Il sistema informativo CCR 16 marzo 2011 Giorgio Pietro Maggi
Outline Integrazione SI-AAI La migrazione alla nuova piattaforma Il sistema della presenze
Integrazione SI - AAI Portale Utente ( doppia procedura di login ) o Oracle Applications o INFN – AAI Gestione Presenze ( singola procedura di login ) o INFN - AAI Sito Documentale ( doppia procedura di login ) o Joomla o INFN – AAI Dr. Passarelli Antonino (Precario INFN) 3 16/03/2011 – Sistema Informativo
Reperimento del CF da AAI In Oracle EBs: o dato il CF si prendono tutti i person_id legati all’utente o di default viene utilizzato il person_id legato ad un contratto attivo o nel caso di piu’ person_id con contratti attivi viene utilizzato di default quello dell’anagrafica HR (dipendenti) o Lato web l’utente e’ in grado di eseguire il cambio profilo con altri person_id a lui associati Per ora e’ implementato il SSO ma non il SLO Dr. Passarelli Antonino (Precario INFN) 4 Integrazione Portale Utente - AAI 16/03/2011 – Sistema Informativo
Automatizzazione della procedura di accounting Oracle quando le seguenti condizione sono tutte soddisfatte: o L’utenticazione AAI avvenuta con successo o Esistenza di almeno un person_id all’interno delle Oracle EBs o Reperimento della struttura di appartenenza dell’utente per assegnare il profilo Oracle base “Richiedente(struttura)” In caso in cui non si riuscisse nella autocreazione e’ prevista la possibilita’ di inviare la segnalazione all’apposita lista dedicata. In questo modo non si dovranno piu’ richiedere credenziali all’assistenza. Dr. Passarelli Antonino (Precario INFN) 5 Auto Create Oracle Profile 16/03/2011 – Sistema Informativo
Reperimento del CF da AAI In Oracle EBs: o dato il CF si prendono tutti i person_id legati all’utente o viene utilizzato il person_id legato ad un contratto attivo dell’anagrafica HR (dipendenti) Per ora e’ implementato il SSO ma non il SLO Dr. Passarelli Antonino (Precario INFN) 6 Integrazione Gestione Presenze- AAI 16/03/2011 – Sistema Informativo
Modulo/Plugin/Componente Idemauth (GARR) Creazione dell’utenza joomla, a seguito del primo login AAI Dr. Passarelli Antonino (Precario INFN) 7 Integrazione Sito Documentale- AAI 16/03/2011 – Sistema Informativo
Dr. Passarelli Antonino (Precario INFN) 8 Statistiche 16/03/2011 – Sistema Informativo 60% 16% 13% 6%
Prossimi passi A regime l’autenticazione AAI gestirà la totalità degli utenti –Dipendenti (missioni, RDA, scheda contabile, cartellino,….) –Associati (missioni, RDA, scheda contabile,…) –Mancheranno i soli amministrativi Integrazione AAI con il back-office presenze Integrazione AAI con le Oracle applications –Attraverso l’Oracle Identity Manager Abbandonare rapidamente il doppio log-in e realizzare l’ SLO Ad un certo punto occorrerà sostituire il CF con qualcosa di più affidabile (per esempio l’UUID)
Entrata in produzione della nuova piattaforma linux: week-end aprile 2011 La nuova istanza di produzione verrà migrata su un cluster RedHat a 4 nodi così configurato: – 2 nodi attivi che montano il file system, l' indirizzo ip virtuale ed espongono rispettivamente il servizio di OracleDB e OracleAPP. Queste saranno le due macchine che risponderanno come sysinfo-c1 (Database Tier) e sysinfo-c2 (Application Tier). – 2 nodi in standby pronti per prendersi carico dei servizi OracleDB e OracleAPP nel caso in cui le due macchine attive abbiano problemi di vario genere e i servizi vengano visti down dal cluster manager.
