Innledning
På grunn av det faktum at 2020 nærmer seg og "hei-timen", når det vil være nødvendig å rapportere om implementeringen av ordren fra departementet for tele- og massekommunikasjon om overgangen til innenlandsk programvare (som en del av importsubstitusjon) , og ikke bare , jeg fikk en oppgave om å utvikle en plan, faktisk, for å implementere pålegget fra Kommunikasjons- og massemediedepartementet nr. 334 av 29.06.2017. juni XNUMX. Og jeg begynte å finne ut av det.
Den første artikkelen handlet om . Og det forårsaket så mye hype, det var så mange kommentarer skrevet under det at jeg, for å være ærlig, ble litt sjokkert...
Så, som lovet, er tiden inne for å begynne "en serie artikler om hvordan vi utførte ordren og håndterte omstendighetene." Jeg vet ikke hvor lang denne syklusen vil være, men det er et ønske om å beskrive hele prosessen fra begynnelse til slutt, men det er ikke nok tid til dette, fordi det å skrive artikler tar mye tid, og du må mate familien din =)
Den første artikkelen vil bli viet til studiet av eksisterende alternativer og deres overfladiske analyse for å utarbeide et opplegg for å studere alternativer i praksis. For før du setter sammen et teststativ, må du forstå hva du skal teste på det.
Så vær så snill, under katten.
Kapittel 1. Hvordan det er
I rekkefølge:
Hyper-V, ESXI som virtualiseringsplattformer. Hvorfor begge deler? Fordi den ene er i morselskapet, er den andre i filialen. Slik skjedde det historisk (c)
Windows Server 2012 R2 2016 и 7 CentOS som server-OSer
Windows 7 som klient-OS
1s på implementeringsstadiet basert på MSSQLServer Standard
TECTON på Firebird 1.5 (Ikke spør engang... Men du spør uansett, ikke sant?.. Vel, dette er noens avgangsprosjekt som ble kjøpt av vår Enterprise ved årsskiftet 2005, ser det ut til, av grunner som er ukjente for meg. Og nå vi prøver uten hell å bytte fra det til 1s..)
OASIS på samme MSSQLServer Standard som programvare for rapporter til Russlands pensjonsfond
Zabbix på mariadb
utveksling и Zambra OSE. Hvorfor begge deler? Fordi vi har 2 nettverkskretser. Den ene er på ingen måte forbundet med omverdenen og den andre kretsen... vel, informasjonssikkerheten mener at det er slik det skal være, og lar oss ikke sette opp ruting og gjøre alt riktig, og hvem er skal vi argumentere med informasjonssikkerheten?.. Kort sagt, slik skjedde det historisk (c) (2)
IFS på Oracle, CompanyMedia på IBM Domino. Den første er for pre-kontraktuelle aktiviteter, den andre er "arbeidende" dokumentflyt... Hvorfor er CompanyMedia på en fildatabase i 2019? Tro det eller ei, jeg stilte dem det samme spørsmålet - de kom ikke med noe svar. Hvorfor trengs et slikt monster som IFS for pre-kontraktuelle aktiviteter? Ja.
Microsoft Office. Vi må avklare her. I tillegg til standard brukersett har vi siden uminnelige tider (lest før jeg kom hit) hatt en database skrevet i Access. Hva som er i den og hvorfor, har jeg ikke den minste anelse om, men "vi trenger det virkelig, vi kan ikke jobbe uten det!", og vi har en slik ting på Excel... Det er umulig å finne ut hvordan det fungerer, og hvordan avreise er også ukjent. Det er et stort antall makroer som trekker data ut av filenes mørke og gjør noe med dem. Selv forfatteren av denne skapelsen vet ikke hvordan den fungerer. Å omskrive dette er beslektet med å redesigne databasen... Kort sagt, vi kan ikke bare gå opp og forlate MS Office.
satellitt som nettleser nylig
OpenFire + Pidgin som en prat
Konsulent+ и TechExpert
Veeam Backup & Replication и Veeam Agent for Windows i deres gratisversjon
Vel, en haug med Windows-serverbrikker, som AD, DNS, DHCP, WDS, CS, RDP, Remote App, KMS, WSUS og videre på småting.
