Pro střední průmyslovou školu v centru Prahy jsme realizovali obnovu a rozšíření předchozího serverového řešení, které mělo za sebou nejméně 10 let provozu. Vzhledem k tomu, že škola začala letech 2020 rapidně nabývat na vyšší počty žáků, nebylo nadále udržitelné zachovat původní koncept a bylo nutné přejít na jiné řešení, které jsme úspěšně realizovali.
Výzvy
1) Původní serverové řešení byl jediný server s instalovaným hypervisorem VMware ESXi 5.0.
2) Pouze jediný aplikační server se všemi důležitými aplikacemi jako je správa majetku, účetnictví, školní matrika na jediném místě, bez oddělení uživatelských přístupů.
3) Pouze jediný doménový server, který zároveň fungoval i jako souborový server (FileServer).
4) Zákazník používal cestovní profily a při výpadku komunikace s doménovým serverem nebylo možné na PC pracovat (zmizela plocha a veškerá data) do obnovení komunikace se serverem.
5) Při odhlašování většího počtu žáků v jednom okamžiku docházelo z důvodů pomalého zápisu na server k pádům cestovních profilů a chybné synchronizaci dat z lokálního PC na server.
Cíle
1) Přejít na modernější a otevřenější řešení virtualizace a neplatit vysoké poplatky za licence.
2) Rozdělit klíčové aplikace na samostatné virtuální servery, případně kontejnery a oddělit nesouvisející data mezi aplikacemi, čímž se zvýší bezpečnost.
3) Zavést nejméně dva doménové servery a v případě výpadku delegovat práci se soubory, Active Directory, DNS aj., na sekundární doménový kontrolér nebo souborový server.
4) Oddělit systémové funkce doménového kontroléru od uživatelských dat, tzn. vytvořit dedikované souborové servery.
5) Vyřešit problémy s výpadky cestovních profilů a tím i nemožnost pracovat na doménovém PC.
Řešení
Pro řešení projektu jsme zvolili nákup nového hardware od výrobce Supermicro a to rovnou dva nové servery, na které jsme instalovali hypervisor Proxmox VE, který je skvělou alternativou k VMware a zároveň je vyvíjen jako open-source, tudíž není nezbytně nutné platit za licence.
Na každý z Proxmox VE jsme instalovali celkem 2 základní virtuální servery, tj. doménový kontrolér a souborový server. Mezi těmito servery jsme pak vytvořili doménový jmenný prostor, tzv. namespace, ve kterém jsme dále konfigurovali sdílení a replikace mezi servery (služba DFS). Znamená to, že pokud jeden z doménových serverů nebo souborových serverů nebude dostupný, uživatel nepozná rozdíl, protože jeho práce je odkazována do jmenného prostoru, nikoliv na konkrétní (FQDN/IP) adresu serveru.
Příklad: Uživatelské soubory má uživatel uloženy na svém síťovém úložišti v doménovém jmenném prostoru na adrese \\moje.domena.cz\data\%username%. Tzn., že v případě výpadku primárního souborového serveru, uživatel nepřijde o svá data a nijak nepozná výpadek, neboť programy a soubory, se kterými pracuje, nejsou otevírány ani ukládány jako např. připojený síťový disk K:\ s odkazem na konkrétní IP adresu souborového serveru, ale je odkázán na virtuální cestu doménového jmenného prostoru. Oba souborové, ale i doménové servery koexistují v tomto jmenném prostoru a neustále se vzájemně synchronizují.
Dále jsme v rámci našeho řešení, rovnoměrně rozdělili zátěž na každý z hypervisorů Proxmox VE a vytvořili nezbytný počet virtuálních serverů a kontejnerů pro aplikace. Ve výsledku to znamená, že aplikace pro zpracování školní matriky, má vlastní virtuální server s omezenými uživatelskými přístupy jen pro ty uživatele, kteří přístup z podstaty své pracovní funkce potřebují. Stejně tak to platí i pro aplikaci s účetnictvím, jenž má taktéž vlastní virtuální server a omezený přístup pouze pro účetní. Atd.
Výsledek
Zákazník (škola) realizované řešení využívá od roku 2021 a k současnosti nebylo zaznamenáno jediné oznámení nebo stížnost na výpadek při práci se soubory nebo s cestovním profilem. A to i v případě, kdy víme, že byl z důvodu testování a údržby jeden ze souborových i doménových serverů vypnut během pracovní doby.
Škola disponuje stovkami PC, které jsou během dne aktivně využívána při výuce a díky rozložení zátěže nebyl zaznamenán jediný problém se synchronizací cestovního profilu z lokálního PC na server. Naopak došlo k výraznému snížení doby přihlašování uživatelského účtu, tedy synchronizaci cestovního profilu ze serveru na lokální PC a to z minut na vteřiny.
Rozdělením každé aplikace, která plní svůj specifický účel, do vlastních virtuálních serverů nebo kontejnerů jsme omezili uživatelská oprávnění jen na nutné minimum. Tedy z původního stavu: všichni mohou přistupovat na všechna data na jednom místě, jsme rozdělili přístupy tak, že účetní mohou přistupovat svým uživatelským účtem ze specifického PC v doméně pouze na účetní server a nikdo jiný už s aplikací účetnictví pracovat nemůže. Podobně je tomu tak i pro další aplikace.
Obrovskou výhodou virtualizace s Proxmox VE je i možnost pravidelných záloh virtuálních strojů nebo vytváření dočasných snímků aktuálního stavu serveru a všech dat v něm (tzv. Snapshotů). V praxi to znamená, že pokud někdo z privilegovaných uživatelů provede omylem zásah, který vede k poškození dat aplikace, jsme schopni v řádu vteřin, max. minut obnovit předchozí stav. Např., když při aktualizaci školní matriky dojde k neočekávané chybě zápisu aktualizovaných souborů aplikace a ta přestane správně pracovat, můžeme např. díky uloženému snapshotu vrátit původní stav do pár vteřin zpět a případnou chybu aktualizace nechat prověřit výrobcem této aplikace nebo najít vlastní řešení.
Závěr
Realizované řešení využívá zákazník již několik let a toto řešení plní svoji funkci spolehlivě. Díky provedeným testům jsme zjistili, že realizovaná infrastruktura je skutečně odolná proti výpadkům a uživatelé nepociťují žádné omezení ve výkonu své pracovní činnosti. Učitelé i studenti jsou velmi spokojeni s rychlostí přenosu dat při synchronizaci jejich cestovních profilů a ať se v rámci školní budovy přihlásí kdekoliv, vždy mají během pár okamžiků své pracovní prostředí k dispozici.
Zvýšení bezpečnosti oddělením každé specifické aplikace, jsme zamezili potenciálnímu zneužití libovolným uživatelem a zmenšili tak okruh možností pro manipulaci s citlivými daty na vybrané uživatele, u kterých lze snadněji provést audit přístupů k datům.
Pokud i Vy hledáte řešení, které bude odolné proti náhlému výpadku ať už z důvodů softwarového nebo hardwarového selhání, neváhejte nás kontaktovat a rádi Vám nabídneme optimální řešení, které bude vyhovovat Vašim požadavkům.
