Area Gestione Sistemi e Sicurezza LNF

Slides:



Advertisements
Presentazioni simili
Benvenuti a Un incontro informativo di grande valore ed alto contenuto sulla Virtualizzazione e sistemi ad alta disponibiltà per le PMI.
Advertisements

Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Roberto Covati – Roberto Alfieri INFN di Parma. Incontri di lavoro CCR dicembre Sommario VmWare Server (in produzione dal 2004) VmWare ESX.
Sistema Informativo Riunione 20 Dicembre (Frascati) Guido Guizzunti.
Presentazione WS del 23/10/2013 al CNAF: 0&resId=0&materialId=slides&confId=6920
Report sui Servizi nazionali dell’INFN (ai LNF) Massimo Pistoni febbraio 2014.
Disaster Recovery INFN Workshop CCR Laboratori Nazionali G.Sasso Galli Claudio 26-28/02/ /2/20141Claudio Galli, Stefano Zani WS CCR LNGS.
Report sullo stato dei Servizi Web nazionali AC Antonino PassarelliCNAF Riccardo Veraldi Giulia Vita FinziLNF Sandro Angius Dael Maselli Massimo Pistoni.
Disaster Recovery Resoconto delle attività del Gruppo di Lavoro DR CCR CNAF 5-7/2/2013 S.Zani.
Alta disponibilità e Disaster Recovery Discussione sugli strumenti attualmente in uso e possibili prossime evoluzioni WS CCR 27/5/2013 S.Zani.
20-21/03/2006Workshop sullo storage - CNAF Storage nei Servizi Calcolo delle sezioni INFN Alessandro Brunengo.
Virtualizzazione nell’INFN Andrea Chierici 11 Dicembre 2008.
Calcolo – AAI – GRID Enrico M. V. Fasanelli Consiglio di Sezione - Lecce 7 luglio 2011.
CCR, LNF ott 2011 Proposte assegnazioni server & storage L. Carbone, A. Gianoli, M. Serra.
INFN-AAI Stato dell’infrastruttura centrale Dael Maselli Workshop INFN CCR 2010.
Sistema Informativo. Mansioni Gestione della piattaforma hardware e sistemistica del sistema informativo INFN In realta’ il mansionario e’ in continua.
Referaggio delle richieste dei gruppi di lavoro G. Ambrosi, R. Fantechi, M. Gulmini, O. Pinazza Commissione Calcolo e Reti, Roma, 5-7 Ottobre 2010.
Dael Maselli Gruppo WebTools Workshop Gruppi CCR – 12 Dicembre 2007.
Stato dell’infrastruttura INFN CNAF, Stato dell’infrastruttura Impianti tecnologici Gli impianti di base stanno funzionando, ma sono urgenti.
Acquisti TIER T2 team e Pistoni per la consulenza sull’hardware.
Aggiornamenti gruppo WINDOWS CCR Riunione 5-7 ottobre 2010 Gianluca Peco.
20-21/03/2006Workshop sullo storage - CNAF Alessandro Brunengo.
Infrastruttura cloud servizi realizzata nella Sezione di Napoli
Riccardo Veraldi - Massimo Donatelli CCR 3-4 Marzo 2008
Resoconto delle attività del Gruppo di Lavoro DR
Status Report Gruppo Storage CCR CCR 14-15/03/2006.
CCR Servizi Nazionali settembre 2016 Stefano Longo (CNAF)
CARATTERISTICHE DI UN DATACENTER
Gruppo Web Tools Dael Maselli (LNF) Commissione Calcolo e Reti
Servizio Calcolo Alessandro Brunengo.
Workshop dei Gruppi di lavoro CCR LNF, 12 dicembre 2007
Attività Sistema Informativo (subset)
Breve report su corso RedHat Enterprise Virtualization (RH318)
Report e riflessioni sui Servizi nazionali dell’INFN (ai LNF)
Gruppo WebTools CCR – 14 Marzo 2007 Dael Maselli.
Università di Messina - C.E.C.U.M.
Cloud per HA nei Servizi
Attivita’ e compiti del Servizio Impianti Calcolo e Reti
PRIN Roma1 – status Luciano Barone, Alessandro De Salvo
Università di Messina - C.E.C.U.M.
Referaggi SST Riunione settembre 2017
INFN Il calcolo scientifico presso la sede INFN di Padova e di Legnaro
Carbone, Gianoli, Mezzadri
Aggiornamento sullo stato del Tier-2 di Catania
Nuove funzionalità e futura implementazione nella Sezione di Trieste
Strutture informatiche e servizi nazionali
Stato dei lavori E. P..
Gruppo WebTools Workshop CCR – 12 Giugno 2008 Dael Maselli – INFN LNF.
Riunione CCR – 29 Settembre 2008
Espansione dei CORE switch del TIER1
INFN Il calcolo scientifico presso la sede INFN di Padova e di Legnaro
Interfacce SRM: l'utilizzo di STORM - Overview e prospettive (ALICE)
R.Gomezel Commissione Calcolo e Reti CNAF
INFN-AAI Autenticazione e Autorizzazione
Riunione CCR – 29 Settembre 2008
Gruppo WebTools Workshop CCR – 12 Giugno 2008 Dael Maselli – INFN LNF.
Concetti introduttivi
© 2007 SEI-Società Editrice Internazionale, Apogeo
Le reti informatiche di Roberto Minotti 17/01/2019.
Le reti informatiche di Roberto Minotti 15/02/2019.
INFN-AAI Autenticazione e Autorizzazione
I servizi di backup locale e backup in cloud
IA2 Massimo Sponza IA2 – Osservatorio Astronomico di Trieste 2018 ICT Workshop - Catania.
Preventivi CCR 2018 INFN Roma Tor Vergata.
Transcript della presentazione:

