„IRF vizsgatémakör-kidolgozások” változatai közötti eltérés
(vitalap) (Új oldal, tartalma: „{{GlobalTemplate|Infoszak|IRFVizsgaModellezes}} ==Modellezés== Szükséges előadásdiák: 3. (IT Infrastruktúra modellezése) Célja: Komplexitás kezelése Meta…”) |
a |
||
(23 közbenső módosítás, amit egy másik szerkesztő végzett, nincs mutatva) | |||
1. sor: | 1. sor: | ||
− | {{ | + | {{vissza|Intelligens rendszerfelügyelet}} |
==Modellezés== | ==Modellezés== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
Szükséges előadásdiák: 3. (IT Infrastruktúra modellezése) | Szükséges előadásdiák: 3. (IT Infrastruktúra modellezése) | ||
33. sor: | 35. sor: | ||
* További kényszerek (jólformáltsági szabályok) | * További kényszerek (jólformáltsági szabályok) | ||
− | ==UML:== | + | ===UML:=== |
Általános modellező: | Általános modellező: | ||
61. sor: | 63. sor: | ||
− | [[ | + | * forras: 03-IRF-2009-modellezes |
+ | * modellezes: a rendszer absztrakt abrazolasa | ||
+ | * cel: komplexitas kezelese | ||
+ | * metamodell: modellezesi nyelv modellje | ||
+ | * kapcsolatok az egyes szintek kozott: tipusa/peldanya - metaszint, absztrakcio/konkretizacio - absztrakcios szint | ||
+ | * uml (csak a legalapvetobb jelolesek): | ||
+ | ** vonal es csillag a vegen: 1-n kapcsolat | ||
+ | ** ures landzsa: orokles | ||
+ | ** sima nyil: asszociacio (ha nem orokles akkor kell neki adni vmi nevet) | ||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==IT folyamatkezelés== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges előadásdiák: 4. (Folyamatkezelés és modellezés) | ||
+ | |||
+ | Mukafolyamat: Azon lépések sorozata, melyeket egy adott cél elérése érdekében meg kell valósítani. | ||
+ | |||
+ | Folyamatok modellezése: Aktivitás diagramm | ||
+ | |||
+ | Elemei: | ||
+ | * Akció | ||
+ | * Döntés | ||
+ | * Elágazás | ||
+ | * Objektum | ||
+ | |||
+ | ITIL: Information Technology Infrastructure Library | ||
+ | |||
+ | Céljai: | ||
+ | * Best practice gyűjtemény | ||
+ | * Közös nyelv: mi a probléma, incidens, szolgáltatás | ||
+ | * Nem foglalkozik implementációval | ||
+ | |||
+ | Fő területei: | ||
+ | * Service Strategy (hosszú távú tervezés) | ||
+ | * Service Design (új szolgáltatások tervezése) | ||
+ | * Service Transition (implementálás, bevezetés) | ||
+ | * Service Operation (napi üzemeltetés) | ||
+ | * Continual Service Improvement (folyamatos mérés, javítás) | ||
+ | |||
+ | Alterületek(példák, sok van): | ||
+ | * Kapacitástervezés | ||
+ | * Rendelkezésre állás | ||
+ | * Konfiguráció kezelés | ||
+ | * Változáskezelés | ||
+ | * Telepítés kezelés | ||
+ | * Incidens kezelés | ||
+ | * Problémakezelés | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.13. | ||
+ | |||
+ | ===Folyamatmodellezes=== | ||
+ | |||
+ | * forras: 04-IRF-2009-folyamatkezeles | ||
+ | * workflow: cel erdekeben elkovetendo lepesek sorozata | ||
+ | * uml jelolesek | ||
+ | ** belepes: sotet kor | ||
+ | ** kilepes: lyukas kor | ||
+ | ** akcio: lekerekitett teglalap | ||
+ | ** dontes: rombusz | ||
+ | ** elagazas: ||} | ||
+ | ** teglalap: objektum | ||
+ | * soa: komplex alkalmazasok szolgaltatasokra bontasa, ezek kozott jol definialt interfesz, lazan csatolt architektura | ||
+ | * itil: information technology infrastructure library, best practices gyujtemeny, de nincs benne konkret megvalositasrol szo | ||
+ | * itil alteruletek: kapacitastervezes, rendelkezesreallas, incidenskezeles, problemakezeles, konfiguraciokezeles, valtozaskezeles, stb. | ||
+ | * itup: ibm tivoli unified process | ||
+ | * mof: microsoft operations framework | ||
+ | * gartner: it erettseg szintjei (0..4) | ||
+ | * mio: microsoft infrastructure optimization, technologiak menten lebontva az egyes szintek (pl desktopon mi kell az egyes szinteken) | ||
+ | |||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Felhasználókezelés== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasor: 5. (Felhasználókezelés) | ||
+ | |||
+ | Rendszer biztonsága = leggyengébb láncszem biztonságossága | ||
+ | |||
+ | C.I.A.: | ||
+ | * Bizalmasság (Confidentability) | ||
+ | * Sértetlenség (Integrity) | ||
+ | * Rendelkezésre állás (Availability) | ||
+ | |||
+ | Cél: | ||
+ | * Rendszer mindig az elvárt módon működjön | ||
+ | * Illetéktelenül ne lehessen adatokhoz jutni, műveleteket végezni | ||
+ | |||
+ | Engedélyezés (Autorizáció) | ||
+ | |||
+ | Hitelesítés (Autentikáció) | ||
+ | * Tudás alapján azonosítható a felhasználó(pl. jelszó) | ||
+ | * Mindenhol szükséges | ||
+ | * Protokollok (Kriptográfia) | ||
+ | |||
+ | Linuxon a felhasználókezelés: | ||
+ | * User: UID, name, password, shell, home directory, comment, expiry date | ||
+ | * Group: GID, name, (password) | ||
+ | |||
+ | Windowson: | ||
+ | * SID: ez alapján azonosítja a rendszer a felhasználót(nem név alapján) | ||
+ | * registryben tárolódnak a felhasználók | ||
+ | * Hozzáférési tokenek | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.16. | ||
+ | |||
+ | * forras: 05-IRF-felhasznalokezeles | ||
+ | * biztonsag: egyre tobb problema: tervezes-implemenacio-uzemeltetes | ||
+ | * "leggyengebb lancszem" | ||
+ | * biztonsag fogalma: sertetlenseg (integrity), bizalmassag (confidentality), rendelkezesre allas (availability) | ||
+ | * hitelesites (authentikacio, igazolom, hogy en vagyok pisti) vs engedelyezes (authorizacio, mit csinalhat pisti) | ||
+ | * biztonsagi entitasok windows alatt: principal, belole user/group/machine (usernek <gep sid>-<rid> a sidje) | ||
+ | * azonositas: windows alatt ntlm v kerberos | ||
+ | * bash, powershell | ||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Címtárak== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2011-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasor: 6. (Címtárak) | ||
+ | |||
+ | Címtár: | ||
+ | * Nyilvános adattár, címjegyzék | ||
+ | * Felhasználó adatai, számítógépek adatai, biztonsági információk | ||
+ | * Hitelesít: Beléptetéshez hozzá fordulnak a szerverek(így központi lesz a felhasználókezelés) | ||
+ | |||
+ | LDAP(Lightweight Directory Access Protocol): | ||
+ | |||
+ | Séma: | ||
+ | * Statikus, konfigurációs fájlokból | ||
+ | * Szabványok | ||
+ | * Minden elemnek (osztály, attribútum) van azonosítója | ||
+ | * Öröklés | ||
+ | * Attribútumok: Opcionális vagy kötelező, multiplicitás | ||
+ | * Referenciák stringek(DN) | ||
+ | |||
+ | Objektumok: | ||
+ | * RDN: Kitüntetett attribútum, azzel azonosítjuk(~primary key) | ||
+ | * DN: A tartalmazások mentén azonosítható minden objektum a szülők RDN listájával | ||
+ | * Referenciák: DN alapján hivatkoznak | ||
+ | * Típus - példány kapcsolat is referencia, ez az objectClass | ||
+ | * Egy objektumnak több típusa is lehet, akkor az attribútumok uniójával fog rendelkezni | ||
+ | |||
+ | Műveletek: | ||
+ | * Bind: csatlakozás | ||
+ | * Search: lekérdezés, keresés | ||
+ | * Update: módosítás | ||
+ | |||
+ | Active Directory: | ||
+ | |||
+ | * Microsoft címtár implementációja | ||
+ | * Fa szerkezet, belül ez is LDAP | ||
+ | * Hierarchia eleme: szervezeti egység (OU) | ||
+ | * Szerkezeti szintek: tartomány, fa, erdő | ||
+ | |||
+ | Csoportházirend (Group Policy): | ||
+ | * Windows | ||
+ | * Kötelezően érvényre jutó beállítások | ||
+ | * Helyi rendszergazda nem tudja felülbírálni | ||
+ | * Fajtái: számítógép és felhasználó szintű | ||
+ | * Policy vs. Preferences | ||
+ | |||
+ | Identity management | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.16. | ||
+ | -- [[KoviBalu]] - 2011.05.30. | ||
+ | |||
+ | |||
+ | * forras: 06-IRF-cimtarak | ||
+ | * kozos adatter, innen tud hitelesiteni majd a webserver, vpn, ssh, stb. | ||
+ | * dns, nis, ldap, ad | ||
+ | * ldap: lightweight directory access protocol | ||
+ | * ldap sema -> cimtar tartalom, hierarchikus | ||
+ | * muveletek: bind, search, update; lekerdezheto a sema is | ||
+ | * rdn: megmondja, hogy melyik attributum az ~ elsodleges kulcs | ||
+ | * gyokernel az rdn altalaban a dn, a tobbinel a cn, igy dn,cn parral egyedileg azonosithato mindenki | ||
+ | * az objectClass referencia mondja meg h az object melyik class peldanya | ||
+ | * az objectClass az egy lista! (eredmeny az attributumok unioja) | ||
+ | * ad: active directory, ldapon alapulo nemszabvanyos megoldas | ||
+ | * ds* parancs kezeli vagy powershell vagy gui | ||
+ | |||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Engedélyezés== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasor: 7. (Engedélyezés) | ||
+ | |||
+ | Engedélyezés(Autorizáció): Mihez van joga a felhasználónak | ||
+ | |||
+ | Általános séma: | ||
+ | * A szereplőt egy adatszerkezet reprezentálja | ||
+ | * A jogosultság egy reláció a szereplők és a védett objektumok között | ||
+ | |||
+ | A rendszer működése során: | ||
+ | * A szereplők ''műveleteket'' végeznek | ||
+ | * A műveletek ''kontextusa'' tartalmazza a szereplő azonosítóját | ||
+ | * A ''döntő'' komponens engedélyezi vagy megtiltja a hozzáférést | ||
+ | * A ''végrehajtó'' biztosítja, hogy a döntés érvényre jusson | ||
+ | |||
+ | A rendszer karbantartása során: | ||
+ | * Jogosultságok beállítása | ||
+ | |||
+ | Általában nincs leállás karbantartásra: | ||
+ | * A jogosultságokat leíró adatszerkezet is védett adat | ||
+ | * A jogosultság módosítások azonnal érvényre jutnak | ||
+ | |||
+ | Kihívások: | ||
+ | * Sok szereplő, sok védett objektum, ezért sok lehetséges jogosultsági reláció | ||
+ | * Rendszeres karbantartás szükséges(árva felhasználók,...) | ||
+ | * Törvényi követelmények is lehetnek(naplózás,...) | ||
+ | |||
+ | Fajtái: | ||
+ | * Kötelezőség | ||
+ | ** Kötelező | ||
+ | ** Belátás szerint | ||
+ | * Szint | ||
+ | ** Rendszer szintű | ||
+ | ** Erőforrás szintű | ||
+ | * Fajta | ||
+ | ** Integritási szintek | ||
+ | ** Hozzáférési listák | ||
+ | |||
+ | RBAC(Role Based Access Control): A felhasználókhoz szerepeket rendelünk(hierarhikus), és a szerepekhez rendeljük a jogosultságokat | ||
+ | |||
+ | Linux fájlrendszer jogok (védelmi kód): | ||
+ | * 3*3 bit | ||
+ | ** Saját, csoport, többiek | ||
+ | ** Olvasás, írás, végrehajtás | ||
+ | *** könyvtáraknál olvasás: tartalom listázása; írás: fájl létrehozása, átnevezése, törlése; végrehajtás: tartalmazott fájl elérése | ||
+ | * +3 bit: | ||
+ | ** könyvtárakra | ||
+ | *** sticky bit (aka t-bit): csak tulajdonos törölhet belőle (amúgy írásjog elég lenne a könyvtárra) | ||
+ | *** setgid: csoport öröklődik | ||
+ | ** normál (futtatható) fájlokra: | ||
+ | *** setuid, setgid: A fájl tulajdonosának a nevében/csoportjában fut (effektív uid/gid) | ||
+ | * Execute tiltás hatása öröklődik a könyvtárakon | ||
+ | |||
+ | Windows csoportházirend: | ||
+ | * Számítógép szintű (SW telepítés, tűzfal,....) | ||
+ | * Felhasználó szintű (képernyő beállításai,...) | ||
+ | * Öröklődés, felüldefiniálás | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.16. | ||
+ | |||
+ | * forras: 07-IRF-engedelyezes | ||
+ | * hozzaferesi matrix | ||
+ | * torveny: jogosultsagok szetvalasztasa, naplozas | ||
+ | * jogosultsagkezeles: | ||
+ | ** kotelezoseg: kotelezo ha kozponti jogosultsagellenorzes, belatas szerint ha tovabb lehet osztani a jogokat | ||
+ | ** szint: rendszer szint, eroforras szint (?) | ||
+ | ** fajta: ingegritas szintek (no read up, no write down - vagy forditva :P), hozzaferesi listak (acl, rbac) | ||
