Technicko - technologická charakteristika Národního elektronického nástroje (NEN)

Příloha č. 1 Zadávací dokumentace

Technicko - technologická charakteristika Národního elektronického nástroje (NEN)


Strana 1 z 43

Obsah 1

Účel dokumentu .............................................................................................................4

2

Přehled prostředí ............................................................................................................5

3

2.1

Produkční prostředí ............................................................................................................. 5

2.2

Testovací prostředí .............................................................................................................. 5

2.3

Vývojové prostředí............................................................................................................... 5

Architektura a infrastruktura NEN ...................................................................................6 3.1

3.1.1

Detailní síťová architektura ...................................................................................................... 7

3.1.2

Interní síťová architektura........................................................................................................ 8

3.2

4

Síťová architektura .............................................................................................................. 6

SAN infrastruktura ............................................................................................................. 10

HW infrastruktura......................................................................................................... 13 4.1

Přehled serverových komponent ........................................................................................ 13

4.1.1 4.2

5

Počty serverů.......................................................................................................................... 15

Soupis HW komponent ...................................................................................................... 16

4.2.1

Serverové komponenty .......................................................................................................... 16

4.2.2

Storage systémy ..................................................................................................................... 16

4.2.3

Síťové komponenty ................................................................................................................ 17

4.2.4

Ostatní infrastruktura............................................................................................................. 17

4.2.5

Operační systémy, virualizace a další systémový SW ............................................................ 17

SW architektura a infrastruktura ................................................................................... 18 5.1

Prezentační vrstva ............................................................................................................. 19

5.1.1

Portál uživatele....................................................................................................................... 19

5.1.2

Portál zadavatele .................................................................................................................... 19

5.1.3

IBM FileNet P8 Application Engine ......................................................................................... 20

5.2

Aplikační vrstva ................................................................................................................. 21

5.2.1

Aplikační server – NEN ........................................................................................................... 21

5.2.2

FAMA+EAI............................................................................................................................... 22

5.2.3

Backend timer ........................................................................................................................ 24

5.2.4

Crypto ID................................................................................................................................. 24

5.2.5

Antivirový systém ................................................................................................................... 25

5.2.6

IBM Case Manager ................................................................................................................. 26

5.2.7

IBM FileNet P8 Content Engine .............................................................................................. 27


Strana 2 z 43

5.2.8

IBM FileNet P8 Process Engine (Case Foundation) ................................................................ 28

5.2.9

IBM FileNet P8 Content Search Services ................................................................................ 29

5.2.10

LMT ....................................................................................................................................... 29

5.2.11

IBM ITCAM ........................................................................................................................... 30

5.2.12

TSM....................................................................................................................................... 31

5.3

Datová vrstva .................................................................................................................... 33

5.3.1

6

Bezpečnostní mechanismy ............................................................................................ 34 6.1

Zajištění vysoké dostupnosti .............................................................................................. 34

6.1.1 6.2

Bezpečnostní nástroje ........................................................................................................ 36 Autentizace uživatelů ............................................................................................................. 36

6.2.2

Ochrana sítí - firewall ............................................................................................................. 36

6.2.3

Systém jednotného času ........................................................................................................ 37

6.2.4

Správa hardwarových komponent ......................................................................................... 37

6.2.5

PKI infratruktura ..................................................................................................................... 37

Ostatní infrastruktura ........................................................................................................ 37

6.3.1

Odesílání emailů ..................................................................................................................... 37

6.3.2

Jmenné služby (DNS) .............................................................................................................. 37

6.4

Backup a recovery.............................................................................................................. 38

6.4.1

Zálohování systému................................................................................................................ 38

6.4.2

Obnova systému..................................................................................................................... 39

Správa a dohled ............................................................................................................ 40 7.1

Dohled a monitoring .......................................................................................................... 40

7.2

Management prostředí ...................................................................................................... 41

7.2.1

8

Zajištění vysoké dostupnosti .................................................................................................. 35

6.2.1

6.3

7

Oracle DB ................................................................................................................................ 33

Release management ............................................................................................................. 42

Seznam zkratek............................................................................................................. 43


Strana 3 z 43

1 Účel dokumentu Dokument popisuje hardwarovou, síťovou a aplikační architekturu projektu NEN a definuje požadavky na hostingovou infrastrukturu. Cílem dokumentu je poskytnout celkový obraz o použitých technologiích a hardwarovém vybavení, které systém NEN využívá tak, aby provozovatel mohl získat představu o podmínkách provozování. V první části je definována základní architektura a prostředí. Následující část obsahuje detailní pohled na HW a síťovou infrastrukturu. V kapitole SW architektura jsou představeny základní SW bloky aplikace včetně jejich vzájemných vazeb a způsobu zajištění datové vrstvy pro celý systém. V závěrečné části jsou stručně popsány základní mechanismy v oblasti bezpečnosti, zajištění dostupnosti systému, zálohování a obnovy systému, monitoringu a dohledu. Na konci dokumentu jsou uvedeny provozní požadavky na řešení NEN.


Strana 4 z 43

2 Přehled prostředí 2.1 Produkční prostředí Produkční prostředí je určeno pro ostrý provoz aplikace. Je rozděleno na „Primární prostředí a „Záložní prostředí“ ve stejném výkonovém poměru. Za normálních okolností je systém v provozu pouze v primárním prostředí a záložní prostředí je ve „passive“ režimu. Záložní prostředí je zřízeno za účelem zajištění Disaster Recovery a je umístěno v geograficky oddělené záložní lokalitě. Ve standardním režimu je z primárního prostředí prováděna replikace dat do záložního prostředí a záložní prostředí není aplikačně (z pohledu externích systémů a uživatelů) aktivní.

2.2 Testovací prostředí Testovací prostředí je určeno pro testování nových verzí systému zákazníkem před jejich nasazením do produkčního prostředí a zafixování podoby v takové infrastruktuře, aby při přenosu na produkční prostředí bylo minimalizováno riziko nefunkčnosti. Aplikační komponenty test prostředí jsou nasazeny v HA konfiguraci a provozovány v single módu. Standardně je vždy druhý node clusteru (*fix2.nends.cz) v off-line stavu. V případě požadavky na test vysoké dostupnosti řešení je potřebné vypnout vývojové prostředí (nebo ponížit HW nároky jednotlivých serverů) a následně startovat druhé nody test prostředí na základě provozní dokumentace. Celé testovací prostředí bude umístěno v primární lokalitě.

2.3 Vývojové prostředí Vývojové prostředí je určeno pro vývoj a testování funkcionality nových verzí komponent dodavatelem a/nebo provozovatelem. Toto prostředí je provozováno v single node konfiguraci pro nižší HW nároky. Každý z virtuálních serverů tohoto prostředí obsahuje virtuální síťové adaptéry z důvodu úspor síťových adaptérů ve prospěch testovacího prostředí. Vývojové prostředí bude, stejně jako testovací prostředí, umístěno v primární lokalitě.


Strana 5 z 43

3 Architektura a infrastruktura NEN 3.1 Síťová architektura Infrastruktura NEN bude provozována ve dvou oddělených lokalitách. Pro zajištění replikace dat mezi primární a záložní lokalitou budou obě lokality propojeny 2x 4Gb Fibre channel spoji pro komunikaci SAN infrastruktury. Pro zajištění aplikačních propojení lokalit bude dále nutné zajistit 4x 1Gb ethernet spoje pro IP provoz. Dále bude infrastruktura NEN v každé lokalitě lokálně připojena dvěma připojeními k bezpečnostní infrastruktuře hostingového centra (dále jen provozovatele).

Internet Client

External System

Bezpečnostní infrastruktura provozovatele

2x SAN 4X interconnect

Primary

Backup Obrázek 1 – Lokality NEN

Technologie těchto připojení bude v každé lokalitě, kde bude systém NEN provozován, následující: - 4x propojení do druhé lokality – 1000BaseLX, singlemode, zakončeno konektorem E2000. Datová propustnost každého propojení nesmí být limitována a musí odpovídat linkové rychlosti (tedy 1Gb/s), ponížené o příslušné režie fyzických a linkových protokolů. - 2x FC 4Gbit propojení – FC long wave, singlemode, konektory LC - 2x připojení bezpečnostní infrastruktury provozovatele - 1000BaseT, zakončená konektorem RJ45. Na každém připojení do bezpečnostní infrastruktury bude dostupná služba, která bude mít následující vlastnosti: - minimální datovou propustnost k Internetu na L3 vrstvě v jedné lokalitě je 500Mbit/s, s požadavkem na budoucí možné navýšení rychlosti bez nutnosti změny hardwarového vybavení na straně infrastruktury NEN. - poskytovat bezpečný přístup ke službám IS NEN, specifikovaným níže.


Strana 6 z 43

3.1.1 Detailní síťová architektura

Bezpečnostní infrastruktura provozovatele

Infrastruktura provozovatele Interní infrastruktura NEN

DMZ B

DMZ A ASA

ASA

VLAN A

VLAN B

MGMT A

SDÍLENÁ VLAN

MGMT B

Primární lokalita Záložní lokalita Lokalita A

Lokalita B

Legenda: Komunikace na protokolu http

Ostatní interní komunikace

Komunikace na protokolu https

Replikace dat

Dohled a monitoring

Obrázek 2 - připojení NEN k infrastruktuře HC

Síťová architektura je založena na koncepci dvou nezávislých lokalit, které budou publikovat své služby do internetu prostřednictvím bezpečnostní infrastruktury provozovatele (dále jen BIP). Vedle bezpečnostních a komunikačních funkcí bude BIP zajišťovat funkci nezávislého „svědka“, který rozhodne na základě dostupnosti služeb v jednotlivých lokalitách o směřování požadavků klientů do příslušné lokality. BIP bude provozovatelem poskytována jako služba v 99,9% SLA, které bude vyhodnocováno měsíčně.


