W jaki sposób zoptymalizować wydajność Microsoft SQL Server na przykładzie raportów BI Comarch ERP Optima

W wielu przypadkach, wydajność serwerów bazodanowych jest w dużej mierze ograniczona przez dostępność zasobów, czyli ilość rdzeni, taktowanie procesora oraz rozmiar wolnej pamięci RAM. Jednak w niektórych przypadkach problemem jest złe formułowanie zapytań bądź ich nieoptymalne wykonywanie przez aplikacje. W takim przypadku Microsoft w swoim rozwiązaniu serwerowym SQL pozwala nam na automatyczną optymalizację wykonywanych kwerend. W przypadku zastosowania takiej funkcji, czasy wykonywania niektórych zapytań mogą zmaleć nawet o ponad połowę.

Aby móc skorzystać z takiego rozwiązania, pierwszą rzeczą którą musimy zrobić jest pobranie programu Microsoft SQL Server Management Studio. Pozwoli on na połączenie się do silnika bazy danych i ustawienie odpowiednich parametrów. Poza tym musimy mieć dostęp do konta użytkownika z uprawnieniami administratora, najlepiej konto „sa”.

Po poprawnej instalacji programu, uruchamiamy go i łączymy się do silnika bazy danych.

Następnie, po podłączeniu wchodzimy w folder Bazy danych i klikamy prawym przyciskiem myszy na firmową bazę danych i wchodzimy w jej właściwości.

Po otwarciu okna wchodzimy w zakładkę Options i znajdujemy część oznaczoną jako „Database Scoped Configuration”.

To tutaj mamy możliwość zmiany interesujących nas ustawień. Pierwszą rzeczą którą chcemy włączyć jest „Legacy Cadinality Estimation” a drugą, „Query Optimizer Fixes”. Po włączeniu obu, należy zapisać zmiany klikając OK u dołu okna. Po wykonaniu zmian w konfiguracji, należy zrestartować serwer SQL aby nowe ustawienia zostały zastosowane dla naszej bazy danych.

Procedurę można powtórzyć dla każdej z baz którą chcemy przyspieszyć jednak należy pamiętać że nie w każdym przypadku, zmiany będą zauważalne. Jeżeli programiści tworzący aplikację utworzyli zapytania w poprawny i wydajny sposób, przyspieszenie może być na bardzo niskim poziomie.

Z naszych testów na kilku aplikacjach komercyjnych jak np. Comarch ERP Optima czy Sage Symfonia, takie zmiany powodują znaczące skrócenie czasu pobierania danych. Dotyczy to w szczególności aplikacji Business Inteligence, jak np. Optima BI.

Jeżeli korzystasz z tych aplikacji, sprawdź czy w serwerze SQL są włączone powyższe opcje gdyż może to zaoszczędzić wiele czasu użytkownikom podczas codziennej pracy.

Praca zdalna na serwerach VPS w NSIX

Serwery VPS stały się standardem pracy zdalnej i są nieodzownym narzędziem w dzisiejszym świecie. Dzięki temu że klient ma pełną kontrolę nad tym co się na nim znajduje, może być on bezpiecznym miejscem do pracy, a dodatkowe formy zabezpieczenia które zostały omówione w poprzednich artykułach (tutaj i tutaj) dodatkowo zwiększają funkcjonalność i bezpieczeństwo korzystania z takiej usługi.

Jako że serwery VPS pozwalają na uruchamianie różnego rodzaju aplikacji, dostajemy dzięki temu możliwość zainstalowania na nich niemal niezliczonej ilości oprogramowania. Możemy uruchomić np. pakiet Office, oprogramowanie CRM, różnego rodzaju systemy ERP (Comarch Optima, Sage Symfonia, SAP, itp.). Jeżeli jednak chcemy aby serwer służył jako prywatna chmura na dane, istnieje możliwość zainstalowania serwera Nextcloud wraz z pakietem OnlyOffice, co pozwoli na przechowywanie plików i ich edycję z dowolnego miejsca oraz urządzenia na świecie – i to bezpłatnie.

Biorąc pod uwagę rozmaitość i różnorodność zastosowań serwerów VPS, dają one także możliwość przeniesienia większej ilości pracy z komputerów użytkowników końcowych na serwer. W efekcie można zaoszczędzić pieniądze np. na licencjach czy sprzęcie.

