\"/
\"/ \"/    

Služby Oddělení vývoje systémových služeb

Lukáš Rychnovský, Martin Osovský, ÚVT MU
Ročník XX - číslo 4, duben 2010
Citace: L. Rychnovský, M. Osovský. Služby Oddělení vývoje systémových služeb. Zpravodaj ÚVT MU. ISSN 1212-0901, 2010, roč. XX, č. 4, s. 3-7.
verze pro tisk: PDF
Tematické zařazení: Počítačové studovny, Služby pro uživatele MU
 předchozí článek | následující článek 

1  Úvod

Tento článek reaguje na diskuse, které se vedly na ÚVT při zavádění služeb. Jeho účelem je popsat zkušenosti Oddělení vývoje systémových služeb ÚVT s nasazováním služeb na MU. Snahou je nadefinovat službu tak, aby formování činností dle této definice přispívalo ke zvyšování kvality, atraktivity a udržitelnosti služby.

2  Jak se pozná opravdová služba

Nejobecnější definice služby říká, že je to činnost, kterou někdo pro někoho vykonává. Méně obecné ekonomické vymezení říká, že služba je nehmotný ekvivalent zboží. V naší oblasti se pak obvykle jedná o množinu softwarových funkcionalit. Tyto definice jsou ovšem pro naše potřeby nedostatečné. Klíčovým účelem dobré definice služby totiž musí především být, abychom pomocí ní dovedli oddělit od sebe činnosti, které jsou již jakožto služby dostatečně rozvinuté, od těch, které je potřeba za tímto účelem výrazně přebudovat. V tomto článku se nejprve zamyslíme nad tím, jak tedy služby co nejvýstižněji definovat a poté na třech příkladech ukážeme, jak jsme této definice využili při budování našich služeb. Důležité jsou především dva pojmy - udržitelnost a rozšiřitelnost. Udržitelností míníme schopnost službu podporovat a přiměřeně rozvíjet tak, aby dlouhodobě odpovídala požadavkům zákazníků. Rozšiřitelností pak možnost zvyšovat počet odběratelů tak, aby náročnost poskytování služby s jejich rostoucím počtem zůstala udržitelná. Tuto obecnou charakteristiku dobře ilustruje obrázek 1.


 
Obrázek 1: Rozšiřitelnost a udržitelnost
 
Osa x představuje počet zákazníků, osa y zdroje nutné k udržování služby. Dobrá služba je znázorněna křivkou logaritmického typu pod tečkovanou čarou. Potřebné zdroje nejprve rostou poměrně rychle (zejména do doby získání prvního zákazníka), později se jejich růst výrazně zpomaluje. To vystihuje, že je vhodné život služby rozložit do dvou fází. V první fázi je vyvíjena za vynaložení velkých prostředků, a to jednak aby fungovala, a také aby bylo možné ji v další fázi nasazovat s malým růstem nákladů. Typicky v první fázi pracují se službou dobře placení analytici a vývojáři. V druhé fázi je služba stabilní a je nasazena tak, že se o ni dokáže starat menší tým méně finančně náročných pracovníků, jako jsou operátoři nebo zaměstnanci dohledového centra. Je potřeba zdůraznit, že tento charakter je nutno službě vtisknout již ve vývojové fázi, což může vést k nemalým nákladům, které se vyplatí až z dlouhodobého hlediska.

Špatná služba je znázorněna druhou křivkou. Náklady zpočátku nerostou tak rychle, nicméně při návrhu a implementaci nebyl brán zřetel na udržitelnost a rozšiřitelnost, takže je to vykoupeno tím, že náklady při získávání dalších zákazníků rostou zhruba lineárně (zjednodušeně řečeno je potřeba zdvojnásobit zdroje na pokrytí dvojnásobného počtu zákazníků), takže po jistém počtu zákazníků není už přibírání dalších možné.

Nyní přistoupíme k popisu třech vybraných služeb Oddělení vývoje systémových služeb ÚVT, na nichž jsou výše popsané principy nejlépe vidět.

