Architektura referencyjna środowiska IT CPD MF

Transkrypt

1 Dane dokumentu Nazwa Projektu: Kontrakt Konsolidacja i Centralizacja Systemów Celnych i Podatkowych Studium Projektowe Konsolidacji i Centralizacji Systemów Celnych i Podatkowych (SPKiCSCP) Numer wersji dokumentu: Umowa MF: C/123/09/DI/B/140 Data wersji dokumentu: Strona 1 z 156

2 SPIS TREŚCI: 1. Wstęp Cel dokumentu Odbiorcy dokumentu Dokumenty powiązane/referencyjne Symbole graficzne Wymagania projektowe Zakres i zasięg architektury Zakres architektury Zasięg architektury CPD MF Wstęp do architektury Model architektury w metodyce TOGAF Model funkcjonalny architektury Model warstwowy systemu Sieć LAN Budowa bloków architektonicznych Opisy bloków architektonicznych Opisy bloków architektonicznych typu IaaS Blok architektoniczny wirtualnych serwerów proxy Blok architektoniczny wirtualnych serwerów aplikacyjnych Blok architektoniczny wirtualnych serwerów baz danych Blok architektoniczny serwerów wirtualnych dla systemu operacyjnego Linux Blok architektoniczny serwerów wirtualnych dla systemu operacyjnego Windows Blok architektoniczny fizycznych serwerów kasetowych w technologii x Blok architektoniczny fizycznych serwerów stelaŝowych w technologii x Blok architektoniczny fizycznych serwerów baz danych Blok architektoniczny przestrzeni dyskowej w macierzy ekonomicznej Blok architektoniczny przestrzeni dyskowej w macierzy wysokowydajnej Blok architektoniczny bibliotek wirtualnych Blok architektoniczny bibliotek taśmowych Blok architektoniczny przełączników rdzeniowych LAN Blok architektoniczny przełączników dystrybucyjnych LAN Blok architektoniczny przełączników dostępowych LAN Blok architektoniczny routerów Blok architektoniczny zapór sieciowych Blok architektoniczny urządzeń równowaŝących ruch sieciowy Blok architektoniczny urządzeń IPS Blok architektoniczny przełączników rdzeniowych SAN Blok architektoniczny przełączników dostępowych SAN Blok architektoniczny urządzeń DWDM Metoda oznaczania bloków architektonicznych w ramach infrastruktury CPD MF Identyfikator systemu Systemy biznesowe Systemy infrastrukturalne Identyfikator środowiska Identyfikator grupy bloków ID Identyfikatory Identyfikator obiektu Strona 2 z 156

3 Tabele zestawień obiektów Słownik wartości atrybutów bloków Bloki architektoniczne typu PaaS z systemem operacyjnym Bloki architektoniczne typu IaaS Zasoby fizyczne i wirtualne w CPD MF Metoda reprezentacji architektury systemów Konwersja z modelu klasycznego do linearnego Podział architektury na strefy Strefa bramki do internetu Strefa sieci lokalnej LAN Strefa sieci WAN Strefa sieci SAN Architektura CPD MF Klasy systemów i klasy bezpieczeństwa systemów Klasy systemów Klasy bezpieczeństwa systemów Klasy systemów i klasy bezpieczeństwa Metoda budowy i rozszerzania Metody róŝnicowania obsługi systemów w zaleŝności od ich klasy Procedury DR Disaster Recovery Koncepcja odtworzenia systemu po awarii Architektura rozwiązania Disaster Recovery Wymagania dla infrastruktury ośrodków przetwarzania danych Wykazy Tabele Tabela 1 Wymagania dla architektury referencyjnej Tabela 2 Główne obszary architektury CPD MF Tabela 3 Podział zestawów VLAN-ów na grupy funkcjonalne Tabela 4 Zbiorczy wykaz bloków architektonicznych typu IaaS Tabela 5 Atrybuty bloku architektonicznego B.VSR.PX Tabela 6 Dopuszczalne kombinacje wartości atrybutów vcpu/pamięć RAM VM dla bloku B.VSR.PX Tabela 7 Wsparcie dla klas bezpieczeństwa bloku B.VSR.PX Tabela 8 Komponenty bloku architektonicznego B.VSR.PX Tabela 9 Indeks odnośników dla bloku B.VSR.PX Tabela 10 Atrybuty bloku architektonicznego B.VSR.AP Tabela 11 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.AP Tabela 12 Wsparcie dla klas bezpieczeństwa bloku B.VSR.AP Tabela 13 Komponenty bloku architektonicznego B.VSR.AP Tabela 14 Indeks odnośników dla bloku B.VSR.AP Tabela 15 Atrybuty bloku architektonicznego B.VSR.DB Tabela 16 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.DB Tabela 17 Wsparcie dla klas bezpieczeństwa bloku B.VSR.DB Tabela 18 Komponenty bloku architektonicznego B.VSR.DB Tabela 19 Indeks odnośników dla bloku B.VSR.DB Tabela 20 Atrybuty bloku architektonicznego B.VSR.LNX Tabela 21 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.LNX Strona 3 z 156

4 Tabela 22 Wsparcie dla klas bezpieczeństwa bloku B.VSR.LNX Tabela 23 Komponenty bloku architektonicznego B.VSR.LNX Tabela 24 Indeks odnośników dla bloku B.VSR.LNX Tabela 25 Atrybuty bloku architektonicznego B.VSR.WIN Tabela 26 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.WIN Tabela 27 Wsparcie dla klas bezpieczeństwa bloku B.VSR.WIN Tabela 28 Komponenty bloku architektonicznego B.VSR.WIN Tabela 29 Indeks odnośników dla bloku B.VSR.WIN Tabela 30 Atrybuty bloku architektonicznego B.PSR.B.X Tabela 31 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.B.X Tabela 32 Wsparcie dla klas bezpieczeństwa bloku B.PSR.B.X Tabela 33 Komponenty bloku architektonicznego B.PSR.B.X Tabela 34 Indeks odnośników dla bloku B.PSR.B.X Tabela 35 Atrybuty bloku architektonicznego B.PSR.R.X Tabela 36 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.R.X Tabela 37 Wsparcie dla klas bezpieczeństwa bloku B.PSR.R.X Tabela 38 Komponenty bloku architektonicznego B.PSR.R.X Tabela 39 Indeks odnośników dla bloku B.PSR.R.X Tabela 40 Atrybuty bloku architektonicznego B.PSR.DB Tabela 41 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.DB Tabela 42 Wsparcie dla klas bezpieczeństwa bloku B.PSR.DB Tabela 43 Komponenty bloku architektonicznego B.PSR.DB Tabela 44 Indeks odnośników dla bloku B.PSR.DB Tabela 45 Atrybuty bloku architektonicznego B.STO.ECO Tabela 46 Dopuszczalne wartości atrybutu Przestrzeń dyskowa bloku B.STO.ECO Tabela 47 Wsparcie dla klas bezpieczeństwa bloku B.STO.ECO Tabela 48 Komponenty bloku architektonicznego B.STO.ECO Tabela 49 Indeks odnośników dla bloku B.STO.ECO Tabela 50 Atrybuty bloku architektonicznego B.STO.HEF Tabela 51 Dopuszczalne wartości atrybutu Przestrzeń dyskowa bloku B.STO.HEF Tabela 52 Wsparcie dla klas bezpieczeństwa bloku B.STO.HEF Tabela 53 Komponenty bloku architektonicznego B.STO.HEF Tabela 54 Indeks odnośników dla bloku B.STO.HEF Tabela 55 Atrybuty bloku architektonicznego B.STO.VLB Tabela 56 Dopuszczalne wartości atrybutu Przestrzeń dyskowa dla bloku B.STO.VLB Tabela 57 Dopuszczalne wartości atrybutu Interfejsy FC dla bloku B.STO.VLB Tabela 58 Wsparcie dla klas bezpieczeństwa bloku B.STO.VLB Tabela 59 Komponenty bloku architektonicznego B.STO.VLB Tabela 60 Indeks odnośników dla bloku B.STO.VLB Tabela 61 Atrybuty bloku architektonicznego B.STO.TLB Tabela 62 Dopuszczalne wartości kombinacji atrybutów Ilość i rodzaj napędów taśmowych/ilość i rodzaj taśm dla bloku B.STO.TLB Tabela 63 Wsparcie dla klas bezpieczeństwa bloku B.STO.TLB Tabela 64 Komponenty bloku architektonicznego B.STO.TLB Tabela 65 Indeks odnośników dla bloku B.STO.TLB Tabela 66 Atrybuty bloku architektonicznego B.LAN.COR Tabela 67 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.COR Tabela 68 Wsparcie dla klas bezpieczeństwa bloku B.LAN.COR Tabela 69 Komponenty bloku architektonicznego B.LAN.COR Tabela 70 Indeks odnośników dla bloku B.LAN.COR Strona 4 z 156

