Hlavní navigace

Ondřej Koch (NTK): Chceme odstranit vendor lock-in a přejít na Linux a open source

Jan Sedlák

Národní technická knihovna na veřejné počítače nasadila Linux a chce toho co nejvíce převést na open source.

Doba čtení: 12 minut

Národní technická knihovna (NTK) v pražských Dejvicích nedávno na 150 veřejných počítačích zprovoznila Linux a postupně se u své infrastruktury a systémů snaží přecházet na open source. Vedoucí odboru pro ICT Ondřej Koch a vedoucí oddělení ICT infrastruktury Jakub Koudelka v rozhovoru pro Lupu popisují, jak uživatelé na Linux reagují nebo jak se instituce zbavuje vendor lock-inu.

V oficiální zprávě k přechodu počítačů NTK na Linux se uvádí, že se sníží náklady na podporu operačního systému o dvě třetiny. Můžete to upřesnit?

Ondřej Koch (OK): Před nasazením Linuxu zde fungovalo terminálové řešení. Měli jsme tenké klienty s Windows CE, které se přes RDP připojovaly na čtyři servery umístěné v naší serverovně. To si bohužel vyžádalo nemálo licenčních nákladů. Bylo potřeba licencovat všech 150 tenkých klientů a provozovat kvůli tomu vedle čtyř terminálových serverů licenční server a ještě další na správu toho všeho. Ke všemu byly potřeba licence, a pokud jsme náhodou chtěli udělat upgrade, byly licence potřeba opět. To jsme efektivně odbourali, protože nyní nemáme žádný server, který by byl vysloveně dedikovaný. Management jako takový je na Ansible. Licence za operační systém se v případě Linuxu samozřejmě neplatí. A navíc jsme si vše v podstatě vyřešili sami.

Takže náklady spočívají v koupi nových počítačů a lidské práci?

OK: Ano, to je celé.

Bude tento model udržitelný do budoucna z pohledu podpory a podobně?

OK: Neumím si představit, jak by mohla volba otevřeného operačního systému toto ovlivnit. Vzhledem k tomu, že ovladače jsou už dávno v kernelu, není moc co řešit. Co se týče externí podpory, tu není třeba dělat. Máme interní znalost prostředí a není důvod, proč bychom měli poptávat někoho, kdo by byl méně kompetentní než my. Do budoucna záleží samozřejmě také na tom, jak dlouho se zde dokáže udržet interní tým. Drží ale už vcelku dlouho.

Jak se ve vašem případě počítala výhodnost investice do strojů s Linuxem?

OK: Investice šly z provozních peněz. Měli jsme zcela mimořádně volné prostředky provozního rozpočtu, takže jsme se rozhodli, že namísto toho, abychom situaci řešili z investic, ji vyřešíme z provozního rozpočtu. Z něj jsme koupili nové počítače. Tím pádem nebylo třeba řešit nějakou velkou investiční akci, prostě jsme udělali výběrové řízení na „all-in-one“ počítače a dostali jsme to, co jsme chtěli – jenom hardware (celkem 150 počítačů Lenovo ThinkCentre M910z vyšlo na 3,3 milionu korun bez DPH – poznámka redakce). Jednorázovou práci vzhledem k formě instituce lze zanedbat. 

Inspirovali jste se před nasazením Linuxu u nějaké jiné instituce?

OK: Ne. Známe lidi, kteří takto provozují Linux, ale ne v tomto typu instituce. Na druhou stranu se tomu divím, protože zrovna knihovny s veřejnými počítači jsou celkem smysluplné. Vlastně Městská knihovna v Praze například používá někde Ubuntu a někde Android. Windows zde ale nemají opodstatnění.

Mnichov a Dolní Sasko po postupném přechodu na Linux ohlásily, že z akce couvají a opět se vrací do světa Windows. V něčem je to politika, v něčem jde ale také o kompatibilitu s dalšími systémy a podobně. V případě knihovnictví se takové problémy nevyskytují?

OK: Problémy zde jsou, ale nejsou na straně veřejnosti. Ve státní správě je jednak problém politický a v případě Německa se o systémy dlouhodobě nestarali a neaktualizovali je, což pochopitelně vedlo k nespokojenosti uživatelů.

