IBM Tioli Access Manager Průodce kapacitnímplánoáním GC09-3668-00
IBM Tioli Access Manager Průodce kapacitnímplánoáním GC09-3668-00
Poznámka: Než začnete použíat uedené informace a produkt, o který se opírají,přečtěte si informace uedené části Poznámky na stránce 19. Druhé ydání (Březen 2002) Toto ydání nahrazuje GC32-0811-00. Copyright International Business Machines Corporation 2001, 2002. Všechna práa yhrazena.
Obsah Úod..................................... Pro koho je určena tato kniha............................... Co tato kniha obsahuje................................. Publikace..................................... IBM Tioli Access Manager.............................. Souisející publikace................................ iii Online přístup k publikacím.............................. ix Objednání publikací................................ ix Poskytnutí zpětné azby o publikacích........................... ix Dostupnost.................................... x Kontakt na zákaznickou podporu.............................. x Konence použíané této knize.............................. x Konence typu písma................................ x Plánoání kapacit............................... 1 Proces plánoání kapacit................................ 1 Vysětlení možností topologie sítě............................. 2 Serery prostředí WebSEAL............................. 2 Možnosti topologie sítě WebSEAL............................ 3 Fyzické sítě................................... 4 Identifikace transakcí sereru............................... 4 Transakce prostředí WebSEAL............................. 5 Definice požadaků na průchodnost transakcí sereru....................... 6 Založení odhadů na empirických datech........................... 6 Založení odhadů na registroaných užiatelích......................... 6 Výběrhardwaru................................... 8 Plánoání pamětiamísta na disku............................ 8 Získání měření/průchodnosti............................... 8 Úpraa typů transakcí tak, aby odpoídala zpráám oměření.................... 9 Škáloání podle hardwaroých rozdílů........................... 9 Škáloání podle yužití CPU, nižšího než 100%........................ 10 Škáloání podle rozdílů e elikostech stránek........................ 10 Škáloání podle elikosti stránky a zabudoaných obrázků..................... 11 Škáloání podle rozdílů e fyzických sítích......................... 11 Výpočet požadoaného počtu počítačů............................ 12 Zyšoání počtu počítačů.............................. 12 Vytoření možností topologie sítě............................. 12 Příklad plánoání kapacit................................ 13 Vysětlení možností topologie sítě............................ 13 Identifikace transakcí sereru............................. 13 Definice požadaků na průchodnost transakcí sereru...................... 14 Výběrhardwaru................................. 15 Získání měření/průchodnosti.............................. 15 Výpočet požadoaného počtu počítačů........................... 16 Vytoření možností topologie sítě............................ 17 Poznámky.................................. 19 Ochranné známky.................................. 21 Rejstřík................................... 23 Copyright IBM Corp. 2001, 2002 iii
i Access Manager: Průodce kapacitnímplánoáním
Úod Pro koho je určena tato kniha Co tato kniha obsahuje Publikace IBM Tioli Access Manager (Access Manager) je základní software, který je nezbytný, aby bylo možné pracoat s aplikacemi produktoé řadě Access Manager. Umožňuje integraci aplikací Access Manager, které nabízí širokou paletu řešení autorizace a spráy. Jsou-li prodány jako integroané řešení, mohou tyto produkty nabídnout řešení pro spráu řízení přístupu, které centralizuje síť a bezpečnostní politiku pro e-business aplikace. Poznámka: IBM Tioli Access Manager je noé jméno dříe uolněného softwaru zaného Tioli SecureWay Policy Director. Užiatelům, kteří dobře znali software a dokumentaci produktu Tioli SecureWay Policy Director, bychom chtěli dát ědět, že termín Management Serer je nyní nahrazen termínem Policy Serer. Dokument Průodce kapacitním plánoáním produktu IBM Tioli Access Manager pomáhá projektantůmurčit počet WebSEAL a LDAP sererů a weboých sererů typu back-end, který je potřeba pro dosažení požadoaného ytížení. Tento průodce je určen pro systémoé administrátory, odpoědné za instalaci a nasazení produktu Access Manager. Čtenářitéto knihy by měli být: Systémoí administrátoři Projektanti instalace, odpoědní za plánoání nasazení produktu Access Manager a WebSEAL. Kapitola 1, Plánoání kapacit na stránce 1 Obsahuje úod do posouzení, se kterými je nutné se ypořádat jednotliých etapách plánoání nasazení produktoé řady Access Manager. Předměty, o kterých je této knize pojednááno, jsou: topologie sítě, transakce sereru, požadaky na hardware, škáloání a příklad plánoání kapacit. Tato část obsahuje seznam publikací knihoně Access Manager a dalších souisejících dokumentů.dále popisuje, jak online přistupoat k Tioli publikacím, jak objednáat Tioli publikace a jak poskytoat komentář k Tioli publikacím. IBM Tioli Access Manager Knihona Access Manager je rozdělena do následujících skupin: Informace o ydání Základní informace Informace o WebSEAL Informace o zabezpečení Webu Informace o odkazech pro ýojáře Doplňkoé technické informace Copyright IBM Corp. 2001, 2002
Další zdroje informací o produktu Access Manager a souisejících tématech najdete na následujících weboých stránkách: http://www.ibm.com/redbooks https://www.tioli.com/secure/support/documents/fieldguides Informace o ydání IBM Tioli Access Manager for e-business: Čtěte jako prní, GI11-0918 (am39_readme.pdf) Obsahuje informace pro instalaci a začátek práce s produktem Access Manager. IBM Tioli Access Manager for e-business Release Notes, GI11-0919 (am39_relnotes.pdf) Poskytuje nejnoější informace např. o omezeních softwaru, pomocných opraách problémů, nebo o aktualizacích dokumentace. Základní informace IBM Tioli Access Manager Base Installation Guide, GC32-0844 (am39_install.pdf) Vysětluje, jak nainstaloat, nakonfiguroat a aktualizoat software produktu Access Manager, četně rozhraní Web Portal Manager. Administratiní příručka IBM Tioli Access Manager, GC23-4684 (am39_admin.pdf) Popisuje koncepty a procedury použíání služeb produktu Access