MINISTERSTVO OBRANY ČESKÉ REPUBLIKY PRŮMYSLOVÉ DNY Datvá úlžiště a zálhvání Tematické blasti pr wrkshpy Ministerstv brany České republiky, Tychnva 1, 160 01 Praha 6
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání Prhlášení Zpracvání tht dkumentu byl prveden s veškeru dpvídající prfesinální péčí na základě interních infrmací a dkumentace Ministerstva brany České republiky (MO) a veřejných zdrjů. Na straně MO tím nevzniká žádná dpvědnst za úplnst a/neb přesnst uvedených údajů. Tt se vztahuje také na všechny další infrmace, ústní či písemné, pskytnuté zaměstnanci neb splupracvníky MO v průběhu wrkshpů a případné kmunikace před vypsáním případnéh výběrvéh řízení. Údaje uvedené v tmt dkumentu jsu infrmativní, nemají závazný charakter a pr MO z nich nevyplývají žádné závazky a pvinnsti.
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání 1. Úvd V suvislsti s připravvaným prjektem datvých úlžišť, jak náhrady stávajících prnajatých diskvých datvých úlžišť, včetně systému zálhvání, přádá Ministerstv brany České republiky (dále jen Přadatel) průmyslvé dny (dále také nazývané jak wrkshpy) s výrbci a ptenciálními ddavateli technlgií a služeb týkající se blastí diskvých plí, datvých úlžišť a zálhvacích řešení. Cílem wrkshpů je seznámit výrbce a ddavatele (dále jen Zájemce) s předběžným záměrem a způsbem plánvané náhrady blastí datvých úlžišť a zálhvacích řešení a budváním datvých úlžišť. Přadatel v úvdu prezentace d zájemce čekává následující infrmace: Přehled aktuálních technlgií zájemce v blasti diskvých plí vhdných pr využití v prstředí Přadatele. Infrmace mžnstech virtualizace SAN prstředí a mžnsti využití SAN virtualizace v prstředí Přadatele. Přehled a infrmace mžnstech využití Sftwarvě definvaných úlžišť v prstředí Přadatele. Zkušensti z prblematiky budvání velkkapacitních a hierarchických datvých úlžišť. Infrmace mžnstech a aktuálních funkcinalitách zálhvacíh řešení zájemce. Způsby řízení licenční plitiky pr řešení datvých úlžišť, SAN a zálhvání v prstředí Přadatele. Přadatel v další části prezentace d zájemce čekává představení návrhu technickéh řešení ve čtyřech základních variantách: a) Přízení datvých úlžišť d vlastnictví Přadatele ve stávající struktuře a lkalitách s připjením na stávající servervu technlgii s předpkladem následnéh začlenění d buducích DC; b) Přízení datvých úlžišť d vlastnictví Přadatele s mžnstí knslidace a integrace ve vybraných lkalitách (C s C1 a E s E1) na stávající servervu technlgii s předpkladem následnéh začlenění d buducích DC (s hledem na bezpečnst); c) Přízení služby pr ukládání dat v prstrech Přadatele s mžnstí navyšvání bjemu ukládaných dat (prnájem zařízení) pr variantu b); d) Přízení služby pr ukládání dat v prstrech Přadatele jak prnájmu datvéh prstru s úhradu služby pdle skutečnéh využití datvéh úlžiště (měsíční vyúčtvání prnájmu datvéh prstru) pr variantu b). v rzsahu: Řešení datvých úlžišť s hledem na bezpečnst a eknmicku výhdnst p celu dbu předpkládanéh živtníh cyklu (6 let). D jedntlivých variant návrhů zapracvat pžadavky vyplývající z bezpečnstní legislativy ČR (zejména Zákn č. 412/2005 Sb., chraně utajvaných infrmací a bezpečnstní způsbilsti, Zákn č. 181/2014 Sb., kybernetické