Announcement

Collapse
No announcement yet.

La danza della rete

Collapse
X
  • Filter
  • Time
  • Show
Clear All
new posts

  • La danza della rete

    Taaaanto tempo fa, talmente tanto tempo che mi gira la testa solo a pensarci, le "reti" erano quelle da pesca.



    Si lo so, suona incredibile oggi come oggi, che anche il vostro TOSTAPANE e' "connesso" e vi stampa le previsioni del tempo o sarcazzo su ogni fetta di pane che ci mettete dentro, ma yeah...

    Poi, un bel giorno, la rivoluzione! Il Tcp/Ip era alle porte. Ed alla finestra. Ed usciva pure dalle fottute pareti!

    Fu cosi' che io feci l'unica cosa logica che ogni individuo con aspirazioni "professionali" avrebbe dovuto fare: comperai una camionata di libri da O'Reilly et similia e mi misi a studiare come uno scoiattolo in overdose da caffeina. Il risultato di tutta quella attivita' cerebrale fu che le nebbie del mio cervello si diradarono e cominciai a capirci qualche cosa. E cominciai ad acquisire una certa familiarita' con la montagna di roba che fa funzionare una cosa apparentemente cosi' semplice.

    Come ho gia' detto, quello fu tanto tempo fa.

    Oggigiorno il termine "rete" e' diventato sinonimo di internet e ne abbiamo fin sopra ai capelli. La "rete" e' una parte integrante della nostra vita quotidiana. Non puoi girarti senza andare a sbattere contro un qualche "app developer" che vive di rete e cocainacaffeina.

    D'altra parte, io mi scontro regolarmente con membri della "generazione informatica" che non conoscono manco le informazioni piu' basilari riguardo la rete e come le cose in effetti funzionino. Roba che tutti quelli che aspirano ad una attivita' un filo "professionale" dovrebbero conoscere meglio del palmo della mano destra.

    E adesso un paio di informazioni basilari per capire di che si parla.

    Uno dei nostri clienti, chiamiamolo $GrandiEFamosi, voleva ospitare una qualche applicazioni su Azure. Perche' Azure? Cazzo ne so! Perche' noialtri (che avevamo la NOSTRA "cloud" ed eravamo anche molto bravi a gestircela) avremmo dovuto gestirci la loro Azure? Di nuovo: 'cazzo ne so! Una teoria e' che "tutto quello che sembra soldi e' bene accetto". Un'altra teoria concorrente e' che si trattava di un piano nefasto per cercare di spingere la gente ad andarsene.

    In ogni caso, il problema e' che questi volevano avere certe applicazioni ospitate su Azure e farle "parlare" con altre applicazioni ospitate da qualche altra parte. Manco nella loro rete "interna", in una colo da qualche parte.

    Bene, si tratta di mettere su' una VPN tra i due ambienti (nota: mettere in piedi una vpn in Azure richiede un semplice gateway se vuoi IPSec, ma se vuoi qualche altra cosa devi usare un server specifico che si paga a parte), e poi stabilire routing e regole di firewalling per fare in modo che le due parti della vpn si parlino tra di loro. Non e' proprio scienza di alto livello.

    Ondepercuicio', noi configuariamo la vpn in Azure e poi mandiamo i dettagli a $GrandiEFamosi.

    Dopo qualche giorni riceviamo un messaggio che dice, piu' o meno, che questa roba non e' conforme alle loro policy interne e quindi non possono accettarla. Bhe', cazzi vostri ragazzi, perche' quelle sono le specifiche di Azure che erano state menzionate quando abbiamo cominciato a parlare di Azure. O meglio, io le ho messe nelle mie mail. Poi cosa abbia detto al riguardo il nostro Marketing Man e' un'altra faccenda.

    Dopo un discreto rimpallo di mail, conference-calls etc. (il contenuto delle quali puo' essere riassunto in "queste sono le spcifiche di Azure - ma vanno contro la nostra policy - Ditelo ad Azure - Non potete cambiarle? - Nope"), il messaggio fu finalmente ricevuto ed un piovoso mattino abbiamo la vpn abilitata.

    Il problema era che la vpn era anche attiva, ma non ci passava nessun traffico perche' il firewall dalla loro parte era ancora chiuso.

    Ora, devo mettere bene in chiaro questo punto: Azure era la LORO roba, noi la "gestivamo" ma era interamente pagata ed a nome loro. La Colo dove il resto della roba era collocata era anch'essa ROBA LORO. Noi non la gestivamo nemmeno perche' era interamente gestita dalla colocazione stessa. Sostanzialmente noi avevamo ZERO controllo o connessione con quella roba. L'unica cosa che potevamo fare era dire a LORO di mandare una richiesta alla colo per fare della roba. E quello era tutto.

