Архитектура ИТ: Новое лицо ИТ

Облачная инфраструктура, функционирующая в сети виртуальных серверов, — вот новое видение современной ИТ-инфраструктуры.

Пол Ю

ИТ-директоры и технические руководители, которые анализируют основные отраслевые тенденции и быстро меняющийся технологический ландшафт, имеют возможность переосмыслить роль ИТ в стратегии своей организации. Сотрудничая с Microsoft Services Division, они могут взять на вооружение облачную инфраструктуру, обеспечивающую максимальную отдачу от инвестиций в ИТ. Microsoft Services применяет стратегически правильный, гибкий и экономически эффективный подход к разработке и развертыванию таких инфраструктур.

Давайте рассмотрим в качестве примера для других организаций, заботящихся о безопасности, одно из развертываний, выполненных Microsoft Services для гражданского заказчика, относящейся к федеральному правительству. В этой ИТ-архитектуре заслуживают внимания такие аспекты как платформенная стратегия, основанная на технологиях Microsoft, подход к ИТ, при котором на первом месте стоит облако, минимальное потребление ресурсов серверами центра данных, надежные сервисы и всеобъемлющая защита. Вся работа по планированию архитектуры, развертыванию и созданию компонентов, о которых я расскажу, выполнена консультантами и инженерами Microsoft.

Возьмите облако в свои руки

Центральное место в архитектурной стратегии этого заказчика отводится облачным сервисам Microsoft, в частности, Office 365 для предприятий и System Center Advisor. Эти сервисы предоставляют предприятиям знакомые им инструменты автоматизации и управления и, в то же время, сокращают сложность ИТ-управления и расходы и увеличивают гибкость и надежность. Мы развернули Exchange Online и Office Professional Plus в масштабе организации.

Наш заказчик использует все стандартные возможности Exchange Online, такие как доступ к электронной почте, календарю и контактам с компьютеров и устройств. Кроме того, он использует критически важную функциональность, обеспечивающую соответствие требованиям безопасности и аудита и интеграцию с другими корпоративными платформами. К этой функциональности относятся политики сохранения сообщений и сервисы обнаружения для электронных расследований (electronic discovery), Hosted Encryption для шифрования сообщений, адресованных внешним получателям, Allow/Block/Quarantine (ABQ) для тонкого управления устройствами, поддерживающими ActiveSync, и интеграция Unified Messaging с инфраструктурой Lync, развернутой на стороне клиента.

Advisor — еще один ключевой облачный сервис, используемый заказчиком для сбора данных с серверов Microsoft, расположенных на предприятии. Кроме того, пользователь сервиса может генерировать уведомления о проблемах, связанных с идентификацией, или об ошибках при настройке или эксплуатации. Служба шлюза Advisor на стороне предприятия, являющаяся обязательным компонентом, функционирует на многоролевом сервере приложений System Center 2012, работающем под управлением Windows Server 2008 R2 SP1.

Клиенты Advisor установлены на всех серверах. Это позволяет компании отслеживать нагрузку на ОС, Active Directory, хосты Hyper-V, SQL Server 2008 R2 и Lync Server 2010. Пользователь может просматривать уведомления и получать рекомендации по исправлению, подсоединяясь к онлайновому порталу Advisor через веб-браузер.

Помимо облачных сервисов, имеется ряд служб, выполняемых на стороне предприятия, — это службы виртуализации, каталогов и федераций, инфраструктуры открытых ключей (public key infrastructure, PKI), сети, унифицированного обмена сообщениями и управления системами. Заказчик развернул эти службы в гибридной среде, состоящей из физических и виртуальных серверов, причем все эти серверы работают под управлением стандартных ОС — Windows Server 2008 R2 SP1 Datacenter или Enterprise.

Службы виртуализации

Виртуализация серверов существенно увеличивает эффективность доступных вычислительных ресурсов и сокращает административные издержки на обслуживание физических серверов. Это важный элемент инфраструктуры заказчика, развернутой на его стороне. Используются две пары выделенных хостов Hyper-V, каждый из которых работает под управлением Windows Server 2008 R2 SP1 Datacenter Edition.

