Implementační projekt

Příloha č. 4 Smlouvy o dílo

Implementační projekt

S1_P4_Implementační projekt 327

OBSAH 1. IMPLEMENTAČNÍ PROJEKT............................................................... 3 1.1.

Globální přehled projektu .........................................................................................3

1.1.1.

Rozdělení implementačních prací projektu na jednotlivé fáze .......................................4

1.1.2.

Činnosti jednotlivých fází ............................................................................................5

1.1.3.

Způsob implementace ..................................................................................................6

1.1.4.

Průběh implementace ...................................................................................................6

1.1.5.

Integrace existujícího prostředí Zadavatele ...................................................................9

1.1.6.

Odstávky prostředí .......................................................................................................9

1.1.7.

Rizika implementace a nápravná opatření ................................................................... 10

1.1.8.

Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 ........................... 11

1.2.

Hardwarové zdroje ................................................................................................. 11

1.2.1.

Datové centrum.......................................................................................................... 11

1.2.2.

Síťové služby – HW................................................................................................... 11

1.2.3.

Serverové stanice ....................................................................................................... 40

1.2.4.

FW služby a bezpečnost – HW................................................................................... 49

1.2.5.

Jednotný datový prostor (SAN) .................................................................................. 52

1.2.6.

HSM služby ............................................................................................................... 57

1.2.7.

Zálohovací služby – HW ............................................................................................ 59

1.2.1.

Konektivita datového centra ....................................................................................... 62

1.3.

Služby Operačního Systému ................................................................................... 62

1.3.1.

Platforma OS ............................................................................................................. 62

1.3.2.

Síťové a bezpečnostní služby ..................................................................................... 66

1.3.3.

Adresářové služby...................................................................................................... 66

1.3.4.

DNS služby ............................................................................................................... 70

1.3.5.

Časové služby ............................................................................................................ 72

1.3.6.

Virtualizační služby ................................................................................................... 76

1.3.7.

Souborové služby....................................................................................................... 79

1.3.8.

Clusterové služby....................................................................................................... 82

1.4.

Systémové služby ................................................................................................... 84

1.4.1.

Databázové služby ..................................................................................................... 84

1.4.2.

Webové služby .......................................................................................................... 88

1.4.3.

Poštovní služby .......................................................................................................... 90

1.4.4.

Dohled a management služby ..................................................................................... 92

1.4.5.

Antivirové a antispamové služby ................................................................................ 95

1.4.6.

Zálohovací služby ...................................................................................................... 97

1.4.7.

Terminálové služby .................................................................................................. 100

1.4.8.

Služby vzdáleného přístupu ...................................................................................... 103 2/105

S1_P4_Implementační projekt

328

1.

IMPLEMENTAČNÍ PROJEKT

1.1.

GLOBÁLNÍ PŘEHLED PROJEKTU

Vytvoření globálního přehledu projektu je vzhledem k rozsahu a složitosti projektu nepřehledné. Na implementaci IS je z toho důvodu nutné nahlížet dvěma pohledy, manažerským a technologickým / systematickým pohledem. Oba pohledy je nutné v klíčových oblastech slučovat a nacházet průsečíky termínů a kompetencí týmů manažerů a systémových administrátorů. Sloučením obou pohledů dochází k synergickému efektu a tvorbě pohledu na celou implementaci prostřednictvím dílčích oblastí. Manažerský pohled na implementaci IS PODPIS SMLOUVY

KICK - OFF

PŘÍPRAVNÁ FÁZE

INSTALAČNÍ FÁZE

KONFIGURAČNÍ FÁZE

AKCEPTAČNÍ FÁZE

2 - Jmenování členů PR. týmu

5 – Hardwarové zdroje

7 - Služby operačního systému

9 - Systémové služby

13 - Předložení Díla k akceptaci

3 - Zahájení projektu

6 - Kontrolní den Jednání PR. Týmu 24.6.2014

8 - Kontrolní den Jednání PR. Týmu

7. 8. 2014

10 - Předání scénářů akcept. 3. 7. 2014

14 - Projednání výhrad Zadavatele

16.7.2014

4 - Přidělení přístupů Uchazeči do IS Zadavatele

11 - Výzva k akceptaci 17. 7. 2014

15 - Zpřístupnění Díla provozovateli apl. MS2014 18. 8. 2014

12 - Kontrolní den Jednání PR. Týmu

16 - Předání díla

6.8.2014

29. 8. 2014

3/105 S1_P4_Implementační projekt

329

Technologický pohled na implementaci IS

Hardwarové zdroje

Datové centrum

Síťové služby - HW

Serverové stanice

FW služby bezpečnost - HW

Jednotný datový prostor (SAN)

HSM služby

Zálohovací služby - HW

Konektivita datového centra

Virtualizace

Služby operačního systému

Systémové služby

Serverová virtualizace Uchazeče / Zadavatele

Platforma OS

Síťové a bezpečnostní služby

Adresářové služby

DNS služby

Časové služby

Virtualizační služby

Souborové služby

Clusterové služby

Databázové služby

Webové služby

Poštovní služby

Dohled a management sl.

Antivirové a antispamové sl.

Zálohovací služby

Terminálové služby

Služby vzdáleného přístupu

Testování

Předání Díla

1.1.1. Rozdělení implementačních prací projektu na jednotlivé fáze Pro možnost jednoduché kontroly realizovaných činností v rámci implementace byl projekt rozdělen na fáze. Každá fáze projektu bude ukončena Kontrolním dnem – schůzkou projektového týmu, na kterém si zástupci Zadavatele a Uchazeče shrnou kroky prací provedených v rámci konkrétní fáze a případné rozpory s plánem. Termíny jednotlivých fází implementace byly stanoveny následovně:    

Podpis smlouvy: Přípravná fáze: Instalační fáze: Konfigurační fáze:

1. 6. 2014 3. 6. – 23. 6. 2014 25. 6. – 15. 7. 2014 17. 7. – 6. 8. 2014


330

Klíčové termíny projektu:       

Podpis smlouvy: Kick-off: Zahájení implementačních prací: Kontrolní den: Kontrolní den II: Předání scénářů akceptace: Výzva k akceptaci:

1. 6. 2014 2. 6. 2014 3. 6. 2014 24. 6. 2014 16. 7. 2014 3. 7. 2014 17. 7. 2014

   

Kontrolní den III: Předložení díla k akceptaci.: Zpřístupnění díla: Předání díla:

6. 8. 2014 7. 8. 2014 18. 8. 2014 29. 8. 2014

V rámci implementace služeb budou Uchazečem prováděny činnosti uvedené v následujících bodech. Uchazeč v návrhu činností zahrnuje nejen implementační činnosti vycházející z odstavce Požadovaný rozsah dodávek a implementace služby v příloze č. 1 Smlouvy o dílo, ale i o činnosti, které s implementací uvedených služeb úzce souvisí a se kterými má zkušenosti z projektů obdobného rozsahu.

1.1.2.

Činnosti jednotlivých fází

1.1.2.A Přípravná fáze V rámci přípravné fáze proběhnou tyto činnosti:     

Služby Datového centra a konektivity datového centra Objednávka a dodání HW a SW produktů Instalace a základní konfigurace HW a síťové úrovně Virtualizace prostředí Zadavatele/Uchazeče pro urychlení implementačních činností Instalace virtuálních serverů a jejich platforem operačního systému

1.1.2.B Instalační fáze V rámci instalační fáze proběhnou tyto činnosti:  

Implementace služeb operačního systému Implementace doménových návazností na virtuální servery

   

Konfigurace nezávislých služeb Instalace služeb na virtuální služby Instalace fyzických serverů a jejich zahoření Instalace virtualizačních node



Migrace virtuálních serverů na finální HW

1.1.2.C Konfigurační fáze V rámci konfigurační fáze proběhnou tyto činnosti: 

Implementace systémových služeb


331

  

Konfigurace návazností Finální konfigurace služeb Kontrola funkčnosti

 

Závěrečná dokumentace stavu infrastruktury Provedení plné zálohy systému

1.1.3.

Způsob implementace

Způsob implementace vychází z technologického pohledu. Technologický pohled přináší způsob, jakým stylem bude budován IS. K budování IS lze přistoupit jako k jakékoliv stavbě. Nejprve je nutné vybudovat kvalitní základy, na kterých je vybudována hrubá stavba do které jsou postupně implementovány jednotlivé technologie (topení, el. energie, datové rozvody). Základem u IT je kvalitní HW vybavení, na který jsou implementovány služby operačního systému. Do tohoto prostředí jsou následně implementované systémové služby. Do zvoleného způsobu implementace bylo nutné zohlednit respektování klíčových milníků dle článku 4.2 závazného návrhu Smlouvy o dílo. Tyto klíčové milníky jsou důležité z pohledu implementace, jelikož jasně ohraničují rámec, po který je možné provádět samotnou implementaci prostředí. Protože výrazně omezují prostor pro implementaci na pouhých 10 týdnů. Přičemž uchazeč musel vzít v potaz, že zadavatel chce nový HW, kdy běžná dodací lhůta je 4-6 týdnů. Uchazeč na základě dlouhodobé zkušenosti s implementováním rozsáhlých IS vzal tyto termíny v potaz a navrhl způsob implementace, který plně pokryje požadovaný způsob implementace a zároveň bude vytvořena dostatečná rezerva pro řešení mimořádných situací. Vzhledem k vysoké míře virtualizace v MS 2014+ je možné tuto skutečnost využít při způsobu implementace. Virtualizační služby umožňují jednoznačně oddělit HW vrstvu od ostatních služeb. V přirovnání se stavbou domu jsou virtualizační služby základovou deskou pro budování IS. Uvedená skutečnost umožňuje začít budovat IS mimo finální HW vybavení. Tak aby Uchazeč garantoval dodržení termínu připravenosti Prostředí pro provoz Aplikace MS2014+ ve vazbě na parametry Díla požadované pro Prostředí Aplikace MS2014+, Uchazeč v rámci plnění poskytne vlastní virtualizační prostředí. Toto virtualizační prostředí bude umístěno do stávajících prostor Zadavatele po dobu implementace. Na základě těchto východisek byl sestaven implementační projekt.

1.1.4.

Průběh implementace

Průběh implementace vychází ze způsobu zpracování implementačního projektu. Byly vypracovány postupně jednotlivé dílčí kapitoly implementace jednotlivých služeb. Celý proces je rozdělen do několika bloků a celků. První blok jsou databázové služby a včetně dodávky Oracle Exadata. Druhý blok jsou servery provozované ve virtuálním prostředí. Třetí blok je HW vybavení umístěné v cílovém datacentru. První blok je realizován do tří základních fází. První fáze je analýza stávajícího prostředí a vypracování technického projektu instalace a konfigurace Oracle Exadata, tato fáze je nezávislá od ostatních částí. V druhé fázi proběhnou instalační a konfigurační práce. V rámci této fáze již bude nutné základní oživení HW vybavení v umístěné v datacentru. V poslední fázi proběhne zaškolení a dokumentace skutečného provedení. Druhý blok, implementace VM, je rozdělen do dvou fází. V první fázi budou vytvořeny VM a nainstalovány jednotlivé služby. Tato fáze je závislá pouze na vytvoření virtualizačního prostředí na dočasném prostředí. Ve druhé fázi dojde k migraci na finální migraci na HW. Třetí blok je samotná implementace HW vybavení v datacentru. Tato část bude probíhat kontinuálně v návaznosti na probíhající dodávky HW. 6/105 S1_P4_Implementační projekt

332

1.1.4.A Harmonogram - základní Celkový počet MD

Počet pracovníků realizujících impl.

Počet dní

Termín


193

5

64

3. 6. – 6. 8. 2014

Webové služby

21,5

1

42

25. 6. – 6. 8. 2014

Terminálové služby Služby vzdáleného přístupu

5,5

1

20

17. 7. – 6. 8. 2014

5,5

1

20

17. 7. – 6. 8. 2014


12

1

42

25. 6. – 6. 8. 2014

Clusterové služby Antivirové a antispamové služby

10

1

42

25. 6. – 6. 8. 2014

5

1

20

17. 7. – 6. 8. 2014


12,5

1

64

3. 6. – 6. 8. 2014

Poštovní služby

6

1

20

17. 7. – 6. 8. 2014

Síťové služby Firewall služby bezpečnost Virtual Machine Manager (SCVMM)

8

1

42

25. 6. – 6. 8. 2014

13

1

42

25. 6. – 6. 8. 2014

11,5

1

42

25. 6. – 6. 8. 2014

Operations manager

82,5

3

58

9. 6. – 6. 8. 2014

Configuraion manager

8,5

2

42

25. 6. – 6. 8. 2014

Group Policy

4

1

42

25. 6. – 6. 8. 2014

Platforma OS

10

1

64

3. 6. – 6. 8. 2014


7

1

64

3. 6. – 6. 8. 2014

Souborové služby

7

1

42

25. 6. – 6. 8. 2014

Časové služby

3

1

64

3. 6. – 6. 8. 2014

DNS služby

3

1

64

3. 6. – 6. 8. 2014

40,5

3

64

3. 6. – 6. 8. 2014

Serverové stanice

8

1

64

3. 6. – 6. 8. 2014

HSM služby Zpracování projektové dokumentace v požadovaném rozsahu

32

2

64

3. 6. – 6. 8. 2014

40

1

64

3. 6. – 6. 8. 2014

Oblast Díla dle Technické specifikace Díla

SYSTÉMOVÉ SLUŽBY

SÍŤOVÉ A BEZPEČNOSTÍ SLUŽBY

DOHLED A MANAGEMENT SLUŽBY

OS A JEHO SLUŽBY

HW INFRASTRUKTURA

PROJEKTOVÁ DOKUMENTACE

Jednotný datový prostor

CELKEM ZA IMPLEMENTAČNÍ SLUŽBY

549


333

SYSTÉMOVÉ SLUŽBY

SÍŤOVÉ A BEZPEČ. SLUŽBY DOHLED A MANAGEMENT SLUŽBY

OS A JEHO SLUŽBY

HW INFRASTRUKTURA

Databázové služby Webové služby Terminálové služby Služby vzdáleného přístupu Zálohovací služby Clusterové služby Antivirové a antispamové služby Virtualizační služby Poštovní služby Síťové služby Firewall služby - bezpečnost Virtual Machine Manager (SCVMM) Operations manager Configuraion manager Group Policy Platforma OS Adresářové služby Souborové služby Časové služby DNS služby Jednotný datový prostor Serverové stanice HSM služby

193 21,5 5,5 5,5 12 10 5 12,5 6 8 13 11,5 82,5 8,5 4 10 7 7 3 3 40,5 8 32

10

1

15

20

20 4

20 4

25 4

2 1

2 2

2 3

3

10

3

10

2 3

6 3

1

10 8,5

10

10

4 2

1

1

4

15 5 5

10 3 5

2 2

25 25 4 1,5 2 1,5 2 1,5 2 2 2 4 4 1,5 5

4.8. – 6.8.

28.7. – 3.8.

25 4 2 2 2 2

8

1 1

1 5 5 5 1,5 10 7,5 15

2 7

3

21.7. – 27.7.

14.7. – 20.7.

7.7. – 13.7.

30.6. – 6.7.

23.6. – 29.6

16.6. – 22.6.

Celkový počet MD

9.6. – 15.6.

Oblast Díla dle Technické specifikace Díla

3.6. – 8.6.

1.1.4.B Harmonogram – detailní MD na týdny

3 1 1 1 5 5

1

1

1

1

5

5 0,5

5

8


334

1.1.5.

Integrace existujícího prostředí Zadavatele

Z pohledu integrace je nutné se především zaměřit na dvě oblasti, které mají přímý dopad na existující prostředí. První oblastí je přenos dat a konfigurací ze stávajícího prostředí do nového produkčního prostředí. Druhou oblastí je vytvoření zálohovacího prostředí a převzetí a konsolidace stávajícího testovacího a školícího prostředí.

1.1.5.A Přenos dat a konfigurací systému Zadavatel v příloze č. 1 Technické specifikace díla popisuje stávající prostředí, kde je především implementované testovací prostředí. Zároveň Zadavatel očekává, že v tomto prostředí již budou provozovány ostré prototypy aplikací. Uchazeč na základě těchto informací očekává, že se bude jednat plně funkční prostředí, které se bude nejblíže rovnat požadovanému stavu, ale bez dostatečného výkonu a redundance. Uchazeč má k dispozici vlastní skripty, které dokáží provést bezvýpadkovou kontrolu prostředí a vyexportovat nastavení standardních i specifických komponent systému. Získané výstupy následně budou generalizovány pro možnost následné determinace na jednotlivé nové prvky. Výše uvedeným postupem bude optimálně zajištěn přesun konfigurace. Tato metoda bude využita při implementaci webových služeb, které tvoří základ běhového prostředí aplikací MS2014. Druhou částí je integrace stávajících dat do nově implementovaného a budovaného prostředí. Z charakteru aplikace MS2014 je patrné, že základ všech dat je uložen v databázovém prostředí Oracle. Jako druhým uložištěm unikátních uživatelských informací je Active Directory, kde jsou především uloženy informace o uživatelských účtech a informací na něm vázaných. Uchazeč očekává a navrhuje, že stávající data budou exportována do nového prostředí. Nejprve dojde k vybudování nového prostředí a následně dojde k migraci dat. Přesný postup migrace dat uložených v Oracle databázi bude upřesněn v rámci implementačního projektu databázových služeb, který zadavatel požaduje vypracovat v rámci plnění. V případě ostrých uživatelských účtů v Active Directory Uchazeč navrhuje maximálně stávající informace ponechat a přenést do nového produkčního prostředí i za cenu kompletního vytvoření nového již existujícího prostředí. Výhodou uvedeného řešení je minimalizace dopadu na uživatele již v ostrém prostředí a bez jakéhokoliv podezření na kompromitaci uživatelského účtu. Přenosem adresářové struktury zároveň nedojde k porušení auditní stopy na úrovni systémových účtů a dojde k minimalizaci délky výpadku produkčního prostředí. Dalším plusem je, že všem uživatelům zůstanou zachována původní hesla, protože uživatelské hesla nelze na základě zvolené technologie vyexportovat ani jiným způsobem získat.

