Системные администраторы организаций, сделавших ставку на операционную систему Linux, должны по достоинству оценить возможности интеллектуального управления ИТ-инфраструктурой на основе службы каталогов LDAP, которые предоставляет инструментарий Volution.
Главная сила Volution — массовая установка и обновление RPM согласно многоуровневым профилям, сведенным в систему каталогов |
В мае завершился начатый почти год назад процесс слияния компаний Caldera и SCO. Операционные системы OpenServer и UnixWare объединились с продуктовой линейкой Caldera, которая благодаря этой сделке стала обладательницей прав на «первоисточник», AT&T UNIX. На что же сделает свою главную ставку объединенная компания: на Linux или на Unix? Возможно, ни на то, и ни на другое, а на программу под названием Volution, цель которой — радикально облегчить администрирование Linux-систем.
Продажа операционной системы как самостоятельного продукта, не привязанного к конкретной аппаратной платформе, — тяжелое занятие, что в полной мере ощутили на себе такие компании, как Novell и SCO. Мало кому сегодня удается прибыльно вести подобный бизнес. Даже самые известные Linux-компании как были, так и остаются убыточными. Закончился период, когда можно было существовать за счет разогретых ожиданий инвесторов; теперь надо начинать, в конце концов, приносить прибыль.
Естественный шаг в поиске источников доходов — сервис. Даже если сама по себе операционная система не стоит ничего, стоимость владения от этого нулевой не становится. Так и дешевая отечественная машина для тех, чье время стоит денег, оказывается «золотой», ведь обслуживание и ремонт — это, кроме всего прочего, потеря времени автовладельца.
В этой связи может сыграть свою роль Caldera Volution, построенный по технологии клиент-сервер и использующий каталоги программный инструментарий администрирования серверов и рабочих станций Linux на основе централизованно задаваемых политик. Ближайший аналог — технология Novell ZENworks, предназначенная для централизованного управления серверами и рабочими станциями Windows, а также серверами Netware.
Острота проблемы администрирования
Сегодня Linux — популярная серверная операционная система. По данным IDC, в 2000 году она заняла второе место по числу проданных копий с долей в 27%. Есть организации, в которых число Linux-компьютеров измеряется сотнями. Актуальная проблема их администрирования усугубляется еще и тем, что Linux очень динамична и изменчива: все время выходят обновленные, улучшенные версии ОС; растет число доступных служб и приложений; требуют постоянного отслеживания исправления ошибок и доработки, устраняющие уязвимые места в защите.
Если речь идет о личном компьютере под Linux, то установка новых программ — не работа, а удовольствие. А если таких компьютеров не один десяток? А если на части из них работают пользователи, которые считают себя «продвинутыми». Зачастую они достаточно «продвинуты» для того, чтобы скачать и установить заплатку, но недостаточно — чтобы восстановить систему, если в результате она перестала нормально работать.
Сегодня для любого компьютера, подключенного к Internet, вполне реальна опасность взлома. Этой угрозе противостоят независимые организации, регулярно рассылающие уведомления об обнаружении «дыр» в безопасности, а также производители программного обеспечения, которые выпускают соответствующие обновления. Для системного администратора организации, заботящейся о своей информационной безопасности, отслеживание таких сообщений и оперативная установка обновлений — одна из важнейших обязанностей. На практике это означает, что по каждому сигналу необходимо выяснить, имеет ли он отношение к какому-либо из многочисленных пакетов, установленных на каждой Linux-машине, и инсталлировать обновленные программы на всех машинах, где это требуется. Такая работа создает огромную нагрузку на администратора.
В постоянном контроле нуждается и оборудование. В частности, важно не упустить момент, когда производительность сервера опускается ниже критического порога. По иронии судьбы, последняя ситуация хорошо знакома владельцам успешных Internet-проектов, которые не умеют прогнозировать наплыва посетителей.
Мы решили исследовать, насколько система Volution способна помочь в решении задач администрирования, установив ее и проведя опытную эксплуатацию в РБК. Пробную версию с 60-дневной лицензией можно скачать с сайта www.caldera.com.
Из чего состоит Volution
Разобраться в этом вопросе удалось не сразу. Вообще с программными продуктами, предназначенными для сетевого администрирования, зачастую связаны проблемы терминологии. В частности, надо очень аккуратно разбираться с терминами «клиент», «сервер», «агент». Архитектура Volution сложнее обычной клиент-серверной, поэтому здесь потребуются дополнительные усилия.