    Ok, quindi e' solo questione di dirgli di fare richiesta alla colo per abilitare il traffico dal Segmento-Rete-Azure verso/da Segmento-Rete-Colo.

    Preparo la mail che sostanzialmente dice "abilitare traffico da 192.168.0.24 da/verso 192.168.99.0/24 porte..." e la invio.

    A questo punto pero', salta fuori che mentre noi stavamo aspettando che loro accettassero le "irragionevoli" richieste di Azure, avevano deciso di cambiare (di nuovo) la loro procedura di gestione, percui dovevamo creare un "ticket" nel loro sistema di ticketing. Sistema di ticketing che credo fosse stato progettato da un paranoide schizofrenico chiuso dentro ad un cesso che, dopo aver progettato il tutto su carta igienica usata, aveva passato il rotolo al cubicolo accanto dove un programmatore logorroico aveva realizzato il tutto durante una... hemmm... seduta molto produttiva.

    Il risultato era una specie di incubo di "maschera di immissione dati" che doveva essere compilata e poi ri-compilata dopo che meta' delle voci venivano ri-valorizzate dalle informazioni inserite successivamente. Si', era brutto esattamente come suona.

    In ogni caso, dopo un po' di ravanementi con la maschera, io mando la richiesta.

    Nota: spesso io lavoro supponendo (molto stupido da parte mia, lo ammetto) che il tipo al supporto di primo livello che si becca il ticket sia sufficientemente competente da capire la richiesta ed eseguirla o sapere a quale tecnico di secondo o terzo livello passarla perche' sia processata correttamente.

    Per questa ragione sono molto terso nelle descrizioni e quindi "autorizzare traffico tra network X ed Y" era fondamentalmente tutto il contenuto del ticket.

    Come potete immaginare, non abbiamo piu' sentito niente per un paio di settimane, poi abbiamo ricevuto un paio di telefonate da $GrossiEFamosi che fondamentalmente volevano sapere a che punto eravamo con la loro richiesta. Ed ovviamente la risposta che era tutto dalla loro parte non fu molto apprezzata.

    Salto' fuori che il ticket venne guardato da un paio di tizi che, dopo essersi guardati attorno con aria confusa, avevano deciso che "qualcun altro" avrebbe dovuto gestirselo.

    Questa e' sostanzialmente la stessa strategia che parecchi dei miei colleghi utilizzavano per gestire qualunque ticket durante i giorni in cui loro avrebbero dovuto gestire tickets, quindi non avrebbe dovuto sorprendermi piu' di tanto...

    Dopo un paio di richieste per capire esattamente quale parte di "autorizzare traffico tra network X ed Y" non era chiara, ricevemmo le seguenti risposte:
    • Questa richieste deve essere discussa con il nostro Amministratore di Sicureza dato che richiede l'accesso alla nostra rete interna da parte di un sistema non-autorizzato.



      No pezzo di cretino, la connessione va da Azure a quell'altra vostra CoLo e passa dal vostro sistema di ticketing solo perche' e' la VOSTRA fottuta co-lo. Non si avvicina nemmeno alla vostra rete interna.
    • Questo deve essere controllato dal nostro dipartimento di networking perche' richiede Nat tra diversi rami della rete



      No imbecille. Una rete e' in Azure, l'altra e' nella vostra CoLo e la vpn si gestisce tutto il resto.
    • Se volete connettervi alla nostra rete interna dovete firmare il documento di richiesta ed autorizzazione.



      Non e' la vostra fottuta rete interna, testa di cazzo, e' la vostra applicazione in Azure che parla con altra roba, sempre vostra, nella sempre vostra colocazione.
    • 192.168 e' la nostra rete interna quindi non ci sono cambiamenti nel firewall



      Sveglia deficiente! Sono due diverse reti in due diversi posti che parlano attraverso una vpn che voialtri avete gia' attivato!
    • 192.168 non e' routabile, quindi non possiamo fare cambiantei al firewall.



      ....MA MI PRENDETE PER IL CULO???


    Dopo parecchi giorni passati a discutere, i "responsabili" di $GrandiEFamosi si convinsero finalmente che stavano sparando cazzate e l'unica cosa che dovevano fare era prendere la mia mail originaria e rispedirla al supporto tecnico della colo. E quando fu fatto, il "problema" semplicemente scomparve da solo.

    Non sono sicuro se tutto questo casino sia stato a causa di troppi "livelli" di management o di un eccesso di dementi nella mischia. O forse entrambi.

    Davide
    07/06/2017 13:20
Working...
X