NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Network Appliance FAS270 Auteur: Marcel Beelen Pagina’s: 62, 63, 64, 65 en 67
Multi-protocol filers Network Appliance FAS270 UNIX-varianten en Windows hebben afwijkende bestandssystemen, maar toch kunnen beide typen bestanden gemakkelijk op een enkele file server en zelfs op hetzelfde volume bewaard worden. Je kunt hiervoor een UNIX-server inrichten die voorzien is van services die in staat zijn CIFS/SMB te communiceren. De andere kant op is eveneens een optie, door de Windows-server te voorzien van een dienst die het NFS-protocol ondersteunt. Een veel elegantere oplossing is de inzet van een multi-protocol filer in de vorm van een appliance. NetOpus bekeek de FAS270 van Network Appliance.
Network Apliance FAS270 filer
S
torage en server-based computing zijn voor elkaar gemaakt. De technologieën vullen elkaar perfect aan en passen goed binnen het centralisatie- en consolidatieproces dat bij veel organisaties plaatsvindt. Bij server-based computing worden de terminal servers op centrale locaties geplaatst en bedienen de medewerkers deze toepassingen op afstand. De back-office systemen die nodig zijn bij server-based computing bevinden zich nabij de terminal servers. Alleen dan maak je optimaal gebruik van de voordelen van het concept en verkrijg je de beste prestaties. Denk bijvoorbeeld aan een database server die gebruikt wordt door een client/server-toepassing die op terminal server wordt aangeboden, of een file server voor de opslag
62
NOP0505_p62-77_Labreport_NetworkAppliance.indd
62
van gebruikersbestanden, profielen en dergelijke. Je ziet dan ook terecht dat bij veel server-based computingprojecten, centralisatie van storage in de vorm van een NAS of SAN meteen wordt meegenomen.
FAS270 De FAS270 is het op een na kleinste model filer van Network Appliance. Klein wil niet zeggen minder krachtig of minder functioneel, omdat voornamelijk de maximale opslagcapaciteit minder groot is dan bij de zwaardere modellen. De FAS270 heeft een maximale opslagcapaciteit van 8 terabyte en is net als alle filers geschikt voor inzet als Fibre Channel SAN, IP SAN (iSCSI) of networkattached storage (NAS). De allereerste Network Appliance filer - meer dan tien
jaar geleden - was een NAS-server die alleen UNIX ondersteunde, maar met de opkomst van Windows NT is daar al snel Windows-ondersteuning aan toegevoegd (sinds 1996). Het voordeel van NAS is dat deze technologie volwassen, flexibel en eenvoudig te implementeren en beheren is, zelfs bij het gebruik van grote aantallen UNIX- en Windows-servers die hun bestanden op de filer bewaren. De total cost of ownership van NAS is daardoor erg laag. Bij NAS wordt de storage appliance rechtstreeks aan ethernet gekoppeld, en biedt deze directe toegang over de netwerkverbinding via NFS en CIFS voor zowel werkplekken als servers. Network Appliance biedt enkele tientallen softwareopties en architectuurmogelijkheden om de beschikbaarheid
6/8/05
19:21:49
Labreport
Network Appliance FAS270
en prestaties te optimaliseren en de schaalbaarheid sterk te vergroten. Dit varieert van clustering tot het klonen van volumes en systemen, zowel lokaal als over het netwerk, en zelfs archivering van gegevens tot read-only data is mogelijk. Alle filers van Network Appliance zijn te beheren en monitoren met een handige webgebaseerde grafische interface, maar zijn voor een groot aantal geavanceerdere beheertaken tevens te beheren met opdrachten via rsh en telnet. Een opmerkelijk feit van de filers is dat ze in staat zijn te herstarten binnen een minuut, ongeacht de grootte van het bestandssysteem of de volumes. De basis van alle filers sinds het allereerste model, is het gepatenteerde bestandssysteem Write Anywhere File Layout (WAFL) en het NetApp Data ONTAP besturingssysteem. Bij de eerste servers stond het complete besturingssysteem nog op een diskette, maar tegenwoordig is het door alle opties en de uitgebreide documentatie wel wat omvangrijker geworden. Desondanks zijn de filers nog steeds appliances. Het zijn bijna black boxes, simpel te beheren en heterogeen inzetbaar. Voor typische storage-aspecten met betrekking tot de filers van Network Appliance verwijzen we naar het januari-nummer van NetOpus. Wij focussen ons verder op de specifieke aandachtspunten waar je mee te maken krijgt als je UNIX- en Windows-bestanden gaat mengen op een file server in een en dezelfde map.
