Оршил
Аюулгүй байдлын багууд парадокстой тулгардаг: хүчирхэг нээлттэй эх сурвалжтай тагнуулын хэрэгслүүд байдаг, гэхдээ тэдгээрийг ашиглах нь хэмнэлттэй цагийг зарцуулдаг. Үүнийг бид "Тануулын суулгацын татвар" гэж нэрлэдэг - түүхий багаж хэрэгслийг үйлдвэрлэлд бэлэн дэд бүтэц болгон хувиргах далд зардал.
Аюулгүй байдлын 384 багийн саяхан хийсэн дүн шинжилгээгээр тэд эхний хайлтаа хийхээсээ өмнө тагнуулын дэд бүтцийг байрлуулж, тохируулахад дунджаар 42 цаг зарцуулсан байна. Цаг тутам төлбөр тооцоо хийдэг зөвлөх компаниудын хувьд энэ тохируулгын хугацаа ихэвчлэн тагнуулын үе шатнаас давж гардаг.
Энэ нийтлэлд тагнуулын хэрэгслийг байршуулахад яагаад ийм их цаг зарцуулдгийг судалж, байгууллагуудын бодит зардлыг тооцож, байршуулалтыг хэдэн өдөр болгон багасгадаг үүлэнд хамгийн түрүүнд тохирох хувилбарыг танилцуулах болно.
Тохируулах татварыг задлах
Тагнуулын тохиргоо нь татварын нэгдлүүдийг олон хэмжигдэхүүнээр бүрдүүлдэг: эхний байршуулах хугацаа, аюулгүй байдлыг сайжруулах шаардлага, засвар үйлчилгээний зардал, багийн гишүүд өөрчлөгдөх үед мэдлэг дамжуулах.
Анхны хэрэглүүрийг байршуулах нь баримт бичигт шууд харагддаг боловч практикт нарийн төвөгтэй байдлыг харуулдаг. Хамаарал суулгах, өгөгдлийн санг тохируулах, баталгаажуулалтыг тохируулах, HTTPS-ийг хэрэгжүүлэх, хяналтыг нэгтгэх нь байршуулах цаг бүрт цаг нэмнэ.
Таны довтолгооны гадаргуугийн зураглал бүхий тагнуулын платформуудын хувьд аюулгүй байдлыг чангатгах боломжгүй юм. Зохисгүй тохиргоо нь өрсөлдөгчид эсвэл халдагчдад тагнуулын өгөгдлийг илчлэх эсвэл эвдэрсэн тагнуулын дэд бүтцийг таны сүлжээнд халдлагын вектор болгох боломжийг олгоно.
Одоо байгаа ажлын урсгалтай нэгтгэхийн тулд тагнуулын хэрэгслийг тасалбарын систем, SIEM платформ, Slack/Discord мэдэгдэл, эмзэг байдлын удирдлагын мэдээллийн сантай холбох шаардлагатай. Интеграци бүр нь тохиргооны цагийг нэмж, алдаа гарч болзошгүй цэгүүдийг танилцуулдаг.
Тогтмол засвар үйлчилгээ нь аюулгүй байдлын шинэчлэлтүүд, илүү том тагнуулын цар хүрээг нэмэгдүүлэх, асуудлыг шийдвэрлэх, шаардлага өөрчлөгдөхөд тохиргоог шинэчлэх зэрэг орно. Энэхүү байнгын хөрөнгө оруулалт нь өмчлөлийн нийт өртгийг дутуу үнэлдэг багуудыг гайхшруулдаг.
Жинхэнэ зардал: Инженерийн ажлын цаг
Суулгацын татварыг тооцоолохдоо шууд зардал (инженерийн цаг) болон шууд бус зардлыг (хоцрогдсон төслүүд, боломжийн зардал, эрсдэлд өртөх) хоёуланг нь тооцох шаардлагатай.
Инженерийн цаг бол хамгийн харагдахуйц зардал юм. Жилд 120,000 долларын цалин авдаг хамгаалалтын инженер нь ашиг тусаа оруулаад ойролцоогоор 62 долларын үнэтэй байдаг. 42 цагийн дундаж ашиглалтын хугацаа нь багаж хэрэгслийг байршуулахад ногдох шууд хөдөлмөрийн зардалд 2,604 долларыг төлөөлдөг.
