Ord som IaaS, PaaS, FaaS og SaaS er i alle IT artikler i dag. Men jeg kan se på hits fra Google, at flere lander på siden fordi de søger på “hvad er Iaas” og “Iaas vs. Onprem

IaaS – Infrastructure as a service

Med Iaas tænker man som kunde ikke på selve serveren, men lejer kapaciteten(Server/Storage) hos en leverandør. Ofte er det lige over hardware-laget i form af enten Hypervisors eller fysiske servere. Iaas var det første step væk fra ren hosting, hvor kunden egne servere stod i et andet serverrum ude i byen, for forbedret sikkerhed og oppetid. Typisk betaler man blot for det man bruger, så du kan hele tiden skalere op og ned, uden at skulle tænke på store indkøb af server og storage over tid.

PaaS – Platform as a service

Med en PaaS løsning, lejer du en platform til afvikling af applikationer. Det vil sige, du tænker ikke på hvor mange servere eller kapacitet der skal til for at afvikle applikationen, du skal blot tænke på selve applikationen. Et ofte brugt eksempel er Elastic Beanstalk, der fungere som en applikations platform, der selv finde ud af om den skal bruge en database mere, eller 2 loadbalancere. Der subscriber man blot til selve platformen som selv skalere efter behov. Et andet eksempel kan være man beder sin leverandør stille en hypervisor-platform til rådighed, inkl service af os. Grænserne til IaaS defineres oftest af sælgeren 😉

FaaS – Function as a service

Samtidigt med at container og microservices vinder frem i landskabet, bliver FaaS også nemmer og mere kost-effektivt at benytte. Skal du i din egen applikation eks. bruge en PDF-generator, så behøver du ikke udvikle den selv, men blot benytte dig af en online-service der gør det samme. Nogle af de første på dette marked, var GIS løsninger, hvor selskaber kunne få beregnet deres egne kortdata på eksterne løsninger. FaaS ligger ofte tæt på SaaS og omtales ofte som det samme.

SaaS – Software as a service

I starten var SaaS oftest mail-services og spamfiltre. Der skulle man kun bekymre sig om sit interface, for leverandøren stod for alt vedligehold, udvikling og design. Et tidssvare eksempel er nogle af de hostede økonomiprogrammer(e-conomic) eller Microsoft Office365 med både mail og officeonline.

Der er mange software når man skal finjustere eller fejlsøge på sit storage og før i tiden startede men tit med SQLIO – men de fleste er nu gået over til Diskspd i stedet for.  (Microsoft download link)

Som hostingleverandør eller internt i IT-afd. kan det være en fordel at dagligt lave en lille scriptet disktest der læser og skriver en 1GB fil, og gemmer udvalgte målepunkter som KPI’er i en database. Alternativt kan man sende resultatet til sin Eventlog system.

Fordele:
– Test både diske, filer eller foldere.
– Output til XML.
– Tilpas CPU anvendelse.

diskspd 

Windows 10 snakker hjem – hele tiden. Det giver alle med et sikkerhed- /privatlivsperspektiv myrekryp, at din Windows 10 står og siver data til Microsoft mere eller mindre konstant. Heldigvis er der folk i markedet der bruger meget tid på at undersøge og forhindre den slags. Flere er enda så flinke at de lægger løsningerne online.

Download links
Erhverv/AD: Auto IT telemetry group policy pack
Private: ShutUp10

Information:
Microsoft holder det ikke hemmeligt, og det er da heller ikke ulovligt (GDPR liderlige vil nok debattere det til verdens ende) men her er to af deres artikler der beskriver Windows 10 telemetry i detaljer.
Windows diagnostic data i din virksomhed
Administrer connections fra Windows

Microsoft .NET bliver bedre og bedre tilpasset til afvikling på Linux OS. Derfor er det ikke en stor overraskelse at Visual Studio er tilsvarende nemt at installere på en Ubuntu. I mit tilfælde er det en Ubuntu 18.04 LTS jeg benytter som min daglige burner PC.

linux ubuntu visual studio

Installation af Visual Studio på Ubuntu 18.04 LTS
– Download fra code.visualstudio.com – vælg .DEB file til Ubuntu
– Læg filen i download folderen
– Åben Terminal vindue
– Naviger til download folder – skriv: cd /Downloads [enter]
– Skriv LS [enter] for at checke du er i den rigtige folder med dit download
– installer ved at skrive sudo dpkg -i PAKKENAVN [enter]
– (i mit tilfælde sudo dpkg -i code_1.28.2-1539735992_amd64.deb)
– done