middel van een X-servertoepassing op de Windows-werkplek of door te werken met Citrix Presentation Server voor UNIX (zie de artikelen over X-server en Presentation Server voor UNIX elders in deze NetOpus). De route de andere kant op wordt meer gebruikt: het bedienen van Windows-toepassingen op UNIX -werkplekken en Mac’s door middel van Microsoft terminal server, Citrix Presentation Server of HOBLink JWT. In een dergelijke heterogene werkplekomgeving krijgt de gebruiker op een werkplek te maken met bestandsopslag op een Windows-server voor Windows-toepassingen en een UNIXserver voor UNIX-toepassingen. Dit is erg onhandig, maar Network Attached Storage met multi-protocol ondersteuning biedt hier een perfecte oplossing. Het is veel eenvoudiger te beheren en op te schalen dan een oplossing waar een UNIX-server of -werkplek wordt voorzien CIFS/SMB-ondersteuning of een oplossing waarbij een Windowswerkplek wordt voorzien van NFS-ondersteuning. In Afbeelding 1 is deze architectuur weergegeven. Je ziet een filer in het midden, die via NFS communiceert met de UNIX-applicatieserver en via CIFS met de terminal server. De
werkplekken bedienen Windows-toepassingen op afstand, gebruikmakend van het RDP- of ICA-protocol. UNIXtoepassingen doen dat met X-Windows of het ICA-protocol.
Spreek in twee talen Er zijn nogal wat aspecten waar je mee te maken kunt krijgen als je Windowsen UNIX -bestanden gaat mengen in een directory. Zet je een Linux server met SAMBA in of een NFS-server op Windows, dan spelen deze aspecten eveneens. De FAS270 appliance ondersteunt zowel native NFS v2, NFS v3 en gedeeltelijk NFS v4, over zowel UDP als TCP evenals CIFS/SMB. Daardoor is hij inzetbaar in heterogene omgevingen waar behoefte is aan opslag van zowel UNIX-bestanden als Windows-bestanden. Network Applicance heeft met elke release van ONTAP-oplossingen bedacht om deze multi-protocol aspecten - die inherent zijn aan de verschillen tussen de besturingssystemen - te verbeteren. Daardoor heeft dit een sterke voorkeur boven de andere oplossingen zoals SAMBA. Laten we eens enkele multiprotocol bestandsaspecten bekijken. In Afbeelding 2 zie je de instellingen voor NFS op de filer. f
UNIX applicatie servers of MetaFrame voor UNIX X of ICA
X of ICA NFS
UNIX en Windows In server-based computing-land komen UNIX en Windows al snel samen. Enerzijds omdat UNIX-back-office servers (met bijvoorbeeld een Oracle database) fysiek dicht bij de terminal servers aan het netwerk worden gekoppeld, anderzijds omdat gebruikersbestanden gecentraliseerd dienen te worden. Maar server-based computing brengt de UNIX-werkplekken en Windows-werklekken ook erg dicht bij elkaar. Het bedienen van UNIX-toepassingen op Windows-werkplekken is mogelijk door
NOP0505_p62-77_Labreport_NetworkAppliance.indd
63
Windows werkplekken
Appliance
UNIX/Linux/Mac werkplekken
CIFS
RDP of ICA
Windows terminal servers
RDP of ICA
Afbeelding 1 Architectuur multi-protocol filer bij server-based computing
63 6/8/05
19:21:53
NetOpus: Juli/augustus 2005 Thema: Server-Based Computing Rubriek: Labreport Titel: Network Appliance FAS270 Auteur: Marcel Beelen Pagina’s: 62, 63, 64, 65 en 67
Afbeelding 2 FilerView met NFS-instellingen
Wie is de baas De filers integreren zowel in een UNIX NIS-omgeving als in een Active Directory-domeinstructuur. Bij NFS wordt de authenticatie uitgevoerd door de client en wordt aangegeven welke werkplekken een mount mogen maken naar een server in /etc/exports. Hierbij is het slechts beperkt mogelijk rechten mee te geven, want feitelijk zijn alleen readwrite en read-only rechten mogelijk. Bij CIFS echter, is authenticatie een taak van de server. Een filer kan lid worden gemaakt van een domein en een computer-account krijgen, waardoor Active Directory verantwoordelijk wordt voor authenticatie op basis van gebruikers en wachtwoorden. In Afbeelding 3 zie je hoe een filer aangemeld wordt in een domein. Een ander voordeel van het hebben van een computeraccount is bij NetApp filers dat deze voor een deel beheerd kunnen worden met standaard Windows-tools. Onder UNIX wordt een User Identificatie (UID) en Group Identificatie (GID) toegekend en onder Active Directory een
64
NOP0505_p62-77_Labreport_NetworkAppliance.indd
64
loginnaam en wachtwoord (en automatische een SID). In een gemengde omgeving heeft een gebruiker dus veelal twee identiteiten, die samengevoegd moeten worden. Met de Windows-toepassing SecureShare Account Migrator kun je wachtwoorden en groepen genereren op de NetApp aan de hand van Active Directory informatie. Dit een-op-een matchen van gebruikers is noodzakelijk om gebruik te kunnen maken van quota op de NetApp filers, ook in pure Windowsomgevingen. Ook handig is de mogelijkheid om Windows-gebruikers die geen UNIX-account hebben, automatisch dezelfde UNIX-account toe te kennen (guest). Verder kan NetApp dynamisch Windows-accounts matchen met UNIXgebruikersnamen.
