Architektura referencyjna środowiska IT CPD MF

Dane dokumentu Nazwa Projektu: Kontrakt Konsolidacja i Centralizacja Systemów Celnych i Podatkowych Studium Projektowe Konsolidacji i Centralizacji Systemów Celnych i Podatkowych (SPKiCSCP) Numer wersji dokumentu: Umowa MF: C/123/09/DI/B/140 Data wersji dokumentu: 2.0 15.12.2011 Strona 1 z 156

SPIS TREŚCI: 1. Wstęp... 10 1.1 Cel dokumentu... 10 1.2 Odbiorcy dokumentu... 10 1.3 Dokumenty powiązane/referencyjne... 10 1.4 Symbole graficzne... 11 2. Wymagania projektowe... 14 3. Zakres i zasięg architektury... 15 3.1 Zakres architektury... 15 3.2 Zasięg architektury... 19 4. CPD MF... 21 4.1 Wstęp do architektury... 21 4.1.1 Model architektury w metodyce TOGAF... 22 4.2 Model funkcjonalny architektury... 24 4.2.1 Model warstwowy systemu... 28 4.2.2 Sieć LAN... 32 4.3 Budowa bloków architektonicznych... 35 4.3.1 Opisy bloków architektonicznych... 37 4.3.2 Opisy bloków architektonicznych typu IaaS... 38 4.3.2.1 Blok architektoniczny wirtualnych serwerów proxy... 39 4.3.2.2 Blok architektoniczny wirtualnych serwerów aplikacyjnych... 46 4.3.2.3 Blok architektoniczny wirtualnych serwerów baz danych... 51 4.3.2.4 Blok architektoniczny serwerów wirtualnych dla systemu operacyjnego Linux... 57 4.3.2.5 Blok architektoniczny serwerów wirtualnych dla systemu operacyjnego Windows 64 4.3.2.6 Blok architektoniczny fizycznych serwerów kasetowych w technologii x86-64... 70 4.3.2.7 Blok architektoniczny fizycznych serwerów stelaŝowych w technologii x86-64... 75 4.3.2.8 Blok architektoniczny fizycznych serwerów baz danych... 80 4.3.2.9 Blok architektoniczny przestrzeni dyskowej w macierzy ekonomicznej... 85 4.3.2.10 Blok architektoniczny przestrzeni dyskowej w macierzy wysokowydajnej... 89 4.3.2.11 Blok architektoniczny bibliotek wirtualnych... 92 4.3.2.12 Blok architektoniczny bibliotek taśmowych... 96 4.3.2.13 Blok architektoniczny przełączników rdzeniowych LAN... 99 4.3.2.14 Blok architektoniczny przełączników dystrybucyjnych LAN... 103 4.3.2.15 Blok architektoniczny przełączników dostępowych LAN... 106 4.3.2.16 Blok architektoniczny routerów... 110 4.3.2.17 Blok architektoniczny zapór sieciowych... 113 4.3.2.18 Blok architektoniczny urządzeń równowaŝących ruch sieciowy... 116 4.3.2.19 Blok architektoniczny urządzeń IPS... 119 4.3.2.20 Blok architektoniczny przełączników rdzeniowych SAN... 122 4.3.2.21 Blok architektoniczny przełączników dostępowych SAN... 125 4.3.2.22 Blok architektoniczny urządzeń DWDM... 129 4.3.3 Metoda oznaczania bloków architektonicznych w ramach infrastruktury CPD MF... 132 4.3.3.1 Identyfikator systemu... 132 4.3.3.2 Systemy biznesowe... 132 4.3.3.3 Systemy infrastrukturalne... 132 4.3.3.4 Identyfikator środowiska... 133 4.3.3.5 Identyfikator grupy bloków... 134 4.3.3.6 ID... 134 4.3.3.7 Identyfikatory... 134 4.3.3.8 Identyfikator obiektu... 134 Strona 2 z 156

4.3.3.9 Tabele zestawień obiektów... 134 4.3.3.10 Słownik wartości atrybutów bloków... 134 4.3.3.11 Bloki architektoniczne typu PaaS z systemem operacyjnym... 135 4.3.3.12 Bloki architektoniczne typu IaaS... 135 4.4 Zasoby fizyczne i wirtualne w CPD MF... 136 4.5 Metoda reprezentacji architektury systemów... 136 4.5.1 Konwersja z modelu klasycznego do linearnego... 136 4.5.2 Podział architektury na strefy... 138 4.5.2.1 Strefa bramki do internetu... 140 4.5.2.2 Strefa sieci lokalnej LAN... 141 4.5.2.3 Strefa sieci WAN... 142 4.5.2.4 Strefa sieci SAN... 142 4.6 Architektura CPD MF... 143 4.7 Klasy systemów i klasy bezpieczeństwa systemów... 147 4.7.1 Klasy systemów... 147 4.7.2 Klasy bezpieczeństwa systemów... 148 4.7.3 Klasy systemów i klasy bezpieczeństwa... 149 4.8 Metoda budowy i rozszerzania... 150 4.9 Metody róŝnicowania obsługi systemów w zaleŝności od ich klasy... 152 5. Procedury DR Disaster Recovery... 153 5.1 Koncepcja odtworzenia systemu po awarii.... 153 5.2 Architektura rozwiązania Disaster Recovery... 154 6. Wymagania dla infrastruktury ośrodków przetwarzania danych... 156 Wykazy Tabele Tabela 1 Wymagania dla architektury referencyjnej... 15 Tabela 2 Główne obszary architektury CPD MF... 19 Tabela 3 Podział zestawów VLAN-ów na grupy funkcjonalne... 33 Tabela 4 Zbiorczy wykaz bloków architektonicznych typu IaaS... 39 Tabela 5 Atrybuty bloku architektonicznego B.VSR.PX... 40 Tabela 6 Dopuszczalne kombinacje wartości atrybutów vcpu/pamięć RAM VM dla bloku B.VSR.PX... 40 Tabela 7 Wsparcie dla klas bezpieczeństwa bloku B.VSR.PX... 41 Tabela 8 Komponenty bloku architektonicznego B.VSR.PX... 44 Tabela 9 Indeks odnośników dla bloku B.VSR.PX... 46 Tabela 10 Atrybuty bloku architektonicznego B.VSR.AP... 47 Tabela 11 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.AP... 47 Tabela 12 Wsparcie dla klas bezpieczeństwa bloku B.VSR.AP... 48 Tabela 13 Komponenty bloku architektonicznego B.VSR.AP... 49 Tabela 14 Indeks odnośników dla bloku B.VSR.AP... 51 Tabela 15 Atrybuty bloku architektonicznego B.VSR.DB... 52 Tabela 16 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.DB... 52 Tabela 17 Wsparcie dla klas bezpieczeństwa bloku B.VSR.DB... 53 Tabela 18 Komponenty bloku architektonicznego B.VSR.DB... 55 Tabela 19 Indeks odnośników dla bloku B.VSR.DB... 57 Tabela 20 Atrybuty bloku architektonicznego B.VSR.LNX... 58 Tabela 21 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.LNX... 59 Strona 3 z 156

