FreeBSD v malej firme - 6 (terminálové služby)

12. 12. 2005 | Michal Kyseľ | Návody | 8181×

Terminály sa vracajú späť - alebo vývoj ide v špirále

Myšlienka terminálu je stará takmer ako počítače samy. V princípe sa jedná o to, ako pristupovať k využívaniu služieb centrálneho počítača pomocou klientskeho zariadenia, pričom klientské zariadenie využíva užívateľ iba na vstup a výstup a samotný program beží na hlavnom počítači. Tieto riešenia (ešte na báze znakových - alfanumerických terminálov) boli s príchodom prvých sálových počítačov bežne využívané a samozrejmé, kým ich nevytlačila éra PC s filozofiou samostatného plnohodnotného počítača na každom stole. Na začiatku sa zdalo, že toto riešenie má spústu výhod. Áno, má, ale iba pre niektoré prípady nasadenia. Žiaľ, pre firemný informačný systém toto usporiadanie prináša veľa nevýhod, či už z hľadiska prevádzky, funkcionality alebo nákladov na prevádzku a udržovanie takéhoto systému v konzistentnom a stále aktuálnom stave. Proste pri nárokoch na firemný IT systém je jednoznačne výhodnejšie, úspornejšie a elegantnejšie riešenie na princípe centralizovaného systému.

Dnes sa teda oprášená myšlienka terminálu po rokoch vracia späť, avšak obohatená o možnosti použitia grafického režimu, čo je pre dnešné firemné riešenia už nutnosť. Výhody tohoto usporiadania sú zjavné:

1. spoločný dátový priestor s hromadným zálohovaním
2. jednoduchá administrácia
3. bezproblémová integrácia celého firemného prostredia do jedného kompaktného celku
4. všetky IT prostriedky je možné bez problémov pružne zdieľať v prípade potreby ktorýmkoľvek z užívateľov a sú stále k dispozícii
5. každý užívateľ sa môže prihlásiť z ľubovoľného stroja a okamžite má k dispozícii svoje aplikácie, svoje dáta aj svoje nastavenie prostredia, samozrejme aj rovnaký výpočtový výkon
6. optimalizácia utilizácie systémových prostriedkov
7. jednoduchšie riešenie havarijných situácií, prestojov a výpadkov
8. ekonomická výhoda takéhoto riešenia - možnosť využitia morálne zastaralej výpočtovej techniky na plnohodnotnú prácu
9. bezpečnosť
10. škálovateľnosť

Aj firmy, ktoré predtým odmietali terminálové riešenia, sa k nim teraz potichu vracajú. Napríklad taký Microsoft a jeho Terminal Server...

Prečo teda terminálové riešenie v malej firme?

Ak sú dáta uložené na jednom mieste, je záloha veľmi jednoduchá, stačí zálohovať dáta na serveri. Pracovná stanica nemá nič, čo by stálo za námahu pri zálohovaní a čo by bolo potrebné nejak extra chrániť (body 1, 9). V prípade potreby sa dá nahradiť ktoroukoľvek inou (viď bod 7).

Výhodné je aj to, že súbory sú na jednom mieste a teda sú v rámci celej firmy informačne konzistentné. Iste každý pozná situáciu, keď je jeden dokument v rôznom štádiu rozpracovanosti na desiatich či viacerých strojoch, užívateľ začne písať do jednej kópie a zabudne na to, že včera písal do inej, čo sa síce volala rovnako, ale bola na inom stroji / v inom adresári (pre usera je to iba drobný nepodstatný detail...). Nakoniec takýto prípad skončí chaosom ("včera niečo napíšem, dnes to tam nemám, zase to vyzerá inakšie") a nastupuje informatik, ktorý sa zúfalo snaži dať dáta dohromady a urobiť z n verzií jednu aktuálnu a úplnú... pri jedinom dátovom úložisku a rozumne nastavených prístupových právach sa to pochopiteľne stať nemôže.