+ | * xacml (xml + acl) | ||
+ | * linux: bla bla, orokles csak diren exec hianya oroklodik lefele | ||
+ | * windows: | ||
+ | ** mandatory integrity control: no write up, ie hasznalja pl | ||
+ | ** rendszerszintu jogosultsagok: privilege (gep elallitas, driver telepites, stb) es accountright (ki lephet be, honnan lephet be, stb) | ||
+ | ** dacl: discretionary acl, objektumokra. owner akkor is valtoztathat rajta ha nem lenne egyebkent joga. egyebkent engedelyek unioja, de tiltasnak nagyobb prioritasa van | ||
+ | ** group policy: gepre es felhasznalora is | ||
+ | |||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Azonosságkezelés== | ||
+ | |||
+ | Szükséges diasor: 8. (Azonosságkezelés) | ||
+ | |||
+ | Egységes azonosságkezelés: | ||
+ | |||
+ | Feladatai (példák): | ||
+ | * Jelszó lejárásáról értesítő küldés | ||
+ | * Inaktív azonosítók szűrése | ||
+ | * Soha sem használt azonosítók szűrése | ||
+ | * Csoport tagságok módosítása | ||
+ | * Lejárt szerződésű felhasználók törlése | ||
+ | * Időzített/triggerelt események | ||
+ | * Ezt adott(bármilyen) infrastruktúrán | ||
+ | |||
+ | Előnyei: | ||
+ | * Rendszermérnök és nem a rendszergazdák határozzák meg a hozzáférést | ||
+ | * Felhasználók életciklusának a kezelése | ||
+ | * Központosított kockázatkezelés | ||
+ | * Egyszerű interface | ||
+ | * Központi házirend kezelés | ||
+ | * Csoporttagságok központi kezelése | ||
+ | * Felhasználótárak és IT erőforrások egységes kezelése | ||
+ | * Egységes jelszókezelés és kérelmek intézése(felhasználói szemszögből) | ||
+ | * Jelentések generálása | ||
+ | |||
+ | Hátrányai: | ||
+ | * Csak jól karbantartott infrastruktúrán működik | ||
+ | * Plusz technológia, karbantartás | ||
+ | * Bevezetés költsége | ||
+ | * A szervezeti felépítés és IM adminisztráció nem egyezik | ||
+ | * Hamis biztonságérzetet adhat, ha rosszul van beállítva | ||
+ | |||
+ | Logikai megvalósítások: | ||
+ | * Egy címtár | ||
+ | ** Minden egy helyen van karbantartva | ||
+ | ** Mindent egyetlen címtárhoz kell integrálni | ||
+ | * Több címtár | ||
+ | ** Flexibilis | ||
+ | ** Nehezen karbantartható | ||
+ | ** Nehéz házirendeket definiálni | ||
+ | ** Árva felhasználók | ||
+ | * Metacímtár (másolat az összes adatról) | ||
+ | ** Egységes kép a rendszerről | ||
+ | ** Több adminisztrációs belépési pont | ||
+ | ** Teljesítménykorlát | ||
+ | ** Komplex szabályrendszerek | ||
+ | * Saját adminisztrációs eszközök (adott gyártó eszközeit fogja össze) | ||
+ | |||
+ | Házirendek: | ||
+ | * Általános szabályok (szerep vagy csoport alapú) | ||
+ | * Felhasználói fiókok kezelése | ||
+ | * Prioritás, ütközések feloldása | ||
+ | * Központi rendszeren és a menedzselt erőforrásokon is vannak(szinkronizáció szükséges) | ||
+ | |||
+ | Munkafolyamatok: | ||
+ | * Elemi lépések + feltételkiértékelés | ||
+ | * Kérelmek elbírálása | ||
+ | * Eszkaláció | ||
+ | * Webes felület, email küldés, időzített események | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.16. | ||
+ | |||
+ | * forras: 08-IRF-identity-management | ||
+ | * cel: ne legyenek elfelejtett felhasznalok, ne kelljen mindent ldapbol authentikalni -> lehet masolat, csak legyen rendesen szinkronizalva | ||
+ | * a cel rendszeren lehetnek "arva" fiokok, csak ez legyen elore megadva, es akkor normalis (pl windows everyone, stb.) | ||
+ | * itim: ibm tivoly identity manager. adatokat ldapban es rdbmsben is tarol. | ||
+ | |||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Konfigurációkezelés== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 9. (Konfigurációkezelés), 10. (Konfigurációkezelés Windowson) | ||
+ | |||
+ | Feladatai: | ||
+ | * Információ tárolás | ||
+ | ** HW leltár | ||
+ | ** Hálózati eszközök és topológia leírása | ||
+ | ** OS és SW leltár | ||
+ | ** SW licenszek | ||
+ | ** OS beállítások | ||
+ | ** Erőforrások | ||
+ | * Konfiguráció lekérdezése és távoli módosítása | ||
+ | |||
+ | Architektúra: | ||
+ | <pre> | ||
+ | Kliens* | ||
+ | lib/tool? | ||
+ | ^ | ||
+ | | | ||
+ | \/ | ||
+ | Konfiguráció-menedzser<---->.... | ||
+ | ^ | ||
+ | | | ||
+ | \/ | ||
+ | "Provider"* | ||
+ | *: Több is lehet | ||
+ | ?: nem biztos, hogy van | ||
+ | </pre> | ||
+ | * Hordozóprotokoll | ||
+ | ** Operációk | ||
+ | *** Adatok | ||
+ | |||
+ | CIM(Common Information Model): Adatmodell, mellyel leírható a konfiguráció | ||
+ | |||
+ | Felépítése: | ||
+ | * Objektumorientált szemlélet (~osztálydiagramm) | ||
+ | ** Példányosítás, metódushívás | ||
+ | * Meta séma(lásd diasor:9. sor 26-28) | ||
+ | |||
+ | MOF(Managed Object Format): Menedzselt információk deklaratív leírása (CIM meta séma konkrét szintaxisa) | ||
+ | |||
+ | WBEM(Web Based Enterprise Management): Szabványkészlet | ||
+ | * CIM-XML vagy WS-Management | ||
+ | * CIM Query Language | ||
+ | * WBEM Discovery Using the Service Location Protocol | ||
+ | |||
+ | CIM-XML: XML-ben reprezentált CIM információ-csere HTTP felett | ||
+ | * DTD-t használ, ez a CIM metasémát írja le | ||
+ | |||
+ | WS-Management: | ||
+ | * Webszolgáltatás alapú | ||
+ | * Műveletek | ||
+ | ** DISCOVER: Erőforrás felderítés | ||
+ | ** GET, PUT, CREATE, DELETE: Erőforrás kezelés | ||
+ | ** ENUMERATE: Gyűjtemények elemeinek a felsorolása | ||
+ | ** SUBSCRIBE: Eseményekre feliratkozás | ||
+ | ** EXECUTE: Metódus meghívása | ||
+ | |||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.16. | ||
+ | |||
+ | |||
+ | * forras: 09-IRF-konfiguraciokezeles-alapok, 10-IRF-2009-konfiguraciokezeles_windows | ||
+ | * alapok | ||
+ | ** cmdb tartalma: license-ek, halozati topologia, szolgaltatasok vs eroforrasok, stb. | ||
+ | ** cmdb egy adatbazis, modell kell hozza, ez lesz a cim (common information model) | ||
+ | ** oo modell: peldanyositas (useradd), metodushivas (gep restart), stb. | ||
+ | ** cimom: cim object manager, modelleket kezel .mofban | ||
+ | ** wbem: web based enterprise managenent, (tobbek kozott) cimet hasznalja, eszkoz ra windowson: wbemtest.exe. nem konkret protokoll, az majd a cim-xml meg a ws-management lesz. | ||
+ | ** cim-xml: http felett, definialja a cim query language-t is | ||
+ | ** wbem(cim-xml) tamogatas sok helyen: openpegasus (rhel, vmware, stb), openwbem (sles), pywbem, stb | ||
+ | ** sblim: stanrads based linux instrumentation, ennek kereteben keszult: cim provider rpmhez, perlhez, "cim java api", stb | ||
+ | ** small footprint cim broker, egy cimom beagyazott rendszerekhez | ||
+ | ** linuxos cmdline tool: wbemcli | ||
+ | ** cmpi: common manageability programming interface, szabvanyos cimom provider interface. van benne peldany szolgaltato, metodus szolgaltato, stb | ||
+ | * windowson | ||
+ | ** wmi | ||
+ | ** cmdline tool: wmic | ||
+ | ** hozza wql: wmi wmi query language | ||
+ | ** ws-management: web services for management, ez se csak cimre jo... | ||
+ | ** muveletek: discover, get, put, create, delete, subscribe, execute | ||
+ | ** az egesz https es soap felett | ||
+ | ** implementacio: winrm, openwsman (cim-xmlbol fordit) | ||
+ | ** winrm tudja a wmit meg annal is tobbet, vista ota (hogy ne kelljen dcommal szenvedni) | ||
+ | ** winrm nevu cmdline tool, winrs (windows remote shell) | ||
+ | |||
+ | ==CMDB== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 11 (CMDB) | ||
+ | |||
+ | Előnyei: | ||
+ | * Központi helyen tárolódnak az adatok | ||
+ | * Szabványos formában | ||
+ | * IT infrastruktúra modell (elemek+kapcsolatok) | ||
+ | * Modell ellenőrzés: Valóságnak megfelel, ellentmondásmentes | ||
+ | * Diagnosztika: Esemény hatása, hiba okának felderítése | ||
+ | |||
+ | Architektúra: 11. diasor 14. dia | ||
+ | |||
+ | Alappillérei: | ||
+ | * Föderáció: Több adatraktár, közöttük külső kulcsok, a részletes adatokat csak ezeken keresztül lehet elérni | ||
+ | * Összeegyeztetés | ||
+ | * Szinkronizáció | ||
+ | * Vizualizáció és leképzés | ||
+ | |||
+ | Autómatikus felderítés: | ||
+ | * IP scannelés (Subnet vagy IP range) | ||
+ | * Port scannelés | ||
+ | * Általános számítógép scannelés | ||
+ | * Specifikus számítógép scannelés | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.17. | ||
+ | |||
+ | |||
+ | ===Konfiguraciokezelo adatbazisok (CMDB)=== | ||
+ | |||
+ | * forras: 11-IRF-2009-CMDB | ||
+ | * motivacio: hogy lassuk h pl hdd ledoglese mit erint, $foo szabvanynak megfelelunk-e | ||
+ | * cmdb: tarolja a teljes infrastrukturat | ||
+ | * termelo-fogyaszto: szabvanyos interfeszen tolnak bele (szenzorok) / vesznek ki belole adatokat | ||
+ | * felderites: agens alapu v megbizoleveles (besshzunk) | ||
+ | * vagy megbizolevel-mentes: nmap, ping, stb (lehet aktiv v passziv, pl wireshark) | ||
+ | * itil cmd: relevans infok elemekrol (ci, configuration item) es a koztuk levo kapcsolatokrol | ||
+ | * nagyvallalai cmdbk: | ||
+ | ** foderacio: nem egy db, hanem sok, es kulso kulcsok | ||
+ | ** osszeegyeztetes: kulonbozo dbkben levo ci-ket felismerni ha azonosak | ||
+ | ** szinkronizacio: eleg legyen egy helyen megvaltoztatni a user uj lakcimet | ||
+ | ** vizualizacio es lekepezes: lehessen reportot generalni + szurni | ||
+ | * cmdb resze a ci-k modellje is! | ||
+ | * cmdbf: ipari szabvany cmdb-k kozt | ||
+ | * ibm taddm (tivoli application dependency discovery manager): cmdb ibm modra | ||
+ | * automatikus felderitas: ping, os, portscan, server-specifikus lekerdezesek | ||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Rendszermonitorozás== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 12. (Rendszermonitorozás) | ||
+ | |||
+ | Célja: Folyamatos képet kapjunk | ||
+ | * Infrastruktúra, eszközök működőképességéről | ||
+ | * Terhelésről, erőforrás kihasználtságról | ||
+ | * Topológiáról, konfigurációról | ||
+ | * Biztonságról | ||
+ | |||
+ | Részfeladatai: | ||
+ | * Adatgyűjtés | ||
+ | * Beavatkozás | ||
+ | * Megjelenítés | ||
+ | * Riasztás | ||
+ | * Pillanatnyi adatok tárolása | ||
+ | * Historikus adatok tárolása | ||
+ | |||
+ | Adatgyűjtés: Hálózaton keresztül kérjük le, beépülő ''ágens'' segítségével | ||
+ | * Hardverben | ||
+ | ** Állapot-, és parancsregiszterek (állapotkiolvasás, beavatkozás) | ||
+ | ** Külön processzor | ||
+ | * Szoftverben | ||
+ | ** A megfigyelt szoftver nincs felkészítve a megfigyelésre | ||
+ | *** Ágens külön folyamat, OS-en keresztül figyel | ||
+ | *** Belső adatstruktúrákhoz nem fér hozzáa | ||
+ | ** A megfigyelt szoftver fel van készítve a megfigyelésre | ||
+ | *** Forráskód instrumentáció | ||
+ | |||
+ | Lekérdezési lehetőségek: | ||
+ | * Pull: A központosító adatgyűtő kezdeményezi az ágensek lekérdezését | ||
+ | * Push: Az ágens kezdeményezi az adatok küldését a feliratkozott adatgyűjtőknek | ||
+ | |||
+ | Hálózatmenedzsment szabványok: | ||
+ | * SNMP (Simple Network Management Protocol) | ||
+ | ** MIB: Lekérdezhető attribútumok szabványos leírása | ||
+ | *** Fa struktúra, minden elemhez azonosító:OID (szintek pontokkal választva, amúgy szám) | ||
+ | *** Metamodellje | ||
+ | **** ObjectIdentifier: ~csomag | ||
+ | **** ObjectType: ~osztály | ||
+ | **** Csak tartalmazásai kapcsolat | ||
+ | *** Kiegészíthető | ||
+ | **** Saját bináris formátum | ||
+ | **** Gyártóspecifikus kiegészítések | ||
+ | **** Nem kérdezhető le, hogy az ágens milyen MIB kiegészítéseket ismer | ||
