Introducció
A causa del fet que s'acosta el 2020 i de l'"hora del bon", quan caldrà informar sobre l'aplicació de l'ordre del Ministeri de Telecomunicacions i Comunicacions Massives sobre la transició al programari nacional (com a part de la substitució d'importacions) , i no només , vaig rebre l'encàrrec d'elaborar un pla, de fet, per aplicar l'ordre del Ministeri de Comunicacions i Mitjans de Comunicació núm. 334 de 29.06.2017 de juny de XNUMX. I vaig començar a esbrinar-ho.
El primer article tractava sobre . I va causar tant d'entusiasme, hi havia tants comentaris escrits a sota que, per ser sincer, em va sorprendre una mica...
Així, tal com vam prometre, ha arribat el moment de començar "una sèrie d'articles sobre com vam dur a terme l'ordre i com vam tractar les circumstàncies". No sé quant durarà aquest cicle, però hi ha la voluntat de descriure tot el procés des del principi fins al final, però no hi ha prou temps per a això, perquè escriure articles porta molt de temps, i cal alimentar-se. la teva família =)
El primer article es dedicarà a l'estudi de les opcions existents i la seva anàlisi superficial per tal d'elaborar un esquema per estudiar les opcions a la pràctica. Perquè abans de muntar un banc de proves, cal entendre què provar-hi.
Així que, si us plau, sota el gat.
Capítol 1. Com és
En ordre:
Hyper-V, ESXI com a plataformes de virtualització. Per què tots dos? Com que un és a l'empresa matriu, l'altre és a la sucursal. Així va passar històricament (c)
Windows Server 2012 R2 2016 и CentOS 7 com a sistema operatiu de servidor
Windows 7 com a sistema operatiu client
1 s en l'etapa d'implementació basada en MSSQLServer Standard
TECTON en Ocell de foc 1.5 (Ni pregunteu... Però preguntareu igualment, oi?... Bé, aquest és el projecte de graduació d'algú que va ser comprat per la nostra empresa a principis de 2005, sembla, per motius desconeguts per a mi. I ara estem intentant canviar sense èxit a 1s..)
OASIS en el mateix MSSQLServer Standard que el programari per als informes al Fons de Pensions de Rússia
Zabbix en MariaDB
Exchange и Zambra OSE. Per què tots dos? Perquè tenim 2 circuits de xarxa. Un dels quals no està connectat de cap manera amb el món exterior i el segon circuit... bé, la seguretat de la informació creu que així ha de ser, i no ens permet configurar l'encaminament i fer-ho tot correctament, i qui són hem de discutir amb la seguretat de la informació?.. En una paraula, així ha passat històricament (c) (2)
IFS en Oracle, CompanyMedia en IBM Domino. El primer és per a activitats precontractuals, el segon és el flux de documents "de treball"... Per què CompanyMedia es troba en una base de dades d'arxius el 2019? Ho creieu o no, els vaig fer la mateixa pregunta: no van trobar cap resposta. Per què es necessita un monstre com IFS per a activitats precontractuals? Sí.
Microsoft Office. Hem d'aclarir aquí. A més del conjunt d'usuaris estàndard, des de temps immemorials (llegit abans de venir aquí) tenim una base de dades escrita en Access. Què hi ha i per què, no en tinc ni la més mínima idea, però “ens ho necessitem realment, no podem treballar sense ell!”, i tenim una cosa així a Excel... És impossible esbrinar com es fa. funciona, i també es desconeix com marxar. Hi ha un gran nombre de macros que treuen dades de la foscor dels fitxers i fan alguna cosa amb elles. Fins i tot l'autor d'aquesta creació no sap com funciona. Reescriure això és semblant a redissenyar la base de dades... En resum, no ens podem limitar i deixar MS Office.
Satèl·lit recentment com a navegador d'Internet
OpenFire + Pidgin com a xerrada
Consultor+ и TechExpert
Còpia de seguretat i rèplica de Veeam и Veeam Agent per a Windows en la seva versió gratuïta
Bé, un munt de xips de servidor de Windows, com AD, DNS, DHCP, WDS, CS, RDP, Aplicació remota, KMS, WSUS i més enllà de petites coses.
Tot això va pujar gairebé des de zero, amb suor i sang, patiment i Google. I ara ha arribat el moment de destruir-ho tot. Hi hauria d'haver riures homèriques fora de la pantalla, i als ulls del personatge principal, llegiu-me, les llàgrimes haurien de brollar...
Però és tot tan dolent? Vegem les opcions.