5 Tabela 71 Atrybuty bloku architektonicznego B.LAN.DIS Tabela 72 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DIS Tabela 73 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DIS Tabela 74 Komponenty bloku architektonicznego B.LAN.DIS Tabela 75 Indeks odnośników dla bloku B.LAN.DIS Tabela 76 Atrybuty bloku architektonicznego B.LAN.ACC Tabela 77 Dopuszczalne wartości atrybutu Ilość interfejsów bloku B.LAN.ACC dla przełączników stelaŝowych Tabela 78 Dopuszczalne wartości atrybutu Ilość interfejsów bloku B.LAN.ACC dla przełączników kasetowych Tabela 79 Wsparcie dla klas bezpieczeństwa bloku B.LAN.ACC Tabela 80 Komponenty bloku architektonicznego B.LAN.ACC Tabela 81 Indeks odnośników dla bloku B.LAN.ACC Tabela 82 Atrybuty bloku B.LAN.GAT.RT Tabela 83 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.GAT.RT Tabela 84 Wsparcie dla klas bezpieczeństwa bloku B.LAN.GAT.RT Tabela 85 Komponenty bloku architektonicznego B.LAN.GAT.RT Tabela 86 Indeks odnośników dla bloku B.LAN.GAT.RT Tabela 87 Atrybuty bloku B.LAN.DIS.FW Tabela 88 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DIS.FW Tabela 89 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DIS.FW Tabela 90 Komponenty bloku architektonicznego B.LAN.DIS.FW Tabela 91 Indeks odnośników dla bloku B.LAN.DIS.FW Tabela 92 Atrybuty bloku B.LAN.LB Tabela 93 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.LB Tabela 94 Wsparcie dla klas bezpieczeństwa bloku B.LAN.LB Tabela 95 Komponenty bloku architektonicznego B.LAN.LB Tabela 96 Indeks odnośników dla bloku B.LAN.LB Tabela 97 Atrybuty bloku B.LAN.IPS Tabela 98 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.IPS Tabela 99 Wsparcie dla klas bezpieczeństwa bloku B.LAN.IPS Tabela 100 Komponenty bloku architektonicznego B.LAN.IPS Tabela 101 Indeks odnośników dla bloku B.LAN.IPS Tabela 102 Atrybuty bloku B.SAN.COR Tabela 103 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.SAN.COR Tabela 104 Wsparcie dla klas bezpieczeństwa bloku B.SAN.COR Tabela 105 Komponenty bloku architektonicznego B.SAN.COR Tabela 106 Indeks odnośników dla bloku B.SAN.COR Tabela 107 Atrybuty bloku B.SAN.COM Tabela 108 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.SAN.COM Tabela 109 Wsparcie dla klas bezpieczeństwa B.SAN.COM Tabela 110 Komponenty bloku architektonicznego B.SAN.COM Tabela 111 Indeks odnośników dla bloku B.SAN.COM Tabela 112 Atrybuty bloku B.LAN.DWDM Tabela 113 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DWDM Tabela 114 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DWDM Tabela 115 Komponenty bloku architektonicznego B.LAN.DWDM Tabela 116 Indeks odnośników dla bloku B.LAN.DWDM Tabela 117 Identyfikatory systemów biznesowych Tabela 118 Identyfikatory systemów infrastrukturalnych Strona 5 z 156

6 Tabela 119 Identyfikatory środowisk Tabela 120 Identyfikatory grupy bloków Tabela 121 Słownik wartości atrybutów bloków Tabela 123 Zestawienie obiektów bloków architektonicznych typu IaaS w środowisku produkcyjnym Tabela 124 Przykładowy wykaz bloków architektonicznych potrzebnych do realizacji DR Strona 6 z 156