Единая для всего продукта процедура графической установки предлагает установить следующие компоненты: Directory Server, Client, Server и Console. Естественно предположить, что Server и Directory Server устанавливаются на компьютер, играющий роль сервера; Client — на клиентский компьютер; Console — на рабочее место администратора. Однако, реальная картина совершенно иная (см. таблицу 1).
Разумеется, один физический компьютер может совмещать несколько ролей. Типичной выглядит ситуация, когда один физический сервер сразу выполняет функции сервера каталогов, Web-сервера и сервера Volution. Во всяком случае, мы поступили именно так, поэтому там, где в статье идет речь о сервере, имеется в виду именно такая конфигурация. В этом варианте на сервер устанавливаются все четыре компонента Volution. Администрируемый компьютер для краткости будем называть просто клиентом.
Directory Server. Сервер каталогов LDAP не является компонентом системы Volution, но требуется для ее работы. Поскольку LDAP — стандартный протокол, Volution позволяет либо использовать уже имеющийся сервер LDAP (поддерживается Novell NDS eDirectory и Netscape iPlanet), либо установить ПО OpenLDAP, поставляемое вместе с Volution. В обоих вариантах при установке Directory Server схема каталогов расширяется специфическими объектами и атрибутами Volution.
Рабочее место администратора. Не предполагает установки ПО, поскольку все, что требуется для работы с Volution — это браузер с поддержкой графики и фреймов.
Volution Console. Интерфейс администратора реализован в «чистом» HTML, а Volution Console — серверная часть этого интерфейса, динамически формирующая HTML-страницы при помощи Java-сервлетов. Данный компонент отвечает и за интерфейс, и за логику. Для работы Volution Console требуется Web-сервер Apache.
Volution Server. Выполняет две функции: Distributed Event Notification System (DENS) отвечает за синхронизацию между остальными компонентами; Computer Creation Daemon обнаруживает появление новых объектов администрирования в сети и регистрирует в каталоге LDAP. Реализован Volution Server в виде фоновых процессов densd и csmccd, а вместо традиционной схемы доступа к сетевым службам DENS и CCD по хосту и номеру порта в /etc/services используется более изощренный протокол SLP. Хотя реализующее его программное обеспечение OpenSLP и не является частью Volution, процедура инсталляции установит его вместе с Volution Server.
Volution Client. Часть системы, которая устанавливается на все объекты администрирования, собирает информацию о состоянии компьютеров и выполняет действия, назначенные администратором. С учетом того, что обычно клиентом называют программный компонент, который формирует запросы, а не тот, который их обрабатывает, стоило бы назвать эту часть агентом.
Volution Client в обязательном порядке устанавливается и на сервер. Дело в том, что Volution Server и Volution Console не могут сами обращаться к серверу LDAP, а делают это при помощи клиента. Volution Client реализован в виде фонового процесса csmd. (Аббревиатура csm в файлах Volution идет от прежнего названия этой системы — Cosmos.)
Установка
Сервер для работы Volution можно разместить на компьютере с процессором Intel 386, 486 или Pentium, оперативной памятью 64 Мбайт и доступным дисковым пространством 15 Мбайт, а клиенту достаточно 32 Мбайт памяти и 65 Мбайт на диске. Для тестирования мы использовали Compaq DeskPro.
Мы начали тестирование с установки Caldera OpenLinux eServer 2.3.1. Хотя Volution поддерживает различные дистрибутивы, это в большей степени относится к клиентской части, установка же серверной части наиболее гладко проходит на Linux от Caldera. Процедура инсталляции, в уже привычном для современных дистрибутивов Linux графическом интерфейсе, порадовала своей простотой, а также возможностью установки в автоматическом режиме. Программа инсталляции безошибочно определила оборудование и затем приступила к копированию данных. Вместо традиционной рекламы в качестве развлечения программа установки предлагает поиграть в старый добрый тетрис. Единственная возникшая проблема была связана с установкой LILO: программа инсталляции создала неподходящий для нашего относительно большого диска файл конфигурации. В результате пришлось повторно загрузиться с CD-ROM, вручную исправить файл конфигурации и переустановить загрузчик.
Экран загрузки OpenLinux выглядит достаточно необычно: традиционные для Linux сообщения загрузчика, затем ядра и стартовых процедур идут не в текстовом, а в графическом окне (в последних версиях RedHat загрузчик тоже демонстрирует графическую заставку, но сообщения идут в текстовом режиме).