1.1.5.B Vytvoření zálohovací lokality Vytvoření zálohovací lokality má přímý dopad na existující prostředí Zadavatele. Do prostředí budou implementovány nové prvky a služby. V souladu s přílohou č. 1 Technická specifikace díla budou do infrastruktury implementovány zálohovací služby, HSM služby a vybrané aktivní a bezpečnostní prvky. Do stávajícího prostředí budou implementovány adresářové služby provozované ve virtuálním prostředí.

1.1.6.

Odstávky prostředí

Samostatnou oblastí v rámci integrace stávajícího prostředí s nově dodávanými prvky jsou odstávky prostředí pro provoz Aplikace MS2014+ (školící / testovací a zálohovací prostředí). Odstávky budou nutné pouze u oblastí, které projdou rekonfigurací a zároveň tuto rekonfiguraci nelze provést v rámci běžného provozu bez zásadního omezení služeb. Uchazeč bude veškeré práce provádět ve snaze minimalizovat délku odstávek se zachováním maximální bezpečnosti a konzistence již pořízených ostrých dat. Krátkodobé odstávky systému (restarty) budou prováděny v nočních 9/105 S1_P4_Implementační projekt

335

hodinách mimo provozní dobu aplikace MS2014. Odstávky s předpokládanou delší dobou nedostupnosti systému budou realizovány o víkendech. Z charakteru systému bude klíčová rekonfigurace stávající Oracle Exadata, které budou muset být aktualizovány na nejnovější verzi podporovanou výrobcem DB prostředí a dodavatelem aplikace MS2014. Na základě dostupných informací Uchazeč předpokládá, že v rámci Oracle Exadata bude nutná jedna víkendová odstávka na provedení této aktualizace. Krátkodobé odstávky budou nutné z důvodu rekonfigurace síťového prostředí, implementace HSM do prostředí, nasazení a ověření zálohování včetně přechodu na stand-by stranu. Druhou oblastí, kde lze očekávat odstávku je rekonfigurace adresářových služeb. Počet a délka odstávek nelze na základě dostupných informací přesně určit. Počet odstávek bude stanoven po vstupní analýze prostředí. Pokud jsou ostré uživatelské účty odděleny, Uchazeč bude garantovat nulovou délku výpadku. Další oblastí, kde lze očekávat krátkodobý výpadek prostředí je implementace nových aktivních prvků do zálohovací lokality a rekonfigurace CITRIX Netscalerů Ostatní služby si nevyžádají odstávku prostředí a lze jejich implementaci provést bezvýpadkově. Detailní integrace a odstávky dílčích služeb jsou uvedeny v implementaci jednotlivých služeb.

1.1.7.

Rizika implementace a nápravná opatření

Implementaci projektu protínají ve všech krocích rizika, která by mohla ovlivnit implementační práce, termíny výše uvedených fází a v konečném důsledku i úspěšné ukončení projektu v předpokládaném termínu. Uchazeč zvážil okolnosti a analyzoval možná rizika uvedená níže: 1. Zpoždění dodávky HW a navazujících prací 2. Nedostatek lidských kapacit 3. Nefunkční konektivita mezi datacentry 4. Transport migrovaných dat 5. Chyby validace konfigurace Uvedená rizika budou ošetřena těmito opatřeními: 1. Virtualizace prostředí před dodáním HW a následná migrace na finální HW zdroje – veškeré virtuální stroje budou vytvořeny na HW Zadavatele / Uchazeče a proběhne základní konfigurace níže popisovaných služeb. Po dodání HW zdrojů bude provedena migrace na finální HW zdroje a dodatečná konfigurace. 2. Pro eliminaci rizika nedostatku lidských kapacit Uchazeč v každé kapitole detailně specifikoval nároky na jednotlivé profesní role. Uchazeč zajistí zastupitelnost na pozicích Systémového administrátora, Databázového administrátora, Dokumentátora - Uchazeč ve svém týmu disponuje dostatečným počtem pracovníků schopných implementovat uvedené služby. Uchazeč má ve své realizačním týmu několik odborníků, kteří splňují kvalifikační předpoklady pro více rolí požadovaných v ZD. 3. Po dobu budování a implementace lze dočasně pokrýt vytvořením dočasného propoje. Propoj bude realizován prostřednictvím zabezpečeného tunelu VPN. 4. Uchazeč zajistí jednu z uvedených možností: vysokokapacitní datová úložiště, vysokorychlostí linka tak, aby migrace virtuálních strojů na finální HW zdroje proběhla v co nejkratším možném termínu. 5. Konfigurace služeb jako např. Clusterové služby vyžadují validaci a ověření funkčnosti. Veškeré služby budou konfigurovány do bezchybného stavu a v případě chyb validace proběhne jejich rekonfigurace.


336

1.1.8. Součinnost ze strany Provozovatele aplikace MS2014

Zadavatele

a

V oblasti součinnosti je především vyžadován umožnění přístupu do stávajícího IS a poskytnutí technických a konfiguračních informací pro správnou implementaci prostředí. Po zahájení projektu předá Uchazeč detailní soupis technických konfiguračních požadavků, které budou nezbytné pro bezproblémovou a správnou implementaci a následný provoz systému. Požadavky budou vycházet ze specifikace uvedené v jednotlivých dílčích kapitolách Implementačního projektu. Samostatnou oblastí je zajištění vhodného prostředí pro běh HW prvků umístěných do zálohovací lokality. V přípravné fázi bude Uchazeč vyžadovat zvýšenou součinnost v oblasti konzultací a definici požadavků na systém. V rámci efektivity navrhuje uchazeč konání 2x týdně jednání na téma definice specifických požadavků na systémové prostředí pro aplikaci MS2014 v prostorách zadavatele. Jednání budou ve složení Uchazeč, Zadavatel, Provozovatel aplikace MS2014. V rámci instalační a konfigurační fáze se budou tato jednání uskutečňovat 1x týdně. Stanovení jednoho pracovníka ze strany Provozovatele aplikace MS2014, který bude aktivně spolupracovat a zodpovídat za definici specifických technických a bezpečnostních parametrů pro aplikaci MS2014+. Stanovení jednoho pracovníka ze strany Zadavatele, který bude aktivně spolupracovat a zodpovídat za definici specifických bezpečnostních a technických parametrů pro aplikaci MS2014+. Vzhledem k velmi krátké době na implementaci uchazeč očekává, že veškeré vstupy a vyžádané informace mu budou dodány nejpozději do tří pracovních dnů od vyžádání.

1.2.

HARDWAROVÉ ZDROJE

1.2.1.

Datové centrum

Služby datového centra jsou blíže specifikovány v příloze č. 5 „Popis realizace služeb“ servisní smlouvy.

1.2.2.

Síťové služby – HW

1.2.2.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:  

Přístup do stávajícího IS Spolupráce při změně adresního plánu



Spolupráce při tvorbě směrovacích pravidel datové komunikace

1.2.2.B Požadavky na odstávky prostředí Změna při rekonfiguraci stávajících aktivních prvků na nové si vyžádá krátkodobou nedostupnost provozovaných služeb ve stávajícím prostředí zadavatele. Délka nedostupnosti služeb nepřesáhne 1 hodinu.


337

1.2.2.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím (školící / testovací) bude prováděna na úrovni připojení zálohovacího prostředí. Stávající HW prvky (školící / testovací) budou k datové komunikaci využívat nově dodané aktivní prvky. Na fyzické vrstvě dojde k propojení stávajících ORACLE Exadata a zároveň dojde k připojení stávajících switchů v BLADE řešeních. Implementované prvky budou mít pozitivní dopad na současný HW a plně umožní využít jeho výkon (10 Gbit/s). Stávající adresní plán bude upraven dle nové koncepce v návaznosti na požadavky Zadavatele.

1.2.2.D Implementace D.I. 

Vstupní požadavky implementace

HW zdroje o Datové centrum

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. Primární lokalita – HW    

2x Switch Core/Access 2x Switch Access/Management 2x Switch Access/IDMZ Příslušenství (kabeláž, SFP moduly)

Primární lokalita – SW 

Licence

Zálohovací lokalita – HW 

1x Switch Core/Access



Příslušenství (kabeláž, SFP moduly)

Zálohovací lokalita – SW 

Licence

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služby 1. 2. 3. 4. 5.

Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení) Změna defaultních administračních přístupových hesel k zařízením 12/105


338

6. 7. 8. 9. 10.

Konfigurace vysoké dostupnosti aktivních prvků Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) Konfigurace routingu mezi lokalitami a virtuálními sítěmi Instalace a konfigurace SW monitoringu - včetně modulů na management serveru Konfigurace monitoringu a reportingu

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace. Implementace v Primární lokalitě Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace vysoké dostupnosti aktivních prvků (IRF) Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) Konfigurace routingu mezi lokalitami a virtuálními sítěmi Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) na management serveru 10. Konfigurace monitoringu a reportingu

1. 2. 3. 4. 5. 6. 7. 8. 9.

Implementace v Zálohovací lokalitě Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace vysoké dostupnosti aktivních prvků (IRF) Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů) Konfigurace routingu mezi lokalitami a virtuálními sítěmi Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) 10. Konfigurace monitoringu a reportingu

1. 2. 3. 4. 5. 6. 7. 8. 9.

D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele


339

Instalace aktivních prvků do rackové skříně Připojení silové kabeláže a datových propojů mezi aktivními prvky (vrstvená architektura) Kontrola a případný upgrade nově dostupných firmware Základní konfigurace aktivního prvku (oživení)

Změna defaultních administračních přístupových hesel k zařízením

Konfigurace vysoké dostupnosti aktivních prvků (IRF)

Konfigurace jednotlivých virtuálních sítí (VLAN, vytvoření adresních rozsahů)

Konfigurace routingu mezi lokalitami a virtuálními sítěmi

Instalace a konfigurace SW monitoringu - včetně modulů (HP IMC Standard, Network Traffic Analyzer, Service Health Manager, TACACS+) na management serveru

Konfigurace monitoringu a reportingu

D.VI. Personální zajištění Za implementaci služeb je odpovědný Síťový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Síťový specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost kontroluje dodržování bezpečnostních pokynů Zadavatele. Specialista pro MS Windows Server provede konfiguraci TCP/IP protokolu serverových stanic. HW Specialista Servery zodpovídá za propojení aktivních prvků se servery a instalaci management nástrojů. Databázový administrátor provádí konfiguraci TCP/IP protokolu na úrovni Oracle Exadata a DB serverů. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 8 MD. Síťový specialista - 3 MD Vedoucí projektu – 0,5 MD HW Specialista Servery – 1 MD Specialista pro bezpečnost – 0,5 MD Specialista pro MS Windows Server – 0,5 MD Databázový administrátor – 1 MD Systémový administrátor – 1 MD Dokumentarista – 0,5 MD 14/105 S1_P4_Implementační projekt

340

D.VII. Zajištění minimálních technických požadavků Hewlett Packard 5900 Požadavek

Splnění požadavku

48x 1000/10000 SFP+

Ano

4x QSFP+ 40 GbE

Ano

Napájecí zdroj

2x napájecí zdroj

Ano, stejný model s primárním zdrojem

Paměť

512 MB flash, 2 GB SDRAM

Ano

10 Gbps latence

Maximálně 1.5 μs

Ano (64-byte packets)

Podpora FCoE

Ano

Ano

Propustnost

Minimálně 900 milionu paketu za sekundu

Ano, 952 milionů paketů za sekundu

Propustnost – Routing/Switching

Minimálně 1200 Gbps

Ano, 1280 Gb/s

Prvek Core/Access Porty

Velikost tabulky

routovací 16 000 záznamů

Management

Ano, 16 000 záznamů IPv4

Podpora Zálohování a obnova konfigurace síťových prvků

Ano, Hewlett Packard IMC

Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích Podpora virtualizace

Ano, podpora bridgování mezi virtuálními stroji a LAN dle 802.1Qbg

Ano

Intelligent Resilient Framefork (IRF) Virtual Router Protocol (VRRF) Podpora transceiveru

Redundancy

1G SFP LC LH40 1310nm Ano Transceiver 1G SFP LC LH40 1550nm Transceiver


341

1G SFP LC LH70 Transceiver 1G SFP LC Transceiver

BX

10-U

1G SFP LC Transceiver

BX

10-D

1G SFP LC SX Transceiver 1G SFP LC LX Transceiver 1G SFP RJ45 T Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver

Podpora standardů

10G SFP+ Transceiver

LC

ER

RFC 2918 Capability

Route

40km Refresh Ano

IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q VLANs IEEE 802.1s Multiple Spanning Trees IEEE 802.1w Reconfiguration of Tree

Rapid Spanning

IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae Ethernet

10-Gigabit

RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 856 TELNET RFC 896 Congestion Control in IP/TCP Internetworks


342

RFC 950 Internet Standard Subnetting Procedure RFC 1027 Proxy ARP RFC 1058 RIPv1 RFC 1091 Telnet TerminalType Option RFC 1141 Incremental updating of the Internet checksum RFC 1191 Path MTU discovery RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1350 (revision 2)

TFTP

Protocol

RFC 1624 Incremental Internet Checksum RFC 1812 IPv4 Routing RFC 2131 DHCP RFC 2453 RIPv2 RFC 2581 TCP Congestion Control RFC 2644 Directed Broadcast Control RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4419 Diffie-Hellman Group Exchange for the 17/105 S1_P4_Implementační projekt

343

Secure Shell (SSH) Transport Layer Protocol RFC 4594 Configuration Guidelines for DiffServ Service Classes RFC 4941 Privacy Extensions for Stateless Address Autoconfiguration in IPv6 RFC 2460 IPv6 Specification RFC 2711 IPv6 Router Alert Option RFC 3315 DHCPv6 (client and relay) RFC 4291 IP Version Addressing Architecture

6

RFC 4862 IPv6 Stateless Address Auto-configuration RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 RFC 1213 MIB II RFC 1907 SNMPv2 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Notification MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2737 Entity MIB (Version 2) RFC 3414 SNMP-User basedSM MIB RFC 3415 SNMP-View basedACM MIB LLDP-EXT-DOT1-MIB RFC 1587 OSPF NSSA RFC 2328 OSPFv2 RFC 3101 OSPF NSSA 18/105 S1_P4_Implementační projekt

344

RFC 3137 OSPF Stub Router Advertisement RFC 3623 Restart

Graceful

OSPF

RFC 4577 OSPF as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual Private Networks (VPNs) RFC 4811 OSPF Out-of-Band LSDB Resynchronization RFC 4812 Signaling

OSPF

Restart

RFC 4813 OSPF Link-Local Signaling IEEE 802.1P (CoS) RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 3247 Supplemental Information for the New Definition of the EF PHB (Expedited Forwarding Per-Hop Behavior) RFC 3260 New Terminology and Clarifications for DiffServ Access Control Lists (ACLs) SSHv2 Secure Shell Hewlett Packard 5500HI 24G Access/DMZ Porty

24x RJ-45 10/100/1000

Ano

4x Gigabit SFP

Ano

2x SFP+ 10 GbE

Ano, rozšířitelné až na 6x SFP+

Napájecí zdroj

2x napájecí zdroj

Ano, stejný interní s primárním zdrojem

Paměť


Ano

10 Gbps latence

Maximálně 3 μs

Ano

1 Gbps latence

Maximálně 5 μs

Ano

model


345

Propustnost

130,9 milionu sekundu

Propustnost Routing/Switching

176 Gbps

Velikost tabulky

paketu

za

Ano, 176 Gbps


Management

Ano, minimálně 130,9 milionů paketů za sekundu





Ano

Ano, Intelligent Framework (IRF) Virtual Router Protocol (VRRP)

Podpora transceiveru

Resilient Redundancy

1G SFP LC LH40 1310nm Ano Transceiver 1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver 100M SFP Transceiver

LC

LH40

100M SFP Transceiver

LC

LH80

10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC Transceiver

BX

10-U


BX

10-D

100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 20/105 S1_P4_Implementační projekt

346

10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver 100M SFP Transceiver

LC

LX10

1G SFP LC LX Transceiver Podporované standarty

RFC 1157 SNMPv1/v2c

Ano

RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 Applications)

(SNMPv3

RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 Framework)

(Management

RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q (GVRP) 21/105 S1_P4_Implementační projekt

347

IEEE 802.1w Reconfiguration of Tree

Rapid Spanning

IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae Ethernet IEEE 802.3af Ethernet

10-Gigabit Power

over

IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1305 NTPv3 RFC 1350 (revision 2)

TFTP

Protocol

RFC 1519 CIDR RFC 1723 RIP v2 22/105 S1_P4_Implementační projekt

348

RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting RFC 3246 Forwarding PHB

Expedited

RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Simple Network Management Protocol (SNMP) RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface 23/105 S1_P4_Implementační projekt

349

(API) for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Restart

Graceful

OSPF

RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management


350

RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 Discovery

IPv6

Neighbor

RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2475 Architecture

IPv6

DiffServ

RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Address Allocation

Multicast

RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Selection for IPv6 RFC

3493

Basic

Address Socket 25/105


351

Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Definitions

Concise

MIB

RFC 1213 MIB II RFC 1657 BGP-4 MIB RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting 26/105 S1_P4_Implementační projekt

352

Client MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User basedSM MIB RFC 3415 SNMP-View basedACM MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 definitions

Concise

MIB

RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 Introduction RFC 1918 Private Address Allocation

SNMPv2 Internet

RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM)


353

RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sFlow RFC 3410 Introduction to Version 3 of the Internetstandard Network Management Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDPMED) SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control 28/105 S1_P4_Implementační projekt

354

RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 Authentication

RADIUS

Access/Mgmt přepínače Hewlett Packard 5500HI 48G Access/Management Porty

48x RJ-45 10/100/1000

Ano

4x Gigabit SFP

Ano

2x SFP+ 10 GbE

Ano, rozšířitelné na 6x SFP+

Napájecí zdroj

2x napájecí zdroj

Ano, stejný interní s primárním zdrojem

Paměť


Ano

10 Gbps latence

3 μs

Ano

1 Gbps latence

5 μs

Ano

Propustnost

166,6 milionu sekundu

paketu

za

model

Ano, 166,6 milionů paketů za sekundu

Propustnost – 224 Gbps Routing/Switching

Ano, 224 Gbps

Velikost tabulky



Management




Ano

Ano, Intelligent Framework (IRF) Virtual Router Protocol (VRRP)

