Versie 2.1 Oktober 2015 +
Bijlage BB HOSTING GDC Specificaties in het kader van een BB van een applicatie die in het Gewestelijk Datacenter wordt gehost
Bijlage BB v2.1
Inhoudsopgave 1
Inleiding ......................................................................................................... 3
2
Contactpunten ................................................................................................. 3
3
4
5
2.1
IRISline Service Desk ................................................................................ 3
2.2
Voornaamste gebruiker van de partner ........................................................ 3
2.3
Veiligheidsverantwoordelijke van de partner ................................................. 4
2.4
Service Manager van de partner .................................................................. 4
2.5
Dienstverlener .......................................................................................... 4
Technische voorwaarden ................................................................................... 4 3.1
Basisprincipes ........................................................................................... 4
3.2
Standaarden ............................................................................................. 4
3.3
Netwerk, adressering, url ........................................................................... 5
3.4
Veiligheid ................................................................................................. 5
3.5
Omgevingen ............................................................................................. 5
3.6
Databanken .............................................................................................. 6
3.7
Identificatie .............................................................................................. 6
3.8
Gebruikersposten ...................................................................................... 7
3.9
CIBG-logo ................................................................................................ 7
Inbedrijfstelling ............................................................................................... 7 4.1
Documentatie ........................................................................................... 7
4.2
Operationaliseringsbeleid ........................................................................... 8
4.3
Testverloop .............................................................................................. 8
4.4
Centraliseren van de broncodes en documentatie .......................................... 8
4.5
Continu integreren en uitrollen .................................................................... 9
4.6
Updates ................................................................................................... 9
Serviceniveau .................................................................................................10 5.1
Monitoring ...............................................................................................10
5.2
Beschikbaarheid .......................................................................................10
5.3
Prestatie .................................................................................................10
5.4
Plan inzake de continuïteit van de activiteit .................................................10
Oktober 2015 2/10
1 Inleiding Onderhavig document vat de verschillende elementen samen die moeten worden nageleefd om de oplossing in het Gewestelijk l Datacenter (GDC) te hosten en de maintenance ervan toe te laten. Hoewel het CIBG en de dienstverlener in de praktijk wel degelijk moeten overleggen, blijft de partner de bevoorrechte gesprekspartner van het CIBG en ziet hij erop toe dat de dienstverlener de hostingmodaliteiten naleeft. Hoofdstuk 2 'Contactpunten' licht de contactpunten toe die in het document worden aangehaald. Hoofdstuk 3 'Technische voorwaarden' geeft een overzicht van de punten die moeten voor de installatie binnen het GDC worden behandeld. Hoofdstuk 4 'operationalisering' betreft de voorbereiding op de exploitatie samenhangen.
verschillende elementen
die met
de
Hoofdstuk 5 'Serviceniveau' bepaalt de beschikbaarheids- en prestatiecriteria die moeten worden behaald.
2 Contactpunten 2.1 IRISline Service Desk De ondersteunende dienst van de Service Desk beantwoordt de inkomende oproepen of vragen in het Frans of het Nederlands. Om de juiste inlichtingen te vergaren wanneer een eindgebruiker telefonisch een incident meldt, moet het incident goed kunnen worden geanalyseerd en moet er in de eerste lijn een maximum aan incidenten worden opgelost. De partner moet de levering van een geheel van procedures/checklists voorstellen en de inventaris daarvan opmaken. De Service Desk is als volgt bereikbaar: Benaming
IRISline
Telefoon
02 801 00 00
[email protected]
E-mail Openingsuren
[email protected] Maandag tot vrijdag van 8u tot 18u
2.2 Voornaamste gebruiker van de partner De voornaamste gebruiker vertegenwoordigt de gebruikers binnen de organisatie. Na de opleiding door de dienstverlener staat de voornaamste gebruiker in voor de interne
Oktober 2015 3/10
opleiding van de gebruikers. Doen er zich problemen voor die hij zelf niet kan oplossen, dan neemt hij contact op met de dienstverlener.
2.3 Veiligheidsverantwoordelijke van de partner De veiligheidsverantwoordelijke valideert en autoriseert alle wijzigingen die verband houden met de veiligheid (beleid inzake wachtwoorden, bescherming van de persoonlijke levenssfeer, veiligheidsupdates, ...).
