въведение
Поради факта, че наближава 2020 г. и „часът на хей“, когато ще е необходимо да се докладва за изпълнението на заповедта на Министерството на телекомуникациите и масовите комуникации за прехода към местен софтуер (като част от заместването на вноса) , и не само , получих задача да разработя план, всъщност, за изпълнение на заповед на Министерството на съобщенията и медиите № 334 от 29.06.2017 юни XNUMX г. И започнах да го разбирам.
Първата статия беше за . И предизвика толкова шум, имаше толкова много коментари, написани под него, че, честно казано, бях малко шокиран...
И така, както беше обещано, дойде времето да започнем „поредица от статии за това как изпълнихме заповедта и се справихме с обстоятелствата“. Не знам колко дълъг ще бъде този цикъл, но има желание да се опише целият процес от началото до края, но няма достатъчно време за това, защото писането на статии отнема много време и трябва да се храните вашето семейство =)
Първата статия ще бъде посветена на проучването на съществуващите опции и техния повърхностен анализ, за да се състави схема за изучаване на опциите на практика. Защото преди да сглобите тестов стенд, трябва да разберете какво да тествате върху него.
Така че, моля, под кат.
Глава 1. Как е
За да:
Hyper-V, ESXI като платформи за виртуализация. Защо и двете? Защото единият е в компанията майка, другият е в клона. Ето как се е случило исторически (c)
Windows Server 2012 R2 2016 и CentOS 7 като сървърни ОС
Windows 7 като клиентска ОС
1s на етап изпълнение въз основа на MSSQLServer Standard
ТЕКТОН на Жар птица 1.5 (Дори не питайте... Но все пак ще попитате, нали?.. Е, това е нечий дипломен проект, който беше закупен от нашето предприятие в началото на 2005 г., изглежда, по неизвестни за мен причини. И сега безуспешно се опитваме да превключим от него към 1s..)
ОАЗИС на същия MSSQLServer Standard като софтуер за отчети към Пенсионния фонд на Русия
Zabbix на MariaDB
обмен и Zambra OSE. Защо и двете? Защото имаме 2 мрежови вериги. Едната от които по никакъв начин не е свързана с външния свят, а втората верига... ами информационната сигурност смята, че така трябва да бъде и не ни позволява да настроим рутинг и да направим всичко правилно, а кои са да спорим с информационната сигурност?.. С една дума, така се е случило исторически (c) (2)
IFS на Оракул, CompanyMedia на IBM Domino. Първият е за преддоговорни дейности, вторият е „работен“ документооборот... Защо CompanyMedia е във файлова база данни през 2019 г.? Вярвате или не, зададох им същия въпрос - те не намериха отговор. Защо е необходимо такова чудовище като IFS за преддоговорни дейности? да
Microsoft Office. Тук трябва да изясним. В допълнение към стандартния потребителски набор, от незапомнени времена (четете преди да дойда тук) имаме база данни, написана в Access. Какво има в него и защо, нямам ни най-малка представа, но „наистина ни трябва, не можем да работим без него!“, а ние имаме такова нещо в Excel... Невъзможно е да разбера как работи и как напускането също не е известно. Има огромен брой макроси, които извличат данни от тъмнината на файловете и правят нещо с тях. Дори авторът на това творение не знае как работи. Пренаписването на това е подобно на препроектиране на базата данни... Накратко, не можем просто да станем и да напуснем MS Office.
спътник като интернет браузър наскоро
OpenFire + Pidgin като чат
Консултант+ и TechExpert
Архивиране и репликация на Veeam и Veeam Agent за Windows в тяхната безплатна версия
Е, куп сървърни чипове на Windows, като AD, DNS, DHCP, WDS, CS, RDP, отдалечено приложение, KMS, WSUS и след това малко по малко.
Всичко това се издигна почти от нулата, с пот и кръв, страдание и гугъл. И сега е дошло времето да унищожим всичко това. Извън екрана трябва да има хомирски смях, а в очите на главния герой, четете ме, да напират сълзи...
Но наистина ли всичко е толкова лошо? Нека разгледаме вариантите.
Глава 2. Как трябва да бъде
Можете да следвате пътя на „руските хеликоптери“, тоест да се опитате напълно да отхвърлите вражеските системи, базирани на Windows, и да преминете към 100% „домашен“ (кавичките не са случайни) софтуер. „Хардкор“ опцията включва забавление да разрушите Windows за всички, да инсталирате всяка операционна система, която желаете от регистъра на Министерството на телекомуникациите и масовите комуникации с MyOffice или LibreOffice, инсталиран на нея, и да видите кой потребител ще се появи. Забавен? Несъмнено. Продуктивен? Въобще не.