Podpor transceiveru

Resilient Redundancy

1G SFP LC LH40 1310nm Ano Transceiver 29/105


355

1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver 100M SFP Transceiver

LC

LH40

100M SFP Transceiver

LC

LH80

10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC Transceiver

BX

10-U


BX

10-D

100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver 100M SFP Transceiver

LC

LX10

1G SFP LC LX Transceiver Podporované standarty

RFC 1657 Definitions of Managed Objects for BGPv4

Ano

RFC 1157 SNMPv1/v2c RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 Applications)

(SNMPv3


356

RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 Framework)

(Management

RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q (GVRP) IEEE 802.1w Reconfiguration of Tree

Rapid Spanning

IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae Ethernet IEEE 802.3af Ethernet

10-Gigabit Power

over

IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP 31/105 S1_P4_Implementační projekt

357

RFC 793 TCP RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Base for Network Management of TCP/IP-based internets RFC 1305 NTPv3 RFC 1350 (revision 2)

TFTP

Protocol

RFC 1519 CIDR RFC 1542 BOOTP Extensions RFC 1723 RIP v2 RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting 32/105 S1_P4_Implementační projekt

358

RFC 3246 Forwarding PHB

Expedited

RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Simple Network Management Protocol (SNMP) RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface (API) for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Restart

Graceful

OSPF

RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition 33/105 S1_P4_Implementační projekt

359

Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2858 Multiprotocol Extensions for BGP-4 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 Discovery

IPv6

Neighbor

RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 34/105 S1_P4_Implementační projekt

360

over Ethernet Networks RFC 2475 Architecture

IPv6

DiffServ

RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Address Allocation

Multicast

RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Selection for IPv6

Address

RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Definitions

Concise

MIB

RFC 1213 MIB II RFC 1657 BGP-4 MIB 35/105 S1_P4_Implementační projekt

361

RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting Client MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User basedSM MIB RFC 3415 SNMP-View basedACM MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 definitions

Concise

MIB


362

RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 Introduction RFC 1918 Private Address Allocation

SNMPv2 Internet

RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM) RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sFlow RFC 3410 Introduction to Version 3 of the Internetstandard Network Management 37/105 S1_P4_Implementační projekt

363

Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model (VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDPMED) SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 Authentication

RADIUS

Hewlett Packard TippingPoint S2600NX Prvek IPS Porty

Velikost Provedení

Požadavek


Podpora: RJ-45 10/100/1000Base-T Gigabit SFP (1000Base-T; 1000BaseSX; 1000Base-LX) 10 GbE SFP+ (10GBase-SR; 10GBaseLR; 10GBase-DAC (Direct Attach)) 40 GbE QSFP+ Max 2U v 19" rozvaděči Modulární, s Hot swap výměnou modulů

Ano, 4x HotSwap I/O Modules

Ano Ano


364

Napájecí zdroj Latence Propustnost – Inspekce Propustnost pro provoz obcházející inspekci Počet současně navázaných sessions Počet nových sessions za sekundu Počet kontextu zabezpečení Vysoká dostupnost páru zařízení Podpora L2 Fallback Integrovaná podpora Zero Power High Availability (ZPHA) pro optické i metalické porty Management

Komunikační protokoly Požadovaná inspekce transportních systémů Bezpečnost

2x AC 230V napájecí zdroj s volitelnou možností použití DC -48V zdroje Méně než 40 μs 3 Gb/s

Ano

40 Gb/s

Ano

30 milionů

Ano, 30 milionů

300000

Ano, 300 000

2600000

2,6 milionů

Schopnost páru IPS zařízení pracovat v Active-Active módu

Ano

v případě interní chyby software, nebo zahlcení systému, systém musí v případě problému být transparentní a neblokovat provoz Systém musí v případě problému být transparentní a neblokovat provoz

Ano

Management Server Command line interface Syslog, Syslog NG, podpora CEF protokolu pro Syslog/Syslog NG Webový prohlížeč Management information base (MIB) Identická podpora IPv4 i IPv6 s výhradním použitím zabezpečených protokolů pro management VLAN 802.1Q, VLAN QinQ 802.1ad, GRE, MPLS, VPLS, IPv4, IPv6

Ano

Hloubková aplikační inspekce s aplikační a obsahovou kontrolou Automatická ochrana k omezení tzv. „zero day vulnerabilities“ Automatická aktualizace filtrů minimálně jednou týdně Geolokace, integrace a Active Directory, Metadata, Reputační databáze Možnost vytváření vlastních filtrů

Ano

Ano Ano

Ano, Bypass Module

Ano

Ano


365

Možnost importu signatur komunity SNORT Zázemí vlastního bezpečnostního výzkumného týmu Schopnost provádět inspekci na distribuovaných linkách, které nepracují v symetrickém módu ( EtherChannel, LACP, ECMP a podobně) 1G SFP LC LX Transceiver 1G SFP LC SX Transceiver 1G SFP RJ45 T Copper 10G SFP+ LC SR 10G SFP+ LC LR 40G QSFP+ SR4 850nm

Podpora asymetrických linek Podporované transceivery

Ano

Ano

Hewlett Packard Security Management System Appliance Prvek Požadavek Management IPS Počet Min. 20 spravovaných IPS Velikost Max. 1U v 19“ rozvaděči

1.2.3.

Splnění požadavku Ano, 25

Ano

Serverové stanice

1.2.3.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:   

Přístup do stávajícího IS Manipulační prostor pro dodávku nových prvků Zajištění dostatečného příkonu a chlazení v zálohovací lokalitě

1.2.3.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu.

1.2.3.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Server TSM02 bude integrován do stávajícího datového centra Zadavatele. Veškeré servery budou integrovány do prostředí Zadavatele. Integrace v existujícím prostředí je zohledněna v průběhu implementace služby.



HW zdroje o Datové centrum 40/105


366

o

Síťové služby - HW

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. 

Serverové stanice

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace serverů 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Dodávka serverů Montáž (instalace) dodávaných zařízení do racku – zapojení Zapojení LAN, KVM, el. energie Upgrade firmware jednotlivých komponent serveru Změna defaultních administračních přístupových hesel k zařízením Inicializace a konfigurace jednotlivých komponent serveru (BIOS, RAID, LAN, CPU, RAM) Konfigurace remote management Instalace OS (- viz. Platforma OS) Instalace management nástrojů výrobce serveru Otestování stability (Kompletní oživení dodaných zařízení) – Zahoření

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Instalace serverů 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Dodávka serverů Montáž (instalace) dodávaných zařízení do racku – zapojení Zapojení LAN, KVM, el. energie Upgrade firmware jednotlivých komponent serveru Změna defaultních administračních přístupových hesel k zařízením Inicializace a konfigurace jednotlivých komponent serveru (BIOS, RAID, LAN, CPU, RAM) Konfigurace remote management Instalace OS (- viz. Platforma OS) Instalace management nástrojů výrobce serveru Otestování stability (Kompletní oživení dodaných zařízení) – Zahoření



367

Dodávka serverů

Montáž (instalace) dodávaných zařízení do racku – zapojení

Zapojení LAN, KVM, el. energie

Upgrade firmware jednotlivých komponent serveru Inicializace a konfigurace jednotlivých komponent serveru (BIOS, RAID, LAN, CPU, RAM)

Změna defaultních administračních přístupových hesel k zařízením

Konfigurace remote management

Instalace OS (- viz. Platforma OS)

Instalace management nástrojů výrobce serveru

Otestování stability (Kompletní oživení dodaných zařízení) – Zahoření

D.VI. Personální zajištění Za implementaci služeb je odpovědný HW Specialista Servery, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. HW Specialista Servery dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost bude kontrolovat splnění bezpečnostních požadavků Zadavatele. Hyper-V specialista spolupracuje při konfiguraci serverů pro provoz služeb Hyper-V. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 8 MD. HW Specialista Servery – 5 MD Vedoucí projektu – 0,5 MD Specialista pro bezpečnost – 0,5 MD Hyper-V specialista – 0,5 MD Systémový administrátor – 1 MD Dokumentarista – 0,5 MD


368

D.VII. Zajištění minimálních technických požadavků Hewlett Packard ProLiant DL560p Generation 8 Prvek Požadavek Aplikační servery – 4 Ks Min. osmijádrový procesor architektury x86 se spotřebou max. 95W a v osazení (počet procesorů) umožňujícím výkonové skóre ve sloupci Baseline minimálně: Procesor - 1000 bodů v benchmarku s názvem SPECint_rate2006 pro 4 enabled chips (http://www.spec.org/cpu2006/results/r int2006.html) K montáži do „racku“, výška serveru Provedení 2U Max. počet procesorů na 4 server Počet osazených 4 procesorů Min velikost Min. 20MB cache na procesor Min. 512GB Registered DDR3-1600, Velikost operační podpora Advanced ECC (nebo paměti RAM obdobná technologie opravy více (GB) bitové chyby paměti) Alespoň 192GB na jedno osazené CPU Max. velikost při zachování rychlosti paměti min. instalovatelné 1333MHz, tj. celkem až 768GB (při RAM 1333MHz) HDD (interní Min. 300GB - 15000 RPM, disk) s přenosovou rychlostí 6Gb/s Typ HDD SAS, za provozu vyměnitelné Počet HDD na 2 s možností rozšíření min. na 4 server Min. 8 portový SAS, cache min. 2GB, zálohovaná kapacitorem a flash pamětí, HW podpora RAID 0, 1, 5, volitelně 6, podpora pro SAS, SATA i Řadič disků SSD disky; řadič musí umožnit využití SSD disků jako cache pro logické oddíly uložené na klasických mechanických discích. Min. 6 portů 10 Gigabit, min. na třech Počet Ethernet samostatných LAN kartách včetně připojení veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Min. 6 portů PCI-Express, z toho Rozšiřující porty alespoň 2ks x16 Gen3 a současně alespoň 2ks x8 Gen3

Splnění požadavku Ano, osmijádrový procesor Intel Xeon E5-4640, 2.4 GHz / 8 Core / 20MB /95W

Ano Ano

Ano Ano Ano, 512GB RAM DDR3-1600 s Advanced ECC

Ano, max 1,5TB RAM na server

Ano, 300GB/15000 RPM Ano, Hot-Plug SAS disky Ano, osazené 2 disky, s rozšířením na max. 5 disků Ano, Hewlett Packard Smart Array P420i/2GB s FBWC, HW podpora RAID0/1/5 a volitelně RAID6 8x 6Gb/s SAS linek Hewlett Packard Smart Cache pro využití SSD disků jako Cache pro logické disky Ano, 6x 10Gb/s na třech samostatných LAN kartách Ano, PCI-e 3.0 – 2x x16 a současně 3x x8


369

Hewlett Packard ProLiant DL360p Generation 8 Prvek Požadavek Backup servery - 2 ks K montáži do „racku“, výška serveru Provedení 2U Max. počet procesorů na 2 server Počet osazených 2 procesorů Počet Core 6 procesoru Velikost CACHE 15 MB procesoru Max tepelný 130W výkon procesoru Výkon obodován 420 dle www.spec.org SPECfp_rate2006 Velikost operační 128 Registered DDR3-1600, podpora paměti RAM Advanced ECC (nebo obdobná (GB) technologie opravy více bitové chyby paměti) Řadič disků SAS, cache min. 1GB, 2x externí port (Mini SAS) x8 wide port connectors Typ pevných disků Velikost pevných disků Konektivita LAN

Splnění požadavku Ano Ano, max 2 CPU Ano, osazené 2 CPU Ano, 6 Core CPU Ano, 15MB Ano, 80W Ano, Intel Xeon E5-2630, 2.6 GHz / 6 Core / 15MB /80W Ano, 128GB RAM DDR3-1600 MHz s podporou Advanced ECC

SAS 15 tis. rpm

Ano, Hewlett Packard Smart Array P421/1GB FBWC, 2 Externí x4 MiniSAS konektory Ano, SAS 15 tis. RPM

300 GB RAID 1

Ano, 300GB RAID1

Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku

Ano 6x 10Gbit/s na třech samostatných LAN kartách

Hewlett Packard ProLiant DL360p Generation 8 Prvek Požadavek Linux servery -2 ks K montáži do „racku“, výška serveru Provedení 1U Počet osazených 2 soketů Počet Core 8 procesoru Velikost CACHE 20 MB procesoru Max tepelný 115W výkon procesoru Výkon obodován 484 dle www.spec.org SPECfp_rate2006 Velikost operační 256 Registered DDR3-1600, podpora

Splnění požadavku Ano Ano, 2 osazené CPU Ano, 8 Core Ano, 20MB Ano, 115W Ano, Intel Xeon E5-2670, 2.6 GHz / 8 Core / 20MB /115W Ano, 256GB DDR3-1600 MHz, s 44/105


370

paměti RAM (GB) Typ pevných disků Velikost pevných disků Konektivita LAN

Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti) SAS 15 tis. rpm

podporou Advanced ECC

300 GB RAID 1

Ano, 300GB RAID1

Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku

Ano, 6x 10Gbit/s na třech samostatných LAN kartách

Ano, SAS 15 tis. RPM

Hewlett Packard ProLiant DL560p Generation 8 Prvek Požadavek DMZ servery – 2 ks Min. osmijádrový procesor architektury x86 se spotřebou max. 95W a v osazení (počet procesorů) umožňujícím výkonové skóre ve sloupci Baseline minimálně: Procesor - 1000 bodů v benchmarku s názvem SPECint_rate2006 pro 4 enabled chips ( http://www.spec.org/cpu2006/results/ rint2006.html/ ) K montáži do „racku“, výška serveru Provedení 2U Max. počet procesorů na 4 server Počet osazených 4 procesorů Min velikost Min. 20MB cache na procesor Min. 512GB Registered DDR3-1600, podpora Advanced ECC (nebo RAM obdobná technologie opravy více bitové chyby paměti) Alespoň 192GB na jedno osazené CPU Max. velikost při zachování rychlosti paměti min. instalovatelné 1333MHz, tj. celkem až 768GB (při RAM 1333MHz) HDD (interní Min. 300GB - 15000 RPM, disk) s přenosovou rychlostí 6Gb/s Typ HDD SAS, za provozu vyměnitelné Počet HDD na 2 s možností rozšíření min. na 4 server Min. 8 portový SAS, cache min. 2GB, zálohovaná kapacitorem a flash pamětí, HW podpora RAID 0, 1, 5, Řadič disků volitelně 6, podpora pro SAS, SATA i SSD disky; řadič musí umožnit využití SSD disků jako cache pro logické

Splnění požadavku Ano, Intel Xeon E5-4640, 2.4 GHz / 8 Core / 20MB /95W

Ano Ano, max. 4 procesory na server

Ano, osazeny 4 procesory Ano, 20MB Ano, 512GB DDR3-1600 MHz, s podporou Advanced ECC

Ano, max. 1,5TB RAM

Ano, 300GB/15000 RPM Ano, SAS Hot-Plug disky Ano, 2 osazené disky s možností rozšíření na max. 5 disků Ano, Hewlett Packard Smart Array P420i/2GB s FBWC, HW podpora RAID0/1/5 a volitelně RAID6 8x 6Gb/s SAS linek Hewlett Packard Smart Cache pro využití SSD disků jako Cache pro 45/105


371

Počet Ethernet připojení

Rozšiřující porty

oddíly uložené na klasických mechanických discích. Min. 4 portů 10 Gigabit, min. na dvou samostatných LAN kartách Min. 2 porty 1Gbit/s RJ-45 včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Min. 6 portů PCI-Express, z toho alespoň 2ks x16 Gen3 a současně alespoň 2ks x8 Gen3

logické disky Ano, 4x 10Gb/s 4x 1Gb/s RJ-45

Ano, PCI-e 3.0 – 2x x16 a současně 3x x8

Hewlett Packard ProLiant DL360p Generation 8 Prvek Požadavek Služební servery – 2 ks K montáži do „racku“, výška serveru Provedení 1U Max. počet procesorů na 2 server Počet osazených 2 soketů Počet Core 8 procesoru Velikost CACHE 20 MB procesoru Max tepelný 115W výkon procesoru Výkon obodován 484 dle www.spec.org SPECfp_rate2006 Velikost operační 256 Registered DDR3-1600, podpora paměti RAM Advanced ECC (nebo obdobná (GB) technologie opravy více bitové chyby paměti) Typ pevných SAS 15 tis. rpm disků Velikost pevných 300 GB RAID 1 disků Konektivita LAN Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku Všechny servery musí splňovat následující vlastnosti: Vlastnost Požadavek Napájení

Min. 2x s účinností 92% a vyšší

Kompatibilita

Nabízený server musí být kompatibilní s OS: MS Windows Server Linux (min. RHES, SLES, OEL)

Splnění požadavku Ano Ano Ano, 2 osazené CPU Ano, 8 Core Ano, 20MB Ano, 115W Ano, Intel Xeon E5-2670, 2.6 GHz / 8 Core / 20MB /115W Ano, 256GB DDR3-1600 MHz, s podporou Advanced ECC

Ano, SAS 15 tis. RPM Ano, 300GB RAID1 Ano, 6x 10Gbit/s na třech samostatných LAN kartách

Splnění požadavku Ano, Common Slot Gold Hot Plug Power Supply (92% účinnost) Ano, kompatibilita s: Microsoft Windows Server Canonical Ubuntu Red Hat Enterprise Linux (RHEL) 46/105


372

Citrix XenServer

Redundantní prvky Prediktivní analýza poruch

Ventilátory a zdroje, oboje vyměnitelné za provozu Pevné disky, procesory, paměť vzdálený přístup přes dedikované ethernet rozhraní ochrana heslem zabezpečení komunikace SSL, AES/3DES, RC4 vzdálený přístup umožňuje provést tyto operace se serverem: power on/off, reset, remote control, update BIOS, výběr bootovacího zařízení remote control umožňuje sledovat start serveru (bios), start OS a běh OS (grafické i textové rozhraní)

Dálková správa serveru

možnost vyvolat NMI přerušení nedostupného OS virtuální KVM konsole u grafické konsole pro MS Windows rozlišení min až 1600x1200 integrace MS Terminal Services (tj. možnost přesměrování terminálových služeb Windows na dedikovaný management port) podpora virtuálních médií (CD, DVD, ISO image, USB disk, vzdálený adresář)

