úvod
Vzhledem k tomu, že se blíží rok 2020 a „hodina hej“, kdy bude nutné podat zprávu o plnění nařízení Ministerstva telekomunikací a masových komunikací o přechodu na domácí software (v rámci substituce importu) , a nejen , dostal jsem úkol vypracovat plán, fakticky realizovat příkaz Ministerstva komunikací a sdělovacích prostředků č. 334 ze dne 29.06.2017. června XNUMX. A začal jsem to zjišťovat.
První článek byl o . A způsobilo to tolik humbuku, bylo pod tím napsáno tolik komentářů, že abych byl upřímný, byl jsem trochu v šoku...
Takže, jak jsme slíbili, nadešel čas začít „sérii článků o tom, jak jsme provedli příkaz a vypořádali se s okolnostmi“. Nevím, jak dlouhý tento cyklus bude, ale je tu touha popsat celý proces od začátku do konce, ale není na to dost času, protože psaní článků zabere spoustu času a musíte se živit tvoje rodina =)
První článek bude věnován studiu existujících opcí a jejich povrchní analýze za účelem sestavení schématu studia opcí v praxi. Protože před sestavením testovacího stojanu musíte pochopit, co na něm testovat.
Tak se ptám pod kat.
Kapitola 1. Jak to je
V tomto pořadí:
Hyper-V, ESXI jako virtualizační platformy. Proč obojí? Protože jeden je v mateřské společnosti, druhý je v pobočce. Tak se to stalo historicky (c)
Windows Server 2012 R2 2016 и CentOS 7 jako serverové OS
Windows 7 jako klientský OS
1 ve fázi realizace na základě Standardní MSSQLServer
TECTON na Firebird xnumx (Ani se neptejte... Ale stejně se zeptáte, že?... No, tohle je něčí absolventský projekt, který naše Enterprise zakoupila na přelomu roku 2005, zdá se, z mně neznámých důvodů. A teď neúspěšně se pokoušíme přejít z ní na 1s..)
OÁZA na stejném standardu MSSQLServer jako software pro zprávy do Penzijního fondu Ruska
Zabbix na MariaDB
výměna и Zambra OSE. Proč obojí? Protože máme 2 síťové okruhy. Z toho jeden nijak nesouvisí s vnějším světem a druhý okruh... no, informační bezpečnost věří, že to tak má být, a nedovoluje nám nastavit směrování a dělat vše správně a kdo jsou máme se hádat s informační bezpečností?... Jedním slovem, takhle se to historicky stalo (c) (2)
IFS na Věštec, CompanyMedia na IBM Domino. První je pro předsmluvní činnosti, druhý je „pracovní“ tok dokumentů... Proč je CompanyMedia v roce 2019 v databázi souborů? Věřte tomu nebo ne, položil jsem jim stejnou otázku - nepřišli na odpověď. Proč je takové monstrum jako IFS potřeba pro předsmluvní činnosti? Ano.
Microsoft Office. Tady si to musíme ujasnit. Kromě standardní uživatelské sady máme od nepaměti (čti než jsem sem přišel) databázi psanou v Accessu. Co v něm je a proč, nemám nejmenší tušení, ale “moc to potřebujeme, bez toho nemůžeme fungovat!”, a takovou věc máme na Excel... Nedá se přijít na to, jak to funguje a jak odchod je také neznámý. Existuje obrovské množství maker, která vytáhnou data z temnoty souborů a něco s nimi udělají. Ani autor tohoto výtvoru neví, jak to funguje. Přepsání tohoto je podobné přepracování databáze... Zkrátka nemůžeme vstát a odejít z MS Office.
Satelit jako internetový prohlížeč v poslední době
OpenFire + Pidgin jako chat
Konzultant+ и TechExpert
Veeam Backup & Replication и Veeam Agent pro Windows v jejich bezplatné verzi
No, spousta serverových čipů Windows, jako AD, DNS, DHCP, WDS, CS, RDP, vzdálená aplikace, KMS, WSUS a dále o maličkostech.
