Area Gestione
Sistemi e Sicurezza LNF
Plenaria Servizio Sistema Informativo INFN
1 Aprile 2014
Dael Maselli - Responsabile Ufficio
Gestione Sistemi e Sicurezza LNF
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
Compiti dell'ufficio
• Coordinamento, gestione e ottimizzazione dell'infrastruttura
dei sistemi
• Coordinamento delle analisi di sicurezza
• Attività di ridondanza dei sistemi anche a livello geografico e
di backup dei dati
• Collegamento con le analoghe strutture competenti della sede
dei LNF
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
2
Componenti HW
Rete
Cisco
Catalyst
Server
Load
Balancing
Sistemi
Cluster Xen RHCS
Cluster
Xen
VZVZ
Cluster
Xen
Cluster
Xen
VZVZ
VY
Cluster
Xen
5 nodi
Serv Calcolo LNF
Cluster KVM oVirt
Cluster
Xen
VZVZ
Cluster
Xen
Cluster
Xen
VZVZ
OVC1
Cluster
Xen
5 nodi (3+2)
CalcoloLNF / SSI
Storage
ODA
Storage
Area
Network
Oracle
Cluster Xen RHCS
Cluster
Xen
VZVZ
Cluster
Xen
Cluster
Xen
VZVZ
VZ
Cluster
Xen
7 nodi
Serv Calcolo LNF
Cluster Xen RHCS
Cluster
Xen
VZVZ
Cluster
Xen
Cluster
Xen
VZVZ
VAAI
Cluster
Xen
3 nodi
INFN-AAI
Database
Database
Appliance
Fibre
Channel
(NSPOF)
EMC2/Hitachi
SXGEST2
Sun/Solaris
Libreria
Backup
StorageTek
Libreria
Backup
IBM
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
3
Infrastruttura IT LNF
• Infrastrutture sala macchine del Servizio di Calcolo LNF:
o
o
o
o
Rete elettrica
Condizionamento
Rete LAN
Rete SAN (storage)
• Completamente fault tolerant
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
4
High Availability
• Il centro stella della rete LNF garantisce il Network HA
o Cluster di 2 Cisco Catalyst 6509-E
• Nodi e Switch periferici dual attached
o Cisco Server Load Balancing
• Load Balancing & Fail over TCP/UDP
• La Storage Area Network dei LNF garantisce lo Storage HA
o Due reti Fire Channel indipendenti
o Nodi dual attached
• I cluster RHCS/oVirt garantiscono il Virtual Machine HA
o Storage su SAN FC
o Il software di cluster si occupa di riallocare le VM sui nodi fisici a disposizione
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
5
Backup
• Tutti i nodi relativi al SSI sono sottoposti a backup periodico
• Software: Tivoli Storage Manager
• Hardware: Libreria a nastri Storagetek
o
o
o
o
o
o
StorageTek L1400M
2 x Drive STK T9940B (Fiber Channel)
Acquistata dal SSI nel 2005
Gestita dal Calcolo LNF
100 nastri da 200GB (lordi non compressi)
100 slot limitati dalla licenza
• Il backup di alcuni nodi avviene invece nella libreria IBM LNF
o Cluster RHCS: VX, VY, VAAI; TSM SSI;
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
6
Sxgest2
• Server Sun/Solaris architettura SPARC
• La macchina è gestita dal Calcolo LNF
o insieme a Nunzio Amanzi
• Ospita (per poco) il software per il calcolo degli stipendi INFN
• Vi risiede anche l'archivio del protocollo centrale dell'ente
o Database e Allegati
• Il sistema non ridondato
• La macchina è da considerarsi (ir)ragionevolmente obsoleta
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
7
Altro HW Protocollo INFN
La sala macchine del Calcolo LNF ospita inoltre:
• 2 server per l'applicazione di protocollo INFN (gestdoc1-2)
o Gestiti unicamente da Nunzio Amanzi
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
8
Cisco Blades
• Nuovo sistema di server blade Cisco UCS
• Sistema di virtualizzazione in alta affidabilità Ovirt
o versione FOSS di RedHat RHEV
• Storage Fibre Channel su SAN del Calcolo
• Ospita la produzione del nuovo sistema stipendiale
o 2 VM per software ADP (Sipert, Cezanne)
o 2 VM per la gestione (BusObj, Access)
• Backup VM settimanale su appliance NAS Oracle/7320 (LNF)
o a breve inviati al CNAF per disaster recovery
• Dati su database Oracle (ODA)
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
9
Oracle Database Appliance
• Sistema all-in-one per la fornitura di DB Oracle
