Работа в крупной финтех компании. Командой профессионалов создается и поддерживается высокотехнологичная онлайн-платформа, для получения оперативных и качественных финансовых услуг. Разрабатываемое программное обеспечение включает сервисы бэкенда, мобильные и веб приложения. Инфраструктура: • 3 независимых облака: Selectel, RTCloud в Москве и Новосибирске; • ≈ 200 серверов Linux (Debian, CentOS), Windows Server; • ≈ 200 доменов. Внедрил IaC практики в работу ИТ. Создал Ansible проекты, применяемые для первичной настройки серверов в облаках Selectel (OpenStack) и RTCloud (VMware), установки сервисов и другие. Развертывание, изменение и удаление облачных ресурсов с помощью Terraform провайдеров OpenStack и VMware Cloud Director. Тонкая настройка ресурсов в OpenStack с применением OpenStack CLI. Оптимизировал процесс CI/CD. Создал собственную автоматизацию сборки и запуска приложений на docker хостах через GitLab CI и применил во всех проектах: • подключаемый репозиторий с общими Bash скриптами сборки, тестирования и деплоя; • параллельная сборка на выделенных хостах с gitlab-runner нескольких проектов одновременно в режиме docker-in-docker (с безопасностью на TLS сертификатах) для «чистой» сборки контейнеров и независимости от предыдущих и параллельных сборок; • docker buildx; • multistage сборки; • сборка приложений для разных платформ (.NET Core, Python, Go, PHP, Node.js). Реализовал межоблачный подход по деплою контейнеров на docker хостах с безопасностью на TLS сертификатах. Автоматизировал сборку в контейнеры и публикацию статических сайтов. Перенес 5 платформ Битрикс на NGINX + PHP-FPM + MySQL. Развернул внутренние репозитории артефактов npm (verdaccio/verdaccio) и nuget (loicsharma/baget). Настроил CoreDNS для кэширования и гибкого перенаправления DNS запросов. Настроил межоблачный мониторинг на базе Prometheus, Alertmanager, Grafana, Fluent Bit, Vector с передачей метрик и логов в мониторинговый центр. Локально на хостах и в пределах облаков настроен мониторинг хостов, контейнеров, реверс-прокси, веб серверов, приложений. Настроена удаленная (Blackbox) проверка сайтов, сроков действия сертификатов. Упорядочил работу с большим количеством доменов. Мой принцип – не делить домены на «важные» и нет. При добавлении функционала и обеспечения безопасности контура настройки должны применяться для всех доменов и узлов. Автоматизировал управление доменами на внешних DNS через GitLab + CI + Terraform. Автоматизировал управление мультидоменными SSL сертификатами (SAN) через стек реверс-проксирования на HAProxy + кастомный Docker контейнер acme.sh + хранение сертификатов в GitLab. Настроил механизм каскадного реверс-проксирования для доступа из Интернет к внутренним сайтам и сервисам, подключил сервис DDoS-Guard. Реализованы две основные схемы на дублирующих друг друга серверах, настроены виртуальные IP адреса с помощью keepalived. 1. HAProxy tcp (экземпляр для каждого сокета ip:port, stick tables для ограничения количества запросов в минуту с одного IP адреса) -> маршрутизация по SNI -> HAProxy https (расшифровка SSL трафика, редиректы, белые списки, клиентская авторизация на сертификатах) -> маршрутизация до внутреннего сервиса. 2. DDoS-Guard (расшифровка SSL трафика, «очистка» трафика, защита от DDoS) -> HAProxy https, редиректы, белые списки, клиентская авторизация на сертификатах) -> маршрутизация до внутреннего сервиса. Организовал межоблачную систему удаленного доступа до хостов на SSH сертификатах. Двойное шифрование при подключении из Интернет: до реверс-прокси SSH обернутый в TLS, во внутренней сети, после раскрытия TLS – OpenSSH. Управление сертификатами SSH с помощью Vault, автоматизированная установка сертификатов и ключей на хостах через Ansible, получение клиентских сертификатов curl-запросом к Vault. Написал ряд bash скриптов: entrypoints для docker, скрипты для настройки пользовательских окружений в /etc/profile.d, скрипты для запуска в cron и выводом результатов в telegram каналы, преобразования картинок в webp формат и прочие. Написал скрипт на PowerShell для синхронизации через key/values хранилище Consul адресных книг Exchange. Сервера Exchange расположены в несвязанных друг с другом лесах AD и доменах. Совместная работа с командой разработчиков по развитию практик DevOps. Поиск и устранение неисправностей, разбор инцидентов в целях обеспечения корректной работы инфраструктуры.

