研究室ネットワーク再構築の覚え書き
今動いているサーバ&ネットワークは「動いているから手を出すな」ポリシーに沿って稼働しているため,誰も全貌を把握していないステキなシステムとなっていた.
これをゴリゴリとリプレースしていくのがここ1ヶ月の作業.研究会の原稿やなんやらと並行してぼちぼちと.
なかなか手順が面倒なので,覚え書きとしてここにも書いてみる.
まず現状把握
- 動いている機能の把握
- サービスの依存関係の整理
- セキュリティ的にヤバいところの洗い出し
- クリティカルサービスの洗い出し
次に代替システムの準備等
- 新サーバのセットアップ
- 代替サービスのセットアップ
- ネットワーク(DMZ等)の構築などなど
- バックアップに関する調整,バックアップの運用テスト
上の人に相談すべきところ
- 研究室のネットワーク環境
調べるより聞いた方が早い.足りないところを調査
- 外部への申請がありそうな,DNSなどの変更について
- サーバ&サービスのセキュリティの落としどころ
落としどころは,上の人にOKをもらうことで責任回避とリスクについての報告とする.
ただ働きで責任追わされるのは勘弁ですよね.想定されるリスクについては,考えられる範囲でいいので報告をちゃんとする.
- 設定の作業量と,それによる利点が分かりづらいときには相談
直感的に分かりやすくなる,を実現するために大幅の設定変更が必要な場合もある
今回だと,DMZの導入(存在しなかった)だとか,機能別にVMに分けて管理など(メインサーバで何が動いているか誰も把握していなかった)結構めんどうだけどやりがいのある内容となっている.
この次は,
- 重要度の低く,独立性が高いサービスから順次移行
というフェーズに入るのだが,こちらは未了のためまた今度書く,
予想している問題としては
- ここで,バージョンの違い等の問題が出てくる感じ
- DMZ<->Trustedの通信ポリシーに起因する問題
LDAPとかはTrustedにおくので,その辺ちゃんと設定しないと・・・