7 Rysunki Rysunek 1 Symbole graficzne komponentów sieciowych Rysunek 2 Symbole graficzne komponentów IT Rysunek 3 Symbole bloków architektonicznych Rysunek 4 Zasięg budowanej architektury w CPD MF Rysunek 5 Zasięg architektury systemów infrastrukturalnych w CPD MF Rysunek 6 Zasięg architektury systemów biznesowych w CPD MF Rysunek 7 Cykl rozwojowy architektury w TOGAF Rysunek 8 Cykl rozwojowy architektury technologicznej w TOGAF Rysunek 9 Model funkcjonalny architektury HP CFRA prywatnej chmury obliczeniowej Rysunek 10 Model funkcjonalny architektury chmury obliczeniowej CPD MF Rysunek 11 Mapowanie systemów i procesów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF Rysunek 12 Model warstwowy systemów w CPD MF Rysunek 13 Model warstwowy systemów w OP CPD MF wraz systemami komunikacyjnymi Rysunek 14 Uproszczony model warstwowy systemów w OP CPD MF Rysunek 15 Podział zasobów w modelu warstwowym systemów w CPD MF Rysunek 16 Zdefiniowane funkcjonalne grupy VLAN-ów dla CPD MF Rysunek 17 Schemat procesu budowy bloków architektonicznych i usług IaaS i PaaS Rysunek 18 Schemat procesu budowy bloków architektonicznych i usług PaaS w odniesieniu do całego środowiska IT Rysunek 19 Diagram realizacji bloku B.VSR.PX Rysunek 20 Diagram realizacji bloku B.VSR.AP Rysunek 21 Diagram realizacji dla bloku B.VSR.DB Rysunek 22 Diagram realizacji dla bloku B.VSR.LNX Rysunek 23 Diagram realizacji bloku B.VSR.WIN Rysunek 24 Diagram realizacji dla bloku B.PSR.B.X Rysunek 25 Diagram realizacji dla bloku B.PSR.R.X Rysunek 26 Diagram realizacji dla bloku B.PSR.DB Rysunek 27 Diagram realizacji dla bloku B.STO.ECO Rysunek 28 Diagram realizacji dla bloku B.STO.HEF Rysunek 29 Diagram realizacji dla bloku B.STO.VLB Rysunek 30 Diagram realizacji dla bloku B.STO.TLB Rysunek 31 Diagram realizacji bloku B.LAN.COR Rysunek 32 Diagram realizacji bloku B.LAN.DIS Rysunek 33 Diagram realizacji bloku B.LAN.ACC Rysunek 34 Diagram realizacji bloku B.LAN.GAT.RT Rysunek 35 Diagram realizacji bloku B.LAN.DIS.FW Rysunek 36 Diagram realizacji bloku B.LAN.LB Rysunek 37 Diagram realizacji bloku B.LAN.IPS Rysunek 38 Diagram realizacji bloku B.SAN.COR Rysunek 39 Diagram realizacji bloku B.SAN.COM Rysunek 40 Sposób prezentacji serwerów systemu w układzie linearnym Rysunek 41 Sposób prezentacji serwerów i zasobów danych systemu w układzie linearnym Rysunek 42 Diagram podziału środowiska IT na strefy komunikacyjne Rysunek 43 Diagram przykładowego przyporządkowania grup urządzeń i obiektów IT do stref Rysunek 44 Strefa sieci bramki do internetu Rysunek 45 Strefa sieci lokalnej LAN Rysunek 46 Strefa sieci WAN Strona 7 z 156

8 Rysunek 47 Strefa sieci SAN Rysunek 48 Przykładowa architektura systemu z sieciami LAN Rysunek 49 Architektura systemu składająca się z bloków architektonicznych w sieci LAN Rysunek 50 Przykładowa architektura systemu w sieci SAN i z zasobami danych Rysunek 51 Architektura systemu składająca się z bloków architektonicznych w sieci SAN i z zasobami danych Rysunek 52 Schemat procesu klasyfikacji systemów biznesowych i infrastrukturalnych Rysunek 53 Mechanizmy wspierające zabezpieczenie klas systemów biznesowych i infrastrukturalnych Rysunek 54 Mechanizmy wspierające określanie klasy bezpieczeństwa systemów biznesowych i infrastrukturalnych Rysunek 55 Schemat określający klasy systemów i klasy ich bezpieczeństwa Rysunek 56 Fazy rozbudowy środowiska CPD MF Rysunek 57 Metody rozbudowy systemów infrastrukturalnych w CPD MF Rysunek 58 Schemat przenoszenia aktywności systemów w przypadku awarii OP Radom Rysunek 59 Przykładowy schemat architektury rozwiązania DR dla warstwy aplikacyjnej Rysunek 60 Przykładowy schemat architektury rozwiązania DR dla warstwy bazodanowej i zasobów danych Rysunek 61 Przykładowy schemat architektury rozwiązania DR dla warstwy bazodanowej i zasobów danych Rysunek 62 Przykładowy schemat architektury rozwiązania DR dla warstwy aplikacyjnej, bazodanowej i zasobów danych Rysunek 63 Przykładowy schemat architektury rozwiązania DR dla zasobów danych Strona 8 z 156

9 ZastrzeŜenie poufności Rozdział usunięty intencjonalnie. Strona 9 z 156

10 1. Wstęp 1.1 Cel dokumentu Niniejszy dokument opisuje architekturę referencyjną. Dokument przedstawia architekturę w docelowym środowisku informatycznym CPD MF. Zastosowano tu w szerokim zakresie standaryzację komponentów składowych architektury poprzez definicją bloków architektonicznych oraz ujednolicone podejście do graficznego przedstawiania wszystkich systemów, zarówno infrastrukturalnych jak i biznesowych. 1.2 Odbiorcy dokumentu Niniejszy dokument jest przeznaczony dla osób biorących udział w realizacji zadań związanych z dostarczeniem projektu po stronie Zamawiającego. Jest podstawą do realizacji zamówień produktowych oraz wdroŝenia tego systemu w środowisku informatycznym CPD MF. 1.3 Dokumenty powiązane/referencyjne Rozdział usunięty intencjonalnie. Strona 10 z 156

11 1.4 Symbole graficzne Rysunek 1 Symbole graficzne komponentów sieciowych Strona 11 z 156

12 Rysunek 2 Symbole graficzne komponentów IT Strona 12 z 156

13 Rysunek 3 Symbole bloków architektonicznych Strona 13 z 156

14 2. Wymagania projektowe Architektura docelowa IT CPD MF musi być przystosowana do migracji istniejących systemów biznesowych w resorcie finansów oraz tworzyć środowisko dla przyszłych systemów informatycznych, które są projektowane w ramach innych projektów lub programów. W szczególności architektura CPD MF winna spełniać wymagania systemów budowanych w ramach programów e-podatki i e-cło. Lp Kategoria wymagania Nazwa wymagania Opis wymagania Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Architektura biznesowa Architektura systemów informatycznych Architektura technologiczna Model Typ modelu Warstwy modelu Elementy modelu architektury Replikacja danych Obszar danych 10. Funkcjonalne Tryb działania modelu Architektura biznesowa będzie wpływać na architekturę systemów informatycznych. Architektura biznesowa MF nie jest przedmiotem analizy i rozwoju w projekcie KiCSCP. Architektura systemów informatycznych będzie wpływać na architekturę technologiczną. Architektura systemów informatycznych MF nie jest przedmiotem analizy i rozwoju w projekcie KiCSCP. Architektura technologiczna będzie wpływać na rozwiązania infrastruktury. Architektura technologiczna (architektura infrastruktury) jest przedmiotem analizy, budowy i rozwoju w projekcie KiCSCP. Architektura infrastruktury będzie oparta na modelu referencyjnym realizującym wymagania chmury obliczeniowej. Model referencyjny będzie miał cechy prywatnej chmury obliczeniowej i będzie ukształtowany do świadczenia usług dla jednej bądź wielu organizacji o tym samym lub podobnym charakterze działalności biznesowej. Model referencyjny będzie składał się z warstwy oferowanych usług, warstwy dostarczania usług i warstwy zasobów. W warstwie zasobów będą projektowane i konstruowane usługi, a w pozostałych warstwach będą działać narzędzia i mechanizmy dostarczania i udostępniania tych usług. W skład modelu architektury infrastruktury będą wchodzić niezbędne elementy realizujące cele KiCSCP. Replikacja danych moŝe odbywać się zarówno w trybie synchronicznym jak i asynchronicznym Wielkość obszarów systemów docelowych jest zgodna z wielkością replikowanych obszarów źródłowych Infrastruktura będzie udostępniana na Ŝądanie. Strona 14 z 156