После установки на машине появится ядро Linux 2.2.14; все стандартные Unix-службы: FTP, HTTP, DNS, DHCP и т.д.; почтовые службы POP3 и IMAP; службы файлов и печати для клиентов Unix и Windows; управление системой через браузер WebMin и многое другое. В сумме установка и базовая настройка Caldera eServer заняли около 40 минут, что является очень хорошим результатом.
Установка Volution предусматривает два варианта: в графическом режиме и в текстовом терминале с использованием диспетчера пакетов rpm. Графическая установка прошла гладко, результатом ее был полностью работоспособный сервер Volution. С установкой в текстовом режиме дело обстояло несколько хуже; хотя мы в точности следовали инструкциям, после установки пришлось вручную исправлять файлы конфигурации Web-сервера Apache.
Работа
Сразу после установки каталог LDAP содержит три контейнера: volution, computers, software. В дальнейшем администратор волен создавать подходящую ему структуру каталога, мы же остановимся на предопределенной структуре.
Контейнер volution содержит следующие подконтейнеры:
- actions («действия») — задания на выполнение указанных администратором действий по указанному расписанию: сбор данных с клиентов о программном и аппаратном обеспечении, установка, обновление и удаление программ, настройка принтеров, мониторинг за состоянием системы;
- profiles («профили») — списки программного обеспечения, предназначенного для установки, обновления или удаления;
- policies («политики») — правила для конфигурации программного обеспечения на клиентах.
Контейнер computers, предназначенный для клиентских компьютеров, изначально пуст. Объекты компьютеров-клиентов помещаются в каталог автоматически после инсталляции и конфигурации клиентских программ. При этом происходит следующее.
- При запуске клиента Volution он пытается авторизоваться на сервере LDAP, причем при первом запуске попытка авторизации неуспешна.
- В случае неуспешной попытки авторизации клиент использует SLP для обнаружения службы CCD.
- CCD ищет в каталоге компьютер с указанным клиентом идентификатором, роль которого играет MAC-адрес. В случае первого запуска компьютер с таким именем не обнаруживается.
- Если же компьютер с указанным идентификатором не найден, сервис создания компьютеров создает его, и возвращает параметры авторизации клиенту.
- Клиент готов для управления через Volution.
После того, как клиент появился в каталоге, он начнет слать о себе информацию, а администратор сможет назначать для него определенные задания. Volution предусматривает два возможных режима связи с клиентом: по уведомлению и по опросу. В режиме уведомления Volution Server (точнее его часть, DENS) сообщает клиентам об изменениях в конфигурации. В режиме опроса DENS не используется, клиенты опрашивают сервер LDAP с частотой, описанной в расписании (shedule). Режим уведомления является предпочтительным; именно он установлен по умолчанию. Режим опроса незаменим в тех случаях, когда DENS не может уведомить клиента (например, из-за того, что тот находится за межсетевым экраном или располагает лишь коммутируемым доступом в Сеть).
Контейнер software предназначен для пакетов RPM и изначально содержит два пустых подконтейнера: pub — уже установленные пакеты (возможен только просмотр) и secure — пакеты, предназначенные для установки.
Предположим, что клиенты успешно зарегистрировались, и можно заняться обновлением их программного обеспечения. Для этого нужно проделать следующие шаги:
- Скачать обновленные пакеты с сервера поставщика дистрибутива Linux.
- Разместить их на сервере Volution, сделав доступными по протоколу HTTP или анонимному FTP. В случае с Caldera eServer удобным местом будет /home/httpd/html/secure.
- Создать объекты пакетов в подконтейнере secure, выдав в режиме терминала следующую команду:
# /opt/csm/bin/rpmadd -u http://yourhost.yourcompany.com/secure -s «ou=software, o=yourcompany» -d ldap://yourhost.yourcompany.com:389 -n «cn=admin,o=yourcompany» /home/httpd/html/pub/*.rpm
где:
- http://yourhost.yourcompany.com/secure — адрес, по которому будут доступны обновленные пакеты;
- «ou=software, o=yourcompany» — контейнер в каталоге LDAP для размещения объектов обновленных пакетов;
- ldap://yourhost.yourcompany.com:389 — адрес для доступа к серверу LDAP;
- cn=admin,o=yourcompany — учетная запись для авторизации в каталоге.