Боломжийн зардал гэдэг нь тухайн инженер дэд бүтцийг тохируулахын оронд юу хийж чадсаныг илэрхийлдэг. Эдгээр 42 цагийн дотор 4-6 үйлчлүүлэгчийн оролцоонд хайгуул хийж, засч залруулах шаардлагатай сул талуудыг илрүүлж, эсвэл үйлчлүүлэгчийн тодорхой хэрэгцээнд зориулан тусгайлан тохируулсан багаж хэрэгсэл бүтээж болно.
Хойшлогдсон төслүүд нь үйлчлүүлэгчид аюулгүй байдлын үнэлгээг удаан хүлээх, дэд бүтцийн шинэ суурилуулалт аюулгүй байдлын хяналтгүйгээр хийгддэг, багууд тагнуулын тохиргоотой тэмцэж байх хооронд илрүүлсэн сул талууд арилдаггүй гэсэн үг.
Тохируулах явцад эрсдэлд өртөх нь таны халдлагын гадаргууг тасралтгүй хянаж чадахгүй байна гэсэн үг юм. Шинэ дэд домэйн, үйлчилгээ эсвэл үүлэн нөөцийг тагнуулын дэд бүтцийг тохируулах явцад илрээгүй аюулгүй байдлын буруу тохиргоотойгоор байрлуулж болзошгүй.
Мэдлэгийн төвлөрөл нь тагнуулын дэд бүтцэд тусгай ур чадвар шаардсан тохиолдолд эрсдэл үүсгэдэг. Хэрэв таны тагнуулын хэрэгслийг тохируулсан инженер байгууллагаа орхих юм бол өөр хэн нэгнийг хурдасгахад хэр хугацаа шаардагдах вэ? Институцийн мэдлэг хэр их хаалгаар гардаг вэ?
Олон төрлийн тагнуулын хэрэгсэл (дэд домайн тоолох, порт скан хийх, эмзэг байдлыг илрүүлэх, харааны хайгуул) ашигладаг байгууллагуудын хувьд эдгээр зардал хэд дахин нэмэгддэг. Тус бүр нь 42 цагийн гурван хэрэгсэл нь аюулгүй байдлын бодит ажил хийхээс өмнө тохируулахад 126 цаг (7,812 доллар) зарцуулсан гэсэн үг юм.
Нээлттэй эх сурвалж нь яагаад амархан гэсэн үг биш вэ?
Нээлттэй эх сурвалжийн аюулгүй байдлын хэрэгслүүд нь гайхалтай боломжуудыг олгодог боловч "үнэгүй" програм хангамж нь байгууллагууд ихэвчлэн дутуу үнэлдэг далд зардлуудтай байдаг.
Иргэдийн оролцоотой төслүүдэд бичиг баримтын дутагдал нийтлэг байдаг. Онцлогууд байгаа боловч хэрэгжүүлэх тодорхой заавар байхгүй байна. Аюулгүй байдлыг сайжруулах зөвлөмжүүд нь нэгтгэсэн баримт бичгүүдээс илүү GitHub-ын асуудал, блог нийтлэл, форумын хэлэлцүүлэгт тархдаг.
Хувилбарын нийцтэй байдлын асуудал байнга гардаг. Тагнуулын хэрэгсэл нь ихэвчлэн хэл, номын сан, мэдээллийн сангийн тодорхой хувилбараас хамаардаг. Шинэчлэлтүүд дээр нийцтэй хувилбаруудыг хадгалахын тулд байнгын анхаарал, шалгалт шаардлагатай.
Олон нийтийн дэмжлэг эрс ялгаатай. Алдартай төслүүдэд түргэн тусламж үзүүлдэг идэвхтэй нийгэмлэгүүд байдаг. Niche хэрэгслүүд нь байнгын шинэчлэлтүүд, хязгаарлагдмал дэмжлэгийн сувгуудтай байж болох тул багуудыг байршуулалтын асуудлыг бие даан шийдвэрлэх боломжийг олгодог.
Хамааралтай байдлын аюулгүй байдлын эмзэг байдал нь байнгын засвар үйлчилгээний шаардлагыг бий болгодог. Таны хайгуулын хэрэглүүр ажилладаг номын санд ноцтой эмзэг байдал нөлөөлөх үед үйл ажиллагааг тасалдуулахгүйгээр хурдан шинэчлэх боломжтой дэд бүтэц хэрэгтэй.