15 Lp Kategoria wymagania Nazwa wymagania Opis wymagania 11. Usługi w modelu W ramach modelu będą udostępniane usługi IaaS i Funkcjonalne PaaS. 12. Budowa infrastruktury Infrastruktura będzie zbudowana z bloków architektonicznych. Bloki architektoniczne będą głównie definiowane w 4 warstwach systemów, Funkcjonalne czyli w warstwie proxy, aplikacyjnej, bazodanowej i zasobów danych. W zaleŝności od potrzeb bloki będą równieŝ obejmowały systemy komunikacji Funkcjonalne Utrzymaniowe Optymalizacja infrastruktury Zarządzanie architekturą referencyjną Tabela 1 Wymagania dla architektury referencyjnej LAN,WAN, SAN/Storage i DWDM. Liczba bloków architektonicznych przeznaczona do budowy systemów biznesowych będzie optymalizowana w odniesieniu do wymagań obecnych systemów oraz aktualnych technologii. Konstrukcja bloków architektonicznych będzie uwzględniać wymagania systemów budowanych w ramach innych programów poza KiCSCP. będzie utrzymywana zgodnie z zasadami opracowanymi w ramach produktu "Procesy i procedury zarządzania architekturą docelowego " wytworzonego w ramach Zadania Zakres i zasięg architektury 3.1 Zakres architektury Zakres architektury odnosi się do wszystkich systemów projektowanych w ramach CPD MF. W zaprojektowanej architekturze CPD MF będą działały systemy infrastrukturalne oraz systemy biznesowe. W ramach systemów infrastrukturalnych zostaną zbudowane rozwiązania w zakresie: komunikacji LAN komunikacji WAN komunikacji SAN komunikacji DWDM replikacji i zabezpieczenia danych zarządzania awarią i rozwiązań Disaster Recovery usług katalogowych kopii zapasowych danych archiwizowania danych deduplikacji danych wydruku zabezpieczenia antywirusowego dystrybucji oprogramowania infrastruktury klucza publicznego usług terminalowych Strona 15 z 156

16 kryptograficznej ochrony informacji rejestrowania i monitorowania zdarzeń zarządzania toŝsamością cyfrową zarządzania infrastrukturą monitorowania i zarządzania usługami wsparcia usług budowy bazy konfiguracji obiektów IT Dla systemów biznesowych zostanie stworzone środowisko do uruchamiania i eksploatacji systemów migrowanych i systemów nowych, które są wytwarzane w dedykowanych programach dotyczących podatków i ceł. Środowisko systemów infrastrukturalnych i biznesowych będzie definiowane poprzez bloki architektoniczne, które będą głównymi składnikami uruchamianych systemów w CPD MF. Ze względu na rozległość w poniŝszej tabeli zostały zdefiniowane główne obszary rozwiązań architektonicznych, które będą charakteryzować sposób budowy i funkcjonowania tej struktury. Lp Nazwa obszaru Opis obszaru 1. Warstwy systemów W ramach budowanej architektury środowisk IT w CPD MF będą wyróŝniane 4 warstwy w modelu warstwowym systemów: proxy aplikacyjna bazodanowa zasobów danych KaŜda z warstw systemów będzie miała zdefiniowane bloki architektoniczne, które będą uŝywane do budowy dowolnych systemów w CPD MF, w szczególności do budowy systemów biznesowych i infrastrukturalnych. 2. Bloki architektoniczne Bloki architektoniczne do budowy systemów będą składały się z następujących komponentów: platformy sprzętowej środowiska wirtualizacyjnego systemu operacyjnego platformy aplikacyjnej W ramach budowy systemów biznesowych i infrastrukturalnych będzie moŝna uŝywać dwóch rodzajów bloków: typu IaaS typu PaaS Bloki architektoniczne typu IaaS będą zawierały platformę sprzętową, jako bloki fizyczne, i platformę wirtualizacyjną jako bloki wirtualne. Bloki typu PaaS, oprócz platformy sprzętowej, platformy wirtualizacyjnej, będą zawierały system operacyjny lub system operacyjny i platformę aplikacyjną, czyli środowisko do uruchamiania aplikacji. Bloki typu IaaS będą podstawą do tworzenia usług typu IaaS, a bloki typu PaaS będą uŝywane do usług PaaS. Strona 16 z 156

17 Lp Nazwa obszaru Opis obszaru Oprócz bloków architektonicznych do budowy systemów informatycznych będą zdefiniowane bloki architektoniczne do tworzenia infrastruktury komunikacyjnej w zakresie LAN, WAN, SAN i DWDM. Zasada tworzenia bloków architektonicznych jest oparta na metodyce TOGAF. W tej metodyce jest równieŝ zawarta przesłanka o konieczności ciągłego weryfikowania uŝyteczności zdefiniowanych bloków architektonicznych w stosunku do aktualnych potrzeb przedsiębiorstwa oraz dostępnych technologii informatycznych. Zatem w metodę tworzenia i stosowania bloków architektonicznych jest równieŝ wpisana zmienność tych konstrukcji. Bloki architektoniczne w rezultacie ułatwiają szybką budowę oraz standardową obsługę środowisk systemów IT. 3. Klasy systemów KaŜdy system infrastrukturalny i biznesowy będzie podlegał klasyfikacji zgodnie ze Standardem określenia klasy systemu informatycznego w resorcie finansów ZAD08_002. Głównymi parametrami określającymi klasę systemu są : RTO szybkość przywrócenia systemu do ponownego działania po wystąpieniu awarii RPO - aktualność danych po wystąpieniu awarii dostępność całkowity dopuszczalny czas niedostępności systemu w ciągu całego roku Według tego standardu systemy mogą naleŝeć do jednej z następujących klas: Klasa I Klasa II Klasa III Klasa IV Klasa I systemu jest najwyŝszą klasą pod względem RTO, RPO i parametru dostępności. Taka klasyfikacja systemów narzuca na systemy infrastrukturalne wymagania, które powinny być spełnione poprzez odpowiednie rozwiązania konstrukcyjne i technologie informatyczne. 4. Klasy bezpieczeństwa systemów KaŜdy system infrastrukturalny i biznesowy będzie podlegał klasyfikacji zgodnie ze Standardem określenia klasy bezpieczeństwa systemu informatycznego w resorcie finansów ZAD07_003. Głównymi cechami określającymi klasę bezpieczeństwa systemu są : mechanizmy ochrony kryptograficznej mechanizmy uwierzytelniania i autoryzacji uŝytkowników stopień odseparowania zasobów systemu od innych zasobów mechanizmy rejestrowania, monitorowania i audytu zdarzeń mechanizmy ochrony przed oprogramowaniem złośliwym czy jest dostępny zdalnie czy ma zabezpieczony styk systemu z innymi sieciami Według tego standardu systemy mogą naleŝeć do jednej z następujących klas: Klasa B3 Strona 17 z 156