+ | *** Hiányok | ||
+ | **** Referencia | ||
+ | **** Öröklődés | ||
+ | **** Meta lekérdezési lehetőségek | ||
+ | **** Dinamikus osztály-példány kapcsolat | ||
+ | ** Műveletek | ||
+ | *** getRequest: Attribútum érték lekérdezés | ||
+ | *** getNextRequest: Következő érték lekérdezése | ||
+ | *** getResponse: Érték elküldése | ||
+ | *** setResponse: Attribútum beállítása | ||
+ | *** trap: Esemény jelzés (eredetileg kivétel elfogása): aszionkron üzenettel értesítés | ||
+ | *** walk: Részfa rekurzív lekérdezése | ||
+ | ** MRTG (Multi Router Traffic Grapher): Forgalom monitorozása (BIX) | ||
+ | ** Felderítés | ||
+ | *** Üzenetszórás | ||
+ | *** Csak az érintett gépek válaszolnak | ||
+ | ** Biztonság | ||
+ | *** Kötelezően implementált gyenge titkosítás | ||
+ | *** Opcionálisan implementálható erős titkosítás | ||
+ | *** Beléptetés, hitelesítés | ||
+ | * RMON | ||
+ | * Netflow/IPFIX | ||
+ | * [[SFlow]] | ||
+ | * CMIS, CMIP, CMOT | ||
+ | * Syslog | ||
+ | * Netconf | ||
+ | * JMX | ||
+ | * WBEM | ||
+ | * WSDM | ||
+ | |||
+ | Historikus adatgyűjtés | ||
+ | * Feladatai | ||
+ | ** Historikus tárolás | ||
+ | ** Tendenciák | ||
+ | ** Következtetések | ||
+ | * Kihívás: Túl sok adat | ||
+ | ** Aggregáció: Régebbi adatokat összevonjuk, tehát minél régebbi az adat, annál rosszabb a felbontása. Ezért külön kell menteni az érdekes részeket, melyeket nem akarjuk rontani. | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.17. | ||
+ | |||
+ | |||
+ | * forras: 12-IRF-rendszermonitorozas | ||
+ | * hogy ne akkor vegyuk eszre h gaz van ha szolnak a juzerek | ||
+ | * preventiv jelleg! :) | ||
+ | * szeretnenk kepet kapni a rendszer teljesitmenyerol, kihasznaltsagarol | ||
+ | * adatgyujtes + megjelenites + riasztas ha kell + historikus tarolas | ||
+ | * aganes: figyel + esetleg ertesit + egyszeru beavatkozasok | ||
+ | * vagy kulon process vagy builtin support | ||
+ | * pull/push modell. pull mint munin, pushnal az agens kezdemenyez | ||
+ | * szabanyok: snmp, syslog, jmx (jvm-ek monitorozasara), wbem | ||
+ | * szondazas (active proving): nincs kulon agens, csak userkent teszteljuk a szolgaltatast (pl monit). de itt is kell agens ha adott helyrol akarunk tesztelni. | ||
+ | * snmp: szabvanyos mib, agens a mib-et implementalja (mar amit..) | ||
+ | * kiterjesztheto, de nem kerdezheto le h milyen kiterjeszteseket hasznal a device | ||
+ | * muveletek: get, set, trap (ertesites feltetel teljesulese eseten async uzenetkuldessel adott ipre) | ||
+ | * mib es cim hasonlo, de mib kevesebbet tud, igy nem cmdb | ||
+ | * snmp vs wbem: binaris vs xml, configolni ne szokas snmpvel (pedig lehetne) | ||
+ | * gyakorlatban: peldaul mrtg, bix hasznalja | ||
+ | * historikus adatgyujtes: csak az "erdekes" reszeket taroljuk, az unalmas idoszakokban aggregalunk. (min/max/avg ertekek) | ||
+ | * munin: monitoroz, mrtghez hasonloan rrdtool oldja meg a historikus adatgyujtest, nagiossal kombinalva tud riasztani, max 50 gepig kenyelmes | ||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Eseménykezelés== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 14. (Rendszermonitorozás - Eseménykezelés) | ||
+ | |||
+ | Az esemény fogalma: Az IT szolgáltatás- és rendszerfelügyeletben az esemény olyan adat, ami egy vagy több erőforrásról, illetve szolgáltatásról hordoz információt. | ||
+ | |||
+ | ITIL esemény menedzsment folyamata: | ||
+ | * Esemény analizáló | ||
+ | ** Detect and Log Event | ||
+ | ** Examine and Filter Event | ||
+ | ** Correlate, Escalate and Process Event | ||
+ | ** Resolve Event | ||
+ | ** Close Event | ||
+ | * Esemény menedzser | ||
+ | ** Establish Event Management Framework | ||
+ | ** Evaluate Event Management Performance | ||
+ | |||
+ | Eseményfeldolgozás lépései: | ||
+ | * Szűrés | ||
+ | * Továbbítás | ||
+ | * Lassítás (pl. magas CPU használat nem baj, csak ha sokáig tart) | ||
+ | * Duplikátumok detektálása | ||
+ | * Elévültetés | ||
+ | * Korreláció (azonos probléma által generált események együttes kezelése) | ||
+ | * Eszkaláció | ||
+ | * Események állapotváltásának szinkronizálása feldolgozók között | ||
+ | * Notification | ||
+ | * Átvezetés a hibabélyeg kezelő rendszerbe | ||
+ | |||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.17. | ||
+ | |||
+ | |||
+ | |||
+ | * forras: 14-IRF-2009-esemenykezeles | ||
+ | * cel: mert ertekekben a '''valtozast''' eszrevenni | ||
+ | * naplozas != esemenykezeles | ||
+ | * hibaok (fault), ebbol hibas allapot (error), es emiatt a user lat egy hibahatast (failure) | ||
+ | * windows event log, cmdline tool: wevtutil.exe | ||
+ | * syslogd: "pri header msg", ahol pri = 8*facility+severity | ||
+ | * itil: event management | ||
+ | * feldolgozas: szures, tovabbitas, lassitas (100% cpu fel percig nem erdekes), diplikatumok keresese | ||
+ | * elevules | ||
+ | * korrelacio: 2 esemenynek lehet u.az az oka | ||
+ | * ibm tivoli netcool / omnibus: probe-ok + hozza egy inmemory rdbms ami alerteket tarol | ||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Szolgáltatási szintek== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 15. (Rendszermonitorozás - szolgáltatási szintek) | ||
+ | |||
+ | Szolgáltatásbiztonság attribútumai: | ||
+ | * Rendelkezésre állás | ||
+ | * Megbízhatóság | ||
+ | * Biztonságosság | ||
+ | * Integritás | ||
+ | * Karbantarthatóság | ||
+ | |||
+ | IT metrikák: | ||
+ | * Mérhető/számolható | ||
+ | * Rendszer/szolgáltatás jellemző | ||
+ | * Rendezett értelmezési tartomány | ||
+ | * + Időintervallum/időpont | ||
+ | |||
+ | GQM (Goal - Question - Metric) | ||
+ | * Goal: Cél, amit mérni akarunk | ||
+ | * Question: Mitől függ | ||
+ | * Metric: Mivel lehet mérni | ||
+ | |||
+ | SLA (Service Level Agreement): | ||
+ | * Szolgáltató és igénybevevő közötti megállapodás | ||
+ | ** Minőségi jellemzők meghatározása | ||
+ | ** Vonatkozó kötelezettségek | ||
+ | ** Megsértés esetén eljárásrendről | ||
+ | |||
+ | SLA jellemzői: | ||
+ | * Minőségi jellemzők és korlátok | ||
+ | ** Metrikák definiciói | ||
+ | ** Mérés mikéntjének módja | ||
+ | * Szolgáltatási szint monitorozás és jelentés | ||
+ | * Ki mér? | ||
+ | ** Vevő: van-e elég joga?, mi okozhat pontatlanságot? | ||
+ | ** Szolgáltató: instrumentáció testre szabása, megbízható-e? | ||
+ | * Problémák jelentésének folyamata | ||
+ | * Problémákra reagálás és megoldás időkeretei | ||
+ | * SLA sértés következményei | ||
+ | * Felmentő-, és kivétel cikkelyek (pl katasztrófánál) | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.17. | ||
+ | |||
+ | |||
+ | * forras: 15-IRF-2009-szolgaltatasi-szintek | ||
+ | * szolgaltatas: onallo entitas, adminisztralni kell | ||
+ | * it metrikak: amit merni tudunk | ||
+ | * gqm: goal-question-metric | ||
+ | ** pelda: online erzet, mennyit kell varnia a usernek az oldalmegjelenesre, ehhez letoltesi/renderelesi ido | ||
+ | * sla: mit vallalunk, ezek definialva, es ezekre fix ertekek, meres mertekenek definicioja, sla-sertes kovetkezmenyei, ki mer, problemak jelentesenek folyamata | ||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Virtualizáció== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 16. (Virtualizáció - Bevezető), 17. (Virtualizáció - Gyakorlati megvalósítások) | ||
+ | |||
+ | Definició: Ez erőforrás elvonatkoztatása az erőforrást nyújtó elemektől | ||
+ | |||
+ | Fajtái: | ||
+ | * Platform virtualizáció: Több OS egy gépen. | ||
+ | ** Hosted: OS fölött egy alkalmazásként fut | ||
+ | ** Bare-metal: OS alatt fut | ||
+ | * OS szintű virtualizáció | ||
+ | * Alkalmazás virtualizáció | ||
+ | * Alkalmazás futtatókörnyezetek | ||
+ | * Desktop virtualizáció | ||
+ | |||
+ | CPU virtualizáció fajtái: | ||
+ | * Tiszta emuláció: A vendég kódját nem futtatja, haem adatként feldolgozza | ||
+ | ** Lassú | ||
+ | ** Eltérhet a host és a vendég utasításkészlete | ||
+ | ** Interpreter / JIT | ||
+ | * Trap & Emulate: Emulálja a virtuális hardvert | ||
+ | ** Nem privilegizált utasítások közvetlenül végrehajtódnak | ||
+ | ** Privilegizáltak kivételt dobnak, amit a host elkap és végrehajtja az emulált hardveren | ||
+ | ** Nem támogatják teljesen azok a processzorok, amelyeket nem erre készítettek | ||
+ | * Szoftveres: Hasonló, mint a Trap & Emulate | ||
+ | ** Egy JIT fordító átnézi a kódot, és a problémás részeket átírja | ||
+ | * Hardveres: VT-x és AMD-V -vel új ring jött létre | ||
+ | ** VMCALL-al lehet az új ring-be hívni | ||
+ | ** Onnan VMRETURN-el jön vissza | ||
+ | * Paravirtualizáció: | ||
+ | ** A vendég tud róla, hogy virtualizált, ezért ne használjon elfoghatatlan utasításokat | ||
+ | ** Lehetőleg kevés privilegizált utasítást használjon | ||
+ | ** Saját rendszerhívások | ||
+ | |||
+ | Memória virtualizálása: | ||
+ | * 2 laptábla kell | ||
+ | ** A vendég fizikai címet képezi le a VM-ben futó alkalmazások virtuális címeire | ||
+ | ** A futtató gép fizikai címeit képezi le a VM-ben futó alkalmazások virtuális címeire | ||
+ | * Ha a vendég módosítani akarja a laptábláját | ||
+ | ** Read-onlyra állítjuk, így ha módosítani akarja, akkor kivétel->trap | ||
+ | ** Hardveres kiegészítés többszintű laptáblák kezeléséhez | ||
+ | ** Ne akarja módosítani, kérje meg a VMM-et | ||
+ | * Memórialap deduplikáció | ||
+ | * Dinamikus allokáció | ||
+ | * Memória felfújás | ||
+ | ** Ha a hoszt memóriája kifogy, akor elvesz a vendégől. Ekkor egy driver elkezdi lefoglalni a vendégben a memóriát, amit pedig lefoglalt, azt a hoszt elveheti. Vendég swappelni fog egy idő után. | ||
+ | |||
+ | Perifériák virtualizálása: | ||
+ | * Emuláció: I/O műveletek elfogása és emulálása (lassú) | ||
+ | * Paravirtualizáció: Nem létező hardvert emulálunk, így összetett műveleteket hatékonyabban tudunk elvégezni | ||
+ | * Hardveres virtualizáció: Közvetlenül elérhető. Nem biztonságos | ||
+ | |||
+ | Speciális igények: | ||
+ | * Grafikus periféria igények | ||
+ | ** Az egér egyenlő sebességgel mozogjon a hoszt és a vendég számára is | ||
+ | ** A grafikus kép kövesse az ablak méretét | ||
+ | ** Seamless | ||
+ | * Háttértár igények: | ||
+ | ** Csak annyi helyet foglaljon a képfájl amennyit ki is használ | ||
+ | ** Pillantkép | ||
+ | ** Másolatkészítés | ||
+ | |||
+ | Kliens oldali igények: | ||
+ | * Egyszerű telepítés meglévő Op. rendszerre | ||
+ | * Egyszerű kezelés | ||
+ | * Jó erőforrás-kiosztás | ||
+ | * Multimédia, jó grafikus teljesítmény | ||
+ | * Könnyű host-guest kommunikáció, adat- és periféia megosztás | ||
+ | * Speciális igények: snapshot, clone | ||
+ | |||
+ | Szerver oldali igények: | ||
+ | * Távoli elérés fontos! | ||
+ | * Erőforrás gazdálkodás (VMware ESX/ESXi) | ||
+ | ** Resource Limit: kemény felső korlát az erőforrás igénybevételére | ||
+ | ** Resource Reservation: garantált rendelkezésre álló erőforrás mennyiség | ||
+ | ** Resource Shares - prioritás, versenyhelyzet esetén | ||
+ | * Központi menedzsment | ||
+ | |||
+ | Központi menedzsment: | ||
+ | * Erőforráscsoportok | ||
+ | ** [[VMware]] DRS (Distributed Resource Scheduling) | ||
+ | *** Fürtökbe fog sok ESX/ESXi gépet | ||
+ | *** Automatikusan vagy félautomatikusan osztja szét a VM-eket a fizikai gépek között | ||
+ | * Live migration | ||
+ | * Hibatűrés | ||
+ | ** Redundancia | ||
+ | ** Feladatátvételi fürtök | ||
