Architektura referencyjna środowiska IT CPD MF

Dane dokumentu Nazwa Projektu: Kontrakt Konsolidacja i Centralizacja Systemów Celnych i Podatkowych Studium Projektowe Konsolidacji i Centralizacji Systemów Celnych i Podatkowych (SPKiCSCP) Numer wersji dokumentu: Umowa MF: C/123/09/DI/B/140 Data wersji dokumentu: 4.0 25.10.2012 Strona 1 z 153

SPIS TREŚCI: 1. Wstęp... 10 1.1 Cel dokumentu... 10 1.2 Odbiorcy dokumentu... 10 1.3 Dokumenty powiązane/referencyjne... 10 1.4 Symbole graficzne... 11 2. Wymagania projektowe... 14 3. Zakres i zasięg architektury... 15 3.1 Zakres architektury... 15 3.2 Zasięg architektury... 19 4. CPD MF... 21 4.1 Wstęp do architektury... 21 4.1.1 Model architektury w metodyce TOGAF... 22 4.2 Model funkcjonalny architektury... 24 4.2.1 Model warstwowy systemu... 28 4.2.2 Sieć LAN... 32 4.3 Budowa bloków architektonicznych... 35 4.3.1 Opisy bloków architektonicznych... 37 4.3.2 Opisy bloków architektonicznych typu IaaS... 38 4.3.2.1 Blok architektoniczny wirtualnych serwerów proxy... 39 4.3.2.2 Blok architektoniczny wirtualnych serwerów aplikacyjnych... 46 4.3.2.3 Blok architektoniczny wirtualnych serwerów baz danych... 51 4.3.2.4 Blok architektoniczny serwerów wirtualnych dla systemu operacyjnego Linux... 58 4.3.2.5 Blok architektoniczny serwerów wirtualnych dla systemu operacyjnego Windows 64 4.3.2.6 Blok architektoniczny fizycznych serwerów kasetowych w technologii x86-64... 70 4.3.2.7 Blok architektoniczny fizycznych serwerów stelażowych w technologii x86-64... 75 4.3.2.8 Blok architektoniczny fizycznych serwerów baz danych... 80 4.3.2.9 Blok architektoniczny przestrzeni dyskowej w macierzy... 85 4.3.2.10 Blok architektoniczny bibliotek wirtualnych... 89 4.3.2.11 Blok architektoniczny bibliotek taśmowych... 92 4.3.2.12 Blok architektoniczny przełączników rdzeniowych LAN... 96 4.3.2.13 Blok architektoniczny przełączników dystrybucyjnych LAN... 100 4.3.2.14 Blok architektoniczny przełączników dostępowych LAN... 103 4.3.2.15 Blok architektoniczny routerów... 107 4.3.2.16 Blok architektoniczny zapór sieciowych... 110 4.3.2.17 Blok architektoniczny urządzeń równoważących ruch sieciowy... 113 4.3.2.18 Blok architektoniczny urządzeń IPS... 116 4.3.2.19 Blok architektoniczny przełączników rdzeniowych SAN... 119 4.3.2.20 Blok architektoniczny przełączników dostępowych SAN... 122 4.3.2.21 Blok architektoniczny urządzeń DWDM... 126 4.3.3 Metoda oznaczania bloków architektonicznych w ramach infrastruktury CPD MF... 129 4.3.3.1 Identyfikator systemu... 129 4.3.3.2 Systemy biznesowe... 129 4.3.3.3 Systemy infrastrukturalne... 129 4.3.3.4 Identyfikator środowiska... 130 4.3.3.5 Identyfikator grupy bloków... 131 4.3.3.6 ID... 131 4.3.3.7 Identyfikatory... 131 4.3.3.8 Identyfikator obiektu... 131 4.3.3.9 Tabele zestawień obiektów... 131 Strona 2 z 153

4.3.3.10 Słownik wartości atrybutów bloków... 131 4.3.3.11 Bloki architektoniczne typu PaaS z systemem operacyjnym... 132 4.3.3.12 Bloki architektoniczne typu IaaS... 132 4.4 Zasoby fizyczne i wirtualne w CPD MF... 133 4.5 Metoda reprezentacji architektury systemów... 133 4.5.1 Konwersja z modelu klasycznego do linearnego... 133 4.5.2 Podział architektury na strefy... 135 4.5.2.1 Strefa bramki do internetu... 137 4.5.2.2 Strefa sieci lokalnej LAN... 138 4.5.2.3 Strefa sieci WAN... 139 4.5.2.4 Strefa sieci SAN... 139 4.6 Architektura CPD MF... 140 4.7 Klasy systemów i klasy bezpieczeństwa systemów... 144 4.7.1 Klasy systemów... 144 4.7.2 Klasy bezpieczeństwa systemów... 145 4.7.3 Klasy systemów i klasy bezpieczeństwa... 146 4.8 Metoda budowy i rozszerzania... 147 4.9 Metody różnicowania obsługi systemów w zależności od ich klasy... 149 5. Procedury DR Disaster Recovery... 150 5.1 Koncepcja odtworzenia systemu po awarii.... 150 5.2 Architektura rozwiązania Disaster Recovery... 151 6. Wymagania dla infrastruktury ośrodków przetwarzania danych... 153 Wykazy Tabele Tabela 1 Wymagania dla architektury referencyjnej... 15 Tabela 2 Główne obszary architektury CPD MF... 19 Tabela 3 Podział zestawów VLAN-ów na grupy funkcjonalne... 33 Tabela 4 Zbiorczy wykaz bloków architektonicznych typu IaaS... 39 Tabela 5 Atrybuty bloku architektonicznego B.VSR.PX... 40 Tabela 6 Dopuszczalne kombinacje wartości atrybutów vcpu/pamięć RAM VM dla bloku B.VSR.PX... 40 Tabela 7 Wsparcie dla klas bezpieczeństwa bloku B.VSR.PX... 41 Tabela 8 Komponenty bloku architektonicznego B.VSR.PX... 44 Tabela 9 Indeks odnośników dla bloku B.VSR.PX... 46 Tabela 10 Atrybuty bloku architektonicznego B.VSR.AP... 47 Tabela 11 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.AP... 47 Tabela 12 Wsparcie dla klas bezpieczeństwa bloku B.VSR.AP... 48 Tabela 13 Komponenty bloku architektonicznego B.VSR.AP... 49 Tabela 14 Indeks odnośników dla bloku B.VSR.AP... 51 Tabela 15 Atrybuty bloku architektonicznego B.VSR.DB... 52 Tabela 16 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.DB... 52 Tabela 17 Wsparcie dla klas bezpieczeństwa bloku B.VSR.DB... 53 Tabela 18 Komponenty bloku architektonicznego B.VSR.DB... 55 Tabela 19 Indeks odnośników dla bloku B.VSR.DB... 57 Tabela 20 Atrybuty bloku architektonicznego B.VSR.LNX... 59 Tabela 21 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.LNX... 59 Tabela 22 Wsparcie dla klas bezpieczeństwa bloku B.VSR.LNX... 60 Strona 3 z 153

