Microsoft Corporation Sozdanije Web Reshenij Vysokoj Dostupnosti Na Osnove Microsoft Windows 2000

Exam 70-226

Designing HighlyAvailable WebSolutions with

Microsoft®

Windows 2000Server Technologies

Microsoft Press

Сертификационныйэкзамен 70-226

СозданиеWeb-решений высокойдоступности на основе

мWindows' 2000Server

Официальное пособие Microsoftдля самостоятельной подготовки

Москва, 2002

М . Р У С С Ш HHU

УДК 004.43

ББК 32.973.26-018

М59

Microsoft Corporation

М59 Создание Web-решений высокой доступности на основе Microsoft

Windows 2000 Server. Учебный курс MCSE/flep. с англ. — М.: Издательс-

ко-торговый дом «Русская Редакция*, 2002. — 576 стр.: ил.

ISBN 5-7502-0196-1

Этот учебный курс посвящен созданию высокодоступных Web-решений наоснове технологий Microsoft Windows 2000 Server. Вы научитесь проектироватьтопологии сетей с резервированием компонентов, подключений и служб, а такжеузнаете, как использовать технологии кластеризации, такие, как служба баланси-ровки сетевой нагрузки, служба кластеров в Windows 2000 и Microsoft Application

Center 2000, как оценить необходимый объем ресурсов, а также как интегриро-вать службы каталогов и приложения в Web-решения. Наконец, вы узнаете, какспланировать систему зашиты Web-сайта, выполнять мониторинг и аудит систе-мы, а также создавать план действий в чрезвычайных ситуациях и при сбоях.

Учебный курс предназначен архитекторам сетей, специалистам по тех-нической поддержке, консультантам, квалифицированным пользователям ивсем, кто хочет получить исчерпывающие знания в области проектирования,внедрения и поддержки Web-решений на базе Windows 2000 Server и IIS. По-

мимо теоретического матери;ша курс содержит тренинги, практикумы и кон-трольные вопросы для самопроверки. Он поможет вам подготовиться к экза-мену по программе сертификации Microsoft (Microsoft Certified Systems En-

gineer. MCSE) № 70-226: Designing Highly Available Web Solutions with MicrosoftWindows 2000 Server Technologies.

УДК 004.43ББК 32.973.26-018.2

Подготовлено к изданию по лицензионному договору с Microsoft Corporation, Ред-моид, Вашингтон, США.ActiveX, JScript, Microsoft, Microsoft Press, MSDN, MS-DOS, PowerPoint, Visual Ba-sic, Visual C++. Visual InterDev, Visual SourceSafe, Visual Studio, Win32, Windows иWindows NT являются товарнь ми знаками или охраняемыми товарными знакамикорпорации Microsoft в США и/или других странах. Все другие товарные знаки яв-ляются собственностью соответствующих фирм.

Все названия компаний, организаций и продуктов, а также имена лиц, используемыев примерах, вымышлены и не имеют никакого отношения к реачьным компаниям,организациям, продуктам и лииам.

® Оригинальное издание на английском языке,Microsoft Corporation, 2002

«Э Перевод на русский язык, Microsoft Corporation, 2002ISBN 0—7356—1425—3 (англ.) tc) Офор^тение и подготовка к изданию, издательско-ISBN 5-7502-0196-1 торгоиый дом «^Русская Релакиня», 2002

Содержание

Об этой книге XV

Глава 1 Основные сведения о разработке Web-решенийвысокой доступности 1

Занятие 1. Общие сведения о Web-решениях высокойдоступности 3Windows 2000 Advanced Server 4Специальная терминология 5Web-модель бизнес-приложений 9Резюме 14

Занятие 2. Измерение доступности системы 16Метрики доступности 16Причины простоев 19Контрольный список для мониторинга доступности 21Резюме 22

Занятие 3. Обеспечение доступности системы 24Проектирование сайта высокой доступности 24Резюме 30

Закрепление материала 30

Глава 2. Сетевая инфраструктура 31Занятие 1. Разработка топологии высокодоступной сети 33Сетевая топология 33Принятие решения 44Пример, Сеть с резервированием 46Резюме 47

Занятие 2. Проектирование схемы адресации подсетей в сетиTCP/IP 48Разбиение на подсети многоуровневой Web-среды 48Принятие решения 54Пример. Web-среда с подсетями 55Резюме 59

Тренинг 2-1. Резервирование топологии сети 60

Занятие 3. Разработка среды DHCP-серверов в сети TCP/IP 62Служба DHCP в Windows 2000 62Принятие решения 71

Рекомендации 73Пример. Настройка DHCP 73Резюме 74

Занятие 4. Разработка инфраструктуры разрешения именв сетях TCP/IP 76Иерархия и именование в DNS 76Принятие решения 85Пример. Пространство имен DNS 86Резюме 89

Практикум 2-1. Разработка высоконадежной сетевойинфраструктуры 90Цель 90В этом практикуме 90Прежде всего 90Исходные данные. Web-сайт компании Contoso 90Упражнение 1. Резервирование компонентов исетевых подключений 91Упражнение 2. Разбиение сети TCP/IP на подсети 92Упражнение 3. Построение пространства имен 93


Глава 3. Конфигурирование серверов 97Занятие 1. Разработка отказоустойчивой системы 98Конфигурации высокой доступности _ 98Принятие решения 105Рекомендации 107Пример. Отказоустойчивая система 108Резюме 108

Занятие 2. Разработка высокодоступных устройствхранения данных 110Отказоустойчивость дисков 110Принятие решения 119Рекомендации 120Пример. Выбор RAID-конфигурации для компанииTailspin Toys 120Резюме 121

Практикум 3-1. Планирование конфигурации RAID 122Цель 122В этом практикуме 122Прежде всего . 1 2 2

Исходные данные. Отказоустойчивое хранилище данных дляиздательства Lucerne Publishing 122Упражнение 1. Планирование конфигурациифайлового сервера 123Упражнение 2. Конфигурирование файлового сервера иоперационной системы 124Упражнение 3. Конфигурирование контроллерадомена и служб 125Упражнение 4. Конфигурирование серверовреляционных баз данных 125


Глава 4. Служба кластеров Windows 2000 127Занятие 1. Основные сведения о кластерах серверов 129Общие сведения о кластерах 129Компоненты кластера серверов 131Объекты кластера серверов 133Архитектура службы кластеров 140Резюме 143

Занятие 2. Проектирование конфигурации кластеров серверов .. 144Проектирование кластера серверов 144Принятие решения 151Пример. Кластер серверов в компании Northwind Traders 154Резюме 155

Тренинг 4-1. Планирование групп ресурсов 156

Занятие 3. Выбор модели кластера 157Модели серверных кластеров 157Принятие решения 165Рекомендации 166Пример. Высоконадежный кластер банка Woodgrove 166Резюме 167

Практикум 4-1. Проектирование серверного кластера 168Цель 168В этом практикуме 168Прежде всего 168Исходные данные 168Упражнение 1. Выбор модели кластера 169Упражнение 2. Создание групп ресурсов 169Упражнение 3. Определение политики перемещения при сбое . . . 170


Глава 5, Балансировка сетевой нагрузки 173Занятие 1. Основные сведения о службебалансировки сетевой нагрузки 175Использование нескольких серверов 175Служба балансировки сетевой нагрузки в Windows 2000 17<SКак работает служба балансировки сетевой нагрузки 179Перегруппировка 182Архитектура службы балансировки сетевой нагрузки 186Использование службы балансировки сетевой нагрузки 189Резюме 191

Занятие 2. Планирование NLB-кластеров 192Планирование NLB-кластера 192Принятие решения 198Рекомендации 199Пример. NLB-кластер для компании Northwind Traders 200Резюме 201

Тренинг 5-1. Циклическое обслуживание DNS в системес несколькими кластерами 202

Занятие 3. Выбор модели NLB-кластера 203Модели NLB-кластеров 203Принятие решения 212Рекомендации 213Пример. Конфигурация NLB-кластера для сайтаполитехнического музея 214Резюме 215

Практикум 5-1. Планирование кластера NLB 216В этом практикуме 216Прежде всего 216Исходные данные 216Упражнение 1. Определение приложений для работы в кластере .. 217Упражнение 2. Выбор модели службы NLB 217


Глава 6, Microsoft Application Center 2000 219Занятие 1. Базовые сведения об Application Center 221Компоненты Web-сайта .- 221Краткий экскурс по функциям Application Center 223Балансировка нагрузки 225Синхронизация и развертывание 227Мониторинг . 228

Архитектура Application Center 229Типы кластеров 231Резюме 234

Занятие 2. Проектирование кластеров на базе Application Center . 236Планирование кластера на основе Application Center 2000 236Принятие решения 244Пример. Кластер на базе Application Center 246Резюме 247

Тренинг 6-1. Определение компонентов кластера на базеApplication Center 247

Занятие 3. Проектирование кластеров со службой CLB 249СлужбаСЬВ 249Принятие решения 258Пример. CLB-кластер компании Consolidated Messenger 260Резюме 261

Практикум 6-1. Проектирование кластеров с использованиемApplication Center 263Цель 263В этом практикуме 263Прежде всего 263Исходные данные. Кластер компании Trey Research 263Упражнение 1. Проектирование стандартното/\УеЬ~кластера . 264Упражнение 2. Проектирование кластерамаршрутизации запросов СОМ+ 264Упражнение 3. Проектирование кластера приложений СОМ+ , . . 265


Глава 7 Планирование ресурсов 267Занятие 1. Основные сведения о планировании ресурсов 269Трафик 269Производительность 275Доступность 277Масштабируемость 278Резюме 278

Занятие 2. Затраты на обслуживание пользователей 279Общие сведения об определении затрат 279Определение затрат в расчете на одногопользователя 281Резюме . 295

Тренинг 7-1. Вычисление нагрузки на процессоры 296

Тренинг 7-2. Определение необходимой пропускнойспособности сети 297

Занятие 3. Планирование ресурсов сети 298Планирование ресурсов 298Принятие решения : 310Пример. Планирование ресурсов сайта в компанииCoho Vineyard 312Резюме 313

Практикум 7-1. Определение необходимых процессорныхресурсов и пропускной способности сети 315Цель 315В этом практикуме 315Прежде всего 315Исходные данные 315Упражнение 1. Определение максимального числа пользователей 316Упражнение 2. Определение требованийпо мощности процессоров 318Упражнение 3. Определение необходимойпропускной способности 319


Глава 3. Службы каталогов 321Занятие 1. Основные сведения о службе каталоговActive Directory 323Знакомство с Active Directory 323Объекты Active Directory 324Структура Active Directory 325Репликация в Active Directory 330Резюме 333

Занятие 2. Планирование физической структуры Active Directory . 334Планирование 334Принятие решения 340Пример. Физическая структура Active Directory в банкеWoodgrove ; . . 342Резюме 343

Практикум 8-1. Проектирование физической структурыActive Directory 344Цель ; 344В этом практикуме 344

Прежде всего 344Исходные данные 344Упражнение 1. Определение структуры сайтов 345Упражнение 2. Размещение контроллеров домена 346Упражнение 3. Определение топологии межсайтовойрепликации 346Упражнение 4. Размещение серверов глобального каталогаи хозяев операций 347


Глава 9, Интеграция приложений 349Занятие 1. Определение стратегии развертыванияWeb-приложения 351Интеграция приложений 351Принятие решения 359Пример. Распределенное приложение для компании Trey Research 360Резюме 362

Тренинг 9-1. Развертывание Web-приложения 363

Занятие 2. Проектирование стратегии интеграции базы данныхв Web-среде 364Доступ к базе данных из Web-приложений 364Принятие решения 374Пример. Интеграция базы данныхдля компании Margie's Travel .. 375Резюме 377

Тренинг 9-2. Деление данных на разделы в БД SQL Server 378

Занятие 3. Проект интеграции сервера Microsoft Exchangeв Web-решении 379Компонент Outlook Web Access 379Принятие решения 385Пример. Организация Web-доступа к почтовымящикам в компании Northwind Traders 386Резюме 388

Практикум 9-1. Интеграция Web-приложенияв распределенной среде 389В этом практикуме 389Прежде всего 389Исходные данные 389Упражнение 1. Проектирование прикладнойструктуры IIS 390Упражнение 2. Интеграция SQL Server в структуре приложений .. 390

Упражнение 3. Установка Exchange 2000 Server на Web-сайте 391


Глава 10. Безопасность сети 393Занятие 1. Разработка стратегии аутентификации 395Методы аутентификации в I1S 395Принятие решения 401Пример. Стратегия аутентификации для компании Trey Research . 403Резюме 404

Занятие 2. Разработка стратегии авторизации 405Авторизация пользователей 405Принятие решения 411Пример. Стратегия авторизации для компании Wide World Importers '. .- 413Резюме 414

Тренинг 10-1. Устранение неполадок предоставления доступа . . 4 1 5

Занятие 3. Разработка стратегии шифрования 416Шифрование данных 416Принятие решения 421Рекомендации 422Пример. Стратегия шифрования для компании City Power & Light 422Резюме 423

Занятие 4. Планирование системы безопасности с применениембрандмауэров 425Принятие решения 431Пример. План системы безопасности с применениембрандмауэров для банка Woodgrove 432Резюме 432

Практикум 10-1. Планирование сетевой защиты 434Цель 434В этом практикуме 434Прежде всего 434Исходные данные 434Упражнение 1. Планирование стратегииаутентификации и шифрования 436Упражнение 2, Планирование стратегии авторизации 436Упражнение 3. Планирование системы зашиты сетис применением брандмауэром 437


Глава 11 Мониторинг систем и действияв чрезвычайных ситуациях 439

Занятие 1. Разработка плана мониторинга системы 441Мониторинг производительности 441Принятие решения 454Пример. Мониторинг памяти в издательстве Lucerne Publishing . . . 456Резюме 457

Тренинг 11-1. Инициирование оповещения об изменениях в работепроцессора 457

Занятие 2. Создание стратегии аудита безопасности 459Аудит системы 459Протоколирование операций на сайте 462Принятие решения 464Рекомендации 466Пример. Аудиг каталога в компании Fourth Coffee 466Резюме 467

Тренинг 11 -2. Аудит Web-узла 468

Занятие 3. Проектирование стратегии восстановленияв чрезвычайных ситуациях 469Восстановление в чрезвычайных ситуациях 469Принятие решения 475Рекомендации 476Пример. Подготовка средств восстановленияв компании Coho Vineyard 476Резюме 477

Практикум 11-1. Разработка стратегии мониторинга и аудитасистемы 478Цель 478В этом практикуме 478Прежде всего 478Исходные данные 478Упражнение 1. Создание стратегии мониторинга системы 479Упражнение 2. Создание стратегии аудита системы 480


Приложение Вопросы и ответы 483

Об этой книге

Мы рады представить вам учебный курс MCSE «Создание Web-ре-шений высокой доступности на основе Microsoft Windows 2000 Ser-ver*. В нем изложены принципы создания высокодоступных Web-ре-шений на основе технологий Microsoft Windows 2000 Server.

Изучив его вы научитесь проектировать топологии сетей с резер-вированием компонентов, подключений и служб, а также узнаете, какиспользовать технологии кластеризации, такие, как служба баланси-ровки сетевой нагрузки (Neywork Load Balancing, NLB), служба клас-теров в Windows 2000 и Microsoft Application Center 2000, как оценитьнеобходимый объем ресурсов, а также интегрировать службы катало-гов и приложения в Web-решении. Наконец, вы узнаете, как плани-ровать систему защиту Web-сайта, выполнять мониторинг и аудитсистемы, а также создавать план действий в чрезвычайных ситуацияхи при сбоях

Примечание Подробнее о программе сертификации специалистовMicrosoft Certified Systems Engineer— в разделе «Программа сертифи-кации специалистов Microsoft» далее в этой главе.

Главы состоят из занятий, тренингов и практикумов. Каждая гла-ва заканчивается разделом «Закрепление материала». Моделируяпредлагаемые в этом разделе ситуации, вы сможете оценить, насколь-ко усвоили материал главы. В занятиях подробно рассказано, какпринимать решения в процессе создания проекта; после большинствазанятий предлагаются тренинги, выполняя которые вы сможете при-обрести практические навыки.

Книга содержит множество примеров, которые облегчают воспри-ятие и усвоение материала, а также иллюстрируют принятие реше-ния в каждом конкретном случае.

В упражнениях подобраны примеры по темам занятий главы. Онинаглядно демонстрируют то, как от решений, принимаемых в про-цессе разработки проекта, зависит эффективность завершенного ре-шения.

Наконец, в практикумах моделируется конкретная ситуация, наоснове которой вам предлагается создать завершенный проект.

Кому адресована эта книгаДанный курс предназначен специалистам в области информацион-ных технологий:• проектировщикам сетей (архитекторам сетей, специалистам по

технической поддержке среднего звена, консультантам), планиру-ющим проектировать, внедрять и поддерживать Web-решения набазе Windows 2000 Server и IIS;

• тем, кто желает стать проектировщиком (архитектором) сетей;• тем, кто планирует сдать сертификационный экзамен 70-226.

Требования к читателямДля успешного изучения материала и понимания концепций и задач,изложенных в учебном курсе, требуется предварительная подготовка.Как минимум, необходимо:• практическое знание сетевых технологий, в особенности Web-

сред;• по крайней мере двухгодичный опыт внедрения, администриро-

вания или конфигурирования сетевых операционных систем, втом числе сетей Windows 2000 Server и IIS;

• наличие навыков работы » многоуровневых прикладных средах соследующими характеристиками:• число одновременно подключенных пользователей от 1000 и

выше;• поддержка транзакционных приложений;• поддержка базы данных о клиентах, такой, как LDAP-каталоги

или службы каталогов;• обеспечение безопасность работы в Интернете, в том числе

посредством брандмауэров, безопасных протоколов и прокси-серверов;

• службы обеспечения высокой доступности, в том числе NLB,CLB, служба кластеров и Application Center 2000;

• не обязательно, но желательно выдержать следующие основныеэкзамены Microsoft Windows 2000 MCSE:• 70-215: Installing, Configuring, and Administering Microsoft Windows

2000 Server,• 70-216: implementing and Administering a Microsoft Windows 2000

Network Infrastructure.

Справочные материалы• Книга Ховарда Майкла (Howard Michael), Марка Леви (Marc Levy)

и Ричарда Веймира (Richard Waymire) «Designing Secure Web-BasedApplications for Microsoft Windows 2000». Redmond, Washington:Microsoft Press, 2000;

• Курс «Microsoft Corporation. MCSE Training Kit — Designing Mic-rosoft Windows 2000 Network Security». Redmond, Washington: Mic-rosoft Press, 2001;

• Курс «Microsoft Corporation. MCSE Training Kit — Microsoft Win-dows 2000 Server», Redmond, Washington: Microsoft Press, 2000;

• Ресурсы «Microsoft Corporation. Microsoft Application Center Re-source Kit». Redmond, Washington: Microsoft Press, 2001.

• Ресурсы «Microsoft Corporation. Microsoft Windows 2000 ServerResource Kit». Redmond, Washington: Microsoft Press, 2000.

• Ресурсы «Microsoft Corporation, Microsoft SQL Server 2000 ResourceKit». Redmond, Washington: Microsoft Press, 2001.

• Ресурсы «Microsoft Corporation. Microsoft Exchange 2000 ServerResource Kit». Redmond, Washington: Microsoft Press, 2001.

• Техническая информация и материалы о продуктах Microsoft (нтом числе «белые книги», рассказы о реальных проектах и базо-вая информация), доступные на Web-странице по адресу http://www.microsoft, com/1echnet/\

• «бедые книги», рассказы о реальных проектах и базовая информа-ция по Windows 2000, доступные на Web-странице по адресу http://www.microsofl.com/windows/server.

Компакт-диск с дополнительнымиматериалами к курсуНа прилагаемом к книге компакт-диске хранится полная электрон-ная версия книги с поддержкой контекстного поиска. Подробнее оработе с электронной версией книги— в разделе «Электронный ва-риант книги». На компакт-диске, прилагаемом к книге, хранится так-же пробная версия Microsoft Application Center 2000.

Структура книги• Каждая глава начинается с раздела «В этой главе», содержащего

краткий обзор обсуждаемых тем.• Главы состоят из занятий, тренингов и практикумов.

этой книге

• Каждую главу завершает раздел «Закрепление материала», вопро-сы которого помогут вам проверить, насколько твердо вы усвоилиматериал,

• В приложении «Вопросы и ответы» собраны вопросы всех главкниги и ответы для самопроверки.

ПримечанияПрактически во всех главах встречаются примечания разных видов.• Совет — поясняет возможный результат или описывает альтерна-

тивный метод решения задачи.• Внимание! — предупреждает вас о возможной потере данных или

содержит сведения, необходимые для выполнения поставленнойзадачи.

• Примечание — содержит дополнительную информацию.

Обозначения• Курсивом выделяются важные термины, положения и другие су-

щественные сведения, после которых в скобках, как правило ука-зан их английский эквивалент.

• Имена файлов, папок и каталогов начинаются с прописных букв(за исключением имен, которые вы задаете сами).

• Расширения имен файлоз набраны строчными буквами.• Аббревиатуры обозначаются ЗАГЛАВНЫМИ БУКВАМИ.• Примеры кода, текста, отображаемого на экране и вводимого в

командной строке, набраны м о н о ш и р и н н ы м шрифтом.Значками на полях помечены конкретные разделы.

Значок Описание

Тренинг или практикум, выполняя задание котороговы закрепите навыки, приобретенные при изученииматериала

Вопросы, отвечая на которые вы проверите, насколькотвердо и безошибочно усвоили изложенный материал.Вопросы обычно сгруппированы в конце главы вразделе «Закрепление материала», ответы длясамопроверки помещены в приложение «Вопросы иответы*

Соглашения о фиктивных именах организацийВсе используемые в книге имена компаний, доменов и варианты по-строения сетей не имеют ничего общего с реальными. Авторы пред-приняли для этого все меры

Обзор глав и приложенийМатериал этого учебного курса познакомит вас с основами разра-ботки Web-решений высокой доступности с применением техноло-гий Windows 2000 Server. Конечно, курс предназначен для последо-вательного изучения, однако вы можете работать с ним так, как вамудобнее, скажем, проштудировать лишь отдельные главы. Советуем вэтом случае обращать внимание на раздел «Прежде всего» в началекаждой главы, где указаны предварительные требования для выпол-нения упражнений.

Во вводной главе собраны сведения о содержании книги и данныео структурных единицах и условных обозначениях, принятых в ней.Внимательно прочитайте эту главу — это поможет вам эффективнееработать с материалами курса, а также выбрать интересующие вастемы. Здесь также подробно описана установка программ, необходи-мых для успешного выполнения упражнений данного курса.

Далее кратко описаны главы и приложения учебного курса.В главе 1 «Основные сведения о разработке Web-решений высо-

кой доступности» описаны принципы проектирования и поддержкивысокодоступных Web-сайтов.

В главе 2 «Сетевая инфраструктура» рассказывается, как проекти-ровать сетевую топологию с резервными компонентами, каналами свя-зи и службами, как создать схему адресации подсетей, среду DHCP-серверов и схему разрешения имен в протоколе TCP/IP.

Глава 3 «Конфигурирование серверов» посвящена созданию отка-зоустойчивых серверов, а также безопасной среды, в которой обеспе-чивается их высокая доступность. Вы также научитесь проектироватьотказоустойчивые подсистемы хранения данных.

В главе 4 «Служба кластеров Windows 2000» вы узнаете о компо-нентах службы кластеров Windows 2000, о планировании кластера ивыборе модели кластера серверов.

Глава 5 «Балансировка сетевой нагрузки» посвящена службе ба-лансировки сетевой нагрузки (Network Load Balancing, NLB) — ееархитектуре и механизму работы. Мы также расскажем об этапах пла-нирования NLB-кластеров и выборе конфигурационной модели присоздании таких кластеров.

В главе 6 «Microsoft Application Center 2000» рассказано об ApplicationCenter и о свойствах этой программы, которые позволяют создаватьWeb-кластеры и кластеры приложений СОМ+. Кроме того, здесь пе-речислены этапы планирования кластеров и обстоятельства, которыеследует учитывать при выборе типа кластера.

В главе 7 «Планирование ресурсов» описываются параметры, учи-тываемые при планировании требований по ресурсам системы, а так-же порядок оценки нагрузки, создаваемой среднестатистическимпользователем, и методы планирования ресурсов сайта.

Глава 8 «Службы каталогов» посвящена службе каталогов ActiveDirectory в Windows 2000 и репликации в этой службе. Из этой главы вытакже узнаете, как планировать физическую структуру Active Directory.

В главе 9 «Интеграция гриложений» рассказано, как определитьразмещение компонентов приложения, работающих в распределен-ной топологии, и как разработать план развертывания и синхрониза-ции приложения. Здесь также описаны этапы планирования интег-рации базы данных, а также порядок развертывания сервера Exchangeс предоставлением пользователям доступа к почте через Web.

Из главы 10 «Безопасность сети» вы узнаете, как разрабатыватьплан аутентификации, авторизации и шифрования для защиты сетиот атак. Кроме того, в этой главе рассказывается о брандмауэрах и отом, как выбрать стратегию защиты сети с их применением.

В главе 11 «Мониторинг систем и действия в чрезнычайных ситу-ациях» описано, как создается всеобъемлющий план мониторинга иаудита систем для обеспечения высокой производительности, доступ-ности и безопасности, а также как разработать план восстановленияпосле сбоев и аварий, предусматривающий защиту сети от потериданных и отказов оборудования.

В приложении «Вопросы и ответы» приведены ответы для само-проверки на вопросы из упражнений и разделов «Закрепление мате-риала» всех глав учебного курса.

С чего начатьДанный курс предназначен для самостоятельного изучения, поэтомувы можете пропускать занятия, материал которых вам знаком. И всеже помните, что для выполнения упражнений главы в большинствеслучаев надо выполнить упражнения предыдущих глав. Чтобы помочьвам определиться, с чего начать изучение курса, мы предлагаем сле-дующую таблицу.

Если вы Что делать

готовитесь к сдаче сертифика- см. раздел «Начало работы», а такжеционного экзамена 70-226: Designing описание процедур установки дапееHighly Available Web Solutions with в этой главе. Затем изучитеMicrosoft Windows 2000 Server материал всех глав этой книгиTechnologies

хотите изучить определенные см. раздел «Материалы длятемы для сдачи экзамена подготовки к экзаменам»

Материалы для подготовки к экзаменамДалее перечислены темы сертификационного экзамена 70-226: DesigningHighly Available Web Solutions with Microsoft Windows 2000 Server Techno-logies и главы настоящего учебного курса, где обсуждаются соответ-ствующие вопросы.

зние Конкретная программа любого экзамена определяетсяMicrosoft и может быть изменена без предварительного уведомления.

Проектирование архитектуры кластеров и серверов в Web-решениях

iТема Где обсуждается

Глава Занятие

Проектирование архитектуры кластеров и серверов в Web-решениях

Проектирование решений со службой NLB для 5 1—3обеспечения доступности, масштабируемостии отказоустойчивости

Темы: количество узлов, число кластеров,расположение серверов, одно- и многоадреснаярассылка, стратегия перемещения при сбое,привязка, приоритеты, фильтрация и типыприложений

Проектирование кластерных решений на базе 4 1—3службы кластеров для повышения отказо-устойчивости

Темы: количество узлов, расположение серверов,стратегия перемещения и восстановления при сбое,активно-пассивная и активно-активнаяконфигурации, типы приложенийи зависимости

Проектирование решений со службой CLB для 6 1—3резервирования и балансировки нагрузкикомпонентов СОМ+

Темы: количество узлов, расположение серверов,службы NLB и CLB

Обеспечение высокой доступности подсистемыхранения данных

Темы: RAID-массивы и сети хранения данных 3 2(SAN)

(продолжение]Тема Где обсуждается


Проектирование стратегии управления 11 1—2и мониторингаТемы: мониторинг производительности, событийи служб, анализ данных и Windows ManagementInstrumentation (WM1)

Проектирование стратегии восстановления 11 iпосле сбоев

Проектирование высокодоступной сетевой инфраструктуры

Проектирование инфраструктуоы сети TCP/IP 2 1—4

Темы: адресация подсетей, иерархия и именованиев DNS, серверное окружение к среде DHCP, средас маршрутизацией и коммутацией

Проектирование высокодоступной сетевой топологии

Темы: резервные канаты связи, службы 2 1и компоненты

Планирование конфигурации серверов

Темы: сетевые адаптеры, связь и пропускная 2 Iспособность в кластерах 3 1

4 1-37 1-3

Анализ и определение совокупных требований 1 1—3по пропускной способности в многоуровневых средах

Планирование требований к ресурсам

Оценка ресурсов сетей, серверов и кластеров 7 1—3

Темы: оперативная память, процессоры, затраты,гибкость, управляемость, масштабированиеприложений, связь между клиентами и серверам,а также между серверами.

Проектирование стратегии модернизации сетей, 1 3серверов и кластеров

Темы: горизонтальное масштабированиеи масштабирование вверх

Определение требований к устройствам хранения 1 3данных

Темы: расположение устройств хранения, уровеньRAID и избыточность

(продолжение)Проектирование службы каталогов 8 1—2

Темы: Active Directory, LDAP, доступность,аутентификация и масштабирование

Проектирование стратегии обеспечения безопасности Web-решений

Проектирование стратегии аутентификации 10 1

Темы: сертификаты, анонимный доступ,служы каталогов, Kerberos и инфраструктураоткрытого ключа (Public KeyInfrastructure, PKI)

Проектирование авторизации 10 2

Темы: группы, блокирование IP-протокола, спискиуправления доступом {access control list, ACL)и зоны Web-содержимого

Проектирование стратегии шифрования 10 3

Темы: IPSec, Secure Sockets Layer (SSL),сертификаты, шифрующая файловаясистема, Point-to- Point Tunneling Protocol (PPTP)

Проектирование развертывания брандмауэров 10 4

Темы: фильтры пакетов, прокси-серверы,параметры протоколов, преобразованиесетевых адресов (NAT) и сети периметра

Проектирование стратегии аудита безопасности 11 1—2

Темы: обнаружение вторжений, безопасность,производительность, отказ в обслуживании,

журналирование и оценка риска компрометацииданных

Проектирование инфраструктуры приложений и служб в Web-решениях

Планирование стратегии интеграции сервера 9 3Microsoft Exchange в Web-решении

Темы: доступ средствами браузераи WAP-шлюзы (Wireless Access Protocol)

Планирование стратегии интеграции базы данных 9 2

Темы: доступ к БД и аутентификация

Проектирование информационного наполнения 5 1—3и прикладной топологии 6 1—3

(продолжение)Тема Где обсуждается


Темы: горизонтальное маштабнрование, 9балансирование нагрузки, отказоустойчивость,развертывание и синхронизация Web-приложений,управление состоянием, размещение служби перенос журналов

Проектирование многоуровневой топологии 6 I —3с поддержкой компонентов

Темы: размешение компонентов и службы CLB

Проектирование стратегии управления ] 1 1 —2и мониторинга приложений

Темы: обнаружение и оповещениео сбоях приложения

Начало работыДанный курс предназначен лля самостоятельного изучения и содер-жит упражнения и практические рекомендации, которые помогут вамполучить навыки проектирования высокодоступных решений на базеWindows 2000.

Программное обеспечениеДля выполнения упражнений и практикумов данного курса устанав-ливать упомянутое в курсе .аппаратное и программное обеспечениене обязательно. Однако настройка среды с Microsoft Windows 2000Advanced Server, IIS, Microsoft Application Center 2000 и Microsoft SQLServer 2000 полезна для проверки некоторых решений, рассмотрен-ных в данной книге,

ine! Прилагаемая к данному курсу 120-дневная пробная вер-сия Microsoft Application Certer 2000 не предназначена для продажи ипредлагается исключительно для ознакомления. Поддержка оценоч-ных версий не предоставляется. Подробнее о данной книге и прилага-емом компакт-диске (в том числе ответы на часто задаваемых вопро-сы) — на Web-узле технической поддержки Microsoft Press TechnicalSupport http://mspress.microsojt.com/suppon/. Если все же вы не найдетеответа на ваш вопрос или захотите поделиться своими предложениямиили комментариями, обращайтесь в издательство Microsoft Press noодному из указанных далее адресов:

электронная почта: [email protected],

почтовый адрес: Microsoft Press, Attn: Microsoft Press Technical Support,One Microsoft Way, Redmond, WA 98052-6399.

Подготовка компьютера к выполнению практическихзаданийВ настоящем курсе не предусмотрено никаких обязательных требо-ваний по установке какого-либо аппаратного или программного обес-печения, однако если все-таки решите протестировать некоторыепроекты, рассмотренные в этой книге, устанавливать системы следу-ет в соответствии с рекомендациями производителей.

На компакт-диске, прилагаемом к книге, хранится пробная вер-сия Microsoft Application Center 2000.

> Установка пробной версии Microsoft Application Center 20001. Вставьте компакт-диск с дополнительными материалами по курсу

в привод CD-ROM. Если стартовое окно с меню не открывается,выполняйте пункт 2.

2. В меню Start (Пуск) выберите команду Run (Выполнить) в открыв-шемся окне введите команду: D:\Setup.exe (где D — имя приводаCD-ROM)

3. Следуйте инструкциям установщика.

Электронный вариант книгиНа компакт-диске, прилагаемом к книге, записан электронный ва-риант оригинального издания этого учебного курса, который досту-пен для просмотра при наличии Microsoft Internet Explorer 5 или бо-лее поздней версии.

> Установка электронной версии книги1. Вставьте компакт-диск, прилагаемый к книге, в привод CD-ROM.2. Выберите к меню Start (Пуск) команду Run (Выполнить) и введи-

те команду D:\Ebook\Autorun.exe, где D: — это имя вашего приво-да CD-ROM.Ярлык электронного варианта книги появится в меню Start (Пуск).

3. Щелкните кнопку ОК, чтобы завершить работу мастера InstallationWizard.

Примечание Электронная версия книги доступна только с ком-пакт-диска.

KXVi

Программа сертификации специалистовMicrosoftПрограмма сертификации специалистов Microsoft (Microsoft CertifiedProfessional, MCP) — отличная возможность подтвердить ваши зна-ния современных технологий и программных продуктов этой фир-мы. Лидер отрасли в области сертификации, Microsoft разработаласовременные методы тестирования. Экзамены и программы сертифи-кации подтвердят вашу квалификацию разработчика или специалис-та по реализации решений на основе технологий и программных про-дуктов Microsoft. Сертифицированные Microsoft профессионалы ква-лифицируются как эксперть! и высоко ценятся на рынке труда.

Программа сертификации специалистов предлагает насколько ти-пов сертификации по разным специальностям.• Сертифицированный специалист Microsoft (Microsoft Certified Pro-

fessional, MCP) — предполагает глубокое и доскональное знаниепо крайней мере одной операционной системы Microsoft. Сдавдополнительные экзамены, кандидаты подтвердят свое право наработу с продуктами Microsoft BackOffice, инструментальнымисредствами или прикладными программами.

• Сертифицированный системный инженер Microsoft (Microsoft CertifiedSystems Engineer) — предполагает умение эффективно планировать,развертывать, сопровождать и поддерживать информационные си-стемы на базе Microsoft Windows 95, Microsoft Windows NT и семей-ства серверных продуктов Microsoft BackOffice.

• Сертифицированный администратор баз данных Microsoft (MicrosoftCertified Database Administrator, MCDBA) — должен уметь разраба-тывать физическую структуру и логические модели данных, созда-вать физические базы д а н н ы х , службы доступа к данным с исполь-зованием Transact-SQL, управлять и поддерживать базы данных.настраивать и управлять системой зашиты, выполнять мониторинги оптимизацию баз данных, а также установку и настройку Mic-rosoft SQL Server.

• Сертифицированный разработчик программных решений на основепродуктов Microsoft (Microsoft Certified Solution Developer, MCSD)- отвечает за разработку и создание прикладных приложений сприменением инструментальных средств, технологий и платформMicrosoft, в том числе Microsoft Office и Microsoft BackOffice.

• Сертифицированный преподаватель Microsoft (Microsoft CertifiedTrainer, MCT) — предполагает теоретическую и практическую под-готовку для ведения соответствующих курсов в авторизованных

учебных центрах Microsoft (Certified Technical Education Center,CTEC).

Преимущества программы сертификации MicrosoftПрограмма сертификации Microsoft — один из самых строгих и пол-ных тестов оценки знаний и навыков в области проектирования, раз-работки и сопровождения программного обеспечения. Звание серти-фицированного специалиста Microsoft присваивается лишь тому, ктодемонстрирует умение решать конкретные задачи, применяя продук-ты компании. Программа тестирования позволяет не только оценитьквалификацию специалиста, но и служит ориентиром для всех, ктостремится достичь современного уровня знаний в этой области. Каки любой другой тест или экзамен, сертификация Microsoft служиткритерием определенного уровня знании специалиста, что важно прикак трудоустройстве, так и для карьерного роста в организации.

Для специалистов. Звание Microsoft Certified Professional дает сле-дующие преимущества:• официальное признание знаний и опыта работы с продуктами и

технологиями Microsoft;• подписку на MSDN. МСР получает скидку на годовую подписку

на Microsoft Developer Network (tnsdn.microsoft.com/subscriptions/) впервый год после сертификации. (Конкретные условия зависят отрегиона. Подробнее — в Welcome Kit.) Размер скидки составляет50 долларов США;

• доступ к технической информации о продуктах Microsoft в защищен-ной области Web-узла МСР. Для этого следует открыть страницупо адресу http://www.microsoft.com/traintngandservices/, развернутьузел Certification и щелкнуть ссылку For MCPs Only;

• эксклюзивные скидки на продукты и услуги различных компаний. Под-робнее об этом — на Web-странице по адресу http://www.microsoft.com/trainingandservices/. Разверните узел Certification, щелкните ссылкуFor MCPs Only и далее — ссылку Other Benefits;

• эмблемы, сертификат, отчет об экзамене, карточка для бумажника изаколка на лацкан пиджака, свидетельствующие о наличии званияMicrosoft Certified Professional. После того как Вы успешно вы-держите экзамен, Вы получите право загрузить электронные ко-пии эмблемы и отчета об экзамене с защищенной области Web-узла МСР. Для этого следует открыть страницу по адресу http://www.microsoff.com/trainingandservices/, развернуть узел Certificationи щелкнуть ссылку For MCPs Only;

• приглашения на конференции, семинары и мероприятия, пред-назначенные для специалистов Microsoft;


• бесплатную подписку на MSDN Online Certified Membership. Вы по-лучите доступ к лучшим техническим ресурсам, новостям сообще-ства МСР и другим полезным ресурсам и службам (отдельные эле-менты узла MSDN Online доступны лишь на английском языкеили в некоторых странах — недоступны вообще). Для получениясписка услуг, доступных сертифицированным специалистам, об-ратитесь на Web-узел MSDN.Кроме того, специалисты Microsoft Certified System Engineer полу-

чают дополнительное преимущество:• 50% скидку на годовую подписку на компакт-диски TechNet или

TechNet Plus в течение года после сдачи экзамена. (Конкретные ус-ловия зависят от региона. Подробнее — в Welcome Kit.) Кроме того,бесплатный доступ к Web-узлу TechNet (http://www.fnicrosofs.com/technet/), на котором опубликовано 95% материалов с указанныхкомпакт дисков.

Для работодателей и организаций. Сертифицированные специали-сты эффективно работают с новейшими технологиями Microsoft, aзначит, организация не только быстро окупит затраты на приобрете-ние этих технологий, но и сможет достаточно быстро получить при-быль. Исследования показывают, что сертификация сотрудников попрограммам Microsoft:• быстро окупается за счет стандартизации требований к обучению

специалистов и методов оценки их квалификации;• позволяет повысить эффективность обслуживания клиентов и

производительность труда, а также снизить расходы на сопровож-дение операционных систем;

• предоставляет надежные критерии найма специалистов и их про-движения по службе;

• позволяет разработать гибкие методы оценки профессиональногоуровня и премирования персонала;

• предоставляет возможность переподготовки сотрудников для обу-чения новым технологиям;

• позволяет оценить профессиональный уровень сторонних фирм —партнеров по бизнесу.

Подробнее о пользе сертификации для вашей компании — в мате-риалах и документах на узле http://www.microsoff.com/tminingandservices/(разверните узел Certification и щелкните ссылку Case Studies). Здесьопубликованы:• «белая книга» «MCSE Criterion Validity Study White Paper, Oct.

1998» об оценке звания Microsoft Certified Systems Engineer (Sys-EngrCert.doc, 339 кб);

• пример использования сертификации в компании Compaq (Com-paq Case Study, Compaq.doc, 85 кб);

• пример использования сертификации в компании CrossTier.com(CrossTier.com Case Study, CrossTier.doc, 246 кб);

• пример использования сертификации в компании Extreme Logic(Extreme Logic Case Study, Extreme Logic.doc, 74 кб);

• «белая книга» «Financial Benefits to Supporters of Microsoft Pro-fessional Certification» («Финансовые выгоды от поддержки про-фессионально сертификации Microsoft ») (1998wpidc.doc, 948 кб);

• пример использования сертификации в компании Lyondel (Lyon-del Case Study, lyondel.doc, 20 кб);

• пример использования сертификации а компании Prudential (Pru-dential Case Study, prudentl.exe, 74 кб, самораспаковывающийсяфайл);

• пример использования сертификации в компании Stellcom (Stell-com Case Study, stellcom.doc, 72 кб);

• пример использования сертификации в компании Unisys (UnisysCase Study, Unisys.doc, 48 кбЬ).

Требования к соискателямТребования к соискателям определяются специализацией, а такжеслужебными функциями и задачами сотрудника.

Соискатель сертификата Microsoft должен сдать экзамен, под-тверждающий его глубокие знания в области программных продук-тов Microsoft. Экзаменационные вопросы, подготовленные с участи-ем ведущих специалистов компьютерной отрасли, отражают реалииприменения программных продуктов компании Microsoft.• Сертифицированный специалист Microsoft — кандидаты на это зва-

ние сдают экзамен на знание одной из операционных систем. Кан-дидат может сдать дополнительные экзамены, которые подтвер-дят его право на работу с продуктами Microsoft BackOffice, инст-рументальными средствами или прикладными программами.

• Сертифицированный системный инженер Microsoft — кандидаты наэто звание сдают экзамены на знание технологии ОС MicrosoftWindows, сетевых технологий и технологий семейства серверныхпродуктов Microsoft BackOffice.

• Сертифицированный администратор баз данных Microsoft — канди-даты на это звание сдают три основных экзамена и один — повыбору.

• Сертифицированный разработчик программных решений на основепродуктов Microsoft — кандидаты сдают два экзамена по основам


технологии ОС Microsoft Windows и два — по технологиям интег-рированного семейства серверных продуктов Microsoft BackOffice.

• Сертифицированный преподаватель Microsoft — соискателю надоподтвердить свою теоретическую и практическую подготовку дляведения соответствующих курсов в авторизованных учебных цен-трах Microsoft. Более подробные сведения о сертификации поэтой программе Вам сообщат сотрудники компании Microsoft потелефону (800) 636-7544 (в США и Канаде) или на узле http://www.microsoft.com/train_cert/mct/. За пределами США и Канадыобращайтесь в местные отделения компании Microsoft.

Подготовка к экзаменамПредлагаются три режима подготовки: самостоятельная работа, ин-терактивный режим, а также занятия с инструктором в авторизован-ных центрах подготовки.

Самостоятельная подготовкаСамостоятельная работа — наиболее эффективный метод подготовкидля инициативных соискателей. Издательства «Microsoft Press» и«Microsoft Developer Division» предлагают широкий спектр учебныхпособий для подготовки к экзаменам по программе сертификацииспециалистов Microsoft. Учебные курсы для самостоятельного изуче-ния, адресованные специалистам компьютерной отрасли, содержаттеоретические и практические материалы, мультимедийные презен-тации, упражнения и необходимое ПО. Все эти пособия позволяютизучить весь необходимый материал, чтобы успешно сдать любой изсертификационных экзаменов.

Интерактивная подготовкаИнтерактивная подготовка средствами Интернета — альтернативазанятиям в учебных центрах. Вы можете выбрать наиболее удобныйраспорядок занятий в виртуальном классе, где научитесь работать спродуктами и технологиями компании Microsoft и подготовитесь ксдаче экзаменов. В интерактивном виде доступно множество курсовMicrosoft — как обычные официальные тесты, так и специальные,разработанные лишь для интерактивного обучения. Интерактивныересурсы доступны круглосуточно в сертифицированных центрах под-готовки.

Сертифицированные центры технического обучения MicrosoftСертифицированные центры технического обучения Microsoft (Cer-tified Technical Education Center, CTEC) — самый простой способ изу-чить материалы курса под руководством опытного инструктора длясдачи экзамена на звание сертифицированного специалиста Mic-rosoft. Всемирная сеть учебных центров Microsoft CTEC позволяетспециалистам повысить технический потенциал под руководствомсертифицированных преподавателей Microsoft.

Подробнее о центрах СТЕС в США и Канаде — на Web-узле ком-пании Microsoft по адресу http://www.microsoft.com/CTEC/default.htm(на русском языке — http://www.microsof1.com/rm/CTEC/default.htm).

Техническая поддержкаМы постарались сделать все от нас зависящее, чтобы и сам учебныйкурс, и прилагаемый к нему компакт-диск не содержали ошибок.Если все же у вас возникнут вопросы или Вы захотите поделитьсясвоими предложениями или комментариями, обращайтесь в изда-тельство Microsoft Press по одному из указанных ниже адресов.

Электронная почта: [email protected]Почтовый адрес: Microsoft Press

Attn: MCSE Training Kit—Designing HighlyAvailable Web Solutions EditorOne Microsoft WayRedmond,WA 98052-6399Издательство Microsoft Press постоянно об-новляет список исправлений и дополненийк своим книгам, опубликованный на узлеhttp://mspress.microsoft.com/support/.

Учтите, что по указанным почтовым адресам техническая поддерж-ка не предоставляется. Для получения подробной информации о тех-нической поддержке программных продуктов Microsoft обращайтесь наWeb-узел компании Microsoft по адресу http://www.microsoft.com/support/или звоните в службу Microsoft Support Network Sales no телефону(800) 936-3500 - в США.

Подробнее о получении полных версий программных продуктовMicrosoft вы можете узнать, позвонив в службу Microsoft Sales по те-лефону (800) 426-9400 или по адресу www.microsoft.com.

Г Л А В А 1

Основные сведенияо разработке Web-решений высокойдоступности

1„ Общие сведения о Web-решениях высокой доступности 3

Занягие 2, Измерение доступности системы 16

Заштае 3. Обеспечение доступности системы 24


2—4791

В этой главеВо многих сферах бизнеса очень важно максимизировать время, в те-чение которого основные корпоративные системы способны выпол-нять возложенные на н и х функции. Часто компаниям требуется га-рантировать доступность Web-сайта в режиме «24x7» (24 часа в сутки.7 дней в неделю). Ведь если клиенты не получат удобный доступ кWeb-сайту в любое время, они просто уйдут к другому поставщику.Гарантия постоянной работоспособности системы считается перво-очередной задачей, особенно когда от нее зависит финансовый ре-зультат. Для удовлетворения требований следует создавать доступные,надежные и масштабируемые системы. Они также должны быть со-вместимы с различными сетями, иметь короткий период адаптации кизменяющимся условиям рынка и легко внедряться. Для обеспече-ния высокоэффективных, надежных и масштабируемых Web-сайтов.предназначенных для обслуживания клиентов в онлайновом режиме.интерфейсная и серверная части системы, а также сетевая инфра-структура должны функционировать в тесной взаимосвязи. В этойглаве объясняются многие понятия (подробнее о них— в следующихглавах), которые крайне важны дли разработки Web-сайтов высокойдоступности, а также рассказано о разработке сайтов и методикахобеспечения их высокой доступности. Изучив материал этой главы.вы получите общее представление о разработке Web-решений высо-кой доступности.

Прежде всегоДля изучения материалов этой главы необходимо иметь общее пред-ставление о: .• разработке и администрировании приложений в Microsoft Win-

dows 2000;• разработке и администрировании сетевых инфраструктур;• концепциях высокой доступности, отказоустойчивости, а также о

кластерных технологиях, внедрении RAID-массивов, балансиров-ке нагрузки и сетях хранения данных (Storage Area Network, SAN).

Занятие 1. Общие сведенияо Web-решениях высокойдоступности

Web-технологии быстро становятся основной платформой корпора-тивных приложений, поэтому инфраструктуры, применяемые дляразработки и размещения приложений, становятся более масштабны-ми и сложными. В условиях лавинообразного увеличения числа зап-росов Web-страниц резко возрастают требования к серверным техно-логиям. В настоящее время одна из основных задач поставщиков ИТ-решений — обеспечение работы систем в режиме «24x7». Это не толь-ко насущное требование бизнеса, но и своего рода гарантия качестваторговой марки. Компании тратят миллионы долларов на поддержкусистем в постоянной «боевой готовности». Даже небольшой простойможет обернуться потерей значительной доли доходов и подорватьрепутацию компании. Существует множество источников возникно-вения возможных простоев: оборудование, операционные системы,хранилища данных, сеть и административные приложения. Системаможет оказаться недостаточно устойчивой к катастрофам и отказам.Microsoft Windows 2000 Advanced Server создавалась с прицелом наудовлетворение спроса на Web-сайты высокой доступности. На этомзанятии вы получите общее представление о Windows 2000 AdvancedServer и познакомитесь со специальной терминологией, используе-мой при разработке Web-решений высокой доступности, а также уз-наете об изменениях сетевой архитектуры, вызванных использовани-ем бизнес-приложений в рамках Web-технологий.

Изучив материал этого занятия, вы сможете:

J рассказать, какие именно особенности Windows 2000Advanced Server обеспечивают высокую доступностьи масштабируемость;

s перечислить специальные термины, используемые яриразработке Web-решений высокой доступности;

J описать модель автоматизации бизнеса на основеWeb~texнQлoгий,Продолжительность занятия — 25 минут.

Windows 2000 Advanced ServerВ настоящее время семейство ОС Microsoft Windows 2000 Server со-ставляют Windows 2000 Server, Windows 2000 Advanced Server и Win-dows 2000 Datacenter Server. Windows 2000 Server обеспечивает базо-вую функциональность, которая подходит небольшим и средним ком-паниям с многочисленными рабочими группами и филиалами, гдетребуются такие базовые службы, как файловые системы, печать,связь, Web и средства создания инфраструктур. Windows 2000 Ad-vanced Server разработана для решения критически важных бизнес-задач в средних и крупных организациях, в том числе и для Интер-нет-провайдеров. Она применяется в качестве базовой платформыдля размещения крупных хранилищ данных, OLTP-придожений, си-стем обмена сообщениями, электронной коммерции и хостинга. Вер-сия Datacenter Server предоставляет все функции Advanced Server и,кроме того, обеспечивает повышенную надежность и доступность.Версия Datacenter Server— наилучший вариант серверной платфор-мы для крупных отраслевых компаний и Интернет-компаний.

Windows 2000 Advanced Server — преемница Microsoft Windows NTServer 4 Enterprise Edition. Она поддерживает интегрированную и це-лостную кластерную инфраструктуру для создания приложений ислужб, характеризующихся высокой доступностью и масштабируемо-стью. Она также поддерживает объем основной памяти размером до8 Гб в системах с поддержкой РАЕ ( I n t e l Page Address Extension). Раз-работанная в связи с повышением спроса на корпоративные прило-жения, версия Advanced Server поддерживает системы симметричныхмногопроцессорных вычислений (до восьми процессоров). WindowsAdvanced Server прекрасно подходит для интенсивной работы с боль-шими базами данных и обеспечивает высокую доступность сервер-ных служб и балансировку нагрузки, что, в свою очередь, обеспечи-вает высокую доступность системы и приложений.

Windows 2000 Advanced Server содержит полный набор функцийWindows 2000 Server, однако дополнительно она обладает высокой до-ступностью и масштабируемостью, которые так необходимы для со-здания крупных корпоративных решений. В Windows 2000 AdvancedServer предусмотрены следующие средства поддержки высокой дос-тупности:• служба балансировки сетевой нагрузки (Network Load Balancing,

NLB);• служба кластеров (Cluster) — преемница службы Microsoft Cluster

Server в Windows NT Server 4 Enterprise Edition;• поддержка до 8 Гб основной памяти в системах Intel РАЕ;

решениях XW-WA доступности

поддержка симметричных многопроцессорных вычислений (до8 процессоров).

!йе При необходимости уточните у поставщика, поддержи-вает ли ваша система стандарт РАЕ.

Специальная терминологияДля описания отдельных характеристик сетей и Web-сайтов в разныхисточниках информации часто используется различная терминоло-гия. В этом разделе приводятся определения нескольких ключевыхтерминов, которые помогут понять, как именно в этой книге исполь-зуется специализированная терминология.

ДоступностьДоступность — это выраженная в процентах мера отказоустойчивос-ти компьютера и установленного на нем программного обеспечения,Постоянно доступный компьютер (100-процентная доступность) ра-ботает круглосуточно 7 дней в неделю. Это означает, что приложенияи службы находятся в рабочем состоянии и доступны клиентами по-стоянно. Значение доступности определяет, насколько надежно ра-ботает та или иная служба. Например, в системе с доступностью рав-ной 99,999%, допускается незапланированный простой длительнос-тью не более 5,3 минут в год.

Разработано множество способов повышения доступности Web-сайта: от использования серверов с отказоустойчивыми компонента-ми (диски и системные платы с поддержкой «горячей» замены, RAID-контроллеры, резервные сетевые интерфейсы) до применения клас-терных решений с балансировкой нагрузки (Cisco Local Directors илиMicrosoft Application Center Server 2000) или поддержкой перемеще-ния при сбое (служба кластеров или Veritas Cluster Server). В системахс полным резервированием приложение работает на основном узле, арезервные узлы бездействуют и активизируются лишь при сбое ос-новного. Основной недостаток систем с резервированием — немалыерасходы на приобретение дополнительного оборудования, которое неприменяется для повышения производительности системы, а также,в некоторых случаях, не обеспечивает защиту от сбоев приложений.

Повысить доступность интерфейсной части системы на Web-уров-не можно, применив серверы кластеров с единым виртуальным IP-ад-ресом. Для распределения нагрузки между узлами используют балан-сировку нагрузки. Для дальнейшего повышения доступности службысистемы с балансировкой нагрузки можно позаботиться о процессах

обнаружения отказов. При этом сбойный, недоступный узел автома-тически удаляется из кластера с балансировкой нагрузкой, а осталь-ные узлы продолжают поддерживать работу службы.

Для обеспечения высокой доступности серверной части системприменяют кластеризацию с перемещением при сбое (failover). В такойструктуре при сбое одного из узлов управление его ресурсами беретна себя другой узел. Предполагается, что приложение сможет возоб-новить работу на другом компьютере, у которого есть доступ к общейдисковой подсистеме. При сбое кластерного приложения, операци-онной системы или компонента оборудования поддержка функцийосновного узла автоматически переходит к дополнительному узлу. Ондолжен быть идентичным основному узлу и обладать доступом к об-щему хранилищу данных.

СбойПод сбоем подразумевается несоответствующее ожидаемому поведе-ние системы компьютера или сетевой системы, состоящей из многихкомпьютеров и приложений. Состояние системы, в котором парамет-ры ее работы выходят за определенные рамки, также считается сбо-ем. Если выполнение определенной функции ограничено во време-ни, например завершение операции, то падение производительностиниже заданного предела также рассматривается как сбой. Например,система, в которой транзакция должна выполняться за 2 секунды,считается отказавшей, если на эту операцию тратится больше времени.

Существует масса возможных источников и причин сбоев — про-граммное обеспечение, оборудование, ошибки операторов или рабо-чего окружения. Точка критического сбоя (single point of failure) — этокомпонент, сбой которого зызывает полную потерю работоспособ-ности всей системы. Точками критического сбоя может быть обору-дование, программное обеспечение, а также внешние компоненты,например внешнее электропитание. Последние исследования пока-зывают, что в 30% простоев систем виновато оборудование, однакоПО не отстает — причина 35% всех незапланированных простоев кро-ется в работе операционной системы и приложений. Чаще всего от-казывают охлаждающие вентиляторы, дисководы и источники пита-ния. Снижение числа точек критического сбоя или полное их устра-нение — одно из средств повышения обшей надежности сайта.

ОтказоустойчивостьОтказоустойчивость — это способность системы продолжать нор-мально выполнять свои функции даже после выхода из строя однойили нескольких ее частей. Отказоустойчивые системы нечувствитель-

ны к таким неполадкам, как сбои в работе дисков, аварийное отклю-чение электропитания или разрушение операционных систем— заг-рузочных файлов, самой операционной системы или системных фай-лов. В Windows 2000 Server предусмотрены средства поддержки неко-торых типов отказоустойчивости.Например, Windows 2000 поддерживает два вида RAID-массивов:RAID-1 и RAID-5. В RAID-1 отказоустойчивость обеспечивается спомощью зеркалирования: все данные основного тома дублируютсяна дополнительном томе, или зеркале. При выходе из строя рабочеготома система использует данные зеркала. В массивах RAID-5 отказо-устойчивость достигается за счет распределения данных между всемидискам массива. Система создает особые данные, они называются ин-формацией о четности (parity information), которые используются длявосстановления данных в случае выхода из строя одного из дисков.

Постоянная доступность и актуальность данных в отка-зоустойчивых системах не избавляет от необходимости регулярного ре-зервного копирования на ленту — это позволяет обеспечить сохран-ность информации о файловых подсистемах и защитить ее от ошибокпользователей и природных катаклизмов. Отказоустойчивость дисковне является альтернативой методике резервного копирования с хране-нием архивов в удаленном местоположении.

Для обеспечения отказоустойчивости применяют также аппаратнуюреализацию RAID. Существует множество аппаратных RAID-решений,обеспечивающих резервирование электропитания, магистральных шини кабелей в одном корпусе. В таких системах состояние отдельных ком-понентов обычно отслеживают с применением встроенного программ-ного обеспечения (firmware). Такое оборудование удобно тем, что обес-печивает доступность данных и резервирование, которое позволяетустранить точки критического сбоя. В аппаратных RAID-решенияхиногда используется встроенный процессор и кэш. Windows 2000 Ad-vanced Server работает с такими дисками как с обычными дисковымиресурсами. Несмотря на то, что программные RAID-средства Win-dows 2000 Server намного дешевле, аппаратные RAID-системы намно-го надежнее и считаются оптимальным решением.

УправляемостьУправляемость — это возможность легко и удобно вносить измененияв систему. Типов управления множество, но в самом общем виде ихможно разделить на следующие группы:

• управление изменениями и конфигурацией — администрированиесистемы, управление состоянием и управление жизненным цик-лом ПО;

• управление безопасностью — доступ пользователей, аутентифика-ция и мониторинг;

• управление производительностью — трассировка, тонкая настрой-ка и моделирование приложений и сетей, а также управлениеслужбами;

• управление неполадками — локализация ошибок, диагностика, клас-сификация неполадок и интегрированные средства поддержки;

• управление событиями — мониторинг системной информации,консолидация, агрегирование и доставка информации;

• управление пакетной обработкой и выводом данных — выполнениезадач, распределение и управление зависимостями;

• управление хранением данных — администрирование аппаратныхсредств хранения данных, защита и размещение данных.

НадежностьНадежность— это среднее время бесперебойной работы системы.Для аппаратных и программных компонентов описаны возможныесхемы появления сбоя. На основе статистических данных выведеныформулы, которые позволяют прогнозировать время работы обору-дования, однако аналогичные формулы для программного обеспече-ния вывести намного труднее, точнее, это практически невозможно.

Компоненты оборудования подчиняются так называемому законуэкспоненциального распределения времени безотказной работы. Сутьего заключается в том, что чем дольше в обычных условиях работаеткомпонент, тем вероятнее его сбой. Если известно время наработкина отказ, можно спрогнозировать, когда откажет компонент, то естьоценить его надежность.

МасштабируемостьМасштабируемость — возможность непрерывного развития и расши-рения системы при увеличении запросов пользователей и потребнос-тей бизнеса. Понятие масштабируемости в кластере серверов подра-зумевает возможность добавлять в него дополнительные узлы, когдакластер перестает справляться с возросшей нагрузкой. Под способ-ностью масштабироваться традиционно подразумевается способностьсистемы справляться с постоянно растущей нагрузкой при минималь-ных ее изменениях. Масштабируемость— важный элемент Web-при-ложений, поскольку природа Web такова, что нагрузку нельзя спрог-нозировать (однако с ней обязательно нужно справляться). Масшта-

бируемость — также важный элемент интрасетевых приложений, этообусловлено необходимостью справляться с непрерывно растущимитребованиями бизнеса.

Масштабируемость трактуется как способность приложения выпол-нять постоянно растущий объем работы, одновременно обеспечиваянекий приемлемый уровень производительности. Для обеспечениямасштабирования архитектуру поддерживающих бизнес Web-сайтовделят на две части: интерфейсную (front-end) (она доступна клиентам)и серверную (back-end). В последней хранятся постоянные данные илирасполагаются бизнес-системы. Для распределения нагрузки на каж-дом уровне применяются системы с балансировкой нагрузки.

Web-модель бизнес-приложенийОгромные изменения в модели бизнес-приложений произошли в се-редине 90-х гг., когда Интернет-технологии, и особенно Web, сталиосновным направлением развития информационных технологий. Этаперемена (рис. 1-1) связана с преобладанием клиент-серверных тех-нологий — для того времени очень сложных, дорогостоящих и, какправило, частных.

Мейнфреймы Клиент-серверныесистемы

Web- и многоуровневыесистемы

1970 2000

Программное обеспечение промежуточногоуровня приобретает большее значение при

переходе к многоуровневым системам

Рис. 1-1. Изменения в структуре приложения с 70-х годов прошлого

века

Для Web-модели характерна свободная связь уровней различныхданных и приложений, расположенных на самых разных аппаратныхплатформах. Такая модель отличается гибкостью при проектирова-нии и не ограничена одним или двумя уровнями. Только возможнос-ти компьютера и воображение разработчика ограничивают разработ-ку Интернет-приложений.

Современные компании характеризуются динамичностью (быст-рое развитие и резкие изменения направления деятельности), поэто-му Web-модель как нельзя лучше подходит для бизнес-приложений.При необходимости Web-сайты способны расти экспоненциально,предоставляя все больший кабор услуг и легко удовлетворяя расту-щие запросы пользователей. Часто из-за сложности этих услуг их при-ходится интегрировать с другими услугами компании.

Задачи архитектурыАрхитектура, ориентированная на удовлетворение потребностей биз-нес-приложений, должна обладать рядом характеристик.• Масштабируемость — возможность непрерывного роста в ответ на

рост запросов пользователей и потребностей бизнеса. Масштаби-руемость должна характеризоваться линейностью и быть рента-бельной.

• Доступность и надежность — гарантия того, что службы, поддер-живающие бизнес-операции, постоянно доступны. Задача реша-ется обеспечением функциональной специализацией и избыточ-ностью.

• Управляемость — обеспечение удобных и полнофункциональныхсредств управления, способных развиваться вместе с ростом сис-темы и позволяющих снизить совокупную стоимость владения.

• Безопасность — обеспечение адекватного уровня защиты активоворганизации, прежде всего инфраструктуры и данных.

Элементы архитектурыК ключевым элементами архитектуры многоуровневого Web-сайта(рис. 1-2) относят:• клиентское ПО;• интерфейсную часть;• серверную, или внутреннюю, часть системы.

При проектировании структуры сайта и разработке приложенийвсе эти элементы следует рассматривать в контексте требований помасштабируемости, надежности, безопасности и управляемости. Нарис. 1-2 показано разделение между клиентскими и серверными час-тями системы, а также брандмауэр и деление сети на сегменты, кото-рые считаются ключевыми элементами архитектуры.

Не поддерживающаяинформациюо состоянии

интерфейсная часть

Web-сервер \

Брандмауэр

Web-сервер

Интерфейсная часть,поддерживающаяинформациюо состоянии

Файловый сервер

Web-сервер


Сервер базы данных

Клиенты

Рис. 1-2. Элементы архитектуры многоуровневого Web-сайта

Клиентское ПОКлиентские программы обращаются к нужному приложению, на-правляя серверу служебные запросы. Для пользователя доступнылишь URL-адрес ресурса со ссылкой на страницу сайта, а после вы-зова страницы — гиперссылки для перемещения по ней или элемен-ты управления заполняемой формы. Ни программа-клиент, ни пользо-ватель не имеют представления о том, как запрос обрабатывается насервере.

Интерфейсная часть системыИнтерфейсная часть состоит из набора серверов, предоставляющихклиентам базовые службы, такие, как HTTP/HTTPS и FTP. Эти сер-веры хранят запрашиваемые Web-страницы и, как правило, исполь-зуют одно и то же программное обеспечение. Довольно часто для по-вышения производительности на этих серверах (их обычно называютWeb-фермы или кластеры} обеспечивается доступ к общим часто ис-пользуемым файлам, компонентам бизнес-логики или базам данных,расположенным в серверной части системы (или в более сложныхмоделях — на промежуточных уровнях системы).

Интерфейсная часть обычно не поддерживает состояния, так какне хранит никакой информации о клиенте между сеансами. Задачусохранения информации о состоянии программы-клиента между сес-сиями можно решить несколькими способами. Наиболее популяр-ный — использование cookie-файлов. Другой вариант— запись ин-формации клиента в HTTP-заголовок строки запрашиваемой Web-страницы. И, наконец, сохранение информации о состоянии клиен-та в базе данных серверной части системы. Однако последний способследует использовать очень осторожно, так как для поддержки ин-формации о сеансах клиентов требуются дополнительные ресурсы, иэто может отрицательно сказаться на производительности. Для мас-штабируемости интерфейсной следует увеличить мощностьсерверов (масштабируемость «вверх») или добавить дополнительныесерверы («горизонтальная» масштабируемость).

Серверная части системыВ серверной части системы располагаются серверы, на которых хра-нятся данные, используемые интерфейсной частью. В некоторых слу-чаях сервер не хранит сами данные, а только предоставляет доступ кним, извлекая их из источника данных, расположенного гле-то в кор-поративной сети. Данные могут храниться в обычных файлах, в дру-гих приложениях или в серверных базах данных, например в MicrosoftSQL Server. Кратко методы хранения данных перечислены в табли-це 1-1.

Таблица 1-1. Типы хранилищ данных

Тип хранилища данных Пример Тип данных

Файловые системы Общие файлы HTML-страницы, изображения,исполняемые файлы, сценарии,СОМ-объекты

Базы данных SQL Server Каталоги, информация пользо-вателя, журналы, информацияо счетах, прайс-листы

Приложения Введение Баннерная реклама, финансоваярекламы, информация, данные о запасахагенты SAP на складе

Поскольку в серверной части системы поддерживаются данные иинформация о состоянии, им следует уделять больше внимания, таккак они существенно влияют на масштабируемость и доступностьвсего решения.

Инфраструктура безопасностиНеобходимость поддержки мобильных сотрудников, прямых В2В-связей и постоянного подключения к Интернету сильно способству-ет усложнению и удорожанию процедур по обеспечению безопаснос-ти активов компаний в современных условиях. Однако пренебреже-ние безопасностью или недостаточное внимание к ней чреваты ещебольшими финансовыми потерями, если не сказать— катастрофой.

На верхнем уровне необходимо создать области безопасности счетко определенными и защищенными интерфейсами между ними.В крупных компаниях информационную рабочую среду обычно де-лят на несколько областей на основании самых разнообразных кри-териев, например на основе распределения бизнес-функций, геогра-фического или физического размещения сетей. Области безопаснос-ти могут внедряться друг- в друга или перекрываться. Архитектур бе-зопасности существует столько же, сколько самих механизмов безо-пасности.

На нижнем уровне базовая модель безопасности отдельного сайтаподразумевает мониторинг одного или нескольких периметров и принеобходимости блокирование определенных видов входящего илиисходящего трафика. Такую защиту периметра (например, на основебрандмауэра) обеспечивают маршрутизаторы или специализирован-ные серверы обеспечения безопасности. В большинстве организацийиспользуют вторую систему брандмауэров (рис. 1-3). Сегмент сетимежду брандмауэрами обычно называют сетью периметра.

• Интернет •

Рис. 1-3. Использование брандмауэров для создания безопасной зоны

Учтите, что показанная на рис. 1-3 конфигурация очень схематич-на— каждая организация строит собственную архитектуру безопас-

ности, основываясь на собственных потребностях. В действительно-сти некоторые из них размещают Web-серверы на стороне брандмау-эра, подключенного к Интернету. Такое решение обычно применя-ют, если считают, что риск компрометации или стоимость переобо-рудования Web-сервера не очень высоки, и кроме того, учитывают,что обеспечение высокой безопасности обычно отрицательно сказы-вается на производительности.

Инфраструктура управленияСистемы управления сайтом часто располагают в отдельном сегментедля обеспечения высокой доступности и избежания нежелательноговлияния на инфраструктуру приложений. Существует несколько ба-зовых элементов архитектуры системы управления.• Консоли управления, выполняющие роль порталов, которые адми-

нистраторы используют для доступа и управления серверами.• Серверы управления (иногда их называют серверы мониторинга),

которые непрерывно отлеживают управляемые серверы, получа-ют оповещения и оповешения, ведут журналы событий и произ-водительности и первыми реагируют на определенные события.

• Агенты управления, то есть программы, выполняющие управлен-ческие функции на устройстве, где расположены.

С ростом систем или ускорением изменений в них жизненно важ-ным становится обеспечить управление и работу поддерживающегобизнес Web-сайта в соответствии с требованиями по надежности, до-ступности и масштабируемости. Удобство администрирования и на-стройки, непрерывное выявление сбоев и мониторинг производи-тельности становится более важным, чем функции и сервисы прило-жения.

РезюмеОперационная система Windows 2000 Advanced Server разработана дляудовлетворения критически важных требований средних и крупныхорганизаций. Она применяется в качестве базовой платформы длясоздания полноценной кластерной инфраструктуры, обеспечиваю-щей высокую доступность и масштабируемость приложений и служб,Доступностью называется измеряемая в процентах мера отказоустой-чивости компьютера и установленных на нем программ. Под сбоемподразумевается несоответствующее ожидаемому поведение системыкомпьютера или сетевой системы, состоящей из многих компьюте-ров и приложений. Отказоустойчивость— это способность системыпродолжать нормально выполнять функции даже после выхода изстроя одной или нескольких ее частей. Управляемость — это возмож-

ность легко и удобно вносить изменения в систему. Надежность —это среднее время бесперебойной работы системы. Под масштабиру-емостью подразумевают возможность расширения компьютера, служ-бы или приложения для удовлетворения растущих требований по про-изводительности. Для Web-модели разработки характерна свободнаясвязь уровней различных д а н н ы х и приложений, расположенных насамых разных аппаратных платформах, — она обеспечивает доступ-ность, управляемость, надежность и масштабируемость. Такая модельотличается гибкостью при проектировании и не ограничена однимили двумя уровнями. К ключевым элементами архитектуры много-уровневого Web-сайта относят клиентское ПО, интерфейсную и сер-верную части. На верхнем уровне необходимо создать области безо-пасности с четко определенными и защищенными интерфейсамимежду ними. К базовым элементам архитектуры системы управленияотносят консоли, серверы и агенты управления.

Занятие 2. Измерение доступности системыПроектирование систем высокой доступности требует времени и тер-пения. Успех внедрения основываются на хорошо информированныхрешениях, а подход к внедрению имеет не меньшее значение, чемвыбор технологий. На доступность любой системы влияет масса са-мых разных факторов, таких, как оборудование, программное обес-печение, данные, технологии приложений и рабочая среда. Крометого, воздействуют еще административные, организационные, про-цедурные и другие факторы — они также чрезвычайно важны для ус-пешного внедрения системы, каждый следует тщательно взвесить испланировать, а также обеспечить должное применение политик ипроцедур. На этом занятии рассказывается об измерении доступнос-ти и о типах сбоев, которые влекут за собой простои. Кроме того, выузнаете, как создать контрольный список для наблюдения за доступ-ностью сайта.

Изучив материал этого занятия, вы сможете:-s использовать метрики доступности для мониторинга

доступности системы;s определить возможные причины простоев;^ рассказать об информации, которую необходимо включить

в контрольный список наблюдения за доступностью сайта.

Продолжительность занятия - 20 минут.

Метрики доступностиПри создании систем высокой доступности требуется обеспечить,чтобы они выполняли необходимые функции в конкретных условияхна протяжении определенного периода времени. Поведение такихсистем должно быть предсказуемым, а работа надежной — это позво-лит клиентам планировать работу с системами, которые критическиважны для поддержки их бизнеса. Для пользователей и менеджеровИТ-систем в первую очередь важна доступность приложения, а несамой системы. Несмотря на то, что общепринятого стандарта изме-рения доступности не существует, наиболее часто используются та-кие показатели как среднее время наработки на отказ (Mean Time ToFailure, MTTF) и среднее время восстановления (Mean Time To Re-covery, MTTR). Первая метрика — это среднее время работы устрой-ства до первого отказа, а вторая — среднее время, которое потребует-ся для его восстановления после сбоя.

Среднее время наработки на отказ и среднее времявосстановленияРабота компонентов оборудования, как правило, подчиняется такназываемому закону экспоненциального распределения времени бе-зотказной работы. В обычных условиях чем дольше работает компо-нент, тем больше вероятность его сбоя. Если известно время нара-ботки на отказ, можно спрогнозировать, когда компонент откажет.Полученные на практике статистические данные по механическим иэлектрическим компонентам образуют так называемую U-образнуюкривую (рис. 1-4),

Приработка Нормальное Дварийный режимстарение

Характерныекривые

Время

Рис. 1-4. U-образная кривая распределения времени безотказнойработы

В данной модели отображены три фазы жизненного цикла компо-нента: приработка, нормальное старение и аварийный режим. У каж-дой фазы свои особенности. В фазе приработки частота отказов оченьвысока, но быстро снижается при приближении к фазе нормальногостарения, в которой сбои в работе оборудования происходят редко.По мере старения частота отказов резко возрастает, что, впрочем,вполне ожидаемо.

Это наблюдение можно трактовать двояко. Во-первых, проанали-зировав характеристики аппаратных средств в фазе нормального ста-рения, можно попытаться отыскать характеристики, которые раньшевсего указывают на возможность отказа. Некоторые поставщики таки поступают и поставляют оборудование с уже встроенными механиз-мами измерения таких характеристик, по которым более или менееуспешно можно спрогнозировать отказ. Во-вторых, вы сами можетеотслеживать частоту отказов устройств и заменять их до перехода их

в аварийный режим. Обычно такой способ применяется, когда воз-можные потери по причине отказа компонента очень велики. Дляполучения статистически весомого значения времени наработки наотказ требуются довольно длительные наблюдения.

К сожалению, статистика времени наработки на отказ полезнатолько для прогнозирования работы компонентов с экспоненциаль-ным распределением времени сбоев. Для программных и аппаратныхкомпонентов кривые отказов различаются, что затрудняет управле-ние и прогнозирование отказов программного обеспечения. В резуль-тате время наработки на отказ применимо только к небольшой частиПО. Например, ошибки доступа к данным часто обусловлены нару-шением входного потока, таким образом, распределение и прогнози-рование таких ошибок зависит от характеристик входного потока.

Для полностью восстанавливаемых систем также важно среднеевремя восстановления, так как оно напрямую связано со временемпростоя системы. Долю простоя в общем времени работы системыоценивают по следующей формуле:

<простой> = <среднее время восстановгения> / <среднее времянаработки на отказ>

Например, у устройства с временем восстановления 2 часа и вре-менем наработки на отказ — 2000 часов, продолжительность простояравна на отказ 0,1%.

Доступность оценивают так;

<доступность> = <среднее вре^я наработки на отказ> /

(<среднее время наработки ча от<аз> + <среднее времявосстановления>)

Для того же устройства доступность равна 99,9%.Как видите одного лишь повышения среднего значения времени

наработки на отказ без учета среднего времени восстановления недо-статочно для достижения максимальной доступности. Отчасти при-чина этого кроется в высоко- стоимости разработки и внедрения от-казоустойчивого оборудования и ПО. Создание таких систем слиш-ком трудоемко в условиях современных методологий разработки итехнологий проектирования оборудования, а цена их внедрения иподдержки очень высока.

Правило «девяток»Доступность определяется корректной работой службы. Доступностьможно представить значением в диапазоне от нуля (полностью недо-

ступная система) до 100% (полностью отказоустойчивая система, до-ступна абсолютно постоянно). Любые системы характеризуются оп-ределенной степенью доступности. Сегодня многие компании стре-мятся добиться уровня доступности своих Web-сайтов, равного тремдевяткам (99,9%), что подразумевает общее время внепланового про-стоя, равное примерно 8 часам 45 минутам в год. Телефонные компа-нии США обычно поддерживают уровень доступности в пять девя-ток — 99,999% (приблизительно 5 минут 15 секунд внеплановых про-стоев в год).

В таблице 1-2 указаны характеристики наиболее популярных клас-сов доступности, выраженные в «девятках*.

Таблица 1-2. Наиболее популярные классы доступности,выраженные в «девятках»

Класс доступности Доступность Общее время внеплановогопростоя в год

Две девятки

Три левятки

Четыре девятки

Пять девятки

99%99,9%

99,99%

99,999%

3,7 дня

8,8 часа

53 минуты

5,3 минуты

Можно, конечно, пытаться добиться повышения доступности, ноне следует забывать, что каждая дополнительная «девятка» требуетсерьезных затрат на оборудование. С другой стороны, даже при обес-печении доступности в три «девятки» неизбежен обший простой, рав-ный примерно 8,75 часов в год, что для некоторых компаний (напри-мер, ориентированных на Web) практически неприемлемо, так какчревато значительной потерей доходов.

Причины простоевВысокая стоимость простоя вынуждает проектировать рабочую сре-ду, гарантирующую высокую доступность. В простейшей модели рас-чета убытков от простоя предполагается, что все время простоя со-трудники полностью бездействуют независимо от причины простоя —будь то сбой в работе оборудования, сети, сервера или приложения. Втакой модели убытки от перерыва в работе службы складываются изстоимости рабочего времени бездействующих сотрудников и прибли-зительно оцененных потерь, понесенных компанией из-за неработа-ющей службы. Существует несколько причин простоев, в том числесбои в работе ПО, оборудования, сети, ошибки эксплуатации и про-блемы рабочей среды.

20 Основы разработки Web-решзний ВУСОКОЙ доступности Глава 1

Сбои в работе ПООпределить причину сбоя ПО иногда довольно сложно. Например, водной компании установили, что 20% простоев произошли по при-чине сбоев ОС и 20% — по причине сбоев в работе приложений. Од-нако специальное внутреннее исследование обращений в службу под-держки компании Microsoft показало, что проблемы крылись в не-правильной настройке системы, а также в дефектах драйверов обору-дования и системного программного обеспечения, созданных сторон-ними производителями.

Следует также заметить, что ОС иногда выходит из строя по при-чине дефектного антивирусного ПО, так как это ПО зачастую рабо-тает как фильтрующий драйвер уровня ядра. Избежать многих про-стоев системы из-за проблем с программным обеспечением удаетсяпутем улучшения организационных процедур, например предусмот-рев жесткие процедуры отбора программного обеспечения, устанав-ливаемого на серверах.

Сбои в работе оборудованияНаиболее часто отказывают устройства с механическими частями,такое как вентиляторы, диски или съемные носители. Неполадки вработе одного компонента часто влекут за собой нарушение работыдругих компонентов. Напри viep, неисправная или недостаточная вен-тиляция часто становится причиной сбоя оперативной памяти или со-кращения времени службы лиска.

Другие подвижные детали, такие, как механические и электроме-ханические компоненты дисководов, также подвержены отказам, хотяблагодаря новым технологиям удалось существенно повысить надеж-ность дисководов.

Рынок вынуждает поставщиков оборудования хранения информа-ции совершенствовать свои изделия и сохранять при этом приемле-мые цены. В 1998 году время службы (то есть наработки на отказ)диска емкостью 100 Мб составляло примерно 30 000 часов, а сегодняэта характеристика диска емкостью 2 Гб равна 300 000 часов, то есть34 года, При эксплуатации оборудования в отказоустойчивых рабо-чих средах необходимы качественные устройства вентиляции и охт

лаждения. Рекомендуется использовать системы, поддерживающие на-блюдение за внутренней температурой устройств и рассылку SNMP-уведомлений при отклонении от номинальных показателей.

В оперативной памяти применяются контрольные разряды четнос-ти (Error correcting codes, ЕСС) для обнаружения и корректировкиединичных ошибок и обнаружения двухразрядных ошибок. Исполь-зование ЕСС-памяти в качестве основной памяти и памяти кэша по-

зволяет существенно повысить общую надежность системы. Это жеверно в отношении использования технологий RAID.

Сбои в работе сетиПри работе с распределенными системами крайне важно помнить.что общая производительность и надежность системы в значитель-ной степени зависят от производительности и надежности самой сети,

Изменения в топологии и структуре любого уровня стека прото-колов способны повлиять на всю систему в целом. Для гарантии ус-тойчивости необходимо оценить все уровни, впрочем, такой глобаль-ный подход применяется довольно редко. Напротив, многие компа-нии представляют себе сеть как черный ящик со строго определен-ными интерфейсом и сервисами, полностью игнорируя детали интер-фейса системы и сети.

Сбои, обусловленные ошибками при эксплуатацииДля создания надежных систем на основе Windows 2000 требуютсяопределенные процедуры, которые не всегда очевидны для тех. ктопереходит на эту ОС с более сложных мэйнфреймов, центров хране-ния данных на основе микрокомпьютеров или неформальных рабо-чих сред на базе персональных компьютеров. Можно свести к мини-муму или полностью избежать многих проблем такого характера, вы-полняя обязательные организационные мероприятия — регулярноесоздание полной резервной копии и отказ от ненужных измененийпараметров системы и рабочего окружения.

Сбои, обусловленные рабочим окружениемКак говорится в одном из отчетов о результатах исследований сбоев,причиной 27% перерывов в работе центров данных явились отключе-н и я электропитания, а также простои по причине природных катак-лизмов — буранов, торнадо и ураганов, При этом останавливались нетолько сервисы, но терялись и данные.

Контрольный список для мониторинга доступностиДля контроля доступности систем обычно составляют контрольныйсписок. В таблице 1-3 перечислены типы информации, которые сле-дует включить в такой список.

Таблица 1-3. Контрольный список мониторинга доступности

Тип информации Описание

Доступность сети Мониторинг доступности сетис применением жо-откликов (ping) протоколаICMP

(продолжение)Тип информации Описание

Использованиепропускнойспособности

Доступность системы

Доступность HTTP

Метрикипро из водител ьн ости

Мониторинг использования пропускнойспособности (пиковые нагрузки и периодыожидания) и динамики загруженности сети(высока ли нагрузка на сеть, когда именно икак долго длятся периоды высокой нагрузки)

Регистрация нормальных и аварийных-отклю-чений операционной системы. Мониторингнормальной работы и события переходов присбое сервера SQL Server

Мониторинг внутренних HTTP-запросов изсетгй Интернет-провайдера (таких, как AOL,Microsoft MSN, MCI, Sprint и др.) и из другихгеографических регионов (Нью-Йорк, Сан-Франциско. Лондон, Париж, Мюнхен,Токио, Сингапур и т.п.)

Используйте следующие показатели произво-дительности для измерения доступности: числопосещений, время ожидания запросов в раз-резе конкретных операций и групп страниц,загруженность процессора, свободное прост-ранство на дисках, интенсивность операцийдискового ввода/вывода, пропускная способ-ность и быстродействие оптоволоконныхканалов и использование памяти

РезюмеЖизненный цикл компонента оборудования состоит из трех фаз: при-работки, нормального старе -шя и аварийного режима. Хотя не суще-ствует общепринятого стандарта вычисления доступности, наиболеечасто для этого используются среднее время наработки на отказ исреднее время восстановления. Долю простоя определяют по форму-ле: <простой> = <среднее время восстановления> / <среднее время на-работки на отказ>. Доступность рассчитывают по формуле: <доступ-ность> — <среднее время наработки па отказ>/ (<среднее время нара-ботки на отказ> + <среднее зремя восстановления>). На основе стати-стики среднего времени наработки на отказ обычно прогнозируюттолько работу компонентен с экспоненциальным распределениемвремени сбоев. Поэтому среднее время наработки на отказ можноприменять лишь к определенной категории дефектов ПО. Для обес-

печения высокой доступности следует максимизировать среднее вре-мя наработки на отказ — эта задача решается продуманным планиро-ванием и тщательным тестированием оборудования и программногообеспечения — и снизить среднее время восстановления, напримериспользуя кластеризацию. Все системы характеризуются определен-ной степенью доступности — они описывается определенным числомтак называемых «девяток». Например, три девятки — это доступность,равная 99,9%, что означает время простоя — 8,8 часов в год. Суще-ствует масса причин простоя, например сбой в работе ПО, оборудо-вания, сети, эксплуатационные сбои и сбои, обусловленные рабочимокружением. Для мониторинга доступности составляют контрольныйсписок наблюдения за доступностью сайта. Список обычно предус-матривает сбор информации об использовании пропускной способ-ности, о доступности сети, системы, HTTP, а также о значениях мет-рик производительности.

Занятие 3. Обеспечение доступностисистемы

Сбои в работе оборудования, разрушение данных и физическое унич-тожение сайта — любая из этих неполадок недопустима для Web-сай-та, который должен быть доступным практически все время. Для по-вышения доступности сайта следует прежде всего определить служ-бы, доступность которых обязательна, а затем выявить слабые местаэтих служб. Повышение доступности также означает снижение веро-ятности отказа. Решение о принимаемых для предотвращения сбоевмерах принимается на основе информации о том, насколько крити-чен для компании простой тех или иных служб, кроме того, учитыва-ются бюджетные ограничения и квалификация сотрудников. Доступ-ность системы определяется выбором оборудования и программногообеспечения, а также эффективностью организационных процедур.На этом занятии рассказывается о трех основных методиках, приме-няемых для разработки сайтов высокой доступности: разработке орга-низационных мероприятий, обеспечении достаточной пропускнойспособности и снижении вероятности отказов.


•S рассказать о трех основных методиках, применяемых приразработке сайта высокой доступности,

Продолжительность занятия — 20 минут.

Проектирование сайта высокой доступностиДоступность Web-сайта обеспечивают в следующей последовательно-сти: определяют службы, доступность которых обязательна, выявля-ют возможные причины сбоя этих служб, а затем планируют развер-тывание служб так, чтобы обеспечить их доступность клиентам дажепри отказе. Существует три основных методики разработки сайта вы-сокой доступности:• разработка и тщательное документирование организационных ме-

роприятий, которые соответствуют поставленным целям и воз-можностям сотрудников компании;

• обеспечение мощностей, адекватных вычислительной нагрузке;• снижение вероятность отказов.

Разработка организационных мероприятийОдин из наиболее эффективных способов обеспечения доступностисайта часто оказывается достаточно дешевым. Создание и тщатель-ное документирование системы стандартизованных организационныхмероприятий —- действенный способ повышения доступности.

В базах данных объемом 100 Гб и выше — не говоря уже о тера- ипетабайтных базах данных — очень важно создать механизмы обеспе-чения сохранности данных. Для этих целей, к примеру, можно вос-пользоваться RAID-системами, которые позволяют повысить не толь-ко масштабируемость и быстродействие дисковых систем, но и обес-печить целостность данных. Диски очень быстро дешевеют, а удель-ная стоимость убытков от простоев растет экспоненциально, поэто-му резервные системы хранения данных сейчас выглядят намногопривлекательнее, чем когда они только появились на рынке.

В системах высокой доступности очень важно позаботиться о про-цедурах постоянного и подробного мониторинга. Во-первых, следуетобеспечить строгий контроль логического и физического доступа ксерверам. Во-вторых, следует регулярно просматривать системныйжурнал событий, чтобы вовремя обнаруживать отказы и не оставлятьсбои без внимания. Внедрение инфраструктуры, постоянно отслежи-вающей все системы и сеть целиком, — лучший способом предотвра-щения и обнаружения системных сбоев. Работу аппаратных средств,указанных в списке совместимого оборудования (Hardware CompatibilityList, HCL), необходимо фиксировать в журнале событий — это по-зволит вовремя узнать о возможных неполадках. Многие созданныедля обеспечения высокой надежности системы способны продол-'жать работу при одиночном отказе, например при отказе диска томаRAID-5. Однако отказ следующего компонента приведет к сбою сис-темы и потере данных. Поэтому следует позаботиться об автоматизи-рованном уведомлении о сбоях, например об отправке соответствую-щих SNMP-уведомлений на пейджер.2

Еше один способ избежать неполадок — выяснение преимуществи рисков, связанных с модернизацией системы и применением сер-висных пакетов, а также своевременная установка последних. Боль-шинство крупных организаций создают собственные подразделениятестирования, которые оценивают сервисные пакеты и определяют,стоит ли их применять, и если да, то разрабатывают рекомендации поих установке.

Система организационных мероприятий должна предусматриватьследующие процедуры:• управление изменениями;

• управление службами;• управление устранением неполадок;• управление ресурсами;• управление защитой;• управление доступностью.

Корпорация Microsoft создала базы знаний семейства EnterpriseServices (Microsoft Readiness Framework, Microsoft Solutions Frameworkи Microsoft Operations Framework), в которых собран отраслевой опыти практические советы по созданию и реализации перечисленныхпроцедур. Подробнее — на Web-страниие http://www.microsoft.com/technef/ecommerce/ecseries:asp.

После создания набора надежных организационных мероприятийпереходят к повышению доступности оборудования и программногообеспечения. Доступность системы определяется не только степеньюизбыточности оборудования и программного обеспечения.

Обеспечение высокой пропускной способностиСлужбы сайта часто становятся недоступными, когда трафик суще-ственно превышает пропускную способность, а длительная работапри пиковой нагрузке чревата существенным снижением доступнос-ти служб. При масштабировании Web-фермы следует учитывать росттрафика и тратить деньги с умом. Подробнее о требованиях к про-пускной способности — в главе 7.

Снижение вероятности отказовПри разработке сайта высокой доступности необходимо иметь пред-ставление о технических приемах, которые применяются для сниже-ния числа отказов.

Методы снижения вероятности отказов приложений• Создайте надежную инфраструктуру с применением резервных сер-

веров и балансировки нагрузки. (Следует иметь в виду, что класте-ры с балансировкой нагрузки это не то же самое, что кластеры при-ложений Windows. Компоненты Commerce Server 2000, такие, какList Manager и Direct Maiier, не поддерживают работы кластере.)

• Проверьте еще раз исходный код на предмет возможного перепол-нения буфера, бесконечных циклов, критических ошибок и уяз-вимости в плане безопасности.

Методы снижения вероятности отказов из-за нарушения условийкондиционирования• Поддерживайте температурный режим оборудования в соответ-

ствии с рекомендациями производителя. Чересчур высокие тем-

пературы чреваты разрушением процессора, а слишком низкие —могут вызвать неполадки подвижных частей в устройствах, напри-мер в вентиляторах и дисководах.

• Поддерживайте определенный уровень влажности. Чересчур вы-сокая влажность может вызывать короткие замыкания из-за кон-денсации влаги на монтажных платах, а слишком низкая — статьпричиной статических электрических разрядов, которые выводятиз строя электронные компоненты.

Методы снижения вероятности отказов из-за повреждения данных

• Регулярно создавайте резервную копию. Храните резервные ко-пии в отдельном, удаленном месте. Для экономии дискового про-странства можно, к примеру, сохранять отдельно от других лишькаждую четвертую резервную копию. При повреждении данныхсистема восстанавливается из резервных копий до состояния намомент архивирования. Если создавать резервную копию журна-лов транзакций, то при сбое они пригодятся для восстановлениясостояния базы данных.

• Для восстановления состояния базы данных нужно повторно за-пустить на выполнение журналы транзакции. Этот техническийприем — он называется переносом журналов (log shipping) — поле-зен для поддержки сайта «горячего восстановления».

Microsoft SQL Server 2000 — единственная версия SQLServer, которая поддерживает перенос журналов,

В серверной части системы установите кластеры, поддерживаю-щие автоматическое перемещением при сбое. Технологию клас-теризации с автоматическим восстановлением после сбоя поддер-живают службы кластеров Cluster service и Veritas Cluster Server. Ихтакже можно сконфигурировать для обеспечения балансировкинагрузки — все определяется аппаратной платформой, на которойрасполагаются кластеры. В Commerce Server используются такиехранилища данных, как SQL Server и служба Active Directory. SQLServer обеспечивает доступ к данным и соответствующим службам,например службе поиска в каталогах. SQL Server поддерживаетобеспечиваемую службой кластеров избыточность. Active Directoryобеспечивает доступ к данным профилей, а также аутентифика-цию. Для обеспечения надежности в Active Directory используетсярепликация данных. В общем случае кластеризация больше реко-мендуется для работы с динамическими (чтение/запись) данны-

ми, а репликация данных более эффективна для хранения стати-ческих (только чтение) данных.

• Следует максимально снизить вероятность и влияние сбоя в рабо-те SQL Server — для этого примените кластеризацию серверов SQLServer или репликацию данных между ними. При использованииMicrosoft SQL Server? возможность полнотекстового поиска дос-тупна только в некластерных конфигурациях, поэтому рекомен-дуется воспользоваться методом репликации каталога продукциина отдельный, не принадлежащий кластеру сервер, Однако следу-ет иметь в виду, что версии SQL Server6.5 и 7 не поддерживаютконфигурации высокой доступности. Технологии MDAC 2.6 (Mic-rosoft Data Access Components) не поддерживают версии 6.5 и 7сервера SQL Server в конфигурации кластеризации с автоматичес-ким восстановлением при сбое. SQL Server 2000 полностью под-держивает конфигурации высокой доступности.

• Создавайте резервную кспию хранилища данных Active Directory(если эта служба используется). Резервное копирование данныхможно выполнять в онлайновом режиме.

• Установите по крайней мере два контроллера домена Active Di-rectory на каждом физическом сайте и настройте расписание реп-ликации в соответствии с требованиями к надежности данных. Навосстановление контроллера домена часто тратится много време-ни, кроме того, требуется переводить контроллер доменов в оф-лайновый режим. Использование нескольких равноправных кон-троллеров доменов позволяет минимизировать время простоя принеобходимости восстановления сайта из резервной копии.

Методы снижения вероятности отказов из-за отключения электропитания• Позаботьтесь об источниках бесперебойного питания (ИБО) для

всех подключений к электрической сети. Поскольку ИБП обычнооборудованы батареями, их можно использовать только при крат-ковременных перебоях с электричеством. Перед установкой ИБПпроверьте, соответствует их номинальная мощность потребностямвашего оборудования.

• В дополнение к ИБП иногда используют электрогенераторы. Ониобеспечивают электропитание при длительных перебоях с элект-ричеством. Обычно они работают на дизельном топливе или бен-зине. Не забывайте по необходимости пополнять запасы топлива.

Методы снижения вероятности отказов из-за сбоев сетевой среды• Позаботьтесь о резервных сетевых адаптерах, маршрутизаторах,

коммутаторах, локальны* сетях и брандмауэрах.

• Заключите контракты с несколькими Интернет-провайдерами илиустановите одинаковое оборудование в территориально разнесен-ных местоположениях.

Методы снижения вероятности отказов программного обеспечения• Заключите договор с компанией, занимающейся независимой

оценкой безопасности рабочей среды.• Установите средства обнаружения вторжений извне.• Установите несколько брандмауэров.• Самую свежую информацию о методиках и технических приемах

обеспечения безопасности вы найдете на Web-странице http://www.microsoft.com/windows2000/guide/server/features/securitysvcs.asp.

Методы снижения вероятности отказов из-за сбоев в работе сервера

• Установите резервные серверы и обеспечьте балансировку нагруз-ки. В решениях с одним IP-адресом пропускную способность сай-та увеличивают посредством распределения HTTP-запросов про-порционально возможностям конкретных серверов.

• Когда используется решение с одним IP-адресом, следует позабо-титься о том, чтобы запросы пользователей направлялись толькона рабочие серверы.

Методы снижения вероятности отказов из-за отказов оборудования

• Установите массивы RAID-1, RAID-5 или RAID-10, двойные кон-троллеры дисков и зеркальный кэш на контроллерах RAID совстроенным резервным питанием для минимизации вероятностисбоев дисководов. В настоящее время большинство поставщиковразмешают на материнской плате встроенную микросхему RAID-контроллера, который поддерживает тот или иной уровень RAID.Обратитесь к поставщику оборудования и убедитесь, что в комп-лектации ваших серверов присутствует RAI D-контроллер, а такжеузнайте, какие уровни RAID он поддерживает.

• Если вы внедряете сеть SAN на базе Fibre Channel, позаботьтесьоб резервных адаптерах ведущей шины и концентраторах FibreChannel, а также о резервных контроллерах дисковых массивов вхранилищах Fibre Channel. В случае отказа адаптера, концентра-тора, кабеля, контроллера, переключателя или любого другогокомпонента в основной сети система автоматически переключит-ся на резервную сеть, обеспечивающую доступ к внешнему храни-лищу или SAN. В сетях хранения данных SAN на основе FibreChannel особенно важно искоренить любые точки критическогосбоя — это обеспечит максимальную производительность работы,доступность и целостность SAN.

• Установите другие резервные компоненты оборудования.

30 Основы разработки Web-решений высокой доступности Глава 1

РезюмеСуществует три основных методики проектирования Web-сайтов вы-сокой доступности: разработка и тщательное документирование орга-низационных мероприятий, которые соответствуют поставленнымцелям и возможностям сотрудников компании, обеспечение мощно-стей адекватных вычислительной нагрузке и снижение вероятностьотказов. К организационным мероприятиям относится управлениеизменениями, управление службами, управление устранением непо-ладок, управление ресурсами, управление защитой, управление дос-тупностью. Для разработки сайта высокой доступности применяютсятехнические приемы, которые позволяют снизить число сбоев, обус-ловленных нарушениями работы приложений, систем кондициони-рования, баз данных, прекращением электропитания, сбоями в сети,системе безопасности, на серверах и отказами оборудования.

Закрепление материала9 ) Приведенные ниже вопросы помогут вам лучше усвоить ос-

новные темы данной главы. Если вы не сумеете ответить навопрос, повторите материал соответствующего занятия. От-веты для самопроверки — в приложении «Вопросы и ответы»в конце книги.

1. Дайте определение следующих терминов: доступность, отказ, от-казоустойчивость, управляемость, надежность и масштабируе-мость.

2. Из каких основных элементов состоит структура многоуровнево-го Web-сайта, используемого для поддержки бизнеса?

3. Что такое среднее время наработки на отказ и среднее время вос-становления? Чем они отличаются и каков смысл отношения вред-нее время восстановленихУ/<среднее время наработки на отказ>?

4. Сбои каких типов способны вызвать простой всей системы?5. Расскажите о трех методиках обеспечения высокой доступности

Web-сайтов?6. Вы разрабатываете Web-сайт высокой доступности, и одно из тре-

бований заключается в обеспечении предотвращения сбоев при-ложения. Какие технические приемы позволят снизить вероят-ность отказа?

Г Л А В А

Сетеваяинфраструктура

, Разработка топологии высокодоступной сети 33

, Проектирование схемы адресации подсетей в сети TCP/IP 48

1, Резервирование топологии сети 60

Разработка среды DHCP-серверов в сети TCP/IP 62

Разработка инфраструктуры разрешения именв сетях TCP/IP 76

Орактшум 2*1, Разработка высоконадежной сетевой инфраструктуры 90


В этой главеWeb-технологии все чаще используются в виде основной платформыкорпоративных приложений, поэтому инфраструктуры, применяемыедля разработки и размещения приложений, становятся более масш-табными и сложными. Один из методов обеспечения высокой надеж-ности проектируемой сети — избыточность, или резервирование то-пологии. Под избыточностью, или резервированием подразумеваетсядублирование сетевых компонентов, подключений и служб с цельюобеспечить отказоустойчивость и исключить образование в сети то-чек критического сбоя (single point of failure). При проектированиивысокодоступной сети учитывают существующую и планируемую ад-ресацию подсетей, наличие и конфигурацию DHCP-серверов, а так-же иерархию и систему именования в DNS. В этой главе рассказыва-ется, как обеспечить избыточность сетевой топологии и как учиты-вать в проекте разбиение на подсети и наличие DHCP и DNS.

Прежде всегоДля изучения материалов этой главы необходимы:• общее представление о методах обеспечения избыточности при

проектировании систем и сетей;• опыт практической работы с IP-адресами и подсетями;• опыт администрирования служб DHCP и DNS в Microsoft Win-

dows 2000.

Разработка топологиивысокодоступнои сети

Один из наиболее действенных способов обеспечения высокой на-дежности Web-сайта— резервирование оборудования и ПО. Проду-манное использование избыточности позволяет гарантировать устой-чивость хранилища данных или сетевой системы к отказам отдель-ных компонентов или компьютеров. В высоконадежной топологииполностью отсутствуют точки критического сбоя — для этого в ней,как правило, предусмотрены резервные компоненты, подключения ислужбы. Так, в сети можно предусмотреть резервные сетевые адапте-ры, маршрутизаторы и коммутаторы. В результате отказ отдельныхкомпонентов никак не повлияет на общую работоспособность систе-мы. На этом занятии вы узнаете, как создается сетевая топология срезервными компонентами, подключениями и службами.

Изучив материал этого занятия, вы сможете;

• •/ рассказать о трех типах обеспечения избыточностиэлементов топологии сети — компонентов, подключенийи служб;

S спроектировать высоконадежную топологию сетис избыточностью.

Продолжительность занятия - 30 минут,

Сетевая топологияВ сложных системах обычно существует возможность предусмотретьрезервные компоненты, подключения и службы, что позволяет пре-вратить сеть в высоконадежную.

Резервные компонентыРезервными компонентами обычно называют комплектующие ком-пьютера (например, жесткие диски с поддержкой «горячей» замены),компьютеры-дубликаты или избыточные сетевые компоненты внекомпьютера, такие, как маршрутизаторы, коммутаторы или концент-раторы. Этот раздел посвящен сетевым компонентам, не относящим-ся ко внутренним устройствам компьютера. О дублировании компь-ютеров рассказывается далее в этом занятии (в разделе «Резервныеслужбы»), а об резервных компонентах компьютера— в главе 3.

3-4791

Концентраторы и коммутаторыКонцентратор (hub) — это сетевое устройство, являющееся центромподключения л и н и й связи и обеспечивающее подключение всех уст-ройств в общую сеть. Активные концентраторы нуждаются в элект-ропитании, но при этом способны восстанавливать уровень сигналаи ретранслировать его. Пассивные концентраторы предназначены ис-ключительно для организации сети. Пакеты, получаемые с отдельныхпортов, концентратор ретранслирует на все остальные порты.

Коммутатор (switch) — эго компьютер или другое сетевое устрой-ство, управляющее маршрутизацией и работой канала связи. В клас-терной структуре коммутатор используется для подключения сетево-го интерфейса узла кластера к маршрутизатору или другому источни-ку входящих сетевых подключений. Коммутатор не транслирует тра-фик на все порты, а организует прямой канал между парами портов,обеспечивая связь без конфликтов, или коллизий. Стоимость комму-таторов постоянно снижается, поэтому их все чаще применяют в се-тевых топологиях.

Многоуровневые коммутаторы обеспечивают базовую (магист-ральную) коммутацию многлх Web-сайтов, в частности сайтов элект-ронной коммерции. Такие коммутаторы обеспечивают связь Web-серверов, серверов приложений и баз данных. Таким образом, ониподдерживают высокопроизводительную коммутацию на уровнях 2 и3 модели OSI, а также обеспечивают такие характеристики поддер-живаемых служб, как надежность, масштабируемость и безопасностьв Web-среде.

От многоуровневых коммутаторов требуется поддержка высоко-скоростных интерфейсов, резервных блоков питания, службы управ-ления пропускной способностью, или службы качества обслужива-ния (Quality of Service, QoS,, виртуальных локальных сетей (VLAN),высокой плотности портов и быстрого восстановления после сбоев.Кроме того, коммутаторы до/жны обрабатывать огромное число пользо-вательских подключений, обеспечивая пересылку пакетов уровня 3 соскоростями порядка миллионов пакетов в секунду. Только в этом слу-чае коммутатор не станет «узким местом» сетевой архитектуры, сни-жающим общую производительность системы.

Сетевые концентраторы я коммутаторы весьма надежны, но и онииногда отказывают. Таким образом, очень важно обеспечить их ре-зервирование. На рис. 2-1 показан пример резервирования коммута-торов в каждом из сегментов сети.

Обратите в н и м а н и е , что резервные коммутаторы обеспечиваютрезервные каналы связи в сети. Коммутаторы позволяют распреде-лять трафик по дублированным соединениям, поддерживая по два со-

единения для концентратора каждой из секций. Каждый автономныйсервер и сервер в составе кластера оборудован двумя сетевыми адап-терами на каждый сегмент ЛВС, сконфигурированными средствамивстроенного ПО для параллельной работы. Резервирование позволяетсегменту сети продолжать работу при отказе любого из компонентов.

Маршрутизатор - фильтрпортов (Брандмауэр)

Концентратор подключенияк Интернету

Windows 2000Advanced

Serverсо службой

балансировкинагрузки и IIS 5

Кластерс балансировкой

нагрузки, IP-адрес200.1.10.100

Рис. 2-1. Многоуровневая сеть с резервными коммутаторамив каждой подсети

Маршрутизаторы

Маршрутизатором называют сетевое устройство, применяемое длясоединения сетей разных типов, .например основанных на разныхархитектурах и протоколах. Маршрутизаторы работают на сетевомуровне и выполняют коммутацию и маршрутизацию пакетов междуразличными сетями, преобразуя информацию протоколов в соответ-ствии с требованиями той или иной сети. Маршрутизаторы опреде-ляют наилучший маршрут для пересылки данных и не пересылаютшироковещательный трафик между сегментами.

Хотя маршрутизаторы довольно надежны, все же они иногда вы-ходят из строя. Это может вызвать остановку целого Web-сайта. Лю-бой одиночный маршрутизатор, расположенный между сетями, потен-циально считается точкой критического сбоя. Например, на рис. 2-1маршрутизатор подключения к Интернету и маршрутизатор между

подсетями 2 и 3 являются точками критического сбоя. Для обеспече-ния высокодоступной сетевой конфигурации чрезвычайно важно по-заботиться об установке резервных путей маршрутизации в каждойточке критического сбоя маршрутизации.

На рис. 2-2 в сетевую тогологию добавили второе подключение кИнтернету. Таким образом удалось продублировать компоненты (вто-рой маршрутизатор) и подключения (второе подключение к Интер-нету).

Коммутаторподсети 2

Маршрутизатор -фильтр Кластер сопортов службой

(Брандмауэр) балансировкинагрузки (N1.8).

(Р-адрвсКоммутатор 1 200.1.10.100подключенияк Интернету

Windows 2000Advanced Serverсо службой NLB

и MS 5

Коммутатор 2 Кластер соподключения службойк Интернету балансировки

( н а г р у з к и (NLB),

200.1.11.100Маршрутизатор -

фыльтр*. ь

портов[Брандмауэр) |nteme

ISP

Серверы Appli-cation Centerсо службойСОМ+ Load

Balancing

Сервер 4Web-приложений

(HI базеWindows 200 О

Se-ver ooслужбой Active

DirBctory)

тМаршрути-

затор - фильтрпортов

(Брэндмауэр]_

СетьИнтернет-

провайдера

Резервныйкластер -

хранилищеWeb-да иных

Сервер 1{на базе

Windows 2000Server

со службойActive Directory)

Подключениек корпоративной

сети

Сереер2|набазеWindows 2000 Servei

со службойActive Directory)

Рис. 2-2. Топология сети с дублированием подключения к Интернету

Резервные подключенияРезервные подключения предусматривают в различных точках сете-вой топологии. Для этого применяют несколько способов: обеспече-ние избыточных подключений в каждом сегменте ЛВС или в точкеподключения к Интернет-провайдеру или создание дополнительныхсайтов.

Локальные сетиЛокальная вычислительная сеть (ЛВС) — это коммуникационнаясеть, соединяющая совокупность компьютеров, принтеров и другихустройств, размещенных на сравнительно ограниченной территории(например, внутри одного здания). Локальная сеть обеспечивает вза-имодействие всех подключенных к ней сетевых устройств. ЛВС по-зволяет совместно использовать устройства хранения информации,принтеры, приложения, данные и другие сетевые ресурсы. В много-уровневых сетевых средах локальные сети часто разбивают на подсе-ти. В подсетях иногда устанавливают избыточные коммутаторы дляобеспечения резервирования сетевых соединений (рис. 2-1).

Интернет-провайдерИнтернет-провайдер— это организация, предоставляющая частнымлицам или организациям доступ в Интернет. В большинстве случаенк провайдеру подключаются по линии Tl, DS3, ОСЗ или ОС 12 (в Ев-ропе и в России соответственно El, ЕЗ, STM1, STM4). Для сниженияриска отказа единственного канала на многих Web-сайтах предусмат-ривают второе подключение к Интернету (рис. 2-2).

Резервирование путем создания дополнительных сайтовДля обеспечения повышенной надежности некоторые предприятиясоздают постоянно подключенный резервный сайт. Как правило, дляэтого одни и те же службы размещают в двух разных местоположени-ях. Существует много способов построения такой инфраструктуры.На рис. 2-3 показан один из них — епоеоб разбиения службы WWWмежду двумя независимыми местоположениями.

Существует несколько способов построения территориально рас-пределенной сетевой архитектуры. Как правило, такая архитектурасостоит из основного Web-сайта и одного или нескольких дополни-тельных сайтов, применяемых для расширения спектра услуг компа-н и и . Дополнительные сайты могут дублировать как часть, так и всюархитектуру основного сайта. Ключевые параметры, учитываемые привыборе архитектуры, — требуемая степень синхронизации баз дан-ных между сайтами и объем трафика, перенаправляемого на основ-ной сайт.

Если Web-сайт разбит на несколько географически разнесенныхсайтов, обычно применяют специальный компонент балансировкинагрузки (например, Cisco Distributed Director). Компонент баланси-ровки нагрузки географически разнесенных сайтов использует ин-формацию о топологии сети для перенаправления клиентских запро-сов на сайт, который ближе всего к ним. Это позволяет снизить вре-мя отклика приложений на запросы конечных пользователей, особен-но, когда расстояния между разнесенными сайтами очень большие.

Кластер с балан-сировкой сете- Коммутатор Коммутатор

Интернет-"! вой нагрузки, гюдсети 1 подсети 2-, п ровайдер IP- адрес

200.1.10.10'

Маршрутизатор -фильтр портов(Брандмауэр)

ильтр портов(Брандмауэр)

Компьютер подуправлением Win-dows 2000 AdvancedServar со службойбалансировкисетевой нагрузими IS А-серне ром

Компьютер подкоммутатор 2 управлением Win-подключения OOWE 2000 Advancedк Интернету Server со службой

балансировкисетевой нагрузкии ISA-сервером

•'Firaw

Рог tFiiterinsRou tar

Кластер с балан-сировкой cat»-, I—вой нагрузки,

ИнтерчетП. IP-адрес коммутатор30.1.11.100 ПОДСЕТИ 1

Компьютер подуправлением Win-dows 2000 AdvancedServer со службойбалансировки сетевойнвгруэк^ и сервером HS

Сайт 2Компьютер подуправлением Win-dows 2DOO AdvancedServer со службой

СерверыApplicationCenter сослужбой

, COM* Loadалэнсировки сетевой 0 ,Balancing >

|: под управ* ,|;леиием Windows 2000• Server со службой•^Active Direclofy

Компьютер 1под управле-нием Windows20И) Server со

, службой ActiveDirectory


Рис. 2-3. Сетевая архитектура со многими сайтами

Компонент балансировки нагрузки географически разнесенныхсайтов обеспечивает масштаэируемость, позволяя создавать сложно-составные сайты, а также высокую доступность, отслеживая состоя-ние каждого из распределенных сайтов электронной к о м м е р ц и и .Компонент выявляет неработоспособные сайты и прекращает пере-направлять на них новые клиентские запросы.

Основная задача компонента балансировки нагрузки географичес-ки разнесенных сайтов, как правило, заключается в выполнении ролиполномочного DNS-сервера в домене. Клиент, которому требуетсядоступ к Web-сайту, попросту направляет DNS-запрос на соответ-ствующий URL-адрес. Получив DNS-запрос, компонент возвращаетуникальный IP-адрес центра данных сайта, который предоставит оп-тимальный сервис данному конечному пользователю.

Резервные службыWeb-приложения на предприятии обычно поддерживают выполнениетаких критически важных задач, как электронная коммерция, финан-

совые транзакции и обслуживание корпоративной интрасети. Сбойприложений, выполняющих критически важные задачи, может обер-нуться для предприятия миллионными убытками, вот почему необ-ходимо обеспечить бесперебойную работу таких приложений.

Простой и эффективный способ обеспечить постоянную доступ-ность и надежность служб — установить резервные серверы. Если насайте установлено несколько аналогичных серверов, то при отказеодного из них, запросы на обработку можно перенаправлять на уце-левшие серверы. Так обеспечивается высокая надежность Web-сайта.

Резервирование служб в системе со многими компьютерами реа-лизуют одним из двух способов: устанавливают резервные серверыили внедряют решения с балансировкой нагрузки и кластеров.

Резервные серверыОдин из наиболее популярных методов автоматического восстанов-ления работы —применение систем резервирования. Высокая надеж-ность достигается использованием «горячей» резервной системы савтоматическим переключением в случае-отказа основной системыили заменой сбойной системы предварительно сконфигурированнойрезервной.

Горячий резервВ тех случаях когда длительные простои чреваты критическими длябизнеса проблемам, системы «горячего резервирования» позволяютбыстро восстанавливать работоспособность. Резервная система ис-пользуется для быстрой замены отказавшей, или (в некоторых случа-ях) как источник запчастей. При серьезном сбое можно извлечь дис-ки из сбойной системы или воспользоваться лентами резервного ко-пирования для восстановления работоспособность в течение относи-тельно небольшого интервала времени. Эти операции выполняютсяне так уж часто, но к н и м нужно быть готовым, особенно к сбоямпроцессора или компонентов материнской платы.

Системы с «горячим резервированием» очень дороги и сложны вобслуживании, но эти недостатки компенсируются минимизациейвремени простоев. Одно из преимуществ использования резервногооборудования заключается в возможности не спеша, детально проди-агностировать отказавшее устройство и определить место поврежде-ния. Очень важно определить причину неполадки— это позволитисключить ее повторение.

Резервное оборудование должно пройти проверку и круглосуточ-но находиться в рабочем состоянии — точно так же. как и основноеоборудование. Следует регулярно проверять работоспособность ре-зервного оборудования. Также важно постоянно поддерживать его во

включенном, «горячем» состоянии: может оказаться, что оно «не за-хочет» работать при сбое основного оборудования.

Резервное оборудование используют главным образом в центрахданных — там, где оно быстро окупается. Однако в некоторых случа-ях, когда убытки от простоя очень высоки, а применять кластерынельзя, приходится прибегать к резервным системам для минимиза-ции времени восстановления. Эта методика особенно подходит длясистем управления производственными процессами, сбой в работе ко-торых чреват огромными материальным потерям или даже аварией.

Запасные системыДругой способ быстрого восстановления работоспособности — ис-пользование запасных систем для замены отказавших. Иногда запас-ная система становится основной, в других случаях после ремонтапотерпевшей сбой основной системы она снова приступает в выпол-нению своих функций. Экономический эффект от использования за-пасных систем зависит от того, насколько экономически выгодноподдерживать резерв запасных систем и использовать стандартизо-ванные конфигурации.

Балансировка нагрузки и кластеры

В системах с балансировкой нагрузки и в кластерах рабочая нагрузкараспределяется между несколькими серверами. Многие производи-тели поставляют аппаратные и программные решения балансировкинагрузки и создания кластеров в корпоративных сетях. К таким ре-шениям относятся циклическое обслуживание DNS, коммутаторы сбалансировкой нагрузки и такие основанные на Windows 2000 про-граммные решения, как служба кластеров (Cluster service) и службабалансировки сетевой нагрузки (Network Load Balancing, NLB).

Циклическое обслуживание DNSЦиклическое обслуживание DNS (round robin DNS)— технология,применяемая на DNS-сервеэах для распределения нагрузки междусетевыми ресурсами. Суть ее в следующем: при поступлении запросадоменного имени, для которого определено несколько записей ресур-сов, возвращается один из нлх, а при следующем запросе — указан-ный за ним по порядку, по достижении конца списка цикл повторяет-ся. Допустим, у компьютера три IP-адреса (10.0.0.1, 10.0.0.2 и 10.0.0.3),каждый из которых указан в отдельной записи ресурса А. В таблице 2-1 показан порядок обработки запросов клиентов.

В процессе циклического сдвига данные всех однотипных запи-сей ресурсов поочередно оказываются в верхней позиции списка,возвращаемого в ответ на запрос клиента.

Таблица 2-1. Ротация записей ресурсов

Запрос клиента Последовательность возврата IP-адресов

Первый 10.0.0.1, 10.0.0.2, 10.0.0.3

Второй 10.0.0.2, 10.0.0.3, 10.0.0.1

Третий 10.0.0.3, 10.0.0.1, 10.0.0.2

Хотя циклическое обслуживание DNS представляет собой срав-нительно простой механизм балансировки нагрузки между Web-сер-верами, наряду с масштабируемостью и резервированием в нем непредусмотрены дополнительные функции унифицированного управ-ления серверами, развертывания информационного наполнения иработы с ним, а также мониторинга состояния системы и ее произво-дительности. В случае сбоя удалять сервер из таблиц DNS придетсявручную.

Главное достоинство циклического обслуживания DNS в том, чтоне требуется дополнительного оборудования — достаточно лишь на-строить DNS-сервер. Однако широкому применению циклическогообслуживания DNS для балансировки нагрузки препятствует ряд се-рьезных ее недостатков:• кэширование DNS-адресов не позволяет обеспечить полноценную

балансировку нагрузки, так как не все входящие запросы попада-ют на DNS-сервер;

• предыдущую проблему можно устранить, отключив кэширование,но в этом случае все запросы обрабатываются сервером, что при-водит к непроизводительным затратам и, как правило, к увеличе-н и ю времени отклика;

• нет способа оповестить DNS-ссрвср о перегрузке или об отказеодного из серверов Web-сайта. Поэтому в схеме циклического об-служивания DNS запросы направляются всем серверам по очере-ди, даже перегруженным и недоступным. Это отрицательно ска-зывается на доступности сайта из Интернета, хотя пользовательможет нажать кнопку обновления страницы в своем браузере (вэтом случае вероятность успешного доступа к сайту увеличивает-ся, если только не включено кэширование).

Из-за перечисленных недостатков циклическое обслуживаниеDNS применяется не слишком часто (по крайней мере «в чистомвиде») на больших или критически важных Web-сайтах. Но его впол-не можно применять на Web-фермах с тремя или четырьмя сервера-ми или же для балансировки нагрузки между двумя-тремя кластера-ми серверов, в каждом из которых поддерживаются внутренние ме-

ханизмы балансировки нагрузки с применением одного из перечис-ленных далее методов. (Вероятность выхода из строя сразу целогокластера достаточно мала).

