CESNET, jeho e-infrastruktura a služby CESNET Day, TU Liberec, 20. 9. 2017 Tomáš Košňar, CESNET z. s. p. o. kosnar@cesnet.cz
Sdružení CESNET založeno 1996 - veřejné VŠ a AV ČR převzetí provozu sítě CESNET (od ČVUT) počátek budování pan-evropské sítě pro VVV nová síť ~ NREN 2000 prodej komerční sítě, orinetace na potřeby VVV několik generací sítí pro VVV (paralelně s vývojem v Evropě) 2011 systematická podpora infrastruktur pro VV cestovní mapa Velká Infrastruktura CESNET 2016 e-infrastruktura CESNET
Sdružení CESNET CESNET výzkumná organizace projekty od roku 2012 39 20 národních + 19 mezinárodních z 11 programů v rámci oboru členství v mnoha národních a mezinárodních uskupeních
e-infrastruktura CESNET komplexní IT prostředí pro oblast VV v ČR uživatelé e-infrastruktury 300+ organizací ~450 tisíc individuálních uživatelů veřejné (24), státní (2), soukromé VŠ nemocnice, polikliniky ústavy AV ČR (57), výzkumné organizace, velké infrastruktury knihovny, muzea, galerie základní, střední, vyšší odborné školy veřejná správa, samospráva
e-infrastruktura CESNET komplexní IT prostředí pro oblast VV v ČR přístup ke službám e-infrastruktury politika přístupu (Access Policy) 94% vědeckého výkonu ČR (RIV) souvisí s využitím e-infrastruktury CESNET mimo přístup do e-infrastruktury neomezená možnost spolupráce se všemi typy subjektů systematická koncepční řešení v infrastrukturní oblasti využití nástrojů, konceptů nebo služeb vyvinutých primárně pro potřeby infrastruktury spolupráce na úrovni state-of-the-art v konkrétních oblastech
e-infrastruktura CESNET symbolická architektura, základní komponenty
Společná komunikační infrastruktura Podpůrná Infrastruktura IP/MPLS páteřní infrastruktura adresové zdroje, údaje v RIPE, DNS, Mail-relay, AntiSpam Gateway; Monitoring infrastruktury a IP provozu, dohled 24x7 multi-protocol Label Switching, IP sítě platforma pro vytváření logických sítí nebo okruhů pomocí služeb optické přenosové infrastruktury vlnový multiplex WDM technologie, 2 systémy Cisco 15454, až 80 kanálů 1-100Gps jádro Open DWDM, 1-100Gps, připojování k páteři platforma pro vytváření nezávislých propojů bod-bod Optická přenosová infrastruktura Fyzická infrastruktura optická vlákna, duální připojení páteřních uzlů cca 6000 km (1800 jednovláknové)
Služby komunikační infrastruktury vyhrazené okruhy a sítě fotonické služby nezávislé optické propoje (speciální náročné aplikace) lambda služby optické propoje s OEO konverzí vyhrazené okruhy a sítě EoMPLS VPLS externí E2E služby Nx10 Gbps GÉANT, CBF (AT, SK, PL), GLIF VPLS
Služby komunikační infrastruktury připojení IP protokolem sdílená IP síť 100 Gb/s jádro; uzly Nx10 Gb/s, 40-100 Gb/s; přístupové rychlosti ~ Nx10, 40Gb/s IPv4, IPv6 dual stack, unicast, multicast duální fyzické připojení uzlů duální páteřní uzly externí propojení 230 Gb/s 100 Gb/s GÉANT 110 Gb/s IX, partneři NIX.CZ, AT (VIX), SK (SIX), PL, AMS-IX, Google 20 Gb/s Tier-1
Služby komunikační infrastruktury připojení IP protokolem sdílená IP síť, související parametry, bezpečnost symetrické připojení bez regulace (legitimního) provozu možnost redundantního připojení do dalšího uzlu dohled a monitoring funkcí a bezpečnosti sítě 24/7/365 správa a přidělování adresových zdrojů IPv4, IPv6, správa údajů v RIPE, asistence při zakládání LIR DNS (primární, sekundární, záložní, DNSSEC), Mail-relay (záložní), AntiSpam Gateway BCP38, RPF check + další mechanismy eliminace podvržených zdrojových adres na vstupu do páteře automatická obrana páteře proti UDP DDoS útokům na bázi amplifikace semi-automatická obrana proti dalším typickým DDoS útokům RTBH jako služba (BGP připojené sítě) souvislý monitoring stavu a využití celé páteře souvislý monitoring IP provozu (flow-based) na perimetru sítě a v celé páteři + detekce typických útoků (ZKB, 485) CESNET - zakládající člen projektu FENIX v rámci NIX.CZ
Náročné výpočty - MetaCentrum MetaCentrum zajišťuje a koordinuje provoz NGI (Národní Gridové Infrastruktury) národní součást EGI (Evropské GI) Sdružení výpočetních zdrojů pro řešení velmi náročných úloh, které jsou za hranicemi výpočetních možností samostatného pracoviště aktuálně ~ 13k jader, úložiště ~ jednotky PB Grid+Cloud+MapReduce výpočty konvenční i specifický HW aplikační SW koordinace pořizování a správy programového vybavení
Náročné výpočty - MetaCentrum uživatelská podpora integrace výpočetních kapacit do NGI konkrétních problémy, optimalizace algoritmů, provázení uživatelů na počátku stávající, plánované příprava specifického prostředí úprava stávajícího nebo nové platformy specifické velké skupiny uživatelů Galaxy, Chipster EGI, ELIXIR virtuální servery