Manager. Poskytuje instrukce pro proádění úloh z rozhraní Web Portal Manager a pro proádění úloh pomocí příkazu pdadmin. IBM Tioli Access Manager Base for Linux on zseries Installation Guide, GC23-4796 (am39_zinstall.pdf) Vysětluje, jak nainstaloat a nakonfiguroat Access Manager Base pro operační systém Linux na platformě zseries. Informace o WebSEAL IBM Tioli Access Manager WebSEAL Installation Guide, GC32-0848 (amweb39_install.pdf) Poskytuje instrukce pro instalaci, konfiguraci a odstranění sereru WebSEAL a sady pro ýoj aplikací WebSEAL. Průodce administrátora IBM Tioli Access Manager WebSEAL, GC23-4682 (amweb39_admin.pdf) Poskytuje podkladoé materiály, administratiní procedury a informace o technických odkazech, nutné při použíání WebSEAL ke spráě zdrojů e aší zabezpečené weboé doméně. IBM Tioli Access Manager WebSEAL Deeloper s Reference, GC23-4683 (amweb39_deref.pdf) Poskytuje informace o administratiě a programoání CDAS (Cross Authentication Serice), CDMF (Cross Mapping Framework) a modulu Odolnosti hesla. IBM Tioli Access Manager WebSEAL for Linux on zseries Installation Guide, GC23-4797 (amweb39_zinstall.pdf) Poskytuje instrukce pro instalaci, konfiguraci a odstranění sereru WebSEAL a sady pro ýoj aplikací WebSEAL na operačním systému Linux na platformě zseries. Informace o zabezpečení Webu Průodce užiatele IBM Tioli Access Manager for WebSphere Application Serer, GC09-3670 (amwas39_user.pdf) Poskytuje instrukce pro instalaci, odstranění a administratiu produktu Access Manager for IBM WebSphere Application Serer. i Access Manager: Průodce kapacitnímplánoáním
IBM Tioli Access Manager for WebLogic Serer User s Guide, GC32-0851 (amwls39_user.pdf) Poskytuje instrukce pro instalaci, odstranění a administratiu produktu Access Manager for BEA WebLogic Serer. IBM Tioli Access Manager Plug-in for Edge Serer User s Guide, GC23-4685 (amedge39_user.pdf) Popisuje, jak nainstaloat, nakonfiguroat a administroat plug-in pro IBM WebSphere Edge Serer. Průodce užiatele IBM Tioli Access Manager Plug-in for Web Serers,GC23-4686 (amws39_user.pdf) Poskytuje instrukce pro instalaci, administratiní procedury a informace o technických odkazech, týkající se zabezpečení aší weboé domény pomocí plug-in pro aplikace weboých sererů. Reference pro ýojáře IBM Tioli Access Manager Authorization C API Deeloper s Reference, GC32-0849 (am39_authc_deref.pdf) Obsahuje referenční materiál, který popisuje, jak použíat autorizační rozhraní C API produktu Access Manager a serisní plug-in rozhraní produktu Access Manager pro přidání zabezpečení Access Manager do aplikací. IBM Tioli Access Manager Authorization Jaa Classes Deeloper s Reference, GC23-4688 (am39_authj_deref.pdf) Poskytuje referenční informace, jak pomocí implementace autorizačního rozhraní API jazyce Jaa poolit, aby aplikace použíala zabezpečení produktu Access Manager. IBM Tioli Access Manager Administration C API Deeloper s Reference, GC32-0843 (am39_adminc_deref.pdf) Poskytuje referenční informace, jak pomocí administratiního API poolit, aby aplikace proáděla administratiní úlohy produktu Access Manager. Tento dokument popisuje implementaci tohoto administratiního rozhraní API jazyce C. IBM Tioli Access Manager Administration Jaa Classes Deeloper s Reference, SC32-0842 (am39_adminj_deref.pdf) Poskytuje referenční informace, jak pomocí implementace administratiního rozhraní API jazyce Jaa poolit, aby aplikace proáděla administratiní úlohy produktu Access Manager. IBM Tioli Access Manager WebSEAL Deeloper s Reference, GC23-4683 (amweb39_deref.pdf) Poskytuje informace o administratiě a programoání CDAS (Cross Authentication Serice), CDMF (Cross Mapping Framework) a modulu Odolnosti hesla. Technické dodatky IBM Tioli Access Manager Performance Tuning Guide, GC43-0846 (am39_perftune.pdf) Poskytuje informace o ladění ýkonnosti pro prostředí, skládající se z produktů Access Manager a IBM SecureWay Directory, který je definoán jako registr užiatelů. Průodce kapacitním plánoáním produktu IBM Tioli Access Manager, GC32-0847 (am39_capplan.pdf) Pomáhá projektantům určit počet WebSEAL, LDAP, a weboých sererů typu back-end, který je potřeba pro dosažení požadoaného ytížení. IBM Tioli Access Manager Error Message Reference, SC32-0845 (am39_error_ref.pdf) Obsahuje ysětlení a doporučoané akce pro zpráy, které ydáá produkt Access Manager. Úod ii
Obsahem Tioli Glossary jsou definice mnoha technických termínů, ztahujících se k Tioli softwaru. Tioli Glossary je k dispozici pouze angličtině na tomto weboém sereru: http://www.tioli.com/support/documents/glossary/termsm03.htm Souisející publikace Tato sekce obsahuje seznam publikací, souisejících s knihonou Access Manager. IBM DB2 Uniersal Database Produkt IBM DB2 Uniersal Database je yžadoán, pokud instalujete serer IBM SecureWay Directory, nebo serer z/os a OS/390 SecureWay LDAP. Informace o DB2 jsou k dispozici na tomto weboém sereru: http://www.ibm.com/software/data/db2/ IBM SecureWay Directory IBM SecureWay Directory, erze 3.2.2, se dodáá na CD-ROM IBM Tioli Access Manager Base pro ašiurčitou platformu. Pokud hodláte nainstaloat IBM SecureWay Directory serer jako áš registr užiatelů, adresáři /doc/directory na CD-ROM IBM Tioli Access Manager Base pro ašiurčitou platformu jsou k dispozici následující dokumenty: IBM SecureWay Directory Installation and Configuration Guide, SC32-0845 (aparent.pdf, lparent.pdf, sparent.pdf, wparent.pdf) Obsahuje informace o instalaci, konfiguraci a migraci komponent produktu IBM SecureWay Directory pro operační systémy AIX, Linux, Solaris a Microsoft Windows. IBM SecureWay Directory Release Notes (relnote.pdf) Přidáá dokumentaci produktu IBM SecureWay Directory, erze 3.2.2, a popisuje komponenty a funkce, které jsou ám k dispozici pro dané ydání. IBM SecureWay Directory Readme Addendum (addendum322.pdf) Obsahuje informace o změnách a opraách, které se objeily po přeložení dokumentace produktu IBM SecureWay Directory. Tento soubor je pouze anglickém jazyce. IBM SecureWay Directory Serer Readme (serer.pdf) Obsahuje popis produktu IBM SecureWay Directory Serer, erze 3.2.2. IBM SecureWay Directory Client Readme (client.pdf) Obsahuje popis produktu IBM SecureWay Directory Client SDK, erze 3.2.2. Tato sada pro ýoj softwaru (SDK - software deelopment kit) obsahuje podporu ýoje LDAP aplikací. SSL Introduction and ikeyman User s Guide (gskikm5c.pdf) Obsahuje informace pro administrátory sítě a systémoého zabezpečení, kteří plánují poolit SSL komunikaci e sé zabezpečené doméně Access Manager. IBM SecureWay Directory Configuration Schema (scparent.pdf) Popisuje DIT (directory information tree ) a atributy, které je možné použít při konfiguraci souboru slapd32.conf. Ve erzi 3.2 produktu IBM SecureWay Directory jsou nastaení adresářů uložena e formátu LDIF (LDAP Directory Interchange Format) souboru slapd32.conf. IBM SecureWay Directory Tuning Guide (tuning.pdf) Obsahuje informace o ladění ýkonnosti produktu IBM SecureWay Directory. Je-li to použitelné, jsou dány ladící faktory pro elikosti adresářů rozsahu od několika tisíců záznamů po miliony záznamů. Další informace o produktu IBM SecureWay Directory najdete na následujícím weboém sereru: iii Access Manager: Průodce kapacitnímplánoáním