SUSE Linux Enterprise Server (SLES) Oracle Solaris VMware Citrix XenServer Ano, napájecí zdroje a ventilátory vyměnitelné za provozu Ano, prediktivní analýza poruch pro disky, procesory, paměťové moduly Ano, vzdálená správa: vzdálený přístup přes dedikované ethernet rozhraní ochrana heslem zabezpečení komunikace SSL, AES/3DES, RC4 vzdálený přístup umožňuje provést tyto operace se serverem: power on/off, reset, remote control, update BIOS, výběr bootovacího zařízení remote control umožňuje sledovat start serveru (bios), start OS a běh OS (grafické i textové rozhraní) možnost vyvolat NMI přerušení nedostupného OS virtuální KVM konsoleu grafické konsole pro MS Windows rozlišení min až 1600x1200 integrace MS Terminal Services (tj. možnost přesměrování terminálových služeb Windows na dedikovaný management port) podpora virtuálních médií (CD, DVD, ISO image, USB disk, vzdálený adresář) možnost využití běžných www prohlížečů integrovaných v desktopovém OS pro správu serverů (IE, Firefox)

možnost využití běžných www prohlížečů integrovaných v desktopovém OS pro správu serverů (IE, Firefox)

SW pro vzdálenou správu

centralizovanou vzdálenou správu HW a shromažďování informací o konfiguraci a stavu jednotlivých HW komponent serverů (včetně ukládání těchto informací do databáze k dalšímu využití) detekci a zasílání zpráv (minimálně

Ano, SW pro vzdáleno správu: centralizovanou vzdálenou správu HW a shromažďování informací o konfiguraci a stavu jednotlivých HW komponent serverů (včetně ukládání těchto informací do databáze k dalšímu využití) detekci a zasílání zpráv (minimálně 47/105


373

pomocí protokolu SNMP) o chybových stavech řízení přístupových práv k centrální části SW a k management nástrojům na serverech pomocí účtů Active Directory domény WWW rozhraní SW pro umožnění přístupu k poskytovaným informacím i pro správce jednotlivých pracovišť nástroj pro automatizovaný skriptovaný a image based PXE deployment nástroj pro neomezenou migraci ze starých na nové servery (fyzického na fyzický, fyzického na virtuální, virtálního na fyzický a virtuálního na virtuální) výkonnostní monitoring komponent (CPU, RAM, HDD, LAN) pro Windows a Linux OS, který umožní online i offline analýzu serverů

pomocí protokolu SNMP) o chybových stavech řízení přístupových práv k centrální části SW a k management nástrojům na serverech pomocí účtů Active Directory domény WWW rozhraní SW pro umožnění přístupu k poskytovaným informacím i pro správce jednotlivých pracovišť nástroj pro automatizovaný skriptovaný a image based PXE deployment nástroj pro neomezenou migraci ze starých na nové servery (fyzického na fyzický, fyzického na virtuální, virtálního na fyzický a virtuálního na virtuální) výkonnostní monitoring komponent (CPU, RAM, HDD, LAN) pro Windows a Linux OS, který umožní online i offline analýzu serverů měření a řízení spotřeby serverů s možností uzamknutí příkonu serveru monitorování okamžité teploty a záznam hodnot do lokální db

měření a řízení spotřeby serverů s možností uzamknutí příkonu serveru monitorování okamžité teploty a záznam hodnot do lokální db Záruční doba Možnost vzdáleného zjištění sériového čísla komponentů Prohlášení o shodě Veškerý dodávaný hardware je nový a nepoužitý Dokumentace k produktu

Minimálně 5 let NBD oprava na místě

Ano, servisní podpora na 5let, v souladu s přílohou č. 3. garantovaná doba opravy 6 hodin od nahlášení, oprava v místě instalace Ano, možnost vzdáleného zjištění sériového čísla

Ano Ano, prohlášení o shodě

Ano

Ano, veškerý dodávaný HW je nový a nepoužitý Ano

Ano, dokumentace k produktu

Ano


374

1.2.4.

FW služby a bezpečnost – HW

1.2.4.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech: 

Přístup do stávajícího IS

Součinnost ze strany Provozovatele a dodavatele aplikace MS2014  

Spolupráce při tvorbě komunikační matice s ohledem na provoz aplikace MS2014+ Spolupráce při tvorbě komunikačních pravidel


1.2.4.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Stávající bezpečnostní prvky budou integrovány do nově budované bezpečnostní infrastruktury.



HW zdroje o Datové centrum o Síťové služby – HW o Serverové stanice

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. Primární lokalita – HW  

1x IPS 2x Firewall



2x NetScaler MPX 5500 Platinum Edition včetně podpory

Primární lokalita - SW 

Licence pro FW



SW vybavení pro Bezpečnostní monitoring

Zálohovací lokalita – HW 

1x Firewall

Zálohovací lokalita - SW 

Licence pro FW 49/105


375

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Primární 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.

Instalace prvků do rackové skříně Připojení silové kabeláže a datových propojů Kontrola a případný upgrade nově dostupných firmware Základní konfigurace (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace FW (směrování komunikace, zone based access, NTP server, povolení komunikačních pravidel, IPS, monitoring, reporting) Konfigurace FW - vytvoření pravidel DMZ Konfigurace FW - IPSEC VPN tunel mezi lokalitami Konfigurace vysoké dostupnosti na prvcích (CITRIX NetScaler, FW) Konfigurace IPS (vytvoření pravidel, monitoring, reporting) Konfigurace CITRIX NetScaler (aplikační FW, monitoring, reporting) Instalace a konfigurace SW pro bezpečnostní monitoring

Zálohovací 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Instalace prvků do rackové skříně Připojení silové kabeláže a datových propojů Kontrola a případný upgrade nově dostupných firmware Základní konfigurace (oživení) Změna defaultních administračních přístupových hesel k zařízením Konfigurace FW (směrování komunikace, zone based access, NTP server, povolení komunikačních pravidel, IPS, monitoring, reporting) Konfigurace FW - vytvoření pravidel DMZ Konfigurace FW - IPSEC VPN tunel mezi lokalitami Konfigurace vysoké dostupnosti na prvcích (CITRIX NetScaler) Rekonfigurace stávajícího CITRIX NetScaler (aplikační FW, monitoring, reporting)

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace.

D.V. Personální zajištění Za implementaci služeb je odpovědný Síťový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Síťový specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost kontroluje dodržování bezpečnostních pokynů Zadavatele a podílí se na tvorbě komunikačních pravidel a přístupové matice. Specialista pro MS Windows Server provede instalaci management nástrojů pro IPS a finální konfiguraci bezpečnostního štítu v závislosti na provoz aplikace MS2014+ ve spolupráci se specialistou pro bezpečnost a síťovým specialistou. Specialista pro zálohování spolupracuje při vytváření záloh konfigurací dodávaných 50/105 S1_P4_Implementační projekt

376

bezpečnostních systémů. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 13 MD. Síťový specialista – 7 MD Specialista pro MS Windows Server – 1 MD Vedoucí projektu – 0,5 MD Specialista pro bezpečnost – 2 MD Specialista pro zálohování – 0,5 MD Systémový administrátor – 1 MD Dokumentarista – 1 MD

D.VI. Zajištění minimálních technických požadavků FortiNet FG-1500D

Prvek Firewall Porty Napájecí zdroj Paměť Latence Propustnost (1518/512/64 byte UDP pakety) Počet současně navázaných sessions Počet nových sessions za sekundu Podpora virtualizace Počet Firewall politik IPSEC VPN propustnost Gateway – Gateway IPSEC VPN tunelů Client – Gateway IPSEC VPN tunelů SSL VPN propustnost IPS propustnost Podpora

Požadavek


2x RJ-45 10/100/1000 10x Gigabit SFP 8x SFP+ 10 GbE 2x napájecí redundantní zdroj 64 GB 5 μs 40 Gbps

Ano, 18x Ano, 16x Ano, 8x Ano Ano, 240 GB Ano, 3 μs Ano, 80/80/55Gbps

9 milionů

Ano, 12 milionů

190000

Ano, 250 000

Ano

Ano

90000

Ano, 100 000

16 Gbps

Ano, 50 Gbps (512 byte packets)

9000

Ano, 10 000

50000

Ano, 50 000

500 Mbps

Ano, 4 Gbps

6 Gbps Ano – min. 10

Ano, 11 Gbps Ano, up to 250 51/105


377

virtuálních FW Vysoká dostupnost Velikost

Aktiv – Aktiv

Ano

Max. 2U v 19“ rozvaděči

Ano

1.2.5.

Jednotný datový prostor (SAN)




1.2.5.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Diskový prostor v rámci stávající Oracle Exadata rekonfigurován v návaznosti na požadavky prostředí pro zálohování. V rámci této rekonfigurace dojde nejprve k převedení stávajících dat do nového prostředí.



HW zdroje o Datové centrum o Síťové služby – HW o Serverové stanice o FW služby – bezpečnost – HW (částečně)

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. HW: 

Diskové pole „Produkce – systémová infrastruktura“

 

Diskové pole „Produkce/Backup systémová infrastruktura“ Diskové pole „Produkční – Oracle Exadata“

SW: 

Licence


378

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služeb jednotného datového prostoru 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Instalace diskových polí do racku Připojení datové a silové kabeláže (režim HA) Kontrola a případný upgrade nově dostupných firmware Změna defaultních administračních přístupových hesel k zařízením Zónování na úrovni diskového pole a cílových zařízení Příprava fyzických serverů (Instalace multipath ovladačů) Vytvoření diskových oblastí (LUN) Nastavení mapování diskových oblastí na konkrétní serverové stanice Inicializace disků na úrovni operačního systému Nastavení monitoringu a reportování

Kooperace diskových polí 1. 2. 3. 4.

Vytvoření replikačního vztahu mezi diskovými poli Nastavení replikační politiky Instalace a konfigurace SW pro snapshot Hyper-V Konfigurace snapshot a clone v rámci diskových polí

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace. Implementace služeb jednotného datového prostoru 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Instalace diskových polí do racku Připojení datové a silové kabeláže (režim HA) Kontrola a případný upgrade nově dostupných firmware Změna defaultních administračních přístupových hesel k zařízením Zónování na úrovni diskového pole a cílových zařízení Příprava fyzických serverů (Instalace multipath ovladačů) Vytvoření diskových oblastí (LUN) Nastavení mapování diskových oblastí na konkrétní serverové stanice Inicializace disků na úrovni operačního systému Nastavení monitoringu a reportování

Kooperace diskových polí 1. Vytvoření replikačního vztahu mezi diskovými poli 2. Nastavení replikační politiky 3. Instalace a konfigurace SW pro snapshot Hyper-V (HP 3PAR Software Suite for Microsoft Hyper-V) 4. Konfigurace snapshot a clone v rámci diskových polí 53/105 S1_P4_Implementační projekt

379


Instalace diskových polí do racku

Připojení datové a silové kabeláže (režim HA)

Kontrola a případný upgrade nové dostupných firmware

Změna defaultních administračních přístupových hesel k zařízení

Zónování na úrovni diskového pole a cílových zařízení

Příprava fyzických serverů (Instalace multipath ovladačů)

Vytvoření diskových oblastí (LUN)

Nastavení mapování diskových oblastí na konkrétní serverové stanice

Inicializace disků na úrovni operačního systému

Nastavení monitoringu a reportování

D.VI. Personální zajištění Za implementaci služeb je odpovědný HW Specialista Storage, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. HW Specialista Storage dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Síťový specialista zajišťuje propojení jednotlivých zařízení a konfiguraci FCoE aktivních prvků. HW Specialista Servery zodpovídá za konfiguraci serverových stanic pro komunikaci s diskovými poli. Specialista pro bezpečnost zajišťuje splnění bezpečnostních požadavků Zadavatele. Databázový specialista při implementaci služby definuje potřebné velikosti diskových oddílů a spolupracuje při konfiguraci databázových serverů pro komunikaci s diskovými poli. Konfiguraci na úrovni operačního systému a podřadných služeb zajišťuje Specialista pro MS Windows Server. Hyper-V specialista se podílí na konfiguraci disku pro jednotlivé virtuální instance. Za diskový prostor pro potřeby zálohovacích služeb zodpovídá Zálohovací specialista. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 40,5 MD. HW Specialista Storage – 15 MD Vedoucí projektu – 1 MD HW Specialista Servery – 3 MD Síťový specialista – 0,5 MD 54/105 S1_P4_Implementační projekt

380

Specialista pro bezpečnost – 0,5 MD Databázový specialista – 1 MD Specialista pro MS Windows Server – 4 MD Hyper-V Specialista – 1,5 MD Specialista pro zálohování – 2 MD Systémový administrátor – 10 MD Dokumentarista – 2 MD

D.VII. Zajištění minimálních technických požadavků Pro produkční storage jsou nabízena dvě disková pole HP 3PAR StoreServ 7400 v následujících konfiguracích: Paramentr Kontroler Rozšíření kontroleru Disky - Tier 1 Disky - Tier 2 Disky - Tier 3 SW pro tiering SW pro replikaci dat SW pro reporting SW pro Integraci s hypervizorem

"Produkce" 2x kontroler iSCSI/FCoE card 10x 200GB SSD 3,5" 12x 900GB SAS 2,5" 12x 2TB SATA 3,5" Optimization Suite Replication Suite Reporting suite Application Software Suite for Hyper-V

"Produkce/Backup" 2x kontroler iSCSI/FCoE card 10x 200GB SSD 3,5; 12x 900GB SAS 2,5; 14x 3TB SATA 3,5 Optimization Suite; Replication Suite; Reporting suite; Application Software Suite for Hyper-V

Specifikace diskových oblastí

10

12

10,8 TB

14

NS 7,2 tis. rpm (2 TB) NS 7,2 tis. rpm (3 TB)

Celková hrubá kapacita

12

10,8 TB

Typ disku

2 TB

SAS 10 tis. rpm (900 GB) SAS 10 tis. rpm (900 GB)

Pomalá oblast Počet disků

12


2 TB

Typ disku

Počet disků

Produkce/Backup systémová infrastruktura

SSD (200 GB) SSD (200 GB)

Rychlá oblast


Produkce – systémová 10 infrastruktura

Typ disku

Funkce storage

Počet disků

Ultra rychlá oblast

24 TB

42 TB

Hewlett Packard 3PAR StoreServ 7400 Prvek Diskové pole Typ zařízení

Požadavek


Diskové pole typu SAN, plně odolné proti výpadku klíčových komponent (no single point of failure) včetně řadičů, cache paměti, ventilátorů, napájecích zdrojů. Modulární architektura

Ano


381

Počet řadičů Diskový subsystém

Paměť cache Připojení hostů – porty na jeden řadič Možných instalovaných SSD pevných disků Podpora RAID Možnosti rozšíření kapacity

Podporované osazení RAID řadiče

Redundance, Hotplug komponenty Firmware Storage software

2 Dle výše uvedené tabulky jednotlivý fyzický disk musí být schopen obsluhovat více logických disků s různým stupněm zabezpečení dat (RAID) Min. 24 GB DRAM/SRAM s možností dalšího rozšíření 10Gb/s iSCSI/FCoe – min. 2

Ano, rozšířitelné na 4 Ano

Alespoň ½ z celkové osaditelného počtu disků

Ano, možno osadit až 240 disky SSD

0, 1, 5, 6 Možnost rozšíření kapacity dodané konfigurace min. o 200% – poměr typů a kapacit disků musí být identický s výše uvedenou tabulkou přehled prvků storage Možnost rozšíření min. na 140 disků bez nutnosti výměny řadičů Možnost osazení HDD 2,5“ a 3,5“ současně Možnost osazení HDD SSD, SAS, NL-SAS současně Dva redundantní hot-plug řadiče typu active/active se symetrickým přístupem (ne asymmetric logical unit access) Každý logický disk je obsluhován oběma řadiči současně Dodávka musí obsahovat příslušné kabely a řadiče pro připojení k serveru do SAN Podpora on-line změny RAID zabezpečení logického disku a jeho on-line přesunutí na jinou vrstvu (tier) Hot-plug redundantní zdroje, hot-plug redundantní větráky, hot-plug disky

Ano Ano, možné rozšíření až na 480 disků

Online firmware upgrade na řadičích i discích Konfigurace musí obsahovat: Licence pro tvorbu shapshotů a klonů (min. 100 snapshotů na LUN) Licence pro připojení min. 64 serverů Software pro monitoring pole s možností sledování výkonu Software pro „thin provisioning“ na dodanou kapacitu s podporou okamžité reklamace diskového prostoru

Ano

Ano, 32 GB s možností rozšíření Ano

Ano, možné současné osazení SSD SAS a NL-SAS disky Ano, 2 redundantní HotPlug řadiče s Active/Active symetrickým přístupem Každý logický disk je obsluhován oběma řadiči současně Dodávka obsahuje příslušné kabely a řadiče Možnost on-line změny RAID zabezpečení a přesunutí logického disku na jinou vrstvu

Ano

Ano, konfigurace obsahuje SW pro: Lokální kopie dat – snapshoty, klony – HP Virtual Copy, více než 100 snapshotů na LUN Počet připojených serverů bez omezení Monitoring diskového pole – HP System Reporter „Thin Provisioning“ – HP Thin Suite – okamžitá reklamace volného 56/105


382

Další vlastnosti

Podporované operační systémy

1.2.6.

Software pro automatický „subLUN tiering“ mezi SSD, SAS a NL-SAS vrstvou na celou dodanou kapacitu Multipathing software pro dodávané servery Diskové pole musí umožnit vzdálenou replikaci dat na úrovni řadičů bez omezení velikosti a počtu replikovaných LUN Možnost bez výpadku zvětšit velikost LUN Možnost bez výpadku rozšířit velikost RAID skupiny Integrace ovládání diskového pole přímo do rozhraní Hyper-V Vytváření LUN a formátování VMFS datastore Vytváření snapshotů a snapklonů nad Hyper-V Microsoft Windows Server včetně Microsoft Hyper-V Oracle Linux Red Hat EnterpriseLinux Red Hat Enterprise Virtualization Suse Linux Enterprise VMware vSphere včetně VAAI a VASA

prostoru na HW úrovni (ASIC) Automatický subLUN tiering – HP Adaptive Optimization Multipathing dodávané systémy Vzdálená replikace dat – HP Remote Copy – bez omezení kapacity Všechny licence jsou na celou dodanou kapacitu. Ano, integrace ovládání DP s prostředím Microsoft Hyper-V – HP 3PAR Application Software Suite for Microsoft Hyper-V

Ano, dále CITRIX XenServer, IBM AIX, HP-UX, Open VMS, Oracle Solaris

HSM služby


Přístup do stávajícího IS Zajištění prostor pro nově dodávané zařízení do zálohovací, testovací/školící lokality

1.2.6.B Požadavky na odstávky prostředí Během implementace HSM služeb dojde ke krátkodobému odstavení DB služeb. Celková očekávaná doba nedostupnosti služeb nepřesáhne 6 hodin.

