Introdución
Debido a que se achega o 2020 e a "hora do bo", cando será necesario informar sobre a aplicación da orde do Ministerio de Telecomunicacións e Comunicacións Masivas sobre a transición ao software doméstico (como parte da substitución de importacións) , e non só , Recibín o encargo de elaborar un plan, de feito, para aplicar a orde do Ministerio de Comunicacións e Medios de Comunicación No 334, do 29.06.2017 de xuño de XNUMX. E empecei a descubrilo.
O primeiro artigo trataba sobre . E causou tanto bombo, había tantos comentarios escritos baixo el que, para ser sincero, quedei un pouco impresionado...
Así que, como prometemos, chegou o momento de comezar "unha serie de artigos sobre como levamos a cabo a orde e tratamos as circunstancias". Non sei canto durará este ciclo, pero hai o desexo de describir todo o proceso de principio a fin, pero non hai tempo suficiente para iso, porque escribir artigos leva moito tempo, e hai que alimentarse. a túa familia =)
O primeiro artigo dedicarase ao estudo das opcións existentes e á súa análise superficial para elaborar un esquema de estudo das opcións na práctica. Porque antes de montar un banco de probas, cómpre entender que probar nel.
Entón, por favor, baixo gato.
Capítulo 1. Como é
En orde:
Hyper-V, ESXI como plataformas de virtualización. Por que os dous? Porque un está na empresa matriz, o outro está na sucursal. Isto é como aconteceu historicamente (c)
Windows Server 2012 R2 2016 и CentOS 7 como OS de servidor
fiestras 7 como sistema operativo cliente
1s na fase de implantación en base a Estándar MSSQLServer
TECTON en Firebird 1.5 (Nin preguntes... Pero preguntarás igual, non?... Pois este é o proxecto de graduación de alguén que foi adquirido pola nosa Empresa a principios do ano 2005, ao parecer, por motivos descoñecidos para min. E agora estamos tentando cambiar a 1s sen éxito..)
OASIS no mesmo estándar MSSQLServer que o software para informes ao Fondo de Pensións de Rusia
Zabbix en MariaDB
cambio и Zambra OSE. Por que os dous? Porque temos 2 circuítos de rede. Un dos cales de ningún xeito está conectado co mundo exterior e o segundo circuíto... bueno, a seguridade da información cre que así debe ser, e non nos permite configurar o enrutamento e facelo todo correctamente, e quen está nós para discutir coa seguridade da información?.. Nunha palabra, así aconteceu historicamente (c) (2)
IFS en oráculo, CompanyMedia en IBM Domino. O primeiro é para actividades precontractuais, o segundo é o fluxo de documentos "de traballo"... Por que CompanyMedia está nunha base de datos de ficheiros en 2019? Créalo ou non, fixenlles a mesma pregunta: non deron resposta. Por que se necesita un monstro como IFS para as actividades precontractuais? Si.
Microsoft Office. Temos que aclarar aquí. Ademais do conxunto de usuarios estándar, desde tempos inmemoriais (léase antes de chegar aquí) temos unha base de datos escrita en Access. Que hai e por que, non teño a máis mínima idea, pero “necesitamos moito, non podemos traballar sen el!”, e temos tal cousa en Excel... É imposible descubrir como é funciona, e tamén se descoñece como marchar. Hai un gran número de macros que sacan datos da escuridade dos ficheiros e fan algo con eles. Mesmo o autor desta creación non sabe como funciona. Reescribir isto é semellante a redeseñar a base de datos... En resumo, non podemos simplemente levantarnos e deixar MS Office.
Satélite como navegador de Internet recentemente
OpenFire + Pidgin como un chat
Consultor+ и Técnico experto
Veeam Backup & Replication и Veeam Agent para Windows na súa versión gratuíta
Ben, un montón de chips de servidor de Windows, como AD, DNS, DHCP, WDS, CS, RDP, Aplicación remota, KMS, WSUS e máis adiante cousas pequenas.
Todo isto subiu case de cero, con suor e sangue, sufrimento e Google. E agora chegou o momento de destruílo todo. Debería haber risas homéricas fóra da pantalla, e aos ollos do personaxe principal, léame, as bágoas deberían brotar...
Pero é realmente todo tan malo? Vexamos as opcións.
Capítulo 2. Como debería ser
Podes seguir o camiño dos "helicópteros rusos", é dicir, tentar rexeitar completamente os sistemas inimigos baseados en Windows e cambiar ao software 100% "doméstico" (as comiñas non son accidentais). A opción "hardcore" pasa por divertirse derrumbando Windows para todos, instalando calquera SO que lle guste desde o rexistro do Ministerio de Telecomunicacións e Comunicacións Masivas con MyOffice ou LibreOffice instalado, e ver que usuario sae. Divertido? Sen dúbida. Produtivo? De ningunha maneira.
Para comprender máis razoamentos, darei o contido do software en OS Astra Linux SE 1.6, do que se desprende que toda a infraestrutura que actualmente se basea en produtos de Microsoft pode ser substituída por software incluído en Astra. É posible, pero non quere dicir que sexa necesario. Aínda non probei todo isto nun ambiente de proba con polo menos un par de ducias de nodos, acabo de despregar un banco de probas e aínda así o mirei superficialmente. Pero hai ferramentas.
Software incluído con Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- exim4
- Pombal
- Thunderbird
- GIMP
- tamén
- VLC
- CUPS
- Ligazón9
- Iscdhcpserver
- SAMBA
No sitio web do SO, na descrición do lanzamento, hai unha historia de que se inclúe Zabbix. Pero se rebuscas na Wiki, hai un artigo sobre como instalar Zabbix... do que podes concluír que Apache, Postgre, php están todos instalados dende o repositorio. E dixemos máis arriba que só é lexítimo o que está incluído no paquete... E esta confusión volveme tolo!!!!11 Pois no sentido de que non está claro o que é posible e necesario, e o que non e " non funcionará". Parece que os paquetes do repositorio tamén son lexítimos. Pero é? Parece que si, pero...
Como resultado, temos que asumir que todo o que hai nos repositorios do SO pódese chamar software doméstico. Desactivamos a lóxica e facemos como todos os demais. Instalamos, utilizamos e informamos sobre a substitución de importacións. Ao final, todos sabemos por que se inventou todo isto..
Tamén pode elevar toda a infraestrutura na base Servidor empresarial ROSA Linux. Eu tampouco o probei aínda. (Todas as probas e resultados publicaranse no seguinte artigo desta serie se todo sae segundo o planeado).
Software incluído con ROSA Enterprise Linux Server
- ferramentas para implementar o dominio IPA (análoga a Microsoft Active Directory)
- Nginx e Apache
- MySQL e PostgreSQL
- Zimbra, Exim, Postfix e Dovecot
- marcapasos, corosync
- DRBD
- bacula
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- ferramenta avanzada de xestión de atributos ROSA Chattr
- ferramenta de cifrado de información ROSA Crypto Tool
- limpador de memoria ROSA Memory Clean
- Ferramenta de eliminación de ficheiros garantida de ROSA Shred
Podes levar un gratis? Calcula Linux e construír toda a infraestrutura sobre a súa base. Aquí pódese atopar unha lista de paquetes de Calculate Linux .
Do anterior despréndese que é posible construír toda a infraestrutura necesaria, esencialmente dende cero. Isto requirirá un gasto colosal de recursos, toneladas de nervios administrativos, quilotones de café e moito tempo para a depuración. O limiar de entrada será moi difícil de superar. Pero é posible. Pero é difícil. Pero funcionará. Pero é difícil. Pero... Pero...
Outra opción é deixar todo como está, e esperar que non haxa controis e simplemente se esquezan de nós. Pero temos que informar ao ministerio sobre a transición ao software doméstico cada ano. Entón, esa tampouco é unha opción.
Por iso, propoño abordalo dende o lado do sentido común.
Hai un sinal coma este:
O que segue é esencialmente unha discusión longa, polo que se non está interesado, pode pasar inmediatamente á táboa resultante (capítulo 2.1.). E os que aman os multilibros, son benvidos.
Entón, aquí está. Hai que levar os indicadores aos límites establecidos. En realidade, isto significa que hai que substituír os sistemas operativos existentes por produtos do rexistro do Ministerio de Telecomunicacións e Comunicacións Masivas e aumentar ata o 80% o número de sistemas operativos substituídos. Ademais, non se fai distinción entre os sistemas operativos de servidor e cliente. Isto dános marxe de manobra. Cal? Podemos estúpidamente instalar clientes lixeiros baseados no sistema operativo desde o rexistro para os usuarios e obrigalos a todos a RDP. No noso caso, cando o número de empregados é de aproximadamente 1500 persoas, obtemos 1200 "pezas" (en realidade, máis, xa que non só temos sistemas operativos de usuarios, senón tamén de servidor, pero este artigo non trata de cálculos exactos) e quedan 300. para aqueles o 20% que non se pode cambiar. Entón, que 300 servidores Windows non son suficientes para que poidamos construír correctamente a arquitectura habitual? Isto tamén inclúe software específico que non pode executarse en nada que non sexa Windows, e moitas veces tamén en Windows XP. Pero 300 coches. Non será suficiente? En serio?
Aquí tamén hai que ter en conta que a mellor práctica neste caso sería formar aos empregados con antelación para traballar con software novo. Sen isto, existe un enorme risco de simplemente poñer de xeonllos toda a produción e paralizar o traballo de toda a Empresa por un período indefinido. Porque se todo non dá tanto medo co sistema operativo, o usuario moitas veces non necesita nada del que non sexa iniciar a aplicación Office do navegador 1c, buscar o ficheiro necesario e lanzar Solitaire. Pero en Office1s funcionan constantemente (non temos en conta aos enxeñeiros de deseño polo momento - hai unha nota ao pé sobre CAD no capítulo 2.1 - produción, etc.), todos os informes pasan por filtros de Excel, etc. Ben, para aqueles que, por unha ou outra razón, non poden traballar con software libre, benvidos a RDP.
Así, podemos deixar o clúster activado con seguridade Hyper-V, xa que o temos e nos gusta, isto son 12 nós no noso caso, dende ESXI Terei que marchar. Ademais, require un controlador de dominio "ferro" + un controlador de dominio virtual. Total 14. Pois ben, ou deixa ESXi, deixando Hyper-V, como queiras, os números seguirán sendo os mesmos. En controladores de dominio teremos AD, DNS, DHCP, CS. Cun pequeno número de máquinas Windows WSUS pode ser descoidada. KMS Tamén podes atornillalo a un controlador de dominio. WDS xa non é necesario. Aínda quedan algúns servizos de Windows Servidores RDP. Ben, aínda nos quedan 286 "cousas" potenciais sen usar para Windows. A granxa RDP ocupará outro sistema operativo Windows 8-10. En total quedan 276 unidades para software específico para departamentos científicos e CAD.
SONon importa o sistema operativo que sexa - , , , , , . Debes escoller algo que satisfaga aos usuarios. Non podo dicir como elixir, son cuestións moi sutís. De feito, todos son polo menos semellantes en aparencia (e o único que lle importa ao usuario é o seu aspecto e o cómodo de usar). Só instalarei un par de cada sistema operativo e pedirei aos usuarios menos ocupados que o usen durante media hora ou unha hora. Digan o que digan, por iso probablemente bailaremos.
AlterOS e Halo OS non están dispoñibles para a venda pública. Isto significa que non os vou considerar, porque este "realmente non é un negocio" non me atrae para nada.
Acerca de OS OSO acordo de licenza di:
1.4 O Acordo de Licenza non proporciona un dereito exclusivo sobre o Produto de Software, senón só o dereito a utilizar unha copia do Produto de Software para fins non comerciais de acordo coas condicións definidas na Sección 2 do Acordo de Licenza.
2.4 O Licenciatario ten dereito a un uso non comercial do Produto de Software nun número ilimitado de servidores e estacións de traballo.
Así, non podemos utilizalo na Empresa, aínda que está incluído no rexistro do Ministerio de Telecomunicacións e Comunicacións de masas. Isto é triste porque é gratuíto. Pero os desenvolvedores teñen algo de malo co sitio, porque hai varias semanas que non puiden descargar a distribución e non recibín resposta aos meus correos electrónicos de soporte. Que? Por que? Non sei.
Paquetes ofimáticosA situación é a seguinte: tamén hai que elevar o número de "oficinas" nacionais ao 80%, que tamén son 1200 "pezas". Estas 1200 "pezas" xa están incluídas no SO baseado en Linux que instalaremos para os usuarios. Non importa, todas as distribucións inclúen unha suite ofimática gratuíta. A maioría das veces isto . Pero podemos instalar con seguridade un paquete de Microsoft en servidores RDP, xa que non queremos que os usuarios estean sen traballo durante un período de tempo indefinido (polo menos ata que estean adestrados para traballar co novo software ofimático) porque non poden atopar o novo editor de táboas o teu botón favorito. Isto tamén ten unha vantaxe separada: a copia de seguridade dos documentos dos empregados, que se manterán nun só lugar, e a morte do disco duro xa non dá medo.
cambioTeremos que demolelo. Desafortunadamente, non hai forma de sortear esta cifra do 80%, xa que a orde indica o "número de usuarios" e non unha porcentaxe do número de servidores de correo no Enterprise. E como hai que substituílo por algo do rexistro do Ministerio de Telecomunicacións e Comunicacións Masivas, non temos moito remedio. Ou sexa Ou Ou . Ou pode instalar ROSA en ambas redes, que ten , e alégrate, porque para o meu gusto Zimbra é moito máis cómodo e agradable que MyOffice Mail, que é un pouco máis que completamente terrible, e tampouco me gustou CommuniGate Pro. Ademais, Zimbra pode coller facilmente todo o correo de Exchange se é necesario para gardar o historial de correspondencia dos usuarios. Por certo, escribín un par de artigos sobre Zimbra OSE en Habr (, и ) Pero, depende do gusto e da cor, como din.
Sistemas de referencia xurídicoSe o fosen, o máis probable é que fose algún tipo , , e outros coma eles. É dicir, son de fabricación rusa. Se non, hai unha opción =)
Software antivirusAdemais, o 100% debe ser doméstico. Ben, non poden confiar a protección da industria de defensa nacional a programas burgueses... Para escoller - , , .
VeeamVeeam BackUp and Replication. A situación con el é estraña. Ten unha versión certificada por FSTEC, pero no rexistro do Ministerio de Telecomunicacións e Comunicacións Masivas non hai ningún produto de Veeam. Por outra banda, a orde do ministerio non contén a columna "software de copia de seguridade". Polo tanto, a situación aquí é dobre. Se deixamos os servizos baseados en Windows, e especialmente Hyper-V, Veeam facilita moito a copia de seguridade das máquinas virtuais, é moi cómodo e sen pretensións, e Axente de Veeam para Windows permítelle facer unha copia de seguridade dun volcado de ficheiros, ten unha configuración moi sinxela e unha interface amigable, hai detección automática da duplicación de datos e o seu corte, etc. Nunha palabra, se deixamos o hipervisor de Microsoft, podemos tentar escribir un papel dicindo que Veeam non ten análogos e que realmente o necesitamos. O intento non é tortura, pero non podo dicir o que sairá.
1sAquí comezan as preguntas, xa que parecen ter unha versión para Linux. E ata parece que funciona. Pero en realidade ninguén o usa. Polo tanto, teremos que asignar outra máquina Windows ao servidor 1c. Ou mesmo dous. Quedan 274 en total. DBMS - PostgreSQL, por suposto. A pesar de que non é nacional, está no rexistro do Ministerio de Comunicacións e Comunicacións. 1c pode funcionar con el, e o propio DBMS é bastante bo. Non é doado de configurar, pero moi bo. Ademais, instálase facilmente en calquera distribución de Linux e, como parte do mesmo Astra, xeralmente se subministra como un kit.
Fluxo de documentosPois con IFS Está claro que terás que deixalo ao 100%. Medios da empresa - Quedan preguntas. O software é doméstico, está no rexistro do Ministerio de Telecomunicacións e Comunicacións de masas, iso é todo. Pero. IBM Domino ten licenza e adquírese por separado e, polo tanto, non se pode utilizar. Por outra banda, ter Medios da empresa hai unha versión para PostgreSQL. Pero implementamos exactamente IBM Domino. Si, teño unha forte actitude negativa cara a este "produto" da empresa Intertrust chamada Company Media; a única mención del faime sentir mal. Pero isto está fóra do punto. Entón, ou movemos CM a PostgreSQL ou estamos a buscar outro sistema de xestión de documentos. O rexistro contén escoller. Pero neste momento non vou determe neste tema, xa que se gastou moito diñeiro en medios da empresa e aínda non está claro o seu destino, pero gustaríame crer no sentido común e simplemente transferir o sistema a PostgreSQL. Entón, vou deixar unha lista de software do rexistro.
Ferramentas multimediaNon o considero. Non só son de aplicación restrinxida, senón que nas empresas sometidas ao programa de substitución de importacións, aínda que se utilicen, é só para colaxe de tarxetas postais para o 23 de febreiro por empregados de contabilidade. E os "bens esenciais" están incluídos no SO.
navegadores de internetPermitido , . Ao mesmo tempo, Mozilla Firefox está incluído en case todos os sistemas operativos do rexistro. Creo que non haberá problemas con isto. E para aplicacións que só poden InternetExplorer deixamos unha brecha en forma de servidores RDP.
