開発者がエンタープライズ環境で独自のVMサーバーを実行するために必要なもの[終了]

このシナリオもSOに投稿されており、対象ユーザーごとにさまざまな質問がありました。非常に良い回答を受け取ったので、とても嬉しく思います。

私たちは、企業組織内の4人の開発者の小さなチームのために、仮想化を使用した開発環境を実装しようとしています。これにより、個別の開発、テスト、およびステージング環境をセットアップできるほか、評価対象のシステムまたはツールの要件である新しいオペレーティングシステムにアクセスできるようになります。

既存のワークステーションクラスのマシンを再利用し、24 GBのRAMとRAID-10を投入し、マシンをドメインに追加しようとするまで問題なく動作しました。

今、私たちは、当初からすべてのエンタープライズ開発者が戦わなければならなかった戦争、つまり開発とテスト環境のローカル制御のための戦いを始めています。ネットワークおよびIT管理者は、「ESXサーバーはエンタープライズ標準です」から「サーバーはクライアントVLANでは許可されていない」、「[fill-in-the-blank]は現在保有しているスキルセットではない」など、さまざまな懸念を提起しています。ローカルまたはエンタープライズIT組織」。

おそらく本番レベルのハードウェアと正式なITサポートを正当化することができます（必要な場合は必要性を正当化できますが、それには時間がかかり、頭痛の種がたくさんあります）-ITリソースを正式に取得するまでに数か月かかる可能性がありますこれをプロダクションシステムとして扱うことによって割り当てられます。そうしたとしても、必要なローカルコントロールを失う可能性があります。

非実稼働環境を開発者が制御するために、企業内の開発者と同様の苦労があったと思いますので、私の質問は次のとおりです。

1. 一般的に（そして当然のことながら）このタイプの（中央で）管理されていないインフラストラクチャを排除する標準のネットワークおよびセキュリティポリシーが導入されている企業内にこれらのタイプのサイロが存在することを許可するために、開発者はどのような議論をしましたか？
2. これは、開発者が技術的またはビジネス上の正当化を行い、パッチ管理とAVが確実に行われるようにすることですか、それとも制御と所有権をめぐる政治的闘争の問題でしょうか。
3. 選択を前提として、開発者にローカル管理者権限を与えながらハードウェア/ OSの所有権とサポートを取得するか、完全に管理させながら、問題が発生した場合にパッチ管理/ AVを導入して責任を課すことを保証しますか？
4. 開発者がインフラストラクチャの「不正なサーバー」をローカルで制御できないようにブロックできた場合、開発者は当然のことをしましたか、それとも開発者（またはあなた）が開発環境を切断されたVLAN /完全に別のネットワークに移動しましたか？

この質問の範囲を制限するためのいくつかの仮定：

1. 繰り返しますが、これは開発環境用です。本番環境の負荷やサポート性は必要ありません。外部からアクセスできるものはありません。
2. これは、Hyper-VとESXの聖戦ではありません（どちらを使用しても問題ありませんが、Hyper-Vは、これらの目的のためにMSDNで「無料」であるため選択されました[そうです、VMWareにも無料のツールがありますが、優れた管理ツールは一般的には]ではなく、ローカル開発者が "Microsoft Shop"で管理する方が簡単です）。
3. 開発チームはすでに、パッチ管理とウイルス対策の管理、またはITがサポートする場合は既存のエンタープライズシステムとの統合を保証していますが、それを受け入れるかどうかは確かに範囲内です。

まず第一に、あなたの管理者がプッシュバックするのに正しい理由がいくつかあります。

• ITは、パッチ管理、ウイルス対策ソフトウェア、PCIコンプライアンス、年次（またはより頻繁な）セキュリティ監査などの報告についても責任を負います。それを部外者に証明する。

  例として、私は小規模な大学でネットワークを運営しており、物理実験室に学生実験用のデータ収集マシンがいくつかあります。彼らが行う唯一のことは、科学機器からデータを収集し、その結果を（直接接続されたプリンターに）印刷して、学生が分析してインストラクターに渡すことです。インターネット上に存在することはありません。AVやWindowsのアップデートでさえ、ローカルネットワーク経由で適用されます。それらがネットワークに接続されてAVソフトウェアを実行する唯一の理由は、それらがまだ存在し、最新であることを私の監視ソフトウェアに報告する明確な目的です。彼らは実際にはネットワーク接続を削除する方がより安全であるため、ばかげていますが、それらは最初に教育助成金で支払われたので、それらは私の報告要件です。

