1
Slezská univerzita v Opavě, FPF Podklady k přednáškám
Studijní obor: IVT Ročník: IV.
Předmět: Projektování IS I
Téma: Architektury pro bezpečnost a spolehlivost IS/IT
Vyučující: dr. Dušan Kajzar Školní rok: 2020/2021
Obsah:
1. Úvodem k architekturám BIS a HA.................................................................................... 1
2. Architektury pro bezpečnost a spolehlivost IS.................................................................... 2
3. Clusterová řešení................................................................................................................. 4
4. Architektury síťové vrstvy .................................................................................................. 6
5. Dokumentace k architekturám podnikových IS................................................................ 10
1. Úvodem k architekturám BIS a HA
Zaměření této přednášky:
 zaměříme se na architektonická schémata podporující bezpečnost,
spolehlivost a vysokou dostupnost IS,
 tzv. architektonické návrhové vzory.
Architektury podporující BIS a HA:
 BIS – bezpečnost inf. systémů,
 HA – High Availability (vysoká dostupnost).
Architektonické návrhové vzory IS/IT:
 schémata často se vyskytující při návrhu podnikových IS,
 dané schéma (návrhový vzor)
o zaměřené na splnění požadovaných vlastností navrhovaného IS,
o např. spolehlivost, dostupnost, bezpečnost, ...
2
2. Architektury pro bezpečnost a spolehlivost IS
Bezpečnost systému:
 schopnost systému zajistit požadovanou - integritu, důvěrnost, dostupnost IS,
 integrita dat – neporušitelnost dat,
 důvěrnost dat – přístup k datům pouze oprávněným uživatelům,
 dostupnost IS – viz dále.
Dostupnost (availability) systému:
 vysoká dostupnost – HA, High Availability,
 schopnost být uživateli (podnikovému procesu) k dispozici,
 v souladu se stanovenými parametry dostupnosti služeb
o např. dostupnost služby ve dnech ..., v době od-do, ...
o např. 5*12, 7*24, po-pá 6-18, ...
o nebo (resp. navíc) procentuálně ... 98.5, 99.8, ...
 v souladu se stanovenými parametry výkonnosti
o s dobou doba odezvy= ... ,
o max. čas pro zpracování požadavku = ...
 v mezích akceptovatelnosti případných výpadků
o max. provozně akceptovatelná doba výpadku,
o v provozní špičce = ..., mimo špičku = ... ,
 s garancí časů pro obnovu dat / služeb IS po výpadku
o recoverytime – max. čas, za který je bezpodmínečně nutno obnovit služby
systému,
o recovery point – max. provozně tolerovatelná ztráta práce po havárii.
Spolehlivost (reliability) systému:
 schopnost systému poskytovat služby
o podle stanovených parametrů dostupnosti,
o podle stanovených parametrů bezpečnosti,
 spolehlivý systém nesmí selhat v oblasti dostupnosti ani bezpečnosti,
 v praxi – stupeň spolehlivosti se sleduje, měří a vyhodnocuje
o počty a doba výpadků, procentuální dostupnost, ...
3
o bezpečnotní incidenty a jejich příčiny, ...
 => návrhy na organizační a technická opatření, vylepšení,
 srovnej – spolehlivost auta, pračky, mobilu, ...
Spolehlivost IS závisí:
 na spolehlivosti jeho jednotlivých komponent (HW, SW)
o je ovlivněna „nejslabším článkem“ IS (!),
o závisí na kvalitě IS jako celku,
 na kvalifikaci uživatelů IS (proškolení, znalosti práce s IS),
 na kvalitní správě podnikových IS (administrátoři IS, support).
Mnohá selhání IS:
 mají lidské nebo organizační příčiny (IS je sociotechnický systém),
 lepší metody a IT - nemusí automaticky zajistit lepší spolehlivost
a bezpečnost (např. moderní automobil, ale špatný řidič).
Základní technické principy pro zajištění spolehlivosti IS:
 redundance (nadbytečnost) komponent,
 diverzifikace (rozmanitost) komponent.
Princip redundance:
 systém má rezervní (sekundární) součásti, které lze použít v případě selhání některé
primární součásti,
 redundance „součástek“ - např. síťových karet, řadičů diskového pole, ...
 redundance subsystémů (komponent) - např. aplikačních serverů, firewallů, diskových
polí, ...
