สิ่งที่จำเป็นสำหรับนักพัฒนาในการรันเซิร์ฟเวอร์ VM ของตัวเองในสภาพแวดล้อมขององค์กร [ปิด]

นี้สถานการณ์ยังถูกโพสต์ SOกับคำถามที่แตกต่างกันสำหรับผู้ชมที่แตกต่างกัน - และฉันดีใจมากที่ผมทำตามที่ฉันได้รับการตอบรับที่ดีมากบาง

เราพยายามที่จะใช้สภาพแวดล้อมการพัฒนาโดยใช้ระบบเสมือนจริงสำหรับทีมเล็ก ๆ ของ 4 นักพัฒนาภายในองค์กรองค์กร สิ่งนี้จะช่วยให้เราสามารถตั้งค่าการพัฒนาทดสอบและสภาพแวดล้อมแบบแยกต่างหากรวมถึงการอนุญาตให้เข้าถึงระบบปฏิบัติการใหม่ที่เป็นข้อกำหนดสำหรับระบบหรือเครื่องมือที่เรากำลังประเมินอยู่

เรานำเสนอเครื่องเวิร์คสเตชั่นที่มีอยู่เดิมอีกครั้งโดยโยนในหน่วยความจำ 24GB และ RAID-10 และทำได้ดีจนกระทั่งเราพยายามเพิ่มเครื่องในโดเมน

ตอนนี้เรากำลังเริ่มสงครามที่นักพัฒนาองค์กรทุกคนตั้งแต่เริ่มต้นต้องต่อสู้ - การต่อสู้เพื่อการควบคุมท้องถิ่นของสภาพแวดล้อมการพัฒนาและการทดสอบ ผู้ดูแลระบบเครือข่ายและไอทีได้หยิบยกข้อกังวลมากมายตั้งแต่ "ESX Server คือมาตรฐานขององค์กร" ถึง "เซิร์ฟเวอร์ไม่ได้รับอนุญาตบนไคลเอนต์ VLAN" ถึง "[เติมเต็มความว่างเปล่า] ไม่ใช่ทักษะที่มีอยู่ในปัจจุบัน องค์กรไอทีในท้องถิ่นหรือองค์กร "

เราอาจปรับระดับฮาร์ดแวร์ในการผลิตและการสนับสนุนด้านไอทีอย่างเป็นทางการ (อ่าน: เราสามารถปรับความต้องการถ้าเราต้องใช้ แต่ต้องใช้เวลาและเกี่ยวข้องกับการปวดหัวทั้งหมด) - แต่อาจใช้เวลาเป็นเดือนเพื่อรับทรัพยากรไอทีอย่างเป็นทางการ ได้รับมอบหมายจากการปฏิบัติสิ่งนี้เป็นระบบการผลิต - และแม้ว่าเราทำเราอาจจะสูญเสียการควบคุมท้องถิ่นที่เราต้องการ

ฉันคิดว่าคุณหลายคนมีการต่อสู้กับนักพัฒนาในองค์กรของคุณเพื่อควบคุมนักพัฒนาในสภาพแวดล้อมที่ไม่ใช่การผลิตดังนั้นคำถามของฉันมีดังนี้:

1. นักพัฒนาของคุณโต้แย้งอะไรกันบ้างที่ทำให้คุณชนะเพื่อให้ไซโลประเภทนี้มีอยู่ในองค์กรที่มีเครือข่ายมาตรฐานและนโยบายความปลอดภัยในสถานที่ซึ่งโดยทั่วไป (และเข้าใจได้) จะขัดขวางโครงสร้างพื้นฐานที่ไม่ได้รับการจัดการประเภทนี้
2. นี่เป็นเพียงเรื่องของนักพัฒนาที่สร้างเหตุผลทางเทคนิคหรือทางธุรกิจและทำให้มั่นใจได้ว่าการจัดการแพทช์และ AV กำลังจะเกิดขึ้น - หรือมากกว่านั้นจากการต่อสู้ทางการเมืองเพื่อการควบคุมและความเป็นเจ้าของ?
3. คุณต้องการที่จะเป็นเจ้าของและสนับสนุนฮาร์ดแวร์ / ระบบปฏิบัติการในขณะที่ให้สิทธิ์ผู้ดูแลระบบท้องถิ่นหรือให้พวกเขาจัดการมันทั้งหมดในขณะเดียวกันก็มั่นใจได้ว่าพวกเขาทำการจัดการแพตช์ / AV และชาร์จพวกเขาด้วยความรับผิดชอบ
4. หากคุณบล็อกนักพัฒนาไม่ให้มีการควบคุมเฉพาะ "เซิร์ฟเวอร์โกง" ในโครงสร้างพื้นฐานของคุณนักพัฒนาเพิ่งจะครบกำหนดหรือไม่พวกเขา (หรือคุณ) ย้ายสภาพแวดล้อมการพัฒนาไปยังเครือข่าย VLAN / เครือข่ายที่แยกจากกันโดยสิ้นเชิง

