Linux ve Volksbank CZ

Zavedení Linuxu je v mnoha společnostech kontroverzním tématem a není tajemstvím, že banky patří mezi společnosti nejkonzervativnější. Po dvou letech provozu operačního systému Linux v bankovním prostřední bychom vás rádi seznámili s výsledky.

Proč Linux?

Před dvěma lety jsme byli postaveni před problém, kdy bylo nutné pořídit nový výkonný server pro provoz firemních webových aplikací. Server měl působit poměrně samostatně, takže byla nastolena i otázka volby operačního systému. Proto jsme se rozhodli provést na jednotlivých operačních systémech v testovacím prostředí úlohy srovnatelné s produkčním systémem. Do testů byly zařazeny operační systémy serverové edice Microsoft Windows a Red Hat Linux, oba společně s aplikačním serverem a databází stejné verze pro obě testované platformy. Výsledky se ukázaly poměrně rovnocenné, ačkoliv při vyšších počtech simultánních požadavků a větším vytížení stroje získával Linux náskok. Po zvážení licenčních nákladů obdržel Linux další kladné body. Zaujal taktéž kvalitním firewallem a bohatou výbavou užitečných administračních nástrojů již v základní verzi. Po zhodnocení všech faktorů padla volba na Linux.

Sám v síti? Rozhodně ne!

Ač by to jistě byl ideální stav, takový server není v síti osamocen. První kámen úrazu, se kterým se asi potkáte, je autentizace (případně autorizace) uživatelů do provozovaných webových aplikací a systémů. Snad většina společností, ve kterých uživatelé užívají jako klientské prostředí Microsoft Windows, běží na doménovém řadiči Active Directory. Pro zjednodušení správy uživatelů je žádoucí jednotné přihlašování do aplikací, ideálně jako Single Sign-On. Uživatel se pak v Microsoft Windows přihlásí do svého profilu v doméně, a poté jej snadno bez dalšího přihlašování identifikují webové aplikace. To však v Linuxu není tak jednoduché, jako například na již zmiňovaném serverovém systému Microsoft Windows pracujícím s aplikačním serverem IIS, u něhož se jedná o operaci až triviální. Způsobuje to především slabší kompatibilita Active Directory v některých jejích specifických vlastnostech. Poměrně efektním řešením pro J2EE aplikace je použití knihovny Vintela VSJ. S její pomocí lze snadno autentizovat doménového uživatele Active Directory, a to včetně skupin, do nichž patří. Tento postup je vhodný pro autorizaci uživatelů v aplikacích.

Jedeme. Rok, dva…

Stabilita. Tímto jedním slovem lze vyjádřit dojem z provozu. Po dobu dvou let systém ani jednou nehavaroval, naopak v kritické situaci podpořil provoz přehlednou a průhlednou architekturou. Tu lze s odstupem času hodnotit velmi pozitivně. Výhodou přehlednosti je, že víte, kde se co děje – jednou provedená operace se příště provede se stejným výsledkem. Server byl mimo provoz pouze při příležitosti výměny infrastruktury napájení v serverovně a při upgradu operační paměti.

TCO nákupem nekončí

Často se dozvídáme, že Linux po nastavení běží mnoho let bez potřeby údržby. V praxi se tím však řídit nelze a je jisté, že je nutné o systém kvalifikovaně pečovat. Nejsou-li tedy k dispozici lidské zdroje uvnitř firmy, je lepší přenechat správu systému externí firmě, kterých je dnes na trhu opravdu velké množství. Prostor se otvírá i zkušeným a kvalitním studentům vycházejících z vysokých škol. Jejich počet se postupně zvětšuje a vytváří tak potenciálně velkou základnu odborníků, které lze na pracovním trhu oslovit. Dále je třeba zvážit stávající IT prostředí. Zda podnikový zálohovací systém je schopný provádět zálohy i v Linuxu (většinou ano, případně je řešením dokoupit modul), či zda je propojitelný napříč všemi potřebnými provozovanými systémy. Pokud tomu tak není, zvyšují se náklady na nasazení systému. V praxi jsme se setkali pouze s potíží s propojením na systém Reuters 3000 Xtra, který je v základní verzi realizovaný propojením na Microsoft Office.

Zákony a paragrafy

Bankovní systémy jsou specifické tím, že musí splňovat nejen nároky dle vnitřních předpisů bankovní instituce, ale i nároky na ně kladené centrální bankou. Základem celé filozofie je oddělení vývoje od správy (dokonce i organizačně). V mnoha firmách bývá produkční server zároveň vývojovým, ať již z důvodu úspor nebo pohodlnosti. To však v bankovním prostředí není možné. Cílem je zabránit situaci, kdy by mohl vývojář modifikovat produkční prostředí ve svůj prospěch či ve prospěch třetí strany. Tím se dostáváme k další problematice, kterou jsou auditní a logovací operace. Podmínkou je striktní oddělení jednotlivých aplikačních a systémových logů, aby i jednotliví administrátoři nemohli ovlivňovat více, než je nezbytné a současně zajistit logování bezpečnou cestou na centrální logovací server. Všechny tyto podmínky Linux velmi dobře splňuje, některé lze případně řešit i jednodušeji produkty třetích stran.

Závěrem

Z provozu se ukázalo, že systém Linux je dostatečně vyspělý a robustní pro produkční nasazení podnikových aplikací. Nelze explicitně říci, zda je levnější či dražší nežli jiný systém, vždy se musí zvážit konkrétní situace. V našem případě bylo nasazení Linuxu velmi výhodné a Linux je pro nás na serverech skvělým partnerem, který je dále nasazován k provozu aplikací.

Jiří Kobelka, manažer projektů IT Volksbank CZ