Area Gestione Sistemi e Sicurezza LNF Servizio Sistema Informativo INFN Dael Maselli - Responsabile Ufficio Gestione Sistemi e Sicurezza LNF

Compiti dell'ufficio Coordinamento, gestione e ottimizzazione dell'infrastruttura dei sistemi Coordinamento delle analisi di sicurezza Progettazione e gestione backup e alta disponibilità dei sistemi a livello locale e geografico Collegamento con le analoghe strutture competenti della sede dei LNF

High Availability Il datacenter del Servizio di Calcolo LNF garantisce la tolleranza ai guasti su tutti i livelli infrastrutturali: Network Cluster di 2 Cisco Catalyst Nodi e Switch periferici dual attached TCP/IP Load Balancer Load Balancing & Fail over TCP/UDP Computing Ridondanza a livello applicativo tramite cluster Gestione delle VM in cluster di virtualizzazione oVirt VMWare Storage Due reti Fibre Channel indipendenti Nodi dual attached Rete Elettrica Doppia alimenazione: diretta + UPS / Gruppo elettrogeno Condizionamento Doppio impianto: centrale LNF + seconario dedicato Calcolo 3

Componenti HW Rete Sistemi Database Storage ODA Cisco Storage SISINFO LNF Cluster Xen VZ Cluster KVM oVirt SISINFO 5 nodi SSI LNF ODA Oracle Database Appliance SSI Storage Area Network Fibre Channel (NSPOF) EMC2/Hitachi LNF Cisco Catalyst Server Load Balancing LNF Cluster Xen VZ Cluster KVM oVirt Calcolo 7 nodi Serv Calcolo LNF LNF Cluster Xen VZ Cluster KVM oVirt Calcolo2 4 nodi Serv Calcolo LNF LNF Libreria Backup StorageTek SSI Libreria Backup IBM LNF

Componenti SW @LNF Oracle Database INFN-AAI Backup GODIVA IAM Cluster Xen VZ App. Server GODIVA INTERACTIVE + BATCH 8 nodi Cluster Xen VZ App. Server IAM 4 nodi Oracle Database Real Application Cluster 2 nodi Backup 4 livelli Cluster Xen VZ App. Server RECLUTAMENTO 4 nodi Gestione Processi Batch SIBATCH INFN-AAI (Gruppo CCR ) Infrastruttura di Autenticazione e Autorizzazione Ridondanza: 4 nodi @LNF 3 nodi @CNAF Sipert Cezanne BusObj Access Sistema Stipendiale App. Server PHP 2 nodi Database MySQL master/slave

