10 votos

Lo que se requiere para que los desarrolladores ejecutar su propia máquina virtual server en un entorno empresarial

Este escenario también fue publicado en ASÍ, con preguntas diferentes para diferentes audiencias - y estoy muy contento, hice lo que he recibido muy buenas respuestas.

Estamos tratando de implementar un entorno de desarrollo el uso de la virtualización para un equipo pequeño de 4 desarrolladores dentro de una organización. Esto nos va a permitir configurar la separación de desarrollo, pruebas y puesta en escena de los ambientes, así como permitir el acceso a los nuevos sistemas operativos que son requisitos para sistemas o herramientas que se están evaluando.

Nos re-propuso una estación de trabajo existente de la clase de la máquina, lanzó en 24 GB de RAM y RAID-10, y estaban bien hasta que intento conseguir que la máquina añadido para el dominio.

Ahora estamos comenzando la guerra que todos los desarrolladores de la empresa desde el principio de los tiempos han tenido que luchar - la lucha por el control local de un entorno de pruebas y desarrollo. La red y los administradores de TI se han planteado una serie de inquietudes que van desde "ESX Server es la empresa estándar" a "servidores no están permitidos en la Vlan de cliente" a "[llene el espacio en blanco] no es un conjunto de habilidades que actualmente poseía en el local de la empresa o de la organización de TI".

Probablemente podríamos justificar la producción a nivel de hardware y formal de apoyo (lea: se podría justificar la necesidad si hemos tenido, pero tomará tiempo y que implican un montón de dolor de cabeza) - pero es probable que tome meses formalmente obtener recursos asignados por el tratamiento de esta como un sistema de producción - e incluso si lo hizo, es probable que pierda el control local queremos.

Me imagino que muchos de ustedes han tenido dificultades similares con los desarrolladores dentro de su empresa para los desarrolladores de entornos de producción, por lo que mis preguntas son como sigue:

  1. Qué argumentos tiene sus desarrolladores hecho de que ganó a permitir que estos tipos de silos que existen dentro de las empresas que han estándar de la red y las políticas de seguridad en el lugar que, en general (y es comprensible) impedir este tipo de no-centralmente-administrados la infraestructura?
  2. Se trata simplemente de una cuestión de los desarrolladores que hacen de una técnica o de negocios justificación y asegurar que la administración de parches y AV que va a suceder - o más de una lucha política por el control y la propiedad?
  3. Dada la opción, preferiría tomar posesión y soporte de hardware/OS mientras que da a los desarrolladores derechos de administrador local, o dejar que ellos gestionan por completo, mientras que se asegura de que el instituto de gestión de parches/AV y la carga con la responsabilidad en caso de que causen problemas?
  4. Si usted bloqueado con éxito los desarrolladores de tener el control local de "servidores falsos" en su infraestructura, hizo que los desarrolladores simplemente hacer debido o lo hicieron ellos (o) mueva el entorno de desarrollo a un desconectado de VLAN/totalmente independiente de la red?

Un par de supuestos para limitar el alcance de esta pregunta:

  1. Para reiterar, esto es para un desarrollo medio ambiente - no hay cargas de producción o de compatibilidad es necesario. Nada accesible desde el exterior.
  2. Esto no es un host de Hyper-V frente a ESX guerra santa (estaríamos bien con cualquiera - pero de Hyper-V se seleccionó porque es "gratis" con MSDN para estos fines [sí, VMWare dispone de herramientas gratuitas - pero la buena gestión de herramientas en general, no están], y sería más fácil de manejar por parte de los desarrolladores locales en un "Microsoft Tienda"), así argumentos a favor o en contra de cualquiera que están fuera del alcance de esta pregunta.
  3. El equipo de desarrollo ya ha hecho garantías a administrar la gestión de parches y antivirus, o integrar con los actuales sistemas de la empresa, si ES que la va a apoyar, pero es sin duda en el ámbito de aplicación de si o no usted está dispuesto a aceptar eso.

15voto

Joel Coel Puntos 8080

Primero de todo, veo un par de razones por las que los administradores de la derecha para empujar hacia atrás:

  • También es responsable de informar sobre cosas como la gestión de parches, software antivirus, el cumplimiento de pci, anual (o más frecuente) auditorías de seguridad, etc. No es sólo una cuestión de tener la garantía de que esto se realiza, sino también ser capaz de demostrar que a los forasteros.