Tabela 22 Wsparcie dla klas bezpieczeństwa bloku B.VSR.LNX... 59 Tabela 23 Komponenty bloku architektonicznego B.VSR.LNX... 62 Tabela 24 Indeks odnośników dla bloku B.VSR.LNX... 64 Tabela 25 Atrybuty bloku architektonicznego B.VSR.WIN... 65 Tabela 26 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.WIN... 65 Tabela 27 Wsparcie dla klas bezpieczeństwa bloku B.VSR.WIN... 66 Tabela 28 Komponenty bloku architektonicznego B.VSR.WIN... 68 Tabela 29 Indeks odnośników dla bloku B.VSR.WIN... 70 Tabela 30 Atrybuty bloku architektonicznego B.PSR.B.X86... 71 Tabela 31 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.B.X86... 71 Tabela 32 Wsparcie dla klas bezpieczeństwa bloku B.PSR.B.X86... 72 Tabela 33 Komponenty bloku architektonicznego B.PSR.B.X86... 73 Tabela 34 Indeks odnośników dla bloku B.PSR.B.X86... 75 Tabela 35 Atrybuty bloku architektonicznego B.PSR.R.X86... 76 Tabela 36 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.R.X86... 76 Tabela 37 Wsparcie dla klas bezpieczeństwa bloku B.PSR.R.X86... 77 Tabela 38 Komponenty bloku architektonicznego B.PSR.R.X86... 78 Tabela 39 Indeks odnośników dla bloku B.PSR.R.X86... 80 Tabela 40 Atrybuty bloku architektonicznego B.PSR.DB... 81 Tabela 41 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.DB... 81 Tabela 42 Wsparcie dla klas bezpieczeństwa bloku B.PSR.DB... 82 Tabela 43 Komponenty bloku architektonicznego B.PSR.DB... 83 Tabela 44 Indeks odnośników dla bloku B.PSR.DB... 85 Tabela 45 Atrybuty bloku architektonicznego B.STO.ECO... 86 Tabela 46 Dopuszczalne wartości atrybutu Przestrzeń dyskowa bloku B.STO.ECO... 86 Tabela 47 Wsparcie dla klas bezpieczeństwa bloku B.STO.ECO... 87 Tabela 48 Komponenty bloku architektonicznego B.STO.ECO... 88 Tabela 49 Indeks odnośników dla bloku B.STO.ECO... 89 Tabela 50 Atrybuty bloku architektonicznego B.STO.HEF... 89 Tabela 51 Dopuszczalne wartości atrybutu Przestrzeń dyskowa bloku B.STO.HEF... 90 Tabela 52 Wsparcie dla klas bezpieczeństwa bloku B.STO.HEF... 90 Tabela 53 Komponenty bloku architektonicznego B.STO.HEF... 91 Tabela 54 Indeks odnośników dla bloku B.STO.HEF... 92 Tabela 55 Atrybuty bloku architektonicznego B.STO.VLB... 93 Tabela 56 Dopuszczalne wartości atrybutu Przestrzeń dyskowa dla bloku B.STO.VLB... 93 Tabela 57 Dopuszczalne wartości atrybutu Interfejsy FC dla bloku B.STO.VLB... 94 Tabela 58 Wsparcie dla klas bezpieczeństwa bloku B.STO.VLB... 94 Tabela 59 Komponenty bloku architektonicznego B.STO.VLB... 95 Tabela 60 Indeks odnośników dla bloku B.STO.VLB... 96 Tabela 61 Atrybuty bloku architektonicznego B.STO.TLB... 96 Tabela 62 Dopuszczalne wartości kombinacji atrybutów Ilość i rodzaj napędów taśmowych/ilość i rodzaj taśm dla bloku B.STO.TLB... 97 Tabela 63 Wsparcie dla klas bezpieczeństwa bloku B.STO.TLB... 98 Tabela 64 Komponenty bloku architektonicznego B.STO.TLB... 98 Tabela 65 Indeks odnośników dla bloku B.STO.TLB... 99 Tabela 66 Atrybuty bloku architektonicznego B.LAN.COR... 100 Tabela 67 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.COR... 100 Tabela 68 Wsparcie dla klas bezpieczeństwa bloku B.LAN.COR... 101 Tabela 69 Komponenty bloku architektonicznego B.LAN.COR... 102 Tabela 70 Indeks odnośników dla bloku B.LAN.COR... 102 Strona 4 z 156

Tabela 71 Atrybuty bloku architektonicznego B.LAN.DIS... 103 Tabela 72 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DIS... 104 Tabela 73 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DIS... 105 Tabela 74 Komponenty bloku architektonicznego B.LAN.DIS... 105 Tabela 75 Indeks odnośników dla bloku B.LAN.DIS... 106 Tabela 76 Atrybuty bloku architektonicznego B.LAN.ACC... 107 Tabela 77 Dopuszczalne wartości atrybutu Ilość interfejsów bloku B.LAN.ACC dla przełączników stelaŝowych... 107 Tabela 78 Dopuszczalne wartości atrybutu Ilość interfejsów bloku B.LAN.ACC dla przełączników kasetowych... 107 Tabela 79 Wsparcie dla klas bezpieczeństwa bloku B.LAN.ACC... 108 Tabela 80 Komponenty bloku architektonicznego B.LAN.ACC... 109 Tabela 81 Indeks odnośników dla bloku B.LAN.ACC... 110 Tabela 82 Atrybuty bloku B.LAN.GAT.RT... 110 Tabela 83 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.GAT.RT... 111 Tabela 84 Wsparcie dla klas bezpieczeństwa bloku B.LAN.GAT.RT... 111 Tabela 85 Komponenty bloku architektonicznego B.LAN.GAT.RT... 112 Tabela 86 Indeks odnośników dla bloku B.LAN.GAT.RT... 113 Tabela 87 Atrybuty bloku B.LAN.DIS.FW... 113 Tabela 88 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DIS.FW... 114 Tabela 89 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DIS.FW... 114 Tabela 90 Komponenty bloku architektonicznego B.LAN.DIS.FW... 115 Tabela 91 Indeks odnośników dla bloku B.LAN.DIS.FW... 116 Tabela 92 Atrybuty bloku B.LAN.LB... 116 Tabela 93 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.LB... 117 Tabela 94 Wsparcie dla klas bezpieczeństwa bloku B.LAN.LB... 117 Tabela 95 Komponenty bloku architektonicznego B.LAN.LB... 118 Tabela 96 Indeks odnośników dla bloku B.LAN.LB... 119 Tabela 97 Atrybuty bloku B.LAN.IPS... 120 Tabela 98 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.IPS... 120 Tabela 99 Wsparcie dla klas bezpieczeństwa bloku B.LAN.IPS... 121 Tabela 100 Komponenty bloku architektonicznego B.LAN.IPS... 121 Tabela 101 Indeks odnośników dla bloku B.LAN.IPS... 122 Tabela 102 Atrybuty bloku B.SAN.COR... 123 Tabela 103 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.SAN.COR... 123 Tabela 104 Wsparcie dla klas bezpieczeństwa bloku B.SAN.COR... 124 Tabela 105 Komponenty bloku architektonicznego B.SAN.COR... 124 Tabela 106 Indeks odnośników dla bloku B.SAN.COR... 125 Tabela 107 Atrybuty bloku B.SAN.COM... 126 Tabela 108 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.SAN.COM... 127 Tabela 109 Wsparcie dla klas bezpieczeństwa B.SAN.COM... 127 Tabela 110 Komponenty bloku architektonicznego B.SAN.COM... 128 Tabela 111 Indeks odnośników dla bloku B.SAN.COM... 129 Tabela 112 Atrybuty bloku B.LAN.DWDM... 129 Tabela 113 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DWDM... 130 Tabela 114 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DWDM... 131 Tabela 115 Komponenty bloku architektonicznego B.LAN.DWDM... 131 Tabela 116 Indeks odnośników dla bloku B.LAN.DWDM... 131 Tabela 117 Identyfikatory systemów biznesowych... 132 Tabela 118 Identyfikatory systemów infrastrukturalnych... 133 Strona 5 z 156

