10 metod na wirtualizację trudnych usług

Niektóre serwery wymagają więcej uwagi przy migracji do środowiska wirtualnego. Przedstawiamy najlepsze metody, które zapewnią sukces wirtualizacji w środowiskach z kontrolerami Active Directory.

Osiągnięcia w dziedzinie sprzętu i hypervisorów sprawiły, że usługi, aplikacje, a nawet obszerne bazy danych można przenosić na maszyny wirtualne. Nadal pojawiają się jednak pytania związane z wirtualizowaniem usługi tak istotnej dla pracy firmowego IT, jak kontrolery Active Directory. Przy migracji do środowiska wirtualnego można popełnić wiele błędów, sporo z nich skutkuje przestojami w pracy lub nawet utratą danych.

Zapewnić wysoką dostępność maszyny wirtualnej

Kontrolery domen Active Directory dysponują rzadko spotykaną w aplikacjach bazodanowych replikacją multimaster, dzięki czemu sama domena jest niezawodna. Zapewnienie wysokiej dostępności dla najważniejszego z systemów - uwierzytelnienia - było niezbędne, by wdrożyć domenę Windows w środowisku firmowym. Skutkiem wielopunktowej replikacji oraz przyjętych założeń konstrukcyjnych jest konieczność wyłączenia pamięci podręcznej zapisu na woluminach, na których składowana jest baza i dziennik, co zapewnia integralność bazy na wypadek awarii serwera. Mimo takich zabezpieczeń należy zapewnić wysoką dostępność maszyny wirtualnej zawierającej kontroler domeny. Klastrowanie hostów wirtualnych powoduje, że w przypadku wystąpienia problemów maszynę wirtualną można sprawnie przełączyć na nowego hosta, umożliwiając szybkie przywrócenie dostępności danego kontrolera. Wirtualizowanie kontrolera domeny bez wysokiej dostępności na poziomie maszyny wirtualnej jest poważnym błędem.

Zobacz również:

Nie robić migawek, nie wstrzymywać maszyn

Środowisko wirtualizacyjne umożliwia np. wstrzymanie stanu serwera, a także wykonanie kopii migawkowych dysków serwera i klonowanie maszyny wirtualnej. Nie należy jednak z tych opcji korzystać przy wirtualizowanym kontrolerze domeny. Przywrócenie wcześniejszej kopii migawkowej kontrolera powoduje cofnięcie serwera oraz jego bazy danych w czasie. Do tego zjawiska replikacja multimaster nie była projektowana. Mogą zatem pojawić się uszkodzenia bazy danych, wycofania numerów USN i problemy z replikacją. To samo może się zdarzyć w przypadku wstrzymania maszyny na zbyt długi czas. Jedynym wyjątkiem, który uzasadnia wstrzymywanie maszyny wirtualnej, jest stosowanie oprogramowania do backupu, które potrafi "wyciszyć" system operacyjny i aplikacje przed wstrzymaniem maszyny.

Z kolei klonowanie dysków sprawia inne problemy - gdy kontroler domeny wykryje zmianę swojego podpisu dysku (co może się zdarzyć przy klonowaniua), wyklucza się z replikacji multimaster. Kontroler ten pozornie działa, ale inne kontrolery nie uwzględniają go już w replikacji, dlatego powstają różnice zawartości między kontrolerami. Użytkownicy, których konta zostały usunięte, mogą się wtedy wciąż zalogować, a nowe konta będą miały problemy z dostępem. Dlatego maszyn z kontrolerem domeny nie wolno klonować.

Dobry backup

Koncentrowanie się jedynie na wykonywaniu kopii bezpieczeństwa środowisk wirtualnych jest błędem, gdyż priorytetem musi być możliwość odtworzenia backupu, gdy będzie potrzebny. Niezbędne są narzędzia, które nie tylko wykonają kopię, ale także sprawdzą jej integralność.