Tabela 23 Komponenty bloku architektonicznego B.VSR.LNX... 62 Tabela 24 Indeks odnośników dla bloku B.VSR.LNX... 64 Tabela 25 Atrybuty bloku architektonicznego B.VSR.WIN... 65 Tabela 26 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.VSR.WIN... 65 Tabela 27 Wsparcie dla klas bezpieczeństwa bloku B.VSR.WIN... 66 Tabela 28 Komponenty bloku architektonicznego B.VSR.WIN... 68 Tabela 29 Indeks odnośników dla bloku B.VSR.WIN... 70 Tabela 30 Atrybuty bloku architektonicznego B.PSR.B.X86... 71 Tabela 31 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.B.X86... 71 Tabela 32 Wsparcie dla klas bezpieczeństwa bloku B.PSR.B.X86... 72 Tabela 33 Komponenty bloku architektonicznego B.PSR.B.X86... 73 Tabela 34 Indeks odnośników dla bloku B.PSR.B.X86... 75 Tabela 35 Atrybuty bloku architektonicznego B.PSR.R.X86... 76 Tabela 36 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.R.X86... 76 Tabela 37 Wsparcie dla klas bezpieczeństwa bloku B.PSR.R.X86... 77 Tabela 38 Komponenty bloku architektonicznego B.PSR.R.X86... 78 Tabela 39 Indeks odnośników dla bloku B.PSR.R.X86... 80 Tabela 40 Atrybuty bloku architektonicznego B.PSR.DB... 81 Tabela 41 Dopuszczalne kombinacje wartości atrybutów vcpu/ram dla bloku B.PSR.DB... 81 Tabela 42 Wsparcie dla klas bezpieczeństwa bloku B.PSR.DB... 82 Tabela 43 Komponenty bloku architektonicznego B.PSR.DB... 83 Tabela 44 Indeks odnośników dla bloku B.PSR.DB... 85 Tabela 45 Atrybuty bloku architektonicznego B.STO.UNI... 86 Tabela 46 Dopuszczalne wartości atrybutu Przestrzeń dyskowa bloku B.STO.UNI... 86 Tabela 47 Wsparcie dla klas bezpieczeństwa bloku B.STO.UNI... 87 Tabela 48 Komponenty bloku architektonicznego B.STO.UNI... 88 Tabela 49 Indeks odnośników dla bloku B.STO.UNI... 89 Tabela 50 Atrybuty bloku architektonicznego B.STO.VLB... 89 Tabela 51 Dopuszczalne wartości atrybutu Przestrzeń dyskowa dla bloku B.STO.VLB... 90 Tabela 52 Dopuszczalne wartości atrybutu Interfejsy FC dla bloku B.STO.VLB... 90 Tabela 53 Wsparcie dla klas bezpieczeństwa bloku B.STO.VLB... 91 Tabela 54 Komponenty bloku architektonicznego B.STO.VLB... 91 Tabela 55 Indeks odnośników dla bloku B.STO.VLB... 92 Tabela 56 Atrybuty bloku architektonicznego B.STO.TLB... 93 Tabela 57 Dopuszczalne wartości kombinacji atrybutów Ilość i rodzaj napędów taśmowych/ilość i rodzaj taśm dla bloku B.STO.TLB... 93 Tabela 58 Wsparcie dla klas bezpieczeństwa bloku B.STO.TLB... 94 Tabela 59 Komponenty bloku architektonicznego B.STO.TLB... 95 Tabela 60 Indeks odnośników dla bloku B.STO.TLB... 96 Tabela 61 Atrybuty bloku architektonicznego B.LAN.COR... 97 Tabela 62 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.COR... 97 Tabela 63 Wsparcie dla klas bezpieczeństwa bloku B.LAN.COR... 98 Tabela 64 Komponenty bloku architektonicznego B.LAN.COR... 99 Tabela 65 Indeks odnośników dla bloku B.LAN.COR... 99 Tabela 66 Atrybuty bloku architektonicznego B.LAN.DIS... 100 Tabela 67 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DIS... 101 Tabela 68 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DIS... 102 Tabela 69 Komponenty bloku architektonicznego B.LAN.DIS... 102 Tabela 70 Indeks odnośników dla bloku B.LAN.DIS... 103 Tabela 71 Atrybuty bloku architektonicznego B.LAN.ACC... 104 Strona 4 z 153

Tabela 72 Dopuszczalne wartości atrybutu Ilość interfejsów bloku B.LAN.ACC dla przełączników stelażowych... 104 Tabela 73 Dopuszczalne wartości atrybutu Ilość interfejsów bloku B.LAN.ACC dla przełączników kasetowych... 104 Tabela 74 Wsparcie dla klas bezpieczeństwa bloku B.LAN.ACC... 105 Tabela 75 Komponenty bloku architektonicznego B.LAN.ACC... 106 Tabela 76 Indeks odnośników dla bloku B.LAN.ACC... 107 Tabela 77 Atrybuty bloku B.LAN.GAT.RT... 107 Tabela 78 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.GAT.RT... 108 Tabela 79 Wsparcie dla klas bezpieczeństwa bloku B.LAN.GAT.RT... 108 Tabela 80 Komponenty bloku architektonicznego B.LAN.GAT.RT... 109 Tabela 81 Indeks odnośników dla bloku B.LAN.GAT.RT... 110 Tabela 82 Atrybuty bloku B.LAN.DIS.FW... 110 Tabela 83 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DIS.FW... 111 Tabela 84 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DIS.FW... 111 Tabela 85 Komponenty bloku architektonicznego B.LAN.DIS.FW... 112 Tabela 86 Indeks odnośników dla bloku B.LAN.DIS.FW... 113 Tabela 87 Atrybuty bloku B.LAN.LB... 113 Tabela 88 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.LB... 114 Tabela 89 Wsparcie dla klas bezpieczeństwa bloku B.LAN.LB... 114 Tabela 90 Komponenty bloku architektonicznego B.LAN.LB... 115 Tabela 91 Indeks odnośników dla bloku B.LAN.LB... 116 Tabela 92 Atrybuty bloku B.LAN.IPS... 117 Tabela 93 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.IPS... 117 Tabela 94 Wsparcie dla klas bezpieczeństwa bloku B.LAN.IPS... 118 Tabela 95 Komponenty bloku architektonicznego B.LAN.IPS... 118 Tabela 96 Indeks odnośników dla bloku B.LAN.IPS... 119 Tabela 97 Atrybuty bloku B.SAN.COR... 120 Tabela 98 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.SAN.COR... 120 Tabela 99 Wsparcie dla klas bezpieczeństwa bloku B.SAN.COR... 121 Tabela 100 Komponenty bloku architektonicznego B.SAN.COR... 121 Tabela 101 Indeks odnośników dla bloku B.SAN.COR... 122 Tabela 102 Atrybuty bloku B.SAN.COM... 123 Tabela 103 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.SAN.COM... 124 Tabela 104 Wsparcie dla klas bezpieczeństwa B.SAN.COM... 124 Tabela 105 Komponenty bloku architektonicznego B.SAN.COM... 125 Tabela 106 Indeks odnośników dla bloku B.SAN.COM... 126 Tabela 107 Atrybuty bloku B.LAN.DWDM... 126 Tabela 108 Dopuszczalne wartości atrybutu Ilość interfejsów dla bloku B.LAN.DWDM... 127 Tabela 109 Wsparcie dla klas bezpieczeństwa bloku B.LAN.DWDM... 128 Tabela 110 Komponenty bloku architektonicznego B.LAN.DWDM... 128 Tabela 111 Indeks odnośników dla bloku B.LAN.DWDM... 128 Tabela 112 Identyfikatory systemów biznesowych... 129 Tabela 113 Identyfikatory systemów infrastrukturalnych... 130 Tabela 114 Identyfikatory środowisk... 131 Tabela 115 Identyfikatory grupy bloków... 131 Tabela 116 Słownik wartości atrybutów bloków... 132 Tabela 117 Zestawienie obiektów bloków architektonicznych typu PaaS z systemem operacyjnym w środowisku produkcyjnym... 132 Strona 5 z 153

