Сценарии миграции доменных инфраструктур (Евгений Синельников, OSSDEVCONF-2022) — различия между версиями
Материал из 0x1.tv
StasFomin (обсуждение | вклад) |
StasFomin (обсуждение | вклад) |
||
(не показаны 2 промежуточные версии этого же участника) | |||
;{{SpeakerInfo}}: {{Speaker|Евгений Синельников}} <blockquote> Подходы к миграции службы каталогов и сопутствующих инфраструктурных служб предприятий на свободные решения требуют тщательного анализа. Исходной службой каталогов, для которой миграция актуальна, в большинстве случаев является Microsoft Active Directory. Данный доклад посвящён разбору основных сценариев миграции таких доменных инфраструктур на свободные инфраструктурные решения на базе дистрибутивов «Альт» и Sisyphus. </blockquote> {{VideoSection}} {{vimeoembed|923073075|800|450}} {{youtubelink|}} |Hf_5lh959KQ}} {{SlidesSection}} [[File:Сценарии миграции доменных инфраструктур (Евгений Синельников, OSSDEVCONF-2022).pdf|left|page=-|300px]] {{----}} == Thesis == * https://www.altlinux.org/Domain_Infrastructure Миграция на свободные решения в корпоративной сетевой инфраструктуры, в первую очередь — это замена операционных систем клиентов и серверов под управлением операционных систем семейства ОС Windows» базе инфраструктуры Microsoft Active Directory (MS AD) и на аналогичные по функциональным возможностям свободные операционные системы и инфраструктурные решения. На текущий момент сложилось два фундаментально разных подхода к миграции доменной инфраструктуры на базе MS AD — «плавный» перевод инфраструктуры на Samba Active Directory или постепенная «миграция» на любое, аналогичное по функциональным возможностям инфраструктурное решение. Среди основных из таких решений стоит выделить два: * Проект Samba, как полноценная замена MS AD на уровне протоколов и поддержки Windows-клиентов; * Проект FreeIPA, как альтернативная реализация доменной инфраструктуры для Linux-клиентов. === «Плавная» миграция === Сценарий перевода инфраструктуры на базе MS AD даёт возможность сохранить уже сложившуюся, отлаженную годами доменную инфраструктуру не меняя конфигурацию множества рабочих станций (автоматизированных рабочих мест), а также серверов под управлением операционных систем на базе Windows, не пересоздавая множества пользователей, которые могут продолжать работу в том же окружении. В том числе и на новых рабочих станциях под управлением отечественных операционных систем. Миграция серверов, в некоторых случаях, также проводится постепенно. Такую возможность может обеспечить только совместимый с MS AD проект Samba. Данный сценарий предполагает следующий алгоритм действий: * вывод из эксплуатации и замену сопутствующих инфраструктурных служб, работающих только с MS AD (MS Exchange, Sharepoint и д.р.); * перенос сопутствующих системных служб, не относящихся непосредственно к доменной инфраструктуре (dhcp-серверов, центров сертификации и т.п.), с Windows-серверов на Linux сервера; * временный, прозрачный для клиентов, перевод инфраструктуры в гибридное состояние через установку контроллеров домена на базе Samba в текущую инфраструктуру (в текущий домен); * миграцию всех системных (FSMO и иных) ролей с контроллеров домена на базе MS AD на контроллеры домена на базе Samba; * штатное отключение всех контроллеров на базе MS AD. У данного сценария имеется огромное количество ограничений и множество рисков, которые сложно минимизировать, не затрагивая уже развёрнутые службы. Этот сценарий подходит для простых и консервативных конфигураций. Ключевые, документированные ограничения: * схема леса 2008R2; * репликация в домене должна выполняться против контроллера на базе Windows Server 2008R2 с тремя FSMO-ролями (хозяин схемы, инфраструктуры и PDC-эмулятор); * объекты с парными атрибутами из расширенной схемы могут вызвать проблемы репликации; * процесс первичной репликации для крупных баз (как правило, с большими по объёму бинарными атрибутами) занимает значительное время (до нескольких десятков часов). Устранение этих ограничений требует специальной разработки, которые требуют значительных вложений и времени на отладку. Поскольку регулярных тестов для конкретных конфигураций не проводится, как правило, такие конфигурации находятся в закрытых сетевых контурах и недоступны для разработчиков, точный набор параметров для «плавной» миграции в