Введение
В связи с тем, что близится 2020 год и «час хэ», когда нужно будет отчитаться об исполнении приказа Минкомсвязи о переходе на отечественное ПО (в рамках импортозамещения), да не простое, а из реестра Минкомсвязи, мне прилетела задача о разработке плана, собственно, по исполнению приказа Министерства связи и массовых коммуникаций №334 от 29.06.2017. И начал я разбираться.
Первая статья была о том, как не надо было делать «Вертолетам России». И вызвала она столько хайпа, под ней было написано столько комментариев, что я, честно говоря, был немного в шоке…
Так что, как было обещано, пришла пора начать «цикл статей о том, как мы приказ исполняли и боролись с обстоятельствами». Уж не знаю, насколько длинным будет этот цикл, но есть желание описать весь процесс от начала до конца, но времени на это не хватает, ибо написание статей занимает гору времени, а семью кормить надо =)
Первая статья будет посвящена изучению существующих вариантов и их поверхностному анализу, чтобы составить схему изучения вариантов на практике. Ибо прежде чем собирать стенд для испытаний надо понимать, что на нем испытывать.
Итак, прошу под кат.
Глава 1. Как есть
По порядку:
Hyper-V, ESXI в качестве платформ виртуализации. Почему и то и другое? Потому что одно в головном Предприятии, другое в филиале. Так исторически сложилось (с)
Windows Server 2012 R2 \ 2016 и CentOS 7 в качестве серверных ОСей
Windows 7 в качестве клиентских ОС
1с на стадии внедрения на базе MSSQLServer Standard
ТЕКТОН на Firebird 1.5 (Даже не спрашивайте… Но вы же все равно спросите, да?.. Ну, это чей-то дЕпломный проект, который был куплен нашим Предприятием на рубеже 2005, кажется, по неизвестным мне причинам. И теперь мы безуспешно пытаемся перейти с него на 1с..)
ОАЗИС на том же MSSQLServer Standard в качестве ПО для отчетов в ПФР
Zabbix на MariaDB
Exchange и Zambra OSE. Зачем и то и то? Потому что у нас 2 контура сети. Один из которых никак не связан с внешним миром и вторым контуром… ну, ИБ считает, что так надо, и не разрешает нам настроить маршрутизацию и сделать все правильно, а кто мы такие, чтобы спорить с ИБ?.. Словом, так исторически сложилось (с) (2)
IFS на Oracle, ComoanyMedia на IBM Domino. Первый у нас для преддоговорной деятельности, второй — «рабочий» документооборот… Почему CompanyMedia на файловой БД в 2019м году? Не поверите, я им тот же вопрос задавал — они не придумали ответа. А почему такой монстр, как IFS нужен для преддоговорной деятельности? Да.
Microsoft Office. Тут надо пояснить. Помимо стандартного пользовательского набора, у нас с незапамятных времен (читай до моего прихода сюда) у нас тянется БД, написанная на Access. Что в ней и зачем — не имею ни малейшего понятия, но «она нам ну ооооочень нужна, мы без нее работать не сможем!», а на Excel у нас существует таааааааааакая штука… Разобраться, как это работает — невозможно, и как от этого уходить — тоже неизвестно. Там накручено огромное количество макросов, которые из тьмы файлов вытаскивают данные и что-то с ними делают. Как это работает, не знает даже автор сего творения. Переписывать это сродни редезайну БД… Словом, просто взять и уйти от MS Office мы не сможем.
Спутник в качестве интернет-браузера с недавнего времени
OpenFire + Pidgin в качестве чата
Консультант+ и ТехЭксперт
Veeam Backup & Replication и Veeam Agent for Windows в их бесплатной версии
Ну и куча виндовых серверных фишек, типа AD, DNS, DHCP, WDS, CS, RDP, Remote App, KMS, WSUS и далее по мелочи.
Все это поднималось почти с нуля, потом и кровью, страданиями и гуглением. И вот пришла пора все это уничтожить. Тут должен быть закадровый гомерический хохот, а на глазах главного героя, читай меня, должны наворачиваться слезы…
Но так ли все ужасно? Давайте смотреть варианты.