Cloud-First хувилбар: Тохируулгын татварыг арилгах
Үүлэнд суурилсан тагнуулын суурилуулалт нь аюулгүй байдлын хэрэгслийг ашиглах эдийн засгийг үндсээр нь өөрчилдөг. Инженерийн хэдэн долоо хоногийг дэд бүтцийн тохиргоонд зориулахын оронд багууд хэдхэн минутын дотор үйлдвэрлэхэд бэлэн багаж хэрэгслийг ажиллуулдаг.
Энэ арга нь ТУХН-ийн жишиг үзүүлэлтүүд болон салбарын шилдэг туршлагуудад тулгуурлан 120+ аюулгүй байдлын шалгалтыг автоматаар хэрэгжүүлдэг. Судалгаа хийж хэрэгжүүлэхэд олон цаг шаардагдах тохиргоог урьдчилан хэрэглэж, байнга баталгаажуулдаг.
Автоматжуулсан масштаб нь хүчин чадлын төлөвлөлтийн таамаглалыг арилгадаг. 10 домэйн эсвэл 10,000 сканнердсан эсэхээс үл хамааран дэд бүтэц нь ажлын ачааллыг гар ажиллагаа, гүйцэтгэлийн бууралтгүйгээр зохицуулах нөөцийг автоматаар хангадаг.
Удирдлагатай шинэчлэлтүүд нь аюулгүй байдлын засварууд болон функцүүдийн сайжруулалтууд нь сул зогсолт, гарын авлагын хөндлөнгийн оролцоогүйгээр автоматаар тавигддаг гэсэн үг юм. Багууд засвар үйлчилгээнд нөөцөө зориулалгүйгээр тасралтгүй сайжруулалт хийснээр ашиг тус хүртдэг.
Өндөр хүртээмжтэй тохиргоо нь дэд бүтцийн эвдрэлийн үед тагнуулын цоорхой гарахаас сэргийлдэг. Илүүдэл байршуулалт, автоматаар шилжүүлэлт, газарзүйн хуваарилалт нь тасралтгүй ажиллагааг хангадаг.
Нэгдсэн хяналт-шинжилгээ, сэрэмжлүүлэг нь тандалтын ажиллагаа, гүйцэтгэлийн хэмжүүр, аюулгүй байдлын үйл явдлуудыг тусад нь хяналтын дэд бүтцийг байршуулах шаардлагагүйгээр харуулах боломжийг олгодог.
Зардлын шинжилгээ: Cloud ба өөрөө 12 сараас дээш хугацаанд зохион байгуулдаг
Өмчлөлийн нийт өртгийг цаг хугацааны явцад ойлгох нь үүл-анхны хайгуулын бодит эдийн засгийн давуу талыг харуулж байна.
Өөрөө байршуулсан дэд бүтэц нь анхны тохиргоо ($62/цаг = 2,604$ 42 цаг), сарын засвар үйлчилгээ (8 цаг 62$/цаг = 496$), аюулгүй байдлын шинэчлэлт (улирал бүр 4 цаг 62$/цаг = жилд 248$), дэд бүтцийн зардал (сервер, хадгалах сан, зурвасын өргөн, сарын дундаж $200 $2,400) шаарддаг.
Өөрөө зохион байгуулсан тагнуулын эхний жилийн нийт зардал: $11,204 дээр нэмээд 146 инженерийн цагийн боломжийн зардал.
Сарын 360 долларын үнэтэй үүлэнд бэлэн хайгуул нь бүх дэд бүтэц, аюулгүй байдлыг сайжруулах, шинэчлэлт, дэмжлэг, масштабыг багтаасан болно. Эхний жилийн зардал: 4,320 доллар, тохируулах хугацаа байхгүй, байнгын удирдлагатай.
Олон хэрэгсэл бүхий хадгаламжийн нэгдэл. Гурван тагнуулын платформ нь эхний жилдээ ойролцоогоор 33,612 долларын үнэтэй байв. Үүлэн ажиллахад бэлэн гурван платформ нь 12,960 долларын өртөгтэй бөгөөд 20,652 доллар, 438 инженерийн цагийг хэмнэдэг.
Зардал хэмнэхээс гадна стратегийн давуу тал
Үүлэн анхны хайгуул нь өөрөө зохион байгуулсан дэд бүтцийн хувьд хэцүү эсвэл боломжгүй боломжуудыг олгодог.
Газарзүйн тархалт нь олон бүс нутгаас нэгэн зэрэг сканнердах боломжийг олгож, газарзүйн хязгаарлалттай контент болон CDN тохиргоог иж бүрэн харах боломжийг олгодог.
