7 April 2009

Практически пример за терминален сървър

Или как да редуцираме разходите и въпреки това да получим нови възможности

Отговора е чрез споделяне на ресурси. За да се случи първо трябва да концентрираме ресурсите на едно място, да ги оптимизираме и след това да ги предоставим за ползване.

Тук ще разгледаме конкретен пример от областта на терминалните технологии.


Терминален сървър е компютър, който предлага на клиентите изчислителни ресурси (процесорно време, памет, дисково пространство), за решаване на потребителските задачи. Технически погледнато, терминалния сървър е един много мощен компютър. Няма значение дали ще е клъстер или ферма от терминални сървъри, свързани към мрежа с терминални клиенти, които обикновено са със слаби или остарели офис компютри или специализирани терминали за достъп до терминален сървър.

Как работи?

Терминалните клиенти след връзка с терминален сървър изпращат до последния въведените данни (клавиши, движения на мишката) и евентуално предоставяне на достъп до локални ресурси например: принтер, дискови ресурси, смарт карти, локален порт (COM / LPT). Терминалния сървър осигурява среда за работа (терминална сесия), в която се изпълняват приложенията на потребителя. В резултат, сървъра предава на клиента картината за монитора и звук (ако е наличен).

Предимствата на терминалния сървър:

- Намаляване първоначалната цена на придобиване и последващите оперативните разходи за всяко следващо работно място;
- Намаляване разходите за администриране, както и персонала по подръжката;
- Увеличаване ефективността на оборудването, чрез максимално уплътняване на ресурсите;
- Повишена сигурност - намаляване на риска от вътрешни атаки;
- Повишената производителност на приложения, които зависят от процесорна мощност и скорост на дисковата подсистема (при наличие в терминалния сървър на съответните ресурси);
- Възможността за използване на бавни връзки (мобилни модеми, обществени места за безжичен достъп до интернет) за пълноценна работа;
- Лесна мащабируемост чрез добавяне на нови сървъри във терминалната сървърна ферма;
- Текущите офис компютри са с капацитет, който в повечето случаи просто не се използва. Процесорите бездействат или са неефективно натоварени през по-голямата част от времето. Независимо от това, клиентът е платил за тях. Дадени са повече пари за да се работи с нормално бързодействие и при пикови натоварвания, но те са малък процент от общото време. Терминалния сървър Ви позволява да използвате компютъра на потребителя като тънък клиент. На пазара се предлагат и специално разработени тънки клиенти. Функцията на това устройство е да свърже монитор, клавиатура, мишка и външни устройства (обикновено USB-устройства). Цената на тези устройства започва от $ 150 и достига до по-скъпи модели от $ 850.

Възможно ли е да се закупи пълноценен офис компютър за толкова пари?

Дори при еднаква цена на придобиване спрямо настолен компютър, то общата цена на притежание е по-ниска в полза на тънкия клиент:

- по-дълъг среден живот на тънкия клиент – 6 години (според различни източници дори до 10 години) спрямо 3 години за настолна система. Разликата се дължи на липсата на механично движещи се части в терминалната станция (няма вентилатор на процесора, няма твърд диск, няма оптично устройство, захранващия модул е изведен навън, като при преносимите компютри);
- по-ниско енергопотребление – между 5 до 10 пъти (почти един порядък!);
- липса на шум (след като няма вентилатори и движеща се механика!);
- бърза подмяна на дефектирало устройство – просто се слага ново, закачат се кабелите към него и потребителя се свързва към своята терминална сесия на сървъра. Курсора му ще мига на същото място, точно както в момента на дефект на старата терминална станция.
Горното важи и при спиране на електрозахранването – необходимо е да защитим само сървъра. След възстановяване на електрозахранването всички терминални потребители ще влязат в своите сесии и ще продължат работа от същото място без дори да са запазвали последните промени.

Основният извод

Терминалния сървър с тънки клиенти Ви позволява да запазите парите си и да се опрости управлението на ИТ инфраструктурата, както в началния етап, така и при експлоатацията! Кога цената на придобиване се изравнява при терминално решение и класическото може да прочетете в тази статия.

