Wprowadzenie
W związku ze zbliżającym się rokiem 2020 i „godziną hej”, kiedy konieczne będzie złożenie raportu z realizacji zarządzenia Ministra Telekomunikacji i Komunikacji Masowej w sprawie przejścia na oprogramowanie krajowe (w ramach substytucji importu) i nie tylko
Pierwszy artykuł dotyczył
Tak więc, zgodnie z obietnicą, przyszedł czas na rozpoczęcie „cyklu artykułów o tym, jak wykonaliśmy zlecenie i jak sobie poradziliśmy z okolicznościami”. Nie wiem, ile będzie trwał ten cykl, ale jest chęć opisania całego procesu od początku do końca, ale nie ma na to wystarczająco dużo czasu, bo pisanie artykułów zajmuje dużo czasu, a trzeba się nakarmić twoja rodzina =)
Pierwszy artykuł zostanie poświęcony badaniu istniejących opcji i ich powierzchownej analizie w celu sporządzenia schematu badania opcji w praktyce. Bo przed montażem stanowiska testowego trzeba wiedzieć, co na nim testować.
Więc pytam pod kotem.
Rozdział 1. Jak to jest
W celu:
Hyper-V, ESXI jako platformy wirtualizacyjne. Dlaczego oba? Bo jeden jest w spółce-matce, drugi w oddziale. Tak to się działo historycznie (c)
Windows Serwer 2012 R2 2016 и 7 CentOS jako serwerowe systemy operacyjne
Windows 7 jako system operacyjny klienta
1s na etapie realizacji w oparciu o Standard serwera MSSQL
TECTON na Ognisty ptak 1.5 (Nawet nie pytaj... Ale i tak zapytasz, prawda?.. No cóż, to czyjaś praca dyplomowa, która została zakupiona przez nasze Przedsiębiorstwo na przełomie 2005 i 1 roku, zdaje się, z nieznanych mi powodów. A teraz bezskutecznie próbujemy przejść z niego na XNUMXs..)
OAZA w tym samym standardzie MSSQLServer, co oprogramowanie do raportów dla Funduszu Emerytalnego Rosji
Zabbix na MariaDB
wymiana и Zambra OSE. Dlaczego oba? Ponieważ mamy 2 obwody sieciowe. Jeden z nich nie jest w żaden sposób powiązany ze światem zewnętrznym, a drugi obwód... cóż, bezpieczeństwo informacji uważa, że tak właśnie powinno być i nie pozwala nam na ustawienie routingu i zrobienie wszystkiego poprawnie, a którzy są mamy polemizować z bezpieczeństwem informacji?.. Jednym słowem tak to wyglądało w historii (c) (2)
IFS na wyrocznia, FirmaMedia na Domino IBM. Pierwsza dotyczy działań przedumownych, druga to „roboczy” obieg dokumentów… Dlaczego CompanyMedia znajduje się w bazie plikowej w 2019 roku? Wierzcie lub nie, ale zadałem im to samo pytanie – nie znaleźli odpowiedzi. Po co taki potwór jak IFS potrzebny do działań przedkontraktowych? Tak.
Microsoft Office. Musimy tutaj wyjaśnić. Oprócz standardowego zestawu użytkownika, od niepamiętnych czasów (czytaj zanim tu przyszedłem) mamy bazę danych napisaną w Accessie. Co w tym jest i dlaczego, nie mam zielonego pojęcia, ale „naprawdę tego potrzebujemy, bez tego nie możemy działać!”, a w Excelu mamy takie coś… Nie sposób pojąć, jak to się dzieje działa i nie wiadomo również, w jaki sposób odejdzie. Istnieje ogromna liczba makr, które wyciągają dane z ciemności plików i coś z nimi robią. Nawet autor tego dzieła nie wie jak to działa. Przepisanie tego przypomina przeprojektowanie bazy danych... Krótko mówiąc, nie możemy po prostu wstać i wyjść z pakietu MS Office.
