Взаимосвязи между пользователями, приложениями и устройствами все усложняются. Чем здесь способны помочь ориентированные на каталог сетевые технологии?
Когда-нибудь у вас возникало желание иметь глобальную систему позиционирования для своей сети? Эта цель едва ли реалистична, но ориентированные на каталог сетевые технологии являются шагом в соответствующем направлении.
Ориентированные на каталог сети имеют разный смысл для разных людей. В соответствии с общим определением этот термин означает активное использование каталогов для управления взаимосвязями между ресурсами, в том числе между устройствами, приложениями, сервисами и пользователями. Такая функциональность требуется как при внутрисетевых (Intranet), так и во внесетевых (Extranet) взаимоотношениях между организациями и их заказчиками и партнерами. Концепция ориентированных на каталог сетей подразумевает обычно наличие метакаталога, объединяющего множество каталогов в целях упрощения управления и повышения гибкости.
Ориентированные на каталог сети резко контрастируют с традиционной специализированной моделью, когда каталог поддерживает одно-единственное приложение. Основной акцент в ориентированных на каталог сетях делается на такие возможности, как управление с помощью правил и качество обслуживания (Quality of Service, QoS), о чем мы поговорим позже.
Важно помнить, что ориентированные на каталог сети — это не то же самое, что инициатива с тождественным названием Directory Enabled-Networking (DEN) Рабочей группы по распределенному управлению (Distributed Management Task Force, DMTF, ранее Desktop Management Task Force). По сути, цель DEN состоит в создании общего метода описания и связывания данных каталога.
В этой статье акроним DEN будет относиться к спецификации, а термин «ориентированные на каталог сетевые технологии» будет описывать более широкую концепцию исчерпывающей полнофункциональной корпоративной службы каталогов (включая метакаталоги).
ГЛАВНЫЕ ПРИНЦИПЫ
Цель ориентированных на каталог сетевых технологий состоит в создании общего интерфейса управления для всех ресурсов на предприятии, включая приложения, системы, сервисы и пользователей. Кроме того, служба каталогов должна простираться за границы предприятия для обеспечения взаимодействия с партнерами и заказчиками в рамках Extranet и остальными пользователями через Internet. (Информация об относящихся к Internet аспектах технологии каталогов приводится в статье «Каталоги и Internet» в октябрьском номере LAN за 1999 год.) Один из наиболее привлекательных аспектов ориентированных на каталог сетей состоит в упрощении задач администрирования и управления за счет консолидации множества каталогов.
По определению Burton Group (http://www.tbg.com), службы каталогов общего назначения «обеспечивают простой способ именования, нахождения, доступа и защиты ресурсов в пространстве и времени». Эти службы должны также обладать возможностью интеграции и упорядочивания взаимоотношений между разнообразными ресурсами, а также объектами, т. е. элементами, представляющими сетевые ресурсы.
Хотя действительно ориентированные на каталог сети еще не получили широкого распространения, главными претендентами на эту технологию являются приложения для организации белых и желтых страниц, электронная коммерция и защита, электронная почта и обмен сообщениями, управление сетями и системами и сетевые технологии на базе правил. Если приложения для создания желтых страниц не представляют собой нечто новое, то в некоторых из остальных упомянутых областей первые пропоненты еще только нащупывают путь. Например, по словам Дэвида Косьера, аналитика из Burton Group, финансовый и аэрокосмический рынки пытаются внедрить метакаталоги для реализации таких функций и приложений, как однократная регистрация и электронная почта.
Для поддержки таких приложений службы каталогов должны будут превосходить по своим возможностям X.500 и LDAP. (Более подробно о X.500 и LDAP можно прочитать в статье «Службы каталогов: в единстве — сила» из октябрьского номера LAN за 1999 год.) X.500 чересчур громоздок для многих приложений, а LDAP не обеспечивает необходимого оповещения о событиях, соглашений об именовании и схемы каталога (схема определяет объекты и атрибуты объектов).
Ожидаемые расширения LDAP, в том числе разрабатываемые рабочей группой IETF по протоколу дублирования/тиражирования/обновления LDAP (LDAP Duplication/Replication/Update Protocol, LDUP), весьма перспективны. Однако, скорее всего, истинные ориентированные на каталог сети будут опираться на иные решения.
АРХИТЕКТУРА КАТАЛОГА
Полностью поддерживающий множество корпоративных приложений каталог должен иметь такие характеристики, как развитые функции именования и определения местонахождения, мощные механизмы администрирования и управления и изощренные средства защиты.
