comiiit
This commit is contained in:
Stanislav Hubacek
101
DATACENTERS.md
101
DATACENTERS.md
@@ -684,4 +684,105 @@ Odkazy, knihy a standardy: [sources/infrastructure/sources.md](sources/infrastru
|
||||
| The Data Center as a Computer (4th ed., 2025) | Barroso, Hölzle, Ranganathan | 978-3-031-99488-3 | Komplexní vývoj designu warehouse-scale computer (WSC) od Google architektů. Pokrývá hardware, software, power, cooling, networking a 25 let zkušeností s WSC. Klíčová publikace pro architekturu datových center. |
|
||||
| Electronics Cooling: From the Chip to the Datacenter (Vol. 62) | Abraham et al. | 978-0-443-47084-4 | Praktický průvodce tepelným managementem od úrovně tranzistoru po datové centrum. Zahrnuje conduction, convection, liquid immersion a phase change cooling. Nezbytný zdroj pro návrh chlazení DC. |
|
||||
|
||||
## Páteřní služby datového centra
|
||||
|
||||
Při stavbě nového DC je potřeba nejdříve nasadit základní infrastrukturní služby — bez nich nelze provozovat vyšší vrstvy:
|
||||
|
||||
### DNS
|
||||
|
||||
| Role | Služba | Popis |
|
||||
|------|--------|-------|
|
||||
| **Authoritative** | Bind, PowerDNS, NSD | Primární DNS zóna pro interní domény |
|
||||
| **Recursive** | Unbound, Bind (caching), CoreDNS | Resolver pro interní + externí dotazy |
|
||||
| **Anycast** | DNS anycast (BGP) | Redundance, nižší latence |
|
||||
| **Integrace** | Infoblox, BlueCat, dnsmasq | IPAM + DNS + DHCP v jednom |
|
||||
|
||||
Best practices: oddělené auth a recursive resolvery, DNSSEC, split-horizon (interní vs externí pohled), TSIG pro přenos zón, monitoring (DNS query latency, NXDOMAIN rate).
|
||||
|
||||
### NTP (časová synchronizace)
|
||||
|
||||
- **Primary**: GPS-disciplinované NTP servery (Microchip S600, Meinberg)
|
||||
- **Secondary**: Stratum 1/2 NTP (ntpd, chrony, NTPsec)
|
||||
- **All nodes**: chrony (moderní náhrada ntpd), lokální NTP server na každém rack switchi (boundary clock)
|
||||
- **Precision**: PTP (IEEE 1588) pro telco/fintech — sub-microsecond accuracy
|
||||
- **DC topologie**: GPS anténa → Grandmaster (PTP) → Boundary clock (rack switch) → Ordinary clock (server)
|
||||
|
||||
### DHCP + IPAM
|
||||
|
||||
| Nástroj | Popis |
|
||||
|---------|-------|
|
||||
| **ISC DHCP** | Legacy, stále široce nasazen |
|
||||
| **Kea** | Moderní náhrada ISC DHCP (ISC + Linux Foundation) |
|
||||
| **Infoblox / BlueCat** | Enterprise IPAM + DHCP + DNS |
|
||||
| **NetBox / phpIPAM** | Open-source IPAM |
|
||||
|
||||
### LDAP / Identity Management
|
||||
|
||||
| Nástroj | Popis |
|
||||
|---------|-------|
|
||||
| **FreeIPA** | Integrované IDM (LDAP + Kerberos + DNS + CA) — Linux |
|
||||
| **Active Directory** | Microsoft, LDAP + Kerberos + Group Policy |
|
||||
| **389 Directory Server** | Open-source LDAP (Red Hat) |
|
||||
| **OpenLDAP** | Klasický open-source LDAP |
|
||||
| **Keycloak / Authentik** | Moderní OIDC/SAML/LDAP brány |
|
||||
|
||||
### PKI a certifikáty
|
||||
|
||||
- **Enterprise CA**: EJBCA, Smallstep, HashiCorp Vault (PKI engine)
|
||||
- **ACME**: Cert-Manager (Kubernetes), certbot (Let's Encrypt)
|
||||
- **mTLS**: Vault PKI, spire (SPIFFE), Cilium
|
||||
- **Best practices**: root CA offline, intermediate CA per prostředí, certifikáty s krátkou platností (max 90 dní), revocation (CRL/OCSP)
|
||||
|
||||
### Monitoring a observabilita
|
||||
|
||||
Viz [MONITORING.md](MONITORING.md). Před spuštěním prvních workloadů musí DC mít:
|
||||
- Sběr metrik (Prometheus, Zabbix)
|
||||
- Centralizované logy (Loki, ELK)
|
||||
- Alerting (Alertmanager, PagerDuty)
|
||||
- Uptime monitoring (heartbeat checky)
|
||||
|
||||
### Logistika nasazení — pořadí kroků
|
||||
|
||||
```
|
||||
1. DNS (alespoň recursive + local resolver)
|
||||
2. NTP (časová synchronizace)
|
||||
3. DHCP + IPAM (první servery dostanou IP)
|
||||
4. LDAP / IAM (uživatelé, skupiny, přístupová práva)
|
||||
5. PKI (certifikáty pro šifrování)
|
||||
6. Configuration management (Ansible, Puppet)
|
||||
7. Monitoring + logging (vidět co se děje)
|
||||
8. Container registry / Package repo (docker registry, apt/yum mirror)
|
||||
9. Load balancer (pro služby)
|
||||
10. Storage backend (Ceph, NFS, SAN)
|
||||
11. Orchestrace (Kubernetes, OpenStack)
|
||||
```
|
||||
|
||||
## OpenStack v datacentru
|
||||
|
||||
OpenStack přináší do DC softwarovou abstrakční vrstvu, která umožňuje multi-tenancy a self-service:
|
||||
|
||||
### Control plane architektura
|
||||
|
||||
- **Controller nodes** — management služby (Keystone, Nova API, Neutron API, Horizon, RabbitMQ, DB)
|
||||
- **Compute nodes** — hypervisor (KVM), Nova Compute, Neutron agent
|
||||
- **Storage nodes** — Ceph OSD, Cinder volumes, Swift object storage
|
||||
- **Network nodes** — Neutron L3 router, DHCP agent, DVR
|
||||
|
||||
### Požadavky na DC infrastrukturu
|
||||
|
||||
| Komponenta | Požadavek |
|
||||
|------------|-----------|
|
||||
| **Controller** | 3-5 node HA cluster, 16+ vCPU, 32+ GB RAM, SSD |
|
||||
| **Compute** | Hustý výkon na rack (GPU, high-core), NUMA-aware design |
|
||||
| **Storage (Ceph)** | 10-25 GbE networking, NVMe/SSD OSD, 3+ replica |
|
||||
| **Network** | 25/100 GbE spine-leaf, L3 BGP underlay, VXLAN overlay |
|
||||
| **Rack power** | 10-30 kW/rack pro GPU compute |
|
||||
|
||||
### Use cases
|
||||
|
||||
- Privátní cloud pro enterprise (multi-tenant, self-service Horizon)
|
||||
- NFVI pro telco (DPDK, SR-IOV, low-latency)
|
||||
- Akademické / HPC clustery (Ironic, Cyborg, Manila)
|
||||
- Government / regulated prostředí (on-prem, audit trail)
|
||||
|
||||
*Poslední revize: 2026-06-03*
|
||||
|
||||
Reference in New Issue
Block a user