Alt dette steg nesten fra bunnen av, med svette og blod, lidelse og googling. Og nå er tiden inne for å ødelegge alt. Det skal være homerisk latter utenfor skjermen, og i hovedpersonens øyne, les meg, bør tårene sprute...
Men er alt virkelig så ille? La oss se på alternativene.
Kapittel 2. Hvordan det skal være
Du kan følge banen til "Russian Helicopters", det vil si prøve å fullstendig avvise fiendtlige Windows-baserte systemer og bytte til 100% "innenlandsk" (sitatene er ikke tilfeldig) programvare. "Hardcore"-alternativet innebærer å ha det gøy å rive ned Windows for alle, installere et hvilket som helst operativsystem du liker fra departementet for telekom og massekommunikasjon med MyOffice eller LibreOffice installert på det, og se hvilken bruker som dukker opp. Morsom? Utvilsomt. Produktivt? Ikke i det hele tatt.
For å forstå ytterligere resonnement, vil jeg gi innholdet i programvaren i OS Astra Linux SE 1.6, hvorfra det følger at hele infrastrukturen som i dag er basert på Microsoft-produkter kan erstattes med programvare inkludert i Astra. Det er mulig, men det betyr ikke at det er nødvendig. Jeg har ennå ikke prøvd alt dette i et testmiljø med minst et par dusin noder, jeg distribuerte bare et teststativ, og selv da så jeg overfladisk på det. Men det finnes verktøy.
Programvare inkludert i Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- Eksempel4
- Dovecot
- Thunderbird
- GIMP
- stige
- VLC
- CUPS
- Bind 9
- Iscdhcpserver
- SAMBA
På OS-nettstedet i utgivelsesbeskrivelsen er det en historie om at Zabbix er inkludert. Men hvis du roter gjennom Wiki, er det en artikkel om hvordan du installerer Zabbix... hvorfra du kan konkludere med at Apache, Postgre, php alle er installert fra depotet. Og vi sa ovenfor at bare det som er inkludert i pakken er legitimt... Og denne forvirringen gjør meg gal!!!!11 Vel, i den forstand at det ikke er klart hva som er mulig og nødvendig, og hva som ikke er og " Det vil ikke fungere". Det ser ut til at pakkene fra depotet også er legitime. Men er det det? Det ser ut til at ja, men...
Som et resultat må vi anta at alt som er i OS-lagrene kan kalles innenlandsk programvare. Vi slår av logikk og gjør som alle andre. Vi installerer, bruker og rapporterer om importsubstitusjon. Til slutt vet vi alle hvorfor alt dette ble oppfunnet..
Du kan også heve hele infrastrukturen på basen ROSA Linux Enterprise Server. Jeg har heller ikke prøvd dette enda. (Alle tester og resultater vil bli publisert i neste artikkel i denne serien hvis alt går som planlagt.)
Programvare inkludert med ROSA Enterprise Linux Server
- verktøy for implementering av IPA-domenet (analogt med Microsoft Active Directory)
- Nginx og Apache
- MySQL og PostgreSQL
- Zimbra, Exim, Postfix og Dovecot
- pacemaker, corosync
- DRBD
- Bacula
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- avansert attributtstyringsverktøy ROSA Chattr
- informasjonskrypteringsverktøy ROSA Crypto Tool
- minnerens ROSA Memory Clean
- ROSA Shred garantert filfjerningsverktøy
Kan du ta en gratis? Beregn Linux og bygge hele infrastrukturen på dens grunnlag. En liste over Calculate Linux-pakker finner du her .
Av ovenstående følger det at det er mulig å bygge all nødvendig infrastruktur, i hovedsak fra bunnen av. Dette vil kreve kolossale ressurser, tonnevis med admin-nerver, kilotonn kaffe og mye tid til feilsøking. Inngangsterskelen vil være svært vanskelig å overkomme. Men det er mulig. Men det er vanskelig. Men det vil fungere. Men det er vanskelig. Men men...
