Příloha č. 4 Smlouvy o dílo
Implementační projekt
S1_P4_Implementační projekt 327
OBSAH 1. IMPLEMENTAČNÍ PROJEKT............................................................... 3 1.1.
Globální přehled projektu .........................................................................................3
1.1.1.
Rozdělení implementačních prací projektu na jednotlivé fáze .......................................4
1.1.2.
Činnosti jednotlivých fází ............................................................................................5
1.1.3.
Způsob implementace ..................................................................................................6
1.1.4.
Průběh implementace ...................................................................................................6
1.1.5.
Integrace existujícího prostředí Zadavatele ...................................................................9
1.1.6.
Odstávky prostředí .......................................................................................................9
1.1.7.
Rizika implementace a nápravná opatření ................................................................... 10
1.1.8.
Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 ........................... 11
1.2.
Hardwarové zdroje ................................................................................................. 11
1.2.1.
Datové centrum.......................................................................................................... 11
1.2.2.
Síťové služby – HW................................................................................................... 11
1.2.3.
Serverové stanice ....................................................................................................... 40
1.2.4.
FW služby a bezpečnost – HW................................................................................... 49
1.2.5.
Jednotný datový prostor (SAN) .................................................................................. 52
1.2.6.
HSM služby ............................................................................................................... 57
1.2.7.
Zálohovací služby – HW ............................................................................................ 59
1.2.1.
Konektivita datového centra ....................................................................................... 62
1.3.
Služby Operačního Systému ................................................................................... 62
1.3.1.
Platforma OS ............................................................................................................. 62
1.3.2.
Síťové a bezpečnostní služby ..................................................................................... 66
1.3.3.
Adresářové služby...................................................................................................... 66
1.3.4.
DNS služby ............................................................................................................... 70
1.3.5.
Časové služby ............................................................................................................ 72
1.3.6.
Virtualizační služby ................................................................................................... 76
1.3.7.
Souborové služby....................................................................................................... 79
1.3.8.
Clusterové služby....................................................................................................... 82
1.4.
Systémové služby ................................................................................................... 84
1.4.1.
Databázové služby ..................................................................................................... 84
1.4.2.
Webové služby .......................................................................................................... 88
1.4.3.
Poštovní služby .......................................................................................................... 90
1.4.4.
Dohled a management služby ..................................................................................... 92
1.4.5.
Antivirové a antispamové služby ................................................................................ 95
1.4.6.
Zálohovací služby ...................................................................................................... 97
1.4.7.
Terminálové služby .................................................................................................. 100
1.4.8.
Služby vzdáleného přístupu ...................................................................................... 103 2/105
S1_P4_Implementační projekt
328
1.
IMPLEMENTAČNÍ PROJEKT
1.1.
GLOBÁLNÍ PŘEHLED PROJEKTU
Vytvoření globálního přehledu projektu je vzhledem k rozsahu a složitosti projektu nepřehledné. Na implementaci IS je z toho důvodu nutné nahlížet dvěma pohledy, manažerským a technologickým / systematickým pohledem. Oba pohledy je nutné v klíčových oblastech slučovat a nacházet průsečíky termínů a kompetencí týmů manažerů a systémových administrátorů. Sloučením obou pohledů dochází k synergickému efektu a tvorbě pohledu na celou implementaci prostřednictvím dílčích oblastí. Manažerský pohled na implementaci IS PODPIS SMLOUVY
KICK - OFF
PŘÍPRAVNÁ FÁZE
INSTALAČNÍ FÁZE
KONFIGURAČNÍ FÁZE
AKCEPTAČNÍ FÁZE
2 - Jmenování členů PR. týmu
5 – Hardwarové zdroje
7 - Služby operačního systému
9 - Systémové služby
13 - Předložení Díla k akceptaci
3 - Zahájení projektu
6 - Kontrolní den Jednání PR. Týmu 24.6.2014
8 - Kontrolní den Jednání PR. Týmu
7. 8. 2014
10 - Předání scénářů akcept. 3. 7. 2014
14 - Projednání výhrad Zadavatele
16.7.2014
4 - Přidělení přístupů Uchazeči do IS Zadavatele
11 - Výzva k akceptaci 17. 7. 2014
15 - Zpřístupnění Díla provozovateli apl. MS2014 18. 8. 2014
12 - Kontrolní den Jednání PR. Týmu
16 - Předání díla
6.8.2014
29. 8. 2014
3/105 S1_P4_Implementační projekt
329
Technologický pohled na implementaci IS
Hardwarové zdroje
Datové centrum
Síťové služby - HW
Serverové stanice
FW služby bezpečnost - HW
Jednotný datový prostor (SAN)
HSM služby
Zálohovací služby - HW
Konektivita datového centra
Virtualizace
Služby operačního systému
Systémové služby
Serverová virtualizace Uchazeče / Zadavatele
Platforma OS
Síťové a bezpečnostní služby
Adresářové služby
DNS služby
Časové služby
Virtualizační služby
Souborové služby
Clusterové služby
Databázové služby
Webové služby
Poštovní služby
Dohled a management sl.
Antivirové a antispamové sl.
Zálohovací služby
Terminálové služby
Služby vzdáleného přístupu
Testování
Předání Díla
1.1.1. Rozdělení implementačních prací projektu na jednotlivé fáze Pro možnost jednoduché kontroly realizovaných činností v rámci implementace byl projekt rozdělen na fáze. Každá fáze projektu bude ukončena Kontrolním dnem – schůzkou projektového týmu, na kterém si zástupci Zadavatele a Uchazeče shrnou kroky prací provedených v rámci konkrétní fáze a případné rozpory s plánem. Termíny jednotlivých fází implementace byly stanoveny následovně:
Podpis smlouvy: Přípravná fáze: Instalační fáze: Konfigurační fáze:
1. 6. 2014 3. 6. – 23. 6. 2014 25. 6. – 15. 7. 2014 17. 7. – 6. 8. 2014
4/105 S1_P4_Implementační projekt
330
Klíčové termíny projektu:
Podpis smlouvy: Kick-off: Zahájení implementačních prací: Kontrolní den: Kontrolní den II: Předání scénářů akceptace: Výzva k akceptaci:
1. 6. 2014 2. 6. 2014 3. 6. 2014 24. 6. 2014 16. 7. 2014 3. 7. 2014 17. 7. 2014
Kontrolní den III: Předložení díla k akceptaci.: Zpřístupnění díla: Předání díla:
6. 8. 2014 7. 8. 2014 18. 8. 2014 29. 8. 2014
V rámci implementace služeb budou Uchazečem prováděny činnosti uvedené v následujících bodech. Uchazeč v návrhu činností zahrnuje nejen implementační činnosti vycházející z odstavce Požadovaný rozsah dodávek a implementace služby v příloze č. 1 Smlouvy o dílo, ale i o činnosti, které s implementací uvedených služeb úzce souvisí a se kterými má zkušenosti z projektů obdobného rozsahu.
1.1.2.
Činnosti jednotlivých fází
1.1.2.A Přípravná fáze V rámci přípravné fáze proběhnou tyto činnosti:
Služby Datového centra a konektivity datového centra Objednávka a dodání HW a SW produktů Instalace a základní konfigurace HW a síťové úrovně Virtualizace prostředí Zadavatele/Uchazeče pro urychlení implementačních činností Instalace virtuálních serverů a jejich platforem operačního systému
1.1.2.B Instalační fáze V rámci instalační fáze proběhnou tyto činnosti:
Implementace služeb operačního systému Implementace doménových návazností na virtuální servery
Konfigurace nezávislých služeb Instalace služeb na virtuální služby Instalace fyzických serverů a jejich zahoření Instalace virtualizačních node
Migrace virtuálních serverů na finální HW
1.1.2.C Konfigurační fáze V rámci konfigurační fáze proběhnou tyto činnosti:
Implementace systémových služeb
5/105 S1_P4_Implementační projekt
331
Konfigurace návazností Finální konfigurace služeb Kontrola funkčnosti
Závěrečná dokumentace stavu infrastruktury Provedení plné zálohy systému
1.1.3.
Způsob implementace
Způsob implementace vychází z technologického pohledu. Technologický pohled přináší způsob, jakým stylem bude budován IS. K budování IS lze přistoupit jako k jakékoliv stavbě. Nejprve je nutné vybudovat kvalitní základy, na kterých je vybudována hrubá stavba do které jsou postupně implementovány jednotlivé technologie (topení, el. energie, datové rozvody). Základem u IT je kvalitní HW vybavení, na který jsou implementovány služby operačního systému. Do tohoto prostředí jsou následně implementované systémové služby. Do zvoleného způsobu implementace bylo nutné zohlednit respektování klíčových milníků dle článku 4.2 závazného návrhu Smlouvy o dílo. Tyto klíčové milníky jsou důležité z pohledu implementace, jelikož jasně ohraničují rámec, po který je možné provádět samotnou implementaci prostředí. Protože výrazně omezují prostor pro implementaci na pouhých 10 týdnů. Přičemž uchazeč musel vzít v potaz, že zadavatel chce nový HW, kdy běžná dodací lhůta je 4-6 týdnů. Uchazeč na základě dlouhodobé zkušenosti s implementováním rozsáhlých IS vzal tyto termíny v potaz a navrhl způsob implementace, který plně pokryje požadovaný způsob implementace a zároveň bude vytvořena dostatečná rezerva pro řešení mimořádných situací. Vzhledem k vysoké míře virtualizace v MS 2014+ je možné tuto skutečnost využít při způsobu implementace. Virtualizační služby umožňují jednoznačně oddělit HW vrstvu od ostatních služeb. V přirovnání se stavbou domu jsou virtualizační služby základovou deskou pro budování IS. Uvedená skutečnost umožňuje začít budovat IS mimo finální HW vybavení. Tak aby Uchazeč garantoval dodržení termínu připravenosti Prostředí pro provoz Aplikace MS2014+ ve vazbě na parametry Díla požadované pro Prostředí Aplikace MS2014+, Uchazeč v rámci plnění poskytne vlastní virtualizační prostředí. Toto virtualizační prostředí bude umístěno do stávajících prostor Zadavatele po dobu implementace. Na základě těchto východisek byl sestaven implementační projekt.
1.1.4.
Průběh implementace
Průběh implementace vychází ze způsobu zpracování implementačního projektu. Byly vypracovány postupně jednotlivé dílčí kapitoly implementace jednotlivých služeb. Celý proces je rozdělen do několika bloků a celků. První blok jsou databázové služby a včetně dodávky Oracle Exadata. Druhý blok jsou servery provozované ve virtuálním prostředí. Třetí blok je HW vybavení umístěné v cílovém datacentru. První blok je realizován do tří základních fází. První fáze je analýza stávajícího prostředí a vypracování technického projektu instalace a konfigurace Oracle Exadata, tato fáze je nezávislá od ostatních částí. V druhé fázi proběhnou instalační a konfigurační práce. V rámci této fáze již bude nutné základní oživení HW vybavení v umístěné v datacentru. V poslední fázi proběhne zaškolení a dokumentace skutečného provedení. Druhý blok, implementace VM, je rozdělen do dvou fází. V první fázi budou vytvořeny VM a nainstalovány jednotlivé služby. Tato fáze je závislá pouze na vytvoření virtualizačního prostředí na dočasném prostředí. Ve druhé fázi dojde k migraci na finální migraci na HW. Třetí blok je samotná implementace HW vybavení v datacentru. Tato část bude probíhat kontinuálně v návaznosti na probíhající dodávky HW. 6/105 S1_P4_Implementační projekt
332
1.1.4.A Harmonogram - základní Celkový počet MD
Počet pracovníků realizujících impl.
Počet dní
Termín
Databázové služby
193
5
64
3. 6. – 6. 8. 2014
Webové služby
21,5
1
42
25. 6. – 6. 8. 2014
Terminálové služby Služby vzdáleného přístupu
5,5
1
20
17. 7. – 6. 8. 2014
5,5
1
20
17. 7. – 6. 8. 2014
Zálohovací služby
12
1
42
25. 6. – 6. 8. 2014
Clusterové služby Antivirové a antispamové služby
10
1
42
25. 6. – 6. 8. 2014
5
1
20
17. 7. – 6. 8. 2014
Virtualizační služby
12,5
1
64
3. 6. – 6. 8. 2014
Poštovní služby
6
1
20
17. 7. – 6. 8. 2014
Síťové služby Firewall služby bezpečnost Virtual Machine Manager (SCVMM)
8
1
42
25. 6. – 6. 8. 2014
13
1
42
25. 6. – 6. 8. 2014
11,5
1
42
25. 6. – 6. 8. 2014
Operations manager
82,5
3
58
9. 6. – 6. 8. 2014
Configuraion manager
8,5
2
42
25. 6. – 6. 8. 2014
Group Policy
4
1
42
25. 6. – 6. 8. 2014
Platforma OS
10
1
64
3. 6. – 6. 8. 2014
Adresářové služby
7
1
64
3. 6. – 6. 8. 2014
Souborové služby
7
1
42
25. 6. – 6. 8. 2014
Časové služby
3
1
64
3. 6. – 6. 8. 2014
DNS služby
3
1
64
3. 6. – 6. 8. 2014
40,5
3
64
3. 6. – 6. 8. 2014
Serverové stanice
8
1
64
3. 6. – 6. 8. 2014
HSM služby Zpracování projektové dokumentace v požadovaném rozsahu
32
2
64
3. 6. – 6. 8. 2014
40
1
64
3. 6. – 6. 8. 2014
Oblast Díla dle Technické specifikace Díla
SYSTÉMOVÉ SLUŽBY
SÍŤOVÉ A BEZPEČNOSTÍ SLUŽBY
DOHLED A MANAGEMENT SLUŽBY
OS A JEHO SLUŽBY
HW INFRASTRUKTURA
PROJEKTOVÁ DOKUMENTACE
Jednotný datový prostor
CELKEM ZA IMPLEMENTAČNÍ SLUŽBY
549
7/105 S1_P4_Implementační projekt
333
SYSTÉMOVÉ SLUŽBY
SÍŤOVÉ A BEZPEČ. SLUŽBY DOHLED A MANAGEMENT SLUŽBY
OS A JEHO SLUŽBY
HW INFRASTRUKTURA
Databázové služby Webové služby Terminálové služby Služby vzdáleného přístupu Zálohovací služby Clusterové služby Antivirové a antispamové služby Virtualizační služby Poštovní služby Síťové služby Firewall služby - bezpečnost Virtual Machine Manager (SCVMM) Operations manager Configuraion manager Group Policy Platforma OS Adresářové služby Souborové služby Časové služby DNS služby Jednotný datový prostor Serverové stanice HSM služby
193 21,5 5,5 5,5 12 10 5 12,5 6 8 13 11,5 82,5 8,5 4 10 7 7 3 3 40,5 8 32
10
1
15
20
20 4
20 4
25 4
2 1
2 2
2 3
3
10
3
10
2 3
6 3
1
10 8,5
10
10
4 2
1
1
4
15 5 5
10 3 5
2 2
25 25 4 1,5 2 1,5 2 1,5 2 2 2 4 4 1,5 5
4.8. – 6.8.
28.7. – 3.8.
25 4 2 2 2 2
8
1 1
1 5 5 5 1,5 10 7,5 15
2 7
3
21.7. – 27.7.
14.7. – 20.7.
7.7. – 13.7.
30.6. – 6.7.
23.6. – 29.6
16.6. – 22.6.
Celkový počet MD
9.6. – 15.6.
Oblast Díla dle Technické specifikace Díla
3.6. – 8.6.
1.1.4.B Harmonogram – detailní MD na týdny
3 1 1 1 5 5
1
1
1
1
5
5 0,5
5
8
8/105 S1_P4_Implementační projekt
334
1.1.5.
Integrace existujícího prostředí Zadavatele
Z pohledu integrace je nutné se především zaměřit na dvě oblasti, které mají přímý dopad na existující prostředí. První oblastí je přenos dat a konfigurací ze stávajícího prostředí do nového produkčního prostředí. Druhou oblastí je vytvoření zálohovacího prostředí a převzetí a konsolidace stávajícího testovacího a školícího prostředí.
1.1.5.A Přenos dat a konfigurací systému Zadavatel v příloze č. 1 Technické specifikace díla popisuje stávající prostředí, kde je především implementované testovací prostředí. Zároveň Zadavatel očekává, že v tomto prostředí již budou provozovány ostré prototypy aplikací. Uchazeč na základě těchto informací očekává, že se bude jednat plně funkční prostředí, které se bude nejblíže rovnat požadovanému stavu, ale bez dostatečného výkonu a redundance. Uchazeč má k dispozici vlastní skripty, které dokáží provést bezvýpadkovou kontrolu prostředí a vyexportovat nastavení standardních i specifických komponent systému. Získané výstupy následně budou generalizovány pro možnost následné determinace na jednotlivé nové prvky. Výše uvedeným postupem bude optimálně zajištěn přesun konfigurace. Tato metoda bude využita při implementaci webových služeb, které tvoří základ běhového prostředí aplikací MS2014. Druhou částí je integrace stávajících dat do nově implementovaného a budovaného prostředí. Z charakteru aplikace MS2014 je patrné, že základ všech dat je uložen v databázovém prostředí Oracle. Jako druhým uložištěm unikátních uživatelských informací je Active Directory, kde jsou především uloženy informace o uživatelských účtech a informací na něm vázaných. Uchazeč očekává a navrhuje, že stávající data budou exportována do nového prostředí. Nejprve dojde k vybudování nového prostředí a následně dojde k migraci dat. Přesný postup migrace dat uložených v Oracle databázi bude upřesněn v rámci implementačního projektu databázových služeb, který zadavatel požaduje vypracovat v rámci plnění. V případě ostrých uživatelských účtů v Active Directory Uchazeč navrhuje maximálně stávající informace ponechat a přenést do nového produkčního prostředí i za cenu kompletního vytvoření nového již existujícího prostředí. Výhodou uvedeného řešení je minimalizace dopadu na uživatele již v ostrém prostředí a bez jakéhokoliv podezření na kompromitaci uživatelského účtu. Přenosem adresářové struktury zároveň nedojde k porušení auditní stopy na úrovni systémových účtů a dojde k minimalizaci délky výpadku produkčního prostředí. Dalším plusem je, že všem uživatelům zůstanou zachována původní hesla, protože uživatelské hesla nelze na základě zvolené technologie vyexportovat ani jiným způsobem získat.