Kolejnym kryterium jest możliwość kopiowania i odtwarzania kontrolerów domeny od zera aż do struktury Active Directory. Dobre oprogramowanie będzie mogło odtworzyć zarówno pojedynczy obiekt, jak i cały las. Takich możliwości nie zapewniają wbudowane narzędzia firmy Microsoft, są one nieprzyjazne w obsłudze, a przywracanie całych kontrolerów domen to wieloetapowy proces, obarczony sporym ryzykiem błędu.

Należy szukać rozwiązań, które umożliwią przywrócenie stanu wybranego obiektu, serwera lub lasu z dowolnej chwili, zależnie od firmowych wymogów.

Wszędzie ta sama godzina

Do poprawnej pracy domeny AD niezbędna jest synchronizacja zegarów w systemach operacyjnych. Przy pracy na sprawnych serwerach fizycznych nie nastręcza ona problemów, ale w środowiskach wirtualizowanych niekiedy pojawia się dryf zegara spowodowany nieregularnym nadzorem ze strony hypervisora nad maszynami wirtualnymi. Problem można wyeliminować przy użyciu narzędzi platformy wirtualnej lub przez synchronizację z zewnętrznym źródłem czasu. Należy wybrać jedną z tych metod i używać jej do każdego wirtualnego kontrola domeny wdrażanego w firmie oraz śledzić uważnie zegary kontrolerów. Jest to konieczne, gdyż dryf zegara o pięć minut sprawi, że kontrolery domen nie będą mogły obsługiwać żądań klientów.

Zasoby według potrzeb

Instalacja kontrolera domeny w środowisku wirtualizowanym powinna uwzględniać rzeczywiste potrzeby sprzętowe. O ile przy fizycznym serwerze zasada dwóch rdzeni i 4 GB pamięci RAM ma sens, o tyle przy wirtualizacji należy wziąć pod uwagę fakt, że przydzielenie nadmiernie dużych zasobów wymaga obsługi ze strony hosta. Maszyny, którym przydzielono zbyt dużo pamięci RAM i zasobów procesora, utrudniają równoważenie obciążenia pracującego klastra wirtualizacyjnego. Trzeba także uwzględnić działanie opcji nadprzydziału zasobów (overcommit), z której niekiedy korzysta się w dzisiejszych hypervisorach.

Koligacje między maszynami

Maszyny wirtualne stale przemieszczają się w obrębie środowiska wirtualnego, gdyż właśnie w ten sposób realizuje się równoważenie obciążenia serwerów fizycznych. Przy wirtualizacji kontrolerów domeny pojawia się ryzyko związane z tym, że dwa kontrolery znajdą się na tym samym hoście fizycznym. Tego należy bezwzględnie unikać. Każde środowisko wirtualizacji klasy enterprise ma tzw. reguły koligacji (affinity rules), które określają zależności między położeniem maszyn wirtualnych. Dzięki nim administrator może wykluczyć przypadek, by oba kontrolery domeny znalazły się na tym samym hoście - tę opcję należy bezwzględnie ustawić. Separacja kontrolerów zapewnia odporność na awarie - utrata hosta nie spowoduje wyłączenia tak krytycznej usługi, jaką jest Active Directory.

Pamięć masowa może być wąskim gardłem

Obecnie głównym powodem spadku wydajności jest pamięć masowa - przeciążenie łączy SAN, rywalizacja o zasoby lub niewłaściwa konfiguracja macierzy dyskowej skutkuje problemami z pracą maszyn wirtualnych. Należy kontrolować obciążenie podsystemu składowania danych, gdyż przy wirtualizacji wszystkie odwołania do dysków ze wszystkich maszyn wirtualnych na jednym hoście komasowane są w jednym logicznym połączeniu. Jeśli będzie przeciążone, nie można liczyć na maksymalną wydajność aplikacji. Kontrolery domeny nie mają szczególnych wymagań odnośnie do wydajności systemu dyskowego, ale mogą odczuć obecność innych maszyn wirtualnych wysycających łącze SAN.