Capítol 2. Com hauria de ser
Podeu seguir el camí dels "Helicòpters russos", és a dir, intentar rebutjar completament els sistemes enemics basats en Windows i canviar al programari 100% "domèstic" (les cometes no són accidentals). L'opció "hardcore" consisteix a divertir-se desmuntant Windows per a tothom, instal·lant qualsevol sistema operatiu que us agradi des del registre del Ministeri de Telecomunicacions i Comunicacions Massives amb MyOffice o LibreOffice instal·lat, i veure quin usuari sorgeix. Divertida? Sens dubte. Productiu? No del tot.
Per entendre més raonaments, donaré el contingut del programari a OS Astra Linux SE 1.6, de la qual es dedueix que tota la infraestructura que actualment es basa en productes de Microsoft es pot substituir per programari inclòs a Astra. És possible, però no vol dir que sigui necessari. Encara no he provat tot això en un entorn de prova amb almenys un parell de dotzenes de nodes, acabo de desplegar un banc de proves i, fins i tot, ho vaig mirar superficialment. Però hi ha eines.
Programari inclòs amb Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- exim4
- Palomar
- Thunderbird
- GIMP
- alsa
- VLC
- CUPS
- bind9
- Iscdhcpserver
- SAMBA
Al lloc web del sistema operatiu, a la descripció del llançament, hi ha una història que inclou Zabbix. Però si remeneu la Viqui, hi ha un article sobre com instal·lar Zabbix... del qual podeu concloure que Apache, Postgre, php estan instal·lats des del repositori. I més amunt dèiem que només és legítim allò que inclou el paquet... I aquesta confusió em torna boig!!!!11 Bé, en el sentit que no queda clar què és possible i necessari, i què no i " no funcionarà". Sembla que els paquets del dipòsit també són legítims. Però ho és? Sembla que sí, però...
Com a resultat, hem de suposar que tot el que hi ha als dipòsits del sistema operatiu es pot anomenar programari domèstic. Apaguem la lògica i fem com tothom. Instal·lem, utilitzem i informem sobre la substitució d'importacions. Al final, tots sabem per què es va inventar tot això..
També podeu aixecar tota la infraestructura a la base Servidor empresarial ROSA Linux. Jo tampoc ho he provat encara. (Totes les proves i resultats es publicaran al proper article d'aquesta sèrie si tot va segons el previst.)
Programari inclòs amb ROSA Enterprise Linux Server
- eines per implementar el domini IPA (anàleg a Microsoft Active Directory)
- Nginx i Apache
- MySQL i PostgreSQL
- Zimbra, Exim, Postfix i Dovecot
- marcapassos, corosync
- DRBD
- Bacula
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- eina avançada de gestió d'atributs ROSA Chattr
- eina de xifratge d'informació ROSA Crypto Tool
- netejador de memòria ROSA Memory Clean
- Eina d'eliminació de fitxers garantida de ROSA Shred
Pots agafar-ne un gratis? Calculeu Linux i construir tota la infraestructura sobre la seva base. Podeu trobar una llista de paquets de Calculate Linux aquí .
De l'anterior es dedueix que és possible construir tota la infraestructura necessària, essencialment des de zero. Això requerirà una despesa colossal de recursos, tones de nervis administratius, quilotones de cafè i molt de temps per a la depuració. El llindar d'entrada serà molt difícil de superar. Però és possible. Però és difícil. Però funcionarà. Però és difícil. Però... Però...
Una altra opció és deixar-ho tot com està, i esperem que no hi hagi controls i simplement s'oblidin de nosaltres. Però hem d'informar al ministeri de la transició al programari nacional cada any. Així que tampoc és una opció.
Per això, proposo abordar-ho des del costat del sentit comú.
Hi ha un senyal com aquest:
El que segueix és essencialment una discussió llarga, de manera que si no us interessa, podeu passar immediatament a la taula resultant (Capítol 2.1.). I els amants dels llibres múltiples, sou benvinguts.
Així que aquí està. Hem de portar els indicadors als límits establerts. En realitat, això vol dir que hem de substituir els sistemes operatius existents per productes del registre del Ministeri de Telecomunicacions i Comunicacions Masses i augmentar el nombre de sistemes operatius substituïts fins al 80%. A més, no es fa cap distinció entre els sistemes operatius de servidor i de client. Això ens dóna marge de maniobra. Quin? Podem instal·lar estúpidament clients lleugers basats en el sistema operatiu des del registre per als usuaris i forçar-los a tots a RDP. En el nostre cas, quan el nombre d'empleats és d'aproximadament 1500 persones, obtenim 1200 "peces" (en realitat més, ja que no només tenim sistemes operatius d'usuari, sinó també de servidor, però aquest article no tracta de càlculs exactes) i en queden 300. per a aquells el 20% que no es pot canviar. Aleshores, 300 servidors Windows no són suficients per construir correctament l'arquitectura habitual? Això també inclou programari específic que no pot executar-se en res més que Windows, i sovint també a Windows XP. Però 300 cotxes. No serà suficient? De debò?