bezpečnsti a Vyhláška č. 522/2005 Sb., bezpečnsti infrmačních a kmunikačních systémů a dalších elektrnických zařízení nakládajícími - 1 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání s utajvanými infrmacemi a certifikaci stínících kmr), při suběžném prvzu neutajvaných a utajvaných dat (infrmačních systémů) d stupně Vyhrazené. Navrhnut rychlsti přístupu a dstupnsti ukládaných dat dle pžadvaných tierů, které je Zájemce schpen garantvat. Navrhnut využití služby deduplikace, kmprese a šifrvání na úrvni HW včetně způsbu bnvy dat. Navrhnut pstup migrace dat ze stávajících na nvá datvá úlžiště s hledem na bezpečnst migrace a minimalizace mezení prvzu infrmačních systémů. Zpracvání návrhu řešení d Zájemce s hledem na garanci následné knslidace a integrace přízených technlgií ze sedmi lkalit (případně z pěti lkalit při variantě b) d dvu plánvaných datvých center. Technické řešení Zájemce systému budvání velkkapacitních a hierarchických datvých úlžišť s mžnstí využití virtualizace SAN (s minimální tereticku prpustnstí knfigurace virtualizace SAN 96 Gb/s) a Sftwarvě definvaných úlžišť neb jiné technické řešení, které umžní Přadateli c největší nezávislst na výrbci hardwarvých kmpnent. Přadatel předpkládá využití virtualizace SAN primárně z důvdu nezávislsti na výrbci hardwarvých kmpnent a flexibilnsti replikačních služeb v rámci jedné lkality, ale i v rámci více gegraficky ddělených lkalit. Jedn z technických řešení Přadatel čekává například s využitím jak blkvéh, tak subrvéh přístupu k diskvým plím a datvým úlžištím, s nasazením sftwarvě definvané vrstvy a její využíti jak u kmditních diskvých plí, tak u technlgií RAIN. (Přadatel pr blkvý přístup předpkládá využití klasickéh mdelu diskvých plí s řadiči a expanzemi). Pr blkvý přístup: - 2 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání Pr subrvý přístup: Mžnst pužít asynchrnní a synchrnní replikace. Navrhnut mžnsti klnvacích, replikačních a kpírvacích funkcí na úrvni virtualizvané SAN: Ppsat mžnsti replikací mezi více než dvěma lkalitami. Ppsat mžnsti asynchrnní a synchrnní replikace. Management replikačních funkcí s mžnstí překlápění lkalit. Dsažení aplikačně knzistentních klnů pr ptřeby zálhvání. Replikace pmcí virtualizvané SAN nikli na úrvni diskvých plí. Mžnst realizace vysce dstupných prstředí přes gegraficky ddělené lkality. Mžnsti kmprese a šifrvání. Ppis vlivu na licence a cenu řešení. Návrh c nejjedndušších migračních mžnstí a efektivity při manipulaci s daty v rámci datvéh úlžiště. Návrh systémů dhledu a správy jedntlivých mdulů všech pužitých technlgií datvých úlžišť ve prspěch Přadatele. Návrh řešení zálhvání, dluhdbéh zálhvání a Disaster Recvery. Zálhvací řešení pr primární zálhvání dat. Pr ptřeby indikativníh nacenění je nutné ppsat způsb licenční plitiky pr zálhvání primárních dat (např. dle bjemu dat). Primární zálhvání musí umžnit prvádění nline zálh následujících aplikací a databází: MS Exchange, ERP, MS Sharepint, databáze Infrmix, Oracle a DB2 apd. - 3 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání Návrh řešení pr dluhdbé zálhvání dat (např. na zálhvací knihvny). Pr ptřeby indikativníh nacenění je nutné ppsat způsb licenční plitiky pr tent typ zálh (např. dle bjemu dat). Dluhdbé zálhvání musí umžnit prvádění zálh aplikací, databází, filesystémů, systémvých dat, prvzních a bezpečnstních dat, archivních dat, již přízených nline zálh apd. Další pžadvané parametry pr zálhvací knihvny: V primární lkalitě bude využita virtuální technlgie prvádějící zálhvání a bnvu dat případně umžňující deduplikaci a datvu kmpresi. Objem takt ulžených dat je uvažván na 2,5 PB. Technlgie musí pskytvat FC knektivitu a prpustnst zálh minimálně 5 TB za hdinu. V sekundární lkalitě je uvažvána např. zálhvací knihvna s klasickými páskvými médii. Přadatel předpkládá, že knihvna bude využívat např. technlgii LTO6 a bude sazena min. 10 kusy LTO6 mechanik s tím, že připuští i jiné návrhy řešení. Knihvna umžní ulžit 2,5 PB dat p uvažvané kmpresi alespň 1:1,5. Zálhvaná data budu mezi lkalitami replikvána asynchrnně p IP linkách, p integraci v uvažvaných datvých centrech je mžné změnit způsb replikace (např. prpjením datvých center na 2. vrstvě). Replikvána by měla být již deduplikvaná data. Plánvané kapacitní a technlgické parametry datvých úlžišť (předpkládané): Parametry tierů např. SSD, Hybridní disky, SAS min. 15.000 rpm např. SAS min. 10.000 rpm např. NL-SAS, SATA min. 7.200 rpm např. Tape min. LTO6 Ppis využití Prdukční databáze, LUN Databáze včetně testvacích a vývjvých, systémy subrů, klny prstředí, cíle replikace Systémy subrů, virtualizace datvéh úlžiště a zálhvání Zálhvání, pslední tier datvých úlžišť Infrmační systém (lkalita) SSD, SAS 15k (TB) Cílvý stav Blkvý přístup např. SAS 10k (TB) Cílvý stav Blkvý přístup Subrvý přístup NL-SAS (TB) Cílvý stav Páskvá media (TB) Cílvý stav ŠIS (B) 9 24 56 320 240 ŠIS (C1) 6 30 70 120 300 ŠIS (E1) 3 6 14 60 60 DVISÚ (D) 0 1121 0 0 1400 FIS/ISSP (A) 11 38 9 193 182 ISL (E) 24 24 0 70 156 ISL (C) 24 24 0 70 156 Celkem 77 1267 149 833 2494 Pznámka: předpkládaný výkn minimálně 50.000 IOPS při sečtení všech tierů a 128 GB cache per kntrler. - 4 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání Další pžadvané minimální parametry blkvéh přístupu: Přístup pmcí prtklu Fibre-Channel rychlsti 16 Gb/s. Přístup pmcí prtklu iscsi rychlsti 10 Gb/s. Mžnst vytváření tierů pr různé rychlsti disků s mžnstí migrace LUNů mezi těmit tiery za chdu a mžnst pvlení autmatickéh tieringu pr zvlené LUNy. Ppis pžadavků na jedntlivé tiery je uveden níže v tmt dkumentu. Další pžadvané minimální parametry subrvéh přístupu: Přístup pmcí prtklu CIFS, NFS a FTP. Přístup k úlžišti p Ethernetu rychlsti 1 Gb/s neb 10 Gb/s. Mžnst vytváření tierů pr různé rychlsti disků. Mžnst migrace dat mezi těmit tiery za chdu a t až na úrveň jedntlivých subrů. 2. Ppis stávajícíh stavu Rezrt MO prvzuje vybrané infrmační systémy v sedmi lkalitách na území ČR. V přílhách jsu ppsány a zbrazeny stavy aktuálně využívaných diskvých datvých úlžišť včetně zálhvacíh řešení pr jedntlivé infrmační systémy. Ppis je becný a služí puze jak pdklad pr zpracvání návrhu řešení Zájemcem. Přehled stávajících kapacit: Infrmační systém (lkalita) SAS 15k (TB) Stávající stav Blkvý přístup SAS 10k (TB) Stávající stav Blkvý přístup Subrvý přístup NL-SAS (TB) Stávající stav Páskvá media (TB) Stávající stav ŠIS (B) 3 12 28 160 40 ŠIS (C1) 2 15 35 60 50 ŠIS (E1) 0 3 7 30 10 DVISÚ (D) 0 521 0 0 750 FIS/ISSP (A) 9 31 7 166 139 ISL (E) 19 22 0 59 160 ISL (C) 19 22 0 59 160 Celkem 52 626 77 534 1309 3. Infrmace k wrkshpům Zájemce si zvlí vlastní úrveň detailu pdle pžadvanéh zadání Přadatelem. Rzsah vlastní prezentace maximálně d 45 min. a cca 20 min. na diskuzi. Pznámka: Oblasti pr diskusi na wrkshpech jsu mezeny tímt dkumentem a budu ze strany zástupců MO striktně ddržvány tak, aby všichni zájemci měli stejné pdmínky a infrmace. Pkud budu kladeny ze strany zájemců na wrkshpech upřesňující dtazy, všechny tyt dtazy včetně dpvědí budu zaznamenány a p uknčení průmyslvých dní annymně zveřejněny na webvých stránkách MO. - 5 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání Přednesené prezentace, návrhy technickéh řešení a cenvých indikací jedntlivých Zájemců jsu určeny puze pr vnitřní ptřebu MO a nebudu zveřejňvány. Z wrkshpů může být prváděn audivizuální záznam pr ptřebu MO. 4. Časvé a persnální řešení Přadatel pžaduje d zájemců časvé relace ptřebné d dby pdpisu smluvy přes ddávku technlgií (služeb), samtnu implementaci nvých technlgií včetně knfigurace až d dby funkční a hmtné přejímky Přadatelem. Přadatel pžaduje návrhy zájemců pr persnální zabezpečení správy těcht technlgií a k tmu ptřebný rzsah šklení neb dbrných kurzů včetně časvé nárčnsti. 5. Finanční hdncení pžadvaných variant Jak pslední bd rganizvaných wrkshpů Přadatel pžaduje indikativní cenvu relaci v rámci veřejně dstupných cen pr všechny výše uvedené varianty. Přadatel čekává d Zájemce indikativní infrmaci dhadu mžné slevy v případě realizace prjektu. Seznam přílh: Přílha 1 - ŠIS ppis a schéma sučasnéh řešení Přílha 2 - DVISÚ ppis a schéma sučasnéh řešení Přílha 3 - FIS/ISSP ppis a schéma sučasnéh řešení Přílha 4 - ISL ppis a schéma sučasnéh řešení - 6 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 1 1. Přílha: ŠIS ppis a schéma sučasnéh řešení Stručný ppis lkality B, C1 a E1 Celkvá kapacita a služba datvéh úlžiště (DÚ) ŠIS je rzdělena d 3 gegraficky ddělených lkalit. Připjení k DÚ: Na úrvni SAN je prvedena dvjí zálha linek. K DÚ je připjen technlgie Blade s následujícími parametry: servery PrLiant BL460c G6 Mezzanine Device Emulex LPe1205-HP 8Gb FC HBA fr HP BladeSystem c-class Virtual Cnnect 2x HP VC 8Gb 24-Prt FC Mdule 2x HP VC Flex-10 Enet Mdule Další prty nejsu sazeny GBIC mduly Virtualizační systém VMware ESXi 5.5 Dplňující infrmace: Celkvý pčet klientů (serverů) přistupující k DÚ je d 120. Pčet kncvých stanic využívající DÚ je > 9.000. Pčet uživatelů využívající DÚ je > 18.000. OS na serverech jsu MS Windws server 2003, 2008, 2012. DB servery jsu MS SQL 2000, 2005, 2008. - 1 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 1 Schéma sučasnéh řešení - 2 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 1-3 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 2 2. DVISÚ ppis a schéma sučasnéh řešení Stručný ppis lkality D Datvé úlžiště DVISÚ v lkalitě D je realizván jak zdvjené, dislkvané ve dvu budvách bjektu se vzájemnu replikací dat na úrvni diskvých plí. Jak HW vybavení využívá servery prvenience firmy IBM, diskvá ple Hitachi, FC switche Brcade, páskvé knihvny ActiLib a zálžní