Tabela 118 Zestawienie obiektów bloków architektonicznych typu IaaS w środowisku produkcyjnym... 132 Tabela 119 Przykładowy wykaz bloków architektonicznych potrzebnych do realizacji DR... 150 Tabela 120 Przykładowy wykaz oprogramowania dla bloków architektonicznych systemów potrzebnych do realizacji DR... 150 Tabela 121 Przykładowy zestaw procedur potrzebnych do realizacji DR systemu... 150 Strona 6 z 153

Rysunki Rysunek 1 Symbole graficzne komponentów sieciowych... 11 Rysunek 2 Symbole graficzne komponentów IT... 12 Rysunek 3 Symbole bloków architektonicznych... 13 Rysunek 4 Zasięg budowanej architektury w CPD MF... 20 Rysunek 5 Zasięg architektury systemów infrastrukturalnych w CPD MF... 21 Rysunek 6 Zasięg architektury systemów biznesowych w CPD MF... 21 Rysunek 7 Cykl rozwojowy architektury w TOGAF... 23 Rysunek 8 Cykl rozwojowy architektury technologicznej w TOGAF... 24 Rysunek 9 Model funkcjonalny architektury HP CFRA prywatnej chmury obliczeniowej... 24 Rysunek 10 Model funkcjonalny architektury chmury obliczeniowej CPD MF... 25 Rysunek 11 Mapowanie systemów i procesów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF... 28 Rysunek 12 Model warstwowy systemów w CPD MF... 29 Rysunek 13 Model warstwowy systemów w OP CPD MF wraz systemami komunikacyjnymi... 30 Rysunek 14 Uproszczony model warstwowy systemów w OP CPD MF... 30 Rysunek 15 Podział zasobów w modelu warstwowym systemów w CPD MF... 32 Rysunek 16 Zdefiniowane funkcjonalne grupy VLAN-ów dla CPD MF... 34 Rysunek 17 Schemat procesu budowy bloków architektonicznych i usług IaaS i PaaS... 36 Rysunek 18 Schemat procesu budowy bloków architektonicznych i usług PaaS w odniesieniu do całego środowiska IT... 37 Rysunek 19 Diagram realizacji bloku B.VSR.PX... 44 Rysunek 20 Diagram realizacji bloku B.VSR.AP... 50 Rysunek 21 Diagram realizacji dla bloku B.VSR.DB... 56 Rysunek 22 Diagram realizacji dla bloku B.VSR.LNX... 62 Rysunek 23 Diagram realizacji bloku B.VSR.WIN... 68 Rysunek 24 Diagram realizacji dla bloku B.PSR.B.X86... 74 Rysunek 25 Diagram realizacji dla bloku B.PSR.R.X86... 79 Rysunek 26 Diagram realizacji dla bloku B.PSR.DB... 84 Rysunek 27 Diagram realizacji dla bloku B.STO.UNI... 88 Rysunek 28 Diagram realizacji dla bloku B.STO.VLB... 92 Rysunek 29 Diagram realizacji dla bloku B.STO.TLB... 96 Rysunek 30 Diagram realizacji bloku B.LAN.COR... 99 Rysunek 31 Diagram realizacji bloku B.LAN.DIS... 103 Rysunek 32 Diagram realizacji bloku B.LAN.ACC... 106 Rysunek 33 Diagram realizacji bloku B.LAN.GAT.RT... 109 Rysunek 34 Diagram realizacji bloku B.LAN.DIS.FW... 112 Rysunek 35 Diagram realizacji bloku B.LAN.LB... 115 Rysunek 36 Diagram realizacji bloku B.LAN.IPS... 119 Rysunek 37 Diagram realizacji bloku B.SAN.COR... 122 Rysunek 38 Diagram realizacji bloku B.SAN.COM... 125 Rysunek 39 Sposób prezentacji serwerów systemu w układzie linearnym... 134 Rysunek 40 Sposób prezentacji serwerów i zasobów danych systemu w układzie linearnym... 135 Rysunek 41 Diagram podziału środowiska IT na strefy komunikacyjne... 136 Rysunek 42 Diagram przykładowego przyporządkowania grup urządzeń i obiektów IT do stref... 137 Rysunek 43 Strefa sieci bramki do internetu... 138 Rysunek 44 Strefa sieci lokalnej LAN... 138 Rysunek 45 Strefa sieci WAN... 139 Rysunek 46 Strefa sieci SAN... 140 Strona 7 z 153

Rysunek 47 Przykładowa architektura systemu z sieciami LAN... 141 Rysunek 48 Architektura systemu składająca się z bloków architektonicznych w sieci LAN... 142 Rysunek 49 Przykładowa architektura systemu w sieci SAN i z zasobami danych... 143 Rysunek 50 Architektura systemu składająca się z bloków architektonicznych w sieci SAN i z zasobami danych... 144 Rysunek 51 Schemat procesu klasyfikacji systemów biznesowych i infrastrukturalnych... 144 Rysunek 52 Mechanizmy wspierające zabezpieczenie klas systemów biznesowych i infrastrukturalnych... 145 Rysunek 53 Mechanizmy wspierające określanie klasy bezpieczeństwa systemów biznesowych i infrastrukturalnych... 146 Rysunek 54 Schemat określający klasy systemów i klasy ich bezpieczeństwa... 147 Rysunek 55 Fazy rozbudowy środowiska CPD MF... 148 Rysunek 56 Metody rozbudowy systemów infrastrukturalnych w CPD MF... 148 Rysunek 57 Schemat przenoszenia aktywności systemów w przypadku awarii OP Radom... 151 Rysunek 58 Przykładowy schemat architektury rozwiązania DR dla warstwy aplikacyjnej... 151 Rysunek 59 Przykładowy schemat architektury rozwiązania DR dla warstwy bazodanowej i zasobów danych... 152 Rysunek 60 Przykładowy schemat architektury rozwiązania DR dla warstwy bazodanowej i zasobów danych... 152 Rysunek 61 Przykładowy schemat architektury rozwiązania DR dla warstwy aplikacyjnej, bazodanowej i zasobów danych... 153 Rysunek 62 Przykładowy schemat architektury rozwiązania DR dla zasobów danych... 153 Strona 8 z 153

Zastrzeżenie poufności Rozdział usunięty intencjonalnie. Strona 9 z 153

1. Wstęp 1.1 Cel dokumentu Niniejszy dokument opisuje architekturę referencyjną. Dokument przedstawia architekturę w docelowym środowisku informatycznym CPD MF. Zastosowano tu w szerokim zakresie standaryzację komponentów składowych architektury poprzez definicją bloków architektonicznych oraz ujednolicone podejście do graficznego przedstawiania wszystkich systemów, zarówno infrastrukturalnych jak i biznesowych. 1.2 Odbiorcy dokumentu Niniejszy dokument jest przeznaczony dla osób biorących udział w realizacji zadań związanych z dostarczeniem projektu po stronie Zamawiającego. Jest podstawą do realizacji zamówień produktowych oraz wdrożenia tego systemu w środowisku informatycznym CPD MF. 1.3 Dokumenty powiązane/referencyjne Rozdział usunięty intencjonalnie. Strona 10 z 153

