מחבר maliknir

VVOL – לצרוך שירותים ממערך אחסון מרכזי במודל של SDS

היום ניהלנו במשרד שיחה מעניינת על Software Defined Storage או SDS. יצרנים רבים מציעים פתרונות כאלו בימינו ולמעשה יצרנים רבים יותר בוחרים לעצמם את המשמעות של מושג זה. כמושג כללי, מדובר על תוכנה המשתמשת ברכיבי אחסון שונים על מנת לייצר או, יותר נכון, לייצג לוגית, מערך אחסון וירטואלי ולהקצות ממנו משאבי אחסון. נכון לעכשיו, עבור שימושים רבים, טכנולוגיה זו עדיין לא מתחרה בכלל רוחב הפתרונות שמציעים מערכי האחסון השונים. מרבית פתרונות ה SDS  למשל, לא מספקים שירותי קבצים או שירותי אובייקטים ומרביתם גם לא יודעים לספק שירותי אחסון עבור צרכנים שאינם חלק מסביבת ה SDS.

עם ההשקה של VMware vSphere 6 הוכרזה התמיכה הרשמית בטכנולוגיה חדשה בשם Virtual Volumes או בקיצור VVOLs. טכנולוגיה זו נתפשת בעיני כשלב ביניים מעניין באבולוציה. היא מאפשרת לנו להמשיך ולצרוך שירותים ממערך אחסון חיצוני ולהנות מכלל יכולותיו וחוזקותיו אך מפשטת ומפשיטה את השימוש והצריכה עבור שרתים וירטואליים בסביבות VMware vSphere כך שמנהל תשתית הוירטואליזציה מקבל את התחושה של SDS, הוא מקצה מה שהוא צריך להקצות דרך ממשק הניהול הרגיל שלו, vCenter, ואין לו צורך לדעת איזה מערך אחסון משרת אותו, כמה מערכי אחסון יש בסביבה וכו'.

מטרת הפוסט היא להציג באופן כללי את הטכנולוגיה והשימושים ולכן יתכנו אי-דיוקים מסויימים בפרשנות של יצרני האחסון השונים. הערה זו חשובה לא רק כדי להסיר ממני אחריות אלא גם כי זו אחת מאבני היסוד של VVOLs, כל אחד מיצרני האחסון "מפרש" ומספק מענה שונה במקצת לטכנולוגיה זו.

ההגדרה של VVOLs, בתרגום חופשי מאד מאתר היצרן, VMware, היא סביבת עבודה לניהול ואינטגרציה המספקת מודל עבודה חדש מול מערכי אחסון חיצוניים. אם נרחיב את ההגדרה, המטרה של VVOLs היא לאפשר למנהל תשתית הוירטואליזציה לצרוך שירותי אחסון מתקדמים ללא צורך במעורבות מנהל מערך האחסון.

VASA Provider

מערכי אחסון מודרניים מספקים מגוון רחב של שירותים. מנהל מערך האחסון מגדיר ומפעיל את השירותים בהתאם למה שהמערך מספק, צרכי הארגון, best practice של יצרן המערך וכו'. תפקידו של ה VASA Provider לשמש "שדכן" בין מערך האחסון וממשק ניהול תשתית הוירטואליזציה, vCenter. ה VASA Provider, VP, מציג ל vCenter את היכולות השונות הקיימות במערך האחסון. כאשר מקימים שרת וירטואלי חדש, בוחרים דרך ממשק ה vCenter את יכולות האחסון הנדרשות עבור השרת החדש ובאמצעות ההתממשקות אל ה VASA Provider ומערך האחסון תחתיו, מוקמים באופן אוטומטי ה virtual volumes הנחוצים עבור אותו שרת במקום הנכון על מנת לספק את השירותים שנבחרו. זו למעשה התורה על רגל אחת, מנהל מערך האחסון מפרסם את כל היכולות שיש לו לספק ומנהל תשתית הוריטאליזציה צורך אותן בהתאם לשרתים הוירטואליים השונים, מערך האחסון הופך "מודע" לכל שרת וירטואלי ולמעשה לכל דיסק ודיסק של כל אחד מהשרתים הוירטואליים, הרזולוציה המסופקת משתפרת מאד שכן עד עכשיו, עד השימוש ב VVOLs, מרבית מערכי האחסון לא היו מודעים כלל לשרתים הוירטואליים המקושרים אליהם וכלל השירותים סופקו ברזולוציה של LUN או Volume שאחסנו DATA Stores רבים ובתוכם שרתים וירטואליים רבים.

בחלק מהמקומות מתיחסים אל VASA Provider כ Vendor Provider ובכך מודגשת אחריות יצרן מערך האחסון, הוא כאמור אחראי לפרשנות שלו ליישום נכון של VVOLs ובהתאם הוא אחראי לאופן יישום ה VP והיכולות שהוא מספק.

Protocol Endpoint

בשימוש ב LUN  או NFS export לאחסון DATA Store, שרתי ה ESXi Host  היו מקושרים אל ה LUN או ה Export השונים במערך האחסון ובסביבות גדולות היה צריך למפות או לקשר את כולם, עובדה שיצרה כאב ראש ניהולי וכן, בסביבות מורכבות, יצרה מגבלות, למשל של כמות ה LUN המורשים בסביבה וכו'. בשימוש ב VVOLs קיימת ישות חדשה בשם Protocol Endpoint. ה PE הוא LUN יחודי בעולם ה SAN או mount point בעולם ה NFS. ה PE הוא נקודת ההשקה בין התשתית הוירטלאית למערך האחסון, כלל פעולות ה IO מבוצעות דרך ה PE. בעת הקמה של VVOL חדש, ה VVOL אינו נגיש לפעילות IO בעצמו, ה VASA Provider אחראי לביצוע "הצמדה" או Bind של VVOL אל PE.

VVOLs

VMware מפרטת 5 סוגים שונים של VVOL:

Config-VVOL כשמו כן הוא מכיל מידע על הקונפיגורציה של השרת הוירטואלי, VMX, Log וכו'. יש רק אחד כזה לכל שרת וירטואלי

DATA-VVOL – מקביל למעשה ל VMDK. לכל שרת וירטואלי יכולים להיות יותר מאחד, בהתאם לכמות הדיסקים הלוגיים שניצור לשרת

Memory-VVOL – נוצר עבור memory snap shots

Swap-VVOL – נוצר כאשר מדליקים את השרת הוירטואלי בהתאם לצורך בלבד

Other-VVOL – נתון לפרשנות של יצרן מערך האחסון ולמיטב ידיעתי עדיין לא בשימוש על ידי אף יצרן

5vvol

Storage Container

ישות זו הינה ישות לוגית המשמשת בעיקר להפרדה וניהול מצד מערך האחסון, היא המגדירה מגבלות נפח ולמעשה מחליפה את ה DATA store המוכר

סיכום

צריך לזכור כי קיימות מספר מגבלות ולכן הטכנולוגיה עוד לא מתאימה לכל אחד. VVOLs אינו "מוצר" של VMware ואין לו מק"ט, מדובר בטכנולוגיה וטופולוגיה המיושמות באופן שונה בין יצרני האחסון השונים. קיימת מגבלה בהתממשקות ליכולות vSphere  שונות כמו fault tolerance, התממשקות למוצרי VMware כמו NSX או תמיכה בסביבות IPv6, תצורות RDM וכו'.

למי שמתעניין במידע נוסף, להלן קישורים לפודקאסט שאני מאד אוהב, Virtually Speaking. כמובן ש Pete Fletcha הוא איש NetApp לשעבר ומשם אני מכיר אותו!

https://blogs.vmware.com/virtualblocks/2016/06/03/virtually-speaking-podcast-episode-14-solidfire-vvols-done-right/

https://blogs.vmware.com/virtualblocks/2016/09/15/vasa-provider-dr-ontap-vp-6-2/

מי שיחטט שם ימצא גם סקירה של אופן יישום VVOLs על ידי יצרנים אחרים אבל הי, אני אוהב את NetApp 🙂

כמובן שהסקירה המוצגת כאן היא רק סקירה ראשונית ואפשר לצלול פנימה אבל למיטב ידיעתי כמות המידע על הנושא בעברית מאד מצומצת ולכן חשבתי שכדאי לפחות לכתוב את הבסיס, פתוח תמיד להערות, משוב פרודוקטיבי ובקשות מהקהל!

שלכם,

ניר מליק

רעידת אדמה באיטליה – מחשבות על DRP

רעידת אדמה באיטליה – מחשבות על DRP

עבדכם הנאמן בילה לאחרונה בחופשה משפחתית בדרום איטליה ולכן לא עודכן הבלוג, עמכם הסליחה.

שלוש המלצות מסוג "אל תעשה" לגבי טיול בחבל ארץ יפה זה:

  1. מומלץ בחום לשכור את הרכב הכי קטן שאפשר, מרבית הכבישים הרריים, צרים ומפותלים אך חשובה מהנהיגה עצמה היא הגמישות, ברכב גדול תקשו על עצמכם סתם לעצור בצד הדרך לצלם משהו, "לגנוב" חניה לרגע בשולי הכפר או להשתחל לחניה מחוץ לחניונים המסודרים הנדירים. אני טעיתי בגדול בנושא זה ושכרתי רכב מסוג פיאט סקודו בן תשעה מקומות ישיבה, מנוע דיזל ותיבת הילוכים ידנית. אתגר מיותר למי שלא חייב את כל המושבים!
  2. למרות שקראתי מאות עמודים כהכנה לטיול, לא הבנתי את המשמעות של עומס בשיא עונת התיירות עד שהגעתי לעירה ראבלו לגלות שהעירה כולה סגורה. פעמיים. פעמיים נסענו במשך שעה וחצי לגלות שאין כניסה לעירה כלל יותר בגלל עומס תיירים. שיא העונה יכולה להיות תקופה מאתגרת לתייר גם בלונדון או בפריז אבל כזה דבר עוד לא ראיתי.
  3. טיילנו עם ילדים בני 4 עד 12. כולנו נהנינו אבל זה אזור פחות מתאים למשפחה בעלת ילדים קטנים. בילינו יום שלם בבריכה של הבית ששכרנו ויום שלם בפארק מים קטן ונחמד אבל באופן כללי האזור אינו משופע אטרקציות שמתאימות לילדים.

italy

העיר נאפולי, העיר הגדולה ביותר באזור, שוכנת למרגלות הר הוזוביוס. מעברו השני של ההר שכנה העיר פומפי שחרבה בהתפרצות ההר בשנת 79 לספירה. במשך השהות שלנו באיליה פקדה את המדינה רעידת אדמה קשה שהחריבה שכונות שלמות והותירה כמעט שלוש מאות הרוגים. לשמחתנו לא הרגשנו דבר היות והיינו רחוקים מהאזור. באופן מקרי לחלוטין, הפגישה הראשונה שתוכננה לי עם חזרתי לארץ עסקה בהקמת אתר DR למפעל באירופה.

פוסט קודם על מטרו-קלאסטר, טיול בדרום איטליה סביב  הר הגעש וזוביוס שהחריב את העיר פומפי, רעידת אדמה ופגישה על DR, הקארמה עצמה הכתיבה לי את נושא הפוסט הפעם!

באופן כללי נראה כאילו מרבית הלקוחות הישראלים ניגשים אל נושא ההמשכיות העסקית בכיוון ההפוך ומתייחסים אל פרויקט DR כאילו מדובר בשיגעון של מנהל המחשוב הארגוני ולא בנושא קריטי ורגיש מאין כמוהו להנהלת החברה, לצד העסקי של הבניין אם תירצו ולא לצד הטכני שלו.

אחד הפרויקטים הראשונים שניהלתי היה פרויקט וירטואליזציה של שרתים בחברה מוכרת בתחום מוצרי האפייה ובתי הקפה בארץ. אותו לקוח נתקל בבעיה במערכת ניהול המלאים הראשית בארגון בתזמון אומלל, ערב חג החנוכה.

