ZADÁVACÍ DOKUMENTACE
Tento dokument plní funkci dovysvětlení podmínek plnění v rámci výběrového řízení „Realizace vývoje sofistikovaného ICT řešení pro oblast maloobchodu a velkoobchodu“, konkrétně Dílčího plnění č. 1 – ICT infrastruktura. K tomuto výběrovému řízení bylo Oznámení o zahájení výběrového řízení zveřejněno na Profilu zadavatele a Věstníku veřejných zakázek ke dni 5.11.2015. V rámci VŘ se postupuje de PpVD dle MPO - Číslo jednací: MPO 33321/15/61100, platnost od 1. 8. 2015. Zadávací podmínky k tomuto dílčímu plnění jsou popsány v následujících částech Zadávací dokumentace: Část A – Zadávací dokumentace textová část Část E – Projektová dokumentace Část F – Obchodní podmínky a návrh smlouvy o dílo Upřesnění, resp. dovysvětlení k této části projektu je následující: I přes fakt, že ve výše uvedených částech Zadávací dokumentace je uvedeno, že dílčí plnění má být dodáno jako dodávka „3ks identických serverů“, které splňují velmi konkrétní technické požadavky, na základě splnění principu transparentnosti, nediskriminace a rovného přístupu považuje Zadavatel za nutné uvést následující doplňující informaci: Pro splnění podmínek daného výběrového řízení je hlavním principem splnění daných technických požadavků, resp. HW požadavků (které poskytnou potřebnou „oporu“ návaznému sofistikovanému ICT řešení, jehož vývoj je cílem projektu společnost GM electronic, spol. s.r.o. v rámci OPPIK) a ne počet splnění těchto technických parametrů v přesném počtu 3 ks.Počet dodaných identických serverů může být v počtu 3 ks, ale také v jiném počtu. Pro využití výsledného ICT sofistikovaného řešení bude počet využitých HW serverů informační základnou – odrazovým můstkem i pro nové klienty vyvinutého ICT sofistikovaného řešení – nastavená úroveň technického řešení je zvolena jako nejvíce vhodná pro nastavené parametry ICT sofistikovaného řešení v rámci řešení projektu v OPPIK – programu podpory ICT a sdílené služby, kde je řešitelem GM electronic, spol. s.r.o. Doba dodání dodávky je stále stanovena na 7 týdnů od popisu Smlouvy. Toto povysvětlení nemění podmínky výběrového řízení na takové úrovni, aby bylo nutné prodloužit lhůtu pro podání nabídek. Následující informace je zveřejněna na Profilu zadavatele a předána všem známým uchazečům. Prodloužení lhůty pro podání nabídek není nutné z následujícího důvodu – uchazeči, kteří jsou schopni dodat ICT infrastrukturu na dané technické úrovni, nejsou omezeni dodáním daného řešení např. v 1, 2 nebo 10 kusech. Základním rozlišovacím prvkem mezi uchazeči je dodání technické úrovně řešení, ne počtu. V případě dodatečné potřeby ICT infrastruktury bude dle PpVD vyhlášeno další výběrové řízení. Hlavní místo plnění zakázky je v obci Dobrovíz, zmínění současného umístění serverovny v Praze-Karlíně je pouze pro účely srovnávací základy pro tvorbu ICT sofistikovaného řešení pro malo- a velkoobchodní společnosti – oblast obchodu s elektronickým zbožím. Projektová dokumentace Dílčího plnění je k dispozici níže v tomto dokumentu.
