ИТ-технологии для профессионалов

четверг, 29 июля 2021 г.

Держите сеть под контролем

Почему администраторы сети нуждаются в полной видимости приложений

Эволюция межсетевого экрана

На протяжении многих лет роль межсетевого экрана неуклонно эволюционировала из защиты сетей от внешних взломов и атак в сторону большего внимания к тому, что внутри сети для выявления и устранения потенциальных рисков и обеспечения соответствия нормативным требованиям. Частью этой эволюции является реакция на тенденцию смещения акцента угроз в сторону вредоносных программ и вторжений, предназначенных для использования уязвимостей в приложениях, а не в самом периметре сети. Кроме того, этому смещению акцента также способствовали растущие обязательства по обеспечению разумного уровня защиты от нарушений и потери данных, а также оптимизации производительности сети.

Межсетевой экран следующего поколения (Next Generation Firewall, NGFW), по сути, был создан из необходимости обеспечить видимость и контроль над пользователями и их приложениями. NGFW работает уровнем выше, чем просто управление портами и протоколами как в более ранних межсетевых экранов с отслеживанием состояния на более высокие уровни в модели OSI для обеспечения осведомленности о приложениях и пользователях.

NGFW используют глубокую проверку пакетов (Deep Packet Inspection, DPI) для идентификации приложений и связывания их с пользователями или хостами в сети, чтобы администраторы могли осуществить соответствующий контроль. Например, очень полезно иметь возможность идентифицировать пользователей, использующих одноранговые приложения для совместного доступа к файлам, и блокировать их, контролируя при этом чрезмерный просмотр потоковых мультимедийных данных, при этом отдавая приоритет важным бизнес-приложениям, таким как система ERP, трафик VoIP и ПО CRM.

Как работает контроль приложений межсетевого экрана следующего поколения

Способ идентификации приложений NGFW заключается в сопоставлении логической структуры трафика с известными сигнатурами. Данный способ аналогичен распознаванию лица. Когда вы видите лицо человека, которое вы не знаете, вы сравниваете его с лицами людей из памяти, если вы получаете совпадение, вы знаете, с кем вы имеете дело, если вы не получаете совпадение, вы действительно не представляете, кто этот человек.

Рис. 1.  Некоторые приложения используют эквивалент имени, что облегчает их идентификацию, большинство же — нет
Рис. 1.  Некоторые приложения используют эквивалент имени, что облегчает их идентификацию, большинство же — нет

Контроль приложений работает точно так же. Некоторые приложения используют эквивалент имени, что облегчает их идентификацию, большинство же — нет, а некоторые из них даже придумывают свои способы пути, чтобы проскользнуть неизвестными.

Конечно, когда приложение идентифицировано, межсетевой экран может управлять приложением, используя traffic shaping, чтобы приоритизировать или заблокировать его. Но если совпадений нет, межсетевой экран понятия не имеет, с чем он имеет дело, и не контролирует его.

Проблемы с управлением приложениями межсетевого экрана следующего поколения

Как вы, наверное, можете себе представить, многие приложения не идентифицируются. Множество опасных приложений, которые обычно блокируются в большинстве организаций, такие как Клиенты BitTorrent, используют умные методы, чтобы постоянно изменять логическую структуру трафика и способ подключения, чтобы избежать обнаружения. Это похоже на то, как человек меняет цвет волос и добавляет усы, чтобы уклониться от распознавания лица.

Другие приложения используют шифрование, чтобы избежать обнаружения, которое во многом похоже на человека, носящего лыжную маску. Так же многие другие приложения будут притворяться браузером, чтобы они могли проходить через межсетевой экран без контроля. Это аналогично плохому человеку, маскирующемуся под хорошо известную знаменитость. А потом появляются приложения, которые недавно изменились или являются одноразовыми, пользовательскими или просто слишком неясными, чтобы иметь соответствующий образец. Это как люди, у которых нет недавних фотографий в файле.

На самом деле, поскольку NGFW постоянно улучшают свои возможности по обнаружению нежелательных приложений и управлению ими, эти приложения, в свою очередь, постоянно улучшают свои способности избегать обнаружения. Конечным результатом является то, что большая часть трафика проходит через современный межсетевой экран, оставаясь неизвестной, неидентифицируемой или просто слишком универсальной для классификации или контроля.

Выглядит ли ваш отчет App Control таким образом?

Рис. 2. Обычная панель мониторинга брандмауэра, показывающая категории, которые не удалось идентифицировать
Рис. 2. Обычная панель мониторинга брандмауэра, показывающая категории, которые не удалось идентифицировать

Насколько велика проблема?

Стремясь лучше понять, насколько распространена эта проблема, Sophos недавно провел опрос организаций среднего размера, чтобы определить, какая часть трафика их приложений остается неопознанной и неконтролируемой:

  • Почти 70% организаций имеют межсетевой экран следующего поколения или UTM со слежкой за приложениями
  • В среднем 60% трафика идет неопознанным... и многие организации сообщили, что до 90% их трафика приложений не идентифицировано
Если вы обеспокоены тем, какое влияние это оказывает на безопасность, ответственность или производительность вашей организации, вы не одиноки...
  • 82% по праву обеспокоены опасностями, которые вызывают неопознанные приложения
  • 65% были обеспокоены тем, какое влияние это может оказать на производительность их сети
  • 40% были обеспокоены потенциальной юридической ответственностью

Основные проблемы, связанные с отсутствием видимости приложений в настоящее время:

С чем связаны ваши проблемы с неопознанным сетевым трафиком?