Tabela 119 Identyfikatory środowisk... 133 Tabela 120 Identyfikatory grupy bloków... 134 Tabela 121 Słownik wartości atrybutów bloków... 135 Tabela 123 Zestawienie obiektów bloków architektonicznych typu IaaS w środowisku produkcyjnym... 136 Tabela 124 Przykładowy wykaz bloków architektonicznych potrzebnych do realizacji DR... 153 Strona 6 z 156

Rysunki Rysunek 1 Symbole graficzne komponentów sieciowych... 11 Rysunek 2 Symbole graficzne komponentów IT... 12 Rysunek 3 Symbole bloków architektonicznych... 13 Rysunek 4 Zasięg budowanej architektury w CPD MF... 20 Rysunek 5 Zasięg architektury systemów infrastrukturalnych w CPD MF... 21 Rysunek 6 Zasięg architektury systemów biznesowych w CPD MF... 21 Rysunek 7 Cykl rozwojowy architektury w TOGAF... 23 Rysunek 8 Cykl rozwojowy architektury technologicznej w TOGAF... 24 Rysunek 9 Model funkcjonalny architektury HP CFRA prywatnej chmury obliczeniowej... 24 Rysunek 10 Model funkcjonalny architektury chmury obliczeniowej CPD MF... 25 Rysunek 11 Mapowanie systemów i procesów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF... 28 Rysunek 12 Model warstwowy systemów w CPD MF... 29 Rysunek 13 Model warstwowy systemów w OP CPD MF wraz systemami komunikacyjnymi... 30 Rysunek 14 Uproszczony model warstwowy systemów w OP CPD MF... 30 Rysunek 15 Podział zasobów w modelu warstwowym systemów w CPD MF... 32 Rysunek 16 Zdefiniowane funkcjonalne grupy VLAN-ów dla CPD MF... 34 Rysunek 17 Schemat procesu budowy bloków architektonicznych i usług IaaS i PaaS... 36 Rysunek 18 Schemat procesu budowy bloków architektonicznych i usług PaaS w odniesieniu do całego środowiska IT... 37 Rysunek 19 Diagram realizacji bloku B.VSR.PX... 44 Rysunek 20 Diagram realizacji bloku B.VSR.AP... 50 Rysunek 21 Diagram realizacji dla bloku B.VSR.DB... 56 Rysunek 22 Diagram realizacji dla bloku B.VSR.LNX... 62 Rysunek 23 Diagram realizacji bloku B.VSR.WIN... 68 Rysunek 24 Diagram realizacji dla bloku B.PSR.B.X86... 74 Rysunek 25 Diagram realizacji dla bloku B.PSR.R.X86... 79 Rysunek 26 Diagram realizacji dla bloku B.PSR.DB... 84 Rysunek 27 Diagram realizacji dla bloku B.STO.ECO... 88 Rysunek 28 Diagram realizacji dla bloku B.STO.HEF... 92 Rysunek 29 Diagram realizacji dla bloku B.STO.VLB... 95 Rysunek 30 Diagram realizacji dla bloku B.STO.TLB... 99 Rysunek 31 Diagram realizacji bloku B.LAN.COR... 102 Rysunek 32 Diagram realizacji bloku B.LAN.DIS... 106 Rysunek 33 Diagram realizacji bloku B.LAN.ACC... 109 Rysunek 34 Diagram realizacji bloku B.LAN.GAT.RT... 112 Rysunek 35 Diagram realizacji bloku B.LAN.DIS.FW... 115 Rysunek 36 Diagram realizacji bloku B.LAN.LB... 118 Rysunek 37 Diagram realizacji bloku B.LAN.IPS... 122 Rysunek 38 Diagram realizacji bloku B.SAN.COR... 125 Rysunek 39 Diagram realizacji bloku B.SAN.COM... 128 Rysunek 40 Sposób prezentacji serwerów systemu w układzie linearnym... 137 Rysunek 41 Sposób prezentacji serwerów i zasobów danych systemu w układzie linearnym... 138 Rysunek 42 Diagram podziału środowiska IT na strefy komunikacyjne... 139 Rysunek 43 Diagram przykładowego przyporządkowania grup urządzeń i obiektów IT do stref... 140 Rysunek 44 Strefa sieci bramki do internetu... 141 Rysunek 45 Strefa sieci lokalnej LAN... 141 Rysunek 46 Strefa sieci WAN... 142 Strona 7 z 156

Rysunek 47 Strefa sieci SAN... 143 Rysunek 48 Przykładowa architektura systemu z sieciami LAN... 144 Rysunek 49 Architektura systemu składająca się z bloków architektonicznych w sieci LAN... 145 Rysunek 50 Przykładowa architektura systemu w sieci SAN i z zasobami danych... 146 Rysunek 51 Architektura systemu składająca się z bloków architektonicznych w sieci SAN i z zasobami danych... 147 Rysunek 52 Schemat procesu klasyfikacji systemów biznesowych i infrastrukturalnych... 147 Rysunek 53 Mechanizmy wspierające zabezpieczenie klas systemów biznesowych i infrastrukturalnych... 148 Rysunek 54 Mechanizmy wspierające określanie klasy bezpieczeństwa systemów biznesowych i infrastrukturalnych... 149 Rysunek 55 Schemat określający klasy systemów i klasy ich bezpieczeństwa... 150 Rysunek 56 Fazy rozbudowy środowiska CPD MF... 151 Rysunek 57 Metody rozbudowy systemów infrastrukturalnych w CPD MF... 151 Rysunek 58 Schemat przenoszenia aktywności systemów w przypadku awarii OP Radom... 154 Rysunek 59 Przykładowy schemat architektury rozwiązania DR dla warstwy aplikacyjnej... 154 Rysunek 60 Przykładowy schemat architektury rozwiązania DR dla warstwy bazodanowej i zasobów danych... 155 Rysunek 61 Przykładowy schemat architektury rozwiązania DR dla warstwy bazodanowej i zasobów danych... 155 Rysunek 62 Przykładowy schemat architektury rozwiązania DR dla warstwy aplikacyjnej, bazodanowej i zasobów danych... 156 Rysunek 63 Przykładowy schemat architektury rozwiązania DR dla zasobów danych... 156 Strona 8 z 156

ZastrzeŜenie poufności Rozdział usunięty intencjonalnie. Strona 9 z 156

1. Wstęp 1.1 Cel dokumentu Niniejszy dokument opisuje architekturę referencyjną. Dokument przedstawia architekturę w docelowym środowisku informatycznym CPD MF. Zastosowano tu w szerokim zakresie standaryzację komponentów składowych architektury poprzez definicją bloków architektonicznych oraz ujednolicone podejście do graficznego przedstawiania wszystkich systemów, zarówno infrastrukturalnych jak i biznesowych. 1.2 Odbiorcy dokumentu Niniejszy dokument jest przeznaczony dla osób biorących udział w realizacji zadań związanych z dostarczeniem projektu po stronie Zamawiającego. Jest podstawą do realizacji zamówień produktowych oraz wdroŝenia tego systemu w środowisku informatycznym CPD MF. 1.3 Dokumenty powiązane/referencyjne Rozdział usunięty intencjonalnie. Strona 10 z 156