Help, mijn netwerk is weg Een ander onmisbare optie in multi-protocol omgevingen, is de zogenaamde optie voor autohome. Met deze functie wordt er automatisch een share aangemaakt voor de home directory van elke gebruiker. Standaard ziet elke gebruiker
alleen zijn eigen share in de Network Neighborhood en niet die van de andere gebruikers op de server. CIFS en NFS gedragen zich duidelijk anders op de werkplek als de netwerkverbinding wegvalt met de filer, of als de filer wordt herstart. NFS is ‘stateless’, waardoor de UNIX-werkplek hier geen last van heeft en simpelweg wacht tot de server weer beschikbaar is. CIFS kan niet tegen het tijdelijk verliezen van de verbinding met de server en de meeste Windows-toepassingen kunnen hier dan ook niet tegen en vertonen hetzelfde effect als wanneer de lokale harde schijf defect zou raken. Network Appliance biedt mogelijkheden om Windows-werkplekken standaard te waarschuwen als de server wordt herstart, waardoor gebruikers hun bestanden tijdig kunnen bewaren. In een multiprotocol omgeving is dit verschil iets waar je terdege rekening mee dient te houden om informatieverlies op werkplekken tegen te gaan.
Rechten en attributen NFS ondersteunt alleen de gelimiteerde rechten van het UNIX-bestandssysteem. Er bestaan slechts drie categorieën gebruikers (user/group/other) en bij elke categorie zijn er drie typen rechten (read/write/execute). Met chmod kan een gebruiker of beheerder de rechten aanpassen. Het eigenaarschap en groep van bestanden is alleen door superuser (root) te veranderen met de opdracht chown en chgrp. Bij elke toegang van de werkplek tot de file server worden de UID en GID gecontroleerd om toegang tot de bestanden te geven. CIFS share-, directory-, en bestandspermissies worden gecontroleerd door ACL’s (Access Control Lists). ACL’s bevatten veel uitgebreidere informatie over rechten dan het UNIXbestandssysteem ondersteunt. Bovendien worden shares beschikbaar gesteld aan gebruikers en niet aan werkplekken (zoals bij UNIX het geval is) en verzorgt de server de authenticatie. Het eigenaarschap kan niet door een Windowsadministrator worden toegekend, want er is geen chown-equivalent.
6/8/05
19:22:00
Labreport
Network Appliance FAS270
Een NetApp filer kan opereren in NTFSmode, NFS-mode of mixed-mode. Je kunt voor multi-protocol ondersteuning de filer het beste inrichten zodat een volume of de gehele filer in ‘mixed’ mode draait. Hierdoor worden zowel NTFS- als UNIX-bestandspermissies binnen hetzelfde volume ondersteund. Overigens spreekt NetApp liever van quota trees (qtree), wat een soort partities zijn. Concreet betekent dit dat UNIX-rechten en NTFS-rechten beide worden opgeslagen in het WAFL-bestandssysteem. Dat wil echter niet zeggen dat UNIX de uitgebreide NTFS-rechten kan gebruiken of kan zien. Een voorbeeld: Windows kent een creatiedatum en -tijd voor een bestand. UNIX kent deze niet en heeft daar ook geen weet van.
