Il sistema informativo CCR 16 marzo 2011 Giorgio Pietro Maggi.

Slides:



Advertisements
Presentazioni simili
Nuovo Ambiente Halley H2006
Advertisements

Corso di Fondamenti di Informatica
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
CSN1 2 Aprile 2003 P. Morettini 1 Relazione sulla CCR La riunione di Commissione Calcolo e Reti del 6 Marzo è stata in parte dedicata alla discussione.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
Stato dell’Infrastruttura Hardware e Software del Sistema Informativo INFN Barbara Martelli INFN - CNAF.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Microsoft Windows Installazione, gestione ed utilizzo delle risorse Microsoft nella sezione INFN di BOLOGNA.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Wireless Authentication
Linux Riunione Referenti-CCL 2-Luglio Utilizzo di Linux Principale (unica) piattaforma di calcolo per HEP Grid Supportato dalle maggiori industrie.
GIADA O N L I N E.
Benvenuti a Un incontro informativo di grande valore ed alto contenuto sulla Virtualizzazione e sistemi ad alta disponibiltà per le PMI.
Usare la posta elettronica con il browser web
Analisi (Analista) Progettazione (Progettista) Sviluppo o Traduzione (Sviluppatore) Documentazione.
U N INFRASTRUTTURA DI SUPPORTO PER SERVIZI DI FILE HOSTING Matteo Corvaro Matricola Corso di Reti di Calcolatori LS – Prof. A. Corradi A.A.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Architettura di storage ad alta affidabilita e bilanciamento di carico per volumi centrali e di esperimento A.Brunengo, M.Corosu INFN Sezione di Genova.
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
Dischi in RAID  Redundant Array of Independent Disk Configurazione che permette di combinare più dischi secondo obiettivi di performance e ridondanza.
Tipi e topologie di LAN Lezione 2.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
L. Servoli - CCR Roma 15 marzo Il progetto High Availability D. Salomoni - CNAF L. Servoli - INFN Perugia.
Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Servizi Internet Claudia Raibulet
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
Eprogram SIA V anno.
Manuale Utente – i-Sisen Questionario dei Consumi
Manuale Utente – i-Sisen Questionario del Gas Naturale
Riunione CCR 21/12/2005 Gruppo Storage Relazione sulla analisi di infrastrutture Fibre Channel e presentazione attivita’ per il 2006 Alessandro Brunengo.
1. 2 Corso avanzato SistER secondo modulo Ferrara 26 settembre 2006.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Sistema Informativo al CNAF Guido Guizzunti – Luglio 2012.
Commissione Calcolo e Reti Gruppo Multimediale Stefano Zani, Alfredo Pagano INFN-CNAF Bologna, 3 Marzo 2008.
Gestione centralizzata caselle PEC per l’INFN Alessandro Brunengo, per il gruppo Mailing.
S istema Presenze INFN Michela Pischedda – INFN-CNAF Michela Pischedda Presentazione S.I. del 20/12/
Sistema Informativo Riunione 20 Dicembre (Frascati) Guido Guizzunti.
DA e controlli DAFNE Riccardo Gargana Frascati 13/12/ /12/13.
Presentazione WS del 23/10/2013 al CNAF: 0&resId=0&materialId=slides&confId=6920
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
Disaster Recovery INFN Workshop CCR Laboratori Nazionali G.Sasso Galli Claudio 26-28/02/ /2/20141Claudio Galli, Stefano Zani WS CCR LNGS.
Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.
Progetto iSCSI Report alla CCR 12-13/12/2006 Alessandro Tirel – Sezione di Trieste.
Report sullo stato dei Servizi Web nazionali AC Antonino PassarelliCNAF Riccardo Veraldi Giulia Vita FinziLNF Sandro Angius Dael Maselli Massimo Pistoni.
Attività Gruppo Virtualizzazione Andrea Chierici CNAF CCR
Disaster Recovery Resoconto delle attività del Gruppo di Lavoro DR CCR CNAF 5-7/2/2013 S.Zani.
Gruppo di lavoro “Sistema Informativo Nazionale”: Report Attivita’ Silvia Arezzini Domenico Diacono Michele Gulmini Francesco Prelz CCR – Roma - 6 Ottobre.
CCR - Roma 15 marzo 2007 Gruppo storage CCR Report sulle attivita’ Alessandro Brunengo.
28/06/2016Francesco Serafini INDICO Parte 2. 28/06/2016Francesco Serafini CREAZIONE EVENTI Gli eventi possono essere creati in qualsiasi categoria, che.
Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
NUOVO SITO WEB DELLA CCR / Sostituisce il sito attualmente in uso:
Sistema Informativo. Mansioni Gestione della piattaforma hardware e sistemistica del sistema informativo INFN In realta’ il mansionario e’ in continua.
Transcript della presentazione:

