AFS

Snad každá firma potřebuje nějaký ten sdílený síťový disk. Samozřejmě i my – používali jsme je pro sdílení instalaček, dokumentů, obrazů systémů pro VMWare a nebo zálohování. Proto jsme do nedávna používali kombinaci NFS pro Linuxové klienty a Samby pro ty s–Windows. Bohužel nám tato kombinace přinášela problémy.

Proto jsme se rozhodli najít jiné řešení a vybrali jsme AFS (resp. OpenAFS).

Vraťme se ještě k problémům s předchozím řešením. Největší z nich byly způsobeny u NFS především na poli bezpečnosti – pro identifikaci uživatelů je používáno lokální UID a proto pokud prolomím systém, který je připojen na NFS, mohu přistupovat ke všem datům (stačí se přepnout na uživatele, který právo má). Od NFS verze 4 je i tato část zlepšená (podporuje kerberos). Bohužel tyto bezpečnostní části zatím nejsou v Linuxu příliš podporované. Problémy byly také s přístupovými právy napříč oběma protokoly.

Naštěstí teď už nás tyto problémy netrápí. Za pomoci firmy AdminIT s.r.o. jsme OpenAFS nainstalovali do virtualizovaného prostředí a přesunuli na něj všechna naše data.

AFS má tyto výhody:

• bezpečnost – pro autorizaci je používán kerberos a lze jej tak provozovat přes internet i bez VPN.
• škálovatelnost – uživatel se nemusí zajímat o to, kde jsou data uložena. Je možné mít více replik na různých serverech a využívat vždy tu nejbližší. Data lze přesouvat za běhu mezi servery bez výpadku.
• lokální cache – AFS si na disku vytvoří cache. Lze jej tak používat rychle i po pomalé lince. Navíc i po rychlé lince vše chodí rychle (např. svn update). Navíc lze obsloužit více klientů, protože nemusí být všechna data znovu a znovu čtena ze síťového serveru.
• dobrá podpora napříč platformami – ACL zde funguje správně ze všech klientů (my používáme MacOS, Linux a Windows)

Má ovšem i nevýhody:

• potřeba speciálního klienta – pro všechny platformy je nutné používat speciálního klienta. Naštěstí podpora je slušná. Pro Linux je potřeba zkompilovat modul do jádra (což je v ubuntu jeden příkaz, který vše zajistí).
• UDP – AFS používá pro práci protokol na bázi UDP. Díky tomuto protokolu dosahuje maximální rychlosti 7 MiB/s i na gigabitové lince (zřejmě díky časování). Toto omezení platí na uživatele (z jednoho počítače) a proto 10 uživatelů může v součtu přistupovat rychlostí 70 MiB/s. Toto omezení se na 100mbitové lince téměř neprojeví a při normální práci si toho díky lokální cache člověk vůbec nevšimne. Lze to považovat i za výhodu, protože uživatelé si nevšimnou rozdílu při zatíženém a nezatíženém systému :-). Autoři naštěstí pracují na podpoře TCP/IP, která touto neduhou trpět nebude.
• Zatím se nám ještě objevují problémy na noteboocích s Windows – chvíli trvá než se AFS po probuzení vzpamatuje. Tento problém se však na Linuxovém notebooku neprojevuje a doufáme, že se jej podaří spolehlivě vyřešit i pro Windows.

Zárukou spolehlivosti AFS může být i fakt, že je používáno řadou univerzit (např. i ZČU).

Nasazením OpenAFS jsme dosáhli vyšší bezpečnosti, vyšší rychlosti a také snažší správy.