1.2.6.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím (školící / testovací a zálohovací) bude prováděna na úrovni zálohovací lokality. Součástí integrace je rekonfigurace Oracle Exadata pro využití ukládání šifrovacích klíčů SŘBD. Během implementace služby je nutné provést integraci se stávajícími webovými aplikačními službami CryptoID. Dále je nutné z důvodu ukládání aplikačních klíčů rekonfigurovat stávající souborové úložiště do clusterového režimu s vysokou dostupností.


383

1.2.6.D Implementace D.I.   


HW zdroje Služby operačního systému Systémové služby o Databázové služby

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. HW 

2ks nShield Connect 1500

 

1ks nShield Connect 500 1ks nShield Edge F3 – 1 unit

SW  

8ks soft client licence 3ks Remote Operator Activation

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služby 1. Instalace a konfigurace HSM zařízení 2. Kontrola a případný upgrade nově dostupných firmware 3. Konfigurace vysoce dostupného souborového úložiště v obou lokalitách (ukládání klíčů) – Remote File System (RFS) 4. Prvotní inicializace Security World 5. Prvotní generování OCS sad karet 6. Konfigurace vzdáleného managementu HSM zařízení pro potřeby vzdálené správy – Remote Operator 7. Přidání dalšího HSM zařízení (vytvoření HA řešení) 8. Instalace a konfigurace klienta na DB cluster – inicializace SW modulů 9. Generování hlavního klíče pro šifrování dat Oracle DB 10. Nastavení replikace dat mezi úložišti (RFS)

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace služby 1. Zajištění vstupních požadavků implementace 58/105 S1_P4_Implementační projekt

384

2. Instalace a konfigurace HSM zařízení nShield Connect 3. Kontrola a případný upgrade nově dostupných firmware 4. Konfigurace vysoce dostupného souborového úložiště v obou lokalitách (ukládání klíčů) – (RFS) Remote File System (FS11, FS12, FS11-TST, FS12-TST) 5. Prvotní inicializace Security World 6. Prvotní generování OCS sad karet 7. Konfigurace vzdáleného managementu HSM zařízení pro potřeby vzdálené správy – Remote Operator 8. Přidání dalšího HSM zařízení nShield Connect (vytvoření HA řešení) 9. Instalace a konfigurace klienta na DB cluster – inicializace SW modulů 10. Generování hlavního klíče pro šifrování dat Oracle DB 11. Nastavení replikace dat mezi úložišti (RFS) 12. Konfigurace HSM vůči CryptoID komponentám (CryptoID11, CryptoID12, CryptoID11-TST, CryptoID12-TST)

D.V. Personální zajištění Za implementaci služeb je odpovědný Databázový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Databázový specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost bude řídit a definovat zacházení se šifrovacími klíči a bude zodpovědný za kontrolu dostupnosti uvedených klíčů. Síťový specialista bude zodpovědný za komunikační pravidla mezi HSM zařízeními a jejími klienty. Databázový administrátor zajišťuje šifrování obsahu DB pomocí šifrovacích klíčů generovanými HSM. Specialista pro MS Windows Server se podílí na implementaci HSM zařízení. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 32 MD. Specialista pro MS Windows Server – 2 MD Vedoucí projektu – 2 MD Síťový specialista – 3 MD Databázový specialista – 1 MD Databázový administrátor – 3 MD Specialista pro bezpečnost – 5 MD Systémový administrátor – 10 MD Dokumentarista – 6 MD

1.2.7.

Zálohovací služby – HW


Přístup do stávajícího IS Archivace zálohovacích médií v trezoru v geograficky oddělené lokalitě


385


1.2.7.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Data z aktuálně provozovaných systému budou po implementaci ukládány na nově dodané zařízení.



HW zdroje o Datové centrum o Síťové služby – HW o Serverové stanice o FW služby a bezpečnost – HW o Jednotný datový prostor SAN o HSM služby

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. HW 

Páskové zálohovací zařízení

SW 

Licence

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace služby 1. 2. 3. 4. 5. 6. 7.

Instalace prvku do rackové skříně Připojení silové kabeláže a datových propojů pomocí SAS rozhraní Kontrola a případný upgrade nově dostupných firmware Základní konfigurace (oživení) Změna defaultních administračních přístupových hesel k zařízením Příprava zálohovacích médií (BAR kódy) Založení médií do páskové knihovny


386

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Po dodání HW zdrojů bude implementace a konfigurace služby v prostředí Zadavatele probíhat dle standardního modelu implementace.


Instalace prvku do rackové skříně

Připojení silové kabeláže a datových propojů pomocí SAS rozhraní

Kontrola a případný upgrade nově dostupných firmware Změna defaultních administračních přístupových hesel k zařízením

Základní konfigurace (oživení)

Příprava zálohovacích médií (BAR kódy)

Založení médií do páskové knihovny

D.VI. Personální zajištění Alokace potřebného personálu pro implementaci zálohovacích služeb je uvedena v Kapitole Zálohovací služby. Uvedené alokované zdroje zahrnují i implementaci HW.

D.VII. Zajištění minimálních technických požadavků Hewlett Packard StoreEver MSL4048 Prvek Zálohovací knihovna

Požadavek

Splnění

počet instalovaných mechanik

min. 2

počet slotů pro pásky

min. 48

nativní kapacita zálohovací pásky čtečka čárových kódů rozhraní pro update firmware

min. 2,5 TB

ANO, 2 instalované mechaniky LTO-6 s SAS rozhraním pro připojení k zálohovacím serverům ANO, 48 slotů pro pásky s možností rozšíření ANO 2,5 TB (LTO-6)

instalována USB

ANO, součástí zařízení ANO, USB port


387

možnost logicky rozdělit fyzickou knihovnu na více knihoven prezentovaných serverům

partitioning

1.2.1.

ANO, možnost logického rozdělení (1 logická knihovna na 1 páskovou mechaniku)

Konektivita datového centra

Služby konektivity datového centra jsou blíže specifikovány v katagolovém listu v rámci katalogu služeb.

1.3.

SLUŽBY OPERAČNÍHO SYSTÉMU

1.3.1.

Platforma OS

1.3.1.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:   

Přístup do stávajícího IS Definice bezpečnostních standardů hesel lokálních administrátorských účtů Bezpečné uložení obálek s bezpečnostními přístupy lokálních administrátorských účtů


1.3.1.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Verze implementovaných operačních systémů budou ve všech lokalitách totožné. V prostředí Zadavatele jsou již implementovány určité platformy a nově dodané platformy budou integrovány do stávající koncepce. Cílem je provozovat systém s co nejmenším počtem platforem.

1.3.1.D Implementace D.I.


Instalace fyzických instancí OS 

HW zdroje o Datové centrum o Serverové stanice

Instalace virtuálních instancí OS 

HW zdroje o Datové centrum o Síťové služby – HW o Serverové stanice o Jednotný datový prostor (SAN) 62/105


388



Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné / časové služby o Virtualizační služby

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.    

14 ks licencí na MS Windows server v edici Datacenter včetně SA 8 ks licencí na MS External Connector včetně SA 4 ks licencí Oracle Linux Basic Limited 2 ks licencí Oracle VM Premier Limited Support



2 ks licencí Rad Hat Enterprise Linux Server

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace fyzických instancí OS Windows Server 1. Instalace OS Microsoft Windows SRV a. Vložení DVD do mechaniky (připojení virtuálního image) b. Kopírování instalačních souborů c. Instalace a konfigurace OS (optimalizace pagefile, memorydump) d. Boot systému 2. Off-line aktualizace OS 3. Update ovladačů zařízení 4. Zahoření – Testování stability 5. Pojmenování serveru 6. Níže zmíněné body jsou závislé na implementaci služeb: a. Adresářové služby b. Jmenné služby c. Časové služby d. Síťové služby - Přiřazení IP adresy 7. Přidání do domény 8. Nastavení centrálních politik 9. Aktivace licence OS Instalace virtuálních instancí OS Windows Server 1. Vytvoření virtuálního serveru a. Definování konfigurace (RAM, CPU, HDD, LAN) 2. Instalace OS Microsoft Windows SRV a. Vložení DVD do mechaniky (připojení virtuálního image) b. Kopírování instalačních souborů 63/105 S1_P4_Implementační projekt

389

3. 4. 5. 6. 7. 8. 9.

c. Instalace a konfigurace OS (optimalizace pagefile, memorydump) d. Boot systému Instalace Integration Services Konfigurace síťového rozhraní - Přiřazení IP adresy Aktualizace OS Pojmenování serveru Přidání do domény Aktivace licence OS Nastavení centrálních politik

Instalace fyzických instancí OS RedHat a Oracle Linux 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.

Základní instalace s rozdělením disků Úprava parametrů zavádění systému Konfigurace instalační repository Založení účtů administrátorů Zabezpečení přihlášení přes ssh Konfigurace lokálních disků zařazených v LVM Konfigurace diskových oddílů přiřazených z diskového pole Konfigurace síťového připojení Instalace knihoven a rpm vyžadovaných pro konkrétní účel serveru Konfigurace parametrů jádra a systému vyžadovaných pro konkrétní účel serveru Nastavení sběru základních statistik systému Synchronizace času se vzdáleným časovým serverem

Instalace virtuálních instancí OS RedHat a Oracle Linux 1. 2. 3. 4. 5. 6. 7.

Základní instalace s rozdělením disků Úprava parametrů zavádění systému Konfigurace instalační repository Založení účtů administrátorů Zabezpečení přihlášení přes ssh Instalace knihoven a rpm vyžadovaných pro konkrétní účel serveru Konfigurace parametrů jádra a systému vyžadovaných pro konkrétní účel serveru

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace fyzických instancí OS Windows Server (8x) 1. Zajištění vstupních požadavků implementace 2. Instalace OS Microsoft Windows SRV a. Vložení DVD do mechaniky (připojení virtuálního image) b. Kopírování instalačních souborů c. Instalace a konfigurace OS (optimalizace pagefile, memorydump) d. Boot systému 3. Off-line aktualizace OS 64/105 S1_P4_Implementační projekt

390

Update ovladačů zařízení Zahoření – Testování stability Pojmenování serveru Níže zmíněné body jsou závislé na implementaci služeb: a. Adresářové služby b. Jmenné služby c. Časové služby d. Síťové služby - Přiřazení IP adresy 8. Přidání do domény 9. Nastavení centrálních politik 10. Aktivace licence OS 4. 5. 6. 7.

Instalace virtuálních instancí OS Windows Server (56x) 1. Vytvoření virtuálního serveru a. Definování konfigurace (RAM, CPU, HDD, LAN) 2. Instalace OS Microsoft Windows SRV a. Vložení DVD do mechaniky (připojení virtuálního image) b. Kopírování instalačních souborů c. Instalace a konfigurace OS (optimalizace pagefile, memorydump) d. Boot systému 3. Konfigurace síťového rozhraní - Přiřazení IP adresy 4. Aktualizace OS 5. Pojmenování serveru 6. Přidání do domény 7. Aktivace licence OS 8. Nastavení centrálních politik 9. Zajištění vstupních požadavků implementace 10. Migrace virtuálních strojů na finální HW zdroje Instalace fyzických instancí OS RedHat a Oracle Linux (4x) Instalace fyzických instancí OS Linux bude probíhat plně v souladu se standardní instalací a uchazeč neočekává, žádné specifické činnosti. Instalace virtuálních instancí OS RedHat a Oracle Linux (4x) Instalace virtuálních instancí OS Linux bude probíhat plně v souladu se standardní instalací a uchazeč neočekává, žádné specifické činnosti.

D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. HW Specialista Servery zajišťuje instalaci OS na fyzických serverech. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude kontrolovat splnění bezpečnostních požadavků Zadavatele. Databázový specialista spolupracuje při implementaci OS Linux. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 10 MD. 65/105 S1_P4_Implementační projekt

391

Specialista pro MS Windows Server – 2 MD Vedoucí projektu – 1 MD HW Specialista Servery – 1 MD Databázový specialista – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 4 MD Dokumentarista – 0,5 MD

1.3.2.

Síťové a bezpečnostní služby

Popis uvedené kapitoly je uveden v kapitolách Síťové služby – HW a FW služby a bezpečnost – HW.

1.3.3.


1.3.3.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:       

Přístup do stávajícího IS Bezpečné uložení obálek s bezpečnostními přístupy k IS MS2014 v trezoru Zadavatele Specifikace požadavků na adresářové služby z pohledu aplikace MS2014 Vynucení bezpečnostní politiky Zadavatele pro složitost a kompletnost doménových hesel Definice bezpečnostních standardů a politik domén Specifikace požadovaných přístupů Zadavatele a Provozovatele aplikace MS2014 Předání přístupových údajů k vytvořeným účtům Provozovateli aplikace MS2014


1.3.3.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Implementaci služby bude předcházet analýza existujícího ostrého prostředí v návaznosti na ustanovení 8.5 Přílohy č. 1 smlouvy - Technická specifikace díla. Z analýzy vyplyne hloubka integrace s existujícím prostředím. Pokud již v systému budou existovat uživatelské objekty, Uchazeč uvedené objekty zmigruje do nové prostředí s minimální ztrátou informací a nastavení Autentizační a autorizační objekty budou v maximální míře zachovány.

1.3.3.D Implementace D.I.  


HW zdroje Služby operačního systému 66/105


392

o o o

Platforma OS Síťové a bezpečnostní služby Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)

D.II. Dodávka HW/SW V rámci implementace služby nebude dodán žádný HW ani SW.

D.III. Standardní implementace služby Adresářové služby jsou společně se jmennými (DNS) službami a časovými službami implementovány současně, jelikož spolu s uvedenými službami tvoří jeden logický celek. DNS služby budou integrovány v databázi Active Directory. Časové služby jsou nutné pro korektní ověřování uživatelských a systémových identit. Prostřednictvím Active Directory dochází standardně k synchronizaci systémového času na ostatní členské prvky domény Active Directory. Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Vytvoření domény 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.

Přidání role Active Directory a DNS na první řadič domény (Primary Domain Controller) Instalace služby Active Directory a DNS na prvním řadiči domény Ověření vytvoření funkční domény Konfigurace DNS (viz. DNS služby) Konfigurace časových služeb (viz. časové služby) Přidání role Active Directory a DNS na požadované servery (budoucí doménové řadiče) Instalace služby Active Directory a DNS – přidání do již vytvořené domény Rozložení FSMO rolí Konfigurace Global Catalog Nastavení AD site Nastavení AD replikace Vytvoření příslušných organizačních jednotek Nastavení doménových politik – politika bezpečnosti Vytvoření systémových a uživatelských administrátorských účtů Nastavení delegování oprávnění Nastavení centrálních politik – Group Policy

Průběh vytvoření ostatních domén je totožný s průběhem vytvoření domény popsaným výše.

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Předpokládaný postup implementace může být v návaznosti na analýzu existujícího prostředí upraven. Vytvoření domény ms2014.cz 1. Analýza existujícího prostředí (testovací / školící a zálohovací)


393

2. Přidání role Active Directory a DNS na první řadič domény ISS11(Primary Domain Controller) ve virtuálním prostředí 3. Instalace služby Active Directory a DNS na prvním řadiči domény ISS11 4. Ověření vytvoření funkční domény 5. Konfigurace DNS (viz. DNS služby) 6. Konfigurace časových služeb (viz. časové služby) 7. Nastavení doménových politik – politika bezpečnosti 8. Vytvoření příslušných organizačních jednotek 9. Vytvoření systémových a uživatelských administrátorských účtů 10. Nastavení delegování oprávnění 11. Nastavení centrálních politik – Group Policy 12. Zajištění vstupních požadavků implementace 13. Migrace virtuálního stroje ISS11 na finální HW zdroje 14. Přidání role Active Directory a DNS na požadované servery (ISS01, ISS02) 15. Instalace služby Active Directory (řadiče) a DNS – přidání do již vytvořené domény 16. Rozložení FSMO rolí – změna PDC na ISS01 17. Konfigurace Global Catalog 18. Nastavení AD site 19. Nastavení AD replikace Vytvoření domény edmz.ms2014.cz 1. Analýza existujícího prostředí (testovací / školící a zálohovací) 2. Přidání role Active Directory (DNS) na první řadič domény ESS11(Primary Domain Controller) ve virtuálním prostředí 3. Instalace služby Active Directory (DNS) na prvním řadiči domény 4. Ověření vytvoření funkční domény 5. Konfigurace DNS (viz. DNS služby) 6. Konfigurace časových služeb (viz. časové služby) 7. Přidání role Active Directory (DNS) na požadované servery (ESS12) 8. Instalace služby Active Directory (DNS) – přidání řadiče do již vytvořené domény 9. Rozložení FSMO rolí 10. Konfigurace Global Catalog 11. Nastavení Active Directory site 12. Nastavení Active Directory replikace 13. Vytvoření příslušných organizačních jednotek 14. Nastavení doménových politik – politika bezpečnosti 15. Vytvoření systémových a uživatelských administrátorských účtů 16. Nastavení delegování oprávnění 17. Nastavení centrálních politik – Group Policy 18. Zajištění vstupních požadavků implementace 19. Migrace virtuálních strojů (ESS11, ESS12) na finální HW zdroje



394

Analýza existujícího prostředí (testovací / školící a zálohovací)

Přidání role Active Directory a DNS na první řadič domény ISS11 (PDC) ve virtuálním prostředí Instalace služby Active Directory a DNS na prvním řadiči domény

Ověření vytvoření funkční domény

Konfigurace DNS

Konfigurace časových služeb

Nastavení doménových politik (politika bezpečnosti)

Vytvoření příslušných organizačníc h jednotek

Vytvoření systémových a uživatelských admin. účtů

Nastavení delegování oprávnění

Nastavení centrálních politik – Group Policy

Zajištění vstupních požadavků implementace

Migrace virtuálního stroje ISS11 na finální HW zdroje

Migrace virtuálního stroje ISS11 na finální HW zdroje

Přidání role Active Directory a DNS na požadované servery

Instalace služby Active Directory a DNS - přidání do již vytvořené domény

Rozložení FSMO rolí - změna PDC na ISS01

Konfigurace Global Catalog

Nastavení AD site

Nastavení AD replikace


395

D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude připravovat podklady pro nastavování centrálních a doménových politik s dopadem na bezpečnost. Specialista pro zálohování zajišťuje zálohování, reporty a plán obnovy Adresářových služeb. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 7 MD. Specialista pro MS Windows Server – 1 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 3,5 MD Specialista pro zálohování – 0,5 MD Dokumentarista – 0,5 MD

1.3.4.