Et annet alternativ er å la alt være som det er, og håpe at det ikke blir noen kontroller og at de rett og slett glemmer oss. Men vi må rapportere til departementet om overgangen til innenlandsk programvare hvert år. Så det er heller ikke et alternativ.
Derfor foreslår jeg å nærme meg det fra sunn fornufts side.
Det er et skilt som dette:
Det som følger er i hovedsak en lang diskusjon, så hvis du ikke er interessert, kan du umiddelbart gå videre til den resulterende tabellen (kapittel 2.1.). Og de som er glad i flerbøker er velkommen.
Så her er det. Vi må bringe indikatorene til de etablerte grensene. I realiteten betyr dette at vi må erstatte eksisterende operativsystemer med produkter fra registeret til Tele- og massekommunikasjonsdepartementet og øke antall erstattede operativsystemer til 80 %. Dessuten skilles det ikke mellom server- og klient-OSer. Dette gir oss handlingsrom. Hvilken? Vi kan dumt installere tynnklienter basert på OS fra registeret for brukere, og tvinge dem alle inn i RDP. I vårt tilfelle, når antallet ansatte er omtrent 1500 personer, får vi 1200 "stykker" (faktisk flere, siden vi ikke bare har bruker-OSer, men også servere, men denne artikkelen handler ikke om eksakte beregninger), og 300 gjenstår for de selve 20% som ikke kan endres. Så hva, 300 Windows-servere er ikke nok for oss til å bygge den vanlige arkitekturen på riktig måte? Dette inkluderer også spesifikk programvare som ikke kan kjøres på annet enn Windows, og ofte også på Windows XP. Men 300 biler. Vil ikke være nok? Alvor?
Her bør det også bemerkes at den beste praksisen i dette tilfellet vil være å lære opp ansatte på forhånd til å jobbe med ny programvare. Uten dette er det en enorm risiko for å få hele produksjonen i kne, og lamme arbeidet til hele Enterprise på ubestemt tid. For hvis alt ikke er så skummelt med OS, trenger brukeren ofte ikke noe fra det annet enn å starte Office-applikasjonen til nettleseren 1c, søke etter den nødvendige filen og starte Solitaire. Men i Office1s jobber de konstant (vi tar ikke hensyn til designingeniører foreløpig - det er en fotnote om CAD i kapittel 2.1 - produksjon osv.), all rapportering går gjennom Excel-filtre osv. Vel, for de som av en eller annen grunn ikke kan jobbe med gratis programvare, velkommen til RDP.
Så vi kan trygt la klyngen stå på Hyper-V, siden vi har det og vi liker det, er dette 12 knop i vårt tilfelle, fra ESXI Jeg må gå. I tillegg krever det en "jern"-domenekontroller + en virtuell domenekontroller. Totalt 14. Vel, eller la ESXi forlate Hyper-V, som du vil, tallene vil fortsatt være de samme. På domenekontrollere vil vi ha AD, DNS, DHCP, CS. Med et lite antall Windows-maskiner WSUS kan neglisjeres. KMS Du kan også skru den til en domenekontroller. WDS er ikke lenger nødvendig. Det er fortsatt noen Windows-tjenester igjen RDP-servere. Vel, vi har fortsatt 286 flere ubrukte potensielle "ting" igjen for Windows. RDP-farmen vil ta opp ytterligere 8-10 Windows OS. Totalt har vi 276 enheter igjen for spesifikk programvare for vitenskapelige avdelinger og CAD.
operativsystemDet spiller ingen rolle hvilket OS det er - , , , , , . Du må velge noe som vil tilfredsstille brukerne. Jeg kan ikke si hvordan jeg skal velge, dette er veldig subtile saker. Faktisk er de alle minst like i utseende (og det eneste som betyr noe for brukeren er hvordan det ser ut og hvor praktisk det er å bruke). Jeg skal bare installere et par av hvert OS og be de minst travle brukerne om å bruke det i en halvtime eller en time. Uansett hva de sier, det er derfor vi sannsynligvis vil danse.