Przykładowe wdrożenie z systemem Windows Server

W przypadku kiedy użytkownik zakupi serwer VPS z oferty NSIX Data Center G2 z systemem Windows Server 2022, dostaje możliwość zainstalowania na nim m.in. pakietu Office Microsoft 365 dla przedsiębiorstw, Comarch ERP Optima oraz oprogramowania CRM do zarządzania bazą klientów.

Aby bezpiecznie i komfortowo łączyć się do zasobów zdalnych potrzebna będzie brama OPNsense wraz z usługą serwera OpenVPN, co pozwala bardzo skutecznie zabezpieczyć zasoby serwera przed dostępem ze strony nieupoważnionych osób. Otrzymujemy również możliwość zestawienia bezpiecznych, szyfrowanych połączeń pomiędzy klientem oraz serwerem, dzięki czemu nieautoryzowany dostęp jest w praktyce niezwykle trudny do zrealizowania.

W związku z tym, że cała praca jest wykonywana na serwerze, komputer użytkownika pozostaje nisko obciążony co pozwala na optymalizację zasobów i zakup tańszych jednostek a także oszczędności w zużyciu energii w biurze. Dodatkowo, pakiet Office zainstalowany na serwerze wymaga tylko i wyłącznie jednej licencji dla wielu użytkowników, nie ma potrzeby jego instalacji oraz zakupu dla każdego stanowiska. Dodatkowym atutem jest mobilność takiego rozwiązania, które jest całkowicie niezależne od urządzenia. Do połączenia z serwerem jest używany plik w postaci certyfikatu VPN, który można zaimportować np. do tabletu, telefonu czy innego komputera z systemem operacyjnym Windows, Linux lub MacOS. Całe opisywane w niniejszym artykule rozwiązanie znacząco podnosi bezpieczeństwo danych ponieważ nie są one przechowywane na komputerze użytkownika tylko przetwarzane są na serwerze zdalnym, w tzw. „chmurze” co w razie awarii komputera użytkownika nie wpływa w żaden sposób na wyniki jego pracy, a w razie usunięcia danych z serwera, dostępne są kopie zapasowe pozwalające na ich odzyskanie.

Przykładowe wdrożenie z systemem z rodziny Linux

W przypadku kiedy szukamy rozwiązania do bezpiecznego przechowywania plików w chmurze, istnieje powszechnie znane rozwiązanie „dysku chmurowego”, może to być np. usługa Nextcloud. Pozwala ona na przechowywanie różnego rodzaju danych we własnej chmurze dostępnej z dowolnego miejsca na świecie. Dostęp do danych może odbywać się poprzez aplikację przeglądarkową lub aplikację na komputer osobisty czy urządzenie mobilne. W przypadku aplikacji na komputer, pliki synchronizowane są do jednego z folderów w bardzo podobny sposób jak na przykład rozwiązanie OneDrive czy Google Drive. Zsynchronizowane pliki można przeglądać, modyfikować, usuwać z poziomu eksploratora plików na komputerze a aplikacja sama zadba o to, aby wszystkie foldery pozostały aktualne na wszystkich podłączonych do usługi urządzeniach. Dodatkowym atutem takiego rozwiązania jest to, że nie wymaga ono korzystania z zewnętrznych serwisów, a nad wszystkimi danymi administrator serwera posiada pełną kontrolę.

Istnieje także możliwość korzystania z aplikacji w przeglądarce która pozwala na podstawowe operacje takie jak pobranie czy wysłanie pliku na serwer. Jeżeli jednak chcemy go zmodyfikować, należy go pobrać na swój komputer, edytować a następnie przesłać z powrotem, co może być dość uciążliwe dla użytkownika końcowego. Lepszym rozwiązaniem jest zastosowanie rozszerzenia OnlyOffice instalowanego na osobnym serwerze które pozwala edytować pliki tekstowe, Word, Excel itp. bezpośrednio z przeglądarki. Działa ono w bardzo podobny sposób jak aplikacje Microsoft Online czy Google Docs jednak pozwala na łatwą integrację z serwerem Nextcloud, jednocześnie podnosząc produktywność, a dzięki możliwości przeglądania oraz edycji plików z poziomu przeglądarki internetowej pracownicy mogą wykonywać swoje zadania z każdego miejsca.
OnlyOffice jest aplikacją Open Source, jednak w wersji darmowej pozwala jednocześnie na 20 połączeń co jest w zupełności wystarczające w małych i średnich firmach. W przypadku kiedy potrzeby jednoczesnych połączeń zwiększają się, istnieje możliwość dokupienia dodatkowych połączeń.