Satelita ostatnio jako przeglądarka internetowa
OpenFire + Pidgin jako czat
Konsultant+ и Ekspert techniczny
Veeam Backup i replikacja и Agent Veeam dla systemu Windows w ich darmowej wersji
Cóż, kilka chipów serwerowych Windows, np AD, DNS, DHCP, WDS, CS, RDP, aplikacja zdalna, KMS, WSUS i dalej o drobiazgach.
Wszystko to powstało niemal od zera, z potem i krwią, cierpieniem i googlowaniem. A teraz nadszedł czas, aby to wszystko zniszczyć. Poza ekranem powinien pojawić się homeryczny śmiech, a w oczach głównego bohatera, czytajcie, powinny polać się łzy...
Ale czy naprawdę wszystko jest takie złe? Spójrzmy na opcje.
Rozdział 2. Jak powinno być
Można pójść drogą „Russian Helicopters”, czyli spróbować całkowicie odrzucić wrogie systemy Windows i przejść na oprogramowanie w 100% „krajowe” (cytaty nie są przypadkowe). Opcja „hardcore” polega na dobrej zabawie, demontażu systemu Windows dla wszystkich, instalowaniu dowolnego systemu operacyjnego z rejestru Ministerstwa Telekomunikacji i Komunikacji Masowej z zainstalowanym MyOffice lub LibreOffice i sprawdzaniu, który użytkownik się pojawi. Śmieszny? Niewątpliwie. Produktywny? Zupełnie nie.
Aby zrozumieć dalsze rozumowanie, podam zawartość oprogramowania System operacyjny Astra Linux SE 1.6z czego wynika, że całą infrastrukturę, która obecnie opiera się na produktach Microsoftu, można zastąpić oprogramowaniem zawartym w Astrze. Jest to możliwe, ale nie oznacza to, że jest to konieczne. Nie próbowałem jeszcze tego wszystkiego w środowisku testowym z co najmniej kilkudziesięciu węzłami, po prostu rozłożyłem stanowisko testowe i nawet wtedy spojrzałem na to powierzchownie. Ale są narzędzia.
Oprogramowanie dołączone do Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- exim4
- Dovecot
- Thunderbird
- GIMP
- wzrost
- VLC
- KUBKI
- Powiąż9
- Serwer Iscdhcp
- SAMBA
Na stronie systemu operacyjnego w opisie wydania znajduje się historia, że Zabbix jest dołączony. Ale jeśli przeszukasz Wiki, znajdziesz artykuł o tym, jak zainstalować Zabbix... z którego możesz wywnioskować, że Apache, Postgre, php są instalowane z repozytorium. A pisaliśmy powyżej, że legalne jest tylko to, co jest w pakiecie... I to zamieszanie doprowadza mnie do szaleństwa!!!!11 No cóż, w tym sensie, że nie jest jasne, co jest możliwe i konieczne, a co nie i „ to nie zadziała". Wygląda na to, że pakiety z repozytorium również są legalne. Ale czy tak jest? Wydaje się, że tak, ale...
W rezultacie musimy założyć, że wszystko, co znajduje się w repozytoriach systemu operacyjnego, można nazwać oprogramowaniem krajowym. Wyłączamy logikę i po prostu postępujemy tak, jak wszyscy inni. Instalujemy, używamy i raportujemy zastąpienie importu. W końcu wszyscy wiemy po co to wszystko wymyślono..
Na bazie można także wznieść całą infrastrukturę Serwer korporacyjny ROSA Linux. Tego też jeszcze nie próbowałem. (Jeśli wszystko pójdzie zgodnie z planem, wszystkie testy i wyniki zostaną opublikowane w następnym artykule z tej serii.)
