Spolehlivá a bezvýpadková IT infrastruktura na střední škole s virtualizací a DFS

Pro střední průmyslovou školu v centru Prahy jsme realizovali obnovu a rozšíření předchozího serverového řešení, které mělo za sebou nejméně 10 let provozu. Vzhledem k tomu, že od roku 2020 začaly rapidně stoupat počty žáků, nebylo nadále udržitelné zachovat původní koncept a bylo nutné přejít na jiné řešení, které jsme úspěšně realizovali.

Schools
General

Pro střední průmyslovou školu v centru Prahy jsme realizovali obnovu a rozšíření předchozího serverového řešení, které mělo za sebou nejméně 10 let provozu. Vzhledem k tomu, že od roku 2020 začaly rapidně stoupat počty žáků, nebylo nadále udržitelné zachovat původní koncept a bylo nutné přejít na jiné řešení, které jsme úspěšně realizovali.

Výzvy

  1. Původním serverovým řešením byl jediný server s instalovaným hypervisorem VMware ESXi 5.0.
  2. Pouze jediný aplikační server se všemi důležitými aplikacemi, jako je správa majetku, účetnictví, školní matrika na jediném místě, bez oddělení uživatelských přístupů.
  3. Pouze jediný doménový server, který zároveň fungoval i jako souborový server (FileServer).
  4. Klient používal cestovní profily a při výpadku komunikace s doménovým serverem nebylo možné na PC pracovat (zmizela plocha a veškerá data) do obnovení komunikace se serverem.
  5. Při odhlašování většího počtu žáků v jednom okamžiku docházelo z důvodů pomalého zápisu na server k pádům cestovních profilů a chybné synchronizaci dat z lokálního PC na server.

Cíle

  1. Přejít na modernější a otevřenější řešení virtualizace a neplatit vysoké poplatky za licence.
  2. Rozdělit klíčové aplikace na samostatné virtuální servery či  kontejnery a oddělit nesouvisející data mezi aplikacemi pro vyšší bezpečnost.
  3. Zavést nejméně dva doménové servery a v případě výpadku delegovat práci se soubory, Active Directory, DNS aj. na sekundární doménový kontrolér nebo souborový server.
  4. Oddělit systémové funkce doménového kontroléru od uživatelských dat, tzn. vytvořit dedikované souborové servery.
  5. Vyřešit problémy s výpadky cestovních profilů a tím i nemožnost pracovat na doménovém PC.

Řešení

Pro řešení projektu jsme zvolili nákup nového hardware od výrobce Supermicro, a to rovnou dvou nových serverů, na které jsme instalovali hypervisor Proxmox VE –  skvělou alternativu k VMware, která je navíc open-source, a tak není nutné platit za licence.

Na každý z Proxmox VE jsme instalovali celkem 2 základní virtuální servery, tj. doménový kontrolér a souborový server. Mezi těmito servery jsme pak vytvořili doménový jmenný prostor, tzv. namespace, ve kterém jsme dále konfigurovali sdílení a replikace mezi servery (služba DFS). Znamená to, že pokud jeden z doménových serverů nebo souborových serverů nebude dostupný, uživatel nepozná rozdíl, protože jeho práce je odkazována do jmenného prostoru, nikoliv na konkrétní (FQDN/IP) adresu serveru.

Příklad: Uživatelské soubory má uživatel uloženy na svém síťovém úložišti v doménovém jmenném prostoru na adrese \\moje.domena.cz\data\%username%. V případě výpadku primárního souborového serveru tak uživatel nepřijde o svá data a nijak nepozná výpadek. Programy a soubory, se kterými pracuje, totiž nejsou otevírány ani ukládány s odkazem na konkrétní IP adresu souborového serveru (jako např. připojený síťový disk K:\), ale využívají virtuální cestu doménového jmenného prostoru. Oba souborové, ale i doménové servery koexistují v tomto jmenném prostoru a neustále se vzájemně synchronizují.

