Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo INFN 1 Aprile 2014 Dael Maselli - Responsabile Ufficio Gestione Sistemi e Sicurezza LNF Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Compiti dell'ufficio • Coordinamento, gestione e ottimizzazione dell'infrastruttura dei sistemi • Coordinamento delle analisi di sicurezza • Attività di ridondanza dei sistemi anche a livello geografico e di backup dei dati • Collegamento con le analoghe strutture competenti della sede dei LNF Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 2 Componenti HW Rete Cisco Catalyst Server Load Balancing Sistemi Cluster Xen RHCS Cluster Xen VZVZ Cluster Xen Cluster Xen VZVZ VY Cluster Xen 5 nodi Serv Calcolo LNF Cluster KVM oVirt Cluster Xen VZVZ Cluster Xen Cluster Xen VZVZ OVC1 Cluster Xen 5 nodi (3+2) CalcoloLNF / SSI Storage ODA Storage Area Network Oracle Cluster Xen RHCS Cluster Xen VZVZ Cluster Xen Cluster Xen VZVZ VZ Cluster Xen 7 nodi Serv Calcolo LNF Cluster Xen RHCS Cluster Xen VZVZ Cluster Xen Cluster Xen VZVZ VAAI Cluster Xen 3 nodi INFN-AAI Database Database Appliance Fibre Channel (NSPOF) EMC2/Hitachi SXGEST2 Sun/Solaris Libreria Backup StorageTek Libreria Backup IBM Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 3 Infrastruttura IT LNF • Infrastrutture sala macchine del Servizio di Calcolo LNF: o o o o Rete elettrica Condizionamento Rete LAN Rete SAN (storage) • Completamente fault tolerant Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 4 High Availability • Il centro stella della rete LNF garantisce il Network HA o Cluster di 2 Cisco Catalyst 6509-E • Nodi e Switch periferici dual attached o Cisco Server Load Balancing • Load Balancing & Fail over TCP/UDP • La Storage Area Network dei LNF garantisce lo Storage HA o Due reti Fire Channel indipendenti o Nodi dual attached • I cluster RHCS/oVirt garantiscono il Virtual Machine HA o Storage su SAN FC o Il software di cluster si occupa di riallocare le VM sui nodi fisici a disposizione Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 5 Backup • Tutti i nodi relativi al SSI sono sottoposti a backup periodico • Software: Tivoli Storage Manager • Hardware: Libreria a nastri Storagetek o o o o o o StorageTek L1400M 2 x Drive STK T9940B (Fiber Channel) Acquistata dal SSI nel 2005 Gestita dal Calcolo LNF 100 nastri da 200GB (lordi non compressi) 100 slot limitati dalla licenza • Il backup di alcuni nodi avviene invece nella libreria IBM LNF o Cluster RHCS: VX, VY, VAAI; TSM SSI; Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 6 Sxgest2 • Server Sun/Solaris architettura SPARC • La macchina è gestita dal Calcolo LNF o insieme a Nunzio Amanzi • Ospita (per poco) il software per il calcolo degli stipendi INFN • Vi risiede anche l'archivio del protocollo centrale dell'ente o Database e Allegati • Il sistema non ridondato • La macchina è da considerarsi (ir)ragionevolmente obsoleta Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 7 Altro HW Protocollo INFN La sala macchine del Calcolo LNF ospita inoltre: • 2 server per l'applicazione di protocollo INFN (gestdoc1-2) o Gestiti unicamente da Nunzio Amanzi Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 8 Cisco Blades • Nuovo sistema di server blade Cisco UCS • Sistema di virtualizzazione in alta affidabilità Ovirt o versione FOSS di RedHat RHEV • Storage Fibre Channel su SAN del Calcolo • Ospita la produzione del nuovo sistema stipendiale o 2 VM per software ADP (Sipert, Cezanne) o 2 VM per la gestione (BusObj, Access) • Backup VM settimanale su appliance NAS Oracle/7320 (LNF) o a breve inviati al CNAF per disaster recovery • Dati su database Oracle (ODA) Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 9 Oracle Database Appliance • Sistema all-in-one per la fornitura di DB Oracle o