Advies ICT-infrastructuur ISHW ICT Samenwerking Hoeksche Waard
Advies ICT-infrastructuur ISHW ICT Samenwerking Hoeksche Waard
Versiedatum Versie Auteur(s) Opdrachtgever
2 / 30
: 15 mei 2013 : 1.0 : Telengy (Willem Isendoorn, Ron van Dijck) : Projectgroep ISHW
Inhoud 1 Samenvatting
4
2 Inleiding
6
2.1
Aanleiding
6
2.2
Uitvoering
7
3 Het koersdoel
8
3.1
Toekomstvaste technische infrastructuur
8
3.2
Verschillen met de huidige situatie
12
3.3
Datacommunicatie en uitwijk
13
3.3.1
Datacommunicatie
13
3.3.2
Uitwijk
14
3.3.3
Voldoen aan eisen
16
4 Migratieaanpak
17
4.1
Ontwikkeling
17
4.2
Migratiescenario
17
5 Planning
19
5.1
Volgorde
19
5.2
Tijdplanning
20
6 Financiële consequenties
21
6.1
Uitwerking migratiescenario
21
6.2
Kosten voor opleidingen
22
7 Opmerkingen klankbordgroep
23
Bijlage 1: Eisen uit het Businessplan
25
Bijlage 2: Uitwerking gekozen migratiescenario
27
Bijlage 3: Totaaloverzicht kosten
29
3 / 30
1 Samenvatting
De projectgroep ISHW heeft aan Telengy opdracht gegeven om een integraal adviesrapport op te stellen dat als basis kan dienen voor het automatiseringsbeleid van ISHW voor de jaren 2014-2018. Toekomstvaste technische infrastructuur De belangrijkste vraag uit de onderzoeksopdracht is: Hoe ziet het ontwerp van een toekomstvaste technische infrastructuur, gebaseerd op hedendaagse maatstaven, er voor ISHW er uit? De infrastructuren van Binnenmaas en Oud-Beijerland zijn beiden voldoende toekomstvast, maar verschillen op enkele onderdelen. Daarom adviseren wij voor de toekomst een infrastructuur voor ISHW, die aansluit bij de keuzes die in het verleden al gemaakt zijn. De invulling van de infrastructuur kan het beste gebeuren door uit te gaan van de huidige infrastructuur van Binnenmaas met enkele wijzigingen: x x x
Voor servervirtualisatie adviseren wij XenServer te vervangen door VMWare. Voor de serverhardware adviseren wij (blade)servers van HP in plaats van IBM. Voor applicatievirtualisatie adviseren wij MS App-V.
De overige componenten van de infrastructuur wijzigen niet en hebben we voor de volledigheid opgenomen in de tabel in paragraaf 3.1. Efficiënt (en dus goedkoop) beheer is gebaat met een infrastructuur met zo weinig mogelijk verschillende platforms. Daarom adviseren wij om te concentreren op het platform Windows Server, óók als het gaat om databases die nu onder UNIX draaien. Voor datacommunicatieverbindingen tussen de verschillende locaties zijn meerjarige overeenkomsten aangegaan met KPN/Gemnet. De benodigde bandbreedte kan daarmee de eerstkomende jaren geleverd worden. Bij een groei van benodigde bandbreedte (en dat valt niet uit te sluiten) is uitbreiding van de capaciteit, tegen relatief lage meerkosten, mogelijk. Omdat het in totaliteit een forse structurele kostenpost is, adviseren wij alert te zijn op mogelijkheden die kunnen zorgen voor verlaging van deze kostenpost. Als tweede locatie voor de uitwijkvoorzieningen in eigen beheer adviseren wij Oud-Beijerland. Migratie Om de gewenste infrastructuur te verkrijgen is een migratie op onderdelen nodig in de infrastructuur van Binnenmaas. Het gaat dan vooral om de vervanging van XenServer door VMWare en (op termijn) de serverhardware van IBM door HP. Ons advies is om de aansluiting van RSDHW eerst af te ronden (juli 2013) en daarna XenServer te vervangen door VMWare. Het grote voordeel is dat daarna slechts één platform beheerd hoeft te worden (VMWare) in plaats van twee (VMWare en XenServer). Daarna kan Korendijk, Strijen en Oud-Beijerland (in die volgorde) aangesloten worden. Met een goede organisatie en aansturing kan de hele operatie medio 2015 afgerond worden. Verwerving Of de geadviseerde wijzigingen in de infrastructuur nu wel of niet worden overgenomen, feit is dat aanzienlijke kosten gemaakt moeten worden voor aanschaf van hardware,
4 / 30
softwarelicenties, onderhoudscontracten en voor dienstverlening om de klus snel en goed te klaren. In beide gevallen ramen wij de investeringen op een bedrag dat hoger is dan het bedrag waarvoor een Europese aanbesteding voorgeschreven is en wij adviseren daarom om daarmee in aanpak en doorlooptijd rekening te houden. Financiële consequenties In dit onderzoek hebben wij ons gericht op de implementatie van een volledige ISHWinfrastructuur die de 5 gemeenten en RSDHW in de nabije toekomst ondersteunt. Grote delen daarvan (hard- en software) zijn al operationeel. Tijdens het uitvoeren van ons onderzoek was nog niet volledig bekend welke investeringen in het verleden al gedaan zijn en tegen welke waarde die investeringen na overdracht in de begroting van ISHW opgenomen moeten worden. Ook de kosten voor softwarelicenties vormen nog een onzekere kostenpost. De gemeenten hebben in het verleden onafhankelijk van elkaar licenties Microsoft en Oracle aangekocht. Met beide leveranciers moet overleg gevoerd worden over de mogelijkheid van inruil van die licenties. Voorzichtigheidshalve hebben we de kosten voor softwarelicenties ruim geraamd. Consequentie is dat dit rapport (nog) geen betrouwbaar inzicht geeft in de uiteindelijke begroting ISHW. Daarvoor is gedetailleerd inzicht nodig in welke hard- en software al beschikbaar is en tegen welke waarde deze overgedragen wordt aan ISHW. Dit inzicht zal de komende weken verkregen moeten worden in overleg met de werkgroep Financiën. Benadrukt moet worden dat de in dit rapport opgenomen investeringen slechts voor een zeer klein percentage (schatting € 60.000, zijnde minder dan 5%) gerelateerd zijn aan de geadviseerde wijzigingen ten opzichte van de huidige infrastructuur van Binnenmaas. Met andere woorden, met het overgrote deel van de kosten moest sowieso al rekening gehouden worden.
5 / 30
2 Inleiding
2.1
Aanleiding
De projectgroep ISHW heeft aan Telengy opdracht gegeven om een integraal adviesrapport op te stellen dat als basis kan dienen voor het automatiseringsbeleid van ISHW voor de jaren 2014-2018. De vragen die daarin beantwoord moeten worden, zijn: 1. Hoe ziet het ontwerp van een toekomstvaste technische infrastructuur, gebaseerd op hedendaagse maatstaven, er voor ISHW er uit? 2. Hoe zien de technische infrastructuren van de aan ISHW deelnemende gemeenten er op dit moment uit (foto bestaande situatie)? 3. Welke verschillen komen als je de uitkomsten vergelijkt naar voren ? 4. Welke ontwikkeling streven we na, hoe komen we daar en hoe gaan we daarbij om met de geconstateerde verschillen, zowel qua techniek als qua scholing en ontwikkeling van medewerkers. Het antwoord op deze vragen geeft de richting en het koersdoel aan. Vervolgvragen zijn dan: • •
Wat is de beste migratieaanpak om de komende jaren het koersdoel te bereiken? (fasering, volgorde van aansluiting, planning) Welke investeringen moeten daarvoor gedaan worden en wanneer (meerjarenbegroting)? o In hardware (uitbreidingen) o In software (licenties) o In personeel (opleiding en training) o In consultancy (externe begeleiding)
Automatiseringsbeleid gaat niet alleen over de invulling van de centrale technische infrastructuur. Ook over aanpalende vraagstukken horen uitspraken gedaan te worden: 1.
2.
Platforms. Gemeenten beschikken over meerdere verschillende “platforms”. Dit is ontstaan in het verleden toen leveranciers hun software ontwikkelden op verschillende platforms (IBM AS/400, SAP, Unix, Oracle, Linux, Novell, Microsoft, etc.) en gemeenten gedwongen waren om in meerdere platforms te investeren om de software te kunnen gebruiken. Anno 2013 is dit niet meer (of veel minder) nodig. Om efficiënter (en dus voor de gemeenten en RSD goedkoper) diensten te kunnen leveren, wil ISHW het aantal verschillende platforms maximaal beperken. De vraag is dus: welke platforms worden in de toekomst ondersteund en hoe wordt het aantal platforms de komende jaren gereduceerd? Datacommunicatie. Het centraliseren van ICT in een samenwerkingsverband mag niet leiden tot vertraging op de werkplekken in de deelnemende organisaties. Stabiele, snelle datacommunicatieverbindingen met schaalbare bandbreedte zijn daarvoor noodzakelijk. Met Gemnet zijn daarvoor meerjarige contracten afgesloten, inclusief mogelijkheden voor toekomstige uitbreiding van capaciteit (schaalbaarheid). De vragen die naar voren komen, zijn: a. Welke groei in bandbreedte van datacommunicatieverbindingen is de komende jaren te verwachten?
