Introduzione
A causa del fatto che il 2020 si avvicina e "l'ora del massimo", quando sarà necessario riferire sull'attuazione dell'ordinanza del Ministero delle Telecomunicazioni e delle Comunicazioni di massa sul passaggio al software domestico (nell'ambito della sostituzione delle importazioni) , e non solo , ho ricevuto l'incarico di elaborare un piano, appunto, per attuare l'ordinanza del Ministero delle Comunicazioni e dei Mass Media n. 334 del 29.06.2017 giugno XNUMX. E ho iniziato a capirlo.
Il primo articolo riguardava . E ha suscitato così tanto clamore, c'erano così tanti commenti scritti sotto che, a dire il vero, sono rimasto un po' scioccato...
Quindi, come promesso, è giunto il momento di iniziare “una serie di articoli su come abbiamo eseguito l’ordine e come abbiamo affrontato le circostanze”. Non so quanto durerà questo ciclo, ma c'è il desiderio di descrivere l'intero processo dall'inizio alla fine, ma non c'è abbastanza tempo per questo, perché scrivere articoli richiede molto tempo e devi nutrire la tua famiglia =)
Il primo articolo sarà dedicato allo studio delle opzioni esistenti e alla loro analisi superficiale al fine di elaborare uno schema per studiare le opzioni nella pratica. Perché prima di assemblare un banco prova, è necessario capire cosa testare su di esso.
Quindi, per favore, sotto cat.
Capitolo 1. Come è
In ordine:
Hyper-V, ESXI come piattaforme di virtualizzazione. Perché entrambi? Perché uno è nella società madre, l'altro è nella filiale. Ecco come è avvenuto storicamente (c)
Windows Server 2012 R2 2016 и 7 CentOS come sistemi operativi server
Windows 7 come sistema operativo client
1s in fase di attuazione sulla base di Standard MSSQLServer
TECTON su Firebird 1.5 (Non chiederlo nemmeno... Ma lo chiederai comunque, vero?.. Beh, questo è il progetto di laurea di qualcuno che è stato acquistato dalla nostra Enterprise all'inizio del 2005, a quanto pare, per ragioni a me sconosciute. E ora stiamo tentando senza successo di passare da esso a 1s..)
OASI sullo stesso MSSQLServer Standard del software per i rapporti alla Cassa pensione russa
Zabbix su MariaDB
Exchange и Zambra OSE. Perché entrambi? Perché abbiamo 2 circuiti di rete. Uno dei quali non è in alcun modo connesso con il mondo esterno e il secondo circuito... beh, la sicurezza informatica crede che così dovrebbe essere e non ci permette di impostare il routing e fare tutto correttamente, e chi lo è dobbiamo discutere con la sicurezza informatica?.. In una parola, è così che è avvenuto storicamente (c) (2)
IFS su Oracle, AziendaMedia su IBMDomino. Il primo è per le attività precontrattuali, il secondo è il flusso documentale “lavorativo”... Perché CompanyMedia è su un database di file nel 2019? Che tu ci creda o no, ho posto loro la stessa domanda: non hanno trovato una risposta. Perché è necessario un mostro come IFS per le attività precontrattuali? SÌ.
Microsoft Office. Dobbiamo fare chiarezza qui. Oltre al set di utenti standard, da tempo immemorabile (letto prima di venire qui) abbiamo un database scritto in Access. Cosa contenga e perché non ne ho la minima idea, ma "ne abbiamo davvero bisogno, non possiamo lavorare senza!", e abbiamo una cosa del genere su Excel... È impossibile capire come funziona e anche come se ne va è sconosciuto. Esiste un numero enorme di macro che estraggono i dati dall'oscurità dei file e fanno qualcosa con essi. Anche l'autore di questa creazione non sa come funziona. Riscriverlo è come riprogettare il database... In breve, non possiamo semplicemente alzarci e lasciare MS Office.
Спутник come browser Internet di recente
OpenFire+Pidgin come una chiacchierata
Consulente+ и TechExpert
Veeam Backup & Replication и Agente Veeam per Windows nella loro versione gratuita
Beh, un mucchio di chip per server Windows, tipo AD, DNS, DHCP, WDS, CS, RDP, App remota, KMS, WSUS e più avanti piccole cose.
Tutto questo è nato quasi dal nulla, con sudore e sangue, sofferenza e ricerche su Google. E ora è giunto il momento di distruggere tutto. Dovrebbero esserci risate omeriche fuori campo, e agli occhi del personaggio principale, leggetemi, dovrebbero sgorgare le lacrime...
Ma è davvero tutto così brutto? Diamo un'occhiata alle opzioni.
Capitolo 2. Come dovrebbe essere
Puoi seguire il percorso degli "Elicotteri russi", ovvero provare a respingere completamente i sistemi nemici basati su Windows e passare a software "domestico" al 100% (le virgolette non sono casuali). L'opzione "hardcore" prevede di divertirsi a smontare Windows per tutti, installando qualsiasi sistema operativo desiderato dal registro del Ministero delle Telecomunicazioni e delle Comunicazioni di massa con MyOffice o LibreOffice installato su di esso e vedendo quale utente emerge. Divertente? Indubbiamente. Produttivo? Affatto.
Per comprendere ulteriormente il ragionamento, fornirò il contenuto del software Sistema operativo Astra Linux SE 1.6, da cui ne consegue che l'intera infrastruttura attualmente basata su prodotti Microsoft può essere sostituita con i software inclusi in Astra. È possibile, ma non significa che sia necessario. Tutto questo non l'ho ancora provato in un ambiente di prova con almeno un paio di dozzine di nodi, ho appena installato un banco di prova e anche allora l'ho guardato superficialmente. Ma ci sono strumenti.
Software incluso con Astra Linux Special Edition 1.6
- Vola-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- exim4
- Colombaia
- Thunderbird
- GIMP
- prendilo
- VLC
- CUPS
- lega 9
- Iscdhcpserver
- SAMBA
Sul sito web del sistema operativo nella descrizione della versione c'è una storia secondo cui Zabbix è incluso. Ma se frughi nel Wiki, c'è un articolo su come installare Zabbix... da cui puoi concludere che Apache, Postgre, php sono tutti installati dal repository. E abbiamo detto sopra che è legittimo solo ciò che è compreso nel pacchetto... E questa confusione mi fa impazzire!!!!11 Ebbene, nel senso che non è chiaro cosa è possibile e necessario, e cosa non lo è e" non funzionerà". Sembra che anche i pacchetti dal repository siano legittimi. Ma lo è? Sembra di sì, ma...
Di conseguenza, dobbiamo presumere che tutto ciò che si trova nei repository del sistema operativo possa essere chiamato software domestico. Spegniamo la logica e facciamo come fanno tutti gli altri. Installiamo, utilizziamo e segnaliamo la sostituzione delle importazioni. Alla fine, sappiamo tutti perché è stato inventato tutto questo..
Puoi anche sollevare l'intera infrastruttura sulla base ROSA Linux Enterprise Server. Neanche questo l'ho ancora provato. (Tutti i test e i risultati saranno pubblicati nel prossimo articolo di questa serie se tutto andrà come previsto.)
Software incluso con ROSA Enterprise Linux Server
- strumenti per l'implementazione del dominio IPA (analogo a Microsoft Active Directory)
- Nginx e Apache
- MySQL e PostgreSQL
- Zimbra, Exim, Postfix e Dovecot
- pacemaker, corosync
- DRBD
- Bacula
- eiaculato
- CIFS, NFS, Associa, DHCP, NTP, FTP, SSH
- Zabbix
- strumento avanzato di gestione degli attributi ROSA Chattr
- strumento di crittografia delle informazioni ROSA Crypto Tool
- pulitore di memoria ROSA Memory Clean
- Strumento di rimozione file garantito da ROSA Shred
Puoi prenderne uno gratis? Calcola Linux e costruire l'intera infrastruttura sulla sua base. Un elenco dei pacchetti Calculate Linux può essere trovato qui .
Da quanto sopra segue che è possibile costruire tutte le infrastrutture necessarie, essenzialmente da zero. Ciò richiederà un dispendio colossale di risorse, tonnellate di nervi amministrativi, kilotoni di caffè e molto tempo per il debug. La soglia d’ingresso sarà molto difficile da superare. Ma è possibile. Ma è difficile. Ma funzionerà. Ma è difficile. Ma ma...
Un’altra opzione è lasciare tutto così com’è e sperare che non ci siano controlli e che semplicemente si dimentichino di noi. Ma dobbiamo riferire ogni anno al ministero sulla transizione al software domestico. Quindi neanche questa è un'opzione.
Pertanto, propongo di affrontarlo dal lato del buon senso.
C'è un cartello come questo:
Quella che segue è sostanzialmente una lunga trattazione, quindi se non siete interessati potete passare subito alla tabella risultante (Capitolo 2.1.). E chi ama i multilibri, è il benvenuto.
Quindi eccolo qui. Dobbiamo riportare gli indicatori entro i limiti stabiliti. In realtà, ciò significa che dobbiamo sostituire i sistemi operativi esistenti con prodotti del registro del Ministero delle Telecomunicazioni e delle Comunicazioni di massa e aumentare il numero di sistemi operativi sostituiti all'80%. Inoltre, non viene fatta alcuna distinzione tra sistemi operativi server e client. Questo ci dà spazio di manovra. Quale? Possiamo installare stupidamente thin client basati sul sistema operativo dal registro per gli utenti e forzarli tutti in RDP. Nel nostro caso, quando il numero dei dipendenti è di circa 1500 persone, otteniamo 1200 "pezzi" (in realtà di più, dal momento che non abbiamo solo sistemi operativi utente, ma anche server, ma questo articolo non riguarda i calcoli esatti), e ne rimangono 300 per quelli, quel 20% che non può essere modificato. E allora, 300 server Windows non sono sufficienti per costruire correttamente la solita architettura? Ciò include anche software specifici che non possono essere eseguiti su sistemi diversi da Windows e spesso anche su Windows XP. Ma 300 auto. Non sarà sufficiente? Sul serio?
Va anche notato che la migliore pratica in questo caso sarebbe quella di formare in anticipo i dipendenti a lavorare con il nuovo software. Senza di ciò si corre il rischio enorme di mettere semplicemente in ginocchio l'intera produzione e di paralizzare il lavoro dell'intera Azienda per un periodo indefinito. Perché se tutto non è così spaventoso con il sistema operativo, spesso l'utente non ha bisogno di altro che avviare l'applicazione Office del browser 1c, cercare il file richiesto e avviare Solitario. Ma in Office1s lavorano costantemente (non prendiamo in considerazione i progettisti per ora - c'è una nota a piè di pagina sul CAD nel capitolo 2.1 - produzione, ecc.), tutta la reportistica passa attraverso i filtri Excel, ecc. Bene, per coloro che, per un motivo o per l'altro, non possono lavorare con il software libero, benvenuti in RDP.
Quindi possiamo tranquillamente lasciare il cluster acceso Hyper-V, visto che ce l'abbiamo e ci piace, nel nostro caso sono 12 nodi, da ESSI Dovrò andarmene. Inoltre, richiede un controller di dominio "iron" + un controller di dominio virtuale. Totale 14. Bene, o lascia ESXi, lasciando Hyper-V, come preferisci, i numeri saranno sempre gli stessi. Sui controller di dominio avremo AD, DNS, DHCP, CS. Con un numero limitato di macchine Windows WSUS può essere trascurato. KMS Puoi anche avvitarlo a un controller di dominio. WDS non è più necessario. Sono rimasti ancora alcuni servizi Windows Server RDP. Bene, abbiamo ancora altre 286 potenziali "cose" inutilizzate per Windows. La farm RDP occuperà altri 8-10 sistemi operativi Windows. In totale ci restano 276 unità per software specifici per dipartimenti scientifici e CAD.
GANon importa quale sistema operativo sia - , , , , , . Devi scegliere qualcosa che soddisfi gli utenti. Non posso dire come scegliere, queste sono questioni molto sottili. In effetti, sono tutti almeno simili nell'aspetto (e l'unica cosa che conta per l'utente è come appare e quanto è comodo da usare). Installerò semplicemente un paio di ciascun sistema operativo e chiederò agli utenti meno impegnati di utilizzarlo per mezz'ora o un'ora. Qualunque cosa dicano, è per questo che probabilmente balleremo.
AlterOS e Halo OS non sono disponibili per la vendita al pubblico. Ciò significa che non li prenderò in considerazione, perché questo “non proprio un business” non mi attira per niente.
Informazioni sul sistema operativoIl contratto di licenza dice:
1.4 Il Contratto di licenza non fornisce un diritto esclusivo sul Prodotto software, ma solo il diritto di utilizzare una copia del Prodotto software per scopi non commerciali in conformità con le condizioni definite nella Sezione 2 del Contratto di licenza.
2.4 Il Licenziatario ha il diritto all'uso non commerciale del Prodotto Software su un numero illimitato di server e postazioni di lavoro.
Pertanto non possiamo utilizzarlo presso l'Enterprise, anche se è incluso nel registro del Ministero delle Telecomunicazioni e delle Comunicazioni di massa. Questo è triste perché è gratuito. Ma gli sviluppatori hanno qualcosa che non va con il sito, perché ormai da diverse settimane non riesco a scaricare la distribuzione e non ho ricevuto risposta alle mie email di supporto. Che cosa? Perché? Non lo so.
Pacchetti ufficioLa situazione è la seguente: dobbiamo anche portare il numero degli “uffici” domestici all'80%, che è anch'esso di 1200 “pezzi”. Questi 1200 “pezzi” sono già inclusi nel sistema operativo basato su Linux che installeremo per gli utenti. Non importa, tutte le distribuzioni includono una suite per ufficio gratuita. Molto spesso questo . Ma possiamo tranquillamente installare un pacchetto Microsoft sui server RDP, poiché non vogliamo che gli utenti rimangano senza lavoro per un periodo di tempo indefinito (almeno finché non saranno addestrati a lavorare con il nuovo software per ufficio) perché non riescono a trovare in il nuovo editor di tabelle, il tuo pulsante preferito. Ciò ha anche un vantaggio separato: il backup dei documenti dei dipendenti, che verrà conservato in un unico posto, e la morte del disco rigido non sarà più spaventosa.
ExchangeDovremo demolirlo. Purtroppo non è possibile aggirare questa cifra dell'80%, poiché l'ordine indica il "numero di utenti" e non una percentuale del numero di server di posta dell'azienda. E poiché dobbiamo sostituirlo con qualcosa del registro del Ministero delle Telecomunicazioni e delle Comunicazioni di massa, non abbiamo molta scelta. È uno dei due O O . Oppure puoi installare ROSA su entrambe le reti, che ha , e rallegrati, perché per i miei gusti Zimbra è molto più comodo e piacevole di MyOffice Mail, che è un po' più che del tutto terribile, e non mi è piaciuto neanche CommuniGate Pro. Inoltre, Zimbra può facilmente prelevare tutta la posta da Exchange se è necessario salvare la cronologia della corrispondenza degli utenti. A proposito, ho scritto un paio di articoli su Zimbra OSE su Habr (, и ) Ma dipende dal gusto e dal colore, come si suol dire.
Sistemi giuridici di riferimentoSe lo fossero, molto probabilmente era una specie di , , e altri come loro. Cioè, sono di fabbricazione russa. In caso contrario, c'è una scelta =)
Programma antivirusInoltre, il 100% deve essere domestico. Ebbene, non possono affidare la protezione dell'industria della difesa nazionale a programmi borghesi... Tra cui scegliere - , , .
VeeamVeeam BackUp e replica. La situazione con lui è strana. Ha una versione certificata da FSTEC, ma nel registro del Ministero delle Telecomunicazioni e delle Comunicazioni di massa non figura alcun prodotto Veeam. D’altro canto, l’ordinanza del ministero non contiene la colonna “software di backup”. Quindi la situazione qui è duplice. Se lasciamo i servizi basati su Windows, e soprattutto Hyper-V, Veeam facilita notevolmente il backup delle macchine virtuali, è molto comodo e senza pretese, e Agente Veeam per Windows ti consente di eseguire il backup di un dump di file, ha una configurazione molto semplice e un'interfaccia intuitiva, c'è il rilevamento automatico della duplicazione dei dati e del loro taglio, ecc. In una parola, se lasciamo l'hypervisor di Microsoft, possiamo provare a scrivere un pezzo di carta affermando che Veeam non ha analoghi e che ne abbiamo davvero bisogno. Il tentativo non è una tortura, ma non posso dire cosa ne verrà fuori.
1sÈ qui che iniziano le domande, poiché sembra che abbiano una versione per Linux. E sembra addirittura funzionare. Ma in realtà nessuno lo usa. Dovremo quindi assegnare un'altra macchina Windows al server 1c. O anche due. Totale 274 rimasti. DBMS- PostgreSQL, Ovviamente. Nonostante non sia nazionale, è nel registro del Ministero delle Comunicazioni e delle Comunicazioni. 1c può funzionare con esso e il DBMS stesso è abbastanza buono. Non facile da configurare, ma molto buono. Inoltre si installa facilmente su qualsiasi distribuzione Linux, e come parte della stessa Astra viene generalmente fornito in kit.
Gestione dei documentiBene con IFS È chiaro che dovrai lasciarlo al 100%. Media aziendali - Restano le domande. Il software è domestico, è nel registro del Ministero delle Telecomunicazioni e delle Comunicazioni di massa, tutto qui. Ma. IBM Domino viene concesso in licenza e acquistato separatamente e pertanto non può essere utilizzato. D'altra parte, avere Media aziendali esiste una versione per PostgreSQL. Ma abbiamo implementato esattamente IBMDomino. Sì, ho un atteggiamento fortemente negativo nei confronti di questo “prodotto” della società Intertrust chiamato Company Media; il solo menzionarlo mi fa stare male. Ma questo non è il punto. Quindi o spostiamo CM su PostgreSQL o stiamo cercando un altro sistema di gestione dei documenti. Il registro contiene scegliere. Ma in questa fase non mi soffermerò su questo problema, poiché sono stati spesi molti soldi per Company Media e il suo ulteriore destino non è ancora chiaro, ma vorrei credere nel buon senso e trasferire semplicemente il sistema su PostgreSQL. Quindi lascerò semplicemente un elenco di software dal registro.
Strumenti multimedialiNon lo considero. Non solo sono strettamente applicabili, ma nelle imprese che rientrano nel programma di sostituzione delle importazioni, anche se vengono utilizzati, è solo per creare collage di cartoline per il 23 febbraio da parte dei dipendenti della contabilità. E i “beni essenziali” sono inclusi nel sistema operativo.
Browser Internetpermesso , . Allo stesso tempo, Mozilla Firefox è incluso in quasi tutti i sistemi operativi dal registro. Penso che non ci saranno problemi con questo. E per le applicazioni che possono solo InternetExplorer abbiamo lasciato una scappatoia sotto forma di server RDP.
OpenfireNaturalmente rifiutiamo. Perché? Perché dobbiamo implementare 1sBitrix24! Infatti ci rifiutiamo non per questo, ma perché non è anagrafica, ma in generale stiamo sostituendo la chat con un portale che abbia un servizio di chat, quindi... beh... questo è tutto... hai capito. Qui. Sì. SÌ. Oppure puoi usare eiaculato come server jabber come parte di ROSA Linux. C'è anche un client di chat lì, se non sbaglio: Mirka. Questo nel caso in cui non disponi di 1C Bitrix24.
ZabbixNaturalmente non è rappresentata nel registro del Ministero delle Telecomunicazioni e delle Comunicazioni di massa. Ma. IN Si afferma che include Zabbix versione 3.4. Quindi, se vogliamo ottenere Zabbix “legale”, avremo bisogno di almeno una copia di questo sistema operativo.
