На заглавную страницу Mirage    
Вниз страницы Версия для печати  
Компания Астра СТ
.
.
Главная «
Новости «
О системе «
Документация «
Лицензии «
Ссылки «
Контакты «

Авторское свидительство


 

Ответы на общие вопросы

Чем не устраивает существующее решение: Linux Terminal Server Project?

Вначале мы внимательно изучили существующие терминальные решения, в том числе и для Linux. Обычно под этой операционной системой используют LTSP - Linux Terminal Server Project (http://www.ltsp.org/ ). Мы на практике изучили эту технологию, и можем отметить ее достоинства и недостатки.

Достоинства

  • Сравнительно быстрое развертывание системы. Следует отметить хорошую документацию этого проекта, позволяющую решить большинство возникающих проблем.

Недостатки

  • Сложная архитектура. В системе используется множество сервисов и протоколов. Для инициализации терминала - DHCP, для загрузки ОС - TFTP, для файловой системы - NFS, для графического обмена - X-Windows. Все это затрудняет настройку и контроль системы.
  • Долгая загрузка терминала. Это вызвано тем, что в качестве графической подсистемы на терминале используется система X-Server. Она требует большой объем памяти. Кроме того, каждый раз после загрузки терминала, X-Server заново автоконфигурируется.
  • Незащищенность. Протокол NFS, который используется при загрузке терминалов с сервера, не обладает никакими защитными механизмами. То же самое относится к протоколу X-Windows - для графического обмена.
  • Большая нагрузка на сеть. Между терминалом и сервером работают протоколы X-Windows и NFS. Оба протокола требуют большой пропускной способности сети, что уже при нескольких терминалах приводит к заметному замедлению и некомфортной работе.
  • Поддержка всего одного сервера. Система LTSP не поддерживает работу с несколькими серверами одновременно. Даже если установить ее на несколько серверов - придется на каждом отдельно настраивать всех пользователей и терминалы.

 

Чем отличается система Mirage?

Система Mirage идеологически основывается на LTSP. У нас тоже есть сервера и терминалы. Терминалы также загружаются по сети, а затем работают в графической среде. Но! Мы применили другие протоколы и технологии, в результате чего добились качественно лучших результатов.

  • Авторизация пользователя. Для авторизации пользователя и загрузки терминала мы используем собственный протокол, являющийся расширением международного стандарта DHCP. Это позволило реализовать абсолютно надежные схемы идентификации и аутентификации.
  • Био-идентификация. Только у нас будет встроенное решение для аутентификации пользователей по отпечаткам пальцев.
  • Быстрая загрузка. Образ загружаемой на терминал ОС имеет размер всего 2 Мб. Терминал загружается за считанные секунды!
  • Нет нагрузки на сеть. Для графического обмена используется принципиально другой протокол, который, в отличие от X-Windows, совершенно нетребователен к пропускной способности сети. Отказ от NFS также позволил избавиться от излишней нагрузки на сеть.
  • Удобство использования. Есть удобные графические утилиты для администрирования и мониторинга системы в реальном времени.
  • Многосерверность. Система Mirage поддерживает работу нескольких серверов одновременно. Это позволяет снизить нагрузку на каждый из них, и реализовать любые распределенные информационные схемы!
  • Централизованное управление. Информация обо всех пользователях и терминалах хранится централизовано - в базе данных, а не разбросана по всевозможным конфиг-файлам.

Как распространяется система Mirage?

Система распространяется в нескольких инсталляционных пакетах RPM. Пакеты вместе с документацией можно скачать через Internet (по предварительной договоренности), или получить на компакт-диске, оплатив стоимость носителя.

Отдельно продаются лицензии:

  • на установки серверов
  • на подключение терминала

Лицензии на установку серверов определяют разрешенное количество установок инсталляционных пакетов. А лицензии на терминалы задают максимальное число терминалов, которое может использоваться в системе Mirage.

Процесс инсталляции достаточно прост и подробно описан в документации.

Почему ваш продукт называется Mirage?

Название было выбрано из тех соображений, что работа на терминале в системе Mirage практически не отличается от работы на полнофункциональном рабочем компьютере. Но есть некоторые замечательные особенности:

  • при включении терминал загружается очень быстро, и пользователь попадает сразу на свой "рабочий стол"
  • при выключении терминала сеанс завершать не обязательно - все открытые программы остаются и данные не теряются

Как нетрудно догадаться, это стало возможным потому, что сеанс пользователя хранится на сервере и лишь отображается на терминале

Какая пропускная способность компьютерной сети требуется для системы Mirage?

Какие компьютеры могут использоваться как терминалы в системе Mirage?

Любые компьютеры на базе iX86 совместимого процессора. Работа за терминалом очень напоминает работу за обычной рабочей станцией. Но есть принципиальные отличия. Терминал отличается от рабочей станции следующими особенностями:

  • терминал загружается с сервера по сети
  • терминал может загрузиться только в том случае, если пользователь прошел авторизацию на сервере
  • терминал не допускает загрузки с жесткого диска, CD-ROM или дискеты (аппаратный контроль загрузки)
  • терминал может вообще не иметь жестких дисков, CD-ROM драйва или дисковода
  • терминал обязан иметь сетевой адаптер для связи с сервером

Таким образом, чтобы превратить обычный компьютер в терминал, можно сделать следующее:

  1. убрать из компьютера дисковод, жесткие диски и CD-ROM
  2. добавить в компьютер сетевой адаптер, если его там нет
  3. добавить в компьютер специальный программный код агента загрузки терминала

Примечание: Агент загрузки терминала - это специальный программный код, который позволяет провести авторизацию пользователя в системе Mirage и загрузить с сервера операционную систему. Он может быть установлен как bootrom на сетевую плату, или непосредственно в BIOS компьютера. Подробнее - см. в документации.