1.4 Symbole graficzne Rysunek 1 Symbole graficzne komponentów sieciowych Strona 11 z 153

Rysunek 2 Symbole graficzne komponentów IT Strona 12 z 153

Rysunek 3 Symbole bloków architektonicznych Strona 13 z 153

2. Wymagania projektowe Architektura docelowa IT CPD MF musi być przystosowana do migracji istniejących systemów biznesowych w resorcie finansów oraz tworzyć środowisko dla przyszłych systemów informatycznych, które są projektowane w ramach innych projektów lub programów. W szczególności architektura CPD MF winna spełniać wymagania systemów budowanych w ramach programów e-podatki i e-cło. Lp Kategoria wymagania Nazwa wymagania Opis wymagania 1. 2. 3. 4. 5. 6. 7. 8. 9. Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Funkcjonalne Architektura biznesowa Architektura systemów informatycznych Architektura technologiczna Model Typ modelu Warstwy modelu Elementy modelu architektury Replikacja danych Obszar danych 10. Funkcjonalne Tryb działania modelu Architektura biznesowa będzie wpływać na architekturę systemów informatycznych. Architektura biznesowa MF nie jest przedmiotem analizy i rozwoju w projekcie KiCSCP. Architektura systemów informatycznych będzie wpływać na architekturę technologiczną. Architektura systemów informatycznych MF nie jest przedmiotem analizy i rozwoju w projekcie KiCSCP. Architektura technologiczna będzie wpływać na rozwiązania infrastruktury. Architektura technologiczna (architektura infrastruktury) jest przedmiotem analizy, budowy i rozwoju w projekcie KiCSCP. Architektura infrastruktury będzie oparta na modelu referencyjnym realizującym wymagania chmury obliczeniowej. Model referencyjny będzie miał cechy prywatnej chmury obliczeniowej i będzie ukształtowany do świadczenia usług dla jednej bądź wielu organizacji o tym samym lub podobnym charakterze działalności biznesowej. Model referencyjny będzie składał się z warstwy oferowanych usług, warstwy dostarczania usług i warstwy zasobów. W warstwie zasobów będą projektowane i konstruowane usługi, a w pozostałych warstwach będą działać narzędzia i mechanizmy dostarczania i udostępniania tych usług. W skład modelu architektury infrastruktury będą wchodzić niezbędne elementy realizujące cele KiCSCP. Replikacja danych może odbywać się zarówno w trybie synchronicznym jak i asynchronicznym Wielkość obszarów systemów docelowych jest zgodna z wielkością replikowanych obszarów źródłowych Infrastruktura będzie udostępniana na żądanie. Strona 14 z 153

Lp Kategoria wymagania Nazwa wymagania Opis wymagania 11. Usługi w modelu W ramach modelu będą udostępniane usługi IaaS i Funkcjonalne PaaS. 12. Budowa infrastruktury Infrastruktura będzie zbudowana z bloków architektonicznych. Bloki architektoniczne będą głównie definiowane w 4 warstwach systemów, Funkcjonalne czyli w warstwie proxy, aplikacyjnej, bazodanowej i zasobów danych. W zależności od potrzeb bloki będą również obejmowały systemy komunikacji 13. 14. Funkcjonalne Utrzymaniowe Optymalizacja infrastruktury Zarządzanie architekturą referencyjną Tabela 1 Wymagania dla architektury referencyjnej LAN,WAN, SAN/Storage i DWDM. Liczba bloków architektonicznych przeznaczona do budowy systemów biznesowych będzie optymalizowana w odniesieniu do wymagań obecnych systemów oraz aktualnych technologii. Konstrukcja bloków architektonicznych będzie uwzględniać wymagania systemów budowanych w ramach innych programów poza KiCSCP. będzie utrzymywana zgodnie z zasadami opracowanymi w ramach produktu "Procesy i procedury zarządzania architekturą docelowego " wytworzonego w ramach Zadania 9. 3. Zakres i zasięg architektury 3.1 Zakres architektury Zakres architektury odnosi się do wszystkich systemów projektowanych w ramach CPD MF. W zaprojektowanej architekturze CPD MF będą działały systemy infrastrukturalne oraz systemy biznesowe. W ramach systemów infrastrukturalnych zostaną zbudowane rozwiązania w zakresie: komunikacji LAN komunikacji WAN komunikacji SAN komunikacji DWDM replikacji i zabezpieczenia danych zarządzania awarią i rozwiązań Disaster Recovery usług katalogowych kopii zapasowych danych archiwizowania danych deduplikacji danych wydruku zabezpieczenia antywirusowego dystrybucji oprogramowania infrastruktury klucza publicznego usług terminalowych Strona 15 z 153

kryptograficznej ochrony informacji rejestrowania i monitorowania zdarzeń zarządzania tożsamością cyfrową zarządzania infrastrukturą monitorowania i zarządzania usługami wsparcia usług budowy bazy konfiguracji obiektów IT Dla systemów biznesowych zostanie stworzone środowisko do uruchamiania i eksploatacji systemów migrowanych i systemów nowych, które są wytwarzane w dedykowanych programach dotyczących podatków i ceł. Środowisko systemów infrastrukturalnych i biznesowych będzie definiowane poprzez bloki architektoniczne, które będą głównymi składnikami uruchamianych systemów w CPD MF. Ze względu na rozległość w poniższej tabeli zostały zdefiniowane główne obszary rozwiązań architektonicznych, które będą charakteryzować sposób budowy i funkcjonowania tej struktury. Lp Nazwa obszaru Opis obszaru 1. Warstwy systemów W ramach budowanej architektury środowisk IT w CPD MF będą wyróżniane 4 warstwy w modelu warstwowym systemów: proxy aplikacyjna bazodanowa zasobów danych Każda z warstw systemów będzie miała zdefiniowane bloki architektoniczne, które będą używane do budowy dowolnych systemów w CPD MF, w szczególności do budowy systemów biznesowych i infrastrukturalnych. 2. Bloki architektoniczne Bloki architektoniczne do budowy systemów będą składały się z następujących komponentów: platformy sprzętowej środowiska wirtualizacyjnego systemu operacyjnego platformy aplikacyjnej W ramach budowy systemów biznesowych i infrastrukturalnych będzie można używać dwóch rodzajów bloków: typu IaaS typu PaaS Bloki architektoniczne typu IaaS będą zawierały platformę sprzętową, jako bloki fizyczne, i platformę wirtualizacyjną jako bloki wirtualne. Bloki typu PaaS, oprócz platformy sprzętowej, platformy wirtualizacyjnej, będą zawierały system operacyjny lub system operacyjny i platformę aplikacyjną, czyli środowisko do uruchamiania aplikacji. Bloki typu IaaS będą podstawą do tworzenia usług typu IaaS, a bloki typu PaaS będą używane do usług PaaS. Strona 16 z 153

