Cap 2 Coulouris

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 34

MODELOS DE SISTEMA

2.1. Introduccin 2.2. Modelos arquitectnicos 2.3. Modelos fundamentales 2.4. Resumen

Un modelo arquitectnico de un sistema distribuido trata sobre la colocacin de sus partes y las relaciones entre ellas. Algunos ejemplos pueden ser el modelo cliente-servidor y el modelo de procesos de igual a igual (peer to peer). El modelo cliente-servidor admite varias modificaciones debido a: La particin de datos o la replicacin en servidores cooperativos. El uso de cach para los datos en clientes y servidores proxy. El uso de cdigo y agentes mviles. Los requisitos para aadir o eliminar dispositivos mviles de forma conveniente. Los modelos fundamentales estn implicados en una descripcin ms formal de las propiedades que son comunes en todos los modelos arquitectnicos. No hay un tiempo global en un sistema distribuido, por lo que los relojes en las diferentes computadores no tienen necesariamente el mismo tiempo en una que en otra. Toda comunicacin entre procesos se realiza por medio de mensajes. La comunicacin mediante mensajes sobre una red puede verse afectada por retrasos, puede sufrir variedad de fallos y es vulnerable a los ataques a la seguridad. Estas cuestiones se consideran en tres modelos: El modelo de interaccin trata de las prestaciones y de la dificultad de poner lmites temporales en un sistema distribuido, por ejemplo para la entrega de mensajes. El modelo de fallos intenta dar una especificacin precisa de los fallos que se pueden producir en los procesos y en los canales de comunicacin. Define comunicacin fiable y procesos correctos. El modelo de seguridad discute sobre las posibles amenazas para los procesos y los canales de comunicacin. Introduce el concepto de canal seguro, que lo es frente a dichas amenazas.

28

Sistemas distribuidos

2.1. INTRODUCCION. Los sistemas pensados para trabajar en entornos reales deben disearse para funcionar correctamente en el rango de circunstancias ms amplio posible y considerando todas las dificultades y amenazas (en el cuadro que viene a continuacin se describen algunos ejemplos). La discusin y los ejemplos del Captulo 1 sugieren que sistemas distribuidos de tipos diferentes comparten importantes propiedades subyacentes y dan lugar a problemas de diseo comunes. En este captulo se presentan las propiedades y temas de diseo comunes para los sistemas distribuidos bajo la forma de modelos descriptivos. Cada modelo est pensado para proporcionar una descripcin abstracta, simplificada pero consistente, de cada aspecto relevante del diseo de un sistema distribuido. Un modelo arquitectnico define la forma en que los componentes de los sistemas interaccionan uno con otro y en cmo estn vinculados con la red de computadores subyacente. En la Seccin 2.2, describimos la estructura de niveles del software de sistema distribuido y los principales modelos arquitectnicos que determinan las ubicaciones y las interacciones de los componentes. Discutimos las variantes del modelo cliente-servidor, incluyendo aquellas que se deben al empleo de cdigo mvil. Tenemos en cuenta las caractersticas de un sistema distribuido en el que se puedan aadir o quitar dispositivos mviles a conveniencia. Finalmente, contemplamos los requisitos generales de diseo para los sistemas distribuidos. En la Seccin 2.3, presentamos tres modelos fundamentales que ayudan a localizar los problemas clave para los diseadores de sistemas distribuidos. Su propsito es especificar las cuestiones, dificultades y amenazas que deben resolverse para desarrollar sistemas distribuidos que realicen correctamente, de forma fiable y segura sus tareas. Los modelos fundamentales proporcionan vistas abstractas de aquellas caractersticas de los sistemas distribuidos que afectan a sus caractersticas de confianza, correccin, fiabilidad y seguridad. Dificultades y amenazas para los sistemas distribuidos. Algunos de los problemas con los que se deben encarar los diseadores de sistemas distribuidos son: Modos de utilizacin muy variables: Las partes componentes de los sistemas estn sujetas a grandes variaciones en la carga de trabajo: por ejemplo, algunas pginas Web son accedidas varios millones de veces al da. Algunas partes de un sistema pueden estar desconectadas, o deficientemente conectadas, en algn momento; por ejemplo cuando estn incluidos en un sistema de computadores mviles. Algunas aplicaciones, tienen requisitos especiales para comunicaciones de gran ancho de banda y baja latencia,.por ejemplo las aplicaciones multimedia. Amplio rango de entornos: Un sistema distribuido se debe acomodar a hardware, sistemas operativos y redes heterogneas. Las redes pueden variar mucho en sus prestaciones, de hecho las redes sin cable trabajan a una fraccin de la velocidad de las redes locales. Se deben soportar sistemas de escalado muy diferente, desde decenas hasta millones de computadores. Problemas internos: Relojes no sincronizados, actualizaciones conflictivas de datos, muchas formas de fallos en hardware y software implicando a componentes individuales de un sistema. Amenazas externas: Ataques a la integridad y el secreto de los datos, denegacin del servicio.

2.2. MODELOS ARQUITECTONICOS La arquitectura de un sistema es su estructura en trminos de componentes especificados por separado. El objetivo global es as egurar que la estructura satisfar las demandas presentes y previsibles sobre l. El diseo arquitectnico de un edificio tiene aspectos similares y determina no slo su apariencia, sino tambin su estructura general y su estilo arquitectnico (gtico, neoclsico, moderno), proporcionando un marco de referencia consistente para el diseo.

Modelos de sistema

29

En esta seccin, describiremos los principales modelos arquitectnicos empleados en los sistemas distribuidos: los estilos arquitectnicos de los mismos. Construimos nuestros modelos arquitectnicos en torno a los conceptos de proceso y objeto introducidos en el Captulo 1. Un modelo arquitectnico de un sistema distribuido simplifica y abstrae, inicialmente, las funciones de los componentes individuales de dicho sistema y posteriormente considera: La ubicacin de los componentes en la red de computadores, buscando definir patrones utilizables para la distribucin de datos y carga de trabajo. Las interrelaciones entre los componentes, es decir, sus papeles funcionales y los patrones de comunicacin entre ellos. Una simplificacin inicial se obtiene clasificando los procesos entre servidores, clientes e iguales, siendo estos ltimos procesos que cooperan y se comunican de forma simtrica para realizar una tarea. Esta clasificacin de procesos identifica las responsabilidades de cada uno y ayuda, por tanto, a valorar sus cargas de trabajo y a determinar el impacto de los fallos en cada uno de ellos. Los resultados de este anlisis pueden ser utilizados para especificar la distribucin de los procesos de una forma que concuerde con los objetivos de prestaciones y fiabilidad del sistema resultante.. Se pueden construir otros sistemas dinmicos como variaciones del modelo cliente servidor: La posibilidad de mover cdigo de un proceso a otro permite que un proceso delegue tareas en otro; por ejemplo, los clientes pueden descargar cdigo de los servidores y ejecutarlo localmente. Los objetos y el cdigo al que acceden puede reubicarse para reducir los retardos de acceso y minimizar el trfico de la comunicacin. Algunos sistemas distribuidos se disean para permitir que los computadores y otros dispositivos mviles se aadan o eliminen sin incidencias, permitiendo el descubrimiento de servicios disponibles y el ofrecer sus servicios a otros. Existen varios patrones utilizados ampliamente para la distribucin del trabajo en un sistema distribuido y que tienen un impacto importante en las prestaciones y efectividad del sistema resultante. La ubicacin actual de los procesos que conforman un sistema distribuido sobre una red de computadores est tambin influenciada por muchas caractersticas detalladas de prestaciones, fiabilidad, seguridad y coste. Los modelos arquitectnicos descritos aqu pueden proporcionar slo una versin simplificada de los patrones de distribucin ms importantes. 2.2.1. CAPAS DE SOFTWARE El trmino arquitectura de software se refera inicialmente a la estructuracin del software como capas o mdulos en un nico computador y ms recientemente en trminos de los servicios ofrecidos y solicitados entre procesos localizados en el mismo o diferentes computadores. Esta vista orientada a proceso y a servicio puede expresarse en trminos de capas de servicio. Esta visin se presenta en la Figura 2.1 y se desarrolla con detalle creciente en los Captulos 3 al 6. Un servidor es un proceso que acepta peticiones de otros procesos. Un servicio distribuido puede proveerse desde uno o ms procesos servidor, es interactuando entre cada uno de e llos, y con los procesos clientes, para mantener una visin de los recursos del servicio consistente con el sistema. Por ejemplo, un servicio de tiempo de red est implementada en Internet basado en el Protocolo de Tiempo de Red (NTP, Network Time Protocol) mediante procesos servidor, corriendo sobre mquinas de Internet, que proporcionan el tiempo actual a cualquier cliente que lo solicite y ajuste su versin del tiempo actual como resultado de las interacciones con los otros. La Figura 2.1 muestra trminos importantes como plataforma y middleware, que definimos a continuacin: Plataforma. El nivel de hardware y las capas ms bajas de software se denominan, a menudo, plataforma para sistemas distribuidos y aplicaciones. Estas capas ms bajas proporcionan s ervicios

30

Sistemas distribuidos

Figura 2.1. Capas de servicio software y hardware en los sistemas distribuidos.

a las que estn por encima de ellas, y que son implementadas independientemente en cada computador, proporcionando una interfaz de programacin del sistema a un nivel que facilita la comunicacin y coordinacin entre procesos. Windows para Intel x86, Sun OS para Sun SPARC, Solaris para Intel x86, Mac Os para Power PC, Linux para Intel x86 son los principales ejemplos. Middleware. Se defini en la Seccin 1.4.1 como una capa de software cuyo propsito es enmascarar la heterogeneidad y proporcionar un modelo de programacin conveniente para los programadores de aplicaciones. Se representa mediante procesos u objetos en un conjunto de com putadores que interactan entre s para implementar mecanismos de comunicacin y de recursos compartidos para aplicaciones distribuidas. El middleware se ocupa de proporcionar bloques tiles para la construccin de componentes software que puedan trabajar con otros en un sistema distribuido. En particular, mejora el nivel de las actividades de comunicacin de los programas de aplicacin soportando abstracciones como: procedimiento de invocacin remota, comunicacin entre un grupo de procesos, notificacin de eventos, replicacin de datos compartidos y transmisin de datos multimedia en tiempo real. Las comunicaciones entre grupos se considerarn en el Captulo 4 y se tratarn con detalle en los Captulos 11 y 14. La notificacin de eventos se describir en el Captulo 5. La replicacin de datos se discutir en el Captulo 14 y los sistemas multime dia en el Captulo 15. Los paquetes de llamadas a procedimientos remotos como Sun RPC (descrito en el Captulo 5) y sistemas de comunicacin en grupo como ISIS (Captulo 14) fueron de los primeros, y son actualmente los ejemplos de middleware ms ampliamente utilizados. Entre los productos y estndares de middleware orientados al objeto estn CORBA (Common Object Request Broker Architecture de OMG), invocacin de objetos remotos en Java (RMI, Remote Method Invocation), Modelo Comn de Objetos Distribuidos de Microsoft (DCOM) y el Modelo de Referencia para Proceso Distribuido Abierto de la ISO/ITU-T (RM-ODP, Reference Model for Open Distributed Processing). CORBA y Java RMI sern descritos en los Captulos 5 y 17, y se pueden encontrar detalles sobre DCOM y RM -ODP en Redmond [19971 y Blair y Stefani [19971. El middleware tambin puede proporcionar servicios para su uso en los programas de aplicacin. Existen servicios de infraestructuras ligadas fuertemente al modelo de programacin distribuida que proporciona el middleware. Por ejemplo, CORBA ofrece una variedad de servicios que proporcionan a las aplicaciones funciones que incluyen la gestin de nombres, seguridad, transacciones, almacenamiento persistente y notificacin de eventos. Alguno de los servicios de CORBA se analizar en el Captulo 17. Los servicios de la capa superior de la Figura 2.1 son servicios especficos del dominio que utiliza el middleware , sus operaciones de comunicacin y sus propios servicios.