проекте Samba на текущий момент оперативно не отслеживается. === «Постепенная» миграция === При отсутствии возможности перенести базу компьютеров, пользователей, групп и других объектов AD полностью, как есть, на другой «носитель», миграция доменной инфраструктуры проводится «постепенно». Такая миграция предполагает несколько промежуточных стадий в зависимости от целей: * <b>миграция служб</b> (в первую очередь веб-приложений) в отдельную доменную инфраструктуру с доверительными отношениями с текущей; * <b>миграция клиентских рабочих</b> мест на отечественные операционные системы; * <b>комплексная миграция</b> серверов и клиентских рабочих станций. При этом создаётся параллельная доменная инфраструктура, исходная пользовательская база (пользователи и группы) сохраняется через доверительные отношения и «постепенно» (по частям) переносится в новую инфраструктуру. В случае миграции служб перенос пользовательской базы откладывается, сохраняются исходные рабочие места под управлением Windows, а все усилия прилагаются к тому, чтобы вывести из эксплуатации и заменить сопутствующие системные службы, не относящиеся непосредственно к доменной инфраструктуре. В случае миграции рабочих мест главный упор делается на решение задачи замены пользовательских приложений, на их возможность запуска и работоспособность в новом окружении (прежде всего специализированного ПО, веб-приложений с «аутентификацией в домене», а также доступность почты, календаря и т. п.). Комплексная миграция предполагает комбинирование миграции служб и рабочих мест и является наиболее трудоёмкой единовременной процедурой. Конкретные целевые особенности такой миграции зависят от специфики переносимой инфраструктуры. === Реализация сценариев миграции в дистрибутивах «Альт» === В дистрибутивах семейства «Альт» клиентские и серверные настройки разделены. Основным инструментом управления является «Альтератор», как центр управления системой. На текущий момент основной упор поддержки рассмотренных сценариев миграции сделан на интеграцию клиентских рабочих мест в инфраструктуру Active Directory. Интеграция реализуется в рамках сведения различных компонент управления операционной системой в целостный системный интерфейс, включающий в себя: * обобщённый инструментарий подключения клиентов доменной инфраструктуры к различным доменным решениям (system-auth); * [https://www.altlinux.org/Групповые_политики групповые политики], как встроенный инструментарий управления конфигурациями; * [https://www.altlinux.org/ADMC комплект графических средств администрирования, позволяющий заменить родной инструментарий] управления Active Directory — Remote Server Administration Tool (RSAT). {{----}} [[File:{{#setmainimage:Сценарии миграции доменных инфраструктур (Евгений Синельников, OSSDEVCONF-2022)!.jpg}}|center|640px]] {{LinksSection}} <!-- <blockquote>[©]</blockquote> --> <references/> [[Категория:OSSDEVCONF-2022]] |
Текущая версия на 15:21, 31 мая 2024
- Докладчик
- Евгений Синельников
Подходы к миграции службы каталогов и сопутствующих инфраструктурных служб предприятий на свободные решения требуют тщательного анализа. Исходной службой каталогов, для которой миграция актуальна, в большинстве случаев является Microsoft Active Directory.
Данный доклад посвящён разбору основных сценариев миграции таких доменных инфраструктур на свободные инфраструктурные решения на базе дистрибутивов «Альт» и Sisyphus.
Содержание
Видео
Презентация
Thesis
Миграция на свободные решения в корпоративной сетевой инфраструктуры, в первую очередь — это замена операционных систем клиентов и серверов под управлением операционных систем семейства ОС Windows» базе инфраструктуры Microsoft Active Directory (MS AD) и на аналогичные по функциональным возможностям свободные операционные системы и инфраструктурные решения.
На текущий момент сложилось два фундаментально разных подхода к миграции доменной инфраструктуры на базе MS AD — «плавный» перевод инфраструктуры на Samba Active Directory или постепенная «миграция» на любое, аналогичное по функциональным возможностям инфраструктурное решение. Среди основных из таких решений стоит выделить два:
- Проект Samba, как полноценная замена MS AD на уровне протоколов и поддержки Windows-клиентов;
- Проект FreeIPA, как альтернативная реализация доменной инфраструктуры для Linux-клиентов.
