Запровадження
У зв'язку з тим, що наближається 2020 рік і «година хе», коли потрібно буде прозвітувати про виконання наказу Мінкомзв'язку про перехід на вітчизняне ПЗ (у рамках імпортозаміщення), та не просте, а з , мені прилетіло завдання щодо розробки плану, власне, щодо виконання наказу Міністерства зв'язку та масових комунікацій №334 від 29.06.2017. І почав я розумітися.
Перша стаття була про те, . І викликала вона стільки хайпа, під нею було написано стільки коментарів, що я, чесно кажучи, був трохи шокований.
Тож, як було обіцяно, настав час розпочати «цикл статей про те, як ми наказ виконували та боролися з обставинами». Не знаю, наскільки довгим буде цей цикл, але є бажання описати весь процес від початку до кінця, але часу на це не вистачає, бо написання статей займає гору часу, а сім'ю годувати треба =)
Перша стаття буде присвячена вивченню існуючих варіантів та їх поверхневому аналізу, щоб скласти схему вивчення варіантів на практиці. Бо перш ніж збирати стенд для випробувань, треба розуміти, що на ньому випробовувати.
Отже, прошу під кат.
Розділ 1. Як є
По порядку:
Hyper-V, ESXI як платформи віртуалізації. Чому і те, й інше? Бо одне у головному Підприємстві, інше у філії. Так історично склалося (с)
Windows Server 2012 R2 2016 и 7 CentOS як серверні ОСі
Windows 7 як клієнтські ОС
1с на стадії впровадження на базі MSSQLServer Standard
ТЕКТОН на Firebird 1.5 (Навіть не питайте… Але ж ви все одно запитаєте, так?.. Ну, це чийсь дипломний проект, який був куплений нашим Підприємством на рубежі 2005, здається, з невідомих мені причин. І тепер ми безуспішно намагаємося перейти з нього на 1с..)
ОАЗІС на тому ж MSSQLServer Standard як ПЗ для звітів у ПФР
Zabbix на MariaDB
обмін и Zambra OSE. Навіщо те й те? Тому що у нас 2 контури мережі. Один з яких ніяк не пов'язаний із зовнішнім світом та другим контуром… ну, ІБ вважає, що так треба, і не дозволяє нам налаштувати маршрутизацію і зробити все правильно, а хто ми такі, щоб сперечатися з ІБ?.. Словом, так історично склалося (с) (2)
IFS на оракул, CompanyMedia на IBM Domino. Перший у нас для переддоговірної діяльності, другий — «робочий» документообіг… Чому CompanyMedia на файловій БД у 2019 році? Не повірите, я їм те саме запитання ставив — вони не вигадали відповіді. А чому такий монстр, як IFS, потрібен для переддоговірної діяльності? Так.
Microsoft Офіс. Тут треба пояснити. Крім стандартного набору користувача, у нас з незапам'ятних часів (читай до мого приходу сюди) у нас тягнеться БД, написана на Access. Що в ній і навіщо — не маю жодного поняття, але «вона нам ну ооооочень потрібна, ми без неї працювати не зможемо!», а на Excel у нас існує таааааааааакая штука… Розібратися, як це працює — неможливо, і як від цього йти - теж невідомо. Там накручено безліч макросів, які з темряви файлів витягують дані і щось з ними роблять. Як це працює, не знає навіть автор цього творіння. Переписувати це схоже на редизайну БД ... Словом, просто взяти і піти від MS Office ми не зможемо.
супутник як інтернет-браузер з недавнього часу
OpenFire + Pidgin як чат
Консультант+ и ТехЕксперт
Резервне копіювання та тиражування Veeam и Veeam Agent for Windows у їхній безкоштовній версії
Ну і купа віндових серверних фішок, типу AD, DNS, DHCP, WDS, CS, RDP, Remote App, KMS, WSUS і далі по дрібниці.
Все це піднімалося майже з нуля, потім і кров'ю, стражданнями та гугленням. І ось настав час все це знищити. Тут має бути закадровий гомеричний регіт, а на очах головного героя, читай мене, повинні навертатися сльози...
Але чи все так жахливо? Давайте дивитися варіанти.
Розділ 2. Як має бути
Можна піти шляхом «Гвинтокрилів Росії», тобто спробувати повністю відкинути ворожі Windows-based системи, і перейти на 100% «вітчизняне» (лапки не випадкові) ПЗ. «Хардкорний» варіант передбачає весело знести всім Windows, поставити будь-яку ОС, що сподобалася, з реєстру Мінкомзв'язку з навернутим на неї МойОфіс або LibreOffice, і дивитися, хто з користувачів випливе. Весело? Безперечно. Продуктивно? Анітрохи.