Správa takéhoto centralizovaného systému sa potom redukuje na správu centrálneho počítača. Všetko je pohromade a pod kontrolou správcu, useri, aplikácie, dáta, služby. Kdekoľvek sa user prihlási, všade mu systém ponúkne rovnaké, jeho do detailu nastavené prostredie. Každý má presne definované práva. Všetky zdieľané prostriedky sú na serveri, teda ak sa užívateľ úspešne prihlási a má na ne práva, môže ich využívať bez problémov a riešenia zdieľaní, komunikácie a autentifikácie medzi n stanicami. Takisto správca môže väčšinou odstrániť problém bez zbytočného behania od stanice k stanici a obojstranne nepríjemného odstavovania userov od práce. Nikdy sa nijaké nastavenie nerozhodí "samo od seba", ani nikto z userov nemá možnosť zasiahnuť do niečoho, čo môže ohroziť systém alebo dáta v ňom. Dáta nikdy neopustia server a neskopírujú sa na klientskú stanicu, klientska stanica prijíma iba výstup z ich spracovania a posiela serveru vstupné údaje, čo je veľké plus pre bezpečnosť citlivých údajov.

Kto sa niekedy staral len o niekoľko Win staníc, chápe rozdiel.

Ako klientské stroje možno použiť staré PC s pamäťou minimálne 64 MB (viac RAMky je samozrejme lepšie, terminály potom neswapujú a systémy im bežia priamo z RAM, naše majú 128 a jeden dokonca 256), procesorom min. Pentium 200 MHz a malým diskom, na ktorom je inštalácia minimálneho základného systému a X. Klientské stroje sú prakticky bezúdržbové a nie je okrem občasnej kontroly konzistencie disku ani nutné ich akokoľvek spravovať. V prípade nasadenia bezdiskových staníc odpadá aj tento posledný krok (tam je zasa nevýhodou o hodne pomalší štart, daný tým, že si musí stanica počas bootu celý systém stiahnuť zo siete). Kto chce a má trochu viac peňazí, môže bootovať aj z Compact Flash ROM a vyhnúť sa tak hrkotajúcemu a potenciálne poruchovému disku, predávajú sa CF adaptéry na bežný IDE kábel.

Za pozornosť stoja body 6, 8 a 10. Veľmi spolu súvisia. Ak systém prestane zvládať požadovanú záťaž, stačí vymeniť server za výkonnejší a ide sa ďalej naplno, na rýchlosť systému nemá klientská stanica takmer nijaký vplyv. Výkon skôr ovplyvňuje rýchlosť prenosu dát po sieti, latencia prenosu (teda časové oneskorenie - doba od vyslania dát po ich doručenie) a samozrejme výkon servera samotného. Preto sa po určitej dobe nemusia vyraďovať staršie PC, hoci by už nespĺňali požadované HW parametre na samostatnú prevádzku, na funkciu zobrazovacej vstupno-výstupnej jednotky majú stále výkonu dostatok a možno ich použiť prakticky dovtedy, dokedy slúžia. To je veľmi výhodné aj z hľadiska nízkych nákladov na zostavenie a upgrade takéhoto riešenia. Navyše server plynule rozdeľuje výpočtový výkon tým procesom, ktoré ho potrebujú, a preto aj keď je vyťažený takmer naplno, užívatelia pracujú plynule a rýchlo. K tomu však netreba kupovať n výkonných strojov (ktoré by po 80 percent času iba stáli a počítali šetrič a iba 20 percent ich výkonu by sa skutočne využilo na prácu), ale iba jeden. Teda výhoda investičná aj prevádzková zároveň...

Licencie komerčných riešení sa môžu predražiť

V prípade Microsoft Terminal server to nie je žiadna výhra - majiteľ systému musí zaplatiť cenu licencie OS Windows v klientskom stroji (z niečoho ten TS klient predsa spustiť musí), licenciu MS Server 2000, licenciu MS Terminal Server a potom ešte licenciu z každého sedenia (per seat). A má holý systém bez aplikácií, ktorého klientske stanice vyžadujú úplne rovnakú starostlivosť ako samostatné stroje (ten Windows treba pravidelne čistiť od temporaries, defragmentovať, udržiavať aktuálny antivírus atď). Jediným zachovaným plus z celej terminálovej koncepcie tu ostáva to, že stanice používajú výpočtový výkon servera.