o Real Application Cluster
o 2 x ( Intel 24 Core; 48GB RAM; 2x10Gb Ethernet )
o Storage Condiviso SAS + SSD
• Mirror Redundancy
• 6TB netti
• Ospita le istanze dei database di:
o GODiVA (prod/preprod/devel)
o Cezanne
• Backup giornaliero su appliance Oracle/7320 (nasetto) dei LNF
o storicizzato su libreria a nastri via TSM
o inviato al cnaf per disaster recovery
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
10
Componenti HW
Rete
Cisco
Catalyst
Server
Load
Balancing
Sistemi
Cluster Xen RHCS
Cluster
Xen
VZVZ
Cluster
Xen
Cluster
Xen
VZVZ
VY
Cluster
Xen
5 nodi
Serv Calcolo LNF
Cluster KVM oVirt
Cluster
Xen
VZVZ
Cluster
Xen
Cluster
Xen
VZVZ
OVC1
Cluster
Xen
5 nodi (3+2)
CalcoloLNF / SSI
Storage
ODA
Storage
Area
Network
Oracle
Cluster Xen RHCS
Cluster
Xen
VZVZ
Cluster
Xen
Cluster
Xen
VZVZ
VZ
Cluster
Xen
7 nodi
Serv Calcolo LNF
Cluster Xen RHCS
Cluster
Xen
VZVZ
Cluster
Xen
Cluster
Xen
VZVZ
VAAI
Cluster
Xen
3 nodi
INFN-AAI
Database
Database
Appliance
Fibre
Channel
(NSPOF)
EMC2/Hitachi
SXGEST2
Sun/Solaris
Libreria
Backup
StorageTek
Libreria
Backup
IBM
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
11
Gestione Server Web
• Il Calcolo LNF gestisce i seguenti sistemi relativi al SSI:
•
•
•
•
•
•
•
www.ac.infn.it
www.infn.it
www.infn.it/comunicazione
www.infn.it/fondiesterni
lhcitalia.infn.it
trasparenza.infn.it
asimmetrie.it
•
•
•
•
agenda.infn.it (indico)
wiki.infn.it (Serv. Naz. CCR)
scienzapertutti.lnf.infn.it
formazione.infn.it
o 2 server MySQL sui cui risiedono tutti i relativi DataBase
• Ospitati nell'architettura fault tolerant (VY-Z) del Calcolo LNF
o Ogni server su entrambi i cluster Xen RHCS
o Dietro Cisco SLB per load balacing e HA livello applicativo
o Storage web su filesystem AFS
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
12
Separazione Server Web
• In passato problemi di alcuni siti si sono ripercossi su altri
o Più siti (VirtualHost) condividono lo stesso SO
• Stiamo procedendo alla separazione dei siti su diversi nodi
o Per competenza
• LNF
• INFN
• AC
o Per importanza
• Siti divulgativi
• Applicazioni sestionali
• Possibilità di personalizzare le policy di sicurezza
• Diminuzione dell’esposizione ad attacchi e picchi di carico
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
13
Distribuzione Server Web
• INFN: 2 VM
o http://www.infn.it/
• /comunicazione/
• /fondiesterni/
o http://trasparenza.infn.it/
• AC: 1 VM (+1 al più presto)
o http://www.ac.infn.it/
• SISINFO: 1 VM
• LHCITALIA: 2 VM
o http://lhcitalia.infn.it/
• ASIMMETRIE: 2 VM
o http://www.asimmetrie.it/
• SCIENZAPERTUTTI: 2 VM
o http://scienzapertutti.lnf.infn.it/
• recentemente aggiornato
o preparazione
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
14
Server Web Java
• In passato le applicazioni web erano quasi sempre sviluppate
su infrastruttura PHP/MySQL
• Oggi si sviluppano sempre più applicazioni web Java
o Spesso su DB Oracle
• Attualmente utilizziamo (pochi) server Tomcat
o Impressione di un software non di livello enterprise
• È necessario indagare soluzioni AS più evolute e affidabili
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
15
Autenticazione INFN-AAI
• Le applicazioni del SSI utilizzano l’infrastruttura INFN-AAI
o Autenticazione
o Autorizzazione
• L’infrastruttura INFN-AAI è completamente ridondata
o LDAP + IDP SAML
• LNF (Cluster Xen RHCS VAAI)
• CNAF
• Risiede su HW di CCR gestito dal gruppo INFN-AAI
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
16
Application Server GODiVA
• Gli Application Server di GODiVA risiedono su HW di INFN-AAI
o Cluster Xen RHCS in HA @LNF (VAAI)
o Tomcat
• Sullo stesso HW vi risiedono anche altre applicazioni del SSI
o iam.infn.it
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
17
G
R
A
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli
Z
I
E
Scarica

SisInfo_Dael_2014-04-01