A kormányzati felhő kialakítása 2014. október 29. Gazdag Ferenc infrastruktúra IVSZ adatközpont és felhő workshop
A kormányzati felhő kialakítása
2014. október 29.Gazdag Ferencinfrastruktúra főmérnök
IVSZ adatközpont és felhő workshop
01 02 03 Bevezetés Szolgáltatások,
ügyfelekMegvalósult technológia
04 Bővítési lehetőségek, terveink
Tartalom
Bevezetés, előzmények, a NISZ általános bemutatása
Alkalmazottak számaLeányvállalatokkal együtt ~1000 fő
Vállalati formaZártkörűen működő részvénytársaság (Zrt.)
Főbb tevékenységekKormányzati informatika,uniós projektek,e-kormányzati szolgáltatások
Árbevétel2014-es terv ~23 mrd Ft
Főbb ügyfelekMinisztériumok,Költségvetési intézmények
LeányvállalatokPRO-M Zrt.KDIV Kft.IdomSoft Zrt.
Elérhetőségekwww.nisz.huTel.: +36 1 459 4200Fax: +36 1 303 1000
Alapítás éve1964 (Konjunktúra- és Piackutató Intézet (KOPINT))
A projekt előzményei
A kormányzati felhőt a kapacitáshiány és a konszolidáció költségmegtakarításai hívták
életre
A kormányzati felhő projektet az alábbi tényezők indokolták elsősorban: • A meglévő infrastruktúra elöregedése • Az uniós fejlesztések során előálló új
rendszerek kapacitásigénye
• A konszolidációval elérhető költségmegtakarítási lehetőségek
Ügyfelek és igényeik
• kormányzati szervek
• egészségügy• oktatás
közigazgatás és kormányzati
szervek
testreszabott megoldások
megbízhatóság, sértetlenség, rendelkezésre
álláskormányzati felhő
• megfelelő szakmai támogatás egyéb IT tevékenységhez
• önkiszolgáló portál a felhasználók IT szakértőinek
• védett és biztonságos infrastruktúra
• megfelelő képzettségű üzemeltetői szervezet
• folyamatos működés (7/24)
Az ügyfelek számára nem a felhő felépítése fontos, hanem az igényeknek való
megfelelés.
költséghatékonyság• uniós forrásból
megvalósult projekt• egységes üzemeltetés
A kormányzati felhő szolgáltatásai 1.Virtuális szerverek (VG, IaaS)
– Fix: előredefiniált, nem változtatható paraméterű virtuális szerverek:• egyszerűen kezelhető, méretezhető,• pénzügyileg tervezhető.
– Flex: rugalmasan skálázható virtuális szerverek• költséghatékonya megoldás a VG teljes élettartam alatt, változó erőforrás
igényekkel rugalmas kiszolgálása• igény növekedés esetén növekedési lehetőség
Virtuális adatközpont / dedikált erőforrások– felhasználó igényekre testre szabott fizikai konfiguráció, az alábbi célok teljesüléséért:
• szoftver licencelések betartása,• pályázati előírások betartása,• biztonsági vagy üzemviteli szempontok.
Szakmai támogatások– konzultáció, tervezés– migráció, konszolidációs tervek– üzemeltetés, mentés, archiválás, ügyfélszolgálat.
A kormányzati felhő szolgáltatásai 2.
Virtuális gépek Kicsi Közepes Nagy Nagyon
nagy Flex
Processzor(vCPU) 1 2 2 4 1-16
Memória [GB] 2 4 8 16 1-128
Tároló [GB]50 50 100 200 50-2000
Árak [Ft/hó]5 650 10 260 15 860 24 020 Egyedi
Mentés 6,5 Ft/GB/hóArchiválás 3,5 Ft/GB/hó
Tervezési bemenetek• 2400 darab virtális gép futtatási képessége
– VG egység: 2 vCPU, 12 GB RAM, 150 GB tárterület (NISZ átlagból)• konvergens (Blokk 1-2) és
– szállítás előtt összeállított, önállóan működő (belső LAN, SAN)• nem konvergens (Blokk 3 szerver, tároló) kialakítása
– önálló eszközök, helyszínen összeállított• két adatközpont, aktív-aktív működés
– produktív erőforrásokból teljesen szimmetrikus– mindkét oldalon VG futtatási lehetősé– L2 és SAN kapcsolat (DWDM-en át) a két telephely között– adatközpontonként önálló hálózati kijárat
Fizikai architektúra (terv)
Szerver Pengeszerverek
Szerver
Szerver
Szerver
Szerver
Szerver
Szerver
Tároló A
SAN switch
LAN switch
Tűzfal 1 (internet)
Tűzfal 2 (NTG)
Mentési szerver
Mentési puffer tároló
Archiváló céleszköz
Szalagtárak + magnók
Pengeszerverek
Tároló
blokk LAN switch
blokk SAN switch
blokk menedzsment szerver
VTL
szerverenként önálló szerverenként önálló pass throu