Strana 7 z 43

Ukončení linek z bezpečnostní infrastruktury bude provedeno v zařízeních NEN, konkrétně na active/passive clusteru firewallů Cisco ASA 5540. Za bezpečnostní infrastrukturou poskytovatele bude IS NEN pracovat výhradně s privátními IP adresami IPv4.

Bezpečnostní infrastruktura poskytovatele bude plnit následující funkce: - Automaticky směřovat provoz do lokality, v které budou dostupné aplikační služby. Pokud ani v jedné lokalitě nebude dostupná funkční aplikační služba, bude uživateli vrácena statická stránka s informacemi o nedostupnosti systému. - Dostupnost aplikačních služeb bude prováděna průřezem přes celou infrastrukturu a přes všechny relevantní komponenty. Dostupnost bude monitorována nástroji, které budou vně obou lokalit a budou součástí BIP. - Zajistí bezpečnou SSL terminaci spojení pro uživatele IS NEN (ochrana proti běžným útokům na protokolu https). SSL terminace bude prováděna prvky, které budou provozovány ve vysoké dostupnosti s odpovídajícím propustností. BIP musí umět zakončit a přesměrovat SSL provoz minimálně 5 000 současně pracujících uživatelů. - Komunikovat a zajistit dostupnost koncových služeb IS NEN prostřednictvím protokolů IPv4 a IPv6, - Poskytovat redundantní připojení do Internetu v každé lokalitě - Plnit funkci externího FW, který bude vedle překladu veřejných adres na privátní adresy (NAT) zajišťovat filtraci komunikace mezi klienty a IS NEN - Zajistí ochranu data procházející bezpečnostní infrastrukturou před kompromitací a odposlechem třetích stran.

3.1.2 Interní síťová architektura Následující schéma zobrazuje logický pohled na síťovou infrastrukturu v prostředí obou lokalit a schematické rozdělení jednotlivých skupin VLAN.


Strana 8 z 43

DMZ FIX (1Gb Ethernet) DMZ PROD (1Gb Ethernet)

BIP ASA 5540 4 x propoj do druhé lokality

Management (1Gb Ethernet) IBM Power 710

IBM Power 710

IBM Power 710 INT FIX (1Gb Ethernet)

INT PROD (1Gb Ethernet)

INT DEV(1Gb Ethernet)

IBM Power 710 QRadar 2100

IBM Power 740

2 x SAN propoj do druhé lokality

Dell R815

IBM Power 740

IBM Power 740

Dell R815

IBM X3250 M3

IBM X3250 M3

IBM X3250 M3

IBM X3250 M3

SAN (FiberChannel Network)

IBM Storwize V7000

IBM TS 3200 Tape Library IBM Information Atrchive

Obrázek 3 - Fyzické schéma primární lokalita

V primární lokalitě budou, mimo produkčního hardware, umístěny výpočetní prostředky testovacího a vývojového prostředí. Testovací a vývojové prostředí budou mít vlastní VLAN prostory pro oddělení mezi sebou a mezi Produkčním prostředím. Na úrovni firewallu a na aktivních prvcích bude vytvořeno logické oddělení jednotlivých prostředí pomocí VLAN. Všechna prostředí sdílejí společné síťové prvky. Hardware serverového vybavení, na kterém jsou provozovány virtuální servery jednotlivých prostředí, jsou rozvrženy tak, že produkční prostředí je provozováno na vyhrazeném serverovém vybavení. Virtuální servery TEST a DEV prostředí sdílejí společný serverový hardware. Detailní popis VLAN není v tomto schématu uveden, jsou zde uvedeny jen schematické DMZ a Interní oblasti jednotlivých prostředí.


Strana 9 z 43

Obrázek 4 - Fyzické schéma záložní lokalita

V záložní lokalitě budou umístěny výpočetní prostředky jen produkčního prostředí.

3.2 SAN infrastruktura Jako diskové úložiště jsou použita disková pole IBM Storwize V7000, která jsou zapojena do SAN infrastruktury, tvořené dvěma fabrikami (4x IBM/Brocade Switch). Připojení všech komponent je provedeno v režimu vícenásobné cesty.


Strana 10 z 43

Obrázek 5 - SAN infrastruktura primární lokalita

Obrázek 6 - SAN infrastruktura záložní lokalita


Strana 11 z 43

Do SAN infrastruktury jsou dále připojeny páskové mechaniky IBM TS 3200 Express pro ukládání záloh (po jedné mechanice na každé lokalitě) a archivní úložiště IBM Information Archive.


Strana 12 z 43

4 HW infrastruktura 4.1 Přehled serverových komponent V systému NEN se pro běh aplikačního vybavení využívá virtualizace výpočetních prostředků. Jsou použity servery IBM Power 7 s operačním systémem AIX 6 a servery Dell PowerEdge R815 s operačním systémem Microsoft Windows 2012 Data Center. Distribuci jednotlivých virtuálních serverů na fyzické servery zobrazuje následující obrázek:

deployment Primary Site DMZ

«device» IBM WebSphere DataPow er XG45

IBM Pow er 710 Express serv er(Web)

IBM Pow er 740 Express serv er 1



«executionEnvi ronment» CPU Pool 1 (6 Cores, 80GB)

Dell R815 serv er 1

«executi onEnvironment» CPU Pool 1 (6 Cores, 80 GB)

«l par» edge01

«lpar» edge02

«l par» acm01

«lpar» acm02

«l par» ce01

«lpar» ce02

«l par» css01

«lpar» css02

«executionEnvi ronment» CPU Pool 2 (6 Cores, 64GB)

«executionEnvironment» CPU Pool 2 (6 Cores, 64GB)

«l par» db01

«lpar» db02

«executionEnvi ronment» CPU Pool 3 (3 Cores, 4 GB)

«executi onEnvironment» CPU Pool 3 (3 Cores, 12 GB)

«lpar» lmt

«l par» VIO SRV 1

«lpar» VIO SRV 1

«l par» VIO SRV 2

«lpar» VIO SRV 2

DMZ TST «device» IBM WebSphere DataPow er XG45

«executi onEnvi ronment» Hyper-V Cluster 1, node 1

A


Dell R815 serv er 2

«executionEnvironment» Hyper-V Cluster 1, node 2

«virtual» prtv 01

«virtual » prtv 02

«virtual» crpt01

«virtual » crpt02

«virtual» app01

«virtual » app02

«virtual» tmr01

«virtual» tmr02

«virtual» btlk01

«virtual » btlk02

«virtual» mssql01

«virtual» mssql02

«virtual» msad01

«virtual » msad02

«virtual» av 01

«virtual » av 02

«virtual» app03

«virtual » app04

A

IBM Pow er 710 Express serv er (TSM-Mon)

«l par» monp

«lpar» NIM Serv er

«lpar» TSM Serv er

IBM Information Archiv e

IBM Storw ize V7000

«lpar» VIO SRV 1

«lpar» VIO SRV 2


Strana 13 z 43

IBM Pow er 740 Express serv er (Dev Test) «executionEnvironment» CPU Pool 1 (3 cores, 44GB)

x3250 M3

«executionEnvironment» CPU Pool 2(3 cores, 64 GB)

«lpar» edgefix2.nends.cz

«lpar» edgefix1.nends.cz

«lpar» monfix1.nends.cz

«lpar» acmfix2.nends.cz

«lpar» acmfix1.nends.cz

«lpar» acmdev .nends.cz

«lpar» cefix2.nends.cz

«lpar» cefix1.nends.cz

«lpar» cedev .nends.cz

«lpar» cssfix2.nends.cz

«lpar» cssfix1.nends.cz

«lpar» cssdev .nends.cz

«executionEnvironment» CPU Pool 3(8 cores, 48GB)


«virtual» prtv fix1.nends.cz

«virtual» prtv dev .nends.cz

«lpar» VIO SRV 1

«lpar» dbfix2.nends.cz

«lpar» VIO SRV 2

x3250 M3


«virtual» av fix2.nends.cz

«virtual» crptfix1.nends.cz

«virtual» crptdev .nends.cz

«virtual» appfix1.nends.cz

«virtual» av dev .nends.cz

«virtual» crptfix2.nends.cz

«virtual» appfix2.nends.cz

«virtual» appdev .nends.cz

«virtual» tmrfix1.nends.cz

«virtual» tmrdev .nends.cz

«virtual» btlkfix1.nends.cz

«virtual» btlkfix2.nends.cz

«virtual» mssqlfix1.nends.cz

«virtual» mssqlfix2.nends.cz

«lpar» dbdev .nends.cz

x3250 M3


«virtual» prtv fix2.nends.cz

«virtual» av fix1.nends.cz

«executionEnvironment» CPU Pool 2(2 cores, 4 GB)

«lpar» dbfix1.nends.cz

x3250 M3


«virtual» msadfix1.nends.cz

«virtual» tmrfix2.nends.cz

«virtual» btlkdev .nends.cz

«virtual» mssqldev .nends.cz

«virtual» msadfix2.nends.cz

«virtual» msaddev .nends.cz

Obrázek 7 - servery primární lokalita

Vysvětlivky: Černě jsou označeny servery produkčního prostředí Modrou barvou jsou označeny primární servery TEST prostředí. Červenou barvou jsou označeny sekundární servery TEST prostředí. Šedou barvou jsou označeny servery vývojového prostředí.