6 / 30
3.
b. Wat zijn de financiële consequenties als deze groei met aanpassing van de bestaande Gemnet-contracten moet worden gerealiseerd? c. Zijn er alternatieve, betere en goedkopere mogelijkheden om de datacommunicatieverbindingen in ISHW in de toekomst in te vullen? Zo ja, welke en waarom? Uitwijk. Traditioneel hebben gemeenten uitwijkcontracten bij externe partijen. De kosten daarvan zijn aanzienlijk, terwijl vaak niet de totale ICT in die contracten is opgenomen, maar alleen dat wat wettelijk verplicht is. In een samenwerking tussen gemeenten kan door slimme invulling van de ICT-infrastructuur een eigen uitwijkvoorziening worden gerealiseerd door centrale apparatuur (servers en data-opslag) op meerdere locaties te plaatsen en zodanig in te richten dat bij uitval van de ene locatie de apparatuur op de andere locatie het geheel over neemt. De vragen die beantwoord moeten worden, zijn: a. Hoe is een eigen uitwijkvoorziening in de ISHW-infrastructuur voorzien en wanneer is deze uitwijkvoorziening beschikbaar? b. Op welk moment kunnen gemeenten de lopende uitwijkcontracten opzeggen en welke besparingen levert dat dan op?
2.2
Uitvoering
Om invulling te geven aan deze opdracht is een werkgroep geformeerd bestaande uit: x x x x x
Raymond van Kooten (Oud-Beijerland) Frank Visser (Binnenmaas) Edward Dijk (Ictivity) Ron van Dijck (Telengy) Willem isendoorn (Telengy).
Deze werkgroep is aan de slag gegaan met het opstellen van het gevraagde advies. Als eindresultaat van de werkzaamheden van deze werkgroep is het voorliggende document ontstaan, waarbij Telengy de verantwoordelijkheid draagt voor de adviezen in dit rapport. De voorlopige resultaten zijn op 22 april gepresenteerd aan een klankbordgroep. Deze klankbordgroep bestond uit vertegenwoordigers van de deelnemende gemeenten. Helaas konden door onvoorziene oorzaken de beoogde vertegenwoordigers van Binnenmaas en OudBeijerland niet deelnemen (echter wél de respectievelijke leden van de werkgroep). Een aparte paragraaf (zie hoofdstuk 7) gaat in op de vragen en opmerkingen en de antwoorden. Op 1 mei 2013 en 8 mei 2013 is het adviesrapport uitgebreid besproken in een grote groep van direct betrokken medewerkers, leden van de projectgroep, Telengy en Ictivity onder voorzitterschap van Jaap Brouwer. Opmerkingen en aanvullingen die in deze sessies gemaakt zijn, zijn in versie 1.0 van dit rapport verwerkt.
7 / 30
3 Het koersdoel
Dit hoofdstuk gaat in op de eerste serie vragen betreffende het koersdoel.
3.1
Toekomstvaste technische infrastructuur
De eerste gestelde vraag is: x
Hoe ziet het ontwerp van een toekomstvaste technische infrastructuur, gebaseerd op hedendaagse maatstaven, er voor ISHW er uit? De werkgroep is aan de slag gegaan met deze vraag en heeft zich daarbij laten leiden door: 1. Bewezen marktstandaards (proven technology). 2. De reeds gemaakte keuzes in Binnenmaas en Oud-Beijerland om hergebruik van hardware, software én kennis optimaal mogelijk te maken. De ICT-infrastructuur is verdeeld in componenten en per component is gekeken naar de huidige invulling in Binnenmaas en Oud-Beijerland. Vervolgens hebben we per component een keuze gemaakt voor de toekomstige ICT-infrastructuur. Tezamen vormen deze componenten de geadviseerde infrastructuur voor ISHW voor de komende jaren:
Component
Keuze
Toelichting
SAN
HP Lefthand
Is een grote partij met goede naam. Zowel 1 Binnenmaas als Oud-Beijerland werken hier al mee.
Serverhardware: merk
Bij uitbreiding serverpark: HP
Servers en SAN’s hebben een intensieve relatie. Aangezien de SAN’s van HP zijn, is het advies om voor de servers ook te kiezen voor HP.
Serverhardware: blades of “pizzadozen”
Bladeservers
Eenvoudige uitbreiding van servers (tot chassis vol zit). Energiezuinig.
Servervirtualisatie
VMWare
Zie toelichting onder tabel.
Mail
Outlook/Exchange 2010
Algemene standaard in de markt. Wordt nu al gebruikt door de meeste gemeenten. Voor mailarchief later een keuze maken.
Backup en recovery
Commvault
Ruime functionaliteit. Biedt goede basis voor
Infrastructuur
1
Waar in de tabel Binnenmaas genoemd wordt, moet gelezen worden de huidige situatie in Binnenmaas voor Binnenmaas én Cromstrijen (en per half juli 2013 RSDHW).
8 / 30
Component
Keuze
Toelichting ISHW.
Besturingssystemen Servers
Windows 2008 R2
Het is nog te vroeg om een nieuwere versie te implementeren omdat niet alle softwareleveranciers dit ondersteunen. De AS/400-applicaties draaien tegenwoordig “buiten de deur”. Er zijn UNIX-servers in gebruik. Deze zullen gemigreerd worden naar Windows op het moment dat de gemeente aansluit bij de ISHW. Zie toelichting onder tabel. Voor enkele minder bedrijfskritische applicaties kan Linux ingezet worden als er geen even goede varianten onder Windows zijn.
Databases
Oracle (versie 11) en MS SQL
Is een eis voor de meeste gebruikerssoftware
Applicatie ondersteuning Desktop presentatie (SBC)
Citrix XenApp 6.5
Is marktleider. Wordt nu al gebruikt door Binnenmaas en Oud-Beijerland.
Applicatie virtualisatie
MS App-V
Bewezen technologie. Wordt nu al gebruikt door Oud-Beijerland, Binnenmaas heeft hier recent ook voor gekozen maar nog niet ingevoerd.
Thin of fat clients
Thin clients tenzij…
Bewezen technologie. Wordt nu al gebruikt door Binnenmaas. Oud-Beijerland gebruikt PC’s als thin client. Het “tenzij” heeft betrekking op zware applicaties, zoals CADsoftware.
Werkplekbeheer
RES Workspace Manager
Bewezen technologie (voorheen RES Powerfuse). Wordt nu al gebruikt door Binnenmaas en Oud-Beijerland.
Cisco
Is een grote partij met goede oplossingen. Wordt al veel gebruikt in de Hoeksche Waard. De inrichting is al helemaal voorbereid op de komst van de ISHW.
Werkplekken
Netwerk Routers en switches
9 / 30
Component
Keuze
Toelichting
Firewall
Sophos UTM (Astaro)
Wordt veel toegepast. De stuurgroep heeft akkoord gegeven voor het voorstel om dit in te zetten voor de ISHW.
Antivirus
TrendMicro
Wordt veel toegepast. Binnenmaas gebruikt dit al, bevalt goed.
Monitoring
Nagios
Wordt veel toegepast. Binnenmaas gebruikt dit al, bevalt goed.
Uitrol werkplekken en Citrix servers
RES Automation Manager
Microsoft Deployment Tools (MDT) is weliswaar gratis maar RES Automation Manager (het oude Wisdom) biedt veel meer mogelijkheden.
Beheer mobiele devices
Matrix 42
Heeft Binnenmaas recent voor gekozen. Biedt uitgebreide mogelijkheden voor veilige inzet BYOD.
Mobiel werken
Citrix NetScaler Access Gateway
Bewezen technologie. Wordt nu al gebruikt door Binnenmaas en Oud-Beijerland.
Tokens
Vasco
Bewezen technologie. Wordt nu al gebruikt door Binnenmaas. In toekomst kijken naar gebruik voor toegangcontroles op allerlei apparaten.
Update services
Microsoft WSUS
Bewezen technologie. Wordt nu al gebruikt door Binnenmaas en Oud-Beijerland. Nadeel is dat het alleen MS-software ondersteunt.