1.1.5.B Vytvoření zálohovací lokality Vytvoření zálohovací lokality má přímý dopad na existující prostředí Zadavatele. Do prostředí budou implementovány nové prvky a služby. V souladu s přílohou č. 1 Technická specifikace díla budou do infrastruktury implementovány zálohovací služby, HSM služby a vybrané aktivní a bezpečnostní prvky. Do stávajícího prostředí budou implementovány adresářové služby provozované ve virtuálním prostředí.
1.1.6.
Odstávky prostředí
Samostatnou oblastí v rámci integrace stávajícího prostředí s nově dodávanými prvky jsou odstávky prostředí pro provoz Aplikace MS2014+ (školící / testovací a zálohovací prostředí). Odstávky budou nutné pouze u oblastí, které projdou rekonfigurací a zároveň tuto rekonfiguraci nelze provést v rámci běžného provozu bez zásadního omezení služeb. Uchazeč bude veškeré práce provádět ve snaze minimalizovat délku odstávek se zachováním maximální bezpečnosti a konzistence již pořízených ostrých dat. Krátkodobé odstávky systému (restarty) budou prováděny v nočních 9/105 S1_P4_Implementační projekt
335
hodinách mimo provozní dobu aplikace MS2014. Odstávky s předpokládanou delší dobou nedostupnosti systému budou realizovány o víkendech. Z charakteru systému bude klíčová rekonfigurace stávající Oracle Exadata, které budou muset být aktualizovány na nejnovější verzi podporovanou výrobcem DB prostředí a dodavatelem aplikace MS2014. Na základě dostupných informací Uchazeč předpokládá, že v rámci Oracle Exadata bude nutná jedna víkendová odstávka na provedení této aktualizace. Krátkodobé odstávky budou nutné z důvodu rekonfigurace síťového prostředí, implementace HSM do prostředí, nasazení a ověření zálohování včetně přechodu na stand-by stranu. Druhou oblastí, kde lze očekávat odstávku je rekonfigurace adresářových služeb. Počet a délka odstávek nelze na základě dostupných informací přesně určit. Počet odstávek bude stanoven po vstupní analýze prostředí. Pokud jsou ostré uživatelské účty odděleny, Uchazeč bude garantovat nulovou délku výpadku. Další oblastí, kde lze očekávat krátkodobý výpadek prostředí je implementace nových aktivních prvků do zálohovací lokality a rekonfigurace CITRIX Netscalerů Ostatní služby si nevyžádají odstávku prostředí a lze jejich implementaci provést bezvýpadkově. Detailní integrace a odstávky dílčích služeb jsou uvedeny v implementaci jednotlivých služeb.
1.1.7.
Rizika implementace a nápravná opatření
Implementaci projektu protínají ve všech krocích rizika, která by mohla ovlivnit implementační práce, termíny výše uvedených fází a v konečném důsledku i úspěšné ukončení projektu v předpokládaném termínu. Uchazeč zvážil okolnosti a analyzoval možná rizika uvedená níže: 1. Zpoždění dodávky HW a navazujících prací 2. Nedostatek lidských kapacit 3. Nefunkční konektivita mezi datacentry 4. Transport migrovaných dat 5. Chyby validace konfigurace Uvedená rizika budou ošetřena těmito opatřeními: 1. Virtualizace prostředí před dodáním HW a následná migrace na finální HW zdroje – veškeré virtuální stroje budou vytvořeny na HW Zadavatele / Uchazeče a proběhne základní konfigurace níže popisovaných služeb. Po dodání HW zdrojů bude provedena migrace na finální HW zdroje a dodatečná konfigurace. 2. Pro eliminaci rizika nedostatku lidských kapacit Uchazeč v každé kapitole detailně specifikoval nároky na jednotlivé profesní role. Uchazeč zajistí zastupitelnost na pozicích Systémového administrátora, Databázového administrátora, Dokumentátora - Uchazeč ve svém týmu disponuje dostatečným počtem pracovníků schopných implementovat uvedené služby. Uchazeč má ve své realizačním týmu několik odborníků, kteří splňují kvalifikační předpoklady pro více rolí požadovaných v ZD. 3. Po dobu budování a implementace lze dočasně pokrýt vytvořením dočasného propoje. Propoj bude realizován prostřednictvím zabezpečeného tunelu VPN. 4. Uchazeč zajistí jednu z uvedených možností: vysokokapacitní datová úložiště, vysokorychlostí linka tak, aby migrace virtuálních strojů na finální HW zdroje proběhla v co nejkratším možném termínu. 5. Konfigurace služeb jako např. Clusterové služby vyžadují validaci a ověření funkčnosti. Veškeré služby budou konfigurovány do bezchybného stavu a v případě chyb validace proběhne jejich rekonfigurace.
10/105 S1_P4_Implementační projekt
336
1.1.8. Součinnost ze strany Provozovatele aplikace MS2014
Zadavatele
a
V oblasti součinnosti je především vyžadován umožnění přístupu do stávajícího IS a poskytnutí technických a konfiguračních informací pro správnou implementaci prostředí. Po zahájení projektu předá Uchazeč detailní soupis technických konfiguračních požadavků, které budou nezbytné pro bezproblémovou a správnou implementaci a následný provoz systému. Požadavky budou vycházet ze specifikace uvedené v jednotlivých dílčích kapitolách Implementačního projektu. Samostatnou oblastí je zajištění vhodného prostředí pro běh HW prvků umístěných do zálohovací lokality. V přípravné fázi bude Uchazeč vyžadovat zvýšenou součinnost v oblasti konzultací a definici požadavků na systém. V rámci efektivity navrhuje uchazeč konání 2x týdně jednání na téma definice specifických požadavků na systémové prostředí pro aplikaci MS2014 v prostorách zadavatele. Jednání budou ve složení Uchazeč, Zadavatel, Provozovatel aplikace MS2014. V rámci instalační a konfigurační fáze se budou tato jednání uskutečňovat 1x týdně. Stanovení jednoho pracovníka ze strany Provozovatele aplikace MS2014, který bude aktivně spolupracovat a zodpovídat za definici specifických technických a bezpečnostních parametrů pro aplikaci MS2014+. Stanovení jednoho pracovníka ze strany Zadavatele, který bude aktivně spolupracovat a zodpovídat za definici specifických bezpečnostních a technických parametrů pro aplikaci MS2014+. Vzhledem k velmi krátké době na implementaci uchazeč očekává, že veškeré vstupy a vyžádané informace mu budou dodány nejpozději do tří pracovních dnů od vyžádání.
1.2.
HARDWAROVÉ ZDROJE
1.2.1.
Datové centrum
Služby datového centra jsou blíže specifikovány v příloze č. 5 „Popis realizace služeb“ servisní smlouvy.
1.2.2.
Síťové služby – HW
1.2.2.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Spolupráce při změně adresního plánu
Spolupráce při tvorbě směrovacích pravidel datové komunikace
1.2.2.B Požadavky na odstávky prostředí Změna při rekonfiguraci stávajících aktivních prvků na nové si vyžádá krátkodobou nedostupnost provozovaných služeb ve stávajícím prostředí zadavatele. Délka nedostupnosti služeb nepřesáhne 1 hodinu.
11/105 S1_P4_Implementační projekt
337
1.2.2.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím (školící / testovací) bude prováděna na úrovni připojení zálohovacího prostředí. Stávající HW prvky (školící / testovací) budou k datové komunikaci využívat nově dodané aktivní prvky. Na fyzické vrstvě dojde k propojení stávajících ORACLE Exadata a zároveň dojde k připojení stávajících switchů v BLADE řešeních. Implementované prvky budou mít pozitivní dopad na současný HW a plně umožní využít jeho výkon (10 Gbit/s). Stávající adresní plán bude upraven dle nové koncepce v návaznosti na požadavky Zadavatele.
1.2.2.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje o Datové centrum
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. Primární lokalita – HW
2x Switch Core/Access 2x Switch Access/Management 2x Switch Access/IDMZ Příslušenství (kabeláž, SFP moduly)
Primární lokalita – SW
Licence
Zálohovací lokalita – HW
1x Switch Core/Access
Příslušenství (kabeláž, SFP moduly)
Zálohovací lokalita – SW
Licence
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služby 1. 2. 3. 4. 5.
Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení) Změna defaultních administračních přístupových hesel k zařízením 12/105
S1_P4_Implementační projekt
338
6. 7. 8. 9. 10.
Konfigurace vysoké dostupnosti aktivních prvků Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) Konfigurace routingu mezi lokalitami a virtuálními sítěmi Instalace a konfigurace SW monitoringu - včetně modulů na management serveru Konfigurace monitoringu a reportingu
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace. Implementace v Primární lokalitě Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace vysoké dostupnosti aktivních prvků (IRF) Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) Konfigurace routingu mezi lokalitami a virtuálními sítěmi Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) na management serveru 10. Konfigurace monitoringu a reportingu
1. 2. 3. 4. 5. 6. 7. 8. 9.
Implementace v Zálohovací lokalitě Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace vysoké dostupnosti aktivních prvků (IRF) Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) Konfigurace routingu mezi lokalitami a virtuálními sítěmi Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) 10. Konfigurace monitoringu a reportingu
1. 2. 3. 4. 5. 6. 7. 8. 9.
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele
13/105 S1_P4_Implementační projekt
339
Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení)
Změna defaultních administračních přístupových hesel k zařízením
Konfigurace vysoké dostupnosti aktivních prvků (IRF)
Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů)
Konfigurace routingu mezi lokalitami a virtuálními sítěmi
Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) na management serveru
Konfigurace monitoringu a reportingu
D.VI. Personální zajištění Za implementaci služeb je odpovědný Síťový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Síťový specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost kontroluje dodržování bezpečnostních pokynů Zadavatele. Specialista pro MS Windows Server provede konfiguraci TCP/IP protokolu serverových stanic. HW Specialista Servery zodpovídá za propojení aktivních prvků se servery a instalaci management nástrojů. Databázový administrátor provádí konfiguraci TCP/IP protokolu na úrovni Oracle Exadata a DB serverů. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 8 MD. Síťový specialista - 3 MD Vedoucí projektu – 0,5 MD HW Specialista Servery – 1 MD Specialista pro bezpečnost – 0,5 MD Specialista pro MS Windows Server – 0,5 MD Databázový administrátor – 1 MD Systémový administrátor – 1 MD Dokumentarista – 0,5 MD 14/105 S1_P4_Implementační projekt
340
D.VII. Zajištění minimálních technických požadavků Hewlett Packard 5900 Požadavek
Splnění požadavku
48x 1000/10000 SFP+
Ano
4x QSFP+ 40 GbE
Ano
Napájecí zdroj
2x napájecí zdroj
Ano, stejný model s primárním zdrojem
Paměť
512 MB flash, 2 GB SDRAM
Ano
10 Gbps latence
Maximálně 1.5 μs
Ano (64-byte packets)
Podpora FCoE
Ano
Ano
Propustnost
Minimálně 900 milionu paketu za sekundu
Ano, 952 milionů paketů za sekundu
Propustnost – Routing/Switching
Minimálně 1200 Gbps
Ano, 1280 Gb/s
Prvek Core/Access Porty
Velikost tabulky
routovací 16 000 záznamů
Management
Ano, 16 000 záznamů IPv4
Podpora Zálohování a obnova konfigurace síťových prvků
Ano, Hewlett Packard IMC
Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Podpora virtualizace
Ano, podpora bridgování mezi virtuálními stroji a LAN dle 802.1Qbg
Ano
Intelligent Resilient Framefork (IRF) Virtual Router Protocol (VRRF) Podpora transceiveru
Redundancy
1G SFP LC LH40 1310nm Ano Transceiver 1G SFP LC LH40 1550nm Transceiver
15/105 S1_P4_Implementační projekt
341
1G SFP LC LH70 Transceiver 1G SFP LC Transceiver
BX
10-U
1G SFP LC Transceiver
BX
10-D
1G SFP LC SX Transceiver 1G SFP LC LX Transceiver 1G SFP RJ45 T Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver
Podpora standardů
10G SFP+ Transceiver
LC
ER
RFC 2918 Capability
Route
40km Refresh Ano
IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q VLANs IEEE 802.1s Multiple Spanning Trees IEEE 802.1w Reconfiguration of Tree
Rapid Spanning
IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae Ethernet
10-Gigabit
RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 856 TELNET RFC 896 Congestion Control in IP/TCP Internetworks
16/105 S1_P4_Implementační projekt
342
RFC 950 Internet Standard Subnetting Procedure RFC 1027 Proxy ARP RFC 1058 RIPv1 RFC 1091 Telnet TerminalType Option RFC 1141 Incremental updating of the Internet checksum RFC 1191 Path MTU discovery RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1350 (revision 2)
TFTP
Protocol
RFC 1624 Incremental Internet Checksum RFC 1812 IPv4 Routing RFC 2131 DHCP RFC 2453 RIPv2 RFC 2581 TCP Congestion Control RFC 2644 Directed Broadcast Control RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4419 Diffie-Hellman Group Exchange for the 17/105 S1_P4_Implementační projekt
343
Secure Shell (SSH) Transport Layer Protocol RFC 4594 Configuration Guidelines for DiffServ Service Classes RFC 4941 Privacy Extensions for Stateless Address Autoconfiguration in IPv6 RFC 2460 IPv6 Specification RFC 2711 IPv6 Router Alert Option RFC 3315 DHCPv6 (client and relay) RFC 4291 IP Version Addressing Architecture
6
RFC 4862 IPv6 Stateless Address Auto-configuration RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 RFC 1213 MIB II RFC 1907 SNMPv2 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Notification MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2737 Entity MIB (Version 2) RFC 3414 SNMP-User basedSM MIB RFC 3415 SNMP-View basedACM MIB LLDP-EXT-DOT1-MIB RFC 1587 OSPF NSSA RFC 2328 OSPFv2 RFC 3101 OSPF NSSA 18/105 S1_P4_Implementační projekt
344
RFC 3137 OSPF Stub Router Advertisement RFC 3623 Restart
Graceful
OSPF
RFC 4577 OSPF as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual Private Networks (VPNs) RFC 4811 OSPF Out-of-Band LSDB Resynchronization RFC 4812 Signaling
OSPF
Restart
RFC 4813 OSPF Link-Local Signaling IEEE 802.1P (CoS) RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 3247 Supplemental Information for the New Definition of the EF PHB (Expedited Forwarding Per-Hop Behavior) RFC 3260 New Terminology and Clarifications for DiffServ Access Control Lists (ACLs) SSHv2 Secure Shell Hewlett Packard 5500HI 24G Access/DMZ Porty
24x RJ-45 10/100/1000
Ano
4x Gigabit SFP
Ano
2x SFP+ 10 GbE
Ano, rozšířitelné až na 6x SFP+
Napájecí zdroj
2x napájecí zdroj
Ano, stejný interní s primárním zdrojem
Paměť
512 MB flash, 1 GB SDRAM
Ano
10 Gbps latence
Maximálně 3 μs
Ano
1 Gbps latence
Maximálně 5 μs
Ano
model
19/105 S1_P4_Implementační projekt
345
Propustnost
130,9 milionu sekundu
Propustnost Routing/Switching
176 Gbps
Velikost tabulky
paketu
za
Ano, 176 Gbps
routovací 12 000 záznamů
Management
Ano, minimálně 130,9 milionů paketů za sekundu
Ano, 12 000 záznamů IPv4
Podpora Zálohování a obnova konfigurace síťových prvků
Ano, Hewlett Packard IMC
Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Podpora virtualizace
Ano
Ano, Intelligent Framework (IRF) Virtual Router Protocol (VRRP)
Podpora transceiveru
Resilient Redundancy
1G SFP LC LH40 1310nm Ano Transceiver 1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver 100M SFP Transceiver
LC
LH40
100M SFP Transceiver
LC
LH80
10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC Transceiver
BX
10-U
1G SFP LC Transceiver
BX
10-D
100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 20/105 S1_P4_Implementační projekt
346
10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver 100M SFP Transceiver
LC
LX10
1G SFP LC LX Transceiver Podporované standarty
RFC 1157 SNMPv1/v2c
Ano
RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 Applications)
(SNMPv3
RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 Framework)
(Management
RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q (GVRP) 21/105 S1_P4_Implementační projekt
347
IEEE 802.1w Reconfiguration of Tree
Rapid Spanning
IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae Ethernet IEEE 802.3af Ethernet
10-Gigabit Power
over
IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1305 NTPv3 RFC 1350 (revision 2)
TFTP
Protocol
RFC 1519 CIDR RFC 1723 RIP v2 22/105 S1_P4_Implementační projekt
348
RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting RFC 3246 Forwarding PHB
Expedited
RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Simple Network Management Protocol (SNMP) RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface 23/105 S1_P4_Implementační projekt
349
(API) for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Restart
Graceful
OSPF
RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management
24/105 S1_P4_Implementační projekt
350
RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 Discovery
IPv6
Neighbor
RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2475 Architecture
IPv6
DiffServ
RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Address Allocation
Multicast
RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Selection for IPv6 RFC
3493
Basic
Address Socket 25/105
S1_P4_Implementační projekt
351
Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Definitions
Concise
MIB
RFC 1213 MIB II RFC 1657 BGP-4 MIB RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting 26/105 S1_P4_Implementační projekt
352
Client MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User basedSM MIB RFC 3415 SNMP-View basedACM MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 definitions
Concise
MIB
RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 Introduction RFC 1918 Private Address Allocation
SNMPv2 Internet
RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM)
27/105 S1_P4_Implementační projekt
353
RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sFlow RFC 3410 Introduction to Version 3 of the Internetstandard Network Management Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDPMED) SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control 28/105 S1_P4_Implementační projekt
354
RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 Authentication
RADIUS
Access/Mgmt přepínače Hewlett Packard 5500HI 48G Access/Management Porty
48x RJ-45 10/100/1000
Ano
4x Gigabit SFP
Ano
2x SFP+ 10 GbE
Ano, rozšířitelné na 6x SFP+
Napájecí zdroj
2x napájecí zdroj
Ano, stejný interní s primárním zdrojem
Paměť
512 MB flash, 1 GB SDRAM
Ano
10 Gbps latence
3 μs
Ano
1 Gbps latence
5 μs
Ano
Propustnost
166,6 milionu sekundu
paketu
za
model
Ano, 166,6 milionů paketů za sekundu
Propustnost – 224 Gbps Routing/Switching
Ano, 224 Gbps
Velikost tabulky
Ano, 12 000 záznamů IPv4
routovací 12 000 záznamů
Management
Podpora Zálohování a obnova konfigurace síťových prvků
Ano, Hewlett Packard IMC
Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Podpora virtualizace
Ano
Ano, Intelligent Framework (IRF) Virtual Router Protocol (VRRP)
Podpor transceiveru
Resilient Redundancy
1G SFP LC LH40 1310nm Ano Transceiver 29/105
S1_P4_Implementační projekt
355
1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver 100M SFP Transceiver
LC
LH40
100M SFP Transceiver
LC
LH80
10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC Transceiver
BX
10-U
1G SFP LC Transceiver
BX
10-D
100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver 100M SFP Transceiver
LC
LX10
1G SFP LC LX Transceiver Podporované standarty
RFC 1657 Definitions of Managed Objects for BGPv4
Ano
RFC 1157 SNMPv1/v2c RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 Applications)
(SNMPv3
30/105 S1_P4_Implementační projekt
356
RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 Framework)
(Management
RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q (GVRP) IEEE 802.1w Reconfiguration of Tree
Rapid Spanning
IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae Ethernet IEEE 802.3af Ethernet
10-Gigabit Power
over
IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP 31/105 S1_P4_Implementační projekt
357
RFC 793 TCP RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1305 NTPv3 RFC 1350 (revision 2)
TFTP
Protocol
RFC 1519 CIDR RFC 1542 BOOTP Extensions RFC 1723 RIP v2 RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting 32/105 S1_P4_Implementační projekt
358
RFC 3246 Forwarding PHB
Expedited
RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Simple Network Management Protocol (SNMP) RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface (API) for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Restart
Graceful
OSPF
RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition 33/105 S1_P4_Implementační projekt
359
Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2858 Multiprotocol Extensions for BGP-4 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 Discovery
IPv6
Neighbor
RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 34/105 S1_P4_Implementační projekt
360
over Ethernet Networks RFC 2475 Architecture
IPv6
DiffServ
RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Address Allocation
Multicast
RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Selection for IPv6
Address
RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Definitions
Concise
MIB
RFC 1213 MIB II RFC 1657 BGP-4 MIB 35/105 S1_P4_Implementační projekt
361
RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting Client MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User basedSM MIB RFC 3415 SNMP-View basedACM MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 definitions
Concise
MIB
36/105 S1_P4_Implementační projekt
362
RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 Introduction RFC 1918 Private Address Allocation
SNMPv2 Internet
RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM) RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sFlow RFC 3410 Introduction to Version 3 of the Internetstandard Network Management 37/105 S1_P4_Implementační projekt
363
Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model (VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDPMED) SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 Authentication
RADIUS
Hewlett Packard TippingPoint S2600NX Prvek IPS Porty
Velikost Provedení
Požadavek
Splnění požadavku
Podpora: RJ-45 10/100/1000Base-T Gigabit SFP (1000Base-T; 1000BaseSX; 1000Base-LX) 10 GbE SFP+ (10GBase-SR; 10GBaseLR; 10GBase-DAC (Direct Attach)) 40 GbE QSFP+ Max 2U v 19" rozvaděči Modulární, s Hot swap výměnou modulů
Ano, 4x HotSwap I/O Modules
Ano Ano
38/105 S1_P4_Implementační projekt
364
Napájecí zdroj Latence Propustnost – Inspekce Propustnost pro provoz obcházející inspekci Počet současně navázaných sessions Počet nových sessions za sekundu Počet kontextu zabezpečení Vysoká dostupnost páru zařízení Podpora L2 Fallback Integrovaná podpora Zero Power High Availability (ZPHA) pro optické i metalické porty Management
Komunikační protokoly Požadovaná inspekce transportních systémů Bezpečnost
2x AC 230V napájecí zdroj s volitelnou možností použití DC -48V zdroje Méně než 40 μs 3 Gb/s
Ano
40 Gb/s
Ano
30 milionů
Ano, 30 milionů
300000
Ano, 300 000
2600000
2,6 milionů
Schopnost páru IPS zařízení pracovat v Active-Active módu
Ano
v případě interní chyby software, nebo zahlcení systému, systém musí v případě problému být transparentní a neblokovat provoz Systém musí v případě problému být transparentní a neblokovat provoz
Ano
Management Server Command line interface Syslog, Syslog NG, podpora CEF protokolu pro Syslog/Syslog NG Webový prohlížeč Management information base (MIB) Identická podpora IPv4 i IPv6 s výhradním použitím zabezpečených protokolů pro management VLAN 802.1Q, VLAN QinQ 802.1ad, GRE, MPLS, VPLS, IPv4, IPv6
Ano
Hloubková aplikační inspekce s aplikační a obsahovou kontrolou Automatická ochrana k omezení tzv. „zero day vulnerabilities“ Automatická aktualizace filtrů minimálně jednou týdně Geolokace, integrace a Active Directory, Metadata, Reputační databáze Možnost vytváření vlastních filtrů
Ano
Ano Ano
Ano, Bypass Module
Ano
Ano
39/105 S1_P4_Implementační projekt
365
Možnost importu signatur komunity SNORT Zázemí vlastního bezpečnostního výzkumného týmu Schopnost provádět inspekci na distribuovaných linkách, které nepracují v symetrickém módu ( EtherChannel, LACP, ECMP a podobně) 1G SFP LC LX Transceiver 1G SFP LC SX Transceiver 1G SFP RJ45 T Copper 10G SFP+ LC SR 10G SFP+ LC LR 40G QSFP+ SR4 850nm
Podpora asymetrických linek Podporované transceivery
Ano
Ano
Hewlett Packard Security Management System Appliance Prvek Požadavek Management IPS Počet Min. 20 spravovaných IPS Velikost Max. 1U v 19“ rozvaděči
1.2.3.