Рис. 3. Основные проблемы, связанные с отсутствием видимости приложений в настоящее время
Рис. 3. Основные проблемы, связанные с отсутствием видимости приложений в настоящее время

Лучшие уклоняющиеся и неопознанные приложения

Рис. 4. В дополнение к этим приложениям, существует бесчисленное множество приложений, которые являются как доброкачественными, так и потенциально нежелательными
Рис. 4. В дополнение к этим приложениям, существует бесчисленное множество приложений, которые являются как доброкачественными, так и потенциально нежелательными

К сожалению, вам практически невозможно узнать, запущено ли какое-либо из этих приложений в вашей сети, потому что сигнатуры межсетевого экрана в большинстве случаев просто не найдут совпадения.

В дополнение к этим приложениям, существует бесчисленное множество приложений, которые являются как доброкачественными, так и потенциально нежелательными, которые прибегают к использованию общих HTTP и HTTPS соединений для связи через межсетевой экран, учитывая то, что почти каждая организация использует свой брандмауэр для доступа в Интернет на портах 80 и 443. В отчетах они будут просто отображаться как HTTP, HTTPS, SSL, Web Browsing и как другие категории, которые не являются информативными.

И, что наиболее важно, существуют приложения, ERP-решения, CRM-программное обеспечение и другие для бизнеса, которые могут быть уникальными для вашей организации, они остаются незамеченными и потенциально могут быть подавлены под тяжестью веб-серфинга и другого нежелательного трафика приложений просто потому, что они недостаточно популярны, чтобы иметь сигнатуру.

К счастью, есть довольно элегантное решение этой проблемы.

Решение

В то время как межсетевые экраны следующего поколения (NGFW) должны полагаться на глубокую проверку пакетов, сопоставление образцов и сигнатур, чтобы попытаться идентифицировать приложения во время их прохождения по сети, узлы сети находятся в уникальной позиции, которая позволяет абсолютно точно знать, какие именно исполняемые файлы генерируют весь сетевой трафик.

Отсюда вытекает довольно очевидный вопрос, как соединить конечные точки с межсетевым экраном, чтобы поделиться этой информацией. К счастью, в Sophos есть технология, позволяющая просто и эффективно реализовать это: Synchronized Security.

Sophos Synchronized Security — это революционно новый подход к ИТ-безопасности, который позволяет продуктам по обеспечению безопасности обмениваться информацией и работать вместе, обмениваясь информацией в реальном времени, для получения непревзойденной защиты и автоматического реагирования на опасности.

Одна из первых инноваций Synchronized Security, Security Heartbeat™, соединяет управляемые конечные точки Sophos Central с Sophos XG Firewall для совместного использования состояния конечных точек, обеспечивая мгновенную идентификацию систем, подверженных риску. При обнаружении опасности в конечной точке или брандмауэре индикаторы выдают предупреждения в режиме реального времени, сразу же идентифицируя компьютер, пользователя и процесс. И, возможно, самое важное преимущество Security Heartbeat заключается в том, что межсетевой экран может включать состояние конечных точек в правилах, обеспечивая автоматический ответ: либо ограничивая доступ, либо полностью изолируя скомпрометированную систему до тех пор, пока ее не удастся очистить. Это сокращает время реагирования с часов до секунд и помогает снизить риск распространения инфекций на другие части сети.

Еще одно нововведение Synchronized Security — Synchronized App Control. Как следует из названия, Synchronized App Control использует уникальную экосистему Synchronized Security компании Sophos для эффективного и элегантного решения проблемы с выявлением неизвестного, скрывающегося или пользовательского трафика приложений в сети. Синхронизированный App Control использует возможности обмена информацией с Sophos Endpoints для определения источника неопознанного трафика приложений в сети, эффективно удаляя эту завесу, покрывающую сети сегодня.

Synchronized App Control в действии

Рис. 5. Когда управляемая Sophos Central конечная точка подключается к сети с помощью XG Firewall, она устанавливает соединение с Security Heartbeat™ для совместного использования состояния работоспособности

Рис. 5. Когда управляемая Sophos Central конечная точка подключается к сети с помощью XG Firewall, она устанавливает соединение с Security Heartbeat™ для совместного использования состояния работоспособности

Это первый крупный прорыв в области видимости и управления сетевыми приложениями с момента создания межсетевого экрана следующего поколения.

Когда управляемая Sophos Central конечная точка подключается к сети с помощью XG Firewall, она устанавливает соединение с Security Heartbeat™ для совместного использования состояния работоспособности, безопасности и телеметрии. Кроме того, теперь конечная точка также будет использовать это подключение для совместного использования идентификатора всех сетевых приложений с межсетевым экраном.

Если XG Firewall не может определить приложение с помощью традиционных методов сигнатур, поскольку приложение является маскирующимися, настраиваемым, новым или использует универсальное соединение, информация о приложении, предоставляемая конечной точкой, будет использоваться для его идентификации, классификации и контроля.

Если это возможно, то приложения, информация о которых предоставляется конечной точкой, автоматически классифицируются. Это автоматически накладывает на новое идентифицированное и приложение политики, которые уже применяются на межсетевом экране.

Например, маскирующийся клиент BitTorrent автоматически назначается в категорию приложений Peer-to-Peer. Если NGFW использует политику управления приложениями для блокирования Peer-to-Peer приложений, новый трафик BitTorrent будет автоматически заблокирован без вмешательства сетевого администратора.