Oprogramowanie dołączone do ROSA Enterprise Linux Server
- narzędzia do implementacji domeny IPA (analogicznie do Microsoft Active Directory)
- Nginx i Apache
- MySQL i PostgreSQL
- Zimbra, Exim, Postfix i Dovecot
- rozrusznik serca, corosync
- DRBD
- Bacula
- ejabberd
- CIFS, NFS, powiązanie, DHCP, NTP, FTP, SSH
- Zabbix
- zaawansowane narzędzie do zarządzania atrybutami ROSA Chattr
- narzędzie do szyfrowania informacji ROSA Crypto Tool
- czyszczenie pamięci ROSA Czyszczenie pamięci
- Gwarantowane narzędzie do usuwania plików ROSA Shred
Czy możesz wziąć darmowy? Oblicz Linux i na jego bazie zbudować całą infrastrukturę. Listę pakietów Calculate Linux można znaleźć tutaj
Z powyższego wynika, że istnieje możliwość zbudowania całej niezbędnej infrastruktury, w zasadzie od podstaw. Będzie to wymagało kolosalnego wydatku zasobów, ton nerwów administratora, kiloton kawy i dużej ilości czasu na debugowanie. Próg wejścia będzie bardzo trudny do przekroczenia. Ale jest to możliwe. Ale to jest trudne. Ale to zadziała. Ale to jest trudne. Ale ale...
Inna opcja to zostawić wszystko tak jak jest i mieć nadzieję, że nie będzie żadnych kontroli i po prostu o nas zapomną. Ale co roku musimy składać ministerstwu sprawozdania z przejścia na oprogramowanie krajowe. Więc to też nie wchodzi w grę.
Dlatego proponuję podejść do tego od strony zdrowego rozsądku.
Jest taki znak:
Poniżej znajduje się zasadniczo długa dyskusja, więc jeśli nie jesteś zainteresowany, możesz od razu przejść do wynikowej tabeli (rozdział 2.1.). A tych, którzy kochają multi-książki, zapraszamy.
Więc oto jest. Musimy doprowadzić wskaźniki do ustalonych limitów. W praktyce oznacza to konieczność wymiany istniejących systemów operacyjnych na produkty z rejestru Ministerstwa Telekomunikacji i Komunikacji Masowej oraz zwiększenie liczby wymienianych systemów operacyjnych do 80%. Co więcej, nie ma rozróżnienia między systemami operacyjnymi serwera i klienta. Daje nam to pole manewru. Który? Możemy głupio zainstalować cienkich klientów w oparciu o system operacyjny z rejestru dla użytkowników i zmusić ich wszystkich do przejścia na RDP. W naszym przypadku, gdy liczba pracowników wynosi około 1500 osób, otrzymujemy 1200 „sztuk” (właściwie więcej, ponieważ mamy nie tylko systemy operacyjne użytkowników, ale także serwerowe, ale w tym artykule nie chodzi o dokładne obliczenia), a 300 pozostaje dla tych samych 20%, których nie można zmienić. No i co, 300 serwerów Windows to dla nas za mało, aby poprawnie zbudować zwykłą architekturę? Dotyczy to również określonego oprogramowania, które nie może działać w systemie innym niż Windows, a często także w systemie Windows XP. Ale 300 samochodów. Czy nie wystarczy? Poważnie?
Tutaj również należy zaznaczyć, że najlepszą praktyką w tym przypadku byłoby wcześniejsze przeszkolenie pracowników w zakresie pracy z nowym oprogramowaniem. Bez tego istnieje ogromne ryzyko, że po prostu rzucisz na kolana całą produkcję i sparaliżujesz pracę całego Przedsiębiorstwa na czas nieokreślony. Ponieważ jeśli z systemem operacyjnym wszystko nie jest tak straszne, użytkownik często nie potrzebuje od niego niczego innego niż uruchomienie aplikacji Office przeglądarki 1c, wyszukanie wymaganego pliku i uruchomienie Solitaire. Ale w Office1s pracują stale (nie bierzemy na razie pod uwagę inżynierów projektantów - w rozdziale 2.1 jest przypis o CAD - produkcja itp.), całe raportowanie przechodzi przez filtry Excela itp. Cóż, dla tych, którzy z tego czy innego powodu nie mogą pracować z wolnym oprogramowaniem, witamy w RDP.
Możemy zatem bezpiecznie pozostawić klaster włączony Hyper-V, skoro to mamy i lubimy, w naszym przypadku jest to 12 węzłów, od ESXI Będę musiał wyjechać. Ponadto wymaga „żelaznego” kontrolera domeny + wirtualnego kontrolera domeny. Razem 14. No cóż, albo opuść ESXi, zostawiając Hyper-V, jak chcesz, liczby nadal będą takie same. Na kontrolerach domeny będziemy mieć AD, DNS, DHCP, CS. Z niewielką liczbą komputerów z systemem Windows WSUS można zaniedbać. KMS Można go także przykręcić do kontrolera domeny. WDS nie jest już potrzebny. Pozostało jeszcze trochę usług Windows Serwery RDP. Cóż, wciąż mamy jeszcze 286 niewykorzystanych potencjalnych „rzeczy” dla Windowsa. Farma PROW zajmie kolejny system operacyjny Windows 8-10. W sumie zostało nam 276 jednostek na konkretne oprogramowanie dla działów naukowych i CAD.
ОСNie ma znaczenia, jaki to system operacyjny -
AlterOS i Halo OS nie są dostępne w sprzedaży publicznej. Oznacza to, że nie będę ich rozważał, bo to „nie do końca biznes” zupełnie do mnie nie przemawia.
O systemie operacyjnymUmowa licencyjna mówi:
1.4 Umowa licencyjna nie przyznaje wyłącznego prawa do Oprogramowania, a jedynie prawo do korzystania z jednego egzemplarza Oprogramowania w celach niekomercyjnych, zgodnie z warunkami określonymi w paragrafie 2 Umowy licencyjnej.
2.4 Licencjobiorca ma prawo do niekomercyjnego korzystania z Oprogramowania na nieograniczonej liczbie serwerów i stacji roboczych.
Tym samym nie możemy go używać w Przedsiębiorstwie, mimo iż jest on wpisany do rejestru Ministerstwa Telekomunikacji i Komunikacji Masowej. Jest to smutne, ponieważ jest bezpłatne. Ale programiści mają coś nie tak ze stroną, ponieważ od kilku tygodni nie mogę pobrać dystrybucji i nie otrzymałem odpowiedzi na moje e-maile z pomocą techniczną. Co? Dlaczego? Nie wiem.
Pakiety biuroweSytuacja przedstawia się następująco - musimy także zwiększyć liczbę krajowych „biur” do 80%, czyli również 1200 „sztuk”. Te 1200 „elementów” jest już zawartych w systemie operacyjnym opartym na systemie Linux, który zainstalujemy dla użytkowników. Nie ma to znaczenia, wszystkie dystrybucje zawierają bezpłatny pakiet biurowy. Najczęściej to
wymianaBędziemy musieli go zburzyć. Niestety nie da się obejść tej liczby 80%, gdyż w zamówieniu podana jest „liczba użytkowników”, a nie procent liczby serwerów pocztowych w Przedsiębiorstwie. A skoro trzeba go zastąpić czymś z rejestru Ministerstwa Telekomunikacji i Komunikacji Masowej, to nie mamy wielkiego wyboru. To albo
Systemy odniesienia prawnegoJeśli tak, to najprawdopodobniej był to jakiś rodzaj
Oprogramowanie antywirusowePonadto 100% musi być krajowe. No cóż, ochrony krajowego przemysłu obronnego nie mogą powierzać programom burżuazyjnym... Do wyboru -
VeeamRozwiązanie Veeam do tworzenia kopii zapasowych i replikacji. Sytuacja z nim jest dziwna. Ma wersję certyfikowaną przez FSTEC, ale w rejestrze Ministerstwa Telekomunikacji i Komunikacji Masowej nie ma w ogóle produktów firmy Veeam. Natomiast w rozporządzeniu ministerstwa nie ma rubryki „oprogramowanie do tworzenia kopii zapasowych”. Zatem sytuacja jest tutaj dwojaka. Jeśli porzucimy usługi oparte na systemie Windows, a zwłaszcza Hyper-V, Veeam znacznie ułatwia tworzenie kopii zapasowych maszyn wirtualnych, jest bardzo wygodny i bezpretensjonalny, a Agent Veeam dla systemu Windows pozwala na wykonanie kopii zapasowej zrzutu pliku, ma bardzo prostą konfigurację i przyjazny interfejs, posiada automatyczne wykrywanie duplikacji danych i ich wycinania itp. Jednym słowem, jeśli zostawimy hypervisor od Microsoftu, możemy spróbować napisać kartkę papieru, w której napiszemy, że Veeam nie ma analogii i że jest nam naprawdę potrzebny. Ta próba nie jest torturą, ale nie potrafię powiedzieć, co z niej wyniknie.