Splnění požadavku Ano, 25
Ano
Serverové stanice
1.2.3.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Manipulační prostor pro dodávku nových prvků Zajištění dostatečného příkonu a chlazení v zálohovací lokalitě
1.2.3.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.2.3.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Server TSM02 bude integrován do stávajícího datového centra Zadavatele. Veškeré servery budou integrovány do prostředí Zadavatele. Integrace v existujícím prostředí je zohledněna v průběhu implementace služby.
1.2.3.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje o Datové centrum 40/105
S1_P4_Implementační projekt
366
o
Síťové služby - HW
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.
Serverové stanice
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace serverů 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Dodávka serverů Montáž (instalace) dodávaných zařízení do racku – zapojení Zapojení LAN, KVM, el. energie Upgrade firmware jednotlivých komponent serveru Změna defaultních administračních přístupových hesel k zařízením Inicializace a konfigurace jednotlivých komponent serveru (BIOS, RAID, LAN, CPU, RAM) Konfigurace remote management Instalace OS (- viz. Platforma OS) Instalace management nástrojů výrobce serveru Otestování stability (Kompletní oživení dodaných zařízení) – Zahoření
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Instalace serverů 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Dodávka serverů Montáž (instalace) dodávaných zařízení do racku – zapojení Zapojení LAN, KVM, el. energie Upgrade firmware jednotlivých komponent serveru Změna defaultních administračních přístupových hesel k zařízením Inicializace a konfigurace jednotlivých komponent serveru (BIOS, RAID, LAN, CPU, RAM) Konfigurace remote management Instalace OS (- viz. Platforma OS) Instalace management nástrojů výrobce serveru Otestování stability (Kompletní oživení dodaných zařízení) – Zahoření
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele
41/105 S1_P4_Implementační projekt
367
Dodávka serverů
Montáž (instalace) dodávaných zařízení do racku – zapojení
Zapojení LAN, KVM, el. energie
Upgrade firmware jednotlivých komponent serveru Inicializace a konfigurace jednotlivých komponent serveru (BIOS, RAID, LAN, CPU, RAM)
Změna defaultních administračních přístupových hesel k zařízením
Konfigurace remote management
Instalace OS (- viz. Platforma OS)
Instalace management nástrojů výrobce serveru
Otestování stability (Kompletní oživení dodaných zařízení) – Zahoření
D.VI. Personální zajištění Za implementaci služeb je odpovědný HW Specialista Servery, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. HW Specialista Servery dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost bude kontrolovat splnění bezpečnostních požadavků Zadavatele. Hyper-V specialista spolupracuje při konfiguraci serverů pro provoz služeb Hyper-V. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 8 MD. HW Specialista Servery – 5 MD Vedoucí projektu – 0,5 MD Specialista pro bezpečnost – 0,5 MD Hyper-V specialista – 0,5 MD Systémový administrátor – 1 MD Dokumentarista – 0,5 MD
42/105 S1_P4_Implementační projekt
368
D.VII. Zajištění minimálních technických požadavků Hewlett Packard ProLiant DL560p Generation 8 Prvek Požadavek Aplikační servery – 4 Ks Min. osmijádrový procesor architektury x86 se spotřebou max. 95W a v osazení (počet procesorů) umožňujícím výkonové skóre ve sloupci Baseline minimálně: Procesor - 1000 bodů v benchmarku s názvem SPECint_rate2006 pro 4 enabled chips (http://www.spec.org/cpu2006/results/r int2006.html) K montáži do „racku“, výška serveru Provedení 2U Max. počet procesorů na 4 server Počet osazených 4 procesorů Min velikost Min. 20MB cache na procesor Min. 512GB Registered DDR3-1600, Velikost operační podpora Advanced ECC (nebo paměti RAM obdobná technologie opravy více (GB) bitové chyby paměti) Alespoň 192GB na jedno osazené CPU Max. velikost při zachování rychlosti paměti min. instalovatelné 1333MHz, tj. celkem až 768GB (při RAM 1333MHz) HDD (interní Min. 300GB - 15000 RPM, disk) s přenosovou rychlostí 6Gb/s Typ HDD SAS, za provozu vyměnitelné Počet HDD na 2 s možností rozšíření min. na 4 server Min. 8 portový SAS, cache min. 2GB, zálohovaná kapacitorem a flash pamětí, HW podpora RAID 0, 1, 5, volitelně 6, podpora pro SAS, SATA i Řadič disků SSD disky; řadič musí umožnit využití SSD disků jako cache pro logické oddíly uložené na klasických mechanických discích. Min. 6 portů 10 Gigabit, min. na třech Počet Ethernet samostatných LAN kartách včetně připojení veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Min. 6 portů PCI-Express, z toho Rozšiřující porty alespoň 2ks x16 Gen3 a současně alespoň 2ks x8 Gen3
Splnění požadavku Ano, osmijádrový procesor Intel Xeon E5-4640, 2.4 GHz / 8 Core / 20MB /95W
Ano Ano
Ano Ano Ano, 512GB RAM DDR3-1600 s Advanced ECC
Ano, max 1,5TB RAM na server
Ano, 300GB/15000 RPM Ano, Hot-Plug SAS disky Ano, osazené 2 disky, s rozšířením na max. 5 disků Ano, Hewlett Packard Smart Array P420i/2GB s FBWC, HW podpora RAID0/1/5 a volitelně RAID6 8x 6Gb/s SAS linek Hewlett Packard Smart Cache pro využití SSD disků jako Cache pro logické disky Ano, 6x 10Gb/s na třech samostatných LAN kartách Ano, PCI-e 3.0 – 2x x16 a současně 3x x8
43/105 S1_P4_Implementační projekt
369
Hewlett Packard ProLiant DL360p Generation 8 Prvek Požadavek Backup servery - 2 ks K montáži do „racku“, výška serveru Provedení 2U Max. počet procesorů na 2 server Počet osazených 2 procesorů Počet Core 6 procesoru Velikost CACHE 15 MB procesoru Max tepelný 130W výkon procesoru Výkon obodován 420 dle www.spec.org SPECfp_rate2006 Velikost operační 128 Registered DDR3-1600, podpora paměti RAM Advanced ECC (nebo obdobná (GB) technologie opravy více bitové chyby paměti) Řadič disků SAS, cache min. 1GB, 2x externí port (Mini SAS) x8 wide port connectors Typ pevných disků Velikost pevných disků Konektivita LAN
Splnění požadavku Ano Ano, max 2 CPU Ano, osazené 2 CPU Ano, 6 Core CPU Ano, 15MB Ano, 80W Ano, Intel Xeon E5-2630, 2.6 GHz / 6 Core / 15MB /80W Ano, 128GB RAM DDR3-1600 MHz s podporou Advanced ECC
SAS 15 tis. rpm
Ano, Hewlett Packard Smart Array P421/1GB FBWC, 2 Externí x4 MiniSAS konektory Ano, SAS 15 tis. RPM
300 GB RAID 1
Ano, 300GB RAID1
Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku
Ano 6x 10Gbit/s na třech samostatných LAN kartách
Hewlett Packard ProLiant DL360p Generation 8 Prvek Požadavek Linux servery -2 ks K montáži do „racku“, výška serveru Provedení 1U Počet osazených 2 soketů Počet Core 8 procesoru Velikost CACHE 20 MB procesoru Max tepelný 115W výkon procesoru Výkon obodován 484 dle www.spec.org SPECfp_rate2006 Velikost operační 256 Registered DDR3-1600, podpora
Splnění požadavku Ano Ano, 2 osazené CPU Ano, 8 Core Ano, 20MB Ano, 115W Ano, Intel Xeon E5-2670, 2.6 GHz / 8 Core / 20MB /115W Ano, 256GB DDR3-1600 MHz, s 44/105
S1_P4_Implementační projekt
370
paměti RAM (GB) Typ pevných disků Velikost pevných disků Konektivita LAN
Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti) SAS 15 tis. rpm
podporou Advanced ECC
300 GB RAID 1
Ano, 300GB RAID1
Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku
Ano, 6x 10Gbit/s na třech samostatných LAN kartách
Ano, SAS 15 tis. RPM
Hewlett Packard ProLiant DL560p Generation 8 Prvek Požadavek DMZ servery – 2 ks Min. osmijádrový procesor architektury x86 se spotřebou max. 95W a v osazení (počet procesorů) umožňujícím výkonové skóre ve sloupci Baseline minimálně: Procesor - 1000 bodů v benchmarku s názvem SPECint_rate2006 pro 4 enabled chips ( http://www.spec.org/cpu2006/results/ rint2006.html/ ) K montáži do „racku“, výška serveru Provedení 2U Max. počet procesorů na 4 server Počet osazených 4 procesorů Min velikost Min. 20MB cache na procesor Min. 512GB Registered DDR3-1600, podpora Advanced ECC (nebo RAM obdobná technologie opravy více bitové chyby paměti) Alespoň 192GB na jedno osazené CPU Max. velikost při zachování rychlosti paměti min. instalovatelné 1333MHz, tj. celkem až 768GB (při RAM 1333MHz) HDD (interní Min. 300GB - 15000 RPM, disk) s přenosovou rychlostí 6Gb/s Typ HDD SAS, za provozu vyměnitelné Počet HDD na 2 s možností rozšíření min. na 4 server Min. 8 portový SAS, cache min. 2GB, zálohovaná kapacitorem a flash pamětí, HW podpora RAID 0, 1, 5, Řadič disků volitelně 6, podpora pro SAS, SATA i SSD disky; řadič musí umožnit využití SSD disků jako cache pro logické
Splnění požadavku Ano, Intel Xeon E5-4640, 2.4 GHz / 8 Core / 20MB /95W
Ano Ano, max. 4 procesory na server
Ano, osazeny 4 procesory Ano, 20MB Ano, 512GB DDR3-1600 MHz, s podporou Advanced ECC
Ano, max. 1,5TB RAM
Ano, 300GB/15000 RPM Ano, SAS Hot-Plug disky Ano, 2 osazené disky s možností rozšíření na max. 5 disků Ano, Hewlett Packard Smart Array P420i/2GB s FBWC, HW podpora RAID0/1/5 a volitelně RAID6 8x 6Gb/s SAS linek Hewlett Packard Smart Cache pro využití SSD disků jako Cache pro 45/105
S1_P4_Implementační projekt
371
Počet Ethernet připojení
Rozšiřující porty
oddíly uložené na klasických mechanických discích. Min. 4 portů 10 Gigabit, min. na dvou samostatných LAN kartách Min. 2 porty 1Gbit/s RJ-45 včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Min. 6 portů PCI-Express, z toho alespoň 2ks x16 Gen3 a současně alespoň 2ks x8 Gen3
logické disky Ano, 4x 10Gb/s 4x 1Gb/s RJ-45
Ano, PCI-e 3.0 – 2x x16 a současně 3x x8
Hewlett Packard ProLiant DL360p Generation 8 Prvek Požadavek Služební servery – 2 ks K montáži do „racku“, výška serveru Provedení 1U Max. počet procesorů na 2 server Počet osazených 2 soketů Počet Core 8 procesoru Velikost CACHE 20 MB procesoru Max tepelný 115W výkon procesoru Výkon obodován 484 dle www.spec.org SPECfp_rate2006 Velikost operační 256 Registered DDR3-1600, podpora paměti RAM Advanced ECC (nebo obdobná (GB) technologie opravy více bitové chyby paměti) Typ pevných SAS 15 tis. rpm disků Velikost pevných 300 GB RAID 1 disků Konektivita LAN Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Všechny servery musí splňovat následující vlastnosti: Vlastnost Požadavek Napájení
Min. 2x s účinností 92% a vyšší
Kompatibilita
Nabízený server musí být kompatibilní s OS: MS Windows Server Linux (min. RHES, SLES, OEL)
Splnění požadavku Ano Ano Ano, 2 osazené CPU Ano, 8 Core Ano, 20MB Ano, 115W Ano, Intel Xeon E5-2670, 2.6 GHz / 8 Core / 20MB /115W Ano, 256GB DDR3-1600 MHz, s podporou Advanced ECC
Ano, SAS 15 tis. RPM Ano, 300GB RAID1 Ano, 6x 10Gbit/s na třech samostatných LAN kartách
Splnění požadavku Ano, Common Slot Gold Hot Plug Power Supply (92% účinnost) Ano, kompatibilita s: Microsoft Windows Server Canonical Ubuntu Red Hat Enterprise Linux (RHEL) 46/105
S1_P4_Implementační projekt
372
Citrix XenServer
Redundantní prvky Prediktivní analýza poruch
Ventilátory a zdroje, oboje vyměnitelné za provozu Pevné disky, procesory, paměť vzdálený přístup přes dedikované ethernet rozhraní ochrana heslem zabezpečení komunikace SSL, AES/3DES, RC4 vzdálený přístup umožňuje provést tyto operace se serverem: power on/off, reset, remote control, update BIOS, výběr bootovacího zařízení remote control umožňuje sledovat start serveru (bios), start OS a běh OS (grafické i textové rozhraní)
Dálková správa serveru
možnost vyvolat NMI přerušení nedostupného OS virtuální KVM konsole u grafické konsole pro MS Windows rozlišení min až 1600x1200 integrace MS Terminal Services (tj. možnost přesměrování terminálových služeb Windows na dedikovaný management port) podpora virtuálních médií (CD, DVD, ISO image, USB disk, vzdálený adresář)
SUSE Linux Enterprise Server (SLES) Oracle Solaris VMware Citrix XenServer Ano, napájecí zdroje a ventilátory vyměnitelné za provozu Ano, prediktivní analýza poruch pro disky, procesory, paměťové moduly Ano, vzdálená správa: vzdálený přístup přes dedikované ethernet rozhraní ochrana heslem zabezpečení komunikace SSL, AES/3DES, RC4 vzdálený přístup umožňuje provést tyto operace se serverem: power on/off, reset, remote control, update BIOS, výběr bootovacího zařízení remote control umožňuje sledovat start serveru (bios), start OS a běh OS (grafické i textové rozhraní) možnost vyvolat NMI přerušení nedostupného OS virtuální KVM konsoleu grafické konsole pro MS Windows rozlišení min až 1600x1200 integrace MS Terminal Services (tj. možnost přesměrování terminálových služeb Windows na dedikovaný management port) podpora virtuálních médií (CD, DVD, ISO image, USB disk, vzdálený adresář) možnost využití běžných www prohlížečů integrovaných v desktopovém OS pro správu serverů (IE, Firefox)
možnost využití běžných www prohlížečů integrovaných v desktopovém OS pro správu serverů (IE, Firefox)
SW pro vzdálenou správu
centralizovanou vzdálenou správu HW a shromažďování informací o konfiguraci a stavu jednotlivých HW komponent serverů (včetně ukládání těchto informací do databáze k dalšímu využití) detekci a zasílání zpráv (minimálně
Ano, SW pro vzdáleno správu: centralizovanou vzdálenou správu HW a shromažďování informací o konfiguraci a stavu jednotlivých HW komponent serverů (včetně ukládání těchto informací do databáze k dalšímu využití) detekci a zasílání zpráv (minimálně 47/105
S1_P4_Implementační projekt
373
pomocí protokolu SNMP) o chybových stavech řízení přístupových práv k centrální části SW a k management nástrojům na serverech pomocí účtů Active Directory domény WWW rozhraní SW pro umožnění přístupu k poskytovaným informacím i pro správce jednotlivých pracovišť nástroj pro automatizovaný skriptovaný a image based PXE deployment nástroj pro neomezenou migraci ze starých na nové servery (fyzického na fyzický, fyzického na virtuální, virtálního na fyzický a virtuálního na virtuální) výkonnostní monitoring komponent (CPU, RAM, HDD, LAN) pro Windows a Linux OS, který umožní online i offline analýzu serverů
pomocí protokolu SNMP) o chybových stavech řízení přístupových práv k centrální části SW a k management nástrojům na serverech pomocí účtů Active Directory domény WWW rozhraní SW pro umožnění přístupu k poskytovaným informacím i pro správce jednotlivých pracovišť nástroj pro automatizovaný skriptovaný a image based PXE deployment nástroj pro neomezenou migraci ze starých na nové servery (fyzického na fyzický, fyzického na virtuální, virtálního na fyzický a virtuálního na virtuální) výkonnostní monitoring komponent (CPU, RAM, HDD, LAN) pro Windows a Linux OS, který umožní online i offline analýzu serverů měření a řízení spotřeby serverů s možností uzamknutí příkonu serveru monitorování okamžité teploty a záznam hodnot do lokální db
měření a řízení spotřeby serverů s možností uzamknutí příkonu serveru monitorování okamžité teploty a záznam hodnot do lokální db Záruční doba Možnost vzdáleného zjištění sériového čísla komponentů Prohlášení o shodě Veškerý dodávaný hardware je nový a nepoužitý Dokumentace k produktu
Minimálně 5 let NBD oprava na místě
Ano, servisní podpora na 5let, v souladu s přílohou č. 3. garantovaná doba opravy 6 hodin od nahlášení, oprava v místě instalace Ano, možnost vzdáleného zjištění sériového čísla
Ano Ano, prohlášení o shodě
Ano
Ano, veškerý dodávaný HW je nový a nepoužitý Ano
Ano, dokumentace k produktu
Ano
48/105 S1_P4_Implementační projekt
374
1.2.4.