+ | ** Egy HW hiba -> sok virtuális gép hibásodik meg! | ||
+ | ** Ha a VM háttértára hozzáférhető marad, akkor újraindíthatjuk másik hoszton | ||
+ | ** Futási állapot elvesztés kivédése | ||
+ | *** Checkpointing | ||
+ | *** Lockstep (Többszörözött futtatás több hoszton) | ||
+ | **** Egy példány „elsődleges”, ez kommunikál a hálózaton | ||
+ | **** A többi példány „tartalék”, ezek kívülről nem megfigyelhető módon (kis késletetéssel) követik az első állapotát | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.17. | ||
+ | -- [[KoviBalu]] - 2011.05.31. | ||
+ | |||
+ | |||
+ | * bevezeto | ||
+ | ** forras: 16-IRF-virtualizacio-bevezeto | ||
+ | ** fogalma: eroforrasok elvonatkoztatasa az eroforrast nyujto elemektol | ||
+ | ** fajtai(5): platform (teljes gepet emulalunk), container/jaim (openvz), alkalmazas virtualizacio (fakeroot), futtatokornyezet (jvm, .net), desktop virtualizacio (rdp) | ||
+ | ** platform ket fajta: bare-metal (virtualizacios reteg+mgmt os;xen) vagy hosted (normal osbe epul bele a virtualizacios cucc;kvm) | ||
+ | ** plat. virt. def.: azonossag (u.az legyen a programok futasi eredmenye), biztonsagossag (igazi hw-t vmm - virtual machine monitor - kezeli), hatekonysag (utasitasok nagyresze modositas nelkul fusson) | ||
+ | ** lehet szoftveres v hardware-es virt: hw eseten mar nem lehet optimalizalni | ||
+ | ** paravirt: mikor a guest tud rola h virt. gepben fut, pl uml | ||
+ | ** trap and emulate: hogy raengedhessuk a cpura az olyan kodot amiben bizonyos utasitasokat nem engedunk lefutni | ||
+ | * szerver virtualizacio | ||
+ | ** forras: 17-IRF-virtualizacio-gyakorlat-szervervirtualizacio | ||
+ | ** memoriakezelesnel is a szokasos 3 eset: sw, hw es paravirt megoldasok shadow page table kezelesere | ||
+ | ** paravirt trukk: balooning driver | ||
+ | ** copy-on-write: irhatonak mutatjuk es ha vhova irni akar akkor elotte elmentjuk az eredeti adatot | ||
+ | ** openvz: vpseknel jo, tobb mint a chroot (pl process lista), de meg mindig kozos kernel | ||
+ | * virtualizacio managementje: | ||
+ | ** forras: 18-IRF-Virtualizacio-menedzsmentje | ||
+ | ** ez nemnagyon kell... | ||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Incidens-, probléma-, változáskezelés== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 19. (Incidens-, probléma-, változáskezelés) | ||
+ | |||
+ | Service Desk: | ||
+ | * Felület a felhasználók felé, ahova zavar esetén fordulnak | ||
+ | * Ticket nyitása, kitöltése, zárása | ||
+ | * Kísérlet a probléma megoldására, ha nem sikerül, akkor eszkalálja | ||
+ | |||
+ | Incidenskezelés: | ||
+ | * Incidens: Nem tervezett leállás, probléma vagy anomália egy szolgáltatásban | ||
+ | * Feladatai: | ||
+ | ** Kevesebb leállás | ||
+ | ** Prioritizálás, jobb erőforrás kihasználtság | ||
+ | ** Szolgáltatási szint javítása | ||
+ | * Lépései: | ||
+ | ** Azonosítás: Milyen forrásból jön | ||
+ | ** Naplózás: ID, időbélyeg, leírás, súlyosság, prioritás, kontakt, CI, státusz | ||
+ | ** Kategorizálás | ||
+ | ** Prioritizálás: Sürgősség * hatás | ||
+ | ** Kezdeti diagnózis | ||
+ | ** Eszkalálás: Update + továbbítás | ||
+ | ** Diagnózis | ||
+ | ** Helyreállítás: Tesztelés, végrehajtás | ||
+ | ** Incidens lezárása: Visszajelzés, dokumentálás | ||
+ | * Ticket: Egy incidens életútja | ||
+ | ** Opened | ||
+ | ** Assigned | ||
+ | ** Resolved | ||
+ | ** Closed | ||
+ | |||
+ | Problémakezelés: | ||
+ | * Hiba okának feltárása, megoldás megkeresése, tesztelése, implementálása | ||
+ | |||
+ | Változáskezelés: Változások életciklusának a kezelése | ||
+ | * Káros hatások kiküszöbölése | ||
+ | * Folytonos(abb) üzletmenet biztosítása | ||
+ | * Erőforráskihasználtság | ||
+ | * Folyamatvezérelt | ||
+ | * CMDB szinkronban tartása | ||
+ | * Incidensek elkerülése | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.18. | ||
+ | |||
+ | * forras: 20-IRF-2009-Incidens_menedzsment | ||
+ | * service desk: ide lehet fordulnia a felhasznalonak. ticketeket nyitnak, lezarnak, torolnek, stb | ||
+ | * incidens: nem tervezett leallas/hiba/anomalia szolgaltatasban, formalizalt kezeles kell ra | ||
+ | * alfolyamatai: bejon, logoljuk, kategoriazalas, proirizalas, diagnozis, eszkalaljuk (opcionalis), megoldjuk, lezarjuk | ||
+ | * prioritas = surgosseg * hatas | ||
+ | * problema: az incidens oka. | ||
+ | * valtozaskezeles: valtozasok eletciklusat kezeli, hogy legyen ra terv (igy cmdb syncben lesz, hatekony eroforraskihasznalas, bla bla) | ||
+ | |||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Kiadás és telepítéskezelés== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 20. (Kiadás és telepítés kezelés) | ||
+ | |||
+ | Kiadáskezelés: Elfogadott változások elkészítése és elfogadott kiadások készítése belőlük | ||
+ | * Részei: | ||
+ | ** Tervezés | ||
+ | ** Implementálás | ||
+ | ** Tesztelés | ||
+ | ** Telepítés | ||
+ | ** Elennőrzés, lezárás | ||
+ | ** Kiértékelés | ||
+ | * Fogalmai: | ||
+ | ** Release: HW, SW, dokumentáció és folyamatok gyűjteménye, amely együtt egy RFC-t implementál | ||
+ | ** Release azonosító: név/szám konvenció | ||
+ | ** Release típusa: teljes/delta | ||
+ | ** Build környezet: eszközök, eljárások | ||
+ | ** Fejlesztői/teszt/UAT/éles rendszer | ||
+ | ** Definitive Software library(DSL): Logikai tárhely az engedélyezett összes szoftverrel | ||
+ | ** Baseline: Adott időpontban valaminek az állapota | ||
+ | ** Back-out plan: ha nem sikerülne | ||
+ | |||
+ | Telepítéskezelés: Kiadások telepítése | ||
+ | * Előkészítés | ||
+ | ** Tervezés | ||
+ | ** Előkészítés | ||
+ | ** Adminisztrálás | ||
+ | * Végrehajtás | ||
+ | ** Telepítés | ||
+ | ** Verifikálás | ||
+ | ** Átnézés és lezárás | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.18. | ||
+ | |||
+ | |||
+ | * forras: 21-IRF-2009-kiadas-es-telepites | ||
+ | * release: hw, sw, doksi, folyamatok egyutt ami implemental egy rfc-t | ||
+ | * dsl: definitive sofrware library, ami ebben van azt lehet telepiteni | ||
+ | * linux: rpm, windows: msi | ||
+ | * msi workflow: fejlesztes, msi, msi testreszabasa, group policy, telepul | ||
+ | * wsus: windows server update services | ||
+ | |||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Szolgáltatásbiztonság== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 21. (Szolgáltatásbiztonság IT rendszerekben) | ||
+ | |||
+ | Szolgáltatásbiztonság: | ||
+ | * A képesség, hogy igazoltam bízni lehet a szolgáltatásban | ||
+ | ** Igazoltan: méréseken alapszik | ||
+ | ** Bízni: Szolgáltatás az igényeket kielégíti | ||
+ | |||
+ | Jellemzői: | ||
+ | * Rendelkezésreállás: Folyamatos, hibamentes szolgáltatás | ||
+ | * Megbízhatóság: Használatra kész szolgáltatás | ||
+ | * Biztonságosság: Katasztofális következmények nélküli szolgáltatás | ||
+ | * Bizalmasság: Nincs jogosulatlan hozzáférés | ||
+ | * Integritás: Nincs hibás változtatás | ||
+ | * Karbantarthatóság: Javítás és módosítás lehetősége | ||
+ | |||
+ | Befolyásoló tényezők: | ||
+ | * Hibajelenség: Specifikációnak nem megfelelő szolgáltatás | ||
+ | * Hiba: Hibajelenséghez vezető rendszerállapot | ||
+ | * Meghibásodás: A hiba feltételezett oka | ||
+ | |||
+ | Hatáslánc: Meghibásodás -> Hiba -> Hibajelenség | ||
+ | |||
+ | Kategorizálás: | ||
+ | * Hardverhibák | ||
+ | * Szoftverhibák | ||
+ | * Emberi hibák | ||
+ | * Környezeti hatások | ||
+ | |||
+ | Szolgáltatásbiztonság eszközei: | ||
+ | * Hiba megelőzés: verifikáció | ||
+ | * Hiba megszüntetés: monitorozás | ||
+ | * Hibatűrés: Szolgáltatást nyújtani hiba esetén is. Hibakezelés, redundancia | ||
+ | * Hiba előrejelzés: Hibák és hatásuk becslése | ||
+ | |||
+ | Analízis módszerek: | ||
+ | * Ellenőrző listák | ||
+ | * Táblázatok: FMEA (Failure Mode and Effect Analysis) | ||
+ | ** Meghibásodás és hatásai felsorolása | ||
+ | * Hibafák | ||
+ | ** Gyökérben a hibajelenség | ||
+ | ** Kör: Alapszintű meghibásodás | ||
+ | ** AND és OR kapu | ||
+ | ** Téglalap: alrendszer | ||
+ | ** Analízise | ||
+ | *** Kvalitatív: | ||
+ | **** Egyszeres hibapont(SPOF) azonosítása | ||
+ | **** Kritikus esemény: Több úton is hibajelenséget okoz | ||
+ | *** Kvantitatív: | ||
+ | **** Alapszintű eseményekhez valószínűségek rendelése | ||
+ | **** Gyökérelem jellemzőjének számítása | ||
+ | * Állapot alapú módszerek | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.21. | ||
+ | |||
+ | * forras: 22-irf-szolgaltatasbiztonsag | ||
+ | * sil: safety ingegrity level: 10 ^ -9en csak azt jelenti h x berendezesbol 15 evig csak 1 hibasodik meg, nem tobb1000 evet.. | ||
+ | * szolgaltatasbiztonsag def: a kepesseg, hogy igazoltan bizni lehet egy szolgaltatasban (igazoltan: elemzesen, meresen alapul. bizni: kielegiteni az igenyeket) | ||
+ | * jellemzoi: rendelkezesreallas, megbizhatosag, biztonsagossag, bizalmassag, integritas, karbantarthatosag | ||
+ | * befolyasolo tenyezok hataslanca: fault (kivalto ok) -> error (rendszerallapot) -> failure (specifikacio megsertese) | ||
+ | * meghibasodasok kategoriai: | ||
+ | ** hw hibak | ||
+ | ** sw hibak | ||
+ | ** emberi hiba (rendszergazda, felhasznaloi artalmatlan/artalmas hiba) | ||
+ | ** kornyezeti hatas, pl termeszeti katasztrofa | ||
+ | * szolgaltatasbiztonsag eszkozei | ||
+ | ** hibamegelozes (tervezes) | ||
+ | ** hibamegszuntetes (teszteles) | ||
+ | ** hibatures. rendundancia tipusa: hideg (ott a polcon kikapcsolva) / langyos (be van kapcsolva csak mast csinal) / meleg tartalek (teljes duplazas) | ||
+ | * analizis modszerek | ||
+ | ** tablazat (fmea, failure mode and effect analysis) | ||
+ | ** hibafa: digites AND es OR kapukbol, elemi hibak korok | ||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Fürtözés és replikáció== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 22. (Fürtözés és replikáció) | ||
+ | |||
+ | Fürt: Különálló számítógépek együttese, amelyek egymással együttműködve és azonos szolgáltatásokat, alkalmazásokat futtatva egyetlen rendszerként, virtuális kiszolgálóként jelennek meg az ügyfelek számára. | ||
+ | * Számítási célú | ||
+ | * Terheléselosztási | ||
+ | ** Hálózati szintű | ||
+ | *** Kérések szétosztása hálózati rétegben | ||
+ | *** Alkalmazás elől rejtett | ||
+ | ** Alkalmazás szintű | ||
+ | *** Alkalmazás specifikus | ||
+ | * Nagy rendelkezésre állású | ||
+ | ** Megosztott lemezes | ||
+ | *** Egy erőforrást egyszerre többen használnak | ||
+ | *** Alkalmazás szintű zárolás | ||
+ | ** Megosztott elem nélküli | ||
+ | *** Erőforrás birtoklása kizárólagos | ||
+ | Problémák: | ||
+ | * Terheléselosztási fürtökben: | ||
+ | ** Egyenletes terhelésosztás Vs. egyszerűség | ||
+ | ** Munkamenet megőrzése | ||
+ | * Nagy rendelkezésre állású fürtökben: | ||
+ | ** Tagsági kép fenntartása: Ki működik éppen a csoportból | ||
+ | ** Csoportkommunikáció: Hiba esetén is lehessen üzenetet küldeni a többieknek | ||
+ | ** Tudathasadás: A fürt több független részre hullik | ||
+ | ** Amnézia: kiesés után visszajövő csomópontot értesíteni kell a közben történt változásokról | ||
+ | ** Gördülő frissítés: Frissítések egyesével | ||
+ | |||
+ | Elsődleges-másodlagos sémájú replikáció: | ||
+ | * Több adatbázisszerver is van | ||
+ | * Az elsődlegeset lehet írni, azonban a többire is kijutnak a változások | ||
+ | * Szinkron írás: | ||