За да разбера допълнителни разсъждения, ще дам съдържанието на софтуера OS Astra Linux SE 1.6, от което следва, че цялата инфраструктура, която в момента е базирана на продукти на Microsoft, може да бъде заменена със софтуер, включен в Astra. Възможно е, но не означава, че е необходимо. Все още не съм пробвал всичко това в тестова среда с поне няколко дузини възли, току-що разположих тестов стенд и дори тогава го погледнах повърхностно. Но има инструменти.
Софтуер, включен в Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- exim4
- гълъбарник
- Буревестник
- GIMP
- алса
- VLC
- CUPS
- Обвързване9
- Iscdhcpserver
- SAMBA
На уебсайта на OS в описанието на изданието има история, че Zabbix е включен. Но ако се поровите из Wiki, има статия как да инсталирате Zabbix... от която можете да заключите, че Apache, Postgre, php всички са инсталирани от хранилището. И по-горе казахме, че само това, което е включено в пакета, е законно... И това объркване ме побърква!!!!11 Ами в смисъл, че не е ясно кое е възможно и необходимо, и кое не и " няма да проработи". Изглежда, че пакетите от хранилището също са легитимни. Но дали е така? Изглежда, че да, но...
В резултат на това трябва да приемем, че всичко, което е в хранилищата на ОС, може да се нарече местен софтуер. Изключваме логиката и просто правим като всички останали. Инсталираме, използваме и отчитаме заместването на вноса. В крайна сметка всички знаем защо е измислено всичко това..
Можете също така да издигнете цялата инфраструктура на базата ROSA Linux Enterprise Server. И това още не съм го пробвал. (Всички тестове и резултати ще бъдат публикувани в следващата статия от тази серия, ако всичко върви по план.)
Софтуер, включен в ROSA Enterprise Linux Server
- инструменти за внедряване на IPA домейн (аналогично на Microsoft Active Directory)
- Nginx и Apache
- MySQL и PostgreSQL
- Zimbra, Exim, Postfix и Dovecot
- пейсмейкър, коросинхрон
- DRBD
- Bacula
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- разширен инструмент за управление на атрибути ROSA Chattr
- инструмент за криптиране на информация ROSA Crypto Tool
- средство за почистване на памет ROSA Memory Clean
- ROSA Shred гарантирано средство за премахване на файлове
Можете ли да вземете безплатно? Изчислете Linux и на негова база да се изгради цялата инфраструктура. Списък с пакети Calculate Linux можете да намерите тук .
От горното следва, че е възможно да се изгради цялата необходима инфраструктура, по същество от нулата. Това ще изисква колосален разход на ресурси, тонове администраторски нерви, килотони кафе и много време за отстраняване на грешки. Прагът за влизане ще бъде много труден за преодоляване. Но е възможно. Но е трудно. Но ще работи. Но е трудно. Но но...
Друг вариант е да оставим всичко както си е и да се надяваме, че няма да има проверки и просто ще забравят за нас. Но трябва всяка година да докладваме на министерството за прехода към домашен софтуер. Така че и това не е вариант.
Затова предлагам да подходим от гледна точка на здравия разум.
Има такъв знак:
Това, което следва, е по същество дълга дискусия, така че ако не се интересувате, можете веднага да преминете към получената таблица (Глава 2.1.). А тези, които обичат многокниги, сте добре дошли.
И така, ето го. Трябва да доведем показателите до установените граници. Реално това означава, че трябва да заменим съществуващите операционни системи с продукти от регистъра на Министерството на телекомуникациите и масовите комуникации и да увеличим броя на заменените операционни системи до 80%. Освен това не се прави разлика между сървърни и клиентски операционни системи. Това ни дава поле за маневриране. Който? Можем глупаво да инсталираме тънки клиенти, базирани на операционната система от регистъра за потребителите, и да ги принудим всички да влизат в RDP. В нашия случай, когато броят на служителите е приблизително 1500 души, получаваме 1200 „парчета“ (всъщност повече, тъй като имаме не само потребителски операционни системи, но и сървърни, но тази статия не е за точни изчисления), а 300 остават за онези 20%, които не могат да бъдат променени. И какво, 300 Windows сървъра не са достатъчни, за да изградим правилно обичайната архитектура? Това също включва специфичен софтуер, който не може да работи на нищо друго освен Windows, а често и на Windows XP. Но 300 коли. Няма да е достатъчно? Сериозно?