Aquí també cal tenir en compte que la millor pràctica en aquest cas seria entrenar els empleats amb antelació per treballar amb programari nou. Sense això, hi ha un gran risc de posar de genolls tota la producció i paralitzar el treball de tota l'empresa per un període indefinit. Perquè si tot no fa tanta por amb el sistema operatiu, sovint l'usuari no necessita res més que llançar l'aplicació Office del navegador 1c, cercar el fitxer necessari i llançar Solitaire. Però a Office1s funcionen constantment (de moment no tenim en compte els enginyers de disseny - hi ha una nota a peu de pàgina sobre CAD al capítol 2.1 - producció, etc.), tots els informes passen per filtres d'Excel, etc. Bé, per a aquells que, per una raó o una altra, no poden treballar amb programari lliure, benvinguts a RDP.
Per tant, podem deixar el clúster activat amb seguretat Hyper-V, com que el tenim i ens agrada, això és de 12 nusos en el nostre cas, de ESXI Hauré de marxar. A més, requereix un controlador de domini "ferro" + un controlador de domini virtual. Total 14. Bé, o sortiu d'ESXi, sortint d'Hyper-V, com vulgueu, els números seguiran sent els mateixos. En els controladors de domini tindrem AD, DNS, DHCP, CS. Amb un petit nombre de màquines Windows WSUS es pot descuidar. KMS També podeu connectar-lo a un controlador de domini. WDS ja no és necessari. Encara queden alguns serveis de Windows Servidors RDP. Bé, encara ens queden 286 "coses" potencials sense utilitzar per a Windows. La granja RDP ocuparà un altre sistema operatiu Windows 8-10. En total, ens queden 276 unitats per a programari específic per a departaments científics i CAD.
SONo importa quin sistema operatiu sigui - , , , , , . Heu de triar alguna cosa que satisfà els usuaris. No puc dir com triar, són qüestions molt subtils. De fet, tots són almenys semblants en aparença (i l'únic que importa a l'usuari és com es veu i com de còmode és d'utilitzar). Només instal·laré un parell de cada sistema operatiu i demanaré als usuaris menys ocupats que l'utilitzin durant mitja hora o una hora. Diguin el que diguin, per això probablement ballarem.
AlterOS i Halo OS no estan disponibles per a la venda pública. Això vol dir que no els tindré en compte, perquè aquest "no és realment un negoci" no m'agrada gens.
Sobre OS OSL'acord de llicència diu:
1.4 L'Acord de llicència no proporciona un dret exclusiu sobre el Producte de programari, sinó només el dret d'utilitzar una còpia del Producte de programari amb finalitats no comercials d'acord amb les condicions definides a la Secció 2 de l'Acord de llicència.
2.4 El llicenciatari té dret a un ús no comercial del Producte de programari en un nombre il·limitat de servidors i estacions de treball.
Així, no el podem utilitzar a l'Empresa, tot i que està inclòs en el registre del Ministeri de Telecomunicacions i Comunicacions de Masses. Això és trist perquè és gratuït. Però els desenvolupadors tenen alguna cosa malament amb el lloc, perquè fa diverses setmanes que no he pogut descarregar la distribució i no he rebut cap resposta als meus correus electrònics d'assistència. Què? Per què? No ho sé.
Paquets d'oficinaLa situació és la següent: també hem de portar el nombre d'oficines domèstiques al 80%, que també són 1200 "peces". Aquestes 1200 "peces" ja estan incloses al sistema operatiu basat en Linux que instal·larem per als usuaris. No importa, totes les distribucions inclouen una suite ofimàtica gratuïta. Molt sovint això . Però podem instal·lar de manera segura un paquet de Microsoft als servidors RDP, ja que no volem que els usuaris estiguin sense feina durant un període de temps indefinit (almenys fins que estiguin entrenats per treballar amb el nou programari d'oficina) perquè no hi trobin. el nou editor de taules el teu botó preferit. Això també té un avantatge independent: còpia de seguretat dels documents dels empleats, que es guardaran en un sol lloc, i la mort del disc dur ja no fa por.