ALTRE SLIDE

Razionalizzazione Web App Negli ultimi anni molti siti web sono passati da pagine custom a CMS La sicurezza diminuisce per l'uso di sw di terze parti spesso non pensato per l'ambito enterprise (Joomla, Wordpress, ecc.) Negli anni si sono createsistuazioni in cui dei server web ospitano sia applicazioni custom ad uso amministrativo che CMS Stiamo procedendo alla separazione dei due ambienti per migliorare Sicurezza Performance

Application Server Java Attualmente utilizziamo server Tomcat Impressione di un software non di livello enterprise Oggi si sviluppano sempre più applicazioni web Java È necessario indagare soluzioni più evolute e affidabili

Disaster Recovery Tutti i componenti sono sottoposti a backup settimanale o giornaliero Tutti i backup vengono inviati al CNAF per disaster recovery Ospitiamo anche le repliche dei backup del CNAF per lo stesso scopo L'istanza DB Oracle GODIVA è replicata in tempo reale al CNAF Prossimamente lo saranno tutte le istanze residenti su ODA ODA ospiterà la replica delle istanze Oracle in produzione al CNAF

Oracle Database Appliance Sistema all-in-one per la fornitura di DB Oracle 2 nodi ognuno con 24 Core Intel; 48GB RAM; 2x10Gb Ethernet Real Application Cluster Storage SAS + SSD Ospita le istanze dei database di: GODiVA (prod/preprod/devel) DB PROD in replica real-time (DataGuard) verso un'istanza al CNAF Cezanne Backup giornaliero su appliance Oracle/7320 (nasetto) dei LNF Retention policy 20 giorni storicizzato su libreria a nastri via TSM sincronizzato verso il cnaf per disaster recovery

Cisco Blades Nuovo sistema di server blade Cisco UCS Sistema di virtualizzazione in alta affidabilità Ovirt versione FOSS di RedHat RHEV Storage Fibre Channel su SAN del Calcolo Backup VM settimanale su appliance NAS Oracle/7320 (LNF) inviati al CNAF per disaster recovery Ospita la produzione del nuovo sistema stipendiale 2 VM per software ADP (Sipert, Cezanne) Dati su database Oracle (ODA) 2 VM per la gestione (BusObj, Access) NOVITÀ

Backup Tutti i nodi relativi al SSI sono sottoposti a backup periodico Software: Tivoli Storage Manager Hardware: Libreria a nastri Storagetek StorageTek L1400M Acquistata dal SSI nel 2005 2 x Drive STK T9940B (Fiber Channel) Le specifiche di affidabilità sono comunque superiori ad LTO6 Gestita dal Calcolo LNF 100 nastri (limite licenza) da 200GB (lordi non compressi) Manutenzione: ~9kEuro/anno Acquisto di un upgrade enterprise >50kEuro Attualmente non necessario in termini di performance o capacità