לכאורה, מידת הנזק שנגרמה לארגון הייתה נמוכה מאד, מאפיה יכולה לעבוד גם בלי מערכת ניהול מלאים. בית קפה יכול להמשיך ולהגיש קפה ולדווח מאוחר יותר כמה קפה הוגש. למעשה, מידת הנזק העקיף שנגרם לארגון הייתה די גדולה, נכון אמנם שלקוחות עדיין יכלו לרכוש סופגניות אבל לא יכלו לקבל את ההזמנה הספציפית אותה ביצעו מבעוד מועד. הלקוחות חוו חווית שירות שלילית וקשה לתקן חוויות שכאלו. במקרה זה, מנכ"ל החברה היה היוזם מאחורי שדרוג תשתיות המחשוב בארגון על מנת לצמצם פגישה עתידית שכזו לאחר שהבין את מידת הנזק העקיף.

תהליך נכון וסדור של אפיון פרוטוקול התאוששות מאסון והמשכיות עסקית בחברה צריך להתחיל מהצד העסקי וזאת על מנת להגדיר אילו שירותים הם קריטיים לקיום החברה, אילו שירותים קריטיים ליכולת של החברה לעשות עסקים, אילו שירותים חשובים לפעילות רציפה ואילו שירותים יכולים להתקיים על בסיס nice to have בלבד. פעמים רבות כאשר אנשי המחשוב הם הכוח המניע מאחורי פרויקט DR, מוגדרת רמת SLA אחת בלבד שכן אנשי המחשוב לא יכולים או לא רוצים לקחת אחריות על הגדרת שירותים שלמים כלא חיוניים להתאוששות או לחלופין מגדירים מערכת כחיונית רק על פי כמות הרעש שהיא מייצרת בעבודה היום-יומית.

דוגמא נפוצה למערכת המייצרת רעש אך לא בהכרח עומדת ראשונה ברמת ה SLA במקרה אסון. כולנו עובדים באופן יום-יומי מול מערכת הדוא"ל הארגונית וכולנו רגילים להתייחס ל"מייל של המנכ"ל" כאילו הוא הדבר הכי חשוב בארגון. בחלק מהארגונים קביעה זו היא גם קביעה נכונה אבל אם מדובר בארגון תעשייה המייצר מוצר, האם מערכת הדוא"ל עומדת לפני מערכת בקרת היצור או מערכת ניהול המלאים?

להלן רשימה של שאלות לדוגמא שיש לספק עבורן מענה על מנת לייצר באופן נכון את רמות ה SLA בארגון:

  1. האם הארגון מסוגל לסבול השבתה חלקית של מערכות המידע? מה הנזק הכספי שיגרם לארגון מהשבתה שכזו?
  2. האם הארגון מסוגל לסבול השבתה מלאה של מערכות המידע? מה הנזק הכספי שיגרם לארגון מהשבתה שכזו?
  3. האם קיימת אפליקציה קריטית שבלעדיה רוב הפעילות העסקית בארגון אינה יכולה להתקיים? מה הנזק הכספי שיגרם לארגון מהשבתה שכזו?
  4. האם הארגון מסוגל לסבול השבתה חלקית של אפליקציה קריטית? מה הנזק הכספי שיגרם לארגון מהשבתה שכזו?
  5. מה משך ההשבתה המקסימלי שהארגון מסוגל לספוג מבלי להיפגע מבחינה עסקית? מה הנזק הכספי שיגרם לארגון בחריגה מפרק הזמן המוגדר?
  6. האם קיימת אפליקציה בארגון שבלעדיה יגרם נזק תדמיתי לארגון מצד הלקוחות? הספקים? בעלי המניות? הרגולטורים הרלוונטיים?

תחום נוסף ממנו לפעמים מתעלמים הוא מודל האיומים. כשאנחנו מקימים פתרון DR עבור מערכות המחשוב שלנו, מפני מה בעצם אנחנו מתגוננים ומה מוגדר אסון בתהליך ה"התאוששות מאסון" שלנו. האם הפסקת חשמל בחדר השרתים היא "אסון"? אם אתה ספק שירותי ענן כנראה שכן. האם טיל אירני הוא אסון רלוונטי? האם יהיה מי שישלח מיילים לאחר נפילת טיל שכזה? האם לאחר רעידת אדמה יישאר לנו קו ייצור בכלל ואם לוקח 5 חודשים להקים מחדש את קו היצור האם יש באמת צורך להדליק את מערכת בקרת היצור בתוך שעה?

הפוסט הזה הוא לא פוסט מאד טכנולוגי. בהינתן תקציב מספק, הטכנולוגיה יודעת לספק מענה כמעט לכל מתאר ותרחיש. מגיבוי לקלטות ושחזור לאחר רכישה של חומרה חדשה ועד רפליקציה בזמן אמת בין שני "עננים" שונים בפריסה גלובאלית, האתגר האמיתי הוא הדיון העסקי בו כולנו כאנשי IT  צריכים להשתפר. דיון נכון יסייע לנו להקים פתרון נכון עבור העסק שלנו, פתרון רלוונטי שעונה על הצרכים האמיתיים. אני חושב שכולנו נופתע גם לגלות שאם מנהלים דיון שכזה, הנהלת הארגון נרתמת לתהליך ומספקת תקציבים, כוח ועדיפויות, הפרויקט הופך מתחביב של IT לצורך ארגוני- עסקי.

שלכם,

ניר מליק

הו מטרו קלאסטר – אמסטרדם זה מקום לא רע ללמוד עליך

הו מטרו קלאסטר – אמסטרדם זה מקום לא רע ללמוד עליך

בשבוע שעבר הייתי באמסטרדם!

אני מתחיל בחלק החשוב ביותר, האוכל!

קפה דה-קלוס  – מוסד ותיק ומוכר שעדיין שומר על רמה, מקום מדהים לצלעות איכותיות במחיר הוגן, קלאסיקה. גם הפעם אכלתי את המנה המעורבת של צלעות בגריל וצלעות מעושנות, תענוג! המקום לא מקבל הזמנות שולחן אבל פשוט מגיעים, נרשמים ועוברים לשתות בירה בפאב מעבר לכביש עד שמתפנה שולחן. מאד מומלץ!

קאסטל ברביקיו – ביקור ראשון במסעדה זו, גריל מעולה! מנת הבית היא סטייק אנגוס משובח, כמו כן נדגם סטייק T-Bone צנום של 600 גרם ושדרה של צלעות מעולות, נופלות מהעצם. ישבנו בחוץ עם נוף לתעלה, השירות היה מעולה והפרופיטרולים היו קינוח מאד משמח. לחובבי הז'אנר אפשר לשבת בפנים על ספות נמוכות ולאכול עם מגשי עץ גדולים על הברכיים, לא לאנשים בגודל שלי! לא מסעדה זולה אבל תענוג!

העיר עיר נהדרת לקניות אבל שמתי לב להעדרן של חנויות צעצועים ממרכז העיר, קצת מוזר ולצערי נכשלתי במשימתי לרכוש גרביים לבובות הברבי של ביתי. בשדה התעופה קניתי לה ברבי רופאה, מתנה מאד חינוכית, אבל בבית ננזפתי שזה לא מה שהוזמן. נאלצתי לשחד אותה גם בזוג נעלי ספורט של אלזה, תודה ל H&M! היא בת ארבע וכבר יודעת מה היא רוצה, זוכרת מה הובטח לה ולא מוותרת אם מנסים לכסת"ח אותה.

זה היה הביקור הראשון שלי במרכז להדרכת בכירים של NetApp באמסטרדם או בשמו המלא Executive Briefing Center EBC. מדובר באופרציה מאד מרשימה, היצרן מתגייס להתאמת מפגשי הדרכה התפורים לצרכי הלקוח הספציפי המגיע. המפגשים מועברים על ידי מומחי התוכן המובילים ובמידת הצורך מוזמנים המומחים גם ממדינות שכנות. במקרה שלנו הוזמנו שני מומחים מגרמניה ומומחה מאנגליה שטסו לאמסטרדם במיוחד על מנת להעביר הדרכות. לשמחתי השתתף באירוע, ב tele-presence  ולא פיזית באתר, גם Neto from Brazil התותח שהעביר דמו חי של 3 שרתי Oracle RAC המקושרים למערכת NetApp AFF בתצורת Metro Cluster – מערכת המספקת בפועל 200,000 IOps ומסוגלת להתמודד באופן אוטומטי ומיידי עם נפילה של אתר שלם! דמו חי! של נטו מברזיל! לא יודע אם כולכם מתרגשים מספיק אז אני אחזור על זה, דמו חי! של נטו מברזיל! אגב מי מכם שלא מכיר את נטו, מוזמן לצפות בקישור הבא בדמו המגניב של data-fabric שנטו העביר בכנס ה insight בשנה שעברה.

תצורת Metro-Cluster היתה אחד הנושאים עליו דברנו במהלך הביקור וזו הזדמנות טובה להזכיר על מה מדובר. תצורת Metro-Cluster מאפשרת לחלק את מערכת האחסון בין שני אתרים הממוקמים במרחק של עד 300 קילומטר אחד מהשני. השילוב בין טכנולוגית Clustered Data ONTAP ותצורת Metro-Cluster מספק גמישות להטמעה של עד 8 בקרים, 4 בכל אתר, ולהשתמש בכולם כמערכת אחת עוצמתית ושרידה. החלק הכי חשוב בשילוב הזה הידוע בשם החיבה MCC או Metro-Cluster Clustered ONTAP הוא שימור כלל יכולות NetApp FAS כולל snap shots, deduplication compression, compaction, snap mirror, snap vault, cifs, nfs, fc, iscsi, הכל הכל נשאר נכון ורלוונטי ופועל גם בתצורת Metro-Cluster, וזה נכון גם למערכות AFF או All Flash FAS, גם למערכות היברידיות וגם למערכות בעלות דיסקים מסתובבים בלבד, למעשה זה החלק הכי חשוב בפתרון והיתרון הטכנולוגי הכי משמעותי של תצורה זו, מבחינת מנהל המערכת, מרגע שהסתיים תהליך ההטמעה הראשוני, שום דבר לא נראה שונה או מתנהג שונה בניהול היום-יומי של שירותי המידע אותם מספקת מערכת האחסון בארגון וכלל השילובים האפשריים עם הפלטפורמה הרחבה יותר של ה Data-Fabric נשמרים.

אין הרבה יצרנים שמציעים את האופציה הזו בכלל. יש יצרנים המציעים תצורה של geo cluster עבור SAN  בלבד, יש יצרנים המציעים תצורה דומה באמצעות כלים חיצוניים למערכת האחסון עצמה, אין עוד מוצר בשוק למיטב ידיעתי, המאפשר תצורה שרידה עבור כלל הפרוטוקולים כלל היכולות וכלל סוגי הדיסקים באותו הקלאסטר.

בדוגמא המתוארת מטה אנחנו רואים מערכת בעלת 4 בקרים, זוג בכל אתר. כפי שניתן לראות, הדיסקים מחולקים לשלושה פלקסים (Plex). פלקס הוא למעשה Aggregate המחולק על פני שני האתרים. כל פלקס מחולק לשני חלקים זהים לחלוטין בכמות גודל וסוג הדיסקים. כל כתיבה מתבצעת בו זמנית אל שני חלקי הפלקס ובכך מושגת השרידות, כל בלוק נכתב בו-זמנית פעמיים במערכת האחסון, פעם אחת באתר א' ופעם שניה באתר ב'. צריך לשים לב לדגש על הכתיבה בו-זמנית, אין כאן כתיבה לצד אחד ואז רפליקציה לצד שני. עובדה זו היא הגורם למגבלה על מרחק פיזי בין האתרים, על מנת לאפשר כתיבה בו זמנית לשני הצדדים ללא LAG ביניהם וללא פגיעה בזמני התגובה של המערכת כולה.

4-node

ההבדל בין הצבעים המסמנים את הפלקסים בא להראות את האפשרות לבצע בעצם סנכרון דו-כיווני, שני הפלקסים הכחולים פעילים באתר A ומחזיקים העתק באתר B. הפלקס הירוק פעיל באתר B ומחזיק העתק באתר A.