Další věcí je to, že státní správa bohužel stále není připravená na to držet se standardů. Velmi často to funguje tak, že informační systémy, které se v rámci státní správy vytvoří, spíše prohlubují vendor lock-in, nebo tomu tak minimálně v historii bylo. Pakliže se někde objeví ostrůvek pozitivní deviace, musí být interoperabilní s tím zbytkem a důsledkem toho, že kvůli vendor lock-inu a podobně nemůže být interoperabilní, musí tento ostrůvek skončit.

U počítačů určených pro veřejné využití ale nepotřebujeme být interoperabilní s ničím než s akademickým sektorem a běžným světem. A tam se naštěstí standardy drží. Nepotřebujete vytvořit formulář v PDF, abyste ho následně podepsali ze své čipové karty a odeslali jej jako nějakou žádost pomocí komponenty v Silverlightu.

Jak se k Linuxu na počítačích staví uživatelé?

OK: Prozatím jsem se setkal se dvěma druhy reakcí. První je to, že je to jiné a že věci nefungují tak, jak fungovaly dosud. Navzdory tomu, že některé věci fungují lépe, je to o tom, že si lidé potřebují zvyknout. Není to tak, že by Linux nedokázali ovládat, dokáží to celkem v pohodě. Pouze je to prostě jiné a některé věci, na které mohli být zvyklí, se jim nyní nedaří. Příkladem budiž Flash. Uživatelé byli zvyklí, že tady měli Flash a hráli si flashové hry. Proto se ptali, jestli by bylo možné Flash dodat. Ne, že by to nešlo, ale nevidím jediný důvod, proč v roce 2018 v akademickém sektoru – nebo kdekoliv – používat Flash.

No a pak máme i lidi, kteří jsou velmi spokojení. Vše je rychlejší a například nyní funguje i YouTube. Máme dostatek výkonu pro přehrávání, nejde to přes RDP. Obecně mladší generace změnu přijímá velice dobře, protože je zvyklá na chytré telefony. Takové to „všechno musí vypadat jako Windows“ už neplatí. A to i díky tomu, že roste Apple, který má úplně jinou filozofii, jak se co ovládá. A také díky tomu, že lidé mají chytrý telefon a zvykli si na jiná paradigmata ovládání. Tím pádem pro ně Gnome 3, který používáme, není takový problém. Ano, mohli jsme se pokusit prostředí co nejvíce přizpůsobit Windows, ale nasadili jsme standardní Fedoru. Nevnímám to jako problém. Jsem samozřejmě zvědavý na to, až na podzim začne výuka a přihrne se sem více lidí.

Nehraje roli i to, že velký počet návštěvníků NTK tvoří technicky zdatnější studenti ČVUT?

OK: To je možné. Ale když se podívám na statistiky, značné množství lidí, kteří sem chodí, jsou třeba medici z Karlovy univerzity. Hodně lidí je také z České zemědělské univerzity nebo z VŠCHT. A samozřejmě některé funkce, které Linux nabízí, využijí zejména lidé z ČVUT. A nemyslím si, že je to špatně.

Proč jste zvolili zrovna Fedoru?

OK: Protože používáme Red Hat Enterprise Linux (RHEL) a sami používáme Fedoru na našich noteboocích. Je to také kombinace stabilního a zároveň nového systému. Také nebývá problém s upgrady, takže můžeme dělat aktualizace všech strojů. „Custom“ aplikace máme v podstatě dvě – ESR Firefox a Zotero. Vše je v repositářích. Bylo potřeba si zabalíčkovat Firefox, protože ESR má některé funkce, které jsme potřebovali.

Jsou uživatelé se softwarovým vybavením spokojení? Zvažujete i nasazení něčeho třeba přes Wine?

OK: Není to mimo hru. Jediný software, který chceme řešit přes Wine, je nástroj ASPI – pokud se knihovna rozhodne pro jeho další předplácení. Už jsme to zkoušeli a funguje to přes Wine bez problémů. A pokud někdo chce nějakou další aplikaci, není problém se domluvit.

Jak dlouho se projekt migrace na Linux připravoval?

OK: Trvalo to asi půl roku.

Jakub Koudelka (JK): Je třeba započítat výběrové řízení a přípravu. Není to technický, ale administrativní problém. Samotné zprovoznění stanic zabralo asi tři dny.