18 Lp Nazwa obszaru Opis obszaru 5. Relacje między warstwami systemów 6. Komunikacja między systemami 7. Komunikacja między ośrodkami OP w CPD MF Klasa B2 Klasa B1 Klasa BX Klasa B1 systemu jest najwyŝszą klasą bezpieczeństwa systemu pod względem wymienionych cech. Natomiast klasa BX jest klasą bezpieczeństwa dla systemów całkowicie odseparowanych od środowiska IT. Do klasy BX naleŝą systemy, które nie współdzielą Ŝadnej infrastruktury z innymi systemami. Zasilanie tych systemów w dane następuje za pomocą nośników przenaszalnych np. taśm magnetycznych, dysków magnetycznych, płyt CD-ROM i DVD lub innych mediów. Dane z tych systemów są dostępne dla innych systemów równieŝ drogą nośników przenaszalnych. Klasyfikacja systemów pod względem bezpieczeństwa narzuca na systemy infrastrukturalne i systemy biznesowe wymagania, które powinny być spełnione poprzez odpowiednie zabezpieczenia na poziomie infrastruktury oraz platformy aplikacyjnej. W ramach modelu warstwowego komunikacja między warstwami proxy, aplikacyjną i bazodanową będzie realizowana poprzez struktury LAN w ten sposób, Ŝe pomiędzy poszczególnymi warstwami będą definiowane odpowiednie podsieci VLAN. Te podsieci jednocześnie będą izolowały ruch komunikacyjny obiektów systemów działających w danej warstwie. Zdefiniowane i uruchomione podsieci VLAN będą wykorzystywane przez wiele systemów. Ruch sieciowy między warstwami systemów będzie izolowany. W przypadkach koniecznych będzie moŝliwa realizacja połączeń między podsieciami VLAN poprzez firewalle lub routery. W docelowym środowisku IT CPD MF będzie uruchomiona komunikacja między róŝnymi systemami w celu wymiany komunikatów lub danych. Rozwiązania związane z tego typu przepływami danych między systemami będą podlegały odpowiedniej konfiguracji i kontroli przez system komunikacyjny LAN i WAN. W ramach tych zadań będą zaprojektowane odpowiednie połączenia wydajnościowe i, w zaleŝności od wymagań, połączenia redundantne. W skład CPD MF wchodzą następujące Ośrodki Przetwarzania: OP Radom OP Warszawa OP Łódź KaŜdy z tych ośrodków będzie posiadał połączenie do sieci intranetowej przez sieć operatorską MPLS. Oprócz tego połączenia będzie zbudowana dedykowana komunikacja DWDM między: OP Radom i OP Warszawa OP Radom i OP Łódź Dla tych dwóch relacji między ośrodkami OP w sieci DWDM zostaną zrealizowane połączenia o duŝym paśmie przepustowości: 2x40Gbps dla sieci LAN 2x32Gb dla sieci SAN Skalowalność rozwiązania DWDM moŝe wynieść do 400Gbps w sieci LAN i 320Gb dla sieci SAN. Odpowiedni dobór przepustowości sieci Strona 18 z 156

19 Lp Nazwa obszaru Opis obszaru 8. Komunikacja z uŝytkownikami sieci intranet 9. Komunikacja między CPD MF i urzędami administracji publicznej oraz innymi uŝytkownikami instytucjonalnymi 10. Komunikacja z uŝytkownikami sieci internet Tabela 2 Główne obszary architektury CPD MF 3.2 Zasięg architektury LAN i SAN w systemie DWDM będzie zaleŝał od tempa rozwoju całego środowiska CPD MF pod kątem liczby i wymagań systemów tam instalowanych. Komunikacja uŝytkowników resortu finansów z ośrodkami CPD MF będzie odbywać się poprzez sieć operatorską MPLS. W tym celu w OP Radom, OP Warszawa i OP Łódź zostaną zainstalowane routery w układach redundantnych i odpowiednio skalowalnej przepustowości. Połączenia uŝytkowników z sieci intranetowej będą globalnie balansowane między ośrodkami OP. Komunikacja między uŝytkownikami instytucjonalnymi a ośrodkami CPD MF będzie odbywać się poprzez dedykowane struktury komunikacyjne w ramach rozwiązań bramki do sieci zewnętrznych. To wyjście komunikacyjne będzie wyposaŝone w dedykowane routery, firewalle, IPS i UTM. W ramach tej struktury będą dostępne sieci DMZ, które będzie moŝna wykorzystywać do instalacji dedykowanych urządzeń lub serwerów wymaganych w połączeniach z konkretnymi uŝytkownikami. Struktury te będą dostępne w kaŝdym ośrodku, czyli w OP Radom, OP Warszawa i OP Łódź. Komunikacja z uŝytkownikami sieci internet będzie odbywać się poprzez bramkę do internetu. Bramka do internetu będzie wyposaŝona w dedykowane routery, firewalle i systemy IPS oraz UTM. W ramach tej struktury będzie dostępnych wiele sieci DMZ, które będzie moŝna wykorzystywać do instalacji serwerów proxy wymaganych w obsłudze uŝytkowników zewnętrznych systemów biznesowych. Bramka będzie równieŝ słuŝyła do dostępu do środowisk IT dla uŝytkowników będących pracownikami resortu finansów. W tym celu zostanie uruchomiona obsługa kanałów VPN, przez które, po przejściu procesu autoryzacji i uwierzytelnienia, uŝytkownicy będą mogli korzystać z wewnętrznych zasobów CPD MF. Bramka internetowa będzie zawierała serwery DNS i komponenty systemu poczty elektronicznej. W ramach konfiguracji urządzeń w bramce będzie moŝliwe profilowanie ruchu do i z CPD MF, w szczególności filtrowanie ruchu zgodnie z przyjętą polityką i zasadami uŝytkowania tego medium w resorcie finansów. Opisane struktury dostępu z Internetu i do Internetu będą dostępne we wszystkich ośrodkach przetwarzania CPD MF - w OP Radom, OP Warszawa i OP Łódź. Architektura docelowa CPD MF obejmować będzie zasięgiem trzy ośrodki: OP Radom, OP Warszawa oraz OP Łódź. W kaŝdym z ośrodków będzie dostępna jednakowa architektura IT. Z punktu widzenia administracji i uŝytkowania, 3 ośrodki będą stanowiły jedną logiczną całość. Szybkie połączenia LAN i SAN w relacjach OP Radom OP Warszawa oraz OP Radom OP Łódź zostaną zbudowane na bazie rozwiązań komunikacyjnych DWDM. PoniŜej przedstawiono ilustrację graficzną zasięgu architektury w projektowanym środowisku CPD MF. Strona 19 z 156