Для розуміння подальших міркувань наведу зміст ПЗ ОС Astra Linux SE 1.6, З якого випливає, що всю інфраструктуру, яка зараз заснована на продуктах Microsoft, можна замінити на ПЗ у складі Astra. Можна – не означає потрібно. Я ще не пробував усе це в тестовому середовищі з хоча б парою десятків вузлів, тільки розгорнув тестовий стенд, та й то глянув поки що поверхово. Але ж інструменти є.
ПЗ у комплекті постачання Astra Linux Special Edition 1.6
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- exim4
- Довекот
- буревісник
- GIMP
- alsa
- VLC
- CUPS
- Пов'язувати9
- Iscdhcpserver
- SAMBA
На сайті ОС в описі релізу є оповідь про те, що у складі присутній Zabbix. Але якщо поритися у Wiki, то там є стаття про те, як встановити Zabbix… з якої можна дійти невтішного висновку, що Apache, Postgre, php – усе це встановлюється з репозиторію. А ми вище говорили про те, що легітимне тільки те, що входить до складу пакету ... І ось ця плутанина виводить мене з себе !!!!11 Ну, в тому сенсі, що не ясно, що можна і потрібно, а що не можна і "не прокотить". З усього виходить, що пакети з репозиторію теж легітимні. Але чи це так? Здається, що так, але…
За підсумками доводиться вважати, що все, що є в репозиторіях ОС, можна назвати вітчизняним ПЗ. Відключаємо логіку і просто робимо так, як роблять усі. Ставимо, використовуємо та звітуємо про імпортозаміщення. Зрештою всі ми знаємо, навіщо все це було придумано.
Також можна підняти всю інфраструктуру і на базі ROSA Linux Enterprise Server. Це я також ще не пробував. (Всі тести та результати будуть опубліковані в наступній статті цього циклу, якщо все піде як планується.)
ПЗ у комплекті постачання ROSA Enterprise Linux Server
- засоби реалізації домену IPA (аналогу Microsoft Active Directory)
- Nginx та Apache
- MySQL та PostgreSQL
- Zimbra, Exim, Postfix та Dovecot
- pacemaker, corosync
- ДРБД
- Бакула
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- засіб розширеного керування атрибутами ROSA Chattr
- засіб шифрування інформації ROSA Crypto Tool
- засіб очищення пам'яті ROSA Memory Clean
- засіб гарантованого видалення файлів ROSA Shred
А можна взяти безкоштовний Розрахувати Linux та будувати всю інфраструктуру на його базі. Список пакетів Calculate Linux можна переглянути .
З перерахованого вище слід, що підняти всю необхідну інфраструктуру, по суті, з нуля — можна. Це вимагатиме колосальних витрат ресурсів, тонни нервів адмінів, кілотонни кави і багато часу на налагодження. Поріг входження буде ну оооочень важко переборний. Але ж можна. Але складно. Але працюватиме. Але складно. Але але…
Ще один варіант — залишити все як є і сподіватися, що перевірок не буде, і про нас просто забудуть. Але ж нам треба звітувати в міністерстві з переходу на вітчизняне ПЗ за кожен рік. Тож теж не варіант.
Тому пропоную підійти з боку здорового глузду.
Існує ось така табличка:
Далі йдуть, по суті, великі міркування, так що кому не цікаво, можете відразу переходити до результуючої табличці (Глава 2.1.). А тих, хто любить багатобукафф, милості прошу.
Так ось. Нам треба навести показники до встановлених меж. Насправді це означає, що ми маємо замінити існуючі ОЗ на продукти з реєстру Мінкомзв'язку та довести кількість замінених операційних систем до 80%. Причому немає різниці між серверними і клієнтськими ОСями. Це дає нам простір для маневру. Який? Ми можемо поставити користувачам тонких клієнтів на базі ОС з реєстру, і загнати їх усіх в RDP. У нашому випадку, коли кількість співробітників приблизно 1500 чоловік, ми отримуємо 1200 «штук» (насправді більше, тому що у нас не тільки користувальницькі ОСі, а й серверні, але зараз не про точні підрахунки стаття), а 300 залишається на ті 20%, які можна не змінювати. І що, нам не вистачить 300 серверів під Windows, щоб нормально побудувати звичну архітектуру? Сюди потрібно віднести специфічне ПЗ, яке не вміє працювати ні на чому, крім Windows, причому часто ще і на Windows XP. Але ж 300 машин. Не вистачить? Серйозно?