Установление стандартизованных соглашений об именовании имеет решающее значение. В этом контексте иерархическое пространство имен абсолютно необходимо. В частности, оно позволяет ввести свойство наследования, в результате чего изменения в элементе информационного дерева каталога (Directory Information Tree) автоматически распространяются на подчиненные элементы в каталоге.
Конфигурация пространства имен должна удовлетворять ограничениям, налагаемым DNS и DHCP. Поэтому все больше и больше нестандартных служб каталогов, метакаталогов и собственных корпоративных каталогов включает поддержку сервисов управления IP-адресами.
Другая обязательная черта — тиражирование между несколькими главными копиями, когда изменения могут вноситься в любую реплику или копию базы данных с последующим распространением на другие серверы. В случае же схемы тиражирования с одной главной копией все изменения могут вноситься только на главном сервере.
Один из недостатков тиражирования с несколькими главными копиями состоит в том, что оно очень требовательно к ресурсам и может привести к проблемам с производительностью, в частности с задержкой. Фактор производительности требует серьезного анализа, в особенности если доступ к службе каталогов будет осуществляться по глобальной сети, тем более что это происходит все чаще.
Для организаций с крупномасштабными реализациями распределенная база данных может оказаться эффективным способом достижения масштабируемости. При такой схеме каталог разбивается на разделы и распределяется между серверами. Это позволяет повысить производительность серверов и снизить трафик через сеть.
Одна из архитектурных задач при создании каталога — обеспечить независимость пользователя от его местонахождения. В стремлении достичь этой цели разработчик должен соблюдать баланс между такими преимуществами, как эффективность поиска по базе данных каталога, и такими последствиями, как ухудшение производительности.
ВХОЖДЕНИЕ В ПОЛИТИКУ
С хорошо продуманной инфраструктурой каталог может служить платформой для управления с помощью правил, хотя данная технология пока еще недостаточно развита. В теории администраторы сетей должны получить возможность предоставлять различные уровни сервиса разным пользователям или приложениям. Применение же для этих целей каталога должно позволить повысить общее качество обслуживания, более эффективно использовать такие ресурсы, как пропускная способность, и обеспечить равномерное распределение нагрузки.
Для того чтобы данный подход имел успех, приложения должны иметь возможность использовать каталог для быстрого определения местонахождения ресурсов и без труда получать доступ к информации о них. Что касается сетевых устройств, каталог должен содержать определения объектов, где бы указывались атрибуты таких систем, как коммутаторы и маршрутизаторы, а также настольных ПК.
Управление с помощью правил — главная цель инициативы DEN. Однако, несмотря на потенциальные преимущества, реализация и обслуживание сетевой среды на базе правил — далеко не простая задача. Например, если серверы правил не синхронизированы и конфигурация сетевых устройств не обновляется при изменении правил, то ценность этого подхода оказывается в значительной мере снижена.
Самм ДиСтазио, директор по маркетингу в Novell Directory Services, указывает на недостатки имеющихся предложений по управлению как на еще одно требующее устранения препятствие. «Большинство продуктов для управления предприятием и сетями не задействует службу каталогов, — объясняет ДиСтазио. — А в этой важной области использование службы каталогов могло бы серьезно изменить правила игры».
Корпоративные разногласия между отделами и департаментами внутри организации воздвигают еще одно препятствие на пути реализации управления на базе правил, по словам Тома Нолле, президента CIMI Corporation (http://www.cimicorp.com). «Если вы соберете группу людей в одной комнате и попросите всех, кто считает свою роль «незначительной», поднять руки, то вряд ли вы увидите лес рук, — говорит Нолле. — Приоритет не имеет смысла, когда его получают все». Выяснение, какие пользователи или приложения будут пользоваться приоритетом, окажется, вероятно, болезненным процессом.
Самая тщательно продуманная сеть на базе каталогов в мире будет бесполезна без эффективной инфраструктуры защиты.
В случае каталога две основные проблемы в области защиты представляют идентификация и авторизация. Священным идеалом идентификации является однократная регистрация, когда, зарегистрировавшись однажды, пользователь получает доступ ко всем ресурсам, на которые он имеет права. Крупным шагом на пути к этой цели стало появление инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI), включающей цифровые сертификаты и пары открытых/личных ключей. Чтобы удовлетворить все более жестким требованиям к защите, каталоги должны хранить и эффективно распространять цифровые сертификаты и ключи. С популяризацией таких схем, как сертификаты X.509, поддержка каталогом разнообразных компонентов защиты приобретает важнейшее значение.