To vše povstalo téměř od nuly, s potem a krví, utrpením a googlováním. A teď nastal čas to všechno zničit. Mimo obrazovku by měl zaznít homerský smích a v očích hlavního hrdiny, čti mě, by se měly derou slzy...
Ale je všechno opravdu tak špatné? Podívejme se na možnosti.
Kapitola 2. Jak by to mělo být
Můžete jít cestou „ruských helikoptér“, to znamená pokusit se zcela odmítnout nepřátelské systémy založené na Windows a přejít na 100% „domácí“ (uvozovky nejsou náhodné) software. Možnost „hardcore“ zahrnuje zábavu zbourat Windows pro každého, nainstalovat libovolný operační systém z registru Ministerstva telekomunikací a Mass Communications s nainstalovaným MyOffice nebo LibreOffice a sledovat, který uživatel se objeví. Legrační? Nepochybně. Výrobní? Vůbec ne.
Pro pochopení dalších úvah uvedu obsah softwaru OS Astra Linux SE 1.6, z čehož vyplývá, že celou infrastrukturu, která je aktuálně založena na produktech Microsoftu, lze nahradit softwarem obsaženým v Astře. Je to možné, ale neznamená to, že je to nutné. To vše jsem ještě nezkoušel v testovacím prostředí s alespoň pár desítkami uzlů, jen jsem nasadil testovací stojan a i tak jsem se na to díval povrchně. Ale existují nástroje.
Software dodávaný s Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- Příklad 4
- Holubník
- buřňák
- GIMP
- také
- VLC
- CUPS
- Vázat9
- Iscdhcpserver
- SAMBA
Na webu OS v popisu vydání je příběh, že Zabbix je zahrnut. Ale když se prohrabeš ve Wiki, je tam článek jak nainstalovat Zabbix... ze kterého můžeš usoudit, že Apache, Postgre, php jsou všechny nainstalovány z úložiště. A výše jsme si řekli, že legitimní je pouze to, co je součástí balení... A tento zmatek mě přivádí k šílenství!!!!11 No v tom smyslu, že není jasné, co je možné a nutné a co ne a " to nebude fungovat". Zdá se, že balíčky z úložiště jsou také legitimní. Ale je to tak? Zdá se, že ano, ale...
V důsledku toho musíme předpokládat, že vše, co je v úložištích OS, lze nazvat domácím softwarem. Vypneme logiku a děláme to jako všichni ostatní. Instalujeme, používáme a hlásíme náhradu importu. Nakonec všichni víme, proč to všechno bylo vymyšleno..
Můžete také pozvednout celou infrastrukturu na základně ROSA Linux Enterprise Server. Tohle jsem taky ještě nezkoušel. (Pokud vše půjde podle plánu, všechny testy a výsledky budou zveřejněny v dalším článku této série.)
Software dodávaný s ROSA Enterprise Linux Server
- nástroje pro implementaci domény IPA (obdoba Microsoft Active Directory)
- Nginx a Apache
- MySQL a PostgreSQL
- Zimbra, Exim, Postfix a Dovecot
- kardiostimulátor, corosync
- DRBD
- Bacula
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- pokročilý nástroj pro správu atributů ROSA Chattr
- nástroj pro šifrování informací ROSA Crypto Tool
- čistič paměti ROSA Memory Clean
- Nástroj pro zaručené odstranění souborů ROSA Shred
Můžete si vzít jeden zdarma? Vypočítejte Linux a na jejím základě vybudovat celou infrastrukturu. Seznam balíčků Calculate Linux naleznete zde .
Z výše uvedeného vyplývá, že veškerou potřebnou infrastrukturu je možné vybudovat v podstatě od nuly. To bude vyžadovat obrovské výdaje na zdroje, tuny admin nervů, kilotuny kávy a spoustu času na ladění. Vstupní práh bude velmi obtížné překonat. Ale je to možné. Ale je to těžké. Ale půjde to. Ale je to těžké. Ale Ale...