Коммутаторы с балансировкой нагрузки

Коммутаторы с балансировкой нагрузки, например Cisco LocalDi-rector, — это аппаратное решение задачи масштабируемости Интер-нет-сайтов, распределяющие запросы TCP между несколькими сер-верами. Компоненты балансировки нагрузки позволяют повыситьмасштабируемость сайтов электронной коммерции. Механизм балан-сировки нагрузки заключается в распределении запросов пользова-телей между серверами группы, для конечного пользователя после-дние выглядят как единственный виртуальный сервер. Основная за-дача этого механизма — перенаправление запросов пользователей нанаименее загруженный, или оптимальный, сервер для обработки зап-роса. Для определения такого сервера в компонентах балансировкинагрузки поменяются достаточно сложные алгоритмы поиска серве-ра с наименьшим числом подключений, с минимальной нагрузкойили с наименьшим временем отклика. Эти алгоритмы также позво-ляют выявлять неисправные серверы и автоматически перенаправ-лять пользователей на доступные серверы, В конечном счете, балан-сировка загрузки серверов позволяет максимально эффективно ис-пользовать серверы и снизить время отклика на запросы конечныхклиентов.

В аппаратных решениях для управления распределением запросовиспользуется специализированный коммутатор с дополнительнымпрограммным обеспечением До начала балансировки нагрузки ком-мутатор должен определить IP-адреса всех подключенных к нему сер-веров. Коммутатор анализирует все входящие пакеты, направляемыена его IP-адрес, и изменяет запись адреса на IP-адрес выбранногосервера. Выбор сервера зависит от его доступности и алгоритма, ис-пользуемого для балансировки нагрузки. На рис. 2-4 показана кон-фигурация, в которой для распределения нагрузки между тремя сер-верами используются коммутаторы в сочетании с компонентом ба-лансировки нагрузки Local Director компании Cisco Systems.

LocalDirector и подобные устройства других производителей пре-доставляют более сложные механизмы решения задачи обеспечениявысокопроизводительной б;шансировки нагрузки по сравнению сциклическим обслуживанием DNS. Эти устройства обладают расши-ренной логикой и большим набором функций балансировки нагруз-ки, в частности отказавший сервер можно удалить из системы неза-метно для конечного пользователя. Однако в таких устройства отсут-

ствуют простые и надежные средства управления Web-фермой. Кро-ме того, чтобы коммутатор не стал «узким местом» всего Web-прило-жения, н у ж н о продублировать его другими коммутаторами. Исполь-зование кластеров зачастую обходится значительно дешевле, чем ис-пользование коммутаторов с поддержкой балансировки нагрузки, игарантировано избавляет систему от точек критического сбоя.

Маршру- Маршру-тизатор 1 тиэатор 2

Протокол "горячей"Коммутатор замены HSRP Коммутатор

ОсновнойLocalDirector

Вирту-альнаяЛВС 1

Последовательный кабельперемещения при сбое Дополнительный

LocalDirector

Перекрестный кабель Ethernet

Коммутатор Коммутатор

Вирту-альнаяЛВС 2

Сервер Сервер Сервер Сервер Сервер Сервер

Рис. 2-4. Использование LocalDirector в сочетании с коммутаторами

Кластеры Windows 2000Кластер — это группа свободно связанных независимых серверов.которая ведет себя как единая система. При необходимости допол-нительных вычислительных мощностей в качестве членов, или узловкластера, можно использовать симметричные многопроцессорныесистемы (SMP). Кластеры обладают следующими свойствами:• все компьютеры кластера выглядят как одна система — клиенты-

приложения взаимодействуют с кластером как с"одиночным сер-вером, это же в основном верно и в отношении системных адми-нистраторов. Простота управления кластером определяется тем,

как реализована та или иная технология кластеризации, а такженабором средств управления и диагностики, предоставляемыхпроизводителем;

• рабочая нагрузка распределяется между узлами — для этого приме-няется специальный механизм балансировки нагрузки;

• кластер можно расширять (масштабируемость) — независимо от ар-хитектуры отдельных узлов — будьте стандартные или SMP-cep-всры, — вычислительную мощность кластера можно поэтапно уве-личивать, добавляя дополнительные серверы;

• высокая надежность — для этого применяются методы обеспече-ния отказоустойчивости, теремещения при сбое и восстановленияпосле сбоя, а также изоляции. Эти методы часто ошибочно пыта-ются заменять друг другой.

Кластер— это компьютерная архитектура, предназначенная длярешения сразу нескольких задач, в том числе обеспечения высокойпроизводительности, надежности и масштабируемости. Идея класте-ров не нова, впрочем, как и многие другие архитектуры, — «изюмин-ка» заключается в способе реализации и наличии платформ, на кото-рых заметны их преимушест ja.

Балансировка нагрузки— один из характерных признаков класте-ра. Первоначально для балансировки нагрузки Microsoft предлагалаиспользовать службу балансировки нагрузки Windows NT (Windows NTLoad Balancing Service, WLBS). ее еще называли Convoy. Сущностьработы WLBS заключалась в преобразовании общих виртуальных IP-адресов (VIP) в реальные 1Р-,щреса серверов, включенные в схему ба-лансировки нагрузки. ПО балансировки сетевой нагрузки (NetworkLoad Balancing, NLB)— это драйвер-фильтр пакетов, поддерживаю-щий спецификацию NDJS (Network Driver Interface Specification) ирасполагающийся поверх NDIS-драйвера сетевого адаптера, но нижестека TCP/IP. Каждый из серверов получает все пакеты, направляе-мые на виртуальный IP-адрес, а служба балансировки сетевой нагруз-ки анализирует их и принимает решение, какому серверу какие паке-ты обрабатывать. Служба NLB сервера передаст в стек TCP/IP паке-ты, предназначенные для обработки на данном сервере, и отбрасыва-ет те, которые должны обрабатывать другие серверы.

Более подробно о структуре кластеров рассказано в главах 4, 5 и 6.

Принятие решенияПри разработке топологии высоконадежной сети для устранения то-ч е к критического сбоя рекомендуется применять резервирование.Высоконадежная топология обычно состоит из резервных компонен-тов, сетевых подключений и служб (таблица 2-2).

Таблица 2-2. Разработка высоконадежной сетевой топологии

Резервные части Пример Описаниесистемы

Резервныекомпоненты

Резервные сетевыеподключения

Резервныеслужбы

Кон центраторы,коммутаторы,маршрутизаторы

ЛВС, Интернет-подк-лючения, дополни-тельные сайты

Запасные службы для«горячей» замены, за-пасные системы, цик-лическое обслужива-ние DNS, коммута-торы с балансировкойнагрузки, Windows-кластеры

Для устранения точек крити-ческого сбоя рекомендуетсяприменять резервированиекомпонентов. При выходе изстроя компонента долженвключаться резервный, рабо-та системы при этом ненарушается. Резервироватьнеобходимо все компоненты

Следует позаботиться о ре-зервных сетевых подключениях на всех уровнях сети,в том числе об ЛВС и Ин-тернет-подключениях. Резер-вирование подключений кИнтернету и локальной сетииногда обеспечивают путемсоздания дополнительныхсайтов. В некоторых компа-ниях сначала дублируют ос-новной сайт, а затем создаютсайты-спутники, обеспечи-вающие более надежноерезервирование

Создание кластеров считаетсянаиболее эффективным, уп-

равляемым и экономическивыгодным решением обеспе-чения высокой надежностииз приведенных выше при-мерок. Кластеры рекомен-дуется применять на всехуровнях многоуровневой сети.Подробнее о кластеризации,а также о создании и исполь-зовании кластеров для обес-печения высокой надеж-ности сетевой топологии выузнаете в следующих главах

РекомендацииПри разработке высоконадежной сетевой инфраструктуры следуетустанавливать избыточные компоненты и сетевые подключения, чтопозволит избавиться от точек критического сбоя. Можно продубли-ровать подключения ЛВС, подключения к Интернет-провайдеру илисоздать дополнительный сайт, а также сочетать любые из перечислен-ных решений. При разработке высоконадежной сетевой топологиикластеры предпочтительнее, чем циклическое обслуживание DNS икоммутаторы с балансировкой нагрузки.

Пример. Сеть с резервированиемНа рис. 2-5 показан пример топологии в проекте сети с резервнымикомпонентами и подключениями.



Маршрутизатор - Кластер сфильтр портов балансировкой[Брандмауэр) сетевой

: нагрузки,~ ' t г IP-ад pec

Коммутатор! 200.1.10.tOOподключенияк Интернету

Сара ер доставкиWeb-информации

Подключениек кооперативной

сети

VPN/Ma рш руги заторWindows 2000 Ad-vanced Server сослужбой балан-

сщювки сетевойнагрузки и US 5

Кластер сКоммутатор 2 балансировкойподключения сетевой

к Интернету нагрузки,,_ !—, IP-адрес••в™ 200.1.11.100

Маршрутизатор -Dильтp портоа (Брандмауэр!

Интернет-тлроаайдер,

Сера еры Ар р!call im Centerсо '; луж бой1

COV1+ LoadBe lancing


Рис. 2-5. Сетевая топология с резервированием компонентови сетевых подключений

Здесь для резервирования подключения к Интернету используют-ся резервные маршрутизаторы и коммутаторы. При сбое одного изподключений резервные компоненты и подключения возьмут на себяподдержку сервиса, и пользователи не заметят отказа. Обратите вни-мание, что для достижения высокой надежности использованы клас-теры, а не циклическое обслуживание DNS или коммутаторы с ба-лансировкой нагрузки. Кластеры применяются на всех уровнях то-пологии сети.

РезюмеОдин из наиболее эффективных способов добиться высокой надеж-ности Web-сайта — резервирование оборудования и ПО. В сложныхсистемах обычно удается применить резервирование компонентов,подключений и служб для обеспечения высокой надежности архитек-туры сети. Понятие «резервные компоненты» может относиться какк комплектующим компьютера (например, жестким дискам с поддер-жкой «горячей замены»), так целым компьютерам-дубликатам иликомпонентам сети (например, маршрутизаторам, коммутаторам иконцентраторам). Концентраторы, коммутаторы и маршрутизаторыдовольно надежны, но и они иногда отказывают. Вот почему так важ-но позаботиться о резервировании. Можно также применять резерв-ные соединения в различных точках сетевой топологии: во всех сег-ментах сети, в точке подключения к Интернет-провайдеру или междуразличными сайтами компании. Чтобы добиться высокой доступно-сти системы, часто устанавливают избыточные серверы. При сбоеосновного сервера дополнительные серверы берут на себя выполне-ние его функций и обрабатывают запросы. Существует два способарезервирования служб для обеспечения высокой доступности с при-менением нескольких компьютеров: использование резервного сер-вера и применение кластера с балансировкой нагрузки. При проекти-ровании высокодоступной сетевой инфраструктуры резервные компо-ненты и сетевые подключения применяют для полного искорененияточек критического сбоя точек критического сбоя. Кроме того, пред-почтительнее использовать кластеры, а не циклическое обслужива-ние DNS или коммутаторы с балансировкой нагрузки.

Занятие 2, Проектирование схемыадресации подсетей в сетиTCP/IP

Успех протокола TCP/IP, основного для Интернета, главным обра-зом обусловлен его способностью объединять сети самого различно-го масштаба и типа. Первоначально создатели Интернета определилипять классов адресов, от А до Е. Стек TCP/IP Microsoft поддерживаетклассы А, В и С. Сети определенного класса характеризуются фикси-рованным размером, их можно разбивать на подсети. Разбиение наподсети (subnetting) необходимо при согласовании логической схемыадресации Интернета с реальными физическими сетями. Таким об-разом единую сеть TCP/IP удается разделить на несколько отдельныхсетей, или подсетей. Разбиение многоуровневой сетевой структурына подсети позволяет повысить защищенность сети и улучшить еепропускную способность, а также повысить надежность системы вцелом. На этом занятии рассказывается о создании подсетей в мно-гоуровневой Web-среде для повышения безопасности, пропускнойспособности и надежности сети.


s рассказать о подсетях и о разбиении на подсети;S спроектировать систему адресации подсетей в сети TCP/IP.


Разбиение на подсети многоуровневой Web-средыКаждый узел сети TCP/IP идентифицируется по логическому IP-ад-ресу. Это адрес сетевого уровня, и он никак не связан с адресом ка-нального уровня (например, с МАС-адресом — аппаратным адресомсетевого адаптера). Каждому узлу и сетевому компоненту назначает-ся уникальный IP-адрес, который они используют для связи по про-токолу TCP/IP.

IP-адрес определяет местоположение системы в сети подобнотому, как почтовый адрес определяет место дома на улице. Почтовыйадрес должен указывать на единственный дом, точно так же IP-адресдолжен быть уникальным во всей сети и иметь единый формат. Каж-дый IP-адрес состоит из идентификатора сети и-идентификатора узла.

Идентификатор сети (network ID) — одинаков для всех узловTCP/IP, которые расположены в одной физической сети. Для нор-

мального взаимодействия друг с другом все узлы одной физическойсети должны иметь одинаковый идентификатор сети. При выбореидентификатора сети рекомендуется руководствоваться рядом прин-ципов :• идентификатор сети должен быть уникальным в пределах всей IP-

сети. Если планируется подключать сеть к Интернету напрямую,идентификатор сети должен быть уникальным в Интернете. Еслипрямое подключение к Интернету не планируется, локальныйидентификатор сети должен быть уникальным в пределах всей ча-стной сети;

• идентификатор сети не может начинаться с октета 127 — он заре-зервирован для замыкания устройств на себя (loopback);

• нельзя приравнивать все биты идентификатора сети единице —этот адрес зарезервирован для широковещательных сообщений;

• нельзя приравнивать все биты идентификатора сети нулю— та-кой идентификатор сети обозначает строго определенный узеллокальной сети и пакеты с таким адресом не маршрутизируются.

Идентификатор узла (host ID) определяет конкретный узел в сети.При выборе идентификатора узла также следует придерживаться оп-ределенных правил:• идентификатор узла должен быть уникальным среди адресов с

определенным идентификатором сети;• нельзя приравнивать все биты идентификатора узла единице —

этот адрес зарезервирован для широковещательных сообщений;• нельзя приравнивать все биты идентификатора узла нулю— этот

идентификатор узла зарезервирован для IP-адреса сети,

ПодсетиВсе 32 бита IP-адреса распределяются между идентификаторами сетии идентификаторами узла в зависимости от того, сколько требуетсясоздать подсетей и узлов в каждой подсети. Однако на практике невсегда удобно, чтобы все узлы сети находились в одном широковеща-тельном домене. У всех узлов одной физической сети, ограниченнойIP-маршрутизаторами, общий широковещательный трафик. Так, се-тевой идентификатор класса А позволяет располагать в одной сетиболее 16 миллионов узлов, что не совсем практично. В конечном ито-ге из 16 миллионов используются лишь часть адресов узлов, а осталь-ные «пропадают* зря. Даже сеть класса В, поддерживающая до 65 000узлов в подсети, неудобна на практике.

Чтобы уменьшить размер широковещательных доменов и болееэффективно использовать биты идентификатора узла, IP-сеть разби-

вают на подсети меньшего размера. Каждая из них ограничиваетсяIP-маршрутизатором и получает новый идентификатор подсети, оп-ределяющий некоторый диапазон основанных на классах адресовисходной сети. Таким образом создаются подсети, участки IP-сети,каждый из которых обладает собственным уникальным идентифика-тором подсети. Идентификаторы подсетей получаются путем исполь-зования бит, которые в основанных на классах сетях применяютсядля идентификации узла.

Например, на рис. 2-6 показана сеть класса В с идентификаторомсети 139.12.0.0. В этой сети можно разместить до 65 534 узлов. Ее сле-дует разбить на подсети, но таким образом, чтобы разбиение не по-влияло на остальную IP-сеть и не пришлось изменять ее конфигура-цию.

Весь IP-трафик —'в направлении 139.12.0,0

Рис. 2-6. Сеть 139.12.0.0 до разбиения на подсети

Для получения адресов новых подсетей используются первые во-семь бит идентификатора узла (третьего октета) сети 139.12.0.0. В ре-зультате получаются отдельные подсети со своими собственнымиидентификаторами 139.12.1.0, 139.12.2.0и 139.12,3.0 (рис. 2-7). Мар-шрутизатор распознает адреса подсетей и направляет IP-пакеты в со-ответствующие подсети.

Весь 1Р-трафиквнаправлении 139.12.0.0

Рис. 2-7. Сеть 139.12.0.0 после разбиения на подсети

Занятие 2 Проектирование схемы адресации подсетей в сети TCP/IP g-|

Обратите внимание, что с точки зрения всей остальной IP-сетиузлы, расположенные в этих трех подсетях, рассматриваются как при-надлежащие сети 139.12.0.0 Другие маршрутизаторы в «большой» IP-сети не «знают», да им это и не нужно, о разбиении сети 139.12.0.0 наподсети, поэтому их не требуется перенастраивать.

Осталось выяснить самый важный вопрос. Как маршрутизатор,выполняющий разбиение сети 139.12.0.0. «узнает», как именно раз-бивается сеть и какому интерфейсу соответствует каждая из подсе-тей? Чтобы передать эту дополнительную информацию узлам IP-сети,нужно точно указать, как различить новые адреса подсетей вне зави-симости от класса IP-адреса. Для этого выделения идентификатораподсети или сети определенного класса применяется маска подсети(subnet mask).

Разбиение на подсетиОбщие принципы разбиения на подсети с использованием бит иден-тификатора узла понять несложно, намного сложнее разобраться, какэто все происходит на практике. Разбиение на подсети выполняетсяв три этапа.1. Определяется число бит в идентификаторе узла, используемое для

адреса подсети.2. Перечисляются все идентификаторы новых подсетей.3. Перечисляются все IP-адреса для каждого из новых идентифика-

торов подсетей.

Этап 1. Определение числа бит в идентификаторе узла

Число бит идентификатора узла, используемое для разбиения на под-сети, определяет допустимое число подсетей и узлов в каждой подсети.Прежде чем принимать решение о том, сколько бит идентификатораузла выделить для идентификаторов сети, нужно четко решить, сколь-ко подсетей и узлов будет в сети в будущем. Выделение большего, чемнеобходимо, числа бит для маски подсети сэкономит время, котороеможет понадобиться для переназначения IP-адресов в будущем.

Чем больше бит идентификатора узла используется, тем большеподсетей (идентификаторов подсетей) можно создать, но только засчет уменьшения числа узлов в расчете на каждую подсеть.

На рис. 2-8 показан пример использования 1—8 бит идентифика-тора для разбиения на подсети сети с идентификатором узла класса В.При выделении для разбиения на подсети 1 бита из адреса узла удас-тся создать две подсети с 16 382 узлами в каждой. Если же для разби-ения на подсети выделить 8 бит, можно создать 256 подсетей по254 узла н каждой.

Класс В

Идентификатор сети Исходный идентификатор узла

1 О

Число подсетей

Число узлов

2. 256

16,382. .254. Идентификаторузла

Рис. 2-8. Разбиение сети класса В на подсети

На практике сетевые администраторы определяют необходимоечисло узлов в сегменте сети. Вспомните, что широковещательныйтрафик в сегменте сети принимают все узлы, так как располагаются водном широковещательном домене. Поэтому увеличение числа под-сетей предпочтительнее увеличения числа узлов на одну подсеть.

Этап 2. Перечисление идентификаторов подсетейНа основании информации о выделении числа бит идентификатораузла одним из двух способов нужно построить список идентификато-ров новых подсетей. Для это существует два способа:• двоичный — строится список всех возможных комбинаций бит

идентификатора узла, выделенных для адресов подсетей, затемадреса приводятся к десятичному представлению с разделителя-ми-точками (ХХХ.ХХХ.ХХХ.ХХХ);

• десятичный — каждый последующий идентификатор подсети по-лучают суммированием лредыдущего идентификатора и некото-рого вычисленного заранее приращения и преобразованием к де-сятичному виду с разделителями-точками.

Любой из этих методов дает один результат — нумерованный спи-сок идентификаторов подсетей.

Этап 3. Вычисление IP-адресов для каждого идентификатора подсетиНа основании списка идентификаторов подсетей, нужно построитьсписок разрешенных IP-адэесов для каждой подсети. Выписыватькаждый IP-адрес слишком трудоемко, поэтому для каждого иденти-фикатора подсети указывают диапазон IP-адресов (первый и после-дний адреса). Существует дна способа определения этих диапазонов:

• двоичный — выписываются первый и последний IP-адреса длякаждого идентификатора подсети и приводятся к десятичномувиду с разделителями-точками;

• десятичный — первый и последний IP-адреса для каждой последу-ющей подсети получают суммированием соответствующих адре-сов предыдущей подсети и определенного заранее приращения, азатем приводят полученную величину к десятичному виду с разде-лителями-точками.

Любой из этих способов дает один результат — диапазон IP-адре-сов, соответствующих каждому идентификатору подсети.

Разбиение сети на подсети (сегментирование)При управлении любым Web-сайтом необходимо обеспечить требуе-мый уровень конфиденциальности, целостности и доступности ин-формации. Для успешной работы любого сайта для бизнеса исклю-чительно важна безопасность. При построении бизнес-сайтов созда-ют несколько сегментов, или областей, с различным уровнем безо-пасности. Системы со сходными требованиями по безопасности объе-диняют в отдельные сегменте, а сами сегменты защищают посред-ством сетевых фильтров или брандмауэров (рис. 2-9). Вот три основ-ные области безопасности отделяемые брандмауэром:• общедоступная сеть;• сеть периметра, в ней размещаются интерфейсные части и серве-

ры информационного наполнения;• защищенная (закрытая) сеть, в которой создается или обрабаты-

вается информационное наполнение, а также хранится и обраба-тывается конфиденциальная информация.

« / 3 .

Брандмауэр Сеть"периметра

Внутренняя сеть /


Рис. 2-9. Три основных области безопасности

Сети обработки данных, внутренние по отношению к сети пери-метра, следует отделить не только из соображений безопасности, но

и для более эффективного использования пропускной способности-сети. Обычно все компьютеры оборудуются двумя или более сетевы-ми адаптерами. При сегментировании сети периметра рекомендуетсяпридерживаться следующих правил:• для разных типов Интернет-трафика выделяйте разные Web-кла-

стеры. Так, HTTP-запросы можно направлять на один кластер, аFTP-запросы — на другой. Кроме того, каждый кластер желатель-но настроить на отбрасывание трафика, не предназначенного дан-ному кластеру;

• разделяйте Интернет-трафик и внутренний трафик — это предот-вратит прямой доступ из Интернета во внутреннюю сеть и позво-лит настроить фильтры для каждого сетевого адаптера, разрешаятолько трафик, предназначенный для данного сервера;

• при настройке службы маршрутизации и удаленного доступа (Rou-ting and Remote Access Service, RRAS) следует запретить пересыл-ку ГР-пакетов между серверами, принимающими запросы из Ин-тернета. Единственным IP-адресом, видимым из общедоступнойсети, должен быть вирту;шьный IP-адрес кластера'серверов с ба-лансировкой нагрузки, относящийся к внешнему интерфейсу.Запрещение пересылки IP-пакетов чрезвычайно важно;

• во внутренней сети Web-сайтов используйте немаршрутизируемыесетевые адреса;

• постройте административную сеть управления, чтобы отделитьадминистративный трафик от остального трафика сети. Это по-зволит также ограничить трафик сетевых адаптеров, для чего при-дется настроить соответствующие фильтры. Затем следует ограни-чить трафик критически важных утилит управления сетью управ-ления, предотвратив его попадание в основную сеть. Это исклю-чит пересылку административного трафика через брандмауэры,что дополнительно повысит защищенность сети. Чрезвычайнаважно обеспечить безопасность самой административной сети.

Принятие решенияПри построении защищенной высокодоступной Web-среды с исполь-зованием сегментирования рекомендуется реализовать многоуровне-вую архитектуру, в которой отдельный сетевой сегмент применяетсядля внутрикластерного контроля работоспособности (пульса). Крометого, в этом случае предусмотрен отдельный сетевой сегмент для ад-министративной сети. Все эти методики описаны в таблице 2-3.

Таблица 2-3. Методы сегментирования сети

Метод Описание

Созданиемногоуровневой сети

Многоуровневую сеть разбивают по крайнеймере на три основных сегмента, разграничен-ных брандмауэрами — внешнюю, или обще-доступную, сеть, сеть периметра (в ней распо-лагаются системы внешнего интерфейса исерверы информационного наполнения) изащищенную сеть, в которой создается илиобрабатывается информационное наполне-ние, а также хранятся и обрабатываются кон-фиденциальные данные. В ряде случаев пери-ферийную сеть разбивают на сегментыменьшего размера. В многоуровневой архи-тектуре Интернет-трафик отделен от внут-реннего трафика, что исключает прямой доступиз Интернета во внутреннюю сеть

Отдельный сетевой сегмент, поддерживающийвнутреннюю связь между серверами кластера.Более подробно о кластерах рассказывается вследующих главах этой книги

Выделенная сеть, обслуживающая админист-ративный трафик и отделяющая его от всех-остальных видов трафика. Хотя при этом необязательно использовать отдельный сегмент,он все же рекомендуется Д1я обеспеченияхорошо защищенного окружения

РекомендацииЧтобы добиться максимальной эффективности Web-среды, нужноприменить все три описанные выше методики. Многоуровневая то-пология обеспечивает высокую степень защиты, сегмент пульса кла-стера поддерживает работу кластера, а отдельная административнаясеть снижает уязвимость среды за счет предотвращения пересылкиуправляющего трафика через брандмауэры,

Пример. Web-среда с подсетямиНа рис. 2-10 показан пример сетевой топологии высокодоступнойсистемы, Это проект крупного сайта, созданного с применением ре-зервирования — как топологии, так и компонентов. Критически важ-

Сеть пульса

Административная сеть

ные службы способны продолжать работу в подавляющем большин-стве аварийных ситуаций — эстановка системы возможна лишь в слу-чае очень крупной аварии. Серверы, расположенные в каждой изгрупп от Интернет-провайдер 1 до Интернет-провайдер N, поддержи-вают все критически важные функции сайта, так что даже в результа-те аварии у провайдера сайт не выйдет из строя. Поддержка постоян-ной работоспособности служб даже в случае очень серьезных авариитребует размещения реплик всего сайта во многи-х географически рас-пределенных точках, такая архитектура называется geoplex. Для под-держки работы geoplex-систем обычно применяют ПО Distributed-Director фирмы Cisco. К сожалению, на создание сайтов-репликобычно требуются дополнительные, и немалые средства, стоимостьсайта увеличивается более чем в два раза, кроме того, возможны слож-ности с обеспечением целостности данных в Web-приложениях.

ШРИ^Гн Н;!!г Ц г' Сеть перим(тра

Внешняя сеть

Web-серверы Коммутатор,207.46.А.1-126 внешней

сети

Защищенная сеть10.10.2.0/24

Серверная сеть10.10.1.0/24

Коммутаторзащищенной сети

и1! БрандмауэрМаршрутизатор/

брандмауэрU

ЗащищенныйSQL-кластер

Подсистема управ-ления сетьюпериметра 1Кластер

серве-ров 1 Сеть управления

10.20.1.0/х

Кластер\cepae-

РОВ N

Серверуправления

ЗащищенныйSQL-кластер NПодсистема уп-

оавления сетьюпериметра 2

Маршрутизатор/ндмауэр Коммутатор

Web-серверы внешней207.46.В. 1-126 сети

БрандмауэрКоммутатор Коммутаторвнутренней защищенной

сети сети

VPN/Маршру-^•тизатор

Рис. 2-Ю. Топология многосегментной сети с выходом в Web

В данном проекте сети показано, как обеспечить резервированиеподключений. Они обозначены Интернет-провайдер 1 и Интернет-провайдер N. Это должны быть подключения к разным (физическиразделенным) сетям. Серверы, размещенные в интерфейсных сетях,доступны из Интернета. Брандмауэры считаются необходимыми ком-понентами безопасности, обеспечивающими изоляцию сети путемфильтрации трафика по типам пакетов, а также по адресам отправи-теля и получателя. Они образуют одну из границ периферийной сети,обозначенной двусторонней стрелкой. На входе размещены маршру-тизаторы и брандмауэры, которые можно располагать на выделенныхсерверах или совмещать с другими службами компьютеров.

Внешняя сетьВнешняя сеть обеспечивает работу основных Web-служб, напримерHTTP/HTTPS, для обслуживания HTML- и ASP-страниц применя-ется US-сервер, а для аутентификации пользователей — LDAP-cep-веры.

Каждый сервер внешней сети настроен для обеспечения дополни-тельной защиты и подключен к трем сетям:• внешней сети (с доступом в Интернет);• внутренней сети (с доступом к серверам интерфейсной сети и —

через брандмауэры — к защищенной сети);• сети управления (обеспечивающей функции управления).

Такое разбиение сети повышает ее защищенность, позволяет бо-лее эффективно использовать пропускную способность и обеспечитьдополнительное резервирование.

Обратите внимание, что единственные общедоступные IP-адресадля любого из серверов этого сайта — виртуальные IP-адреса, на зап-росы которых отвечают только серверы внешней сети. ФильтрацияIP-пакетов на сетевых адаптерах, обращенных в сторону Интернета,обеспечивает прохождение на серверы внешней сети только трафи-ка, тип и источник которого соответствует выполняемым ими функ-циям. Кроме того, на всех Web-серверах запрещена пересылка паке-тов средствами службы маршрутизации и удаленного доступа (RRAS)между тремя сетями.

Внутренняя сетьВнутренняя сеть объединяет все серверы периферийной сети на базевысокоскоростной частной локальной сети 10.К), 1 .x . Такое построе-ние исключает прямой доступ к серверам периферийной сети из Ин-тернета даже в случае взлома брандмауэра, так как маршрутизаторыИнтернета не в состоянии пересылать между сетями пакеты с адреса-

ми определенных диапазонов, в том числе с адресами вида Ю.х.х.х.Как и во внешней сети, доступ ко всем серверам внешней и внутрен-ней сети обеспечивают дополнительные коммутаторы. Все внутрен-ние коммутаторы размешены в одной сети, поэтому в активно рабо-тающих сайтах внутренний трафик может оказаться весьма значи-тельным, особенно в отсутствие отдельной сети управления для веде-ния журналов и другого управляющего сетевого трафика.

Основные компоненты внутренней сети — серверные кластеры сповышенной зашитой, обеспечивающие службы хранения Web-ин-формаиии и состояния сеансов. Совместный доступ к файлам внутрикластера обеспечивает работа служб хранения файлов. Установлен-ный в кластерной конфигурации Microsoft SQL Server обеспечиваетхранение и работу базы данных. На каждом сервере кластера работа-ет по меньшей мере 4 сетевых адаптера — по одному на каждый ком-мутатор: один для частной сети пульса кластера (в которой применя-ются специальные адреса внутренней сети, например 192.168.10.x) ивторой для сети управления, В дополнение к физическим адресамсерверов каждому кластеру выделяются по два виртуальных IP-адре-са — по одному на каждый сетевой адаптер, подключенный к комму-таторам внутренней сети.

Защищенный сегмент сетиЕще один брандмауэр является внутренней границей периферийнойсети, он отделяет так называемую защищенную сеть от внутреннейсети. Брандмауэр настраивается на пропускание только разрешенно-го трафика на разрешенных портах и между допустимыми парами«источник — получатель*. Защищенная сеть содержит частную сеть(в нашем примере 10.10.2.0) пару сдвоенных коммутаторов, несколь-ко серверов и устройство, обозначенное как VPN/маршрутизатор(последнее поддерживает подключение ко внутренней корпоративнойсети). Защищенная сеть является логической частью корпоративнойсети. Серверы защищенной сети часто входят во внутренний корпо-ративный домен, поэтому предполагается, что контроллеры домена,серверы адресов и именования располагаются во внутренней сети.

Сегмент сети управленияДля обеспечения высокой доступности система управления сайтом час-то выделяется в отдельную сеть. Это также позволяет освободить внут-ренний сегмент от управляющего трафика, что улучшает общую произ-водительность и сокращает время отклика. Иногда внутренний сегментиспользуется как для управления, так и для рабочего трафика, но в круп-ных сайтах высокой доступности этого делать не рекомендуется.

РезюмеУзлы с одним идентификатором сети TCP/IP располагаются в однойфизической сети. Идентификатор узла однозначно определяет узелвнутри сети. Все 32 бита IP-адреса распределяются между идентифи-каторами сети и узла в зависимости от того, сколько требуется со-здать подсетей и узлов в расчете на одну сеть. Для создания широко-вещательных подсетей меньших размеров и для повышения эффек-тивности использования бит идентификатора узла IP-сеть делят насегменты меньшего размера; от остальной сети сегменты отделяютсяIP-маршрутизаторами, кроме того, им назначают новый идентифи-катор подсети, которому присваивается адрес из диапазона основан-ной на классах исходной сети. Разбиение на подсети выполняется втри этапа: определение необходимого числа бит идентификатора узла,перечисление новых идентификаторов подсетей и получение спискаIP-адресов для каждой подсети. К трем основным сегментам, отделя-емым брандмауэрами, относятся общедоступная, иди внешняя, сеть,сеть периметра, в которой размещаются серверы интерфейсной час-ти и информационного наполнения, и защищенная сеть, где создает-ся или готовится информационное наполнение и хранятся или обра-батываются закрытые данные. Сеть периметра иногда дополнитель-но разбивают на сегменты меньшего размера. В общем случае реко-мендуется создавать отдельный сетевой сегмент управления— этопозволяет обеспечить высокую доступность и освободить внутрен-нюю сеть от управляющего трафика. В кластерах также следует поза-ботиться о сети пульса кластера.

!-1. Резервирование топологии сетиВас пригласили для выполнения проекта в компанию сред-них размеров, занимающуюся розничной торговлей детскойодеждой и имеющую сеть магазинов в штатах Орегон и Ва-шингтон. Компания также продает товары по каталогам, рас-сылая их по почте. Покупатели имеют возможность заказатьтовар по телефону или электронной почте. В прошлом годувы создали Web-сайт, единственной цель которого заключа-лась в предоставлении посетителям онлайнового каталога вдополнению к каталогу, распространяемому по почте. Ника-ких покупок в онлайновом режиме не выполняется. Тополо-гия сети Web-сайт показана на рис. 2 - 1 1 .

Физический IP-адрес—200.1.10.21

"Брандмауэр" - Концентратормаршрутизатор- подключения

фильтр портов к Интернету

ФизическийКластер IP-адрес

с балансировкой 200.1.10.22нагрузки,IP-адрес

200.1.10.100

Компьютер под уп-равлением Windows2000 Advanced Serverсо службой баланси-ровки сетевой наг-рузки и сервером IIS 5

Концентраторподсети 1

^ - - - ' ' ' '• ' :5

Компьютер под управлениемWindows 2000 Advanced

Server со службой баланси-ровки сетевой нагрузки

и сервером IIS 5

Физический IP-адрис200.1.10.23

Компьютер под управлениемWind DWS 2000 Advanced Server со

слухбой балансировки сетевойi-агрузки и сервером MS 5

Компьютер подуправлением

Windows 2000 AdvancedServer с SQL Server,

хранящемWeb-данные

Рис. 2-11. Web-сайт с онлайновым каталогом товаров компаниирозничной торговли

Руководство компании требует создать сайт электронной коммер-ции, поддерживающий заказы и платежи в онлайновом режиме. Тре-

буется разработать сетевую топологию, которая обеспечит доступ-ность, масштабируемость, управляемость и безопасность работы сай-та. Для исключения точек критического сбоя вы планируете тополо-гию с резервными компонентами. Кроме того, собираетесь добавитьеще одну подсеть для поддержки промежуточного уровня, а такжеприменить коммутаторы вместо концентраторов. Сайт предполагает-ся разместить в одном географическом местоположении.1. Какую сетевую топологию вы разработаете для сайта электронной

коммерции?

Занятие 3 Разработка средыDHCP-серверов в сети TCP/IP

В состав операционной системы Windows 2000 Server включена усо-вершенствованная версия DHCP. DHCP (Dynamic Host ConfigurationProtocol) — это открытый отраслевой стандарт, призванный облегчитьадминистрирование сетей TCP/IP. В обычных сетях каждому компь-ютеру (узлу), подключенному к сети TCP/IP, нужно назначить уни-кальный IP-адрес. Протокол DHCP освобождает администратора отнеобходимости вручную конфигурировать каждый компьютер, авто-матически устанавливая параметры узла при его загрузке, а также об-новляя эти параметры при подключении узла к сети. Все доступныеIP-адреса хранятся в централизованной базе данных вместе с инфор-мацией о таких параметрах, как маска подсети, адреса шлюзов и DNS-серверов.

На этом занятии рассказывается об общих принципах работы ипорядке выделения адресов * протоколе DHCP. Вы также узнаете, какнастроить DHCP для повышения отказоустойчивости и доступностисистемы.


S рассказать о работе службы DHCP в Windows 2000;s спроектировать отказоустойчивую DHCP-среду.

Продолжительность занятия — 25 минут,

Служба DHCP в Windows 2000Протокол DHCP создан на основе протокола ВООТР (Internet Boots-trap Protocol), применяемого для динамического назначения IP-ад-ресов (атакже для удаленной загрузки бездисковых рабочих станций).В дополнение к динамическому назначению IP-адресов DHCP по-зволяет настраивать все параметры конфигурации TCP/IP, а такженекоторые дополнительные параметры, которые необходимы для ра-боты некоторых серверов. Администратор настраивает вручную па-раметры л и ш ь одного компьютера— DHCP-сервера. При каждомподключении нового или загрузке существующего узла в сетевом сег-менте, обслуживаемом DHCP-сервером, узел запрашивает у серверауникальный IP-адрес.

Получив запрос IP-адреса, DHCP-сервер выбирает адрес из свое-го списка (пула) адресов и предоставляет DHCP-клиенту адрес, а так-

же остальную информацию конфигурации протокола IP. DHCP-cep-вер предоставляет конфигурацию клиенту в аренду, на определенноевремя.

Аренда конфигурации в DHCPСлужба DHCP распределяет информацию об IP-адресах между ком-пьютерами-клиентами. Этот процесс называется предоставлением варенду DHCP-параметров (DHCP lease). Он выполняется при наступ-лении одного из событий:• на DHCP-клиенте впервые инициализируется стек TCP/IP;• клиент запрашивает конкретный IP-адрес и получает отказ, воз-

можно, из-за прекращения аренды DHCP-сервером;• клиенту уже назначен IP-адрес, но он его освободил и запрашива-

ет новый. Освободить назначенные DHCP параметры можно вруч-ную, выполнив в командной строке команду ipconflg /release.

В протоколе DHCP процесс предоставления в аренду параметровIP DHCP-клиенту выполняется в четыре этапа— DHCPDISCOVER,DHCPOFFER, DHCPREQUEST и DHCPACK (рис. 2-12).

DHCP-клиент

DHCPDISCOVER

DHCP-серверы

Рис. 2-12. Предоставление в аренду IP-конфигурации в протоколеDHCP

DHCPDISCOVER

Для начала процесса предоставления в аренду параметров DHCP кли-ент инициализирует упрошенную версию TCP/IP и отправляет ши-роковещательное сообщение DHCPDISCOVER, запрашивая место-положение DHCP-сервера и IP-конфигурацию. Поскольку клиентунеизвестен IP-адрес DHCP-сервера, в поле источника сообщенияпомещается адрес 0.0.0.0, а в поле получателя— 255.255.255.255. Всообщении DHCPDISCOVER содержится аппаратный адрес клиентаи имя узла, что позволяет DHCP-серверу определить, от кого посту-пил запрос.

DHCPOFFER

Все DHCP-серверы, получиишие запрос о назначении параметров IPи обладающие свободной клиентской конфигурацией,, отправляютшироковещательное сообщение DHCPOFFER со следующей инфор-мацией:• аппаратный адрес компьютера-клиента;• предлагаемый IP-адрес;• маска подсети;• срок аренды;• идентификатор сервера (IP-адрес DHCP-сервера, отправившего

сообщение).

Использование широковещательных пакетов обусловлено тем, чтоу клиента пока еще нет IP-адреса. DHCP-клиент выбирает первую по-лученную IP-конфигурацию. DHCP-сервер, назначивший адрес, ре-зервирует его и до окончания процесса не назначает другому DHCP-клиенту.

DHCPREQUEST

Третий этап процесса назначения параметров DHCP наступает послеполучения клиентом сообщения DHCPOFFER по крайней мере отодного DHCP-сервера и выбора IP-адреса. Далее клиент отсылаетшироковещательное сообщение DHCPREQUEST, информирующеевсе DHCP-серверы о принятых параметрах. В сообщении содержит-ся идентификатор (IP-адрес) сервера, предложение которого принялклиент. Остальные DHCP-серверы отменяют свои назначения и ос-тавляют предложенные IP-адреса для следующего запроса на арендуIP-адреса.

DHCPACK

Последний этап при корректном завершении процесса назначенияDHCP-параметров наступает, когда DHCP-сервер, предоставившийп р и н я т ы е клиентом параметры, отправляет широковещательный па-кет с подтверждением успешного предоставления в аренду в виде со-общения DHCPACK. В последнем содержится действительный IP-адрес, а также другая конфигурационная информация.

После получения подтверждения DHCP-клиентом инициализацияTCP/IP считается завершенной, а клиент считается создавшим при-вязку к DHCP-серверу (bound DHCP client). После создания привязкиклиенту становятся доступными все функции TCP/IP.

DHCPNACK

При неудачном завершении DHCPREQUEST DHCP-сервер иницииру-ет широковещательное сообщение о неудаче процедуры (DHCPNACK).

Сообщение DHCPNACK рассылается, когда выполняется одно изследующих условий:• клиент пытается получить предыдущий свой адрес, но тот уже за-

нят другим узлом;• IP-адрес недействителен, так как компьютер-клиент перенесен в

другую подсеть.Получив сообщение об отказе в аренде, клиент автоматически ус-

танавливает свой IP-адрес средствами APIPA (Automatic Private IPAddressing) и маску подсети класса В. По окончании автоконфигура-ции он каждые 5 минут пытается найти в сети DHCP-сервер. Обна-ружив DHCP-сервер и получив от него информацию конфигурации,клиент использует именно ее.

Примечание Если на компьютере несколько сетевых адаптеров споддержкой протокола TCP/IP, процесс получения DHCP-napa-метров выполняется отдельно для каждого адаптера. Служба DHCPназначает уникальные действующие IP-адреса каждому из адаптеров,если тот, конечно, сконфигурирован как DHCP-клиент.

Обновление и освобождение арендыDHCP-клиент пытается обновить полученные параметры TCP/IP поистечении половины срока аренды, направляя сообщение DHCP-REQUEST тому серверу DHCP, от которого получил параметры варенду. Если указанный DHCP-сервер доступен, он обновляет арен-дуй отправляет клиенту сообщение DHCPACKc новым сроком арен-ды и обновленными параметрами. Получив подтверждение, клиентобновляет свои параметры.

\ При каждом перезапуске DHCP-клиент пытается полу-чить у того же DHCP-сервера свой «старый» IP-адрес. Даже при неудач-ной попытке обновления аренды, но до истечения ее срока DHCP-кли-ент продолжает использовать свой старый IP-адрес,

Если DHCP-клиенту не удается обновить аренду на исходномDHCP-сервере по истечении половины ее срока, он отправляет ши-роковещательный запрос DHCPREQUEST, пытаясь связаться с лю-бым доступным DHCP-сервером. Любой из DHCP-серверов можетответить сообщением DHCPACK (и обновить назначенные парамет-ры) или сообщением DHCPNACK (это вынудит клиента DHCP про-должать попытки получить в аренду другой IP-адрес).

4-4791

По истечении срока аренды или получении сообщения DHCPNACKDHCP-клиент немедленно прекращает использование IP-адреса иснова инициирует процесс получения новой аренды.

ОбластиДо начала предоставления службы DHCP клиентам для динамичес-кой конфигурации параметров TCP/IP нужно определить и активи-зировать область DHCP (DHCP scope) — определенный администра-тором набор IP-адресов и параметров конфигурации TCP/IP, доступ-ных для назначения DHCP-клиентам. Область DHCP создается длякаждой логической или физической подсети.

У области DHCP есть ряд свойств:• имя области, которое назначается при ее создании;• диапазон допустимых IP-адресов для предоставления в аренду

клиентам;• уникальные маски подсети для каждого из допустимых IP-адре-

сов;• сроки аренды.

В каждой подсети разрешается единственная область DHCP сединственным непрерывным диапазоном IP-адресов. Чтобы внутриодной области действия или подсети использовать адреса несколькихдиапазонов, нужно сначала определить общую область, а затем ука-зать диапазоны адресов, не выделяемые в аренду.

Суперобласти DHCPСуперобласть DHCP (DHCP superscope) — позволяет DHCP-серверувыделять в аренду клиентам одной физической сети параметры, при-надлежащие более чем одной области. Перед созданием супероблас-ти следует средствами ММС-утилиты DHCP определить все области,которые предполагается включить в суперобласть. Области, входящиев состав суперобласти, называются дочерними (member scopes). Супе-робласти применяются для решения самых различных задач службыDHCP:• когда требуется обеспечить поддержку DHCP-клиентов в одном

физическом сегменте сети, например локальной сети Ethernet,которая разделена на несколько логических подсетей [если в фи-зической сети более одной логической IP-сети, такие конфигура-ции называются еще мулмписетями (multinets)];

• когда имеющийся адресный пул области почти исчерпался, а вфизический сегмент сети требуется добавить еще несколько ком-пьютеров;

• когда требуется перенести клиентов в другую область DHCP;• когда требуется поддержка DHCP-клиентов, расположенных по

другую сторону агентов ретрансляции ВООТР, и на другой сторо-не агента ретрансляции в одной физической сети есть несколькологических подсетей.

Резервирование параметров клиентамиДиспетчер DHCP позволяет закреплять IP-адреса за компьютерамиили другими IP-устройствами. Резервирование IP-адресов за специ-альными сетевыми устройствами предотвращает дублирование илипереназначение адресов при работе DHCP и при\*еняется для следу-ющих типов устройств:• сетевых компьютеров под управлением Windows 2000 Server, для

которых необходимы статические IP-адреса, например WINS-cep-веры;

• любых серверов печати, опирающихся на службы печати TCP/IP;• клиентов под управлением ОС UNIX или других клиентов с IP-

адресами, назначенными другими методами конфигурированияTCP/IP;

• сетевых DNS-серверов сети независимо от того, установлена лина них Windows 2000 или нет.

Для каждого зарезервированного адреса указывается уникальныйидентификатор устройства, который совпадает с физическим адресом(или МАС-адресом) DHCP-клиента. В Ethernet-сетях этот адрес пред-ставляет собой уникальную последовательность шестнадцатеричныхчисел-байт, идентифицирующих плату сетевого адаптера сетевого ус-тройства.

МАС-адрес клиента с Windows 2000 можно узнать, выполнив на ком-пьютере-клиенте команду ipconfig /all, она указывается в поле PhysicalAddress (Физический адрес). На клиентах под управлением Windows 95следует запустить утилиту командной строки WINIPCFG.EXE и про-смотреть поле Adapter Address.

Агенты ретрансляции BOOTP/DHCPПротоколы ВООТР и DHCP используют для связи по сети широко-вещательные пакеты. В обычных сетях, как правило, маршрутизато-ры не поддерживают пересылку широковещательных пакетов междусегментами, поэтому для пересылки сообщений DHCP/BOOTP че-рез маршрутизатор потребуется агент ретрансляции. Агент ретранс-ляции BOOTP/DHCP — это маршрутизатор или компьютер (узел),настроенный на перехват широковещательных сообщений ВООТР и

DHCP и на перенаправление их на заданный DHCP-сервер. Прииспользовании агентов ретрансляции отпадает необходимость уста-навливать DHCP-сервер в каждом физическом сегменте сети. Агентыретрансляции не только перенаправляют запросы локальных DHCP-клиентов на удаленные DHCP-серверы, но и возвращают ответыDHCP-серверов DHCP-клиентам.

На маршрутизаторах, соответствующих стандарту RFC 2131 (ко-торый сменил RFC 1542), предусмотрены встроенные агенты ретран-сляции, что позволяет пересылать пакеты DHCP между портами. ВWindows 2000 Server также есть агент ретрансляции DHCP, которыйустанавливают и настраивают как обычную сетевую службу.

Отказоустойчивые конфигурации DHCPРаботая совместно, активный DHCP-сервер и резервный DHCP-сер-вер могут обслуживать достаточно большое число клиентов (оно за-висит от аппаратной конфи-урации и других параметров), Однако впроцессе принятия решения о том, сколько необходимо DHCP-сер-веров, нужно учесть размещение маршрутизаторов в сети, а такжерешить требуется ли отдельный DHCP-сервер в каждой подсети. Сле-дует также учесть скорость передачи между каждой парой сегментов,обслуживаемых одним DHCP-сервером. Если пара объединена мед-л е н н ы м и WAN-подключениям и л и модемной связью, желательноразместить DHCP-серверы на обеих сторонах таких подключений.

Иногда числа узлов в сети физически ограничено, например сетькласса С поддерживает только 254 узла. Кроме того, очень важна ап-паратная конфигурация сервера, например емкость диска и частотапроцессора. Перед установкой DHCP-сервера выясните следующее:• каковы аппаратные требования и требования к пространству на

жестком диске для DHCP-сервера;• какие компьютеры сраз> можно настроить как DHCP-клиенты,

поддерживающие динамическое конфигурирование TCP/IP, а ка-кие следует настраивать вручную, определив статические парамет-ры конфигурации TCP/IP;

• каковы типы и значения параметров DHCP, заранее определен-ных для DHCP-клиентов.

При настройке DHCP в большинстве случаев учитывают физичес-кие характеристики локальной или глобальной сети, а не логическиегруппы, определенные в до\-енах Windows 2000 и в структуре службыActive Directory. Если подсети объединены маршрутизаторами, под-держивающими агенты ретрансляции ВООТР, устанавливать DHCP-серверы в каждой подсети не обязательно. Кроме того, DHCP-серве-

ры можно администрировать удаленно средствами оснастки DHCP скомпьютера под управлением Windows 2000.

Разбиение областей DHCPВ процессе настройки DHCP обычно устанавливают несколько DHCP-серверов — это позволяет предотвратить ситуацию, в которой отказлюбого из серверов приводит к невозможности работы DHCP-кли-ентов. Однако протокол DHCP не предусматривает совместную ра-боту DHCP-серверов, при которой они назначают уникальные адре-са. Поэтому нужно тщательно продумать, как разделить пул доступ-ных адресов между серверами DHCP, чтобы исключить дублирова-ние при назначении адресов.

Для балансировки загрузки DHCP-сервера используют разделе-ние адресов областей между серверами DHCP по правилу «80/20»(рис. 2-13).

DHCP-клиенты

DHCP-сервер1, 192.168.1.1

DHCP-сервер 2,192.168.1.2

DHCPClients

DHCP-сервер 1 управляет 80%'--..всего числа адресов следующим. образом: Область DHCP:

192.168.1.10- 192.168.1.254Диапазон исключенных адресов:192.168.1.206-192.168.1.254

DHCP-сервер 1 управляет 20% всегочисла адресов следующим образом:Область DHCP: 192.168.1.10- 192.168.1.254Диапазон исключенных адресов:192.168.1.10-192.168.1.205

Рис. 2-13. Пример применения правила «80/20» в сети с двумяDHCP-серверами

DHCP-сервер I управляет большинством (80%) доступных адре-сов, а DHCP-сервер 2, остальными адресами (около 20%).

В такой схеме локальный DHCP-сервер (DHCP-сервер 1) боль-шую часть времени отвечает на запросы локальных DHCP-клиентов.Удаленный или резервный DHCP-сервер (DHCP-сервер 2) назнача-ет адреса клиентам из другой подсети, только если локальный сервернедоступен или пул свободных адресов на нем скоро будет исчерпан,Этим же правилом руководствуются в схемах с несколькими подсе-тями для^обеспечения доступности DHCP-сервера.

Резервное копирование базы данных DHCPПо умолчанию Windows 2000 каждый час (60 минут) выполняет ре-зервное копирование базы данных DHCP. Файлы резервных копийWindows 2000 размещает в папке %6Vstem.tfoo/%\System32\Dhcp\Bac-kup\Jet\New.

Интервал между операциями резервного копирования по умолчаниюможно откорректировать, изменив значение параметра Backuplnterval(число минут между запусками копирования) в разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CjrrentControlSet\Services\DHCPServer\Parameters

По умолчанию служба DHCP восстанавливает поврежденную базуданных автоматически при перезапуске службы DHCP. Кроме того,предусмотрена возможность восстановить базу данных DHCP вруч-ную, для этого нужно изменить несколько параметров реестра. Преж-де всего следует установить значение параметра RestoreFlag в 1, а за-тем перезапустить службу DHCP. Параметр размещен в разделе:

HKEY_LOCAL_MACHINE\SYSTEM\CjrrentControlSet\Services\DHCPServer\Parameters

Примечание После восстановления базы данных службы DHCP сер-вер автоматически устанавливает параметр RestoreFlag в 0 (значениепо умолчанию).

Другой способ восстановления базы данных DHCP вручную —скопировать содержимое папки %5v5/ewAoo/%\System32\Dhcp\Back-up\Jet в папку %SystemRoot%\Sys,tem32\Dhcp, а затем перезапуститьслужбу DHCP.

Объединение DHCP-серверов в кластерыСлужба кластеров в Windows 2000 Advanced Server позволяет работатьс двумя серверами как с одной системой. Служба кластеров в Win-dows 2000 Datacenter Server поддерживает кластеры с четырьмя серве-

рами. Применение этой службы для создания кластеров DHCP-сер-веров позволит повысить доступность и масштабируемость, а такжеупростить управление.

Служба кластеров автоматически обнаруживает сбой приложенияили сервера и быстро запускает приложение на работающем сервере,при этом пользователь заметит лишь небольшую паузу в работе при-ложения. Служба кластеров позволяет администратору быстро про-верять состояние всех ресурсов кластера и легко перераспределятьрабочую нагрузку между различными серверами кластера. Это полез-но для балансировки статической нагрузки и для выполнения «горя-чей» модернизации серверов без прерывания работы приложений ибаз данных.

Служба кластеров позволяет создать виртуальный DHCP-сервер.при этом, если один из узлов кластера выходит из строя, простран-ство имен и все службы «прозрачно» (незаметно для пользователя)переводятся на другой узел. Клиент, «видящий» только общий IP-ад-рес DHCP-серверов, объединенных в кластер, не заметит никакихнеполадок.

В обычных условиях можно разбить области DHCP между серве-рами, чтобы при выходе из строя одного из серверов определеннаячасть адресов оставалась доступной. Однако при использовании кла-стеров IP-адреса используются более эффективно, и необходимостиразбивать области при этом нет. База данных, размешенная на уда-ленном внешнем диске, отслеживает назначения адресов и другиедействия, поэтому, если активный узел кластера терпит сбой, второйузел берет на себя выполнение функций DHCP-сервера, обладая пол-ной информацией о назначенных параметрах и доступом ко всемупулу адресов. В любой момент времени функции DHCP-сервера вы-полняет только один из узлов, при необходимости база данных клас-тера Windows 2000 обеспечивает незаметное для клиентов перемеще-ние узлов.

Для дополнительного повышения отказоустойчивости системы вкластерах DHCP-серверов рекомендуется применять правило «80/20». Сочетание кластера DHCP-серверов и правила «80/20» для рас-пределения областей между серверами, построенными в виде класте-ров, обеспечивает повышенную отказоустойчивость решения.

Более подробно о службе кластеров рассказывается в главе 4,

Принятие решенияПри проектировании инфраструктуры DHCP в сетевой среде дляобеспечения повышенной доступности применяются три метода по-

вышения отказоустойчивости: создание кластеров, разбиение облас-тей DHCP и резервное копирование базы данных. Подробно они опи-саны в таблице 2-4.

Таблица 2-4. Методы обеспечения повышенной доступности DHCP


Использование Служба кластеров позволяет работать с двумя иликластеров четырьмя серверами, как с единой системой. Ис-

пользование службы кластеров для создания клас-теров DHCP-серверов позволяет добиться повышен-ной доступности, масштабируемости и упроститьуправление. Служба кластеров способна автомати-чески обнаружить сбой приложения или сервера ибыстро перезапустить приложение на исправномсервере; клиенты заметят только короткую паузу вработе программы. Служба кластеров позволяет ад-министраторам быстро проверять состояние всехресурсов кчастера и легко перераспределять рабочуюнагрузку между различными серверами кластера.Это полезно для балансировки статической нагрузкии для выполнения «горячей» модернизации серверовбез перерыва в работе приложений и баз данных.Служба кластеров позволяет создать виртуальныйDHCP-сервер, в котором если один из узлов кластеравыходит ш строя, пространство имен и все службынезаметно для клиентов перемешаются на другойузел. Клиент, «видящий» только общий IP-адресDHCP-серверов. объединенных в кластер, незаметит никаких изменений

Разбиение Использование нескольких DHCP-серверов в однойобластей DHCP подсети и разделение их областей позволяет повысить

отказоустойчивость обслуживания DHCP-клиентов,подключенных к этой подсети. Если в сети есть дваDHCP-сервера. то при отказе одного из них второйсервер зайу!ст его место и продолжит назначениеновых адр1-сов или обновление конфигурациисуществующих клиентов. Однако в кластерахDHCP-серверов (Р-адреса используются болееэффективно. Для максимально возможной отказоус-тойчивости в дополнение к кластерной структуреможно использовать правило разбиения «80/20», чтоповышает устойчивость к сбоям

(продолжение)Резервное копи- По умолчанию Windows 2000 каждый час выполняетрование базы резервное копирование базы данных DHCP. Приданных DHCP обнаружении повреждения базы данных при переза-

пуске DHCP-сервера база автоматически восстанав-ливается из резервной копии. Установленный поумолчанию интервал резервного копированияможно изменить, откорректировав соответствующийпараметр реестра

РекомендацииПри разработке отказоустойчивой инфраструктуры DHCP в сетевойсреде рекомендуется создавать кластеры DHCP-серверов на базеслужбы кластеров Windows 2000. Наряду с кластерами следует исполь-зовать правило «80/20», чтобы добиться повышенной устойчивости котказам. Кроме того, можно дополнительно изменить интервал меж-ду созданием резервных копий базы данных DHCP — все определя-ется нагрузкой на сеть и требованиями к надежности конфигурацииDHCP.

Пример. Настройка DHCPНа рис. 2-14 показан пример стандартного кластерного DHCP-сер-вера. DHCP-сервер 1 является активным, а DHCP-сервер 2 — резер-вным.

172.16.32.51

Внешний диск

КонцентраторСетевой адаптер

172.16.32.52

Корпоративная сеть

Сетевой адаптер Сетевой адаптер

DHCP-сервер 1 DHCP-сервер 2

L Кластер: Кластер DHCP 1, 172.16.32.53

Рис. 2-14. DHCP-серверы, объединенные в кластер

Конфигурацию DHCP на рис. 2-14 можно полностью описать сле-дующим образом:• на сервере DHCP 1 и сервере DHCP 2 установлены служба DHCP

и служба кластеров Windows 2000;

• у каждого DHCP-сервера имеется уникальные имя узла и IP-адрес;• у каждого DHCP-сервера есть по два сетевых интерфейса — один

для идентификации кластера и для подключения к корпоратив-ной сети, а второй для связи между серверами. Это подключениепредставляет собой отдельный канал, который используется ис-ключительно для внутрикластерного обмена. Сетевой кабель, покоторому происходит обмен информацией о состоянии кластера,прокладывается напрямую между серверами, как правило, его на-зывают кабелем перекрестной внутрикластерной связи (пульса);

• на обоих серверах DHCP настроены одни и те же области. Однакона сервере 2 область не активизирована, так как он в данный мо-мент не работает в качестве активного DHCP-сервера. Сервер 2выполняет функции «горячего» резерва, готового продолжить ра-боту в случае остановки DHCP-сервера 1.

Для облегчения создания кластера и совместного использованияресурсов DHCP-серверы подключены к одной внешней дисковойсистеме, на которой хранится база данных DHCP и файлы журналов.Это позволяет DHCP-серверу 2 немедленно получить доступ к фай-лам базы данных DHCP в счучае сбоя активного DHCP-сервера 1.Службы кластеров, установленные на каждом сервере DHCP, исклю-чают монопольный захват внешнего диска одним сервером и предот-вращают одновременное совместное использование дисковой систе-мы обоими серверами.

Самому кластеру назначены уникальные имя узла и IP-адрес, ко-торые DHCP-клиенты используют для подключения к кластеру и длязапроса DHCP-сервисов. Таким образом исключается возможностьотказа в обслуживании запроса DHCP при отключении одного из сер-веров.

РезюмеПротокол DHCP позволяет автоматически назначать IP-адрес, а так-же другие параметры конфигурации протокола IP DHCP-клиентам,Выделение конфигурации IP называется арендой DHCP. Предостав-ление DHCP-клиенту конфигурации IP в аренду на определенный пе-риод выполняется в четыре этапа (DHCPDISCOVER, DHCPOFFER,DHCPREQUEST и DHCPACK). DHCP-клиенты пытаются обновитьаренду по истечении половины ее срока. До запуска DHCP-службы иначала динамического конфигурирования DHCP-клиентов на DHCP-сервере необходимо определить область DHCP, Оснастка DHCP по-зволяет закрепить, или зарезервировать, IP-адреса за компьютером илидругим сетевым IP-устройством. В определенных аппаратных конфи-

гурациях пара DHCP-серверов — «активный+резервный» — в состо-янии обслуживать большое число клиентов. Чтобы избежать дубли-рования при назначении адресов, нужно продуманно разделить пулдоступных адресов между серверами DHCP. Для балансировки на-грузки между DHCP-серверами при разделении адресов областей меж-ду ними применяется правило «80/20». По умолчанию Windows 2000ежечасно делает резервную копию базы данных DHCP. Служба клас-теров позволяет работать либо с двумя, либо с четырьмя серверамикак с единой системой. Кластеры DHCP-серверов применяет для по-вышения доступности и масштабируемости, а также для упрощенияуправления. При разработке отказоустойчивой структуры DHCP длясетевой среды рекомендуется использовать кластеры DHCP-серверовв сочетании с разбиением области DHCP по правилу «80/20», что по-зволяет добиться повышенной отказоустойчивости.

Занятие 4, Разработка инфраструктурыразрешения имен в сетях TCP/IP

DNS — распределенная база данных, используемая в сетях TCP/IPдля прямого и обратного преобразования имен компьютеров (узлов)в IP-адреса. DNS обычно ассоциируется с Интернетом. Однако в ча-стных сетях DNS широко применяется для разрешения имен компь-ютеров (узлов) и для нахождения компьютеров в локальной сети иИнтернете. Разрешение имен DNS отличается от разрешения имен вслужбе WINS (Windows Internet N a m i n g Service). WINS переводит(обычно говорят, «разрешает») имена NetBIOS в IP-адреса, a DNSпреобразует имена узлов IP 11 их IP-адреса. На этом занятии расска-зывается об основных понятиях DNS и о процессе разрешения именв Windows 2000, а также о том, как проектируется пространство именDNS в сети с подключением к Интернету.


S описать службу DNS в Windows 2000;^ спроектировать иерархию DNS и структуру имен

в подключенной к Интернету сети Windows 2000.


Иерархия и именование в DNSВ сетях Windows 2000 активно применяется служба имен DNS. По оп-ределению это высоконадежная иерархическая распределенная масш-табируемая база данных. Клиенты Windows 2000 используют DNS дляразрешения имен и поиска сетевых служб, в том числе контроллеровдомена для входа в сеть. В реализацию DNS в Windows 2000 входитDNS-сервер, полностью совместимый с другими DNS-серверами, под-держивающими стандарты DNS. Часто DNS Windows 2000 интегриру-ют в Active Directory, это позволяет использовать преимущества меха-низма репликации с несколькими хозяевами в Windows 2000.

Структура DNSDNS реализована в виде иерархической распределенной базы данных,содержащей различные типы данных, в том числе имена узлов и до-менные имена. Имена в базе д а н н ы х DNS хранятся в виде иерархичес-кой древовидной структуры, или пространства имен домена (domainnamespace).

Иерархия DNSДоменные имена состоят из меток, разделенных точками, напримерmydomain.microsoft.com. Такое имя, KaKmydomain.microsoft.com, на-зывается полным доменным именем ( F u l l y Qualif ied Domain Name,FQDN} — оно однозначно определяет позицию узла в иерархическомдереве DNS, последовательно перечисляя метки от самого узла докорня дерева. На рис. 2-15 показан пример дерева DNS, в которомузел с именем mydomain находится в домене microsoft.com. Полноедоменное имя (FQDN) узла выглядит так: mydomain.microsoft.com.

Управляется регистра-ционной организацией

mydomainУправляетсякорпорацией

Microsoft

army

Microsoft

Рис. 2-15, Дерево DNS с узелом mydomain в домене microsoft.com

DNS и ИнтернетDNS в Интернете регламентируется специальной регистрационнойорганизацией, который отвечает за обслуживание доменов высшегоуровня. Эти доменные имена соответствуют международному-стан-дарту 3166. Существующие сокращения перечислены в таблице 2-5.

Таблица 2-5. Домены высшего уровня

Имя домена DNS Тип организации

com

edu

ОН'

net

Коммерческие организации

Образовательные учреждения

Некоммерческие организации

Сети (магистральные сети Интернета)

78

(продолжение)Имя домена DNS Тип организации

mil

num

arpa

хх

Гражданские правительственные организации

Военные правительственные организации

Телефонные номера

Обратная DNS

Двухбуквенный код страны или региона

Записи ресурсов DNSБаза данных DNS состоит из записей ресурсов, каждая из которыхопределяет конкретный ресурс в базе данных. В DNS существуют раз-личные типы записей ресурсов. В таблице 2-6 перечислены некото-рые распространенные записи ресурсов, относяшихся к классу запи-сей ресурса Интернета (IN).

Таблица 2-6

Описание

Начальнаязапись зоны(Startof Authority)

Узел

Серверимен

Почтовыйобменник

Канони-ческое имя(псевдоним)

, Наиболее распространенные записи ресурсов

Время жизни Тип Параметры данных(TTL)

По умолчаниюравно 60минутам

TTL зоны(SOA)

TTL зоны(SOA)

TTL зоны(SOA)

TTL зоны(SOA)

SOA(начальнаязаписьзоны)

А

V,

MX

CNAME

Имя владельца, основноеимя, имя DNS-сервера,серийный номер, интервалобновления, интервал пов-торного запроса, времядействия, минимальноевремя жизни

Имя владельца (имя узла вDNS), IP-адрес узла

Имя владельца, имя сервераимен в DNS

Имя владельца, имяпочтового серверав DNS,приоритет

Имя владельца (псевдоним),имя узла в DNS

Зоны DN5

Обычно базу данных DNS разбивают на несколько зон. Зоной назы-вается часть базы данных DNS, в которой содержатся записи ресурсас именами владельцев, принадлежащих к непрерывному интервалу

пространства DNS-имен. Файлы зон хранятся на DNS-серверах.DNS-сервер можно настроить на поддержку одной, нескольких зонили не поддерживать на сервере ни одной зоны.

За каждой зоной закреплено доменное имя, оно называется кор-невым доменом (root domain) зоны. Зона содержит информацию обовсех именах, заканчивающихся именем корневого домена зоны. Го-ворят, что DNS-сервер является полномочным (authoritative) для не-которого имени, если он поддерживает зону, в которой оно содер-жится. Первая запись в любом файле зоны — это начальная записьзоны (Start of Authority, SOA). Она определяет полномочный серверимен DNS для данной зоны, то есть сервер, который является глав-ным источником информации в данной зоне и агентом, управляю-щим обновлениями зоны.

Имена одной зоны можно передавать, или делегировать, в другиезоны. При делегировании имен ответственность за часть простран-ства имен DNS передается другому объекту. Это может быть сторон-няя организация, отдел или рабочая группа внутри фирмы. С техни-ческой точки зрения делегирование означает передачу ответственно-сти за часть пространства имен DNS другим зонам. Информацию оделегировании несет запись типа NS, в которой указывается делеги-руемая зона и доменное имя сервера, управляющего этой зоной. Воз-можность делегирования между зонами предусмотрена в самой пер-вой спецификации DNS.

На рис. 2-16 показан пример делегирования управления доменомmicrosoft.com в две зоны: microsoft.com и mydomain.microsoft.com,

Доменmicrosoft.coni

Зонаmydomain.microsoft.com

Рнс. 2-16. Делегирование домена в две зоны

Примечаний Если делегируемой зоне соответствуют несколько DNS--записей, в которых определены несколько доступных DNS-серверов,DNS-сервер Windows 2000 сможет выбрать ближайший DNS-сервер,исходя из среднего времени задержки для каждого DNS-сервера.

Репликация DN5Одну и ту же часть пространства имен могут представлять одновре-менно несколько зон. В таком случае зоны делятся на основную идополнительную. Основной (primary) называется зона, в которой вы-полняются все обновления принадлежащих ей записей. Дополнитель-ная (secondary) зона предстакляет собой копию первичной зоны, дос-тупную только для чтения. Изменения, происшедшие в основнойзоне в процессе репликации попадают в дополнительную зону.

Сервер имен может поддерживать несколько зон, будучи основ-ным для одних зон (и хранить полную копию файла зоны) и допол-нительным для других зон (и хранить копию файла зоны, доступнуютолько для чтения).

Процесс репликации файла зоны на несколько серверов имен на-зывается зонной передачей (zone transfer). Она выполняется путем ко-пирования информации зоны с главного на дополнительный сервер.Главный сервер (master server) является источником информации озоне, он может быть основным или дополнительным. В первом слу-чае передача зоны происходит непосредственно с источника. Еслиглавный сервер является дополнительным, файл, полученный допол-нительным сервером, представляет собой копию файла зоны, доступ-ную только для чтения.

Передача зоны инициир>ется одним из следующих способов:• главный сервер отправляет уведомление (в формате, определен-

ном в RFC 1996) об изменении зоны дополнительному серверу;• изменения у основного сервера запрашиваются при запуске служ-

бы DNS дополнительного сервера или по окончании интервалаобновления дополнительного сервера (по умолчанию 15 минут).

DNS и Active DirectoryActive Directory установить нельзя, если в сети нет службы DNS, таккак Active Directory использует DNS для поиска ресурсов. ОднакоDNS вполне способна обойтись без Active Directory. При установкеDNS на контроллере домена механизм хранения и репликации ActiveDirectory можно использовать для управления базой данных DNS. Этодает ряд преимуществ:• повышенную отказоустойчивость;• безопасность;

• простоту управления;• более эффективную репликацию больших зон.

Кроме DNS-серверов информацию основной зоны можно хранитьв Active Directory. В этом случае данные зоны представляют собойстандартные объекты Active Directory, которые реплицируются в ходеобычной репликации Active Directory.

Репликация Active Directory предпочтительнее, чем стандартныемеханизмы DNS. При использовании стандартной DNS информациязоны может изменяться только на основном сервере зоны, а при ис-пользовании репликации Active Directory любой контроллер доменаWindows получает возможность изменять данные зоны, а затем пере-давать обновления другим контроллерам домена по механизму реп-ликации, Такой процесс репликации называется репликацией со многи-ми хозяевами (multimaster replication), так как информацию зоны об-новляют несколько равноправных контроллеров домена, или хозяев.

При репликации со многими хозяевами любой контроллер доме-на вправе отправлять или получать информацию об изменении дан-ных Active Directory. При репликации пересылают не все данные, алишь сведения об изменениях. Процесс репликации отличается отполной зонной передачи DNS, при которой передается вся зона. Онатакже отличается от добавочной зонной передачи, при которой пере-сылаются только обновления, внесенные после определенного изме-нения. При репликации Active Directory пересылается только конеч-н ы й результат всех изменений, внесенных в записи.

При хранении основной зоны в Active Directory выполняется репли-кация зонной информации на все контроллеры домена Active Directory-.Все DNS-серверы, расположенные на контроллерах домена, являют-ся полномочными для данной зоны и имеют право обновлять ее ин-формацию.

Хотя зоны, интегрированные с Active Directory, можно передавать иобычным способом, репликация со многими хозяевами Active Directoryобеспечивает более высокую отказоустойчивость, чем стандартнаязонная передача. При обычных процессах передачи и обновлениязоны за обновление информации на всех дополнительных серверахотвечает один основной DNS-сервер, а в Active Directory такой точкикритического сбоя попросту нет.

В зоне, интегрированной с Active Directory, контроллеры доменав каждом из доменов Active Directory совпадают с DNS-серверами.Топология DNS и Active Directory совпадает, что сильно облегчает нетолько поиск и устранение неполадок, но также проектирование иразвертывание системы.

Совмещение базы данных с Active Directory упрощает динамичес-кое обновление и для клиентов DNS под управлением Windows 2000.При заполнении списка основных и дополнительных DNS-серверовна каждом клиенте достаточно указать серверы, контроллеры доме-на, ближайшие к соответствующему клиенту. Если клиенту не удает-ся обновить информацию на основном сервере из-за его недоступно-сти, он обычно пытается получить данные с дополнительного серве-ра. После восстановления основного сервера он загружает обновлен-ную зону, интегрированную со службой каталогов и содержащую всеизменения, внесенные клиентом.

В отсутствие Active Directory для создания и управления зонами впространстве имен DNS нужны стандартные основные зоны. В этомслучае применяется модель обновления с единственным хозяином,при которой в качестве основного сервера зоны назначается одинDNS-сервер. Только основной сервер, определенный в начальнойзаписи зоны (SOA) вправе вносить обновления в информацию зоны.Поэтому необходимо обеспечить надежность и доступность этогоDNS-сервер. в противном случае клиенты не смогут обновлять своизаписи ресурсов А или PTR.

Более подробно об Active Directory — в главе 8.

Доступ в ИнтернетДля обеспечения присутствия организации в Интернете необходимопозаботиться о внешнем (общедоступном) пространстве имен, дос-тупном любому пользователю Интернета. С другой стороны, для пре-дотвращения доступа злоумышленников к сети обычно создают внут-реннее (частное) пространство имен, доступное только корпоратив-ным пользователям. Это предотвращает получение неавторизованны-ми пользователями информации об именах и IP-адресах компьюте-ров сети организации.

Если требуется поддерживать как внутреннее, так и внешнее про-странство имен, нужно настроить DNS-серверы так, чтобы позволитьвнутренним клиентам разрешать имена обоих пространств. Конкрет-ная структура пространства имен зависит от типа клиентов в сети.

Планирование пространства именПри планировании пространства имен нужно выяснить необходи-мость наличия частного корневого домена и решить, требуется ли вовнутреннем и внешнем пространствах имен использовалось одно ито же доменное имя. Частный корневой домен создают только в техслучаях, когда на каждом из клиентов имеется хотя бы одно из следу-ющего:

• слисок исключения имен — список внутренних DNS-суффиксов;• файл автонастройки прокси (proxy autoconfiguration file, РАС) —

список DNS-суффиксов и конкретных имен с разбивкой на внут-ренние и внешние.

Если на клиентах нет ни первого, ни второго, DNS-сервер, под-держиваюший внутренний домен верхнего уровня данной организа-ции, должен перенаправлять запросы в Интернет.

Данные таблицы 2-7 помогут выяснить, можно ли использоватьчастный корневой домен. Для этого применяется информация о ха-рактеристиках прокси на клиентах.

Таблица 2-7. Определение возможности использования частныхкорневых доменов

Прокси нет

Программное Обычныйобеспечение TelnetMicrosoft состандартнымипрокси-функциями

Требуется ли Даперенаправ-лениезапросов?

Можно ли Нетиспользоватьчастныйкорневой

домен?

Таблицалокальныхадресов (LAT)

Windows SocketsProxy (WSP) t.x,WSP 2.x

Да

Нет

Списокисключенияимен

WSP ].x, WSP 2.xи любая версияInternet Explorer

Нет, но принеобходимостиреализовать

Да

Файлавтонастройкипрокси (РАС)

WSP 2.x, InternetExplorer 3.01 иболее поздниеверсии

Нет, но принеобходимостиреализовать

Да

Для упрощения процесса.разрешения имен внутренними клиента-ми доменные имена внутреннего и внешнего пространств имен долж-ны отличаться. Например, для внешнего пространства имен можно ис-пользовать имя contoso-ext.com, а для внутреннего — contoso.com, илиcontoso.com — для внешнего пространства имен, а noam.contoso.com —для внутреннего. Однако нельзя создавать внешний домен как поддо-мен внутреннего домена, то есть, пользуясь рассмотренным примером,нельзя использовать имя contoso.com для внутреннего пространстваимен, а noam.contoso.com — для внешнего.

В качестве внутреннего и внешнего пространства имен разреша-ется использовать одно имя, но это влечет за собой сложности на-стройки и, как правило, сильно усложняет администрирование. Если

Сетевая инфраструктура

одно и то же имя нужно использовать для внутреннего и внешнегопространства имен, не забудьте выполнить одну следующих опера-ций:• продублируйте во внутренней сети открытую корпоративную зону

DNS;• продублируйте во внутренней сети открытую корпоративную зону

DNS и все общедоступные серверы (например, Web-серверы),принадлежащие организации;

• ведите список общедоступных серверов, принадлежащих органи-зации (в файле РАС на каждом из клиентов).

Проверьте, не используется ли в Интернете доменное имявнутреннего пространства имен. В противном случае возможны непо-ладки с разрешением имен.

Действия, необходимые для использования одного имени в каче-стве как внутреннего, так и внешнего пространства имен, зависит отмногих обстоятельств. Данные таблицы 2-8 помогут выяснить, допу-стимо ли использовать совпадающие имена для внутреннего и внеш-него пространства имен, и если да, то какой из методов следует при-менить. Решение принимаемся на основании способности клиентс-кого ПО работать в режиме прокси.

Таблица 2-8. Определение возможности совмещения внутреннегои внешнего пространства имен

Прокси нет Таблица Списоклокальных исключенияадресов (LAT) имен

Использование Да Да Даразличныхдоменныхимен

Использование Да Да (в случае Нетсовпадающих заполнения LAT)доменныхимен; дубли-рование (запи-сей) общедос-тупногопространстваимен DNSорганизацииво внутреннейсети

Файлавтонастройкипрокси (РАС)

Возможно (прииспользованиипростогоисключения)

Возможно (прииспользованииРАС-файла1 бездублированиявнешних записей)

(продолжение)Да

Да

Использование Да Да Дасовпадающихдоменных имен;дублированиеобщедоступногопространстваимен DNS и об-щедоступныхсерверов орга-низации вовнутреннейсети

Использование Нет Нет Нетсовпадающихдоменных имен;ведение СПИСКУобщедоступныхсерверов

в РАС-файлах

Принятие решенияПри п л а н и р о в а н и и иерархии DNS и пространства имен для конфи-гурации сети, имеющей подключение к Интернету, нужно учитыватьдва основных обстоятельства: предполагается ли интегрировать DNSв Active Directory и планируется ли использовать различные именадля внутреннего и внешнего пространства имен. Обе возможностиописаны в таблице 2-9.

Таблица 2-9. Иерархия и пространства имен DNS

Стратегия Описание

Интеграцияв Active Directory

Раздельныедоменные имена

При установке DNS на контроллере домена можновыбрать, использовать или нет Active Directory дляхранения и репликации DNS. Полная интеграция сActive Directory обеспечивает повышенную отказоус-тойчивость за счет интегрированного хранения имеханизма репликации со многими хозяевами. ЕслиDNS не интегрируется с Active Directory, обычнаяосновная зона становится точкой критического сбояпри динамических обновлениях и репликации зоны

Для внутреннего и внешнего пространства именможно использовать совпадающие или различныедоменные имена. При использовании совпадающихимен возникают сложности с настройкой и услож-няется администрирование. Рекомендуется применятьразличные доменные имена

РекомендацииЧтобы обеспечить отказоустойчивую работу службы имен в сети, нуж-но полностью интегрировать службу DNS в Active Directory. Допол-нительно рекомендуется использовать раздельные имена для внеш-него и внутреннего пространств имен — это упростит настройку и ад-министриро ва н ие.

Пример. Пространство имен DNSКорпорация Contoso поглотила другую компанию. В сети корпора-ции, за которой закреплены DNS-имена contoso-int.com и contoso-ext.com, есть только клиенты с поддержкой прокси посредством спис-ков исключения или РАС-флйлов. За поглошенной компанией закреп-лены доменные имена DNSacquired01-int.com и acquired01-ext.com, нов ее сети нет прокси-клиентов. В обеих организациях доменные име-на внутреннего и внешнего пространства имен различаются.

Объединенная сеть компаний должна удовлетворять следующимтребованиям:• обеспечить видимость из Интернета только общедоступных час-

тей пространства имен организации;• все компьютеры организации должны иметь возможность разре-

шать любые внутренние или внешние имена;• все компьютеры организации должны иметь возможность разре-

шать любые имена Интернета;• клиенты любого из внутренних пространств должны иметь воз-

можность разрешать имена другого внутреннего пространства.

На рис. 2-17 показано, как настроить домены DNS, чтобы выпол-нить все эти требования.

Настройка внешнего пространства именВо внешнем пространстве имен существуют две зоны: contoso-ext.comи acquired01-ext.com. В этих зонах содержатся только те записи (обыч-ные и делегированные имеьа), которые администратор компании по-считал нужным предоставить для доступа из общих сетей. Информа-ция зоны contoso-ext.com хранится на сервере server.contoso-ext.com, азоны acquired01-ext.com — на сервере server.acquired01-ext.com. Именаcontoso-ext.com и acquiredO -ext.com следует зарегистрировать в пол-номочной организации регистрации имен Интернета.

Корневой серверИнтернета

tsJXcontoso-ext.comserver.eontoso-ext.com

acqLfired01-ext.comserver. acquiredO! -ext.com

ti X isp01-ext.comserver2.isp01-ext.com

Интернет

tUX СетьПрокси-сервер VPN- contoso-lnt.com

сервер

Сетьacquired01 -int.com

Клиент

Внутреннимкорневой г=±г=а

Дополнительнаязона

Клиентp~Jacquired01-int.com

•f=z=l contoso-int.com

Сервер contoso-int.com

Щ\J --f ncontosa-int.com

Сервер acquired01-int.com

fjrst.contoso-int.comserver.fi rst.contoso-int.com

ЬЦХ first. acquiredO! -int.comserver.first.acquiredOl -int.com

second.contoso-int.comserver.second.contoso-int.com

second.acquired01-int.comserve г. second, acquired01-int.com

Рис. 2-17. Пример конфигурирования доменов DNS

Настройка внутреннего пространства именВнутренним пространством имен организации, поддерживающейвнешний домен contoso-ext.com, считается contoso-int.com. Анало-гичным образом внутренним пространством имен организации совнешнем доменом acquiredOI-ext.com является acquired01-int.com.Сервер с именем server.contoso-int.com хранит информацию зоныcontoso-int.com, а сервер server.acquired01~int.com— информациюзоны acquired01-int.com. Имена contoso-int.com и acquired01-int.comследует зарегистрировать в полномочной организации регистрацииимен Интернета.

Все компьютеры домена contoso-int.com поддерживают либо спис-ки исключения, либо РАС-файлы; ни один из компьютеров доменаacquired01-int.com не поддерживает ни списки исключения, ни РАС-файлы.

Пространство имен без прокси-клиентов, поддерживающихсписки исключения или РДС-файлыЕсли в пространстве имен нет ни одного прокси-клиента, поддержи-вающего списки исключения или FAC-файлы (в этом примере этопространство имен acquiredOI-int.com), нужно установить один (илиболее) DNS-сервер для поддержки зон, содержащих все имена внут-реннего пространства имен. Все DNS-клиенты должны направлятьзапросы DNS на этот DNS-сервер. Если DNS-сервер содержит зонувысшего уровня пространства имен организации (например, acquiredOl-int.com), он будет пересылать эти запросы через брандмауэр одномуили нескольким серверам DNS s пространстве имен Интернета. Всепрочие DNS-серверы должны пересылать запросы на один (или не-сколько) DNS-сервер, содержащий информацию зоны высшего уров-ня пространства имен организации.

Чтобы обеспечить возможность всем клиентам организации раз-решать любые имена из пространства имен второй организации, всеDNS-серверы, содержащие информацию зоны высшего уровня про-странства имен организации, должны кроме своей зоны содержатьзоны, включающие все внутренние и внешние имена поглощеннойорганизации.

В таком решении нагрузка на DNS-серверы, содержащие инфор-мацию внутренних зон высшего уровня организации, сильно возрас-тает. На них пересылается большинство запросов, инициируемыхвнутри организации, в том числе запросы компьютеров из внешнегопространства имен и из внутреннего пространства имен поглощен-ной компании. Эти серверы должны также хранить дополнительныекопии зон поглощенной компании.

Пространство имен с прокси-клиентами, поддерживающимисписки исключения или РАО-файлыКогда все'компьютеры в пространстве имен являются прокси-клиен-тами, поддерживающими ( .писки исключения или РАС-файлы (вэтом примере это пространство имен contoso-int.com), в частном про-странстве имен размесить частный корневой домен. Один или не-сколько корневых серверов нужно расположить во внутреннем про-странстве имен, а на всех прочих DNS-серверах предусмотреть в фай-лах корневых ссылок запись об и м е н и и IP-адресе корневого сервера.

Для разрешения внутренних и в н е ш н и х имен все DNS-клиентынаправляют все запросы либо внутренним серверам DNS. либо про-кси-серверу, в зависимости от содержимого списка исключения илиРАС-файла.

Чтобы обеспечить всем клиентам внутри организации возмож-ность разрешать любые имя пространства второй организации, част-ная корневая зона должна содержать делегированную запись зонывысшего уровня присоединенной организации.

При использовании прокси-клиентов и частного корневого доме-на настройка DNS упрощается, так как не требуется заботиться о до-полнительной копии зоны ни на одном из DNS-серверов. Однако втакой конфигурации придется создавать и поддерживать списки ис-ключения или РАС-файлы на каждом прокси-клиенте сети.

РезюмеDNS — это распределенная база данных, используемая в сетях TCP/IP для преобразования имен узлов в IP-адреса. DNS — это высокона-дежная иерархическая распределенная масштабируемая база данных,содержащая различные типы данных, в том числе имена узлов и до-менов. Имена в базе данных DNS хранятся в виде иерархической дре-вовидной структуры, или пространства имен домена. База данныхDNS состоит из записей ресурсов, каждая из которых определяет кон-кретный ресурс в базе данных. Зона — это часть базы данных DNS,которая содержит записи ресурсов с именами, относящимися к не-прерывному интервалу пространства имен. При установке DNS наконтроллере домена можно использовать базу данных и механизмырепликации Active Directory для хранения и репликации базы данныхDNS. Полная интеграция с Active Directory обеспечивает повышен-ную отказоустойчивость за счет интегрированного хранения и реп-ликации со многими хозяевами. Для обеспечения присутствия орга-низации в Интернете необходимо позаботиться о внешнем (общедо-ступном) пространстве имен, доступном всем пользователям Интер-нета. При планировании пространства имен следует решить, какиедоменные имена применять во внутреннем и внешнем пространствахимен — одинаковые или разные. Второй вариант позволяет упроститьнастройку и администрирование.

Сетеаая инфраструктур! Глава :i

2-1. Разработка высоконадежнойсетевой инфраструктуры

Цель

Выполнив этот практикум, иы научитесь:• проектировать топологию сети с резервированием компонентов и

подключений;• проектировать адресацию подсетей в сети TCP/IP с поддержкой

Web;• проектировать пространства имен DNS в сетях Windows 2000 с

подключением к Интернету.

В этом практикумеВам предоставляется возможность применить на практике большуючасть знаний, полученных при изучении материала этой главы, раз-рабатывая топологию высоконадежной сети. Вам придется решатьзадачи резервирования компонентов и подключений, разбиения наподсети и построения пространства имен.

Прежде всегоДля выполнения этой практической работы необходимо уметь:• проектировать базовую топологию сети;• разбивать сеть TCP/IP на подсети;• планировать пространство имен DNS.

Исходные данные. Web-сайт компании ContosoНедавно образованная компания Contoso планирует создать Web-сайт, предоставляющий англоязычным туристам информацию о стра-нах, которые те собираются посетить. Создатели сайта преследуют двецели. Во-первых, предоставить обшую информацию о требованиях ирекомендациях по прививкам и профилактике заболеваний в различ-ных странах или регионах с перечнем заболеваний, способах леченияи возможных побочных эффектах от применения тех или иных, меди-каментов. Крооме того, на сайте предполагается опубликовать мате-риалы о законах различных стран. Доход планируется получать отразмещения на сайте рекламы. Вторая задача — предоставить зареги-стрированным пользователям возможность хранить сведения о посе-щаемых местах, полученных прививках и проведенной профилакти-ке. Зарегистрированные клиенты смогут в любое время получить ин-

формацию о том, какие вакцины или лекарственные средства онипринимали и когда. Эта информация окажется как нельзя кстати,если симптомы заболевания появятся вновь по возвращении из путе-шествия.

Так как пользователям такая информация может понадобиться излюбой страны мира в любое время суток, сайт должен быть доступенкруглосуточно. Однако на данный момент фирма в состоянии разме-стить сайт только в одной географической точке, поэтому обеспечитьвысокую доступность требуется лишь в одном местоположении, при-чем необходимо обеспечить надежную защиту и целостность данныхпользователей. Имя contoso.com зарегистрировано фирмой в уполно-моченной регистрационной организации Интернета.

Ваша задача — разработать топологию сети в соответствии с тре-бованиями. Основная задача данного практикума — создать часть се-тевой топологии, относящуюся к Web. Предполагается, что закрытаячасть корпоративной сети основана на стандартной топологии Ethernetи подкл ючена к сети с выходом в Web через маршрутизатор, одновре-менно выполняющий функции брандмауэра.

Упражнение 1. Резервирование компонентови сетевых подключенийПервый шаг при разработке сетевой топологии — разработка систе-мы с резервными компонентами, подключениями и службами. Какупоминалось ранее, резервирование служб реализуется с применени-ем кластеров, поэтому вам достаточно просто указать их местополо-жение в проекте, Вы планируете создать многоуровневую топологиюи сеть периметра, в которой разместится Web-часть инфраструктурысети. Кроме того, в сети периметра требуется установить коммутато-ры, а не концентраторы. Создание проекта начните с топологии, ана-логичной той, что показана на рис. 2-18.

Теперь следует обеспечить резервирование сетевой топологии.1. Резервирование каких сетевых элементов возможно в этой топо-

логии?

2. На листе бумаги изобразите схему проекта, взяв за образец проектна рис. 2-18. Не забудьте включить в схему все элементы, которыеподдаются резервированию. Какие изменения следует внести впроект?

3. Допустим, компьютер кластера приложений пытается подклю-читься к компьютеру кластера данных. По каким каналам локаль-ной сети возможно такое подключение:

-ИнтернетМаршрутизатор/

^брандмауэрПодклкРь*ч—-ичениек

-Сеть периметрэ-

Коммутатор

Корпоративная •*•сеть

Маршрутизатор/брандмауэр

Рис. 2-18. План топологии сети с сетью периметра

Упражнение 2. Разбиение сети TCP/IP на подсетиПосле разработки топологии с резервными компонентами разбейтесеть на сегменты, чтобы соззать многоуровневую среду. Не обязатель-но обеспечивать резервирование топологии до разбиения на подсе-ти — создание подсетей можно выполнить до или параллельно с ре-зервированием топологии, Здесь эти этапы разнесены лишь для луч-шей демонстрации процесс разработки проекта.

Для разбиения сети на подсети нужно определить, сколько сете-вых сегментов требуется в части сети, не видимой из Интернета. Впроцессе принятия решения воспользуйтесь планом, созданном привыполнении упражнения 1.1. Сколько сетевых сегментов нужно создать и где именно?

2. На плане сетевой топологии обозначьте четыре сетевых сегментаи их положение. Также укажите местоположение внешней сети.1

Какие изменения требуется внести в план?

3. В каких сегмента сети размешаются Web-кластеры?

Упражнение 3. Построение пространства именСледующий этап разработки сетевой топологии — построение про-странства имен DNS. Компания уже зарегистрировала имя contoso.comв полномочной организации регистрации имен Интернета. Вам пред-стоит также решить, какие имена доменов выбрать для внешнего ивнутреннего пространства имен — одинаковые или разные.1. Какие внутреннее и внешнее пространства имен нужно создать?

2. Допустим, вы решили использовать разные имена: contoso.com длявнешнего пространства имен и contoso-pvt.com — для внутренне-го. На плане топологии сети четко отметьте «водораздел» междупространствами имен. Какие изменения придется внести в план?

3. Пусть один из серверов в Web-кластере 1 называется Webl. Ука-жите полное доменное имя этого сервера.

4. Пусть один из серверов в кластере приложений называется Appl.Укажите полное доменное имя этого сервера.

Закрепление материала1 Приведенные ниже вопросы помогут вам лучше усвоить ос-


Часть сетевой топологии вашего предприятия (рис. 2-19), доступ-ная из Интернета, предоставляет информацию и обеспечивает он-лайновую регистрацию пользователей в учебных центрах фирмы.

Пользователи жалуются, что сайт часто недоступен. Чтобы повы-сить доступность сайта, вы решили изменить топологию сети. Чтонужно для этого сделать в первую очередь?

Маршрутизатор - фильтрпо рто в (Б ран дма уэр |

Сервер доставкиинформационного

наполнения Web

Серверы Арр-Centerco службой

бапанс-фовкинагрузки СОМ-*



Server со службойбалансировки сетевой

нагрузки ч сервером IIS 5

Кластер со службойбалансировки

сетевой нагрузки КоммутаторIP-адрес 200.1.10.100 подсети 1

Рис. 2-19, Сетевая топология многоуровневого Web-сайта

2. При разбиении на подсети сети, показанной на рис. 2-19, подсе-ти 1 назначен IP-адрес 10.10.1.0, подсети 2 — IP-адрес 10.10.2.0, аподсети 3 — 10.10.3.0. Какую еще подсеть нужно добавить в этутопологию?

3. Разрабатывая конфигурацию службы DHCP для своей сети, выхотите добиться отказоустойчивости. Однако в имеющейся топо-логии кластеры применять нельзя, и вы решили установить основ-ной и дополнительный DNS-серверы. Как следует настроить со-здаваемые области DNS?

4. Руководство компании Contoso Ltd. планирует создать Web-сайтдля предоставления клиентам услуг через Интернет. Ранее у ком-пании не было представительства в Web. Компания Contoso заре-гистрировала имя contoso.com в полномочной организации реги-страции имен Интернета и планирует использовать его как вовнутреннем, так и во внешнем пространстве имен. Что нужнопредпринять, чтобы использовать одно имя в обоих пространствахимен?

Г Л А В А

Конфигурированиесерверов

!ан<йтие 1 - Разработка отказоустойчивой системы 98

Разработка высокодоступных устройств хранения данных 110

•1. Планирование конфигурации RAID 122


В этой главеКонфигурирование серверов является частью общей процедуры реа-лизации проекта сети, так как при правильно настроенном сервереслужбы продолжат работу даже при сбое оборудования или программыили при нарушении целостности данных. Доступность сервера обес-печивают посредством резервирования компонентов, установки ком-понентов, поддерживающих «холодную» или «горячую» замену, а так-же реализуя безопасное окружение серверов, их сетевых подключенийи прочих сетевых компонентов. Рекомендуется организовывать хране-ние данных так, чтобы снизить до минимума вероятность потерь дан-ных и время, необходимое для восстановления работоспособности си-стемы после сбоя. В этой главе рассказывается о проектировании от-казоустойчивых серверных конфигураций и систем хранения данных.

Прежде всегоДля изучения материалов этой главы необходимо иметь общее пред-ставление об:• аппаратных компонентах компьютера;• обслуживании жестких дисков и о построении систем хранения

данных, в том числе RAID-массивов.

5-4791

Занятие 1. Разработка отказоустойчивойсистемы

При разработке сетевой инфраструктуры высокой доступности необ-ходимо обеспечить постоянную доступность компьютеров пол управ-лением Microsoft Windows 2000 Server. Один из способов обеспечениядоступности — резервирование внутренних компонентов серверовили создание запаса резервных компонентов для замены вышедшихиз строя. Другой способ — обеспечение среды, гарантирующей высо-кую доступность серверов и бесперебойное их электропитание. Изэтого занятия вы узнаете, как проектировать отказоустойчивые сер-веры и обеспечивать безопасную среду для серверов, поддерживаю-щую их непрерывную работу.


J спроектировать конфигурацию сервера с резервнымикомпонентами, способствующую повышению надежностиWeb-сайта;

s построить безопасную для работы серверов среду.


Конфигурации высокой доступностиХотя следует всегда быть готовым к любым проблемам, о предотвра-щении некоторых видов сбоев стоит позаботиться особо, например котказу дисков или комплектующих, неполадкам сети и сбоям элект-ропитания. Для снижения вероятности потерь от простоев и длитель-ного восстановления системы обычно применяют особые конфигу-рации оборудования и ПО.

ОС Windows 2000 Server поддерживает некоторые функции обес-печения отказоустойчивости. Отказоустойчивость (fault tolerance) —это способность компьютера или операционной системы реагироватьна аварийное событие (например, на отключение электропитания илисбой оборудования) с тем, чтобы предотвратить потерю данных иобеспечить бесперебойную работу. Хотя этот термин чаще применя-ют к дисковым подсистемам, он может относиться и к любому друго-му устройству, в котором для обеспечения бесперебойной работы си-стемы используют резервирование. В максимально отказоустойчивойсистеме дублируются все основные компоненты. Такая система ос-нащается резервными дисковыми контроллерами, источниками пи-

тания, источниками бесперебойного питания, дублирующими диско-выми подсистемами и прочими резервными компонентами. В нейотсутствуют точки критического сбоя.

Чтобы обеспечить бесперебойную работу серверов, следует поза-ботиться о резервировании и запасных частях, а также создать длясерверов безопасную рабочую среду.

Резервные компонентыВысокодоступные сети создают, устанавливая резервные компонен-ты на компьютерах под управлением Windows 2000 Server или созда-вая запас готовых для быстрой замены компонентов. В этом разделерассказывается о компонентах сервера, которые удается превратить вотказоустойчивые.

Сетевые адаптерыСетевой адаптер (Network Interface Card, NIC) — это сетевая карта,устанавливаемая в разъеме системной шины компьютера и позволя-ющая ему принимать и передавать сигналы по сети. Сетевой адап-тер — уязвимое место большинства серверов. Обычно сетевые адап-теры весьма надежны, но иногда все же отказывают. Иногда на од-ном сервере устанавливают несколько сетевых адаптеров или одномусетевому адаптеру назначают несколько IP-адресов. Такую конфигу-рацию называют компьютером с несколькими сетевыми интерфейсами(multinomed computer). Каждому из интерфейсов назначается отдель-ный IP-адрес. Компьютеры с несколькими сетевыми интерфейсамиобычно используют для увеличения пропускной способности за счетподключения одновременно к нескольким сетям.

Установкой нескольких сетевых адаптеров можно также повыситьнадежность критически важных сетевых серверов, Когда отказоустой-чивость сетевого адаптера достигается установкой резервной карты,резервный (неактивный) сетевой адаптер использует тот же драйверустройства, что и активный адаптер. При обнаружении неустранимойошибки драйвер устройства переключится на резервный сетевойадаптер, не прерывая работы.

Иногда каждый сетевой адаптер компьютера подключают к от-дельной подсети. Подключение разных подсетей к разным сетевымадаптерам позволяет повысить как производительность, так и доступ-ность. Прежде всего производительность повышают путем сокраще-ния сетевых маршрутов между клиентами и серверами. Другой спо-соб — обеспечение резервных маршрутов, которые позволяют клиен-там даже при выходе сетевого адаптера из строя получить доступ ккритически важным сетевым службам.

58 При подключении нескольких сетевых адаптеров к под-сети следует соблюдать осторожность, так как некоторые сетевые служ-бы ведут себя на компьютера с несколькими интерфейсами непредс-казуемо.

Подключение нескольких сетевых адаптеров к подсети позволяетзначительно сократить время простоя из-за отказов сегментов. Длямаксимальной надежности дополнительный сетевой адаптер настра-ивают в качестве резервного на случай отказа основного адаптера. Вэтом случае дополнительный интерфейс работает в режиме «горяче-го» резервирования. При отказе основного адаптера его функции бе-рет на себя дополнительный.

В кластерной конфигурации имеются два сетевых сегмента — одиндля обычного сетевого трафика, а второй для поддержки кластерногопульса.

Такая конфигурация работоспособна, однако есть болееэффективные методы. Так, можно использовать выделенную вирту-альную ЛВС (VLAN) для поддержки обмена сообщениями пульса илииспользовать резервированные прямые подключения (с применениемкросс-кабелей).

При установке двух сетевых адаптеров убедитесь, что они подклю-чены к разным концентраторам или коммутаторам. Кроме того, натаких серверах не рекомендуется применять DHCP, а желательно на-значать фиксированные IP-адреса— это позволит избежать отказасистемы при сбое DHCP-серверов. Такой метод позволяет улучшитьразрешение адресов серверами системами DNS, которые не поддер-живают динамического назначения адресов в DHCP.

Системная плата и процессорСистемная плата содержит электронные компоненты, которые иног-да выходят из строя, хотя системная плата и процессор в общем до-вольно надежные компоненты компьютера. Единственный способпредотвратить отказ системной платы или сбой процессора — прово-дить регулярные проверки корректности работы всех компонентовсистемы. В некоторые системы встроены средства диагностики, под-держивающие взаимодействие с Windows 2000.

ПамятьС точки зрения обнаружения и коррекции ошибок оперативная па-мять делится на три основных типа: память без контроля четности,память с контролем четности и память с коррекцией ошибок.

• Память без контроля четности (nonparity RAM) — в Windows 2000нет методов обнаружения неполадок памяти этого вида — компь-ютер просто неожиданно отказывает. Память без контроля четно-сти дешевле памяти с контролем четности, кроме того, не все ап-паратные конфигурации компьютеров поддерживают память сконтролем четности. Если на компьютере нет памяти с контролемчетности, следует поинтересоваться у поставщика оборудования,можно ди ее установить.

• Память с контролем четности (parity RAM) — в микросхеме памятис контролем четности предусмотрен дополнительный бит, позво-ляющий обнаруживать сбойные байты в памяти. О нарушениичетности памяти процессор оповещается с помощью немаскируе-мого прерывания (NMI). В зависимости от места обнаружениясбоя ОС Windows 2000 определяет тип ошибки: ошибка четностиплаты ввода/вывода, ошибка шины памяти или другой вид ошиб-ки четности. Windows 2000 способна также обнаруживать и инфор-мировать об ошибках четности канала ввода/вывода карт, распо-ложенных в гнездах системной шины. Обычно при возникнове-нии ошибки четности генерируется сообщение, об ошибке, ноиногда компьютер просто аварийно завершает работу. Память сконтролем четности не является отказоустойчивой, так как дажепри обнаружении ошибки памяти исправить ее невозможно, чтообычно приводит к аварийному останову сервера.

• Память с коррекцией ошибок [ЕСС (Error Correction Code)RAM]> —обычно применяется в «high-end» системах, Эта память способнаобнаруживать ошибки в двух битах и исправлять ошибку в одномбите отдельных байт. При наличии ЕСС RAM ОС Windows 2000продолжает работу даже при возникновении однобитовых ошибок.Вид оповещения о коррекции ошибки определяется аппаратнойархитектурой системы. Для обеспечения максимальной отказоус-тойчивости системы рекомендуется по возможности применяетсяпамять с коррекцией ошибок.

Не следует забывать, что микросхемы ЕСС также подвержены сбо-ям. Позаботьтесь о наличии запаса плат памяти для полной заменыОЗУ компьютера. Если частота ошибок при проверке памяти растетили машина не загружается, лучше заменить всю память, чем тратитьвремя на поиски поврежденного модуля. Поврежденную микросхемуможно отыскать в более спокойной обстановке.

ОхлаждениеПроблему охлаждения при построении серверов часто недооценива-ют. Но при отказе вентилятора охлаждения возникает риск перегрева

и повреждения и процессора, и жестких дисков, и карт контролле-ров. Если, сняв крышку, вьс ошушаете, что компьютер слушком го-рячий, возможно, сломан вентилятор охлаждения. В большинствесерверов устанавливают несколько вентиляторов для предотвращенияперегрева при отказе работающего. Некоторые серверы оснащаютсядатчиками температуры для контроля порога температуры.

Источники электропитанияНесмотря на высокую надежность, и источники питания выходят изстроя. Большинство серверов среднего и высшего классов оснаща-ются дополнительными блоками питания. При отказе одного из бло-ков питания его функции берет на себя резервный. При использова-нии дублированных блоков питания следует позаботиться о двух от-дельных кабелях электропитания. Это защитит от срабатывания пре-дохранителя и других случайностей. Не забудьте также позаботитьсяспециальных корпусах для RAID-массивов и модемных пулов. Еслиу них есть источники питания, подумайте, может, их стоит продубли-ровать.

Контроллеры дисковКонтроллеры дисков, как и прочие компоненты, также могут статьпричиной проблем. При отказе контроллера данные на жестких дис-ках становятся недоступными, пока не будет заменен контроллер не-зависимо уровня отказоустойчивости самих дисков. Резервированиеконтроллера позволяет устранить эту критическую точку.

Устройства хранения данныхВыбор устройства хранения данных зависит от типа и объема храни-мой информации и стоимости оборудования. Если компьютер не ис-пользуется для хранения данных, можно выбрать простое и недоро-гое устройство, в противном случае выбор устройств хранения дан-ных существенно усложняется. При разработке стратегии храненияданных в организации необходимо учитывать стоимость всех компо-нентов запоминающих устройств. Нет смысла тратить на систему хра-нения данных больше средств, чем на восстановление данных, поте-рянных из-за сбоя. Подробнее о стратегиях выбора устройств хране-ния данных рассказывается в занятии 2.

Требования к средеСледует обеспечить защиту сетевых компонентов, в частности серве-ров, от перепадов температуры и повышенной влажности. Также не-обходимо содержать их в чистоте. Кроме того, обязательно позаботь-тесь о резервных источниках питания и правильном их подключении.

Температура, влажность и чистотаНаилучшей для эксплуатации компьютеров считается температураоколо 2ГС. Большие компьютерные стойки выделяют значительноеколичество тепла, что иногда ведет к повышению температуры в по-мещении сверх допустимого уровня. По этой причине практическивсегда специализированные помещения для размещения компьюте-ров оснащают кондиционерами. При установке новых серверов все-гда следует убедиться, что возможности кондиционеров позволяютподдерживать в помещении нужную температуру. При превышении2ГС вероятны неполадки аппаратуры.

Влажность также важна: при ее п о в ы ш е н и и иногда образуетсяконденсат, а при слишком низкой влажности вероятно повреждениемикросхем статическими разрядами. При повышенной влажностивозможно также образование плесени, что ухудшит охлаждение илилаже вызовет короткое замыкание. Повышенная сухость также неже-лательна, так как достаточно мощный статический разряд способенповредить внутренние компоненты компьютера или вызвать его пе-резапуск.

Очень важно содержать компьютеры в чистоте— пыль и грязьповышают риск коротких замыканий или даже пожара. При любомвскрытии корпуса компьютера следует проверять, не запылен ли он.Если это так, рекомендуется проверить и всю остальную аппаратурув данном помещении.

Компьютеры в офисных помещениях нужно проверять ежеквар-тально, а если помещение загрязнено, то и чаще. Компьютеры, рабо-тающие в производственных или опасных условиях, следует разме-щать в закрытых помещениях с фильтрацией воздуха и кондициони-рованием. Воздушные фильтры в корпусах компьютеров следует очи-щать в соответствии с рекомендациями изготовителя. Не забывайтерегулярно проверять компьютер и при необходимости чистить его.

ЭлектропитаниеБез электропитания компьютер работать не будет. К сожалению,электросети недостаточно надежны. Поэтому часто предусматриваютрезервное электропитание — по крайне мере для того, чтобы коррект-но завершить работу компьютера при отключении электросети. Разли-чаются два типа отказов электропитания: отключение электропитанияв здании (в серверной) или отключение электропитания в районе.

При отключении электропитания в здании, в частности в вычис-лительном центре предприятия, требуется обеспечить работу системв других помещениях на данной территории или на территориях, гео-графически удаленных от вычислительного центра. Ущерб от крат-

зигурироваиие серверов Глава 3

ковременных сбоев питания удается предотвратить, используя резер-вные источники (UPS), если же есть риск долговременного отключе-ния питания, необходимы резервные генераторы. Существует не-сколько типов резервных источников питания.• Активные резервные источники питания (online UPS) устанавлива-

ют между компьютером и основным источником электропитаниякомпьютера. Сетевое напряжение постоянно подзаряжает батареи,которые обеспечивают компьютер электропитанием. При посто-янном подключении к сети батарея такого устройства поддержи-вается в заряженном состоянии. Активные резервные источникиобеспечивают улучшенное электропитание, так как устраняютвыбросы и нестабильность напряжения и сетевой шум.

• Обычные резервные источники питания (standby UPS) no мере не-обходимости подключают компьютер либо к сети, либо к своемувнутреннему аккумулятору. Когда доступно электропитание отсети, резервный источник подключает компьютеру к сети и сле-дит за сетевым напряжением. При пропадании напряжения в сетиили снижении его до критического уровня устройство переключа-ется на внутренний аккумулятор.

Резервные источники питания устанавливаются либо одним боль-шим блоком, либо несколькими маленькими. Преимущество исполь-зования одной большой системы для всей серверной комнаты оче-видно: простота обслуживания и контроля. Однако отказ такой сис-темы порождает массу проблем. Поэтому ее нужно регулярно прове-рять, желательно по выходным или праздникам.

Другой способ —• оснастить каждый компьютер собственным ре-зервным источником питания. Обычно его применяют к компьюте-рам, расположенным вне комнаты для размещения серверов. Досто-инство такой системы в том, что она подключается к компьютерунапрямую и способна оповещать ОС о необходимости завершенияработы при падении напряжения батареи ниже заданного уровня.Кроме того, срабатывание предохранителя или другие проблемы спитанием не приведут к выключению компьютера. Недостаток такихустройств — более сложное обслуживание из-за их численности.

При отключении электропитания на значительной территориирезервные источники питания и генераторы могут нормально рабо-тать, но при этом зачастую пропадает связь. Сбой электропитания вцелом районе обычно чреват ощутимыми финансовыми потерями дляпредприятия, которое имеет несколько подразделений в этом районеили если оно в своей деятельности активно использует электроннуюкоммерцию или Интернет. Наилучший выход в такой ситуации —

поместить резервные серверные ресурсы в месте, географически уда-ленном от основного офиса компании.

Кабели

Надежность физических соединений между компьютерами нужнопроверять так же, как и надежность внутренних соединений компью-теров. При работе с кабелями придерживайтесь перечисленных далееправил.• Убедитесь, что кабели проложены аккуратно и не перепутаны.

Применяйте либо систему разводки кабелей, либо стяжки. Внут-ри корпуса кабели не должны болтаться — это может привести кслучайному отсоединению кабелей.

• При закреплении кабелей на оборудовании, к которому подклю-чается компьютер, в частности при монтаже выдвижного обору-дования в стойке, по возможности оставляйте некоторый запас ка-беля. Тогда при вытягивании кабеля он не «выскочит» из разъема.

• Убедитесь в надежном закреплении кабеля в разъемах на каждомиз его концов.

• При использовании нескольких источников питания или сетевыхсоединений постарайтесь подводить кабели к корпусам с разныхсторон. Тогда при повреждении одного из них другие, скорее все-го, останутся целыми.

• По возможности маркируйте все концы кабелей. -Используйте цве-товую маркировку или наклейки.

• Убедитесь, что для выдвижного оборудования в стойке достаточ-но свободного кабеля, что кабели не зажимаются и их изоляцияне повреждается.

• Не подключайте дублированные блоки питания к одной и той желинии электропитания (или используйте идентичные источникипитания).

• Не оставляйте в корпусе незакрепленные кабели.• Убедитесь, что кабели не могут быть случайно повреждены из-за

того, что кто-то о них споткнется или переедет тележкой, Все ка-бели закрывайте кожухом.

Принятие решенияНеобходимый уровень отказоустойчивости системы часто зависит отобщих затрат на обеспечение отказоустойчивости компонентов и оттого, какими потерями для предприятия способны обернуться про-стои. В таблице 3-1 показаны возможные методы создания серверовс отказоустойчивой конфигурацией.

Глаза

Таблица 3-1. Обеспечение отказоустойчивости


Дублированиесетевых адаптеров

Системная плата,процессор

Отказоустойчиваяпамять

Резервная память

Резервные вентиля-торы охлаждения,источники питанияи дисковыеконтроллеры

Обеспечивает отказоустойчивость сетевых под-ключений, однако если эти сетевые адаптерыподключены к одной подсети, при отказе основ-ного сетевого адаптера или сетевого каналаклиенты не смогут получить доступ к необходи-мым службам. Настройка сетевых адаптеров наразличные подсети позволяет клиентам находитьдругие маршруты для доступа к службам

В большинстве систем избежать отказа системнойплаты или процессора позволяют только регуляр-ные проверки правильной работы этих компо-нентов. Однако некоторые производители, нап-ример Stratus и Marathon Technologies, поставляютполностью отказоустойчивые системы, в которыхрезервируются системные платы ввода/вывода ипроцессоры

Windows 2000 не поддерживает обнаружение не-поладок памяти без контроля четности. При ис-пользовании памяти с контролем четности Win-dows 2000 может обнаружить сбой в работе памяти.но не з состоянии устранить его. Память с кор-рекцией ошибок позволяет ОС Windows 2000 об-наруживать и исправлять ошибки отдельных бити обнаруживать, но не исправлять ошибки двухбит одновременно

Возможны отказы оперативной памяти. Нужнодержать под рукой достаточно запасных модулейпамяти, чтобы заменить всю память компьютерапри сбоях памяти

Все сеоверы следует оснащать несколькими вен-тиляторами для предотвращения поврежденияаппар&туры из-за отказа вентилятора, а такжекак минимум двумя блоками питания, подклю-чаемыми к электропитанию отдельными кабелями.Кроме того, для предотвращения отказа системырекомендуется устанавливать несколькодисковых контроллеров

Отказоустойчивыеустройства храненияданных

Среда, удовлетворя-ющая эксплуатаци-онным требованиям

Резервноеэлектропитание

(продолжение)Нужно обеспечить отказоустойчивость устройствахранения данных. Более подробно о методахвыбора устройств хранения данных рассказываетсяв занятии 2

Для снижения риска отказа серверов необходимоподдерживать номинальные температуру ивлажность, а также чистоту внутри корпусакомпьютера

Можно использовать мощные резервные источникипитания для зашиты группы компьютеров илиобычные источники питания для защиты отдельныхкомпьютеров. Мощные резервные источникипитания проще в обслуживании, но их отказ вкритический момент чреват большими неприят-ностями и потерями. Системы резервных источ-ников питания для отдельных компьютеровсложнее в эксплуатации, но обеспечивают боль-шую надежность. Для защиты от перебоев с пи-танием в целом районе следует организоватьрезервные офисы в географически разнесенныхобластях

Содержание кабелей Следует содержать кабели в порядке ив порядке обеспечить их надежное их подключение •

РекомендацииПри выборе конфигурации сервера следует устанавливать несколькосетевых адаптеров и подключать их к различным подсетям. Дополни-тельно следует использовать память с коррекцией ошибок и держатьпод рукой число модулей памяти достаточное для замены всего ОЗУкомпьютера. Все серверы следует оснастить резервными вентилято-рами охлаждения, блоками питания и дисковыми контроллерами.

Кроме оснащения серверов резервными компонентами нужноуделить особое внимание среде, в которой они работают. Необходи-мо поддерживать температуру, влажность и чистоту, гарантирующиебезотказную работу серверов, а также содержать кабели в порядке.Серверы рекомендуется подключать к резервным источникам пита-ния. По возможности каждый сервер следует оснащать отдельнымрезервным источником питания. Чтобы быть готовым к сбоям элект-ропитания в целом районе, «в идеале» в сети следует предусмотретьпо крайней мере одно дополнительное помещение с дублирующимисерверами в другом географическом местоположении.

Пример. Отказоустойчивая системаСледует решить, сколько средств компания в состоянии вложить вобеспечение отказоустойчивости каждого из серверов. На рис. 3-1показана одна из возможных аппаратных конфигураций компьютерапод управлением Windows 2(100 Server.

Ethernet'

Подсеть 1 Подсеть 2

Сетевойадаптер 1

1 1

|Па

с корон

1 Венти-1 ляторыI ох лаж -|дения

Дисковый[ контроллер 2

Сетевойадаптер 2

ййш -----мятьсекциейибок

Блокпитания 1

Блокпитания 2

Дисковыйконтроллер 1

1 1Отказоус-тойчивоеустройствохраненияданных

МШИПИР

Запасные микросхемыпамяти с коррекцией ошибок(для быстрой замены всей памяти)

j И !

UPS

I Подключениек сети электропитания 1

Подключениек сети электропитания 2

Компьютер под управлениемWindows 2000 Server

Рис. 3-1. Отказоустойчивый компьютер под управлением

Windows 2000 Server

РезюмеДобиться высокой лоступности сети позволит дублирование компо-нентов компьютеров под управлением Windows 2000 Server или созда-ние резерва, запасных компонентов для быстрой замены. Надо регу-лярно проверять корректность работы компонентов системы. Повы-шения надежности критически важных сетевых серверов добиваютсяустановкой на компьютере нескольких сетевых адаптеров. Существу-ет три основных типа памяти — память без контроля четности, па-мять с контролем четности и память с коррекцией ошибок (ЕСС

RAM); последняя характеризуется наивысшей отказоустойчивостью,Следует всегда держать под рукой резервные модули памяти с кор-рекцией ошибок для замены всей памяти компьютера. Все серверыследует оснащать резервными вентиляторами охлаждения, блокамипитания и дисковыми контроллерами. Необходимо поддерживатьтемпературу, влажность и чистоту, гарантирующие безотказную ра-боту серверов, а также содержать кабели в порядке. Необходимо обес-печить бесперебойное электропитание.

2, Разработка высокодоступныхустройств хранения данных

В полностью отказоустойчивых системах для предотвращения поте-ри данных используются отказоустойчивые дисковые массивы, на-пример RAID-массивы или сети хранения данных (SAN). На этомзанятии рассказывается о проектировании отказоустойчивых систе-мы хранения данных с использованием RAID или SAN.


V спроектировать отказоустойчивую систему хранения данныхс использованием RAID;

V построить отказоустойчивую систему хранения данных сиспользованием SAN.


Отказоустойчивость дисковОдин из методов, используемых для зашиты данных, — RAID. Отка-зоустойчивость достигается за счет резервирования данных, которыезаписываются одновременно на несколько дисков, что предотвраща-ет их потерю при отказе одного диска. Отказоустойчивые RAID-сис-темы реализуются либо программным, либо аппаратным способом.Программная реализация RAID предусмотрена в Windows 2000 Server.

Хотя в отказоустойчивой системе данные защищены достаточнохорошо, не следует пренебрегать резервным копированием информа-ции, хранящейся на жестких дисках для защиты от случайного удале-ния, пожара, кражи и прочих неприятностей. Обеспечение отказоус-тойчивости дисков не считается альтернативой резервного копиро-вания с хранением копий в удаленном местоположении; последнее- наилучший способ обеспечить возможность восстановления поте-рянных или уничтоженных данных.

