózaton keresztül kérjük le, beépülő ágens segítségével
- Hardverben
- Állapot-, és parancsregiszterek (állapotkiolvasás, beavatkozás)
- Külön processzor
- Szoftverben
- A megfigyelt szoftver nincs felkészítve a megfigyelésre
- Ágens külön folyamat, OS-en keresztül figyel
- Belső adatstruktúrákhoz nem fér hozzáa
- A megfigyelt szoftver fel van készítve a megfigyelésre
- Forráskód instrumentáció
- A megfigyelt szoftver nincs felkészítve a megfigyelésre
Lekérdezési lehetőségek:
- Pull: A központosító adatgyűtő kezdeményezi az ágensek lekérdezését
- Push: Az ágens kezdeményezi az adatok küldését a feliratkozott adatgyűjtőknek
Hálózatmenedzsment szabványok:
- SNMP (Simple Network Management Protocol)
- MIB: Lekérdezhető attribútumok szabványos leírása
- Fa struktúra, minden elemhez azonosító:OID (szintek pontokkal választva, amúgy szám)
- Metamodellje
- ObjectIdentifier: ~csomag
- ObjectType: ~osztály
- Csak tartalmazásai kapcsolat
- Kiegészíthető
- Saját bináris formátum
- Gyártóspecifikus kiegészítések
- Nem kérdezhető le, hogy az ágens milyen MIB kiegészítéseket ismer
- Hiányok
- Referencia
- Öröklődés
- Meta lekérdezési lehetőségek
- Dinamikus osztály-példány kapcsolat
- Műveletek
- getRequest: Attribútum érték lekérdezés
- getNextRequest: Következő érték lekérdezése
- getResponse: Érték elküldése
- setResponse: Attribútum beállítása
- trap: Esemény jelzés (eredetileg kivétel elfogása): aszionkron üzenettel értesítés
- walk: Részfa rekurzív lekérdezése
- MRTG (Multi Router Traffic Grapher): Forgalom monitorozása (BIX)
- Felderítés
- Üzenetszórás
- Csak az érintett gépek válaszolnak
- Biztonság
- Kötelezően implementált gyenge titkosítás
- Opcionálisan implementálható erős titkosítás
- Beléptetés, hitelesítés
- MIB: Lekérdezhető attribútumok szabványos leírása
- RMON
- Netflow/IPFIX
- SFlow
- CMIS, CMIP, CMOT
- Syslog
- Netconf
- JMX
- WBEM
- WSDM
Historikus adatgyűjtés
- Feladatai
- Historikus tárolás
- Tendenciák
- Következtetések
- Kihívás: Túl sok adat
- Aggregáció: Régebbi adatokat összevonjuk, tehát minél régebbi az adat, annál rosszabb a felbontása. Ezért külön kell menteni az érdekes részeket, melyeket nem akarjuk rontani.
-- sashee - 2009.05.17.
- forras: 12-IRF-rendszermonitorozas
- hogy ne akkor vegyuk eszre h gaz van ha szolnak a juzerek
- preventiv jelleg! :)
- szeretnenk kepet kapni a rendszer teljesitmenyerol, kihasznaltsagarol
- adatgyujtes + megjelenites + riasztas ha kell + historikus tarolas
- aganes: figyel + esetleg ertesit + egyszeru beavatkozasok
- vagy kulon process vagy builtin support
- pull/push modell. pull mint munin, pushnal az agens kezdemenyez
- szabanyok: snmp, syslog, jmx (jvm-ek monitorozasara), wbem
- szondazas (active proving): nincs kulon agens, csak userkent teszteljuk a szolgaltatast (pl monit). de itt is kell agens ha adott helyrol akarunk tesztelni.
- snmp: szabvanyos mib, agens a mib-et implementalja (mar amit..)