AlterOS og Halo OS er ikke tilgjengelig for offentlig salg. Dette betyr at jeg ikke vil vurdere dem, fordi denne "egentlig ikke en bedrift" appellerer ikke til meg i det hele tatt.
Om OS OSLisensavtalen sier:
1.4 Lisensavtalen gir ikke en eksklusiv rett til Programvareproduktet, men kun rett til å bruke én kopi av Programvareproduktet til ikke-kommersielle formål i samsvar med betingelsene definert i Seksjon 2 i Lisensavtalen.
2.4 Lisensinnehaveren har rett til ikke-kommersiell bruk av Programvareproduktet på et ubegrenset antall servere og arbeidsstasjoner.
Vi kan derfor ikke bruke den ved Foretaket, selv om den er inkludert i registeret til Tele- og massekommunikasjonsdepartementet. Dette er trist av den grunn at det er gratis. Men utviklerne har noe galt med siden, fordi jeg ikke har vært i stand til å laste ned distribusjonen på flere uker nå, og jeg har ikke mottatt svar på støtte-e-postene mine. Hva? Hvorfor? Vet ikke.
Office-pakkerSituasjonen er som følger - vi må også bringe antallet innenlandske "kontorer" til 80%, som også er 1200 "stykker". Disse 1200 "bitene" er allerede inkludert i det Linux-baserte operativsystemet som vi vil installere for brukere. Det spiller ingen rolle, alle distribusjoner inkluderer en gratis kontorpakke. Oftest dette . Men vi kan trygt installere en pakke fra Microsoft på RDP-servere, siden vi ikke vil at brukere skal være uten jobb på ubestemt tid (i hvert fall inntil de er opplært til å jobbe med den nye kontorprogramvaren) fordi de ikke kan finne i den nye tabellredigereren din favoritt-knapp. Dette har også en egen fordel - sikkerhetskopiering av ansattes dokumenter, som vil bli holdt på ett sted, og døden til harddisken er ikke lenger skummel.
utvekslingVi må rive den. Dessverre er det ingen måte å komme rundt dette tallet på 80%, siden rekkefølgen indikerer "antall brukere", og ikke en prosentandel av antall e-postservere i Enterprise. Og siden vi må erstatte det med noe fra departementet for tele- og massekommunikasjonsregister, har vi ikke så mye valg. Det er enten Eller Eller . Eller du kan installere ROSA på begge nettverkene, som har , og glede deg, for for min smak er Zimbra mye mer praktisk og behagelig enn MyOffice Mail, som er litt mer enn helt forferdelig, og jeg likte ikke CommuniGate Pro heller. I tillegg kan Zimbra enkelt hente all e-post fra Exchange hvis det er nødvendig å lagre brukernes korrespondansehistorikk. Btw, jeg skrev et par artikler om Zimbra OSE på Habr (, и ) Men, det kommer an på smak og farge, som man sier.
Juridiske referansesystemerHvis de var det, så var det mest sannsynlig en slags , , og andre liker dem. Det vil si at de er russiskproduserte. Hvis ikke, er det et valg =)
Antivirus programvareDessuten må 100 % være innenlands. Vel, de kan ikke overlate beskyttelsen av den innenlandske forsvarsindustrien til borgerlige programmer... Å velge mellom - , , .
VeeamVeeam backup og replikering. Situasjonen med ham er merkelig. Den har en versjon sertifisert av FSTEC, men i registeret til departementet for tele- og massekommunikasjon er det ingen produkter fra Veeam i det hele tatt. På den annen side inneholder ikke departementets ordre kolonnen "sikkerhetskopiprogramvare." Så situasjonen her er todelt. Hvis vi forlater Windows-baserte tjenester, og spesielt Hyper-V, letter Veeam i stor grad sikkerhetskopiering av virtuelle maskiner, det er veldig praktisk og upretensiøs, og Veeam-agent for Windows lar deg sikkerhetskopiere en fildump, den har veldig enkelt oppsett og et brukervennlig grensesnitt, det er automatisk gjenkjenning av dataduplisering og kutting av den, etc. Med et ord, hvis vi forlater hypervisoren fra Microsoft, kan vi prøve å skrive et stykke papir som sier at Veeam ikke har noen analoger, og at vi virkelig trenger det. Forsøket er ikke tortur, men jeg kan ikke si hva som vil komme ut av det.