В области авторизации развитые службы каталогов предлагают альтернативу простым функциям хранения списков контроля доступа. Для эффективной реализации ориентированных на него сетей каталог должен предусматривать возможность своего пополнения определениями и атрибутами объектов, обеспечивающими доступ к конкретным ресурсам.
Примером использования каталога для целей защиты и управления с помощью правил может служить программное обеспечение SecureWay FirstSecure компании IBM. Одним из компонентов SecureWay является система на базе каталога Policy Director, в которой правила для механизмов защиты (таких, как антивирусное программное обеспечение и системы обнаружения атак) интегрированы с реализующим эти правила программным обеспечением. Например, при обнаружении атаки или вируса Policy Director может отреагировать изменением предоставляемого сервиса для этого конкретного узла.
РОЛЬ МЕТАКАТАЛОГА
Потенциально метакаталог должен позволить сократить число поддерживаемых организацией каталогов и упростить обеспечение QoS и управление с помощью правил. Однако не все так гладко.
В теории консолидация на предприятии множества каталогов и подкаталогов в одном метакаталоге должна дать такие преимущества, как снижение стоимости владения, интероперабельность каталогов, сокращение времени администрирования, ослабление требований к управлению.
Метакаталог объединяет отдельные каталоги и интегрирует разнородные данные из нескольких хранилищ в целях единообразного представления всех ресурсов. Администратор сети имеет возможность внести изменения в один каталог, после чего они будут автоматически растиражированы по всем каталогам на предприятии. Для обеспечения целостности данных метакаталог должен обеспечивать жесткую синхронизацию каталогов и поддержку нескольких пространств имен.
В некоторых случаях метакаталог хранит указатели на информацию в различных базах данных, а не сами данные. Это иллюстрирует важность обеспечения метакаталогом баланса между централизованным и распределенным контролем ресурсов.
Вовсе не обязательно, что метакаталог будет заменять собой все каталоги. Организация может реализовать метакаталог для унификации каталогов для части приложений, в то время как остальные будут продолжать иметь каждое свой каталог.
Решение о переходе к метакаталогу следует тщательно обдумать. Важно определить, сколько времени, денег и усилий потребуется для обеспечения адекватной интеграции множества каталогов. Выяснение того, как эффективно консолидировать множество каталогов, влечет за собой обширный анализ, впрочем, как и определение того, как обслуживать каталог после его реализации.
НА ЧТО СПОСОБНА DEN?
Чтобы лучше понять потенциал ориентированных на каталог сетевых технологий, мы поближе познакомимся со спецификацией DEN. Она начала разрабатываться Microsoft и Cisco Systems в 1997 году и позднее была передана в DMTF. Спецификация должна стать частью стандарта на общую информационную модель (Common Information Model, CIM) — более широкой схемы, цель которой состоит в определении однотипного управления элементами предприятия.
По информации DMTF, инициатива DEN нацелена на «разработку стандартной и расширяемой схемы каталога в качестве базиса для гетерогенных сетей и для предоставления совместимых услуг каталога». Как утверждается, «спецификация DEN позволит приложениям прозрачным образом использовать возможности сетевой инфраструктуры от имени пользователей, предоставлять сквозные услуги и поддерживать создание, предоставление и управление распределенными услугами в масштабах всей сети».
Уинстон Бампас, президент DMTF и директор по открытым стандартам и технологиям в Novell, заявляет: «Главная задача DEN, помимо возможности управления конфигурацией устройств, — это реализация качества обслуживания и управления устройствами с помощью правил. Это всегда было конечной целью инициативы DEN».
Насколько близка DEN к достижению поставленной цели? Большая часть физической схемы DEN, на базе подробных моделей объектов, была включена в CIM, и DMTF завершает работу над логической частью схемы.
Питер Хьюстон, менеджер по продуктам Active Directory в Microsoft, подчеркивает важность возможности расширения стандарта для достижения целей ориентированных на каталог сетевых технологий. Например, помимо определения информационных моделей для представления физических устройств стандарт должен описывать общий метод хранения информации в этих моделях, чтобы инструментарий администратора мог эффективно функционировать в сетях с устройствами от разных производителей.
«Реализация обещаний DEN займет еще три—пять лет» — дает он свой прогноз. Помимо достижения таких целей, как управление с помощью правил и совместимость, еще одна цель состоит в том, чтобы приложения могли в динамическом режиме сообщать сети свои требования. Это позволило бы повысить производительность сети и более эффективно распоряжаться ресурсами.
