Introdução
Pelo facto de 2020 se aproximar e a “hora do ai”, quando será necessário reportar sobre a implementação da ordem do Ministério das Telecomunicações e Comunicações de Massa sobre a transição para software nacional (no âmbito da substituição de importações) , e não apenas , recebi a incumbência de desenvolver um plano, de facto, para a implementação do despacho do Ministério das Comunicações e Comunicação Social n.º 334, de 29.06.2017 de junho de XNUMX. E comecei a descobrir.
O primeiro artigo foi sobre . E causou tanto entusiasmo, havia tantos comentários escritos abaixo dele que, para ser sincero, fiquei um pouco chocado...
Assim, como prometido, chegou a hora de começar “uma série de artigos sobre como cumprimos a ordem e lidamos com as circunstâncias”. Não sei quanto tempo vai durar esse ciclo, mas há uma vontade de descrever todo o processo do começo ao fim, mas não dá tempo para isso, porque escrever artigos leva muito tempo e é preciso alimentar sua família =)
O primeiro artigo será dedicado ao estudo das opções existentes e à sua análise superficial, a fim de traçar um esquema de estudo das opções na prática. Porque antes de montar uma bancada de teste, você precisa entender o que testar nela.
Então, por favor, em gato.
Capítulo 1. Como é
Em ordem:
Hyper-V, ESXI como plataformas de virtualização. Por que ambos? Porque um está na matriz, o outro está na filial. Foi assim que aconteceu historicamente (c)
Servidor Windows 2012 R2 2016 и 7 CentOS como sistemas operacionais de servidor
Windows 7 como sistema operacional cliente
1c na fase de implementação com base em Padrão MSSQLServer
TECTON em Firebird 1.5 (Nem pergunte... Mas você vai perguntar mesmo assim, né?.. Bom, esse é um projeto de formatura de alguém que foi comprado pela nossa Enterprise na virada de 2005, ao que parece, por motivos que desconheço. E agora estamos tentando, sem sucesso, mudar dele para 1s.)
OÁSIS no mesmo padrão MSSQLServer que o software para relatórios para o Fundo de Pensões da Rússia
Zabbix em MariaDB
Exchange и Zambra OSE. Por que ambos? Porque temos 2 circuitos de rede. Um deles não tem nenhuma ligação com o mundo exterior e o segundo circuito... bom, a segurança da informação acredita que é assim que deve ser, e não nos permite configurar roteamento e fazer tudo corretamente, e quem está vamos discutir com a segurança da informação?.. Em uma palavra, foi assim que aconteceu historicamente (c) (2)
IFS em Oracle, EmpresaMídia em IBM Dominó. O primeiro é para atividades pré-contratuais, o segundo é o fluxo de documentos “de trabalho”... Por que o CompanyMedia está em um banco de dados de arquivos em 2019? Acredite ou não, fiz a mesma pergunta a eles - eles não encontraram uma resposta. Por que é necessário um monstro como o IFS para atividades pré-contratuais? Sim.
Microsoft Office. Precisamos esclarecer aqui. Além do conjunto de usuários padrão, desde tempos imemoriais (leia antes de vir aqui) temos um banco de dados escrito em Access. O que tem nele e por quê, não tenho a menor ideia, mas “precisamos muito, não podemos trabalhar sem ele!”, e temos uma coisa dessas no Excel... É impossível descobrir como isso funciona, e como sair também é desconhecido. Há um grande número de macros que extraem dados da escuridão dos arquivos e fazem algo com eles. Nem o autor desta criação sabe como funciona. Reescrever isso é o mesmo que redesenhar o banco de dados... Resumindo, não podemos simplesmente sair do MS Office.
Sputnik como um navegador de Internet recentemente
OpenFire + Pidgin como um bate-papo
Consultor+ и Especialista em tecnologia
Veeam Backup & Replication и Agente Veeam para Windows em sua versão gratuita
Bem, um monte de chips de servidor Windows, como AD, DNS, DHCP, WDS, CS, RDP, aplicativo remoto, KMS, WSUS e depois aos poucos.
Tudo isso surgiu quase do zero, com suor e sangue, sofrimento e pesquisas no Google. E agora chegou a hora de destruir tudo. Deveria haver risadas homéricas fora da tela, e nos olhos do personagem principal, leia-me, as lágrimas deveriam brotar...
Mas será que tudo é tão ruim assim? Vejamos as opções.