Ekonomický aj prevádzkový efekt nasadenia terminálov v prostredí MS sa teda viacmenej stráca a pre malú firmu je to dokonca silne nevýhodné riešenie... záujemcom doporučujem ako povinné čítanie cenníky Microsoftu.

Obdobná situácia je, keď sa miesto MS Terminal Servera kúpi Citrix - všetky hore uvedené veci (až na iný typ terminálovej nadstavby MS servera) platia opäť.

Dajme užívateľom to najlepšie!

Ešte jedna poznámka, skôr psychologická ako odborná - aby užívateľ nemal pocit, že sedí len pred nejakým "orezávatkom" a že mu admin hodil na stôl ten posledný šrot z celej firmy, je vhodné dať terminálom pokiaľ možno veľké monitory a optické myši (a samozrejme aj skrinky PC vyčistiť od prachu, nálepiek a inej špiny, aby vyzerali k svetu). Z hľadiska prevádzky je to síce bez významu, ale z hľadiska akceptácie nového systému nedôverčivým Win užívateľom to má význam obrovský. Ťažko niekoho nadchne stará zaprášená kraksňa s blikajúcim 15" monitorom. Zato keď niekomu postavím na stôl monitor devätnástku s perfektným ostrým obrazom, na ktorom je radosť čítať, to je niečo iné... A keď ešte spozná tú rýchlosť práce, nazad ku Windowsu sa mu nebude chcieť. Monitor 19" sa dá v bazári zohnať za pár tisíc. Celá zostava sa v prípade bazárového predaja dá kúpiť tak za 4 až 5 tisícok Sk. Porovnajme si to s cenou novej PC zostavy...

Topológia siete

Pre terminálovú sieť je optimálne a najčastejšie využívané hviezdicové usporiadanie, kde základ siete tvorí switch, na ktorý sa pripájajú stanice aj server. Nedoporučujem používať hub, pre rýchlu prácu s xdmcp reláciami je potrebné mať malú latenciu a pokiaľ možno vysokú priepustnosť siete. Tu má switch oproti hubu výhodu, že posiela pakety iba príjemcovi a ostatní účastníci siete nie sú bombardovaní hromadou cudzích paketov, ktoré by ich spomaľovali a zbytočne zvyšovali traffic. Navyše je to aj výhoda z hľadiska bezpečnosti. V praxi sa osvedčil malý osemportový 100 MBit switch, chodí to rýchlo a odozvy terminálov mám v reálnom čase. Plánujem rozšírenie na 16 portový rackový switch.

Udržanie nízkej latencie komunikácie je pre X dokonca dôležitejšie ako prenosová rýchlosť samotná. Skúšal som pripojiť terminál cez 11 MBit WiFi a napriek tomu, že šírka pásma stačila a nebola využitá "na doraz", oneskorenie prenosu bolo tak strašné, že sa dalo robiť iba s veľkým sebazaprením... niekedy človek videl reakciu na úkon, ktorý urobil, až po pár sekundách. Použiteľné to bolo snáď iba na núdzové účely, rozhodne nie na serióznu prácu.

Konfigurácia na strane servera (X klienta)

Pre rozbehnutie terminálových služieb X je potrebné nastaviť na serveri (tu sa myslí počítač, na ktorom aplikácie fyzicky pobežia, z hľadiska terminológie systému X window je to X klient) konfiguračný súbor správcu prihlásenia, aby umožňoval pripojovanie vzdialených sedení cez protokol xdmcp (X Display Manager Communication Protocol). V našom prípade sa použil správca prihlásení kdm. Jeho konfiguračný súbor sa nazýva kdmrc a nájdeme ho v adresári /usr/local/share/config/kdm. Súbor má veľmi ľahko pochopiteľné názvy premenných a jeho jednotlivé voľby teda nie je problém nájsť a nastaviť. Pre povolenie vzdialených sedení je treba nastaviť sekciu [Xdmcp] takto:

[Xdmcp]
Enable=true
Port=177
Willing=/usr/local/share/config/kdm/Xwilling
Xaccess=/usr/local/share/config/kdm/Xaccess