ЗАТОЧКА ИНСТРУМЕНТА
Немаловажным фактором для реализации потенциала ориентированных на каталог сетевых технологий является инструментарий для их поддержки. Такие продукты появляются, но ни один из них пока не может претендовать на роль универсального решения, поэтому функциональность имеющихся предложений должна быть расширена для того, чтобы они могли предоставлять обещанные полномасштабные ориентированные на каталог сетевые услуги.
Наиболее известными из решений в области корпоративных каталогов являются Novell Directory Services (NDS), Netscape Directory Server и ожидаемый Microsoft Active Directory.
Встроенная поддержка LDAP, тиражирование с несколькими главными копиями, распределенная база данных и иерархическое пространство имен — все это служит хорошей иллюстрацией расширенной функциональности NDS 8. Кроме того, NDS-совместимые приложения, такие, как BorderManager и Z.E.N.works (где NDS используется для управления настольными системами), укрепили положение службы каталогов как опорной технологии для достижения более высоких целей.
NDS 8 также поддерживает Active Directory Services Interface (ADSI) компании Microsoft — интерфейс, для которого независимые разработчики могут писать приложения и инструментарий, подключаемый к Active Directory. Кроме того, NDS 8 поддерживает Java Naming and Directory Interface (JNDI) — инструментарий для составления приложений на Java, способных обращаться к разным службам каталогов и стандартам именования. Однако Novell предстоит серьезная задача — погасить импульс, который Active Directory автоматически получит после выхода в свет Windows 2000.
Directory Server от Netscape ориентируется на LDAP. Самая последняя его итерация, версия 4.0, имеет расширенную масштабируемость, улучшенное администрирование через Netscape Console, упрощающее настройку индексов в каталоге, а также развитые средства тиражирования. Предназначенный для приложений Extranet и электронной коммерции, Directory Server 4.0 включает также поддержку PKI. Другая особенность — расширение PerlDAP для создания интегрированных сценариев для унаследованных приложений. Среди недостатков — поддержка модели тиражирования с одной главной копией.
По всей видимости, Active Directory удастся преодолеть некоторые из ограничений доменов Windows NT 4.0, и прежде всего плоскую структуру пространства имен. Кроме того, по всем признакам, продукт будет иметь улучшенные возможности тиражирования. Однако обратная совместимость может оказаться проблематичной, так же как и ограниченная поддержка других платформ.
ПОВЫШАЯ СТАВКИ
Производители оборудования объявили о своих шагах по поддержке сетей на базе правил с применением служб каталогов. Nortel Networks приобрела лицензию на NDS для поставки ее в пакете со своим комплектом Optivity Policy Services, а Lucent Technologies заявила о включении NDS в свой Cajun P550.
Cisco продемонстрировала свою приверженность Active Directory: компания намерена сделать ее своей базовой службой каталогов. Однако в то же время Cisco заявила, что ее продукты CiscoAssure Policy Networking будут поддерживать NDS.
Fore Systems (http://www.fore.com) утверждает, что ее Extensible Directory Service Agent (EDSA) будет взаимодействовать с LDAP-совместимыми каталогами, а также NDS, Directory Services и Active Directory. Агент будет передавать в каталог такую информацию, как состояние коммутатора и правила для приложений.
Аналогичные заявления о поддержке служб каталогов сделали такие производители оборудования, как Foundry Networks, Cabletron, Extreme Networks, 3Com и Xylan.
Продукты появляются и на рынке метакаталогов, хотя каждое из этих предложений необходимо оценивать применительно к конкретной задаче, чтобы понять, в какой мере их возможности можно квалифицировать как метакаталог.
Via от Zoomit, MetaConnect от Isocor, Global Directory/Meta Edition от Control Data Systems, ожидаемый Meta-Directory от Netscape и DirXmetahub от Unisphere Solutions (новое подразделение Siemens) — вот только несколько предложений с функциональностью метакаталога. Метакаталог должен обладать такими функциями, как объединение каталогов, надежное тиражирование и фильтрация. Последняя нужна для того, чтобы администраторы сетей могли избирательно импортировать и экспортировать содержимое подключенного каталога в зависимости от объектов и/или каталогов.
Рынок предлагает также множество специализированных продуктов, таких, как инструментарий для синхронизации, коннекторы (они обеспечивают связь между метакаталогом и отдельными каталогами) и средства управления. Среди них X.500 Connector от Innosoft, Synchronicity от NetVision и Corporate Services Automation (CSA) от Oblix.