สมมติฐานสองข้อเพื่อ จำกัด ขอบเขตของคำถามนี้:

1. เพื่อทำซ้ำอีกครั้งนี่เป็นสภาวะแวดล้อมการพัฒนา - ไม่จำเป็นต้องมีโหลดการผลิตหรือการสนับสนุน ไม่มีอะไรสามารถเข้าถึงได้จากภายนอก
2. นี่ไม่ใช่ Hyper-V vs. สงคราม ESX อันศักดิ์สิทธิ์ (เราน่าจะใช้ได้ดี - แต่ Hyper-V ถูกเลือกเพราะมันเป็น "ฟรี" กับ MSDN สำหรับวัตถุประสงค์เหล่านี้ [ใช่ VMWare มีเครื่องมือฟรีเช่นกัน แต่การจัดการที่ดี เครื่องมือโดยทั่วไปจะไม่] และจะง่ายต่อการจัดการโดยนักพัฒนาท้องถิ่นใน "ร้านค้าของ Microsoft") - ดังนั้นข้อโต้แย้งสำหรับหรือต่อต้านอาจอยู่นอกขอบเขตของคำถามนี้
3. ทีม dev ได้ทำการรับรองแล้วว่าจะจัดการการจัดการแพตช์และโปรแกรมป้องกันไวรัสหรือรวมเข้ากับระบบองค์กรที่มีอยู่หากฝ่ายไอทีสนับสนุน - แต่แน่นอนว่าอยู่ในขอบเขตที่คุณจะยอมรับหรือไม่

ก่อนอื่นฉันเห็นเหตุผลบางประการว่าทำไมผู้ดูแลระบบของคุณมีสิทธิ์ที่จะผลักดันกลับ:

• ฝ่ายไอทีมีหน้าที่รายงานสิ่งต่าง ๆ เช่นการจัดการแพทช์ซอฟต์แวร์ป้องกันไวรัสการปฏิบัติตามกฎระเบียบ pci การตรวจสอบความปลอดภัยประจำปี (หรือบ่อยกว่า) เป็นต้นไม่ใช่แค่เรื่องของการรับประกันของคุณว่าสิ่งนี้ได้รับการดูแล แต่ยังสามารถ เพื่อพิสูจน์ให้คนนอก

  ตัวอย่างเช่นฉันใช้เครือข่ายที่วิทยาลัยขนาดเล็กและเรามีห้องทดลองฟิสิกส์ที่มีเครื่องเก็บรวบรวมข้อมูลไม่กี่เครื่องสำหรับการทดลองของนักเรียน สิ่งเดียวที่พวกเขาทำคือรวบรวมข้อมูลจากเครื่องมือทางวิทยาศาสตร์และพิมพ์ผลลัพธ์ (ไปยังเครื่องพิมพ์ที่เชื่อมต่อโดยตรง) เพื่อให้นักเรียนวิเคราะห์และส่งไปยังผู้สอน พวกเขาไม่เคยอยู่บนอินเทอร์เน็ต - แม้จะมีการอัพเดต AV และ Windows ผ่านเครือข่ายท้องถิ่น เหตุผลเดียวที่พวกเขาเชื่อมต่อกับเครือข่ายและเรียกใช้ซอฟต์แวร์ AV ทั้งหมดนั้นเป็นวัตถุประสงค์ที่ชัดเจนของการรายงานไปยังซอฟต์แวร์การตรวจสอบของฉันที่พวกเขายังคงมีอยู่และเป็นปัจจุบัน โง่จริง ๆ แล้วพวกเขาจะปลอดภัยกว่าที่จะลบการเชื่อมต่อเครือข่าย แต่พวกเขาได้รับเงินทุนการศึกษาเป็นครั้งแรกและสิ่งเหล่านี้เป็นข้อกำหนดในการรายงานของฉัน