Modelos de sistema

31

Limitaciones del middleware: Muchas aplicaciones distribuidas dependen enteramente de los servicios proporcionados por el middleware disponible, para soportar sus necesidades de comunicacin y de compartir datos. Por ejemplo, una aplicacin adecuada para el modelo cliente-servidor, como una base de datos de nombres y direcciones, puede basarse en middleware que proporcione slo invocacin de mtodos remoto. Se ha conseguido mucho en la simplificacin de la programacin de los sistemas distribuidos mediante el desarrollo del soporte de middleware, aunque algunos aspectos de la confiabilidad de los sistemas precisan soporte al nivel de aplicacin. Consideremos la transferencia de mensajes grandes de correo electrnico desde el servidor de correo del emisor hacia el del receptor. A primera vista es un uso sencillo del protocolo de transmisin de datos TCP (se ver en el Captulo 3). Pero, contemplemos el problema de un usuario que intente transferir un fichero muy grande sobre una red potencialmente poco fiable. TCP proporciona algo de deteccin y correccin de errores, pero no puede resolver los problemas de interrupciones importantes de red. El servicio de transferencia de correo aade otro nivel de tolerancia a fa llos, manteniendo un registro de progreso y reanudando la transmisin, utilizando una nueva conexin TCP, si la primera falla. Un trabajo clsico de Saltzer, Reed y Clarke [Saltzer y otros, 1984] presenta un apunte similar y valioso sobre el diseo de sistemas distribuidos, que ellos llaman el argumento final. Parafra sendolos: Algunas funciones relacionadas con la comunicacin pueden implementarse completamente y de forma fiable slo con el conocimiento y la ayuda de cmo es la aplicacin en los puntos finales del sistema de comunicacin. Por tanto, proporcionar dicha funcin como una caracterstica del sistema de comunicacin no siempre es sensato. (Una versin incompleta de la funcin proporcionada por el sistema de comunicacin puede ser a veces til como una mejora de prestaciones). Pudiera pensarse que su argumento va en contra de la idea de que todas las actividades de comunicacin pueden abstraerse de la programacin de aplicaciones mediante la introduccin de las capas de middleware adecuadas. El ncleo de su argumento es que el funcionamiento correcto de los programas distribuidos depende de las comprobaciones, mecanismos de correccin de errores y medidas de seguridad en muy distintos niveles, algunos de los cuales requieren acceso a datos del espacio de direcciones de la aplicacin. Cualquier intento de realizar comprobaciones nicamente con el sistema de comunicacin garantizar slo una parte de la correccin exigida. Es muy probable, entonces, que se est duplicando trabajo en los programas de aplicacin, malgastando esfuerzo en la programacin, y lo que es ms importante, aadiendo una complejidad innecesaria y realizando cmputos redundantes. No hay aqu espacio suficiente para detallar ms sus argumentos, y se recomienda fuertemente la lectura del trabajo citado, que est lleno de ejemplos ilustrativos. Recientemente, uno de los autores originales seala qe los beneficios sustanciales que trajo este argumento al diseo de Internet estn en peligro por los recientes movimientos hacia la especializacin de los servicios de red para satisfacer los requisitos de las aplicaciones actuales [www.reed.com]. 2.2.2. ARQUITECTURAS DE SISTEMA La divisin de responsabilidades entre los componentes del sistema (aplicaciones, servidores y otros procesos) y la ubicacin de los componentes en los computadores en la red, es quiz el aspecto ms evidente del diseo de un sistema distribuido. Sus implicaciones fundamentales estn en las prestaciones, fiabilidad y seguridad del sistema resultante. En esta seccin, se esbozan los prin cipales modelos arquitectnicos sobre los cuales se basa esta distribucin de responsabilidades. En un sistema distribuido, los procesos con responsabilidades bien definidas interactan con los otros para realizar una actividad til. En esta seccin, nuestra atencin se enfocar en la colocacin

32

Sistemas distribuidos

Figura 2.2. Clientes que invocan a servidores individuales.

de los proces os, ilustrada en la Figura 2.2, mostrando la disposicin de los procesos (elipses) en los computadores (cajas grises). Utilizamos los trminos invocacin y resultados para etiquetar los mensajes, aunque se podran haber etiquetado igualmente como solicitud y respuesta. Los principales tipos de modelos arquitectnicos estn ilustrados en las Figuras 2.2 a la Figura 2.5 y se describen a continuacin. Modelo cliente -servidor. Es la arquitectura que se cita ms a menudo cuando se discute sistemas distribuidos. Histricamente es la ms importante, y contina siendo la ms ampliamente utilizada. La Figura 2.2 muestra la sencilla estructura sobre la que interaccionan los procesos clientes con los procesos servidores individuales, en computadores separados, con el fin de acceder los recursos compartidos que ellos gestionan. Los servidores pueden, a su vez, ser clientes de otros servidores, como se indica en la figura Por ejemplo, un servidor Web es, a veces, un cliente de un servidor de ficheros local que gestin los ficheros en los que estn almacenadas las pginas Web. Los servidores Web y la mayora d( resto de los servicios de Internet son clientes del servicio DNS, que traduce Nombres de Dominio de Internet en direcciones de red. Otro ejemplo relacionado con Web son los buscadores, que permiten a los usuarios buscar resmenes de la informacin disponible en las pginas Web de los sitie de Internet. Estos resmenes estn realizados por programas llamados escaladores (crawlers) Web que se ejecutan en segundo plano en el sitio del buscador utilizando peticiones HTTP para acced a los servidores Web a travs de Internet. Por tanto, una mquina de bsqueda es tanto un cliente como un servidor: responde a las consultas del navegador de los clientes y ejecuta Web crawler que actan como clientes de otros servidores Web. En este ejemplo, las tareas del servidor (responder a las consultas de usuarios) y las tareas de crawler (hacer peticiones a otros servidores Web son totalmente independientes; hay muy poca necesidad de si cronizarlas y pueden ejecutarse concurrentemente. De hecho, n un buscador tpico debiera incluir muchos hilos (threads) de ejecucin concurrente, algunos sirviendo a sus clientes y otros ejecutando crawlers Web. En el Ejercicio 2. se invita al lector a considerar el nico tema de sincronizacin que se presenta en un buscador concurrente del tipo descrito aqu. Servicios proporcionados por mltiples servidores. Los servicios pueden implementarse como distintos procesos de servidor en computadores separados interaccionando, cuando (necesario, para proporcionar un servicio a los procesos clientes (vase la Figura 2.3). Los servid res pueden dividir el conjunto de objetos en los que est basado el servicio y distriburselos entre ellos mismos, o pueden mantener copias replicadas de ellos en varias mquinas. Estas dos opciones se ilustran en los ejemplos siguientes. El Web proporciona un ejemplo tpico de particin de datos en el que cada servidor Web administra su propio conjunto de recursos. Un usuario puede emplear un navegador para acceder al recurso en cualquiera de los servidores.

Figura 2.3. Un servicio proporcionado por mltiples servidores

La replicacin se utiliza para aumentar las prestaciones y disponibilidad y para mejorar la tole rancia a fallos. Proporciona mltiples copias consistentes de datos en proceso que se ejecutan en diferentes computadores. Por ejemplo, el servicio Web proporcionado por altavista.digital.com se encuentra redirigido hacia varios servidores con la base de datos replicada en memoria. Otro ejemplo de un servicio basado en datos replicados es el servicio de Informacin de Red de Sun (NIS, Network Information Service), que se utilizara en una red de rea local (LAN) cuando los usuarios entran en el sistema. Cada servidor NIS tiene su propia rplica del archivo de contraseas que contiene una lista de los nombres de usuario y las claves de acceso criptografiadas. En el Captulo 14 se discutirn con detall las tcnicas de replicacin. Servidores Proxy y cachs. Una cach es un almacn de objetos de datos utilizados recientemente, y que se encuentra ms prximo que los objetos en s. Al recibir un objeto nuevo en un computador se aade al almacn de la cach, reemplazando, si fuera necesario, algunos objetos existentes. Cuando se necesita un objeto en un proceso cliente, el servicio cach comprueba inicialmente la cach y le proporciona el objeto de una copia actualizada. Si no, se buscar una copia actualizada. Las cachs pueden estar ubicadas en cada cliente o en un servidor proxy que puede compartirse desde varios clientes. Las cachs se utilizan intensivamente en la prctica. Los navegadores Web mantienen una cach de las pginas visitadas recientemente, y de otros recursos Web, en el sistema local de ficheros del cliente; entonces utilizan una peticin especial HTTP para comprobar si dichas pginas han sido actualizadas en el servidor antes de sacarlas en pantalla. Los servidores proxy para el Web (vase la Figura 2.4) proporcionan una cach compartida de recursos Web a las mquinas cliente de uno o ms sitios. El propsito de los servidores proxy es incrementar la disponibilidad y prestaciones del servicio, reduciendo la carga en redes de rea amplia y en servidores Web. Los servidores proxy pueden desempear otros roles, por ejemplo, pueden ser utilizados para acceder a servidores Web remotos a travs de un cortafuegos. Procesos de igual a igual. En esta arquitectura todos los procesos desempean tareas semejantes, interactuando cooperativamente como iguales para realizar una actividad distribuida o cmputo sin distincin entre clientes y servidores. En este modelo, el cdigo en los procesos parejos o iguales mantiene la consistencia de los recursos y sincroniza las acciones a nivel de la aplicacin cuando es necesario. La Figura 2.5 muestra un ejemplo con tres instancias de esta situacin; en general, n procesos parejos podrn interactuar entre ellos, dependiendo el patrn de comunicacin de los requisitos de la aplicacin.

34

Sistemas distribuidos

Figura 2.4. Un servidor proxy de tipo Web. La eliminacin del proceso servidor reduce los retardos de comunicacin entre procesos al acceder a objetos locales. Considrese una aplicacin de pizarra distribuida que permite que usuarios en varios computadores vean y modifiquen interactivamente un dibujo que se comparte entre ellos (Floyd y otros [1997] es un ejemplo). Esto puede implementarse con un proceso de aplicacin en cada sitio y que se basa en capas de middleware para realizar notificacin de eventos y comunicacin a grupos para indicar a todos los procesos de la aplicacin de los cambios en el dibujo. Esto proporciona, a los usuarios de objetos distribuidos compartidos, una respuesta interactiva mejor de la que se puede obtener con una arquitectura basada en servidor.

2.2.3. VARIACIONES EN EL MODELO DE CLIENTE-SERVIDOR

Podemos distinguir distintas variaciones del modelo cliente-servidor, dependiendo de la consideracin de los factores siguientes: El uso de cdigo mvil y agentes mviles. Las necesidades de los usuarios de computadores de coste bajo y con recursos hardware limi ados, t que son muy sencillos de manejar. El requisito de aadir o eliminar de una forma conveniente dispositivos mviles.

Figura 2.5. Una aplicacin distribuida basada en procesos de igual a igual.

Figura 2.6. Applets de tipo Web. Cdigo mvil. En el Captulo 1 se introdujo el concepto de cdigo mvil. Los applets son el ejemplo ms conocido y ms ampliamente extendido de cdigo mvil; un usuario que ejecute un navegador y que seleccione un enlace con un applet, cuyo cdigo est almacenado en un servidor Web, descargar el cdigo en el navegador y se ejecutar all (tal y como se ve en la Figura 2.6). Una ventaja de ejecutar el cdigo descargado localmente es que puede proporcionar una buena respuesta interactiva puesto que no sufre ni de los retardos ni de la variabilidad del ancho de banda asociados con la comunicacin en red. Acceder a los servicios significa ejecutar cdigo que pueda invocar sus operaciones. Algunos servicios estn probablemente tan estandarizados que podemos acceder a ellos mediante una aplicacin existente y bien conocida, el Web es el ejemplo ms comn, pero incluso en este caso, algunos sitios Web utilizan funcionalidades que no se encuentran en los navegadores estndar y precisan la descarga de cdigo adicional. Este cdigo adicional puede, por ejemplo, comunicar con el servidor. Consideremos una aplicacin donde se necesite que los usuarios dispongan de informacin actualizada segn se hagan cambios en el origen de los datos en el servidor. Esto no se puede conseguir mediante las interacciones normales con el servidor Web, que siempre se inician por parte del cliente. La solucin es utilizar software adicional que trabaja de una forma a la que a veces se refiere como modelo push, donde el servidor, en lugar del cliente, es el que inicia las interacciones. Por ejemplo, un corredor de bolsa puede proporcionar un servicio personalizado para notificar a los usuarios los cambios en las cotizaciones; para utilizar dicho servicio, cada usuario debiera haber descargado un applet especial, que recibe las actualizaciones del servidor del corredor, las presenta en pantalla al usuario y quiz realiza operaciones automticas de compra y venta, desencadenadas por las condiciones prefijadas por el usuario y almacenados localmente en el computador del mismo. En el Captulo 1 se ha mencionado que el cdigo mvil es una amenaza potencial de seguridad para los recursos locales en el computador destino. Es as que, los navegadores proporcionan un acceso restringido a los recursos locales, siguiendo un esquema como el que se ver en la Seccin 7.1.1. Agentes mviles. Un agente mvil es un programa en ejecucin (lo que incluye tanto cdigo como datos) que se traslada de un computador a otro en la red realizando una tarea para alguien; por ejemplo, recolectando informacin, y retornando eventualmente con los resultados. Un agente mvil puede hacer muchas solicitudes a los recursos locales de los sitios que visita, por ejemplo, accediendo a anotaciones individuales en una base de datos. Si se compara esta arquitectura con un cliente esttico que realiza solicitudes de algunos recursos, transfiriendo posiblemente