Další možností je nechat vše tak, jak je, a doufat, že nebudou kontroly a prostě na nás zapomenou. Musíme ale každý rok hlásit ministerstvu přechod na tuzemský software. Takže ani to není možnost.
Proto navrhuji přistupovat k tomu ze strany zdravého rozumu.
Existuje takové znamení:
Následuje v podstatě sáhodlouhá diskuse, takže pokud nemáte zájem, můžete rovnou přejít k výsledné tabulce (kapitola 2.1.). A kdo miluje multiknihy, jste vítáni.
Tak tady to je. Musíme ukazatele dostat na stanovené limity. Ve skutečnosti to znamená, že musíme nahradit stávající operační systémy produkty z registru Ministerstva telekomunikací a masových komunikací a zvýšit počet vyměněných operačních systémů na 80 %. Navíc se nerozlišuje mezi serverovými a klientskými OS. To nám dává prostor k manévrování. Který? Můžeme uživatelům hloupě nainstalovat tenké klienty na základě OS z registru a všechny je donutit k RDP. V našem případě, kdy je počet zaměstnanců přibližně 1500 lidí, dostaneme 1200 „kusů“ (ve skutečnosti více, protože máme nejen uživatelské OS, ale i serverové, ale tento článek není o přesných výpočtech) a zbývá 300 pro ty samých 20 %, které nelze změnit. Tak co, 300 Windows serverů nám nestačí na správné vybudování obvyklé architektury? Patří sem také specifický software, který nelze spustit na ničem jiném než na Windows a často ani na Windows XP. Ale 300 aut. Nebude to stačit? Vážně?
Zde je také třeba poznamenat, že nejlepší praxí by v tomto případě bylo předem zaškolit zaměstnance na práci s novým softwarem. Bez toho hrozí obrovské riziko sražení celé produkce na kolena a paralyzování práce celé Enterprise na dobu neurčitou. Protože pokud s OS není vše tak děsivé, uživatel od něj často nepotřebuje nic jiného než spuštění aplikace Office prohlížeče 1c, vyhledání požadovaného souboru a spuštění Solitaire. Ale v Office1s fungují neustále (prozatím nebereme v potaz konstruktéry – v kapitole 2.1 – výroba atd. je poznámka pod čarou o CADu), veškeré reportování prochází filtry Excelu atd. Pro ty, kteří z toho či onoho důvodu nemohou pracovat se svobodným softwarem, vítejte v RDP.
Takže můžeme klidně nechat cluster zapnutý Hyper-V, jelikož ho máme a líbí se nám, je to v našem případě 12 uzlů, od ESXI Budu muset odejít. Navíc vyžaduje „železný“ řadič domény + virtuální řadič domény. Celkem 14. No, nebo opustit ESXi, nechat Hyper-V, jak chcete, čísla budou stále stejná. Na řadičích domén budeme mít AD, DNS, DHCP, CS. S malým počtem počítačů s Windows WSUS lze zanedbat. KMS Můžete jej také přišroubovat k řadiči domény. WDS již není potřeba. Stále zbývají některé služby Windows servery RDP. Stále nám zbývá 286 nevyužitých potenciálních „věcí“ pro Windows. Farma RDP zabere dalších 8-10 OS Windows. Celkem nám zbývá 276 jednotek na konkrétní software pro vědecká oddělení a CAD.
OSNezáleží na tom, jaký to je OS - , , , , , . Musíte si vybrat něco, co uspokojí uživatele. Nedokážu říct, jak si vybrat, to jsou velmi jemné záležitosti. Ve skutečnosti jsou všechny alespoň vzhledově podobné (a jediné, na čem uživateli záleží, je, jak to vypadá a jak pohodlné je to používat). Nainstaluji jen pár od každého OS a požádám nejméně zaneprázdněné uživatele, aby jej používali půl hodiny nebo hodinu. Ať řeknou cokoli, pravděpodobně proto budeme tančit.