1sTutaj zaczynają się pytania, ponieważ wydaje się, że mają wersję dla Linuksa. I wygląda na to, że to nawet działa. Ale w rzeczywistości nikt z tego nie korzysta. Dlatego będziemy musieli przypisać inny komputer z systemem Windows do serwera 1c. Albo nawet dwa. Pozostało 274. DBMS- PostgreSQL, Oczywiście. Mimo, że nie jest to kraj, to znajduje się w rejestrze Ministerstwa Łączności i Łączności. 1c może z nim współpracować, a sam DBMS jest całkiem dobry. Niełatwe w konfiguracji, ale bardzo dobre. Ponadto można go łatwo zainstalować na dowolnej dystrybucji Linuksa i jako część tej samej Astry jest zazwyczaj dostarczany w zestawie.
Przepływ dokumentówDobrze z IFS To jasne, że będziesz musiała go opuścić na 100%. Mediów Firmowych - pozostają pytania. Oprogramowanie jest krajowe, znajduje się w rejestrze Ministerstwa Telekomunikacji i Komunikacji Masowej i tyle. Ale. IBM Domino jest licencjonowany i kupowany oddzielnie, dlatego nie można go używać. Z drugiej strony, miej Mediów Firmowych istnieje wersja dla PostgreSQL. Ale wdrożyliśmy dokładnie Domino IBM. Tak, mam zdecydowanie negatywny stosunek do tego „produktu” firmy Intertrust o nazwie Company Media, na samo wspomnienie o tym robi mi się niedobrze. Ale to nie ma nic do rzeczy. Zatem albo przenosimy CM do PostgreSQL, albo szukamy innego systemu zarządzania dokumentami. Rejestr zawiera
Narzędzia multimedialneNie rozważam tego. Nie tylko mają one wąskie zastosowanie, ale w przedsiębiorstwach objętych programem substytucji importu, nawet jeśli są stosowane, to tylko i wyłącznie do kolażowania pocztówek z 23 lutego przez pracowników księgowych. A „niezbędne towary” są zawarte w systemie operacyjnym.
Przeglądarki internetoweDozwolony
Otwarty ogieńNaturalnie, odmawiamy. Dlaczego? Ponieważ musimy wdrożyć 1s Bitrix24! Właściwie odmawiamy nie z tego powodu, ale dlatego, że nie ma go w rejestrze, ale w ogóle zastępujemy czat portalem, który ma usługę czatu, więc… no cóż… to wszystko… Masz pomysł. Tutaj. Tak. Tak. Lub możesz użyć ejabberd jako serwer Jabber w ramach ROSA Linux. Jest tam też klient czatu, jeśli się nie mylę – Mirka. Dzieje się tak na wypadek, gdybyś nie posiadał 1C Bitrix24.
ZabbixNaturalnie nie jest reprezentowany w rejestrze Ministerstwa Telekomunikacji i Komunikacji Masowej. Ale. W
Klient pocztyPrzesłane przez Thunderbird dołączony do prawie wszystkich systemów operacyjnych z rejestru. Jeśli nie będziesz z niego zadowolony, będziesz musiał go kupić osobno, jako część tego samego Moje biurona przykład lub „Biuro P7. Organizator". Szczerze mówiąc, nie znalazłem już indywidualnych klientów poczty e-mail w rejestrze Ministerstwa Komunikacji. Tak, Thunderbird też mi odpowiadał. Jeśli napiszesz w komentarzach, dodam to tutaj.