• 好むと好まざるとにかかわらず、開発者の観点から見ると、開発サーバーは本番システムです。おそらく1か月かかります。サーバーが使用可能であると想定してセットアップするプロセスのために、開発者がダウンした場合、開発者は作業を完了するのに苦労します。テクノロジーの障害が原因でワーカーがアイドル状態になっている状況を回避/制限することは、企業が依然として集中型IT部門を使用する大きな理由です。
• 「ESXサーバーがエンタープライズ標準」である場合は、それに従う必要があります。現時点では、hyper-v、vmware、xenなどの機能には大きな違いがあり、一方用に構築されたマシンは、もう一方でうまく動作するとは限りません。これを行う場合、ITはある時点でそれを管理するのを支援する必要があり、問題を引き起こす可能性のあるマシン上に大量の欠陥がある場合、IT部門はそれをvmwareに変換する必要はありません。
• いつかこのマシンは古くなり、より定期的なメンテナンスが必要になるか、標準の交換サイクルを設定する必要があります。新しいサーバーでさえ、時々おかしな部分があります。ほとんどの場合、この状況は、人々が仕事をするのを妨げる何かが壊れた後にのみ、ITラップに発生します。サーバーの責任を早期に引き受けることで、ITは、計画外の停止を確実に回避し、より優れた仕事を行うことができます。
• これは個人的なものですが、私のネットワークで最後に必要なのは、サーバーを装った別のデスクトップだということです。過去数年間、私が一生続くのに十分に対処してきました。

つまり、ITはこのイニシアチブをサポートできる必要があります。彼らが「いいえ」と言うだけでは十分ではありません。あなたの（非常に現実的な）ニーズを満たす代替案を考え出すように彼らに挑戦してください。ここでの唯一の政治的状況は、彼らの代替案がより大きなステッカー価格を持っている可能性が高いことであるはずです（彼らはまだ見ることができないコストを計画しているため）、それで問題は誰がそれを支払う必要があるかです。IT部門は予算がなかったのでそれを望んでいませんが、満足しているソリューションに費やした金額の6倍（今のところ）であるため、あなたは困惑します。

また、歩く前に走ろうとしているようです。開発プロセスを刷新したい。元開発者として、それは素晴らしいことだと思います。ただし、大量のVMと「環境」（つまり、開発、ステージ、QAなど）を捨てるだけではいけません。新しいプロセスがどのように見えるか、つまり開発者がどのように作業を完了するかを計画します。継続的インテグレーションを使用しますか？自動ビルド？それらをサポートするためにどのソフトウェアを使用していますか？開発者はコードを本番またはステージングに移動できますか、それともQAのみがその機能を持ちますか？別のステージングが必要ですか？2つの開発ブランチ（1つはvNext用、もう1つはvCurrentのバグ用）についてはどうですか？

開発リーダーまたはマネージャーがすべてを解決できるようにするためにサーバーが必要になる場合がありますが、そうする場合は最初のステップである必要があり、開発者が実際に使用する前にセットアップと初期プロセス設計を行う必要があります。使用する。

1）このタイプのサイロが企業内に存在することを可能にするために、開発者はどのような議論をしましたか？一般に（そして当然のことながら）このタイプの（中央に）管理されていないインフラストラクチャを排除する標準のネットワークおよびセキュリティポリシーを導入しています？

なし-ほとんどの場合、私は私の組織で管理の役割を果たしていないため、これらの「政治的なこと」のどれも実際には関与していません。私を本当に説得する唯一の議論は、ネットワークポリシーに明示的に違反し、システム運用チームの制御と可視性の両方から免除されるものを許可することです。上司からのギャップとCYAレターです。

私が本当に「いいえ」と言ったビジネスになりたいというわけではありません。これは、運用チームの観点から見れば、これでうまく終了するための良い方法がないということだけです。