Locking en sharing Onder locking verstaan we dat een bestand of deel van een bestand afgeschermd moet worden zodat andere gebruikers hier niet simultaan in kunnen lezen of schrijven. Denk aan een Microsoft Access-database die zich op de server bevindt. Onder UNIX NFS is locking geïmplementeerd met een afzonderlijk proces (de lock daemon). Locking gebeurt hier op vrijwillige basis (advisory locking). Met andere woorden: andere toepassingen mogen zelf besluiten of ze wel of niet rekening houden met locking. Bij gebruik van CIFS is locking strak geregeld (mandatory locking) en dat is vaak noodzakelijk. Je kunt je voorstellen dat er problemen ontstaan zoals crashende Windows-toepassingen en corruptie van gegevens als je een Access-database met meerdere gebruikers moet gebruiken via het NFS-protocol. Soortgelijke problemen ontstaan als je een Accessdatabase gebruikt via het CIFS-protocol, maar tevens als je het MDB-bestand met UNIX wilt benaderen. Bij CIFS wordt locking door de server uitgevoerd en gecontroleerd. Network Appliance pakt deze uitdaging aan en ondersteunt Windows-georiënteerde locking ook vanaf UNIX-werkplekken met een technologie die SecureShare wordt genoemd. SecureShare voorkomt tevens dat bestanden
NOP0505_p62-77_Labreport_NetworkAppliance.indd
65
onterecht gelocked blijven op UNIX, ook als deze aan Windows-zijde al is vrijgegeven. Goede multi-platform toepassingen locken overigens zelf, door bijvoorbeeld een lock-bestand aan te maken.
Groot en klein Het UNIX-bestandssysteem heeft geen mogelijkheid om namen hoofdletterongevoelig te maken. Met andere woorden, onder UNIX is een directory ‘Mail’ een andere dan de directory ‘mail’. Beide mappen kunnen naast elkaar bestaan, terwijl Windows hier geen weg mee weet. ONTAP zorgt ervoor dat deze mappen beide toegankelijk worden gemaakt aan Windows-zijde. Hiervoor wordt een mechanisme gebruikt dat we onder Windows kennen als verkorte namen, ofwel 8.3-namen. Stel dat er een dubbele naam zou ontstaan, bijvoorbeeld ‘netscape’ en ‘Netscape’. De naam met kleine letters is gewoon onder Windows bruikbaar. De naam met een hoofdletter wordt aan Windows-zijde toegankelijk gemaakt onder ‘netsca~1’. Network Appliance kent overigens een optie om bestandsnamen onder CIFS te forceren naar kleine letters. Een ander verschil tussen beide omgevingen is dat bestandsnamen alleen tekens mogen
bevatten die door UNIX en Windows ondersteund worden. Als je onder UNIX een bestand bewaard met de naam ‘Verslag: iForum 2005’, dan kan Windows hier niet mee omgaan, omdat een dubbele punt niet is toegestaan in Windowsbestandsnamen. Andere verschillen zijn onhandig, maar zorgen niet voor echte problemen, zoals het gebruik van spaties in bestandsnamen en de bestandsextensies die Windows-toepassingen gebruiken. Een bijzonder aardige optie van de filers wordt FPolicy genoemd. Hiermee kun je er als beheerder voor zorgen dat bepaalde typen bestanden niet mogen en kunnen worden opgeslagen op de filers. Wel is er een derde partij file screening server nodig, zoals van Veritas.
Symbolic links UNIX-gebruikers kunnen symbolic links maken. Dit zijn verwijzingen naar andere bestanden op een file server. Een Windows-gebruiker is normaal gesproken niet in staat het bestand te openen waar de UNIX symbolic link naar toe wijst. Network Appliance interpreteert zelf de symbolic link en geeft het resulterende bestand door naar de Windows-gebruiker, mits het bestand zich op dezelfde filer bevindt. f
Afbeelding 3 Aanmelden filer in een Windows-domein
65 6/8/05
19:22:03
Labreport
Network Appliance FAS270
Filers van Network Appliance zijn sinds de eerste versie in staat periodiek snapshots te maken van gegevens die op de filer opgeslagen liggen. Tegenwoordig is deze functionaliteit deels ook door andere fabrikanten overgenomen. Snapshots zijn bevroren read-only kopieën van alle bestanden en mappen, waarbij ongewijzigde bestanden alleen als verwijzing naar dat bestand vastgelegd worden. Pas als een bestand daadwerkelijk gewijzigd is sinds de vorige snapshot, wordt een
maken met metadata, oftewel gegevens over de bestanden zelf. Metadata van bestanden die onder CIFS zijn aangemaakt, bevatten veel meer informatie dan onder UNIX. Informatie met betrekking tot eigenaar, de rechten en datums en tijden is opgeslagen in het bestandssysteem. CIFS wordt hierbij als superset beschouwd van UNIX, en daarom moet een back-up van een filer gemaakt worden via het CIFS-protocol, dus met een Windows-gebaseerde back-up toepassing. Zou je via NFS
Metadata van bestanden die onder CIFS zijn aangemaakt, bevatten veel meer informatie dan onder UNIX. kopie van de gewijzigde data bewaard. Snapshots kosten hierdoor nauwelijks prestaties van de filer en de benodigde diskruimte is minimaal, behalve op filers waar zeer veel bestanden wijzigen in korte tijd, zoals in omgevingen waar software ontwikkeld wordt. Snapshot directories zijn normaal gesproken onzichtbaar voor de gebruiker. Deze kan er wel bewust in kijken door naar de ‘~snapshot’-directory te kijken op Windows of de ‘.snapshot’-directory op UNIX. Snapshots hebben als voordeel dat een gebruiker zelf vorige versies van bestanden kan ophalen, maar ook dat het maken van een back-up van de filer eenvoudig op een operationele machine uitgevoerd kan worden, omdat de snaphot een read-only representatie van het bestandssysteem is op enig moment. Als beheerder kun je snapshots uitgebreid configureren (wanneer, hoe vaak). Snapshots vormen tevens de basis voor andere technologieën van Network Appliance, die als extra softwareopties te koop zijn.
