Služby e-infrastruktury CESNET Slavnostní setkání k 20. výročí založení sdružení CESNET Praha, 10. 3. 2016 Tomáš Košňar CESNET z. s. p. o.
Symbolická architektura e-infrastruktury CESNET Základní komponenty e-infrastruktury CESNET
Struktura společné komunikační infrastruktury Podpůrná infrastruktura: DNS, Mail Relay, Anti Spam, Monitoring Infrastruktury a IP provozu IP/MPLS páteřní infrastruktura Optická přenosová infrastruktura Fyzická infrastruktura (optická vlákna) Budováno vlastními silami Společná komunikační infrastruktura Vyšší vrstvy vlastními silami Řešení na míru uživatelům, výkon Modularita flexibilita Efektivita a optimalizace využití zdrojů Fyzická infrastruktura Optická vlákna Aktuálně ~ 6000 km, z toho ~2000 jedno-vláknových Redundantní přípojení uzlů Eliminace fyzického souběhu tras
Optická přenosová infrastruktura a její služby Vícenásobné využití optického vlákna - vlnový multiplex (WDM) 2 komplementární systémy - vzájemně se zálohují ONS 15454 až 80 kanálů/vlákno 1-100 Gb/s - jádro páteře OpenDWDM - jedno a dvou-vláknové trasy, kanály 1-100 Gb/s Fotonické a Lambda služby Spoje bod-bod Čistě optické nebo OEO konv. i přes více uzlů, i mezinárodně Náročné aplikace Zpoždění a odchylky zpoždění ~ synchronizace času
IP/MPLS páteřní infrastruktura a její služby Platforma pro vytváření sítí nebo okruhů - nad službami optické přenosové infrastruktury Sdílená lp síť 100 Gb/s jádro Připojení uzlů Duální Nx10, 40-100 Gb/s Podpůrné služby Adresové zdroje RIPE DB, LIR DNS, DNSSEC Mail Realy, AntiSpam GW Sledování infrastruktury a provozu, monitoring
IP/MPLS páteřní infrastruktura a její služby Služby dedikovaných okruhů nebo sítí pro uživatele kapacitně oddělené nebo ve sdíleném pásmu ~ propojení dislokovaných pracovišť, vzdálených zařízení, dílčích součástí vědecké infrastruktury apod. VPLS
IP/MPLS páteřní infrastruktura externí propojení Externí propojení Sdílená IP síť 200 Gb/s 100 Gb/s GÉANT 100 Gb/s IX, partneři 40 Gb/s NIX.CZ 10 Gb/s ACONET (VIX) 10 Gb/s SANET (SIX) 10 Gb/s PIONIER 10 Gb/s AMS-IX 10 Gb/s Google 10 Gb/s Tier-1 Pro E2E služby 4x10 Gb/s GÉANT, LHCONE Nx10 Gb/s CBF - ACONET, SANET, PIONIER 10 Gb/s GLIF
Náročné výpočty Využití sdružených výpočetních a datových zdrojů pro řešení velmi náročných úloh, které jsou za hranicemi výpočetních možností (výkon, dostupný SW,...) samostatného pracoviště NGI Národní Gridová Infrastruktura - národní součást EGI CESNET - MetaCentrum zajišťuje a koordinuje provoz NGI Aktuálně k dispozici cca 12000 jader 2PB úložiště (EGI 3.8PB)
Náročné výpočty Grid + Cloud + MapReduce výpočty Konvenční i specifický HW (např. GP-GPU karty, SGI-UV2) Aplikační SW - koordinace pořizování a správa Uživatelská podpora Integrace výpočetních kapacit do NGI Výběr, instalace a provoz clusterů, správa SW Správa účtů, systém pro správu úloh, provozní dohled, přizpůsobení místním potřebám, priority přístupu na své zdroje Příprava specifického prostředí Úpravy stávajícího prostředí nebo vytvoření specifické dedikované platformy Galaxy, Chipster Velké skupiny uživatelů - EGI, ELIXIR
Náročné výpočty K dispozici výpočetní výkon obtížně dosažitelný vlastními silami Dostupnost sdružených prostředků i v případě nedostupnosti vlastních Dostupnost odkudkoli po síti Prostředí, které může být ušito na míru Průměrné využití sdílených kapacit 2015 (včetně efektu priorit vlastníků; optimum cca 70%) Využití Cloud infrastruktury 2015 (žlutá reprezentuje vývoj dostupné kapacity)
Datová úložiště Uchování a sdílení dat v administrativní doméně komunity na distribuovaných zdrojích pod permanentní správou Infrastruktura Distribuovaná architektura HSM úložišť - Plzeň, Jihlava, Brno - 21 PB Dedikovaná síťová infrastruktura pro vzájemné propojení a pro připojení do páteřní sítě
Datová úložiště Dlouhodobé uchování vědeckých dat Uchování na úrovni binárních dat (správce nerozumí obsahu dat ) Vlastníkem dat je uživatel Zálohy - primární data u uživatele, záložní data na úložišti pro případ havárie Archivace - primární data v úložišti, méně časté využívání Sdílení dat - společná práce nad většími daty v rámci distribuovaného týmu Speciální aplikace - distribuce obsahu a další Přístup Souborově orientovaný (NFSv4, CIFS, rsync, FTP, SCP) Speciální aplikace (DCache, FileSender, owncloud)
Datová úložiště Variabilita přístupu k datům Dostupnost odkudkoli po síti Geografická distribuce dat v rámci administrativní domény komunity Ukázka využití úložiště v Plzni Uživatelé služby owncloud