1. 最終的に、主要なスキルセットであるサーバーによって管理されるサーバーは、ネットワーク全体とそれに関連する問題領域を把握できないネットワーク上のサーバーを管理することにはなりません。これは芝生を「保護する」という政治的な懸念だけではありません。控えめな例として、開発者が何らかの理由でDHCPをオンにするとどうなるかを想像してみてください。
2. 最終的には、開発チームのサーバーを管理します。これは逆の理由で厄介です。開発者は、これにパッチを適用している（彼らが知っているものを破壊しているが、私たちには知らない）、またはさまざまな正当な理由で有効にしたくない機能を有効にするための私たちの戦いに常に悩まされています。これはすぐにデッドロックに変わり、運用チームは重荷や嫌がらせを受け、開発チームは不満や無視を感じるようになります。
3. 政治的な影響があります。それでは、開発者がなぜ「特別」であり、なぜ彼らがネットワークポリシーから免除されるのかを別の部門に説明する必要があるからです。

2）これは、開発者が技術的またはビジネス上の正当化を行い、パッチ管理とAVが確実に行われるようにすることですか、それとも制御と所有権をめぐる政治的闘争の問題ですか？

開発者がビジネスケースを作成する必要があるとは思いません。開発者が開発しなければならず、そのために何らかの開発環境が必要であることは明らかです。パッチ管理とAVについては、それが運用チームの仕事であり、確実に実行されます。開発者がそれを行うことができないと私たちが考えるのではありません。それは私たちがあなたが正しく行うことを信頼していないだけです-システム管理者はシステム管理者のままです。なぜなら、彼らは何も正しくすることを何も信頼していないので個人的なものではないからです。もちろん、他の誰かが「あなたの仕事をしている」ように感じるという明白な政治的問題がありますが、それは実際には技術的な問題ではないため、SFの範囲外です。

3）選択を前提として、開発者にローカル管理者権限を与えながらハードウェア/ OSの所有権とサポートを利用するか、完全に管理させながら、パッチ管理/ AVを導入し、原因が生じた場合に責任を課すようにしますか？問題？

上記で概説した理由のどちらでもありません。

4）インフラストラクチャ上の「不正なサーバー」をローカルで制御することから開発者をブロックすることに成功した場合、開発者は正当な理由がありますか、または開発者（またはあなた）が開発環境を切断されたVLAN /完全に別のネットワークに移動しましたか？

エアギャップ。この状況を処理する最良の方法は、開発者に環境（およびその制御）を提供し、エアギャップするか、他の堅牢な方法を使用してネットワークから分離することです。これは基本的に私たちがパブリックwifiを処理する方法です。wifiサービスが必要ですか？承知しました。ネットワーク接続の料金を支払うと、WAPを管理しますが、ネットワークに触れることはありません。ごめんなさい。あなたのニーズは数百のうちの1つにすぎません。私たちが考慮しなければならない他の懸念があります。

開発者（特に技術的に賢い）はとにかく欲しいものを手に入れる方法を見つけるので、あなたはノーと言うビジネスになりたくありません。だから、彼らにスーツ彼らのニーズは、それらを幸せにする環境を提供し、その後防ぐためにいくつかの方法を見つける何でもあなたのビジネスネットワークの他の部分に触れることから、開発環境では、彼らがやるの。

TL; DR：別の物理ネットワークまたはVLANのいずれかで、必要な仮想化プラットフォームを備えたサーバーを提供します。開発環境へのアクセスは、運用チームが制御および監視する単一の要塞ホストを介して行われます。あなたのビジネスでのあなたのビジネス-それはサポートされませんが、サーバー管理側の時間が許す限り、アドバイスと支援を提供します。

コンシューマグレードのRAM、コンシューマグレードのHDD、コンシューマグレードのPSU、およびコンシューマグレードのRAIDを搭載したワークステーションクラスのマシンを私のところに持ってきたとしたら、それもサーバーネットワークに置くことを拒否します。

そのようなものをサーバーVLANに配置することについて理解する必要があることがたくさんあります。

1. サーバーVLANはDMZである可能性があります。DMZには、強化および保護されていないものは何も入れません。これはあなたが彼らに手渡した単なる機械であり、彼らはあなたがそれで何をしたのか全く分かりません。また、定期的なパッチとアップデートを意味します。つまり、集中管理されます。管理されていない各サーバーにログオンして手動でパッチを適用するつもりはないはずです。

