ЦМПУ

Материал из ALT Linux Wiki

ЦМПУ

Центр мониторинга, прогнозирования и управления вычислительными сетями

Назначение

Пакет программного обеспечения ЦМПУ предназначен для организации эффективной системы управления сегментом локальных вычислительных сетей с автоматизированными рабочими местами системных администраторов. Объектами управления являются сетевые коммуникационные центры.

Основные особенности центра

Основной отличительной особенностью ЦМПУ является виртуальная модель подконтрольной вычислительной сети. Располагая данной моделью, системный администратор ВС получает следующие возможности:

  • возможность безопасной апробации своих действий;
  • возможность прогнозирования реакции защитных систем ВС на различные виды атак.

Среди прочих особенностей ЦМПУ необходимо отметить:

  • ведение журнала состояний системы с возможностью их сравнения;
  • ведение журнала управляющих воздействий с возможностью их сравнения;
  • автоматическое устранения случайных сбоев в работе коммуникационных центров;
  • возможность полного или частичного восстановления состояния системы, которое она имела в произвольно выбранной контрольной точке.

Компоненты системы

Модель вычислительной сети

Основным компонентом центра является виртуальная модель вычислительной сети. Любые изменения параметров работы коммуникационных центров применяются к данной модели, а затем результирующее состояние коммуникационных центров ВС синхронизируется с состоянием модели, вручную или же в автоматическом режиме. В нормальном режиме работы системы производится регулярное сравнение параметров ВС с параметрами модели и, в случае обнаружения расхождений, посылается сигнал об обнаружении сбоя и производится попытка автоматической коррекции.

Модель ВС включает в себя элементы двух типов:

  • модель коммуникационного центра (шлюза);
  • модель локального сегмента сети.

Элементы обоих типов функционируют на ЭВМ с установленной ЦМПУ на базе виртуальных машин, чем обеспечивается необходимая степень их изоляции. Для работы виртуальных машин используется система виртуализации уровня операционной системы, поэтому издержки ресурсов ЭВМ на виртуализацию сравнительно не высоки. Количество же ресурсов, потребляемое каждым элементом модели также не велико, поскольку для моделирования используются программы с урезанной функциональностью.

Модель коммуникационного центра

Модель коммуникационного центра представляет из себя коммуникационный центр с сокращённой функциональностью, работающий под управлением виртуальной машины. Сокращение функциональности производится в следующих основных областях:

  • полное исключение пользовательских программ;
  • исключение масштабирования служебных программ;
  • исключение прочих функций служебных программ, не оказывающих прямого влияния на процесс моделирования.

В качестве примера сокращения функциональности служебной программы можно рассмотреть возможные пути сокращения для службы кэширующего прокси-сервера. Основные причины потребления оперативной памяти прокси-сервером связаны со такими его функциями как кэширвание ответов Интернет-серверов и внутреннее масштабирование самого сервера и вспомогательных программ. Однако для работы модели обе этих базовых функции не важны, и потому исключаются из неё.

Методика создания облегчённых версий программ может быть различной. Там, где это возможно, требуемые программой ресурсы сокращаются до минимума путём передачи ей соответствующих конфигурационных параметров. В других случаях производится прямая модификация программы. Это возможно, поскольку решение базируется на "Сизифе" -- одном из крупнейших архивов свободного программного обеспечения в мире. Целью модификации является сокращение потребляемой моделью оперативной памяти.

Поскольку во время моделирования работы ВС не предполагается обработки большого количества данных, то скорость работы модели, определяемая долей процессорного времени, потребляемого каждым элементом модели, является второстепенным показателем.

Модель локального сегмента сети

Модель локального сегмента сети представляет из себя ОС Альт Линукс с базовым и специализированным набором программ. В базовый набор входят только программы, необходимые для функционирования программ специализированного набора. В специализированный набор входят программы для выполнения следующих основных функций:

  • симуляция нормальной работы пользователей сегмента сети;
  • симуляция нормальной работы серверов сегмента сети;
  • симуляция различных сетевых атак.

Отличительной особенностью данных программ-симуляторов является возможность легко задавать их поведения посредством сценариев, написанных на популярных языках программирования. Кроме того, в комплект поставки входит большое число готовых сценариев покрывающих типовые задачи системного администрирования. Все сценарии доступны для модификации.

Построитель модели

Модели коммуникационных центров строятся на базе ПО с сокращённой функциональностью. При этом, однако, моделируемая функциональность должна отражать функциональность соответствующих коммуникационных центров ВС. Эквивалентность виртуального и внешнего коммуникационных центров достигается путём синхронизации набора устанавливаемых в обе системы программ. Однако при проведении данной синхронизации необходимо учитывать, что в виртуальную среду модели должны устанавливаться модифицированные версии соответствующих программ.

Предназначенные для установки в виртуальную среду модели пакеты с модифицированным ПО хранятся отдельно от набора пакетов исходного ПО, но имена пакетов совпадают. При построении результирующего набора пакетов для виртуальной машины, используются оба набора, но пакеты из набора с модифицированным ПО имеют повышенный приоритет. Построение или обновление ПО виртуальной машины выполняет специальный компонент системы -- построитель модели.