Преимущества:

Идентификация неизвестных приложений

Synchronized App Control показывает все приложения, которые в настоящее время невидимы в сети, включая все новые приложения, а также приложения туннелирования, прокси и VPN, которые часто используют шифрование для обхода управления брандмауэром — создавая слепые зоны, а так же различные риски связанные производительностью и безопасностью. Если существуют политики для блокирования или формирования трафика этих приложений, новые, попадающие в эту категорию, будут автоматически подвергаться таким же политикам. Кроме того, соответствующие пользователи и хосты будут легко идентифицированы, что позволит в соответствующих случаях проводить вмешательство.

Определение приоритетов приложений

Synchronized App Control мгновенно определит пользовательские приложения для бизнеса, которые полностью невидимы для текущего брандмауэра, такие как финансы, CRM, ERP, производство и другие сетевые приложения, важные для организации. Впервые Synchronized App Control предоставляет возможность применять политики формирования трафика и QoS, чтобы гарантировать, что критически важные приложения получат соответствующий приоритет и оптимальную производительность.

Управление уклоняющимися приложениями

Synchronized App Control автоматически обнаружит все приложения, которые постоянно меняют способ подключения и связи, чтобы избежать обнаружения и управления. По сути, синхронизированный App Control раз и навсегда прекращает эту тактику. Независимо от того, насколько уклончивыми будут эти приложения, они не смогут полностью избежать Synchronized App Control.

Какие продукты Sophos необходимы:

Sophos предоставляет полную экосистему продуктов ИТ-безопасности, которые просто интегрируются для обеспечения синхронизированной безопасности. Security Heartbeat™ и Synchronized App Control, а также все дополнительные функций безопасности, предоставляют видимость и контроль, которые не могут быть проще.

Как минимум, требуется межсетевой экран Sophos XG и Intercept X, но оба продукта могут быть развернуты вместе с другими системами ИТ-безопасности в дополнение к ним, чтобы обеспечить комплексную безопасность без прерывания работы..

Межсетевой экран Sophos XG может быть развернут в паре с существующим межсетевым экраном, либо в качестве основного межсетевого шлюза.

Он также может работать только в режиме отчетов и видимости, когда XG Firewall подключен к зеркальному порту коммутатора в режиме обнаружения (также известном как режим TAP).

На конечной точке может быть развернут Intercept X вместе с существующим AV-решением, или вы можете выбрать Sophos Central Endpoint Advanced для полной защиты конечных точек. Оба продукта Synchronized Security и XG Firewall поддерживаются на платформах Windows и Mac.

Итог

Межсетевой экран следующего поколения (NGFW) не могут выполнить свою заявленную роль и идентифицировать все приложения.

Существует неотъемлемое ограничение эффективности методов обнаружения приложений на основе сигнатур, что означает, что большая часть трафика приложений в современных сетях остается неопознанной и неконтролируемой.

Это большая и серьезная проблема. Она создаёт риски, связанные с безопасностью, производительностью и исполнением.

К счастью, существует эффективное решение: Synchronized App Control,использует уникальное соединение Sophos Security Heartbeat™ между конечными точками под управлением Sophos Central и XG Firewall для полного обмена информацией о сетевых приложениях.

XG Firewall с Synchronized App Control позволяет автоматически идентифицировать, классифицировать и контролировать весь неизвестный трафик приложений в сети. Это крупный прорыв в области видимости и управления сетью, который делает устаревшими все другие межсетевые экраны следующего поколения.


Читать дальше ...

вторник, 25 мая 2021 г.

Гиперконвергенция: мыльный пузырь или таблетка счастья?

Гиперконвергенция — это создание инфраструктуры, объединяющей в одном модульном решении серверы, системы хранения, сетевые функции и программное обеспечение, отвечающее за создание пула ИТ-ресурсов, их быстрое и простое реконфигурирование. При этом на первый план выходят не аппаратные (как в случае «простой» конвергенции), а программные средства и программно-определяемые компоненты. Это обеспечивает гиперконвергентным системам более высокую гибкость и масштабируемость серверной инфраструктуры компаний.

(C) CNEWS

Чем обусловлен спрос на гиперконвергентные решения

Сегодня у многих заказчиков наряду с поддержкой имеющейся инфраструктуры стоят задачи: снижения рисков простоя сервисов, гарантированной доступности данных и при этом централизации, и быстрого ввода в эксплуатацию новых приложений (Учетных Систем, Виртуализации рабочих столов, Управления Производством, Web-сервисов, Разработки приложений).

Как добиться выполнения этих задач, выиграв от их совмещения в долгосрочной перспективе?

Многие ИТ-директора в поиске лучшего варианта исходят из следующих утверждений:

  • Бюджет на решение есть, но нужно учитывать и стоимость владения.
  • Бизнес диктует требования к времени простоя, при этом решающим является оптимизация затрат и минимальные риски.
  • Удобная эксплуатация и масштабирование влияют на оперативность ИТ-департамента и поэтому важны при выборе решения, но не должны влиять на стоимость.
  • Оптимальное использование имеющейся вычислительной и сетевой инфраструктуры всегда будет плюсом и призвано сделать систему еще более гибкой и отказоустойчивой, не смотря на различные поколения оборудования.
  • Новый ИТ-сервис — новый сотрудник ИТ-отдела, это в прошлом. Новые ИТ-задачи — старые сотрудники, только им нужны новые инструменты управления из одной точки.

Решения разработчиков гиперконвергентных комплексов (HCI), сочетающих высокую утилизацию и надежность, уже не витают в воздухе, а являются своеобразным концентратом опыта построения ИТ-ландшафтов за последние 10 лет и присутствуют в портфелях практически всех ведущих производителей. 

Уверенно лидируют компании DELL EMC и NUTANIX, предлагают свои комплексные решения и Lenovo, Cisco и HPE, практически догнавший NUTANIX их по доле рынка во второй половине 2020 года (© Statista Inc).