- kiterjesztheto, de nem kerdezheto le h milyen kiterjeszteseket hasznal a device
- muveletek: get, set, trap (ertesites feltetel teljesulese eseten async uzenetkuldessel adott ipre)
- mib es cim hasonlo, de mib kevesebbet tud, igy nem cmdb
- snmp vs wbem: binaris vs xml, configolni ne szokas snmpvel (pedig lehetne)
- gyakorlatban: peldaul mrtg, bix hasznalja
- historikus adatgyujtes: csak az "erdekes" reszeket taroljuk, az unalmas idoszakokban aggregalunk. (min/max/avg ertekek)
- munin: monitoroz, mrtghez hasonloan rrdtool oldja meg a historikus adatgyujtest, nagiossal kombinalva tud riasztani, max 50 gepig kenyelmes
-- Vajna Miklós - 2009.05.29
Eseménykezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 14. (Rendszermonitorozás - Eseménykezelés)
Az esemény fogalma: Az IT szolgáltatás- és rendszerfelügyeletben az esemény olyan adat, ami egy vagy több erőforrásról, illetve szolgáltatásról hordoz információt.
ITIL esemény menedzsment folyamata:
- Esemény analizáló
- Detect and Log Event
- Examine and Filter Event
- Correlate, Escalate and Process Event
- Resolve Event
- Close Event
- Esemény menedzser
- Establish Event Management Framework
- Evaluate Event Management Performance
Eseményfeldolgozás lépései:
- Szűrés
- Továbbítás
- Lassítás (pl. magas CPU használat nem baj, csak ha sokáig tart)
- Duplikátumok detektálása
- Elévültetés
- Korreláció (azonos probléma által generált események együttes kezelése)
- Eszkaláció
- Események állapotváltásának szinkronizálása feldolgozók között
- Notification
- Átvezetés a hibabélyeg kezelő rendszerbe
-- sashee - 2009.05.17.
- forras: 14-IRF-2009-esemenykezeles
- cel: mert ertekekben a valtozast eszrevenni
- naplozas != esemenykezeles
- hibaok (fault), ebbol hibas allapot (error), es emiatt a user lat egy hibahatast (failure)
- windows event log, cmdline tool: wevtutil.exe
- syslogd: "pri header msg", ahol pri = 8*facility+severity
- itil: event management
- feldolgozas: szures, tovabbitas, lassitas (100% cpu fel percig nem erdekes), diplikatumok keresese
- elevules
- korrelacio: 2 esemenynek lehet u.az az oka
- ibm tivoli netcool / omnibus: probe-ok + hozza egy inmemory rdbms ami alerteket tarol
-- Vajna Miklós - 2009.05.29
Szolgáltatási szintek
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 15. (Rendszermonitorozás - szolgáltatási szintek)
Szolgáltatásbiztonság attribútumai:
- Rendelkezésre állás
- Megbízhatóság
- Biztonságosság
- Integritás
- Karbantarthatóság
IT metrikák:
- Mérhető/számolható
- Rendszer/szolgáltatás jellemző
- Rendezett értelmezési tartomány
- + Időintervallum/időpont
GQM (Goal - Question - Metric)
- Goal: Cél, amit mérni akarunk
- Question: Mitől függ
- Metric: Mivel lehet mérni
SLA (Service Level Agreement):
- Szolgáltató és igénybevevő közötti megállapodás
- Minőségi jellemzők meghatározása
- Vonatkozó kötelezettségek
- Megsértés esetén eljárásrendről
SLA jellemzői:
- Minőségi jellemzők és korlátok
- Metrikák definiciói
- Mérés mikéntjének módja
- Szolgáltatási szint monitorozás és jelentés
- Ki mér?
- Vevő: van-e elég joga?, mi okozhat pontatlanságot?
- Szolgáltató: instrumentáció testre szabása, megbízható-e?
- Problémák jelentésének folyamata
- Problémákra reagálás és megoldás időkeretei
- SLA sértés következményei
- Felmentő-, és kivétel cikkelyek (pl katasztrófánál)
-- sashee - 2009.05.17.
