Automatyzacja IT
-
- Józef Muszyński,
- 17.11.2008
Zarządzanie siecią a kontrola stanu bezpieczeństwa
Podział IT na domeny zarządzania i bezpieczeństwa powoli zanika. Firmy w coraz szerszym zakresie wprowadzają w to miejsce polityki, procesy i technologie, które działają zarówno w sferze zarządzania, jak i bezpieczeństwa sieci.
Technologie, procesy i narzędzia, które pomagają reagować w czasie rzeczywistym na zagrożenia i sytuacje wpływające na kondycję organizacji, tworzą kolejną falę innowacji w zarządzaniu. Oprogramowanie do automatyzacji IT, technologie zarządzania Web Services i tzw. struktury dobrych praktyk (takich jak IT Infrastructure Library - ITIL) to elementy wyznaczające nowe kierunki w zarządzaniu.
Automatyzacja procesów aprowizacji cyfrowej (provisioning) i łatania oprogramowania pozwala istotnie zmniejszyć personel IT. W celu minimalizacji zgłoszeń ze strony użytkowników wprowadza się mechanizmy samoaprowizacji, pozwalające użytkownikom wybierać popularne aplikacje, których potrzebują i chcą sprowadzać na swój desktop. Są one następnie (najczęściej nocą) testowane, a po sprawdzeniu - sprowadzane na desktop.
Rozwiązania kontroli dostępu do sieci NAC (Network Access Control) to narzędzia używane do integrowania zarządzania i bezpieczeństwa w ramach procesu automatyzacji IT. Działania NAC mogą być sklasyfikowane jako aktywne, pasywne, ochronne i wymuszające, ponieważ technologia ta łączy poszczególne domeny IT i opiera się na wiedzy o sieci, użytkowniku i stosowaniu sterowania dostępem w zakresie właściwego ich funkcjonowania.
NAC to sterowanie dostępem do sieci ukierunkowane na użytkownika. Różnica pomiędzy technologią zapór ogniowych a NAC leży w elementach decyzyjnych NAC. NAC jest tak blisko użytkownika, jak tylko to jest możliwe i łączy uwierzytelnianie z urządzeniami sieciowymi, z bezpieczeństwem punktów końcowych i z serwerem polityk.
Standaryzowanie zarządzania konfiguracją
Podstawowymi czynnikami ułatwiającymi automatyzację IT jest standaryzacja i powszechnie stosowane modele architektury zarządzania.
CMDB (Configuration Management DataBase) jest repozytorium informacji o wszystkich komponentach IT. CMDB Federation przygotowuje wersję roboczą specyfikacji, pozwalającą na wymianę danych konfiguracyjnych między wieloma systemami różnych dostawców. Firmy takie jak BMC, CA, HP i IBM w ciągu kilku ostatnich lat przygotowywały własne narzędzia CMDB. Jako członkowie grupy roboczej CMDB Federation, wraz z Fujitsu i Microsoft, opracowali wersję roboczą specyfikacji, która ma zapewnić standardowy sposób wymiany danych między różnymi narzędziami konfiguracyjnymi.
CMDBf w wersji roboczej (aktualnie 1.0b) definiuje sposób współdziałania i dzielenia się danymi w federacyjnych CMDB i innych repozytoriach danych zarządzania (MDR). Wersja robocza definiuje kwerendę i rejestrację Web Services dla interakcji pomiędzy sfederowanymi CMDB i MDR, opierając się na schemacie HTTP, SOAP, WSDL, XML Schema i WS-I (Web Services Interoperability).
Sfederowana CMDB umożliwia zbieranie danych z wielu źródeł bez konieczności przechowywania ich w pojedynczej, monolitycznej bazie danych. W scenariuszu federacyjnym dane konfiguracyjne mogą rezydować w wielu źródłach, a scentralizowane źródło danych jest jedynie zaprogramowane w ten sposób, aby wiedzieć, gdzie rezydują dane powiązane z poszczególnymi zasobami. W ten sposób zespół IT nie musi martwić się o utrzymywanie dużych repozytoriów danych.