Záložní lokalita bude hostovat infrastrukturu pro servery vyhrazené pro Disaster Recovery. Všechny prvky jsou určené jako záložní prvky prvků primární lokality. Podrobněji to znázorňuje následující schéma:


Strana 14 z 43

deployment Backup Site DMZ

«device» IBM WebSphere DataPow er XG45




«executionEnvironment» CPU Pool 1(6 Cores, 80GB)

«executionEnvironment» CPU Pool 1(6 Cores, 80GB)

«l par» edgebackup1.nends.cz

«lpar» edgebackup2.nends.cz

«l par» acmbackup1.nends.cz

«lpar» acmbackup2.nends.cz

«l par» cebackup1.nends.cz

«lpar» cebackup2.nends.cz

«l par» cssbackup1.nends.cz

«lpar» cssbackup2.nends.cz

«executionEnvironment» CPU Pool 2 (6 cores, 64GB)

Primary Site::IBM Pow er 710 Express serv er(Web)

Dell R815 serv er 3

Dell R815 serv er 4



«executionEnvironment» CPU Pool 2 (6 cores, 64GB)

«l par» dbbackup1.nends.cz

«lpar» dbbackup2.nends.cz

«executionEnvironment» CPU Pool 3 (3 Cores, 4GB)

«executionEnvironment» CPU Pool 3 (2 Cores, 4GB) «lpar» lmtbackup.nends.cz

«lpar» VIO SRV 1

«lpar» VIO SRV 1

«lpar» VIO SRV 2

«lpar» VIO SRV 2

«lpar» NIM Serv er

«l par» TSM Serv er

«virtual » prtv 02

«virtual» crpt01

«virtual » crpt02

«virtual» app01

«virtual » app02

«virtual» tmr01

«virtual » tmr02

«virtual» btlk01

«virtual » btlk02

«virtual» mssql01

«virtual » mssql03

«virtual» msad03

«virtual » msad04

«virtual» av 01

«virtual » av 02

«virtual» app03

«virtual » app04

IBM Information Archiv e

IBM Pow er 710 Express serv er (TSM-Mon) «lpar» mons.nends.cz

«virtual» prtv 01

«lpar» VIO SRV 1

«lpar» VIO SRV 2

IBM Storw ize V7000

Obrázek 8 – servery záložní lokalita

4.1.1 Počty serverů V jednotlivých prostředí je použit následující počet serverů: Prostředí

Virtualizační technologie

Počet serverů

PROD

LPAR AIX 6.1

33

PROD

LPAR VIO AIX 6.1

12

PROD

Hyper-V Server 2012

40

TEST

LPAR AIX 6.1

11

TEST

Hyper-V Server 2012

16

DEV

LPAR AIX 6.1

4

DEV

Hyper-V Server 2012

8


Strana 15 z 43

4.2 Soupis HW komponent Všechny hardwarové komponenty mají podporu v režimu NBD (oprava závady do druhého pracovního dne) a softwarové komponenty mají softwarovou podporu s možností stahování záplat a hlášení závad software, není-li uvedeno jinak. Obě tyto oblasti jsou licenčně pokryty do doby předání díla do provozu. Je-li příslušná komponenta pokryta jiným typem záruky (například je rozšířená záruka dostupná po delší dobu, nebo pro komponentu není dostupná podpora), je to uvedeno.

4.2.1 Serverové komponenty Kusů Komponenta 5

IBM Power 740 Express, model 8205-E6B

Popis

Podpora

IBM server AIX

NBD do 12.2013

4

PowerEdge R815

Dell servery Windows 2012

ProSupport+, Mission Critical do 5.2016

4

IBM Power 710 Express, model 8231-E2B

Server AIX

NBD do 12.2013

4

IBM x3250 M3

Windows Server TEST a DEV prostředí

NBD do 12.2013

Popis

Podpora

4.2.2 Storage systémy Kusů Komponenta 2

IBM Storwize V7000, model 2076-124

Diskové pole

NBD do 12.2013

2

IBM Storvize V7000 expansion 2076-224

Rozšíření pole – disková police

NBD do 12.2013

2

TS3200 Tape Library Express

pásková mechanika

NBD do 12.2013

2

IBM Information Archive Disk Controller

IBM IA kontrolér

NBD do 12.2013

4

IBM Information Archive Disk Expansion

IBM IA rozšíření kapacity – disková police

NBD do 12.2013

4

IBM Information Archive 2u Server

IBM IA server

NBD do 12.2013

4

IBM System Storage SAN24B-4

FC SAN switch

NBD do 12.2013


Strana 16 z 43

4.2.3 Síťové komponenty Kusů Komponenta

Popis

Podpora

4

IBM G8000

Interní switch a router

NBD do 12.2013

4

Cisco 2960G-24TC-L

Interní switch

NBD do 12.2013

4

Cisco ASA5540

Firewall

NBD do 12.2013

4

Cisco 2960G-8TC-L

Switch pro propojení HC a NEN

NBD do 12.2013

4.2.4 Ostatní infrastruktura Kusů

Komponenta

Popis

Podpora

2

KVM konsole

KVM konzole do racku

NBD do 12.2013

3

Rack IBM T42

Rack pro umístění komponent, 42“

NBD do 12.2013

4.2.5 Operační systémy, virualizace a další systémový SW Kusů Komponenta

Popis

Podpora

12

Windows Server Datacenter 2012 License 2 PROC

OS Windows 2012 DataCenter

NBD do 12.2013

4

Windows Server External Connector 2012 1 License

Externí přístup k serverům PROD

bez SW Assurance

20

Windows Server CAL 2012 1 License User CAL

Externí přístup k serverům TEST/DEV

bez SW Assurance

92

AIX v6 for Power

NBD do 12.2013

92

PowerVM Standard Edition

NBD do 12.2013

32

GPFS Server licence

Licence pro sdílené úložiště

NBD do 12.2013

Vzhledem k použití operačního systému Windows Datacenter bude na virtualizovaných systémech, které jsou vytvořeny vizualizací Hyper-V na tomto operačním systému, možné vytvořit libovolný počet virtuálních serverů s operačním systémem Windows Server 2012 Datacenter Edition. Limitem je jen celkový počet licencovaných CPU socketů (10 pro systém NEN).


Strana 17 z 43

5 SW architektura a infrastruktura Systém NEN zohledňuje principy 3-vrstvé architektury. Následovný model definuje SW komponenty pro jednotlivé vrstvy řešení:

cmp SW Architecture Prezentacni vrstva

Components:: Portal uziv atele

Components:: Portal zadav atele

HTTP

Components::IBM FileNet P8 Application Engine

HTTP

RMI Aplikacni vrstva

Components:: FAMA+EAI

Components:: Aplikacni serv er

HTTP

RMI

Bimary Components::IBM FileNet P8 Process Engine

Components:: Crypto ID

Components:: Backend timer

Components::IBM FileNet P8 Content Engine

HTTP

Components::IBM FileNet P8 Content Search Serv ices

ICAP Binary

HTTP

RMI

RMI LDAP Components::IBM LMT ODBC

Components::IBM Case Manager

Components::IBM ITCAM

LDAP

Components:: Antiv irov y serv er

Components:: Microsoft AD

Datova vrstva Components::IBM TSM

Components:: MSSQL Biztalk

Binary

Binary

JDBC ODBC

Components:: Oracle DB

Obrázek 9 - komponenty NEN


Strana 18 z 43

5.1 Prezentační vrstva Prezentační vrstva řešení NEN poskytuje uživatelská rozhraní pro koncové uživatele systému. Tato vrstva je tvořena následujícími SW komponentami:

5.1.1 Portál uživatele Portál uživatele je veřejně dostupnou částí systému. Hostuje veřejně dostupné informace (jako je informační deska, profily zadavatelů, věstník NEN, …) a zprostředkovává podání žádostí o registraci subjektu do systému. Je postavena na ASP.NET technologii a komunikuje s aplikačním serverem.

Licenční pokrytí: Licence

Počet

Podpora

NEN LightWeb

Multilicence pro prostředí NEN

5x8 do 1.4.2014

Podpora je poskytována v režimu 5x8 (v pracovní dny v době od 8:00 do 16:00). Runtime prostředí: Internet Information Services 8.0, Windows Server 2012 Technologie: .NET Mapování na HW zdroje: Prostředí PROD

TEST VYVOJ

HW prostředky prtv01 prtv02 Prtvfix1.nends.cz Prtvfix2.nends.cz Prtvdev.nends.cz

5.1.2 Portál zadavatele Moderní uživatelské rozhraní k portálu zadavatele je založené na platformě MS SilverLight určené. Toto rozhraní kombinuje výhody uživatelského komfortu desktopových aplikací na jedné straně, na straně druhé těží z výhod webových aplikací (přístup přes http/HTTPS, spuštění v nejrozšířenějších prohlížečích, atd.). Portál zadavatele je část systému dostupná pouze pro autentizované uživatele. Pomocí této komponenty je možné plnohodnotně pracovat se systémem a využívat všech jeho funkcí. Pracují s ní jak správci systému, tak i pracovníci zadavatelů a dodavatelů, případně další zainteresované strany.