Глава 2. Как должно быть
Можно пойти по пути «Вертолетов России», то есть попытаться полностью отринуть
Для понимания дальнейших рассуждений приведу содержание ПО в ОС Astra Linux SE 1.6, из которого следует, что всю инфраструктуру, которая сейчас основана на продуктах Microsoft можно заменить на ПО в составе Astra. Можно — не значит нужно. Я еще не пробовал все это в тестовой среде с хотя бы парой десятков узлов, только развернул тестовый стенд, да и то посмотрел пока поверхностно. Но инструменты есть.
- Fly-wm
- PostgreSQL
- LibreOffice
- Apache2
- Firefox
- Exim4
- Dovecot
- Thunderbird
- GIMP
- alsa
- VLC
- CUPS
- Bind9
- Iscdhcpserver
- SAMBA
На сайте ОС в описании релиза есть сказ о том, что в составе присутствует Zabbix. Но если порыться в Wiki, то там есть статья о том, как установить Zabbix… из которой можно сделать вывод, что Apache, Postgre, php – все это устанавливается из репозитория. А мы выше говорили о том, что легитимно только то, что входит в состав пакета… И вот эта путаница выводит меня из себя!!!!11 Ну, в том смысле, что не ясно, что можно и нужно, а что нельзя и «не прокатит». По всему выходит, что пакеты из репозитория – тоже легитимны. Но так ли это? Кажется, что — да, но…
По итогу приходится полагать, что все, что есть в репозиториях ОС — можно назвать отечественным ПО. Отключаем логику и просто делаем так, как делают все. Ставим, используем и отчитываемся о импортозамещении. В конце концов все мы знаем, зачем все это было придумано..
Так же можно поднять всю инфраструктуру и на базе ROSA Linux Enterprise Server. Это я тоже еще не пробовал. (Все тесты и результаты будут опубликованы в следующей статье данного цикла, если все пойдет как планируется.)
- средства реализации домена IPA (аналога Microsoft Active Directory)
- Nginx и Apache
- MySQL и PostgreSQL
- Zimbra, Exim, Postfix и Dovecot
- pacemaker, corosync
- DRBD
- Bacula
- ejabberd
- CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
- Zabbix
- средство расширенного управления атрибутами ROSA Chattr
- средство шифрования информации ROSA Crypto Tool
- средство очистки памяти ROSA Memory Clean
- средство гарантированного удаления файлов ROSA Shred
А можно взять бесплатный Calculate Linux и строить всю инфраструктуру на его базе. Список пакетов Calculate Linux можно посмотреть тут.
Из вышеперечисленного следует, что поднять всю необходимую инфраструктуру, по-сути, с нуля — можно. Это потребует колоссальных затрат ресурсов, тонны нервов админов, килотонны кофе и уйму времени на отладку. Порог вхождения будет ну оооочень тяжело преодолимый. Но можно. Но сложно. Но работать будет. Но сложно. Но… Но…
Еще один вариант — оставить все как есть, и надеяться, что проверок не будет, и про нас просто забудут. Но нам же надо отчитываться в министерстве по переходу на отечественное ПО за каждый год. Так что тоже не вариант.
Поэтому предлагаю подойти со стороны здравого смысла.
Существует вот такая табличка:
Далее идут, по-сути, пространные рассуждения, так что кому не интересно, можете сразу переходить к результирующей табличке (Глава 2.1.). А тех, кто любит многабукафф — милости прошу.
Так вот. Нам надо привести показатели к установленным пределам. На деле это значит, что мы должны заменить существующие ОС на продукты из реестра Минкомсвязи и довести количество замененных операционных систем до 80%. Причем не делается различий между серверными и клиентскими ОСями. Это дает нам простор для маневра. Какой? Мы можем втупую поставить пользователям тонких клиентов на базе ОС из реестра, и загнать их всех в RDP. В нашем случае, когда количество сотрудников примерно 1500 человек, мы получаем 1200 «штук» (на самом деле больше, так как у нас не только пользовательские ОСи, но и серверные, но сейчас не о точных подсчетах статья), а 300 остается на те самые 20%, которые можно не менять. И что, нам не хватит 300 серверов под Windows чтобы нормально построить привычную архитектуру? Сюда же нужно отнести специфичное ПО, которое не умеет работать ни на чем, кроме Windows, причем часто еще и на Windows XP. Но 300 машин. Не хватит? Серьезно?
