Какое кол-во польз-ей OpenLdap может потянуть OpenLdap сервер (см. сам вопрос)

[parser81]

Какое количество пользователей OpenLdap может потянуть OpenLdap сервер, если он поднят на Linux-машине с оборудованием, соответствующим минимуму заявленных для операционной системы требований (на самом деле, это тема, а вопросы - в самом низу)

Рассмотриваю несколько ситуаций.

AltLinux 6.0 Интерника поднят на машине с оборудованием, соответствующим минимуму заявленных для операционной системы требований; OpenLdap+Samba+Kerberos+bind.

Вариант 1. AltLinux 6.0 Интерника; OpenLdap+Samba+Kerberos+bind без дополнительных ролей (более никаких серверных даемонов на нем не вертится). Второй контроллер OpenLdap-домена отсутствует. Локальная сеть 100Mbit
1) При каком максимальном количестве пользователей, отраженных в базе данных (зарегистрированных в системе), начнутся притормаживания
2) При каком количестве одновременно работающих зарегистрированных пользователей начнутся тормоза

Вариант 2. AltLinux 6.0 Интерника; OpenLdap+Samba+Kerberos+bind без дополнительных ролей (более никаких серверных даемонов на нем не вертится). + Второй контроллер OpenLdap-домена аналогичный первому компьютеру. Локальная сеть 100Mbit
1) При каком максимальном количестве пользователей, отраженных в базе данных (зарегистрированных в системе), начнутся притормаживания
2) При каком количестве одновременно работающих зарегистрированных пользователей начнутся тормоза

Вариант 3. Такой же как вариант 1, но сервер соединен с офисом через OpenVPN канал. Скорость доступа в интернет 1 Mbit/sec
1) При каком максимальном количестве пользователей, отраженных в базе данных (зарегистрированных в системе), начнутся притормаживания
2) При каком количестве одновременно работающих зарегистрированных пользователей начнутся тормоза
3) При каком сочетании сКОРОСТЬ ИНТЕРНЕТА/КОЛИЧЕСТВО ОДНОВРЕМЕННО РАБОТАЮЩИХ ПОЛЬЗОВАТЕЛЕЙ

Вариант 4.Такой же как вариант 2, но сервера соединены с офисом через OpenVPN канал. Скорость доступа в интернет 1 Mbit/sec
1)...
2)...
3)...

Вариант 5. Хороший несколькопроцессорный (по нескольку ядер на процессор) сервер под управлением Xen-гипервизора, работающий не удаленно (Локалка 100Mbit). На нем подняты два ранее описанных виртуальных контроллера OpenLdap-домена.Выделенные ресурсы соответствуют минимально заявленным для используемого дистрибутива + необходимое на обслуживаемое количество пользователей.
1)...
2)...
3)...
4) Сколько оперативной памяти надо выделять (рассчитать) на каждого OpenLdap-пользователя, зарегистрированного и работающего в системе, поверх объема, соответствующего минимальным требованиям, заявленным в дистрибутиве.
5) Аналогичный вопрос по объему HDD: при работе пойдет заполнение логов и т.д. - сколько свободного места должно оставаться на каждого пользователя на сервере после установки AltLinux 6.0 Интерника (OpenLdap+Samba+Kerberos+bind), чтобы работа шла комфортно и не произошло переполнения?

и т.д.

Вопросы следующие (что хотелось бы услышать)

1) Какое максимально количество пользователей будет обслуживать OpenLdap+Samba+Kerberos+bind, работая на несвежем середняцком компе (пусть Пень IV с ОЗУ=380 Мб)
2) Какова должна быть для работы без тормозов удельная скорость канала связи между клиентом и сервером (Удельная скорость=Скорость интернета/Количество пользователей домена), если для выполнения рабочих задач всем сотрудникам достаточно 2 Мб/сек
3) Сколько для нормальной рабоиы без тормозов МБ оперативы должно приходится на OpenLdap пользователя на сервере (OpenLdap+Samba+Kerberos+bind) поверх минимально необходимых для работы системы.
4) Сколько для нормальной рабоиы без тормозов МБ жесткого диска должно приходится на OpenLdap пользователя на сервере (OpenLdap+Samba+Kerberos+bind) поверх минимально необходимых для работы системы.