FW služby a bezpečnost – HW
1.2.4.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS
Součinnost ze strany Provozovatele a dodavatele aplikace MS2014
Spolupráce při tvorbě komunikační matice s ohledem na provoz aplikace MS2014+ Spolupráce při tvorbě komunikačních pravidel
1.2.4.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.2.4.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Stávající bezpečnostní prvky budou integrovány do nově budované bezpečnostní infrastruktury.
1.2.4.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje o Datové centrum o Síťové služby – HW o Serverové stanice
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. Primární lokalita – HW
1x IPS 2x Firewall
2x NetScaler MPX 5500 Platinum Edition včetně podpory
Primární lokalita - SW
Licence pro FW
SW vybavení pro Bezpečnostní monitoring
Zálohovací lokalita – HW
1x Firewall
Zálohovací lokalita - SW
Licence pro FW 49/105
S1_P4_Implementační projekt
375
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Primární 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.
Instalace prvků do rackové skříně Připojení silové kabeláže a datových propojů Kontrola a případný upgrade nově dostupných firmware Základní konfigurace (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace FW (směrování komunikace, zone based access, NTP server, povolení komunikačních pravidel, IPS, monitoring, reporting) Konfigurace FW - vytvoření pravidel DMZ Konfigurace FW - IPSEC VPN tunel mezi lokalitami Konfigurace vysoké dostupnosti na prvcích (CITRIX NetScaler, FW) Konfigurace IPS (vytvoření pravidel, monitoring, reporting) Konfigurace CITRIX NetScaler (aplikační FW, monitoring, reporting) Instalace a konfigurace SW pro bezpečnostní monitoring
Zálohovací 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Instalace prvků do rackové skříně Připojení silové kabeláže a datových propojů Kontrola a případný upgrade nově dostupných firmware Základní konfigurace (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace FW (směrování komunikace, zone based access, NTP server, povolení komunikačních pravidel, IPS, monitoring, reporting) Konfigurace FW - vytvoření pravidel DMZ Konfigurace FW - IPSEC VPN tunel mezi lokalitami Konfigurace vysoké dostupnosti na prvcích (CITRIX NetScaler) Rekonfigurace stávajícího CITRIX NetScaler (aplikační FW, monitoring, reporting)
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace.
D.V. Personální zajištění Za implementaci služeb je odpovědný Síťový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Síťový specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost kontroluje dodržování bezpečnostních pokynů Zadavatele a podílí se na tvorbě komunikačních pravidel a přístupové matice. Specialista pro MS Windows Server provede instalaci management nástrojů pro IPS a finální konfiguraci bezpečnostního štítu v závislosti na provoz aplikace MS2014+ ve spolupráci se specialistou pro bezpečnost a síťovým specialistou. Specialista pro zálohování spolupracuje při vytváření záloh konfigurací dodávaných 50/105 S1_P4_Implementační projekt
376
bezpečnostních systémů. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 13 MD. Síťový specialista – 7 MD Specialista pro MS Windows Server – 1 MD Vedoucí projektu – 0,5 MD Specialista pro bezpečnost – 2 MD Specialista pro zálohování – 0,5 MD Systémový administrátor – 1 MD Dokumentarista – 1 MD
D.VI. Zajištění minimálních technických požadavků FortiNet FG-1500D
Prvek Firewall Porty Napájecí zdroj Paměť Latence Propustnost (1518/512/64 byte UDP pakety) Počet současně navázaných sessions Počet nových sessions za sekundu Podpora virtualizace Počet Firewall politik IPSEC VPN propustnost Gateway – Gateway IPSEC VPN tunelů Client – Gateway IPSEC VPN tunelů SSL VPN propustnost IPS propustnost Podpora
Požadavek
Splnění požadavku
2x RJ-45 10/100/1000 10x Gigabit SFP 8x SFP+ 10 GbE 2x napájecí redundantní zdroj 64 GB 5 μs 40 Gbps
Ano, 18x Ano, 16x Ano, 8x Ano Ano, 240 GB Ano, 3 μs Ano, 80/80/55Gbps
9 milionů
Ano, 12 milionů
190000
Ano, 250 000
Ano
Ano
90000
Ano, 100 000
16 Gbps
Ano, 50 Gbps (512 byte packets)
9000
Ano, 10 000
50000
Ano, 50 000
500 Mbps
Ano, 4 Gbps
6 Gbps Ano – min. 10
Ano, 11 Gbps Ano, up to 250 51/105
S1_P4_Implementační projekt
377
virtuálních FW Vysoká dostupnost Velikost
Aktiv – Aktiv
Ano
Max. 2U v 19“ rozvaděči
Ano
1.2.5.
Jednotný datový prostor (SAN)
1.2.5.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS
1.2.5.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.2.5.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Diskový prostor v rámci stávající Oracle Exadata rekonfigurován v návaznosti na požadavky prostředí pro zálohování. V rámci této rekonfigurace dojde nejprve k převedení stávajících dat do nového prostředí.
1.2.5.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje o Datové centrum o Síťové služby – HW o Serverové stanice o FW služby – bezpečnost – HW (částečně)
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. HW:
Diskové pole „Produkce – systémová infrastruktura“
Diskové pole „Produkce/Backup systémová infrastruktura“ Diskové pole „Produkční – Oracle Exadata“
SW:
Licence
52/105 S1_P4_Implementační projekt
378
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služeb jednotného datového prostoru 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Instalace diskových polí do racku Připojení datové a silové kabeláže (režim HA) Kontrola a případný upgrade nově dostupných firmware Změna defaultních administračních přístupových hesel k zařízením Zónování na úrovni diskového pole a cílových zařízení Příprava fyzických serverů (Instalace multipath ovladačů) Vytvoření diskových oblastí (LUN) Nastavení mapování diskových oblastí na konkrétní serverové stanice Inicializace disků na úrovni operačního systému Nastavení monitoringu a reportování
Kooperace diskových polí 1. 2. 3. 4.
Vytvoření replikačního vztahu mezi diskovými poli Nastavení replikační politiky Instalace a konfigurace SW pro snapshot Hyper-V Konfigurace snapshot a clone v rámci diskových polí
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace. Implementace služeb jednotného datového prostoru 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Instalace diskových polí do racku Připojení datové a silové kabeláže (režim HA) Kontrola a případný upgrade nově dostupných firmware Změna defaultních administračních přístupových hesel k zařízením Zónování na úrovni diskového pole a cílových zařízení Příprava fyzických serverů (Instalace multipath ovladačů) Vytvoření diskových oblastí (LUN) Nastavení mapování diskových oblastí na konkrétní serverové stanice Inicializace disků na úrovni operačního systému Nastavení monitoringu a reportování
Kooperace diskových polí 1. Vytvoření replikačního vztahu mezi diskovými poli 2. Nastavení replikační politiky 3. Instalace a konfigurace SW pro snapshot Hyper-V (HP 3PAR Software Suite for Microsoft Hyper-V) 4. Konfigurace snapshot a clone v rámci diskových polí 53/105 S1_P4_Implementační projekt
379
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele
Instalace diskových polí do racku
Připojení datové a silové kabeláže (režim HA)
Kontrola a případný upgrade nové dostupných firmware
Změna defaultních administračních přístupových hesel k zařízení
Zónování na úrovni diskového pole a cílových zařízení
Příprava fyzických serverů (Instalace multipath ovladačů)
Vytvoření diskových oblastí (LUN)
Nastavení mapování diskových oblastí na konkrétní serverové stanice
Inicializace disků na úrovni operačního systému
Nastavení monitoringu a reportování
D.VI. Personální zajištění Za implementaci služeb je odpovědný HW Specialista Storage, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. HW Specialista Storage dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Síťový specialista zajišťuje propojení jednotlivých zařízení a konfiguraci FCoE aktivních prvků. HW Specialista Servery zodpovídá za konfiguraci serverových stanic pro komunikaci s diskovými poli. Specialista pro bezpečnost zajišťuje splnění bezpečnostních požadavků Zadavatele. Databázový specialista při implementaci služby definuje potřebné velikosti diskových oddílů a spolupracuje při konfiguraci databázových serverů pro komunikaci s diskovými poli. Konfiguraci na úrovni operačního systému a podřadných služeb zajišťuje Specialista pro MS Windows Server. Hyper-V specialista se podílí na konfiguraci disku pro jednotlivé virtuální instance. Za diskový prostor pro potřeby zálohovacích služeb zodpovídá Zálohovací specialista. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 40,5 MD. HW Specialista Storage – 15 MD Vedoucí projektu – 1 MD HW Specialista Servery – 3 MD Síťový specialista – 0,5 MD 54/105 S1_P4_Implementační projekt
380
Specialista pro bezpečnost – 0,5 MD Databázový specialista – 1 MD Specialista pro MS Windows Server – 4 MD Hyper-V Specialista – 1,5 MD Specialista pro zálohování – 2 MD Systémový administrátor – 10 MD Dokumentarista – 2 MD
D.VII. Zajištění minimálních technických požadavků Pro produkční storage jsou nabízena dvě disková pole HP 3PAR StoreServ 7400 v následujících konfiguracích: Paramentr Kontroler Rozšíření kontroleru Disky - Tier 1 Disky - Tier 2 Disky - Tier 3 SW pro tiering SW pro replikaci dat SW pro reporting SW pro Integraci s hypervizorem
"Produkce" 2x kontroler iSCSI/FCoE card 10x 200GB SSD 3,5" 12x 900GB SAS 2,5" 12x 2TB SATA 3,5" Optimization Suite Replication Suite Reporting suite Application Software Suite for Hyper-V
"Produkce/Backup" 2x kontroler iSCSI/FCoE card 10x 200GB SSD 3,5; 12x 900GB SAS 2,5; 14x 3TB SATA 3,5 Optimization Suite; Replication Suite; Reporting suite; Application Software Suite for Hyper-V
Specifikace diskových oblastí
10
12
10,8 TB
14
NS 7,2 tis. rpm (2 TB) NS 7,2 tis. rpm (3 TB)
Celková hrubá kapacita
12
10,8 TB
Typ disku
2 TB
SAS 10 tis. rpm (900 GB) SAS 10 tis. rpm (900 GB)
Pomalá oblast Počet disků
12
Celková hrubá kapacita
2 TB
Typ disku
Počet disků
Produkce/Backup systémová infrastruktura
SSD (200 GB) SSD (200 GB)
Rychlá oblast
Celková hrubá kapacita
Produkce – systémová 10 infrastruktura
Typ disku
Funkce storage
Počet disků
Ultra rychlá oblast
24 TB
42 TB
Hewlett Packard 3PAR StoreServ 7400 Prvek Diskové pole Typ zařízení
Požadavek
Splnění požadavku
Diskové pole typu SAN, plně odolné proti výpadku klíčových komponent (no single point of failure) včetně řadičů, cache paměti, ventilátorů, napájecích zdrojů. Modulární architektura
Ano
55/105 S1_P4_Implementační projekt
381
Počet řadičů Diskový subsystém
Paměť cache Připojení hostů – porty na jeden řadič Možných instalovaných SSD pevných disků Podpora RAID Možnosti rozšíření kapacity
Podporované osazení RAID řadiče
Redundance, Hotplug komponenty Firmware Storage software
2 Dle výše uvedené tabulky jednotlivý fyzický disk musí být schopen obsluhovat více logických disků s různým stupněm zabezpečení dat (RAID) Min. 24 GB DRAM/SRAM s možností dalšího rozšíření 10Gb/s iSCSI/FCoe – min. 2
Ano, rozšířitelné na 4 Ano
Alespoň ½ z celkové osaditelného počtu disků
Ano, možno osadit až 240 disky SSD
0, 1, 5, 6 Možnost rozšíření kapacity dodané konfigurace min. o 200% – poměr typů a kapacit disků musí být identický s výše uvedenou tabulkou přehled prvků storage Možnost rozšíření min. na 140 disků bez nutnosti výměny řadičů Možnost osazení HDD 2,5“ a 3,5“ současně Možnost osazení HDD SSD, SAS, NL-SAS současně Dva redundantní hot-plug řadiče typu active/active se symetrickým přístupem (ne asymmetric logical unit access) Každý logický disk je obsluhován oběma řadiči současně Dodávka musí obsahovat příslušné kabely a řadiče pro připojení k serveru do SAN Podpora on-line změny RAID zabezpečení logického disku a jeho on-line přesunutí na jinou vrstvu (tier) Hot-plug redundantní zdroje, hot-plug redundantní větráky, hot-plug disky
Ano Ano, možné rozšíření až na 480 disků
Online firmware upgrade na řadičích i discích Konfigurace musí obsahovat: Licence pro tvorbu shapshotů a klonů (min. 100 snapshotů na LUN) Licence pro připojení min. 64 serverů Software pro monitoring pole s možností sledování výkonu Software pro „thin provisioning“ na dodanou kapacitu s podporou okamžité reklamace diskového prostoru
Ano
Ano, 32 GB s možností rozšíření Ano
Ano, možné současné osazení SSD SAS a NL-SAS disky Ano, 2 redundantní HotPlug řadiče s Active/Active symetrickým přístupem Každý logický disk je obsluhován oběma řadiči současně Dodávka obsahuje příslušné kabely a řadiče Možnost on-line změny RAID zabezpečení a přesunutí logického disku na jinou vrstvu
Ano
Ano, konfigurace obsahuje SW pro: Lokální kopie dat – snapshoty, klony – HP Virtual Copy, více než 100 snapshotů na LUN Počet připojených serverů bez omezení Monitoring diskového pole – HP System Reporter „Thin Provisioning“ – HP Thin Suite – okamžitá reklamace volného 56/105
S1_P4_Implementační projekt
382
Další vlastnosti
Podporované operační systémy
1.2.6.