При выходе из строя жесткого диска из-за механического илиэлектрического повреждения в системе, где не обеспечена отказоус-тойчивость, единственным способом восстановить данные на по-врежденном диске является замена жесткого диска и восстановлениеданных с резервной копии. Однако потеря доступа к данным на вре-мя замены жесткого диска и восстановления данных оборачиваетсяпотерей времени и денег.

При хранении больших объемов данных для обеспечения доступ-ности данных при сбоях применяют сети хранения данных (SystemArea Network, SAN). Именно эта технология применяется для обес-печения отказоустойчивости в крупных системах.

Программная реализация RAIDПри программной реализации RAID система остается уязвимой ксбоям, так как она недоступна, пока не устранен сбой. Если же запервым последует второй сбой, восстановить данные удастся толькос резервной копии.

Windows 2000 Server поддерживает две отказоустойчивые программ-ные реализации RAID: зеркальные тома (RAID-1) и чередующиесятома с контролем четности (RAID-5). В Windows 2000 RAID-томаможно создавать только на динамических дисках.

Примечание При обновлении Windows NT 4 до Windows 2000 все су-ществующие наборы зеркальных или чередующихся томов сохраняют-ся. Windows 2000 обеспечивает ограниченную поддержку таких отказо-устойчивых конфигураций, то есть управление или их удаление.

Зеркальные томаРаботу зеркальных томов пбддерживает отказоустойчивый драйверWindows 2000 Server (FTD1SK.SYS) — он выполняет одновременнуюзапись одних данных на два тома, расположенных на двух физичес-ких дисках (рис. 3-2). Каждый том является членом зеркального тома.Зеркалирование позволяет предотвратить потерю данных в случаеотказа одного из зеркальных томов.

Отказоустойчивый драйвер

Рис. 3-2. Зеркальный том

На зеркальном томе разрешается размешать любые разделы, в томчисле загрузочный или системный, однако оба диска, составляющиезеркальный том, должны быть динамическими дисками Windows 2000.

Производительность при использовании зеркальных томовПроизводительность при наличии зеркальных томов иногда оказы-вается выше обычной, так как отказоустойчивый драйвер считываетданные одновременно с обоих томов. А при записи производитель-ность может незначительно снизиться, так как драйверу приходится

,записывать данных одновременно на оба диска. При отказе одногоиз зеркальных томов производительность не отличается от обычной,так как отказоустойчивый драйвер работать только с одним разделом.

Зеркалирование томов иногда оказывается слишком дорого, таккак используется только 505с дискового пространства.

Внимание! При удалении зеркального диска уничтожается вся ин-формация, хранящаяся на обоих дисках.

Дублирование дисковЕсли один и тот же дисковый контроллер управляет обоими физи-ческими дисками зеркального тома, то при его отказе оба зеркальныхтома систем станут полностью недоступными. Для предотвращениятакой ситуации на компьютере устанавливают второй контроллер,таким образом, на каждый из дисков зеркального тома приходитсясвой контроллер. Такая архитектура, она называется дублированиедисков (disk duplexing), позволяет защитить зеркальный том от отказакак контроллера, так и жесткого диска. В некоторых аппаратных ре-ализациях дублирования дисков применяются несколько каналов од-ной карты дискового контроллера.

Дублирование дисков снижает трафик шины и обычно повышаетпроизводительность при чтении. Дублирование дисков считается ап-паратным дополнением зеркального тома Windows 2000 и не требуетдополнительной настройки ОС.

Чередующиеся тома с контролем четностиДругой метод обеспечения отказоустойчивости дисков Windows 2000Server — распределенные тома с контролем четности. Четность (par-ity) — это математический метод, в котором определяется число еди-ничных и нулевых битов в числе или последовательности чисел, чтопозволяет восстанавливать д а н н ы е при потере одного из чисел пос-ледовательности.

В Windows 2000 на томах RAID-5 отказоустойчивость достигаетсяза счет создания специального блока с информацией о четности накаждом из дисковых разделов тома (рис. 3-3).

Диск 1

Блок четности

Диск 2 ДискЗ






Рис, 3-3. Блоки контроля четности в RAID-5

Из-за необходимости вычисления четности операции записи натомах RAID-5 выполняются медленнее, чем на зеркальном томе. Од-нако RAID-5 обеспечивает лучшую производительность при чтении,особенно на нескольких контролерах, так как данные считываютсяодновременно с нескольких дисков. Однако при отказе диска произ-водительность чтения тома RAID-5 снижается, так как Windows 2000Server восстанавливает данные поврежденного диска, используя ин-формацию четности.

Технология RAID-5 экономичнее по сравнению с зеркальнымитомами, так как диски используются полнее. Чем больше дисков втоме RAID-5, тем меньше относительная стоимость резервного бло-ка данных. В таблице 3-2 показано, как уменьшается дисковый объем,необходимый для блока данных, по мере добавления двухгигабайт-ных дисков к тому RAID-5.

Таблица 3-2. Доля емкости лиска, отводимая для резервирования потехнологии RAID-5

Числодисков

3

I!

Занятоедисковоепространство

6 Гб

8 Гб

10 Гб

Полезноедисковоепространство

4 Гб

6Гб

8 Гб

Доля диска, занятаяинформацией четности

33%

25%

20%

На тома RAID-5 налагаются некоторые программные ограниче-ния. Во-первых, они должны содержать не менее 3 и не более 32 дис-ков, Во-вторых, на программно реализованном томе RA1D-5 нельзяразместить загрузочный или системный раздел.

ОС Windows 2000 не различает аппаратные реализации RAID, по-этому ограничения, налагаемые на программные реализации, не от-носятся к конфигурациям с аппаратной поддержкой RAID.

Сравнение томов RAID-1 и RAID-5Тома RAID-1 и RAID-5 обеспечивают различные уровни отказоус-тойчивости. Выбор способа реализации зависит от необходимогоуровня зашиты и от стоимости аппаратного обеспечения. RAID-1 иRAID-5 отличаются главным образом производительностью и сто-имостью. Некоторые отличия между программными реализациямиRAID-1 и RA1D-5 показаны и таблице 3-3.

Таблица 3-3. Сравнение RAID-1 и RAID-5

Свойства зеркальных томов(RAID-1)

Свойства чередующихся томовс контролем четности (RAID-5)

Поддержка разделов FATnNTFS

Можно применять для защитысистемного или загрузочногоразделов

Необходимо 2 жестких диска

Очень высокая удельнаястоимость хранения] мегабайта информации

50% дискового пространстваотводится под резерв

Высокая производительностьзаписи

Высокая производительностьзаписи

Сниженное потреблениесистемной памяти

Поддержка разделов FAT и NTFS

Нельзя применять для зашитысистемного или загрузочного раздела

Необходимо не менее 3 жесткихдисков, кроме того, поддерживается неболее 32 жестких дисков

Невысокая удельная стоимостьхранения 1 мегабайта информации

Под резерв отводится объем одногофизического диска (распределенныймежду всеми дисками)

Умеренная производительность записи

Отличная производительностьсчитывания

Повышенное потребление системнойпамяти

Вообще говоря, производительность записи и считывания зер-кальных томов сравнимы с одиночными дисками. Тома RAID-5 даютлучшую производительность считывания по сравнению с зеркальны-ми томами, особенно при использовании нескольких контроллеров,так как данные распределены между несколькими дисками. Однаконеобходимость вычислять информацию четности требует большегообъема памяти, что отрицательно сказывается на производительнос-ти записи.

На зеркальных дисках полезная загрузка составляет 50% доступ-ного дискового пространства, поэтому удельная стоимость хранения1 мегабайта данных на зеркальном диске выше, чем на простом дис-ке. При минимальном числе жестких дисков (3) в технологии RAID-5 для хранения информации о четности отводится 33% доступногодискового пространства. По мере увеличения числа жестких дисковэффективность их использования в RAID-5 увеличивается.

Аппаратные реализации RAIDПри аппаратной реализации RAID за создание и восстановление ре-зервной информации отвечает интерфейс дискового контроллера.Некоторые поставщики оборудования встраивают поддержку RAIDнепосредственно в аппаратуру, например в карты контроллеров дис-ковых массивов. Это обеспечивает повышенную производительностьпо сравнению с программными реализациями RAID. Кроме того,аппаратные реализации RAID обычно обладают некоторыми допол-нительными функциями, например поддержкой дополнительных от-казоустойчивых конфигураций RAID, «горячей» заменой отказавшихжестких дисков, «горячим» резервированием всей дисковой системыдля быстрого переключения и выделенной кэш-памятью для повы-шения производительности.

Примечание Уровень RAID, поддерживаемый аппаратным решени-ем, определяется производителем оборудования.

При выборе между использованием программной или аппаратнойреализации RAID для обеспечения отказоустойчивости нужно учестьследующие соображения:• аппаратное решение гораздо дороже программного;• аппаратная реализация, как правило, обеспечивает большую ско-

рость записи/считывания с диска, чем программная;• аппаратная реализация иногда налагает определенные требования

к устройствам и ограничивает выбор оборудования;

• в аппаратных решениях иногда поддерживается «горячая* заменажестких дисков, то есть замена отказавшего жесткий диск без вык-лючения компьютера, а также «горячее» резервирование, при ко-тором система автоматически, переходит с отказавшей дисковойсистемы на резервную..

В аппаратной реализацил RAID-зеркалирования чередующиесятома распределяются между несколькими дисками. Такую конфигу-рацию часто называют RAID-10: зеркальные диски RA1D-1 плюс че-редование RAID-0. В отличие от RAID-0, RAID-10 считается отказо-устойчивой конфигурацией RAID, так как каждый чередующийсядиск одновременно является и зеркальным. Тома RAID-10 обладаютболее лучшими характеристиками чтения/записи за счет распределе-ния этих операций между дисками.

Сети хранения данныхСеть хранения данных (Storage Area Network, SAN) — это сложная сеть,составленная из одной или нескольких высокопроизводительных си-стем хранения с емкостью, достигающей нескольких терабайт. Вбольшинстве сетей хранения применяется технология Fibre Channel,которая обеспечивает производительность операций записи/считы-вания в несколько гигабит в секунду (то есть 100—200 мегабайт в се-кунду или выше). SAN имеет гибкую структуру, отлично масштаби-руется и обеспечивает высокую надежность при хранении критичес-ки важных данных.

Сети хранения данных позволяют повысить производительностьмногих приложений, работающих с большими объемами, пересылае-мых по сети между серверами: сетевые ресурсы высвобождаются ддядругих операций, а передача больших объемов данных выполняетсявнутри SAN на базе высокоскоростной сети Fibre Channel. Так, однаторговая фирма имела большую базу данных по продажам. До вне-дрения SAN по выходным выполнялось 5 операций передачи данныхобъемом 70 Гб через сеть и делался один запланированный перерыв вработе длительностью 24 часа. После внедрения SAN на ту же опера-цию уходило всего 2—3 часа, причем никаких перерывов в работе сетине требовалось.

Аппаратные реализации SAN различаются, но их базовые элемен-ты одинаковы:• вынесенные устройства хранения (externalized storage) — устройства

хранения данных, не предназначенные для монопольного доступаодного сервера;

• централизованные устройства хранения (centralized storage) — цент-рализованно расположенные, обслуживаемые и управляемые уст-ройства хранения;

• удаленные кластеры (remote clustering) — устройства хранения,обеспечивающие доступ как одиночного, так и многих серверов.

Аппаратные компоненты, составляющие SAN, сходны с компо-нентами обычной сети с устройствами хранения данных, но их со-став зависит от имеющегося типа SAN и производителя оборудова-ния. Для взаимодействия с сетью хранения данных серверы должныиметь интерфейсы Fibre Channel, их еще называют адаптерами глав-ной шины (host bus adapters, HBA), Сеть хранения данных состоит измногих компонентов хранения данных, таких, как ленточные нако-пители, диски, RAID-контроллеры, концентраторы, коммутаторы,специализированные процессоры, дисковые корпуса и массивы.

В последние годы интерес к применению технологий SAN для от-казоустойчивого хранения больших объемов данных файловых и се-тевых приложений постоянно рос. Однако из-за высокой начальнойстоимости реализации сетей хранения данных они, как правило, ис-пользуются только в сетях с потребностью в хранении объемов ин-формации не менее 100—200 Гб.

Сети хранения данных применяют для централизованного хране-ния данных и упрощения управления резервным копированием ивосстановлением. SAN переносит функции хранения данных с сер-веров общего назначения на высокоскоростную сеть, специально раз-работанную для работы с большими объемами данных. Такая техно-логия обладает следующими преимуществами:• позволяет более рационально использовать места в стойке серве-

ра за счет вынесения из нее дисковых массивов;• обеспечивает повышенную безопасность за счет хранения данных

в отдельной сети, не подверженной известным типам атак;

• предоставляет возможность резервного копирования без исполь-зования локальной сети, при котором трафик резервного копиро-вания не перегружает локальную-сеть.SAN позволяет построить решение для хранения данных с гораздо

большей масштабируемостью,.чем на нескольких дисковых массивах.Естественно, это разумно только при условии, что сеть хранения дан-ных себя окупит. Кроме того, стоимость владения снижается из-зацентрализованного управления и повышенной надежности запоми-нающих устройств самой SAN. Так, если SAN используется совмест-но с почтовыми серверами Microsoft Exchange, создание резервных

копий и восстановление выполняются гораздо быстрее, что в своюочередь позволяет предоставить услуги в рамках договоров о гаран-тированном уровне обслуживания (Service Level Agreement, SLA) и до-вести до максимума число учетных записей пользователей на одинсервер.

Хотя установка SAN обходится весьма дорого, это решение иног-да оказывается единственно возможным, так как совокупная сто-имость владения на большом промежутке времени может оказатьсяниже, чем стоимость обслуживания и поддержки множества мелкихмассивов. Нужно также учесть следующие преимущества SAN-реше-ний:• если в компании используются несколько дисковых массивов,

управляемых многими администраторами, централизованное ад-министрирование всего хранения данных высвободит админист-раторов для решения других, возможно, более важных задач;

• ни одно другое решение не способно обеспечить такую всесторон-ность, гибкость и надежность, как сеть хранения данных, поддер-живаемая поставщиком.

Большинство решений S4N создается поставщиками оборудова-ния. Найдите поставщика SAN, который поможет разработать, уста-новить и обслуживать SAN, и обсудите с ним, как удовлетворить тре-бованиям вашей компании по хранению данных. Это позволит со-здать конфигурацию SAN, которая обеспечить оптимальное сочета-ние производительности, безопасности и распределения групп уст-ройств хранения данных и журналов событий.

Оценивая возможность приобретения SAN, взвесьте все факторы,в том числе оцените затраты на поддержку имеющегося решения дляхранения данных, административных и аппаратных ресурсов, а так-же оцените потребности компании в надежном хранилище данных.Только после этого принимайте решение, что выгоднее — внедрениеSAN или поддержка нескольких дисковых массивов.

Внутренние соединения в 5ANРанее SAN строились с использованием выделенных прямых подклю-чений или контуров Fibre Channel с арбитражной логикой. Новыекоммутаторы Fibre Channel яме ют гораздо большую производитель-ность и позволяют создавать сети хранения данных, в которых сокра-щено число или полностью исключены точки критического сбоя.

SAN с коммутацией на уровне Fibre Channel состоит из многихкомпонентов, но ряд узлов применяется всегда:• соединенные вместе коммутаторы или коммутаторы, объединен-

ные в каскады посредством межкоммутаторных портов (E-port);

• несколько пограничных коммутаторов — по одному на каждуюлокальную сеть, подключенную к SAN;

• интерфейс Fibre Channel, подключенный к локальному коммута-тору SAN, на каждом сервере;

• коммутатор дисковой фермы SAN, подключенный к обоим цент-ральным коммутаторам;

• коммутатор для устройства резервного копирования SAN, под-ключенный к обоим центральным коммутаторам.

Обратите внимание, что все пограничные коммутаторы подклю-чены к обоим центральным коммутаторам.

Устранение точек критического сбояПри реализации SAN дублируют все устройства, кроме ядра: в каж-дом сервере устанавливают по два адаптера Fibre Channel, использу-ют два пограничных коммутатора для дисковой фермы SAN и двапограничных коммутатора для устройства резервного копированияSAN.

Принятие решенияПри разработке отказоустойчивой системы хранения данных необхо-димо принять несколько решений. Во-первых, какую технологиювыбрать — SAN или RAID. В последнем случае нужно сделать выбормежду аппаратной или программной реализацией. Если выбрана про-граммная реализация, следует определиться с вариантом— RAID-1или RAID-5. Таблица 3-4 поможет вам выбрать оптимальное реше-ние.

Таблица 3-4. Выбор типа устройства хранения данных

Методика хранения Описаниеданных

SAN или RAID SAN хороша, когда нужно хранить объемы данных,превышающие 100—200Гб. При высокой началь-ной стоимости реализации SAN долгосрочнаясовокупная стоимость владения может оказатьсяниже, чем у RAID. Кроме того, стоимость и зат-раты на управление устройств хранения данныхв SAN иногда оказываются небольшими, но приэтом гарантируют высокую надежность. ЕслиSAN нерентабельна, используйте конфигурациюRAID

Глава 3

(продолжение)Методика храненияданных

Описание

Аппаратная или прог- Аппаратная реализация RAID обеспечивает боль-раммная реализацияRAID

RAID-1 или RAID-5

шую производительность по сравнению с прог-раммной, а также иногда поддерживает «горячую»замену и резервирование. Однако аппаратнаяреализация намного дороже программной, крометого, она иногда сужает возможности выбораоборудования. Программная реализация отка-зоустойчивости дешевле, но при отказе диска дляего замены придется остановить всю систему

На томах RA1D-5 удельная стоимость храненияI мегаОайта данных меньше, а производительностьчтения выше. Однако RA1D-1 позволяет защититьсистемные или загрузочные разделы и получитьболее высокую производительность записи.RA1D-1 позволяет исключить все критическиеточки посредством дублирования дисков

РекомендацииЕсли требуется хранить объемы д а н н ы х , превышающие 100—200 Гбизатраты на создание отказоустойчивого хранилища на базе SAN себяоправдывают, следует испод >зовать сеть хранения данных. В против-ном случае следует использовать RAID. Если позволяют средства иможно ограничиться одним поставщиком, следует предпочесть аппа-ратную реализацию RAID программной. Если решено выбрать про-граммную реализацию, для приложений, требующих повышеннойнадежности при сравнительно небольшом объеме дискового про-странства, используют RAID-1. Если требуется выполнять много опе-раций считывания и иногда записи, стоит использовать RAID-5. Приреализации RAID рекомендуется дублировать диски.

Пример. Выбор RAID-конфигурации для компанииTailspin ToysКомпания Tailspin Toys хран л т д а н н ы е о клиентах в реляционной БД.База данных SQL Server 2000 располагается на выделенном компью-тере под управлением Windows 2000 Server. Для обеспечения отказоу-стойчивости применяются технологии RAID-1 и RAID-5. На рис. 3-4показано, как на сервере настроены логические разделы, логическиеи физические диски.

Логическийраздел С:, 8 Гб

Операционнаясистема

11

Логическийраздел D:, 8 Гб

Файлыжурналов

RAID-1

Логическийдиск 8 Гб

i 1

RAID-1

Логическийдиск 8 Гб

,,'

Логический раздел Е:, 32 Гб

Файлы базы данных

RAID-5

Логический диск 32 Гб

Физические диски по 8 Гб каждый

Рис. 3-4. Отказоустойчивая конфигурация дисков на компьютере сWindows 2000 Server

Операционная система располагается на одной (раздел С:), а фай-лы журнала базы данных— на второй зеркальной паре (раздел D;).Раздел Е: содержит файлы базы данных. Раздел D: отделен от разделаЕ:, так как в файлы журнала часто записывается информация, а дляэтого больше подходит RAID-1, С другой стороны, на разделе Е: хра-нятся файлы базы данных, так как RAID-5 больше подходит для дли-тельных, последовательных считываний и больших баз данных, гдесчитывание производится гораздо чаще, чем запись.

РезюмеОдин из методов обеспечения сохранности данных — RAID. Отказо-устойчивость в RAID реализуется аппаратным или программнымиметодами. Программная реализация имеется в Windows 2000 Server.Windows 2000 поддерживает массивы RAID-1 и RAID-5. В RAID-1используется отказоустойчивый драйвер (FTDISK.SYS) для одновре-менной записи одной и той же информации на тома обеих физичес-ких дисков. Для повышения отказоустойчивость на компьютере ус-танавливают второй контроллер, причем каждый из дисков зеркаль-ного тома подключают к отдельному контроллеру. В томе RA1D-5отказоустойчивость достигается за счет создания блока с информа-цией о четности на каждом дисковом разделе тома. Вообще говоря,RA1D-5 дешевле в реализации, чем RAID-1. Некоторые поставщики

оборудования предусматривают аппаратную защиту данных по тех-нологии RAID, например в контроллерах дисковых массивов. Аппа-ратные решения дороже программных, но их производительностьвыше, и иногда они поддерживают замену дисков без выключениякомпьютера. Для хранения больших объемов данных и обеспеченияих сохранности даже при аларии применяют сети хранения данных(SAN). SAN обеспечивает отказоустойчивое хранение больших объе-мов данных. Однако решения на базе SAN недешевы. Если требуетсяхранить более 5 Тб данных и применение SAN оказывается рентабель-ным, то для отказоустойчиього хранения данных следует использо-вать именно эту технологию. В противном случае применяют RAID.

Планирование конфигурацииRAID

Цель

Выполнив этот практикум, ны научитесь:• проектировать различные конфигурации RAID для поддержки от-

казоустойчивого хранения данных.

В этом практикумеВам предстоит разработать несколько конфигураций RAID для обес-печения отказоустойчивости систем хранения д а н н ы х на компьюте-рах различных типов под управлением Windows 2000 Server, в том чис-ле на файловых серверах, контроллерах домена и серверах баз дан-ных. Каждое упражнение в лабораторной работе посвящено одномуиз типов конфигурации серверов.

Прежде всегоДля выполнения заданий практикума необходимы:• навыки настройки RAID-1 и RAID-5 для хранения информации в

Windows 2000 Server.

Исходные данные. Отказоустойчивое хранилищеданных для издательства Lucerne PublishingИздательство Lucerne Publishing модернизирует свою сеть— предпо-лагается обеспечить отказоустойчивость систем хранения данных накомпьютерах под управлением Windows 2000 Server. Модернизируют-ся серверы нескольких типоп: файловые серверы двух типов, контрол-леры доменов и DHCP- и ONS-серверы, а также серверы БД. Для

обеспечения отказоустойчивости применяется программная реализа-ция RAID, имеющаяся в Windows 2000 Server. Процесс модернизациизаключается в установке на серверах RAID-1, RAID-5 или обеих кон-фигураций.

Упражнение 1. Планирование конфигурациифайлового сервераВ Lucerne Publishing установлены несколько файловых серверов, накоторых пользователи хранят свои данные. Требуется создать на этихсерверах отказоустойчивую систему хранения данных, но затраты намодернизацию должны быть минимальными. Планируется создатьдва логических раздела: один для операционной системы (раздел С:),а другой для данных пользователей (раздел D:). Размер раздела С: —10 Гб, а раздела D: — 30 Гб. Необходимо настроить RAID-1 на двухжестких дисках по Ю Г б и RAID-5 на четырех жестких дисках емкос-тью 10 Гб каждый.

Отметьте на диаграмме (рис. 3-5) логические разделы, логическиеи физические диски, а также укажите размер всех разделов и дисков.

Рис. 3-5. Конфигурация RAID файлового сервера

На диаграмме нужно показать принципиальную схему реализацииRAID файловых серверах, например в прямоугольнике в левой верх-ней части схемы написать «10 Гб, логический раздел С:, операцион-ная система», а в прямоугольнике под н и м — «RAID-1, логическийдиск, 10 Гб».

1. Подпишите остальные элементы схемы.

2. Почему, различаются объемы логических и физических дисков?

Упражнение 2. Конфигурирование файлового сервераи операционной системыВ сети Lucerne Publishing расположены несколько дополнительныхфайловых серверов, для которых нужно обеспечить повышенную сте-пень отказоустойчивости — гарантировать целостность системногораздела и небольшого набора высокодоступных файлов с данными.Остальные пользовательские данные нужно также защитить от отка-зов, но за минимальные деньги. Дли решения задачи планируетсяразместить операционную систему на логическом разделе размером3 Гб (раздел С:), высокодосгупныс файлы на разделе размером 7 Гб(раздел D:), а обшие данные пользователей — на логическом разделеразмером 40 Гб (раздел Е:). Планируется использовать RAID-] и RAID-5 на семи жестких дисках емкостью 10 Гб каждый.

Отметьте на диаграмме (рис. 3-6) логические разделы, логическиеи физические диски, а также укажите размер всех разделов и дисков,их функции и конфигурацию R A I D на каждом логическом диске.

Рис. 3-6. Конфигурация RAID файлового сервера и операционнойсистемы

1. Как следует сконфигурировать систему хранения данных на этихсерверах?

2. Почему различаются объемы логических и физических дисков?

Упражнение 3. Конфигурирование контроллерадомена и службВ сети Lucerne Publishing расположены контроллера домена под уп-равлением Windows 2000 Server. Они же выполняют функции серве-ров DHCP и DNS, Следует обеспечить высокую доступность серве-ров несмотря на то, что им не требуется большого дискового про-странства. Планируется построить конфигурацию RAID-1 на двухжестких дисках по 10 Гб и двух логических разделах по 5 Гб.1. Нарисуйте принципиальную схему реализации RAID на этих сер-

верах. Отметьте логические разделы, логические диски и физичес-кие диски. Укажите размер каждого раздела и диска, а также ихфункции.

Упражнение 4. Конфигурирование серверовреляционных баз данныхВ сети Lucerne Publishing есть несколько серверов баз данных. Кон-фигурация RAID должна удовлетворить высокие требования по дос-тупности операционной системы, частым обращениям для записи вфайлы журналов базы данных и последовательному считыванию боль-ших объемов информации из файлов базы данных. Планируется со-здать три логических раздела: один для операционной системы (раз-дел С:), второй для файлов журнала базы данных (раздел D:) и третийдля файлов базы данных (раздел Е:). Размер разделов С: и D: — 10 Гб,раздела Е: — 40 Гб. В конфигурации используется RAID-1 и RAID-5на трех логических и девяти физических дисках по 10 Гб каждый.1. Как построить систему хранения на этих серверах?

2. Каким станет емкость логического диска в томе RAID-5, если вконфигурацию добавить еще один жесткий диск емкостью 10 Гб?

126 Конфигурирование cepsapoe Глава 3

Закрепление материала?J Приведенные ниже вопросы помогут вам лучше усвоить ос-


1 . Вы создаете проект сетевой инфраструктуры для музея науки, вкотором необходимо обеспечить отказоустойчивости серверов.Один из способов обеспечения отказоустойчивости— установкарезервных компонентов на критически важных серверах. О дуб-лировании каких компонентов серверов следует позаботиться впервую очередь?

2. В банке Woodgrove отмечены сбои серверов— оборудование пе-регревается, наблюдаются короткие замыкания и самопроизволь-ный перезапуск компьютеров при прикосновении к ним. Техникипроверили компьютеры, их компоненты и конфигурацию и необнаружили прямых причин неполадок. Что вы порекомендуете'1

3. В городской компании электроснабжения и освещения поддержи-вается большая база данных, необходимая для нормальной рабо-ты организации. В какой-то момент времени объем БД превысил6 Тб. Вы разрабатываете систему хранения данных для компаниии планируете обеспечить отказоустойчивость системы, централи-зованное хранение данных и простоту резервного копирования ивосстановления. Какой тип хранилища данных вы рекомендуетеустановить?

4. Вас пригласили спроектировать систему хранения данных для ин-ститута, занимающегося графическим проектированием. Объемданных компании составляет около 45 Гб. Руководство требуетобеспечить отказоустойчивость системы хранения данных за ми-нимально возможные деньги. Что вы порекомендуете?

Г Л А В А 4

Служба кластеровWindows 2000

Основные сведения о кластерах серверов 129

Проектирование конфигурации кластеров серверов 144

. Планирование групп ресурсов 156

Выбор модели кластера 157

-1. Проектирование серверного кластера 168


В этой главеСлужба кластеров — это одни из двух систем кластеризации, которыеприменяются в семействе серверных ОС Windows 2000. Сервер подуправлением Windows 2000 Advanced Server или Windows 2000 DatacenterServer, на котором работает служба кластеров, обеспечивает восстанов-ление при сбое тех серверных приложений и служб, которые должныработать с высокой надежностью и обеспечивать целостность данных,К подобным прикладным программам относятся приложения масш-таба предприятия— базы данных, файловые серверы, системы пла-нирования ресурсов предприятия (ERP) и обмена сообщениями.Служба кластеров разработана для ОС Microsoft Windows NT Server 4,а в Windows 2000 Advanced Server и Datacenter Server она значительноусовершенствована. Ее назначение — объединять несколько серверовв единый кластер, который характеризуется высокой надежностью илегкостью в управлении данными и программами, работающими навиртуальном сервере. Служба кластеров в Windows содержит службубалансировки сетевой нагрузки (Network Load Balancing. NLB), кото-рая позволяет создавать высоконадежные масштабируемые кластерыдля клиентских приложений и служб, таких, как сайты в Интернете ив интрасетях, Web-приложения, потоковые мультимедийные данныеи службы терминалов Microsoft. Из этой главы вы узнаете, как созда-вать кластеры на основе службы кластеров для повышения устойчи-вости сети с сбоям. Подробнее о балансировке сетевой нагрузки — вглаве 5.

Прежде всегоДля изучения материалов этой главы необходимы:• навыки администрирования Windows 2000 Advanced Server и созда-

ния сетей;* знание технологий кластеров, которые применяются для создания

высоконадежных приложений и служб.

и мастерах сервер

1 Основные сведения о кластерахсерверов

Высокая надежность в Windows 2000 Advanced Server и Windows 2000Datacenter Server обеспечивается тем, что серверы кластера берут на себявыполнение приложений и служб вышедшего из строя члена кластера.При этом кластер для пользователя выглядит как одна система — онназывается виртуальным сервером. Число виртуальных серверов, кото-рое можно организовать в кластере, ограничено лишь производитель-ностью серверов и емкостью устройств хранения информации. Класте-ры серверов управляются как единое целое и поддерживают удаленноеадминистрирование. Служба кластеров предоставляет множество пре-имуществ, например возможность обновления в процессе работы, бо-лее эффективное использование аппаратных ресурсов, повышение дос-тупности и более удобный доступ пользователей. На этом занятии рас-сказывается о различных компонентах кластера и службы кластеров.


s перечислить компоненты и объекты, из которыхсостоит служба кластеров;

^ рассказать об архитектуре кластера серверови о ее реализации в сети Windows 2000 Server.


Общие сведения о кластерахКластер (cluster) — это группа компьютеров, работающих совместнокак единое устройство для обеспечения постоянной доступностипользователям критически важных приложений и ресурсов. На каж-дом компьютере, или уме, кластера устанавливается ОС Windows 2000Advanced Server или Windows 2000 Datacenter Server. Все узлы подклю-чаются к одному или нескольким общим устройствам хранения. Тех-нология кластеризации позволяет пользователям и администраторамработать с узлами не по отдельности, а как с единой системой.

Служба кластеров (Cluster service) — это служба Windows 2000,которая состоит из компонентов, расположенных на каждом узле кла-стера и обеспечивающих работу кластера. Одной из важнейших за-дач, выполняемых этой службой, является управление ресурсами, тоесть аппаратными и программными компонентами кластера. Дляконтроля и управления ресурсами служба кластеров использует DLL-библиотеки ресурсов. Такие библиотеки обеспечивают уровень аб-

6-4791

страгирования от ресурсов, коммуникационных интерфейсов и опе-раций управления.

Технология к/астеров в Windows NT Server 4. EnterpriseEdition, называлась Microsoft Cluster Server и выполняла практическите же функции, что и служба кластеров Windows 2000.

Подключенный (online) ресурс доступен и может использоватьсякластером. К ресурсам относят физические устройства, напримердисководы и сетевые адаптеры, и логические элементы, такие, как IP-адреса, приложения и базы данных. Отдельные узлы кластера обла-дают собственными локальными ресурсами, однако в состав класте-ра также входят общие ресурсы, например общий массив храненияданных и внутренняя (частная) сеть кластера. Доступ к этим ресур-сам предоставляется всем узлам кластера. Следует особо отметить ре-сурс кворума (quorum resource) — специально выделенный в общемдисковом массиве кластера физический ресурс, играющий важнуюроль в кластерных операциях, Без него невозможны такие операциис узлами, как создание кластера и присоединение к нему нового узла.

Программное обеспечение кластераКластер серверов использует несколько программных компонентов,которые делятся на две катеюрии (таблица 4-1): программы, обеспе-чивающие работу кластера (ПО кластеризации), и программы адми-нистрирования кластера (административное ПО).

Таблица 4-1. ПО кластеризации и администрирования

Тип программного Описаниеобеспечения

ПО Поддерживает обмен специальными сообщениями,кластеризации предназначенными для управления операциями

с ресурсами и между узлам кластера. Основныеэлементы ПО кластеризации — монитор ресурсов(Resource Monitor) и служба кластеров (Clusterservice)

ПО администрирования, необходимое для наст-ройки, управления и наблюдения за состояниемкластера. Для этих целей в Windows 2000 приме-няется утилита Администратор кластеров (Clus-ter Administrator), которая устанавливается налюбой компьютер под управлением Windows NT 4Service Pack 3 или более поздней ОС независимоот того, яштяется ли этот компьютер узлом кластера

1 гъ -4

Компоненты кластера серверовВ Windows 2000 Advanced Server и Windows 2000 Datacenter Server ком-поненты кластера применяются для создания кластеров, что позво-ляет повысить надежность, улучшить управление и масштабируе-мость. В совокупности эти компоненты управляют объектами клас-тера. Взаимосвязь между различными компонентами кластера и про-граммным обеспечением в пределах одного узла показана на рис. 4-1,а их описание приведено в таблице 4-2.

Сценарии Администравтоматизации кластера кластере

•Приложени

держивакработу в кл,

,.!!..ц, под- _.щие "< *1 АР1 кпасте

? '

атор Сервер авто-матизации

'П

кластера

Сетевой драйвер [ ( J База данных

1

кластера кластераi .

' if ' '

Служба кластеров Монитор(ресурсе

•• - ' ч ' Т

1 API ресурс

i ,. ' " ' , . . . . 1 '

:* ' *Ь|) . «друшм узлам!

i

'••'-.''.'.,

ов

. DLL-библиотеки ресурсов L» не поддер-

*IP-адресработу

Диск в кластере ШУРис. 4-1. Компоненты службы кластеров

Таблица 4-2. Компоненты службы кластеров

Компонент Описание

Служба кластеров Совместно с другими экземплярами службы клас-теров управляет всеми кластерными операциями,в том числе конфигурацией и объектами кластера,уведомлениями о событиях, обеспечивает связьмежду компонентами и защиту от сбоев. На каж-дом узле кластера работает по одному экземпляруслужбы кластеров

(продолжение)Компонент Описание

Монитор ресурсов

Библиотеки ресурсов

Администраторкластеров

Серверавтоматизациикластера

База данных кластера

Сетевые драйверыи драйверы дисков

Посредник между службой кластеров и DLL-библиотеками ресурсов. Монитор ресурсов пере-дает запросы службы кластеров в соответствую-щую библиотеку, а из библиотеки возвращаетслужба кластеров информацию о состоянии исобытиях

Управляют определенными типами ресурсовкластера. Отдельная библиотека управляет однимили несколькими типами ресурсов

Управляющее приложение, необходимое длянастройки, управления и наблюдения за состоя-нием кластера. Позволяет управлять объектамикластера, организовывать группы ресурсов, ини-циирует операции восстановления после сбоев,применяется для операций по обслуживанию ивыполняет мониторинг работы кластера

Предоставляет набор 32-битных СОМ-объектовдля программирования на любом языке созданиясценариев, поддерживающем автоматизацию.Сервер автоматизации кластера позволяет вы-полнять объектно-ориентированную разработкуи использовать языки высокого уровня, такимобразом упрощая создание приложенийуправления кластером

Располагается в реестре каждого узла кластера вотдельной кластерной ветке (cluster hive), котораясодержит информацию обо всех физических илогических элементах кластера, его объектах, ихсвойствах и конфигурации. Для поддержки акту-ального состояния базы данных кластера службакластеров регулярно выполняет глобальные об-новления и периодически сверяет версии. Копиябазы данных кластера также хранится на ресурсекворума

Следят за состоянием связей между узлами клас-тера, обнаруживают сбои в подключениях имаршрутизируют сообщения. На каждом узлекластера имеется свой сетевой драйвер

(продолжение)API кластера Интерфейс между утилитой Администратор

кластеров, сервером автоматизации, службойкластеров и приложениями, поддерживающимиработу с кластерами

API ресурсов Интерфейсы с любыми мониторами и библиотекресурсов

IP-адрес и диск Ресурсы различных типов

Объекты кластера серверовСлужба кластеров управляет физическими и логическими единица-ми, или объектами мастера (cluster objects). Каждому объекту сопос-тавляются следующие атрибуты, элементы управления и функции:• одно или несколько свойств или атрибутов, описывающих объект

и выполняемые им функции в кластере;• набор управляющих кодов кластера, используемых для изменения

свойств объекта;• набор управляющих функций, используемых службой кластеров

для управления объектом.

В следующих разделах рассказано об объектах, управляемых служ-бой кластеров.

СетиСеть в кластере выполняет одну из следующих ролей:• роль частной сети, поддерживающей внутренние подключения в

кластере;• роль обшей сети, предоставляющей клиентским системам доступ

к прикладным службам кластера;• роль смешанной сети, поддерживающей внутренние подключения

и предоставляющей клиентским системам доступ к прикладнымслужбам кластера;

• роль сети, не являющейся частной или общей и переносящей тра-фик, не имеющий отношения к кластерным операциям.

Предотвращение сбоев сетиДля реализации внутренних подключений служба кластеров исполь-зует все доступные частные и смешанные сети. Для защиты кластераот единичных сбоев в сети следует организовывать несколько част-ных или смешанных сетей. Если в вашей ИТ-системе лишь одна сеть,то в случае сбоя теряется связь между узлами кластера. Два узла, неспособные взаимодействовать друг с другом, называются разделении-

ми (partitioned). В случае разделения двух узлов служба кластеров авто-матически останавливается на одном из них— это позволяет обеспе-чить целостность данных и конфигурации кластера. В противном слу-чае ресурсы кластера стали бы недоступными клиентским системам.

Межузловые подключенияСлужба кластеров никогда не использует общую сеть для внутреннейсвязи, даже если это единственная доступная сеть. Если в кластересуществуют две сети, например сеть А, работающая как частная, иобщая сеть В, то в случае сбоя сети А узлы кластера потеряют связьдруг с другом, так как служба кластеров не сможет перейти на сеть В.

Сетевые интерфейсыСетевой интерфейс— это сетевая карта или любой другой сетевойадаптер, соединяющий компьютер с сетью. Операционные системыWindows 2000 Advanced Server и Windows 2000 Datacenter Server отсле-живают все сетевые интерфейсы в кластере, благодаря чему програм-мам управления кластером, например администратору кластера, дос-тупна информация о состоянии всех сетевых интерфейсов в класте-ре. Кроме того, Windows 200Q автоматически обнаруживает добавле-ние и отключение сетевых интерфейсов.

УзлыЧлены кластера называются узлами. Windows 2000 Advanced Serverподдерживает кластеры, состоящие из двух узлов, a Windows 2000Datacenter Server — из четырех узлов. Узлы кластера должны выпол-нять функции контролеров домена или рядовых серверов, прошед-ших аутентификацию на контроллерах домена, Узлы содержат соб-.ственные ресурсы, например жесткий диск и выделенный сетевойадаптер для подключения к частной сети кластера, а также обладаютобщим доступом к ресурсам кластера, расположенным во внешнемхранилище, которое называется диском кластера.

Каждый узел напрямую или через концентраторы или коммутато-ры Fibre Channel подключается к одному или нескольким кластер-ным накопителям. Каждый такой накопитель состоит из массивовдисков, отдельные массивы работает в одном из режимов RAID.Обычно каждому массиву присваивается собственный номер логичес-кого устройства (logical unit number, LUN), а каждому LUN или ло-гическому диску сопоставляется спой идентификатор SCSI. В консо-ли Управление дисками (Disk Manager) Windows 2000 интерпретируеткаждый LUN как отдельный физический диск. На этих дисках хра-нится вся информация о конфигурации и ресурсах кластера. В любоймомент времени доступ к диску предоставляется только одному узлу

кластера, но права на доступ разрешается передавать между узлами.Таким образом, у каждого узла есть доступ ко всем данным кластера.

В совокупности все узлы кластера объединяются под общим именемкластера, которое используется для доступа и управления"кластером.

Группы ресурсовГруппа ресурсов — это логическое объединение ресурсов кластера.Обычно они создаются из логически взаимосвязанных ресурсов, на-пример из приложений и связанных с ними данных и периферийныхустройств. Однако группы можно создавать только из соображенийудобства администрирования, например группы имен и IP-адресоввиртуальных серверов. В любой момент времени группа ресурсов при-надлежит только одному узлу и на этом узле должны присутствовать(то есть существовать) все ресурсы группы. Ресурсы одной группы немогут принадлежать разным серверам кластера.

Каждой труппе ресурсов сопоставляется общая для всего кластераполитика, определяющая, какой сервер кластера является основным(предпочтительным) для данной группы и какому серверу передаетсягруппа в случае сбоя основного узла. Кроме того, каждая группа име-ет служебное сетевое имя и адрес, которые сетевые клиенты исполь-зуют для подключения к сервисам, предоставляемым данной группой.Группы ресурсов, как правило, поддерживают восстановление присбое, кроме того, они неделимы и в случае отказа своего узла полно-стью поступают в распоряжение другого доступного узла кластера.

Каждый ресурс в группе как правило зависит от других ресурсовкластера. Зависимость (dependency) — это отношение между ресурса-ми кластера, указывающие, какие ресурсы должны быть запушены идоступны, чтобы стал возможным запуск данного ресурса. Например,база данных зависит от диска, IP-адреса и сетевого имени, и толькокогда доступны все эти три ресурса, ее удается запустить и сделатьдоступной другим службам и клиентам.

Отношения зависимости ресурсов рассматриваются лишь в преде-лах одной группы — они не простираются за пределы группы, посколь-ку восстановление после сбоя, подключение и отключение различныхгрупп ресурсов выполняется независимо для каждой группы.

Три наиболее важные понятия управления группами ресурсов —это виртуальные серверы, перемещение и восстановление после сбоя.

Виртуальные серверыОдно из преимуществ службы кластеров заключается в предоставле-нии выполняющихся в кластере приложений и служб пользователями рабочим станциям в виде виртуальных серверов. Для пользователей

и клиентов продесс подключения к приложению или службе клас-терного виртуального сервера полностью аналогичен подключению кодному физическому серверу. Подключение к виртуальному серверуспособен поддерживать любой узел кластера, причем ни пользова-тель, ни клиентское приложение не знают, на каком узле на самомделе расположен виртуальной сервер,

Примечание Любые приложения или службы, не рассчитанные наработу в кластере, могут выполняться на узле кластера без использова-ния виртуальных серверов.

В кластере можно организовать несколько виртуальных серверов,поддерживающих различные приложения (рис. 4-2).

Имя кластера

Узел 1

Виртуальный.. сервер 1

! Виртуальныйсервер 2

Узел 2

Виртуальныйсервер 3

Виртуальныйсервер 4

Рис. 4-2. Физическое представление виртуальных серверовпол управлением службы кластеров

На рис. 4-2 показан кластер, состоящий из двух узлов и содержа-щий четыре виртуальных сервера: по два на каждом узле. Служба кла-стеров управляет виртуальным сервером как группой ресурсов. Такаягруппа содержит два ресурса — IP-адрес и сопоставленное ему сете-вое имя.

Клиентские подключения к виртуальному серверу осуществляют-ся в клиентских сессиях, в которых известен лишь IP-адрес, публи-куемый службой кластеров в качестве адреса виртуального сервера.Со стороны клиента кластер выглядит просто как набор сетевых имени IP-адресов (рис. 4-3).

Как показано на рис. 4-3, клиенту известны лишь IP-адреса и се-тевые имена, ему не требуется знать физическое расположение вир-туальных серверов. Такой подход позволяет службе кластеров орга-низовывать высокодоступную поддержку приложений, выполняю-щихся в виде виртуальных серверов.

Узел 1

IP Address: ;

1.1.1.2Сетевое

имяWH EC Model

Узел 2

IP Address:1.1.1.3

Сетевоеимя

WHECNode2

Виртуаль-ный

сервер 1

InternetInformation

Services

IP Address:1.1.1.4


WHEC-VS1


сервер 2

MTS, 'MSMO

IP Address:1.1.1.5

Сетевое :

имяWHEC-VS2


сервер 3

Microsoft ;Exchange i

HP Address:1.1.1.6


WHEC-VS3


сервер 4

SQL. Server

IP Address:1.1.1.7


WHEC-VS4

Рис. 4-3. Вид виртуальных серверов со стороны клиента

В случае сбоя приложения или сервера служба кластеров переме-шает группу ресурсов виртуального сервера на другой узел кластера.Клиент обнаруживает сбой и пытается восстановить подключения сиспользованием прежних данных. Повторное подключение возмож-но благодаря тому, что в ходе перемещения после сбоя служба клас-теров сопоставляет опубликованный IP-адрес виртуального серверауцелевшему узлу кластера. Клиенту совсем не обязательно знать, чтоиспользуемое им приложение теперь выполняется на другом узле кла-стера.

Обратите внимание, что таким образом обеспечивается высокаядоступность приложения или службы, но если приложение не сохра-няет данные клиентской сессии на диске для их восстановления пос-ле сбоя, то вся информация потерпевшей сбой сессии теряется. Служ-ба кластеров обеспечивает доступность приложения, но не предос-тавляет дополнительной зашиты от сбоев, кроме реализованной в са-мом приложении. Например, служба DHCP сохраняет данные кли-ента и способна восстанавливать нарушенные сессии. Информация орезервировании IP-адресов DHCP-клиентов фиксируется в базе дан-ных DHCP. При сбое сервера базу данных DHCP перемешают на дру-гой доступный узел, перезапускают службу DHCP и пользуются вос-становленными клиентскими данными из базы данных DHCP.

Перемещение при сбоеПри сбоях оборудования или приложений служба кластеров автома-тически выполняет перемещение (failover) на доступный узел. Крометого, вы вправе выполнить переход вручную. В обоих случаях алго-ритм зашиты работает одинаково за исключением того, что в случаеручного перехода работа ресурсов завершается корректно, а не при-нудительно, как в случае сбоя.

При сбое узла кластера принадлежащие ему группы ресурсов пе-реносятся на один или несколько доступных серверов. Автоматичес-кое перемещение при сбое похоже на плановое административноеперераспределение ресурсов за исключением того, что последствияавтоматического перемещения более сложно предсказать, посколькуна сбойном узле невозможно корректно завершить работу ресурсов.

При переходе служба кластеров определяет группы ресурсов, вы-полнявшиеся на вышедшем из строя узле, и решает, на какие узлыпереносить те или иные группы. Все узлы кластера, способные при-нять соответствующие группы ресурсов «договариваются» между со-бой о владении этими группами. Согласование выполняется на осно-вании информации о производительности узлов, их текущей загруз-ке, совместимости с приложениями или списке приоритетов узлов.Список приоритетов узлов входит в свойства группы ресурсов и ис-пользуется при выделении группы тому или иному узлу. После завер-шения согласования все узлы кластера обновляют свои базы данныхи продолжают отслеживать, кому принадлежат группы ресурсов.

В списке узлов, составленном с учетом их приоритета, для каждойгруппы ресурсов обычно указывают основной и один или несколькоальтернативных узлов. Таким образом реализуется каскадное переме-щение при сбое (cascading faiiover): группа ресурсов выдерживает пос-ледовательный сбой узлов, каждый раз перемешаясь на следующийсервер согласно списку узлсв. Администраторы кластера определяютразные списки для отдельных групп ресурсов, и в случае сбоя на узлевсе его группы распределятся среди уцелевших узлов кластера.

Альтернативой каскадной защите от сбоев является перемещение<<N+1» (N-H failover) В этом случае в списках приоритетов всех группкластера определяют резервные узлы, на которые перемещаются ре-сурсы при первом сбое. Резервные узлы— это серверы, не несущиеникакой нагрузки, или серверы, нагрузку которых в случае необхо-димости можно заменить задачами сбойного узла.

Ключевую роль в выборе между каскадным переходом и перехо-дом «N+1» играет распределение резервных мощностей в кластере,применяемых для восполнения потери сервера. В первом случае пред-полагается, что у серверов кластера имеется определенный запас про-изводительности и они способны принять на себя часть нагрузкивышедшего из строя сервера, а во втором основной запас производи-тельности обеспечивается резервным сервером (сервером «+!»).

Восстановление после сбояПри восстановлении работоспособности узла Диспетчер перемеще-ния при сбое (Failover Manager), который отвечает за управление ре-

сурсами и группами и инициацию операции перемещения, можетпринять решение о возвращении некоторых групп ресурсов на узел.Такой процесс называется восстановлением после сбоя (fallback). Воз-врат группы ресурсов на восстановленный узел происходит в том слу-чае, когда в свойствах группы указан основной владелец данных ре-сурсов. Группы, основным владельцем которых является сбойныйузел, возвращаются на него после восстановления работоспособнос-ти или перезапуска данного узла. Служба кластеров не возвращаетгруппы во время пиковых нагрузок на кластер, а также в случае не-корректного восстановления или перезапуска узла. В свойствах группресурсов можно определить время суток, когда разрешен возвратгруппы на восстановленный узел, атакже максимальное число попы-ток возврата,

РесурсыРесурсом называется любой физический или логический компонент,который:• поддерживает подключения и отключения;• управляем в составе кластера;• принадлежит только одному узлу в любой момент времени.

В процессе управления ресурсами служба кластеров взаимодей-ствует с DLL-библиотеками ресурсов средствами Диспетчера ресур-сов (Resource Manager). При поступлении запроса к ресурсу от служ-бы кластеров Диспетчер ресурсов вызывает входную точку функцииDLL ресурса для проверки и управления состоянием ресурса.

Зависимые ресурсыЗависимые ресурсы (dependent resources) — это ресурсы, для работыкоторых требуются другие ресурсы— поддерживающие (dependency).Например, сетевому имени необходимо сопоставить IP-адрес, поэто-му сетевое имя зависит от ресурса «IP-адрес». Зависимые ресурсыотключаются раньше поддерживающих, а подключаются— позже.Ресурс часто зависит от нескольких других ресурсов.

Ресурсу можно назначить список узлов, на которых ему разреше-но работать, то есть основных узлов. При объединении ресурсов в груп-пы необходимо учитывать их зависимости и основные узлы.

Дерево зависимостей представляет собой наборы отношений зави-симости. Например, ресурс SQLServer зависит от сетевого имениSQL Server, которое в свою очередь, зависит от IP-адреса. Зависимыйресурс и все его поддерживающие ресурсы должны относиться к од-ной группе.

Архитектура службы кластеровСлужба кластеров создана как набор автономных компонентов, ра-ботающих совместно с ОС Windows 2000 Advanced Server или Win-dows 2000 Datacenter Server Такая архитектура позволяет избежатьсложных схем синхронизации работы службы кластеров и операци-онной системы. Однако для поддержки кластеров необходимо вне-сти определенные изменения в базовую ОС:• обеспечить поддержку динамического создания и удаления сете-

вых имен и адресов;• изменить файловую систему, чтобы обеспечить возможность зак-

рывать открытые файлы при отключении диска;• настроить систему ввода/вывода на совместное использование

дисков и томов несколькими узлами.

Это практически все изменения — остальные функции поддерж-ки работы с кластерами располагаются поверх Windows 2000.

Служба кластеров базируется на модели «shared-nothing» («без об-щих ресурсов») кластерной архитектуры. Эта модель определяет спо-собы управления и использования локальных и общих ресурсов сер-верами кластера. В кластере «shared-nothing» каждый сервер владеети управляет собственными локальными ресурсами. Общие устройствакластера, такие, как общие диски и среда связи, в каждый моментвремени управляются и принадлежат одному серверу.

Модель «shared-nothing» облегчает управление дисками и стандар-тными приложениями. Она не требует применения специальных при-ложений и установки дополнительных физических соединений и по-зволяет службе кластеров работать со стандартными приложениямии дисками Windows 2000 и Windows NT.

В локальных устройствах хранения и передачи информации служ-ба кластеров использует стандартные драйверы Windows 2000. Крометого, она поддерживает несколько способов связи с общими внешни-ми устройствами, доступ к которым необходим всем серверам клас-тера. Обычно в кластерах применяются внешние SCSI-устройствахранения информации, поддерживающие как стандартный интер-фейс SCSI на PCI-шине, так и SCSI на Fibre Channel и SCSI-шину смножественными инициаторами.

В подключениях Fibre Channel используются SCSI-устройства.расположенные не на шине SCSI, а на Fibre Channel. По сути, в такихподключениях технология Fibre Channel инкапсулирует SCSI-коман-ды и позволяет службе кластеров применять привычные ей SCSI-ко-манды. Технология Fibre Channel поддерживает подключения со ско-

ростью до I Гбит/с и отображение стандартных транспортных прото-колов, таких, как SCSI и IP, объединяя сетевые технологии и высо-коскоростной ввод/вывод в единой коммуникационной технологии.Fibre Channel позволяет устранить ограничения стандартных техно-логий, накладываемые на расстояние и адресное пространство.

На рис. 4-4 показаны компоненты кластера, состоящего из двухузлов, (его можно создать из серверов под управлением Windows 2000Advanced Server, Windows 2000 Datacenter Server или Windows NT Server 4Enterprise Edition) с общими устройствами хранения информации набазе SCSI или Fibre Channel.

Клиентские компьютеры

.Интрасеть

Частная сеть кластерадля передачи информациио пульсе, состояниии управлении

Серверыкластера

'•• лГSCSI с множественными инициаторами или Fibre Channel

RAID-массивы

Рис. 4-4. Кластер, состоящий из двух узлов под управлениемWindows 2000 Advanced Server, Windows 2000 DatacenterServer или Windows NT Server 4 Enterprise Edition

Windows 2000 Datacenter Server поддерживает кластеры, состоящиеиз четырех узлов, и требует использования подключений Fibre Channel.


Коммутаторы Fiber Channel

Рис. 4-5.

RAID-массивы

Кластер, состоящий из четырех узлов под управлениемWindows 2000 Datacenter Server

Диск кворумаДиск кворума (quorum disk) — диск системы, которому присвоен ста-тус ресурс кворума (quorum resource). Это один из самых важных ком-понентов системы хранения информации в кластере. Диск кворума —это постоянное отказоустойчивое хранилище информации кластера.в котором хранятся сведения о конфигурации кластера. Каждый узелкластера должен иметь доступ к узлу, владеющему этим диском. Дан-ные о конфигурации хранятся в виде журналов восстановления и со-держат подробную информацию обо всех изменениях в базе данныхкластера. Таким образом обеспечивается независимое от отдельныхузлов хранение данных о конфигурации и состоянии кластера.

Ресурс кворума и база данных кластераБаза данных является неотъемлемой составляющей кластера. Присоздании кластера или присоединении к нему нового узла службакластеров обновляет частную копию базы данных кластера на узле,При присоединении узла служба кластеров может получить необхо-димые данные от других активных узлов кластера, но в момент фор-мирования кластера других активных узлов нет. Служба кластеровиспользует журналы восстановления, расположенные на ресурсе кво-

рума, для обновления базы данных. Windows 2000 использует ресурскворума для обеспечения целостности кластера, разрешая только од-ному набору активных и поддерживающих связь друг с другом узловвыполнять функции кластера. Узел имеет право сформировать клас-тер, только если он владеет ресурсом кворума. Узел присоединяетсяили остается в кластере, только если имеет возможность связаться сузлом, контролирующем ресурс кворума.

РезюмеКластер — это группа совместно работающих, независимых компью-теров, которые обеспечивают пользователям доступ к критическиважным приложениям и службам. Служба кластеров представляетсобой набор компонентов, расположенных на каждом узле, входящемв кластер. Аппаратные и программные компоненты кластера, управ-ляемые службой кластеров, называют ресурсами. ПО кластера состо-ит из программ двух типов: ПО кластеризации и административноеПО. В Windows 2000 Advanced Server и Windows 2000 Datacenter Serverкластеры базируются на нескольких компонентах, среди которыхслужба кластеров, Диспетчер ресурсов, библиотеки ресурсов, Адми-нистратор кластеров, Сервер автоматизации кластера, база данныхкластера и сетевые и дисковые драйверы. Физические и логическиеединицы, управляемые службой кластеров, называются объектамикластера. В их число входят сети кластера, сетевые интерфейсы, узлы,группы ресурсов и ресурсы, Служба кластеров основана на модели«share-nothing» кластерной архитектуры. Одним из самых важныхкомпонентов системы хранения информации в кластере являетсядиск кворума — диск системы, которому присвоен статус ресурс кво-рума. Неотъемлемой составляющей кластера является кластерная базаданных.

Занятие 2^ Проектирование конфигурациикластеров серверов

Служба кластеров Windows 2000 Advanced Server и Windows 2000 Data-center Server представляет собой основу для создания серверных кла-стеров. В случае сбоя или отключения одного из серверов кластераего функции берет на себя другой сервер из того же кластера, при этомработа клиентов, использовавших ресурсы вышедшего из строя сер-вера, прерывается ненадолго или не прерывается вовсе, посколькуподдержка данных ресурсов передается другому серверу. При созда-нии в сети кластеров следует учесть множество факторов и подгото-вить среду, которая обеспечит поддержку работы кластеров. Напри-мер, следует определить приложения, которые будут работать на кла-стере, а также политики перемещения при сбое для групп ресурсов.На этом занятии рассказывается о характеристиках кластера серве-ров, которые следует учесть при разработке архитектуры сети.

Изучив материал этогс занятия, вы сможете:

s спроектировать серверный кластер и определить, какиесбои способны нарушить доступ к ресурсам;

/" выбрать приложения для работы на кластере;^ определить политику перемещения при сбое для групп

ресурсов, выбрать модель домена и спланировать группыресурсов.


Проектирование кластера серверовКластер проектируется в несколько этапов: определяются сетевыериски, выбираются приложения для выполнения в кластере, моделидомена и модели кластера, создаются группы ресурсов, определяют-ся политики перемещения при сбое, создается устойчивое к сбоямхранилище информации и определяются требования к программно-му и аппаратному обеспечению.

Определение сетевых рисковКластеры на основе Windows 2000 используются для повышения на-дежности работы, однако с их помощью невозможно защитить всезадействованные в работе компоненты в любой ситуации. Например.кластеры нельзя рассматривать как альтернативу резервному копи-

рованию данных, — они лишь обеспечивают постоянный доступ кданным, но не их целостность.

При планировании кластера следует определить точки критичес-кого сбоя {single point of failure) и попытаться сократить их число, атакже создать механизмы обеспечения работоспособность служб вслучае сбоев.

Кроме службы кластеров Windows 2000 Advanced Server и Win-dows 2000 Datacenter Server содержат и другие встроенные средствадля зашиты от сбоев определенных процессов. В их число входят двавида RAID-массивов; массивы с зеркалированием (RAID-1) и чере-дованием с контролем четности (RAID-5). Однако не стоит забыватьо том, что RAID-технологии применяются лишь для защиты внутрен-них дисков компьютера, их нельзя применять для внешних накопи-телей кластера.

Для повышения надежности работы сети и предотвращения поте-ри данных следует:• воспользоваться запасными дисками и контроллерами для заме-

ны. При этом все запасные части и узлы, включая SCSI-устрой-ства и сетевое оборудование, должны быть полностью аналогич-ны используемым в системе. Стоимость двух запасных SCSI-кон-троллеров может оказаться ничтожной в сравнении с потерями,вызванными недоступностью данных для сотен клиентов;

• рассмотреть возможность использования источников бесперебой-ного питания (ИБП) как для отдельных компьютеров, так и длясетевого оборудования в целом, а также для концентраторов, мос-тов и маршрутизаторов. Семейство серверных ОС Windows обес-печивает поддержку ИБП. Многие ИБП позволяют обеспечитьдополнительные 5—20 минут работы системы после отключенияпитания — этого вполне достаточно для штатного завершения ра-боты операционной системы.

Выбор приложений для работы в кластереДля работы в кластере можно настроить многие, но отнюдь не всеприложения. Кроме того, не все приложения, которые поддержива-ют работу в кластере, необходимо размешать в кластере. Известен рядкритериев, по которым определяют, можно ли приложение настро-ить для поддержки перемещения при сбое в кластере. Вот они.• Чтобы работать в кластере, приложение должно поддерживать се-

тевые подключениями по протоколам TCP/IP, DCOM, NamedPipes или RPC поверх TCP/IP. Приложения, работающие толькопо протоколам NetBEUI или IPX, не могут использовать кластер-ную систему перемещения при сбое.

• Приложение должно поддерживать хранение своих данных в оп-ределяемом потребностями кластера месте, например на дисках,подключенных к общей шине. Некоторые приложения, не поддер-живающие изменение места хранения своих данных, могут обес-печить перемещение при сбое, но при этом при сбое все данныеэтих приложений теряются, поскольку располагаются на дискахвышедшего из строя узла,

• Приложение должно поддерживать аутентификацию по протоко-лу NTLM. Клиентов Kerberos нельзя использовать для аутентифи-кации подключения к виртуальному серверу.

Есть и еше одно условие: клиентские приложения должны уметьвосстанавливать сбойные сетевые подключения. Во время восстанов-ления после сбоя в кластере сетевое подключение клиента временнонарушается. Если клиентское приложение способно установить по-вторное подключение после потери связи, по завершении перемеще-ния узла кластера оно сможет продолжить свою работу.

Поддержка работы приложений в кластерахПриложения, поддерживающие перемещение при сбое, подразделя-ют на две группы: поддерживающие и не поддерживающие взаимо-действие с кластерным API-интерфейсом. Первые называют поддер-живающими работу в кластерах (cluster aware). Такие приложенияспособны регистрироваться в службе кластеров и получать оповеще-ния и информацию о текущем состоянии, а также использовать APIкластера для управления им. Приложения, не способные работать скластерным API, называют не поддерживающими работу в кластерах(cluster unaware). Тем не менее, если такое приложение поддерживаетTCP/IP и взаимодействие с удаленными хранилищами, то его можноиспользовать в кластере и иногда даже применять к нему механизмыперемещения при сбое.

Если важная для работы приложения информация хранится в опе-ративной памяти, то независимо от группы, к которой оно принадле-жит, его нельзя запускать в кластере, поскольку при перемещениипри сбое сохраняется лишь информация, сохраненная на дисках.

Выбор модели доменаУзлы кластера должны принадлежать одному домену. Узлы под управ-лением Windows 2000 Advanced Server или Windows 2000 DatacenterServer могут выполнять функции рядовых серверов или контроллеровдомена. Если все узлы кластера являются контроллерами домена, сле-дует учесть, что на них ложится дополнительная нагрузка, связанная споддержкой работы домена. Если же узлы кластера являются рядовы-

Занятае 2 Проектирование конфигурации кластеров

ми серверами, необходимо обеспечить высокую доступность контрол-лера домена, так как от него зависит работоспособность кластера.

В больших сетях Windows 2000 контроллеры домена зачастую оченьзагружены репликацией и аутентификацией пользователей. Поэтомуна контроллерах домена не следует устанавливать такие приложения,как Microsoft SQL Server и Message Queuing, так как это может сни-зить общую производительность кластера. Однако в очень небольшихсетях, где редко изменяется информация об учетных записях, а сете-вой вход и выход пользователей происходит нечасто, контроллерыдомена разрешено использовать в качестве узлов кластера.

Выбор модели кластераИзвестны различные модели кластеров, и выбирать нужно ту, чтонаилучшим образом соответствует потребностям вашей организации,Подробно о выборе модели кластера рассказано в занятии 3.

Создание групп ресурсовОбъединение приложений и других ресурсов в группы .разбито нашесть этапов: перечисление серверных приложений; сортировку спис-ка приложений; перечисление остальных ресурсов; перечисление за-висимостей каждого из ресурсов; предварительное группирование;окончательное разнесение по группам. Подробно о каждом из нихрассказано в следующих разделах.

Перечисление серверных приложенийСоздайте список всех приложений, которые будут работать на узлахкластера независимо от того, взаимодействуют ли они со службойкластеров. Требуемый объем ресурсов определяют, суммируя ресур-сы, необходимые для всех групп ресурсов и приложений, которыебудут работать независимо от службы кластеров.

Сортировка списка приложенийРазделите приложения на те, что будут выполнять перемещение присбое, и прикладные программы, в которых эта функция не использу-ется (например, из-за того, что это неудобно, не нужно или невоз-можно). Хотя для таких приложений не назначаются политики пере-мещения при сбое и они не объединяются в группы, тем не менее наних тратится часть ресурсов сервера.

Примечание Перед перенесением приложения в кластер проверьте,разрешает ли это его лицензия, или посоветуйтесь с поставщиком. Увсех поставщиков ПО имеются правила лицензирования работы ихприложений в кластерах.

Перечисление остальных ресурсовОпределите оборудование, подключения и операционные системы,которые можно защитить средствами кластера. Например, поручитьслужбе кластеров перемещение при сбое спулеров печати и файло-вых серверов, обеспечивая клиентам бесперебойный доступ к служ-бам печати и файлам. В обоих случаях затрачиваются ресурсы серве-ра, например оперативная память, которая необходима для обслужи-вания клиентов.

Перечисление зависимостей каждого из ресурсовК этому времени у вас должен быть полный список ресурсов. Разде-лите ресурсы на основные и поддерживающие. Например, ресурсSQL Server является основным, а ресурсы «сетевое имя», «IP-адрес» и«диск» его поддерживают. Чтобы служба кластеров не разделяла за-висимые ресурсы, их всех следует объединить в одну группу.

Предварительное группированиеТеперь, после создания списка всех ресурсов и зависимостей междуними, можно перейти к предварительному разнесению этих ресурсовна группы. Во многих случаях эта операция вполне очевидна, так какгруппировку определяют зависимости между ресурсами.

При объединении ресурсов в группы придерживайтесь следующихправил:• все ресурсы, связанные отношениями зависимости, следует отно-

сить к одной группе;• ресурс нельзя располагать в нескольких группах одновременно.

Например, если от определенного ресурса зависят несколько при-ложений, сам ресурс и все эти приложения следует объединить в однугруппу. Предположим, Web-сервер предоставляет доступ к Web-стра-ницам, открывающим клиентам доступ к базе данных SQL. Если по-местить Web-сервер и базу данных SQL в одну группу, данные дляэтих приложений удастся разместить на одном разделе диска. Далее,поскольку оба приложения относятся к одной группе, ей можно на-значить также отдельный IP-адрес и сетевое имя.

При отсутствии ограничений, определяемых зависимостями меж-ду ресурсами, группы обычно организуют из соображений удобстваадминистрирования. Например, ресурсы совместного доступа к фай-лам и спулера печати вместе с зависимыми ресурсами можно объеди-нить в одну группу, поскольку совместный просмотр этих приложе-ний облегчает администрирование сети. В пределах той части орга-низации, которую обслуживает данная группа, ей можно дать уни-кальное имя. например «Администрирование печати и файловогодоступа». Если требуется внести изменения в порядок разделения

файлов и принтеров этого отдела, обратитесь к соответствующейгруппе в утилите Администратор кластеров.

Окончательное разнесение по группамПосле составления списка ресурсов, которые следует объединить вгруппы, каждой группе присваивают уникальное имя и строят деревозависимостей. Дерево зависимостей позволяет наглядно представитьотношения зависимости между ресурсами.

Чтобы создать дерево зависимостей, выпишите все ресурсы груп-пы и проведите стрелки от каждого ресурса ко всем, напрямую под-держивающим его ресурсам.

Прямая зависимость между ресурсами А и В подразумевает чтомежду ними нет промежуточных ресурсов, и случае же наличия тран-зитивных связей, говорят о косвенной зависимости. Например, еслиресурс А зависит от ресурса В, а ресурс В зависит от ресурса С, то меж-ду ресурсами А и С существует косвенная зависимость,

На рис. 4-6 показан пример окончательно сформированной груп-пы ресурсов и дерево их зависимостей.

Ресурс совместного доступа к файлам

Рнс. 4-6. Простое дерево зависимостей

В изображенной на рис. 4-6 группе ресурс совместного доступа кфайлам зависит от ресурса «Сетевое имя», который в свою очередь за-висит от ресурса «IP-адрес». Однако прямой зависимости между ре-сурсами совместного доступа к файлам и IP-адресом не существует.

Определение политики перемещения при сбое для группресурсовКаждой группе ресурсов в кластере следует сопоставить политикиперемещения при сбое, причем вы вправе выбрать наиболее подхо-дящее правило для каждой созданной группы. Политики перемеще-ния при сбое четко определяют поведение группы в случае сбоя ипозволяют определить три параметра.

• Failover Timing (порядок перемещения) — перемещение при сбоевыполняется немедленно после сбоя или после определенногочисла попыток перезапустить группу ресурсов. Если имеется воз-можность устранить сбой ресурса путем перезапуска группы ре-сурсов, следует настроить службу кластеров на перезапуск груп-пы.

• Preferred Node (основной узел) — вы вправе настроить группу ре-сурсов таким образом, чтобы ею владел лишь определенный, илиосновной, узел кластера при условии, что он доступен. Это полез-но, когда один из узлов лучше оборудован для поддержки даннойгруппы ресурсов.

• Fallback Timing (порядок восстановления после сбоя) — возврат груп-пы ресурсов на основной узел можно осуществить немедленнопосле восстановления этого узла или в определенное время суток.например, когда нагрузка на кластер невысока.

Создание устойчивого к сбоям хранилища информацииВ состав многих групп входят дисковые ресурсы, такие, как диски наобщих шинах. Иногда это просто физические диски, но чаще эти ре-сурсы представляют собой сложные дисковые подсистемы, состоя-щие из множества дисков. Почти все группы ресурсов зависят от дис-ков на общей шине. Неустранимый сбой дискового ресурса влечет засобой сбой всех зависящих от него групп.

Поэтому стоит применять особые методы защиты дисков и диско-вых подсистем от сбоев. Чаще всего используют аппаратные RAID-массивы, гарантирующие высокую надежность хранения данных надисках кластера. Некоторые из аппаратных RAID-решений устойчи-вы к сбоям, то есть даже при выходе из строя одного из членов мас-сива данные не теряются. Кроме того, можно использовать внутрен-нюю или внешнюю сеть хранения данных (SAN).

[не! В кластерах нельзя применять диски, отказоустойчивостькоторых обеспечивается программными средствами.

Аппаратные RAID-массивыВ слиске совместимого аппаратного обеспечения Windows (MicrosoftWindows Hardware Compatibility List) перечислено множество аппа-ратных решений кластеров с использованием технологии RAID. Вомногих аппаратных решениях RAID в единой стойке объединяетсянекоторое избыточное число цепей питания, шин и кабелей и отсле-живается состояние каждого компонента массива, что позволяет дос-

тигать высокой надежности хранения данных за счет резервированияи предотвращения возникновения точек критического сбоя (singlepoint of failure). В состав аппаратного RAID-решения может входитьвыделенный процессор и кэш. Windows 2000 поддерживает взаимо-действие с такими дисками, как со стандартными ресурсами.

Примечание При создании аппаратных RAID-решений следует пре-дусматривать резервные контроллеры RAID-массива, чтобы они ни вкоем случае не стали точкой критического сбоя.

Сети хранения данныхСеть хранения данных (System Area Network, SAN) — это высокоско-ростная специализированная сеть (или подсеть), соединяющая раз-личные устройства хранения с выделенным сервером данных от име-ни более крупной пользовательской сети. Обычно такие сети пред-ставляют собой часть общей вычислительной сети, поэтому они раз-мещаются близко к другим ресурсам. Однако в некоторых случаяхустройства резервного копирования и архивирования данных распо-лагаются отдельно от остальных устройств, и тогда сеть хранения дан-ных охватывает большие территории, используя такие WAN-техно-логии, как ATM или SONET.

Сети хранения данных позволяют создавать зеркалированные дис-ки, резервные копии, а также восстанавливать данные, архивироватьи извлекать их из архива, переносить данные между устройствамихранения и обеспечивать совместное использование данных несколь-кими серверами сети. Сети хранения данных могут содержать под-ключенные к сети устройства хранения.

Определение требований по производительностиПосле определения решаемых кластером задач необходимо опреде-лить число серверов, входящих в его состав, и их характеристики —объем оперативной памяти и дисковое пространство. Подробнее обопределении необходимых ресурсов— в главе 7.

Принятие решенияПланирование конфигурации кластера состоит из нескольких этапов,На каждом из них следует выбирать наиболее подходящий для вашейорганизации вариант решения. В таблице 4-3 перечислены вопросы.которые следует решить в ходе планирования.

152

Таблица 4-3. Проектирование кластера

Этап Описание

Определение сетевыхрисков

Выбор приложений дляисполнения на кластере

Выбор модели домена

Выбор модели кластера

Создание групп ресурсов

Определение политикперемещения при сбоедля групп ресурсов

Определение требованийпо производительности

При создании кластеров следует минимизи-ровать число точек критического сбоя, а такжепредусмотреть механизмы обеспечения рабо-тоспособности системы на случай сбоев исокращения внеплановых простоев

Серверные приложения должны поддерживатьпротокол TCP/IP и хранить данные в указанномместе. Клиентские приложения, подключаю-щиеся к серверным, должны обладать спо-собностью восстанавливать подключенияпосте разрыва связи, Не рекомендуется ис-пользовать серверные приложения, хранящиеважную информацию в оперативной памяти

Узлы кластера могут выполнять функции ря-довых серверов или контроллеров домена, нов любом случае они должны принадлежатьодному домену. Если узлы кластера выполня-ют функции рядовых серверов, работоспособ-ность кластера зависит от доступностиконтроллера домена

Существуют различные модели кластеров.Подробнее о них — в занятии 3

Создание трупп ресурсов выполняется в шестьэтапов: перечисление приложений, упорядо-чение списка приложений, перечисление ос-талэных ресурсов, перечисление зависимостей,предварительная группировка и окончатель-ное разнесение по группам

Каждой группе ресурсов в кластере обычносопоставляются политики перемещения присбое, в которых определяют три параметра:

'порядок запуска процедуры перемещения,основной узел и порядок восстановленияпосле сбоя

После определения задач решаемых кластеромследует определить приемлемый уровень произ-водительности серверов. Подробнее об опре-делении необходимых ресурсов — в главе 7

(продолжение)Создание отказоустой- Общее хранилище информации в кластеречивого хранилища необходимо защитить от сбоев, однако дляинформации этого нельзя применять программные решения

отказоустойчивого хранилища. Надежнымрешением считается сочетание аппаратныхRAID-массивов и сетей хранения данных срезервными контроллерами

РекомендацииПри создании кластера под управлением Windows 2000 Advanced Ser-ver или Windows 2000 Datacenter Server придерживайтесь следующихрекомендаций:• устраните точки критического сбоя в оборудовании и ПО, а также

во внешних устройствах, от которых зависит работа кластера. Ис-пользуйте дополнительные службы, компоненты и сетевые под-ключения, и всегда храните под рукой запасные компоненты;

• выбирайте серверные приложения, поддерживающие TCP/IP, спо-собные хранить данные в указанном месте и не размещающие важ-ную информацию в оперативной памяти;

• настройте политики перемещения при сбое в соответствии с осо-бенностями работы вашей компании. Если сбой возможно устра-нить путем перезапуска всех ресурсов в группе, настройте пара-метр запуска процедуры защиты (Failover Timing) на перезапускприложений. Если один из узлов кластера наилучшим образомоснащен для работы с какой-либо группой ресурсов, определитеосновной узел (Preferred node) так, чтобы группа всегда выделя-лась такому узлу (естественно, при условии его доступности). Впоследнем случае следует определить параметр порядка восстанов-ления после сбоя (Fallback timing) таким образом, чтобы даннаягруппа ресурсов возвращалась на основной узел сразу после вос-становления его работоспособности;

• если узлы домена выполняют функции рядовых серверов, обес-печьте высокую доступность служб контроллера домена, в кото-рый расположен ваш кластер;

• при создании групп ресурсов объединяйте все зависимые ресурсыв одну группу и следите за тем, чтобы ресурс не входил сразу внесколько групп одновременно. Если работа нескольких прило-жений зависит от одного ресурса, все они вместе с данным ресур-сом должны входить в одну группу, Также при создании групп ре-сурсов следует учитывать удобство администрирования. Напри-

2000 Глава

мер, целесообразно объединить в одну группу ресурсы совместно-го доступа к файлам и спулера печати;

• для обеспечения отказоустойчивости кластерных хранилищ при-меняйте аппаратные RAID-массивы, сети хранения данных и из-быточные контроллеры.

Пример. Кластер серверов в компанииNorthwind TradersNorth wind Traders импортирует сувениры из юго-восточной Азии вСША и продает их оптовым американским и европейским клиентам.Компания собирается ввести в эксплуатацию Web-систему, котораяпозволит клиентам размешать заказы в онлайновом режиме. Web-сайтдолжен работать круглосуточно — это обусловлено необходимостьюподдержки клиентов, живуших в различных часовых поясах, и раз-личной длительностью рабочего дня в разных странах. В состав сетивходит база данных, содержащая информацию о покупателях, това-рах и заказах. Для обеспечения высокой доступности доступа к дан-ным в компании планируют использовать службу кластеров на базеWindows 2000 Advanced Server. '

Перед созданием кластера в Northwind Traders используют схемупланирования, о которой говорилось на этом занятии. На первом эта-пе предпринимается попытка найти и устранить точки критическогосбоя. Для повышения надежности работы предполагается резервиро-вать все компоненты Web-сайта и его сетевой инфраструктуры, на-пример установить резервную ЛВС и избыточные источники пита-ния.

В качестве базы данных в Northwind Traders используют SQL Ser-ver 2000, поскольку эта БД поддерживает TCP/IP и позволяет опре-делять место хранения данных. Сервер SQL Server и все связанные сним ресурсы войдут в состав одной группы ресурсов, политики пере-мещения при сбое для которой настраиваются следующим образом:параметр Failover Timing настраивается для попытки перезапуска ре-сурсов. Основной узел для группы не указывается! Узлы кластера яв-ляются рядовыми серверами домена, поэтому нужно обеспечить вы-сокую доступность контроллера домена. Все узлы домена подключа-ются к сети хранения даннь х посредством Fibre Channel адаптеровглавной шины (host bus adapter, HBA), каждый из которых для обеспе-чения избыточности подключается к нескольким коммутаторам. Каж-дый из коммутаторов в свою очередь подключен к нескольким кон-троллерам Fibre Channel внешнего хранилища данных. Само внеш-нее хранилище выполнено с эезервированием внутренних компонен-

тов и содержит механизмы обеспечения отказоустойчивости. Состав-ленная таким образом сеть хранения данных полностью лишена то-чек критического сбоя.

На рис. 4-7 показано подключение двух серверов к корпоратив-ной сети и сети хранения данных. Обратите внимание, что для под-ключения к сети используется два сетевых адаптера— один приме-няется для клиентских подключений, а второй — для обмена частны-ми сообщениями кластера.

К Web-серверам


IКоммутатор

\

Адаптер главной шины Адаптер главной шины

КонтроллерFibre Channel

КонтроллерFibre Channel

jСеть хранения данных (SAN)

Рис. 4-7. Конфигурация кластера с сетью хранения данных

РезюмеПри организации кластера следует продумать конфигурацию отдель-ных компонентов службы кластеров и подготовить соответствующуюсреду. Необходимо минимизировать число точек критического сбоя,а также предусмотреть механизмы обеспечения работоспособности наслучай сбоев. Кластерные приложения должны поддерживать прото-кол TCP/IP и хранить свои данные в указанном месте. Каждой труп-пе ресурсов в кластере следует сопоставить политики перемещения

при сбое, определяющие поведение группы. Узлы кластера могут вы-полнять функции рядовых серверов или контроллеров домена, а самкластер следует организовать в соответствии с различными моделямиконфигурации. Группы рес>рсов создаются в шесть этапов: перечис-ляются приложения, сортируется список приложений, перечисляют-ся остальные ресурсы, перечисляются зависимости, выполняетсяпредварительная и окончательная группировка. Для обеспечения от-казоустойчивости кластерных хранилищ обычно применяют аппарат-ные RAID-массивы и избыточные контроллеры. После определениязадач, решаемых кластером, переходят к определению числа серве-ров в нем и их характеристик, таких, как объем оперативной памятии дискового пространства.

И. Планирование групп ресурсовВ этом тренинге вы создадите группы ресурсов для новогокластера сети. Кластер предполагается использовать для под-держки совместного доступа к файлам, поэтому, чтобы обес-печить доступ клиентов к службам кластера, ему следует при-своить по крайней мере одно сетевое имя и IP-адрес. Крометого, необходимо определить, на каком физическом дискехранилища кластера будут размещаться данных.

Для каждого из перечисленных ниже этапов определите порядокразбиения ресурсов файлового сервера на группы ресурсов:1. перечисление всех серверных приложений;

2. сортировка списка приложении и определение того, какие из нихподдерживают перемещение при сбое;

3. перечисление всех остальных ресурсов;

4. создание списка зависимостей всех ресурсов;

5. выполнение предварительной группировки ресурсов;

6. выполнение окончательной группировки и построение всех нуж-ных деревьев зависимостей.

Занятие 3, Выбор модели кластераНа предыдущем занятии вы познакомились с этапами планированияконфигурации кластера. На одном из них требуется выбрать одну изтрех моделей кластеров. На этом занятии рассказывается обо всех трехмоделях и приводятся примеры приложений, наиболее подходящихдля каждой из них. Сложность моделей возрастает от кластера, со-стоящего из одного узла, до кластера, в котором все серверы активнопредоставляют сервисы.


V описать три модели конфигурации кластеров;^ выбрать модель, наиболее подходящую для определенного

типа приложений.


Модели серверных кластеровСуществуют три модели серверных кластеров; кластер с единствен-ным узлом, активно-пассивная модель («active/passive») и активно-активная модель («active/active»).

Модель 1. Модель кластера с единственным узломКластер этой модели состоит из единственного узла, и хотя модельподдерживает виртуальные серверы, она не обеспечивает перемеще-ние при сбое. Модель обеспечивает;• поддержку группировки ресурсов сервера для облегчения админи-

стрирования и упрощения доступа клиентов;• поддержку виртуальных серверов с описательными именами, что

избавляет пользователей и администраторов от необходимостипросматривать список реальных серверов сети для поиска необхо-димого ресурса;

• автоматический перезапуск службой кластеров приложений и за-висимых ресурсов при возвращении компьютера в рабочее состо-яние после сбоя. Эта функция требуется для работы приложений,которым необходим автоматический перезапуск, но они не в со-стоянии выполнить его самостоятельно;

• облегчение дальнейшего расширения кластера дополнительнымузлом. Поскольку все группы ресурсов уже созданы, единствен-ное, что остается сделать при введении нового узла, — настроитьполитики перемещения при сбое.

На рис. 4-8 показан пример кластера с единственным узлом, неподдерживающего перемещение при сбое.

Бухгалтерия - службы печатии доступа к файлам

Проектный отдел - службы печатии доступа к файлам

Web-сервер - службы печатии доступа к файлам

He-кластерное хранилище

Рис. 4-8. Модель кластера с единственным узлом

Модель одноузлового кластера применяется, когда необходимососредоточить все службы доступа к файлам и принтерам организа-ции на одном компьютере, создав отдельные группы для каждого под-разделения. Если клиенту какого-либо подразделения необходимоподключиться к службе совместного доступа к файлам или принте-рам, найти ее будет не сложнее чем обычный компьютер.

Некоторые приложения, например SQL Server версии 6.5и 7, нельзя установить на одноузловой кластер.

Модель 2. Активно-пассивная модельЭта модель обеспечивает максимальную доступность и производи-тельность, но требует затрат на приобретение оборудования, котороередко используется.

В кластере этой модели основной узел (primary node) берет на себяобслуживание клиентов, а второй узел находится в состоянии ожида-ния. При сбое основного у:ша дополнительный берет на себя выпол-нение всех задач и продолжает обслуживать клиентов. При этом про-изводительность кластера изменяется незначительно и зависит отпроизводительности дополнительного узла. Такую модель часто на-зывают активно-пассивной, или моделью «active/passive». Пример кла-стера с использованием дополнительного узла показан на рис. 4-9.

Web-службы i

Кластер

Резерв•+I ресурсов

! для работыWeb'Cлyжб

Рис. 4-9. Активно-пассивная модель

Активно-пассивную конфигурацию применяют для поддержкиработоспособности наиболее важных приложений и ресурсов орга-низации. Предположим, в компании есть сайт электронной торгов-ли, работу которого поддерживает база данных SQLServer. Если БДстановится недоступной, сайт оказывается практически бесполезным,поэтому в данном случае использование еше одного, дублирующегонабора оборудования вполне оправдано. Второй сервер полностьюнастроен и в случае сбоя на основном узле готов принять на себя вы-полнение всех функций.

Если бюджет позволяет приобрести дополнительный сервер, об-ладающий такой же производительностью что и основной, опреде-лять основной узел для групп ресурсов не потребуется. В противномслучае следует назначить основным узлом более мощный сервер, чтопозволит все время поддерживать производительность на самом вы-соком уровне.

Если мощности узлов примерно равны, политики перемещенияпри сбое следует настраивать таким образом, чтобы после ликвида-ции сбоя не возвращать группы ресурсов на прежний узел. Если жепроизводительность дополнительного узла меньше, то политики пе-ремещения при сбое следует настроить таким образом, чтобы послевосстановления основного сервера на него возвращались все группыресурсов. Эта операция может выполняться немедленно или в часыминимальной нагрузки на кластер.

Пример реализации активно-пассивной моделиАктивно-пассивная модель представляет собой пример конфигура-ции с выдеденным дополнительным узлом. Кластеры такой конфи-

гурации не ограничены использованием исключительно кластерныхприложений — они способны поддерживать приложения, не поддер-живающие работу в кластере, при этом последние становятся недо-ступными при отказе сервера. На рис. 4-10 показан пример активно-пассивного кластера, на котором функционируют как поддерживаю-щие, так и не поддерживающие работу в кластере приложения.

Перемещениепри

сбое неподдерживается

Резерв дляперемещения

при сбоегруппы 1

Рис. 4-10. Кластер с активно-пассивной конфигурацией, на которомфункционируют как поддерживающие, так и неподдерживающие работу в кластере приложения

Приложения групп 2 и 3 обслуживают клиентов, работая на од-ном из серверов, но поскольку они не поддерживают перемещениепри сбое, для них соответствующие политики не определяются. На-пример, на узле может работать почтовый сервер, не поддерживаю-щий кластерный механизм перемещения при сбое, или очень редкоиспользуемое приложение, постоянная работоспособность которогоне является критически важной.

При возникновении сбоя на основном узле приложения, для ко-торых не определены политики перемещения при сбое и которые неимеют собственных механизмов перемещения при сбое, оказываютсянедоступными и остаются таковыми до полного восстановления рабо-тоспособности узла. Эти приложения необходимо перезапускать вруч-ную или настроить Windows 2000 Advanced Server или Windows 2000Datacenter Server на их автоматический запуск при затрузке системы.Приложения, для которых определены политики перемещения присбое, действуют в соответствии с политиками.

Модель 3. Активно-активная модельМодель 3 позволяет в максимальной степени использовать аппарат-ные ресурсы кластера. Она обеспечивает отказоустойчивость и высо-кую производительность при работе обоих узлов, последняя снижа-ется при выходе из строя одного из узлов, оставаясь тем не менееудовлетворительной.

Ресурсы каждого узла представляются в сети виртуальными сер-верами, к которым подключаются клиенты. Виртуальным серверомназывается объединенный в одну группу набор ресурсов кластера, вчисле которой есть сетевое имя и IP-адрес. Производительность каж-дого узла должна быть достаточной для обеспечения оптимальнойпроизводительности кластера при нормальной работе обоих узлов иподдержания приемлемой производительности при сбое одного изузлов. При достаточной производительности серверов все клиентс-кие службы во время сбоя остаются доступными, но общая произво-дительность кластера обычно снижается. Активно-активный кластерпоказан на рис. 4-11.

Файлы ипринтеры.Группа 1.

Файлы ипринтеры.Группа 2.

Резерв для поддержкиработос пособности

Группы 2.

Резерв для поддержкиработоспособности

Группы 1.

Рис. 4-11. Активно-активный кластер

Примером такой конфигурации может служить кластер, применя-емый для совместного доступа к файлам и принтерам. Общие файлыи принтеры разделяются на две группы — по одной на каждый узел.При сбое одного из узлов второй временно берет на себя управлениевсеми имеющимися файлам и принтерам. Каждой группе ресурсовсопоставляется свой основной узел. После восстановления работос-пособности узла он возвращает себе управление временно переме-щенной группой, и производительность кластера восстанавливается.

7-4791

При этом все службы кластера практически постоянно доступны кли-ентам. Примеры использования активно-активных кластеров приве-дены далее.

Пример 1. Кластеризация однородных приложенийВо внутренней сети компании установлен сервер, поддерживающийдве крупные базы данных, Обе необходимы для работы сотен пользо-вателей, постоянно обращающихся к серверу. В пиковые часы сер-вер не справляется с нагрузкой и производительность сильно падает.

Для решения проблемы устанавливается второй сервер, серверыобъединяются в кластер, и нагрузка равномерно распределяется меж-ду узлами, Теперь каждую б,лзу данных обслуживает отдельный сер-вер. При сбое на одном из серверов общая производительность вре-менно снижается, однако после восстановления сбойного серверапроизводительность нормализуется. На рис. 4-12 показан кластер,поддерживающий две базы данных.

приложениебазы

данных А

Дополнительные!ресурсы дляподдержки ;

базы данных В ! Кластер

Приложениебазы данных В

'Дополнительные!I ресурсы для1 поддержки базы |?; данных А

Клиенты

Рис. 4-12. Добавление второго сервера для создания кластера

Пример 2. Кластеризация разнородных приложенийВ компании розничной торговли используются два сервера: одинобеспечивает совместный доступ к файлам и принтерам, а второйподдерживает базу данных, в которой хранится информация о зака-зах и наличии товара. Нормальная работа компании невозможна бездоступа к файлам и принтерам, а доступ к базе данных необходим какслужащим для получения информации о поставках и наличии това-ра, так и покупателям для размещения заказов. На рис. 4-13 показанаобычная для подобных случаев конфигурация. Здесь жизненно важ-ные приложения и службы расположены на отдельных серверах, чтоувеличивает риск сбоев.

Приложениебазы данных

Службы доступак файлам

и принтерам

Локальная сеть

Клиенты

Рис. 4-13. Размещение жизненно важных приложений и службна разных серверах

Для повышения доступности всех служб следует объединить сер-веры в кластер и создать две группы ресурсов, разнеся их между узла-ми. В одну группу относят все ресурсы, необходимые для обеспече-ния совместного доступа к файлам и принтерам, а во вторую— ре-сурсы для работы с базой данных, в том числе и саму базу. Реализа-ция такого подхода показана на рис 4-14.

Приложениебазы данных

Службы доступак файлам

и принтерам

Доступ к файлами принтерам

1 Дополнительныересурсы дляподдержки

доступа к файлами принтерам

Администратор

Локальнаясеть

Клиенты

Рис. 4-14. Кластеризация разнородных приложений

Для обеспечения работы системы во время сбоя одного из серве-ров политики перемещения при сбое для каждой группы следует на-строить так, чтобы при группы могли работать на любом узле.

Служба кластеров ОС Windows 2000 Advanced Server и Windows 2000Datacenter Server способна обнаруживать потерю связи между серве-рами и клиентскими системами. Если связь потеряна только с однимиз серверов, все группы ресурсов автоматически переносятся со сбой-ного на рабочий узел.

Пример 3. Гибридная конфигурацияКластеры гибридной конфигурации создаются на основе активно-активной модели и сочетают в себе преимущества двух предыдущихмоделей. При наличии достаточных мощностей на узлах кластераможно сочетать различные сценарии перемещения при сбое. Все опе-рации по защите от сбоев выполняются обычным способом в соот-ветствии с существующими политиками. На рис. 4-15 показан при-мер сложной гибридной конфигурации, использующейся для пере-мещения при сбое двух баз данных.

Для удобства администрирования службы совместного доступа кфайлам и принтерам (не требующие перемещения при сбое) логичес-ки сгруппированы по отделам и сконфигурированы как виртуальные

серверы. Кроме того, в кластере в обычном режиме выполняютсяприложения, не поддерживающие перемещение при сбое.

База данных.Группа 1

Дополнительные ре- '-•сурсы для поддержки,доступности группы 2

Службы доступа:К файлам и принтерам

Службы доступак файлам и принтерам;

База данных.Группа 2

Дополнительныересурсы для поддержки

доступности группы11

Web-службы (неподдерживают

перемещение при сбое)

Кластер

Рис. 4-15. Гибридная конфигурация

Принятие решенияКонфигурацию кластера выбирают из трех моделей: модель с един-ственным узлом, активно-пассивная и активно-активная модель. Втаблица 4-4 перечислены параметры, которые следует учесть при вы-боре модели.

Таблица 4-4. Модели серверных кластеров

Модель Описание

Модельс единственным узлом

Позволяет группировать ресурсы для удобстваадминистрирования, использовать виртуальныесерверы и автоматический перезапуск прило-жений, а также облегчает дальнейшее расши-рение кластера. Не обеспечивает перемеще-ния при сбое, и если перезапуск приложенияне решает проблему его недоступности, топосле сбоя оно становится недоступным

(продолжение)Модель Описание

Активно-пассивная Обеспечивает максимальную защиту ресурсов,модель однако требует больших затрат на оборудова-

ние, которое практически не работает. В слу-чае сбоя на основном узле дополнительныйузел немедленно принимает на себя все опера-ции. Эту модель следует применять дляподдержки жизненно важных приложений иресурсов

Активно-активная Обеспечивает отказоустойчивость и высокуюмодель производительность. Во время сбоя одного из

узлов все службы остаются доступными,однако возможно существенное снижениепроизводительности, что иногда сказываетсяна доступности кластера

РекомендацииПо возможности следует использовать активно-пассивную модель(модель 2) — она обеспечивает максимальную отказоустойчивость ипроизводительность приложений. Однако зачастую бюджет не позво-ляет приобретать избыточное оборудование. В таком случае рекомен-дуется активно-активная модель (модель 3), которая требует меньшихзатрат на аппаратное обеспечение, но чревата существенным сниже-нием производительности при сбое отдельных узлов кластера.

Пример. Высоконадежный кластер банка WoodgroveБанк Woodgrove планирует добавить к списку услуг онлайновые бан-ковские операции, что, как предполагается, упростит доступ клиен-тов и снизит нагрузку на службу телефонной поддержки. Банк Wood-grove провел агрессивную кампанию продвижения своих онлайно-вых служб, поэтому требуется обеспечить максимальную их доступ-ность и максимально сократить число возможных проблем для кли-ентов.

Жизненно важный компонент Web-служб банка — база данныхклиентских счетов. Необходимо обеспечить постоянный доступ к нейи максимальную производительность, особенно в часы наибольшейактивности пользователей. Чтобы обеспечить высокую надежность имаксимальную производительность доступа к базе данных, решеносоздать активно-пассивный кластер.

На рис. 4-16 показан активно-пассивный кластер, на которомпредполагается разместить базу данных.

Резерв дляподдержки

базы данных

Рис. 4-16. Активно-пассивный кластер

В банке предполагают установить два одинаковых компьютера подуправлением Windows 2000 Advanced Server и разместить на них сер-вер SQL Server 2000. База данных и все поддерживающие ее службыобъединяются в одну группу ресурсов. Основной узел для группы неуказывается, и ее возврат на восстановленный узел не выполняется,Хранилище кластера устанавливается на аппаратном RAID-массиве,

РезюмеИзвестны три модели серверных кластеров: с единственным узлом,активно-пассивная и активно-активная модель. Кластеры первоймодели состоят из единственного узла и не обеспечивают перемеще-ние при сбое. Они позволяют группировать ресурсы для удобства ад-министрирования, использовать виртуальные серверы и автоматичес-кий перезапуск приложений и облегчают дальнейшее расширениекластера. В активно-пассивной модели используются два компьюте-ра: один называется основным узлом, а второй — дополнительным.До сбоя все службы работают на основном узле. Эта модель обеспе-чивает максимальную отказоустойчивость и производительность. Вактивно-активной модели также используются два компьютера, но укаждого из них собственный набор ресурсов и работают свои служ-бы. Она обеспечивает отказоустойчивость, максимальную загружен-ность оборудования и высокую производительность, хотя при сбоепроизводительности обычно существенно снижается.

Проектирование серверногокластера

Выполнив этот практикум, вы научитесь:' проектировать серверный кластер;• назначать группы ресурсов и определять для них политики пере-

мещения при сбое.

В этом практикумеВы должны спроектировать кластер для компании Wingtip Toys. Дляэтого требуется выполнить несколько задач, описанных в занятиях 2и 3: выбрать модель кластера, создать группы ресурсов и определитьдля них политики перемещения при сбое. Предполагается, что ос-тальные задачи, обычно выполняемые в проектировании кластера,уже описаны и выполнены.

Прежде всегоДля выполнения этой практической работы необходимо:• обладать навыками администрирования Windows 2000 Advanced

Server;• уметь установить и выполнить администрирование службы клас-

теров Windows 2000 Advanced Server.

Исходные данныеКомпания Wingtip Toys занимается розничной торговлей игрушкамиисключительно через Интернет— у компании нет никаких магази-нов и она не торгует по каталогам. С выходом на международныйрынок появилась необходимость повысить доступность Web-сайтакомпании. Были предприняты серьезные меры по выявлению и сни-жению сетевых рисков путем устранения точек критического сбоя,Так, в инфраструктуре сети предусмотрены резервные компоненты илинии связи, дополнительные подключения к Интернет-провайдеруи источники бесперебойного питания. Также значительно повышенадоступность контроллеров доменов.

Сейчас в компании планируется организовать кластер под управ-лением Windows и использовать его для поддержки почтовых служб ибазы данных. В качестве почтового сервера решено использоватьExchange 2000 Server, а базу данных предполагается разместить на SQL

Проегофош > ие <: -..-K-p'O'e адаптера

Server 2000. Кластер состоит из двух компьютеров под управлениемWindows 2000 Advanced Server, рядовых серверов домена. Кластерноех р а н и л и щ е будет базироваться на подключениях Fibre Channel ивнешней отказоустойчивой сети хранения д а н н ы х . Кроме того, руко-водство требует обеспечить высокую доступность всех служб, а такжемаксимально использовать оборудование кластера. В компании необеспокоены возможным падением производительности в случае сбо-ев, поскольку каждый из серверов кластера способен при необходи-мости поддержать работу всех служб.

Упражнение 1 . Выбор модели кластераВы должны выбрать модель для будущего кластера: с единственнымузлом, активно-пассивную или активно-активную.1. В чем отличия между тремя моделями кластера?

2. Какая из этих моделей более всего удовлетворяет требованиямWingtip Toys?

Упражнение 2. Создание групп ресурсовСоздание групп ресурсов осуществляется в шесть этапов. Во многихслучаях решение очевидно, поскольку в сценарии вполне конкретноописаны все необходимые условия.

Перечисление серверных приложенийСоздайте список приложений, для работы в кластере.1. Какие приложения вы выберете?

Сортировка списка приложенийДалее определите, в каких из перечисленных приложений можно инужно использовать механизм перемещении при сбое.1. В каких приложениях следует применить механизм перемещения

при сбое?

Перечисление остальных ресурсовПосле составления списка приложений, перемещаемых при сбое, оп-ределите, какие еще ресурсы будут использоваться в данном кластере.1 . Какие другие ресурсы следует предусмотреть?

17П Служба кластеров Windcws 2000 Глава 4в • w

Перечисление зависимостейК этому моменту вам следует составить список всех ресурсов, кото-рые войдут в группы ресурсов создаваемого кластера. На данном эта-пе следует определить зависимости между ресурсами.I . Как перечисленные ресурсы зависят друг от друга?

Предварительная группировкаРазнесите все ресурсы по группам. На данном этапе состав и количе-ство групп достаточно очевидны.1. Как объединить перечисленные ресурсы в группы?

2. В чем преимущества именно такой группировки?

Окончательная группировкаПрисвойте имя всем группам ресурсов и составьте дерево зависимос-тей для каждой из них.1. Как выглядит дерево зависимостей в каждой группе?

Упражнение 3. Определение политики перемещенияпри сбоеПосле создания групп ресурсов каждой из них можно сопоставитьполитики перемещения при сбое. Эти правила определяют поведе-ние группы в случае сбоя. Для каждой группы следует настроить трипараметра: Failover Timing (порядок перемещения при сбое), PreferredNode (основной узел) и Fallback Timing (порядок восстановления пос-ле сбоя).1. Как следует настроить параметр Failover Timing?

2. Как следует настроить параметр Preferred Node?

3. Как следует настроить параметр Fallback Timing?

Закрепление материала9 I Приведенные ниже вопросы помогут вам лучше усвоить ос-

новные темы данной главы. Если вы не сумеете ответить навопрос, повторите материал соответствующего занятия. От-веты для самопроверки — в приложении «Вопросы и ответы»в конце к н и г и .

1 . Какими объектами управляет служба кластеров?

2. В чем различие между группой ресурсов и ресурсом?

3. Вы создаете группы ресурсов для кластера. Вы определили, какиеприложения будут работать на узлах кластера и какие из них пред-полагается перемешать при сбое. Вы также определили другие ре-сурсы, которые войдут в группы ресурсов кластера, например се-тевые имена и IP-адреса. Каковы ваши следующие действия?

4. Вы проектируете кластер, который должен состоять из двух ком-пьютеров под управлением Windows 2000 Advanced Server и пред-назначен для поддержки базы данных и обеспечения совместногодоступа к файлам и принтерам. Требуется обеспечить максималь-ное использование аппаратных ресурсов кластера. Какую моделькластера вы выберете?

Г Л А В А

Балансировка сетевойнагрузки

Основные сведения о службе балансировки сетевойнагрузки 175

Планирование NLB-кластеров 192

. Циклическое обслуживание DNS в системес несколькими кластерами 202

Выбор модели NLB-кластера 203

i'1. Планирование кластера NLB 216


В этой главеПрограммы, поддерживающие работу критически важных приложе-ний на Web-сервере, — ПО поддержки финансовых транзакций, дос-тупа к базе данных, корпоративных интрасетей — должны работатьпостоянно, то есть 24 часа в сутки, 7 дней в неделю. Кроме того, не-обходимо, чтобы производительность росла с увеличением нагрузки,в этом случае большие объемы клиентских запросов будут обрабаты-ваться без задержки. В состав операционных систем Microsoft Win-dows 2000 Advanced Server и Dataccnter Server входят две службы кла-стеризации — служба кластеров (Cluster service) и служба балансиров-ки сетевой нагрузки (Network Load Balancing service, NLB). Они по-зволяют работать с группой серверов как единой системой, что обес-печивает повышение доступности, управляемости и масштабируемо-сти. Служба кластеров применяется главным образом для обеспече-ния перемещения при сбое критически важных для бизнес-приложе-ний, например баз данных, систем обмена сообщениями и служб до-ступа к файлам и принтерам; а служба NLB распределяет входящийIP-трафик между узлами кластера, В этой главе рассказано, как по-высить доступность и масштабируемость Web-среды средствамислужбы балансировки сетевой нагрузки. О службе кластеров речь пой-дет в главе 4,

Прежде всегоДля изучения материалов этой главы необходимы навыки:• администрирования Windows 2000 Advanced Server и построения

сетей Windows 2000;• установки службы балансировки сетевой нагрузки в Web-среде

Windows 2000.

Занятие 1. Основные сведения о службебалансировки сетевой нагрузки

Служба балансировки сетевой нагрузки обеспечивает масштабируе-мость и доступность критически важных служб, базирующихся на про-токоле TCP/IP, например Web-служб, службы терминалов Microsoft,виртуальных частных сетей (VPN) и серверов потоковых мультимедий-ных данных. Эта служба выполняется на узлах кластера в составе опе-рационных систем Windows 2000 Advanced Server и Datacenter Server ине требует отдельной аппаратной поддержки. Для обеспечения масш-табируемости по производительности служба балансировки сетевойнагрузки распределяет IP-трафик между узлами кластера. Она такжеобеспечивает высокую доступность за счет обнаружения отказов узлови автоматического перераспределения трафика на работоспособныеузлы. Служба балансировки сетевой нагрузки поддерживает удаленноеуправление, а также обновление ОС Windows NT 4 до Windows 2000 безперезапуска службы, Уникальная, полностью распределенная архитек-тура NLB позволяет обеспечить очень высокую производительность истепень защиты от сбоев, особенно по сравнению с системами балан-сировки нагрузки на основе программ-диспетчеров. На этом занятиирассказывается об общих принципах работы и архитектуре NLB.

Изучив материал этого занятия, вы сможете;S рассказать о службе NLB и ее работе в Web-среде

на основе Windows 2000;s описать архитектуру службы балансировки сетевой нагрузки;•/ рассказать об использовании службы балансировки сетевой

нагрузки для масштабирования систем, поддерживающихинформацию о состоянии приложений.


Использование нескольких серверовКорпоративные Web-приложения обычно поддерживают выполнениетаких критически важных задач, как электронная коммерция и фи-нансовые транзакции. При отказе жизненно важных приложенийпредприятия теряют миллионы долларов, вот почему так важно до-биться непрерывной и надежной работы этих приложений. Простойи эффективный способ достижения доступности и надежности — ис-пользование резервных серверов. Если Web-сайт базируется на не-

скольких серверах, то при отказе одного из них запросы на обработкуможно перенаправить на другой, исправный сервер. Таким образомобеспечивается высокая доступность сайта.

Добавление в систему всего лишь нескольких резервных серверовпозволяет заметно повысить доступность. Один сервер обеспечивает90% доступности, а всего лишь один дополнительный сервер повы-шает доступность до 99%, что означает лишь 14,4 минут простоя вдень. Это связано с тем, что вероятность одновременного отказа обо-их серверов составляет (0,1);, то есть 0,01. При установке 7 серверовдоступность повышается до 99,99999%, по крайней мере если речьидет о Web-ферме. Естественно, доступность значительно повысит-ся, если использовать только качественное аппаратное обеспечение.

Кроме того, установка дополнительных Web-серверов позволяетсправляться с большей нагрузкой. Это называется «горизонтальной»масштабируемостью— естественно, при условии, что в системе нетдругих «узких мест*. Так, при росте числа клиентских HTTP-запро-сов в 10 раз достаточно установить в 10 раз больше серверов, при этомподразумевается, что другие факторы, например пропускная способ-ность сети, не станут «узким местом» или не снизят доступность.

На рис. 5-1 показан график производительности серверов в Web-среде на базе Windows 2000.

180

160

140

! >0

Страниц 10080

60

40

20

в секунду

О

1 Web-сервер2 Web-сервер3 Web-сервер

4 Web-сервер

О 1000 2000 3000 4000 5000 6000 7000 8000Число одновременно работающих пользователей

Рис. 5-1. Рост масштабируемости по мере увеличения числа Web-серверов узла

При построении сайта следует позаботиться о распределении на-грузки между узлами, Запросы, полученные кластером, направляют-ся на различные узлы кластера так, чтобы время отклика оставалосьнизким, а производительность приложения — высокой. На каждом

из узлов кластера работает свой набор серверных программ, необхо-димых для работы приложения. Так, в кластере, поддерживающемслужбу FTP, каждый узел кластера является FTP-сервером. Службабалансировки нагрузки распределяет входящие запросы клиентовмежду узлами кластера.

Решения с балансировкой нагрузкиКак уже говорилось в главе 1, есть несколько способов реализациибалансировки нагрузки:• циклическое обслуживание DNS (round-robin DNS);• коммутаторы с балансировкой нагрузки;• служба балансировки сетевой нагрузки Windows 2000 Advanced

Server или Windows 2000 Datacenter Server;• Microsoft Application Center 2000.

При использовании циклического обслуживания DNS DNS-cep-вер при каждом успешном запросе по кругу меняет набор IP-адресовсерверов кластера. Клиент обычно обращается по первому адресу вполученном списке. Поэтому последовательные запросы попадают наразличные серверы кластера, а значит, трафик также распределяетсямежду серверами.

Коммутаторы с балансировкой нагрузки, например Cisco Local Director,перенаправляют TCP-запросы на серверы Web-фермы. На основе такихкоммутаторов создаются решения, обладающие высокой масштабируе-мостью, способные работать в различных средах и обеспечивающие до-вольно высокую доступность. У коммутатора Local Director имеется одинIP-адрес, видимый клиентам, а балансировка нагрузки достигается пе-ренаправлением запросов на свободный сервер.

Служба балансировки сетевой нагрузки Windows 2000 AdvancedServer и Windows 2000 Datacenter Server распределяет IP-трафик меж-ду несколькими Web-серверами. У всего кластера один общий вирту-альный IP-адрес, а клиентские запросы распределяются между не-сколькими серверами кластера. Служба балансировки сетевой нагруз-ки обеспечивает высокую доступность и масштабируемость Интер-нет-приложений.

Application Center 2000 также содержит службу балансировки се-тевой нагрузки. Application Center имеет усовершенствованный ин-терфейс управления, объединенный с уже имеющейся в Windows 2000Advanced Server и Windows 2000 Datacenter Server службой NLB. Приустановке Application Center 2000 на Windows 2000 Server (в этой сис-теме службы NLB нет) он автоматически установит службу баланси-ровки сетевой нагрузки.

Служба балансировки сетевой нагрузкив Windows 2000Служба балансировки сетевой нагрузки обеспечивает масштабируемостьи высокую доступность таких служб TCP/IP, как Web-серверы, службытерминалов (Terminal Services), прокси, VPN и службы потоковой пере-дачи мультимедийных данных. Служба балансировки сетевой нагрузкипозволяет существенно усовершенствовать среду предприятия, исполь-зующего основанные на протоколе TCP/IP службы, например прило-жения электронной коммерции, связывающие клиентов с программа-ми обработки транзакций и закрытыми базами данных.

Объединение серверов со службой балансировки сетевой нагруз-ки обеспечивают ряд преимуществ:• масштабируемость — служба балансировки сетевой нагрузки гаран-

тирует масштабирует серверных программ, например IIS (InternetInformation Services), распределяя запросы клиентов между серве-рами кластера. По мере роста трафика в кластере устанавливаютдополнительные серверы (число серверов в кластере Windows 2000не может превышать 32);

4 повышенная доступность — служба балансировки сетевой нагрузкиобеспечивает высокую доступность за счет автоматического обна-ружения сбоя серверов в течение 10 секунд и перераспределенияклиентского трафика между исправными серверами без перерывав обслуживании клиентов.

Служба балансировки сетевой нагрузки распределяет IP-трафикмежду несколькими экземплярами основанной на TCP/IP службы,например Web-сервера. NLB «прозрачно» (незаметно для клиента)распределяет клиентские загросы между узлами и предоставляет кли-ентам доступ к кластеру по одному или нескольким виртуальным IP-адресам. С точки зрения клиента кластер выглядит как один сервер.При увеличении трафика сетевым администраторам достаточно под-ключить к кластеру еще один сервер.

Например, узлы на рис. 5-2 объединены в кластер и обслуживаютсетевой трафик из Интернета. На каждом сервере работает отдельнаякопия службы, например сервер IIS 5.0, и служба NLB распределяетсетевую нагрузку между ними, Обработка запросов ускоряется, и вне-шние клиенты наблюдают значительное снижение времени отклика,Для дополнительного повышения доступности системы приложениев закрытой сети (например, база данных) можно установить на клас-тере из двух узлов, обслуживаемом службой кластеров.

На каждом из узлов работает копия сервера, при этом служба NLBраспределяет нагрузку между четырьмя узлами.

Маршрутизатор/шлюз

Узлы со службойбалансировкисетевой нагрузки

Узел1

Общее устройствоч хранения данных

Узел 2

Кластер серверов

Рис. 5-2. Четырехузловой кластер со службой балансировки сетевой

нагрузки, работающий как одиночный виртуальный сервер,

обрабатывающий сетевой трафик

Как работает служба балансировки сетевой нагрузкиСлужба балансировки сетевой нагрузки позволяет масштабироватьработу серверных программ, например Web-сервера, распределяя зап-росы клиентов между несколькими серверами внутри кластера. Каж-дый узел получает все входящие IP-пакеты, но узлы принимают толь-ко предназначенные им пакеты. Узлы кластера одновременно отве-чают на различные клиентские запросы или на несколько запросоводного клиента. Так, Web-браузер может получить различные изоб-ражения на одной Web-странице с разных узлов кластера с баланси-ровкой нагрузки. Это ускоряет обработку и снижает наблюдаемоеклиентами время отклика.

По умолчанию служба NLB распределяет нагрузку равномерномежду всеми узлами в кластере, однако нагрузку можно распределятьмежду узлами неравномерно. Для этого определяют весовые коэффи-циенты, задающие долю трафика запросов, обрабатываемую тем илииным узлов кластера со службой NLB.

Заданная структура распределения (баланса) нагрузки динамичес-ки изменяется при входе и выходе узлов из кластера. Однако баланснагрузки не зависит от загруженности ресурсов сервера (например,использования процессора или памяти). В таких приложениях, как

Web-серверы,.которые обслуживают множество клиентов, но обес-печивают короткое время жизни запросов, служба NLB позволяет ре-ализовать эффективную балансировку нагрузки и быструю модифи-кацию структуры кластера за счет статистического распределения на-грузки.

Серверы NLB-кластера регулярно обмениваются сообщениямипульса (heartbeat). При отказе одного из серверов кластера оставшие-ся узлы автоматически перегруппируются, и нагрузка перераспреде-лятся без перерыва в обслуживании клиентов. Хотя открытые под-ключения к отказавшему узлу разорвутся, Интернет-службы останут-ся доступными. В большинстве случаев (в частности, это верно дляWeb-серверов) клиентское программное обеспечение автоматическивосстанавливает разорванные подключения, пользователь при этомзамечает лишь небольшую задержку.

На рис. 5-3 показана обитая схема работы службы балансировкисетевой нагрузки. Основная идея состоит в том, что запрос направля-ется всем узлам кластера, но только один из них обрабатывает его.

Клиентыв Интернете/интрасети

^Принять? ДаСобственный IP-адрес: 1.1Виртуальный IP-адрес: 1.11 Клиентский TCP-запрос № 2

Принять? Нет


Собственный IP-адрес: 1.1Клиентский TCP-запрос № 1 Виртуальный IP-адрес: 1.1

Принять? НетСобственный IP-адрес: 1.1Виртуальный IP-адрес: 1.1



• Виртуальный IP-адрес всего кластераи собственные IP-адреса

• Алгоритм на каждом узле использует правиладля порта и правила соответствия для принятиярешения об отбрасывании или приеме запроса собственный IP-адресМ.1

• Если привязка клиентов отключен.!, каждый Виртуальный IP-адрес: 1.1.последующий клиентский запрос обрабатываетсяи балансируется, как обычные первичные запросы

Рис. 5-3. Схема обработки клиентских запросов службой NLB

I 5I I

занятие 1 i-пужоо сала- :'--•• .v-iL-'i ее' s-isrsH нагрузки ^ .и 1

Статистическое сопоставление узлам клиентских IP-адресов и IP-портов обеспечивает весьма равномерную балансировку нагрузки.Распределение запросов между серверами с балансировкой нагрузкисчитается оптимальным, если разница загруженности между сервера-ми не превышает 5%. Помимо равномерной загрузки требуется оченьбыстрый и эффективный алгоритм балансировки нагрузки, обеспе-чивающий высокую пропускную способность. В NLB это требованиеудовлетворяется за счет сопоставления клиентов конкретным узлам.

Алгоритм балансировки нагрузкиДля назначения запрашивающих клиентов узлам кластера в NLB при-меняется полностью распределенный алгоритм фильтрации пакетов.Выбор этого алгоритма обусловлен тем, что позволяет узлам кластеранезависимо и быстро принимать решение о распределении нагрузкии судьбе каждого входящего пакета. Алгоритм оптимизирован дляобеспечения статистически равномерного распределения для большо-го числа клиентов, генерирующих многочисленные относительнокороткие запросы, например обычные запросы к Web-серверам. Есличисло клиентов невелико или создаваемая клиентскими подключе-ниями нагрузка довольно неравномерна, эффективность алгоритмабалансировки снижается. Однако простота и быстродействие алго-ритма позволяют добиться очень высокой производительности, а,значит, высокой пропускной способности и короткого времени от-клика, во многих популярных клиент-серверных приложениях.

Служба балансировки сетевой нагрузки распределяет входящиеклиентские запросы, направляя заданную долю запросов каждому изузлов кластера, то есть на каждый диапазон портов, определенныйдля службы NLB. Доля запросов определяется в диалоговом окнесвойств службы NLB. Алгоритм не отслеживает текущую загружен-ность самого узла кластера (загруженности процессора или памяти).Схема распределения запросов изменяется только при изменениисостава кластера, при этом пропорционально изменяются доли заг-рузки.

При получении входящего пакета все узлы одновременно выпол-няют статистическое сопоставление и быстро определяют, какой изузлов должен обрабатывать пакет. При сопоставлении используетсяфункция псевдослучайного выбора, вычисляющая приоритет узла наоснове IP-адреса клиента, номера порта и другой информации, при-меняемой для оптимизации балансировки нагрузки. Выбранный узелпересылает пакет на следующий сетевой уровень TCP/IP, а осталь-ные узлы кластера отбрасывают пакет. Порядок сопоставления неменяется, пока состав узлов кластера остается тем же, поэтому зап-

Глина Ь

росы с определенным IP-адресом клиента и номером порт всегда по-падают на один и тот же узел. Однако нельзя заранее определить, накакой узел попадет запрос с тем или иным IP-адресом источника иномером порта, так как функция псевдослучайного выбора, миними-зируя время сопоставления, учитывает текущий и предыдущий составкластера.

В алгоритме балансировки нагрузки предполагается, что IP-адре-са клиентов и номера портов (если только не включена привязка кли-ентов) статистически независимы. (О привязке клиентов рассказы-вается далее на этом занятии.) Поэтому возможны проблемы, когдавсе пакеты проходят через брандмауэр, который маскирует клиентс-кие IP-адреса, заменяя их одним адресом, и к тому же включена при-вязка клиентов. В этом случае все клиентские запросы попадают наодин узел кластера, и балансировка нагрузки невозможна. Однакообычно для устранения неполадки достаточно отключения привязкиклиентов, так как распределение портов клиентских запросов бранд-мауэром обычно обеспечивает хорошую балансировку нагрузки.

