Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo INFN 1 Aprile 2014 Dael Maselli - Responsabile Ufficio Gestione Sistemi e Sicurezza LNF
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Compiti dell'ufficio Coordinamento, gestione e ottimizzazione dell'infrastruttura dei sistemi Coordinamento delle analisi di sicurezza Attività di ridondanza dei sistemi anche a livello geografico e di backup dei dati Collegamento con le analoghe strutture competenti della sede dei LNF 2
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Componenti HW 3 Cluster Xen VZ Cluster Xen RHCS VY 5 nodi Serv Calcolo LNF Cluster Xen RHCS VY 5 nodi Serv Calcolo LNF Cluster Xen VZ Cluster KVM oVirt OVC1 5 nodi (3+2) CalcoloLNF / SSI Cluster KVM oVirt OVC1 5 nodi (3+2) CalcoloLNF / SSI Cluster Xen VZ Cluster Xen RHCS VAAI 3 nodi INFN-AAI Cluster Xen RHCS VAAI 3 nodi INFN-AAI ODA Oracle Database Appliance ODA Oracle Database Appliance SXGEST2 Sun/Solaris SXGEST2 Sun/Solaris Cluster Xen VZ Cluster Xen RHCS VZ 7 nodi Serv Calcolo LNF Cluster Xen RHCS VZ 7 nodi Serv Calcolo LNF SistemiDatabaseStorageRete Cisco Catalyst Server Load Balancing Cisco Catalyst Server Load Balancing Storage Area Network Fibre Channel (NSPOF) EMC 2 /Hitachi Storage Area Network Fibre Channel (NSPOF) EMC 2 /Hitachi Libreria Backup StorageTek Libreria Backup StorageTek Libreria Backup IBM Libreria Backup IBM
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Infrastruttura IT LNF Infrastrutture sala macchine del Servizio di Calcolo LNF: o Rete elettrica o Condizionamento o Rete LAN o Rete SAN (storage) Completamente fault tolerant 4
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli High Availability Il centro stella della rete LNF garantisce il Network HA o Cluster di 2 Cisco Catalyst 6509-E Nodi e Switch periferici dual attached o Cisco Server Load Balancing Load Balancing & Fail over TCP/UDP La Storage Area Network dei LNF garantisce lo Storage HA o Due reti Fire Channel indipendenti o Nodi dual attached I cluster RHCS/oVirt garantiscono il Virtual Machine HA o Storage su SAN FC o Il software di cluster si occupa di riallocare le VM sui nodi fisici a disposizione 5
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Backup Tutti i nodi relativi al SSI sono sottoposti a backup periodico Software: Tivoli Storage Manager Hardware: Libreria a nastri Storagetek o StorageTek L1400M o 2 x Drive STK T9940B (Fiber Channel) o Acquistata dal SSI nel 2005 o Gestita dal Calcolo LNF o 100 nastri da 200GB (lordi non compressi) o 100 slot limitati dalla licenza Il backup di alcuni nodi avviene invece nella libreria IBM LNF o Cluster RHCS: VX, VY, VAAI; TSM SSI; 6
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Sxgest2 Server Sun/Solaris architettura SPARC La macchina è gestita dal Calcolo LNF o insieme a Nunzio Amanzi Ospita (per poco) il software per il calcolo degli stipendi INFN Vi risiede anche l'archivio del protocollo centrale dell'ente o Database e Allegati Il sistema non ridondato La macchina è da considerarsi (ir)ragionevolmente obsoleta 7
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Altro HW Protocollo INFN La sala macchine del Calcolo LNF ospita inoltre: 2 server per l'applicazione di protocollo INFN (gestdoc1-2) o Gestiti unicamente da Nunzio Amanzi 8
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Cisco Blades Nuovo sistema di server blade Cisco UCS Sistema di virtualizzazione in alta affidabilità Ovirt o versione FOSS di RedHat RHEV Storage Fibre Channel su SAN del Calcolo Ospita la produzione del nuovo sistema stipendiale o 2 VM per software ADP (Sipert, Cezanne) o 2 VM per la gestione (BusObj, Access) Backup VM settimanale su appliance NAS Oracle/7320 (LNF) o a breve inviati al CNAF per disaster recovery Dati su database Oracle (ODA) 9
