You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 30 Next »

Для корректной работы WNAM вам необходимо запроектировать и настроить значительное число компонентов, а именно:

  • Устройства сетевого доступа NAS (контроллеры БЛВС для гостевого и/или корпоративного подключения, коммутаторы ЛВС, шлюзы VPN и т.п.)
  • Сетевую инфраструктуру, обеспечивающую подключение физических или виртуальных серверов WNAM
  • Физические или виртуальные машины с ОС Linux, для установки WNAM, СУБД и других компонентов
  • СМС-шлюзы или программные АТС для отправки идентификационной информации
  • Средства мониторинга
  • Средства резервного копирования

Мы настоятельно рекомендуем привлекать для этой цели системных интеграторов, имеющих опыт работы с нашей системой. Особенно, если речь касается построения сложной, нагруженной и распределенной инсталляции системы WNAM для нужда корпоративной авторизации. Получить рекомендации по выбору системного интегратора вы можете, отправив запрос на info@netams.com. Мы, как разработчики прикладного программного обеспечения, не можем порекомендовать вам "идеальный" дизайн сопутствующих систем: сетевой инфраструктуры, средств виртуализации, средств обеспечения информационной безопасности, резервного копирования, доменной структуры Windows и т.п. 

Приведенные ниже сценарии использования WNAM описывают типовые задачи, которые встречаются у наших клиентов гостевой и корпоративной авторизации. Мы настоятельно рекомендуем придерживаться одного из следующих примеров при проектировании и развертывании WNAM у вас. 

Первым делом, вам необходимо изучить принципы работы основных способов авторизации:

В работе вашей системы вы можете одновременно использовать оба сценария. Вместе с тем, для использования в крупной сети настоятельно рекомендуется организовать два, не связанных между собой кластера систем WNAM, работающих в разных информационных контурах, один только для гостевой, другой только для корпоративной авторизации.

Определившись со сценарием работы, вам необходимо оценить число серверов, требуемых WNAM для работы, и разнесение функций системы между этими серверами. Такая оценка опирается на следующие параметры:

  • Число одновременно идущих процедур авторизации, и число одновременно работающих в сети гостей / эндпоинтов
  • Физические характеристики имеющихся серверов
  • Требования по отказоустойчивости и географическому разнесению узлов системы

В конечном счете, устойчивая работа системы WNAM определяется нагрузкой на неё, которая напрямую связана с числом Web- и RADIUS-запросов, которые попадают на систему.

Рекомендуется проектировать объемы ресурсов таким образом, чтобы:

  • Нагрузка на процессор сервера не превышала 50% (т.е. величина LA сервера была вдвое меньше числа установленных процессорных ядер)
  • Задержка RADIUS-ответа в среднем не превышала 40 мс.

1.Типовой сценарий малой нагрузки

Если в вашей сети находится менее 200 точек доступа (т.е. менее 1000 одновременно работающих гостевых клиентов), или корпоративная авторизация требует менее чем 200 эндпоинтов, вам подойдет дизайн, в котором все компоненты системы авторизации работают на одном физическом или виртуальном сервере.

Типичные характеристики такого сервера:

  • 2-4 vCPU
  • 8 Gb vRAM
  • 50 HB HDD (любого типа)

2. Сценарий средней нагрузки без отказоустойчивости

Если в вашей сети находится менее 500 точек доступа (т.е. менее 5000 одновременно работающих гостевых клиентов), или корпоративная авторизация требует менее чем 500 эндпоинтов, рекомендовано вынести на отдельный сервер базу данных MongoDB:

Вам понадобится два одинаковых сервера с характеристиками:

  • 2-4 vCPU
  • 8-16 Gb vRAM
  • 50 HB HDD (любого типа)

Дополнительно для сервера MongoDB:

  • 50 HB HDD (типа SSD)

3. Сценарий высокой нагрузки с локальной отказоустойчивостью

Если в вашей сети находится менее 1000 точек доступа (т.е. менее 10000 одновременно работающих гостевых клиентов), или корпоративная авторизация требует менее чем 1000 эндпоинтов, рекомендовано создать отказоустойчивый кластер MongoDB. Такой кластер требует трёх узлов (primary, secondary, arbiter), причем только два из них несут копию базы, а третий только участвует в кворуме. Также желательно вынесение прокси-сервера на отдельный узел для того, чтобы перенести нагрузку обработки SSL-трафика с сервера приложения:

Вам понадобится три одинаковых сервера с характеристиками:

  • 4-8 vCPU
  • 16 Gb vRAM
  • 50 HB HDD (любого типа) - системные диски

Дополнительно для двух серверов MongoDB (primary, secondary):

  • 50 HB HDD (типа SSD) - для СУБД
  • 500 HB HDD (типа SATA) - для дампов СУБД

4. Сценарий высокой нагрузки с распределенной отказоустойчивостью

5. Сценарий высокой нагрузки с распределенной отказоустойчивостью и поддержкой изолированной работы


Резервное копирование

Настоятельно рекомендуется настроить резервное копирование системы одновременно по обоим путям:

  • Для серверов, на которых работает MongoDB: через cron по расписанию, раз в сутки ночью, дамп базы данных в файлы, на другой (относительно основного) физический диск, с удалением старых резервных копий
  • Резервное копирование виртуальной машины целиком, используя средства резервного копирования вашей платформы виртуализации. 

При использовании кластерного варианта MongoDB можно не копировать разделы, содержащие файлы БД (в любом случае восстановить из "горячего бэкапа" кластерную БД не получится).

Резервное копирование виртуальных машин должно включать в себя копии дампов БД, которые должны формироваться до того, как проводится процедура бэкап




  • No labels