ПерегруппировкаУзлы NLB-кластера периодически обмениваются широковещатель-ными сообщениями пульса (heartbeat), или информацией о состояниикластера. Это обеспечивает согласованность состояний узлов класте-ра. При изменении состояния кластера (например, при отказе, под-ключении или отключении узла) служба NLB инициирует процессперегруппировки (convergence), в ходе которого узлы обмениваютсяинформацией пульса с целью определения нового рабочего состоя-ния кластера, а также выбора узла с наивысшим приоритетом в каче-стве нового узла по умолчанию. Придя к соглашению о новом рабо-чем состоянии и по завершении процесса перегруппировки узлы кла-стера регистрируют изменение состава кластера в журнале событийWindows 2000. На рис. 5-4 показана схема процесса перегруппировкив службе балансировки сетевой нагрузки.

В ходе перегруппировки узлы продолжают обрабатывать входящийсетевой трафик как обычно, с те\д лишь исключением, что трафик дляотказавшего узла не обслуживается. Отказ узла никак не влияет назапросы клиентов, направляемые уцелевшим узлам. Перегруппиров-ка завершается, когда все узлы кластера обмениваются полностьюсогласованной информацией о составе кластера в течение несколь-ких периодов пульса. Если узел с несовместимыми правилами портовили приоритетом, перегруппировка попросту не завершается, а не-верно сконфигурированный узел так и не получает соответствующейдоли трафика кластера.

• Ежесекундная отправка широковещательногосообщения пульса

• Для контроля состояния применяется тот же сетевойадаптер, что и для входящего трафика

• Пульс занимает очень небольшую часть пропускнойспособности сети

Рис. 5-4. Восстановление после сбоя и перегруппировка в службебалансировки сетевой нагрузки

По окончании перегруппировки клиентский трафик отказавшегоузла перераспределяется между остальными узлами (рис. 5-5). Еслиузел добавляется в кластер, после перегруппировки он получит своюдолю распределенного трафика.

Расширение кластера не влияет на текущую его работу, и выпол-няется незаметно как для клиентов Интернета, так и серверных про-грамм. Есть один небольшой «минус» — могут нарушиться открытыеклиентские сеансы, так как за время, прошедшее между соединения-ми, клиенты могут переназначаться на другие узлы кластера.

Ежесекундно каждый узел рассылает широковещательное сообще-ние пульса, в котором содержится информация о состоянии узла, егологическом статусе и политике портов. Другие узлы изучают эти со-общения и проверяют их на соответствие структуре кластера.

Пульс кластера отнимает очень незначительные ресурсы ЛВС-речь идет о десятках килобайт, так как широковещательное сообще-ние состоит из одного пакета на узел в секунду. Это n-шаговый, а неn-кратный алгоритм.

Клиентыв Интернете/интрасети

• 5 раз обнаружено нарушение согласованного пульсаот узла (5 секунд} - кластер инициирует перегруппировку

• В течение трех секунд кластер перераспределяет нагрузкув соответствии с правилами портов и алгоритмом

Рис. 5-5. Реакция кластера со службой NLB на отказ одного узла

Если по истечении пятисекундного интервала какой-либо из уз-лов обнаруживает отключекие другого или появление нового узла,первый инициирует процесс перегруппировки. В ходе этого процессачастота пульса удваивается. Во время перегруппировки другие узлыпродолжают обслуживать запросы клиентов.

Клиенты, которые в обычных условиях обслуживаются отказав-шим узлом, ответа не получают— их существующие подключениясбрасываются, а новые направляются на сбойный узел и не обслужи-ваются. В течение 10 секунд такие клиенты перенаправляются на дру-гие узлы, и нормальная работа кластера восстанавливается (то естьпроисходит перемещение при сбое).

Важно понимать, что во время перегруппировки кластер не пре-кращает обслуживание трафика, Допустим, к существующему клас-теру на основе Windows NT добавляется новый узел под управлениемWindows 2000, на котором забыли изменить правила портов по умол-чанию. Новый порт не соответствует правилам кластера на базе Win-dows NT, поэтому перегруппировка будет продолжаться до тех пор,пока не отключат неправильно настроенный узел от кластера и не

скорректируют правила портов на присоединяемом узле. Этот методможет показаться странным, но это единственный способ обеспечитьсогласованную балансировку нагрузки между узлами.

Привязка клиентовДля поддержки сеансов в службе балансировки сетевой нагрузки кли-ент обслуживается одним узлом на протяжении всего сеанса (в анг-лоязычной литературе этот метод называется client affinity). Послепервого запроса клиента, распределяемого по обычному механизмубалансировки нагрузки, служба NLB отслеживает только IP-адресисточника сообщения, но не информацию о порте источника. По-этому клиент с определенным IP-адресом автоматически обслужива-ется одним узлом кластера, а вся информация о состоянии сеанса втаких подключениях сохраняется. Пока не нарушено подключение,клиент не перенаправляется на другой узел.

На рис. 5-6 показано, как работает привязка клиента.

Клиентыв Интернете/интрасети Принять? Нет

Собственный IP-адрес: 1.1.1.2Виртуальный IP-адрес: 1.1.1.1



Принять? Да

Одиночная привязка или привязка класса С


Принять? Нет• Начальный запрос клиента назначается в соответствии

с принятыми правилами и алгоритмом

• Все последующие запросы клиента попадаютна тотже сервер, идентификация клиента Собственный IP-адрес: 1.1.1.5выполняется по его IP-адресу Виртуальный IP-адрес: 1.1.1.1

Рис. 5-6. Схема процесса привязки клиента

Существует два типа привязки клиента: одиночная (single) и класса С.Обе поддерживают клиентские сеансы. При одиночной привязкеслужба NLB закрепляет клиента за конкретным узлом, не устанавли-вая никаких временных ограничений — привязка остается в силе доследующего изменения состава кластера. Недостаток такого способаочевиден: на крупном сайте с несколькими прокси-серверами запро-сы от одного клиента могут поступать с разных IP-адресов. Эта про-блема решена в привязке класса С, в которой все клиенты, относя-щиеся к определенному пространству адресов класса С, закрепляют-ся за конкретным узлом кластера. К сожалению, привязка класса Сне работает, когда адреса прокси-серверов перекрываются в адрес-ном пространстве класса С. На сегодня единственный способ реше-ния этой проблемы — применение ASP-страниц (Active Server Pages).

Архитектура службы балансировки сетевой нагрузкиПолностью распределенная программная архитектура службы NLBпозволяет добиться максимальной производительности и доступнос-ти. Одинаковые экземпляры драйвера NLB работают одновременнона каждом из узлов кластера. Драйверы обеспечивают одновремен-ный прием входящего сетевого трафик, направляемый на основнойIP-адрес кластера (и на дополнительные адреса, если речь идет об узлесо многими интерфейсами) всеми узлами одной подсети. На узле кла-стера драйвер выполняет роль пакетного фильтра между драйверомсетевого адаптера и стеком TCP/IP, отсекая часть входящего сетевоготрафика, направленного другим узлам. Таким образом осуществляет-ся распределение входящих запросов клиентов и балансировка на-грузки между узлами кластера.

Служба NLB работает как сетевой драйвер и логически располага-ется ниже таких прикладных протоколов, как HTTP и FTP. На рис. 5-7 показано, как служба балансировки сетевой нагрузки реализуется вкачестве промежуточного драйвера сетевого стека Windows 2000.

Такая архитектура позволяет добиться максимальной пропускнойспособности за счет широковещательной рассылки входящего сете-вого трафика всем узлам кластера в подсети и отсутствия необходи-мости маршрутизации входящих пакетов каждому из узлов кластера вотдельности. Поскольку фильтрация ненужных пакетов быстрее мар-шрутизации (которая включает прием, анализ, перезапись заголов-ков и пересылку пакета), служба NLB обеспечивает большую пропус-кную способность по сравнению с решениями на базе программ-дис-петчеров. Вместе с увеличением скорости сети и производительностисерверов пропорционально растет пропускная способность службыбалансировки сетевой нагрузки. Таким образом обеспечивается не-

зависимость от конкретной аппаратной реализации маршрутизации.Так, в гигабитных сетях служба NLB обеспечивает пропускную спо-собность 250 мегабит в секунду.

Узел кластераСерверное Утилита

приложение WLBS. ЕХЕ

Ядро Windows 2000

TCP/IP

Драйвер балансировкисетевой нагрузки (NLB)

Драйвер Драйверсетевого сетевогоадаптера адаптера

Сетевой ЯЛЯПТРПеЩсИ 1 1 ерадаптеркластера

локальнойсети

ЛВС

Рис. 5-7. Служба балансировки сетевой нагрузки в качествепромежуточного драйвера между протоколом TCP/IPи драйверами сетевых адаптеров стека протоколовWindows 2000

Для одновременной доставки входящего сетевого трафика на всеузлы кластера в службе NLB используются преимущества архитекту-ры концентратора или коммутатора, на которых базируется подсеть.К сожалению, при этом увеличивается нагрузка на коммутаторы, таккак требуется дополнительная пропускная способность портов. Впро-чем, для таких стандартных задач, как службы Web-публикации илипередача потоковых мультимедийных данных, рост нагрузки несуще-ственен, так как входящий трафик на порядки меньше общего сете-вого трафика. Однако если быстродействие клиентских сетевых под-ключений значительно превышает быстродействие серверных под-ключений, входящий трафик может перегрузить серверную подсеть.Эта же проблема возникает, если несколько кластеров подключены кодному коммутатору, а в самих кластерах не установлены виртуаль-ные ЛВС (VLAN).

Конвейерная реализация службы NLB при приеме пакета одно-временно обслуживает пересылку входящих пакетов в стек TCP/IP иприем остальных пакетов драйвером сетевого адаптера. Это сокраща-ет общее время обработки и задержки, так как стек TCP/IP способен

обрабатывать пакет параллельно с приемом следующего пакета драй-вером NDIS (Network Driver Interface Specification). Кроме того, приэтом снижается потребность в дополнительных операциях согласова-ния работы TCP/IP и NDIS-драйвера, а также обычно устраняетсянеобходимость держать в памяти две копии пакета. При отправке па-кета служба NLB также обеспечивает повышение пропускной способ-ности и сокращает число задержек и дополнительных операций засчет увеличения числа пакетов, отправляемых стеком TCP/IP за одинвызов NDIS. Для этого NLB создает и поддерживает в памяти пулпакетных буферов и дескрипторов, которые и применяет для распа-раллеливания стека TCP/IP и NDIS-драйвера.

Данные состояния приложенияДанными состояния приложения (application state data) называется ин-формация, хранимая и обрабатываемая серверным приложением оклиенте. Для серверных приложений (например, Web-сервера), кото-рые хранят информацию о состоянии клиентского сеанса, или данныесостояния сеанса клиента, на протяжении нескольких TCP-подключе-ний обычно требуется, чтобы все TCP-подключения клиента направ-лялись на один узел кластера. Примеры данных состояния сеанса кли-ента — содержимое корзины покупок на сайте электронной коммер-ции и авторизационные данные протокола SSL (Secure Sockets Layer).

Службу балансировки сетевой нагрузки часто применяют для по-вышения масштабируемости приложений, работающих с даннымисостояния сеанса на протяжении нескольких подключений. При вклю-ченной привязке клиентов служба NLB направляет все TCP-подклю-чения одного клиента на один и тот же узел кластера. Однако приотказе сервера или сбое сети во время клиентского сеанса для повтор-ной авторизации пользователя и восстановления данных состояниясеанса потребуется повторный вход в систему. При подключении ккластеру нового узла последчий берет на себя часть клиентского тра-фика, что может нарушить клиентские сеансы, хотя исходящие TCP-соединения при этом не нарушаются. Для клиент-серверных прило-жений, поддерживающих состояние клиентов с обеспечением досту-па к этим данным всех узлов кластера (например, сохранением дан-ных о состоянии в cookie-файлах или во внутренней базе данных),привязка клиентов не требуется.

Для упрощения работы t д а н н ы м и состояния сеанса в NLB под-держивается дополнительный параметр привязки клиента, при кото-рой все клиентские запросы, поступившие с адресов класса С задан-ного диапазона, направляются на один узел кластера. Эта возмож-ность позволяет направлять TCP-подключения клиентов, использу-

ющих несколько прокси-серверов, на один узел кластера. Если настороне клиента установлено несколько прокси-серверов, то запро-сы от одного и того же клиента выглядят как исходящие от разныхсистем. Если все прокси-серверы клиента расположены в одном диа-пазоне адресов класса С (максимум 254 узла), служба балансировкисетевой нагрузки обеспечит поддержку всех сеансов клиента однимузлом при минимальном влиянии на распределение нагрузки междуузлами кластера. Впрочем, в некоторых очень крупных клиентскихсетях прокси-серверы могут размещаться в нескольких пространствахадресов класса С.

Помимо данных состояния клиентских сеансов, серверные при-ложения часто поддерживают информацию, которая хранится на сер-вере и обновляется при выполнении клиентских транзакций, напри-мер состояние складских запасов на сайте электронной коммерции.Нельзя использовать службу балансировки сетевой нагрузки для пря-мого масштабирования вверх таких приложений, как Microsoft SQLServer (если только не предусмотрен доступ к базе данных в режиме«только для чтения»), в которых несколько пользователей влияют наобновление данных, так как обновления на одном узле не видны сдругих узлов кластера. Чтобы воспользоваться преимуществами NLB,такие приложения должны поддерживать одновременный доступ не-скольких экземпляров прикладной программы к серверу базы дан-ных, при этом за синхронизацию обновлений отвечает сама СУБД.Например, Web-серверы на базе ASP-страниц должны передаватьобновления, сделанные клиентами, серверу совместно используемойбазы данных.

Использование службы балансировки сетевойнагрузкиСлужба балансировки сетевой нагрузки автоматически устанавлива-ется одновременно с Windows 2000 Advanced Server или Windows 2000Datacenter Server. Она работает либо как дополнительная службаЛВС-подключений, либо как служба одного сетевого подключения всистеме; такое ЛВС-подключение называется адаптером кластера.Для установки и работы службы NLB не требуется никаких измене-ний оборудования. Она совместима почти со всеми сетевыми адапте-рами Ethernet и FDDI (Fiber Distributed Data interface), поэтому длянее не предусмотрен отдельный список совместимости оборудования.

IP-адресаКластеру назначается основной IP-адрес — виртуальный IP-адрес, назапросы к которому отвечают все узлы кластера. В утилите удаленно-

го управления, поставляемой в составе службы NLB, этот адрес ис-пользуется для идентификации управляемого кластера. Каждому узлукластера назначается собственный, уникальный в пределах кластераIP-адрес, который применяется для подключения к сети. Служба NLBраспределяет входящий трафик, поступающий со всех IP-адресов, нотолько не собственные адреса узлов кластера.

При настройке NLB требуется определить собственные IP-адресаузлов, основной IP-адрес кластера и другие дополнительные вирту-альные IP-адреса в диалоговом окне свойств TCP/IP — это позволитстеку TCP/IP узла обрабатывать пакеты, поступающие на эти адреса.Всегда в первую очередь задаются собственные IP-адреса, чтобы взаголовке исходящих соединений для узлов указывались именно этиIP-адреса, а не виртуальный IP-адрес. В противном случае ответы,поступающие на адрес определенного узла кластера, служба NLB пе-рераспределяет и направляет на другие узлы. В некоторых службах,например на Р РТР-сервере (Point-to-Point Tunneling Protocol), не раз-решается изменять IP-адрес источника, поэтому в них нельзя исполь-зовать собственные IP-адреса.

Приоритеты узловКаждому узлу кластера назначается уникальный приоритет узла (це-лочисленное значение из диапазона 1—32), при этом чем меньше чис-ло, тем приоритет выше. Узел с наивысшим приоритетом (наимень-шим числовым значением приоритета) называется основным. Он об-рабатывает весь клиентский трафик, поступивший на виртуальныеIP-адреса и не подлежащий распределению средствами NLB. Этообеспечивает получение клиентского трафика на единственном узледля серверных приложений, не настроенных на работу с балансиров-кой нагрузки. При отказе у ша по умолчанию его роль принимает насебя узел с ближайшим максимальным приоритетом.

Правила портовПравила портов используются в службе NLB для особой балансиров-ки нагрузки между портами сервера. Для настройки правил портовприменяют политики балансировки нагрузки — либо всех узлов, либокаждого узла в отдельности. В первом случае входящие запросы кли-ентов распределяются меяа.у всеми узлами кластера, и можно опре-делить долю нагрузки индивидуально для каждого узла. Это позволя-ет передавать более мощным узлам большую часть общей нагрузки.При балансировке нагрузки для каждого узла в отдельности все кли-ентские запросы направляются на узел с максимальным приорите-том обработки. Приоритет обработки обладает преимуществом перед

приоритетом узла для заданного диапазона портов и позволяет на-строить особую обработку клиентского трафика, относящегося к темили иным серверным приложениям. Правила портов иногда приме-няют для отсечения нежелательного сетевого трафика на определен-ные IP-порты.

По умолчанию в службе NLB определяется единственное правилопортов, по которому выполняется балансировка нагрузки между все-ми портами (от 0 до 65 535) и поддерживается одиночная привязкаклиента. Это правило вполне годится для большинства приложений.Ни в коем случае нельзя изменять это правило для приложений, ис-пользующих виртуальные частные сети (VPN) или фрагментацию IP-пакетов. Оно обеспечивает эффективную обработку фрагментов уз-лами кластера.

РезюмеРезервирование серверов — простой и эффективный способ добить-ся высокой надежности и доступности системы. Служба балансиров-ки сетевой нагрузки позволяет реализовать масштабируемость и вы-сокую доступность, основанные на TCP/IP корпоративных служб засчет распределения клиентских запросов между несколькими серве-рами, или узлами кластера. В NLB используется алгоритм полностьюраспределенной пакетной фильтрации для назначения поступающихзапросов клиентов узлам кластера. Узлы кластера периодически об-мениваются между собой широковещательными или многоадресны-ми сообщениями пульса для мониторинга и управления состояниемкластера. При изменении состояния кластера (например, отказе, от-ключении или подключении узла к кластеру) служба NLB иницииру-ет процесс перегруппировки. Привязка клиентов позволяет трафикот клиента направлять на один и тот же узел кластера, что обеспечи-вает сохранение данных состояния сеанса — данные, сохраняемыхсерверным приложением для конкретных клиентов. Для повышенияпропускной способности и доступности в службе балансировки сете-вой нагрузки поддерживается полностью распределенная программ-ная архитектура. Кластеру назначается основной IP-адрес— вирту-альный, на запросы к которому отвечают все узлы кластера. Каждомуузлу кластера назначается уникальный приоритет узла (целочислен-ное значение из диапазона 1—32), при этом чем меньше число, темприоритет выше. Правила портов используются в службе NLB дляособой балансировки нагрузки между портами сервера,

Занятие 2, Планирование NLB-кластеровСлужба балансировки сетевой нагрузки позволяет масштабироватьслужбы на базе TCP/IP, при этом в состав кластера может входить до32 узлов. Служба NLB — полностью распределенное программноерешение, ее копии работают параллельно на каждом из узлов, и приотказе одного из узлов кластер продолжает работать. В службе NLBиспользуется способность коммутаторов и концентраторов достав-лять трафик одновременно ко всем узлам кластера, что позволяет ейобеспечивать гораздо большую пропускную способности, чем в слу-чае применения централизованного решения. В службе NLB класте-ру назначается виртуальный IP-адрес, поэтому с точки зрения кли-ентов кластер выглядит как одиночная система. При развертываниислужбы NLB нужно учесть ряд обстоятельств, влияющих на конфи-гурацию кластеров в сети предприятия. Так, нужно определить числоузлов в кластере. На этом занятии описаны все этапы процесса пост-роения кластера в сети предприятия.

Изучив материал этого занятия, вы сможете;

s спроектировать NLB-кластер и перечислить сбои,способные привести к перерыву в доступе к. ресурсам;

^ выбрать приложения, поддерживаемые кластером;V определить размер NLB-кластера;s оптимизировать NLB-кластер.


Планирование NLB-кластераПроектирование NLB-класгера состоит из нескольких этапов: опре-деления сетевых рисков, выбора поддерживаемых приложений, вы-бора модели балансировки сетевой нагрузки, определения размеракластера и требований по производительности, а также планирова-ния отказоустойчивости. На данном занятии мы подробно расскажемо каждом из этих этапов.

Определение сетевых рисковПри определении сетевых рисков следует перечислить все возмож-ные аварийные ситуации, способные нарушить доступ к сетевым ре-сурсам. Уязвимыми местами может стать оборудование или ПО, атакже внешние ресурсы, например централизованное электропитаниеили выделенные WAN-линии.

В общем случае максимальная доступность обеспечивается сокра-щением числа точек критического сбоя в сетевой среде и обеспече-нием механизмов обеспечения работоспособности системы даже присбоях.

В службе балансировки сетевой нагрузки максимальная доступ-ность обеспечивается также:• балансировкой нагрузки только в приложениях, поддерживающих

механизм NLB;• корректной настройкой серверов приложений для выполнения

используемых программ.

Основная задача службы NLB — обеспечить высокую доступность.В кластере из двух или более узлов гарантируется поддержка обра-ботки клиентских запросов даже при отказе одного из компьютеров.Однако служба NLB не предназначена для защиты всех бизнес-про-цессов при любых обстоятельствах. Так, она не является альтернати-вой резервному копированию данных, Служба NLB защищает от сбо-ев не сами данные, а доступ к ним. Кроме того, она бесполезна приаварии электропитания, когда работоспособность теряет весь кластер.

В Windows 2000 Advanced Server предусмотрены определенныесредства зашиты внутренних и сетевых процессов от сбоев, в том чис-ле поддержка технологий RAID-1 (зеркалирование дисков) и RAID-5(чередование дисков с контролем четности). При проектированииNLB-среды следует по возможности использовать эти технологии натех участках, где служба NLB не в состоянии обеспечить защиту отсбоев.

Определение состава поддерживаемых приложенийВообще говоря, служба балансировки сетевой нагрузки годится длямасштабирования любых приложений или служб, использующих вкачестве сетевого протокола TCP/IP и связанных с конкретным пор-том TCP или UDP.

К приложениям, работающим на NLB-кластере, предъявляетсяряд требований:• осуществление клиентских подключений по протоколу IP;• использование портов TCP или UDP;• возможность исполнения нескольких идентичных экземпляров

приложения одновременно на разных серверах. Если разные эк-земпляры приложения используют одни данные, требуется пре-дусмотреть средства синхронизации обновлений.

Для определения перераспределяемого и пропускаемого без изме-нения трафика в NLB используются правила портов. По умолчаниюбалансировка нагрузки выполняется для всех портов. Однако прави-

ла балансировки входящего сетевого трафика можно изменять длякаждого порта в отдельности. Для изменения свойств по умолчаниюсоздают правила для тех или других диапазонов номеров портов.

Вот примерный список служб и сопоставленных им портов:• протокол HTTP используется, к примеру, в IIS — порт 80;• HTTPS (HTTP Secure), используемый совместно с SSL (Secure Socket

Layer) для пересылки шифрованного Web-трафика, — порт 443;• FTP применяется для пересылки файлов — порты 21, 20, 1024-65535;• серверы TFTP (Trivial File Transfer Protocol), например, использу-

ются в загрузочном протоколе ВООТР — порт 69;• SMTP (Simple Mail Transfer Protocol), в частности, используется в

Microsoft Exchange — порт 25;• службы терминалов — порт 3389.

Для нормальной работы балансировки нагрузки приложение илислужба должны поддерживать возможность одновременной работынескольких экземпляров, по одной на каждый узел кластера. Б част-ности, приложение не должно независимо, без оглядки на другие эк-земпляры вносить изменения в обший файл, если только не предус-мотрено особого механизма синхронизации обновлений. Чтобы из-бежать проблемы рассинхронизации, для обработки синхронных об-новлений общей информации применяют сервер баз данных, кото-рый размещают в закрытой сети.

Службу NLB обычно используют в связке со следующими серве-рами:• серверы VPN — расширение частной сети, в котором используют-

ся подключения через совместно используемые или общедоступ-ные сети, например через Интернет;

• серверы потоковых мультимедийных данных — мультимедийное ПО(например, Microsoft Media Technologies), позволяющее достав-лять информацию в формате ASF (Advanced Streaming Format) че-рез интранет или Интернет.

Если обнаружится, что выгодно балансировать трафик протоколаРРТР или потоковых данны>, рекомендуется применить службу NLBдля поддержки серверов VP"N и передачи потоковых мультимедийныхданных.

нание Перед перенесением приложения в NLB-кластер про-верьте, разрешает ли это его лицензия, или посоветуйтесь с поставщи-ком. У всех поставщиков ПО имеются правила лицензирования рабо-ты их приложений в кластерах.

Выбор NLB-моделиСуществует четыре модели NLB-кластеров. Подробнее об их досто-инствах и недостатках рассказывается далее в занятии 3.

Определение размера NLB-кластераРазмер кластера — это число узлов, входящих в кластер (в Windows 2000оно не может превышать 32). Его определяют исходя из того, сколькокомпьютеров необходимо для обработки ожидаемой клиентской на-грузки определенного приложения.

Допустим, для предоставления Web-службы клиентам понадобит-ся 6 компьютеров с IIS-сервером. Тогда потребуется создать кластериз 6 узлов со службой NLB на каждом из 6 компьютеров.

Общее правило заключается в добавлении в кластер дополнитель-ных узлов пока тот не сможет легко справиться с пиковой нагрузкой.Максимальный размер кластера определяется емкостью подсети, вкоторой он расположен. Точное число зависит от вида приложения.

Примечание Не забывайте позаботиться о резервной мощности серве-ров, чтобы при отказе одного из них оставшиеся серверы смогли спра-виться с возросшей нагрузкой.

Если подсеть, в которой находится кластер, работает на пределевозможностей, рекомендуется создать еще один кластер и разместитьего в другой подсети. Для перенаправления клиентов на кластерыследует использовать циклическое обслуживание DNS (round-robinDNS). При дальнейшем росте потребности в сетевых ресурсах можнодобавить еще несколько кластеров. Поскольку в списке циклическо-го обслуживания DNS указаны только IP-адреса кластеров, клиентыперенаправляются не на серверы, а на кластеры и поэтому не сталки-ваются с отказами сервера. В некоторых системах, требующих боль-шой пропускной способности, можно использовать циклическое об-служивание DNS для распределения входящего трафика между не-сколькими идентичными NLB-кластерами.

На рис. 5-8 IP-запрос обрабатывается DNS-сервером (www.prose-ware, com), который разрешает доменное имя в виртуальный IP-адресNLB-кластера 1 (10.1.0.1) и передает запрос этому кластеру. Последу-ющие запросы направляются в кластер 2 (10.2.0.1) и кластер 3(10.3.0.1)и снова по кругу.

Для разделения входящего трафика между несколькими кластера-ми можно воспользоваться коммутатором. При развертывании не-скольких кластеров с использованием сетевых коммутаторов класте-ры следует размещать на отдельных коммутаторах, чтобы входящийтрафик различных кластеров обрабатывался отдельно.

DNS-серверwww. proseware. com

10.1.0.110.2.0.110.3.0.1

DNS-сервер(дополнительный)

NLB-кластер 110.1.0.1

NLB-кластер 210.2,0.1

NLB-кластер 310.3.0.1

Рис. 5-8. Циклическое обслуживание DNS идентичных NLB-кластеров

Определение требований по производительностиЗная размер кластера, можно приступать к определению конфигура-ции отдельных узлов кластера. Вообще говоря, этот выбор долженопределяться типом приложений, нагрузку которых требуется рас-пределять, и ожидаемым числом клиентов. Некоторые серверные при-ложения, например файловые серверы и серверы печати, исключитель-но интенсивно используют диски, поэтому им требуются очень боль-шие дисковые пространства и быстрый ввод/вывод. Более подробно отребованиях по производительности рассказывается в главе 7.

Планирование отказоустойчивой дисковой подсистемыОтказ диска часто приводит к невосполнимой потере данных и пре-кращению работы службы NLB, а также сервера и всех работающихна нем приложений. Поэтому стоит позаботиться о специальных ме-рах защиты дисков от сбоя. Обычно для этих целей применяют про-граммные или аппаратные RAID-массивы. Отказоустойчивое реше-ние на базе RAID гарантирует целостность данных при отказе одногоиз дисков массива.

При аппаратном решении вычислением и обновлением информа-ции четности занимается интерфейс контроллера, а хранимые дан-

ные распределяются между дисками массива. В Windows за созданиеи восстановление данных из информации четности отвечает систем-ное ПО, а хранимые данные распределены по дисковому массиву илипо нескольким виртуальным дискам.

Дисковый массив состоит из нескольких дисков, совместно управ-ляемых контроллером. Файлы данных записываются на несколькодисков (их число зависит от используемого уровня RAID), что обес-печивает рост производительности или доступности.

Необходимо заметить, что при отказе одного диска система ста-новится незащищенной, и лишь очень немногие реализации RAIDспособны продолжать работу при одновременном отказе двух дисков.После замены отказавшего диска данные восстанавливаются на ос-нове информации четности. Для восстановления не нужны ленты сархивной информацией или какое-либо ручное вмешательство, свя-занное с восстановлением транзакций, выполненных после последне-го резервного копирования. По завершении восстановления данныхвсе данные остаются «свежими», а система — защищенной от сбоя дис-ка. Основное достоинство дисковых массивов заключается именно врентабельности обеспечения высокой доступности хранения данных,

Программная реализация RAIDОС Windows 2000 Advanced Server поддерживает три программныхреализации RAID: RAID-0, RAID-1 и RAID-5. Защиту от сбоев обес-печивают только RAID-1 и RAID-5. Они применяются для предотв-ращения потери данных при внезапном выходе из строя жесткогодиска. Такой защитой можно оснастить любой из серверов со служ-бой балансировки сетевой нагрузки. При отказе диска сервер как нив чем не бывало продолжит работу, а вместе с ним служба NLB и об-служиваемые ею приложения.

Основное различия между RAID-1 и RAID-5 — в требованиях коборудованию, производительности и стоимости. Выбор зеркалиро-вания дисков (RA1D-1) или томов RAID-5 зависит от ситуации. ТомаRAID-5 хорошо защищают данные, если в основном выполняетсячтение данных. Например, такое решение применяют, если в сетиесть сервер с копиями всех используемых программ. Оно позволитзащитить программы от сбоя одного из чередующихся дисков в мас-сиве, а также обеспечит высокую скорость считывания за счет одно-временного чтения данных со всех дисков массива RAID-5.

В тех случаях, когда информация часто обновляется, обычно при-меняют зеркальные тома. Однако если требуется обеспечить резерви-рование при относительно невысокой стоимости подсистемы хране-ния данных, можно использовать и том RAID-5.

Аппаратная реализация RAIDНа компьютерах со службой NLB применяют разнообразные аппа-ратные реализации RAID. Многие аппаратные реализации RAIDобеспечивают доступность данных путем многократного резервиро-вания, в том числе дублирования подсистемы питания, шин данныхи кабелей в одном корпусе и отслеживания состояния всех компо-нентов RAID-устройств.

Для обеспечения высокой производительности в аппаратных реали-зациях RAID устанавливается встроенный процессор с кэшем. ОС Win-dows 2000 и служба балансировки сетевой нагрузки работают с такимиустройствами, как с обычными дисковыми ресурсами. Несмотря на го-раздо большую стоимость по сравнению с программными реализация-ми, аппаратные версии RAID обычно считаются лучшим решением.

Принятие решенияПроектирование кластера NLB выполняется в несколько этапов. Накаждом этапе нужно принимать решения по конфигурированию обо-рудования и программ (таблица 5-1).

Таблица 5-1. Проектирование кластера NLB


Определениесетевых рисков

Определение составаподдерживаем ыхприложений

При построении NLB-кластеров и сети, вкоторой они размещаются, нужно минимизи-ровать число точек критического сбоя ипредусмотреть механизмы обеспечения рабо-тоспособности системы при отказе отдельныхкомпонентов. Балансировку нагрузки следуетвыполнять только в тех приложениях, которыеподдерживают взаимодействие со службойNLB, следует также правильно настроитьсерверы приложений для работы с такимиприложениями

Приложения должны использовать для связис клиентами протокол IP, а также порты TCPили UDP. Для нормальной работы баланси-ровки нагрузки приложение или службадолжны поддерживать возможность одновре-менной работы нескольких экземпляров, поодной на каждый узел кластера. Если несколькоэкземпляров программы совместно используютданные, следует предусмотреть механизмсинхронизации обновления этих данных

Выбор модели NLB

Определение размераNLB-кластера

(продолжение)Существует четыре модели NLB-кластеров.Подробнее об их достоинствах и недостаткахрассказывается далее в занятии 3

Размер кластера — это число узлов, входящихв кластер (в Windows 2000 оно не может пре-вышать 32). Оно определяется на основаниитого, сколько компьютеров необходимо дляобработки ожидаемой клиентской нагрузкиопределенного приложения. Максимальныйразмер кластера определяется емкостьюданной подсети. Для кластеров, расположе-нных в разных подсетях, обычно применяютциклическое обслуживание DNS

Мощность узлов кластера выбирается наосновании типа поддерживаемых приложенийи числа клиентов. Более подробно о требова-ниях по производительности рассказываетсяв главе 7

Для реализации отказоустойчивости дисковойподсистемы применяют технологию RAID.Существует два вида реализации RAID-массивов — аппаратный и программный.Windows 2000 поддерживает два программныхрешения отказоустойчивости: RA1D-1 иRAID-5

РекомендацииПри разработке NLB-кластера придерживайтесь следующих рекомен-даций:• устраните все точки критического сбоя в аппаратном и программ-

ном обеспечении, а также в службах, предоставляемых сторонни-ми организациями. Резервируйте службы, компоненты и сетевыеподключения, а также держите под рукой набор запасных компо-нентов. Настройте серверы для работы с необходимыми приложе-ниями; используйте только приложения, которые поддерживаютвзаимодействие со службой NLB;

• для работы в кластере выбирайте только те приложения, которыебазируются на сетевом протоколе TCP/IP и связаны с конкретны-ми портами TCP или UDP;

• подключите к кластеру столько серверов, сколько необходимо длянормальной обработки нагрузки. Позаботьтесь о достаточном за-

Определение требованийпо производительности

Использование отка-зоустойчивых дисковыхподсистем

пасе мощности, чтобы при сбое одного узла оставшиеся серверысмогли справиться с возросшей нагрузкой. Для кластеров, распо-ложенных на разных подсетях, используйте циклическое обслужи-вание DNS;

• для обеспечения отказоустойчивости дисков применяйте аппарат-ные реализации RAID.

Пример. NLB-кластер для компании NorthwindTradersКомпания Northwind Traders импортирует сувениры из Юго-Восточ-ной Азии и оптом продает их в США и Европу. В настоящее времясоздается Web-сайт компании, который позволит оптовым клиентамразмещать заказы в онлайновом режиме. Сайт должен работать в ре-жиме «24x7», чтобы обеспечивать работу клиентов в различных часо-вых поясах. Для обеспечении высокой готовности Web-серверов пла-нируется воспользоваться службой NLB.

Перед построением кластера требуется спроектировать структурукластера, используя описанный на этом занятии поэтапный процесс.На первом этапе необходимо устранить все точки критического сбояв сети. Для достижения высокой доступности предполагается обес-печить резервирование Web-сайта и его сетевой инфраструктуры, на-пример установить резервные коммутаторы и подключения к Интер-нет-провайдерам.

Для обеспечения работы служб Интернета фирма Northwind Tradingприменяет US-сервер, так как на нем в качестве сетевого протоколаиспользуется TCP/IP и он создает привязку к порту 80. Кроме того,существует возможность запустить одновременно несколько экземп-ляров IIS на разных серверах. Вначале планируется создать кластериз 6 узлов. Предполагается, что такого их числа вполне достаточно,чтобы справиться с нагрузкой даже при отказе одного из серверовПропускной способности подсети, на которой предполагается размес-тить кластер, хватает для обслуживания текущего трафика кластера, ипо расчетам, должно хватить на будущее, при дальнейшем росте сети.На данный момент создания нескольких кластеров не требуется.

Для обеспечения отказоустойчивости отдельных узлов собирают-ся применять аппаратные реализации RAID, а также установить ре-зервные контроллеры. Специалисты Northwind Trading считают, что зат-раты на приобретение аппаратной реализации RAID окупятся за счетулучшения параметров по сравнению с программной реализацией.

На рис. 5-9 показана планируемая конфигурация кластера дляWeb-сайта компании Northwind Traders. Обратите внимание, в про-

екте предусмотрены резервные коммутаторы и подключения к Ин-тернет-провайдерам.

Маршрутизатор/ Коммутатор 1 для^брандмауэр подключения к Интернету

одключениек Интернет-

провайдеру 1

К внутреннейи закрытой сетям

Ethernet -НИ

Web-кластер

юдключение1

к Интернет--провайдеру 2

Маршрутизатор/ Коммутатор 2 длябрандмауэр подключения к Интернету

Рис. 5-9. NLB-кластер для Web-сайта компании Northwind Traders

РезюмеПрежде чем создавать кластер с балансировкой сетевой нагрузки всети Windows 2000, его следует спроектировать, Эта процедура выпол-няется в несколько этапов. Прежде всего нужно определить сетевыериски и устранить все точки критического сбоя. Основная цель со-здания NLB-кластеров и сети, в которой они располагаются, заклю-чается в достижении повышенной доступности. Далее требуется оп-ределить, какие приложения следует разместить на кластере со служ-бой NLB. Основное требование к этим приложениям — использова-ние для сетевых подключений протокола TCP/IP и портов TCP илиUDP. Затем выбирают модель NLB-кластера, число узлов, которыетребуется разместить в кластере и определяют аппаратные требова-ния к каждому из узлов. Общее правило таково: число узлов в класте-ре увеличивают до тех пор, пока ему удается без проблем справлятьсяс номинальной нагрузкой. И, наконец, необходимо продумать реа-лизацию отказоустойчивой дисковой подсистемы. Для этого обычно

применяют аппаратную или программную реализацию технологииRAID. Windows 2000 Server поддерживает три типа программной реа-лизации RAID: RA1D-0, RAID-1 и RAID-5, однако отказоустойчи-вость обеспечивают только две последних. Несмотря на более высо-кую стоимость по сравнению с программной реализацией RAID, ап-паратная реализация считается лучше.

Тренинг 5-1, Циклическое обслуживание DNSв системе с несколькимикластерами

Вы — сетевой администратор международной авиакомпанииBlue Yonder Airlines, осуществляющей перевозки между 27 стра-нами. Недавно вы создали системы онлайнового бронирова-ния и продажи билетов. Теперь на Web-сайте компании кли-енты могут просматривать информацию об услугах и расписа-ниях, бронировать места, а также приобретать туры и билеты.Для обеспечения высокой доступности вы установили несколь-ко IIS-серверов, объединенных в кластер с балансировкой се-тевой нагрузки. Web-сайт пользуется большой популярностьюу клиентов, и обнаружилось, что нагрузка на подсеть, на кото-рой расположен кластер, близка к предельной.

Вы решили создать второй кластер в отдельной подсети и восполь-зоваться циклическим обслуживанием DNS для распределения зап-росов, поступающих на доменное имя www.blueyonderairlines.com,между виртуальными IP-адресами кластеров. IP-адрес существующе-го кластера 10.1.0.1, а нового — 10.2.0.1.

Вам нужно нарисовать общую схему инфраструктуры цикличес-кого обслуживания DNS и компонентов NLB-кластера.1. Нарисуйте эту общую схему.

2. Какие возможны способы балансировки нагрузки между класте-рами помимо циклического обслуживания DNS?

Занятие 3, Выбор модели NLB-кластераНа занятии 2 мы рассказали о поэтапном планировании NLB-клас-тера. На одном из этапов требуется выбрать модель NLB. Существуетчетыре модели конфигурации кластеров NLB, они различаются ис-пользованием одного или нескольких сетевых адаптеров, а такжеодно- или многоадресным режимом работы. На этом занятии речьпойдет об использовании в службе NLB одно- и многоадресного ре-жимов для распределения сетевого трафика, а также о четырех моде-лях конфигурации, применяемых при планировании кластера NLB.

Изучив материал этого занятия, вы сможете:s рассказать о широковещательном и многоадресном режимах

работы службы балансировки сетевой нагрузки;^ описать достоинства и недостатки каждой из моделей NLB;s выбрать модель NLB для реализации в той или иной

корпоративной сети.


Модели NLB-кластеровСлужба NLB работает в одном из двух режимов — одно- и многоад-ресном. В любом режиме узлы можно оснащать одним или несколь-кими сетевыми адаптерами. Таким образом образуется четыре ком-бинации, или модели режима работы и числа адаптеров, в NLB-кла-стере. В этом разделе рассказывается об особенностях одно- и мно-гоадресного режимов в каждой из четырех моделей.

Распределение трафика кластераДля одновременной рассылки входящего сетевого трафика на всеузлы NLB-кластера применяется одно- или многоадресная пересыл-ка пакетов на уровне 2 модели OSI. В одноадресном режиме (он при-меняется по умолчанию) служба N LB переназначает МАС-адрес тогоадаптера, на котором работает (он называется адаптер кластера), та-ким образом, что всем узлам кластера назначается один и тот жеМАС-адрес. Поэтому входящие пакеты принимаются всеми узламикластера и предаются драйверу службы NLB для фильтрации. Дляобеспечения уникальности МАС-адрес создается на основе основно-го ТР-адреса кластера, как определено в свойствах службы баланси-ровки сетевой нагрузки. Например, если основной IP-адрес— 1.2.3.4,то общий МАС-адрес— 02-BF-1-2-3-4. Служба NLB автоматически

изменяет МАС-адрес адаптера кластера, изменяя соответствующийпараметр реестра и перегружая драйвер адаптера, при этом переза-пускать систему не требуется.

Если узлы кластера подключены не к концентратору, а к комму-татору, использование общего МАС-адреса приведет к конфликту,так как коммутатор ожидает, что к его портам, работающим на уров-не 2, подключаются устройства с уникальными МАС-адресами. Что-бы «обойти» это препятствие служба NLB назначает исходящим паке-там уникальные МАС-адреса источника следующим образом; МАС-адрес кластера Q2-BF-1-2-3-4 заменяется на каждом узле на 02-Л-1-2-3-4, где h — приоритет узла к кластере. Таким образом предотвраща-ется определение коммутатором реального МАС-адреса узла класте-ра, а входящие пакеты, адресованные кластеру, пересылаются на всепорты коммутатора. Если узлы кластера подключены к концентрато-ру, а не к коммутатору, маскирование МАС-адреса источника служ-бой NLB в одноадресном режиме можно отключить, чтобы избежатьперегрузки коммутаторов на более высоком уровне сетевой иерархии.Маскирование отключается установкой параметра MaskSourceMACреестра в 0.

У одноадресного режима работы службы NLB есть побочный эф-фект: связь между узлами мастера через адаптеры кластера невоз-можна. Поскольку исходящие пакеты, предназначенные для другогоузла кластера, направляются тот же МАС-адрес, что и у отправителя,сетевой стек «заворачивает» пакеты обратно на узе л-от правителя, иони никогда не покидают пределы адаптера. Это ограничение можно«обойти», установив на каждом узле кластера по второму сетевомуадаптеру. При такой конфигурации создается привязка службы NLBк сетевому адаптеру подсети, в которую поступают входящие запро-сы клиентов, а другой адаптер обычно подключается к отдельнойвнутренней подсети, связывающей узлы кластера между собой и сфайловыми серверами и серверами баз данных, Адаптер кластераслужба NLB использует для пересылки трафика пульса кластера иудаленного управления.

Обратите внимание, что в одноадресном режиме работы службаNLB не оказывает никакого влияния на связь между узлами внутрикластера и узлами вне кластера. Сетевой трафик, принимаемый адап-тером кластера и направленный на собственный адрес узла, прини-мается всеми узлами кластера, потому что у них один МАС-адрес. Таккак служба NLB не распределяет трафик, предназначенный для соб-ственного IP-адреса, он немедленно попадает в стек TCP/IP узла-получателя. На других узлах NLB рассматривает этот трафик как под-лежащий распределению (так как IP-адрес получателя не совпадает с

собственным IP-адресом другого узла), и даже если он попадет в стекTCP/IP, последний отбросит пакет. Заметим, что избыточный входя-щий сетевой трафик, направляемый на собственные IP-адреса узлов,может привести к снижению производительности при работе NLB водноадресном режиме, так как стеку TCP/IP придется сбрасыватьслишком много лишних пакетов.

В многоадресном режиме вместо изменения аппаратного адресаадаптера кластера назначает ему групповой адрес уровня 2. Напри-мер, если основной адрес кластера 1.2,3.4, то групповой МАС-адрес —03- BF-1-2-3-4. Так как в этом режиме у каждого кластера узла естьсобственный аппаратный адрес, отпадает необходимость во второмсетевом адаптере для связи между узлами кластера, а также исчезаетопасность снижения производительности из-за использования выде-ленных IP-адресов.

Для доставки входящего сетевого трафика одновременно всем уз-лам NLB-кластера в одноадресном режиме применяется лавинная (навсе порты кроме исходного) пересылка пакетов на коммутаторе. Приработе NLB в многоадресном режиме коммутаторы часто работают влавинном режиме, доставляя групповой трафик на все порты. Одна-ко многоадресный режим работы NLB дает возможность ограничитьнагрузку на коммутатор, создав на нем виртуальную сеть для портов,относящихся к узлам кластера. Это достигается программированиемкоммутатора— вручную или средствами протокола 1GMP (InternetGroup Management Protocol) или GMRP [модификация GARP (GenericAttribute Registration Protocol) для многоадресного режима]. Текущаяверсия службы NLB не обеспечивает автоматической поддержкиI G M P w m G M R P .

В NLB реализован протокол ARP (Adress Resolution Protocol) дляразрешения главного IP-адреса кластера и прочих виртуальных IP-адресов в групповой МАС-адрес кластера. (Собственный IP-адресразрешается в аппаратный адрес адаптера кластера.) На данный мо-мент некоторые маршрутизаторы не принимают откликов ARP откластера, разрешающего одноадресные IP-адреса в групповой МАС-адрес кластера. Эта проблема решается созданием статической ARP-записи в таблице маршрутизации для каждого виртуального IP-адре-са. Групповой МАС-адрес кластера настраивают в диалоговом окнесвойств службы NLB или средствами утилиты WLBS.EXE. При работев одноадресном режиме по умолчанию такая проблема не возникает,так как МАС-адрес кластера является одноадресным МАС-адресом.

Служба NLB не обрабатывает входяший IP-трафик, не являющий-ся трафиком TCP, UDP и GRE (часть трафика протокола РРТР) позаданным портам. Она не фильтрует 1GMP, ARP (кроме описанных

ранее случаев), ICMP (Internet Control Message Protocol) или какие-либо другие протоколы. Весь такой трафик поступает без измененийв приложения, основанные на TCP/IP, на все узлы кластера. В ре-зультате кластер может генерировать повторные отклики от некото-рых программ на основе TCP/IP, работающих в режиме «точка — точ-ка» (например ping), при использовании IP-адреса кластера. Надеж-ность протокола TCP/IP и его способность обрабатывать дублирован-ные пакеты обеспечивает корректную работу всех остальных прото-колов в кластерном окружении. Чтобы избежать получения повтор-ных откликов, следует использовать такие приложения в среде, где укаждого узла есть собственный адрес.

По умолчанию включена поддержка одноадресного режима. Есливключить поддержку многоадресного режима, один и тот же сетевойадаптер без проблем справляется как с трафиком от клиентов к клас-теру, так и с трафиком на собственные адреса узлов. Однако допол-нительный сетевой адаптер позволяет повысить производительностьза счет обработки трафика на собственные адреса одновременно сосновным адаптером.

Служба NLB выполняет разрешение основного IP-адреса класте-ра в соответствующий групповой МАС-адрес, указанный в таблицемаршрутизации протокола ARP на маршрутизаторе. Реализация ARPна некоторых маршрутизаторах не поддерживает использование груп-повых МАС-адресов. В этом случае кластер доступен только из ло-кальной подсети. Для устранения этой проблемы нужно создать со-ответствующую статическую запись в таблице маршрутизации про-токола ARP на маршрутизаторе.

При отключенной поддержке многоадресного режима (что приве-дет к переходу узла в одноадресный режим) служба NLB автомати-чески отдает команду драйверу адаптера кластера на замену уникаль-ного собственного сетевого МАС-адреса адаптера МАС-адресом кла-стера, то есть адресом всех узлов кластера. Для разрешения сетевымадаптером этого адреса никакой дополнительной ручной настройкине требуется.

Некоторые сетевые адаптеры не позволяют изменять свойМАС-адрес. В этом случае рекомендуется заменить адаптер на устрой-ство, поддерживающее эту функцию.

Взаимодействие службы NLB с аппаратными сетевымикоммутаторамиВсе узлы с NLB в одном кластере должны располагаться в однойшироковещательной области и соединяться друг с другом через кон-

центратор или коммутатор. Аппаратные сетевые коммутаторы выпол-няют посреднические функции, размещаясь между сетью и компью-терами или другими коммутаторами и направляя приходящие по сетипакеты к компьютеру-получателю.

Если узлы со службой NLB соединены через коммутатор, он дол-жен работать на уровне 2, а не на уровне 3 или выше, так как у всехузлов один и тот же IP-адрес (IP-адрес кластера), а коммутаторы уров-ня 3 распределяют сетевые пакеты (входящие запросы клиентов) поI Р-адресам компьютеров-получателей.

В одноадресном режиме уникальные МАС-адреса отдельных уз-лом заменяются на общий для всех МАС-адрес кластера. Назначениевсем узлам единого МАС-адреса позволяет рассылать входящие кли-ентские запросы (сетевые пакеты) одновременно на все узлы.

Однако для большинства коммутаторов уровня 2 требуется уни-кальность МАС-адреса источника на каждом порту. При работе в од-ноадресном режиме (по умолчанию) служба NLB выполняет это тре-бование.

При установленном в 1 параметре реестра MaskSourceMAC службаNLB маскирует МАС-адрес источника исходящих пакетов, обеспечи-вая уникальность МАС-адреса на каждом порте с точки зрения ком-мутатора. Тем самым выполняется условие уникальности МАС-адре-сов устройств, подключенных к портам коммутатора. На рис. 5-10 по-казана стандартная конфигурация NLB-кластера, образованного с по-мощью коммутатора уровня 2 и работающего в одноадресном режиме,

Сеть

Аппаратный коммутатор уровня 2

Порт1 Порт! Порт1

МАС-адрескластера

(адресполучателя

указываетсяво входящих

пакетах):02-BF-01-02-03-04

Рис. 5-10.

МАС-адрес источника; 02-01-01-02-03-04МАС-адрес источника: 02-02-01-02-03-04

Сервер Сервер

Сетевойадаптер

Адаптеркластера02-BF-01 -02-03-04 Q2-BF-Q1 -02-03-04

КластерА

Кластер NLB, работающий в одноадресном (параметрMaskSourceMAC реестра установлен в 1)

Маскирование МАС-адреса кластера в исходящих пакетах предотв-ращает привязку коммутатором МАС-адреса кластера к одному порту.При получении коммутатором клиентского запроса (содержащего МАС-адрес кластера) коммутатор не распознает МАС-адреса получателя, ука-занного в пакете, и поэтому передает пакет по всем портам. Этот про-цесс называется лавинный режим коммутатора (switch flooding).

Одноадресный режим работы NLB всегда вызывает лавинную рас-сылку, поэтому пакеты, адресованные виртуальному IP-адресу клас-тера, направляются на все узлы кластера. Лавинный режим коммута-тора является частью методики балансировки сетевой нагрузки, на-правленной на получение максимальной пропускной способностипри любой нагрузке.

Однако если к коммутатору, к которому подключен кластер, при-соединены другие компьютеры (не входящие в кластер) или класте-ры, лавинный режим коммутатора чреват избыточным трафиком засчет попадания трафика кластера и на эти компьютеры.

Передачу трафика кластера на компьютеры, не входящие в клас-тер, можно избежать, разместив сетевой концентратор между комму-татором и узлами кластера NLB и отключив параметр MaskSource-МАС. Концентратор будет направлять все пакеты на все узлы, а ком-мутатор привяжет МАС-адрес кластера к одному порту, таким обра-зом, выполняется требование уникальности МАС-адреса по каждому-порту коммутатора.

Внимание! У использования сетевого концентратора для решения про-блемы лавинной рассылки с коммутатора есть один серьезный недоста-ток— возникает точка критического сбоя с' точки зрения доступностикластера, то есть при отказе концентратора весь кластер становится нера-ботоспособным. К сожалению, другого способа избежать лавинной рас-сылки нет.

Размещение узлов с «внутренней* стороны (т.е. со стороны класте-ра) относительно концентратора не снижает пропускной способности,доступной для пакетов, направляемых в сторону кластера. Однако весьисходящий трафик кластера должен проходить через концентратор.Чтобы использовать концентратор наилучшим образом, можно сноваподключить второй сетевой атаптер каждого узла к другому коммута-тору, предназначенному для исходящих пакетов (рис. 5-11).

У показанной на рис. 5-11 конфигурации есть ряд преимуществ;• исходящие пакеты проходят через сетевые адаптеры, не подклю-

ченные к концентратору, что повышает эффективность использо-вания концентратора;

Сеть

Аппаратный коммутатор уровня 2

Порт1

. Концентратор

Порт 2 Порт 3 Порт 4 Портб

МАС-адрескластера

(адресполучателя

указывается Адаптер ,|во входящих кластера ;:

пакетах): 02-BF-01-I02-BF-01- 02-03-04

02-03-04

Узел Узел

^Адаптер |^кластера 1J02-BF-011

деленный J-02-03-04^адаптер L



раif ДОГОЛ-

sp нитель-ный вы-

Дополни-ельный

вьщеленн^й Компью- Компью-тер терадаптер

Кластер А

Рис. 5-11. NLB-кластер, работающий в одноадресном режиме(параметр MaskSourceMAC реестра установлен в 0)

• пропускная способность нескольких исходящих каналов междукоммутатором и сетью используется более эффективно, так какнесколько узлов кластера одновременно пересылают трафик че-рез несколько различных исходящих каналов;

• использование двух сетевых адаптеров для разделения входящегои исходящего сетевого трафика каждого узла кластера ускоряетобработку сетевого трафика узлом.

Наконец, если в описанной выше ситуации концентратор не уста-навливается (например, к коммутатору уровня 2 подключены толькоузлы кластера), можно выше коммутатора уровня 2 в иерархии сетиустановить коммутатор уровня 3, чтобы избежать перегрузки другихкоммутаторов уровня 2 лавинообразными рассылками.

Модели конфигурации службы NLBСлужба NLB работает в одном из двух режимов — одноадресном имногоадресном. В первом случае сетевому адаптеру компьютера на-значается МАС-адрес кластера, а машинный МАС-адрес сетевогоадаптера не используется. В многоадресном режиме сетевому адапте-ру компьютера также назначается МАС-адрес кластера, но машин-ный МАС-адрес сетевого адаптера сохраняется, поэтому используют-ся оба адреса — первый для трафика от клиентов к кластеру, а вто-рой — для сетевого трафика, относящегося непосредственно к дан-ному компьютеру.

При планировании кластера NLB выбирают одну из четырех мо-делей конфигурации; один сетевой адаптер в одноадресном режиме,

несколько сетевых адаптеров в одноадресном режиме, один сетевойадаптер в многоадресном режиме и несколько сетевых адаптеров вмногоадресном режиме.

Служба NLB не поддерживает смешанные среды с обоими режи-мами. Все узлы кластера должны настраиваться либо на одноадрес-ный, либо на многоадресный режим, иначе не обеспечивается кор-ректная работа кластера. Однако на число сетевых адаптеров ника-ких ограничений не предусмотрено — разные узлы могут иметь раз-ное число сетевых адаптеров.

Один сетевой адаптер в одноадресном режиме

Эта модель применяется в кластерах, где не требуется сетевой связимежду узлами кластера и небольшой прямой трафик из сети, внеш-ней по отношению к кластеру, к конкретным узлам кластера,

Достоинства модели:• достаточно одного сетевого адаптера;• наиболее простое конфигурирование, так как одноадресный ре-

жим используется по умолчанию;• одноадресный режим поддерживают все маршрутизаторы.

Недостатки модели:• невозможна обычная связь через сеть между узлами кластера;• общая производительность сетевой работы невысока, так как ис-

пользуется всего один сетевой адаптер.

Обратите внимание, что в данной модели компьютер способенобрабатывать и внутренний график для данной подсети, если толькоадрес отправителя IP-пакетов не совпадает с МАС-адресом адаптеракластера.

В одноадресном режиме с единственным сетевым адаптером соб-ственный уникальный МАС-адрес адаптера не используется — его за-меняет МАС-адрес кластера, автоматически сгенерированный службойNLB. В результате адаптер становится адаптером кластера, поэтому исобственный IP-адрес, и 1Р-е.дрес кластера разрешаются в МАС-адрескластера.

Поскольку у всех узлов кластера единый МАС-адрес, а их собствен-ные МАС-адреса не используются, обычная связь между узлами черезсеть невозможна, Однако компьютер в состоянии обрабатывать тра-фик, внешний по отношению к подсети, в которой расположен клас-тер, а также внутренний трафик подсети в том случае, если адрес от-правителя IP-пакетов не совпадает с МАС-адресом адаптера кластера,

Несколько сетевых адаптеров в одноадресном режимеДанная модель применяется в кластерах, где требуется связь междуузлами кластера и имеется сравнительно большой прямой трафик из

Занятие 3 Выбор модели NLB-клаетера 211

сети, внешней по отношению к кластеру, к конкретным узлам клас-тера.

Достоинства модели:• второй сетевой адаптер повышает обшую производительность се-

тевых операций, поэтому эта модель наиболее предпочтительна ипопулярна;

• поддерживается обычная связь между узлами кластера;• одноадресный режим поддерживают все маршрутизаторы.

Недостаток модели:• необходим второй сетевой адаптер.

При установке нескольких адаптеров в одноадресном режиме пер-вый сетевой адаптер является адаптером кластера. IP-адрес кластераразрешается в МАС-адрес кластера, автоматически генерируемыйслужбой NLB. Если используется собственный IP-адрес адаптера кла-стера, он также разрешается в МАС-адрес кластера.

Адаптер кластера обрабатывает трафик, направленный от клиен-тов к кластеру. При использовании собственного IP-адреса компью-тер может обрабатывать и трафик, внешний по отношению к подсе-ти, в которой расположен кластер, а также внутренний трафик под-сети при условии, что адрес отправителя IP-пакетов не совпадает сМАС-адресом адаптера кластера.

Второй сетевой адаптер является выделенным, и его IP-адрес раз-решается в машинный МАС-адрес. Выделенный адаптер обрабаты-вает весь сетевой трафик, адресованный конкретному компьютеру, тоесть и внешний, и внутренний трафик по отношению к подсети, вкоторой расположен компьютер.

Один сетевой адаптер в многоадресном режимеДанная модель применяется в кластерах, где необходима или жела-тельна связь между узлами кластера, но трафик из внешней сети котдельным узлам кластера ограничен.

Достоинства модели:• нужен только один сетевой адаптер;• поддерживается обычная связь между узлами кластера.

Недостатки модели:• общая производительность сетевой работы невысока, так как ис-

пользуется всего один сетевой адаптер;• некоторые маршрутизаторы не поддерживают групповой МАС-

адрес.

При использовании многоадресного режима с одним сетевымадаптером служба NLB автоматически генерирует МАС-адрес клас-

тера для сетевого адаптера. Собственный уникальный МАС-адресадаптера сохраняется. IP-адрес кластера разрешается в МАС-адрескластера. Собственный IP-адрес узла разрешается в собственныйМАС-адрес. Благодаря использованию обоих МАС-адресов ограни-чений по сетевому трафику нет, за исключением ограничения по на-грузке на сетевой адаптер.

Несколько сетевых адаптеров в многоадресном режимеДанная модель применяется в кластерах, где необходимо наличие се-тевой связи между узлами кластера и трафик из внешней сети к от-дельным узлам кластера очень велик.

Достоинства модели:• общая производительность сетевых операций повышается за счет

применения нескольких адаптеров на узле;• поддерживается обычная связь между узлами кластера.

Недостатки модели:• необходим второй (или несколько) сетевой адаптер;• некоторые маршрутизаторы не поддерживают групповые МАС-

адреса.

При использовании многих адаптеров в многоадресном режимепервый сетевой адаптер является адаптером кластера. IP-адрес клас-тера разрешается в МАС-адрес кластера, автоматически сгенериро-ванный и назначенный службой NLB адаптеру кластера. Если исполь-зуется собственный IP-адрес адаптера кластера, он разрешается в соб-ственный машинный МАС-адрес адаптера. Таким образом, адаптеркластера может обрабатывать как трафик от клиента к кластеру, так исобственный трафик компьютера, включающий и внешний, и внут-ренний трафик по отношению к подсети, в которой расположен ком-пьютер.

Второй сетевой адаптер называется выделенным. IP-адрес этогоадаптера разрешается в м а ш и н н ы й МАС-адрес адаптера. Выделенныйадаптер обрабатывает сетевой трафик, относящийся только к данно-му компьютеру, то есть как внешний, так и внутренний трафик поотношению к подсети, в которой расположен компьютер.

Принятие решенияПри планировании кластере N L B используется одна из четырех мо-делей конфигурации. Они описаны в таблице 5-2.

Таблица 5-2. Выбор модели конфигурации NLB-кластера

Модель Описание

Один сетевой адаптерв одноадресном режиме

Несколько сетевыхадаптеровв одноадресномрежиме

Один сетевой адаптерв многоадресном режиме

Одноадресный режим используется в NLB поумолчанию и поддерживается любыми марш-рутизаторами, Однако нормальная связь посети между узлами отсутствует, и возможноснижение производительности сетевыхопераций

Одноадресный режим используется в NLB поумолчанию и поддерживается любыми марш-рутизаторами Кроме того, возможна связьчерез сеть между узлами, и обеспечиваетсяболее высокая производительность сетевыхопераций. Недостаток заключается в необхо-димости установки не менее двух сетевыхадаптеров на каждом узле

При использовании только одного сетевогоадаптера обеспечивается связь между узлами.Однако это конфигурация не используется поумолчанию, ее применение иногда снижаетпроизводительность сетевых операций, крометого, не все маршрутизаторы поддерживаютобработку групповых МАС-адресов

Данная конфигурация обеспечивает высокуюпроизводительность и связь узлы междусобой. Однако она не устанавливается поумолчанию, а также требует установки накаждый узел как минимум двух сетевыхадаптеров. Кроме того, не всемаршрутизаторы поддерживают обработкугрупповых МАС-адресов

РекомендацииУ многоадресного режима много преимуществ, но из-за того, что не-которые маршрутизаторы его не поддерживают, приходится исполь-зовать одноадресный режим. Одноадресный режим с несколькимисетевыми адаптерами — наиболее популярная конфигурация, приме-няемая на большинстве сайтов. Эту модель проще настраивать, таккак она совместима с любыми маршрутизаторами, а данный режимустановлен по умолчанию и обеспечивает связь между узлами. Необ-

Несколько сетевыхадаптеровв многоадресномрежиме

ходимость установки по крайней мере двух сетевых адаптеров на каж-д ы й узел обычно не создает особых сложностей, так как Web-инфра-структура большинства предприятий подразделяется на открытуюсеть с доступом в Интернет и закрытую корпоративную сеть, а такаяконфигурация сама по себе предполагает наличие как минимум двухсетевых адаптеров.

Пример. Конфигурация NLB-кластера для сайтаполитехнического музеяСайт политехнического музея построен как решение с балансиров-кой нагрузки и состоит из коммутатора уровня 2 и четырехузловогоNLB-кластера, (рис. 5-12). Кластер настроен на одноадресный режим,и на каждом узле установлено несколько сетевых адаптеров. Комму-татор уровня 2 обеспечивает бесконфликтную связь между сетевымиустройствами и поддерживает несколько одновременных сеансов об-мена между двумя портами, что повышает пропускную способностьсети. В начале работы коммутатор уровня 2 строит таблицу соответ-ствия номеров портов, к которым подключены адаптеры, и МАС-ад-ресов всех карт сетевых адаптеров.

Служба NLB заменяет собственный МАС-адрес адаптера МАС-ад-ресом сетевого адаптера кластера на всех узлах кластера. Входящие зап-росы коммутатор пересылает на все порты, соответствующие МАС-адресам кластера. Используя алгоритм хеширования, один из узловпримет предназначенные ему пакет, а остальные узлы этот пакет от-бросят. После обработки ответный пакет данных отправляется на тотпорт, откуда поступил исходный пакет.

На рис. 5-12 показано, как работают коммутатор уровня 2 и NLB-кластер. Коммутатор поддерживает одновременно несколько соеди-нений. Поэтому в то время, когда один узел кластера обрабатываетзапрос, новый запрос направляется для обработки на другой узел. Этообеспечивает высокую производительность системы.

Выбор модели NLB-кяастера

Web- : Web- \ \ Web- j I Web-сервер 1 i I сервер 2; jсервер З \ сервер 4

Сервер 1 -DNS-сервери основной

контроллер домена

-—-* Коммутатор[ . ! _ i ! ! S J . ' Н 100 Мбит/с

Сервер БД 1 Сервер БД 2

Дисковыймассив

Коммутатор100 Мбит/с

Серверадминистрирования,мониторингаи удаленногодоступа

Компьютер

Рис. 5-12. Аппаратная конфигурация сети политехнического музея

РезюмеСлужба NLB работает в одном из двух режимов — одноадресном илимногоадресном. В каждом из режимов на узлах кластера разрешаетсяустанавливать один или несколько сетевых адаптеров. В одноадрес-ном режиме, используемом по умолчанию, служба NLB переназнача-ет МАС-адреса используемых ею сетевых адаптеров, и все узлы клас-тера получают один МАС-адрес. В многоадресном режиме службаNLB назначает адаптеру кластера групповой адрес уровня 2, не изме-няя аппаратного адреса адаптера. Если узлы со службой NLB соеди-нены через коммутатор, он должен работать на уровне 2. а не на уров-не 3 или выше. При планировании NLB-кластера выбирают одну изчетырех моделей конфигурации; один сетевой адаптер в одноадрес-

ном режиме, несколько сетевых адаптеров в одноадресном режиме,один сетевой адаптер в многоадресном режиме и несколько сетевыхадаптеров в многоадресном режиме. Одноадресный режим с несколь-кими сетевыми адаптерами наиболее предпочтительный и популярен.Эта модель проще в реализации, так как использует режим по умол-чанию, поддерживает связь между узлами и работает с любыми мар-шрутизаторами.

Практикум 5-1. Планирование кластера NLBЦель

Выполнив этот практикум, вы сможете:• определить состав приложений для работы на кластере;• выбрать модель службы NLB.

В этом практикумеВам поручили спроектировать структуру кластера для компании Litware.Вы должны выполнить два этапа, описанные в занятиях 2 и 3, а точ-нее, определить состав приложений для работы на кластере и выб-рать модель службы N LB. Предполагается, что часть стандартных эта-пов проектирования кластера уже завершены (подробнее об это рас-сказывается при постановке задачи).

Прежде всегоДля выполнения этой практической работы необходимо уметь:• администрировать Windows 2000 Advanced Server;• устанавливать и администрировать службы балансировки сетевой

нагрузки в Windows 2000 Advanced Server.

Исходные данныеКомпания Litware Inc. разрабатывает и продает программные продук-ты для издательств и типографий. Покупателей планируется обслу-живать через Web-сайт, который также предполагается использовать-ся для продвижения продуктов компании на рынке. Администрато-ры компании в настоящее время разрабатывают такой проект много-уровневой сетевой инфраструктуры, где по возможности будут ис-ключены все точки критического сбоя. Так, в сети предусмотренорезервирование компонентов и сетевых подключений, продублиро-ваны подключения к Интернет-провайдерам и обеспечена защита отсбоев электропитания с помощью систем бесперебойного электропи-тания (UPS). Для обработки входящих запросов из Интернета в сети

также установлены резервные маршрутизаторы Cisco. Эти маршру-тизаторы не реагируют на ARP-отклики от кластера, в котором одно-адресные IP-адреса разрешаются в групповые МАС-адреса.

Администраторы также планируют применить кластеры Windowsдля поддержки работы Web-служб, баз данных и электронной почты.В качестве Web-службы используется US-сервер, в качестве базы дан-ных— SQL Server, а для поддержки электронной почты— ExchangeServer. Первым планируется построить NLB-кластер во внешней сети.Каждый узел в кластере оборудуется аппаратным RAID-массивом.Кластер должен состоять из шести узлов — этого достаточно для нор-мальной обработки трафика даже в случае отказа одного узла.

Упражнение 1. Определение приложений для работыв кластереВам следует принять решение о том, какие приложения (или одно при-ложение) разместить на NLB-кластере. Предлагается выбирать из пе-речисленных ранее прикладных программ — IIS, SQL Server и ExchangeServer.1. Какие типы приложений можно установить на NLB-кластере?

2. Какие приложения способны работать на NLB-кластере и поче-му?

3. Есть ли среди перечисленных приложение, которое нельзя уста-новить на NLB-кластере, и если да, то почему?

Упражнение 2. Выбор модели службы NLBВы должны выбрать, модель построения NLB-кластера из четырехвозможных: один сетевой адаптер в одноадресном режиме, несколь-ко сетевых адаптеров в одноадресном режиме, один сетевой адаптерв многоадресном режиме или несколько сетевых адаптеров в много-адресном режиме.1 . Перечислите достоинства и недостатки каждой из перечисленных

моделей.

2. Какую модель конфигурации вы выберете и почему?

*>|g Балансировка сетевой нпгрузки Глава 5

Закрепление материала9 J Приведенные ниже вопросы помогут вам лучше усвоить ос-


1. Каков механизм работы службы балансировки сетевой нагрузки?

2. Чем отличаются одиночная привязка и привязка класса С?

3. Как служба NLB обеспечивает поддержку данных состояния се-анса, охватывающего несколько подключений?

4. Вы — администратор компании Trey Research и отвечаете за адми-нистрирование Web-сайта компании и его инфраструктуры. При-нято решение разместить US-сервер на NLB-кластере. Вы опре-делили сетевые риски и устранили все точки критического сбоя.Вы решили установить в кластере четыре узла, и каждый оснас-тить отказоустойчивой подсистемой хранения данных на базе тех-нологии RAID-5. Определить аппаратные требования для узлов выпланируете только после завершения проектирования всего клас-тера. Какие еще решения необходимо принять?

5. Вы планируете создать в сети предприятия небольшой NLB-клас-тер, состоящий из двух компьютеров. На каждом компьютерепредполагается установить по одному сетевому адаптеру. Необхо-димо обеспечить, чтобы конфигурация службы NLB допускаласвязь между компьютерами. Какую модель службы NLB вы выбе-рете и почему?

Г Л А В А

Microsoft ApplicationCenter 2000

, Базовые сведения об Application Center 221

Проектирование кластеров на базе Application Center 236

1. Определение компонентов кластера на базе ApplicationCenter 247

, Проектирование кластеров со службой CLB 249

б-1> Проектирование кластеров с использованиемApplication Center 263


220

В этой главеMicrosoft Application Center представляет собой стратегически важ-ный серверный продукт уроння Microsoft .NET Enterprise Servers. Этонедорогой, но мощный инструмент масштабирования и управленияразличных Web-приложений. Кроме распределения нагрузки и синх-ронизации серверов Application Center поддерживает приложенияСОМ+. Он интегрирован с базовыми службами Microsoft Win-dows 2000 Server, в частности со службой балансировки сетевой на-грузки (Network Load Balancing, NLB), и дополняет их функциональ-ные возможности ОС различными инструментами, например для пуб-ликации приложений. Поскольку Application Center располагается науровне .NET Enterprise Servers, он поддерживает взаимодействие сдругими серверами, службами и средствами разработки среднегоуровня. В этой главе рассказывается о функциональных возможнос-тях Application Center и о том, какие факторы следует рассматриватьпри проектировании кластера на основе Application Center. Занятие 3целиком посвящено балансировке нагрузки компонентов (ComponentLoad Balancing, CLB) — особой возможности Application Center, по-зволяющей динамически регулировать нагрузку приложений COM4-.

Прежде всегоДля изучения материалов этой главы необходимо уметь:• администрировать Windows 2000 Server и создавать сети на основе

Windows 2000;• работать со службой N L B в Web-среде Windows 2000;• использовать технологии NLB и CLB в Application Center 2000.

Занятие 1. Базовые сведения об ApplicationCenter

Application Center 2000 позволяет администраторам Web-сайтов объе-динять компьютеры под управлением Windows 2000 Server в класте-ры, что повышает доступность и облегчает управление информаци-онным наполнением и приложениями Web-сайта. Администраторыполучают возможность управлять Web-содержимым и параметрамиузла с одного сервера, в результате чего сокращается время обновле-ния Web-узлов. На Application Center 2000 содержимое и код Web-сай-та подразделяются на приложения (applications), которые обновляют-ся независимо друг от друга. Приложения состоят из любой комби-нации HTML- и ASP-файлов, компонентов СОМ+, параметров рее-стра Windows и параметров конфигурации IIS. Копии приложениярасполагаются на каждом сервере кластера и синхронизируются сред-ствами Application Center. Технологии ^'LB и CLB в Application Centerподдерживают кластеры, состоящие из компьютеров под управлени-ем Windows 2000 Server. Microsoft Internet Explorer и другие Web-брау-зеры работают с такими кластерами как с одним крупным и высокона-дежным Web-сервером. В этом занятии рассказывается об ApplicationCenter и его особенностях, позволяющих создавать кластеры с ис-пользованием NLB и CLB,

Изучив материал этого занятия, вы сможете:s рассказать об Application Center и его использовании;S перечислить и описать функции Application Center;^ описать архитектуру Application Center.

Продолжительность занятие - 25 минут,

Компоненты Web-сайтаБазовый принцип создания распределенных Web-приложений пред-полагает логическое разделение приложения по уровням. Их три;• презентационный уровень;• прикладной уровень;• уровень хранения и доступа к данным.

В результате удается создавать масштабируемые и гибкие прило-жения.

Простейшая модель трехуровневого приложения состоит из кли-ентской части, взаимодействующей со средним уровнем, которыйсостоит из сервера приложений и приложения, поддерживающегобизнес-логику. Прикладная часть в свою очередь взаимодействует ссерверной базой данных, применяемой для хранения информации,

Презентационные сервисыПрезентационный уровень — это интерфейс между приложением и«толстым» или «тонким* клиентом. Толстый клиент с интерфейсомна базе Microsoft Win 32 API, предоставляет полный доступ к ресур-сам операционной системы и активно использует компоненты. Хотятонкий клиент (Web-браузер) менее функционален и надежен, он ста-новится все более популярным среди разработчиков, поскольку даетвозможность использовать преимущества различных языков сцена-рия, способных поддерживать бизнес-логику на любом из трех уров-ней. Объектные модели HTML, DHTML и XML позволяют создавать«тонкие» клиенты, предоставляющие наглядный, гибкий и интерак-тивный пользовательский интерфейс для различных приложений,который к тому же отличается лучшей переносимостью между раз-личными платформами.

Бизнес-логика и службы приложенийЭтот уровень состоит из серверов приложений (MS, Site Server, Com-merce Server 2000 и SNA Server) и служб поддержки клиентов. ЛогикаWeb-приложений, обычно реализованная в ASP-объектах на языкеVBScript, обрабатывается на IIS-сервере. Приложениям на основеASP или СОМ доступны все преимущества сервера транзакций MTS(Microsoft Transaction Server), очередей сообщений (MSMQ), службкаталогов и служб безопасности. В свою очередь службы приложе-ний способны взаимодействовать с несколькими службами данныхсерверной части.

Хранение и доступ к даннымХранение и доступ к данным поддерживают несколько служб:• Microsoft ActiveX Data Objects (ADO) предоставляет упрощенный

программный интерфейс доступа к данным из программ и сцена-риев;

• база данных OLE — разработанный Microsoft и уже считающийсястандартным универсальный способ доступа к данным;XML — стандарт разметки для создания структур данных.

Стандарт XML появился недавно и быстро стал популярным в Ин-тернет-сообществе. Подобно HTML, определяющему порядок обра-

азовые сведений об Application Center

ботки и отображения информации браузером, XML управляет струк-турами данных и их представлением.

Краткий экскурс по функциям Application CenterApplication Center позиционируют как инструмент для создания, раз-мещения и управления Web-приложениям и и приложениями на ос-нове компонентов. Обычно это бизнес-приложения, назначение ко-торых — обеспечивать высокую доступность и приемлемое время от-клика. Необходимо, чтобы серверы, на которых размещаются такиеприложения, поддерживали трафик, характеризующийся большимобъемом передаваемой информации, экспоненциальным ростом изначительными колебаниями нагрузки.

Разработчики Application Center попытались совместить ценовыепреимущества низких капитальных затрат модели масштабированияс распределением нагрузки с низкими затратами на сопровождение —последнее часто позиционируют как достоинство модели масштаби-рования вверх. Кроме того. Application Center обладает рядом другихдостоинств.• Управляемость. Управление Application Center осуществляется при

помощи негромоздкой и знакомой общей консоли управления.Она применяется для организации и управления системой репли-кации, балансирования нагрузки и мониторинга Web-приложенийи приложений СОМ+.

• Масштабируемость. Application Center достаточно гибок, он позво-ляет при возрастании нагрузки добавлять серверы в кластер, а приее снижении отключать лишние серверы и переводить их на вы-полнение других задач.

• Надежность. Application Center позволяет устранить точки крити-ческого сбоя, которые присутствуют в масштабируемых вверх си-стемах и решениях с аппаратной балансировкой нагрузки. Крометого, при возникновении аппаратного или программного сбояApplication Center автоматически, незаметно для пользователейотключает соответствующий сервер.

Высокая производительность требуется в любом проекте. В допол-нение к оптимальным алгоритмам балансировки нагрузки для различ-ных типов приложений Application Center предлагает инструментыдля мониторинга производительности системы и позволяет систем-ным администраторам управлять нагрузкой на каждом сервере. Та-кой метод позволяет учитывать свойства гетерогенных серверныхферм и более гибок, чем способ, основанный на «уравниловке».

224

Функции Application CenterПеречисленные в таблице 6-1 фун кции позволяют создавать и управ-лять кластерами с распределением нагрузки. Доступ к различнымфункциям продукта реализуется через встроенную консоль ММС илиWeb-браузер.

Таблица 6-1. Функции

Функция

Application Center

Описание

Служба кластеров

Балансировка нагрузки

Синхронизацияи развертывание

Мониторинг

Программирование

Локальное и удаленноеадминистрирование

Высокая надежность

Выполнение стандартных задач администри-рования кластера (например, создание клас-тера или добаштение нового узла) облегчаютсяза счет использования различных мастеров играфического пользовательского интерфейса

Application Center обладает встроеннойподдержкой NLB и CLB

Предусмотрена возможность автоматическойили ручной репликации системных параметров,информационного наполнения и приложенийвнутри кластера. Информационное наполнениеможно размешать на том же или на другомкластере

Поддерживается возможность наблюдать вреальном времени за событиями, производи-тельностью и состоянием системы.Поддерживается ведение журналов

Стандартные операции по управлениюApplication Center и информация о событияхи наблюдаемых параметрах доступны изсценариев. Администрирование разрешаетсявыполнять с применением набора утилиткомандной строки

Администрирование кластера выполняетсялокально или посредством безопасногоудаленного подключения

В случае сбоя на сервере все запросы итранзакции автоматически направляются надругой узел кластера

Балансировка нагрузкиРазработано несколько вариантов балансировки нагрузки в кластерена базе Application Center. В их число входят NLB и CLB, кроме того,балансировка нагрузки может отсутствовать вовсе.

Технология балансировки сетевой нагрузкиБалансировка сетевой нагрузки выполняется службой NLB, входящейв состав Windows 2000 Advanced Server или Datacenter Server, a Appli-cation Center лишь предоставляет интегрированный с NLB интерфейс.

Примечание Хотя служба N LB не входит в состав Windows 2000 Server,она автоматически устанавливается вместе с Application Center.

В пользовательском интерфейсе Application Center опушены мно-гие несущественные параметры конфигурации NLB-кластера, чтооблегчает процесс конфигурирования, а мастер уменьшает число ре-шений, которые приходится принимать пользователю. Кроме того,мастер диагностирует программное и аппаратное обеспечение напредмет поддержки балансировки нагрузки, например проверяет на-личие необходимого числа сетевых адаптеров и IP-адресов.

При настройке балансировки сетевой нагрузки необходимо выб-рать для нее соответствующий алгоритм в кластере. В подобных алго-ритмах, или механизмах привязки, применяются различные схемыгруппировки поступающих запросов по их запросам и привязке к кон-кретным узлам кластера, Различают три таких схемы (таблице 6-2).

Таблица 6-2. Схемы группирования запросов в NLB

Схема привязки Описание

Отсутствие привязки Различные запросы от одного клиента случайнымобразом попадают на разные узлы кластера. Клиентидентифицируется по его IP-адресу и номеру порта

Одиночная привязка Все запросы от конкретного клиента должныобрабатываться одним узлом кластера!. Этотрежим привязки параметр применяется поумолчанию для всех клиентов интрасети. Клиентидентифицируется по IP-адресу

Привязка класса С Все запросы из диапазона адресов сети TCP/IPкласса С обрабатываются одним узлом кластера.Этот параметр применяется по умолчанию длявсех клиентов Интернета, поскольку обеспечиваетнаилучшую поддержку информации о состоянииклиентских сессий на сервере

9-4791

После создания кластера порядок привязки запросов настраива-ют посредством соответствующей ММС-консоли.

В Application Center предусмотрен еще один вариант балансиров-ки нагрузки, который заключается в назначении каждому серверуопределенного веса, на основании которого определяется доля выде-ляемых серверу запросов в швисимости от производительности иликласса узла.

Служба CLBCLB (Component Load Balancing) — одна из служб Application Center.Решение об ее установке и применении на серверах приложений сле-дует принимать после тщательного анализа требований приложений.На пересылку клиентских запросов по сети и выбор сервера для об-служивания этих запросов требуются определенные ресурсы, поэто-му CLB следует применять, когда:• очень важна безопасность сети и требуется защитить СОМ-объек-

ты, разместив их за дополнительным брандмауэром;• СОМ-объекты относительно тяжеловесны; поэтому их следует

размещать на наиболее производительном из доступных серверов;• при проектировании приложения делятся на несколько уровней.

Если на внешних серверах применяется NLB, а запросы компонен-тов нужно направлять на прикладные серверы СОМ+, то пользо-вательский интерфейс Application Center оказывается как нельзякстати;

• очень важно обеспечить масштабируемость. Для обработки зап-росов компонентов кластер может использовать несколько другихкластеров СОМ+.

Если приложение относительно маю по размерам илииспользует небольшое число компонентов, рекомендуется размещатьэкземпляры СОМ-объектов на внешнем Web-сервере— это позволитповысить производительность.

Отказ от балансировки нагрузкиВ некоторых ситуациях балансировка нагрузки не нужна или невоз-можна, например на этапе разработки или отладки приложения илипри установке резервных компонентов.• Приложение в стадии разработки или отладки — иногда кластер из

одного или малого количества узлов создают для проверки рабо-тоспособности приложений. В этом случае балансировка нагруз-ки не нужна.

• Резервирование компонентов кластера — при использовании не-большого кластера, состоящего из двух или трех серверов, целесо-образно назначить один из серверов резервным на случай сбоев вузлах кластера. Данные резервного сервера синхронизируются сактивным узлом, но он не обслуживает клиентские запросы.

Синхронизация и развертываниеНеобходимо обеспечить синхронизацию информации о структуре иконфигурации кластера с кластерным контроллером. Application Cen-ter решает обе задачи синхронизации путем репликации параметровконтроллера и приложений. Репликация конфигурации и параметровприложений позволяет достичь частичной или полной синхрониза-ции кластера. В процессе синхронизации механизм репликации ис-пользует специальные драйверы для подключения к различным хра-нилищам конфигурационных данных и копирования параметров нацелевые серверы.

У такого единого подхода есть дополнительное преимущество: вслучае сбоя на контроллере кластера его функции может взять на себялюбой узел кластера. Передать функции контроллера разрешается влюбое время, для этого необходимы лишь незначительные измене-ниях в конфигурации узла.

Расположенные на контроллере приложения можно реплициро-вать на другие узлы кластера — как все за один раз, так и по одному.Информация о сайте, хранящаяся в категории AllSites или пользова-тельском описании, содержит следующие данные, реплицируемыепри синхронизации кластера:• информационное Web-наполнение и ASP-приложения;• приложения СОМ + ;• виртуальные сайты, сопоставленные им фильтры ISAPI и их ин-

формационное наполнение;• глобальные IS API-фильтры;• файлы и папки файловой системы;• параметры конфигурации метабазы;• экспортируемые сертификаты CryptoAPI;• разделы реестра;• системные имена источников данных (Data Source Name, DSN);• параметры службы WMI, используемые Application Center.

По умолчанию кластер синхронизируется при добавлении новойWeb-информации (при этом реплицируется только новая информа-ция), и ежечасно проводится полная синхронизация (ее можно от-ключить или изменить ее периодичность).

:ание Отдельные узлы кластера разрешается исключать из про-цедуры синхронизации.

При развертывании приложения можно реплицировать выбороч-но или все сразу— это обеспечивает дополнительную гибкость приотладке и установке новых приложений: перед их размещением в кла-стере можно проводить тестирование лишь на нескольких узлах.

Приложение в Application Center определяется как на-бор всех необходимых программных ресурсов для Web-сайта или при-ложения СОМ-К Например, приложение, состоящее из информаци-онного наполнения Web-сайта, приложений СОМ+, сертификатов иразделов реестра. Это позволяет администраторам управлять сайтамикак логическими группами. Приложение может содержать несколькоWeb-сайтов или ни одного, однако это не влияет на его репликацию вкластере.

МониторингДля успешного управления рабочей системой необходимо контроли-ровать состояние и производительность ее ключевых компонентов —серверов и приложений. Надежная среда мониторинга, предоставля-ющая данные в реальном времени и ведущая журналы, позволяет на-блюдать за состоянием и производительностью всех систем. (Данныео производительности за определенный период времени особеннополезны при планировании ресурсов.)

Для получения подобной информации Application Center предос-тавляет средство, объединяющее в себе ведение журналов и наблюде-ние за событиями, производительностью и состоянием систем (таб-лица 6-3).

Таблица 6-3. Наблюдение и ведение журналов

Наблюдаемые объекты Описание

События Большинство объектов и приложений, рабо-таю] цих на сервере или в кластере, инициируютсобытия (действия, выполняющиеся на сервереили в кластере). Все события Windows 2000 инекоторые события Application Center регист-рируются в журнале Windows

61

Производительность

Состояние систем

(продолжение)Для мониторинга производительности при-меняется ряд счетчиков, отображающих заг-руженность ресурсов. Для контроля произ-водительности серверов и кластеров Appli-cation Center использует стандартный наборсчетчиков, позволяющих регистрироватьширокий спектр системных параметров — отобъема свободной памяти до числа запросовк ASP-страницам. Например, это счетчикиоставшегося свободного места на жесткихдисках или числа запросов в секунду, обра-батываемых Web-службами

Для контроля состояния серверов и кластеровApplication Center собирает данные о нес-кольких параметрах, для каждого из которыхзадан порог оповещения. Некоторые из этихпараметров наблюдаются по умолчанию,остальные можно активизировать в любоймомент. Для сбора информации применяетсяслужба инструментария Windows (WMI)

Архитектура Application CenterApplication Center базируется на модели «с отсутствием общих ресурсов»(shared-nothing), поэтому он обеспечивает высокую доступность всехузлов кластера, в том числе контроллера. По сути, каждый узел кластерав определенной степени представляет собой копию контроллера.

При использовании балансировки сетевой нагрузки каждый сер-вер кластера «слушает» входящие клиентские запросы, так что присбое на одном из серверов остальные берут на себя обслуживание егозапросов. Отключение вышедшего из строя сервера осуществляется вфоновом режиме, а нагрузка автоматически перераспределяется. Та-ким образом Application Center обеспечивает эффективную среду дляподдержания высокой доступности вычислительных ресурсов. Кро-ме того, его механизмы изоляции ограждают пользователей, и тепрактически не замечают последствий сбоя отдельных серверов.

При сбое контроллера кластера административные операции кла-стера {например, синхронизация) не выполняются до назначениянового контроллера, однако обслуживание запросов с балансировкойнагрузки не прерывается ни на секунду.

Совместно с автоматическим уведомлением по электронной по-чте и гибкими средствами администрирования модель «с отсутствием

общих ресурсов» Application Cenier обеспечивает высокую доступ-ность кластеров.

Примечание Хотя кластеры под управлением Application Center характе-ризуются высокой доступностью, по определению они не обеспечива-ют (и в принципе не в состоянии обеспечить) отказоустойчивости. Привыходе из строя или умышленном выведении из кластера одного изсерверов теряется информация о состоянии всех клиентских сессий,поддерживаемых отказавшим сервером.

Уровни архитектурыАрхитектура Application Center (рис. 6-1) состоит из трех основныхуровней:• пользовательского интерфейса;• набора функций;• операционной системы.

Microsoft Application Center 2000Пользовательский интерфейс

Web-интерфейс ММС

Интерфейскомандной

строки

Набор функций

Службакластеров

Балансировканагрузки

Синхронизацияи развертывание

ОснасткаHealth

Monitor

ОснасткаComponent

Services(Службы

компонентов)

Мониторинги ведениежурналов

Оснастка JISПользовательский

интерфейс

Другие оснастки(при

необходимости)

Службынаблюдения

за состоянием

Операционная система

ммс usSQL Server 2000

СОМ+ NLB WMI DesktopEngine

Рис. 6-1. Архитектура Application Center

Пользовательский интерфейсПользовательский интерфейс Application Center предоставляет дос-туп к набору функций посредством интегрированной консоли ММС,Web-браузера и командной строки Microsoft Windows. Консоль ММСпредоставляет полный доступ к набору функций. В меньшем объемезадачи администрирования кластера и наблюдения за параметрами

работы можно решать при помощи Internet Explorer или с использо-ванием утилит командной строки для Application Center.

Набор функцийЭтот уровень делится на следующие основные категории:• службу кластера;• балансировку нагрузки;• синхронизацию и развертывание;• мониторинг и ведение журналов;• службы наблюдения за состоянием.

Операционная системаОсновными элементами операционной системы, с которыми взаимо-действуют пользовательский интерфейс и функциональный наборApplication Center, считаются ММС (US 5.0), мстабаза, СОМ+, NLBи WMI. Ядро Microsoft SQL Server расположено вне этого уровня, нооно интегрировано с операционной системой и применяется для кла-стерных операций хранения и выборки данных.

Типы кластеровApplication Center 2000 поддерживает три основных типа кластеров:• кластеры с единственным узлом;• стандартные Web-кластеры;• кластеры приложений СОМ+.

Кластер с единственным узломИногда целесообразно применять Application Center на отдельном сер-вере для создания кластеров из одного, а не нескольких серверов. Какправило, кластер с единственным узлом применяется в качестве про-межуточного сервера (stager), то есть сервера, на котором временно раз-мещается информация до ее переноса на рабочий сервер. На промежу-точном сервере обычно проверяют работоспособность и функциональ-ность приложения перед размещением его на основном сервере.

Кроме создания промежуточных серверов одноузловые кластерына базе Application Center применяются для:• развертывания приложений на другие узлы и кластеры;• контроля за работоспособностью и состоянием других кластеров;• контроля за производительностью и журналами событий других

кластеров.

Стандартный Web-кластерНаиболее типичный способ использования Application Center — при-менение его в Web-кластере, обслуживающим Web-сайты и локаль-

ные компоненты СОМ+. Такие кластеры отличаются поддержкойбалансировки нагрузки с применением службы NLB или других тех-нологий. Объединение нескольких серверов в кластер дает следую-щие преимущества:• поддержку перемещения при сбое — каждый узел, по сути, являет-

ся резервным контроллером кластера;• повышение доступности приложений — при обслуживании сайтов и

приложений несколькими серверами обработка клиентских зап-росов не прекращается даже при сбоях отдельных серверов;

• рост масштабируемости — можно изменять число узлов кластерабез перерыва в обслуживании клиентов;

• увеличение производительности — клиентские запросы распреде-ляются между узлами кластера, таким образом, уменьшается на-грузка на каждый сервер в отдельности и повышается производи-тельность.

Web-кластеры на базе службы MLBПри использовании NLB в Application Center удается достичь более«гладкой» интеграции серверов, что упрошает создание кластера идобавление новых узлов, а также позволяет применять пользователь-ский интерфейс Application Center для решения стандартных задач ад-министрирования, например подключения и отключения узлов кла-стера. При подключении или отключении узлов кластера служба NLBдинамически перераспределяет нагрузку. На рис. 6-2 показан типич-ный одноуровневый Web-кластер на базе службы NLB.

Клиент

Web-кластер

Рис. 6-2. Web-кластер на 6aie службы NLB

СлужбаNLB

Web-кластеры на базе других технологийОбычно в кластерах не на базе службы NLB применяется внешнееустройство балансировки нагрузки (рис. 6-3).

Клиент

Устройство балансировкинагрузки

Web-кластер

Рис. 6-3. Web-кластер на базе технологий, отличающихся от службыNLB

Кластер приложений СОМ+Кластеры приложений СОМ+ обрабатывают клиентские запросы кприложениям СОМ+. Такие кластеры поддерживают клиентов набазе Windows и Web-кластеры. Кластер приложений СОМ+ берет насебя поддержку работы объектов СОМ+ для клиентов Windows и Web-кластеров. Для работы с клиентами Windows применяется службаNLB или любой другой механизм балансировки нагрузки. На рис. 6-4 показан кластер приложений СОМ + на базе службы NLB.

Клиент

Кластер СОМ+ СлужбаNLB

Рис. 6-4. Кластер приложений СОМ+ на базе службы NLB

При создании Web-кластера иногда используют службу балансиров-ки нагрузки компонентов (Component Load Balancing, CLB), котораяпозволяет распределять запросы активации компонентов СОМ+ и пе-редавать их на обработку в кластер приложений СОМ+. В двухуров-невой кластерной среде Application Center один уровень обрабатыва-ет запросы Web-сайтов, а второй — компонентов СОМ+. Произво-дительность такого кластера ниже производительности обычногоWeb-кластера, поскольку приходится пересылать данные между Web-кластером и кластером приложений СОМ+.

Несмотря на то, что исполнение приложений СОМ+ на локаль-ной системе позволяет добиться большей производительности, име-ется несколько причин создания отдельного кластера, обрабатываю-щего объекты СОМ+.• Создание отдельного кластера позволяет повысить безопасность,

поскольку в этом случае можно установить между Web-кластера-ми и кластерами приложений СОМ+ брандмауэры, перекрываю-щие клиентам, которые имеют доступ к Web-кластеру, доступ ккластеру приложений СОМ + .

• Иногда приложения СОМ+ «поглотают» слишком много ресур-сов, и Web-кластер перестает реагировать на клиентские запросы.Создание отдельного кластера приложений СОМ+ освобождаетWeb-кластер от обработка этих приложений, в результате чего по-вышается производительность Web-кластера при обслуживаниисайтов.

• Облегчается управление серверными приложениями, посколькуприложения СОМ+ отделены от Web-кластера. Вы вправе создатьотдельные команды разработчиков и администраторов для каждо-го кластера.

• Поддерживаются клиенты, работающие в различных средах. Клас-теры приложений СОМ+ способны обрабатывать запросы клиен-тов Web-кластера и клиентов, использующих приложения Windows.

Более подробно о кластерах приложений СОМ+ рассказывается взанятии 3.

РезюмеApplication Center — инструмент создания, развертывания и управле-ния Web-приложениями и компонентных приложений. Он позволя-ет администраторам объединять компьютеры под управлением Win-dows 2000 Server в кластеры и легко управлять информационным на-полнением и приложениями Web-сайта. Ключевым принципом со-здания распределенных Web-приложений является логическое разде-

ление приложения на три уровня: презентационный, уровень прило-жений и уровень хранения и доступа к данным. К основными функ-циями Application Center относятся: служба кластера, балансировканагрузки, синхронизация и развертывание, мониторинг, поддержкауправления и доступа из программ, локальное и удаленное админис-трирование и высокая доступность. Существует несколько вариантовбалансировки нагрузки в кластере на базе Application Center. Ее мож-но реализовать с применение служб NLB и CLB, впрочем, в класте-рах на основе Application Center балансировка нагрузки может вовсеотсутствовать. Application Center обеспечивает синхронизацию струк-туры и параметров конфигурации кластера и предоставляет центра-лизованное средство сбора информации о работе системы. Архитек-тура Application Center делится на три основных уровня: пользова-тельский интерфейс, набор функций и уровень операционной систе-мы. Application Center 2000 поддерживает три основных типа класте-ров: кластеры с единственным узлом, стандартные Web-кластеры икластеры приложений СОМ+.

Занятие 2, Проектирование кластеровна базе Application Center

Application Center позволяет создавать многоуровневые, высокодос-тупные, масштабируемые и производительные кластеры с использо-ванием различных технологий балансировки нагрузки. ApplicationCenter поддерживает технологии N LB и CLB. Топология стандартно-го кластера содержит много уровней, в числе которых уровень Web-кластеров, обслуживающих клиентов. В кластерах Web-уровня дляобработки входящих IP-запросов применяются службы 1IS и NLB,Кроме того, в состав кластерной топологии иногда включается до-полнительный уровень кластеров, обслуживающих приложения СОМ +•и использующих для ответов на запросы технологию балансировкинагрузки компонентов (CLB). При проектировании кластеров на ос-нове Application Center следует учесть много обстоятельств — как и влюбом Проекте по развертЕлванию кластеров. В частности, следуетвыбрать тип кластера и определить порядок управления сеансами. Вэтом занятии рассказывается о каждом этапе проектирования клас-теров на основе Application Center.

Изучив материал этою занятия, вы сможете:

s проектировать конфигурацию и определять IP-адресасерверов;

• s выбрать тип кластера и, где это необходимо, системубалансировки нагрузки;

^ определить способ поддержки сеансов,


Планирование кластера на основе ApplicationCenter 2000Проектирование кластера на основе Application Center выполняетсяв несколько этапов, которые описаны далее.

Определение конфигурации серверовПеред созданием кластерного контроллера и самого кластера следуетопределить производительность серверов, которые будут работать вкластере. Производительности серверов должна гарантировать нор-мальную работу базовой ОС (Windows 2000 Server, Advanced Server илиDatacenter Server) и служб — Application Center, службы журнапирова-

ния событий и производительности (при необходимости), а такжеI1S 5.0 и кластерных приложений Web или СОМ+.

Оперативная памятьМинимальные требования для работы Application Center под управ-лением Windows 2000 Advanced Server — 256 Мб оперативной памятии процессор с тактовой частотой не ниже 400 МГц. Однако при опре-делении необходимого объема оперативной памяти следует учестьеще несколько параметров. Так, для Windows 2000 Server и IIS мини-мальный объем памяти составляет 256 Мб, однако рекомендуется от512 Мб до 1 Гб. На сайте, поддерживающем приложения электрон-ной коммерции, хранится больше информации, он интенсивно обра-батывает динамические страницы или приложения СОМ+ и поэтомунуждается в большом объеме оперативной памяти. Не забывайте отом, что размер кэша I1S по умолчанию устанавливается равным по-ловине всей имеющейся физической оперативной памяти.

Жесткий дискНа разделах жесткого диска должно быть достаточно свободного про-странства для всех необходимых программ, страничных файлов ифайлов информационного наполнения сайта. Кроме того, следуетпредусмотреть дополнительное свободное пространство для реплика-ции Web-информации. Поскольку при репликации вся информациякопируется во временную папку целевого сервера и только потомперемещается в нужные папки, необходимый объем свободного про-странства на жестком диске примерно в два раза превышает объемреплицируемой информации.

Примечание Для обеспечения целостности данных процесс синхро-низации проводится в две стадии, вот зачем требуется временная папка.

И, наконец, следует отвести достаточно свободного места для вы-полнения дефрагментации диска. Для этого в любой момент временипо крайней мере 15% объема жесткого диска должны оставаться сво-бодными. (Чем больше свободного пространства, тем быстрее выпол-няется дефрагментация.)

Сетевые адаптерыНа каждом узле кластера с балансировкой нагрузки целесообразноустанавливать по крайней мере два сетевых адаптера, а при исполь-зовании службы NLB это обязательно. Интерфейсный адаптер, егоеще называют адаптером балансировки нагрузки (load-balanced adapter).применяется для поддержки пульса NLB-кластера, перегруппировкии балансировки нагрузки. Серверный адаптер, или служебный адаптер

Microsoft Application Cenrer 2000

(management-traffic adapter), используется для передачи служебной ин-формации в кластере, например для репликации и синхронизации.

Применение двух сетевых адаптеров обусловлено двумя причинами.Во-первых, так удается избежать паразитной обратной связи (loopback),возникающей в режиме одноадресной рассылки. Во-вторых, в меха-низме репликации, реализованном в Application Center, часто приме-няются вызовы СОМ-объектоБ, и в случае разрыва или сброса под-ключения завершить репликацию не удается. Изменение или удале-ние IP-адреса приводит к разрыву подключения, поэтому использо-вать интерфейсный адаптер для передачи больших объемов инфор-мации (этим характерна репликация) неразумно. Это касается нетолько репликации, но и других задач, выполняемых ApplicationCenter, например мониторинга и службы кластеров.

Аппаратное обеспечениеХотя Application Center способен работать на любом сервере, удов-летворяющем минимальным требованиям, рекомендуется использо-вать однородное аппаратное обеспечение. Это обеспечит сбаланси-рованную работу кластера и облегчит конфигурирование серверов дляобеспечения оптимальной производительности.

Если применяется служба NLB или подобный механизм баланси-ровки нагрузки, разницу в производительности серверов компенси-руют путем настройки метрик нагрузки этих серверов. Однако следу-ет помнить о том, что все серверы синхронизируются с контролле-ром кластера, что существенно сужает допустимые границы индиви-дуальных параметров серверов, и особенно IIS.

Вы вправе разделить жесткий диск на несколько разде-лов, однако принцип однородности распространяется и на файловуюсистему. Необходимо обеспечить идентичность файловой структуры(основной каталог и пути к папкам Program Files и Application Center).Кроме того, настоятельно рекомендуется использовать файловую сис-тему NTFS.

Итак, следует обеспечить однородность следующих параметров насерверах кластера: число процессоров, их скорость, структуру разде-лов жестких дисков и объем оперативной памяти.

Определение IP-адресовВ Application Center предусмотрено несколько способов назначенияIP-адресов сетевым адаптерам. Как правило, служебному адаптеруназначается единственный IP-адрес средствами DHCP. Назначениеадресов интерфейсным адаптерам несколько сложнее.

ив После установки Application Center следует убедиться вналичии поддержки протокола NetBIOS поверх TCP/IP для всех IP-адресов.

Контроллер кластераВ NLB-кластере интерфейсному адаптеру контроллера следует назна-чить по крайней мере один статический IP-адрес— он выполняетроль адреса всего кластера. Выделенные адреса отсутствуют, поэто-му, к примеру, вам не удастся использовать команду ping для провер-ки доступности какого-то конкретного узла кластера, поскольку всеони имеют один общий адрес.

Узел кластераВ NLB-кластере интерфейсному адаптеру узла назначают как мини-мум один IP-адрес— статический IP-адрес или адрес, присвоенныйсредствами DHCP. При добавлении нового узла Application Centerсоздает привязку адаптера к кластерному IP-адресу. Число IP-адре-сов клиентского адаптера — один или два — определяется на основеполитики управления сетью.

Пример конфигурации сервера NLB-кластера под управлениемApplication Center показан на рис. 6-5. Здесь интерфейсному адаптерусервера сопоставлено два статических IP-адреса: выделенный исполь-зуется для прямой связи с данным адаптером, а второй выступает вроли адреса кластера и применяется для трафика полезной нагрузки.

Windows 2000 Advanced/DatacenterServer с установленными:

' IIS 5.0• Application Center 2000

При необходимостидополнительноустанавливаются;• Служба NLB• Служба терминалов• Сервер сертификации• SQL Server 2000

Desktop Engine

Интерфейсныйадаптер

Единыйраздел NTFS

Служебныйадаптер

ВыделенныйстатическийIP-адрес

Статический IP-адрес -используетсятолько на контроллерекластера

IP-адрес,назначенныйсредствами DHCP.Включеноразрешение имен DNS

Рис. 6-5. Конфигурация узла кластера

ПодсетиВ примере на рис. 6-5 интерфейсный и служебный адаптеры подклю-чены к разным подсетям. На это есть две причины. Во-первых, ис-пользование разных подсетей повышает безопасность, разделяя слу-жебный (внутренний) и клиентский (внешний) трафик. (Такого жерезультата удается достичь при использовании разных сегментовсети.) Во-вторых, улучшает балансировку трафика между адаптерамипри использовании службы NLB. Это связано со способом настрой-ки метрик сетевых адаптеров в Application Center и способом марш-рутизации трафика при применении NLB. При создании NLB-клас-тера Application Center устанавливает значение метрики интерфейс-ного адаптера на единицу >1ыше, чем значения метрик остальныхадаптеров на данном сервера.

Допустим, на сервере установлены два сетевых адаптера с адреса-ми в одной подсети. Если значение метрики служебного адаптера рав-но 1, Application Center установит значение метрики интерфейсногоадаптера равным 2. При отправке ответа клиенту NLB направляет егона адаптер той же подсети с наименьшей метрикой. В данном случаетрафик направляется на служебный адаптер, обслуживающий внут-реннюю информацию и данные синхронизации. При большом объе-ме внешнего трафика может нарушиться работа различных служб, на-пример службы синхронизации.

Использование отдельных подсетей не обязательно, но рекомен-дуется.

Определение типа кластераТип кластера зависит от нашачения. В основном он определяетсятипом размешенной на нем информации и приложений. Кластерыбывают трех типов.• Стандартный/\УеЬ-кластер, На таком кластере размещаются Web-

сайты и локальные приложения CQM+, кроме того, он обычноприменяется для выполнения стандартных задач, таких, как уп-равление сервером и отладка приложений. (Часто используют кон-фигурацию, когда компоненты СОМ+ выполняются на том жекомпьютере, но в отдельных процессах.)

Если в течение анализа конфигурации Application Center обнару-живает службу NLB, единственно доступным типом кластера ос-тается Стандартный/\УеЬ-кластер. Чтобы установить другой типкластера, следнует отключить NLB и перезапустить процесс уста-новки.

• Кластер приложений СОМ-К На нем размещаются только прило-жения СОМ+, доступ к которым предоставляется другим серве-

рам из стандартных кластеров, кластерам маршрутизации запро-сов СОМ+ и приложениям Windows.

При выборе этого типа кластера необходимо указать один из двухисточников клиентских запросов. Первый вариант— это прило-жения, выполняющиеся на других серверах, например на Web-сер-верах с ASP и CLB. Второй — клиентские СОМ-приложения, со-здающиеся, как правило, в средах разработки приложений дляWin32, например в Microsoft Visual Basic. При использовании при-ложений Win32 на каждом узле кластера необходимо предусмот-реть два сетевых адаптера, так как для балансировки нагрузки при-меняется служба NLB. При работе с Web-серверами или кластера-ми маршрутизации разрешается использовать CLB.

• Кластер маршрутизации запросов СОМ+. Основная его задача —маршрутизация запросов СОМ+ в кластеры приложений СОМ+,хотя он также способен выполнять функции Web-кластера.

На таком кластере служба CLB применяется для переадресацииклиентских запросов компонентов СОМ+ на кластер приложенийСОМ+. Фактически этот кластер выполняет балансировку нагруз-ки для компонентов СОМ+, расположенных на кластере прило-жений СОМ+. Кластеры маршрутизации полезны, когда запросыСОМ+ приходят как от Web-клиентов, так и от приложений Win-dows. В большинстве случаев создавать кластер маршрутизации необязательно — вместо него применяют Web-кластер с CLB.

Выбор технологии балансировки нагрузкиПри выборе стандартного Web-кластера или кластера маршрутизациизапросов СОМ+ вам потребуется выбрать технологию балансировкинагрузки. Application Center доступны следующие методы баланси-ровки нагрузки:• служба NLB;• балансировка нагрузки без использования службы NLB;• отсутствие механизмов балансировки нагрузки.

Как правило, по умолчанию используют службу NLB, если тольков процессе анализа конфигурации не обнаруживается единственныйустановленный сетевой адаптер или поддержка DHCP в обеих подсе-тях— в таких ситуациях применение NLB становится невозможными приходится выбирать из двух последних вариантов.

Служба NLBApplication Center автоматически выполняет установку и настройкуNLB. Для изменения параметров по умолчанию применяют средствапользовательского интерфейса Application Center или окна свойств

соответствующего сетевого адаптера. Application Center тесно интег-рирован со службой NLB, что позволяет использовать его пользова-тельский интерфейс для выполнения различных задач администри-рования кластера, в том числе для подключения и отключения узлов.

Если параметры службы NLB настроены до создания кластера наоснове Application Center, вы вправе их изменить или использоватьпрежние параметры и реплицировать их на узлы кластера. Корректи-ровать любые параметры следует ло введения новых узлов — тогдапоследние сразу получат верные параметры. В противном случае су-ществует вероятность нарушения работы кластера.

Балансировка нагрузки без использования службы NLBКроме службы балансировки сетевой нагрузки Application Center под-держивает и другие технологии балансировки нагрузки (в отсутствиеили вместе с NLB). Например, Application Center предоставляет цен-трализованные средства управления кластером, что позволяет вестинаблюдение и управлять работой средств балансировки нагрузки, со-зданных сторонними производителями. Интегрировав эти сторонниесредства с Application Center, вы сможете контролировать состояниеузлов кластера, подключать и отключать узлы и синхронизироватьинформационное наполнение и параметры всех Web-сайтов, в томчисле назначенные им IP-адреса. Для достижения такой интеграцииследует настроить связь между устройством балансировки нагрузки иApplication Center.

Поскольку все узлы кластера синхронизируются с контроллером,перед подключением узлов следует убедиться в наличии на контрол-лере всей необходимой информации и параметров. При различияхинформации на узлах и контроллере последствия для работы класте-ра непредсказуемы.

Microsoft Application Cenier 2000 Resource Kit предоставляет инст-рументы для интеграции со средствами балансировки нагрузки, сто-ронних производителей. В их число входит провайдер службы WMI,предназначенный для контроля за состоянием устройства. Он такжепозволяет устройству балансировки нагрузки передавать данные осостоянии узлов, например об их подключении и отключении или обошибках в работе. Кроме того, пользуясь этой службой, вы сможетеперенести просмотр состояния узлов с устройства балансировки на-грузки в пользовательский интерфейс Application Center. Таким об-разом реализуется полный контроль работы кластера средствамиApplication Center и исключается ситуация, когда информация о син-хронизации поступает от Application Center, а информация о состоя-нии узлов — от устройства балансировки нагрузки.

Отсутствие механизмов балансировки нагрузкиИногда, например на стадии разработки или отладки приложения;балансировка нагрузки не требуется или нежелательна.

Поддержка состояния сеансовВ средах с балансировкой нагрузки все клиентские запросы проходятпроцедуру балансировки. Запросы клиентов, установивших сеанс скластером, должны обрабатываться одним определенным узлом кла-стера. В противном случае работа клиента нарушается из-за перенап-равления на узел, который ничего «не знает» о предыдущих запросахданного клиента.

Для направления запросов HTTP на определенный узел кластерав средах со сбалансированной нагрузкой в Application Center приме-няется механизм перенаправления (forwarder) запросов, который управ-ляет пересылкой на контроллер следующих запросов:• администрирования IIS;• публикации Microsoft FrontPage;• публикации WebDAV;• запросы администрирования через Web.

Сохранение состояния сеансовДля закрепления клиентов за конкретными узлами в механизме пе-ренаправления применяются cookie-файлы. Допустим, клиент открылсеанс с узлом А, однако механизм балансировки нагрузки может егопоследующие запросы направить на узел Б. Поскольку узел Б не со-держит информации об открытом сеансе, работа клиента нарушает-ся. Чтобы этого происходило, механизм перенаправления запросовсоздает на клиентском компьютере cookie-файл и использует его дляидентификации клиента и перенаправлении его запросов на узел А.

По умолчанию перенаправление запросов выполняется только насайтах, поддерживающих ASP-сессии. Для включения поддержки сес-сий необходимо настроить соответствующий параметр в разделе Ap-plication Configuration административного интерфейса IIS. Предус-мотрена возможность разрешить перенаправление запросов для всехWeb-сайтов.

Имейте в виду, что перенаправление запросов иногда отрицатель-но сказывается на производительности кластера, поскольку запросыперенаправляются после, а не вместо обработки механизмом балан-сировки.

Для обеспечения наилучшей производительности следует осво-бождать Web-кластер от управления сеансами. Например, информа-цию о сеансах можно хранить в базе данных SQL Server и управлять

ими при помощи cookie-файлов, хранимых на клиентских компью-терах. В таком случае Web-кластер не управляет сеансами, и механизмперенаправления запросов разрешается отключить или удалить.

Оптимизация производительностиМеханизм перенаправления запросов несколько снижает производи-тельность. Чтобы минимизировать потери, стоит отключить перенап-равление запросов для определенных типов файлов, а если Web-кла-стер не поддерживает сеансы ASP, перенаправление запросов можнововсе отключить или удалить.

iПринятие решенияПроектирование кластера на базе Application Center выполняется внесколько этапов, на каждом из которых необходимо принимать ре-шения относительно конфигурации аппаратного и программногообеспечения (таблица 6-4).

Таблица 6-4. Проектирование кластеров на базе Application Center


Определениеконфигурации серверов

Определение IP-адресов

Выбор типа кластера

При проектировании кластера следует убе-диться в том, что все серверы обладают дос-таточными ресурсами для выполнения всехнеобходимых приложений. Следует учестьобъем оперативной памяти и дискового прост-ранства, а также количество сетевых адаптеровна каждом сервере. Кроме того, при созданиикластера на всех серверах рекомендуетсяиспользовать одинаковое аппаратноеобеспечение

На каждом сервере кластера следует назначитькак минимум один IP-адрес интерфейсномуадаптеру и один — служебному. IP-адрес ин-терфейсного адаптера — это адрес кластера.Адреса интерфейсных и служебных адаптеровмогут принадлежать разным подсетям

При создании кластера на основе ApplicationCenter вы вправе выбрать один из трех типовкластера: стандартный/Web-кластер, кластерприложений СОМ+ и кластер маршрутизациизапросов СОМ+

(продолжение)Выбор технологии Если в качестве типа создаваемого кластерабалансировки нагрузки выбран стандартыый/^еЬ-кластер или кластер

маршрутизации запросов СОМ+, необходимовыбрать технологию балансировки нагрузки.Существует три варианта балансировки наг-рузки: использование службы NLB, использо-вание средств сторонних производителей илиотказ от использования балансировки нагрузки

Управление сеансами При создании кластера следует решить, какуправлять состояниями сеансов: средствамикластера или другим способом

РекомендацииПри создании кластера на основе Application Center придерживайтесьследующих рекомендаций:• позаботьтесь, чтобы на всех серверах хватало оперативной памяти

для работы всех необходимых приложений, в том числе ApplicationCenter, Windows 2000, I I S и других требуемых приложений;

• на жестком диске должно быть достаточно свободного простран-ства для размещения всех необходимых программ, с т р а н и ч н ы хфайлов, информационного наполнения сайта, а также для выпол-нения репликации и дефрагменлжши;

• на каждом сервере кластера следует установить как м и н и м у м двасетевых адаптера;

• для обеспечения равномерной балансировки нагрузки рекоменду-ется использовать однородное аппаратное обеспечение;

• служебному сетевому адаптеру следует назначить один IP-адрес,желательно, средствами DHCP. Интерфейсному адаптеру требу-ются два статических IP-адреса— один общий для всех серверовкластера, а второй уникальный для данного узла. Адреса интер-фейсного и служебного адаптеров должны относиться к разнымподсетям;

• тип кластера определяется целью его создания. Стандартный/Web -кластер используется в качестве основного Web-кластера. Клас-тер приложений СОМ+ используется только при наличии отдель-ного уровня поддержки работы приложений СОМ+;

• при создании стандартного/\¥еЬ-кластера или кластера маршру-тизации запросов СОМ+ рекомендуется использовать службу NLB,чтобы сократить затраты и упростить администрирование:

• следует избегать управления сеансами средствами самого кластера.

Пример. Кластер на базе Application CenterНа рис. 6-6 показан пример кластерной инфраструктуры на базеApplication Center. Созданы два кластера, расположенных в разныхдоменах Windows. Для повышения безопасности и управляемости ихможно создать в доменах подразделения. Разместив кластеры междудвумя брандмауэрами, в сети периметра, можно значительно повы-сить безопасность кластерной среды. Обратите внимание, что в клас-терах применяются различные механизмы балансировки нагрузки. Вкластере, расположенном на рисунке слева, применяется устройствобалансировки нагрузки стороннего производителя, а в кластер спра-ва— служба NBL.

Инфраструктура, показанная на рис. 6-6, может служить лишь ос-новой для создания мощного и хорошо защишенного кластера. В кон-кретной ситуации потребуются дополнительные серверы или класте-ры баз данных, серверы или кластеры для обработки компонентов, атакже многоуровневые структуры отладки и тестирования.

Промежуточныйсервер


Маршрутизатор

Высокоскоростнаямагистральная маршрутизаторЛИНИЯ |- 1

Web-кластер на Web-кластер на основеоснове Application Application CenterCenter и со службой NLB

Устройство балансировкинагрузки стороннегопоставщика

Ethernet(100 Мбит)


^Интернет

- ~J

Рис. 6-6. Инфраструктура кластеров на базе Application Center

РезюмеПроектирование кластера на базе Application Center выполняется внесколько этапов. На первом этапе определяется конфигурация сер-веров. Следует учесть требуемый объем оперативной памяти и диско-вого пространства. На каждый сервер кластера необходимо устано-вить как минимум два сетевых адаптера. Кроме того, рекомендуетсяиспользовать на серверах примерно одинаковое аппаратное обеспе-чение. Клиентским адаптерам назначают по крайней мере один IP-адрес, который является адресом кластера. Как правило, служебномуадаптеру средствами DHCP назначается один IP-адрес. При созда-нии кластера выбирают один из трех типов кластера: стандарта ый/Web-кластер, кластер приложений СОМ+ и кластер маршрутизации запро-сов СОМ+. Если в качестве типа создаваемого кластера выбран стан-дартный/ЛУсЬ-кластер или кластер маршрутизации запросов СОМ+.необходимо выбрать технологию балансировки нагрузки (службу NLB,средства сторонних разработчиков) или отказаться от балансировки на-грузки. Необходимо, чтобы запросы конкретных клиентов, устано-вивших сеанс связи, обрабатывались определенными узлами класте-ра. Для направления HTTP-запросов на конкретный узел кластера всредах с балансировкой нагрузки в Application Center применяетсямеханизм перенаправления запросов, Для обеспечения наилучшейпроизводительности рекомендуется избавить Web-кластера от обслу-живания информации о состоянии клиентских сеансов.