3  Universitní počítačové studovny a fakultní počítačové učebny

První popisovaná služba se začala formovat v září roku 2000, kdy byla založena Celouniversitní počítačová studovna (CPS). CPS se svými 100 počítači a nonstop provozem byl koncept, který ve své době neměl v tuzemsku obdobu. Otevřenost všem studentům MU donutila správce CPS nasadit ve své době novátorské technologie, které umožnily přihlašování 40.000 uživatelů. Během následujících let se koncept studovny se standardní množinou softwaru a funkcionalitou stal natolik oblíbeným, že kapacita CPS byla již mimo únosnou mez a hledali jsme možnosti rozšíření tohoto konceptu. ÚVT proto začal fakultám nabízet "studovnu jako službu" pro studenty. Fakulta určila místnost, kde by chtěla studovnu provozovat, a ÚVT zajistil PC, instalaci SW a všechny další náležitosti pro provoz. Podmínky byly jednoduché: žádná výuka a provoz alespoň 10 hodin denně.

Oblíbenost studoven dále stoupala, a to nejen u studentů, ale také u správců pro pohodlnost jejich správy. Proto jsme od roku 2005 začali nabízet podporu infrastruktury také fakultních učeben. Učebny, na rozdíl od studoven, lze využívat i k výuce a fakulta rozhoduje o tom, kdo do nich má kdy přístup.

Celá služba je koncipována tak, aby ctila principy popsané v úvodu tohoto článku, jinak to při správě téměř 1.000 počítačů není ani možné. Pravomoci při správě učeben jsou jasně rozděleny mezi fakultní správce a správce z ÚVT. Lokální správci mají na starost řešení provozních problémů lokálních uživatelů. Správci z ÚVT pak odpovídají za provoz centrální infrastruktury a zajištění funkčnosti přihlašování, profilového clusteru atp.

Do budoucna bychom rádi tuto službu rozšířili především na zaměstnanecké počítače. V současné době je v testování provoz zaměstnaneckých PC pro lékařskou fakultu s výhledem na nasazení v kampusu.

4  Tiskové systémy na fakultách a výdejní automaty

Jedním z nejpalčivějších problémů, který trápil CPS až do roku 2003, byla nemožnost tisku. Následné nasazení tiskového systému ukázalo, že doplňkové služby při studovnách a učebnách jsou velmi populární. Nasazování tiskových systémů začalo neorganizovaně, na každé fakultě samostatně, což mělo za následek, že studenti měli po univerzitě několik účtů na tisk a na každém oddělenou sumu peněz. Sjednocování těchto systémů umožnilo až SUPO (Systém úhrad pohledávek za osobami). Zapojení CPS do SUPO proběhlo o prázdninách 2006 a pak již v rychlém sledu následovaly další lokality. Dnes je již v systému SUPO zapojena valná většina tiskových systému na fakultách.

Dalšími doplňkovými službami provozovanými spolu s tiskovým systémem je prodej drobného materiálu, jako například CD, DVD, další paměťová média, materiál pro kroužkovou vazbu a termovazbu, různé programy, jako SPSS a Statistica.

Systém provozování a podpory tiskových systémů a drobného prodeje je podobný jako u studoven a učeben. Opět malá skupinka správců ÚVT zajišťuje provoz centrální infrastruktury a lokální správci pak tvoří podporu uživatelů v jednotlivých lokalitách. Všem uživatelům je k dispozici i dohledové centrum ÚVT dostupné na univerzitní telefonní klapce 6666.

Výše uvedeným je velmi inspirován další systém, který nyní nabízíme. Zatímco dosud popisované služby jsou již v produkční fázi, je tento naopak dosud ve vývoji. Jedná se o systém bezhotovostních prodejů z výdejních automatů. Jeho základní fungování je podobné jako u tiskového systému. Do automatu se připojí hardwarové zařízení, které obsahuje čtečku identifikátorů (ISIC a zaměstnaneckých karet) a modul pro síťovou komunikaci. Toto zařízení je schopno fungovat v automatu místo mincovníku, a řídit tak výdej zboží, aniž by bylo nutno do něj vhazovat mince. Naším příspěvkem do tohoto procesu je, že jsme vytvořili softwarovou službu, která umožňuje řídit funkci tohoto modulu, a tím zprostředkovaně i automatu. Tato služba na jedné straně komunikuje s automatem a dává mu pokyny například k vydání či nevydání zboží, na straně druhé pak s platebním systémem, který vyřizuje samotné platby.