    Como ejemplo, puedo ejecutar la red en un colegio pequeño, y tenemos un laboratorio de física con un par de colecciones de datos, máquinas para los experimentos de los estudiantes. La única cosa que hacen es recopilar datos de un instrumento científico y imprimir los resultados (para una impresora conectada directamente) para que el estudiante analice y de la mano en el instructor. Están nunca en el internet — incluso AV y las actualizaciones de Windows se aplican a través de la red local. La única razón por la que están conectados a la red y ejecutar software antivirus en todos es la explícita a los efectos de la presentación de informes a mi software de monitoreo que todavía existen y son actuales. Es una tontería, ya que sería en realidad más seguro para quitar la conexión a la red, pero primero fueron pagados con un subsidio de educación y por lo tanto esas son mis requisitos de presentación de informes.

  • Guste o no, el dev server es un sistema de producción desde el punto de vista de los desarrolladores. Dar es tal vez un mes, y los desarrolladores tendrán un tiempo difícil conseguir el trabajo hecho si se baja a causa de los procesos que se estableció que asumen que el servidor está disponible. Evitar/limitar las situaciones en las que los trabajadores están inactivos a causa de fallos tecnológicos es una gran razón las empresas siguen centralizado de los departamentos de TI.
  • Si "ESX Server es la Empresa Standard", es necesario seguir. En este momento no hay diferencias significativas entre el modo hyper-v, vmware, xen, y a otros a hacer cosas, y una máquina construida por uno sólo no puede ser asumido para que funcione bien en el otro. Si usted va a hacer esto, QUE va a necesitar para ayudar a manejar en algún momento, y no quiero tener que convertir a vmware después hay un montón de información antigua en la máquina que puede causar un problema.
  • Algún día esta máquina va a llegar a viejo, y necesitan más mantenimiento regular o el establecimiento de un estándar de ciclo de reemplazo. Incluso los nuevos servidores a veces tienen bum partes. Esta situación casi siempre cae en su regazo sólo después de que algo se ha roto lo que impide hacer su trabajo. Al tomar la responsabilidad para el servidor temprano, SE puede hacer un trabajo mucho mejor asegurarse de que usted evite las interrupciones no planeadas en el camino.
  • Esto es personal, pero te puedo decir que la última cosa que quiero alrededor de mi red es otro de escritorio enmascarado como un servidor. He tratado con suficiente de aquellos que el último par de años, para que me dure toda la vida.

Dicho ESTO, debe ser capaz de apoyar esta iniciativa. No es suficiente para ellos para decir simplemente "No". Los reto a encontrar una solución que satisfaga sus (muy real) de las necesidades. La única situación política debe ser que su alternativa es probable que tenga un mayor precio de etiqueta (debido a que están planeando para los costos que usted no puede ver todavía), así que la pregunta será que tiene que pagar por ello. No quiero, porque no había presupuesto para ello, pero te frustra porque es 6 veces más de lo que pasó por una solución que fueras feliz con (por el momento).

También, parece que usted podría estar tratando de correr antes de andar. Desea renovar su proceso de desarrollo. Como un ex desarrollador, creo que es genial. Pero no se acaba de lanzar un montón de Vm y los "entornos" (es decir: dev, etapa, control de calidad, etc). Plan de lo que los nuevos procesos se verá como — cómo los desarrolladores a realizar su trabajo. Se puede usar de integración continua? Automatizado construye? Usando el software de apoyo? Se desarrolladores podrán circular código de la producción o puesta en escena, o sólo QA tienen esa capacidad? ¿Necesita un provisional independiente? ¿Qué acerca de dos dev ramas (uno para vNext, uno de los errores con vCurrent)?

Usted puede ser que necesite un servidor sólo para el desarrollo de plomo o manager puede trabajar con todo esto, pero si es así, entonces ese debe ser el primer paso, y la instalación y el proceso inicial de diseño debe ser hecho antes de que los desarrolladores de tener en sus manos por el uso real.

9voto

kce Puntos 9227

1) ¿Qué argumentos tienen sus desarrolladores hecho de que ganó a permitir que estos tipos de silos que existen dentro de las empresas que han estándar de la red y las políticas de seguridad en el lugar que, en general (y es comprensible) impedir este tipo de no-centralmente-administrados la infraestructura?

Ninguno - sobre todo porque yo no juegan un papel en la dirección en mi organización, de modo que cualquiera de estos "lo político" en realidad no me implican. El único argumento que realmente convencerme es permitir que algo que es explícitamente en contra de la directiva de red y excluidos de las operaciones del sistema de equipo de control y la visibilidad es un espacio de aire y un CYA carta de mi jefe es el jefe.

No es que yo realmente quieres es ser la empresa de decir "No", es sólo que no hay una buena manera para que esto se acabe bien de la operación del equipo de punto de vista.