DNS služby

1.3.4.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:    

Přístup do stávajícího IS Specifikace požadovaných DNS záznamů Zadavatele a Provozovatele aplikace MS2014 Administrace externího DNS prostoru Definování jmenných názvů služeb přístupných z Internetu


1.3.4.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Jmenné služby budou integrovány se stávajícími jmennými službami domén mssf.cz, edmz.mssf.cz a edmz.ms2014.cz z důvodu překladu názvů provozovaných služeb.



HW zdroje Služby operačního systému 70/105


396

o o o

Platforma OS Síťové a bezpečnostní služby Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)


D.III. Standardní implementace služby Jmenné služby jsou společně s adresářovými službami a časovými službami implementovány současně, jelikož spolu s uvedenými službami tvoří jeden logický celek. DNS služby budou integrovány v databázi Active Directory. Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace jmenných služeb 1. 2. 3. 4.

5. 6. 7. 8. 9. 10.

Přidání role DNS (Active Directory) na první řadič domény Instalace služby DNS (Active Directory) na prvním řadiči domény - interní DNS server Kontrola netlogon.dns, kontrola vytvoření lokátoru domény v DNS Konfigurace DNS a. servery pro předávání b. zpětné vyhledávání c. stárnutí záznamů Přidání role DNS (Active Directory) na požadované servery Instalace služby DNS (Active Directory) – přidání do již vytvořené domény Replikace DNS Nastavení jmenných služeb na všech prvcích – DNS klient Nastavení DNS zón na všech prvcích Zavedení všech záznamů zařízení a služeb do interních jmenných služeb

Průběh instalace a konfigurace jmenných služeb v ostatních doménách je totožný s průběhem instalace a konfigurace jmenných služeb popsaným výše.

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace jmenných služeb domény ms2014.cz 1. 2. 3. 4. 5. 6.

Přidání role DNS (Active Directory) na první řadič domény ISS11ve virtuálním prostředí Instalace služby DNS (Active Directory) na prvním řadiči domény – interní DNS server Kontrola netlogon.dns, kontrola vytvoření lokátoru domény v DNS Zajištění vstupních požadavků implementace Migrace virtuálního stroje (ISS11) na finální HW zdroje Konfigurace DNS a. servery pro předávání 71/105


397

7. 8. 9. 10. 11. 12.

b. zpětné vyhledávání c. stárnutí záznamů Přidání role DNS (Active Directory) na požadované servery Instalace služby DNS (Active Directory) – přidání do již vytvořené domény Replikace DNS Nastavení jmenných služeb na všech prvcích – DNS klient Nastavení DNS zón na všech prvcích Zavedení všech záznamů zařízení a služeb do interních jmenných služeb

Vytvoření domény edmz.ms2014.cz 1. 2. 3. 4.

5. 6. 7. 8. 9. 10. 11. 12.

Přidání role DNS (Active Directory) na první řadič domény ESS11 ve virtuálním prostředí Instalace služby DNS (Active Directory) na prvním řadiči domény – interní DNS server Kontrola netlogon.dns, kontrola vytvoření lokátoru domény v DNS Konfigurace DNS a. servery pro předávání b. zpětné vyhledávání c. stárnutí záznamů Přidání role DNS (Active Directory) na požadované servery (ESS12) Instalace služby DNS (Active Directory) – přidání do již vytvořené domény Replikace DNS Nastavení jmenných služeb na všech prvcích – DNS klient Nastavení DNS zón na všech prvcích Zavedení všech záznamů zařízení a služeb do interních jmenných služeb Zajištění vstupních požadavků implementace Migrace virtuálních strojů (ESS11, ESS12) na finální HW zdroje

D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Migrace virtuálních strojů na finální HW zdroje bude provedena v rámci implementace Adresářových služeb. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 3 MD. Specialista pro MS Windows Server – 1 MD Vedoucí projektu – 0,5 MD Systémový administrátor – 1 MD Dokumentarista – 0,5 MD

1.3.5.

Časové služby

1.3.5.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech: 72/105 S1_P4_Implementační projekt

398



Specifikace NTP serveru stanoveného Zadavatelem


1.3.5.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ V rámci implementace služby bude provedena rekonfigurace externího zdroje času na již provozovaných časových serverech tak, aby ve všech prostředích byl využíván jeden centrální externí zdroj času (FW) a čas v celém informačním systému byl stejný.



HW zdroje Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné služby o Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)


D.III. Standardní implementace služby Časové služby jsou společně s adresářovými službami a jmennými službami implementovány současně, jelikož spolu s uvedenými službami tvoří jeden logický celek. Časové služby jsou nutné pro korektní ověřování uživatelských a systémových identit. Prostřednictvím Active Directory dochází standardně k synchronizaci systémového času na ostatní členské prvky domény Active Directory. Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace časových služeb 1. 2. 3. 4. 5. 6.

Konfigurace externího zdroje času – na řadiči domény s PDC rolí Vypnutí synchronizaci času se službou Hyper-V na virtuálních strojích Vytvoření doménových politik synchronizace času Konfigurace časové služby na ostatních řadičích domény Konfigurace časové služby – prováděno doménovou politikou Nastavení synchronizace času na všech prvcích mimo doménu

Průběh instalace a konfigurace časových služeb v ostatních doménách je totožný s průběhem instalace a konfigurace časových služeb popsaným výše.


399

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace časových služeb v doméně ms2014.cz 1. Konfigurace externího zdroje času ve virtuálním prostředí – na řadiči domény ISS11 s PDC rolí 2. Vypnutí synchronizaci času se službou Hyper-V na virtuálních strojích 3. Vytvoření doménových politik synchronizace času 4. Konfigurace časové služby – prováděno doménovou politikou 5. Zajištění vstupních požadavků implementace 6. Migrace virtuálního stroje (ISS11) na finální HW zdroje 7. Změna FSMO role – přehození na PDC ISS01 8. Instalace a konfigurace NTP serveru (FW) 9. Synchronizace NTP serveru (FW) s NTP serverem Zadavatele (Externí) 10. Změna zdroje synchronizace interního NTP serveru (ISS01) na NTP server v bezpečnostní infrastruktuře (FW) 11. Konfigurace časové služby na ostatních řadičích domény 12. Nastavení synchronizace času na všech prvcích mimo doménu (Aktivní prvky, zálohovací knihovna, IPS, NetScaler, Oracle Exadata) Instalace a konfigurace časových služeb v doméně edmz.ms2014.cz 1. Konfigurace externího zdroje času ve virtuálním prostředí – na řadiči domény ESS11 s PDC rolí 2. Vypnutí synchronizaci času se službou Hyper-V na virtuálních strojích 3. Vytvoření doménových politik synchronizace času 4. Konfigurace časové služby – prováděno doménovou politikou 5. Konfigurace časové služby na ostatních řadičích domény 6. Zajištění vstupních požadavků implementace 7. Migrace virtuálních strojů (ESS11, ESS12) na finální HW zdroje 8. Instalace a konfigurace NTP serveru (FW) 9. Synchronizace NTP serveru (FW) s NTP serverem Zadavatele (Externí) 10. Změna zdroje synchronizace interního NTP serveru (ESS11) na NTP server v bezpečnostní infrastruktuře (FW) 11. Nastavení synchronizace času na všech prvcích mimo doménu (Aktivní prvky, zálohovací knihovna, IPS, NetScaler, Oracle Exadata)



400

Konfigurace externího zdroje času ve virtuálním prostředí – na řadiči domény ISS11 s PDC rolí Vypnutí synchronizaci času se službou Hyper-V na virtuálních strojích

Vytvoření doménových politik synchronizace času

Konfigurace časové služby - prováděno doménovou politikou


Migrace virtuálního stroje (ISS11) na finální HW zdroje

Změna FSMO role - přehození na PDC ISS01

Instalace a konfigurace NTP serveru (FW)

Synchronizace NTP serveru (FW) s NTP serverem Zadavatele (Externí) Změna zdroje synchronizace interního NTP serveru (ISS01) na NTP server v bezpečností infrastruktuře (FW)

Konfigurace časové služby na ostatních řadičích domény Nastavení synchronizace času na všech prvcích mimo doménu (Aktivní prvky, zálohovací knihovna, IPS, NetScaler, Oracel Exadata)

D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Síťový specialista provede konfiguraci externího zdroje času na FW a povolení komunikačních pravidel. Migrace virtuálních strojů na finální HW zdroje bude realizována v rámci adresářových služeb. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 3 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Systémový administrátor – 1 MD Síťový specialista – 0,5 MD 75/105 S1_P4_Implementační projekt

401

Dokumentarista – 0,5 MD

1.3.6.





1.3.6.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace virtuálního serveru ISS11 do zálohovací lokality v návaznosti na adresářové služby po provedení prvotní analýzy existujícího prostředí.



HW zdroje Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné / časové služby o Clusterové služby


D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace virtualizačních služeb Microsoft Hyper-V 1. 2. 3. 4. 5. 6. 7.

Instalace a konfigurace role Hyper-V Vytvoření virtuálních sítí Příprava datových oblastí na úrovni diskových polí – (viz. Jednotný datový prostor SAN) Vytvoření virtuálních disků Virtualizace serveru – (viz. Platforma OS – virtuální instance) Konfigurace vysoké dostupnosti - (viz. Clusterové služby) Přepnutí virtuálního serveru do režimu vysoké dostupnosti 76/105


402

8. Otestování přesunů (Live migrace) Instalace a konfigurace virtualizačních služeb Oracle-VM 1. 2. 3. 4. 5. 6. 7. 8. 9.

Instalace Oracle VM serveru 1 Instalace Oracle VM serveru 2 Instalace Oracle Linux na server 3 Konfigurace Oracle Linux pro potřeby Oracle VM Manageru Instalace Oracle VM Manageru Konfigurace Oracle VM Manageru Zařazení VM serveru 1 a 2 do správy přes Oracle VM Manager Konfigurace síťových rozhraní Konfigurace server pools a repository pro Oracle VM Manager

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace virtualizačních služeb Microsoft Hyper-V 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Virtualizace serveru – (viz. Platforma OS – virtuální instance) (celkem 50x) Vytvoření virtuálních disků Zajištění vstupních požadavků implementace Instalace a konfigurace role Hyper-V (celkem 8x) Vytvoření virtuálních sítí Příprava datových oblastí na úrovni diskových polí – (viz. Jednotný datový prostor SAN) Konfigurace vysoké dostupnosti - (viz. Clusterové služby) (celkem 6x) Migrace virtuálních strojů na finální HW zdroje Změna typu VHD disku z dynamického na fixní Přepnutí virtuálního serveru do režimu vysoké dostupnosti Otestování přesunů (Live migrace)

Instalace a konfigurace virtualizačních služeb Oracle-VM 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.

Instalace Oracle VM serveru 1 Instalace Oracle VM serveru 2 Instalace Oracle Linux do virtuálního prostředí Zajištění vstupních požadavků implementace Konfigurace Oracle Linux pro potřeby Oracle VM Manageru Instalace Oracle VM Manageru Konfigurace Oracle VM Manageru Zařazení VM serveru 1 a 2 do správy přes Oracle VM Manager Konfigurace síťových rozhraní Konfigurace server pools a repository pro Oracle VM Manager Založení virtuálních serverů Konfigurace virtuálních disků v Oracle VM Manager 77/105


403

13. Konfigurace virtuálních síťových rozhraní v Oracle VM Manager 14. Instalace a konfigurace virtuálních serverů 15. Nastavení hard partitioning pro jednotlivé virtuální servery

D.V. Schéma implementace Blokové schéma kroků implementace služeb virtualizace Hyper-V v prostředí Zadavatele

Virtualizace serveru

Vytvoření virtuálních disků


Instalace a konfigurace role Hyper-V

Příprava datových oblastí na úrovni diskových polí

Vytvoření virtuálních sítí

Konfigurace vysoké dostupnosti Migrace virtuálních strojů na finální HW zdroje

Změna typu VHD disku z dynamického na fixní

Přepnutí virtuálního serveru do režimu vysoké dostupnosti

Otestování přesunů (Live migrace)

D.VI. Personální zajištění Za implementaci služeb je odpovědný Hyper-V specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Hyper-V specialista dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. HW Specialista Servery zajišťuje konfiguraci fyzických serverů pro běh virtualizace. Dále také Hyper-V specialista zodpovídá za migraci virtuálních strojů na finální HW zdroje. Specialista pro bezpečnost bude kontrolovat splnění bezpečnostních požadavků Zadavatele. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 12,5 MD. Hyper-V specialista – 4 MD Vedoucí projektu – 0,5 MD HW Specialista Servery – 1 MD 78/105 S1_P4_Implementační projekt

404

Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 6 MD Dokumentarista – 0,5 MD

1.3.7.

Souborové služby


Přístup do stávajícího IS Poskytnutí přístupové matice k souborovému systému



Definování prvotní velikosti souborových oblastí


1.3.7.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím není předpokládaná.



HW zdroje Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné / časové služby o Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)


D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace souborových služeb v primární lokalitě 1. Instalace role File Server na virtuálním souborovém serveru FS11 2. Instalace rozšíření DFS 3. Vytvoření souborového clusteru (- viz. Clusterové služby) 79/105 S1_P4_Implementační projekt

405

4. 5. 6. 7. 8. 9. 10.

Vytvoření souborových oblastí v režimu vysoké dostupnosti (Fail-Over) Nastavení oprávnění dle přístupové matice Konfigurace DFS kořene Konfigurace DFS Namespace serverů (DFSN) Konfigurace DFS Replikace (DFSR) Konfigurace Volume Shadow Copy Nastavení reportingu souborových služeb

Průběh instalace a konfigurace souborových služeb v testovacím prostředí je totožný s průběhem v primární lokalitě.

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace souborových služeb v primární lokalitě 1. Instalace role File Server na virtuálním souborovém serveru FS11 a FS12 2. Instalace rozšíření DFS 3. Vytvoření souborového clusteru CLS-FS z virtuálních serverů FS11 a FS12 (- viz. Clusterové služby) 4. Vytvoření souborových oblastí v režimu vysoké dostupnosti (Fail-Over) 5. Nastavení oprávnění dle přístupové matice 6. Konfigurace DFS kořene (uloženo v Active Directory) 7. Konfigurace DFS Namespace serverů \\ms2014.cz\shares (DFSN) 8. Konfigurace DFS Replikace (DFSR) 9. Konfigurace Volume Shadow Copy 10. Nastavení reportingu souborových služeb 11. Zajištění vstupních požadavků implementace 12. Migrace virtuálních strojů na finální HW zdroje Instalace a konfigurace souborových služeb v testovacím prostředí 1. Instalace role File Server na virtuálním souborovém serveru FS11-T a FS12-T 2. Instalace rozšíření DFS 3. Vytvoření souborového clusteru CLS-FS-tst z virtuálních serverů FS11-T a FS12-T (- viz. Clusterové služby) 4. Vytvoření souborových oblastí v režimu vysoké dostupnosti (Fail-Over) 5. Nastavení oprávnění dle přístupové matice 6. Přidání DFS Namespace serverů \\ms2014.cz\shares (DFSN) 7. Konfigurace DFS Replikace (DFSR) 8. Konfigurace Volume Shadow Copy 9. Rekonfigurace reportingu souborových služeb 10. Zajištění vstupních požadavků implementace 11. Migrace virtuálních strojů na finální HW zdroje

D.V. Schéma implementace Blokové schéma kroků implementace v prostředí Zadavatele 80/105 S1_P4_Implementační projekt

406

Instalace role File Server na virtuálním souborovém serveru FS11 a FS12

Instalace rozšíření DFS

Analýza stavu serveru TS11-TST a případná konfigurace



Přidání přístupových licencí pro přístup k terminálovým serverům

Konfigurace DFS kořene (uloženo v AD)

Konfigurace Volume Shadow Copy

Konfigurace DFS Namespace serverů \\ms2014.cz\shares (DFSN)

Konfigurace DFS Replikace (DFSR)

Nastavení reportingu souborových služeb


Migrace virtuálních strojů na finální HW zdroje

D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude zodpovídat za NTFS oprávnění. Specialista pro zálohování zodpovídá za zálohování souborových služeb, reporty a plán obnovy. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 7 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD


407

Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 4 MD Specialista pro zálohování – 0,5 MD Dokumentarista – 0,5 MD

1.3.8.

Clusterové služby




1.3.8.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace Oracle Real Application Cluster bude řešena v rámci Databázových služeb. Další integrace s existujícím prostředím není předpokládaná.



HW zdroje Služby operačního systému o Platforma OS o Síťové a bezpečnostní služby o Adresářové / jmenné / časové služby o Virtualizační služby (pro migraci z virtualizovaného prostředí Uchazeče / Zadavatele)


D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Režim Global Server Load Balancing 1. Instalace CITRIX NetScaler 2. Konfigurace IP adres 3. Konfigurace virtuálních IP adres (VIP) 82/105 S1_P4_Implementační projekt

408

4. Konfigurace Global Server Load Balancing 5. Konfigurace webové farmy v rámci NetScaleru 6. Konfigurace váhy webové farmy Režim Windows Cluster v režimu Active-Passive Přidání rozšíření Failover Cluster Services na node clusteru Validace konfigurace serverů pro přidání do clusteru Vytvoření clusteru Konfigurace Quorum (v závislosti na počtu node) Konfigurace síťových rozhraní používaných clusterem Konfigurace diskových oddílů Implementace jednotlivých služeb v režimu vysoké dostupnosti a. Souborové služby b. Zálohovací služby c. Databázové služby MSSQL d. Virtualizační služby e. Aplikační služby 8. Vytvoření reportu validace pro předání Zadavateli

1. 2. 3. 4. 5. 6. 7.

Režim Oracle Real Application Server Popis nasazení režimu Oracle Real Application Server uveden v rámci implementace Databázových služeb Oracle.

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Režim Global Server Load Balancing 1. 2. 3. 4. 5. 6. 7.