Strana 19 z 43

Na základě přiřazených rolí omezuje funkcionalitu systému uživatelům. Poskytuje možnost správy uživatelů, subjektů, práce se zadávacími postupy včetně jejich přizpůsobení a správy.


Počet

Podpora

NEN SilverLight

Multilicence

5x8 do 1.4.2014

Podpora je poskytována v režimu 5x8 (v pracovní dny v době od 8:00 do 16:00). Runtime prostředí: Internet Information Services 8.0, Windows Server 2012 Technologie: SilverLight .NET Mapování na HW zdroje: Prostředí PROD

HW prostředky prtv01 prtv02 Prtvfix1.nends.cz

TEST

Prtvfix2.nends.cz

VYVOJ

Prtvdev.nends.cz

5.1.3 IBM FileNet P8 Application Engine IBM FileNet P8 Application Engine (AE, Application Engine) je jednou ze tří hlavních komponent platformy FileNet P8. Tato komponenta hostuje Workplace webovou aplikaci, Workplace Java aplety a aplikační vývojové nástroje. Je to prezentační vrstva pro pracovní procesy a uložený obsah na dokumentovém serveru, pokročilá nastavení jsou řešena pomocí java apletů (Process Designer, Process Administrator, …). Ve Workplace můžeme jednoduše zobrazit obsah Content Engine a ten také spravovat – vytvářet, upravovat, mazat dokumenty a složky. Application Engine také chrání uživatelské přihlašovací údaje předávané mezi Workplace a Content Enginem a bude nakonfigurováno, aby zajišťoval SSL zabezpečení. V řešení NEN je použit pro funkci prohlížení dokumentů. Pro poskytnutí komfortního prohlížení dokumentů bude aplikace nakonfigurována tak, že bude podporovat SSO použitím Kerberos technologie pro koncové klienty a klienti budou ověřený použitím komponenty Microsoft AD.

Licenční pokrytí: Viz licence v kapitole 5.2.6 IBM Case Manager Runtime prostředí: IBM WebSphere Application Server Network Deployment


Strana 20 z 43

Technologie: JAVA Mapování na HW zdroje: Prostředí

HW prostředky acm01 acm02

PROD

acmbackup1.nends.cz acmbackup2.nends.cz Acmfix1.nends.cz

TEST

Acmfix2.nends.cz

VYVOJ

Acmdev.nends.cz

5.2 Aplikační vrstva Aplikační vrstva řešení NEN poskytuje jednotlivé business služby pro Prezentační vrstvu a je tvořena následujícími klíčovými komponentami:

5.2.1 Aplikační server – NEN Aplikační server zajišťuje vykonání činnosti inicializovaných uživatelem, případně jinými systémy. Uživatelé přistupují pomocí webového prohlížeče se SL rozšířením k aplikačním serveru, který je provozován jako webová služba. Aplikační server zprostředkovává aplikační logiku procesů základních a průřezových modulů skrze uživatelské rozhraní portálů koncovými uživatelům. Součástí serveru je rozhraní (ObjectWraper) pro přístup k datovému úložišti a rozhraní pro přístup k ostatním komponentám IS NEN. Aplikační server je založen na aplikačním frameworku, kdy systémové funkce jsou obsaženy v systémovém jádře, společné aplikační objekty pro všechny druhy zadávacích postupů jsou obsaženy v aplikačním jádře a specifická funkcionalita je separována do jednotlivých funkčních modulů. Aplikační server interně komunikuje s databází, integrační sběrnicí, crypto ID, DMS systémy a pomocí data báze i s backend timery.


Počet

Podpora

NEN

Multilicence

5x8 do 1.4.2013

Podpora je poskytována v režimu 5x8 (v pracovní dny v době od 8:00 do 16:00). Runtime prostředí: Internet Information Services 8.0, Windows Server 2012 Technologie:


Strana 21 z 43

.NET Mapování na HW zdroje: Prostředí

HW prostředky app01

PROD

app02 app03 app04

TEST VYVOJ

appfix1.nends.cz appfix2.nends.cz appdev.nends.cz

5.2.2 FAMA+EAI Jedná se o produkt FAMA+EAI postavený na produktu Microsoftu - MS BizTalk Server 2013 a tvoří ucelené řešení Enterprise Service Bus (ESB). Je založena na architektuře vydavatel/předplatitel zpráv a umožňuje směrování (routing) zpráv jednotlivým předplatitelům zpráv. ESB provádí směrování pomocí kontextu vstupní zprávy. Kontext je seznam vlastností zprávy, který byl vytvořen jednotlivými komponentami vstupní fronty. Každý předplatitel zpráv inzeruje do ESB kritéria, které musí zpráva splnit, aby došlo k přesměrování zprávy předplatiteli. ESB provádí vyhodnocení hodnot vlastností v kontextu vstupní zprávy a následné směrování všem zainteresovaným předplatitelům. Jelikož se jedná o klasický systém vydavatel/předplatitel, je seznam předplatitelů dynamický a jedna vstupní zpráva může být směrována několika různým předplatitelům. Příkladem předplatitele je výstupní port či choreografie procesu (orchestrace).

ESB založené na Microsoft BizTalk umožňuje podporu B2B spolupráce v rozsahu následujících adaptérů FILE, FTP/FTPs, HTTP/HTTPS, POP3, SMTP, SOAP, MQ Series, Windows SharePoint Services, SharePoint Foundation, Oracle eBusiness Suite, Oracle Database, Oracle 9i, 10g, Windows Communication Foundation (WCF), WCF LOB Adapter SDK, MS SQL Server, SharePoint, .NET Framework 3.5, SAP, Siebel eBusiness Applications, TIBCO Rendezvous, IBM DB2 a jiné. MS BizTalk podporuje datovou integraci externích zdrojů prostřednictvím konektorů na databázové systémy: Adabas, CISAM a DISAM, DB2, DBMS, Enscribe, IMS/DB, Informix, NonStop SQL/MP, Oracle, Oracle Rdb, RMS, SQL Server, Sybase, VSAM. Stejně tak dokáže pracovat s textovými soubory i dokumenty Excelu. Pro potřeby IS NEN budou využívány služby MS BizTalk v režimu „Isolated Receiving Hosts“, který podporuje režim vysoké dostupnosti Active/Active založený na technologii Microsoft NLB. Ve spolupráci s produktem FAMA EAI+ nabízí komplexní řešení v oblasti vnitřní a vnější integrace, které bylo prověřeno na celé řadě projektů jak ve veřejné, tak komerční sféře. Výhradně pro potřeby komponenty aplikační vrstvy „FAMA+EAI“ bude v infrastruktuře provozován databázový SQL server. Slouží pouze jako konfigurační repository a proto není součástí databázové vrstvy NEN. Technologicky je realizován platformou Microsoft SQL Server. Replikace dat do druhé lokality bude probíhat prostředky pole – replikace snapshotů.


Strana 22 z 43


Počet

Podpora

BizTalk Server Standard 2013 2 Core License

8

bez SW Assurance

FAMA EAI+

Multilicence pro prostředí NEN

5x8 do 1.4.2014

SQL Svr Standard Core 2012 2 Licenses Core License

4

bez SW Assurance

SQL Server Standard Edition 2012 1 License

2

bez SW Assurance

SQL CAL 2012 1 License User CAL

20

bez SW Assurance

Podpora pro FAMA EAI+ je poskytována v režimu 5x8 (v pracovní dny v době od 8:00 do 16:00). Poskytnuté rozhraní: BizTalk API prostřednictvím Windows Management Instrumentation (WMI) s podporou datového modelu CIM (Common Information Model) Runtime prostředí: Message engine Microsoft BizTalk Internet Information Services 8.0, Windows Server 2012 Technologie: .NET Mapování na HW zdroje: Prostředí

HW prostředky btlk01

PROD

btlk02 mssql01 mssql02 btlkfix1.nends.cz

TEST

btlkfix2.nends.cz mssqlfix1.nends.cz mssqlfix2.nends.cz

VYVOJ


btlkdev.nends.cz mssqldev.nends.cz

Strana 23 z 43

5.2.3 Backend timer Komponenta zajišťující generování reportů a zpracování asynchronních operací, které s ohledem na délku zpracování nemohou být realizovány v rámci běžné pouštěných metod aplikační logiky v rámci aplikačního serveru NEN. Backend timer slouží ke spouštění funkcionality na pozadí. Timer je instalován jako Windows služba a je připojena k jednotné databázi. Timer je spouštěn v pravidelných intervalech a vykonává funkce v závislosti na nastavení. Součástí funkcionality timeru je generování tiskových sestav a dalších činností, které mohou trvat delší dobu a/nebo mohu být zpracovány nezávisle na aktuálně přihlášeném uživateli.