1/13
ZADÁVACÍ DOKUMENTACE
Dílčí plnění č. 1 Podle členění na etapy stanovujeme tyto podmínky pro technické řešení, které vychází z provedených kapacitních analýz:
Část I. Specifikace pro 1. etapu 1. Dodávka a instalace nových serverů, diskového pole a síťové infrastruktury 2. Kompletní virtualizace a konsolidace stávajícího virtuálního prostředí s nasazením technik pro zvýšení dostupnosti - zajištění provozuschopnosti při výpadku libovolné komponenty řešení s dosažením požadovaného RTO <= 8hod. 3. Zajištění ochrany dat centralizovaným diskovým zálohováním v intervalech odpovídajícím požadovanému RPO =<4 hod. 4. Zvýšení dostupného výpočetního výkonu (zejména diskového subsystému a páteřní datové konektivity) pro provoz stávajících systémů a umožnění dalšího rozvoje firemního ICT. Pro technický návrh řešení je třeba vycházet z následující požadované struktury řešení: a) Trojice serverů v níže uvedené technické specifikaci, která pokryje svými výkonnostními parametry stávající i budoucí potřeby společnosti. Konfigurace serverů musí umožnit spuštění a provozování služeb i v případě poruchy jednoho z nich bez negativního dopadu na běžný provoz. b) Centrální sdílené úložiště, které svými kapacitními i výkonnostními vlastnostmi zajistí bezproblémový provoz ICT systémů a současně poskytne dostatečnou odolnost proti výpadku či ztrátě dat při poruše libovolné komponenty. c) Vytvoření nového páteřního komunikačního uzlu prostřednictvím redundantních aktivních prvků s dostatečnou propustí a nízkou dobou zpoždění pro bezproblémovou komunikaci připojených systémů. Komunikační uzel musí umožňovat propojení mezi servery, diskovým polem a stávající síťovou infrastrukturou. d) Infrastrukturní software pro potřeby virtualizace centrálních serverů a prostředí operačních systémů, zajišťujících chod aplikačních služeb. GM electronic, spol. s.r.o. pro svůj další rozvoj předpokládá modernizaci centrálního informačního systému společnosti. Navržené řešení infrastruktury musí tedy být koncipováno jako otevřené pro další rozvoj, což se týká zejména možnosti: Škálovat výpočetní výkon – ať již rozšířením operační paměti nebo přidáváním dalších serverů Škálovat diskové pole – možností flexibilně rozšiřovat jak kapacitu, tak výkon pole přidáváním pevných disků a diskových polic Další funkční rozšiřitelnosti diskového pole – pro uvažované zvýšení dostupnosti možností nasazení replikací, možnost prioritizace operací dle přistupujících aplikací či úzkou integraci s databázovými řešeními
2/13
ZADÁVACÍ DOKUMENTACE
Technická specifikace dílčích subsystémů: 1) Servery Požadujeme dodání 3ks identických serverů, které budou splňovat následující požadavky: a) Základní vlastnosti Integrace do standardního 19” rozvaděče s osazenou výškou max. 2U. Montážní kolejnice vč. kabelového ramene a spojovací materiál musí být součástí dodávky Vybavení min. 5 ks USB 3.0 portů (min. 1x čelní a 2x vnitřní), interním slotem na flash paměť formátu SD/microSD s možností rozšíření na duální SD/microSD. Volitelně musí být možné doplnění sériového portu. Min. 3x PCIe slot s možností rozšíření na 6 PCIe slotů. Případné rozšíření PCIe slotů musí umožnit osazení min. 2x PCIe x16 a 4x PCIe x8 Napájení musí být realizováno dvojicí nezávislých, redundantních napájecích zdrojů o výkonu min. 800W, účinností min. 94%, vyměnitelných za chodu Chlazení serveru vzduchem zpředu dozadu pomocí redundantních ventilátorů vyměnitelných za chodu Integrovaná grafickou kartou podporující rozlišení min. 1280x1024 bodů při 32 bitové barevné hloubce a 1920x1200 bodů při 16 bitové barevné hloubce Podpora standardů: ACPI 2.0b, PCIe 3.0, PXE, WOL, Microsoft® Logo certification, USB 3.0, USB 2.0, Energy Star, ASHRAE A3/A4, UEFI Server musí být oficiálně podporován operačními systémy Microsoft Windows Server, VMware vSphere a Linux b) Výpočetní výkon a úložná kapacita Osazení minimálně dvěma procesory, každý minimálně s dvanácti jádry a min. 2,5 MB L3 cache na každé jádro. Výkon procesoru musí být nejméně 19 000 bodů dle hodnocení PassMark (www.cpubenchmark.net) Paměť RAM min. 384 GB typu DDR4. Musí umožňovat škálování min. na dvojnásobek této kapacity tj. do 768 GB RAM při užití pamětí