Практиката

Преди няколко месеца решихме да въведем в експлоатация терминален сървър обслужващ офиса на наш клиент. След няколко месеца щяха да се навършат четири години от закупуването на работните станции, а натоварването се увеличи и беше наложително да се извърши планирана замяна. Нашето предложение включваше закупуване на нов сървър, но не и на офис компютри.

Терминален сървър:
- хардуер
2xXeon 5355 2x2.66GHz, 32GB памет, 4x146Gb SAS 15000rpm (RAID 10)за операционна система и приложения, 4x146Gb SAS 15000rpm (RAID 10)за потребителски профили, 2x73Gb SAS 15000rpm (RAID 0)за виртуална памет;

- софтуер
Microsoft Windows 2008 Standard 64bit.

Решението бе да закачим терминалния сървър към домейн контролера (MS Windows 2003 Server). Поради желанието за тест от страна на клиента, първоначално мигрирахме текущите потребителски профили, само на подбрани потребители. Лицензите за клиентски достъп до терминален сървър на Майкрософт са платени, но могат да бъдат пуснати за 4+1+1 месеца (общо 6) за произволен брой потребители тестово(без ограничение във функционалността) и безплатно за тестовия период.
Клиента остана доволен от резултата. Всички стари офис компютри се запазват и постепенно се превръщат в терминални станции, т.е. потребителя спира да работи локално след прехвърлянето на профила му на терминалния сървър. Работните станции ще бъдат заменени от тънки клиенти едва след физическа повреда. Това запазва инвестицията на клиента направена преди почти 4 години.
Тестовия период предоставен от Майкрософт позволява на клиента да се увери, кои от потребителите могат да се възползват от терминалната среда на работа и едва след това да се закупи необходимия брой лицензи.


Положителни страни:

Производителност

Значително се подобри производителността на служителите (57 терминални потребителя в момента).
Работейки на един, но много по-мощен сървър спрямо всеки един отделен офис компютър, производителността на всеки един от тях е значително по-висока. Работата на терминалните потребители се подобри откъм бързодействие. Средното ниво на натовареност за физически процесор е около 60% - 75% по време на работния ден. Оперативната памет достига пикова натовареност до 27 GB.

Улеснена администрация

Всички потребителски профили са инсталирани на една машина, чиято конфигурация е една и съща за всички потребители от гледна точка на операционна система и драйвери. Пускането на нов потребител изисква само създаване на нов профил (може да се копира от предварително създаден профил – образец). Всички приложни програми изискват само една инсталация – компютъра все пак е само един, но можем да разрешим на определени потребители да ги използват.
Правата на потребителите определено са потъпкани – всичко е забранено с изключение на приложения и дейности включени в длъжностната характеристика на съответния потребител.

Допълнителни придобивки

Достъпът до терминалния сървър може да бъде осъществен, както през фирмената локална мрежа, така и през интернет. Например тази статия я пиша седнал удобно вкъщи, но съм закачил своя преносим компютър, като терминален клиент към фирмения ни терминален сървър. Всъщност цялата обработка на информацията се случва там някъде, в отдалечения дейта център. Обаче това е удобство. Мога да довърша статията в хотел или произволно място с достъп до интернет. Ставам независим от мястото. С не по-малък успех мога да съм пътуващ търговец или служител в командировка, но с достъп до всички небходими ми за работата ресурси.


Какви проблеми и пречки, срещнахме в хода на работа:

Приложен софтуер

Не всички производители на приложен софтуер са счели за нужно да пригодят своя софтуер за използване под терминален сървър. Проблемът е в това, че когато софтуера се инсталира, той не прави небходимите промени в регистрите за всички отделни потребители. Друг проблем е заключването на файлове използвани от различни потребители едновременно. По отношение на българските производители на приложен софтуер, прави приятно впечатление тяхната отзивчивост при възникване на подобни трудности и готовността им за съдействие. В повечето случаи сме получавали готово решение в напълно приемливи срокове.

