Jak vybudovat datové centrum v ČSSZ

Renomovaná společnost Hewlett- Packard se zaměřuje rovněž na budování datových a hlasových sítí. Jako držitel osvědčení Cisco Gold Certified Partner se v převážné míře soustřeďuje na řešení na bázi technologie Cisco. Vzhledem k počtu certifikovaných síťových expertů bezesporu patří mezi nejsilnější firmy v oboru IT na českém trhu (pětkrát obdržela osvědčení CCIE). Hloubka znalostí i dlouhodobé zkušenosti expertů HP umožňují této společnosti soustřeďovat se na komplexní projekty na bázi nových technologií, kde nabízí zákazníkům řešení s velkou přidanou hodnotou. Mezi prioritní oblasti HP patří především budování datových center, řešení bezpečnosti, oblast konvergence datových a hlasových sítí, Unified Communication apod. Popišme si nyní princip řešení budování a konsolidace datového centra v České správě sociálního zabezpečení (ČSSZ) v rámci právě probíhajícího projektu.

Ani bit nazmar

Vzhledem k zajištění nepřetržitého provozu kritických aplikací se řada firem zabývá strategií budování svých datových center (DC). Tato datová centra jsou od sebe geograficky oddělena; bývají nejčastěji dvě, popřípadě tři. Vzájemně propojená datová centra zajišťují především nepřetržitý provoz klíčových aplikací, snižují dobu pro obnovení dat, zvětšují dostupnost aplikací i propustnost a v neposlední řadě konsolidují serverová a datová úložiště. V rámci zmíněného projektu jsou navržena tři datová centra pomocí technologie DWDM v zapojení "full mesh", s redundancí zajišťovanou na rozhraní jednotlivých připojených zařízení. Multiplexuje se zde osm kanálů - a to šestkrát 1Gbit ethernet pro IP a dvakrát 2Gbit fibre channell pro SAN. V případě výpadku jednoho ze spojů je zálohování zajištěno přes druhou optickou trasu. Datová páteř je vybudována na Cisco Catalyst přepínačích/směrovačích propojených vzájemně přes Gbit linky. Celá páteř je oddělena od uživatelských přepínačů přes L3 rozhraní. Dvě datová centra jsou připojena do MPLS/VPN WAN přes Cisco směšovače, na nichž jsou zakončeny IPsec tunely od všech poboček a jsou ověřeny pomocí certifikátů. Tato datová centra mají zajištěno vícenásobné propojení do internetu od různých poskytovatelů. Bezpečnost je zajištěna vícestupňovým "firewallingem" včetně IPS (Intrusion Protection System). V případě výpadku jednoho poskytovatele je provoz přesměrován na jiného.

Zákazník na prvním místě

Klient požadující služby aplikace může být umístěn buď v prostředí uvnitř společnosti na jejích LAN/WAN nebo může přistupovat k datům z internetu. Z pohledu klienta jsou datová centra naprosto transparentní. Síťová infrastruktura musí být navržena tak, aby zajistila rozložení zátěže mezi datová centra a zajistila vysokou dostupnost služby. K tomuto účelu se využívá mechanismů virtuálních adres a "content networkingu". Tato technologie zajišťuje rozložení zátěže mezi aplikačními servery podle jejich vytížení. Též se často používá k zakončení SSL komunikace (komunikace https) od klienta k serveru, který zabezpečuje datový tok proti nahlížení či modifikaci i v rámci lokálních LAN. Další nezbytnou úlohou datových center je zajištění ověření klientovy identity a zajištění přístupu pouze k datům, na která má patřičná práva. Klientská identita v ČSSZ je ověřována pomocí "kerberos tiketu" v doméně pomocí portálu, jenž je předřazen všem aplikacím a tvoří jakousi datovou a bezpečnostní proxy. Nedílnou součástí je proto segmentace datového centra na vrstvy či zóny, které jsou od sebe odděleny firewallem. Každá z vrstev datového centra má jasnou definici včetně definice pravidel prostupu mezi jednotlivými vrstvami.

Například klient smí kontaktovat pouze proxy vrstvu a po ověření kontaktuje proxy vrstva jménem klienta danou aplikaci. Pro správu všech vrstev, respektive serverů v nich, je definována MGMT zóna s jasnými pravidly prostupu pro jednotlivé administrátory. Pro vlastní optimalizaci datového toku od klienta k aplikaci přes pomalé linky WAN byly nasazeny akcelerátory WAN, jež minimalizují dopad menší průchodnosti a většího zpoždění přes WAN.

Podrobnější popis všech částí takto rozsáhlé komunikační infrastruktury lze najít na webové prezentaci HP týkající se datových center.

(hrt)

www.hp.cz