zdrje APC. Jak SW vybavení využívá OS SUSE Linux Enterprise Server (SLES) a MS Windws XP, DB Oracle Enterprise Editin včetně mdulu Spatial, zálhvací SW NetVault a dhledvý SW Nagis. Data jsu ukládána ve dvu tierech - DB data na SAS discích, file data na SATA discích. Zálhy jsu realizvány prstřednictvím SAN (data) a LAN (OS a prstředí serverů). K zálhám jsu využívány snapshty diskvých plí. Páskvé technlgie jsu LTO4 a LTO5. Prpustnst rzhraní LAN u serverů je 1 Gb/s, mezi budvami 10 Gb/s. Prpustnst SAN je 8 Gb/s. - 1 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 2 Schéma sučasnéh řešení - 2 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 3 3. FIS/ISSP ppis a schéma sučasnéh řešení Stručný ppis lkality A Technlgie FIS je v lkalitě A rzmístěna ve dvu budvách. V budvě č. 1 je umístěna primární prvzní část, v budvě č. 2 je umístěn zálhvací řešení, část prvzu a příprava pr Disaster Recvery p výpadku budvy č. 1. Prpjení SAN sítě mezi budvami je realizván ptickými vlákny typu single md délce cca 600m. Z důvdu zvýšení dlnsti prti výpadku je realizvána jak dvě nezávislé paralelní sítě (fabric). T znamená, že s hledem na rzlžení d dvu budv je využit celkem čtyř FC switchů, které jsu prpjeny 2x2 vlákny. V budvě č. 1 se nachází dvě místnsti navzájem prpjené kabeláží zaknčenu patch panely s knektry typu LC, v budvě č. 2 se nachází puze jedna místnst. Aktuálně jsu servery připjvány rychlstí 8 Gbps pmcí standardních HBA s knektry LC. Servery jsu připjvány dvěma nezávislými trasami a využívají funkce failver a ladballance. Ve FIS jsu instalvány celkem čtyři Strage zařízení: Strage Umístění Ppis, využití USP-V Budva č. 1 Primární prvzní Strage, DB Infrmix, vmware, FS, rychlé zálhy DB. USP 100 Budva č. 1 Zapjen jak externí kapacita k USP-V, klny DB Infrmix (testvací, šklicí, cvičné). AMS 200 Budva č. 1 Dčasné FS. AMS 2300 Budva č. 2 Zálhvání VTL, část kapacity vyhrazena pr Disaster Recvery. U strage USP-V a USP 100 je využívána funkce klnvání. Zálhvání je řešen prduktem NetVault. Systém zálhvání je z důvdu ddělení zálh d prvzních dat instalván na budvě č. 2. Zálhvání je rzdělen na utajvanu a neutajvanu blast, které jsu striktně dděleny a nesdílí žádné kmpnenty. Zálhvání v neutajvané blasti prbíhá v režimu disk t disk t tape, v utajvané blasti v režimu disk t tape. Ve FIS je využíván zálhvání následujících typů bjektů: - 1 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 3 Objekt DB Infrmix na AIX Lgické lgy DB Infrmix na AIX Minimální Zálha Obnva verze 11.70 Plná zálha za prvzu Obnva i d jiné instance a serveru 11.70 Průběžné zálhvání lgických lgů Obnva i d jiné instance a serveru Filesystém AIX 6.1 Plná, inkrementální Obnva i d jinéh serveru, schpnst bnvit libvlný subr neb adresář Filesystém MS Windws Datastre vmware ESXi 2003 Plná, inkrementální Obnva i d jinéh serveru, schpnst bnvit libvlný subr neb adresář 5.1 Celý datastre, cluster, VMware hst, VMware Guest MS SQL 2005 Plná zálha za prvzu Transakční lgy MS SQL 2005 Průběžná zálha transakčních lgů Celý datastre, cluster, VMware hst, VMware Guest Filesystém Linux CentOS 5 Plná, inkrementální Obnva i d jinéh serveru, schpnst bnvit libvlný subr neb adresář Zálhy jsu dále rzděleny na: Zálhy prvzních dat (databáze, lgické a transakční lgy, filesystémy, vmware) které mají stanvenu expiraci jeden měsíc. Zálhy bezpečnstních lgů, které mají stanvenu expiraci jeden rk. - 2 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 3 Schéma sučasnéh řešení - 3 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 4 4. ISL ppis a schéma sučasnéh řešení Stručný ppis lkality C a E ISL je fyzicky umístěn ve dvu lkalitách C a E. Obě lkality jsu implementvány téměř ttžným způsbem, prt bude stačit ppis jen jedné z bu. V lkalitě E je navíc umístěn datvé ulžiště pr subsystém šklení a testvání ISL. Ppis prdukčníh datvéh ulžiště ISL: Jádr datvéh ulžiště ISL je tvřen třemi diskvými pli s tímt účelem pužití: Enterprise diskvé ple (rychlé disky) pr databázvé prstry (databáze a lgy), 2x klny těcht databázvých prstr, databázvý prstr pr asynchrnní repliku dat z prtější lkality, vybrané file systémy určitých prdukčních serverů. Velkkapacitní diskvé ple (pmalé disky) pr účely zálhvání (VTL virtual tape library) Malé diskvé ple (pmalé disky) file systém pr LDAP (hme adresáře uživatelů). Pr kmunikaci je pužit Fibre channel prtkl, kdy Enterprise a Velkkapacitní ple jak kncvá zařízení jsu prpjeny se servery pmcí dedikvané datvé sítě (SAN) pmcí ptických spjů přes Fabric Switche. Servery mají pr kmunikaci na NAS instalvány Hst Bus Adaptery (HBA). Přím připjeny d NAS jsu puze vybrané prdukční servery, a t všechny databázvé servery a backup servery. Ostatní servery (hlavně aplikační) mají připjeny určité filesystémy z diskvých plí zprstředkvaně přes NFS a běžnu LAN z těcht, přím na NAS napjených, serverů. Veškeré kmpnenty SAN (switche a ptické spje) jsu řešeny redundantně, tedy v našem případě je vše zdvjen. Djde-li k výpadku jednh ze switchů je zajištěna pr všechny zúčastněné druhá náhradní kmunikační trasa. Malé diskvé ple je připjen ptickým spjem přím k serverům služících jak Back End Firewally pmcí tplgie pint-tu-pint. D SAN je přes ptické spje také připjena zálhvací páskvá knihvna (48 pzic, technlgie LTO-4). Tat se nachází vždy na jiné budvě (2), než je zbytek technlgie (budva 1). Asynchrnní replikace je řešená ulžením kmpletních databázvých prstr prtější lkality na místní Enterprise diskvé ple a synchrnizace je dsažena pmcí přensu změnvých dat cestu převdu na převdníku FC na iscsi a díky následnému využití kryptvacíh prstředku, mhu být data přenášena přes interní cel-armádní datvu síť. Veškeré kmpnenty datvých ulžišť a servery jsu napjeny i d management LAN, kde je mžné uskutečňvat sběr prvzních infrmací s využitím vzdálenéh dhledu. Ppis šklícíh a testvacíh datvéh ulžiště ISL: Dle přilženéh schématu je viditelné, že šklící a testvací prstředí je svu kncepcí velice pdbné prdukčnímu prstředí. Je pužita ttžná filzfie tplgie datvéh ulžiště, jen je využit puze jedn malé diskvé ple (s pmalými disky) a připjeny jsu puze tři servery - 1 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 4 (šklící, testvací a backup server). Veškeré kmpnenty SAN a ptické spje jsu pět redundantní. Šklící a testvací prstředí je jen jedn-lkalitní, prt nejsu ptřebné replikace d druhé lkality. Schéma sučasnéh řešení - 2 -
PRŮMYSLOVÉ DNY - Datvá úlžiště a zálhvání PŘÍLOHA 4-3 -