Princip diverzifikace (rozmanitosti):
 redundantní součástí jsou různého typu (snížení pravděpodobnosti, že neselžou
stejným způsobem),
 rozmanitost v lokalizaci výpočetní techniky (různé serverovny, různé lokality).
4
3. Clusterová řešení
Schéma a princip clusterového řešení:
 systémy (služby) pracující nad společným datovým prostorem,
 datový prostor je zviditelněný z „jedné či druhé“ strany,
 Active / Passive (Standby),
 Active / Active.
Ve vývojové praxi to pro architekta znamená:
 zvolit režim běhu SW komponent
o Active/Active, Active/Passive,
 pro režim A/P
o navrhnout pravidla běhu a migrací SW komponent (služeb),
o tj. na kterém nódu daná SW komponenta poběží primárně,
o který nód bude pro SW komponentu záložní (je-li nódů v clusteru více),
o zvážit zdroje (CPU, paměť) pro provoz na záložním nódu,
o způsob migrace na záložní nód – automaticky, ručně,
o atd.
node 1 node 2
Databázový server A1
Databázový server C2
Databázový server D2
Databázový server C1
Databázový server D1
Databázový server A2
Databázový server B1 Databázový server B2
Diskové
pole
Connections
Virtual IP
Connections
data
S1 S2 S3
5
Standby systémy:
 relativně samostatné systémy s vlastními datovými prostory,
 režimy Hot standby, Warm standby , Cold standby.
K režimům Standby - Hot, Warm, Cold:
 Hot Standby
o synchronní HW replikace (na úrovni diskových polí),
o DB - dvoufázový commit (synchronní přenos dat),
 Warm Standby
o SW replikační mechanismus (asynchronní přenos dat),
o asynchronní HW replikace (na úrovni diskových polí),
 Cold Standby
o předinstalovaný (částečně, úplně) server, vypnutý.
Příklady DB technologií Warm Standby:
 MS SQL Server Mirroring (db hlavní, zrcadlená, witness),
 Sybase Standby DB,
 Oracle Data Guard.
HW replikace dat
Stroj S1 Stroj S2
Diskové pole
Databázový
server A
Databázový
server B
Diskové pole
Stroj S1 Stroj S2
Diskové pole
LAN
director
Databázový
server A
Databázový
server B
Diskové pole SW replikace dat
6
Geocluster:
 architektura pro více výpočetních center,
 v clusteru nejsou jen jednotlivé systémy (AS, DB, ...), nýbrž celá výpočetní centra,
 režim Active / Passive, režim Active / Active.
4. Architektury síťové vrstvy
Balancing nad APL/DB servery:
 se zvýšenou odolností proti výpadku komponenty
o tzv. režim failover,
 s vyrovnáváním zátěže mezi servery
o tzv. režim load-balancing.
global site selector,
director, balancer
Datové toky
WAN, LAN
Architektura IS/IT
v lokalitě A
Architektura IS/IT
v lokalitě B
Klient
LAN
Aplikační
server
Aplikační
server
Aplikační
server
DB serverDirector
AS DB server A
DB server B
Klientské
aplikace
Director
7
Význam a využití directorů (balancerů):
 HW a SW komponenty sloužící k řízení spojení
o tzv. sessions, connections,
o tj. spojení, která směřují k AS nebo DB serverům,
 směrování dotazů podle daných směrovacích pravidel
o na základě cíle (URL),
o podle typů (skupin) uživatelů (interní, externí, public, registrovaní, ...),
o podle vlastností SQL dotazu, kategorie složitosti dotazu, ...
 režimy práce balanceru
o load balancing,
o fail-over,
 mohou zahrnovat i pravidla pro ochranu před zahlcením systému dotazy
o základní rozhodovací algoritmus (kam směrovat dotaz) - roud robin,
o rozhodování podle zatížení jednotlivých komponent,
o podle počtu connections vedoucích na jednotlivé komponenty, ...
o zajištění tzv. „držení sešny“ na daném aplikačním serveru.
Příklady directorů a balancerů:
 Cisco ACE modul,
 Big-IP F5,
 Teradata Unity Director.