typu LRDIMMM. Server musí detekovat a hlásit případné osazení jinou, nežli originální pamětí dodávanou výrobcem. Server musí podporovat Advanced ECC paměti s ochranou proti více než-li jednobitové chybě a možností online spare módu Server musí disponovat min. 8 šachtami pro osazení interních, 2,5“ SFF hot-plug pevných disků s možností rozšíření min. na 26 jednotek. Rámečky osazovaných disků musí být vybaveny intuitivní signalizací ve stylu ikony s indikátorem signalizujícím varování, které se aktivuje automaticky jako ochrana proti ztrátě dat/výpadku, kterou by způsobilo vyjmutí nesprávného disku. Není vyžadována optická jednotka, nicméně server musí umožňovat její případné doplnění Server musí umožňovat osazení Enterprise SAS 12Gb pevnými disky s kapacitou 300/450/600 GB 15krpm, Enterprise SAS 12Gb pevnými disky s kapacitou 300/600/900/1200/1800 GB 10krpm, Near-line SAS 1/2 TB 7,2krpm, SATA 6G disky s kapacitou 500/1000/2000 GB 7,2krpm a SSD 80/120/200/240/400/480/800/960/1600 GB. Osazení pevnými disky není ale 3/13
ZADÁVACÍ DOKUMENTACE
v tuto chvíli vyžadováno, předpokládá se bootování z interní SD karty. Nelze však vyloučit použití interních disků pro budoucí řešení. Server musí být vybaven integrovaným řadičem pevných disků bez obsazení PCIe slotu. Řadič musí podporovat RAID 0/1/5/10 pro min. 8 připojených disků. Server musí umožňovat rozšíření dalším kontrolérem interních disků bez obsazení PCIe slotu Server musí být vybaven interní flash pamětí formátu SD/microSD o kapacitě min. 8 GB pro instalaci hypervizoru c) Konektivita Server musí umožňovat (a takovéto adaptéry musí být volitelným příslušenstvím pro pozdější rozšíření) osazení síťovými kartami s následujícími vlastnostmi: o 1Gb čtyřportový síťový Ethernet adaptér s rozšířenými funkcemi Large Send offload capability, TCP checksum and segmentation, VLAN tagging, MSI-X, Jumbo frames, IEEE 1588 a funkcemi virtualizace jako VMware NetQueue a Microsoft VMQ o 10Gb dvouportový síťový Ethernet adaptér s podporou VLAN tagging, adaptive interrupt coalescing, MSI-X, NIC teaming (bonding), Receive Side Scaling (RSS), jumbo frames, PXE boot a funkcemi virtualizace jako VMware NetQueue a Microsoft VMQ o 10Gb dvouportový síťový adaptér poskytující Ethernet, iSCSI a FCoE konektivitu prostřednictvím standardu CEE (Converged enhanced Ethernet). Takový adaptér musí podporovat hardwarovou akceleraci a stateless offload TCP/IP, TCP Offload Engine (TOE), fibre Channel over Ethernet (FCoE), Jumbo frames a iSCSI. o 10Gb dvouportovým adaptérem poskytujícím až 40Gb šířku pásma v obou směrech pro konvergovanou komunikaci FCoE nebo RoCE společně s LAN provozem na jednom 10 GbE spoji, podporu Tunnel Offload pro VXLAN a NVRGE, RDMA over Converged Ethernet (RoCE) Je vyžadována min. konektivita serveru: o min. 4x 1Gb Ethernet porty s podporou Large Send and Receive offload, TCP checksum and segmentation, VLAN tagging, MSI-X, jumbo frames, IEEE 1588 a virtualizačními funkcemi VMware NetQueue a Microsoft VMQ o konvergovaným adaptérem s min. 2x 10 Gbps porty umožňujícím virtuální rozdělení každého portu na min. 4 oddělené kanály s volitelnou možností volby šířky přenosového pásma, nezávisle na připojeném přepínači. Adaptér musí podporovat VLAN tagging, adaptive interrupt coalescing, MSI-X, NIC teaming (bonding), Tunnel offloads (NVGRE, VxLAN), Receive Side Scaling (RSS), jumbo frames a PXE boot. Dále musí podporovat funkce pro virtualizaci, jako jsou SR-IOV, VMware NetQueue and Microsoft VMQ. o Síťovým adaptérem typu Ethernet s min. 2x 10 Gbps porty a podporou funkcí VLAN tagging, adaptive interrupt coalescing, MSI-X, NIC teaming (bonding), Tunneling offloads (NVGRE, VxLAN), Receive Side Scaling (RSS), jumbo frames, PXE boot, SR-IOV, Network Partitioning, VMware NetQueue a Microsoft VMQ Součástí dodávky musí být i veškeré potřebné propojovací kabely k centrálnímu komunikačnímu uzlu 4/13
ZADÁVACÍ DOKUMENTACE