• ชอบหรือไม่เซิร์ฟเวอร์ dev ของคุณเป็นระบบที่ใช้งานจริงจากจุดยืนของนักพัฒนา ให้เวลาประมาณหนึ่งเดือนและนักพัฒนาจะต้องทำงานอย่างหนักหากมันล้มลงเนื่องจากกระบวนการที่คุณจะตั้งค่าซึ่งถือว่าเซิร์ฟเวอร์พร้อมใช้งาน การหลีกเลี่ยง / การ จำกัด สถานการณ์ที่พนักงานไม่ได้ทำงานเนื่องจากความล้มเหลวของเทคโนโลยีเป็นเหตุผลสำคัญที่ธุรกิจยังคงใช้แผนกไอทีเป็นศูนย์กลาง
• หาก "ESX Server คือ Enterprise Standard" คุณต้องทำตามนั้น ในเวลานี้มีความแตกต่างที่สำคัญระหว่างวิธีการทำงานของ hyper-v, vmware, xen และอื่น ๆ และเครื่องจักรที่สร้างขึ้นสำหรับเครื่องหนึ่งไม่สามารถสันนิษฐานว่าจะทำงานได้ดีบนอีกเครื่อง หากคุณกำลังจะทำสิ่งนี้ไอทีจะต้องช่วยจัดการมันในบางจุดและพวกเขาไม่ต้องการแปลงมันเป็น vmware หลังจากที่มี cruft บนเครื่องที่อาจทำให้เกิดปัญหา
• สักวันเครื่องนี้จะเก่าขึ้นและอาจต้องการการบำรุงรักษาตามปกติมากขึ้นหรือตั้งค่ารอบการเปลี่ยนมาตรฐาน แม้กระทั่งเซิร์ฟเวอร์ใหม่บางครั้งก็มีชิ้นส่วนก้น สถานการณ์เช่นนี้มักจะเกิดขึ้นบนตักของไอทีหลังจากที่มีบางสิ่งบางอย่างพังทลายซึ่งทำให้ผู้คนไม่สามารถทำงานได้ ด้วยความรับผิดชอบต่อเซิร์ฟเวอร์ แต่เนิ่นๆฝ่ายไอทีสามารถทำงานได้ดีขึ้นมากทำให้แน่ใจว่าคุณหลีกเลี่ยงการหยุดทำงานที่ไม่ได้วางแผนไว้
• เป็นส่วนตัว แต่ฉันสามารถบอกคุณได้ว่าสิ่งสุดท้ายที่ฉันต้องการในเครือข่ายของฉันคือเดสก์ท็อปอีกตัวที่ปลอมตัวเป็นเซิร์ฟเวอร์ ฉันจัดการกับคนเหล่านั้นมากพอในช่วงสองสามปีที่ผ่านมา

ที่กล่าวว่าไอทีจะต้องสามารถรองรับความคิดริเริ่มนี้ ไม่เพียงพอสำหรับพวกเขาที่จะพูดว่า "ไม่" ท้าทายพวกเขาเพื่อหาทางเลือกที่ตรงกับความต้องการของคุณ สถานการณ์ทางการเมืองเพียงอย่างเดียวที่นี่ควรเป็นทางเลือกของพวกเขามีแนวโน้มที่จะมีราคาสติกเกอร์ที่ใหญ่กว่า (เพราะพวกเขากำลังวางแผนสำหรับค่าใช้จ่ายที่คุณยังไม่เห็น) และดังนั้นคำถามก็คือใครจะต้องจ่ายให้ มันไม่ต้องการเพราะพวกเขาไม่ได้มีงบประมาณสำหรับมัน แต่คุณจะตะลึงเพราะมันเป็น 6 เท่าของสิ่งที่คุณใช้สำหรับการแก้ปัญหาที่คุณมีความสุขกับ (ในขณะนี้)

นอกจากนี้ดูเหมือนว่าคุณกำลังพยายามวิ่งก่อนที่คุณจะเดินได้ คุณต้องการปรับปรุงกระบวนการพัฒนาของคุณ ในฐานะอดีตนักพัฒนาฉันคิดว่ามันเยี่ยมมาก แต่อย่าเพิ่งโยน VMs และ "สภาพแวดล้อม" จำนวนมากออกไป (เช่น: dev, stage, qa, etc) วางแผนว่ากระบวนการใหม่จะมีหน้าตาอย่างไร - นักพัฒนาจะทำงานได้อย่างไร คุณจะใช้การรวมอย่างต่อเนื่องหรือไม่ สร้างอัตโนมัติ? ใช้ซอฟต์แวร์ใดเพื่อสนับสนุนพวกเขา นักพัฒนาจะได้รับอนุญาตให้ย้ายรหัสไปยังการผลิตหรือการแสดงละครหรือ QA เท่านั้นที่มีความสามารถนั้น คุณต้องการการจัดเตรียมแยกต่างหากหรือไม่? แล้วสอง dev devengen (สำหรับ vNext หนึ่งอันสำหรับ bug ที่มี vCurrent)

คุณอาจต้องการเซิร์ฟเวอร์เพียงอย่างเดียวเพื่อให้หัวหน้าฝ่ายพัฒนาหรือผู้จัดการสามารถทำงานได้อย่างเต็มที่ แต่ถ้าเป็นเช่นนั้นจะต้องเป็นขั้นตอนแรกและการตั้งค่าและการออกแบบกระบวนการเริ่มต้นจะต้องทำก่อนที่นักพัฒนาจะทำจริง ใช้.

1) นักพัฒนาของคุณโต้แย้งอะไรที่ทำให้คุณชนะเพื่อให้ไซโลประเภทนี้มีอยู่ในองค์กรที่มีเครือข่ายมาตรฐานและนโยบายความปลอดภัยในสถานที่ซึ่งโดยทั่วไป (และเข้าใจได้) ทำให้ไม่สามารถจัดการโครงสร้างพื้นฐานที่ไม่ใช่แบบศูนย์กลางได้ ?