Descrizione della nuova piattaforma i due "failover domain” sono stati configurati in modo che i due servizi OracleDB e OracleAPP non possano mai girare contemporaneamente sulla stessa macchina. Anche se a livello di sistema operativo tutto è stato predisposto per poter lavorare anche in questo modo, in una prima fase si è scelto di non adottare questa soluzione per garantire un ambiente sempre pulito dal punto di vista dei processi attivi sulla macchina che espone il servizio. visto che il servizio OracleAPP dipende dal servizio OracleDB, è stato predisposto un meccanismo nel cluster che consente al servizio OracleAPP di identificare se in un dato momento il servizio OracleDB risulta down. In tal caso, anche se il servizio OracleAPP fosse correttamente running, il cluster stoppa il servizio lato application, restarta il servizio OracleDB e solo dopo che ha verificato il corretto start del database restarta il servizio OracleAPP. Questo meccanismo serve per mantenere sempre coerenti le connessioni lato application verso il db. – Nel caso più sfortunato il down del servizio inteso come non accessibilità del sistema informativo si aggira intorno al minuto e mezzo, due minuti al massimo. In questo caso la parte html del portale diviene subito fruibile appena il servizio è restartato (i link htmp funzionano subito), mentre eventuali form aperte dovranno essere riavviate tramite l'apposito link html dato che la loro connessione al database è stata interrotta.
Istanze di OA a regime Attualmente abbiamo un secondo cluster RedHat a 2 nodi utilizzato per l' attuale istanza della seconda migrazione. Questo cluster, con alcune modifiche, diventerà l' istanza di TEST. Infine verrà messa a disposizione di SD una macchina (presumibilmente la sysinfo-31) su cui verrà messo un clone per l' istanza di SVILUPPO.
Impatto della transizione sui servizi calcoli delle strutture. Raggiungibilità dell' istanza del sistema da parte delle amministrazioni. Esiste qualche preoccupazione ad aprire l’accesso alle Application all’intero universo Pertanto: – Riservare l’accesso alla sola rete dell’iNFN caricando nella ACL la lista di tutte le reti dell' infn stilata dalla CCR. Problemi da gestire: – Eventuali tratti di rete non censiti dalla CCR Come gestire questi eventi? Si parla direttamente con il CNAF? Si arriva al CNAF attraverso il servizio calcolo della struttura interessata? – Necessità di collegarsi dal di fuori del dominio INFN Uso di VPN?
Configurazione dei browser delle amministrazioni La configurazione dei browser è veramente semplice. E' di fatto sufficiente installare java 6 update 23. Se si utilizza Internet Explorer e' poi necessario mettere fra i siti attendibili Il funzionamento delle “Oracle Applications” e-Business Suite sul recente Internet Explorer 9 e' in questi giorni in fase di test al CNAF. Naturalmente questa configurazione non consente più l’utilizzo di Jinitiator. – Non si vedono motivi per dover tornare indietro a Jinitiator, ma non si sa mai…..
Ultriori dettagli anche per tutte le macchine del cluster a 4 nodi, del cluster a due nodi (attuale seconda migrazione) e quella messa a disposizionedi SD (sysinfo-31), il Sistema Operativo é RedHat 5.5 a 32bit. Nulla vieta in futuro di pianificare un upgrade alla 5.6 (attualmente la versione consigliata da RedHat). Durante il corso di febbraio sui Cluster RedHat infatti abbiamo giá fatto i primi test di base con un clone delle EBS sulla versione 5.6 di RedHat e non sembravano esserci particolari problemi. per quanto riguarda il cluster a 4 nodi, e solo per quello, tutte le macchine del cluster sono predisposte a livello di Sistema Operativo e a livello di utenti per ospitare sia il servizio EBS Database sia quello EBS Application. Tutta la logica che dedica due macchine per il database e le altre due per le application risiede nel cluster, in questo modo abbiamo diversi vantaggi, tra cui due fondamentali: a) un solo kikstart per l'installazione rapida di una macchina pre-configurata per il Sistema Informativo, b) possiamo sempre estendere i failure domain dinamicamente e riassegnare le macchine o aggiungere nuove macchine al cluster con un fermo macchine brevissimo, mezzora o un ora circa. per quanto riguarda il backup fisico delle macchine in produzione si sta studiando una soluzione ridondante. Questa ci metterà a disposizione sia un backup su nastro con Tivoli, sia un backup sul file system locale delle macchine del cluster ed infine un backup incrociato su porzioni diverse della SAN. In questo modo dovremmo essere più che coperti dal punto di vista della perdita di qualche backup.