Podsumowanie

Powyżej przedstawiliśmy kilka przykładów w jaki sposób serwery VPS z oferty NSIX Data Center G2 mogą służyć z powodzeniem przy wprowadzaniu pracy zdalnej lub zmniejszeniu obciążenia komputerów w firmie. Powyższe scenariusze to jedynie mały wycinek tego, co można uruchomić na własnej infrastrukturze serwerów wirtualnych z naszej oferty. Tego typu przykładów jest znacznie więcej a ich liczba w przyszłości będzie tylko i wyłącznie rosła, dzięki czemu każdy użytkownik będzie w stanie znaleźć rozwiązanie dopasowane do swoich potrzeb.

Jak połączyć swoją sieć LAN w biurze z serwerem VPS w NSIX przez Internet

W ostatnim artykule na naszym blogu, opisaliśmy w jaki sposób należy zadbać o bezpieczeństwo swojej infrastruktury wirtualnej VPS, uruchomionej na przykład w naszym centrum danych. Skupiliśmy się w artykule na kwestii bezpieczeństwa oraz sposobu połączenia użytkowników końcowych do serwerów wirtualnych VPS z systemem Windows Server lub Linux, znajdujących się za zaporą sieciową, firewallem, – tzw. bramą.

W tym artykule opiszemy w jaki sposób można połączyć własną istniejącą sieć LAN, np. w biurze, poprzez bezpieczne szyfrowane połączenie przez Internet (sieć WAN) z serwerami wirtualnymi VPS zlokalizowanymi w naszym centrum danych.

Chcę połączyć swoją sieć wewnętrzną z infrastrukturą wirtualną serwerów VPS, co mam zrobić?

O ile w większości przypadków, rozwiązanie przedstawione w poprzednim artykule oparte na utworzeniu dostępów VPN SSL do serwera dla każdego użytkownika z osobna sprawdza się znakomicie w określonym scenariuszu, tak w niektórych wdrożeniach może być niewystarczające.

Jeżeli w biurze lub dowolnej innej lokalizacji znajduje się drukarka fiskalna, czytnik kodów albo inne urządzenie podłączane do sieci LAN, które musi mieć dostęp do serwera wirtualnego VPS, np. z zainstalowanym systemem ERP, a nie ma możliwości uruchomienia na takim urządzeniu połączenia VPN z wykorzystaniem certyfikatów VPN SSL, np. za pomocą serwera OpenVPN dointegrowanego do bramy OPNsense, lub inna usługa VPN została już wdrożona i nie zamierzamy dodawać kolejnej, komplikując konfigurację sieciową, istnieje możliwość utworzenia połączenia tunelowego pomiędzy swoją własną infrastrukturą (siecią LAN) a zdalną bramą OPNsense, poprzez protokół IPSec albo konfigurację serwera OpenVPN w trybie site-to-site. W zależności jaka technologia będzie preferowana lub co będzie obsługiwane przez nasze urządzenie w sieci LAN, wykorzystać można IPsec albo szyfrowany tunel site-to-site, pozostawiając niezmienioną adresację LAN.

IPSec

Protokół IPSec jest to rozwiązanie obsługiwane przez znaczącą większość urządzeń, przez co jest jednym z najpopularniejszych sposobów na zestawienie połączeń tunelowych pomiędzy dwiema lokalizacjami. Dodatkową zaletą tego rozwiązania jest możliwość szyfrowania transmisji, dzięki czemu ryzyko nieautoryzowanego dostępu jest znacząco minimalizowane lub w praktyce nieautoryzowany dostęp do sieci jest bardzo trudny do wykonania. Ponadto konfiguracja połączenia IPSec jest stosunkowo prosta, co pozwala na jego skonfigurowanie nawet niezaawansowanym użytkownikom.

