Area Gestione Sistemi e Sicurezza LNF Servizio Sistema Informativo INFN Dael Maselli - Responsabile Ufficio Gestione Sistemi e Sicurezza LNF
Compiti dell'ufficio Coordinamento, gestione e ottimizzazione dell'infrastruttura dei sistemi Coordinamento delle analisi di sicurezza Progettazione e gestione backup e alta disponibilità dei sistemi a livello locale e geografico Collegamento con le analoghe strutture competenti della sede dei LNF
High Availability Il datacenter del Servizio di Calcolo LNF garantisce la tolleranza ai guasti su tutti i livelli infrastrutturali: Network Cluster di 2 Cisco Catalyst Nodi e Switch periferici dual attached TCP/IP Load Balancer Load Balancing & Fail over TCP/UDP Computing Ridondanza a livello applicativo tramite cluster Gestione delle VM in cluster di virtualizzazione oVirt VMWare Storage Due reti Fibre Channel indipendenti Nodi dual attached Rete Elettrica Doppia alimenazione: diretta + UPS / Gruppo elettrogeno Condizionamento Doppio impianto: centrale LNF + seconario dedicato Calcolo 3
Componenti HW Rete Sistemi Database Storage ODA Cisco Storage SISINFO LNF Cluster Xen VZ Cluster KVM oVirt SISINFO 5 nodi SSI LNF ODA Oracle Database Appliance SSI Storage Area Network Fibre Channel (NSPOF) EMC2/Hitachi LNF Cisco Catalyst Server Load Balancing LNF Cluster Xen VZ Cluster KVM oVirt Calcolo 7 nodi Serv Calcolo LNF LNF Cluster Xen VZ Cluster KVM oVirt Calcolo2 4 nodi Serv Calcolo LNF LNF Libreria Backup StorageTek SSI Libreria Backup IBM LNF
Componenti SW @LNF Oracle Database INFN-AAI Backup GODIVA IAM Cluster Xen VZ App. Server GODIVA INTERACTIVE + BATCH 8 nodi Cluster Xen VZ App. Server IAM 4 nodi Oracle Database Real Application Cluster 2 nodi Backup 4 livelli Cluster Xen VZ App. Server RECLUTAMENTO 4 nodi Gestione Processi Batch SIBATCH INFN-AAI (Gruppo CCR ) Infrastruttura di Autenticazione e Autorizzazione Ridondanza: 4 nodi @LNF 3 nodi @CNAF Sipert Cezanne BusObj Access Sistema Stipendiale App. Server PHP 2 nodi Database MySQL master/slave
ALTRE SLIDE
Razionalizzazione Web App Negli ultimi anni molti siti web sono passati da pagine custom a CMS La sicurezza diminuisce per l'uso di sw di terze parti spesso non pensato per l'ambito enterprise (Joomla, Wordpress, ecc.) Negli anni si sono createsistuazioni in cui dei server web ospitano sia applicazioni custom ad uso amministrativo che CMS Stiamo procedendo alla separazione dei due ambienti per migliorare Sicurezza Performance
Application Server Java Attualmente utilizziamo server Tomcat Impressione di un software non di livello enterprise Oggi si sviluppano sempre più applicazioni web Java È necessario indagare soluzioni più evolute e affidabili
Disaster Recovery Tutti i componenti sono sottoposti a backup settimanale o giornaliero Tutti i backup vengono inviati al CNAF per disaster recovery Ospitiamo anche le repliche dei backup del CNAF per lo stesso scopo L'istanza DB Oracle GODIVA è replicata in tempo reale al CNAF Prossimamente lo saranno tutte le istanze residenti su ODA ODA ospiterà la replica delle istanze Oracle in produzione al CNAF
Oracle Database Appliance Sistema all-in-one per la fornitura di DB Oracle 2 nodi ognuno con 24 Core Intel; 48GB RAM; 2x10Gb Ethernet Real Application Cluster Storage SAS + SSD Ospita le istanze dei database di: GODiVA (prod/preprod/devel) DB PROD in replica real-time (DataGuard) verso un'istanza al CNAF Cezanne Backup giornaliero su appliance Oracle/7320 (nasetto) dei LNF Retention policy 20 giorni storicizzato su libreria a nastri via TSM sincronizzato verso il cnaf per disaster recovery
Cisco Blades Nuovo sistema di server blade Cisco UCS Sistema di virtualizzazione in alta affidabilità Ovirt versione FOSS di RedHat RHEV Storage Fibre Channel su SAN del Calcolo Backup VM settimanale su appliance NAS Oracle/7320 (LNF) inviati al CNAF per disaster recovery Ospita la produzione del nuovo sistema stipendiale 2 VM per software ADP (Sipert, Cezanne) Dati su database Oracle (ODA) 2 VM per la gestione (BusObj, Access) NOVITÀ
Backup Tutti i nodi relativi al SSI sono sottoposti a backup periodico Software: Tivoli Storage Manager Hardware: Libreria a nastri Storagetek StorageTek L1400M Acquistata dal SSI nel 2005 2 x Drive STK T9940B (Fiber Channel) Le specifiche di affidabilità sono comunque superiori ad LTO6 Gestita dal Calcolo LNF 100 nastri (limite licenza) da 200GB (lordi non compressi) Manutenzione: ~9kEuro/anno Acquisto di un upgrade enterprise >50kEuro Attualmente non necessario in termini di performance o capacità