2.4 Service Manager van de partner De service manager beheert de oplossing die de dienstverlener levert. Hij ziet toe op de naleving van de SLA en coördineert de geplande maintenance met de voornaamste gebruikers.
2.5 Dienstverlener De dienstverlener implementeert de oplossing en levert de diensten aan de partner.
3 Technische voorwaarden Dit hoofdstuk beschrijft de voorwaarden die voor de integratie en de exploitatie van de oplossing moeten vervuld zijn.
3.1 Basisprincipes De oplossing zal binnen het Gewestelijk Datacenter (GDC) worden gehost; op die manier wil het CIBG regionaal besparen door de naleving van de standaarden en de onderlinge verdeling van de kosten. Binnen het departement Services van het CIBG, dat beheerder is van het GDC, worden de activiteiten tussen teams als volgt verdeeld:
De systeemwerken worden uitgevoerd door de Dienst Systemen die de volledige infrastructuur in de serverzalen van het GDC, inclusief de netwerken, beheert Het beheer van de servicebeschrijvingen (SLA, OLA, UC) en het beheer van de licenties gebeurt door de Dienst Management De nabijheidsdienst voor de eindgebruiker en de helpdesk (Iris Line) worden door de Service Desk beheerd
Gelet op de recente technologische evolutie en op de perspectieven, dient de applicatie zodanig te worden ontworpen dat ze geheel of gedeeltelijk in een privé, een openbare of een hybride cloud kan worden ondergebracht. Het GDC verenigt logischerwijze meerdere exploitatiesites.
3.2 Standaarden Het hosten binnen het CIBG gebeurt voortaan enkel nog op servers gevirtualiseerd onder VMWare en achter een HTTP en HTTPS reverse proxy serverpark geplaatst (Nginx). Het gebruik van een dedicated fysieke server brengt hogere totale kosten mee en moet daarom verworpen worden. Als laatste redmiddel wordt dit laatste hostingtype geïmplementeerd. Ze worden geïnstalleerd onder1 van de volgende besturingssystemen in hun meest recente versies:
CentOS 64 bits
Oktober 2015 4/10
RedHat 64 bits Windows Server Enterprise Edition 64 bits
De gewestelijke mailinfrastructuur wordt beheerd onder Microsoft Exchange 2010. De databases waarvoor het CIBG over een DBA beschikt zijn Oracle 11g en PostgreSQL v9.3. Ontwikkelingswerk dient bij voorkeur te gebeuren met behulp van één of meer middleware-technologieën die het CIBG beheerst: WSO2, Tomcat, Alfresco, Documentum, SAP Business Intelligence, Oracle (Spatial), POSTGIS, ESRI, Django, Webserver (Apache, Nginx, IIS), Java, Python. Enkel de softwareversies tussen de standaard in een distributie OS geïnstalleerde versies en de laatste stabiele versie worden geïnstalleerd. Het CIBG geeft de voorkeur aan de meest recente LTS (Long Term Support).
3.3 Netwerk, adressering, url Het CIBG:
Beheert het volledige netwerk van het GDC Beheert ook het netwerk van bepaalde regionale organisaties Registreert de domeinnamen
De dienstverlener zorgt ervoor dat hij in zijn ontwikkelingen geen toegangspaden invoert die het uitrollen van de applicatie in een willekeurig netwerk kan bemoeilijken. Het gebruik van vaste IP-adressen is dan ook verboden. De applicatie berust op technologieën die op het vlak van netwerktrafiek bijzonder krachtig zijn doordat de getransporteerde gegevens worden beperkt en door gebruik te maken van recente en performante protocollen. Het CIBG is in het kader van toegang tot authentieke bronnen met bepaalde federale diensten verbonden.
3.4 Veiligheid Het CIBG dringt erop aan dat de dienstverlener zijn geleverde goederen beveiligt, met name om piraterij, malware maar ook kwaadwillige publicatie van editing content te voorkomen.