Два сервера служат хостами только для внутренних виртуальных машин (VM) и выполняют ключевые функции, например, поддерживают Cluster Shared Volumes (CSV) с возможностью переноса работающих VM (VM live migration). Другие два сервера — это изолированные серверы, которые служат хостами для VM сети периметра. Все хосты Hyper-V в этой среде используют кластерное SAN-хранилище.

Active Directory Domain Services

Как и у большинства организаций, на стороне предприятия работают службы Active Directory, поддерживающие ряд функций, связанных с идентификацией. Центральное место среди них занимает Active Directory Domain Services (AD DS), которая поддерживает работу с каталогами на стороне предприятия и позволяет реализовать крайне важную технологию единого входа (single sign-on, SSO) при аутентификации в Office 365. Имеется два выделенных контролера домена AD DS, предоставляющих сервисы доступа к каталогам и DNS для всей организации. Один из них — физический сервер, а другой — VM.

Active Directory Federation Services

Active Directory Federation Services (AD FS) 2.0 работает в связке с AD DS и обеспечивает поддержку SSO для Office 365, образуя федерацию с Microsoft Federation Gateway. Это позволяет всем пользователям заказчика, идентификации которых относятся к федеративному домену, применять удостоверения AD DS, развернутой на предприятии, для автоматической идентификации в онлайновых сервисах.

Еще один ключевой аспект AD FS 2.0 — набор правил политик клиентского доступа, ограничивающих доступ в зависимости от местонахождения компьютера или устройства, с которого выполняется запрос. Они обеспечивают, что ни один компьютер, за исключением устройств, обращающихся к Exchange Online через Exchange ActiveSync, не сможет обратиться к службам Office 365, если этот компьютер не подключен к сети организации.

AD FS, предоставляющая функции федерации, выполняется на двух парах выделенных серверов. Одна пара состоит из двух федеративных серверов, настроенных на балансирование сетевой нагрузки (Network Load Balancing, NLB). Другая пара — это изолированная пара, взаимодействующая с прокси-серверами, расположенными в сети периметра, и также настроенная на NLB.

Синхронизация каталогов

Кроме того, при работе с AD DS и AD FS используется служба синхронизации каталогов, выполняемая на предприятии и необходимая для поддержки SSO для Office 365. Заказчик использует инструмент Microsoft Online Services Directory Synchronization для синхронизации данных Active Directory на стороне предприятия — пользователей, групп и контактов — с инфраструктурой каталогов Office 365. Управление идентификациями и контроль за ними осуществляются только на предприятии, идентификации являются достоверными (authoritative). Служба синхронизации каталогов установлена на одном выделенном виртуальном сервере.

Active Directory Certificate Services

Поскольку заказчик — федеральное гражданское агентство, он должен выполнять Homeland Security Presidential Directive 12 (HSPD12) при управлении логическим доступом ко всем компьютерам, присоединенным к домену. За исключением небольшого количества очень хорошо защищенных учетных записей, все учетные записи администраторов Active Directory Certificate Services (AD CS), используемые для рутинного администрирования инфраструктуры организации, поддерживают вход только по смарт-картам PIV (personal identity verification).

Все рабочие станции также поддерживают вход только по смарт-картам PIV. На всех компьютерах агентства установлено промежуточное ПО PIV от стороннего поставщика, соответствующее стандарту Federal Information Processing Standard (FIPS) 201.

Кроме того, используются выпускаемые сторонним поставщиком аппаратные криптографические модули (hardware security module, HSM), реализующие аппаратные криптографические функции в соответствие со стандартом FIPS 201. Клиент использует их в сочетании с несколькими выделенными VM для поддержки своей серверной топологии инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Корневой центр сертификации (certificate authority, CA) AD CS располагается на офлайновом изолированном виртуальном CA-сервере. Служба AD CS, реализующая функциональность CA, также выполняется на виртуальном CA-сервере. Наконец, службы CDP (certificate revocation list (CRL) distribution point — точки распространения списков отозванных сертификатов) выполняются на виртуальном веб-сервере.

