По материалам корпорации Microsoft (http://www.microsoft.com).

В последние два десятилетия развитие распределенных вычислительных систем шло во многом благодаря тому, что для решения большинства корпоративных задач использовались небольшие серверы, имеющие сравнительно низкую стоимость, высокую гибкость и целый ряд других преимуществ. Однако параллельно возникали и проблемы, которые по мере роста сложности систем быстро нарастали.

Децентрализованные закупки серверов. Серверы сравнительно недороги, такие закупки вполне в компетенции даже руководителей отделов, причем эти компьютеры не требуют специальных помещений. В результате ИТ-подразделения предприятий уже слабо контролируют, где, когда и как устанавливается оборудование в организации.

Неэффективность процессов в центрах обработки. Перенос принципов и процедур управления компьютерами пользователей на распределенные серверные системы приводит к ослаблению контроля за развертыванием серверов и управлением ими.

Ограниченная масштабируемость. Изначально серверная аппаратура масштабировалась не слишком хорошо, что усугублялось сравнительно малой емкостью дисковых устройств, подключаемых напрямую, и невозможностью их совместного использования серверами. Проблемы появлялись и на уровне ПО - в частности, это касалось ограничений на число объектов, поддерживаемых контроллером домена под управлением Windows NT. Это заставляло организации идти на увеличение числа основных контроллеров домена.

Проектирование приложений. Разработчики прикладного ПО чаще всего исходят из того, что сервер будет работать только с одним приложением. В результате часто приходится развертывать новый сервер под каждое новое приложение.

Все это предопределило появление четко выраженной тенденции к централизации вычислительных ресурсов организаций, которая может достигаться, в числе прочего, за счет консолидации серверов.

В целом консолидация серверов подразумевает очень многое - от сокращения числа серверов до выработки корпоративных стандартов их обслуживания. При этом речь идет не просто о замене множества малых серверов несколькими большими или установке разбросанных по разным местам серверов в одном помещении - консолидация должна обеспечить организации долгосрочную экономию за счет оптимизации инфраструктуры и связанных с ней процессов. Три ее ключевых аспекта: снижение числа серверов, сокращение числа поддерживаемых программных платформ и улучшение управления ИТ-инфраструктурой.

По каждому из этих направлений Microsoft и ее партнеры предлагают комплексные решения, включающие продукты и решения, методологические рекомендации и консалтинговые услуги. Технологическую основу консолидации составляют продукты линейки Windows Server System. Далее мы рассмотрим три ведущих системы: Windows Virtual Server 2005 R2, Windows Server 2003 R2, Windows Storage Server 2003, а также Active Directory Federation Services.

Windows Virtual Server 2005 R2

Virtual Server 2005 R2 - это последняя версия серверного решения Microsoft в области виртуализации, которая обеспечивает консолидацию серверов и эффективное управление средами нескольких ОС, развертываемых в масштабах предприятия. Продукт разработан для работы на серверах Intel (платформы IA-32, x64).

С архитектурной точки зрения Microsoft Virtual Server (MVS) - это многопотоковое приложение, запускаемое в виде службы основной (host) ОС, в которой каждая виртуальная машина под управлением гостевой ОС работает в своем отдельном потоке (рис. 1). Главный его компонент - Virtual Machine Monitor, он обеспечивает управление виртуальными машинами и их взаимодействием с системными аппаратно-программными ресурсами. В качестве основных ОС в MVS могут применяться все редакции Windows Server 2003, а для целей тестирования - Windows XP Professional. В качестве гостевых - практически все x86-совместимые серверные ОС, но служба Microsoft Product Support Services распространяет свою поддержку только на Windows Server версий 2003, 2000 и NT 4.0 (MVS оптимизирован для работы с этими ОС). Возможное количество виртуальных машин (ВМ) на одном MVS ограничивается аппаратными возможностями компьютера, но не может превышать 64.