1.4 Symbole graficzne Rysunek 1 Symbole graficzne komponentów sieciowych Strona 11 z 156

Rysunek 2 Symbole graficzne komponentów IT Strona 12 z 156

Rysunek 3 Symbole bloków architektonicznych Strona 13 z 156

2. Wymagania projektowe Architektura docelowa IT CPD MF musi być przystosowana do migracji istniejących systemów biznesowych w resorcie finansów oraz tworzyć środowisko dla przyszłych systemów informatycznych, które są projektowane w ramach innych projektów lub programów. W szczególności architektura CPD MF winna spełniać wymagania systemów budowanych w ramach programów e-podatki i e-cło. Lp Kategoria wymagania Nazwa wymagania Opis wymagania 1. 2. 3. 4. 5. 6. 7. 8. 9. Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Architektura biznesowa Architektura systemów informatycznych Architektura technologiczna Model Typ modelu Warstwy modelu Elementy modelu architektury Replikacja danych Obszar danych 10. Funkcjonalne Tryb działania modelu Architektura biznesowa będzie wpływać na architekturę systemów informatycznych. Architektura biznesowa MF nie jest przedmiotem analizy i rozwoju w projekcie KiCSCP. Architektura systemów informatycznych będzie wpływać na architekturę technologiczną. Architektura systemów informatycznych MF nie jest przedmiotem analizy i rozwoju w projekcie KiCSCP. Architektura technologiczna będzie wpływać na rozwiązania infrastruktury. Architektura technologiczna (architektura infrastruktury) jest przedmiotem analizy, budowy i rozwoju w projekcie KiCSCP. Architektura infrastruktury będzie oparta na modelu referencyjnym realizującym wymagania chmury obliczeniowej. Model referencyjny będzie miał cechy prywatnej chmury obliczeniowej i będzie ukształtowany do świadczenia usług dla jednej bądź wielu organizacji o tym samym lub podobnym charakterze działalności biznesowej. Model referencyjny będzie składał się z warstwy oferowanych usług, warstwy dostarczania usług i warstwy zasobów. W warstwie zasobów będą projektowane i konstruowane usługi, a w pozostałych warstwach będą działać narzędzia i mechanizmy dostarczania i udostępniania tych usług. W skład modelu architektury infrastruktury będą wchodzić niezbędne elementy realizujące cele KiCSCP. Replikacja danych moŝe odbywać się zarówno w trybie synchronicznym jak i asynchronicznym Wielkość obszarów systemów docelowych jest zgodna z wielkością replikowanych obszarów źródłowych Infrastruktura będzie udostępniana na Ŝądanie. Strona 14 z 156

Lp Kategoria wymagania Nazwa wymagania Opis wymagania 11. Usługi w modelu W ramach modelu będą udostępniane usługi IaaS i Funkcjonalne PaaS. 12. Budowa infrastruktury Infrastruktura będzie zbudowana z bloków architektonicznych. Bloki architektoniczne będą głównie definiowane w 4 warstwach systemów, Funkcjonalne czyli w warstwie proxy, aplikacyjnej, bazodanowej i zasobów danych. W zaleŝności od potrzeb bloki będą równieŝ obejmowały systemy komunikacji 13. 14. Funkcjonalne Utrzymaniowe Optymalizacja infrastruktury Zarządzanie architekturą referencyjną Tabela 1 Wymagania dla architektury referencyjnej LAN,WAN, SAN/Storage i DWDM. Liczba bloków architektonicznych przeznaczona do budowy systemów biznesowych będzie optymalizowana w odniesieniu do wymagań obecnych systemów oraz aktualnych technologii. Konstrukcja bloków architektonicznych będzie uwzględniać wymagania systemów budowanych w ramach innych programów poza KiCSCP. będzie utrzymywana zgodnie z zasadami opracowanymi w ramach produktu "Procesy i procedury zarządzania architekturą docelowego " wytworzonego w ramach Zadania 9. 3. Zakres i zasięg architektury 3.1 Zakres architektury Zakres architektury odnosi się do wszystkich systemów projektowanych w ramach CPD MF. W zaprojektowanej architekturze CPD MF będą działały systemy infrastrukturalne oraz systemy biznesowe. W ramach systemów infrastrukturalnych zostaną zbudowane rozwiązania w zakresie: komunikacji LAN komunikacji WAN komunikacji SAN komunikacji DWDM replikacji i zabezpieczenia danych zarządzania awarią i rozwiązań Disaster Recovery usług katalogowych kopii zapasowych danych archiwizowania danych deduplikacji danych wydruku zabezpieczenia antywirusowego dystrybucji oprogramowania infrastruktury klucza publicznego usług terminalowych Strona 15 z 156

kryptograficznej ochrony informacji rejestrowania i monitorowania zdarzeń zarządzania toŝsamością cyfrową zarządzania infrastrukturą monitorowania i zarządzania usługami wsparcia usług budowy bazy konfiguracji obiektów IT Dla systemów biznesowych zostanie stworzone środowisko do uruchamiania i eksploatacji systemów migrowanych i systemów nowych, które są wytwarzane w dedykowanych programach dotyczących podatków i ceł. Środowisko systemów infrastrukturalnych i biznesowych będzie definiowane poprzez bloki architektoniczne, które będą głównymi składnikami uruchamianych systemów w CPD MF. Ze względu na rozległość w poniŝszej tabeli zostały zdefiniowane główne obszary rozwiązań architektonicznych, które będą charakteryzować sposób budowy i funkcjonowania tej struktury. Lp Nazwa obszaru Opis obszaru 1. Warstwy systemów W ramach budowanej architektury środowisk IT w CPD MF będą wyróŝniane 4 warstwy w modelu warstwowym systemów: proxy aplikacyjna bazodanowa zasobów danych KaŜda z warstw systemów będzie miała zdefiniowane bloki architektoniczne, które będą uŝywane do budowy dowolnych systemów w CPD MF, w szczególności do budowy systemów biznesowych i infrastrukturalnych. 2. Bloki architektoniczne Bloki architektoniczne do budowy systemów będą składały się z następujących komponentów: platformy sprzętowej środowiska wirtualizacyjnego systemu operacyjnego platformy aplikacyjnej W ramach budowy systemów biznesowych i infrastrukturalnych będzie moŝna uŝywać dwóch rodzajów bloków: typu IaaS typu PaaS Bloki architektoniczne typu IaaS będą zawierały platformę sprzętową, jako bloki fizyczne, i platformę wirtualizacyjną jako bloki wirtualne. Bloki typu PaaS, oprócz platformy sprzętowej, platformy wirtualizacyjnej, będą zawierały system operacyjny lub system operacyjny i platformę aplikacyjną, czyli środowisko do uruchamiania aplikacji. Bloki typu IaaS będą podstawą do tworzenia usług typu IaaS, a bloki typu PaaS będą uŝywane do usług PaaS. Strona 16 z 156