- forras: 15-IRF-2009-szolgaltatasi-szintek
- szolgaltatas: onallo entitas, adminisztralni kell
- it metrikak: amit merni tudunk
- gqm: goal-question-metric
- pelda: online erzet, mennyit kell varnia a usernek az oldalmegjelenesre, ehhez letoltesi/renderelesi ido
- sla: mit vallalunk, ezek definialva, es ezekre fix ertekek, meres mertekenek definicioja, sla-sertes kovetkezmenyei, ki mer, problemak jelentesenek folyamata
-- Vajna Miklós - 2009.05.29
Virtualizáció
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 16. (Virtualizáció - Bevezető), 17. (Virtualizáció - Gyakorlati megvalósítások)
Definició: Ez erőforrás elvonatkoztatása az erőforrást nyújtó elemektől
Fajtái:
- Platform virtualizáció: Több OS egy gépen.
- Hosted: OS fölött egy alkalmazásként fut
- Bare-metal: OS alatt fut
- OS szintű virtualizáció
- Alkalmazás virtualizáció
- Alkalmazás futtatókörnyezetek
- Desktop virtualizáció
CPU virtualizáció fajtái:
- Tiszta emuláció: A vendég kódját nem futtatja, haem adatként feldolgozza
- Lassú
- Eltérhet a host és a vendég utasításkészlete
- Interpreter / JIT
- Trap & Emulate: Emulálja a virtuális hardvert
- Nem privilegizált utasítások közvetlenül végrehajtódnak
- Privilegizáltak kivételt dobnak, amit a host elkap és végrehajtja az emulált hardveren
- Nem támogatják teljesen azok a processzorok, amelyeket nem erre készítettek
- Szoftveres: Hasonló, mint a Trap & Emulate
- Egy JIT fordító átnézi a kódot, és a problémás részeket átírja
- Hardveres: VT-x és AMD-V -vel új ring jött létre
- VMCALL-al lehet az új ring-be hívni
- Onnan VMRETURN-el jön vissza
- Paravirtualizáció:
- A vendég tud róla, hogy virtualizált, ezért ne használjon elfoghatatlan utasításokat
- Lehetőleg kevés privilegizált utasítást használjon
- Saját rendszerhívások
Memória virtualizálása:
- 2 laptábla kell
- A vendég fizikai címet képezi le a VM-ben futó alkalmazások virtuális címeire
- A futtató gép fizikai címeit képezi le a VM-ben futó alkalmazások virtuális címeire
- Ha a vendég módosítani akarja a laptábláját
- Read-onlyra állítjuk, így ha módosítani akarja, akkor kivétel->trap
- Hardveres kiegészítés többszintű laptáblák kezeléséhez
- Ne akarja módosítani, kérje meg a VMM-et
- Memórialap deduplikáció
- Dinamikus allokáció
- Memória felfújás
- Ha a hoszt memóriája kifogy, akor elvesz a vendégől. Ekkor egy driver elkezdi lefoglalni a vendégben a memóriát, amit pedig lefoglalt, azt a hoszt elveheti. Vendég swappelni fog egy idő után.
Perifériák virtualizálása:
- Emuláció: I/O műveletek elfogása és emulálása (lassú)
- Paravirtualizáció: Nem létező hardvert emulálunk, így összetett műveleteket hatékonyabban tudunk elvégezni
- Hardveres virtualizáció: Közvetlenül elérhető. Nem biztonságos
Speciális igények:
- Grafikus periféria igények
- Az egér egyenlő sebességgel mozogjon a hoszt és a vendég számára is
- A grafikus kép kövesse az ablak méretét
- Seamless
- Háttértár igények:
- Csak annyi helyet foglaljon a képfájl amennyit ki is használ
- Pillantkép
- Másolatkészítés
Kliens oldali igények:
- Egyszerű telepítés meglévő Op. rendszerre
- Egyszerű kezelés
- Jó erőforrás-kiosztás
- Multimédia, jó grafikus teljesítmény
- Könnyű host-guest kommunikáció, adat- és periféia megosztás
- Speciális igények: snapshot, clone
Szerver oldali igények:
- Távoli elérés fontos!
- Erőforrás gazdálkodás (VMware ESX/ESXi)
- Resource Limit: kemény felső korlát az erőforrás igénybevételére
- Resource Reservation: garantált rendelkezésre álló erőforrás mennyiség
- Resource Shares - prioritás, versenyhelyzet esetén
- Központi menedzsment
Központi menedzsment:
- Erőforráscsoportok
- VMware DRS (Distributed Resource Scheduling)
- Fürtökbe fog sok ESX/ESXi gépet
- Automatikusan vagy félautomatikusan osztja szét a VM-eket a fizikai gépek között
- VMware DRS (Distributed Resource Scheduling)
- Live migration
- Hibatűrés
- Redundancia
- Feladatátvételi fürtök
- Egy HW hiba -> sok virtuális gép hibásodik meg!