Тук също трябва да се отбележи, че най-добрата практика в този случай би била служителите предварително да бъдат обучени за работа с нов софтуер. Без това съществува огромен риск просто да поставите цялото производство на колене и да парализирате работата на цялото предприятие за неопределен период от време. Защото ако всичко не е толкова страшно с операционната система, потребителят често не се нуждае от нищо друго освен да стартира приложението Office на браузъра 1c, да потърси необходимия файл и да стартира Solitaire. Но в Office1s те работят постоянно (засега не вземаме под внимание проектантските инженери - има бележка под линия за CAD в глава 2.1 - производство и т.н.), цялото отчитане минава през Excel филтри и т.н. Е, за тези, които по една или друга причина не могат да работят с безплатен софтуер, добре дошли в RDP.
Така че можем спокойно да оставим клъстера включен Hyper-V, тъй като го имаме и го харесваме, това е 12 възела в нашия случай, от ESXI ще трябва да си тръгна. Освен това изисква "железен" домейн контролер + виртуален домейн контролер. Общо 14. Е, или оставете ESXi, оставяйки Hyper-V, както искате, числата ще останат същите. На домейн контролери ще имаме AD, DNS, DHCP, CS. С малък брой Windows машини WSUS може да се пренебрегне. KMS Можете също да го завинтите към домейн контролер. WDS вече не е необходимо. Все още има останали някои услуги на Windows RDP сървъри. Е, все още имаме още 286 неизползвани потенциални „неща“ за Windows. RDP фермата ще заеме още 8-10 Windows OS. Общо имаме 276 единици за специфичен софтуер за научни отдели и CAD.
операционна системаНяма значение каква ОС е - , , , , , . Трябва да изберете нещо, което ще задоволи потребителите. Не мога да кажа как да избера, това са много тънки неща. Всъщност всички те са поне сходни на външен вид (и единственото, което има значение за потребителя, е как изглежда и колко удобно е да се използва). Просто ще инсталирам няколко от всяка операционна система и ще помоля най-малко заетите потребители да я използват за половин или час. Каквото и да кажат, вероятно затова ще танцуваме.
AlterOS и Halo OS не се предлагат за публична продажба. Това означава, че няма да ги взема предвид, защото това „не е наистина бизнес“ изобщо не ме харесва.
Относно OS OSВ лицензионното споразумение се казва:
1.4 Лицензионното споразумение не предоставя изключително право върху Софтуерния продукт, а само правото да се използва едно копие на Софтуерния продукт за нетърговски цели в съответствие с условията, определени в Раздел 2 от Лицензионното споразумение.
2.4 Лицензополучателят има право да използва с нетърговска цел софтуерния продукт на неограничен брой сървъри и работни станции.
По този начин не можем да го използваме в предприятието, въпреки че е включено в регистъра на Министерството на далекосъобщенията и масовите комуникации. Това е тъжно поради причината, че е безплатно. Но разработчиците имат нещо нередно със сайта, защото не мога да изтегля дистрибуцията от няколко седмици и не получих отговор на имейлите си за поддръжка. Какво? Защо? не знам
Офис пакетиСитуацията е следната - трябва да доведем и броя на домашните „офиси“ до 80%, което също е 1200 „броя“. Тези 1200 „парчета“ вече са включени в базираната на Linux операционна система, която ще инсталираме за потребителите. Няма значение, всички дистрибуции включват безплатен офис пакет. Най-често това . Но можем безопасно да инсталираме пакет от Microsoft на RDP сървъри, тъй като не искаме потребителите да са без работа за неопределен период от време (поне докато не бъдат обучени да работят с новия офис софтуер), защото не могат да намерят в новият редактор на таблици вашият любим бутон. Това има и отделно предимство - архивиране на документите на служителите, които ще се съхраняват на едно място и смъртта на твърдия диск вече не е страшна.