Licenční pokrytí: Licence pro komponentu je součástí aplikačního serveru – NEN viz. kapitola 5.2.1 Poskytnuté rozhraní: API Runtime prostředí: Windows server 2012 Technologie: .NET 4 Mapování na HW zdroje: Prostředí

HW prostředky tmr01

PROD

tmr02 tmrfix1.nends.cz

TEST

tmrfix2.nends.cz

VYVOJ

tmrdev.nends.cz

5.2.4 Crypto ID Crypto ID je speciální služba běžící na vlastním serveru. Zabezpečuje autorizační a kryptografické úkoly. Je inicializována aplikačním serverem. Umožňuje ověřovat identity uživatelů, šifrovat a dešifrovat data, přidávat elektronické značky uložené na certifikátu, získávat a přidávat časová razítka včetně ověření platnosti pomocí CRL seznamů, které si stahuje, případně ověřuje online.


Počet

Podpora

Crypto ID (CPU)

12

5x8 do 1.4.2014

Podpora je poskytována v režimu 5x8 (v pracovní dny v době od 8:00 do 16:00).


Strana 24 z 43

Poskytnuté rozhraní: API Runtime prostředí: Windows server Technologie: .NET 4.0 a vyšší Mapování na HW zdroje: Prostředí

HW prostředky crpt01

PROD

crpt02 crptfix1.nends.cz

TEST

crptfix2.nends.cz

VYVOJ

crptdev.nends.cz

5.2.5 Antivirový systém Komponenta zajišťující antivirovou ochranu dokumentů, které v systému nacházejí. Technologicky je celé řešení postaveno Symantec Protection Engine for Cloud Services. Jedná se o samostatný server, který asynchronně zpracovává požadavky vyvolané aplikačním serverem. Na tomto serveru bude také karanténa podezřelých souborů.


Počet

Podpora

Symantec Protection Engine for Cloud Services Server STD GOV

2

SW Subscription & Support do 6.2014

Symantec Protection Engine for Cloud Services User STD GOV

40


Poskytnuté rozhraní: API Runtime prostředí: Windows server 2012; Java™ Runtime Environment 6 or 7 Technologie: Symantec Protection Engine for Cloud Services Mapování na HW zdroje: Prostředí

HW prostředky

PROD

av01


Strana 25 z 43

av02 avfix1.nends.cz

TEST

avfix2.nends.cz

VYVOJ

avdev.nends.cz

5.2.6 IBM Case Manager IBM Advanced Case Management integruje jednotlivé komponenty pro správu dokumentů, automatizaci procesů, správu komplexních podnikových pravidel, analytických nástrojů business intelligence a komunikaci do jednoduchého uživatelského prostředí. Hlavním stavebním kamenem platformy je IBM Case Manager, který dovoluje uživatelům spravovat strukturované a nestrukturované procesy a obsah dynamickým, flexibilním způsobem s vysokým stupněm spolupráce. Case Manager podporuje agilní metodologii pomocí poskytnutí prostředí, ve kterém může uživatel navrhovat, vyvíjet, validovat a testovat case solutions iterativně.


Počet

Podpora

IBM Case Manager Authorized User Value Unit License

520


IBM Case Manager External User Value Unit License

96000


IBM WebSphere Application Server Network Deployment Processor Value Unit (PVU) License

2380


IBM Production Imaging Edition Add-On for IBM Case Manager Authorized User Value Unit License

520


IBM Production Imaging Edition Add-On for IBM Case Manager External User Value Unit License

96000


Poskytnuté rozhraní: HTTP client (UI), REST API, JAVA API Runtime prostředí: IBM WebSphere Application Server Network Deployment Technologie: JAVA Mapování na HW zdroje: Prostředí

HW prostředky

PROD

acm01


Strana 26 z 43

acm02 acmbackup1.nends.cz acmbackup2.nends.cz Acmfix1.nends.cz

TEST

Acmfix2.nends.cz

VYVOJ

Acmdev.nends.cz

5.2.7 IBM FileNet P8 Content Engine IBM FileNet P8 Content Engine (CE, Content Engine) poskytuje přístup a ukládací prostory pro obsah. Když content engine selže, nebudou mít uživatelé přístup ke stávajícímu obsahu, stejně tak nebudou moci vytvářet obsah nový. Správná funkčnost a stabilita Content Engine je nejdůležitějším faktorem při vytváření vysoce dostupného prostředí FileNetu. Nejčastěji se pomocí Content Engine ukládá obsah typu dokument. Ten si můžeme představit jako kombinaci obsahu (binární soubor) a metadat (vlastnosti dokumentu – properties). Metadata jsou strukturovaná data a uložena v relační databázi naproti tomu obsah dokumentu jsou nestrukturovaná data, která jsou uložena na souborovém úložišti. Souborovým úložištěm může být sdílený disk, databáze, pásková jednotka, Information Archive. V řešení NEN bude pro uložení metadat a nastavení systému využita komponenta datové vrstvy Oracle DB a pro cílové uložení dokumentů IBM uložiště Information Archive.

Licenční pokrytí: Viz licence v kapitole 5.2.6 IBM Case Manager Poskytnuté rozhraní: REST API, JAVA API, .NET API, WebServices API Runtime prostředí: IBM WebSphere Application Server Network Deployment Technologie: JAVA Mapování na HW zdroje: Prostředí

HW prostředky ce01

PROD

ce02 cebackup1.nends.cz cebackup2.nends.cz


Strana 27 z 43

cefix1.nends.cz

TEST

cefix2.nends.cz

VYVOJ

cedev.nends.cz

5.2.8 IBM FileNet P8 Process Engine (Case Foundation) IBM FileNet P8 Business Process Engine (dále jen BPM) představuje samostatný modul, který rozšiřuje funkcionalitu CE (IBM FileNet P8 Content Engine). Vychází z jádra platformy IBM FileNet P8 a je navržen pro zajištění robustního systému určeného pro automatizaci, integraci a optimalizaci podnikových procesů, dále pak pro urychlení zásadních podnikových rozhodování, zvýšení organizační vnímavosti a efektivity a snížení celkových nákladů společnosti. Rozhraní pro definici procesu kombinovaného s událostmi řízenou (event-driven) architekturou Business Process Management znamená schopnost vytvářet rychlé a současně robustní obchodní procesy rozvinuté v prostředí, které zahrnuje veškeré možné změny.

Licenční pokrytí: Viz licence v kapitole 5.2.6 IBM Case Manager Poskytnuté rozhraní: REST API, JAVA API, WebServices API Runtime prostředí: IBM WebSphere Application Server Network Deployment Technologie: JAVA Mapování na HW zdroje: Prostředí

HW prostředky ce01

PROD

ce02 cebackup1.nends.cz cebackup2.nends.cz

TEST VYVOJ


cefix1.nends.cz cefix2.nends.cz cedev.nends.cz

Strana 28 z 43

5.2.9 IBM FileNet P8 Content Search Services IBM FileNet P8 Content Search Services poskytuje fulltextovou indexaci dokumentů a jejich metadat. Na základě vytvořených indexů umožňuje vyhledávání za pomoci klíčových slov obsáhnutých v obsahu dokumentu. Tento SW produkt je založen na technologii Lucene.

Licenční pokrytí: Viz licence v kapitole 5.2.6 IBM Case Manager Poskytnuté rozhraní: REST API, .NET API, JAVA API, WebServices API Runtime prostředí: IBM WebSphere Application Server Network Deployment Technologie: JAVA Mapování na HW zdroje: Prostředí

HW prostředky css01

PROD

css02 cssbackup1.nends.cz cssbackup2.nends.cz cssfix1.nends.cz

TEST

cssfix2.nends.cz

VYVOJ

cssdev.nends.cz

5.2.10 LMT IBM ® License Metric Tool pomáhá IBM Passport Advantage ® zákazníkům zjistit jejich úplné a dílčí kapacity jednotek PVU (PVU) licenční požadavky. Pomáhá výpočet počet jednotek PVU k dispozici pro instalované Passport Advantage software (tedy všechny IBM produkty, které jsou použity v systému NEN) licencované PVU, včetně podporovaných virtuálních serverů.

Licenční pokrytí: N/A Runtime prostředí: IBM AIX LPAR


Strana 29 z 43

Mapování na HW zdroje: Prostředí

HW prostředky

Podpora

PROD

Lmt

Není/servisní produkt

TEST

N/A


VYVOJ

N/A


5.2.11 IBM ITCAM Komponenta je používána jako monitorovací server, na který jsou odesílány informace o monitorování. Na jednotlivých nodech řešení jsou instalovány klienti ITCAM, který monitorující aplikační logy, aplikace a běhová prostředí (AIX LPAR, Windows, WAS, Oracle) a odesílají na tento server online data, která jsou ukládána do interní databáze a vyhodnocována. IBM ITCAM je pokryt licenčně 2 produkty:

IBM ITCAM for Transactions IBM Tivoli Composite Application Manager for Transactions je balíček pro monitoring aplikací, který detailně sleduje, notifikuje a reportuje dostupnost a dobu odezvy zákaznických business aplikací. Jedná se o produkt založený na řešení Tivoli Enterprise Portal (TEP), který monitoruje odezvy aplikací z hlediska uživatele. Používá jak robotickou simulaci uživatelských aktivit, tak sledování odezev reálných uživatelů. Rychle identifikuje překročení definovaných limitů a tak může předcházet významným problémům. ITCAM for Transactions využívá jeden uživatelský interface pro monitoring reálných i syntetických (robotických) transakcí a hladce se integruje s dalšími ITCAM moduly (zejména IBM Tivoli ITCAM for Applications pro hloubkovou diagnostiku). ITCAM for Transactions nabízí jak reálné tak robotické (referenční) sledování odezev transakcí/aplikací pro rychlou analýzu a identifikaci problémů odezev a dostupností. Pro sběr potřebných dat je možné využít celou řadu předpřipravených nástrojů, které ITCAM for Transactions obsahuje ITCAM for Transactions nabízí dva základní monitorovací mechanizmy: -

-

Real-time monitoring •

Web Aplikací (Web Response Time agent - WRT)

•

Windows Aplikací (Client Response Time agent – CRT)

Robotic Response Time Monitoring (RRT agent) •

Rational Performance Tester

•

Rational Functional Tester

•

Command Line Interface (CLI) – spuštění libovolného skriptu

•

Mercury LoadRunner

V rámci nasazení systému NEN bude implementován jen real-time monitoring webových aplikací pomocí WRT agentu na Webovém serveru IHS.