Prvý riadok zapína xdmcp protokol, v druhom sa určuje, na akom tcp porte má X komunikovať. Pre xdmcp v firemnej LAN sieti sa doporučuje nechať tam výchozí port 177. Meniť to má význam iba v odôvodnených prípadoch, napríklad keď chceme riešiť bezpečné pripojenie vo verejnej sieti tunelovaním protokolu xdmcp cez ssh. Tretí riadok hovorí o ceste na skript Xwilling, ktorý umožňuje samotné vzdialené prihlásenie. Pre bezpečnosť je podstatný štvrtý riadok, ktorý ukazuje cestu na súbor Xaccess. Jedná sa o konfiguračný súbor v tom istom adresári ako kdmrc, ktorý povoľuje prístup na X jednotlivým IP adresám. Po inštalácii je nastavený tak, aby povolil prihlásenie akéhokoľvek stroja, ktorý o vytvorenie vzdialenej X session požiada. Jeho editáciou môžeme zakazovať a povoľovať prístupy jednotlivým klientským staniciam.

Ešte tri poznámky. Z bezpečnostných dôvodov je zakázaný login roota do KDE. Ak ho z nejakých príčin potrebujeme , dá sa to urobiť v kdmrc v sekcii [X-*-Core] cez voľbu AllowRootLogin=true - pôvodne je tam nastavené false.

Druhá dôležitá vec - je dobré na serveri zakázať možnosť vypnúť počítač zo vzdialenej X session. Predídeme tým nepríjemnostiam, keď nejaký "snaživec" namiesto ukončenia sedenia vypne server a s ním aj ostatných užívateľov s rozrobenou prácou. Toto je možné najjednoduchšie urobiť v ovládacom centre KDE, kde v sekcii Správca prihlásenia nastavíme, že shutdown je povolený iba z lokálneho prihlásenia. Samozrejme je možné nastaviť to aj editáciou kdmrc, kde povolíme shutdown z lokálu a zakážeme ho z vzdialeného prihlásenia.

Tretia poznámka, ktorú som už uviedol v časti Inštalácia, pre každý prípad ju však opakujem. Z mne neznámeho dôvodu protokol xdmcp vo FreeBSD nechodí bez povolenia IPv6 v konfigurácii siete na strane klienta aj servera. Sám som strávil dva týždne rozmýšľaním nad tým, prečo mi terminál nepripojí vzdialený server. Potom som narazil na popis chyby na jednej konferencii o FreeBSD a KDE. Riešenie popisované v konferencii bolo jednoduché, povoliť IPv6. Po nastavení ipv6_enable="YES" v /etc/rc.conf na serveri aj termináli sa terminál okamžite pripojil. Zrejme blokovanie IPV6 nechcene zablokuje aj xdmcp... ale môže to byť len môj dohad. Každopádne to po príslušnom nastavení funguje a chodí bez chyby.

Konfigurácia na strane terminálu (X servera)

Na strane X terminálu (v terminológii X window sa nazýva X server) je iba potrebné spustiť X s parametrom query na daný server. Keďže od obyčajných userov nemôžem chcieť, aby sa prihlásili lokálne do konzoly a odtiaľ si ručne spustili vzdialenú reláciu X, musíme tento proces automatizovať. Mne sa osvedčilo jednoduché riešenie. Do adresára /etc/rc.d treba vytvoriť súbor s názvom X.sh. Je to jednoduchý shellový skript, ktorý obsahuje iba dva príkazy:

kde 10.10.10.10 je adresa nášho terminálového servera. Po štarte systému na terminálovej stanici automaticky nabehne vzdialené prihlásenie na server a objaví sa nám rovnaké prihlasovacie okno ako na serveri samotnom. Ak chce užívateľ skončiť prácu s terminálom, ukončí beh X na termináli cez Ctrl+Alt+Backspace a ihneď sa spustí ukončovacia sekvencia, ktorá zastaví systém a (v prípade, že to matičná doska umožňuje a táto vlastnosť je u nej podporovaná) automaticky vypne napájanie terminálu. Ak nie, iba ukončí systém a treba terminál ručne vypnúť.

To by bolo snáď všetko. Ak ste nastavili všetko tak, ako treba, mal by vám bez problémov bežať terminálový systém. Zatiaľ sa lúčim s pozdravom: nech vám vaše systémy idú!

Nástroje: Tisk bez diskuse