Служба каталогов ALD Pro 2.4.0: еще надежнее и в 10 раз производительнее

[jackshrike]

предлагаю к рассмотрению такую архитектуру:

1. "групповая политика" = плэйбук анзибля

2. "хранилище групповых политик" = гит-репозиторий

3. "агент групповых политик" = что еще за агент ? никаких посторонних глюкал на клиентах.

upd: я импортозаместил программы путем транслитерации их названий. это бесплатно.

[AnatolijL]

В предложенной архитектуре сервер окажется узким горлышком, так как ему нужно будет одновременно обслуживать порядка 5 тысяч хостов. Для удержания такого количества SSH-соединений потребуется слишком много ресурсов.

В дополнение к этому Ansible использует метод push, то есть сервер устанавливает соединение с клиентом по своей инициативе. Этот метод будет крайне неэффективен в больших географически распределенных инфраструктурах на десятки или даже сотни контроллеров, так как хостов окажется значительно больше, чем способен обслужить один сервер, а большая часть этих хостов окажется физически недоступна. Контроллеру нужно будет проверять доступность всех хостов домена, чтобы найти те из них, которые прямо сейчас онлайн и находятся вместе с ним в одной сети. И это не считая того, что компьютеры удаленщиков будут подключаться из сетей за NAT-ом, поэтому будут всегда недоступны.

В общем, в реальной инфраструктуре такой подход не сработает. На рынке известна реализация механизма групповых политик на Ansible, но, чтобы эта машинка хоть как-то поехала, разработчикам пришлось реализовать агента для рабочих станций, который дергает API на контроллере, чтобы запросить у него применение групповых политик. Это не снимает ограничений по количеству одновременных SSH-соединений, но без такого оригинального трюка модель будет совсем нежизнеспособной.

[jackshrike]

так как ему нужно будет одновременно обслуживать порядка 5 тысяч хостов.

почему не 5 млн хостов ?
ок, я готов признать что предложенная архитектура предназначена
для малых и средних сетей (до 1 тыс клиентов).
если больше то придется работать над масштабированием,
отказоустойчивостью, распределением и балансировкой нагрузки.
в анзибле это все теоретически есть а практически я не проверял хехе.

в реальной инфраструктуре такой подход не сработает

т.е. малые и средние сети для вас не реальность а фантастика ?

компьютеры удаленщиков будут подключаться из сетей за NAT-ом, поэтому будут всегда недоступны.

"всегда" ???
обычно есть тот или иной VPN. если нет или росВПНнадзор опять раззявит хлебало на чужой трафик, то придется создавать агента (по крону. не резидентное глюкало. отработал и ушел).

[SamDurak]

Заявление про LTS релиз =))) и вот 25 год.
прошло несколько месяцев с релиза ALSE 1.8.2... ответ от техподдержки:
о поддерживаемых версиях ОС как клиентских... ALSE 1.7.1-1.7.5, 1.7.5.uu.1,1.7.6,1.7.6.uu.1,1.7.6.uu.2,1.8.1
"Согласно п .6.11 Матрица совместимости ПК ALD Pro, ALD Pro версии 2.4.1 не поддерживает версию оперативного обновления ОС Astra Linux Special Edition 1.8.2.uu.1."