Fig.1 Рис. 1. Архитектура Microsoft Virtual Server.

С позиции сервера каждая виртуальная машина рассматривается как отдельное серверное приложение, под которое после инсталляции гостевой ОС создается собственное виртуальное программно-аппаратное окружение. Пользователь может загружать нужные ему виртуальные машины по мере необходимости, а также выгружать, запоминая их текущее состояние. Все настройки ВМ хранятся в файлах формата XML, что облегчает создание идентичных конфигураций ВМ на различных компьютерах.

Механизм виртуальных жестких дисков (Virtual Hard Disk, VHD) служит для создания внешней памяти виртуальной машины, которая с точки зрения хост-системы представлена отдельным файлом. Каждый VHD создается с помощью Virtual Server Virtual Disk Manager, используя любые устройства хранения памяти, доступные основной файловой системе компьютера, включая IDE, SCSI, RAID, SAN, NAS и т. п. Средства поддержки виртуальных сетей обеспечивают взаимодействие виртуальных машин с внутренними и внешними сетями.

Для администрирования Virtual Server служат стандартные серверные инструменты управления, а также специализированная консоль с Web-интерфейсом - Virtual Server Administration Website (рис. 2). Программный набор COM API позволяет создавать различные сценарии для автоматического развертывания и конфигурирования подключенных виртуальных машин.

Fig.2
Рис. 2. Управление режимами работы виртуального сервера с помощью Virtual Server Administration Website.

Для упрощения переноса приложений с физических машин на виртуальные (а также виртуальных машин из формата VMware в Microsoft) можно использовать бесплатный набор Virtual Server Migration Toolkit. Однако эти средства предназначены для ИТ-специалистов и требуют комбинации встроенных и дополнительных средств Windows Server 2003, в том числе Dynamic Host Configuration Protocol (DHCP), PXE и Windows Server 2003 Automates Deployment Services (ADS). Кроме того, нужно знать особенности ОС, переносимой в виртуальную машину, и унаследованной аппаратной среды и иметь представление о языках написания сценариев.

Microsoft Windows Server 2005 R2

Новая версия серверной ОС Microsoft, выпущенная в конце 2005 г., Windows Server 2003 R2 предоставляет богатый набор дополнительных сервисов, в том числе для централизованного управления распределенной ИТ-инфраструктурой организаций со многими филиалами. Эти средства опираются на распределенную файловую систему (Distributed File System, DFS) и специальную технологию сжатия данных, особенно важную для инфраструктур на основе WAN с ограниченной пропускной способностью и высокими задержками. Эта ОС упрощает эксплуатацию файловых серверов и серверов печати, обеспечивая интеграцию удаленных офисов за счет следующих средств и возможностей.

Отказоустойчивая репликация файлов. Windows Server 2003 R2 содержит полностью переписанный механизм репликации для DFS, который теперь называется DFS Replication (DFS-R). Он поддерживает отказоустойчивую службу репликации с несколькими "хозяевами" (multimaster file replication), которая обеспечивает гораздо более высокую масштабируемость и эффективность синхронизации файловых серверов, чем ее предшественница - File Replication Services (FRS). DFS-R обрабатывает схемы репликации, поддерживает множество топологий репликации и использует Remote Differential Compression (RDC) для повышения эффективности передачи данных по WAN-сетям. Если WAN-соединение разрывается, данные сохраняются и пересылаются, когда соединение вновь становится доступным.

Технология сжатия данных. Технология RDC, учитывающая специфику WAN-сетей, реплицирует не все данные, а лишь изменения в них, гарантируя согласованность файлов. Это позволяет увеличить скорость репликации по WAN-сетям.

