问题[best-practices](server)

我有一种情况，我可以编写一个三任务角色来查找、排序和提取一组值，例如：

- name: Lookup available AMI instances
  amazon.aws.ec2_ami_info:
    filters: ...
  register: _ami_info
    
- name: Sort by creation date to get latest
  ansible.builtin.set_fact:
    _amis: '{{ _ami_info.images | sort(attribute="creation_date", reverse=True) }}'
    
- name: Set my facts for the latest AMI
    latest_ami_id: '{{ _amis[0].image_id }}
    ...

我需要在几个不同的剧本中做这种事情，所以我想要代码重用。实现一个 Lookup 插件似乎更酷、更类似于 Anible 的是，但那是更多的 Python 行，调用 Boto3 来有效地做同样的事情（除了将细节作为 dict 返回）。

似乎在涵盖此内容的角色的最佳实践中找不到任何东西，或者我很可能遗漏了一些东西。

对虚拟机和物理机的小型（abt 15 服务器）网络进行子网划分的一般最佳实践是什么？

它应该有多细？您想为网络中的每个单独功能创建一个逻辑子网或 vlan 吗？

这里的指导方针一般是什么？

我还应该补充一点，这是一个小型网络，其唯一目的是为小型企业托管面向公众的网站和应用程序。除了来自互联网的用户外，不会有任何其他外部用户。

我的组织目前有 50 个 azure 订阅，并计划增加到 500 多个，原因如下：每个应用程序都有自己的订阅，技术人员有自己的订阅，开发环境是临时创建的。有一个 devops 团队和一个 finops 团队，它们都具有脚本功能。但我想知道是否其他人有相同数量的订阅？它对他们有用吗？

我正在编写我的第一个 CF 堆栈，当然，我在第一次尝试时遇到了失败的部署，因为我还不完全了解语法和可用参数。我正在通过 CLI 验证我的 json 和模板本身，但它仍然可能在部署时遇到问题并导致回滚或失败。现在，当它是一个全新的堆栈而不是更新时，部署就会失败并且我无法更新它，我必须完全销毁堆栈并重新部署它全新的。

我想知道如何解决这个问题。即使删除的堆栈不在控制台中，CLI 仍会列出之前创建和销毁的所有堆栈，但它并不干净。在修复导致堆栈失败的问题后，我当然无法更新堆栈，因为它处于失败状态，我必须重新部署所有内容，就好像它是一个全新的堆栈一样。

对此有什么想法吗？你是如何开始创建你的第一个堆栈的？

我一直在为邮件服务器配置 DNS 记录，但在 DMARC 对齐时遇到了问题。

我知道两者relaxed都是strict有效的选项，也是relaxed默认设置。但是，我想知道是否有普遍接受的“最佳”做法？

是否期望随着 DMARC 的普及，strict对齐将成为推荐/默认对齐？

我创建了一本食谱，我正在使用manage.chef.io它来托管和部署它。我已经在 GitHub 私人仓库中托管了这本食谱。

考虑一个场景：
如果我对食谱和knife cookbook upload它进行了一些更改，但我忘记将其推送到 Github。

我如何确保它不会发生？甚至不是错误的。我如何确保任何时候每个人都拥有最新的 repo，knife upload否则不能。就像您没有git push更改git pull更改一样。

我的同事从 GitHub 中提取信息，但没有看到任何变化。因此，他做出了自己的改变knife cookbook upload。但是他会替换我的更改，因为他有一个旧版本。

那么在多个 DevOps 中管理一本食谱的最佳实践是什么？

我有多个运行 Server 2008r2 SP2 Standard 和 SQL Server 2014 的 Web 服务器。获得 Windows Server 2016 的最佳实践/最简单的就地升级路径是什么？

在测试中，我只能从 2008r2 升级到 2012，然后再从 2012 升级到 2016。我们在这些设备上完成了相当多的配置，并且在它们上运行了相当多的网站。考虑到这一点，由于涉及停机时间，必须升级两次并不理想。有没有办法解决？（更改许可证密钥或其他解决方案？）

谢谢！

2020 年更新： 我们终于拔掉插头并升级了剩下的两台 2008R2 服务器。对于任何想知道我们正在做什么的人（通常在做）：

• 如果 SQL Server 正在运行，我们将在升级 Windows 之前从 SQL Server 2008R2 迁移到 SQL Server 2014（因此存在一些重叠）。我也在升级到最新的 2014 SP3 + 最新的 CU4（这个网站非常适合这种事情： https ://buildnumbers.wordpress.com/sqlserver/ ）。
• 然后，您可以从 Server 2008R2 转到 2012R2。
• 然后我们启用并运行磁盘清理。
• 如有必要，我们将再次将 SQL 升级到 SQL Server 2016 / SQL 2019。
• 如有必要，我们将从 Server 2012R2 直接升级到 Server 2019，或者如果我们在其他一些关键服务器上速度较慢，我们暂时只是升级到 Server 2016。