Тренинг б-1. Определение компонентовкластера на базе ApplicationCenter

Предположим, вы администратор сети Contoso Pharmaceu-ticals, компании, которая предоставляет терапевтам фарма-цевтические сведения. В компании создается Web-сайт дляпредоставления клиентам онлайновых услуг. Поскольку ин-формация может понадобиться терапевтам в любое время,необходимой обеспечить доступ к сайту в режиме «24x7». Дляэтого планируется создать в корпоративной сети кластеры наоснове Application Center. По соображениям безопасности идля облегчения обслуживания вы решили создать отдельныйкластер для обработки приложений СОМ + ,

На рис. 6-7 показан примерный план топологии сети.

Рис. 6-7. Web-кластер и кластер приложений СОМ+ на базеApplication Center

1. Отметьте на плане следующие компоненты: клиент, Интернет,Web-кластер, кластер приложений СОМ+, службы NLB и CLB.

2. Какие типы кластеров поддерживает Application Center?

3. Какой тип кластера следует использовать, чтобы реачизовать Web-сайт и предусмотреть поддержку NLB и CLB?

3 Проектирование кластеровсо службой CLB

Служба CLB (Component Load Balancing) позволяет балансироватьнагрузку по обслуживанию компонентов СОМ+. Компоненты СОМ+ -это откомпилированные программные объекты, доступные из про-грамм на различных языках, в том числе VBScript (VBS), ASP, VisualBasic и C++. Это удобный способ создания программ, состоящих ихповторно используемых объектов. При использовании службы CLBобъекты СОМ+ располагаются на серверах отдельного кластера при-ложений СОМ+, а запросы компонентов СОМ+ распределяютсямежду серверами этого кластера. Элементы принятия решений о рас-пределении запросов в CLB исполняются на уровне Web-кластера, нонекоторые элементы сбора информации работают на кластере при-ложений СОМ+. На этом занятии рассказывается о принципах рабо-ты и о способах применения CLB.


J описать механизм работы CLB и то, как эта службаприменяется в кластерах на базе Application Center;

s проектировать многоуровневые кластеры, поддерживающиебалансировку нагрузки приложений СОМ+.


Служба CLBCLB— это одна из служб Application Center, обеспечивающая дина-мическую балансировку нагрузки компонентов приложений СОМ+.Чтобы использовать ее возможности, кластер приложений СОМ+должен «уметь» вызывать компоненты при получении запросов какот стандартного/\УеЬ-кластера и кластера маршрутизации запросовСОМ+, так и от клиентов-программ на базе Win32. С техническойточки зрения кластер маршрутизации запросов СОМ+ и Web-клас-тер ничем не различаются — оба поддерживают CLB и переправле-ние запросов на кластер приложений СОМ+.

Примечание Служба CLB балансирует только запросы объектовСОМ+. Балансировка нагрузки компонентов поочередного доступаневозможна.

COMВ основе CLB лежит компонентная архитектура СОМ. Объектно-ори-ентированные программы, созданные в этом стандарте, поддержива-ют стандартный механизм доступа к программе. В результате, благо-даря стандартным интерфейсам СОМ-модели, удается применять этиобъекты в различных языках программирования и операционных си-стемах.

Доступ к функциям СОМ-компонента осуществляется через одинили несколько его интерфейсов. Чтобы использовать эти компонен-ты, клиентскую программу создают на языке, поддерживающем дос-туп к интерфейсам СОМ-объектов, а именно Visual Basic, ASP, VBS,JavaScript и Visual C++. Сам интерфейс представляет собой обычнуютаблицу с перечислением адресов методов, поддерживаемых тем илииным интерфейсом (рис. б-!1).

Клиент

/ \ СОМ-компонентз

+А

В

С

D

Рис. 6-8. Интерфейсы СОМ-компонента

СОМ-компоненты, как правило, размещаются в динамическиподключаемых библиотеках (Dynamic-Link Library, DLL) или в ис-полняемых файлах, размещенных на клиентском компьютере или наудаленном узле. Для вызова СОМ-компонентов на удаленных ком-пьютерах используется механизм DCOM, он основан на системе уда-ленного вызова процедур (Remote Procedure Call, RFC).

Службы СОМ+Службы СОМ+ — это част л операционной системы Windows 2000.представляющая собой набор служб на базе СОМ и MTS. Они поддер-живают многие функции, необходимые для корпоративных приложе-ний, например транзакции, управление временем жизни объектов,службы безопасности, события и компоненты поочередного доступа.

Компоненты СОМ+Компоненты СОМ + «умеют» обращаться к службам СОМ+ и исполь-зуют преимущества последних. Одно из обязательных требований,предъявляемых к объекту СОМ+, — наличие конфигурационной ин-формации, то есть набора атрибутов, позволяющих базовой архи-тектуре СОМ распознавать, поддерживается ли та или иная возмож-ность СОМ+, например выполнение транзакций или балансировка на-грузки.

Компоненты СОМ+ объединяются в пакеты, или приложения (ap-plications). Не следует путать эти приложения с приложениями Ap-plication Center. Приложение СОМ+ это объединение компонентовСОМ + , а приложение Application Center— список совместно исполь-зуемых ресурсов.

Как работает служба CLBCLB состоит из двух основных частей:• ПО службы CLB — применяется для балансировки нагрузки в кла-

стере приложений СОМ+;• кластер приложений СОМ+ — кластер Application Center, необхо-

димый для вызова и запуска компонентов СОМ+.

Программное обеспечение службы CLBПрограммное обеспечение CLB определяет порядок использованиясерверов кластера для вызова компонентов СОМ+.

Бизнес-логика компонента СОМ+ располагается и исполняетсяна Web-кластере. Типичный пример такого компонента — ASP-сце-нарий на Visual Basic, вызывающий при необходимости функциюCreateObject соответствующего компонента СОМ+. (Этот вызов пре-образуется в вызов CoCreateInstance.) Руководствуясь списком мар-шрутизации и таблицей времен отклика сервера, служба CLB серве-ров направляет запрос на кластер приложений СОМ+. Сервер клас-тера СОМ + создает компонент и возвращает его интерфейс клиенту.После создания компонента дальнейшая работа с ним происходит безучастия службы CLB.

Список маршрутизацииСписок маршрутизации (routing list) есть на каждом узле Web-класте-ра. В нем перечислены все серверы кластера приложений СОМ+,между которыми балансируется нагрузка (рис. 6-9). Кроме того, иног-да собственный список маршрутизации имеется и на кластере прило-жений СОМ+, но он не имеет никакого отношения к Web-кластеру ииспользуется только для внутри кластер ной маршрутизации.

Web- клас

Cnf

TeP Таблица временски маршрутизации отклика

А

В

С

D

А

В

С

D

А

В

С

D

В 18мс

СЗбмс

D45MC

А59мс

С 21 мс

А25мс

D31 мс

В54МС

А20мс

С23мс

В 58мс

D61 мс

*\

\

\

Кластерприложений

СОМ+

Узел А

Узел В

Узел С

УзелО

Рис. 6-9. Списки маршрутизации и таблицы времен отклика

Список маршрутизации создается администратором на контрол-лере домена и затем автоматически синхронизируется на всех узлахкластера. Поэтому невозможно создать разные списки маршрутиза-ции для отдельных узлов кластера. Огромное преимущество копиро-вания списка маршрутизации в том, что он не становится точкой кри-тического сбоя. Если один из узлов кластера преднамеренно или слу-чайно останавливается, другие узлы продолжают использовать дляраспределения нагрузки кластера СОМ+ собственные копии спискамаршрутизации!

Таблица времен отклика

Каждые 200 миллисекунд саужба CLB, выполняющаяся на каждомсервере Web-кластера, опрашивает узлы, указанные в списке марш-рутизации. По результатам опроса в оперативной памяти создаетсятаблица узлов кластера приложений СОМ+, упорядоченных по вре-мени отклика. Чем меньше время ответа данного сервера, тем вышеего позиция в этой таблице. Эта таблица называется таблицей временотклика (response timetable). Узлы Web-кластера направляют входя-щие запросы активации на серверы кластера приложений СОМ+,выполняя циклическую (round robin) выборку записей из таблицы вре-мен отклика. При получении запроса объекта СОМ+ используется

самый быстрый из наименее загруженных узлов кластера СОМ+, сле-дующий запрос направляется более медленному узлу и т.д. По дости-жении конца таблицы выборка опять начинается с первой строки. Такпроисходит до момента следующего опроса, после которого таблицавремен отклика обновляется, далее выборка начинается заново, с пер-вой строки.

Таблица времен отклика узлов кластера СОМ+ хранится на каж-дом узле Web-кластера. Синхронизация этих таблиц не производит-ся, так как она значительно медленнее, чем изменения загруженнос-ти узлов кластера СОМ+.

Кластер приложений СОМ+Как и Web-кластер, кластер приложений СОМ+ создается средства-ми мастера New Cluster Wizard, входящего в состав Application Center.На каждом узле кластера устанавливается одинаковый набор компо-нентов СОМ+, иногда для этого применяют мастер развертывания. ВCLB-кластере используются только компоненты, поддерживающиеработу в кластере.

Компоненты СОМ+, поддерживающие работу в кластереСлужба CLB поддерживает взаимодействие только с компонентами,поддеривающими работу в CLB-кластере. Такие компоненты СОМ+не должны поддерживать индивидуальное состояние, так как это от-рицательно сказывается на масштабируемости и управлении транзак-циями. Повторно можно использовать лишь компоненты, не поддер-живающие состояний; информация о состоянии отдельных компо-нентом не может выходить за пределы транзакции. Она должна хра-ниться в постоянном хранилище, например в СУБД, доступной всемузлам кластера. Кроме того, такую информацию можно хранить накомпьютере клиента, например в cookie-файлах.

Когда следует применять CLBНесмотря на то, что служба CLB — весьма эффективный инструментдля создания распределенных систем, ее использование не всегдаоправдано. Производительность, управляемость и безопасность — вотосновные параметры, определяющие целесообразность примененияслужбы CLB.

П роизводительностьДаже самый привлекательный и полезный Web-сайт потерпит крах,если он не обеспечивает достаточной производительности обслужи-вания посетителей. Производительность работы Web-сайта оценива-ется двумя основными параметрами:

• пропускной способностью — числом запросов, обрабатываемыхWeb-сайтом в единицу времени;

• временем отклика — интервалом между запросом и получениеминформации пользователем.

Работа службы CLB оказывает влияние на оба этих параметра.

Пропускная способностьПропускная способность снижается, когда приложение или службаинициируют дополнительные запросы по сети. Понятно, что исполь-зование CLB снижает общую производительность, и это необходимоучитывать при проектировании архитектуры кластера. В таблице 6-5показано число вызовов в секунду для од но потокового СОМ-компо-нента, созданного при помощи Visual Basic и возвращающего строку«Hello, world». Клиент создан с применением раннего связывания ине высвобождает ссылки между вызовами для получения строки,

Таблица 6-5. Производительность СОМ-компонента в зависимостиот конфигурации

Конфигурация

Серверное приложение СОМ+,доступ по сети ЮВазеТ

Серверное приложение СОМ+в отдельном процессена локальном компьютере

Библиотечное приложениеСОМ+, в одном процессесо службой на локальномкомпьютере

Запросовв секунду

625

1923

3333

Относительнаяскорость

1,0

3,08

5,33

Очевидно, что при вызове компонентов по сети пропускная спо-собность значительно ниже, чем при размещении на локальном ком-пьютере. Причем это верно при применении программного обеспе-чения других фирм. Поэтому, когда производительность критическиважна, применять службу С LB неразумно. Более эффективное реше-ние — локальная установка компонентов СОМ+ на серверы Web-кла-стера (рис. 6-10), это позволит избежать пересылки запросов черезсеть. В данном случае служба CLB не используется, но балансировкаосуществляется службой N L B .

Кластер Web-уровня

Клиент

ГГ\ КомпонентWCOM+

Рис. 6-10. Размещение компонентов СОМ+ на Web-уровне

Время откликаБезусловно, важное значение имеет скорость получения откликапользователями при их обращении к Web-сайту, и она сильно зави-сит от архитектуры сайта. Размещение компонентов СОМ+ на Web-кластере может увеличить время отклика Web-сайта. Если время ре-акции приложений, не использующих СОМ+, важнее пропускнойспособности компонентов СОМ+, последние следует размещать наотдельном кластере приложений СОМ+ (рис. 6-11).

Интерфейсный Служебный кластерWeb-кластер приложений СОМ+

Рис. 6-11, Двухуровневая архитектура с NLB-кластером и кластеромприложений СОМ+

Перенос приложений СОМ+ на отдельный уровень снижает на-грузку на Web-кластер и сокращает время обслуживания клиентов,не использующих компоненты СОМ+, например тех, что обращают-ся к статическим Web-страницам, Понятно, что нельзя ожидать со-кращения времени отклика запросов, в которых приходится вызы-вать компоненты СОМ+. Более того, такие вызовы инициируют вто-ричные вызовы, что снижает общую производительность сети.

Другой вариант использования CLB — размещение списков мар-шрутизации на специально для этого созданном кластере маршрути-зации запросов СОМ+ (рис 6-12). В такой конфигурации еще боль-ше снижается нагрузка на Web-кластер, поскольку ему не приходит-ся выполнять какие бы то ни было действия, касающиеся CLB.

ИнтерфейсныйWeb-кластер

Служебный кластерприложений СОМ-1-

Кластерпромежуточного

уровня с серверамимаршрутизации

Клиентскоеприложение

на базе Win32

Рис. 6-12. Трехуровневый кластер с балансированием нагрузкина всех уровнях

Такая конфигурация хороша для в ы п о л н е н и я на Web-кластереопераций, не связанных с вызовом компонентов СОМ+, однако про-изводительность при вызове таких компонентов даже ниже, чем впредыдущем примере; это обусловлено большим дополнительнымтрафиком, связанным с вызовом компонентов СОМ-К Тем не менеедополнительное преимущество промежуточного уровня заключаетсяв том, что кластер маршрутизации способен обрабатывать запросы нетолько Web-клиентов, но и клиентов на базе Win32.

УправляемостьОтдельный кластер для обработки приложений СОМ+ позволяетповысить управляемость за счет раздельного управления различнымизадачами — обслуживанием компонентов СОМ+ и IP-запросами Web-сайта. К примеру, во многих организациях компоненты СОМ+ раз-мешаются на физически удаленных друг от друга серверах. За счетсоздания отдельного кластера приложений СОМ+ удается обеспечитьнезависимое управление кластером. Кроме того, допустимо создаватьархитектуры с одним кластером приложений СОМ+ и несколькимиWeb-кластерами или, наоборот, — с одним Web-кластером и несколь-кими кластерами приложений СОМ+.

БезопасностьЧаще всего CLB применяется для повышения безопасности сайта.При использовании компонентов СОМ+ в качестве средств доступак данным, можно применять особые функциональные или программ-ные механизмы зашиты данных таких компонентов. При размеще-нии компонентов на Web-кластере такую схему использовать нера-зумно, так как на Web-кластер попадают запрос от злоумышленни-ков, пытающихся воспользоваться уязвимостью компонентов СОМ+.Применение CLB позволяет устранить эту проблему путем переносакомпонентов СОМ+ с Web-кластера в отдельный кластер приложенийСОМ+. Кластер СОМ+ часто защищается дополнительным брандма-уэром (брандмауэр В на рис. 6-13), пропускающим только запросы насоздания компонентов от Web-кластера, а не от клиентов. Кроме того,на рис. 6-13 показана сеть периметра, отделенная двумя брандмауэ-рами и защищающая Web-кластер.

10-4791

Microsoft Application Gen :er 2000

Брандмауэр А

Web-кластер

База данных Кластерприложений СОМ+

Промежуточныйсервер

Рис. 6-13. Кластер приложений СОМ+, защищенный отдельнымбрандмауэром

Принятие решенияПринимая решение о создании кластера приложений СОМ+, следу-ет учесть три параметра: производительность, управляемость и безо-пасность (таблица 6-6).

Таблица 6-6. Параметры, учитываемые при проектировании кластераприложений СОМ+

Параметр Примечание

Производительность Приникая решение о необходимости использо-вания CLB, следует учесть пропускную способ-ность и время отклика Web-сайта. При пересылкезапросов по сети обычно снижается общаяпроизводительность, но в некоторых случаяхудается добиться сокращения времени отклика

Занятие 3 Проектирование кластеров со службой CLB 2§9

(продолжение)Управляемость Использование отдельного кластера СОМ+

позволяет независимо управлять приложениямиСОМ+. Компонентами и IP-запросами можноуправляться раздельно

Безопасность Использование отдельного кластера СОМ+позволяет повысить безопасность сети. Размещениекомпонентов СОМ+ на Web-кластере угрожаетбезопасности, так как облегчает несанкциони-рованный доступ

РекомендацииХотя Application Center позволяет создавать многоуровневые класте-ры, их не следует применять просто для разнесения компонентовприложений. Существуют доводы как в пользу разделения приложе-ний на уровни, так и объединения их в рамках одноуровневой моде-ли. Перед принятием решения следует тщательно проанализироватьи взвесить технические и бизнес-требования, предъявляемые к созда-ваемому кластеру, так как в таких проектах нет универсального, един-ственно верного решения.

Обычно принимают во внимание несколько причин разнесенияWeb-кластера и кластера приложений СОМ+ на разные уровни;• повышение безопасность — между уровнями можно установить до-

полнительные брандмауэры;• разделение управления — ответственность за работу приложений

HTML/ASP и СОМ+ возлагается на разные группы разработчикови администраторов. Разнесение приложений на разные уровни по-зволяет устранить возможные трения между этими группами;

• совместное использование кластера — совместное использованиекластера приложений СОМ+ несколькими Web-кластера ми по-зволяет повысить эффективность использования ресурсов;

• снижение времени отклика — в некоторых случаях (например, в сре-дах с низкой пропускной способностью и большими затратами наобработку запросов) при инициировании большого числа ресурсо-емких запросов СОМ+ в единственном Web-запросе удается сокра-тить время отклика, но производительность при этом снижается.

Примечание В средах с высокой пропускной способностью это преиму-щество теряется, поскольку нагрузка в кластере распределяется равномер-но независимо от наличия или отсутствия дополнительных уровней.

Microsoft Application Certer 2000 Глава

Существуют также причины объединения Web-приложен» и и при-ложений СОМ+ на одном уровне:• повышение производительности — удаленный доступ связан с боль-

шими затратами ресурсов, поэтому разделение кластера на двауровня без добавления дополнительного аппаратного обеспеченияснижает производительность;

• более простое администрирование — управлять двумя кластерамисложнее, чем одним;

• эффективное использование аппаратного обеспечения — следуеттщательно распределять оборудование между Web-кластером икластером СОМ+. При модернизации существенно сложнее при-нять решение о выделении дополнительных аппаратных ресурсов,в результате возможен дисбаланс производительности между кла-стерами, приходится тратиться на дополнительное оборудование,кроме того, требуется более тщательный контроль за равномерно-стью и эффективностью использования аппаратных средств;

• упрощенное управление зависимостями — при добавлении узла вкластер приложений СОМ+, на Web-кластере требуется обновитьсписок узлов кластера СОМ+. В одноуровневой модели этого де-лать не нужно.

Примечание Вам никто не запрещает создать отдельный кластер мар-шрутизации запросов СОМ+, однако в этом случае вам придется управ-лять дополнительным уровнем с присущими ему проблемами произво-дительности и контроля.

Понятно, что высокая производительность и служба CLB не все-гда совместимы, и это нужно учитывать при создании Web-сайта.Служба CLB — прекрасный инструмент построения распределенныхсистем, однако использовать его следует осторожно. Хотя примене-ние CLB неблагоприятно сказывается на производительности, дру-гие преимущества, такие, как безопасность, управляемость, легкостьустановки и балансировка нагрузки, в некоторых случаях компенси-руют этот недостаток.

Пример. CLB-кластер компании ConsolidatedMessengerДля организации собственного Web-сайта в компании ConsolidatedMessenger создается многоуровневая сеть. Web-сектор сети планирует-ся реализовать в трехуровневой архитектуре. На первом уровне пред-полагается разместить NLB-кластер с Web-службами, а на втором уров-

не— кластер приложений СОМ+. Оба кластера должны состоять изтрех компьютеров под управлением Windows 2000 Advanced Server. Длявзаимодействия с кластером приложений СОМ+ на Web-кластере при-меняется служба CLB. На третьем уровне предполагается разместитькластер данных из двух компьютеров под управлением Windows 2000Advanced Server и со службой кластеров Microsoft Windows.

Топология Web-сектора сети (сети периметра) компании Con-solidated Messenger показана на рис. 6-14. Обратите внимание на спо-соб разнесения приложений СОМ+ и Web-кластера.

Маршрутизатор/ подключениябрандмауэр «Интернету комм

Рис. 6-14.

Коммутатор Маршрутизатор/брандмауэр

Многоуровневая сетевая среда со службами NLB и CLB,а также со службой кластеров

РезюмеСлужба CLB обеспечивает динамическую балансировку нагрузкикомпонентов приложений СОМ+. В основе CLB лежит компонент-ная архитектура СОМ. Служба CLB состоит из двух основных частей;программного обеспечения CLB, требуемого для балансировки нагруз-ки в кластере приложений СОМ+, и кластера приложений СОМ+, тоесть кластера на основе Application Center, применяемого для вызоваи запуска компонентов СОМ+. На каждом узле Web-кластера хранит-ся список маршрутизации, в котором указаны все узлы кластера

СОМ+, между которыми распределяется нагрузка по обработке при-ложений. Также на каждом узле Web-кластера создается собственнаятаблица времен отклика узлов кластера СОМ+. Как и Web-кластер,кластер приложений СОМ+ создается средствами мастера New ClusterWizard, входящего в состав Application Center. Принимая решение онеобходимости использования CLB, следует учитывать три парамет-ра: производительность, управляемость и безопасность. Служба невсегда позволяет повысить производительность. Хотя применениеCLB часто неблагоприятно сказывается на производительности, дру-гие преимущества этой службы, такие, как безопасность, управляе-мость и легкость установки, иногда компенсируют этот недостаток.

Проектирование кластеровс использованием ApplicationCenter

Цель

Выполнив этот практикум, вы научитесь:• проектировать стандартный/\УеЬ-кластер;• проектировать кластер маршрутизации запросов СОМ+;• проектировать кластер приложений СОМ+.

В этом практикумеВы спроектируете три кластера со службами NLB и CLB. Особое вни-мание уделяется топологии сети для работы этих кластеров. При со-здании кластеров применяется многоуровневая модель, позволяющаявоспользоваться преимуществами балансировки нагрузки в ApplicationCenter.

Прежде всегоДля выполнения этой практической работы необходимо уметь:• администрировать Windows 2000 Advanced Server и Application

Center 2000;• использовать и администрировать службы NLB в Windows 2000

Advanced Server и Application Center 2000;• применять CLB в Application Center 2000.

Исходные данные. Кластер компании Trey ResearchКомпания Trey Research предоставляет информационные услуги кли-ентам во всем мире. В настоящее время предполагается предостав-лять онлайновые услуги в режиме «24x7». Для устранения всех точеккритического сбоя в сегменте сети, где размещается Web-сайт, следу-ет обеспечить резервирование служб, компонентов и сетевых подклю-чений. Для начала планируется развернуть один Web-сайт. Для хра-нения данных применяется кластер под управлением службы класте-ров Windows 2000 Advanced Server, Остальные кластеры организуют-ся на базе Windows 2000 Advanced Server и Application Center. По-скольку Web-сайт содержит множество статических страниц, времяотклика страниц без компонентов СОМ+ важнее производительнос-ти компонентов. Кроме того, требуется обеспечить доступ к компо-

нентам СОМ+ для клиентов Win32. Будучи администратором сети,вы решили создать многоуровневую среду, состоящую из Web-клас-тера, кластера маршрутизации запросов СОМ+ и кластера приложе-ний СОМ+.

Упражнение 1. Проектирование стандартного/Web-кластераВам необходимо спроектировать стандартный/ЛУеЬ-кластер для под-держки работы Web-служб. Ваша задача — создать инфраструктурусети для создания Web-сайта компании и предусмотреть несколькоподключений к Интернету, коммутаторов и сетевых соединений.Кроме того, необходимо создать внутреннюю сеть и маршрут до кор-поративной (защищенной) сети. На данном этапе в сети следует пре-дусмотреть установку стандартного/Web-кластера и кластера данных.1. Как должен выглядеть план сети?

2. Как прошедшие через брандмауэр клиентские запросы будут рас-пределяться между узлами стандартного,А¥еЬ-кластера?

3. Где располагаются приложения СОМ+?

Упражнение 2. Проектирование кластерамаршрутизации запросов СОМ+Вы должны видоизменить конфигурацию сети, созданной в упраж-нении 1. В сеть необходимо ввести кластер маршрутизации запросовСОМ + . Хотя установка кластера маршрутизации запросов СОМ+бессмысленна без кластера приложений СОМ+, сейчас от вас требу-ется только создать кластер маршрутизации и указать его местополо-жение относительно других компонентов сети. Не забудьте добавитьрезервные компоненты для устранения точек критического сбоя.1. Как должен выглядеть план сети?

2. На каком кластере или кластерах устанавливается служба NLB?

3. Каковы основные задачи, выполняемые кластером маршрутиза-ции запросов СОМ+?

Упражнение 3. Проектирование кластера приложенийСОМ+Вам предлагается добавить в топологию сети кластер приложенийСОМ+. Не забудьте спланировать установку дополнительных комму-таторов и сетевых подключений для устранения возможных точеккритического сбоя. Также на плане сети следует указать клиентаWin32 и место его подключения к сети.1. Как должен выглядеть план сети?

2. На каких уровнях используются службы NLB и CLB?

3. Как скажется на производительности сети вынесение компонен-тов СОМ+ на отдельный кластер?



1. Как осуществляется интеграция технологии NLB в ApplicationCenter и Windows 2000 Advanced Server?

2. В каких случаях применяют службу CLB?

3. Назовите три основных варианта кластеров на базе ApplicationCenter.

4. Вы — администратор сети Graphic Design Institute, и вам необхо-димо повысить доступность Web-сайта компании. Для поддержкиWeb-служб вы решили создать кластер на базе Application Center.Он состоит из трех компьютеров, аппаратных ресурсов которыхдостаточно для работы Windows 2000 Advanced Server, ApplicationCenter, Event and Performance Logging и IIS 5.0. Кроме того, ин-терфейсным и служебным адаптерам кластера планируется при-своить адреса подсетей. Какой тип кластера и метол балансиров-ки нагрузки следует применить?

5. В компании создается Web-сайт и определяется структура класте-ров и балансировки нагрузки в сети. Необходимо обеспечить наи-высшую производительность всех операций. Кроме того, руковод-ство требует максимально упростить администрирование сети и вполной мере использовать имеющиеся аппаратные ресурсы. Ка-кой тип или типы кластеров Application Center (стандартный/Web -кластер, кластер маршрутизации запросов СОМ+ или кластерприложений СОМ+) стоит использовать в такой ситуации?

Г Л А В А 7

Планированиересурсов

. Основные сведения о планировании ресурсов 269

. Затраты на обслуживание пользователей 279

1 , Вычисление нагрузки на процессоры 296

•2„ Определение необходимой пропускнойспособности сети 297

. Планирование ресурсов сети 298

Практикум 7-1, Определение необходимых процессорныхресурсов и пропускной способности сети 315


Планирование ресурсов

В этой главеПри проектировании Web-сайта следует позаботиться о способностисети и ее компонентов поддерживать работу необходимого числапользователей. Планирование ресурсов (capacity planning), то есть про-цесс оценки способности Web-сайта предоставлять информацию по-сетителям с приемлемым временем отклика, необходимо для обеспе-чения адекватной работы системы при максимальном количествепользователей, одновременно обращающихся к приложениям и сете-вым службам. Низкая производительность и недоступные службывынудят потенциальных клиентов перейти к Web-сайтам конкурен-тов. Поэтому надо обеспечить одновременное обслуживание как мож-но большего числа пользователей, и значит, необходимо достаточнопроизводительное сетевое оборудование и ПО. Из этой главы вы уз-наете о том, как спланировать ресурсы системы, а также научитесьоценивать затраты на обслуживание пользователей, например загруз-ку процессора и оперативной памяти, а также определить требованияк сетевым ресурсам.

Прежде всегоДля изучения материалов этой главы необходимы:• опыт администрирования Mictosoft Windows 2000 Server и созда-

ния сетей;* опыт планирования сетевых ресурсов.

Занятие 1 Основные сведенияо планировании ресурсов

Цель любого Web-сайта— заинтересовать пользователей. Большоевремя отклика, простои, ошибки и «битые» ссылки вынуждают пользо-вателей обращаться за необходимой информацией на другие сайты.Для предотвращения подобных ситуаций необходимо создать инфра-структуру, способную справиться не только со средней, но и пиковойинтенсивностью запросов пользователей. Для этого необходимо оп-ределить, какое оборудование требуется для обслуживания заданногочисла пользователей. Таким образом устраняют потенциально слабыеместа в структуре сети, ухудшающие производительность и качествообслуживания пользователей. Однако до оценки необходимых сете-вых ресурсов следует познакомиться с основными понятиями пла-нирования ресурсов. На этом занятии рассказывается о том, каким об-разом сетевой трафик, производительность, доступность и масштаби-руемость влияют на определение необходимого количества ресурсов.

Изучив материал этого занятия, вы сможете:J рассказать о факторах, влияющих на планирование ресурсе®.


ТрафикПеред запросом информации браузер инициирует подключение ксерверу по протоколу TCP. Затем по созданному подключению на-правляется запрос, в ответ на который сервер отсылает необходимыестраницы. Такой обмен запросами и ответами называется трафиком.

Объем передаваемого трафика лишь отчасти поддается прогнози-рованию— трафик характеризуется скачками и наплывами. Напри-мер, на многих сайтах можно наблюдать всплеск активности в началеи конце рабочего дня, а в середине дня количество запросов снижа-ется. Кроме того, уровень активности меняется в зависимости от днянедели. Разумеется, существует прямая связь между объемом трафи-ка и необходимой пропускной способностью сети. Чем больше посе-тителей у сайта и чем объемнее Web-страницы, тем большей должнабыть пропускная способность сети.

Предположим, Web-сайт подключен к Интернету по линии DS1/Т1 со скоростью 1,536 Мбит/с. На сервере размешены статические

270

HTML-страницы, содержащие только текстовую информацию. Сред-ний размер каждой страницы — 5 кб. Все передаваемые данные со-провождаются дополнительной информацией в заголовках пакетов.Для файла размером в 5 кб объем такой дополнительной информа-ции может достигать 30% от размера файла. В файлах большего раз-мера доля дополнительной информации меньше.

На рис. 7-1 показано распределение нагрузки при пересылке стра-ницы размером 5 кб по линии Т1.

Линия Т1 Страница(5 кб)

\ Страница (5 кб)

;| Страница (5 кб)

Web-сервер

Файл со страницей \

Служебная информацияпротокола

Запрос GETTCP-подключение

Рис. 7-1, Пересылка страницы размером 5 кб по линии 11

В таблице 7-1 показаны цифры трафика, создаваемого при стан-дартном запросе страницы в 5 кб. Многие значения усреднены, по-скольку точное число байт отличается от запроса к запросу.

Таблица 7-1. Трафик стандартного запроса страницы в 5 кб

Вид трафика Объем передаваемой информации, байт

Подключение TCP

Запрос GET

Файл объемом 5 кб

около 180

около 256

5120

Занятие 1 Основные езедення о планировании ресурсое 271

(продолжение)Служебная информация около 1364протокола

Итого 6920 (55 360 бит)

Скорость передачи данных по линии Т1 равна 1.544 Мбит/с. В нор-мальных условиях пропускная способность составляет 1,536 Мбит/с(то есть 1 536 000 бит в секунду). (Полоса пропускания уменьшается,поскольку для разбиения битового потока на кадры дополнительнотребуется 8000 бит.) Для определения максимального числа страниц,передаваемых за секунду по сети, следует разделить число бит, пере-даваемых за секунду по линии Т1, на число бит, передающихся призапросе страницы. В данном случае следует разделить 1 536000 на55 360, что соответствует 27,7 страниц в секунду.

Разумеется, при добавлении графики результаты значительно из-менятся. Кроме того, если страницы содержат несколько изображе-ний и размер последних велик или если страница содержит другуюмультимедийную информацию, время загрузки страницы существен-но увеличивается.

При фиксированном среднем размере и сложности страниц мож-но использовать несколько способов повышения скорости их пере-дачи:• удаление некоторых изображений;• использование изображений меньшего размера или сжатие изоб-

ражений (или повышение степени сжатия уже сжатых изображе-ний);

• отображение уменьшенных копий изображения со ссылкой наполноразмерные оригиналы;

• преобразование изображений в компактные форматы, напримерв формат GIF или JPG вместо TIFF-файлов;

• подключение к сети с использованием более быстрого интерфей-са или нескольких интерфейсов (такое решение позволяет устра-нить проблему на стороне сервера, но не клиента).

На сайтах, содержащих в основном простые статические HTML-страницы, исчерпание полосы пропускания линии связи вероятнее,чем нехватка мощности процессора. Напротив, сайты с «тяжелыми»динамическими страницами или с поддержкой функций серверовтранзакций или баз данных во многом зависят от мощности процес-сора, поэтому «узким местом» таких систем становятся процессоры,память и диски (точнее нехватка дискового пространства), а такжепропускная способность сети.

Пропускная способность сети на стороне клиентаПри определении требовании к пропускной способности не следуетограничиваться сетью сервера. Компьютер клиента также ограниченскоростью своего подключения к Интернету, что может привести кзначительным (в сравнении со скоростью сервера) временным затра-там на загрузку страницы в браузер.

Предположим, вы хотите загрузить страницу объемом (включаяслужебную информацию) около 90 кб (примерно 720 кбит). Если пре-небречь задержками в несколько секунд до начала получения данных,на прием такой страницы через подключение с пропускной способ-ностью 28,8 кбит/с в лучшем случае уйдет около 25 секунд (рис. 7-2).

Web-сервер

Клиентскийкомпьютер

-

Телефонная /-^ линия )

Страница Е=](90 кб со служебной

информацией)28,8 кбит/с

Время загрузки25 секунд

Рис. 7-2. Загрузка страницы общим объемом 90 кб при помощимодема со скоростью 28,8 кбит/с

Если на стороне сервера возникают сбои или снижается произво-дительность, сеть перегружена или ее скорость мала или скоростьподключения пользователя ниже номинальной 28,8 кбит/с, страницабудет загружаться дольше. На скорость загрузки часто влияет низкоекачество телефонной линии.

Если компьютер клиента подключен ко внутренней сети черезскоростное подключение, загрузка займет намного меньше времени.Однако если Web-сайт расположен в Интернете, то до примененияновых телекоммуникационных технологий не следует рассчитыватьна очень высокие скорости передачи данных. Хотя в настоящее вре-мя многие пользователи обзавелись модемами со скоростью 56 кбит/с,качество большинства телефонных линий не позволяют работать стакой скоростью. В некоторых местах широко применяются кабель-ные модемы и технологии DSL, поэтому спрогнозировать способ

подключения, применяемый пользователями для связи с вашим сай-том, практически невозможно.

В таблице 7-2 перечислены относительные скорости передачи тек-стовой страницы размером 5кб с применением различных сетевыхинтерфейсов. Число страниц, переданных за секунду, со скоростью,превышающей скорость сети Ethernet 10 Мбит, округлено.

Таблица 7-2. Скорости различных сетевых интерфейсов

Тип подключения Скорость подключения Число страниц объемом5 кб, переданных засекунду

Выделенная линияPPP/SLIP с исполь-зованием модема

Сеть Frame Relayили быстрый модем

ISDN

DSL

DS1/T1

Ethernet 10 Мбит

DS3/T3

ОС!

Ethernet 100 Мбит

осзОС12

Ethernet 1 Гбит

28,8 кбит/с

56 кбит/с

128 кбит/с

640 кбит/с

1,536 кбит/с

8 Мбит/с(в лучшем случае)

44,736 Мбит/с

51,844 Мбит/с


155,532 Мбит/с

622,128 Мбит/с


Примерно полстраницы

Почти вся страница

Около 2

Почти 11

26

До 136

760

880

До 1 360

2650

10580

До 13600

Пропускная способность сети на стороне сервераПропускной способности линии DS1/T1 хватает на обслуживание при-мерно 52 подключений со скоростью 28,8 кбит/с. Если страницу об-щим объемом 90 кб одновременно запрашивают не более 52 клиентови сервер способен обработать такое число запросов, все клиенты полу-чат эту страницу в течение 25 секунд (без учета штатных задержек).

Однако если эту страницу одновременно запросят 100 клиентов,то потребуется 100 раз передать по 720 килобит. На передачу такогообъема информации по линии О51Д1 уйдет 47—48 секунд. И в та-

ком случае скорость ограничивает уже не клиентское, а серверноеподключение.

На рис. 7-3 показано отношение числа одновременных подклю-чений по линиям DS1/T1 v DS3/T3 к насыщению линии при усло-вии, что все клиенты используют модемы со скоростью 28,8 кбит/с иподключены постоянно. Пропускная способность линии DS3/T3 со-ставляет 45 Мбит/с, что примерно в 30 раз превышает пропускнуюспособность линии DS1/T1. Для насыщения линии DS3/T3 требует-ся более 1 500 клиентов, работающих со скоростью 28,8 кбит/с. Кро-ме того, при подключении новых клиентов время передачи инфор-мации клиентам увеличивается не столь значительно. Например, приодновременном подключении 2 000 клиентов время передачи страни-цы каждому клиенту по-прежнему меньше 33 секунд. '

времязагрузки

60—

55 —

50—

45—

40—

35—

30—

20—

15—

10—

5 —

.

47,75 секундпри 100 подключений

При скорости 28,8 кбит/сминимальное времязагрузки 25 секунд /

/(Скорость подк- | Насыщение ли-

лючения клиента) i нии031/Т1i наступает

при 54' подключениях

iii

/33 секунды при

2 000 подключениях

*

~\ i

Насыщениелинии DS3/T3наступает при

1550подключениях

— 3 1 J Т-

*

Lk.

10 20 30 40 50 60 70 80 90 1001,5501,5602,000Число одновременных подключений на скорости 28,8 кбит/с

Рис. 7-3. Зависимость времени загрузки от пропускной способностисерверного подключения

При построении графиков на рис. 7-3 предполагалось, что серверспособен обрабатывать указанный трафик запросов и одновременноподдерживать 2000 подключений. Следует различать одновременноеобслуживание 2000 подключений и 2000 пользователей. Пользовате-лям требуется время для прочтения и усвоения информации и на заг-рузку информации обычно уходит лишь небольшая доля времени ихработы; исключение составляет прием потоковой мультимедийнойинформации. Из-за различия между числом пользователей и подклю-чений число пользователей, обслуживаемых I1S 5.0, превосходит зна-чения, указанные на рисунках. Web-сервер на линии DS1/T1, какправило, способен обслужить несколько сотен пользователей, рабо-тающих на скорости 28,8 кбит/с, а при применении линии DS3/T3это значение возрастает до 5000 и более. Хотя эти числа взяты из опы-та работы реальных серверов, они могут меняться в зависимости оттипа информационного наполнения сайта, потребностей пользова-телей и числа служб, поддерживаемых компьютером.

В основном показанная разница в скорости работы сети изменя-ется линейно и при больших объемах передаваемых данных. Напри-мер, при наличии двух линий DS3/T3 число одновременно обслужи-ваемых клиентов увеличивается примерно в два раза— при условиидостаточной мощности процессоров, обрабатывающих пользователь-ские запросы, и отсутствии других ограничений скорости работы сер-веров.

ПроизводительностьПроизводительность Web-приложений играет ключевую роль в оцен-ке производительности сайта. Единственный способ определенияпроизводительности Web-приложений— прямое тестирование. Дляэтого применяют утилиты WCAT (Web Capacity Analysis Tool — «ути-лита оценки пропускной способности Web») и WAST (Web ApplicationStress Tool — «нагрузочное тестирование Web-приложений»), которыевы найдете на прилагаемом к книге компакт-диске Windows 2000 ServerResource Kit. Однако при написании приложений полезно иметь пред-ставление о производительности различных типов Web-приложений.В IIS 5.0 наилучшую производительность обеспечивают приложения,использующие ISAPI и исполняющиеся в качестве DLL-библиотек«внутри процесса*. За ними следуют ASP-приложения, а лишь за-тем — CGI-приложения.

Для вызова серверных компонентов в большинстве приложенийрекомендуется применять сценарии ASP. Такой подход сочетает про-изводительность, сравнимую с этим показателем в ISAPI-приложе-ниях, с быстротой разработки и легкостью обслуживания.

В таблице 7-3 показаны результаты тестов производительности,выполнявшихся на бета-версии IIS 5.O. Приложения выполнялись наоднопроцессорных и многопроцессорных системах с использовани-ем обычных и SSL-подключений.

Таблица 7-3. Результаты тестов производительности на IIS 5.0(показано число страниц, обработанных за секундув ходе тестирования)

Тест

ISAPLв одномпроцессе

ISAPI, вовнешнемпроцессе

CGI

Статичес-кий файл(File8K.txt)

ASP,в одномпроцессе

ASP, вовнешнемпроцессе

1 про-цессор

517

224

46

1109

60

50

2 про-цессора

723

244

59

1748

1 ( 1 7

82

4 про SSL,цессора 1 про-

цессор

953 50

283 48

75 29

2 242 48

153 38

109 28

SSL,2 про-цессора

79

76

33

80

59

43

SSL,4 про-цессора

113

95

42

108

83

56

Каждый тест заключался в повторяющейся загрузке одного и тогоже файла размером 8 кб. Обратите внимание, что на различных ком-пьютерах результаты одного и того же теста различны. Кроме того,производительность различных типов приложений сильно зависит отвыполняемой задачи. В данном случае нагрузка была невелика, по-этому разница производительности различных типов приложенийочень заметна. При выполнении более сложных задач результатысближаются.

Для тестирования использовалось следующее программное и ап-паратное обеспечение:• серверы Compaq Proliant 6500 (4 процессора Pentium Pro 200 МГц)

с объемом оперативной памяти 512 Мб и временем доступа 60 на-носекунд;

клиентские компьютеры Gateway Pentium II 350 МГц с объемомпамяти 64 Мб;конфигурация сети:• один сетевой адаптер Intel Pro !0(H 10/100 Мб на каждом кли-

ентском компьютере;• четыре сетевых адаптера Intel Pro 100+ 10/100 Мб на сервере;• для равномерного распределения нагрузки на сервере были

созданы четыре подсети по четыре клиента в каждой. Исполь-зовались два коммутатора Cisco Catalyst 2900 с двумя виртуаль-ными сетями на каждом;

программное обеспечение:• на сервере установлены Windows 2000 Advanced Server и IIS 5;• клиенты под управлением Windows 2000 Professional;• для тестирования сайта использовалась утилита WAST.

ание Тесты проводились на новых компьютерах и стан-дартном, «прямо из упаковки», программном обеспечении. Ника-ких дополнительных изменений в реестр не вносилось.

ДоступностьНа некоторых сайтах допустимы сбои и отключения, а другие долж-ны быть доступными постоянно. Например, требования ко многимфинансовым системам— доступность 99,999%. Возможны две фор-мы обеспечения доступности сайта— при сбое одного из серверовили при обновлении или резервном копировании информационногонаполнения. Как говорилось ранее, доступность сайта удается реали-зовать путем резервирования служб, компонентов и сетевых подклю-чений. Например, избыточность сервисов обеспечивают, разверты-вая кластеры на базе службы NLB или службы кластеров.

Доступность сайта очень важна и учитывается при оценке необхо-димых сетевых ресурсов. Прежде всего следует определить необходи-мый уровень доступности, то есть сколько девяток после запятой тре-буется. Хотя доступность, равная 99,999%, считается идеальной, онане всегда нужна. Иными словами, требуется определить, сколько де-нег компания в состоянии выделить на обеспечение работоспособ-ности сети в условиях пиковых нагрузок.

Следует решить, оправдаются ли затраты на обеспечение доступ-ности сайта и соразмерны ли они возможным потерям, вызваннымего недоступностью на какое-то время. Если требуется доступность в99,999% или выше, необходимо исключить такое обстоятельство, какпотенциальную возможность недостатка ресурсов. С другой стороны,для обеспечения 99% доступности или ниже не следует особо беспо-

коиться о том, что сайт иногда недоступен вследствие недостатка ре-сурсов, особенно если всплески нагрузки случаются нечасто.

МасштабируемостьМасштабируемость сайта особенно важна при планируемой модер-низации с целью повышения доступности, увеличения числа одно-временно обслуживаемых пользователей или снижения времени от-клика. Масштабируемость сайта тесно связана с его доступностью.Модернизация сайта не должна вызывать внеплановых или излиш-них простоев. Существует два способа модернизации сайта: масшта-бирование «вверх* и «горизонтальное» масштабирование. Более под-робно о каждом из них вы узнаете на занятии 3.

РезюмеВ процессе определения необходимых ресурсов следует учесть четы-ре обстоятельства: объем сетевого трафика, производительность, до-ступность и масштабируемость. Трафик создается при обмене запро-сами и ответами между двумя компьютерами. Изменения объема пе-редаваемого трафика трудно предсказать — как правило, они проис-ходят скачками и наплывами. Чтобы определить максимальное чис-ло страниц, передаваемых за секунду по сети, необходимо разделитьчисло бит, передаваемых по сетевому подключению за секунду (на-пример, по линии Т1), на количество бит, передающихся при запро-се страницы. При оценке ограничений пропускной способности учи-тывается не только производительность сервера, но и скорость под-ключения клиентского компьютера. Ключевую роль в оценке произ-водительности сайта играет производительность Web-приложений.Единственный способ определения производительности Web-прило-жений заключается в непосредственном их тестировании, для чегоприменяются утилиты WCAT и WAST. Результаты одних и тех же те-стов, проведенных на разных компьютерах, весьма отличаются. Кро-ме того, производительность различных типов приложений сильнозависит от вида решаемых приложением задач. Важным параметромпри оценке необходимой производительности считается доступностьсайта. Следует решить, оправдываются ли затраты на обеспечениедоступности сайта и соразмерны ли они возможным потерям, выз-ванным его недоступностью на какое-то время. Масштабируемостьсайта особенно важна при принятии решения о модернизации с це-лью повышения доступности, увеличения числа одновременно обслу-живаемых пользователей или снижения времени отклика.

Затрагы из обслуживание пользователей

Занятие 2 Затраты на обслуживаниепользователей

Приемлемый уровень производительности определяют, подсчитываячисло посетителей сайта и ресурсы, затрачиваемые сервером на об-служивание каждого посетителя. На основании этих данных можновычислить объем ресурсов (скорость процессора, объем оперативнойпамяти, объем дискового пространства и пропускную способностьсети), необходимые для обслуживания текущего и планируемого чис-ла пользователей. Необходимые ресурсы сайта оцениваются по коли-честву пользователей, производительности сервера, конфигурациипрограммного и аппаратного обеспечения и информационному на-полнению сайта. По мере увеличения числа посетителей требуетсярасширить ресурсы сайта, в противном случае скорость работы пользо-вателей упадет. Модернизация инфраструктуры сайта позволяет уве-личивать его ресурсы, позволяя обслуживать большее число пользо-вателей и усложнять структуру информационного наполнения. Од-нако прежде чем оценивать необходимую производительность сетиили определять стратегию усовершенствования сайта, надо опреде-лить объем ресурсов, затрачиваемых системой на обслуживание каж-дого пользователя. На этом занятии рассказывается о способах опре-деления затрат ресурсов на обслуживание пользователей.

Изучив материал этого занятия, вы сможете:J вычислить затраты процессора, памяти и дискового

пространства на обслуживание клиентских запросов;•s рассчитать пропускную способность сети.


Общие сведения об определении затратВ упрощенном виде необходимый объем ресурсов можно оценить потакой формуле:

<число обслуживаемых пользователей = <ресурсы сайта>/<затраты

ресурсов на обслуживание одного пользователя>

где <число обслуживаемых пользователей — количество одновремен-но подключенных пользователей, а < ресурсы сайта> — совокупныересурсы сервера и сети.

Для планирования ресурсов предусмотрены два основных способа:• снижение нагрузки, создаваемой каждым пользователем, или уве-

личение числа обслуживаемых пользователей. Для этого необхо-димо более эффективно использовать вычислительные ресурсы засчет планирования, программирования и конфигурирования со-держимого сайта;

• модификация инфраструктуры сайта для повышения производи-тельности оборудования или увеличения числа поддерживаемыхпользователей. Модернизация оборудования выполняется двумяспособами: масштабированием аппаратного обеспечения «гори-зонтально» (добавление дополнительных серверов) или «вверх»(замена серверов на более мощные).

Если требуется усложнить структуру информационного наполнениясайта, увеличив тем самым нагрузку на оборудование, создаваемуюкаждым пользователем, и при этом сохранить число одновременнообслуживаемых пользователей, то следует модернизировать аппарат-ные ресурсы— «горизонтально» или «вверх». Чтобы увеличить числоодновременно обслуживаемых пользователей, можно упростить ин-формационное наполнение сайта или усовершенствовать оборудова-ние, что приведет к снижению нагрузки, создаваемой каждым пользо-вателем.

Параметры оценки производительностиВажнейшим параметром, который следует исследовать при оценкеуровня производительности сайта, считается время отклика (latency),то есть время между запросом и получением страницы пользовате-лем. Хотя некоторые серверы способны обрабатывать все получаемыезапросы, при увеличении нагрузки время отклика возрастает настоль-ко, что снижается эффективность работы клиентов и качество их об-служивания.

Как правило, при использовании статических объектов, таких, какHTML-страницы и графика, время отклика несравнимо меньше, чемв случае применения динамического наполнения (например, ASP-страниц) или других объектов, требующих обращения к базе данных.Даже если Web-сервер способен за одну секунду передавать большоечислоАЗР-страниц, время отклика страницы может оказаться непри-емлемым. График на рис. 7-4 демонстрирует возрастание времениотклика четырехпроцессорного Web-сервера при увеличении числапользователей и запросов ASP-страниц.

Производительности этого сайта достаточно для одновременногообслуживания 700—800 пользователей в секунду. Обратите вниманиена резкое увеличение времени отклика до неприемлемых величин при

возрастании числа пользователей свыше 800. Ресурсов сервера хвата-ет на обслуживание 16 запросов ASP-страниц в секунду. В этом слу-чае из-за интенсивной смены контекста пользователям приходитсяожидать ответа около 16 секунд.

ЗапросовASP-страниц

в секунду18.00

16.00

Зависимость нагрузкии время отклика

от числа запросов

Время отклика, мс

18,000.00

16,000.00

14,000.00

12,000.00

10,000.00

8,000.00

6,000.00

4,000.00

2,000.00

о.оо550 600 650 700 750 800 850 900 950

Число пользователей

ЗапросовASP-страницв секунду

Время отклика

Рис. 7-4. Зависимость времени отклика от числа страниц ASP,запрашиваемых в секунду

Определение затрат в расчете на одногопользователяЗатраты на обслуживание одного пользователя вычисляются в пятьэтапов: анализируется поведение среднестатистического пользовате-ля, вычисляется загрузка процессора, необходимый объем оператив-ной памяти, нагрузка на жесткие диски и загрузка сети. Для большейнаглядности все расчеты выполняются на примере вымышленной

ша 7

компании Northwind Traders. При необходимости приводятся упро-щенные результаты тестов производительности, выполненных сред-ствами утилиты WAST, а также все необходимые дополнительныеданные.

Примечание Вычисление затрат на обслуживание пользователей —сложный и кропотливый процесс. Цель этого занятия — составитьпредставление о процессе и попытаться на примерах показать выпол-нение основных расчетов. Для детального понимания процесса вы-числения затрат на обслуживание пользователей мы настоятельно ре-комендуем обратиться к дополнительной литературе.

Анализ поведения среднестатистического пользователяНа первом этапе расчета затрат следует определить порядок исполь-зования сайта среднестатистическим пользователем. Определив, какчасто клиенты выполняют те или иные операции, вы сможете опре-делить создаваемую ими нагрузку на систему. В рамках этого занятияпод термином операция подразумевается обработка всех файлов, ис-пользуемых при обработке базовой страницы, в том числе графичес-ких файлов, ASP-файлов и др. Для пользователя обработка файловвсех видов представляется единой операцией.

Чтобы определить загруженность сайта, необходимо на основежурналов использования сайта создать профиль пользователя. Чем онточнее, тем точнее определяется необходимый объем ресурсов. По-этому выборку из журналов рекомендуется делать за большой периодвремени (как минимум за неделю).

Для составления профиля собираются следующие данные:• число посетителей сайта;• число обращений к каждой странице;• частота выполнения транзакций.

Число обращений к каждой странице необходимо для определениятипичных операций, выполняемых на сайте. В таблице 7-4 показанпрофиль среднего пользователя сайта компании Northwind Traders.Таблица содержит условные данные, полученные в процессе модели-рования.

1] операций, перечисленных в этой таблице, составляют почти100% операций, выполняемых на сайте. Нагрузка больших сайтовможет состоять из большего числа операций. В любом случае состав-ленный отчет должен объединять как м и н и м у м 90% от общего числавыполняемых на сайте операций.

Таблица 7-4. Профиль среднестатистического пользователя сайтакомпании Northwind Traders

Операция Число операций Число операций Доля в общемза одну сессию в секунду числе операций

Добавить товарв корзину

Добавить товарв корзину и пе-рейти к запол-нению заказа

Добавить товарв корзину и иуддлить неко-торый товарыиз корзины

Корзина

Домашняястраница

Отобразитьсписок товаровв корзине

Посмотретьтовары в корзине

Новый товар

Новая корзина

Поиск

Страницаприглашения

Итого

0,24

0,02

0,04

0,75

1,00

2,50

0,75

0,25

4,20

1,25

1,00

12,0

0,00033

0,00003

0,00006

0,00104

0,00139

0,00347

0,00104

0,00035

0,00583

0,00174

0,00139

0,01667

2,00%

0,17%

0,33%

6,25%

8,33%

20,83%

6,25%

2,08%

35,00%

10,42%

8,33%

99,99%

Определение нагрузки на процессорКак правило, Web-серверы больше нагружают процессоры, чем сер-веры обработки данных. Поэтому в данном примере использованиепроцессора вычисляется именно для Web-серверов. Однако подоб-ные измерения следует провести для всех типов серверов сайта, мощ-ность процессоров которых может оказаться «узким местом» всейсистемы.

Частота запросов страниц и нагрузка на процессоры возрастаетпропорционально числу пользователей. Но при достижении процес-

сором предела мощности, число обрабатываемых в секунду страницснижается. Таким образом, количество страниц, обрабатываемых засекунду при стопроцентной загрузке процессора, является макси-мальным.

Для определения нагрузки на процессоры необходима следующаяинформация:• число запросов страниц в секунду;• загрузка процессоров (процент использования процессора при

номинальной частоте запросов страниц);• число запросов страниц в одной операции;• верхний предел мощности процессоров.

Для вычисления затрат на выполнение операции умножают числозапрашиваемых страниц на объем ресурсов, потребляемых при обра-ботке одной страницы. Результаты вычислений выражаются в мега-циклах(Мц). Мегацикл — это единица измерения объема работы про-цессора, соответствующая одному миллиону тактов процессора. Вкачестве единицы измерения мегацикл полезен для сравнения про-изводительности процессоров, поскольку это аппаратно-независимаявеличина. Например, два процессора Pentium II с частотой 400 МГиобладают производительностью в 800 Мц.

Первый шаг при определении нагрузки на процессор, создавае-мой каждым пользователем, — вычисление нагрузки от каждой опе-рации, которая выражается в мегациклах. Для этого применяют сле-дующую формулу:

Вычислить использование процессоров можно так:

<использование процессоров = <использование процессора *<число процессоров> * <скорость процессоров (в МГц)>

Допустим, на вашем компьютере установлены два процессораPentium II с частотой 400 МГц. При просмотре страницы иницииру-ется 11,5 запросов в секунду, а уровень загрузки процессора состав-ляет 84,1%. В каждой операции выполняется два запроса страницы.Сначала нужно определить величину использования процессора:

0,8410*2*400 = 672,8Затем вычислить нагрузку от каждой операции:672,8 * 2 / 11,5 = 117,01 МцВ таблице 7-5 приведены данные о нагрузке на процессоры при

выполнении основных операций на сайте Northwind Traders. Все вы-

Занятие 2

числения проводились пля двухпроцессорной системы Pentium II400 МГц.

Таблица 7-5. Нагрузка на процессоры при выполнении основныхопераций

Операция


Добавить товарв корзину иперейти к за-полнениюформы заказа

Добавить товарв корзину иудалить ненуж-ные товары изкорзины

Корзина



Загрузкапроцессора

96,98%

94,31%

95,86%

91,73%

98,01%

91,87%

Числозапросовв секунду

23,31

18,48

22,29

16,81

102,22

21,49

Числозапросовза операцию

2

7

1

\

1

!

Нагрузка отоперации(Мц)

66,57

285,79

137,62

43,65

7,67

34,20

99,52%

96,61%

94,81%

95,11%

96,97%

75,40

65,78

18,23

37,95

148,93

21,19Посмотретьтоварыв корзине



Поиск


После определения нагрузки на процессоры от каждой операцииможно вычислить нагрузку, создаваемую среднестатистическим пользо-вателем:

<затраты на обслуживание среднестатистического пользователе -<затраты на операцик>> * <число операций в секунду>

23,50

41,61

40,10

5,21

Например, нагрузка от операции «Добавить товар в корзину» со-ставляет 66,57 Мц. Из профиля среднестатистического пользователяизвестно, что за секунду выполняется 0,00033 таких операций. Такимобразом, затраты на обслуживание среднестатистического пользова-теля составит:

66,57 * 0,00033 - 0,0222 VfuВ таблице 7-6 приведены данные о затратах на обслуживание сред-

нестатистического пользователя для каждой операции.

Таблица 7-6. Затраты на обслуживание среднестатистическогопользователя

Операция


Добавить товарв корзину иперейти к за-полнениюзаказа

Добавить товарв корзину иудатить ненуж-ные товарыиз корзины

Корзина



Посмотретьтоварыв корзине



Поиск


Итого

Затратына операцию<Мц)

66,57

285,79

137,62

43,65

7,67

34,20

21,19

23,50

41,61

40,10

5,21

Числооперацийв секунду

0,00033

0,00003

0,00006

0,00104

0,00139

0,00347

0,00104

0,00035

0,00583

0,00174

0,00139

Затраты наобслуживание одногопользователя (Мц)

0,0220

0,0171

0,1431

0,0013

0,0107

0,1187

0,0220

0,0082

0,2426

0,0698

0,0072

0,6627

Значение в строке «Итого» показывает, что затраты на обслужива-ние среднестатистического пользователя, выполняющего операции,описанные в профиле пользователя, составляет 0,6627 Мц. На основеэтих данных и предполагаемого профиля пользователя можно оце-нить производительность сайта.

Допустим, верхний предел мощности двухпроцессорной системыPentium II 400 МГц, составляет 526 МГц. Затраты на одновременноеобслуживание 100 пользователей равны 100*0,6627=66,27 Мц. Затра-ты на обслуживание 790 пользователей составят 523,53 Мц. Оба зна-чения лежат в пределах верхней границы мощности, однако если чис-ло одновременно обслуживаемых пользователей превысит 790. ресур-сы процессоров будут исчерпаны полностью.

Известно два способа повышения эффективности работы процес-соров, не прибегая к их модернизации.• Добавление сетевых адаптеров. В многопроцессорных системах с

несимметричным распределением прерываний введение дополни-тельных сетевых адаптеров, по одному на каждый процессор, по-зволяет улучшить равномерность распределения нагрузки на про-цессоры. В обычных случаях дополнительные адаптеры устанав-ливаются, только если необходимо повысить пропускную способ-ность системы.

• Ограничение числа подключений. Уменьшите число подключений,принимаемых каждым экземпляром службы IIS 5.O. Хотя такоеограничение иногда приводит к блокированию или отказу в под-ключении, оно гарантирует быстрое обслуживание существующихподключений.

Вычисление необходимого объема оперативной памятиНекоторые Web-службы, например IIS 5.0, выполняются в режимепользовательского процесса с поддержкой страничной подкачки фай-лов. Процесс IIS5.0 называется Inetinto (INETINFO.EXE). При не-хватке оперативной памяти система частично или полностью пере-носит страницы процесса из памяти на жесткий диск.

При перемещении части процесса на жесткий диск страдает про-изводительность системы (рис. 7-5).

Важно, чтобы объема оперативной памяти на сервере (или серве-рах) хватало для размещения всего процесса. В рамках процессаInetinfo выполняются службы Web, FTP и SMTP. В рабочем набореInetinfo на каждое обслуживаемое подключение дополнительно отво-дится 10кб памяти (если приложение выполняется в процессе IIS).

Размер рабочего набора процесса Inetinfo должен быть достаточ-ным для размещения кэша объектов IIS, буфера данных для журна-

лов IIS 5.0 и структуры данных, используемых Web-службой для от-слеживания активных подключений.

Повышенная производительность

Низкая производительность

Рис. 7-5, Постраничная подкачка процесса

Для наблюдения за рабочим набором INETINFO.EXE применя-ется утилита System Monitor (Системный монитор). Поскольку DLL-библиотеки ISAPI по умолчанию выполняются в пуле внешних про-цессов, контроль их состояния необходимо выполнять отдельно отINETINFO.EXE (если только вы не измените параметры по умолча-нию). Кроме того, следует учитывать, что информация счетчиков вне-шних процессов суммируется, и это затрудняет отдельное наблюде-ние за каким-либо процессом или приложением. (Если на сайте ис-пользуются нестандартные DLL-библиотеки ISAPI, они должны со-держать собственные счетчики, чтобы обеспечить возможность ин-дивидуального наблюдения.)

Следует создать журнал, где будут храниться данные об использо-вании памяти за несколько дней. Для определения интервалов повы-шенной или пониженной активности сервера можно обращаться кжурналам производительности и оповещений в System Monitor.

При наличии необходимого объема оперативной памяти системавыделяет достаточно места для рабочего набора Inetinfo, и IIS 5.0 неприходится часто обращаться к жесткому диску. Одним из показате-лей того, что объема памяти хватает, является изменение объема ра-

бочего набора I net info в зависимости от общего объема доступнойпамяти на сервере. При измерениях следует собирать информацию втечение некоторого времени, поскольку счетчики показывают несреднее значение, а величину последнего измерения.

IIS перекладывает на операционную систему функции хранения идоступа к часто запрашиваемым Web-страницам и другим файлам изсистемного кэша файловой системы, Этот кэш особенно полезен длясерверов, содержащих статические Web-страницы, поскольку к нимобращаются в повторяющемся предсказуемом порядке.

Если производительность кэша падает из-за его малого размера,проанализируйте собранные данные и выясните, почему системауменьшила размер кэша. Обратите внимание на объем доступной па-мяти, а также на процессы и службы, выполняющиеся на сервере ина число одновременно обслуживаемых подключений.

При увеличении объема физической памяти сервера объем кэшафайловой системы также растет. Кэш большего объема почти всегдаработает более эффективно, но увеличение производительности про-исходит непропорционально — каждый следующий мегабайт памятивсе меньше повышает производительность. Следует определить гра-ницу оправданного расширения, то есть такой объем кэша, при пре-вышении которого эффективность работы увеличивается столь незна-чительно, что дальнейшее расширение бессмысленно.

Для серверов с IIS 5.0, как и для остальных высокопроизводитель-ных файловых серверов, необходимы большие объемы физическойпамяти. Как правило, чем больше на сервере установлено памяти, темэффективнее он выполняет свои функции, Для работы IIS 5.0 требует-ся как минимум 64 Мб оперативной памяти, а рекомендуется 128 Мб.Если применяются приложения, интенсивно использующие оператив-ную память, ее может потребоваться значительно больше. Например,на многих серверах, обслуживающих Web-сайты MSNBC, установле-но не менее 1 Гб оперативной памяти.

Так как объем используемой памяти зависит не столько от коли-чества одновременно обслуживаемых пользователей, сколько от со-держимого сайта (кэша, внешних DLL-библиотек и т.п.), вычислить,на сколько объем памяти, затрачиваемый на обслуживание одногопользователя, превышает 10 кб, невозможно. Поэтому для оценкитребуемого объема оперативной памяти следует оценивать:• долю рабочего набора Inetinfo, переносимую на жесткий диск;• объем занятой оперативной памяти;• эффективность использования кэша, или число попаданий кэша;• частоту очистки кэша;• число ошибок страниц.

11-4791

Определение нагрузки на жесткие дискиТакие Web-службы, как IIS 5.O. записывают свои журналы на жест-кий диск, поэтому операции с диском выполняются даже при сто-процентном уровне попаданий кэша. В обычных условиях обраще-н и я к диску не для записи журналов указывают на определенные не-поладки. Например, очень частые обращения к диску возникают принехватке оперативной памяти из-за частого обращения к странично-му файлу. Но частые обращения к диску возможны и в том случае,если на сервере размещена база данных или пользователи запраши-вают много разных страниц.

Поскольку большинство страниц IIS хранит в кэше, то при нали-чии достаточного объема оперативной памяти, дисковая подсистемане становится «узким местом». Однако компьютер, на котором уста-новлен Microsoft SQL Server, выполняет чтение и запись на диск до-вольно часто. SQL Server также использует кэш, однако обращается кдиску намного чаше, чем IIS. Поэтому тестирование для определе-ния требований к ресурсам з компании Northwind Traders выполня-лось на компьютерах с SQL Server. Однако подобные измерения сле-дует выполнить для всех типов серверов, скорость дисковой подсис-темы которых может оказаться «узким местом». Для получения ин-формации об обращениях к дискам используют System Monitor, из-мерения проводят во время заботы сценария WAST.

Примечание Сейчас речь идет об использовании диска и операцийчтения/записи. Определение необходимого дискового пространства —это отдельный процесс, ему посвящено занятие 3.

Процент загрузки дисков на компьютере Northwind Traders с SQLServer основан на количестве случайных выборок, максимальное зна-чение которых составляет 280 выборок в секунду. Например, еслисервер на базе Pentium I I выполняет 2,168 операций «Добавить товарв корзину», компьютер с SQL Server производит 9,530 обращений кдиску (при загрузке диска 3,404%). Нагрузка на диск вычисляетсяделением числа выборок диска за секунду на число операций в се-кунду (определенных при создании профиля пользователя). В приве-денном примере операция «Добавить товар в корзину» инициирует4,395 обращений к диску на каждого пользователя.

Для вычисления нагрузки на диск используйте следующие формулы:

зтраты на обслуживание пользователей

<число запросов на запись за секунду> / <число операцийв секунду> - <затраты на запись в расчете на операцию>

В таблице 7-7 приведены данные вычислений нагрузки при чте-нии дисков на сайте Northwind Traders.

Таблица 7-7. Затраты на чтение диска на сайте Northwind Traders

Операция Число Числозапросов операциина чтение в секундув секунду

Загрузка Затраты надиска, % чтение в расчете

на операцию


Добавить товар вкорзину и перейтик заполнению заказа

Добавить товарв корзину и иудалить некоторыйтовары из корзины

Корзина





Поиск



Добавить товарв корзинуи перейтик заполнениюзаказа

9,530

7,050

19,688

8,956

0,248

4,628

0,148

0,063

9,275

0,120

0,103

0,100

0,080

2,168

8,728

0,903

9,384

28,330

3,633

5,533

12,781

12,196

8,839

6,033

8,205

31,878

3,404%

2,518%

7.031%

3,199%

0,089%

1,653%

0,053%

0,023%

3,313%

0,043%

0,037%

0,036%

0,029%

4,396

0,808

21,803

0,954

0,009

1,274

0,027

0,005

0,760

0,014

0,017

0,012

0,003

После вычисления затрат на чтение следует определить затраты назапись.

Данные вычислений затрат на чтение и запись годятся для опре-деления нагрузки на диски, создаваемой каждым пользователем. Каки при вычислении нагрузки на процессор необходимо умножить зат-раты на одну операцию на число операций в секунду. Например, еслизатраты на чтение при операции «Домашняя страница» составляет0,0009 и за секунду выполняется 0,003804 таких операций, то нагрузка,создаваемая одним пользователем, составляет 0,0000034.

Сложив полученные значения затрат на каждую операцию, выполучите общую нагрузку на диск, создаваемую одним пользовате-лем. Далее это значение пригодится для оценки необходимого быст-родействия дисковой подсистемы.

Определение сетевой нагрузкиПропускная способность сеги — еще один важный ресурс, способ-ный стать «узким местом». Общую нагрузку на сеть определяют сум-мированием нагрузки, создаваемых отдельными операциями. Одна-ко при каждой операции, выполняемой пользователем, возникает двавида нагрузки: подключение между Web-клиентом и Web-сервером иподключение между Web-сервером и компьютером с SQL Server. Насайтах с более сложной структурой возможно наличие еще несколь-ких типов подключений, число которых зависит от числа серверов иархитектуры сайта,

В коммутируемой локальной сети Ethernet потоки тра-фика изолированы друг от друга, поэтому нагрузка на разные участкисети не суммируется. В некоммутируемых сетях весь трафик являетсяобщим, поэтому нагрузка разных участков сети суммируются.

При выполнении операции пользователем инициируется сетевойтрафик между Web-клиентом и Web-сервером. Кроме того, при необ-ходимости доступа к базе данных возникает трафик между Web-сер-вером и сервером данных.

Допустим, операция «Добавить товар в корзину» выполняется насайте Northwind Traders 0,000293 раз в секунду. Нагрузка на сеть приэтом составляет 5,627 кб/с трафика между Web-клиентом и Web-сер-вером и 129,601 кб/с трафика между Web-сервером и компьютером сSQL Server (рис. 7-6). Большая часть трафика этой операции прихо-дится на подключение между Web-сервером и базой данных SQLServer.

Web-сервер SQL Server

Клиент

П 5,627 кб/с, И *

^

f ?r

1 • •• 7 • •

i . :

129,601 кб/сP

!E=Sffl

; j

Рис. 7-6. Нагрузка на сеть при выполнении операции «Добавитьтовар в корзину»

Нагрузку на сеть, создаваемую одним пользователем при выпол-нении одной операции, можно вычислить по следующей формуле:

(<ч!4сло операций в секунду> * <нагрузка на внешнюю сеть>} +(<число операций в секунду> * <нагрузка на сеть данных>} =<нагрузка, создаваемая одним пользователем, в. секунду>

Например, вычисления нагрузки от операции «Добавить товар вкорзину» выглядят так:

В таблице 7-8 указано общее число байт, пересылаемых при каж-дой операции (<нагрузка, создаваемая одним пользователем, в секун-ду>) для некоммутируемой локальной сети Ethernet. В колонке «На-грузка на внешнюю сеть» указано число байт, передаваемых междуWeb-клиентом и Web-сервером, а в колонке «Нагрузка на сеть дан-ных» — число байт, передаваемых между Web-сервером и компьюте-ром с SQL Server.

Таблица 7-8. Загрузка сети сайта Northwind Traders

Операция Число Нагрузка Нагрузка Нагрузка, Нагрузка,операций на ишчп- на сетьв секунду нюю сеть, данных,

кб/с кб/с

создавяе- создавае-мая одним мая однимпользова- пользова-

телем те леи(внешн. (сетьсеть), кб/с данных), кб/с

Общаянагрузка,кб/с

Добавить товар 0,000293 5,627в корзину

Добавить товар 0,000183 24.489в корзину и пе-рейти к запол-нению заказа

129,601

55,215

0,001649

0,004481

0,037973

0,010104

0,039622

0,014586

Планирование ресурсов

(продолжение]Операция Число Нагрузка Нагрузка Нагрузка, Нагрузка, Общая

операций на внеш- на сеть создавав- создавав- нагрузка,в секунду нюю сеть, данных, чая одним мая одним кб/с

кб/с кб/с пользова- пользова-телем телем(внешн. (сетьсеть), кб/с данных), кб/с



Страница входав систему

Описаниетовара

Регистрация

Поиск (неудов-летворительны и )

Поиск (удовлет-ворительный)

Итого

0,003804

0,000421

0,000288

0,006102

0,000176

0,000170

0,002391

1,941

25.664

17,881

21,548

5,627

20,719

20,719

0

23,134

1,380

21,051

129,601

10725

10,725

0,007384

0,010805

0,00515

0,131486

0,00099

0,003522

0.049539

0

0,009739

0,000397

0,128453

0,02281

0,001823

0,025643

0,007384

0,020544

0,005547

0,259939

0,0238

0,005345

0,075183

0,45195

Нагрузка на сеть, создаваемая одним пользователем составляет0,45195 кб/с. Отсюда можно вычислить общий объем сетевого трафи-ка. Например, если к сайту одновременно подключены 100 пользовате-лей, общий сетевой трафик составит 45,195 кб/с. При одновременномобслуживании 10 000 пользователей объем трафика равен 4519,5 кб/с, адля 20000- 9 039 кб/с.

В сети CSMA/CD Ethernet (Carrier Sense Multiple Access with Colli-sion Detection — «множественный доступ с контролем несущей и об-наружением коллизий») со скоростью 100 Мбит/с (12,5 Мб/с) возни-кает дополнительная нагрузка из-за коллизий. Поэтому не следуетнагружать сеть более, чем на 36% ее пропускной способности. Ины-ми словами нагрузка на такие сети не должна превышать 4,5 Мб/с.Нагрузка на сеть Northwind Traders достигнет этой границы при од-новременном обслуживании примерно 10000 пользователей, это иесть предел ресурсов сайта. При обслуживании 20 000 пользователейбольшое число коллизий приведет к снижению пропускной способ-ности сети и в результате к превращению сети в «узкое место» и поте-ре производительности.

Примечание Помните о том, что измерения сетевого трафика необ-ходимо проводить на всех участках сайта, а не только на отдельныхсерверах.

По мере расширения сайта сеть может стать «узким местом», врезультате чего снизится его производительность. Это особенно за-метно на сайтах с относительно простыми ASP-страницами (не со-здающими серьезной нагрузки на процессоры) и относительно «тя-желыми» HTML-страницами и графикой. Несколько серверов впол-не способны обработать запросы нескольких тысяч пользователей, нопропускной способности сети может не хватить. В некоторых случа-ях большая часть трафика приходится на соединение между Web-сер-вером и компьютером с SQL Server.

РезюмеЗатраты на обслуживание одного пользователя вычисляются в пятьэтапов: анализируется поведение среднестатистического пользовате-ля, вычисляется загрузка процессора, необходимый объем оператив-ной памяти, нагрузка на жесткие диски и загрузка сети. Анализ сред-нестатистического пользователя необходим для определения поряд-ка использования сайта, он заключается в подсчете выполняемыхопераций и частоты их выполнения. После создания профиля сред-него пользователя вычисляется нагрузка, создаваемая одним пользо-вателем на процессоры. Для этого необходимо определить нагрузкуна процессор, создаваемой каждой операцией, и степень использова-ния процессора, а затем сложить эти величины. Кроме производи-тельности процессоров следует также позаботиться о достаточномколичестве оперативной памяти, чтобы избежать переноса страницпроцесса на жесткий диск. При применении приложений, интенсив-но использующих оперативную память, требования к ее объему силь-но возрастают. Так как объем используемой памяти зависит не столькоот числа одновременно обслуживаемых пользователей, сколько от со-держимого сайта, то определить, насколько объем памяти, затрачивае-мый на обслуживание одного пользователя, превышает 10 кб, невоз-можно. Для определения уровня нагрузки на жесткие диски необхо-димо подсчитать число операций чтения и записи. Далее эти вычис-ления пригодятся для подсчета нагрузки, создаваемой одним пользо-вателем, в секунду. Для этого следует умножить нагрузку от операциина число таких операций в секунду. После вычисления нагрузки ототдельных операций полученные значения складываются для полу-чения величины обшей нагрузки на диски, создаваемой одним пользо-вателем в секунду. Еще одним важным ресурсом, влияющим на об-щую производительность, является пропускная способность сети.Чтобы узнать обитую нагрузку на сеть, следует сложить нагрузку отвсех отдельных операций.

IMP 7-1. Вычисление нагрузкина процессоры

Вы — администратор сети компании Blue Yonder Airlines. НаWeb-сайте компании реализована новая функция поиска, ивам нужно рассчитать нагрузку на процессоры при выполне-нии операции поиска (Search). Тестирование выполняется насервере с тремя процессорами Pentium II 400 МГц (табли-ца 7-9).

Таблица 7-9. Информация для расчета нагрузки на процессорыпри выполнении операции поиска

Параметр Значение

Загрузка процессоров (доля свободного 92,47%процессного времени в оптимальномрежиме работы)

Число страниц, обрабатываемых в секунду 18,21

Число обращений к странице за одну операцию 2

Частота выполнения операции, согласно 0,00139профилю пользователя (операций в секунду)

Верхняя граница скорости процессоров 786 МГц

1. Прежде всего нужно определить нагрузку, создаваемую одной опе-рацией, а для этого — определить использование процессора. Какэто сделать?

2. Как, имея значение загрузки процессора, вычислить нагрузку, со-здаваемую одной операцией поиска?

3. Теперь можно вычислить нагрузку, создаваемую одним пользова-телем. Как определить степень нагрузки, создаваемой каждымпользователем, выполняющим операцию поиска?

Тренинг 7-2. Определение необходимойпропускной способности сети

Компания WingtipToys пригласила вас для обслуживания свое-го Web-сайта, размещенного в некоммутируемой сети Ethernet.Ранее у пользователей часто возникали проблемы с доступомк сайту. Вам нужно определить нагрузку на сеть, создаваемуюодним пользователем, для чего следует узнать нагрузку, со-здаваемую каждой операцией. Вы решили начать расчеты соперации «Тренинг» (таблица 7-10).

Таблица 7-10. Информация для расчета нагрузки на сеть

Параметр Значение

Частота выполнения операции, согласно 0,003804профилю пользователя (операций в секунду)

Нагрузка на внешнюю сеть 4,297 кб/с

Нагрузка на сеть данных 119,36 кб/с

1. Прежде всего следует определить нагрузку на внешнюю сеть, со-здаваемую одним пользователем. Как это сделать?

2. Далее надо узнать нагрузку на сеть данных, создаваемую однимпользователем. Как это сделать?

3. Как вычислить общую нагрузку, создаваемую одним пользовате-лем, в секунду?

Планирование ресурсов сетиПри планировании ресурсов Web-сайта следует определить текущиеи будущие потребности и в соответствии с ними выбирать программ-ное и аппаратное обеспечение. Процесс планирования состоит измножества этапов: определения назначения сайта и числа пользова-телей, а также поиска потенциальных источников проблем. На этомзанятии рассказывается о каждом этапе процесса планирования про-изводительности.


^ перечислить и описать этапы планирования ресурсовWeb-сайта;

s планировать необходимые ресурсы Web-сайта.


Планирование ресурсовПланирование ресурсов сети выполняют в несколько этапов.

Определение типа и назначения сайтаПрежде всего при оценке необходимых ресурсов следует определитьназначение и тип создаваемого сайта, например сайт транзакций,позволяющий пользователям получать и хранить информацию (какправило, в базе данных). К сайту транзакций предъявляются требо-вания по безопасности и надежности, которые не обязательны длясайтов других типов.

Кроме определения типа сайта, следует также решить, размещатьли на нем какую-либо динамическую информацию. Ее можно пред-ставить в различных видах с использованием широкого спектра тех-нологий баз данных и Интернета, таких, как SQL, ASP, ISAPI илиCGI.

В простейшем случае динамическая информация формируетсяпутем подключения Web-сервера к базе данных, выборки данных, ихформатирования и отправки в браузер пользователя в виде Web-стра-ницы. Если пользователю потребовалась информация об определен-ном продукте, сервер может подключиться к базе данных SQL Server,получить описание этого продукта, его фотографии, информацию оцене и наличии на складе. Страница с информацией отображается вокне браузера пользователя как обычная статическая HTML-страни-ца, с той лишь разницей, что она создана сервером по запросу пользо-

Планирование ресурсов сети

вателя. Сайтам с динамическим наполнением требуется больше ре-сурсов, чем сайтам со статической информацией.

Определение состава и числа пользователейНа следующем этапе оценки ресурсов следует определить среднеечисло одновременно обслуживаемых пользователей. Обычно такиеданные получают на основании анализа рынка и анализа систем.

Если сайт еще не создан, или его эксплуатация не началась, вла-дельцам и операторам придется проанализировать рынок и попытать-ся спрогнозировать объем трафика на сайте после его ввода в эксплу-атацию. Не следует забывать о том, что, как и любой прогноз, этиданные неточны.

Если сайт уже работает, следует изучить записи журналов и на ос-новании полученных данных построить картину обращений к сайтуза те или иные промежутки времени, а также выяснить тенденциипосещения сайта и популярность его ресурсов с течением времени.Помните о том, что определять планируемое число пользователейследует не на основе среднего уровня нагрузки, а по значениям пи-ковой активности пользователей.

На рис. 7-7 показан пример статистики использования сайта. Награфике представлены усредненные данные посещений Web-сайта.Число пользователей максимально в начале дня, снижается к полу-дню и к вечеру становится еще меньше. При планировании ресурсоввладельцам сайта следует брать за основу данные об утренних посе-щениях.

35,000

30,000

25,000

20,000

15,000

10,000

5000

Поне- ' Вторник ' Среда ' Четверг ' Пятницадольник

Рис. 7-7. Статистика посещений Web-сайта

В течение утра пятницы за шесть часов сайт посетили примерно29 000 человек, т.е. в среднем 1,34 пользователя в секунду. Суммиро-вав все посещения за неделю и вычислив на основании этих данныхсреднего значения за все семь дней, вы получите значительно мень-ший результат, равный 0,54 посещения в секунду. Если при расчетеобъема необходимых ресурсов использовать это значение, возможнаперегрузка сайта в пиковые часы.

Чтобы определить число одновременно обслуживаемых пользова-телей, необходимо разделить общее число пользователей на среднеевремя сеанса. Например, если за день сайт посещают 500 000 чело-век, а средний сеанс длится 11 минут, то число одновременно обслу-живаемых пользователей равно:

Разумеется, это не означает, что в любой момент времени на сайтеработает 3,819 пользователей. Иногда активность значительно превы-шает это значение. Таким образом, одно из самых важных правилпланирования ресурсов — брать за основу не средний, а пиковый уро-вень активности пользователей. Простым способом вычисления пи-кового уровня считаете? удвоение значения средней активности пользо-вателей (хотя коэффициент меняется от сайта к сайту). Использовавэтот метод для нашего примера получим 7 600 одновременно обслу-живаемых пользователей. Если всплески активности на сайте превы-шают средний уровень более чем в два раза, это также следует учестьпри планировании ресурсов.

Выбор аппаратного обеспеченияЧтобы определить, какое оборудование необходимо, следует сравнитьожидаемое или реальное число посетителей сайта с возможностямиоборудования.

Выбор процессораПроцессор — основной параметр, определяющий производитель-ность Web-приложений. Наличие нескольких конкурирующих пото-ков, пытающихся получить доступ к одной критической секции илиодному ресурсу, вызывает частое переключение контекста, на что ухо-дит масса ресурсов, и процессор перегружается даже при низкой ак-тивности. Низкая загрузка процессора при малой производительнос-ти также возможна, когда большинство потоков заблокировано, на-пример в ожидании доступа к базе данных.

Необходимая мощность процессоров обеспечивается одним издвух способов: установкой на каждый сервер дополнительных про-цессоров или дополнительных серверов.

Как правило, более дешевый и простой способ — установка до-полнительных процессоров на существующие серверы. Но для боль-шинства приложений он эффективен до определенного предела, да-лее установка новых процессоров уже не помогает. Кроме того, чис-ло используемых процессоров ограничено операционной системой.

Установка новых серверов позволяет линейно масштабироватьпроизводительность Web-фермы до необходимого уровня. (При ли-нейном масштабировании считается, что два сервера обеспечиваютдвойную производительностью, три — тройную, производительностьдевяти серверов в девять раз выше и т.д.)

Предположим, на сайте установлен компьютер с двумя процессо-рами Pentium II 400МГц с ОС Windows 2000 Server, способный об-служивать 1350 пользователей. Однако в реальности этот сайт дол-жен одновременно обслуживать 7 600 пользователей. Чтобы опреде-лить число серверов, необходимых для обслуживания такого числапользователей, следует разделить 7 600 на 1 350:

7600 полэзователей / 1350 пользователей на каждый сервер - 6серверов

Во время обычных часов нагрузка на каждый сервер ниже:

3800 пользователей / 6 серверов = 634 пользователя на сервер

Это значит, что при обслуживании ожидаемого числа посетителейсайт использует 50% своих ресурсов. Такой запас очень важен, есливремя от времени на сайте возможны всплески активности пользова-телей.

Необходимый объем оперативной памятиВремя доступа к памяти (около 10 не) примерно в миллион раз мень-ше времени доступа к диску (около 10 мс), поэтому при переносестраниц на жесткий диск работа приложения замедляется. Установкаоперативной памяти достаточного объема — наилучший и самый де-шевый способ повысить производительность системы.

Чтобы выяснить, является ли установленный объем оперативнойпамяти достаточным, используют счетчики постраничной подкачки(количество перемешаемых страниц должно быть небольшим) и раз-мера рабочего набора (он должен быть значительно меньше объемафизической памяти).

Устройства хранения данныхС ростом числа и размера корпоративных сетей в эксплуатацию вво-дятся сетевые устройства хранения данных. При выборе среды и ме-тодов хранения данных, каждая организация руководствуется свои-ми принципами. Для некоторых наиболее важна цена, а другим —высокая производительность системы.

При оценке потребностей в устройствах хранения данных следуетсравнить объем возможных потерь от разрушения данных, сниженияпроизводительности и перерыва в бизнес-операциях с ценой уст-ройств хранения информации, обеспечивающих высокую производи-тельность и доступность. До определения стратегии управления уст-ройствами хранения следует взвесить ряд обстоятельств:• какие технологии в условиях вашей организации наиболее рента-

бельны;• какие устройства хранения информации обеспечивают масштаби-

руемость в будущем вместе с ростом сети;• требуется ли быстрый круглосуточный доступ к наиболее важной

информации;• нужно ли обеспечить безопасность среды хранения данных.

При поиске наиболее рентабельного варианта следует соблюдатьбаланс между ценой приобретения и использования программ и обо-рудования и возможными последствиями от потери данных. Сто-имость проекта определяют следующие составляющие:• начальные вложения в оборудование, такие, как дисководы и лен-

точные накопители, источники питания и контроллеры;• носители информации, такие, как магнитные ленты и компакт-

диски;• программное обеспечение, например программы управления уст-

ройствами хранения и программы резервного копирования;• цена обслуживания программного и аппаратного обеспечения;• оплата персонала;• обучение пользователей работе с новыми технологиями;• внесистемные устройства хранения информации.

Сравните эти затраты со стоимостью замены или восстановления;• файловых, почтовых серверов и серверов печати;• серверов приложений SQL Server и Systems Management Server

(SMS);• шлюзовых серверов с RRAS [Routing and Remote Access (Маршру-

тизация и удаленный доступ)], SNA Server, Proxy Server или No-vell NetWare;

• рабочих станций в различных отделах;

• отдельных компонентов компьютера, таких, как жесткие диски исетевые адаптеры.

Еще при выборе системы хранения данных необходимо учитыватьскорость восстановления информации. Насколько быстро вы сможе-те восстановить данные при их потере на сервере? Как долго безущерба для бизнеса сервер {или вся сеть) может оставаться нерабо-тоспособным?

Технологии хранения данных меняются довольно быстро, поэто-му перед принятием окончательного решения следует изучить пре-имущества всех возможных вариантов. Ресурсы систем хранения дан-ных должны превышать потребности для резервного копированиякритических данных. Кроме того, эти системы должны обеспечиватьобнаружение и исправление ошибок в ходе резервного копированияи восстановления данных.

Серверы баз данных и дисковые накопителиБазы данных при определенных условиях также могут стать «узкимместом», и это не так-то легко устранить. Для чтения и записи ин-формации в реальном времени данные должны храниться в един-ственном экземпляре, что затрудняет повышение емкости базы. При-чиной ограничения производительности может стать сервер базы дан-ных или массив дисковых накопителей.

Для увеличения производительности сервера базы данных разра-ботано несколько способов, При недостатке процессорной мощнос-ти установите дополнительные процессоры. Такие приложения базданных, как SQL Server, весьма удачно используют дополнительныепроцессоры. Если производительность ограничивается скоростьюдисков, установите более быстрый массив накопителей, Кроме того,если приложение, взаимодействующее с базой данных, поддерживаетразвитые технологии кэширования, то можно повысить его произво-дительность, увеличив объем оперативной памяти.

Зачастую применяют и другой способ — распределяют базу дан-ных между несколькими серверами. Сначала необходимо разместитьна одном или нескольких серверах каталог базы данных. Посколькудоступ к каталогу осуществляется только для чтения, репликаиия дан-ных не нарушит их. Также можно разнести данные, изменение кото-рых происходит нечасто, например информацию о клиентах. Но еслипонадобится несколько копий данных, корректную репликацию обес-печить затруднительно.

Однако из-за высокой нагрузки на сайт часто требуется распреде-лять часто изменяемые данные. В большинстве приложений такаяфункция реализуется довольно просто: посредством использования

полей почтового индекса, имени или идентификатора клиентов. Темне менее в некоторых приложениях для этого требуется написать спе-циальную программу на уровне базы данных. На этом уровне необхо-димо иметь полную информацию о размещении записей на серверах.Хотя в большинстве приложений, таких, как SQL Server, разнесениетаблицы между несколькими компьютерами не требует создания до-полнительных программ.

Определение пропускной способности сетиНижний предел пропускной способности сети определяется числомпользователей, которых предполагается обслуживать за конкретныйпериод времени, При этом следует учитывать как средние, так и пи-ковые нагрузки.

Разумеется, большое влияние на решение оказывает тип исполь-зуемого сайта. Например, если назначение сайта большей частью илиполностью состоит в рассылке подписной информации или если сайтрасполагается в интрасети (возможно с выходом во внешнюю сеть),то скорее всего вы можете достаточно четко рассчитать максимальновозможную нагрузку. Но если вы, скажем, публикуете обзоры новыхпрограмм в Интернете и размер аудитории заранее неизвестен, то нестоит и пытаться спрогнозировать максимальный уровень нагрузки.Лучше измерить один или несколько параметров, определяющих про-пускную способность сети.

Несколько элементов сетевого оборудования могут стать «узкимместом». Во-первых, скорости подключения к Интернету иногда нехватает для пересылки заданных объемов информации. В случае рос-та популярности вашего приложения, а значит, и сайта, возникаетпотребность в более быстром подключении или дополнительных ли-ниях связи. Кроме прочего создание нескольких подключений повы-шает надежность и доступность сайта. Уменьшив объемы передавае-мых данных, особенно графики, аудио- и видео информации, удает-ся снизить требования к пропускной способности сети и избежатьпадения производительности. При недостаточной скорости работыбрандмауэр также становится «узким местом».

Не забывайте, что достигнуть теоретической производительностисети Ethernet невозможно из-за коллизий, то есть ситуаций одновре-менной передачи данных двумя подсистемами. При возникновенииколлизии оба компьютера должны прерваться на интервал времени,выбранный случайным образом, и затем попытаться повторить пере-дачу. Некоторое число коллизий возникает постоянно, но по меренасыщения сети их количестио быстро растет, практически предотв-ращая передачу данных.

Замена обычных концентраторов сети на коммутаторы позволитзначительно снизить число коллизий. Вместо применения широко-вещательной рассылки коммутатор напрямую соединяет два порта, врезультате нескольким парам портов удается обмениваться даннымиодновременно, без коллизий. За последние несколько лет цена накоммутаторы значительно снизилась, что делает их использованиеболее привлекательным.

Проектирование топологии сайтаК каждому сайту предъявляются особые требования по производи-тельности, которые формируются под влиянием множества различ-ных факторов, таких, как существующее оборудование и финансиро-вание, размер помещения для установки серверов и допустимое вре-мя простоя сайта. От этих требований напрямую зависит внутренняяинфраструктура сайта.

На рис. 7-8 показан пример топологии сайта. Помните, что этолишь один из возможных схем организации топологии сети. Потреб-ности каждой компании различны, и именно они определяют инф-раструктуру создаваемой сети.

IIS-сервер'Hi

Корпо-ратив-

Брандмауэр1"ая сеть]

Балансировканагрузкис поддержкойсостояний

Балансировканагрузки без

поддержкисостояний

IIS-сервер -

IIS-сервер

Серверывнутреннего

кластера

Файловыйсервер

Файловыйсервер

Рис. 7-8. Пример топологии сайта

В процессе планирования топологии сайта следует ответить на рядвопросов.• Какие побочные операции сервера (например, резервное копиро-

вание и репликация) влияют на ресурсоемкость сайта? Поскольку

измерения производительности не затрагивают эти вспомогатель-ные операции, следует самостоятельно оценить используемые имиресурсы и прибавить их объем к ресурсам, необходимым для об-служивания Web-трафика.

Например, при выполнении многих вычислений предполагается,что ASP-страницы кэшируются, а объекты располагаются в опе-ративной памяти. Однако при выполнении репликации IIS очи-щает большую часть собственного кэша, a Windows значительнуючасть кэша переносит на жесткий диск, что приводит к активнымоперациям обмена между диском и памятью и снижает произво-дительность системы. Поэтому следует рассчитать необходимыйдля репликации объем оперативной памяти и прибавить его кобъему, полученному при планировании необходимой производи-тельности.

Сервер почти никогда не выполняет лишь одну задачу, а как пра-вило, несколько операций одновременно. Точно настроенная сер-верная среда похожа на слаженный оркестр. Провести необходи-мые измерения с достаточной точностью для отдельно взятой опе-рации невозможно. Но серверы и целые сайты часто выполняютпериодические операции, такие, как репликация содержимого илиупреждающее кэширование.Насколько часто по прогнозам ожидаются всплески активности?Как правило, при планировании ресурсов, среднее число одновре-менно обслуживаемых пользователей удваивают. Если ожидаютсяочень сильные всплески активности, превышающие средний уро-вень более чем в два раза, следует обеспечить еще больший запасмощности процессоров, скорости и емкости дисков, объема опе-ративной памяти и пропускной способности сети. Не забывайте обудущем расширении сайта и возможном усложнении его инфор-мационного наполнения.Насколько необходима постоянная работоспособность сайта? Какчасто серверы предполагается отключать для обслуживания? Еслипостоянная доступность сайта обязательна, предусмотрите избы-точные компоненты. Продублируйте особо важные ресурсы и уст-раните точки критического сбоя.

Один из способов обеспечения доступности — создание кластеров.При помощи службы NLB и службы кластеров Web-серверы икомпьютеры с SQL Server объединяют в кластеры. Это позволяетотключать отдельные серверы для модернизации или ремонта, непрерывая работы сайта.

• Когда потребуется проведение повторного расчета ресурсов? Какбыстро планируется расширять сайт? Каково прогнозируемое из-менение сложности информационного наполнения? С течениемвремени число одновременно обслуживаемых пользователей сай-та увеличивается или уменьшается, изменяется ли объем и слож-ность информационного наполнения, а также профиль среднеста-тистического пользователя. Все это оказывает серьезное влияниена требования к ресурсам сайта. При планировании ресурсов сле-дует учитывать изменения и расширения сайта, и корректироватьвыдвигаемые требования по прошествии некоторого времени илипосле серьезного изменения условий работы.

Поиск потенциальных источников неполадокВыявите самые ненадежные элементы системы. Если сайт достаточ-но велик, для определения возможных источников проблем потребу-ется тестовая система. Источники неполадок выявляют в следующейпоследовательности.1. Начертите схему структуры сайта. Например, ссылки на FTP-сай-

ты и другие URL-адреса.2. Выясните, на каких компьютерах расположены различные функци-

ональные компоненты (база данных, почтовый сервер. FTP и др.).3. Нарисуйте модель сайта и обозначьте все подключения. Исследуй-

те его топографию и найдите медленные соединения.4. Для каждой страницы создайте профиль пользователя, содержа-

щий следующую информацию:• Сколько времени пользователь проводит на данной странице?• Какие данные принимаются или передаются со страницы?• В каком объеме страница работает с базами данных или други-

ми объектами?• Какие объекты содержит каждая страница? Насколько они дру-

жественны системе? (То есть какой объем системных ресурсовони потребляют и не затрагивают ли другие объекты и прило-жения при сбое?)

• Какая модель потоков применяется в каждом объекте? (Обыч-но рекомендуется использовать быструю (agile) модель, с пото-ками в режиме Both, и это единственно приемлемая модель дляприложений.)

5. Определите, какие объекты размещаются на сервере, а какие — наклиентских компьютерах.

6. Создайте тестовую систему. Для этого потребуется по крайнеймере два компьютера, так как при выполнении всех элементов ути-

литы WCAT на одном компьютере полученные результаты иска-жаются иэ-за потребления системных ресурсов самой утилитой,Снимайте показатели счетчиков производительности ежесекунд-но. Из-за внезапного характера сбоев службы ASP интервал в 10—15 секунд не позволит выяснить причину сбоя. Необходимо сни-мать показания счетчиков загрузки процессоров, объема непере-мещаемой информации, числа подключений в секунду и т.п.

7. Создавайте трафик на объекты или страницы, вызывающие объек-ты, до возникновения сбоя объекта или сервера. При этом отсле-живайте:• утечку памяти (равномерное уменьшение объема перемещае-

мых и неперемещаемых данных);• ошибки останова и оповещения Dr.Watson;• сбои процесса I net info и сбои, записанные в журнале событий

(Event Log).8. Увеличивайте нагрузку до возникновения сбоя. Запишите инфор-

мацию о сбое и о максимальном числе одновременных подключе-ний на момент сбоя.

9. Под каждым блоком на диаграмме структуры сайта укажите времяобработки и число используемых ресурсов для каждого объекта. Этопоможет определить, какой объект сильнее всего ограничивает про-изводительность, при условии, что известно, насколько интенсив-но тот или иной объект используется клиентом в реальных услови-ях. Если снижающий производительность объект часто требуется зосновных операциях, рассмотрите возможность его изменения.

10. Примените утилиту Traceroute во всех точках сети. Естественно,трассировать все пути в Интернете невозможно, но удается про-следить значительное число путей между клиентами и серверами.Если в сети нет внешних подключений, трассируйте пути междурабочими станциями и сервером. Так вы получите представлениео диапазоне существующих задержек, определяющих время загруз-ки страниц. На основе ;»той информации определяют время от-клика запросов ASP и подключений к базе данных.

Модернизация Web-сайтаПосле определения числа пользователей, обслуживаемых каждымсервером, можно модернизировать сайт для увеличения числа обслу-живаемых пользователей или повышения качества обслуживания су-ществующих пользователей.

Известно три основных способа модернизации сайта:* увеличешк числа пользователей, обслуживаемых каждым сервером;

• увеличение общего числа одновременно обслуживаемых пользо-вателей сайта;

• уменьшение времени отклика сайта.Для этого применяют следующие методы:

• оптимизация информационного наполнения— изменение динами-ческого наполнения сайта для снижения создаваемой им нагруз-ки, Для этого можно оптимизировать ASP-сценарии или изменитьструктуру сайта, снизив частоту использования ресурсоемких ASP-сценариев,

• увеличение производительности серверов (масштабирование «вверх») —увеличение числа и скорости процессоров и объема оперативнойпамяти. Перейдите на более быстрое программное обеспечение,например обновите Windows NT 4 до Windows 2000. Оптимизируй-те параметры ПО;

• добавление серверов («горизонтальное» масштабирование) — уста-новка в кластере дополнительных Web-серверов.

Сравнение результатов измерений производительности сайта до ипосле изменений позволяет оценить эффект предпринятых действий испрогнозировать поведение модернизированной системы в будущем.

Масштабируемость

Масштабируемость отражает степень реакции уровня производитель-ности на изменения параметров системы, таких, как объем оператив-ной памяти или число процессоров. Однако часто трудно измеритьэту степень реакции из-за влияния многих посторонних параметров,таких, как системные компоненты базового оборудования, характе-ристики сети, конструкция приложений и архитектура и возможнос-ти операционной системы. Для улучшения или расширения сервер-ных систем без ущерба для поддержки многозадачности и рентабель-ности ОС требуется определенная гибкость.

Масштабирование «вверх» (scaling up) осуществляется путем уве-личения мощности существующих ресурсов системы, таких, как опе-ративная память, процессоры и жесткие диски.

«Горизонтальное» масштабирование (scaling out) подразумевает уве-личение числа серверов. Расширение позволяет увеличить произво-дительность, когда потребности приложения начинают превышатьвозможности одной системы. Использование ресурсов несколькихсистем снижает конкуренцию за ресурсы между приложениями и по-вышает доступность сайта. Службы кластеров и другие системныеслужбы, такие, как надежный механизм поддержки очередей тразак-тных сообщений, позволяют организовывать «горизонтальное» мас-штабирование. Масштабируемость программ реализуется за счет со-

здания кластеров, состоящих из нескольких умеренно нагруженныхкомпьютеров, которые выполняют общую задачу. Часть процесса «го-ризонтального» масштабирования — совместное использование кла-стеров и службы NLB. Чем на большее число компьютеров распреде-ляется нагрузка, тем выше общая производительность серверной си-стемы.

«Горизонтальное» масштабирование позволяет повышать произ-водительность, добавляя Web-серверы в существующие кластеры илиорганизуя новые кластеры. Хотя добавление нового сервера требуетбольших затрат, чем модернизация существующего, оно позволяетповысить производительность и эксплуатационную гибкость систе-мы.

Принятие решенияОпределение требований по производительности сети проводится внесколько этапов, на каждом из которых необходимо оценивать фун-кционирование сайта (таблица 7-11).

Таблица 7-11. Планирование производительности


Определение типа Следует определить тип создаваемого сайта, нап-и назначения сайта ример сайт транзакций, электронной коммерции

или информационный сайт. Также следует решить,нужны ли динамические страницы, и если да, тос применением каких технологий их следуетсоздавать, например ASP или ISAPI

Определение состава Необходимо оценить число одновременнои числа пользователей обслуживаемых пользователей

Выбор аппаратного Требования к аппаратному обеспечению опреде-обеспечения ляют на основе количества одновременно обслу-

живаемых пользователей в пиковые часы. Дляобеспечения необходимых процессорных ресурсовоборудуют серверы дополнительными или болеемощными процессорами или устанавливают до-полнительные серверы. Для предотвращения пе-реноса страниц памяти на жесткий диск необхо-димо позаботиться о том, чтоб хватало оперативнойпамяти. Решение об использовании той или инойсистемы хранения данных принимается на основесопоепшления цены оборудования и последствийот возможной потери данных

(продолжение)Определение Требования к пропускной способности сетипропускной определяются на основе количества одновреспособности сети менно обслуживаемых пользователей в пиковые

часы

Проектирование При проектировании топологии сайта надо решить,топологии сайта какие операции сервера влияют на производи-

тельность сайта, как часто по прогнозам возникаютвсплески активности, насколько необходима 100-процентная доступность сайта и как планируетсямодернизировать сайт в будущем

Поиск потенциальных Необходимо провести ряд тестов с целью обнару-источников неполадок жения потенциальных источников неполадок

Модернизация При необходимости сайт модернизируют, масшта-Web-сайта бируя его «вверх» или «вширь» (горизонтально).

Производительность также повышают, оптими-зируя информационное наполнение

РекомендацииПри планировании производительности Web-сайта придерживайтесьследующих рекомендаций:• определите число одновременно обслуживаемых пользователей,

прибегнув к анализу рынка (если эксплуатация сайта еще не нача-лась) или исследованию журналов Web-сервера (если сайт уже дей-ствует);

• при определении расчетного числа одновременно обслуживаемыхпользователей ориентируйтесь на пиковые нагрузки;

• определяйте необходимый объем аппаратных ресурсов, ориенти-руясь на максимальное число одновременно обслуживаемых пользо-вателей. Мощности процессоров и объема оперативной памятидолжно быть достаточно для нормальной работы в пиковые часы.Устройства хранения информации должны обеспечивать достаточ-ную производительность работы и доступность данных;

• топология сайта должна учитывать побочные операции сервера,такие как резервное копирование и репликация, обеспечивать не-обходимую производительность при всплесках активности, соот-ветствовать требованиям доступности и обеспечивать возможностьмодернизации;

• перед запуском сайта выполните поиск возможных «узких мест»;• модернизируйте сайт, масштабируя его «вверх» или «вширь» (го-

ризонтально). Первый способ, как правило, дает больший прирост

производительности и попытает эксплуатационную гибкость си-стемы.

Пример. Планирование ресурсов сайта в компанииCoho VineyardКомпания Coho Vineyard решила создать Web-сайт для продвижениясвоих продуктов. Перед запуском сайта в компании проанализирова-ли возможность возникновения «узких мест>>. Топология сети сайтапоказана на рис. 7-9.

Коммутатор 100 Мбит/с

Коммутатор ^-,100 Мбит/с

ОсновнойконтроллердоменаcDNS

Коммутатор100 Мбит/с

Сервер контроляи администрирования,RAS-серверп, RAS,

Серверданных 1

Дисковый массив Компьютер

Рис. 7-9. Топология сайта компании Coho Vineyard

Сайт компании оборудован четырьмя одинаковыми Web-сервера-ми, объединенными в NLB-кластер. Кроме подключения к Интерне-ту, все Web-серверы через частную ЛВС подключены к серверам дан-ных и другим специализированным серверам. В их число входит сер-вер размещаемых в очередь компонентов (QC-сервер), предназначен-ный для поддержки авторизации кредитных карт и проведения тран-закций, а также основной контроллер домена с DNS. Данные обслу-живает кластер с поддержкой перемещения при сбое, состоящий из

двух серверов, подключенных к стандартному RAID-массиву. Всекомпьютеры подключены к сети контроля и администрирования.Таким образом, Web-серверы подключены к трем сетям, и на каждомиз них установлено по три сетевых адаптера.

На Web-серверах установлены по два процессора с частотой 400 МГц.При нагрузочном тестировании сайта обнаружилось падение произ-водительности в моменты всплесков активности. При установке накаждый сервер дополнительного процессора производительность воз-росла примерно на 30%, что достаточно для нормальной работы вусловиях пиковой нагрузки.

Объем оперативной памяти каждого Web-сервера — 256 Мб. Припроведении тестов нехватки памяти не выявлено. Подкачка практи-чески отсутствовала, поэтому установленный объем памяти сочтендостаточным.

При тестировании сайта администраторы обнаружили невысокуюзагрузку базы данных. При этом скорость работы Web-серверов пе-риодически серьезно снижалась. Источником проблемы оказалсяконцентратор, использовавшийся для подключения Web-серверов ксерверам данных. Весь трафик проходил через концентратор, пере-гружая его и вызывая задержки транзакций. При замене концентра-тора на коммутатор неполадка исчезла.

Производительности серверов данных оказалось более чем доста-точно. Даже при полной загрузке всех четырех Web-серверов, серве-ры данных использовали лишь 25% своих ресурсов. В производитель-ности дисков и объеме оперативной памяти также недостатка не на-блюдалось.

РезюмеПланирование производительности сети состоит из нескольких эта-пов. На первом этапе необходимо определить тип и назначение со-здаваемого сайта, а также используемое информационное наполне-ние. Кроме того, следует оценить число одновременно обслуживае-мых пользователей сайта. При оценке числа пользователей следуетучитывать как средний, так и максимальный уровень нагрузки. Ис-ходя из максимального числа одновременно обслуживаемых пользо-вателей, следует оценивать необходимый объем аппаратных ресурсови пропускную способность сети. Необходимо обеспечить достаточ-ную мощность процессоров и объем оперативной памяти для нор-мальной работы в условиях максимальной нагрузки. При оценке по-требностей в устройствах хранения данных следует сравнить потериот возможного разрушения данных, снижения производительность инедоступности бизнес-функций с ценой устройств хранения инфор-

мации, обеспечивающих высокую производительность и доступность,При проектировании топологии сайта надо учитывать побочные опе-рации сервера, ожидаемый уровень всплесков нагрузки, требованияпо доступности и возможность модернизации в будущем. Кроме того,на сайте необходимо провести поиск потенциальных «узких мест»,чтобы выявить самые ненадежные элементы системы. При модерни-зации сайта можно увеличить его производительность и доступность,оптимизировав информационное наполнение, модернизировав сер-веры или увеличив их число.

шум 7-1, Определение необходимыхпроцессорных ресурсови пропускной способностисети

Цель

Выполнив этот практикум, вы научитесь:• определять загрузку процессора и использование пропускной спо-

собности в расчете на одного пользователя;• определять необходимое число Web-серверов и процессоров для

обслуживания заданного количества пользователей;• определять необходимый объем ресурсов сети.

В этом практикумеВыполняя это практическое задание, вы определите необходимуюпроизводительность сайта, уделив особое внимание производитель-ности процессоров, числу Web-серверов и полосе пропускания сети,


Server;• знать о работе компьютерных и сетевых ресурсов, необходимых

для обслуживания посетителей сайта.

Исходные данныеТуристическая компания Adventure Works занимается организациейкругосветных путешествий и в настоящий момент расширяет спектронлайновых услуг так, чтоб пользователи смогли на сайте компанииполучать информацию об интересующих их услугах. Сейчас на сайтекомпании лишь предоставляется информация по существующим па-кетам услуг без учета личных интересов пользователей. Для созданиянового сервиса планируется установить во внутренней сети серверSQL Server. Для доступа и отображения информации, получаемой избазы данных, предполагается использовать ASP-страницы. В компа-нии Adventure Works установлена сеть Ethernet 100 Мбит/с (рис. 7-10).

В среднем сайт одновременно обслуживает от 1000 до 3000 пользо-вателей, но в пиковые часы их число увеличивается до 6000. Компа-

ния не ожидает значительно роста числа пользователей в связи с вве-дением нового сервиса. На Web-серверах компании установлено потри процессора с частотой 400 МГц. Верхний предел мощности -755 МГц. Как администратору сайта вам следует определить числопроцессоров, необходимое для обслуживания заданного количествапользователей, и оценить производительность сети.

1000-6000пользователей

IIScASP(400 МГц)

Сеть Ethernet 100 Мбит/с

Сеть Ethernet 100 Мбит/с

Web-кластер

Кластер базы данных

Рис. 7-10. Топология сети компании Adventure Works

Упражнение 1. Определение максимального числапользователейНеобходимо определить число одновременно обслуживаемых пользо-вателей, на основе которого будут выполнять все расчеты. Затем сле-дует вычислить нагрузку, создаваемую одной операцией на процес-соры и сеть.1, Сколько пользователей должна одновременно обслуживать сеть?

Практикум 7-1 Определение необходимых процессорных ресурсов 31?

После определения числа обслуживаемых пользователей следуетвычислить нагрузку на процессоры, создаваемую среднестатистичес-ким пользователем. Первый этап— определение выполняемых дей-ствий и используемых данных для каждой операции. Выполнив не-обходимый анализ, вы определили требуемую информацию (табли-ца 7-12).

Таблица 7-12. Стандартные операции на сайте Adventure Works

Операция Загрузка Число Число Числопроцессоров запросов запросов операций

в секунду в расчете в секундуна операцию

Домашняя страница 96,15%

Добавление 92,08%элемента в список

Отображения 93,42%списка

Поиск 98,99%

96,98

26,21

29,29

82,08

1

3

2

'

0,00128

0,00102

0,00329

0,00121

2. Как вычислить нагрузку на процессор, создаваемую одним пользо-вателем?

3. Какова нагрузка от выполнения каждой операции?

4. Определив нагрузку от выполнения каждой операции, вычисляютнагрузку от операции в расчете на одного пользователя, а затемполную нагрузку, производимую одним пользователем. Какованагрузка, создаваемая одним пользователем, в расчете на однуоперацию?

5. Какова общая нагрузка на процессоры, создаваемая одним пользо-вателем?

Теперь можно вычислить нагрузку на сеть, производимую каждымпользователем. Проведя необходимый анализ, вы определили требу-емую информацию (таблица 7-13).

Таблица 7-13. Нагрузка на сеть, создаваемую стандартнымиоперациями

Операция

Домашняя страница

Добавление

Числооперацийв секунду

0,003682

0,000254

Нагрузка навнешнюю сеть,кб/с

1,845

4,978

Нагрузка насеть данных,кб/с

0

127,756элемента в список

Отображения 0,000523 26,765 24,123списка

Поиск 0,001 Ш 25,678 25,564

6. Сначала нужно определить нагрузку на сеть в расчете на одну опе-рацию.

7. Какую нагрузку на сеть создает загрузка домашней страницы?

8. Какую нагрузку создают три остальные операции?

9. Какова общая нагрузка на сеть, производимая одним пользовате-лем?

Упражнение 2. Определение требованийпо мощности процессоровВы должны определить число Web-серверов, необходимых для обра-ботки заданного количества пользователей. В расчетах учитываютнагрузку на одного пользователя, полученную в упражнении 1. У васесть вся необходимая информация лля вычисления требуемой мощ-ности процессоров.1. Какова требуемая мощность процессоров на каждом сервере и

какая ее доля должна использоваться?


3. Какое число пользователей одновременно смогут обслуживатьпроцессоры каждого Web-сервера?

4. Найденное число пользователей, одновременно обслуживаемыхкаждым сервером, округлите до целого и определите необходимоеколичество серверов. Сколько серверов должно входить в составкластера?

Упражнение 3. Определение необходимойпропускной способностиНеобходимо определить, хватит ли пропускной способности для об-служивания заданного числа пользователей. В расчетах применяютзначения нагрузки на одного пользователя, полученные в упражне-нии 1. На данном этапе у вас есть вся необходимая информаиия длявычислений.1. Какова пропускная способность сети и какую ее часть следует учи-

тывать при определении объема необходимых ресурсов?

2. Сколько пользователей одновременно способна обслуживать сеть?

ресурсен . Глава 7

Закрепление материала9 j Приведенные ниже вопросы помогут вам лучше усвоить ос-


1. Сеть компании Contoso Pharmaceuticals подключена к Интернетупо линии Т1. Требуется определить скорость передачи страницыразмером в 5 кб. С учетом служебной информации объем переда-ваемых данных составляет около 55 360 бит. Какова скорость пе-редачи такой страницы по л и н и и Т ! ?

2. Вы модернизируете и расширяете функциональность сайта. Вамнеобходимо знать, какое время занимает у пользователей загрузкастраницы объемом 90кб (включая служебную информацию) прииспользовании модемов со скоростью 28,8 кбит/с и 56 кбит/с.Сколько секунд загружается такая страница в каждом случае?

3. Компания расширяет функциональность сайта. Для решения этойзадачи требуется обеспечить доступ к базе данных SQL Server. Припроведении тестов выяснилось, что операция «Добавление эле-мента в список» выполняется намного дольше, чем ожидалось. Выопределили, что нагрузка на диски при выполнении операции со-ставляет 4,395, а частота выполнения— 0,012345 операции в се-кунду. Какова нагрузка на диск, создаваемая одним пользовате-лем за секунду при выполнении указанной операции?

4. Вы оцениваете объем ресурсов, необходимых для создания сайтатранзакций, позволяющего пользователям хранить и получать до-ступ к информации. Планируется использование динамическогонаполнения: предполагается установить базу данных SQL Server, aинформацию предоставлять посредством технологии ASP. Ожи-даемая пиковая нагрузка — 5000 одновременно обслуживаемыхпользователей. Какие дополнительные операции следует выпол-нить в процессе оценки объема ресурсов?

Г Л А В А 8

Службы каталогов

1, Основные сведения о службе каталогов Active Directory 323

ш 2, Планирование физической структуры Active Directory 334

• Проектирование физической структуры Active Directory 344


12-4791

322 Службы каталогов Глава 8

В этой главеСлужба каталогов — это сетевая служба, хранящая сведения обо всехобъектах сети и предоставляющая эти данные пользователям и при-ложениям. Она управляет распределенными ресурсами и выполняетроль брокера отношений между ними, позволяющего работать ресур-сам вместе в единой структура, доступной администраторам и пользо-вателям. В Microsoft Windows 2000 Server роль службы каталогов вы-полняет Active Directory. Она организует и облегчает доступ к ресур-сам сети. В этой главе рассказывается о структуре Active Directory и осетевой репликации изменений каталога. Также вы узнаете, как пла-нировать физическую структуру Active Directory, создавая сайты иплан репликации.

Прежде всегоДля изучения материалов этой главы необходимы:• опыт администрирования Microsoft Windows 2000 Server и созда-

ния сетей;• опыт администрирования служб Active Directory и DNS в Win-

dows 2000.

Занятие 1. Основные сведения о службекаталогов Active Directory

Active Directory — это каталог, в котором хранится информация о се-тевых ресурсах и сервисах, обеспечивающих доступ к этой информа-ции. Объекты в каталоге соответствуют таким сущностями, как пользо-ватели, принтеры, серверы, базы данных, группы, службы, компьюте-ры и политики безопасности. Служба Active Directory интегрированав Windows 2000 Server и поддерживает упрощенное администрирова-ние, масштабируемость, а также открытые стандарты и стандартыименования. На этом занятии вы узнаете, каким образом Active Directoryинтегрирована в Windows 2000 Server, и познакомитесь со структуройActive Directory. Кроме того, здесь рассказывается о механизме репли-кации в службе каталогов Active Directory.


J рассказать об Active Directory и ее структуре;* рассказать о работе механизмов репликации

в Active Directory.


Знакомство с Active DirectoryРесурсы Active Directory организованы в иерархическую структуру,состоящую из доменов — логических групп серверов и других сетевыхресурсов. Домен — основная единица репликации и обеспечения бе-зопасности в сетях Windows 2000. Работой домена управляет один илиболее контроллеров домена. Изменения на одном контроллере доме-на реплицируются на остальные контроллеры домена.

С целью упорядочения информация в Active Directory делится наразделы, каждый из которых содержит множество объектов. Каталогможно увеличивать, что позволяет администраторам масштабироватьустановленную копию службы в соответствии с растущими потреб-ностями фирмы.

Интеграция Active Directory в DNSActive Directory может совместно с DNS использовать доменную сис-тему имен в Интернете. Пространство имен Active Directory состоитиз одного или более доменов, расположенных в иерархии ниже кор-невого домена, зарегистрированного в пространстве имен DNS. Active

Directory применяет DNS для именования доменов и в качестве служ-бы поиска, таким образом доменные имена Windows 2000 одновре-менно являются доменными именами DNS.

За счет интеграции в доменную систему именования Active Directoryможет хранить и реплицировать базы данных зон DNS. Обычно зоныхранятся в виде текстовых файлов на серверах именования. Они син-хронизируются между серверами именования DNS. Для этого необ-ходима репликация, осуществляемая независимо от контроллеровдоменов и Active Directory. Однако при интеграции DNS с ActiveDirectory контроллер домена настраивается как сервер имен DNS,данные зоны хранятся в виде обычного объекта Active Directory, ипоэтому реплицируются в процессе стандартной репликации домен-ной информации.

Примечание Для совместной работы с Active Directory служба DNSдолжна работать на контроллерах доменов.

Протокол LDAPВ качестве основного протокола в Active Directory используется про-токол LDAP (Lightweight Directory Access Protocol). Это единствен-ный протокол связи, поддерживаемый Active Directory. LDAP счита-ется открытым стандартом Интернета, разработанным для работыповерх TCP/IP. Кроме того, LDAP может работать поверх протоколаUDP, который не поддерживает логических подключений.