כלל רכיבי הפתרון מקושרים זה לזה באמצעות מינימום של שני קישורים שרידים וכמות הקישורים הכללית בפתרון עולה בהתאם לדרישות הסייזינג של הפתרון, ככל שמערכת האחסון מוטה כתיבות כך רוחב הפס הנדרש לכתיבה בו-זמנית בין האתרים גבוה יותר (הגיוני אבל צריך לצין בכל אופן J). על מנת לאפשר שימוש בקישוריות FC למדפי SAS  נעשה שימוש בממירי ATTO, זוג לכל SAS Stack.

הערה מעניינת – תחת אותה מערכת אחסון כלומר תחת אותו הקלאסטר, ניתן לערב מערכות All Flash ומערכות היברידיות וניתן לשלב גם Aggregates שאינם מסונכרנים בין האתרים ובכך ליצור כמה רמות שונות של SLA הן מבחינת רמת הביצועים והן מבחינת רמת השרידות וההגנה על המידע. מנהל המערכת יכול לשלב ולנייד את עומסי העבודה שלו בהתאם לצרכי הארגון המשתנים ללא פשרה מחד וללא אילוץ שדוחק אותו למעלה מאידך. גמישות היא שם המשחק והמערכת כולה יכולה להיות מגובה באמצעות Snap Vault, מרופלקת לאתר שלישי באמצעות Snap Mirror (או לענן) וכו"'.

מבנה המערכת מאפשר להתמודד באופן אוטומטי ומיידי עם נפילה של דיסקים, מדפים שלמים, בקרים, קווי תקשורת ואתרים שלמים, הפריסה הגיאוגרפית הרחבה מבטיחה גם הגנה מפני אסונות בקנה מידה נרחב כמו סערות החורף הקיצוניות שגרמו להשבתות ארוכות של חוות שרתים שלמות כמו שאירע לא מזמן לחווה שלAmazon  בסידני, אוסטרליה.

אחד האתגרים הגדולים במערכות המוטמעות בתצורת geo cluster כלומר, מערכות מבוזרות גיאוגרפית, הוא האתגר הנקרא split brain. Split brain הוא הכינוי למצב בו כלל הבקרים פעילים באופן מלא אך נפילת תקשורת בין האתרים גורמת לכך שהבקרים אינם מודעים למצב אחיהם, השותפים בקלאסטר. NetApp מספקת ללא עלות רכיב תוכנה פשוט הנקרא Tie Breaker המיועדת להטמעה באתר שלישי בעל קישוריות IP פשוטה לשני האתרים הפעילים, אתר שלישי זה יכול להיות משרדי הלקוח, שירות ענן של אמזון או כל מקום אחר. כל תפקידו של ה Tie Breaker הוא לדווח לבקרים על הסטטוס של השותפים ולעדכן אם יש צורך בביצוע fail over או שמדובר רק בבעיה בקווי התקשורת והכל תקין למעשה באתרים עצמם. במקרה ואכן הבעיה היא רק בקווי התקשורת, כלל הרכיבים ממשיכים להתנהל כרגיל ועם חידוש הקשר יבוצע באופן אוטומטי סנכרון מחודש על מנת לחזור לרמת ההגנה המובטחת.

לסיכום אני רוצה לחזור על נושא הפשטות, פתרון Metro Cluster של NetApp מאפשר ליישם את כלל יכולות NetApp FAS/AFF ולהשתלב עם כלל הפלטפורמה של NetApp Data-Fabric גם בפריסה גיאורפית נרחבת ובתצורת Active/Active מלאה. מקווה שהיה לכולכם מעניין ואם לא אז לפחות הרווחתם טיפים על אמסטרדם

שלכם,

ניר מליק

Café De KLos – Kerkstraat 41, 1017 GB Amsterdam, The Netherlands

Barbeque Castell – Lijnbaansgracht 252-254, 1017 RK Amsterdam, The Netherlands

stack

פגישות מכירה וראיונות עבודה – טכניקה והכנה הם המפתח!

השבועות האחרונים היו עמוסים מהרגיל, אני מראיין מועמדים לצוות שלי. ראיון עבודה דומה לפגישה עם לקוח, בשני המקרים אנחנו רוצים למכור משהו. בשני המקרים אנחנו רוצים ראשית למכור את עצמנו.

יותר מדי אנשים מגיעים לא מוכנים לראיון עבודה ואני ממש מתבאס עבורם. ברור שחלקם מוכשרים, על חלקם קיבלתי המלצות ואת חלקם הקטן אפילו הכרתי באופן אישי לפני הראיון הראשון. אנשים מוכשרים עם הרבה נסיון בעבודה עם לקוחות ובתפקידים דומים, לא מתכוננים לראיון העבודה ואני תמיד שואל את עצמי אם לפגישה עם לקוח הם היו מתכוננים טוב יותר או שגם בפגישות כאלו הם מאלתרים ומקווים לטוב. צריך לזכור את הדמיון בין שני האירועים. פגישה עיסקית שהתכוננת אליה תהיה טובה יותר וכך בדיוק גם ראיון עבודה. בשני המקרים יש משימה שצריך להתכונן אליה, להחליט מראש מה רוצים להציג, מה הדרך הנכונה להציג, אילו שאלות עלולות להיות מוקש ומה תהיה תשובה טובה שתאפשר לפרק את המוקש, מה התחושה שאני רוצה ליצור אצל המראיין או הלקוח והאם מסרים שליליים, FUD, יקדמו את השגת המטרה או יפגעו.

be prepared

הכנה של מסמך מלווה, מצגת ללקוח כמו גם מסמך קורות חיים, היא טכניקה שמטרתה לשרת אותנו, לקדם את המסר אותו אנחנו רוצים להעביר. טעות נפוצה אצל רבים היא העמסה של המסמכים שלהם בהרבה מאד מידע שנראה להם מרשים. בין אם מדובר במצגת ובין אם מדובר בקורות חיים, המסמך אמור לעזור למציג ולא לכבול אותו. יש לברור את עיקרי הדברים וככל שמעמיסים יותר מידע יש יותר סיכוי להכניס מידע טפל שיכבול אותנו ויסרבל את הדיון.

לפעמים אין ברירה, המצגת הוכנה על ידי מישהו אחר בארגון או התקבלה מגורם חיצוני ואז חובה לעבור עליה ולבדוק מראש כל מילה או ראשי תיבות שאנחנו לא מכירים. הסיבה לכך פשוטה מאד, אם אני לא מכיר, חובה להניח שגם הלקוח לא מכיר. והוא ישאל. ואני אגמגם. והוא יתבאס. ואני אתבאס. אם בקורות החיים שהגשת כתוב MPLS  ואתה לא יודע שזה multi-protocol label switching, הורדת לעצמך את הסיכוי להגיע לשלב הבא בו ניתנת לך הזדמנות להסביר מה זה MPLS ומה עושים עם זה. אם אתה לא יודע את ראשי התיבות BGP או OSPF, הורדת לעצמך את הסיכוי להגיע לשלב הבא בו ניתנת לך ההזדמנות להסביר מתי תבחר ב border gateway protocol ומתי עדיף להשתמש ב open shortest path first ולהוכיח שאתה מסוגל לנהל שיחה אינטליגנטית בנושא זה עם לקוח פוטנציאלי.

לא מזמן ראיינתי מועמד לאחר שקיבלתי עליו המלצות טובות. הראיון הראשון היה מוצלח. בשלב השני המראיין היה מישהו אחר בארגון, בכיר ממני, ששאל את המועמד במה הוא מתמחה. למועמד לא היתה תשובה. לאחר דקה של שתיקה הוא ענה שהוא לא מומחה באף תחום. דיברנו אחר כך, שיחה פחות נעימה שכן אמרתי לו שהוא לא עבר את השלב השני ולא נתקדם. הוא אמר שהוא לא רצה להישמע יהיר ושתמיד יש עוד מה ללמוד גם בתחום שאתה טוב בו מאד. האמירה הזו נכונה אבל כבר לא רלוונטית, מה שהוא היה אמור לעשות זה להגיד אותה בראיון, משהו בסגנון "תמיד יש עוד מה ללמוד ואני לא רוצה להישמע סתם יהיר ולהגיד שאני מומחה בתחום אחד ספציפי אבל אני שולט ברמה טובה מאד בכל הנושאים עליהם דיברנו עד עכשיו ויש לי גם יכולת ליצור פתרון מלא ומקיף\ יכולת בין אישית טובה\ יכולת ליצירת קשר אישי מעולה עם הלקוח".

ראיונות עבודה אמורים להיות קשים, הרבה פעמים נשאל עוד שאלה ועוד שאלה עד שנגיע לנקודה בה המועמד יוצא משיווי משקל. המטרה היא לא להיות רשעים ולהכשיל מועמדים, המטרה היא לראות איך המועמד יתנהג כשדבר כזה יקרה לו עם לקוח. תמיד נמצא לקוח שבקיא בתחום מסוים יותר מאיתנו, איך נתנהג? האם נמציא תשובה? נשתוק? תשובה כמו "אני לא יודע אבל אני רושם לעצמי לברר ואחזיר לך תשובה עוד היום" היא תשובה מקובלת ומקצועית ועדיפה על פני שקר או שתיקה. לפעמים האמת לא נוחה לנו, לפעמים הלקוח שאל שאלה שאנחנו יודעים את התשובה עליה אבל אנחנו גם יודעים שהתשובה הפשוטה לא תקדם את המטרה לשלמה באנו, איך נגיב? איך נגיב בראיון עבודה כשיבקשו מאיתנו לשמוע על תכונה שלילית? ברור שזו שאלה שחוקה, עייפה ושכולנו פרפקציוניסטים ולפעמים זו גם תכונה שלילית כי היא גורמת לנו לרדת מאד לפרטים ודקויות (בחייאת אל תגידו פרפקציוניזם) אבל השאלה הזו נותנת למי שהתכונן אליה בדיוק את ההזדמנות להוכיח שהוא התכונן, שהוא יודע לדבר גם על משהו לא נוח אבל באופן מחמיא, משהו בסגנון "בעבר העירו לי שאני לפעמים X  אבל מאז שאני מודע לעובדה שככה אני נתפס, אני עובד באופן אקטיבי לשנות את זה ולראיה אמרו לי לאחרונה שאני הרבה פחות X  מבעבר".

FUD  fear, uncertainty, doubt – ראשי תיבות אלו מקובלים כציון אמירה של מתחרה מסוים כנגד המוצר או הפתרון של מתחרה אחר, לפעמים זו אמירה שגויה או שגויה בחלקה ולפעמים זו אמירה נכונה לחלוטין אבל מתייחסת לנקודה מאד שולית ומציגה אותה באור מאד עוצמתי כאילו על נקודה זו תלוי הפתרון כולו. המקבילה ל FUD ביידיש היא "אוט אר גזוקט" – "אז הוא אמר", צריך תמיד לזכור שיש סיבה שמתחרה אמר מה שאמר, ברור שהוא רצה לזרוע פחד וספק בלב הלקוח ו"על הדרך" לצבור לעצמו ניקוד חיובי, גם אם מדובר על ניקוד חיובי בנושא שולי, תחום לא רלוונטי או סתם מוצא מהקשרו. רבים בתחום הפריסייל מסביב לעולם מאמצים באופן יזום ומוצהר גישה של #NoFUD, גישה לפיה תמיד עדיף להגיד משהו חיובי על עצמך מאשר משהו שלילי על מתחרה. מודה שלאחרונה צייצתי משהו שלילי על מתחרה ואני לא גאה בזה אבל כן, לפעמים אדם עושה משהו רק בשביל הסיפוק הרגעי. בסיטואציה עיסקית, התנהגות כזו היא התנהגות פסולה, לקוחות רבים מציינים זאת בפה מלא כהתנהגות לאחריה מתחרה הנוקט בגישה שלילית, לעומתית, שכזו, לא מוזמן יותר לשולחן הדיונים.