Усовершенствованные средства управления включают три компонента. Print Management Console (PMC) создает более функциональное представление топологии принтеров в сети, что дает возможность использовать серверы филиалов в качестве серверов печати. Microsoft Management Console (MMC) 3.0 поддерживает корпоративную инфраструктуру администрирования для управления службами доступа к файлам и принтерам в сети. Это избавляет организации от необходимости содержать администраторов в филиалах или приглашать сторонних специалистов для решения локальных проблем в удаленных офисах. Улучшенный пользовательский интерфейс DFS Namaspace упрощает управление корневыми каталогами файловой системы в сетевой инфраструктуре, а общие папки представляются пользователям как объединение под общим пространством имен.

Централизация хранилища данных. Такие хранилища снижают стоимость управления центрами обработки данных в филиалах. Накапливаемые там данные автоматически реплицируются на серверы центрального офиса через определенные промежутки времени и при наличии необходимой полосы пропускания. Это позволяет свести к минимуму число передач между серверами.

Повышение производительности. Сервер филиала обеспечивает надежный доступ к данным, необходимым пользователям и приложениям. Для обработки локальных запросов этот сервер использует локальные данные и обращается к центральному серверу, только если локальный файловый сервер перестает отвечать.

Одна из фундаментальных проблем интеграции удаленных офисов - зависимость от базовых файловых операций. Большинство протоколов в файловых системах, таких, как Network File Systems (NFS) в Unix или Common Internet File System (CIFS) в Windows, работают весьма неэффективно в сетях с малой пропускной способностью или высокими задержками (эти протоколы изначально были рассчитаны на сети, в которых нет жестких ограничений по пропускной способности).

За счет новых технологий файловой системы, интеллектуально использующих доступную полосу пропускания сетей, Windows Server 2003 R2 создает более эффективную инфраструктуру для обмена данными между серверами. Этот результат основан на использовании современных алгоритмов сжатия и механизмов репликации, которые гарантируют передачу файлов только при необходимости, причем пересылаемые файлы содержат лишь минимальный набор данных, требуемый для поддержания целостности информации в распределенной системе.

Windows Storage Server 2003

Windows Storage Server 2003 предназначен для создания высоконадежных сетевых хранилищ данных (рис. 3). Решения на его основе обеспечивают организацию серверов хранения, файловых серверов и серверов печати в корпоративных сетях. Система поставляется в двух вариантах: Standard для малых предприятий и Enterprise - для крупных корпоративных центров обработки данных.

Fig.3
Рис. 3. Программная структура Windows Storage Server 2003.

Этот серверный продукт поддерживает службу Volume ShadowCopy Service (VSS) для восстановления данных, службу виртуальных дисков (Virtual Disk Service, VDS), кластеризацию и технологию Multipath I/O (многоканальный ввод-вывод). После принятия стандарта протокола ISCSI планируется включить его поддержку для сетей SAN (Storage Area Networks) с использованием протокола IP.

Решения на основе Windows Storage Server 2003 поставляются исключительно производителями аппаратных средств, их стоимость составляет от 900 долл. до 70 тыс. долл. Такой большой разброс объясняется высокой масштабируемостью системы, позволяющей создавать хранилища разной емкости, что делает эту технологию доступной не только крупным корпорациям, но также среднему и малому бизнесу.

Следует отметить, что технология сетевых устройств хранения данных NAS выросла из концепции файловых серверов как службы управления файлами для клиентов сети. Но впоследствии стало ясно, что для обслуживания файлов нет необходимости в полноценной сетевой ОС, вполне достаточно урезанной ее версии. Таким образом, сегодня устройство хранения (storage appliance) - специализированный сервер и ОС с набором накопителей, размещенные в сети, - обеспечивает хранение данных с требуемым уровнем качества Quality of Storage Service (QOSS). Кроме того, NAS-системы обладают высоким уровнем устойчивости, предлагая в том числе организацию RAID, что обеспечивает немедленный доступ к информации даже в случае отказа одного или нескольких дисков.