- Создать один или несколько объектов profile, в которых надо описать вид действия (инсталляция или обновление), задать список пакетов для обновления и при необходимости создать сценарии установки.
- Создать один или несколько объектов action. Задать сценарий и расписание установки. Расписание можно задавать как в единицах времени, так и по наступлению некоего события, например при изменении profile или списка ПО.
- Привязать созданные profile и action к определенному компьютеру, группе компьютеров или контейнеру целиком. (В последнем случае инсталляция будет произведена для всех компьютеров в контейнере.)
При наступлении описанного в расписании времени или события ПО на компьютерах клиентов будет обновлено.
В чем сила?
Собственно, это главный вопрос, ради которого мы и затеяли тестирование Volution. Из маркетинговых материалов и презентаций Caldera нам удалось понять лишь, что этот продукт — «полное решение». Проведя собственное тестирование, мы поняли, в чем он действительно силен.
Массовая установка/удаление RPM. Вот в чем Volution наиболее полезен: с его помощью можно навести идеальный порядок в том, какое программное обеспечение установлено на серверах и рабочих станциях. Чем больше в вашем распоряжении Linux-машин, тем скорее вы оцените Volution. Использовать же его для работы с единичными машинами особого смысла нет, для этого есть более простые средства.
Volution превращает унылое занятие тиражирования RPM в полностью подконтрольный, автоматизированный процесс, предоставляя для этого развитую инфраструктуру: общий репозитарий RPM; сведение Linux-машин в логические группы согласно их назначению и определение эталонной конфигурации RPM для каждой группы; возможность инсталляции по расписанию, в самое удобное время; подконтрольность состояния всех Linux-машин с точки зрения установленных на них RPM; автоматическое оповещение обо всех изменениях установленных программ.
Установив Volution, администратор радикально облегчит работу по обнаружению и ликвидации потенциальных «дыр» в безопасности. В этом ему поможет: полный и актуальный, с точностью до версии, перечень установленных на всех машинах программ; возможность поиска машин, на которых установлен конкретный пакет; возможность обновления программ на всех машинах; обратная связь в виде информации об изменениях.
Помимо экономии рабочего времени, уменьшится вероятность ошибок, например, забытых при инсталляции машин.
Конфигурирование принтеров. В сети из N машин и M принтеров поддержка в актуальном состоянии файлов printcap (описание конфигурации принтеров) — еще одна головная боль администратора. Для Volution каждый принтер в сети описывается один раз, а в результате образуется объект, эквивалентный записи в printcap. Принтер приписывается к выбранным компьютерам или группам, а обновление printcap происходит автоматически.
Отслеживания состояния оборудования. При помощи Volution можно: в любой момент получить информацию об аппаратной конфигурации машин сети; получать извещения обо всех изменениях аппаратуры; получать немедленные оповещения о возникновении критических ситуаций (например, о выходе нагрузки за пределы установленной нормы) по электронной почте или по SNMP через средства централизованного управления сетью.
Администрирование распределенной сети. Благодаря использованию технологий DENS и SLP становится возможным решать задачи администрирования не только в локальной сети, но и для машин, расположенных за межсетевыми экранами или не имеющих постоянного подключения (подключенных по коммутируемому соединению).
Автоматическое распознавание. Регистрация новых машин на сервере происходит автоматически, достаточно подключить к сети новую машину с установленным на нее клиентом Volution. Сервер Volution автоматически соберет информацию о конфигурации RPM и оборудования и начнет вести журналы изменений, а в каталоге Volution компьютеры будут идентифицироваться MAC-адресом сетевой платы.
Все познается в сравнении
Не претендуя на проведение полноценного сравнения инструментария для системных администраторов, отметим все же несколько конкурирующих и смежных программных продуктов.
RedHat Network. Объективно главный конкурент, просто потому, что конкурируют компании RedHat и Caldera. По нашему мнению, Caldera Volution обладает рядом преимуществ.
Рис. 2. Журнал изменений аппаратной конфигурации |
Преимущество RedHat, пожалуй, только в том, что он позволяет оперативно забирать обновления программ непосредственно с сайта производителя, а Volution требует создания собственного репозитария RPM. Однако и в этом аспекте, похоже, Caldera не намерена отставать; недавно объявлено о приобретении технологии WhatifLinux компании Acrylis и о планах выпуска Volution Online, среди функций которого — возможность доставки программного обеспечения через Сеть. Пока же вся ответственность за то, какие пакеты надо обновлять, лежит на администраторе. Хотелось бы, чтобы система смогла сама отслеживать и представлять администратору список имеющихся обновлений к установленным программам.