Il sistema informativo CCR 16 marzo 2011 Giorgio Pietro Maggi

Outline Integrazione SI-AAI La migrazione alla nuova piattaforma Il sistema della presenze

Integrazione SI - AAI Portale Utente ( doppia procedura di login ) o Oracle Applications o INFN – AAI Gestione Presenze ( singola procedura di login ) o INFN - AAI Sito Documentale ( doppia procedura di login ) o Joomla o INFN – AAI Dr. Passarelli Antonino (Precario INFN) 3 16/03/2011 – Sistema Informativo

Reperimento del CF da AAI In Oracle EBs: o dato il CF si prendono tutti i person_id legati all’utente o di default viene utilizzato il person_id legato ad un contratto attivo o nel caso di piu’ person_id con contratti attivi viene utilizzato di default quello dell’anagrafica HR (dipendenti) o Lato web l’utente e’ in grado di eseguire il cambio profilo con altri person_id a lui associati Per ora e’ implementato il SSO ma non il SLO Dr. Passarelli Antonino (Precario INFN) 4 Integrazione Portale Utente - AAI 16/03/2011 – Sistema Informativo

Automatizzazione della procedura di accounting Oracle quando le seguenti condizione sono tutte soddisfatte: o L’utenticazione AAI avvenuta con successo o Esistenza di almeno un person_id all’interno delle Oracle EBs o Reperimento della struttura di appartenenza dell’utente per assegnare il profilo Oracle base “Richiedente(struttura)” In caso in cui non si riuscisse nella autocreazione e’ prevista la possibilita’ di inviare la segnalazione all’apposita lista dedicata. In questo modo non si dovranno piu’ richiedere credenziali all’assistenza. Dr. Passarelli Antonino (Precario INFN) 5 Auto Create Oracle Profile 16/03/2011 – Sistema Informativo

Reperimento del CF da AAI In Oracle EBs: o dato il CF si prendono tutti i person_id legati all’utente o viene utilizzato il person_id legato ad un contratto attivo dell’anagrafica HR (dipendenti) Per ora e’ implementato il SSO ma non il SLO Dr. Passarelli Antonino (Precario INFN) 6 Integrazione Gestione Presenze- AAI 16/03/2011 – Sistema Informativo

Modulo/Plugin/Componente Idemauth (GARR) Creazione dell’utenza joomla, a seguito del primo login AAI Dr. Passarelli Antonino (Precario INFN) 7 Integrazione Sito Documentale- AAI 16/03/2011 – Sistema Informativo

Dr. Passarelli Antonino (Precario INFN) 8 Statistiche 16/03/2011 – Sistema Informativo 60% 16% 13% 6%

Prossimi passi A regime l’autenticazione AAI gestirà la totalità degli utenti –Dipendenti (missioni, RDA, scheda contabile, cartellino,….) –Associati (missioni, RDA, scheda contabile,…) –Mancheranno i soli amministrativi Integrazione AAI con il back-office presenze Integrazione AAI con le Oracle applications –Attraverso l’Oracle Identity Manager Abbandonare rapidamente il doppio log-in e realizzare l’ SLO Ad un certo punto occorrerà sostituire il CF con qualcosa di più affidabile (per esempio l’UUID)

Entrata in produzione della nuova piattaforma linux: week-end aprile 2011 La nuova istanza di produzione verrà migrata su un cluster RedHat a 4 nodi così configurato: – 2 nodi attivi che montano il file system, l' indirizzo ip virtuale ed espongono rispettivamente il servizio di OracleDB e OracleAPP. Queste saranno le due macchine che risponderanno come sysinfo-c1 (Database Tier) e sysinfo-c2 (Application Tier). – 2 nodi in standby pronti per prendersi carico dei servizi OracleDB e OracleAPP nel caso in cui le due macchine attive abbiano problemi di vario genere e i servizi vengano visti down dal cluster manager.