Zajištění vstupních požadavků implementace Instalace CITRIX NetScaler do produkčního prostředí Konfigurace IP adres Konfigurace virtuálních IP adres (VIP) Konfigurace Global Server Load Balancing Konfigurace webové farmy v rámci NetScaleru Konfigurace váhy webové farmy

Režim Windows Cluster v režimu Active-Passive (fyzické prostředí) 1. 2. 3. 4. 5. 6. 7. 8. 9.

Zajištění vstupních požadavků implementace Přidání rozšíření Failover Cluster Services na node clusteru Vytvoření reportu validace pro předání Zadavateli Validace konfigurace serverů pro přidání do clusteru Vytvoření clusteru Konfigurace Quorum (v závislosti na počtu node) Konfigurace síťových rozhraní používaných clusterem Konfigurace diskových oddílů Implementace jednotlivých služeb v režimu vysoké dostupnosti 83/105


409

a) Zálohovací služby b) Virtualizační služby c) Aplikační služby Režim Windows Cluster v režimu Active-Passive (virtuální prostředí) Přidání rozšíření Failover Cluster Services na node clusteru ve virtuálním prostředí Validace konfigurace serverů pro přidání do clusteru Vytvoření reportu validace pro předání Zadavateli Vytvoření clusteru Konfigurace Quorum (v závislosti na počtu node) Konfigurace síťových rozhraní používaných clusterem Konfigurace diskových oddílů Implementace jednotlivých služeb v režimu vysoké dostupnosti a) Souborové služby b) Databázové služby MSSQL 9. Zajištění vstupních požadavků implementace 10. Migrace virtuálních strojů na finální HW zdroje

1. 2. 3. 4. 5. 6. 7. 8.

D.V. Personální zajištění Za implementaci služeb (Windows Cluster v režimu Active-Passive) je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Za implementaci služeb (Global Server Load Balancing) je zodpovědný Síťový specialista. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude zodpovídat za bezpečnost komunikace mezi clusterovými nody. Implementace Oracle Real Application Server probíhá v rámci databázových služeb. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 10 MD. Specialista pro MS Windows Server – 1 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 3 MD Síťový specialista – 4 MD Dokumentarista – 0,5 MD

1.4.

SYSTÉMOVÉ SLUŽBY

1.4.1.



410

  

Přístup do stávajícího IS Plná administrátorská práva ke stávající Oracle Exadata Přesná specifikace požadovaných nastavení a konfigurací na DB vrstvu



Přesná specifikace všech bezpečnostní standardů pro správné nastavení Database Vault a option Advanced Security (citlivá data, bezpečnostní matice –oprávnění přístupu k datům).

1.4.1.B Požadavky na odstávky prostředí V rámci realizace databázových služeb bude nutné provést několikráte odstávku prostředí. Odstávka stávající Exadata X3-2 v délce jednoho dne. V rámci odstávky bude provedena migrace produkčních databází ze stávajícího prostředí do nového prostředí. Zásadní odstávka stávající Exadata X3-2 bude v délce 3 dny. V rámci přípravy konfigurace disaster recovery s Oracle DataGuard bude proveden nezbytný technologický upgrade SW komponent stávajícího systému Exadata Eight Rack, aby byly dodrženy předpoklady pro konfiguraci řešení disaster recovery s produkčním systémem Exadata Half Rack. Práce zahrnují sjednocení verzí storage software Oracle Exadata a Oracle RDBMS v obou lokalitách. Specifickou odstávkou bude implementace HSM do stávajícího prostředí. Současně bude nutné provést několik krátkodobých odstávek DB nepřesahující jednu hodinu. Tyto krátkodobé odstávky nepřesáhnout délku 1 hodiny. Odstávky jsou nutné z důvodu bezproblémového nastavení Stand-by DB, zálohování, testu obnovy. Přesné termíny odstávek budou specifikovány v rámci implementačního projektu.

1.4.1.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Stávající Oracle Exadata budou rekonfigurována a nastavena pro možnost využití jako stand-by pro produkční prostředí. Zároveň do stávajícího testovacího prostředí budou implementovány HSM služby.



HW zdroje o Datové centrum o Síťové služby - HW

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující HW a SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.  

Pořízení 84ks licencí na Disc Exadata Storage Software včetně roční podpory Pořízení 48ks licencí na CPU Oracle DB EE včetně roční podpory



Pořízení 48ks licencí na CPU Oracle Real Application Clusters (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Advanced Compression (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Partitioning (option pack) včetně roční podpory

 


411

      

Pořízení 48ks licencí na CPU Oracle Database Vault (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Diagnostics Pack (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Tuning Pack (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Advanced Security (option pack) včetně roční podpory Pořízení 48ks licencí na CPU Oracle Secure Content Database Extension včetně roční podpory Pořízení 48ks licencí na CPU Oracle Secure Archive Database Extension včetně roční podpory Pořízení 4 ks licencí MS SQL Server Standard LIC/SA 2core

D.III. Implementace služby Implementace služeb bude probíhat v následujících fázích. V první fázi bude vypracován Technický projekt instalace a konfigurace Oracle Exadata. Tato fáze bude zahájena ihned po podpisu smlouvy. Technický projekt bude zahrnovat následující činnosti:       

Návrh integrace do prostředí zákazníka v návaznosti na Oracle ACS instalation and configuration services Navržení Exadata role separation and security Stanovení požadavků na Exadata resource management Návrh strategie šifrování dat s ASO/TDE Návrh práce s Oracle wallet pro uložení šifrovacích klíčů v prostředí Oracle Exadata a DataGuard Návrh oddělení rolí s Oracle Data base Vault a zabezpečení databází z pohledu oddělení odpovědnosti při administraci systému Návrh technologické bezpečnosti a auditní politiky pro Oracle Data base Vault Database hardening - návrh obecné technologické bezpečnosti pro Oracle Exadata Návrh uložení dat s pomocí Oracle Partitioning a Oracle Advanced compresion v návaznosti na stávající testovací prostředí Upřesnění technických a konfiguračních parametrů pro fázi Instalace a konfigurace (viz následující blok) ve spolupráci s Provozovatelem Aplikace MS2014+.

V druhé fázi budou realizovány následující práce       

HW Instalace a konfigurace Oracle Exadata SW Instalace a konfigurace Oracle Exadata a příslušných produktů Databázových Oracle Instalace a konfigurace produkčního a testovacího databázového prostředí v režimu vysoké dostupnosti - RAC clusteru v prostředí Oracle Exadata Vytvoření a konfigurace dvou databázových instancí pro běh aplikace MS2014+ Vytvoření a konfigurace dvou databázových instancí pro běh demonstrační aplikace MS2014+ Migrace dvou produkčních databází ze stávajícího prostředí do nového prostředí V rámci přípravy konfigurace disaster recovery s Oracle DataGuard provedení nezbytného technologický upgrade SW komponent stávajícího systému Exadata Eight Rack, aby byly dodrženy předpoklady pro konfiguraci řešení disaster recovery s


412

          

   

    

produkčním systémem Exadata Half Rack. Práce zahrnují sjednocení verzí storage software Oracle Exadata a Oracle RDBMS v obou lokalitách. Instalace systému EXAData do prostředí zákazníka Instalace a konfigurace transparentního šifrování „TDE“ za využití síťového moulu HSM a DB Oracle Advanced Security + Database Vault Konfigurace Oracle ASO/TDE Otestování a dokumentace práce se šifrovacími klíči Oracle ASO/TDE Instalace a konfigurace Oracle Database Vault dle návrhu technického projektu Nastavení technologické bezpečnosti Oracle DB a EXAData dle návrhu technického projektu Nastavení politik Oracle Database Vault dle návrhu technického projektu . Nastavení auditních politik Oracle Database a Oracle Database Vault dle návrhu technického projektu Spolupráce s dodavatelem aplikace při implementaci Oracle Partitioning a Oracle advanced compression Konfigurace Oracle Dataguard mezi EXAData systémy a provedení DR testů Nastavení zálohování databází a otestování jejich obnovy - prostřednictvím IBM TSM Nastavení monitoringu Oracle EXAData s OEM Cloud control 12c, konfigurace Oracle Automatic Services Request Vytvoření a konfigurace repliky (stand-by) databází prostřednictvím Oracle Data Guard Konfigurace DB prostředí pro možnost využívání Oracle Flashback Database Konfigurace Advanced Compression and Partitioning Konfigurace Database Vault včetně nastavení základních bezpečnostních pravidel. Minimálně v následujícím rozsahu: Účty a práva pro běžné uživatele (běžná administrace, tedy vytváření, zneaktivnění, rušení uživatelských účtů aplikace bude ve správě Provozovatele aplikace MS2014, Dodavatel ve spolupráci s Provozovatelem vytvoří 50 uživatelských účtů)  Účty a práva pro systémové aplikační uživatele (20 uživatelů)  Účty a práva pro Dodavatele Účty a práva pro bezpečnostní dohled (10 uživatelů)  Účty a práva pro první stupeň podpory (L1) (20 uživatelů)  Účty a práva pro vyšší stupně podpory (L2, L3) (10 uživatelů)  Účty a práva pro Provozovatele aplikace MS2014+ (40 uživatelů)  Účty a práva pro Zadavatele Konfigurace a test Real Time zálohování Konfigurace a test Fail-Over zálohování Konfigurace resource managementu pro striktní oddělení jednotlivých prostředí 1/2 denní školení/workshop na téma Zabezpečení systému pro bezpečnostní administrátory 1/2 denní školení/workshop na téma Disaster recovery řešení a postupy 1/2 denní školení/workshop na téma Zálohování systému a vhodné postupy

Mimo konfiguraci a instalaci Oracle Exadata budou provedeny následující práce  

Instalace a konfigurace SŘBD MS SQL Vytvoření DB MS SQL pro jednotlivé systémy

D.IV. Personální zajištění Za implementaci služeb je odpovědný Databázový specialista, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Podílí se na implementaci na celé 87/105 S1_P4_Implementační projekt

413

implementaci. Databázový specialista si dále řídí databázové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro bezpečnost kontroluje dodržování bezpečnostních požadavků zadavatele. Síťový specialista zajišťuje konfiguraci síťových služeb v závislosti na provozované DB. Specialista pro zálohování zajišťuje zálohování databázových služeb v potřebném rozsahu. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 193 MD. Databázový specialista – 35 MD Databázový administrátor – 120 MD Vedoucí projektu – 3 MD Síťový specialista – 1 MD Specialista pro bezpečnost – 3 MD Systémový administrátor – 1 MD Specialista pro zálohování – 15 MD Dokumentarista – 15 MD

1.4.2.

Webové služby

1.4.2.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:    

Přístup do stávajícího IS Poskytnutí údajů pro přidělení lokálních oprávnění k webovým serverům Poskytnutí webového certifikátu důvěryhodné certifikační autority Poskytnutí specifických parametrů nastavení jednotlivých webových serverů.


1.4.2.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Stávající webové servery a na nich běžící weby a aplikační pooly budou integrovány s nově implementovanými prvky. Instance Weblogic bude integrována s již provozovanou instancí.



HW zdroje Služby operačního systému Systémové služby 88/105


414

o


D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. 

8 ks Oracle Weblogic server Enterprise Edition včetně roční podpory

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace webových služeb IIS 1. 2. 3. 4.

Instalace a konfigurace role Internet Information Service (IIS) Vytvoření a konfigurace webů Vytvoření a konfigurace aplikačních pool Instalace a konfigurace webové farmy

Implementace webových služeb Weblogic 1. Instalace a konfigurace aplikace Weblogic v HA režimu 2. Import bezpečnostních certifikátů

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace webových služeb IIS 1. Instalace a konfigurace role Internet Information Service (IIS) ve virtuálním prostředí (SD11, SD12, WEB11 – WEB18, EWEB13, EWEB14) (celkem na 36 serverů) 2. Vytvoření a konfigurace webů (celkem 86x) 3. Vytvoření a konfigurace aplikačních pool 4. Instalace a konfigurace webové farmy 5. Zajištění vstupních požadavků implementace 6. Migrace virtuálních strojů na finální HW zdroje Implementace webových služeb IIS –reverzní proxy 1. 2. 3. 4. 5.

Instalace a konfigurace služby (EWEB11, EWEB12, EWEB15, EWEB16) Vytvoření a konfigurace reverzních proxy Import bezpečnostních certifikátů Zajištění vstupních požadavků implementace Migrace virtuálních strojů na finální HW zdroje

Implementace webových služeb Weblogic 1. Instalace a konfigurace aplikace Weblogic v HA režimu (OBI11, OBI13, OWCC11, OWCC12, OBI11-TST, OWCC11-TST) 2. Import bezpečnostních certifikátů 89/105 S1_P4_Implementační projekt

415

D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost kontroluje dodržování bezpečnostních požadavků zadavatele. Síťový specialista zajišťuje konfiguraci síťových služeb v závislosti na provozované weby. Specialista pro zálohování zajišťuje zálohování webových služeb v potřebném rozsahu. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 21,5 MD. Specialista pro MS Windows Server – 2 MD Vedoucí projektu – 1 MD Hyper-V specialista – 0,5 MD Síťový specialista – 1 MD Specialista pro bezpečnost – 1 MD Systémový administrátor – 15 MD Specialista pro zálohování – 0,5 MD Dokumentarista – 0,5 MD

1.4.3.

Poštovní služby


Přístup do stávajícího IS Definice systémových mailových schránek ze strany Provozovatele aplikace MS2014


1.4.3.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Integrace s existujícím prostředím není předpokládaná.



HW zdroje Služby operačního systému


416

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.   

3x MS Exchange Server Std. Lis/SA 20x MS Exchange CAL device Standard Lic/SA 20x MS Exchange CAL device Enterprise Lic/SA

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace poštovních služeb 1. Příprava schématu Active Directory 2. Instalace Exchange Server 2013 (SMTP) a) Instalace Mailbox Server role na serverech b) Vytvoření Database Availability Groups (DAG) c) Instalace Client Access Server 3. Konfigurace transportních pravidel 4. Vytvoření mailboxů

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace a konfigurace poštovních služeb 1. Příprava schématu Active Directory 2. Instalace Exchange Server 2013 (SMTP) a) Instalace Mailbox Server role na 2 serverech ve virtuálním prostředí (EXCH11 a EXCH12) b) Vytvoření Database Availability Groups (DAG) c) Instalace Client Access Server (CASHUB11) 3. Konfigurace transportních pravidel 4. Vytvoření mailboxů 5. Zajištění vstupních požadavků implementace 6. Migrace virtuálních strojů na finální HW zdroje



417

Příprava schématu Active Directory Instalace Mailbox Server role na 2 serverech ve virtuálním prostředí (EXCH11, EXCH12)

Vytvoření Database Availability Groups (DAG)

Instalace Client Access Server (CASHUB11)

Konfigurace transportních pravidel

Vytvoření mailboxů



D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 6 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Systémový administrátor – 4 MD Dokumentarista – 0,5 MD

1.4.4.

Dohled a management služby



1.4.4.B Požadavky na odstávky prostředí Pro implementaci služby není požadována žádná mimořádná odstávka prostředí. Všechny instalační i konfigurační práce je možné provádět za běhu a bez omezení provozu. 92/105 S1_P4_Implementační projekt

418

1.4.4.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Stávající prvky IS budou začleněny do centrálního systému dohledu a managementu. Dojde ke sjednocení prostředí a všechny prvky tak budou monitorovány z jednoho centrálního místa.



HW zdroje Služby operačního systému Systémové služby o Databázové služby o Webové služby o Poštovní služby

D.II. Dodávka HW/SW V rámci implementace služby budou pořízeny následující SW položky: 

16 ks licencí na MS Systém Center v edici Datacenter včetně SA

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace SCVMM 1. 2. 3. 4. 5.

Příprava DB pro SCVMM (zálohování, automatické zvětšování velikosti, reporting) Instalace a prvotní konfigurace centrálního management serveru Instalace agentů na fyzické servery poskytující virtualizační služby Konfigurace SCVMM (library, template, update služby) Přiřazení rolí operátorů

Implementace SCOM 1. Příprava DB pro SCOM – operativní a dlouhodobá (zálohování, automatické zvětšování velikosti, reporting) 2. Instalace a prvotní konfigurace centrálního management serveru 3. Instalace a konfigurace gateway serveru 4. Instalace agentů na veškeré servery 5. Konfigurace zařízení bez agentů (SNMP, ICMP) 6. Nastavení odesílání upozornění (SMTP, SMS) 7. Instalace a konfigurace management pack 8. Konfigurace datového skladu – dlouhodobá DB 9. Přiřazení rolí operátorů Implementace SCCM 1. Příprava DB pro SCCM (zálohování, automatické zvětšování velikosti, reporting) 93/105 S1_P4_Implementační projekt

419

2. 3. 4. 5. 6.

Instalace a prvotní konfigurace centrálního management serveru Instalace a konfigurace gateway serveru Instalace agentů na veškeré servery platformy Microsoft Konfigurace SCCM (library, balíčky aplikací, update služby, antivirové služby) Přiřazení rolí operátorů

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace SCVMM 1. Příprava DB pro SCVMM (zálohování, automatické zvětšování velikosti, reporting) ve virtuálním prostředí 2. Instalace a prvotní konfigurace centrálního management serveru (SC13) ve virtuálním prostředí 3. Přiřazení rolí operátorů (Provozovatel aplikace MS2014+, Zadavatel, Uchazeč) 4. Zajištění vstupních požadavků implementace 5. Migrace virtuálních strojů (SC13, MSDBA) na finální HW zdroje 6. Instalace agentů na fyzické servery poskytující virtualizační služby 7. Konfigurace SCVMM (library, template, update služby) 8. Integrace s ostatními produkty rodiny SC (SCOM, SCCM, SCDPM) Implementace SCOM 1. Příprava DB pro SCOM – operativní a dlouhodobá (zálohování, automatické zvětšování velikosti, reporting) ve virtuálním prostředí 2. Instalace a prvotní konfigurace centrálního management serveru (SC11, SC14) ve virtuálním prostředí 3. Generování certifikátů pro gateway server 4. Instalace a konfigurace gateway serveru (APPGW11) ve virtuálním prostředí 5. Instalace agentů na virtuální servery 6. Konfigurace zařízení bez agentů (SNMP, ICMP) 7. Nastavení odesílání upozornění (SMTP, SMS) 8. Instalace a konfigurace management pack 9. Konfigurace datového skladu – dlouhodobá DB 10. Přiřazení rolí operátorů (Provozovatel aplikace MS2014+, Zadavatel, Uchazeč) 11. Zajištění vstupních požadavků implementace 12. Migrace virtuálních strojů (MSDBA, APPGW11, SC11, SC14) na finální HW zdroje 13. Revize management pack (vazba na fyzický HW) 14. Instalace agentů na fyzické servery 15. Integrace s ostatními produkty rodiny SC (SCVMM, SCCM, SCDPM) Implementace SCCM 1. Příprava DB pro SCCM (zálohování, automatické zvětšování velikosti, reporting) 2. Instalace a prvotní konfigurace centrálního management serveru (SC12) ve virtuálním prostředí 3. Instalace a konfigurace gateway serveru (APPGW12) ve virtuálním prostředí 94/105 S1_P4_Implementační projekt

420

4. 5. 6. 7. 8. 9. 10.