Datová úložiště Geograficky distribuované ukládání dat v administrativní doméně komunity dlouhodobé ukládání primárně vědeckých dat (úroveň binárních dat) základní skupiny služeb zálohy archivace sdílení dat speciální aplikace přístup souborově orientovaný - NFSv4, FTP, rsync, SCP, specifické aplikace - Grid storage element, DCache FileSender, owncloud
Datová úložiště distibuovaná architektura HSM úložišť Plzeň, Jihlava, Brno 21+PB fyzické kapacity oddělená síťová infrastruktura pro propojení úložišť dedikovaná připojení do páteřní sítě objektová úložiště komunitní infrastruktura LTP dlouhodobé uchování dat
Podpora spolupráce uživatelů webkonference základní kvalita obrazu videokonference H.323/SIP, MCU (Limit Full HD) začlenění zařízení uživatelů do VC infrastruktury, ClearSea, rezervační portál meetings.cesnet.cz IP telefonie propojení IP-telefonních sítí v rámci einfrastruktury a s partnery streaming distribuční platforma pro multimediální vysílání do Internetu videoarchiv platforma pro uložení obsahu a jeho vystavení pomocí streamovacích serverů
Podpora spolupráce uživatelů speciální obrazové přenosy a vizualizace vysoké rozlišení, nízká latence, lékařské zákroky, vědecké vizualizace (SAGE, CAVE), vzdálená spolupráce pří zpracování obrazových dat HD+ (2K, 4K, 8K) apod. vlastní vyvíjené systémy (UltraGrid, MVTP) laboratoře ve spolupráci s universitami (SAGELab, Sitola)
Správa identit PKI & AAI eduid.cz - Česká akademická federace identit Jedno uživatelské jméno a heslo pro přístup k řadě síťových služeb (v multiinstitucionálním prostoru) - ověření uživatele v jeho domácí instituci poskytovatelé identit & poskytovatelé služeb poskytovatelé služeb z národní i mezinárodní komunity součást mezinárodní interfederace edugain certifikáty uživatelé, servery (TCS, vlastní CA) jednotný systém správy účtů v e-infrastruktuře některé služby odebírané na individuální bázi strukturování uživatelské komunity řízený přístup ke zdrojům
Správa identit PKI & AAI eduroam - služba z oblasti ověření uživatelů, z pohledu koncového uživatele síťová služba roaming uživatelů v hostitelské síti Síťovou infrastrukturu zajišťuje hostitelská síť; síťová infrastruktura je opřena o autentizační infrastrukturu (technicky RADIUS server hostitelské organizace zapojený do národní hierarchie); uživatel ověřen ve své domácí instituci
Bezpečnost řešení bezpečnostních incidentů bezpečnostní tým CESNET-CERTS https://csirt.cesnet.cz/ technická a organizační platforma pro řešení a asistenci při řešení bezpečnostních incidentů v e-infrastruktuře CESNET a administrativní doméně komunity CESNET-CERTS - 1. CSIRT tým v ČR, 1. akreditovaný v ČR, členové týmu vybudovali národní CSIRT ČR
Bezpečnost bezpečnostní (technologická) infrastruktura v páteřní síti - HW akcelerované sondy - plošný monitoring IP provozu na bázi toků (zdroje provozních informací) - Honey Pots - monitoring infrastruktury na bázi SNMP - IDS a IPS systémy apod.
Bezpečnost souvislý monitoring infrastruktury (síťové) provozu (IP, v485) - perimetr sítě (plný provoz), na bázi toků (celá páteř, sítě uživatelů), detekce anomálií (ZKB) záchytné a zádržné systémy systémy pro sdílení informací, SIEM IDS, IPS systémy Honeypoty sběr a normalizace informací o anomáliích a detekovaných událostech; přispívám odebírám (informace z více míst, agregace, korelace) Forenzní laboratoř penetrační testy, zátěžové testy, analýzy událostí https://flab.cesnet.cz/
Bezpečnost bezpečnostní školení na míru pro konkrétní typové skupiny (zaměstnanci, studenti) technické a legislativní aspekty prevence odpovědnost za svoje chování v síti Další služby monitorování kvalitativních charakteristik sítě Propustnost, zpoždění, jitter, ztrátovost apod. - pro uživatele náročných aplikací, správce sítí apod. časové služby synchronizace (NTP Stratum 1), časová razítka (Time-Stamp Authority) technické konzultace
Služby e-infrastruktury CESNET strategie komplexní IT prostředí, optimálně provázané komponenty, efektivní AAI & mapování uživatelé zdroje, transparentní (topologicky neutrální), zabezpečené na všech úrovních dialog, spolupráce s a provázení typových uživatelských skupin pochopit potřeby, přeložit do vlastního jazyka, promítnout do služeb e-infrastruktury neustálé hledání rovnováhy - customizace pro různé uživatelské skupiny / obecný kompromis udržitelná modularita celku průběžné hodnocení e-infrastruktury CESNET 2017 zahraniční oponenti mezinárodní panel nejvyšší možné ohodnocení pozitivní zpráva mj.: "CESNET can be considered a true national treasure."
Služby e-infrastruktury CESNET https://www.cesnet.cz/sluzby/ sluzby@cesnet.cz...díky za trpělivost a pozornost...