Cliente di postaIntrodotto Thunderbird incluso in quasi tutti i sistemi operativi dal registro. Se non sarai soddisfatto, dovrai acquistarlo separatamente, come parte dello stesso Il mio ufficioAd esempio, o "P7-Ufficio. Organizzatore". Ad essere sincero, non ho più trovato i singoli client di posta elettronica nel registro del Ministero delle Comunicazioni. Sì, anche Thunderbird andava bene per me. Se scrivi nei commenti lo aggiungo qui.
Clienti bancariDobbiamo testarlo. In teoria, Criptopro può farlo in Linux, ma in realtà non l'ho testato personalmente. In teoria dovrebbe funzionare, ma se qualcosa va storto, abbiamo la possibilità di utilizzare un server RDP.
Capitolo 2.1. Miscelazione
Di conseguenza, mi sono ritrovato con questa tabella con le opzioni, sulla base delle quali verranno tratte le conclusioni e verranno elaborati i piani:
Il che è logico: se è ancora necessario passare dal dominio Windows ad Astra o Rosa o qualcos'altro, allora ha senso trasferire le macchine client su un prodotto dello stesso produttore, in questo modo puoi ridurre il numero di errori quando si cerca di "fare amicizia" tra loro.
In relazione con PostgreSQL и PostgreSQL PRO devi capire cosa hanno , anche in termini di velocità. La versione PRO è più produttiva. Per il lavoro "normale", molto probabilmente la stessa versione gratuita 1C non è sufficiente.
Astra Linux SpecialEdition e ROSA DX "NICKEL" sono sistemi sicuri certificati per funzionare con segreti di stato, segreti, ecc.
Per quanto riguarda CAD: Queste domande sono state sollevate nei commenti all'articolo precedente. ROSA Linux ha quanto segue nei suoi repository :
- freecad
- Kicad
- LibreCAD
- Opencascade
- QCAD
- QCAD3d
Naturalmente tutto questo è software gratuito. Ma, poiché il registro del Ministero delle Telecomunicazioni e delle Comunicazioni di massa non indica pacchetti CAD, molto probabilmente questo tipo di software rientrerà nella categoria “insostituibili”, e potrà essere acquistato o utilizzato con le licenze esistenti scrivendo l'apposita carta a il ministero.
Lo stesso vale per altri software altamente specializzati, di cui purtroppo ce ne sono molti nelle nostre Aziende. Dovrai scrivere documenti e implorare in lacrime di non distruggere e di avere l'opportunità di continuare a lavorare. Molto probabilmente daranno il permesso.
PS:
Non sarò originale. Tutto questo “polverone” con la sostituzione delle importazioni sembra estremamente strano, se scegliamo espressioni miti. In effetti, il nostro software produce solo Yandex, Acronis, Kaspersky, 10 colpi (con uno stiramento) 1s, Askon, Abby, Dr.Web. Bene, e un gruppo di piccole aziende. Ma tutti questi sono sviluppi di nicchia così ristretti (ad eccezione di Yandex, forse) che possiamo dire che non produciamo quasi mai software. E tutto ciò che ci viene offerto come parte del programma di sostituzione delle importazioni è semplicemente software “collaudato” sviluppato all’estero. Cioè, in sostanza, ci offrono in cambio di denaro (e molto) lo stesso software che potremmo scaricare e utilizzare gratuitamente. ROSA è basato su Mandriva, Astra - Debian GNU. Astra può connettere il repository Debian ed eseguire l'aggiornamento. Il risultato finale è una cosa interessante. Tutti i pacchetti per lo stesso DNS, DHCP, ALD, ROSA Domain, Dovecot e tutto il resto non sono altro che pacchetti software open source, alcuni dei quali sono stati leggermente “ritoccati e ingessati”, mentre il resto non è stato toccato affatto, semplicemente “ controllato” per la presenza di segnalibri. Non è chiaro di quale “software domestico” stiamo parlando.
D'altra parte, gli amministratori Linux saranno abituati a lavorare con software già familiari, il che ridurrà in qualche modo la barriera all'ingresso. Comunque sia, tutte le imprese industriali controllate dovranno passare a questo software “domestico”. Quindi “ci vediamo al prossimo articolo” se non vengo incarcerato o licenziato per questo =)
Fonte: habr.com