Real Application Cluster o 2 x ( Intel 24 Core; 48GB RAM; 2x10Gb Ethernet ) o Storage Condiviso SAS + SSD • Mirror Redundancy • 6TB netti • Ospita le istanze dei database di: o GODiVA (prod/preprod/devel) o Cezanne • Backup giornaliero su appliance Oracle/7320 (nasetto) dei LNF o storicizzato su libreria a nastri via TSM o inviato al cnaf per disaster recovery Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 10 Componenti HW Rete Cisco Catalyst Server Load Balancing Sistemi Cluster Xen RHCS Cluster Xen VZVZ Cluster Xen Cluster Xen VZVZ VY Cluster Xen 5 nodi Serv Calcolo LNF Cluster KVM oVirt Cluster Xen VZVZ Cluster Xen Cluster Xen VZVZ OVC1 Cluster Xen 5 nodi (3+2) CalcoloLNF / SSI Storage ODA Storage Area Network Oracle Cluster Xen RHCS Cluster Xen VZVZ Cluster Xen Cluster Xen VZVZ VZ Cluster Xen 7 nodi Serv Calcolo LNF Cluster Xen RHCS Cluster Xen VZVZ Cluster Xen Cluster Xen VZVZ VAAI Cluster Xen 3 nodi INFN-AAI Database Database Appliance Fibre Channel (NSPOF) EMC2/Hitachi SXGEST2 Sun/Solaris Libreria Backup StorageTek Libreria Backup IBM Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 11 Gestione Server Web • Il Calcolo LNF gestisce i seguenti sistemi relativi al SSI: • • • • • • • www.ac.infn.it www.infn.it www.infn.it/comunicazione www.infn.it/fondiesterni lhcitalia.infn.it trasparenza.infn.it asimmetrie.it • • • • agenda.infn.it (indico) wiki.infn.it (Serv. Naz. CCR) scienzapertutti.lnf.infn.it formazione.infn.it o 2 server MySQL sui cui risiedono tutti i relativi DataBase • Ospitati nell'architettura fault tolerant (VY-Z) del Calcolo LNF o Ogni server su entrambi i cluster Xen RHCS o Dietro Cisco SLB per load balacing e HA livello applicativo o Storage web su filesystem AFS Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 12 Separazione Server Web • In passato problemi di alcuni siti si sono ripercossi su altri o Più siti (VirtualHost) condividono lo stesso SO • Stiamo procedendo alla separazione dei siti su diversi nodi o Per competenza • LNF • INFN • AC o Per importanza • Siti divulgativi • Applicazioni sestionali • Possibilità di personalizzare le policy di sicurezza • Diminuzione dell’esposizione ad attacchi e picchi di carico Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 13 Distribuzione Server Web • INFN: 2 VM o http://www.infn.it/ • /comunicazione/ • /fondiesterni/ o http://trasparenza.infn.it/ • AC: 1 VM (+1 al più presto) o http://www.ac.infn.it/ • SISINFO: 1 VM • LHCITALIA: 2 VM o http://lhcitalia.infn.it/ • ASIMMETRIE: 2 VM o http://www.asimmetrie.it/ • SCIENZAPERTUTTI: 2 VM o http://scienzapertutti.lnf.infn.it/ • recentemente aggiornato o preparazione Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 14 Server Web Java • In passato le applicazioni web erano quasi sempre sviluppate su infrastruttura PHP/MySQL • Oggi si sviluppano sempre più applicazioni web Java o Spesso su DB Oracle • Attualmente utilizziamo (pochi) server Tomcat o Impressione di un software non di livello enterprise • È necessario indagare soluzioni AS più evolute e affidabili Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 15 Autenticazione INFN-AAI • Le applicazioni del SSI utilizzano l’infrastruttura INFN-AAI o Autenticazione o Autorizzazione • L’infrastruttura INFN-AAI è completamente ridondata o LDAP + IDP SAML • LNF (Cluster Xen RHCS VAAI) • CNAF • Risiede su HW di CCR gestito dal gruppo INFN-AAI Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 16 Application Server GODiVA • Gli Application Server di GODiVA risiedono su HW di INFN-AAI o Cluster Xen RHCS in HA @LNF (VAAI) o Tomcat • Sullo stesso HW vi risiedono anche altre applicazioni del SSI o iam.infn.it Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli 17 G R A Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Z I E