Webmin. Возможности Volution отлично дополняет продукт Webmin (www.webmin.net) — Web-интерфейс для администрирования систем Unix/Linux. Эта свободно распространяемая программа является независимой разработкой, которую активно поддерживает Caldera; входит в стандартную поставку Caldera OpenLinux.
Технически Webmin представляет собой набор CGI-скриптов на языке Perl, а его основная сила заключается в модульности. Есть большой набор модулей для конфигурирования большинства распространенных служб и приложений, включая: администрирование пользователей, управления файловыми системами и дисковыми квотами, конфигурирование Apache, sendmail, DNS и NFS. Поддерживается множество платформ, включая Solaris, Linux и FreeBSD. В Caldera позаботились о том, чтобы состыковать Volution с Webmin. Выбрав сервер в консоли администратора Volution, можно заняться его индивидуальной настройкой, щелкнув мышью в пиктограмму Webmin.
Средства мониторинга. Volution позволяет отслеживать выход за критические значения ряда параметров: свободное дисковое пространство, загрузка процессоров и т.п. Контролируемый параметр и критическое значение задается администратором, оповещения о критических событиях Volution направляет по почте или по протоколу SNMP. Однако эту функцию Volution мы бы оценили как вспомогательную, поскольку в части мониторинга Volution явно уступает специализированным средствам. На рынке систем управления и мониторинга существуют отличные коммерческие системы, например HP OpenView. Правда, надо заметить, что эти системы сложны в установке и эксплуатации, требовательны к ресурсам и достаточно дороги. Впрочем, базовая лицензия Volution, позволяющая администрировать десять машин, также далеко не бесплатна: около 3 тыс. долл. и еще 149 долл. за каждую дополнительную машину.
В РБК для мониторинга сетевой инфраструктуры используется продукт с открытым кодом BigBrother (http://bb4.com), который основан на использовании протоколов SNMP, ICMP и позволяет администратору расширять возможности мониторинга, подключая собственные элементы. Консоль BigBrother — все тот же Web-интерфейс, что облегчает доступ к информации большому числу пользователей. В полной мере достоинства BigBrother раскрываются при его интеграции с larrd, средству визуализации собранных данных в виде графиков. Наблюдая за изменением критических параметров во времени, администратор может загодя заметить возникновение проблем.
Проблемы Volution
Странно было бы ожидать «вылизанности» от продукта с номером версии 1.0. Однако система Volution порадовала своей устойчивой работой. На этой стадии можно простить такой недостаток, как отсутствие развитой интерактивной документации. Однако, поскольку продукт относительно новый, слаба надежда на помощь компьютерного сообщества в случае возникновения проблем: поиск на www.deja.com дал всего десять статей, в которых упоминается Volution. Какого же рода проблемы возникли при работе с Volution?
Работы меньше, но она станет более интеллектуальной. Даже немного поработав с Volution, понимаешь: прямолинейно, «показав пальцем», здесь ничего сделать нельзя. Например, нельзя просто приказать: поставь пакет xyz.rpm на сервер abc. Вместо этого надо выполнить строгую последовательность шагов.
- Принять решение о том, на каком уровне дерева каталогов целесообразна инсталляция ПО xyz: для всех компьютеров организации, для группы, к которой принадлежит abc или для одного компьютера abc, а возможно, понадобится создать новую группу.
- Найти объект типа profile для выбранного уровня. Возможно, понадобится создать новый профиль.
- Добавить RPM к перечню пакетов для данного профиля.
- Возможно, придется также создать новый объект типа action — например, если стандартное действие предусматривает установку RPM по расписанию в 3:00, а хочется посмотреть, что получится, прямо сейчас.
Вначале такой стиль, скорее всего, покажется непривычным и будет напрягать. Но по размышлению приходится согласиться с тем, что администрировать большой парк Linux-машин только так и надо.
При работе с Volution объем черновой работы по администрированию сократится, но придется осваиваться с возможно новой парадигмой. Преимущество подхода на основе LDAP — в определенности и документированности административных действий. Да, создание хорошо продуманной службы каталогов для крупной организации может потребовать нескольких итераций и месяцев работы, но зато в итоге становятся явными знания о компьютерной инфраструктуре организации, которые обычно заключены в голове системного администратора и теряются в случае его увольнения.