Vývoj tohoto systému započal před čtyřmi roky. Původní myšlenka byla poskytnout studentům v CPS větší komfort, a také rozšířit možnosti plateb systémem SUPO. S vývojem se od počátku pojila celá řada problémů. Bylo například obtížné nalézt vhodný hardware, se kterým by bylo možno snadno komunikovat a který by byl dostatečně pružný pro práci s různými automaty - tak jsme více než rok vyvíjeli systém s hardwarem, který se nakonec ukázal pro praktické nasazení jako nevhodný, přestože fungoval. Je také značně nesnadné opatřit si testovací automaty, neboť se jedná o velmi drahé zařízení, které se majitelům nevyplatí mít příliš dlouho mimo provoz. Nakonec se nám tyto obtíže podařilo překonat a máme nasazeno v pilotním provozu 6 automatů všech typů (kusové zboží, káva, lahvové nápoje) napojených na platební systém SUPO.

Automaty jsou, jak jsme již uvedli, typickým příkladem služby ve vývoji. Momentálně umíme zapojit do systému automaty 4 typů (ty například tvoří většinu automatů na kávu po celé universitě), vývoj přizpůsobení pro každý automat vyžaduje stále relativně velké zdroje (v rozsahu několika člověkodní). Umíme pracovat pouze s platebním systémem SUPO, což prozatím nepředstavuje velké omezení, navíc je služba navržena tak, aby bylo možno propojení s jiným systémem vyvinout poměrně rychle. Součástí systému je také webová aplikace, která umožňuje průběžně sledovat transakce na jednotlivých automatech, vytvářet uzávěrky a podobně a je přístupná jednak osobám na straně university, a také jednotlivým dodavatelům a majitelům automatů.

Naším cílem v tomto případě je vyvinout tento systém do podoby, ve které by splňoval požadavky, které klademe na plnohodnotné služby. Udržitelnost je dána rozvinutím možností sledovat automaty co do funkčnosti - zdali přijímá platby, jestli není prázdný, nevhodně umístěný a podobně. V případě rozšiřitelnosti je potřeba zefektivnit postup implementace pro nového zákazníka, tj. přizpůsobení pro nové typy automatů a nové lokality. Dlouhodobě bychom rádi poskytovali studentům možnost platit bezhotovostně v automatech na co nejvíce místech na universitě a majitelům kompletní systém pro bezhotovostní platby a sledování svých automatů.

5  Autentizační a autorizační služby

Posledním příkladem jsou služby pro podporu autentizace a autorizace. Jedná se o možnost pro administrátory různých systémů poskytnout svým uživatelům přihlašování pomocí universitní identity, a také zpřístupnit tyto systémy osobám mimo universitu. Jádrem je aplikace, která pravidelně kontroluje stav databází osob v informačním systému, propojuje je s dalšími informacemi a ukládá v navazujících systémech, především v přístupových a zabezpečovacích systémech některých budov a v Active Directory. Na to navazuje také aplikace umožňující zakládat, a do těchto navazujících systémů tak vkládat osoby, které se v informačním systému university nevyskytují.

Přístup ke službě je možný na dvou úrovních. Buď je možné nechat systém vytvářet informace přímo v navazujícím systému, to je potřeba zejména pokud musí daný systém být funkční nezávisle na tom, jestli je služba aktuálně dostupná - například u přístupových systémů. Nebo je možno se připojit na některou autentizační službu, kterou poskytujeme, identity jsou pak uloženy v Active Directory v našem systému. Druhou formou poskytujeme data například pro systém Eduroam, universitní VPN či pro universitního indentity providera systému Shibboleth.