Tip
For at få mest ud af Visual Studio på Ubuntu, skal du huske at gå ind under extensions i menuen. Der kan du eks. python formater eller PHP formater/markup extensions. Det gør arbejdet bedre og nemmere.

linux visual studio extensions

Det vi i dag kalder On-Prem (forkortet af On-Premises) skal sælgere, kollegaer og frem for alt software-udviklerne forstå, ikke automatisk betyder at de servere vi har gjort tilgængelig, står i jeres egen kælder. For det meste står serverne i et andet datacenter – nogle gange sågar samme sted som serverne der er grundlaget for Microsoft Azure cloud infrastrukturen.

Grunden til jeg har behov for at komme af med dette brok, er at flere og flere software og løsnings-leverandører fjerner On-Prem. muligheden for deres software.

Tit hører jeg forklaringen “det kan ikke køre On-Prem” eller “vi kan ikke deploye til det hvis det står hos jer” eller “det bliver for dyrt hvis det skal køre på jeres egen server

Der er helt sikkert situationer hvor det er nemmere for leverandøren, at levere en løsning hvis det kører på i deres egen cloud tenant – men det skal vel ikke blive mit problem, hvis en leverandør vælger ikke at designe deres løsning, så den kan deployes til en server der står hos en hvilken som helst MSP. Der er grundlæggende ingen forskel om du deployer din Umbraco løsning til en IIS der står hos Itadel/GCOS/NNIT eller om den kører i en public cloud. Det er dine udviklere der skal lære at forstå forskellen, fremsende system-requirements og anvende en tidssvarende måde at frigive software på.

Når det er sagt, forstår jeg godt der er kommercielle forhold der gør det mere interessant for en leverandør at levere det som en as-a-service. Men så fortæl dog kunden sandheden, i stedet for at dækker jer bag forlorne tekniske grunde.

Årsager til i skal insistere på at der kører On-Prem:

  • I har et kørende setup, selv om leverandøren går konkurs.
  • Hvis en kundespecifik-løsning kører på jeres egne server, er i typisk bedre stillet ved en copyright/IP tvist.
  • I har oftest en SLA på de servere jeres MSP stiller til rådighed. Det har en leverandør sjældent med en Public Cloud tjeneste, selv om oppetiden ofte er høj.
  • Det er generelt meget billigere og hurtigere at integrere med andre systemer, hvis alle løsninger kører på jeres egen server.

Eksempel fra den virkelige verden.
Et firma jeg vælger at holde hemmeligt, får i øjeblikket leveret en løsning baseret på WordPress. I udviklingsfasen blev løsningen præsenteret kørende på en Ubuntu 16.04 LTS og vi gjorde fra starten opmærksom på det skulle køre på en af deres egne servere. Efter kontrakten blev indgået, fik vi ad bagveje at vide løsningen var blevet ca. kr. 70.000,- dyrere end aftalt. Det havde leverandøren forklaret vores marketing-afdeling, var forårsaget af det var sværere at vedligeholde sitet på vores server end forventet. Konfrontatorisk som jeg er, tager jeg fat i leverandøren og dette er en recap af kommunikationen(fyld fjernet):