+ | ** Elsődlegeset írjuk, akkor értesíti a másodlagosat, és csak akkor tér vissza, ha az is sikerrel írt | ||
+ | * Aszinkron írás: | ||
+ | ** Az elsődleges az írás után azonnal visszatér, és aszinkron módon értesíti a másodlagosat az írásról | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.18. | ||
+ | |||
+ | |||
+ | * forras: 23-IRF-2009-furtozes-es-replikacio | ||
+ | * redundancia akkor erdemes altalaban ha 99%nal jobb rendelkezesreallast akarunk | ||
+ | * cluster: tobb gep virtualis kiszolgalokent jelenik meg a userek fele | ||
+ | * fajtai: hpc (grid, parhuzamositott), terheleseloszto, ha | ||
+ | * terheleseloszto: | ||
+ | ** alkalmazas vagy tud vagy nem tud rola | ||
+ | ** lehet vmi kozpont (pl szotar) vagy lehet teljesen elosztott (utobbira pelda az rr dns, vagy microsoft nlb - network load balancing - ahol a clusternek van kulon ipje) | ||
+ | ** session megorzese celjabol mindig u.az a node kell kiszolgalja az adott usert | ||
+ | * ha (feladatatveteli, omg) | ||
+ | ** vagy van kozos storage vagy nincs | ||
+ | ** felmerulo problemak (amnezia, csoportkep, stb) | ||
+ | * replikacio | ||
+ | ** szinkronizacio lehet pull vagy push | ||
+ | ** primary/secondary, pl bind: zero data loss (de lassabb) vagy async (de lehet adatvesztes) | ||
+ | ** multimaster (komplexebb, active directory tud ilyet) | ||
+ | |||
+ | |||
+ | -- [[VajnaMiklos|Vajna Miklós]] - 2009.05.29 | ||
+ | |||
+ | ==Backup, Archiválás== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2009-ben, frissíteni!!!''' | ||
+ | |||
+ | Szükséges diasorok: 23. (Backup, Archiválás) | ||
+ | |||
+ | Adattár hibatűrési technológiák: | ||
+ | * RAID: Adathordozó meghibásodása ellen | ||
+ | * Replikáció: Többféle hardverhiba, hálózati hiba | ||
+ | ** Folyamatos | ||
+ | ** Periódikus | ||
+ | * Backup: Hardverhiba, elemi kár, emberi hiba (nem mind ellen) | ||
+ | ** Archive bit a fájlokon (=to be backed up) | ||
+ | ** Típusok: | ||
+ | *** Normal: Minden fájlt ment, törli az archive bitet | ||
+ | *** Copy: Minden fájlt ment, nem törli a bitet | ||
+ | *** Differential: Csak a bittel jelölt fájlokat menti, és nem törli róluk | ||
+ | *** Incremental: Csak a bittel jelölt fájlokat menti, törli a bitet | ||
+ | *** Daily: Adott napon módosult fájlokat menti | ||
+ | * Archiválás (nem hibatűrési technológia) | ||
+ | ** Használaton kívüli adatok biztonságos tárolása | ||
+ | |||
+ | Adat deduplikáció: Többszörözött adatok eltávolítása (rossz redundancia) | ||
+ | * Fájl szinten | ||
+ | ** Azonos tartalmú fájlok keresése | ||
+ | ** Ismétlődő fájlok csréje az első példányra való hivatkozással | ||
+ | * Blokkos eszköz szinten | ||
+ | ** Blokkok vagy nagyobb egységek hash összege alapján | ||
+ | ** Néha kevésbé hatékony | ||
+ | ** Néha hatékonyabb | ||
+ | |||
+ | Konzisztens mentés készítése: | ||
+ | * Pillanatkép: Másolás atomi művelet | ||
+ | * Virtualizáció segít, mert az alkalmazások állapotait is elmenti, így erre fel nem készített alkalmazások esetében is működik | ||
+ | |||
+ | Adatmegsemmisítés: | ||
+ | * Sima törlésnél csak a deleted bitet állítja át a rendszer | ||
+ | * Biztonsági másolatokban is megmarad a fájl - tudni kell, hogy hol van belőle még példány | ||
+ | * Felül kell írni 0-kal vagy véletlen számokkal | ||
+ | |||
+ | -- [[SallaiTamas|sashee]] - 2009.05.18. | ||
+ | |||
+ | |||
+ | * forras: 24-IRF-Backup-archivalas | ||
+ | * adat tobbet er mint az adathordozo | ||
+ | * raid: altalaban csak serveren (kerdes h mennyi ideig allhat egy szolgaltatas - a gep ne erdekes) | ||
+ | * backup hibaturest noveli, archivalas viszont arra megy ki, h a nemhasznalt de megorzendo adatokat biztonsagosan tarolja | ||
+ | * drbd: distributed redundant block device | ||
+ | * backup tipusok: | ||
+ | ** normal (torli az archive bitet) | ||
+ | ** copy (ro) | ||
+ | ** incremental | ||
+ | ** differential (ro incremental) | ||
+ | ** daily (adott napon modusult file-okat) | ||
+ | * data deduplication: "rossz redundancia", tehat nem tomorites, siman csak sok azonos tartalmu nagy file esetere, pl. dirvish | ||
+ | * mit: filerendszer, de neha kell app szintu support is hozza | ||
+ | * snapshot != backup, csak egy tamogato technologia backuphoz, mivel a masolas nem atomi muvelet | ||
+ | * virtualizacioval mindent tudunk menteni, app-level support se kell | ||
+ | * data destroy | ||
+ | |||
+ | -- [[PallosTamas|Velias]] - 2009.05.29. | ||
+ | |||
+ | ==Cloud computing== | ||
+ | |||
+ | '''TODO: utolsó módosítás 2011-ben, frissíteni!!!''' | ||
+ | |||
+ | Érvek mellette: | ||
+ | * Széles körű hálózati hozzáférés | ||
+ | * Igény szerinti önkiszolgálás | ||
+ | * „Resource pooling” | ||
+ | * Rugalmas fel- és leskálázás | ||
+ | * Mért szolgáltatások | ||
+ | * Költségcsökkentés | ||
+ | * Gyorsabb „time to value” | ||
+ | |||
+ | Ellenérvek: | ||
+ | * Szolgáltatásbiztonság | ||
+ | * Skálázás sebessége | ||
+ | * Adatbiztonság | ||
+ | * Adat átvitel: szűk keresztmetszet | ||
+ | * Nem jósolható teljesítmény | ||
+ | |||
+ | XaaS (X as a Service): | ||
+ | * SaaS (Software) | ||
+ | ** szolgáltató alkalmazásainak használata | ||
+ | ** jellemzően vékony kliens | ||
+ | ** pld: Google Apps | ||
+ | * PaaS (Platform) | ||
+ | ** saját/beszerzett alkalmazás telepítése bérelt futtatókörnyezetbe | ||
+ | ** pld: Google AppEngine, Microsoft Windows Azure Platform | ||
+ | * IaaS (Infrastucture) | ||
+ | ** alapvető számítási erőforrások foglalása | ||
+ | ** A felhasználó „tetszőleges” szoftvert futtat | ||
+ | ** pld: Amazon Elastic Compute Cloud (EC2) | ||
+ | |||
+ | Szolgáltatásbiztonság: | ||
+ | * ? | ||
+ | |||
+ | -- [[KoviBalu]] - 2011.05.31. | ||
+ | |||
+ | * [[Media:IRF_vizsga_összefoglaló_Vajna_Miklós_2009.05.29.pdf|Vajna Miklós öf. jegyzete (2009, ELAVULT LEHET)]] | ||
+ | |||
+ | |||
+ | [[Kategória:Mérnök informatikus]] |
A lap jelenlegi, 2014. június 6., 19:43-kori változata
Tartalomjegyzék
- 1 Modellezés
- 2 IT folyamatkezelés
- 3 Felhasználókezelés
- 4 Címtárak
- 5 Engedélyezés
- 6 Azonosságkezelés
- 7 Konfigurációkezelés
- 8 CMDB
- 9 Rendszermonitorozás
- 10 Eseménykezelés
- 11 Szolgáltatási szintek
- 12 Virtualizáció
- 13 Incidens-, probléma-, változáskezelés
- 14 Kiadás és telepítéskezelés
- 15 Szolgáltatásbiztonság
- 16 Fürtözés és replikáció
- 17 Backup, Archiválás
- 18 Cloud computing
Modellezés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges előadásdiák: 3. (IT Infrastruktúra modellezése)
Célja: Komplexitás kezelése
Metamodell: Modellezés modellje: Sablon definiálás, kényszerek, összefüggések
Példánya Konkretizáció ----------> -----------> Metamodell Modell Rendszer <--------- <----------- Típusa Absztrakció Meta szintek Absztrakciós szintek Több szinten is lehetnek(több absztrakciós és több meta szint)!
Modellezési lehetőségek:
- Kézi rajz
- Visio ábra
- Visio ábra + adatkötés
- UML
Szabványos modell nyelvekben definiáltak:
- Elemkészlet (absztrakt szintaxis)
- Ábrázolásmód (konkrét szintaxis)
- Jelentés (formális szemantika)
- További kényszerek (jólformáltsági szabályok)
UML:
Általános modellező:
- Struktúra leírására: Osztály, objektum, komponens, telepítés
- Viselkedés leírására: use-case, állapotgép, aktivitás, interakció
Osztálydiagramm elemkészlet:
- Osztály
- Attribútum
- Kompozíció
- Öröklődés
Metaszintek:
- UML metamodell
- Osztály
- Objektum
IT struktúra modellezése: metamodell(~osztály), példány(~objektum)
Modellezés haszna: ellenőrzés(típushelyesség, kényszerek), generálás
XML: jól formált, valid
XSD: elemek: element, comlexType, sequence, attribute
-- sashee - 2009.05.13.
- forras: 03-IRF-2009-modellezes
- modellezes: a rendszer absztrakt abrazolasa
- cel: komplexitas kezelese
- metamodell: modellezesi nyelv modellje
- kapcsolatok az egyes szintek kozott: tipusa/peldanya - metaszint, absztrakcio/konkretizacio - absztrakcios szint
- uml (csak a legalapvetobb jelolesek):
- vonal es csillag a vegen: 1-n kapcsolat
- ures landzsa: orokles
- sima nyil: asszociacio (ha nem orokles akkor kell neki adni vmi nevet)
-- Vajna Miklós - 2009.05.29
IT folyamatkezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges előadásdiák: 4. (Folyamatkezelés és modellezés)
Mukafolyamat: Azon lépések sorozata, melyeket egy adott cél elérése érdekében meg kell valósítani.
Folyamatok modellezése: Aktivitás diagramm
Elemei:
- Akció
- Döntés
- Elágazás
- Objektum
ITIL: Information Technology Infrastructure Library
Céljai:
- Best practice gyűjtemény
- Közös nyelv: mi a probléma, incidens, szolgáltatás
- Nem foglalkozik implementációval
Fő területei:
- Service Strategy (hosszú távú tervezés)
- Service Design (új szolgáltatások tervezése)
- Service Transition (implementálás, bevezetés)
- Service Operation (napi üzemeltetés)
- Continual Service Improvement (folyamatos mérés, javítás)
Alterületek(példák, sok van):
- Kapacitástervezés
- Rendelkezésre állás
- Konfiguráció kezelés
- Változáskezelés
- Telepítés kezelés
- Incidens kezelés
- Problémakezelés
-- sashee - 2009.05.13.
Folyamatmodellezes
- forras: 04-IRF-2009-folyamatkezeles
- workflow: cel erdekeben elkovetendo lepesek sorozata
- uml jelolesek
- belepes: sotet kor
- kilepes: lyukas kor
- akcio: lekerekitett teglalap
- dontes: rombusz
- elagazas: ||}
- teglalap: objektum
- soa: komplex alkalmazasok szolgaltatasokra bontasa, ezek kozott jol definialt interfesz, lazan csatolt architektura
- itil: information technology infrastructure library, best practices gyujtemeny, de nincs benne konkret megvalositasrol szo
- itil alteruletek: kapacitastervezes, rendelkezesreallas, incidenskezeles, problemakezeles, konfiguraciokezeles, valtozaskezeles, stb.
- itup: ibm tivoli unified process
- mof: microsoft operations framework
- gartner: it erettseg szintjei (0..4)
- mio: microsoft infrastructure optimization, technologiak menten lebontva az egyes szintek (pl desktopon mi kell az egyes szinteken)
-- Vajna Miklós - 2009.05.29
Felhasználókezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasor: 5. (Felhasználókezelés)
Rendszer biztonsága = leggyengébb láncszem biztonságossága
C.I.A.:
- Bizalmasság (Confidentability)
- Sértetlenség (Integrity)
- Rendelkezésre állás (Availability)
Cél:
- Rendszer mindig az elvárt módon működjön
- Illetéktelenül ne lehessen adatokhoz jutni, műveleteket végezni
Engedélyezés (Autorizáció)
Hitelesítés (Autentikáció)
- Tudás alapján azonosítható a felhasználó(pl. jelszó)
- Mindenhol szükséges
- Protokollok (Kriptográfia)
Linuxon a felhasználókezelés:
- User: UID, name, password, shell, home directory, comment, expiry date
- Group: GID, name, (password)
Windowson:
- SID: ez alapján azonosítja a rendszer a felhasználót(nem név alapján)
- registryben tárolódnak a felhasználók
- Hozzáférési tokenek
-- sashee - 2009.05.16.
- forras: 05-IRF-felhasznalokezeles
- biztonsag: egyre tobb problema: tervezes-implemenacio-uzemeltetes
- "leggyengebb lancszem"
- biztonsag fogalma: sertetlenseg (integrity), bizalmassag (confidentality), rendelkezesre allas (availability)
- hitelesites (authentikacio, igazolom, hogy en vagyok pisti) vs engedelyezes (authorizacio, mit csinalhat pisti)
- biztonsagi entitasok windows alatt: principal, belole user/group/machine (usernek <gep sid>-<rid> a sidje)
- azonositas: windows alatt ntlm v kerberos
- bash, powershell
-- Vajna Miklós - 2009.05.29
Címtárak
TODO: utolsó módosítás 2011-ben, frissíteni!!!