Lp Nazwa obszaru Opis obszaru Oprócz bloków architektonicznych do budowy systemów informatycznych będą zdefiniowane bloki architektoniczne do tworzenia infrastruktury komunikacyjnej w zakresie LAN, WAN, SAN i DWDM. Zasada tworzenia bloków architektonicznych jest oparta na metodyce TOGAF. W tej metodyce jest również zawarta przesłanka o konieczności ciągłego weryfikowania użyteczności zdefiniowanych bloków architektonicznych w stosunku do aktualnych potrzeb przedsiębiorstwa oraz dostępnych technologii informatycznych. Zatem w metodę tworzenia i stosowania bloków architektonicznych jest również wpisana zmienność tych konstrukcji. Bloki architektoniczne w rezultacie ułatwiają szybką budowę oraz standardową obsługę środowisk systemów IT. 3. Klasy systemów Każdy system infrastrukturalny i biznesowy będzie podlegał klasyfikacji zgodnie ze Standardem określenia klasy systemu informatycznego w resorcie finansów ZAD08_002. Głównymi parametrami określającymi klasę systemu są : RTO szybkość przywrócenia systemu do ponownego działania po wystąpieniu awarii RPO - aktualność danych po wystąpieniu awarii dostępność całkowity dopuszczalny czas niedostępności systemu w ciągu całego roku Według tego standardu systemy mogą należeć do jednej z następujących klas: Klasa I Klasa II Klasa III Klasa IV Klasa I systemu jest najwyższą klasą pod względem RTO, RPO i parametru dostępności. Taka klasyfikacja systemów narzuca na systemy infrastrukturalne wymagania, które powinny być spełnione poprzez odpowiednie rozwiązania konstrukcyjne i technologie informatyczne. 4. Klasy bezpieczeństwa systemów Każdy system infrastrukturalny i biznesowy będzie podlegał klasyfikacji zgodnie ze Standardem określenia klasy bezpieczeństwa systemu informatycznego w resorcie finansów ZAD07_003. Głównymi cechami określającymi klasę bezpieczeństwa systemu są : mechanizmy ochrony kryptograficznej mechanizmy uwierzytelniania i autoryzacji użytkowników stopień odseparowania zasobów systemu od innych zasobów mechanizmy rejestrowania, monitorowania i audytu zdarzeń mechanizmy ochrony przed oprogramowaniem złośliwym czy jest dostępny zdalnie czy ma zabezpieczony styk systemu z innymi sieciami Według tego standardu systemy mogą należeć do jednej z następujących klas: Klasa B3 Strona 17 z 153

Lp Nazwa obszaru Opis obszaru 5. Relacje między warstwami systemów 6. Komunikacja między systemami 7. Komunikacja między ośrodkami OP w CPD MF Klasa B2 Klasa B1 Klasa BX Klasa B1 systemu jest najwyższą klasą bezpieczeństwa systemu pod względem wymienionych cech. Natomiast klasa BX jest klasą bezpieczeństwa dla systemów całkowicie odseparowanych od środowiska IT. Do klasy BX należą systemy, które nie współdzielą żadnej infrastruktury z innymi systemami. Zasilanie tych systemów w dane następuje za pomocą nośników przenaszalnych np. taśm magnetycznych, dysków magnetycznych, płyt CD-ROM i DVD lub innych mediów. Dane z tych systemów są dostępne dla innych systemów również drogą nośników przenaszalnych. Klasyfikacja systemów pod względem bezpieczeństwa narzuca na systemy infrastrukturalne i systemy biznesowe wymagania, które powinny być spełnione poprzez odpowiednie zabezpieczenia na poziomie infrastruktury oraz platformy aplikacyjnej. W ramach modelu warstwowego komunikacja między warstwami proxy, aplikacyjną i bazodanową będzie realizowana poprzez struktury LAN w ten sposób, że pomiędzy poszczególnymi warstwami będą definiowane odpowiednie podsieci VLAN. Te podsieci jednocześnie będą izolowały ruch komunikacyjny obiektów systemów działających w danej warstwie. Zdefiniowane i uruchomione podsieci VLAN będą wykorzystywane przez wiele systemów. Ruch sieciowy między warstwami systemów będzie izolowany. W przypadkach koniecznych będzie możliwa realizacja połączeń między podsieciami VLAN poprzez firewalle lub routery. W docelowym środowisku IT CPD MF będzie uruchomiona komunikacja między różnymi systemami w celu wymiany komunikatów lub danych. Rozwiązania związane z tego typu przepływami danych między systemami będą podlegały odpowiedniej konfiguracji i kontroli przez system komunikacyjny LAN i WAN. W ramach tych zadań będą zaprojektowane odpowiednie połączenia wydajnościowe i, w zależności od wymagań, połączenia redundantne. W skład CPD MF wchodzą następujące Ośrodki Przetwarzania: OP Radom OP Warszawa OP Łódź Każdy z tych ośrodków będzie posiadał połączenie do sieci intranetowej przez sieć operatorską MPLS. Oprócz tego połączenia będzie zbudowana dedykowana komunikacja DWDM między: OP Radom i OP Warszawa OP Radom i OP Łódź Dla tych dwóch relacji między ośrodkami OP w sieci DWDM zostaną zrealizowane połączenia o dużym paśmie przepustowości: 2x40Gbps dla sieci LAN 2x32Gb dla sieci SAN Skalowalność rozwiązania DWDM może wynieść do 400Gbps w sieci LAN i 320Gb dla sieci SAN. Odpowiedni dobór przepustowości sieci Strona 18 z 153

Lp Nazwa obszaru Opis obszaru 8. Komunikacja z użytkownikami sieci intranet 9. Komunikacja między CPD MF i urzędami administracji publicznej oraz innymi użytkownikami instytucjonalnymi 10. Komunikacja z użytkownikami sieci internet Tabela 2 Główne obszary architektury CPD MF 3.2 Zasięg architektury LAN i SAN w systemie DWDM będzie zależał od tempa rozwoju całego środowiska CPD MF pod kątem liczby i wymagań systemów tam instalowanych. Komunikacja użytkowników resortu finansów z ośrodkami CPD MF będzie odbywać się poprzez sieć operatorską MPLS. W tym celu w OP Radom, OP Warszawa i OP Łódź zostaną zainstalowane routery w układach redundantnych i odpowiednio skalowalnej przepustowości. Połączenia użytkowników z sieci intranetowej będą globalnie balansowane między ośrodkami OP. Komunikacja między użytkownikami instytucjonalnymi a ośrodkami CPD MF będzie odbywać się poprzez dedykowane struktury komunikacyjne w ramach rozwiązań bramki do sieci zewnętrznych. To wyjście komunikacyjne będzie wyposażone w dedykowane routery, firewalle, IPS i UTM. W ramach tej struktury będą dostępne sieci DMZ, które będzie można wykorzystywać do instalacji dedykowanych urządzeń lub serwerów wymaganych w połączeniach z konkretnymi użytkownikami. Struktury te będą dostępne w każdym ośrodku, czyli w OP Radom, OP Warszawa i OP Łódź. Komunikacja z użytkownikami sieci internet będzie odbywać się poprzez bramkę do internetu. Bramka do internetu będzie wyposażona w dedykowane routery, firewalle i systemy IPS oraz UTM. W ramach tej struktury będzie dostępnych wiele sieci DMZ, które będzie można wykorzystywać do instalacji serwerów proxy wymaganych w obsłudze użytkowników zewnętrznych systemów biznesowych. Bramka będzie również służyła do dostępu do środowisk IT dla użytkowników będących pracownikami resortu finansów. W tym celu zostanie uruchomiona obsługa kanałów VPN, przez które, po przejściu procesu autoryzacji i uwierzytelnienia, użytkownicy będą mogli korzystać z wewnętrznych zasobów CPD MF. Bramka internetowa będzie zawierała serwery DNS i komponenty systemu poczty elektronicznej. W ramach konfiguracji urządzeń w bramce będzie możliwe profilowanie ruchu do i z CPD MF, w szczególności filtrowanie ruchu zgodnie z przyjętą polityką i zasadami użytkowania tego medium w resorcie finansów. Opisane struktury dostępu z Internetu i do Internetu będą dostępne we wszystkich ośrodkach przetwarzania CPD MF - w OP Radom, OP Warszawa i OP Łódź. Architektura docelowa CPD MF obejmować będzie zasięgiem trzy ośrodki: OP Radom, OP Warszawa oraz OP Łódź. W każdym z ośrodków będzie dostępna jednakowa architektura IT. Z punktu widzenia administracji i użytkowania, 3 ośrodki będą stanowiły jedną logiczną całość. Szybkie połączenia LAN i SAN w relacjach OP Radom OP Warszawa oraz OP Radom OP Łódź zostaną zbudowane na bazie rozwiązań komunikacyjnych DWDM. Poniżej przedstawiono ilustrację graficzną zasięgu architektury w projektowanym środowisku CPD MF. Strona 19 z 153