Managementtools
Deze keuzes geven de hoofdlijnen aan, die zo nodig verder uitgewerkt moeten worden in detailontwerpen. Enkele keuzes verdienen een nadere toelichting. Servervirtualisatie Voor servervirtualisatie zijn momenteel de drie meest gebruikte tools: VMWare, Hyper V en XenServer. De nieuwe versie van Hyper V (2012) van Microsoft is veelbelovend, maar omdat het uitgangspunt is dat gekozen moet worden voor proven technology, is dit nu geen optie. Bovendien heeft geen van de gemeenten hier tot nu toe voor gekozen. Blijft over een keuze tussen VMWare en XenServer. De keuze voor XenServer heeft Binnenmaas in 2009 gemaakt samen met hun toenmalige ICT partner en architect van de huidige ICT infrastructuur. Wij zijn niet op de hoogte van de argumenten om destijds voor XenServer te kiezen in plaats van andere gangbare producten, maar er waren ongetwijfeld steekhoudende argumenten. Een goede keuze, ook gezien het feit dat XenServer in Binnenmaas inmiddels de basis is van een goed functionerende serverinfrastructuur. Echter, we zijn inmiddels ruim vier jaar verder en Binnenmaas staat voor de keuze om XenServer te handhaven of over te stappen op een (op dit moment) meer geschikt product.
10 / 30
Immers, vanwege de schaalvergroting die ISHW met zich meebrengt, wordt een efficiënt en effectief te beheren virtuele infrastructuur nog belangrijker. Voor de toekomst heeft het handhaven van XenServer een aantal belangrijke nadelen: x
x
x
x
x
x
x
XenServer wordt wereldwijd gebruikt, maar zeer weinig door Nederlandse gemeenten. Een onlangs gehouden openbare Europese aanbesteding in de gemeente Wassenaar voor een vergelijkbare infrastructuur leverde 6 inschrijvingen op, die allen gebaseerd waren op VMWare. Telengy kent geen gemeenten die gebruik maken van XenServer. Handhaven van XenServer houdt het risico in dat – bij mogelijke toekomstige problemen of functionaliteituitbreiding – de ondersteuning door softwareleveranciers minder is. Diepgaande kennis van XenServer is in Nederland minder beschikbaar dan voor VMWare en met name in gemeentelijke infrastructuren. Toonaangevende ICT-dienstverleners voor gemeenten (Ictivity, PQR, OGD, Aces, Cliënt, Plusine, e.d.) hebben vanwege het marktaandeel gekozen meer te investeren in kennisopbouw van VMWare dan in XenServer. Daardoor is de kennis lastiger te krijgen dan voor VMWare. Dit geldt zowel voor tijdelijke inhuur als voor aanname van eigen medewerkers. Voor eigen medewerkers die niet over kennis van XenServer beschikken moet rekening gehouden worden met bovenmatige opleidingskosten. XenServer is een product dat ingewikkelder in de bediening is. Er is meer kennis nodig om het product juist toe te passen en daarmee goed beheer uit te voeren. Ook is meer tijd nodig voor het uitvoeren van dezelfde handelingen. VMWare is eenvoudiger in het gebruik en eenzelfde handeling is sneller uit te voeren. Er zijn minder softwarefabrikanten die integreren met de management interface van XenServer dan met de management interface van VMware. Door de integratie die VMware biedt, bijvoorbeeld van Cisco en CommVault, is meer beheer mogelijk vanuit één beheerinterface. Een ander proces dat mogelijk wordt is “automation” (het automatiseren van IT processen). Hardware fabrikanten zijn minder snel met het certificeren van hun hardware op XenServer dan op VMware. Zo is de centrale opslag die Binnenmaas gebruikt, HP Lefthand P4500 (SAN), nog niet officieel ondersteund voor de nieuwste versie van XenServer 6.1 (bron: Citrix Hardware Compatibility List). Vandaar dat Binnenmaas noodgedwongen gebruik maakt van een oudere versie van XenServer (nu 5.6, binnenkort 6.0.2). Dit kan leiden tot continuïteitsproblemen omdat het risico is dat bij storingen minder snel of geen ondersteuning verkregen wordt. Wij hebben de ervaring dat XenServer minder efficiënt omgaat met hardwareresources (CPU, geheugen en netwerk) dan VMware. Hierdoor zijn er t.o.v. VMware minder virtuele servers mogelijk per fysieke server en is er dus sprake van een lagere consolidatieratio. Dit leidt uiteindelijk tot meer kosten. Citrix heeft de engine “terug gegeven” aan de open source community voor verdere ontwikkeling. Meestal is dit een teken dat er minder geïnvesteerd wordt door het bedrijf en het is te verwachten dat Citrix haar kernproducten meer zal ontwikkelen op VMware en in mindere mate op XenServer.
Op basis van deze nadelen is het advies om niet langer door te gaan met XenServer en zo snel mogelijk de migratie naar VMWare uit te voeren. Unix
11 / 30
Enkele gemeenten werken met UNIX-servers naast de Windows/Intel-servers. Feitelijk worden deze servers uitsluitend gebruikt als Oracle-databaseserver voor de Centric-applicaties. Centric ondersteunt echter ook het Windows-platform voor deze functie, die in onze praktijkervaring prima blijken te functioneren met een even grote mate van bedrijfszekerheid en tegen fors lagere kosten. Samengevat de voordelen: x
x x x
Er is geen (relatief dure) specifieke hardware meer nodig om UNIX op te draaien en daarmee behoren dure uitbreidingen van schijven of intern geheugen tot het verleden. Ook het dure onderhoudscontract op de hardware is niet meer nodig. Er is geen duur onderhouds- en servicecontract voor UNIX meer nodig. Er is geen specifiek uitwijkcontract voor dit platform nodig. Er is geen specifieke kennis van UNIX en de onderliggende hardware meer nodig.
Gelet op deze voordelen adviseren wij om in de toekomst te migreren van UNIX naar Windows. Een goed moment is de aansluiting op de ISHW-infrastructuur om zo de voordelen snel te behalen.
3.2
Verschillen met de huidige situatie
De volgende twee onderzoeksvragen luidden: x x
Hoe zien de technische infrastructuren van de aan ISHW deelnemende gemeenten er op dit moment uit (foto bestaande situatie)? Welke verschillen komen, als je de uitkomsten vergelijkt, naar voren ?
In de tabel op de volgende bladzijde zijn de keuzes uit te vorige paragraaf herhaald. Tevens zijn de keuzes die Binnenmaas en Oud-Beijerland in het verleden gemaakt hebben er naast geplaatst. De overige gemeenten zijn niet onderzocht vanwege hun geringere omvang en omdat aansluiting op de omgeving van de ISHW in Binnenmaas al voorzien was. De overeenkomsten zijn groen gekleurd terwijl de verschillen rood gekleurd zijn. Voor applicatievirtualisatie heeft Binnenmaas recent al gekozen voor MS App-V maar deze overstap moet nog gerealiseerd worden. De huidige infrastructuur van Binnenmaas wijkt dus eigenlijk slechts op 2 onderdelen af van de geadviseerde infrastructuur voor ISHW, te weten serverhardware en servervirtualisatie. Oud-Beijerland wijkt op meer onderdelen af van de aanbevolen ISHW-infrastructuur.
12 / 30
Component Infrastructuur SAN Serverhardware Server virtualisatie Mail Backup Besturingssystemen Servers Databases Applicatie ondersteuning Desktop presentatie (SBC) Applicatie virtualisatie Werkplekken Thin of fat clients
Werkplekbeheer
Toekomst ISHW
Binnenmaas
Oud-Beijerland
HP Lefthand P4500 HP Blades VMWare Exchange CommVault
HP Lefthand P4500 IBM conventioneel Citrix XenServer Exchange CommVault
HP Lefthand P4500 HP Blades VMWare Exchange HP Data Protector
Microsoft server 2008 R2 Oracle en MS SQL
Microsoft server 2008 R2 niet relevant
Microsoft server 2008 R2 niet relevant
Citrix XenApp 6.5 MS App-V
Citrix XenApp 6.5 Citrix appl. Virtualisatie
Citrix XenApp 6.5 MS App-V
Thin clients tenzij… RES Workstation Manager
Thin clients tenzij… RES Workstation Manager
Thin clients tenzij… RES Workstation Manager
Cisco Sophos UTM (Astaro) TrendMicro
Cisco Sophos UTM (Astaro) TrendMicro
HP / Cisco firewall/MPLS McAfee
Nagios RES Automation Manager Matrix42 Citrix Netscaler Access Gateway Vasco Microsoft WSUS
Nagios -Matrix42 Citrix Netscaler Access Gateway Vasco Microsoft WSUS
-Microsoft Deployment Tools -Citrix Netscaler Access Gateway RSA Microsoft WSUS
Netwerk
Routers en switches FireWall Anti-virus Managementtools
Monitoring / beheer Uitrol werkplekken en Citrix servers Mobile Device Management Plaatsonafhankelijk werken Tokens voor p.o.w. Update services
3.3
Datacommunicatie en uitwijk
In de opdracht is tevens gevraagd om uitspraken te doen over datacommunicatie en uitwijk. 3.3.1
Datacommunicatie
In het Businessplan staat de volgende eisen die hier betrekking op hebben: x
Optimale beschikbaarheid. Voor bedrijfsvoering en moderne dienstverlening moet de ICTinfrastructuur 24 uur per dag en 7 dagen per week beschikbaar zijn.
x
De snelheid van werken op de locaties in de deelnemende gemeenten mag niet minder zijn dan in de huidige situatie, waarin centrale computerapparatuur in de eigen gemeentehuizen is geplaatst. Om hiervoor te zorgen, moeten breedbandige verbindingen tussen de gemeentehuizen beschikbaar komen.