http://www.software.ibm.com/network/directory/library/ IBM WebSphere Application Serer IBM WebSphere Application Serer Standard Edition erze 4.0.2 je nainstaloán s rozhraním Web Portal Manager. Další informace o produktu IBM WebSphere Application Serer najdete na následujícím weboém sereru: http://www.ibm.com/software/webserers/appser/infocenter.html Online přístup k publikacím Publikace produktoých knihonách jsou e formátu PDF (Portable Document Format) součástí produktoého CD-ROM. Chcete-li přistoupit k těmto publikacím prostřednictím ašeho weboého prohlížeče, oteřete soubor infocenter.html, který je adresáři /doc na produktoém CD-ROM. Jakmile IBM publikuje aktualizoanou erzi jedné nebo íce publikací, ať už online, nebo tralémzáznamu, umístí je na Tioli Information Center. Tioli Information Center obsahuje nejnoější erze publikací produktoých knihonách e formátu PDF, HTML, nebo obou formátech. Pro některé produkty jsou k dispozici také přeložené dokumenty. Na Tioli Information Center a další zdroje technických informací se dostanete z tohoto weboého sereru: http://www.tioli.com/support/documents/ Informace jsou seřazeny podle produktů, četně poznámek k jednotliým ydáním, průodců instalací,průodců užiatele, průodců administrátora a referencí pro ýojáře. Poznámka: Pokud chcete ytisknout PDF dokumenty na jiný formát papíru, než je letter, zaškrtněte pole Fit to page dialogu Print produktu Adobe Acrobat (ke kterému se dostanete, pokud klepnete na File Print), abyste zajistili, že celý rozsah stránky, formátoané na elikost letter, bude ytisknuta na papír, který použíáte. Objednání publikací Mnohé z Tioli publikací si můžete online objednat na následujícím weboém sereru: http://www.elink.ibmlink.ibm.com/public/applications/ publications/cgibin/pbi.cgi Můžete si je také objednat telefonicky na těchto telefonních číslech: Ve Spojených státech: 800-879-2755 V Kanadě: 800-426-4968 Seznam telefonních čísel pro ostatní země najdete na této weboé stránce: http://www.tioli.com/inside/store/lit_order.html Poskytnutí zpětné azby o publikacích Velmi se zajímáme o to, jaké máte zkušenosti s Tioli produkty a dokumentací, aítáme aše nárhy pro další zlepšení. Pokud máte nějaké poznámky nebo nárhy k našim produktům a dokumentaci, obraťte se na nás jedním znásledujících způsobů: Odešlete elektronickou zpráu na pubs@tioli.com. Vyplňte dotazníkprozpětnou azbu zákazníka na této weboé stránce: http://www.tioli.com/support/surey/ Úod ix
Dostupnost Funkce dostupnosti pomáhají užiateli, který má tělesné postižení, jako např. sníženou pohybliost nebo omezené iděni, úspěšně použíat softwaroé produkty. Kontakt na zákaznickou podporu Máte-li problém s jakýmkoli Tioli produktem, můžete se obrátit na Zákaznickou podporu Tioli. Prohlédněte si příručku Tioli Customer Support Handbook na následujícím weboém sereru: http://www.tioli.com/support/handbook/ Příručka poskytuje informace o tom, jak se obrátit na Zákaznickou podporu Tioli záislosti na záažnosti ašeho problému,anásledující informace: Registrace a opráněnost nároku Telefonníčísla a adresy elektronické poštyzáislosti na zemi, e které pracujete Jaké informace je nutné shromáždit, než se obrátíte na zákaznickou podporu Konence použíané této knize Tento průodce použíá několik grafických konencí pro speciální termíny a akce, příkazy a cesty záislé na operačním systému. Konence typu písma Vtéto knize jsou použity tyto konence typu písma: Tučné písmo Kurzía Monospace Jména příkazů a oleb, klíčoá sloa a další informace, které se musí použít přesně tak, jak jsou uedeny, jsou yznačeny tučným písmem. Proměnné, olby příkazů a hodnoty, které musíte dodat, jsou yznačeny kurzíou. Názy publikací a speciální sloa nebo fráze, které je nutné zdůraznit, jsou také yznačeny kurzíou. Příklady kódů, příkazoé řádky, ýstup na obrazoce, jména souborů a adresářů a systémoé zpráy jsou yznačeny fontem monospace. x Access Manager: Průodce kapacitnímplánoáním
Plánoání kapacit Proces plánoání kapacit Plánoání kapacit je proces, zabýající se odhadem systémoých požadaků a zjištěním, zda aše prostředí IBM Tioli Access Manager má adekátní zdroje, aby bylo schopno obsluhoat požadaky přijatelnou rychlostí. Tento průodce byl ytořenscílem pokrýt plánoání kapacit pro serer Access Manager WebSEAL a souisející serery. Techniky zde popsané jsou šak dostatečně obecné, aby je bylo možné použít také pro jiné distribuoané a replikoané komunikační systémy. Všimněte si, že tento průodce neobsahuje žádná specifická měření. Zajímáte-li se o měření ýkonnosti, informace najdete e zprááchoýkonnosti Access Manager, nebo doplňte stáající měření oměření, proedená e aší lastní laboratoři. Tento průodce obsahuje následující hlaní části: Proces plánoání kapacit Vysětlení možností topologie sítě Identifikace transakcí sereru Definice požadaků na průchodnost transakcí sereru Výběr hardwaru Získání měření/průchodnosti Výpočet požadoaného počtu počítačů Vytoření možností topologie sítě Příklad plánoání kapacit Proces plánoání kapacit začíná u komunikačního systému, který podporuje íce topologií sítě,aupředstay typu zatížení, jaké musí tento komunikační systém obsloužit. Dalším krokem procesu plánoání kapacit je identifikace typů transakcí, které má každý serer zpracoáat, a namapoání zatížení na požadaky na průchodnost pro jednotlié serery. Pak yberte hardware a shromážděte měření. Tyto požadaky a měření jsou stupem do ýpočtu, který určí podílpočítače nebo počet počítačů, které jsou nezbytné pro každý daný serer. Naposled narhněte topologie sítě. Copyright IBM Corp. 2001, 2002 1