Klienci bankuMusimy to przetestować. W teorii, Kryptopro można to zrobić w Linuksie, ale w rzeczywistości osobiście tego nie testowałem. Teoretycznie powinno działać, jednak jeśli coś pójdzie nie tak, wówczas mamy do wyboru serwer RDP.
Rozdział 2.1. Mieszanie
W efekcie wyszła mi taka tabelka z opcjami, na podstawie której zostaną wyciągnięte wnioski i plany:
Co jest logiczne - jeśli nadal istnieje potrzeba przejścia z domeny Windows na Astrę, Rosę lub coś innego, to warto przenieść maszyny klienckie na produkt tego samego producenta, w ten sposób można zmniejszyć liczbę błędów gdy próbujemy „zaprzyjaźnić się” ze sobą.
Względem PostgreSQL и PostgreSQL PRO musisz zrozumieć, co oni mają
Astra Linux SpecialEdition i ROSA DX „NICKEL” to bezpieczne systemy certyfikowane do pracy z tajemnicą państwową, tajemnicą itp.
Jeśli chodzi o CHAM: Te pytania zostały poruszone w komentarzach do poprzedniego artykułu. ROSA Linux ma w swoich repozytoriach następujące elementy
- freecad
- KiCAD
- LibreCAD
- Otwarta kaskada
- QCAD
- QCAD3d
Oczywiście wszystko to jest wolnym oprogramowaniem. Ponieważ jednak rejestr Ministerstwa Telekomunikacji i Komunikacji Masowej nie wskazuje pakietów CAD, najprawdopodobniej tego typu oprogramowanie będzie należeć do kategorii „niezastąpione” i będzie można je kupić lub używać w ramach istniejących licencji, pisząc odpowiedni dokument do Ministerstwo.
Podobnie jest z innym wysokospecjalistycznym oprogramowaniem, którego niestety w naszych Przedsiębiorstwach jest bardzo dużo. Będziemy musieli pisać dokumenty i ze łzami w oczach błagać, aby ich nie niszczyć i aby dano nam możliwość dalszej pracy. Najprawdopodobniej dadzą pozwolenie.
PS:
Nie będę oryginalny. Całe to „zamieszanie” z substytucją importu wygląda niezwykle dziwnie, jeśli wybierzemy łagodne wyrażenia. W rzeczywistości nasze oprogramowanie tylko produkuje Yandex, Acronis, Kaspersky, 10-uderzenie (z rozciągnięciem) 1s, Akon, Abby, Dr.Web. No i kilka małych firm. Ale wszystkie te rozwiązania są na tyle wąskie, niszowe (być może z wyjątkiem Yandexu), że można powiedzieć, że prawie nigdy nie tworzymy oprogramowania. A wszystko, co jest nam oferowane w ramach programu substytucji importu, to po prostu „sprawdzone” oprogramowanie opracowane za granicą. Oznacza to, że w istocie oferują nam za pieniądze (i to dużo) to samo oprogramowanie, które moglibyśmy pobrać i używać za darmo. ROSA opiera się na Mandrivie, Astrze - Debian GNU. Astra może podłączyć repozytorium Debiana i dokonać aktualizacji. Efekt końcowy to ciekawa rzecz. Wszystkie pakiety dla tego samego DNS, DHCP, ALD, domeny ROSA, Dovecot i wszystkiego innego to nic innego jak pakiety oprogramowania open source, z których niektóre zostały nieco „poprawione i otynkowane”, podczas gdy reszta w ogóle nie została dotknięta, po prostu „ sprawdzone” pod kątem obecności zakładek. Nie jest jasne, o jakim „oprogramowaniu krajowym” mówimy.
Z drugiej strony administratorzy Linuksa będą przyzwyczajeni do pracy ze znanym już oprogramowaniem, co w pewnym stopniu obniży barierę wejścia. Tak czy inaczej, wszystkie kontrolowane przedsiębiorstwa branżowe będą musiały przejść na to „krajowe” oprogramowanie. Zatem „do zobaczenia w następnym artykule”, jeśli za ten nie zostanę uwięziony lub zwolniony =)
Źródło: www.habr.com