Software pro automatický „subLUN tiering“ mezi SSD, SAS a NL-SAS vrstvou na celou dodanou kapacitu Multipathing software pro dodávané servery Diskové pole musí umožnit vzdálenou replikaci dat na úrovni řadičů bez omezení velikosti a počtu replikovaných LUN Možnost bez výpadku zvětšit velikost LUN Možnost bez výpadku rozšířit velikost RAID skupiny Integrace ovládání diskového pole přímo do rozhraní Hyper-V Vytváření LUN a formátování VMFS datastore Vytváření snapshotů a snapklonů nad Hyper-V Microsoft Windows Server včetně Microsoft Hyper-V Oracle Linux Red Hat EnterpriseLinux Red Hat Enterprise Virtualization Suse Linux Enterprise VMware vSphere včetně VAAI a VASA
prostoru na HW úrovni (ASIC) Automatický subLUN tiering – HP Adaptive Optimization Multipathing dodávané systémy Vzdálená replikace dat – HP Remote Copy – bez omezení kapacity Všechny licence jsou na celou dodanou kapacitu. Ano, integrace ovládání DP s prostředím Microsoft Hyper-V – HP 3PAR Application Software Suite for Microsoft Hyper-V
Ano, dále CITRIX XenServer, IBM AIX, HP-UX, Open VMS, Oracle Solaris
HSM služby
1.2.6.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Zajištění prostor pro nově dodávané zařízení do zálohovací, testovací/školící lokality
1.2.6.B Požadavky na odstávky prostředí Během implementace HSM služeb dojde ke krátkodobému odstavení DB služeb. Celková očekávaná doba nedostupnosti služeb nepřesáhne 6 hodin.
1.2.6.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím (školící / testovací a zálohovací) bude prováděna na úrovni zálohovací lokality. Součástí integrace je rekonfigurace Oracle Exadata pro využití ukládání šifrovacích klíčů SŘBD. Během implementace služby je nutné provést integraci se stávajícími webovými aplikačními službami CryptoID. Dále je nutné z důvodu ukládání aplikačních klíčů rekonfigurovat stávající souborové úložiště do clusterového režimu s vysokou dostupností.
57/105 S1_P4_Implementační projekt
383
1.2.6.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému Systémové služby o Databázové služby
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. HW
2ks nShield Connect 1500
1ks nShield Connect 500 1ks nShield Edge F3 – 1 unit
SW
8ks soft client licence 3ks Remote Operator Activation
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služby 1. Instalace a konfigurace HSM zařízení 2. Kontrola a případný upgrade nově dostupných firmware 3. Konfigurace vysoce dostupného souborového úložiště v obou lokalitách (ukládání klíčů) – Remote File System (RFS) 4. Prvotní inicializace Security World 5. Prvotní generování OCS sad karet 6. Konfigurace vzdáleného managementu HSM zařízení pro potřeby vzdálené správy – Remote Operator 7. Přidání dalšího HSM zařízení (vytvoření HA řešení) 8. Instalace a konfigurace klienta na DB cluster – inicializace SW modulů 9. Generování hlavního klíče pro šifrování dat Oracle DB 10. Nastavení replikace dat mezi úložišti (RFS)
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace služby 1. Zajištění vstupních požadavků implementace 58/105 S1_P4_Implementační projekt
384
2. Instalace a konfigurace HSM zařízení nShield Connect 3. Kontrola a případný upgrade nově dostupných firmware 4. Konfigurace vysoce dostupného souborového úložiště v obou lokalitách (ukládání klíčů) – (RFS) Remote File System (FS11, FS12, FS11-TST, FS12-TST) 5. Prvotní inicializace Security World 6. Prvotní generování OCS sad karet 7. Konfigurace vzdáleného managementu HSM zařízení pro potřeby vzdálené správy – Remote Operator 8. Přidání dalšího HSM zařízení nShield Connect (vytvoření HA řešení) 9. Instalace a konfigurace klienta na DB cluster – inicializace SW modulů 10. Generování hlavního klíče pro šifrování dat Oracle DB 11. Nastavení replikace dat mezi úložišti (RFS) 12. Konfigurace HSM vůči CryptoID komponentám (CryptoID11, CryptoID12, CryptoID11-TST, CryptoID12-TST)
D.V. Personální zajištění Za implementaci služeb je odpovědný Databázový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Databázový specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost bude řídit a definovat zacházení se šifrovacími klíči a bude zodpovědný za kontrolu dostupnosti uvedených klíčů. Síťový specialista bude zodpovědný za komunikační pravidla mezi HSM zařízeními a jejími klienty. Databázový administrátor zajišťuje šifrování obsahu DB pomocí šifrovacích klíčů generovanými HSM. Specialista pro MS Windows Server se podílí na implementaci HSM zařízení. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 32 MD. Specialista pro MS Windows Server – 2 MD Vedoucí projektu – 2 MD Síťový specialista – 3 MD Databázový specialista – 1 MD Databázový administrátor – 3 MD Specialista pro bezpečnost – 5 MD Systémový administrátor – 10 MD Dokumentarista – 6 MD
1.2.7.
Zálohovací služby – HW
1.2.7.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Archivace zálohovacích médií v trezoru v geograficky oddělené lokalitě
59/105 S1_P4_Implementační projekt
385
1.2.7.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.2.7.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Data z aktuálně provozovaných systému budou po implementaci ukládány na nově dodané zařízení.
1.2.7.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje o Datové centrum o Síťové služby – HW o Serverové stanice o FW služby a bezpečnost – HW o Jednotný datový prostor SAN o HSM služby
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. HW
Páskové zálohovací zařízení
SW
Licence
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služby 1. 2. 3. 4. 5. 6. 7.
Instalace prvku do rackové skříně Připojení silové kabeláže a datových propojů pomocí SAS rozhraní Kontrola a případný upgrade nově dostupných firmware Základní konfigurace (oživení) Změna defaultních administračních přístupových hesel k zařízením Příprava zálohovacích médií (BAR kódy) Založení médií do páskové knihovny
60/105 S1_P4_Implementační projekt
386
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace.
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele
Instalace prvku do rackové skříně
Připojení silové kabeláže a datových propojů pomocí SAS rozhraní
Kontrola a případný upgrade nově dostupných firmware Změna defaultních administračních přístupových hesel k zařízením
Základní konfigurace (oživení)
Příprava zálohovacích médií (BAR kódy)
Založení médií do páskové knihovny
D.VI. Personální zajištění Alokace potřebného personálu pro implementaci zálohovacích služeb je uvedena v Kapitole Zálohovací služby. Uvedené alokované zdroje zahrnují i implementaci HW.
D.VII. Zajištění minimálních technických požadavků Hewlett Packard StoreEver MSL4048 Prvek Zálohovací knihovna
Požadavek
Splnění
počet instalovaných mechanik
min. 2
počet slotů pro pásky
min. 48
nativní kapacita zálohovací pásky čtečka čárových kódů rozhraní pro update firmware
min. 2,5 TB
ANO, 2 instalované mechaniky LTO-6 s SAS rozhraním pro připojení k zálohovacím serverům ANO, 48 slotů pro pásky s možností rozšíření ANO 2,5 TB (LTO-6)
instalována USB
ANO, součástí zařízení ANO, USB port
61/105 S1_P4_Implementační projekt
387
možnost logicky rozdělit fyzickou knihovnu na více knihoven prezentovaných serverům
partitioning
1.2.1.
ANO, možnost logického rozdělení (1 logická knihovna na 1 páskovou mechaniku)
Konektivita datového centra
Služby konektivity datového centra jsou blíže specifikovány v katagolovém listu v rámci katalogu služeb.
1.3.
SLUŽBY OPERAČNÍHO SYSTÉMU
1.3.1.
Platforma OS
1.3.1.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Definice bezpečnostních standardů hesel lokálních administrátorských účtů Bezpečné uložení obálek s bezpečnostními přístupy lokálních administrátorských účtů
1.3.1.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.3.1.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Verze implementovaných operačních systémů budou ve všech lokalitách totožné. V prostředí Zadavatele jsou již implementovány určité platformy a nově dodané platformy budou integrovány do stávající koncepce. Cílem je provozovat systém s co nejmenším počtem platforem.
1.3.1.D Implementace D.I.
Vstupní požadavky implementace
Instalace fyzických instancí OS
HW zdroje o Datové centrum o Serverové stanice
Instalace virtuálních instancí OS
HW zdroje o Datové centrum o Síťové služby – HW o Serverové stanice o Jednotný datový prostor (SAN) 62/105
S1_P4_Implementační projekt
388
Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné / časové služby o Virtualizační služby
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.
14 ks licencí na MS Windows server v edici Datacenter včetně SA 8 ks licencí na MS External Connector včetně SA 4 ks licencí Oracle Linux Basic Limited 2 ks licencí Oracle VM Premier Limited Support
2 ks licencí Rad Hat Enterprise Linux Server
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace fyzických instancí OS Windows Server 1. Instalace OS Microsoft Windows SRV a. Vložení DVD do mechaniky (připojení virtuálního image) b. Kopírování instalačních souborů c. Instalace a konfigurace OS (optimalizace pagefile, memorydump) d. Boot systému 2. Off-line aktualizace OS 3. Update ovladačů zařízení 4. Zahoření – Testování stability 5. Pojmenování serveru 6. Níže zmíněné body jsou závislé na implementaci služeb: a. Adresářové služby b. Jmenné služby c. Časové služby d. Síťové služby - Přiřazení IP adresy 7. Přidání do domény 8. Nastavení centrálních politik 9. Aktivace licence OS Instalace virtuálních instancí OS Windows Server 1. Vytvoření virtuálního serveru a. Definování konfigurace (RAM, CPU, HDD, LAN) 2. Instalace OS Microsoft Windows SRV a. Vložení DVD do mechaniky (připojení virtuálního image) b. Kopírování instalačních souborů 63/105 S1_P4_Implementační projekt
389
3. 4. 5. 6. 7. 8. 9.
c. Instalace a konfigurace OS (optimalizace pagefile, memorydump) d. Boot systému Instalace Integration Services Konfigurace síťového rozhraní - Přiřazení IP adresy Aktualizace OS Pojmenování serveru Přidání do domény Aktivace licence OS Nastavení centrálních politik
Instalace fyzických instancí OS RedHat a Oracle Linux 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.
Základní instalace s rozdělením disků Úprava parametrů zavádění systému Konfigurace instalační repository Založení účtů administrátorů Zabezpečení přihlášení přes ssh Konfigurace lokálních disků zařazených v LVM Konfigurace diskových oddílů přiřazených z diskového pole Konfigurace síťového připojení Instalace knihoven a rpm vyžadovaných pro konkrétní účel serveru Konfigurace parametrů jádra a systému vyžadovaných pro konkrétní účel serveru Nastavení sběru základních statistik systému Synchronizace času se vzdáleným časovým serverem
Instalace virtuálních instancí OS RedHat a Oracle Linux 1. 2. 3. 4. 5. 6. 7.
Základní instalace s rozdělením disků Úprava parametrů zavádění systému Konfigurace instalační repository Založení účtů administrátorů Zabezpečení přihlášení přes ssh Instalace knihoven a rpm vyžadovaných pro konkrétní účel serveru Konfigurace parametrů jádra a systému vyžadovaných pro konkrétní účel serveru
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace fyzických instancí OS Windows Server (8x) 1. Zajištění vstupních požadavků implementace 2. Instalace OS Microsoft Windows SRV a. Vložení DVD do mechaniky (připojení virtuálního image) b. Kopírování instalačních souborů c. Instalace a konfigurace OS (optimalizace pagefile, memorydump) d. Boot systému 3. Off-line aktualizace OS 64/105 S1_P4_Implementační projekt
390
Update ovladačů zařízení Zahoření – Testování stability Pojmenování serveru Níže zmíněné body jsou závislé na implementaci služeb: a. Adresářové služby b. Jmenné služby c. Časové služby d. Síťové služby - Přiřazení IP adresy 8. Přidání do domény 9. Nastavení centrálních politik 10. Aktivace licence OS 4. 5. 6. 7.
Instalace virtuálních instancí OS Windows Server (56x) 1. Vytvoření virtuálního serveru a. Definování konfigurace (RAM, CPU, HDD, LAN) 2. Instalace OS Microsoft Windows SRV a. Vložení DVD do mechaniky (připojení virtuálního image) b. Kopírování instalačních souborů c. Instalace a konfigurace OS (optimalizace pagefile, memorydump) d. Boot systému 3. Konfigurace síťového rozhraní - Přiřazení IP adresy 4. Aktualizace OS 5. Pojmenování serveru 6. Přidání do domény 7. Aktivace licence OS 8. Nastavení centrálních politik 9. Zajištění vstupních požadavků implementace 10. Migrace virtuálních strojů na finální HW zdroje Instalace fyzických instancí OS RedHat a Oracle Linux (4x) Instalace fyzických instancí OS Linux bude probíhat plně v souladu se standardní instalací a uchazeč neočekává, žádné specifické činnosti. Instalace virtuálních instancí OS RedHat a Oracle Linux (4x) Instalace virtuálních instancí OS Linux bude probíhat plně v souladu se standardní instalací a uchazeč neočekává, žádné specifické činnosti.
D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. HW Specialista Servery zajišťuje instalaci OS na fyzických serverech. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude kontrolovat splnění bezpečnostních požadavků Zadavatele. Databázový specialista spolupracuje při implementaci OS Linux. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 10 MD. 65/105 S1_P4_Implementační projekt
391
Specialista pro MS Windows Server – 2 MD Vedoucí projektu – 1 MD HW Specialista Servery – 1 MD Databázový specialista – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 4 MD Dokumentarista – 0,5 MD
1.3.2.
Síťové a bezpečnostní služby
Popis uvedené kapitoly je uveden v kapitolách Síťové služby – HW a FW služby a bezpečnost – HW.
1.3.3.
Adresářové služby
1.3.3.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Bezpečné uložení obálek s bezpečnostními přístupy k IS MS2014 v trezoru Zadavatele Specifikace požadavků na adresářové služby z pohledu aplikace MS2014 Vynucení bezpečnostní politiky Zadavatele pro složitost a kompletnost doménových hesel Definice bezpečnostních standardů a politik domén Specifikace požadovaných přístupů Zadavatele a Provozovatele aplikace MS2014 Předání přístupových údajů k vytvořeným účtům Provozovateli aplikace MS2014
1.3.3.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.3.3.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Implementaci služby bude předcházet analýza existujícího ostrého prostředí v návaznosti na ustanovení 8.5 Přílohy č. 1 smlouvy - Technická specifikace díla. Z analýzy vyplyne hloubka integrace s existujícím prostředím. Pokud již v systému budou existovat uživatelské objekty, Uchazeč uvedené objekty zmigruje do nové prostředí s minimální ztrátou informací a nastavení Autentizační a autorizační objekty budou v maximální míře zachovány.
1.3.3.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému 66/105
S1_P4_Implementační projekt
392
o o o
Platforma OS Síťové a bezpečnostní služby Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)
D.II. Dodávka HW/SW V rámci implementace služby nebude dodán žádný HW ani SW.
D.III. Standardní implementace služby Adresářové služby jsou společně se jmennými (DNS) službami a časovými službami implementovány současně, jelikož spolu s uvedenými službami tvoří jeden logický celek. DNS služby budou integrovány v databázi Active Directory. Časové služby jsou nutné pro korektní ověřování uživatelských a systémových identit. Prostřednictvím Active Directory dochází standardně k synchronizaci systémového času na ostatní členské prvky domény Active Directory. Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Vytvoření domény 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.
Přidání role Active Directory a DNS na první řadič domény (Primary Domain Controller) Instalace služby Active Directory a DNS na prvním řadiči domény Ověření vytvoření funkční domény Konfigurace DNS (viz. DNS služby) Konfigurace časových služeb (viz. časové služby) Přidání role Active Directory a DNS na požadované servery (budoucí doménové řadiče) Instalace služby Active Directory a DNS – přidání do již vytvořené domény Rozložení FSMO rolí Konfigurace Global Catalog Nastavení AD site Nastavení AD replikace Vytvoření příslušných organizačních jednotek Nastavení doménových politik – politika bezpečnosti Vytvoření systémových a uživatelských administrátorských účtů Nastavení delegování oprávnění Nastavení centrálních politik – Group Policy
Průběh vytvoření ostatních domén je totožný s průběhem vytvoření domény popsaným výše.
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Předpokládaný postup implementace může být v návaznosti na analýzu existujícího prostředí upraven. Vytvoření domény ms2014.cz 1. Analýza existujícího prostředí (testovací / školící a zálohovací)
67/105 S1_P4_Implementační projekt
393
2. Přidání role Active Directory a DNS na první řadič domény ISS11(Primary Domain Controller) ve virtuálním prostředí 3. Instalace služby Active Directory a DNS na prvním řadiči domény ISS11 4. Ověření vytvoření funkční domény 5. Konfigurace DNS (viz. DNS služby) 6. Konfigurace časových služeb (viz. časové služby) 7. Nastavení doménových politik – politika bezpečnosti 8. Vytvoření příslušných organizačních jednotek 9. Vytvoření systémových a uživatelských administrátorských účtů 10. Nastavení delegování oprávnění 11. Nastavení centrálních politik – Group Policy 12. Zajištění vstupních požadavků implementace 13. Migrace virtuálního stroje ISS11 na finální HW zdroje 14. Přidání role Active Directory a DNS na požadované servery (ISS01, ISS02) 15. Instalace služby Active Directory (řadiče) a DNS – přidání do již vytvořené domény 16. Rozložení FSMO rolí – změna PDC na ISS01 17. Konfigurace Global Catalog 18. Nastavení AD site 19. Nastavení AD replikace Vytvoření domény edmz.ms2014.cz 1. Analýza existujícího prostředí (testovací / školící a zálohovací) 2. Přidání role Active Directory (DNS) na první řadič domény ESS11(Primary Domain Controller) ve virtuálním prostředí 3. Instalace služby Active Directory (DNS) na prvním řadiči domény 4. Ověření vytvoření funkční domény 5. Konfigurace DNS (viz. DNS služby) 6. Konfigurace časových služeb (viz. časové služby) 7. Přidání role Active Directory (DNS) na požadované servery (ESS12) 8. Instalace služby Active Directory (DNS) – přidání řadiče do již vytvořené domény 9. Rozložení FSMO rolí 10. Konfigurace Global Catalog 11. Nastavení Active Directory site 12. Nastavení Active Directory replikace 13. Vytvoření příslušných organizačních jednotek 14. Nastavení doménových politik – politika bezpečnosti 15. Vytvoření systémových a uživatelských administrátorských účtů 16. Nastavení delegování oprávnění 17. Nastavení centrálních politik – Group Policy 18. Zajištění vstupních požadavků implementace 19. Migrace virtuálních strojů (ESS11, ESS12) na finální HW zdroje
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele
68/105 S1_P4_Implementační projekt
394
Analýza existujícího prostředí (testovací / školící a zálohovací)
Přidání role Active Directory a DNS na první řadič domény ISS11 (PDC) ve virtuálním prostředí Instalace služby Active Directory a DNS na prvním řadiči domény
Ověření vytvoření funkční domény
Konfigurace DNS
Konfigurace časových služeb
Nastavení doménových politik (politika bezpečnosti)
Vytvoření příslušných organizačníc h jednotek
Vytvoření systémových a uživatelských admin. účtů
Nastavení delegování oprávnění
Nastavení centrálních politik – Group Policy
Zajištění vstupních požadavků implementace
Migrace virtuálního stroje ISS11 na finální HW zdroje
Migrace virtuálního stroje ISS11 na finální HW zdroje
Přidání role Active Directory a DNS na požadované servery
Instalace služby Active Directory a DNS - přidání do již vytvořené domény
Rozložení FSMO rolí - změna PDC na ISS01
Konfigurace Global Catalog
Nastavení AD site
Nastavení AD replikace
69/105 S1_P4_Implementační projekt
395
D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude připravovat podklady pro nastavování centrálních a doménových politik s dopadem na bezpečnost. Specialista pro zálohování zajišťuje zálohování, reporty a plán obnovy Adresářových služeb. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 7 MD. Specialista pro MS Windows Server – 1 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 3,5 MD Specialista pro zálohování – 0,5 MD Dokumentarista – 0,5 MD
1.3.4.