Интерфейс как у Internet-магазина. Администраторская консоль Volution - браузер, причем на стороне клиента используется чистый HTML и нет даже Java-аплетов (на стороне сервера Java-сервлеты работают). С одной стороны, это хорошо — чем проще протокол, тем меньше потенциальных проблем с межсетевыми экранами, с пропускной способностью и задержками сети и т.п. С другой — более привычен для администратора графический интерфейс в стиле X Window. Чтобы дело быстрее пошло на лад, надо вспомнить интерфейс Internet-магазина, где для того, чтобы выбрать, просмотреть или удалить объект, надо поставить галочку в соответствующем квадрате, а затем нажать на кнопку, вызывающую соответствующее действие. К сожалению, интерфейс использует HTML-фреймы, что вызывает дополнительные проблемы: левый фрейм с иерархией объектов не перерисовывается, и это тоже вначале сбивает с толку. (Если бы таким недостатком страдал интерфейс Internet-магазина, это сразу бы отразилось на его доходах).
Интерфейсные проблемы возникают и при обращении к перечню установленных на компьютере пакетов. Список выводится целиком, а поскольку он очень длинный, возникают затруднения.
Процедура каталогизации RPM. Для того чтобы поместить в репозитарий пакеты RPM, доступные для установки, необходимо сообщить серверу Volution их местонахождение. Делается это посредством процедуры rpmadd, которая выглядит совершенно дико. Судите сами: после того, как вы в графическом режиме проинсталлировали все компоненты Volution, поработали с консолью администратора в окне браузера, вам предлагается в терминальном окне набрать команду, которая в документации занимает три строки! После этого можно вернуться и продолжить работу в браузере. Зачем это нужно, — непонятно. Может быть, чтобы системный администратор не утратил окончательно навыки работы в командной строке?
Рис. 3. Аппаратная конфигурация в подробностях |
Неполная информация об аппаратной конфигурации. На копии экрана (Рис. 3) видно, что для машины под управлением RedHat Linux информация о конфигурации не полна: отсутствуют сведения о размере оперативной памяти и о жестких дисках.
Разочарования
Теперь о том, где при работе с Volution нас постигло разочарование. Увы, реклама рождает завышенные (а иногда и просто ложные) ожидания, поэтому полезно составить список того, чего не стоит ждать от Volution.
Конфигурировать клиента все же придется. Странным выглядит утверждение Caldera о том, что благодаря использованию SLP не требуется конфигурировать клиента Volution, хотя на соседней странице руководства приведена копия экрана, из которого видно, что при установке запрашивается адрес хоста сервера Volution. Вероятно, специалисты по маркетингу сочли, что ввод «всего одного» параметра не есть конфигурирование, но согласиться с этим трудно. Ведь вопрос заключается не в том, много или мало надо ввести информации, а в том, должен ли вообще администратор приближаться к компьютеру? Разница примерно такая же, как между раздачей IP-адресов вручную и по DHCP. Причем идея SLP заключается в том, чтобы конфигурирования на самом деле не требовалось. В описании протокола есть несколько методов, которыми можно достигнуть этих целей: при помощи DHCP, многоадресной и широковещательной рассылки пакетов. Очевидно, поддержка SLP в Volution пока реализована не в полном объеме.
Что такое «конфигурирование программного обеспечения» в понимании Volution? Увидев в документации слова «configuring software», мы ожидали, что сейчас-то при помощи Volution мы сможем тиражировать конфигурационные файлы Apache, sendmail и тому подобные. Не тут-то было. Оказывается, в понимании Volution конфигурирование означает установку/обновление/удаление пакетов в формате RPM. И только. Исключение сделано только для принтеров (файл printcap). Конечно, напрашивается предложение предоставить возможность тиражирования и других конфигурационных файлов сразу на множестве машин, в частности: resolv.conf, printcap, syslog.conf, ntp.conf, sshd_config, hosts.allow, sendmail.cf. К сожалению, пока Volution такой возможности не предоставляет, но можно воспользоваться обходным маневром, создав собственный RPM (например, apache-conf-X.Y.noarch.rpm), положив в него конфигурационный файл и тиражировав его при помощи Volution.