Back-ups Snapshots brengen ons bij het laatste aandachtspunt van multi-protocol filers. De verschillen tussen UNIX- en Windows-bestanden hebben vooral te
NOP0505_p62-77_Labreport_NetworkAppliance.indd
67
een back-up maken, dan verlies je na herstel van deze back-up relevante gegevens, ook al lijkt het alsof de UNIXgebaseerde back-up is gelukt. Maak je van een NetApp filer een back-up met het locale dump-commando, dan verlies je geen metadata. Hetzelfde is het geval als je gebruik maakt van de inbegrepen NDMP-standaard (Network Data Management Protocol, zie www. ndmp.org), waarvan Network Appliance de geestelijke vader is, in combinatie met een back-up oplossing van een derde partij, zoals Veritas of Legato.
Niet alleen enterprises Heeft je organisatie UNIX-gebaseerde servers in gebruik voor mail, databases of andere applicaties met veel gegevensopslag, dan kan een filer van Network Appliance gebruikt worden om storage te consolideren. Datzelfde geldt als je werkt met Windows-gebaseerde file server. Werk je met UNIXtoepassingen op Windows-werkplekken door middel van X-servers of Citrix MetaFrame Presentation Server voor UNIX, of bedien je Windows-toepassingen op UNIX-werkplekken, dan biedt een filer als de FAS270 onmisbare technologie en opties om UNIX- en Windows-bestanden netjes te integre-
ren. De prijzen van Network Appliance filers beginnen bij 11.000 euro. De filers zijn hierdoor niet alleen geschikt voor enterprise-omgevingen, maar ook voor kleinere organisaties. Network Appliance heeft de filers en softwareopties voorzien van zeer uitgebreide documentatie. Zo is er onder meer een System Administrator’s Manual van 300 pagina’s, een Storage Management Guide van meer dan 350 pagina’s, een Network Management Guide van 250 pagina’s en een Manual Page Reference Guide met alle mogelijke commando’s voor de opdrachtregel van 500 pagina’s. Typische bestandsperikelen tussen CIFS en NFS worden beschreven in de File Access Management Guide van 400 pagina’s. Hierin staan tevens de andere ondersteunde toegangsprotocollen beschreven: FTP, HTTP, WebDav (Web-based Distributed Authoring and Versioning) als aanvulling op HTTP en DAFS (Direct Access File System). Overigens heb je deze documentatie alleen nodig om achtergrondinformatie te verkrijgen of om sporadisch heel specifieke zaken op of uit te zoeken. Voor het installeren, configureren, beheren en gebruiken van de filer is geen documentatie nodig; dat gebeurt allemaal webgebaseerd met FilerView. Y
Product: FAS270 multi-protocol filer Producent: Network Appliance ducts Website: www.netapp.com/pro r het voo o eur 00 11.0 Prijs: Vanaf ) 250 (FAS el mod kleinste multi+ Krachtige file server met ot gro ing; teun ers protocol ond sdow /Win UNIX om es aantal opti ; ren gre inte te bestanden webgebaseerd beheer; command line beheer voor geavanceerdere instellingen; uitstekende documentatie ngen - Veel geavanceerde instelli ce erfa -int web de zijn niet met te maken
67 6/8/05
19:22:05