ไม่มี - ส่วนใหญ่เป็นเพราะฉันไม่ได้มีบทบาทการจัดการในองค์กรของฉันดังนั้น "สิ่งทางการเมือง" เหล่านี้จึงไม่เกี่ยวข้องกับฉันจริงๆ ข้อโต้แย้งเพียงอย่างเดียวที่จะโน้มน้าวใจฉันคือการยอมให้สิ่งที่ต่อต้านนโยบายเครือข่ายอย่างชัดเจนและได้รับการยกเว้นจากทั้งการควบคุมทีมงานระบบและการมองเห็นคือช่องว่างอากาศและจดหมาย CYA จากเจ้านายของฉัน

ไม่ใช่ว่าฉันอยากจะเป็นธุรกิจที่พูดว่า "ไม่" มันแค่ไม่มีวิธีที่ดีที่จะจบได้ดีจากมุมมองของทีมปฏิบัติการ

1. เราลงท้ายด้วยเซิร์ฟเวอร์ที่จัดการโดยผู้ที่มีทักษะหลักไม่ได้จัดการเซิร์ฟเวอร์ในเครือข่ายที่ไม่สามารถมองเห็นเครือข่ายทั้งหมดและพื้นที่ปัญหาที่เกี่ยวข้อง นี่ไม่ใช่แค่ความกังวลทางการเมืองของสนามหญ้า "ปกป้อง"; เป็นตัวอย่างที่ซ้ำซากลองจินตนาการถึงสิ่งที่เกิดขึ้นเมื่อนักพัฒนาเปิด DHCP ด้วยเหตุผลบางอย่าง
2. เราลงเอยด้วยการจัดการเซิร์ฟเวอร์ของทีมพัฒนาสำหรับพวกเขา นี่คือความยุ่งเหยิงด้วยเหตุผลตรงข้าม นักพัฒนามีความรำคาญอยู่ตลอดเวลาว่าเรากำลังทำการปรับปรุงนี้ (ทำลายบางสิ่งบางอย่างที่พวกเขารู้ แต่เราทำไม่ได้) หรือการต่อสู้ของพวกเราเพื่อเปิดใช้งานคุณลักษณะต่างๆด้วยเหตุผลที่ดีหลายประการที่เราไม่ต้องการเปิดใช้งาน สิ่งนี้จะกลายเป็นสิ่งที่หยุดชะงักอย่างรวดเร็วซึ่งทีมปฏิบัติการรู้สึกว่าเป็นภาระและถูกคุกคามและทีมพัฒนารู้สึกหงุดหงิดและไม่สนใจ
3. มีผลทางการเมือง - เพราะคุณต้องอธิบายแผนกอื่นว่าทำไมนักพัฒนาจึง "พิเศษ" และทำไมพวกเขาถึงได้รับการยกเว้นจากนโยบายเครือข่าย

2) นี่เป็นเพียงเรื่องของนักพัฒนาที่สร้างเหตุผลทางเทคนิคหรือทางธุรกิจและทำให้มั่นใจได้ว่าการจัดการแพทช์และ AV กำลังจะเกิดขึ้น - หรือมากกว่าจากการต่อสู้ทางการเมืองเพื่อการควบคุมและการเป็นเจ้าของ?

ฉันไม่คิดว่านักพัฒนาจะต้องสร้างธุรกิจ - มันค่อนข้างชัดเจนว่านักพัฒนาจะต้องพัฒนาและเพื่อที่จะทำสิ่งนั้นพวกเขาต้องการสภาพแวดล้อมการพัฒนาบางประเภท สำหรับการจัดการแพตช์และ AV - นั่นคืองานของทีมปฏิบัติการและเราจะทำให้แน่ใจว่ามันเสร็จแล้ว ไม่ใช่ว่าเราคิดว่านักพัฒนาซอฟต์แวร์ไม่สามารถทำได้ เป็นเพียงเราไม่เชื่อว่าคุณทำถูกต้อง - ผู้ดูแลระบบพักผู้ดูแลระบบเพราะพวกเขาไม่ไว้ใจให้ทำอะไรถูกต้องดังนั้นจึงไม่มีอะไรเป็นส่วนตัว แน่นอนว่ามีปัญหาทางการเมืองที่เห็นได้ชัดว่ารู้สึกเหมือนมีคนอื่นกำลัง "ทำงานของคุณ" แต่นั่นไม่ใช่ปัญหาทางเทคนิคจริงๆและดังนั้นจึงอยู่นอกขอบเขตของ SF

3) เมื่อเลือกแล้วคุณต้องการที่จะเป็นเจ้าของและสนับสนุนฮาร์ดแวร์ / OS ในขณะที่ให้สิทธิ์ผู้ดูแลระบบท้องถิ่นหรือให้พวกเขาจัดการมันทั้งหมดในขณะที่ให้แน่ใจว่าพวกเขาทำการจัดการ patch / AV และชาร์จด้วยความรับผิดชอบ ปัญหาที่เกิดขึ้น?

