Archief - De (on)zin van IT architectuur
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
jack|herrer
Legacy Member
zarathustra zei:
Bij onszijn er 3 soorten lead design:
- Consumer design en delivery, waar ik zit
- Enterprise d&d
- IT, waar dan infra en IT landscape ondervalt
Maar de opzet van de projecten is voor alle 3 dezelfde hoor. Alleen het soort mensen rondom u is net iets anders
Nineshots
Legacy Member
zarathustra zei:
Wij werken hoofdzakelijk met klanten die al een bestaand netwerk hebben. Dus wij hebben onze requirements (afhankelijk van grootte project) en dan bespreken we met hun netwerk personeel hoe we dat implementeren.
Netwerk doen we niet, maar we werken wel samen met hen om te adviseren welke structuren zij het beste gebruiken in combinatie met ons systeem.
Radiance
Legacy Member
Nineshots zei:
Ik kan inderdaad niet voor de farma spreken en weet ook wel dat jouw aanpak de 'standaard' is in de meeste enterprise omgevingen. Ik zit voornamelijk bij grote Service Providers en daar hebben ze het licht stilaan gezien ... Ook uit noodzaak trouwens; hun systemen hangen bijna per definitie aan het internet. Vooral uit security aspect kunnen zij het zich niet meer permiteren om maanden te wachten met patches.Nineshots zei:
Wederom ik weet niet wat ze in farma doen, maar er is echt wel heel veel mogelijk in (geautomatiseerd) testen. Wij selecteren alleen nog apparatuur en software die (gestandaardiseerde) configuratie management interfaces / APIs hebben. Zo kan je op heel korte termijn (een CI run van enkele uren) echt wel een aanzienlijke test coverage bereiken.Nineshots zei:
Ik lach me eerder een breuk wanneer weer eens een grote onderneming uren, dagen, weken platligt door een stuk ransomware / malware (plus data die lekt, maar daar geeft niemand wat om, zo blijkt). Miljoenen Windows / Apple devices van nietsvermoedende consumenten kunnen zichzelf perfect updaten; maar de IT systemen die met veel zorg & liefde door goedbetaalde partijen beheerd worden vallen wel ten prooi aan weken / maanden oude vulnerabilities ...the_fox zei:
Akkoord dat dat een reeel gevaar is. Al komt het tegenovergestelde evengoed voor, Cisco heeft enkele weken geleden Viptela opgekocht waarna ze prompt aankondigden dat bestaande IWAN klanten (hun vorige SD-WAN verhaal) geen nieuwe features meer moesten verwachten en moeten migreren (en beiden zijn absoluut niet compatibel). Kies je voor de grote vendor en je staat exact even ver.eniac zei:
Five-seveN
Legacy Member
Nietsvermoedend? Ik krijg elke paar weken wel de melding dat ik mijn computer moet herstarten om patches te installeren. Idem dat mijn harde schijf volloopt doordat allerlei patchen automatisch gedownload worden. Ineens werkt mijn Mozilla Firefox niet meer om vSphere te openen want firefox heeft een update gehad. Nietsvermoedend dus. En dat is alleen nog maar een stomme home pc.
Good luck om elke maand tijdens het weekend uw 10 ERP Test Servers (Microsoft Dynamics?) Windows patchen te installeren, test-productie te draaien, om dan het weekend erop na 1 week testen de productie plat te leggen, patchen uit de rollen op de Live Servers. Elke maand opnieuw.
Dit om te voorkomen dat iemand op magische wijze een virus zou introduceren, ondanks firewall, DMZ, webfilters, IDS, geblokkeerde usb poorten, spamfilters, whitelisting, antivirus, active directory, mac adres filtering, VLANs, badge systemen, Enterprise wifi, 2-factor VPN... nee de windows updates moeten direct geinstalleerd worden op alle servers anders geven we virussen vrij spel!
Er draait ergens een software, je vraagt
"Ondersteunt uw applicatie de laatste windows updates"?
- Daar kunnen wij geen uitsluitsel over geven dat moet u testen, er is geen garantie daarop
"Kunnen jullie dit weekend beschikbaar zijn om ons te helpen troubleshooten als de applicatie problemen geeft?"
- Nee dan zal u toch eerst een speciaal support contract met ons moeten afsluiten, misschien binnen 2 weken
Dus het wordt een gokspelletje op verantwoordelijkheid van de IT dienst, tenminste als er ergens eentje staat te roepen dat systemen direct moeten gepatched worden.
Ik ben zeker grote voorstander van updates maar OMG hoeveel miseri heb je daar mee in Windows systemen? Ik kan blij zijn dat ik tegen nu 50 productie servers gepatched en getest heb gekregen tegen wannacry, 10 weekends mee bezig heeft 3 maand geduurd. Laat staan dat ik dit proces elke maand moet herhalen.
the_fox
Legacy Member
Radiance zei:
Lees nu eens wat je quote, ik had het over productieomgevingen; niet over gebruikerspc's (die in geval van besmetting enkel andere gebruikerspc's kan aantasten als alles goed opgezet is...). Verder lees je Dieter85 zijn post hierboven maar eens (buiten dat je dit vrij snel kon doen met een goed opgezette SCCM
).Five-seveN
Legacy Member
Een SCCM gaat mijn productietestplan niet opstellen, geen downtime inplannen, geen applicatie leveranciers on-call standby hebben, geen backups op voorhand nemen van alle systemen, risico-analyse doen, alle interfaces met andere servers opnieuw uittesten, load op mijn netwerk bijhouden, harde schijven voldoende ruimte geven, mijn IOPS op mijn SAN onder controle houden enzovoort.