3.5 Omgevingen Voor een optimale werking worden de volgende omgevingen aanbevolen:
Ontwikkeling Staging Productie
3.5.1 Ontwikkeling Dit is een omgeving die de ontwikkelaars gebruiken voor de ontwikkelingen en voor debugging:
Aanvankelijke opzet van de oplossing
Oktober 2015 5/10
Aanpassingen in programma’s en/of de database rekening houdend met de ontwikkeling van de wet- en regelgeving; “Releases” of nieuwe softwareversies en correctieprogramma's.
Deze servers zijn slechts binnen het CIBG of via de Gewestelijke VPN toegankelijk.
3.5.2 Staging (Opleiding/Aanvaarding/Integratie) Dit is de preproductie-omgeving productieconfiguratie om:
die
zo
nauw
mogelijk
aansluit
bij
de
De integratie- en aanvaardingstests uit te voeren en opleidingen te organiseren; De installatie-, update-/upgrade- en exploitatieprocedures te valideren; De infrastructuur te voltooien
3.5.3 Productie Dit is de daadwerkelijke productieomgeving. De toegang tot de servers wordt toegekend volgens de hostingoplossing, zoals beschreven in de serviceomschrijving. Desgevallend en in overleg met de partner wordt die toegang aan de dienstverlener meegedeeld. Afhankelijk van het serviceniveau dat het CIBG moet leveren, bezorgt de partner of de dienstverlener het CIBG de installatie-, configuratie-, exploitatie-, monitoring- en backupprocedures. De procedures worden in een hostingdossier beschreven. Opgelet, er is standaard geen back-up of monitoring geïmplementeerd.
3.6 Databanken Om de licentie- en beheerskosten te verminderen kan het CIBG beslissen om schema’s van meerdere applicaties op eenzelfde database uit te rollen. Het hostingdossier moet aangeven of de oplossing dit type uitrol toelaat. De lijst met rollen en voorrechten per schema (gebruiker) moet vóór productie worden geleverd en met de Service Manager worden gevalideerd. De rollen/voorrechten DBA en SYSDBA alsook andere gevoelige rechten op de database komen niet aan bod. Indien nodig zorgt de dienstverlener voor de scripts die door de DBA van het CIBG moeten worden uitgevoerd. De query's worden door de dienstverlener geoptimaliseerd. Hij test ze en past ze aan op een database van normale grootte, zijnde het equivalent aan gegevens van minstens een werkjaar. De dienstverlener bezorgt via de partner een plan voor het testen van de performantie van de SQL-query's en deelt het testresultaat aan de Service Manager mee.
3.7 Identificatie Om meervoudige identiteiten binnen het Gewest te beperken weigert het CIBG iedere nieuwe applicatie die een eigen referentiekader vergt of een lokale basis voor het authenticeren. Iedere applicatie waarvoor authenticatie vereist is, moet dus in de bestaande middelen kunnen worden geïntegreerd, namelijk:
Oktober 2015 6/10
Active Directory, waarin alle gebruikers van de regionale mail zijn samengebracht. Op termijn wordt een regionale structuur uitgerold en moeten mechanismen die eigen zijn aan AD worden ondersteund. Het CIBG gebruikt een IDM voor bepaalde applicaties zodat integratie met deze infrastructuur wenselijk is. Het CIBG promoot het gebruik van e-ID bij een sterke authenticatie via dit kanaal.
De mogelijkheid van integratie in een SSO moet worden onderzocht. Op termijn wordt binnen het CIBG een centrale oplossing uitgerold en zullen dus o.a. volgende standaarden moeten worden nageleefd: OAUTH, OCSP, LDAP, SAML, RADIUS.
3.8 Gebruikersposten De eindgebruiker beschikt over een pc met Microsoft Windows. Aangezien de pc’s standaard niet noodzakelijk over Microsoft Office suite beschikken moet de mogelijkheid van het gebruik van een suite zoals LibreOffice worden onderzocht. De dienstverlener informeert zich bij de partner over de standaard gebruikte bureauticaoplossing. In de mate van het mogelijke tracht hij compatibel te blijven met deze omgeving en vermeldt hij alle bijzonderheden of punten waarmee zijn oplossing niet compatibel is.