Huidige status en plannen Vanuit Binnenmaas wordt al langer gewerkt aan een netwerk tussen een aantal locaties. Dit in verband met de ondersteuning aan Cromstrijen en de voorgenomen ondersteuning van de RSDHW en Korendijk. Op dit moment zijn er verbindingen van 1 Gb/s van Binnenmaas, Cromstrijen en Korendijk naar Gemnet (KPN). Het gaat om een VPN-netwerk dat gemanaged wordt door Gemnet. Tussen Binnenmaas en Cromstrijen is daarnaast een 10Gb/s-lijn beschikbaar die speciaal is e aangeschaft voor replicatie van het SAN. In Cromstrijen staat nu namelijk een 2 SAN dat een 13 / 30
kopie bevat van het SAN in Binnenmaas. De verhuizing van de 10Gb-lijn naar een andere (uitwijk)locatie (Oud-Beijerland) is al voorzien. Verder liggen er offertes voor uitbreiding met extra verbindingen van Oud-Beijerland en Strijen naar Gemnet (eveneens 1 Gb/s). De opzet is uiteindelijk te komen tot een netwerk met verbindingen van 1 Gb/s tussen alle locaties en een verbinding van 10Gb/s tussen de hoofdlocatie Binnenmaas en de uitwijklocatie Oud-Beijerland. Internet toegang is voorzien voor de volledige ISHW (30 MB up/down 1:1). Daarnaast is er ook een automatische, dynamische uitwijk bij uitval van de verbinding naar Gemnet. Alle gemeentehuizen hebben al glasvezel van KPN binnen liggen. In Oud-Beijerland moeten nog wel migratieactiviteiten in het interne netwerk uitgevoerd worden. Beantwoording van vragen In de opdracht zijn de onderstaande vragen opgenomen. Cursief zijn de antwoorden aangegeven. a. Welke groei in bandbreedte van datacommunicatieverbindingen is de komende jaren te verwachten? Antwoord: Te verwachten is dat er een flinke toename zal zijn van het dataverkeer. Redenen hiervoor zijn o.a. de verdergaande digitalisering van analoge documenten, de toename van de omvang van digitale documenten door de opname van grafisch materiaal, de toename van het gebruik van geografische gegevens,fotografisch materiaal (met steeds meer precisie) en video-opnamen. Een betrouwbare inschatting van deze toename en de invloed daarvan op de behoefte aan bandbreedte is niet te maken. De verwachting is dat de keuzes, die nu gemaakt zijn voorlopig (de komende 2-3 jaar) nog voldoende zullen zijn. Uitbreiding van de 1 Gb/s-lijnen naar 10 Gb/s is t.z.t. relatief eenvoudig en goedkoop te realiseren. b. Wat zijn de financiële consequenties als deze groei met aanpassing van de bestaande Gemnet-contracten moet worden gerealiseerd? Antwoord: Uitbreiding van de bestaande lijnen van 1 Gb/s naar 10 Gb/s kost € 200 per verbinding per maand. Op jaarbasis betekent dat een verhoging van ongeveer € 15.000 als alle verbindingen een upgrade moeten krijgen. Daarnaast zal de apparatuur waarschijnlijk aangepast moeten worden. Dat kost eenmalig naar schatting € 30.000. c. Zijn er alternatieve, betere en goedkopere mogelijkheden om de datacommunicatieverbindingen in ISHW in de toekomst in te vullen? Zo ja, welke en waarom? Antwoord: Er zijn alternatieve manieren om dataverbindingen te leggen zoals het aanleggen van eigen glasvezelverbindingen en/of eigen straalverbindingen of het huren van capaciteit bij een provider (“dark fiber”).Op dit moment kunnen die niet als “beter” gekwalificeerd worden hoewel ze op bepaalde deelaspecten wel hoger zullen scoren. Over een groot aantal jaren gerekend zullen deze alternatieven waarschijnlijk wel goedkoper uitvallen, zeker als deze verbindingen gedeeld kunnen worden met andere maatschappelijke partners. Hiervoor is echter aanvullend onderzoek nodig. Aangezien met Gemnet meerjarige contracten afgesloten zijn, is dit voor de korte termijn niet interessant om te onderzoeken. 3.3.2
Uitwijk
In het Businessplan staan de volgende eisen die hier betrekking op hebben: x
Optimale beschikbaarheid. Voor bedrijfsvoering en moderne dienstverlening moet de ICTinfrastructuur 24 uur per dag en 7 dagen per week beschikbaar zijn.
14 / 30
x
De beschikbaarheid van de ICT-voorzieningen door ISHW moet minimaal op hetzelfde niveau gegarandeerd worden als in de huidige situatie van de deelnemende gemeenten. Gezien de sterke afhankelijkheid voor het uitvoeren van de werkprocessen is het niet acceptabel dat voorzieningen als e-mail, internet en kantoorautomatisering langdurig (meer dan 1 uur) niet beschikbaar zijn.
In het Businessplan was al besloten om de uitwijk volledig in eigen beheer te gaan doen. Ook was al de keuze gemaakt voor Binnenmaas als hoofdlocatie. Huidige status en invulling e De serverruimte in Binnenmaas (op de 1 etage) is recent grondig aangepast en voldoet aan alle eisen. De eerste serverruimte is klaar, de tweede wordt 1 juni 2013 opgeleverd. Er ligt een offerte om de koeling redundant te maken en voor de aanleg van een blusgasinstallatie. Verder zal de ISHW hier gevestigd worden zodat voor fysieke handelingen aan de apparatuur geen reisafstanden nodig zijn. De uitwijklocatie was nog niet definitief bepaald. In eerste instantie was Cromstrijen in beeld. Daar staat nu een tweede SAN, er staan (nog) geen servers. Oud-Beijerland is echter meer geschikt als tweede (uitwijk)locatie vanwege de omvang van de serverruimte (eveneens op de e 1 etage) en de reeds getroffen voorzieningen. Als eigen uitwijkvoorziening adviseren wij een zogenaamde active-active situatie. Dat houdt in dat de actieve servers over twee locaties verdeeld worden. Er zijn dus geen “reserveservers” op een uitwijklocatie die pas (en uitsluitend) ingezet worden bij een noodsituatie (active-passive). De active-active oplossing geeft een zeer hoge beschikbaarheidgraad. Het betekent wel dat in het geval van een calamiteit op de ene locatie de performance lager kan worden omdat de servers op de andere locatie meer werk te verzetten krijgen. Maar de werkzaamheden kunnen wel altijd door gaan. 2
Bij een calamiteit op locatie Binnenmaas neemt de apparatuur op locatie Oud-Beijerland de taken over en kunnen de andere gemeenten – eventueel na een korte onderbreking – verder draaien. Wat deze calamiteit dan voor Binnenmaas zelf betekent is afhankelijk van de aard van de storing: x x x
als het gehele gebouw getroffen wordt dan kan er sowieso niet meer gewerkt worden en kunnen tijdelijke werkplekken in de andere gemeentehuizen ingezet worden. treft de calamiteit alleen de serverruimte, dan kan Binnenmaas eveneens door werken met de apparatuur in Oud-Beijerland. als de netwerkcomponenten niet gebruikt kunnen worden, dan geldt dezelfde situatie als wanneer het hele gebouw getroffen wordt.
Bij een calamiteit in de serverruimte in Oud-Beijerland kan iedereen blijven werken met de apparatuur in Binnenmaas. Beantwoording van vragen In de opdracht zijn de onderstaande vragen opgenomen. Cursief zijn de antwoorden aangegeven.
2
Datzelfde geldt wanneer zich een ernstige storing in de datacommunicatie tussen Binnenmaas en de overige gemeenten voor zou doen.
