Intranet: progettazione e capacity planning

Transcript

1 Intranet: progettazione e capacity planning 19/0 /05/0 G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 1

2 indice intranet per una redazione giornalistica architettura, principali componenti e funzioni svolte capacity planning di una intranet influenza hit rate http proxy sulle prestazioni case study 1 case study 2 G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 2

3 intranet per redazione giornalistica architettura principali componenti funzioni svolte G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 3

4 profilo aziendale l attività svolta è di tipo giornalistico (redazionale) l è una funzione strategica per l azienda serve per gestire il flusso di notizie e gli articoli realizzati dai collaboratori (in sede e fuori sede) i dipendenti devono avere ampie possibilità di collegamenti dall esterno ai servizi aziendali attività del sito web svolgere e-business vendendo gli articoli realizzati dai propri giornalisti (accessi liberi) fare da repository per gli articoli disponibili per realizzare giornali, riviste, rassegne stampa (accessi riservati ai dipendenti) sul sito FTP risiedono vecchi articoli, riviste e libri distribuiti free G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 4

5 esigenze aziendali (1) alcuni dipendenti autorizzati devono poter accedere dall esterno ai propri sistemi (tutti hanno indirizzi IP pubblici statici) anche con il controllo di una shell e alle proprie mailbox (sul mail server) da casa: con ADSL, possibilità di VPN (certificato rilasciato da un server privato) con IP statico, messo nella tabella del Firewall tra le connessioni accettate wifi: si collega col certificato rilasciato dall impresa su identificazione del sistema mobile ospiti: login e pwd su interfaccia web (richiesta da un interno) con scadenza di 7 giorni, funzionalità limitate G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 5

6 esigenze aziendali (2) garantire la continuità dei servizi (24x7) fornire il massimo livello di protezione contro virus ed altre problematiche di sicurezza permettere ai visitatori esterni (da Internet) l accesso libero ai server pubblici Web e FTP limitatezza economica G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 6

7 capacità oltre 1000 macchine (PC, laptop, server) i dipendenti sono 800 (200 interni e 600 esterni) dimensioni delle mailboxes: default 200 MB in base a verifiche fatte sulla propria utenza, si prevedono 1000 visitatori al giorno al sito Web funzionalità del sito Web: sistema di autenticazione, e-commerce di fotografie, brevi filmati, articoli, editoriali e gestione dei relativi database in base a verifiche fatte sulla propria utenza, si prevedono 400 visitatori al giorno al sito FTP funzionalità del sito FTP: download di articoli e documenti vari e mirror (Debian, Red Hat, Microsoft,...) che tutte le notti si collega e si aggiorna G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 7

8 architettura impianto application server privato db server privato file server privato ISDN dipendenti interni UPS Fast Ethernet 100 Mbps (PRIVATA)... Firewall Fast Ethernet 100 Mbps (PUBBLICA - DMZ) coll.seriale Mail gateway (SMTP) Mail server main collegamento SCSI Storage server condiviso Mail server hot standby fail over Web server pubblico FTP server pubblico G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 8

9 firewall (1) 3 homed (3 schede di rete) filtra gli accessi con Access Control List permette connessioni entranti su un insieme di porte preassegnate ai server dell azienda; i server hanno indirizzi IP pubblici permette l accesso ad alcune porte prefissate per svolgere le funzioni del server FTP (sia attivo sia passivo) Cisco 6500 Catalyst ( 30 KEuro) G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 9

10 firewall (2) filtraggio di tipo statefull: connection tracking (ad esempio, abilita in modo dinamico le connessioni sui dati FTP, tiene conto delle sequenze tra i pacchetti SYN, può autorizzare i pacchetti solo se la connessione è già stata stabilita, etc.) filtraggio di tipo stateless: esempio, apri le porte da 8000 a 8100 con UDP e solo in ingresso porta in ingresso sul Mail gateway accetta connessioni in ingresso su porte/macchine autorizzate G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 10

11 Mail gateway controlli in ingresso: ricezione, controlli antivirus e antispam, gestione blacklist (se gli indirizzi IP dei sender sono in una black list le relative mail possono essere rifiutate) controlli antivirus su mail in uscita backup per il mail server: quando il mail server è down tiene in coda per x giorni le mail in arrivo SMTP Simple Mail Transfer Protocol (protocollo standard di di Internet) server biprocessore, Gnu Linux ( 5KEuro) G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 11

12 Mail server (primario) gestione delle mailbox ( 800): memorizzazione su Storage server, inbox, folder, copie sent, deleted,... gestisce i protocolli di connessione IMAP, POP, con o senza SSL (per connessioni dall esterno è forzato) svolge le funzioni di LDAP server secondario (è una replica per motivi di back up, sicurezza, continuità servizio) ha un collegamento seriale diretto con un Mail server secondario (in hot standby) ed un collegamento parallelo con lo Storage server (condiviso con il Mail server secondario, un solo server accede per volta) è sulla rete interna perchè i dipendenti devono poter accedere dall esterno per il controllo delle mailbox server con Debian Linux ( 8KEuro) G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 12