  • Mig: Forklar i detaljer omstændighederne der gør det mere tidskrævende at vedligeholde sitet
  • Leverandør: Det tager længere tid at deploye
  • Mig: Hvordan deployer i?
  • Leverandør: Via. et automatisk system vi kalder octopussy
  • Mig: Er du sikker på det ikke er Octopus?
  • Leverandør: Det ved jeg ikke
  • Mig: Vil du spørge jeres udviklere?
  • Leverandør: Det er den samme vi bruger
  • Mig: Hvorfor skulle det være sværere at deploye til vores server, i stedet for en server til i Azure?
  • Leverandør: Det siger vores udviklingsafdeling
  • Mig: Vil du bede dem forklare specifikt hvilken årsag?
  • Leverandør: De siger de godt kan nu, men den server Azure stiller til rådighed er mere sikker
  • Mig: Hvordan mere sikker?
  • Leverandør: De har en større firewall
  • Mig: Målt i units, meter eller kilo?
  • Leverandør: (forstod ikke dårlig joke)
  • Mig: *undskylder utidig joke* Vi har løbende nogle af de bedste pen-testere til at gennemgå vores løsning, så jeg tror den er sikker nok. Hvordan opdatere i styresystemet på jeres Linux?
  • Leverandør: Det gør vi ikke for det er et Cloud OS
  • Mig: Cloud OS? er det ikke bare en Linux server i Azure i selv installere?
  • Leverandør: Det tror jeg ikke
  • Mig: Vil du spørge dine udviklere?
  • Leverandør: Vi har en SLA på oppetid
  • Mig: *begynder at blive træt* Kan du få jeres udviklere til at forklare hvordan de opdatere serveren?
  • Leverandør: *indrømmer de har misforstået noget* Det gør de åbenbart ikke
  • Mig: Så den server der kører hos vores hosting-leverandør, der opdatere mindst en gang hvert måned, vil du mene at den er mere eller mindre sikker end den i har i Azure og ikke opdatere
  • Leverandør: Vi begynder at opdatere den nu
  • Mig: Når i har udfærdiget en patch-procedure, vil du så sende mig en kopi. Hvor mange kvalificerede Linux folk har i ansat der kan vurdere om en patch skal installeres?
  • Leverandør: *lang forklaring på at er søger nye ansatte* ikke nogen i dag
  • Mig: Så hvem var det der vurderede at, den server der kørte i Azure var mere sikker, end den vores certificerede Linux-leverandør stiller til rådighed
  • Leverandør: Vores udviklere
  • Mig: Dem der ikke kender Linux godt nok til at patche en Ubuntu?
  • Leverandør: Jeg vender lige tilbage til dig efter vores fredagsmøde
  • Mig: Bed dine udviklere forklare dig hvad forskellen er på at køre websites på en Ubuntu server i Azure, kontra en anden hosting leverandør

… gæt selv hvor den server kører i dag, og om vi betaler mere for at den kører hos vores egen hosting-leverandør.

Der går nok ikke en uge i øjeblikket, hvor der ikke er en der forsøger at sælge dit et produkt ved at benytte GDPR som løftestang. Men hvad ville du sige hvis du gratis (eller for under 20.000,- hvis du er doven) kan blive GDPR compliant i forhold til at logge filadgang/tilgang/forsøg? og hvis du samtidigt får den suverænt bedste logning(IKKE SIEM) af event fra både filer, applikationer og eventlogs – hvad siger du så? Der er selvfølgeligt tale om The Elastic Stack som jeg har nævnt før – og det er stadig i Nagios versionen, for der koster support kun $3,995.- pr. år.

Nagios Log File Access

Nagios + Elastic Stack = Nagios Logserver. Glem alt om Solarwinds licensmodeller, tælle RAM eller EPS – der er INGEN skjulte udgifter!

Faktum: Hvad skal du logge for at overholde persondataforordning? Intet.
Problem: Til gengæld skal du kunne vise hvem har haft adgang til dokumenterne, eller om andre end de tiltænkte brugere har tilgået dokumenterne, og det er svært at fremvise hurtigt, hvis man ikke logger data. Så selv om der ikke er direkte krav til logning, så er det tæt på umuligt at overholde hvis du ikke har en aktiv logning kørende på serverne.

Løsningen er ganske enkelt at aktivere de indbyggede audit logging GPO settings i Windows (eller andre OS’er) og logge data til eventloggen. Derfra vil den lille applikation forwarde alle events til den lokale Logserver, der sortere og arkivere alle logs efter behov. En lille virtuel server med 4 kerner og 8 GB ram kunne uden problemer håndtere 2500 EPS som kom fra vores firewalls og ca. 130 servere.

Uden de store problemer kan du installere Centos 7 og Logserveren på 2-3 timer, og derefter rulle agenterne ud på alle maskiner enten via en GPO eller SCCM på et par timer… Mere kræver det ikke.

P.S.
Hvis der er nogen fra Logpoint der ringer til jer, så sig pænt nej tak – det er uden sidestykke det værste forsøg på et SIEM produkt jeg nogensinde har arbejdet med.