  1. Terminamos con los servidores administrados por personas que la principal habilidad no es la gestión de los servidores en la red que no tienen la visibilidad de toda la red y de sus asociados problema de espacio. Esto no es sólo una preocupación política de "protección" de césped; como un ejemplo trivial imaginar lo que ocurre cuando un desarrollador se convierte en DHCP, por alguna razón.
  2. Terminamos la gestión del equipo de desarrollo de servidores para ellos. Esto es complicado por la razón contraria. Los desarrolladores están constantemente molesto que estamos parcheando este (romper algo que ellos saben, pero nosotros no), o su luchando por nosotros para habilitar las características que para una variedad de razones no queremos habilitado. Esto se convierte rápidamente en un punto muerto, donde el equipo de operaciones se siente agobiado y acosados y el equipo de desarrollo se siente frustrado y se ignoran.
  3. Hay consecuencias políticas - porque entonces usted tiene que explicar a otro departamento por qué los desarrolladores son "especiales" y por qué obtener la exención de la directiva de red.

2) Se trata simplemente de una cuestión de los desarrolladores que hacen de una técnica o de negocios justificación y asegurar que la administración de parches y AV que va a suceder - o más de una lucha política por el control y la propiedad?

No creo que los desarrolladores necesitan para hacer un caso de negocio - es bastante claro que los desarrolladores llegó a desarrollar y con el fin de hacer que los que necesitan un entorno de desarrollo de algún tipo. Como para la gestión de parches y AV - ese es el equipo de operaciones de trabajo y nos aseguraremos de que está hecho. No es que pensamos que los desarrolladores no pueden hacerlo. Simplemente no confiamos en que lo haces bien - los Administradores de Sistema estancia a los Administradores del Sistema debido a que no confía en nada a hacer nada bien así que no es nada personal. Por supuesto, hay una obvia cuestión política de la sensación de que alguien está "haciendo su trabajo", pero que en realidad no es un problema técnico, y por lo tanto está fuera de SF del ámbito de aplicación.

3) Dada la opción, preferiría tomar posesión y soporte de hardware/OS mientras que da a los desarrolladores derechos de administrador local, o dejar que ellos gestionan por completo, mientras que se asegura de que el instituto de gestión de parches/AV y la carga con la responsabilidad en caso de que causen problemas?

Ni por las razones explicadas anteriormente.

4) Si usted bloqueado con éxito los desarrolladores de tener el control local de "servidores falsos" en su infraestructura, hizo que los desarrolladores simplemente hacer debido o lo hicieron ellos (o) mueva el entorno de desarrollo a un desconectado de VLAN/totalmente independiente de la red?

Espacio de aire. La mejor manera de manejar esta situación es dar a los desarrolladores de su entorno (y de control) y, a continuación, espacio de aire o utilizar algún otro método eficaz para separar de la red. Esto es esencialmente cómo manejamos wifi pública. Desea servicios wi-fi? Seguro. Usted paga por la conexión de red, vamos a gestionar los WAPs, pero nunca voy a tocar nuestra red. Lo siento. Sus necesidades no son sino uno de los cientos. Hay otras preocupaciones que tenemos que considerar.

Usted no quiere estar en el negocio de decir que no, porque los desarrolladores (que son particularmente técnicamente inteligentes) va a encontrar maneras de conseguir lo que quiere de todos modos. Así que les proporcionan un entorno que se adapte a sus necesidades, hacerlos felices y, a continuación, encontrar la manera de evitar cualquier cosa que hacen en el entorno de desarrollo de tocar el resto de la red de su empresa.

TL;DR: yo le doy un servidor con cualquier plataforma de virtualización que quería en una red separada o VLAN. El acceso a su entorno de desarrollo sería a través de un único bastión host que el equipo de operaciones de control y el monitor. Lo que usted hace con su negocio - no va a ser compatible, pero nosotros le podemos ofrecer asesoramiento y ayuda como el tiempo lo permite para el servidor de administración lado de las cosas.

6voto

Shlomi Fish Puntos 1951

Si usted vino a mí con una estación de trabajo de equipo de la clase de carga hasta la empuñadura, con el grado de consumo de RAM, consumidor-grado de HDD, los consumidores de grado de la fuente de alimentación y del consumidor-grado RAID, yo me negaría a ponerlo en el servidor de la red.

Hay muchas cosas que usted necesita entender acerca de poner algo como que en el servidor VLAN.

  1. El servidor VLAN puede muy bien ser una DMZ. En una DMZ no pone nada de que no es templado y protegido. Esto es sólo una máquina que les diera, que no tengo ni idea de lo que hizo con ella. También significa regular la aplicación de parches y actualizaciones, lo que significa ser gestionados de forma centralizada. Estoy seguro como el infierno no vamos a entrar en cada uno de onu-servidor administrado y aplicar parches a mano.

  2. Los componentes en los que la máquina va a fallar. Te lo prometo. Dentro de 6 o de 12, 24 meses, se va a ir a pique. Entonces, ¿dónde están las copias de seguridad? Oh, usted no? Pero, pensé que era un servidor? Oh, es un servidor que alguien aprovisionado?... y el juego de la culpa comienza de nuevo

  3. Quién va a asumir la responsabilidad cuando se bloquea y la mierda golpea el ventilador? En la mayoría de las organizaciones "me dio el dev para cuidar" es que no va a volar.