Lume abertoPor suposto, negamos. Por que? Porque hai que implementar 1s Bitrix24! De feito, negámonos non por iso, senón porque non está no rexistro, pero en xeral estamos a substituír o chat por un portal que teña servizo de chat, así que... bueno... xa está... tes a idea. Aquí. Si. Si. Ou podes usar ejabberd como servidor jabber como parte de ROSA Linux. Tamén hai un cliente de chat alí, se non me equivoco - Mirka. Isto é no caso de que non teñas 1C Bitrix24.
ZabbixPor suposto, non está representado no rexistro do Ministerio de Telecomunicacións e Comunicacións de masas. Pero. EN Indícase que inclúe a versión 3.4 de Zabbix. Polo tanto, se queremos obter Zabbix "legal", necesitaremos polo menos unha copia deste sistema operativo.
Cliente de correoPresentado Thunderbird incluído con case todos os sistemas operativos do rexistro. Se non estás satisfeito con el, terás que compralo por separado, como parte do mesmo A miña oficina, por exemplo, ou "P7-Oficina. organizador". Para ser honesto, xa non atopei clientes de correo electrónico individuais no rexistro do Ministerio de Comunicacións. Si, Thunderbird tamén me convenía. Se escribes nos comentarios, engadireino aquí.
Clientes bancariosTemos que probalo. En teoría, Cryptopro podo facelo en Linux, pero en realidade non o probei persoalmente. En teoría debería funcionar, pero se algo sae mal, entón temos a opción dun servidor RDP.
Capítulo 2.1. Mestura
Como resultado, acabei con esta táboa con opcións, a partir das cales se extraerán conclusións e se farán plans:
O que é lóxico: se aínda hai que cambiar dun dominio de Windows a Astra ou Rosa, ou a outra cousa, ten sentido transferir máquinas cliente a un produto do mesmo fabricante, deste xeito pode reducir o número de erros. ao tentar "facer amizade" uns cos outros.
En relación a PostgreSQL и PostgreSQL PRO hai que entender o que teñen , incluso en velocidade. A versión PRO é máis produtiva. Para o traballo "normal", é probable que a mesma versión gratuíta 1C non sexa suficiente.
Astra Linux SpecialEdition e ROSA DX "NICKEL" son sistemas seguros certificados para funcionar con segredos de estado, segredos, etc.
En canto a CAD: Estas preguntas expuxéronse nos comentarios do artigo anterior. ROSA Linux ten o seguinte nos seus repositorios :
- freecad
- KiCAD
- LibreCAD
- Cascada aberta
- QCAD
- QCAD3d
Por suposto, todo isto é software libre. Pero, dado que o rexistro do Ministerio de Telecomunicacións e Comunicacións Masivas non indica paquetes CAD, o máis probable é que este tipo de software caia na categoría "insubstituíble" e pódese mercar ou usar baixo licenzas existentes escribindo o papel correspondente a o ministerio.
O mesmo ocorre con outro software altamente especializado, dos cales, por desgraza, hai moito nas nosas empresas. Terás que escribir papeis e rogar entre bágoas para non destruír, e que teñas a oportunidade de seguir traballando. O máis probable é que dean permiso.
PS:
Non vou ser orixinal. Todo este "alboroto" coa substitución de importacións parece extremadamente estraño, se escollemos expresións suaves. De feito, o noso software só produce Yandex, Acronis, Kaspersky, 10-Folga (cun tramo) 1s, Askon, Abby, dr.web. Ben, e unha morea de pequenas empresas. Pero todos estes son desenvolvementos de nicho tan estreitos (con excepción de Yandex, quizais) que podemos dicir que case nunca fabricamos software. E todo o que se nos ofrece como parte do programa de substitución de importacións é simplemente software "comprobado" desenvolvido no estranxeiro. É dicir, en esencia, ofrécennos por diñeiro (e moito) o mesmo software que poderiamos descargar e utilizar gratuitamente. ROSA está baseado en Mandriva, Astra - Debian GNU. Astra pode conectar o repositorio de Debian e actualizar. O resultado final é algo interesante. Todos os paquetes para o mesmo DNS, DHCP, ALD, dominio ROSA, Dovecot e todo o demais non son máis que paquetes de software de código aberto, algúns dos cales foron lixeiramente "retocados e revocados", mentres que o resto non se tocou nada, só " comprobado” para a presenza de marcadores. Non está claro de que "software doméstico" estamos a falar.
Por outra banda, os administradores de Linux estarán afeitos a traballar con software xa coñecido, o que reducirá un pouco a barreira de entrada. Pero sexa como for, todas as empresas da industria controlada terán que cambiar a este software "nacional". Entón, "vémonos no próximo artigo" se non me encarcelan nin me despiden por este =)
Fonte: www.habr.com