LDAP определяет порядок доступа клиентов к серверу каталогов,выполнение клиентом операций с каталогом и совместное исполь-зование данных каталога. Он позволяет пользователям и приложе-ниям запрашивать, создавать, обновлять и удалять информацию лActive Directory. Кроме того, он обеспечивает взаимодействие служ-бы Active Directory со службами каталогов других поставщиков.

Объекты Active DirectoryОбъекты Active Directory представляют физические объекты, из ко-торых состоит сеть, например пользователи, принтеры и компьюте-ры. Каждый объект является экземпляром определенного класса. Вклассе определен набор атрибутов объектов данного класса. Объектымогут обладать лишь атрибулами, которые определены в соответству-ющем классе.

При создании объекта в Active Directory присваиваются значенияего атрибутам в соответствии с правилами, определенными в схеме

каталога. Например, при создании объекта «пользователь» следуетуказать значения обязательных атрибутов Full Name (полное имя) иUser Login Name (имя входа в систему) иначе создать объект не удастся.

Объекты Active Directory подразделяются на объекты-контейнерыи оконечные, или «листьевые» объекты. Отличие между ними в том,что первые могут содержать другие объекты, а последние — нет. Объек-тный класс является контейнерным, если хотя бы один другой классссылается на него как на возможного предка. В результате любой, оп-ределенный в схеме класс можно преобразовать в контейнерный.

Схема Active DirectoryВ схеме Active Directory определены типы хранимых в каталоге объек-тов и информации о них. Существует два вида такой информации:атрибуты и классы.

Допустимо существование лишь одного определения каждого ат-рибута, но определенные в схеме атрибуты могут использоваться вомногих классах. Например, атрибут Description (Описание) присут-ствует во многих классах, но определение его едино.

Классы объектов описывают возможные объекты Active Directory.Каждый класс представляет собой набор атрибутов. Например, классUser (Пользователь) содержит такие атрибуты, как First Name (Имя),Last Name (Фамилия) и Display Name (Отражаемое имя). Все объектыActive Directory является экземплярами объектного класса.

Структура Active DirectoryСостав Active Directory можно условно разделить на компоненты ло-гической и физической структур, которою полностью независимыдруг от друга.

Логическая структураЛогическая структура Active Directory состоит из доменов, деревьев,лесов и подразделений (рис. 8-1).

Эта структура отражает структуру организации, так как ресурсы вней сгруппированы по именам, а не по физическому местоположе-нию. В данной структуре Active Directory скрывает от пользователяструктуру сети.

Домен Домен Домен

-Дерево Дерево•

Лес

Рис. 8-1. Логическая структура Active Directory

ДоменыДомен — базовый элемент логической структуры Active Directory. Онобъединяет такие сетевые объекты, как пользователи и компьютеры,создавая единую среду управления и безопасности. Политики безо-пасности и различные параметры определяются и действуют в грани-цах отдельных доменов.

Active Directory позволяет логически объединять объекты, такимобразом упрощается управление ресурсами и учетными записями науровне доменов. Кроме того, имеется возможность публиковать ре-сурсы и информацию об объектах домена. При работе с несколькимидоменами можно масштабировать Active Directory в соответствии спотребностями по администрированию и публикации. При этом ка-талог разделяется на отдельные домены, в которых пользователямлегче выполнять свои задачи,

В домене хранится информацию обо всех принадлежащих ему се-тевых объектах. Active Directory состоит от одного до нескольких до-менов, причем в состав каждого могут входить физически удаленныеобъекты. Теоретически домен способен содержать до 10 миллионовобъектов, но практически это значение не превышает 1 миллиона.

Прежде всего домен определяет границы зоны безопасности. Дляуправления доступом к объектам домена применяются списки управ-ления доступом (Access Control Lists, ACL). В частности, ACL приме-няются для определения прав доступа пользователей к конкретнымобъектам домена. В число объектов Active Directory могут входить

компьютеры, контакты, группы, принтеры, пользователи, общие пап-ки и другие объекты, определенные в схеме службы каталогов.

ДеревьяДерево — это совокупность доменов Active Directory, организованныхв иерархической структуре. Создать дерево можно, определив одинили несколько доменов-потомков, подчиненных родительскому до-мену. Допустим, wingtiptoys.com — родительский домен, для которо-го создается несколько потомков, н а п р и м е р us.wingtiptoys.com иeu.wingtiptoys.com. Кроме того, для домена us.wingtiptoys.com можносоздать домен-потомок sea.us.wingtiptoys.com (рис. 8-2).

/wingtiptoys.com\

us.wingtiptoys.com eu.wingtiptoys.com

sea.us.wingtiptoys.com

Рис. 8-2. Дерево доменов компании Wingtip Toys

Следует иметь в виду, что образующие дерево домены относятся кодному пространству имен и имеют иерархическую структуру имено-вания. Структура имен в деревьях должна соответствовать стандар-там DNS. Имя домена-потомка добавляется к имени родительскогодомена. Кроме тото, для всех доменов дерева имеется единая общаясхема и глобальный каталог, в котором хранится основная информа-ция об объектах дерева. Между родителями и потомками автомати-чески устанавливаются доверительные отношения.

ЛесаЛес объединяет одно или несколько доменных деревьев. Хотя в раз-ных деревьях применяются различные структуры имен, все они соот-

ветствуют обшей схеме. Кроме того, для всех деревьев леса имеетсяобщий глобальный каталог. На рис. 8-3 показан лес из двух деревьевдоменов wingtiptoys.com и tailspintoys.com.

,' wingtiptoys.cQrn tailspintoys.cqrn

us.wingtiptoys.com eu.wingtiptoys.com eu.tailspintoys.com

Рис. 8-3. Лес доменов компаний Wingtip Toys и Tailspin Toys

Лес позволяет организовать взаимодействие внутри компаниидаже при независимой работе доменов. Между доменами и деревья-ми устанавливаются неявные двусторонние доверительные отноше-ния доменов.

ПодразделенияВнутри домена объекты можно группировать в соответствии со струк-турой компании. Подразделение (organizational unit) — это контейнерActive Directory, способный объединять такие объекты, как пользова-тели, группы и компьютеры. Подразделения можно вкладывать другв друга. В каждом домене создается своя независимая иерархия под-разделений.

Подразделение — наименьшая администрируемая единица доме-на, поэтому группировать ресурсы следует так, чтобы создать необхо-димую модель администрирования. Изменение параметров и предос-тавление пользователям прав администрирования объектов подраз-деления никак не влияет на общую систему безопасности и разгра-ничение прав в домене.

Физическая структураФизическая структура Active Directory не зависит от логической струк-туры и состоит из сайтов и контроллеров доменов.

СайтыСайт Active Directory — это одна или несколько подсетей TCP/IP,соединенных надежной и быстрой связью. («Хорошее» качество свя-зи в данном случае подразумевает высокую надежность и скорость

передачи данных.) Часто границы сайта определяются границамилокальной сети. Подобно соединениям внутри подсети, соединениямежду компьютерами сайта должны обладать высокой надежностьюи скоростью. В составе глобальной или региональной сети необходи-мо организовывать несколько сайтов, поскольку обслуживание зап-росов или репликация каталогов в сети таких размеров обычно вы-полняется крайне неэффективно. Скорость подключений внутри сай-та должна составлять как минимум 512 кбит/с, а пропускная способ-ность — не ниже 128 кбит/с.

Сайты никак не связаны с пространством имен — они отражаютфизическую структуру сети, которая не зависит от структуры ее до-менов. Сайт может состоять из нескольких доменов, а домен — изнескольких сайтов (рис. 8-4).

wingtiptoys.com eu.wingtiptoys.com

Сайт, состоящийиз нескольких доменов

Домен, состоящий из нескольких сайтов

Рис. 8-4. Сайт, состоящий из нескольких доменов, и домен,состоящий из нескольких сайтов

Создание сайтов облегчает аутентификацию пользователей. Привходе клиента в систему служба аутентификации прежде всего обра-щается к контроллерам домена, расположенным в том же сайте, чтои клиент. Таким образом повышается скорость аутентификации, по-скольку между клиентом и контроллером домена в одном сайте су-ществует надежное и скоростное подключение. Обращение к кон-троллерам, расположенным за пределами сайта, создает дополнитель-ную нагрузку на сеть.

Кроме того внутри сайта репликация выполняется быстрее (под-робнее об этом рассказывается далее в этом занятии).

Контроллеры доменовКонтроллер домена — это компьютер под управлением ОС семействаWindows 2000 Server со службой Active Directory. В домене обычно ус-тановлен один или несколько контроллеров домена. На контроллередомена хранится вся информация Active Directory, относящаяся кданному домену. Контроллер управляет изменениями этой информа-ции и реплицирует ее на остальные контроллеры данного домена. Ис-пользование нескольких контроллеров повышает отказоустойчивостьдомена.

При создании в лесе первого контроллера домена создается гло-бальный каталог — центральное хранилище информации об объектахдерева или леса. В нем хранятся полные реплики всех объектов соб-ственного домена и частичные реплики объектов из остальных доме-нов леса. Глобальный каталог позволяет подключаться к домену ос-новного режима. В процессе входа в систему он предоставляет кон-троллеру домена информацию об универсальных группах и их чле-нах. Кроме того, он позволяет находить информацию в каталогах независимо от того, на каком домене леса расположены искомые дан-ные.

При входе пользователя в домен основного режима глобальныйкаталог предоставляет информацию о членстве в универсальных груп-пах учетной записи, направившей запрос на подключение к контрол-леру домена. Если в домене только один контроллер, глобальный ка-талог располагается именно на нем. Если контроллеров несколько.глобальный каталог хранится на том, что настроен соответствующимобразом. Если на момент входа пользователя в сеть глобальный ката-лог недоступен, пользователю предоставляется доступ только к ло-кальному компьютеру.

Поскольку глобальный каталог необходим для проведения аутен-тификации пользователей, размещение этого каталога на каждом сай-те позволит повысить эффективность процесса аутентификации.

Репликация в Active DirectoryActive Directory предоставляет доступ к информации каталога другимслужбам и пользователям в любое время и с любого компьютера де-рева или леса доменов. При каждом создании, изменении или удале-нии объекта информация о коррективах должна передаваться на дру-гие контроллеры доменов. Однако необходимо соблюдать балансмежду объемом передаваемой информации и обеспечением достаточ-ной производительности сети. Если информация обо всех изменени-ях в каталоге будет постоянно передаваться, на другие контроллеры,будут заняты все имеющиеся ресурсы сети.

В процессе репликации пересылается информация об измененияхв трех разделах каталога:• схема содержит описание классов и атрибутов объектов леса. Это

раздел един для всего леса;• конфигурация содержит описание логической структуры Ac-

tive Directory. Это раздел един для всего леса;• раздел домена содержит описание объектов домена. Этот раздел

един в пределах отдельных доменов.

Схема и конфигурация реплицируются на все контроллеры доме-нов леса, а раздел домена реплицируются только на контроллеры дан-ного домена. Кроме того, все объекты всех доменов, а также опреде-ленное подмножество свойств всех объектов леса реплицируются вглобальный каталог.

Операции с несколькими хозяевамиДля синхронизации информации каталогов в Active Directory исполь-зуется репликация с несколькими хозяевами. Она позволяет любомуконтроллеру домена вносить и реплицировать изменения каталога налюбой другой контроллер. Все контроллеры домена равнозначны, инет обособленного хозяина процесса. Если один из контроллеров ста-новится недоступным, остальные продолжают процесс репликации.Контроллеры могут располагаться в разных местах сети, в далеко от-стоящих друг от друга физических местоположениях.

Контроллеры доменов отслеживают число изменений, внесенныхими в собственную копию данных, и число изменений, принятых отпартнеров по репликации. Это облегчает обновление информации наконтроллере, который некоторое время был отключен от сети, по-скольку позволяет четко определять, какие изменения произошли итребуют репликации. Поскольку все изменения упорядочиваются пономеру реплики, а не по времени, в большинстве случаев нет необ-ходимости синхронизировать часы. Исключение составляют лишьредкие ситуации разрешения конфликта изменений.

Операции одиночного хозяинаНекоторые изменения вносятся контроллерами с особыми ролями инедоступны для выполнения в режиме с несколькими хозяевами. Влюбом лесе Active Directory одному или нескольким контроллерамдомена присваиваются пять особых ролей: хозяина схемы, хозяинаименования домена, хозяина относительных идентификаторов, хозя-ина инфраструктуры и эмулятора основного контролера домена (primarydomain controller, PDC).

В каждом лесе есть только один хозяин схемы и именования до-мена. Хозяин схемы (schema master) управляет всеми изменениями иобновлениями схемы, а хозяин именования домена (domain namingmaster) — добавлением и удалением доменов из леса.

В каждом домене разрешен только один хозяин относительныхидентификаторов, только один хозяин инфраструктуры и только одинэмулятор РОС. Хозяин относительных идентификаторов (relative IDmaster) распределяет наборы относительных идентификаторов междуконтроллерами домена, а хозяин инфраструктуры (infrastructure master)обновляет связи между пользователями и группами при переименова-нии или изменении состава групп.

В доменах, где есть компьютеры под управлением ОС, отличныхот Windows 2000, или резервные контроллеры домена под управлени-ем Windows NT, эмулятор РDC (PDC emulator) выполняет функцииосновного контроллера домена Windows NT. Он обрабатывает изме-нения паролей клиентов и реплицирует информацию на резервныеконтроллеры доменов.

Серверы-плацдармыСервер-плацдарм (bridgeheaoi server) — это точка, в которой происхо-дит обмен информацией каталогов с другим сайтом. Чтобы обмен ин-формацией выполнял конкретный компьютер, его следует назначитьосновным сервером-плацдармом. Если при обмене передаются боль-шие объемы информации, сервером-плацдармом следует назначатьмощный компьютер.

При определении нескольких основных серверов-плацдармов вкаждый момент времени активен только один из них. При сбое наактивном сервере-плацдарме служба Active Directory переносит опе-рации на другой сервер из списка основных серверов-плацдармов. Ненайдя назначенных серверов-плацдармов, Active Directory назначаетсервером-плацдармом один из контроллеров домена. Если у выбран-ного контроллера домена недостаточно ресурсов для обслуживаниямежсайтовой репликации, обмен информацией затрудняется.

Если для защиты сайта применяется брандмауэр, необходимо на-значить сервер-плацдарм. Для обмена информацией с серверами, рас-положенными за пределами защищенной сети, присвойте функциисервера-плацдарма прокси-серверу с брандмауэром. В противном слу-чае обмен информацией из каталогов может оказаться невозможным.

Сервер-плацдарм — основной сервер для обслуживания обменаинформации Active Directory с другими сайтами. Хотя для этого мож-но применять и остальные контроллеры доменов, именно сервер-плацдарм используется в первую очередь.

РезюмеЛогическая структура Active Directory состоит из доменов, деревьев,лесов и организационных элементов, а физическая структура— изсайтов и контроллеров доменов. Логическая и физическая структурысовершенно независимы друг от друга. Основным элементом логи-ческой структуры Active Directory является домен. Он объединяет та-кие сетевые объекты как пользователи и компьютеры, создавая еди-ное пространство управления и безопасности. Сайт состоит из однойили нескольких IP-подсетей, соединенных высокоскоростными ли-ниями. Сайты не являются частью пространства имен, они отражаютфизическую структуру сети. Active Directory предоставляет доступ кинформации каталога другим службам и пользователям в любое вре-мя и с любого компьютера дерева или леса доменов. Для синхрониза-ции информации каталогов в Active Directory применяется реплика-ция с несколькими хозяевами. Однако для выполнения операцийодиночного хозяина отдельным контроллерам домена присваивают-ся соответствующие роли. Одному или нескольким контроллерамдомена присваиваются следующие роли: хозяин схемы, хозяин име-нования домена, хозяин относительных идентификаторов, хозяининфраструктуры и эмулятор PDC. Сервер-плацдарм — это точка об-мена информацией каталогов с другими сайтами.

Занятие 2 Планирование физическойструктуры Active Directory

Доступность службы Active Directory во многом зависит от физичес-кой структуры сети. При проектировании физической структуры сле-дует учесть структуру сайтов, топологию репликации, оптимизациюсетевого трафика, ограничение выполнения аутентификации локаль-ным сегментом сети, а также расположение контроллеров доменов,серверов глобального каталога и хозяев операций. На этом занятиирассказывается об этапах планирования физической структуры ActiveDirectory.

Изучив материал этого занятий, вы сможете:S определить структуру сайта и спланировать расположение

контроллеров доменов, серверов глобального каталога ихозяев операций;

s определить топологию репликации.


ПланированиеВ процессе планирования физической структуры службы Ac-tive Directory, следует определить структуру сайта, решить, где распо-ложить контроллеры доменов, определить топологию репликациимежду сайтами и выбрать расположение серверов глобального ката-лога и хозяев операций.

Определение структуры сайтовИз занятия 1 вы знаете, что сайт состоит из одной или несколькихIP-подсетей, соединенных высокоскоростными линиями. Две основ-ные функции сайтов — облегчить аутентификацию пользователей иоптимизировать трафик при репликации каталогов.

При входе клиента в домен его запрос направляется на контрол-лер домена, расположенный и локальном сайте. Клиент перенаправ-ляется на другой сайт только при условии, что в данном сайте нетдоступных контроллеров домена. Если подключение между клиентоми контроллером домена обладает достаточной пропускной способно-стью (например, если контроллер домена расположен в пределах тогоже сайта), скорость аутентификации значительно возрастает. Струк-туру сайта также следует учитывать при подключении различных уча-

стков сети через брандмауэры. В большинстве случаев целесообразноконтролировать проходящий через брандмауэр трафик аутентифика-ции и репликации.

Структура сайтов влияет не только на процесс аутентификации,но и на репликацию каталогов. В Active Directory механизмы репли-кация в пределах одного или нескольких сайтов различаются. Поэто-му при планировании структуры сайта важно учитывать пропускнуюспособность сети. Следует также учитывать структуру подсетей, под-ключения к локальным и глобальным сетям, расположение сетей пе-риметра и брандмауэров, а также схему трафика в организации. Еслив какие-то часы соединение между двумя сегментами сети сильнонагружено, а в другое время трафик почти отсутствует, следует со-здать в этих местах два отдельных сайта, чтобы трафик от реплика-ции не препятствовал связи в пиковые часы.

Проектирование структуры сайтаПри организации сайтов Active Directory следует учитывать географи-ческое размещение отделов организации и установленные междуними подключения. Вам понадобится информация о подсетях, вхо-дящих в состав сети, и подключениях между ними. Кроме того, сле-дует знать скорости подключений и среднюю пропускную способ-ность в рабочее время.

Как правило, сайт создается на основе:• одной или нескольких локальных сетей, соединенных высокоско-

ростными линиями;• сети периметра, отделенной от остальных сетей брандмауэром;• сегмента, доступного только по протоколу SMTP, и не имеющего

прямых подключений к остальной сети.

Обычно при проектировании структуры сайта на основе физичес-кой топологии сети создают более обобщенную топологию с учетомпропускной способности, надежности сети и схемы деления сети насегменты (например, наличие сетей периметра). Если необходимо,чтобы клиенты проходили аутентификацию только на определенныхконтроллерах доменов, структуру сайта следует проектировать так,чтобы в нем были только нужные контроллеры домена.

Размещение контроллеров доменовПосле определения структуры сайтов следует разместить в них кон-троллеры доменов. От доступности контроллеров доменов зависитдоступность службы Active Directory и аутентификация пользовате-лей. В каждом домене следует предусмотреть по крайней мере одинконтроллер домена, но для предотвращения возможных сбоев требу-

ются как минимум два контроллера. Впрочем, точное число контрол-леров в каждом домене определяется требованиями по отказоустой-чивости и к распределению нагрузки.

Число и расположение контроллеров доменов определяется наосновании требований по отказоустойчивости сайта. Также следуетпринять во внимание подключения между сайтами и решить, должнали аутентификация некоторых клиентов проводиться на каких-токонкретных контроллерах домена. Контроллер домена размещается впределах сайта при следующих условиях:• к сайту подключено большое число пользователей;• выполнять аутентификацию пользователей должны только опре-

деленные контроллеры доменов;• подключение к. другим сайтам низкоскоростное, оно работает на

пределе возможностей или вообше отсутствует;• линия связи с другими сайтами проходит через брандмауэр;• сайт доступен только по протоколу SMTP.

Для обеспечения малого времени отклика в сети и высокой дос-тупности приложений размещайте как минимум один контроллердомена в каждом сайте и по крайней мере два контроллера в каждомдомене. Дополнительные контроллеры домена устанавливают в сле-дующих случаях:• к сайту подключено множество пользователей. Если мощности

контроллера недостаточно для обработки всех запросов, произво-дительность снизится и клиенты будут испытывать задержки привходе в систему и аутентификации для доступа к ресурсам;

• подключения между сайтами ненадежны, имеют малую скоростьили работают на пределе зозможностей. Если в сайте выходит изстроя последний контроллер домена, клиентам придется подклю-чаться к контроллерам, расположенным в других сайтах. Причем,если подключения между сайтами ненадежны, клиенты не смогутпройти аутентификацию и войти в систему;

• аутентификация клиентов должна выполняться определеннымиконтроллерами доменов. Иногда необходимо обеспечить выпол-нение аутентификации клиентов контроллерами доменов, распо-ложенными в пределах локального сайта. Например, при аутенти-фикации клиентов в сети периметра, при которой запросы не пе-ресылаются через брандмауэр.

Иногда размещение в сайте контроллера домена не требуется вов-се. Например, если число пользователей, подключенных к сайту, малоили если сайт состоит только из клиентских компьютеров и не содер-жит серверов. Однако в целя> повышения производительности и до-

ступности в большинстве сайтов следует разместить как минимумодин контроллер домена, а в некоторых сайтах их должно быть не-сколько.

Определение топологии межсайтовой репликацииСледующий этап проектирования структуры сайта — определениетополотии межсайтовой репликации. В основном он заключается вопределении конфигурации межсайтовых связей — логических тран-зитивных соединений между сайтами. Они применяются для настрой-ки топологии репликации в Active Directory.

После создания связей между сайтами служба проверки согласо-ванности знаний (Knowledge Consistency Checker, KCC) автоматичес-ки создает соответствующие объекты соединений между контролле-рами доменов. На основе существующих связей КСС определяет мар-шруты репликации между сайтами. В отличие от объектов-соедине-ний, связи между сайтами создаются вручную.

По умолчанию все связи между сайтами транзитивны. Однако,если отключить свойство транзитивности для какого-либо протоко-ла, то все связи, поддерживающие работу с этим протоколом теряюттранзитивность. В этом случае для проведения транзитивной репли-кации необходимо создать мосты связей между сайтами. Связующиймост объединяет две или более связей между сайтами, соединяя тесайты, между которыми отсутствует прямая связь. Однако посколькупо умолчанию все связи являются транзитивными, необходимость всоздании таких мостов возникает нечасто.

Для каждого протокола КСС назначает контроллер домена в каж-дом сайте на роль сервера-плацдарма и создает для него объектыподключения. Вы вправе назначить основной сервер-плацдарм, ис-пользуемый для обслуживания репликации данного сайта.

При создании связи между сайтами необходимо указать:• расписание репликации— недельный график часов и дней, когда

разрешена репликации. По умолчанию репликация может выпол-няться в любое время суток семь дней в неделю;

• интервал репликации — периодичность запросов на обновление иинициирование репликации. По умолчанию репликация выпол-няется каждые три часа;

• протокол репликации — тип протокола, применяемого для связимежду сайтами. Выбирают из двух вариантов — IP или SMTP;

• стоимость соединения — определяется как отношение пропускнойспособности соединения к пропускным способностям других со-единений. Принимает значения из диапазона 1—32167. Чем бо-

лее скоростным и предпочтительным является данное соединение,тем меньше его стоимость. По умолчанию имеет значение 100.

При настройке параметров связей сайтов учитывают пропускнуюспособность, график загрузки сети и тип используемого протокола.Создание дополнительных связей (то есть резервных маршрутов) по-зволяет повысить надежность и отказоустойчивость процесса репли-кации.

Параметры связей между сайтами оптимизируются в соответствиисо структурой сетевой среды. Допустим, сеть организации разделенана четыре сайта, как показало на рис. 8-5. Сплошные линии, соеди-няющие сайты, обозначают связи по IP-протоколу, а пунктирныелинии — по протоколу SMTP.

Denver

Рис. 8-5. Топология сайтов Active Directory

Возможная конфигурация топологии сайта на рис. 8-5 с учетомструктуры и производительности сети показана в таблице 8-1.

Таблица 8-1. Параметры соединений

Соединение

Sea-Pdx

Sea- Den

Pdx-Den

Времярепликации

Любое

ежедневно18:00-06:00

ежедневно18:00-06:00

Интервалрепликации

1 час

30 минут

15 минут

Типпротокола

IP

IP

IP

Стоимостьсоединения

25

100

50

Занятие 2 Планирование ФИЗИЧЕСКОЙ структуры Act» Directory 339

(продолжение)Sea-Slc ежедневно

18:00-06:00 15 минут SMTP 100

Для трех связей проведение репликации разрешено только в часыминимальной нагрузки. Репликацию с использованием связи Sea-Pdxразрешается проводить каждый час круглосуточно, семь дней в неде-лю. Такое решение целесообразно, если связь между сайтами Seattleи Portland обладает высокой надежностью и большой полосой про-пускания. Обратите внимание на увеличенный интервал репликации.С другой стороны, репликация по связи Sea-Slc проводится каждые15 минут, но только в часы минимальной нагрузки.

Размещение глобального каталога и хозяев операцийНа последнем этапе проектирования физической структуры Ac-tive Directory следует разместить глобальный каталог и хозяева опе-раций.

Размещение серверов глобального каталогаНа сервере глобального каталога хранится копия глобального ката-лога. Для проведения операций Active Directory очень важна доступ-ность глобального каталога. Например, в процессе входа пользовате-лей в домен основного режима глобальный каталог необходим дляопределения групп, к которым принадлежит пользователь. Если гло-бальный каталог недоступен, пользователю не удастся войти в домен.

Для сокращения времени отклика в сети и повышения доступно-сти приложений, размешайте по крайней мере один сервер глобаль-ного каталога в каждом сайте, чтобы запросы клиентов обрабатыва-лись в пределах одного сайта. Чтобы повысить доступность сайта,стоит разместить в нем несколько серверов глобального каталога.Дополнительные серверы глобального каталога целесообразно уста-навливать в следующих ситуациях:• к сайту подключено большое число пользователей;• подключения между сайтами ненадежны, имеют малую скорость

или работают на пределе возможности.

Размещение хозяев операцийВ Active Directory существует пять ролей хозяев операций: хозяин схе-мы, хозяин именования домена, хозяин относительных идентифика-торов, хозяин инфраструктуры и эмулятор РОС. В каждом лесе естьтолько один хозяин схемы и именования домена. В каждом доменелишь один хозяин относительных идентификаторов, один хозяининфраструктуры и один эмулятор PDC. При создании первого доме-на в новом лесе роль хозяина всех операций присваивается первому

340 Сяужбь! каталогов Глава 3

контроллеру домена. При создании в лесу доменов-потомков и обра-зовании деревьев Active Directory' автоматически распределяет ролихозяев операций в соответствии с логической структурой леса.

Если в домене только один контроллер домена, он является хозя-ином всех пяти операций. Если контроллеров несколько, роли обыч-но назначаются разным контроллерам. При распределении функцийхозяев операций придерживайтесь следующих рекомендаций:• назначьте один контроллер хозяином всех операций, а второй —

резервным хозяином;• в больших доменах назначайте роли хозяина относительных иден-

тификаторов и эмулятора РОС разным контроллерам домена. Обасервера должны быть прямыми партнерами по репликации с ре-зервным хозяином операций;

• роль хозяина инфраструктуры и сервера глобального каталога ре-комендуется присваивать разным контроллерам домена, но приэтом следует позаботиться о создании высокоскоростной связимежду ними. Если копия глобального каталога хранится на всехконтроллерах домена, присвоить роль хозяина инфраструктурыможно любому из них.

Принятие решенияПроцесс проектирования физической структуры Active Directory со-стоит из нескольких этапов: определения структуры сайтов и тополо-гии межсайтовой репликации, размещения контроллеров домена,серверов глобального каталога и хозяев операций (таблица 8-2),

Таблица 8-2, Проектирование физической структуры Active Directory


Определение Каждый сайт должен состоять из одной илиструктуры сайтов нескольких подсетей, соединенных высокос-

коростными линиями

Размещение В каждом домене следует разместить какконтроллеров домена минимум один контроллер домена, но для

обеспечения отказоустойчивости требуютсяпо крайней мере два контроллера. Однакоточное количество контроллеров в каждомдомене определяется требованиями по отка-зоустойчивости и распределению нагрузки

Определение топологии Для каждой связи между сайтами необходимомежсайтовой репликации указать график, интервал и протокол

репликации, а также цену связи

(продолжение)

Размещение серверов Все контроллеры домена должны иметь доступглобального каталога к глобальному каталогу. Кроме того, в каждоми хозяев операций лесе размешается лишь один хозяин схемы и

именования домена, а в каждом домене —только один хозяин относительных иденти-фикаторов, один хозяин инфраструктуры иодин эмулятор PDC

РекомендацииПри планировании физической структуры Active Directory придержи-вайтесь следующих рекомендаций:• .создавайте сайт на основе одной или нескольких локальных се-

тей, соединенных высокоскоростными линиями, сетей перимет-ра, отделенных от других сетей брандмауэром, или сегментов, до-ступных только по протоколу SMTP;

• размещайте как минимум один контроллер домена в каждом сай-те и как минимум два контроллера в каждом домене. Устанавли-вайте дополнительные контроллеры, если в сайте большое числопользователей, подключения между сайтами ненадежны, имеютмалую скорость или работают на пределе возможностей, а такжеесли необходимо, чтобы аутентификация клиентов проводиласьлишь определенными контроллерами доменов;

• при настройке параметров связи учитывайте пропускную способ-ность, график нагрузки на сеть и тип используемого протокола.При необходимости создайте дополнительные связи для обеспе-чения резервных маршрутов репликации;

• размешайте как минимум один сервер глобального каталога в каж-дом сайте. Если к сайту подключено большое число пользовате-лей или подключения между сайтами ненадежны, имеют малуюскорость или работают на пределе возможностей, разместите всайте дополнительные серверы глобального каталога;

• присвойте одному из контроллеров домена роль резервного хозя-ина операций. В больших доменах назначайте роли хозяина отно-сительных идентификаторов и эмулятора PDC разным контрол-лером домена. Не присваивайте одному и тому же контроллеруроль хозяина инфраструктуры и сервера глобального каталога, заисключением того случая, когда копии глобального каталога хра-нятся на всех контроллерах домена.

Пример. Физическая структура Active Directoryв банке WoodgroveСеть банка Woodgrove построена на основе Windows 2000 и состоитиз одного домена. В ее состав входит сеть периметра, где размешеныWeb-серверы. Развернув Active Directory, администраторы сети созда-ли два сайта: в один из них вошла сеть периметра, а в другой — внут-ренняя сеть банка. Причина создания отдельных сайтов заключаласьв том, что эти два сегмента сети разделены брандмауэром, кроме того,требовалось, чтобы при аутентификации Web-клиентов не использо-вались контроллеры домена во внутренней сети банка.

Для обеспечения высокой производительности и доступности всайте сети периметра размещены два контроллера домена с копиямиглобального каталога. В корпоративной сети банка размещены допол-нительные контроллеры домена. Чтобы повысить отказоустойчивостькорпоративной сети и минимизировать трафик через брандмауэр,дополнительным контроллерам домена присвоены роли резервныхсерверов глобального каталога и хозяев операций.

На рис. 8-6 показана структура Active Directory, обеспечивающаяотказоустойчивость и высокую производительность сети, а также раз-дельное выполнение операций по обе стороны брандмауэра и под-держку Web-сервисов банка.

Сеть периметра Корпоративнаясеть

Коммутаторподключенияк Интернету 1

Интернет-провайдер 1 Контроллер

домена/Хозяинопераций

Маршрутизатор/,бранд-мауэр

Маршрутизаторубрандмауэр Контроллер

домена/Ре-зервныйхозяинопераций

Интернет-провайдер 2

Контроллердомена/Глобальныйонтрол

пер до-мена/Глобаль- Контроялер

домена/Глобальный


Коммутаторподключения< Интернету 2


Рис. 8-6. Структура Active Directory с сетью периметра

РезюмеПри планировании физической структуры служб Active Directory сле-дует определить структуру сайтов, решить, где расположить контрол-леры доменов, определить топологию межсайтовой репликации и.выбрать место для серверов глобального каталога и хозяев операций.Две основные функции сайтов — облегчить аутентификацию пользо-вателей и оптимизировать трафик при репликации каталогов. Сайтсоздается на основе одной или нескольких локальных сетей, соеди-ненных высокоскоростными линиями, сетей периметра, отделенныхот других сетей брандмауэром, или сегментов, доступных только попротоколу SMTP. В каждом домене требуется хотя бы один контрол-лер домена, но для обеспечения отказоустойчивости необходимо какминимум два контроллера. Контроллер домена должен размещатьсяв пределах сайта, если к сайту подключено большое число пользова-телей, если необходимо чтобы аутентификацию некоторых пользова-телей выполняли определенные контроллеры доменов, если подклю-чение к другим сайтам имеет малую скорость, работает на пределевозможностей или отсутствует, а также если связь с другими сайтампроходит через брандмауэр. Определение топологии межсайтовойрепликации —• это определение конфигурации связей между сайта-ми. Для каждого соединения между сайтами необходимо указать гра-фик, интервал и протокол репликации, а также цену соединения. Дляуменьшения времени ответа в сети и повышения доступности прило-жений размещайте как минимум один сервер глобального каталога вкаждом сайте, чтобы запросы клиентов обрабатывались в пределахлокального сайта. Если к сайту подключено большое число пользова-телей или подключения между сайтами ненадежны, имеют малуюскорость или работают на пределе возможностей, разместите в пре-делах сайта дополнительные серверы глобального каталога. При рас-пределении ролей хозяев операций назначьте один контроллер хозя-ином всех операций, а другой — резервным хозяином. В больших до-менах назначайте роли хозяина относительных идентификаторов иэмулятора РрС разным контроллером домена. Не присваивайте од-ному и тому же контроллеру роль хозяина инфраструктуры и сервераглобального каталога.

•икум 8-1. Проектирование физическойструктуры Active Directory

Цель

Выполнив этот практикум, ны научитесь:• проектировать структуру сайта Active Directory и определять топо-

логию репликации;• размешать контроллеры доменов, серверы глобальных каталогов

и хозяев операций.

В этом практикумеВы должны спроектировать физическую структуру Active Directoryдля компании Northwind Traders. Основное внимание будет уделеноприменению Active Director/ в сети периметра и на Web-сайте ком-пании. В упражнениях этого практикума изучаются отдельные эта-пы, описанные в занятии 2: определение структуры сайтов и тополо-гии межсайтовой репликации, а также размещение контроллеров до-менов, серверов глобальных каталогов и хозяев операций.


Server;• обладать навыками администрирования служб DNS и Ac-

tive Directory.

Исходные данныеКомпания Northwind Traders создает сеть на основе Windows 2000 дляразвертывания Web-сайта и предоставления клиентам доступа к немучерез Интернет. В топологии сети, разработанной администратора-ми, предусмотрена сеть периметра для размещения Web-служб. Вне-шние и внутренние пользователи сети работают в одном простран-стве имен (northwindtraders.com). Сеть не имеет удаленных участкови представляет высокоскоростную локальную сеть с единственнымдоменом. Все подключения характеризуются высокой скоростью инадежностью.

Сеть периметра состоит из двух уровней: Web-кластера и кластераданных. Сеть периметра отделена от внутренней корпоративной сетибрандмауэром (рис. 8-7).

Вам, как администратору сети, поручено проектирование физи-ческой структуры Active Directory. Ваша задача— определить струк-туру сайта и топологию репликации, а также спланировать размеще-ние контроллеров доменов, серверов глобальных каталогов и хозяевопераций.

Интернет Сеть периметра

Коммутаторподключенияк Интернету 1 Коммутатор

i— Корпоративная-—*-сеть



Web-кластер

»— — -~ш

Кластерданных

Маршру-тизатор/ fбрандмаузр "-

Коммутатор Коммутаторподключенияк Интернету 2


Рис. 8-7. Топология сети компании Northwind Traders

Упражнение 1. Определение структуры сайтовВы должны разбить сеть компании Northwind Traders на сайты. По-мните, что при этом на основе физической топологии сети необходи-мо создать более обобщенную топологию с учетом пропускной спо-собности и надежности подключений, а также схемы разбиения сетина сегменты. При планировании структуры сайтов пользуйтесь схе-мой на рис. 8-7.1. На основании каких критериев создают структуру сайтов?

2. Сколько сайтов и на каких участках сети следует создать?

3. Почему вы создали именно такую структуру сайтов?

4. Предположим, что внутренняя корпоративная сеть состоит из не-скольких участков, соединенных WAN-подключениями. Как этоповлияет на разбиение сети на сайты?

Упражнение 2. Размещение контроллеров доменаВы должны разместить контроллеры домена, с учетом структуры сай-тов, созданных в упражнении ]. Разместите контроллеры так, чтобыклиенты сети периметра не обращались за аутентификацией на кон-троллеры домена внутренней сети, даже если локальный контроллернедоступен. Кроме того, запросы на аутентификацию клиентов внут-ренней сети не должны проходить в сеть периметра даже при сбоелокального контроллера домена.1. Какие правила следует соблюдать при размещении контроллероп

домена?

2. В каких сайтах вы разместите контроллеры?

3. Сколько контроллеров домена следует установить в этой сети?

Упражнение 3. Определение топологии межсайтовойрепликацииВам необходимо определить топологию репликации в сети компанииNorthwind Traders, то есть —конфигурацию связей между сайтами.Разумеется, топология репликации зависит от структуры сайтов, со-зданной в упражнении 1. Теперь на основе этой структуры вам следу-ет определить параметры соединений между сайтами.1. Каких правил следует придерживаться при определении конфигу-

рации соединений?

2. Какие соединения необходимо настроить?

3. Как вы настроите соединения?

4. Вы решили, что репликация между сайтами внешней и внутрен-ней сети должна выполняться с четкой периодичностью. Вы нехотите изменять конфигурацию контроллеров домена на обоихучастках сети, а также не желаете перегружать соединение. Вы ре-

шили, что репликация должна проводиться 12 раз в день с равны-ми интервалами, семь дней в неделю. Как нужно настроить пара-метры соединения?

Упражнение 4. Размещение серверов глобальногокаталога и хозяев операцийВы должны разместить серверы глобального каталога и хозяев опера-ций в соответствии со структурой сайтов и доменов, определенной впредыдущих упражнениях. Вы решили, что с учетом размера сети дляобеспечения отказоустойчивости и обработки сетевого трафика дос-таточно четырех контроллеров домена. На данном этапе вы не пла-нируете использовать какое-либо дополнительное оборудование,1. Каких правил следует придерживаться при размещении серверов

глобального каталога?

2. В каких местах сети Northwind Traders следует разместить серверыглобального каталога?

3. Каких правил следует придерживаться при размещении хозяевопераций?

4. В каких местах сети Northwind Traders следует разместить хозяеваопераций?

Закрепление материала9 j Приведенные ниже иопросы помогут вам лучше усвоить ос-


1. Что представляют собой объекты Active Directory и зачем нужнасхема Active Directory,

2. Из каких компонентов состоит логическая и физическая структу-ра Active Directory.

3. Назовите пять ролей хозяев операций, назначаемых одному илинескольким контроллерам домена.

4. Вы проектируете физическую структуру Active Directory. Сеть со-стоит из трех доменов. Домены физически удалены друг от друга исоединены посредством WAN-подключений. Каждый домен пред-ставляет собой быструю и надежную локальную сеть с большойпропускной способностью. Одна из сетей представляет собой сетьпериметра, в которой размешены Web-серверы. Сеть периметраподключена ко внутренней подсети через брандмауэр. Какое ми-нимальное число сайтов Active Directory можно создать в такойсети?

5. Сеть состоит из двух сай гов Active Directory. Вы хотите настроитьмежсайтовую связь так, чтобы репликация выполнялась каждые15 минут в часы наименьшей нагрузки на сеть. Как часто следуетвыполнять репликацию в рабочее время?

Г Л А В А

Интеграцияприложений

, Определение стратегии развертывания Web-приложения 351

-1. Развертывание Web-приложения 363

> Проектирование стратегии интеграции базы данных

в Web-среде 364

•2, Деление данных на разделы в БД SQL Server 378

Занятие 3. Проект интеграции сервера Microsoft Exchangeв Web-решении 379

Практикум 9-1, Интеграция Web-приложения в распределенной среде 389


В этой главеПостоянно растущая популярность Интернета изменила архитектурураспределенных вычислений и методов проектирования приложений,Во многих организациях двухуровневую клиент-серверную тополо-гию заменяют многоуровневыми средами, в которых вычислительныезадачи распределены между несколькими уровнями. В результатеприложения больше не располагаются лишь на стороне клиента илисервера, а механизм работы состоит не только из обработки клиентс-ких запросов. Это касается и приложений, особенно относящихся кWeb: их компоненты распределены по нескольким уровням, каждыйиз которых выполняет свою задачу. В такой модели приложение спо-собно обрабатывать запросы «тонких» клиентов, например MicrosoftInternet Explorer. При ответе на запрос клиента приложениям, разме-щенным на Internet Information Services (IIS) или другом Web-серве-ре, иногда требуется доступ к таким ресурсам, как СОМ-объекты илихранилища данных. Подобные ресурсы можно разместить на отдель-ном уровне или уровнях— все определяется конфигурацией сети. Вэтой главе рассказано, как проектировать топологию информацион-ного наполнения и приложений, которая поддерживает распределен-ную обработку, а также каким образом проектировать базы данных исоздавать стратегию интеграции процессов обмена сообщениями.

Прежде всегоДля изучения материалов этой главы необходимо:• знать строение многоуровневых Web-приложений и технологий

промежуточного уровня (слоя бизнес-логики);• понимать, как в много>ровневой среде реализованы службы ба-

лансировки сетевой нагрузки (NLB) и балансировки нагрузкикомпонентов (CLB).

Занятие 1. Определение стратегииразвертывания Web-приложения

В результате развития Интернета, связанных с ним технологий истандартов многие организации, особенно крупные, столкнулись снеобходимостью более быстрого и надежного доступа к данным, чемтот, что обеспечивается клиент-серверной моделью. Такая задача ре-шается посредством применения распределенных приложений, в ко-торых вычислительные задачи разнесены на разные уровни — какправило, уровень представления, бизнес-логики и данных. Хотя приреализации такого проекта требуется больше усилий на анализ и про-ектирование, в конечном итоге это позволяет значительно снизитьэксплуатационные расходы и повысить функциональную гибкость.На этом занятии рассказывается о модели распределенных приложе-ний, о том, как размещать Web-компонентов в распределенной топо-логии. Вы также научитесь разрабатывать стратегии развертывания исинхронизации приложений.


s решать, где размешать Web-компоненты;•S разрабатывать стратегии развертывания и синхронизации

приложений.


Интеграция приложенийВ прошлом двухуровневая модель использовалась повсеместно дляразработки и внедрения бизнес-приложений; в небольших компани-ях она применяется и сейчас. Однако с появлением Интернета, мно-гие организации перешли на многоуровневую архитектуру приложе-ний. В проекте распределенной инфраструктуры необходимо выпол-нить две операции: определить местоположение компонентов, под-держивающих распределенные приложения, и процедуры разверты-вания и синхронизации этих приложений.

Размещение компонентов, поддерживающих распределенныеприложенияВ распределенном приложении вычислительные задачи разнесены пологическим уровням — таким образом удается изолировать основныефункции системы. Большинство систем состоит из трех уровней (таб-лица 9-1).

Таблица 9-1. Модель распределенных приложений

Уровень Описание

Уровень 1 Уровень клиента, отображающий все пользовательские(уровень события. На этом уровне пользователь вводит дан-представления) ные, просматривает результаты запросов и взаимо-

действует с основной системой. В Web-среде этифункции выполняет браузер, действуя как пользо-вательский интерфейс. В среде, не связанной с Web,функции пользовательского интерфейса выполняетавтономное клиентское приложение

Уровень 2 Инкапсулирует бизнес-логику организации. Этот(уровень слой обеспечивает взаимодействие между пользова-бизнес-логики) телем и данными, которое строится на основании

правил оГфаботки, моделирующих повседневныебизнес-задачи. В Web-приложении средний слойобычно состоит из ASP-файлов и СОМ-объектов

Уровень 3 Этот уровень обеспечивает хранение прикладных(уровень данных и доступ к ним'клиента. Третий слой спосо-данных) бен хранить структурированные данные, например

в БД Microsoft SQL Server, неструктурированнуюинформацию, например в Microsoft Exchange, илимеханизм обработки транзакций, напримермеханизм очередей сообщений

Обратите внимание, что прикладной уровень не всегда повторяетструктуру сети. Например, US-сервер с ASP-страницами может рабо-тать на интерфейсном кластере и обрабатывать входящие запросов, авызовы СОМ-объектов способны выполняться на отдельном класте-ре, расположенном в отдельном сегменте сети. С другой стороны, всеэти компоненты разрешается размещать на одном интерфейсном кла-стере (но и в этом случае они будут рассматриваться как отдельныелогические уровни приложения).

Рис. 9-1 иллюстрирует предоставление прикладных служб в рас-пределенной архитектуре приложения.

В отличие от клиент-серверных приложений распределенные при-ложения достаточно гибки и не ограничены одним или двумя уров-нями. В многоуровневой сетевой структуре поддерживается масшта-бирование приложения путем внедрения дополнительных уровней,компьютеров, кластеров или даже дополнительных сетей в другомгеографическом местоположении. Кроме большей масштабируемос-ти, распределенная модель обеспечивает повышенную доступность инадежность за счет резервирования служб и компонентов.

Web-клиент Web-клиент

US-сервер с ASP-страницами

>• Уровеньпредставленияданных

Службы компонентов

СОМ-объект

;>• Уровеньбизнес-логики

SQL Server>• Уровень данных

Рис. 9-1. Трехуровневая архитектура приложения

MicrosoftExchange

Очередисообщений

Технологии характерные для конкретных приложенийПри предоставлении услуг клиенту распределенная модель опирает-ся на технологии, характерные для тех или иных приложений. Неко-торые из этих технологий реализуются на клиентском уровне. Напри-мер, сценарий, работающий в клиентском браузере, задействует вы-числительные мощности клиентского компьютера. Другой примертехнологии клиентского уровня — элементы управления ActiveX, ко-торые применяются для изменения пользовательского интерфейсаили же как подключаемые модули приложений (plug-in) (например, по-токовый аудио/видео плеер компании RealNetworks).

Кроме технологий, реализуемых на стороне клиента, в распреде-ленном приложении также используются технологии промежуточно-го уровня, втом числе CGI-приложения, ISAPI-расширения и 1SAPI-фильтры, а также ASP (в таблице 9-2 кратко описана каждая из этихтехнологий).

13—4791

Таблица 9-2. Технологии промежуточного уровня

Технология Описа ние

CGI-приложения

ISAPI-расширенияи ISAPI-фильтры

ASP

CGI-приложение — это программа, исполняемаяна Web-сервере. Удаленные пользователи запус-кают CGI-приложение, запрашивая URL-адрессо ссылкой на такое приложение. CGI-приложе-ния плохо масштабируются в ОС MicrosoftWindows

ISAPI--расширение —динамически подключаемаябиблиотека (DLL). IS API-расширения удобнее,чем CGI-приложения, хотя и при их применениивозникают некоторые сложности с обслуживай нем.ISAPI-фильтр позволяет перехватывать важныесобытия сервера до их обработки самим сервером.ISAPI-фильтры обычно применяются для аутен-тификации или автоматической переадресаиииклиентов. ISAPI-фильтры часто отрицательносказываются на производительности системы

ASP— среда исполнения сценариев, позволяющаясоздавать динамическое информационное напол-нение и Web-приложения. Сценарии на ASP-страницах проще создавать и модифицировать,чем CGI-приложения или I SAP I-расширения ифильтры, а задачи они решают те же. При пер-вичной загрузке и компиляции ASP-страницымогут быть более медлительными, чем простойHTML и ISAPI, но после размещения откомпи-лированной страницы в кэше последующиезапросы выполняются значительно быстрее

US-сервер и распределенные Web-приложенияIIS-сервер играет главную роль в создании распределенных прило-жений, доступных Web-клиентам. IIS поддерживает следующие фун-кции:• создание и управление HTTP-подключениями;• получение HTTP-запросов и создание HTTP-ответов;• модификацию HTTP-заголовков;• получение информации о клиентских сертификатах;• управление асинхронными подключениями;• преобразование URL-адресов в физические пути;• управление и запуск приложений;• пересылку файлов.

Многие распределенные приложения базируются на технологииASP, которая расширяет базовую функциональность IIS, обеспечи-вая связь с СОМ-архитектурой. В совокупности IIS и службы компо-нентов (Component Services) обеспечивают следующие функции:• изоляцию приложений в отдельных процессах;• управление связями между СОМ-объектами;• координирование обработки транзакций для ASP-приложений,

поддерживающих транзакции.

В I1S файлы ресурсов Web-приложения группируются в отдельноелогическое пространство имен, позволяющее совместно использоватьданные в границах пространства имен и запускать приложения в от-дельных процессах. При запросе ASP-файла US-сервер обращается кDLL-библиотеке ASP, которая по сути является DLL-библиотекойISAPI.

Рис. 9-2 иллюстрирует обработку запроса ASP в IIS.

Web-клиентHTTP- HTTP-

запрос ответ(ASP) (HTML)

IIS (с ASP)

ASP-файл т

HTML-файл

_


SQL Server

Рис. 9-2. Обработка ASP-запроса на IIS-сервере

При запросе ASP-страницы браузером клиентского компьютеравыполняется следующая последовательности операций.1. Браузер клиента отправляет HTTP-запрос ASP-страницы на Web-

сервер.2. Обнаружив расширение .ASP запрошенной страницы, IIS сопос-

тавляет его файлу со сценарием и направляет в ISAPI-расширениеASP.DLL для обработки.

3. ASP.DLL компилирует и кэширует ASP-файл. До компиляцииISAPI-расширение добапляет все необходимые директивы передтекстом серверных сценариев.

4. IIS создает окончательную HTML-страницу, которую возвращаетклиенту.

5. При получении клиентом страница загружает все нужные объек-ты на стороне клиента, выполняет клиентские сценарии и отобра-жает Web-страницу согласно правилам HTML.

Совместная работа IIS и ASP обеспечивает поддержку распреде-ленных приложений. По существу, IIS координирует работу прило-жения по созданию СОМ-объектов и последующего доступа к дан-ным, что необходимо для создания ответа на запрос.

Развертывание и синхронизация прикладногоинформационного наполненияРазвертывание приложения подразумевает процесс перемещения со-вокупности кода из одной распределенной среды в другую. В случаеWeb-приложения в эту совокупности входят все необходимые фай-лы, СОМ-объекты, сценарии, параметры конфигурации и любые дру-гие компоненты, требуемые для поддержки работы приложения.

В идеале процесс развертывания выполняется в три этапа с созда-нием трех распределенных сред — среды разработки, тестирования ирабочей среды (рис. 9-3). Информационное наполнение создается всреде разработки и управляется в рабочей среде, где следует позабо-титься о синхронизации изменений в рамках кластера для обеспече-ния однородности информационного наполнения на всех его узлах.

Предусмотрено много инструментов развертывания прикладногоинформационного наполнения. Например, в Microsoft ApplicationCenter 2000 есть мастер New Deployment Wizard, позволяющий раз-вертывать приложения в указанном месте с использованием инфор-мации сервера-источника. Подобные средства позволяют системнымадминистраторам создавать безопасный и одновременно удобныйбуфер между средой тестирования и рабочей средой.

Определение сфагегии развертываний Шеи-приложения

Разработка

I

J -•-

1 .11

«я*?

Тестирование

• •

Синхронизация

Рабочая среда

•i

•а

...

Рис. 9-3. Процесс развертывания приложения

При развертывании приложений в кластерной среде необходимоучесть ряд обстоятельств:• требуется ли полностью исключить простои;• предполагаются ли запланированные простои для обслуживания

системы;• есть ли периоды времени, когда обновление создает наименьше

неудобств для пользователей.

В идеале, если запланированы остановки системы на обслужива-ние, развертывание приложений следует проводить именно в это вре-мя. Однако это не годится для организаций, которым требуется вы-

сокая доступность. В такой ситуации выбирается время, когда в сис-теме меньше всего пользователей.

Следует также учесть тип развертываемого приложения. Прило-жению с компонентами СОМ+ необходима стратегия, отличная отприложения со статическим информационным наполнением. В сле-дующих разделах рассказывается об особенностях развертыванияприложений со статическим содержимым и приложений СОМ+.

Развертывание приложений со статическим наполнениемПри развертывании приложения, содержащего только статическиеWeb-страницы и графику, не придется перезагружать Web-службы, таккак в приложении нет никаких ISAPI-фильтров или компонентовСОМ+, которые в этом нуждаются. Это существенно удобнее, чем приналичии приложений с ISAPI-фильтрами или компонентами СОМ+.

В большинстве случаев для развертывания приложения со стати-ческим содержимым достаточно одной операции копирования с про-межуточного сервера на контроллер Web-кластера и оттуда — на дру-гие члены кластера. Некоторые административные приложения, та-кие, как Application Center 2000, выполняют репликации автоматичес-ки, в процессе синхронизации узлов кластера. Однако вы вправе зап-ретить автоматическую синхронизацию в кластере и после заверше-ния развертывания вручную синхронизировать новое приложение ирамках всего кластера.

В некоторых случаях необходимо предотвратить одновременноеобслуживание клиентов и обновление содержимого на отдельных не-достаточно мощных членах кластера. В таком случае узел исключаютиз цикла балансировки нагрузки, синхронизируют кластер и возвра-щают узел в сеть.

Развертывание приложений СОМ+В процессе развертывания приложения СОМ+ Web-службы на целе-вых компьютерах перезапускаются. Таким образом, невозможно раз-вернуть приложение СОМ+, не нарушив существующих клиентскихподключений, поэтому эту операцию следует планировать на время,когда в системе работает меньше всего пользователей.

Развертывание приложений с компонентами СОМ+ в Web-клас-тере выполняется в несколько этапов.1. Удаление контроллера кластера и одного члена кластера из цикла

балансировки нагрузки.2. Развертывание приложения на этих двух компьютерах.3. Перезагрузк служб и возвращение обоих серверов в сеть с балан-

сировкой нагрузки.4. Повтор процедуры с остальными узлами кластера.

Развертывание приложения на Web-кластере и отдельном класте-ре приложений СОМ+ выполняется в два этапа.1. Развертывание объектов СОМ+ в кластере приложений СОМ+.2. Развертывание оставшейся части приложения в Web-кластере.

Объекты СОМ+ обычно развертываются сначала на контроллере,а затем отдельно на каждом узле кластера. Если на Web-кластере при-меняется служба CLB, при развертывании объекты СОМ+ необходи-мо удалить контроллер COM4- или член кластера из списка маршру-тизации. После развертывания компонентов сервер обязательно воз-вращают в список маршрутизации. Завершив развертывание объек-тов СОМ+, развертывают остальную часть приложения в Web-клас-тере, применяя описанные чуть раньше приемы установки приложе-ния с компонентами СОМ-К

Принятие решенияПри интеграции распределенных приложений в Web-среде требуетсяучитывать размещение компонентов, поддерживающих эти приложе-ния и способ развертывания прикладного информационного напол-нения. В таблице 9-3 перечислены решения, принимаемые в процес-се планирования распределенных приложений,

Таблица 9-3. Интеграция распределенных приложений

Решение Описание

Определение местопо- Web-приложения распределены по несколькимложения компонентов, уровням: представления, бизнес-логики и дан-поддерживающих ных. Первый уровень— это клиентский браузер,распределенные выполняющий роль пользовательского интерфейсаприложения с приложениями и данными. Уровень бизнес-

логики содержит Web-службы, ASP, файлы иобъекты, поддерживающие бизнес-логикуорганизации. Уровень данных обеспечиваетхранение данных приложения

Разработка стратегии Стратегия развертывания должна учитывать,развертывания планируется ли время от времени останавливатьи синхронизации систему для обслуживания или обслуживаниеприложения выполняется без остановки системы во время ра-

боты наименьшего числа пользователей в ней.Кроме того, стратегии развертывания различаютсядля приложений, содержащих только статическоесодержимое, и приложений с компонентамиСОМ+

РекомендацииОпределяя, где размещать компоненты, поддерживающие распреде-ленные приложения, необходимо определить требования приложенияи использовать их при проектировании распределенной среды. На-пример, все ХУеЬ-приложенгя размещаются на уровне представленияи уровне бизнес-логики. Как минимум, клиентский браузер (уровеньпредставления) должен иметь доступ к службам, предоставляемымUS-серверов (уровень бизнес-логики). Уровень бизнес-логики содер-жит HTML-страницы, ASP-страницы или и те, и другие, а также ста-тическое наполнение, например графику. Этот уровень также содер-жит любые серверные технологии, поддерживающие приложение.Если приложению требуется доступ к данным, в проекте необходимопредусмотреть уровень данных.

При планировании стратегии развертывания Web-приложений вконкретной распределенной среде прежде всего следует подумать оразвертывании приложения во время планового простоя. Если этоневозможно, придерживайтесь следующих рекомендаций:• при развертывании приложения со статическим содержимым ус-

танавливайте приложение с промежуточного сервера на контрол-лер Web-кластера, а оттуда — на остальные узлы кластера;

• при развертывании на Web-кластере приложения с компонентамиСОМ+ развертывайте приложения на одном или двух членах кла-стера за один раз, начиная с контроллера;

• развертывание приложения с компонентами СОМ+ на Web-клас-тере и отдельном кластере приложений СОМ+ выполняйте в дваэтапа: разверните объекты СОМ+ на уровне приложения СОМ+,а затем остальную часть приложения на Web-уровне.

Пример. Распределенное приложение для компанииTrey ResearchВ компании Trey Research планируют внедрить Web-службы для под-держки своих клиентов. Предполагается разработать приложение,обеспечивающее клиентам доступ к информации базы данных. При-ложение создается в многоуровневой архитектуре, как описано в таб-лице 9-4.

Таблица 9-4. Приложение Trey Research

Уровень Описание

Уровень предстаапенил

Уровень бизнес-логики

Уровень данных

Клиентский уровень, предусматривающийдоступ к Web-сайту посредством браузера.Для проверки правильности введенныхпользователем данных в форму применяетсяисполняемый на стороне клиента сценарий

На этом уровне размещается US-сервер. Дляобработки клиентских запросов применяетсятехнология ASP. ASP вызывает объектыСОМ+, которые, в свою очередь, обеспечиваютдоступ к базе данных. Объекты СОМ+ распо-лагаются на Web-кластере

Уровень содержит SQL Server, на которомразмещаются данные

На рис. 9-4 показано размещение компонентов в среде поддержкиобработки клиентских запросов и обработки приложений.

Web-клиент

ASP-файл

ASP-файл

ASP-файл

Сценарий на сторонеклиента проверяетвводимые данные

Приложение раз-мещается на IIS. ASPобрабатывает кли-ентские запросы ивызывает объектыСОМ+. ОбъектыСОМ+ запрашиваютданные из базы дан-ных SQL Server

Уровеньпредставления


Уровеньбизнес-логики

Данные хранятсяв базе данныхSQL Server

SQL ServerУровень данных

Рис. 9-4. Приложение для компании Trey Research

РезюмеИнтегрируя приложение в распределенную среду, необходимо учи-тывать, расположение компонентов приложения, а также предусмот-реть процедуры развертывания и синхронизации приложения. В рас-пределенном приложении задачи разносятся по логическим уровнямс целью изоляции групп функций. Большинство многоуровневых си-стем состоит из трех уровней: представления, бизнес-логики и дан-ных. Распределенная модель опирается на характерные для исполь-зуемых в приложениях технологи, которые располагаются на уровнепредставления (например, элементы управления ActiveX) или науровне бизнес-логики (например, ASP). ASP расширяет базовые фун-кции IIS, обеспечивая связь с СОМ-архитектурой. Совместная рабо-та IIS и ASP обеспечивает поддержку распределенного приложения,При развертывании приложений в кластерной среде следует учиты-вать, планируется ли время от времени останавливать систему дляобслуживания, или обслуживание выполняется без остановки систе-мы во время работы наименьшего числа пользователей в ней. Следу-ет также принимать во внимание тип развертываемого приложения.Процедура развертывания приложения с компонентами СОМ+ от-личается от развертывания приложения, содержащего только стати-ческое информационное наполнение.

М, РазвертываниеWeb-приложения

Для продвижения своих услуг компания Trey Research плани-рует развернуть Web-приложение. Оно должно состоять толь-ко из статического наполнения. Никаких объектов СОМ+ илиIS API-фильтров применять не предполагается. После разра-ботки приложение развернули на тестовом сервере. Вы долж-ны определить стратегию развертывания приложения в рабо-чей среде, которая состоит из четырехузлового Web-кластера,Для балансировки нагрузки на кластере применяется службабалансировки сетевой нагрузки (Network Load Balancing, NLB)и Application Center 2000. Роль Web-службы на всех узлах вы-полняет IIS. Поскольку Web-сайт поддерживает другие при-ложения высокой доступности, плановых простоев не пред-полагается. Необходимо развернуть новое приложение с ми-

. нимальными нарушениями текущей работы.

1. Из каких операций состоит первый этап развертывания?

2. Из каких операций состоит второй этап развертывания?

3. Как выбранная методика развертывания отразится на работе Web-служб?

Занятие 2, Проектирование стратегииинтеграции базы данныхв Web-среде

На предыдущем занятии вы познакомились со средой распределен-ных многоуровневых приложений. Один из компонентов этой сре-ды— уровень данных. Он обеспечивает хранение данных приложе-ний, обслуживающих клиентские запросы. Для поддержки запросовMicrosoft предоставляет три технологии доступа к данным; ODBC(Open Database Connectivity), OLE DB и ActiveX Data Object (ADO),ASP и СОМ-компоненты способны использовать эти технологии длядоступа к информации, хранимой в локальных источниках данных,например в базе данных SQL Server. На этом занятии вы узнаете отехнологиях ODBC, OLE DB и ADO и о том, как применять ASP иСОМ-компоненты для доступа к источнику данных. Кроме того,здесь рассказывается о последовательности шагов при планированиистратегии интеграции.

Изучив материал этого занятия вы сможете:J объяснить, как технологии ODBC, OLE DB и ADO

применяются для подключения к различными источникамиданных;

•S описать последовательность действий, необходимых дляиспользования ASP и СОМ-компонентов для доступак данным;

S описать шаги интеграции базы данных в существующейWeb-среде.

Продолжительность занятия - 30 минут

Доступ к базе данных из Web-приложенийВ процессе предоставления пользователям достоверной информациимногие современные Web-приложения применяют реляционную базуданных (например, на SQL Server) или другую систему хранения дан-ных. Необходимость поддержки-взаимодействия с пользователем исложность приложений обуславливает необходимость иметь способ,который обеспечил бы простоту доступа и изменения данных. Mic-rosoft предоставляет несколько технологий, облегчающих доступ кданным, в том числе ODBC, OLE DB и ADO (таблица 9-5).

Занйтне 2 Проектирование стратегам интеграции йазы данных ggg

Таблица 9-5. Технологам доступа к данным

Технология Описание

ODBC Стандартный метод доступа к данным в реляционныхбазах данных. Хотя протокол ODBC быстр и легок,он слишком обший и не оптимизирован для конк-ретных источников данных

OLE DB OLE DB, как и ODBC, считается открытой специфи-кацией. Это набор СОМ-интерфейсов, поддержи-вающих подключение к любому источнику данных,в том числе к реляционным, таким, как SQL Server,и нереляционным источникам данных, таким, какэлектронные таблицы Microsoft Excel, массивы сооб-щений электронной почты и текстовые файлы. Ра-ботая в составе ADO, технология предоставляет доступк базам данных, базам с индексно-последователънымметодом доступа (Indexed Sequential Access Method,ISAM), текстовым или иерархическим источникамданных

ADO ADO — это набор объектов, предоставляющихатрибуты и методы для связи с источником данныхOLE DB, общая модель доступа к OLE DB изпрограмм. ADO отлично поддерживает серверныесценарии, поэтому рекомендуется для доступа кданным из ASP-приложений

Серверным ASP и СОМ-компонентам доступны ADO-объекты,использующие провайдеры OLE DB для связи с источником данных.Провайдер (provider) — это компонент, позволяющий ADO получитьдоступ к данным стандартным способом, то есть через интерфейсыOLE DB. Провайдер управляет доступом к источнику данных. Рис. 9-5 иллюстрирует схему доступа из ASP и СО М-компонентов к даннымбазы данных SQL Server. Провайдер OLE DB, используемый для дос-тупа к данным базы SQL Server, называется SQLOLEDB.

Планирование стратегии интеграции базы данных и Web-прило-жения выполняется в несколько этапов — настройка разрешений,оптимизация подключений к базе данных, использование хранимыхпроцедур для управления данными, управление файлами данных имасштабирование базы данных.

На этом занятии рассматриваются только решениях, ра-ботающие на стороне сервера, — они не зависят от браузера, что пред-

почтительнее в средах с множеством разнотипных браузеров, напримерв Интернете. Тем не менее Microsoft поддерживает технологии, облегча-ющие программирование клиентских приложений, такие, как RemoteData Service (RDS). Подробнее о них рассказано в комплекте ресурсовMicrosoft Windows 2000 Server Resource Kit или на Web-странице hitp://www. microsoft. com/windows20QO.

ASP

COM-компонент

ADO

OLEDB{провайдер SQLOLEDB)

База данных SQL Server

Рис. 9-5. Доступ к данным базы SQL Server

Настройка разрешенийЧтобы приложение получило доступ к данным из базы данных, необ-ходимо сначала правильно настроить разрешения. Это особенно важ-но, когда база данных (например, SQL Server) и US-сервер распола-гаются на различных компьютерах, — стандартная ситуация в распре-деленных средах. В среде Windows 2000 по умолчанию для подключе-ния к SQL Server используются именованные каналы. Именованныйканал (named pipe) — это высокоуровневый механизм межпроцессно-го взаимодействия между компьютерами в сети. Именованные кана-лы предоставляют ориентированный на подключения механизм об-

мена сообщениями. Однако в большинстве случаев тип подключенияизменяют на Transmission Control Protocol/Internet Protocol (TCP/IP)или другой протокол без поддержки аутентификации.

До предоставления доступа к именованному каналу и затем к базеданных SQL Server должен проверить полномочия клиента одним издвух способов:• выполнить аутентификацию в стиле рабочих групп — на сервере и

на клиентском компьютере создаются учетные записи пользова-телей с идентичной парой «имя пользователя + пароль»;

• выполнить доменную аутентификацию, когда клиент и сервер от-носятся к одному домену.

При проверке допустимости подключения компьютер с SQL Ser-ver использует контекст пользователя, связанного с Web-подключе-нием. Для поддержки анонимных подключений необходимо поза-ботиться о гостевой учетной записи, соответствующей учетной за-писи l\J$R_<UMn_KOMnbtomepa> и предоставлении этой учетной за-писи разрешения на вход в систему компьютера базы данных. Извес-тно множество методов поддержки анонимного входа в систему, в томчисле:• добавление учетной записи Ш$К_<имя_компьютера> в локальную

базу данных пользователей компьютера SQL Server;• разрешение входа под учетной записью Guest (Гость) в систему

компьютера с SQL Server.

Вы также вправе настроить систему для поддержки аутентифика-ции пользователей, Например, если при настройке IIS указать необ-ходимость использования встроенной аутентификации Windows, IISпопытается установить подключение с SQL Server, используя кон-текст безопасности пользователя. Так же как и для анонимного пользо-вателя, при этом реализуется попытка задействовать именованныйканал для подключения к компьютеру с SQL Server, если SQL Serverи IIS расположены на разных машинах. Обнаружив попытку исполь-зования именованного канала, открытого в контексте другого пользо-вателя, Windows 2000 закрывает канал в соответствии с текущимиполитиками безопасности. Чтобы этого не произошло, для связи меж-ду компьютерами с IIS и SQL Server следует применять протокол безаутентификации, например TCP/IP.

Обратите внимание, что в среде высокой доступности SQL Ser-ver 2000 часто устанавливается в кластере, обслуживаемом службойкластеров (Cluster service). В настоящее время в Windows 2000 клиен-ты не в состоянии использовать протокол Kerberos для аутентифика-ции подключений к виртуальному серверу кластера. Когда не удается

применить протокол Kerberos, клиенты пытаются пройти аутентифи-кацию по протоколу Windows NT LAN Manager (NTLM), (SQL Ser-ver 2000 поддерживает аутентификацию NTLM.) He следует отклю-чать NetBIOS поверх TCP/IP или запрещать аутентификацию NTLMна клиентских компьютерах, подключающихся к виртуальному сер-веру кластера.

Оптимизация подключении к базе данныхУправление подключениями к базе данных в распределенных Web-приложениях иногда весьма сложно для администратора. Процессоткрытия и поддержки подключения в некоторых случаях занимаетслишком много ресурсов на сервере БД, даже если при этом никакойинформации не передается. Это отрицательно сказывается на произ-водительности подключения. В таблице 9-6 описаны этапы оптими-зации подключений с базой данных.

Таблица 9-6. Оптимизация подключений к БД


Повышение произво-дительности прило-жения на SQL Server

Настройка тайм-аутаподключения

Закрытиеподключений

Совместное исполь-зование активныхподключений

Увеличение размеракэша записей

В реестре измените модель потоков для главныхкомпонентов ADO с Apartment на Both. Этого неследует делать, если ADO планируется использо-вать для подключения к БД Microsoft Access

Ограничьте тайм-аут подключения к базе данных.Всплеск активности иногда приводит к замедле-нию работы базы данных и увеличению времениотклика, тогда пользователям приходится дольшеждать ответа на свой запрос

Разрабатывайте приложения так, чтобы подклю-чения закрывались сразу после выполнениявозложенной на них задачи. Это позволит снизитьпотребление ресурсов базой данных и предоставитьих для обработки запросов других пользователей

Разрабатывайте приложения так, чтобы по воз-можности подключения использовались совместнои не создавались лишние подключения

Запрашивайте несколько записей за раз, чтобыувеличить пропускную способность подключения.Вы также вправе увеличить число записей,возвращаемых провайдером в локальную памятьпри каждом обращении к нему

Применение хранимых процедур для управления даннымиХранимая процедура (stored procedure) — это предварительно скомпи-лированный набор запросов, хранящийся на сервере базы данных.Хранимые процедуры упрощают разработку и ускоряют выполнениесложных запросов. Они управляют выполняемыми операциями и оп-ределяют, какие поля базы данных доступны.

Хранимые процедуры применяются для обеспечения безопаснос-ти базы данных, поскольку пользователям и приложениям предостав-ляется разрешение на исполнение хранимых процедур, но не предос-тавляется прямой доступ к таблицам и представлениям. Таким обра-зом, доступ к данным закрыт, и к ним нельзя обращаться с примене-нием инструментальных средств генерации запросов— запросы вы-полняют только серверные приложения.

Управление файлами данныхПри создании базы данных необходимо определить начальный раз-мер файлов данных, в том числе файлов данных и журналов транзак-ций. Первый способ настройки базы данных для обеспечения повы-шения производительности— корректная настройка размеров этихфайлов. В процессе установки базы данных файлы данных должныбыть достаточно большими для предотвращения интенсивных опера-ций ввода/вывода, вызванных превышением размера файлов данных.Если заданного размера файлов недостаточно, СУБД придется частоувеличивать его, что обычно снижает производительность.

Кроме начального требуется определить максимальный размерфайлов, ограниченный физическими параметрами подсистемы хра-нения данных. Например, на сервере со SCSI-дисками суммарныйразмер файлов данных не должен превышать 85% всего дисковогопространства. При превышении этого значения производительностиSCSI-дисков сильно падает.

Горизонтальное масштабирование базы данныхДля обеспечения высокой доступности и производительности Web-приложений часто применяется «горизонтальное» масштабирование(scale-out) базы данных — деление данных на разделы, кластеризацияс поддержкой перемещения при сбое и перенос журналов.

Деление данных на разделыДелением данных на разделы (partitioning) называется процесс распре-деления данных одной таблицы между несколькими таблицами наразличных серверах. После разбиения на разделы вы можете исполь-зовать распределенные поделенные на разделы представления для

доступа к этим данным. На SQL Server сначала создаются частичныетаблицы, а затем раздельные представления, в которых данные объе-диняются незаметно для пользователей и приложений — для пользо-вателей не имеет значения, составлено ли представление из данныходной или восьми таблиц— оно выглядит и ведет себя как единыйобъект. Раздельное представление обеспечивает гладкую интеграциюмеханизма доступа к данным всех частичных таблиц.

На рис. 9-6 показано, как в раздельном представлении выполня-ется доступ к данным. В представлении CustomerData используютсятаблицы Customer!, Customer2 и Customer3 — каждая таблица вноситв представление свою долю.

SQL Server 1

SQL Server 2

Рис. 9-6.

SQL Server 3

Доступ к данным с применение распределенногораздельного представления

Для нормальной работы раздельного представления необходимадоступность всех серверов, на которых хранятся частичные таблицы,используемые в представлении. Никаких встроенных средств отка-зоустойчивости разбитых на разделы представлений не предусмотре-но. При отказе одного сервера становятся недоступными все табли-цы, даже если в представлении не содержится информация, храня-шаяся на сбойном сервере.

Разбивать на разделы следует только те таблицы, для которых этооправданно. Разрабатывая план разбиения на разделы, тщательнопроанализируйте, как запрос направляется к частичным таблицам.Главной целью считается минимизация вычислительных операций,

Заншие 2 Проектирование етрашш ы ^ф^щ йазы данных '171Зч? ? I

выполняемых сервером для возвращения нужных данных. Деление наразделы связано с использованием данных.

Допустим, база данных содержит данные о клиентах и продажах, вкакой-то момент вы обнаружили, что чаще всего запрашиваются дан-ные о продажах. Неплохое решение — разбить данные на разделы погеографическому признаку. В этом случае в частичных таблицах раз-мещаются разбитые на разделы данные одного или нескольких реги-онов. Раздельное представление будет собирать данные с серверовэлемента в соответствии с тем, что запрашивается, и направит запростолько на тот сервер, где хранятся данные нужного региона.

Другой способ доступа поделенным на разделы данным называет-ся маршрутизация, основанная на данных (data-dependent routing). Онавыполняется на уровне приложения — прикладная программа опре-деляет, где расположены нужные данные, и перенаправляет подклю-чения на соответствующий сервер. Такую маршрутизацию применя-ют вместо или в комбинации с раздельными представлениями. В мар-шрутизации, основанной на данных, приложению предоставляетсяинформация, где следует искать требуемые данные.

При доступе к данным с применением распределенных раздель-ных представлений одно разбиение данных на разделы не обеспечи-вает высокой доступности. Однако два решения обеспечения высо-кой доступности можно применять в совокупности с делением наразделы — кластеры с поддержкой перемещения при сбое и переносжурналов.

Создание кластеров с поддержкой перемещения при сбоеВ SQL Server 2000 кластеризация с поддержкой перемещения при сбоебазируется на службе кластеров (Cluster service) в Windows 2000 AdvancedServer и Windows 2000 Datacenter Server. У кластера с поддержкой пере-мещения в SQL Server имеются три основных параметра:• имя виртуального сервера — имя, по которому все приложения и

клиенты обращаются к экземпляру сервера SQL Server;• IP-адрес виртуального сервера — IP-адрес (или адреса), используе-

мые во всех внешних подключениях для доступа к экземпляру сер-вера SQL Server;

• учетная запись администратора виртуального сервера — учетная за-пись службы SQL Server. Ей обязательно следует предоставитьправа администратора домена.

В SQL Server под экземпляром сервера (instance) подразумевают ус-тановленную копию SQL Server, полностью независимую от другихкопий этой программы. Однако экземпляры могут совместно исполь-зовать базовые компоненты, определяющие работу SQL Server в кла-

стерной среде. На одном сервере разрешается установить несколькоэкземпляров SQL Server.

SQL Server 2000 поддерживает два типа кластеров с поддержкойперемещения при сбое: с одним {похож на активно-пассивный клас-тер) и многими (похож на активно-активный кластер) экземплярами(таблица 9-7).

Таблица 9-7. Типы кластеров с поддержкой перемещения при сбое

Тип кластера Описание

С одним экземпляром Кластер содержит только один активныйэкземпляр SQL Server, расположенный наединственном узле. Остальные узлы кластеранаходятся в режиме ожидания. При отказеактивного узла активизируется ожидающийузел

Со многими экземплярами Кластеры этого типа поддерживают дочетырех узлов. Хотя SQL Server можетподдерживать до 16 экземпляров, нерекомендуется устанавливать более4 экземпляров (один экземпляр на узел).Один из NferaiOB управления, используемаяв таком кластере — топология типа «N+b,в которой все узлы активны. Пассивныйузел остается в резерве

Реализация переноса журналов

При внедрении базы данных в распределенном проекте необходимообеспечить ее доступность. Для этого применяют, например, такойспособ, как перенос журналов (log shipping), то есть копирование жур-налов транзакций с основного сервера SQL Server на дополнитель-ный и выполнение (по определенному графику) на последнем заре-гистрированных транзакций. При сбое основного сервера SQL Serverприложение можно перенаправить на резервный сервер. В зависимо-сти от того, какая транзакция выполнялась на резервном сервере пос-ледней, его информация окажется либо практически синхронизиро-ванной, либо будет немного «отставать» от данных основного серве-ра. Перенос журналов можно использовать в кластерах с поддержкойперемещения при сбое.

В таблице 9-8 перечислены обстоятельства; которые следует учи-тывать при планировании процедуры переноса журналов.

Размещение серверов

Связь между серверами

Таблица 9-8. Конфигурирование перемещения журналов

Стратегия Описание

Синхронизация данных Необходимо определить, как часто следуетсинхронизировать данные журналов, то естьнасколько дополнительный сервер будетотставать от основного или сколько транзакций«потеряется» в случае отказа основногосервера. По умолчанию журналы трудоврезервируются каждые 15 минут

Расположение серверов очень важно. Переносжурналов позволяет (и это рекомендуется)распределять данные журналов между различ-ными географическими местоположениями.Хотя бы основной и дополнительный серверыследует располагать в разных сетях, а пару«источник — приемник» переноса журналовбессмысленно размещать на одном сервере

Необходимо обеспечить связь в паре «источник— приемник» переноса журналов. В идеалеперенос информации журналов междусерверами необходимо осуществлять почастной локальной сети, а не по общимсетям. Также желательно оборудовать серверыболее мощными сетевыми адаптерами приусловии, что ресурсы сети это позволяют

Дополнительный сервер должен иметь такуюже мощность, как и основной — это гарантируетнормальную работу в случае сбоя основногосервера

В большинстве случаев для создания полныхрезервных копий БД применяется дополни-тельный сервер, так как он практически пол-ностью синхронизирован и лишь ненамного«отстает» от основного. Такой подход освобож-дает основной сервер от дополнительныхиздержек и перегрузки, обусловленныхпроцессом резервирования

В общем случае создание кластеров с поддержкой перемещенияпри сбое считается лучшим решением обеспечения высокой доступ-ности, чем перенос журналов (впрочем, оба способа допустимо при-

Планирование мощностидополнительного сервера

Резервированиебазы данных

менять одновременно). В частности, кластеры с поддержкой переме-щения обеспечивают высокое быстродействие и работают в автома-тическом режиме, а перенос журналов выполняется медленно и тре-бует ручного вмешательства. При сбое в кластере с перемещением всезавершенные транзакции откатываются «вперед», а при перемеще-нии — «назад». В системе с переносом журналов при сбое основногосервера последние транзакции не подлежат восстановлению. Однакоперенос журналов в среднем дешевле, чем кластеры с переносом присбое, кроме того, это обеспечивает высокий уровень защиты — прав-да, не настолько высокий, как кластеры.

Принятие решенияПроцесс проектирования интеграции базы данных в Web-решениесостоит из пяти шагов (таблица 9-9).

Таблица 9-9. Интеграция базы данных в Web-решение

Этап Примечание

Настройка разрешений

Оптимизация подклю-чений к базе данных

Применение хранимыхпроцедур для управленияданными

Управление файламиданных

Горизонтальное масшта-бирование базы данных

В процессе настройки разрешений длядоступа к данным в Web-среде следуетрешить, как пользователи будут получатьдоступ к сайту — анонимно или послепроцедуры аутентификации

При оптимизации подключений базы данныхнеобходимо позаботиться о производитель-ности приложения, тайм-аутах подключений,закрытии ненужных подключений, совместномиспользовании активных подключений иразмере кэша записей

Хранимые процедуры упрощают разработку,ускоряют выполнение сложных запросов иобеспечивают защиту данных

Производительность базы данных регулируетсяпутем определения предельных размеровфайлов данных

Чтобы при масштабировании базы данныхдостичь высокой доступности и производи-тельности, следует применять такие методы,как разбиение данных на разделы, созданиекластеров с перемещением при сбое иперенос журналов

РекомендацииВы вправе применять технологию ASP и компоненты для доступа кданным посредством ADO. Это позволяет интегрировать базу данныхс распределенными Web-приложениям и. При этом следует руковод-ствоваться следующими рекомендациями:• если пользователи подключаются к Web-сайту анонимно, необхо-

димо позаботиться о создании гостевой учетной записи, соответ-ствующей учетной записи НЗ$К_<имя_компьютера>, и предоста-вить ей нужные разрешения;

• если при входе в систему требуется аутентификация пользователя,для взаимодействия между HS и SQL Server необходимо приме-нять не поддерживающий аутентификацию протокол, напримерTCP/IP;

• чтобы оптимизировать подключения, необходимо использоватьпотоковую модель Both, ограничить тайм-аут подключения, зак-рывать ненужные и совместно использовать подключения и уве-личить размер кэша записей;

• применять хранимые процедуры для доступа к данным и проду-манно настраивать размеры файлов данных.

В дополнение к этому рекомендуется масштабировать базу дан-ных в «горизонтальном» направлении для обеспечения высокой дос-тупности данных из приложений. Чтобы облегчить эту процедуру,применяется деление на разделы. Главной целью должна быть мини-мизация вычислительных операций, выполняемых сервером для воз-вращения нужных данных.

Однако одного деления на разделы недостаточно для обеспечениявысокой доступности данных — дополнительно стоит создать класте-ры с перемещением при сбое, перенести журнаты или скомбиниро-вать эти методы. Если деление на разделы не соответствует задачаморганизации, все равно рекомендуется создать кластеры или обеспе-чить поддержку переноса журналов. При необходимости гарантиро-ванно высокой доступности, предпочтительнее применять кластеры,так как они обеспечивают самое быстрое и максимально автоматизи-рованное перемещение при сбое, а также выполняют эти операции«прозрачно» с точки зрения пользователей и приложений.

Пример. Интеграция базы данных для компанииMargie's TravelСпециалисты компании Margie's Travel развертывают Web-сайт, что-бы обеспечить информационную поддержку клиентам компании.Большая часть информации генерируется динамически на основе

376

данных, хранящихся в БД. Клиенты получают возможность искать насайте нужную информацию.

Для выполнения перечисленных функций на сайте и для доступак базе данных SQL Server используются ASP-приложения и компо-ненты СОМ+, Для доступа к данным из приложений применяютсяхранимые процедуры, Решение создано на основе трехуровневой то-пологии (рис. 9-7).

«• .' г• '

/т г\i-> ь ther

T-JI

iet ;

Web-кластерI IS с ASPкомпонентами СОМ+

Кластер данныхАктивный btt-4 Ьщр Резервный SQLServer

Узел узел Кластер с однимэкземпляромБД и поддержкойперемещенияпри сбое

Рис. 9-7. Интеграция базы данных в распределенной среде

Уровень бизнес-логики состоит из Web-кластера на базе IIS с ASP.На этом же Web-кластере расположены компоненты СОМ+. Базаданных SQL Server размещена на уровне данных — кластер с однимэкземпляром базы и поддержкой перемещения при сбое. Один узелсконфигурирован как активный экземпляр SQL Server, а второй — какрезервный экземпляр SQL Server. Серверы кластера одинаковы, илюбой легко справится с пиковым трафиком запросов. Пользователивходят в систему анонимно, поэтому на компьютерах SQL Server на-строена соответствующая гостевая учетная запись.

РезюмеДля поддержки запросов Microsoft предоставляет три технологии до-ступа к данным: ODBC, OLE DB и ADO. ASP и СОМ-компонентыприменяют эти технологии для доступа к информации, хранимой влокальных источниках данных. Чтобы приложение получало доступк данным из базы, необходимо сначала правильно настроить разре-шения. Метод обеспечения безопасности доступа к данным зависитот того, какой выбран способ доступа пользователей к сайту — ано-нимный или с необходимостью аутентификации. Для оптимизацииподключений рекомендуется использовать потоковую модель Both,ограничить тайм-аут подключения, закрывать ненужные и совместноиспользовать подключения и увеличить размер кэша записей. Длядоступа к данным рекомендуется активно применять хранимые про-цедуры, так как они упрощают разработку, ускоряют выполнениесложных запросов и обеспечивают защиту данных. При интеграциибазы данных необходимо позаботиться о настройке файлов данных —определить начальный и максимальный размеры. Для «горизонталь-ного* масштабирования базы данных и достижения высокой доступ-ности и производительности применяют такие методы, как разбие-ние данных на разделы, создание кластеров с перемещением при сбоеи перенос журналов. Деление на разделы — это процесс распределе-ния данных одной таблицы между несколькими одинаковыми табли-цами, размещаемыми на различных серверах. Кластеры с перемеще-нием при сбое базируются на службе кластеров Windows 2000 и обес-печивают перемещение и восстановление после сбоя службы базыданных. Перенос журналов — это копирование журналов транзакцийс основного сервера SQL Server на дополнительный и выполнение (поопределенному графику) на последнем зарегистрированных транзакций.

1нг 9-2. Деление данных на разделыв БД SQL Server

Издательство Lucerne Publishing хранит большой объем дан-ных в одной БД SQL Server, поэтому в пиковые часы произ-водительность резко падает. Будучи сетевым администрато-ром, вы решили разбить данные на разделы, чтобы системасмогла выполнять больше операций в пиковые часы. Плани-руется разнести данные на три экземпляра SQL Server. Одна-ко требуется сохранить существующую высокую доступностьсайта. Выделенные деньги позволяют приобрести шесть оди-наковых серверов. Вы решили использовать все шесть компь-ютеров для создания трех кластеров с одним экземпляромбазы данных и поддержкой перемещения при сбое.

1. Как установить кластеры с поддержкой перемещения при сбое?

Одна из таблиц в базе данных называется Customers .(«клиенты»).Вы разбили таблицу на три кластера на основании региона, в кото-ром находится клиент. Компания обслуживает шесть регионов, по-этому каждый раздел содержит данные о двух регионах. Однако ASP-приложение должно уметь получать данные о клиентах всех трех ре-гионов.2. Какие методы разрешается применить в приложении для доступа

к данным?

Руководство распорядилось установить только четыре компьюте-ра под управлением Windows 2000 Datacenter Server. Тем не менее вырешили не отказываться от деления данных на три раздела и обеспе-чении перемещения при сбое.3. Как следует сконфигурировать кластер с поддержкой перемеще-

ния при сбое?

Занятие 3, Проект интеграции сервераMicrosoft Exchangeв Web-решении

Exchange 2000 Server тесно поддерживает Web-технологии. IIS-сервернеобходим на всех компьютерах, где установлен Exchange 2000 Server.IIS поддерживает клиентские протоколы и управляет всеми клиентс-кими запросами по протоколам HTTP, POP3,1МАР4, NNTP и SMTP.Все протоколы Exchange 2000 работают в процессе US. На протоколеHTTP в Exchange 2000 базируется механизм распределенного созданияи управления версиями информационного наполнения Web DistributedAuthoring and Versioning (WebDAV), обеспечивающий богатые воз-можности совместной работы с системой хранения данных Web StorageSystem Web в Exchange. Благодаря взаимодействию с IIS, Exchangeобеспечивает Web-доступ к своим службам электронной почты, ко-торый осуществляется через компонент Microsoft Outlook Web Accessсервера Exchange. На этом занятии рассказывается об Outlook WebAccess и этапах проектирования интеграции Exchange для обеспече-ния возможности обмена сообщениями средствами Web-браузера.

Изучив материал этого занятия, вы сможете;"S перечислить возможности обмена сообщениями средствами

Web-браузера с применением компонента Outlook WebAccess;

s создать стратегию развертывания сервера Exchange 2000в Web-сред.


Компонент Outlook Web AccessКомпонент Outlook Web Access позволяет пользователям получатьдоступ к своим почтовым ящикам практически из любой точки, гдеесть доступ к Интернет. Поскольку доступ осуществляется через бра-узер, он не зависит от ОС или местоположения, кроме того, на кли-ентских компьютерах не нужно устанавливать специальную програм-му электронной почты.

Outlook Web Access поддерживает различные Web-браузеры, в томчисле Netscape Navigator версии 4.08 и более поздних. Internet Exp-lorer 4.01 с пакетом исправлений Service Pack 1 и Internet Explorer вер-

сии 5 и более поздней. В случае использования Internet Explorer 5обеспечивается практическая полная аналогия функций MicrosoftOutlook. Outlook Web Access поддерживает такие функции, как панельпредварительного просмотра, инструмент «перетащить и опустить»,редактирование HTML-текста и контекстное меню, доступное пощелчку правой кнопки мыши.

Поддерживаются браузеры, отличные от Internet Explorer 5 Web,при условии, что они поддерживают стандарт HTML 3.2 и JavaScript.Однако в них недоступны некоторые функции, предоставляемыеInternet Explorer 5. Но даже при использовании Internet Explorer 5 под-держиваются не все функции оригинальной программы, напримернельзя работать в оффлайновом режиме, создавать правила Outlookили управлять задачами и записями журнала.

При обращении пользователя к объекту в Outlook Web Access про-исходит ряд событий (рис. 9-8).1. Пользователь обращается к почтовому ящику, вызывая URL-ад-

рес, и щелкает сообщение, чтобы открыть его.2. Процессор обработки запросов IIS вызывает ISAPI-расширение

Exchange HTTP, которое анализирует информацию запроса и оп-ределяет, какое действие следует выполнить.

3. US-сервер определяет, есть ли у пользователя права на получениедоступа к выбранному элементу.

4. Расширение анализирует нужную форму и запрашивает привязкуданных в подсистеме хранения данных Web Storage System,

5. Подсистема Web Storage System возвращает данные в ISAPI-рас-ширение Exchange HTTP.

6. ISAPI-расширение превращает данные в HTML- или XML-код взависимости от типа и версии браузера и возвращает их клиенту.

Outlook Web Access использует IIS для приема и передачи запро-сов к подсистеме Web Storage System, которая отвечает за управлениедокументами, отправкой сообщений по электронной почте, Web-страницами, потоками мультимедиа, элементами данных и другимиэлементами слабоструктурированной иерархической базы данных. ВOutlook Web Access не используется протокол MAPI для связи с хра-нилищем данных и ASP для доступа клиентов, Для связи с OutlookWeb Access клиенты применяют HTTP и WebDAV.

Для интеграции Outlook Web Access в Web-среду необходимо оп-ределить топологию Exchange, обеспечить доступность системы испланировать механизм аутентификации при Web-доступе.

ActiveDirectory

Сервер Exchange

ISAPI-pac-ширениеExchange

HTTP

Ш Подсистемахраненияданных WebStorage F-System 1

Рис. 9-8. События, происходящие при обращении к объекту в OutlookWeb Access

Определение топологии ExchangeПри проектировании топологии Exchange возможны два варианта:установка Exchange в среде с единственным сервером или с несколь-кими серверами.

В первом случае клиент напрямую подключается к компьютеру сExchange 2000 Server, на котором размещен его почтовый ящик. Не-обходимо создать виртуальный корень Exchange и открытый вирту-альный корень HS, который указывает на соответствующие каталогив Exchange.

Хотя среда с единственным сервером требует меньше оборудова-ния и усилий по администрированию, она ограничивает эффектив-ную интеграцию Exchange 2000 Server в корпоративной среде и выборметодом обеспечения высокой доступности. Допустим, что необхо-дима поддержка подключений по протоколу SSL. Операции шифро-вания и расшифровки существенно нагружают процессор. Если хра-нилище данных располагается на том же сервере, все операции об-служивает один процессор, поэтому становится труднее повыситьпроизводительность операций любых типов.

Достижение отказоустойчивости в среде с единственным серве-ром — довольно сложная задача, потому что приходится одновремен-но решать проблемы балансировки нагрузки и управления хранили-щем данных.

С другой стороны, многосерверная среда обеспечивает большуюгибкость, безопасность и высокую доступность. В такой среде с кли-ентом взаимодействует интерфейсный сервер, который затем обра-

щается за выполнением запрошенных клиентом операций ко внут-реннему серверу. Последний хранит данные. Рис. 9-9 иллюстрируетструктуру среды со многими серверами.

Клиент

Интерфейсный серверExchange

Частная корпоративная сеть

Внутренний серверExchange

Рис. 9-9. Структура Exchange в среде со многими серверами

Среда со многими серверами обеспечивает ряд преимуществ:• в многосерверной модели поддерживается единое пространство

имен. Можно разместить группы пользователей в серверной час-ти системы и одновременно обеспечить им доступ к интерфейс-ному серверу по его единому имени;

• удается изолировать внутренние серверы от атак, расположив ихза брандмауэром или в отдельной подсети. Интерфейсные серве-ры можно оборудовать двумя сетевыми адаптерами один для дос-тупа к Интернету, а другой для безопасного доступа к внутреннейЛВС;

• наличие многих серверов позволяет разнести вычислительные за-дачи. Интерфейсные задачи выполняют на компьютерах, отличныхот внутренних компьютеров обработки данных. Например, вычис-ления для поддержки протокола SSL можно выполнять только наинтерфейсных серверах, а для внутреннего трафика между интер-фейсными и внутренними серверами не применять SSL .

Многосерверная модель проще масштабируется «горизонтально»,и в ней легче обеспечить отказоустойчивость. Например, использо-вать службу балансировки сетевой нагрузки Windows 2000 на интер-фейсном кластере и службу кластеров Windows 2000 — на внутреннемкластере для поддержки перемещения при сбое к базе данных.

Обеспечение доступности системыСама по себе многосерверная модель (рис. 9-9) не обеспечивает от-казоустойчивости. Однако имеющимися в Windows средствами клас-теризации (службы NLB и кластеров) удается превратить Outlook WebAccess в высокодоступное для Web-пользователей решение (рис. 9-10).

Служба LB балансирует трафик на интерфейсных компьютерах ссервером Exchange. При сбое одного из серверов нагрузка перерас-пределяется между остальными серверами кластера. До установкиExchange 2000 Server на интерфейсном кластере необходимо устано-вить и сконфигурировать службу NLB.

Служба кластеров обеспечивает перемещение при сбое во внут-реннем кластере. При перемещении при сбое с одного сервера в кла-стере выполнение службы подхватывают другие компьютеры. В про-цессе конфигурирования службы кластеров на каждом узле нужносоздать по крайней мере один виртуальный сервер. Виртуальные сер-веры управляет одним или нескольким группами хранения данных.Группа хранения данных — это набор баз данных Exchange с общимижурналами транзакций. В каждой группе не больше пяти баз, и Exc-hange Server поддерживает не более четырех групп хранения. Такимобразом, следует позаботиться, чтобы при переходе при сбое на каж-дый из оставшихся узел не приходилось более четырех групп хране-ния.

Допустим, каждый из узлов двухузлового кластера поддерживаетдве группы хранения. При сбое одно сервера оставшийся узел дол-жен поддерживать работу четырех групп хранения. Это нормально,но проблемы возникнут, если на узлах разместить по три группы.

1Клиент

NLB-кластерс интерфейснымикомпонентамиИ8и Exchange

, Частная ЛВС

=

г1

ЭЯЗ-. ..

Кластерсо службойкластерови внутреннимикомпонентамиIIS и Exchange

Рис. 9-10. Многосерверная конфигурация Exchange со службой NLBи службой кластеров

Механизм аутентификации при Web-доступеOutlook Web Access поддерживает две формы аутентификации пользо-вателя: базовую и интегрированную аутентификацию Windows. OutlookWeb Access также поддержинает шифрование по протоколу SSL и ано-н и м н ы й доступ.

Базовая аутентификацияБазовая аутентификация (basic authentication) предусмотрена в спе-цификации протокола HTTP. Этот наиболее гибкий тип аутентифи-кации обычно применяете!! в интрасети. Базовую аутентификациюподдерживают большинство браузеров, и она не зависит от аппарат-ной платформы. Однако она не считается безопасной, так как паролипересылаются на сервер открытым текстом. Для аутентификации в

Outlook Web Access по базовому механизму пользователю придетсяввести свое имя, имя домена и пароль при каждом входе в систему.

Интегрированная аутентификация Windows

При интегрированной аутентификации Windows можно использоватьпротокол Kerberos или NTLM. Первый поддерживается в среде Win-dows 2000 и при условии применения Internet Explorer5. такая кон-фигурация обеспечивает высокую безопасность, эффективную связьи прозрачность доступа. В других клиентских конфигурациях задей-ствуют NTLM. Интегрированная аутентификация Windows невоз-можна, когда сервер Exchange обслуживает и интерфейсную, и сер-верную части.

Шифрование по протоколу SSL

Шифрование по протоколу SSL обеспечивает самый высокий уровеньбезопасности и удобство взаимодействия клиентов и серверов, так каквся информация сеанса связи шифруется. Вообще говоря, SSL — немеханизм аутентификации; он обеспечивает безопасный канал связидля других механизмов аутентификации, например для базовой аутен-тификации, кроме того, большинство браузеров поддерживает SSL.Хотя SSL требователен к ресурсам сервера, при наличии и интерфей-сной, и серверной частей интерфейсные серверы обычно применя-ются для обслуживания SSL.

Анонимный доступ

При анонимном доступе пользователям не нужно проходить аутен-тификацию, и для них не требуется создавать учетные записи. Ано-н и м н ы й доступ поддерживают все браузеры, и процедуры админист-рирования существенно проще.

Принятие решенияOutlook Web Access применяется для предоставления пользователямдоступа к их электронной почте через Web. До установки этой службывы должны определить топологию Exchange, обеспечить доступностьсистемы и выбрать механизм Web-аутентификации (таблица 9-10).

РекомендацииПри планировании развертывания службы Outlook Web Access необ-ходимо предусмотреть создание многосерверной среды. Кроме того,рекомендуется создать NLB-кластер в интерфейсной части сети пе-риметра и кластерного со службой кластеров во внутренней частисети периметра, а также позаботиться о поддержке SSL в совокупно-сти с базовой аутентификацией для проверки подлинности пользова-телей.

14-4791

Таблица 9-10. Установка Outlook Web Access

Задача Примечание

Определение топологииExchange

Обеспечениедоступности службы

ПланированиеаутентификацииWeb-доступа

Exchange 2000 устанавливается в одно- илимногосерверной среде. В первом случае клиентнапрямую подключается к Exchange 2000 Server,на котором хранятся почтовые ящики. В этойконфигурации ограничена возможность эф-фективного развертывания сервера Ехс- ,hange 2000 в конкретной среде и выбор методаобеспечения высокой отказоустойчивости.В многосерверной среде с клиентом взаимо-действует интерфейсный сервер, который за-тем обращается за выполнением запрошенныхклиентом операций ко внутреннему серверу.Многосерверная среда обеспечивает большуюгибкость, безопасность и высокуюдоступность

Чтобы обеспечить высокую доступностьмногосерверной среды, создают два кластера —интерфейсный со службой NLB ивнутренний со службой кластеров

Outlook Web Access поддерживает две формыаутентификации пользователя: базовую и ин-тегрированную аутентификацию Windows.Outlook Web Access также поддерживает шиф-рование по протоколу SSL и анонимный дос-туп. Интегрированная аутентификация Windowsневозможна, когда сервер Exchange обслужи-вает и интерфейсную, и серверную части

Пример. Организация Web-доступа к почтовымящикам в компании Northwind TradersКомпания Northwind Traders предоставляет своим сотрудникам дос-туп к электронной почте. Некоторые сотрудники часто перемещают-ся по роду службы и не всегда могут применять модемные подключе-ния. Для решения этой проблемы администраторы компании уста-новили в Exchange 2000 Server службу Outlook Web Access, котораяпозволяет сотрудникам проверять электронную почту из любой точ-ки, где есть доступ к Интернету — из аэропортов, Интернет-кафе илигостиниц.

Проект интеграции сервере Microsoft Exchange

Чтобы сотрудники, путешествующие по миру, могли обратиться кэлектронной почте в любое время суток и день недели, необходимообеспечить высокую доступность и надежность доступа к электрон-ной почте. По этой причине решено использовать мнгосервернуюсреду кластерами на базе технологий кластеризации Windows (рис. 9-11). Кроме того, предусмотрены избыточные каналы связи и компо-ненты для исключения точек критического сбоя.

Клиентский компьютер




NLB-кпастерс IISи интерфейснымикомпонентами Exchange


Кластер под управлениемслужбы кластеров с IISи внутреннимикомпонентами Exchange

Рис. 9-11. Система Web-доступа к электронной почте в компанииNorthwind Traders

РезюмеExchange 2000 Server поддерживает службу Outlook Web Access, кото-рая позволяет пользователям получать доступ к своим почтовым ящи-кам посредством браузера, что обеспечивает независимый от типа ОСили местоположения доступ к почте. В процессе внедрения OutlookWeb Access необходимо определить топологию Exchange, обеспечитьдоступность системы и выбрать механизм Web-аутентификации. Воз-можны две топологии Exchange: одно- или многосерверная. В пер-вом случае клиент напрямую подключается к Exchange 2000 Server, накотором хранятся почтовые яшики. В многосерверной среде с клиен-том взаимодействует интерфейсный сервер, который затем обраща-ется за выполнением запрошенных клиентом операций ко внутрен-нему серверу. Многосерверная среда обеспечивает большую гибкость,безопасность и высокую доступность. Чтобы обеспечить высокую до-ступность многосерверной среды, создают два кластера — интерфей-сный со службой NLB и внутренний со службой кластеров. OutlookWeb Access поддерживает две формы аутентификации пользователя:базовую и интегрированную аутентификацию Windows. Outlook WebAccess также поддерживает шифрование по протоколу SSL и аноним-ный доступ.

•икум 9-1. Интеграция Web-приложенияв распределенной среде

Цель

Выполнив этот практикум, вы научитесь:• проектировать топологию многоуровневого приложения;• устанавливать Exchange 2000 Server на Web-сайте.

В этом практикумеВы должны спроектировать топологию сети, которая поддерживаетраспределенные приложения. Для доступа к информации базы дан-ных SQL Server в приложениях применяются технология ASP и ком-поненты СОМ+. Кроме того, в проекте следует предусмотреть Web-доступ пользователей к электронной почте через Интернет. Задачиэтого практикума предлагают различные варианты проектированиятопологии. Сначала вы создадите простой Web-сайт со статическимнаполнением, а затем позаботитесь о поддержке базы данных дляобеспечения динамического информационного наполнения. И, на-конец, развернете службу Web-доступа к электронной почте для со-трудников своей компании.

Прежде всегоДля выполнения этой практической работы необходимо уметь:• проектировать базовую топологию сети с поддержкой Web-служб;• проектировать NLB-кластеры и кластеры на базе службы класте-

ров для обеспечения высокой доступность в Web-среде.

Исходные данныеИздательство Lucerne Publishing занимается бизнесом в самых различ-ных странах мира. В компании решено развернуть Web-сайт со ста-тической информацией о компании и ее продуктах. РуководствоLucerne Publishing также требует предоставлять детальную информа-цию об издаваемых книгах. Поскольку эта информация часто меня-ется, наполнение требуется генерировать динамически, обеспечиваяпри этом удобство управления сайтом и навигации по нему пользо-вателей, Информация должна быть доступной все заинтересованнымлицам. Кроме того, требуется предоставить сотрудникам компаниипостоянный доступ к их почтовым ящикам из любой точки мира. Вам,как сетевому администратору компании, предлагается спроектиро-вать топологию сети, которая удовлетворяет этим требованиям.

Упражнение 1. Проектирование прикладнойструктуры IISРуководство требует запустить Web-сайт как можно быстрее и преж-де всего предоставить посетителям общую информация о компании.Вы решили создать трехузловой NLB-кластер на базе ApplicationCenter 2000, а также развернуть два компьютера со службой ActiveDirectory в сети периметра для поддержки систем в сети. В проектенеобходимо предусмотреть резервирование компонентов и каналовсвязи для гарантирования зысокой доступности. Кроме того, обяза-тельна поддержка на сайте распределенных приложений, так как ихпредполагается развернуть в сети. Компоненты СОМ+ будут распо-лагаться на Web-кластере.1. Каким должен быть исходный проект сети периметра?

2. Какие прикладные уровни следует предусмотреть в исходной вер-сии проекта?

Создавая проект сети, вы решили дополнительно разработать струк-туру первичного информационного наполнения. Оно состоит толькоиз статических HTML-страниц и графики. Информационное напол-нение тестируется в испытательной среде и по завершении тестиро-вания переносится в рабочую среде.3. Как следует спланировать развертывание информационного на-

полнения?

Упражнение 2. Интеграция SQL Server в структуреприложенийВы реализовали исходный проект, развернули информационное на-полнение на Web-серверах и теперь занимаетесь динамическим на-полнением. Разработчики создали ASP-приложения с компонентамиСОМ+ для доступа к базе данных SQL Server. Приложения оттести-рованы и готовы к размещению на промежуточном сервере. Вы ре-шили создать двухузловой кластер SQL и использовать конфигура-цию с одним экземпляром, в которой имеется один активный и одинпассивный сервер.1. Как следует изменить проект сети периметра, чтобы обеспечить

поддержку новых приложений?

2. Нужно развернуть приложения СОМ+, но при этом нельзя отклю-чать Web-службы. Как вы поступите?

3. Каким образом настроить разрешения на компьютерах с SQLServer?

4. Какие методы можно применить для оптимизации подключенийк базе данных?

Упражнение 3. Установка Exchange 2000 Serverна Web-сайтеПосле включения SQL Server в проект и развертывания приложенийСОМ+ вы перешли к установке на сайте сервера Exchange. Планиру-ется использовать многосерверную конфигурацию Exchange, а дляобеспечения высокой доступности — технологии кластеризацииWindows.1. Как следует модернизировать проект сети периметра для поддер-

жки службы Outlook Web Access?

2. Каковы преимущества многосерверной среды перед односервер-ной?

3. Какие методы аутентификации поддерживает Outlook Web Access?

4. Какой метод аутентификации вы бы порекомендовали применить?

Закрепление материала7 ) Приведенные ниже вопросы помогут вам лучше усвоить ос-


1. Будучи сетевым администратором компании Trey Research, вы раз-вертываете Web-приложения с элементами управления ActiveX, кли-ентскими и серверными сценариями, ASP, компонентами СОМ+ ихранимыми процедурами. Большинство информации сайта хра-нится в базе данных SQL Server. Вызовы компонентов СОМ+ об-служиваются в отдельном от Web-кластера кластере приложенияСОМ+. Какова процедура развертывания приложения?

2. Вы — администратор базы данных SQL Server, поддерживающейнесколько приложений на Web-серверах. Чтобы повысить произ-водительности, вы решили разбить несколько таблиц базы данныхна разделы. Назовите и опишите два метода доступа к разбитымна разделы данным?

3. После разбиения данных SQL Server на разделы вы решили реали-зовать отказоустойчивое решение для обеспечения доступностиданных. Какие два решения обеспечения высокой доступностиможно применить в условиях разбиения данных на разделы?

4. Вы конфигурируете Web-сайт для поддержки службы Outlook WebAccess, чтобы предоставить пользователи доступ к их электроннойпочте через браузер, и решаете, как настроить среду Exchange 2000Server. Необходимо, чтобы она обеспечивала единое пространствоимен, а также требуется защитить хранилище данных от атак. Ка-кую конфигурацию Exchange вы выберете?

5. Вы устанавливаете Outlook Web Access и планируете использоватьмногосерверную конфигурацию в совокупности с технологиямикластеризации Windows. Планируется создать интерфейсный NLB-кластер и внутренний кластерный под управлением службы клас-теров. Требуется обеспечить максимальный уровень защиты и бе-зопасности связи между клиентами и серверами путем шифрова-ния всей информации, пересылаемой в сеансе связи. Каким про-токолом вы воспользуетесь?

Г Л А В А 1 0

Безопасность сети

, Разработка стратегии аутентификации 395

, Разработка стратегии авторизации 405

}-1. Устранение неполадок предоставления доступа 415

Занятие 3, Разработка стратегии шифрования 416

Занятие 4< Планирование системы безопасности с применениембрандмауэров 425

Практикум 10-1, Планирование сетевой защиты 434


В этой главеПри создании Web-сайта и поддерживающей его сетевой инфраструк-туры необходимо предпринять меры по защите сети от преднамерен-ных и непреднамеренных действий, потенциально опасных для ре-сурсов сети, В процессе планирования Web-сайта следует продуматьполитику безопасности, причем учесть при этом соотношение междустоимостью данных и затратами на их защиту. Надо помнить также,что повышение уровня безопасности системы усложняет ее эксплуа-тацию. Кроме того, переусердствовав в защите системы, вы можетеперекрыть доступ к сервисам своим потенциальным пользователям.С другой стороны, не стоит делать систему слишком открытой, по-скольку тем самым подвергаются опасности наиболее важные ресур-сы. Планируя систему защиты сайта, стоит продумать следующие па-раметры: во-первых, метод аутентификации пользователей, открыва-ющий доступ к сайту только назначенным пользователям, во-вторых,способ получения доступа к тем или иным ресурсам сайта и, в-треть-их, необходимость шифрования для защиты данных, передаваемыхчерез Интернет. Проанализируйте необходимость применения бран-дмауэра как дополнительного средства защиты ресурсов сети. Изу-чив материал этой главы, вы сможете выбрать наиболее приемлемыйподход к планированию защиты своего Web-сайта.

Прежде всегоДля выполнения упражнений этой главы необходимы:• опыт администрирования безопасности в Microsoft Windows 2000

и, в частности, подсистемы безопасности IIS-сервера;• базовые знания о работе служб сертификации (Certificate Services)

Windows 2000 и клиентских сертификатов;• базовые знания о работе служб брандмауэра и прокси.

Занятие 1. Разработка стратегииаутентификации

Windows 2000 поддерживает вход с аутентификацией, когда для полу-чения доступа в сеть Windows 2000 пользователи должны предостав-лять свои реквизиты. Обычно это имя пользователя и пароль; в Win-dows 2000 в качестве реквизитов иногда применяются сертификаты.Сервер IIS поддерживает пять методов аутентификации: анонимныйдоступ (Anonymous access), базовую аутентификацию Windows (Basicauthentication), интегрированную аутентификацию Windows (Integ-rated Windows), аутентификацию на основе хеша (Digest authenti-cation) и сопоставление клиентских сертификатов (client certificatemapping). Для получения доступа к ресурсам в IIS пользователи дол-жны пройти аутентификацию по одному из методов. Из этого заня-тия вы узнаете об особенностях перечисленных методов аутентифи-кации, а также как выбрать наилучший для того или иного Web-сайта,

Изучив материал этого занятия, вы сможете:j описать поддерживаемые IIS методы аутентификации в Web;S определить модель аутентификации для вашего Web-сайта.


Методы аутентификации в 11$В Windows 2000 аутентификацией (authentication) называется процесспроверки подлинности объектов, осуществляющих обмен информа-цией по сети. Аутентификация выполняется до предоставления дос-тупа к операционной системе. Чтобы войти в систему, пользовательвводит свое имя пользователя и пароль, ОС Windows 2000 пытаетсянайти введенные сведения в списке допущенных пользователей и,отыскав учетную запись с указанными реквизитами, допускает пользо-вателя в систему и предоставляет доступ к ее ресурсам.

После аутентификации пользователя Windows 2000 прикрепляетмаркер безопасности (security token) ко всем процессам (приложени-ям), которые тот запускает. Этот маркер идентифицирует пользова-теля и группы Windows, членом которых он является. Когда пользо-ватель пытается получить доступ к объекту в сети, например к файлу,Windows 2000 сравнивает сведения о пользователе, записанные в мар-кере, с информацией в списке управления доступом к объекта (access

396 Безопасность сети Глав$ 10

control list, ACL), где перечислены субъекты, имеющие допуск к ре-сурсу в среде Windows 2000.

Перед получением доступа к ресурсам в IIS пользователь долженпройти аутентификацию. Если на Web-сайте разрешен анонимныйдоступ, применяется анонимная учетная запись (Anonymous)1и$К_<имя__компыотера>. В этом случае пользователю не приходит-ся вводить реквизиты. Если же анонимный доступ отключен, то емупредлагается ввести имя и пароль. Процесс аутентификации состоитиз нескольких этапов.1. Браузер запрашивает страницу.2. Web-сервер выполняет аутентификацию. В случае неудачи сервер

отправляет браузеру сообщение об ошибке и информацию о том,что нужно для повторной аутентификации.

3. На основе ответа сервера, браузер создает новый запрос, содержа-щий информацию для прохождения аутентификации.

4. Web-сервер выполняет аутентификацию. В случае удачной провер-ки сервер отправляет запрошенную страницу браузеру.

Все HTTP-запросы от браузера выполняются в контексте безо-пасности учетной записи пользователя, то есть в рамках прав соот-ветствующей учетной записи.

IIS поддерживает пять методов аутентификации: анонимный дос-туп, базовую аутентификацию Windows, интегрированную аутенти-фикацию Windows, аутентификацию на основе хеша и сопоставлениеклиентских сертификатов.

Анонимный доступВойти в систему indows 2000 могут только пользователи, имеющие нато достаточно прав. Однако в такой среде, как Интернет, зачастуюразрешается не называть себя: число Web-сайтов, требующих у посе-тителей ввода имени и пароля, не очень велико. В связи с этим в IISподдерживается учетная запись Ш5К._<имя_компъютера>, благодарякоторой анонимные пользователи получают доступ к ресурсам сай-та — эта учетная запись Windows открывает им локальный вход в си-стему. В Windows 2000 учетная запись \и$К_<имя_компьютера> при-меняется, когда безымянные пользователи проходят аутентификациюпо методу анонимного доступа.

На рис. 10-1 показан процесс аутентификации, в котором аноним-ный пользователь запрашивает страницу на сайте по схеме аноним-ного доступа. С точки зрения пользователя процесс очень прост, таккак сайт возвращает страницу, не требуя имени и пароля.

Занятие 1 Разработка стратегий аутентификации

Браузерна компьютере

клиента

Компьютерпод управлением

Windows 2000Server с IIS

HTTP-запрос: GET DEFAULT.HTM

Файл DEFAULT.HTM

Рис. 10-1. Анонимный доступ к файлу DEFAULT.HTM

Когда 1IS конфигурируется для анонимного доступа, определяет-ся пароль для учетной записи Ш$К_<имя_компьютера>. Он долженбыть одинаковым и в IIS, и в Windows 2000. Подобная синхрониза-ция пароля выполняется по умолчанию автоматически, если в осна-стке US установлен флажок Allow IIS to control password (Разрешитьуправление паролем из IIS). При этом IIS сообщает Windows, что па-роль верен. Такой режим облегчает администрирование, однако в этомслучае возможны проблемы при попытке пользователя получить дос-туп к некоторым сетевым ресурсам, таким, как БД Microsoft Access.

В подобных случаях нужно отключить синхронизацию, сбросивупомянутый флажок. При этом аутентификация протекает иначе:вместо подсистемы проверки HS вызывает API-функцию WindowsLogonUser(), реализующую вход учетной записи в систему. Затем имяпользователя и пароль, переданные из IIS в Windows 2000, сверяетсяс теми, что установлены в Windows 2000. Если они совпадают, выпол-няется вход в систему, IIS 5.0 кэширует маркер безопасности, и учет-ная запись наделяется принадлежащими ей правами.

Базовая аутентификацияБазовая аутентификация Windows описана в спецификации HTTP 1.0и поддерживается большинством Web-серверов и браузеров. В отли-чие от анонимного доступа для прохождения базовой аутентифика-ции пользователю необходимо предоставить реквизиты входа в сис-тему. Чтобы успешно пройти проверку, пользователи должны обла-дать правами локального входа на Web-сервер. Базовая аутентифика-ция позволяет назначать доступ пользователей к ресурсам на основеидентификатора пользователя, ограничивая доступ к некоторым зо-нам Web-сервера. При базовой аутентификации применяются сред-ства безопасности файловой системы NTFS, которая позволяет огра-ничить доступ к файлам на Web-сервере IIS.

безопасность сети

На рис. 10-2 показан процесс аутентификации пользователя, зап-росившего страницу на сайте с поддержкой базовой аутентифика-ции — пользователю предлагается ввести имя и пароль.

Браузерна компьютере

клиента

Компьютер подуправлениемWindows 2000

Server с IIS

HTTP-запрос: GETDEFAULT.HTM

Отказ в доступеЗакодированные имя пользователя,

пароль и имя области

Возвращаемый файл DEFAULT.HTM

Рис. 10-2. Базовый доступ Windows к файлу DEFAULT.HTM

При базовой аутентификации пароли передаются открытым тек-стом, поэтому они защищены слабо; чтобы узнать имя пользователяи пароль достаточно перехватить HTTP-заголовок пакета аутентифи-кации, Для усиления защиты применяют базовую аутентификациюWindows по протоколу SSL (Secure Sockets Layer) (подробнее об SSLрассказывается в занятии 3)

Интегрированная аутентификация WindowsИнтегрированная аутентификация Windows предоставляет более на-дежную защиту, чем базовая аутентификация, и поддерживает мето-ды NTLM (NT LAN Manager) и Kerberos. Браузер сначала пытаетсявойти в домен с реквизитами текущего пользователя. Если эта попыт-ка не удается, пользователю предлагается ввести имя и пароль само-стоятельно. Однако вместо вызова NTLM или Kerberos Windows 2000посылает заголовок, позволяющий клиенту и серверу согласоватьпротокол аутентификации. После чего клиент отправляет ответ насервер.

Интегрированная аутентификация Windows лучше всего подходитдля внутренних сетей организации, в которых у всех пользователейесть доменные учетные записи Windows. Она имеет ряд ограничений;• она не работает через прокси-подключения;• ее поддерживает только Microsoft Internet Explorer, начиная с вер-

сии 2;• она не всегда поддерживает делегирование на другие серверы, та-

кие, как компьютеры с SQL Server; это зависит от наличия аутен-тификации ло методу Kerberos или NTLM, применения для под-

ключения к удаленному серверу протокола, не поддерживающегоаутентификацию, например Transmission Control Protocol/InternetProtocol (TCP/IP), и принадлежности удаленного сервера к клас-теру.