Capítulo 2. Como deveria ser
Você pode seguir o caminho dos “Helicópteros Russos”, ou seja, tentar rejeitar completamente os sistemas inimigos baseados no Windows e mudar para software 100% “doméstico” (as aspas não são acidentais). A opção “hardcore” envolve se divertir desmontando o Windows para todos, instalando qualquer sistema operacional que desejar do registro do Ministério das Telecomunicações e Comunicações de Massa com MyOffice ou LibreOffice instalado e vendo qual usuário surge. Engraçado? Sem dúvida. Produtivo? De jeito nenhum.
Para entender melhor o raciocínio, darei o conteúdo do software em SO Astra Linux SE 1.6, de onde se conclui que toda a infraestrutura atualmente baseada em produtos Microsoft pode ser substituída por software incluído no Astra. É possível, mas não significa que seja necessário. Ainda não tentei tudo isso em um ambiente de teste com pelo menos algumas dezenas de nós, apenas implantei uma bancada de teste e mesmo assim olhei superficialmente. Mas existem ferramentas.
Software incluído no Astra Linux Special Edition 1.6
- Voar-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- exim4
- Pombinha
- Thunderbird
- GIMP
- alsa
- VLC
- CUPS
- Vincular9
- Servidor iscdhcp
- SAMBA
No site do sistema operacional, na descrição do lançamento, há uma história de que o Zabbix está incluído. Mas se você vasculhar o Wiki, há um artigo sobre como instalar o Zabbix... do qual você pode concluir que Apache, Postgre, php estão todos instalados a partir do repositório. E dissemos acima que só é legítimo o que está incluso no pacote... E essa confusão me deixa louco!!!!11 Bem, no sentido de que não está claro o que é possível e necessário, e o que não é e " isso não vai funcionar". Parece que os pacotes do repositório também são legítimos. Mas é isso? Parece que sim, mas...
Como resultado, temos que assumir que tudo o que está nos repositórios do sistema operacional pode ser chamado de software doméstico. Desligamos a lógica e fazemos como todo mundo faz. Instalamos, utilizamos e reportamos sobre substituição de importações. No final, todos sabemos porque tudo isso foi inventado..
Você também pode elevar toda a infraestrutura na base Servidor Empresarial ROSA Linux. Eu também não tentei isso ainda. (Todos os testes e resultados serão publicados no próximo artigo desta série se tudo correr conforme o planejado.)
Software incluído com ROSA Enterprise Linux Server
- ferramentas para implementação do domínio IPA (análogo ao Microsoft Active Directory)
- Nginx e Apache
- MySQL e PostgreSQL
- Zimbra, Exim, Postfix e Dovecot
- marca-passo, corosync
- DRBD
- Bacula
- ejabber
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- ferramenta avançada de gerenciamento de atributos ROSA Chattr
- ferramenta de criptografia de informações ROSA Crypto Tool
- limpador de memória ROSA Memory Clean
- Ferramenta de remoção de arquivos garantida ROSA Shred
Você pode pegar um grátis? Calcular Linux e construir toda a infraestrutura com base nela. Uma lista de pacotes Calcular Linux pode ser encontrada aqui .
Do exposto conclui-se que é possível construir todas as infraestruturas necessárias, essencialmente de raiz. Isso exigirá um gasto colossal de recursos, toneladas de nervosismo administrativo, quilotons de café e muito tempo para depuração. O limite de entrada será muito difícil de superar. Mas é possível. Mas é difícil. Mas vai funcionar. Mas é difícil. Mas, mas...
Outra opção é deixar tudo como está e torcer para que não haja verificações e que simplesmente se esqueçam de nós. Mas precisamos informar anualmente o ministério sobre a transição para software nacional. Então isso também não é uma opção.
Portanto, proponho abordá-lo do lado do bom senso.
Existe um sinal como este:
O que se segue é essencialmente uma longa discussão, por isso, se não estiver interessado, pode passar imediatamente para a tabela resultante (Capítulo 2.1.). E aqueles que amam multi-livros, sejam bem-vindos.
Então aqui está. Precisamos levar os indicadores aos limites estabelecidos. Na realidade, isto significa que devemos substituir os sistemas operativos existentes por produtos do registo do Ministério das Telecomunicações e Comunicações de Massa e aumentar o número de sistemas operativos substituídos para 80%. Além disso, nenhuma distinção é feita entre sistemas operacionais de servidor e cliente. Isso nos dá margem de manobra. Qual? Podemos instalar estupidamente thin clients baseados no sistema operacional a partir do registro dos usuários e forçar todos eles no RDP. No nosso caso, quando o número de funcionários é de aproximadamente 1500 pessoas, obtemos 1200 “peças” (na verdade mais, já que não temos apenas sistemas operacionais de usuário, mas também de servidor, mas este artigo não trata de cálculos exatos), e restam 300 para esses, os mesmos 20% que não podem ser alterados. Então, 300 servidores Windows não são suficientes para construirmos adequadamente a arquitetura usual? Isso também inclui software específico que não pode ser executado em nada além do Windows e, muitas vezes, também no Windows XP. Mas 300 carros. Não será suficiente? Seriamente?
