SPOLEHLIVOST, RYCHLOST, CENA A POUŽITÍ FIREWALL A DETEKCE ÚTOKŮ UŽ DÁVNO NESTAČÍ

ˆÃ̜«>`ÊÊÓä£ä

-- Ê -9Ê 6Ê- ,6 ,  SPOLEHLIVOST, RYCHLOST, CENA A POUŽITÍ

/7",Ê- 1,/9Ê" /", 

/7",Ê 
6"1,Ê

9-FIREWALL A DETEKCE ÚTOKŮ UŽ DÁVNO NESTAČÍ

÷ -:Ê /  "1 
÷ Ê 2ÿ
STRAŠÁK, NEBO POMOCNÍK?

" -
 xÓÊ

NOVINKY AKTUÁLNĚ Z PODNIKOVÉHO IT

ÈÓÊ

BUDOVÁNÍ VLÁKEN MODERNÍ PARALELNÍ PROGRAMOVÁNÍ II.

ÇäÊ

OCHRANA PŘED VÝPADKEM UPS CYBERPOWER OR1500ELCDRM1U

xÈÊ

NA SERVERU BEZ PLOTÝNEK SSD DISKY NA SERVERECH

È{Ê

DO JADER PŘÍMO S INTELEM INTEL PARALLEL STUDIO 2011

ÇÓÊ

ZELENÁ PRO DVACET GIGABITŮ VYUŽITÍ RYCHLÝCH SÍTÍ V PRAXI

xnÊ

POSKLÁDANÉ PUZZLE KONVERGENČNÍ CENTRA OD HP

ÈxÊ

OCHRAŇTE SI DOMÉNU REGISTRACE OCHRANNÉ ZNAČKY

ÇÈÊ

MĚŘENÍ TEPLOTY SERVERŮ JAK A PROČ MĚŘIT

x™Ê

TICHÝ VÝKON SERVER THOMASKRENN.AG SR108 LOWNOISE

ÈÈÊ

PROČ NELZE VLASTNIT DOMÉNU PRÁVNÍ STRÁNKA DOMÉN

ÇnÊ

FIREWALLEM TO NEKONČÍ NETWORK BEHAVIOR ANALYSIS

ÈÇÊ

NECHTE SE ZAMĚSTNAT V IT ROZHOVOR SE ZÁSTUPCEM VIGOUR

STRAŠÁK, NEBO POMOCNÍK? ČESKÝ TELEKOMUNIKAČNÍ ÚŘAD

näÊ

ÈäÊ

HLÍDAČ Z REDMONDU FOREFRONT ENDPOINT PROTECTION 2010

ÈnÊ

SPRÁVNÉ INFORMACE PRO BYZNYS BAO

 



 
 

Jsme tam, kde je byznys

aktuality Windows 7 jsou na každém desátém firemním počítači

Nástroje pro přechod na Windows 7

Windows 7 už jsou nainstalovány na 10 % firemních počítačů v Severní Americe a Evropě. Dominantní pozici ve firemní sféře mají stále Windows XP, kterým patří 75 % trhu, sedmičky naopak překonaly o 3 % Windows Vista. Překvapením je, že 4 % patří Mac OS X, zatímco Linux používají 2 % firemních počítačů a 3 % stále fungují na Windows 2000. Windows 7 se začaly prodávat před rokem

Microsoft na svém partnerském kanále Connect zpřístupnil beta verzi nástroje Enterprise Desktop Virtualization 2.0, který je součástí Desktop Optimization Packu. MED-V 2.0 vychází z Windows XP Mode, který je možné doinstalovat do Windows 7. Umožňuje firmám nad desktopovými Windows 7 virtualizovat ostatní operační systémy z dílny Microsoftu, aby nemusely řešit případné problémy s nekompatibilitou aplikací. K dispozici jsou také nástroje pro hromadnou správu takto virtualizovaných strojů. Finální verze by měla být k dispozici v prvním čtvrtletí příštího roku.

a Microsoft prozatím prodal přes 240 milionů kopií, jedná se tak o nejrychleji prodávaný operační systém v historii.

Office 365 nahrazuje Microsoft BPOS Microsoft oznámil prozatím omezenou dostupnost staronové služby Office 365. Ta se prozatím testuje v 13 zemích světa a během příštího roku by měla být dostupná ve 40 státech. Office 365 bude postupně nahrazovat dosavadní služby Business Productivity Online Suite (BPOS), kterou Microsoft teprve nedávno představitel v České republice, Office Live Small Business a Live@edu. Produkt nabídne

cloudový balíček zahrnující Office Web Apps, Exchange Online, SharePoint Online a Lync Online. Microsoft tak chce přímo konkurovat službám jako Google Apps, LotusLive a Zoho. Firmy do 25 zaměstnanců zaplatí 6 dolarů měsíčně na osobu, větší podniky pak mezi 2 až 27 dolary. Prodávat se budou také doplňkové služby, jako pronájem desktopového balíku Office 2010 Professional Plus.

Unicorn Systems je novým partnerem SAS

Cisco otevřelo nové centrum v Praze Cisco v Praze otevřelo Center of Excellence, které bude poskytovat vzdálenou podporu zákazníkům společnosti ve 27 zemích po celém světě. V první vlně centrum zaměstnává 40 pracovníků, jejich počet by se přitom měl rozrůst až na 80. Praha je pátým městem na

světě, kde Cisco podobné centrum provozuje, a to po Káhiře, Torontu, Raleighu a Lisabonu. Pracoviště je vybaveno technologií TelePresence, technická podpora tedy můžete se zákazníky komunikovat přímo pomocí vyspělé VoIP technologie.

Unicorn Systems se na Slovensku a v Čechách stal novým partnerem softwarové společnosti SAS, která vyvíjí řešení pro business analytiku. Pro firmu jde o strategické partnerství, kterým rozšiřuje své portfolio o perspektivní oblasti datových analýz, datových skladů a datového miningu. Unicorn Systems v rámci partnerství získá přístup k analytickému softwaru, marketingovou a konzultační podporu SASu i nové možnosti pro vzdělávání svých specialistů. Globální leader v business analytice, společnost SAS, si od spolupráce slibuje kromě nových obchodních příležitostí i rozšíření báze konzultantů, které může perspektivně nasadit do vlastních projektů.

INZERCE101020134

aktuality Společnost D-Link uvedla na trh nové přepínače nazvané EasySmart z řady DES1100, které je možné pořídit ve variantách s 16 a 24 porty. Přepínače pracují se 100Mb/s sítí, jsou kompatibilní s IEEE 802.3, 802.3u a 802.3x, umožňují zvýšení přenosového výkonu pomocí sdružování portů, kontrolu přístupů do sítě pomocí statických MAC adres, ochranu proti zahlcení sítě či detekci smyček a spotřebu mají do 7,68 W. Konstrukce je kompletně bez ventilátoru a spravovat zařízení je možné pomocí konzole SmartConsole. K dispozici jsou od listopadu za 2 257 a 3 187 Kč.

NetSuite otevírá centrum v Brně Společnost NetSuite otevírá vývojové centrum v Brně, kde chce během několika následujících měsíců zaměstnat více než 100 zaměstnanců se znalostmi C++, Javy, SQL a internetových prohlížečů. Výrobce cloudových ERP systémů se tím zařazuje mezi významné IT společnosti s pobočkami v Brně. Moravské metropole láká díky kvalitním technickým vysokým školám a mladým mozkům. Prvních 20 nových zaměstnanců NetSuite, kteří mají být přijati ještě do konce tohoto roku, získá balíky akcií společnosti, což je součástí motivačního systému. Firma bude sídlit v Jihomoravském inovačním centru při VUT.

Správa disků s novými produkty Acronis Acronis uvedl na český trh Disk Director 11 Advanced v edicích Server a Workstation, které jsou určeny pro správu disků a úložišť ve firmách. S edicí Server je možné pracovat s disky na serverech a vzdálených úložištích, Workstation je pak určený pro desktopové počítače. Nově byla začleněna podpora Windows 7 a Windows Server 2008 R2, podpora dynamický disků, podpora disků typu GPT, je možné přidávat zrcadlené svazky, převádět disky typu MBR na GPT a naopak, klonovat disky na náhradní disky a umožněna je také vzdálená správa.

Oracle nabízí výkonný systém pro cloudy Oracle uvedl na trh Exalogic Elastic Cloud – systém založený na vlastní hardwarové i softwarové vrstvě, které dohromady umožňují provoz cloudových aplikací. Prioritu samozřejmě hraje interně vyvíjená Java, je zde ovšem možné spouštět také programy napsané v jiném jazyce. Systém je vybudován na Exadata Database Machine, pracuje s 64b procesory, Database 11g, Linuxem, Solarisem a umožňuje nasadit také Siebel CRM, E-Business Suite a další systémy Oraclu. Výhodou je především kompletní systém

a Oracle tvrdí, že je schopen dosahovat až desetinásobné rychlosti oproti běžným systémům.

Analýza podnikových dat od SAPu zdarma SAP uvolnil webovou službu Business Intelligence OnDemand v základní verzi zdarma. Dostupná je na webové adrese bi.ondemand.com a nevyžaduje žádnou

instalaci desktopových aplikací. BI OD podporuje mnoho formátů vstupních dat, můžete importovat například data z klasických dokumentů a přístup je díky webu možný z mnoha zařízení, například z mobilních telefonů. Zdarma dostupná verze je do jisté míry reakcí SAPu na poptávku po Busines Intelligence, kterou prozatím využívá kolem 28 % firem. Nástroj umožňuje reportování, analýzy, práci s tržbami a modelování budoucího rozvoje.

INZERCE 101020138

Nové přepínače EasySmart od D-Linku

V LISTOPADOVÉM VYDÁNÍ S PŘÍLOHOU FOR WOMEN

téma


Ê- ,6 ,1Ê <Ê *"/:  SSD disky na webových serverech Obliba SSD disků neustále roste a pomalu začínají ovládat přenosná zařízení. Do stolních počítačů jsou k dostání disky, v nichž SSD část tvoří aspoň rychlou cache nadprůměrných rozměrů, pokud ne rovnou celek. Mají ale SSD disky šanci podobně uspět ve webhostingovém serverovém světě?

O

dpověď by se mohla zdát jasná a stručná. Svět serverových aplikací, v nichž je rychlost vždy až na prvním místě, se zdá být ideálním prostředím pro využití technologie, která už při svém zrodu přeskočila své předchůdce rovnou o řád. Dalo by se říct, že jakákoliv jiná než kladná odpověď je jen krátkozrakostí tvůrce a architektů systémů. Pravda však je, že hromadné nasazení SSD disků v serverových strukturách, zvláště pak právě u webhostingu, je prozatím holá utopie.

„Mám server“ neznamená „mám webhosting“

AUTOR

Využití SSD disků v rámci webhostingových platforem není totéž jako vybavit si SSD diskem stolní počítač. Dnešní webhostingové

56

Marek Erneker výkonný ředitel IGNUM

Connect! listopad 2010

služby jsou často konfrontovány s požadavky na různě velkou dostupnost, která nedovoluje ani malé zaváhání. I pokud bychom pominuli nutnost chápat webhosting jako kombinaci několika služeb, jako jsou web a databáze, nejsou dnešní požadavky na webhosting splnitelné v rámci jednoho „Super-StandAlone“ stroje. Budeme-li se dívat na webhosting jako na kombinaci služeb webu a databáze, najdeme některá specifika, vůči nimž je zajímavé srovnávat schopnosti SSD disků a jejich výhody či nevýhody.

Chování velkých webhostingových platforem Představíte-li si webhosting jako platformu zajišťující chod desetitisíců webů, můžete nalézt až překvapivá specifika. Podobně jako jinde, i zde bude platit skoro zlaté pravidlo 80 : 20 – 80 % přístupů je na přibližně 20 % dat. Data webhostingů jsou v podstatě statická. Za posledních 30 dní jsou netriviální

změny dat provedeny na méně než 20 % webů. Největším generátorem nových dat nejsou zákazníci sami, ale systém, který data zpracovává, a to téměř výhradně generováním přístupových logů a jejich zpracováním. Rychlost naprosté většiny dynamických webů je přímo závislá na rychlosti databáze, kterou web využívá. Doba nutná k získání dat z databáze je v rámci přípravy stránky web serverem poměrově nejdelší. Většina obecně známých platforem při zpracování webů generuje přibližně třikrát více požadavků na zápis než na čtení, a to právě výše zmíněnou potřebou zaznamenat informaci o návštěvě stránky. Drtivá většina webů potřebuje pro svůj chod desetkrát méně dat v databázích, než kolik tvoří objem obrázků na webu.

Vlastnosti SSD Abyste měli nějaký základní přehled o chování a práci s SSD disky, vyjmenuji jejich základní vlastnosti: Aktuálně se využívají dva typy – MLC (Multi Level Cell) a SLC (Single Level Cell). Zatímco MLC jsou veskrze větší a pomalejší, SLC jsou relativně malé, ale často i dvakrát rychlejší. Disky nevyžadují defragmentaci, vlastnosti náhodného a sekvenčního čtení/ zápisu se v podstatě neliší.

téma

Drtivá většina SSD disků disponuje SATA II rozhraním, zastoupení rozhraní SAS je dáno kompatibilitou. Zastoupení v oblasti SCSI či IDE buď neexistuje vůbec, nebo je naprosto minimální. Mají omezený počet cyklů zápisu do jedné své buňky. Přístupová rychlost k datům je mnohonásobně větší, tedy disponuje adekvátně větším IOps než běžné mechanické disky. Běžně dostupná velikost se pohybuje okolo 64 GB u SLC či 256 GB v případě MLC verze. Výrazně se odlišuje jejich rychlost a chování podle velikosti zpracovávaných bloků a osazeného interního řadiče v SSD disku.

Rychlost není vše SSD disky jsou tedy mnohem rychlejší než dříve používané disky, ovšem současně také mnohem menší. A to již nemluvím o cenovém hledisku, které hovoří celkem jasně v jejich neprospěch. Abyste si udělali jasný obrázek o cenách disků, uvádím jednoduchou tabulku se základními disky běžně užívanými v serverech. Tabulka přehledu disků odráží přibližně očekávatelné hodnoty výkonu i ceny. Pro doplnění je uvedena i přibližná očekávaná hodnota u paměti běžného serveru. Uvedená hodnota rychlosti interní paměti serveru samozřejmě není náhodná, neboť je třeba myslet na to, že současný provoz webhostingových platforem s touto pamětí nutně počítá. Data jsou běžně odbavována přímo z paměti serveru, a dokážeteli zajistit, aby se cca 20 % obsluhovaných dat vměstnalo přímo do paměti, vyřešili jste možná 80 % všech požadavků bez účasti čtení z disku. Pro poskytovatele webhostingu je navíc velmi důležitý údaj cena za 1 GB rovnou ze dvou pohledů – obsazeného i nabízeného prostoru. Je těžko představitelné, že by bylo možné dosáhnout tržní ceny služby za použití ceny 226 Kč / 1 GB, pokud připustíme, že na trhu jsou nabídky firem, které staví servery s cenou 2,60 Kč / 1 GB (i méně). Pokud ale dokážete efektivně využít malé velikosti SSD disku jako určitého stupně vyrovnávací paměti pro hostovaná data, stává se tento způsob velmi efektivním a slouží pouze jako doplněk ke zvýšení rychlosti. A to i s ohledem na (v dlouhodobém provozu) nízkou spolehlivost. Toto nasazení dává značnou výhodu zvláště při nasazení MLC SSD disků i z pohledu stability takového řešení při výpadku této vrstvy cache. Spojovat SSD disky a cache se může zdát být smrtící pro jejich omezené množství zápisů. Nicméně opak je pravdou, neboť je třeba myslet na statické chování většiny dat a malý objem skutečně žádaných dat. Ve spojení s rozumnou tolerancí obnovy této

vyrovnávací paměti se vyvarujete přetížení disku neustálou obměnou dat a dlouhodobě získáte rychlý zdroj skutečně využívaných souborů.

Video raději ne… Není nezajímavé podívat se na webhosting také z pohledu návštěvníka. Při návštěvě webových stránek je kladen velký důraz na schopnost rychle získat obsahová a základní grafická data. Tolerance návštěvníků je v této věci relativně malá a weby s pomalou odezvou rychle ztrácí své návštěvníky. Naopak u dat stahovaných na vyžádání jsou návštěvníci velmi tolerantní a jsou ochotni se smířit i s delší prodlevou před zahájením stahování. Třebaže se stále nebavíme o vteřinách, či dokonce minutách, tolerance návštěvníka na delší „first response“ serveru je v takovém případě řádově větší. Soubory se často stahují na pozadí a není vyžadováno jejich okamžité zobrazení. Pro webhostera to znamená, že může rychlejší datové vrstvy využívat efektivněji, pokud nesleduje pouze četnost užití souborů, ale také typ jejich obsahu. Využívat drahý prostor na SSD disku např. pro často sledované video, image disku či zazipovaný obsah může takovou vrstvu cache snadno znehodnotit. Vytvořit takto propracovaný systém každopádně není jednoduché. Standardně využívané operační systémy nedisponují příliš velkou podporou pro řízení využití cache, a ještě méně pro vrstvení cache s různou charakteristikou. I tento fakt dává bod spíše složitějším a globálně navrženým platformám využívajícím schopností nějakého pokročilého systému před čistě webhostingovými StandAlone servery.

Rychlost databáze rozhoduje Jak již bylo řečeno, rychlost odezvy databáze tvoří největší část času během zpracování dynamických webových stránek. Nicméně databáze představuje oproti webovým datům nepoměrně menší množství dat, což podstatně zjednodušuje nakládání s nimi. Během ročního provozu běžného databázového serveru s více než tisícem webhostingových databází jsme zaznamenali pouze 0,8 % dotazů s charakterem výpisu všech hodnot tabulek a pouze 0,03 % dotazů nezpracovatelných do jedné sekundy. Méně než 0,01 % všech dotazů si nevystačilo s pamětí serveru a bylo nutné zpracovávat dotaz pomocí dočasných tabulek na disku serveru – tedy provádět Read/Write operace navíc.

Uvedené hodnoty jsou dosažitelné ze dvou důvodů: i přes množství databází jde o relativně malý objem dat a server je připraven a konstruován právě s ohledem na množství dat, která má zpracovávat. Díky tomu je drtivá většina dat zpracovávána výhradně z paměti serveru a diskové úložiště slouží pouze jako úložiště dat – jinak než pro zápis se v podstatě nevyužívá.

Porovnání rychlosti v praxi V nedávné době jsme v rámci přípravy nového projektu databázových serverů prováděli zároveň benchmarking MySQL databáze na stroji s SSD disky a srovnávací test na strojích bez SSD disků. Výstupy z testů ukázaly, že SSD disky zlepšují schopnost rychlého zpracování velkého množství Insertů a Updatů, nicméně nejčastěji využívaný příkaz Select rychlost SSD disku v podstatě neovlivnila. Důležitým faktem z hlediska použití SSD disku pro databázový systém je pak jeho spolehlivost. Jak již bylo řečeno, SSD disk má omezený počet cyklů zápisu, což s sebou přináší riziko možného poškození dat při takové události, a co hůře – u některých disků i zcela bez varování. Duplikovat SSD disk dalším SSD diskem pro zajištění vyšší spolehlivosti povede spíše k řetězové reakci, protože počet zápisů na disky bude shodný. Algoritmy disku pro zvýšení odolnosti před touto havárií jsou predikovatelné, a budou se tedy na obou discích chovat obdobně. Zde se také odráží nepochopitelnost nedostupnosti SSD SAS disků, které lze na trhu nalézt jen stěží. Ačkoliv se to nezdá, vybavenost protokolu SCSI používaného na SAS rozhraních je pro zachycení a odhalení chyby podstatně větší než SMART protokol používaný na chybové situace u SATA rozhraní. Pokud bych měl situaci ohledně SSD disků a jejich nasazení ve webhostingových centrech nějakým způsobem shrnout, tak SSD disky jistý přínos určitě představují. Ne však v oblasti hlavních datových nosičů, kde budou kvůli poměru cena /1 GB a vyšší spolehlivosti hrát stále ještě delší dobu prim klasické mechanické disky, ale v případě nasazení jako další mezičlánek v podobě vyrovnávací paměti mezi operační paměť a klasický pevný disk. V tomto případě mohou SSD disky razantním způsobem zrychlit odezvu serveru, což je ze strany koncového uživatele vždy velmi žádoucí. 

SSD disky Disk/paměť

Rychlost/typ

Velikost

IOps

Cena

Cena/1 GB

HDD 2TB WD2003FYYS

7 200 ot./min

2 TB

90

5 200 Kč

2,60 Kč

HDD 600GB WD6000HLHX

10 000 ot./min

600 GB

150

5 500 Kč

9,20 Kč

SSD MLC

256 GB

1 000

14 000 Kč

54,70 Kč

SSD SLC

64 GB

3 500

14 500 Kč

226 Kč

DDR3 ECC, 1 066 MHz FSB

4 GB

1 000 000

2 000 Kč

500 Kč

256GB SSDNow V-Series V+, SATA II 64GB SSD Intel X25-E, SATA II Interni paměť serveru

Connect! listopad 2010

57

téma

*Ê- Ê*1<< Konvergenční centra Hewlett-Packard HP v posledních měsících významně nakupovalo v koncovém i firemním segmentu. Nyní se ukazuje, k čemu to vše bylo dobré – firma chce nabídnout kompletní IT služby, aniž by zákazníci museli chodit jinam.

Aby HP mohlo takové komplexní služby nabízet, bylo třeba poměrně hodně inovací a zejména oněch tolik zmiňovaných nákupů (viz například článek o odkupu 3PAR v Computeru 18/10). HP sice mělo lehce upravitelný softwarový nástroj BladeSystem Matrix, serverové, datové a síťové řady však měly

H

ewlett-Packard ukazuje, kam se nejspíše bude firemní IT v budoucnu ubírat. Už tu nebudou malé a střední firmy, které doplňují portfolio těch velikých. Nebude tu výrobce serverů a dodavatel zálohovacího softwaru. Bude tu prostě pár velikých gigantů, kteří budou nabízet prakticky vše, od hardwaru přes síťové technologie až po softwarové služby. To všechno jako služba na klíč, dodávaná IT manažerům. 3Com doplnil síťové portfolio HP a každá část sítě je pokryta. Produkty můžete libovolně kombinovat a vybírat dle požadavků Konvergenční centrum nabízí veškeré dostupné nástroje Hewlett-Packard spojené do jednoho balíčku. Všechny položky je možné skládat modulárně

A firmy už nebudou zaměstnávat IT techniky, ti budou pracovat u dodavatelů. To, jak je tato budoucnost zajímavá, HP ukázalo na nových konvergenčních centrech.

Vše v jednom Konvergenční centrum (případně konvergenční infrastruktura) je sice pěkný a stylový pojem, co si pod tím ale představit? HP se pod toto jedno slovní spojení snaží

AUTOR

HP šikovně zalepilo díry ve třech stěžejních oblastech. Díky 3PAR, 3Comu a dalším akvizicím nyní může nabízet jednu velkou službu

58

Jan Sedlák Redaktor Computeru a Živě.cz

Connect! listopad 2010

nacpat pět základních služeb a produktů spojených s provozem firemního IT. V rámci Hewlett-Packard Converged Infrastructure tedy dostanete kompletní serverovou výbavu, datová úložiště, vyřešené napájení a chlazení, síťové prvky a síťovou infrastrukturu a v neposlední řadě softwarový nástroj pro správu všech těchto sesíťovaných kousků. Veškeré tyto prvky jsou hodně modulární, můžete si tedy vybrat přesně dle svých požadavků.

značné mezery, které bylo nutné zaplňovat externími dodavateli. Během posledního roku proto v HP doplnili serverové portfolio a nyní si můžete pořídit Superdome 2, Proliant G7 servery a rackové a blade servery. Datové služby XP, EVA či Lefthand nově doplnil Ibrix, Storeonce a zejména pak 3PAR, který umožňuje skladování dat v cloudu. Síťové prvky ProCurve pak doplnilo kompletní portfolio produkty od 3Com, tedy obchod, který HP dokončilo v tomto roce. Ze strany HP se akviziční kroky jednoznačně vyplatily. Díky odkupu 3Comu například vzrostl příjem síťové divize o 90 % a podobná čísla se očekávají také od dalších dvou segmentů. Zajímavou novinkou je také mobilní datové centrum HP POD. HP slibuje, že celý kontejner vybavený servery dle vašich požadavků dodá maximálně do šesti týdnů. Vše je vybavené konvergenčními centry. 

téma

s ECC, především je však tato paměť zálohovaná baterií – informace v paměti řadiče tak jsou zachovány i při výpadku napájení o délce až 72 hodin. Srdcem tohoto serveru je středně výkonný čtyřjádrový procesor Intel Xeon X3440 s technologií Turbo Boost, kterému sekunduje celkem 8 GB DDR3 pamětí s ECC. Disky má SR108 zapojeny do režimu RAID 10 (1 + 0), nejdříve se tedy zrcadlí a zrcadlící dvojice se pak stripují. Takový RAID je rychlejší než 0 + 1 a hodí se například pro velkou databázi – je totiž rychlý (naměřili jsme rychlost čtení 164 MB/s) a zároveň zálohovaný pro případ, že by se jeden z disků porouchal.

Důmyslný návrh Vnitřní uspořádání komponent v serveru je uzpůsobeno optimálnímu chlazení: stude-

V prostorné skříni zůstala díky základní desce ve formátu micro ATX spousta nevyužitého místa

Cena tohoto serveru 54 500 Kč i s DPH, dopravou i pojištěním je více než dobrá – kdybyste si postavili tento server sami, vůbec byste neušetřili. Můžeme jej tedy i s ohledem na jeho provozní vlastnosti a výborný návrh ke koupi jen doporučit. 

2-*", :Ê6:" Server Thomas-Krenn Tower Intel Dual-CPU SR108 LowNoise Servery od společnosti Thomas-Krenn byly doposud známé jen v Německu, kde se vyrábí, případně v Polsku a Anglii. Nově si jej ale mohou objednat i zákazníci z Česka, dokonce byla spuštěna česká verze webových stránek. My jsme pro vás jeden ze serverů Thomas-Krenn otestovali a vězte, že má co nabídnout.

S

erver SR108 byl zabudován do klasické stojaté skříně, Thomas-Krenn má ale v nabídce i rackové servery o rozměrech 1U až 4U. Skříň má výklopná dvířka, za kterými se ukrývá DVD mechanika a čtveřice 320GB pevných disků v hotswapových rámečcích. Disky mají sice jen 7 200 ot./min, jedná se ale o spolehlivou RAID edici od Western Digital, uzpůsobenou pro nepřetržitý provoz. Nejenže jsou nesrovnatelně tišší a úspornější než disky s 10 000 ot./min, ale také levnější a s větší kapacitou. Na disky fouká tichý 12cm ventilátor Noiseblocker XL1, který lze za provozu jednoduše vyjmout, pak se ale značně zvýší rychlost otáček procesorového ventilátoru. Jedná se o důmyslné řešení poruchy ventilátoru – nehrozí, že by se disky přehřály.

Pořádný řadič

AUTOR

Všechny disky jsou připojeny k výkonnému čtyřportovému hardwarovému SATA/SAS RAID řadiči 3WARE, který podporuje všechny možné RAID režimy – 0, 1, 5, 6, 10 i 50 a je zasazen do rychlého PCIe × 8 slotu. Řadič má zabudováno 512 MB DDR2 cache paměti Antonín Trčálek Autor je vedoucím testovacího centra v časopise Computer

Thomas-Krenn Intel Dual-CPU SR108 Procesor

Intel Xeon X3440 2,53 GHz (2,93 GHZ s Turbo Boost), 4 jádra (8 vláken), 8 MB Smart Cache, LGA1156

Základní deska

SuperMicro Server X8SIL-F, čipset Intel 3420, 7× USB, 2× DualGigabit LAN + 1× 100 Mb/s LAN, IPMI 2.0

Paměť Procesorový chladič Ventilátory

ný vzduch vzadu nasává tichý 12cm Noiseblocker XL1 a středně hlučný 8cm ventilátor 600W zdroje Fortron, teplý zase vyfukují již zmíněný diskový ventilátor a tentýž druhý, umístěný pod ním. Výsledkem je skutečně efektivní chlazení a průchod vzduchu; navíc až na mírně bzučivý zvuk procesorového ventilátoru je to velmi tiché. Stačí ale v BIOSu nastavit režim ventilátoru na „Energy Saving“ a jeho otáčky se sníží a docílíte hlučnosti středně tiché počítačové sestavy. V porovnání s jinými servery ale musíme tento označit za takřka neslyšný. Ani se spotřebou na tom není SR108 vůbec špatně – bez zátěže si řekne o nízkých 76 W, při mírné zátěži pak o 110 W a při vysoké maximálně o 190 W. Server dostanete nainstalován s linuxovou distribucí Debianu, máte však možnost i v podrobném konfigurátoru na stránkách www.thomas-krenn.com kromě hardwarových komponent zvolit už předinstalovaný operační systém od Microsoftu. Líbí se nám také možnost výběru záruční doby, kterou můžete mít dlouhou až 60 měsíců, nebo si můžete objednat další nadstandardní servis. tichý chod, důmyslný návrh nízká spotřeba, konstrukce možnosti konfigurace

Zdroj Pevné disky

RAID řadič Kabel DVD mechanika Rozměry (š × v × h) Záruční doba Cena

2× 4 GB ATP DDR3-1066 ECC Noiseblocker NB-TwinTec M12-P 3× 12cm Noiseblocker NBBlackSilentFan XL1 Fotron FSP600-80GLC 4× Western Digital RE3 WD3202ABYS, 320 GB, 7 200 ot./min, 16 MB cache, SATA 3 Gb/s 3WARE AMCC 9690SA-4i, 4× SATA/SAS, 512MB DDR2-533 ECC + záložní baterie 3WARE Battery Backup Unit 04 3WARE Multilane Serial ATA 50 cm LG GH22NS40 217 × 440 × 667 mm 12 měsíců (možnost mít až 60 měsíců) 54 500 Kč se zasláním i pojištěním

Nad DVD mechanikou najdete posuvnou záklopku, která drží celou přední část. Pak se dostanete ke šroubům, které drží boční kryty

pro tichý chod nutno nastavit BIOS

Connect! listopad 2010

59

téma

/ Ê- Ê <
ù-/
/Ê6Ê/ Rozhovor s IT zaměstnavatelem VIGOUR Pokud hledáte práci v IT, nemusíte chodit přímo do firem, ale můžete vyzkoušet také zprostředkovatele. Zeptali jsme se proto zástupců společnosti VIGOUR, jak to v této oblasti chodí. Pro koho zájemci o práci ve VIGOUR pracují? Jsou zaměstnanci vaší firmy ve vašich vývojových a technologických centrech s tím, že VIGOUR pracuje jako dodavatel IT služeb pro zákazníky? Nebo působíte jako jakýsi zprostředkovatel a dodavatel odborníků pro vaše klienty? VIGOUR je IT zaměstnavatel. Posláním společnosti je nejen poskytovat variabilní pracovní kapacitu špičkových IT specialistů, ale zároveň těmto specialistům vytvářet podmínky pro dlouhodobý kariérní rozvoj. Praxi tak získávají převážně na projektech zákazníků, ale např. systematické vzdělávací programy a certifikační kurzy jim přinášíme my na základě dohodnutého kariérního plánu. Děláte spíše jednorázové zakázky pro vaše klienty, nebo s nimi spolupracujete na dlouhodobé bázi? Je tedy zaměstnanec spíše sezónním pracovníkem na určitý druh práce, nebo má pracovní příležitosti zajištěné dlouhodobě? Naším jednoznačným cílem je navázat s našimi specialisty dlouhodobý vztah – minimálně v horizontu 3–5 let. Orientuje-

60

Connect! listopad 2010

me se tedy zejména na lidi s potenciálem a chutí na sobě pracovat. Těm dáváme šanci vyrůst ve skutečně špičkové architekty, konzultanty a manažery. Krátkodobá spolupráce je možná, ale nelze na ní stavět dlouhodobý rozvoj. A nám nejde o pouhé umístění specialistů na vhodné pozice na ICT projektech. Naším cílem je dlouhodobé systematické budování „poolu“ špičkových specialistů v České republice a na Slovensku. To je základní důvod našeho strategického partnerství se skupinou Unicorn. U náborových inzerátů uvádíte pouze fráze jako „pro našeho významného klienta“. Jistě si tím zajišťujete to, aby zájemce o práci nešel přímo za klientem, kdo jsou ale vaši zákazníci? Jaké společnosti a z jakých zemí? Naším nejvýznamnějším zákazníkem a zároveň strategickým partnerem je společnost Unicorn Systems. Jako výhradní dodavatel specialistů pro jejich projekty máme možnost obsazovat pozice na významných ICT projektech nejen v České republice, ale dnes už po celé Evropě. Naši specialisté tak mají možnost prokazovat své schopnosti

v největších bankách, pojišťovnách, telekomunikačních či energetických společnostech. Součástí jejich kariérních plánů jsou dnes např. projekty vývoje a servisu front-endových bankovních informačních systémů v Česku, stejně jako implementace informačních systémů pro podporu obchodních procesů v energetické soustavě v Itálii, Holandsku, Anglii a dalších zemích. Jak vypadá takový přijímací rozhovor nového zaměstnance? Kolika koly musí projít, s jakým formátem přijímacího řízení se potká a na koho zde narazí? Přijímací pohovor se může lišit dle pozice, nejčastější je dvoukolová forma. V prvním kole se uchazeč setká s náborovým specialistou a odborným garantem. Náborový specialista posuzuje osobnostní předpoklady a jazykovou vybavenost uchazeče – ten by neměl být zaskočen, pokud část pohovoru proběhne v angličtině, komunikativní angličtina je pro nás samozřejmý základ pro úspěšnou kariéru. Úkolem odborného garanta, zkušeného IT specialisty v příslušné oblasti, je posoudit odborné znalosti a potenciál uchazeče. Ústní části pohovoru předchází u vybraných pozic strukturované testy. Uchazeč, který úspěšně projde prvním kolem, je pozván na druhé kolo za účasti manažera projektu, kam je uchazeč potenciálně plánován. Cílem druhého kola

 

  

je posoudit vhodnost uchazeče vzhledem ke konkrétní pozici. Odlišný průběh má nábor do speciálních training programů Hatchery. Ty jsou určeny pro juniory a absolventy IT oborů vysokých škol a jejich cílem je intenzivní praktickou formou připravit budoucího specialistu pro nástup na první projekt. Náborový pohovor je zde zacílen zejména na posouzení potenciálu uchazeče, tedy analytické a logické myšlení, základní technologické znalosti a opět schopnost komunikovat anglicky. Podle vašich informací nabízíte možnosti také talentovaným juniorům a seniorům. Jaké možnosti to přesně jsou? Co když jsem například středoškolský student, který se zabývá programováním, a rád bych se někde při škole uplatnil? Jednou z našich cílových skupin v náboru jsou studenti a absolventi vysokých škol. Pro ty jsme připravili zmíněné training programy, zaměřené na přípravu juniorů pro základní projektové pozice v oblasti vývoje, analýzy i testování. Z dlouhodobého hlediska se nám ukázalo, že se výrazně vyplatí investovat do mladých lidí s potenciálem a velkou chutí na sobě pracovat. Vytváříme tak podhoubí, ze kterého už nám v minulosti vyrostly desítky naprosto špičkových specialistů a manažerů. Velkou výhodou IT oboru je rychlost vývoje a změn. To dává obrovskou šanci všem, kteří skutečně chtějí růst a stát se např. softwarovými architekty bez ohledu na to, na jaké startovní pozici se dnes nachází. Pokud na sobě budou opravdu makat, mohou se dostat mezi elitu relativně rychle. O jaké pozice je v oblasti IT největší zájem, a které se vám naopak nedaří zaplnit? Pokud se bavíme o lidech v IT, každý si na prvním místě představí programátora. Je to logické, IT je technologický obor a nejčastějším kariérním plánem je stát se specialistou/ architektem v určitých technologiích. Výrazně menší zájem je posunout se od technologií k řízení a stát se vedoucím týmu a později projektovým manažerem. Řadě specialistů se nechce opustit technologie a vyměnit je za zadávání práce, hodnocení členů projektu a další úkoly vyplývající z odpovědnosti za realizaci projektu. Specifickou oblastí, okolo které existuje spousta zbytečných předsudků, je testování. Testerské pozice byly zcela neprávem vnímány jako druhořadé. Přitom dnes patří zkušení test manažeři mezi nejžádanější specialisty.

 
   
 
  
  p
/FQÐFUSxJU¹
PDISBOB
LUFS¹
OF[BUÄxVKF
TZTUÁNPWÁ
QSPTUÐFELZ p
#MPLVKF
LS¹EFxF
JEFOUJUZ
POMJOF
B
[KJtwVKF
B
PETUSBÊVKF
TQZXBSF p
;KJtwVKF
CMPLVKF
B
PETUSBÊVKF
OFCF[QFÀOÕ
LËE p
1PN¹I¹
CMPLPWBU
QÐÅTUVQ
IBDLFSÑ
EP
TZTUÁNV

INZERCE 101019980

Odborné znalosti určitě nejsou všechno, jaké softskills podle vás zájemcům o práci v ICT chybí? Máte naprostou pravdu, že sebelepší znalost technologií pro úspěšné fungování na IT projektu nestačí. Dobrá znalost klienta, jeho businessu, procesů a schopnost práce v týmu, to vše patří mezi nezbytné předpoklady. Nejen analytici, ale i programátoři musí aspoň rámcově rozumět např. bankovním produktům, aby mohli vyvíjet pobočkový informační systém. Zde narážíme u nových uchazečů často na velmi slabé ekonomické znalosti. A není to jen o věcech, se kterými se člověk běžně setkává. Řada specialistů, kteří chtějí být úspěšní, musí dobře rozumět přenosovým soustavám elektrické energie nebo výběru pojistného a daní. Co se týče soft-skills, pro všechny je velmi důležitá schopnost týmové práce, nebo jak říkáme, schopnost řídit a být řízen. Při realizaci korporátních informačních systémů není prostor pro experimenty s novinkami. Je třeba používat ověřené postupy a technologie. Klíčovou se pak stává schopnost odvést svou práci přesně a včas podle zadání. To vše může být často pro nováčky svazující. Kdo se tím ale nenechá odradit, má šanci stát se špičkovým IT specialistou. VIGOUR mu k tomu dá prostor. 

  

[email protected], tel.: 481 001 000, www.sw.cz

Connect! listopad 2010

61

systémy

1 "6 Ê6 Moderní paralelní programování II. Jestliže chcete softwarové vývojáře, jež doposud píší své aplikace sekvenčně, přesvědčit o tom, že právě tvorba paralelních programů je ta jediná správná perspektiva, musíte jim popsat, jak se ve skutečnosti takový paralelní program buduje.

P

otěšující je fakt, že moderní informatika nabízí několik metodik, které se věnují tvorbě paralelních programů na různé úrovni abstrakce. Nicméně, zkušení paralelní programátoři přišli na to, že nejschůdnější cesta je následující: Sestavte sekvenční program Paralelizujte sekvenční program Získáte paralelní program Tento scénář zavádí paralelizmus do již existujícího a plně funkčního sekvenčního programu, řeč je o implementaci paralelizmu do stávající sekvenční kódové základny. Přestože všechny informace, které uvedu dále, mají všeobecnou platnost, v tomto výkladu se budu koncentrovat zejména na objektové sekvenční, resp. objektové paralelní programy. Z pohledu softwarového inženýrství lze životní cyklus standardního sekvenčního programu charakterizovat těmito stádií: Analýza funkčních požadavků sekvenčního programu Návrh modelu sekvenčního programu Implementace sekvenčního programu dle navrženého modelu Ladění a testování sekvenčního programu Optimalizace sekvenčního programu Experimentální nasazení sekvenčního programu Ostré nasazení (distribuce) sekvenčního programu

62

Connect! listopad 2010

Inkrementální inovace a údržba sekvenčního programu Přirozeně, pokud je vaším cílem paralelizace sekvenčního programu, tak sekvenční program neprojde všemi z osmi popsaných etap. Pro potřeby své následné paralelizace je sekvenční program hotov už po absolvování prvních pěti fází. Jinými slovy, budování sekvenčního programu „končí“ v tomto kontextu jeho optimalizací. To je celkem logické, neboť samotná paralelizace je náročná, takže jako vývojáři potřebujete nejkvalitnější možný sekvenční kód. Jestliže jej máte, můžete vybrat variantu paralelizmu, úroveň abstrakce, na níž budete paralelizmus do sekvenčního programu zavádět a samozřejmě také nástroje, které vám pomohou zvládnout implementaci procesu paralelizace. Paralelně (neboli konkurenčně či souběžně) můžete provádět: stejné procesy na různých datových objektech různé procesy na různých datových objektech různé procesy na stejných datových objektech Když uskutečňujete stejné procesy na různých datových objektech, realizuje se datový paralelizmus. To znamená, že souběžně provádíte totožnou manipulační akci na množině datových objektů. Datový paralelizmus ovšem smíte zavést i tehdy, potřebujete-li aplikovat stejný proces na

identický datový objekt. Za těchto okolností je nutno datovou sekci objektu diskrétně segmentovat, na což obdržíte diskrétní (čili nezávislé) datové segmenty, na nichž bude posléze uskutečněn požadovaný proces (kupříkladu může jít o transformaci, která vyústí do změny dat). Jelikož se chcete vyhnout explicitní synchronizaci, za nutnou podmínku je považována právě zmíněná diskrétnost datových segmentů. Naproti tomu úlohový paralelizmus se definuje jako souběžné uskutečňování množiny procesů. Datové objekty, jež jsou s těmito procesy asociovány, jsou v nejlepším případě opět diskrétní povahy (analogicky, pokud by nebyly, museli byste explicitně zavádět synchronizační mechanizmy, poněvadž by hrozilo nedeterministické chování paralelního programu). Budou-li splněny formulované nutné podmínky, lze první dvě z uváděných možností realizovat paralelně bez nutnosti explicitní synchronizace. Poslední z nastíněných variant už tak přímočará není – pokud mají být různé procesy aplikovány na stejné datové objekty, musíte tyto procesy koordinovat prostřednictvím synchronizačních primitiv a technik. Vybrané aspekty datového a úlohového paralelizmu můžete společně přepojit, čímž získáte novou variantu paralelizmu, které se říká kombinovaný paralelizmus neboli paralelizmus datových toků. Tento model si nejlépe představíte jako výrobní linku se zástupem robotů. Na začátek linky umístíte prozatím nehotový produkt a necháte roboty, aby na něj postupně, v předem určeném a vždy jednoznačném pořadí, aplikovaly různé procesy. Jak se výrobek posouvá dál a dál po výrobní lince, je roboty vylepšován a montován tak, aby mohl dosáhnout svého finálního stavu. V této souvislosti je

systémy

důležité poznamenat, že jakmile se výrobek dostane ze začátku do následujícího stádia svého zpracování, musí být na výrobní linku umístěn další výrobek a poté zase další atd., až dokud nebude kapacita výrobní linky plně obsazena. Plná vytíženost výrobní linky je optimální stav, neboť chcete, aby všechny roboty byly zaneprázdněny prováděním manipulačních operací ve stylu, jímž výrobky plují po montážní lince. Když máte jasno v tom, jakou variantu paralelizmu použijete, musíte přijmout rovněž kvalifikované rozhodnutí o tom, na jaké úrovni abstrakce budete paralelizmus do programu implementovat. Obecně platí, že vývojáři dosahují tím vyšší pracovní produktivitu, čím vyšší úroveň abstrakce při své práci používají. Jestliže se budete zaměřovat spíše na aplikační logiku programu, budete s povděkem kvitovat vysokou úroveň odstínění od všech nízkoúrovňových technických detailů, jež se pojí se zavedením paralelizmu. Nakonec před vámi stojí otázka, jaké nástroje použijete na to, abyste náš sekvenční program přetavili do formy paralelního programu. Jako programátoři očekáváte následující softwarové zabezpečení: programovací jazyk s podporou POOP překladač s podporou POOP knihovna tříd s podporou POOP exekuční prostředí s podporou POOP Zásadní je proměna původně sekvenčního programu na paralelní program. Než tuto změnu absolvuje samotný program, musí jí projít také vývojář. Jak správně myslet paralelně, popíšu až příště, nyní prosím berte sestavení paralelního programu z původně sekvenčního programu jako hotovou věc. Poté, co jste paralelizmus úspěšně zavedli, vás čekají následující etapy životního cyklu paralelního programu: ladění a testování paralelního programu experimentální a ostré nasazení paralelního programu inkrementální inovace a údržba paralelního programu Ve fázi ladění paralelního programu je cílem zjistit, zda je program prost jakýchkoliv nebezpečných kolizních stavů a zda se za všech okolností chová ryze deterministicky.

Jestliže je paradigma paralelního programování použito nesprávně, může zapříčinit vážné chyby, které se projeví nekorektním fungováním paralelního programu. Při neodborné manipulaci jsou často do programu zaváděny velice těžce odhalitelné chyby, přičemž mnohé z nich mohou mít latentní povahu – to znamená, že tyto chyby mají tendenci objevovat se sporadicky. Takovéto chování je typické pro paralelní programy, které obsahují chybu soupeřivých vláken, na nichž jsou souběžně prováděny variabilní výpočetní procesy. Bez zabíhání do podrobností je možné říci, že soupeřivá vlákna jsou vlákna, která bojují o kolekci zdrojů (například objek-

tů). Jsou-li tyto zdroje předmětem sdílení (čili žádné z přítomných vláken nemá svoji vlastní kopii těchto zdrojů) a není-li koordinován přístup vláken k těmto zdrojům pomocí explicitně aplikovaných synchronizačních mechanismů, výsledek výpočtu je závislý na pořadí, v jakém se k dotyčným sdíleným zdrojům vlákna dostanou. Pokud každé z vláken změní stavy objektů v kolekci, není možné dopředu předpovědět, v jakých stavech budou tyto objekty zanechány po zpracování paralelního programu. A to je

problém, neboť paralelní program tak bude generovat různé výstupy i tehdy, když pracuje se stejnými vstupy. Paralelní program se ovšem nikdy nesmí chovat nedeterministicky, což znamená, že když mu poskytnete v různých časových okamžicích stejná vstupní data, musí být schopen se cíleně dopracovat vždy k totožným výsledkům. Další dobře známou chybou související s neodbornou implementací paralelizmu je uváznutí (deadlock). Představte si dvě vlákna, která drží zámky nad svými objekty. Když obě vlákna budou chtít získat přístup k vzájemně cizím objektům, aniž by byl jasně stanoven přesný postup této operace, dojde k selhání – žádné vlákno nechce jako první odemknout svůj objekt, obě zoufale čekají na to, že odemknutí provede nejdříve „to druhé“ vlákno. Přestože zmíněné dvě chyby jsou pro paralelní programování více než specifické, neznamená to, že se při implementaci paralelizmu nemůžete setkat také s množstvím dalších chyb. Jenom se snažím poukázat na skutečnost, že při paralelním programování musíte bojovat s novými chybami a kolizními stavy, které se při tradičním sekvenčním programování nevyskytují. V momentě, kdy je paralelní program odladěn (tedy prost chyb), je nutné zjistit pomocí testování jeho výkonnostní metriky. Je důležité vědět, jak si vede paralelní program po výkonnostní stránce vůči ekvivalentnímu sekvenčnímu programu. Přestože pečlivou rozpravu na téma „výkonnostní analýza paralelního programu“ popíšu jindy, je oprávněné očekávat, že paralelní program bude generovat prokazatelně vyšší výkon vůči původnímu sekvenčnímu programu. Jedním dechem ovšem musím dodat, že tento vyšší výkon dovede paralelní program dosahovat jedině tehdy, když bude zpracováván na adekvátní hardwarové platformě (na stanici s více procesory nebo na stanici s jedním procesorem, ovšem vícejádrovým). Nárůst výkonu paralelního programu může být sublineární, lineární nebo superlineární. Jakmile je paralelní program otestován, může být nasazen, a to ať už experimentálně v laboratorních podmínkách, nebo i ostře u finálních uživatelů. Samozřejmě, podobně jako u sekvenčního programu, také u paralelního programu je důležité věnovat pozornost jeho pravidelným inovacím, a udržovat jej tak ve stále skvělé formě. 

Connect! listopad 2010

63

systémy

"Ê
,Ê*ÿ"Ê -Ê /   Recenze Intel Parallel Studio 2011

ných a prakticky orientovaných postupů a návodů, jež jsou vedeny stylem „krok za Jedním z nástrojů pro paralelní programování je Parallel krokem“. Domnívám se, že programátoři budou Studio 2011 přímo z dílen Intelu. Můžete se těšit na přímé jednotlivé nástroje z balíku používat jednak napojení na funkce vícejádrových procesorů. podle svých dosavadních zkušeností s paraalík Intel Parallel Studio 2011 se po vat a odhalit nepříjemné chyby, ke kterým lelním programováním a jednak také podsvé instalaci integruje do vývojovépatří paměťové úniky, narušení datové intele aktuálního stadia životního cyklu svých ho prostředí Microsoft Visual Studio grity, soupeření vláken či uváznutí vláken na sekvenčních, respektive paralelních progra2010 (jedná se tedy o symbiotický, nikoliv mrtvých bodech. Testům smí být podroben mů. Máte-li k dispozici odladěný a optimasamostatně působící produkt). Uvnitř parajakýkoliv paralelní nativní kód jazyka C++, lizovaný sekvenční program, nejjednodušší lelního studia jsou integrovány následující jenž využívá variabilní techniky a platformy cestou ke zjištění, jak velikou porci výkonu nástroje: pro paralelizaci (kupříkladu Intel Threading paralelizace přinese, získáte pomocí prograIntel Parallel Amplifier 2011 – TenBuilding Blocks, Intel Cilk Plus, Win32 API mu Advisor. Ten své analýzy uskutečňuje na to nástroj slouží k diagnostice množiny přímo spustitelných souborech (.exe), které a OpenMP). Intel Parallel Advisor 2011 – Dovolím frekventovaně volaných funkcí, které mají byly sestaveny buď v ladících (Debug), nebo si tvrdit, že to bude právě Advisor, který si zásadní vliv na celkovou výkonnost sekostrých (Release) režimech. začínající paralelní vývojáři oblíbí ze všeho Práce s nástrojem Advisor probíhá venčního a paralelního programu. Rovněž nejvíce. Tento nástroj totiž provádí základv následujících krocích: měří čas nutný k realizaci synchronizačních operací a pomáhá s určením Identifikace výpočetně aktivních míst v kódu sekmíry alokace výpočetních zdrojů počítačového systému venčního programu – Tato činběhem režimu zpracování nost je vykonána automaticky paralelního programu. programem. Ve výstupním výkaIntel Parallel Composer zu je zobrazen kompletní strom 2011 – Díky tomuto nástroji funkčních volání i s jejich časolze implementovat paralevými charakteristikami. V procesu lizmus do sekvenčních proparalelizace je nutné se soustředit gramů. Composer sdružuje zejména na tato známá „horká nejnovější verzi překladače místa“ sekvenčního programu. Explicitní označení regionů firmy Intel pro jazyk C++, dále kódu, do nichž bude řízeně sadu výkonnostních primitiv zaveden paralelizmus – Této Intel Integrated Performance činnosti se říká modelování Primitives (IPP), kolekci rozparalelizmu; v prostředí nástrošíření standardní šablonové je Advisor se tak děje pomocí knihovny jazyka C++ pro podporu explicitní paralelizaspeciálních anotací, jež vymezují Testování výkonnostních metrik paralelního programu nástrojem Intel ce s názvem Intel Threading začátek a konec regionů, které Parallel Amplifier 2011 Building Blocks (TBB) a konečbudou implicitně paralelizovány ně, soubor rozšíření pro paralelní ladící proní analýzu sekvenčního programu a navr(syntakticky jsou anotace reprezentovány gram (Intel Parallel Debugger Extension). huje, kde a jak do něj zavést paralelizmus. programovými makry). Test výkonnostní efektivity označeSpolečně se všechny tyto nástroje zaměřují Program identifikuje regiony sekvenčního ných paralelizovatelných regionů kódu na buď implicitní, nebo explicitní implekódu, jež mohou být paralelizovány (jde – V rámci zmíněného testu software zkoumentaci paralelizmu do sekvenční kódové o tzv. paralelizovatelné regiony), a poté prozákladny. vádí predikci potenciálního nárůstu výkonu má, zda ze zavedení paralelizmu plynou Intel Parallel Inspector 2011 – Ladění prozatím sekvenčního programu poté, co větší celkové výnosy, než jaké jsou celkové paralelních programů si vezme na mušku bude transformován na ekvivalentní paranáklady, jež proces paralelizace generuje. lelní program. tato komponenta paralelního studia. InspecProgramátorovi je nabídnut matematický model odhadu výkonnostního chování tor je schopen analyzovat, ladit a testovat Práce ve studiu sekvenční i paralelní programy, jež byly budoucího paralelního programu. Jestliže je sestrojeny v C++. Přitom se snaží detekoDoprovod výše uvedeným nástrojům dělá koeficient celkového nárůstu výkonu příznitechnická dokumentace, která se ihned po vý, Advisor přichází s touto radou: původní úspěšné instalaci softwaru rovněž stává sousekvenční program má cenu převést na jeho Ing. Ján Hanák, Ph.D., MVP částí dokumentačního systému vývojového paralelní variantu. Vysokoškolský pedagog, spisovatel odborné Verifikace korektnosti budoucího prostředí Visual Studio 2010. Dokumentace počítačové literatury, softwarový vývojář, IT konzultant paralelního programu – Samozřejmě je kvalitní, hutná a plná dobře pochopitel-

AUTOR

B

64

Connect! listopad 2010

systémy

paralelní program musí správně fungovat a produkovat deterministické výstupy. Pokud je s paralelizací spjat jakýkoliv problém plynoucí ze sdílení datových objektů, bude zjištěn a zdokumentován. Navíc Advisor doporučí techniky, jak analyzované problémy sdílení dat vyřešit. Nahrazení modelovaného paralelizmu skutečným paralelizmem – Všechny transformace, jež byly doposud aplikovány pouze na model paralelního řešení, budou implementovány do skutečného sekvenčního programu, který se rázem promění na program paralelní. Jako paralelní platforma může být použita platforma Intelu (TBB, Cilk Plus) nebo jakákoliv jiná platforma.

Automatizace úkonů Pokud právě vyvíjíte paralelní program a rádi byste analyzovali jeho chování a další aspekty (jako je zejména škálovatelnost ve vztahu k počtu výpočetních jader procesoru), pomůže vám nástroj Amplifier. Portfolio

analýz tohoto programu se skládá z analýzy zastoupení výpočetně intenzivních míst paralelního programu, analýzy výkonnosti paralelních regionů a analýzy výkonnosti paralelního programu při práci se zámky a synchronizačními objekty. Výsledky, k nimž Amplifier dospěje, jsou vám předávány v kombinované podobě (textové i grafické). Opět jsou k dispozici sumární statistiky, které říkají, zda paralelní program dosahuje sublineární, lineární nebo superlineární nárůst své výkonnosti vůči ekvivalentnímu sekvenčnímu programu. Není nutno zvlášť zdůrazňovat, že hledání chyb v paralelních programech je nesmírně náročná činnost, která vyžaduje roky praxe a cit pro paralelizaci. Naštěstí je nástroj Inspector navržen tak, aby vám vaše úsilí usnadnil. Program je s to identifikovat dvě základní množiny kolizí: paměťové kolize a vláknové kolize. Paměťové testy jsou vždy realizovány vůči vstupní datové sadě, kterou je moudré volit v rozumné velikosti

tak, aby se příliš neprodloužil čas, jejž si vyžádá celková analýza. Pochopitelně pro přesnější výstupy je prospěšné, když má Inspector k dispozici také symbolické informace programu, jež vzešly z ladící verze paralelního programu. Práce s nástrojem je komfortní a přesná, z čehož plyne, že vývojáři mohou chybové stavy diagnostikovat a ošetřovat efektivněji než kdykoliv předtím. Softwarová kolekce Intel Parallel Studio 2011 je jednotkou pro vývoj nativních paralelních aplikací v jazyce C++. Všechny nástroje jsou důmyslně provedeny s důrazem na automatizaci úkonů, které umožňují programátorům rychleji navrhovat, odlaďovat a dodávat paralelní programy. Plusem je rovněž automatická paralelizace překladače Intel C++, podobně jako i bohatá konfigurační nastavení, která zaručují nadstandardní míru zastoupení dalších softwarových optimalizací (a to nejenom z hlediska paralelizace). 

" ,
ý/ Ê-Ê " 1 Jak registrovat ochrannou známku Nejlepším způsobem, jak právně ochránit svou doménu, je registrovat si její znění jako ochrannou známku. Předejdete tak všem případným budoucím formám zneužití své značky. Registrace ochranné známky může na první pohled působit jako trochu komplikovaný proces, ve výsledku se ale určitě vyplatí. Troufnete si na to?

O

chranná známka je označení tvořené slovem (názvy firmy, výrobků, služeb, reklamní slogany atd.), obrázkem (abstraktní logo), případně jejich kombinací (logo), barvou a jejich kombinací (bez grafického ztvárnění), zvukem, nebo trojrozměrným objektem (tvar výrobku). Toto označení se může vztahovat k jakýmkoliv výrobkům, službám, názvům společností a doménám. Ochranná známka se vždy váže ke konkrétnímu území a může tak být národní (na území ČR), mezinárodní (pro určité země) nebo Společenství (na území EU).

Kde a za kolik Národní ochranná známka se registruje u Úřadu průmyslového vlastnictví za poplatek 5 000 Kč. Ochranná známka Společenství se registruje u Úřadu pro harmonizaci vnitřního trhu za poplatek 1 050 eur a mezinárodní ochrannou známku lze registrovat u Mezinárodního úřadu Světové organizace duševního vlastnictví v Ženevě. Poplatek se přitom odvíjí od toho, v jakých zemích má být známka zaregistrována.

Aby to nebylo příliš komplikované, budu se nyní věnovat jen registraci národní ochranné známky. Přihláška se podává písemně Úřadu průmyslového vlastnictví na vytištěném formuláři, faxem nebo poštou, případně elektronicky s přiloženým elektronickým podpisem. Přihláška se podává v jednom vyhotovení a týká se pouze jedné ochranné známky. Údaje o znění, vyobrazení nebo podobě ochranné známky, uvedené v přihlášce, jsou závazné a není možné je po podání přihlášky žádným způsobem upravovat ani doplňovat. Správní poplatek je možno uhradit kolkem, vylepeným přímo na přihlášce, převodem z účtu, složenkou, nebo přímo na pokladně ÚPV v hotovosti.

Průběh registrace Přihláška ochranné známky musí mít tyto hlavní náležitosti: znění nebo plošné vyobrazení přihlašované ochranné známky jméno a adresu přihlašovatele seznam výrobků nebo služeb pro zápis ochranné známky

Po podání přihlášky ochranné známky provede Úřad nejdříve její formální průzkum, zda obsahuje všechny předepsané náležitosti. Pak zahájí průzkum věcný, ve kterém se zjišťuje, zda označení není vyloučeno ze zápisu a neobsahuje prvky vedoucí k záměně se starší zapsanou nebo přihlášenou ochrannou známkou. V případě schválení zveřejní Úřad průmyslového vlastnictví přihlášku ve svém Věstníku ochranných známek. Toto zveřejnění přihlášky trvá 3 měsíce, a slouží k tomu, aby se mohl kdokoliv proti zápisu zveřejněné známky bránit formou námitek. O námitkách je pak vedeno námitkové řízení, a pokud byly námitky oprávněné, může toto řízení vést k zamítnutí přihlášky. V případě, že během zveřejnění nejsou podány žádné námitky (nebo byly-li námitky zamítnuty), zapíše Úřad označení do rejstříku ochranných známek a vydá přihlašovateli certifikát. Zápisem ochranné známky získává přihlašovatel pro označení ochranu na dobu 10 let od data podání přihlášky. Nejdříve 12 měsíců před skončením desetileté doby ochrany může přihlašovatel podat žádost o obnovu ochranné známky na dobu dalších 10 let. Na webu Úřadu průmyslového vlastnictví (www.upv.cz) si můžete snadno ověřit, zda už případně neexistuje nějaká podobná ochranná známka. Můžete si zde také stáhnout formulář pro přihlášení vlastní ochranné známky a dovědět se další podrobnosti o průběhu registrace. Nebudete-li si při vyplňování přihlášky s čímkoliv vědět rady, nebojte se obrátit na pracovníky Úřadu, rádi vám poradí. 

Connect! listopad 2010

65

systémy

*,"÷Ê < Ê 6
-/ /Ê " 1 Jak chápat právní stránku domén Doménová jména neboli domény jsou velmi zvláštním druhem majetku. Svým způsobem ani majetkem nejsou, nelze je totiž vlastnit. V praxi se často setkáváme s pojmy jako „vlastník domény“, „doména ve vlastnictví“ a podobně, právo ale mluví jinak. Poradíme vám proto, jak se vyhnout případným budoucím nedorozuměním.

P

ojem „doména“ není nikde definován a z právního hlediska je pouze zkráceným označením pojmu „doménové jméno“. Ani tento pojem však nenaleznete v žádném zákonu platném na území České republiky, a dokonce ani v rámci vyhlášek EU. Jediná existující definice pojmu „doménové jméno“ se nachází v Pravidlech registrace doménových jmen v ccTLD.cz vydaných sdružením CZ NIC. Přestože každý uchazeč o doménu musí při registraci potvrdit, že s těmito pravidly souhlasí, jen málokdo si je skutečně přečte. Výsledkem pak mohou být i zdlouhavé právní potyčky. Česká pravidla definují doménové jméno takto: „Doména druhého stupně je tvořená povolenou kombinací povolených znaků.“ To však nijak neusnadňuje práci právníkům, kteří si pod tím dokážou představit ledacos. Zatím se všichni shodují na tom, že problematika domén spadá do civilního práva a řeší se podle občanského zákoníku. Jakákoliv práva osob k doméně jsou totiž ryze smluvní a samotné nakládání s doménou tak není předmětem trestního práva, nemůže být proto důvodem pro trestní stíhání a uvěznění.

Právní povaha domén

AUTOR

V rámci občanskoprávních vztahů je především nutné určit, zda je doména věc, právo nebo jiná majetková hodnota. Většina práv-

66

Lubor Kopecký Šéfredaktor měsíčníku Svět hostingu společnosti IGNUM

Connect! listopad 2010

ních znalců z oblasti IT se shoduje na tom, že doména spadá do kategorie „jiná majetková hodnota“. Jde o jakousi zbytkovou skupinu, která zahrnuje vše, co není věc nebo právo. To vše za předpokladu, že má doména jistou ekonomickou hodnotu. V dosud publikované literatuře jsou domény často považovány za tzv. „nehmotný statek“, který může být předmětem společenských vztahů bez ohledu na své vyjádření v hmotné podobě. Je pro něj tedy charakteristická schopnost být současně vnímán a užíván zároveň na neomezeném počtu míst kdekoli na světě, neomezeným počtem osob a bez jakékoli hmotné újmy.

Vlastník nebo držitel? Z pohledu práva je doména nehmotným statkem a jinou majetkovou hodnotou. Z toho ale vyplývá, že v souvislosti s doménami nelze mluvit o věcných právech. Osoba, která si pro sebe doménu registrovala, tak není jejím vlastníkem a nemůže doménu prodat, zastavit ani spoluvlastnit s jinou osobou. Pojmy „vlastník“ či „majitel“ tak nejsou v případě domén úplně správné a potvrzují to i zmíněná pravidla registrace, která pracují pouze s termínem „držitel“. Tento pojem je tedy jediný správný a plně vystihuje právní vztah mezi osobou a doménou. Pravidla registrace doménových jmen v ccTLD.cz definují držitele jako fyzickou nebo právnickou osobu, která má pro sebe registrováno doménové jméno. Není-li v záznamu o držiteli vyplněn název společnosti nebo organizace, považuje se za držitele osoba, která podala žádost o registraci doménového jména. V případě, že je vyplněn

název společnosti nebo organizace, pak se za držitele považuje tato společnost nebo organizace. Držitel tedy nevlastní samotné doménové jméno, je spíše držitelem oprávnění užívat danou doménu.

Odebrání domény Registrací domény však vzniká mezi registrátorem a osobou, jež si doménu registruje, smluvní vztah, podobný vlastnickému právu. Zpravidla s tím totiž souvisí závazek registrátora nepřevést doménu na jinou osobu ani neumožnit jiné osobě ji užívat, bude-li stávající držitel plnit své povinnosti, především hradit roční poplatek za vedení domény v registru. Každý držitel ale může o svoji doménu v některých případech přijít, nejčastěji z důvodu nezaplacení poplatku na další období. Doména se pak vrací zpět do registru volných domén a opět si ji může kdokoliv zaregistrovat. V mnoha případech ale byla doména odňata svému držiteli i z důvodu porušení pravidel registrace. O tom může rozhodnout pouze sdružení CZ NIC, zpravidla na základě soudního rozhodnutí. Nejčastěji je doména soudně odebrána v případě, kdy na ni uplatní právo někdo jiný než stávající držitel, zpravidla vlastník stejnojmenné ochranné známky. Sdružení CZ NIC však může odebrat doménu i v případech, kdy jsou údaje vedené o držiteli v centrálním registru nepravdivé, neúplné či zavádějící. Dalším důvodem může být zánik držitele bez právního nástupce, případně jeho smrt bez právoplatných dědiců. Stejně tak, hovoříme-li o prodeji domény, nejde ve skutečnosti o převod vlastnictví k doméně, ale jen o úplatný převod práv k užívání domény. V konečném důsledku tedy doménové jméno není nic víc, než kombinace znaků odkazující na určitý server, která je nám pouze propůjčena sdružením CZ NIC (v případě CZ domén). Domény proto nejsou a nikdy nebudou majetkem osob, které si je registrovaly. Na to je dobré pamatovat a podle toho k nim také přistupovat. 

systémy

-/,
.]Ê "Ê *"" ¶ Český telekomunikační úřad Činnost Českého telekomunikačního úřadu, jednoznačně největší a nejmocnější instituce v ITC oboru, významně ovlivňuje a kontroluje oblast elektronických komunikací, médií a poštovních služeb. Chystáte-li se jakkoliv podnikat v těchto oblastech, pak se bez spolupráce s ČTÚ neobejdete.

T

AUTOR

uzemský telekomunikační úřad vykonává státní správu v oblasti komunikačních služeb, včetně regulace trhu a stanovování podmínek pro podnikání. Smyslem jeho existence má být nahrazení chybějících účinků hospodářské soutěže a vytvoření předpokladů pro ochranu uživatelů a dalších účastníků trhu. Tuto funkce by měl ČTÚ zastávat, než trh dosáhne plně konkurenčního prostředí. Úřad má rovněž zajišťovat ochranu některých služeb v oblasti rozhlasového i televizního vysílání a služeb informační společnosti. V praxi to znamená, že ČTÚ přiděluje rádiové kmitočty rozhlasovým stanicím, uděluje licence telekomunikačním operátorům či schvaluje práva na výstavbu sítí elektronických komunikací. Důležitou funkcí je i poskytování zkoušek odborné způsobilosti, které jsou nutné k vydání průkazu k obsluze některých vysílacích rádiových zařízení nebo individuálního oprávnění k využívání kmitočtů. V oblasti elektronických komunikací ČTÚ zajišťuje například to, aby uživatelé získali

Lubor Kopecký Šéfredaktor měsíčníku Svět hostingu společnosti IGNUM

maximální výhody z hlediska možnosti volby služby, ceny a kvality či aby nedocházelo k narušování nebo omezování hospodářské soutěže. Zároveň také podporuje efektivní investice do infrastruktury a inovací.

Dohled nad monopolem V případě poštovních služeb dohlíží úřad především na to, aby nikdo neporušoval monopol na služby, kterou jsou vyhrazené pouze České poště, tedy dodávání vnitrostátních poštovních zásilek do hmotnosti 50 g a ceny nižší než 18 Kč a také dodávání peněžních částek poukázaných poštovním poukazem. Dále ČTÚ vydává oprávnění pro využívání rádiových frekvencí a provozování jakýchkoliv rádiových vysílacích zařízení. Stejně tak i uděluje oprávnění k využívání telefonních čísel (na základě číslovacích plánů). V posledních letech spadá pod správu Českého telekomunikačního úřadu také proces rozvoje digitálního vysílání v České republice, který se řídí Technickým plánem přechodu. Ten stanovuje lhůty, podmínky a postupy při ukončování analogového vysílání v jednotlivých oblastech republiky. Podle aktuální verze tohoto plánu bude analogové televizní vysílání v České republice definitivně vypnuto k 30. červnu 2012.

Spolupráce napříč Evropou V oblasti elektronických komunikací spolupracuje ČTÚ s mezinárodními vládními i nevládními organizacemi. Čeští zástupci se tak účastní zasedání v rámci orgánů Organizace pro ekonomickou spolupráci a rozvoj (OECD), Mezinárodní telekomunikační Unie (ITU), Evropské konference správ pošt a telekomunikací (CEPT), Evropského ústavu pro telekomunikační normy (ETSI) či Světové poštovní unie (UPU). O novinkách a událostech z oblasti telekomunikací informuje ČTÚ ve svých periodikách Telekomunikační věstník a Poštovní věstník. Mnohem zajímavějším čtením jsou ale měsíční monitorovací zprávy, kde naleznete shrnutí toho nejdůležitějšího, co se na českém trhu událo v oboru telekomunikací. Nejúplnější přehled o dění v rámci ČTÚ pak najdete na Elektronické úřední desce, na níž můžete sledovat rozhodnutí a návrhy, ale také se k nim veřejně vyjadřovat v sekci Diskuzní místo. Pro případ, že by některý ze zaměstnanců ČTÚ jednal s vedlejšími zájmy, zprovoznil úřad protikorupční e-mailovou linku na adrese [email protected]. ČTÚ dnes patří k nejmocnějším úřadům v ČR a za zmínku stojí i fakt, že jako jediný ústřední orgán státní správy má samostatnou kapitolu ve státním rozpočtu. Tento úřad navíc stále rozšiřuje pole své působnosti, především v oblasti internetu a nových médií. Téměř každý významnější subjekt v našem oboru tak bude dříve či později spadat do pravomoci ČTÚ. Nezbývá tedy než doufat, že ve vedení této instituce budou vždy vzdělaní a zkušení odborníci. 

Connect! listopad 2010

67

systémy

-*,6 ÊÊ  ",


ÊÊ *,"Ê 9< 9Business Analytics and Optimization (BAO) Řízení velkých podniků a korporací není v dnešní době nic lehkého. Vlastně by se dalo říci, že i přes veškeré technické pokroky je to dnes těžší než kdy dřív. Mnohdy i střední a malé podniky čelí komplexním situacím a pravidelně se potýkají se složitými úkoly.

V

Richard Dobiš

je z hlediska techniky naprosto triviální, ne už tak jeho zasazení do kontextu a správné interpretace uživateli. Z tohoto důvodu má například mnoho lidí problémy vyhledávat na internetu každodenní informace pro osobní potřebu. Mnohdy neví, jak formulovat dotaz, aby našli to, co právě potřebují, tj. aby zobrazená data zodpovídala kontextu tazatele. Pokud si tento aspekt představíte v podnikových rozměrech, uvědomíte si závažnost celé situace. Do chvíle, kdy byla většina dat v businessu strukturovaná, bylo jejich používání přímočaré. Tato data se dala podle jednoduchých klíčů uložit do databází a následně v nich pohodlně hledat. Časem se ovšem podíl strukturovaných dat vůči nestruktuovaným značně zmenšil a v dnešní době činí pouze 20 %. Video, zvuk, různé dokumenty či obrázky, to jsou dnešní formáty používané k přenosu informací. Práce s nimi je ale poněkud složitější, neboť neexistuje jednotný klíč, standard či postup, jak je ukládat, indexovat a hlavně jak v nich vyhledávat. Nejde pouze o získání informací samotných, ale také o investovaný čas a hlavně náklady. Neaktuální informace je totiž stejně zbytečná, jako žádná.

Konzultant Global Business Services v IBM Česká republika

Správná rozhodnutí

Martin Tříska

Při rozhodování o důležitém kroku firmy je potřeba znát veškeré okolnosti, které s daným krokem souvisí. Neschopnost analyzovat obrovská kvanta dat rychle a kvalitně způsobuje, že se dnes více než třetina ma-

AUTOR

AUTOR

eškerý business na globální i lokální úrovni se spoléhá na informace, jejichž množství exponenciálně roste, a pro jejichž měření se dokonce musí vymýšlet nové jednotky (posledním příkladem je zettabajt). Každý den vytvoříme 15 petabajtů nových dat a orientovat se v nich, extrahovat z nich ty důležité, pro danou firmu relevantní informace a následně se podle nich rozhodovat klade obrovské nároky nejenom na lidské zdroje a čas, ale hlavně na samotný proces práce s daty. Hlavní potíž není v samotném množství dat, ale překvapivě v lidském myšlení. Naše mysl například není stavěna pro práci s čísly v takové podobě, jako jsou uložena pomocí informačních technologií. Pokud něco chceme zjistit, nepokládáme pouze strukturované dotazy pomocí atributů (např. jídlo, práce, restaurace), ale ptáme se „Kde se dá dobře najíst?“. Stroje ovšem tyto dotazy neumí „pochopit“ a vrátit relevantní výsledky tak, jak to umí lidská mysl. I když je třeba říct, že vývoj techniky jde i v této oblasti mílovými kroky vpřed. Úkol nalezení požadované položky v miliardách záznamů

68

Stážista v softwarové divizi IBM Česká republika

Connect! listopad 2010

nažerů častěji rozhoduje na základě svých zkušeností než podle reálných faktických údajů. Není v lidských silách pročíst všechny materiály k aktuální problematice a udělat si správný názor. V běžném případě při rozhodování slouží lidská intuice dobře. Někdy je však prvotní lidská intuice překážkou správného rozhodnutí. Některé situace, které se na první pohled jeví jako zcela jasné, při bližším pohledu odkrývají okolnosti, které zcela mění podstatu věci. Představte si, že si opakovaně házíte mincí – náhodně s pravděpodobností ½ dostanete v každém hodu rub (R), nebo líc (L), např. RRLLR… Kolikrát musíte hodit mincí, abyste dostali v řadě trojici RLR, resp. RLL? (Například v řadě LLRRLR je třeba hodit mincí šestkrát, aby vznikla trojice RLR.) Intuitivně se zdá, že oba vzory RLR i RLL jsou v podstatě stejné, a tedy lze dostat příslušný vzor v průměru po stejném počtu hodů mincí. Není tomu tak – trojici RLL získáte dříve. Technika podobné apriorní představy nemá, a právě to je důvod, proč se lidé stále více spoléhají na její podporu. Rozhodnutí často zahrnuje desítky i stovky parametrů, jejichž vzájemné vztahy, i když jsou známé, není možno v mysli udržet současně. Představte si, že řídíte dva, tři projekty, ve kterých můžete využít šest pracovníků, a jejich schopnosti se částečně překrývají. V tomto případě dokáže zkušený manažer navrhnout vhodné přiřazení pracovníků na projekty, zadefinovat priority projektů, zohlednit dovolené i rychle zapracovat změny související s nemocností. Na druhé straně si představte úkol řízení desítek projektů a pracovníků, z nichž je každý schopen pracovat na několika typech úkolů. Dále si představte, že je potřebné vyhodnocovat možnosti urychlení a pozdržení některých projektů, při dodržení podmínek kolektivních smluv

systémy

a podepsaných kontraktů a z nich vyplývajících penalizací, a tak dále. Tady i zkušený manažer přivítá asistenci technologií, které navrhnou optimální řešení podle manažerem zvolených kritérií. Konečný výběr z „optimálních“ řešení, které má každé jinak nastavenou rovnováhu mezi přínosy a náklady, je na manažerovi, který vyhodnotí i další postoptimalizační kritéria – jako může například být dobré jméno firmy, která je oddaná úspěchu každého zákazníka, ať to interně stojí, co to stojí.

Správný přístup k informačním technologiím BAO (Business Analytics and Optimization) představuje přístup k informačním technologiím, kdy s jejich pomocí mohou vznikat kvalitní a do detailu promyšlená rozhodnutí, která by jinak nebyla možná. Analytické nástroje zachytí veškeré relevantní informace, a nestane se tak, že by se něco důležitého přehlédlo nebo vyhodnotilo mimo správný kontext. Není se však třeba bát, že by technika přebrala lidskou práci. Technika v procesu rozhodování působí pouze jako podpora lidí, a i přes veškerou dokonalost bude konečné rozhodnutí vždy a pouze na člověku.

Základní myšlenky: BAO strategie Řešení BAO nabízí pro všechny vrstvy businessu řadu možností, jak zlepšit konkurenční schopnosti podniku na trhu. Jakkoli jsou tyto myšlenky o pokročilém využívání dat přínosné, nejsou všespásné. I když je podnik pevně odhodlán maximálně využít svých investic do hardwaru, softwaru, lidí, sběru a čištění dat, není jednoduché dosáhnout dobrého časování a postupnosti jednotlivých investic. BAO strategie je „základní kámen“, který je tím nejdůležitějším, co musí firma udělat, než se pro BAO rozhodne. Představuje „klenbový svorník“, který drží pohromadě ostatní kameny firemní strategie pokročilého využívání dat. Cílem je, aby aktivity v této oblasti nebyly jenom navzájem si konkurujícími projekty, které si kradou zdroje, ale soustředily se na cílevědomé kroky na cestě vpřed. Obsahem strategie je definovat požadavky a cíle, které firma od nasazení BAO očekává, stanovit reálné cíle, zpracovat plán jejich dosažení a následně je také průběžně kontrolovat. Není to lehký proces, ale je důležité nebát se, nechat si poradit a následně systematicky jednat. Přínosy se postupně dostaví samy. Pokročilé analýzy a optimalizace V určitých situacích nemusí běžné metody požadavkům podniku stačit. Specifická odvětví si žádají specifická řešení, a proto existují i speciální postupy. Některé úkoly jsou pro standardní algoritmy příliš složité a je potřeba vymyslet a nasadit speciální matematické modely či metody. Příkladem

mohou být různé prediktivní analýzy (např. fuzzy clustering nebo regresivní metody v direct marketingu), optimalizace toku výrobků (např. optimalizované nastavení hranice mezi pull a push přístupem) atd. Samozřejmostí jsou dnes i simulace budoucího chování (tzv. what-if analýzy), které na základě historických vzorů v datech (získaných např. klasifikací data-miningem) predikují budoucí stav a umožňují náhled na potenciální důsledky zvažovaných rozhodnutí. Vizualizace těchto výsledků, což je jenom špička ledovce, usnadňují tyto výstupy pochopit širšímu počtu uživatelů z business i IT sféry. Business Intelligence (BI) & Performance management Jak již bylo několikrát zmíněno, přesnost a aktuálnost informací je pro každou oblast podnikání naprosto zásadní. Není náhodou, že právě toto je hlavní výzvou pro většinu podniků. Nejde přitom jenom o analýzy statických (historických) dat, ale v poslední době také například o zpracování dat v reálném čase. Příkladem mohou být například systémy sledující počasí, dopravu nebo stav sítě telekomunikačních operátorů. Dopravní společnost tak například může okamžitě reagovat na dopravní zácpu na dálnici a přesměrovat své vozy jinam, čímž ušetří náklady z prodlení. Operátor v případě možného přetížení sítě v dané lokalitě posílí pokrytí mobilními vysílači, a zamezí tak výpadku atd. BI systémy tedy pro uživatele sjednocují informace do jednoho rozhraní, pomáhají je analyzovat, a tak pochopit „proč“ a „jak“. Nedílnou součástí je také Enterprise Performance Management (EPM), který se zaměřuje hlavně na klíčové indikátory výkonu (KPI), jako jsou například zisk, návratnost investice (ROI), náklady atd. Tyto KPI umožňují sledovat, reportovat a hlavně na jejich základě rychle reagovat. V tomto úkolu pomáhají nástroje jako Dashboardy či Scoreboardy, které slouží právě k monitorování těchto KPI. Manažer tak může mít každodenní aktuální přehled o situaci ve firmě, o výši nákladů, stavu projektů, hodnotě zásob a podobně. Enterprise Information Management Ve všech výše uvedených bodech se mluví o potřebě analyzovat data a nejrůznější informace a na jejich základě optimalizovat chod společnosti. Připravená data jsou základním předpokladem úspěchu analýzy a optimalizace. Zvláště ve velkých společnostech je běžné, že jsou informace uloženy v heterogeních systémech, mnohdy i různě po světě. Je neekonomické provádět nad takovýmito roztříštěnými datovými zdroji jakékoli analýzy a hledání. Proto je předpokladem pokročilého využívání dat kvalitní řízení informací (EIM). Informační management zahrnuje např. správu životního cyklu informací a dat, datovou kvalitu, zabezpečení porozumění datům a jejich transformaci

napříč celou společností a taktéž fyzické uložení dat v datových skladech. Kvalitní EIM zajistí také snadnou rozšiřitelnost v budoucnosti. Nezávislost jednotlivých vrstev informační architektury na sobě pak usnadní adaptaci na případné budoucí změny (např. výměna klíčového ERP systému). Enterprise Content Management Enterprise Content Management (ECM) je na stejné úrovni základního předpokladu využívaní dat v kontextu BAO jako EIM. Nejde o produkt, který by si mohl zákazník koupit, nainstalovat a jednoduše začít používat. Naopak, jde o celkovou myšlenku správy obsahu. Každý podnik kromě externích výstupů (např. smlouvy, faktury) generuje také spoustu interních informací. Mnohdy si však ani neuvědomujeme, co vše je potřeba uložit a zpracovat: e-maily, poštu, telefonáty, naskenované dokumenty, obrázky. Každý z těchto formátů byl vytvořen svým specifickým způsobem a nakládání s ním je možné většinou jenom přes aplikaci, ze které pochází. Toto omezení ovšem znesnadňuje práci jiným systémům, které potřebují s těmito soubory také pracovat. Lepším řešením, než vytvoření soustavy konektorů do stávajících systémů, je ECM – myšlenka jednotné správy veškerého obsahu, kdy platforma zastřešuje všechny požadavky na práci s nestrukturovanými daty a dokáže je efektivně a rychle vyřešit. Součástí ECM je tradičně hlídání verze dokumentů, nepotřebných či duplicitních souborů, čímž se sníží i nároky na paměťový prostor. Dalším přínosem je, že veškerá data lze snadněji zabezpečit a spravovat práva přístupu pro jednotlivé uživatele napříč celou společností či pomocí webových služeb i externím partnerům.

Proč BAO? Business analýza a optimalizace je jednoznačně pozitivní přístup k pokročilému využívání informací v podniku. Pomáhá řídit organizaci chytřeji a efektivněji. Je to dosaženo kombinací dovedností a postupů jak z oblasti IT a managementu, tak i ze znalostí z předmětu podnikání. S takto strukturovaným přístupem může každá organizace zlepšit nezávisle na velikosti své fungování. Nástroje pro práci s analytickými výstupy přenáší zdlouhavou přípravnou část na IT systémy. Implementace myšlenek BAO zajistí, že každý člověk v rozhodovacím procesu bude mít v daný okamžik pouze relevantní a správné informace, čímž se zkvalitní i samotné rozhodnutí. V business procesech se tedy implementace BAO nejviditelněji projeví jejich zrychlením a snížením počtu chyb vyplývajících z nesprávných informací. Lidem v klíčových pozicích tento přístup umožní soustředit se na klíčové úkoly, a plnit tak firemní i osobní cíle, minimalizovat riziko prováděných operací, zvýšit podíl na trhu a samozřejmě také zisk. 

Connect! listopad 2010

69

systémy

" , Ê *ÿ Ê6:*
  CyberPower GreenPower Office LCD RM 1500VA/900W Pokud chcete, aby váš server nespadl hned při prvním výpadku proudu, určitě se poohlédněte po UPS. Požadavky na serverovou UPS jsou však vyšší – aby pasovala do racku, měla vysoký výkon, všechny možné ochrany nebo vylepšenou správu.

U

PS s krkolomným názvem CyberPower GreenPower Office LCD RM 1500VA/900W je zajímavá především svou malou tloušťkou. Vejde se vám v racku jen do výšky 1U (44 mm), a tak rozhodně mnoho prostoru nezabere. Zároveň podle udávaných parametrů není žádným ořezávátkem, měla by zvládnout dodávat výkon až 900 W a přepne se na baterii za vcelku přijatelné 4 ms. UPS je postavena na technologii Line Interactive, která dokáže skokově stabilizovat vstupní napětí, aby se co nejvíce blížilo předepsanému napětí, aniž by UPS přecházela na bateriový režim. Ve většině případů stačí tento typ UPS. Při větší nestabilitě nebo při úplném výpadku vstupního napětí dochází k přepnutí na baterie, a to s prodlevou napětí 4–10 ms, což nemusí být pro některé citlivé zátěže z provozního hlediska vhodné. Běžný server by prodlevu 4 ms měl ustát, navíc pokud UPS byla typu Online (nejdražší, ale bez prodlevy), nejenže by měla baterie nižší životnost, ale i samotná UPS značně nižší účinnost.

Čisté a konstantní napětí

AUTOR

CyberPower Office je opravdu bytelná UPS s hmotností téměř 20 kg, celokovovým pláštěm a podsvíceným LCD displejem. Nabízí

70

rovnou šest chráněných lichoběžníkových napájecích konektorů, z nichž jsou čtyři zálohované. Samozřejmostí je i ochrana sítě LAN či telefonní linky – do vstupního i výstupního RJ-45 konektoru můžete zapojit i RJ-11. Samotná ochrana spočívá ve velkém množství filtrů, jež chrání server proti přepětí i podpětí v síti, proti proudovým rázům, úderu blesku či EM a VF rušení. Zálohu zajišťují celkem čtyři 12V akumulátory o kapacitě 9 Ah, což dává dohromady výkon vcelku vysokých 432 Wh. Testoval jsem UPS při zátěžích 150 W, 300 W a 400 W, přičemž při 150 W vydržela napájet testovací sestavu dobrých 48 minut. U dvojnásobné zátěže už se příliš nepředvedla a vydržela jen 18 minut, u 400 W pak 12 minut a 20 sekund. Zkoušel jsem i vyšší zátěže – při 600 W se UPS rovnou vypnula, při 500 W taktéž. Nejvyšší zátěž, kterou UPS ustála, bylo 460 W, což je oproti deklarovaným 900 W docela podstatný rozdíl. Pokud tedy chcete UPS použít pro servery s celkovým odběrem vyšším než 400 W, poohlédněte se raději jinde. Co se spotřeby v klidu týče, UPS nepřetržitě odebírá 17 W, i když má nabité baterie, což není zrovna nejnižší hodnota, ale vzhledem k množství funkcí je přijatelná.

Pokročilá správa Antonín Trčálek vedoucí testovacího centra v časopise Computer

Connect! listopad 2010

Na čelním panelu UPS najdete nejen zapínací tlačítko chytře chráněné krytkou (proti nechtěnému vypnutí UPS), ale především

modře svítící displej, který ukazuje aktuální dobu výdrže, kapacitu baterie a velikost vstupního a výstupního napětí. Displej se po delší nečinnosti vypne, aby nerušil. Tyto hodnoty se dozvíte samozřejmě i ze softwaru – PowerPanel Personal Edition, který umožňuje i základní správu UPS, jako je například časový plán vypnutí a zapnutí zařízení připojených k UPS nebo vypnutí systémových

CyberPower OR1500ELCDRM1U Počet chráněných zásuvek / z toho zálohovaných Ochrany Další chráněné konektory Indikace Komunikační kanál Rozšiřitelnost Vypnutí výstražného zvuku Spotřeba samotné UPS Pojistka Zobrazené informace

6 / 4 (IEC 320C13) proti podpětí i přepětí, elektromagnetickému (EMI), vysokofrekvenčnímu rušení (RFI), proti proudovým rázům a úderu blesku RJ-45, RJ-11 LCD displej: doba výdrže, kapacita baterie, vstupní a výstupní napětí USB 2.0, COM SNMP Card Communication přes webové rozhraní, softwarem 19,0 W elektronická stav nabití, vstupní, případě i výstupní napětí, historie výpadků a problémů v síti a další

Nastavení plánu vypínání

ano

Zasílání varovných zpráv

ano

Podpora OS

Windows 98/ME/2000/2003/XP/ Vista/7, Linux (Network)

Možnost dokoupení SNMP adaptéru

ano

Možnost redundance

ne

Čeština Technologie Rozměry Hmotnost

ne online 485 × 40 × 433 mm 19,4 kg

Udávaný výstupní Výkon

1 500 VA / 900 W

Typ akumulátoru

4× 12 V, 9 Ah

Doba nabíjení

10 h

Příslušenství

datový kabel, napájecí kabely

Cena

7 500 Kč

systémy

zvuků. Pokud požadujete více, určitě si nainstalujte vylepšenou správu přes webové rozhraní – PowerPanel Business Edition Agent. Tam uvidíte přesnou velikost vstupního i výstupního napětí, frekvenci, aktuální zátěž v procentech i ve wattech, případně dobu, po kterou přibližně UPS vydrží tuto zátěž napájet. Nutno říct, že je tento odhad vcelku přesný.

Omezený výkon Nastavení UPS přes webové rozhraní je velmi podrobné a více než dostačující. Lze třeba zvolit práh kapacity baterií, při kterém se má UPS vypnout, zda a kdy má po výpadku přejít počítač do režimu spánku nebo se vypnout. Případně si můžete zvolit zaslání automatického upozornění na výpadek na e-mail, Windows Live Messenger, XMPP Instant Messenger (např. Google Talk) nebo poslat SMS přes internet. Užitečná je i správa vypnutí a zapnutí připojeného serveru nebo podrobný záznam všech výpadků a chyb. Určitě stojí tato UPS i přes problémy s vyšší zátěží než 400 W za zvážení. Už její příznivá cena, podrobný monitoring a nastavení nebo rozšiřitelnost o SNMP komunikační kartu (třeba RMCARD201) pro vzdálenou správu svědčí o kvalitním a univerzálním produktu. 

Software ukazuje stav nabití baterie, vstupní napětí nebo aktuální zátěž a dobu výdrže na baterii. Ještě více toho najdete ve webovém rozhraní PowerPanel Business Edition. Je zde kompletní diagnostika, záznam všech chyb a výpadků, nebo třeba možnost vypnutí alarmu při výpadku

Do zakrytované části můžete osadit kartu s RJ-45 konektorem pro vzdálený dohled

nízká cena, rozměry, kovové provedení přiložený software, podrobná nastavení množství užitečných ochran

nevydrží deklarovanou zátěž vyšší hlučnost a bzukot při provozu z baterií PLACENÁ PREZENTACE

Česká pošta nabízí vylepšený Bezpečný klíč k datové schránce Česká pošta jako provozovatel Informačního systému datových schránek poskytuje uživatelům schránek několik doplňkových služeb. Jednou z nich je Bezpečný klíč, který slouží k ochraně elektronické identity uživatele datové schránky. Česká pošta doporučuje nespoléhat se pouze na základní způsob přihlašování (jméno a heslo) a rozšířit si zabezpečení přístupu do datové schránky prostřednictvím komerčního certifikátu. Lehkovážné nakládání se soukromým klíčem certifikátu může mít ovšem podobné následky, jako když budeme fyzický klíč od domovních dveří schovávat pod rohožkou. V případě služby Bezpečný klíč proto nejsou soukromé klíče uloženy v osobním počítači, kdy může hrozit jejich zneužití, ale jsou na bezpečném externím úložišti v podobě USB smart tokenu. Ten garantuje, že soukromý klíč nikdy token neopustí. Při opakovaném chybném zadání PIN je další použití tokenu, a tím i certifikátů zablokováno. Pouze majitel potom může pomocí unblocking PIN (PUK) Bezpečný klíč odblokovat a dále používat.

Česká pošta ke konci letošního roku uvede na trh nový Bezpečný klíč, který bude mít vylepšenou instalaci softwaru pro token, novou verzi softwaru s novou utilitou Klíčník, která nahrazuje současnou utilitu Postsignum. Česká pošta spolu s dodavatelskou firmou T-SOFT a.s. připravuje další vylepšení Bezpečného klíče. V průběhu roku 2011 nabídne svým klientům další vylepšenou verzi utility Klíčník, která kromě jiného umožní generování a automatické odesílání žádosti o nový certifikát nebo žádost o obnovení certifikátu přímo Certifikačním autoritám České pošty. Nově budou mít zákazníci také možnost zakoupit Bezpečný klíč KOMFORT, který bude obsahovat další software podporující technologii Single Sign-On. Tato technologie umožní mít v paměti tokenu

bezpečně uložena jména a hesla do různých aplikací včetně datových schránek a Czech POINT. Uživatel, který bude používat tento klíč, už bude pouze zadávat PIN k tokenu, vše ostatní za něho udělá token a software vyplní příslušná přihlašovací políčka, odešle tyto informace aplikaci a v případě potřeby i vygeneruje nové heslo do aplikace. Uživatel si už nebude muset pamatovat hesla do aplikací, protože jsou bezpečně uložena v paměti tokenu (zašifrována). V případě ztráty/ zcizení/zničení tokenu lze obnovit hesla z bezpečné zálohy (zašifrováno) do nového tokenu. Bezpečný klíč KOMFORT poskytne uživateli například i ochranu proti různým typům hackerských útoků.

www.ceskaposta.cz

Connect! listopad 2010

71

sítě a komunikace

<  Ê*,"Ê 6


/Ê 
/ĀÊÊ Využití rychlých sítí v praxi Jaká je dnešní realita používání 10Gb sítí v IT praxi? Podrobně jsme otestovali dostupné technologie a došli k závěru, že už je nyní možné takové rychlosti nasadit v běžném provozu.

P

AUTOR

ro testovací účely jsme vyzkoušeli 1U Intel Server systém SR1680MV. Ojedinělý systém je vybavený mezaninovými moduly s čipsetem od společnosti Mellanox a konektivitou Infiniband QDR 4x – CX4. Tyto Infiniband moduly byly propojeny výrobcem dodaným metalickým kabelem s konektory CX4. Na servery od společnosti Intel jsme následně nainstalovali operační systém Microsoft Windows Server 2008 Enterprise 64b. Po naprosto bezproblémové instalaci OS bylo nutno doinstalovat speciální ovladače. Také zde nebyl žádný problém. Operační systémy nedetekovaly žádné hardwarové či softwarové chyby ani varovná hlášení, a přesto nešlo po nastavení Infiniband modulů komunikovat v režimu point-to-point. Myšlenka na přímé propojení dvou serverů bez switche je minimální konfigurací u virtualizační platformy, duálního clusterového propojení, popřípadě základním výpočetním HPC uzlem.

72

Ladislav Myšák C SYSTEM CZ a.s.

Connect! listopad 2010

Malá či střední firma by takto mohla realizovat vysokou dostupnost a zabezpečení svých aplikací běžících ve virtualizovaném prostředí, ať už by se jednalo o serverové, či desktopové aplikace. Infiniband technologie by nebyla v tomto případě využívána jen pro nízké latence přenosu, podporu NUMA

cenové řešení u SDR Infiniband struktury je nižší, než je tomu u konkurenční FC – Fibre Channel platformy. Pro malé a střední firmy je další možnou zajímavostí i to, že dedikované servery mohou být osazeny nejnovějšími 2TB/3TB HDD disky, a tak i bez použití vnějších ko-

Technologická hranice „virtuálního“ 20Gb ethernetu dosahuje hodnoty 2,5 GB/s architektury a QoS. Zde může plnit substituční úlohu komunikačního přenosového kanálu sloužícího k maximálně rychlému přesunu paměťových bloků. U software VMware je to nejvyšší ochrana dat garantovaná pomocí technologie Fault Tolerance (FT) a Live Migration, u Microsoft Hyper-V R2 je to Quick Migration. Jedním z řešení u možné nekompatibility direct propojení dvou serverových systémů je variantně využít Infiniband karet s nižší přenosovou rychlostí 4x SDR a Infiniband switche, který zamezí podobným stavům a situacím. Není také bez zajímavosti, že

nektivit LAN/iSCSI/FC lze ukládat, editovat, přesouvat a archivovat data v objemech řádu i desítek TB v jednom (RAID internal storage) systému.

Přímo k diskům Cílem testu bylo přímé připojení testovací pracovní stanice Dell Precision T7400 k diskovému poli Qsan řady P500Q-316D 10GbE/ iSCSI-SAS s duální 10Gb konektivitou. Pracovní stanice „simulovala“ klasický server, neboť její konfigurace byla naprosto dostatečná pro tyto testovací úkoly. Operační systém Microsoft Windows Server 2008

sítě a komunikace

R2 Enterprise 64b byl podporován dvojicí Quad-Core procesorů Intel Xeon 3,0 GHz (L2 Cache 12 MB) a operační pamětí o velikosti 16 GB. Velmi vysoký grafický výkon obstarávala profesionální grafická karta nVidia Quadro FX 4800. Operační systém byl nainstalován na unikátní úložiště v podobě diskového pole v RAID 0 o celkové velikosti svazku 512 GB. Tento svazek pro OS i aplikace byl tvořen spojením čtyř 3,5" HDD SAS 146GB 15K RPM Enterprise. Síťovou konektivitu poskytla Supermicro karta AOC-UTG-i2 založená na čipsetu Intel 82598EB s dvojicí 10Gb metalických konektorů Infiniband – CX4. Po korektní instalaci operačního systému a ovladačů určených výrobcem pro serverový operační systém byla duální síťová karta nakonfigurována jako jedna virtuální pomocí protokolu IEEE 802.3ad. Tento mezinárodní standard je znám také jako link aggregation, Ethernet bonding, NIC teaming, Trunking, atd. Karta byla připojena na primární řadič diskového pole Qsan. Diskové pole Qsan bylo osazeno pro účely testů jen devíti 3,5" 450GB pevnými disky SAS 15K, které byly nakonfigurovány přes webový management do jednoho 4TB svazku v RAID 0. S ohledem na maximálně možnou konektivitu 20 Gb na pracovní stanici byl podobný postup linkové agregace portů proveden i na diskovém poli. Vznikla tak jedna „virtuální“ point-to-point síťová konektivita realizovaná do vzdálenosti 1,5 m za pomoci vícepárového metalického Infiniband kabelu a CX4 konektorů.

Graf ukazuje odečet teoretické ideální hodnoty od hodnoty skutečně naměřené. Z grafu lze dovodit velmi malou diferenci u naměřené a teoretické hodnoty implementace 20Gb-iSCSI/ ethernetové technologie

INZERCE 101017205

"#!$% !!          -

Dvakrát deset Klíčovým cílem našeho testu bylo prokázat schopnost extrémní datové propustnosti u 10Gb ethernetu v běžně dostupných podmínkách. Fyzické připojení pracovní stanice a diskového pole bylo realizováno za pomoci Microsoft iSCSI iniciátoru ver. 2.08. Testovacím programem byla video-grafická utilita AJA Systemtest, volně stažitelná na stránkách výrobce www.aja.com. V konfiguraci testů se nastavuje pouze velikost testovaného video souboru pro čtení/zápis, jeho velikost i bitová hloubka u příslušného zobrazení. Velmi transparentním způsobem deklaruje maximálně možnou kontinuální rychlost sekvenčního čtení či zápisu. V našem testu byla dosažena maximální hodnota 520 MB/s pro čtení jednoho souboru o velikost 8 GB. Zatížení 20Gb virtuálního iSCSI spoje dosáhlo hodnoty 22 %. Pokud se podíváte na graf, můžete odečíst teoretickou ideální hodnotu a hodnotu skutečně naměřenou. Z grafu lze dovodit velmi malou diferenci u naměřené a teoretické hodnoty implementace 20Gb iSCSI/ethernetové technologie. Před testem souborových přenosů bylo interní diskové 0,5TB pole otestova-

SILENT SE R

VERY

6.099,OD

CZK*

     !     

\w OQ):WX $> z  $   <*;*

www.thomas-krenn.cz

CZ: 840 505 555 · EU: +49 (0) 8551 9150-0

Made in Germany!

" #    $% $ &'  #() $ % *7:;;:<*;* = $> ?@: ?>% E %%  J? OQ):WX  $Q %     % > > Y $  ? E >   $ !ZZ[[[:Q: $Z: O   ?  $Q      ?>   $ : OQ):WXE \?  \ ]  ;E ^_`*gh j : lE l pE l #E l l %E l l % pE q  q l %    $Q w l #   &\W  %y>  $Q> :

Connect! listopad 2010

73

sítě a komunikace

Graf ukazuje teoretické hodnoty propustnosti pro 10Gb ethernet s reálně naměřenou hodnotou. Přenosová rychlost byla 381 MB/s při téměř 30% vytížení linky

ného AJA utilitou, která prokázala, že data šla číst maximální rychlostí 444 MB/s. Poté bylo z interního 0,5TB diskového pole kopírováno 1 485 souborů o celkové velikosti 223 GB. Kontinuální rychlost zápisu na QSAN diskového pole byla přesně 285 MB/s. Vytížení 20Gb metalického spoje při tomto testu dosáhlo 13,25 %. Naměřená hodnota kontinuální rychlosti byla měřená na 82 % již přenesených dat. Následující testování bylo opakováním přenosu kopírování 1 485 souborů o velikosti 223 GB. Kontinuální rychlost přenosu

pouze u jedné 10Gb linky byla 381 MB/s při vytížení 29,78 %. Naměřená hodnota kontinuální rychlosti byla naměřena u 10 % přenesených dat. I zde si můžete porovnat teoretickou hodnotu propustnosti pro 10Gb ethernet se skutečně naměřenou hodnotou.

Infiniband a 10Gb ethernet pro aplikační bezpečnost i agregace Víceportové řadiče 10Gb ethernetu jsou připojeny do serverů či pracovních stanic obvykle přes PCIe / PCIe 2.0 (5 GT/s) rozhraní.

V testu byla připojena pracovní stanice Dell Precision T7400 k diskovému poli Qsan P500Q-316D 10GbE/ iSCSI-SAS s duální 2x 10Gb konektivitou. Pracovní stanice „simulovala“ klasický server

74

Connect! listopad 2010

Tady je teoretická hodnota maximální datové propustnosti 2 GB/s respektive 4 GB/s ve full-duplex módu. V praxi za reálnou hodnotu maximálně dosažitelné hranice může považovat přenosová rychlost 1 600 MB/s. S ohledem na produkční data, která jistě nebudou provozována v RAID 0 svazku, ale spíše v RAID 5/6, je nutno tyto hodnoty nížit o 30–50 %. Výkonnostní potenciál 10Gb ethernetu byl do dnešního dne saturován velmi rychlými SAS nebo SSD disky. Nově přicházející SATA 3.0 generace 3TB disků dovolují i malým společnostem maximálně ochránit investice do síťové technologie 10Gb ethernetu. Dle požadavků na aplikační výkon může společnost uvažující o přechodu z 1Gb ethernetu na 10Gb posilovat už nejenom procesorový a paměťový, ale i komunikačně síťový potenciál dle svých možností a potřeb. Zabezpečení aplikačních dat lze realizovat nejenom duplikováním produkčního serveru, pořízením blade serverové platformy, ale také velmi sofistikovaného řešení ve formě 2U serverové box farmy. V rackovém provedení se skrývá expanzní systém určený pro čtyři nezávisle provozovatelné servery s procesory Intel/AMD. Serverové box farmy dodává společnost Supermicro pod označením 2U Twin – SC827T/H/HD. V našem případě byl testovacím modelem server SC827T/H s procesory Intel Xeon řady 5500. Osazeny byly pouze tři serverové pozice, ve kterých byly

10Gb ethernetovou kartu lze díky kabelu QSFP – CX4 připojit do enterprise switche L3 Supermicro SSE-G24-TG4 dodatečně vybaveného dvojicí dvouportových 10Gb – CX4 modulů

sítě a komunikace

du na prostředí 10Gb sítí. Ukrytý potenciál vysokorychlostních sítí je tak dobře použitelný u malých LAN či SAN řešení. Když byla v roce 2002 ustanovena mezinárodní specifikace IEEE Std 802.3ae-2002 pro 10Gb ethernet, byla tato iniciativa zamýšlená jako řešení s cílovým potenciálem nahradit velmi drahé FC-SAN optické topologie. Myšlenka se po několika letech natolik osvědčila, že u tradičních producentů přemrštěně nákladné FC technologie způsobila odůvodněnou paniku. Situace, jež v IT nastala při odchodu velkých zákazníků od FC k 10Gb/20Gb síťovým technologiím, logicky vyústila ve snahu FC dodavatelů vytvořit nové substituční řešení pro konvergované

Kontinuální rychlost zápisu na QSAN diskového pole byla přesně 285 MB/s. Vytížení 20Gb metalického spoje při tomto testu dosáhlo 13.25 %. Naměřená hodnota kontinuální rychlosti byla měřená na 82 % již přenesených dat

použity dva adaptéry HBA 10Gb Ethernet a jeden on-board Infiniband DDR 20Gb s QSFP metalickým konektorem. Na všechny servery byl nainstalován operační systém Microsoft Windows 2008 R2 Enterprise 64b. Pokud byste chtěli připojit Infiniband do společné 10Gb přepínatelné metalické sítě, museli byste použít 10Gb drivery určené pro čipovou sadu Mellanox ConnectX, která „pohání“ Infiniband adaptéry. Po velmi snadné instalaci se do operačního systému přihlásí 10Gb ethernetová karta, kterou lze za přispění speciálního kabelu (QSFP – CX4) připojit do Enterprise switche L3 Supermicro SSE-G24-TG4 dodatečně vybaveného dvojicí dvouportových 10Gb – CX4 modulů. Celková přepínací rychlost neblokující backplane architektury může u tohoto modelu switche teoreticky dosáhnout hodnoty 0,14 Tb/s.

Test opakováním přenosu kopírování 1 485 souborů o velikosti 223 GB. Naměřená hodnota kontinuální rychlosti byla naměřena u 10 % přenesených dat

diskové pole Qsan a servery i přepínač od společnosti Supermicro fungovaly naprosto bez problémů.

10 Gb má budoucnost Naměřené testy transparentně deklarují teoreticky dosažitelné přenosové hodnoty u 10Gb ethernetu. Tímto byl cíl našeho tes-

Naměřené hodnoty ukazují, že se reálné hodnoty od teoretických příliš neliší Kvůli testovacímu modelu 3+1 šlo servery připojit pouze na jeden řadič diskového pole. Konfigurace přepnutí 10Gb portů byla přes webové rozhraní managementu Supermicro switche / L3 naprosto bezproblémová, rychlá a intuitivní. V případě požadavku zákazníka na maximální výkon u LAN/SAN 20Gb sítě s použitím dobrých duálních řadičů pole Qsan v režimu Activ/Activ by musel být použit nativní přepínač s minimálně dvanácti 10Gb ethernetovými porty. Po ukončení testů jak po stránce výkonů, tak i kompatibility je možné konstatovat, že

tování beze zbytku splněn. Přestože nedošlo na přímou konfrontaci Infinibandu a 10Gb ethernetu, je možné pozitivně zhodnotit možnost modulárního přepínání Infiniban-

SAN/MAN/WAN infrastruktury. Nápad se již realizoval a nyní se tato nově koncipovaná technologie označuje jako FCoE – (Fibre Channel over Ethernet). Snad nebude příliš pozdě, neboť 40Gb/100Gb ethernet se již dočkal své specifikace. Ethernet s nominální rychlostí 10 Gb není sice už žádnou novinkou, ale v poměru výkonu/ceny se dostal díky svému uživatelsky přívětivému ovládání a vlastnostem po právu do hledáčku rozhodnutí kompetentních pracovníků. Zvláště transparentní jsou nasazení a implementace 10Gb ethernetu výhodné v období hledání úspor a zvyšování efektivity u stávajících i připravovaných investic. Do příštího čísla Connectu pro vás chystáme test speciálních výkonných notebookových komponent. 

INZERCE 101016316

   
   

Connect! listopad 2010

75

sítě a komunikace


Ê
Ê*,"÷Êùÿ/Ê / *"/1Ê- ,6 ,Ā Prevence a monitoring chlazení serverů Moderní servery vyžadují chlazení přiměřené spotřebě energie. Při teplotě nad 35 °C začínají různé problémy pro administrátora. Ukážeme vám, jak problémům předcházet, nebo o nich aspoň vědět co nejdříve.

T

ento článek počítá s „průměrným datovým centrem“. Nic takového sam-ozřejmě neexistuje a každé konkrétní datové centrum má svá specifika. Tento článek se proto vztahuje na většinu malých a středních datových center, která dohledují naši zákazníci.

Teplota v serverové místnosti?

AUTOR

Dlouhodobý provoz IT zařízení v nesprávné teplotě zvyšuje nespolehlivost zařízení. To platí pro aktivní prvky a hlavně pro výkonná serverová a disková pole. Okolní prostředí pro IT technologie v „průměrném datovém centru“ by mělo udržovat teplotu 20 až 25 °C a ideálně 40–50% RH. Je potřeba počítat s tím, že teplota není homogenní v celé místnosti. I ve správně

76

Ing. Jan Řehák Autor je ředitel společnosti HW Group

Connect! listopad 2010

fungující serverovně je klimatizace nastavena například na 18 °C, v místnosti je cca 21 °C a klimatizace nasává vzduch s teplotou kolem 25 °C. Uvnitř uzavřeného 19" rozvaděče může být teplotní rozdíl vstupního a výstupního vzduchu 8 °C i víc. Většina moderních serverů obsahuje ochranu proti přehřátí a při teplotě okolí nad 40 °C se automaticky vypnou (teplota CPU 70–95 °C). Typické teploty pro „průměrné datové centrum“: 16–19 °C: teplota vzduchu ve zvýšené podlaze 18–24 °C: teplota vzduchu v místnosti 24–40 °C: teplota vzduchu v rozvaděči

Chlazení serverů prakticky Dlouhodobá teplota vzduchu v počítačové místnosti nebo v „průměrném datovém centru“ by nikdy neměla překročit cca 30 °C. Usměrněte proud vzduchu – nesmí docházet k míchání studeného a teplého vzduchu.

To znamená záslepky, průchodky na kabely, vyvazovací systémy, separační rámy, deflektor atd. Napájení všech systémů pro dohled musí být zálohované pomocí UPS. Pozor na rychlý růst teploty při výpadku chlazení. Pokud zálohujete na delší dobu než 5 až 15 minut, musíte zálohovat i napájení pro klimatizaci, nebo aspoň pro cirkulaci vzduchu. Teplotní rozdíly stoupají, pokud se snižuje proud vzduchu. Rostoucí teplotu je potřeba chápat jako upozornění na nedostatečný průtok vzduchu. Mnohdy stačí přesměrovat proud vzduchu, srovnat kabely nebo otevřít zaslepené ventilační otvory.

Jak měřit teplotu v IT Vnitřní teplota CPU Vzdálený dohled teploty nad procesorem pomocí různých softwarových utilit je často prvním řešením, které napadne každého IT administrátora. Lze tak kontrolovat teplotu na procesoru, otázkou ale je, k čemu je vlastně taková hodnota dobrá. Zjistíte z ní například výpadek klimatizace? Jistě, pět sekund předtím, než se server automaticky vypne. Ale mohli jste to vědět již o třicet minut dřív.

sítě a komunikace

Ethernet WEB teploměr Malé a jednoduché čidlo teploty s web rozhraním. Například HWg-STE odešle e-mail při teplotě nad kritickou hodnotu a lze do něj připojit až dvě čidla teploty nebo vlhkosti. Systém dohledu prostředí v rozvaděči Ucelený systém pro dohled stavu rozvaděče kromě teploty například hlídá otevření/ zavření dveří, měří napětí před a za UPS, kontroluje výpadek fází apod. Typickým příkladem jsou jednotky Poseidon od české firmy HW group. Typicky se dodávají v levnějším „SOHO“ provedení „na poličku“ nebo jako 1U jednotka pro montáž do 10" a 19" rozvaděče. Jednotky Poseidon jsou unikátní i možností připojení GSM modemu. Rozvaděč může IT administrátora upozornit na výpadek napájení nebo chlazení i bez funkční sítě ethernet. Teplotní čidlo u UPS Ideální řešení, pokud jej lze použít a máte UPS v rozvaděči nebo poblíž, aby vám stačil připojovací kabel. Pozor pouze na to, že některé UPS odesílají SNMP Trapy na omezený počet destinací nebo neumějí odeslat e-mail. Teplotní čidlo na PDU Senzor teploty na napájecím panelu se začíná objevovat poslední dobou. Je to vhodné řešení, jestliže můžete umístit čidlo tam, kde jej potřebujete. Pozor ale na komunikační rozhraní – PDU mají často vlastní software pro ovládání a měření jednotlivých zásuvek. Může se stát, že odeslání e-mailu bude podmíněno běžící aplikací na serveru.

Kam umístit čidla Umístění čidel je mnohem důležitější než jejich přesnost. Záleží hlavně na průchodnosti průtoku vzduchu. Pokud máte jedno čidlo

teploty, umístěte je vždy tam, kde se Váš problém s teplotou projeví nejdříve. Podle konkrétní situace to může být: Výdech klimatizace Když klimatizace přestane chladit a pouze ventiluje vzduch, stoupne zde rychle teplota z cca 16–17 °C na 19 °C a potom pomalu roste s ohříváním vzduchu v celé místnosti. U chladiče nejvýkonnějšího serveru Server spotřebovávající nejvíc energie potřebuje nejvíce ochlazovat. Pokud mírně klesne chladící výkon, v jeho okolí bude nejrychleji narůstat teplota. Výstup vzduchu z 19" rozvaděče Když dojde k výpadku klimatizace, nebo jen k ucpání otvorů pro vzduch (kabely nebo serverem), je to nejdříve patrné na teplotě výstupního vzduchu z 19" racku. Pokud používáte perforované dveře a systém uliček, umístěte senzor nahoru. Nejvzdálenější kout Senzor umístěte dovnitř zařízení, poblíž ventilátoru, který tlačí horký vzduch ven do okolí. Pokud nedochází k dostatečnému proudění vzduchu, umístěte senzor do horní nejvzdálenější pozice od ventilátoru.

Kolik použít čidel teploty Toto shrnutí pro „průměrné datové centrum“ je třeba brát s velkou rezervou. Vždy záleží hlavně na topologii a proudění vzduchu. Jedno čidlo v místnosti Vhodné pro dohled klimatizace místnosti jako celku. Dohledujete ale spíše výpadek klimatizační jednotky, než teplotu serveru. Čas reakce se pohybuje od půl hodiny do několika hodin, podle parametrů místnosti. Ideální pro dohled výpadku jedné ze dvou klimatizací v místnosti.

Umístění čidla: Výdech klimatizace / na zdi Jedno čidlo v 19" rozvaděči (do 5 kW) Dohled uzavřeného/otevřeného 19" racku pomocí jednoho čidla teploty je ekonomické řešení, pokud nejsou v racku instalovány velmi výkonné servery. Doporučené řešení pro rozvaděče, kde celková spotřeba technologií nepřekračuje 5 kW. Umístění čidla: Chladič nejvýkonnějšího prvku / výstup vzduchu Dvě čidla v 19" rozvaděči (do 10 kW) Dohled teploty ve dvou bodech uzavřeného 19" racku je výhodné řešení pro dohled jednoho zařízení a zároveň rozvaděče jako celku. Doporučené řešení pro rozvaděče, kde je celková spotřeba technologií do 10 kW. Pokud použijete kombinované čidlo s měřením vlhkosti, umístěte čidlo vlhkosti k nasávání studeného vzduchu. Měření vlhkosti u ohřátého vzduchu je zbytečné. Umístění čidla: Chladič nejvýkonnějšího prvku a výstup vzduchu Tři čidla v 19" rozvaděči Kompletní přehled o stavu rozvaděče. Umožňuje odhalit dlouho dopředu i problémy, jako je pokles tlaku vzduchu ze zdvojené podlahy atd. Obsluha z poplašného hlášení na první pohled pozná, zda se jedná o problém technologie uvnitř racku, nebo zda jde o problém datového centra. Z grafu vývoje teplot lze dokonce odvodit, že došlo k manipulaci uvnitř rozvaděče. Můžete tak snadno zjistit ucpání prostoru pro chladící vzduch. Umístění čidla: Chladič nejvýkonnějšího prvku, výstup vzduchu, vstup vzduchu (zde umístěte čidlo vlhkosti)

Nemůžete snadno ušetřit za elektřinu? Většina datových center, která jsou dnes v provozu, spotřebuje kolem 53 % elektrické energie jen na chlazení a zajištění provozu. Různými cestami lze toto číslo snížit, ale to vždy vyžaduje ucelený soubor opatření, připravených na míru konkrétnímu datacentru. Můžete například zvýšit průměrnou teplotu někam k 25–27°C nebo ještě výš. To ale vyžaduje výrazně větší průtok vzduchu (náklady na ventilaci) a záleží to na technologiích, kterými je vaše datové centrum osazeno. I zde ale platí, že musíte znát teplotu na různých místech, pokud chcete efektivně řídit chlazení. Průkopníkem v této oblasti je firma Google, která zkouší různé postupy a většinu poznatků publikuje. Teplota je a bude stále důležitějším parametrem v IT. Tak jako v armádě platí „Bez spojení není velení“, tak zde platí „Bez měření není efektivita“. Chlazení znamená přibližně 50 % vašich výdajů za elektřinu. Chladit dobře a efektivně znamená ušetřit velké peníze. 

Connect! listopad 2010

77

sítě a komunikace

, 7
 Ê/"Ê

" ÷ Network Behavior Analysis (NBA) Vliv IT infrastruktury na fungování jakékoliv organizace je stále větší a síť se postupně stává jakousi nervovou soustavou. To s sebou nese stále se zvyšující nároky na rozsah a kvalitu správy IT infrastruktury.

N

a potíže se přichází pozdě a jejich odstraňování má negativní vliv na chod celé organizace. Infikovaný počítač, který začne rozesílat spam, způsobí, že se firma ocitne na černé listině (blacklist), a než se situace vysvětlí, je její e-mailová komunikace ostatními servery blokována. Neustále se řeší, proč jsou občas síť či aplikace pomalé, vina se přehazuje mezi dodavateli a IT oddělením a lidé jsou zdržováni při práci. Investice do rozvoje IT infrastruktury nejsou podloženy reálným stavem a potřebami. Obtížný a nedostatečný dohled nad sítí láká zaměstnance k jejímu zneužívání k osobním účelům a v neposlední řadě je také lákadlem pro různé amatérské či profesionální hackery. Se všemi těmito problémy se jako správce sítě či IT manager dříve nebo později setkáte a pro jejich odhalení, doložení a vyřešení se bez vhodných nástrojů zkrátka neobejdete. Neefektivně udržovaná a spravovaná síť stojí středně velkou společnost (cca 250 počítačů) dle analýz českého sdružení Network Security Monitoring Cluster jeden až dva miliony korun ročně navíc, nehledě na bezpečnost dané firemní IT infrastruktury.

Současné metody

AUTOR

Co se dnes v sítích používá k zajištění její efektivní správy a bezpečnosti? Odpověď na tuto otázku už je (bohužel) skoro deset let stejná: Firewall, IPS/IDS (IntrusionPrevention/DetectionSystem), SNMP, Log management, antivirus na koncových počítačích, atd. Abych zbytečně neopakoval stokrát ohrané definice těchto konkrétních nástrojů, pojďme se na ně podívat trochu jinak. Představte si, že počítačová síť je město a počítače v ní jsou domy. Mezi domy vedou cesty a ty znázorňují kabely. A po cestách jezdí auta, která reprezentují pakety. Cílem je, aby auta městem jezdila spořádaně, plynule

78

RNDr. Pavel Minařík Chief Technology Officer, AdvaICT, a.s.

Connect! listopad 2010

a bezpečně a všichni v domech (u počítačů) byli spokojení a v bezpečí. Ve zmíněném městě je firewall jakási základní sada pravidel, která říká, kdo do města smí a kdo ne. Ale bohužel nabízí jen opravdu základní úroveň ochrany, protože neřeší, co vlastně auto (paket) veze, ale jen jak vypadá zvnějšku. A trochu podobně je na tom i IPS/IDS systém, který se sice podívá i dovnitř auta, ale pokud nepozná, že náklad je nebezpečný (respektive pokud mu někdo předtím neukáže, který je a který není), pak do města pustí klidně i celou kolonu s jadernými zbraněmi, protože nikdy nic podobného neviděl, a nepovažuje to proto

lysis (analýza chování sítě – dále jen NBA). I uznávaná poradenská společnost Gartner uvádí, že již není možné spoléhat se pouze na pět až deset let stará řešení (firewall, IDS/ IPS). Je přímo nezbytné doplnit je o moderní systém na bází NSM/NBA. Tyto systémy pracují na principu detekce anomálií a nežádoucího chování v datové síti, která je založena na permanentním vyhodnocování statistik o provozu na síti – k této analýze jsou využívány tzv. datové toky (reprezentované průmyslovým standardem NetFlow). Hlavní výhodou proti běžným IDS systémům či SNMP monitoringu je orientace na celkové chování zařízení na síti, což umožňuje správci konečně získat ucelený pohled na svou síť a reagovat i na dosud neznámé či specifické hrozby. Nutno dodat, že NSM/NBA není žádný „pokus“ nebo nějaká neověřená experimentální cesta – v tomto směru bychom si měli vzít příklad z Japon-

Potíže s konfigurací sítě mohou firmu ročně vyjít na 1 milion korun. Neefektivní IT na půl milionu za bezpečnostní riziko. Technologie SNMP pak dokáže měřit různé údaje o provozu ve městě, ale už mnoho neřekne o tom, zda městem jezdí spořádané dopravní prostředky, nebo tanky s úkolem bořit domy. Samozřejmě každé z těchto zařízení svůj význam rozhodně má, protože svůj účel může plnit dobře – jenže právě ten účel bývá často velmi úzce ohraničen a řeší jen jistý dílčí problém celé síťové infrastruktury. Zkrátka a jednoduše, v sítích chybí efektivní nástroj, který by se na infrastrukturu podíval nějak shora, komplexně. Něco, co by vyřešilo bezpečnost sítě, ale také usnadnilo její správu, která zbytečně okrádá dnešní administrátory o drahocenný čas, který by mohli věnovat rozvoji infrastruktury a návrhu nových služeb pro její uživatele. Často slýcháme, že je veliká škoda, že něco takového neexistuje. Jenže ono už existuje…

Bezpečnostní monitoring sítí na základě datových toků Ve světě IT bezpečnosti a správy nyní kralují dva úzce svázané pojmy: Network Security Monitoring (Bezpečnostní monitoring sítě – dále jen NSM) a Network Behaviour Ana-

ska nebo USA, kde se právě tyto systémy začínají masově zavádět pro svou jasně identifikovanou přidanou hodnotu. Pro jednoduché přiblížení technologie datových toků lze říci, že datové toky v síti jsou to, co výpis telefonních hovorů v telekomunikacích – v terminologii NetFlow je tok definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje (příznaky spojení a další pole hlaviček přenosových protokolů). Dozvíte se tedy, kdo se s kým bavil, kdy a jak dlouho hovor trval. Samotný obsah „rozhovoru“ zůstává utajen, protože technologie je postavena na vyhodnocení oněch statistik. Když se vrátíte k metafoře města, lze situaci popsat tak, že si evidujete, jak cestují auta (pakety) mezi domy (počítači). Díky tomuto monitorování si vytvoříte jakýsi profil standardního chování pro každý dům – tak dokáže systém rozpoznat, když se začne dít něco „podezřelého“. Například když se standardní obytný domek změní v zařízení

sítě a komunikace

Technologie SNMP poskytuje informace o objemu provozu, avšak struktura provozu a případná závadnost zůstává utajena

zcela jiného charakteru, protože do něj auta navozila zásoby alkoholu a nade dveřmi se rozsvítila červená lucerna. NetFlow statistiky byly až do nedávna pouze doménou pokročilých směrovačů (routerů) a přepínačů (switchů). Použití základních prvků IT infrastruktury pro generování NetFlow statistik tak naráželo na řadu bariér a výkonnostních omezení. Tyto nevýhody odstranila česká společnost INVEA-TECH, která na základě výsledků výzkumu a vývoje realizovaného na CESNETu uvedla na trh specializovaná zařízení, tzv. sondy, schopné generovat NetFlow statistiky z libovolného bodu v síti. Tyto statistiky je možné exportovat na kolektor, kde jsou uloženy a připraveny pro vizualizaci a analýzy nebo rovnou dále automaticky vyhodnocovány. Noční můrou IT manažerů vždycky bývá, že při zavádění nového řešení do sítě dochází k totálnímu rozkopání aktuální topologie a složité rekonfiguraci zařízení a vlastně celé sítě – navíc se tím často způsobí další problémy, jako je zpoždění sítě apod. Toto při implementaci NBA/NSM řešení v žádném případě nemůže nastat. Stačí umístit sondu monitorující datové toky na perimetr nebo do problematické větve sítě – a to je vše. Zapojení těchto systémů je otázkou 20 minut (když počítám, že 10 minut zabere montáž do racku – serverové skříně). Důležitější než samotné „sběrné zařízení“ je však systém, který je potom schopen takto pořízená data vyhodnotit. ADS řešení (Anomaly Detection System) jsou dnes na takové úrovni, že jsou schopny vyřešit celou škálu provozních a bezpečnostních problémů IT infrastruktury. Je jich opravdu obrovské množství, ale pro stručnost bych zdůraznil např. těchto sedm:

1 2 3 4 5 6 7

Detailní přehled o struktuře provozu na síti a top uživatelích. Detekce a prevence anomálií, virů, vnějších i vnitřních útoků. Dohled nad využíváním sítě zaměstnanci. Eliminace nežádoucích aplikací a nelegálního software (ICQ, Skype, P2P sítě). Analýza chování sítě a zařízení, monitoring kvality služeb. Odhalování špatných konfigurací sítě a jejích zařízení. Celkové snížení nákladů a úsilí na provoz IT infrastruktury.

Vyplatí se nasazení NSM/NBA? České sdružení firem zabývajících se bezpečností IT, Network Security Monitoring Cluster, uvádí, že neefektivně spravovaná síť může středně velkou organizaci (cca 250 počítačů) stát jeden až dva miliony korun ročně navíc. Podle současných analýz lze díky NSM/NBA řešením redukovat tuto částku až o padesát procent! Jak? Stačí se podívat, kolik stojí organizace problémy síťové infrastruktury, které lze touto moderní techno-

logií vyřešit (zdroj – NSM cluster; úspory se týkají středně velké sítě – 250 počítačů): Neefektivita práce technologických pracovníků (zdlouhavé rutinní činnosti, reinstalace, rekonfigurace, nemožnost pracovat při zpoždění a zahlcení sítě) = 500 000 Kč ročně. Náklady na odstranění infikovaných počítačů včetně například vyšších nákladů na připojení z důsledků zvýšené komunikace zavirovaných PC stanic se světem apod. = 380 000 Kč ročně. Zde však nejsou zahrnuty ztráty nejpodstatnější, a to ztráta informací způsobené v souvislosti se sociálním inženýrstvím, ztráta dobrého jména organizace apod. I tyto problémy dokáže NSM/NBA řešení podchytit. Neefektivita práce zaměstnanců – nemohou pracovat z důvodu zpoždění, peer-to-peer sítí, popř. se jejich práce může „ztratit“ z důvodu různých selhání a útoků = 480 000 Kč ročně. Zpoždění na síti = 50 000 Kč ročně. Konfigurační problémy (špatně nastavené zálohování či update programů) = 1 000 000 Kč ročně. I když se tyto úspory týkají středně velké sítě s něco více než dvěma stovkami počítačů, lze předpokládat, že NSM/NBA technologie ušetří adekvátní částku i menším a samozřejmě i mnohem větším sítím. Zapojení technologie do infrastruktury je přitom velmi snadná záležitost, a když si uvědomíte, kolik může ušetřit, tak i relativně levná. AdvaICT prodává svoje appliance řešení FlowMon ADS již od 200 000 Kč a službu NetHound měsíčně již za 4 000 Kč; zařízení i online službu si můžete vyzkoušet a nekupovat zajíce v pytli. Nasazení pokročilého řešení pro bezpečnostní monitoring sítí a behaviorální analýzu založeného na monitorování datových toků umožňuje organizacím předcházet ztrátám v důsledku nedostupnosti sítě, snižovat náklady na provoz a zabezpečení sítě, ochránit investice do síťové infrastruktury, zvýšit spolehlivost a dostupnost sítě a maximalizovat spokojenost svých uživatelů. Těžko hledat důvody, proč řešení aspoň nevyzkoušet. 

Schéma technologie NetFlow

Connect! listopad 2010

79

bezpečnost


÷Ê<Ê, " 1 Forefront Endpoint Protection 2010 Microsoft nedávno dal k dispozícii na testovanie beta verziu bezpečnostného nástroja Forefront Endpoint Protection 2010 (FFEP), ktorý je zameraný na ochranu firemných počítačov, notebookov a serverov s operačným systémom Windows pred rôznymi typmi škodlivého softvéru.

J

e koncipovaný ako komponent rodiny produktov Forefront Protection Suite. Pre lepšiu orientáciu v sporadických informáciách, ktoré sa objavovali počas vývoja, mal tento balík ochranných produktov kódové označenie „Stirling“ a po dostupnosti finálnej verzie by mal FFEP prevziať žezlo od svojho predchodcu, produktu Forefront Client Security. Forefront Client Security bol historicky prvý anitimalwarový softvér Microsoftu určený pre klientské počítače. Po skúsenostiach s týmto produktom pred niekoľkými rokmi začal vývoj novej, ktorá mala byť podľa

aké pre efektívnu a účinnú ochranu desktopovej infraštruktúry potrebujú z pohľadu koncových používateľov

Sesterský MSE Pri pohľade na používateľské prostredie Forefront Endpoint Protection 2010 je zrejmé, že táto aplikácia určená do firemného prostredia má aj sesterskú aplikáciu Microsoft Security Essentials určenú pre domáce počítače, ktorá im poskytuje ochranu v reálnom čase a chráni pred vírusmi, spyware a ďalším škodlivým softvérom. Táto aplikácia je k dispozícii zdarma.

Firemný „antivírus“ Forefront Endpoint Protection 2010 (na obrázku vľavo) je aj podľa dizajnu používateľského rozhrania sesterským produktom aplikácie Microsoft Security Essentials (vpravo)

AUTOR

pôvodných plánov hotová koncom roku 2008. Môžeme len špekulovať o dôvodoch odloženia, Microsoft má v tomto hlavne u softvéru pre klientské počítače určitú tradíciu, veď z dôvodu vylepšenia bezpečnosti meškal komerčný nástup operačného systému Windows Vista (bol uvedený na jeseň 2003) skoro tri roky. Na základe skúsenosti s Vistou by sa dalo konštatovať, že sa čakanie vyplatilo a dúfajme, že dlhší vývoj firemného antivírového programu Forefront Endpoint Protection 2010 prispel k jeho kvalite. Pri testovaní sme sa produkt snažili posudzovať z troch uhlov pohľadu: z pohľadu pracovníkov, ktorí majú na starosti bezpečnosť, bezpečnostné stratégie a manažment rizika z pohľadu IT špecialistov, či v podobe FFEP 2010 dostanú k dispozícii také nástroje,

80

Zatiaľ čo aplikácia Microsoft Security Essentials sa vzhľadom k segmentu, do ktorého je smerovaná, jednoducho inštaluje aj používa, podnikový Forefront Endpoint Protection 2010 má oveľa vyššie nároky. Z hľadiska filozofie majú obidva produkty rovnaký antivírový engine, no z dôvodu zabezpečenia centrálnej správy si vyžaduje System Center Configuration Manager, takže by sa dalo povedať, že tento antivírus je akýmsi rozširujúcim modulom pre SCCM. Táto integrácia by mala pomôcť usporiť

náklady nakoľko pre správu zabezpečení koncových staníc sa dá využiť už existujúca infraštruktúra. V štádiu vývoja „Stirlingu“ sa uvažovalo aj o možnosti centrálnej správy FFEP prostredníctvom System Center Operations Managera. Posun filozofie centrálnej správy k SCCM vyzerá na prvý pohľad logicky, no problém môže nastať v prípade, ak firma System Center Configuration Manager infraštruktúru nemá implementovanú. Riešením však môže byť priaznivá licenčná politika. Centrálna správa FFEP si vyžaduje databázový server Microsoft SQL Server 2005 SP2 alebo 2008 v edícii Enterprise a Microsoft System Center Configuration Manager 2007 Service Pack 2 R2. Mimochodom aj Microsoft Security Essentials prichádza s novou beta verziou 2.0, ktorá je viac integrovaná s Internet Explorerom, takže účinnejšie chráni proti spúšťaniu škodlivých skriptov a iným útokom cez webové stránky. Dokonca oblasť nasadenia FFEP Microsoft Security Essentials sa bude u malých firiem v blízkej budúcnosti čiastočne prelínať, nakoľko Microsoft najnovšie umožňuje bezplatne používať jej antivírusový softvér aj malým firmám, takže produkt Microsoft Security Essentials, ktorý sa mohol používať len pre domácnosti, je možné bezplatne nainštalovať až na desať počítačov v rámci jednej malej firmy.

Prehľad najvýznamnejších noviniek Nové vlastnosti antivirového engine FEP sú identické ako v produkte Security Essentials. Integrácia s Windows Firewall umožňuje, aby antivírus priebežne kontroloval, či je firewall zapnutý. Veľmi dôležitá je integrácia s prehliadačom Internet Explorer, takto sa najúčinnejšie zachytia útoky vedené z webových stránok. Zatiaľ nie sú informácie o prípadnej tesnejšej spolupráci s ostatnými „konkurenčnými“ prehliadačmi. Ochranu proti sieťovým útokom má na starosti Network Inspection System (NIS). Nová verzia

Ľuboslav Lacko Nezávislý technologický publicista a softwarový vývojář

Principiálna schéma ochrany vypovedá o tesnej integrácii s operačným systémom Windows 7

Connect! listopad 2010

bezpečnost

Princíp transformácie potenciálne nebezpečného kódu do virtualizovaného prostredia

enginu pre analýzu prenášaných dát dokáže rozpoznať útoky realizované na úrovni siete. NIS je k dispozícii len pre nové klientske operačné systémy Windows Vista a 7, pretože Windows XP, ešte nemá vrstvu Windows Filtering Platform (WFP). Nové je aj samotné antivírové jadro. Vývojárom prišli vhod hlavne skúsenosti s prvou verziou Microsoft Security Essentials a Forefront Client Security. Antivíry sa javili ako nie príliš náročné na prostriedky počítača a celkovo boli používateľmi prijaté kladne. Podľa odborných testov Microsoft Security Essentials sa medzi antivírusmi podľa miery detekcie známeho škodlivého kódu zaradil až na pätnáste miesto, takže určite bolo čo vylepšovať. Naopak v teste účinnosti proti novým neznámym hrozbám sa tento produkt umiestnil na vynikajúcom štvrtom mieste. Preto sa pri vývoji nového antivírového jadra kládol dôraz hlavne na vylepšenie detekcie, procesy odstraňovania škodlivého kódu a zvýšený výkon.

Komplexná ochrana klientskych počítačov Forefront Endpoint Protection 2010 je súčasťou stratégie Business Ready Security, ktorej hlavným mottom je „Chrániť všetko, všade a pristupovať odkiaľkoľvek“. Stratégia integrácie a unifikácie znamená odklon od snáh, ktoré prevládali v minulosti – snáh vybudovať nezávislú monolitickú platformu. Veľmi náročná je hlavne činnosť bloku Dynamic Translation & Emulation, v ktorom sa analyzuje skriptový kód webových aplikácií a na základe posudzovania a emulovania jeho účinkov sa tento kód prehlási za bezpečný, alebo škodlivý. Na úrovni bloku Behavior Monitoring sa analyzuje správanie kódu aplikácie vo vzťahu k svojmu bezprostrednému IT okoliu na klientskom počítači. Na tejto úrovni sa dá identifikovať základná vlastnosť víru, ktorou je snaha o reprodukciu. Vírus má jednoducho snahu vhodnou formou sa šíriť a infikovať iné aplikácie či počítače. Blok monitoruje aj iné

formy správania, napríklad zápisy do systémových registrov a podobne.

Účinná ochrana proti novým hrozbám Neustále sa objavujú nové, čoraz sofistikovanejšie metódy útokov, preto sa aj antivírové databázy FFEP neustále aktualizujú, aby mal klient istotu, že jeho počítač je chránený najnovšou technológiou. Kvalita antivírového softvéru sa hodnotí nielen podľa v identifikácie už známych vírusov, ale aj podľa toho, ako dokáže čeliť novým hrozbám. V prípade odhalenia potenciálneho malware sa príslušný blok kódu na úrovni vrstvy Dynamic Translation & Emulation pretransformuje tak, aby nepristupoval k reálnym, ale virtuálnym zdrojom (pamät, disk…) a presunie sa do virtuálneho prostredia, kde sa otestuje. Vďaka podpore virtualizácie či už na úrovni moderných procesorov, alebo na úrovni operačného systému Windows 7 sa bezpečný pretransformovaný kód spustí na reálnom CPU, takže celý proces je veľmi rýchly. Odhalené bloky kódu sa následne skúmajú centrálne v laboratóriu a zaradia sa do aktualizovanej databázy.

Zelená je dobrá… V produkte Forefront Endpoint Protection 2010 sa snúbi jednoduchosť s komplexnosťou. Zatiaľ čo produkty určené pre servery sú „hýčkané“ starostlivosťou vysokokvalifikovaných administrátorov, aplikácie na klientských počítačoch musia byť jednoduché a zrozumiteľné, veď ich budú používať bežní pracovníci vo firmách, ktoré majú inú náplň podnikania než IT. V tomto ohľade sú neoceniteľné skúsenosti získané od desiatok miliónov používateľov Microsoft Security Essentials. Jednoduché a prehľadné používateľské rozhranie umožňuje používateľovi mať neustály prehľad o zabezpečení jeho počítača. Stačí jeden pohľad za ikonu počítača v dialógovom okne aplikácie. Ak je zelená, niet sa čoho obávať. Používateľ nemá s fungovaním antivírovej ochrany prakticky žiad-

ne starosti, ticho a efektívne beží na pozadí. Na klientskom PC zaberá menej ako 10 MB. Počas týždňového testovania sme nezaznamenali žiadne náznaky prerušovania alebo spomaľovania aplikácií, a to ani počas behu kontroly. V reálnej praxi sa spravidla nastaví čas kontroly mimo období najintenzívnejšej práce. Ak sa používateľ chystá robiť nejakú výpočtovo náročnú úlohu, napríklad analýzu veľkého množstva údajov v Exceli priamo na lokálnom počítači, môže jednoducho plánovanú podrobnejšiu antivírovú kontrolu odložiť na inokedy. Forefront Endpoint Protection 2010 je integrovaný s nástrojom pre správu klientov System Center Configuration Manager 2007 R2, čo firemným užívateľom umožňuje zjednodušiť a zdokonaliť ochranu koncových zariadení pri súčasnom zníženie nákladov nakoľko môžu využiť existujúcu infraštruktúru. Implementácia ochrany desktopov proti malware neznamená len inštaláciu dobrého

Administrátori majú neustále prehľad o stave zabezpečenia vo forme grafických reportov

a výkonného softvéru, ale aj definovanie firemnej politiky a stanovenie zodpovednosti, teda kto vo firme konkrétne zodpovedá za „čistotu“ klientských počítačov. Forefront Endpoint Protection 2010 príde do komerčného IT prostredia v dobe masívneho nástupu virtualizácie a cloudových služieb, takže na klientských počítačoch blízkej budúcnosti bude zrejme operačné prostredie na báze virtualizovaných desktopov, takže ich ochrana sa presunie na inú architektonickú úroveň bližšie k serveru. Beta verzia bezpečnostného nástroja Forefront Endpoint Protection 2010 je k dispozícii na stiahnutie na stránkach Microsoftu: http://technet.microsoft.com/en-us/ evalcenter/ff182914.aspx.  INZERCE 101013862

Connect! listopad 2010

81

HERNÍ DOUPĚ

XX


 




82



  Computer 22/10

xx