Рисунок 1. Доля мировых поставщиков гиперконвергентных систем на мировом рынке, 2016 — 2020 г.г.

Практика ТРИНИТИ как системного интегратора позволяет рекомендовать эти решения широкому кругу наших заказчиков и ориентировать их в этом направлении, опираясь и на общемировые тенденции в распространении HCI. Стоит отметить, что Gartner в 2020м году пересмотрел определение программного обеспечения HCI, исключив решение hyperconverged integrated systems — HCIS (www.blocksandfiles.com), и гиперконвергентные решения DELL EMC, CISCO и HPE, не представленные как софтовые (ведь они включают собственные железные платформы) более не рассматриваются как HCI и не представлены в Magic Quadrant for Hyperconverged Infrastructure от 2020г.

В целом можно видеть, что 2020-й, изменивший многие представления, не повлиял на уверенное лидерство VMWARE и NUTANIX. И достаточно стабильны позиции хорошего нишевого решения — DATACORE, также снискавшего одобрение как заказчиков, так и инженеров ТРИНИТИ.

С точки зрения проектного подхода ТРИНИТИ и технологических ориентиров в данном случае также ничего не поменялось: решения, которые делают затраты на ИТ прозрачными, и обеспечивают наилучшую отдачу от усилий ИТ-отдела будут все более востребованы.

Рисунок 2. Квадрант Гартнера Решения HCI 2019


Рисунок 3. Квадрант Гарнтера Решения HCI 2020

Посмотрим на общемировые тенденции. По прогнозу на 2021–2025 год укрепятся мировые тенденции роста рынка гиперконвергентной инфраструктуры. Так происходит из-за многих факторов: смещение рабочей нагрузки в сторону общедоступного облака, рост скорости внедрения HCI в развивающихся странах, спрос со стороны отрасли здравоохранения и т.д.

© prnewswire.com

При этом среднегодовой темп роста составит 32% в прогнозируемый период.

© marketwatch.com

Как можно увидеть на диаграмме ниже, виртуализация сложных вычислений может явиться катализатором дальнейшего роста рынка HCI, наряду с виртуализацией рабочих мест — что коррелирует и с ростом важности математического моделирования в медицинских, исследовательских и других целях, и трендом на управляемую и безопасную удаленную работу пользователей. И, конечно, консолидация вычислительных ресурсов в датацентрах и предоставление их как услуги также рассматривается в мировом масштабе как важный фактор роста.

Рисунок 4. Что движет рынок HCI, © kbvresearch.com

Возвращаясь к задачам директора по ИТ, отметим, что опыт разработчиков, наших заказчиков и коллег в области построения гиперконвергентных решений является ответом на многие насущные вопросы.

При правильном подходе к выбору серверов и программного решения гиперконвергентный кластер позволяет удобно управлять ресурсами с единой точки и легко масштабировать его дополнительными узлами.

Высокопроизводительные серверы с собственной дисковой подсистемой, объединенные в кластер, предоставляют сервисам и вычислительные ресурсы, и данные. Часто целесообразно запускать требовательные к времени отклика дисковой приложения, именно используя процессор, память и скоростные носители одного сервера, исключая возможную потерю производительности, связанную с передачей блочного трафика по сети, это также можно настроить, например, на время повышенной нагрузки при построении отчетов.

Все данные приложений записаны распределенно на каждом узле кластера, и узлы (серверы) постоянно обмениваются репликами, поэтому в случае выхода узла из строя процесс перестроения предсказуем по времени, и пользователи системы довольны скоростью работы приложений.

Магия инновационных решений и новый уровень надежности

Следует отметить, что начать можно с небольшой инсталляции. Для любимого многими системными администраторами решения NUTANIX CE это 1, 3 или 4 узла.

Свободно распространяемое решение доступно для скачивания по ссылке Nutanix Community Edition | Hands-on Hyperconvergence и позволяет получить:

  • Гипервизор AHV (Acropolis hypervisor with virtualization management)
  • Единую веб-консоль для управления кластером
  • Управление с командной строки
  • И, конечно, возможность организовать небольшой кластер (ограничение 3-4 узла).

Также можно установить NUTANIX и на гипервизор ESXi, с выходом нового ISO в конце 2020 г. процесс значительно упростился. Требования к оборудованию следующие:

  • От одного узла (Single-node Cluster). Максимум — 4 сервера;
  • Минимум 4 процессорных ядра на сервер. 2 ядра выделяются для CVM (локальный контроллер, под управлением которого производятся все операции ввода-вывода);
  • Минимум 16GB ОЗУ, рекомендовано 32GB;
  • Не менее 500GB дискового пространства для Cold Tier;
  • Не менее 200GB дискового пространства SSD для Hot Tier/кэша и т.п.;
  • Загрузочное устройство на 8GB.

Такого набора железа будет достаточно, чтобы убедиться в удобстве решения, опробовать управление, клонирование виртуальных машин для легкого масштабирования. Начальные вложения этого варианта минимальны. А вот платная версия программного обеспечения и техническая поддержка вендора понадобятся при дальнейшем масштабировании (объединении в кластер более 4-х серверов.

Также требования к ресурсам и уровню техподдержки, конечно, диктуют и сами приложения, и интенсивность работы пользователей. Чем более нагружен кластер, тем более весомы и риски и оправданы вложения.

И сколько пользы для бизнеса будет извлечено из времени, потраченного на перебирание граблей, в каждом случае зависит и от того, кто тестирует, и какие задачи ставит и какую техподдержку может получить.