szerverenként önálló
szerverenként önálló pass throu
trönk
trönk
NAS
NAS, NDMP NAS,
NDMP
SAN
NTG
Internet
TFW witch 2
Infra menedzsment szerverek
Naplózó Virtual connector
Felhő menedzsment szerver
Hipervizor 1 menedzsment
szerver
Hipervizor 2 menedzsment
szerver
Hipervizor 3 menedzsment
szerver
szerverenként önálló
szerverenként önálló
Naplózó
Pengeszerverek
Tároló
blokk LAN switch
blokk SAN switch
blokk menedzsment szerver
trönk
trönk
Blokk 3 Blokk 2 Blokk 1
Tároló B
Felhő rendszerelemek
Microsoft Hyper-V 2012 (server only)
VMware vSphere ESXi Enterprise+VMware vCenter Standard
Oracle VM for x86
HP MatrixHP Cloud System Automation
Felhő rendszerelemek
HP tárolókkettős lemezhiba elleni védelem8Gbps SAN10 Gbps LAN kapcsolatSSD, SAS és SATA lemezekautomatikus tieringredundáns belső felépítés
HP és IBM x86 alapú szerverek2 CPU, 8 mag&2GHz256 GB memória2x8Gbps SAN kapcsolat2x10 Gbps LAN kapcsolatredundáns belső felépítés
IBM x86 alapú szerverek4 CPU, 8 mag&2GHz512 GB memória2x8Gbps SAN kapcsolat2x10 Gbps LAN kapcsolatredundáns belső felépítés
Felhő rendszerelemek
Fujitsu CS8800 (korábban CS2000)80 TB pufferNAS és VTL kapcsolatokHA és DR működés
EMC Networker600TB kapacitás alapú
Quantum Scalar i500 1000 db LTO6 szalag ~5 PB tömörített kapacitás
Felhő rendszerelemek
Cisco Nexus 7010 LAN switch240x1/10 Gbps port
HP SN8000B SAN director240x8 Gbps port
Juniper EXmenedzsment hálózat
Felhő rendszerelemek
szabványos felületek mentén bővíthetőátlátható, ügyfélauditra felkészített rendszer
külső audit, rendszerminősítésszabályozásnak, törvénynek megfelel
Elhelyezés• Wigner adatközpont
– 4. blokk• 47U, sorolt Rittal szekrények• hideg-meleg folyosó• 10kW / rack hűtési kapacitás• 42 rack (csak a Felhőnek)
• NISZ gépterem
– új gépterem• 47U, sorolt Rittal szekrények• hideg-meleg folyosó• 10 kW / rack hűtési kapacitás• 20 rack (bővítető)
Fizikai architektúra (megvalósult)
IBM x3650 rack
Pengeszerverek IBM PureFlex
IBM x3650 rack
IBM x3750 rack
IBM x3750 rack
IBM x3750 rack
IBM x3750 rack
IBM x3750 rack
négyvezérlős Tároló
HP 3par 7400
HP SN8000B SAN switch
Cisco Nexus 7010 LAN switch
Tűzfal
EMC Networker + IBM x 3750
Mentési rendszer
Imidzs mentési tároló
HP 3par 7200
Fujitsu CS8800 Mentésvezérlő,
archiváló céleszköz
Quantum iScalar 500
Szalagtárak + magnók
HP c7000 Pengeszerverek
HP 7400 Tároló
HP 5900 LAN sw
VTL
szerverenként önálló szerverenként önálló pass throu
szerverenként önálló
trönk
trönk
NAS
NAS, NDMP NAS,
NDMP
SAN
NTG Internet
Infra menedzsment szerverek
Felhő menedzsment szerver (HP CSA)
VMware menedzsment
szerver
Hyper-V menedzsment
szerver
Oracle VM menedzsment
szerver
szerverenként önálló
HP Arcsight Naplózó
HP c7000 Pengeszerverek
HP 7400 Tároló
HP 5900 LAN sw
trönk
trönk
Menedzsment tűzfal
Juniper EX4200
Virt. EMC Avamar
Blokk 3 Blokk 2 Blokk 1 Blokk 0
Felhőmenedzsment felépítése
HPCSA
Ügyfél AdminNISZ AdminCSA Admin
OLDAP
MS AD
HP Matrix- A
OVMM-A
HP OO
Hyper-VvCenter
HP Matrix- B
OVMM-B Hyper-V vCenter
HP Matrix Operating Environment
Kormányzati felhő tulajdonságok
• Egységes infrastruktúra platform• x86 (x64) alapú • VMware vSphere ESXi, Microsoft Hyper-V, Oracle VM for x86• Microsoft Windows, SUSE Linux Enterprise, Red Hat Enterprise Linux
• Adaközpontok száma: 2 db (Róna, Wigner)• Produktív szerverek száma: 2x58 db• Összes CPU mag: 2x1080 db, teljesítménye: 2x2,5 THz• Teljes memória kapacitás: 2x18 TB• Elsődleges tárolók: 2x290 TB (HP 3par: SSD, SAS, NLSAS)• Másodlagos tárolók: 5,6 PB (Fujitsu CS8800, Quantum: SAS, SATA, LTO6)
Adatvédelem és a felhő kapcsolata
• jogszabály: 2011. évi CXII. törvény • - felhő alapú megoldások valamekkora része biztosan személyes adatokat kezel