обменЩе трябва да го съборим. За съжаление, няма начин да се заобиколи тази цифра от 80%, тъй като поръчката показва „броя потребители“, а не процент от броя на пощенските сървъри в Enterprise. И тъй като трябва да го заменим с нещо от регистъра на Министерството на телекомуникациите и масовите комуникации, нямаме голям избор. Това е едно от двете Или Или . Или можете да инсталирате ROSA и в двете мрежи, което има , и се радвам, защото за моя вкус Zimbra е много по-удобна и приятна от MyOffice Mail, която е малко повече от напълно ужасна, а CommuniGate Pro също не ми хареса. Освен това Zimbra може лесно да вземе цялата поща от Exchange, ако е необходимо да запази историята на кореспонденцията на потребителите. Между другото, написах няколко статии за Zimbra OSE в Habr (, и ) Но, зависи от вкуса и цвета, както се казва.
Правни справочни системиАко бяха, тогава най-вероятно беше някакъв вид , , и други като тях. Тоест те са руско производство. Ако не, има избор =)
Антивирусен софтуерОсвен това 100% трябва да са домашни. Е, те не могат да поверят защитата на вътрешната отбранителна индустрия на буржоазни програми ... За избор - , , .
VeeamVeeam BackUp и репликация. Ситуацията с него е странна. Има версия, сертифицирана от FSTEC, но в регистъра на Министерството на телекомуникациите и масовите комуникации изобщо няма продукти от Veeam. От друга страна, заповедта на министерството не съдържа графа „софтуер за архивиране“. Така че ситуацията тук е двойна. Ако оставим Windows базираните услуги и особено Hyper-V, Veeam значително улеснява архивирането на виртуални машини, много е удобно и непретенциозно и Veeam агент за Windows ви позволява да архивирате дъмп на файл, има много проста настройка и удобен за потребителя интерфейс, има автоматично откриване на дублиране на данни и тяхното изрязване и т.н. С една дума, ако оставим хипервайзора от Microsoft, можем да се опитаме да напишем лист хартия, че Veeam няма аналози и че наистина се нуждаем от него. Опитът не е мъчение, но не мога да кажа какво ще излезе.
1sТук започват въпросите, тъй като изглежда имат версия за Linux. И дори изглежда, че работи. Но в действителност никой не го използва. Следователно ще трябва да присвоим друга Windows машина към 1c сървъра. Или дори две. Остават общо 274. СУБД - PostgreSQL, разбира се. Въпреки факта, че не е домашен, той е в регистъра на Министерството на съобщенията и съобщенията. 1c може да работи с него, а самата СУБД е доста добра. Не е лесен за настройка, но много добър. В допълнение, той лесно се инсталира на всяка Linux дистрибуция и като част от същата Astra обикновено се доставя като комплект.
ДокументооборотЕ, с IFS Ясно е, че ще трябва да го оставите на 100%. Фирмени медии - остават въпроси. Софтуерът е местен, вписан е в регистъра на Министерството на телекомуникациите и масовите комуникации, това е всичко. Но. IBM Domino се лицензира и закупува отделно и следователно не може да се използва. От друга страна, имайте Фирмени медии има версия за PostgreSQL. Но изпълнихме точно IBM Domino. Да, имам силно негативно отношение към този “продукт” на фирма Интертръст, наречен Company Media, от самото споменаване ми става гадно. Но това не е важно. Така че или преместваме CM към PostgreSQL, или търсим друга система за управление на документи. Регистърът съдържа избирам. Но на този етап няма да се спирам на този въпрос, тъй като много пари бяха похарчени за Company Media и по-нататъшната му съдба все още не е ясна, но бих искал да вярвам в здравия разум и просто да прехвърля системата на PostgreSQL. Така че просто ще оставя списък със софтуер от регистъра.
Мултимедийни инструментиНе го смятам. Те не само са тясно приложими, но и в предприятията, попадащи в програмата за заместване на вноса, дори и да се използват, то е само за колажиране на пощенски картички за 23 февруари от счетоводни служители. И „стоки от първа необходимост“ са включени в ОС.
Интернет браузърипозволен , . В същото време Mozilla Firefox е включен в почти всички операционни системи от регистъра. Мисля, че няма да има проблеми с това. И за приложения, които могат само Internet Explorer оставихме вратичка под формата на RDP сървъри.
Открит огънЕстествено отказваме. Защо? Защото трябва да приложим 1s Битрикс24! Всъщност ние отказваме не по тази причина, а защото го няма в регистъра, но като цяло заменяме чата с портал, който има чат услуга, така че... добре... това е... схванахте идеята. Тук. да да Или можете да използвате ejabberd като jabber сървър като част от ROSA Linux. Там има и чат клиент, ако не се лъжа - Мирка. Това е в случай, че нямате 1C Bitrix24.