Směrování a balancing v architekturách síťové vrstvy:
uživatelský dotaz
http://eshop.drevoplech.cz
AS, DB AS, DBAS, DB AS, DB
DNS servery, DNS + aliasy
balancer – DNS, VIP
balancer – DNS, VIP balancer – DNS, VIP
DNS, log. IP DNS, log. IP DNS, log. IP DNS, log. IP
nad výpočetními centry
Který balancer žije?
nad servery v clusteru
sx1-as
Který server žije?
nad jednotlivými
službami, např. AS, DB
sx1-as1, sx1-as2
8
Dotazy:
 Nad jakými komponentami balancují znázorněné balancery?
 Na kterou VIP odkazuje DNS služby, kterou volá uživatelova aplikace?
Virtuální IP:
Hierarchie IP adres:
Návrh vzájemné komunikace komponent IS:
Zadání komunikace mezi komponentami IS:
 co není výslovně povoleno, to je zakázáno (!),
 definice komunikace (filtrace spojení) do tzv. Access listu
o správce sítě -> nastavení na síťových prvcích,
 zdroj (odkud): IP + cíl (kam): IP, port,
 komunikace jednosměrná, obousměrná.
AS, DB, ...virtualizace
fixní IP
síťové karty
fixní IP
IP stroje IP zóny IP služby
IP zóny
...
IP služby
...
VIP služby .... VIP služby
public DNSserver
DNS VIP
http://eshop.firma.cz 10.128.251.35
https://products.firma.cz
K1 K2
K3
K4
K5
K6
K7
protokol, IP (DNS), port
http, ceny.frx.cz, 8080
certifikát
DNS
server
Cisco
router
ACE
modul
9
Důležité téma - síťová bezpečnost:
 šifrování přenosů dat,
 demilitarizovaná zóna, detektory útoků, ...
Schéma demilitarizované zóny počítačové sítě:
 DMZ – počítačová podsíť tvořící bezpečnostní vrstvu mezi interní podnikovou sítí
a Internetem,
 DMZ s jedním firewallem (trojnohý FW)
o 3 síťová rozhraní,
o komunikace – Internet, DMZ, vnitřní síť.
 DMZ se dvěma firewally (dvojnohý FW)
o frond-end firewall – kontrola komunikace Internet x DMZ,
o back-end firewall – kontrola komunikace DMZ x vnitřní síť.
Externí
klientská
aplikace
Firewall
Proxy
server
Aplikační
server
vnitřní sítě
vnější síť demilitarizovaná zóna vnitřní síť
Externí
klientská
aplikace
Firewall Firewall
Proxy
server
Aplikační
server
vnitřní sítě
vnější síť demilitarizovaná zóna vnitřní síť
IS-1 IS-2
ochrana,
monitoring
10
V praxi nutno řešit např.:
 povolená / nepovolená komunikace mezi DMZ a vnitřní síti (IP, porty, protokoly),
 které komponenty IS budou umístěné do DMZ,
 způsob zálohování serverů umístěných v DMZ, ...
„V-architektura“ webové aplikace:
5. Dokumentace k architekturám podnikových IS
Dokumentace k architektuře aplikace (IS) obvykle popisuje:
 účel daného IS v podniku,
 stanovené parametry (kategorie) dostupnosti a bezpečnosti,
 kdo je gestorem daného IS, dodavatelem, support, ...
 hlavní subsystémy daného IS a jejích vazby na okolí,
 přístupy k IS ze strany klientů (URL),
 integraci IT služeb - poskytování služeb jiným IS a opačně,
 HW a SW architekturu
o prezentační vrstvy,
o aplikační vrstvy,
Director 2x
Proxy server P1 Proxy server P2
Externí přístup
Aplikační server A2
Databázový server D1 Databázový server D2
Databázový server D0
DMZ
Replikační server R0
Replikační server R2replikace
Replikační server R1
Pořizování a
modifikace dat
Aplikační server A1
11
o databázové vrstvy,
 architekturu vazeb IS na společné síťové úložiště NAS,
 architekturu datových toků (replikace dat)
o v rámci komponent IS + vazby s okolím,
 architekturu sítových prvků vztahujících se k danému IS
o DNS, VIP, IP adresy, balancery, ...
 architekturu síťových komunikačních toků
o v rámci komponent IS + vazby s okolím,
o komunikační protokoly,
o IP, porty, komunikace odkud-kam,
 architekturu licenčního pokrytí komponent.