Backup Database Oracle È stata modificata la politica di backup dei DB Oracle a Frascati In passato veniva fatto backup giornaliero incrementale su nastro della Fast Recovery Area (FRA), che contiene dati per una recovery window di 20 giorni Vuol dire moltiplicare per la retention su nastro lo spazio occupato dalla FRA (2,7 TB), inutilmente. Ora viene fatto il backup di export DataPump ogni weekend (45 GB) Risultato: 72 ore di Flashback per rollback e query a qualsiasi istante 20 giorni di FRA per il restore dei datafile a qualsiasi istante (in sync con CNAF per DR) 10 anni di Export DataPump per il restore con granularità settimanale Le 65 caselle acquistate in passato da postecert su dominio pec.infn.it passeranno sotto il provider Aruba con una procedura di migrazione a carico di Aruba stessa. Le altre caselle su domini diversi invece non saranno migrate ma lasciate scadere, al loro posto saranno create nuove caselle sempre sotto pec.infn.it a questo punto gestito da Aruba. Per il salvataggio dei messaggi nelle attuali caselle su domini diversi da pec.infn.it, che andranno dismesse, il gruppo mailing scriverà una web application. . In aggiunta, le caselle oggi acquistate da Aruba in modo decentrato, e gestite da pannelli decentrati, saranno gestite da un unico pannello, che gestira' anche quelle in dominio pec.infn.it. Spero che questo permetta anche di accorpare i vari crediti che sono presenti sul pannello. Vorrei intanto capire se ho capito e ho alcune domande: - a che punto è l'iter di acquisto e migrazione verso Aruba? L'ordine e' stato fatto. - quante caselle si intende acquistare? Inizialmente un credito per 200 caselle. 65 verranno attivate subito, le altre via via che quelle vecchie andranno in scadenza, o per nuove esigenze. La CCR si occupera' di finanziare i rinnovi (a rimpolpare il credito quando serve). - chi gestirà l'assegnazione delle caselle? Inizialmente io, con l'aiuto di Mirko, fino alla migrazione sicuramente. Poi e' una attivita' di servizio (e poco sviluppo), che verra' gestita dai SSNN. Io ho dato disponibilita' a proseguire nella gestione come collaborazione ai SSNN. Verra' predisposta una interfaccia per chiedere l'attivazione di caselle, che girera' su un server dei SSNN, che esporra' anche l'interfaccia per la procedura di backup. Il server lo stiamo preparando al CNAF, con la collaborazione di Riccardo e Stefano Longo. - quando si prevede sia pronta la procedura per il backup delle caselle da dismettere? La procedura e' pronta (manca un meccanismo di accesso in readonly al backup, in corso di sviluppo). Serve solo fare il setup del server al CNAF. Ipotizzo che la prossima settimana potrebbe essere annunciata. Commenti: nuove caselle @pec.infn.it potranno essere attivate solo dopo aver migrato la gestione del dominio da Postecom ad Aruba. E per fare qusto, devo prima parlare con Postecom. Ho chiesto a Nunzio i reiferimenti una settimana fa, ma non mi ha ancora risposto. Ho reiterato oggi. Ciao. Alessandro
Sistema Scopo Dedicato Storage Disaster Recovery Espand. Assistenza oVirt Cluster SISINFO Virtualizzazione: Stipendiale, GODiVA, INFN-AAI, web, batch... Sì 2 TB Sì: rsync export VM NBD Oracle Database Appliance ODA Database: Godiva, Stipendiale 2TB (max 6TB) Sì: Dataguard + rsync backup No + Online Libreria nastri StorageTek Backup su nastro dei servizi dedicati 20TB (max 40TB) n/a IBM Backup su nastro dei servizi condivisi No: Calcolo LNF Si Calcolo LNF Servizi LNF WEB Nazionali ~ 2TB SXGEST2 Stipendiale, protocollo ~ 450 GB AFS Storage applicazioni web ~ 300GB Sì (a breve) SAN Storage FC sistemi No: tutto in condivisione Calcolo LNF oVirt + RHCS + AFS Vedi sopra Sì su storage EMC/Hitachi/Oracle
Sxgest2 Server Sun/Solaris architettura SPARC La macchina è gestita dal Calcolo LNF insieme a Nunzio Amanzi Ospita (per poco) il software per il calcolo degli stipendi INFN Vi risiede anche l'archivio del protocollo centrale dell'ente Database e Allegati Il sistema non ridondato La macchina è da considerarsi (ir)ragionevolmente obsoleta NOVITÀ
HW Obsoleto SXGEST2 2 nodi Windows per il protocollo INFN (gestdoc1-2) Server Sun/Solaris architettura SPARC La macchina è gestita dal Calcolo LNF insieme a Nunzio Amanzi Ospita il DB HR per il calcolo degli stipendi INFN Vi risiede anche l'archivio del protocollo centrale dell'ente Database e Allegati Il sistema non è ridondato La macchina è da considerarsi (ir)ragionevolmente obsoleta 2 nodi Windows per il protocollo INFN (gestdoc1-2) Gestiti unicamente da Nunzio Amanzi NOVITÀ
GRAZIE