Indledning
På grund af det faktum, at 2020 nærmer sig og "timen af hey", hvor det vil være nødvendigt at rapportere om gennemførelsen af ordren fra ministeriet for tele- og massekommunikation om overgangen til indenlandsk software (som en del af importsubstitution) , og ikke kun , fik jeg en opgave om at udvikle en plan, faktisk for at gennemføre bekendtgørelsen fra Ministeriet for Kommunikation og Massemedier nr. 334 af 29.06.2017. juni XNUMX. Og jeg begyndte at finde ud af det.
Den første artikel handlede om . Og det skabte så meget hype, der var skrevet så mange kommentarer under det, at jeg for at være ærlig blev lidt chokeret...
Så som lovet er tiden kommet til at begynde "en serie artikler om, hvordan vi udførte ordren og håndterede omstændighederne." Jeg ved ikke, hvor lang denne cyklus bliver, men der er et ønske om at beskrive hele processen fra start til slut, men der er ikke tid nok til dette, for det tager meget tid at skrive artikler, og man skal fodre din familie =)
Den første artikel vil blive helliget undersøgelsen af eksisterende muligheder og deres overfladiske analyse med henblik på at udarbejde en ordning for undersøgelse af muligheder i praksis. For før du samler en teststand, skal du forstå, hvad du skal teste på den.
Så tak, under kat.
Kapitel 1. Sådan er det
I rækkefølge:
Hyper-V, ESXI som virtualiseringsplatforme. Hvorfor begge dele? Fordi den ene er i moderselskabet, er den anden i filialen. Sådan skete det historisk (c)
Windows Server 2012 R2 2016 и 7 CentOS som server OS'er
Windows 7 som klient OS
1 с på implementeringsstadiet baseret på MSSQLServer Standard
TECTON på Ildfugl 1.5 (Spørg ikke engang... Men du spørger alligevel, ikke?.. Nå, dette er en persons afgangsprojekt, der blev købt af vores Enterprise i starten af 2005, ser det ud til, af årsager, der er ukendte for mig. Og nu vi forsøger uden held at skifte fra det til 1s..)
OASIS på samme MSSQLServer Standard som software til rapportering til Ruslands pensionsfond
Zabbix på MariaDB
Exchange (Udveksling) и Zambra OSE. Hvorfor begge dele? Fordi vi har 2 netværkskredsløb. Det ene er på ingen måde forbundet med omverdenen og det andet kredsløb... ja, informationssikkerheden mener, at det er sådan, det skal være, og tillader os ikke at sætte routing op og gøre alt korrekt, og hvem er skal vi argumentere med informationssikkerheden?.. Kort sagt, sådan skete det historisk (c) (2)
IFS på Oracle, CompanyMedia på IBM Domino. Den første er til præ-kontraktuelle aktiviteter, den anden er "arbejdende" dokumentflow... Hvorfor er CompanyMedia på en fildatabase i 2019? Tro det eller ej, jeg stillede dem det samme spørgsmål - de kom ikke med et svar. Hvorfor er sådan et monster som IFS nødvendigt til præ-kontraktuelle aktiviteter? Ja.
Microsoft Office. Vi er nødt til at afklare her. Udover standardbrugersættet har vi siden umindelige tider (læst før jeg kom her) haft en database skrevet i Access. Hvad der er i den og hvorfor, har jeg ikke den mindste idé om, men “vi har virkelig brug for det, vi kan ikke arbejde uden!”, og sådan en har vi på Excel... Det er umuligt at finde ud af hvordan det virker, og hvordan man forlader er også ukendt. Der er et stort antal makroer, der trækker data ud af filernes mørke og gør noget med dem. Selv forfatteren til denne skabelse ved ikke, hvordan den fungerer. At omskrive dette er beslægtet med at redesigne databasen... Kort sagt, vi vil ikke være i stand til bare at forlade MS Office.
satellit som internetbrowser for nylig
OpenFire + Pidgin som en chat
Konsulent+ и TechExpert
Veeam Backup og replikering и Veeam Agent til Windows i deres gratis version
Nå, en flok Windows-serverchips, f.eks AD, DNS, DHCP, WDS, CS, RDP, Remote App, KMS, WSUS og videre småting.