36

Sistemas distribuidos

grandes cantidades de datos, hay una reduccin en el coste de la comunicacin y en el tiempo con la sustitucin de las solicitudes remotas por las locales. Se pueden utilizar agentes mviles para instalar y mantener software en los computadores de una organizacin, o comparar los precios de los productos de un nmero de vendedores visitando el sitio de cada vendedor y realizando una serie de operaciones sobre la base de datos. Un ejemplo inicial, con una idea similar, es el llamado programa gusano (worm) des arrollado en Xerox PARC [Shoch and Hupp 1982], y que se dise para utilizar los computadores desocupados con el fin de realizar clculos intensivos. Los agentes mviles (como el cdigo mvil) son una amenaza potencial de seguridad para los recursos de los computadores que visitan. El entorno que recibe el agente mvil debe decidir a cul de los recursos locales le estar permitido tener acceso, en base a la identidad del usuario en cuyo nombre est actuando el agente; la identidad de ste debe incluirse de una forma segura en el cdigo y los datos del agente mvil. Adems, los agentes mviles tambin pueden ser vulnerables, y pueden no ser capaces de finalizar su tarea si se les niega el acceso a la informacin que necesitan. Las tareas realizadas por agentes mviles pueden realizarse por otros medios. Por ejemplo, los escaladores (crawlers) Web que necesitan acceder a recursos en servidores Web a travs de Internet trabajan bastante bien realizando invocaciones remotas a los procesos del servidor. Por estas razones, la aplicabilidad de agentes mviles puede ser limitada. Computadores de red. En la arquitectura representada en la Figura 1.2, las aplicaciones se ejecutan en un computador de oficina local del usuario. El sistema operativo y el software de aplicacin para computadores de oficina necesitan normalmente que gran parte del cdigo y datos activos estn ubicados en un disco local. Pero la gestin de los archivos de aplicacin y el mantenimiento del software de base local precisa un esfuerzo tcnico considerable y de una naturaleza que la mayora de los usuarios no estn cualificados para proporcionarlo. El computador de red es una respuesta a este problema. Descarga su sistema operativo y cualquier aplicacin software que necesite el usuario desd e un servidor de archivos remoto. Las aplicaciones se lanzan localmente pero los archivos se gestionan desde un servidor de archivos remoto. Tambin pueden ejecutarse aplicaciones en red, como un navegador Web. Como todos los datos y el cdigo de las aplicaciones estn almacenados en un servidor de archivos, los usuarios pueden migrar de un computador de red a otro. Las capacidades de procesador y de memoria de un computador de red pueden restringirse con el fin de reducir el coste. Si se incluyera un disco, alojara un software mnimo. El resto del disco se utilizara como almacenamiento intermedio (cach) manteniendo copias de los archivos de programas y datos que hayan sido cargados recientemente desde los servidores. El mantenimiento de la cach no precisa esfuerzo manual alguno: los objetos en la cach se invalidan cuando se escribe una nueva versin del archivo en el servidor relevante. Clientes ligeros. El trmino cliente ligero se refiere a una capa de aplicacin que soporta una interfaz de usuario basada en ventanas sobre un computador local del usuario mientras se ejecutan programas de aplicacin en un computador remoto (Figura 2.7). Esta arquitectura tiene los mismos costes bajos de gestin y hardware que en el esquema de computador de red, pero en lugar de descargar el cdigo de las aplicaciones en el computador del usuario, se ejecutan en un servidor de cmputo, un potente computador que tiene capacidad para ejecutar gran nmero de aplicaciones simultneamente. El servidor de cmputo ser norma lmente un multiprocesador o un sistema de computadores fuertemente acoplado (cluster) (vase el Captulo 6), y que ejecuta una versin multiprocesador de un sistema operativo como UNIX o Windows NT. El principal inconveniente de una arquitectura de cliente ligero se encuentra en actividades grficas fuertemente interactivas, como CAD o proceso de imagen, en las que los retrasos experimentados por los usuarios se ven aumentados por la necesidad de transferir imgenes e informacin

Modelos de sistema

37

Figura 2.7. Clientes ligeros y servidores de clculo.


vectorial entre el cliente ligero y los procesos de aplicacin, padeciendo latencias tanto de red como de sistema operativo. Implementaciones de clientes ligeros: Los sistemas de clientes ligeros son sencillos en concepto y sus implementaciones son inmediatas en algunos entornos. Por ejemplo, la mayora de las variantes de UNIX incluyen el sistema de ventanas X- 11 que se describe en el recuadro sombreado de la pgina siguiente. Existen varios puntos en el flujo de las operaciones grficas que se precisan para soportar una interfaz grfica de usuario en los que se puede establecer la frontera entre cliente y servidor. X11 establece la frontera a nivel de las primitivas grficas para dibujar lneas y formas y para el manejo de ventanas. El producto WinFrame de Citrix [www.citrix.com es una implementacin comercial del concepto de cliente ] ligero, utilizada ampliamente, que funciona de una forma similar. Este pro ducto proporciona un cliente ligero que puede ejecutarse en una gran variedad de plataformas y soporta un entorno (desktop) que proporciona acceso interactivo a las aplicaciones corriendo en mquinas Windows NT. Otras aproximaciones incluyen los sistemas de computadores de red virtual (Teleporting y Virtual Network Computer, VNC) desarrollados en los laboratorios AT&T de Cambridge, Inglaterra [Richardson y otros, 1998]. VNC establece la frontera en el nivel de operaciones de pxeles en pantalla y mantiene el contexto grfico para los usuarios cuando stos se mueven entre computadores. Dispositivos mviles y enlace espontneo a red. Como ya se ha explicado en el Captulo 1, el mundo est cada vez ms poblado de dispositivos de cmputo pequeos y porttiles, incluyendo computadores porttiles, dispositivos de mano como asistentes personales digitales (PDA), telfonos mviles y cmaras digitales, computadores que se pueden llevar encima como relojes y dispositivos insertados en aparatos de hogar como en la vadoras. Muchos de estos dispositivos permiten su conexin a una red sin cable, de rango metropolitano o ms grandes (GSM, CDPD), cientos de metros (Wavelan), o unos pocos metros (Blue Tooth, infrarrojos y HomeRF). Las redes de rango ms pequeo tienen anchos de banda del orden de hasta 10 megabits/segundo; GSM promete anchos de banda del orden de cientos de kilobits/segundo. Con la integracin apropiada en nuestros sistemas distribuidos, estos dispositivos dan soporte para la computacin mvil (vase la Seccin 1.2.3), en la que los usuarios llevan sus dispositivos mviles entre los entornos de red y se benefician de los servicios locales y remotos segn se mueven. La forma de distribucin que integra dispositivos mviles y otros dispositivos en una red determinada se describe quiz mejor por el trmino enlace a red espontneo. Este trmino se utiliza para abarcar aplicaciones que implican conexin de dispositivos tanto mviles como fijos de una forma ms informal de lo que ha sido hasta ahora. Los dispositivos insertados en aparatos proporcionan servicios a los usuarios y a otros dispositivos parecidos, los dispositivos transportables como PDA proporcionan al usuario acceso a los servicios en su posicin actual, as como a servicios globales como el Web.

En el Captulo 1 se vio el caso de un usuario visitando una organizacin que acta como anfitrin. En la Figura 2.8 se ve otro ejemplo de conexin espontnea a la red, en ella se puede observar una red inalmbrica que cubre una estancia de un hotel. Los sistemas de alta fidelidad de la habitacin dan servicio de msica, en el que los usuarios pueden dirigir cualquier combinacin de selecciones musicales hacia los altavoces de la habitacin o el bao, o a los auriculares inalmbricos. El sistema de alarma da un servicio de despertador mediante el servicio de msica. El TV/PC (televisin ms caja aadida) sirve tanto de televisin como de PC. Permite acceder al Web (mediante la pasarela del hotel a Internet), incluyendo una interfaz basada en el Web para todos los servicios del hotel. Proporciona un servicio de visualizacin para las imgenes que el usuario ha almacenado en su cmara digital o videocmara. Tambin puede servir al usuario sus aplicaciones favoritas, bajo cierto coste de arrendamiento. La figura muestra los dispositivos que el usuario ha llevado a la suite del hotel: un computador porttil, una cmara digital y una agenda porttil (PDA), cuyas posibilidades a travs de infrarrojos le permiten actuar como un controlador universal (similar al control remoto de una televisin pero que se puede utilizar para controlar varios dispositivos en la habitacin del hotel, incluyendo el servicio de iluminacin y de msica). Aunque algunos de los dispositivos del hotel, como impresoras y mquinas de venta automticas no suelen ser porttiles, existe un requisito para presentarlas con la mnima intervencin humana. Su conexin a la red y el acceso a los servicios de red deben ser posibles sin que sea preciso notificarlo previamente o realizar cualquier gestin administrativa previa. Las caractersticas esenciales de la conexin a red espontnea son: Conexin fcil a la red local: los enlaces sin cable eliminan la necesidad de cableado preinstalado y eliminan el inconveniente y las cuestiones de fiabilidad que rodean a los conectores y enchufes. Slo existen aquellos enlaces que pueden mantenerse aunque haya movimiento (en trenes, aviones, coches, bicicletas o barcos). Un dispositivo colocado en un nuevo entorno de red se reconfigura de modo transparente para conectarse all; el usuario no tiene que introducir los nombres o direcciones de los servicios locales para obtenerlo. Integracin fcil con servicios locales: los dispositivos que se encuentran insertados (y mo vindose) entre redes existentes de dispositivos descubren automticamente qu servicios se proporcionan, sin acciones especiales de configuracin por el usuario. En el ejemplo del hotel,

Modelos de sistema

39

Figura 2.8. Intercomunicacin espontnea en un hotel.

la cmara digital del husped descubre servicios de visualizacin, como los de TV/PC, autom ticamente, de modo que el husped puede enviar las imgenes almacenadas de la cmara a la pantalla. El enlace a red espontneo conlleva algunas caractersticas de diseo significativas. Primero, est el reto de dar soporte a una conexin e integracin adecuadas. Por ejemplo, los algoritmos de direccionamiento y rutado de Internet suponen que los computadores estn ubicados en una subred particular. Si un computador se mueve a otra subred requiere otra direccin de Internet. En el Ca ptulo 3 se discute una aproximacin a este problema. Para usuarios mviles se presentan otras cuestiones. stos ven limitada su conectividad cuando viajan, y la naturaleza espontnea de su conexin incrementa los problemas de seguridad. Conectividad limitada: los usuarios no siempre estn conectados cuando se desplazan. Por ejemplo, al viajar en un tren por un tnel pueden estar desconectados eventualmente de su red inalmbrica. Tambin pueden desconectarse durante largos perodos de tiempo en zonas sin cobertura o cuando el permanecer conectado sea demasiado costoso. El tema es aqu cmo puede el sistema dar soporte a un usuario para que siga trabajando mientras est desconectado. Este punto se discutir en el Captulo 14. Seguridad y privacidad: en un escenario como el del husped de un hotel se presentan muchas cuestiones de seguridad y privacidad personal. El hotel y sus huspedes son vulnerables a los ataques de seguridad de los empleados y de otros huspedes del hotel, que intenten conexiones inalmbricas de formas no supervisadas. Algunos sistemas siguen las direcciones fsicas de los usuarios a medida que stos se mueven (como los sistemas basados en insignias activas [Want y otros 1992]), y esto puede amenazar la privacidad de los usuarios. Por ltimo, una instalacin que permita a los usuarios acceder a su Intranet mientras se mueven puede exponer los datos, que se supone permanecen detrs del cortafuegos de la Intranet, o pueden abrir la Intranet a ataques del exterior. Servicios de deteccin: El enlace espontneo a red necesita procesos clientes ejecutndose en los dispositivos porttiles, y otros aparatos, para acceder a los servicios de las redes a las que estn conectados. Pero en un mundo de dispositivos que realizan diversas funciones, cmo pueden conectarse los clientes a los servicios que necesitan para completar sus tareas habituales? Vamos a detallar esto en el contexto de un ejemplo especfico: al volver al hotel, nuestro husped desea ver

40 Sistemas distribuidos

algunas fotografas que ha tomado con una cmara digital, imprimir algunas para su uso local y enviar una seleccin a su casa electrnicamente. Su habitacin tiene una TV/PC. El hotel podra tener un servicio de impresin digital de color, o en caso contrario, probablemente dispone de un servicio de fax. No se puede esperar que cada fabricante de impresoras implemente exactamente el mismo protocolo para que los clientes accedan a su servicio de impresin. Incluso si ste fuera el caso, los clientes pueden construirse adaptables, como nuestro ejemplo parece plantear: una cmara digital del cliente puede mostrar las fotografas en el aparato de TV local o enviarlas al fax del hotel. Lo que se necesita es un medio que permita a los clientes descubrir qu servicios estn disponibles en la red a la que estn conectados e investigar sus propiedades. El propsito de un servicio de deteccin (o descubrimiento) es aceptar y almacenar detalles de los servicios que estn disponibles en la red y responder a las consultas de los clientes sobre los mismos. De forma ms precisa, un servicio de descubrimiento ofrece dos interfaces: Un servicio de admisin que acepta solicitudes de ingreso de los servidores y almacena sus detalles en la base de datos del servicio de descubrimiento. Un servicio de bsqueda que acepta consultas relacionadas con los servicios disponibles y busca en su base de datos aquellos servicios registrados que coinciden con las consultas. El resultado obtenido ofrecera detalles suficientes para permitir a los usuarios seleccionar entre distintos servicios semejantes, basndose en sus atributos, y hacer una conexin a uno o ms de ellos. Volviendo al ejemplo, un servicio de descubrimiento en el hotel incluye detalles de los servicios de impresin y visualizacin disponibles en el hotel, con detalles como el nmero de habitacin en la que est situada la pantalla o la impresora, la calidad (resolucin) del dispositivo, modelos de ima gen que acepta el dispositivo, posibilidades de color, etc. La cmara digital del husped consulta al servicio de descubrimientos los servicios de impresin y visualizacin, procesa la lista resultante por proximidad a la habitacin en la que est localizada, y por compatibilidad con su modelo de imgenes, y ofrece al usuario un men de los dispositivos adecuados. El usuario selecciona la TV/ PC de su habitacin o una impresora y enva algunas imgenes. El resto de imgenes se pueden enviar a la familia, o a los amigos, como anexos en un correo electrnico. El Captulo 9 incluye una revisin ms profunda de los servicios de descubrimiento.