Rysunek 4 Zasięg budowanej architektury w CPD MF Komponenty systemów infrastrukturalnych będą instalowane głównie w OP Radom, OP Warszawa i OP Łódź. Niektóre z tych systemów będą jednak integrowane z systemami działającymi w resorcie finansów, bądź ich infrastruktura zostanie rozszerzona do innych lokalizacji poza wymienione 3 Ośrodki Przetwarzania. Takie rozszerzenie rozwiązań wynika ze względów technicznych lub ograniczeń w szybkości migracji do architektury centralnej istniejących systemów. Strona 20 z 153

Rysunek 5 Zasięg architektury systemów infrastrukturalnych w CPD MF Poniżej został zilustrowany zasięg systemów biznesowych w nowej architekturze CPD MF. Systemy biznesowe, bądź ich wybrane komponenty, mogą być instalowane w dowolnym OP. Migrowane systemy biznesowe będą podlegały centralizacji w granicach 3 zdefiniowanych ośrodków CPD MF. Rysunek 6 Zasięg architektury systemów biznesowych w CPD MF 4. CPD MF 4.1 Wstęp do architektury Architektura systemów IT może być opisywana w różnych perspektywach. W wielu metodykach opis architektury głównie dotyczy: perspektywy biznesowej perspektywy funkcjonalnej lub systemów informatycznych perspektywy technologicznej perspektywy implementacyjnej. W niektórych opisach architektur, np. w metodyce TOGAF, występują tylko 3 pierwsze perspektywy. Wszystkie wymienione perspektywy są związane ze sobą odpowiednimi relacjami racjonalnych przesłanek i reguł, które tworzą konstrukcyjnie logiczną całość. W każdej metodyce kluczową rolę odgrywa perspektywa biznesowa. W odniesieniu do niej tworzone są odpowiednie relacje, zawierające postulaty, wnioski i przesłanki, aby przejść do następnych perspektyw. Ze szczegółowych opisów perspektyw architektur są tworzone modele architektoniczne, które zwykle stają się podstawą budowy środowisk IT z dobrze zdefiniowanymi technologiami informatycznymi oraz określonymi ograniczeniami ich zakresu stosowalności. Strona 21 z 153

4.1.1 Model architektury w metodyce TOGAF W metodyce TOGAF jest opisywany cały cykl tworzenia i zarządzania architekturą od założeń i zasad biznesowych, poprzez różne perspektywy, migracje i wdrożenia, aż po zarządzanie zmianą w wytworzonej architekturze. Ważnym punktem w tym cyklu jest architektura technologiczna, która narzuca wytwarzanie odpowiednich modeli, które funkcjonują jako techniczna forma architektur biznesowych, funkcjonalnych i technologicznych. Na rysunku poniżej został pokazany schemat cyklu rozwojowego architektury przedsiębiorstwa w metodyce TOGAF oraz miejsce w tym cyklu, gdzie tworzone są modele architektoniczne z perspektywy technologicznej. Strona 22 z 153

Rysunek 7 Cykl rozwojowy architektury w TOGAF Po rozważeniu wszystkich koniecznych uwarunkowań w cyklu rozwojowym architektury technologicznej dokonuje się wyboru modelu architektonicznego, który będzie obowiązywał do momentu weryfikacji w następnym cyklu rozwojowym. Strona 23 z 153

Rysunek 8 Cykl rozwojowy architektury technologicznej w TOGAF 4.2 Model funkcjonalny architektury Z metodyki TOGAF, oraz z cyklu rozwojowego architektury technologicznej, wynika konieczność przeanalizowania i wybrania odpowiedniego modelu architektury technologicznej dla realizacji architektury biznesowej i architektury systemów informatycznych przedsiębiorstwa. Ponieważ zdefiniowane cele biznesowe oraz założony tryb działania przyszłego CPD MF wskazuje na charakter usługowy tego środowiska, do realizacji tego przedsięwzięcia został wybrany HP Cloud Functional Reference Architecture Model (HP CFRA Model). Model ten swoją konstrukcją odpowiada założeniom i wymaganiom MF do pełnienia roli konsolidacji i centralizacji systemów resortu finansów oraz budowania usług w modelu prywatnej chmury obliczeniowej. Model został przedstawiony na rysunku poniżej. Zasoby Dostarczanie Popyt Nadzór nad usługami Zarządzanie usługami Rysunek 9 Model funkcjonalny architektury HP CFRA prywatnej chmury obliczeniowej Ponieważ CPD MF będzie świadczyło tylko usługi IaaS i PaaS, na poniższym rysunku zostały usunięte usługi SaaS, które w tej fazie budowy Ośrodków Przetwarzania nie będą oferowane. Strona 24 z 153

Zasoby Dostarczanie Popyt Nadzór nad usługami Zarządzanie usługami Rysunek 10 Model funkcjonalny architektury chmury obliczeniowej CPD MF W modelu funkcjonalnym architektury chmury obliczeniowej HP CFRA są wyróżnione 3 warstwy: warstwa zasobów warstwa dostarczania Warstwa popytu W warstwie popytu znajduje się podwarstwa katalogu usług i portalu. Wyróżnienie tej podwarstwy w modelu ma zasadnicze znaczenie dla usługowego charakteru środowiska chmury obliczeniowej. W tej podwarstwie powinny znajdować się wszystkie interfejsy oferowania, udostępniania i rozliczania usług obliczeniowych w formie portalu z klientami. W każdej warstwie modelu występują sekcje funkcjonalne. Niektóre sekcje, obejmujące kompleksowe procesy lub złożone systemy, występują w dwóch warstwach. Zatem sekcje należy przypisywać do warstw według następującego schematu: 1. Warstwa zasobów zasoby przydzielanie i konfiguracja zasobów zarządzanie zasobami zarządzanie usługami nadzór nad usługami 2. Warstwa dostarczania Strona 25 z 153