Решения на базе Windows Storage Server 2003 применимы в различных сценариях организации доступа к данным. Так, файловый сервер позволяет удовлетворять растущие потребности компаний в объемах доступного дискового пространства. Средства защиты данных и поддержка множества протоколов доступа к файлам позволяют эффективно применять Windows Storage Server 2003 для организации файлового сервера в гетерогенных средах.

Решения для консолидации серверов уменьшают стоимость владения и увеличивают доступность данных в сочетании с расширенными средствами управления системой. Windows Storage Server 2003 можно также использовать для резервного копирования данных, их восстановления и репликации на множестве серверов и рабочих станций без их отключения от сети.

Windows Storage Server 2003 можно интегрировать с сетями устройств хранения данных SAN. Обеспечивая высокую масштабируемость решения для хранения данных, он способен в полной мере реализовать возможности существующих в компаниях сетей SAN. Интеграция с Active Directory делает такое решение безопасным и простым в управлении.

Active Directory Federation Services

Active Directory Federation Services (ADFS) позволяют задействовать преимущества технологий единого входа (single sign-on, SSO) для аутентификации сразу в нескольких Web-приложениях, с которыми пользователь работает в течение одного сеанса. При этом ADFS обеспечивает безопасную передачу цифровой идентификации и выданных пользователю прав через границы организации и системы защиты.

Во многих организациях Active Directory применяется в качестве основной службы аутентификации. Используя ее в Windows Server 2003, администраторы могут создавать доверительные пути между двумя и более лесами, предоставляя доступ в разных бизнес-подразделениях или организациях. Например, возможность доступа через границы организации, вероятно, потребуется лишь малому кругу лиц, а не всем, кто включен в этот лес.

С помощью ADFS организации могут расширить существующие инфраструктуры Active Directory для доступа к ресурсам, доверяемым партнерам, через Интернет. ADFS тесно интегрируются с Active Directory, получая атрибуты пользователей и аутентифицируя их через Active Directory или применяя средства аутентификации самой Windows и маркеры защиты (security tokens), созданные в Active Directory.

ADFS работает не только с Active Directory, но и с Active Directory Application Mode (ADAM). В первом случае ADFS доступны средства Active Directory для аутентификации со стойкой защитой, в том числе Kerberos, цифровые сертификаты X.509 и смарт-карты. Во втором - ADFS аутентифицирует пользователей через Lightweight Directory Access Protocol (LDAP) Bind.

ADFS поддерживает аутентификацию и авторизацию через Интернет и может интегрироваться в имеющееся у организации решение управления доступом для трансляции прав доступа, используемых на предприятии, в права доступа, принятые в рамках федерации. Эти службы позволяют также создавать, защищать и проверять заявки на авторизацию (authorization claims), передаваемые между организациями, вести аудит и мониторинг операций между ними и их отделами для обеспечения безопасности транзакций.

Ниже мы кратко рассмотрим основные возможности ADFS.

Традиционный вход в Web-приложения. Такой способ входа дает пользователю возможность обращаться к ресурсам по одним и тем же учетным данным. В этом варианте ADFS обеспечивает аутентификацию с более стойкой защитой, чем при обычной аутентификации на основе форм и клиентских сертификатов, а файлы cookie, применяемые при таком SSO, исключают необходимость повторной аутентификации для доступа к другим приложениям в пуле, относящемся к федерации (federation application pool). Эта функциональность, ранее поддерживавшаяся только сторонними разработчиками, теперь интегрируется в серверную платформу благодаря наличию ADFS в Windows Server 2003 R2.

Единый федеративный вход в Web-приложения. В настоящее время служба каталогов Active Directory позволяет получить выигрыш от функциональности SSO при аутентификации средствами Windows в рамках организации или периметра защиты. ADFS расширяет эту функциональность и на приложения, работающие через Интернет, что способствует унификации доступа к Web-приложениям между компаниями по учетным записям, используемым в организации.