P.P.S
Hvis du er rigtig doven eller kræver noget intelligens, så kig på IBM QRadar og lad en af deres kvalificerede partnere stå for det (SecureDevice kan anbefales)

Hvis du er mødt af fejlen “you cannot access this shared folder because your organization security policies” når du forsøger at mappe et netværksdrev til din NAS eller en gammel server der hjemme, så er det fordi det efter MS update er markeret som “usikkert” hvis du benytter de gamle SMB v1 settings.
Workaround:
For at kunne tilgå dette igen, skal du rette din GPO til “enable insecure guest logons”. Du gør det via nedenstående GPO.
Windows 10 version 1709

Installer Splunk på Centos 7

Til dem der ikke ved hvad Splunk er, kan jeg kort forklare det som en platform der kan fodres med ustruktureret data, og gøre det søgbart og struktureret – næsten uden at det kræver arbejde. Det kan erstatte de fleste BI og overvågnings software, samtidigt med det gøre det gør op med de fleste udviklings-omkostningen, da brugerne kan udføre det meste tilretning af data.

Men træerne vokser ikke ind i himlen – for Splunk koster en formue (gratis hvis man ikke suger mere end 500mb pr dag). Men kigger man på TCO og TTM er der ikke andre software der kan gøre det samme, hvilket gøre det til at de stærkeste alternativer på markedet i dag. Jeg vil gå så langt til at sige at ElasticSearch og Splunk er det eneste produkter man skal kigge på lige nu.

Installationsvejledning:

Som sagt er det nemt at komme i gang med, men de fleste vælger at installere det på en Windows Server, da det er det de kender bedst. For et bedre resultat ville jeg benytte Linux (i dette tilfælde Centos 7 – 64 bit). For at gøre det nemmere for nybegyndere at komme i gang, har jeg lavet denne basale instuktion.

Nedenstående afvikles i terminalen en linie af gangen:


### Installer Centos - minimum install

### Installer Wget så vi kan hente software
yum install wget

### download splunk til Centos/Redhat
wget -O splunk-7.0.2-03bbabbd5c0f-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.0.2&product=splunk&filename=splunk-7.0.2-03bbabbd5c0f-linux-2.6-x86_64.rpm&wget=true'

### Juster folder sikkerhed inden vi installere
chmod 744 splunk-7.0.2-03bbabbd5c0f-linux-2.6-x86_64.rpm


### Installer splunk
rpm -i splunk-7.0.2-03bbabbd5c0f-linux-2.6-x86_64.rpm 


### Splunk splunk installations fil
rm splunk-7.0.2-03bbabbd5c0f-linux-2.6-x86_64.rpm 


### Start splunk
cd /opt/splunk/bin
./splunk start --accept-license


### Check at website kører på default port 8000
./splunk show web-port


### Åben port 8000 i firewall på Centos maskine for webinterface
firewall-cmd --zone=public --add-port=8000/tcp --permanent

### Åben port 8089 i firewall for deploymentserver
firewall-cmd --zone=public --add-port=8089/tcp --permanent

### Åben port 9997 i firewall for indexers
firewall-cmd --zone=public --add-port=9997/tcp --permanent

### Åben port 514 i firewall for network/syslog
firewall-cmd --zone=public --add-port=514/tcp 
firewall-cmd --zone=public --add-port=514/udp 

### Reload Firewall
firewall-cmd --reload

### Log ind i webinterface på http://serverit:8000
Default username står på den side der loades

### Tilføj recivers så der lyttes efter data (i webinterface)
Settings -> Forwarding and receiving
Tilføj port 9997 som default


Første AI spamfilter

Er der en der kan levere et AI spamfilter/autoreply plugin til Exchange/Outlook365? Hvor er den leverandør der bliver den første til at tilbyde denne service? Hvis man kunne vælge ud fra en liste af predefinered typer/profiler i programmet – om man eks. var i kundesupport eller HR – så ville systemet behandle og lære ud fra forhåndsindkoede basis lærdom. I starten kan man jo bede programmet komme med 2-3 forslag til en besvarelse af mailen, og efterhånden spore sig ind på ens normale kommunikationsmønster.

Tilbage i 2000-2002 var der allerede Chatbot’s med AI der kunne gennemføre hele samtaler, for at narre folk til at melde sig ind på dating-sites, i den tro at den unge dame man lige havde chattet på ICQ med, var virkelig og havde kødfulde billeder profilen du skulle være medlem for at se.