«Плавная» миграция
Сценарий перевода инфраструктуры на базе MS AD даёт возможность сохранить уже сложившуюся, отлаженную годами доменную инфраструктуру не меняя конфигурацию множества рабочих станций (автоматизированных рабочих мест), а также серверов под управлением операционных систем на базе Windows, не пересоздавая множества пользователей, которые могут продолжать работу в том же окружении. В том числе и на новых рабочих станциях под управлением отечественных операционных систем. Миграция серверов, в некоторых случаях, также проводится постепенно. Такую возможность может обеспечить только совместимый с MS AD проект Samba.
Данный сценарий предполагает следующий алгоритм действий:
- вывод из эксплуатации и замену сопутствующих инфраструктурных служб, работающих только с MS AD (MS Exchange,
Sharepoint и д.р.);
- перенос сопутствующих системных служб, не относящихся непосредственно к доменной инфраструктуре (dhcp-серверов,
центров сертификации и т.п.), с Windows-серверов на Linux сервера;
- временный, прозрачный для клиентов, перевод инфраструктуры в гибридное состояние через установку контроллеров
домена на базе Samba в текущую инфраструктуру (в текущий домен);
- миграцию всех системных (FSMO и иных) ролей с контроллеров домена на базе MS AD на контроллеры домена на базе
Samba;
- штатное отключение всех контроллеров на базе MS AD.
У данного сценария имеется огромное количество ограничений и множество рисков, которые сложно минимизировать, не
затрагивая уже развёрнутые службы. Этот сценарий подходит для простых и консервативных конфигураций. Ключевые,
документированные ограничения:
- схема леса 2008R2;
- репликация в домене должна выполняться против контроллера на базе Windows Server 2008R2 с тремя FSMO-ролями
(хозяин схемы, инфраструктуры и PDC-эмулятор);
- объекты с парными атрибутами из расширенной схемы могут вызвать проблемы репликации;
- процесс первичной репликации для крупных баз (как правило, с большими по объёму бинарными атрибутами) занимает
значительное время (до нескольких десятков часов).
Устранение этих ограничений требует специальной разработки, которые требуют значительных вложений и времени на отладку.
Поскольку регулярных тестов для конкретных конфигураций не проводится, как правило, такие конфигурации находятся в
закрытых сетевых контурах и недоступны для разработчиков, точный набор параметров для «плавной» миграции в проекте
Samba на текущий момент оперативно не отслеживается.
«Постепенная» миграция
При отсутствии возможности перенести базу компьютеров, пользователей, групп и других объектов AD полностью, как есть, на другой «носитель», миграция доменной инфраструктуры проводится «постепенно». Такая миграция предполагает несколько промежуточных стадий в зависимости от целей:
- миграция служб (в первую очередь веб-приложений) в отдельную доменную инфраструктуру с доверительными
отношениями с текущей;
- миграция клиентских рабочих мест на отечественные операционные системы;
- комплексная миграция серверов и клиентских рабочих станций.
При этом создаётся параллельная доменная инфраструктура, исходная пользовательская база (пользователи и группы)
сохраняется через доверительные отношения и «постепенно» (по частям) переносится в новую инфраструктуру.
В случае миграции служб перенос пользовательской базы откладывается, сохраняются исходные рабочие места под управлением Windows, а все усилия прилагаются к тому, чтобы вывести из эксплуатации и заменить сопутствующие системные службы, не относящиеся непосредственно к доменной инфраструктуре.
В случае миграции рабочих мест главный упор делается на решение задачи замены пользовательских приложений, на их возможность запуска и работоспособность в новом окружении (прежде всего специализированного ПО, веб-приложений с «аутентификацией в домене», а также доступность почты, календаря и т. п.).
Комплексная миграция предполагает комбинирование миграции служб и рабочих мест и является наиболее трудоёмкой единовременной процедурой. Конкретные целевые особенности такой миграции зависят от специфики переносимой инфраструктуры.
Реализация сценариев миграции в дистрибутивах «Альт»
В дистрибутивах семейства «Альт» клиентские и серверные настройки разделены. Основным инструментом управления является «Альтератор», как центр управления системой. На текущий момент основной упор поддержки рассмотренных сценариев миграции сделан на интеграцию клиентских рабочих мест в инфраструктуру Active Directory. Интеграция реализуется в рамках сведения различных компонент управления операционной системой в целостный системный интерфейс, включающий в себя:
- обобщённый инструментарий подключения клиентов доменной инфраструктуры к различным доменным решениям
(system-auth);
- групповые политики, как встроенный инструментарий управления конфигурациями;
- комплект графических средств администрирования, позволяющий заменить родной инструментарий управления Active Directory — Remote Server Administration Tool (RSAT).