Сетевые службы

Используется пара многоролевых виртуальных серверов, развернутых для выполнения стандартных сетевых служб — Dynamic Host Configuration Protocol (DHCP), служб доступа к файлам, принтерам и документам. DHCP-сервер развернут на каждом сервере, чтобы обеспечить большую отказоустойчивость и при распределении адресов использует конфигурацию балансирования нагрузки 80/20.

На обоих серверах развернуты и Distributed File System (DFS) Replication (DFS-R), и DFS Namespaces, чтобы обеспечить простой доступ к файлам и поддерживать высокую доступность. Кроме того, для увеличения производительности и доступности с помощью групповой политики (Group Policy) рабочих станций развернуты  Folder Redirection и Offline Files. Эти технологии позволяют выполнять переадресацию с путей к локальным папкам, таким как Documents, на пути к папкам-адресатам из DFS Namespace, и при этом поддерживать локальное кэширование содержимого.

Наконец, служба Print and Document Services установлена на одном сервере и позволяют пользоваться общими сетевыми принтерами, создавать серверы печати и осуществлять централизованное управление сетевыми принтерами.

Единая коммуникационная платформа

В агентстве реализована корпоративная сеть, поддерживающая унифицированный обмен сообщениями на основе Lync Server 2010. Ее службы развернуты на шести выделенных виртуальных серверах, каждый из которых имеет свои роли. Два виртуальных сервера Standard Edition поддерживают мгновенный обмен сообщениями (IM), передачу информации о присутствии, конференции и голосовую связь. Эти серверы выполняются на кластерных хостах Hyper-V, чтобы обеспечивать отказоустойчивость при голосовой связи.

Enterprise Voice и службы поддержки телефонных конференций выполняются на одном виртуальном Mediation Server. Они транслируют вызовы и аудиовизуальные данные с SIP-транка (Session Initiation Protocol) провайдера Интернет-телефонии организации. Граничный контроллер сеансов, разработанный сторонним поставщиком, также поддерживает соединение SIP-транка с Mediation Server, являясь частью инфраструктуры SIP-транска.

В агентстве повсеместно — на столах сотрудников и в общедоступных местах — установлены IP-телефоны, поставляемые сторонним производителем и оптимизированные для Lync. На этих телефонах выполняется клиент Lync Phone Edition, и они напрямую связаны с рабочими станциями, чтобы обеспечивать дополнительные возможности интеграции с Lync.

Четыре виртуальных Monitoring Server выполняют функции наблюдения. Эти серверы собирают данные о качестве сетевой среды, а также об ошибках вызовов и о параметрах вызовов. Эта информация используется для устранения неполадок, когда вызовы терпят неудачу, и для измерения интенсивности использования различных функций Lync Server. Для этого необходима база данных SQL Server, и Monitoring Server использует удаленный выделенный экземпляр SQL Server 2008 R2 SP1 Enterprise Edition, выполняемый на многоролевом физическом сервере.

Последняя группа серверов Lync — пара изолированных виртуальных пограничных серверов (edge servers), расположенных в сети периметра. На этих серверах выполняются службы Exchange Online Unified Messaging, такие как служба уведомления о вызовах и служба голосового доступа (в том числе голосовой почты).

Интегрированное управление

В качестве интегрированной платформы управления серверами центра данных и клиентскими устройствами, наш заказчик использует System Center 2012. Компоненты и инструментарии управления базовой инфраструктурой полезны при настройке, наблюдении и эксплуатации. Эти компоненты развернуты на трех выделенных виртуальных серверах, каждый из которых обращается к удаленному экземпляру SQL Server 2008 R2 Enterprise Edition, выполняемому на многоролевом физическом сервере.

System Center 2012 Configuration Manager и System Center 2012 Endpoint Protection предоставляют единую инфраструктуру управления физическими и виртуальными клиентскими средами организации и их защиты. Configuration Manager централизованно управляет всем обновлениями ПО, развертыванием приложений, отчетами и защитой конечных точек. На всех компьютерах среды, в том числе и входящих в сеть периметра, установлены клиенты Configuration Manager и Endpoint Protection.

Кроме того, агентство проверяет соответствие параметров защиты политикам безопасности (security baselines), содержащимся в Security Compliance Manager (SCM) 2.5. Все серверы среды защищены серверными политиками, определенными в SCM. Поскольку SCM поддерживает пакеты параметров безопасности для проверки соответствия, Configuration Manager регулярно оценивает конфигурации всех серверов и формирует отчеты об их соответствии требованиям SCM.