Аутентификация на основе хешаВ отличие от базовой аутентификации, этот метод проверки предпо-лагает хеширование пароля перед передачей на сервер. Пароль про-ходит одностороннее, необратимое преобразование, а на основе по-лучаемого в результате хеша исходный текст расшифровать нельзя.Сервер добавляет к реквизитам определенную случайную информа-цию, поэтому никто не в состоянии перехватить эту информацию ивыдать себя за полномочного клиента. Кроме того, этот метод аутен-тификации работает через прокси-подключения. Однако применятьего можно только в доменах под Windows 2000 (или более позднейверсии) и при наличии у клиентов браузера Internet Explorer не нижеверсии 5.

Сопоставление клиентских сертификатовWindows 2000 поддерживает инфраструктуру PKI (public key infrast-ructure), предоставляющую набор служб, методов, протоколов и стан-дартов, необходимых для развертывания и сопровождения системыбезопасности, основанной на технологии открытых ключей. Эта крип-тографическая технология обеспечивает аутентификацию, конфиден-циальность, целостность и невозможность отрицания авторства. Клю-чи пары «открытый/закрытый ключ» взаимосвязаны, и на основанииодного нельзя вычислить второй.

Технология открытого ключа подразумевает, что, отправляя ин-формацию получателю, пользователь шифрует ее его открытым клю-чом. Расшифровать ее сможет лишь тот, у кого есть закрытый ключполучателя (рис. 10-3).

ОтправительИнтернет

Открытыйтекст

Шифрованиеоткрытым ключом

Получатель

Расшифровка Открытыйс применением текст

закрытого ключа

Рис. 10-3. Схема передачи шифрования и пересылки информации потехнологии открытого ключа

Одним из основных компонентов PKI является цифровой серти-фикат (digital certificate) — набор электронных реквизитов, которыеприменяются для аутентификации в сети пользователей, организацийили компьютеров. Сертификаты выпускаются и подтверждаются (под-писываются) центрами сертификации (Certification Authority, CA). ВWindows 2000 есть служба центра сертификации, являющаяся частьюCertificate Services— одного из основных компонентов PKI Win-dows 2000.

Выпускаемые СА сертификаты применяются для подтвержденияподлинности сетевых объектов. Сертификат удостоверяет владельцасертификата и содержит подписанный открытый ключ владельца.Сертификаты свободно распространяются, как правило, через ката-логи, общедоступные п а п к и , электронную почту и Web-страницы.PKI обеспечивает основу для управления сертификатами и секретны-ми ключами на протяжении всего жизненного цикла сертификата.

IIS выполняет аутентификацию пользователей на основании ин-формации о сопоставлении клиентских сертификатов и учетных за-писей пользователей Windows 2000. Получив от пользователя серти-фикат, IIS пытается найти учетную запись, соответствующую этомусертификату (рис. 10-4). Сопоставление сертификатов с учетнымизаписями основано на владении клиентом действительным сертифи-катом.

Клиен

А

l!Scсопоставш

тский компьютер— щ,

mg(ч

П X~ -v,

ртификатклиента

поддержкой Active!ния сертификатов Directory

ЕЦ=0 ^

IОпределение учет-ной записи пользо-

вателя посертификату

%,-. ]

Рис. 10-4. Определение учетной записи пользователя путемсопоставления клиентских сертификатов

При включенном режим сопоставления сертификатов на US-сер-вере Windows 2000 выполняет аутентификацию пользователей на ос-нове сертификата и предоставляет им права и разрешения, которыминаделена соответствующая учетная запись. Существует два типа со-поставления сертификатов: «один к одному» и «многие к одному».

Примечание Для управления доступом учетных записей пользовате-лей к сетевым ресурсам домена годится механизм сопоставления серти-фикатов в службе Active Directory. Тем не менее для управления досту-пом к ресурсам Web-сайта следует применять IIS.

Сопоставление сертификата «один к одному»

При сопоставлении «один к одному» одному сертификату клиентасопоставляется одна учетная запись пользователя Windows 2000 — за-пись владельца этого сертификата. IIS выполняет аутентификациюпользователя и предоставляет ему доступ к ресурсам на основе ин-формации об учетной записи пользователя. Для сопоставления «одинк одному» клиенты должны иметь учетные записи пользователейWindows 2000.

Сопоставление сертификата «многие к одному»При сопоставлении «многие к одному» несколько пользователей со-поставляются одной учетной записи пользователя, в контексте безо-пасности и в рамках прав и разрешений которой обслуживаются всеэти пользователи. В конфигурации прав доступа IIS и NTFS разре-шено устанавливать разрешения на доступ или отказ в доступе. Со-поставления «многие к одному* позволяют управлять доступом кWeb-сайту конкретных групп. Сопоставление «один к одному* хоро-шо применять для сетей с небольшим числом клиентов, если их мно-го, лучше применять сопоставление «многие к одному».

Принятие решенияIIS поддерживает пять методов аутентификации, которые вы вправеприменять для аутентификации клиентов Web-сайта (таблица 10-1).

Таблица 10-1. Методы аутентификации клиентов

Способ аутентификации Описание

Анонимный доступ Предоставляет доступ к сайту всем Web-клиентам и поддерживается большинствомбраузеров. Для предоставления анонимнымпользователям права локального входа всистему на IIS-сервере применяется учетнаязапись \и$}{_<1шя_компыотера>. Анонимныйдоступ не обеспечивает аутентификацию. Еслисинхронизация пароля включена, при аноним-ном доступе пользователю не удастся получитьдоступ к удаленным ресурсам, в противномслучае пользователю предосташтяется аноним-ный доступ к удаленным ресурсам


Способ аутентификации Описание(продолжение)

Базовая аутентификация

ИнтегрированнаяаутентификацияWindows

Аутентификацияна основе хеша

Сопоставлениеклиентскихсертификатов

При входе в систему требуется предоставлениереквизитов пользователя. Для успешногопрохождения аутентификации пользователямнеобходимы права локального входа на Web-сервер. Большинство браузеров поддерживаетбазовую аутентификацию. В этом случаепароли передаются открытым текстом,поэтому данный метод аутентификациисчитается небезопасным. Однако базоваяаутентификация совместно с применениемSSL обеспечивает надежную эашиту сеанса

Интегрированная аутентификация Windowsобеспечивает более надежную защиту, чембазовая, и поддерживает такие методы аутен-тификации, как NTLM и Kerberos. Этот методне позволяет выполнять аутентификациючерез прокси-подключения, кроме того, егоподдерживают далеко не все браузеры

По сети пересылаются не сами пароли, а иххеши. Этот метод аутентификации работаетчерез прокси-подключения. Однако он под-держивается только в доменах Windows 2000и лишь некоторыми браузерами, в частностиInteract Explorer версии не ниже 5.Аутентификация на основе хеша требуетналичия Active Directory

Этот метод применяется в службе IIS приаутентификации пользователей, имеющихсертификаты, которые сопоставлены учетнымзаписями пользователей Windows 2000. Еслиэтот метод используется в IIS, Windows 2000выполняет аутентификацию пользователей ипредоставляет им права и разрешения в рамкахполномочий соответствующих учетных записей,IIS поддерживает два способа сопоставлениясертификатов: «один к одному» и «многие кодному». Данный метод прекрасно масштаби-руется и обеспечивает хорошую защиту данных,однако его поддерживают не все браузеры.Кроме того, настройка сопостаатения сертифи-катов может оказаться довольно трудоемкой

РекомендацииПрежде всего вы должны решить, необходима ли аутентификацияпосетителей вашего Web-сайта. Если нет, используйте анонимныйдоступ. В противном случае выберите иной метод аутентификации.Если у посетителей разные браузеры, лучше всего остановиться набазовой аутентификации. Но поскольку такой метод не обеспечиваетзащиту данных, его следует применять в сочетании с протоколом SSL(подробнее об SSL — в занятии 3). Если вы вправе определять, какиебраузеры должны применять ваши пользователи, выберите один издругих, более надежных методов аутентификации в зависимости отконфигурации вашей сети. Если вы остановились на сопоставленииклиентских сертификатов, необходимо определиться с численностьюподдерживаемых пользователей и указать способ сопоставления —«один к одному» или «многие к одному*. Если пользователей немно-го, годится способ «один к одному», в противном случае — «многие кодному».

Пример. Стратегия аутентификации для компанииTrey ResearchКомпания Trey Research поддерживает Web-сайт, предоставляющийсервисы своим онлайновым клиентам. Сайт состоит из открытой изакрытой частей. Доступ к открытой части предоставляется всемпользователям Интернета без исключения, а к закрытой части — лишьопределенной группе пользователей. Чтобы получить доступ к зак-рытым Web-страницам, пользователь обязан представить имя и па-роль. На клиентских компьютерах пользователей как открытой, так изакрытой Web-страниц, установлены различные браузеры.

В открытой части сайта практикуется анонимный доступ, и дляучетной записи Ш$К__<имя_компъютера> включена автоматическаясинхронизация пароля. В закрытой части сайта включен механизмбазовой аутентификации в сочетании с SSL На рис. 10-5 показанасхема работы двух методов аутентификации клиентов Trey Research.

I IS Server

Клиентскийкомпьютер,

использующийанонимный доступ

Клиентскийкомпьютер,

использующийбазовый

доступ и SSLЗашифрованные имя

пользователя и пароль

Рис. 10-5. Анонимный доступ и базовая аутентификация

РезюмеПеред получением доступа к ресурсам в IIS пользователь долженпройти аутентификацию. IIS поддерживает пять методов аутентифи-кации: анонимный доступ, базовую проверку Windows, интегрирован-ную проверку Windows, проверку на основе хеша и сопоставлениеклиентских сертификатов. Анонимный доступ позволяет пользовате-лям локально войти на Web-сервер. С точки зрения пользователя,доступ к сайту прост — не нужно вводить имя пользователя и пароль.При применении базовой аутентификации пользователю необходи-мо предоставить реквизиты входа в систему. Чтобы пройти аутенти-фикацию, он должен обладать правами локального входа в системуWeb-сервера. Интегрированная аутентификация Windows поддержи-вает методы NTLM и Kerberos. Однако встроенная аутентификацияWindows не работает через прокси-подключения, поддерживается невсеми браузерами и не всегда обеспечивает делегирование на другиесерверы. При аутентификации на основе хеша на сервер отправляет-ся не сам пароль, а его хеш. Однако этот метод поддерживается толь-ко в доменах Windows 2000, и лишь некоторыми браузерами (в томчисле Internet Explorer версии не ниже 5). В IIS для аутентификациипользователей применяются два типа сопоставления клиентских сер-тификатов с учетными записями пользователей Windows 2000 — «одинк одному» и «многие к одному».

Разработка стратегииавторизации

После аутентификации пользователям нужно предоставить доступ кресурсам сайта. Например, чтобы прочитать HTML-файлы, им необ-ходимо разрешение на выполнение определенных действий с файла-ми и каталогами, в которых те расположены. Однако для полученияправ недостаточно одной аутентификации. Поэтому вам придетсяразработать стратегию авторизации, позволяющую пользователямполучать доступ только к определенным ресурсам сети. На этом за-нятии вы узнаете, какие вопросы следует учесть при разработке стра-тегии предоставления разрешений, а также как применять разреше-ния NTFS и 1IS для поддержки авторизации.


V описать процедуру предоставления доступа клиентам кWeb-ресурсам;

• S определить порядок авторизации пользователей для доступак ресурсам Web-сайта.


Авторизация пользователейВ домене Windows 2000 под авторизацией (authorization) понимаютпроцесс предоставления пользователю доступа к сетевым ресурсам.В отличие от аутентификации, в процессе которой устанавливаетсяподлинность пользователей и предоставляется им начальный доступв ОС, авторизация применяется для предоставления доступа к опре-деленным Web-сайтам, каталогам и файлам (в соответствии с конфи-гурацией разрешений Web-сервера) и определенным NTFS-файлами папкам (в соответствии с конфигурацией NTFS-разрешений). Од-нако до авторизации пользователь должен пройти аутентификацию.

Настройка аутентификации пользователей— сложныйпроцесс, особенно при реализации распределенных приложений в мно-гоуровневой среде. Здесь необходимо учитывать такие факторы, как деле-гирование, доступ приложений, топологию приложений, кластеры и ряддругих обстоятельств, определяемых конфигурацией сети и требованийпо безопасности. В данном занятии рассматривается лишь общая схемапланирования аутентификации; поэтому, чтобы получить более полнуюкартину, вам следует обратиться к дополнительным источникам.

Глава 10

Общие сведения о процессе авторизацииПри попытке пользователя получить доступ к ресурсу через IIS про-исходит несколько событий (рис. 10-6).

Прошел пипользователь

аутентиф икац тсс применением

специальнойпрограммы

Рис. 10-6. Получение доступа к ресурсам в IIS

1. Управление доступом с конкретного IP-адресаПолучив запрос ресурса, IIS-сервер определяет, если ли у IP-адресаклиента разрешение на доступ к Web-сайту или виртуальному ката-логу. IIS можно сконфигурировать для предоставления или запреще-ния доступа с конкретных IP-адресов, сетей или доменов. А такжепредоставить доступ всем компьютерам за исключением указанныхособо или, наоборот, запретить всем, кроме перечисленных в спискедопущенных. Однако следует иметь в виду, что некоторые пользова-тели иногда пытаются получить доступ к сайту через прокси-серверыили брандмауэры. В таких случаях входящие подключения выглядят,как исходящие от соответствующих прокси-серверов и брандмауэров.

2. Аутентификация средствами MSЕсли необходим доступ с IP-адреса данного пользователя, IIS для егоаутентификации применяет один из методов: анонимный доступ, ба-зовую аутентификацию Windows, интегрированную аутентификациюWindows, аутентификацию на основе хеша или сопоставление клиентс-ких сертификатов. Условия успешной проверки пользователя таковы;• правильные имя пользователя и пароль;• отсутствие ограничений на учетную запись Windows 2000 (напри-

мер, время суток, разрешенное для подключения);• действующая и незаблокированная учетная запись;• действительный, не просроченный пароль учетной записи;• наличие соответствующе разрешающей политики входа в систему

(например, наличие политики «Локальный вход»).

3. Авторизация средствами IISДля прошедших аутентификацию пользователей IIS выполняет авто-ризацию запрошенных им ресурсов. Web-разрешения IIS применя-ются ко всем пользователям, пытающимся получить доступ к ресур-сам сайта. Для доступа конкретных пользователей и групп применя-ются только разрешения NTFS. Например, на Web-сайте, сконфигу-рированном с поддержкой разрешения Read (Чтение), все пользова-тели, имеющие доступ к этому сайту, получат именно это разреше-ние, при условии, конечно, что разрешения NTFS не ограничиваютдоступ к сайту конкретных пользователей. Подробнее о разрешенияхIIS и NTFS рассказывается в следующем разделе.

4. Аутентификация средствами специальных приложенийНекоторые организации разрабатывают собственные способы аутен-тификации пользователей, например с применением ISAPI-фильтров(Internet Server Application Programming Interface) или ASP-приложе-ний (Active Server Pages). Дополнительная аутентификация пользова-телей выполняется после успешного прохождения аутентификации IIS,

5. Авторизация средствами NTFSВ основе модели доступа IIS лежит системы зашиты NTFS. При пре-доставлении доступа к ресурсу IIS действует в контексте защитыаутентифицированного пользователя. Для анонимных пользователейприменяется учетная запись Ш$Л_<имя_компыотера>. Для аутенти-фицированных пользователей применяется полноценная учетная за-пись Windows. Если разрешения NTFS запрещают доступ определен-ным учетным записям к ресурсу, пользователям, сопоставленнымэтим учетным записям, получить доступ не удастся, даже в том слу-чае, если они прошли аутентификацию и авторизацию IIS. Подроб-нее о разрешениях NTFS речь рассказывается немного далее.

Планирование разрешений MSКак уже говорилось, разрешения I I S применяются ко всем пользова-телям, прошедшим аутентификацию для доступа к Web-сайту. Разре-шения IIS определяют порядок доступа к виртуальным каталогам, аразрешения NTFS управляют доступом к физическим каталогам. Раз-решения IIS определяются для Web-сайтов, виртуальных каталогов ифайлов. В таблице 10-2 перечислены типы разрешений, устанавлива-емых с помощью IIS. Обратите внимание, что разрешения DirectoryBrowsing и Index This Resource не применяются на уровне файлов.

Таблица 10-2, Разрешения IIS-сервера

Разрешение Описание

Script Source Access Пользователи получают доступ к исходным(Доступ к источнику файлам, например к сценариям ASP-приложения.сценария) Этот параметр доступен, если установлено хотя

бы одно из разрешений — Read или Write.В первом случае исходный текст доступен длячтения, а во втором — для записи

Read (Чтение) Пользователи могут просматривать информацион-ное наполнение и свойства файла или каталога.Это разрешение устанавливается по умолчанию

Write (Запись) Пользователи имеют право изменять информа-ционное наполнение и свойства файла иликаталота

Directory Browsing Пользователи могут просматривать списки(Обзор каталогов) файлов и наборов

Log Visits В журнале фиксируются все посещения Web-(Запись в журнал) сайта, каталога или файла

Index This Resource Позволяет службе индексации создать индекс(Индексация каталога) для ресурса

Разрешения IIS позволяют управлять запуском исполняемых фай-лов каталога (в том числе, ASP-страниц). В таблице 10-3 представле-ны уровни разрешения на исполнение программ в IIS.

Таблица 10-3. Разрешения на исполнение программ в IIS


None (Отсутствуют) Сценарии и исполняемые файлы данногокаталога не выполняются

Scripts Only Дозволяется исполнение сценариев данного(Только сценарии) каталога, в том числе тех, на исполнение которых

разрешения не даны. Это разрешение применяетсядля каталогов с ASP-приложениями, сценариямиIDC (Internet Database Connector) и прочимисценариями

Scripts and Executables Разрешено исполнение сценариев и исполняемых(Сценарии и испол- файлов каталога, таких, как ASP-приложения,няемые файлы) DLL- и ЕХЕ-файлы

Обратите внимание, что при установленных разрешениях и IIS, иNTFS действуют разрешения, максимально ограничивающие доступ,Например, при отключении для файла IIS-разрешенин Read пользо-ватели не смогут просматривать этот файл независимо от разреше-ний NTFS.

Планирование разрешений NTFSРазрешения NTFS основаны на механизме доступа к объектам в Win-dows 2000. Из занятия 1 вы узнали, что после аутентификации пользо-вателя Windows 2000 прикрепляет маркер безопасности ко всем про-цессам (приложениям), запускаемым пользователем. Маркер иденти-фицирует пользователя и группы Windows, к которой тот относится.При попытке пользователя получить доступ к файлу Windows 2000сравнивает сведения о пользователе в маркере с ACL объекта.

Все объекты в Windows 2000 содержат дескриптор безопасности(security descriptor), содержащий информацию об управлении досту-пом к этому объекту. Когда пользователь пытается получить доступ кобъекту, Windows 2000 определяет его права по отношению к объектуна основании информации в дескрипторе безопасности. Дескрипторбезопасности — структура двоичных данных, состоящая из следую-щих частей:• заголовок (Header) содержит номер версии и набор управляющих

флагов, описывающих характеристики дескриптора безопасности;• владелец (Owner) содержит идентификатор безопасности (SID)

владельца объекта;

сет*?

• группа (Primary Group) содержит SID основной группы владельца;• избирательная таблица управления доступом (Discretionary Access

Control List, DACL) содержит список записей управления доступом(access control entry, АСЕ). Каждая АСЕ состоит из заголовка, ука-зывающего на предоставление или отказ в доступе SID для конк-ретного пользователя или группы и информации о разрешенныхили запрещенных действиях;

• системная таблица управления доступом (System Access Control List,SACL) содержит записи АСЕ, управляющие порядком аудита дос-тупа к объекту.

DACL регулирует доступ конкретному объекту. Когда прошедшийаутентификацию пользователь пытается обратиться к каталогу, при-крепленный к IlS-npoueccy маркер безопасности сличается с инфор-мацией в DACL с целью выяснить, имеет ли пользователь разреше-ние на доступ к этому каталогу (рис. 10-7).


Аутентификацияи авторизацияпользователяна сервере IIS

Маркербезопасности,

прикрепленныйк US-процессу Сопоставление

маркерабезопасности

с DACL

Рис. 10-7. Получение доступа к каталогу NTFS через IIS

DACL управляют посредством настройки разрешений каталогови файлов NTFS — это позволяет защитить отдельные файлы и ката-логи от несанкционированного доступа. В таблице 10-4 перечисленытипы разрешений NTFS, которые можно устанавливать в DACL фай-лов или каталогов.

При настройке разрешений NTFS необходимо прежде всего выб-рать пользователей и группы, которым предоставляется или запре-щается доступ, а затем определить разрешения для каждого из них.Не забудьте удалить из DACL имена нежелательных пользователей игрупп, а также группы, которые охватывают слишком большой кругпользователей. Однако будьте осторожны при удалении группы Eve-ryone (Все), поскольку это может вызвать отказ даже при аутентифи-цированном доступе. Для поддержки ауте н тиф иди рованного доступаследует предоставить разрешение Full Control (Полный доступ) учет-ным записям Administrator (Администратор), Creator/Owner (Созда-тель-Владелец) и System (Система). Кроме того, следует дать надле-жащие разрешения аутентифицированным пользователям и группам.

Таблица 10-4. Разрешения NTFS


Full Control Пользователи вправе изменять, добавлять, пере-(Полный доступ) мешать и удалять файлы, связанные с ними

свойства и каталоги, а также изменять параметрыразрешений всех файлов и подкаталогов

Modify (Изменить) Пользователи вправе просматривать и изменятьфайлы и свойства файлов, в том числе удалять идобавлять отдельные файлы (или их свойства)

Read & Execute Пользователи вправе запускать исполняемые(Чтение файлы, в том числе сценариии выполнение)

List Folder Contents Пользователи вправе просматривать список(Список содержимого содержимого каталогапапки)

Read (Чтение) Пользователи вправе просматривать файлыи свойства файла

Write (Запись) Пользователи вправе записывать данные в файл

Принятие решенияДля авторизации пользователей, получающих доступ к ресурсам Web,требуется сконфигурировать разрешения IIS и NTFS (таблица 10-5).

Таблица 10-5. Разрешения IIS и NTFS

Тип разрешений Описание

Разрешения I1S Разрешения MS применяются ко всем пользова-телям, прошедшим аутентификацию для доступак Web-сайту. Можно установить разрешения наиндивидуальные Web-сайты, виртуальныекаталоги, каталоги и файлы

Разрешения NTFS Разрешения NTFS применяются к определеннымпользователям и группам. Можно установитьразрешения для отдельных каталогов и файлов,открыть или закрыть указанным пользователямили группам доступ к ресурс. Запрещения всегдаобладают преимуществом перед разрешениями

РекомендацииКаждая организация, разрабатывающая Web-сайт, вырабатывает своюстратегию аутентификации. Однако в любом случае необходимо учестьследующие особенности разрешений IIS и NTFS.• Разрешения IIS применяются ко всем пользователям, а разреше-

ния NTFS — к отдельным пользователям и группам. Если сайтподдерживает анонимных пользователей, позаботьтесь о предос-тавлении учетной записи IUSR_<имя_компьютера> надлежащихNTFS-разрешсний. Если сайт поддерживает аутентифицирован-ных пользователей, необходимо соответствующим пользователями группам дать определенные NTFS-разрешения.

• Если разрешения ILS противоречат разрешениям NTFS, применя-ются более строгие (то есть запрещающие доступ). При конфигу-рировании подсистемы безопасности сайта следует избегать кон-фликтов между разрешениями ITS и NTFS.

• Запрещение на доступ имеет преимущество перед разрешением.Если закрыть доступ к каталогу NTFS для определенного пользова-теля, то предоставленные ему разрешения IIS становятся бесполез-ными— ему не удастся получить доступ к каталогу. Кроме того,отсутствие какого-либо разрешения NTFS пользователю (или груп-пе) Windows 2000 по умолчанию означает отказ в доступе.

Не следует включать в списки допущенных пользователей и груп-пы, которым предоставлять доступ нежелательно. Допустим, Web-сайт поддерживает и анонимных, и аутентифииируемых пользовате-лей, однако доступ к определенному каталогу следует предоставитьтолько аутентифицированным пользователям. Установите в IIS раз-

решение Read для данного каталога и в разрешение NTFS — дляаутентифицированных пользователей. Однако если не удалить изDACL данного каталога группу АН, то к нему получат доступ всепользователи.

Пример. Стратегия авторизации для компании WideWorld ImportersКомпания Wide World Importers создала Web-сайт с поддержкой ано-нимных пользователей и определила круг лиц, которые обязаны пре-доставлять имя и пароль при входе в закрытые разделы сайта. Адми-нистраторы компании создали виртуальный каталог для конфиден-циальной информации, и кроме того, группу PrivateUsers, в которуювошли пользователи, обязанные проходить аутентификацию. Поэто-му администраторам необходимо разработать две стратегии автори-зации: одну для анонимных пользователей, а другую — для аутенти-фицируемых. Сайт поддерживает только статические страницы.

Администраторы настроили в обеих частях сайта следующие раз-решения IIS:• Read (Чтение);• Log Visits (Запись в журнал);• Index This Resource (Индексация каталога).

А вот разрешения NTFS предоставили разные. В таблице 10-6 по-казаны разрешения, предоставленные пользователям и группам в об-щедоступной части сайта.

Таблица 10-6. Разрешения NTFS в общедоступной части сайта

Пользователь или группа Тип разрешения

Administrators (Администраторы) Full Control (Полный доступ)System (Система) Full Control (Полный доступ)

Creator/Owner Full Control (Полный доступ)(Создатель-Владелец)

l\JSR_<uMx_KOMnbK>mepa> Read (Чтение)

В таблице 10-7 перечислены разрешения, предоставленные пользо-вателям и группам в закрытой части сайта.

Таблица 10-7. Разрешения NTFS в закрытой части сайта


Administrators (Администраторы) Full Control (Полный доступ)

System (Система) Full Control (Полный доступ)

414 безопасность сети Глава 1$

(продолжение)Пользователь или группа Тип разрешения


PrivateUsers Read (Чтение)

РезюмеАвторизация позволяет получить доступ к конкретным сайтам, ката-логам и файлам Web (регулируемый разрешениями IIS) и конкрет-ным файлам и папкам NTFS (регулируемый разрешениями NTFS).Попыгка пользователя получить доступ к ресурсу через IIS порожда-ет несколько событий: проверку допустимости подключения с соот-ветствующего IP-адреса, аутентификацию на US-сервере, аутентифи-кацию с помощью специальных программ и авторизацию NTFS. Раз-решения IIS применяются ко всем пользователям, получившим до-пуск на Web-сайт. Можно установить разрешения IIS для сайтов, вир-туальных каталогов, каталогов и файлов Web. Разрешения NTFS ус-танавливаются для конкретных пользователей и групп. Если пользо-ватель пытается получить доступ к объекту, Windows 2000 проверяетв DACL объекта право пользователя на доступ и выполнение различ-ных действий над объектом. Информацию в DACL корректируютпутем изменения разрешений NTFS для файлов и каталогов — такзащищают отдельные файлы и каталоги от несанкционированногодоступа. При определении разрешений NTFS необходимо сначалавыбрать пользователей и группы, для которых требуется установитьили ограничить доступ, а затем определить разрешения для каждогопользователя или группы. Если разрешения NTFS и разрешения IISпротиворечат друг другу, действуют более строгие.

Тренинг I Устранение неполадокпредоставления доступа

Допустим, вы администратор в компании Lucerne Publishing, котораянедавно открыла Web-сайт для анонимных пользователей, где разме-шены только статические страницы. Протестировав сайт в лаборатор-ных условиях, вы решили, что все работает безупречно, но на делеоказалось, что анонимные пользователи не в состоянии подключить-ся к сайту.

Чтобы найти причину неполадки, вы тщательно изучили процесспредоставления доступа. Обнаружилось следующее: анонимный дос-туп включен и предоставлен доступ со всех IP-адресов, сетей и доме-нов, на IIS настроены разрешения Log Visists и Index This Resource.

Затем вы изучили разрешения физического каталога, где хранятсяWeb-файлы (таблица 10-8).

Таблица 10-8. Разрешения NTFS для каталога Web-сайта


Administrators (Администраторы) Full Control (Полный доступ)

System (Система) Full Control (Полный доступ)


lUSR_<UMX_KOMnbiomepa> Read (Чтение)

1. Почему пользователям не удается получить доступ к Web-сайту?

2. Допустим, установлено разрешение IIS Read, но предоставлятьдоступ к этой учетной записи следует только аутентифицирован-ным пользователям. Какие изменения нужно внести в списки раз-решений?

3. Из каких этапов состоит доступ пользователя к ресурсу ?

Занятие 3 Разработка стратегиишифрования

Windows 2000 Server поддерживает несколько способов шифрованияданных, передаваемых через Интернет или записанных на жесткомдиске, — SSL, Internet Protocol Security (IPSec) и шифрующую фай-ловую систему (Encrypting File System, EFS). Шифрование позволяетпередавать по сети и получать на своем Web-сервере конфиденциаль-ную информацию. На этом занятии рассматриваются все перечислен-ные методы и рассказывается, как выбрать наиболее подходящий втом или ином случае.

Изучив материал этого занятия» вы сможете;

* описать SSL, IPSec и EFS;^ определить, когда применять SSL, IPSec или EFS.


Шифрование данныхОдна из основных задач Web-администраторов — предотвращениепопадания информации в руки посторонних лиц. Для этого чаще все-го применяют шифрование (encryption) —- сокрытие данных (с помо-щью математических функций), которые передаются по незащищен-ным линиям, например через Интернет. Шифрование затрудняет пе-рехват данных злоумышленниками. (Хранящиеся на диске данныетакже можно шифровать.) Для шифрования и расшифровки в функ-ции шифрования применяются ключи. После того как браузер (настороне клиента) установил шшищенную связь с Web-сервером, обесистемы выполняют шифрование и расшифровку информации с по-мошью ключа сеанса.

Протокол SSLВ SSL сочетаются симметричное шифрование и шифрование с откры-тым ключом. Симметричное шифрованием (symmetric encryption) пред-полагает, что для шифрования и расшифровки данных применяетсяодин и тот же ключ— ключ сеанса (session key). Шифрование откры-тым ключом (public key encryption)— это процесс шифрования и рас-шифровки, при котором используется пара ключей — открытый (publickey) и закрытый (private key). Шифрование открытым ключом при-меняется для зашиты ключа сеанса от перехвата при передаче.

Подключение браузера к IIS по протоколу SSL выполняется по-средством протокола HTTPS (Hypertext Transfer Protocol Secure), а неHTTP. Для HTTPS сервер должен использовать другой порт. По умол-чанию HTTP использует порт 80, a HTTPS — порт 443.

До создания SSL-подключения с IIS-сервером браузер должен зап-росить и установить сертификат этого IIS-сервера, Сертификат полу-чают в доверенной организации (например. VeriSign) или создают вслужбе сертификации Windows 2000 (Certificate Services). (Обратитевнимание, что Web-сервер имеет только один закрепленный за нимсертификат.) С помощью сертификата сервера клиентские компью-теры проверяют подлинность сервера, достоверность информации нанем, а также создают зашишенное подключение к серверу. Сертифи-кат сервера содержит также открытый ключ, которым браузер шиф-рует информацию о ключе сеанса перед отправкой на сервер.

На рис. 10-8 показана схема работы SSL-обмена.


!§1^\

1 . Канал безопасной связи{протокол HTTPS - https://)

_ 2. Согласование уровня шифрования

3. Открытый ключ

4. Зашифрованные сведения о ключе сеанса

==1аи7й 5. Зашифрованный ключ сеанса

6. Данные, зашифрованные ключом сеанса

S-сервер

term

F?" I

Сертификатсервера

Рис. 10-8. Процесс SSL-обмена

Процесс SSL-шифрования выполняется в несколько этапов.1. Браузер устанавливает канал безопасной связи с IIS (по протоко-

лу HTTPS).2. Браузер и П5 «(договариваются» об уровне шифрования защищен-

ного подключения.3. IIS посылает браузеру открытый ключ.4. Браузер применяет открытый ключ сервера для шифрования дан-

ных, с помощью которых сервер создаст ключ сеанса, а затем от-правит зашифрованные данные на US-сервер

5. С помощью своего закрытого ключа IIS расшифровывает данныео ключе сеанса, а затем создает ключ сеанса, шифрует его откры-тым ключом клиента и отсылает браузеру.

6. В дальнейшем для шифрования и расшифровки информации бра-узер и IIS применяют ключ сеанса.

15-4791

Надежность (strength) ключа сеанса пропорциональна числу бит,образующих ключ. Ключи сеанса большей длины гарантируют болеевысокую степень зашиты и существенно более сложны для «взлома».Когда браузер устанавливает защищенный канал связи с IIS, клиенти сервер согласуют уровень надежности шифрования. При этом бра-узер должен поддерживать тот уровень шифрования ключа сеанса, ко-торый установлен на IIS. Например, при настройке IIS на ключ сминимальной длиной 40 бит Web-браузер должен поддерживать об-работку данных с ключом сеанса с надежностью не меньше 40 бит.

Можно сконфигурировать I IS на требование ключа с ми-нимальной длиной 128 бит, Но из-за экспортных ограничений приме-нение стойкости шифрования ключа 128 бит возможно только на тер-ритории США и Канады.

В SSL применяется сложный процесс шифрования, который тре-бует значительных ресурсен процессора и намного увеличивает объемданных, проходящих через каталоги SSL. Поэтому SSL следует ис-пользовать только для шифрования конфиденциальной информации,например данных аутентификации или номеров кредитных карт. Сле-дует также избегать размещения на таких Web-страницах элементов,требующих значительных ресурсов, например звуковых и видео-фай-лов, сложных изображений.

SSL работает на прикладном уровне стека протокола TCP/IP, ко-торый сопоставим с прикладным, презентационным и сеансовымуровнями модели OSI (Open Systems Interconnection) (рис. 10-9). (За-метьте: на рисунке отмечен также и IPSec. О нем пойдет речь в следу-ющем разделе.) В настоящее время SSL считается стандартом Интер-нета для шифрования данных, его достаточно легко использовать.

Примечание Наряду с SSL, Windows 2000 поддерживает протокол TLS(Transport Layer Security). Шифрование TLS представляет собой аналогSSL и рассматривается многими как его приемник. В TLS также соче-таются симметричное шифрование и шифрование с открытым клю-чом, однако в отличие от SSL этот протокол использует другие алго-ритмы шифрования и считается проектом стандарта Internet Enginee-ring Task Force (IETF). Также как в случае с SSL, приложения, исполь-зующие TLS, должны «уметь* с ним работать.

Модель OS) Стек протоколов TCP/IP

Прикладной уровень

Презентационный уровень

Сеансовый уровень

Прикладной уровень(HTTP, FTP, POP)

SSL

Транспортный уровеньТранспортный уровень

(TCP, UDP)

Сетевой уровень Уровень IP (internet Protocol)

IPSec

Канальный уровень

Физический уровень

Уровень доступа к сети(Ethernet and Net Card)

Рис. 10-9. SSL и IPSec в стеке протоколов TCP/IP и модели OSI

IPSecПомимо SSL, для шифрования и расшифровки данных можно ис-пользовать IPSec — набор протоколов, позволяющий двум компью-терам устанавливать связь в незащищенной сети с помощью крип-тографических средств зашиты. Шифрование применяется на уровнеIP стека протоколов TCP/IP (сетевой уровень в модели OSI).

Поэтому IPSec прозрачен для большинства приложений, исполь-зующих для связи специальные протоколы, в отличие от SSL, кото-рый обеспечивает защиту только приложениям, поддерживающимего. Он предоставляет высокий уровень защиты для большинства при-ложений, служб и протоколов высшего уровня, таких, как TransmissionControl Protocol (TCP), User Datagram Protocol (UDP) и Internet Cont-rol Message Protocol (ICMP), Применение IPSec в качестве средствазащиты IP не требует вносить изменений в готовые программы.

При использовании IPSec шифрование IP-пакетов выполняетсяна передающем компьютере, а расшифровка— на получающем. То,что при движении по каналам связи пакеты нельзя прочитать, гаран-тирует их сквозную защиту. Кроме того, поскольку применяемый наобоих концах подключения один криптографический ключ создаетсяпо специальному алгоритму, его не нужно передавать по сети.


На рис. 10-10 показана связь с применением IPSec, этапы работыкоторой поясняются ниже.

2. Драйверсопостав-ляетпакеты

Компьютер А Компьютер В3. Согласование ключа

по протоколу IKE

с фильтрами 4. Защищенные пакеты

ДрайверIPSec

5. Расшиф-рованныеданныепередаютсяприложению

Прило-жение

1 . Приложение создаетисходящие пакеты

Рис. 10-10. Процесс передачи данных с использованием IPSec

IPSec состоит из многих компонентов и параметров, а связь с при-менением IPSec довольно сложна, однако «с высоты птичьего поле-та» она выглядит примерно так, как описано далее.1. Приложение на компьютере А создает исходящие пакеты для от-

правки по сети на компьютер В.2. Драйвер IPSec на компьютере А сопоставляет пакеты с IPSec-

фильтрами, чтобы определить необходимость защиты пакетов,3. Если фильтр требует защитить пакеты, компьютер А начинает со-

гласование ключей с компьютером В по протоколу Internet KeyExchange (IKE). Компьютеры обмениваются своими реквизитам всоответствии с методом аутентификации, установленным прави-лом безопасности.

4. Драйвер IPSec на компьютере А подписывает исходящие пакеты дляобеспечения целостности, шифрует их для обеспечения конфиден-циальности и пересылает защищенные пакеты компьютеру В.

5. Драйвер IPSec на компьютере В проверяет целостность пакетов,расшифровывает их и передает принимающему приложению.

Методы IPSec-аутентификации включают проверку Kerberos, сер-тификаты открытого ключа и использование общих (preshared) клю-чей. Для IPSec не нужно конфигурировать брандмауэры, однако не-обходимо, чтобы они пропускали трафик по определенным портам ипротоколам, Кроме того, брандмауэр не должен выполнять преоб-разование сетевых адресов (Network Address Translation, NAT), по-скольку IPSec защищает поля пакетов, которые обычно в NAT изме-няются.

IPSec не требуется также настраивать на маршрутизаторах и сер-верах при прохождении по сети; эти устройства передают пакеты

обычным образом. Однако на компьютерах на обоих концах линиисвязи следует установить Windows 2000 и определить на них полити-ки безопасности IPSec. Это ограничивает применение IPSec для Web-решений, если не на всех клиентских компьютерах установлена Win-dows 2000. Несмотря на это, вы можете средствами IPSec повыситьуровень защиты своей сети. Так, например, IPSec применяют для свя-зи между IIS-серверами на стороне клиента и компьютерами с SQLServer на стороне сервера.

Следует помнить, что IPSec существенно увеличивает затраты наобработку данных (даже больше, чем SSL), поэтому, принимая реше-ния об использовании IPSec, имейте в виду возможное снижениепроизводительности системы.

Кроме того, установка IPSec сложнее, чем SSL: возможно, вампридется настраивать политики, правила, типы подключений и ме-тоды аутентификации. Перед установкой IPSec вам следует разрабо-тать план реализации политики безопасности в вашей организации.

Шифрующая файловая система EFSДля защиты важных данных на разделах NTFS можно применить EFS.Эта файловая система интегрирована в ОС, поэтому она работает«прозрачно» для владельца файлов и приложений. Открывать и обра-батывать файл вправе только его владелец.

Для обеспечения конфиденциальности файлов в EFS применяет-ся симметричное шифрование в сочетании с технологией открытогоключа. Для шифрования файла в EFS применяется ключ сплошногосимметричного шифрования, который называется ключом шифрова-ния файла (file encryption key, FEK). Затем FEK шифруется открытымключом, извлеченным из сертификата, который имеется в профилепользователя. Для расшифровки РЕК применяется закрытый ключвладельца файла. Для снижения нагрузки на процессор сами данныев EFS шифруются симметричным ключом, а технология открытыхключей применяется лишь для шифрования FEK.

Хотя EFS годится для шифрования данных на удаленном компь-ютере, эта процедура бессмысленна, так как данные пересылаются посети открытым текстом. Для этих целей нужно применять другие ме-тоды, например SSL.

Принятие решенияWindows 2000 поддерживает несколько криптографических методовдля защиты данных от сетевых атак: SSL, IPSec и EFS (таблица 10-9).


Таблица 10-9. Методы шифрования в Windows 2000


SSL SSL— популярный стандарт Интернета для шифрованияданных. В приложениях, использующих SSL, нужно обес-печить поддержку SSL (как это делают многие браузеры иWeb-серверы). SSL требует существенных ресурсов процес-сора при шифровании и расшифровке данных. SSL поддер-живает аутентификацию с применением сертификатовоткрытого ключа

IPSec IPSec работает на уровне IP стека протоколов TCP/IP и«прозрачен» для большинства приложений. Он предостав-ляет высокий уровень зашиты для большинства приложе-ний, служб и высокоуровневых протоколов и поддерживаетаутентификацию по методу Kerberos, на основании серти-фикатов открытого ключа и с применением общего ключа(preshared key values). Однако на компьютерах на обоихконцах линии связи должна быть установлена Windows 2000и настроены политики безопасности IPSec. Кроме того,IPSec загружает процессор намного больше, чем SSL

EPS EFS можно применять для защиты важных данных,хранящихся на диске, но не для защиты информации припередаче по сети

РекомендацииВ настоящее время для защиты данных, передаваемых через Интер-нет, следует использовать SSL. Для небольшого сайта, все клиентыкоторого работают под управлением Windows 2000, можно посовето-вать IPSec. Для повышения безопасности системы при передаче дан-ных внутри частной сети за счет дополнительных уровней защитыстоит установить IPSec на стороне сервера. Чтобы защитить особоважную информацию, хранящуюся на диске, данные следует шифро-вать средствами файловой системы EFS.

Пример. Стратегия шифрования для компании CityPower & LightCity Power & Light предлагает своим клиентам онлайновые услуги попросмотру прошлых и текущих расходов и обновлению профиле.Клиенты могут получить доступ к открытому сайту компании каканонимные пользователи, однако для просмотра конфиденциальнойинформации необходимо ввести имя пользователя и пароль. На ком-

пьютерах клиентов установлены разные браузеры и операционныесистемы, поэтому нужно обеспечить доступ для разных пользователь-ских платформ, Открытый сайт расположен по адресу htlp://www.cpandl.com. Отсюда пользователи могут попасть на закрытый сайтhttps://www.cpandl.com/secure, введя имя пользователя и пароль.

Для аутентификации пользователей применяется базовая аутенти-фикация, а данные защищаются посредством SSL. Приложения, при-меняемые для доступа к конфиденциальному сайту, располагаются ввиртуальном каталоге, расположенном отдельно от открытого сайта.Это позволяет задействовать SSL только для тех страниц и данных,которые нужно защитить, и тем самым снизить нагрузку на процес-сор. Структура сайта показана на рис. 10.11.

Анонимныйдоступ

Базовая аутентификацияс применением SSL

http://www.cpandl.com - https://www.cpandl.com/secure

, ' Связь между открытыми закрытым сайтами

Рис. 10-11. Сайт City Power & Light

РезюмеШифрование — это преобразование данных (с помощью математи-ческих функций), передаваемых по незащищенным линиям, с цельюзатруднить чтение этих данных посторонними. Windows 2000 Serverподдерживает несколько методов шифрования данных: SSL, IPSec иEPS. В SSL применяется сочетание симметричного шифрования ишифрования с открытым ключом. До установки браузером SSL-под-

ключения средствами IIS запросить и установить сертификат US-сер-вера. В приложениях, использующих SSL, нужно предусмотреть под-держку SSL, как во многих браузерах и Web-серверах. SSL считаетсястандартом шифрования данных в Интернета. С SSL достаточно про-сто работать, хотя затраты на обработку данных по сравнению с не-шифрованными данными больше. IPSec— это набор протоколов,позволяющий двум компьютерам устанавливать защищенный каналв незащищенной сети с помощью криптографических средств защи-ты. IPSec «прозрачен» для большинства приложений, использующихдля связи специальные протоколы, однако IPSec поддерживает толь-ко ОС Windows 2000. IPSec сильнее нагружает процессор, чем SSL,Для защиты наиболее уязвимых данных, хранящихся на диске в раз-деле NTFS, можно использовать EFS. Однако EFS не шифрует дан-ные, пересылаемые по сети. В этом случае следует применить другиесредства, например SSL.

Занятие 4 Плакирование системы безопасности 425

Занятие 4 Планирование системыбезопасности с применениембрандмауэров

Из предыдущих занятий вы узнали, как планировать аутентифика-цию, авторизацию и шифрование для защиты Web-сайта и внутрен-ней сети от атак. Есть еще одна стратегия, которую применяют дляорганизации защиты сеть, — использование брандмауэров. Хотя бран-дмауэры не обеспечивают полной безопасности сети, они укрепляютзащиту и помогают предотвращать несанкционированный доступ илиразрушение жизненно важных данных. На этом занятии рассказыва-ется о брандмауэрах и стратегиях их применения для защиты сетей ворганизациях.

Изучив материал этого занятия, вы сможете:s рассказать о технологиях обеспечения защиты средствами

брандмауэров;v спланировать размещение- брандмауэров для зашяты

к Web-сайта и частной сети.


Безопасность, обеспечиваемая брандмауэрамиБрандмауэр (firewall) — это комбинация аппаратных и программныхсредств для предотвращения несанкционированного доступа черезбрандмауэр к ЛВС или интрасети. Брандмауэры ограничивают доступк сетевым ресурсам, пропуская трафик только по определенным пор-там и обеспечивают дополнительную защиту работающих в сети служб,

Брандмауэры позволяют компаниям поддерживать подключениек Интернету, снижая опасность компрометации жизненно важных исекретных данных. Они предотвращают несанкционированный дос-туп пользователей к внутренним ресурсам сети, анализируя входящиеи исходящие данные и блокируя трафик, пересылка которого запре-щена. Брандмауэры также применяются для управления доступа кИнтернету из внутренней сети.

Брандмауэр, размещенный между интрасетью и Интернетом, спо-собен частично защитить сеть от вторжения, управляя доступомпользователей Интернета. Однако при обеспечении защиты Web-сай-та не следует полагаться исключительно на брандмауэр, так как су-ществуют вирусы, нарушающие работу брандмауэров и разрушающие

Глава 10

данные на сайте. При «взломе» брандмауэра надежда на защиту ре-сурсов возлагается на другие технологии обеспечения безопасности.

Фильтрация данныхБрандмауэр анализирует и фильтрует проходящие через него данные,Он поддерживает различные виды фильтрации. Например, на ISA-сервере (Microsoft Internet Security and Acceleration) применяются триметода фильтрации данных— пакетов, на уровне каналов и прило-жений.

Фильтры пакетов управляют потоком проходящих через брандма-уэр IP-пакетов — брандмауэр пропускает только те, прохождение ко-торых явно разрешено. Можно настроить блокирование пакетов, при-ходящие с конкретных узлов Интернета и способны отбрасывать па-кеты, явно относящиеся к тем или иным видам атак. Фильтрациюпакетов также применяют для блокирования пакетов, адресованныхслужбам внутренней сети. Поддерживается фильтрация на основетипа службы, номере порта, имени компьютера-источника и компь-ютера-адресата.

Брандмауэр, выполняющий фильтрацию каналов, анализирует ифильтрует информацию сеансов, а не подключения или пакеты. Привключенной фильтрации каналов сеансы с параллельными подклю-чениями разрешаются только по явному запросу пользователя. Филь-трации каналов обслуживает такие Интернет-приложения и службы,как Telnet, почта, новостные протоколы и мультимедийные данные.Брандмауэр не влияет на производительность, и эти приложения ислужбы работают, как при прямом подключении к Интернету.

Фильтры приложений анализируют поток данных конкретныхприложений и блокируют, перенаправляют или изменяют данные приих прохождении через брандмауэр. Эти фильтры предотвращают про-никновение злоумышленников, основанное на наиболее типичныхнедостатках некоторых приложений, например они пресекают пере-дачу небезопасных команд почтового протокола SMTP или атаки навнутренние DNS-серверы. Для расширения фильтров брандмауэраможно также применять инструментальные средства сторонних про-изводителей. В отличие от фильтров пакетов, которые анализируютлишь источник, адресата и тип трафика, фильтры приложений раз-личают информационное наполнение, проходящее через брандмау-эр. Благодаря этому они способны выполнять особые задачи для при-ложения, например обеспечивать «прозрачный» доступ по дополни-тельным (вторичным) подключениям, блокировать опасные коман-ды и обнаруживать вирусы. Фильтры приложений поддерживают та-кие протоколы Интернета, как HTTP, FTP и SMTP.

Планмроайнйе системь; безопасности

Преобразование сетевых адресовПротокол преобразования сетевых адресов (NAT) позволяет преобразо-вывать внутренние IP-адреса в адреса открытых сетей. Таким образомудается «скрыть» внутренние адреса компании от пользователей обще-доступных сетей. Кроме того, становится возможным применение вовнутренней сети множества не зарегистрированных в уполномоченныхорганизациях IP-адресов, а для внешнего подключения — небольшогочисла официально зарегистрированных IP-адресов. Это также позво-ляет скрыть внутреннюю структуру сети от внешних пользователей.

Некоторые службы брандмауэра посредством NAT осуществляютподдержку клиентов, не имеющих специального ПО. Например, ISA-сервер поддерживает SecureNAT для расширения функций протоко-ла NAT в Windows 2000. Клиенты SecureNAT можно сконфигуриро-вать так, что весь трафик, адресованный в Интернет, обслуживаетсяISA-сервером — напрямую или через маршрутизатор. SecureNAT под-держивает управление доступом на основе IP, анализ информацион-ного наполнения средствами фильтров приложений и использованиекэша ISA-сервера с применением HTTP-фильтров. Серверы, публи-кующие информацию в Интернете, например почтовые, способныработать в качестве SecureNAT-клиентов.

Прокси-серверыПрокси-сервер управляет трафиком между программами одной сетии серверами, расположенными в другой сети. В ответ на запрос кли-ентской программы прокси-сервер преобразует этот запрос и пере-сылает в Интернет, а получив ответ от компьютера в Интернете, пе-ренаправляет его клиентской программе. У прокси-сервера имеетсядва сетевых интерфейса: один подключен к локальной сети, а вто-рой — к Интернету.

Для управления трафиком из локальной сети в Интернет приме-няют Microsoft Proxy Server. Он действует как шлюз, обеспечивая за-щиту сравнимую с той, что обеспечивается брандмауэром. Это по-зволяет предоставлять клиентам и серверам доступ в Интернет, ог-раждая интрасеть от посягательств злоумышленников. Proxy Serverблокирует входящие подключения. Внутренние клиенты клиентуравправе подключаться к серверам Интернета, однако клиенты Интер-нета не в состоянии инициализировать подключения с клиентамивнутренней сети. Proxy Server также способен контролировать исхо-дящие подключения.

Некоторые брандмауэры разрешается конфигурировать как про-кси-серверы. Например, ISA-сервер может работать как прокси-сер-веры, обслуживая запросы, инициированные клиентским браузером.

Браузер направляет запросы прямо в службу Web-прокси ISA-серве-ра — это позволяет контролировать доступ в Интернет.

Сети периметраСеть периметра — защищенная брандмауэрами область сети, в кото-рой безопасно размещаются Web-службы и при доступе к ним клиен-тов Интернета не возникает опасность компрометации служб, при-ложений, важных данных и частной сети. Существует несколько кон-фигураций сети периметра — все определяется потребностями орга-низации и текущей топологией сети. Однако чаще всего применяетсяодин из двух вариантов топологии сети периметра — с одним бранд-мауэром и со сдвоенными брандмауэрами.

Сеть периметра на одном брандмауэреСамый простой способ создать сеть периметра — установить одинбрандмауэр, оборудованный тремя сетевыми адаптерами. Первыйадаптер подключен к частной сети, второй — к Интернету, а третий —к сети периметра (рис. 10-12).


Web-серверы Серверы

данных

Рис. 10-12. Сеть периметра на базе одного брандмауэра

Сеть периметра на одном брандмауэре имеет ряд преимуществ:• простота конфигурации и минимальна цена;• доступ в Интернет из корпоративной сети сохраняется даже при

сбое сети периметра;

• сеть периметра физически отделена от других сетей. Злоумышлен-нику не удастся проникнуть далее сети периметра.

Основной недостаток этой конфигурации — единственный уро-вень защиты корпоративной сети средствами брандмауэра: если зло-умышленник «взломает» брандмауэр, ресурсы корпоративной сетисвязи окажутся под такой же угрозой, как ресурсы сети периметра.Для более эффективной защиты необходимо установить дополни-тельные брандмауэры.

Сеть периметра на сдвоенных брандмауэрахВ сети периметров на сдвоенных (back-to-back) брандмауэрах бранд-мауэры расположены по обе стороны сети периметра. Интерфейснаячасть сети периметра подключена к Интернету через один из бранд-мауэров, а внутренняя часть— к корпоративной сети через другойбрандмауэр (рис. 10-13).


I

1

.

с

Т1

-1

Сеть периметра

Web-серверы

Серверыданных


Рис. 10-13. Сеть периметра на сдвоенных брандмауэрах

Гита 10

Дополнительный брандмауэр снижает риск успешной атаки, ведьчтобы получить доступ к корпоративной сети, атакующему придется«взломать» оба брандмауэра. Однако второй брандмауэр усложняетконфигурацию и делает ее дороже. Другой недостаток этой конфигу-рации в том, что связь корпоративной сети с Интернетом зависит отработоспособности сети периметра. При сбое сети периметра теряет-ся доступ к Интернету из корпоративной сети.

В некоторых случаях добавляют дополнительные брандмауэрымежду уровнями сети периметра, чтобы сократить число компьюте-ров, доступных напрямую из Интернета, затрудняя «взлом» или зло-употребление серверами. Например, иногда брандмауэры размешаютмежду уровнем Web-серверов и уровнем данных (рис. 10-14).




Рис. 10-14. Сеть периметра, поддержанная тремя брандмауэрами

Занятие 4 Планирование

Такая конфигурация еще более затрудняет доступ хакера до кор-поративной сети, таким образом, удается защитить внутренние сер-веры базы данных от недостатков, не связанных с работой Web-сер-веров и серверов базы данных. Кроме того, брандмауэр используютдля ограничения перечня IP-адресов, с которых данные БД доступнынапрямую. При добавлении третьего брандмауэра, хотя прибавляетсязабот администратору и увеличивается стоимость решения, защитастановится надежнее.

Принятие решенияПри реализации защиты сети с применением брандмауэра применя-ют один или сдвоенные брандмауэры (таблица 10-10). Во втором слу-чае можно устанавливать дополнительные брандмауэры между уров-нями сети периметра.

Таблица 10-10. Варианты топологии сети периметра


Один брандмауэр Это самая дешевая и простая в управленииконфигурация. Доступ в Интернет из кор-поративной сети сохраняется даже при сбоесети периметра. Сеть периметра физическиотделена от остальных сетей. Однако основ-ной недостаток этой конфигурации — единст-венный уровень защиты корпоративной сетисредствами брандмауэра

Сдвоенные брандмауэры Дополнительные брандмауэры повышают на-дежность защиты. Однако при этом увеличи-вается стоимость решения и затраты наадминистрирование. Другой недостаток этойконфигурации в том, что связь корпоративнойсети с Интернетом зависит от работоспособ-ности сети периметра

РекомендацииПри проектировании стратегии защиты системы с применением бран-дмауэров необходимо определиться, какой уровень безопасности не-обходим, цену, которую компания готова заплатить за само решениеи за его администрирование. В общем случае чем больше уровней за-щиты на основе брандмауэров, тем выше безопасность сети.

Пример. План системы безопасности с применениембрандмауэров для банка WoodgroveБанк Woodgrove предоставляет клиентам услуги через Интернет. Сетьпериметра базируется на сдвоенных брандмауэрах. Для предоставле-ния служб клиента применяются ASP-приложения, использующие всвоей работе компоненты СОМ + , которые в свою очередь размеща-ются на отдельном физическом уровне. Компоненты СОМ+ обеспе-чивают доступ к данным, расположенным в базе данных на третьемуровне. Для реализации дополнительного уровня защиты админист-раторы решили установить дополнительный брандмауэр между Web-серверами и серверами приложений СОМ+ (рис. 10-15), чтобы онзащищал внутренние серверы от недостатков, не связанных с рабо-той Web-серверов и серверов базы данных.

РезюмеБрандмауэр предотвращает несанкционированный доступ из Интер-нета во внутреннюю сеть или интрасеть. Брандмауэр анализирует ифильтрует проходящие через него данные. Фильтры пакетов управ-ляют потоком проходящих через брандмауэр IP-пакетов, фильтрыканалов анализируют и фильтруют информацию сеансов, а фильтрыприложений анализируют поток данных конкретных приложений и всостоянии анализировать, блокировать, перенаправлять или изменятьданные при их прохождении через брандмауэр. Протокол NAT пре-образует внутренние 1 Р-адреса в адреса открытых сетей для сокрытияIP-адресов внутренней сети от внешних пользователей. Прокси-сер-вер управляет трафиком между программами одной сети и сервера-ми, расположенными в другой сети. Сеть периметра — защищеннаябрандмауэрами область сети для обеспечения безопасности служб иприложений. Существует дне основные конфигурации сети перимет-ра — на основе одного брандмауэра или сдвоенных брандмауэров,Сеть периметра на одном брандмауэре наиболее дешева и легка в уп-равлении. Сеть периметра на сдвоенных брандмауэрах более защи-щена.



Web-серверы


Серверыприложений

СОМ+


Рис. 10-15. Уровень защиты на базе брандмауэра между Web-кластером и кластером приложений СОМ+

/у 10-1. Планирование сетевойзащиты

Цель

Выполнив этот практикум, вы научитесь создавать:• стратегию шифрования и аутентификации;• стратегию авторизации;• системы безопасности с применением брандмауэров.

В этом практикумеВы спланируете стратегию зашиты аутентификацией, шифрованием,авторизацией и защиту сети на базе брандмауэров. В упражненияхэтого практикума используется Web-сайт, на который разрешен дос-туп определенной группы пользователей. Они должны проходитьаутентификацию до получения доступа к ресурсам сайта. Обратитевнимание, что в первом упражнении речь идет об аутентификации ишифровании одновременно (в занятиях этой главы эти две возмож-ности рассматривались раздельно). Причина в том, что в некоторыхрешениях шифрование и аутентификация неразделимы.

Прежде всегоДля выполнения заданий практикума необходим опыт:• администрирования Windows 2000 Server и IIS;• создания учетных записей пользователей и групп в домене Win-

dows 2000;• настройки разрешений IIS и NTFS;• а также знание общих принципов обеспечения безопасности сред-

ствами брандмауэров в Web-среде.

Исходные данныеСпециалисты компании Northwind Traders развертывают Web-сайт,который предоставит оптовым покупателям доступ к их учетным за-писям. Покупатели используют клиентские компьютеры с разнымиоперационными системами и разные браузеры. При входе в системуони должны проходить аутентификацию, то есть вводить имя пользо-вателя и пароль, причем только на основе их учетных записей вWindows: никаких дополнительных приложений или ISAPI-фильтровприменять не предполагается После процедуры аутентификациипользователи должны получать доступ к ASF-приложениям, которые

применяются для доступа к данным в БД SQL Server. Все данные,пересылаемые между аутентифицированными пользователями и Web-сайтом, следует обезопасить для гарантии их секретности и целост-ности. В настоящее время на сайте не предусмотрено никаких огра-ничений на подключения с любых IP-адресов, сетей или доменов.

Относящаяся к Web, часть сети компании содержит Web-кластери кластер данных (рис. 10-16). На всех компьютерах этих двух класте-ров установлена ОС Windows 2000 Advanced Server.

Частная корпоративная сеть

Серверы данных

Рис. 10-16. Топология сети компании Northwind Traders

Web-сайт доступен по адресу http://www.northwindtraders.com, откудазапросы перенаправляются на страницу https://www.northwindtraders.com/secure/default'.asp и пользователям предлагается ввести имя и парольсвоей учетной записи. После аутентификации открывается домашняястраница, на которой предусмотрено несколько способов поисканужной клиентам информации.

Вам, как сетевому администратору, предстоит спроектироватьстратегию безопасности, которая позволит прошедшим аутентифи-кацию клиентам получить доступ к открытым для них ресурсам сайтаи предотвратит доступ к закрытым для них ресурсам. Кроме того, вампридется обеспечить дополнительную защиту посредством брандма-уэра, чтобы обеспечить безопасности ресурсов сайта, в частности базыданных и частной корпоративной сети.

436 Безопасность сети Глава 10

Упражнение 1. Планирование стратегииаутентификации и шифрованияВы создали пользовательские учетные записи для каждого оптовогопокупателя, планирующего обращаться к вашему Web-сайту. По-скольку всем пользователям предоставлен один уровень доступа, высоздали одну группу пользователей Customers (Покупатели) и принеобходимости дополняете ее. Теперь нужно решить, как обеспечитьауте нтифи кап ию.1. Какие методы аутентификации поддерживает IIS и чем они отли-

чаются?

2. Какой методы аутентификации вы предпочтете?

3. Каковы ограничения выбранного метода аутентификации?

4. Кроме аутентификации пользователей вам необходимо обеспечитьбезопасность всей информации, которой обмениваются пользова-тели и Web-сайт, то есть гарантировать секретность и целостностьданных. Один из способов решения задачи — шифрование. Какиеметоды шифрования вам доступны и чем они отличаются?

5. Как обеспечить безопасность информации, которой обменивают-ся пользователи и Web-сайт?

Упражнение 2. Планирование стратегии авторизацииПосле того как вы обеспечили поддержку аутентификации пользова-телей, необходимо решить задачу авторизации пользователей в ASP-приложениях. Следует настроить разрешения на двух уровнях: IIS иNTFS. Помните, что покупатели должны получить доступ к ASP-стра-ницам и к нужной информации. Не забудьте, что доступ к вашемусайт открыт со всех IP-адресов, сетей или доменов.1. До настройки авторизации пользователей вы решили уточнить

полную схему доступа пользователей к ресурсам. Из каких этаповсостоит процедура предоставления доступа?

2. Разрешения US-сервера распространяются на всех пользователей,пытающихся получить доступ к Web-сайту. Как настроить эти раз-решения?

3. В отличие разрешений US-сервера разрешения NTFS относятся кконкретным пользователям и группам. Как их настроить?

Упражнение 3. Планирование системы защиты сети сприменением брандмауэровПлан должен обеспечивать максимальную защиту частной сети иWeb-служб, особенно базы данных. Вы используете брандмауэры длясоздания сети периметра и изоляции частной сети.1. Какие две основные топологии сетей периметра применяются и

чем они отличаются?

2. Требуется обеспечить максимальную защиту сети. Какую конфи-гурацию вы выберете?

3. Нужно также обеспечить максимальную защиту базы. Сколькобрандмауэров вы установите?

Закрепление материала7 J Приведенные ниже вопросы помогут вам лучше усвоить ос-


1. Вы — сетевой администратор компании Consolidated Messenger.Вам необходимо развернуть приложение, которое позволит кли-ентам следить за состоянием своих посылок в онлайновом режи-ме. Для получения информации о посылке пользователям предла-гается указать номер посылки, присвоенный ей при оформлении.Эти номера никак не связаны с учетным записям пользователейили базами данных аутентификации: чтобы получить информациюпользователям не нужно представлять никаких дополнительныхсведений кроме номера посылки. Какой моделью аутентификациивы воспользуетесь на вашем Web-сайте?

Web-сайт компании Adventure Works позволит пользователям по-лучать информацию о различных городах мира. Для доступа к базеданных SQL Server на сайте применяются ASP-приложения. Вынастроили на сайте анонимный доступ, при конфигурированииразрешений IIS установили флажок Read (Чтение) и в поле сосписком Execute Permissions (Разрешен запуск) назначили разре-шение на исполнение сценариев Scripts Only (Только сценарии).Затем, конфигурируя NTFS-разрешения Web-папки, создали вкаталоге учетную запись 1и$&_<имя_компьютера> и предостави-ли ей разрешение на чтение, Обращаясь к Web-сайту, пользовате-ли получают доступ к домашней странице, но не могут выполнитьникаких ASP-приложений. Какова наиболее вероятная причинанеполадки?

Вы создаете Web-сайт для компании Trey Research. Руководствохочет, чтоб клиенты при входе в систему сайта и для доступа кресурсам проходили аутентификацию. Клиенты пользуются раз-личными типами браузеров, и их компьютеры работают на разныхоперационных системах. Для зашиты данных, которыми обмени-ваются клиентские компьютеры и Web-серверы, вы установилипротокол IPSec, однако многим клиентам не удается настроитьбезопасное подключение. Какова наиболее вероятная причинанеполадки?

Бы — сетевой администратор маленькой фирмы, которая предос-тавляет онлайновые Web-сервисы своим клиентам. Сайт содержиттолько статическое информационное наполнение, которое полно-стью расположено на US-сервере. IIS конфигурирован для под-держки анонимного доступа. Требуется защитить сеть с примене-нием брандмауэра, причем решение должно быть недорогим, лег-ко управляемым и отделять сеть периметра от остальной сети так,чтобы доступ к Интернету из частной сети не зависел от доступ-ности сети периметра. Какой вариант защиты сети средствамибрандмауэр вы предпочтете?

Г Л А В А 1 1

Мониторинг системи действияв чрезвычайныхситуациях

Разработка плана мониторинга системы 441

-1 > Инициирование оповещения об измененияхв работе процессора 457

Создание стратегии аудита безопасности 459

-2, Аудит Web-узла 468

Проектирование стратегии восстановленияв чрезвычайных ситуациях 469

11-1. Разработка стратегии мониторингаи аудита системы 478


Мониторинг систем и денлшй в чрезвычайных ситуациях Глаза 11

В этой главеПри проектировании высокодоступных Web-решений следует учестьдва обстоятельства, не связанных напрямую с инфраструктурой сети.Во-первых, решить, каким образом осуществлять мониторинг и аудитсистем для обеспечения производительности, доступности и безопас-ности. Тщательно разработанный план мониторинга и аудита сис-тем — составная часть системы управления Web-сайтом высокой до-ступности Web-решений в среде Microsoft Windows 2000. Во-вторых,вы должны позаботиться о плане действий в чрезвычайных ситуаци-ях, который защитит сеть от потери данных и сбоев оборудования. Вплане следует описать порядок действий при самых различных сбо-ях — от стихийных бедствий до вирусов. В этой главе рассказываетсяо том, как разработать план мониторинга и аудита систем, а такжеплан действий в чрезвычайных ситуациях.

Прежде всегоДля изучения материалов этой главы необходимы;• навыки работы с оснастками Performance (Производительность) и

Event Viewer (Просмотр событий) в Windows 2000;• опыт поддержки протоколирования сервера IIS;• знание методик преодоления чрезвычайных ситуаций, поддержи-

ваемых Windows 2000.

Занятие 1 Разработка плана мониторингасистемы

Мониторинг производительности и надежности сайта — важная частьработы системного администратора. Мониторинг позволяет выявитьпотенциальные проблемы до того, как они приведут к аварии, а так-же определить, когда требуется модернизация системы или как отра-зились внесенные изменения на ее производительности. Мониторингдает возможность определить базовые показатели производительнос-ти системы и сравнивать их с данными, получаемыми при анализеработы системы в дальнейшем. На основе информации о происшед-ших изменениях принимаются решения о тех или иных администра-тивных действиях. На этом занятии вы узнаете, как разработать планмониторинга системы, который позволит оценить ее характеристикис тем, чтобы адекватно реагировать на проблемы, возможные в ва-шем Web-окружении.

Изучив материал этого занятия, вы сможете:s применять счетчики производительности Windows 200G и 1IS

для мониторинга системы;s разрабатывать план мониторинга использования памяти,

загрузки процессора, интенсивности сетевых операцийввода/вывода и работы Web-приложений, а также издержек,связанных, с обеспечением безопасности.

Продолжительность занятие — 30 минут.

Мониторинг производительностиОперационная система Windows 2000 и IIS предоставляют средства,или объекты, производительности, которые позволяют собирать дан-ные о производительности различных компонентов системы. Объек-ты производительности обычно относятся к основным компонентамаппаратного обеспечения, таким, как память, процессор и т.п. Объек-ты производительности обычно являются частью операционной сис-темы, но иногда устанавливаются с другими программами. Объектыпроизводительности содержит ряд счетчиков, предоставляющих ин-формацию о тех или иных параметрах системы или службы. Напри-мер, объект Processor (Процессор) связан с процессорами системы исодержит такие счетчики, как % Processor Time (% загруженностипроцессора) и % User Time (% работы в пользовательском режиме).

Для некоторых объектов производительности допустимо создаватьнесколько экземпляров и отслеживать статистику отдельно для каж-дого из них.

Средства мониторингаMicrosoft предоставляет ряд средств для мониторинга производитель-ности системы. Некоторые из них являются частью операционнойсистемы Windows 2000 и сервера I1S, другие можно найти в ресурсеразработчика Windows 2000 Server Resources Kit или на сайте компа-нии по адресу http://www.microsoft.com. Для мониторинга систем ислужб в этих средствах применяются уже упоминавшиеся объектыпроизводительности и счетчики. Наиболее часто применяются такиеоснастки, как Performance (Производительность), Task Manager (Дис-петчер задач), Windows Management Instrumentation (WMI) (Инстру-ментарий управления Windows) и Event Viewer (Просмотр событий).Кроме того, Microsoft предлагает и другие средства мониторинга про-изводительности (таблица 11-1).

Таблица 11-1. Средства

Средство

мониторинга производительности

Описание

HTTP Monitoring Tool

Network Monitor(Сетевой монитор)

NetStat

PerformanceCounter Check

Process Explode

Применяется для мониторинга активностипередачи данных по протоколу HTTP иинициирования оповещений о серьезныхизменениях

Оснастка мониторинга сетевого трафика

Утилита командной строки, позволяющаяобнаруживать сетевые подключения и отобра-жающая их в списке вместе с информацией опротоколе, состоянии подключения, а такжес адресами локального и внешнего узлов

Управляемый сценариями СОМ-объект,предоставляющий доступ к показаниямсчетчиков производительности из WSH-(Windows Script Host) или ASP-файлов

Эта утилита позволяет получить подробнуюинформацию о каждом из запушенных налокальном компьютере процессов, а такжеопределить приоритет потоков, просмотретьи изменить параметры безопасности илипринудительно завершить процесс

Process Monitor

Process Thread and Status

Process Tree

Process Viewer

Web ApplicationStress Tool (WAST)

Web CapacityAnalysis Toot (WCAT)

(продолжение)Предоставляет подробную информацию окаждом из запущенных на локальномкомпьютере процессов

Применяется для мониторинга состоянияпроцессов и потоков

Применяется для просмотра дерева процессови принудительного их завершения налокальных и удаленных компьютерах

Применяется для получения подробнойинформации о любых процессах, измененииприоритета процессов и потоков и ихостанова в случае необходимости

Имитирует запрос HTML-страниц из Интернетасразу несколькими браузерами. Применяетсядля сбора данных о производительности истабильности Web-приложений

Имитирует различного рода нагрузки наклиент-серверные приложения. Позволяетвыполнить нагрузочное тестированиеUS-сервера и сетевых конфигураций

Оснастка PerformanceОснастка Performance (Производительность) состоит из двух подклю-чаемых оснасток— System Monitor (Системный монитор) и Perfor-mance Logs and Alerts (Оповещения и журналы производительности).На рис. 11-1 оснастка System Monitor активна, на экране отобража-ются показания счетчиков % Processor Time (% загруженности про-цессора) и % User Time (% работы в пользовательском режиме) объек-та производительности Processor (Процессор). Обратите внимание напики активности процессора в моменты запуска приложений.

Оснастка Performance — наиболее эффективное средство для оп-ределения средней производительности сервера. Она позволяет оце-нить последствия изменений, внесенных в аппаратную и программ-ную конфигурацию системы. Показания счетчиков можно просмат-ривать в цифровом или графическом виде, а также инициировать со-общения о превышении определенных пороговых значений.

Оснастка System Monitor применяется для сбора данных об исполь-зовании аппаратных ресурсов и активности системных служб на ком-пьютерах сети. Сбор данных производительности и их просмотр в ре-жиме реального времени реализуется как на локальном, так на не-

скольких удаленных компьютерах. Можно также указать тип средств,используемых для сбора данных (счетчики, объекты производительно-сти и их экземпляры), и источник данных (локальный или удаленныйкомпьютер). Для просмотра данных производительности необходимыесчетчики просто добавляются в окно оснастки System Monitor.

Рис. 11-1. Подоснастка System Monitor в окне оснастки Performanceсо счетчиками % Processor Time и % User Time

Оснастка Performance Logs and Alerts предназначена для автома-тического сбора данных с локального или удаленного компьютера изаписи их в файл журнала. Сохраненные таким образом данные дос-тупны для просмотра в окне системного монитора или экспорта вэлектронные таблицы или базы данных для последующего анализа исоздания отчетов. Как и в System Monitor, в оснастке Performance Logsand Alerts для сбора данных о производительности аппаратных средстви системных служб используются счетчики, объекты производитель-ности и их экземпляры. Performance Logs and Alerts поддерживает дватипа журналов: журнал счетчиков и журнал трассировки событий. Впервом данные регистрируются с заданной периодичностью, а во вто-ром — при определенных событиях, например при операциях чтения/записи данных на диск или ошибке страницы.

Оснастка Performance Logs and Alerts также применяется для ини-циирования оповещения о превышении допустимого уровня парамет-ром, измеряемым счетчиком. Для этого счетчик настраивается наопределенное пороговое значение. Предположим, необходимо ини-циировать оповещение о превышении определенного уровня нагруз-ки на процессор, например 20%. Для этого пороговое значение счет-

Разработка плана мониторинга системы

чика % Processor Time (% загруженности процессора) устанавливает-ся в 20%. Затем указывают действие, выполняемое при превышенииэтого значения:• внести запись о случившемся в журнал приложений (Application

log);• отправить по сети сообщение определенному адресату;• начать запись в указанный журнал производительности;• выполнить определенную программу.

Оснастка Task ManagerКак и Performance, оснастка Task Manager (Диспетчер задач) приме-няется для предоставления информации о производительности сис-тем и отображает «моментальный снимок» работающих на компью-тере программ и процессов. Здесь также доступна информация о заг-руженности процессора и памяти (рис. 11-2).

Рис. 11-2. Вкладка Performance оснастки Task Manager

На вкладке Performance (Быстродействие) в режиме реального вре-мени отображаются данные о производительности компьютера. Награфиках показано использование ресурсов процессора и памяти —общее число описателей, потоков и процессов, а также объем памятив килобайтах, занятый ядром и приложениями. Кроме того, вкладкуPerformance можно настроить на индикацию времени работы процес-сора в режиме ядра.

Оснастка Task Manager удобна для быстрого получения краткойсводки параметров системы и ее производительности, однако оснас-

лл& МОНИТОРИНГ снстем и действий к чрезвычайных ситуациях Глава 11г Тчн!

тка Performance предоставляет намного больше возможностей. Хотяв Task Manager для сбора данных используются некоторые из счетчи-ков оснастки Performance, этому средству недоступен весь объем ин-формации, предоставляемый всеми установленными на компьютересчетчиками. Task Manager также не поддерживает журналы и опове-щения.

Инструментарий управления Windows WMIИнструментарий управления Windows (WMI) представляет собой ре-ализацию компанией Microsoft системы управления предприятием наоснове Web (Web-Based Enterprise Management, WBEM). Она обеспе-чивает унифицированный способ доступа к административной ин-формации и интегрирована в модель CIM (Common InformationModel) — гибкую объектно-ориентированную схему управления се-тями, системами, приложениями, базами данных и оборудованием.Инструментарий управления Windows применяется для управления,мониторинга и регистрации в журналах событий приложений, уст-ройств и сетевых служб.

WMI обеспечивает инфраструктуру для мониторинга системы ипредоставляет для этого свой API-интерфейс, открывая доступ ковсем административным данным, полученным средствами WMI.

ОС Windows 2000 собирает и хранит данные обо всех системныхресурсах— дисках, оперативной памяти, процессорах, сетевых ком-понентах и др. По умолчанию эти данные хранятся в реестре, но ихможно получить также с помощью WMI. Средства WMI предназна-чены для сбора и переноса в единое хранилище административныхданных сведения об аппаратной платформе, драйверах и приложени-ях системы. Доступ к полученной информации и ее обработка осу-ществляются по технологии CIM. Совместное применение W M I иCIM в утилитах управления обеспечивает поддержку множества ад-министративных задач, в том числе мониторинг и регистрацию со-бытий в журналах.

Средства WMI применяются в оснастке Performance для сбораданных производительности. Если вы выполните в командной стро-ке команду perfmon /wmi, откроется стандартная консоль Performanceс двумя оснастками, однако в этом случае данные собираются сред-ствами WMI, а не реестра.

Средство просмотра событий Event ViewerОснастка Event Viewer (Просмотр событий) — это еще один инстру-мент мониторинга системы, применяемый для ведения журналов со-бытий приложений, системы и служб безопасности. Event Viewer по-зволяет просматривать и управлять журналами событий, сбором све-

дений об аппаратных и программных ошибках и мониторингом безо-пасности системы.

Оснастка Event Viewer поддерживает несколько видов журналовсобытий — Application log (журнал приложений), Security log (журналбезопасности) и System log (журнал системы). Журналы содержат со-бытия следующих типов: Error (Ошибка), Warning (Предупрежде-ние), Success audit (Аудит успехов) и Failure audit (Аудит отказов).На рис. 11-3 показан журнал системы в окне Event Viewer. Обратитевнимание на события нескольких типов в области сведений.

шшi

t| Evtnl v«w« (Local)• 'Ы Apotctficn Log

:!>' SiMlyLog

Ш DiiCloty Servse••Ш D W S S t r v t r

|S| Fife Ftepkcatoi Service

;

:

jjlntamation 6/V2001 12.2646PM4>lnfoimation B,i;2001 12:26:13PMInfoimatiDn B,i;2001 12"26 13 PM

tWarrinrj ЗЛ;ЛМ1 1г262ЭРМInfcurMior, «ЛУЭ»! 12:24.47РМ

-plnfornulip- ei/гоО! 12:24.45PM^Jlrfc*TialiDr Э Л /2001 122445PM^Wmwg S Л /2001 1224:25PM

aventfogsrtrtlogdisksvsnttog

.Nellogor

Рис. 11-3. Просмотр системного журнала в оснастке Event Viewer

При настройке оповещений в оснастке Performance Logs and Alertsможно задать пороговое значение, при превышении которого событиебудет фиксироваться в журнале приложений. Полученные записи по-могают выяснить, как часто инициируется то или иное оповещение

Журналы событий широко применяются для аудита системы. Под-робнее об аудите системы рассказывается в занятии 2.

Мониторинг системыМониторинг системы с Web-сайтом и всеми его приложениями и дан-ными следует начинать с определения жизненно важных параметров,например загрузка памяти и процессора, сети, затраты ресурсов наобеспечение безопасности, а также стабильности Web-приложений. Длямониторинга подобных параметров применяется оснастка Performance,Следует иметь в виду, что для получения достоверных данных о произ-водительности системы их необходимо собирать в течение несколь-ких дней — это позволит получить сведения обо всем диапазоне на-грузок, в том числе пиковых.

Глава 11

В этом курсе дан лишь краткий обзор объектов произ-водительности и счетчиков, применяемых для оценки производитель-ности системы. Названия отдельных счетчиков вы найдете в ресурсахразработчика Windows 2000 Server Resources Kit.

ПамятьОперативная память стоит первой в очереди обязательных для мони-торинга компонентов системы. Нехватка памяти или ошибки в нейприводят к неполадкам в других устройствах. Например, причинанизкой производительности дискового накопителя или процессора наповерку может крыться в неполадках с памятью. Их следует устра-нить до проверки остальных компонентов системы.

В ОС Windows 2000 наибольшей единицей работы считается про-цесс. Он содержит потоки, каждый из которых выполняет свою осо-бую задачу. Доступный процессу объем оперативной памяти называ-ется его рабочим набором (working set). При выходе процесса из отве-денного ему лимита памяти часть исполняемого кода и часто исполь-зуемые данные «сбрасываются» на жесткий диск, в результате чеговозрастает дисковая активность.

Windows ZOOQ

Рис. 11-4. Рабочий набор процесса и его потоков

Для получения полных данных о производительности памяти не-обходимо выполнить мониторинг следующих параметров:• объема доступной для приложений памяти — проверьте, остается ли

свободная память после запуска всех системных служб, и каков ееобъем. Не забудьте измерить этот показатель в пиковые часы ра-боты служб;

• частоты обращений к страницам виртуальной памяти — для выявле-ния недостатка памяти необходимо отследить частоту обращенийк страницам виртуальной памяти на диске. Если значение этого

показателя достигает значительного уровня и не снижается, ус-тановленной в системе оперативной памяти явно недостаточно.Кроме того, обратите внимание на частоту ошибок страниц. Ошиб-ка страницы происходит, когда процесс запрашивает страницу впамяти, но не находит ее там из-за того, что та перемещена надиск. При высоком уровне ошибок страниц следует увеличитьобъем оперативной памяти или уменьшить объем дискового про-странства, отведенного под кэш;

• кэша файловой системы — термин «кэш файловой системы» отно-сится к рабочему набору памяти, выделенной для файловой сис-темы. По умолчанию он занимает около половины общего объемаоперативной памяти. Большой, высокопроизводительный кэшкрайне важен для эффективной работы US-сервера. Однако сле-дует знать, что при нехватке памяти сервер автоматически умень-шает размер кэша;

• размера страничного файла — страничные файлы применяются дляразмещения содержания оперативной памяти на диске. Чем боль-ше размер страничного файла, тем больше данных попадает изпамяти на диск. Для предотвращения краха системы объем диско-вого пространства, отводимого для страничного файла, должен поменьшей мере в два раза превышать объем физической памяти.Производительность работы со страничным файлом иногда повы-шают, размещая его на нескольких дисках;

• размера пула памяти — в пулах хранятся объекты, созданные и ис-пользуемые приложениями и операционной системой. Пуламиуправляет исключительно ядро операционной системы. Существу-ет два типа пулов: выгружаемый (paged) и невыгружаемый (nonpaged),На US-серверах потоки, обслуживающие подключения, размещают-ся в невыгружаемых пулах наравне с другими объектами, исполь-зуемыми службой 11$.

Памяти в системе должно быть достаточно, чтобы предотвратитьвыгрузку потока Inetinfo (рабочий поток US-сервера) на жесткий диск.Полезно проследить, как изменяется объем рабочего набора этой про-граммы в ответ на уменьшение или увеличение объема доступной па-мяти на сервере (кстати, объем доступной памяти не должен опускать-ся ниже 5% установленной физической памяти). Кроме того, существу-ет взаимосвязь между объемом рабочего набора и частотой ошибокстраницы — если частоту ошибок страницы снизить не удается, необ-ходимо установить дополнительную оперативную память.

При изучении данных производительности следует обратить вни-мание на частоту поиска приложениями и службами необходимых

16-4791

данных в кэше. Низкая доля попаданий кэша (результативных обра-щений к кэшу) приводит к увеличению дисковой активности и паде-нию обшей производительности системы. Низкая доля попаданийкэша или, наоборот, высокий процент промахов означает, что объемкэша слишком мал для эффективной работы системы. На произво-дительности также сказывается периодичность очистки кэша. ВWindows 2000 объекты удаляются из кэша в случае их изменения иистечения времени жизни. Частая очистка кэша, сопровождаемаяростом частоты промахов и ошибок страниц, обычно указывает нанедостаточный интервал между очистками. Для правильной оценкивлияния периодичности очистки кэша на производительность ее сле-дует сопоставлять с частотой промахов кэша и ошибок страниц.

При анализе проблем с производительностью размер кэша необ-ходимо сравнивать с объемом доступной памяти, то есть насколько икак часто уменьшается кэш. При недостатке памяти система автома-тически уменьшает кэш, а при избытке — увеличивает. Слишком ма-лый размер кэша отрицательно сказывается на производительностисистемы. Проблему решают, устанавливая дополнительную память, деф-рагментируя жесткий диск или используя оба метода одновременно.

ПроцессорыНедостаток вычислительной мощности процессора может стать серь-езной проблемой для дейстнующих серверов. Процессор становится«узким местом», когда один или несколько процессов потребляютпочти все процессорное время имеющихся на компьютере процессо-ров. В этом случае все остальные операции приостанавливаются, покане освободится очередь потоков, ожидающих обслуживания. Процес-соры, установленные на компьютере под управлением Windows 2000с сервером IIS, должны поддерживать операционную систему, про-цессы IIS-сервера и процессы других приложений. Для оценки по-требления процессорного времени применяются такие инструменты,как тесты WCAT, WAST и оснастка Performance. При использованиилюбого из них необходимо помнить, что они также потребляют неко-торую часть системных ресурсов.

При сборе данных для анализа производительности процессораобязательно также собрать информацию об активности процессора,подключений и потоков IIS-сервера. В процессе измерения активно-сти процессора регистрируют такие параметры, как длина очереди наобслуживание и процентное соотношение времени работы в различ-ных режимах. Данные о подключениях IIS-сервера должны содержатьсведения об активности Web- и FTP-служб. Данные о потоках IISдолжны содержать информацию о числе потоков, загрузке процессо-ра и переключениях контекста.

Занятие 1 Разработка плана мониторинга системы 451

Стабильно длинная рабочая очередь указывает на неспособностьпроцессора справиться с нагрузкой. В результате задерживается ис-полнение потоков. Постоянная очередь из двух и более потоков означа-ет, что процессор стал «узким местом» системы. Оснастка PerformanceLogs and Alerts позволяет инициировать оповещение, предупреждающеео превышении допустимой длины очереди. О структуре распределениянагрузки между процессорами можно узнать из показаний счетчиковработы процессора в различных режимах. Если, несмотря на одно-родное распределение нагрузки на процессоры, потребление процес-сорного времени приближается к максимуму и постоянно наблюда-ется очередь, необходимо установить дополнительные процессорыили заменить существующие на более мощные. Если перегрузка на-блюдается только на одном процессоре, следует заменить исполняе-мое им приложение или перенести процесс на другой сервер.

Данные о статистике подключений позволяют выявить закономер-ности в обращениях клиентов к серверу. В сочетании с информациейоб очередях это поможет определить, не кроется ли причина паденияпроизводительности процессора в увеличении нагрузки. Пользова-тельскую нагрузку можно считать причиной образования «узкого ме-ста», если данные мониторинга выявили длинные очереди, повышен-ную загруженность одного и более процессоров или продолжитель-ную перегрузку, вызванную текущими подключениями (остальныеподключения блокируются).

При анализе данных о числе потоков необходимо выяснить, сколь-ко потоков порождает процесс Inetinfo и как изменяется их число.Кроме того, потребуются сведения о потреблении времени процессо-ра каждым из потоков и числе переключений контекста. При боль-шом числе потоков повышается частота переключения контекста,что, в свою очередь, влияет на производительность, особенно еслипроцессор загружен более чем на 70%.

Интенсивность сетевых операций ввода/выводаОсновные функции сервера IIS — создание клиент-серверных под-ключений, получение/обработка запросов и передача файлов. Эффек-тивность их выполнения зависит от двух факторов: пропускной спо-собности сети и числа подключений, которое она способна поддер-жать. Пропускная способность сети определяется пропускной спо-собностью линии, используемой для подключения, конфигурацией изагруженностью сервера.

При сборе данных об интенсивности сетевых операций ввода/вы-вода необходимо собрать информацию о скорости передачи данныхи TCP-подключениях. В информации о скорости передачи данных

452 Мониторинг Систем и действия п чрезвычайных ситуациях Глава 11

следует измерять число байт, полученных и переданных по протоко-лам Web-, FTP- и SMTP-служб. Кроме того, необходимы сведения ополученных и переданных данных в TCP-сегментах, при обмене дей-таграммами по протоколу IP и на каждом сетевом интерфейсе. Дан-ные о TCP-подключениях должны содержать информацию об уста-новленных, разорванных и сброшенных подключениях.

Собранные данные применяют для определения пропускной спо-собности сети и времени возникновения пиковых нагрузок. Для вы-явления «узких мест» в системе их сопоставляют с показателями по-требления ресурсов памяти и процессора. Сбор информации об ин-тенсивности обмена данными в течение продолжительного периодавремени (включая пиковые часы) позволит выяснить, достаточна липропускная способность сети для обработки всех запросов пользо-вателей. Допустим, в сети возникли неполадки с обслуживанием пользо-вателей в пиковые часы. Если нагрузка на сеть при этом близка кмаксимальной, но потребление памяти и процессора увеличиваетсяненамного, причина неполвдки — в недостаточной пропускной спо-собности сети.

На недостаток пропускной способности также указывает рост чис-ла прерванных или сброшенных подключений: зачастую они возни-кают, если сайт не способен обработать текущее или возрастающееколичество запросов.

Затраты на обеспечение безопасностиНа обеспечение любого уровня безопасности требуются дополнитель-ные затраты ресурсов, что часто отрицательно сказывается на произ-водительности. Для оценки этих затрат недостаточно мониторингаотдельного процесса или потоков. Многие функции безопасностиWindows 2000 интегрированы в операционной системе и US-сервере.Наиболее распространенный способ оценки снижения производи-тельности — сравнение производительности системы с включенны-ми и отключенными функциями безопасности. При этом проводитсямониторинг таких параметров, как загруженность процессора, длинаочереди потоков, использование памяти, интенсивность сетевого тра-фика, задержки в сети и время отклика.

Анализ данных, связанных с издержками на безопасность, заклю-чается в основном в сравнении производительности системы с вклю-ченными и отключенными функциями безопасности. При этом вы-ясняют, требуется ли та или иная функция, и если да, то какал мо-дернизация системы потребуется. Возможно, придется установитьдополнительные процессоры, память или другое оборудование.

Web-приложения

Некачественное Web-приложение способно неэффективно использо-вать ресурсы системы, например сценарий обращается к базе данныхнесколько раз, хотя достаточно одного расширенного запроса. ЕслиWeb-приложения составляют важную часть сайта, необходимо орга-низовать наблюдение за производительностью. Для этого следует вы-полнять мониторинг запросов ASP, CGI и ISAPI, а также запросовGET и POST службы Web.

IMS Сервер IIS можно настроить для регистрации ошибок,связанных с ASP, в журнале событий Windows. Запись в журнал осуще-ствляется при неудачном запросе ASP-приложения клиентом, а самжурнал доступен для просмотра в оснастке Event Viewer.

Если в пиковые часы частота ASP-запросов невелика, возможно,приложение стало «узким местом» системы. В то же время число зап-росов в очереди и время ожидания должны оставаться низкими, впро-чем, возможны скачки значений в зависимости от нагрузки. При до-стижении предела числа запросов в очереди браузеры клиентов полу-чают сообщение о недоступности сервера,

Быстрая, без ожидания ввода/вывода обработка страниц указыва-ет на небольшое число запросов. Если же страницы вынуждены ждатьввода/вывода, скорее всего число запросов очень высоко. Если и вобработке, и в очереди находится много запросов, но потребление ре-сурсов процессора при этом остается низким, вероятно, требуетсяувеличить максимально разрешенное число одновременно выполня-емых потоков.

Если в условиях возрастающей нагрузки на систему число запро-сов CGI и FSAPI уменьшается, причина неполадки скорее всего в са-мом приложении. Возможно, нужно воспользоваться другой техно-логией, например перейти с CGI на ASP или ISAP1.

В некоторых случаях для устранения неполадки потребуется пере-писать все приложение для оптимизации его производительности.Иногда исследование системы выявляет необходимость модерниза-ции системы, которая не обеспечивает надлежащей поддержки при-ложений.

Для многих администраторов полезна возможность автоматичес-кого обнаружения ошибок и информирования о них определенныхлиц или служб. Оснастка Performance Logs and Alerts позволяет ини-циировать оповещения, основанные на показаниях счетчиков, наи-более удобных для мониторинга тех или иных приложений. Напри-

Глава 11

мер, создать оповещение об ошибках в счетчике ошибок компилято-ра сценариев Active Server Pages\Errors From Script Compilers. Для мо-ниторинга сбоев приложений применяют и другие средства, напримероснастку Health Monitor 2.1 пакета Microsoft Application Center 2000.

Принятие решенияПлан мониторинга должен предусматривать сбор данных о потребле-нии ресурсов процессора и памяти, об интенсивности операций се-тевого ввода/вывода, об издержках на обеспечение безопасности иработе Web-приложений (таблица 11-2).

Таблица 11-2. Мониторинг системы

Объект мониторинга Замечания

Оперативная память

Процессоры

Операции сетевоговвода/вывода

Оперативная память стоит первой в очередиобязательных для мониторинга компонентовсистемы. Нехватка памяти или ошибки в нейприводят к неполадкам в других устройствах.Мониторинг памяти осуществляется последующим параметрам; объему доступнойпамяти, производительности виртуальнойпамяти и кэшу файловой системы, а такжеразмеру страничного файла и объему пулапамяти

Когда процессор становится «узким местом»потокам приходится ожидать в очереди навыполнение. Мониторинг проводится последующим параметрам: длине очередипотоков и процентному соотношениювремени работы процессора в различныхрежимах. Кроме того, отдельно следуетсобирать данные о подключениях и потокахUS-сервера

Пропускная способность и число поддержи-ваемых подключений определяют, насколькоэффективно US-сервер создает подключения,обрабатывает поступающие запросы ивыполняет обмен файлами

ливга системы

Затраты на обеспечениебезопасность

Web-приложения

(продолжение)Чем больше уровней безопасности реализованов системе, тем меньше производительность.Наиболее распространенный способ оценкиснижения производительности — сравнениепроизводительности системы с включеннымии отключенными функциями безопасности.Также проводится мониторинг таких пара-метров, как загруженность процессора, длинаочереди потоков, использование памяти,интенсивность сетевого трафика, задержка всети и время отклика

Некачественное Web-приложение способнонеэффективно использовать ресурсы системы,но также возможна ситуация, когда их простонедостаточно для поддержания нормальнойработы сайта. При мониторинге Web-прило-жений собираются данные о запросах, обра-батываемых ASP, CGI и ISAP1. Иногда тре-буется информация о таких обрабатываемыхWeb-службами запросах, как GET и POST

РекомендацииПри разработке плана мониторинга рекомендуется придерживатьсяследующих правил:• для получения достоверных данных информацию следует собирать

на протяжении длительного времени, например нескольких дней;• обязательно выполнять мониторинг памяти, процессоров, опера-

ций сетевого ввода/вывода, работы Web-приложений и издержекна обеспечение безопасности;

• мониторинг памяти надо выполнять до мониторинга остальныхкомпонентов системы. При этом необходимо собрать сведения обобъеме доступной оперативной памяти, производительности вир-туальной памяти и кэше файловой системы, а также о размерестраничного файла и пула памяти;

• при тестировании системы такими средствами, как WCAT, не за-будьте учесть ресурсы, потребляемые самой программой тестиро-вания.

Пример. Мониторинг памяти в издательстве LucernePublishingИздательство Lucerne Publishing поддерживает небольшой Web-сайт,предоставляющий посетителям информацию об услугах и продукции.В пиковые часы наблюдается недостаточная производительность сай-та. Первым делом системные администраторы компании провелимониторинг памяти, который показал, что по всем показателям от-клонения не превышают допустимых значений. Далее они решилиизучить активность процессора (рис. 11-5)

Для мониторинга активности процессора применялись следующиесчетчики:• System/Processor Queue Length (Система/Длина очереди процес-

сора);• Processor/% Processor Time (Процессор/% загруженности процес-

сора);• Processor/% Privileged T.me (Процессор/% работы процессора в

привилегированном режиме)• Processor/% User Time (Процессор/% работы в пользовательском

режиме);• Process/% Processor Time (Процесс/% загруженности процессора)

Рис. 11-5. Мониторинг деят ельности процессора

Анализ полученных д а н н ы х показал, что в пиковые часы процес-сор работает на пределе мощности. Для решения проблемы планиру-ется установить второй процессор.

Тренинг 11-1 -'-. • . . = |ровзнне оповещена

РезюмеВ среду системы Windows 2000 и сервера I1S интегрированы средства,или объекты. предназначенные для сбора д а н н ы х производительнос-ти системы, Каждый объект имеет набор счетчиков, предоставляющихинформацию об определенных параметрах системы или ее компонен-тов. Microsoft предлагает такие инструменты мониторинга системы,как Performance. Task Manager, Инструментарий управления Windows( W M I ) и Event Viewer. При мониторинге системы необходимо обра-тить особое внимание на производительность оперативной памяти ипроцессоров, интенсивность операций сетевого ввода\вывода, поте-ри производительности, связанные с обеспечением безопасности, иработу Web-приложений. Мониторинг следует начинать с анализапроизводительности памяти, для чего изучаются такие параметры,как объем доступной памяти, производительность виртуальной памя-ти и кэша файловой системы, размер страничного файла и пула па-мяти. В процессе мониторинга процессора собираются данные о егоактивности, подключениях, поддерживаемых службами IIS и потоках,порождаемых IIS. Анализ интенсивности операций ввода/выводавыполняется на основании информации о скорости обмена даннымии подключениях, поддерживаемых протоколом TCP. Для выявлениянеполадок, связанных с обеспечением безопасности, выполняют мо-ниторинг таких данных, как загруженность процессора, длина очере-ди потоков, использование памяти, интенсивность сетевого трафика,задержки в сети и время отклика. Производительность Web-прило-жений определяется по данным об обработке запросов ASP, CGI иIS API, а также запросов GET и POST Web-служб.

Тренинг 11-1. Инициирование оповещенияоб изменениях в работепроцессора

Будучи системным администратором, вы проводите монито-ринг производительности корпоративного Web-сайта, так какв пиковые часы наблюдается недостаток ресурсов. Вы пред-полагаете, что причина заключается в недостатке процессор-ных мощностей и поэтому в качестве объекта мониторингавыбрали процессор. Вас интересует доля времени, затрачива-емая процессором на обработку потоков, поэтому для мони-торинга вы решили воспользоваться оснасткой System Monitorи счетчиком % Processor Time (% загруженности процессора)(рис.11-6).

!ониторинг систем и £.еиеший в чрезвычайных еитуамиях Глава 11

Рис. 11-6. Мониторинг активности процессора с помощью счетчика% Processor Time

Счетчик показывает, что загрузка процессора далека от предель-ной. Тем не менее вы намерены выполнить мониторинг в течениенескольких дней — это позволит получить более достоверные данные.1. Какими методами регистрации и просмотра данных о производи-

тельности процессора вы воспользуетесь?

2. При просмотре журнала выяснилось, что загрузка процессора до-стигает предельных величин два раза в день. Вы хотите получатьсообщение при превышении загруженности процессора более, чемна 80%. Как это осуществить?

3. Какие счетчики, помимо % Processor Time, потребуются для мо-ниторинга процессора?

Windows 2000 и IIS позволяют наблюдать за действиями пользовате-лей и служб и обнаруживать попытки несанкционированного досту-па. Регистрация определенных событий позволяет контролироватьмногие операции, связанные с обеспечением безопасности, напри-мер определять, какие области серверов или сайтов подверглись ата-ке или испытывают проблемы с зашитой. ОС Windows 2000 и US-сер-вер обеспечивают два основных метода аудита операций: журнал бе-зопасности (Security Log) Windows и протоколирование IIS. Win-dows 2000 поддерживает регистрацию связанных с защитой событийв журнале безопасности. Кроме того, для регистрации действий по-сетителей Web-узла применяется механизм протоколирования IIS, Наэтом занятии вы научитесь создавать стратегию аудита, в которойжурнал безопасности Windows 2000 и IIS используются для отслежи-вания действий, затрагивающих безопасность сайта.

Изучив материал этого занятия, вы сможете:• организовать регистрацию событий безопасности в журнале

безопасности Windows 2QOO;s организовать регистрацию действий посетителей Web-узлов

на базе IIS.


Аудит системыАудит — это ведение защищенного реестра событий системы, из ко-торого удается узнать, например кто зарегистрировался на сайте, ког-да и к каким файлам обращались посетители и т.п. Аудит— суще-ственный компонент любой защищенной системы. В Windows 2000 иIIS существуют два базовых метода аудита системы — регистрациясобытий безопасности Windows 2000 (в журналах безопасности) и дей-ствий посетителей сайта (с применением протоколирования IIS).

Регистрация событий безопасности Windows 2000Windows 2000 можно настроить так, чтобы связанные с защитой со-бытия регистрировались в журнале безопасности. Событие — это лю-бое существенное явление в системе или в приложении, которое мож-но зарегистрировать в журнале. Например, события безопасности —

удачные и неудачные попытки входа в систему, а также события, свя-занные с использованием ресурсов — создание, открытие или удале-ние файлов. Вы вправе определить, какие события регистрировать вжурнале безопасности, к примеру только успешные попытки входа всистему.

На рис, 11-7 схематически изображен процесс входа пользователяв систему, поддерживающую аудит доступа.

Пользовательвходит

в систему

Windows 20(

Инициация события

Событие4

входав систему

под учетнойзаписью,

Регистрация событияв журнале безопасности

Журналбезоп-

асности

Рис. 11-7. Регистрация события входа в систему в журналебезопасности

Зарегистрированные в журнале безопасности события доступныдля просмотра в оснастке Event Viewer (Просмотр событий), котораяподдерживает поиск, фильтрацию, сортировку и просмотр детальнойинформации о событиях. Журнал часто применяют для выявления из-менений в подсистеме безопасности и нарушений зашиты. Журналы,которые потребуются в будущем, можно архивировать.

В окне Event Viewer отображаются два типа записей (естественно,при условии, что события обоих типов уже произошли): Success Audit(Аудит успехов) и Failure Audit (Аудит отказов). Первые информиру-ют об успешном доступе, а вторые — об отказе в доступе к объект},подлежащему аудиту. Например, если настроить групповую полити-ку для аудита отказа во входе в систему, в журнал безопасности будетдобавляться новая запись типа Failure Audit при всякой неудачнойпопытке пользователя войти в систему.

Журнал безопасности может занимать большой объем дисковогопространства, поэтому следует внимательно относиться к выбору со-бытий, подлежащих аудиту, и учитывать, каким объемом дискового

Создание стратегий аудита безопасности

пространства можно «пожертвовать». Вы вправе настроить EventViewer на запись новых событий поверх устаревших, например тех,что старше определенной даты, или на остановку сервера при запол-нении журнал безопасности.

Настройка аудитаДля включения аудита настраивают групповую политику в оснасткеGroup Policy (Групповая политика) (рис. 11-8). Существует три вари-анта настройки политики: аудит успешных попыток, неудачных по-пыток или любых попыток доступа.

£j Согяога R<

Computer Pi*cy

jj§ £-гл£ле Conligurati

- ^J Soh"aie SeltngS ~

л L§ Secu^Oplnm

i.j a Pubfc Ken Р*ж:

ffi ft IPSKia(yPolicie;n

Bj AdminisfrJ'Ve Teir^Wes

Us г Configuration

P 'jdl account managemeni No ли*пв

П^мЛ ciectofy sennet access NoamMmc

Q Аи* logon creels Noaudilmg

IjAijiHobiecldcces! No auditing

ЙAudit pcfccychaTige No auditing

dit ио ss hacking

it events

ing

l.o : . mj

Рис. 11-8. Применение оснастки Group Policy для настройкии политики аудита

Если требуется контролировать доступ к файлам и папкам, снача-ла следует настроить политику Audit Object Access (Аудит доступа кобъектам) в оснастке Group Policy, а затем включить аудит, настраи-вая свойства (параметры управления доступом) конкретной папки(рис. 11-9).

Чтобы получить доступ к свойствам аудита, щелкнитекнопку Advanced (Другие) на вкладке Security (Безопасность) диалого-вого окна Properties (Свойства).

При включенном аудите можно просмотреть журнал безопаснос-ти на предмет подозрительных событий безопасности, то есть выяс-нить, были ли попытки неправомочного доступе к системе. Вас дол-жны интересовать следующие события:• неудачные попытки входа в систему;• неудачные попытки использования привилегий;

482 Мониторинг систем и действия в чрезвычайных ситуациях Глава 11

• неудачные попытки доступа и изменения файлов с расширения-ми .bat или .cmd;

• попытки изменения привилегий безопасности или журнала безо-пасности;

• попытки остановить сервер.

Рис. 11-9. Настройка аудита в окне свойств палки

Протоколирование операций на сайтеКроме аудита в Windows 2000 можно использовать механизм прото-колирования в IIS для наблюдения за доступом к серверу. Включитьэтот механизм просто, а полученные журналы легко просматриватьстандартными средствами, например WebTrends. Механизм протоко-лирования IIS позволяет собирать данные о следующих подозритель-ных действиях:• множественных неудачных попытках доступа к каталогу Scripts

или другому каталогу с исполняемыми файлами;• попытках загрузки файлов в каталог Scripts или в другой каталог с

исполняемыми файлами;• попытках доступа к исполняемым файлам (например, с расшире-

ниями .bat, .exe или .cmd) и использования их не по назначению;

• попытках загрузки ВАТ- или CMD-файлов в каталог Scripts или вдругой каталог с исполняемыми файлами;

• слишком большом числе запросов, поступающих с одного IP-ад-реса в попытке перегрузить систему или при атаке типа «отказ вобслуживании» (denial-of-service, DoS).

Примечание Цель атаки типа «отказ в обслуживании» заключается вперегрузке системных ресурсов до такой степени, что она становитсянедоступной для остальных пользователей. DoS-атака может также выз-вать разрушение системы.

Механизм протоколирования IIS позволяет регистрировать опе-рации пользователей и сервера на FTP- или Web-узле. Журналы так-же применяются для управления доступом, определения популярно-сти различной информации, планирования требований по безопас-ности и устранения неполадок сайта.

Протоколирование IIS более универсально, чем ведение журналовв Windows 2000, отображаемых в оснастке Event Viewer. На IIS при-меняются модули, работающие независимо от других рабочих ком-понентов сервера, а формат журналов можно выбрать индивидуаль-ного для каждого Web- или FTP-узла. Кроме того, вы имеете правоотключить регистрацию операций отдельных каталогов сайта. Напри-мер, включить регистрацию операций Web-узла по умолчанию, нозапретить регистрировать события папки IISHelp.

Механизм протоколирования IIS поддерживает четыре форматажурнала (таблица 11-3): три формата для записи в ASCII-файлы —W3C Extended, IIS Microsoft и NCSA Common— и один формат запи-си в базу данных— по протоколу ODBC. В последнем случае нужнопредварительно создать соответствующую таблицу в базе данных.

Таблица 11-3. Форматы журналов IIS

Формат Описание

IIS Microsoft Фиксированный формат, предусматривающийзапись основных параметров, таких, как IP-адрес иимя пользователя, запрашиваемые данные и время,кода состояния HTTP и число полученных байт.Отдельные элементы записи разделяются запятыми.В формате Microsoft IIS регистрируется большепараметров, чем в NCSA Common

(продолжение)Формат Описание

NCSA Common NCSA Common (National Center for SupercomputingApplications) — фиксированный формат, доступныйдля Web- но не FTP-узлов, Регистрируется базоваяинформация о запросах пользователе, такая, какимя удаленного узла, имя пользователя, дата, время,тип запроса, код состояния HTTP и числа байт,полученных сервером. Отдельные элементы записиразделяются пробелами

ODBC Запись по протоколу ODBC (Open Database Connec-tivity) предусматривает регистрацию ограниченногонабора полей данных в поддерживающей ODBCбазе данных, например в Microsoft Access или Mic-rosoft SQL Server. Регистрируются IP-адрес и имяпользователя, дата и время запроса, код состоянияHTTP, число полученных байт, выполненнаяоперация и адресат

W3C Extended W3C (World Wide Web Consortium) Extended — наст-раиваемый формат с поддержкой многих полей. Вывправе сами определить, какие поля регистрируютсяв журнале. Поля разделяются пробелами

Параметры протоколирования IIS конфигурируются в окне свойствкаждого FTP- или Web-узла. На рис. 11-10 показана вкладка ExtendedProperties (Расширенные свойства) диалогового окна Extended LoggingProperties (Расширенные свойства ведения журнала) для форматаW3C Extended. Чтобы открыть это окно, щелкните кнопку Properties(Свойства) на вкладке Web site (Веб-узел) [или на вкладке FTP Site(FTP-узел)] диалогового окна Properties (Свойства) сайта.

Принятие решенияWindows 2000 и IIS поддерживают два основных метода аудита систе-мы; ведение журнала безопасности (Security Log) Windows 2000 и про-токолирование IIS (таблица 11-4).

оеэопасности

txlendeil Logging PmpcflieK

IV Time (time )

Extended Properties

:• VJOienl IP Address (c-ip)

:#! User Name [ cs-usemame ]

Г; Service Name (s-sitsriame ]

• О Server Name [ s-computername .

-[^Server IP Address (s-ip)

' y] Server Poi( ( s - p o r t )

] Method (cs-melhod ]

F V] LJR1 Stem | cs-uri-stem )

. fyj URI Query [ cs-uri-querji 1

- V' Piotocol Siaius | sc-status ]

I • !•

Рис. 11-10. Настройка протоколирования в IIS

Таблица 11-4. Механизмы аудита Web-узла

Тип аудита Описание

Регистрация событийWindows 2000

Windows 2000 можно настроить так, чтобысвязанные с зашитой события регистрировалисьв журнале безопасности. Эти события доступныдля просмотра в оснастке Event Viewer (Прос-мотр событий). Для включения аудита наст-раивают групповую политику в оснасткеGroup Policy (Групповая политика). Существуеттри варианта настройки политики: аудит ус-пешных попыток, неудачных попыток илилюбых попыток доступа, Если требуетсяконтролировать доступ к файлам и папкам,прежде необходимо настроить политику AuditObject Access (Аудит доступа к объектам), азатем включить аудит, настраивая свойстваконкретной папки

(продолжение)Тип аудита Описание

Протоколирование Это более простой для реализации механизм,операций сайта чем регистрация событий безопасности вна базе IIS Windows 2000, а полученные журналы легко

просматривать стандартными средствами.Механизм протоколирования IIS позволяетрегистрировать операции пользователей исервера на FTP- или Web-узлах, отключивпри необходимости регистрацию операцийотдельных каталогов сайта. ПротоколированиеIIS более универсально, чем ведениежурналов в Windows 2000

РекомендацииАудит — важная часть любого плана обеспечения безопасности, и егорекомендуется использовать в обязательном порядке, но не забыватьоб управлении журналами. Аудиту подвергают только те ресурсы, ко-торые нуждаются в защите. Для аудита IIS-сервера применяется ме-ханизм протоколирования IIS. В остальных случаях — механизм ре-гистрации событий Windows 2000, который также применяется, ког-да протоколирование IIS не позволяет собрать нужную информацию.В обшем случае стратегия аудита определяется потребностями ком-пании, требованиями по обеспечению безопасности и доступностиресурсов. Однако не следует ограничивать аудит из-за недостатка ре-сурсов — лучше позаботиться о дополнительных ресурсах для его про-ведения. Кроме того, необходимо регулярно изучать и анализироватьрегистрируемые данные, чтобы вовремя обнаружить опасность нару-шения зашиты.

Пример. Аудит каталога в компании Fourth CoffeeВ компании Fourth Coffee поддерживают Web-узел для предоставле-ния клиентам услуг по размещению заказов и обновлению данных оклиентах. Администратор опасается добавления посетителями испол-няемых файлов с вирусами в каталог Scripts и планирует провестиаудит каталога в течение нескольких дней и затем изучить журналыне предмет подозрительных действий.

Сначала администратор сконфигурировал политику Audit ObjectAccess в консоли Group Policy для аудита успешных и неудачных по-пыток доступа к каталогу, а затем на странице свойств каталога Scriptвключил аудит отказов и успехов создания файлов и записи данных.

Для изучения зарегистрированных событий планируется использо-вать оснастку Event Viewer. Наблюдать события для выявления опас-ных действий предполагается ежедневно в течение недели.

РезюмеАудит — это организация ведения защищенного реестра событий си-стемы. В Windows 2000 и IIS предусмотрено два базовых метода ауди-та системы — регистрация событий безопасности Windows 2000 (вжурналах безопасности) и действий посетителей сайта (с применени-ем протоколирования IIS). Windows 2000 можно настроить так, что-бы связанные с защитой события регистрировались в журнале безо-пасности. Эти события доступны для просмотра в оснастке EventViewer (Просмотр событий). В окне Event Viewer отображаются дватипа записей (естественно при условии, что события обоих типов ужепроизошли): Success Audit (Аудит успехов) и Failure Audit (Аудит от-казов). Для включения аудита настраивают групповую политику воснастке Group Policy (Групповая политика). Если требуется контро-лировать доступ к файлам и папкам, настраивают аудит конкретнойпапки в окне ее свойств. Кроме аудита в Windows 2000 предусмотренмеханизм протоколирования в 11$ для наблюдения за доступом к сер-веру. Механизм протоколирования IIS позволяет регистрироватьоперации пользователей и сервера на FTP- или Web-узле. Механизмпротоколирования IIS поддерживает четыре формата журнала: W3CExtended, IIS Microsoft, NCSA Common и ODBC. Формат журналоввыбирается индивидуального для каждого Web- или FTP-узла.

Мониторинг систем и действия в чрезвычайных ситуациях Глава 11

11 -2. Аудит Web-узлаБудучи сетевым администратором в компании Litware Inc., выразвернули Web-узел и хотите организовать аудит сайта, что-бы обеспечить его безопасность. Требуется минимизироватьразмер журналов, поэтому вы решили регистрировать толькодату, время, IP-адрес клиента, имя пользователя и число от-правленных и полученных байт.

1. Каким методом вы воспользуетесь для аудита Web-узла?

2. Какой инструмент вы примените для просмотра журналов?

Вы решили выполнять аудит определенного подкаталога корнево-го каталога Wwwroot и в окне свойств включили аудит всех успешныхи неудачных попыток доступа. Вы вошли в систему Web-узла под те-стовой учетной записью пользователя, обратились к подкаталогу и от-крыли несколько файлов, а затем открыли оснастку Event Viewer, что-бы проверить журнал безопасности. Однако никакие события в жур-нале не записаны.3. Почему события не зарегистрированы в журнале безопасности?

По завершении настройки политик вы вошли в систему Web-узлапод тестовой учетной записью пользователя, обратились к подката-логу и открыли несколько файлов. Затем вы вошли под другой испы-тательной учетной записью и попытались обратиться к каталогу, од-нако система отказала в доступе. При просмотре журнала безопасно-сти обнаружилось, что события успешного доступа зарегистрирова-ны, а неудачи — нет.4. Почему в журнале безопасности не зарегистрированы неудачные

попытки доступа?

Занятие 3. Проектирование стратегиивосстановления в чрезвычайныхситуациях

Несмотря на все усилия защитить системы от сбоев и обеспечить вы-сокую доступность к Web-клиентам, проблемы все-таки возникают.Вам придется быть готовым к исправлению последствий таких сбоев,как разрушительный вирус, авария системы, воровство или саботажили природное бедствие — пожар или наводнение. Поэтому следуетзаранее позаботиться о плане восстановления, чтобы минимизиро-вать потери данных и служб. При проектировании стратегии восста-новления следует предусматривать возможность аварий и спланиро-вать мероприятия, обеспечивающие восстановление. В частности,необходимо приготовить и держать в постоянной готовности устано-вочные и загрузочные дискеты, а также диски восстановления систе-мы. В этом занятии вы узнаете о этапах проектирования стратегиивосстановления в чрезвычайных ситуациях.

Изучив материал этого занятия, вы сможете;/ спланировать стратегию восстановления в чрезвычайных

ситуациях.

Продолжительность занятия— 25 минут.

Восстановление в чрезвычайных ситуацияхЧрезвычайная ситуация вызывает серьезный сбой служб системы, врезультате чего возможны потеря данных или отказ оборудования исистема становится недоступной пользователям и приложениям. По-этому администратор должен быть готов к возможной аварийной си-туации и разработать стратегию восстановления в чрезвычайных си-туациях: подготовить средства восстановления, собрать информациюо системе и конфигурации, оттестировать системные компоненты исредства восстановления и задокументировать мероприятия по вос-становлению.

470 Мониторинг систем и действия в чрезвычайных ситуациях Глава 11

Подготовка средств восстановленияНа случай чрезвычайной ситуации необходимо предусмотреть несколь-ко средств, гарантирующих быстрое восстановление. Необходимо по-заботиться об установочных и загрузочных дискетах Windows 2000 идисках аварийного восстановления. А также регулярно выполнять ре-зервное копирование данных, чтобы предотвратить потерю жизнен-но важной информации о состоянии системы, файлов и важных дан-ных.

Создание установочных и загрузочных дисков Windows 2000 и дисковвосстановленияВ некоторых случаях не удается получить доступ к нужным системамдля восстановления существующей установленной копии или пере-установки ОС Windows 2000. Например, компьютер не поддерживаетзагрузку с компакт-диска или каталоги или файлы недоступны. В та-кой ситуации Windows 2000 восстанзаливают с применением загрузоч-ных дисков или дисков аварийного восстановления, что позволяет об-ратиться к системным ресурсам или повторно установить Windows 2000.В некоторых случаях применяют сразу несколько комплектов пере-численных дисков, например восстанавливают систему с применени-ем установочных дисков, а затем дисков аварийного восстановления.

Необходимо позаботиться обо всех трех комплектах дисков (таб-лица 11-5) и держать их всегда под рукой.

Таблица 11-5. Дискеты восстановления Windows 2000

Тип диска Описание

Установочные диски Установочных дисков Windows 2000 — четыре.Их применяют в случае сбоя системы длязапуска процесса установки, консоли восста-новления и процесса аварийного ремонта.Установочные диски позволяют получитьдоступ к компьютеру, не поддерживающемузагрузку с CD-ROM. Для создания установоч-ных дисков применяется утилита makebt32,расположенная на установочном компакт-диске Windows 2000 Server

Загрузочные диски(продолжение)

Каждый загрузочный диск уникален для кон-кретной установленной копии Windows 2000,в которой создан. Он позволяет получитьдоступ к FAT- или NTFS-диску с разрушеннымзагрузочным сектором. Загрузочный дискприменяется для устранения таких неполадок,как разрушенный загрузочный сектор,разрушенная главная загрузочная запись,заражение вирусом, отсутствие или разрушениефайла NTLDR или NTDETECT.COM, илинекорректный файл NTBOOTDD.SYS.Загрузочный диск неприменим в системах снекорректным или разрушенным драйверомустройства в системном каталоге Windows 2000или для устранения неполадок загрузки,происходящих после запуска загрузчика.Чтобы создавать загрузочный диск, скопируйтефайлы NTLDR, NTDETECT.COM иBOOT.INI, а также файл драйвера жесткогодиска на дискету. Загрузочный диск создаетсядля каждого компьютера

Диски аварийного восстановления позволяютустранять неполадки системных файлов (наслучай их случайного удаления или наруше-ния целостности), среды запуска (в системахс множественной загрузкой) или загрузочногосектора за загрузочном томе. Диски аварий-ного восстановления создают средствамиутилиты Windows Backup (АрхивацияWindows) для каждого защищаемогокомпьютера

Резервное копирование данныхЕдинственный способ защитить данные — регулярно выполнять ре-зервное копирование. В противном случае при сбое не удастся вос-становить важную информацию или параметры конфигурации. Регу-лярное резервное копирование предотвращает потерю данных попричине отказа диска, отключения питания, заражения вирусом идругих проблем.