15 / 30
a. Hoe is een eigen uitwijkvoorziening in de ISHW-infrastructuur voorzien en wanneer is deze uitwijkvoorziening beschikbaar? Antwoord: Hierboven is uiteengezet hoe de uitwijk in eigen beheer gerealiseerd kan worden. Belangrijk is dat deze zo snel mogelijk beschikbaar komt zodat de uitwijkcontracten opgezegd kunnen worden. De gestelde eisen moeten nog verder uitgewerkt worden in detailontwerpen. Daarbij wordt uitgegaan van een lagere performance (50%) in het geval dat er uitgeweken moet worden. De processen voor het jaarlijks testen van de uitwijk moeten ook opgezet worden, zodat in geval van een calamiteit volgens een beproefd draaiboek de continuïteit verzekerd kan worden. b. Op welk moment kunnen gemeenten de lopende uitwijkcontracten opzeggen en welke besparingen levert dat dan op? Antwoord: Dit is afhankelijk van de planning (zie hoofdstuk 5). 3.3.3
Voldoen aan eisen
Concluderend kan het volgende gezegd worden over het voldoen aan de gecombineerde eisen: x
Optimale beschikbaarheid. Voor bedrijfsvoering en moderne dienstverlening moet de ICTinfrastructuur 24 uur per dag en 7 dagen per week beschikbaar zijn. Technisch gezien kan hier aan voldaan worden, behoudens geplande onderhoudswindows en garanties die de leveranciers bieden. Externe factoren kunnen echter niet helemaal ondervangen worden. Ondersteuning door ISHW moet in een SLA geregeld worden.
x
De beschikbaarheid van de ICT-voorzieningen door ISHW moet minimaal op hetzelfde niveau gegarandeerd worden als in de huidige situatie van de deelnemende gemeenten. Gezien de sterke afhankelijkheid voor het uitvoeren van de werkprocessen is het niet acceptabel dat voorzieningen als e-mail, internet en kantoorautomatisering langdurig (meer dan 1 uur) niet beschikbaar zijn. Voor de meeste storingen geldt dat aan deze eis voldaan kan worden. Echter, volledige indekking tegen storingen van diverse aard kan nooit geboden worden. Denk aan een softwarestoring in de mailserver. Het is wel goed te realiseren dat de individuele gemeenten in de huidige situatie ook niet alle mogelijke storingen in een uitwijkcontract hebben geregeld.
x
De snelheid van werken op de locaties in de deelnemende gemeenten mag niet minder zijn dan in de huidige situatie, waarin centrale computerapparatuur in de eigen gemeentehuizen is geplaatst. Om hiervoor te zorgen, moeten breedbandige verbindingen tussen de gemeentehuizen beschikbaar komen. Hierin is in voldoende mate voorzien.
16 / 30
4 Migratieaanpak
Nu we weten hoe het eindplaatje er in grote lijnen uit komt te zien, is de vierde onderzoeksvraag aan de orde: •
Welke ontwikkeling streven we na, hoe komen we daar en hoe gaan we daarbij om met de geconstateerde verschillen, zowel qua techniek als qua scholing en ontwikkeling van medewerkers.
En vervolgens de vraag •
Wat is de beste migratieaanpak om de komende jaren het koersdoel te bereiken? (fasering, volgorde van aansluiting, planning)
Daar gaat dit hoofdstuk op in.
4.1
Ontwikkeling
We hebben nu de ISHW-infrastructuur in beeld en de verschillen met de huidige omgevingen in Binnenmaas en Oud-Beijerland. Wij adviseren om zo snel mogelijk vanuit de huidige situatie het ideaalbeeld in te vullen om daarmee te kunnen profiteren van de voordelen die dat met zich meebrengt en de nadelen van dubbel onderhoud en beheer te voorkomen. De verschillen dienen daarom zo snel mogelijk weggewerkt te worden.
4.2
Migratiescenario
Er zijn 3 migratiescenario’s denkbaar bij migratie vanuit de huidige situatie met meerdere gemeentelijke ICT-omgevingen naar één toekomstige gewenste gezamenlijke ICT-omgeving: A. De huidige basis in Binnenmaas, die al voorbereid is op de ISHW, aanpassen en uitbouwen. Keuzes die al gemaakt en geïmplementeerd zijn, kunnen overeind blijven. Denk bijvoorbeeld aan Nagios, Trend Micro, Commvault en Matrix42. Ten opzichte van de gemaakte keuzes voor de ISHW-infrastructuur zijn er drie verschillen die overbrugd moeten worden, te weten de overgang van XenServer naar VMWare, de inzet van HP serverhardware en de overgang van applicatievirtualisatie met Citrix Streaming naar MS App-V. Een belangrijk gegeven is dat in Binnenmaas reeds een omgeving is opgebouwd die voorziet in het onderbrengen van meerdere organisaties. Er is een Active Directorystructuur en een Exchange omgeving opgezet voor ISHW waarbinnen nu al Binnenmaas en Cromstrijen voorkomen. De RSD zal binnenkort daaraan toegevoegd worden (planning: operationeel per half juli). De overige gemeenten kunnen daarin ingepast worden. Dat betekent ook dat de bestaande policies in stand kunnen blijven.
17 / 30
B. De huidige basis Oud-Beijerland aanpassen en uitbouwen. Aangezien in Oud-Beijerland geen structuur voor de ISHW is opgebouwd, zou deze eerst ontworpen en opgebouwd moeten worden. De Active Directory en de Exchange omgeving moeten opnieuw opgezet worden. Verder moeten de keuzes die afwijken van de basis van Oud-Beijerland geïmplementeerd worden (Nagios, Trend Micro, etc.). De servers moeten fysiek verplaatst worden naar Binnenmaas. C. Met een schone lei beginnen (greenfield approach). Aangezien er al een ontwerp voor de ISHW is bedacht, heeft dit scenario geen toegevoegde waarde. Je zou dan het ontwerp eerst tegen het licht moeten houden en eventueel kleine aanpassingen doen en vervolgens een nieuwe infrastructuur opbouwen naast de reeds bestaande. Dit is altijd duurder dan scenario A en kost meer tijd. Voordelen t.o.v. scenario A zijn dat kleine ontwerpfoutjes nu gecorrigeerd kunnen worden en dat de nieuwe serverhardware direct gesized kan worden op de toekomst. Elk scenario heeft voor- en nadelen ten opzichte van de andere scenario’s. Aan de hand van een rapportcijfer (0 tot 10) zijn de voor- en nadelen in onderstaande tabel zichtbaar gemaakt. Bij elk criterium is een gewicht aangegeven om zo een gewogen totaalcijfer te krijgen.
Criterium
Gew.
A
B
C
Toelichting
Kosten (aanschaf hardware 3 / software) Kosten (dienstverlening leveranciers)
3
7
6
4
3
6
7
5
Hergebruik investeringen
2
10
10
4
Hergebruik inrichting en configuraties
2
8
6
4
Doorlooptijd
3
8
7
5
Flexibiliteit
2
7
6
10
A: Zeer recent aangeschaft in het licht van de ISHW B: Configuratie HP, VMWare en App-V al uitgevoerd C: Geen gebruik van de reeds uitgevoerde werkzaamheden Bij A en B wordt volledig rekening gehouden met investeringen uit het verleden A: Er is al veel uitgevoerd voor ISHW B: Hergebruik mogelijk maar is nu gericht op Oud-Beijerland C: Alles opnieuw inrichten A: Delen zijn reeds af B: Gemeente specifieke inrichting C: Alles opnieuw inrichten A: Hoge capaciteit reeds aanwezig C: Schone lei
113
104
78
Totaal gewogen
Het advies is om de bestaande infrastructuur van Binnenmaas de basis te laten zijn voor de migratie om te komen tot de gewenste ISHW-infrastructuur (scenario A). Belangrijk is om de consequenties op componentniveau goed te beoordelen om te zien of het scenario in de praktijk uitvoerbaar is. Daarvoor zijn de verschillende componenten van de ICT-omgeving nagelopen en de details daarvan zijn opgenomen in bijlage 2. Conclusie is dat het scenario uitvoerbaar is.
3
In alle drie de scenario’s zal het noodzakelijk zijn om extra hardware aan te schaffen. Voor het migreren naar de nieuwe situatie is namelijk capaciteit (zowel in processorkracht, servers als opslag) benodigd.
18 / 30
5 Planning
5.1
Volgorde
Om het gekozen migratiescenario geheel te implementeren zal/zullen: x
De bestaande infrastructuur van Binnenmaas (waarop Binnenmaas, Cromstrijen en RSDHW operationeel zijn/worden) op enig moment gemigreerd moeten worden naar de geadviseerde ISHW-infrastructuur,
x
De uitwijkomgeving operationeel gemaakt moeten worden,
x
De gemeenten Korendijk, Strijen en Oud-Beijerland vanuit hun huidige omgeving gemigreerd moeten worden naar de ISHW.