  4. Donde van a poner? Los servidores están todos montados en bastidores en estos días y poner una torre en un rack de desechos espacio y sus bastidores no pueden estar diseñados para ello.

Así, el departamento de TI está muy justificado en no poner este equipo al azar en su servidor de red.

Sin embargo, es que los departamentos de TI de trabajo para asegurarse de que USTED pueda hacer SU trabajo correctamente. También debe asegurarse de que usted tiene lo que usted necesita, cuando usted lo necesita. Si usted tiene una pieza de software que la empresa necesita para seguir funcionando, que han de proporcionar una plataforma para que se ejecute en. Esa es la descripción de su trabajo. Pero usted necesita para asegurarse de que ellos tengan la información que necesitan para hacer su trabajo.

Si había llegado a mí, en mi organización, me dijo que usted está comenzando un nuevo proyecto, me han dado tres VM: Dev, Directo y puesta en escena. Usted tendría plenos derechos de administrador para Dev, y hablar de lo que usted necesita para hacer su trabajo por los otros dos. Si usted necesita plenos derechos de administrador para ellos, y podría justificar, entonces usted conseguiría. Tenemos nuestra VM implementación abajo-pat. VMWare hace que este muy simple - sólo se tarda unos 5 minutos por la máquina virtual para conseguir que se implementan.

Parece que su departamento de TI sufre de lo que a casi todo el departamento de TI en una gran empresa sufre. La construcción de pequeños castillos y defender con su vida, no dejar que los demás, ser mandona, etc. Como alguien que trata con la gente de otros departamentos de TI todos los días, lo veo todo el tiempo. Y es frustrante.

El hecho básico es que el cambio debe ocurrir desde dentro del departamento de TI, y tiene que ser initated de por encima de ellos. Y si usted puede conseguir que SE den cuenta de que ellos no son una fuerza en sí mismo (ya que la mayoría de ellos no generan ingresos para sus empresas, esto puede ser una bofetada en la cara), y que están ahí para apoyar el personal existente y mejorar el negocio, entonces usted encontrará que sus preguntas se vuelven irrelevantes, porque todo el mundo va a estar jugando a la familia feliz.

3voto

mfinni Puntos 29745

¿Por qué quieres añadirlo a la de dominio? Para decirlo de otra manera, que responde a la pregunta mejor : Usted puede establecer un laboratorio para hacer lo que el infierno que quieras, mientras no está conectado a la LAN corporativa. (Si usted necesita el acceso a internet, usted puede conseguir un DMZ-ed VLAN; que no debería ser un problema, especialmente si usted sólo la uso para ir a cabo, como para las descargas.)

Que es uno, de muchos, muchos, muchos, diferentes respuestas a la pregunta.

3voto

Russ Wheeler Puntos 173

Usted va a obtener UNA gran cantidad de respuestas, a favor y en contra de que los desarrolladores tengan acceso de administrador a cualquier parte del medio ambiente (probablemente en su mayoría en contra), pero aquí está el resultado final:

El grupo sysadmin es el encargado de mantener la producción en los sistemas de ejecución, estable y seguro y responsable de asegurarse de que los sistemas de prestar los servicios que la empresa está pagando (porque están pagando por ellos) en los niveles en los que ellos esperan.

Asimismo, el equipo de desarrollo ha sido la encargada de prestar servicios a la empresa (web, apps, etc.), aunque en otra arena. La lucha por el control sobre el entorno de desarrollo es contraproducente y no sirve a ningún propósito útil para cualquier lado.

Yo trabajo en una pequeña ISV/ASP. Tenemos un desarrollador y un sysadmin (me). Tenemos una relación basada en el respeto mutuo y la confianza. Tenemos que trabajar como un equipo para ayudar a lograr los objetivos globales de la empresa. Doy el desarrollador completa, el acceso irrestricto a su entorno dev, que incluye las estaciones de trabajo y servidores. Puedo gestionar el dev sistemas de seguridad, actualizaciones, ANTIVIRUS, y el hardware y el dev hace el resto. Cuando su código está listo para la producción, se entrega a mí, me ayuda con cualquier tipo de configuración, y los pasos hacia atrás. Ofrecemos asistencia mutua el uno al otro.

Los desarrolladores deben ser los amos del entorno de desarrollo y Administradores del sistema deben ser los amos del entorno de producción, dentro de límites razonables y con razonable cheques, balances y controles. Cuando cualquiera de las partes necesita "cruzar" debe estar en la cooperación y el concierto con la "reina" de las partes bajo su ámbito de competencia y de orientación.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: