Athena @ UGent ICT Systeembeheer (IVPV 2006-2007) Case Server Based Computing Steven Rogge, DICT, UGent 26 februari 2007
Agenda • Inleiding • Unattended Deployment (‘rollout’) • Athena – – – – – –
Doelstelling Architectuur Webinterface Cijfers: gebruik en kosten/baten Hands-on (PC-klas) Ervaringen
• Conclusies • Vragen
Inleiding • Indeling applicaties • Universiteit Gent in cijfers
Indeling applicaties • Naar domein: onderwijs, onderzoek en administratie • Naar soort: – Client/Server toepassingen • Databasetoepassingen via Telnet/SSH of native client • Domein: administratief. Vb. SAP, Studentenadministratie, etc.
– Desktop toepassingen • Standalone • Domein: onderwijs en onderzoek. Vb. Office, SPSS, Maple, Matlab, AutoCAD, etc.
– Webtoepassingen • Zijn vaak minder ‘feature-rich’ • Domein: vaak administratief, deels ook voor onderwijs (vb. Minerva, Curios) en onderzoek (vb. enquêtes)
– High Performance Computing • Ook wel Supercomputing, Grid-computing, etc. Wordt vaak onder 1 gerekend worden, immers ook client bij betrokken • Domein: onderzoek
Indeling applicaties Onderwijs
Onderzoek
Administratie
1. Client/Server
/
/
ja
2. Desktop
ja
ja
/
3. Web
ja
ja
ja
4. HPC
/
ja
/
Focus bij PC-beheer en Server Based Computing: 1 (client-gedeelte) en 2.
Universiteit Gent in cijfers • Organisatie: – 11 faculteiten: 134 vakgroepen + logistieke diensten – 8 directies + bestuur en controlediensten – Totaal = 217 entiteiten
• Gebruikers: – 28.000 studenten – 6.000 personeelsleden
• PC-Beheer: – Schatting 10.000 clients (PC, Linux, Mac), en 2.500 netwerkprinters – Applicaties: 200+ Windows applicaties (Client/Server en Desktop) – Beheer: • Centraal: DICT = 1.600 publieke PC’s en 1.400 private PC’s. – Publieke PC’s: PC-klassen, auditoria en bibliotheken – Private PC’s: Centrale administratie en - vrijwillig - vakgroepen
• Decentraal: 100+ sysadmins (al dan niet FT, vaak ook assistenten)
Rollout • Historiek Windows Deployment (OS en applicaties) aan de UGent (DICT) • Disk cloning? • Demo • Pro’s
Historiek 1993 (?) - 09.1997
Windows for workgroups 3.11 (Diskless).
10.1997 - 06.2004
Windows NT 4.0 (Disk cloning: Ghost). Enkele PC-klassen en auditoria bleven in academiejaar 2003/2004 nog op NT.
02.2003 - … (2010?) Windows XP Professional (Unattended Deployment + scripting). Eerste PC’s op centrale administratie, vanaf academiejaar 2003/2004 ook op meerderheid publieke PC’s.
01.2008 (?) - …
Windows Vista Business (Unattended Deployment + scripting).
Deployment Windows OS en applicaties door DICT
Disk cloning • Disk cloning of imaging, ghosting, … • Waarom geen disk cloning meer? – Licentie op Ghost e.a. werd te duur. – Te veel soorten hardware, dus te veel verschillende images te onderhouden. Elke combinatie hardware + softwareset behoeft een aparte image. In de praktijk waren er dat eind 2002 reeds 60+. – Aanmaken images was daarom reeds sterk geautomatiseerd. Basisimage NT per hardwaresoort + batch scripting. – Imaging is minder geschikt voor servers.
Rollout • Fase 1. Boot. – Methodes: • Floppy: DOS 6.22 (sinds 10.1997) • PXE (Preboot eXecution Environment): WinPE (sinds 08.2006) • USB/CD: WinPE (sinds 08.2006)
– Netwerkkaartdetectie – Identificatie (datafile, ID = macadres), instellen netwerkparameters en variabelen: %installserver%, %group%, etc. – Mounten \\%installserver%\%share%
• Fase 2. OS. – Unattended installation OS: File Copy Fase + Installatie (unattend.txt)
• Fase 3. Apps. – – – –
Unattend.txt: *GuiRunOnce+, Command0= … Patching (XP momenteel 77 patches) Apps (momenteel 350 apps), config adhv %group%.ini Andere: toevoegen aan domein, logging, instellen rootww, etc.
Rollout • WinPE – Windows Preinstallation Environment – Bart Lagerweij (http://www.nu2.nu/pebuilder/)
• Besturingssysteem – Windows XP: SP1 en SP2, Ned. Of Eng. – Windows 2003 Server, ca. alle edities – Vista Business Edition
• Aantal rollouts per jaar: – 2006: ca. 9.000 tot 10.000 – Raming voor 2007: 15.000
Demo • Volledige installatie citrixserver ‘Rollout, the movie’, – Starring: • Rollout (11.000 lijnen code) • VMware Workstation 6 (‘Capture Movie’) • MS Movie Maker
– Duur: volledige uitrol citrix server = 3 tot 4 uur – Start Playing
• Singleapp – Ook bruikbaar via SMS
Rollout pro’s • Self documenting • Hardware onafhankelijk, zelfs op virtuele machines • Testing! – Bijv. bij twijfel over het functioneren van een applicatie onder Windows XP of Vista, scenario: 2 machines uitrollen met zelfde applicatieset, 1 x XP en 1 x Vista … – Idem voor verschillend gedrag van een applicatie lokaal geïnstalleerd op een PC of op een applicatieserver
• Back-up: enkel data back-uppen
SBC • Waarom SBC? • MS Terminal Services & Citrix • Relatie Microsoft & Citrix
Waarom SBC? • Rollout is niet steeds inzetbaar voor (alle) private PC’s. • Uitrollen van 1 PC in auditorium of van een ganse klas duurt steeds 1 of meerdere lesslots. • Toegang tot applicaties thuis en op de niet door DICT beheerde PC’s (‘unmanaged computer’). Softwaredistributie opzetten (incl. documentatie en ondersteuning) is heel arbeidsintensief. • Aanvullende methodes (AD, bootscripts, SMS, etc.) bieden niet altijd een oplossing.
Total cost of ownership Betere dienstverlening
MS Terminal Services & Citrix • Reeds sinds 1998 Terminal Services in gebruik bij UGent – 1e server tbv studentenadministratie, met o.a. telnet client: • Security (encryptie RDP + telnet over fysiek beveiligde lijn komt overeen met SSH) • Bandbreedte (reductie tot 1/7)
– Later ook voor financiële administratie, toegangscontrole, auditoriumbeheer en SAP Gui
MS Terminal Services & Citrix • Meerwaarde Citrix t.o.v. Terminal Services – Seamless Windowing; extra bureaublad is heel verwarrend; vandaar minimaal 1 server nodig per applicatie/functionaliteit – Webinterface – Betere load balancing – Betere multimedia (via virtueel kanaal?) (demo) – Tools & Features: centraal beheer, session shadowing (helpdesk), session roaming, etc.
• Concurrentie? – Jetro Cockpit, Tarantella New Moon, NoMachine NX, etc. – Citrix is met voorsprong marktleider, dus wereldwijd meest expertise en add-ons voorhanden. Ruim gamma (access gateway, password manager, etc.).
Seamless Windows
Remote Desktop Window
Seamless Window
Relatie MS & Citrix • Historiek – 1992: Citrix brengt ICA (Independent Client Architecture) uit – 1997: MS neemt licentie op ICA en bouwt RDP (Remote Desktop Protocol) – 1998: MS brengt Terminal Services uit (‘Hydra’) – RDP en ICA worden steeds verder verfijnd, ICA blijft steeds voorop lopen – Co-development op campus Redmond
• Longhorn? – Ook webinterface, seamless windowing, etc. – MS beaamt zelf dat Citrix nog een belangrijke meerwaarde biedt: centraal beheer, load balancing, etc.
Athena • • • • • • •
Doelstelling Timing Architectuur Webinterface Cijfers Hands-on (PC-klas) Ervaringen
Doelstelling • Toegang tot (Windows-)applicaties voor iedereen, eender waar, eender wanneer. – Iedereen • Platform onafhankelijk: – OS: Windows, Linux, Macintosh, Thin client en (Windows-)PDA – Browser: IE, FF, etc.
• Hardwarevereisten laag
– Altijd & overal • • • •
PC-klassen, auditoria en bibliotheken (publieke PC’s) Vakgroepen en administraties Buiten UGentNet (VPN): Studentenhomes, draadloos, thuis Kiosk-PC
Naam • Acroniem: ‘Access THE Network (and) Applications’ • Athena is in de Griekse mythologie de godin van de wijsheid (Romeinse evenbeeld is Minerva). • Minerva & Athena – Minerva: platform voor cursusbeheer – Athena: platform voor (Windows-)applicaties • Vb. Cursus lineaire algebra (Maple)
Timing 25.09.2004 Active Directory UGent.be
01.10.2004 Citrix Fase 1 (‘Citrix’) in de facultaire PC-klassen 15.03.2005 Citrix Fase 2 (‘Athena’) = prerelease DICT 05.2005 Gefaseerde release voor personeel centrale administratie en faculteiten 01.10.2005 Release voor alle studenten en medewerkers
Architectuur • • • • • • • • • •
Active Directory Soft- en hardware Opbouw farm Onderhoud, back-up en DR Methodes voor publishing Webinterface en MyAthena Toegang Clients Disks en printers Gebruikersprofielen
Active Directory • LDAP is de centrale Directory Service van de UGent • Synchronisatie LDAP naar AD – In zomer 2004 groot aantal pistes verkend (o.a. MIIS, Identity management, etc.) – Uiteindelijk zelf geschreven. Dagelijkse synchronisatie aan de hand van een LDIF-dump. Duur ca. 25’ voor 46.000 accounts. – Wachtwoorden: • Sinds 10.2004: ‘Activeren voor Windows’ (website: checkt wachtwoord t.o.v. centrale Unix-servers en zet wachtwoord in AD) • Vanaf 03.2007: geïntegreerd in standaard gebruikersadministratie en wachtwoordsite
• Opbouw: demo
Soft- en hardware • Software – Windows 2003 Server R2 Standard Edition SP1 – Citrix MetaFrame Presentation Server XPa 4.0: 1.100 concurrent users – Datastore: MS SQL 2000 SP4 – Testomgeving: VMware Workstation
• Hardware – Dell PowerEdge 2650/2850/2950, telkens Dual Xeon (Hyper Threading of Dualcore) met 4 of 8 GB RAM – Toekomst: • Dual Quadcore Xeon 8 GB RAM • Blades (?)
Opbouw farm • 4 x Webinterface (citrixw1 en citrixw2 in load balancing). Back-up en testomgeving citrixw3 en citrixw4. • 1 x Datastore (citrixdb) • 1 x Licentieserver (licserv2) • 1 x Dedicated DataCollector (citrixdc) • 40 x Applicatieservers (citrixnn), indeling: – Zone?: zone preference om studenten en personeelsleden te scheiden. Dit bleek echter enkel te werken onder XPe, nochtans wel aanwezig in manamenet console van XPa. Oplossing via AD groepen. Ook de back-up zone werd intussen afgebouwd. – Pool: • Toegang scheiden voor studenten/personeel. Geen studenten op ‘administratieve servers’. • Stabiliteit op applicatieniveau, conflicterende versies
Onderhoud, back-up en DR • Onderhoud: – Dagelijkse reboot helft farm, bij deze reboots worden profielen opgekuist en kunnen MS en Citrix patches gedeployed worden. – Regelmatig heruitrollen.
• Back-up: – Enkel database in de datastore en data van de webinterface.
• Disaster recovery – Monitoring: MOM en eigen script. – Eerste poging: aparte zone op tweede site. – Nieuwe piste: maandelijkse complete rebuild van de volledige farm op de tweede site op een tiental servers, bij een echte ramp worden er dan meer ‘servers’ bijgeplugd. – Manuele failover via DNS of andere URL.
Methodes voor publishing •
Program Neighborhood – Toegang via 1 lokaal programma – Nadeel: client configuratie, een xml server configureren op poort 8083 – Van daaruit kan de gebruiker snelkoppelingen beheren
•
Program Neighborhood Agent – Service op de PC – Eenvoudiger centraal aan te sturen (vanuit de management console kan je bepalen wat in start menu of op bureaublad moet komen) – Nadeel: portables, indien niet verbonden met het netwerk verdwijnen snelkoppelingen of geeft de agent foutmeldingen …
•
Webinterface – PN en PNA: • • •
Transparanter voor de eindgebruiker. Is dit een voordeel? Nadeel: ‘deep linking’, flexibiliteit verdwijnt Voor PNA ook webinterface nodig
– Centraal beheersbaar en ‘rijker’. – Opmerking: Out of the box volstaat de webinterface niet, aanpassing aangewezen
•
Published Desktop (?) – Is gewoon gepublishte applicatie , daarvoor heb je trouwens geen Citrix nodig.
Webinterface
Webinterface
Webinterface
Webinterface
Webinterface
MyAthena
MyAthena
Toegang • UGentNet en UZ netwerk: rechtstreeks • Buiten UGentNet: – VPN (Cisco Concentrator 3000) • Reeds jaren in gebruik • Verschillende clients (MS en Cisco) • Contra: extra client, bij thuisgebruik klagen sommigen over uitval
– Citrix Access Gateway • Momenteel in test, 10 concurrent licenties • Prijs: appliance = ca. 2.200 euro incl. BTW, licenties = afgeschreven ca. 30 euro/gebruiker/jaar
– We zoeken nog naar een ‘adminless install’ oplossing (voor de kiosk-PC’s)
Clients • Fat Client – TCO, wat kost een PC? – Energieverbruik (PC’s UGent: raming 300.000+ euro/jaar)
• Thin Client – Tientallen verschillende soorten, elk met hun eigen besturingssysteem en beheersmethodes, weinig standaardisatie – Kostprijs: veel te hoog
• Mid Client – Licht uitgebouwde PC (of verouderde PC) – Mindere krachtige processor, kleinere harde schijf, minder geheugen, minder krachtige videokaart. Dus goedkoper in aanschaf en met een lager energieverbruik. – Standaard beheersmethodes
Disks en printers • Disks – Lokaal: • Enkel C:-schijf
– Netwerkschijven: • H:-schijf (%homedrive% uit AD) • Andere: AD (scripts en config-file)
– C:-schijf server = X: (drive remapping)
• Printers – Momenteel: • Default printer van het werkstation • PDFCreator (gratis)
– Toekomst: meerdere printers
Gebruikersprofielen Vrij
Local
Roaming
Hybrid
Lokaal
/
Mandatory
Restrictief
Centraal
Cijfers • • • •
Methode Gebruikscijfers Cijfers webinterface Kosten/Baten
Methode • Metaframe XPa heeft geen uitgebreide logging- en billingmogelijkheden in tegenstelling tot XPe. • Script op 1 server (citrix01) uit de farm dat elke 5 minuten sample neemt en opslaat in een database op de datastore (citrixdb). • In deze sample worden volgende parameters opgeslagen: DateTime, UserName, AppName, ServerName, ClientIP, ClientID, ClientBuild, ClientName • Omvang DB na anderhalf jaar: 1,5 GB • Verwerking: – Basisqueries rechtstreeks op citrixdb (MS SQL + Excel) – Meer uitgebreide rapportering manueel op dump (SQLite + Excel), vrij arbeidsintensief, moet nog verder geautomatiseerd worden
Gebruikscijfers • Applicatieuren: Dagoverzicht • Applicatieuren en gebruikers: Maandoverzicht • Maximum aantal (09.01.2007) – Licenties: 694 – Applicaties: 801
• Spreiding: Weekdagen en Uren – Dagen: 5,6 % buiten de werkweek – Uren: 15,1 % buiten ‘9 to 5’ – ‘Gecombineerd’: 20 % buiten de kantooruren
• Spreiding per domein (Administratie vs O & O) • Overzicht: Gebruik per applicatie
Webinterface • Aparte logging voor gebruik webinterface (weblogs naar aparte server - verwerking via awstats). • Geeft aanvullende data o.a. over het gebruik van verschillende besturingssystemen en browsers. Voor een organisatie als de UGent is dit waardevol materiaal.
Besturingssysteem Januari 2006
Januari 2007
Windows
95,4 %
95,3 %
Linux
2,4 %
2,5 %
Macintosh
2,0 %
2,1 %
Browser Januari 2006
Januari 2007
Internet Explorer
73,7 %
76,5 %
Firefox
20,7 %
19,1 %
Andere
5,6 %
4,4 %
Kosten • Systeembeheer – 2 x FTE = 150.000 euro/jaar (47 %)
• Licentiekost – Presentation Server XPa: afgeschreven = 60 euro incl. BTW per concurrent user per jaar (20 %)
• Servers – 45 dual Xeon servers: aankoop, afschrijving, OS, energieverbruik voor voeding en koeling = 2.125 euro incl. BTW per server per jaar (30 %)
• Andere – andere software, handboeken, etc. = 10.000 euro per jaar (3 %)
• Totale kostprijs per jaar: 320.000 euro incl. BTW
Baten - meetbaar • Vermeden installaties – Zie cijfers. Aantal installaties = som van het aantal verschillende PC’s vanwaar elke applicatie opgestart werd = 49.047 – Totaal aantal verschillende PC’s: 16.020 (dus gemiddeld 3 pakketten per PC) – Verschil = aantal bespaarde installaties (op elke PC immers installatie van ica-client en soms VPN-client of browser settings) = 33.027 – Geëxtrapoleerd per jaar = kleine 40.000 installaties per jaar – Besparing per installatie = 30’ @ 15 euro/uur (installatie = afhalen sources, distributie media, onderhoud, patches, support, incl. herinstallaties) – Totale waarde = 300.000 euro
Baten - meetbaar • Hardwarekosten – 10.000 PC’s aan gemiddeld 1.000 euro incl. BTW per PC, vervangingstermijn 4 jaar – Verlengen vervangstermijn • • • •
Naar 4,5 jaar: 277.778 euro per jaar Naar 5 jaar: 500.000 euro per jaar Naar 6 jaar: 833.333 euro per jaar Illustratie: ‘mijn’ PC = 6,5 jaar
– Minder krachtige hardware: lagere aanschafwaarde • Naar 800 euro: 500.000 euro per jaar
– Minder krachige hardware: lager energieverbruik • Van 150 W naar 90 W = 120.000 euro per jaar
• Opmerking: – Deze besparingen realiseert de UGent op dit moment nog niet of slechts voor een klein gedeelte
Baten - niet meetbaar • Snellere dienstverlening: software voor lessen soms maar 1 dag vooraf, Office 2007, Adobe Reader 8, SAP Gui patches, SPSS, etc. • Hogere beveiliging: administratieve toepassingen. • Betere ondersteuning mogelijk: vb. shadowing SAP Gui. • Toename beleidsinformatie: softwaregebruik wordt voor het eerst meetbaar. • Centralisering van data en instellingen: goedkopere migraties. • Meer uniforme omgeving voor de eindgebruiker.
Afweging • Meetbaar: – Kosten: 320.000 euro incl. BTW per jaar. – Baten: reeds gerealiseerd 300.000 euro per jaar, nog mogelijk te realiseren: vele 100.000’en euro per jaar.
• Conclusie: – Naast de belangrijke niet-meetbare voordelen draait Athena reeds break-even op de meetbare elementen, met nog een enorm potentieel bij keuze voor de ‘mid-client’.