Vrij snel op 50 on-premise productieservers windows updates installeren zit er dus nooit in voor mij.
zarathustra
Legacy Member
Mja wat die updates betreft bekijk ik het zo, ik heb veel ervaring met HPE 3PAR wat op zich wel een goed systeem is. In theorie zijn de de systemen 'customer upgradeable' en je moet de software downloaden, zorgen dat je de pre patches hebt en dan gewoon next - next - next en wachten. Node reboots gebeuren redundant zodat alles op zou moeten blijven.
Realiteit is dat wij 100+ systemen hebben en die proberen we allemaal up to date te houden voor de klanten. Begin dit jaar paar node crashes gehad ( hardware moest vervangen worden) tijdens upgrades. Uitleg van HPE? Mja dat is de theorie, in praktijk mogen zelfs lokale mensen van HPE geen 3PAR upgraden, alles moet door een gespecialiseerd team in India gedaan worden want er is te veel risico.. -_- Waarbij het dan 4-8 weken duurt om iets geregeld te krijgen.
Maar dat zeggen ze dus niet aan de klant. Dus nu gebeuren alle 'online upgrades' buiten kantooruren en kost alles veel meer tijd. Veel geluk om alles up to date te hebben binnen een paar weken in zo'n regime >.>
Realiteit is dat wij 100+ systemen hebben en die proberen we allemaal up to date te houden voor de klanten. Begin dit jaar paar node crashes gehad ( hardware moest vervangen worden) tijdens upgrades. Uitleg van HPE? Mja dat is de theorie, in praktijk mogen zelfs lokale mensen van HPE geen 3PAR upgraden, alles moet door een gespecialiseerd team in India gedaan worden want er is te veel risico.. -_- Waarbij het dan 4-8 weken duurt om iets geregeld te krijgen.
Maar dat zeggen ze dus niet aan de klant. Dus nu gebeuren alle 'online upgrades' buiten kantooruren en kost alles veel meer tijd. Veel geluk om alles up to date te hebben binnen een paar weken in zo'n regime >.>
Radiance
Legacy Member
Ik lees zeer aandachtig, dank je wel. Ik had het ook over productie omgevingen en hoe die vaak in een slechtere staat zijn dan gebruikerspc's. Is dat nu niet een heel klein beetje vreemd ?the_fox zei:
Absoluut akoord, net daarom dat ik weinig waarde zie in high touch support contracten. Ze bieden je uiteindelijk geen garanties; hooguit een SLA voor iemand die de telefoon/email beantwoord. Niet voor een oplossing. Zorg zelf voor je test coverage.
Als jij dat allemaal manueel doet kan ik inderdaad goed geloven dat het je maanden duurt om een update uit te rollen ja.Dieter85 zei:
Wat stopt jouw om (op z'n minst) al dit te automatiseren ?
- productietestplan (opstellen gaat het niet doen, testen wel)
- backups op voorhand nemen van alle systeme
- sommige aspecten van risico analyse berekenen
- interfaces met andere servers opnieuw uittesten
- load op mijn netwerk bijhouden
- harde schijven voldoende ruimte geven
- IOPS op mijn SAN onder controle houden
Wanneer je zegt 100+ systemen bedoel je: jullie beheren 100+ van die HPE 3PARs ? Dan zou ik toch durven "eisen" van HPE dat ze een van die experts laten langskomen, al bind je hem een paar dagen aan de tafelpoot vast en samen documenteer je elke verificatie / update stap die die mensen maken. Je kan als partner toch je klanten geen enkele kwaliteit / zekerheid bieden wanneer je op zulke manier met HPE moet samenwerken?zarathustra zei:
zarathustra
Legacy Member
Radiance zei:
Mja 100+ 3PAR, maar weinig grote aangezien Noorwegen
En het probleem is dat ik *weet* dat er undocumented scripts en handelingen zijn tijdens een upgrade want ik heb jaren voor HP gewerkt, dus ik heb ze bij mijn huidige werkgever gewaarschuwd dat ze die upgrades uitvoeren zonder dat te doen. Dus achter die miserie, zijn we gaan klagen dat we inderdaad op die manier ons werk niet kunnen doen. Hun reactie? Wat? Jullie doen upgrades zelf? ( jep, al jaren ) Niemand doet dat, zelfs lokale HP afdelingen niet.
Kunnen we die scripts krijgen? Nope, die zijn specifiek en vaak maar relevant voor een week ofzo dus we raden jullie aan om vanaf nu het team te gebruiken voor upgrades.
Wat we nu dus ook doen als het kritisch genoeg is, maar aangezien we nooit downtime gehad hebben ( node crash is op zich geen probleem, gewoon irritant) doen we gewoon voort zoals vroeger want voor alles dat proberen regelen met HP is onbegonnen werk.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.