Linux のみでEnterprise Computing - aaabbb

4月のまとめとして、LinuxのみでEnterprise Computing を行うためにどのような構成にすればよいかをまとめようと思う。

基本的にはEnterpriseで使用されているOSは、Unix, Windows, Linux のどれかであると思われるため、これらの置き換えを中心に考える。
※ なお、これらの文書はきちんと検証された内容ではないため、確認は自己責任でお願い致します。

前提として、

基幹アプリ

Unix

PC, GroupWare, ファイルサーバー, ディレクトリサービス

Windows

の住み分けがあるものとする。

1. 基幹アプリの移行には、まず、使用しているDB, アプリケーションサーバーなどがLinuxに対応しているかどうかを確認する。 ( Oracle, BEA, IBM など大抵は対応している。) 実際に独自アプリ、パッケージアプリを移行できるかどうかは、アプリの提供元に要相談。なお、オープンソース ERP のopenbravo はCentOS上で問題なく動いた。HA構成にしている場合には、Red Hat Cluster, heartbeat などのディストリビューション付属のHAで対応できるかを確認しておく。移行の際にはできる限りディストリビューション付属の仮想化環境で構築できないかを確認し、サーバー数を抑えるようにする。puppet, ganglia, (LDAP,kerberos)の3つは導入して損は無いと思われる。

2. PC、ディレクトリサービス、ファイルサーバーについては認証の都合上、セットで考える。ディレクトリサービスで、既にActiveDirectory を作成しているなら、Likewise を使って、Linux をADに加える形で対応する。この際、ファイルサーバーはそのままCIFSを利用する。新規に追加するファイルサーバーについてはLinux+Sambaで構築する。既存のファイルサーバーのデータを移行する際には、ファイルごとのアクセス権の変化に十分注意する。(単にコピーしただけではアクセス権が十分反映されない危険性あり。)GroupWareについては、既にExchange を使っているなら、Evolutionで各機能を利用するか、Outlook Web Access で対応できるかを確認する。他のGroupWareを使っている場合にも、Linux PCから利用できるかを確認する。尚、特にGroupWare を使っていないなら、zimbra などLinuxから使用できるGroupWareが存在する。

まだ、ディレクトリサービスを導入していないなら、まず kerberos+LDAPの構成でディレクトリサービスを構築する。(無償でつくるなら、OpenLDAP+MIT kerberosの構成を使用。そうでないなら、Red Hat Enterprise IPA などを使用。) クライアントPC(Linux)では、pam_ldap, pam_krb5 などを加えて、統合認証によりログインできるようにする。ファイルサーバーはsshd, ftpd などからkerberos SSOに対応しているものから選択する。(sshdはCPU負荷がかかるのでできれば使いたくはない。ただし、ファイルサーバーがIOネックになるようなら、CPUはあまりパフォーマンスに影響しないかもしれない。) なお、クライアント側の推奨構成として、
- 構成変更、パッケージアップデートのため、最低でも1日1回は、puppet が稼働するようにしておく。
- プロビジョニングのため、ganglia を稼働させておく。
- 問題切り分けのため、sshd を稼働させておく。(admin用のIDはLDAP+kerberosで管理)
となる。なお、GroupWareはLinux対応のものならなんでもよいが、やはりzimbra などがお勧めである。