Серверний спецназ

20.06.2019 | Сервери

Сервери особливого призначення відносяться до класу appliance servers. Від спеціалізованих одноцільових пристроїв закритого типу hardware appliances їх відрізняє апаратна основа - типові серверні платформи (адаптовані під навантаження), і переноситься ПО (комерційне або з відкритим кодом). Є програмні замінники тих і інших - virtual appliances, але вони не такі гнучкі по виділенню додатків обчислювальних ресурсів і інтегровані в загальну середу виконання (що не завжди благо).

Об'єднує всі три класи пристроїв простота інтеграції в існуючу інфраструктуру і високий ступінь готовності: «включи і працюй».

Існує думка, що аppliance servers - доля бідних, які не доросли до готових рішень від провідних виробників. Розквіт програмно-визначених систем доводить зворотне: аналіз цільових завдань і оптимізація під них програмно-апаратного оточення підривають привабливість прив'язки до cпеціфіческому (proprietary) обладнання.

Ось кілька прикладів з життя оптимізаторів.

Міжмережевий екран / маршрутизатор

Багато сервіс-провайдери, так і просто компанії різного масштабу, йдуть від апаратних маршрутизаторів і міжмережевих екранів (Cisco) на програмно-які визначаються рішення. Популярний спеціалізований дистрибутив pfSense. Побудований на доволі надійною і стійкою OS на FreeBSD, він встановлюється на окремий виділений сервер або в віртуальну машину (VM). Налаштування та поновлення через веб-інтерфейс прості, це знижує вимоги до обслуговуючого персоналу.

pfSense багатофункціональний: Периметрова міжмережевий екран, маршрутизатор, сервер DHCP / DNS, VPN hub / spoke. Деякі його опції зустрічаються хіба що в дорогому обладнанні. Може працювати в форматі відмов кластеру. Його вигідно відрізняє сумісність з хмарними сервісами Amazon AWS і Microsoft Azure - що дозволяє будувати VPN з єдиним адресним простором мережі.

Коли pfSense працює виключно в ролі внутрішнього маршрутизатора невеликої мережі, його зазвичай запускають в VM або навіть в двох - на різних фізичних вузлах в режимі відмов кластеру. Критичні конфігурації (навіть якщо мова тільки про маршрутизатор) налаштовують на двох виділених фізичних серверах, які не на внутрішніх VM. У ролі ж брандмауера, з точки зору безпеки внутрішньої мережі, винос pfSense за її межі на виділені фізичні пристрої, по суті, обов'язковий.

Віртуальна стрічкова бібліотека

Про те, що резервне копіювання даних і оточення - обов'язковий елемент IT-інфраструктури будь-якої складності, безтурботним користувачам регулярно нагадують різні віруси і інше шкідливе ПО.

Як показує практика, найнадійнішим і захищеним сценарієм резервування даних виявляється бекап на стрічкові накопичувачі. "Логічно" стрічкові (фізично це можуть бути і дискові масиви, аби ОС ініціатора бачила пристрій як LTO). Виявляється, навіть проста необхідність точного зазначення назви касети - серйозна перешкода для шкідників. Якщо до цього додати обмеження протоколу спілкування з стрічковими накопичувачами і програмне відключення таргета на період, коли бекап не проводиться, виходить міцний бастіон оборони. Розмістивши емулятор стрічкового накопичувача на виділеному сервері, та ще на деякій відстані від основного обчислювального центру, отримаємо додатковий рівень захисту даних.

Дисковий бекап привабливіше копіювання на стрічку - повільного і складного процесу. При великих обсягах даних для створення резервної копії виділення тимчасового вікна стає проблемою. Зручніше схеми disk-to-disk (D2D) або disk-to-disk-to-tape (D2D2T). Якщо резервне копіювання налаштоване на стрічкову бібліотеку, використовують емулятори - віртуальні стрічкові бібліотеки VTL (virtual tape library), вони ж сервери зберігання. Приклад інтеграції StarWind VTL і Microsoft System Center Data Protection Manager (DPM). VTL дозволяє «сховати» диски резервного копіювання від вірусів - вони не шифрують те, чого не бачать. Диски доступні онлайн, стрічка немає.

Потокове мовлення

Популярне серверне програмне забезпечення Wowza Streaming Engine використовується для мовлення потокового аудіо та відео, доставки відео за запитом. Підготовка відео - медіакодірованіе і транскодирование - вимагає значних обчислювальних ресурсів: для зміни кодеків (наприклад, перетворення VP8 в H.264), перетворення потоку в адаптивний бітрейт ABR або доставки c усередненим бітрейтом (конвертації одного потоку в чотири операції). Більше джерел (переданих потоків) - вище витрати. При сайзінге серверів під Wowza враховують кількість джерел, пропускну здатність каналів, модель розгортання (на віртуалізувати або фізичному сервері), можливості залучення ресурсів GPU і мереж доставки контенту CDN.

Програмне сполучення сховищ

Зберігати «остигають» дані на дорогих сховищах невигідно. Завдання автоматичного перенесення контенту між шарами зберігання можуть вирішувати свої додатки. Компанія Tiger Technology пропонує програмне сполучення Tiger Bridge, яке ставиться на будь-який сервер під керуванням Windows з його файлову систему NTFS, після чого той стає первинним сховищем з набором сценаріїв безшовної міграції. Tiger Bridge автоматично (за правилом або розкладом, заданим користувачем) копіює і переміщує файли первинного рівня на вторинний: NAS (по SMB), стрічку або в хмару (RESTful / S3). Сам файл з даними видаляється з первинного рівня, але там залишається стаб-файл (ярлик, корінець). Він містить всі метадані про переміщеному файлі даних, доступний користувачам і додаткам. При зверненні до нього контент повертається із вторинного рівня і стає доступним запит його додатком. Виходить, Tiger Bridge розширює охоплення локальної файлової системи NTFS на допоміжні сховища і виконує роль менеджера життєвого циклу даних.

Так Tiger Bridge, розгорнутий на серверах Milestone зрощує локальні NVR з хмарними сховищами:

Спеціалізовані сервери ще повоюють

Безліч завдань вирішуються програмно-визначеними засобами, всередині VM загальної віртуального середовища. Але буває інакше: за специфічними вимогами безпеки або зручностей експлуатації переважно виділені фізичні пристрої.

З серверами спеціального призначення користувач отримує всі переваги поділу програмного шару і апаратної основи: можна використовувати типові недорогі платформи і відповідне ПО, оновлювати / модифікувати їх незалежно один від одного, а при необхідності - навіть запускати у віртуальному середовищі і на хмарних сервісах.