2.2.4. INTERFACES Y OBJETOS Una definicin de interfaz de un proceso (ya sea en el modelo cliente-servidor o de comunicacin entre iguales) es la especificacin del conjunto de funciones que se pueden invocar sobre l. En el Captulo 5 se describir totalmente este concepto, aunque sonar familiar a aquellos que hayan trabajado con lenguajes como Modula, C++ o Java. En la forma bsica de la arquitectura cliente-servidor, se considera cada proceso servidor como una entidad aislada con una interfaz prescrita que define las funciones que ofrece. En lenguajes orientados a objetos como C++ y Java, con un soporte adicional apropiado, los procesos distribuidos pueden ser construidos de una forma ms orientada al objeto. En un proceso de servicio o entre iguales es posible encapsular multitud de objetos. Las referencias a estos objetos se pasan a otros procesos de forma que se pueda acceder a sus mtodos mediante invocaciones remotas. sta es la aproximacin adoptada por CORBA, y Java con su mecanismo de invocacin remota de mtodos (RMI). En este modelo, el nmero y los tipos de los objetos alojados por cada proceso pueden variar como lo requieran las actividades del sistema (en lenguajes que soportan cdigo mvil como Java); incluso, en algunas implementaciones, tambin las ubicaciones de los objetos.

Modelos de sistema

41

Tanto si adoptamos una arquitectura cliente-servidor esttica o el modelo orientado a objetos, ms dinmico, esbozado en el prrafo anterior, la distribucin de responsabilidades entre procesos y entre computadores sigue siendo un aspecto importante del diseo. En el modelo arquitectnico tradicional, las responsabilidades se reservan estticamente (un servidor de ficheros, por ejemplo, es slo responsable de los ficheros, no de las pginas Web, sus proxies u otros tipos de objetos). Pero en el modelo orientado a objetos los nuevos servicios, y en algunos casos los nuevos tipos de objeto, pueden ser instanciados e inmediatamente estar disponibles para la invocacin.

2.2.5. REQUISITOS DE DISEO PARA ARQUITECTURAS DISTRIBUIDAS Los factores que motivan la distribucin de objetos y procesos en un sistema distribuido son nume rosos y de considerable significado. La idea de compartir se logr, por vez primera, en los sistemas de tiempo compartido de los aos sesenta con la utilizacin de archivos compartidos. Los beneficios de la comparticin fueron reconocidos rpidamente y se explotaron en sistemas operativos como Oracle para permitir que los procesos compartieran recursos, dispositivos (capacidad de almacenamiento para ficheros, impresoras, secuencias de audio y de vdeo) y procesos de aplicacin para compartir objetos de aplicacin. La llegada de potencia de cmputo barata, en forma de chips de microprocesador, elimin la necesidad de compartir los procesadores centrales. La disponibilidad de redes de computadores de prestaciones medias y la continua necesidad de compartir recursos de hardware relativamente costosos como impresoras y almacenamiento en disco condujeron al desarrollo de los sistemas distribuidos de los aos setenta y ochenta. Hoy, el compartir recursos se da por descontado. Pero compartir datos en gran escala de forma efectiva contina sie ndo un reto mayor; con datos que cambian (y la mayora de los datos cambian en el tiempo), aparece la posibilidad de actualizaciones concurrentes y conflictivas. El control de las actualizaciones concurrentes en datos compartidos es el tema de los Captulos 12 y 13. Temas de prestaciones. Los retos que surgen de la distribucin de recursos aumentan la necesidad de gestin de las actualizaciones concurrentes. Los temas de prestaciones que se presentan por las limitadas capacidades del proceso y comunicacin de los computadores y las redes se consideran bajo los siguientes epgrafes: Capacidad de respuesta (Responsiveness): Los usuarios de aplicaciones interactivas necesitan rapidez y consistencia en las interfaces, pero, a menudo, los programas cliente necesitan acceder a recursos compartidos. Cuando est implicado un servicio remoto, la velocidad a la que se genera la respuesta est determinada no slo por la carga y prestaciones del servidor y la red sino tambin por los retardos de todos los componentes software implicados, la comunicacin entre los sistemas operativos del cliente y del servidor y los servicios middleware (soporte para invocacin remota, por ejemplo) as como el cdigo del proceso que implementa el servicio. En resumen, la transferencia de datos entre los procesos y la conmutacin del control es relativamente lenta, incluso cuando los procesos residen en el mismo computador. Para obtener buenos tiempos de respuesta, los sistemas deben estar compuestos de relativamente pocas capas de softwa re y la cantidad de datos transferidos entre el cliente y el servidor debe ser pequea. Estas cuestiones se pueden ver en las prestaciones de los visualizadores web clientes, donde se obtiene una respuesta ms rpida cuando se accede localmente a pgin as e imgenes de la cach, por lo que se encuentran almacenadas en la aplicacin cliente. El acceso a pginas de texto remo tas se produce con una rapidez razonable porque son pequeas, pero las imgenes grficas se retrasan mucho ms por el volumen de datos implicado. Productividad (Throughput): Una medida tradicional de prestaciones para computadores es la productividad, la rapidez a la que se realiza el trabajo computacional. La capacidad de un sistema

42 Sistemas distribuidos

distribuido para realizar el trabajo para todos sus usuarios es importante. Y depende de las velocidades de proceso de los clientes y los servidores y de las tasas de transferencia de datos. Los datos que estn localizados en un servidor remoto deben transferirse del proceso servidor al proceso cliente pasando a travs de varias capas en ambos computadores. La productividad de las capas de software que intervienen es bastante importante, as como la de la red. Balance de cargas computacionales: Uno de los propsitos de los sis temas distribuidos es permitir que las aplicaciones y los procesos de servicio evolucionen concurrentemente sin competir por los mismos recursos y explotando los recursos computacionales disponibles (procesador, me moria y capacidades de red). Por ejemplo, la capacidad para ejecutar applets en los computadores cliente elimina carga del servidor Web, permitiendo proporcionar un mejor servicio. Un ejemplo ms significativo est en el uso de varios computadores para alojar un nico servicio. Esto se necesita, por ejemplo, en algunos servidores Web excesivamente cargados (mquinas de bsqueda, grandes lugares comerciales). Esto explota la funcionalidad del servicio de bsqueda de nombres de dominio DNS para devolver una de las varias direcciones de host para un nico nombre de dominio (se ver en la Seccin 9.2.3). En algunos casos, el balance de cargas puede implicar mover el trabajo parcialmente completado, como carga a un computador alternativo. Calidad de servicio. Una vez que se proporciona a los usuarios la funcionalidad que precisan de un servicio, como el servicio de archivos en un sistema distribuido, nos podemos plantear preguntas sobre la calidad del servicio proporcionado. Las principales propiedades no funcionales de los sistemas, que afectan a la calidad del servicio experimentado por los clientes y usuarios, son: fiabilidad seguridad y prestaciones. La facilidad de adaptacin (adaptability) para adecuar configuraciones variables de sistema y disponibilidad de recursos ha sido reconocida recientemente como otro aspecto importante de la calidad del servicio. Birman ha indagado profundamente en la importancia de estos aspectos de calidad, y su libro [Birman 1996] proporciona algunas perspectivas interesantes de su impacto en el diseo del sistema. Los aspectos de fiabilidad y seguridad son crticos en el diseo de la mayora de los sistemas de computadores. stos estn fuertemente relacionados con dos de nuestros modelos fundamentales: el modelo de fallos y el de seguridad que se introducirn en las Secciones 2.3.2 y 2.3.3. Los aspectos de prestaciones de la calidad del servicio se definan, hasta hace poco, en trminos de la respuesta y la productividad computacional, pero recientemente ha sido redefinido en trminos de la capacidad para proporcionar las garantas oportunas, como se describe en los siguientes prrafos. Con cualquiera de estas definiciones, el aspecto de las prestaciones de los sistemas distribuidos est fuertemente relacionado con el modelo de interaccin definido en la Seccin 2.3.1. Los tres modelos fundamentales son puntos de referencia importantes a lo largo del libro. Algunas aplicaciones mantienen datos crticos en el tiempo, flujos de datos que precisan ser procesados o transferidos de un proceso a otro a una tasa prefijada. Por ejemplo, un servicio de pelculas puede constar de un programa cliente que est recuperando una pelcula de un servidor de vdeo y presentndolo en la pantalla del usuario. Para un resultado satisfactorio los sucesivos marcos de imgenes deben presentarse al usuario dentro de unos lmites de tiempo especificados. De hecho, se ha recomendado la abreviatura QoS (Quality of Service) para referirse a la capacidad de los sistemas para satisfacer dichos tiempos lmites. Su consecucin depende de la disponibilidad de los recursos necesarios de computacin y de red en los instantes adecuados. Esto implica un requisito para que el sistema proporcione recursos garantizados de computacin y comunicacin que sean suficientes para permitir a las aplicaciones fina lizar cada tarea a tiempo (por ejemplo, una tarea para colocar en pantalla un marco de vdeo). Las redes que se utilizan hoy normalmente, por ejemplo para navegar en el Web, pueden tener buenas caractersticas de prestaciones, pero cuando estn cargadas intensamente sus prestaciones

Modelos de sistema

43

se deterioran significativamente, por lo que no se puede decir que proporcionen calidad de servicio. La calidad de servicio se aplica tanto a los sistemas operativos como a las redes. Cada recurso crtico debe reservarse para las aplicaciones que requieren QoS y deben ser los gestores de los recursos los que proporcionen las garantas. Las solicitudes de reserva que no se puedan cumplir se rechazan. Estos temas se considerarn adems en el Captulo 15. Uso de cach y de replicacin. Los temas de prestaciones esbozados anteriormente resultan ser, a menudo, los principales obstculos para el correcto lanzamiento de los sistemas distribuidos, aunque se han hecho nuevos progresos en el diseo de los sistemas, que los superan utilizando replicacin y cach. La Seccin 2.2.2 introdujo la cach y los servidores Web proxy, sin discutir cmo las copias de los recursos en la cach pueden mantenerse actualizadas cuando se actualiza el recurso en el servidor. Para favorecer a diferentes aplicaciones se utiliza una variedad de protocolos de consistencia de cach; por ejemplo, en el Captulo 8 se detallarn los protocolos utilizados por dos diseos diferentes de servidores de archivos. Aqu esbozamos el protocolo de cach de Web que forma parte del protocolo HTTP, que se describir en la Seccin 4.4. Protocolo de cach de Web: Tanto las cachs de los navegadores Web como de los servidores proxy responden a las solicitudes a los servidores Web. Por tanto, una solicitud del cliente puede ser satisfecha por una respuesta en la cach del navegador o del servidor proxy entre l y el servidor Web. El protocolo de consistencia de cach puede configurarse para proporcionar a los navegadores copias recientes (razonablemente actualizadas) de los recursos controlados por el servidor de Web. Pero, para permitir prestaciones, disponibilidad y operacin desconectada, puede relajarse la condicin de actualizacin. Un navegador o un proxy pueden validar una respuesta de la cach comprobando con el servidor Web original para ver si estaba actualizada. Si la comprobacin falla, el servidor devuelve una copia actualizada, que se guardar en la cach en lugar de la antigua. Cada navegador y cada proxy validan las respuestas de la cach cuando los clientes solicitan los recursos correspondientes. Pero, no necesitan realizar una validacin si la respuesta almacenada est suficientemente actualizada. Incluso aunque los servidores Web conozcan cundo se ha actualizado un recurso, no lo notifica al navegador o proxy con cach, para poder hacer esto el usuario necesitara mantener un registro de cada navegador y cada proxy interesado en cada uno de sus recursos. Para permitir que un navegador o un proxy determinen si sus respuestas almacenadas estn obsoletas, los servidores Web asignan tiempos de expiracin aproximada a sus recursos, estimados, por ejemplo, desde la ltima vez que fueron actualizados. Un tiempo de expiracin puede resultar incorrecto, dado que un recurso Web puede actualizarse en cualquier instante. Cuando un servidor Web responde a una solicitud, el tiempo de expiracin del recurso y el tiempo actual del servidor se adjuntan a la respuesta. Cada navegador y proxy almacena el tiempo de expiracin y el del servidor junto con la respuesta que se almacena en la cach. Esto permite que un navegador o proxy que reciban futuras solicitudes calculen si la respuesta almacenada en la cach est obsoleta. Esto se calcula comparando su edad con el tiempo de expiracin. La edad de una respuesta es la suma del tiempo en el que la respuesta fue guardada en la cach y el tiempo del servidor. Hay que sealar que este clculo no depende de que los relojes del servidor Web y del navegador o proxy estn de acuerdo entre s. Aspectos de fiabilidad. La fiabilidad es un requisito en la mayora de los dominios de aplicacin. Es crucial no slo en actividades de control y gobierno, en las que la vida puede estar en juego, sino tambin en muchas aplicaciones comerciales, incluyendo las de comercio en Internet, que han experimentado un notable crecimiento, en las que la seguridad y solidez financiera de los participantes depende de la fiabilidad de los sistemas sobre los que operan. En la Seccin 2.1 se ha definido la fiabilidad de los sistemas informticos como correccin, seguridad y tolerancia a fallos. Aqu se discute el impacto arquitectnico de las necesidades de seguridad y tolerancia a fallos, dejando la descripcin de las tcnicas relevantes para su consecucin para ms adelante en el