Descrizione della nuova piattaforma i due "failover domain” sono stati configurati in modo che i due servizi OracleDB e OracleAPP non possano mai girare contemporaneamente sulla stessa macchina. Anche se a livello di sistema operativo tutto è stato predisposto per poter lavorare anche in questo modo, in una prima fase si è scelto di non adottare questa soluzione per garantire un ambiente sempre pulito dal punto di vista dei processi attivi sulla macchina che espone il servizio. visto che il servizio OracleAPP dipende dal servizio OracleDB, è stato predisposto un meccanismo nel cluster che consente al servizio OracleAPP di identificare se in un dato momento il servizio OracleDB risulta down. In tal caso, anche se il servizio OracleAPP fosse correttamente running, il cluster stoppa il servizio lato application, restarta il servizio OracleDB e solo dopo che ha verificato il corretto start del database restarta il servizio OracleAPP. Questo meccanismo serve per mantenere sempre coerenti le connessioni lato application verso il db. – Nel caso più sfortunato il down del servizio inteso come non accessibilità del sistema informativo si aggira intorno al minuto e mezzo, due minuti al massimo. In questo caso la parte html del portale diviene subito fruibile appena il servizio è restartato (i link htmp funzionano subito), mentre eventuali form aperte dovranno essere riavviate tramite l'apposito link html dato che la loro connessione al database è stata interrotta.

Istanze di OA a regime Attualmente abbiamo un secondo cluster RedHat a 2 nodi utilizzato per l' attuale istanza della seconda migrazione. Questo cluster, con alcune modifiche, diventerà l' istanza di TEST. Infine verrà messa a disposizione di SD una macchina (presumibilmente la sysinfo-31) su cui verrà messo un clone per l' istanza di SVILUPPO.

Impatto della transizione sui servizi calcoli delle strutture. Raggiungibilità dell' istanza del sistema da parte delle amministrazioni. Esiste qualche preoccupazione ad aprire l’accesso alle Application all’intero universo Pertanto: – Riservare l’accesso alla sola rete dell’iNFN caricando nella ACL la lista di tutte le reti dell' infn stilata dalla CCR. Problemi da gestire: – Eventuali tratti di rete non censiti dalla CCR Come gestire questi eventi? Si parla direttamente con il CNAF? Si arriva al CNAF attraverso il servizio calcolo della struttura interessata? – Necessità di collegarsi dal di fuori del dominio INFN Uso di VPN?

Configurazione dei browser delle amministrazioni La configurazione dei browser è veramente semplice. E' di fatto sufficiente installare java 6 update 23. Se si utilizza Internet Explorer e' poi necessario mettere fra i siti attendibili Il funzionamento delle “Oracle Applications” e-Business Suite sul recente Internet Explorer 9 e' in questi giorni in fase di test al CNAF. Naturalmente questa configurazione non consente più l’utilizzo di Jinitiator. – Non si vedono motivi per dover tornare indietro a Jinitiator, ma non si sa mai…..

Ultriori dettagli anche per tutte le macchine del cluster a 4 nodi, del cluster a due nodi (attuale seconda migrazione) e quella messa a disposizionedi SD (sysinfo-31), il Sistema Operativo é RedHat 5.5 a 32bit. Nulla vieta in futuro di pianificare un upgrade alla 5.6 (attualmente la versione consigliata da RedHat). Durante il corso di febbraio sui Cluster RedHat infatti abbiamo giá fatto i primi test di base con un clone delle EBS sulla versione 5.6 di RedHat e non sembravano esserci particolari problemi. per quanto riguarda il cluster a 4 nodi, e solo per quello, tutte le macchine del cluster sono predisposte a livello di Sistema Operativo e a livello di utenti per ospitare sia il servizio EBS Database sia quello EBS Application. Tutta la logica che dedica due macchine per il database e le altre due per le application risiede nel cluster, in questo modo abbiamo diversi vantaggi, tra cui due fondamentali: a) un solo kikstart per l'installazione rapida di una macchina pre-configurata per il Sistema Informativo, b) possiamo sempre estendere i failure domain dinamicamente e riassegnare le macchine o aggiungere nuove macchine al cluster con un fermo macchine brevissimo, mezzora o un ora circa. per quanto riguarda il backup fisico delle macchine in produzione si sta studiando una soluzione ridondante. Questa ci metterà a disposizione sia un backup su nastro con Tivoli, sia un backup sul file system locale delle macchine del cluster ed infine un backup incrociato su porzioni diverse della SAN. In questo modo dovremmo essere più che coperti dal punto di vista della perdita di qualche backup.