d) Funkce zabezpečení a správy Základní nástroje, agenti pro instalaci, nasazení a údržbu musí být vestavěnou součástí serveru. Součástí musí být i vestavěný update manager umožňující aktualizaci firmware prostřednictvím online připojení k Internetu Zadání hesla po zapnutí serveru, zabezpečení administrátorským heslem, UEFI, podpora až 12 uživatelských účtů pro správu prostřednictvím out-of-band management portu a SSL šifrování, podpora integrace s adresářovými službami. Server volitelně musí dovolit osazení TPM 1.2 čipem Out-of band management na dedikovaném portu typu Ethernet s rychlostí 1Gbps s průběžným monitoringem, servisními alerty, reportováním a vzdálenou správou Podpora bezpečného nastavování a bootování prostřednictvím UEFI Podpora integrace s RESTful API Integrovaný management musí umožňovat hlášení hardwarových událostí přímo výrobci nebo autorizovanému servisnímu partnerovi pro automatizované zajištění servisu Server musí umožňovat šifrování dat na interním úložišti a cache modulu diskového kontroléru využitím šifrovacích klíčů a podporovat správu těchto klíčů lokálně pro správu jednoho serveru a vzdáleně pro centrální správu a nasazení klíčů pro více serverů Vzdálený management serveru musí umožňovat následující: o Grafickou konzoli pro přístup z prohlížeče vybavenou virtuálním tlačítkem napájení. Musí rovněž umožňovat vzdálený boot použitím USB/CD/DVD mechaniky. Rovněž je vyžadována možnost provést update a softwarové patche z lokálního média/obrazu CD/adresáře. Vzdálený management umožňuje nastavování limitů spotřeby el. energie (Power Capping) a reportování o spotřebě v minulosti. Je vyžadována podpora multifaktorové autentizace. o Je vyžadován dedikovaný 1Gbps management port pro vzdálenou správu. Součástí musí být minimálně 4GB paměti typu NAND flash pro ukládání systémových logů a stahování update firmware z webu výrobce nebo interního repozitáře. Z této paměti musí být min. 1GB uživatelsky dostupné pro ukládání dat. o Vzdálená správa nesmí vyžadovat instalaci agenta do prostředí operačního systému (Agentless Management) o Monitorování a ukládání změn v hardwaru serveru a konfigurace systému za účelem diagnostiky problémů a zajištění rychlého řešení v případě výpadku systému o Aplikace pro vzdálenou správu s použitím mobilních zařízení na platformě Android a Apple IOS o Vzdálená konzole pro až připojených 6 uživatelů před startem operačního systému i během jeho činnosti. Konzole z možností zaznamenat a přehrát video posledního výpadku systému nebo průběhu startovací sekvence. Konzole umožňuje integraci s Microsoft Terminal Services, podporuje 128 bitové šifrování SSL a Secure Shell verze 2. Rovněž musí podporovat AES a 3DES šifrování přistupujícího prohlížeče a funkcionalitu vzdáleného upgrade firmware. 5/13
ZADÁVACÍ DOKUMENTACE
o Prostřednictvím jedné konzole musí být možné spravovat více serverů jako jeden. Skupinová správa zahrnuje skupinový monitoring spotřeby el. energie, nastavování max. odběrových špiček (Power Capping), updaty firmware, virtuální médium, aktivace licencí. Vestavěný management serveru musí umožňovat integraci s management konzolemi VMware vSphere a Microsoft System Center. e) Servisní zajištění Na navržené servery požadujeme reaktivní podporu v délce trvání 5 let a zahájením opravy v místě instalace následující pracovní den od nahlášení požadavku Podpora je požadována v českém jazyce, možnost hlášení incidentů prostřednictvím telefonické linky, e-mailu a webového formuláře Podpora musí obsahovat právo využívat veškeré nové verze firmware a veškerých SW titulů, které souvisí s dodávkou serveru
2) Sdílené úložiště (diskové pole) a) Hardware Veškeré komponenty sdíleného úložiště musí být umístěny v základní či přídavných vanách s možností montáže do standardního 19“ rozvaděče. Kolejnice pro usazení a potřebný montážní materiál musí být součástí dodávky. Základní police diskového pole musí být vybavena minimálně dvěma nezávislými kontroléry Kontroléry diskového pole musí nativně fungovat v režimu Active-Active tak, aby přístup ke každému LUN byl plně symetrický a rovnocenný, tedy nikoliv pouze mechanismus ALUA. Nastavení takového přístupu nesmí blokovat žádné jiné funkce diskového pole Diskové pole musí disponovat minimálně čtyřmi porty typu Fibre Channel s nativní min. rychlostí 8Gbps pro připojení hostů Současně musí disponovat min. čtyřmi porty pro IP konektivitu prostřednictvím protokolů iSCSI/FCoE s nativní