- Ha a VM háttértára hozzáférhető marad, akkor újraindíthatjuk másik hoszton
- Futási állapot elvesztés kivédése
- Checkpointing
- Lockstep (Többszörözött futtatás több hoszton)
- Egy példány „elsődleges”, ez kommunikál a hálózaton
- A többi példány „tartalék”, ezek kívülről nem megfigyelhető módon (kis késletetéssel) követik az első állapotát
-- sashee - 2009.05.17. -- KoviBalu - 2011.05.31.
- bevezeto
- forras: 16-IRF-virtualizacio-bevezeto
- fogalma: eroforrasok elvonatkoztatasa az eroforrast nyujto elemektol
- fajtai(5): platform (teljes gepet emulalunk), container/jaim (openvz), alkalmazas virtualizacio (fakeroot), futtatokornyezet (jvm, .net), desktop virtualizacio (rdp)
- platform ket fajta: bare-metal (virtualizacios reteg+mgmt os;xen) vagy hosted (normal osbe epul bele a virtualizacios cucc;kvm)
- plat. virt. def.: azonossag (u.az legyen a programok futasi eredmenye), biztonsagossag (igazi hw-t vmm - virtual machine monitor - kezeli), hatekonysag (utasitasok nagyresze modositas nelkul fusson)
- lehet szoftveres v hardware-es virt: hw eseten mar nem lehet optimalizalni
- paravirt: mikor a guest tud rola h virt. gepben fut, pl uml
- trap and emulate: hogy raengedhessuk a cpura az olyan kodot amiben bizonyos utasitasokat nem engedunk lefutni
- szerver virtualizacio
- forras: 17-IRF-virtualizacio-gyakorlat-szervervirtualizacio
- memoriakezelesnel is a szokasos 3 eset: sw, hw es paravirt megoldasok shadow page table kezelesere
- paravirt trukk: balooning driver
- copy-on-write: irhatonak mutatjuk es ha vhova irni akar akkor elotte elmentjuk az eredeti adatot
- openvz: vpseknel jo, tobb mint a chroot (pl process lista), de meg mindig kozos kernel
- virtualizacio managementje:
- forras: 18-IRF-Virtualizacio-menedzsmentje
- ez nemnagyon kell...
-- Vajna Miklós - 2009.05.29
Incidens-, probléma-, változáskezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 19. (Incidens-, probléma-, változáskezelés)
Service Desk:
- Felület a felhasználók felé, ahova zavar esetén fordulnak
- Ticket nyitása, kitöltése, zárása
- Kísérlet a probléma megoldására, ha nem sikerül, akkor eszkalálja
Incidenskezelés:
- Incidens: Nem tervezett leállás, probléma vagy anomália egy szolgáltatásban
- Feladatai:
- Kevesebb leállás
- Prioritizálás, jobb erőforrás kihasználtság
- Szolgáltatási szint javítása
- Lépései:
- Azonosítás: Milyen forrásból jön
- Naplózás: ID, időbélyeg, leírás, súlyosság, prioritás, kontakt, CI, státusz
- Kategorizálás
- Prioritizálás: Sürgősség * hatás
- Kezdeti diagnózis
- Eszkalálás: Update + továbbítás
- Diagnózis
- Helyreállítás: Tesztelés, végrehajtás
- Incidens lezárása: Visszajelzés, dokumentálás
- Ticket: Egy incidens életútja
- Opened
- Assigned
- Resolved
- Closed
Problémakezelés:
- Hiba okának feltárása, megoldás megkeresése, tesztelése, implementálása
Változáskezelés: Változások életciklusának a kezelése
- Káros hatások kiküszöbölése
- Folytonos(abb) üzletmenet biztosítása
- Erőforráskihasználtság
- Folyamatvezérelt
- CMDB szinkronban tartása
- Incidensek elkerülése
-- sashee - 2009.05.18.