(személyes adat – bármely meghatározott, a személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személlyel kapcsolatba hozható adat, valamint az adatból levonható, az érintettre vonatkozó következtetés)
• - ebből következően a felhő alapú szolgáltatást nyújtó szolgáltatók minimum, adatfeldolgozónak, de néha adatkezelőnek minősülnek(adatkezelő – aki önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;adatfeldolgozó -aki szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - az adatkezelési műveletekhez kapcsolódó technikai feladatokat végzi, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik)
Felhő alapú számítástechnika adatvédelmi kockázatai• Nincs egységes nemzetközi szabályozás
– a magyar állam áll mögötte, egyértelmű a szolgáltatást nyújtó• Globális szolgáltatás
– meghatározott földrajzi helyekről nyújtják, auditálható, a magyar jog alkalmazandó, egyértelmű a felelősség
• Bonyolult általános szerződési feltételek– hazai jogrendszeren belül, megoldható feladatok, részletekre figyelni
kell• Érintetti jogok nem érvényesülnek megfelelően
– szereplőkre pontos szabályok vonatkoznak• Adatbiztonsági kihívások
– könnyebben ellenőrizhető a felhő szolgáltató– könnyebb intézményesített jelentési kötelezettséget előírni
Adatvédelmi kockázatok kezelése a Kormányzati Felhővel• Nincs egységes nemzetközi szabályozás
– a magyar állam áll mögötte, egyértelmű a szolgáltatást nyújtó• Globális szolgáltatás
– meghatározott földrajzi helyekről nyújtják, auditálható, a magyar jog alkalmazandó, egyértelmű a felelősség
• Bonyolult általános szerződési feltételek– hazai jogrendszeren belül, megoldható feladatok, részletekre
figyelni kell• Érintetti jogok nem érvényesülnek megfelelően
– szereplőkre pontos szabályok vonatkoznak• Adatbiztonsági kihívások
– könnyebben ellenőrizhető a felhő szolgáltató– könnyebb intézményesített jelentési kötelezettséget előírni
Információ biztonság jogszabályi követelmények• 2013. évi L. törvény:
2§ (2) E törvény rendelkezéseit kell alkalmazni:a) az (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők,b) a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói,c) az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek
• elektronikus információs rendszereinek védelmére.• 309/2011 (XII. 23.) Korm. Rendelet a központosított informatikai és
elektronikus hírközlési szolgáltatásokról• 38/2011. (III. 22.) Korm. Rendelet a nemzeti adatvagyon körébe tartozó
állami nyilvántartások adatfeldolgozásának biztosításáról• 346/2010. (XII. 28.) Korm. Rendelet a kormányzati célú hálózatokról
Információ biztonsági besorolás• NISZ Szervezeti kötelezettség: 5 (legmagasabb) biztonsági szint
– bármely biztonsági osztályba (1-5) sorolt rendszer üzemeltetethető általa
• Tetszőleges informatikai rendszer– biztonsági osztály: 1-5, az adatgazda felelőssége besorolni
• Kormányzati Felhő biztonsági szintje– nem önálló informatikai rendszer, nem besorolható (IaaS)– alkalmazói rendszerrel és adatokkal együtt történhet meg a besorolás– nem tartalmaz olyan szűkítést, ami megakadályozná a legmagasabb
szint elérését
Bővítési lehetőségek• kapacitás: bármely, műszakilag megfelelő, gyártó integrálható
– szerverek: Dell, Fujitsu, Cisco UCS, ...– tárolók: NetApp, EMC, Hitachi, IBM, Fujitsu, ...– hypervizor: KVM, XEN, Citrix
• biztonság– secure multitenancy (Cisco UCS + Cisco SW + NetApp + VMware)– beépített biztonsági elemek (Intel TXT, AES-NI) használata– SecaaS: Security as a Service, 2013. évi L. törvénynek való megfelelés támogatása
• nyílt forráskódú, platformfüggetlen menedzsment– Openstack, eredeti és gyártói disztribúciók használata
• szolgáltatási szint emelés– platform
• operációs rendszer, adatbázis (DBaaS), köztes réteg, SOA– szolgáltatás
• ERP, levelezés, tartalomkezelés, CRM, CallCenter, ...
27
Gazdag Ferencgazdag.ferenc@nisz.
huhttp://www.kof.hu