גישת #NoFUD שכזו היא גם הגישה הנכונה לראיונות עבודה. מרואיין שמדבר על מקום העבודה הנוכחי שלו בגוף שלישי "הם" לא מוכיח לויאליות רבה או הרבה כבוד עצמי על העבודה שעשה עד הנקודה בה אנחנו נמצאים, מועמד שמדבר בלשון בוטה ואגרסיבית על מעביד לשעבר מוריד לעצמו ניקוד כי המראיין חושב לעצמו שככה ידבר עליו המועמד אחרי כמה זמן. גם לנושא זה ניתן וצריך להתכונן מראש. הגעתי לראיון העבודה בחברה הנוכחית עם בטן מלאה על המעביד הקודם שלי אבל בפגישה עיסקית כמו בראיון עבודה, אין יותר מדי מקום ל"לכלוך" על המתחרה ולכן מה שצריך לעשות זה להכין בלב רשימה של כל הדברים שמפריעים במקום העבודה הנוכחי ולציין אותם כנקודת חוזקה פוטנציאלית במקום העבודה החדש. דוגמאות? בשמחה! אם למשל במקום העבודה הנוכחי מעסיקים אתכם רק בעבודה מול לקוחות קטנים ומשעמים, כדאי להגיד משהו כמו "אני מאד מעוניין להתקדם לארגון שיתן לי חשיפה גדולה יותר ללקוחות בתחום האנטרפרייז". אם במקום העבודה הנוכחי יש לכם בעית תקשורת עם המנהל הישיר אפשר להגיד משהו כמו "שמעתי מלקוח משותף שאתם מאד תומכים בעובדים שלכם ושמקבלים מהם תמיד תחושה חיובית". ברור לכולם שמשפטים אלו הם לפעמים חרטא אחת גדולה ולפעמים מגיעים לראיון עבודה פשוט כי מחפשים לברוח ממקום עבודה קשה ולא מתגמל אבל מראיינים לא רוצים לשמוע את זה, אף לקוח לא רוצה לשמוע שאתם מוכרים לו מערכת בינונית ושהוא בעצם לקוח כל כך קטן שאתם לא מאמינים שאתם מתעסקים איתו!

לסיכום, כשאנחנו מתכוננים לפגישה עסקית, כמו גם לראיון עבודה, כדאי להקפיד על כמה צעדי הכנה שישפרו את הסיכוי לתוצאה חיובית מבחינתנו, ברשותכם אפנה לז'רגון צבאי אליו אני בורח כשאני רוצה להישמע חשוב:

  1. "דבקות במשימה לאור המטרה" – פגישה, כמו גם ראיון עבודה, היא משימה כמו כל משימה, צריך להתכונן ולקבוע מטרה לאורה מתכווננים ומתכוננים, אין טעם להכין מצגת על אחסון לפגישה בנושא תקשורת. אפשר וכדאי להתאים את מסמך קורות החיים שלכם למשרה הספציפית עליה אתם מתמודדים ובחו"ל רווח הנוהג להכין cover letter, מסמך מלווה לקורות החיים שנתפר למידותיו של מעסיק פוטנציאלי
  2. "קשה באימונים קל בקרב"- חובה להכין שיעורי בית, אם הפגישה היא בנושא VDI חייבים למשל לדעת מה ההבדל בין persistent ובין non-persistent, שליטה במושגי יסוד וז'רגון היא חובה ולא רשות והרבה יותר קשה "לעקוף" אותם בשיחה בלי להישמע חסרי הבנה בתחום
  3. "סיור מקדים" – חובה לסמן מראש נט"בים (נקודות טורפה בטיחותיות) ולהכין להם מענה- למה אתה עוזב את מקום העבודה הנוכחי? למה אתה לא מועסק כרגע? למה עברת הרבה מקומות עבודה בשנים האחרונות? אלו שאלות שיעלו בראיון, אל תאלתרו עבורן תשובות במקום, הן לא אמורות להפתיע אתכם אם קורות החיים ששלחתם אכן קרו לכם באמת
  4. "מה שעשינו ב48" – נכון, לא בדיוק ז'רגון צבאי אבל תופס כאן בכל אופן, צריך להכין סיפורי הצלחה, לקוחות ומראיינים אוהבים שמספרים להם איך ואיפה הצלחתם בעבר, איפה ביצעתם כבר פרויקט גדול ומרשים בהצלחה? איפה כבר נתקלתם באתגר כמו זה הצפוי ללקוח שלכם? איפה כבר ביצעתם משימה דומה למשימות שצפויות לכם בתפקיד עליו אתם מתמודדים? זה לא חייב להיות 100% מקרה זהה אבל זה צריך להיות משהו מספיק קרוב בשביל להעביר את המסר שאתם יודעים לחשוב תוך כדי תנועה ולהתאים עצמכם לאתגרים חדשים
  5. "עלי קרב" – רוח לחימה או לפחות חיוך קטן וגישה חיובית תמיד עוזרים, גם שיחה קשה יכולה להיות חיובית ואם אתם עוסקים במכירות ככל שהיא יותר קשה ככה יותר צריך להשתדל להשאיר אותה חיובית ועם הפנים קדימה לקראת פתרון

בהצלחה לכולנו בעסקים ובהתמודדות על משרות חדשות!

חלפון

שלכם,

ניר מליק

מיני פוסט – google takeout

מיני פוסט – google takeout

לא, למרות השם, זה לא פוסט על שירות חדש מבית גוגל להזמנת אוכל.

לאחרונה אנחנו עוסקים הרבה בשני נושאים שיש להם השקה מסויימת. הראשון הוא מחשוב ענן והשני הוא ransomware, תוכנות הצפנה זדוניות המצפינות את המידע על מחשבים נגועים.

המשותף לשני הנושאים האלו הוא שלפעמים יש צורך להוציא את המידע משירות הענן אליו העברנו אותו. נגעתי בנושא כשדיברתי על ה Data Fabric של NetApp ואיך סט הכלים הזה עוזר לארגונים להתכונן מבעוד מועד ליום בו הם ירצו לעבור מתשתית ענן אחת לאחרת או להתכונן לנפילה של תשתית ענן. אם Data Fabric מדבר על ארגונים, הפוסט הזה מדבר על המשתמש הפרטי, על כל אחד מאיתנו בבית. איך אנחנו יכולים להתכונן ליום בו יש לנו סיבה להוציא את כל המידע שלנו משירות הענן אליו גיבינו אותו.

הסיבות יכולות להיות מאד מגוונות, אחת הסיבות למשל יכולה להיות שינוי מדיניות של ספק השירות. מיקרוסופט שינתה לאחרונה את הקצאת הנפח למשתמשי OneDrive ורק לאחר מחאה קולנית ברשת השאירה את המשמשים הקיימים ללא שינוי. סיבה נוספת יכולה להיות פשוט מאד סגירה של שירות מסויים. שירות geocities של Yahoo! היה שירות חינמי פופלרי להקמה קלה של אתרי אינטרנט ובלוגים, שניסגר והשאיר משתמשים רבים מסביב לעולם ללא אכסניה לתוכן שלהם. סיבה שלישית יכולה להיות השחתה של התוכן המגובה עצמו. כל פתרון ואופי העבודה שלו אך השירותים המבוססים על סנכרון ולא על גיבוי* חשופים להצפנה או השחתה של המידע המרוחק במקרה של הצפנה או השחתה של המידע המקומי.

העיסוק בתחומים אלו גרם לי להתחיל לחשוש למידע האישי שלי. אני לקוח מאד מרוצה של שירותי גוגל המוענקים כיום בחינם. יותר נכון לדייק ולהגיד שהם מוענקים ללא עלות כספית אך שום דבר לא בחינם ועל פרטיות וסחר במידע יש תשלום אחר שאינו בהכרח כספי. בכל אופן מה יקרה ביום שגוגל יחליטו לגבות כסף על שירות הגיבוי שלהם, יחליטו להקטין את הקצאת הנפח לגיבוי התמונות שלהם או פשוט, יום אחד, כמו כל אימפריה אחרת, יסגרו דלתות?

ובכן כאן באה לעזרתנו האפשרות ליצירת קובץ ארכיון שנקראת Takeout.

ניתן לגשת לכלי הנהדר הזה באמצעות הקישור הישיר https://takeout.google.com או דרך הגדרות המשתמש שלנו תחת האפשרות control your data

control

מה שיפתח הוא תפריט לבחירת כל שירותי גוגל שאנו מנויים עליהם ויש לסמן איזה מידע אנחנו רוצים למשוך

choose

העמוד הבא הוא בחירה של סוג הפלט שאנחנו רוצים לקבל, במקרה שלי בחרתי בקבצי ZIP אבל אפשר לבחור גם tgz או tbz

select

עם לחיצה על create archive גוגל יוצרת פלט של כלל המידע שבחרנו לייצא מהשירותים שלה. שימו לב לשם create archive, אנחנו לא מוחקים את המידע שלנו מתוך גוגל וכלל השירותים ממשיכים לעבוד כרגיל, אנחנו רק מייצרים עוד העתק של המידע כדי שנוכל לארכב לעצמנו אותו במקום אחר למקרה הצורך.

התהליך לוקח בין כמה דקות לכמה ימים, תלוי כמות מידע ותיעדופים של גוגל אבל בסוף התהליך אנחנו מקבלים הודעת מייל עם קישורים להורדה.כמות הקישורים תלויה בכמות המידע, כל קישור מפנה לקובץ zip של כ 2GB. לקישורים יש תאריך תפוגה וזאת משיקולי אבטחת מידע שלנו וגם משיקולי נפח אחסון של גוגל, הם לא רוצים להחזיק כפל מידע שלנו סתם.

done

כל מה שנותר לעשות לאחר שהורדנו את כל הקבצים זה לשמור אותם על דיסק חיצוני במקום בטוח ומדי פעם לחזור על הפעולה כדי להיות מוכנים למקרה בו נהפוך צ'ילבות עם גוגל או ספק השירות שלנו.

שלכם,

ניר מליק

*סנכרון – העתקה חוזרת  המבצעת השוואה בין מקור והעתק

גיבוי – יצירה של העתקים בלתי תלויים במידע המקורי

אין קסמים למרות שסייזינג נראה ככה לפעמים

מייסד NetApp, דייב היץ, כתב ספר נהדר בשם "איך לסרס פר". אני באמצע הקריאה ונהנה מכל רגע. בתחילת דרכה של NetApp התמקדה החברה במערכות NAS זולות. התכנית העיסקית בשלבי הייסוד, עוד לפני גיוס ההון העיקרי, היתה לבנות מוצר אמין זול ופשוט על מנת להתחרות בקטגוריה חדשה בה לא היתה ליצרנים הגדולים והותיקים יותר כל נוכחות. כתוצר לוואי של הפשטות המערכת החדשה של NetApp, היא היתה גם מהירה, מאד מהירה. כל המוצרים המתחרים בשוק היו מוצרים ענקיים, שידעו לטפל במאות ואלפי משתמשים וכללו הרבה מאד פיצ'רים ויכולות אבל לא תוכננו לספק תגובה מהירה לפעולה בודדת. היץ מדמה את נושא הביצועים לאוטובוסים מול מכוניות פרארי. אם אתה צריך להסיע 50 תלמידים לבית הספר אוטובוס הוא פתרון מעולה אבל אם אתה צריך להסיע רק ילד אחר לבית הספר והוא מאד ממהר, אוטובוס יקח אותו לשם באותה המהירות כאילו יש עליו 50 תלמידים לעומת פרארי שתיקח ילד אחד מאד מהר לבית הספר אבל 50 מכוניות פרארי עבור 50 תלמידים זה לא רעיון פרקטי מבחינה כלכלית.

bull

דימוי האוטובוס והפרארי משמש את היץ להסביר את ההבדל בין רוחב הפס, Throughput, ובין זמן התגובה, Latency. אני עובד בחברת ווי-אנקור ואנחנו מוכרים מערכות אחסון של 3 יצרנים עם התמקדות מאד ברורה ומובהקת במוצרי NetApp. לחברת NetApp לבדה 3 קווי מוצר עיקריים של מערכות אחסון וסה"כ 5* מוצרי אחסון שונים, FAS, All Flash FAS, E-Series, All Flash E-Series, SolidFire. מדובר במוצרים שפותחו על ידי שלוש חברות שונות, במקומות שונים בעולם, בשלבים שונים באבולוציה של עולם האחסון ובפניה לקהל יעד שונה לחלוטין. לכולן יש "מגבלה" משותפת, עבור כולן אין מספר זהב, אין תשובה חד ערכית לשאלה "כמה IOps המכונה נותנת". אין קסמים בעולם הזה, אופי הפעולה מול מערכת האחסון משפיע על כמות הפעולות שהמערכת תדע לספק בפועל, קריאה וכתיבה אינן פעולות זהות, פעולה קטנה אינה זהה לפעולה גדולה.