Конечно, ведущие производители, пройдя собственный путь теста лучших решений, стремятся предложить не просто серверы под управлением софта, универсальные пилюли, с отличной технической поддержкой и масштабированием в течение минут.

Так, флагман гиперконвергентных решений DELL EMC позволяет начать с 3 серверов, объёдинённых в кластер, наращивать емкость и производительность до 64 серверов на кластер без прерывания работы. Масштабирование по одному узлу обеспечивает предсказуемое расширение и расходы только по мере необходимости, при росте требований бизнеса и пользователей, то есть без тщательного предварительного планирования.

Рисунок 5. Благодаря технологичной интеграции решений ведущих производителей VXRail предлагает новый уровень надежности, гибкости и экономической эффективности

Устройство Dell EMC VxRail™ на базе vSAN с серверами Dell PowerEdge —единственное специализированное и полностью оптимизированное гиперконвергентное устройство, разработка которого проведена совместно с VMware. VMware vSAN и гипервизор vSphere интегрированы в решении Dell EMC VxRail™ на уровне ядра. В результате пользователи получают уникальные преимущества в плане производительности и эффективности эксплуатации.

Глубокая интеграция VMWARE vSAN c оборудованием DELL EMC позволяет предложить в составе решения интегрированные критически важные сервисы управления данными, разработанные Dell EMC: репликацию, резервное копирование и многоуровневое хранение в облаке — все это входит в стоимость решения. Как полностью оптимизированные и поддерживаемые решения на базе VMware, эти устройства интегрированы с разработанной VMware платформой управления облаком и решениями для сред конечных пользователей. Помимо этого, VxRail служит платформой, на которой можно представить современные предложения для программно-определяемых ЦОД, в том числе NSX, vRealize Automation и vRealize Operations.

Важным плюсом с точки зрения администрирования является и известный и удобный интерфейс управления VMware vCenter Server.

Рисунок 6. Так выглядят узлы решения VXRAIL, помимо виртуализации включающие интегрированные критически важные сервисы управления данными, разработанные Dell EMC

Решение подойдет для различных сценариев использования, включая большие данные, аналитику, 2D/3D-визуализацию и виртуализированные приложения для совместной работы. Устройства VxRail оснащены новыми процессорами Intel на новых платформах PowerEdge. Также доступны варианты с оптимизацией для графических процессоров, высокой плотностью хранения, высокой производительностью вычислений и конфигурацией начального уровня. Теперь для каждой задачи найдется оптимальное устройство VxRail.

Конечно, все гиперконвергентные решения включают в себя и софт, выполняющий многомерные вычисления для записи и возможного восстановления данных, и гибкие алгоритмы обмена данными между с серверами по сети, и как следствие, решения отличаются и по техническим «накладным расходам». Так, например, магия решений NUTANIX и PIVOT3 в том, что процесс перестроения кластера в случае сбоя происходит быстрее, а управление доступными ресурсами можно настроить наиболее гибко.

Перестроение в NUTANIX происходит по аналогии с торрентами, когда файл скачивается одновременно со всех узлов, следует отметить, что и снапшоты при этом занимают меньше места, чем в случае VMWARE. У разработчика PIVOT3 (https://resources.pivot3.com/datasheet/pivot3-datacenter-series/) при перестроении используются трехмерные матрицы, и объем ресурсов, доступных виртуальной машине, может быть больше, чем физические характеристики одного узла, а также можно назначить QoS для группы виртуальных машин. Все это обеспечивает максимальную скорость и утилизацию ресурсов — то, к чему стремятся многие, выбирая решение.

Перед запуском в продуктив заявленные технологии требуют тестирования, обучения, настройки, но, как правило, эти затраты всегда окупаются.

Об успешном проекте на решении лидера рынка — NUTANIX и серверных платформах SUPERMICRO можно прочесть в нашем открытом кейсе тут.

Следует отметить, что при планировании сейчас мы учитываем не только технологические, но и санкционные риски. Некоторые наши заказчики стратегически нацелены на отечественные решения, и такие гиперконвергентные решения уже есть в Реестре Минпромторга, СКАЛА-Р — Программно-определяемый инфраструктурный комплекс (skala-r.ru), обращаться с вопросами по разворачиванию и тестированию можно к инженерам Тринити!

Что общего у успешных кейсов внедрения

Итак, гиперконвергентное решение можно легко подобрать под задачу, применив накопленный опыт системной интеграции, в том числе, в условиях конкуренции как с классической инфраструктурой (SAN-сеть, централизованное хранение данных на СХД), так и с решениями различных разработчиков HCI.

Проанализировав реализованные проекты, можно выделить следующие факторы успеха предложенных нами гиперконвергентных решений:

  • Затраты на внедрение и эксплуатацию можно снизить за счет точно подобранного под характерные вычислительные нагрузки оборудования.
  • Многообразие доступных сегодня носителей: NVM-e, SSD, диски SAS и емкие NLSAS/SATA диски, LTO-накопители позволяют развернуть гибкое отказоустойчивое и многоуровневое решение хранения данных легко и делают его наиболее экономически привлекательным.
  • Чтобы соответствовать ожиданиям бизнеса по времени простоя и восстановления сервисов и данных следует учитывать текущее состояние серверной и сетевой инфраструктуры и возможности современных коммутаторов 25-40-100G-200G-400G.
  • Желание использовать имеющееся оборудование с максимальной отдачей (например, как серверов x86, так и POWER-архитектур) сегодня реализуемо и дает хорошие результаты.
  • Важно определиться с чем будет удобно работать Заказчику, с каким интерфейсом, как будут отработаны системой сбои серверов и сетевого оборудования, какие затраты на техническую поддержку будут объективны.
  • Пилотные тестирования и обучения специалистов работе с новыми системами часто позволяют раскрыть потенциал решений и превзойти ожидания Заказчика.