Тут треба зауважити, що best practice у разі буде завчасне навчання співробітників роботі з новим ПЗ. Без цього є величезний ризик просто поставити на коліна все виробництво і паралізувати роботу всього Підприємства на невизначений термін. Бо якщо з ОС все не так страшно, користувачеві найчастіше від неї і не потрібно нічого, крім запуску Офісної програми браузера1с, пошуку потрібного файлу та запуску солітера. А ось в Офісі1с вони працюють постійно (не беремо поки до уваги інженерів-конструкторів - про САПР є виноска в Розділі 2.1. - Виробництво і т.д.), вся звітність проходить через фільтри Excel і т.д. Ну а для тих, хто з тих чи інших причин не може працювати в безкоштовному програмному забезпеченні — ласкаво просимо на RDP.
Отже, ми спокійно можемо залишити кластер на Hyper-V, раз вже він у нас є і нам він подобається, це 12 вузлів у нашому випадку, від ESXI доведеться йти. Плюс до нього потрібний "залізний" контролер домену + віртуальний контролер домену. Разом 14. Ну або залишити ESXi, пішовши від Hyper-V, кому як подобається, цифри все одно будуть ті самі. На Контролерах домену у нас буде розташовуватися AD, DNS, DHCP, CS. При невеликій кількості віндових машин служби WSUS можна знехтувати. KMS так само можна навернути на контролер домену. WDS більше не потрібний. З Windows сервісів залишаються ще RDP-сервери. Ну, так у нас залишилося в запасі ще 286 невикористаних потенційних «штук» під Windows. RDP-ферма займатиме ще 8-10 Windows. Разом 276 одиниць у нас залишилося під специфічний софт для наукових підрозділів та САПР.
ОСНе важливо, яка це буде ОС. , , , , , . Вибирати треба те, що задовольнятиме користувачів. Як вибирати – сказати не можу, це дуже тонкі матерії. По-суті, всі вони як мінімум схожі зовні (а користувачеві тільки це і важливо — як виглядає і наскільки зручно користуватися). Я просто встановлю по парі кожної ОС і попрошу найменш зайнятих бухів по півгодини-годину користуватися. Що скажуть — від того й танцюватимемо, напевно.
AlterOS та Halo OS у відкритому продажу немає. А значить їх я розглядати не буду, бо цей «не зовсім бізнес» мене зовсім не приваблює.
З приводу ОС ОСьУ ліцензійній угоді сказано:
1.4 Ліцензійний договір не надає виключного права на Програмний продукт, а лише право використання в некомерційних цілях однієї копії Програмного продукту відповідно до умов, визначених у розділі 2 Ліцензійного договору.
2.4 Ліцензіат має право некомерційного використання Програмного продукту на необмеженій кількості серверів та робочих станцій.
Таким чином, ми не можемо використовувати її на Підприємстві, хоч вона і включена до Реєстру Мінкомзв'язку. Це сумно через те, що вона безкоштовна. Але у розробників щось із сайтом, тому що я вже кілька тижнів не можу завантажити дистрибутив, а на листи на підтримку я відповіді не отримав. Що? Чому? Не знаю.
Офісні пакетиСитуація наступна — нам так само потрібно привести кількість вітчизняних «офісів» до 80%, що становить 1200 «штук». Ці 1200 "штук" вже йдуть у складі ОС на базі Linux, яку ми встановимо користувачам. Не має значення, у складі всіх дистрибутивів є безкоштовний офісний пакет. Найчастіше це . А ось на RDP-сервери ми можемо сміливо поставити пакет від Microsoft, тому що ми не хочемо, щоб користувачі випали з роботи на невизначений проміжок часу (як мінімум до навчання навчання з новим офісним ПЗ), тому що вони не можуть знайти в новому табличного редактора свою улюблену кнопку. Це також має ще й окремий плюс — резервне копіювання документів співробітників, які лежатимуть в одному місці, і смерть вінчестера більше не страшна.