44

Sistemas distribuidos

libro. El desarrollo de tcnicas para comprobar y asegurar la correccin de los programas distribuidos y concurrentes es un tema de investigacin actual e importante. A pesar de presentar resultados prometedores, slo algunos de stos se encuentran suficientemente maduros para su implantacin en aplicaciones reales. Tolerancia frente a fallos: Las aplicaciones estables deben continuar funcionando correctamente en presencia de fallos en el hardware, el software y las redes. La fiabilidad se consigue introduciendo redundancia; proporcionando mltiples recursos de modo que el software de sistema y aplicacin pueda ser reconfigurado y seguir realizando sus tareas en presencia de fallos. La redundancia es costosa y existen lmites a la amplitud en que puede ser empleada; en consecuencia tambin hay lmites en el grado de tolerancia que puede obtenerse. A nivel arquitectnico, la redundancia precisa el empleo de varios computadores donde lanzar cada proceso componente del sistema y mltiples caminos de comunicacin sobre los que transmitir los mensajes. Los datos y los procesos pueden replicarse donde quiera que sea necesario para proporcionar el debido nivel de tolerancia a fallos. Una forma usual de redundancia es la presencia de varias rplicas de los datos en diferentes computadores; en tanto en cuanto uno cualquiera de los computadores contine funcionando, se podr acceder a los datos. Algunas aplicaciones crticas, tales como los sistemas de control de trfico areo, precisan un alto nivel de garantas en cuanto a la tolerancia frente a fallos, lo que implica un alto coste de mantenimiento de la actualizacin de las mltiples rplicas existentes. En el Captulo 14 se discute esta materia ms profundamente. Para hacer fiables los protocolos de comunicacin se emplean otras tcnicas. Por ejemplo, los mensajes se retransmiten hasta que se ha recibido un mensaje de reconocimiento. La fiabilidad de los protocolos subyacentes a RMI se cubren en los Captulos 4 y 5.

Seguridad: El impacto arquitectnico de los requisitos de seguridad afecta a la necesidad de ubicar los datos y otros recursos sensibles slo en aquellos computadores equipados de un modo eficaz contra ataques. Por ejemplo, una base de datos de un hospital alojar registros con un componente sensible sobre los pacientes y slo ciertos empleados podrn acceder a ellos, mientras que otros componentes de los mismos registros pueden estar disponibles ms ampliamente. No sera apropiado construir un sistema en el que al acceder a los datos de un paciente se descargara el registro completo de ste en el computador de sobremesa del usuario, dado que el computador tpico de sobremesa no constituye un entorno seguro, y los usuarios podran lanzar programas para acceder o actualizar cualquier parte de los datos almacenados en su computador personal. En la Seccin 2.3.3 se presenta un modelo de seguridad que trata con requisitos amplios para la seguridad, el Captulo 7 describir las tcnicas disponibles para obtenerlo.

Todos los modelos de sistemas anteriores, aunque bien diferentes, comparten algunas propiedades fundamentales. En particular, todos ellos se componen de procesos que se comunican unos con otros mediante el envo de mensajes en una red de computadores. Todos los modelos comparten los requisitos de diseo dados en la seccin previa, y que conciernen principalmente a las caractersticas de prestaciones y fiabilidad de los procesos y las redes, y a la seguridad de los recursos en el sistema. En esta seccin, presentamos modelos basados en las propiedades fundamentales que nos permiten ser ms especficos sobre las caractersticas y los riesgos de fallos y seguridad que puedan exhibir. En general, un modelo contiene solamente aquellos ingredientes esenciales que necesitamos para comprender y razonar sobre algunos aspectos del comportamiento del sistema. Un modelo de sistema debe tratar las siguientes cuestiones:

Cules son las entidades principales en el sistema? Cmo interactan? Cules son las caractersticas que afectan s u comportamiento individual y colectivo? El objetivo de un modelo es: Hacer explcitas todas las premisas relevantes sobre los sistemas que estamos modelando. Hacer generalizaciones respecto a lo que es posible o no, dadas las premisas anteriores. Las generalizaciones pueden tomar la forma de algoritmos de propsito general o de propiedades deseables que se garantizan. Las garantas surgirn del anlisis lgico y, cuando sea pertinente, de la prueba matemtica. Hay mucho que ganar si conocemos lo que hacen y de lo que dependen nuestros diseos, y de lo que no. As podremos decidir si un diseo funcionar si intentamos implementarlo en un sistema particular: slo necesitamos preguntarnos si nuestras premisas son vlidas en ese sistema. A la vez, aclarando y explicitando nuestras premisas, podemos esperar demostrar propiedades del sistema empleando tcnicas matemticas. Estas propiedades valdrn para cualquier sistema que concuerde con nuestras premisas. Finalmente, al abstraer slo entidades y caractersticas esenciales del sistema (y no detalles, como el hardware) podemos arrojar luz sobre nuestra comprensin de estos sistemas. Los aspectos de los sistemas distribuidos que queremos capturar en nuestros modelos fundamentales estn destinados a ayudarnos a discutir y razonar sobre: Interaccin: el cmputo ocurre en los procesos; los procesos interaccionan por paso de mensajes, lo que deviene en comunicacin (esto es, flujo de informacin) y coordinacin (sincronizacin y ordenamiento de actividades) entre procesos. En el anlisis y diseo de los sistemas dis tribuidos trataremos especialmente con estas interacciones. El modelo de interaccin debe reflejar hechos como que la comunicacin tiene lugar con retrasos, que a menudo son de considerable duracin, y la precisin con que la pueden coordinarse procesos independientes est limitada por esos retrasos y por la dificultad de mantener la misma nocin de tiempo en todos los computadores de un sistema distribuido. Fallo: la correcta operacin de un sistema distribuido se ve amenazada all donde aparezca un fallo en cualquiera de los computadores sobre el que se ejecuta (incluyendo fallos de software) o en la red que los conecta. Nuestro modelo define y clasifica los fallos. Esto nos da la base para el anlis is de los efectos potenciales de los fallos y para el diseo de sistemas que tolerando fallos de cualquier tipo puedan seguir funcionando correctamente. Seguridad: la naturaleza modular de los sistemas distribuidos y su extensibilidad los expone a ataques tanto de agentes externos como internos. Nuestro modelo de seguridad define y clasifica los modos en que pueden tener lugar tales ataques, y proporciona una base para el anlisis de las amenazas a un sistema con el fin de disear sistemas capaces de resistirse a ellas. Para discutir y razonar ms fcilmente, los modelos presentados en este captulo estn necesariamente simplificados, omitindose muchos detalles de los sistemas reales. Su relacin con los sistemas del mundo real y la solucin que esos m odelos nos ayudan a traer a colacin, en ese contexto, son el tema principal de este libro. 2.3.1. MODELO DE INTERACCIN La discusin de arquitecturas de sistemas de la Seccin 2.2 indica que los sistemas distribuidos se componen de muchos procesos, y que interactan de formas complejas. Por ejemplo: Mltiples procesos servidores pueden cooperar entre s para proporcionar un servicio; los ejemplos mencionados anteriormente son el Servicio de Nombres de Dominio, que parte y

46 Sistemas distribuidos
replica sus datos en los servidores a lo largo de Internet; y el Servicio de Informacin en Red de Sun, que mantiene copias replicadas de los archivos de contraseas en varios servidores de una red de rea local. Un conjunto de procesos similares pueden cooperar entre s para lograr una meta comn: por ejemplo, un sistema de conferencia para voz que distribuye flujos de datos de audio de forma similar, pero con estrictas restricciones de tiempo real. La mayora de los programadores estarn familiarizados con el concepto de algoritmo: secuencia de pasos que hay que seguir para realizar un cmputo deseado. Los programas simples estn controlados por algoritmos en los que los pasos son estrictamente secunciales. El comportamiento del programa y el estado de las variables del programa est determinado por aqullos. Tal progra ma se ejecuta como un proceso aislado. Los sistemas distribuidos compuestos de varios procesos, tales como los delineados anteriormente, son ms complejos. Su comportamiento y el estado puede describirse mediante un algoritmo distribuido: una definicin de los pasos que hay que llevar a cabo por cada uno de los procesos de que consta el sistema, incluyendo los mensajes de transmisin entre ellos. Los procesos transmiten mensajes de uno a otro para transferir informacin y coordinar su actividad. La tasa con que procede cada proceso y la temporizacin de la transmisin de los mensajes entre ellos no puede predecirse, en general. Tambin es difcil describir todos los estados de un algoritmo distribuido, dado que ste debe tratar con los fallos de uno, o ms, de los procesos involucrados, o el fallo en la transmisin de los mensajes. En un sistema distribuido toda la accin la soportan los procesos que interactan. Cada proceso tiene su propio estado, que consiste en el conjunto de datos a los que puede acceder y actualizar, incluyendo las variables internas al programa. El estado concerniente a cada proceso es completamente privado, esto es, no puede ser accedido o actualizado por otro proceso. En esta seccin, discutiremos dos factores significativos que afectan a los procesos interactuantes de un sistema distribuido: Las prestaciones de las comunicaciones son con frecuencia una caracterstica limitadora. Es imposible mantener una nica nocin global del tiempo. Prestaciones de los canales de comunicaciones. Los canales de comunicacin, en nuestro modelo, se implementan de muchas formas en los sistemas distribuidos; por ejemplo me diante una implementacin de streams o por un simple paso de mensajes sobre la red de computadores. Las caractersticas de prestaciones de la comunicacin sobre una red de computadores incluyen la latencia, el ancho de banda y las fluctuaciones: El retardo entre el envo de un mensaje por un proceso y su recepcin por otro se denomina latencia. La latencia incluye: - El tiempo que se toma en llegar a su destino el primero de una trama de bits transmitidos a travs de una red. Por ejemplo, la latencia para la transmisin de un mensaje mediante un enlace por satlite es el lapso de tiempo en que la seal va y vuelve del satlite. - El retardo en acceder a la red, que es grande cuando la red est muy cargada. Por ejemplo, al transmitir sobre Ethernet la estacin de emisin esperar a que la red est libre de trfico. - El tiempo empleado por los servicios de comunicacin del sistema operativo tanto en el proceso que enva como en el que recibe, y que vara segn la carga actual de cada sistema operativo. El ancho de banda de una red de computadores es la cantidad total de informacin que puede transmitirse en un intervalo de tiempo dado. Cuando una red est siendo utilizada por un nmero grande de canales de comunicacin, habr que compartir el ancho de banda dis ponible.