1sDet er her spørsmålene begynner, siden de ser ut til å ha en versjon for Linux. Og det ser til og med ut til å fungere. Men i virkeligheten er det ingen som bruker det. Derfor må vi tilordne en annen Windows-maskin til 1c-serveren. Eller til og med to. Totalt 274 igjen. DBMS - PostgreSQL, selvfølgelig. Til tross for at den ikke er innenlands, står den i registeret til Kommunikasjons- og kommunikasjonsdepartementet. 1c kan jobbe med det, og selve DBMS er ganske bra. Ikke lett å sette opp, men veldig bra. I tillegg kan den enkelt installeres på enhver Linux-distribusjon, og som en del av den samme Astra leveres den vanligvis som et sett.
DokumentflytVel, med IFS Det er klart at du må forlate ham 100%. Company Media - Spørsmål gjenstår. Programvaren er innenlandsk, den er i registeret til departementet for telekom og massekommunikasjon, det er alt. Men. IBM Domino er lisensiert og kjøpt separat og kan derfor ikke brukes. På den annen side har Company Media det finnes en versjon for PostgreSQL. Men vi implementerte nøyaktig IBM Domino. Ja, jeg har en sterk negativ holdning til dette "produktet" fra Intertrust-selskapet som heter Company Media; selve omtalen av det får meg til å føle meg kvalm. Men dette er ved siden av poenget. Så enten flytter vi CM til PostgreSQL, eller så ser vi etter et annet dokumenthåndteringssystem. Registeret inneholder velge. Men på dette stadiet vil jeg ikke dvele ved dette problemet, siden mye penger ble brukt på Company Media, og dens videre skjebne er ennå ikke klar, men jeg vil gjerne tro på sunn fornuft og ganske enkelt overføre systemet til PostgreSQL. Så jeg vil bare legge igjen en liste over programvare fra registeret.
MultimediaverktøyJeg vurderer det ikke. Ikke bare er de begrenset anvendelige, men for foretak som faller inn under importsubstitusjonsprogrammet, selv om de brukes, er det kun til collaging av postkort for 23. februar av regnskapsansatte. Og "essensielle varer" er inkludert i OS.
Internett-leseretillatt , . Samtidig er Mozilla Firefox inkludert i nesten alle operativsystemer fra registeret. Jeg tror det ikke vil være noen problemer med dette. Og for applikasjoner som bare kan Internetexplorer vi etterlot et smutthull i form av RDP-servere.
Åpne ildNaturligvis nekter vi. Hvorfor? Fordi vi må gjennomføre 1s Bitrix24! Faktisk nekter vi ikke av denne grunn, men fordi det ikke er i registeret, men generelt sett erstatter vi chatten med en portal som har en chat-tjeneste, så... vel... det er det... du skjønner ideen. Her. Ja. Ja. Eller du kan bruke ejabberd som en jabber-server som en del av ROSA Linux. Det er også en chat-klient der, hvis jeg ikke tar feil – Mirka. Dette er i tilfelle du ikke har 1C Bitrix24.
ZabbixDen er naturligvis ikke representert i registeret til departementet for tele- og massekommunikasjon. Men. I Det er oppgitt at den inkluderer Zabbix versjon 3.4. Så hvis vi ønsker å få "lovlig" Zabbix, trenger vi minst én kopi av dette operativsystemet.