13 collegamenti tra i Mail server seriale serve per conoscere lo stato dei due server e, in caso di guasto, per decidere quale sistema deve garantire il servizio (cioè montare il file system) è un sistema di comunicazione solido e indipendente dalle connessioni Ethernet (funziona anche se si verifica un crash sullo stack TCP/IP) è sufficientemente veloce ( 115Kbps) in relazione4 ai pochi dati scambiati SCSI connessione SCSI U160 (160 Mbps) serve per operare sullo Storage server condiviso è economico rispetto ad altri sistemi (SAN Storage Area Network, NAS Network Attached Storage) G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 13

14 Mail server (secondario) funziona in modalità fail over (hot standby): è sempre sincronizzato col primario, confronta il suo stato con quello del primario attraverso un collegamento seriale diretto (continuità del servizio) in ogni momento è in grado di prendere il controllo dello Storage server (in alternativa al Mail server primario) attraverso un collegamento SCSI gestisce i protocolli IMAP (porta 143), POP (porta 110) con o senza SSL (porte 995 e 993) svolge funzioni di LDAP (Lightweight Directory Access Protocol) server primario: assegnazione di nuovi account, gestione delle autorizzazioni, autenticazione degli account e delle pwd server con Debian Linux ( 8KEuro) G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 14

15 Storage server è costituito da dischi RAID (continuità del servizio e prestazioni elevate) sui quali vengono memorizzate tutte le mailbox dischi RAID livello 5: 6 da 73 GB l uno, lo spazio utile per i dati è 355 GB poichè l equivalente di un disco viene utilizzato per i dati ridondanti è condiviso tra i due Mail server entrambi collegati con connessione SCSI (in ogni momento possono prendere il controllo del server uno o l altro) è uno Storage JBOD Dell ( 8KEuro) e può avere sino a 8 dischi, per una capacità totale di oltre 1 TB G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 15

16 Web server svolge le funzioni di repository per articoli, news, documenti, libri che vengono venduti con tecniche di e- business (parte pubblica) contiene una parte privata (con accessi limitati ai dipendenti) sulla quale vengono memorizzati articoli ed altro materiale che viene utilizzato dalla redazione per la realizzazione di giornali, riviste e libri dell azienda permette anche l accesso ai dipendenti tramite shell con l utilizzo di ssh (parte privata) supporta php, servlet, JSP, e i database mysql, Postgresql, Oracle con JDBC/ODBC è un server Apache 1.3 con Gnu Linux ( 6KEuro) G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 16

17 FTP server (nella DMZ) svolge le funzioni di repository per articoli, news, documenti, libri che vengono distribuiti free (parte pubblica) ha anche una parte privata (con accessi limitati ai dipendenti) gestita con SFTP (secure FTP) ha una grossa quantità storage su disco in quanto svolge anche la funzioni di mirror per i siti più richiesti ospita anche le shell degli utenti server con Gnu Linux ( 10 KEuro) e può avere sino a 1.8 TB (attualmente ha 5 dischi da 73 GB) G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 17

18 UPS server serve per garantire la continuità del servizio a fronte di brevi cadute della rete elettrica è in grado di alimentare tutte le apparecchiature per 30 minuti, oltre tale periodo effettua lo shutdown clean delle macchine per motivi di continuità del servizio sono stati duplicati tutti i cavi elettrici che connettono l UPS con le apparecchiature segnali mandati da UPS ai vari sistemi per il monitoraggio del loro stato (trap SNMP) costa 4KEuro ed ha 10KVA di potenza G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 18

19 rete e evoluzioni infrastruttura di rete Fast Ethernet a 100 Mbps la connessione con Internet è a 70 Mbps 15 canali ISDN (30 linee) (1/2 primario, che ha 30 canali) per connessioni esterne (controlli di sicurezza con login e callback dal sistema) ( 20KEuro) evoluzioni per motivi di efficienza e di sicurezza, suddividere fisicamente la intranet in due parti (una pubblica ed una privata) installando un secondo firewall realizzare delle VPN G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 19

20 capacity planning di una intranet influenza hit rate http proxy sulle prestazioni G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 20

21 architettura Internet WWW server FTP server mail server news server LAN pubblica (DMZ) router interno router esterno printer server Domain Name Server HTTP proxy FTP proxy telnet proxy DBMS server LAN privata WWW server PC client interno PC client interno workstation G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 21