Подсистема управления версиями конфигурации

Конфигурация каждого коммуникационного центра определяется набором конфигурационных файлов. Каждый из таких файлов помещается в подсистему контроля версий, позволяющую отслеживать производимые изменения конфигурации, сохранять и восстанавливать конфигурацию в контрольных точках. Система построена таким образом, что после обновления конфигурации производится перезапуск всех затронутых служб.

Кроме хранения конфигурационных файлов, в подсистеме управления версиями сохраняются конфигурационные параметры, получаемые посредством опроса модулей конфигурации каждой из служб модели коммуникационного центра. Эти параметры используются в дальнейшем при проведении анализа изменений конфигурации.

Подсистема автоматического обновления топологии модели

В задачу подсистемы входит автоматическое обеспечение соответствия топологии ВС и топологии её модели, включая диапазоны адресов локальных сегментов сети. Достигается это путём использования специального координирующего ПО на каждом из коммуникационных центров ВС. Каждый раз, когда в ВС добавляется новый коммуникационный центр, он оповещает подсистему ЦМПУ о своём появлении. При нормальном функционировании коммуникационный центр регулярно посылает сообщения ЦМПУ о своём присутствии и состоянии. При отключении коммуникационного центра или его сбоя очередное сообщение не приходит и подсистема помечает соответствующий элемент модели как неактивный.

Подсистема автоматического обновления состояния модели

В задачу подсистемы входит автоматическое обеспечение соответствия состояния служб коммуникационных центров ВС её модели. Подсистема состоит из двух частей: центральной и периферийной. Центральная часть функционирует на стороне ЦМПУ и производит сбор информации, поступающей от периферийных частей подсистемы, функционирующих на каждом из коммуникационных центров ВС. Периферийная часть подсистемы собирает данные о состоянии работы локальных служб и передаёт их центральной части подсистемы. На основании получаемых данных о состоянии служб производится запуск и останов соответствующих служб модели.

Подсистема автоматического устранения сбоев

Задачей подсистемы является слежение за состоянием каждого коммуникационного центра и произведение попыток устранения обнаруживаемых сбоев. Для обеспечения большей надёжности экземпляры подсистемы функционируют как на ЦМПУ, так и на каждом из коммуникационных центров. В задачу локальных экземпляров подсистем входит поиск сбоев, связанных с изоляцией узла от ЦМПУ, и перезапуск сетевой подсистемы или перезагрузка ОС в случае обнаружения таковых.

Модуль мониторинга и симуляции

Модуль мониторинга и симуляции работы ВС предназначен для наглядного представления топологии и состояния ВС или её модели. Указанные параметры отображаются в графической и текстовой форме в интерфейс пользователя, который транслируется через Web.

Наглядная топология сети используется для целей навигации к другим модулям, например, модулям конфигурации.

После переключения в режим симуляции, в котором отображается топология и состояние модели ВС, становятся доступными для запуска различные сценарии работы ВС, включая сценарии сетевых атак. Переводя симулятор в различные режимы системный администратор получает информацию о прогнозируемой реакции ВС на различные ситуации на основании которой он может выявлять необходимые изменения конфигурации ВС.

Процедура конфигурации

Приняв решение о необходимых изменениях, администратор использует интерфейс пользователя для выбора эталонного узла и одного из модулей конфигурации, доступных для него.

После завершения процедуры конфигурации системному администратору предлагается выбрать коммуникационные центры ВС на которые требуется распространить новую конфигурацию. После выбора узлов, новая конфигурация применяется ко всем соответствующим элементам модели и администратор получает возможность оценить её новое состояние. Следует обратить внимание, что на данном этапе работы, состояния ВС и её модели могут различаться.

Поскольку все изменения затрагивают только модель ВС, а не саму ВС, ошибки в конфигурации не приводят к сбоям в работе последней. Типичные и грубые ошибки, такие как блокирование доступа ЦМПУ к подконтрольным узлам автоматически выявляются, и посылаются соответствующие сигналы оповещения.

Анализ изменений конфигурации

С каждой контрольной точкой подсистемы управления версиями конфигурации связывается набор конфигурационных параметров, получаемых посредством опроса модулей конфигурации каждой из служб модели коммуникационного центра. В режиме анализа изменений, модуль мониторинга и симуляции генерирует таблицу, в которой сравниваются текущие, сохранённые и эталонные значения параметров конфигурации для каждого из узлов. Эталонные параметры получают путём опроса конфигурационных модулей эталонного узла. Количество анализируемых параметров может быть ограничено только определённым набором служб и прочими критериями. Например, могут быть отобраны лишь те параметры, значения которых отличаются от эталонных.

Анализируя таблицу системный администратор получает возможность оценить реакцию каждой модели коммуникационного центра на обновление конфигурации. К примеру, лекго может быть выявлена ситуация, когда изменение заданного параметра было отвергнуто коммуникационным центром: в этом случае старые и новые значения будут совпадать и отличаться от эталонных.

Вступление параметров в силу

После тщательного анализа системный администратор имеет возможность распространить текущую конфигурацию модели ВС на саму ВС. В этом случае в подсистеме управления версиями конфигурации создаётся новая контрольная точка и всем коммуникационным центрам посылается сигнал о необходимости обновить конфигурационные файлы. Система построена таким образом, что после обновления конфигурации производится перезапуск всех затронутых служб.

--Manowar 12:35, 30 октября 2009 (UTC)