Následující ýojoý diagram demonstruje proces plánoání kapacit: Přesnost procesu plánoání je přímo úměrná přesnosti požadaků na průchodnost a přesnosti odhadů, které jsou stupy procesu. Tak jako u každého použití plánoání, ýsledek je odhadem a předpokládá se určitá tolerance chyb. Tolerance chyb se liší záislosti na mnoha faktorech, četněúroně zkušeností, důěry proedená měření, a jak přesně proedená měření odpoídají budoucím požadoaným transakcím. Všimněte si, že tento průodce nedělá žádná prohlášení týkající se tolerance chyb, která by mohla být předpokládána při použití popisoaných metod. Určit toleranci chyb je aším úkolem jako projektanta. Vysětlení možností topologie sítě V typickém komunikačním systému existuje několik možností topologie sítě. V tomto kontextu se topologií sítě míní rozdělení sererů mezi několika počítači a jejich síťoá propojení. Chcete-li porozumět topologii sítě, musíte být schopni identifikoat serery systému a shromáždit informace o každém sereru. Shromážděte například následující informace: Určete funkci, kterou proádí každý serer komunikačním systému, a olby, které tento serer podporuje. Pro každý serer určete další serery, se kterými komunikuje. Určete možnosti kombinace a rozdělení sererů. Obykle je takoá možnost flexibilní. Každý serer může pracoat na samostatném počítači nebo může být kombinoán s dalšími serery. Určete, zda je možné serery replikoat nebo ne. Serer sice nemusí podporoat lastní replikaci, přesto ale může být replikoán. V takoém případě je možné proádět replikaci ručně. Serery prostředí WebSEAL V prostředí WebSEAL je zatížení rozloženo na několik sererů. Tabulka 1 obsahuje seznam těchto sererů spolu s jejich podporou replikace. Pokud plánujete, že nasadíte další serery do stejného prostředí, musíte také zít doúahy zatížení pro tyto serery. Tabulka 1. Serery prostředí WebSEAL Serer WebSEAL (PDWeb) Lightweight Directory Access Protocol (LDAP) Podpora replikace Ano, pomocí prostředku pro yronáání zatížení, jako např. IBM enetwork Dispatcher Ano, Access Manager může yažoat zatížení mezi íce LDAP serery 2 Access Manager: Průodce kapacitnímplánoáním
Tabulka 1. Serery prostředí WebSEAL (pokračoání) Serer Weboé serery typu back-end Podpora replikace Může yžadoat ruční replikaci. Access Manager může yažoat zatížení mezi íce serery typu back-end. Možnosti topologie sítě WebSEAL Níže jsou uedeny některé základní topologie sítě WebSEAL: Jeden počítač: kombinace šech sererů WebSEAL Management serer LDAP Da počítače: WebSEAL a LDAP na samostatných počítačích WebSEAL počítač WebSEAL Management serer LDAP počítač Třipočítače: WebSEAL, LDAP a weboý serer typu back-end (spojený) na samostatných počítačích WebSEAL počítač WebSEAL Management serer LDAP počítač Weboý serer typu back-end Plánoání kapacit 3
Další topologie je možné ytořit rozdělením a replikací sererů. Můžete například oddělit Management serer na lastní počítač a replikoat WebSEAL na íce počítačů. V takoém případě byste mohli použíat prostředek pro yronáání zatížení, jako např. IBM enetwork Dispatcher, abyste rozdělili zatížení. Můžete také na íce počítačů replikoat serery LDAP, případně weboé serery typu back-end. WebSEAL podporuje yronáání zatížení a přepnutí při selhání mezi íce LDAP serery a weboými serery typu back-end. Fyzické sítě Dalším bodem, který byste měli zážit a který se týká topologie sítě, jsou možnosti připojení k fyzické síti. Musíte určit, kolik fyzických sítí a s jakými rychlostmi linek je možné yužít nebo je potřeba zajistit. Znou platí, že účel každého sereru může diktoat některé z možností fyzických sítí. Identifikace transakcí sereru Šířka pásma sítě můžebýt jedním zdůodů, proč yžadoat íce fyzických sítí. Je-li síť úzkýmmístem, jednímzezpůsobů, jak yřešit tento problém, je ytořit íce fyzických sítí. Další olbou jsou linky s yšší rychlostí. Pro účely plánoání kapacit poažujte síť za speciální typ sereru. Obsluhuje zatížení. Jsou-li možnosti fyzických sítí známy, poažujte každou fyzickou síť za samostatný serer. Nebo poažujte celou síť za jeden elký serer a rozdělte tuto síť na několik fyzických sítí, je-li to nezbytné. Fyzická síť podporuje replikaci e ýznamu, že podporuje ytáření podsítí aíce IP adres na jednom počítači. Až identifikujete šechny serery komunikačním systému, dalším krokem je určit typy zatížení, o kterémsepředpokládá, že bude systém obsluhoat. Vyjádřete zatížení jako transakce na úroni systému,akaždou transakci na úroni systému rozdělte na transakce na úroni systému na jednom nebo íce sererů systému. Tento krok procesu plánoání kapacit se snaží identifikoat šechny transakce, o kterých se předpokládá, že je bude daný serer proádět. V tomto kroce není nezbytné určit četnost každé transakce. Četnost každé transakce se určí dalším kroku procesu Definice požadaků na průchodnost transakcí sereru na stránce 6. Například, předstate si prostředí WebSEAL, e kterém se transakce na ysoké úroni skládají z autentizoaného přístupu k weboé stránce. Předpokládejme, že přístup ke stránce yžaduje SSL (Secure Sockets Layer), použíá autentizaci pomocí LDAP, dosahuje elikosti průměru5kbaprobíhá prostřednictím TCP spojení WebSEAL. Tento praconí požadaek naštíí WebSEAL serer, LDAP serer, weboý serer typu back-end a fyzickou síť. Výsledné transakce sereru jsou následující: Tabulka 2. Příklad transakcí sereru Serer WebSEAL LDAP Weboý serer typu back-end Fyzická síť Transakce Autentizoaný přístup k weboé stránce prostřednictím SSL k weboému sereru typu back-end s TCP spojením Autentizace řízená WebSEAL Přístup k weboé stránce pomocí TCP Přibližně 10 KB prooz, četně malé režie pro komunikaci s LDAP sererem 4 Access Manager: Průodce kapacitnímplánoáním