Také tato služba vznikla původně pro potřeby CPS, kdy sloužila k aktualizaci údajů o osobách, které se v CPS smějí přihlašovat a které mohou vcházet dovnitř přes turniket. Stavu, ve kterém je tato služba nyní, jsme dosáhli v několika krocích. Nejprve jsme data původně určená pro přihlašování na stanice v učebnách poskytli pro přihlašování do systému Eduroam a do univerzitní VPN. Tím jsme z administrátorů těchto systému sňali nutnost opatřovat a zpracovávat si tato data vlastními prostředky, a navíc jsme uživatelům těchto systémů umožnili přihlašovat se pomocí stejného hesla jako při přihlašování v CPS (tzv. sekundární heslo). Později jsme stejným způsobem tato data zpřístupnili též pro systém Shibboleth, a tím pádem i široké skupině administrátorů webových aplikací, které jsou schopny jej využít (mimo jiné v rámci ÚVT různé wiki, systém trac pro správu projektů apod.). Touto formou jsme připravení zmíněnou službu poskytnout jakémukoliv systému, který je schopen pracovat s autentizací a autorizací nad adresářovou službou s protokolem LDAP - příkladem může být například i výše zmíněný tiskový systém, který získává informace o číslech karet právě z našeho Active Directory.

S výše uvedeným rozšířením souvisí také nutnost podporovat v systému osoby, které nejsou evidovány v informačním systému. O této nutnosti se na ÚVT již dříve diskutovalo, ale my jsme byli nuceni přistoupit k implementaci rychle - jednalo se hlavně o potřebu přihlašování těchto osob v knihovnách, které tehdy rozšířily řady námi podporovaných počítačových studoven, a také o přihlašování k VPN, zejména pro potřeby účastníků konferencí a hostů universitních hotelů. Vytvořili jsme proto vlastní evidenci těchto osob a webovou službu, která umožňuje s ní pracovat (přidávat a ubírat osoby, měnit přístupová oprávnění apod.). Pro běžné uživatele jsme také vytvořili webovou aplikaci, která tuto službu používá. Evidence těchto hostů je plně integrovaná se zbytkem služby, takže je v podstatě možné nakládat s hosty podobně jako s osobami z university (pochopitelně s omezeními, které vyplývají z jejich statutu hosta).

Dalším impulsem byla žádost některých fakult o poskytování těchto služeb pro podporu přístupových a zabezpečovacích systémů budov. Šlo o to, že se na těchto fakultách instalovaly různé systémy, do nichž bylo potřeba pravidelně nahrávat identity osob a které též vyžadovaly softwarové nadstavby, pomocí nichž je lze sledovat a ovládat. To vytvořilo tlak na co největší flexibilitu služby na straně navazujících systémů, protože fakulty mají často při implementaci těchto systémů různé dodavatele, různé potřeby a v neposlední řadě též různé finanční možnosti. V současné době tak umíme, co se aktualizace identit týče, pracovat se čtyřmi různými hardwarovými platformami a náš systém je navržen tak, že je velmi snadné naprogramovat komponentu, která tyto operace umožní i ve zcela novém prostředí.

Jak vidno, splňuje tato služba všechny požadavky na kvalitní službu. Rozšíření pro nového zákazníka představuje ve většině případů pouze konfigurační zásahy do nastavení systému a i implementace zcela nového systému je poměrně přímočarou záležitostí. Samotná údržba celé služby je poměrně nenáročná a máme dostatečnou kapacitu pro rozšíření o několik dalších zákazníků.

Naším hlavním cílem u těchto služeb je proto nabídnout je co nejširšímu okruhu uživatelů. Poskytujeme k nim možnost úplné kontroly výběru osob, sledování dění v systémech (průchody, přihlašování, střežení apod.) a také širokou uživatelskou podporu včetně dohledového centra 24 hodin denně. Výhodou pro uživatele je možnost mít stejnou kartu, přihlašovací jméno a heslo ke všem systémům, správci systémů pak nemusí ani držet, ani vlastními prostředky udržovat údaje o svých uživatelích.

Zpět na začátek
ÚVT MU, poslední změna 14.11.2011