Не все дистрибутивы Linux являются «наиболее распространенными». По утверждению Caldera, Volution «поддерживает все наиболее распространенные дистрибутивы Linux», исключая только те, которые не поддерживают формат RPM, самый распространенный из них, по-видимому, Debian. К сожалению, не поддерживается также RedHat 7 (скорее всего, это ограничение только первой версии Volution). Причина — несовместимость версий RPM: дело в том, что Volution работает с RPM 3, а в RedHat 7 используется уже RPM 4.
Вопросы безопасности. Потенциально программное обеспечение наподобие Volution — «лакомый кусок» для взломщика. В самом деле, зачем искать дыры в операционной системе, если есть шанс взломать программу управления и через нее разом получить доступ ко всем компьютерам в сети. К сожалению, традиционно в инструментарии управления слабо развито разграничение доступа. Возможно, это традиция идет от Unix, где root имеет все права. Однако в ходе своей эволюции и операционная система Unix отошла от схемы «все или ничего», и современные версии имеют средства типа sudo, позволяющие выдать столько прав, сколько необходимо. Увы, Volution ничем не радует в этом отношении, мы не обнаружили возможности зарегистрировать пользователей с разным объемом администраторских полномочий — только один пользователь с максимумом полномочий и никакой «защиты от дурака». Впрочем, по сравнению с другими средствами администрирования это не недостаток Volution, а скорее отсутствие преимущества.
Итоги и практические рекомендации
Caldera Volution 1.0 — продукт полезный и в достаточной мере отлаженный. Продукт сделан «на вырост». Фундамент открытых стандартов LDAP, SLP, RPM потенциально может обеспечить больше функций, чем реализовано в первой версии, например: конфигурирование сетевых служб (так, как сейчас это сделано для принтеров); удаленная загрузка RPM (просматривается в связи с приобретением Acrylis и объявленными планами выпуска Caldera Online); администрирование не только Linux, но и BSD, UnixWare и прочих вариантов Unix.
Прямой экономический эффект от внедрения Volution заключается в уменьшении трудозатрат на администрирование компьютеров под Linux. На сайте Caldera есть любопытная страница: www.caldera.com/products/volution/breakeven — калькулятор, позволяющий рассчитать период окупаемости Volution в зависимости от числа Linux-машин, частоты и продолжительности обновления программного обеспечения и зарплаты системного администратора. Для организации с 10-50 Linux-машин и при уровне зарплаты администратора, среднем для Москвы, этот срок получился достаточно большим: два-три года. Впрочем, в расчетах окупаемости Caldera учитывается только одна функция: установка обновлений, однако, достоинства Volution этим не ограничиваются, поэтому полученную оценку срока окупаемости следует оценивать как консервативную.
Прямой экономический эффект — это еще не все: использование Volution, по нашему мнению, дает организации конкурентное преимущество, не оцениваемое в рублях. Заключается оно в большей документированности ИТ-инфраструктуры и в управляемости процессов системного администрирования. При таком взгляде затраты на Volution надо проводить по той же статье, что и, например, сертификацию по ISO 9000. (Простая аналогия: как оценить экономический эффект телефона? С учетом того, что сотрудники отвлекаются на внеслужебные разговоры, он вообще может получиться отрицательным. Очевидно, дело не в экономическом эффекте, а просто в том, что без телефона компания не сможет вести бизнес.)
С учетом данных соображений, мы бы в первую очередь рекомендовали рассмотреть вопрос приобретения Volution организациям с десятью или большим числом Linux-серверов, работающих в режиме высокой готовности, а также организациям, в структуре затрат которых существенную долю составляют издержки на содержание парка Linux-систем. Очевидно, целый ряд отечественных Internet-провайдеров попадает в обе эти категории.
Анатолий Белайчук (bell@bcons.ru) — сотрудник компании «Бизнес-Консоль»; Алексей Серебряков (val@rbc.ru) — сотрудник компании «РосБизнесКонсалтинг«; Александр Борток (bortok@amt.ru) — сотрудник компании AMT Group.
Протокол LDAP
Lightweight Directory Access Protocol — облегченный протокол доступа к каталогам. Под каталогом в этом контексте понимаются данные типа организационной структуры предприятия, списков сотрудников, телефонных номеров, конфигурации приложений, организованные в виде иерархии и доступные через стандартную сетевую службу. Исторически LDAP разрабатывался как облегченная версия протокола Directory Access Protocol, предназначенного для доступа к каталогам Х.500. Основной причиной разработки облегченной версии послужила чрезмерная сложность DAP и его зависимость от стека протоколов OSI.