Тут надо еще заметить, что best practice в данном случае будет заблаговременное обучение сотрудников работе с новым ПО. Без этого есть огромный риск просто поставить на колени все производство, и парализовать работу всего Предприятия на неопределенный срок. Ибо если с ОС все не так страшно, пользователю зачастую от нее и не нужно ничего, кроме запуска Офисного приложения\браузера\1с, поиска нужного файла и запуска солитэра. А вот в Офисе\1с они работают постоянно (не берем пока в расчет инженеров-конструкторов — про САПР есть сноска в Главе 2.1. — производство и т.д.), вся отчетность проходит через фильтры Excel и т.д. Ну а для тех, кто по тем или иным причинам не может работать в бесплатном ПО — добро пожаловать на RDP.
Итак, мы спокойно можем оставить кластер на Hyper-V, раз уж он у нас есть и нам он нравится, это 12 узлов в нашем случае, от ESXI придется уходить. Плюс к нему нужен «железный» контроллер домена + виртуальный контроллер домена. Итого 14. Ну или оставить ESXi, уйдя от Hyper-V, кому как нравится, числа все равно будут те же. На Контроллерах домена у нас будет располагаться AD, DNS, DHCP, CS. При небольшом количестве виндовых машин WSUS можно пренебречь. KMS так же можно навернуть на контроллер домена. WDS больше не нужен. Из Windows сервисов остаются еще RDP-серверы. Ну так у нас осталось в запасе еще 286 неиспользованных потенциальных «штук» под Windows. RDP-ферма будет занимать еще 8-10 ОС Windows. Итого 276 единиц у нас осталось под специфичный софт для научных подразделений и САПР.
AlterOS и Halo OS в открытой продаже нет. А значит их я рассматривать не буду, ибо этот «не совсем бизнес» меня ну совсем не привлекает.
В лицензионном соглашении сказано:
1.4 Лицензионный договор не предоставляет исключительное право на Программный продукт, а только право использования в некоммерческих целях одной копии Программного продукта в соответствии с условиями, которые определены в разделе 2 Лицензионного договора.
2.4 Лицензиат имеет право некоммерческого использования Программного продукта на неограниченном количестве серверов и рабочих станций.
Таким образом, мы не можем использовать ее на Предприятии, хоть она и включена в реестр Минкомсвязи. Это грустно по той причине, что она бесплатна. Но у разработчиков что-то с сайтом, потому что я уже несколько недель не могу скачать дистрибутив, а на письма в поддержку я ответа не получил. Что? Почему? Не знаю.
Veeam BackUp and Replication. С ним ситуация странная. У него есть версия, сертифицированная ФСТЭК, но в реестре Минкомсвязи вообще никаких продуктов от Veeam. С другой стороны, в приказе министерства отсутствует графа «ПО для резервного копирования». Так что тут ситуация двоякая. В случае, если мы оставляет Windows-based сервисы, и тем более Hyper-V, Veeam очень сильно облегчает резервное копирование виртуалок, он очень удобен и неприхотлив, а Veeam agent for Windows позволяет бэкапить файловую помойку, у него очень простая настройка и удобный интерфейс, есть автоматическое определение дублирования данных и их отсечение и т.д. Словом, если мы оставляет гипервизор от Microsoft, можно попробовать написать бумажку о том, что аналогов у Veeam нет, и что он нам ну ооочень нужен. Попытка не пытка, но что из этого выйдет, я сказать не берусь.
Тут начинаются вопросы, так как вроде бы и есть у них версия под Linux. И вроде бы даже она и работает. Но на деле ее никто не использует. По этому придется нам еще одну виндовую машинку отрядить под сервер 1с. А то и две. Итого 274 осталось. СУБД — PostgreSQL, конечно же. Не смотря на то, что он не отечественный, но он есть в реестре Минкомсвзяи. 1с умеет с ней работать, а сама СУБД весьма неплоха. Не проста в настройке, но весьма и зело неплоха. К тому же легко встает на любой Linux-дистрибутив, а в составе той же Astra вообще поставляется в комплекте.
Не рассматриваю. Мало того, что они узкоприменимы, так на Предприятиях, подпадающих под программу импортозамещения, они если и используются, то только для коллажирования открыток к 23 февраля сотрудницами бухгалтерии. А «товары первой необходимости» присутствуют в составе ОС.