Hands-on • Tijdelijk account (werkt enkel vandaag) • Inloggen op PC en ‘Athena’ opstarten (SSO) • Verkenning – Single-click volstaat – Index = overzicht van alle toepassingen – ‘MyAthena Configuration’ (onder ‘Tools’) = laat u toe uw eigen folder samen te stellen – Applicaties: ‘MS Office Language’ voor Office 2003 (onder ‘Tools’), Office 2007, Vista Business (onder ‘Test > Virtual machines’) … – Taalkeuze webinterface Nederlands of Engels (bij SSO moet je daar eerst voor uitloggen) – Bekijk via Windows Taakbeheer op de PC het gebruik van lokale resources (CPU, memory, netwerk)
Ervaringen • • • •
Gebruikers Technische problemen Specifiek probleem: licenties Technische uitdagingen
Gebruikerservaringen • Overwegend positief – “Momenteel doe ik een stage van drie maanden aan de Universiteit van New York in het kader van mijn doctoraatsopleiding. Ik maak dus bijzonder veel gebruik van Athena om van hier uit verder te kunnen werken op het netwerk van mijn thuis-departement …”
• Aandachtspunten – Servergebaseerd denken. Bestanden en applicaties moeten echt op hetzelfde niveau. (“Waarom wordt USB-drive niet ondersteund ?”). Misverstand (“Gisteren heb ik via Athena SPSS geïnstalleerd en vandaag is het van mijn PC verdwenen”). – Verlies gevoel van vrijheid – Probleem voor veldwerkers. Kan Project Tarpon een oplossing bieden?
Technische problemen • 15-tal servercrashes op 1 jaar tijd = anderhalve crash per server in de levensduur van 4 jaar. • Beveiliging: firewall policies laden kan problemen geven bij autodetectie netwerkbandbreedte en duplexmode. • Wegschrijven van files naar netwerkschijven ‘delayed write error’ (elementen: autodetectie netwerkkaart + switches + fileserver). Netwerkschijfproblemen reeds problemen voor S-Plus, NetBeans en Matlab. • Verkeerd ingeschatte capaciteit. Op 1 dag een probleem met een les Adobe Photoshop, 85 simultane gebruikers.
Licenties • Veel verschillende licentiemodellen, in volgorde van voorkeur – – – – –
Gratis software (free as in beer) Flat fee (campus)agreement Per concurrent user Per named user (groep in AD) Per PC
• Overeenkomsten zelf zijn vaak nodeloos complex, leggen dikwijls ook restricties op het gebruik (vb. AutoCAD: onderwijs, onderzoek, administratie). • Technisch – Voorkeur: vertrouwen – Keycode, KMS (MS Volume Activation 2.0), flexlm, USB-dongle, … – Licentieservers kunnen best op virtuele machines
• Nog te weinig softwarebedrijven zijn klaar voor SBC.
Technische uitdagingen • Vernieuwen webinterface (versie 4.5) • Betere ondersteuning multimedia en CAD/CAM – Citrix MPS 4.5 – MS Longhorn Server (RDP 6)
• Desktop broker – Virtuele of zelfs reële machines – In de toekomst wordt ook RDP over ICA mogelijk
• • • • •
Doorvoeren Office 2007 als primaire versie Verfijning gebruikersprofielen & versnellen logonproces Netwerkconnectiviteit portables (HSDPA) Oplossing voor Kiosk-PC’s (Access + ica-client) Integratie in een ‘UGent-portaal’ (?)
Conclusies • Zelfs al beschikt men over een goed PC-beheer platform (cloning, rollout, AD, SMS, Altiris, HP OpenView, CA Unicenter TNG, etc.) dan nog biedt SBC een belangrijke meerwaarde: Snelheid deployment (applicaties voor ‘the unmanaged computer’) en TCO. • Citrix is op dit moment nog steeds de beste keuze. • Expertise inhuren voor (AD design en) Citrix Farm design is onontbeerlijk. • Een flexibele architectuur voor deployment van OS en applicaties blijft essentieel voor een goed PC- en serverbeheer.
SBC - de 10 geboden 1. Leer gebruikers servergebaseerd denken. 2. Automatiseer en script. 3. Gebruik wat je hebt: MS en Citrix kunnen volstaan. 4. Gebruik de webinterface als enige toegangspoort. 5. Gebruik multicore servers. 6. Gebruik geen zwervende profielen. 7. Vermijd USB-drives. 8. Geen thin clients, geen fat clients maar mid clients. 9. Vermijd software met complexe licentiemodellen. 10. Lees www.brianmadden.com.
Vragen • Slides op http://users.UGent.be/~srogge/sbc/ en op Minerva. • Verdere vragen mogen per e-mail aan
[email protected] • ?