כדוגמא לעבודה ש"מגבלה" זו אינה "מגבלה" של מערכות האחסון של יצרן ספציפי אפשר לחשוב פשוט על רשתות תקשורת. קישור יחיד של 10Gb יכול, באופן די ברור, להעביר מקסימום 10Gb. אם משתמשים ב jumbo frames אז כמות הפעולות שנדרשות להעביר 10Gb קטנה יותר ולכן כל הרכיבים "מתאמצים" פחות אבל רוחב הפס לא עולה. כתוצר לוואי, מה שכן יכול לעלות זו נצילות רוחב הפס הידועה בכינוי Goodput, להבדיל מרוחב הפס, Throughput. רוחב הפס מגדיר את כמות המידע המקסימלית שעוברת בקו בכל רגע נתון, הנצילות מגדירה את כמות המידע האפקטיבי העוברת בקו אחרי שהורדנו Error, discard, re-transmit  וכו'.

דוגמא נוספת היא בעבודה של מעבד בודד, CPU. המדד הנפוץ לעוצמת המעבד הוא מהירות השעון הנמדד ב GHz וכמות הליבות כלומר מעבד של 12 ליבות 3Ghz נחשב חזק יותר מאשר מעבד בעל 8 ליבות במהירות 2.5GHz. לפעמים משמיטים את העובדה שגם כאן, לא כל הפעולות זהות, לא כל פעולות החישוב זהות במורכבותן ויש משימות שלוקחות יותר זמן מאחרות ולכן המדד של מהירות השעון מגדיר כמה המעבד חזק אבל כנתון יחד זה נתון לא מספק לגלות כמה פעולת חישוב נקבל.

cpu

כל המידע הזה רלוונטי כשאנחנו מבצעים אפיון למערכת אחסון, מערכת תקשורת שרתים וכו'. מערכות מבוססות Flash הינן מערכות עתירות ביצועים וכל יצרן שולח את מיטב המהנדסים שלו להריץ את מיטב החומרה שלו במבחני השוואה כדוגמת SPC על מנת לשבור את תקרת ה IOps וה Throughput אבל החכמה מאחורי המבחנים האלו הוא פרסום של סטנדרט הבחינה, המספר מפורסם לצד תיאור של מה בוצע בפועל כדי להגיע למספר הזה וזו כל החכמה כולה. יצרנים שמפרסמים מספרים ללא "מקרא" לא מספרים את כל האמת. אם נחזור לדוגמא של פרארי ואוטובוס ולא נדבר על הדרך לבית הספר אלא על צומת עירונית צפופה. נגיד ששני כלי הרכב חוצים את הצומת באותה המהירות בדיוק, הרי שהפרארי תסיים את חציית הצומת לפני האוטובוס, אורכה שליש מאורכו. המשמעות היא שלא ניתן בפועל לספק את אותו זמן התגובה לשני גדלי בלוק שונים. ניתן לספק זמני תגובה מהירים עד כדי כך שההבדל יהיה זניח או חסר משמעות מבחינה פרקטית אבל הוא לא יהיה זהה.

הדבר נכון גם לכלים בתוך מערכות האחסון, גם לכלי תוכנה יש את אותה "מגבלה", מה שעושים איתם גוזר את התפוקה שלהם בפועל. יחס של ביטול כפילויות למשל, De-duplication, או של דחיסה, Compression, הינו פועל יוצא של סוג המידע המאוחסן. מידע דחוס מראש לא יהיה ניתן לדחיסה ביחס של 1:4 גם בשימוש באלגוריתם דחיסה מאד אגרסיבי, מידע שרובו מכיל תמונות לא יכיל בלוקים כפולים ביחס של 1:6 גם בשימוש באלגוריתם מאד אגרסיבי עם גודל בלוק קבוע או משנה.

אין לי פואנטה מאד מתוחכמת לפוסט הזה, המטרה היעקרית שלי היא לשחרר קיטור אחרי תחרות מאד קשה מול יצרן אחסון חדש יחסית, שמציע טכנולוגיה מאד מעניינת אבל יש לו רק דגם אחד של מערכת אחסון וזו אחת הסיבות שהנציגים שלו מספרים ללקוחות שהמערכת עושה קסמים וכשפים. אולי היא מאד מרשימה אבל קסמים וכשפים היא לא עושה, גם לה יש "מגבלות". אלא אם היצרן המציע מחדש גם את פרוטוקולי התקשורת (הוא לא), גם את אופן הפעולה הבסיסית של מעבדים (הוא לא) וגם את אופן הפעולה הבסיסי של דיסקי SSD (הוא לא), אז לא משנה כמה טובה מערכת ההפעלה שלו, גם לה יש "מגבלות" וגם היא יכולה להוציא מהחומרה רק מה שהחומרה מסוגלת לספק.

אחת הקלישאות היא שהפעולה הכי מהירה היא פעולה שלא מבצעים, זה נכון בהחלט אבל גם לזה יש תקורה מסויימת, מישהו צריך לקבל את ההחלטה שלא לבצע את הפעולה וההחלטה היא גם פעולה, גם אם היא פעולה קלה ונעשית in-line, היא עדיין פעולה.

שלכם,

ניר מליק

*ל NetApp יש עוד מוצרי אחסון אבל אלו החמישה שאפשר לקנות כקופסא פיזית מוטמעת מראש

מחשבות בנושא NSX

פעמיים בשנה, במהלך כל השירות הצבאי שלי, מפקד היחידה היה מעביר שיעור לכלל הלוחמים. כל שיעור התחיל באותה דוגמא על סילוני, אחד הלוחמים, שרצה לשמור על הבית שלו והיו לו גדר וכלב שמירה וכל מני אמצעי שמירה אחרים. אחד הלקחים המשמעותיים בשיעור היה העובדה ש"קו המגע לעולם יפרץ". פורץ נחוש מספיק תמיד ימצא דרך לפרוץ אל הבית של סילוני וסילוני חייב להגן גם מבפנים. סילוני גם היה מאד מוטרד מהמנקה שבא פעם בשבוע ולוודא שהיא באה לבד ושהיא אכן מי שהיא אומרת שהיא אחרי הכל לא כל פורץ נראה כמו פורץ וקשת האיומים היא רחבה ומגוונת. זה היה שיעור נהדר על ההבדלים בין טקטיקה ולאסטרטגיה, בין תכנית סדורה לגמישות מחשבתית ובין רצוי למצוי. מאד אהבתי את השיעורים האלו ואני זוכר חלקים שלמים מהם עד היום.

עשור לאחר השירות הסדיר שלי, בערך, קיבלתי את תפקיד איש הפריסייל הראשון שלי בחברת "אינטרנט זהב" שלימים התאחדה עם "קווי זהב" שלימים התאחדה עם "פרטנר". אותם ימים נדמו לי כימים של פריחה בתחום אבטחת המידע, חברות רבות עדיין פעלו כמעט ללא כל אמצעי אבטחת מידע וחלק מהשיחות שלנו עם לקוחות עדיין עסקו בשאלה אם בכלל צריך להתקין חומת אש בארגון, האם יש צורך להשקיע בהתקנת תוכנת אנטי-וירוס טובה ועוד כל מני דיוני בסיס כאלו. מכרנו מאות יחידות חומרה של checkpoint ולצד זאת ביצענו גם לא מעט הטמעות של מוצרים יחודיים יותר כמוצרי One Time Password OTP, מוצרי NAC ופה ושם אפילו דיברנו על חומות אש אפליקטיביות, WAF, למרות שעבור מרבית הלקוחות הישראלים באותה תקופה היו מוצרים אלו יקרים מדי. מרבית הלקוחות הרלוונטיים, לקוחות ה Web,  הבינו את החשיבות של כלים אלו אבל גם עבורם לפעמים העלות הכספית היתה גבוהה ממה שנראה היה להם מוצדק לשלם.

אותם ימים היו גם ימי ראשית הווירטואליזציה בתחום השרתים בארץ. כנסים רבים עסקו אז בהצגה ראשונית של VMware vSphere וכמו רבים מסביבי די נדהמתי כשהדגימו ביצוע vMotion של שרת וירטואלי בין שרתים פיזיים תוך שידור של סרט באיכות גבוהה מבלי שהסרט אפילו מגמגם (נדמה לי שזה היה "רובוטריקים").

עבר עוד עשור מאז, וירטואליזציה של שרתים היא כבר הסטנדרט בתעשייה ומרבית השרתים בעולם הם שרתים וירטואליים, וירטואליזציה של מערכות אחסון אינה חידוש אמיתי ואפילו וירטואליזציה של רשתות תקשורת היא מושג מאד ותיק לכל מי שמכיר רשתות Multi-Protocol Label Switching MPLS או Virtual Route Forwarding VRF. גם בתחום אבטחת המידע חלו שינויים מרחיקי לכת. ראשית, כמו שמפקד פלוגת מפקדה הוא היום מפקד הפלוגה הטכנו-לוגיסטית, גם תחום אבטחת המידע שינה לעצמו את השם לתחום ה"סייבר". שנית, באופן קצת יותר מהותי, גם תעשיית ה IT הפנימה ש"קו המגע לעולם יפרץ". אם בעבר חומת אש בנקודת הכניסה לרשת ותוכנת אנטי-וירוס על השרתים ותחנות הקצה היו מערך אבטחת המידע כולו, היום ברור כי מערך אבטחת המידע חייב להיות מערך רב שכבתי הכולל כלי בקרה וניטור, כלי תגובה וכלי ניתוח ושכמו תמיד, עדיין ולמרות הכל, מתקפות רבות מתרחשות בתוך ומתוך הארגון ובתוך הסביבה קשה כיום לראות ולהכיל אותן.

כחלק מהאבולוציה בעולם אבטחת המידע, מתפשטת התפיסה הנקראת Trust No One לפיה אין יותר חלוקה של הרשת הארגונית לאזורים בטוחים או מבודדים. כל שרת, מכונה ומשתמש הם סכנה פוטנציאלית ברשת, גם לאחר הזדהות בכניסה ועמידה בתנאי הסף לשימוש ברשת כמו עדכניות תוכנות ההגנה וכו'. על מנת ליישם תפיסה זו בפועל, יש צורך בעדכון טופולוגית הרשת שכן, עד היום, מרבית כלי השליטה והניתוח היו עיוורים לנעשה בתוך התת-הרשת, בתוך ה VLAN. מרבית כלי הניתוח והשליטה פעלו במעבר בין תת הרשתות, רק כאשר שרת פונה אל שרת ברשת אחרת התעבורה נבדקת בחומת האש או מתג הליבה.

פתרון NSX של חברת VMware (באמצעות רכישה של חברת Nicira) הינו פתרון וירטואליזציה של רשתות תקשורת. הפתרון עושה שימוש בטכנולוגית  vCloud Networking and Security vCNS ו"רוכב" על virtual distributed switch. באמצעות NSX, כל שרת פיזי, Host, כולל באופן מובנה בתוך תשתית הווירטואליזציה, Hyper-Visor, גם מתג Layer-2, נתב Layer-3, חומת אש וכלי איזון עומסים Load Balancer. כתבתי למעלה שווירטואליזציה של רשתות תקשורת היא לא רעיון חדש והיא לא אבל היישום של NSX, ש"עולה" רמה אל תוך תשתית הווירטואליזציה הוא חידוש מאד משמעותי. כלל האכיפה והבקרה מתבצעות בצמוד לכל שרת וירטואלי, אין צורך במעבר של Session כל הדרך אל כרטיס הרשת הפיזי של השרת המארח, דרך המתגים ועד לחומת האש לביצוע אכיפה.