Aqui também deve ser observado que a melhor prática neste caso seria treinar previamente os funcionários para trabalhar com novos softwares. Sem isso, existe um grande risco de simplesmente colocar toda a produção de joelhos e paralisar o trabalho de toda a Empresa por tempo indeterminado. Porque se nem tudo é tão assustador com o sistema operacional, muitas vezes o usuário não precisa de nada além de iniciar o aplicativo Office do navegador 1c, procurar o arquivo necessário e iniciar o Solitaire. Mas no Office1 eles trabalham constantemente (não levamos em conta os engenheiros de design por enquanto - há uma nota de rodapé sobre CAD no Capítulo 2.1 - produção, etc.), todos os relatórios passam por filtros do Excel, etc. Pois bem, para quem, por um motivo ou outro, não consegue trabalhar com software livre, seja bem-vindo ao RDP.
Portanto, podemos deixar o cluster com segurança Hyper-V, como temos e gostamos, são 12 nós no nosso caso, de ESXI Eu vou ter que sair. Além disso, requer um controlador de domínio “de ferro” + um controlador de domínio virtual. Total 14. Bom, ou saia do ESXi, saindo do Hyper-V, como quiser, os números continuarão os mesmos. Nos Controladores de Domínio teremos AD, DNS, DHCP, CS. Com um pequeno número de máquinas Windows WSUS pode ser negligenciado. KMS Você também pode parafusá-lo em um controlador de domínio. WDS não é mais necessário. Ainda restam alguns serviços do Windows Servidores RDP. Bem, ainda temos mais 286 “coisas” potenciais não utilizadas para o Windows. O farm RDP ocupará outro sistema operacional Windows 8-10. No total, restam 276 unidades de software específico para departamentos científicos e CAD.
SONão importa qual sistema operacional seja - , , , , , . Você precisa escolher algo que satisfaça os usuários. Não sei dizer como escolher, são questões muito sutis. Na verdade, eles são pelo menos semelhantes na aparência (e a única coisa que importa para o usuário é sua aparência e quão conveniente é usá-los). Vou apenas instalar alguns de cada sistema operacional e pedir aos usuários menos ocupados que o usem por meia hora ou uma hora. Não importa o que digam, é por isso que provavelmente dançaremos.
AlterOS e Halo OS não estão disponíveis para venda ao público. Isso significa que não vou considerá-los, porque esse “não é realmente um negócio” não me atrai de forma alguma.
Sobre o sistema operacionalO contrato de licença diz:
1.4 O Contrato de Licença não fornece um direito exclusivo ao Produto de Software, mas apenas o direito de usar uma cópia do Produto de Software para fins não comerciais, de acordo com as condições definidas na Seção 2 do Contrato de Licença.
2.4 O Licenciado tem direito ao uso não comercial do Produto de Software em um número ilimitado de servidores e estações de trabalho.
Assim, não podemos utilizá-lo na Empresa, mesmo estando inscrito no cadastro do Ministério das Telecomunicações e Comunicações de Massa. Isso é triste porque é gratuito. Mas os desenvolvedores têm algo errado com o site, porque não consigo baixar a distribuição há várias semanas e não recebi resposta aos meus e-mails de suporte. O que? Por que? Não sei.
Pacotes de escritórioA situação é a seguinte - também precisamos de aumentar o número de “escritórios” domésticos para 80%, que também é de 1200 “peças”. Essas 1200 “peças” já estão incluídas no sistema operacional baseado em Linux que instalaremos para os usuários. Não importa, todas as distribuições incluem um pacote de escritório gratuito. Na maioria das vezes isso . Mas podemos instalar com segurança um pacote da Microsoft em servidores RDP, pois não queremos que os usuários fiquem sem trabalho por um período indefinido de tempo (pelo menos até que sejam treinados para trabalhar com o novo software de escritório) porque não conseguem encontrar em o novo editor de tabelas com seu botão favorito. Isso também tem uma vantagem separada - backup dos documentos dos funcionários, que serão mantidos em um só lugar, e a morte do disco rígido não é mais assustadora.