La fluctuacin (fitter) es la variacin en el tiempo invertido en completar el reparto de una serie de mensajes. La fluctuacin es importante para los datos multimedia. Este es el caso que si se reproducen muestras de audio consecutivas a un ritmo variable el sonido presentar graves distorsiones. Relojes de computadores y eventos de temporizacin. Cada computador de un sistema distribuido tiene su propio reloj interno; los procesos locales obtienen de l, el valor del tiempo actual. sta es la forma en que dos procesos en ejecucin sobre dos computadores diferentes asocian marcas (o sellos) temporales a sus eventos. Sin embargo, incluso si dos procesos leen sus relojes a la vez, sus relojes locales proporcionarn valores de tiempo diferentes. Esto ocurre porque los relojes presentan derivas con respecto al tiempo perfecto y, ms importante, sus tasas de deriva difieren de una a otra. El trmino tasa de deriva del reloj alude a la proporcin en que el reloj de un computador difiere del reloj de referencia perfecto. Incluso, si los relojes de todos los computadores de un sistema distribuido se ponen en hora a la vez, a partir de un tiempo sus relojes variarn en una magnitud significativa a menos que se apliquen correcciones. Hay varias aproximaciones a la correccin de los tiempos del reloj de los computadores. As, podra utilizarse receptores de radio para obtener lecturas de tiempo de un GPS con aproximaciones cercana al microsegundo. Pero los receptores GPS no operan dentro de los edificios, ni se justifica el coste para cada computador. En su lugar, un computador dotado de una fuente de tiempo precisa, como un GPS, s que podra enviar mensajes de temporizacin a otros computadores de la red. La concordancia final entre los tiempos de los relojes locales est, por supuesto, afectada por retardos variables en los mensajes. Para una discusin ms detallada de la deriva del reloj y sincro nizacin del reloj, vase el Captulo 11. Dos variantes del modelo de interaccin. En un sistema distribuido es difcil establecer cotas sobre el tiempo que debe tomar la ejecucin de un proceso, el reparto de un mensaje o la deriva del reloj. Tenemos dos modelos simples que parten de posiciones extremas y opuestas: el primero tiene en cuenta una fuerte restriccin sobre el tiempo; en el segundo no se hace ninguna presuposicin. Sistemas distribuidos sncronos: Hadzilacos y Toueg [1994] definen un sistema distribuido sncrono como aquel en el que se establecen los siguientes lmites: El tiempo de ejecucin de cada etapa de un proceso tiene ciertos lmites inferior y superior conocidos. Cada mensaje transmitido sobre un canal se recibe en un tiempo limitado conocido. Cada proceso tiene un reloj local cuya tasa de deriva sobre el tiempo real tiene un lmite conocido. Es posible sugerir valores parecidos para los lmites superior e inferior del tiempo de ejecucin de un proceso, el retardo de mensajes y las tasas de deriva de relojes en un sistema distribuido. Pero es difcil obtener valores realistas y adems dar garantas sobre los valores elegidos. A menos que podamos garantizar los lmites, cualquier diseo basado en los valores elegidos no ser fiable. Sin embargo, pudiera ser til modelar un algoritmo como un sistema sncrono para dar una idea de cmo se comportar en un sistema distribuido real. En un sistema sncrono, es posible utilizar tiempo lmite (timeouts), por ejemplo para detectar el fallo de un proceso, tal y como se muestra en la seccin que trata del modelo de fallo. Se pueden construir sistemas distribuidos sncronos. Esto requiere que los procesos imple menten tareas con requisitos de recursos conocidos, para los que se pueda garantizar ciclos suficientes de procesador y capacidad de red; y que se provea a estos procesos de relojes con tasas de deriva limitada. Sistemas distribuidos asncronos: muchos sistemas distribuidos, por ejemplo Internet, son de gran utilidad aun sin ser sistemas sncronos. En consecuencia necesitamos un modelo alternativo: un sistema distribuido asncrono es aquel en que no existen limitaciones sobre:

48 Sistemas distribuidos
La velocidad de procesamiento (por ejemplo, un paso de un proceso puede requerir tan slo un picosegundo y otro un siglo; lo nico que podemos decir es que cada paso se tomar un tiempo arbitrariamente largo). Los retardos de transmisin de mensaje (por ejemplo, al repartir un mensaje de un proceso A a otro B puede tardar un tiempo cero o bien varios aos. En otras palabras, un mensaje puede recibirse tras un tiempo arbitrariamente largo). Las tasas de deriva de reloj (de nuevo, la tasa de deriva de reloj es arbitraria). El modelo asncrono no presupone nada sobre los intervalos de tiempo involucrados en cualquier ejecucin. ste es exactamente el modelo de Internet, en l no hay lmite intrnseco en la carga del servidor o la red (en consecuencia no se sabe cunto tomar, por ejemplo, transferir un archivo usando ftp). A veces un mensaje de correo puede tomarse varios das en llegar. El recuadro de la pgina siguiente ilustra la dificultad de llegar a un acuerdo en un sistema distribuido asncrono. Aun as con estas premisas se pueden resolver algunos problemas de diseo. Por ejemplo, a pesar de que el Web no siempre puede proveer una respuesta en un lmite de tiempo razonable, los navegadores se disean para permitir que los usuarios realicen otras tareas mientras estn a la espera. Cualquier solucin vlida para un sistema distribuido asncrono es vlida tambin para un sistema sncrono. Los sistemas distribuidos reales son frecuentemente asncronos a causa de la necesidad de los procesos de compartir procesadores y de los canales de comunicacin de compartir la red. Por ejemplo, si demasiados procesos de ndole desconocida comparten un procesador, no habr garantas sobre las prestaciones resultantes de ninguno de ellos. Pero existen muchos problemas de diseo que no pueden ser resueltos para un sistema asncrono que pueden resolverse cuando se tienen en cuenta algunos aspectos temporales. La necesidad de que cada elemento de un flujo de datos multimedia se reparta antes de un tiempo lmite es un problema de este tipo. Para problemas como ste se requiere un modelo sncrono. El recuadro de ms adelante ilustra la imposibilidad de sincronizar los relojes en un sistema asncrono. Ordenamiento de eventos. En muchos casos, nos interesa saber si un evento (enviar o recibir un mensaje) en un proceso ocurri antes, despus o concurrentemente con otro evento en algn otro proceso. La ejecucin de un sistema puede describirse en trminos de los eventos y su ordenacin aun careciendo de relojes precisos. Por ejemplo, considere el siguiente conjunto de intercambios entre un pequeo grupo de usuarios X, Y, Z y A de una lista de correo: 1. El usuario X enva un mensaje con el tema Reunin. 2. Los usuarios Y y Z responden con un mensaje con el tema Re: Reunin. En tiempo real, se enva primero el mensaje de X, Y lo lee y responde; Z lee ambos mensajes, el de X y la respuesta de Y y entonces enva otra respuesta, que hace referencia a los dos anteriores. Pero debido a los retardos independientes en el reparto de los mensajes, los mensajes pudieran haber sido repartidos como se muestra en la Figura 2.9, y algunos usuarios podran ver estos mensajes en el orden equivocado, por ejemplo, el usuario A podra ver:

Modelos de sistema

49

Si los relojes de los computadores de X, Y y Z pudieran sincronizarse, podra utilizarse el tiempo asociado localmente a cada mensaje enviado. Por ejemplo, los mensajes m1 , m2 , y m3 llevaran los tiempos t1, t2 , y t3 donde t1 , < t2 , < t3 . Los mensajes recibidos se mostraran a los usuarios segn este ordenamiento temporal. Si los relojes estn sincronizados aproximadamente la temporizacin ocurrir en el orden correcto. Como los relojes de un sistema distribuido no pueden sincronizarse de manera perfecta, Lamport [1987] propuso un modelo de tiempo lgico que pudiera utilizarse para ordenar los eventos de procesos que se ejecutan en computadores diferentes de un sistema distribuido. El tiempo lgico permite inferir el orden en que se presentan los mensajes sin recurrir a relojes. Se presenta en detalle en el Captulo 10, aunque aqu bosquejaremos cmo pueden aplicarse algunos aspectos del ordenamiento lgico a nuestro problema de ordenamiento de correos electrnicos.

Sistemas distribuidos Es obvio que los mensajes se reciben despus de su envo, as podemos admitir un ordenamiento lgico para los pares de sucesos que se muestran en la Figura 2.9; por ejemplo, considerando slo los eventos relativos a X e Y: X enva m, antes de que Y reciba m1 ; Y enva m2 antes de que X reciba m2.

Tambin sabemos que las respuestas se reciben despus de que se reciben los mensajes, de modo que tenemos el siguiente ordenamiento lgico para Y: Y recibe m, antes de enviar m2 . El tiempo lgico lleva esta idea ms lejos asignando un nmero a cada evento, que se corresponde con su ordenamiento lgico, de modo que los ltimos eventos tendrn nmeros mayores que los primeros. Como ejemplo, en la Figura 2.9 se consignan los nmeros 1 a 4 en los eventos en X e Y.

2.3.2. MODELO DE FALLO En un sistema distribuido pueden fallar tanto los procesos como los canales de comunicacin; esto es, podran apartarse de lo que se considera el comportamiento correcto o deseable. El modelo de fallo define las formas en que puede ocurrir el fallo para darnos una comprensin de los efectos de los fallos. Hadzilacos y Toueg [1994] proponen una taxonoma que distingue entre los fallos de procesos y los fallos de canales de comunicacin. stos se presentan bajo los encabezamientos: fallos por omisin, fallos arbitrarios y fallos de temporizacin. Este modelo de fallo se utilizar a lo largo del libro. Este es el caso de: En el Captulo 4, donde presentamos las interfaces Java de la comunicacin de tipo datagrama y stream, que proporcionan diferentes grados de fiabilidad. El Captulo 4 en el que presentamos el protocolo peticin-respuesta, que subyace a RMI. Sus caractersticas de fallo dependen de las caractersticas de fallo tanto de los procesos como de los canales de comunicacin. El protocolo puede construirse mediante comunicacin basada en datagramas o streams. La eleccin podr decidirse en funcin de la simplicidad de la implementacin, las prestaciones y la fiabilidad. El Captulo 13 donde se presenta el protocolo de realizacin en dos fases (two-phase commit) para transacciones. Est diseado para completarse en presencia de fallos bien definidos de los procesos y de los canales de comunicacin. Fallos por omisin. Las faltas clasificadas como fallos por omisin se refieren a casos en los que los procesos o los c anales de comunicacin no consiguen realizar acciones que se suponen que pueden hacer. Fallos por omisin de procesos: El principal fallo por omisin de un proceso es el fracaso o ruptura accidentada del procesamiento (crash). Cuando decimos que un proces o se rompe queremos decir que ha parado y no ejecutar ningn paso de programa ms. El diseo de servicios que puedan sobrevivir en presencia de fallos se puede simplificar si asumimos que los servicios de los que depende fracasan limpiamente; es decir, l s procesos de los que depende o funcionan correctamente o se detienen. Otros o procesos pueden ser capaces de detectar tales fracasos por el hecho de que los procesos rotos fallan repetidamente en responder a los mensajes de invocacin. Desgraciadamente, este mtodo de deteccin de rupturas descansa en el uso de timeouts; es decir un mtodo en el cual un proceso otorga un perodo fijo de tiempo para que algo ocurra. En un sistema asncrono un timeout puede indicar tan slo que un proceso no responde; puede que se haya roto o sea lento, o que los mensajes no hayan llegado.

Modelos de sistema

51

La rotura de un proceso se denomina fallo -parada (fail-stop) si los otros procesos pueden detectar con certeza que el proceso ha fracasado. El comportamiento fallo-parada puede producirse en un sistema sncrono si el proceso utiliza timeouts para detectar cuando los otros procesos fallan en la respuesta y est garantizado que los mensajes llegan. Por ejemplo, si los procesos p y q estn programados para que q responda a un mensaje de p, y el proceso p no ha recibido respuesta del proceso q en un tiempo mximo medido por el reloj local de p, entonces el proceso p puede concluir que el proceso q ha fallado. El recuadro prximo ilustra la dificultad de detectar los fallos en un sistema asncrono o de llegar a un acuerdo en presencia de fallos. Fallos por omisin de comunicaciones: Considere las primitivas de comunicacin enva y recibe. Un proceso p realiza un envo insertando el mensaje m en su bfer de mensajes salientes. El canal de comunicacin transporta m al bfer de mensajes entrantes de q. El proceso q realiza un recibe tomando m de su bfer de mensajes entrantes y repartindolo (vase la Figura 2.10). Los bferes entrante y saliente se proporcionan usualmente desde el sistema operativo. El canal de comunicacin produce un fallo de omisin si no transporta un mensaje desde el bfer de mensajes salientes de p al bfer de mensajes entrantes de q. A esto se denomina perder mensajes y su causa suele ser la falta de espacio en el bfer de recepcin de alguna pasarela de entre medias, o por un error de red, detectable por una suma de chequeo de los datos del mensaje. Hadzilacos y Toueg [1994] se refieren a la prdida de mensajes entre el proceso emisor y el bfer de mensajes de salida como fallos por omisin de envo; la prdida de mensajes entre el bfer de mensajes de entrada y el proceso receptor como fallos por omisin de recepcin; y la prdida de mensajes entre los bferes como fallos por omisin del canal. En la Figura 2.11 se clasifican los fallos por omisin junto con los fallos arbitrarios.