在每个升级步骤之后，我们确保我们有高质量的备份（对于我们来说是 VMware 快照/数据库备份），并检查每个软件在每台服务器上的运行情况。踏实和稳重是赢得比赛的关键。

这足以快速摆脱 2008R2 并避免 ESU 许可证（如果您甚至可以购买它们 - 我们基本上不可能获得扩展的安全更新密钥。）

为此，我和上级发生了争执。虽然乍一看笔记本电脑的先前用户只在他自己的文档文件夹中工作，但我应该总是为下一个用户安装新的操作系统还是删除旧的配置文件就足够了？安装的软件大多也是下一个用户需要的。

我认为需要安装，但除了我自己关于病毒和私人数据的论点之外，这样做的原因是什么？

在我们公司，允许将 PC 用于私人邮件等，在某些 PC 上甚至安装了游戏。我们有一些移动用户，他们经常在客户的现场，所以我真的不怪他们。

也正因为如此，我们有很多本地管理员。

我知道私人使用和本地管理员帐户的可用性都不是好主意，但这就是我在这里工作之前的处理方式，只有在我结束实习期后我才能改变它；）

编辑：我认为发布的所有答案都是相关的，而且我也知道我们公司的一些做法并不是最好的开始（例如，太多人的本地管理员；）。

到目前为止，我认为最有用的讨论答案是来自 Ryder 的答案。虽然他在回答中给出的例子可能有些夸大其词，但在此之前曾发生过一位前员工忘记私人数据的情况。我最近在一台旧笔记本电脑中发现了游戏 Runaway 的零售副本，我们也有几箱剩余的私人图像。

所以微软声称“你不能使用网络共享文件夹作为系统状态备份的备份目标”，但我看到很多帖子表明他们可以使用 wbadmin 从命令提示符处执行此操作。

我的最终目标：

我不关心备份我们的任何域控制器，因为如果一个域控制器死了，我将启动一个新的域控制器并让剩余的域控制器复制到它。然而，我担心至少要确保我有 AD 的备份，以防我们的整个 AD 基础设施被淹没并需要从备份中恢复。

到目前为止，这是我为实现目标所做的工作：

从我的 PDCe 中，我使用以下命令成功备份到网络共享：

wbadmin start systemstatebackup -backuptarget:\srv-backup\b$\srv-dc1

然后我创建了一个这样的计划备份：

wbadmin enable backup -addtarget:\srv-backup\b$\srv-dc1 -systemstate -schedule:03:00

第二天，我验证了计划的备份已成功完成。

所以这里有新的问题：

1. 如何正确备份 AD？我现在的方法正确吗？

2. 如果我当前的备份方法在任何给定时间只会产生一个备份（因为它正在备份到网络共享并且每晚都会覆盖以前的备份），我是否应该考虑让本地存储将备份推送到（所以我可以有多个备份），或者我应该以相同的方式备份我的其他两个 DC；到网络共享（当然要错开时间表 - 然后我至少会有一个或多个我可以依赖的每日备份）？

3. 我在社区的另一个线程中读到有人说“从 C:\Windows 备份 NTDS 文件夹”，但我认为这是不必要的，因为它在系统状态备份期间被备份 - 对吗？

不是指军队或政府，而是指需要 IT 基础架构的其他组织或商店（现在不需要）。与这个问题类似，但纯粹是关于硬件和/或服务，例如服务器、存储、电子邮件服务等。

我不认为每个组织都是一成不变的，因为每个组织都是不同的。他们是否应该考虑：

• 组织的规模和需要哪些资源

• 组织是否有内部 IT 支持

• 更换硬件与硬件“订阅”的经常性成本

• 当然存在安全问题，例如“此服务<provider>是否符合<security standard>

• 如果选择托管选项，如果协议突然无法推进，无论出于何种原因，退出策略是什么。

• 备份选项，有两种选择。

当然，要考虑的不仅仅是成本。我问这个问题是因为你有 1-2 名员工需要服务，例如电子邮件或文件服务，一直到大型组织，但那些大型组织不是 IT 商店，他们的生产可能是编织篮子之类的，他们是否应该投资私人基础设施来托管他们的篮子编织图纸、文件等？这对他们来说是什么附加值？

更新

不一定是云，托管也是一种选择。