20 Rysunek 4 Zasięg budowanej architektury w CPD MF Komponenty systemów infrastrukturalnych będą instalowane głównie w OP Radom, OP Warszawa i OP Łódź. Niektóre z tych systemów będą jednak integrowane z systemami działającymi w resorcie finansów, bądź ich infrastruktura zostanie rozszerzona do innych lokalizacji poza wymienione 3 Ośrodki Przetwarzania. Takie rozszerzenie rozwiązań wynika ze względów technicznych lub ograniczeń w szybkości migracji do architektury centralnej istniejących systemów. Strona 20 z 156

21 Rysunek 5 Zasięg architektury systemów infrastrukturalnych w CPD MF PoniŜej został zilustrowany zasięg systemów biznesowych w nowej architekturze CPD MF. Systemy biznesowe, bądź ich wybrane komponenty, mogą być instalowane w dowolnym OP. Migrowane systemy biznesowe będą podlegały centralizacji w granicach 3 zdefiniowanych ośrodków CPD MF. Rysunek 6 Zasięg architektury systemów biznesowych w CPD MF 4. CPD MF 4.1 Wstęp do architektury Architektura systemów IT moŝe być opisywana w róŝnych perspektywach. W wielu metodykach opis architektury głównie dotyczy: perspektywy biznesowej perspektywy funkcjonalnej lub systemów informatycznych perspektywy technologicznej perspektywy implementacyjnej. W niektórych opisach architektur, np. w metodyce TOGAF, występują tylko 3 pierwsze perspektywy. Wszystkie wymienione perspektywy są związane ze sobą odpowiednimi relacjami racjonalnych przesłanek i reguł, które tworzą konstrukcyjnie logiczną całość. W kaŝdej metodyce kluczową rolę odgrywa perspektywa biznesowa. W odniesieniu do niej tworzone są odpowiednie relacje, zawierające postulaty, wnioski i przesłanki, aby przejść do następnych perspektyw. Ze szczegółowych opisów perspektyw architektur są tworzone modele architektoniczne, które zwykle stają się podstawą budowy środowisk IT z dobrze zdefiniowanymi technologiami informatycznymi oraz określonymi ograniczeniami ich zakresu stosowalności. Strona 21 z 156

22 4.1.1 Model architektury w metodyce TOGAF W metodyce TOGAF jest opisywany cały cykl tworzenia i zarządzania architekturą od załoŝeń i zasad biznesowych, poprzez róŝne perspektywy, migracje i wdroŝenia, aŝ po zarządzanie zmianą w wytworzonej architekturze. WaŜnym punktem w tym cyklu jest architektura technologiczna, która narzuca wytwarzanie odpowiednich modeli, które funkcjonują jako techniczna forma architektur biznesowych, funkcjonalnych i technologicznych. Na rysunku poniŝej został pokazany schemat cyklu rozwojowego architektury przedsiębiorstwa w metodyce TOGAF oraz miejsce w tym cyklu, gdzie tworzone są modele architektoniczne z perspektywy technologicznej. Strona 22 z 156

23 Rysunek 7 Cykl rozwojowy architektury w TOGAF Po rozwaŝeniu wszystkich koniecznych uwarunkowań w cyklu rozwojowym architektury technologicznej dokonuje się wyboru modelu architektonicznego, który będzie obowiązywał do momentu weryfikacji w następnym cyklu rozwojowym. Strona 23 z 156

24 Rysunek 8 Cykl rozwojowy architektury technologicznej w TOGAF 4.2 Model funkcjonalny architektury Z metodyki TOGAF, oraz z cyklu rozwojowego architektury technologicznej, wynika konieczność przeanalizowania i wybrania odpowiedniego modelu architektury technologicznej dla realizacji architektury biznesowej i architektury systemów informatycznych przedsiębiorstwa. PoniewaŜ zdefiniowane cele biznesowe oraz załoŝony tryb działania przyszłego CPD MF wskazuje na charakter usługowy tego środowiska, do realizacji tego przedsięwzięcia został wybrany HP Cloud Functional Reference Architecture Model (HP CFRA Model). Model ten swoją konstrukcją odpowiada załoŝeniom i wymaganiom MF do pełnienia roli konsolidacji i centralizacji systemów resortu finansów oraz budowania usług w modelu prywatnej chmury obliczeniowej. Model został przedstawiony na rysunku poniŝej. Zasoby Dostarczanie Popyt Nadzór nad usługami Zarządzanie usługami Rysunek 9 Model funkcjonalny architektury HP CFRA prywatnej chmury obliczeniowej PoniewaŜ CPD MF będzie świadczyło tylko usługi IaaS i PaaS, na poniŝszym rysunku zostały usunięte usługi SaaS, które w tej fazie budowy Ośrodków Przetwarzania nie będą oferowane. Strona 24 z 156

25 Zasoby Dostarczanie Popyt Nadzór nad usługami Zarządzanie usługami Rysunek 10 Model funkcjonalny architektury chmury obliczeniowej CPD MF W modelu funkcjonalnym architektury chmury obliczeniowej HP CFRA są wyróŝnione 3 warstwy: warstwa zasobów warstwa dostarczania Warstwa popytu W warstwie popytu znajduje się podwarstwa katalogu usług i portalu. WyróŜnienie tej podwarstwy w modelu ma zasadnicze znaczenie dla usługowego charakteru środowiska chmury obliczeniowej. W tej podwarstwie powinny znajdować się wszystkie interfejsy oferowania, udostępniania i rozliczania usług obliczeniowych w formie portalu z klientami. W kaŝdej warstwie modelu występują sekcje funkcjonalne. Niektóre sekcje, obejmujące kompleksowe procesy lub złoŝone systemy, występują w dwóch warstwach. Zatem sekcje naleŝy przypisywać do warstw według następującego schematu: 1. Warstwa zasobów zasoby przydzielanie i konfiguracja zasobów zarządzanie zasobami zarządzanie usługami nadzór nad usługami 2. Warstwa dostarczania Strona 25 z 156

26 konfiguracja i aktywacja usługi zapewnienie dostarczania naliczanie opłat rozliczanie przychodu zarządzanie zamówieniami zarządzanie uŝytkownikami zarządzanie usługami nadzór nad usługami 3. Warstwa popytu z podwarstwą katalogu usług i portalu katalog usług stan usługi service desk wykorzystanie usługi dostęp do usług zarządzanie wnioskami interakcje bilingowe zarządzanie portfelem usług Warstwy modelu są wspierane przez róŝne zasoby, systemy lub procesy IT. Ze względu na usługowy charakter środowiska chmury obliczeniowej, niektóre systemy lub procesy wspierające model funkcjonalny mogą występować w wielu warstwach. PoniŜej zostały przyporządkowane systemy i procesy do odpowiednich warstw modelu funkcjonalnego HP CFRA w odniesieniu do rozwiązań dostrczanych w procesie KiCSCP. Niektóre elementy warstw są wspierane przez systemy lub procesy spoza zakresu procesie KiCSCP. 1. Warstwa zasobów zasoby o Mechanizmy replikacji i zabezpieczenia danych w CPD MF o Mechanizmy zarządzania awarią łącznie z rozwiązaniami DR w CPD MF o System wydruku w CPD MF o Systemy realizujące funkcje biznesowe w CPD MF o Bramka internetowa w CPD MF o System komunikacji LAN/WAN w CPD MF o Projekt systemu kryptograficznej ochrony informacji o System antywirusowy w CPD MF o System komunikacji SAN w CPD MF o Projekt systemu usług terminalowych o Architektura zabezpieczeń sieci o System komunikacji CWDM/DWDM w CPD MF przydzielanie i konfiguracja zasobów o System dystrybucji oprogramowania w CPD MF o Wirtualizacja zasobów w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF zarządzanie zasobami o Projekt systemu zarządzania infrastrukturą sieciową w CPD MF o Projekt systemu zarządzania infrastrukturą serwerową i aplikacyjną w CPD MF Strona 26 z 156