Szükséges diasor: 6. (Címtárak)
Címtár:
- Nyilvános adattár, címjegyzék
- Felhasználó adatai, számítógépek adatai, biztonsági információk
- Hitelesít: Beléptetéshez hozzá fordulnak a szerverek(így központi lesz a felhasználókezelés)
LDAP(Lightweight Directory Access Protocol):
Séma:
- Statikus, konfigurációs fájlokból
- Szabványok
- Minden elemnek (osztály, attribútum) van azonosítója
- Öröklés
- Attribútumok: Opcionális vagy kötelező, multiplicitás
- Referenciák stringek(DN)
Objektumok:
- RDN: Kitüntetett attribútum, azzel azonosítjuk(~primary key)
- DN: A tartalmazások mentén azonosítható minden objektum a szülők RDN listájával
- Referenciák: DN alapján hivatkoznak
- Típus - példány kapcsolat is referencia, ez az objectClass
- Egy objektumnak több típusa is lehet, akkor az attribútumok uniójával fog rendelkezni
Műveletek:
- Bind: csatlakozás
- Search: lekérdezés, keresés
- Update: módosítás
Active Directory:
- Microsoft címtár implementációja
- Fa szerkezet, belül ez is LDAP
- Hierarchia eleme: szervezeti egység (OU)
- Szerkezeti szintek: tartomány, fa, erdő
Csoportházirend (Group Policy):
- Windows
- Kötelezően érvényre jutó beállítások
- Helyi rendszergazda nem tudja felülbírálni
- Fajtái: számítógép és felhasználó szintű
- Policy vs. Preferences
Identity management
-- sashee - 2009.05.16. -- KoviBalu - 2011.05.30.
- forras: 06-IRF-cimtarak
- kozos adatter, innen tud hitelesiteni majd a webserver, vpn, ssh, stb.
- dns, nis, ldap, ad
- ldap: lightweight directory access protocol
- ldap sema -> cimtar tartalom, hierarchikus
- muveletek: bind, search, update; lekerdezheto a sema is
- rdn: megmondja, hogy melyik attributum az ~ elsodleges kulcs
- gyokernel az rdn altalaban a dn, a tobbinel a cn, igy dn,cn parral egyedileg azonosithato mindenki
- az objectClass referencia mondja meg h az object melyik class peldanya
- az objectClass az egy lista! (eredmeny az attributumok unioja)
- ad: active directory, ldapon alapulo nemszabvanyos megoldas
- ds* parancs kezeli vagy powershell vagy gui
-- Vajna Miklós - 2009.05.29
Engedélyezés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasor: 7. (Engedélyezés)
Engedélyezés(Autorizáció): Mihez van joga a felhasználónak
Általános séma:
- A szereplőt egy adatszerkezet reprezentálja
- A jogosultság egy reláció a szereplők és a védett objektumok között
A rendszer működése során:
- A szereplők műveleteket végeznek
- A műveletek kontextusa tartalmazza a szereplő azonosítóját
- A döntő komponens engedélyezi vagy megtiltja a hozzáférést
- A végrehajtó biztosítja, hogy a döntés érvényre jusson
A rendszer karbantartása során:
- Jogosultságok beállítása
Általában nincs leállás karbantartásra:
- A jogosultságokat leíró adatszerkezet is védett adat
- A jogosultság módosítások azonnal érvényre jutnak
Kihívások:
- Sok szereplő, sok védett objektum, ezért sok lehetséges jogosultsági reláció
- Rendszeres karbantartás szükséges(árva felhasználók,...)
- Törvényi követelmények is lehetnek(naplózás,...)
Fajtái:
- Kötelezőség
- Kötelező
- Belátás szerint
- Szint
- Rendszer szintű
- Erőforrás szintű
- Fajta
- Integritási szintek
- Hozzáférési listák
RBAC(Role Based Access Control): A felhasználókhoz szerepeket rendelünk(hierarhikus), és a szerepekhez rendeljük a jogosultságokat
Linux fájlrendszer jogok (védelmi kód):
- 3*3 bit
- Saját, csoport, többiek
- Olvasás, írás, végrehajtás
- könyvtáraknál olvasás: tartalom listázása; írás: fájl létrehozása, átnevezése, törlése; végrehajtás: tartalmazott fájl elérése
- +3 bit:
- könyvtárakra
- sticky bit (aka t-bit): csak tulajdonos törölhet belőle (amúgy írásjog elég lenne a könyvtárra)
- setgid: csoport öröklődik
- normál (futtatható) fájlokra:
- setuid, setgid: A fájl tulajdonosának a nevében/csoportjában fut (effektív uid/gid)
- könyvtárakra
- Execute tiltás hatása öröklődik a könyvtárakon
Windows csoportházirend:
- Számítógép szintű (SW telepítés, tűzfal,....)
- Felhasználó szintű (képernyő beállításai,...)
- Öröklődés, felüldefiniálás
-- sashee - 2009.05.16.
- forras: 07-IRF-engedelyezes
- hozzaferesi matrix
- torveny: jogosultsagok szetvalasztasa, naplozas
- jogosultsagkezeles:
- kotelezoseg: kotelezo ha kozponti jogosultsagellenorzes, belatas szerint ha tovabb lehet osztani a jogokat
- szint: rendszer szint, eroforras szint (?)
- fajta: ingegritas szintek (no read up, no write down - vagy forditva :P), hozzaferesi listak (acl, rbac)
- xacml (xml + acl)
- linux: bla bla, orokles csak diren exec hianya oroklodik lefele
- windows:
- mandatory integrity control: no write up, ie hasznalja pl
- rendszerszintu jogosultsagok: privilege (gep elallitas, driver telepites, stb) es accountright (ki lephet be, honnan lephet be, stb)
- dacl: discretionary acl, objektumokra. owner akkor is valtoztathat rajta ha nem lenne egyebkent joga. egyebkent engedelyek unioja, de tiltasnak nagyobb prioritasa van
- group policy: gepre es felhasznalora is
-- Vajna Miklós - 2009.05.29
Azonosságkezelés
Szükséges diasor: 8. (Azonosságkezelés)
Egységes azonosságkezelés:
Feladatai (példák):
- Jelszó lejárásáról értesítő küldés
- Inaktív azonosítók szűrése
- Soha sem használt azonosítók szűrése
- Csoport tagságok módosítása
- Lejárt szerződésű felhasználók törlése
- Időzített/triggerelt események
- Ezt adott(bármilyen) infrastruktúrán
Előnyei:
- Rendszermérnök és nem a rendszergazdák határozzák meg a hozzáférést
- Felhasználók életciklusának a kezelése
- Központosított kockázatkezelés
- Egyszerű interface
- Központi házirend kezelés
- Csoporttagságok központi kezelése
- Felhasználótárak és IT erőforrások egységes kezelése
- Egységes jelszókezelés és kérelmek intézése(felhasználói szemszögből)
- Jelentések generálása
Hátrányai:
- Csak jól karbantartott infrastruktúrán működik
- Plusz technológia, karbantartás
- Bevezetés költsége
- A szervezeti felépítés és IM adminisztráció nem egyezik
- Hamis biztonságérzetet adhat, ha rosszul van beállítva
Logikai megvalósítások:
- Egy címtár
- Minden egy helyen van karbantartva
- Mindent egyetlen címtárhoz kell integrálni
- Több címtár
- Flexibilis
- Nehezen karbantartható
- Nehéz házirendeket definiálni
- Árva felhasználók
- Metacímtár (másolat az összes adatról)
- Egységes kép a rendszerről
- Több adminisztrációs belépési pont
- Teljesítménykorlát
- Komplex szabályrendszerek
- Saját adminisztrációs eszközök (adott gyártó eszközeit fogja össze)
Házirendek:
- Általános szabályok (szerep vagy csoport alapú)
- Felhasználói fiókok kezelése
- Prioritás, ütközések feloldása
- Központi rendszeren és a menedzselt erőforrásokon is vannak(szinkronizáció szükséges)
Munkafolyamatok:
- Elemi lépések + feltételkiértékelés
- Kérelmek elbírálása
- Eszkaláció
- Webes felület, email küldés, időzített események
-- sashee - 2009.05.16.
- forras: 08-IRF-identity-management
- cel: ne legyenek elfelejtett felhasznalok, ne kelljen mindent ldapbol authentikalni -> lehet masolat, csak legyen rendesen szinkronizalva
- a cel rendszeren lehetnek "arva" fiokok, csak ez legyen elore megadva, es akkor normalis (pl windows everyone, stb.)
- itim: ibm tivoly identity manager. adatokat ldapban es rdbmsben is tarol.
-- Vajna Miklós - 2009.05.29
Konfigurációkezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 9. (Konfigurációkezelés), 10. (Konfigurációkezelés Windowson)
Feladatai:
- Információ tárolás
- HW leltár
- Hálózati eszközök és topológia leírása
- OS és SW leltár
- SW licenszek
- OS beállítások
- Erőforrások
- Konfiguráció lekérdezése és távoli módosítása
Architektúra:
Kliens* lib/tool? ^ | \/ Konfiguráció-menedzser<---->.... ^ | \/ "Provider"* *: Több is lehet ?: nem biztos, hogy van
- Hordozóprotokoll
- Operációk
- Adatok
- Operációk
CIM(Common Information Model): Adatmodell, mellyel leírható a konfiguráció
Felépítése:
- Objektumorientált szemlélet (~osztálydiagramm)
- Példányosítás, metódushívás
- Meta séma(lásd diasor:9. sor 26-28)
MOF(Managed Object Format): Menedzselt információk deklaratív leírása (CIM meta séma konkrét szintaxisa)
WBEM(Web Based Enterprise Management): Szabványkészlet
- CIM-XML vagy WS-Management
- CIM Query Language
- WBEM Discovery Using the Service Location Protocol
CIM-XML: XML-ben reprezentált CIM információ-csere HTTP felett
- DTD-t használ, ez a CIM metasémát írja le
WS-Management:
- Webszolgáltatás alapú
- Műveletek
- DISCOVER: Erőforrás felderítés
- GET, PUT, CREATE, DELETE: Erőforrás kezelés
- ENUMERATE: Gyűjtemények elemeinek a felsorolása
- SUBSCRIBE: Eseményekre feliratkozás
- EXECUTE: Metódus meghívása
-- sashee - 2009.05.16.
- forras: 09-IRF-konfiguraciokezeles-alapok, 10-IRF-2009-konfiguraciokezeles_windows
- alapok
- cmdb tartalma: license-ek, halozati topologia, szolgaltatasok vs eroforrasok, stb.
- cmdb egy adatbazis, modell kell hozza, ez lesz a cim (common information model)
- oo modell: peldanyositas (useradd), metodushivas (gep restart), stb.
- cimom: cim object manager, modelleket kezel .mofban
- wbem: web based enterprise managenent, (tobbek kozott) cimet hasznalja, eszkoz ra windowson: wbemtest.exe. nem konkret protokoll, az majd a cim-xml meg a ws-management lesz.
- cim-xml: http felett, definialja a cim query language-t is
- wbem(cim-xml) tamogatas sok helyen: openpegasus (rhel, vmware, stb), openwbem (sles), pywbem, stb
- sblim: stanrads based linux instrumentation, ennek kereteben keszult: cim provider rpmhez, perlhez, "cim java api", stb
- small footprint cim broker, egy cimom beagyazott rendszerekhez
- linuxos cmdline tool: wbemcli
- cmpi: common manageability programming interface, szabvanyos cimom provider interface. van benne peldany szolgaltato, metodus szolgaltato, stb
- windowson
- wmi
- cmdline tool: wmic
- hozza wql: wmi wmi query language
- ws-management: web services for management, ez se csak cimre jo...
- muveletek: discover, get, put, create, delete, subscribe, execute
- az egesz https es soap felett
- implementacio: winrm, openwsman (cim-xmlbol fordit)
- winrm tudja a wmit meg annal is tobbet, vista ota (hogy ne kelljen dcommal szenvedni)
- winrm nevu cmdline tool, winrs (windows remote shell)
CMDB
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 11 (CMDB)
Előnyei:
- Központi helyen tárolódnak az adatok
- Szabványos formában
- IT infrastruktúra modell (elemek+kapcsolatok)
- Modell ellenőrzés: Valóságnak megfelel, ellentmondásmentes
- Diagnosztika: Esemény hatása, hiba okának felderítése
Architektúra: 11. diasor 14. dia
Alappillérei:
- Föderáció: Több adatraktár, közöttük külső kulcsok, a részletes adatokat csak ezeken keresztül lehet elérni
- Összeegyeztetés
- Szinkronizáció
- Vizualizáció és leképzés
Autómatikus felderítés:
- IP scannelés (Subnet vagy IP range)
- Port scannelés
- Általános számítógép scannelés
- Specifikus számítógép scannelés
-- sashee - 2009.05.17.
Konfiguraciokezelo adatbazisok (CMDB)
- forras: 11-IRF-2009-CMDB
- motivacio: hogy lassuk h pl hdd ledoglese mit erint, $foo szabvanynak megfelelunk-e
- cmdb: tarolja a teljes infrastrukturat
- termelo-fogyaszto: szabvanyos interfeszen tolnak bele (szenzorok) / vesznek ki belole adatokat
- felderites: agens alapu v megbizoleveles (besshzunk)
- vagy megbizolevel-mentes: nmap, ping, stb (lehet aktiv v passziv, pl wireshark)
- itil cmd: relevans infok elemekrol (ci, configuration item) es a koztuk levo kapcsolatokrol
- nagyvallalai cmdbk:
- foderacio: nem egy db, hanem sok, es kulso kulcsok
- osszeegyeztetes: kulonbozo dbkben levo ci-ket felismerni ha azonosak
- szinkronizacio: eleg legyen egy helyen megvaltoztatni a user uj lakcimet
- vizualizacio es lekepezes: lehessen reportot generalni + szurni
- cmdb resze a ci-k modellje is!