3.9 CIBG-logo De homepagina van de interface van de oplossing moet voorzien zijn van een CIBG-logo. De kleuren daarvan kunnen op verzoek op het gebruikte kleurenpalet worden afgestemd. Dit logo is verkrijgbaar bij de dienst communicatie die op de naleving van het grafisch handvest toeziet.
4 Inbedrijfstelling De dienstverlener ontwerpt zijn applicatie en de daarmee verbonden gelverde goederen zodanig dat de productie en de latere onderhoudsfasen door een andere dienstverlener kunnen worden overgenomen.
4.1 Documentatie Het CIBG implementeerde een methodologie geïnspireerd op ITIL. De dienstverlener moet een hele reeks werkzaamheden en geleverde goederen voorzien, namelijk:
Zijn medewerking verlenen aan het definiëren van de service levels. Zijn medewerking verlenen aan de opstelling van het Hostingdossier. De globale en minimale testplannen opstellen. De helpdesk Iris Line (Roll Out) opleiden.
Het Hostingdossier is een basisdocument dat een vlotte integratie van de applicatie in het Gewestelijk l Datacenter moet toelaten. In de offerte moet de opstelling van het hostingdossier door de dienstverlener zijn opgenomen. Het dossier wordt gezamenlijk door de technische dienst en de Service Manager aangevuld.
Oktober 2015 7/10
De hoofdstukken van het hostingdossier betreffen naast de beschrijving van de productie- en exploitatieorders van de servers, databanken en vereiste configuraties om zich toegang te verschaffen tot de generieke diensten van het Data Center (DNS, VPN, MAIL, ...) ook de aanpassing van de businessbehoeften inzake SLR/SLA en de geïmplementeerde oplossing aan de hand van 8 thema’s: technische architectuur, beschikbaarheid, prestatievermogen en capaciteit, herstart, back-up, monitoring, exploitatie, beveiliging. Het behoort tot de verantwoordelijkheid van de dienstverlener om het Hostingdossier via de partner aan het CIBG te bezorgen. Dit dossier wordt ter goedkeuring overgemaakt aan de CAB (Change Advisory Board) van het CIBG, dat belast is met de kwaliteitsborging van de hosting. De dienstverlener gaat bij de Service Manager van de partner na dat het ondersteuningsniveau van de geïnstalleerde producten en de betreffende architectuur compatibel zijn met de SLR/SLA-vereisten die met de sponsor van het project worden overeengekomen.
4.2 Operationaliseringsbeleid Vanaf de eerste operationalisering en voor alle navolgende releases moet de dienstverlener de release notes bezorgen en het Hostingdossier en de testplannen aanpassen.
De tests worden geïntegreerd in de levenscyclus van het project/de dienst om fouten in een zo vroeg mogelijk stadium op te sporen. Er mag geen operationalisering plaatsvinden zonder bijgewerkt Hostingdossier, zonder volledige documentatie noch zonder uitgevoerd testplan. Voor iedere bewerking is het fiat van de CAB vereist.
4.3 Testverloop De dienstverlener voert de referentietests van de belastingtoename op Staginginfrastructuur uit. Die tests moeten toelaten de productie-architectuur te toetsen aan de Service Level Requirements inzake capaciteit, beschikbaarheid, beveiliging en continuïteit van de dienst en de bereikbare drempels vast te leggen. De partner voert de scenario’s van de aanvaardingstests uit met behulp van de dienstverlener teneinde de ontwikkelde functionaliteiten af te toetsen aan de functionele en niet-functionele perimeter en om over de omslag in productie te beslissen. De IT Security Officer van het CIBG stuurt de uitvoering van de beveiligingstest om na te gaan of de applicatie bestand is tegen hackers en met name tegen de top 10 van de risico’s gepubliceerd door www.owasp.org.
4.4 Centraliseren van de broncodes en documentatie De dienstverlener levert bij iedere operationalisering een geactualiseerde versie aan (onder bewerkbare vorm) van:
de release notes.