Сколько терминалов сможет обслуживать один сервер?

Это напрямую зависит от используемого прикладного ПО и от доступных ресурсов сервера. Чем больше аппаратных ресурсов сервера (оперативной памяти и производительности процессора) - тем больше терминалов. Чем больше ресурсов требует прикладное приложение - тем меньше терминалов может обслуживаться.

Ресурсы сервера примерно распределяются следующим образом:

схема распределения ресурсов

Доступные ресурсы - это те, которые могут использоваться для сеансов пользователей. На каждый сеанс необходимо примерно 1% ресурсов для служебных программ, обслуживающих сеанс, плюс ресурсы для прикладных задач пользователя.

Покажем, для примера, расчет производительности. Предположим, что приложения пользователя потребляют в среднем не более 3% ресурсов. Тогда данный сервер сможет обслуживать 90% / (1% + 3%) = 22 сеанса одновременно.

Какие прикладные программы могут работать в системе Mirage?

Любые программы, которые работают в Linux. Mirage не требует от программ каких-либо специфичных действий. Если приложение работает в ОС Linux - оно будет работать и в системе Mirage.

А как насчет поддержки Windows приложений?

Да, работа Windows программ возможна! Для этого не придется ничего докупать, нужно лишь установить на Вашем сервере бесплатный пакет WINE или аналогичный. С его помощью довольно просто запускать приложения, написанные под Windows. Что было с успехом подтверждено нашими специалистами.

Что делать, если не хватает производительности сервера?

Если работать в системе некомфортно, рекомендуется проверить следующее:

  1. Нужно проверить работоспособность сети, и убедиться, что пропускная способность достаточна для работы.
  2. Следует проверить лишние задачи на сервере. Не рекомендуется использовать Терминальный сервер для сторонних целей, поскольку это может отрицательно сказаться на его производительности.
  3. Если производительности все еще не достаточно - можно произвести upgrade сервера. Улучшить можно как объем оперативной памяти, так и процессор компьютера.
  4. Если предыдущие способы не помогли - можно увеличить число серверов. Система Mirage поддерживает работу нескольких серверов одновременно.

 

Как сделать централизованное хранение данных, если в системе несколько серверов?

Действительно, когда в системе работает несколько серверов, и у каждого - свое дисковое хранилище и своя файловая система, необходим способ, позволяющий создать единое централизованное дисковое пространство.

Такие технологии уже придуманы и широко используются. Это Кластерные Файловые Системы. Для Linux их разработано целое множество, однако все они имеют похожую архитектуру и отличаются лишь в деталях. Большая часть из них - бесплатна!

Система Mirage поддерживает работу с кластерными файловыми системами. Специалисты нашей компании уже проверили это, протестировав некоторые кластерные файловые системы.

Перечень популярных кластерных файловых систем для Linux можно увидеть в Ссылках.

Как защищена информация в системе Mirage?

В системе применяется несколько принципов (уровней) защиты.

  1. Пользователь обязан пройти авторизацию, прежде чем получит доступ в систему. Далеко не во всяких системах руководствуются такими же соображениями!
  2. Пользователю доступен только ограниченный набор приложений, который настраивается администратором системы. Это уменьшает возможность повлиять на работу других пользователей и повредить данные.
  3. Каждому пользователю доступна только своя, ограниченная файловая система. Он не может увидеть каталоги других пользователей или системные - он находится в замкнутом пространстве. А для обмена с другими пользователями выделены специальные каталоги, подключаемые ко всем пользователям.
  4. Пользователь видит данные на экране, может с ними работать, но никак не может скопировать данные через терминал и унести их с собой. Для таких действий ему необходимо подойти к серверу. Этот принцип позволяет защитить информацию даже от внутреннего злоумышленника. А по известным данным, в 80% процентов случаев вред исходит именно от внутренних злоумышленников!

Однако, следует отметить, что в системе Mirage нет криптографической защиты передаваемых по сети данных, между сервером и терминалом. Так сделано, чтобы достичь большей производительности. Кроме того, нет смысла встраивать в систему шифрование, если лучших результатов поможет добиться внешнее решение! Как и в случае с кластерными файловыми системами, мы рекомендуем применять бесплатные решения на базе SSH под Linux.

Наши специалисты уже убедились в надежности такого решения. Достаточно настроить зашифрованный туннель между сервером и терминалом, причем он будет создаваться автоматически при загрузке терминала. А в дальнейшем, весь обмен будет происходить через виртуальный интерфейс, который соответствует защищенному туннелю.

Можно ли подключить удаленный офис/терминал к системе?

Когда необходимо подключить удаленный офис к одной централизованной системе, мы рекомендуем использовать следующие решения.

  1. Если связь между офисами достаточно быстрая и надежная, можно установить в удаленном офисе отдельный терминальный сервер. И связать этот сервер с центральной системой через защищенный туннель SSH. Такой вариант позволит использовать в удаленном офисе сразу несколько терминалов. Кроме того, применение SSH поможет уменьшить трафик за счет механизма сжатия.
  2. Если же связь с удаленным офисом некачественная, или там используется немного терминалов, можно попробовать другое решение. Каждый терминал будет связываться с сервером в центральном офисе по отдельному защищенному туннелю SSH.

В обоих вариантах предлагается использовать SSH для шифрования и сжатия трафика. В любом случае можно создать единое информационное пространство, с единой политикой безопасности, общими учетными записями и централизованным хранением данных.



 
.
.
Дизайн
«Астра СТ» 		Все права принадлежат ЗАО «Астра СТ», 2003-2004.
Вверх страницы Версия для печати