ExchangeTeremos que demoli-lo. Infelizmente, não há como contornar esse número de 80%, pois o pedido indica o “número de usuários”, e não um percentual do número de servidores de correio da Empresa. E como precisamos substituí-lo por algo do registo do Ministério das Telecomunicações e Comunicações de Massa, não temos muita escolha. Também é Ou Ou . Ou você pode instalar o ROSA em ambas as redes, que tem , e alegre-se, porque para o meu gosto o Zimbra é muito mais prático e agradável do que o MyOffice Mail, que é um pouco mais do que horrível, e também não gostei do CommuniGate Pro. Além disso, o Zimbra pode capturar facilmente todos os e-mails do Exchange se for necessário salvar o histórico de correspondência dos usuários. Aliás, escrevi alguns artigos sobre Zimbra OSE no Habr (, и ) Mas depende do sabor e da cor, como dizem.
Sistemas de referência jurídicaSe estivessem, então provavelmente era algum tipo de , , e outros como eles. Ou seja, eles são de fabricação russa. Se não, há uma escolha =)
Software antivírusAlém disso, 100% deve ser doméstico. Bem, eles não podem confiar a proteção da indústria de defesa nacional a programas burgueses... Para escolher - , , .
VeeamVeeam BackUp e Replicação. A situação com ele é estranha. Possui versão certificada pelo FSTEC, mas no cadastro do Ministério de Telecomunicações e Comunicações de Massa não há nenhum produto da Veeam. Por outro lado, o despacho do ministério não contém a coluna “software de backup”. Portanto, a situação aqui é dupla. Se deixarmos os serviços baseados em Windows, e principalmente Hyper-V, o Veeam facilita muito o backup de máquinas virtuais, é muito prático e despretensioso, e Agente Veeam para Windows permite fazer backup de um dump de arquivo, possui configuração muito simples e interface amigável, há detecção automática de duplicação de dados e seu corte, etc. Em uma palavra, se sairmos do hipervisor da Microsoft, podemos tentar escrever um pedaço de papel dizendo que a Veeam não tem análogos e que realmente precisamos dele. A tentativa não é uma tortura, mas não posso dizer o que resultará dela.
1cÉ aqui que começam as dúvidas, já que parecem ter uma versão para Linux. E até parece funcionar. Mas na realidade ninguém usa. Portanto, teremos que atribuir outra máquina Windows ao servidor 1c. Ou até dois. Restam 274 no total. SGBD - PostgreSQL, claro. Apesar de não ser nacional, consta do registo do Ministério das Comunicações e Comunicações. 1c pode funcionar com ele, e o próprio SGBD é muito bom. Não é fácil de configurar, mas é muito bom. Além disso, é facilmente instalado em qualquer distribuição Linux e, como parte do mesmo Astra, geralmente é fornecido como um kit.
Gestão de documentosBem com IFS É claro que você terá que deixá-lo 100%. Mídia da empresa - as perguntas permanecem. O software é nacional, está no cadastro do Ministério das Telecomunicações e Comunicações de Massa, só isso. Mas. O IBM Domino é licenciado e adquirido separadamente e, portanto, não pode ser usado. Por outro lado, tenha Mídia da empresa existe uma versão para PostgreSQL. Mas implementamos exatamente IBM Dominó. Sim, tenho uma atitude fortemente negativa em relação a este “produto” da empresa Intertrust chamada Company Media; a simples menção dele faz-me sentir mal. Mas isso não vem ao caso. Portanto, ou mudamos o CM para PostgreSQL ou procuramos outro sistema de gerenciamento de documentos. O registro contém escolher. Mas nesta fase não vou me alongar sobre esse assunto, já que muito dinheiro foi gasto na Company Media, e seu futuro destino ainda não está claro, mas gostaria de acreditar no bom senso e simplesmente transferir o sistema para PostgreSQL. Então, deixarei apenas uma lista de softwares do registro.
Ferramentas multimídiaEu não considero isso. Não só são estritamente aplicáveis, mas nas empresas abrangidas pelo programa de substituição de importações, mesmo que sejam utilizados, servem apenas para colagem de postais do dia 23 de fevereiro por funcionários de contabilidade. E “bens essenciais” estão incluídos no sistema operacional.
navegadores de internetPermitido , . Ao mesmo tempo, o Mozilla Firefox está incluído em quase todos os sistemas operacionais do registro. Acho que não haverá problemas com isso. E para aplicações que só podem InternetExplorer deixamos uma lacuna na forma de servidores RDP.
Abrir fogoNaturalmente, recusamos. Por que? Porque precisamos implementar 1c Bitrix24! Na verdade, estamos recusando não por esse motivo, mas porque não está no registro, mas em geral estamos substituindo o chat por um portal que tenha serviço de chat, então... bom... é isso... Você entendeu a ideia. Aqui. Sim. Sim. Ou você pode usar ejabber como um servidor jabber como parte do ROSA Linux. Lá também tem um cliente de chat, se não me engano - Mirka. Isso ocorre caso você não tenha 1C Bitrix24.