Transakce prostředí WebSEAL Primární transakce, transakce na ysoké úroni prostředí WebSEAL je přístup k weboé stránce. Několik parametrů definuje přístup k weboé stránce. Například jeden parametr je, zda přístup ke stránce zahrnuje i přihlášení užiatele (autentizaci). Další transakcí prostředí WebSEAL je administratiní aktualizace, jako např. ytoření, odstranění, ýpis nebo změna užiatelů nebo záznamů ACL. Níže jsou uedeny některé z parametrů, které týkají definice transakce prostředí WebSEAL: WebSEAL serer Přístup ke stránce - TCP nebo SSL - Autentizoaný, po-autentizoaný, neautentizoaný - Pokud SSL, noý prohlížeč pro každý požadaek (noá relace SSL) nebo stejný prohlížeč (opětoné použití relace SSL) - Pokud SSL, elikost paměti cache a časoé limity SSL - Pokud autentizoaný, užiatel paměti cache Access Manager nebo ne - Pokud autentizoaný, špatné přihlášení nebo ne - Odhlášení (požadaek na stránku pkmslogout) nebo ne - Spojen nebo nespojen k weboému sereru typu back-end - Pokud spojen, typ spojení TCP nebo SSL - Pokud spojen, yžaduje serer typu back-end autentizaci nebo ne - Velikost weboé stránky Administratia - Vytořit, odstranit, ypsat nebo změnit užiatele - Vytořit, odstranit, ypsat nebo změnit ACL LDAP serer Autentizace - Užiatel z paměti cache LDAP, DB2, nebo z disku (neuložený do paměti cache) - Selhání autentizace nebo ne - Pokud selhala autentizace, proč? Užiatel nebyl nalezen nebo neplatné heslo - Velikost registru (počet užiatelů) Administratia - Vytořit, odstranit, ypsat nebo změnit - Aktualizoat hlaní serer LDAP nebo propagoat do repliky LDAP - Pokud aktualizace hlaního sereru LDAP, nastaení replikace (zapnuto nebo ypnuto) - Četnost propagace (okamžitá nebo pozdržená) - Velikost registru (počet užiatelů) Weboý serer typu back-end TCP nebo SSL Autentizoaný, po-autentizoaný, neautentizoaný Velikost weboé stránky Fyzická síť Počet bajtů každé transakci Rychlost linky Plánoání kapacit 5
Definice požadaků na průchodnost transakcí sereru Dalším krokem procesu plánoání kapacit je nadefinoat požadaky na průchodnost transakcí sereru pro každou transakci na každém sereru. To platí, je-li nadefinoána četnost každé transakce sereru. Pro začátek nadefinujte průchodnosti transakcí na úroni systému a namapujte je na transakce na úroni sereru pro každý ze zúčastněných sererů. Rozhodnout četnost transakcí, nebo také průchodnost, komunikačním systému je praděpodobně nejtěžší částí procesu plánoání kapacit. Obykle jde pouze o odhad, a jako takoý můžebýt nejětší příčinou chyby při ýpočtu množstí požadoaných počítačů. Chcete-li snížit toleranci chyb, je dobré založit sůj odhad na empirických datech z produkčních prostředí.tonení ždy možné, takže je nutné použít jiné metody, nebo kombinaci metod pro odhadnutí průchodnosti transakcí. Založení odhadů na empirických datech Níže jsou uedeny způsoby, jak shromáždit empirická data. Proeďte trasoání IP paketů a yjměte typy transakcí a jejich četnost během určité doby. Ujistěte se, že protokoloání sereru je zapnuto a zkontrolujte typy a četnost transakcí. Zýstupu podobného trasoání můžete například určit četnost autentizací apřístupů k weboé stránce. Všimněte si, že pokud použíáte podobná měření, musíte zít úahu eškeré rozdíly mezi měřeným aplánoaným prostředím. Založení odhadů na registroaných užiatelích Dalšímzpůsobem, jak odhadnout průchodnost transakcí, nebo požadaky, je založit odhady na počtu užiatelů registru. Hlaní myšlenkou je, že určité procento užiatelů bude použíat systémběhem dané doby. Současně je zde názor na to, co průměrný užiatel dělá e smyslu zatěžoání systému. Například procento užiatelů daném čase je autentizační poměr. Autentizační poměr ynásobený zatížením, ygeneroaným průměrným užiatelem, dáá průchodnost pro průměrnou zátěž. Všimněte si, že tato metoda má sklon éstkětší toleranci chyb. Níže je ueden příklad této metody. Předpokládejme, že systému je registroáno 2 miliony užiatelů a že přibližně 20% z nich je přihlášeno (autentizoáno) každý den. Dále předpokládejme, že každý užiatel přistupuje k 10 weboým stránkámpřikaždé relaci. Požadoaný autentizační poměr je 4,63 autentizací za teřinu, což bylo ypočítánoznásledujícího zorce: 2 000 000 užiatelů * 20 procent/ 24 hodinami za den/ 60 minutami za hodinu/ 60 teřinami za minutu = 4,63 autentizací/teřinu Požadoaný poměrpřístupů ke stránce je 46.3 stránek za teřinu, což bylo ypočítáno z následujícího zorce: 4.63 autentizací/teřinu * 10 stránek na relaci užiatele = 46.3 stránek/teřinu To ypadá docela jednoduše. Ašak pokud budete použíat tyto zorce jako nástroj pro ypracoání odhadů, musíte také zít úahu množstí oliňujících faktorů, jako např. kritérium opětoných autentizací, elikost paměti cache pro užiatele a časoé limity. Tato kritéria jsou popsánanásledující částia Velikost paměti cache pro užiatele a časoé limity WebSEAL na stránce 7. Kritéria pro opětonou autentizaci Když počítáte odhady založené na celkoém počtu registroaných užiatelů, zažte, jak často se užiatelé musí opětoně autentizoat. Je dobré a rozumné, zkontroloat tento poměr tak, že spočítáte, jak dlouho by tralo šem užiatelům proést autentizaci za předpokladu, že není 6 Access Manager: Průodce kapacitnímplánoáním
potřeba žádná opětoná autentizace. V předchozím příkladu by tralo 5 dnů, aby se každý užiatel autentizoal. Toto číslo bylo obdrženoznásledujícího zorce: 2 000 000 užiatelů / 4,63 užiatelů autentizujících se za teřinu = 431965 teřin, aby se autentizoali šichni užiatelé (neboli 5 dnů) Rychlý způsob, jak ododit tuto odpoěď, jezážit půodní prohlášení, že 20% užiatelů se přihlásí každý den. To znamená, že 100% užiatelů bude trat 5 dnů, aby se autentizoalo. Rozumné je zážit, zda se šech 2 000 000 užiatelů autentizuje během5dnů, nebo zda je zde určitý počet probíhajících opětoných autentizací. Například, pokud očekááte, že 20% užiatelů předstauje aktiní část užiatelů, kteří se přihlásí jednou denně, pak poměr 4,63 autentizací/teřinu je přiměřený. Pokud se ale určitý početzoněch 20% užiatelů musí opětoně autentizoat během dne, pak je poměr 4,63 autentizací/teřinu příliš malý. Na druhou stranu může ypadat nerealisticky, že se 400 000 různých užiatelů (což je 20% celkoého počtu) bude autentizoat daný den. Možná, že poměr, který byl odozen z 20% užiatelů,může zahrnoat i opětoné autentizace. Velikost paměti cache pro užiatele a časoé limity WebSEAL Jedním z bodů, který je třeba zážit pro opětoné autentizace, je nastaení elikosti paměti cache pro užiatele a časoých limitů, které jsou uedeny konfiguračním souboru secmgrd. Standardní elikost paměti cache pro užiatele je 4096 a standardní časoý limit je jedna hodina pro aktiního užiatele a 10 minut pro neaktiního užiatele. Užiatelé mohou být ytlačeni z paměti cache a donuceni k tomu, aby se opětoně autentizoali, pokud se buď paměť cache zcela zaplnila, nebo pokud byl překročen časoý limit. Je dobrýmnápadem započítat ten nižší z uedených dou časů aurčit, který z nich je skutečným omezením doby trání relace užiatele. Pokud ezmeme příklad 4,63 autentizací/teřinu a standardní