konfiguracja i aktywacja usługi zapewnienie dostarczania naliczanie opłat rozliczanie przychodu zarządzanie zamówieniami zarządzanie użytkownikami zarządzanie usługami nadzór nad usługami 3. Warstwa popytu z podwarstwą katalogu usług i portalu katalog usług stan usługi service desk wykorzystanie usługi dostęp do usług zarządzanie wnioskami interakcje bilingowe zarządzanie portfelem usług Warstwy modelu są wspierane przez różne zasoby, systemy lub procesy IT. Ze względu na usługowy charakter środowiska chmury obliczeniowej, niektóre systemy lub procesy wspierające model funkcjonalny mogą występować w wielu warstwach. Poniżej zostały przyporządkowane systemy i procesy do odpowiednich warstw modelu funkcjonalnego HP CFRA w odniesieniu do rozwiązań dostrczanych w procesie KiCSCP. Niektóre elementy warstw są wspierane przez systemy lub procesy spoza zakresu procesie KiCSCP. 1. Warstwa zasobów zasoby o Mechanizmy replikacji i zabezpieczenia danych w CPD MF o Mechanizmy zarządzania awarią łącznie z rozwiązaniami DR w CPD MF o System wydruku w CPD MF o Systemy realizujące funkcje biznesowe w CPD MF o Bramka internetowa w CPD MF o System komunikacji LAN/WAN w CPD MF o Projekt systemu kryptograficznej ochrony informacji o System antywirusowy w CPD MF o System komunikacji SAN w CPD MF o Projekt systemu usług terminalowych o Architektura zabezpieczeń sieci o System komunikacji CWDM/DWDM w CPD MF przydzielanie i konfiguracja zasobów o System dystrybucji oprogramowania w CPD MF o Wirtualizacja zasobów w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF zarządzanie zasobami o Projekt systemu zarządzania infrastrukturą sieciową w CPD MF o Projekt systemu zarządzania infrastrukturą serwerową i aplikacyjną w CPD MF Strona 26 z 153

zarządzanie usługami o Projekt w zakresie rozwiązania wspierającego budowę i utrzymanie bazy CMDB wraz z automatycznym wykrywaniem i zbieraniem informacji o elementach konfiguracji infrastruktury IT oraz ich weryfikacji z aktualnym stanem w bazie CMDB o Model bazy CMDB dla środowiska IT w CPD MF nadzór nad usługami o Role i funkcje w modelu organizacyjnym 2. Warstwa dostarczania konfiguracja i aktywacja usługi o System dystrybucji oprogramowania w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF zapewnienie dostarczania o Zarządzanie pojemnością o Zarządzanie ciągłością o Projekt systemu monitorowania usług w CPD MF o System backupowy w CPD MF o System archiwizacji w CPD MF o System deduplikacji w CPD MF naliczanie opłat o Zarządzanie finansami rozliczanie przychodu o Zarządzanie finansami zarządzanie zamówieniami o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 zarządzanie użytkownikami o Usługi katalogowe o Projekt systemu zarządzania tożsamością cyfrową zarządzanie usługami o Projekt w zakresie rozwiązania wspierającego budowę i utrzymanie bazy CMDB wraz z automatycznym wykrywaniem i zbieraniem informacji o elementach konfiguracji infrastruktury IT oraz ich weryfikacji z aktualnym stanem w bazie CMDB o Model bazy CMDB dla środowiska IT w CPD MF nadzór nad usługami o Role i funkcje w modelu organizacyjnym 3. Warstwa popytu z podwarstwą katalogu usług i portalu katalog usług o Katalog usług CPD MF o Zarządzanie katalogiem usług stan usługi o Projekt systemu monitorowania usług w CPD MF service desk o Projekt systemu monitorowania usług w CPD MF wykorzystanie usługi Strona 27 z 153

o Zarządzanie finansami dostęp do usług o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 zarządzanie wnioskami o Projekt systemu zarządzania świadczeniem i wsparciem usług w CPD MF zgodnie z ITIL v.3 interakcje billingowe o Zarządzanie finansami zarządzanie portfelem usług o Zarządzanie strategią i portfelem usług Na rysunku poniżej zostało pokazane mapowanie produktów i podproduktów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF. Proces: Zarządzanie finansami usług Katalog usług CPD MF IaaS PaaS Proces: Zarządznie katalogiem usłług Proces: Zarządzanie strategią i portfelem usług Model organizacyjny: Role i funkcje w modelu organizacyjnym System: Dystrybucja oprogramowania System: Wirtualizacja zasobów System: Wirtualizacja zasobów Proces: Zarządzanie pojemności Proces: Zarządzanie ciągłością Zasoby Dostarczanie Popyt Zarządzanie potfelem usług Nadzór nad usługami Interakcje billingowe Wykorzystanie usługi Naliczanie opłat Konfiguracja i aktywacja usługi Orkiestracja, szeregowanie, optymalizacja Przydzielanie i konfiguracja zasobów Wyszukiwanie i integracja zasobow System: Replikacja System: Bramka do internetu System: PKI System: Kryptografia Warstwa katalogu usług i portalu Zarządzanie wnioskami Rozliczanie przychodu Dostęp do usług Zarządzanie zamówieniami Zasoby Infrastruktura, platforma, oprogramowanie, informacja System: Mechanizmy DR System: LAN/WAN System: SAN Stan usługi Service Desk Zarządzanie użytkownikami Zapewnienie dostarczania Dostepność, wydajność, pojemność, ciągłość, zgodność z wymaganiami Zarządzanie zasobami Optymalizacja, monitorowanie wydajności, pomiar wykorzystania System: Wydruki System: DWDM System: Usługi teminalowe System: Systemy biznesowe System: Antywirus Katalog usług Zarządzanie usługami System: Zabezpieczenie sieci System: Backup System: Zarządzanie świadczeniem i wsparciem usług w CPD MF System: Zarządzanie tożsamością cyfrową w CPD MF System: Usłigi katalogowe w CPD MF System: Monitorowanie usług w CPD MF Model bazy CMDB dla środowiska IT w CPD MF System: Budowa bazy CMDB w CPD MF System: Zarządzanie infrastrukturą sieciową System: Zarządzanie infrastrukturą serwerową Rysunek 11 Mapowanie systemów i procesów KiCSCP na model HP CFRA chmury obliczeniowej CPD MF System: Archiwizacja System: Deduplikacja 4.2.1 Model warstwowy systemu Do budowy środowiska IT w CPD MF został przyjęty czterowarstwowy model ogólny systemów. Uzasadnieniem dla tego modelu jest charakter środowiska IT, które będzie budowane w Strona 28 z 153

Ośrodkach Przetwarzania CPD MF. Głównymi składowymi obecnie budowanych systemów biznesowych są następujące warstwy: warstwa proxy warstwa aplikacyjna warstwa bazodanowa warstwa zasobów danych. Wszystkie te warstwy odgrywają ważną rolę w modelach środowiska IT chmur obliczeniowych, ponieważ są one przedmiotem oferty w katalogach usług związanych z ofertą dla klientów. W przypadku CPD MF klientem będzie DI MF i, w rezultacie, cały resort finansów. Rysunek 12 Model warstwowy systemów w CPD MF Model warstwowy systemów będzie obowiązywał we wszystkich Ośrodkach Przetwarzania CPD MF. Poniżej został pokazany ten model w otoczeniu systemów komunikacyjnych LAN, WAN, SAN i DWDM, które będą działały w OP i między OP. Strona 29 z 153

Rysunek 13 Model warstwowy systemów w OP CPD MF wraz systemami komunikacyjnymi Ponieważ głównym elementem struktur CPD MF będą systemy biznesowe, można posługiwać się uproszczonym modelem warstwowym, zredukowanym do istotnych warstw systemów. Rysunek 14 Uproszczony model warstwowy systemów w OP CPD MF Strona 30 z 153