Il portale php 1. Struttura a cluster formata da 2 macchine virtuali senza storage condiviso. Il sistema operativo e Red Hat 5.5 a 32 bit 2. Il portale PHP sarà aperto a tutti e non è stata implementata nessuna ACL sul firewall del CNAF. 3. La porta utilizzata sarà la Il portale comunica con il db delle oracle business suite (già nella versione di test stiamo usando il db di migrazione 2). Questa comunicazione serve per la gestione del workflow di per l'autorizzazione alle missione, RDA 5. Il portale php è connesso al sistema delle presenze. Esso è raggiungibile cliccando sul link nella sezione presenze Attualmente la struttura delle macchine virtuali deve essere ancora implementata. La versione di test si trova su una macchina fisica (sysinfo- 42) che ha come sistema operativo Red Hat 5.5 a 32 bit e la porta è la 8888

Il sistema delle presenze E’ composto da alcuni server (tutti virtuali su KVM) collocati al CNAF: – un server di test e sviluppo, a disposizione della ditta Software Design, – due server di produzione. Tutti i server sono ridondati sia elettricamente che a livello di disco (raid 1) e sono sotto backup via TSM (backup su nastro). Su tutti e’ installato RedHat Enterprise Linux 5.5. L’architettura è centralizzata, nel senso che i server al CNAF servono tutto l'INFN.

VamWeb e i terminali marcatempo Su uno dei server (sysinfo-13) e' installato il software VamWeb (Visual Access Manager Web) sviluppato dalla ditta Selesta, che si occupa di gestire il dialogo coi terminali Selesta (timbratrici). Le timbratrici installate nelle varie sezioni sono terminali Isotech/L – CNAF, Trieste, Pisa, Torino in produzione – Frascati, LNL, Perugia in test – Bari, Perugia, Ferrara, Catania, Padovapronte a partire ogni timbratrice deve avere un indirizzo IP statico, – Che dev’essere comunicato al team del CNAF affinche’ il terminale possa essere configurato sul server La comunicazione tra il server e i terminali avviene – tramite la porta 1500 TCP (dal server al terminale), per l'invio della configurazione (file config.xml) e dell’orario sulla timbratrice, e – tramite la porta 4005 TCP, attraverso cui avviene la trasmissione della timbratura dal timbratore al server. La comunicazione tra terminale e server è criptata, tramite un protocollo proprietario Selesta che utilizza un algoritmo di crittografazione proprietario, basato su chiave simmetrica, simile al 3des. sono riportate in rosso le richieste ai servizi calcolo locali

VamWeb e i terminali marcatempo Anche se non strettamente necessario, e’ consigliato che anche queste porte siano aperte sui router delle sezioni: – 666 UDP, tramite cui il server monitora lo stato del terminale (per determinare ad es. se e' online). – 22 per collegamento in SSH sul server. – 23 per collegamento in telnet sui terminali. – 69 per trasferimento file via protocollo TFTP, per invio di file di aggiornamento firmware dei terminali. L'accesso all'interfaccia web di management del server VamWeb avviene tramite protocollo https e l'autenticazione avviene tramite username e password. Sul server è attivo un server Apache con librerie PHP per gestire il collegamento con il client web opportunamente patchate da Selesta.

VamWeb e i terminali marcatempo Il server VamWeb comunica tramite protocollo TCP con il secondo server delle presenze, su cui e’ installato un client Oracle 10g. Tramite questo server si puo' accedere via https al back-office delle presenze (su sysinfo-12). Per l'utilizzo del back-office e' sufficiente che sul browser (Internet Explorer o Firefox) sia installata una versione di Java sufficientemente recente. E’ consigliato pero’, anche per uniformita’ con il sistema delle “Oracle Applications” e-Business Suite, utilizzare Java 6 update 23(scaricabile ad es. qui: Il front-office delle presenze e' connesso con il portale PHP e l'accesso avviene tramite AAI. Sul server sono anche attivi i servizi tomcat e apache. Attualmente il sistema delle presenze e' aperto a tutti (non solo al dominio INFN) e non e' stata implementata nessuna ACL sul firewall del CNAF.

Le richieste alla CCR Colgo l’occasione per ringraziare la CCR per l’aiuto che ci ha fornito in fase di progettazione della nuova piattaforma linux. Abbiamo ora bisogno ancora di aiuto per – Verificare la robustezza del sistema Sia attraverso un audit del sistema ma anche attraverso una review

Volevo ringraziare Antonino Passarelli Marco Canaparo Massimo Donatelli Claudio Galli Guido Guizzunti Barbara Martelli