ZabbixЕстествено не е представена в регистъра на Министерството на далекосъобщенията и масовите комуникации. Но. IN Посочва се, че включва Zabbix версия 3.4. Така че, ако искаме да получим „легален“ Zabbix, ще ни трябва поне едно копие на тази операционна система.
Пощенски клиентИзпратено от Буревестник включен с почти всички операционни системи от регистъра. Ако не сте доволни от него, ще трябва да го закупите отделно, като част от същия Моят офиснапример или „P7-офис. организатор". Честно казано, вече не намирах отделни имейл клиенти в регистъра на Министерството на съобщенията. Да, Thunderbird също ми пасна. Ако пишете в коментарите, ще го добавя тук.
Банкови клиентиТрябва да го тестваме. На теория, Криптопро може да го направи в Linux, но в действителност не съм го тествал лично. На теория би трябвало да работи, но ако нещо се обърка, тогава имаме опция за RDP сървър.
Глава 2.1. Смесване
В резултат на това получих тази таблица с опции, на базата на които ще се правят изводи и ще се правят планове:
Което е логично - ако все още има нужда да преминете от домейн на Windows към Astra или Rosa или нещо друго, тогава има смисъл да прехвърлите клиентските машини към продукт от същия производител, по този начин можете да намалите броя на грешките когато се опитвате да се „приятелите“ един с друг.
Във връзка с PostgreSQL и PostgreSQL PRO трябва да разберете какво имат , включително и в скоростта. PRO версията е по-продуктивна. За „нормална“ работа същата безплатна версия на 1C най-вероятно не е достатъчна.
Astra Linux SpecialEdition и ROSA DX "NICKEL" са сигурни системи, сертифицирани за работа с държавни тайни, тайни и др.
по отношение на CAD: Тези въпроси бяха повдигнати в коментарите към предишната статия. ROSA Linux има следното в своите хранилища :
- freecad
- KiCAD
- LibreCAD
- OpenCascade
- QCAD
- QCAD3d
Естествено всичко това е безплатен софтуер. Но тъй като регистърът на Министерството на телекомуникациите и масовите комуникации не посочва CAD пакети, най-вероятно този тип софтуер ще попадне в категорията „незаменим“ и може да бъде закупен или използван при съществуващи лицензи, като напишете съответния документ на министерството.
Същото важи и за друг високоспециализиран софтуер, от който, за съжаление, има много в нашите предприятия. Ще трябва да пишете документи и със сълзи да се молите да не унищожавате и да ви бъде дадена възможност да продължите да работите. Най-вероятно ще дадат разрешение.
PS:
Няма да бъда оригинален. Цялата тази „суетене“ с вносозаместването изглежда изключително странна, ако изберем меки изрази. Всъщност нашият софтуер само произвежда Yandex, Acronis, Kaspersky, 10-удар (с разтягане) 1s, Аскон, Аби, Д -р Уеб. Е, и куп малки компании. Но всичко това са толкова тясно нишови разработки (може би с изключение на Yandex), че можем да кажем, че почти никога не правим софтуер. И всичко, което ни се предлага като част от програмата за заместване на вноса, е просто „доказан“ софтуер, разработен от чужбина. Тоест, по същество те ни предлагат срещу пари (и то много) същия софтуер, който бихме могли да изтеглим и използваме безплатно. ROSA е базирана на Mandriva, Astra - Debian GNU. Astra може да свърже хранилището на Debian и да надстрои. Крайният резултат е нещо интересно. Всички пакети за един и същ DNS, DHCP, ALD, ROSA Domain, Dovecot и всичко останало не са нищо повече от софтуерни пакети с отворен код, някои от които бяха леко „ретуширани и измазани“, докато останалите изобщо не бяха пипани, просто „ проверено” за наличие на отметки. Не е ясно за какъв „домашен софтуер“ говорим.
От друга страна, Linux администраторите ще бъдат свикнали да работят с вече познат софтуер, което донякъде ще намали бариерата за влизане. Но както и да е, всички контролирани индустриални предприятия ще трябва да преминат към този „домашен“ софтуер. Така че „ще се видим в следващата статия“, ако не бъда вкаран в затвора или уволнен за тази =)
Източник: www.habr.com