Voor de volgorde waarin dit kan gebeuren zijn veel varianten denkbaar. Essentieel is de vraag of eerst alle gemeenten worden aangesloten op de huidige infrastructuur van Binnenmaas of dat deze infrastructuur eerst gemigreerd wordt naar de geadviseerde infrastructuur. De volgorde waarin de nieuwe gemeenten aangesloten worden, staat al vast, namelijk Korendijk, Strijen en dan Oud-Beijerland. Dit heeft te maken met de afspraken die al eerder gemaakt zijn over Korendijk en Strijen. Dat Oud-Beijerland als laatste van deze 3 aansluit heeft te maken met de omvang. Omdat Oud-Beijerland na Binnenmaas de meeste werkplekken en applicaties heeft, is het raadzaam om die als laatste te migreren. Bovendien heeft OudBeijerland veel hardware geleased en het contract loopt nog 2 jaar. Als we deze volgorde aanhouden, dan resteert de vraag wanneer de bestaande infrastructuur (Binnenmaas, Cromstrijen, RSDHW) gemigreerd zal worden naar de nieuwe omgeving. Er is een sterke voorkeur om eerst te migreren naar de nieuwe omgeving voordat de resterende gemeenten worden aangesloten. Hét argument hiervoor is dat daarna de XenServer omgeving niet meer onderhouden hoeft te worden. Bij alle andere varianten moet dit nog wel gedaan worden en dat kost extra veel beheerinspanning. Bovendien komt er ook al snel hardware vrij door de migratie van XenServer naar VMWare. Het migreren van applicaties van Citrix Streaming naar App-V kost erg veel tijd, maar dit hoeft niet direct gedaan te worden. Beter is het om eerst de applicaties van de andere gemeenten onder App-V te brengen (gebruik makend van de packages waarover Oud-Beijerland reeds beschikt) en daarna de overblijvende packages te migreren. Migratie voor individuele applicaties kan ook gebeuren wanneer er een nieuwe versie/release van een applicatie uitgebracht wordt. Met deze aanpak wordt vertraging in doorlooptijd voorkomen.
19 / 30
5.2
Tijdplanning
De volgende planning is opgesteld. Daarbij is uitgegaan van een start van het maken van het detailontwerp op 1 juni 2013. Dit is zeer goed haalbaar. Een belangrijke voorwaarde is dat medewerkers van meerdere gemeenten direct betrokken worden bij de werkzaamheden, zodat zij kennis van en ervaring met de ISHW-infrastructuur opbouwen..
Europese aanbesteding Gezien de hoogte van de investeringen in hardware, software en dienstverlening (zie volgende hoofdstuk) en gezien de wettelijke regels op dit punt achten wij een Europese aanbesteding noodzakelijk. Daarom is deze aan het begin van fase 2 opgenomen. In de planning is rekening gehouden met een extra doorlooptijd vanwege wettelijke termijnen hiervoor van 6 maanden. Niet uitvoeren van een Europese aanbesteding, brengt risico’s met zich mee: x x
De accountant kan hier aanleiding in zien om de jaarrekening niet goed te keuren. Een leverancier van hardware, software of diensten die niet is geselecteerd kan een rechtszaak hierover starten. In het verleden is dit al enkele keren gebeurd in vergelijkbare situaties.
Opzegging uitwijkcontracten Uitgaande van deze planning kunnen de uitwijkcontracten van de individuele gemeenten opgezegd worden volgens het onderstaande schema: x x x x
Binnenmaas, Cromstrijen en RSDHW: per 1-10-2014 Korendijk: per 1-1-2015 Strijen: per 1-4-2015 Oud-Beijerland: per 1-7-2015
20 / 30
6 Financiële consequenties
6.1
Uitwerking migratiescenario
De kosten voor de uitvoering van het migratiescenario zijn zo goed mogelijk geschat. Het spreadsheet met deze kosten is als bijlage 3 opgenomen. De volgende tabel toont de totalen: Kostensoort
2014
2015
2016
Hardware investering
129.000
Hardware onderhoud
20.000
20.000
20.000
Softwarelicenties per jaar
246.600
269.800
269.800
Dienstverlening
135.000
83.000
20.000
Totaal
530.600
372.800
309.800
Toelichting: x Doordat een Europese aanbesteding gevolgd wordt voor de verwerving van aanvullende hard- en software, zullen – naar verwachting – in 2013 geen investeringen gedaan worden. x Voor de kosten van software is uitgegaan van de structurele kosten in de eindsituatie. In werkelijkheid kunnen/zullen de kosten per jaar lager uitvallen: o Als aanschaf van bepaalde licenties in de planning later nodig blijken te zijn. o Doordat bepaalde licenties al door Binnenmaas (of Oud-Beijerland) zijn 4 aangeschaft en deze door ISHW overgenomen kunnen worden. x Hergebruik van bestaande servers is nog niet volledig ingecalculeerd. Dit kan dus nog leiden tot lagere kosten. x Bestaande Microsoft licenties kunnen hergebruikt worden. Overleg met Microsoft moet uitwijzen hoe dit (financieel) uitpakt. Wij zijn uitgegaan van de maximale kosten. x Dienstverlening: dit betreft de inhuur van externe deskundigen voor de begeleiding en uitvoering van de inrichting en migraties. Uitgangspunt is een goede mix van eigen medewerkers en inhuur. Uitvoering door uitsluitend inhuur zou te hoge kosten met zich meebrengen en is ongewenst omdat de eigen medewerkers dan te weinig betrokken zijn. Uitvoering door uitsluitend eigen medewerkers zorgt voor een te lange doorlooptijd en daarvoor is mogelijk ook te weinig kennis en ervaring aan boord. x Oracle: op dit moment hebben alle gemeenten Oracle licenties. Er is overleg met Oracle geweest en de licenties van de gemeenten kunnen overgedragen worden naar ISHW.
4
Microsoft heeft toegezegd een complete inventarisatie te willen doen van alle licenties die de deelnemende
gemeenten en RSDHW al aangeschaft hebben en een integraal voorstel te willen doen voor inruil van die licenties. Wij verwachten dat daardoor de werkelijke kosten voor software lager uit zullen vallen.
21 / 30
x
x
x
x
De kosten voor het ontwerpen en creëren van de eigen uitwijk zijn meegenomen in de opzet. De jaarlijkse kosten voor het uitvoeren van een uitwijktest nog niet. Deze bedragen € 5.000. Voor de werkplekhardware zijn geen kosten opgenomen in dit rapport. Elke gemeente kan bij aansluiting de bestaande werkplekken gebruiken en na afschrijving volgt vervanging. Deze vervangingskosten moeten gemeenten of RSDHW begroten. Uitgegaan kan dan worden van een investering van € 550 per werkplek voor een thin cliënt en van € 2.600 voor een CAD-werkplek. De kosten van werkplekken voor de beheerders ramen we op € 700. Voor laptops moet gerekend worden op € 750. Bij aansluiting van Korendijk, Strijen en Oud-Beijerland is het technisch gezien niet per se noodzakelijk om de bestaande netwerkcomponenten te vervangen. Vanuit beheeroogpunt heeft dit echter wel voordelen. Daarom is het advies om bij aansluiting de switches en routers te vervangen. De kosten hiervoor komen voor rekening van de aansluitende organisatie en zijn daarom niet meegenomen in de ISHW-kostenraming. De kosten voor de uitwerking van het migratiescenario hebben maar voor een klein deel betrekking op het feit dat er niet 100% uitgegaan is van de keuzes die Binnenmaas in het verleden gemaakt heeft. Ook wanneer daarvoor gekozen was zouden de meeste kosten nodig geweest zijn voor de aansluiting van de overige gemeenten.
6.2
Kosten voor opleidingen
Er is specifiek gevraagd naar de kosten voor opleidingen. Dit kan echter pas bepaald worden wanneer de plaatsingsprocedures afgerond is. Eerder is niet bekend welke personen welke kennis tekort komen en dus extra opleiding nodig hebben. Duidelijk is dat met de gemaakte keuzes betekenen dat er her en der extra opleidingen nodig zijn. Ter indicatie: Binnenmaas heeft in 2011 jaar voor € 32.000 aan opleidingen laten verzorgen (in-huis) voor verschillende van de gekozen technieken.