Lp Nazwa obszaru Opis obszaru Oprócz bloków architektonicznych do budowy systemów informatycznych będą zdefiniowane bloki architektoniczne do tworzenia infrastruktury komunikacyjnej w zakresie LAN, WAN, SAN i DWDM. Zasada tworzenia bloków architektonicznych jest oparta na metodyce TOGAF. W tej metodyce jest równieŝ zawarta przesłanka o konieczności ciągłego weryfikowania uŝyteczności zdefiniowanych bloków architektonicznych w stosunku do aktualnych potrzeb przedsiębiorstwa oraz dostępnych technologii informatycznych. Zatem w metodę tworzenia i stosowania bloków architektonicznych jest równieŝ wpisana zmienność tych konstrukcji. Bloki architektoniczne w rezultacie ułatwiają szybką budowę oraz standardową obsługę środowisk systemów IT. 3. Klasy systemów KaŜdy system infrastrukturalny i biznesowy będzie podlegał klasyfikacji zgodnie ze Standardem określenia klasy systemu informatycznego w resorcie finansów ZAD08_002. Głównymi parametrami określającymi klasę systemu są : RTO szybkość przywrócenia systemu do ponownego działania po wystąpieniu awarii RPO - aktualność danych po wystąpieniu awarii dostępność całkowity dopuszczalny czas niedostępności systemu w ciągu całego roku Według tego standardu systemy mogą naleŝeć do jednej z następujących klas: Klasa I Klasa II Klasa III Klasa IV Klasa I systemu jest najwyŝszą klasą pod względem RTO, RPO i parametru dostępności. Taka klasyfikacja systemów narzuca na systemy infrastrukturalne wymagania, które powinny być spełnione poprzez odpowiednie rozwiązania konstrukcyjne i technologie informatyczne. 4. Klasy bezpieczeństwa systemów KaŜdy system infrastrukturalny i biznesowy będzie podlegał klasyfikacji zgodnie ze Standardem określenia klasy bezpieczeństwa systemu informatycznego w resorcie finansów ZAD07_003. Głównymi cechami określającymi klasę bezpieczeństwa systemu są : mechanizmy ochrony kryptograficznej mechanizmy uwierzytelniania i autoryzacji uŝytkowników stopień odseparowania zasobów systemu od innych zasobów mechanizmy rejestrowania, monitorowania i audytu zdarzeń mechanizmy ochrony przed oprogramowaniem złośliwym czy jest dostępny zdalnie czy ma zabezpieczony styk systemu z innymi sieciami Według tego standardu systemy mogą naleŝeć do jednej z następujących klas: Klasa B3 Strona 17 z 156

Lp Nazwa obszaru Opis obszaru 5. Relacje między warstwami systemów 6. Komunikacja między systemami 7. Komunikacja między ośrodkami OP w CPD MF Klasa B2 Klasa B1 Klasa BX Klasa B1 systemu jest najwyŝszą klasą bezpieczeństwa systemu pod względem wymienionych cech. Natomiast klasa BX jest klasą bezpieczeństwa dla systemów całkowicie odseparowanych od środowiska IT. Do klasy BX naleŝą systemy, które nie współdzielą Ŝadnej infrastruktury z innymi systemami. Zasilanie tych systemów w dane następuje za pomocą nośników przenaszalnych np. taśm magnetycznych, dysków magnetycznych, płyt CD-ROM i DVD lub innych mediów. Dane z tych systemów są dostępne dla innych systemów równieŝ drogą nośników przenaszalnych. Klasyfikacja systemów pod względem bezpieczeństwa narzuca na systemy infrastrukturalne i systemy biznesowe wymagania, które powinny być spełnione poprzez odpowiednie zabezpieczenia na poziomie infrastruktury oraz platformy aplikacyjnej. W ramach modelu warstwowego komunikacja między warstwami proxy, aplikacyjną i bazodanową będzie realizowana poprzez struktury LAN w ten sposób, Ŝe pomiędzy poszczególnymi warstwami będą definiowane odpowiednie podsieci VLAN. Te podsieci jednocześnie będą izolowały ruch komunikacyjny obiektów systemów działających w danej warstwie. Zdefiniowane i uruchomione podsieci VLAN będą wykorzystywane przez wiele systemów. Ruch sieciowy między warstwami systemów będzie izolowany. W przypadkach koniecznych będzie moŝliwa realizacja połączeń między podsieciami VLAN poprzez firewalle lub routery. W docelowym środowisku IT CPD MF będzie uruchomiona komunikacja między róŝnymi systemami w celu wymiany komunikatów lub danych. Rozwiązania związane z tego typu przepływami danych między systemami będą podlegały odpowiedniej konfiguracji i kontroli przez system komunikacyjny LAN i WAN. W ramach tych zadań będą zaprojektowane odpowiednie połączenia wydajnościowe i, w zaleŝności od wymagań, połączenia redundantne. W skład CPD MF wchodzą następujące Ośrodki Przetwarzania: OP Radom OP Warszawa OP Łódź KaŜdy z tych ośrodków będzie posiadał połączenie do sieci intranetowej przez sieć operatorską MPLS. Oprócz tego połączenia będzie zbudowana dedykowana komunikacja DWDM między: OP Radom i OP Warszawa OP Radom i OP Łódź Dla tych dwóch relacji między ośrodkami OP w sieci DWDM zostaną zrealizowane połączenia o duŝym paśmie przepustowości: 2x40Gbps dla sieci LAN 2x32Gb dla sieci SAN Skalowalność rozwiązania DWDM moŝe wynieść do 400Gbps w sieci LAN i 320Gb dla sieci SAN. Odpowiedni dobór przepustowości sieci Strona 18 z 156

Lp Nazwa obszaru Opis obszaru 8. Komunikacja z uŝytkownikami sieci intranet 9. Komunikacja między CPD MF i urzędami administracji publicznej oraz innymi uŝytkownikami instytucjonalnymi 10. Komunikacja z uŝytkownikami sieci internet Tabela 2 Główne obszary architektury CPD MF 3.2 Zasięg architektury LAN i SAN w systemie DWDM będzie zaleŝał od tempa rozwoju całego środowiska CPD MF pod kątem liczby i wymagań systemów tam instalowanych. Komunikacja uŝytkowników resortu finansów z ośrodkami CPD MF będzie odbywać się poprzez sieć operatorską MPLS. W tym celu w OP Radom, OP Warszawa i OP Łódź zostaną zainstalowane routery w układach redundantnych i odpowiednio skalowalnej przepustowości. Połączenia uŝytkowników z sieci intranetowej będą globalnie balansowane między ośrodkami OP. Komunikacja między uŝytkownikami instytucjonalnymi a ośrodkami CPD MF będzie odbywać się poprzez dedykowane struktury komunikacyjne w ramach rozwiązań bramki do sieci zewnętrznych. To wyjście komunikacyjne będzie wyposaŝone w dedykowane routery, firewalle, IPS i UTM. W ramach tej struktury będą dostępne sieci DMZ, które będzie moŝna wykorzystywać do instalacji dedykowanych urządzeń lub serwerów wymaganych w połączeniach z konkretnymi uŝytkownikami. Struktury te będą dostępne w kaŝdym ośrodku, czyli w OP Radom, OP Warszawa i OP Łódź. Komunikacja z uŝytkownikami sieci internet będzie odbywać się poprzez bramkę do internetu. Bramka do internetu będzie wyposaŝona w dedykowane routery, firewalle i systemy IPS oraz UTM. W ramach tej struktury będzie dostępnych wiele sieci DMZ, które będzie moŝna wykorzystywać do instalacji serwerów proxy wymaganych w obsłudze uŝytkowników zewnętrznych systemów biznesowych. Bramka będzie równieŝ słuŝyła do dostępu do środowisk IT dla uŝytkowników będących pracownikami resortu finansów. W tym celu zostanie uruchomiona obsługa kanałów VPN, przez które, po przejściu procesu autoryzacji i uwierzytelnienia, uŝytkownicy będą mogli korzystać z wewnętrznych zasobów CPD MF. Bramka internetowa będzie zawierała serwery DNS i komponenty systemu poczty elektronicznej. W ramach konfiguracji urządzeń w bramce będzie moŝliwe profilowanie ruchu do i z CPD MF, w szczególności filtrowanie ruchu zgodnie z przyjętą polityką i zasadami uŝytkowania tego medium w resorcie finansów. Opisane struktury dostępu z Internetu i do Internetu będą dostępne we wszystkich ośrodkach przetwarzania CPD MF - w OP Radom, OP Warszawa i OP Łódź. Architektura docelowa CPD MF obejmować będzie zasięgiem trzy ośrodki: OP Radom, OP Warszawa oraz OP Łódź. W kaŝdym z ośrodków będzie dostępna jednakowa architektura IT. Z punktu widzenia administracji i uŝytkowania, 3 ośrodki będą stanowiły jedną logiczną całość. Szybkie połączenia LAN i SAN w relacjach OP Radom OP Warszawa oraz OP Radom OP Łódź zostaną zbudowane na bazie rozwiązań komunikacyjnych DWDM. PoniŜej przedstawiono ilustrację graficzną zasięgu architektury w projektowanym środowisku CPD MF. Strona 19 z 156