Шуурхай туршилт гэдэг нь дэд бүтцийн хөрөнгө оруулалтгүйгээр тагнуулын шинэ арга зүй, хэрэгслийг туршихыг хэлнэ. Хэдэн минутын дотор шинэ арга барилыг эхлүүлж, үр дүнг үнэлж, болохгүй байгаа зүйлийг зогсоо.
Багийн өргөтгөх чадвар нь дэд бүтцийн саад бэрхшээлгүйгээр өсөн нэмэгдэж буй аюулгүй байдлын байгууллагуудыг дэмждэг. Багийн шинэ гишүүдийг элсүүлэхэд дэд бүтцийн сургалт шаардагддаггүй - тэд үйлдвэрлэлд бэлэн багаж хэрэгсэлд шууд ханддаг.
Дагаж мөрдөх баримт бичгийг суулгасан болно. Олон клоуд платформууд нь аж ахуйн нэгжийн худалдан авалт эсвэл зохицуулалтын нийцлийг хангахад шаардлагатай нийцлийн тайлан, аудитын мөр, аюулгүй байдлын гэрчилгээгээр хангадаг.
Шилжилтийг хийх нь: Өөрөө байршуулахаас үүлэн ашиглахад бэлэн
Өөрөө байршуулсан тагнуулын дэд бүтэцтэй байгууллагууд үйл ажиллагааг тасалдуулахгүйгээр аажмаар шилжиж болно.
Одоо байгаа дэд бүтцийн хажуугаар үүлэн ашиглах боломжтой хувилбаруудыг суулгаж эхэл. Шилжүүлэх явцад зэрэгцээ үйлдлүүдийг ажиллуулж, платформ хоорондын үр дүнгийн тохирлыг баталгаажуулна уу.
Тагнуулын ажлын урсгалыг чухал ач холбогдол багатай зорилтуудаас эхэлж, өөртөө итгэх итгэл нэмэгдэхийн хэрээр үйлдвэрлэлийн орчин руу өргөжүүлэн аажмаар шилжүүлээрэй.
Клоуд платформыг баталгаажуулсны дараа өөрөө зохион байгуулсан дэд бүтцийг зогсоосноор ашиглалтын бүх тохиолдлыг хамарч, багийн танил байдал нэмэгдэнэ.
Хамгаалалтын шинэ хэрэгслийг үнэлэхдээ ирээдүйн “татвар тогтоох” хувилбараас урьдчилан сэргийлэхийн тулд олж авсан сургамжийг баримтжуул.
Дүгнэлт: Татварыг халж, үр нөлөөг үржүүлнэ
Тагнуулын суурилуулалтын татвар нь зайлшгүй биш юм. Энэ нь дэд бүтцийг төсөл гэж үзэх, үйлчилгээ болгон ашиглах хоёрын хоорондох сонголт юм.
Аюулгүй байдлын багууд Docker контейнеруудыг тохируулах биш, харин сул талыг тодорхойлоход цаг зарцуулах ёстой. Инженерүүд мэдээллийн сангийн холболтын алдааг олж засварлах биш харин хайгуул хийх ёстой. Байгууллагууд дэд бүтцийг удирдах бус эрсдэлийг бууруулах ёстой.
Үүлэн анхны хайгуул нь суулгацын татварыг бүхэлд нь арилгадаг. Үйлдвэрлэлд бэлэн багаж хэрэгслийг 5 өдрийн оронд 5 минутын дотор ажиллуул. Дэд бүтцийн менежментийн оронд бодит аюулгүй байдлын ажилд нөөцийг төвлөрүүл. DevOps-ийн ачааллыг нэмэгдүүлэхгүйгээр тагнуулын үйл ажиллагааг өргөжүүлээрэй.
Асуулт нь үүлэн хайгуул нь өөрөө байршуулахаас илүү үнэтэй эсэх биш юм. Таны аюулгүй байдлын инженерүүд жилд 146 илүү цагаар юу хийж чадах вэ гэдэг асуулт байна.
Тагнуулын суулгацын татвараа хасахад бэлэн үү? Бидний урьдчилан тохируулсан reNgine жишээг өнөөдөр Azure дээр туршиж үзээд үүлэн ашиглахад бэлэн байршуулалт хэр их цаг хэмнэж байгааг хараарай.