System Center 2012 Data Protection Manager (DPM) обеспечивает защиту и восстановление данных на дисках всех серверов. Как и в случае Configuration Manager, клиент DPM должен присутствовать на всех серверах, в том числе, входящих в сеть периметра.

System Center 2012 Operations Manager осуществляет наблюдение за критически важными службами. В соответствии с настраиваемыми правилами, выражаемыми в виде формул, он генерирует уведомления при возникновении определенных ситуаций, связанных с доступностью, производительностью, конфигурациями и безопасностью. Например, администраторы оповещаются по электронной почте всякий раз, когда изменены определенные учетные записи или группы администраторов службы AD DS или когда определенные администраторы службы AD DS входят в сеть. Кроме того, Operations Manager рассылает уведомления при остановке и перезагрузке критически важных серверов, таких как DC.

В офисе и на ходу

Что касается рабочих станций, пользователи используют ноутбуки и решения по подключению через стыковочные станции как замену традиционным настольным компьютерам. На всех рабочих станциях выполняется адаптированный образ Windows 7 SP1, содержащий основные приложения, необходимые для работы, такие как Office 365 Outlook Professional Plus и клиент Lync 2010.

Решение Microsoft Image Deployment Accelerator Solution, с самого начала установленное на предприятии, обеспечивает управление ежеквартальными обновлениями. Для развертывания на рабочих станциях заказчик использует развертывание ОС с помощью Configuration Manager. Таким образом, он может развертывать рабочие станции в любом месте корпоративной сети.

Используется несколько технологий управления, связанных с обеспечением безопасности. Для управления доступом все рабочие станции оборудованы встроенными устройствами считывания карт, используют промежуточное ПО PIV от стороннего поставщика, совместимое с FIPS 201, и политики управления входом со смарт-карт PIV. Параметры Restricted Group Policy и элементы Local Users and Groups позволяют централизованно управлять всеми локальными пользователями, группами, членством в группах и паролями.

Для общей защиты все рабочие станции используют параметры групповой политики National Institute of Standards and Technology (NIST) United States Government Configuration Baseline (USGCB). В настоящее время наш заказчик ждет обновления System Center Configuration Manager Extensions для проверки на допустимость в соответствии с USGCB Security Content Automation Protocol (протоколом автоматизации управления данными безопасности), которое будет поддерживать его текущие версии Configuration Manager и Windows-клиента.

Клиент System Center 2012 Endpoint Protection установлен на всех рабочих станциях, а также на других компьютерах. Он поддерживает такие критически важные функции как интеграция с Windows Firewall, инспектирование сети (network inspection) и механизм защиты от вирусов и злонамеренного ПО. Инструмент BitLocker Drive Encryption (шифрование дисков BitLocker) обеспечивает защиту данных и обязателен к использованию на всех рабочих станциях. Групповая политика ограничения записи данных требует, чтобы все съемные устройства хранения были защищены технологией BitLocker To Go.

Все пользователи агентства обеспечены портативными устройствами, работающими под управлением Windows Phone 7.5. Microsoft Office Mobile содержит версии знакомых приложений Office для портативных устройств. Exchange ActiveSync обеспечивает безопасную синхронизацию с Office 365 Exchange Online и поддерживает строгие политики доступа к устройствам: требования к сложности паролей, которые должны содержать буквы и цифры, карантин устройств и политики Information Rights Management (управление правами на информацию, IRM).

Так что, как видите, это правительственное агентство развернуло сложную ИТ-инфраструктуру, состоящую из облачных и виртуальных элементов как на стороне клиента, так и на стороне сервера. Это отличный пример по-настоящему современной ИТ-среды.

Пол Ю (Paul Yu) — старший консультант в Microsoft Services и советник по ИТ-архитектуре и планированию. Более 13 лет работает в Microsoft, разрабатывая архитектуру корпоративных решений для коммерческих компаний и государственных организаций. С ним можно связаться по адресу Paul.Yu@microsoft.com.