Strana 30 z 43

IBM ITCAM for Applications IBM ITCAM for Applications je balíček složený z agentů na monitoring operačních systémů (ITM), virtuálních serverů (Monitoring for Virtual Servers), databází (Monitoring for Databases), webových serverů (ITCAM for HTTP servers), aplikačních serverů (ITCAM for J2EE), messaging infrastruktury (Omegamon for XE messaging) a aplikací (SAP, Siebel, PeopleSoft, Lotus Domino, MS Exchange). Každý fyzický server v infrastruktuře, každý LPAR (virtuální server), každý aplikační server a každý webový server budou obsahovat agenta pro sběr monitorovacích hodnot. Tyto hodnoty se budou přenášet přes management síť na Tivoli Enterprise Management Server a následně si bude moci oprávněný pracovník prohlížet události a dashboardy nad Tivoli Enterprise Portal Serverem. Samotný ITCAM pro ukládání dat využívá svoji databázi DB2, jejíž licence je součástí licence pro ITCAM, a nemá tak další nároky na databázové servery NEN. Zálohování této databáze bude probíhat pomocí implementovaného systému TSM.


Počet

Podpora

IBM Tivoli Composite Application Manager for Transactions for Web and Robotic Response and Tracking Resource Value Unit License

24


IBM Tivoli Composite Application Manager For Applications 3 Agent Pack Resource Value Unit License

124


Poskytnuté rozhraní: HTTP client (portál) Runtime prostředí: IBM AIX LPAR Technologie: JAVA Mapování na HW zdroje: Prostředí PROD

HW prostředky monp.nends.cz mons.nends.cz

TEST

monfix1.nends.cz

VYVOJ

není

5.2.12 TSM Základní filosofie zálohovacího řešení IBM Tivoli Storage Manager: -

Snadná záloha, rychlá obnova


Strana 31 z 43

-

Zálohovací řešení s co nejmenším dopadem na stávající funkci IT infrastruktury

-

Online zálohování otevřených souborů, databází či operačního systému

-

Centrální plně automatizované řešení s možností reportování o své činnosti

Z pohledu systému NEN je navrhováno využití progresivního inkrementálního zálohování pro souborový systém tak, aby nebylo nutné provádět plnou zálohu všech souborových systémů, a výrazně snižuje nároky na objem dat zálohy společně s časem nutným na obnovu. Kromě vlastního využití progresivního inkrementálního zálohování je velmi důležitá funkce deduplikace. Deduplikaci souborů může TSM provádět na klientu nebo na serveru. Deduplikace na serveru TSM přináší výraznou úsporu místa, protože je schopen rozpoznat stejné soubory napříč více servery. Další důležitou vlastností IBM TSM je automatické šifrování záloh na pásky. Data jsou tak chráněna před pracovníky provozovatele. IBM Tivoli Storage Manager je schopen zálohovat souborové systémy jak přes SAN tak LAN infrastrukturu. Zálohování interní databáze TSM, což je technologicky IBM DB2,bude prováděno standardními nástroji TSM pro zálohování interní databáze a bude popsáno v provozní dokumentaci. Detailnější popis zálohování je obsahem kapitoly 6.4.


Počet

Podpora

IBM Tivoli Storage Manager Extended Edition 10 Processor Value Units (PVUs) License

868


Poskytnuté rozhraní: UI konfigurační rozhraní Runtime prostředí: IBM AIX LPAR Mapování na HW zdroje: Prostředí

HW prostředky

PROD

TSM server

TEST

TSM server

VYVOJ

N/A


Strana 32 z 43

5.3 Datová vrstva 5.3.1 Oracle DB Oracle DB slouží jako datový sklad řešení NEN. Je složená ze dvou instancí. Jedna instance slouží pro samotné jádro řešení NEN a druhá instance slouží jako sklad metadat a nastavení komponent IBM FileNet P8 Platform. Tato komponenta je technologicky realizována pomocí Oracle Database RAC, databázový cluster bude postaven ze dvou node v primární lokalitě. Replikace dat na záložní lokalitu bude probíhat pomocí prostředků pole.


Počet

Podpora

Oracle Database Standard Edition - 6 Processor Perpetual

SW update, License & Support do 6.2014


HW prostředky db01

PROD

db02 dbbackup1.nends.cz dbbackup2.nends.cz

TEST VYVOJ


dbfix1.nends.cz dbfix2.nends.cz dbdev.nends.cz

Strana 33 z 43

6 Bezpečnostní mechanismy 6.1 Zajištění vysoké dostupnosti Lokality budou provozovány v aplikačním režimu active/passive, přičemž v rámci lokality budou aplikační komponenty zdvojeny tak, aby nedocházelo k riziku znefunkčnění celé lokality z důvodu výpadku jedné komponenty. Síťové komponenty (switche, firewally, síťové karty) budou jak v rámci jedné lokality, tak i v rámci obou lokalit nakonfigurovány tak, aby docházelo k transparentnímu bezzásahovému přepnutí na druhou komponentu v případě výpadku jedné komponenty. Serverové komponenty jsou zdvojeny a je zajištěno prostředky běhových komponent (IBM WAS, Microsoft NLB, případně proprietární technologie výrobce komponenty) aktivní využívání obou node v režimu active/active, čímž je zajištěna jak rozklad zátěže na více komponent, tak i zajištění dostupnosti příslušné služby v případě výpadku jedné serverové komponenty. Některé specifické komponenty (MSSQL pro BizTalk) jsou provozovány v režimu clusteru active/passive a k aktivaci a přepnutí na druhý node dojde v případě detekovaného výpadku.

Mezi diskovými úložišti obou lokalit bude probíhat automatická asynchronní replikace databázových dat a souborových dat FileNet komponent v periodách menších než půl hodiny pomocí technologie pole „Remote Mirroring“. Replikace IBM Information Archive bude opět prováděna z primární lokality do záložní lokality. Pro tyto účely slouží vestavěná funkcionalita „Remote Mirroring“. Tato funkcionalita umožňuje nepřetržité synchronní zrcadlení dat z primárního zařízení (Information Archive v primárním datacentru) do záložního zařízení (Information Archive v záložním datacentru). V případě požadavku na zápis, kontroller primárního oddílu provede zápis lokálních dat a poté iniciuje také požadavek na zápis do sekundárního logického oddílu na kontroléru v záložní lokalitě. Virtualizované obrazy serverů, které budou virtualizovány technologií HyperV, budou na záložní lokalitu přenášena pomocí interních mechanizmů HyperV virtualizace tak, aby bylo možné v případě požadavku servery na vyžádání aktivovat.

Aktivace aplikačních komponent záložní lokality bude probíhat dle nouzového scénáře, popsaného v provozní příručce v následovném pořadí: 1. Nejdříve budou přerušeny synchronizace dat z primární lokality 2. Zvolení sady dat, která bude prohlášena za poslední správnou repliku a nad těmito daty bude obnoven provoz databázových serverů a souborových serverů 3. Obnovení provozu serverů, virtualizovaných technologií HyperV a IBM PowerVM 4. Spuštění služeb IIS a WAS.

Po verifikaci provedení předchozích kroků budou povoleny externí přístupy do systému NEN konfiguračním zásahem na aktivních síťových prvcích.


Strana 34 z 43

6.1.1 Zajištění vysoké dostupnosti V rámci primární lokality jsou instalovány následující hardwarové komponenty. Komponenta

Režim vysoké dostupnosti

Technologie

Vstupní síťová brána (firewall)

Active/Passive

Interní HA cluster

Vstupní Web brána

Active/Active

Interní HA cluster

Aplikační server

Active/Active

Interní HA TescoSW

Antivirový server

Active/Active

Interní HA Symantec

Backend Timer

Active/Active

Interní HA TescoSW

Crypto ID

Active/Active

Microsoft NLB

HTTP Caching proxy

Active/Active

IBM DataPower

IBM Application Engine

Active/Active

IBM WAS HA manager

IBM Content Engine

Active/Active

IBM WAS HA manager

IBM Content Search Services

Active/Passive

IBM HACMP

IBM Process Engine

Active/Active

IBM WAS HA manager

IBM ITCAM

2x Single

IBM LMT

Single

IBM Information Archive

Single

IBM TSM

Single

FAMA EAI+

Active/Active

Microsoft NLB

Microsoft Active Directory

Active/Active

Interní Microsoft

Oracle database

Active/Active

Oracle RAC

Portál

Active/Active

IBM DataPower

QRadar

Single

IBM Case manager

U kritických komponent je zajištěna vysoká dostupnost v primární lokalitě v módu, uvedeném ve sloupci „Režim vysoké dostupnosti“. Sloupec „Technologie“ obsahuje název technologie, která zajišťuje vysokou dostupnost. Název módu „Active/Passive“ znamená, že záložní komponenta je spouštěna v případě výpadku primární komponenty. Detekce primární komponenty je prováděna heart-beat spojením. Mód „Active/Active“ znamená, že obě instance jsou aplikačně funkční a je pomocí další technologické komponenty zajišťována dostupnost aplikační komponenty a směrování vstupních požadavků na aktivní node.