DNS služby
1.3.4.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Specifikace požadovaných DNS záznamů Zadavatele a Provozovatele aplikace MS2014 Administrace externího DNS prostoru Definování jmenných názvů služeb přístupných z Internetu
1.3.4.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.3.4.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Jmenné služby budou integrovány se stávajícími jmennými službami domén mssf.cz, edmz.mssf.cz a edmz.ms2014.cz z důvodu překladu názvů provozovaných služeb.
1.3.4.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému 70/105
S1_P4_Implementační projekt
396
o o o
Platforma OS Síťové a bezpečnostní služby Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)
D.II. Dodávka HW/SW V rámci implementace služby nebude dodán žádný HW ani SW.
D.III. Standardní implementace služby Jmenné služby jsou společně s adresářovými službami a časovými službami implementovány současně, jelikož spolu s uvedenými službami tvoří jeden logický celek. DNS služby budou integrovány v databázi Active Directory. Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace jmenných služeb 1. 2. 3. 4.
5. 6. 7. 8. 9. 10.
Přidání role DNS (Active Directory) na první řadič domény Instalace služby DNS (Active Directory) na prvním řadiči domény - interní DNS server Kontrola netlogon.dns, kontrola vytvoření lokátoru domény v DNS Konfigurace DNS a. servery pro předávání b. zpětné vyhledávání c. stárnutí záznamů Přidání role DNS (Active Directory) na požadované servery Instalace služby DNS (Active Directory) – přidání do již vytvořené domény Replikace DNS Nastavení jmenných služeb na všech prvcích – DNS klient Nastavení DNS zón na všech prvcích Zavedení všech záznamů zařízení a služeb do interních jmenných služeb
Průběh instalace a konfigurace jmenných služeb v ostatních doménách je totožný s průběhem instalace a konfigurace jmenných služeb popsaným výše.
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace jmenných služeb domény ms2014.cz 1. 2. 3. 4. 5. 6.
Přidání role DNS (Active Directory) na první řadič domény ISS11ve virtuálním prostředí Instalace služby DNS (Active Directory) na prvním řadiči domény – interní DNS server Kontrola netlogon.dns, kontrola vytvoření lokátoru domény v DNS Zajištění vstupních požadavků implementace Migrace virtuálního stroje (ISS11) na finální HW zdroje Konfigurace DNS a. servery pro předávání 71/105
S1_P4_Implementační projekt
397
7. 8. 9. 10. 11. 12.
b. zpětné vyhledávání c. stárnutí záznamů Přidání role DNS (Active Directory) na požadované servery Instalace služby DNS (Active Directory) – přidání do již vytvořené domény Replikace DNS Nastavení jmenných služeb na všech prvcích – DNS klient Nastavení DNS zón na všech prvcích Zavedení všech záznamů zařízení a služeb do interních jmenných služeb
Vytvoření domény edmz.ms2014.cz 1. 2. 3. 4.
5. 6. 7. 8. 9. 10. 11. 12.
Přidání role DNS (Active Directory) na první řadič domény ESS11 ve virtuálním prostředí Instalace služby DNS (Active Directory) na prvním řadiči domény – interní DNS server Kontrola netlogon.dns, kontrola vytvoření lokátoru domény v DNS Konfigurace DNS a. servery pro předávání b. zpětné vyhledávání c. stárnutí záznamů Přidání role DNS (Active Directory) na požadované servery (ESS12) Instalace služby DNS (Active Directory) – přidání do již vytvořené domény Replikace DNS Nastavení jmenných služeb na všech prvcích – DNS klient Nastavení DNS zón na všech prvcích Zavedení všech záznamů zařízení a služeb do interních jmenných služeb Zajištění vstupních požadavků implementace Migrace virtuálních strojů (ESS11, ESS12) na finální HW zdroje
D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Migrace virtuálních strojů na finální HW zdroje bude provedena v rámci implementace Adresářových služeb. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 3 MD. Specialista pro MS Windows Server – 1 MD Vedoucí projektu – 0,5 MD Systémový administrátor – 1 MD Dokumentarista – 0,5 MD
1.3.5.
Časové služby
1.3.5.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech: 72/105 S1_P4_Implementační projekt
398
Specifikace NTP serveru stanoveného Zadavatelem
1.3.5.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.3.5.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ V rámci implementace služby bude provedena rekonfigurace externího zdroje času na již provozovaných časových serverech tak, aby ve všech prostředích byl využíván jeden centrální externí zdroj času (FW) a čas v celém informačním systému byl stejný.
1.3.5.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné služby o Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)
D.II. Dodávka HW/SW V rámci implementace služby nebude dodán žádný HW ani SW.
D.III. Standardní implementace služby Časové služby jsou společně s adresářovými službami a jmennými službami implementovány současně, jelikož spolu s uvedenými službami tvoří jeden logický celek. Časové služby jsou nutné pro korektní ověřování uživatelských a systémových identit. Prostřednictvím Active Directory dochází standardně k synchronizaci systémového času na ostatní členské prvky domény Active Directory. Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace časových služeb 1. 2. 3. 4. 5. 6.
Konfigurace externího zdroje času – na řadiči domény s PDC rolí Vypnutí synchronizaci času se službou Hyper-V na virtuálních strojích Vytvoření doménových politik synchronizace času Konfigurace časové služby na ostatních řadičích domény Konfigurace časové služby – prováděno doménovou politikou Nastavení synchronizace času na všech prvcích mimo doménu
Průběh instalace a konfigurace časových služeb v ostatních doménách je totožný s průběhem instalace a konfigurace časových služeb popsaným výše.
73/105 S1_P4_Implementační projekt
399
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace časových služeb v doméně ms2014.cz 1. Konfigurace externího zdroje času ve virtuálním prostředí – na řadiči domény ISS11 s PDC rolí 2. Vypnutí synchronizaci času se službou Hyper-V na virtuálních strojích 3. Vytvoření doménových politik synchronizace času 4. Konfigurace časové služby – prováděno doménovou politikou 5. Zajištění vstupních požadavků implementace 6. Migrace virtuálního stroje (ISS11) na finální HW zdroje 7. Změna FSMO role – přehození na PDC ISS01 8. Instalace a konfigurace NTP serveru (FW) 9. Synchronizace NTP serveru (FW) s NTP serverem Zadavatele (Externí) 10. Změna zdroje synchronizace interního NTP serveru (ISS01) na NTP server v bezpečnostní infrastruktuře (FW) 11. Konfigurace časové služby na ostatních řadičích domény 12. Nastavení synchronizace času na všech prvcích mimo doménu (Aktivní prvky, zálohovací knihovna, IPS, NetScaler, Oracle Exadata) Instalace a konfigurace časových služeb v doméně edmz.ms2014.cz 1. Konfigurace externího zdroje času ve virtuálním prostředí – na řadiči domény ESS11 s PDC rolí 2. Vypnutí synchronizaci času se službou Hyper-V na virtuálních strojích 3. Vytvoření doménových politik synchronizace času 4. Konfigurace časové služby – prováděno doménovou politikou 5. Konfigurace časové služby na ostatních řadičích domény 6. Zajištění vstupních požadavků implementace 7. Migrace virtuálních strojů (ESS11, ESS12) na finální HW zdroje 8. Instalace a konfigurace NTP serveru (FW) 9. Synchronizace NTP serveru (FW) s NTP serverem Zadavatele (Externí) 10. Změna zdroje synchronizace interního NTP serveru (ESS11) na NTP server v bezpečnostní infrastruktuře (FW) 11. Nastavení synchronizace času na všech prvcích mimo doménu (Aktivní prvky, zálohovací knihovna, IPS, NetScaler, Oracle Exadata)
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele
74/105 S1_P4_Implementační projekt
400
Konfigurace externího zdroje času ve virtuálním prostředí – na řadiči domény ISS11 s PDC rolí Vypnutí synchronizaci času se službou Hyper-V na virtuálních strojích
Vytvoření doménových politik synchronizace času
Konfigurace časové služby - prováděno doménovou politikou
Zajištění vstupních požadavků implementace
Migrace virtuálního stroje (ISS11) na finální HW zdroje
Změna FSMO role - přehození na PDC ISS01
Instalace a konfigurace NTP serveru (FW)
Synchronizace NTP serveru (FW) s NTP serverem Zadavatele (Externí) Změna zdroje synchronizace interního NTP serveru (ISS01) na NTP server v bezpečností infrastruktuře (FW)
Konfigurace časové služby na ostatních řadičích domény Nastavení synchronizace času na všech prvcích mimo doménu (Aktivní prvky, zálohovací knihovna, IPS, NetScaler, Oracel Exadata)
D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Síťový specialista provede konfiguraci externího zdroje času na FW a povolení komunikačních pravidel. Migrace virtuálních strojů na finální HW zdroje bude realizována v rámci adresářových služeb. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 3 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Systémový administrátor – 1 MD Síťový specialista – 0,5 MD 75/105 S1_P4_Implementační projekt
401
Dokumentarista – 0,5 MD
1.3.6.
Virtualizační služby
1.3.6.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS
1.3.6.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.3.6.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace virtuálního serveru ISS11 do zálohovací lokality v návaznosti na adresářové služby po provedení prvotní analýzy existujícího prostředí.
1.3.6.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné / časové služby o Clusterové služby
D.II. Dodávka HW/SW V rámci implementace služby nebude dodán žádný HW ani SW.
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace virtualizačních služeb Microsoft Hyper-V 1. 2. 3. 4. 5. 6. 7.
Instalace a konfigurace role Hyper-V Vytvoření virtuálních sítí Příprava datových oblastí na úrovni diskových polí – (viz. Jednotný datový prostor SAN) Vytvoření virtuálních disků Virtualizace serveru – (viz. Platforma OS – virtuální instance) Konfigurace vysoké dostupnosti - (viz. Clusterové služby) Přepnutí virtuálního serveru do režimu vysoké dostupnosti 76/105
S1_P4_Implementační projekt
402
8. Otestování přesunů (Live migrace) Instalace a konfigurace virtualizačních služeb Oracle-VM 1. 2. 3. 4. 5. 6. 7. 8. 9.
Instalace Oracle VM serveru 1 Instalace Oracle VM serveru 2 Instalace Oracle Linux na server 3 Konfigurace Oracle Linux pro potřeby Oracle VM Manageru Instalace Oracle VM Manageru Konfigurace Oracle VM Manageru Zařazení VM serveru 1 a 2 do správy přes Oracle VM Manager Konfigurace síťových rozhraní Konfigurace server pools a repository pro Oracle VM Manager
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace virtualizačních služeb Microsoft Hyper-V 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
Virtualizace serveru – (viz. Platforma OS – virtuální instance) (celkem 50x) Vytvoření virtuálních disků Zajištění vstupních požadavků implementace Instalace a konfigurace role Hyper-V (celkem 8x) Vytvoření virtuálních sítí Příprava datových oblastí na úrovni diskových polí – (viz. Jednotný datový prostor SAN) Konfigurace vysoké dostupnosti - (viz. Clusterové služby) (celkem 6x) Migrace virtuálních strojů na finální HW zdroje Změna typu VHD disku z dynamického na fixní Přepnutí virtuálního serveru do režimu vysoké dostupnosti Otestování přesunů (Live migrace)
Instalace a konfigurace virtualizačních služeb Oracle-VM 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.
Instalace Oracle VM serveru 1 Instalace Oracle VM serveru 2 Instalace Oracle Linux do virtuálního prostředí Zajištění vstupních požadavků implementace Konfigurace Oracle Linux pro potřeby Oracle VM Manageru Instalace Oracle VM Manageru Konfigurace Oracle VM Manageru Zařazení VM serveru 1 a 2 do správy přes Oracle VM Manager Konfigurace síťových rozhraní Konfigurace server pools a repository pro Oracle VM Manager Založení virtuálních serverů Konfigurace virtuálních disků v Oracle VM Manager 77/105
S1_P4_Implementační projekt
403
13. Konfigurace virtuálních síťových rozhraní v Oracle VM Manager 14. Instalace a konfigurace virtuálních serverů 15. Nastavení hard partitioning pro jednotlivé virtuální servery
D.V. Schéma implementace Blokové schéma kroků implementace služeb virtualizace Hyper-V v prostředí Zadavatele
Virtualizace serveru
Vytvoření virtuálních disků
Zajištění vstupních požadavků implementace
Instalace a konfigurace role Hyper-V
Příprava datových oblastí na úrovni diskových polí
Vytvoření virtuálních sítí
Konfigurace vysoké dostupnosti Migrace virtuálních strojů na finální HW zdroje
Změna typu VHD disku z dynamického na fixní
Přepnutí virtuálního serveru do režimu vysoké dostupnosti
Otestování přesunů (Live migrace)
D.VI. Personální zajištění Za implementaci služeb je odpovědný Hyper-V specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Hyper-V specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. HW Specialista Servery zajišťuje konfiguraci fyzických serverů pro běh virtualizace. Dále také Hyper-V specialista zodpovídá za migraci virtuálních strojů na finální HW zdroje. Specialista pro bezpečnost bude kontrolovat splnění bezpečnostních požadavků Zadavatele. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 12,5 MD. Hyper-V specialista – 4 MD Vedoucí projektu – 0,5 MD HW Specialista Servery – 1 MD 78/105 S1_P4_Implementační projekt
404
Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 6 MD Dokumentarista – 0,5 MD
1.3.7.
Souborové služby
1.3.7.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Poskytnutí přístupové matice k souborovému systému
Definování prvotní velikosti souborových oblastí
1.3.7.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.3.7.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím není předpokládaná.
1.3.7.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné / časové služby o Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)
D.II. Dodávka HW/SW V rámci implementace služby nebude dodán žádný HW ani SW.
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace souborových služeb v primární lokalitě 1. Instalace role File Server na virtuálním souborovém serveru FS11 2. Instalace rozšíření DFS 3. Vytvoření souborového clusteru (- viz. Clusterové služby) 79/105 S1_P4_Implementační projekt
405
4. 5. 6. 7. 8. 9. 10.
Vytvoření souborových oblastí v režimu vysoké dostupnosti (Fail-Over) Nastavení oprávnění dle přístupové matice Konfigurace DFS kořene Konfigurace DFS Namespace serverů (DFSN) Konfigurace DFS Replikace (DFSR) Konfigurace Volume Shadow Copy Nastavení reportingu souborových služeb
Průběh instalace a konfigurace souborových služeb v testovacím prostředí je totožný s průběhem v primární lokalitě.
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace souborových služeb v primární lokalitě 1. Instalace role File Server na virtuálním souborovém serveru FS11 a FS12 2. Instalace rozšíření DFS 3. Vytvoření souborového clusteru CLS-FS z virtuálních serverů FS11 a FS12 (- viz. Clusterové služby) 4. Vytvoření souborových oblastí v režimu vysoké dostupnosti (Fail-Over) 5. Nastavení oprávnění dle přístupové matice 6. Konfigurace DFS kořene (uloženo v Active Directory) 7. Konfigurace DFS Namespace serverů \\ms2014.cz\shares (DFSN) 8. Konfigurace DFS Replikace (DFSR) 9. Konfigurace Volume Shadow Copy 10. Nastavení reportingu souborových služeb 11. Zajištění vstupních požadavků implementace 12. Migrace virtuálních strojů na finální HW zdroje Instalace a konfigurace souborových služeb v testovacím prostředí 1. Instalace role File Server na virtuálním souborovém serveru FS11-T a FS12-T 2. Instalace rozšíření DFS 3. Vytvoření souborového clusteru CLS-FS-tst z virtuálních serverů FS11-T a FS12-T (- viz. Clusterové služby) 4. Vytvoření souborových oblastí v režimu vysoké dostupnosti (Fail-Over) 5. Nastavení oprávnění dle přístupové matice 6. Přidání DFS Namespace serverů \\ms2014.cz\shares (DFSN) 7. Konfigurace DFS Replikace (DFSR) 8. Konfigurace Volume Shadow Copy 9. Rekonfigurace reportingu souborových služeb 10. Zajištění vstupních požadavků implementace 11. Migrace virtuálních strojů na finální HW zdroje
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele 80/105 S1_P4_Implementační projekt
406
Instalace role File Server na virtuálním souborovém serveru FS11 a FS12
Instalace rozšíření DFS
Analýza stavu serveru TS11-TST a případná konfigurace
Analýza stavu serveru TS11-TST a případná konfigurace
Analýza stavu serveru TS11-TST a případná konfigurace
Přidání přístupových licencí pro přístup k terminálovým serverům
Konfigurace DFS kořene (uloženo v AD)
Konfigurace Volume Shadow Copy
Konfigurace DFS Namespace serverů \\ms2014.cz\shares (DFSN)
Konfigurace DFS Replikace (DFSR)
Nastavení reportingu souborových služeb
Zajištění vstupních požadavků implementace
Migrace virtuálních strojů na finální HW zdroje
D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude zodpovídat za NTFS oprávnění. Specialista pro zálohování zodpovídá za zálohování souborových služeb, reporty a plán obnovy. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 7 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD
81/105 S1_P4_Implementační projekt
407
Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 4 MD Specialista pro zálohování – 0,5 MD Dokumentarista – 0,5 MD
1.3.8.