ZabbixNaturalmente, não está representado no registo do Ministério das Telecomunicações e Comunicações de Massa. Mas. EM Afirma-se que inclui o Zabbix versão 3.4. Portanto, se quisermos obter o Zabbix “legal”, precisaremos de pelo menos uma cópia deste sistema operacional.
Cliente de e-mailIntroduzido Thunderbird incluído em quase todos os sistemas operacionais do registro. Se não ficar satisfeito com ele, você terá que comprá-lo separadamente, como parte do mesmo Meu escritóriopor exemplo, ou "P7-Escritório. Organizador". Para ser sincero, não encontrei mais clientes de e-mail individuais no registro do Ministério das Comunicações. Sim, Thunderbird também combina comigo. Se você escrever nos comentários, adicionarei aqui.
Clientes bancáriosPrecisamos testá-lo. Em teoria, Criptopro posso fazer isso no Linux, mas na realidade não testei pessoalmente. Em teoria deveria funcionar, mas se algo der errado, temos a opção de um servidor RDP.
Capítulo 2.1. Misturando
Como resultado, acabei com esta tabela com opções, com base nas quais serão tiradas conclusões e feitos planos:
O que é lógico - se ainda houver necessidade de mudar de um domínio Windows para Astra ou Rosa, ou qualquer outro, então faz sentido transferir máquinas clientes para um produto do mesmo fabricante, desta forma você pode reduzir o número de erros ao tentar “fazer amigos” uns com os outros.
Em relação a PostgreSQL и PostgreSQL PRO você precisa entender o que eles têm , inclusive em velocidade. A versão PRO é mais produtiva. Para o trabalho “normal”, a mesma versão gratuita do 1C provavelmente não será suficiente.
Astra Linux SpecialEdition e ROSA DX "NICKEL" são sistemas seguros certificados para trabalhar com segredos de estado, segredos, etc.
Quanto a cafajeste: Essas questões foram levantadas nos comentários do artigo anterior. ROSA Linux tem o seguinte em seus repositórios :
- freecad
- KiCAD
- LibreCAD
- Cascata aberta
- QCAD
- QCAD3d
Naturalmente, tudo isso é software livre. Mas, como o registro do Ministério das Telecomunicações e Comunicações de Massa não indica pacotes CAD, muito provavelmente este tipo de software se enquadrará na categoria “insubstituível” e poderá ser adquirido ou usado sob licenças existentes, escrevendo o papel apropriado para o Ministério.
O mesmo acontece com outros softwares altamente especializados, dos quais, infelizmente, existem muitos nas nossas Empresas. Você terá que escrever artigos e implorar em lágrimas para não destruir e para ter a oportunidade de continuar trabalhando. Muito provavelmente eles darão permissão.
PS:
Não serei original. Todo esse “rebuliço” com substituição de importações parece extremamente estranho, se escolhermos expressões suaves. Na verdade, nosso software só produz Yandex, Acronis, Kaspersky, 10 ataques (com um alongamento) 1c, Pergunte, Abby, Dr.Web. Bem, e um monte de pequenas empresas. Mas todos esses são desenvolvimentos de nicho tão restritos (com exceção do Yandex, talvez) que podemos dizer que quase nunca fabricamos software. E tudo o que nos é oferecido como parte do programa de substituição de importações é simplesmente software “comprovado” desenvolvido no exterior. Ou seja, em essência, eles nos oferecem por dinheiro (e muito dinheiro) o mesmo software que poderíamos baixar e usar gratuitamente. ROSA é baseado em Mandriva, Astra - Debian GNU. O Astra pode conectar o repositório Debian e atualizar. O resultado final é uma coisa interessante. Todos os pacotes para o mesmo DNS, DHCP, ALD, ROSA Domain, Dovecot e tudo mais nada mais são do que pacotes de software de código aberto, alguns dos quais foram ligeiramente “retocados e engessados”, enquanto os demais não foram tocados, apenas “ verificado” quanto à presença de marcadores. Não está claro de que “software doméstico” estamos falando.
Por outro lado, os administradores Linux estarão acostumados a trabalhar com softwares já familiares, o que reduzirá um pouco a barreira de entrada. Mas seja como for, todas as empresas industriais controladas terão de mudar para este software “doméstico”. Então “vejo você no próximo artigo” se eu não for preso ou demitido por causa deste =)
Fonte: habr.com