22 / 30
7 Opmerkingen klankbordgroep
Tijdens de bijeenkomst met de klankbordgroep op 22 april 2013 zijn de onderstaande opmerkingen geplaatst. Tevens is aangegeven wat daarmee gedaan is. 1. Wat vooraf is gegaan aan de opdrachtverstrekking is niet behandeld in dit rapport. Het gaat met name over het feit dat in het businessplan is aangegeven dat de omgeving in Binnenmaas als uitgangspunt zou dienen. Daar is later van afgeweken. De opdrachtnemers vinden dat dit buiten de scope van hun opdracht valt en dat het daarom niet opgenomen hoeft te worden in dit rapport. 2. In het verleden is afgesproken dat Binnenmaas en Oud-Beijerland dezelfde keuzes zouden maken t.a.v. de ICT-infrastructuur. Leden van de klankbordgroep verbazen zich er in hoge mate over dat nu blijkt dat er toch flinke verschillen zijn ontstaan. De opdrachtnemers vinden dat dit buiten de scope van hun opdracht valt en dat er daarom niet op ingegaan hoeft te worden in dit rapport. 3. In paragraaf 3.1 is maar summier aangegeven waarom de omgeving in Binnenmaas op dit moment niet geschikt is. Dit behoeft een duidelijke toelichting. De gevraagde toelichting is uitgebreider opgenomen in paragraaf 3.1. 4. Waarom is de cloud niet onderzocht als alternatief? In het businessplan is al de keuze gemaakt om de basis van Binnenmaas verder te ontwikkelen. Het zat daarom niet in de verstrekte opdracht. Een keuze voor de cloud zou nu overigens in ieder geval een flinke desinvestering met zich meebrengen en lijkt ons daarom nu ook ongewenst. 5. De tabel in paragraaf 3.2 is sterk gericht op de keuzes die al gemaakt zijn in Binnenmaas en Oud-Beijerland. Waarom zijn andere oplossingen niet onderzocht? Bijvoorbeeld Hyper V. Omdat andere oplossingen extra investeringen vragen in aanschaf en kennisopbouw. Daardoor zou het eindplaatje duurder worden. De keuzes die nu gemaakt zijn gelden als marktstandaards. Dit onderzoek zou extra tijd gevraagd hebben terwijl de toegevoegde waarde niet groot geacht is. Zie ook de toelichting in paragraaf 3.1. 6. Er wordt getwijfeld over het advies om af te stappen van UNIX. Dit is niet nodig. Er zijn tal van voorbeelden van gemeenten die zijn overgestapt naar Windows zonder dat zij daar problemen mee ondervonden hebben. Wel is duidelijk dat de kostenbesparing groot is. 7. Van wie is het advies? Van de gehele werkgroep, van Telengy of van Telengy+Ictivity? Het rapport is opgesteld op basis van discussies in verschillende bijeenkomsten van de werkgroep. Begrijpelijk is dat de deelnemers van Binnenmaas en Oud-Beijerland vanuit hun rol niet (mede) verantwoordelijk kunnen zijn voor het uitgebrachte advies. Zij zijn wel
23 / 30
5
intensief betrokken in de overwegingen en uiteindelijk neemt Telengy dus de verantwoordelijkheid van het advies. De adviseurs van Ictivity waren eveneens onderdeel van de werkgroep en staan achter de geadviseerde keuzes. 8. De onderbouwing van de keuze voor scenario A is gebaseerd op inschattingen door Telengy en Ictivity en niet door gedetailleerde onderzoeken. Daar is wel degelijk behoefte aan. De tabel suggereert inderdaad een “wetenschappelijke” aanpak en daar is geen sprake van. Wij hebben er voor gekozen de tabel toe te voegen om de keuze enigszins objectief inzichtelijk te maken. De gewichten en scores per criterium zijn ingeschat op basis van kennis en ervaring van Telengy en Ictivity. Een gedetailleerd onderzoek kost heel veel extra tijd en zal naar onze mening niet leiden tot een andere keuze. 9. Is de mogelijke herinzet van de hardware van Strijen en Korendijk meegenomen in de opsomming van de hardware? Nee, dat is nog niet gebeurd. Het effect daarvan zal naar verwachting niet erg groot zijn. 10. Korendijk wil liever niet als pilot fungeren. In de voorgestelde planning is dat ook niet aan de orde, omdat eerst Binnenmaas, Cromstrijen en RSDHW gemigreerd worden naar de nieuwe omgeving.
5
Ictivity is onderdeel van de werkgroep en is in die zin als gelijkwaardig lid betrokken geweest bij het maken van de
productkeuzes.
24 / 30
Bijlage 1: Eisen uit het Businessplan
De infrastructuur moet optimaal toekomstvast zijn. In het businessplan ISHW (paragraaf 4.6.1.) is gedefinieerd wat daaronder wordt verstaan: •
Optimale beschikbaarheid. Voor bedrijfsvoering en moderne dienstverlening moet de ICT-infrastructuur 24 uur per dag en 7 dagen per week beschikbaar zijn.
•
Optimale beheersbaarheid. 75% van de kosten voor de technische infrastructuur zit in het beheer en 25% in de aanschaf (bron: www.gartner.com).
•
Optimale schaalbaarheid. Schaalbaarheid zegt iets over de groeimogelijkheden (uitbreidbaarheid) van de nieuwe technische infrastructuur: wat we nu aanschaffen moet over enkele jaren nog passen, zonder dat we alles ‘op de groei’ moeten kopen. We voorzien groei en hebben dus schaalbaarheid nodig.
•
Optimale flexibiliteit. Ook flexibiliteit gaat over groei en ontwikkeling. De nieuwe infrastructuur dient flexibel te worden ingericht. De omgeving dient zo opgebouwd te worden dat eventuele uitbreidingen veroorzaakt door bijvoorbeeld nieuwe wet- en regelgeving relatief eenvoudig ingepast kunnen worden.
Ook is in het businessplan vastgelegd welke eisen gesteld worden aan de invulling van de technische infrastructuur: 1.
Er komt een centraal datacenter waar alle centrale computerapparatuur geplaatst wordt in een geconditioneerde computerruimte. Deze apparatuur hoeft niet per se geplaatst te worden in het gemeentehuis waar de ISHW gehuisvest zal worden maar kan ook een ruimte van een (commerciële) exploitant zijn. In dit geval is het datacenter voorzien in de gemeente Binnenmaas.
2.
De snelheid van werken op de locaties in de deelnemende gemeenten mag niet minder zijn dan in de huidige situatie, waarin centrale computerapparatuur in de eigen gemeentehuizen is geplaatst. Om hiervoor te zorgen, moeten breedbandige verbindingen tussen de gemeentehuizen beschikbaar komen.
3.
Toegang tot het gemeentelijk netwerk van buitenaf moet mogelijk zijn (via Internet) voor thuiswerkers en voor werken op locaties, die niet met breedbandverbindingen bereikt zijn. Dit mag niet ten koste gaan van de veiligheid. Toegang voor onbevoegden moet onmogelijk gemaakt worden. Hiervoor wordt gebruik gemaakt van moderne technische toegangsbeveiliging.
4.
Bij de inrichting van centrale apparatuur en besturingssystemen wil ISHW geen pionier zijn, maar markttrends volgen en uitsluitend kiezen voor bewezen technologieën.
5.
De beschikbaarheid van de ICT-voorzieningen door ISHW moet minimaal op hetzelfde niveau gegarandeerd worden als in de huidige situatie van de deelnemende gemeenten. Gezien de sterke afhankelijkheid voor het uitvoeren van de werkprocessen
25 / 30
is het niet acceptabel dat voorzieningen als e-mail, internet en kantoorautomatisering langdurig (meer dan 1 uur) niet beschikbaar zijn. 6.
Binnen de technische standaardconfiguratie moet het mogelijk zijn om (tijdelijke) testomgevingen in te richten. Daarmee kan worden voorkomen dat installaties rechtstreeks in de productieomgeving plaats vinden met de kans op onnodige storingen.
7.
De door de gemeenten in het verleden aangeschafte apparatuur moet zo lang mogelijk benut kunnen blijven worden en maximaal ingepast kunnen worden in de technische standaardconfiguratie van ISHW. De technische standaardconfiguratie moet niet dwingen tot vervroegde afschrijvingen hetgeen niet weg neemt dat daarvoor in bepaalde situaties wel gekozen kan worden.
26 / 30
Bijlage 2: Uitwerking gekozen migratiescenario
Ontwerp Active Directory (AD) Er is in Binnenmaas reeds een AD-structuur opgezet voor ISHW die prima voldoet. Op dit moment is er weinig “vervuiling”. Misschien dat over enkele jaren (nadat alle klanten gemigreerd zijn) een onderhoudsslag nuttig is, zoals in een beheerfase gebruikelijk is. VMWare Voor gemeenten die nog aangesloten moeten worden, moeten nieuwe virtuele machines opgezet worden. De bestaande hardwareservers waarop XenServer draait zullen met hun virtuele machines één voor één overgezet moeten worden naar VMWare. Daarvoor is een conversietool beschikbaar. Exchange Exchange gaat ook onder VMWare draaien en daar worden de gemeenten aan toegevoegd (=mailboxen overzetten). De gebruikers merken daar niets van. Serverhardware Er is gekozen voor HP als toekomstige leverancier, terwijl de ISHW-omgeving in Binnenmaas nu met IBM werkt. De vraag is hoe daarmee omgegaan kan worden, want VMWare kan niet overweg met veel variaties in processoren. De kans bestaat dat dit een probleem wordt. De twee uiterste oplossingen hiervoor zijn: x
óf direct de nieuwe VMWare-omgeving helemaal baseren op HP (en de IBM’s dus versneld afschrijven)
x
óf de nieuwe omgeving toch op IBM baseren en later (wanneer alle servers afgeschreven zijn) ineens alles vervangen door HP.