Figura 2.11. Fallos por omisin y fallos arbitrarios. Los fallos pueden categorizarse segn su severidad. Todos los fallos que hemos descrito hasta el momento son benignos. La mayora de los fallos de los sistemas distribuidos son de esta clase. Los fallos benignos incluyen fallos por omisin as como fallos de temporizacin y fallos de prestaciones. Fallos arbitrarios. El trmino arbitrario, o fallo bizantino, se emplea para describir la peor semntica de fallo posible, en la que puede ocurrir cualquier tipo de error. Por ejemplo, un procese podra cargar valores equivocados en su rea de datos, o podra responder un valor incorrecto a una peticin. Un fallo arbitrario en un proceso es aquel en el que se omiten pasos deseables para el procesa miento o se realizan pasos no intencionados de procesamiento. En consecuencia los fallos arbitra rios en los procesos no pueden detectarse observando si el proceso responde a las invocaciones, dado que podra omitir arbitrariamente la respuesta. Los canales de comunicacin sufren fallos arbitrarios; por ejemplo: los contenidos de un mensaje pueden estar corrompidos o se pueden repartir mensajes no existentes o incluso algunos

Modelos de sistema

53

Figura 2.12. Fallo de temporizacin. mensajes autnticos pueden repartirse ms de una vez. Los fallos arbitrarios de los canales de comunicacin son raros porque el software de comunicacin es capaz de reconocerlos y rechazar los mensajes fallidos. Por ejemplo, para detectar mensajes corrompidos empleamos sumas de chequeo, y podemos emplear nmeros de secuencia para detectar mensajes no existentes y mensajes duplicados. Fallos de temporizacin. Los fallos de temporizacin s aplican en los sistemas distribuidos sncronos e donde se establecen lmites en el tiempo de ejecucin de un proceso, en el tiempo de reparto de un mensaje y en la tasa de deriva de reloj. Los fallos de temporizacin se muestran en la Figura 2.12. Cualquiera de estos fallos puede ocasionar que las respuestas no estuvieran disponibles para los clientes en un intervalo de tiempo dado. En un sistema distribuido asncrono, un servidor sobrecargado podra responder demasiado lentamente, pero no podemos decir que haya habido un fallo de temporizacin dado que no se ha ofrecido ninguna garanta al respecto. Los sistemas operativos de tiempo real se disean con vistas a proporcionar garantas de temporizacin, pero son ms complejos de disear y pueden requerir hardware redundante. La mayora de los sistemas operativos de propsito general, como UNIX, no tienen que cumplir restricciones de tiempo real. La temporizacin es particularmente relevante en los computadores multimedia con canales de audio y vdeo. La informacin de vdeo puede requerir la transferencia de una gran cantidad de datos. El reparto de tal cantidad de informacin, sin fallos de temporizacin, puede exigir demandas especiales tanto en el sistema operativo como en el sistema de comunicacin. Enmascaramiento de fallos. Cada componente de un sistema distribuido se construye generalmente a partir de un conjunto de componentes ya existentes. Es posible construir servicios fiables con componentes que presenten fallos. Por ejemplo, mltiples servidores que alojen rplicas de datos pueden continuar prestando un servicio aunque uno de ellos se rompa. El conocimiento de las caractersticas de fallo de un componente puede permitirnos crear un nuevo servicio diseado para enmascarar los fallos del primero. Un servicio enmascara un fallo, bien, ocultndolo comple tamente o convirtindolo en otro tipo de fallo ms aceptable. Un ejemplo de este ltimo es el cmo se utilizan las sumas de chequeo para enmascarar los mensajes corrompidos, convirtiendo un fallo arbitrario en un fallo por omisin. Veremos en los Captulos 3 y 4 que los fallos por omisin pueden ocultarse empleando un protocolo que retransmita los mensajes que no alcanzan su destino. El Captulo 14 presenta el enmascaramiento mediante replicacin. Incluso la ruptura de procesos puede enmascararse, remplazando el proceso y restaurando su memoria de la informacin almacenada en el disco sobre su predecesor. Fiabilidad y comunicacin uno a uno. Aunque un canal de comunicacin bsico pueda presentar fallos por omisin como los descritos anteriormente, es posible utilizarlo para construir un servicio de comunicacin que enmascare algunos de esos fallos. El trmino comunicacin fiable se define en trminos de validez e integridad, definidos como sigue:

Sistemas distribuidos Validez: Cualquier mensaje en el bfer de mensajes salientes ser hecho llegar eventualmente al bfer de mensajes entrantes; Integridad: El mensaje recibido es idntico al enviado, y no se reparten mensajes por duplicado. Las amenaza s a la integridad provienen de dos fuentes independientes: Cualquier protocolo que retransmita mensajes pero no rechace un mensaje que llegue dos veces. Los protocolos pueden adjuntar nmeros de secuencia a los mensajes para detectar aquellos que se reparten por duplicado. Usuarios malintencionados que insertan mensajes espurios, repiten mensajes antiguos o modifican mensajes autnticos. Se pueden tomar medidas de seguridad para mantener la propiedad de integridad en caso de tales ataques.

2.3.3. MODELO DE SEGURIDAD En la Seccin 2.2 identificamos la comparticin de recursos como un factor motivador para los sistemas distribuidos y describimos su arquitectura de sistema en trminos de procesos que encapsulan objetos y proporcionan acceso a ellos mediante interacciones con otros procesos. El modelo arquitectnico da la base de nuestro modelo de seguridad: la seguridad de un sistema distribuido puede lograrse asegurando los procesos y los canales empleados para sus interacciones y protegiendo los objetos que encapsulan contra el acceso no autorizado. La proteccin se describe en trminos de objetos, aunque los conceptos se aplican tal cual a recursos de todos los tipos. Proteccin de objetos. La Figura 2.13 muestra un servidor que administra un conjunto de o bjetos en beneficio de algunos usuarios. Los usuarios pueden lanzar programas cliente que envan invocaciones al servidor para realizar operaciones sobre los objetos. El servidor realiza la operacin indicada en cada invocacin y enva el resultado al cliente. Los objetos estn construidos para ser usados de formas diferentes por usuarios diferentes. Por ejemplo, algunos objetos podran incluir datos privados de un usuario, tales como un buzn de correo, y otros objetos pueden incluir datos compartidos como pginas Web. Para dar soporte a esto los derechos de acceso especifican a quin se permite realizar ciertas operaciones de un objeto, por ejemplo, a quin se permite leer o escribir su estado. As, debemos incluir a los usuarios en nuestro modelo como los beneficiarios de los derechos de acceso. Esto se realiza asociando a cada invocacin y a cada resultado la autoridad con que se ordena. Tal autoridad se denomina principal. Un principal pudiera ser un usuario o un proceso. En nuestra ilustracin, la invocacin proviene de un usuario y el resultado de un servidor. El servidor es responsable de verificar la identidad del principal tras cada invocacin y comprobar que dispone de los suficientes derechos de acceso como para realizar la operacin requerida sobre el objeto particular invocado, rechazando aquellas que no dispongan de ellos. El cliente puede comprobar la identidad del principal tras el servidor para asegurar que el resultado proviene del servidor requerido. Asegurar procesos y sus interacciones. Los procesos interaccionan enviando mensajes. Los mensajes estn expuestos a un ataque dado que la red y el servicio de comunicacin que usan es abierto, de modo que cualquier par de procesos puedan interactuar. Los servidores y procesos parejos exponen sus interfaces, permitiendo ser el destino de los mensajes de otros procesos.

Modelos de sistema

55

Los sistemas distribuidos se despliegan y usan, probablemente, en tareas propensas a ser objetivo de ataques externos por usuarios hostiles. Esto es especialmente cierto en aplicaciones que tratan con transacciones financieras, confidenciales o con informacin clasificada o cualquier otra in formacin cuya privacidad e integridad sea crucial. La integridad se ve amenazada por las violaciones de seguridad as como por fallos de la comunicacin. Es as que sabemos que probablemente habr ataques a los procesos de los que se componen tales aplicaciones y a los mensajes que viajan entre los procesos. Pero, cmo podemos analizar estas amenazas para identificarlas y derrotarlas? La siguiente discusin presenta un modelo para el anlisis de amenazas de seguridad. El enemigo. Para modelar amenazas de seguridad, postulamos que el enemigo (tambin conocido como adversario) es capaz de enviar cualquier mensaje a cualquier proceso y tambin de leer o copiar cualquier mensaje entre un par de procesos, como se muestra en la Figura 2.14. Tales ataques pueden cometerse simplemente utilizando un computador conectado a una red para lanzar un programa que lea los mensaje s de la red dirigidos a otros computadores de la misma red, o un programa que genere mensajes que realicen peticiones falsas a servicios dando a entender que provienen de usuarios autorizados. El ataque puede provenir de un computador legtimamente conectado a la red o tambin de alguna conectada de forma no autorizada. Las amenazas de un enemigo potencial se discutirn segn los siguientes apartados: amenazas a procesos, amenazas a los canales de comunicacin y denegacin de servicio. Amenazas a procesos: Cualquier proceso diseado para admitir peticiones puede recibir un mensaje de cualquier otro proceso del sistema distribuido, y bien pudiera no ser capaz de determinar la identidad del emisor. Los protocolos de comunicacin como IP incluyen la direccin del computador origen de cada mensaje, pero no es problema para un enemigo el generar un mensaje con una direccin fuente falsa. Esta carencia de conocimiento fiable del origen de un mensaje es una amenaza al correcto funcionamiento, tanto de los servidores como de los clientes, tal y como se explica a rengln seguido:

Figura 2.14. El enemigo.

Sistemas distribuidos

Servidores: dado que un servidor puede recibir invocaciones de muchos clientes diferentes, no necesariamente puede determinar la identidad del principal que se halla tras cualquier invocacin particular. Incluso si un servidor requiere la inclusin de la identidad del principal en cada invocacin, un enemigo podra generar una invocacin con una identidad falsa. Sin un conocimiento fiable de la identidad del emisor, un servidor no puede decir si realizar la operacin o rechazarla. Por ejemplo, un servidor de correo pudiera no saber si el usuario tras una invocacin que recupera un correo de un buzn particular est autorizado para ello, o si era una peticin de un enemigo. Clientes: cuando un cliente recibe el resultado de una invocacin de un servidor, no necesariamente puede decir si la fuente del mensaje resultado es del servidor que se pretenda o de un enemigo, quizs uno que est suplantando (spoofing) el servidor de correo. Entonces el cliente pudiera recibir un resultado no relacionado con la invocacin original, tal como un correo falso (uno que no est en el buzn de correo del usuario). Amenazas a los canales de comunicacin: Un enemigo puede copiar, alterar o insertar mensajes segn viajan a travs de la red y sus pasarelas intermedias. Tales ataques presentan una amenaza a la privacidad y a la integridad de la informacin segn sta viaja a travs de la red, y a la integridad del sistema. Por ejemplo, un mensaje resultado que contenga un correo de un usuario pudiera ser visto por otro usuario o podra ser convertido en algo bastante diferente. Otra forma de ataque es la pretensin de hacer acopio de mensajes para volver a enviarlos ms tarde, haciendo posible volver a usar el mismo mensaje una y otra vez. Por ejemplo, alguien podra beneficiarse de un mensaje en el que se invoca una peticin de transferencia de dinero de una cuenta bancaria a otra. Todas estas amenazas pueden vencerse empleando canales seguros, como los que se describen ms adelante y que se basan en la criptografa y la autenticacin. Vencer amenazas de seguridad. Aqu presentamos las tcnicas principales en que se basan los sistemas seguros. El Captulo 7 discute el diseo y la implementacin de sistemas distribuidos seguros con cierto detalle. Criptografa y secretos compartidos: Suponga que un par de procesos (por ejemplo un cliente y un servidor concretos) comparten un secreto; es decir, ningn proceso del sistema distribuido aparte de ellos conoce este secreto. Entonces, si se intercambia un mensaje entre estos dos procesos e incluye informacin que demuestra el conocimiento, por parte del emisor, de este secreto compartido, tenemos que el receptor podr estar seguro de quin es el que ha emitido el mensaje. Obvia mente, es preciso tener cuidado para que el secreto compartido no sea revelado a un enemigo. La criptografa es la ciencia de mantener los mensajes seguros, y la encriptacin es el proceso de trastocar el mensaje de modo que quede oculto el contenido. La criptografa moderna se basa en algoritmos de encriptacin que emplean claves secretas (nmeros grandes difciles de deducir) para transformar los datos, de forma que slo se pueda revertir el proceso con la clave de desencriptado correspondiente. Autenticacin: El uso de los secretos compartidos y la encriptacin presenta la base de los mensajes de autenticacin, probando las identidades proporcionadas por sus emisores. La tcnica bsica de autenticacin consiste en incluir en un mensaje un fragmento encriptado que contenga suficiente contenido del mensaje como para garantizar su autenticidad. La porcin de autenticacin de una peticin a un servidor de archivos, pongamos que para leer parte de un archivo, podra incluir una representacin de la identidad del principal solicitante, la identidad del archivo y la fecha y hora de la peticin, todo encriptado con una clave secreta que comparten el servidor de archivos y el proceso solicitante. El servidor lo desencriptara y comprobara que se corresponde con los detalles no encriptados que se especifican en la peticin.