Strana 35 z 43

6.2 Bezpečnostní nástroje 6.2.1 Autentizace uživatelů Autentizace a autorizace koncových uživatelů systému NEN bude prováděna proti centrální databázi Active Directory prostřednictvím komponenty CryptoID. Autentizace bude probíhat prostřednictvím uživatelského jména a hesla. Autentizace a autorizace administrátorských VPN přístupů bude prováděna přímo proti centrálním Active Directory serverům, kde bude vytvořen samostatný strom pro řízení interních přístupů. Autorizace přístupu k serverovým prostředkům, provozovaných na technologii Microsoft Windows 2012, bude prováděna přímo proti tomuto Active Directory serveru. Ostatní systémy (síťové prvky, AIX servery a ostatní) budou autentizaci a autorizaci provádět oproti lokální databázi administrátorských účtů a definici oprávnění. VPN přístupy budou realizovány pomocí VPN technologie Cisco Firewallů (IPSec VPN) a bude jimi provádět správu jak infrastrukturních prostředků primární lokality, tak i prvků, které budou umístěny v záložní lokalitě. Přístup do záložní lokality bude umožněn pomocí síťových propojů mezi lokalitami. Komponenta „Active Directory“ slouží jako autentizační a autorizační provider pro celý systém. Spravuje uživatelské účty a skupiny. Uživatelé a skupiny jsou primárně rozděleny na aplikační (koncový uživatelé a skupiny) a správcovské (uživatelé a skupiny provozovatele řešení). Komponenta je technologicky realizována Microsoft Active Directory. Vývojové a testovací prostředí mají vlastní doménu, která je vybudována na stejných principech jako pro primární pracoviště. Server záložní lokality


HW prostředky msad01

PROD

msad02 msad03 msad04

TEST VÝVOJ

msadfix1.nends.cz msadfix2.nends.cz msaddev.nends.cz

6.2.2 Ochrana sítí - firewall Externí datová komunikace koncových uživatelů bude probíhat zabezpečeným kanálem (HTTPS). Tato komunikace bude ukončena na bezpečnostní infrastruktuře provozovatele. Následně bude přesměrována na IBM DataPower G45. Poté bude navázána nezabezpečená komunikace do interních systémů Primární ochrana externího perimetru bude v bezpečnostní infrastruktuře provozovatele (BIP). Ochrana mezi BIP a DMZ bude zajištěna pomocí služeb firewallů IS NEN. Na úrovni firewallů budou definovány prostupy pro omezení provozu mezi jednotlivými VLAN a prostředími. Definice prostupů bude provedena v samostatném dokumentu.


Strana 36 z 43

6.2.3 Systém jednotného času Všechny systémy, které budou vyžadovat získávání autorizovaného časového údaje, budou využívat interní servery „monp“ a „mons“, které budou zajišťovat centrální zdroj času. Tyto servery budou synchronizovány se stanovenými důvěryhodnými externími zdroji času. Tím bude zjištěn, v rámci celého IS NEN, důvěryhodný zdroj času. V každé lokalitě bude právě jeden server zdroje času.

6.2.4 Správa hardwarových komponent Přístup k management rozhraní bude povolen pouze přes zabezpečený protokol (typicky HTTPS přístup k webovému rozhraní, nebo SSH přístup k terminálovému rozhraní) a nezabezpečená komunikace (typicky HTTP, nebo telnet přístup) bude zakázána na úrovni konfigurace management rozhraní, nebo omezením síťového přístupu na úrovni definice firewall pravidel.

6.2.5 PKI infratruktura Serverové komponenty, které budou ukončovat externí portálové zabezpečené komunikační kanály, budou vybaveny komerčním serverovým certifikátem. Interní certifikáty pro zabezpečení management přístupů budou vybaveny selfsigned certifikáty. Systém bude vybaven systémovým kvalifikovaným certifikátem (elektronickou značkou), tato elektronická značka bude určena především podepisování jednotlivých dokumentů. Vybrané dokumenty budou opatřovány kvalifikovaným časovým razítkem. Aplikační server předá dokument komponentě CrptoID. Na základě předané zprávy/dokumentu na vstupu vypočte otisk, vytvoří žádost o přidělení časového razítka a prostřednictvím CryptoID ji odešle příslušné CA. Po obdržení časového razítka provede kontrolu razítka, zda je skutečně určeno pro zpracovávanou zprávu a následně k této časové razítko připojí. V systému bude nadále pracováno s několika typy certifikátu, které budou nutné pro korektní práci s aplikací. Uvedené certifikáty budou zpravovány interně aplikační logikou serveru. Z hlediska fungování systému je nutné zajistit korektní načítání a správa seznamu odvolaných certifikátů. Tyto procesy budou monitorovány ITCAM. Detailní práce s jednotlivými certifikáty je uvedena v uživatelské dokumentaci.

6.3 Ostatní infrastruktura 6.3.1 Odesílání emailů Všechny komponenty (portálové komponenty, monitorovací nástroje), které budou vyžadovat odesílání mailu, budou využívat SMTP relay server, provozovaný na serveru MON. Tento server bude jedním vstupním bodem pro odesílání elektronických správ do internetu.

6.3.2 Jmenné služby (DNS) Centrální interní doménové jmenné služby budou integrovány s Active Directory. Externí jmenný prostor budou obhospodařovat jmenné servery. Pod pojmem externí jmenné služby se rozumí


Strana 37 z 43

doménové záznamy, které jsou publikované do internetu. Externí jmenné servery budou zabezpečeny DNSSEC.

6.4 Backup a recovery 6.4.1 Zálohování systému V systému NEN probíhá automatizované zálohování serverových komponent. Zálohování prvků síťové a SAN infrastruktury je prováděno administrátorem infrastruktury dle provozních předpisů. Zálohy nejsou ukládány v systému NEN a jejich uložení mimo systém NEN se řídí bezpečnostní politikou. Z hlediska provozu systému NEN jsou zálohy rozděleny do 4 hlavních skupin: -

-

Release backup – je prováděn na RAW úrovni mimo systém TSM do prostřední mamagement serveru NIM. Nejedná se o automatizovanou úlohu, ale o ruční úlohu a to vždy před nasazením nové verze IS NEN. Zálohy uložené v NIM jsou dále (pro případ havárie NIM serveru) zálohovány v režimu TSM. o

Cíl zálohy:

servery NEN před nasazením nové verze

o

Forma zálohy: RAW image pro obnovu z NIM

o

Periodicita:

ručně (on demand)

Archivace systému (dlouhodobá záloha) – prováděna systémem TSM, její retenční doba není zadavatelem požadována, řešitelem byla stanovena na 100 dnů. Co se platnosti dat týče je platná vždy poslední verze. Archivace se provádí vždy jednou za měsíc (první sobota – neděle v měsíci) archivace je prováděna tak, aby byla uložena na dvou – geograficky oddělených lokalitách. o

Cíl zálohy:

všechny servery NEN produkční a vývojové prostředí

o

Forma zálohy: archivace ["ALL-LOCAL"] včetně exclude option

o

Periodicita:

měsíčně, viz tabulka

Záloha je ukládána v případě produkčního prostředí na servery produkčního i vývojového prostředí.

-

Zálohování systému (krátkodobá záloha) – prováděna systémem TSM, její retenční doba není zadavatelem explicitně požadována, zpracovatelem byla stanovena na 10 dnů / 2 verze souborů. o

Cíl zálohy:

všechny servery NEN produkční a vývojové prostředí

o

Forma zálohy: přírůstková záloha ["ALL-LOCAL"] včetně exclude option

o

Periodicita:

denně, viz tabulka

Záloha je ukládána v případě produkčního prostředí na servery produkčního i vývojového prostředí.

-

Dočasné zálohy - prováděna systémem TSM, tato záloha je určena k zabezpečení požadavku zadavatele na maximální přípustnou ztrátu dat tj. 2 hodiny zpět. Zálohována budou data a logy databáze Oracle, a data uložená ve FN8 (konkrétně server CE*) doba platnosti dat je stanovena


Strana 38 z 43

na 1 den / 2 verze, životnost této zálohy je do provedení „denní zálohy systému“ kdy jsou zálohována data za celý den. o

Cíl zálohy:

servery Oracle, CE servery

o

Forma zálohy: přírůstková záloha konkrétního adresáře nebo logových souborů

o

Periodicita:

hodinově (viz tabulka)

Zálohování produkčního prostředí V případě produkčního prostředí je režim BCP nebo též Disaster Recovery zabezpečen formou záloh do dvou prostředí tj. do prostředí primárního i geograficky odděleného záložního. Zálohování a archivace produkčního prostředí jsou řešeny v případě primární zálohy v režimu disk – disk - páska, v případě sekundární zálohy v režimu disk – páska. Byla zvolena metoda provedení druhé zálohy do daného prostředí. Metoda představuje sice drobnou nekonzistentnost záloh (sekundární záloha je provedena o něco později), na rozdíl od dalších typů záloh ale zaručuje jednoznačně provedení zálohy do druhého prostředí. Nastavení je řízeno centrálně cestou Tivoli Integrated Portalu, který je instalován na serveru MONS.NENDS.CZ.