27 zarządzanie usługami o Projekt w zakresie rozwiązania wspierającego budowę i utrzymanie bazy CMDB wraz z automatycznym wykrywaniem i zbieraniem informacji o elementach konfiguracji infrastruktury IT oraz ich weryfikacji z aktualnym stanem w bazie CMDB o Model bazy CMDB dla środowiska IT w CPD MF nadzór nad usługami o Role i funkcje w modelu organizacyjnym 2. Warstwa dostarczania konfiguracja i aktywacja usługi o System dystrybucji oprogramowania w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF zapewnienie dostarczania o Zarządzanie pojemnością o Zarządzanie ciągłością o Projekt systemu monitorowania usług w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF naliczanie opłat o Zarządzanie finansami rozliczanie przychodu o Zarządzanie finansami zarządzanie zamówieniami o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 zarządzanie uŝytkownikami o Usługi katalogowe o Projekt systemu zarządzania toŝsamością cyfrową zarządzanie usługami o Projekt w zakresie rozwiązania wspierającego budowę i utrzymanie bazy CMDB wraz z automatycznym wykrywaniem i zbieraniem informacji o elementach konfiguracji infrastruktury IT oraz ich weryfikacji z aktualnym stanem w bazie CMDB o Model bazy CMDB dla środowiska IT w CPD MF nadzór nad usługami o Role i funkcje w modelu organizacyjnym 3. Warstwa popytu z podwarstwą katalogu usług i portalu katalog usług o Katalog usług CPD MF o Zarządzanie katalogiem usług stan usługi o Projekt systemu monitorowania usług w CPD MF service desk o Projekt systemu monitorowania usług w CPD MF wykorzystanie usługi Strona 27 z 156

28 o Zarządzanie finansami dostęp do usług o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 zarządzanie wnioskami o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 interakcje billingowe o Zarządzanie finansami zarządzanie portfelem usług o Zarządzanie strategią i portfelem usług Na rysunku poniŝej zostało pokazane mapowanie produktów i podproduktów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF. Proces: Zarządzanie finansami usług Katalog usług CPD MF IaaS PaaS Proces: Zarządznie katalogiem usłług Proces: Zarządzanie strategią i portfelem usług Model organizacyjny: Role i funkcje w modelu organizacyjnym System: Dystrybucja oprogramowania System: Wirtualizacja zasobów System: Wirtualizacja zasobów Proces: Zarządzanie pojemności Proces: Zarządzanie ciągłością Zasoby Dostarczanie Popyt Zarządzanie potfelem usług Nadzór nad usługami Interakcje billingowe Wykorzystanie usługi Naliczanie opłat Konfiguracja i aktywacja usługi Orkiestracja, szeregowanie, optymalizacja Przydzielanie i konfiguracja zasobów Wyszukiwanie i integracja zasobow System: Replikacja System: Bramka do internetu System: PKI System: Kryptografia Warstwa katalogu usług i portalu Zarządzanie wnioskami Rozliczanie przychodu Dostęp do usług Zarządzanie zamówieniami Zasoby Infrastruktura, platforma, oprogramowanie, informacja System: Mechanizmy DR System: LAN/WAN System: SAN Stan usługi Service Desk Zarządzanie uŝytkownikami Zapewnienie dostarczania Dostepność, wydajność, pojemność, ciągłość, zgodność z wymaganiami Zarządzanie zasobami Optymalizacja, monitorowanie wydajności, pomiar wykorzystania System: Wydruki System: DWDM System: Usługi teminalowe System: Systemy biznesowe System: Antywirus Katalog usług Zarządzanie usługami System: Zabezpieczenie sieci System: Backup System: Zarządzanie świadczeniem i wsparciem usług w CPD MF System: Zarządzanie toŝsamością cyfrową w CPD MF System: Usłigi katalogowe w CPD MF System: Monitorowanie usług w CPD MF Model bazy CMDB dla środowiska IT w CPD MF System: Budowa bazy CMDB w CPD MF System: Zarządzanie infrastrukturą sieciową System: Zarządzanie infrastrukturą serwerową Rysunek 11 Mapowanie systemów i procesów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF System: Archiwizacja System: Deduplikacja Model warstwowy systemu Do budowy środowiska IT w CPD MF został przyjęty czterowarstwowy model ogólny systemów. Uzasadnieniem dla tego modelu jest charakter środowiska IT, które będzie budowane w Strona 28 z 156

29 Ośrodkach Przetwarzania CPD MF. Głównymi składowymi obecnie budowanych systemów biznesowych są następujące warstwy: warstwa proxy warstwa aplikacyjna warstwa bazodanowa warstwa zasobów danych. Wszystkie te warstwy odgrywają waŝną rolę w modelach środowiska IT chmur obliczeniowych, poniewaŝ są one przedmiotem oferty w katalogach usług związanych z ofertą dla klientów. W przypadku CPD MF klientem będzie DI MF i, w rezultacie, cały resort finansów. Rysunek 12 Model warstwowy systemów w CPD MF Model warstwowy systemów będzie obowiązywał we wszystkich Ośrodkach Przetwarzania CPD MF. PoniŜej został pokazany ten model w otoczeniu systemów komunikacyjnych LAN, WAN, SAN i DWDM, które będą działały w OP i między OP. Strona 29 z 156

30 Rysunek 13 Model warstwowy systemów w OP CPD MF wraz systemami komunikacyjnymi PoniewaŜ głównym elementem struktur CPD MF będą systemy biznesowe, moŝna posługiwać się uproszczonym modelem warstwowym, zredukowanym do istotnych warstw systemów. Rysunek 14 Uproszczony model warstwowy systemów w OP CPD MF Strona 30 z 156

