Ynlieding
Fanwegen it feit dat 2020 oankomt en de "oere fan hey", as it nedich is om te rapportearjen oer de ymplemintaasje fan 'e oarder fan it Ministearje fan Telekom en Massakommunikaasje oer de oergong nei ynlânske software (as ûnderdiel fan ymportferfanging) , en net allinnich
It earste artikel gie oer
Dat, lykas tasein, is de tiid kommen om te begjinnen mei "in searje artikels oer hoe't wy de opdracht hawwe útfierd en omgean mei de omstannichheden." Ik wit net hoe lang dizze syklus sil wêze, mar d'r is in winsk om it hiele proses fan begjin oant ein te beskriuwen, mar d'r is net genôch tiid foar dit, om't it skriuwen fan artikels in protte tiid nimt, en jo moatte feed dyn famylje =)
It earste artikel sil wijd wurde oan it bestudearjen fan besteande opsjes en har oerflakkige analyze om in skema op te stellen foar it bestudearjen fan opsjes yn 'e praktyk. Om't foardat jo in teststand gearstalle, moatte jo begripe wat jo derop moatte testen.
Dus, asjebleaft, ûnder kat.
Haadstik 1. Hoe is it
Yn opdracht:
Hyper-V, ESXI as virtualisaasjeplatfoarms. Wêrom beide? Om't de iene yn it memmebedriuw sit, is de oare yn 'e branch. Dit is hoe't it histoarysk barde (c)
Windows Server 2012 R2 2016 и CentOS 7 as tsjinner OSes
Windows 7 as client OS
1s op it poadium fan útfiering basearre op MSSQLServer Standert
TECTON op Firebird 1.5 (Net iens freegje... Mar jo sille it dochs freegje, toch?.. No, dit is ien syn ôfstudearprojekt dat oan de beurt fan 2005 oankocht is troch ús Enterprise, liket it, om my ûnbekende redenen. En no wy besykje sûnder súkses derfan te wikseljen nei 1s ..)
OASIS op deselde MSSQLServer Standert as software foar rapporten oan it Pensioenfûns fan Ruslân
Zabbix op MariaDB
Útwikseling и Zambra OSE. Wêrom beide? Om't wy hawwe 2 netwurk circuits. Ien dêrfan is op gjin inkelde manier ferbûn mei de bûtenwrâld en it twadde sirkwy... no, de ynformaasjefeiligens fynt dat dit sa moat, en lit ús net routing ynstelle en alles goed dwaan, en wa binne wy om te arguminten mei de ynformaasjefeiligens?.. Yn ien wurd, dit is hoe't it histoarysk barde (c) (2)
IFS op Oracle, CompanyMedia op IBM Domino. De earste is foar pre-kontraktuele aktiviteiten, de twadde is "wurkjende" dokumintstream ... Wêrom is CompanyMedia op in triemdatabase yn 2019? Leau it of net, ik frege har deselde fraach - se kamen net mei in antwurd. Wêrom is sa'n meunster as IFS nedich foar pre-kontraktuele aktiviteiten? Ja.
Microsoft Office. Wy moatte hjir ferdúdlikje. Neist de standert brûkersset hawwe wy sûnt âlde tiden (lês foardat ik hjir kaam) in databank skreaun yn Access. Wat der yn sit en wêrom, haw ik net it minste idee, mar “wy hawwe it echt nedich, wy kinne net sûnder!”, en wy hawwe soks op Excel... It is net mooglik om út te finen hoe't it wurket, en hoe't it ferlitten is ek ûnbekend. D'r binne in grut oantal makro's dy't gegevens út it tsjuster fan bestannen lûke en der wat mei dwaan. Sels de skriuwer fan dizze skepping wit net hoe't it wurket. It oerskriuwen fan dit is besibbe oan it opnij ûntwerpen fan de databank ... Koartsein, wy kinne net gewoan op en ferlitte MS Office.
Sputnik as ynternetbrowser koartlyn
OpenFire + Pidgin as in petear
Consultant+ и TechExpert
Veeam Reservekopy & Replikaasje и Veeam Agent foar Windows yn har fergese ferzje
No, in boskje Windows-serverchips, lykas AD, DNS, DHCP, WDS, CS, RDP, Remote App, KMS, WSUS en fierder op lytse dingen.
Dit alles riisde hast út 'e grûn, mei swit en bloed, lijen en Googling. En no is de tiid kommen om it allegear te ferneatigjen. Der moat off-screen homerysk laitsjen wurde, en yn 'e eagen fan' e haadpersoan, lês my, moatte de triennen opkomme ...
Mar is alles echt sa slim? Litte wy nei de opsjes sjen.
Haadstik 2. Hoe moat it wêze
Jo kinne folgje it paad fan "Russyske Helicopters", dat is, besykje folslein ôfwize fijân Windows-basearre systemen en wikselje nei 100% "binnenlânsk" (de sitaten binne net tafallich) software. De "hardcore" opsje omfettet wille hawwe om Windows foar elkenien del te brekken, elk OS te ynstallearjen dat jo wolle fan it register fan it Ministearje fan Telekom en Massakommunikaasje mei MyOffice of LibreOffice deryn ynstalleare, en sjen hokker brûker nei foaren komt. Grappich? Sûnder mis. Produktyf? Heulendal net.
Om fierdere redenearring te begripen, sil ik de ynhâld fan 'e software yn jaan OS Astra Linux SE 1.6, wêrút folget dat de hiele ynfrastruktuer dy't op it stuit basearre is op Microsoft-produkten ferfongen wurde kin troch software dy't yn Astra opnommen is. It is mooglik, mar it betsjut net dat it nedich is. Ik haw dit alles noch net besocht yn in testomjouwing mei op syn minst in pear tsientallen knopen, ik haw gewoan in teststand ynset, en sels doe seach ik it oerflakkich. Mar der binne ark.
Software opnommen mei Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- eksim4
- Dovecot
- Thunderbird
- GIMP
- opstean
- VLC
- CUPS
- Bine9
- Iscdhcpserver
- SAMBA
Op 'e OS-webside yn' e release-beskriuwing is d'r in ferhaal dat Zabbix is opnommen. Mar as jo troch de Wiki rommelje, is d'r in artikel oer hoe't jo Zabbix ynstallearje ... wêrfan jo kinne konkludearje dat Apache, Postgre, php allegear ynstalleare binne fan 'e repository. En wy hawwe hjirboppe sein dat allinich wat yn it pakket opnommen is legitim is ... En dizze betizing makket my gek!!!!11 No, yn 'e sin dat it net dúdlik is wat mooglik en nedich is, en wat net en " it sil net wurkje". It liket derop dat de pakketten út it repository ek legitim binne. Mar is it? It liket derop dat ja, mar ...
As gefolch, wy moatte der fan út dat alles dat is yn de OS repositories kin neamd wurde ynlânske software. Wy skeakelje logika út en dogge gewoan lykas elkenien oars docht. Wy ynstallearje, brûke en rapportearje oer ymportferfanging. Op it lêst witte wy allegear wêrom dit alles is útfûn ..
Jo kinne ek de heule ynfrastruktuer op 'e basis ferheegje ROSA Linux Enterprise Server. Ik haw dit ek noch net besocht. (Alle tests en resultaten sille wurde publisearre yn it folgjende artikel yn dizze searje as alles giet lykas pland.)
Software opnommen mei ROSA Enterprise Linux Server
- ark foar ymplemintaasje fan it IPA-domein (analooch oan Microsoft Active Directory)
- Nginx en Apache
- MySQL en PostgreSQL
- Zimbra, Exim, Postfix en Dovecot
- pacemaker, corosync
- DRBD
- bacula
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- avansearre attribút behear ark ROSA Chattr
- ynformaasje fersifering ark ROSA Krypto Tool
- ûnthâld skjinner ROSA Memory Clean
- ROSA Shred garandearre ark foar ferwidering fan triemmen
Kinne jo in fergese nimme? Berekkenje Linux en bouwe de hiele ynfrastruktuer op syn basis. In list mei Linux-pakketten berekkenje is hjir te finen
Ut it boppesteande folget dat it mooglik is om alle nedige ynfrastruktuer te bouwen, yn essinsje fanôf it begjin. Dit sil in kolossale útjefte fan boarnen, tonnen admin-nerven, kilotons kofje en in protte tiid foar debuggen fereaskje. De yntreedrompel sil heul lestich wêze om te oerwinnen. Mar it is mooglik. Mar it is dreech. Mar it sil wurkje. Mar it is dreech. Mar... Mar...
In oare opsje is om alles te litten sa't it is, en hoopje dat d'r gjin kontrôles sille wêze en se sille ús gewoan ferjitte. Mar wy moatte elk jier rapportearje oan it ministearje oer de oergong nei ynlânske software. Dat is dus ek gjin opsje.
Dêrom stel ik foar om it fan 'e kant fan it sûn ferstân te benaderjen.
Der is in teken as dit:
Wat folget is yn wêzen in lange diskusje, dus as jo net ynteressearre binne, kinne jo daliks trochgean nei de resultearjende tabel (haadstik 2.1.). En wa't fan mearboeken hâldt, dy binne wolkom.
Dus hjir is it. Wy moatte de yndikatoaren nei de fêststelde grinzen bringe. Yn werklikheid betsjut dit dat wy besteande bestjoeringssystemen ferfange moatte troch produkten út it register fan it Ministearje fan Telekom en Massakommunikaasje en it oantal ferfongen bestjoeringssystemen ferheegje nei 80%. Boppedat wurdt gjin ûnderskied makke tusken server- en client-OSes. Dit jout ús romte om te manoeuvre. Hokker? Wy kinne dom tinne kliïnten ynstallearje op basis fan it OS út it register foar brûkers, en twinge se allegear yn RDP. Yn ús gefal, as it oantal meiwurkers sawat 1500 minsken is, krije wy 1200 "stikken" (eigentlik mear, om't wy net allinich brûkersbestjoerings hawwe, mar ek servers, mar dit artikel giet net oer krekte berekkeningen), en 300 bliuwe foar dy de tige 20% dat kin net feroare wurde. Dus wat, 300 Windows-tsjinners binne net genôch foar ús om de gewoane arsjitektuer goed te bouwen? Dit omfettet ek spesifike software dy't net op wat oars kin as Windows, en faaks ek op Windows XP. Mar 300 auto's. Sil net genôch wêze? Serieus?
Hjir moat ek opmurken wurde dat de bêste praktyk yn dit gefal wêze soe om meiwurkers foarôf te trenen om te wurkjen mei nije software. Sûnder dit is d'r in grut risiko om gewoan de heule produksje op 'e knibbels te bringen, en it wurk fan' e heule Enterprise foar in ûnbepaalde perioade te paralysearjen. Want as alles net sa skriklik is mei it OS, hat de brûker der faaks neat fan nedich, oars as it starten fan de Office-applikaasje fan browser 1c, it sykjen nei it fereaske bestân en it starten fan Solitaire. Mar yn Office1s wurkje se konstant (wy nimme gjin ûntwerpingenieurs foar no yn 'e rekken - d'r is in fuotnoat oer CAD yn haadstik 2.1 - produksje, ensfh.), Alle rapportaazje giet fia Excel-filters, ensfh. No, foar dyjingen dy't om ien of oare reden net mei fergese software kinne wurkje, wolkom by RDP.
Dat, wy kinne it kluster feilich litte litte Hyper-V, sûnt wy hawwe it en wy like it, dit is 12 knopen yn ús gefal, fan ESXI Ik sil fuort moatte. Plus, it fereasket in "izeren" domein controller + in firtuele domein controller. Totaal 14. No, of ferlitte ESXi, leaving Hyper-V, as jo wolle, de nûmers sille noch v re itselde. Op Domain Controllers sille wy hawwe AD, DNS, DHCP, CS. Mei in lyts oantal Windows masines WSUS kin wurde negeare. KMS Jo kinne it ek skroefje oan in domeincontroller. wds is net mear nedich. D'r binne noch wat Windows-tsjinsten oer RDP-tsjinners. No, wy hawwe noch 286 mear net brûkte potinsjele "dingen" oer foar Windows. De RDP-farm sil in oare 8-10 Windows OS opnimme. Yn totaal hawwe wy 276 ienheden oer foar spesifike software foar wittenskiplike ôfdielingen en CAD.
OSIt makket net út hokker OS it is -
AlterOS en Halo OS binne net beskikber foar iepenbiere ferkeap. Dit betsjut dat ik se net beskôgje, om't dit "net echt in bedriuw" my hielendal net oansprekt.
Oer OS OSDe lisinsjeoerienkomst seit:
1.4 De lisinsjeoerienkomst jout gjin eksklusyf rjocht op it softwareprodukt, mar allinich it rjocht om ien kopy fan it softwareprodukt te brûken foar net-kommersjele doelen yn oerienstimming mei de betingsten omskreaun yn paragraaf 2 fan 'e lisinsjeoerienkomst.
2.4 De lisinsjenimmer hat it rjocht op net-kommersjeel gebrûk fan it Softwareprodukt op in ûnbeheind oantal tsjinners en wurkstasjons.
Sa kinne wy it net brûke by de Enterprise, ek al is it opnommen yn it register fan it Ministearje fan Telekom en Massakommunikaasje. Dit is spitich foar de reden dat it fergees is. Mar de ûntwikkelders hawwe wat mis mei de side, om't ik de distribúsje foar ferskate wiken no net kinne downloade, en ik haw gjin antwurd krigen op myn stipe-e-mails. Wat? Wêrom? Wit net.
Office pakkettenDe situaasje is as folget - wy moatte ek it oantal ynlânske "kantoaren" op 80% bringe, dat is ek 1200 "stikken". Dizze 1200 "stikken" binne al opnommen yn it Linux-basearre OS dat wy sille ynstallearje foar brûkers. It makket net út, alle distribúsjes omfetsje in fergese kantoarsuite. Meast faak dit
ÚtwikselingWy moatte it ôfbrekke. Spitigernôch is d'r gjin manier om dit sifer fan 80% te krijen, om't de folchoarder it "oantal brûkers" oanjout, en net in persintaazje fan it oantal e-posttsjinners yn 'e Enterprise. En om't wy it ferfange moatte troch wat fan it register fan 'e ministearje fan telekommunikaasje en massakommunikaasje, hawwe wy net folle kar. It is ek
Juridyske referinsjesystemenAs se wiene, dan wierskynlik wie it in soarte fan
Antivirus softwareEk moat 100% húslik wêze. No, se kinne de beskerming fan 'e ynlânske definsje-yndustry net tafertrouwe oan boargerlike programma's ... Om út te kiezen -
VeeamVeeam Reservekopy en replikaasje. De situaasje mei him is nuver. It hat in ferzje sertifisearre troch FSTEC, mar der binne gjin produkten út Veeam yn it ministearje fan Telecom en Mass Communications register at all. Oan 'e oare kant befettet de oarder fan it ministearje de kolom "backupsoftware" net. Sa is de situaasje hjir twafoldich. As wy Windows-basearre tsjinsten ferlitte, en benammen Hyper-V, fasilitearret Veeam de reservekopy fan firtuele masines sterk, it is heul handich en pretentieloos, en Veeam agent foar Windows kinne jo reservekopy fan in triem dump, it hat hiel ienfâldige opset en in brûker-freonlik ynterface, it hat automatyske detectie fan gegevens duplikaasje en syn cutting, ensfh. Yn in wurd, as wy de hypervisor fan Microsoft ferlitte, kinne wy besykje in stikje papier te skriuwen dat seit dat Veeam gjin analogen hat, en dat wy it echt nedich binne. It besykjen is gjin marteling, mar ik kin net sizze wat der fan komme sil.
1sDit is wêr't de fragen begjinne, om't se in ferzje foar Linux lykje te hawwen. En it liket sels te wurkjen. Mar yn werklikheid gjinien brûkt it. Dêrom moatte wy in oare Windows-masine tawize oan de 1c-tsjinner. Of sels twa. Totaal 274 oer. DBMS - PostgreSQL, fansels. Nettsjinsteande it feit dat it net binnenlânsk is, is it yn it register fan it ministearje fan kommunikaasje en kommunikaasje. 1c kin dermei wurkje, en de DBMS sels is frij goed. Net maklik yn te stellen, mar hiel goed. Derneist wurdt it maklik ynstalleare op elke Linux-distribúsje, en as diel fan deselde Astra wurdt it oer it algemien as in kit levere.
Dokumint flowNo, mei IFS It is dúdlik dat jo him 100% ferlitte moatte. Bedriuw Media - fragen bliuwe. De software is binnenlânsk, it is yn it register fan it Ministearje fan Telekom en Massakommunikaasje, dat is alles. Mar. IBM Domino is lisinsje en kocht apart en kin dêrom net brûkt wurde. Oan 'e oare kant, hawwe Bedriuw Media der is in ferzje foar PostgreSQL. Mar wy hawwe krekt útfierd IBM Domino. Ja, ik haw in sterke negative hâlding foar dit "produkt" fan it Intertrust-bedriuw neamd Company Media; de namme derfan makket my siik te fielen. Mar dit is neist it punt. Dus of wy ferpleatse CM nei PostgreSQL, of wy sykje in oar dokumintbehearsysteem. It register befettet
Multimedia-arkIk beskôgje it net. Net allinnich binne se smel fan tapassing, mar op bedriuwen dy't falle ûnder de ymport substitúsje programma, sels as se wurde brûkt, it is allinnich foar collaging ansichtkaarten foar 23. Febrewaris troch accounting meiwurkers. En "essensjele guod" binne opnommen yn it OS.
Ynternetbrowserstastien
Iepen fjoerFansels, wy wegerje. Wêrom? Want wy moatte útfiere 1s Bitrix24! Yn feite wegerje wy net om dizze reden, mar om't it net yn 'e registraasje is, mar yn' t algemien ferfange wy it petear mei in portal dat in peteartsjinst hat, dus ... no ... dat is it ... jo krije it idee. Hjir. Ja. Ja. Of jo kinne brûke ejabberd as in jabber-tsjinner as ûnderdiel fan ROSA Linux. Der is ek in petear kliïnt dêr, as ik my net fersin - Mirka. Dit is yn it gefal dat jo gjin 1C Bitrix24 hawwe.
ZabbixFansels is it net fertsjintwurdige yn it register fan it Ministearje fan Telekom en Massakommunikaasje. Mar. YN
Mail clientYntrodusearre Thunderbird opnommen mei hast alle bestjoeringssystemen út it register. As jo net tefreden binne mei it, moatte jo it apart keapje, as ûnderdiel fan itselde Myn kantoar, bygelyks, of "P7-Office. Organisator". Om earlik te wêzen, fûn ik gjin yndividuele e-postkliïnten mear yn it register fan it ministearje fan kommunikaasje. Ja, Thunderbird paste my ek. As jo skriuwe yn 'e opmerkings, Ik sil tafoegje it hjir.