Zálohování fix a test prostředí V případě fix/test prostředí je záloha prováděna pouze do fix/test prostředí v režimu disk – páska. Mimo tento režim provádí systém zálohy jádra systému (MONS, NIMS, TSMS) též na produkční server TSM (TSMP). Jsou předpokládány pouze release backup zálohy. V případě kritické havárie systému lze celou site obnovit do úrovně posledních release backup záloh.

6.4.2 Obnova systému Uvedení do normálního stavu je možné provést ve chvíli, kdy je problém, který způsobil výpadek, vyřešen. Jedná se zpravidla o obnovu smazaných dat a konfiguračních souborů ze zálohy. Jednotlivé úlohy jsou následně stručně popsány a řazeny od nejjednodušší (triviální úlohy) na rovině bezpečnostní události po nejsložitější úlohy charakteru bezpečnostních incidentů.

Obnovy na souborové úrovni je primární úlohou zálohování a archivace informačního systému zabezpečení této funkce je zajištěno systémem IBM Tivoli Storage Manager (TSM)

Obnova v případě softwarového nebo hardwarového poškození systému Systém NEN je architektonicky navržen tak aby v maximální možné míře odolával HW výpadkům způsobeným například havárii SW nebo HW ale též celého datového centra, schéma (model) systému NEN. Tyto obnovy nejsou plně řešeny tímto dokumentem, jejich řešení vyplývá z metod a postupů provozovatele IS.


Strana 39 z 43

7 Správa a dohled 7.1 Dohled a monitoring Monitoring dostupnosti a kvality IS NEN je tvořen interním monitoringem, který je součástí interních služeb IS NEN a externím monitoringem v gesci Provozovatele. Interní monitoring bude prostřednictvím SAOP rozhraní integrován do externího monitoringu, který zajistí uložení všech dat a metrik nutných pro výpočet SLA. Externí monitoring bude zajištěn Provozovatelem NEN ve formě služby. Data externího monitoringu budou ležet mimo primární a záložní lokalitu tak, aby data pro výpočet SLA byly dostupné nezávisle na dostupnosti obou lokalit. Interní monitoring IS NEN bude integrován do programového vybavení ITCAM. Monitorovací servery ITCAM v primárním a záložním prostředí budou každý autonomně zajišťovat provozní a nepřímo i bezpečnostní monitoring primárního, respektive záložního prostředí. ITCAM server v primárním prostředí bude řídit: -

monitoring hardware všech serverů primárního prostředí protokolem SNMP,

-

monitoring operačních systémů všech serverů primárního prostředí s využitím svých TEMA agentů instalovaných na monitorovaných serverech,

-

monitoring aplikační úrovně primárního prostředí s využitím specializovaných TEMA subagentů a specificky vyvinutých custom subagentů TEMA,

-

monitoring aplikační úrovně primárního prostřední s využitím standardních monitorovacích rozhraní jednotlivých komponent

-

monitoring postavený na simulaci E2E uživatelského přístupu ze serverů v DMZ s využitím programového vybavení „ITCAM for Transactions“.

ITCAM server v primárním prostředí bude dále pro účely vytvoření jednotné centrální konzole monitoringu integrovat: -

alarmy (tzv. situations) z ITCAM serveru v záložním prostředí,

-

alarmy z bezpečnostního monitoringu zajišťovaného v primárním prostředí SIEM systémem QRadar, který je bude do ITCAM aktivně zasílat formou SNMP trapů,

-

alarmy z bezpečnostního monitoringu zajišťovaného v záložním prostředí SIEM systémem QRadar, který je bude do ITCAM aktivně zasílat formou SNMP trapů.

ITCAM server v záložním prostředí bude řídit: -

monitoring hardware všech serverů záložního prostředí protokolem SNMP,

-

monitoring systémové úrovně všech serverů záložního prostředí s využitím svých TEMA agentů instalovaných na monitorovaných serverech,

-

monitoring aplikační úrovně záložního prostředí s využitím specializovaných TEMA subagentů a specificky vyvinutých custom subagentů TEMA – analogicky k metrikám monitorovaným v primárním prostředí, ale uzpůsobených „passive“ povaze záložního prostředí,


Strana 40 z 43

-

monitoring postavený na simulaci E2E uživatelského přístupu ze serverů v DMZ záložního prostředí, a to s využitím programového vybavení „ITCAM for Transactions“ – prováděno paralelně s monitoringem z primárního prostředí z důvodu potřeby zajištění vysoké dostupnosti této funkce,

-

v případě převedení provozu do záložního prostředí bude ITCAM záložního prostředí též alarmy z bezpečnostního monitoringu záložního prostředí zajišťovaného SIEM systémem QRadar, který je bude do ITCAM aktivně zasílat formou SNMP trapů.

Centrální konzoli pro provádění dohledu celého produkčního prostředí (včetně záložního prostředí) bude tedy poskytovat ITCAM server v primárním prostředí, respektive ITCAM server v záložním prostředí v případě převedení provozu NEN do záložního prostředí. Pro potřeby integrace do externího dohledového systému provozovatele poskytuje ITCAM SOAP rozhraní. Viz produktová dokumentace ITCAM.

Bezpečnostní monitoring vykonávaný prostřednictvím appliancí QRadar 2100 nezávisle v primárním a záložním prostředí bude využívat tyto prostředky pro sběr informací ze serverů a zařízení: -

nástroj QRadar WinCollect pro sběr událostí z eventlogů windows serverů,

-

aktivní zasílání událostí protokolem syslog z AIX serverů a síťových prvků,

-

NetFlow data poskytovaná routery.

Obě instance QRadar budou monitorovat aplikační komponenty v obou prostředích tak, aby byla auditní data, která jsou pro bezpečnostní dohled systému důležitá, byla ukládána redundantně a v případě výpadku jedné lokality, nebo aplikační komponenty, nedošlo k jejich ztrátě. V testovacím prostředí bude instalován autonomní monitorovací server ITCAM, avšak pouze pro potřeby ověřování funkcí monitorovacího systému, zejména funkcí specificky vyvinutých subagentů TEMA. Detailní popis monitoringu a logování jednotlivých prostředí není součástí této dokumentace.

7.2 Management prostředí Přístup do prostředí NEN pro správu bude realizován výlučně pomocí technologie CiscoVPN (IPSec VPN přístup). Správ jednotlivých komponent bude probíhat pomocí jejich nativního management rozhraní: -

správa Windows serverů bude prováděna pomocí vzdáleného přístupu a pomocí nativní správcovské konzole (MSC)

-

Správa FileNet komponent bude probíhat pomocí webového prohlížeče a přístupu k administračním aplikacím IBM WebSphere Application Server (WAS Admin Console) a Administration Console for Content Platform Engine.

-

Disková pole budou spravována pomocí management rozhraní IBM Storwize, které je přístupné pomocí webového prohlížeče

-

SAN switche budou spravovány pomocí nativního webového rozhraní, nebo terminálového (SSH) přístupu


Strana 41 z 43

-

AIX servery budou spravovány pomocí terminálového (ssh) přístupu přes VPN

-

Správa aplikačního serveru - NEN bude probíhat webového prohlížeče administračního rozhraní k aplikačnímu serveru

-

Veškeré hardwarové vybavení je vybaveno příslušnou hardwarovou komponentou pro „out of band management“

7.2.1 Release management Aktualizace jednotlivých komponent řešení (funkčních rozšíření, aplikace fixpack apod.) bude vykonáváno v následovném pořadí: 1. Aplikace aktualizace na VYVOJ prostředí – může být vykonáno v rámci provozních hodin NEN a následně funkčně otestováno dodavatelem aktualizace a/nebo provozovatelem NEN 2. Aplikace aktualizace na TEST prostředí - může být vykonáno v rámci provozních hodin NEN a následně otestováno dodavatelem aktualizace, provozovatelem NEN a Správcem NEN (MMR) 3. Aplikace aktualizace na PROD prostředí – musí být vykonáno mimo provozních hodin NEN. Aplikace aktualizace v produkčním prostředí musí být plánovaná a schválená Správcem NEN (MMR) i v případě, že nepožaduje odstávku produkčního provozu. Detaily postupů jednotlivých kroků budou uvedeny v provozní dokumentaci.


Strana 42 z 43

8 Seznam zkratek • DNS – síťová služba převodu jmen (Domain Name Service). • HC – hostingové centrum • FC – fibre channel • BGP - Border Gateway Protocol dle RFC 1771 a 4271 • HSRP - Hot Standby Router Protocol • VRRP - Virtual Router Redundancy Protocol dle RFC 5798 • IPv4 – IP protokol verze 4 dle RFC 791 • IPv6 – IP protokol verze 6 dle RFC 2460 a dalších • HA – „high availabilty“, vysoká dostupnost • SAN – storage area network, síť pro přístup k blokovým datovým zařízením • SLA – service-level agreement – definice kvality poskytované/odebírané služby • BIP – Bezpečnostní infrastruktura provozovatele.


Strana 43 z 43

Technicko - technologická charakteristika Národního elektronického nástroje (NEN)

Recommend Documents