ไม่ใช่ด้วยเหตุผลที่กล่าวไว้ข้างต้น

4) หากคุณประสบความสำเร็จในการบล็อกนักพัฒนาจากการควบคุม "เซิร์ฟเวอร์ปลอม" ในโครงสร้างพื้นฐานของคุณผู้พัฒนาเพิ่งจะครบกำหนดหรือไม่พวกเขา (หรือคุณ) ย้ายสภาพแวดล้อมการพัฒนาไปยังเครือข่าย VLAN / เครือข่ายที่แยกจากกันทั้งหมด

ช่องว่างอากาศ วิธีที่ดีที่สุดในการจัดการสถานการณ์นี้คือให้นักพัฒนาสภาพแวดล้อมของพวกเขา (และควบคุมมัน) จากนั้นช่องว่างอากาศหรือใช้วิธีการที่มีประสิทธิภาพอื่น ๆ เพื่อแยกมันออกจากเครือข่าย นี่คือวิธีการที่เราจัดการ wifi สาธารณะ คุณต้องการบริการ wifi หรือไม่ แน่ใจ คุณจ่ายเงินสำหรับการเชื่อมต่อเครือข่ายเราจะจัดการ WAP แต่มันจะไม่แตะต้องเครือข่ายของเรา ขอโทษ ความต้องการของคุณเป็นเพียงหนึ่งในร้อย มีข้อกังวลอื่น ๆ ที่เราต้องพิจารณา

คุณไม่ต้องการที่จะอยู่ในธุรกิจที่บอกว่าไม่เพราะนักพัฒนา (ผู้มีความฉลาดทางเทคนิคโดยเฉพาะ) จะหาวิธีที่จะได้รับสิ่งที่พวกเขาต้องการอยู่แล้ว ดังนั้นให้พวกเขามีสภาพแวดล้อมที่เหมาะสมกับความต้องการของพวกเขาทำให้พวกเขามีความสุขแล้วหาวิธีที่จะป้องกันสิ่งที่พวกเขาทำในสภาพแวดล้อมการพัฒนาจากการสัมผัสกับส่วนที่เหลือของเครือข่ายธุรกิจของคุณ

TL; DR:ฉันจะให้เซิร์ฟเวอร์กับแพลตฟอร์ม virtualization อะไรก็ตามที่คุณต้องการบนทั้งเครือข่ายฟิสิคัลหรือ VLAN การเข้าถึงสภาพแวดล้อมการพัฒนาของคุณจะผ่านโฮสต์ป้อมปราการเดียวที่ทีมปฏิบัติการจะควบคุมและตรวจสอบ สิ่งที่คุณทำกับธุรกิจของคุณ - มันจะไม่ได้รับการสนับสนุน แต่เราจะให้คำแนะนำและช่วยเหลือเมื่อเวลาผ่านไปสำหรับการจัดการด้านเซิร์ฟเวอร์ของสิ่งต่าง ๆ

ถ้าคุณมาหาฉันกับเครื่องคลาสเวิร์คสเตชั่นที่โหลดไปยังด้ามจับด้วยแรมระดับผู้บริโภค, HDD ระดับผู้บริโภค, PSU ระดับผู้บริโภคและ RAID ระดับผู้บริโภคฉันจะปฏิเสธที่จะใส่มันลงในเครือข่ายเซิร์ฟเวอร์ด้วย

มีหลายอย่างที่คุณต้องเข้าใจเกี่ยวกับการใส่อะไรแบบนั้นลงบนเซิร์ฟเวอร์ VLAN

1. เซิร์ฟเวอร์ VLAN อาจเป็น DMZ ใน DMZ คุณจะต้องไม่วางสิ่งของที่ไม่แข็งและปลอดภัย นี่เป็นเพียงเครื่องจักรที่คุณส่งมาพวกเขาไม่รู้ว่าคุณทำอะไรกับมัน นอกจากนี้ยังหมายถึงการอัพเดทและอัพเดทเป็นประจำซึ่งหมายถึงการจัดการจากส่วนกลาง ฉันแน่ใจว่านรกจะไม่เข้าสู่เซิร์ฟเวอร์ที่ไม่มีการจัดการแต่ละตัวและใช้แพทช์ด้วยมือ

