Byggt och i drift

Ansvar

Hos min arbetsgivare, en driftleverantör i Sundsvall, äger jag tjänsteområdet publika molntjänster: arkitektur, styrning och livscykel. Jag och mitt tjänsteteam driftar flera stora kundmiljöer parallellt, däribland koncerner med ett femtiotal dotterbolag, där varje kund har sin egen tenant, sin egen brandväggsflora och sina egna krav.

Ledningsansvar är inte nytt: jag har varit VD i eget bolag, co-CEO och CIO i offentlig sektor. Skillnaden i dag är att jag valt att ha händerna kvar i tekniken. Det är där jag gör mest nytta.

Uppdrag

Varje nytt VLAN var ett ärende till nätverksteamet: logga in på rätt switchar, klistra rätt rader, hoppas att ingen skrev fel. Switchparken var blandad, Arista EOS i datacentret och äldre HPE Comware bredvid, så samma ändring såg olika ut beroende på var den landade.

Lösningen: NetBox som sanningskälla, Ansible och AWX som motor, och ett formulär som serverteknikerna fyller i själva. Skyddsräcken hela vägen: namn-unikhet, lista över skyddade VLAN som inte får röras, dry-run före varje skarp körning. Allt fick gå genom labb först. Nio buggar dog där i stället för i produktion, varav en hade låtit automationen skapa exakt det fel den skulle skydda mot.

Uppdrag

Global logistikaktör som bytte driftleverantör. Arvet: ett hundratal Word-dokument från den gamla leverantören, utspridda, delvis inaktuella och utan gemensam struktur. Supporten hittade inte det de sökte, och litade inte på det de hittade.

Jag byggde en konverteringspipeline (pandoc och Python) som tog hela exporten till wiki-sidor med enhetlig svensk struktur, bilder och allt. Sedan stämdes hela applikationskatalogen av mot kundens egen auktoritativa lista, app för app. På vägen återfanns en förlorad larmprioriteringsmatris som låg felplacerad som skärmbild i SharePoint. Den sitter nu där NOC faktiskt tittar.

Uppdrag

Internationell tillverkningskoncern på väg in i Azure, med krav på hård nätverkssegmentering. Standardupplägget med subnets och taggar räckte inte: trafiken mellan säkerhetszoner skulle inspekteras, inte bara märkas upp.

Designen blev hub-spoke där varje säkerhetszon är ett eget VNet bakom central NVA. Allt som kod: Terraform, gemensam namnstandard, repeterbara moduler. Besluten dokumenterades med motivering och bortvalda alternativ, så nästa arkitekt slipper gissa varför det ser ut som det gör.

Uppdrag

Svensk myndighet där brandväggens inbyggda objekt för Microsofts uppdateringstrafik missade CDN-flöden, och FQDN-objekt mot en pool på över 600 IP-adresser gav opålitlig matchning. I en myndighetsmiljö ska det gå att svara på exakt vilken trafik som släpps igenom och varför.

Jag byggde en egen feed: Azure Service Tags kombinerat med en DNS-resolverfarm som löser upp dokumenterade FQDN:er från flera regioner. Resultatet dedupliceras och serveras i det format FortiGate konsumerar som external connector, en rad per adress.

Uppdrag

Återkommande arkitektroll kring brandväggsplattformen hos svensk myndighet: segmentering, regelverksdesign och integrationer, plus löpande drift med regeländringar, DNS och standby vid produktionsmigreringar där fönstret är smalt och rollback-vägen ska vara klar innan något rörs.

Ett exempel från vardagen: en larmstorm från brandväggens IPS-motor mot en annan myndighets tjänster. Fel svar hade varit att stänga av larmet eller eskalera i panik. I stället rotorsaksanalys hela vägen ner, som visade loggbrus från local-out-trafik utan påverkan på tjänsten. Dokumenterat, motiverat, avslutat. Tråkigt på rätt sätt.

Uppdrag

Rikstäckande organisation inom besöksnäringen, med anläggningar från stad till fjäll, statisk routing och en växande hög undantag. Varje förändring var ett riskmoment eftersom regelverket inte längre gick att överblicka.

Migreringen görs stegvis till SD-WAN på FortiGate: medlemmar, hälsokontroller och regler införs parallellt med befintlig routing, anläggning för anläggning, med rollback-väg öppen hela tiden. Inga big bang-helger.