Хочу обслуживать одновременную работу 5 тыс. пользователей двумя контроллерами домена, виртуально установленными через Xen на реальный многопроцессорный середины 2000-х годов сервак. Идея относится к администрации района одной захолустной области с разбросанными по ее разным частям филиалами. Поэтому часть соединений пойдет через OpenVPN.
Это реально?

[egor]

Здравствуйте! Чтобы грамотно ответить на Ваш вопрос, нужно проводить исследование на уровне какого-нибудь ИПИ РАН, не меньше =) .  Но я всё-таки попробую.

Начнём с того, что OpenLDAP нужно воспринимать сообразно его предназначению -- это каталог (справочная система, база данных -- как угодно), в которой хранится какая-либо информация, в Вашем случае информация об учётных записях пользователей (именно информация, а не учётные записи). С точки зрения samba нет принципиальной разницы, хранить эту информацию в каталоге или в своём внутреннем представлении базы данных (второе даже будет быстрее). Ваши реальные пользователи (люди) вероятнее всего ВООБЩЕ НИКОГДА не будут обращаться к каталогу, таким образом, у каталога, кроме Вас самого, будет всего три пользователя: getent, samba и bind. При нормальном кэшировании запросов (nscd) каталог будет работать не намного медленнее, чем если бы каждая из программ обращалась бы к своей собственной БД.
Вы ведь хотите файловый сервис, следовательно Вам нужно беспокоиться не о том, сколько учёток будет находиться в OpenLDAP, а о том сколько одновременных подключений потянет Ваш сервер. Если брать по 2 Mbps на сотрудника, то при сетевой карте в 100 Mbps можно одновременно обслужить 50 сотрудников. Дальше считайте количество и объём файлов, которые samba будет открывать для каждого сотрудника (хотя обычно процессы smbd занимают в памяти 10-15 Mb) + еще примерно 20 Mb на named, ну и Kerberos (даже не представляю, сколько будет потреблять памяти + шифрование будет хорошо потреблять процессор).

Что касается самого slapd, то ест он много. И дело даже не в количестве записей в каталоге. Де-факто стандартный на данный момент механизм БД slapd bdb (Berkeley DB) сразу резервирует под себя примерно 360 Mb места на диске (далее он не возрастает, независимо от того, 30 у Вас учёток в каталоге, или 3000) + индексы (тут немгого, в общей сложности в зависимотси от объёма базы от 1 до 10 Mb), при стандартных настройках кэширования slapd с такой базой занимает в памяти около 550-560 Mb. Если использовать новый механизм mdb, то в теории должно быть меньше, но я пока не пробовал. Что касается места на диске, то кроме вышеозвученных 370 Mb будут ещё логи bdb (опять же сразу резервируется 1 Gb места под каждый новый лог, но старые можно удалять и в память они не отображаются). Логи самого slapd можно вообще отключить, так что о них беспокоиться нечего.

Ну а теперь сами можете прикинуть, сколько Вам надо. На совсем плохом железе не пробовал, но довольно старый сервак (двухядерный Xeon 2.4 Ghz, 1 Gb RAM, сетевуха 1 Gbps) OpenLDAP+samba+bind+apache+mysql+почта, правда без Kerberos, вполне адекватно обслуживал 150-200 пользователей одновременно. Диски же на файловом сервере расчитываются под файлы пользователей.

Вот, пожалуй, и всё. Для захолустного района 5 тысяч чиновников -- это сильно =) . Но даже в условиях захолусться, на железе я бы не мелочился -- старое имеет тенденцию быстро вылетать, а выслушивать вопли и восстанавливать всё в аврале придётся именно Вам, т. ч. лучше сразу обосновывать руководству хорошее железо + нормальный резерв.

Егор

[parser81]

Cпасибо