Kiadás és telepítéskezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 20. (Kiadás és telepítés kezelés)
Kiadáskezelés: Elfogadott változások elkészítése és elfogadott kiadások készítése belőlük
- Részei:
- Tervezés
- Implementálás
- Tesztelés
- Telepítés
- Elennőrzés, lezárás
- Kiértékelés
- Fogalmai:
- Release: HW, SW, dokumentáció és folyamatok gyűjteménye, amely együtt egy RFC-t implementál
- Release azonosító: név/szám konvenció
- Release típusa: teljes/delta
- Build környezet: eszközök, eljárások
- Fejlesztői/teszt/UAT/éles rendszer
- Definitive Software library(DSL): Logikai tárhely az engedélyezett összes szoftverrel
- Baseline: Adott időpontban valaminek az állapota
- Back-out plan: ha nem sikerülne
Telepítéskezelés: Kiadások telepítése
- Előkészítés
- Tervezés
- Előkészítés
- Adminisztrálás
- Végrehajtás
- Telepítés
- Verifikálás
- Átnézés és lezárás
-- sashee - 2009.05.18.
Szolgáltatásbiztonság
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 21. (Szolgáltatásbiztonság IT rendszerekben)
Szolgáltatásbiztonság:
- A képesség, hogy igazoltam bízni lehet a szolgáltatásban
- Igazoltan: méréseken alapszik
- Bízni: Szolgáltatás az igényeket kielégíti
Jellemzői:
- Rendelkezésreállás: Folyamatos, hibamentes szolgáltatás
- Megbízhatóság: Használatra kész szolgáltatás
- Biztonságosság: Katasztofális következmények nélküli szolgáltatás
- Bizalmasság: Nincs jogosulatlan hozzáférés
- Integritás: Nincs hibás változtatás
- Karbantarthatóság: Javítás és módosítás lehetősége
Befolyásoló tényezők:
- Hibajelenség: Specifikációnak nem megfelelő szolgáltatás
- Hiba: Hibajelenséghez vezető rendszerállapot
- Meghibásodás: A hiba feltételezett oka
Hatáslánc: Meghibásodás -> Hiba -> Hibajelenség
Kategorizálás:
- Hardverhibák
- Szoftverhibák
- Emberi hibák
- Környezeti hatások
Szolgáltatásbiztonság eszközei:
- Hiba megelőzés: verifikáció
- Hiba megszüntetés: monitorozás
- Hibatűrés: Szolgáltatást nyújtani hiba esetén is. Hibakezelés, redundancia
- Hiba előrejelzés: Hibák és hatásuk becslése
Analízis módszerek:
- Ellenőrző listák
- Táblázatok: FMEA (Failure Mode and Effect Analysis)
- Meghibásodás és hatásai felsorolása
- Hibafák
- Gyökérben a hibajelenség
- Kör: Alapszintű meghibásodás
- AND és OR kapu
- Téglalap: alrendszer
- Analízise
- Kvalitatív:
- Egyszeres hibapont(SPOF) azonosítása
- Kritikus esemény: Több úton is hibajelenséget okoz
- Kvantitatív:
- Alapszintű eseményekhez valószínűségek rendelése
- Gyökérelem jellemzőjének számítása
- Kvalitatív:
- Állapot alapú módszerek
-- sashee - 2009.05.21.
Fürtözés és replikáció
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 22. (Fürtözés és replikáció)
Fürt: Különálló számítógépek együttese, amelyek egymással együttműködve és azonos szolgáltatásokat, alkalmazásokat futtatva egyetlen rendszerként, virtuális kiszolgálóként jelennek meg az ügyfelek számára.