31 W kaŝdej warstwie modelu będą dostępne zasoby infrastrukturalne w formie bloków architektonicznych. Bloki architektoniczne umieszczone w 3 pierwszych warstwach będą charakteryzować się: platforma sprzętową metodą wirtualizacji systemem operacyjnym platformą aplikacyjną Natomiast dla warstwy zasobów danych istotnymi parametrami będą: Pojemność danych Szybkość dostępu do danych Sposób zabezpieczenia danych o typ RAIDu o replika wewnętrzna w macierzy o replika w zewnętrznej macierzy Ponadto te zasoby infrastrukturalne będą naleŝały do róŝnych klas systemów, co oznacza, Ŝe bloki architektoniczne typu IaaS lub PaaS, jako obiekty wirtualne, zbudowane na bazie serwerów fizycznych mogą działać w ramach róŝnych systemów o róŝnych klasach. To samo dotyczy systemów operacyjnych obiektów wirtualnych. W szczególności na jednym serwerze fizycznym moŝe działać wiele serwerów wirtualnych z róŝnymi systemami operacyjnymi. Zasoby danych będą udostępniane róŝnym systemom o innych klasach z dwóch typów macierzy wysokowydajnych i ekonomicznych. Takie podejście do wykorzystywania zasobów infrastrukturalnych nie determinuje ich przynaleŝności do określonej klasy systemów. Natomiast sposób budowy poszczególnych systemów wraz z zastosowaniem odpowiednich mechanizmów (klastry i farmy w pierwszych trzech warstwach oraz replikacja danych w warstwie czwartej) będzie wspierał wartości parametrów RTO, RPO i dostępność definiowane dla kaŝdej klasy systemu. Na rysunku poniŝej pokazano tylko przykładowe mapowanie zasobów infrastrukturalnych do róŝnych systemów operacyjnych i klas systemów. Strona 31 z 156

32 Struktura warstw Warstwa serwerów proxy Typ A Typ B Platforma OS 1 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platforma OS 2 Platforma OS 3 Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 LAN Warstwa serwerów aplikacyjnych Typ C Typ D Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 LAN Warstwa serwerów bazodanowych Typ E Typ F Klasa I Klasa II Klasa III Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 SAN Zespół Macierzy dyskowych GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB Klasa I Klasa II Rysunek 15 Podział zasobów w modelu warstwowym systemów w CPD MF Sieć LAN Całe środowisko CPD MF będzie połączone siecią LAN. W tabeli poniŝej został podany rekomendowany podział sieci LAN na grupy podsieci VLAN, które będą pełniły określone funkcje komunikacyjne. KaŜda grupa moŝe składać się z wielu podsieci VLAN. Nazwy poszczególnych podsieci VLAN w danej grupie funkcjonalnej mogą być inne od podanych w tabeli, ale swoimi nazwami powinny nawiązywać do pełnionej roli w systemie sieci LAN. Dokładny przydział przedziałów adresów IP dla podsieci VLAN jest określony w dokumencie System komunikacji LAN/WAN w CPD MF, który zostanie udostępniony Wykonawcy po podpisaniu umowy. Strona 32 z 156

33 Lp. Funkcjonalne grupy VLAN-ów Opis 1 INTERIEn podsieci podłączeniowe do WAN-u w Węźle Bramki Internet 2 FWIEn podsieci zewnętrzne w Węźle Bramki Internet 3 DMZIEn podsieci wewnętrzne DMZ w Węźle Bramki Internet 4 VPROXYIEn podsieci serwisów wirtualnych w Węźle Bramki Internet 5 VPROXYIE_OUTn podsieci w Węźle Bramki Internet dedykowane do komunikacji wewnętrznej intranetowej 6 UINETn podsieci podłączeniowe do WAN-u w Węźle Bramki UŜytkowników Instytucjonalnych (UI) 7 FWUIn podsieci zewnętrzne w Węźle Bramki UI 8 DMZUIn podsieci wewnętrzne DMZ w Węźle Bramki UI 9 VPROXYUIn podsieci serwisów wirtualnych w Węźle Bramki UI 10 VPROXYUI_OUTn podsieci w Węźle Bramki UI dedykowane do komunikacji wewnętrznej intranetowej 11 INTRAn podsieci podłączeniowe do WAN-u w Węźle Dostępowym Intranet 12 FWIAn podsieci zewnętrzne w Węźle Dostępowym Intranet 13 SynWDn podsieci techniczne na potrzeby synchronizacji Zapór Sieciowych i Urządzeń RównowaŜących ObciąŜenie (FW/LB) w Węzłach Bramki i Intranet 14 PROXYn podsieci wewnętrzne w Węźle Bramki Internetowej i UI dla fizycznych serwerów 15 TRANZn podsieci tranzytowe 16 VAPPn podsieci dla wirtualnych serwisów aplikacyjnych 17 APPn podsieci dla serwerów aplikacyjnych 18 DBn podsieci dla BackEnd-owych serwerów bazodanowych 19 BACKUPn podsieci dla wykonywania kopii zapasowych (Backup) 20 SMOTIONn podsieci dla komunikacji między obiektami wirtualnymi oraz przeznaczone do przenoszenia obieków wirtualnych między róŝnymi maszynami fizycznymi 21 SynLANn podsieci techniczne na potrzeby synchronizacji Zapór Sieciowych i Urządzeń RównowaŜących ObciąŜenie (FW/LB) w Węzłach Dystrybucyjnych 22 HBn podsieci grupowania serwerów 23 MGMTn podsieci dla systemów zarządzania Tabela 3 Podział zestawów VLAN-ów na grupy funkcjonalne Na poniŝszym diagramie grupy podsieci VLAN zostały pokazane w formie graficznej. Grupy podsieci funkcjonalnych są reprezentowane poprzez jedną sieć VLAN, np. grupa podsieci WANintranet jest nazwana w skrócie INTRAn, gdzie n moŝe być kolejnym numerem sieci intranetowej. W związku z tym w następnych rozdziałach tego dokumentu pokazywane na diagramach podsieci VLAN reprezentują daną grupę podsieci VLAN. Strona 33 z 156

34 Grupa podsieci WAN - Internet INTERIEn Grupa podsieci FW - Internet FWIEn Grupa podsieci DMZ - Internet DMZIEn Grupa podsieci VPROXY - Internet VPROXYIEn Grupa podsieci VPROXY_OUT - Internet VPROXYIE_OUTn Grupa podsieci WAN - UŜytkownicy Instytucjonalni UINETn Grupa podsieci FW - UŜytkownicy Instytucjonalni FWUIn Grupa podsieci DMZ - UŜytkownicy Instytucjonalni DMZUIn Grupa podsieci VPROXY - UŜytkownicy Instytucjonalni VPROXYUIn Grupa podsieci VPROXY_OUT - UŜytkownicy Instytucjonalni VPROXYUI_OUTn Grupa podsieci WAN - Intranet Grupa podsieci FW - Intranet INTRAn FWIAn Grupa podsieci PROXY Grupa podsieci Synchronizacja FW/LB Węzła Dostępowego PROXYn SynWDn Grupa podsieci Tranzytowych TRANZn Grupa podsieci VAPP VAPPn Grupa podsieci APP APPn Grupa podsieci BackEnd BDn Grupa podsieci Backup BACKUPn Grupa podsieci SMOTION Grupa podsieci grupowania serwerów SMOTIONn HBn Grupa podsieci Synchronizacja FW/LB LAN Grupa podsieci zarządzania SynLANn MGMTn Rysunek 16 Zdefiniowane funkcjonalne grupy VLAN-ów dla CPD MF Strona 34 z 156