Modelos de sistema

57

Figura 2.15. Canales seguros Canales seguros: La encriptacin y la autenticacin se emplean para construir canales seguros en forma de capa de servicio sobre los servicios de comunicacin existentes. Un canal seguro es un canal de comunicacin que conecta un par de procesos, cada uno de los cuales acta en representacin de un principal, segn se muestra en la Figura 2.15. Un canal seguro presenta las siguientes propiedades: Cada proceso conoce bien la identidad del principal en cuya representacin se ejecuta otro proceso. De este modo si un cliente y un servidor se comunican va un canal seguro, el servidor conoce la identidad del principal tras las invocaciones y puede comprobar sus derechos de acceso antes de realizar una operacin. Esto permite que el servidor proteja sus objetos correctamente y permite al cliente estar seguro de estar recibiendo resultados de un servidor que acta de buena fe. Un canal seguro asegura la privacidad y la integridad (proteccin contra la manipulacin) de los datos transmitidos por l. Cada mensaje incluye un sello de carcter temporal, de tipo fsico o lgico, para prevenir el reenvo o la reordenacin de los mensajes. La construccin de canales seguros se discutir con detalle en el Captulo 7. Los canales seguros se han convertido en una importante herramienta prctica para asegurar el comercio electrnico y la proteccin de la comunicacin. Las redes privadas virtuales (VPN, que se vern en el Captulo 3) y el protocolo de capa de sockets segura (SSL, Secure Sockets Layer) son ejemplos de canales seguros. Otras posibilidades de amenaza de un enemigo. La Seccin 1.4.3 present brevemente dos amenazas de seguridad, los ataques de denegacin de servicio y el despliegue de cdigo mvil. Veamos otra vez este tipo de ataques desde el punto de vista de las posibilidades que se le ofrecen al enemigo de dificultar las actividades de los procesos: Denegacin de servicio: sta es una forma de ataque en la que el enemigo interfiere con las actividades de los usuarios autorizados mediante un nmero excesivo de invocaciones sin sentido sobre servicios o la red, lo que resulta en una sobrecarga de los recursos fsicos (ancho de banda, capacidad de procesamiento del servidor). Tales ataques suelen tener el fin de retrasar o impedir las acciones de los otros usuarios. Por ejemplo, podra desconectarse la operacin de las cerraduras electrnicas de una edificacin por medio de un ataque que sature el computador que las controla con peticiones invlidas. Cdigo mvil: el cdigo mvil despierta nuevos e interesantes problemas para cualquier proceso que reciba y ejecute cdigo de programas proveniente de algn otro sitio, tal como los anexos a los correos electrnicos mencionados en la Seccin 1.4.3. Tal cdigo podra jugar fcilmente el papel de caballo de Troya, pretendiendo cumplir con un objetivo inocente pero, de hecho, incluyendo cdigo que accede o modifica los recursos que estn disponibles legtima mente para los procesos del host, pero no para el creador del cdigo. Los mtodos mediante los

58

Sistemas distribuidos

cuales es posible llevar a cabo tales ataques son muchos y variados, en consecuencia el entorno del host debe construirse cuidadosamente para evitarlos. Muchas de estas cuestiones han sido tenidas en cuenta en Java y otros sistemas de cdigo mvil, pero la historia reciente sobre el tema muestra la desnudez de algunas debilidades bastante embarazosas. Esta cuestin muestra la necesidad de realizar un anlisis riguroso sobre el diseo de todos los sistemas seguros. Aplicaciones de los modelos de seguridad. Pudiera pensarse que obtener sistemas distribuidos seguros debiera ser un asunto evidente que implica el control del acceso a los objetos segn permisos de acceso predefinidos y el empleo de canales de comunicacin seguros. Desgraciadamente, no siempre es ste el caso. El empleo de tcnicas de seguridad como la encriptacin y el control de acceso conlleva un coste de procesamiento y administracin sustancial. El modelo de seguridad esquematizado anteriormente da las bases del anlisis y el diseo de sistemas seguros en los que se mantienen los costes al mnimo; pero las amenazas a un sistema distribuido se presentan desde muchos flancos, y se hace necesario un anlisis cuidadoso de estas amenazas, que pudieran provenir de todas las fuentes posibles en el entorno de red del sistema, el entorno fsico y el entorno humano. Este anlisis involucra la construccin de un modelo de amenazas que tabula todas las formas de ataque a las que se encuentra expuesto el sistema y una evaluacin de los riesgos y consecuencias de cada uno. La efectividad y el coste de las tcnicas de seguridad necesarias pueden entonces ser contrapesadas con las amenazas.

La mayora de los sistemas distribuidos se componen de una o ms variedades de modelos de arquitectura. El modelo cliente-servidor es el ms usado; el Web y otros servicios Internet tales como ftp, news y mail as como el DNS se basan en este modelo, as como el sistema local de archivos y otros ms. Los servicios como DNS que tienen un nmero de usuarios grande y tratan con una gran cantidad de informacin se basan en mltiples servidores, el uso de particiones sobre los datos y la replicacin para facilitar la disponibilidad y la tolerancia frente a fallos. El uso de cach en los clientes y servidores proxy se encuentra ampliamente extendido para mejorar las prestaciones de un servicio. En el modelo de procesos de igual a igual, los procesos de aplicaciones distribuidas se comunican uno con otro directamente sin emplear servidores intermediarios. La posibilidad de mover cdigo de un proceso a otro ha desembocado en algunas variantes del modelo cliente-servidor. El ejemplo ms comn de esto es el applet cuyo cdigo es aportado por un servidor Web para ejecutarse en un cliente, proporcionando funcionalidades no disponibles en el cliente y la mejora de ciertas prestaciones debido a la proximidad con el cliente. La existencia de computadores porttiles, PDA y otros dispositivos digitales y su integracin en los sistemas distribuidos permite que los usuarios accedan a servicios locales y de Internet, aunque estn lejos de su computador de sobremesa. La presencia de dispositivos de computacin con posibilidades de comunicacin inalmbrica en aparatos cotidianos como las mquinas lavadoras o las alarmas antirrobo les permite dar servicios accesibles desde una red inalmbrica en el hogar. Una caracterstica de los dispositivos mviles de los sistemas distribuidos es que pueden estar conectados o desconectados impredeciblemente, conduciendo a requisitos de descubrimiento de servicios mediante los que los servidores mviles puedan ofrecer sus servicios y los clientes mviles buscarlos. Hemos presentado modelos de interaccin, fallo y seguridad que identifican las caractersticas comunes de los componentes bsicos con que se construyen los sistemas distribuidos. El modelo de interaccin tiene que ver con las prestaciones de los procesos y los canales de comunicacin, y con la ausencia de un reloj global. Tambin define un sistema asncrono como uno en el que no hay lmites en el tiempo de ejecucin de un proceso, el tiempo de reparto de un mensaje, y la deriva de los relojes; siendo as como se comporta Internet.

Modelos de sistema

59

El modelo de fallo clasifica los fallos de los procesos y los canales de comunicacin bsicos en un sistema distribuido. El enmascaramiento es una tcnica con la que se construye un servicio ms fiable sobre otro menos fiable, de modo que se enmascaran algunos fallos que exhibe este ltimo. En particular, se puede construir un servicio de comunicacin fiable desde un canal de comunica cin bsico simplemente enmascarando sus fallos. Por ejemplo, sus fallos por omisin pueden enmascararse mediante la retransmisin de los mensajes perdidos. La integridad es una propiedad de la comunicacin fiable, y requiere que un mensaje al ser recibido sea idntico al que se envi, amn de que no sea recibido dos veces. La validez es otra propiedad; requiere que cualquier mensaje puesto en el bfer de mensajes de salida se reparta eventualmente al bfer de mensajes entrantes. El modelo de seguridad identifica las posibles amenazas a los procesos y los canales de comu nicacin en un sistema distribuido abierto. Algunas de estas amenazas se relacionan con la integridad: los usuarios malintencionados pueden modificar o repetir los mensajes. Otros amenazan su privacidad. Otra cuestin de seguridad es la autenticacin del principal (usuario o servidor) en cuyo nombre se enva un mensaje. Los canales seguros emplean tcnicas criptogrficas para asegurar la integridad y la privacidad de los mensajes y para autenticar pares de principales en una comunicacin.

EJERCICIOS. 2.1. Describa e ilustre la arquitectura cliente-servidor de una de las principales aplicaciones de Internet (por ejemplo el Web, email o netnews). 2.2. Para las aplicaciones discutidas en el Ejercicio 2.1 indique cmo cooperan los servidores al proveer un servicio. 2.3. Cmo estn involucradas, en el particionado y/o replicacin (o el uso de cach) de los datos de ciertos servidores, las aplicaciones discutidas en el Ejercicio 2.1? 2.4. Un motor de bsqueda es un servidor Web que ofrece a los clientes la oportunidad de buscar en ciertos ndices almacenados y (concurrentemente) lanzar varios escaladores Web para construir y actualizar estos ndices. Cules son los requisitos de sincronizacin entre estas actividades concurrentes? 2.5. Sugiera algunas aplicaciones para un modelo entre pares, distinguiendo entre casos en los que el estado de todos necesita ser idntico y casos que demandan menos consistencia. 2.6. Tabule los tipos de recursos locales que son vulnerables a un ataque por un programa no fiable que se descarga de un lugar remoto y se ejecuta en un computador local. 2.7. D ejemplos de aplicaciones donde sea beneficioso emplear cdigo mvil. 2.8. Qu factores afectan el modo de comportamiento de una aplicacin que accede a los datos compartidos administrados por un servidor? Describa los remedios disponibles y discuta su utilidad. 2.9. Distinga entre bfer y cach. 1.10. D algunos ejemplos de fallos en el hardware y el software de un sistema distribuido que puedan o no ser tolerados mediante el uso de redundancia. En qu punto podemos asegurar que el empleo de redundancia, cuando sea adecuado, hace que el sistema sea tolerante frente a fallos?

Sistemas distribuidos

2.11. Considere un servidor simple, que realiza peticiones de clientes, sin acceder a otros servidores. Explique por qu no es posible en general establecer un lmite al tiempo que invierte un servidor en responder una peticin de un cliente. Qu habra que hacer para que el servidor fuera capaz de ejecutar respuestas dentro de un tiempo acotado? Es prctica esta opcin? 2.12. Para cada uno de los factores que contribuye al tiempo que se invierte en la transmisin de un mensaje entre dos procesos sobre un canal de comunicacin, enumere qu medidas habra que emplear para acotar su contribucin al tiempo total. Por qu estas medidas no se incluyen en los sistemas distribuidos de propsito general actuales? 2.13. El servicio del Protocolo de Tiempo de Red se puede utilizar para sincronizar relojes de computadores. Explique por qu, incluso con este servicio, no se puede garantizar un lmite para la diferencia de tiempo entre dos relojes. 2.14. Considere dos servicios de comunicacin para utilizarse en sistemas distribuidos asncronos. En el servicio A, los mensajes pueden perderse, duplicarse o retrasarse y la suma de chequeo slo se aplica a las cabeceras. En el servicio B, los mensajes pueden perderse, retrasarse o distribuirse demasiado rpido para que el receptor pueda recibirlos, pero aquellos que llegan lo hacen en buenas condiciones. Describa las clases de fallo que se presentan en cada servicio. Clasifique sus caracters ticas segn su efecto sobre la validez y la integridad. Puede el servicio B, tal y como se ha descrito, ser un servicio de comunicacin fiable? 2.15. Considere un par de procesos X e Y que emplean el servicio de comunicacin B del Ejercicio 2.14 para comunicarse entre s. Suponga que X es un cliente e Y un servidor y que una invocacin consta de un mensaje de X a Y, tras lo cual Y obtiene resultado, seguido por un mensaje de respuesta de Y a X. Describa las clases de fallos que pueden presentarse en una invocacin. 2.16. Suponga que una lectura bsica de disco puede leer a veces valores que difieren de los escritos. Indique el tipo de fallo presentado por una lectura bsica de disco. Sugiera cmo puede enmascararse este fallo para producir una forma diferente de fallo benigno. Ahora sugiera cmo enmascarar el fallo benigno. 2.17. Defina la propiedad de integridad de la comunicacin fiable e indique todas las amenazas posibles a la integridad para los usuarios y para los componentes del sistema. Qu medidas pueden tomarse para garantizar la propiedad de integridad en presencia de cada una de estas fuentes de ataques? 2.18. Describa las posibles ocurrencias de cada uno de los principales tipos de amenazas a la seguridad (amenazas a procesos, amenazas a canales de comunicacin y denegacin de servicio) que puedan acontecer en Internet.

También podría gustarte