22 parametri Nome del componente Internet LAN Esterna LAN Interna HTTP Proxy Web Interno Descrizione E la grande rete, comprensiva di tutti i siti Web raggiungibili da un generico utente. E il backbone di rete che implementa la DMZ. Abbiamo scelto una Ethernet a 10 Mbps. E il backbone di rete aziendale al quale sono connesse tutte le stazioni server e client dell impresa. Anche qui, abbiamo scelto una Ethernet a 10 Mbps. E il calcolatore che fa da application gateway per il protocollo HTTP. Qui vengono memorizzate le pagine HTML. E il sito Web dell azienda accessibile solo dagli utenti interni all azienda stessa. Nome della classe Nome simbolico Descrizione RICH Richiesta HTTP di una pagina HTML Una richiesta è un pacchetto di 1500 byte PAGE Pagina HTML risultato di una richiesta HTTP Una pagina è un frame di 150 Kbyte NEWPAGE Pagina HTML acquisita dal sistema tramite un accesso ad Internet Una pagina è un frame di 150 Kbyte G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 22

23 modello del flusso del traffico HTTP G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 23

24 parametri esperimento 1 Nome grandezza Valori Commenti Numero di Client da 1 a 146 step 5 Questo è l unico parametro variabile nell esperimento Think time dei Client 50 sec. Distribuzione esponenziale Percentuale di accessi al 33% Web Interno sul totale Tempo di servizio del Web Interno 1 sec. Il Web Interno elabora solo job di classe RICH Hit Rate dell HTTP Proxy 5%, 50% ed 80% Ad ogni valore corrisponde una distinta esec. della simulazione Tempo di servizio HTTP 1 sec. Per job di classe RICH Proxy 1 sec. Per job di classe PAGE Tempo di servizio della sec. Per job di classe RICH LAN Interna e della LAN Esterna 0.12 sec. Per job di classe PAGE Tempo di delay per Internet 40 sec. Coeff. Variaz. = 10 Distribuzione iperesponenziale G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 24

25 parametri esperimento 2 Nome grandezza Valori Commenti Numero di Client 80, 120 e 145 Ad ogni valore corrisponde una distinta esec. della simulazione Think time dei Client 50 sec. Distribuzione esponenziale Percentuale di accessi al 33% Web Interno sul totale Tempo di servizio del Web Interno 1 sec. Il Web Interno elabora solo job di classe RICH Hit Rate dell HTTP Proxy da 14% a 60% Questo è l unico parametro variabile nel sistema Tempo di servizio HTTP 1 sec. Per job di classe RICH proxy 1 sec. Per job di classe PAGE Tempo di servizio della sec. Per job di classe RICH LAN Interna e della LAN Esterna 0.12 sec. Per job di classe PAGE Tempo di delay per Internet 40 sec. Coeff. Variaz. = 10 Distribuzione iperesponenziale G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 25

26 esp.1, utilizzi: : hit rate 5% http proxy web interno G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 26

27 esp.1, utilizzi: : hit rate 50% http proxy web interno G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 27

28 esp.1, utilizzi: : hit rate 80% http proxy web interno G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 28

29 esp.1, num. client: hit rate 5% internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 29

30 esp.1, num. client: hit rate 50% http proxy internet G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 30

31 esp.1, num. client: hit rate 80% http proxy internet G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 31

32 esp.1, tempi di risposta: : hit rate 5% internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 32

33 esp.1, tempi di risposta: : hit rate 50% internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 33

34 esp.1, tempi di risposta: : hit rate 80% internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 34

35 esp.2, utilizzi: : 80 client http proxy web interno G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 35

36 esp.2, utilizzi: : 120 client http proxy web interno G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 36

37 esp.2, utilizzi: : 145 client http proxy web interno G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 37

38 esp.2, num. client: 80 client internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 38

39 esp.2, num. client: 120 client internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 39

40 esp.2, num. client: 145 client http proxy internet G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 40

41 esp.2, tempi di risposta: : 80 client internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 41

42 esp.2, tempi di risposta: : 120 client internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 42

43 esp.2, tempi di risposta: : 145 client internet http proxy G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 43

44 esp.1, tempi di risposta aggregati: : hit rate 5% ric.esterna no cache ric.esterna con cache G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 44

45 esp.1, tempi risposta aggregati: : hit rate 50% ric.esterna no cache ric.esterna con cache G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 45

46 esp.1, tempi risposta aggregati: : hit rate 80% ric.esterna no cache ric.esterna con cache G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 46

47 esp.2, tempi risposta aggregati: : 80 client ric.esterna no cache ric.esterna con cache G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 47

48 esp.2, tempi risposta aggregati: : 120 client ric.esterna no cache ric.esterna con cache G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 48

49 esp.2, tempi risposta aggregati: : 145 client ric.esterna no cache ric.esterna con cache G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 49