elikost paměti cache WebSEAL a standardní časoý limit WebSEAL, pak doba, za kterou se naplní paměť cache je cca 15 minut, což bylo ypočítáno z tohoto zorce: (4096 užiatelů paměti cache / 4.63 autentizací užiatele/teřinu) / 60 = 14,7 minut 15 minut, za kterých se naplní paměť cache, je kratší doba než jedna hodina, což je časoý limit pro aktiního užiatele, takže tento parametr omezuje dobu trání relace užiatele na 15 minut, po uplynutí kterých je užiatel nucen se autentizoat (minimálně tehdy, pokud se yskytuje četnost autentizace poměru 4,63 autentizací/teřinu). Pokud se předpokládá, že relace užiatele bude trat déle než 15 minut, zětšete elikost paměti cache pro užiatele WebSEAL, hodnoty časoého limitu, nebo obojí, abyste umožnili delší dobu trání relace. V tomto příkladu se stalo, že doba trání relace je omezena 15 minutami, jelikož za tuto dobu se paměť cache zaplní a ytlačí užiatele en. Nyní předpokládejme, že se odhaduje, že doba trání relace užiatele je 20 minut, a použijeme stejný poměr autentizace 4,63 autentizací/teřinu. Velikost paměti cache, která umožní zůstat užiateli paměti cache po dobu 20 minut a pak jej ytlačit en, je 5 556, což bylo ypočítánoznásledujícího zorce: 20 minut * 60 teřin * 4.63 autentizací/teřinu = 5556 užiatelů Všimněte si, že tyto ýpočty jsou založeny na jednom sereru WebSEAL. Je-li ytížení autentizací rozděleno na íce sererů WebSEAL, ujistěte se, že použíáte hodný a efektiní poměr, který se použije pro každý serer při ýpočtu dob ytlačení užiatele z paměti cache WebSEAL. Například průměrný poměr autentizací 4,63 autentizací/teřinu bude 2,32 autentizací/teřinu, pokud se ytížení rozdělí mezi da serery WebSEAL. Hodnotu 2,32 autentizací/teřinu použíejte pro ýpočet elikost paměti cache a časů relace užiatele. Plánoání kapacit 7
Výběr hardwaru Hardwaroé možnosti mohou nebo nemusí být flexibilní. Můžete mít požadaek na určitý typ počítače nebo sítě, nebo můžete potřeboat proést cenoě nejýhodnější ýběr zněkolika hardwarů. V obou případech si musíte ybrat hardware. Pokud chcete zhodnotit cenu různých možností hardwaru, pak tento proces můžete proést postupně pro každou hardwaroou specifikaci. Z hlediska počítače jsou olby definoány možnostmi ýrobce, čísla modelu, rychlosti CPU a počtu procesorů. Velmi často zolení určitého hardwaru ynutí zolit si určitý operační systém. To je případ prostředí WebSEAL. Pro účely kapacitního plánoání ytížení se předpokládá, žekaždý serer má dostatečné množstí RAMamísta na disku, aby pracoal efektině. Z hlediska fyzické sítě jsou aše olby definoány typem sítě (jako např. ethernet nebo token ring, optická lákna), rychlostí linky a ýrobcem síťoého adaptéru. Následujícíčást probírá otázky kapacitního plánoání ztahující se k hardwaru. Plánoání paměti a místa na disku Splánoáním kapacit souisí iplánoání požadaků na paměť amísto na disku. Pro každý serer systému si projděte produktoou dokumentaci k sereru a najděte informace, týkající se základních požadaků na paměť amísto na disku daného produktu. Z této dokumentace také určete eškeré další požadaky pro další položky, jako např. elikost paměti cache a registrů. Velikost paměti cache oliňuje nároky na paměť. Registr užiatelů oliňuje požadaky na místo na disku. Získání měření/průchodnosti Níže jsou uedeny informace o problematice naladění pamětí cache a registrů prostředí WebSEAL. WebSEAL, LDAP a DB2 mají paměti cache, které drží informace o autentizoaných užiatelích. WebSEAL má paměť cache, pomocí které udržuje relace SSL, a paměť cache pro weboé objekty. Požadaky na paměť jsou přímo úměrné elikosti paměti cache a zatížení. Volbou produktu WebSEAL pro registr je produkt IBM SecureWay Directory. IBM SecureWay Directory drží data registru tabulkách DB2. Požadaky na místo na disku jsou přímo úměrné elikosti registru. V tomto kroku procesu plánoání kapacit musíte přizpůsobit šechny identifikoané transakce sereru skutečným měřením na hardwaru, sronatelném stím, který jste si ybrali. Pro účely plánoání kapacit potřebujete získat měření maximální průchodnosti pro každý typ transakcí. Maximální průchodnost se obykle získáá zyšoáním zatížení na sereru, dokud se průchodnost neyroná a doby odezy nezačnou být příliš dlouhé. Měření průchodnosti sereru můžete získat z různých zdrojů, četně ýrobce softwaru sereru, zpráoýkonnosti od nezáislých společností testujících ýkonnost a testoání z aší lastní laboratoře. Chcete-li dobře pochopit, co bylo e skutečnosti změřeno, musíte pečliě číst eškeré zpráy oměření. Pokuste se najít měření, která nejíce odpoídají prostředí, do kterého má být nasazen áš komunikační systém. 8 Access Manager: Průodce kapacitnímplánoáním
Jedním bodem, kterého byste si měli šimnout, je hardware použitý pro měření. Pokuste se najítměření, které co nejíce odpoídá hardwaru, který chcete nasadit. Pak se pokuste najít zpráy s podobnou architekturou, například se pokuste najít informace o IBM RS/6000, pokud hodláte nasadit RS/6000. Také se pokuste najít podobné rychlosti CPU, operační systémy a úroně operačních systémů. Pokud takoá zpráaoměření není k dispozici, nebo není úplná, je nezbytné odhadnout hodnoty ze stáajících měření, nebo proést noá měření. Následující část ysětluje některé běžné techniky odhadů, pokud typy transakcí a prostředí neodpoídají dostupným měřením. Úpraa typů transakcí tak, aby odpoídala zpráám o měření Pokud pro identifikoaný typ transakce sereru neexistuje žádné poronatelné měření, doporučuje se, abyste rozdělili identifikoané transakce sereru na íce transakcí na nižší úroni, nebo je zkombinoali s dalšími, abyste ytořili jednu transakci na yšší úroni. Například předpokládejme, že identifikoanou transakcí je autentizoaný přístup k weboé stránce následoaný osmi po-autentizačními přístupy k weboé stránce. Tato transakce není praděpodobně dostatečně obecná, aby ji bylo možné nalézt e zpráě oměření. Je praděpodobné, že bude muset být rozdělena na dě transakce: autentizoaný přístup k weboé stránce a po-autentizační přístup k weboé stránce. Škáloání podle hardwaroých rozdílů Jednímzezpůsobů, jak překlenout rozdíly hardwaru, je použít publikoané sronáací testy, které jsou k dispozici na následující weboé stránce: http://www.spec.org SPEC (Standard Performance Ealuation Corporation) nabízí ýrobcům hardwaru cestu, jak publikoat ýsledky určitých ýkonnostních sronáacích testů. Poněadž mají komunikační programy tendenci ystupoat