Měli jste nějaké specifické požadavky na to, co dodávaná PC mají umět?

OK: V podstatě ne. Jediné, čeho jsem se obával, bylo, aby nové stroje nebyly energeticky více náročné než předchozí tencí klienti. Jinak Linux funguje na všem a stroje nemají nic specifického, jako je třeba čtečka otisků prstů. Dokonce nemáme ani webové kamery, protože jsme je nechtěli. Stejně tak tam není Wi-Fi.

Je správa systému instalovaného na fyzických počítačích v kombinaci s Ansible v něčem složitější, než jak tomu bylo u předchozího terminálového řešení?

OK: V podstatě jenom v jedné věci. Ale to je problém, který nesouvisí s tím, že jde o fyzické počítače. Problém je v tom, že uživatelé mají málo elektrických zásuvek. To platí obecně. Je jedno, kolik v budově máte zásuvek, vždy jich je nedostatek. I my jich máme málo. V důsledku toho jsou lidé schopní přijít a počítač prostě ze zásuvky odpojit. Tam si zapojí svůj notebook, ten si po konci práce sbalí a odejdou. To se pak špatně spravuje (smích). Variantou je, že budeme mít zamykatelné zásuvky, nebo to prostě přilepíme. Ale to jsme nechtěli, protože uživatelé jsou schopní využít velké fyzické síly. Víc zásuvek je problém, musely by se předělat rozvaděče.

Uvádíte, že už asi 90 procent vaší infrastruktury a přes 50 procent informačních systémů už je na open source. Jak tento „stack“ vypadá?

OK: Máme disková pole, SAN a blade servery. Na bladech běží velmi konzervativně postavená virtualizace na RHEL, tedy žádný VMware. Máme dva virtualizační clustery, na kterých běží virtuály, které opět zpravidla využívají RHEL. V některých případech jsme měli SUSE, ale to postupně dáváme pryč. Potkali jsme i Debian a ten už je také pryč. Snažíme se to mít „jednobarevné“, protože se to pak lépe spravuje. Lze spoléhat na to, že když do Puppetu napíšu politiku jednou, bude fungovat. Každopádně virtuálů (produkční VM) máme asi 130 a na nich běží informační systémy, přičemž řada z nich je open source.

Platíte si u některých těchto open source systémů přidané služby typu podpora?

JK: Celkově platíme Red Hatu, virtuální prostředí je pod podporou. Dále platíme podporu na MidPoint (správa identit) a systém Zimbra (e-maily a spolupráce).

OK: Jeden z dalších open source systémů je třeba VuFind. Ale tam podporu neplatíme, protože moc není komu. Když přijdete do knihovny a dostanete se do knihovního katalogu, vyhledává se přes VuFind.

Co jsem ale pochopil, tak VuFind používáte jako nadstavbu nad jiným proprietárním systémem.

OK: Bohužel ano. Jde o Aleph a jde o kombinaci technologií Java, Perl a Cobol.

To je dobré kombo.

OK: Úplně báječné to je (smích). Systém se plánuje nahradit, ale je to problém nejenom českého knihovnictví. Dodavatel má tendenci říkat, že by bylo strašně fajn, kdyby všichni migrovali k němu do cloudu.

Takže jde o dlouhodobý vendor lock-in?

OK: Pochopitelně. Je zájem se ho zbavit, ale není kapacita. Dle mého názoru je potřeba nejdříve vyřešit infrastrukturní problémy, případně věci, které tlačí. Toto netlačí, Aleph je klidně možné provozovat dalších deset, dvacet let. Ale to nechci. Náhrada je každopádně možná, kdežto u jiných systémů je náhrada výrazně více problematická.

Například?

OK: K Alephu vám alespoň někdo dá podporu a existuje alespoň nějaká použitelná dokumentace. Ale máme zde systém, na kterém běží „business critical“ věci této instituce, a tento systém je vyvinutý na míru a pod proprietární licencí. My tím pádem nemáme zdrojové kódy.

To je dané historicky nastavenou smlouvou?