2. ส่วนประกอบในเครื่องนั้นจะล้มเหลว ฉันสัญญา. ภายใน 6 หรือ 12, 24 เดือนก็จะเริ่มขึ้น จากนั้นการสำรองข้อมูลอยู่ที่ไหน โอ้คุณไม่ได้ตั้งค่าเหรอ? แต่ฉันคิดว่ามันเป็นเซิร์ฟเวอร์หรือไม่ โอ้มันเป็นเซิร์ฟเวอร์ที่คนอื่นจัดเตรียมไว้หรือไม่ ... และเกมตำหนิเริ่มต้นขึ้นอีกครั้ง

3. ใครจะเป็นผู้รับผิดชอบเมื่อเกิดปัญหาและทำให้แฟนหลง? ในองค์กรส่วนใหญ่ "ฉันมอบให้กับ dev เพื่อดูแล" จะไม่บิน

4. พวกเขาจะวางไว้ที่ไหน เซิร์ฟเวอร์ทุกแร็คติดตั้งอยู่ในปัจจุบันและวางหอคอยในพื้นที่ว่างชั้นวางและชั้นวางอาจไม่ได้รับการออกแบบ

ดังนั้นแผนกไอทีมีความชอบธรรมมากที่จะไม่วางคอมพิวเตอร์แบบสุ่มนี้ลงในเครือข่ายเซิร์ฟเวอร์ของตน

อย่างไรก็ตามมันเป็นงานแผนกไอทีเพื่อให้แน่ใจว่าคุณสามารถทำงานของคุณได้อย่างถูกต้อง พวกเขาต้องการให้แน่ใจว่าคุณมีสิ่งที่คุณต้องการเมื่อคุณต้องการ หากคุณมีซอฟต์แวร์บางส่วนที่ธุรกิจต้องการใช้งานต่อไปพวกเขาต้องจัดหาแพลตฟอร์มเพื่อให้ทำงานต่อ นั่นคือรายละเอียดงานของพวกเขา แต่คุณต้องแน่ใจว่าพวกเขามีข้อมูลที่พวกเขาต้องการในการทำงานของพวกเขา

หากคุณมาหาฉันในองค์กรของฉันบอกฉันว่าคุณกำลังเริ่มโครงการใหม่ฉันจะให้ VM สามรายการคือ Dev, Live และ Staging คุณจะมีสิทธิ์ผู้ดูแลระบบอย่างเต็มที่สำหรับ Dev และเราจะหารือเกี่ยวกับสิ่งที่คุณต้องการในการทำงานของคุณสำหรับอีกสองคน หากคุณต้องการสิทธิ์ผู้ดูแลระบบเต็มรูปแบบสำหรับพวกเขาและสามารถพิสูจน์ได้ว่าคุณจะได้รับมัน เรามีการปรับใช้ VM ของเราไม่เพียงพอ VMWare ทำให้สิ่งนี้ง่ายอย่างเหลือเชื่อ - ใช้เวลาเพียง 5 นาทีต่อ VM ในการปรับใช้

ดูเหมือนว่าแผนกไอทีของคุณจะได้รับความทุกข์ทรมานจากแผนกไอทีใน บริษัท ขนาดใหญ่ สร้างปราสาทเล็ก ๆ น้อย ๆ และปกป้องพวกเขาด้วยชีวิตของคุณไม่ให้คนอื่นเข้ามาเป็นเจ้ากี้เจ้าการ ฯลฯ ในฐานะคนที่เกี่ยวข้องกับแผนกไอทีของผู้อื่นทุกวันฉันเห็นมันตลอดเวลา และมันก็น่าหงุดหงิด

ข้อเท็จจริงพื้นฐานคือแม้ว่าการเปลี่ยนแปลงจำเป็นต้องเกิดขึ้นจากภายในแผนกไอทีและจะต้องเริ่มจากด้านบน และถ้าคุณสามารถทำให้ไอทีรู้ว่าพวกเขาไม่ได้บังคับตัวเอง (เพราะพวกเขาส่วนใหญ่ไม่สร้างรายได้ให้กับธุรกิจของพวกเขานี่อาจเป็นการตบหน้า) และพวกเขาอยู่ที่นั่นเพื่อสนับสนุนพนักงานที่มีอยู่ และปรับปรุงธุรกิจคุณจะพบว่าคำถามของคุณไม่เกี่ยวข้องเพราะทุกคนจะเล่นกับครอบครัวที่มีความสุข

ทำไมคุณต้องการเพิ่มลงในโดเมน หากต้องการใช้อีกวิธีหนึ่งซึ่งตอบคำถามได้ดีกว่า: คุณสามารถตั้งค่าห้องปฏิบัติการเพื่อทำทุกสิ่งที่คุณต้องการตราบใดที่ยังไม่ได้เชื่อมต่อกับ LAN ขององค์กร (หากคุณต้องการเชื่อมต่ออินเทอร์เน็ตบางทีคุณอาจได้รับ DMZ-ed VLAN นั่นไม่น่าจะมีปัญหาโดยเฉพาะถ้าคุณใช้มันเพื่อออกไปข้างนอกเท่านั้นเช่นการดาวน์โหลด)