Споделени устройства

Принтерите рядко са препъни камък, но трябва да се има предвид, че техните драйвери се инсталират на сървъра. Трябва да сме сигурни, че техния производител поддържа драйвери за операционната система на нашия сървър. Не трабва да се забравя, че принтера не е локално закачен на сървъра, а към тънкия клиент (и тук трябват драйвери). Заявките са печат понякога могат да бъдат доста обемисти. В локална мрежа това не създава трудности заради високата скорост на съвремените мрежи. При отдалечени офиси, чиито служители се свързват към централния офис за да достъпят терминалния сървър при тежки заявки за печат може да се наблюдава драстично забавяне на опресняването на екрана ( поради заемане на целия капацитет на връзката от печата). И това е решимо с приоритетизация на трафика. С най висок приоритет остава терминалната сесия, а с по-нисък заявката за печат.
Препоръчваме използването на мрежови принтери и мрежови скенери за работа в терминална среда.

Специфичен хардуер

Съществуват специфични приложения комбинирани с хардуер, но обикновенно са предвидени да работят на офис компютър. При тях решенията за използване под терминален сървър са уникални и не винаги има работещо решение.

Тежки графични приложения

Точно тук не е силата на терминалния модел на работа. Това се дължи на липсата на хардуерно ускорение на видеопотока. С две думи не се опитвайте да използвате сериозна графика (дизайн, проектантска дейност, инженеринг и т.н.) в терминална сесия. Има решение с графична станция с параметрите на сървър, но оптимизиран за работа със сложни изображения. Тя се монтира именно в сървърното помещение и достъпа до нея е чрез специализиран тънък клиент през локалната мрежа. Голямата разлика е в наличието на добър графичен контролер в тънкия клиент и различния протокол за комуникация между графичната станция и нейния тънък клиент спрямо стандартните терминални решения.

Изводите:

Очакванията от прехода към терминален сървър се оправдаха напълно. Резултатът е по-продуктивна система, значително по-малка инвестиция, значително по-малко консумирана енергия в бъдеще – след подмяна на офис компютри с тънки клиенти, нови възможности за фирмата – отдалечени работни места или дори виртуален офис (фирмата в която работи автора осъществява дейност без физически офис от създаването си през 2002 година). В хода на имплементация срещнахме проблеми, но никой от тях не се оказа фундаментален и нерешим.

Преход от локални десктоп компютри към тънки клиенти може да се извърши в повечето отдели на клиентите. В нашия случай беше поставено началото на тази миграция. То е и най-скъпоструващото в цялото решение – сървъра със съответните софтуерни лицензи. Въпреки това подмяната на компютрите за 57 служители при всички случай беше по-скъпо от закупуването на нов сървър.
По този начин спестихме значителни средства и отворихме нови възможности пред тази компания.


4 April 2009

IPSec през БТК ADSL

"Вдигане" на site-to-site IPSec VPN през БТК ADSL услуга е общо казано - приключение. Това не означава, че е невъзможно, но е свързано с множество проби, тестове и загуба на време. Но тъй като всички случаи са частни е грешно да се слагат под общ знаменател. Разликите са от вида на модема, версията на фърмуера, рутера зад него, който ще прави VPN-а, адекватни настройки на MTU, NAT Traversal и не на последно място - задклавиатурното устройство, което ги конфигурира.
Ако VPN ви е нужен за корпоративни цели – означава, че бихте могли да си позволите по-качествен и по-евтин интернет от местния кабелар. Разбира се, БТК може да ви предложи гарантирана услуга, но тя не се казва ADSL и не струва толкова пари. Има и случаи, в които ADSL е единствената и/или най-бърза алтернатива по места и затова понякога е нужно да се съобразяваме с наличното.
Всички знаем, че трябва да избягваме double side NAT, т.е. по възможност една от страните да не е зад NAT. Ако не може да се спази това условие, особено при IPSec тунел през ADSL пренос, би ви коствало време и нерви, като резултата никога не е гарантиран!