Имеющаяся в Windows 2000 утилита Backup (рис. 11-11) позволя-ет архивировать программы и файлы, восстанавливать их ранее со-зданного архива и создавать диски аварийного восстановления,

Диски аварийноговосстановления

Рис. 11-11. Вкладка Backup (Архивация) утилиты Windows 2000Backup (Архивация Windows 2000)

Утилита Backup интегрирована с базовыми распределенными служ-бами Windows 2000, поэтому «е можно применять для резервного ко-пирования данных состояния системы:• файлов начальной загрузки и файлов, защищенных средствами

Windows File Protection (Защита файлов Windows), или WFP;• службы Active Director)';• системной папки Sysvol;• службы сертификации;• базы данных кластеров;• реестра;• конфигурации счетчиков производительности;• база данных регистрации классов в службе Component Services

(Службы компонентов);

Утилита Backup поддерживает копирование данных на ленту, ло-гический диск, съемный диск или целую библиотеку дисков ил и лент.

Сбор информации о конфигурации и системеКроме подготовки средств восстановления необходимо обеспечитьхранение различной информации, которая позволит в случае сбоявосстановить систему. Документация должна быть полной и хранить-ся в безопасном и легко доступном месте, В таблице 11-6 перечисле-ны виды информации, которую нужно хранить.

Таблица 11-6. Хранение

Тип информации

информации о системе

Примечание

Аппаратная конфигурация

Конфигурации программ

Информация о конфигурации всехкомпьютеров (тип, модель, серийныйномер, BIOS, CMOS-память и сетевыеадаптеры). Не забудьте указать данныео дисковой подсистеме, в том числе типдиска, тип адаптера, конфигурацию томови емкость диска

Информация об установленных наборахпрограмм, инструментальных средствах ирасширениях. Храните записи о конфигу-рации программ и резервных копияхкаждого компьютера. Информация должнасодержать перечень приложений и тома,на которых они установлены, данные олицензировании, установленных сервисныхпакетах и пакетах срочных исправлений.Не забудьте об особых параметрахконфигурации, таких, как режимы видео,если это важно для конкретной машины

Храните записи об именах всех компьютерови, если нужно, их статических IP-адресов

Храните записи принадлежностикомпьютеров к доменам

Храните в безопасном месте запись опаролях локальных администраторов,примененных при последнем резервномкопировании

Любая информация, которая можетпонадобиться для восстановлениясистемы, такая, как документация,внутренние документы и контактнаяинформация

Тестирование системных компонентовКомпоненты тестируют, чтобы предсказать наиболее вероятное мес-то отказа и потренироваться выполнять процедуры восстановления.Нагрузочное тестирование нужно выполнить для всех функций сис-темы, в том числе внутренних, (жесткие диски, контроллеры, процес-

Имена и IP-адресакомпьютеров

Домены

Пароли локальныхадминистраторов

Другая информация

474 Мониторинг еисгем и дейетзня s чрезвычайный ещуацияя Глава 11

соры и оперативная память) и внешних компонентов (маршрутиза-торы, мосты, коммутаторы, кабели и соединения).

В процессе нагрузочного тестирования следует смоделировать сле-дующие ситуации:• большая нагрузка на сеть;• большая интенсивность операций ввода/вывода;• большая нагрузка на файловые серверы и серверы приложений;• большое число одновременно работающих пользователей.

Тестирование средств восстановленияПосле создания средств восстановления (установочных и загрузоч-ных дисков Windows 2000, дисков аварийного восстановления, а так-же резервной копии системных данных) нужно проверить работос-пособность установочных и загрузочных дисков Windows 2000, дис-ков аварийного восстановления, а также возможность работы в безо-пасном режима (Safe Mode) и в консоли восстановления (RecoveryConsole). Тестирование поможет определить, сколько времени нуж-но на восстановление, все ли данные зарезервированы и вся ли ин-формация о конфигурации и системная информация собрана.

Тестирование позволяет определить, какие процедуры восстанов-лением следует применять в тех или иных местоположениях. Напри-мер, в одном случае более полезен безопасный режим восстановле-ния, а в другом — аварийного восстановления.

При тестировании необходимо смоделировать наиболее вероятныесценарии сбоя системы, в том числе следующие процедуры восста-новления;• восстановление данных из резервных копий;• восстановление RAID-тома;• выдвижение рядовых серверов в контроллеры домена для замены

отказавшего контроллера домена;• замена компонентов, таких, как жесткие диски, адаптеры и источ-

ники питания;• восстановление главной загрузочной записи (MBR) и загрузочных

секторов;• восстановление системных файлов Windows 2000.

Тестировать процедуры восстановления следует до введения но-вого компьютера или сервера в рабочую среду.

Тестирование процедур восстановления выполняется параллель-но с обучением персонала. Когда администраторы практикуются вмероприятиях по восстановлению при сбое, они обучаются действи-ям в чрезвычайных обстоятельствах. Тщательное обучение персоналапомогает снизить вероятность и разрушительность отказов.

Документирование процедур восстановленияСтратегия восстановления в чрезвычайных ситуациях должна содер-жать пошаговые процедуры восстановления после различных аварий.Эти процедуры также применяют для тестирования новых компью-теров до ввода их в эксплуатацию, а также для обучения администра-торов и операторов и создания инструкций по обслуживанию. Приобновлении системной конфигурации также необходимо модифици-ровать процедуры, например, при установке новой операционнойсистемы или замены утилиты для обслуживания системы.

Принятие решенияПри проектировании стратегии восстановления в чрезвычайных си-туациях требуется подготовить средства восстановления, собрать ин-формацию о системе и конфигурации, оттестировать системные ком-поненты и средства восстановления и задокументировать мероприя-тия по восстановлению (таблица 11-7).

Таблица 11-7. Восстановление в чрезвычайных ситуациях

Этап Примечание

Подготовка средстввосстановления

Сбор информациио системеи конфигурации

Тестированиесистемныхкомпонентов

К. средствам восстановления относятся уста-новочные и загрузочные диски Windows 2000,диски аварийного восстановления, а такжелюбые жизненно важные зарезервированныеданные и информация о состоянии системы.Резервное копирование следует выполнятьрегулярно

Информация, необходимая для восстановлениясистемы при сбое, в том числе аппаратные ипрограммные конфигурации, имена и IP-адреса компьютеров, перечень и составдоменов, пароли локальных администраторови другая документация, необходима длявосстановления

Ваша задача — провести нагрузочное тестиро-вание всех функций системы, в том числевнутренних и внешних компонентов. Такоетестирование должно предусматривать созданиенагрузки на сеть, на операции ввода/вывода,на файловые серверы и серверы приложений,а также имитацию работы большого числаодновременно работающих пользователей

Мониторинг сметем к действия в чрезвычайных еитуащш Глава И

(продолжение}Этап

Тестирование средств Тренинг по процедурам восстановления послевосстановления сбоев, то есть проверка работоспособности

установочных и загрузочных дисковWindows 2000, дисков аварийного восстанов-ления, а также возможности восстановленияиз резервных копий

Документирование Стратегия восстановления в чрезвычайныхпроцедур восстановления ситуациях предусматривает процедуры

восстановления после различных аварий

РекомендацииЭффективность стратегии восстановления в чрезвычайных ситуаци-ях в значительной степени зависит от мероприятий, выполненных довозникновения проблем. Выяснять, какая информация важна и всяли она резервируется, нужно до возникновения аварии. Стратегиявосстановления состоит из пяти этапов: подготовки средств восста-новления, сбора информации о системе и конфигурации, тестирова-нии системных компонентов и средств восстановления и документи-рования мероприятий по восстановлению.

Пример. Подготовка средств восстановленияв компании Coho VineyardВ компании Coho Vineyard внедряют стратегию восстановления вчрезвычайных ситуациях, чтобы предотвратить возникновение про-блем при авариях на Web-узле, Компания имеет небольшой Web-узелсо статическим информационным наполнением и поддержкой толь-ко анонимного доступа. Сайт обслуживают два HS-сервера, объеди-ненных в NLB-кластер. В рамках стратегии восстановления в чрез-вычайных ситуациях компании Coho Vineyard администраторы гото-вят следующие средства восстановления:• установочные диски Windows 2000 — администраторы создают ус-

тановочные дискеты Windows 2000 Server средствами утилитыMAKEBT32.EXE, которая расположена в папке Bootdisk на ком-пакт-диске. Администраторы создают четыре диска: загрузочныйустановочный диск Windows 2000, установочный диск Windows 2000№2, установочный диск Windows 2000 №3 и установочный дискWindows 2000 №4;

• загрузочные диски Windows 2000 — для каждого компьютера подуправлением Windows 2000 Server создается загрузочная дискета скопией файлов NTLDR, NTDETECT.COM и BOOT.INI в корне-вом каталоге;

• диски аварийного восстановления Windows 2000 — для каждого ком-пьютера под управлением Windows 2000 Server средствами масте-ра Emergency Repair Disk Wizard (Диск аварийного восстановле-ния) утилиты Backup создаются диски аварийного восстановле-ния, которые содержат параметры системы конкретных компью-теров;

• резервные копии данных — администраторы используют утилитуBackup для создания заданий и графика резервного копированияна каждом компьютере. На всех компьютерах под управлениемWindows 2000 Server резервируются все данные, в том числе дан-ные состояния системы.

РезюмеЧрезвычайная ситуация, или сбой, — это состояние, когда системане способна выполнять свои функции. При проектировании страте-гии восстановления в чрезвычайных ситуациях необходимо подгото-вить средства восстановления, собрать информацию о системе и кон-фигурации, оттестировать системные компоненты и средства восста-новления и задокументировать мероприятия по восстановлению. Ксредствам восстановления относятся установочные и загрузочные дис-ки Windows 2000, диски аварийного восстановления, а также любыежизненно важные регулярно резервируемые данные и информация осостоянии системы. Необходимо собирать информацию, которая по-зволит в дальнейшем восстановить систему, в том числе аппаратныеи программные конфигурации, имена и IP-адреса компьютеров, пе-речень и состав доменов, пароли локальных администраторов и дру-гую документация, необходимую для восстановления. Необходимо те-стировать компоненты, чтобы предсказать наиболее вероятное местоотказа и потренироваться выполнять процедуры восстановления.После создания средств восстановления нужно попрактиковаться впроцедурах восстановления после сбоев, то есть проверить работос-пособность установочных и загрузочных дисков Windows 2000, лис-ков аварийного восстановления. Наконец, стратегия восстановленияв чрезвычайных ситуациях должна содержать пошаговые процедурывосстановления после различных аварий.

Мониторинг систем и действия в чрезеычайных ситуациях Глава 11

11-1. Разработка стратегиимониторинга и аудитасистемы

Цель

Выполнив этот практикум, вы научитесь создавать:• стратегию мониторинга системы;• стратегию аудита системы.

В этом практикумеВы создадите план мониторинга системы с применением объектовпроизводительности Windows 2000 и IIS и план аудита с использова-нием событий Windows 2000 и 1IS для регистрации действий, связан-ных с безопасностью, а также с применением журналов I1S для реги-страции информации, относящейся к Web-узлу.

Прежде всегоДля выполнения этой практической работы необходимы навыки ра-боты с:• объектами и счетчиками производительности Windows 2000, IIS и

других приложений для измерения производительности компью-тера под управлением Windows 2000 Server;

• событиями в Windows 2000, IIS и других приложениях для регист-рации событий компьютера под управлением Windows 2000 Server;

• использовать журналы IIS для контроля деятельности Web-узла.

Исходные данныеКомпания Northwind Traders; имеет небольшой Web-узел с интерфей-сным кластером IIS-серверов и внутренним кластером серверов SQLServer. Для доступа к данным, расположенным во внутреннем клас-тере, на интерфейсных серверах применяются ASP-приложения. Сайтпредоставляет пользователям Интернета только анонимный доступ.Интерфейсный кластер состоит из трех, а внутренний — из двух ком-пьютеров под управлением Windows 2000 Server (рис. 11-12). Оба кла-стера расположены в сети периметра, ограниченной двумя брандмау-эрами.

Будучи сетевым администратором сайта, вы должны разработатьстратегию мониторинга и аудита, в которой счетчики производитель-

ности Windows 2000 и протоколирование IIS применяются для сбораинформации о производительности и безопасности системы.



ЛЗ-серверы

СерверыSQL Serve



Рис. 11-12. Интерфейсные и внутренние серверы компании NorthwindTraders

Упражнение 1. Создание стратегии мониторингасистемыВы разработаете план мониторинга системы, в котором используют-ся объекты и счетчики производительности Windows 2000 и IIS. На

480 Мониторинг систем и действия в чрезвычайных еитуацийк f nasa 11

данном этапе требуется контролировать производительности толькона трех IIS-серверах. Процедуры измерения производительности оди-наковы для всех трех компьютеров. Необходимо следить за загружен-ностью памяти, процессоров, интенсивностью ввода/вывода и рабо-той Web-приложений. Поскольку пользователи получают только ано-нимный доступ к сайту, вопросы безопасности пока не актуальны.1. Прежде всего надо контролировать использование памяти. За ка-

кими пятью параметрами памяти следует наблюдать?

2. Почему о мониторинге память необходимо позаботиться до конт-роля других компонентов?

3. Далее следует организовать наблюдение за процессорами. Вы пла-нируете собирать информацию о работе процессора, а также оподключениях и потоках службы I1S. Какие параметры нужно со-бирать в каждой из перечисленных категорий?

4. Следующий шаг — сбор данных о сетевом вводе/выводе, а точнее,о скоростях передачи и TCP-подключениях. Какую информациюследует собирать о скоростях передачи и TCP-подключениях?

5. Наконец, вы планируете организовать мониторинг Web-приложе-ний. Какие компоненты необходимо контролировать?

6. Предположим, что в процессе анализа данных вы обнаружили, чтов некоторые моменты длина очереди долго остается большой. Вчем вероятная причина?

Упражнение 2. Создание стратегии аудита системыНеобходимо спроектировать стратегию аудита пользователей и служб.Для этого применяются два способа: регистрация событий подсисте-мы безопасности Windows 2000 (журнал безопасности) и операций насайте (журналы IIS).1. Прежде всего следует настроить политики аудита, которые позво-

лят регистрировать определенные события. Как сконфигурироватьполитики аудита?

2. Необходим особый контроль доступа к отдельным каталогам ифайлам — требуется регистрировать все попытки доступа к этимресурсам. Какую политику (или политики) и как нужно сконфи-гурировать?

3. После настройки групповой политики вы решили организоватьаудит каталога Inetpub\Scripts. Что для этого нужно сделать?

4. Далее требуется позаботиться о регулярном изучении журнала бе-зопасности на предмет важных событий. Как изучить содержимоежурнала безопасности?

5. Кроме аудита событий вам придется обеспечить регистрацию опе-раций Web-узла, а точнее дату, время, IP-адрес и имя всех посети-телей сайта. Пока не нужно более подробной информации, чтобыограничить размер журналов. Как регистрировать указанную ин-формацию?

6. Как просмотреть зарегистрированную информацию о посетителяхсайта?

7. Какие форматы файлов журнала поддерживает US-сервер?

8. Вы решили, что не нужно регистрировать абсолютно все опера-ции Web-узла— в частности, события каталога Images на сайте.Как отключить регистрацию событий каталога Images?



I. Необходимо обеспечить мониторинг производительности компь-ютера под управлением Windows 2000 — определить номинальноезначение и контролировать его превышение. Какое инструмен-тальное средство позволяет это сделать?

17-4791

ЙЯонитЕОрйнг систем и действий з чрезвычайных ситуациям Глава 1 1

2. Будучи сетевым администратором компании, вы отвечаете за мо-ниторинг производительности IIS-сервера. Вы обнаружили, чторабочий набор Inetinfo часто занимает всю доступную физичес-кую память, кроме того, в это время резко возрастает активностьдисков, В чем наиболее вероятная причина неполадки?

3. Вы организуете аудит события входа в систему IIS-сервера. Васинтересуют только неудачные попытки, однако в журнале безо-пасности регистрируется все попытки входа в систему — удачныеи неудачные, и журнал слишком быстро переполняется. Как орга-низовать регистрацию только неудачных попыток входа в систему?

4. В системе регистрируются события IIS-сервера. Вы хотите регис-трировать все события, связанные с обращениями к базе данныхSQL Server. Вы определили базу данных, имя источника данных(data source name, DSN) и таблицу для размещения информации особытиях. Какой формат данных следует указать при конфигури-ровании регистрации событий в IIS?

5. Вы разрабатываете стратегию восстановления US-серверов и ре-шили создать средства восстановления системы. Вы создали уста-новочные и загрузочные диски Windows 2000, а также диски ава-рийного восстановления. О каких еще средствах восстановлениянужно позаботиться?

6. В рамках подготовки плана восстановления в чрезвычайных ситу-ациях вы решили оттестировать различные компоненты системы,чтобы выявить наиболее уязвимое место системы. Предполагает-ся протестировать внутренние и внешние компоненты. Какие на-грузочные тесты следует выполнить?

Приложение

Вопросы и ответы

Глава 1Закрепление материала1. Дайте определение следующих терминов: доступность, отказ, от-

казоустойчивость, управляемость, надежность и масштабируе-мость.

Доступность — это выраженная в процентах мера отказоустойчиво-сти компьютера и установленного на нем программного обеспечения.Постоянно доступный компьютер (100-процентная доступность) ра-ботает круглосуточно, 7 дней в неделю. Это означает, что приложе-ния и службы находятся в рабочем состоянии и доступны клиентамипостоянно.

Сбой — это несоответствующее ожидаемому поведение системы ком-пьютера или сетевой системы, состоящей из многих компьютеров иприложений. Состояние системы, в котором параметры ее работы вы-ходят за определенные рамки, также считается сбоем.

Отказоустойчивость — это способность системы продолжать нор-мально выполнять свои функции даже после выхода из строя однойили нескольких ее частей. Отказоустойчивые системы нечувстви-тельны к таким неполадкам, как сбои в работе дисков, аварийноеотключение электропитания или разрушение операционных систем —загрузочных файлов, самой операционной системы или системныхфайлов. В Windows 2000 Server предусмотрены средства поддержкинекоторых типов отказоустойчивости.

Управляемость — это возможность легко и удобно вносить измене-ния в систему. Типов управления множество, но в самом общем видеих можно разделить на следующие группы: управление изменениямии конфигурацией, управление безопасностью, управление производи-тельностью, управление неполадками, управление событиями управ-ление пакетной обработкой и выводом данных и управление хране-нием данных.

484

Надежность— это среднее время бесперебойной работы системы.Для аппаратных и программных компонентов описаны возможныесхемы появления сбоя. На основе статистических данных выведеныформулы, которые позволяют прогнозировать время работы обору-дования, однако аналогичные формулы для программного обеспече-ния вывести практически невозможно.

Масштабируемость — возможность непрерывного развития и рас-ширения системы при увеличении запросов пользователей и потреб-ностей бизнеса. Понятие масштабируемости в кластере серверов под-разумевает возможность добавлять в него дополнительные узлы, ког-да кластер перестает справляться с возросшей нагрузкой.

2. Из каких основных элементов состоит структура многоуровнево-го Web-сайта, используемого для поддержки бизнеса?

Клиенты, которые инициируют запросы на обслуживание к серверу сприложением; интерфейсная часть, которая состоит из набора серве-ров, предоставляющих клиентам базовые сервисы, такие, как HTTP/HTTPS и FTP; серверная, или внутренняя часть, где размещаютсясерверы, на которых хранятся данные, необходимые для интерфейс-ной части.

3. Что такое среднее время наработки на отказ и среднее время вос-становления? Чем они отличаются и каков смысл отношения вред-нее время восстановления >/ <среднее время наработки на отказ>1

Среднее время наработки на отказ (MTTF) — среднее время работыустройства до первого отказа, а среднее время восстановления(MTTR) — среднее время, которое потребуется для его восстановле-ния после сбоя. Время простоя определяется как отношение MTTR/MTTF.

4. Сбои каких типов способны вызвать простой всей системы?

Программные ошибки, отказы оборудования, нарушение работы сети,ошибки сопровождения и нарушения внешней среды способны выз-вать выход системы из строя,

5. Расскажите о трех методиках обеспечения высокой доступностиWeb-сайтов?* Разработка и тщательное документирование организационных

мероприятий, которые соответствуют поставленным целям и воз-можностям сотрудников компании.

* Обеспечение мощностей, адекватных вычислительной нагрузке.* Снижение вероятность отказов.

6. Вы разрабатываете Web-сайт высокой доступности, и одно из тре-бований заключается в обеспечении предотвращения сбоев при-ложения. Какие технические приемы позволят снизить вероят-ность отказа?

Создайте надежную инфраструктуру с применением резервных сер-

веров и балансировки нагрузки. (Следует иметь в виду, что кластеры

с балансировкой нагрузки это не то же самое, что кластеры прило-

жений Windows. Компоненты Commerce Server 2000, такие, как ListManager и Direct Mailer, не поддерживают работу в кластере.)

Проверьте еще раз исходный код на предмет возможного переполне-

ния буфера, бесконечных циклов, критических ошибок и уязвимости

в плане безопасности.

Глава 2Тренинг 2-11. Какую сетевую топологию вы разработаете для сайта электронной

коммерции?

Примерная топология сети показана на рисунке.

Сеть Интернет-t,провайдера



Маршрутизатор-фильтр портов(Брандмауэр)

Коммутатор 1подключенияк Интернету

Кластер сослужбой ба-лансировки

нагрузки(NLB), IP-адрес

200.1.11.100

Коммутатор 2 Кластер соподключения службой балан-к Интернету сировки нагрузки,.—L—| (NLB), IP-адрес

200.1.10.100Маршрутизатор -фильтр портов(брандмауэр)

СерверыApplicationCenter со

службой СОМ+Load Balancing

КластерWeb-дан-ных с под-держкой

перемеще-ния при

сбое



Практикум 2-1

Упражнение 1. Резервирование компонентов и сетевыхподключений1. Резервирование каких сетевых элементов возможно в этой топо-

логии?• Коммутаторы;• маршрутизаторы;• каналы ЛВС;• подключения к Интернету;• службы (на базе кластеров).

2. На листе бумаги изобразите схему проекта, взяв за образец проектна рис. 2-18. Не забудьте включить в схему все элементы, которыеподдаются резервированию. Какие изменения следует внести впроект?

Проект должен выглядеть так, как показано на рисунке.

Интернет-

Интернет- ^,провайдер 1J

^Маршрутизатор/брандмауэр



Коммутаторподключения Комму- Комму-к Интернету 1 татор татор

Корпора-тивнаясеть

Коммутатор Комму- Комму-подключеьия татор таторк Интернету N


Обратите внимание, что в этом проекте кластеры приложений рас-полагаются на среднем уровне. Некоторые топологии состоят толькоиз интерфейсного и серверного уровней.

3. Допустим, компьютер кластера приложений пытается подклю-читься к компьютеру кластера данных. По каким каналам локаль-ной сети возможно такое подключение?• От компьютера приложений до первого коммутатора (верхний

коммутатор на схеме) и затем — к кластеру данных.• От компьютера приложений до первого коммутатора (верхний

коммутатор на схеме) и затем — ко второму коммутатору и к кла-стеру данных.

• От компьютера приложений до второго коммутатора и затем — ккластеру данных.

• От компьютера приложений до второго коммутатора, затем — кпервому коммутатору и наконец к кластеру данных

Упражнение 2. Разбиение сети TCP/IP на подсети1. Сколько сетевых сегментов нужно создать и где именно?

Вы должны создать четыре сегмента сети:• сегмент сети для среднего уровня, который свяжет Web-кластеры

и кластер приложений;• сегмент сети для серверной сети, которая свяжет кластер прило-

жений и маршрутизаторы, подключенные к защищенной сети;• сегмент сети для защищенной сети;• сегмент сети для административной сети.

2. На плане сетевой топологии обозначьте четыре сетевых сегментаи их положение. Также укажите местоположение внешней сети.Какие изменения требуется внести в план?Проект должен выглядеть, как показано на рисунке.

•*• Интернет •>•

Интернет^""]провайдер V


Коммутатор Комму- Комму-подключения татор таторк Интернету 1 подсети 1 подсети 2

Кластер Кластерприложений данных


Административнаясеть, 10.10.4.0

Комму-татор

подсети 2

Коммутатор Комму-подключения таторк Интернету N подсети 1

Интерфейсная Средний Внутренняя сеть,подсеть, уровень,: 10.10.2.0.

виртуальные 10.10.1.0.IP-адреса

Корпора-_тиеная

сетьМаршрутизатор/брандмауэр

Ethernet

Серверуправления

Маршрутизатор,брандмауэр

Защищеннаясеть,

10.10.3.0.

Обратите внимание, что административная подсеть связана со всемикластерами и расположена в отдельной подсети, кроме того, в этойтопологии кластер приложений связан с тремя различными сетевымисегментами: среднего уровня (10.10.1.0), интерфейсного уровня(10.10.2.0) и уровня управления (10.10.4.0).

3. В каких сегмента сети размещаются Web-кластеры?Web-кластеры подключены к интерфейсной сети, которая связана сИнтернетом, к среднему уровню (10.10.1.0) и к административнойсети (10.10.4.0).

Упражнение 3. Построение пространства имен1. Какие внутреннее и внешнее пространства имен нужно создать?

В качестве внутреннего и внешнего пространства имен разрешаетсяиспользовать одно имя, но при этом усложняется настройка и, какправило, администрирование. Если одно и то же имя необходимо длявнутреннего и внешнего пространства имен, не забудьте выполнитьодну из следующих операций:• продублируйте во внутренней сети открытую корпоративную зону

DNS;

• продублируйте во внутренней сети открытую корпоративную зонуDNS н все общедоступные серверы (например, Web-серверы),принадлежащие организации;

• ведите список общедоступных серверов, принадлежащих органи-зации (в файле РАС на каждом из клиентов).

2. Допустим, вы решили использовать разные имена: contoso.com длявнешнего пространства имен и contoso-pvt.com — для внутренне-го. На плане топологии сети четко отметьте «водораздел» междупространствами имен. Какие изменения придется внести в план?


•*-Интернет *•

Маршрутиэатрр/брандмауэр


Коммутатор Комму-подключения таторк Интернету 1 подсети 1


подсети 2

Административная - -сеть, 10.10.4.0

Web-кластер N

Коммутатор Комму-подключения таторк Интернету N подсети 1

Интерфейсная Средний Внутренняя сеть,подсеть,

виртуальныеIP-адреса

contoso.com namespace —I

уровень10.10.1.0.

10.10.2.0. Защищеннаясеть,

10.10.3.0.contoso-pvt.com namespace

Корпора-_тивная ~"

сеть


Ethernet

Маршрут и зато р/брандмауэр

;\1.

Обратите внимание, что полное доменное имя сервера управления —mgmt.contoso-pvt.com.

3. Пусть один из серверов в Web-кластере 1 называется Webl. Ука-жите полное доменное имя этого сервера.Полное доменное имя этого сервера со стороны Интернета —webl.contoso.com, а со стороны частной сети — webl.contoso-pvt.com.

4. Пусть один из серверов в кластере приложений называется Appl.Укажите полное доменное имя этого сервера.Полное доменное имя этого сервера — appl.contoso-pvt.com.

Закрепление материалаЧасть сетевой топологии вашего предприятия (рис. 2-19), доступ-ная из Интернета, предоставляет информацию и обеспечиваетонлайновую регистрацию пользователей в учебных центрах фир-мы.

Маршрутизатор - фильтрпортов (Брвндмауэр|

Сервер доставкиинформационног з

наполнении Web

г=С ер в еры Ар р-

Centei со службойбалансировки

нагрузки СОМ+



Server со службойбалансировки сетевой

нагрузки и сервером IIS 5

Кластер Server сосп у жбой 6 а л а не ир о «к и

сетевой нагрузки КоммутаторIP-адрес 200.1.10.100 п°Дсвт|


Пользователи жалуются, что сайт часто недоступен. Чтобы повы-сить доступность сайта, вы решили изменить топологию сети. Чтонужно для этого сделать в первую очередь?

Добавьте резервное подключение к Интернету.2. При разбиении на подсети сети, показанной на рис. 2-19, подсе-

ти 1 назначен IP-адрес 10.10.I.O, подсети 2 — IP-адрес 10.10.2.0, аподсети 3 — 10.10.3.0. Какую еше подсеть нужно добавить в этутопологию?Следует прибавить подсеть управления (например, с адресом 10.10.4.0),подключенную ко всем кластерам.

3. Разрабатывая конфигурацию службы DHCP для своей сети, выхотите добиться отказоустойчивости. Однако в имеющейся топо-логии кластеры применять нельзя, и вы решили установить основ-ный и дополнительный DNS-серверы. Как следует настроить со-здаваемые области DNS?

Воспользуйтесь правилом «80/20» для разделения областей адресовмежду DHCP-серверами. Основному серверу нужно выделить при-близительно 80% имеющихся адресов, а дополнительному — 20%.Руководство компании Contoso Ltd. планирует создать Web-сайтдля предоставления клиентам услуг через Интернет. Ранее у ком-пании не было представительства в Web. Компания Contoso заре-гистрировала имя contoso.com в полномочной организации реги-страции имен Интернета и планирует использовать его как вовнутреннем, так и во внешнем пространстве имен. Что нужнопредпринять, чтобы использовать одно имя в обоих пространствахимен?Вы должны выполнить одну следующих операций:• продублировать во внутренней сети открытую корпоративную зону

DNS;• продублировать во внутренней сети открытую корпоративную зону

DNS и все общедоступные серверы (например, Web-серверы),принадлежащие организации;

• ввести список общедоступных серверов, принадлежащих органи-зации (в файле РАС на каждом из клиентов).

Глава 3Практикум 3-1

Упражнение 1. Планирование конфигурации файловогосервераI. Подпишите остальные элементы схемы.

Вы должны разметить схему примерно так, как показано на рисунке.

Логический раздел С:, 10 Гб

Операционная система

Логический раздел D:, 30 Г6

Пользовательские данные

Массив RAID-1

Логический дискемкостью 10Гб

Массив RAID-5

Логический диск емкостью 30 Гб

IL JФизические диски

емкостью 10 Пб каждый

Обратите внимание, что для хранения данных применяются шестьфизических дисков емкостью 10 Гб каждый (в общем зачете — 60 Гб),но общая емкость логических дисков составляет 40 Гб.

2. Почему различаются объемы логических и физических дисков?В конфигурации RAID-1 одни данные записываются на каждый издвух дисков, поэтому полезная загрузка составляет лишь 50% сум-марной емкости дисков. В RAID-5 емкость равная емкости одногофизического диска применяется для поддержки отказоустойчивойконфигурации. В данном случае этот объем равен 10Гб— именностолько занимает информация четности, оставляя 30 Гб для хране-ния собственно данных.

Упражнение 2. Конфигурирование файлового сервера иоперационной системы1. Как следует сконфигурировать систему хранения данных на этих

серверах?Вы должны разметить схему примерно так, как показано на рисунке.



1 г

Логическийраздел 0:,7Гб

Высокодос-тупныефайлы

Логический раздел Е:, 40 Гб

Пользовательские данные

1 Г | 1

Массив R AID- 1


1 •

Т 1

Массив RAID-5


1 i l lтт aQc=3(

.. 1•~— р^~"'

емкостью 10 Гб каждый

Обратите внимание, что для поддержки массива RAID-1 использу-ются два диска емкостью 10 Гб каждый, но для хранения данных налогическом диске доступны только 10 Гб.

Вопросы и отаеты

1. Почему различаются объемы логических и физических дисков?

В конфигурации RAID-1 одни данные записываются на каждый издвух дисков, поэтому полезная загрузка составляет лишь 50% сум-марной емкости дисков.

Упражнение 3. Конфигурирование контроллера домена и служб1. Нарисуйте принципиальную схему реализации RAID на этих сер-

верах. Отметьте логические разделы, логические диски и физичес-кие диски. Укажите размер каждого раздела и диска, а также ихфункции.

Вы должны конфигурировать систему хранения данных в пути при-мерно так, как показано на рисунке.

ЛогическийразделС:, 5Г6

Службысервера

Логическийраздел D:, 5 П5

Файлы журналови резервных копий

Массив RAID-1

Логический диск емкостью 10 Пб

Физические диски емкостью10 Гб каждый

Упражнение 4. Конфигурирование серверов реляционных базданных1. Как построить систему хранения на этих серверах?

Вы должны сконфигурировать систему хранения данных так, как по-казано на рисунке.



Логическийраздел D:, 10 Гб

Файлыжурналов

1 > 1

Массив RAID-1

Логическийдиск

емкостью 10 Гб

Логический раздел £:, 40 Гб

Файлы базы данных

ч '

Массив RAID-1

Логическийдиск

емкостью 10Гб

1 г ,Г 1 '

1 f Ц]

Массив RAID-5

Логическийдиск емкостью 40 Гб

? f + f " "

емкостью 10 Пб каждый

2. Каким станет емкость логического диска в томе RAID-5, если вконфигурацию добавить еще один жесткий диск емкостью 10 Гб?50Гб.

Закрепление материала1. Вы создаете проект сетевой инфраструктуры для музея науки, в

котором необходимо обеспечить отказоустойчивости серверов.Один из способов обеспечения отказоустойчивости— установкарезервных компонентов на критически важных серверах. О дуб-лировании каких компонентов серверов следует позаботиться впервую очередь?Вы должны предусмотреть резервирование следующих компонентов:• сетевых адаптеров;• вентиляторов охлаждения;• источников питания;• контроллеров дисков.

2. В банке Woodgrove отмечены сбои серверов— оборудование пе-регревается, наблюдаются короткие замыкания и самопроизволь-ный перезапуск компьютеров при прикосновении к ним. Техникипроверили компьютеры, их компоненты и конфигурацию и необнаружили прямых причин неполадок. Что вы порекомендуете?Необходимо проверить температуру (она должна быть примерно21°С) и влажность в помещении для серверов, а также позаботитьсяо чистоте компьютеров и компьютерной комнаты.


3. В городской компании электроснабжения и освещения поддержи-вается большая база данных, необходимая для нормальной рабо-ты организации. В какой-то момент времени объем БД превысил6 Тб. Вы разрабатываете систему хранения данных для компаниии планируете обеспечить отказоустойчивость системы, централи-зованное хранение данных и простоту резервного копирования ивосстановления. Какой тип хранилища данных вы рекомендуетеустановить?

Сеть хранения данных (Storage Area Network, SAN).4. Вас пригласили спроектировать систему хранения данных для ин-

ститута, занимающегося графическим проектированием. Объемданных компании составляет около 45 Гб. Руководство требуетобеспечить отказоустойчивость системы хранения данных за ми-нимально возможные деньги. Что вы порекомендуете?Порекомендуйте программную реализацию RAID-5, доступную вWindows 2000 Server.

Глава 4Тренинг 4-1Для каждого из перечисленных ниже этапов определите порядок раз-биения ресурсов файлового сервера на группы ресурсов:1. перечисление всех серверных приложений;

На серверах нет никаких серверных приложений. Примерами сервер-ных приложений являются Microsoft SQL Server 2000 и MicrosoftExchange Server.

2. сортировка списка приложений и определение того, какие из нихподдерживают перемещение при сбое;

На серверах нет никаких серверных приложений.3. перечисление всех остальных ресурсов;

«Общие файлы», «IP-адрес», «Сетевое имя» и «Физический диск».4. создание списка зависимостей всех ресурсов;

Ресурс «Общие файлы» зависит от ресурса «Сетевое имя», а после-дний в свою очередь зависит от ресурса «IP-адрес». Ресурс «Общиефайлы» также зависит от ресурса «Физический диск».

5. выполнение предварительной группировки ресурсов;

Нужно создать лишь одну группу ресурсов, потому что ресурс и под-держивающие его ресурсы должны относиться к одной группе. Кро-ме того, ресурс не может принадлежать нескольким группам.

496

6. выполнение окончательной группировки и построение всех нуж-ных деревьев зависимостей.Следует создать лишь одну группу ресурсов. Дерево зависимостейвыглядит так, как показано на рисунке.


Упражнение 1. Выбор модели кластера1. В чем отличия между тремя моделями кластера?

Конфигурация с единственным узлом позволяет группировать ресур-сы для удобства администрирования, использовать виртуальные сер-веры и автоматический перезапуск приложений, а также облегчаетдальнейшее расширение кластера. Однако она не обеспечивает пере-мещения при сбое, и если перезапуск приложения не решает пробле-му его недоступности, то после сбоя оно становится недоступным.

Активно-пассивная конфигурация обеспечивает максимальную защи-ту ресурсов, однако требует больших затрат на оборудование, кото-рое практически не работает. В случае сбоя на основном узле допол-нительный узел немедленно принимает на себя все операции. Этумодель следует применять для поддержки жизненно важных прило-жений и ресурсов.

Активно-активная конфигурация обеспечивает отказоустойчивость ивысокую производительность. Во время сбоя одного из узлов всеслужбы остаются доступными, однако возможно существенное сни-жение производительности, что иногда сказывается на доступностикластера.

2. Какая из этих моделей более всего удовлетворяет требованиямWingtip Toys?Активно-активная конфигурация лучше всего отвечает потребностямWingtip Toys, так как обеспечивает максимальную загрузку аппарат-


ных ресурсов и высокую доступность служб. Поскольку снижениепроизводительности при сбое одного узла не является причиной длябеспокойства, активно-пассивная конфигурация не нужна.

Упражнение 2. Создание групп ресурсов

Перечисление серверных приложений1. Какие приложения вы выберете?

SQL Server 2000 и Exchange 2000.

Сортировка списка приложений1, В каких приложениях следует применить механизм перемещения

при сбое?

И в SQL Server 2000, и в Exchange 2000 Server можно и нужнопредусмотреть перемещение при сбое.

Перечисление остальных ресурсов1. Какие другие ресурсы следует предусмотреть?

Вы должны добавить следующие ресурсы: «Физический диск», «Се-тевое имя» и «IP-адрес».

Перечисление зависимостей3 . Как перечисленные ресурсы зависят друг от друга?

Все службы зависят от ресурсов «Физический диск» и «Сетевое имя».Все ресурсы «Сетевое имя» зависят от ресурса «IP-адрес».

Предварительная группировка1. Как объединить перечисленные ресурсы в группы?

Вы должны создать две группы: одну для службы базы данных и свя-занных с ней ресурсов («Физический диск», «Сетевое имя» и «IP-адрес»), а вторую для почтовой службы и связанных с ней ресурсов(«Физический диск», «Сетевое имя» и «IP-адрес»).

2. В чем преимущества именно такой группировки?

Такая группировка позволяет почтовой службе и службе базы дан-ных работать на разных узлах, причем последняя работает на узле,поддерживает активно-активную конфигурацию.

Окончательная группировка1. Как выглядит дерево зависимостей в каждой группе?

В группе ресурсов базы данных, ресурс «База данных» зависит отресурсов «Физический диск» и «Сетевое имя», а «Сетевое имя» за-висит от ресурса «IP-адрес». В группе ресурсов почтовой службызависимости полностью аналогичны.

Упражнение 3. Определение политики перемещения при сбое1. Как следует настроить параметр Failover Timing?

В всех группах настройте службу кластеров на перезапуск перед пе-ремещением при сбое.

2. Как следует настроить параметр Preferred Node?

Сконфигурируйте все группы, чтобы они всегда работали на основ-ном узле при условии, что он доступен. Один узел следует назначитьосновным для группы ресурсов базы данных, а второй — для группыпочтовой службы.

3. Как следует настроить параметр Fallback Timing?

Сконфигурируйте все группы на возврат на основной узел, как толь-ко служба кластеров обнаружит, что он восстановлен.

Закрепление материалаL Какими объектами управляет служба кластеров?

Служба кластеров управляет сетью кластеров серверов, сетевымиинтерфейсами, узлами, группами ресурсов и ресурсами.

2. В чем различие между группой ресурсов и ресурсом?

Группа ресурсов — это логические наборы ресурсов. Как правило,группа ресурсов состоит из логически связанных ресурсов, таких, какприложения н связанные с ними внешние устройства и данные. Ре-сурс — это любой физический или логический компонент, которыйможно подключать или отключать, управлять в кластере серверов иразмещать в каждый момент времени только на одном сервере.

3. Вы создаете группы ресурсов для кластера. Вы определили, какиеприложения будут работать на узлах кластера и какие из них пред-полагается перемещать при сбое. Вы также определили другие ре-сурсы, которые войдут в группы ресурсов кластера, например се-тевые имена и IP-адреса. Каковы ваши следующие действия?

Вы должны перечислить все поддерживающие ресурсы для каждогоресурса.

4. Вы проектируете кластер для поддержки базы данных и обеспече-ния совместного доступа к файлам и принтерам, который долженсостоять из двух компьютеров под управлением Windows 2000Advanced Server. Требуется обеспечить максимальное использова-ние аппаратных ресурсов кластера. Какую модель кластера вывыберете?

Необходимо использовать активно-активную конфигурацию, так какона обеспечивает максимальную загрузку аппаратных средств и по-

Вопросу и ответы

зволяет разместить группы ресурсов на разных узлах. Работая в пол-ном составе, кластер обеспечивает высокую доступность и произво-дительность.

Глава 5Тренинг 5-1Вам нужно нарисовать общую схему инфраструктуры циклическогообслуживания DNS и компонентов NLB-кластера.1. Нарисуйте эту общую схему.

Сеть нужно сконфигурировать примерно так, как показано на ри-сунке.

DNS-сервер,www.blueyonderairlines.com,

10.1.0.1., 10.2.0.1Дополнител ьн ы и

DNS-сервер

Ethernet

NLB-кластер 1,10.1.0.1

NLB-кластер 2,10.2.0.1

2. Какие возможны способы балансировки нагрузки между класте-рами помимо циклического обслуживания DNS?При наличии нескольких кластеров можно применить сетевые ком-мутаторы для отделения входящего трафика. Однако, если в сети ужеесть сетевые коммутаторы и вы развертываете несколько кластеров,рекомендуем разместить кластеры на отдельных коммутаторах, что-бы обеспечить раздельную обработку входящего трафика кластера.

500 Приложение


Упражнение 1. Определение приложений для работыв кластере1. Какие типы приложений можно установить на NLB-кластере?

В общем случае службу балансировки сетевой нагрузки, использую-щую в качестве сетевого протокола TCP/IP и связанную с опреде-ленным TCP- или UDP-портом, можно применять для масштабиро-вания любого приложения или службы. Кроме того, должна поддер-живаться работа нескольких копий приложения, по одной на каж-дый узел кластера. Не следует применять службу NLB для прямогомасштабирования приложений, которые независимо обновляют со-стояния клиентов, так как в этом случае изменения на одном узлекластера останутся невидимыми другим узлам.

2. Какие приложения способны работать на NLB-кластере и поче-му?На NLB-кластере может работать сервер IIS, так как в нем в каче-стве сетевого протокола применяется TCP/IP и он использует порт 80.Кроме того, IIS поддерживает одновременную работу несколькихкопий на различных узлах.

3. Есть ли среди перечисленных приложение, которое нельзя уста-новить на NLB-кластере, и если да, то почему?Нельзя устанавливать SQL Server и Exchange Server на NLB-клас-тере, так как эти приложения самостоятельно обновляют данные осостоянии клиентов. Для поддержки этих приложений рекомендует-ся использовать службу кластеров.

Упражнение 2. Выбор модели службы NLB1. Перечислите достоинства и недостатки каждой из перечисленных

моделей.• Один сетевой адаптер в одноадресном режиме.

Одноадресный режим используется по умолчанию, и его поддер-живают все маршрутизаторы, однако невозможна обычная связьчерез сеть между узлами кластера и общая производительностьсетевой работы невысока.

• Несколько сетевых адаптеров в одноадресном режиме.Поддерживается обычная связь между узлами кластера, и одно-адресный режим поддерживают все маршрутизаторы, однако не-обходим второй сетевом адаптер.

• Один сетевой адаптер в многоадресном режиме.

Нужен только один сетевой адаптер, и поддерживается обычнаясвязь между узлами кластера, однако общая производительностьсетевой работы невысока и не все маршрутизаторы поддержива-ют групповой МАС-адрес.

• Несколько сетевых адаптеров в многоадресном режиме.Общая производительность сетевых операций повышается за счетприменения нескольких адаптеров на узле, и поддерживаетсяобычная связь между узлами кластера, однако это не заданная поумолчанию конфигурация, необходим второй (или несколько) се-тевой адаптер и не все маршрутизаторы поддерживают групповойМАС-адрес.

2. Какую модель конфигурации вы выберете и почему?

Все узлы NLB-кластера необходимо оборудовать несколькими адап-терами и настроить на работу в одноадресном режиме. Такую конфи-гурацию проще настроить, так как это режим по умолчанию. В такойконфигурации реализуется обычная связь между узлами кластера, иона поддерживается всеми маршрутизаторами. Необходимость уста-новки по крайней мере двух сетевых адаптеров не составляет про-блемы, потому что узлы входят в многоуровневую структуру, в кото-рой в любом случае необходимы несколько адаптеров на всех узлах.

Закрепление материала1. Каков механизм работы службы балансировки сетевой нагрузки?

Служба NLB позволяет масштабировать производительность сервер-ных программ, например Web-серверов, за счет распределения кли-ентских запросов между несколькими серверами кластера. Каждыйузел получает все входящие IP-пакеты, но узлы принимают толькопредназначенные им пакеты. Узлы кластера способны обслуживатьодновременно несколько запросов разных или одного клиента. На-пример, Web-браузер может получать различные изображения однойWeb-страницы от различных узлов в кластере с балансировкой на-грузки. Это ускоряет обработку и сокращает время отклика на зап-росы клиентов.

2. Чем отличаются одиночная привязка и привязка класса С?При одиночной привязке служба NLB закрепляет клиента за конк-ретным узлом, не устанавливая никаких временных ограничений —привязка остается в силе до следующего изменения состава класте-ра. Недостаток такого способа очевиден: на крупном сайте с несколь-кими прокси-серверами запросы от одного клиента могут поступать сразных IP-адресов. Эта проблема решена в привязке класса С, в ко-

торой все клиенты, относящиеся к определенному пространству ад-ресов класса С, закрепляются за конкретным узлом кластера. К со-жалению, привязка класса С не работает, когда адреса прокси-сер-веров, перекрываются в адресном пространстве класса С. На сегодняединственный способ решения этой проблемы — применение ASP-страниц.

3. Как служба NLB обеспечивает поддержку данных состояния се-анса, охватывающего несколько подключений?

При включенной привязке клиентов служба NLB направляет всеTCP-подключения одного клиента на один и тот же узел кластера.Таким образом обеспечивается сохранение состояния клиента в па-мяти узла. Однако при отказе сервера или сбое сети во время клиен-тского сеанса для повторной авторизации пользователя и восстанов-ления данных состояния сеанса потребуется повторный вход в сис-тему.

4. Вы — администратор компании Trey Research и отвечаете за адми-нистрирование Web-сайта компании и его инфраструктуры. При-нято решение разместить IIS-сервер на NLB-кластере. Вы опре-делили сетевые риски и устранили все точки критического сбоя.Вы решили установить в кластере четыре узла, и каждый оснас-тить отказоустойчивой подсистемой хранения данных на базе тех-нологии RAID-5. Определить аппаратные требования для узлов выпланируете только после завершения проектирования всего клас-тера. Какие еще решения необходимо принять?Вы должны выбрать NLB-модель конфигурации.

5. Вы планируете создать в сети предприятия небольшой NLB-клас-тер, состоящий из двух компьютеров. На каждом компьютерепредполагается установить по одному сетевому адаптеру. Необхо-димо обеспечить, чтобы конфигурация службы NLB допускаласвязь между компьютерами. Какую модель службы NLB вы выбе-рете и почему?

Вы должны использовать один сетевой адаптер в многоадресном ре-жиме. Если маршрутизатор не поддерживает ARP-ответы, следуетсоздать статическую АКР-запись в таблице маршрутизации для каж-дого виртуального IP-адреса.

Вопросы и ответь!

Глава 6Тренинг 6-11. Отметьте на плане следующие компоненты: клиент, Интернет,

Web-кластер, кластер приложений GOM+, службы NLB и CLB.Схема должна выглядеть примерно так, как показано на рисунке.

Клиент

Кластер уровня iWeb-серверов

s-r "Р

t\ \\

СлужбаNLB

Службаg -/ cueКластер

приложенийСОМ+

2. Какие типы кластеров поддерживает Application Center?Стандартный/Web -кластер, кластер приложений СОМ+ и кластермаршрутизации запросов СОМ+.

3. Какой тип кластера следует использовать, чтобы реализовать Web-сайт и предусмотреть поддержку NLB и CLB?Стандартный/Web- кластер.


Упражнение 1. Проектирование стандартного/МеЬ-кластера1. Как должен выглядеть план сети?

Проект должен выглядеть примерно так, как показано на рисунке.

Марш рутизатор/брандмауэр

- Сеть периметраКоммутатор

подключенияк Интернету 1 Коммутатор

• Корпора-тивная

сеть

М 1ршруп<1эатод/брандмауэр

маршрутизатор/брандмгзуэр

Коммутаторподключенияк Интернету 2


Ethernet

Марш рутизатор/брандмауэр

2. Как прошедшие через брандмауэр клиентские запросы будут рас-пределяться между узлами стандарт но го/Web-кластера?Запросы распределяются чежду узлами средствами службы NLB,работающей на каждом узле.

3. Где располагаются приложения СОМ-н?Приложения СОМ+ располагаются на стандартном/ЛУеЬ-кластере.

Упражнение 2. Проектирование кластера маршрутизациизапросов СОМ+1. Как должен выглядеть план сети?

Ваш проект должен выглядеть приблизительно так, как показано нарисунке.

•*— Интернет



-- Сеть периметраКоммутатор

подключения Комму- Комму-к Интернет/1 татор татор

Кластер марш-Web- рутизации зап-Кластвр

кластер росов СОМ+ данных

J

Коммутатор Комму- Комму-подключения татор таторк Интернету 2

Маршрути-затор/

брандмауэр


2. На каком кластере или кластерах устанавливается служба NLB?Служба NLB устанавливается на стандартном/Web-кластере и кла-стере маршрутизации запросов СОМ+.

3. Каковы основные задачи, выполняемые кластером маршрутиза-ции запросов СОМ+?Основная задача кластера маршрутизации запросов СОМ+ — пере-направление запросов в кластер приложений СОМ+.

Упражнение 3. Проектирование кластера приложений COM41. Как должен выглядеть план сети?

Ваш проект должен выглядеть приблизительно так, как показано нарисунке.


Коммутаторподключения Комму- Комму-к Интернету 1 татор татор


Кластермаршру-тизации-запросов

СОМ+


Коммутатор КомгАу- Комму- Комму-подключении татор татор таторк Интернету 2 _L

J Win32-клиент

Маршрутизатор/. брандмауэр

2. На каких уровнях используются службы NLB и CLB?Служба CLB устанавливается на кластере маршрутизации запросовСОМ+, а служба NLB — на стандартном/Web-кластере и кластеремаршрутизации запросов СОМ+.

3. Как скажется на производительности сети вынесение компонен-тов СОМ+ на отдельный кластер?Запросы по сети менее производительны, чем запросы ПО на том жекомпьютере. Это верно по отношению к любому ПО независимо от

506 Приложение

производителя — Microsoft или какого-то другого. По этой причинерешение на базе CLB неэффективно там, где жизненно важна произ-водительность. В этом случае лучше установить компоненты СОМ+на узлах Web- кластера, таким образом предотвратить излишний се-тевой трафик. В этом решении служба CLB не применяются, тем неменее балансировка нагрузки выполняется службой NLB.

Закрепление материала1. Как осуществляется интеграция технологии NLB в Application

Center и Windows 2000 Advanced Server?В решениях с Windows 2000 Advanced Server балансировка нагрузкивыполняется службой NLB, встроенной в ОС Windows 2000 AdvancedServer и Datacenter Server, a Application Center лишь предоставляетинтегрированный с NLB интерфейс. В пользовательском интерфейсеApplication Center опущены многие несущественные параметры кон-фигурации NLB-кластера, что облегчает процесс конфигурирования,а мастер уменьшает число решений, которые приходится приниматьпользователю.

2. В каких случаях применяют службу CLB?

С1.В следует применять, когда:

• очень важна безопасность сети и требуется защитить СОМ-объек-ты, разместив их за дополнительным брандмауэром;

• СОМ-объекты относительно тяжеловесны; поэтому их следуетразмещать на наиболее производительном из доступных серверов;

• при проектировании приложения делятся на несколько уровней.Если на внешних серверах применяется NLB, а запросы компонен-тов нужно направлять на прикладные серверы СОМ+, то пользо-вательский интерфейс Application Center оказывается как нельзякстати;

• очень важно обеспечить масштабируемость. Для обработки зап-росов компонентов кластер может использовать несколько дру-гих кластеров СОМ+.

3. Назовите три основных варианта кластеров на базе ApplicationCenter.

Кластеры с единственным узлом, стандартные Web-кластеры и кла-стеры приложений СОМ+.

4. Вы— администратор сети Graphic Design Institute, и вам необхо-димо повысить доступность Web-сайта компании. Для поддержкиWeb-служб вы решили создать кластер на базе Application Center,Он состоит из трех компьютеров, аппаратных ресурсов которых

достаточно для работы Windows 2000 Advanced Server, ApplicationCenter, Event and Performance Logging и IIS 5.0. Кроме того, ин-терфейсным и служебным адаптерам кластера планируется при-своить адреса подсетей. Какой тип кластера и метод балансиров-ки нагрузки следует применить?Используйте стандартный/Web -кластер, а для балансировки нагруз-ки примените службу NLB. Именно такой выбор решений баланси-ровки нагрузки обусловлен тем, что служба NLB дешева в реализа-ции и проста в администрировании.

5. В компании создается Web-сайт и определяется структура класте-ров и балансировки нагрузки в сети. Необходимо обеспечить наи-высшую производительность всех операций. Кроме того, руковод-ство требует максимально упростить администрирование сети и вполной мере использовать имеющиеся аппаратные ресурсы. Ка-кой тип или типы кластеров Application Center (стандартный/Web-кластер, кластер маршрутизации запросов СОМ+ или кластерприложений СОМ+) стоит использовать в такой ситуации?Вы должны установить стандартный/ЛУеЬ-кластер, а не кластер мар-шрутизации запросов СОМ+ или кластер приложений СОМ+. Прииспользовании отдельного уровня приложений СОМ+ возможно сни-жение производительности, усложнение администрирования и суже-ние выбора аппаратных средств.

Глава 7Тренинг 7-11. Прежде всего нужно определить нагрузку, создаваемую одной опе-

рацией, а для этого — определить использование процессора. Какэто сделать?Порядок вычислений таков:

0,9247 * 3 * 400 = 1109,64

2. Как, имея значение загрузки процессора, вычислить нагрузку, со-здаваемую одной операцией поиска?Порядок вычислений таков:

1109,64 / 18,21 * 2 = 121,87

3. Теперь можно вычислить нагрузку, создаваемую одним пользова-телем. Как определить степень нагрузки, создаваемой каждымпользователем, выполняющим операцию поиска?

508

Порядок вычислений таков:

121,87 * 0,00139 = 0,1694 Мц

Тренинг 7-21. Прежде всего следует определить нагрузку на внешнюю сеть, со-

здаваемую одним пользователем. Как это сделать?


0,003804 * 4,297 = 0,01635

2. Далее надо узнать нагрузку на сеть данных, создаваемую однимпользователем. Как это сделать?Порядок вычислений такой:

0,003804 * 119,36 = 0,45405

3. Как вычислить обшую нагрузку, создаваемую одним пользовате-лем, в секунду?


0,01635 + 0,45405 = 0,4704 кб/с


Упражнение 1. Определение максимального числапользователей1. Сколько пользователей должна одновременно обслуживать сеть?

Сеть должна одновременно поддерживать 6000 пользователей.

2. Как вычислить нагрузку на процессор, создаваемую одним пользо-вателем?

Использование процессора при загрузке домашней страницы вычис-ляется так:

0,9615 * 3 * 400 = 1153,8

3. Какова нагрузка от выполнения каждой операции?Затраты на эту операцию вычисляются так:

1153,8 / 96,98 * 1 = 11,897

4. Определив нагрузку от выполнения каждой операции, вычисляютнагрузку от операции в расчете на одного пользователя, а затемполную нагрузку, производимую одним пользователем. Какова

нагрузка, создаваемая одним пользователем, в расчете на однуоперацию?

Затраты ресурсов процессора в расчете на одну операцию таковы:

Загрузка домашней страницы:

0,9615 * 3 * 400 / 96,98 * 1 до 11,897

Добавление элемента в список:

0,9208 * 3 * 400 / 26.21 * 3 = 126,474

Отображения списка:

0,9342 * 3 * 400 / 29,29 Ч * 2 = 76,548

Поиск:

0,9899 * 3 * 400 / 82,08 * 2 = 28,944


Затраты ресурсов на каждого пользователя в расчете на одну опера-цию таковы:

Загрузка домашней страницы:

11,897 * 0,00128 = 0,01523


126,474 * 0,00102 = 0,12900


76,548 * 0,00329 = 0,25184

Поиск:

28,944 * 0,00121 = 0,03502

в. Сначала нужно определить нагрузку на сеть в расчете на одну опе-рацию.Общие затраты мощностей процессора в расчете на одного пользо-вателя следующие:

0,01523 + 0,12900 + 0,25184 + 0,03502 = 0,43109

7. Какую нагрузку на сеть создает загрузка домашней страницы?

Нагрузка на сеть при загрузке домашней страницы такова:

(0,003682 * 1,845) + (0,003682 * 0) = 0,006793 кб/с

8. Какую нагрузку создают три остальные операции?Нагрузка на сеть при других операциях следующая:


(0,000254 * 4,978) + (0,000254 * 127,756) = 0,033714 кб/с


(0,000523 * 26,765) + (0,000523 * 24,123) = 0,026614 кб/с

Поиск:

(0,001134 * 25,678) + (0,001134 * 25,564) = 0,058108 кб/с

9. Какова обшая нагрузка на сеть, производимая одним пользовате-лем?Общая нагрузка на сеть, производимая одним пользователем такова:

0,006793 + 0,033714 + 0,026614 + от 0,058108 = 0,125229 кб/с

Упражнение 2. Определение требований по мощностипроцессоров1. Какова требуемая мощность процессоров на каждом сервере и

какая ее доля должна использоваться?Все Web-серверы оборудуются тремя процессорами со скоростью400 МГц и суммарной мощностью 1200 МГц, однако верхний пределвычислительной мощности на каждом компьютере составляет 755 МГц.

2. Какова общая нагрузка на процессоры, создаваемая одним пользо-вателем?Общая нагрузка на процессоры, создаваемая одним пользователем,составляет 0,43109 Мц.

3. Какое число пользователей одновременно смогут обслуживатьпроцессоры каждого Web-сервера?Процессоры каждого Web-сервера в состоянии поддержать следую-щее число пользователей:

755 / 0,43109 = 1751 пользователей

4. Найденное число пользователей, одновременно обслуживаемыхкаждым сервером, округлите до целого и определите необходимое

количество серверов. Сколько серверов должно входить в составкластера?

Web-кластер должен содержать следующее число серверов:

6000 / 1751 ~ 4 сервера

Упражнение 3. Определение необходимой пропускнойспособности1. Какова пропускная способность сети и какую ее часть следует учи-

тывать при определении объема необходимых ресурсов?В проекте предусмотрена сеть Ethernet 100 Мбит/с (12,5 Мб/с).Обычно загрузка сетевого оборудования не должна превышать 36%,то есть 4,5 Мб/с.

2. Сколько пользователей одновременно способна обслуживать сеть?Одновременно сеть в состоянии обслужить следующее число пользо-вателей:

4500 (кб/с) / 0,125229 (кб/с) = 35 934 пользователей

Закрепление материала1. Сеть компании Contoso Pharmaceuticals подключена к Интернету

по линии Т1. Требуется определить скорость передачи страницыразмером в 5 кб. С учетом служебной информации объем переда-ваемых данных составляет около 55 360 бит. Какова скорость пе-редачи такой страницы по линии Т1?.Максимальная скорость передачи:

1 536 000 / 55 360 = 27,7 страниц в секунду

2. Вы модернизируете и расширяете функциональность сайта. Вамнеобходимо знать, какое время занимает у пользователей загрузкастраницы объемом 90 кб (включая служебную информацию) прииспользовании модемов со скоростью 28,8 кбит/с и 56 кбит/с.Сколько секунд загружается такая страница в каждом случае?Для загрузки страницы объемом 90 кб с применением модема28,8 кбит/с потребуется:

720 (кбит/с) / 28,8 (кбит/с) = примерно 25 секунд

Для загрузки той же страницы посредством модема 56 кбит/с потре-буется:

720 (кбит/с) / 56 (кбит/с) = примерно 25 секунд

3. Компания расширяет функциональность сайта. Для решения этойзадачи требуется обеспечить доступ к базе данных SQL Server. Припроведении тестов выяснилось, что операция «Добавление эле-мента в список» выполняется намного дольше, чем ожидалось. Выопределили, что нагрузка на диски при выполнении операции со-ставляет 4,395, а частота выполнения— 0,012345 операции в се-кунду. Какова нагрузка на диск, создаваемая одним пользовате-лем за секунду при выполнении указанной операции?Нагрузка на диск, создаваемая операцией «Добавление элемента всписок» такова:

4395 * 0,012345 = 0,054256 кб/с

4. Вы оцениваете объем ресурсов, необходимых для создания сайтатранзакций, позволяющего пользователям хранить и получать до-ступ к информации. Планируется использование динамическогонаполнения; предполагается установить базу данных SQL Server, aинформацию предоставлять посредством технологии ASP. Ожи-даемая пиковая нагрузка — 5000 одновременно обслуживаемыхпользователей. Какие дополнительные операции следует выпол-нить в процессе оценки объема ресурсов?Вы должны определить потребности в оборудовании и пропускнойспособности сети, а также спланировать топологию сайта с учетомтребований по ресурсам и найти потенциальные «узкие места» и планбудущих обновлений сайта.

Глава 8Практикум 8-1

Упражнение 1. Определение структуры сайтов1. На основании каких критериев создают структуру сайтов?

Сайты создают на основе одной или нескольких локальных сетей,соединенных высокоскоростными линиями, сетей периметра, отде-ленных от других сетей брандмауэром, или сегментов, доступныхтолько по протоколу SMTP.

2. Сколько сайтов и на каких участках сети следует создать?Вы должны создать два сайта: один для сети периметров, а второй —для частной корпоративной сети.

3. Почему вы создали именно такую структуру сайтов?

Частная корпоративная сеть представляет собой локальную сеть сбыстрыми и надежными подключениями. Тем не менее сеть перимет-ра следует выделить в отдельный сайт, так как она отделена от кор-поративной сети брандмауэром. Отдельный сайт для сети периметрапозволяет выполнять аутентификацию контроллерами домена в пре-делах этого сайта (предполагается, что контроллеры домена отказо-устойчивы).

4. Предположим, что внутренняя корпоративная сеть состоит из не-скольких участков, соединенных WAN-подключениями. Как этоповлияет на разбиение сети на сайты?

Вы должны создать сайт для каждого местоположения, подключен-ного WAN-соединением, потому что такие соединения традиционномедленнее и менее надежны. В общем случае сайт не должен содер-жать WAN-подключений.

Упражнение 2. Размещение контроллеров домена1. Какие правила следует соблюдать при размещении контроллеров

домена?

Необходимо разместить по крайней мере один контроллер домена вкаждом сайте и два контроллера в домене. Дополнительные контрол-леры домена устанавливают, когда к сайту подключено большое чис-ло пользователей, когда подключения между сайтами ненадежны,имеют малую скорость или работают на пределе возможностей илиаутентификация клиентов должна выполняться определенными кон-троллерами доменов.

2. В каких сайтах вы разместите контроллеры?

Необходимо разместить по крайней мере один контроллер домена всайте сети периметра и один котроллер — в сайте частной сети.

3. Сколько контроллеров домена следует установить в этой сети?

Необходимо разместить по крайней мере два контроллера домена вкаждом сайте для обеспечения отказоустойчивости службы ActiveDirectory. В такой конфигурации запросы на аутентификацию никог-да не будут проходить через брандмауэр.

Упражнение 3. Определение топологии межсайтовойрепликацииI. Каких правил следует придерживаться при определении конфигу-

рации соединений?

При настройке параметров связей сайтов учитывают пропускнуюспособность, график загрузки сети и тип используемого протокола.

18-4791

При необходимости создаются дополнительные связи сайтов дляобеспечения резервных путей репликации.

2. Какие соединения необходимо настроить?Для связи между этими двумя сайтами достаточно сконфигурироватьлишь одну связь сайтов.

3. Как вы настроите соединения?Идя каждой связи между сайтами необходимо определить график,интервал и протокол репликации, а также цену связи.

4. Вы решили, что репликация между сайтами внешней и внутрен-ней сети должна выполняться с четкой периодичностью. Вы нехотите изменять конфигурацию контроллеров домена на обоихучастках сети, а также не желаете перегружать соединение. Вы ре-шили, что репликация должна проводиться [2 раз в день с равны-ми интервалами, семь дней в неделю. Как нужно настроить пара-метры соединения?Необходимо сконфигурировать график репликации, разрешив ее влюбое время дня и в любой день недели, потому что она должна вы-полняться каждый день, через равные промежутки времени. Необхо-димо задать интервал репликации равным двум часам, то есть 12 реп-ликаций в день. В качестве транспортного протокола следует выб-рать IP, что определяется типом сети и подключением через бранд-мауэр. Поскольку требуется сконфигурировать только одну связьсайтов, задавать ее стоимость не нужно, ведь этот параметр опре-деляется по отношению к пропускной способности других связей сай-тов.

Упражнение 4. Размещение серверов глобального каталога ихозяев операций1. Каких правил следует придерживаться при размещении серверов

глобального каталога?В каждом сайте следует установить по крайней мере один глобаль-ный-каталог. Дополнительные серверы глобального каталога добав-ляют, когда сайт обслуживает большое число клиентов или когдамежсаитовые подключения относительно медленны, ненадежны илиработают на пределе своих возможностей.

2. В каких местах сети Nortbwind Traders следует разместить серверыглобального каталога?

Все четыре контроллера домена необходимо сконфигурировать каксерверы глобального каталога. Этим вы обеспечите отказоустойчи-вость сайта по отношению к отказам контроллеров домена. При сбоеодного глобального катало! а процессу аутентификации не придется

обращаться к глобальному каталогу, расположенному вовне сайта (че-рез брандмауэр). Кроме того, вам не нужно волноваться о выборе кон-троллера домена для выполнения роли хозяина инфраструктуры, так каквсе котроллеры домена являются серверами глобального каталога,

3. Каких правил следует придерживаться при размещении хозяевопераций?

Необходимо предусмотреть резервный хозяин операций. В большихдоменах хозяин относительных идентификаторов и эмулятор PDCразмещают на разных контроллерах домена. Не назначайте на рольхозяина инфраструктуры контроллер домена, который выполняетфункции глобального каталога за исключением ситуации, когда всеконтроллеры домена являются серверами глобального каталога.

4. В каких местах сети Northwind Traders следует разместить хозяеваопераций?

Хозяева операций следует разместить в частной сети. Один контрол-лер домена назначьте хозяином операций, а второй — резервным хо-зяином операций. Кроме того, вам не нужно волноваться о выбореконтроллера домена для выполнения роли хозяина инфраструктуры,так как все котроллеры домена являются серверами глобального ка-талога.

Закрепление материала1. Что представляют собой объекты Active Directory и зачем нужна

схема Active Directory?Объекты Active Directory представляют физические объекты, из ко-торых состоит сеть, например пользователи, принтеры и компьюте-ры. В схеме Active Directory определены типы хранимых в каталогеобъектов и информации о них. Существует два вида такой информа-ции: атрибуты и классы.

2. Из каких компонентов состоит логическая и физическая структу-ра Active Directory?

Логическая структура Active Directory состоит из доменов, деревьев,лесов и подразделений, а физическая — из контроллеров домена исайтов.

3. Назовите пять ролей хозяев операций, назначаемых одному илинескольким контроллерам домена.Существуют пять ролен хозяев операций: хозяин схемы, хозяин име-нования домена, хозяин относительных идентификаторов, хозяининфраструктуры и эмулятор PDC.

4. Вы проектируете физическую структуру Active Directory. Сеть со-стоит из трех доменов. Домены физически удалены друг от друга исоединены посредством WAN-подключений. Каждый домен пред-

ставляет собой быструю и надежную локальную сеть с большойпропускной способностью. Одна из сетей представляет собой сетьпериметра, в которой рашещены Web-серверы. Сеть периметраподключена ко внутренней подсети через брандмауэр. Какое ми-нимальное число сайтов Active Directory можно создать в такойсети?Необходимо создать по крайней мере четыре сайта — под одному вкаждой из трех ЛВС и четвертый — для сети периметра.

5.' Сеть состоит из двухбайтов Active Directory. Вы хотите настроитьмежсайтовую связь так, чтобы репликация выполнялась каждые15 минут в часы наименьшей нагрузки на сеть. Как часто следуетвыполнять репликацию в рабочее время?В течение рабочего дня репликация между этими двумя сайтами невыполняется.

Глава 9Тренинг 9-11. Из каких операций состоит первый этап развертывания?

Достаточно выполнить одно копирование с промежуточного компью-тера на контроллер Web-кластера.

2. Из каких операций состоит второй этап развертывания?

После развертывания приложение на контроллере копируется на ос-тальные узлы кластера. Информационное наполнение не нужно ко-пировать вручную, если Application Center сконфигурирован для ав-томатической синхронизации. В этом случае репликация выполняет-ся автоматически.

3. Как выбранная методика развертывания отразится на работе Web-служб?

Методика развертывания никак не должна отразиться на работеWeb-служб, так как не развертываются ISAPI-фильтры или компо-ненты СОМ+. В противном случае пришлось бы перезапустить служ-бы.

Тренинг 9-21 . Как установить кластеры с поддержкой перемещения при сбое?

Схема установки кластеров показана на рисунке.

К Web-кластеру

Сервер SQL Serverв пассивном режиме

Ethernet

1-й разделбазы данных

Сервер SQL Serverв активном режиме

Сервер SOL Serverв пассивном режиме

2-й разделбазы данных


Сервер SQLServerв пассивном режиме

и разделбазы данных


Какие методы разрешается применить в приложении для доступак данным?

Для доступа к данным в приложении можно воспользоваться разбие-нием данных на разделы или маршрутизацией, основанной на дан-

ных.

Как следует сконфигурировать кластер с поддержкой перемеще-

ния при сбое?

Можно создать четырехузловой кластер с несколькими экземпляра-ми и топологией типа «N+1». В такой конфигурации на трех серве-

рах размешается по активному экземпляру SQL Server (по одному накаждый раздел), а четвертый узел остается в дежурном режиме и

сконфигурирован как основной узел при переходе в случае сбоя.


Упражнение 1. Проектирование прикладной структуры IISI . Каким должен быть исходный проект сети периметра?



СлужбаActive

Directory

'••i

Коммута!


шop

11

1 P fI

н1 IIusits

1 —

^ Коммутатор

•NLB-ки комтами (

т

иЦ

iластер с IIS

этор ; ActiveDirectory

м '\

2. Какие прикладные уровни следует предусмотреть в исходной вер-сии проекта?В проекте следует предусмотреть презентационный уровень и уровеньбизнес-логики.

3. Как следует спланировать развертывание информационного на-полнения?

Достаточно скопировать информационное наполнение с промежуточ-ного сервера на контроллер Web-кластера. Оттуда Application Centerавтоматически выполнит репликацию на остальные узлы кластера.

Упражнение 2. Интеграция SQL Server в структуре приложений1. Как следует изменить проект сети периметра, чтобы обеспечить

поддержку новых приложений?



Кластер SQL Serverпод управлениемслужбы кластеров

СлужбаActive

Directory

СлужбаActiveDirectory

2. Нужно развернуть приложения СОМ+, но при этом нельзя отклю-чать Web-службы, Как вы поступите?

Приложения развертываются в следующей последовательности:1. Удаление контроллера кластера и одного члена Web-кластера из

никла балансировки нагрузки.2. Развертывание приложения на этих двух компьютерах.3. Перезагрузка служб и возвращение обоих серверов в сеть с ба-

лансировкой нагрузки.4. Повтор процедуры с оставшимся узлом кластера.

3. Каким образом настроить разрешения на компьютерах с SQLServer?Необходимо позаботиться о гостевой учетной записи, соответствую-щей учетной записи 1и$К_<имя_компьютера>., и предоставить этойучетной записи разрешение на вход в систему компьютера базы дан-ных SQL Server.

4. Какие методы можно применить для оптимизации подключенийк базе данных?Чтобы оптимизировать подключения, необходимо использовать по-токовую модель Both, ограничить тайм-аут подключения, закрыватьненужные и совместно использовать подключения и увеличить раз-мер кэша записей.

Упражнение 3. Установка Exchange 2000 Server на Web-сайте1. Как следует модернизировать проект сети периметра для поддер-

жки службы Outlook Web Access?

Проект должен выглядеть гак, как показано на рисунке.


Коммутатор Коммутатор

NLB-кластерс IISи интерфейсными

компонентамиExchange

NLB-кластерс IISи компонентамиСОМ+

СлужбаActive

Directory

Кластер подуправлением

службы класте-ров с IIS и сер-

верными компо-нентами Exchange

СлужбаActiveDirectory

J

Кластер SQLServer подуправлениемслужбыкластеров

Ethernet


Каковы преимущества многосервсрной среды перед односервер-

ной?

Среда со многими серверами обеспечивает ряд преимуществ:

• в многосерверной модели поддерживается единое пространствоимен. Можно разместить группы пользователей в серверной час-ти системы и одновременно обеспечить им доступ к интерфейс-

ному серверу по его единому имени;• удается изолировать внутренние серверы от атак, расположив их

за брандмауэром или в отдельной подсети. Интерфейсные серве-ры можно оборудовать двумя сетевыми адаптерами: один для до-

ступа к Интернету, а другой для безопасного доступа к внутрен-ней ЛВС;

• наличие многих серверов позволяет разнести вычислительные за-дачи. Интерфейсные задачи выполняют на компьютерах, отлич-ных от внутренних компьютеров обработки данных. Например,вычисления для поддержки протокола SSL можно выполнятьтолько на интерфейсных серверах, а для внутреннего трафикамежду интерфейсными и внутренними серверами не применятьSSL;

• многосерверная модель проще масштабируется «горизонтально»и в ней легче обеспечить отказоустойчивость. Например, исполь-зовать службу балансировки сетевой нагрузки Windows 2000 наинтерфейсном кластере и службу кластеров Windows 2000 — навнутреннем кластере для поддержки перемещения при сбое в базеданных.

3. Какие методы аутентификации поддерживает Outlook Web Access?

Outlook Web Access поддерживает две формы аутентификациипользователя: базовую и интегрированную аутентификацию Windows.Outlook Web Access также поддерживает шифрование по протоколуSSL и анонимный доступ.

4. Какой метод аутентификации вы бы порекомендовали применить?

Нужно применять протокол SSL (с базовой аутентификацией). Та-ким образом обеспечивается самый высокий уровень безопасности иудобства связи между клиентами и сервером, так как вся информа-ция в сеансе связи шифруется.

Закрепление материала1. Будучи сетевым администратором компании Trey Research, вы раз-

вертываете Web-приложения с элементами управления ActiveX,клиентскими и серверными сценариями, ASP, компонентамиСОМ+ и хранимыми процедурами. Большинство информациисайта хранится в базе данных SQL Server. Вызовы компонентовСОМ+ обслуживаются в отдельном от Web-кластера кластере при-ложения СОМ+. Какова процедура развертывания приложения?

Сначала разверните компоненты СОМ+ на кластере приложенийСОМ+ и затем — остальную часть приложения на Web-кластере.

2. Вы — администратор базы данных SQL Server, поддерживающейнесколько приложений на Web-серверах. Чтобы повысить произ-водительности,,вы решили разбить несколько таблиц базы данныхна разделы. Назовите и опишите два метода доступа к разбитымна разделы данным?

Для доступа к разбитым на разделы данным вы вправе воспользо-ваться раздельным представлением или маршрутизацией, основаннойна данных.

3. После разбиения данных SQL Server на разделы вы решили реали-зовать отказоустойчивое решение для обеспечения доступностиданных. Какие два решения обеспечения высокой доступностиможно применить в условиях разбиения данных на разделы?

Для обеспечения высокой доступности вы вправе воспользоватьсяподдержкой перемещения при сбое в кластере и переносом журналовв совокупности с делением на разделы.

4. Вы конфигурируете Web-сайт для поддержки службы Outlook WebAccess, чтобы предоставить пользователям доступ к их электрон-ной почте через браузер, и решаете, как настроить среду Exc-hange 2000 Server. Необходимо, чтобы она обеспечивала единоепространство имен, а также требуется защитить хранилище дан-ных от атак. Какую конфигурацию Exchange вы выберете?Вы должны воспользоваться многосерверной моделью, так как в нейподдерживается единое пространство имен и изоляция интерфейснойчасти. В этой конфигурации удается также изолировать вычисли-тельные задачи, такие, как шифрование и расшифровка по протоко-лу SSL.

5. Вы устанавливаете Outlook Web Access и планируете использоватьмногосерверную конфигурацию в совокупности с технологиямикластеризации Windows. Планируется создать интерфейсный NLB-кластер и внутренний кластерный под управлением службы клас-теров. Требуется обеспечить максимальный уровень защиты и бе-зопасности связи между клиентами и серверами путем шиф-рования всей информации, пересылаемой в сеансе связи. Какимпротоколом вы воспользуетесь?

Для обеспечения максимальной безопасности необходимо применитьпротокол SSL вместе с базовой аутентификацией.

Глава 10Тренинг 10-11. Почему пользователям не удается получить доступ к Web-сайту?

Не предоставлено US-разрешение на чтение (Read) для сайта. ХотяNTFS-разрешение на чтение для учетной записи Ш8К_<олш_ ком-пьютер^ определено, при доступе к каталогу применяются ограни-чительные разрешения сервера I1S.

2. Допустим, установлено разрешение IIS Read, но предоставлятьдоступ к этой учетной записи следует только аутентифицирован-ным пользователям. Какие изменения нужно внести в списки раз-решений?Необходимо удалить учетную запись 1И&К_<имя_компыотера> изDACL-таблицы каталога и добавить в нее нужных пользователей илигруппы.

3. Из каких этапов состоит доступ пользователя к ресурсу?Получив запрос ресурса, HS-сервер определяет, если ли у IP-адресаклиента разрешение на доступ к Web-сайту или виртуальному ката-логу. Далее IIS-сервер аутентифицирует и авторизует пользователя.При необходимости выполняется аутентификация с применениемспециального приложения. И, наконец, пользователь авторизуетсядля доступа к каталогам NTFS на основе определенных для них раз-решений.


Упражнение 1. Планирование стратегии аутентификации ишифрования]. Какие методы аутентификации поддерживает IIS и чем они отли-

чаются?Сервер IIS поддерживает пять методов аутентификации: анонимныйдоступ, базовую аутентификацию Windows, интегрированную аутен-тификацию Windows, аутентификацию на основе хеша (Digest aut-hentication) и сопоставление клиентских сертификатов (client cer-tificate mapping).• Анонимный доступ (anonymous access) предоставляется всем

пользователям Интернета, при этом поддерживается большинствобраузеров. В IIS поддерживается учетная запись Ш8К_<н.«я_компьютера>, благодаря которой анонимные пользователи полу-чают доступ к ресурсам сайта — эта учетная запись Windows от-крывает им локальный вход в систему. При анонимном доступеникакая аутентификация не выполняется. Если синхронизацияпароля включена, при анонимном доступе пользователь не смо-жет получить доступ к удаленным ресурсам, в противном случаеему предоставляется анонимный доступ к удаленным ресурсам.

• Базовая аутентификация (basic authentication) предусматриваетпредъявление пользователем своих реквизитов для входа в систе-му. Для успешной аутентификации пользователи должны обла-дать правами локального входа на Web-сервер. Большинство бра-

узеров поддерживает базовую аутентификацию. В этом случаепароли передаются открытым текстом, поэтому данный методаутентификации считается небезопасным. Однако базовая аутен-тификация совместно с применением SSL обеспечивает надеж-ную защиту сеансов.

• Интегрированная аутентификация Windows (integrated Windowsauthentication) обеспечивает более надежную защиту, чем базо-вая, и поддерживает такие методы аутентификации, как NTLM иKerberos. Этот метод не позволяет выполнять аутентификациючерез прокси-подключения, кроме того, его поддерживают дале-ко не все браузеры.

• Аутентификация на основе хеша (digest authentication) предусмат-ривает пересылку по сети не самих паролей, а их хешей. Этотметод аутентификации работает через прокси-подключения. Од-нако он поддерживается только в доменах Windows 2000 и лишьнекоторыми браузерами, в частности Internet Explorer версии нениже 5. Аутентификация на основе хеша требует наличия ActiveDirectory

• Сопоставление клиентских сертификатов (client certificate map-ping) применяется в службе IIS при аутентификации пользовате-лей, имеющих сертификаты, которые сопоставлены учетным за-писям пользователей Windows 2000. Если этот метод использует-ся в IIS, Windows 2000 выполняет аутентификацию пользовате-лей и предоставляет им права и разрешения в рамках полномочийсоответствующих учетных записей. IIS поддерживает два спосо-ба сопоставления сертификатов: «один к одному» и «многие к од-ному». Данный метод прекрасно масштабируется и обеспечиваетхорошую защиту данных, однако его поддерживают не все брау-зеры. Кроме того, настройка сопоставления сертификатов можетоказаться довольно трудоемкой.

Какой методы аутентификации вы предпочтете?

Необходимо применить базовую аутентификацию, так как ее поддер-живает большинство Web-браузеров.

Каковы ограничения выбранного метода аутентификации?Пользовательские реквизиты не защищены, так как не шифруются,то есть пересылаются открытым текстом.Кроме аутентификации пользователей вам необходимо обеспечитьбезопасность всей информации, которой обмениваются пользова-тели и Web-сайт, то есть гарантировать секретность и целостностьданных. Один из способов решения задачи — шифрование. Какиеметоды шифрования вам доступны и чем они отличаются?

Для шифрования данных применяются следующие методы:• SSL — популярный стандарт Интернета для шифрования данных.

В приложениях, использующих SSL, нужно обеспечить поддерж-ку SSL (как это делают многие браузеры и Web-серверы). SSLтребует существенных ресурсов процессора при шифровании ирасшифровке данных. SSL поддерживает аутентификацию с при-менением сертификатов открытого ключа;

• IPSec работает на уровне IP стека протоколов TCP/IP и «прозра-чен» для большинства приложений. Он предоставляет высокийуровень защиты для большинства приложений, служб и высоко-уровневых протоколов. IPSec поддерживает аутентификацию пометоду Kerberos, сертификатов открытого ключа и общего ключа(preshured key values). Однако на компьютерах на обоих концахлинии связи должна быть установлена Windows 2000 и настроеныполитики безопасности [PSec. Кроме того, IPSec загружает про-цессор намного больше, чем SSL;

• EFS применяют для защиты важных данных, хранящихся на дис-ке, но не для защиты информации при передаче по сети.

5. Как обеспечить безопасность информации, которой обменивают-ся пользователи и Web-сайт?Для защиты данных необходимо использовать SSL. IPSec применятьнельзя, потому что его поддерживают не все браузеры, a EFS не обес-печивает защиты данных при их пересылке между клиентами и Web-серверами. Однако вы вправе применить IPSec во внутренней сетиорганизации для защиты данных при их пересылке по сети, а дляшифрования данных, хранящихся на дисках, можно воспользоватьсяфайловой системой EFS.

Упражнение 2. Планирование стратегии авторизации1. До настройки авторизации пользователей вы решили уточнить

полную схему доступа пользователей к ресурсам. Из каких этаповсостоит процедура предоставления доступа?Процесс доступа состоит из следующих этапов:• IIS определяет, разрешен ли доступ к Web-сайту или виртуально-

му каталогу с IP-адрес клиента;• в случае успеха предыдущей проверки для аутентификации пользо-

вателя применяется один из поддерживаемых IIS методов: ано-нимный доступ, базовая аутентификация, интегрированная аутен-тификация Windows, аутентификация на основе хеша или сопос-тавление клиентских сертификатов. В данном случае применяет-ся базовая аутентификация;

• после прохождения аутентификации IIS определяет разрешенияпользователя на доступ к запрашиваемому ресурсу;

• при необходимости после аутентификации US выполняется аутен-тификация с применением специальных приложений. В данномслучае она не выполняется;

• IIS использует контекст безопасности и разрешения NTFS аутен-тифицнрованного пользователя при предоставлении доступа кзапрошенному ресурсу.

2. Разрешения IIS-сервера распространяются на всех пользователей,пытающихся получить доступ к Web-сайту. Как настроить эти раз-решения?

Пользователям нужно предоставлять разрешение Read (Чтение) вдомашнем каталоге и разрешение Scripts Only (Только сценарии).

3. В отличие разрешений IIS-сервера разрешения NTFS относятся кконкретным пользователям и группам. Как их настроить?В соответствуюших каталогах удалите из DACL записи всех ненуж-ных пользователей и группы, оставив только необходимые админи-стративные труппы и пользователей. Предоставьте оставшимся пользо-вателям разрешение Full Control (Полный доступ). Создайте группуCustomers и предоставьте ей разрешение Read & Execute (Чтение ивыполнение).

Упражнение 3. Планирование системы защиты сетис применением брандмауэров1. Какие две основные топологии сетей периметра применяются и

чем они отличаются?Существуют две основных топологии сети периметра:• на основе одного брандмауэра — самая дешевая и простая в уп-

равлении конфигурация. В этом случае применяется один бранд-мауэр, оборудованный тремя сетевыми адаптерами — первый адап-тер подключен к частной сети, второй — к Интернету, а третий —к сети периметра;

• на сдвоенных брандмауэрах — здесь брандмауэры расположеныпо обе стороны сети периметра. Интерфейсная часть сети пери-метра подключена к Интернету через один из брандмауэров, авнутренняя часть — к корпоративной сети через другой брандма-уэр.

2. Требуется обеспечить максимальную защиту сети. Какую конфи-гурацию вы выберете?Необходимо применить конфигурацию на сдвоенных брандмауэрах.

528

3. Нужно также обеспечить максимальную защиту базы. Сколькобрандмауэров вы установите?

Необходимо установить три брандмауэра, как показано на рисун-ке, — один перед Web-серверами, второй — между Web-серверами исерверами данных, а третий — между сетью периметра и частной се-тью.



Web-серверыf www.nort hwind -

traders.com)



Закрепление материала1. Вы — сетевой администратор компании Consolidated Messenger.

Вам необходимо развернуть приложение, которое позволит кли-ентам следить за состоянием своих посылок в онлайновом режи-ме. Для получения информации о посылке пользователям предла-гается указать номер посылки, присвоенный ей при оформлении,Эти номера никак не связаны с учетным записям пользователейили базами данных аутентификации: чтобы получить информациюпользователям не нужно представлять никаких дополнительныхсведений кроме номера посылки. Какой моделью аутентификациивы воспользуетесь на вашем Web-сайте?Вы вправе предоставить своим клиентам анонимный доступ, так какпри входе в систему не нужно вводить реквизиты пользователя.

2. Web-сайт компании Adventure Works позволит пользователям по-лучать информацию о различных городах мира. Для доступа к базеданных SQL Server на сайте применяются ASP-приложения. Вынастроили на сайте а н о н и м н ы й доступ, при конфигурированииразрешений 11S установили флажок Read (Чтение) и в поле сосписком Execute Permissions (Разрешен запуск) назначили разре-шение на исполнение сценариев Scripts Only (Только сценарии).Затем, конфигурируя NTFS-разрешения Web-папки, создали вкаталоге учетную запись Ш5Я_<имя_компъютера> и предостави-ли ей разрешение на чтение. Обращаясь к Web-сайту, пользовате-ли получают доступ к домашней странице, но не могут выполнитьникаких ASP-приложений. Какова наиболее вероятная причинанеполадки?Необходимо предоставить разрешение Read & Execute (Чтение ивыполнение) учетной записи И}$К._<шня_компыотера>.

3. Вы создаете Web-сайт для компании Trey Research. Руководствохочет, чтоб клиенты при входе в систему сайта и для-доступа кресурсам проходили аутентификацию. Клиенты пользуются раз-л и ч н ы м и типами браузеров, и их компьютеры работают на разныхоперационных системах. Для защиты данных, которыми обмени-ваются клиентские компьютеры и Web-серверы, вы установилипротокол IPSec, однако многим клиентам не удается настроитьбезопасное подключение. Какова наиболее вероятная причинанеполадки?Для нормальной работы IPSec необходимо наличие компьютеров подуправлением Windows 2000 на обоих концах канала связи.

4. Вы — сетевой администратор маленькой фирмы, которая предос-тавляет онлайновые Web-сервисы своим клиентам. Сайт содержиттолько статическое информационное наполнение, которое полно-стью расположено на IIS-сервере. IIS конфигурирован для под-держки анонимного доступа. Требуется защитить сеть с примене-нием брандмауэра, причем решение должно быть недорогим, лег-ко управляемым и отделять сеть периметра от остальной сети так.чтобы доступ к Интернету из частной сети не зависел от доступ-ности сети периметра. Какой вариант защиты сети средствамибрандмауэр вы предпочтете?Необходимо воспользоваться решением с одним брандмауэром, обо-рудованным тремя сетевыми адаптерами. Один адаптер следует под-ключить к частной сети, второй — к Интернету, а третий — к сетипериметра,

Глава 11Тренинг 11-11. Какими методами регистрации и просмотра данных о производи-

тельности процессора вы воспользуетесь?Для сбора данных нужно создать счетчик в оснастке PerformanceLogs and Alerts (Оповещения и журналы производительности). Дляпросмотра собранных данных можно использовать оснастку SystemMonitor (Системный монитор).

2. При просмотре журнала выяснилось, что загрузка процессора до-стигает предельных величин два раза в день. Вы хотите получатьсообщение при превышении загруженности процессора более, чемна 80%. Как это осуществить?

Нужно создать оповещение в оснастке Performance Logs and Alerts(Оповещения и журналы производительности) о превышении счет-чиком Processor/% Processor Time (Процессор% загруженности про-цессора) значения 80%. При настройке оповещения следует задатьспособ информирования.

3. Какие счетчики, помимо % Processor Time, потребуются для мо-ниторинга процессора?Необходимо контролировать следующие счетчики: System/ProcessorQueue Length (Система/Длина очереди процессора), Processor/%Privileged Time (Процессор/% работы процессора в привилегирован-ном режиме), Processor/% User Time (Процессор/% работы в пользо-вательском режиме) и Process/% Processor Time (Процесс/% загру-женности процессора).

Тренинг 11-21. Каким методом вы воспользуетесь для аудита Web-узла?

Для аудита Web-узла следует применить протоколирование IIS и со-хранять информацию в журналах формата W3C Extended, потому чтоэтот формат позволяет выбирать регистрируемые поля.

2. Какой инструмент вы примените для просмотра журналов?

Для просмотра журналов можно воспользоваться любым текстовымредактором, например Notepad (Блокнот).

3. Почему события не зарегистрированы в журнале безопасности?

До регистрации событий в журнале безопасности необходимо скон-фигурировать политику Audit Object Access (Аудит доступа к объек-там) в оснастке Group Policy на регистрацию успешных и неудачныхпопыток доступа.

4. Почему в журнале безопасности не зарегистрированы неудачныепопытки доступа?

Неудачные попытки доступа не регистрируются, потому что либосвойства каталога не настроены для аудита, либо не включена поли-тика аудита.


Упражнение 1. Создание стратегии мониторинга системы1. Прежде всего надо контролировать использование памяти. За ка-

к и м и пятью параметрами памяти следует наблюдать?

Необходимо организовать мониторинг наличия свободной памяти,обмена со страничным файлом, размера кэша файловой системы,размера страничного файла и пула памяти.

2. Почему о мониторинге память необходимо позаботиться до конт-роля других компонентов?

Нехватка памяти или ошибки в ней вызывают неполадки в другихустройствах. Например, низкая производительность дискового нако-пителя или процессора на поверку может быть вызвана неполадкамис памятью. Их следует устранить до проверки остальных компонен-тов системы.

3. Далее следует организовать наблюдение за процессорами. Вы пла-нируете собирать информацию о работе процессора, а также оподключениях и потоках службы IIS. Какие параметры нужно со-бирать в каждой из перечисленных категорий?Необходимо проводить мониторинг следующих параметров: длинаочереди потоков и процентное соотношение времени работы процес-сора в различных режимах. Данные о подключениях US-сервера дол-

жны содержать сведения об активности Web- и ГГР-служб; данныео потоках IIS — информацию о числе потоков, загрузке процессора ипереключениях контекста.

4. Следующий шаг — сбор данных о сетевом вводе/выводе, а точнее,о скоростях передачи и TCP-подключениях. Какую информациюследует собирать о скоростях передачи и TCP-подключениях?

В информации о скорости передачи данных необходимо измерятьчисло байт, полученных и переданных по протоколам Web-, FTP- иSMTP-служб. Кроме того, потребуются сведения о полученных ипереданных данных в TCP-сегментах, при обмене дейтаграммами попротоколу IP и на каждом сетевом интерфейсе. Данные о TCP-под-ключениях должны содержать информацию об установленных, ра-зорванных и сброшенных подключениях.

5. Наконец, вы планируете организовать мониторинг Web-приложе-ний. Какие компоненты необходимо контролировать?

Нужно организовать мониторинг запросов ASP, а также запросовGET и POST службы Web.

6. Предположим, что в процессе анализа данных вы обнаружили, чтов некоторые моменты длина очереди долго остается большой. Вчем вероятная причина?

Большая очередь свидетельствует о том, что процессор не справля-ется с нагрузкой, и потоку приходится долго ждать обслуживания.Постоянная очередь длиной два и более потока обычно указывает нато, что процессор стал «ужим местом».

Упражнение 2. Создание стратегии аудита системы1. Прежде всего следует настроить политики аудита, которые позво-

лят регистрировать определенные события. Как сконфигурироватьполитики аудита?

Политики аудита конфигурируются в оснастке Group Policy (Груп-повая политика). Существует три варианта настройки политики:аудит успешных попыток, неудачных попыток или любых попытокдоступа.

2. Необходим особый контроль доступа к отдельным каталогам ифайлам — требуется регистрировать все попытки доступа к этимресурсам. Какую политику (или политики) и как нужно сконфи-гурировать?

Необходимо сконфигурировать политику Audit Object Access (Аудитдоступа к объектам) в оснастке Group Policy на регистрацию успеш-ных и неудачных попыток доступа.

3. После настройки групповой политики вы решили организоватьаудит каталога Inetpub\Scripts. Что для этого нужно сделать?

Необходимо настроить аудит каталога Inetpub\Scripts. Для этого навкладке Security (Безопасность) диалогового окна Properties (Свой-ства) щелкните кнопку Advanced (Другие) и на вкладке Auditing (Аудит)открывшегося окна настройте аудит каталога.

4. Далее требуется позаботиться о регулярном изучении журнала бе-зопасности на предмет важных событий. Как изучить содержимоежурнала безопасности?

Для просмотра событий журнала безопасности применяйте оснасткуEvent Viewer (Просмотр событий).

5. Кроме аудита событий вам придется обеспечить регистрацию опе-раций Web-узла, а точнее дату, время, IP-адрес и имя всех посети-телей сайта. Пока не нужно более подробной информации, чтобыограничить размер журналов. Как регистрировать указанную ин-формацию?

Протоколирование включают средствами оснастки Internet Infor-mation Services на странице свойств соответствующего сайта. Сохра-нять события нужно в журналах формата W3C Extended, потому чтоэтот формат позволяет выбирать регистрируемые поля.

6. Как просмотреть зарегистрированную информацию о посетителяхсайта?

Для просмотра журналов в формате W3C Extended можно восполь-зоваться любым текстовым редактором, например Notepad (Блокнот).

7. Какие форматы файлов журнала поддерживает US-сервер?

Механизм протоколирования IIS поддерживает четыре формата жур-нала: W3C Extended, IIS Microsoft, NCSA и ODBC.

8. Вы решили, что не нужно регистрировать абсолютно все опера-ции Web-узла — в частности, события каталога Images на сайте.Как отключить регистрацию событий каталога Images?

Регистрацию событий каталога Images отключают на странице егосвойств [на вкладке Directory (Каталог)] в оснастке Internet InformationServices.

Закрепление материала1. Необходимо обеспечить мониторинг производительности компь-

ютера под управлением Windows 2000— определить номинальноезначение и контролировать его превышение. Какое инструмен-тальное средство позволяет это сделать?

Для определения среднего значения и дальнейшего постоянного мо-ниторинга производительности можно воспользоваться оснасткойPerformance (Производительность) в Windows 2000 Server.

2. Будучи сетевым администратором компании, вы отвечаете за мо-ниторинг производительности US-сервера. Вы обнаружили, чторабочий набор I net info часто занимает всю доступную физичес-кую память, кроме того, в это время резко возрастает активностьдисков. В чем наиболее вероятная причина неполадки?

Недостаточно физической памяти на сервере.3. Вы организуете аудит события входа в систему IIS-сервера. Вас

интересуют только неудачные попытки, однако в журнале безо-пасности регистрируется все попытки входа в систему — удачныеи неудачные, и журнал слишком быстро переполняется. Как орга-низовать регистрацию только неудачных попыток входа в систе-му?Сконфигурируйте соответствующие политики аудита для регистра-ции только неудачных попыток доступа.

4. В системе регистрируются события IIS-сервера. Вы хотите регис-трировать все события, связанные с обращениями к базе данныхSQL Server. Вы определили базу данных, имя источника данных(data source name, DSN) и таблицу для размещения информации особытиях. Какой формат данных следует указать при конфигури-ровании регистрации событий в IIS?Для регистрации необходимо использовать формат ODBC.

5. Вы разрабатываете стратегию восстановления ITS-серверов и ре-шили создать средства восстановления системы. Вы создали уста-новочные и загрузочные диски Windows 2000, а также диски ава-рийного восстановления. О каких еще средствах восстановлениянужно позаботиться?

Необходимо регулярно выполнять резервное копирование данных,чтобы предотвратить потерю жизненно важной информации о состо-янии системы, файлов и важных данных.

6. В рамках подготовки плана восстановления в чрезвычайных ситу-ациях вы решили оттестировать различные компоненты системы,чтобы выявить наиболее уязвимое место системы. Предполагает-ся протестировать внутренние и внешние компоненты. Какие на-грузочные тесты следует выполнить?

Необходимо имитировать большую нагрузку на сеть, выполнениебольшого числа операций дискового ввода/вывода, нагрузку на фай-ловые серверы и серверы приложений и большое число одновремен-но подключенных пользователей.

ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ MICROSOFTприлагаемый к книге компакт-диск

ЭТО ВАЖНО - ПРОЧИТАЙТЕ ВНИМАТЕЛЬНО. Настоящее лицензионное соглашение (далее «Согла-шение») является юридическим документом, оно заключается между Вами (физическим или юридичес-ким лицоч) и Microsoft Corporation (далее «корпорация Microsoft») на указанный выше продукт Microsoft,который включает программное обеспечение и может включать сопутствую тис мультимедийные и печат-ные материалы, а также электронную документацию (далее -Программный Продукт»). Любой компонент,входящий в Программный Продукт, который сопровождается отдельным Соглашением, подпадает поддействие именно того Соглашения, а не условий, изложенных ниже. Установка, копирование или иноеиспользование данного Программного Продукта означает принт ие Вами данного Соглашения. Если Выне принимаете его условия, то не имеете права устанавливать, копировать или как-то иначе использоватьэтот Программный Продукт.

ЛИЦЕНЗИЯ НА ПРОГРАММНЫЙ ПРОДУКТПрограммный Продукт затишен законами Соединенных Штатов по авторскому праву и международ-н ы м и договорами по авторскому праву, а также д р у г и м и законами и договорами по правам на интеллек-туальную собственность.

1. ОБЪЕМ ЛИЦЕНЗИИ. Настоящее Соглашение дает Вам право:a) Программный продукт. Вы можете установить и использовать одну копию Программного Про-

дукта на одном компьютере. Основной пользователь компьютера, на котором установлен дан-ный Программный Продукт, может сделать только для себя вторую копию*! использовать еена портативном компьютере.

b) Хранение или использование в сети. Вы можете также скопировать или установить экземпляр Про-граммного Продукта на устройстве хранения, например на сетевом сервере, исключительно дляустановки или запуска данного Программного Продукта на других компьютерах в своей внут-ренней сети, но тогда Вы должны приобрести лицензии на каждый такой компьютер. Лицензиюизданный Программный продукт нельзя использовать совместно или одновременно на другихкомпьютерах.

c) License Pak. Если Вы купили эту лицензию в составе Microsoft License Pak, можете сделать ряддополнительных копий программного обеспечения, входящего в данный Программный Про-дукт, и использовать каждую копию так, как было описано выше. Кроме того. Вы получаетеправо сделать соответствующее число вторичных копий для портативного компьютера в целях,также оговоренных выше,

d) Примеры кода. Это относится исключительно к отдельным частям Программного Продукта, за-явленным как примеры кода (далее «Примеры»), если таковые входят в состав ПрограммногоПродукта.i) Использование и модификация. Microsoft дает Вам право использовать и модифицировать

исходный код Примеров при условии соблюдения пункта (d)(ii i> ниже. Вы не имеете правараспространять в виде исходного кода ни Примеры, ни их модифицированную версию.

ii) Распространяемые файлы. При соблюдении пункта |d)(i i i) Microsoft дает Вам право на сво-бодное от отчислений копирование и распространение в виде объектного кода Примеровили их модифицированной версии, кроме тех частей (или и ч модифицированных версий),которые оговорены в файле Readme, относящемся к данному Программному Продукту,как не подлежащие распространению.

i i i ) Требования к распространению файлов. Вы можете распространять файлы, разрешенные краспространению, при условии, что: а) распространяете их в виде объектного кода тольков сочетании со-своим приложением и как его часть; б) не используете название, эмблемуили товарные знаки Microsoft для продвижения своего приложения; в) включаете имею-щуюся в Программном Продукте ссылку на авторские права в состав этикетки и заставкисвоего приложения; г) согласны освободить от ответственности и взять на себя защитукорпорации Microsoft от любых претензий или преследований по закону, включая судеб-ные издержки, если таковые возникнут в результате использования или распространенияВашего приложения; и д ) не допускаете дальней шего распространения конечным пользо-вателем своего приложения. По поводу отчислений и другич условий лицензии примени-тельно к и н ы м видам использования или распространения распространяемых файлов об-ращайтесь в Microsoft.

I, ПРОЧИЕ ПРАВД И ОГРАНИЧЕНИЯ• Ограничения на реконструкцию, но компиляцию и дисассемблирование. Вы не имеете права ре-

конструировать, декомпилировать или ли иссемблировать данный Программный Продукткроме того случая, когда такая деятельность (только в той мере, которая необходима) явноразрешается соответствующим законом, несмотря на это ограничение.

• Разделение компонентов. Данный Программный Продукт лицензируете я как единый продукт. Emкомпоненты нельзя отделять друг от друга для использования более чем на одном компьютере

• Аренда. Данный Программный Продукт нельзя сдавать в прокат, передавать но временноепользование или уступать для использования в иных целях.

• Услуги по технической поддержке. Microsoft может (но не обязана) предоставить Вам услуги потехнической поддержке данного Программного Продукта (далее «Услуги*). ПредоставлениеУслуг регулируется соответствующими правилами и программами Microsoft, описанными нруководстве пользователя, электронной документации и/или других материалах, публикуемыхMicrosoft. Любой дополнительны i программный код, предоставленный в рамках Услуг, следу-ет считать частью данного Программного Продукта и подпадающим под действие настоящегоСоглашения. Что касается технической информации, прсдостанлнемой Вами корпорацииMicrosoft при использовании ее Услуг, то Microsoft может задействовать эту информацию вделовых целях, в том числе для -технической поддержки продукта и разработки. Используя та-кую техническую информацию, Microsoft ни будет ссылаться на Вас.

• Передача прав на программное обеспечение. Вы можете безвозвратно уступить все права, регули-руемые настоящим Соглашением при условии, что не оставите себе никаких копий, передадитевсе составные части данного Программною Продукта (включая компоненты, мультимедийныеи печатные материалы, любые обновления, Соглашение и сертификат подлинности, если тако-вой имеется) и принимающая сторона согласится с условиями.настоящего Соглашения

• Прекращение действия Соглашения. Без ущерба для любых других прав Microsoft может пре-кратить действие настоящего Соглашения, если Вы нарушите его условия. В этом случае Выдолжны будете уничтожить все копии данного Программного Продукта вместе со всеми егокомпонентами.

3. АВТОРСКОЕ ПРАВО. Все авторские права и право собетвеннос1и на Программный Продукт(в том числе любые изображения, фотографии, анимации, видео, аудио, музыку, текст, примерыкода, распространяемые файлы и апплеты, включенные в состав Программного Продукта) и лю-бые его копии принадлежит корпорации Microsoft или ее поставщикам. Программный Продукт ол-ранястся законодательством об авторских правах и положениями международных договоров. Та-ким образом. Вы должны обращаться с данным Программным Продуктом, как с любым другимматериалом, охраняемым авторскими правами, с тем исключением, что Вы можете установить Про-граммный Продукт на один компьютер при условии, что храните оригинал исключительно как ре-зервную или архивную копию. Копирование печатных материалов, поставляемы* «месте с Про-граммным Продуктом, запрещается.

ОГРАНИЧЕНИЕ ГАРАНТИИДАННЫЙ ПРОГРАММНЫЙ ПРОДУКТ (ВКЛЮЧАЯ ИНСТРУКЦИИ ПО ЕГО ИСПОЛЬЗОВАНИЮ)ПРЕДОСТАВЛЯЕТСЯ БЕЗ КАКОЙ-ЛИБО ГАРАНТИИ. КОРПОРАЦИЯ MICROSOFT СНИМАЕТ ССЕБЯ ЛЮБУЮ ВОЗМОЖНУЮ ОТВЕТСТВЕННОСТЬ, В ТОМ ЧИСЛЕ ОТВЕТСТВЕННОСТЬ ЗАКОММЕРЧЕСКУЮ ЦЕННОСТЬ ИЛИ СООТВЕТСТВИЕ ОПРЕДЕЛЕННЫМ ЦЕЛЯМ. ВЕСЬ РИСКПО ИСПОЛЬЗОВАНИЮ ИЛИ РАБОТЕ С ПРОГРАММНЫМ ПРОДУКТОМ ЛОЖИТСЯ НА ВАС.НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ КОРПОРАЦИЯ MICROSOFT. ЕЕ РАЗРАБОТЧИКИ, А ТАК-ЖЕ ВСЕ. ЗАНЯТЫЕ В СОЗДАНИИ. ПРОИЗВОДСТВЕ И РАСПРОСТРАНЕНИИ ДАННОГО ПРО-ГРАММНОГО ПРОДУКТА, НЕ НЕСУТ ОТВЕТСТВЕННОСТИ ЗА КАКОЙ-ЛИБО УЩЕРБ (ВКЛЮ-ЧАЯ ВСЕ, БЕЗ ИСКЛЮЧЕНИЯ, СЛУЧАИ УПУЩЕННОЙ ВЫГОДЫ, НАРУШЕНИЯ ХОЗЯЙСТВЕН-НОЙ ДЕЯТЕЛЬНОСТИ, ПОТЕРИ ИНФОРМАЦИИ ИЛИ ДРУГИХ УБЫТКОВ) ВСЛЕДСТВИЕ ИС-ПОЛЬЗОВАНИЯ ИЛИ НЕВОЗМОЖНОСТИ ИСПОЛЬЗОВАНИЯ ДАННОГО ПРОГРАММНОГОПРОДУКТА ИЛИ ДОКУМЕНТАЦИИ, ДАЖЕ ЕСЛИ КОРПОРАЦИЯ MICROSOFT БЫЛА ИЗВЕЩЕ:-НА О ВОЗМОЖНОСТИ ТАКИХ ПОТЕРЬ, ТАК КАК В НЕКОТОРЫХ СТРАНАХ НЕ РАЗРЕШЕНОИСКЛЮЧЕНИЕ ИЛИ ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ ЗА НЕПРЕДНАМЕРЕННЫЙ УЩЕРБ,УКАЗАННОЕ ОГРАНИЧЕНИЕ МОЖЕТ ВАС НЕ КОСНУТЬСЯ.

РАЗНОЕ

Настоящее Соглашение регулируется законодательством штата Вашингтон (США), кроме случаен (илишь в той мере, насколько JTO необходимо) исключительной юрисдикции того государства, на терри-тории которого используется Программный Продукт.Если у Вас возникли какие-либо вопросы, >.асаюшиеся настоящего Соглашения, или если Вы желаете свя-заться с Microsoft по любой другой причине, пожалуйста, обращайтесь в местное представительство Micrasc.fiили пишите по адресу: Microsoft Sales Information Center, One Microsoft Way. Redmond. WA 98052-6399.

Microsoft Corporation

Создание Web-решенийвысокой доступности на основеMicrosoft Windows 2000 Server

Перевод с английского под обшей редакцией А. Р. Врублевского

Редактор Ю. П. Леонова

Компьютерный дизайн и подготовка иллюстраций Д. В. Петухов

Технический редактор Н. Г. Тимченко

Дизайнер обложки Е. В. Козлова

Оригинал-макет выполнен с использованиемиздательской системы Adobe PageMaker 6.0

гШбтт TypeMarketFon tLibrary

Главный редактор А. И. Козлов

Подготовлено к печати издательством «Русская Редакция»121087, Москва, ул. Заречная, д.9

тел.: (095) 142-0571, тел./факс: (095) 145-4519

e-mail: [email protected], http:// www.rusedit.ru

Ш У Ш И Г П Н 1 1 1

Подписано в печать 15.11.2002 г. Тираж 2000 эктФормат 60х90!/16. OHJ. i i . л. 36

Отпечатано в ОАО "Типография " Н о в о с т и " »107005, Москва, ул. Фр. Энгельса. 46

Книги Microsoft Press иа русском языкепо программам сертификации Microsoft

Сертификационный Издания, необходимые Программаэкзамен | для подготовки к экзамену сертификации

№ 70-016Designing and ImplementingDesktop Applications withMicrosoft Visual C++* 6.0

№ 70-059Internetworking with MicrosoftTCP/IP on Microsoft WindowsNT 4.0

№ 70-100Analyzing Requirements andDefining Solution Architectures

N* 70-175Designing and ImplementingDistributed Applications withMicrosoft Visual Basic 6.0

№ 70-210Installing, Configuringand Administering MicrosoftWindows 2000 Professional

№ 70-215Installing. Configuringand AdministeringMicrosoft Windows 2000 Server

№ 70-216Implementing and Administeringa Microsoft Windows 2000Network Infrastructure

№ 70-217Implementing and Administeringa Microsoft Windows 2000Directory Services Infrastructure

№ 70-210,№ 70-215,№ 70-216,№ 70-217

№ 70-218Managinga Microsoft Windows2000 Network Environment

№ 70-221Designinga Microsoft Windows2000 Network Infrastructure

Разработка приложенийна Microsoft Visual C++ 6.0.Учебный курс MCSD 2 e изд.ISBN 5-7502-0185-6, 704 стр.. +CD, 2001 г.

Microsoft TCP/IP.Учебный курс MCSE 3-е изд.ISBN 5 7502-0171-6. 344 стр.. +CD, 2001 г.

Принципы проектированияи разработки программногообеспечения. Учебный курс MCSD 2-е изд.ISBN 5 7502-0213-5. 736 стр.. +CD, 2002 г.

Разработка распределенныхприложений на Microsoft VisualBasic 6.0. Учебный курс MCSD.ISBN 5 7502-0133-3, 400 стр.. +CD, 2000 г.

Microsoft Windows 2000 Professional.Учебный курс MCSE 2-е изд.ISBN 5-7502-01S3-X, 672 стр.. 2001 г.

Microsoft Windows 2000 Server.Учебный курс MCSA/MCSE 3-е изд.ISBN 5-7502-0219-4, 912 стр., -CD, 2002 г.

Администрирование сетина основе Microsoft Windows 2000.Учебный курс MCSE.ISBN £ 7502-0164-3, 512 сто., 2001 г.

Microsoft Windows 2000 Active DirectoryServir.es. Учебный курс MCSE.ISBN E -7502-0139-2. 800 стр., 2001 г.

MCSE Windows 2000. Компакт-диск:учебные материалы для подготовкик серп ификвционным экзаменам М!№70-210. 70-215, 70-216, 70-217. 2-е изд..ISBN E.-7502-0197 X, 16 стр., +CD, 2001 г.

Управление сетевой средой MicrosoftWindows 2000. Учебный курс MCSA/MCSEISBNb-7502-0212-7.готовится к изданию

Безопасность сети на основе MicrosoftWindows 2000. Учебный курс MCSE.ISBN fj-7502-0176-7. 912 стр.. +CD, 2001 г. .

MCSD

MCSE

MCSD

MCSD

MCSA/MCSE

MCSA/MCSE

MCSA/MCSE

MCSA/MCSE

MCSA/MCSE

MCSA/MCSE

MCSE

Книги Microsoft Press на русском языкепо программам сертификации Microsoft

Сертификационныйэкзамен

№ 70-226Designing Highly Available WebSolutions with Microsoft Windows2000 Server Technologies

Издания, необходимыедля подготовки к экзамену

Создание Web-решенийвысокой доступности на основеMicrosoft Windows 2000 Server.Учебный курс MCSE.ISBN 5-7502-0196-1, 576 стр.. +CD. 2002 г.

Программасертификации

MCSE

№ 70-227Installing, Configuring andAdministering Microsoft internetSecurity and Acceleration (ISA)Server 2000

Microsoft Internet Security andAcceleration Server 2000.Учебный курс MCSE.ISBN 5-7502-0191-0, 544 стр., -t-CD, 2002 г.

MCSA/MCSE

№ 70-228installing, Configuringand Administering Microsoft SQLServer 2000 Enterprise Edition

Администрирование Microsoft SQLServer 2000. Учебный курсMCSA/MCSE/MCDBA.ISBN 5 7502-0202-X. 816 стр., ^-CD. 2002 г

MCSA/MCSE/MCDBA

№ 70-229Designing and ImplementingDatabases with Microsoft SQLServer 2000 Enterprise Edition

Проектирование и реализация базданных Microsoft SQL Server 2000.Учебный курс MCSE.ISBN 5-7502-0149-Х, 652 стр., ^CD, 2001 г.

MCSE

№ 70-270Installing, Configuringand Administering MicrosoftWindows XP Professional •

Microsoft Windows XP ProfessionalУчебный курс MCSA/MCSE.ISBN 5-7502-0309-7. 1008 стр., ч-CD, 2002 г.

MCSA/MCSE

№ 70-305Developing and ImplementingWeb Applications withMicrosoft Visual Basic .NETand Microsoft Visual Studio .NET

№ 70-315Developing and ImplementingWeb Applications withMicrosoft Visual C#.NETand Microsoft Visual Studio .NET

Разработка Web-приложенийна Microsoft Visual Basic .NETи Microsoft Visual C# .NETУчебный курс MCAD/MCSD.ISBN 5-7502-0221-6.готовится к изданию

MCAD/MCSD

№ 70-306Developing and ImplementingWindows-Oased Applicationswith Microsoft Visual Basic .NETand Microsoft Visual Studio .NET

№ 70-316Developing and ImplementingWindows-based Applicationswith Microsoft Visual C# .NETand Microsoft Visual Studio .NET

Разработка Windows-приложенийна Microsoft Visual Basic .NETи Microsoft Visual C# .NETУчебный курс MCAD/MCSD.ISBN 5-7502-0222-4,готовится к изданию

MCAD/MCSD

Network* Certification Компьютерные сети.Сертификация Network*.ISBN 5-7502-0190-2. 704 стр., + CD, 2002 г.

CompTIA

издательство компьютерной литературы

Н . Р У С С Ш Р Е Д А К Ц И ЯПРОДАЖА КНИГоптом тел.: (0951142-0571, e-mail: [email protected];интернет-магазин http://www.ITbook.rLj; теп.: 1095) 145-4519;В розницу магазин -КОМПЬЮТЕРНАЯ и ДЕЛОВАЯ КНИГА.'Москва, Ленинский пр-т. Стр. 38. тел.: (095) 778-7269

w w w . s o f t l i n e . r u

119991 г. Москва,ул. Губкина, д. 8

Тел.:(095)232-0023e-mail: [email protected]

для разработки ПОПочему опытные разработчики приобретают нужныеАЛЯ их работы программы в компании SoftLine?

ffl Их привлекают низкие цены, т.к. компания работает напрямую с вендо-

рами.

в Их привлекает имеющаяся возможность получения демо-версий и об-

новлений.

S 6 выборе программ им помогают каталог SoftLine-direct и сайт

Ш Большая часть ассортимента SoftLine для разработчиков недоступна в

других компаниях,

Какие этапы разработки охватывает программноеобеспечение, поставляемое SoftLine?

S Проектирование программ (Microsoft, CA/Platinum, Rational, SilverRun,

Quest).

Ш Совместная работа (Centura. Merant, Microsoft).

Ч Управление проектами (PlanisWare, PlanView, Microsoft).

Ш Написание кода (среды разработки Allaire, Borland, IBM, Microsoft, ком-

поненты ANround Automation, ComponenTOne, Crystal Decisions, Janus,

Sitraka, Stingray).

it Оптимизация кода (Compaq, Fuji, Intel, MainSoft, Sun, Sybase, Tenberry}.

й Отладка и тестирование (NuMega, intuitive Systems, Segue),

H Упаковка приложений (InstallShield, Wise Solutions).

Ж Развертывание и поддержка (Remedy, RoyalBlue, CA, Network

Associates).

* Обучение пользователей (Adobe, Allen Communications, click2learn.com,

eHelp, Macromedia, Quest, Ulead).

SoftLine — • это свобода выбораОбратившись в SoftLine, вы в кратчайшие сроки решите проблемы с про-

граммным обеспечением. Получив консультацию менеджеров, часть из ко-

торых знакома с работой разработчиков не понаслышке (на собственном

опыте), вы подберете все необходимое для работы в вашей области - от

интегрированной среды RAD — до готовых компонент. При этом мы оста-

вим выбор идеологии разработки за вами — например, для регулярного

получения информации о продуктах и технологиях, вы сможете подписать-

ся на Microsoft Developer Network, Sun Developer Essentials или на нашу соб-

ственную рассылку компакт-дисков - SoftLine Support Subscription, предо-

ставляющую обновления и демо-версии всех ведущих производителей.

Компания SoftLine также поможет вам в выбора обучающих курсов.

Microsoft

Borland

COMPAQ.

InstallShield.

Component;

В кождом из номеров нашего журнала;- новости компьютерной индустрии- подробности о современных иперспективных технологиях- тесты и обзоры аппаратных япрограммных продуктов- интернет и мультимедиа, игры иприкладные программы- консультации экспертов, встречи синтересными людьми- CD-приложение с полезнымиутилитами

НАШИ ИНДЕКСЫ:Herd л Soft * 73140, Hard'n'Soft + CD - 26067

Microsoft Corporation Sozdanije Web Reshenij Vysokoj Dostupnosti Na Osnove Microsoft Windows 2000

Documents