Rysunek 4 Zasięg budowanej architektury w CPD MF Komponenty systemów infrastrukturalnych będą instalowane głównie w OP Radom, OP Warszawa i OP Łódź. Niektóre z tych systemów będą jednak integrowane z systemami działającymi w resorcie finansów, bądź ich infrastruktura zostanie rozszerzona do innych lokalizacji poza wymienione 3 Ośrodki Przetwarzania. Takie rozszerzenie rozwiązań wynika ze względów technicznych lub ograniczeń w szybkości migracji do architektury centralnej istniejących systemów. Strona 20 z 156

Rysunek 5 Zasięg architektury systemów infrastrukturalnych w CPD MF PoniŜej został zilustrowany zasięg systemów biznesowych w nowej architekturze CPD MF. Systemy biznesowe, bądź ich wybrane komponenty, mogą być instalowane w dowolnym OP. Migrowane systemy biznesowe będą podlegały centralizacji w granicach 3 zdefiniowanych ośrodków CPD MF. Rysunek 6 Zasięg architektury systemów biznesowych w CPD MF 4. CPD MF 4.1 Wstęp do architektury Architektura systemów IT moŝe być opisywana w róŝnych perspektywach. W wielu metodykach opis architektury głównie dotyczy: perspektywy biznesowej perspektywy funkcjonalnej lub systemów informatycznych perspektywy technologicznej perspektywy implementacyjnej. W niektórych opisach architektur, np. w metodyce TOGAF, występują tylko 3 pierwsze perspektywy. Wszystkie wymienione perspektywy są związane ze sobą odpowiednimi relacjami racjonalnych przesłanek i reguł, które tworzą konstrukcyjnie logiczną całość. W kaŝdej metodyce kluczową rolę odgrywa perspektywa biznesowa. W odniesieniu do niej tworzone są odpowiednie relacje, zawierające postulaty, wnioski i przesłanki, aby przejść do następnych perspektyw. Ze szczegółowych opisów perspektyw architektur są tworzone modele architektoniczne, które zwykle stają się podstawą budowy środowisk IT z dobrze zdefiniowanymi technologiami informatycznymi oraz określonymi ograniczeniami ich zakresu stosowalności. Strona 21 z 156

4.1.1 Model architektury w metodyce TOGAF W metodyce TOGAF jest opisywany cały cykl tworzenia i zarządzania architekturą od załoŝeń i zasad biznesowych, poprzez róŝne perspektywy, migracje i wdroŝenia, aŝ po zarządzanie zmianą w wytworzonej architekturze. WaŜnym punktem w tym cyklu jest architektura technologiczna, która narzuca wytwarzanie odpowiednich modeli, które funkcjonują jako techniczna forma architektur biznesowych, funkcjonalnych i technologicznych. Na rysunku poniŝej został pokazany schemat cyklu rozwojowego architektury przedsiębiorstwa w metodyce TOGAF oraz miejsce w tym cyklu, gdzie tworzone są modele architektoniczne z perspektywy technologicznej. Strona 22 z 156

Rysunek 7 Cykl rozwojowy architektury w TOGAF Po rozwaŝeniu wszystkich koniecznych uwarunkowań w cyklu rozwojowym architektury technologicznej dokonuje się wyboru modelu architektonicznego, który będzie obowiązywał do momentu weryfikacji w następnym cyklu rozwojowym. Strona 23 z 156

Rysunek 8 Cykl rozwojowy architektury technologicznej w TOGAF 4.2 Model funkcjonalny architektury Z metodyki TOGAF, oraz z cyklu rozwojowego architektury technologicznej, wynika konieczność przeanalizowania i wybrania odpowiedniego modelu architektury technologicznej dla realizacji architektury biznesowej i architektury systemów informatycznych przedsiębiorstwa. PoniewaŜ zdefiniowane cele biznesowe oraz załoŝony tryb działania przyszłego CPD MF wskazuje na charakter usługowy tego środowiska, do realizacji tego przedsięwzięcia został wybrany HP Cloud Functional Reference Architecture Model (HP CFRA Model). Model ten swoją konstrukcją odpowiada załoŝeniom i wymaganiom MF do pełnienia roli konsolidacji i centralizacji systemów resortu finansów oraz budowania usług w modelu prywatnej chmury obliczeniowej. Model został przedstawiony na rysunku poniŝej. Zasoby Dostarczanie Popyt Nadzór nad usługami Zarządzanie usługami Rysunek 9 Model funkcjonalny architektury HP CFRA prywatnej chmury obliczeniowej PoniewaŜ CPD MF będzie świadczyło tylko usługi IaaS i PaaS, na poniŝszym rysunku zostały usunięte usługi SaaS, które w tej fazie budowy Ośrodków Przetwarzania nie będą oferowane. Strona 24 z 156

Zasoby Dostarczanie Popyt Nadzór nad usługami Zarządzanie usługami Rysunek 10 Model funkcjonalny architektury chmury obliczeniowej CPD MF W modelu funkcjonalnym architektury chmury obliczeniowej HP CFRA są wyróŝnione 3 warstwy: warstwa zasobów warstwa dostarczania Warstwa popytu W warstwie popytu znajduje się podwarstwa katalogu usług i portalu. WyróŜnienie tej podwarstwy w modelu ma zasadnicze znaczenie dla usługowego charakteru środowiska chmury obliczeniowej. W tej podwarstwie powinny znajdować się wszystkie interfejsy oferowania, udostępniania i rozliczania usług obliczeniowych w formie portalu z klientami. W kaŝdej warstwie modelu występują sekcje funkcjonalne. Niektóre sekcje, obejmujące kompleksowe procesy lub złoŝone systemy, występują w dwóch warstwach. Zatem sekcje naleŝy przypisywać do warstw według następującego schematu: 1. Warstwa zasobów zasoby przydzielanie i konfiguracja zasobów zarządzanie zasobami zarządzanie usługami nadzór nad usługami 2. Warstwa dostarczania Strona 25 z 156