jako celočíselné aritmetické programy, zajímaé jsou z tohoto hlediska sronáací testy specint. Pokud chcete najít ýsledky specint, zolte na weboé stránce SPEC CPU95 nebo SPEC CPU2000. Pak zolte Submitted Results abuď SPECint95, SPECint_rate95, SPECint2000, nebo SPECint_rate2000. Vyhledejte počítače, o které se zajímáte, kterémkoli ze zadaných yhledáání. Pokud ýsledky sronáacích testů obsahují oba počítače, použijte ýsledky jako měřítko, pomocí kterého budete poronáat oba počítače. Vzorec je následující: <ýkonnost počítače jedna> = <ýkonnost počítače da> * <specint ýsledek pro počítač jedna> / <specint ýsledek pro počítač da> Pokud nenajdete ýsledky sronáacího testu, který by obsahoal oba počítače, je možné použít prostřední počítač jako prostředníka. Prostřední počítač musí být ypsán eýsledcích sronáacích testů pro oba počítače, o které se zajímáte. V takoém případě můžete použít sronání prního počítače aprostředního počítače, a pak prostředního počítače a druhého počítače. Pokud se počítač neyskytuje žádném zýsledků sronáacích měření, může mít podobnou architekturu jako počítač, který je ypsán eýsledcích sronáacích testů. Proškáloání je hodné použít podobnou architekturu, rychlost CPU nebo ýkonnost MHz. V takoém případě použijte poměr rychlostí CPU pro určení rozdílů mezi oběma počítači. Plánoání kapacit 9
Rozdíly operačních systémech Ačkoli ýsledky sronáacího testu specint zobrazuje relatiní rozdíly e ýkonnosti dou počítačů,ýsledky těchto sronáacích testů mají tendenci být méně přesné oblasti předpoědí ýkonnosti komunikačního softwaru, pokud se liší operační systémy. To je proto, že celočíselné aritmetické sronáací testy neberou úahu některé rozdíly specifické pro operační systémy, jako např. škáloání pomocí SMP, I/O zpracoání, nebo yužití zdrojů. Měli byste použítětší toleranci chyb případě, že mezi poronáanými počítači jerozdíl operačních systémech, obzláště pokud transakce, která ás zajímá, zahrnuje zpracoání, které by mohlo být specifické pro daný operační systém. Škáloání podle yužití CPU, nižšího než 100% Někdy se stane, žemáte k dispozici měření pro transakci, ale tato měření nepředstaují maximální průchodnost testoaného počítače. Pečliě čtěte zpráyzměření, abyste určili, zda jsou oznamoány maximální průchodnosti. Níže jsou uedeny některé body, které byste měli sledoat. Pokud jsou poskytoány informace o yužití CPU, pak pokud bylo naměřeno na sereru nižší yužití CPU než 100%, pak by to mohlo znamenat, že nebyla změřena maximální průchodnost. Je obyklé a dobré, že serery generující zatížení a neměřené serery běží s yužitím CPU menšímnež 100%, ale serer, který se měří, byměl být yužit téměř na 100%. Pokud data, která získáte, se týkají záislosti průchodnosti na zyšoání zátěže, pak menší než maximální průchodnost znamená nedostatek yronáání průchodnosti. Pokud takoých zpráách najdete doby odezy, dalším příznakem je téměř konstantní nebo pouze mírně se zyšující doba odezy při zyšoání zátěže. Je možné odhadnout maximální průchodnost z měření, e kterých byla dosažena nižší průchodnost než maximální, ale yžaduje to znalost yužití CPU. Tento způsob také ede k ětší toleranci chyb, neboť softwaroé systémy se ne ždy choají tak, aby dosahoaly nebo dokonce přesahoaly maximální průchodnost. Níže je ueden zorec, pomocí kterého můžete odhadnou maximální průchodnost z naměřené průchodnosti, je-li menší než maximální: Maximální průchodnost = naměřená průchodnost / yužití CPU Například pokud byla měřena průchodnost při 50% yužití CPU, pak odhadoaná maximální průchodnost je dojnásobek naměřené hodnoty, jelikož byla yužita pouze poloina (50%) počítače. Škáloání podle rozdílů e elikostech stránek Většinou každá weboá stránka má rozdílnou elikost. Pokud elikosti různých weboých stránek jsou jediným rozdílem mezi nimi (e smyslu definice transakce sereru), pak je možné šechny stránky poažoat za jednu průměrně elkou stránku. Například pokud požadaky na ytížení určují průměrnou relaci užiatele, která se skládá ze tří přístupů k 5KB stránkám, dou přístupů k 10KB stránkám a jednoho přístupu k 15 KB stránce, pak ekialentní elikost stránky pro účely plánoání kapacit je 8,3 KB. V tomto příkladu byla průměrná elikost stránky ypočítána takto: ((3*5KBstránky) + (2 * 10 KB stránky) + (1 * 15 KB stránka)) / 6 celkoý počet stránek = 8.3 KB průměrná stránka Ve ětšině případů není možné najít měření týkající se přístupu k weboým stránkám pro přesně definoanou elikost stránky dle požadaků na ytížení. Zpráyzměření mohou místo toho obsahoat seznam průchodností pro dě nebo íce různých elikostí stránek. Je-li dána 10 Access Manager: Průodce kapacitnímplánoáním
průchodnost pro da přístupy k weboé stránce, a jsou-li ostatní parametry transakce sereru stejné,můžete odhadnout průchodnost jakékoli obecné elikosti stránky. Odhad je založen na přímce procházející děma body. Jelikož grafy průchodnosti ypadají jako funkce y=1/x, musíte použít nepřímou hodnotu průchodnosti pro lineární extrapolaci. Nejpre se předstaíme trochu matematiky. Aby bod byl na stejné přímce jako další da body, sklon šech bodů na přímce musí být stejný. Předpokládejme například, že máme da body: (x1,y1)a(x2,y2). Aby byl třetí bod (x,y) na stejné přímce, musí platit tento zorec: (y-y1)/(x-x1)=(y1-y2)/(x1-x2) Řešení pro y je následující: y=(x-x1)*(y1-y2)/(x1-x2)+y1 Pokud ztáhneme ronici zpět k elikostem stránek, pak x předstauje elikost stránky a y předstauje nepřímou hodnotu průchodnosti, která ystupuje jako přímka. V následující ronici byla šechna y přerácena, takže y nyní předstauje průchodnost: 1/y = (x - x1) * (1/y1-1/y2) / (x1 - x2) + 1/y1 Opětonýmyřešením této ronice pro y získáme následující zorec: y=1/((x-x1)*(1/y1-1/y2) / (x1 - x2) + 1/y1) V tomto zorci mají jednotlié proměnné následující definice: x je odhadoaná elikost stránky y je odhadoaná průchodnost pro elikost stránky x x1 je prní elikost stránky, pro kterou byla měřena průchodnost x2 je druhá elikost stránky, pro kterou byla měřena průchodnost y1 je naměřená průchodnost prní elikosti stránky y2 je naměřená průchodnost pro druhou elikost stránky Škáloání podle elikosti stránky a zabudoaných obrázků Buďte opatrní při odhadoání průchodnosti weboých stránek, které mají zabudoány několik objektů, jako např. soubory.gif a.jpg. Musíte pokládat každý objekt, hlaní stránku a šechny zabudoané obrázky jako samostatné přístupy k weboé stránce. Doporučuje