ExchangeL'haurem d'enderrocar. Malauradament, no hi ha manera d'eludir aquesta xifra del 80%, ja que l'ordre indica el "nombre d'usuaris", i no un percentatge del nombre de servidors de correu a l'empresa. I com que hem de substituir-lo per alguna cosa del registre del Ministeri de Telecomunicacions i Comunicacions Masses, no tenim gaire opció. No ho és O O . O podeu instal·lar ROSA a les dues xarxes, que té , i alegra't, perquè per al meu gust Zimbra és molt més còmode i agradable que MyOffice Mail, que és una mica més que completament terrible, i tampoc m'ha agradat CommuniGate Pro. A més, Zimbra pot agafar fàcilment tot el correu d'Exchange si és necessari per desar l'historial de correspondència dels usuaris. Per cert, vaig escriure un parell d'articles sobre Zimbra OSE a Habr (, и ) Però, depèn del gust i del color, com diuen.
Sistemes de referència legalSi ho eren, el més probable és que fos algun tipus , , i altres com ells. És a dir, són de fabricació russa. Si no, hi ha una opció =)
Programari antivirusA més, el 100% ha de ser domèstic. Bé, no poden confiar la protecció de la indústria de defensa nacional a programes burgesos... Per triar - , , .
VeeamCòpia de seguretat i replicació de Veeam. La situació amb ell és estranya. Té una versió certificada per FSTEC, però no hi ha cap producte de Veeam al registre del Ministeri de Telecomunicacions i Comunicacions Massives. D'altra banda, l'ordre del ministeri no conté la columna "programari de còpia de seguretat". Per tant, la situació aquí és doble. Si deixem els serveis basats en Windows, i sobretot Hyper-V, Veeam facilita molt la còpia de seguretat de màquines virtuals, és molt còmode i sense pretensions, i Agent de Veeam per a Windows permet fer una còpia de seguretat d'un bolcat de fitxers, té una configuració molt senzilla i una interfície fàcil d'utilitzar, hi ha detecció automàtica de duplicació de dades i el seu tall, etc. En una paraula, si deixem l'hipervisor de Microsoft, podem provar d'escriure un paper dient que Veeam no té anàlegs, i que realment ho necessitem. L'intent no és una tortura, però no puc dir què en sortirà.
1 sAquí és on comencen les preguntes, ja que sembla que tenen una versió per a Linux. I fins i tot sembla que funciona. Però en realitat ningú l'utilitza. Per tant, haurem d'assignar una altra màquina Windows al servidor 1c. O fins i tot dos. En total queden 274. SGBD - PostgreSQL, és clar. Tot i que no és nacional, està al registre del Ministeri de Comunicacions i Comunicacions. 1c pot funcionar amb ell, i el SGBD en si és força bo. No és fàcil de configurar, però molt bo. A més, s'instal·la fàcilment a qualsevol distribució de Linux i, com a part del mateix Astra, generalment es subministra com a kit.
Flux de documentsBé, amb IFS Està clar que l'hauràs de deixar al 100%. Mitjans de comunicació de l'empresa - Queden preguntes. El programari és domèstic, està al registre del Ministeri de Telecomunicacions i Comunicacions de masses, això és tot. Però. IBM Domino té llicència i es compra per separat i, per tant, no es pot utilitzar. D'altra banda, tenir Mitjans de comunicació de l'empresa hi ha una versió per PostgreSQL. Però vam implementar exactament IBM Domino. Sí, tinc una forta actitud negativa cap a aquest “producte” de l'empresa Intertrust anomenada Company Media, em fa sentir malalt; Però això és fora de sentit. Per tant, o movem CM a PostgreSQL, o busquem un altre sistema de gestió de documents. El registre conté triar. Però en aquesta fase no m'atendré a aquest tema, ja que es van gastar molts diners en els mitjans de comunicació de l'empresa i encara no està clar el seu destí, però m'agradaria creure en el sentit comú i simplement transferir el sistema a PostgreSQL. Així que només deixaré una llista de programari del registre.
Eines multimèdiaNo ho considero. No només són d'aplicació limitada, sinó que a les empreses que s'inclouen en el programa de substitució d'importacions, fins i tot si s'utilitzen, només és per col·locar postals del 23 de febrer per part dels empleats de comptabilitat. I els "béns essencials" s'inclouen al sistema operatiu.
navegadors d'InternetPermès , . Al mateix temps, Mozilla Firefox s'inclou a gairebé tots els sistemes operatius del registre. Crec que no hi haurà problemes amb això. I per a aplicacions que només poden Internet Explorer vam deixar una escletxa en forma de servidors RDP.