Какие ограничения возможны

Как правило, у многих заказчиков ИТ-ландшафт уже сформирован, происходило это в течение многих лет и включает он в себя оборудование разных поколений, негарантийное и не всегда работающее сбалансировано.

Бывает, компании объединяются, и стоит задача централизовать сервисы, по возможности использовав оборудование, в том числе, доставшееся по наследству. В этом случае важно правильно оценить и использовать его возможности и учесть слабые места. Это касается и серверного оборудования (с учетом постоянного обновления процессоров и платформ оно достаточно быстро «морально устаревает», но может продолжать стабильно работать и быть совместимым с нужными приложениями) и сетевого оборудования, которое с выходом и распространением моделей 25-40-100G позволило еще больше укрепиться в уверенности, что гиперконвергентные решения располагают отличными и прозрачными возможностями масштабирования на случай роста нагрузки и количества пользователей, а также ввода новых приложений.

Виртуализация, конечно, позволяет достигнуть отличной производительности и использовать имеющееся оборудование, однако следует предусмотреть и вычислительные мощности, и хорошую дисковую для узлов, и достаточную пропускную способность для обмена данными приложений и блочным трафиком.

Многое зависит от характера нагрузки и пользователей, но если есть возможность выделить коммутаторы уровня ядра сети и коммутаторы для обмена блочным трафиком — это сделает процесс обмена репликами и возможного перестроения в случае сбоя комфортным и для пользователей (не повлияет на их работу), и для администратора (будет выполнено с учетом требований по времени простоя и автоматически). Устаревшее же сетевое оборудование с гигабитными портами и коммутаторы начального уровня могут не справиться с пиковыми нагрузками при эксплуатации и перестроении кластера.

С чего начать и как определиться с решением

Как уже говорили, обычно инфраструктура уже есть и более-менее успешно работает. Поводом для ее активной модернизации могут быть новые задачи бизнеса, соответствие требованиям регуляторов (как например, внедрение ЕГАИС и переход на новые Учетные Системы), организация работы удаленных проектных команд, гарантированная работа сервисов электронной коммерции — важно определить под какую задачу нужен ИТ-ландшафт. И что точно следует сделать, это собрать реестр имеющегося оборудования, восстановить схемы сетевых подключений и соотнести эти данные с требованиями приложений и перспективами их развития.

Специалисты Тринити комплексно подходят к решению задач, готовы предложить демонстрацию тестовых стендов и результатов успешного сайзинга под различные нагрузки, в том числе, специализированные и отраслевые. Мы работаем в тесном партнерстве с разработчиками решений NUTANIX, DELLEMC, DATACORE, LENOVO, CISCO, FUJITSU и многих других.

Наши практики применимы для Заказчиков от SMB до Enterprise, и позволяют выбрать лучшее решение и открыть новые перспективы развития ИТ-инфраструктуры.

Продолжение следует...

Итак, гиперконвергентные решения позволяют навести полный порядок в инфраструктуре, унифицировать ее блоки, снизить затраты на администрирование, уйдя от необходимости поддерживать разнородное оборудование, что находит отклик у технических специалистов и ИТ-Директоров: один админ (группа админов) — одни правила. Также это, конечно, сокращает капитальные и операционные расходы, делает их более понятными для бизнеса. А что же может помешать безграничному счастью разворачивания и управления этой архитектурой?

Вычислительные узлы (серверы) вмещают конечное количество носителей (и, например, не все могут сочетать различные форм-факторы дисков), и по этой причине виртуальная СХД может показаться ограниченной, к тому же не все готовы точно прогнозировать рост данных приложений, и чем крупнее собственная ИТ-инфраструктура у заказчика, тем более он тяготеет к построению сети для консолидации дисковых хранилищ -  SAN, Системам Хранения Данных, расширяемым дополнительными полками, объединяемым в  отказоустойчивый кластер, в том числе, и территориально разнесенный. Затруднения внедрения HCI также вытекают из ограничений двухсокетных серверов, проблемами на стадии разворачивания системы (недостаток квалифицированных кадров), что может дать толчок к развитию новых тенденций рынка: подписку на платформы и оборудование, переход к периферийным вычислениям.

Источники:

Автор: Инна Буденкова, Тринити, Санкт-Петербург

Читать дальше ...

четверг, 13 мая 2021 г.

Рекомендации по планированию сервера для 1С

Система 1С Предприятие – это не столько готовый продукт, сколько конструктор, на основе которого создается учетная система предприятия.

Гибкость и универсальность - ее главная сила. Но в этом же кроется и основная причина потенциальных проблем производительности. У каждого предприятия свои особенности учета и клиентских интерфейсов, свои внедренцы –двух одинаковых систем (если речь не о паре бухгалтеров, разумеется) практически не бывает.

Поэтому все рекомендации по выбору аппаратуры для обеспечения быстрой работы достаточно относительны. В этой статье мы осветим основные моменты, от которых зависит производительность, и дадим рекомендации для более-менее типовых случаев.

Статья рассчитана на предприятия малого и среднего бизнеса с числом пользователей от нескольких десятков до 100-200.

Если у вас планируется система сотнями (и более) пользователей и кластером из нескольких серверов, то гораздо важнее выбирать не железо, а грамотных внедренцев, знающих потребности своего продукта. Ну а в данном случае как правило достаточно пары серверов с репликацией в целях отказоустойчивости.