Работа в федеральном IT-интеграторе из топ-25 России. Компания занимает лидирующие позиции рынка высоких технологий, реализует проекты полного цикла – от консалтинга и проектирования до реализации и сервисного обслуживания с географией проектов по всей России. Разработал и внедрил программное решение для массовой подготовки компьютеров и установки операционных систем в рамках соглашения OEM Distributor (DOEM) c Microsoft. Коробочных решений данное соглашение не предоставляет, описывает лишь общие концепции и предполагает проработку решения каждым дистрибьютором собственноручно. Итоговое конвейерное решение включает сервер с преднастроенными dhcpd и samba, кастомный загрузочный flash диск с WinPE, программы на PowerShell для автоматизированного внедрения лицензий в BIOS, программы на PowerShell для подготовки и запуска автоматизированной установки систем. Выполнил аудит сетевой инфраструктуры ЦОД муниципального информационного центра, который создает и предоставляет онлайн платформы для обучения, решения и Интернет сервисы для организации учебного процесса. Выполнил пилотный проект переноса физических серверов с различными операционными системами (включая старые Windows 98, Windows NT 4) мониторингового центра Газпром в г. Омск в виртуальную среду VMware vSphere. Предложил решение по выводу звука из виртуальных сред на системы звукового оповещения. Ввел в эксплуатацию кластер VMware vSphere состоящий из 3 вычислительных нод HP DL360 и внешней СХД HPE MSA 2050, подключение поверх iSCSI 10G. Настроил резервное копирование через Veritas Backup Exec на HP StoreOnce. Ввел в эксплуатацию технический проект по телемедицине в МНТК «Микрохирургия глаза» им. академика С.Н. Федорова в г. Оренбург. Ввел в эксплуатацию СХД QNAP ES1686dc корпоративного класса в клинике Мешалкина, г. Новосибирск. Пилотный проект, с которым вендор заходил на рынок России, сопровождавшийся обильным баг-трекингом с моей стороны и исправлением ошибок разработчиками в Тайване. Выполнил несколько проектов миграции ИТ инфраструктур клиентов (вычислительных ресурсов, сетей, данных) в ЦОД облачных провайдеров: облачная платформа Selectel (OpenStack), ведомственный ЦОД (VMware). Реализовал проект по объединению офисов компании с обширной филиальной сетью (логистика). Маршрутизаторы заменены на устройства Mikrotik, в облаке установлен программный маршрутизатор RouterOS, филиалы объединены соединениями IPsec в транспортном режиме с динамической маршрутизацией OSPF поверх организованной сети.

Работа в крупной проектной, конструкторской и научно-исследовательской компании, выполняющей работы и оказывающей услуги для электроэнергетического строительства, созданной на базе ведущих проектных и исследовательских институтов Западной и Восточной Сибири. Изменил архитектуру корпоративной сети, связал в единое сетевое пространство филиалы организации поверх Cisco DMVPN, с дальнейшим логическим разделением сети на сервисные сегменты для независимого управления группами сервисов, применения сетевых правил безопасности на границах сервисных сегментов и контроля трафика. IP телефония была отделена от видеоконференцсвязи, и оба указанных выше сервиса отделены от пользовательского сегмента. На основании данной практической работы написал и защитил дипломный проект. Создал и внедрил в эксплуатацию «прозрачный» (L2) шейпер трафика средствами iptables, ipset, tc. Подобный подход применяется не только для ограничения исходящего трафика, но и для входящего, например, на кластера web серверов для равномерного распределения доступной ширины сетевого канала на все подключения. Автоматизировал большое количество рутинных операций на PowerShell. В том числе написал ряд PowerShell скриптов с графическим интерфейсом для использования конечными пользователями или сотрудниками техподдержки.

Написал скрипт на python + pexpect для автоматизации ручного обхода сетевых коммутаторов распределенной мультисервисной L2 сети Интернет-провайдера для перевода внутренних VLAN на новые метки, проверки и, при необходимости, настройки QinQ и затем применил его. Скрипт написан так, чтобы сеть сохраняла работоспособность в течение его работы и продолжала предоставлять услуги клиентам.