2. そのマシンのコンポーネントに障害が発生します。約束します。6か12か月、24か月以内に、それは腹立たしいです。次に、バックアップはどこにありますか？ああ、設定しなかったの？しかし、それはサーバーだと思いましたか？ああ、それは他の誰かがプロビジョニングしたサーバーですか？...そして非難ゲームが再び始まります

3. それがクラッシュして、たわごとがファンに当たったとき、誰が責任を取るつもりですか？ほとんどの組織では、「私は開発者に世話をするためにそれを渡しました」と飛ぶことはありません。

4. 彼らはそれをどこに置くつもりですか？最近、サーバーはすべてラックマウントされており、タワーをラックに置くとスペースが無駄になり、ラックはそのために設計されていない場合があります。

したがって、IT部門はこのランダムなコンピューターをサーバーネットワークに配置しないことを非常に正当化しています。

ただし、IT部門の仕事は、あなたが自分の仕事を適切に行えるようにすることです。彼らはあなたがそれを必要なときに必要なものを持っていることを確認する必要があります。あなたはビジネスのことをソフトウェアの一部を持っている場合はニーズが稼働を維持するために、彼らが持っている、それが動作するためのプラットフォームを提供します。それが彼らの仕事の説明です。しかし、あなたは彼らが彼らの仕事をするのに必要な情報を持っていることを確認する必要があります。

私の組織で私のところに来て、新しいプロジェクトを開始するように言われたら、3つのVM（Dev、Live、Staging）を提供しました。あなたにはDevに対する完全な管理者権限があり、他の2つの仕事をするために何が必要かについて話し合います。それらに対する完全な管理者権限が必要であり、それを正当化できる場合は、それを取得します。VMの展開は、下向きです。VMWareはこれを信じられないほど簡単にします。VMごとに約5分で導入できます。

大企業のほとんどすべてのIT部門が苦しんでいることにIT部門が苦しんでいるようです。小さなお城を建てて、自分の人生で守り、他人を許さない、偉そうにするなど。毎日、他の人のIT部門とやり取りする人として、私はいつもそれを目にしています。そしてそれはイライラさせられます。

ただし、基本的には、IT部門内から変更を行う必要があり、その上から変更を開始する必要があります。そして、IT部門に彼らが自分自身に対する力ではないことを認識させることができれば（それらのほとんどはビジネスに収入をもたらさないので、これはかなり面倒かもしれません）、彼らは既存のスタッフをサポートするためにそこにいることになりますそしてビジネスを強化すると、誰もが幸せな家族と遊ぶので、あなたの質問は無関係になります。

なぜドメインに追加したいのですか？別の言い方をすれば、質問への回答が向上します。ラボが企業LANに接続されていない限り、必要なことを何でも行うようにラボを設定できます。（あなたがインターネットへのアクセスを必要とする場合は、多分あなたはDMZ-ED VLANを得ることができ、それが問題になることはありません、あなただけに行くためにそれを使用している場合は特にアウトのダウンロードのためのように、。）

それは、質問に対する多くの多くの異なる答えの1つです。

ここでは、環境の任意の部分への管理者アクセス権を持つ開発者（おそらくほとんどが反対）に対して賛成か反対かで、たくさんの答えが得られますが、最終的には次のようになります。

sysadminグループは、運用システムを安定した安定した稼働状態に保つことを任されており、それらのシステムが会社が支払うレベルのサービスを（彼らが支払うため）期待どおりのレベルで提供できるようにする責任があります。

同様に、開発チームは、別の分野ではありますが、会社（ウェブ、アプリなど）にサービスを提供する役割を担っています。開発環境の管理をめぐって闘うことは逆効果であり、どちらの側にも有益な目的はありません。

私は小さなISV / ASPで働いています。開発者とシステム管理者（私）がそれぞれ1人ずついます。私たちは相互の尊敬と信頼に基づいた関係を築いています。私たちは、会社の包括的な目標を達成するためにチームとして働く必要があります。私は開発者に、ワークステーションやサーバーを含む開発環境への完全で自由なアクセスを提供します。私はセキュリティ、アップデート、AV、ハードウェアの開発システムを管理し、残りは開発者が管理します。彼のコードが本番の準備ができたら、彼は私にそれを手渡し、必要な構成で私を助けて、後戻りします。私たちは相互に助け合います。

開発者は開発環境のマスターである必要があり、システム管理者は合理的な境界内で、合理的なチェック、バランス、および制御を備えた本番環境のマスターである必要があります。どちらかの側が「クロスオーバー」する必要がある場合、それは彼らの権限と指導の下で「支配している」党と協力して協調しなければならない。

まず、私の経験は厳密には小規模な組織での経験ですが、この問題はあらゆる規模の企業で発生するため、...