обмінДоведеться зносити. На жаль, тут ніяк не обійти цей показник у 80%, оскільки в наказі вказано кількість користувачів, а не % від кількості поштових серверів на Підприємстві. І оскільки нам потрібно замінити його на щось із реєстру Мінкомзв'язку, вибір у нас не надто великий. Це або , або , або . А можна в обох мережах поставити ROSA, яка має , і радіти, тому що на мій смак Zimbra набагато зручніше і приємніше, ніж Мій Офіс Пошта, який жахливий трохи більш ніж повністю, і CommuniGate Pro мені теж не сподобався. Плюс Zimbra може запросто прихопити з Exchange усю пошту за необхідності зберегти користувачам історію листування. Btw, Zimbra OSE я писав пару статей на Хабр (, и ) Але, на смак і колір, як кажуть.
Довідково-правові системиЯкщо вони й були, то швидше за все це якийсь , , і що з ними. Тобто вони російського виробництва. Якщо ні – вибір є =)
Антивірусне ПЗТак само 100% має бути вітчизняним. Ну не можуть довірити захист вітчизняної оборонки буржуазним програмам... , , .
ВімVeeam BackUp and Replication. З ним ситуація дивна. Він має версію, сертифіковану ФСТЕК, але в реєстрі Мінкомзв'язку взагалі ніяких продуктів від Veeam. З іншого боку, у наказі міністерства немає графа «ПЗ для резервного копіювання». Тож тут ситуація подвійна. У випадку, якщо ми залишаємо Windows-based сервіси, і тим більше Hyper-V, Veeam дуже полегшує резервне копіювання віртуалок, він дуже зручний і невибагливий. Veeam agent for Windows дозволяє бекапіть файловий смітник, у нього дуже просте налаштування і зручний інтерфейс, є автоматичне визначення дублювання даних та їх відсікання і т.д. Словом, якщо ми залишає гіпервізор від Microsoft, можна спробувати написати папірець про те, що аналогів у Veeam немає, і що він нам дуже потрібен. Спроба не катування, але що з цього вийде, я не беруся сказати.
1сТут починаються питання, тому що начебто і є у них версія під Linux. І начебто навіть вона і працює. Але насправді її ніхто не використовує. Тому доведеться нам ще одну гвинтову машинку відрядити під сервер 1с. А то й дві. Разом залишилося. СУБД - PostgreSQL, звичайно ж. Не дивлячись на те, що він не вітчизняний, але він є в реєстрі Мінкомсвязі. 1с вміє з нею працювати, а сама СУБД дуже непогана. Не проста в налаштуванні, але й зело непогане. До того ж, легко встає на будь-який Linux-дистрибутив, а в складі тієї ж Astra взагалі поставляється в комплекті.
документообігНу, з IFS Зрозуміло, від нього доведеться йти 100%. Company Media - Залишаються питання. ПО вітчизняне, є у реєстрі Мінкомзв'язку, всі справи. Але. IBM Domino ліцензується та купується окремо, а отже, не може використовуватись. З іншого боку, у Company Media є версія для PostgreSQL. Але в нас впроваджували саме IBM Domino. Так, у мене стійкий негатив до цього продукту компанії Інтертраст з назвою Company Media, у мене починає бомбардувати від однієї його згадки. Але до справи це не стосується. Тож або ми перевозимо CM на PostgreSQL, або шукаємо іншу систему документообігу. У реєстрі є вибрати. Але на даному етапі я не зупинятимусь на цьому питанні, тому що грошей на Company Media було витрачено багато, а подальша його доля поки не зрозуміла, але хочеться вірити в здоровий глузд і просто переклад системи на PostgreSQL. Отже, просто залишу список ПЗ з реєстру.
засоби мультимедіаЧи не розглядаю. Мало того, що вони вузькозастосовні, то на Підприємствах, що підпадають під програму імпортозаміщення, вони якщо й використовуються, то лише для колажування листівок до 23 лютого співробітницями бухгалтерії. А «товари першої необхідності» є у складі ОС.
Інтернет-браузеридозволені , . При цьому, у складі багатьох ОС з реєстру є Mozilla Firefox. Думаю, із цим якраз проблем не виникне. А для додатків, які можуть лише в Internet Explorer ми залишили лазівку у вигляді RDP-серверів.
Відкритий вогоньЗвичайно, відмовляємося. Чому? Тому що нам потрібно впровадити 1с Бітрікс24! Насправді відмовляємося ми не тому, а тому, що його немає в реєстрі, але в цілому чат ми замінюємо на портал, в якому є сервіс чату, так що… ну… це саме… ви зрозуміли. Ось. Ага. Так. Або ж можна використовувати ejabberd як jabber-сервер у складі ROSA Linux. Там є клієнт чату, якщо не помиляюся — Мірка. Це на випадок, якщо у вас немає Битрикса1.
ZabbixУ реєстрі Мінкомзв'язку, звісно, не представлено. Але. У заявлено, що до нього включено Zabbix версії 3.4. Так що якщо ми хочемо отримати «законний» Zabbix, то буде потрібно щонайменше одна копія цієї ОС.
Поштовий клієнтпредставлений буревісник в комплекті багатьох ОС з реєстру. Якщо не влаштовує він — доведеться купувати окремо, у складі того ж МійОфіснаприклад, або «Р7-офіс. Організатор». Якщо чесно, то я більше не знайшов у реєстрі Мінкомзв'язку окремих поштових клієнтів. Та мене й Thunderbird влаштував. Якщо напишете в коментах, допишу сюди.
Банк клієнтиПотрібно тестувати. По ідеї, Криптопро вміє в Linux, насправді особисто я не перевіряв. Теоретично працювати має, але якщо щось піде не так, то у нас є варіант з RDP-сервером.
Розділ 2.1. Відомості
У результаті у мене вийшла ось така табличка з варіантами, на основі якої і робитимуться висновки і плануватимуться:
Що логічно — якщо все ж таки є необхідність перейти з домену Windows на Astra або Rosa, або ще якийсь, тобто сенс і клієнтські машини перевести на продукт того ж виробника, так можна зменшити кількість помилок при спробах «подружити» одне з одним.
По відношенню PostgreSQL и PostgreSQL PRO треба розуміти, що вони мають , зокрема й у швидкодії. PRO версія більш продуктивна. Для «нормальної» роботи тієї ж 1с безкоштовної версії, швидше за все, не вистачить.
Astra Linux SpecialEdition і ROSA DX "НІКЕЛЬ" - це захищені системи, сертифіковані для роботи з держтаємницею, секреткою і т.д.
Щодо САПР: У коментарях до попередньої статті ці питання звучали У ROSA Linux у репозиторіях є такі :
- freecad
- KiCAD
- LibreCAD
- Opencascade
- QCAD
- QCAD3d
Звичайно, все це вільне ПЗ. Але, оскільки в реєстрі Мінкомзв'язку CAD-пакетів не зазначено, то, швидше за все, цей тип програмного забезпечення підпаде під категорію «незамінний», і його можна буде закупити або використовувати за наявними ліцензіями, написавши в міністерство відповідний папір.
Те саме і з іншим вузькоспеціалізованим софтом, якого на наших Підприємствах, на жаль, чимало. Прийде писати папери і сльозно благати не губити, і надати можливість продовжувати працювати. Швидше за все, дозволу дадуть.
PS:
Не буду оригінальним. Вся ця «метушня» з імпортозаміщенням виглядає вкрай дивно, якщо вибирати м'які вирази. По-суті, у нас ПЗ виробляє тільки Яндекс, Acronis, Kaspersky, 10-Strike (З натяжкою), 1с, Аскон, Еббі, Dr.Web. Та й ще купка невеликих компаній. Але все це настільки вузькі нішеві розробки (за винятком Яндекса, мабуть), що можна говорити про те, що софт у нас майже не роблять. А все, що нам пропонується в рамках програми імпортозаміщення — просто перевірений софт зарубіжної розробки. Тобто по суті нам пропонують за гроші (і чималі) те ж ПЗ, яке ми могли б скачати і використовувати безкоштовно. ROSA зроблена на базі Mandriva, Astra - Debian GNU. Астр можна підключити репозиторій Debian і зробити upgrade. Цікава штука виходить у результаті. Всі пакети для тих же DNS, DHCP, ALD, ROSA Domain, Dovecot і все інше – це ні що інше, як пакети відкритого ПЗ, частина з яких трішки «підфарбували та відштукатурили», а решта взагалі не чіпали, просто «перевірили» на наявність закладок. Про який «вітчизняний софт» йдеться — неясно.
З іншого боку, Linux-адмінам буде звично працювати з уже знайомим ПЗ, що трохи знизить поріг входження. Але як би там не було, всім підконтрольним галузевим Підприємствам переходити на цей вітчизняний софт доведеться. Так що «до зустрічі в наступній статті», якщо мене за цю не посадять і не звільнять =)
Джерело: habr.com