Да играем ли по правилата?
БТК си „връзва” гащите с едноличния контрол върху ADSL модемите и това е по разбираеми причини - за добро или лошо. Но защо да не избегнем NAT „услугите” на ZXDSL 831. Този „advanced device” работи чудесно в bridge mode – не забива и не чупи сесии. Ефекта е, че модема вече не се интересува от сесиите - той само качва MAC фрейма върху AAL5 и става напълно прозрачен за L3 ( TCP/IP ).
При няколко VPN имплементации с ADSL пренос, проблемите с NAT и със забивите на устройствата съм решавал с bridge mode на наличния модем или с друг ADSL модем/рутер. На нашия пазар съм виждал налични 3Com и D-Link, като приблизителната цена за D-Link беше 90 лв. Друг тестван и работещ вариант е с PCI карта Sangoma S518 и Open Source решение – в случая – Vyatta върху x86 PC.

ZXDSL 831IIV4.0.0f_B09_BG1
Смятам, че не е редно да описвам паролата за достъп до модема. Всеки би се почувствал „некомфортно” ако открие в Интернет парола с упътване за „менажиране” на собствената ви страница или блог. Доста верни и неверни неща са изписани по форумите, но в крайна сметка информацията е налична и процедурата за бриджване е изпълнима. Работи надеждно в няколко мои имплементации, където VPN-а се посреща от Juniper SSG или Linux машина зад ADSL модема.
Тънкия момент е получаване на PPPoE username / password. Приемаме, че разполагаме с име и парола и сме достъпили web-a.

- отворете http://192.168.1.1/constatus.html
- разкачате PPPoE връзката – изписва се username и скрита парола
- разглеждаме сорса на страницата (чрез Ctrl+U за Firefox), където се съдържа търсеното.
Изглежда по следния начин:

pppUserName.value = '4jjhtsE7ENB2jUSD';
pppPassword.value = base64Decode('SsetGlF6R3RGRnRqenPuDO==');

Виждаме, че паролата е кодирана (не е задължително при различните модели и версии на фърмуери) и за да я получим в чист вид (както username) – използвам http://www.motobit.com/util/base64-decoder-encoder.asp
или всеки един онлайн base64-decoder-encoder.

Bridging

Protocol: Bridging
Encapsulation Type: LLC/SNAP
В този режим всички пакети получени от един интерфейс (като АТМ PVC) се предават към другия интерфейс (LAN в случая). Тук можем да укажем IP адрес на LAN интерфейса. По принцип не е нужно да бъде модифицирано.


NEXT >


APPLY > REBOOT
След като рестартирането е приключило – DIAG LED изгасва. Модемът е в бридж режим и конфигурираме PPPoE на устройството зад модема.

3Com WL-542 – ADSL Wireless G Router

Тук използвам 3Com WL542 не по-различно от бтк-модем – единствено с надеждата за по-качествен хардуер. Дали е ценово ефективно? – само ще спомена, че този модем беше изровен от кашон на мой приятел с ИТ „скъпоценности”. Имплементацията е направена от спортна тръпка за пускане на друг ADSL модем, различен от този на БТК.

По-долу виждате видове връзки предлагани от 3Com-a, а използвания от мен режим е PPPoE.



Имам си PPPoE username / password
VPI / VCI = 0 / 35
Encapsulation - LLC



Пускане в bridge mode (For a single PC) е елементарно и следва описаната по-горе идеология. Тогава зад въпросния 3Com-WL542, Juniper SSG5 прави PPPoE и съответно IPSec site-to-site тунел по стандартна конфигурация.

Ето и сета за PPPoE на SSG5:
set pppoe name “adsl”
set pppoe name “adsl” username “4jjhtsE7ENB2jUSD” password “XXXXXXXXX”
set pppoe name “adsl” idle 0
set pppoe name “adsl” interface ethernet0/0
set pppoe name “adsl” auto-connect 60

GUI изглед:


Резултата е налице, връзката е стабилна и зависи предимно от надеждността на PSTN свързаността.