Backup Database Oracle È stata modificata la politica di backup dei DB Oracle a Frascati In passato veniva fatto backup giornaliero incrementale su nastro della Fast Recovery Area (FRA), che contiene dati per una recovery window di 20 giorni Vuol dire moltiplicare per la retention su nastro lo spazio occupato dalla FRA (2,7 TB), inutilmente. Ora viene fatto il backup di export DataPump ogni weekend (45 GB) Risultato: 72 ore di Flashback per rollback e query a qualsiasi istante 20 giorni di FRA per il restore dei datafile a qualsiasi istante (in sync con CNAF per DR) 10 anni di Export DataPump per il restore con granularità settimanale Le 65 caselle acquistate in passato da postecert su dominio pec.infn.it passeranno sotto il provider Aruba con una procedura di migrazione a carico di Aruba stessa. Le altre caselle su domini diversi invece non saranno migrate ma lasciate scadere, al loro posto saranno create nuove caselle sempre sotto pec.infn.it a questo punto gestito da Aruba. Per il salvataggio dei messaggi nelle attuali caselle su domini diversi da pec.infn.it, che andranno dismesse, il gruppo mailing scriverà una web application. . In aggiunta, le caselle oggi acquistate da Aruba in modo decentrato, e gestite da pannelli decentrati, saranno gestite da un unico pannello, che gestira' anche quelle in dominio pec.infn.it. Spero che questo permetta anche di accorpare i vari crediti che sono presenti sul pannello. Vorrei intanto capire se ho capito e ho alcune domande:  - a che punto è l'iter di acquisto e migrazione verso Aruba? L'ordine e' stato fatto.  - quante caselle si intende acquistare? Inizialmente un credito per 200 caselle. 65 verranno attivate subito, le altre via via che quelle vecchie andranno in scadenza, o per nuove esigenze. La CCR si occupera' di finanziare i rinnovi (a rimpolpare il credito quando serve).  - chi gestirà l'assegnazione delle caselle? Inizialmente io, con l'aiuto di Mirko, fino alla migrazione sicuramente. Poi e' una attivita' di servizio (e poco sviluppo), che verra' gestita dai SSNN. Io ho dato disponibilita' a proseguire nella gestione come collaborazione ai SSNN. Verra' predisposta una interfaccia per chiedere l'attivazione di caselle, che girera' su un server dei SSNN, che esporra' anche l'interfaccia per la procedura di backup. Il server lo stiamo preparando al CNAF, con la collaborazione di Riccardo e Stefano Longo.  - quando si prevede sia pronta la procedura per il backup delle caselle da dismettere? La procedura e' pronta (manca un meccanismo di accesso in readonly al backup, in corso di sviluppo). Serve solo fare il setup del server al CNAF. Ipotizzo che la prossima settimana potrebbe essere annunciata. Commenti: nuove caselle @pec.infn.it potranno essere attivate solo dopo aver migrato la gestione del dominio da Postecom ad Aruba. E per fare qusto, devo prima parlare con Postecom. Ho chiesto a Nunzio i reiferimenti una settimana fa, ma non mi ha ancora risposto. Ho reiterato oggi. Ciao. Alessandro

Sistema Scopo Dedicato Storage Disaster Recovery Espand. Assistenza oVirt Cluster SISINFO Virtualizzazione: Stipendiale, GODiVA, INFN-AAI, web, batch... Sì 2 TB Sì: rsync export VM NBD Oracle Database Appliance ODA Database: Godiva, Stipendiale 2TB (max 6TB) Sì: Dataguard + rsync backup No + Online Libreria nastri StorageTek Backup su nastro dei servizi dedicati 20TB (max 40TB) n/a IBM Backup su nastro dei servizi condivisi No: Calcolo LNF Si Calcolo LNF Servizi LNF WEB Nazionali ~ 2TB SXGEST2 Stipendiale, protocollo ~ 450 GB AFS Storage applicazioni web ~ 300GB Sì (a breve) SAN Storage FC sistemi No: tutto in condivisione Calcolo LNF oVirt + RHCS + AFS Vedi sopra Sì su storage EMC/Hitachi/Oracle

Sxgest2 Server Sun/Solaris architettura SPARC La macchina è gestita dal Calcolo LNF insieme a Nunzio Amanzi Ospita (per poco) il software per il calcolo degli stipendi INFN Vi risiede anche l'archivio del protocollo centrale dell'ente Database e Allegati Il sistema non ridondato La macchina è da considerarsi (ir)ragionevolmente obsoleta NOVITÀ

HW Obsoleto SXGEST2 2 nodi Windows per il protocollo INFN (gestdoc1-2) Server Sun/Solaris architettura SPARC La macchina è gestita dal Calcolo LNF insieme a Nunzio Amanzi Ospita il DB HR per il calcolo degli stipendi INFN Vi risiede anche l'archivio del protocollo centrale dell'ente Database e Allegati Il sistema non è ridondato La macchina è da considerarsi (ir)ragionevolmente obsoleta 2 nodi Windows per il protocollo INFN (gestdoc1-2) Gestiti unicamente da Nunzio Amanzi NOVITÀ

GRAZIE