Clusterové služby
1.3.8.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS
1.3.8.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.3.8.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace Oracle Real Application Cluster bude řešena v rámci Databázových služeb. Další integrace s existujícím prostředím není předpokládaná.
1.3.8.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné / časové služby o Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)
D.II. Dodávka HW/SW V rámci implementace služby nebude dodán žádný HW ani SW.
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Režim Global Server Load Balancing 1. Instalace CITRIX NetScaler 2. Konfigurace IP adres 3. Konfigurace virtuálních IP adres (VIP) 82/105 S1_P4_Implementační projekt
408
4. Konfigurace Global Server Load Balancing 5. Konfigurace webové farmy v rámci NetScaleru 6. Konfigurace váhy webové farmy Režim Windows Cluster v režimu Active-Passive Přidání rozšíření Failover Cluster Services na node clusteru Validace konfigurace serverů pro přidání do clusteru Vytvoření clusteru Konfigurace Quorum (v závislosti na počtu node) Konfigurace síťových rozhraní používaných clusterem Konfigurace diskových oddílů Implementace jednotlivých služeb v režimu vysoké dostupnosti a. Souborové služby b. Zálohovací služby c. Databázové služby MSSQL d. Virtualizační služby e. Aplikační služby 8. Vytvoření reportu validace pro předání Zadavateli
1. 2. 3. 4. 5. 6. 7.
Režim Oracle Real Application Server Popis nasazení režimu Oracle Real Application Server uveden v rámci implementace Databázových služeb Oracle.
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Režim Global Server Load Balancing 1. 2. 3. 4. 5. 6. 7.
Zajištění vstupních požadavků implementace Instalace CITRIX NetScaler do produkčního prostředí Konfigurace IP adres Konfigurace virtuálních IP adres (VIP) Konfigurace Global Server Load Balancing Konfigurace webové farmy v rámci NetScaleru Konfigurace váhy webové farmy
Režim Windows Cluster v režimu Active-Passive (fyzické prostředí) 1. 2. 3. 4. 5. 6. 7. 8. 9.
Zajištění vstupních požadavků implementace Přidání rozšíření Failover Cluster Services na node clusteru Vytvoření reportu validace pro předání Zadavateli Validace konfigurace serverů pro přidání do clusteru Vytvoření clusteru Konfigurace Quorum (v závislosti na počtu node) Konfigurace síťových rozhraní používaných clusterem Konfigurace diskových oddílů Implementace jednotlivých služeb v režimu vysoké dostupnosti 83/105
S1_P4_Implementační projekt
409
a) Zálohovací služby b) Virtualizační služby c) Aplikační služby Režim Windows Cluster v režimu Active-Passive (virtuální prostředí) Přidání rozšíření Failover Cluster Services na node clusteru ve virtuálním prostředí Validace konfigurace serverů pro přidání do clusteru Vytvoření reportu validace pro předání Zadavateli Vytvoření clusteru Konfigurace Quorum (v závislosti na počtu node) Konfigurace síťových rozhraní používaných clusterem Konfigurace diskových oddílů Implementace jednotlivých služeb v režimu vysoké dostupnosti a) Souborové služby b) Databázové služby MSSQL 9. Zajištění vstupních požadavků implementace 10. Migrace virtuálních strojů na finální HW zdroje
1. 2. 3. 4. 5. 6. 7. 8.
D.V. Personální zajištění Za implementaci služeb (Windows Cluster v režimu Active-Passive) je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Za implementaci služeb (Global Server Load Balancing) je zodpovědný Síťový specialista. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude zodpovídat za bezpečnost komunikace mezi clusterovými nody. Implementace Oracle Real Application Server probíhá v rámci databázových služeb. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 10 MD. Specialista pro MS Windows Server – 1 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 3 MD Síťový specialista – 4 MD Dokumentarista – 0,5 MD
1.4.
SYSTÉMOVÉ SLUŽBY
1.4.1.
Databázové služby
1.4.1.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech: 84/105 S1_P4_Implementační projekt
410
Přístup do stávajícího IS Plná administrátorská práva ke stávající Oracle Exadata Přesná specifikace požadovaných nastavení a konfigurací na DB vrstvu
Přesná specifikace všech bezpečnostní standardů pro správné nastavení Database Vault a option Advanced Security (citlivá data, bezpečnostní matice –oprávnění přístupu k datům).
1.4.1.B Požadavky na odstávky prostředí V rámci realizace databázových služeb bude nutné provést několikráte odstávku prostředí. Odstávka stávající Exadata X3-2 v délce jednoho dne. V rámci odstávky bude provedena migrace produkčních databází ze stávajícího prostředí do nového prostředí. Zásadní odstávka stávající Exadata X3-2 bude v délce 3 dny. V rámci přípravy konfigurace disaster recovery s Oracle DataGuard bude proveden nezbytný technologický upgrade SW komponent stávajícího systému Exadata Eight Rack, aby byly dodrženy předpoklady pro konfiguraci řešení disaster recovery s produkčním systémem Exadata Half Rack. Práce zahrnují sjednocení verzí storage software Oracle Exadata a Oracle RDBMS v obou lokalitách. Specifickou odstávkou bude implementace HSM do stávajícího prostředí. Současně bude nutné provést několik krátkodobých odstávek DB nepřesahující jednu hodinu. Tyto krátkodobé odstávky nepřesáhnout délku 1 hodiny. Odstávky jsou nutné z důvodu bezproblémového nastavení Stand-by DB, zálohování, testu obnovy. Přesné termíny odstávek budou specifikovány v rámci implementačního projektu.
1.4.1.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Stávající Oracle Exadata budou rekonfigurována a nastavena pro možnost využití jako stand-by pro produkční prostředí. Zároveň do stávajícího testovacího prostředí budou implementovány HSM služby.
1.4.1.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje o Datové centrum o Síťové služby - HW
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.
Pořízení 84ks licencí na Disc Exadata Storage Software včetně roční podpory Pořízení 48ks licencí na CPU Oracle DB EE včetně roční podpory
Pořízení 48ks licencí na CPU Oracle Real Application Clusters (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Advanced Compression (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Partitioning (option pack) včetně roční podpory
85/105 S1_P4_Implementační projekt
411
Pořízení 48ks licencí na CPU Oracle Database Vault (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Diagnostics Pack (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Tuning Pack (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Advanced Security (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Secure Content Database Extension včetně roční podpory Pořízení 48ks licencí na CPU Oracle Secure Archive Database Extension včetně roční podpory Pořízení 4 ks licencí MS SQL Server Standard LIC/SA 2core
D.III. Implementace služby Implementace služeb bude probíhat v následujících fázích. V první fázi bude vypracován Technický projekt instalace a konfigurace Oracle Exadata. Tato fáze bude zahájena ihned po podpisu smlouvy. Technický projekt bude zahrnovat následující činnosti:
Návrh integrace do prostředí zákazníka v návaznosti na Oracle ACS instalation and configuration services Navržení Exadata role separation and security Stanovení požadavků na Exadata resource management Návrh strategie šifrování dat s ASO/TDE Návrh práce s Oracle wallet pro uložení šifrovacích klíčů v prostředí Oracle Exadata a DataGuard Návrh oddělení rolí s Oracle Data base Vault a zabezpečení databází z pohledu oddělení odpovědnosti při administraci systému Návrh technologické bezpečnosti a auditní politiky pro Oracle Data base Vault Database hardening - návrh obecné technologické bezpečnosti pro Oracle Exadata Návrh uložení dat s pomocí Oracle Partitioning a Oracle Advanced compresion v návaznosti na stávající testovací prostředí Upřesnění technických a konfiguračních parametrů pro fázi Instalace a konfigurace (viz následující blok) ve spolupráci s Provozovatelem Aplikace MS2014+.
V druhé fázi budou realizovány následující práce
HW Instalace a konfigurace Oracle Exadata SW Instalace a konfigurace Oracle Exadata a příslušných produktů Databázových Oracle Instalace a konfigurace produkčního a testovacího databázového prostředí v režimu vysoké dostupnosti - RAC clusteru v prostředí Oracle Exadata Vytvoření a konfigurace dvou databázových instancí pro běh aplikace MS2014+ Vytvoření a konfigurace dvou databázových instancí pro běh demonstrační aplikace MS2014+ Migrace dvou produkčních databází ze stávajícího prostředí do nového prostředí V rámci přípravy konfigurace disaster recovery s Oracle DataGuard provedení nezbytného technologický upgrade SW komponent stávajícího systému Exadata Eight Rack, aby byly dodrženy předpoklady pro konfiguraci řešení disaster recovery s
86/105 S1_P4_Implementační projekt
412
produkčním systémem Exadata Half Rack. Práce zahrnují sjednocení verzí storage software Oracle Exadata a Oracle RDBMS v obou lokalitách. Instalace systému EXAData do prostředí zákazníka Instalace a konfigurace transparentního šifrování „TDE“ za využití síťového moulu HSM a DB Oracle Advanced Security + Database Vault Konfigurace Oracle ASO/TDE Otestování a dokumentace práce se šifrovacími klíči Oracle ASO/TDE Instalace a konfigurace Oracle Database Vault dle návrhu technického projektu Nastavení technologické bezpečnosti Oracle DB a EXAData dle návrhu technického projektu Nastavení politik Oracle Database Vault dle návrhu technického projektu . Nastavení auditních politik Oracle Database a Oracle Database Vault dle návrhu technického projektu Spolupráce s dodavatelem aplikace při implementaci Oracle Partitioning a Oracle advanced compression Konfigurace Oracle Dataguard mezi EXAData systémy a provedení DR testů Nastavení zálohování databází a otestování jejich obnovy - prostřednictvím IBM TSM Nastavení monitoringu Oracle EXAData s OEM Cloud control 12c, konfigurace Oracle Automatic Services Request Vytvoření a konfigurace repliky (stand-by) databází prostřednictvím Oracle Data Guard Konfigurace DB prostředí pro možnost využívání Oracle Flashback Database Konfigurace Advanced Compression and Partitioning Konfigurace Database Vault včetně nastavení základních bezpečnostních pravidel. Minimálně v následujícím rozsahu: Účty a práva pro běžné uživatele (běžná administrace, tedy vytváření, zneaktivnění, rušení uživatelských účtů aplikace bude ve správě Provozovatele aplikace MS2014, Dodavatel ve spolupráci s Provozovatelem vytvoří 50 uživatelských účtů) Účty a práva pro systémové aplikační uživatele (20 uživatelů) Účty a práva pro Dodavatele Účty a práva pro bezpečnostní dohled (10 uživatelů) Účty a práva pro první stupeň podpory (L1) (20 uživatelů) Účty a práva pro vyšší stupně podpory (L2, L3) (10 uživatelů) Účty a práva pro Provozovatele aplikace MS2014+ (40 uživatelů) Účty a práva pro Zadavatele Konfigurace a test Real Time zálohování Konfigurace a test Fail-Over zálohování Konfigurace resource managementu pro striktní oddělení jednotlivých prostředí 1/2 denní školení/workshop na téma Zabezpečení systému pro bezpečnostní administrátory 1/2 denní školení/workshop na téma Disaster recovery řešení a postupy 1/2 denní školení/workshop na téma Zálohování systému a vhodné postupy
Mimo konfiguraci a instalaci Oracle Exadata budou provedeny následující práce
Instalace a konfigurace SŘBD MS SQL Vytvoření DB MS SQL pro jednotlivé systémy
D.IV. Personální zajištění Za implementaci služeb je odpovědný Databázový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Podílí se na implementaci na celé 87/105 S1_P4_Implementační projekt
413
implementaci. Databázový specialista si dále řídí databázové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost kontroluje dodržování bezpečnostních požadavků zadavatele. Síťový specialista zajišťuje konfiguraci síťových služeb v závislosti na provozované DB. Specialista pro zálohování zajišťuje zálohování databázových služeb v potřebném rozsahu. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 193 MD. Databázový specialista – 35 MD Databázový administrátor – 120 MD Vedoucí projektu – 3 MD Síťový specialista – 1 MD Specialista pro bezpečnost – 3 MD Systémový administrátor – 1 MD Specialista pro zálohování – 15 MD Dokumentarista – 15 MD
1.4.2.
Webové služby
1.4.2.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Poskytnutí údajů pro přidělení lokálních oprávnění k webovým serverům Poskytnutí webového certifikátu důvěryhodné certifikační autority Poskytnutí specifických parametrů nastavení jednotlivých webových serverů.
1.4.2.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.4.2.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Stávající webové servery a na nich běžící weby a aplikační pooly budou integrovány s nově implementovanými prvky. Instance Weblogic bude integrována s již provozovanou instancí.
1.4.2.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému Systémové služby 88/105
S1_P4_Implementační projekt
414
o
Databázové služby
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.
8 ks Oracle Weblogic server Enterprise Edition včetně roční podpory
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace webových služeb IIS 1. 2. 3. 4.
Instalace a konfigurace role Internet Information Service (IIS) Vytvoření a konfigurace webů Vytvoření a konfigurace aplikačních pool Instalace a konfigurace webové farmy
Implementace webových služeb Weblogic 1. Instalace a konfigurace aplikace Weblogic v HA režimu 2. Import bezpečnostních certifikátů
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace webových služeb IIS 1. Instalace a konfigurace role Internet Information Service (IIS) ve virtuálním prostředí (SD11, SD12, WEB11 – WEB18, EWEB13, EWEB14) (celkem na 36 serverů) 2. Vytvoření a konfigurace webů (celkem 86x) 3. Vytvoření a konfigurace aplikačních pool 4. Instalace a konfigurace webové farmy 5. Zajištění vstupních požadavků implementace 6. Migrace virtuálních strojů na finální HW zdroje Implementace webových služeb IIS –reverzní proxy 1. 2. 3. 4. 5.
Instalace a konfigurace služby (EWEB11, EWEB12, EWEB15, EWEB16) Vytvoření a konfigurace reverzních proxy Import bezpečnostních certifikátů Zajištění vstupních požadavků implementace Migrace virtuálních strojů na finální HW zdroje
Implementace webových služeb Weblogic 1. Instalace a konfigurace aplikace Weblogic v HA režimu (OBI11, OBI13, OWCC11, OWCC12, OBI11-TST, OWCC11-TST) 2. Import bezpečnostních certifikátů 89/105 S1_P4_Implementační projekt
415
D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost kontroluje dodržování bezpečnostních požadavků zadavatele. Síťový specialista zajišťuje konfiguraci síťových služeb v závislosti na provozované weby. Specialista pro zálohování zajišťuje zálohování webových služeb v potřebném rozsahu. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 21,5 MD. Specialista pro MS Windows Server – 2 MD Vedoucí projektu – 1 MD Hyper-V specialista – 0,5 MD Síťový specialista – 1 MD Specialista pro bezpečnost – 1 MD Systémový administrátor – 15 MD Specialista pro zálohování – 0,5 MD Dokumentarista – 0,5 MD
1.4.3.
Poštovní služby
1.4.3.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Definice systémových mailových schránek ze strany Provozovatele aplikace MS2014
1.4.3.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.4.3.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím není předpokládaná.
1.4.3.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému
90/105 S1_P4_Implementační projekt
416
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.
3x MS Exchange Server Std. Lis/SA 20x MS Exchange CAL device Standard Lic/SA 20x MS Exchange CAL device Enterprise Lic/SA
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace poštovních služeb 1. Příprava schématu Active Directory 2. Instalace Exchange Server 2013 (SMTP) a) Instalace Mailbox Server role na serverech b) Vytvoření Database Availability Groups (DAG) c) Instalace Client Access Server 3. Konfigurace transportních pravidel 4. Vytvoření mailboxů
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace poštovních služeb 1. Příprava schématu Active Directory 2. Instalace Exchange Server 2013 (SMTP) a) Instalace Mailbox Server role na 2 serverech ve virtuálním prostředí (EXCH11 a EXCH12) b) Vytvoření Database Availability Groups (DAG) c) Instalace Client Access Server (CASHUB11) 3. Konfigurace transportních pravidel 4. Vytvoření mailboxů 5. Zajištění vstupních požadavků implementace 6. Migrace virtuálních strojů na finální HW zdroje
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele
91/105 S1_P4_Implementační projekt
417
Příprava schématu Active Directory Instalace Mailbox Server role na 2 serverech ve virtuálním prostředí (EXCH11, EXCH12)
Vytvoření Database Availability Groups (DAG)
Instalace Client Access Server (CASHUB11)
Konfigurace transportních pravidel
Vytvoření mailboxů
Zajištění vstupních požadavků implementace
Migrace virtuálních strojů na finální HW zdroje
D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 6 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Systémový administrátor – 4 MD Dokumentarista – 0,5 MD
1.4.4.
Dohled a management služby
1.4.4.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS
1.4.4.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu. 92/105 S1_P4_Implementační projekt
418
1.4.4.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Stávající prvky IS budou začleněny do centrálního systému dohledu a managementu. Dojde ke sjednocení prostředí a všechny prvky tak budou monitorovány z jednoho centrálního místa.
1.4.4.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému Systémové služby o Databázové služby o Webové služby o Poštovní služby
D.II. Dodávka HW/SW V rámci implementace služby budou pořízeny následující SW položky:
16 ks licencí na MS Systém Center v edici Datacenter včetně SA
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace SCVMM 1. 2. 3. 4. 5.
Příprava DB pro SCVMM (zálohování, automatické zvětšování velikosti, reporting) Instalace a prvotní konfigurace centrálního management serveru Instalace agentů na fyzické servery poskytující virtualizační služby Konfigurace SCVMM (library, template, update služby) Přiřazení rolí operátorů
Implementace SCOM 1. Příprava DB pro SCOM – operativní a dlouhodobá (zálohování, automatické zvětšování velikosti, reporting) 2. Instalace a prvotní konfigurace centrálního management serveru 3. Instalace a konfigurace gateway serveru 4. Instalace agentů na veškeré servery 5. Konfigurace zařízení bez agentů (SNMP, ICMP) 6. Nastavení odesílání upozornění (SMTP, SMS) 7. Instalace a konfigurace management pack 8. Konfigurace datového skladu – dlouhodobá DB 9. Přiřazení rolí operátorů Implementace SCCM 1. Příprava DB pro SCCM (zálohování, automatické zvětšování velikosti, reporting) 93/105 S1_P4_Implementační projekt
419
2. 3. 4. 5. 6.