konfiguracja i aktywacja usługi zapewnienie dostarczania naliczanie opłat rozliczanie przychodu zarządzanie zamówieniami zarządzanie uŝytkownikami zarządzanie usługami nadzór nad usługami 3. Warstwa popytu z podwarstwą katalogu usług i portalu katalog usług stan usługi service desk wykorzystanie usługi dostęp do usług zarządzanie wnioskami interakcje bilingowe zarządzanie portfelem usług Warstwy modelu są wspierane przez róŝne zasoby, systemy lub procesy IT. Ze względu na usługowy charakter środowiska chmury obliczeniowej, niektóre systemy lub procesy wspierające model funkcjonalny mogą występować w wielu warstwach. PoniŜej zostały przyporządkowane systemy i procesy do odpowiednich warstw modelu funkcjonalnego HP CFRA w odniesieniu do rozwiązań dostrczanych w procesie KiCSCP. Niektóre elementy warstw są wspierane przez systemy lub procesy spoza zakresu procesie KiCSCP. 1. Warstwa zasobów zasoby o Mechanizmy replikacji i zabezpieczenia danych w CPD MF o Mechanizmy zarządzania awarią łącznie z rozwiązaniami DR w CPD MF o System wydruku w CPD MF o Systemy realizujące funkcje biznesowe w CPD MF o Bramka internetowa w CPD MF o System komunikacji LAN/WAN w CPD MF o Projekt systemu kryptograficznej ochrony informacji o System antywirusowy w CPD MF o System komunikacji SAN w CPD MF o Projekt systemu usług terminalowych o Architektura zabezpieczeń sieci o System komunikacji CWDM/DWDM w CPD MF przydzielanie i konfiguracja zasobów o System dystrybucji oprogramowania w CPD MF o Wirtualizacja zasobów w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF zarządzanie zasobami o Projekt systemu zarządzania infrastrukturą sieciową w CPD MF o Projekt systemu zarządzania infrastrukturą serwerową i aplikacyjną w CPD MF Strona 26 z 156

zarządzanie usługami o Projekt w zakresie rozwiązania wspierającego budowę i utrzymanie bazy CMDB wraz z automatycznym wykrywaniem i zbieraniem informacji o elementach konfiguracji infrastruktury IT oraz ich weryfikacji z aktualnym stanem w bazie CMDB o Model bazy CMDB dla środowiska IT w CPD MF nadzór nad usługami o Role i funkcje w modelu organizacyjnym 2. Warstwa dostarczania konfiguracja i aktywacja usługi o System dystrybucji oprogramowania w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF zapewnienie dostarczania o Zarządzanie pojemnością o Zarządzanie ciągłością o Projekt systemu monitorowania usług w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF naliczanie opłat o Zarządzanie finansami rozliczanie przychodu o Zarządzanie finansami zarządzanie zamówieniami o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 zarządzanie uŝytkownikami o Usługi katalogowe o Projekt systemu zarządzania toŝsamością cyfrową zarządzanie usługami o Projekt w zakresie rozwiązania wspierającego budowę i utrzymanie bazy CMDB wraz z automatycznym wykrywaniem i zbieraniem informacji o elementach konfiguracji infrastruktury IT oraz ich weryfikacji z aktualnym stanem w bazie CMDB o Model bazy CMDB dla środowiska IT w CPD MF nadzór nad usługami o Role i funkcje w modelu organizacyjnym 3. Warstwa popytu z podwarstwą katalogu usług i portalu katalog usług o Katalog usług CPD MF o Zarządzanie katalogiem usług stan usługi o Projekt systemu monitorowania usług w CPD MF service desk o Projekt systemu monitorowania usług w CPD MF wykorzystanie usługi Strona 27 z 156

o Zarządzanie finansami dostęp do usług o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 zarządzanie wnioskami o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 interakcje billingowe o Zarządzanie finansami zarządzanie portfelem usług o Zarządzanie strategią i portfelem usług Na rysunku poniŝej zostało pokazane mapowanie produktów i podproduktów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF. Proces: Zarządzanie finansami usług Katalog usług CPD MF IaaS PaaS Proces: Zarządznie katalogiem usłług Proces: Zarządzanie strategią i portfelem usług Model organizacyjny: Role i funkcje w modelu organizacyjnym System: Dystrybucja oprogramowania System: Wirtualizacja zasobów System: Wirtualizacja zasobów Proces: Zarządzanie pojemności Proces: Zarządzanie ciągłością Zasoby Dostarczanie Popyt Zarządzanie potfelem usług Nadzór nad usługami Interakcje billingowe Wykorzystanie usługi Naliczanie opłat Konfiguracja i aktywacja usługi Orkiestracja, szeregowanie, optymalizacja Przydzielanie i konfiguracja zasobów Wyszukiwanie i integracja zasobow System: Replikacja System: Bramka do internetu System: PKI System: Kryptografia Warstwa katalogu usług i portalu Zarządzanie wnioskami Rozliczanie przychodu Dostęp do usług Zarządzanie zamówieniami Zasoby Infrastruktura, platforma, oprogramowanie, informacja System: Mechanizmy DR System: LAN/WAN System: SAN Stan usługi Service Desk Zarządzanie uŝytkownikami Zapewnienie dostarczania Dostepność, wydajność, pojemność, ciągłość, zgodność z wymaganiami Zarządzanie zasobami Optymalizacja, monitorowanie wydajności, pomiar wykorzystania System: Wydruki System: DWDM System: Usługi teminalowe System: Systemy biznesowe System: Antywirus Katalog usług Zarządzanie usługami System: Zabezpieczenie sieci System: Backup System: Zarządzanie świadczeniem i wsparciem usług w CPD MF System: Zarządzanie toŝsamością cyfrową w CPD MF System: Usłigi katalogowe w CPD MF System: Monitorowanie usług w CPD MF Model bazy CMDB dla środowiska IT w CPD MF System: Budowa bazy CMDB w CPD MF System: Zarządzanie infrastrukturą sieciową System: Zarządzanie infrastrukturą serwerową Rysunek 11 Mapowanie systemów i procesów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF System: Archiwizacja System: Deduplikacja 4.2.1 Model warstwowy systemu Do budowy środowiska IT w CPD MF został przyjęty czterowarstwowy model ogólny systemów. Uzasadnieniem dla tego modelu jest charakter środowiska IT, które będzie budowane w Strona 28 z 156

Ośrodkach Przetwarzania CPD MF. Głównymi składowymi obecnie budowanych systemów biznesowych są następujące warstwy: warstwa proxy warstwa aplikacyjna warstwa bazodanowa warstwa zasobów danych. Wszystkie te warstwy odgrywają waŝną rolę w modelach środowiska IT chmur obliczeniowych, poniewaŝ są one przedmiotem oferty w katalogach usług związanych z ofertą dla klientów. W przypadku CPD MF klientem będzie DI MF i, w rezultacie, cały resort finansów. Rysunek 12 Model warstwowy systemów w CPD MF Model warstwowy systemów będzie obowiązywał we wszystkich Ośrodkach Przetwarzania CPD MF. PoniŜej został pokazany ten model w otoczeniu systemów komunikacyjnych LAN, WAN, SAN i DWDM, które będą działały w OP i między OP. Strona 29 z 156

Rysunek 13 Model warstwowy systemów w OP CPD MF wraz systemami komunikacyjnymi PoniewaŜ głównym elementem struktur CPD MF będą systemy biznesowe, moŝna posługiwać się uproszczonym modelem warstwowym, zredukowanym do istotnych warstw systemów. Rysunek 14 Uproszczony model warstwowy systemów w OP CPD MF Strona 30 z 156