Итак, поехали: требования к процессорам

Наиболее часто 1С используется в варианте «толстого клиента» (клиентское приложение, которое и видит пользователь), работающего в терминальном режиме. В этом самом «толстом клиенте» внедренцы обычно и реализуют основную клиентозависимую логику. 

Если используются стандартные формы и отчеты 1С, то проблем производительности обычно минимум. В случае сильно доработанных систем («самописных»), вопрос производительности может быть очень нетривиальным и, достаточно часто, печальным – об этом ниже.

Для стандартной системы вполне достаточно современных процессоров с частотой 2-2,5ГГц. Требуемое количество ядер очень сильно зависит от характера и интенсивности работы пользователей. Среднестатистическая рекомендация стара как мир – 4-5 человек на ядро. Но эта цифра более чем относительна. Например, вялотекущих менеджеров, выставляющих несколько счетов в день, можно и 10 на ядро, а вот аналитик или бухгалтер в отчетный период создают на порядок более тяжелую нагрузку. Если вы не развертываете новую систему, а модернизируете существующую, настоятельно рекомендуется оценить загрузку имеющегося железа (причем в момент максимальной нагрузки), а потом уже планировать новое. Если же возможности нет, то в целом можно ориентироваться средние 5 человек на ядро.

Есть один нюанс – 1С «не любит» двухпроцессорные системы. Связано это с тем, что подобные системы используют архитектуру памяти NUMA – т.е. каждый процессор имеет быстрый доступ к «своей» части ОЗУ. И если диспетчер задач операционной системы перебросил клиентскую сессию на другой процессор (а он это делает постоянно), то данные останутся в памяти первого и доступ к ним будет значительно медленнее. Производительность упадет – пусть не в разы, но вполне могут быть десятки процентов. Поэтому лучше предпочесть один многоядерный процессор, нежели два попроще. В разумных пределах, разумеется.

Оперативная память

Что касается оперативной памяти, то одна клиентская терминальная сессия, в зависимости от характера работы пользователя, занимает от 200-300МБ до 500-600МБ, а в тяжелых случаях и до гигабайта ОЗУ. Опять же, рекомендуется оценить загрузку существующего сервера. Если такой возможности нет, то заложить примерно 500МБ на пользователя. Причем желательно оставить часть слотов памяти свободными, чтобы была возможность расширения в случае ошибки (и просто на вырост). На объеме памяти экономить не нужно! Если недостаточная производительность процессоров может лишь замедлить отклик системы, то недостаток ОЗУ сделает ее почти неработоспособной. А вот за частотой памяти сильно гнаться не стоит. Конечно же – чем больше, тем лучше – но радикальный эффект вы вряд ли получите.

Что касается SQL сервера и сервера приложений, то им на пару можно выделить примерно столько же процессорных ядер, сколько и терминальному серверу (зачастую и меньше). Точных рекомендаций тут так же нет. Если все части трехзвенки будут работать на одном физическом сервере, то ОС сама отбалансирует нагрузку (хотя лучше это сделать администратору – см. пункт ниже о виртуализации).

Оперативную память тут экономить тоже не стоит – лучше всего, если вся база закэшируется в ОЗУ. Но особенно гнаться тут не нужно – в данном случае недостаток памяти уменьшит производительность (и то не всегда), но не вызовет свопинг, как в случае терминального сервера. Впрочем, базы 1С достаточно компактны и обычно составляют десятки гигабайт, что не так уж и дорого. И еще момент – довольно часто в БД, помимо собственно записей базы, хранятся сканы всяческих документов и пр. Такая база будет огромной, но всю ее кэшировать – бессмысленная трата денег.

О дисковой системе

1С любит быстрые диски. Очень любит. Поэтому магнитные накопители мы не рассматриваем. Совсем. Только SSD соответствующей производительности.

Немного об архитектуре. Когда-то, во времена магнитных дисков, для обеспечения достаточной производительности приходилось не только использовать RAID из большого количества дисков, но и разносить разные данные на разные массивы. В особо тяжелых системах это актуально и сейчас. Но в большинстве случаев достаточно одного массива из SSD. Причем самый простой и удобный путь – один datastor, на котором лежат виртуальные машины терминала, базы и сервера приложений. Это и будем иметь в виду далее.

Серверные SSD против десктопных. До сих пор можно услышать мнение, что десктопные диски быстрее серверных. Это не так. ТТХ десктопных дисков приводятся в «чистом» состоянии, когда характеристики максимальны. ТТХ же серверных дисков измеряются для тяжелой нагрузки, когда диск естественным образом забивается «мусором» и «чтобы что-то записать надо сначала расчистить место». Не буду вдаваться в подробности устройства SSD, просто имейте в виду, что это просто нюансы маркетинга.

NVMe – это круто. Да, интерфейс действительно быстрее, чем SATA. Но в сервере 1С крайне редко бывает такая нагрузка, чтобы забивался интерфейс – чаще все упирается в производительность контроллера и флэша. Вот если диск и сам по себе быстр, а нагрузка тяжела, то интерфейс NVMe может дать эффект – но не драматический.

Для небольших систем, с 10-20 пользователями, вполне достаточно серверных дисков начального уровня (их часто называют read intensive) в RAID1, даже на интегрированном контроллере. Обычно они имеют ресурс 1DWPD. В общем, любые недорогие серверные SSD.

Для более серьезных систем рекомендуется использовать диски среднего класса – как правило 3 DWPD. Желательно использовать не интегрированный, а полноценный аппаратный RAID10. Аппаратный контроллер и сам по себе мощнее, позволяет использовать свой кэш (см. ниже) и SAS диски, которые как правило значительно производительнее, чем SATA. Производительные NVMe U.2 диски тоже хороши, но выбор RAID контроллера в этом случае будет сильно ограничен (в т.ч. и ценой).