Alt dette rejste sig næsten fra bunden, med sved og blod, lidelse og google. Og nu er tiden kommet til at ødelægge det hele. Der skulle være homerisk latter uden for skærmen, og i hovedpersonens øjne, læs mig, burde tårerne vælte...
Men er alting virkelig så slemt? Lad os se på mulighederne.
Kapitel 2. Sådan skal det være
Du kan følge stien til "Russian Helicopters", det vil sige, forsøge helt at afvise fjendens Windows-baserede systemer og skifte til 100% "indenlandsk" (citaterne er ikke tilfældige) software. "Hardcore"-muligheden indebærer, at det er sjovt at rive Windows ned for alle, installere et hvilket som helst operativsystem, du kan lide fra ministeriet for telekommunikation og massekommunikation, med MyOffice eller LibreOffice installeret på det, og se, hvilken bruger der dukker op. Sjov? Utvivlsomt. Produktiv? Slet ikke.
For at forstå yderligere ræsonnement vil jeg give indholdet af softwaren i OS Astra Linux SE 1.6, hvoraf det følger, at hele den infrastruktur, der i dag er baseret på Microsoft-produkter, kan erstattes med software, der indgår i Astra. Det er muligt, men det betyder ikke, at det er nødvendigt. Jeg har endnu ikke prøvet alt dette i et testmiljø med mindst et par dusin noder, jeg har bare installeret en teststand, og selv da så jeg overfladisk på det. Men der er værktøjer.
Software inkluderet i Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- Eksempel4
- Dovecot
- Thunderbird
- GIMP
- stige
- VLC
- CUPS
- Bind 9
- Iscdhcpserver
- SAMBA
På OS-webstedet i udgivelsesbeskrivelsen er der en historie om, at Zabbix er inkluderet. Men hvis du roder gennem Wiki, er der en artikel om, hvordan du installerer Zabbix... hvorfra du kan konkludere, at Apache, Postgre, php alle er installeret fra depotet. Og vi sagde ovenfor, at kun det, der er inkluderet i pakken, er legitimt... Og denne forvirring driver mig til vanvid!!!!11 Nå, i den forstand, at det ikke er klart, hvad der er muligt og nødvendigt, og hvad der ikke er og " det kommer ikke til at virke". Det ser ud til, at pakkerne fra lageret også er legitime. Men er det? Det ser ud til, at ja, men...
Som et resultat må vi antage, at alt, hvad der er i OS-lagrene, kan kaldes indenlandsk software. Vi slår logikken fra og gør bare som alle andre. Vi installerer, bruger og rapporterer om importsubstitution. I sidste ende ved vi alle, hvorfor alt dette blev opfundet..
Du kan også hæve hele infrastrukturen på basen ROSA Linux Enterprise Server. Jeg har heller ikke prøvet dette endnu. (Alle tests og resultater vil blive offentliggjort i den næste artikel i denne serie, hvis alt går som planlagt.)
Software inkluderet med ROSA Enterprise Linux Server
- værktøjer til implementering af IPA-domænet (analogt med Microsoft Active Directory)
- Nginx og Apache
- MySQL og PostgreSQL
- Zimbra, Exim, Postfix og Dovecot
- pacemaker, corosync
- DRBD
- Bacula
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- avanceret attributstyringsværktøj ROSA Chattr
- informationskrypteringsværktøj ROSA Crypto Tool
- memory cleaner ROSA Memory Clean
- ROSA Shred garanteret filfjernelsesværktøj
Kan du tage en gratis? Beregn Linux og bygge hele infrastrukturen på dens grundlag. En liste over Calculate Linux-pakker kan findes her .
Af ovenstående følger, at det er muligt at bygge al den nødvendige infrastruktur, i det væsentlige fra bunden. Dette vil kræve et kolossalt forbrug af ressourcer, tonsvis af admin-nerver, kilotons kaffe og en masse tid til fejlretning. Indgangstærsklen vil være meget svær at overvinde. Men det er muligt. Men det er svært. Men det vil virke. Men det er svært. Men... Men...
En anden mulighed er at lade alt være, som det er, og håbe, at der ikke vil være nogen kontrol, og at de simpelthen glemmer os. Men vi skal hvert år rapportere til ministeriet om overgangen til indenlandsk software. Så det er heller ikke en mulighed.
Derfor foreslår jeg at gribe det an fra sund fornufts side.
Der er et skilt som dette:
Det følgende er i det væsentlige en længere diskussion, så hvis du ikke er interesseret, kan du straks gå videre til den resulterende tabel (kapitel 2.1.). Og dem, der elsker multi-bøger, du er velkommen.
Så her er det. Vi er nødt til at bringe indikatorerne til de fastsatte grænser. I realiteten betyder det, at vi skal erstatte eksisterende styresystemer med produkter fra Tele- og Massekommunikationsministeriets register og øge antallet af udskiftede styresystemer til 80 %. Desuden skelnes der ikke mellem server- og klient-OS'er. Det giver os plads til at manøvrere. Hvilken? Vi kan dumt installere tynde klienter baseret på OS fra registreringsdatabasen for brugere og tvinge dem alle ind i RDP. I vores tilfælde, når antallet af ansatte er cirka 1500 personer, får vi 1200 "stykker" (faktisk flere, da vi ikke kun har bruger-OS'er, men også servere, men denne artikel handler ikke om nøjagtige beregninger), og 300 er tilbage for dem selve 20%, der ikke kan ændres. Så hvad, 300 Windows-servere er ikke nok til, at vi kan bygge den sædvanlige arkitektur korrekt? Dette omfatter også specifik software, der ikke kan køre på andet end Windows, og ofte også på Windows XP. Men 300 biler. Vil det ikke være nok? Helt seriøst?
Her skal det også bemærkes, at den bedste praksis i dette tilfælde vil være at uddanne medarbejdere på forhånd til at arbejde med ny software. Uden dette er der en enorm risiko for blot at bringe hele produktionen i knæ, og lamme hele Enterprises arbejde på ubestemt tid. For hvis alt ikke er så skræmmende med OS, har brugeren ofte ikke brug for andet fra det end at starte Office-applikationen i browser 1c, søge efter den nødvendige fil og starte Solitaire. Men i Office1s arbejder de konstant (vi tager ikke højde for designingeniører lige nu - der er en fodnote om CAD i kapitel 2.1 - produktion osv.), al rapportering går gennem Excel-filtre osv. Nå, for dem, der af den ene eller anden grund ikke kan arbejde med gratis software, velkommen til RDP.
Så vi kan roligt lade klyngen stå på Hyper-V, da vi har det og vi kan lide det, er det 12 knob i vores tilfælde, fra ESXI Jeg bliver nødt til at gå. Plus, det kræver en "jern" domænecontroller + en virtuel domænecontroller. I alt 14. Nå, eller forlad ESXi, forlader Hyper-V, som du vil, tallene vil stadig være de samme. På domænecontrollere vil vi have AD, DNS, DHCP, CS. Med et lille antal Windows-maskiner WSUS kan negligeres. KMS Du kan også skrue den fast på en domænecontroller. WDS er ikke længere nødvendig. Der er stadig nogle Windows-tjenester tilbage RDP-servere. Nå, vi har stadig 286 flere ubrugte potentielle "ting" tilbage til Windows. RDP-farmen vil optage yderligere 8-10 Windows OS. I alt har vi 276 enheder tilbage til specifik software til videnskabelige afdelinger og CAD.
operativsystemDet er lige meget hvilket OS det er - , , , , , . Du skal vælge noget, der vil tilfredsstille brugerne. Jeg kan ikke sige, hvordan man vælger, det er meget subtile spørgsmål. Faktisk er de alle i det mindste ens i udseende (og det eneste, der betyder noget for brugeren, er, hvordan det ser ud, og hvor praktisk det er at bruge). Jeg vil bare installere et par af hvert OS og bede de mindst travle brugere om at bruge det i en halv time eller en time. Uanset hvad de siger, så skal vi nok danse.
AlterOS og Halo OS er ikke tilgængelige for offentligt salg. Det betyder, at jeg ikke vil overveje dem, for dette "ikke rigtig en forretning" tiltaler mig overhovedet ikke.
Om OS OSLicensaftalen siger:
1.4 Licensaftalen giver ikke en eksklusiv ret til softwareproduktet, men kun retten til at bruge én kopi af softwareproduktet til ikke-kommercielle formål i overensstemmelse med betingelserne defineret i afsnit 2 i licensaftalen.
2.4 Licenstageren har ret til ikke-kommerciel brug af Softwareproduktet på et ubegrænset antal servere og arbejdsstationer.
Vi kan således ikke bruge det på Virksomheden, selvom det er optaget i Tele- og Massekommunikationsministeriets register. Dette er trist af den grund, at det er gratis. Men udviklerne har noget galt med siden, for jeg har ikke været i stand til at downloade distributionen i flere uger nu, og jeg har ikke modtaget svar på mine support-e-mails. Hvad? Hvorfor? Ved ikke.
Office-pakkerSituationen er som følger - vi skal også bringe antallet af indenlandske "kontorer" til 80%, hvilket også er 1200 "stykker". Disse 1200 "stykker" er allerede inkluderet i det Linux-baserede OS, som vi vil installere for brugere. Det er ligegyldigt, alle distributioner inkluderer en gratis kontorpakke. Oftest dette . Men vi kan roligt installere en pakke fra Microsoft på RDP-servere, da vi ikke ønsker, at brugere skal være uden arbejde på ubestemt tid (i hvert fald indtil de er uddannet til at arbejde med den nye kontorsoftware), fordi de ikke kan finde i den nye tabeleditor din favoritknap. Dette har også en separat fordel - backup af medarbejderdokumenter, som vil blive opbevaret på ét sted, og harddiskens død er ikke længere skræmmende.
Exchange (Udveksling)Vi bliver nødt til at rive den ned. Desværre er der ingen måde at komme uden om dette tal på 80%, da rækkefølgen angiver "antal brugere", og ikke en procentdel af antallet af mailservere i Enterprise. Og da vi skal erstatte det med noget fra ministeriet for tele- og massekommunikationsregister, har vi ikke meget at vælge imellem. Det er enten Eller Eller . Eller du kan installere ROSA på begge netværk, som har , og glæd dig, for for min smag er Zimbra meget mere bekvemt og behageligt end MyOffice Mail, hvilket er lidt mere end helt forfærdeligt, og jeg kunne heller ikke lide CommuniGate Pro. Plus, Zimbra kan nemt få fat i al mail fra Exchange, hvis det er nødvendigt at gemme brugernes korrespondancehistorik. Btw, jeg skrev et par artikler om Zimbra OSE på Habr (, и ) Men, det afhænger af smag og farve, som man siger.
Juridiske referencesystemerHvis de var, så var det højst sandsynligt en slags , , og andre som dem. Det vil sige, at de er russisk-fremstillede. Hvis ikke, er der et valg =)
Antivirus softwareDesuden skal 100 % være indenlandsk. Nå, de kan ikke overlade beskyttelsen af den indenlandske forsvarsindustri til borgerlige programmer... At vælge imellem - , , .
VeeamVeeam BackUp og replikering. Situationen med ham er mærkelig. Den har en version certificeret af FSTEC, men der er slet ingen produkter fra Veeam i ministeriet for tele- og massekommunikationsregister. På den anden side indeholder ministeriets bekendtgørelse ikke kolonnen "backup software". Så situationen her er todelt. Hvis vi forlader Windows-baserede tjenester, og især Hyper-V, letter Veeam i høj grad backup af virtuelle maskiner, det er meget bekvemt og uhøjtideligt, og Veeam agent til Windows giver dig mulighed for at tage backup af en fildump, den har meget enkel opsætning og en brugervenlig grænseflade, der er automatisk detektering af dataduplikering og dens klipning osv. Kort sagt, hvis vi forlader hypervisoren fra Microsoft, kan vi prøve at skrive et stykke papir, der siger, at Veeam ikke har nogen analoger, og at vi virkelig har brug for det. Forsøget er ikke tortur, men jeg kan ikke sige, hvad der kommer ud af det.
1 сDet er her spørgsmålene begynder, da de ser ud til at have en version til Linux. Og det ser endda ud til at virke. Men i virkeligheden er der ingen, der bruger det. Derfor bliver vi nødt til at tildele en anden Windows-maskine til 1c-serveren. Eller endda to. I alt 274 tilbage. DBMS - PostgreSQL, selvfølgelig. På trods af, at det ikke er indenlandsk, er det i Kommunikations- og Kommunikationsministeriets register. 1c kan arbejde med det, og selve DBMS er ret godt. Ikke let at sætte op, men meget god. Derudover installeres det nemt på enhver Linux-distribution, og som en del af samme Astra leveres det generelt som et sæt.
Dokument flowNå, med IFS Det er klart, at du bliver nødt til at forlade ham 100%. Virksomhedsmedier - spørgsmål tilbage. Softwaren er indenlandsk, den er i registeret for ministeriet for telekommunikation og massekommunikation, det er alt. Men. IBM Domino er licenseret og købt separat og kan derfor ikke bruges. På den anden side har Virksomhedsmedier der er en version til PostgreSQL. Men vi implementerede præcist IBM Domino. Ja, jeg har en stærk negativ holdning til dette "produkt" fra Intertrust-virksomheden ved navn Company Media; selve omtalen af det får mig til at føle mig syg. Men dette er ved siden af pointen. Så enten flytter vi CM til PostgreSQL, eller også leder vi efter et andet dokumenthåndteringssystem. Registret indeholder vælge. Men på dette stadium vil jeg ikke dvæle ved dette spørgsmål, da der blev brugt mange penge på Company Media, og dets videre skæbne er endnu ikke klar, men jeg vil gerne tro på sund fornuft og blot overføre systemet til PostgreSQL. Så jeg vil bare efterlade en liste over software fra registreringsdatabasen.
MultimedieværktøjerJeg overvejer det ikke. Ikke alene er de snævert anvendelige, men på virksomheder, der falder ind under importsubstitutionsprogrammet, er det, selv om de bruges, kun til collaging af postkort til 23. februar af regnskabsmedarbejdere. Og "essentielle varer" er inkluderet i OS.
Internet browsereTilladt , . Samtidig er Mozilla Firefox inkluderet i næsten alle operativsystemer fra registreringsdatabasen. Jeg tror, der ikke vil være nogen problemer med dette. Og til applikationer, der kun kan Internet Explorer vi efterlod et smuthul i form af RDP-servere.
Åben ildVi nægter naturligvis. Hvorfor? For vi skal implementere 1s Bitrix24! Faktisk afviser vi ikke af denne grund, men fordi det ikke er i registreringsdatabasen, men generelt erstatter vi chatten med en portal, der har en chattjeneste, så... ja... det er det... du får ideen. Her. Ja. Ja. Eller du kan bruge ejabberd som en jabber-server som en del af ROSA Linux. Der er også en chatklient der, hvis jeg ikke tager fejl - Mirka. Dette er i tilfælde af at du ikke har 1C Bitrix24.
ZabbixDet er naturligvis ikke repræsenteret i ministeriet for tele- og massekommunikations register. Men. I Det er angivet, at det inkluderer Zabbix version 3.4. Så hvis vi ønsker at få "lovlig" Zabbix, har vi brug for mindst én kopi af dette OS.