- Számítási célú
- Terheléselosztási
- Hálózati szintű
- Kérések szétosztása hálózati rétegben
- Alkalmazás elől rejtett
- Alkalmazás szintű
- Alkalmazás specifikus
- Hálózati szintű
- Nagy rendelkezésre állású
- Megosztott lemezes
- Egy erőforrást egyszerre többen használnak
- Alkalmazás szintű zárolás
- Megosztott elem nélküli
- Erőforrás birtoklása kizárólagos
- Megosztott lemezes
Problémák:
- Terheléselosztási fürtökben:
- Egyenletes terhelésosztás Vs. egyszerűség
- Munkamenet megőrzése
- Nagy rendelkezésre állású fürtökben:
- Tagsági kép fenntartása: Ki működik éppen a csoportból
- Csoportkommunikáció: Hiba esetén is lehessen üzenetet küldeni a többieknek
- Tudathasadás: A fürt több független részre hullik
- Amnézia: kiesés után visszajövő csomópontot értesíteni kell a közben történt változásokról
- Gördülő frissítés: Frissítések egyesével
Elsődleges-másodlagos sémájú replikáció:
- Több adatbázisszerver is van
- Az elsődlegeset lehet írni, azonban a többire is kijutnak a változások
- Szinkron írás:
- Elsődlegeset írjuk, akkor értesíti a másodlagosat, és csak akkor tér vissza, ha az is sikerrel írt
- Aszinkron írás:
- Az elsődleges az írás után azonnal visszatér, és aszinkron módon értesíti a másodlagosat az írásról
-- sashee - 2009.05.18.
Backup, Archiválás
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 23. (Backup, Archiválás)
Adattár hibatűrési technológiák:
- RAID: Adathordozó meghibásodása ellen
- Replikáció: Többféle hardverhiba, hálózati hiba
- Folyamatos
- Periódikus
- Backup: Hardverhiba, elemi kár, emberi hiba (nem mind ellen)
- Archive bit a fájlokon (=to be backed up)
- Típusok:
- Normal: Minden fájlt ment, törli az archive bitet
- Copy: Minden fájlt ment, nem törli a bitet
- Differential: Csak a bittel jelölt fájlokat menti, és nem törli róluk
- Incremental: Csak a bittel jelölt fájlokat menti, törli a bitet
- Daily: Adott napon módosult fájlokat menti
- Archiválás (nem hibatűrési technológia)
- Használaton kívüli adatok biztonságos tárolása
Adat deduplikáció: Többszörözött adatok eltávolítása (rossz redundancia)
- Fájl szinten
- Azonos tartalmú fájlok keresése
- Ismétlődő fájlok csréje az első példányra való hivatkozással
- Blokkos eszköz szinten
- Blokkok vagy nagyobb egységek hash összege alapján
- Néha kevésbé hatékony
- Néha hatékonyabb
Konzisztens mentés készítése:
- Pillanatkép: Másolás atomi művelet
- Virtualizáció segít, mert az alkalmazások állapotait is elmenti, így erre fel nem készített alkalmazások esetében is működik
Adatmegsemmisítés:
- Sima törlésnél csak a deleted bitet állítja át a rendszer
- Biztonsági másolatokban is megmarad a fájl - tudni kell, hogy hol van belőle még példány
- Felül kell írni 0-kal vagy véletlen számokkal
-- sashee - 2009.05.18.
Cloud computing
TODO: utolsó módosítás 2011-ben, frissíteni!!!
Érvek mellette:
- Széles körű hálózati hozzáférés
- Igény szerinti önkiszolgálás
- „Resource pooling”
- Rugalmas fel- és leskálázás
- Mért szolgáltatások
- Költségcsökkentés
- Gyorsabb „time to value”
Ellenérvek:
- Szolgáltatásbiztonság
- Skálázás sebessége
- Adatbiztonság
- Adat átvitel: szűk keresztmetszet
- Nem jósolható teljesítmény
XaaS (X as a Service):
- SaaS (Software)
- szolgáltató alkalmazásainak használata
- jellemzően vékony kliens
- pld: Google Apps
- PaaS (Platform)
- saját/beszerzett alkalmazás telepítése bérelt futtatókörnyezetbe
- pld: Google AppEngine, Microsoft Windows Azure Platform
- IaaS (Infrastucture)
- alapvető számítási erőforrások foglalása
- A felhasználó „tetszőleges” szoftvert futtat
- pld: Amazon Elastic Compute Cloud (EC2)
Szolgáltatásbiztonság:
- ?
-- KoviBalu - 2011.05.31.