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Oracle Database Appliance Sistema all-in-one per la fornitura di DB Oracle o Real Application Cluster o 2 x ( Intel 24 Core; 48GB RAM; 2x10Gb Ethernet ) o Storage Condiviso SAS + SSD Mirror Redundancy 6TB netti Ospita le istanze dei database di: o GODiVA (prod/preprod/devel) o Cezanne Backup giornaliero su appliance Oracle/7320 (nasetto) dei LNF o storicizzato su libreria a nastri via TSM o inviato al cnaf per disaster recovery 10
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Componenti HW 11 Cluster Xen VZ Cluster Xen RHCS VY 5 nodi Serv Calcolo LNF Cluster Xen RHCS VY 5 nodi Serv Calcolo LNF Cluster Xen VZ Cluster KVM oVirt OVC1 5 nodi (3+2) CalcoloLNF / SSI Cluster KVM oVirt OVC1 5 nodi (3+2) CalcoloLNF / SSI Cluster Xen VZ Cluster Xen RHCS VAAI 3 nodi INFN-AAI Cluster Xen RHCS VAAI 3 nodi INFN-AAI ODA Oracle Database Appliance ODA Oracle Database Appliance SXGEST2 Sun/Solaris SXGEST2 Sun/Solaris Cluster Xen VZ Cluster Xen RHCS VZ 7 nodi Serv Calcolo LNF Cluster Xen RHCS VZ 7 nodi Serv Calcolo LNF SistemiDatabaseStorageRete Cisco Catalyst Server Load Balancing Cisco Catalyst Server Load Balancing Storage Area Network Fibre Channel (NSPOF) EMC 2 /Hitachi Storage Area Network Fibre Channel (NSPOF) EMC 2 /Hitachi Libreria Backup StorageTek Libreria Backup StorageTek Libreria Backup IBM Libreria Backup IBM
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Gestione Server Web Il Calcolo LNF gestisce i seguenti sistemi relativi al SSI: o 2 server MySQL sui cui risiedono tutti i relativi DataBase Ospitati nell'architettura fault tolerant (VY-Z) del Calcolo LNF o Ogni server su entrambi i cluster Xen RHCS o Dietro Cisco SLB per load balacing e HA livello applicativo o Storage web su filesystem AFS lhcitalia.infn.it trasparenza.infn.it asimmetrie.it agenda.infn.it (indico) wiki.infn.it (Serv. Naz. CCR) scienzapertutti.lnf.infn.it formazione.infn.it
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Separazione Server Web In passato problemi di alcuni siti si sono ripercossi su altri o Più siti (VirtualHost) condividono lo stesso SO Stiamo procedendo alla separazione dei siti su diversi nodi o Per competenza LNF INFN AC o Per importanza Siti divulgativi Applicazioni sestionali Possibilità di personalizzare le policy di sicurezza Diminuzione dell’esposizione ad attacchi e picchi di carico 13
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Distribuzione Server Web INFN: 2 VM o /comunicazione/ /fondiesterni/ o AC: 1 VM (+1 al più presto) o SISINFO: 1 VM o preparazione LHCITALIA: 2 VM o ASIMMETRIE: 2 VM o SCIENZAPERTUTTI: 2 VM o recentemente aggiornato 14
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Server Web Java In passato le applicazioni web erano quasi sempre sviluppate su infrastruttura PHP/MySQL Oggi si sviluppano sempre più applicazioni web Java o Spesso su DB Oracle Attualmente utilizziamo (pochi) server Tomcat o Impressione di un software non di livello enterprise È necessario indagare soluzioni AS più evolute e affidabili 15
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Autenticazione INFN-AAI Le applicazioni del SSI utilizzano l’infrastruttura INFN-AAI o Autenticazione o Autorizzazione L’infrastruttura INFN-AAI è completamente ridondata o LDAP + IDP SAML LNF (Cluster Xen RHCS VAAI) CNAF Risiede su HW di CCR gestito dal gruppo INFN-AAI 16
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Application Server GODiVA Gli Application Server di GODiVA risiedono su HW di INFN-AAI o Cluster Xen RHCS in (VAAI) o Tomcat Sullo stesso HW vi risiedono anche altre applicazioni del SSI o iam.infn.it 17
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli GRAZIE