นั่นเป็นหนึ่งในหลาย ๆ คำตอบที่ต่างกันสำหรับคำถาม

คุณจะได้รับคำตอบมากมายที่นี่เพื่อต่อต้านผู้พัฒนาที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในส่วนใด ๆ ของระบบ (ส่วนใหญ่อาจเป็นเพราะ) แต่นี่คือบรรทัดล่าง:

กลุ่มดูแลระบบถูกมอบหมายให้รักษาระบบการผลิตให้ทำงานมีเสถียรภาพและปลอดภัยและมีความรับผิดชอบในการทำให้แน่ใจว่าระบบเหล่านั้นให้บริการที่ บริษัท จ่ายให้

ทีม dev ก็ได้รับมอบหมายให้ให้บริการกับ บริษัท (เว็บแอป ฯลฯ ) แม้ว่าจะอยู่ในพื้นที่ที่แตกต่างกัน การต่อสู้เพื่อควบคุมสภาพแวดล้อมการพัฒนานั้นต่อต้านและไม่มีประโยชน์ต่อทั้งสองฝ่าย

ฉันทำงานที่ ISV / ASP ขนาดเล็ก เรามีนักพัฒนาซอฟต์แวร์หนึ่งคนและดูแลระบบหนึ่งราย (ฉัน) เรามีความสัมพันธ์บนพื้นฐานของความเคารพและความไว้วางใจซึ่งกันและกัน เราจำเป็นต้องทำงานเป็นทีมเพื่อช่วยให้บรรลุเป้าหมายที่ครอบคลุมของ บริษัท ฉันให้นักพัฒนาซอฟต์แวร์เข้าถึงสภาพแวดล้อมการพัฒนาที่สมบูรณ์และไม่ จำกัด ซึ่งรวมถึงเวิร์กสเตชันและเซิร์ฟเวอร์ ฉันจัดการระบบ dev เพื่อความปลอดภัยอัปเดต AV และฮาร์ดแวร์และ dev ทำหน้าที่เหลือ เมื่อรหัสของเขาพร้อมสำหรับการผลิตเขาส่งให้ฉันช่วยฉันด้วยการกำหนดค่าที่จำเป็นและย้อนกลับไป เราให้ความช่วยเหลือซึ่งกันและกันซึ่งกันและกัน

นักพัฒนาควรเป็นผู้เชี่ยวชาญของสภาพแวดล้อมการพัฒนาและ Sysadmins ควรเป็นผู้เชี่ยวชาญของสภาพแวดล้อมการผลิตภายในขอบเขตที่สมเหตุสมผลและมีการตรวจสอบยอดคงเหลือและการควบคุมที่สมเหตุสมผล เมื่อทั้งสองฝ่ายต้องการที่จะ "ข้าม" มันควรจะอยู่ในความร่วมมือและคอนเสิร์ตกับพรรค "ปกครอง" ภายใต้ขอบเขตและคำแนะนำของพวกเขา

ก่อนอื่นประสบการณ์ของฉันเป็นเรื่องที่เข้มงวดในองค์กรขนาดเล็ก แต่ปัญหานี้เกิดขึ้นใน บริษัท ทุกขนาดดังนั้น ...

1.  What arguments have your developers made that won you over to
allow these types of silos to exist within enterprises which have
standard network and security policies in

จากมุมมองของฉันอาร์กิวเมนต์เดียวที่นักพัฒนาจำเป็นต้องทำคือ "เราต้องการสิ่งนี้" หากพวกเขามาหาฉันก่อนฉันจะพยายามทำความเข้าใจความต้องการของพวกเขาและดูว่าเราจะทำอะไรได้บ้าง แต่ท้ายที่สุดถ้าพวกเขาพูดว่า "เราต้องการสิ่งนี้" ฉันจะให้ประโยชน์แก่พวกเขาจากความสงสัยและเชื่อมั่นว่าพวกเขารู้ว่าพวกเขากำลังทำอะไรอยู่

แต่นั่นเป็นเพียงจุดเริ่มต้น - นั่นคือด้าน "โปร" ของสมการ "Con" เป็นที่ที่เราเข้าไปโต้เถียงกัน ...