Odseparować ruch administracyjny

Wyłączenie maszyny wirtualnej odpowiada wyłączeniu fizycznego serwera przy pracy bezpośrednio na sprzęcie - usługa przestaje być dostępna. Wszelkie operacje związane ze startem lub wyłączeniem maszyn zawierających kontrolery domeny muszą się odbywać w połączeniu, które nie przechodzi przez sieć kliencką. Dobre rady związane z bezpieczeństwem środowiska wirtualizowanego zawsze uwzględniają separację ruchu związanego z pracą administratorów. Podobnie jest w przypadku wirtualizacji tak krytycznej usługi, jaką jest Active Directory.

Szybkie odtworzenie danych

Razem z planem awaryjnym należy wdrożyć narzędzia, które pozwolą na jego realizację. Active Directory jest tak ważną usługą, że należy mieć oprogramowanie, które umożliwi przywrócenie pełnej funkcjonalności w bardzo krótkim czasie. Tego nie zapewnią wbudowane w Windows narzędzia do tworzenia kopii zapasowych, gdyż backup Windows zawiera również kopię danych usługi Active Directory, ale robi to w sposób, który nie pozwala na łatwe przywrócenie tych danych w razie poważnego incydentu. Tak ważną usługę powinno dać się odtworzyć w czasie liczonym w minutach po to, by móc potem odtworzyć pozostałe maszyny zgodnie z planem. W przypadku odtwarzania kompletnego środowiska należy szybko uzyskać pełną funkcjonalność Active Directory, a potem odtwarzać poszczególne serwery. Są na rynku rozwiązania, które umożliwią uruchomienie maszyny wirtualnej wprost z kopii bezpieczeństwa.

Rezerwowy serwer na sprzęcie

Nawet po uwzględnieniu zalet wirtualizacji serwerowej należy pamiętać, że samo środowisko wirtualizacyjne może być przyczyną awarii. Problem z pracą hypervisora, np. spowodowany błędem w oprogramowaniu, brak dostępu do pamięci masowej lub przeciążenie któregoś z systemów może spowodować niedostępność krytycznej usługi. Z kolei przywracanie kompletnego środowiska wirtualizacji wymaga tego samego fundamentu Active Directory, którego potrzebują do pracy działające serwery. Ponieważ jest to jedna z najważniejszych usług w firmie, odpowiedzialna za uwierzytelnienie użytkowników, usuwanie awarii rozpoczyna się często właśnie od naprawy lub odtwarzania Active Directory. Większość porad zaleca, by mimo wszystkich zalet wirtualizacji nadal mieć przynajmniej jeden kontroler domeny pracujący bezpośrednio na sprzęcie. Może być to niewielki serwer klasy entry level. W przypadku awarii całego środowiska maszyna taka będzie fundamentem dla odtwarzania firmowych serwerów.

To nie jest zwykły serwer

Kontroler domeny pod wieloma względami różni się od innych serwerów usług IT. Active Directory wymaga transakcyjnej bazy danych i korzysta z replikacji z wieloma wzorcami, a zatem wykonywanie kopii bezpieczeństwa powinno odbywać się inaczej niż w przypadku plików i folderów. Jeśli występuje, to zazwyczaj jest usługą krytyczną dla IT, gdyż utrata domeny oznacza blokadę wszystkich obiektów, w tym kont wszystkich użytkowników zapisanych w usługach katalogowych. Mimo tak poważnych zadań nawet w największych środowiskach kontrolery domeny nie stanowią dużego obciążenia dla fizycznych serwerów - baza danych AD dla środowiska obejmującego 1000 użytkowników rzadko przekracza 400 MB, a obciążenie procesora jest niewielkie (w tym samym przykładzie z powodzeniem wystarczą dwa procesory i 2 GB RAM).

Jest to jednak szczególny serwer usług, gdyż występują co najmniej dwie sztuki, a niekiedy jest ich znacznie więcej. W przedsiębiorstwach o rozbudowanej strukturze może być nawet kilkadziesiąt kontrolerów. Koszty związane z ich utrzymaniem można znacząco obniżyć za pomocą wirtualizacji, ale należy to zrobić w przemyślany sposób.