1.  What arguments have your developers made that won you over to
allow these types of silos to exist within enterprises which have
standard network and security policies in

私の見解では、開発者がする必要がある唯一の議論は「私たちはこれが必要だ」です。彼らが最初に私に来た場合、私は彼らのニーズを理解し、私たちが何を解決できるかを見てみます。しかし、最終的に、彼らが「これが必要だ」と言ったら、私は彼らに疑いの利益を与え、彼らが何をしているのかを知っていることを信頼します。

しかし、それはほんの始まりに過ぎません。それが方程式の「プロ」側です。「コン」は、私たちが論争に入る場所です...

2. Is this just a matter of the developers making a technical or
business justification

「ただ」というのは信じられないほど控えめな表現であることを除けば、そうです、開発者が技術的およびビジネス上の正当化を行うことができれば、問題はありません。こことプログラマー.SE（SOの質問が移行された場所）の他の人は、あなたのセットアップに多くの落とし穴を指摘しているので、繰り返しはしません。あなたはこれらすべての問題とIT部門は、を考える他のものに対処し、正当化するための計画を思い付く場合はALLコストを、それが先に行くことは理にかなっています。

3.  Given the choice, would you prefer to take ownership and support
of the hardware/OS while giving devs local admin rights,

これは初心者ではありません。同じシステムを管理するために、目的と責任が異なる2つのグループを持つことはできません。それはひどく終わるだけでなく、ひどく始まり、流血で終わるでしょう。

(more of 3.) ... or let them manage it entirely, while ensuring that
they institute patch management/AV and charging them with
responsibility should they cause problems?

これは2.に対する私の回答でカバーされていると思います。これらは、彼らが解決策を考え出す必要がある技術的な詳細です。

4.  If you successfully blocked developers from having local control
of "rogue servers" on your infrastructure, did the developers just
make due or did they (or you) move the development environment to a
disconnected VLAN/entirely separate network?

私はkceに同意します：「エアギャップ」

彼らは（自分の環境の管理者になることで）、彼らは上の取っている追加のオーバーヘッドを正当化することができれば、開発者は、彼らが行動する自由があって、自分のミニネットワークを持つことができる、しかしそれは完全に隔離されています：何もネットワークの他の部分に触れていません。したがって、たとえば「重要なデータをどのようにバックアップするのか」など、技術的およびビジネス上の正当性を考え出す必要があります。

繰り返しますが、私はkceに同意する必要があります。「システム管理者は正しいことを行うために何も信頼していないため、システム管理者のままです」信頼できないコンポーネントからできる最も信頼できるシステムを構築するのが私たちの仕事です。経験豊富なシステム管理者が信じられないほど不安定であると知っている多くのことは、強い否定的な反応を示すことになります。

こことprogrammers.seの回答とコメントから、あなたがこれまで考慮していない側面があることは明らかだと思います。時間がかかりますが、実際にIT担当者と話し合って、物事を異なる形で提示する必要があると思います。「ここで私たちがする必要があることは、これを既存のインフラストラクチャと運用に統合する方法はありますか？」

あなた、そして何百万もの同様の場合の一般的な問題は次のとおりです。

1）ファジー責任-企業の労働者の行動と彼の利益との間には直接的な関連はありません。彼は月ごとに支払われ、測定が困難な効果によってではなく、組織が大きくなります。これは、セキュリティ、マネージャーなどに適用されます。彼らがあなたの仕事を分析する場合、彼らは気にしません。

2）政策立案者とセキュリティは通常、プログラミングについての知識がほとんどまたはまったくありません。彼らはあなたが気にしても（通常は当てはまらない）あなたの仕事が麻痺していることを理解できませんでした。

3）安全保障の仕事に好ましい心理的プロファイルは、偏執的な性格または強迫性障害です。これらの人々は陰謀をどこでも見ます。開発者は、新しいサーバーなどを必要とする場合、それを使用して企業データを盗み、WikiLeaksに公開したり、北朝鮮に販売したりします。