Istnieje jednak możliwość, iż protokół ten mimo swojego szerokiego wdrożenia, na różnych urządzeniach może działać w inny sposób, przez co niewykluczone są problemy z jego wdrożeniem. Dodatkowo opcje szyfrowania dostępne w tym rozwiązaniu są dosyć ograniczone, przez co jest to dobre rozwiązanie dla niewrażliwych danych, bądź wdrożeń które nie wymagają mocnego szyfrowania transmisji.

Openvpn site-to-site

Rozwiązaniem, które umożliwia zestawienie połączenia Site-to-Site dostępnym w OPNsense jest serwer OpenVPN. Poza niewątpliwą zaletą, iż jest to rozwiązanie Open Source, oferuje on duży wybór algorytmów szyfrujących oraz możliwość generowania profili połączenia wykorzystujących certyfikaty SSL/TLS. Kolejną zaletą jest możliwość wybrania typu transmisji (TCP/UDP) oraz dogodnego dla nas portu na zaporze sieciowej do komunikacji a ponadto umożliwia praktycznie nieograniczoną możliwość konfiguracji. Dodatkowymi atutami są także duża baza wiedzy oraz mocne wsparcie społeczności, które pozwalają na względnie szybkie wdrożenie VPN w formie site-to-site (S2S). Dzięki takiemu zestawowi funkcjonalności, jest to rozwiązanie preferowane przez NSIX Data Center we wszystkich scenariuszach zakładających bramę SDN / Firewall na serwerze VPS oraz VPN w formie S2S.

Należy pamiętać, że z wysokim poziomem zabezpieczeń, wiąże się wysokie zużycie zasobów, głównie procesora na obliczenia związane z szyfrowaniem. Jednak takowy problem można rozwiązać dzięki możliwości skalowania serwerów wirtualnych VPS z naszej oferty G2, poprzez dodanie kolejnych rdzeni vCPU. Wystarczy skontaktować się z naszym działem wsparcia technicznego aby ustalić nowy plan oraz moment zwiększenia ilości rdzeni.

Konfiguracja

Jeżeli użytkownik jest w stanie wykonać konfigurację tunelu VPN S2S we własnym zakresie, może tego dokonać za pomocą przystępnego GUI bramy OPNsense które przeprowadzi go przez kreator konfiguracji. (Podlinkowane, tak samo jak wyżej mogę jeszcze zrobić drugi art. o samej konfiguracji VPN i dodać drugi link) Jeżeli jednak konfiguracja VPN ma zostać wykonana przez specjalistów, nasze wsparcie techniczne Premier Support obejmuje tego typu usługi Dzięki niej, nasi technicy zajmą się wdrożeniem danego rozwiązania, biorąc pod uwagę wymagania sprzętowe oraz zabezpieczenie całego środowiska serwerowego VPS.

Jak zapora sieciowa wpływa na bezpieczeństwo serwerów wirtualnych VPS?

Wstęp

Bezpieczeństwo serwerów, fizycznych lub wirtualnych VPS, jest bardzo ważnym aspektem podczas wybierania danego typu usługi na swoje potrzeby. Niezależnie od tego, czy na maszynie wirtualnej VPS będzie zainstalowany system ERP (Comarch Optima, Sage Symfonia), czy będzie to inna usługa np. Remote Desktop Services i aplikacje desktopowe albo dowolny inny scenariusz wdrożenia, szczególnie dla systemu Windows Server (ale nie tylko), warto zadbać o odpowiednie ich zabezpieczenie.

Potencjalne niebezpieczeństwa serwerów z publicznymi adresami IP

Domyślnie, dla każdej maszyny wirtualnej VPS w NSIX, przypisujemy publiczny adres IPv4. Jest to rozwiązanie oddające użytkownikowi pełną możliwość dostosowania i zarządzania siecią publiczną a więc udostępniania zasobów z serwera VPS dla świata zewnętrznego. Jednak komunikacja sieci publicznej zazwyczaj działa w dwie strony, dlatego istotna jest odpowiednia konfiguracja zapory sieciowej z podziałem na ruch wychodzący i przychodzący.

Bezpieczne ustawienie zapory sieciowej w systemie operacyjnym serwera VPS może być dla niektórych użytkowników nieintuicyjne i trudne. Ponadto, taka konfiguracja może nie gwarantować bezpieczeństwa a źle ustawione reguły mogą zezwolić atakującym na przejęcie serwera i danych które się na nim znajdują.