Instalace a prvotní konfigurace centrálního management serveru Instalace a konfigurace gateway serveru Instalace agentů na veškeré servery platformy Microsoft Konfigurace SCCM (library, balíčky aplikací, update služby, antivirové služby) Přiřazení rolí operátorů
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace SCVMM 1. Příprava DB pro SCVMM (zálohování, automatické zvětšování velikosti, reporting) ve virtuálním prostředí 2. Instalace a prvotní konfigurace centrálního management serveru (SC13) ve virtuálním prostředí 3. Přiřazení rolí operátorů (Provozovatel aplikace MS2014+, Zadavatel, Uchazeč) 4. Zajištění vstupních požadavků implementace 5. Migrace virtuálních strojů (SC13, MSDBA) na finální HW zdroje 6. Instalace agentů na fyzické servery poskytující virtualizační služby 7. Konfigurace SCVMM (library, template, update služby) 8. Integrace s ostatními produkty rodiny SC (SCOM, SCCM, SCDPM) Implementace SCOM 1. Příprava DB pro SCOM – operativní a dlouhodobá (zálohování, automatické zvětšování velikosti, reporting) ve virtuálním prostředí 2. Instalace a prvotní konfigurace centrálního management serveru (SC11, SC14) ve virtuálním prostředí 3. Generování certifikátů pro gateway server 4. Instalace a konfigurace gateway serveru (APPGW11) ve virtuálním prostředí 5. Instalace agentů na virtuální servery 6. Konfigurace zařízení bez agentů (SNMP, ICMP) 7. Nastavení odesílání upozornění (SMTP, SMS) 8. Instalace a konfigurace management pack 9. Konfigurace datového skladu – dlouhodobá DB 10. Přiřazení rolí operátorů (Provozovatel aplikace MS2014+, Zadavatel, Uchazeč) 11. Zajištění vstupních požadavků implementace 12. Migrace virtuálních strojů (MSDBA, APPGW11, SC11, SC14) na finální HW zdroje 13. Revize management pack (vazba na fyzický HW) 14. Instalace agentů na fyzické servery 15. Integrace s ostatními produkty rodiny SC (SCVMM, SCCM, SCDPM) Implementace SCCM 1. Příprava DB pro SCCM (zálohování, automatické zvětšování velikosti, reporting) 2. Instalace a prvotní konfigurace centrálního management serveru (SC12) ve virtuálním prostředí 3. Instalace a konfigurace gateway serveru (APPGW12) ve virtuálním prostředí 94/105 S1_P4_Implementační projekt
420
4. 5. 6. 7. 8. 9. 10.
Instalace agentů na virtuální servery platformy Microsoft Konfigurace SCCM (library, balíčky aplikací, update služby, antivirové služby) Přiřazení rolí operátorů (Provozovatel aplikace MS2014+, Zadavatel, Uchazeč) Zajištění vstupních požadavků implementace Migrace virtuálního stroje ISS11 na finální HW zdroje Instalace agentů na fyzické servery platformy Microsoft Integrace s ostatními produkty rodiny SC (SCVMM, SCOM, SCDPM)
D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS System Center, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS System Center dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro MS Windows Server zajišťuje distribuci agentů a konfiguraci serverů. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude kontrolovat dodržování bezpečnostních požadavků Zadavatele. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 106,5 MD. Specialista pro MS System Center – 31 MD Specialista pro MS Windows Server – 11 MD Vedoucí projektu – 2,5 MD Hyper-V specialista – 4,5 MD Specialista pro bezpečnost – 2 MD Systémový administrátor – 48 MD Dokumentarista – 7,5 MD
1.4.5.
Antivirové a antispamové služby
1.4.5.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Nastavení antivirového produktu Protection Engine for Cloud Services od společnosti Symantec vůči aplikaci MS2014+
1.4.5.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
95/105 S1_P4_Implementační projekt
421
1.4.5.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Do implementace antivirových služeb MS System Center budou začleněny i stávající prvky Zadavatele. Zároveň bude provedena integrace aplikačního antivirového produktu Symantec s již provozovanou instancí AV11-TST.
1.4.5.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému Systémové služby o Databázové služby o Webové služby o Poštovní služby o Dohled a management služby
D.II. Dodávka HW/SW V rámci implementace služby budou pořízeny následující SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.
2x Symantec Protection Engine for Cloud Service per Server
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace MS System Center Endpoint Protection Implementace probíhá v rámci implementace služeb dohledu a managementu – SCCM Implementace Symantec Protection Engine for Cloud Services 1. 2. 3. 4.
Instalace a konfigurace AV produktu Povolení komunikačních pravidel na aktualizační servery výrobce produktu Nastavení aktualizačních serverů (virová báze) Příprava API rozhraní k dalšímu využití
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace MS System Center Endpoint Protection Implementace probíhá v rámci implementace služeb dohledu a managementu – SCCM Implementace Symantec Protection Engine for Cloud Services
96/105 S1_P4_Implementační projekt
422
1. 2. 3. 4. 5. 6.
Instalace a konfigurace AV produktu ve virtuálním prostředí (AV11, AV12) Povolení komunikačních pravidel na aktualizační servery výrobce produktu Nastavení aktualizačních serverů (virová báze) Příprava API rozhraní k dalšímu využití Zajištění vstupních požadavků implementace Migrace virtuálních strojů (AV11, AV12) na finální HW zdroje
D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS System Center, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS System Center dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude připravovat podklady pro nastavování centrálních a doménových politik s dopadem na bezpečnost. Implementační práce budou z velké části zajištěny při implementaci služeb dohledu a managementu. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 5 MD. Specialista pro MS System Center – 1 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 2 MD Dokumentarista – 0,5 MD
1.4.6.
Zálohovací služby
1.4.6.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Definování oprávnění pro Provozovatele aplikace MS2014+ ke kontrole prováděných záloh a integrity zálohovaných dat Výměna a uschování zálohovacích médií Spolupráce při tvorbě zálohovacího plánu s ohledem na provoz aplikace MS2014+ Součinnost při pravidelných testech obnovy infrastruktury s ohledem na provoz aplikace MS2014+
1.4.6.B Požadavky na odstávky prostředí Při integraci již provozovaných služeb do nově implementovaného řešení Uchazeč předpokládá odstávku prostředí z důvodu reinstalace zálohovacích agentů na jednotlivých prvcích. Odstávka kompletního prostředí není předpokládaná, dojde však k omezení výkonu infrastruktury. Celková doba odstávky nepřekročí 2 hodiny.
97/105 S1_P4_Implementační projekt
423
1.4.6.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Služby, které jsou již v infrastruktuře provozovány, budou integrovány do implementovaného řešení zálohovacích služeb.
1.4.6.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému Systémové služby o Databázové služby o Webové služby o Poštovní služby o Dohled a management služby o Antivirové a antispamové služby
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující SW prvky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.
System Center Data Protection Manager v rozsahu Management služby System Center 12 880 PVU IBM Tivoli Storage Manager 8 960 PVU IBM Tivoli Storage Manager for databases
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Zálohování Fail-Over 1. 2. 3. 4. 5. 6. 7. 8.
Instalace a konfigurace MS System Center Data Protection Manager (MS SCDPM) Instalace DPM Protection agentů na virtualizační servery Vytvoření Storage Pool na diskovém poli v primární lokalitě Přidání Storage Pool do MS SCDPM Nastavení reportování Konfigurace zálohování virtuálních instancí provozovaných v Microsoft Hyper-V Konfigurace zálohování System State řadičů domény Ověření funkcionality systému zálohování a obnovy
Centrální Zálohovací zařízení 1. Instalace a konfigurace IBM Tivoli Storage Manager v Primární a Zálohovací lokalitě 2. Konfigurace vazeb mezi zálohovacími servery v jednotlivých lokalitách
98/105 S1_P4_Implementační projekt
424
3. Instalace Tivoli Storage agentů na fyzické servery (s výjimkou virtualizačních serverů Microsoft Hyper-V) 4. Konfigurace zálohovacích politik (uložení po dobu minimálně 30 dnů a 5 nezávislých záloh celého systému) 5. Konfigurace zdroje zálohovaných dat (Fail-Over zálohování) 6. Konfigurace páskové jednotky 7. Konfigurace replikace záloh 8. Nastavení reportingu 9. Ověření funkcionality systému zálohování a obnovy Zálohování s využitím HP 3PAR Replication Software Suite 1. Instalace a konfigurace HP 3PAR Replication Software Suite (3PAR Remote Copy Software, 3PAR Virtual Copy, HP 3PAR Application Software Suite for Hyper-V) 2. Instalace agenta na virtualizační servery Microsoft Hyper-V 3. Konfigurace HP 3PAR Replication Software Suite 4. Definování klonovaných virtuálních instancí (Konfigurace snapshot a clone v rámci diskových polí) 5. Nastavení reportingu 6. Ověření funkcionality systému zálohování a obnovy Zálohování Real-Time Zálohování Real Time je blíže popsáno v kapitole Databázové služby.
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Zálohování Fail-Over 1. Instalace a konfigurace MS System Center Data Protection Manager (MS SCDPM) ve virtuálním prostředí (SC15) 2. Nastavení reportování 3. Zajištění vstupních požadavků implementace 4. Migrace virtuálního stroje (SC15) na finální HW zdroje 5. Instalace DPM Protection agentů na virtualizační servery 6. Vytvoření Storage Pool na diskovém poli v primární lokalitě 7. Přidání Storage Pool do MS SCDPM 8. Konfigurace zálohování virtuálních instancí provozovaných v Microsoft Hyper-V 9. Konfigurace zálohování System State řadičů domény 10. Ověření funkcionality systému zálohování a obnovy Centrální Zálohovací zařízení 1. Instalace a konfigurace IBM Tivoli Storage Manager v Primární a Zálohovací lokalitě 2. Konfigurace vazeb mezi zálohovacími servery v jednotlivých lokalitách 3. Instalace Tivoli Storage agentů na fyzické servery (s výjimkou virtualizačních serverů Microsoft Hyper-V) 4. Konfigurace zálohovacích politik (uložení po dobu minimálně 30 dnů a 5 nezávislých záloh celého systému) 99/105 S1_P4_Implementační projekt
425
5. 6. 7. 8. 9.
Konfigurace zdroje zálohovaných dat (Fail-Over zálohování) Konfigurace páskové jednotky Konfigurace replikace záloh Nastavení reportingu Ověření funkcionality systému zálohování a obnovy
Zálohování s využitím HP 3PAR Replication Software Suite 1. Instalace a konfigurace HP 3PAR Replication Software Suite (3PAR Remote Copy Software, 3PAR Virtual Copy, HP 3PAR Application Software Suite for Hyper-V) 2. Instalace agenta na virtualizační servery Microsoft Hyper-V 3. Konfigurace HP 3PAR Replication Software Suite 4. Definování klonovaných virtuálních instancí (Konfigurace snapshot a clone v rámci diskových polí) 5. Nastavení reportingu 6. Ověření funkcionality systému zálohování a obnovy Zálohování Real-Time Zálohování Real Time bude blíže popsáno v kapitole Databázové služby.
D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro zálohování, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro zálohování dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista, který dále také specifikuje virtuální instance, které budou zálohovány. Specialista pro bezpečnost kontrolu dodržování bezpečnostních požadavků Zadavatele. Specialista pro MS Windows Server spolupracuje při konfiguraci serverů pro korektní běh zálohovacích služeb. Databázový specialista zajišťuje korektní konfiguraci zálohování na DB strojích. Databázový administrátor provádí specifické činnosti ve spolupráci s Databázovým specialistou. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 12 MD. Specialista pro Zálohování – 4 MD Vedoucí projektu – 0,5 MD Specialista pro MS Windows Server – 1 MD Databázový specialista – 2MD Databázový administrátor – 2MD Hyper-V specialista – 1 MD Systémový administrátor – 1 MD Dokumentarista – 0,5 MD
1.4.7.
Terminálové služby
1.4.7.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech: 100/105 S1_P4_Implementační projekt
426
Přístup do stávajícího IS Poskytnutí licencí pro CITRIX XenDesktop z prostředí MS7+ Poskytnutí administrátorských nástrojů pro správu Aplikace MS2014+
1.4.7.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.4.7.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ V rámci implementace bude terminálový server TS11-TST integrován do nové terminálové farmy. Dále bude provedena integrace se stávající farmou CITRIX.
1.4.7.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému Systémové služby o Databázové služby o Webové služby o Poštovní služby o Dohled a management služby o Antivirové a antispamové služby o Zálohovací služby
D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.
20 ks MS Remote Desktop Service User Lic/SA
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace terminálových služeb v aplikačním režimu 1. 2. 3. 4. 5. 6.
Instalace a konfigurace role Remote Desktop Service (RDS) na terminálové servery Instalace licenčního serveru pro terminálové služby Microsoft Remote Desktop Licencing Přidání přístupových licencí pro přístup k terminálovým serverům Instalace a konfigurace terminálové farmy CITRIX (- viz služby vzdáleného přístupu) Instalace všech administračních nástrojů sloužících pro správu prostředí Zabezpečení přístupů k terminálovým serverům
101/105 S1_P4_Implementační projekt
427
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace terminálových služeb v aplikačním režimu 1. Instalace a konfigurace role Remote Desktop Service (RDS) na terminálové servery (TS11, TS12) 2. Analýza stavu serveru TS11-TST a případná konfigurace 3. Instalace licenčního serveru (ISS11) pro terminálové služby Microsoft Remote Desktop Licencing 4. Přidání přístupových licencí pro přístup k terminálovým serverům 5. Instalace a konfigurace terminálové farmy CITRIX (- viz služby vzdáleného přístupu) 6. Instalace všech administračních nástrojů sloužících pro správu prostředí 7. Zabezpečení přístupů k terminálovým serverům 8. Zajištění vstupních požadavků implementace 9. Migrace virtuálních strojů (TS11, TS12, TS11-TST) na finální HW zdroje
D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele
Instalace a konfigurace role Remote Desktop Service (RDS) na terminálové servery (TS11, TS12) Instalace licenčního serveru pro terminálové služby Microsoft Remote Desktop Licencing
Analýza stavu serveru TS11-TST a případná konfigurace
Přidání přístupových licencí pro přístup k terminálovým serverům
Instalace a konfigurace terminálové farmy CITRIX Instalace všech administračních nástrojů sloužících pro správu prostředí
Zabezpečení přístupů k terminálovým serverům
Zajištění vstupních požadavků implementace
Migrace virtuálních strojů (TS11, TS12, TS11-TST) na finální HW zdroje
D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za 102/105 S1_P4_Implementační projekt
428
migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Síťový specialista zajišťuje konfigurační práce na úrovni komunikace Web Interface s Internetem. Specialista pro zálohování spolupracuje při zálohování terminálových serverů. Specialista pro bezpečnost kontroluje dodržování bezpečnostních požadavků Zadavatele. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 5,5 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Síťový specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Specialista pro zálohování – 0,5 MD Systémový administrátor – 2 MD Dokumentarista – 0,5 MD
1.4.8.
Služby vzdáleného přístupu
1.4.8.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:
Přístup do stávajícího IS Definicice aplikací publikovaných na aplikačním portálu Oprávnění uživatelů k publikovaným aplikacím Poskytnutí licencí CITRIX Poskytnutí certifikátů veřejné důvěryhodné certifikační autority
1.4.8.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.
1.4.8.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Bude provedena integrace do existujícího prostředí CITRIX.
1.4.8.D Implementace D.I.
Vstupní požadavky implementace
HW zdroje Služby operačního systému Systémové služby o Webové služby o Terminálové služby 103/105
S1_P4_Implementační projekt
429
D.II. Dodávka HW/SW V rámci implementace služby nebude dodán žádný HW ani SW.
D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace prostředí CITRIX (aplikační režim) 1. 2. 3. 4. 5. 6. 7. 8. 9.
Instalace a konfigurace Security Gateway Konfigurace komunikačních pravidel Instalace a konfigurace WebInterface Úprava konfigurace CITRIX NetScalerů v návaznosti na služby vzdáleného přístupu Vizualizace WebInterface do podoby webové prezentace Zadavatele Vytvoření a konfigurace CITRIX terminálové farmy Instalace terminálové služby (viz. Terminálové služby) Vypublikování aplikací Úprava centrálních politik
Instalace a konfigurace vzdálených služeb (servisní režim) 1. Servisní režim sdílí prostředky režimu aplikačního (přístup do primární lokality ze sítě Internet) 2. Vytvoření VPN tunelů mezi lokalitami ( - viz FW služby)
D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace konfigurace prostředí CITRIX (aplikační režim) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Instalace a konfigurace Security Gateway ve virtuálním prostředí (CSG11) Instalace a konfigurace WebInterface ve virtuálním prostředí Vizualizace WebInterface do podoby webové prezentace Zadavatele Vytvoření a konfigurace CITRIX terminálové farmy Vypublikování aplikací Úprava centrálních politik Zajištění vstupních požadavků implementace Konfigurace komunikačních pravidel Úprava konfigurace CITRIX NetScalerů v návaznosti na služby vzdáleného přístupu Migrace virtuálních strojů na finální HW zdroje
Instalace a konfigurace vzdálených služeb (servisní režim) 1. Servisní režim sdílí prostředky režimu aplikačního (přístup do primární lokality ze sítě Internet) 2. Vytvoření VPN tunelů mezi lokalitami ( - viz FW služby)
104/105 S1_P4_Implementační projekt
430
D.V. Schéma implementace Blokové schéma kroků implementace aplikačního režimu v prostředí Zadavatele
Instalace a konfigurace Security Gateway ve virtuálním prostředí (CSG11) Vizualizace WebInterface do podoby webové prezentace Zadavatele
Instalace a konfigurace WebInterface ve virtuálním prostředí
Vytvoření a konfigurace CITRIX terminálové farmy
Vypublikování aplikací
Úprava centrálních politik
Zajištění vstupních požadavků implementace Úprava konfigurace CITRIX NetScalerů v návaznosti na služby vzdáleného přístupu
Konfigurace komunikačních pravidel
Migrace virtuálních strojů na finální HW zdroje
D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost dohlíží na dodržování bezpečnostních požadavků Zadavatele. Síťový specialista bude dohlížet na konfiguraci NetScaleru a úpravu komunikačních pravidel. Databázový specialista konfiguruje DB pro služby vzdáleného přístupu CITRIX. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 5,5 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Síťový specialista – 0,5 MD Databázový specialista – 0,5 MD Systémový administrátor – 2 MD Dokumentarista – 0,5 MD 105/105 S1_P4_Implementační projekt
431