Il portale php 1. Struttura a cluster formata da 2 macchine virtuali senza storage condiviso. Il sistema operativo e Red Hat 5.5 a 32 bit 2. Il portale PHP sarà aperto a tutti e non è stata implementata nessuna ACL sul firewall del CNAF. 3. La porta utilizzata sarà la Il portale comunica con il db delle oracle business suite (già nella versione di test stiamo usando il db di migrazione 2). Questa comunicazione serve per la gestione del workflow di per l'autorizzazione alle missione, RDA 5. Il portale php è connesso al sistema delle presenze. Esso è raggiungibile cliccando sul link nella sezione presenze Attualmente la struttura delle macchine virtuali deve essere ancora implementata. La versione di test si trova su una macchina fisica (sysinfo- 42) che ha come sistema operativo Red Hat 5.5 a 32 bit e la porta è la 8888
Il sistema delle presenze E’ composto da alcuni server (tutti virtuali su KVM) collocati al CNAF: – un server di test e sviluppo, a disposizione della ditta Software Design, – due server di produzione. Tutti i server sono ridondati sia elettricamente che a livello di disco (raid 1) e sono sotto backup via TSM (backup su nastro). Su tutti e’ installato RedHat Enterprise Linux 5.5. L’architettura è centralizzata, nel senso che i server al CNAF servono tutto l'INFN.
VamWeb e i terminali marcatempo Su uno dei server (sysinfo-13) e' installato il software VamWeb (Visual Access Manager Web) sviluppato dalla ditta Selesta, che si occupa di gestire il dialogo coi terminali Selesta (timbratrici). Le timbratrici installate nelle varie sezioni sono terminali Isotech/L – CNAF, Trieste, Pisa, Torino in produzione – Frascati, LNL, Perugia in test – Bari, Perugia, Ferrara, Catania, Padovapronte a partire ogni timbratrice deve avere un indirizzo IP statico, – Che dev’essere comunicato al team del CNAF affinche’ il terminale possa essere configurato sul server La comunicazione tra il server e i terminali avviene – tramite la porta 1500 TCP (dal server al terminale), per l'invio della configurazione (file config.xml) e dell’orario sulla timbratrice, e – tramite la porta 4005 TCP, attraverso cui avviene la trasmissione della timbratura dal timbratore al server. La comunicazione tra terminale e server è criptata, tramite un protocollo proprietario Selesta che utilizza un algoritmo di crittografazione proprietario, basato su chiave simmetrica, simile al 3des. sono riportate in rosso le richieste ai servizi calcolo locali
VamWeb e i terminali marcatempo Anche se non strettamente necessario, e’ consigliato che anche queste porte siano aperte sui router delle sezioni: – 666 UDP, tramite cui il server monitora lo stato del terminale (per determinare ad es. se e' online). – 22 per collegamento in SSH sul server. – 23 per collegamento in telnet sui terminali. – 69 per trasferimento file via protocollo TFTP, per invio di file di aggiornamento firmware dei terminali. L'accesso all'interfaccia web di management del server VamWeb avviene tramite protocollo https e l'autenticazione avviene tramite username e password. Sul server è attivo un server Apache con librerie PHP per gestire il collegamento con il client web opportunamente patchate da Selesta.
VamWeb e i terminali marcatempo Il server VamWeb comunica tramite protocollo TCP con il secondo server delle presenze, su cui e’ installato un client Oracle 10g. Tramite questo server si puo' accedere via https al back-office delle presenze (su sysinfo-12). Per l'utilizzo del back-office e' sufficiente che sul browser (Internet Explorer o Firefox) sia installata una versione di Java sufficientemente recente. E’ consigliato pero’, anche per uniformita’ con il sistema delle “Oracle Applications” e-Business Suite, utilizzare Java 6 update 23(scaricabile ad es. qui: Il front-office delle presenze e' connesso con il portale PHP e l'accesso avviene tramite AAI. Sul server sono anche attivi i servizi tomcat e apache. Attualmente il sistema delle presenze e' aperto a tutti (non solo al dominio INFN) e non e' stata implementata nessuna ACL sul firewall del CNAF.
Le richieste alla CCR Colgo l’occasione per ringraziare la CCR per l’aiuto che ci ha fornito in fase di progettazione della nuova piattaforma linux. Abbiamo ora bisogno ancora di aiuto per – Verificare la robustezza del sistema Sia attraverso un audit del sistema ma anche attraverso una review
Volevo ringraziare Antonino Passarelli Marco Canaparo Massimo Donatelli Claudio Galli Guido Guizzunti Barbara Martelli