rychlostí min. 10Gbps Rovněž musí diskové pole disponovat min. dvěma IP porty pro 1Gbps konektivitu pro možnost zajištění přístupu k souborovým službám nebo pro možnost IP replikace Každý z řadičů musí být osazen min. 20 GB cache Cache paměť řadičů musí být zálohována bateriemi nebo vysokokapacitními kondenzátory doplněnými o paměť typu flash pro destage dat z cache Kontroléry diskového pole musí umožňovat rozšíření o funkcionalitu SSD Flash cache, které umožní další rozšíření cache paměti diskového pole v budoucnu Konfigurace diskového pole musí být ve vysoce dostupném provedení, tj. veškeré klíčové komponenty (kontroléry, napájecí zdroje, ventilátory) nutné pro jeho chod musí být min. zdvojené Veškeré komponenty diskového pole (pevné disky, kontroléry, napájecí zdroje, ventilátory, přídavné vany) musí podporovat přidávání a náhradu za běhu Veškeré softwarové upgrady pole (upgrade firmware kontrolérů, disků, přidávání diskových polic) musí být realizovatelné za plného chodu 6/13
ZADÁVACÍ DOKUMENTACE
Je vyžadováno, aby bylo možné v budoucnu flexibilní záměna za FC či IP porty potřebnými pro nasazení synchronní či asynchronní replikace dat V rámci diskového pole i jedné diskové police musí být možné kombinovat výkonnostně různé typy pevných disků – SSD, Enterprise SAS 15/10k rpm a Nearline SAS 7,2k rpm Diskové pole musí umožňovat rozšíření na min. 200 pevných disků SAS pouhým přidáním disků a diskových polic Je vyžadováno, aby diskové pole bylo vybaveno min. 32 pevnými disky typu Enterprise SAS 15k rpm o kapacitě 300 GB. Tento počet a typ disků je výsledkem interní analýzy výkonových a kapacitních požadavků současného prostředí a jedná se o nejnižší přípustné množství. V případě, že předkladatel nabídky nedisponuje stejným typem disků, je možné nabídnout pouze disky kapacitně větší a o stejných nebo lepších výkonnostních charakteristikách ve stejném nebo vyšším počtu disků. Rozklad ukládání dat na skupiny disků stejného typu nesmí být limitován na velikost RAID jedné skupiny disků, naopak musí být podporován rozkladu bloků dat (chunkletů) na všechny disky v poli Diskové pole musí umožňovat rozšíření na minimálně sedminásobek požadovaného počtu pevných disků resp. dosažení celkového výkonýu >50 kIOPS b) Software a funkcionality Diskové pole musí podporovat hostitelské operační systémy VMware vSphere, Microsoft Windows Server vč. Microsoft Hyper-V, RedHat Enterprise Linux vč. Red Hat Enterprise Virtualization , SUSE Linux Enterprise, Ubuntu Linux, Citrix XenServer, HP-UX, IBM AIX, Open VMS, Oracle Linux, Oracle Solaris Je vyžadována plná podpora VMware VAAI a jejich dílčích primitiv o ATS – Atomic Test and Set o XCOPY – Fast/Full Copy o WRITE SAME – Space Reclamation o UNMAP – Space Reclamation o TP Stun – Out of Space o TP LUN Reporting – TP LUN Identified via TP Enabled o Out of Space Condition o Quota Exceeded Behavior Diskové pole musí plně podporovat Microsoft ODX Diskové pole musí podporovat automatický, tříúrovňový subLUN tiering mezi všemi kombinacemi osazených pevných disků SSD, Enterprise SAS a Near-line SAS. Diskové pole musí být schopné analyzovat zatížení jednotlivých segmentů logického disku a jejich automatické průběžné přesouvání mezi jednotlivými úrovněmi podle jejich zatížení. Jedná-li se o volitelně licencovanou funkčnost, není nutné, aby tato licence byla součástí nabídky. subLUN tiering musí být možný i mezi různými RAID zabezpečeními Je vyžadována podpora RAID 0, 1, 5, 6, 1+0. V případě, že je diskové pole virtualizováno pro celkové usnadnění administrace a efektivní zacházení s výkonovými a kapacitními rezervami, musí umožňovat na stejných fyzických discích vytvářet logické disky s různými RAID geometriemi.
7/13
ZADÁVACÍ DOKUMENTACE