Podpora spolupráce uživatelů Webkonference v prostředí WWW prohlížeče, základní kvalita obrazu Videokonference H.323/SIP infrastruktura, MCU Limit Full HD, kvalitní zvuk, sdílení obsahu, ClearSea Začlenění VC zařízení uživatelů do VC infrastruktury rezervační portál meetings.cesnet.cz IP telefonie - propojení IP-telefonních sítí v rámci e-infrastruktury a s partnery Streaming - distribuční platforma pro multimediální vysílání do Internetu Videoarchiv - platforma pro uložení obsahu a jeho vystavení pomocí služby Streaming
Podpora spolupráce uživatelů Speciální obrazové přenosy a vizualizace Vysoké rozlišení, nízká latence, speciální vizualizace (SAGE, CAVE) Vzdálená spolupráce pří zpracování obrazových dat HD+ (2K, 4K, 8K) Lékařské zákroky, vědecké vizualizace, demonstrace Vlastní vyvíjené systémy (UltraGrid, 4K Gateway)
Správa identit PKI & AAI zajištění řízeného a důvěryhodného přístupu uživatelů ke zdrojům eduid.cz - Česká akademická federace identit Jedno uživatelské jméno a heslo pro přístup k řadě síťových služeb (v multiinstitucionálním prostoru) Na principu důvěry mezi poskytovatelem identity a poskytovatelem služby (citlivé údaje putují pouze mezi uživatelem a poskytovatelem jeho identity) CESNET operátor a vykonavatel federační politiky Součást mezinárodní interfederace edugain Výchozí platforma pro ověření uživatele při přístupu ke službám e-infrastruktury CESNET nebo pro zřízení a správu specifického účtu v einfrastruktuře Záložní řešení pro uživatele jejichž organizace neposkytují službu poskytovatele identity eduid.cz Hostel IdP
Správa identit PKI & AAI Jednotný systém správy účtů v e-infrastruktuře Samostatný účet v e-infrastruktuře pro přístup k některým službám strukturování uživatelské komunity, řízení přístupu ke zdrojům, vyřešení technologických omezení
Správa identit PKI & AAI Osobní a serverové certifikáty Důvěryhodná identita uživatele, důvěryhodný server CESNET CA interní použití Trusted Certificate Service (GÉANT)
Správa identit PKI & AAI Individuálně autentizovaný, federovaný přístup k síti - eduroam Princip důvěry mezi poskytovatelem sítě a správcem identity uživatele Síťovou infrastrukturu poskytuje hostitelská síť Ověření uživatele (v jeho domovské instituci) opřeno o hierarchickou autentizační infrastrukturu De facto standard (globálně) v akademickém prostředí
Bezpečnost Bezpečnostní tým CESNET - CERTS platforma pro řešení a asistenci při řešení bezpečnostních incidentů v e-infrastruktuře CESNET a administrativní doméně komunity Základní technologie pro sledování stavu, provozu a detekci anomálií v einfrastruktuře CESNET - HW akcelerované sondy - plošný monitoring IP provozu na bázi toků (zdroje provozních informací) - IDS a IPS systémy apod. - Honey Pots - monitoring infrastruktury (Simple Network Management Protocol apod.) Pozn.: dostupné uživatelům i pro dedikované nasazení v jejich sítích.
Bezpečnost Služby HW akcelerované sondy kompletní provoz na lince * Sledování stavů a chování infrastruktury sítě (G3) * Sledování IP provozu na bázi toků * IDS, IPS systémy, HoneyPots * Sdílení informací o detekovaných událostech, SIEM * Sběr a normalizace informací o anomáliích a detekovaných událostech ( přispívám odebírám ) informace z více míst, agregace, korelace *) vč. funkcí ve smyslu detekce kyber. bezp. událostí, analýzy incidentů - ZKB, konformita s vyhl. 485 MV (souvislost se ZEK)
Bezpečnost Služby STaaS - koncept kombinace vybraných nástrojů jako služba Forenzní laboratoř penetrační, zátěžové testy, analýza událostí AntiSpam Gateway Semi-automatická obrana síťové infrastruktury (DoS amplifikační útoky) Uživatelem řízená obrana vlastní infrastruktury (RTBH) Bezpečnostní školení na míru pro typové skupiny, vybraná témata Spolupráce v oblasti zajištění bezpečnosti v IT prostoru ČR CSIRT.CZ Zakládající člen projektu FENIX na platformě NIX.CZ
Další služby Virtuální servery Monitorování kvalitativních charakteristik sítě Časová synchronizace (NTP servery Stratum 1, rubidiové hodiny) Časová razítka (Time-Stamp Authority) Technické konzultace Propustnost, zpoždění, jitter, ztrátovost apod. Pro uživatele náročných aplikací, správce sítí apod. Časové služby Od 2016, volná kapacita na virtualizačních platformách i jako součást komplexních řešení (multiplikace služby uživatele pomocí anycast) Vize do budoucnosti komunitní princip analogický s oblastí náročných výpočtů Ve všech odborných oblastech Semináře, osvěta, školení
https://www.cesnet.cz/sluzby/ sluzby@cesnet.cz..děkuji za pozornost a trpělivost..