AlterOS a Halo OS nejsou dostupné pro veřejný prodej. To znamená, že o nich nebudu uvažovat, protože toto „nejedná se o podnikání“ mě vůbec neláká.
O OS OSLicenční smlouva říká:
1.4 Licenční smlouva neposkytuje výhradní právo na Softwarový produkt, ale pouze právo na použití jedné kopie Softwarového produktu pro nekomerční účely v souladu s podmínkami definovanými v části 2 Licenční smlouvy.
2.4 Držitel licence má právo na nekomerční použití Softwarového produktu na neomezeném počtu serverů a pracovních stanic.
Nemůžeme jej tedy v Enterprise použít, přestože je zařazen v registru Ministerstva telekomunikací a masových komunikací. To je smutné z toho důvodu, že je to zdarma. Ale vývojáři mají se stránkou něco v nepořádku, protože už několik týdnů nemohu stáhnout distribuci a nedostal jsem odpověď na e-maily podpory. Co? Proč? nevím.
Kancelářské balíkySituace je následující - také potřebujeme zvýšit počet tuzemských „kancelářů“ na 80 %, což je rovněž 1200 „kusů“. Těchto 1200 „kusů“ je již součástí operačního systému založeného na Linuxu, který uživatelům nainstalujeme. Nezáleží na tom, všechny distribuce zahrnují bezplatný kancelářský balík. Nejčastěji toto . Můžeme však bezpečně nainstalovat balíček od společnosti Microsoft na servery RDP, protože nechceme, aby uživatelé byli bez práce na dobu neurčitou (alespoň do doby, než budou vyškoleni pro práci s novým kancelářským softwarem), protože nemohou najít v novém editoru tabulek vaše oblíbené tlačítko. To má i samostatnou výhodu – zálohování zaměstnaneckých dokumentů, které budou uchovány na jednom místě, a smrt pevného disku již není děsivá.
výměnaBudeme to muset zbourat. Bohužel neexistuje způsob, jak obejít toto číslo 80 %, protože objednávka udává „počet uživatelů“ a nikoli procento počtu poštovních serverů v Enterprise. A protože to potřebujeme nahradit něčím z registru Ministerstva telekomunikací a masových komunikací, nemáme moc na výběr. Je to buď Nebo Nebo . Nebo můžete nainstalovat ROSA na obě sítě, což má , a radujte se, protože pro můj vkus je Zimbra mnohem pohodlnější a příjemnější než MyOffice Mail, což je trochu víc než úplně hrozné, a ani CommuniGate Pro se mi nelíbil. Zimbra navíc může snadno získat veškerou poštu z Exchange, pokud je nutné uložit historii korespondence uživatelů. Btw, napsal jsem pár článků o Zimbra OSE na Habr (, и ) Ale záleží na chuti a barvě, jak se říká.
Právní referenční systémyPokud ano, pak s největší pravděpodobností šlo o nějaký druh , , a další jako oni. To znamená, že jsou ruské výroby. Pokud ne, je na výběr =)
Antivirový softwareTaké 100 % musí být domácí. No, ochranu domácího obranného průmyslu nemohou svěřit buržoazním programům... Na výběr - , , .
VeeamVeeam Backup and Replication. Situace s ním je zvláštní. Má verzi certifikovanou FSTEC, ale v registru Ministerstva telekomunikací a hromadných komunikací nejsou žádné produkty od společnosti Veeam. Na druhé straně příkaz ministerstva neobsahuje kolonku „záložní software“. Situace je zde tedy dvojí. Pokud opustíme služby na bázi Windows a zejména Hyper-V, Veeam výrazně usnadňuje zálohování virtuálních strojů, je velmi pohodlné a nenáročné a Agent Veeam pro Windows umožňuje zálohovat výpis souborů, má velmi jednoduché nastavení a uživatelsky přívětivé rozhraní, nechybí automatická detekce duplikace dat a jejich ořez atd. Jedním slovem, pokud opustíme hypervizor od Microsoftu, můžeme zkusit napsat kus papíru, že Veeam nemá obdoby a že ho opravdu potřebujeme. Ten pokus není mučení, ale nedokážu říct, co z toho vzejde.