Při výpočtu parity RAID zabezpečení nesmí docházet k negativnímu ovlivnění výkonu CPU kontroléru a celého pole Diskové pole musí plně podporovat tenký provisioning (Thin Provisioning), tedy schopnost publikovat přistupujícímu hostu vyšší kapacitu, nežli je aktuálně fyzicky dostupná Tenký provisioning musí plně podporovat reklamaci uvolněného diskového prostoru do kapacitního poolu dostupného všem přistupujícím hostům. Pokud reklamace vyžaduje speciální softwarové nástroje, musí být dostupné pro operační systémy Microsoft Windows, VMware vSphere a Linux Diskové pole musí podporovat funkčnost zabraňující ukládání identických bloků dat (deduplikaci) min. na vrstvě nejvýkonnějších disků typu flash (SSD) Je vyžadováno, aby v případě potřeby diskové pole umožňovalo rozšíření o on-line migraci dat z logického disku mezi rozdílnými RAID úrovněmi (např. RAID1 na RAID5), RAID geometriemi (např. RAID5 3D+1P na RAID5 7D+1P) a různými typy fyzických disků (tiering). Stejně tak, diskové pole musí volitelně podporovat online konverzi mezi tenkými a silnými logickými disky oběma směry (Thin-2-Thick a Thick-2-Thin). V případě samostatně licencované funkčnosti není licence vyžadována. Navržené diskové pole musí umožňovat synchronní a asynchronní replikace prostředky pole přes Fibre Channel a IP infrastrukturu. V současnosti nevyžadujeme nasazení replikace na úrovni diskového pole, které by vyžadovalou dodávku druhého diskového pole, nicméně tato funkčnost není v souvislosti s budoucím rozvojem společnosti vyloučena. Jedná-li se o samostatně licencovanou funkčnost, nejsou licence vyžadovány. Pro případné budoucí nasazení druhého diskového pole do záložní lokality je vyžadována podpora a certifikace pro VMware Storage Metro Cluster s automatickým a transparentním přepínáním mezi lokalitami. V případě, že se jedná o samostatně licencovanou funkčnost, není licence vyžadována. Navržené řešení musí umožňovat funkce QoS (Quality of Service), kdy je možné definovat a garantovat minimální a maximální hodnoty IOPS a MS/s zátěže, latence a priority na úrovni jednotlivých disků a jejich skupin. Musí v rámci této funkčnosti umět nadefinovat Oversubscription na úrovni QoS, která umožní jednotlivým aplikacím dosáhnout maxima výkonu v rámci sdíleného pravidla v případě, že ostatní aplikace výkon dočasně nepotřebují. Pokud se jedná o samostatně licencovanou funkčnost, není licence vyžadována. Navržené pole musí umožňovat vytváření plných klonů a časových snímků (Snapshot) pro čtení (ReadOnly) i pro zápis (ReadWrite) z logických disků. Jedná-li se o samostatně licencovanou funkčnost, není licence požadována. Nabízené řešení musí umožňovat integraci nutnou pro vytváření aplikačně konzistentních snapshotů (VSS) VMware virtuálních serverů na úrovni diskového pole. Pokud se tato funkčnost licencuje, není licence vyžadována. Diskové pole musí být možné v budoucnu rozšířit i pro vytváření aplikačně konzistentních snapshotů pro Oracle, SAP, MS SQL, MS Exchange a MS Hyper-V. Případné licence není v tuto chvíli vyžadována.
8/13
ZADÁVACÍ DOKUMENTACE
Diskové pole musí dovolovat využití snapshotů pro navazující řešení zálohování dat tj. provádění záloh ze snapshotů tak, aby zálohováním nebylo ovlivněno produkční prostředí. Diskové pole musí v budoucnu umožňovat rozšíření i o přístup prostřednictvím souborových protokolů SMB/CIFS a NFS na úrovni diskového pole Diskové pole musí být vybaveno funkcionalitou pro kompletní monitoring a reporting výkonu, včetně práce s historickými daty. Je vyžadována plná integrace managementu diskového pole do prostředí VMware vCenter a to vč. možnosti provisioningu kapacity Veškeré funkcionality musí být dostupné pro neomezený počet přistupujících serverů Veškeré funkcionality musí být nabídnuty na celé navržené diskové pole c) Servisní zajištění Na navržené centrální úložiště požadujeme reaktivní podporu v trvání 5 let, s časovým oknem pokrytí 24x7 a zahájením opravy do 4 hodin od nahlášení požadavku v místě instalace Součástí servisní podpory musí být rovněž proaktivní složka, která pokryje alespoň 2x ročně pravidelnou analýzu prostředí a implementaci opravných aktualizací software diskového pole Podpora musí obsahovat právo využívat veškeré nové verze firmware a veškerých SW titulů, které souvisí s dodávkou diskového pole Pro případné budoucí rozšíření dodavatel rovněž uvede, jakým způsobem by byla ošetřena záruka na tzv. wear-out SSD (snižování kapacity pevných disků z důvodu překročení limitu zápisových operací paměťových buněk disku). Požadujeme, aby se záruka vztahovala i na wear-out SSD. Dodavatel přesně vysvětlí případná omezení této záruky.