2. Is this just a matter of the developers making a technical or
business justification

ยกเว้นว่า "เพียงแค่" เป็นการพูดที่ไม่น่าเชื่อใช่ถ้านักพัฒนาสามารถสร้างเหตุผลทางเทคนิคและธุรกิจก็จะไม่มีปัญหา คนอื่น ๆ ที่นี่และบน programmers.SE (ที่คำถาม SO ของคุณถูกย้ายไปแล้ว) ชี้ให้เห็นถึงข้อผิดพลาดมากมายในการตั้งค่าของคุณดังนั้นฉันจะไม่ทำซ้ำ หากคุณวางแผนที่จะจัดการกับปัญหาเหล่านั้นและอื่น ๆ ที่แผนกไอทีของคุณคิดและปรับค่าใช้จ่ายทั้งหมดให้เหมาะสม

3.  Given the choice, would you prefer to take ownership and support
of the hardware/OS while giving devs local admin rights,

บุคคลนี้ไม่ใช่ผู้เริ่มต้นคุณไม่สามารถมีสองกลุ่มที่มีเป้าหมายและความรับผิดชอบที่แตกต่างกันซึ่งพยายามจัดการระบบเดียวกัน มันจะไม่จบลงอย่างเลวร้ายมันจะเริ่มไม่ดีและจบลงด้วยการนองเลือด

(more of 3.) ... or let them manage it entirely, while ensuring that
they institute patch management/AV and charging them with
responsibility should they cause problems?

ฉันคิดว่านี่เป็นคำตอบของฉันที่ครอบคลุม 2: นี่คือรายละเอียดทางเทคนิคที่พวกเขาต้องการในการหาคำตอบ

4.  If you successfully blocked developers from having local control
of "rogue servers" on your infrastructure, did the developers just
make due or did they (or you) move the development environment to a
disconnected VLAN/entirely separate network?

ฉันเห็นด้วยกับ kce: "ช่องว่างอากาศ"

หากพวกเขาสามารถพิสูจน์ได้ว่าค่าใช้จ่ายเพิ่มเติมที่พวกเขากำลังทำอยู่ (โดยการเป็นผู้ดูแลสภาพแวดล้อมของพวกเขา) สามารถมีเครือข่ายขนาดเล็กของตัวเองที่พวกเขามีบังเหียนฟรีแต่มันกักกันอย่างสมบูรณ์: ไม่มีอะไรแตะส่วนที่เหลือของเครือข่าย ดังนั้นพวกเขาจึงต้องคิดหาเหตุผลทางเทคนิคและธุรกิจเพิ่มเติมเช่น "เราจะสำรองข้อมูลสำคัญอย่างไร"

อีกครั้งฉันต้องเห็นด้วยกับ kce: "ผู้ดูแลระบบยังคงดูแลระบบผู้ดูแลระบบเพราะพวกเขาไม่ไว้วางใจที่จะทำสิ่งใดถูก" มันเป็นหน้าที่ของเราในการสร้างระบบที่น่าเชื่อถือที่สุดที่เราสามารถทำได้จากส่วนประกอบที่ไม่น่าเชื่อถือ สิ่งต่าง ๆ ที่ผู้ดูแลระบบที่มีประสบการณ์รู้ว่าเป็นขุยอย่างไม่น่าเชื่อก็จะได้รับปฏิกิริยาเชิงลบที่แข็งแกร่ง

จากคำตอบและความคิดเห็นที่นี่และใน programmers.se ฉันคิดว่าชัดเจนว่ามีแง่มุมที่คุณยังไม่ได้พิจารณา แม้ว่ามันจะใช้เวลานานกว่า แต่ฉันคิดว่าคุณต้องไปคุยกับพวกไอทีของคุณและนำเสนอสิ่งต่าง ๆ : "นี่คือสิ่งที่เราต้องทำมีวิธีใดที่จะรวมสิ่งนี้เข้ากับโครงสร้างพื้นฐานและการปฏิบัติการที่มีอยู่"

ปัญหาทั่วไปในกรณีของคุณและกรณีคล้ายกันนับล้านคือ:

1) ความรับผิดชอบที่คลุมเครือ - ไม่มีการเชื่อมโยงโดยตรงระหว่างการกระทำของพนักงาน บริษัท และผลกำไรของเขา เขาได้รับค่าจ้างเป็นรายเดือนไม่ใช่ผลกระทบซึ่งยากที่จะวัดได้องค์กรที่ยิ่งใหญ่กว่าก็คือ มันใช้กับการรักษาความปลอดภัยผู้จัดการ ฯลฯ หากพวกเขาแยกงานของคุณพวกเขาไม่สนใจ

2) ผู้กำหนดนโยบายและความปลอดภัยมักไม่มีความรู้เกี่ยวกับการเขียนโปรแกรม พวกเขาไม่เข้าใจว่าพวกเขาเป็นอัมพาตงานของคุณแม้ว่าพวกเขาจะสนใจ (ซึ่งมักจะไม่ใช้)

3) โปรไฟล์ทางจิตวิทยาที่ต้องการสำหรับงานด้านความปลอดภัยคือบุคลิกภาพที่หวาดระแวงหรือความผิดปกติที่ครอบงำ คนเหล่านี้เห็นสมรู้ร่วมคิดทุกที่ หากนักพัฒนาต้องการบางสิ่งเช่นเซิร์ฟเวอร์ใหม่พวกเขาต้องการใช้เพื่อขโมยข้อมูลองค์กรและเผยแพร่ใน WikiLeaks หรือขายให้กับเกาหลีเหนือ