se zprůměroat elikost weboých stránek (jak bylo ysětleno dříějším příkladu). Nepoažujte celou sadu objektů za jeden přístup k elké weboé stránce. Jinými sloy, zprůměrujte elikosti, nesčítejte je dohromady. Transakcí je několik, nikoli jedna. Důod, proč je toto tak důležité, je, že průchodnost jedné elké stránky je mnohem lepší než několika malých stránek. Škáloání podle rozdílů e fyzických sítích Pokud se fyzická síť použitá e zpráě změření odlišuje od fyzické sítě, kterou chcete nasadit, rozdíl není obykle předmětem starostí e smyslu průchodnosti, které jsou dané serery schopny dosáhnout. To je způsobeno tím, že rozdíly rychlostech linek neoliňují schopnost sereru pracoat. Tento rozdíl může ale způsobit problémy, pokud karta síťoého adaptéru silně yužíá CPU. To šak není typickým případem. Jako ochrana před takoým případem se doporučuje použíat elmi kalitní a ysoce hodnocené karty síťoých adaptérů. Rozdíly e fyzických sítích oliňují kapacitu nebo průchodnost sítě. Proplánoání kapacit fyzické sítě byste měli získat zpráyzměření průchodnosti fyzické sítě. Případně je možné průchodnost fyzické sítě odhadnout jako určité procento její teoretické přenosoé rychlosti. Například 100Mbps Ethernet může snadno dosáhnout přenosoé rychlosti 7 MB za teřinu při použíání FTP protokolu, což je 70% teoretické přenosoé rychlosti. Kapacita fyzické sítě je Plánoání kapacit 11
obykle méně důležitá, neboť ětšina fyzických sítí dosahuje yšších přenosoých rychlostí. Přesto se doporučuje, abyste dali nějaká kritéria na kapacitu fyzické sítě. Výpočet požadoaného počtu počítačů Až nadefinujete transakce a požadaky na každý serer a přiřadíte je k měřením, je čas ypočítat počet počítačů, které budou potřeba, aby splnily požadaky. Počet počítačů je založen na požadacích, rozdělených na dosažitelné, nebo měřitelné. Například pokud požadaek je dojnásobek dosažitelného, pak je ýsledek da. To znamená, že jsou třeba da počítače k tomu, aby byly splněny požadaky. Poměry jsou ypočítány pro každý typ transakce daného sereru, a pak jsou šechny dány dohromady, aby byl získán celkoý obrázek daného sereru. Výpočet se opakuje pro každý serer. Tento ýpočet zahrnuje fyzickou síť, která se poažuje z hlediska plánoání kapacit za speciální typ sereru. Pokud počet potřebných počítačů je menší než jedna, pak tento poměr předstauje část počítače, kterou je třeba yhradit pro zpracoání. Vzorec pro ýpočet je následující: Faktor počítače = R1/M1 + R2/M2 + R3/M3 +...+Rn/Mn Definice proměnných tomto formuláři jsou: Faktor počítače určuje část jednoho nebo počet počítačů, který je potřeba pro daný serer. n určuje počet transakcí, identifikoaných pro daný serer. R1... Rn určuje požadaky na průchodnost pro transakce 1 až n. M1... Mn určuje měření průchodnosti pro transakce 1 až n. Zyšoání počtu počítačů Je dobré zýšit počet potřebných počítačů onějaké procento. Důody, proč to tak udělat, zahrnují započítání chyb při odhadech, budoucí nárůst a yužití e špičce. Doporučuje se, abyste zýšili počet počítačů minimálně o 20%, abyste započítali tyto faktory. Vytoření možností topologie sítě Pokud počet počítačů potřebných pro daný serer je íce než jedna, a pokud počítač nelze replikoat, pak je potřeba rychlejší počítač. Zolte rychlejší počítač a zopakujte kroky plánoání kapacit pro tento serer. Pokud je poměr pro fyzickou síť ětší než jedna, pak průchodnost přesahuje možnosti šířky pásma nebo rychlosti linky. Zolte rychlejší síť nebo rozdělte komunikační systém naíce podsítí. Pokud počet počítačů potřebných pro serer je menší než jedna, je možné, že by tento serer mohl být zkombinoán s jiným sererem, který také yžaduje méně než jeden počítač. Všimněte si, že rozhodnutí o topologii sítě je založeno na yronáání ytížení. Dalšími faktory, které oliňují ýběr topologie sítě, zahrnují přepnutí při selhání, zálohoání, yužití zdrojů a ochranu pomocí firewallu. Tyto faktory nejsou zahrnuty tomto dokumentu. 12 Access Manager: Průodce kapacitnímplánoáním
Příklad plánoání kapacit Následující příklad ás proede krok po kroku procesem plánoání kapacit pro fiktiní společnost. Vysětlení možností topologie sítě Předpokládejme, žemožnosti topologie sítě jsou limitoány na následující případ: WebSEAL se použíá k ochraně zdrojů na weboém sereru typu back-end WebSEAL je umístěn na DMZ, který připojuje užiatele internetu na jedné fyzické síti na intranetoé weboé serery typu back-end na jiné fyzické síti. LDAP se použíá jako registr a je umístěn na intranetu z důodu zabezpečení. Všechny serery podporují replikaci. Identifikace transakcí sereru Předpokládejme, žeběžné parametry, které definují transakci přístupu k weboé stránce, jsou následující: Access Manager se připojuje k weboému sereru typu back-end prostřednictím TCP spojení s olbami, které filtrují půodní totožnost užiatele a nahrazují ji totožností poskytoanou produktem WebSEAL (olby B, U a W). Ve WebSEAL jsou nadefinoány přístupoé seznamy, aby chránily zdroje weboého sereru typu back-end. Autentizace je naladěna tak, jak je popsáno knize IBM Tioli Access Manager Performance Tuning Guide. Průměrná elikost weboé stránky je 10 KB. Předpokládejme, že byly indentifikoány následující transakce na ysoké úroni: Stránka TCP Užiatel podá požadaek na HTTP (TCP) weboou stránku, který jde přes WebSEAL na weboý serer typu back-end. Není třeba žádná autentizace. Stránka se SSL autentizací Užiatel podá ýchozí požadaek na HTTPS (SSL) weboou stránku, která jde přes WebSEAL na weboý serer typu back-end. Nastane autentizace. Stránka se zpracoáním následujícím po autentizaci SSL Užiatel ydá další požadaek pro HTTPS (SSL) weboou stránku, který jde přes WebSEAL na weboý serer typu back-end. Není třeba žádná autentizace. Transakce na ysoké úroni se rozdělí na následující transakce sereru: Tabulka 3. Příklad transakcí sereru Serer WebSEAL LDAP Weboý serer typu back-end Internetoá síť Transakce 10 KB TCP přístup ke stránce prostřednictím TCP spojení, 10KBSSLpřístup ke stránce s autentizaci prostřednictím TCP spojení, 10KB SSL přístup ke stránce již autentizoané prostřednictím TCP spojení Autentizace 10 KB TCP přístup ke stránce, již autentizoané (Access Manager se autentizuje k weboému sereru typu back-end řídce, což je definoáno sererem typu back-end, dostatečně řídce na to, aby tento počet byl neýznamný) 10 KB požadaky na weboou stránku plus hlaičky SSL, TCP, HTTP a IP Plánoání kapacit 13