Федеративная авторизация и интеграция с .NET. ADFS поддерживает полнофункциональную модель для создания маркеров защиты (security tokens). Вне ADFS маркер защиты обычно представляет собой аутентифицированного пользователя, которому должен быть разрешен доступ согласно данным авторизации и политикам безопасности. Но в ADFS такой маркер может хранить не только идентификационные данные пользователя, но и другую информацию, в частности, данные авторизации (установленные полномочия). Эти сведения, называемые заявкой на авторизацию, в сочетании с безопасной передачей данных в маркере защиты, обеспечивают поддержку федеративной авторизации (Federated Authorization). Таким образом, вместо того, чтобы требовать от стороны, на которой хранится ресурс, управления доступом к специфическим возможностям приложения, Federated Authorization переносит соответствующую авторизацию на ту сторону, где хранится учетная запись пользователя.

Интеграция ADFS с диспетчером авторизации Windows Server Authorization Manager (AzMan) реализует все возможности управления аутентификацией и авторизацией. AzMan представляет собой простой интерфейс для доступа на уровне приложения к какой-либо функциональности на основе заявок на авторизацию. При этом используются две ключевые концепции: роль (набор задач и операций, специфичных для каждого приложения) и проверка прав доступа (выполняемая в реальном времени).

Федеративная служба Windows SharePoint Services. Многие организации с интенсивным документооборотом и большим числом групп, которые должны работать совместно, полагаются на службу SharePoint. Эта служба - идеальный кандидат для включения в федерацию при использовании Windows Server 2003 R2. Это позволяет:

  • настроить доступ пользователей к сайтам партнеров на базе SharePoint без дополнительных паролей;
  • администраторам SharePoint снять бремя управления учетными записями с партнеров;
  • администраторам автоматически ограничивать доступ к сайтам партнеров, отключая соответствующие учетные записи пользователей в Active Directory.

Расширяемая структура. ADFS имеет расширяемую архитектуру, которая поддерживает различные виды маркеров защиты, в том числе относящиеся к Security Assertion Markup Language (SAML) 1.1 и Kerberos (применяемый при аутентификации средствами Windows). ADFS обеспечивает также преобразование нестандартных заявок на авторизацию, позволяя, например, добавлять собственную бизнес-логику для обработки запросов на доступ. Благодаря такой расширяемости организации могут модифицировать ADFS для подстройки этой службы под свою инфраструктуру информационной безопасности и политики защиты.

Взаимодействие с Web-сервисами. ADFS предоставляет проверенное решение для взаимодействия с другими средствами защиты, поддерживающими архитектуру WS-* (набор стандартов Web Services). ADFS использует спецификацию WS-Federation, описывающую объединение Web-сервисов в федерацию. Многие поставщики (IBM, CA, Oracle и т. д.) уже показали возможность двустороннего взаимодействия между своими продуктами и ADFS и планируют начать поставки соответствующих решений.

Поскольку ADFS опирается на архитектуру WS-*, она поддерживает федеративные коммуникации между любыми конечными WS-точками. В настоящее время обеспечивается взаимодействие серверов и пассивных клиентов (HTTP/S), например, Web-браузеров. В дальнейшем планируется расширить ADFS для поддержки смарт-клиентов на основе протокола SOAP, в том числе мобильных телефонов, КПК и т. п.

WS-Federation и WS-Federation Passive Requestor Profile. Спецификация WS-Federation - это часть серии спецификаций WS-Security, она определяет модель и набор сообщений для безопасной передачи идентификационных и аутентификационных данных между областями с разными уровнями доверия. WS-Federation и WS-Federation Passive Requestor Profile (WS-F PRP) предлагают стандартный протокол использования инфраструктуры федерации пассивными средствами запроса, такими, как браузеры. ADFS в Windows Server 2003 R2 поддерживает пассивные средства запроса в соответствии с WS-F PRP, в будущих версиях Windows Server и Active Directory появится поддержка активных средств запроса на основе SOAP.