הפתרון מאפשר למעשה ליצור תת רשת לכל שרת וירטואלי ולכל שרת וירטואלי סט הגדרות המוצמדות אליו ועוברות איתו בין שרתים מארחים ואפילו בין סביבות כולל במעבר לDatacenter אחר, במידה וגם בו מוטמע NSX כמובן. תצורה זו נקראת בשם Micro-Segmentation היות ויחידת הבקרה שלנו משתנה, מישור הייחוס שלנו אינו עוד VLAN אלא פנים ה VLAN, אנו מודעים עכשיו גם לנעשה בין שני שרתים וירטואליים ה"מדברים" ביניהם על גבי אותו שרת מארח, בלי אפילו לצאת למתג החיצוני, "שיחה" שבעבר היתה בדרך כלל חומק מהרדאר נאכפת ומנוטרת במלואה כיום.

eastwest

כפי שניתן לראות בתמונה מעלה, בעבר, גם שני שרתים וירטואליים על אותו שרת מארח היו צריכים לפנות אל חומת האש ולעבור 6 תחנות בדרך, hope, ואילו שימוש ב NSX מאפשר תקשורת ישירה ללא כל Hope ללא ויתור על סט החוקים המנוהל על ידי חומת האש הארגונית.

פתרון NSX הוא לא אי בודד בים ולא מוצר אבטחת מידע עצמאי אלא פתרון תשתית המאפשר eco-system שלם, שיתוף הפעולה בין VMware ויצרני אבטחת המידע והתקשורת המובילים בעולם מאפשר התממשקות בין תשתית ה NSX  למוצרי Palo-Alto, Checkpoint, F5 ואחרים כך שכל ארגון המטמיע פתרון NSX יכול להמשיך ולבחור את הכלים הטובים ביותר בעיניו בשיטת Best of Breed. אם למשל ארגון בוחר להטמיע חומת אש של חברת Palo-Alto, כלל בסיס החוקים והחכמה מנוהל על ידי חומת האש אך האכיפה בפועל מתבצעת על ידי NSX. תוצר נוסף של יישום פתרון בצורה זו הוא חסכון משמעותי בתעבורה בתוך חדר השרתים ועומס מופחת על חומת האש עצמה.

nsxecosystem

מעבר ליכולות אבטחת מידע, הזכרתי גם את נושא המיתוג והניתוב. על ידי שימוש ב virtual distributed switch עם יכולות Layer-2 ו layer-3, מאפשרת תשתית ה NSX גמישות ודינאמיות רבה בהגדרת רשתות התקשורת. למעשה, אנו יכולים להגדיר את רשת התקשורת בתוך חדר השרתים כרשת שטוחה ברמה הנמוכה, רמת המתגים, וכלל הגדרות הסגמנטציה של הרשת מתבצעות ברמה הגבוהה, רמת תשתית הווירטואליזציה hyper-Visor. גם במעבר בין רשתות וטווחי כתובות NSX יוצר את סט החוקים באופן יחידני, Ad-Hoc, על מנת לאפשר תעבורה במידה והיא מורשית על ידי סט החוקים.

פתרון NSX הוא יישום מרשים ויעיל לרעיון קיים. וירטואליזציה של רשתות תקשורת היא לא רעיון חדש אבל היישום הזה מאד מרשים, היכולת להקים ולהוריד מאות סביבות ולרבב סביבה אחת בתוך סביבה שניה רלוונטית לחתכי לקוחות מסויימים, ספקי שירות או סביבות מעבדה גדולות למשל. גם לקוחות המקימים ומעדכנים באופן תדיר סביבות לימוד והדרכה יכולים להנות מהפרדת רשתות והקמה של סביבות בלחיצת כפתור, בשילוב עם פתרון vRealize Automation. היכולת לבצע הפרדה מלאה של סביבות, micro segmentation או guest isolation היא יכולת שרלוונטית לכל לקוח שמבין שמתקפות יכולות לבוא גם מתוך הסביבה ולהתפשט בתוך מה שעד היום היה נחשב, בטעות, כאזור מוגן ומאובטח. קו המגע לעולם יפרץ.

השרטוט מטה מראה את ההבדלים ברישוי בין הגרסאות, הדגשתי באדום את החלק הכי חשוב לדעתי. לא משנה איזו רמת רישוי נרכוש, היא תכלול את יכולת Distributed switching and routing שהיתה עד היום כלול רק ברישוי vSphere ברמות רישוי גבוהות ויקרות ולכן יכולת זו היתה חסם עיקרי לאימוץ פתרון NSX על ידי לקוחות בעלי סביבות פשוטות, קטנות או אילוצי תקציב אגרסיביים. פתרון NSX מתקרב בעדכון רישוי זה לחתך מאד רחב של לקוחות שעד היום נאלצו לוותר למרות הבנה של הצורך

nsxlic

שימוש נוסף ומאד מעניין לפתרון NSX הוא בעולם של שרידות מרובת אתרים. חברות רבות מציעות מערכות אחסון בתצורת active/active geo-cluster. נציין את NetApp Metro-Cluster או IBM SVC כדוגמא. פתרונות אלו מאפשרים ללקוחות להקים תשתית אחסון שרידה בין שני אתרים פיזיים ופתרון NSX מפשט את הקמת תשתית השרתים שמעל למערכות אחסון אלו. אם בעבר היתה חובה להקים תשתית layer-2 על מנת לשמר את טווח כתובות ה IP של השרתים בדילוג בין חדרי השרתים, כיום ניתן באמצעות NSX ל"ייצר" תשתית Layer-2 מעל תשתית Layer-3 כמעט ללא הכנה מוקדמת ובכך לפשט מעבר שרתים בין האתרים באופן חלקי או מלא.שרת וירטואלי "לוקח איתו" את סט החוקים וההגדרות שלו והתשתית תספק לו את כלל הקישוריות הנדרשת. כמובן שהפתרון נתמך באופן מלא על ידי פתרון הניהול Site Recovery manager SRM על מנת לבצע בלחיצת כפתור את תהליך המעבר בין האתרים אך התהליך פשוט מאי פעם.

לסיכום, מפת האיומים על הבית של סילוני מורכבת ודינאמית מאי פעם אך גם הכלים שעוזרים לו להתמודד משתפרים והופכים עם הזמן לזמינים יותר, זולים יותר ופשוטים יותר להטמעה. אני אוהב את VMware NSX. הפתרון יחסית פשוט להטמעה, נותן מענה למגוון צרכים ואתגרים ובניגוד לעבר גם מתומחר באופן הגיוני.

 

שלכם,

ניר מליק

אבטחת מידע בסיסית – התגוננות אישית

disclaimer

אני לא מומחה אבטחת מידע, זה לא תחום העיסוק העיקרי שלי, אבל אני חושב שיש כמה דברים פשוטים ובסיסיים ששווה להזכר בהם, לחזור עליהם, כי הם לא נוגעים למערכות יקרות ומורכבות להטמעה אלא לכמה דברים פשוטים שישפרו משמעותית את אבטחת המידע האישית שלנו ושל הארגונים בהם אנו עובדים, ששווה ליישם אותם בעצמנו ולספר עליהם לסובבים אותנו, גם לשכנים הפחות טכניים מאיתנו, כדי שידעו ממה להשמר ואיך להשמר גם בלי להיות בעצמם מומחים גדולים לאבטחת מידע, בלי "להסניף פאקטות" או לכתוב שורות קוד אל תוך הלילה.

אני חוזר ומבהיר שאין לי כאן יומרה בפוסט הזה לכסות את כל הנדרש לאבטחת מידע ברמה של ממשלות או ארגוני ביון אלא כמה עיצות כלליות למשתמש הפשוט, דברים שכל אחד מאיתנו יכול ליישם בעצמו כדי לשמור על עצמו ועל המידע שנגיש לו.

הזדהות חכמה

ראשית, אני ממליץ לכל מי שעוד לא ביצע זאת, לעצור את הקריאה ולהפעיל את יכולת הזיהוי הכפול, 2 factor authentication, בכל שירות שתומך בכך, המהדרין יטענו שזה הזמן גם לשקול לשלילה המשך שימוש בשירות שאינו תומך בכך.

יכולת ההזדהות הכפולה מחייבת אותנו לבצע הזדהות באמצעות שני אמצעים שונים. האמצעים הנפוצים ביותר כיום הוא הססמא שלנו ("something you know") ומספר חד פעמי הנשלח אל הטלפון הנייד שלנו ("something you have"). הרעיון הוא להקשות על פורץ לפרוץ אל החשבונות שלנו. אם הפעלנו יכולת הזדהות כפולה, לא מספיק עכשיו לנחש מה הססמא שלנו אלא גם לגנוב את הטלפון הנייד שלנו כדי להשתמש במספר החד פעמי שנשלח אליו בעת התחברות ולאחר הקלדת ססמא נכונה.

דוגמאות:

עבור כלל שירותי גוגל ניתן להכנס לקישור הבא ולהפעיל את האפשרות – https://www.google.com/landing/2step/

עבור שירות לינקדאין יש להעמיד את סמן העכבר מעל תמונת הפרופיל על מנת לחשוף את האפשרות Privacy & Settings

עבור אמאזון יש אל פרטי החשבון, ללחוץ על change account settings, לבחור ב edit ואז ב advanced security settings

ודוגמא אחרונה, עבור הבלוגרים, כאן ב wordpress, יש להכנס לפרטי החשבון, לבחור ב security ולעבור לטאב של Two-Step Authentication

חשוב לזכור, בדיוק כמו ססמא מאובטחת, גם הפעלת הזדהות כפולה אינה חסינה לחלוטין בפני נסיונות חדירה, ראו למשל במקרה כאן בו תוקפים מתחזים לחברת גוגל על מנת לבקש מהמשתמשים את קוד האימות שקיבלו:

http://news.softpedia.com/news/hackers-find-clever-way-to-bypass-google-s-two-factor-authentication-505138.shtml

התחזות ודיוג – קצת תשומת לב

הדבר הבא עליו אני רוצה לדבר הפעם הוא דיוג, Phishing. דיוג הוא נסיון לגניבת מידע על ידי התחזות. בדוגמא מטה מדובר על התחזות לאתר אינטרנט. המטרה היא לגרום לגולש תמים לנדב את פרטי הכניסה שלו לאתר מאובטח. במקרים רבים, שניה נוספת של תשומת לב מספיקה כדי לעלות על נסיון ההתחזות ולמנוע פגיעה, מספיקה שניה אחת של תשומת לב כדי לראות מי מבין אתרי האינטרנט המוצגים מטה הוא אתר של חברת התשלומים paypal ומי הוא אתר מתחזה.

paypal
ניתן לראות בקלות את ההבדל בין שמות האתרים וכי הדפדפן מסמן בירוק בולט כי האתר הינו אתר מהימן. המשמעות היא שלפעמים מאד קל להבדיל ורק צריך לשים לב שבעוד הם נשמעים דומה, microsoft.com אינו מוביל לאותו מקום כ micosoft.com

תשומת לב לפרטים היא לדעתי אחת העיצות הכי טובות בתחום אבטחת המידע האישית. צריך להפעיל הגיון פשוט בכל אינטראקציה ברשת. אם מקבלים למשל הודעת דוא"ל מהבנק והפניה היא אל "לקוח יקר שלנו" במקום פניה אישית אלינו או לחלופין אם הבנק מבקש שנשלח לו בחזרה את הססמא שלנו, צריך לזכור שלבנק שלנו יש הרבה מאד מידע ספציפי שלנו שכל יעודו לאמת שאנחנו מי שאנחנו אומרים שאנחנו ולכן לא הגיוני לא שיפנה אלינו בבתואר כל כך כללי ולא שיבקש מאיתנו לשלוח אליו ססמא שהוא עצמו מנפק לנו.

במיילים מסוג זה בהם אנו מתבקשים לבצע הזדהות כלשהיא, מומלץ שלא ללחוץ על הקישור המצורף בתוך הודעת הדוא"ל אלא לפתוח בעצמנו דפדפן, להקליד את הכתובת הנכונה ולהכנס בעצמנו אל האיזור המאובטח של החשבון שלנו.