Естественно, отказываемся. Почему? Потому что нам нужно внедрить 1с Битрикс24! На самом деле отказываемся мы не по этому, а потому, что его нет в реестре, но в целом чат мы заменяем на портал, в котором есть сервис чата, так что… ну… эт самое… вы поняли. Вот. Ага. Да. Или же можно использовать ejabberd в качестве jabber-сервера в составе ROSA Linux. Там же есть клиент чата, если не ошибаюсь — Мирка. Это на случай, если у вас 1с Битрикса24 нет.
Представлен Thunderbird в комплекте почти всех ОС из реестра. Если не устраивает он — то придется покупать отдельно, в составе того же МойОфис, например, или «Р7-Офис. Органайзер». Если честно, то я больше не нашел в реестре минкомсвязи отдельных почтовых клиентов. Да меня и Thunderbird устроил. Если напишете в коментах — допишу сюда.
Надо тестировать. По идее, Криптопро умеет в Linux, на деле же лично я не проверял. В теории работать должно, но если что-то пойдет не так, то у нас есть вариант с RDP-сервером.
Глава 2.1. Сведение
В итоге у меня получилась вот такая табличка с вариантами, на основе которой и будут делаться выводы и строиться планы:
Что логично — если все же есть необходимость перейти с домена Windows на Astra или Rosa, или еще какой, то есть смысл и клиентские машины перевести на продукт того же производителя, так можно уменьшить количество ошибок при попытках «подружить» одно с другим.
По отношению PostgreSQL и PostgreSQL PRO надо понимать, что у них есть существенные отличия, в том числе и в быстродействии. PRO версия более продуктивна. Для «нормальной» работы той же 1с бесплатной версии скорее всего не хватит.
Astra Linux SpecialEdition и ROSA DX «НИКЕЛЬ» — это защищенные системы, сертифицированные для работы с гостайной, секреткой и т.д.
Что касается САПР: В комментариях к предыдущей статье эти вопросы звучали. У ROSA Linux в репозиториях есть следующие пакеты:
- Freecad
- KiCAD
- LibreCAD
- Opencascade
- QCAD
- QCAD3d
Естественно, все это свободное ПО. Но, так как в реестре Минкомсвязи CAD-пакетов не обозначено, то скорее всего этот тип программного обеспечения подпадет под категорию «незаменимый», и его можно будет закупить или использовать по уже имеющимся лицензиям, написав в министерство соответствующую бумагу.
То же самое и с другим узкоспециализированным софтом, коего на наших Предприятиях, к сожалению, немало. Придется писать бумаги и слёзно умолять не губить, и предоставить возможность продолжать работать. Скорее всего разрешение дадут.
P.S.:
Не буду оригинальным. Вся эта «возня» с импортозамещением выглядит крайне странно, если выбирать мягкие выражения. По-сути, у нас ПО производит только Яндекс, Acronis, Kaspersky, 10-Strike (с натяжкой), 1с, Аскон, Abby, Dr.Web. Ну и еще кучка небольших компаний. Но все это настолько узкие нишевые разработки (за исключением Яндекса, пожалуй), что можно говорить о том, что софта у нас почти не делают. А все, что нам предлагается в рамках программы импортозамещения — просто «проверенный» софт зарубежной разработки. То есть по-сути, нам предлагают за деньги (и немалые) то же ПО, которое мы могли бы скачать и использовать бесплатно. ROSA сделана на базе Mandriva, Astra — Debian GNU. Астре можно подключить репозиторий Debian и сделать upgrade. Интересная штука получается в итоге. Все пакеты для тех же DNS, DHCP, ALD, ROSA Domain, Dovecot и все остальное — это ни что иное, как пакеты открытого ПО, часть из которых немножко «подкрасили и отштукатурили», а остальные вообще не трогали, просто «проверили» на наличие закладок. О каком «отечественном софте» идет речь — неясно…
С другой стороны, Linux-админам будет привычно работать с уже знакомым ПО, что несколько снизит порог вхождения. Но как бы то ни было, всем подконтрольным отраслевым Предприятиям переходить на этот «отечественный» софт придется. Так что «до встречи в следующей статье», если меня за эту не посадят и не уволят =)
Комментариев нет:
Отправить комментарий