3) Páteřní komunikační uzel Požadujeme vytvoření plně redundantního, páteřního komunikačního uzlu tvořeného dvěma samostatnými síťovými přepínači ToR (TopOfRack), vyhovujícími svými parametry požadavkům: a) Hardware Provedení pro montáž do standardního 19“ rozvaděče. Montážní lyžiny a materiál musí být součástí dodávky. Chassis o výšce 1U Dvojice plně redundantních zdrojů v každém přepínači, zdroje musí být vyměnitelné za chodu Vybavení min. 24x 10Gbps porty typu Ethernet. Tyto porty musí umožňovat flexibilní osazení komunikačními moduly pro napojení na optické (Singlemode i Multimode) trasy i metalické rozvody a to vč. 1GigE a 10 GigE Rovněž musí nativně obsahovat možnost konektivity prostřednictvím min. dvou portů typu Ethernet s rozhraním RJ-45 Přepínač musí disponovat sériovým portem pro správu prostřednictvím konzole a obsahovat dedikovaný port pro out-of-band management Přepínač musí být vybaven min. dvojicí redundantních, za chodu vyměnitelných ventilátorů, které zajistí přísun vzduchu zezadu dopředu (Back2Front) 9/13
ZADÁVACÍ DOKUMENTACE
Přepínač musí zajistit propustnost min. 350 Mpps, přepínací kapacitu 480 Gbps při latenci nižší nežli 3µs Přepínač musí umožňovat podporu protokolů MC-LAG resp. škálovatelnost spojením až 9 přepínačů do jednoho logického celku (stohu), který se navenek chová jako jedno zařízení s páteřní propustností 40 Gbps. Pro stohování nesmí být použity další přídavné moduly, funkčnost musí být součástí přepínače. b) Funkčnost a správa Management o Možnost vzdálené správy a konfigurace prostřednictvím zabezpečeného webového rozhraní nebo příkazové řádky o Podpora LLDP discovery o Možnost nahrávat a ukládat soubory a konfigurace přepínače prostřednictvím přenosného USB flash disku o Podpora protokolů SNMP v1, v2c a v3 o Synchronizace času napříč zařízeními připojenými do sítě prostřednictvím protokolu NTP o Monitoring a statistiky prostřednictvím protokolu sFlow a RMON Konektivita o Auto-MDIX pro připojená Fast Ethernet a Gigabit Ethernet zařízení o Podpora Jumbo frames na 1Gbps a 10Gbps portech Funkce druhé vrstvy o 32K MAC adresy o 4094 port-based VLAN o IEEE 802.1ad QinQ a Selective QinQ o Agregace 1 GigE a 10 GE portů o Spanning Tree/MSTP, RSTP, STP Root Guard, sFlow a GVRP Funkce třetí vrstvy o Podpora ARP a DHCP protokolu o L3 IPv4 routing prostřednictvím RIP, RIP v2, OSPF, OSPF v3, IS-IS, IS-IS v6 a BGP o IPv6 routing prostřednictvím RIP, OSPF, OSPF v3, IS-IS, IS-IS v6 a BGP4+ protokolu) o Podpora BFD, VRRP, VRRPE a policy-based routingu Zabezpečení o Podpora RADIUS/HWTACASS o Podpora Secure Shell (SSHv2) o Podpora protokolu 802.1X – dynamické přidělování QoS, ACL a VLNA o Autentikace založení na MAC adrese zařízení, podpora Guest VLAN o Podpora Port Isolation a IP Source Guard o Podpora použití PKI c) Servisní zajištění Pro navržené přepínače je vyžadována podpora v délce trvání minimálně pěti let a zahájením opravy v místě instalace následující pracovní den od nahlášení poruchy Podpora musí být poskytována v českém jazyce, servisní incidenty je možné hlásit prostřednictvím telefonu, e-mailu nebo webového formuláře 10/13
ZADÁVACÍ DOKUMENTACE
Podpora musí obsahovat právo využívat veškeré nové verze firmware a veškerých SW titulů, které souvisí s dodávkou přepínačů
4) Infrastrukturní software a) Virtualizační software Pro konsolidaci serverů a zajištění dostupnosti požadujeme dodávku licencí virtualizační platformy s následující funkčností: Možnost přiřadit virtuálnímu serveru až 128 vCPU, 4TB RAM a 60 TB diskového prostoru Podpora HA (High-Avalability) – schopnost provést off-line (studený) restart na jiném serveru v případě závady virtuálního hosta Podpora Motion – možnost za provozu bezvýpadkově převést virtuální server mezi různými fyzickými hosty Podpora funkce Fault-tolerance – vytvoření standby repliky (stínové kopie) virtuálního serveru na jiném fyzickém hostu, které v případě výpadku převezme funkci primární instance Storage Motion – možnost za provozu bezvýpadkově převést virtuální server mezi různými diskovými oddíly nebo diskovými poli Podpora centralizovaného provozu bezpečnostních funkcí (např. antivir) na úrovni hypervizoru Softwarová API rozhraní s diskovým polem pro offload diskových operací na pole a pro integraci funkcí souvisejících se správou úložného prostoru (monitorování zdraví, konfigurace, kapacitní a tenký provisioning) Podpora tenkého provisioningu vč. reklamace uvolněného prostoru Distribuovaný virtuální přepínač umožňující centrální správu virtualizované komunikace napříč fyzickými servery Integrovaný zálohovací nástroj umožňující pravidelné a automatické D2D vytváření záloh za provozu mezi SAN a cílovým úložištěm. Tento nástroj musí zajistit aplikačně konzistentní zálohování pro provozované instance