- cmdbf: ipari szabvany cmdb-k kozt
- ibm taddm (tivoli application dependency discovery manager): cmdb ibm modra
- automatikus felderitas: ping, os, portscan, server-specifikus lekerdezesek
-- Vajna Miklós - 2009.05.29
Rendszermonitorozás
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 12. (Rendszermonitorozás)
Célja: Folyamatos képet kapjunk
- Infrastruktúra, eszközök működőképességéről
- Terhelésről, erőforrás kihasználtságról
- Topológiáról, konfigurációról
- Biztonságról
Részfeladatai:
- Adatgyűjtés
- Beavatkozás
- Megjelenítés
- Riasztás
- Pillanatnyi adatok tárolása
- Historikus adatok tárolása
Adatgyűjtés: Hálózaton keresztül kérjük le, beépülő ágens segítségével
- Hardverben
- Állapot-, és parancsregiszterek (állapotkiolvasás, beavatkozás)
- Külön processzor
- Szoftverben
- A megfigyelt szoftver nincs felkészítve a megfigyelésre
- Ágens külön folyamat, OS-en keresztül figyel
- Belső adatstruktúrákhoz nem fér hozzáa
- A megfigyelt szoftver fel van készítve a megfigyelésre
- Forráskód instrumentáció
- A megfigyelt szoftver nincs felkészítve a megfigyelésre
Lekérdezési lehetőségek:
- Pull: A központosító adatgyűtő kezdeményezi az ágensek lekérdezését
- Push: Az ágens kezdeményezi az adatok küldését a feliratkozott adatgyűjtőknek
Hálózatmenedzsment szabványok:
- SNMP (Simple Network Management Protocol)
- MIB: Lekérdezhető attribútumok szabványos leírása
- Fa struktúra, minden elemhez azonosító:OID (szintek pontokkal választva, amúgy szám)
- Metamodellje
- ObjectIdentifier: ~csomag
- ObjectType: ~osztály
- Csak tartalmazásai kapcsolat
- Kiegészíthető
- Saját bináris formátum
- Gyártóspecifikus kiegészítések
- Nem kérdezhető le, hogy az ágens milyen MIB kiegészítéseket ismer
- Hiányok
- Referencia
- Öröklődés
- Meta lekérdezési lehetőségek
- Dinamikus osztály-példány kapcsolat
- Műveletek
- getRequest: Attribútum érték lekérdezés
- getNextRequest: Következő érték lekérdezése
- getResponse: Érték elküldése
- setResponse: Attribútum beállítása
- trap: Esemény jelzés (eredetileg kivétel elfogása): aszionkron üzenettel értesítés
- walk: Részfa rekurzív lekérdezése
- MRTG (Multi Router Traffic Grapher): Forgalom monitorozása (BIX)
- Felderítés
- Üzenetszórás
- Csak az érintett gépek válaszolnak
- Biztonság
- Kötelezően implementált gyenge titkosítás
- Opcionálisan implementálható erős titkosítás
- Beléptetés, hitelesítés
- MIB: Lekérdezhető attribútumok szabványos leírása
- RMON
- Netflow/IPFIX
- SFlow
- CMIS, CMIP, CMOT
- Syslog
- Netconf
- JMX
- WBEM
- WSDM
Historikus adatgyűjtés
- Feladatai
- Historikus tárolás
- Tendenciák
- Következtetések
- Kihívás: Túl sok adat
- Aggregáció: Régebbi adatokat összevonjuk, tehát minél régebbi az adat, annál rosszabb a felbontása. Ezért külön kell menteni az érdekes részeket, melyeket nem akarjuk rontani.
-- sashee - 2009.05.17.
- forras: 12-IRF-rendszermonitorozas
- hogy ne akkor vegyuk eszre h gaz van ha szolnak a juzerek
- preventiv jelleg! :)
- szeretnenk kepet kapni a rendszer teljesitmenyerol, kihasznaltsagarol
- adatgyujtes + megjelenites + riasztas ha kell + historikus tarolas
- aganes: figyel + esetleg ertesit + egyszeru beavatkozasok
- vagy kulon process vagy builtin support
- pull/push modell. pull mint munin, pushnal az agens kezdemenyez
- szabanyok: snmp, syslog, jmx (jvm-ek monitorozasara), wbem
- szondazas (active proving): nincs kulon agens, csak userkent teszteljuk a szolgaltatast (pl monit). de itt is kell agens ha adott helyrol akarunk tesztelni.
- snmp: szabvanyos mib, agens a mib-et implementalja (mar amit..)
- kiterjesztheto, de nem kerdezheto le h milyen kiterjeszteseket hasznal a device
- muveletek: get, set, trap (ertesites feltetel teljesulese eseten async uzenetkuldessel adott ipre)
- mib es cim hasonlo, de mib kevesebbet tud, igy nem cmdb
- snmp vs wbem: binaris vs xml, configolni ne szokas snmpvel (pedig lehetne)
- gyakorlatban: peldaul mrtg, bix hasznalja
- historikus adatgyujtes: csak az "erdekes" reszeket taroljuk, az unalmas idoszakokban aggregalunk. (min/max/avg ertekek)
- munin: monitoroz, mrtghez hasonloan rrdtool oldja meg a historikus adatgyujtest, nagiossal kombinalva tud riasztani, max 50 gepig kenyelmes
-- Vajna Miklós - 2009.05.29
Eseménykezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 14. (Rendszermonitorozás - Eseménykezelés)
Az esemény fogalma: Az IT szolgáltatás- és rendszerfelügyeletben az esemény olyan adat, ami egy vagy több erőforrásról, illetve szolgáltatásról hordoz információt.
ITIL esemény menedzsment folyamata:
- Esemény analizáló
- Detect and Log Event
- Examine and Filter Event
- Correlate, Escalate and Process Event
- Resolve Event
- Close Event
- Esemény menedzser
- Establish Event Management Framework
- Evaluate Event Management Performance
Eseményfeldolgozás lépései:
- Szűrés
- Továbbítás
- Lassítás (pl. magas CPU használat nem baj, csak ha sokáig tart)
- Duplikátumok detektálása
- Elévültetés
- Korreláció (azonos probléma által generált események együttes kezelése)
- Eszkaláció
- Események állapotváltásának szinkronizálása feldolgozók között
- Notification
- Átvezetés a hibabélyeg kezelő rendszerbe
-- sashee - 2009.05.17.
- forras: 14-IRF-2009-esemenykezeles
- cel: mert ertekekben a valtozast eszrevenni
- naplozas != esemenykezeles
- hibaok (fault), ebbol hibas allapot (error), es emiatt a user lat egy hibahatast (failure)
- windows event log, cmdline tool: wevtutil.exe
- syslogd: "pri header msg", ahol pri = 8*facility+severity
- itil: event management
- feldolgozas: szures, tovabbitas, lassitas (100% cpu fel percig nem erdekes), diplikatumok keresese
- elevules
- korrelacio: 2 esemenynek lehet u.az az oka
- ibm tivoli netcool / omnibus: probe-ok + hozza egy inmemory rdbms ami alerteket tarol
-- Vajna Miklós - 2009.05.29
Szolgáltatási szintek
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 15. (Rendszermonitorozás - szolgáltatási szintek)
Szolgáltatásbiztonság attribútumai:
- Rendelkezésre állás
- Megbízhatóság
- Biztonságosság
- Integritás
- Karbantarthatóság
IT metrikák:
- Mérhető/számolható
- Rendszer/szolgáltatás jellemző
- Rendezett értelmezési tartomány
- + Időintervallum/időpont
GQM (Goal - Question - Metric)
- Goal: Cél, amit mérni akarunk
- Question: Mitől függ
- Metric: Mivel lehet mérni
SLA (Service Level Agreement):
- Szolgáltató és igénybevevő közötti megállapodás
- Minőségi jellemzők meghatározása
- Vonatkozó kötelezettségek
- Megsértés esetén eljárásrendről
SLA jellemzői:
- Minőségi jellemzők és korlátok
- Metrikák definiciói
- Mérés mikéntjének módja
- Szolgáltatási szint monitorozás és jelentés
- Ki mér?
- Vevő: van-e elég joga?, mi okozhat pontatlanságot?
- Szolgáltató: instrumentáció testre szabása, megbízható-e?
- Problémák jelentésének folyamata
- Problémákra reagálás és megoldás időkeretei
- SLA sértés következményei
- Felmentő-, és kivétel cikkelyek (pl katasztrófánál)
-- sashee - 2009.05.17.
- forras: 15-IRF-2009-szolgaltatasi-szintek
- szolgaltatas: onallo entitas, adminisztralni kell
- it metrikak: amit merni tudunk
- gqm: goal-question-metric
- pelda: online erzet, mennyit kell varnia a usernek az oldalmegjelenesre, ehhez letoltesi/renderelesi ido
- sla: mit vallalunk, ezek definialva, es ezekre fix ertekek, meres mertekenek definicioja, sla-sertes kovetkezmenyei, ki mer, problemak jelentesenek folyamata
-- Vajna Miklós - 2009.05.29
Virtualizáció
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 16. (Virtualizáció - Bevezető), 17. (Virtualizáció - Gyakorlati megvalósítások)
Definició: Ez erőforrás elvonatkoztatása az erőforrást nyújtó elemektől
Fajtái:
- Platform virtualizáció: Több OS egy gépen.
- Hosted: OS fölött egy alkalmazásként fut
- Bare-metal: OS alatt fut
- OS szintű virtualizáció
- Alkalmazás virtualizáció
- Alkalmazás futtatókörnyezetek
- Desktop virtualizáció
CPU virtualizáció fajtái:
- Tiszta emuláció: A vendég kódját nem futtatja, haem adatként feldolgozza
- Lassú
- Eltérhet a host és a vendég utasításkészlete
- Interpreter / JIT
- Trap & Emulate: Emulálja a virtuális hardvert
- Nem privilegizált utasítások közvetlenül végrehajtódnak
- Privilegizáltak kivételt dobnak, amit a host elkap és végrehajtja az emulált hardveren
- Nem támogatják teljesen azok a processzorok, amelyeket nem erre készítettek
- Szoftveres: Hasonló, mint a Trap & Emulate
- Egy JIT fordító átnézi a kódot, és a problémás részeket átírja
- Hardveres: VT-x és AMD-V -vel új ring jött létre
- VMCALL-al lehet az új ring-be hívni
- Onnan VMRETURN-el jön vissza
- Paravirtualizáció:
- A vendég tud róla, hogy virtualizált, ezért ne használjon elfoghatatlan utasításokat
- Lehetőleg kevés privilegizált utasítást használjon
- Saját rendszerhívások
Memória virtualizálása:
- 2 laptábla kell
- A vendég fizikai címet képezi le a VM-ben futó alkalmazások virtuális címeire
- A futtató gép fizikai címeit képezi le a VM-ben futó alkalmazások virtuális címeire
- Ha a vendég módosítani akarja a laptábláját
- Read-onlyra állítjuk, így ha módosítani akarja, akkor kivétel->trap
- Hardveres kiegészítés többszintű laptáblák kezeléséhez
- Ne akarja módosítani, kérje meg a VMM-et
- Memórialap deduplikáció
- Dinamikus allokáció
- Memória felfújás
- Ha a hoszt memóriája kifogy, akor elvesz a vendégől. Ekkor egy driver elkezdi lefoglalni a vendégben a memóriát, amit pedig lefoglalt, azt a hoszt elveheti. Vendég swappelni fog egy idő után.
Perifériák virtualizálása:
- Emuláció: I/O műveletek elfogása és emulálása (lassú)
- Paravirtualizáció: Nem létező hardvert emulálunk, így összetett műveleteket hatékonyabban tudunk elvégezni
- Hardveres virtualizáció: Közvetlenül elérhető. Nem biztonságos
Speciális igények:
- Grafikus periféria igények
- Az egér egyenlő sebességgel mozogjon a hoszt és a vendég számára is
- A grafikus kép kövesse az ablak méretét
- Seamless
- Háttértár igények:
- Csak annyi helyet foglaljon a képfájl amennyit ki is használ
- Pillantkép
- Másolatkészítés
Kliens oldali igények:
- Egyszerű telepítés meglévő Op. rendszerre
- Egyszerű kezelés
- Jó erőforrás-kiosztás
- Multimédia, jó grafikus teljesítmény
- Könnyű host-guest kommunikáció, adat- és periféia megosztás
- Speciális igények: snapshot, clone
Szerver oldali igények:
- Távoli elérés fontos!
- Erőforrás gazdálkodás (VMware ESX/ESXi)
- Resource Limit: kemény felső korlát az erőforrás igénybevételére
- Resource Reservation: garantált rendelkezésre álló erőforrás mennyiség
- Resource Shares - prioritás, versenyhelyzet esetén
- Központi menedzsment
Központi menedzsment:
- Erőforráscsoportok
- VMware DRS (Distributed Resource Scheduling)
- Fürtökbe fog sok ESX/ESXi gépet
- Automatikusan vagy félautomatikusan osztja szét a VM-eket a fizikai gépek között
- VMware DRS (Distributed Resource Scheduling)
- Live migration
- Hibatűrés
- Redundancia
- Feladatátvételi fürtök
- Egy HW hiba -> sok virtuális gép hibásodik meg!
- Ha a VM háttértára hozzáférhető marad, akkor újraindíthatjuk másik hoszton
- Futási állapot elvesztés kivédése
- Checkpointing
- Lockstep (Többszörözött futtatás több hoszton)
- Egy példány „elsődleges”, ez kommunikál a hálózaton
- A többi példány „tartalék”, ezek kívülről nem megfigyelhető módon (kis késletetéssel) követik az első állapotát
-- sashee - 2009.05.17. -- KoviBalu - 2011.05.31.
- bevezeto
- forras: 16-IRF-virtualizacio-bevezeto
- fogalma: eroforrasok elvonatkoztatasa az eroforrast nyujto elemektol
- fajtai(5): platform (teljes gepet emulalunk), container/jaim (openvz), alkalmazas virtualizacio (fakeroot), futtatokornyezet (jvm, .net), desktop virtualizacio (rdp)
- platform ket fajta: bare-metal (virtualizacios reteg+mgmt os;xen) vagy hosted (normal osbe epul bele a virtualizacios cucc;kvm)
- plat. virt. def.: azonossag (u.az legyen a programok futasi eredmenye), biztonsagossag (igazi hw-t vmm - virtual machine monitor - kezeli), hatekonysag (utasitasok nagyresze modositas nelkul fusson)
- lehet szoftveres v hardware-es virt: hw eseten mar nem lehet optimalizalni
- paravirt: mikor a guest tud rola h virt. gepben fut, pl uml
- trap and emulate: hogy raengedhessuk a cpura az olyan kodot amiben bizonyos utasitasokat nem engedunk lefutni
- szerver virtualizacio
- forras: 17-IRF-virtualizacio-gyakorlat-szervervirtualizacio
- memoriakezelesnel is a szokasos 3 eset: sw, hw es paravirt megoldasok shadow page table kezelesere
- paravirt trukk: balooning driver
- copy-on-write: irhatonak mutatjuk es ha vhova irni akar akkor elotte elmentjuk az eredeti adatot
- openvz: vpseknel jo, tobb mint a chroot (pl process lista), de meg mindig kozos kernel
- virtualizacio managementje:
- forras: 18-IRF-Virtualizacio-menedzsmentje
- ez nemnagyon kell...