Dále jsme v rámci našeho řešení rovnoměrně rozdělili zátěž na každý z hypervisorů Proxmox VE a vytvořili nezbytný počet virtuálních serverů a kontejnerů pro aplikace. Ve výsledku to znamená, že aplikace pro zpracování školní matriky má vlastní virtuální server s omezenými uživatelskými přístupy jen pro ty uživatele, kteří přístup z podstaty své pracovní funkce potřebují. Stejně tak to platí i pro aplikaci s účetnictvím, jež má taktéž vlastní virtuální server a omezený přístup pouze pro účetní.

Výsledek

Klient (škola) realizované řešení využívá od roku 2021 a až k současnosti nebyla zaznamenána jediná stížnost na výpadek při práci se soubory nebo s cestovním profilem. A to i v případě, kdy víme, že byl z důvodu testování a údržby jeden ze souborových i doménových serverů vypnut během pracovní doby.

Škola disponuje stovkami PC, které jsou během dne aktivně využívány při výuce, a díky rozložení zátěže nebyl zaznamenán jediný problém se synchronizací cestovního profilu z lokálního PC na server. Naopak došlo k výraznému snížení doby přihlašování uživatelského účtu, tedy synchronizaci cestovního profilu ze serveru na lokální PC, a to z minut na vteřiny.

Rozdělením každé aplikace, která plní svůj specifický účel, do vlastních virtuálních serverů nebo kontejnerů jsme omezili uživatelská oprávnění jen na nutné minimum. Tedy z původního stavu, kdy všichni mohli přistupovat na všechna data na jednom místě, jsme rozdělili přístupy tak, že účetní mohou přistupovat svým uživatelským účtem ze specifického PC v doméně pouze na účetní server a nikdo jiný už s účetní aplikací pracovat nemůže. Podobně je tomu tak i pro další aplikace.

Obrovskou výhodou virtualizace s Proxmox VE je i možnost pravidelných záloh virtuálních strojů nebo vytváření dočasných snímků aktuálního stavu serveru a všech dat v něm (tzv. Snapshotů). V praxi to znamená, že pokud někdo z privilegovaných uživatelů provede omylem zásah, který vede k poškození dat aplikace, jsme schopni v řádu vteřin, max. minut obnovit předchozí stav. Např. když při aktualizaci školní matriky dojde k neočekávané chybě zápisu souborů aplikace a ta přestane správně pracovat, můžeme díky uloženému snapshotu vrátit původní stav před aktualizací do pár vteřin zpět a případnou chybu aktualizace nechat prověřit výrobcem této aplikace nebo najít vlastní řešení.

Závěr

Realizované řešení využívá zákazník již několik let a toto řešení plní svoji funkci spolehlivě. Díky provedeným testům jsme zjistili, že realizovaná infrastruktura je skutečně odolná proti výpadkům a uživatelé nepociťují žádné omezení ve výkonu své pracovní činnosti. Učitelé i studenti jsou velmi spokojeni s rychlostí přenosu dat při synchronizaci jejich cestovních profilů, a ať se v rámci školní budovy přihlásí kdekoliv, vždy mají během pár okamžiků své pracovní prostředí k dispozici.

Oddělením každé specifické aplikace jsme zamezili potenciálnímu zneužití libovolným uživatelem, čímž jsme zvýšili bezpečnost a zmenšili tak okruh možností pro manipulaci s citlivými daty na vybrané uživatele, u kterých lze snadněji provést audit přístupů k datům.

Pokud i Vy hledáte řešení, které bude odolné proti náhlému výpadku, ať už z důvodů softwarového nebo hardwarového selhání, neváhejte nás kontaktovat. Rádi vám pomůžeme najít  optimální řešení, které bude vyhovovat vašim požadavkům.

Další příběhy

Podívejte se, jak jsme pomohli dalším školám.

How Microsoft 365 simplified the work of a small accounting firm

Small and medium-sized businesses are often looking for a simple and secure solution for central document management and communication. Microsoft 365 Business Premium enabled a small accounting firm with four employees to fully digitize processes - from invoices and documents to internal communications - while ensuring data security and clear access control.

View story

Managing user accounts and company devices from the cloud and employee lifecycle

The Tokyo-based global software firm planned its structural changes with access to the global market. This also meant major changes in many areas of the company's management. One of these was controlling user access and gaining a simple overview of which employee had what permissions and which applications they could access.

View story