W kaŝdej warstwie modelu będą dostępne zasoby infrastrukturalne w formie bloków architektonicznych. Bloki architektoniczne umieszczone w 3 pierwszych warstwach będą charakteryzować się: platforma sprzętową metodą wirtualizacji systemem operacyjnym platformą aplikacyjną Natomiast dla warstwy zasobów danych istotnymi parametrami będą: Pojemność danych Szybkość dostępu do danych Sposób zabezpieczenia danych o typ RAIDu o replika wewnętrzna w macierzy o replika w zewnętrznej macierzy Ponadto te zasoby infrastrukturalne będą naleŝały do róŝnych klas systemów, co oznacza, Ŝe bloki architektoniczne typu IaaS lub PaaS, jako obiekty wirtualne, zbudowane na bazie serwerów fizycznych mogą działać w ramach róŝnych systemów o róŝnych klasach. To samo dotyczy systemów operacyjnych obiektów wirtualnych. W szczególności na jednym serwerze fizycznym moŝe działać wiele serwerów wirtualnych z róŝnymi systemami operacyjnymi. Zasoby danych będą udostępniane róŝnym systemom o innych klasach z dwóch typów macierzy wysokowydajnych i ekonomicznych. Takie podejście do wykorzystywania zasobów infrastrukturalnych nie determinuje ich przynaleŝności do określonej klasy systemów. Natomiast sposób budowy poszczególnych systemów wraz z zastosowaniem odpowiednich mechanizmów (klastry i farmy w pierwszych trzech warstwach oraz replikacja danych w warstwie czwartej) będzie wspierał wartości parametrów RTO, RPO i dostępność definiowane dla kaŝdej klasy systemu. Na rysunku poniŝej pokazano tylko przykładowe mapowanie zasobów infrastrukturalnych do róŝnych systemów operacyjnych i klas systemów. Strona 31 z 156

Struktura warstw Warstwa serwerów proxy Typ A Typ B Platforma OS 1 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platforma OS 2 Platforma OS 3 Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 LAN Warstwa serwerów aplikacyjnych Typ C Typ D Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 LAN Warstwa serwerów bazodanowych Typ E Typ F Klasa I Klasa II Klasa III Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 SAN Zespół Macierzy dyskowych 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB Klasa I Klasa II Rysunek 15 Podział zasobów w modelu warstwowym systemów w CPD MF 4.2.2 Sieć LAN Całe środowisko CPD MF będzie połączone siecią LAN. W tabeli poniŝej został podany rekomendowany podział sieci LAN na grupy podsieci VLAN, które będą pełniły określone funkcje komunikacyjne. KaŜda grupa moŝe składać się z wielu podsieci VLAN. Nazwy poszczególnych podsieci VLAN w danej grupie funkcjonalnej mogą być inne od podanych w tabeli, ale swoimi nazwami powinny nawiązywać do pełnionej roli w systemie sieci LAN. Dokładny przydział przedziałów adresów IP dla podsieci VLAN jest określony w dokumencie System komunikacji LAN/WAN w CPD MF, który zostanie udostępniony Wykonawcy po podpisaniu umowy. Strona 32 z 156

Lp. Funkcjonalne grupy VLAN-ów Opis 1 INTERIEn podsieci podłączeniowe do WAN-u w Węźle Bramki Internet 2 FWIEn podsieci zewnętrzne w Węźle Bramki Internet 3 DMZIEn podsieci wewnętrzne DMZ w Węźle Bramki Internet 4 VPROXYIEn podsieci serwisów wirtualnych w Węźle Bramki Internet 5 VPROXYIE_OUTn podsieci w Węźle Bramki Internet dedykowane do komunikacji wewnętrznej intranetowej 6 UINETn podsieci podłączeniowe do WAN-u w Węźle Bramki UŜytkowników Instytucjonalnych (UI) 7 FWUIn podsieci zewnętrzne w Węźle Bramki UI 8 DMZUIn podsieci wewnętrzne DMZ w Węźle Bramki UI 9 VPROXYUIn podsieci serwisów wirtualnych w Węźle Bramki UI 10 VPROXYUI_OUTn podsieci w Węźle Bramki UI dedykowane do komunikacji wewnętrznej intranetowej 11 INTRAn podsieci podłączeniowe do WAN-u w Węźle Dostępowym Intranet 12 FWIAn podsieci zewnętrzne w Węźle Dostępowym Intranet 13 SynWDn podsieci techniczne na potrzeby synchronizacji Zapór Sieciowych i Urządzeń RównowaŜących ObciąŜenie (FW/LB) w Węzłach Bramki i Intranet 14 PROXYn podsieci wewnętrzne w Węźle Bramki Internetowej i UI dla fizycznych serwerów 15 TRANZn podsieci tranzytowe 16 VAPPn podsieci dla wirtualnych serwisów aplikacyjnych 17 APPn podsieci dla serwerów aplikacyjnych 18 DBn podsieci dla BackEnd-owych serwerów bazodanowych 19 BACKUPn podsieci dla wykonywania kopii zapasowych (Backup) 20 SMOTIONn podsieci dla komunikacji między obiektami wirtualnymi oraz przeznaczone do przenoszenia obieków wirtualnych między róŝnymi maszynami fizycznymi 21 SynLANn podsieci techniczne na potrzeby synchronizacji Zapór Sieciowych i Urządzeń RównowaŜących ObciąŜenie (FW/LB) w Węzłach Dystrybucyjnych 22 HBn podsieci grupowania serwerów 23 MGMTn podsieci dla systemów zarządzania Tabela 3 Podział zestawów VLAN-ów na grupy funkcjonalne Na poniŝszym diagramie grupy podsieci VLAN zostały pokazane w formie graficznej. Grupy podsieci funkcjonalnych są reprezentowane poprzez jedną sieć VLAN, np. grupa podsieci WANintranet jest nazwana w skrócie INTRAn, gdzie n moŝe być kolejnym numerem sieci intranetowej. W związku z tym w następnych rozdziałach tego dokumentu pokazywane na diagramach podsieci VLAN reprezentują daną grupę podsieci VLAN. Strona 33 z 156

Grupa podsieci WAN - Internet INTERIEn Grupa podsieci FW - Internet FWIEn Grupa podsieci DMZ - Internet DMZIEn Grupa podsieci VPROXY - Internet VPROXYIEn Grupa podsieci VPROXY_OUT - Internet VPROXYIE_OUTn Grupa podsieci WAN - UŜytkownicy Instytucjonalni UINETn Grupa podsieci FW - UŜytkownicy Instytucjonalni FWUIn Grupa podsieci DMZ - UŜytkownicy Instytucjonalni DMZUIn Grupa podsieci VPROXY - UŜytkownicy Instytucjonalni VPROXYUIn Grupa podsieci VPROXY_OUT - UŜytkownicy Instytucjonalni VPROXYUI_OUTn Grupa podsieci WAN - Intranet Grupa podsieci FW - Intranet INTRAn FWIAn Grupa podsieci PROXY Grupa podsieci Synchronizacja FW/LB Węzła Dostępowego PROXYn SynWDn Grupa podsieci Tranzytowych TRANZn Grupa podsieci VAPP VAPPn Grupa podsieci APP APPn Grupa podsieci BackEnd BDn Grupa podsieci Backup BACKUPn Grupa podsieci SMOTION Grupa podsieci grupowania serwerów SMOTIONn HBn Grupa podsieci Synchronizacja FW/LB LAN Grupa podsieci zarządzania SynLANn MGMTn Rysunek 16 Zdefiniowane funkcjonalne grupy VLAN-ów dla CPD MF Strona 34 z 156