Systemet findes jo i begrænset omfrang til diverse servicedesk systemer, så det må være muligt – i et eller andet omfang – at ramme tæt på et korrekt svar, som jeg blot skal godkende. Efterfølgnede kunne man sælge konceptet til diverse sociale-medie platforme, for at forhindre brugere i at skrive tankeløse kommentare til ligegyldige opdateringer.

Hvis man kigger på Microsoft Cognitive Toolkit eller Googles TensorFlow, så er der mulighed for at kaste sig ind i kampen, hvis man eks. kan lidt Python eller C++ programmering – hvilket man efterhånden har fornemmelsen af bliver pensum for 2-klasse i folkeskolen anno. 2020

Formålet med dette indlæg er at anbefale kunder i hostingbranchen tilsikre leverandøren ikke kun kører ITIL processer på det papir kontrakten skrives på.

Stil krav til jeres hostingpartner:
Sørg for det konkret fremgår at kontrakten hvor ofte systemet gennemgås for fejl og hvordan man sikre et system ikke sander til, ved at have definerede kvalitetsmål for ydelsen på serveren. Der skal foreligge detaljeret beskrivelse af Capacity Management og Continual Service Improvement procedure.

Med en fortid som både senior-tekniker og driftschef i en anerkendt hostingvirksomhed, samt mange år som enten leverandør eller kunde i top10 inden for hosting i danmark, skal jeg være en af de første der lægger sig fladt ned og erkender mit medansvar. For de fleste kunder der betaler for Managed Service, ofte står tilbage med en løsning der ligger tættere på Infrastructure as a service (IaaS), efter systemet først er leveret og ibrugtaget.

Problem #1: Hovedparten af kundernes forventning til leverancer inden for hosting, står ikke mål med det de ønsker at betale – så hvor skal pengene til continual service improvement komme fra?
Problem #2: Leverandøren tør ikke bede om det beløb det koster at drive et dynamisk og frugtbart samarbejde med kunden.

ITIL hosting

En Continual Service Improvement Plan er en procedure der sikre services man køber hos leverandøren, løbende tilpasses kundes behov. En leverandør slår sig ofte på at være dynamisk, agil og skalerbar. I hverdagen sker det oftest kun på kundens opfordring, eller efter kundens installation er revideret af ekstern konsulent.

Eksempel #1
I 2017 henvendte en tidligere kunde sig personligt over Linkedin, for at få mig til at revidere deres nuværende MS-SQL løsning. En Løsning de fik leveret som en Managed Service hos en hostingpartner der slog sig på at køre på højeste klinge inden for ITIL og best-practice. Kundens oplevelse var at især at deres Navision var langsom. Ofte var det den første time om dagen der var værst, hvor selv de mest basale oprettelser eller kørsler tvang serveren i knæ. Leverandøren påstod der ikke var noget at komme efter, for der var massere af RAM, CPU og Disk kapacitet.

Efter en hurtig gennemgang af serveren viser det sig at opsætningen er 100% default. Det betyder bla.
– Autogrowth er sat til 1MB
– Temp database ligger på samme volume som OS, Data og Logfiler
– Max degree of parallelism var sat til 1, på trods af serveren havde 16 CPU cores tilgængeligt

Med under 10 minutters arbejde (ikke automatiseret) blev ydelsen i Navision hævet med over 180% – resultat = glad men uforstående kunde.

Eksempel #2
En kunde vil gerne bede mig kigge på en IIS løsning med ca. 2500 samtidige brugere i dagtimerne. Serveren løb hele tiden tør for plads, og løsningen blev mere og mere omkostningstung at holde kørende. Årsagen var IIS-logs ikke blev slettet, selv om kunden kun skulle bruge de sidste 30 dage. I stedet for at leverandøren brugte 10 minutter på at finde årsagen til det voksende behov for plads, blev kunden blodt bedt om at købe mere kapacitet. Kunden har købt en Managed Service, men hostingleverandøren skubber vedligeholdet retur på kunden. Hvorfor så opsige sin egen driftafdeling, og betale dyrt for ISO certificeret hosting efter de bedste ITIL principper?

Mit spørgsmål til jer:
– Hvordan skal de to partner kunne mødes, hvis kunden ikke ved hvad “continual service improvement” er, men leverandøren i øvrigt ikke mener kunden betaler for det og derfor ikke bringer det på banen?
– Hvordan får vi forankret ITIL i den daglige drift og ikke kun benytter det til at slå pressede driftstekniker i hovedet når de har lave udokumenterede ændringer?