Jak rozwiązać powyższy problem?

Jednym ze sposobów na ułatwienie zarządzania regułami oraz dostępem do serwerów wirtualnych VPS, jest wdrożenie specjalnej zapory sieciowej, która pełni rolę pośrednika (bramy) dla ruchu pomiędzy siecią publiczną a serwerami VPS komunikującymi się z zaporą poprzez sieć prywatną. W tym przypadku omówimy zalety na przykładzie rozwiązania OPNsense.

Dzięki zastosowaniu zapory OPNsense, publiczne adresy IP zostają „zdjęte” z pojedynczych serwerów wirtualnych, co całkowicie przenosi kontrolę dostępu do nich na firewall.

Warto zaznaczyć, iż zapora w postaci serwera VPS może posiadać więcej niż jeden publiczny adres IP.

Dzięki dedykowanej funkcji serwera VPS z dystrybucją OPNsense jako zapory / bramy oraz przyjaznemu dla użytkownika interfejsowi graficznemu, możliwa jest konfiguracja bezpieczeństwa dla mniej zaawansowanych użytkowników. Zapora sieciowa w formie VPS pozwala na skonfigurowanie przekierowania portów, dostępu do danych zasobów tylko i wyłącznie z konkretnych adresów publicznych lub uruchomienie własnego serwera VPN.

Rekomendowanym sposobem zabezpieczenia transmisji jest utworzenie własnego serwera VPN, który możemy skonfigurować w dowolny sposób. Jeżeli chcemy zabezpieczyć komunikację poprzez szyfrowanie (domyślna konfiguracja), możemy wykorzystać w tym celu np. certyfikaty VPN SSL generowane bezpośrednio na serwerze VPS bramy czyli w zaporze sieciowej. Dodatkowe oprogramowanie w postaci np. OpenVPN instalowane jest w serwerze zapory sieciowej.

W przypadku bardziej rozbudowanych środowisk, kiedy dostęp do różnych serwerów VPS ma zostać udzielony różnym użytkownikom, możemy utworzyć kilka serwerów VPN z  dostępami do poszczególnych podsieci – w domyśle prywatnych. Wszystkie serwery wirtualne G2 z oferty NSIX posiadają możliwość uruchomienia sieci prywatnej z przepustowością 10 Gb/s. Możliwości konfiguracji tego typu usługi są ogromne, dlatego opisywane rozwiązanie wykorzystywane jest bardzo często, w różnych wariantach przez organizacje planujące zabezpieczenie transmisji danych pomiędzy wieloma serwerami VPS i wieloma sieciami ich łączącymi.

Dodatkowo, OPNsense jest rozwiązaniem całkowicie darmowym, z punktu widzenia dodatkowych opłat licencyjnych, co podwyższa jego atrakcyjność. Ponadto, poza kosztem samej zapory sieciowej w formie serwera VPS, nie musimy płacić za dodatkową warstwę bezpieczeństwa na potrzeby np. usługi VPN.

Jak zakupić zaporę sieciową kiedy mam już działające serwery VPS w NSIX?

Aby zabezpieczyć istniejące serwery VPS, należy zakupić jedną z zapór sieciowych oraz sieć prywatną PVLAN do której zostaną podłączone wybrane lub wszystkie maszyny wirtualne VPS oraz firewall z naszej oferty.

Nie jestem jeszcze klientem lub chcę zakupić nowe serwery wraz z zaporą sieciową

Jeżeli nie posiadasz jeszcze serwerów VPS z oferty NSIX, bądź chcesz dokupić nowe maszyny wirtualne, zapraszamy do zapoznania się z naszymi gotowymi pakietami ERP, które zawierają w sobie maszynę wirtualną dla potrzeb systemu ERP, zaporę sieciową, wsparcie techniczne w specjalnej cenie -33% oraz konfigurację usług – za 0 zł! Wszystko to z atrakcyjnymi rabatami oraz darmowym wdrożeniem, dzięki czemu koszt usługi staje się jeszcze bardziej przystępny a bezpieczeństwo usług stoi na najwyższym poziomie. Istnieje również możliwość zakupu pojedynczej bramy sieciowej oraz sieci prywatnej 10 Gb/s do każdego z serwerów VPS z oferty G2 NSIX oraz własnej ich konfiguracji.