Intel Optane

Это самый быстрый из существующих накопителей информации. Но дорогой. Поэтому его использование в небольших системах малооправдано. Оно и в достаточно больших не всегда оправдано – как правило хватает и «обычных» Flash дисков. 

Нюанс тут в том, что 1С не столько создает большую нагрузку, сколько нуждается в минимальном времени отклика, особенно на записи – а flash диски с кэшем и так весьма быстры. В общем, мощная и дорогая штука, которая нужна в очень тяжелых случаях, если более простые средства не помогли. Но если есть финансовые возможности – прекрасное решение.

О ресурсе

В большинстве случаев (мы говорим о сервере 1С начального-среднего уровня!) неактуально. Современные серверные SSD имеют ресурс в петабайты, чего достаточно на весь срок жизни сервера. Впрочем, диски с бОльшим DWPD как правило еще и более быстрые – так что все зайцы убиваются автоматически при выборе диска нужной производительности.

О кэшировании

Серверные SSD имеют встроенную защиту их кэша, так что его можно и нужно безбоязненно включать (в отличие от магнитных дисков). При этом кэш RAID контроллера лучше выключить. Как правило, при этом достигается максимальная производительность под большой нагрузкой. Но я ряде случаев полезно включение кэша контроллера – он находится ближе всего к процессору и время отклика будет минимальным. 

Ситуации бывают разные, поэтому в случае серьезно нагруженной системы лучше всего определить это экспериментально. Только не забываем, что при включении кэша контроллера категорически рекомендуется использование защитного конденсатора (по инерции часто называемого «батарейка»).

Немного о проблемах самописных систем

Достаточно часто приходится слышать, что 1С «тупит», «тормозит нещадно» и другие злые слова. В большинстве случаев это говорит не о проблемах железа или самой платформы 1С, а о доработках, сделанных программистами предприятия или внедренцев. 

Не всегда это их вина – зачастую это следствие вынесения в интерфейс большого количества полезных индикаторов, сложных отчетов и т.п. (например, в своей собственной системе мы пошли на компромисс с производительностью ради информативного интерфейса менеджеров и некоторых фирменных особенностей учета). 

Если дело действительно в этом и у вас уже используется более-менее современных сервер с достаточным объемом ОЗУ и твердотельными дисками, то радикально эту проблему решить сложно и не всегда возможно.

Убедиться в этом достаточно просто – включить монитор производительности Windows. Если система «тормозит», а загрузка процессора не превышает 10-20-30%, то с большой вероятностью у вас проблема.

В этом случае можно и нужно использовать максимально высокочастотные процессоры. Увеличение количества ядер не поможет, т.к. суть проблемы в том, что одна клиентская сессия исполняется на одном процессорном ядре и скорость выполнения процесса ограничена его производительностью – сколько ядер ни дай, конкретная клиентская сессия быстрее работать не будет. 

А вот высокая частота поможет – правда дорогой ценой и не в разы. Ну и, если возможно, используйте один мощный процессор.

Можно поставить более производительные SSD – не просто какие-нибудь NVMe, а именно быстрые сами по себе. В идеале Intel Optane (хотя тоже не панацея).

Пара слов о виртуализации

Да, она снижает производительность работы 1С. Возможно, на десятки процентов. В этом месте некоторые специалисты впадают в религиозный экстаз J Но! Виртуализация сильно повышает удобство обслуживания системы, отказоустойчивость и снижает время восстановления после отказа.

Для обеспечения отказоустойчивости можно использовать репликацию виртуальных машин. В Windows есть функция Hyper-V Replica, которая с некоторым интервалом копирует все изменения виртуальной машины на другой сервер. 

В случае краха основного сервера можно просто запустить виртуальную машину на резервной ноде. Да, вы потеряете часть данных от последний операций (речь идет о минутах) – но в большинстве случаев это не так критично. Да, есть средства, позволяющие снизить потери, но тут вопрос цены (да и администрирование полноценного кластера на порядок сложнее). 

Данное решение требует лишь второго сервера – причем он может быть и менее производительным, чем основной, лишь бы ОЗУ и дискового пространства было достаточно. Ну и даже если вы будете вынуждены восстанавливаться из ночного бэкапа, то восстановить виртуальную машину как правило быстрее и проще, чем «bare metal».

Второй момент. Гипервизор может привязать виртуальную машину к конкретным процессорным ядрам – важно, чтобы они принадлежали одному сокету. Это снизит потери производительности, в т.ч. и описанные выше проблемы двухпроцессорных машин.

Терминальный сервер желательно запускать в отдельной виртуальной машине от SQL сервера с сервером приложений. Это актуально как с точки зрения безопасности, так и для балансировки нагрузки.

В общем, несмотря на некоторое снижение производительности, можно рекомендовать использование виртуализации для систем 1С, просто заложить железо с несколько большей производительностью.

Подведём итог

  1. На всякий случай еще раз напомню, что эта статья не претендует на объятие необъятного и истину в последней инстанции. 
  2. В каждом конкретном случае может быть много нюансов. Поэтому задавайте вопросы на нашем форуме 3nity.ru.
  3. В разделах нашего сайта можно найти рекомендованные конфигурации серверов для 1С исходя из количества пользователей (ссылки ниже).



Серверы Тринити для 1С

.
1С терминальный сервер
.
Типовые предложения для малых предприятий
.
Кластер серверов 1С:Предприятие
Читать дальше ...