1Zde začínají otázky, protože se zdá, že mají verzi pro Linux. A dokonce se zdá, že to funguje. Ale ve skutečnosti to nikdo nepoužívá. Proto budeme muset k serveru 1c přiřadit další počítač s Windows. Nebo dokonce dva. Zbývá celkem 274. DBMS - PostgreSQL, samozřejmě. Navzdory tomu, že není tuzemský, je v registru Ministerstva spojů a spojů. 1c s tím umí pracovat a samotný DBMS je docela dobrý. Není snadné nastavit, ale velmi dobře. Kromě toho se snadno instaluje na jakoukoli distribuci Linuxu a jako součást stejné Astry je obvykle dodáván jako sada.
Tok dokumentůDobře s IFS Je jasné, že ho budete muset opustit na 100%. Firemní média - otázky zůstávají. Software je domácí, je v rejstříku ministerstva telekomunikací a hromadných komunikací, to je vše. Ale. IBM Domino je licencováno a zakoupeno samostatně, a proto jej nelze používat. Na druhou stranu mít Firemní média existuje verze pro PostgreSQL. Ale implementovali jsme přesně IBM Domino. Ano, k tomuto „produktu“ společnosti Intertrust s názvem Company Media mám silně negativní vztah, už jen při jeho zmínce se mi dělá nevolno. Ale tohle je vedle. Buď tedy přesuneme CM do PostgreSQL, nebo hledáme jiný systém pro správu dokumentů. Registr obsahuje Vybrat. Ale v této fázi se touto otázkou nebudu zabývat, protože na Company Media bylo utraceno hodně peněz a její další osud zatím není jasný, ale rád bych věřil zdravému rozumu a jednoduše převedl systém na PostgreSQL. Takže nechám seznam softwaru z registru.
Multimediální nástrojeneberu to v úvahu. Nejen, že jsou úzce použitelné, ale v podnicích spadajících do programu substituce dovozu, i když jsou používány, je to pouze pro koláž pohlednic k 23. únoru ze strany účetních. A „základní zboží“ je součástí operačního systému.
Internetové prohlížečePovoleno , . Mozilla Firefox je přitom obsažen v téměř všech OS z registru. Myslím, že s tím nebudou žádné problémy. A pro aplikace, které mohou pouze Internet Explorer nechali jsme mezeru v podobě serverů RDP.
Otevřený oheňPřirozeně odmítáme. Proč? Protože musíme implementovat 1s Bitrix24! Ve skutečnosti odmítáme ne z tohoto důvodu, ale proto, že to není v registru, ale obecně chat nahrazujeme portálem, který má chatovací službu, takže...no...tak to je... dostanete nápad. Tady. To jo. Ano. Nebo můžete použít ejabberd jako jabber server jako součást ROSA Linuxu. Je tam i chatovací klient, pokud se nepletu - Mirka. To v případě, že nemáte 1C Bitrix24.
ZabbixSamozřejmě není zastoupena v rejstříku Ministerstva telekomunikací a masových komunikací. Ale. V Uvádí se, že obsahuje Zabbix verze 3.4. Pokud tedy chceme získat „legální“ Zabbix, budeme potřebovat alespoň jednu kopii tohoto OS.
Poštovní klientPředložené buřňák součástí téměř všech operačních systémů z registru. Pokud s ním nejste spokojeni, budete si jej muset zakoupit samostatně, jako součást téhož Moje kancelář, například nebo "P7 - Kancelář." Organizátor". Abych byl upřímný, v registru Ministerstva komunikací jsem již nenašel jednotlivé e-mailové klienty. Ano, Thunderbird mi také vyhovoval. Pokud napíšete do komentářů, přidám to sem.