Instalace agentů na virtuální servery platformy Microsoft Konfigurace SCCM (library, balíčky aplikací, update služby, antivirové služby) Přiřazení rolí operátorů (Provozovatel aplikace MS2014+, Zadavatel, Uchazeč) Zajištění vstupních požadavků implementace Migrace virtuálního stroje ISS11 na finální HW zdroje Instalace agentů na fyzické servery platformy Microsoft Integrace s ostatními produkty rodiny SC (SCVMM, SCOM, SCDPM)

D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS System Center, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS System Center dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Specialista pro MS Windows Server zajišťuje distribuci agentů a konfiguraci serverů. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude kontrolovat dodržování bezpečnostních požadavků Zadavatele. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 106,5 MD. Specialista pro MS System Center – 31 MD Specialista pro MS Windows Server – 11 MD Vedoucí projektu – 2,5 MD Hyper-V specialista – 4,5 MD Specialista pro bezpečnost – 2 MD Systémový administrátor – 48 MD Dokumentarista – 7,5 MD

1.4.5.

Antivirové a antispamové služby


Přístup do stávajícího IS Nastavení antivirového produktu Protection Engine for Cloud Services od společnosti Symantec vůči aplikaci MS2014+



421

1.4.5.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Do implementace antivirových služeb MS System Center budou začleněny i stávající prvky Zadavatele. Zároveň bude provedena integrace aplikačního antivirového produktu Symantec s již provozovanou instancí AV11-TST.



HW zdroje Služby operačního systému Systémové služby o Databázové služby o Webové služby o Poštovní služby o Dohled a management služby

D.II. Dodávka HW/SW V rámci implementace služby budou pořízeny následující SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. 

2x Symantec Protection Engine for Cloud Service per Server

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace MS System Center Endpoint Protection Implementace probíhá v rámci implementace služeb dohledu a managementu – SCCM Implementace Symantec Protection Engine for Cloud Services 1. 2. 3. 4.

Instalace a konfigurace AV produktu Povolení komunikačních pravidel na aktualizační servery výrobce produktu Nastavení aktualizačních serverů (virová báze) Příprava API rozhraní k dalšímu využití

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace MS System Center Endpoint Protection Implementace probíhá v rámci implementace služeb dohledu a managementu – SCCM Implementace Symantec Protection Engine for Cloud Services


422

1. 2. 3. 4. 5. 6.

Instalace a konfigurace AV produktu ve virtuálním prostředí (AV11, AV12) Povolení komunikačních pravidel na aktualizační servery výrobce produktu Nastavení aktualizačních serverů (virová báze) Příprava API rozhraní k dalšímu využití Zajištění vstupních požadavků implementace Migrace virtuálních strojů (AV11, AV12) na finální HW zdroje

D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS System Center, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS System Center dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost bude připravovat podklady pro nastavování centrálních a doménových politik s dopadem na bezpečnost. Implementační práce budou z velké části zajištěny při implementaci služeb dohledu a managementu. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 5 MD. Specialista pro MS System Center – 1 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Systémový administrátor – 2 MD Dokumentarista – 0,5 MD

1.4.6.


1.4.6.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:     

Přístup do stávajícího IS Definování oprávnění pro Provozovatele aplikace MS2014+ ke kontrole prováděných záloh a integrity zálohovaných dat Výměna a uschování zálohovacích médií Spolupráce při tvorbě zálohovacího plánu s ohledem na provoz aplikace MS2014+ Součinnost při pravidelných testech obnovy infrastruktury s ohledem na provoz aplikace MS2014+

1.4.6.B Požadavky na odstávky prostředí Při integraci již provozovaných služeb do nově implementovaného řešení Uchazeč předpokládá odstávku prostředí z důvodu reinstalace zálohovacích agentů na jednotlivých prvcích. Odstávka kompletního prostředí není předpokládaná, dojde však k omezení výkonu infrastruktury. Celková doba odstávky nepřekročí 2 hodiny.


423

1.4.6.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Služby, které jsou již v infrastruktuře provozovány, budou integrovány do implementovaného řešení zálohovacích služeb.



HW zdroje Služby operačního systému Systémové služby o Databázové služby o Webové služby o Poštovní služby o Dohled a management služby o Antivirové a antispamové služby

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující SW prvky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek.   

System Center Data Protection Manager v rozsahu Management služby System Center 12 880 PVU IBM Tivoli Storage Manager 8 960 PVU IBM Tivoli Storage Manager for databases

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Zálohování Fail-Over 1. 2. 3. 4. 5. 6. 7. 8.

Instalace a konfigurace MS System Center Data Protection Manager (MS SCDPM) Instalace DPM Protection agentů na virtualizační servery Vytvoření Storage Pool na diskovém poli v primární lokalitě Přidání Storage Pool do MS SCDPM Nastavení reportování Konfigurace zálohování virtuálních instancí provozovaných v Microsoft Hyper-V Konfigurace zálohování System State řadičů domény Ověření funkcionality systému zálohování a obnovy

Centrální Zálohovací zařízení 1. Instalace a konfigurace IBM Tivoli Storage Manager v Primární a Zálohovací lokalitě 2. Konfigurace vazeb mezi zálohovacími servery v jednotlivých lokalitách


424

3. Instalace Tivoli Storage agentů na fyzické servery (s výjimkou virtualizačních serverů Microsoft Hyper-V) 4. Konfigurace zálohovacích politik (uložení po dobu minimálně 30 dnů a 5 nezávislých záloh celého systému) 5. Konfigurace zdroje zálohovaných dat (Fail-Over zálohování) 6. Konfigurace páskové jednotky 7. Konfigurace replikace záloh 8. Nastavení reportingu 9. Ověření funkcionality systému zálohování a obnovy Zálohování s využitím HP 3PAR Replication Software Suite 1. Instalace a konfigurace HP 3PAR Replication Software Suite (3PAR Remote Copy Software, 3PAR Virtual Copy, HP 3PAR Application Software Suite for Hyper-V) 2. Instalace agenta na virtualizační servery Microsoft Hyper-V 3. Konfigurace HP 3PAR Replication Software Suite 4. Definování klonovaných virtuálních instancí (Konfigurace snapshot a clone v rámci diskových polí) 5. Nastavení reportingu 6. Ověření funkcionality systému zálohování a obnovy Zálohování Real-Time Zálohování Real Time je blíže popsáno v kapitole Databázové služby.

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Zálohování Fail-Over 1. Instalace a konfigurace MS System Center Data Protection Manager (MS SCDPM) ve virtuálním prostředí (SC15) 2. Nastavení reportování 3. Zajištění vstupních požadavků implementace 4. Migrace virtuálního stroje (SC15) na finální HW zdroje 5. Instalace DPM Protection agentů na virtualizační servery 6. Vytvoření Storage Pool na diskovém poli v primární lokalitě 7. Přidání Storage Pool do MS SCDPM 8. Konfigurace zálohování virtuálních instancí provozovaných v Microsoft Hyper-V 9. Konfigurace zálohování System State řadičů domény 10. Ověření funkcionality systému zálohování a obnovy Centrální Zálohovací zařízení 1. Instalace a konfigurace IBM Tivoli Storage Manager v Primární a Zálohovací lokalitě 2. Konfigurace vazeb mezi zálohovacími servery v jednotlivých lokalitách 3. Instalace Tivoli Storage agentů na fyzické servery (s výjimkou virtualizačních serverů Microsoft Hyper-V) 4. Konfigurace zálohovacích politik (uložení po dobu minimálně 30 dnů a 5 nezávislých záloh celého systému) 99/105 S1_P4_Implementační projekt

425

5. 6. 7. 8. 9.

Konfigurace zdroje zálohovaných dat (Fail-Over zálohování) Konfigurace páskové jednotky Konfigurace replikace záloh Nastavení reportingu Ověření funkcionality systému zálohování a obnovy

Zálohování s využitím HP 3PAR Replication Software Suite 1. Instalace a konfigurace HP 3PAR Replication Software Suite (3PAR Remote Copy Software, 3PAR Virtual Copy, HP 3PAR Application Software Suite for Hyper-V) 2. Instalace agenta na virtualizační servery Microsoft Hyper-V 3. Konfigurace HP 3PAR Replication Software Suite 4. Definování klonovaných virtuálních instancí (Konfigurace snapshot a clone v rámci diskových polí) 5. Nastavení reportingu 6. Ověření funkcionality systému zálohování a obnovy Zálohování Real-Time Zálohování Real Time bude blíže popsáno v kapitole Databázové služby.

D.V. Personální zajištění Za implementaci služeb je odpovědný Specialista pro zálohování, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro zálohování dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista, který dále také specifikuje virtuální instance, které budou zálohovány. Specialista pro bezpečnost kontrolu dodržování bezpečnostních požadavků Zadavatele. Specialista pro MS Windows Server spolupracuje při konfiguraci serverů pro korektní běh zálohovacích služeb. Databázový specialista zajišťuje korektní konfiguraci zálohování na DB strojích. Databázový administrátor provádí specifické činnosti ve spolupráci s Databázovým specialistou. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 12 MD. Specialista pro Zálohování – 4 MD Vedoucí projektu – 0,5 MD Specialista pro MS Windows Server – 1 MD Databázový specialista – 2MD Databázový administrátor – 2MD Hyper-V specialista – 1 MD Systémový administrátor – 1 MD Dokumentarista – 0,5 MD

1.4.7.

Terminálové služby


426

  

Přístup do stávajícího IS Poskytnutí licencí pro CITRIX XenDesktop z prostředí MS7+ Poskytnutí administrátorských nástrojů pro správu Aplikace MS2014+


1.4.7.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ V rámci implementace bude terminálový server TS11-TST integrován do nové terminálové farmy. Dále bude provedena integrace se stávající farmou CITRIX.



HW zdroje Služby operačního systému Systémové služby o Databázové služby o Webové služby o Poštovní služby o Dohled a management služby o Antivirové a antispamové služby o Zálohovací služby

D.II. Dodávka HW/SW V rámci implementace služby budou dodány následující SW položky. Přesné označení produktů je uvedeno v příloze č. 6 smlouvy o dílo – Popis způsobu realizace Veřejné zakázky v oblasti dodávek. 

20 ks MS Remote Desktop Service User Lic/SA

D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Implementace terminálových služeb v aplikačním režimu 1. 2. 3. 4. 5. 6.

Instalace a konfigurace role Remote Desktop Service (RDS) na terminálové servery Instalace licenčního serveru pro terminálové služby Microsoft Remote Desktop Licencing Přidání přístupových licencí pro přístup k terminálovým serverům Instalace a konfigurace terminálové farmy CITRIX (- viz služby vzdáleného přístupu) Instalace všech administračních nástrojů sloužících pro správu prostředí Zabezpečení přístupů k terminálovým serverům


427

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Implementace terminálových služeb v aplikačním režimu 1. Instalace a konfigurace role Remote Desktop Service (RDS) na terminálové servery (TS11, TS12) 2. Analýza stavu serveru TS11-TST a případná konfigurace 3. Instalace licenčního serveru (ISS11) pro terminálové služby Microsoft Remote Desktop Licencing 4. Přidání přístupových licencí pro přístup k terminálovým serverům 5. Instalace a konfigurace terminálové farmy CITRIX (- viz služby vzdáleného přístupu) 6. Instalace všech administračních nástrojů sloužících pro správu prostředí 7. Zabezpečení přístupů k terminálovým serverům 8. Zajištění vstupních požadavků implementace 9. Migrace virtuálních strojů (TS11, TS12, TS11-TST) na finální HW zdroje


Instalace a konfigurace role Remote Desktop Service (RDS) na terminálové servery (TS11, TS12) Instalace licenčního serveru pro terminálové služby Microsoft Remote Desktop Licencing


Přidání přístupových licencí pro přístup k terminálovým serverům

Instalace a konfigurace terminálové farmy CITRIX Instalace všech administračních nástrojů sloužících pro správu prostředí

Zabezpečení přístupů k terminálovým serverům


Migrace virtuálních strojů (TS11, TS12, TS11-TST) na finální HW zdroje

D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za 102/105 S1_P4_Implementační projekt

428

migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Síťový specialista zajišťuje konfigurační práce na úrovni komunikace Web Interface s Internetem. Specialista pro zálohování spolupracuje při zálohování terminálových serverů. Specialista pro bezpečnost kontroluje dodržování bezpečnostních požadavků Zadavatele. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 5,5 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Síťový specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Specialista pro zálohování – 0,5 MD Systémový administrátor – 2 MD Dokumentarista – 0,5 MD

1.4.8.

Služby vzdáleného přístupu

1.4.8.A Součinnost ze strany Zadavatele a Provozovatele aplikace MS2014 Uchazeč při instalaci a konfiguraci služeb předpokládá součinnost v následujících bodech:     

Přístup do stávajícího IS Definicice aplikací publikovaných na aplikačním portálu Oprávnění uživatelů k publikovaným aplikacím Poskytnutí licencí CITRIX Poskytnutí certifikátů veřejné důvěryhodné certifikační autority


1.4.8.C Integrace s existujícím prostředím Zadavatele pro provoz aplikace MS2014+ Bude provedena integrace do existujícího prostředí CITRIX.



HW zdroje Služby operačního systému Systémové služby o Webové služby o Terminálové služby 103/105


429


D.III. Standardní implementace služby Korektní zprovoznění služby je závislé na krocích, které v implementaci této služby předchází v Technologickém pohledu (viz. Vstupní požadavky implementace). Model standardní implementace služby probíhá v uvedených krocích hierarchicky v případě, že jsou splněny všechny očekávané vstupní požadavky. Instalace a konfigurace prostředí CITRIX (aplikační režim) 1. 2. 3. 4. 5. 6. 7. 8. 9.

Instalace a konfigurace Security Gateway Konfigurace komunikačních pravidel Instalace a konfigurace WebInterface Úprava konfigurace CITRIX NetScalerů v návaznosti na služby vzdáleného přístupu Vizualizace WebInterface do podoby webové prezentace Zadavatele Vytvoření a konfigurace CITRIX terminálové farmy Instalace terminálové služby (viz. Terminálové služby) Vypublikování aplikací Úprava centrálních politik

Instalace a konfigurace vzdálených služeb (servisní režim) 1. Servisní režim sdílí prostředky režimu aplikačního (přístup do primární lokality ze sítě Internet) 2. Vytvoření VPN tunelů mezi lokalitami ( - viz FW služby)

D.IV. Implementace služby v prostředí Zadavatele Uchazeč předpokládá dodání HW v časovém horizontu cca 30 kalendářních dní. Pro splnění stanovených termínů implementace je nutné výše uvedený Standardní postup upravit a využít v maximální míře virtualizované prostředí Uchazeče / Zadavatele. Finální konfigurace služeb bude probíhat po dodávce a oživení HW zdrojů. Instalace konfigurace prostředí CITRIX (aplikační režim) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Instalace a konfigurace Security Gateway ve virtuálním prostředí (CSG11) Instalace a konfigurace WebInterface ve virtuálním prostředí Vizualizace WebInterface do podoby webové prezentace Zadavatele Vytvoření a konfigurace CITRIX terminálové farmy Vypublikování aplikací Úprava centrálních politik Zajištění vstupních požadavků implementace Konfigurace komunikačních pravidel Úprava konfigurace CITRIX NetScalerů v návaznosti na služby vzdáleného přístupu Migrace virtuálních strojů na finální HW zdroje

Instalace a konfigurace vzdálených služeb (servisní režim) 1. Servisní režim sdílí prostředky režimu aplikačního (přístup do primární lokality ze sítě Internet) 2. Vytvoření VPN tunelů mezi lokalitami ( - viz FW služby)


430

D.V. Schéma implementace Blokové schéma kroků implementace aplikačního režimu v prostředí Zadavatele

Instalace a konfigurace Security Gateway ve virtuálním prostředí (CSG11) Vizualizace WebInterface do podoby webové prezentace Zadavatele

Instalace a konfigurace WebInterface ve virtuálním prostředí

Vytvoření a konfigurace CITRIX terminálové farmy

Vypublikování aplikací

Úprava centrálních politik

Zajištění vstupních požadavků implementace Úprava konfigurace CITRIX NetScalerů v návaznosti na služby vzdáleného přístupu

Konfigurace komunikačních pravidel


D.VI. Personální zajištění Za implementaci služeb je odpovědný Specialista pro MS Windows Server, který provádí vysoce specializované činnosti a finální kontrolu funkčnosti služby. Specialista pro MS Windows Server dále řídí Systémové administrátory, kteří budou provádět dílčí práce na implementaci služby. Za migraci virtuálních strojů na finální HW zdroje zodpovídá Hyper-V specialista. Specialista pro bezpečnost dohlíží na dodržování bezpečnostních požadavků Zadavatele. Síťový specialista bude dohlížet na konfiguraci NetScaleru a úpravu komunikačních pravidel. Databázový specialista konfiguruje DB pro služby vzdáleného přístupu CITRIX. Vedoucí projektu alokuje lidské zdroje k úspěšnému implementování služby a vytváří můstek při koordinaci jednotlivých pracovníků. Dokumentarista zaznamenává technické detaily do požadované dokumentace. Předpokládaná pracnost implementace činí celkem 5,5 MD. Specialista pro MS Windows Server – 0,5 MD Vedoucí projektu – 0,5 MD Hyper-V specialista – 0,5 MD Specialista pro bezpečnost – 0,5 MD Síťový specialista – 0,5 MD Databázový specialista – 0,5 MD Systémový administrátor – 2 MD Dokumentarista – 0,5 MD 105/105 S1_P4_Implementační projekt

431

Implementační projekt

Recommend Documents