W każdej warstwie modelu będą dostępne zasoby infrastrukturalne w formie bloków architektonicznych. Bloki architektoniczne umieszczone w 3 pierwszych warstwach będą charakteryzować się: platforma sprzętową metodą wirtualizacji systemem operacyjnym platformą aplikacyjną Natomiast dla warstwy zasobów danych istotnymi parametrami będą: Pojemność danych Szybkość dostępu do danych Sposób zabezpieczenia danych o typ RAIDu o replika wewnętrzna w macierzy o replika w zewnętrznej macierzy Ponadto te zasoby infrastrukturalne będą należały do różnych klas systemów, co oznacza, że bloki architektoniczne typu IaaS lub PaaS, jako obiekty wirtualne, zbudowane na bazie serwerów fizycznych mogą działać w ramach różnych systemów o różnych klasach. To samo dotyczy systemów operacyjnych obiektów wirtualnych. W szczególności na jednym serwerze fizycznym może działać wiele serwerów wirtualnych z różnymi systemami operacyjnymi. Zasoby danych będą udostępniane różnym systemom o innych klasach w jednym typie macierzy dyskowych (uniwersalnych), w których będą instalowane dyski o różnych szybkościach dostępności. Macierze dyskowe będą wyposażone w oprogramowanie, które będzie optymalizować wykorzystanie dostępnej przestrzeni dyskowej pod względem intensywności operacji I/O na zdefiniowanych obszarach np. na poziomie LUN, plików lub bloków. Takie podejście do wykorzystywania zasobów infrastrukturalnych nie determinuje ich przynależności do określonej klasy systemów. Natomiast sposób budowy poszczególnych systemów wraz z zastosowaniem odpowiednich mechanizmów (klastry i farmy w pierwszych trzech warstwach oraz replikacja danych w warstwie czwartej) będzie wspierał wartości parametrów RTO, RPO i dostępność definiowane dla każdej klasy systemu. Na rysunku poniżej pokazano tylko przykładowe mapowanie zasobów infrastrukturalnych do różnych systemów operacyjnych i klas systemów. Strona 31 z 153

Struktura warstw Warstwa serwerów proxy Typ A Typ B Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platforma OS 1 Platforma OS 2 Platforma OS 3 Platforma OS 2 Platforma OS 1 Platforma OS 3 Platforma OS 2 Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platforma OS 2 Platforma OS 1 Platforma OS 2 Platforma OS 3 Platforma OS 2 Platforma OS 1 Platforma OS 3 Platformy OS 1, 2 i 3 LAN Warstwa serwerów aplikacyjnych Typ C Typ D Klasa I Platforma OS 2 Platforma OS 1 Klasa II Platforma OS 2 Platforma OS 3 Klasa III Platforma OS 2 Klasa IV Platforma OS 1 Rezerwa dla Klas I, II, III i IV Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platforma OS 1 Platforma OS 2 Platforma OS 3 Platforma OS 2 Platforma OS 1 Platforma OS 3 Platformy OS 1, 2 i 3 LAN Warstwa serwerów bazodanowych Typ E Typ F Platforma OS 2 Klasa I Klasa II Klasa III Rezerwa dla Klas I, II, III i IV Platforma OS 3 Platforma OS 2 Platforma OS 1 Platformy OS 1, 2 i 3 Klasa I Klasa II Klasa III Klasa IV Rezerwa dla Klas I, II, III i IV Platforma OS 3 Platforma OS 1 Platforma OS 2 Platformy OS 1, 2 i 3 SAN Warstwa zasobów danych Typ G Typ H Zespół Macierzy dyskowych 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB Klasa I Klasa II Klasa III Rezerwa dla Klas I, II, III Zespół Macierzy dyskowych 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 500 GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB GB Klasa II Klasa III Klasa IV Rezerwa dla Klas II, III i IV Rysunek 15 Podział zasobów w modelu warstwowym systemów w CPD MF 4.2.2 Sieć LAN Całe środowisko CPD MF będzie połączone siecią LAN. W tabeli poniżej został podany rekomendowany podział sieci LAN na grupy podsieci VLAN, które będą pełniły określone funkcje komunikacyjne. Każda grupa może składać się z wielu podsieci VLAN. Nazwy poszczególnych podsieci VLAN w danej grupie funkcjonalnej mogą być inne od podanych w tabeli, ale swoimi nazwami powinny nawiązywać do pełnionej roli w systemie sieci LAN. Dokładny przydział przedziałów adresów IP dla podsieci VLAN jest określony w dokumencie System komunikacji LAN/WAN w CPD MF, który zostanie udostępniony Wykonawcy po podpisaniu umowy. Strona 32 z 153

Lp. Funkcjonalne grupy VLAN-ów Opis 1 INTERIEn podsieci podłączeniowe do WAN-u w Węźle Bramki Internet 2 FWIEn podsieci zewnętrzne w Węźle Bramki Internet 3 DMZIEn podsieci wewnętrzne DMZ w Węźle Bramki Internet 4 VPROXYIEn podsieci serwisów wirtualnych w Węźle Bramki Internet 5 VPROXYIE_OUTn podsieci w Węźle Bramki Internet dedykowane do komunikacji wewnętrznej intranetowej 6 UINETn podsieci podłączeniowe do WAN-u w Węźle Bramki Użytkowników Instytucjonalnych (UI) 7 FWUIn podsieci zewnętrzne w Węźle Bramki UI 8 DMZUIn podsieci wewnętrzne DMZ w Węźle Bramki UI 9 VPROXYUIn podsieci serwisów wirtualnych w Węźle Bramki UI 10 VPROXYUI_OUTn podsieci w Węźle Bramki UI dedykowane do komunikacji wewnętrznej intranetowej 11 INTRAn podsieci podłączeniowe do WAN-u w Węźle Dostępowym Intranet 12 FWIAn podsieci zewnętrzne w Węźle Dostępowym Intranet 13 SynWDn podsieci techniczne na potrzeby synchronizacji Zapór Sieciowych i Urządzeń Równoważących Obciążenie (FW/LB) w Węzłach Bramki i Intranet 14 PROXYn podsieci wewnętrzne w Węźle Bramki Internetowej i UI dla fizycznych serwerów 15 TRANZn podsieci tranzytowe 16 VAPPn podsieci dla wirtualnych serwisów aplikacyjnych 17 APPn podsieci dla serwerów aplikacyjnych 18 DBn podsieci dla BackEnd-owych serwerów bazodanowych 19 BACKUPn podsieci dla wykonywania kopii zapasowych (Backup) 20 SMOTIONn podsieci dla komunikacji między obiektami wirtualnymi oraz przeznaczone do przenoszenia obieków wirtualnych między różnymi maszynami fizycznymi 21 SynLANn podsieci techniczne na potrzeby synchronizacji Zapór Sieciowych i Urządzeń Równoważących Obciążenie (FW/LB) w Węzłach Dystrybucyjnych 22 HBn podsieci grupowania serwerów 23 MGMTn podsieci dla systemów zarządzania Tabela 3 Podział zestawów VLAN-ów na grupy funkcjonalne Na poniższym diagramie grupy podsieci VLAN zostały pokazane w formie graficznej. Grupy podsieci funkcjonalnych są reprezentowane poprzez jedną sieć VLAN, np. grupa podsieci WANintranet jest nazwana w skrócie INTRAn, gdzie n może być kolejnym numerem sieci intranetowej. W związku z tym w następnych rozdziałach tego dokumentu pokazywane na diagramach podsieci VLAN reprezentują daną grupę podsieci VLAN. Strona 33 z 153