Obrir focNaturalment, ens neguem. Per què? Perquè hem d'implementar 1s Bitrix24! De fet, ens neguem no per aquest motiu, sinó perquè no està al registre, però en general estem substituint el xat per un portal que tingui servei de xat, així que... bé... ja està... agafar la idea. Aquí. Sí. Sí. O pots utilitzar ejabberd com a servidor jabber com a part de ROSA Linux. També hi ha un client de xat, si no m'equivoco: Mirka. Això és en cas que no tingueu 1C Bitrix24.
ZabbixNaturalment, no està representada en el registre del Ministeri de Telecomunicacions i Comunicacions de masses. Però. EN S'afirma que inclou la versió 3.4 de Zabbix. Per tant, si volem obtenir Zabbix "legal", necessitarem almenys una còpia d'aquest sistema operatiu.
Client de correuPresentat Thunderbird inclòs amb gairebé tots els sistemes operatius del registre. Si no estàs satisfet amb ell, hauràs de comprar-lo per separat, com a part del mateix La meva oficina, per exemple, o "P7-Oficina. organitzador". Per ser sincer, ja no vaig trobar clients de correu electrònic individuals al registre del Ministeri de Comunicacions. Sí, el Thunderbird també em va bé. Si escrius als comentaris, l'afegiré aquí.
Clients bancarisHem de provar-ho. En teoria, Cryptopro ho puc fer a Linux, però en realitat no ho he provat personalment. En teoria hauria de funcionar, però si alguna cosa va malament, tenim l'opció d'un servidor RDP.
Capítol 2.1. Mescla
Com a resultat, vaig acabar amb aquesta taula amb opcions, a partir de les quals s'extreuran conclusions i es faran plans:
El que és lògic: si encara cal canviar d'un domini de Windows a Astra o Rosa, o una altra cosa, té sentit transferir les màquines client a un producte del mateix fabricant, d'aquesta manera es pot reduir el nombre d'errors. quan intenteu "fer amistats" els uns amb els altres.
En relació a PostgreSQL и PostgreSQL PRO cal entendre què tenen , inclosa en velocitat. La versió PRO és més productiva. Per al treball "normal", la mateixa versió gratuïta 1C probablement no sigui suficient.
Astra Linux SpecialEdition i ROSA DX "NICKEL" són sistemes segurs certificats per treballar amb secrets d'estat, secrets, etc.
Quant a CAD: Aquestes preguntes es van plantejar als comentaris de l'article anterior. ROSA Linux té el següent als seus repositoris :
- freecad
- KiCAD
- LibreCAD
- Cascada oberta
- QCAD
- QCAD3d
Naturalment, tot això és programari lliure. Però, com que el registre del Ministeri de Telecomunicacions i Comunicacions de masses no indica paquets CAD, el més probable és que aquest tipus de programari entrarà dins de la categoria "insubstituïble" i es pot comprar o utilitzar amb les llicències existents escrivint el paper adequat a el ministeri.
El mateix passa amb altres programaris altament especialitzats, dels quals, malauradament, n'hi ha molt a les nostres Empreses. Haureu d'escriure papers i suplicar entre llàgrimes per no destruir, i se't donarà l'oportunitat de continuar treballant. El més probable és que donaran permís.
PS:
No seré original. Tot aquest "enrenou" amb la substitució d'importacions sembla extremadament estrany, si escollim expressions suaus. De fet, el nostre programari només produeix Yandex, Acronis, Kaspersky, 10- Vaga (amb un estirament) 1 s, Askon, Abby, Dr. Web. Bé, i un munt de petites empreses. Però tots aquests són desenvolupaments tan restringits (amb l'excepció de Yandex, potser) que podem dir que gairebé mai fem programari. I tot el que se'ns ofereix com a part del programa de substitució d'importacions és simplement programari desenvolupat a l'estranger "provat". És a dir, en essència, ens ofereixen per diners (i molt) el mateix programari que podríem descarregar i utilitzar gratuïtament. ROSA es basa en Mandriva, Astra - Debian GNU. Astra pot connectar el dipòsit de Debian i actualitzar-lo. El resultat final és una cosa interessant. Tots els paquets per al mateix DNS, DHCP, ALD, domini ROSA, Dovecot i tota la resta no són més que paquets de programari de codi obert, alguns dels quals estaven lleugerament "retocats i arrebossats", mentre que la resta no es van tocar gens, només " comprovat” per la presència de marcadors. No està clar de quin "programari domèstic" estem parlant.
D'altra banda, els administradors de Linux estaran acostumats a treballar amb programari ja conegut, cosa que reduirà una mica la barrera d'entrada. Però sigui com sigui, totes les empreses de la indústria controlades hauran de canviar a aquest programari "domèstic". Així que "ens veiem al proper article" si no m'empresonen ni em destitueixen per aquest =)
Font: www.habr.com