בשנתיים האחרונות חלה עליה מאסיבית במקרים בהם נפגע אדם או ארגון מתוכנת כופרה, ransomware, המצפינה את המידע הנגיש כך שהאדם או הארגון מחוייבים לשלוח תשלום יקר על מנת לקבל את מפתח ההצפנה. לעיתים תוכנה זדונית זו מוחדרת אל המחשב ללא מעורבות ישירה של המשתמש בעת גלישה לאתר נגוע למשל, אך לעיתים המשתמש הוא המפעיל הישיר של הקובץ הנגוע, למשל בפתיחת קובץ מצורף בדוא"ל. גם כאן יעזור להפעיל הגיון פשוט. בדוגמא שנתקלתי בה בעצמי לאחרונה, נשלחה הודעה אל רשימת תפוצה כללית של עובדי חברה. ההודעה נשלחה לכאורה מבנק אמריקאי גדול וכללה קובץ מצורף. הנושא היה "זיכוי של $500,000". במקרה זה, הדבר הראשון שצריך לחשוב עליו הוא שבנק אמריקאי גדול המזכה את החברה שלי לא ישלח את הודעת הזיכוי לכלל רשימת אנשי המכירות אלא לאיש או אשת ההכספים המתנהלים מולו ישירות. ברור שהמטרה של השולח היתה לדוג את העובד שיהיה סקרן מספקי לבדוק על מה מזכים אותנו על כזה סכום.

הערת שוליים – ה FBI ממליץ שלא לשלם כופר בשום מצב:

http://www.welivesecurity.com/2016/05/09/fbi-ransomware-extortionists/

ויש כמובן כלים שמנסים להתמודד עם מתקפות כופרה כמו הכלי החינמי הבא –

http://www.pcworld.com/article/3049179/security/free-bitdefender-tool-prevents-locky-other-ransomware-infections-for-now.html

החשיבות של תשומת לב והכירות של כל אחד מאיתנו עם האיומים הבסיסיים הקיימים היא עצומה, מתקפות רבות הינן מתקפות לא מתוחכמות מבחינה טכנולוגית, התחכום מאחוריהן הוא תחכום אנושי, פסיכולוגי, המכוון לתקוף חולשות אנושיות ולא חולשות של מערכות. לאחרונה ראינו עליה במספר מתקפות ממוקדות בהן עובדים בחברה מקבלים הודעות פנימיות, שנראות כמו בקשות מהנהלת החברה, אך למעשה מהוות התקפה שמטרתה לקבל פרטים חסויים על עובדים בחברה. במקרים רבים נעשה שימוש ברשתות חברתיות על מנת לגלות אם מנהל בכיר בחברה נמצא בחופשה והיכן הוא נופש על מנת להוסיף נופך אישי ואמין להודעות התקיפה "אני בהונדורס וקשה לי להתחבר למשרד, תשלח לי בבקשה באופן בהול רשימה של כלל העובדים ופרטי חשבונות הבנק שלהם". דוגמא זו אינה יחודית לעולם העסקים ובשנים האחרונות רואים גם עליה למתקפות על אנשים פרטיים.

כפי שאפשר לראות בדוגמאות מטה, לא מורכב במיוחד להתחזות ברשתות החברתיות ולשלוח סימני מצוקה. כדאי לזכור שחבר שנמצא בכלא בטורקיה לא ישלח הודעה בפייסבוק ושאי אפשר לאתר אף אחד עם צילום של גב כרטיס האשראי שלנו. חובה להפעיל שיקול דעת והכי פשוט זה להרים טלפון. אם המנכ"ל בכנס בפולין סביר להניח שאין לו צורך בהול ברשימת חשבונות הבנק של כלל עובדי החברה, וצריך להפעיל שיקול דעת האם הבקשה הזו הגיונית גם אם הוא יושב לידכם על אחת כמה וכמה אם הוא בכנס בחו"ל.

https://www.theguardian.com/money/2013/nov/13/stranded-traveller-phishing-scam

http://www.motke.co.il/index.php?idr=400&p=2010505

header_33532010505

קלאסיקה מודרנית

מי שטרם ביטל את יכולות המקרו בחבילת ה Office שלו מוזמן לעשות את זה מייד, שימוש במתקפות מקרו היה מאד פופולרי בעשור הקודם והיות וכולנו חשבנו שמה שהיה פעם כבר טופל וחוסל תוקפים רבים משתמשים שוב ביכולת בסיסית זו על מנת לתקוף

https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12

היגיינה אישית

לסיום, אני ממליץ בחום על שימוש בתוכנות אנטיוירוס גם עבור המחשב וגם עבור הטלפון הנייד. התקנת אנטיוירוס על הטלפון הנייד קלה ופשוטה כמו כל התקנת אפליקציה מחנות האפליקציות. יש גם תוכנות חינמיות אך כמובן שזה תחום עיקרי בו לא רצוי להתקמצן וכדאי לקנות רישוי מספק מוכר כמו סימנטק, מקאפי וכו'.

עבור המחשב, כל מערכת הפעלה windows בגרסאות האחרונות כוללת יכולות defender מובנות, לכל הפחות אנא מכם הפעילו יכולת זו. שוב, בהתאם למטרת פוסט זה, כנראה שאם אתם מומחי אבטחת מידע של NSA זה לא הכלי בשבילכם אבל זה באמת מינימום הכרחי עבור מי שלא מתמצא בנושא ולא יודע להתקין תוכנות על המחשב שלו. כדאי מאד להפעיל את הכלי ולדאוג לעדכונים אוטומטיים.

defender

שלכם,

ניר מליק

*עיצה כללית שתמיד טובה כדרך חיים ורלוונטית גם בהקשר זה – גבו את המידע שלכם!

SolidFire – a brave new world

בתחילת השנה השלימה NetApp רכישה של חברה צעירה בשם SolidFire.

פרשנים רבים, שלא ירדו לפרטים הטכניים המעניינים באמת, התרכזו רק בעובדה שמערכת האחסון כוללת דיסקים מסוג SSD בלבד ולעגו ל NetApp על רכישה זו ופירשו אותה כבלבול וחוסר מיקוד.

הו, איזו טעות.

החלק הכי פחות מעניין במערכות האחסון של SolidFire הוא המדיה.

בשבוע שעבר הוכרזה הגרסא העדכנית של מערכת ההפעלה של SolidFire, Element (יסוד או יסודות). כיאה לשמה לכל גרסא שם קוד על שם יסוד לפי הסדר בטבלה המחזורית ושם הקוד של הגרסא הנוכחית הינו Fluorine (פלואור), היסוד התשיעי בטבלה המחזורית בהתאמה לגרסא 9 של מערכת ההפעלה.

מערכות אחסון מבית SolidFire הינן מערכות מבוססות חומרה בתצורת 1U הניתנות להטמעה ב Cluster המונה 4 עד 100 יחידות (Node). כל יחידה כוללת יכולת עיבוד ונפח אחסון כך שהגידול ליניארי לחלוטים בבסיסו. ניתן לשלב בין יחידות הכוללת נפח גדול יותר ויחידות הכוללות נפח קטן יותר על מנת להתאים לדרישות הנפח וכן לשלב יחידות חזקות וחלשות יותר על מנת להתאים לדרישות הביצועים. כאן מתחיל החלק המעניין באמת. כל יחידה (Node) מקושרת אל ה Cluster בשני כבלי 10Gb בלבד, מערכת ההפעלה תזהה את היחידה החדשה ובאופן אוטומטי תכניס אותה ל Cluster, תכיל עליה את כלל ההגדרות הנדרשות, תעביר אליה חלק מעומס העבודה ובכך מסתיים הליך הרחבת ה Cluster.

ה Cluster פועל בתצורת Shared Nothing ומסוגל להתמודד עם נפילה של דיסק, מעבד או Node שלם באופן מיידי ואוטומטי.

המערכת כוללת באופן מובנה יכולות חסכון בנפח, De-duplication, Compression, Zero Detection, Thin Provisioning הפועלות כולן In-Line וכולן במוד של Global Efficiency כלומר חלות על כלל נפח המידע במערכת.

מנגנון ה QoS המובנה במערכת יחודי בעובדה שהוא מספק לא רק יכולת Limit, אכיפה מפני "התפרעות" של צרכן, אלא גם Guaranty, יכולת הבטחת רמת שירות לצרכן. מערכת הניהול והבקרה תדווח באופן מיידי על חריגה מהיכולת של כלל ה Cluster לעמוד ב SLA שהוגדר והובטח לצרכנים השונים. מנגנון זה הוא הבסיס ליכולת Multi-Tenancy בהיבט של אבטחת רמת השירות.

אחד המרכיבים העיקריים במבנה מערכת האחסון הוא ההתממשקות לכלי ניהול חיצוניים. כלל יכולות המערכת ניתנות לניהול באמצעות Rest API ולקוחות רבים כלל אינם משתמשים בממשק הניהול הטבעי של המערכת אלא מבצעים את כלל משימות האחסון דרך Open Stack, Powershell וכו'.

אחד החידושים הכי משמעותיים בגרסא העדכנית הוא שינוי מודל הרכש של המערכת. בעבר, ניתן היה לרכוש את המערכת בשני אופנים עיקריים. האופן הראשון מוכר ונפוץ מאד בעולם האחסון. הלקוח יכול היה לרכוש רכיבים פיזיים, Nodes, וכל רכיב פיזי היה כולל את הרישוי כך שחידוש השירות היה כולל חומרה ותוכנה, הוצאה משירות של רכיב פיזי חייבה גם הוצאה משירות של הרישוי של הרכיב וכו'. במודל זה כמובן שעמדה לזכות הלקוח חובתו של היצרן להתחייב לאיכות רכיבי החומרה, תקינות שלהם, התאמה מיטבית בין החומרה לתוכנה וכו'.

המודל השני היה מודל של תוכנה בלבד. מודל זה הידוע בשם Element X, אפשר ללקוחות גדולים לעשות שימוש בחומרה שלהם, כל אחד משיקוליו הוא, היו כאלו שרצו ליצור חומרה יחודית להם והיו כאלו שפשוט רצו לנצל את חוזי הרכש הטובים שלהם עם היצרנים השונים ובכך לחסוך בעלויות רכש. במודל זה כמובן שחלק מהאחריות לתקינות מערכת האחסון עבר מהיצרן אל הלקוח המספק ומתחזק את החומרה.

המודל החדש מאפשר למעשה להפריד את הרכש לחומרה ולתוכנה אך עדיין לרכוש את שניהם מ SolidFire. המשמעות היא שהלקוח יכול לרכוש רק את מה שנדרש לו, מתי שנדרש לו, ועדיין להנות מאחריות מלאה של היצרן לכלל רכיבי המערכת.

אחת הדוגמאות היא ללקוח שצריך יחסית מעט נפח אך כמות גדולה מאד של ביצועים. לקוח כזה יכול לרכוש רישוי על פי נפח ולפרוס את הרישוי שלו על כמה רכיבים פיזיים, Nodes, שידרש על מנת לספק את כלל הביצועים.

חידוש נוסף בגרסא זו הוא שיפור משמעותי של ההתממשקות אל יכולת VMware VVOL הכוללת אינטגרציה מלאה בין מנגנון ה QoS של מערכת האחסון אל מנגנון ה VVOL ובכך להבטיח רמת שירות עבור שרת וירטואלי בודד במערכת.

יכולת אחרונה עליה אעדכן הפעם היא יכולת מובנית לגיבוי המידע אל Object Storage. בהתאם לתפיסת ה Data fabric עליה כתבתי בעבר, מערכת האחסון מאפשרת כמובן לבצע רפליקציה בין מערכות אחסון זהות כמקובל, וניתנות לגיבוי באמצעות כלי גיבוי כגון CommVault, אך מאפשרות באופן מובנה גם לבצע גיבוי ל S3, Swift או NetApp StorageGRID ולבצע שחזורים אל מערכות SolidFire אחרות במידת הצורך במקרי DR למשל.

מי קהל היעד העיקרי? ספקי שירות. בין אם ספקי שירות חיצוניים כספקי ענן ציבורי ובין אם ספקי שירות פנימיים כגופי פיתוח גדולים. גופים אלו זקוקים למערכת המאפשרת אוטומציה מלאה של תהליכים, רכש במודל גרנולרי בהתאם לצריכה בפועל, זמינות מאד גבוה והבטחת שירות למספר גדול מאד של צרכנים שונים.

שלכם,

ניר מליק

ONTAP 9 is here – continued

בפוסט הקודם התחלתי לסקור את החידושים ב ONTAP 9. אני חייב להמשיך ולהציג את שאר השינויים כדי לפנות מקום גם להכרזות האחרונות של SolidFire אז נצא לדרך.