-- Vajna Miklós - 2009.05.29
Incidens-, probléma-, változáskezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 19. (Incidens-, probléma-, változáskezelés)
Service Desk:
- Felület a felhasználók felé, ahova zavar esetén fordulnak
- Ticket nyitása, kitöltése, zárása
- Kísérlet a probléma megoldására, ha nem sikerül, akkor eszkalálja
Incidenskezelés:
- Incidens: Nem tervezett leállás, probléma vagy anomália egy szolgáltatásban
- Feladatai:
- Kevesebb leállás
- Prioritizálás, jobb erőforrás kihasználtság
- Szolgáltatási szint javítása
- Lépései:
- Azonosítás: Milyen forrásból jön
- Naplózás: ID, időbélyeg, leírás, súlyosság, prioritás, kontakt, CI, státusz
- Kategorizálás
- Prioritizálás: Sürgősség * hatás
- Kezdeti diagnózis
- Eszkalálás: Update + továbbítás
- Diagnózis
- Helyreállítás: Tesztelés, végrehajtás
- Incidens lezárása: Visszajelzés, dokumentálás
- Ticket: Egy incidens életútja
- Opened
- Assigned
- Resolved
- Closed
Problémakezelés:
- Hiba okának feltárása, megoldás megkeresése, tesztelése, implementálása
Változáskezelés: Változások életciklusának a kezelése
- Káros hatások kiküszöbölése
- Folytonos(abb) üzletmenet biztosítása
- Erőforráskihasználtság
- Folyamatvezérelt
- CMDB szinkronban tartása
- Incidensek elkerülése
-- sashee - 2009.05.18.
- forras: 20-IRF-2009-Incidens_menedzsment
- service desk: ide lehet fordulnia a felhasznalonak. ticketeket nyitnak, lezarnak, torolnek, stb
- incidens: nem tervezett leallas/hiba/anomalia szolgaltatasban, formalizalt kezeles kell ra
- alfolyamatai: bejon, logoljuk, kategoriazalas, proirizalas, diagnozis, eszkalaljuk (opcionalis), megoldjuk, lezarjuk
- prioritas = surgosseg * hatas
- problema: az incidens oka.
- valtozaskezeles: valtozasok eletciklusat kezeli, hogy legyen ra terv (igy cmdb syncben lesz, hatekony eroforraskihasznalas, bla bla)
-- Vajna Miklós - 2009.05.29
Kiadás és telepítéskezelés
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 20. (Kiadás és telepítés kezelés)
Kiadáskezelés: Elfogadott változások elkészítése és elfogadott kiadások készítése belőlük
- Részei:
- Tervezés
- Implementálás
- Tesztelés
- Telepítés
- Elennőrzés, lezárás
- Kiértékelés
- Fogalmai:
- Release: HW, SW, dokumentáció és folyamatok gyűjteménye, amely együtt egy RFC-t implementál
- Release azonosító: név/szám konvenció
- Release típusa: teljes/delta
- Build környezet: eszközök, eljárások
- Fejlesztői/teszt/UAT/éles rendszer
- Definitive Software library(DSL): Logikai tárhely az engedélyezett összes szoftverrel
- Baseline: Adott időpontban valaminek az állapota
- Back-out plan: ha nem sikerülne
Telepítéskezelés: Kiadások telepítése
- Előkészítés
- Tervezés
- Előkészítés
- Adminisztrálás
- Végrehajtás
- Telepítés
- Verifikálás
- Átnézés és lezárás
-- sashee - 2009.05.18.
- forras: 21-IRF-2009-kiadas-es-telepites
- release: hw, sw, doksi, folyamatok egyutt ami implemental egy rfc-t
- dsl: definitive sofrware library, ami ebben van azt lehet telepiteni
- linux: rpm, windows: msi
- msi workflow: fejlesztes, msi, msi testreszabasa, group policy, telepul
- wsus: windows server update services
-- Vajna Miklós - 2009.05.29
Szolgáltatásbiztonság
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 21. (Szolgáltatásbiztonság IT rendszerekben)
Szolgáltatásbiztonság:
- A képesség, hogy igazoltam bízni lehet a szolgáltatásban
- Igazoltan: méréseken alapszik
- Bízni: Szolgáltatás az igényeket kielégíti
Jellemzői:
- Rendelkezésreállás: Folyamatos, hibamentes szolgáltatás
- Megbízhatóság: Használatra kész szolgáltatás
- Biztonságosság: Katasztofális következmények nélküli szolgáltatás
- Bizalmasság: Nincs jogosulatlan hozzáférés
- Integritás: Nincs hibás változtatás
- Karbantarthatóság: Javítás és módosítás lehetősége
Befolyásoló tényezők:
- Hibajelenség: Specifikációnak nem megfelelő szolgáltatás
- Hiba: Hibajelenséghez vezető rendszerállapot
- Meghibásodás: A hiba feltételezett oka
Hatáslánc: Meghibásodás -> Hiba -> Hibajelenség
Kategorizálás:
- Hardverhibák
- Szoftverhibák
- Emberi hibák
- Környezeti hatások
Szolgáltatásbiztonság eszközei:
- Hiba megelőzés: verifikáció
- Hiba megszüntetés: monitorozás
- Hibatűrés: Szolgáltatást nyújtani hiba esetén is. Hibakezelés, redundancia
- Hiba előrejelzés: Hibák és hatásuk becslése
Analízis módszerek:
- Ellenőrző listák
- Táblázatok: FMEA (Failure Mode and Effect Analysis)
- Meghibásodás és hatásai felsorolása
- Hibafák
- Gyökérben a hibajelenség
- Kör: Alapszintű meghibásodás
- AND és OR kapu
- Téglalap: alrendszer
- Analízise
- Kvalitatív:
- Egyszeres hibapont(SPOF) azonosítása
- Kritikus esemény: Több úton is hibajelenséget okoz
- Kvantitatív:
- Alapszintű eseményekhez valószínűségek rendelése
- Gyökérelem jellemzőjének számítása
- Kvalitatív:
- Állapot alapú módszerek
-- sashee - 2009.05.21.
- forras: 22-irf-szolgaltatasbiztonsag
- sil: safety ingegrity level: 10 ^ -9en csak azt jelenti h x berendezesbol 15 evig csak 1 hibasodik meg, nem tobb1000 evet..
- szolgaltatasbiztonsag def: a kepesseg, hogy igazoltan bizni lehet egy szolgaltatasban (igazoltan: elemzesen, meresen alapul. bizni: kielegiteni az igenyeket)
- jellemzoi: rendelkezesreallas, megbizhatosag, biztonsagossag, bizalmassag, integritas, karbantarthatosag
- befolyasolo tenyezok hataslanca: fault (kivalto ok) -> error (rendszerallapot) -> failure (specifikacio megsertese)
- meghibasodasok kategoriai:
- hw hibak
- sw hibak
- emberi hiba (rendszergazda, felhasznaloi artalmatlan/artalmas hiba)
- kornyezeti hatas, pl termeszeti katasztrofa
- szolgaltatasbiztonsag eszkozei
- hibamegelozes (tervezes)
- hibamegszuntetes (teszteles)
- hibatures. rendundancia tipusa: hideg (ott a polcon kikapcsolva) / langyos (be van kapcsolva csak mast csinal) / meleg tartalek (teljes duplazas)
- analizis modszerek
- tablazat (fmea, failure mode and effect analysis)
- hibafa: digites AND es OR kapukbol, elemi hibak korok
-- Vajna Miklós - 2009.05.29
Fürtözés és replikáció
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 22. (Fürtözés és replikáció)
Fürt: Különálló számítógépek együttese, amelyek egymással együttműködve és azonos szolgáltatásokat, alkalmazásokat futtatva egyetlen rendszerként, virtuális kiszolgálóként jelennek meg az ügyfelek számára.
- Számítási célú
- Terheléselosztási
- Hálózati szintű
- Kérések szétosztása hálózati rétegben
- Alkalmazás elől rejtett
- Alkalmazás szintű
- Alkalmazás specifikus
- Hálózati szintű
- Nagy rendelkezésre állású
- Megosztott lemezes
- Egy erőforrást egyszerre többen használnak
- Alkalmazás szintű zárolás
- Megosztott elem nélküli
- Erőforrás birtoklása kizárólagos
- Megosztott lemezes
Problémák:
- Terheléselosztási fürtökben:
- Egyenletes terhelésosztás Vs. egyszerűség
- Munkamenet megőrzése
- Nagy rendelkezésre állású fürtökben:
- Tagsági kép fenntartása: Ki működik éppen a csoportból
- Csoportkommunikáció: Hiba esetén is lehessen üzenetet küldeni a többieknek
- Tudathasadás: A fürt több független részre hullik
- Amnézia: kiesés után visszajövő csomópontot értesíteni kell a közben történt változásokról
- Gördülő frissítés: Frissítések egyesével
Elsődleges-másodlagos sémájú replikáció:
- Több adatbázisszerver is van
- Az elsődlegeset lehet írni, azonban a többire is kijutnak a változások
- Szinkron írás:
- Elsődlegeset írjuk, akkor értesíti a másodlagosat, és csak akkor tér vissza, ha az is sikerrel írt
- Aszinkron írás:
- Az elsődleges az írás után azonnal visszatér, és aszinkron módon értesíti a másodlagosat az írásról
-- sashee - 2009.05.18.
- forras: 23-IRF-2009-furtozes-es-replikacio
- redundancia akkor erdemes altalaban ha 99%nal jobb rendelkezesreallast akarunk
- cluster: tobb gep virtualis kiszolgalokent jelenik meg a userek fele
- fajtai: hpc (grid, parhuzamositott), terheleseloszto, ha
- terheleseloszto:
- alkalmazas vagy tud vagy nem tud rola
- lehet vmi kozpont (pl szotar) vagy lehet teljesen elosztott (utobbira pelda az rr dns, vagy microsoft nlb - network load balancing - ahol a clusternek van kulon ipje)
- session megorzese celjabol mindig u.az a node kell kiszolgalja az adott usert
- ha (feladatatveteli, omg)
- vagy van kozos storage vagy nincs
- felmerulo problemak (amnezia, csoportkep, stb)
- replikacio
- szinkronizacio lehet pull vagy push
- primary/secondary, pl bind: zero data loss (de lassabb) vagy async (de lehet adatvesztes)
- multimaster (komplexebb, active directory tud ilyet)
-- Vajna Miklós - 2009.05.29
Backup, Archiválás
TODO: utolsó módosítás 2009-ben, frissíteni!!!
Szükséges diasorok: 23. (Backup, Archiválás)
Adattár hibatűrési technológiák:
- RAID: Adathordozó meghibásodása ellen
- Replikáció: Többféle hardverhiba, hálózati hiba
- Folyamatos
- Periódikus
- Backup: Hardverhiba, elemi kár, emberi hiba (nem mind ellen)
- Archive bit a fájlokon (=to be backed up)
- Típusok:
- Normal: Minden fájlt ment, törli az archive bitet
- Copy: Minden fájlt ment, nem törli a bitet
- Differential: Csak a bittel jelölt fájlokat menti, és nem törli róluk
- Incremental: Csak a bittel jelölt fájlokat menti, törli a bitet
- Daily: Adott napon módosult fájlokat menti
- Archiválás (nem hibatűrési technológia)
- Használaton kívüli adatok biztonságos tárolása
Adat deduplikáció: Többszörözött adatok eltávolítása (rossz redundancia)
- Fájl szinten
- Azonos tartalmú fájlok keresése
- Ismétlődő fájlok csréje az első példányra való hivatkozással
- Blokkos eszköz szinten
- Blokkok vagy nagyobb egységek hash összege alapján
- Néha kevésbé hatékony
- Néha hatékonyabb
Konzisztens mentés készítése:
- Pillanatkép: Másolás atomi művelet
- Virtualizáció segít, mert az alkalmazások állapotait is elmenti, így erre fel nem készített alkalmazások esetében is működik
Adatmegsemmisítés:
- Sima törlésnél csak a deleted bitet állítja át a rendszer
- Biztonsági másolatokban is megmarad a fájl - tudni kell, hogy hol van belőle még példány
- Felül kell írni 0-kal vagy véletlen számokkal
-- sashee - 2009.05.18.
- forras: 24-IRF-Backup-archivalas
- adat tobbet er mint az adathordozo
- raid: altalaban csak serveren (kerdes h mennyi ideig allhat egy szolgaltatas - a gep ne erdekes)
- backup hibaturest noveli, archivalas viszont arra megy ki, h a nemhasznalt de megorzendo adatokat biztonsagosan tarolja
- drbd: distributed redundant block device
- backup tipusok:
- normal (torli az archive bitet)
- copy (ro)
- incremental
- differential (ro incremental)
- daily (adott napon modusult file-okat)
- data deduplication: "rossz redundancia", tehat nem tomorites, siman csak sok azonos tartalmu nagy file esetere, pl. dirvish
- mit: filerendszer, de neha kell app szintu support is hozza
- snapshot != backup, csak egy tamogato technologia backuphoz, mivel a masolas nem atomi muvelet
- virtualizacioval mindent tudunk menteni, app-level support se kell
- data destroy
-- Velias - 2009.05.29.
Cloud computing
TODO: utolsó módosítás 2011-ben, frissíteni!!!
Érvek mellette:
- Széles körű hálózati hozzáférés
- Igény szerinti önkiszolgálás
- „Resource pooling”
- Rugalmas fel- és leskálázás
- Mért szolgáltatások
- Költségcsökkentés
- Gyorsabb „time to value”
Ellenérvek:
- Szolgáltatásbiztonság
- Skálázás sebessége
- Adatbiztonság
- Adat átvitel: szűk keresztmetszet
- Nem jósolható teljesítmény
XaaS (X as a Service):
- SaaS (Software)
- szolgáltató alkalmazásainak használata
- jellemzően vékony kliens
- pld: Google Apps
- PaaS (Platform)
- saját/beszerzett alkalmazás telepítése bérelt futtatókörnyezetbe
- pld: Google AppEngine, Microsoft Windows Azure Platform
- IaaS (Infrastucture)
- alapvető számítási erőforrások foglalása
- A felhasználó „tetszőleges” szoftvert futtat
- pld: Amazon Elastic Compute Cloud (EC2)
Szolgáltatásbiztonság:
- ?
-- KoviBalu - 2011.05.31.