Bank kliïntenWy moatte it testen. Yn teory, Kryptopro kin it dwaan yn Linux, mar yn werklikheid haw ik it net persoanlik hifke. Yn teory moat it wurkje, mar as der wat mis giet, dan hawwe wy de opsje fan in RDP-tsjinner.
Haadstik 2.1. Mixing
Dêrtroch kaam ik mei dizze tabel mei opsjes, op basis wêrfan konklúzjes lutsen wurde en plannen makke wurde:
Wat logysk is - as d'r noch ferlet is om te wikseljen fan in Windows-domein nei Astra of Rosa, of wat oars, dan is it logysk om kliïntmasines oer te setten nei in produkt fan deselde fabrikant, op dizze manier kinne jo it oantal flaters ferminderje as jo besykje om "freonen te meitsjen" mei inoar.
Yn relaasje mei PostgreSQL и PostgreSQL PRO jo moatte begripe wat se hawwe
Astra Linux SpecialEdition en ROSA DX "NICKEL" binne feilige systemen sertifisearre om te wurkjen mei steatsgeheimen, geheimen, ensfh.
Wetter - Agrarwetter CAD: Dizze fragen waarden opnommen yn 'e kommentaren nei it foarige artikel. ROSA Linux hat it folgjende yn har repositories
- freecad
- KiCAD
- LibreCAD
- Opencascade
- QCAD
- QCAD3d
Fansels is dit alles fergese software. Mar, om't it register fan it Ministearje fan Telekom en Massakommunikaasje gjin CAD-pakketten oanjout, sil dit soarte software nei alle gedachten falle ûnder de "ûnferfangbere" kategory, en it kin wurde kocht of brûkt ûnder besteande lisinsjes troch it skriuwen fan it passende papier nei it ministearje.
Itselde is wier mei oare heul spesjalisearre software, wêrfan d'r spitigernôch in protte by ús Enterprises is. Jo moatte papieren skriuwe en triennen smeke om net te ferneatigjen, en de kâns te krijen om troch te wurkjen. Meast wierskynlik sille se tastimming jaan.
PS:
Ik sil net orizjineel wêze. Al dit "gedoe" mei ymportferfanging sjocht der ekstreem frjemd út, as wy mylde útdrukkingen kieze. Yn feite, ús software allinnich produsearret yandex, Acronis, Kaspersky, 10-Strike (mei in stikje) 1s, Askon, Abby, Dr. Web. No, en in stel lytse bedriuwen. Mar al dit binne sokke smelle niche-ûntwikkelingen (mei útsûndering fan Yandex, miskien) dat wy kinne sizze dat wy hast noait software meitsje. En alles dat ús oanbean wurdt as ûnderdiel fan it ymportsubstitúsjeprogramma is gewoan "bewiisd" bûtenlânske ûntwikkele software. Dat is, yn essinsje, se biede ús foar jild (en in protte dêrfan) deselde software dy't wy koenen downloade en fergees brûke. ROSA is basearre op Mandriva, Astra - Debian GNU. Astra kin it Debian-repository ferbine en upgrade. It einresultaat is in nijsgjirrich ding. Alle pakketten foar deselde DNS, DHCP, ALD, ROSA Domain, Dovecot en al it oare binne neat mear as iepen boarne softwarepakketten, wêrfan guon wat "oanpast en pleisterd" wiene, wylst de rest hielendal net oanrekke, gewoan " kontrolearre" foar oanwêzigens fan blêdwizers. It is ûndúdlik oer hokker "binnenlânske software" wy it hawwe.
Oan 'e oare kant sille Linux-behearders wend wêze om te wurkjen mei al fertroude software, wat de barriêre foar yngong wat sil ferminderje. Mar hoe dan ek, alle kontroleare yndustrybedriuwen sille moatte oerstappe nei dizze "binnenlânske" software. Dus "sjoch dy yn it folgjende artikel" as ik net finzenis of ûntslein wurd foar dizze =)
Boarne: www.habr.com