МАЛ-ПОМАЛУ
Основную озабоченность при переходе к ориентированным на каталог сетям вызывает стоимость их реализации. В отчете, озаглавленном «Корпоративный каталог с точки зрения стоимости», Burton Group дает исчерпывающий анализ затрат, связанных с реализацией технологий на базе каталогов, а также потенциальных выгод и подводных камней.
Внедрение полномасштабного решения для каталога обойдется далеко не дешево. По данным отчета, начальные затраты для организаций из числа Global 1000 составят в 1-2 млн долларов. Они включают стоимость аппаратного и программного обеспечения, найм сотрудников для его реализации и расходы на разработку конфигурации каталога, чтобы он мог поддерживать интеграцию каталогов (через метакаталог), а также приложения для создания белых и желтых страниц.
Созданная Burton Group стоимостная модель внедрения показывает, что за счет интеграции или замены 15—30 отдельных или несвязанных каталогов крупная организация получит за пятилетний период отдачу от инвестиций, в пять раз превышающую необходимые текущие расходы.
| Численность пользователей | 25 000 |
| Текучка кадров | 20% |
| Ежегодные расходы на администрирование | 80 000 долларов |
| Количество человеко-часов в год на администрирование | 1920 |
| Число каталогов | 7 |
| Среднее время внесения изменений | 15 минут |
Как следует из Таблицы 2, стоимость дублирования усилий составляет 312 500 долларов, в то время как стоимость обслуживания каталога оценивается в 52 083 доллара (такая экономия, по утверждению Burton Group, может быть достигнута с помощью интегрированного подхода, например, на базе метакаталога).
Этот пример иллюстрирует только некоторые важные концепции, реальные же результаты могут быть иными, впрочем, как и стоимость реализации.
Кроме того, компании придется учитывать такие факторы, как число имеющихся в сети каталогов и приложений; количество пользователей и типы приложений, с которыми они работают, а также то, что вы надеетесь получить за счет перехода к консолидированной инфраструктуре. Прежде чем объединять каталоги, вам необходимо обеспечить правильность и непротиворечивость содержащихся в них данных — а этот процесс может занять чрезвычайно много времени.
| Количество требующих внесения изменений событий | 5000 |
| Количество производимых изменений в каталогах | 35 000 |
| Стоимость рабочего часа администратора | 42 доллара |
| Стоимость внесения одного изменения | 10 долларов |
| Общая стоимость внесения изменений | 364 583 долларов |
| Стоимость дублирования усилий | 312 500 долларов |
| Стоимость с интегрированным решением | 52 083 долларов |
По убеждению Нолле, если вы ответите отрицательно на два из этих вопросов, то реализация ориентированных на каталог сетевых технологий породит больше проблем, чем решит вопросов. Если же вы ответите отрицательно на все три вопроса, то «практически определенно» браться за эту затею не следует.
«Весьма вероятно, что для большинства пользователей наиболее привлекательной чертой ориентированных на каталог сетей будет контроль за производительностью приложений посредством управления сетевыми ресурсами», — считает Нолле.
ОБРАТНЫЙ ОТСЧЕТ?
С ориентированными на каталог сетями еще многое не ясно. Многие предназначенные для поддержки этой технологии стандарты находятся пока в стадии разработки, а реальная интероперабельность между каталогами с точки зрения поддержки протоколов пока не достигнута.
Так сколько еще времени потребуется на то, чтобы эта технология стала реальностью? «Я ожидаю взрывообразный рост числа ориентированных на использование каталогов узлов в ближайшие два-три года», — заявляет ДиСтазио из Novell.
«DEN и управление с помощью правил находятся еще на самых ранних стадиях своего развития, — считает Косьер из Burton Group. — Значительные реализации продуктов, где каталоги используются в целях управления с помощью правил, появятся не раньше следующего года, и это в лучшем случае».
Учитывая сложность развертывания полнофункциональных ориентированных на каталог сетей и серьезность задачи преодоления потенциальных внутрикорпоративных разногласий, только чрезвычайная необходимость может заставить организацию решиться на столь радикальный шаг. Несмотря на обещанные преимущества, широкое распространение технологии будет в конечном итоге зависеть от того, сколько времени займет перерастание потребностей потенциальных пользователей возможностей существующей инфраструктуры каталогов.
Элизабет Кларк — исполнительный редактор Network Magazine. С ней можно связаться по адресу: eclark@mfi.com.