כמו בפוסט הקודם גם כאן אין קשר בין סדר ההופעה לדרגת החשיבות, צוללים קדימה!

ביצועים – ONTAP 9 תספק שיפור של 60% בכמות ה IOps עבור אותה חומרה לעומת ONTAP 8.3.1 !

ניהול מפתחות הצפנה –  אין יותר חובה להשתמש בפתרונות ניהול מפתחות חיצוניים, ניתן לייצר ולאחסן את מפתחות ההצפנה על גבי מערכת האחסון עצמה. טהרנים ישאלו אם יש הרבה הגיון לניהל את מפתח ההצפנה על יעד ההצפנה עצמו ולהם אענה מראש שמרבית הלקוחות לא הצפינו מידע עד היום בכלל בדיוק בגלל החובה להשתמש בכלים חיצוניים יקרים. מי שעדיין צריך באמת רמה גבוה יותר של הצפנה עדיין יכול להשתמש בכלים חיצוניים אבל לדעתי מדובר כאן בפתרון מאד ייחודי ללקוחות שרוצים לשמור על רמה סבירה של אבטחת מידע ועד היום היו מנועים מכך לחלוטין

ועכשיו לאחד החידושים היותר מעניינים בהשקה זו המקושרים ישירות לתפיסת ה Data Fabric עליה כתבתי בעבר ולפיה NetApp מאפשרת לנו ליישם את הפתרונות שלה בדרך שלנו. NetApp FAS היא מערכת מוגדרת מראש בה היצרן מספק לנו את התוכנה ביחד עם החומרה ובכל ניתן להתחייב על רמות זמינות וביצועים ולא רק על יכולות. עבור לקוחות המעדיפים להשתמש בחומרה אחרת, זולה יותר פשוטה יותר או פשוט נגישה יותר עבורם הושק אתמול מוצר חדש בשם ONTAP Select.

ONTAP Select הינו פתרון תוכנה בלבד המקנה את כלל יכולות ONTAP על גבי כולל שירותי קבצים NFS או CIFS ושירותי בלוק iSCSI. כלל יכולות חסכון הנפח כלולות כולל DeDuplication, Compression ו Compaction החדשה וכן כלי הרפליקציה Snap Mirror וכלי הגיבוי Snap Vault.

ניתן להטמיע את ONTAP Select על גבי VMware ESXI או על גבי KVM בתצורות SIngle Node או 4-Node Cluster על מנת לספק זמינות ושרידות.

כמובן שקיימת תמיכה מלאה בעלי הניהול OnCommand ובכלי ה Snap manager על מנת כאמור לא להתפשר על יכולות ועדיין לאפשר גמישות במבנה הרכישה וההטמעה.

היות ומערכת ההפעלה זהה לחלוטין ניתן לרפלק ולגבות את המידע בין מערכות ONTAP Select, מערכות ONTAP על גבי FAS או AFF ולמערכות ONTAP Cloud הרצות בסביבות ענן ציבוריות.

ontap select.png

שיפורים נוספים ביכולת ADP מגדילים עוד יותר את יחס הנטו\ברוטו בפתרונות AFF, יחס שהופך קריטי ככל שהדיסקים הנתמכים גדלים. זוכרים שכתבתי על דיסיקם בגודל 16TB? בשנה הבאה מתוכננים דיסקים בנפח 32TB ויחס של עשרים ואחת לאחת (21:1) בין דיסקי מידע ודיסקי Parity יהיה סופר רלוונטי וחשוב ובטח נראה עוד שיפורים בעניין הזה בהכרזות הבאות.

נראה לי שזהו להפעם, אני צריך להתחבר לשידור מ solidfire.com כדי להכין את הפוסטים הבאים

שלכם,

ניר מליק

ONTAP 9 is here

הבוקר הושקה הגרסא החדשה של מערכת ההפעלה ONTAP, חידוש מספר 1 ברשימה הוא שאין יותר Clustered Data ONTAP אלא רק שם אחד, ONTAP!

יש הרבה חידושים בגרסא זו אשתדל לכסות את כל מה שאני מכיר, לא לפי סדר חשיבות

נתחיל בחידושים בתחום יכולות של מערכת ההפעלה עצמה:

אחרי שנים רבות עם טכנולוגית RaidDP המגינה מפני אובדן מידע גם בנפילה של 2 דיסקים באותו Raid Group, כוללת ONTAP 9 גם יכולת הגנה מפני 3 דיסקים באותו Raid Group. יכולת חדשה זו נקראת Raid TEC. במקור התכוונו לקרוא לזה Raid TP אבל אז נזכרו במשמעות TP בסלנג אמריקאי והחליטו לוותר (סיפור אמיתי!)

הצורך העיקרי עליו עונה טכנולוגיה זו הוא הגידול בנפחי דיסקי SATA, כיום נפוצים בתעשיה דיסקים בנפחי 6TB וכן 8TB ובקרוב יושקו דיסקים בנפח 10TB. נפילה של דיסק איטי כל כך גורמת כמובן למשך זמן rebuild ארוך ומטרת Raid TEC להמשיך ולהגן על המידע ברמה גבוה גם במהלך זמן rebuild ארוך כל כך. שימוש ביכולת Raid TEC מאפשר הגדלה משמעותית של גדלי Raid Group שהוגבלו בשימוש בדיסקים גדולים אלו.

לצד יכולת זו נמשכת ההשקעה הגדולה בתוכנה לבדיקת תקינות הדיסקים על מנת לצפות מראש ולמנוע נפילה של דיסק כלומר שיפור היכולת להעתיק את המידע אל דיסק Spare ולהוציא דיסק לא תקין משירות לפני שהוא נופל ומתעורר הצורך ב rebuild  (העתקה פשוטה ומהירה יותר מ rebuild כמובן)

המעבר מ Raid DP אל Raid TEC ניתן לביצוע ללא השבתה ואם לא חורגים מגודל Raid Group ניתן גם לבטל את המעבר ולחזור אל Raid DP.

חידוש משמעותי נוסף ולדעתי מרגש מאד הוא הטמעה של יכולת חדשה בתחום חסכון בנפח האחסון, Data Compaction!

יכולת זו הינה יכולת משלימה ל Data Compression ומיעלת את התהליך, לאחר ביצוע הדחיסה יכולים להווצר בלוקים המכילים חלל ריק. יכולת Compaction.  מאחדת בלוקים אלו על מנת

המשמעות היא שיפור נוסף של יכולת חסכון המידע הכללית במערכת היות וכלל הטכנולוגיות עובדות ביחד, המידע נדחס ולאחר מכן מצומצם.

compactionבתחום החומרה, החל מגרסא זו נתמכים דיסקים מסוג 15TB SSD במערכות אחסון All Flash FAS AFF. מדף DS2246 סטנדרטי תומך כמובן ב 24 דיסיקם מסוג זה וביחד עם יחס חסכון נפח בסיסי של 1:4 המשמות היא 360 נפח Raw במדף של 2U ונפח ישים של מעל 1PB ! לא רע (למעשה אלו דיסקים של 16TB עם right size של 15.3 אבל לא צריך להיות קטנוניים)

חידוש נחמד בתחום הניהול נקרא בשם הפשוט והברור Headroom. מדובר ביכולת מובנית במערכת האחסון עצמה לדווח על "כמה נשאר" כמה עוד ביצועים המערכת מסוגלת לספק וכמה עוד אפשר לגדול לפני שניתקל בבעיית ביצועים.

יכולת שהיתה בעבר וחוזרת בגרסא זו היא יכולת Snap Lock ליישום יכולת נעילה של מידע WORM

פתרונות Metro Cluster הורחבו בגרסא זו לתמיכה ב 8 בקרים והוחזרה היכולת לבחור איזה מידע ירופלק ואיזה ישאר מקומי ויקבל רמת שרידות נמוכה יותר.

בפוסט מאוחר יותר ארחיב לגבי חידושים בתחום תהליכי הטמעת המערכות, אני עוד לומד אותם בעצמי והם כוללים הרבה אוטומציה וקיצור זמנים מהקופסא אל סביבת הייצור כמו כן אעדכן לגבי גרסאות חדשות להטמעה על גבי תשתית וירטואליזציה ברוח Data Fabric עליה כתבתי בפוסט הקודם.

בינתיים מוזמנים לשמוע סקירה מצויינת של החברים ב Tech ONTAP

שלכם,

ניר מליק

NetApp Data Fabric – מה זה ולמה זה

Tartan Fabric

שתי המגמות העיקריות בעולם תשתיות המחשוב הן מחשוב ענן ומערכות אחסון מבוססות פלאש.

במובנים רבים, מגמות אלו הינן מגמות משלימות העונות על צרכים שונים. בעוד מערכת אחסון מבוססת פלאש תספק ביצועים גבוהים וזמני תגובה קצרים במיוד עבור שרתים מקומיים, שירות ענן המוגדר ומנוהל נכון יספק מענה עבור משתמשים מרוחקים שזמני התגובה בתוך חדר השרתים פחות רלונטיים עבורם, משתמש המגיע אל חדר השרתים על גבי קו אינטרנט של 120ms לא יהנה מהעובדה שמערכת האחסון עונה ב 1ms.

בדיוק כאן, בשילוב הזה בין קרוב ורחוק, איטי ומהיר, באה לידי ביטוי תפיסת ה Data Fabric אותה מציגה NetApp. המידע הארגוני נשאר מידע ארגוני בין אם הוא מאוחסן על גבי מערכת האחסון המהירה והיקרה ביותר בחדר השרתים של הארגון ובין אם הוא מאוחסן על גבי שכבת האחסון הזולה והאיטית ביותר שניתן לרכוש מספק הענן הציבורי, כל הכללים הארגוניים, כל הרגולציה הנדרשת, כל המדיניות אותה אנו שואפים לאכוף נשארים בתוקף.

  NetApp Data Fabric היא החזון וסט הכלים לאחסון, לגבות, לנהל, להניע ולהגיש את המידע הארגוני היכן ומתי שהוא נדרש ללא תלות במיקום הגיאוגרפי או בתשתית הפיזית בה אנו משתמשים.

הדוגמה הראשונה ליישום חזון זה היא מערכת ההפעלה ONTAP עצמה. כיום ניתן ליישם מערכת הפעלה זו על גבי מערכות אחסון פיזיות שנרכשות מ NetApp, NetApp FASוכן על גבי  Virtual Appliance המוטמע על גבי שרתים וירטואליים  אבל היא ניתןנת להטמעה גם ליד הענן הציבורי (NetApp NPS) ועל גבי הענן הציבורי (Cloud ONTAP)(ONTAP EDGE).

לא משנה איך אנו בוחרים ליישם את מערכת ההפעלה ONTAP , כלל היכולות זמינות, De-duplication, Compression, application aware snap shots, replication, backup וכו' ובלב החזון נמצאת מערכת ניהול מרכזית בשם OnCommand Cloud Manager המאפשר לנהל את מערכות היחסים בין המערכות השונות באופן קל ונוח. ערכת ניהול זו, אגב, הינה פיתוח ישראלי של צוות הפיתוח של NetApp בתל אביב, כבוד כחול-לבן!

cloud manager

דוגמא נוספת היא היכולת המובנית במערכות SolidFire לבצע גיבוי אל מערכות אחסון נתונים מבוססות אובייקטים.

המשמעות היא שמערכת האחסון מתממשקת ישירות על שכבת S3, מבצעת גיבויים אליה ומבצעת ממנה שחזורים, שכבת אחסון זו יכולה להיות מקומית כדוגמת NetApp StorageGRID או חיצונית כדגומת שירות אמזון.

solidcloud

חזון ה Data Fabric הינו הליך בהתהוות, הוא אינו מושלם עדיין, אך הוא מספק הצצה ליישום אמיתי ומלא יותר של תפיסת הפעלה חדשה, הוא מגשר על החסמים ליישום Hybrid Cloud .בארגונים רבים ובכל רגע אנו מתקדמים עוד שלב בתהליך

בימים הקרובים צפויות הכרזות מאד מרגשות הן מ NetApp והן מחברת הבת SolidFire, חלק השארו קשובים, יש לי תחושה ש ה Data Fabric עומד להתרחב מאד