Вторая версия протокола LDAP (открытый стандарт, базирующийся на TCP/IP) позволила упростить доступ к каталогам Х.500 в гетерогенных сетях, благодаря чему приобрела большую популярность. Текущая, третья версия LDAP поддерживает уже самостоятельный каталог, организованный в соответствии с моделью X.500. Кроме того, в новой версии LDAP добавилась поддержка национальных алфавитов и SSL, улучшена аутентификация. Наконец, появилась возможность изменять схему каталога, чем и воспользовалась Caldera в проекте Volution.
Схема каталога — это описание элементов каталога, их свойств и атрибутов. Возможность их модификации открывает практически неограниченные перспективы для размещения разнородной информации в едином каталоге и упрощает взаимодействие между каталогами с различными схемами.
Сегодня LDAP — основной кандидат на роль сетевого каталога, предоставляющего приложениям и пользователям контролируемый доступ ко всей корпоративной информации. Клиент LDAP встраивается в адресные книги почтовых программ, современные браузеры допускают использование URL вида ldap://.
Наиболее известные реализации сервера LDAP:
- OpenLDAP (www.openldap.org);
- iPlanet Directory Server (www.iplanet.com);
- Novell Directory Services (www.novell.com);
- Microsoft Windows 2000 (www.microsoft.com).
Протокол SLP
Service Location Protocol служит для упрощения конфигурирования сетевых приложений. SLP позволяет сетевым приложениям находить необходимые службы и настраиваться в соответствии с централизованной базой данных, облегчая работу пользователям и сетевым администраторам.
Протоколы, выполняющие функции SLP, существуют практически во всех операционных системах, например, SAP в NetWare или часть SMB, отвечающая за просмотр сети в операционных системах от Microsoft. Но только со стандартизацией SLP стали возможны интеграция и централизованное управление службами в гетерогенных сетях. Надо заметить, что хотя SLP активно развивается, пока он поддерживается недостаточно широким кругом сетевых приложений. Поэтому на текущий момент его внедрение может не дать больших результатов.
Наиболее известные реализации:
- OpenSLP (www.openslp.org);
- Sun Microsystems (www.srvloc.org).
Caldera Volution | RedHat Network |
Поддерживает большинство популярных дистрибутивов Linux, включая RedHat | Поддерживает только RedHat Linux |
Администрирование сети Linux-машин, упорядоченных системой каталогов | Администрирование Linux-машин по отдельности или по списку |
Позволяет администрировать машины, не имеющие выхода в Internet или расположенные за межсетевыми экранами; достаточно соединения по коммутируемой телефонной линии | Обязательно подключение администрируемой машины к Internet и регистрация ее на сервере RedHat |
Обеспечивает заданную конфигурацию RPM | Только установка самых свежих RPM, удаление не поддерживается |
Выполнение некоторых функций по конфигурированию RPM | Только установка RPM |
Диспетчеры пакетов RPM
Появление RedHat Package Manager (RPM) без преувеличения можно назвать событием как в мире Linux, так и для технологии диспетчеров пакетов в целом. Своим успехом дистрибутив RedHat в немалой степени обязан именно RPM. Отличительные черты RPM:
- легкость установки, обновления и удаления пакетов;
- встроенные средства контроля зависимостей и корректности установки;
- простота создания пакетов;
- возможность работы с исходными текстами продукта, включая автоматическую компиляцию;
- поддержка различных архитектур.
Любая операция в RPM осуществляется одной командой с легко запоминающейся комбинацией ключей. Установив пакет, администратор имеет в своем распоряжении мощный инструмент для дальнейших манипуляций. Всегда можно узнать, к какому пакету относится конкретный файл, какие файлы содержались в пакете, были ли модифицированы какие-либо параметры файлов со времени установки. Поскольку один пакет RPM включает только одну определенную программу, то не может быть неоднозначности в вопросе о версии, а, следовательно, и в вопросе о наличии в нем известных ошибок.
С точки зрения администратора ценна сама концепция пакета. В традиционных Unix-системах есть понятие «core system» — набора неотъемлемых составляющих операционной системы: утилит, служб, библиотек. В таких системах можно удалить ненужные компоненты только путем удаления файлов, что не только не гарантирует целостность, но и попросту неудобно.
В основанной на RPM системе достаточно выполнить команду:
# rpm -e sudo
чтобы избавиться от программы sudo, содержащей ошибку.