E-postklientIntrodusert Thunderbird inkludert med nesten alle operativsystemer fra registeret. Hvis du ikke er fornøyd med det, må du kjøpe det separat, som en del av det samme Kontoret mitt, for eksempel, eller "P7-Office. Arrangør". For å være ærlig fant jeg ikke lenger individuelle e-postklienter i kommunikasjonsdepartementets register. Ja, Thunderbird passet meg også. Hvis du skriver i kommentarene, legger jeg det til her.
BankkunderVi må teste det. I teorien, Cryptopro kan gjøre det i Linux, men i virkeligheten har jeg ikke personlig testet det. I teorien burde det fungere, men hvis noe går galt, så har vi muligheten til en RDP-server.
Kapittel 2.1. Blande
Som et resultat endte jeg opp med denne tabellen med alternativer, på grunnlag av hvilke konklusjoner vil bli trukket og planer vil bli laget:
Hvilket er logisk - hvis det fortsatt er behov for å bytte fra et Windows-domene til Astra eller Rosa, eller noe annet, så er det fornuftig å overføre klientmaskiner til et produkt fra samme produsent, på denne måten kan du redusere antall feil når du prøver å "bli venner" med hverandre.
I forhold til PostgreSQL и PostgreSQL PRO du må forstå hva de har , inkludert i hastighet. PRO-versjonen er mer produktiv. For "normalt" arbeid er den samme 1C gratisversjonen mest sannsynlig ikke nok.
Astra Linux SpecialEdition og ROSA DX "NICKEL" er sikre systemer sertifisert for å jobbe med statshemmeligheter, hemmeligheter osv.
når det gjelder CAD: Disse spørsmålene ble reist i kommentarene til forrige artikkel. ROSA Linux har følgende i depotene sine :
- freecad
- KiCAD
- LibreCAD
- Åpen kaskade
- QCAD
- QCAD3d
Alt dette er naturligvis gratis programvare. Men siden registeret til departementet for telekom og massekommunikasjon ikke indikerer CAD-pakker, vil mest sannsynlig denne typen programvare falle inn under kategorien "uerstattelig", og den kan kjøpes eller brukes under eksisterende lisenser ved å skrive riktig papir til departementet.
Det samme gjelder annen høyt spesialisert programvare, som det dessverre er mye av hos våre bedrifter. Du må skrive papirer og gråtende tigge om ikke å ødelegge, og om å få muligheten til å fortsette å jobbe. Mest sannsynlig vil de gi tillatelse.
PS:
Jeg vil ikke være original. Alt dette "oppstyret" med importsubstitusjon ser ekstremt merkelig ut, hvis vi velger milde uttrykk. Faktisk produserer programvaren vår bare Yandex, Acronis, Kaspersky, 10-Strike (med en strekk) 1s, Askon, Abby, Dr.Web. Vel, og en haug med små selskaper. Men alle disse er så smale nisjeutviklinger (med unntak av Yandex, kanskje) at vi kan si at vi nesten aldri lager programvare. Og alt som tilbys oss som en del av importsubstitusjonsprogrammet er rett og slett "påvist" utenlandsk utviklet programvare. Det vil si at de i hovedsak tilbyr oss for penger (og mye av det) den samme programvaren som vi kunne laste ned og bruke gratis. ROSA er basert på Mandriva, Astra - Debian GNU. Astra kan koble til Debian-depotet og oppgradere. Sluttresultatet er en interessant ting. Alle pakker for samme DNS, DHCP, ALD, ROSA Domain, Dovecot og alt annet er ikke noe mer enn programvarepakker med åpen kildekode, hvorav noen ble litt "rørt og pusset", mens resten ikke ble rørt i det hele tatt, bare " avmerket" for tilstedeværelse av bokmerker. Det er uklart hvilken "hjemmeprogramvare" vi snakker om.
På den annen side vil Linux-administratorer være vant til å jobbe med allerede kjent programvare, noe som vil redusere inngangsbarrieren noe. Men uansett vil alle kontrollerte industribedrifter måtte bytte til denne "hjemme" programvaren. Så "se deg i neste artikkel" hvis jeg ikke blir fengslet eller sparket for denne =)
Kilde: www.habr.com