OK: Ano. S tím bohužel mohu jen těžko něco dělat, protože jsem to takto zdědil. Bylo to takto v rámci „stavby“. Bohužel tedy nejsme schopní systém příliš ohýbat. Nemáme zdrojáky a je to v Javě. Už jsme to i několikrát dekompilovali, protože jsme v tom potřebovali něco najít.

Vašim ultimátním cílem je to, aby NTK byla kompletně na open source?

OK: V ideálním případě ano.

Co vám kromě již zmiňovaného ještě chybí?

OK: Velká spousta věcí. Chybí nám knihovní systém nebo třeba desktopy. Někde to nahradit nepůjde jen tak, i kdybychom chtěli. Třeba v PR oddělení najdete specializované aplikace pro grafiku nebo střih videa. Tam je Adobe a tím pádem je to dané.

JK: V reprografii zase mají speciální tiskárny a skenery, které také ne úplně dobře pod Linuxem fungují.

OK: Nebo třeba systémy pro správu budovy. Siemens vám dodá leccos, ale bude to běžet na Windows a je k tomu ještě potřeba hardwarový klíč. Pak je trochu potíž dosáhnout HA na clusteru.

Lze tedy ideálního stavu dosáhnout?

OK: Myslím si, že se toho nedožiju. Ale je možné, že se tomu přiblížíme a že nás některé věci přestanou tlačit. Například to, co mě hodně bolí, je databáze od Oraclu. To je drahé, špatně se to spravuje a reálně to u nás nedělá nic, co by nezvládl třeba PostgreSQL.

Co nad vaší databází běží tak velkého, že se musel nasadit Oracle?

OK: Je to historie, která sahá někam k předchůdci mého předchůdce ve funkci. Tam někde se stalo, že Oracle vypadal jako dobrý nápad.

JK: Některé věci jsou s Oraclem přímo svázané. ERP třeba běží nad Oracle Forms. Aleph bez Oraclu také nebude fungovat, ten má ale aspoň vlastní zavřený u sebe. Pak zde jsou „custom“ aplikace, kde Oracle opravdu nedává smysl a stačilo by na ně i obyčejné MySQL. Záznamů v databázi jsou maximálně desítky tisíc a bavíme se o pár transakcích za minutu.

Máte v plánu se Oraclu zbavit?

OK: Pokud možno ano. Potíž je v tom, že je třeba nejdříve nahradit ty aplikace, na kterých je aktuálně hodně lidí závislých. To si samozřejmě vyžádá investice a čas. Bude to trvat dlouho. Nahradit ekonomický systém například znamená i to, že je na něj napojený platební systém. Na platební systém je navázaný tiskový a rezervační systém. A tak dále. To vše je třeba změnit či nahradit a to nelze dělat najednou. Některé věci bychom si opět nechali vyvinout na míru, protože někde nemáme na výběr, ale v rámci tendru bychom se je vybrali tak, abychom si z nich nemuseli rvát vlasy.

Na kolik vás ročně Oracle vyjde?

OK: Zhruba 655 tisíc korun včetně DPH. Pak jsou tu další poplatky, například za zálohovací licence. Navíc ta cena každý rok roste a není v tom Aleph.

Nebojíte se, že teď z Oraclu přijde softwarový audit?

OK: Po tom rozhovoru trochu ano. Na druhou stranu platíme, co platit máme, a nějakou dobu ještě budeme muset. Ale faktem je, že Oracle v tomto baráku nedává smysl. Žádný smysl než ten, že už tady prostě byl. Nemyslím si, že by databáze měla stát tolik. 

JK: Rozhodně ne v případě, jak ji využíváme. Jsou tam další věci. Oracle databáze nejde virtualizovat. Respektive jde, ale jenom na speciálním Linuxu od Oraclu, a ne na tom, který provozujeme standardně. Musíme to tedy dělat speciálně přímo na hardwaru, licencuje se podle socketů. Je to nepraktické na používání.

MIF 2018 tip v článku Mikulenka

Používáte nějaký veřejný cloud?

OK: Jen u specifických příkladů typu G Suite. Jinak není třeba AWS a spol. používat. Máme dostatek vlastního hardwaru. A také máme vedle v budově CESNET a ten nám zajistí, na co si vzpomeneme (NTK je mimo jiné připojená pomocí sítě CESNET – poznámka redakce).

Našli jste v článku chybu?