Vyatta 5.0.2 + Sangoma S518 ADSL Data Only Card (Annex A)



Решение с PC x86, Vyatta 5.0.2 Community Edition и Sangoma ADSL card.
Интересна постановка, но след непрекъсваемите забиви дори на сменения от страна на БТК ADSL модем, клиента се принуди да търси друг вариант. Използваната до момента Vyatta 4 беше обновена до 5.0.2, а DSL картата беше закупена през eBay за 45 $ без шипинг (цена за нова карта е около 120-130$). Скъпо удоволствие на фона на "безплатен" БТК модем, но ако се търси надеждност на хардуер при единствена алтернатива - ADSL свързаност - това е едно от решенията.
Sangoma е един от основните спонсори на Vyatta и обещават, че вече има 100% подръжка на техния хардуер. Във версия 4.1.3 – bug tracker-a казва, че PVC AUTO – не винаги детектва правилно VPI/VCI, но с актуалната версия при мен – нещата тръгнаха от първия път. Картата се оказа, че не е „истинска” Sangoma, a е Globespan Semiconductor Inc. Pulsar, но това не беше проблем.

Първо проверяваме мнението на линукса за PCI шините:
lspci
00:08.0 Network controller: Globespan Semiconductor Inc. Pulsar [PCI ADSL Card] (rev 01)

Проверяваме кои kernel модули се зареждат. Wanpipe е важен, за да може Vyatta да открие ADSL картата:
wanec 326456
wanpipe_lip 103300
af_wanpipe 34496
wanpipe 435356
wanpipe_syncppp 27864
wanpipewanrouter 39528
wanec,wanpipe_lip,af_wanpipe,wanpipe,wanpipe_syncpppsdladrv 65152 2 wanpipe,wanrouter

Vyatta CLI – ADSL PPPoE set
set interfaces adsl adsl0 pvc auto pppoe 0 default-route auto
set interfaces adsl adsl0 pvc auto pppoe 0 user-id
set interfaces adsl adsl0 pvc auto pppoe 0 password
set interfaces adsl adsl0 pvc auto pppoe 0 firewall in name FROM-EXTERNAL
set interfaces adsl adsl0 pvc auto pppoe 0 firewall local name TO-ROUTER

Като прочетох за кризата и реших да напиша и аз нещо по въпроса

Много познати, приятели, колеги питат "Как е във кризата? Има ли работа?" ... "Много е добре!", отговарям "Супер много работа се отваря, с една малка подробност: "Пиши в тефтера" и като ми платят, ще ти платя. Чакай малко .. и така няколко месеца.

Вярно, че може и да сме в срадата на кризата, но може и да сме в началото ... дано края й да се вижда ... но ако някой го е забелязъл, нека да каже къде да гледаме.

Та за работата: рално работата не само,че не спада а може да се окаже, че за ИТ сектора ще се увеличи. Работната ръка се умножи: за две седмици блисо 100 кандидата се появиха, да работят в ИТ компания. Ситуация коренно различна от 4-та кандидата по това време миналата година. И каква е разликата: Много качествени кандидати: хора с опит, образование и достойнство. Оставени на улицата от големи западни компании, назначили нови мениджъри "внос" от техинте си страни, заместващи нашите специалисти и спасявайки кожата и работата на сънародниците си. Всъщност каква е ситуацията с Българските компании?

Какво се промени: Тарсим проекти и хора за проектите и увеличаваме веригата ... работим на парче и плащаме на платено парче ... ама къде отиде сигурността? Ами имало ли е сигурност? Нима сегашната ситуация не е доказателство, че сигурност и гаранция релано няма ... то е като да си платиш застраховка и като ти изгори колата, да ти кажат ... по условията на застрахователя не го плащаме: чели ли сте си застрахователните условия или чак при застрахователно събитие осъзнаваме, че не е застрахователно .. и защо плащаме ..

Стига за застраховките ... няма бизнес, няма софтуер за управление на бизнеса ... няма вече служители, няма ИТ за тях ... веригата е пълна. Не ми плащат и затова не им плащам или още по-готиното ... чакам тия дни да ми платят едни пари и веднага ти плащам.

И ето ролята на техонологиите: освобождаваш 5 служителя и отиваш и ползваш услуги на експерти, които по-добре и по-качествено ти вършат работата, та и по-добре даже. Търсиш ефективност - Който не работи няма да яде! ... Георги Димитров го беше казал, ако не се лъжа, ама ситуацията става точно такава. Който може да работи, той ще изкара пари и ще оцелее. Искат се повече усилия и умения и четене и време, за същите пари, които преди време сме изкарвали по-леко и без особено напрежение.

Предплатените услуги? Къде е изхода ... някой да подскаже?