Mail klientIntroduceret Thunderbird inkluderet med næsten alle operativsystemer fra registreringsdatabasen. Hvis du ikke er tilfreds med det, bliver du nødt til at købe det separat, som en del af det samme Mit kontorfor eksempel eller "P7-Office. Arrangør". For at være ærlig fandt jeg ikke længere individuelle e-mail-klienter i kommunikationsministeriets register. Ja, Thunderbird passede også til mig. Hvis du skriver i kommentarerne, tilføjer jeg det her.
BankkunderVi er nødt til at teste det. I teorien, Cryptopro kan gøre det i Linux, men i virkeligheden har jeg ikke personligt testet det. I teorien burde det virke, men hvis noget går galt, så har vi mulighed for en RDP-server.
Kapitel 2.1. Blanding
Som et resultat endte jeg med denne tabel med muligheder, på grundlag af hvilke konklusioner vil blive trukket og planer vil blive lavet:
Hvilket er logisk - hvis der stadig er behov for at skifte fra et Windows-domæne til Astra eller Rosa, eller noget andet, så giver det mening at overføre klientmaskiner til et produkt fra samme producent, på denne måde kan du reducere antallet af fejl når de prøver at "blive venner" med hinanden.
I forbindelse med PostgreSQL и PostgreSQL PRO du skal forstå, hvad de har , herunder i hastighed. PRO-versionen er mere produktiv. Til "normalt" arbejde er den samme 1C gratis version højst sandsynligt ikke nok.
Astra Linux SpecialEdition og ROSA DX "NICKEL" er sikre systemer, der er certificeret til at arbejde med statshemmeligheder, hemmeligheder mv.
med hensyn til CAD: Disse spørgsmål blev rejst i kommentarerne til den forrige artikel. ROSA Linux har følgende i sine arkiver :
- freecad
- KiCAD
- LibreCAD
- Åben kaskade
- QCAD
- QCAD3d
Alt dette er naturligvis gratis software. Men da registeret for ministeriet for tele- og massekommunikation ikke angiver CAD-pakker, vil denne type software højst sandsynligt falde ind under kategorien "uerstattelig", og den kan købes eller bruges under eksisterende licenser ved at skrive det relevante papir til ministeriet.
Det samme er tilfældet med anden højt specialiseret software, som der desværre er meget af hos vores virksomheder. Du bliver nødt til at skrive papirer og grædende tigge om ikke at ødelægge, og om at få mulighed for at fortsætte med at arbejde. Mest sandsynligt vil de give tilladelse.
PS:
Jeg vil ikke være original. Alt dette "fusk" med importsubstitution ser ekstremt mærkeligt ud, hvis vi vælger milde udtryk. Faktisk producerer vores software kun Yandex, Acronis, Kaspersky, 10-Strike (med et stræk) 1 с, Askon, Abby, dr.web. Nå, og en flok små virksomheder. Men alle disse er så snævre nicheudviklinger (måske med undtagelse af Yandex), at vi kan sige, at vi næsten aldrig laver software. Og alt, der tilbydes os som en del af importsubstitutionsprogrammet, er simpelthen "bevist" udenlandsk udviklet software. Det vil sige, at de i bund og grund tilbyder os for penge (og meget af dem) den samme software, som vi kunne downloade og bruge gratis. ROSA er baseret på Mandriva, Astra - Debian GNU. Astra kan forbinde Debian-depotet og opgradere. Slutresultatet er en interessant ting. Alle pakker til den samme DNS, DHCP, ALD, ROSA Domain, Dovecot og alt muligt andet er intet andet end open source softwarepakker, hvoraf nogle var lidt "pudsede og pudsede", mens resten slet ikke blev rørt, bare " kontrolleret" for tilstedeværelse af bogmærker. Det er uklart, hvilken "domestic software" vi taler om.
På den anden side vil Linux-administratorer være vant til at arbejde med allerede kendt software, hvilket vil reducere adgangsbarrieren noget. Men uanset hvad, så bliver alle kontrollerede industrivirksomheder nødt til at skifte til denne "indenlandske" software. Så "vi ses i næste artikel", hvis jeg ikke bliver fængslet eller fyret for denne =)
Kilde: www.habr.com