In beide gevallen moet er extra serverhardware gekocht worden en dat werkt kostenverhogend. Daarom is een betere oplossing hiervoor om twee clusters op te bouwen, één met HP en één met IBM. Hierdoor wordt de bestaande hardware optimaal gebruikt. Beide clusters kunnen LUN’s aanspreken op hetzelfde SAN. In de toekomst zal dan de HP-cluster uitgebreid worden en de IBM-cluster afgebouwd, waarmee desinvesteringen voorkomen worden. SAN Een belangrijk gegeven is dat de bestaande SAN’s van zowel Binnenmaas als Oud-Beijerland gebruikt kunnen blijven worden. Ze kunnen door zowel de virtuele servers onder Citrix XenServer als die onder VMWare gebruikt worden (door aparte LUN’s aan te maken en te koppelen). De SAN capaciteit is voorlopig voldoende voor de hele ISHW (incl. RSDHW), zeker omdat de SAN’s van Oud-Beijerland hergebruikt kunnen worden. Oracle Een nieuwe Oracle-omgeving moet opgezet worden met een slim licentiemodel. Wat dit precies betekent voor hardware, licenties en uitwijkcontracten moet verder uitgezocht worden. Hierbij moet rekening gehouden worden met afschrijvingstermijnen en lopende uitwijkcontracten. Het eerste overleg met Oracle hierover is inmiddels gevoerd. Desktop presentatie en applicatievirtualisatie
27 / 30
XenApp en App-V zijn nu al ingericht voor ISHW. Het enige verschil is dat ze nu onder VMWare moeten gaan draaien. Dat moet dus voor de eerste gemeente die onder VMWare gaat draaien ingericht worden. Het maken van golden images gebeurt met RES Automation Manager. Het beschikbaar stellen gebeurt met Citrix Provisioning Server. De applicaties worden voortaan gepackaged met App-V. Applicaties die niet gepackaged worden maar geïnstalleerd worden in het image zijn in ieder geval Office, Adobe Reader en de Oracle Client. Een belangrijk gegeven is dat App-V en Citrix Streaming naast elkaar kunnen draaien. Daardoor is er geen noodzaak om alle applicaties van een gemeente ineens over te zetten wanneer die gemeente migreert. Je kunt dat ook doen wanneer er een nieuwe versie/release van een applicatie uitgebracht wordt. En omdat de meeste applicaties door meerdere gemeenten gebruikt worden, kun je nadat alle applicaties van één gemeente aan de beurt geweest zijn, diezelfde applicaties ook al voor de andere gemeenten inzetten. Voor enkele applicaties moet een fat-client ingezet worden (CAD, Adobe CS, aansturing smartboards). Deze worden beschikbaar gesteld met RES Virtual Desktop Extender (VDX) (onderdeel RES Workstation Manager). De nieuwe versie heet RES VDX. De gebruiker van de fat client werkt op de Citrix server en “onder water” wordt de applicatie gestart op de fat client. Het geheel werkt zodanig geïntegreerd dat de gebruiker er niets van merkt. Deze applicaties kunnen echter niet draaien wanneer die gebruiker op een thin client of een ander apparaat (bijvoorbeeld thuis) inlogt. Werkplekhardware Korendijk heeft nu Wyse terminals. Die kunnen opnieuw gebruikt worden totdat ze afgeschreven zijn. Strijen en Oud-Beijerland hebben nu PC’s, die kunnen als Thin Client ingezet worden. Binnenmaas en Cromstrijen werken sinds kort (na een aanbesteding) met 10ZIG-terminals. Netwerk De bestaande routers en switches bij de gemeenten die aansluiten moeten voldoen aan de nieuwe standaard. Deze lijn is al ingezet bij Cromstrijen, Korendijk en de RSD. De firewall is al aangeschaft voor de ISHW en kan ingezet blijven worden. Backup en recovery Commvault kan vanaf de eerste gemeente ingezet worden. Er wordt al met de leverancier gesproken over een capacity based oplossing. Dit is voor de toekomstige situatie goedkoper. Antivirus TrendMicro wordt opnieuw ingezet.
28 / 30
Bijlage 3: Totaaloverzicht kosten 2014
2015
2016
Hardware Bladechassis (c7000) SRV VM HOSTS SRV Virtual Center server SRV Monitoring server SRV VM HOST Oracle omg Storage SRV VM HOST SBC farm SRV Windows domain Onderhoud Subtotaal Hardware
€ 25.000,00 € 18.000,00 € 2.000,00 € 2.000,00 € 10.000,00 € 40.000,00 € 30.000,00 € 2.000,00 € 20.000,00 € 20.000,00 € 20.000,00 € 149.000,00 € 20.000,00 € 20.000,00
Software Microsoft Servers Microsoft Core CAL + RDS CAL Exchange Server Enterprise MS Office 2010 prof. Plus Microsoft SQL Standard 2008r2 1proc lic Citrix XenDesktop enterprise edition Imprivata Single Signon RES Beheersoftware Backup (CommVault) Antivirus (TrendMicro) Oracle VMWare Subtotaal software
€ 8.200,00 € 42.000,00 € 1.300,00 € 52.000,00 € 2.200,00 € 10.500,00 € 22.500,00 € 16.000,00 € 20.000,00 € 9.000,00 € 15.000,00 € 47.900,00 € 246.600,00
Dienstverlening Voorbereiding, detailontwerp Inrichting Applicatie virtualisatie Migratie data Diverse kosten Projectmanagement Regulier beheer Subtotaal dienstverlening Totaal
€ € € € € €
25.000,00 32.000,00 20.000,00 33.000,00 7.000,00 18.000,00
€ 7.500,00 € 42.000,00 € 2.600,00 € 84.500,00 € 2.200,00 € 10.500,00 € 19.500,00 € 19.500,00 € 20.000,00 € 19.500,00 € 15.000,00 € 27.000,00 € 269.800,00
€ € € € € € 135.000,00 € € 530.600,00
€ 7.500,00 € 42.000,00 € 2.600,00 € 84.500,00 € 2.200,00 € 10.500,00 € 19.500,00 € 19.500,00 € 20.000,00 € 19.500,00 € 15.000,00 € 27.000,00 € 269.800,00
30.000,00 12.000,00 6.000,00 15.000,00 20.000,00 € 20.000,00 83.000,00 € 20.000,00
€ 372.800,00
€ 309.800,00 29 / 30
Totaal Software (licentiekosten per jaar) MS Windows server standard MS Windows server ESA licentie Datacenter Microsoft Core CAL mogelijk inruil Windows remote extra nodig Desktop cal Exchange Server mogelijk al Enterprise aangeschaft MS Office 2010 prof. mogelijk inruil Plus Microsoft SQL Standard mogelijk al 2008r2 1proc lic aangeschaft Citrix XenDesktop extra nodig enterprise edition Imprivata SSO extra nodig appliance licenties RES Workspace extra nodig Manager (Gold) RES Automation per server Manager RES Virtual Desktop voor CADExtender (VDX) werkplekken Backup (CommVault) uitbreiding op licentie Antivirus (TrendMicro) Oracle raming vSphere Oracle cluster vSpere is van Vmware vCenter server Al in Oud-Beijerland vSphere SBC farm 1e jaar hogere kosten, vSphere enterprise daarna lager vSphere standard totaal software
30 / 30
aantal 1 5
€ €
ca € pst 700,00 1.500,00
€ €
totaal 700,00 7.500,00
650 100
€ €
60,00 30,00
€ €
39.000,00 3.000,00
1
€
1.300,00
€
1.300,00
650
€
130,00
€
84.500,00
1
€
5.200,00
€
5.200,00
100
€
105,00
€
10.500,00
300
€
75,00
€
22.500,00
100
€
135,00
€
13.500,00
50
€
35,00
€
1.750,00
50
€
15,00
€
750,00
1
€ 20.700,00
€
20.700,00
650 1 1
€ 30,00 € 15.000,00 € 3.100,00
€ € €
19.500,00 15.000,00 3.100,00
€ €
€ €
1.000,00
0 2 12 18
4.500,00 500,00
€ 2.600,00 € 700,00
€ € €
31.200,00 12.600,00 293.300,00