Microsoft SQL a Microsoft Exchange Plná podpora komunikačních standardů SAN FC, iSCSI a FCoE Management konzole pro řízení provozu virtualizační platformy z jednoho místa. Konzole musí umožnit správu všech tří dodaných serverů. Požadujeme dodání podpory v min. délce trvání pěti let, která zajistí vzdálenou technickou podporu výrobce v případě potíží a současně zajistí práva přecházet na nové verze, jakmile budou k dispozici a instalovat opravné balíčky b) Operační systém serverů V souvislosti s integrací se stávajícím IT prostředím je vyžadována licence operačního systému Microsoft Windows Server v poslední dostupné verzi pro zachování kompatibility nyní provozovaných systémů a zajištění kontinuity společnosti. Jsou vyžadovány licence, které zajistí: Nejnovější dostupnou verzi operačního systému s možností práva užívat starší verzi (downgrade) Umožní plně zalicencovat dodané servery tak, aby ve virtuálních instancích bylo možné instalovat a spouštět neomezené množství kopií a současně libovolně přesouvat virtuální servery mezi jednotlivými fyzickými hosty 11/13
ZADÁVACÍ DOKUMENTACE
Pokud se samostatně licencují uživatelé služeb, zohlednit licence pro 130 uživatelů Jsou vyžadovány trvalé licence
Část II. Specifikace pro 2. etapu Požadavkem je nahradit současné řešení Sophos UTM 220 + 9x RedBox pro IPsec šifrování provozu mezi pobočkami + 5 Wifi AP10 (pokrytí centrály Karlín signálem Wifi) novým a výkonnějším řešením, neboť současné prvky jsou zastaralé a ve špičkovém provozu brzdí produkční operace IT. Je potřeba mít na paměti, že GM electronic provozuje velmi využívaný e-shop a tedy tento hraniční prvek musí být schopen ochránit jeho provozu na úrovni https provozu (striktní požadavek na SSL inspekci).Požadavkem je nahradit současnou dvojici prvků Sophos UTM novým a výkonnějším řešením, neboť současné prvky jsou zastaralé a ve špičkovém provozu brzdí produkční operace IT.
1) Hardware pro UTM
Dvojice zařízení v active-pasive i active-active režimu Každý prvek s min. 4x 1GE rozhraním Případné další prvky (pokud jsou potřeba) pro integraci do prostředí GM electronic Integrovaný HDD Celková max. propustnost pro multiprotocol statefull inspection min. 300 Mbps Propustnost pro současný provoz aplikační kontroly a IPS min. 100 Mbps Propustnost pro IPsec VPN provoz min. 100 Mbps
2) Software a funkčnost UTM
Podpora BGP protokolu pro napojení na redundantní MPLS L3VPN konektivitu operátora Neomezený počet klientů Integrovaná transparentní autentizace na adresářový systém Microsoft Active Directory, používaný ve společnosti Aktivní ověřování uživatelů Funkce firewallu s možností kontroly a řízení provozu Podpora pro vizualizaci aplikací a filtraci jejich provozu na rozhraní IPS dle signatur a tříd útoků Funkce proxy LAN to WAN SSL inspekce WAN to LAN ULR filtrace na bázi kategorizace a reputace z externí databáze výrobce, možnost selektivního nastavení povolených URL podle pracovního zařazení Ochrana proti malware (antivirus, antispam) na úrovni datových toků Licence klientů pro bezpečný vzdálený přístup pro min. 20 uživatelů – je požadována podpora SSL tunelování Management zajišťující Real Time Analýzu Podpora BGP protokolu pro napojení na redundantní MPLS L3VPN konektivitu operátora Funkce firewallu Podpora pro vizualizaci aplikací a jejich provozu na rozhraní IPS vč. kontextuální výstrahy (NGIPS) 12/13
ZADÁVACÍ DOKUMENTACE
ULR filtrace na bázi kategorizace a reputace Ochrana proti malware na úrovni datových toků Licence klientů pro bezpečný vzdálený přístup pro min. 20 uživatelů – podpora SSL tunelování a podpora IPsec IKEv2 šifrování Management zajišťující Real Time Analýzu, analýzu narušení (Impact Analysis)
3) Výměna WiFi řešení Stávající prvky WiFi (Sophos AP10 navázané na UTM220) na centrále Karlín jsou funkčně závislé na hraničních prvcích UTM220, které slouží jako WLC kontroléry a jsou zastaralé (nepodporují aktuální normy WiFi a díky jediné anténě nezajišťují kvalitní pokrytí signálem). Po náhradě UTM220 musí dojít i k náhradě této části řešení. Náhrada za prvky dle normy 802.11ac wawe2 Eliminace odrazů, interferencí a rušení Beamforming a streamování Duální pásma 2,4/5GHz (obě současně aktivní) a automatické směrování klientů mezi pásmy 2,4/5GHz Řízení provozu 5 základnových stanic s využitím centrálního kontroléru WLC Captive portál pro správu uživatelů (lobby service)
4) Servisní zajištění
5 let s opravou NBD V ceně musí být veškeré licence vč. aktualizace vzorků atp. na dobu 5 let
5) Rozsah implementace
Instalace a oživení Převod provozu ze stávajících UTM prvků Sophos Nastavení pravidel Instalace vzorového klienta VPN na mobilním počítači a zaškolení master uživatele Zkušební provoz řešení se zvýšenou podporou po dobu 2 měsíců Dokumentace skutečného provedení
13/13