Usługowa architektura zarządzania
Problemy, z jakimi dzisiaj borykają się zarządzający sieciami w centrach danych, to coraz większa ich złożoność. Zmiany w sposobie użytkowania sieci wymagają innego spojrzenia na przepływy ruchu. Używanie wirtualizacji do migracji obciążeń między zasobami fizycznymi wymaga stałej realokacji zasobów sieciowych.
Nowe podejście do zarządzania siecią - i generalnie systemów zarządzania - opiera się na usługowej architekturze zarządzania (SOMA - Service-Oriented Management Architecture). Dostawcy mogą budować wykorzystujące SOMA agenty sprzętowe do zarządzania siecią oraz agenty proxy - elastyczne i zdolne do przekształcania się w miarę ewolucji potrzeb zarządzania. Zdolność adaptacji rozwiązań do administrowania siecią w przeszłości była ograniczona.
W ramach SOMA wszystkie ważne operacje zarządzania są implementowane jak usługi (np. uzyskiwanie stanu urządzeń, sterowanie urządzeniami, zmiana ustawień konfiguracyjnych czy przypisywanie zasobów - provisioning). Każda usługa jest komponentem programowym z formalnie zdefiniowanymi, opartymi na komunikatach, interfejsami zleceń i odpowiedzi. Logika biznesowa stojąca za każdym takim interfejsem jest ukryta dla użytkownika. Komunikaty w formacie XML są przekazywane między usługami pracującymi wewnątrz urządzenia za pośrednictwem MSB (Management Service Bus). Programowanie aplikacji zarządzającej lub agenta jest stosunkowo łatwe, ponieważ wszystkie dostępne funkcje zarządzania są eksponowane za pośrednictwem spójnego interfejsu i większość usług jest wielodostępnych.
Kiedy potrzebna jest nowa usługa, można napisać nowy kod lub zagnieździć i zintegrować kod komercyjny czy open source - w każdym przypadku kod jest ukryty za formalnym interfejsem usługi. Używając tego sposobu, SOMA unifikuje coś, co dotychczas było różnorodnymi rozwiązaniami zarządzania.
Usługi zapewniają funkcjonalność prostą lub złożoną. Usługa prosta to np. informowanie o aktualnej temperaturze urządzenia lub obrotach wentylatora, a bardziej złożona polega na przeprowadzaniu kompleksowej diagnostyki, wymagającej korelacji informacji z różnych czujników i wewnętrznych logów zdarzeń. Usługi mogą współpracować, a bardziej wymyślne mogą być formowane w warstwę nad usługami niższego poziomu. I tak np. dostawca może zapewniać agent dla całej gamy routerów, wyciągając odpowiednie usługi z biblioteki usług.
Usługi SOMA mogą być używane do konstruowania agentów zarządzania, agentów proxy, urządzeń zarządzania lub aplikacji. Ponieważ SOMA nie narzuca typu aplikacji klienckiej, jaka ma być użyta, to mogą być stosowane aplikacje GUI, webowe lub w pełni zautomatyzowane, niewymagające ludzkiej interwencji. Taka aplikacja kliencka wywołuje zazwyczaj usługi zdalnie, za pośrednictwem protokołów zarządzania.
Aplikacje klienckie są połączone z MSB za pośrednictwem adapterów protokołów, które wywołują usługi. Urządzenie lub agent muszą obsługiwać co najmniej jeden adapter protokołu, ale często będą obsługiwać kilka. Usługi SOMA, pracujące na urządzeniach programowych (appliance) lub agentach, mogą same potrzebować innych adapterów protokołu do współdziałania ze sprzętem lub oprogramowaniem, za które są odpowiedzialne.
Możliwość obsługi wielu protokołów jest ogromną zaletą: np. nowsze urządzenia z agentem SOMA mogą być zarządzane przez tradycyjne aplikacje zarządzające za pośrednictwem starszych protokołów, takich jak SNMP, lub przez nowsze aplikacje - za pomocą nowszych protokołów.
Zaawansowane implementacje SOMA oferują bardzo dużą elastyczność. Agenty mogą wgrywać nowe usługi i adaptery protokołu w biegu, bez zamykania komputera lub jego restartu. Zdolność ładowania nowych adapterów protokołów w biegu pozwoli dostawcom na dystrybucję nowych adapterów tak szybko, jak tylko staną się dostępne lub potrzebne.