Klienti bankMusíme to otestovat. Teoreticky, Cryptopro umí to v Linuxu, ale ve skutečnosti jsem to osobně netestoval. Teoreticky by to mělo fungovat, ale pokud se něco pokazí, pak máme možnost RDP serveru.
Kapitola 2.1. Míchání
V důsledku toho jsem skončil s touto tabulkou s možnostmi, na základě kterých budou vyvozeny závěry a vytvořeny plány:
Což je logické - pokud je stále potřeba přejít z domény Windows na Astru nebo Rosa, nebo něco jiného, pak má smysl převést klientské počítače na produkt stejného výrobce, můžete tak snížit počet chyb když se snažíte „spřátelit“ jeden druhého.
Relativní k PostgreSQL и PostgreSQL PRO musíte pochopit, co mají včetně rychlosti. PRO verze je produktivnější. Pro „normální“ práci stejná bezplatná verze 1C s největší pravděpodobností nestačí.
Astra Linux SpecialEdition a ROSA DX „NICKEL“ jsou zabezpečené systémy certifikované pro práci se státními tajemstvími, tajemstvími atd.
s ohledem na CAD: Tyto otázky byly vzneseny v komentářích k předchozímu článku. ROSA Linux má ve svých úložištích následující :
- freecad
- KiCAD
- LibreCAD
- Opencascade
- QCAD
- QCAD3d
To vše je samozřejmě svobodný software. Protože však rejstřík Ministerstva telekomunikací a hromadných komunikací neuvádí balíčky CAD, bude tento typ softwaru s největší pravděpodobností spadat do kategorie „nenahraditelný“ a lze jej zakoupit nebo použít na základě stávajících licencí napsáním příslušného dokumentu na ministerstvo.
Totéž platí pro další vysoce specializovaný software, kterého je v našich podnicích bohužel mnoho. Budete muset psát papíry a se slzami v očích prosit, abyste neničili a dostali příležitost pokračovat v práci. S největší pravděpodobností dají povolení.
PS:
Nebudu originální. Celý tento „povyk“ se substitucí importu vypadá velmi zvláštně, pokud zvolíme mírné výrazy. Náš software ve skutečnosti pouze vyrábí Yandex, Acronis, Kaspersky, 10-Strike (s protažením) 1, Askon, Abby, Dr.Web. No a hromada malých firem. Ale to všechno jsou tak úzké mezery ve vývoji (snad s výjimkou Yandexu), že můžeme říci, že téměř nikdy nevytváříme software. A vše, co je nám v rámci importního substitučního programu nabízeno, je prostě „osvědčený“ v zahraničí vyvinutý software. To znamená, že nám za peníze (a spoustu z nich) nabízejí stejný software, který bychom si mohli stáhnout a používat zdarma. ROSA je založena na Mandriva, Astra - Debian GNU. Astra může připojit úložiště Debianu a upgradovat. Konečný výsledek je zajímavá věc. Všechny balíčky pro stejné DNS, DHCP, ALD, ROSA Domain, Dovecot a vše ostatní nejsou nic jiného než softwarové balíčky s otevřeným zdrojovým kódem, z nichž některé byly mírně „opraveny a omítnuty“, zatímco na zbytek se nesáhlo vůbec, pouze „ zkontrolováno“ na přítomnost záložek. Není jasné, o jakém „domácím softwaru“ mluvíme.
Na druhou stranu linuxoví administrátoři budou zvyklí pracovat s již známým softwarem, což poněkud sníží bariéru vstupu. Ale ať je to jak chce, všechny kontrolované průmyslové podniky budou muset přejít na tento „domácí“ software. Takže "uvidíme se u dalšího článku", pokud mě za to nezavřou nebo nevyhodí =)
Zdroj: www.habr.com