Oktober 2015 8/10
de op maat ontwikkelde broncode (programma, query, compilatieprocedure, script voor het aanmaken van de applicatie, script van de databasecreatie, CSS, ...) waarop de service steunt. een procedure voor installatie op servers en werkposten. een duidelijke opleidingshandleiding in het Frans en Nederlands die vlot bruikbaar is en bestemd voor voornaamste gebruikers; de technische analyse om de programma- en gegevensarchitectuur te begrijpen en de strategische keuzen van de ontwikkelaars om een derde toe te laten de gepubliceerde / vergaarde gegevens te lezen en te wijzigen; de functionele analyse om de opeenvolging (use case) en de inhoud van de schermen te begrijpen. het hostingdossier voor een duidelijk begrip van de infrastructuurkeuzen. de inventaris van vereiste licenties en specifieke uitrusting en van de datum waarop die moeten worden vernieuwd.
4.5 Continu integreren en uitrollen Het CIBG past de goede praktijken inzake continu integreren en uitrollen (Continuous Integration and Deployment) toe. De volgende tools maken integraal deel uit van de Continuous Integration en Deployment keten (CIDK):
Git, broncodebeheerder Jenkins, de Continuous Integration server Sonar, waarmee we de kwaliteit van de code opvolgen Puppet, hiera, hiera-eyaml, language-puppet, de tool waarmee we onze configuraties over al onze machines kunnen uitrollen Pulp en RPM voor het beheer van onze packages SaltStack, tool voor het orkestreren van de machines VMWare en Vagrant, Docker om het uitrollen over onze serverparken in het Regionale Datacenter en plaatselijk op de computers van de ontwikkelaars te automatiseren. Logstash voor de applicatiemonitoring en de doorstroming van metrische gegevens.
4.6 Updates Iedereen die ingrijpt op de installatie en configuratie van soft- en hardware van een uitrusting, garandeert de daadwerkelijke toepassing van de veiligheidsupdates. Hij of zij informeert de Service Desk IRISline van de handelingen en ingrepen die werden uitgevoerd teneinde de monitoring aan te passen en de correlatie tussen de updates en de incidenten te vereenvoudigen. Om de stabiliteit van de infrastructuur te garanderen kan het CIBG de betrokkenen vragen om specifieke updates uit te voeren, bijvoorbeeld als gevolg van exploitatierisico’s door een vastgestelde gebrekkige veiligheid of om updates uit te voeren van de soft- of hardware van de hostinginfrastructuur. Kleinere updates van versies van geïnstalleerde en geconfigureerde software, inclusief het exploitatiesysteem, gebeuren in principe gecoördineerd op vraag van een van de interveniënten.
Oktober 2015 9/10
Belangrijke updates van softwareversies, inclusief het exploitatiesysteem vergen de uitrol van een nieuwe hosting.
5 Serviceniveau 5.1 Monitoring De technische monitoring gebeurt via het IBM Tivoli BSM platform van het CIBG.
5.2 Beschikbaarheid De beschikbaarheid wordt gemeten door het regelmatig ondervragen van een URL; bij het ontbreken van een voorziening worden de periodes van geplande maintenance uitgesloten.
5.3 Prestatie De partner is via zijn dienstverlener verantwoordelijk voor eventuele optimaliseringen teneinde het verwachte prestatieniveau te behalen. De dienstverlener stelt samen met de partner en het CIBC scenario’s voor het testen van de prestaties op. De prestatie kan bijvoorbeeld worden gemeten door het regelmatig uitvoeren van een scenario van het type: 1. 2. 3. 4. 5. 6.
Toegang tot het loginscherm; Authenticeren (login / wachtwoord); Opzoeken van een (of meerdere) documenten (bestand, dossier, met willekeurig formaat); Openen van het document; Sluiten van het document ; Verbinding verbreken;
5.4 Plan inzake de continuïteit van de activiteit RPO “Recovery Point Objective” De door de dienstverlener geïmplementeerde architectuur moet voorzien in het maken van back-ups met Tivoli Evault (geleverd door het CIBG). Standaard worden de back-ups volgens het onderstaande schema gemaakt:
de laatste 7 avonden; de laatste 4 weekends; de laatste 3 eerste dagen van de maand.
De dienstverlener voorziet in zijn geleverde goederen de volgende procedures:
stilleggen en herstarten van de diensten en servers; back-up en herstellen van de gegevens en servers; recupereren en rotatie van de logs; installatie van de servers.
Oktober 2015 10/10