Technologie automatyzacji nie wdrażają się automatycznie. Aby cieszyć się korzyściami płynącymi z automatyzacji, na początek trzeba narzędziom automatyzacji dostarczyć wiedzy o tym, co zawiera środowisko poddawane automatyzacji, jakie zadania realizuje, i co muszą one same zrobić. Infrastruktura inwentaryzacji komponentów systemowych oraz rozpoznanie tych wszystkich wymagań jest wyzwaniem nawet dla doświadczonych menedżerów IT.
Identyfikacja powtarzalnych zadań. Nie wszystkie zadania nadają się do automatyzacji, ale wiele jest do tego stworzonych. Automatyzacja jest od dawna używana do monitorowania systemów i uruchamiania zadań wsadowych, ale obecnie wchodzi na teren procesów manualnych, które stają się nie do wykonania w rozsądnym czasie - na przykład wyposażanie serwera. W centrum danych z setkami systemów wdrożenie systemu operacyjnego, aplikacji i uaktualnień oprogramowania w układzie "jeden administrator na każdą maszynę" jest nierealne.
Ustanawianie procesów standardowych. Chociaż narzędzia automatyzacji mogą zapewniać zmniejszenie operacji manualnych, technologia ta nadal wymaga, aby określić, czego się od niej oczekuje. Efektywna technologia automatyzacji sprawdza się najlepiej, kiedy wprowadzana jest według standardowych procesów, które mogą być wdrażane w silosach IT. Niezbędne jest ustanawianie procesów, które mogą być łatwo implementowane przez oprogramowanie. Jeżeli nie ma się pewności, jak coś jest wykonywane lub, kto to wykonuje, to istnieje niewielka szansa, że będzie o tym wiedzieć oprogramowanie. Administratorzy IT powinni więc zaczynać od "łatwo strawnych" procesów, obejmujących nie więcej niż kilka kroków w jednej domenie IT, i następnie dodawać kolejne w ramach przepływu zadań, kiedy technologia sama się sprawdzi.
Budowanie korporacyjnego modelu danych. Zarówno kierownicy IT, jak i zarząd firmy muszą wspierać tworzenie korporacyjnego modelu danych, który może zapewnić efektywność automatyzacji w całej organizacji. Przesłanką modelu danych korporacyjnych jest fakt, że wszystkie systemy używają tego samego formatu i języka do opisu zdarzeń oraz normalizacji danych w systemach. Ma to na celu zapewnienie narzędziom automatyzującym, operującym na pojęciu "zdarzenie", możliwości działania wtedy, gdy jakaś akcja inicjowana jest w różnych produktach.
Taki model powinien umożliwiać działanie technologii automatyzacji poza silosami IT oraz raportowanie, analizowanie, a także optymalizowanie systemów, opierając się na zunifikowanych definicjach i celach.
Funkcjonujące w wielu systemach różne pojęcia i formaty danych są niekorzystne dla biznesu. W takim środowisku automatyzacja może jedynie ewoluować w zamkniętych obszarach. Trudno jest utrzymać spójność między różnymi systemami, ponieważ prawdziwe procesy automatyzacji działają wśród wielu systemów i wykorzystują wspólny model danych, ograniczając zmiany lub zdarzenia z nimi niespójne.
Integracja istotnych systemów. Integracja jest kluczowym elementem umożliwiającym automatyzację. Jeżeli oprogramowanie zarządzające i inne systemy nie współużytkują danych lub nie mogą się komunikować, wtedy automatyzacja nie działa.
I chociaż w przeszłości trud integracji systemów spadał na zespół IT, dzisiejsi dostawcy automatyzacji centrów danych obiecują spoiwo łączące różnorodne systemy. I tak np. firma BladeLogic wprowadziła w ubiegłym roku oprogramowanie Orchestrator Manager, które zapewnia integrację zdarzeń bieżących, wymianę danych i przepływu zadań zarówno pomiędzy jej własnym oprogramowaniem, jak i narzędziami niezależnymi. Tego rodzaju oprogramowanie pracuje nad istniejącymi systemami, widząc dane oraz zdarzenia, i wyzwalając automatyczne akcje.
