Post on 22-Jul-2020
Nube Privada
10/02/2020
2
Sobre EJIE
EJIE Eusko Jaurlaritzaren Informatka Elkartea
Sociedad Pública de Informática del Gobierno Vasco
Misión: Empresa Pública de Servicios de las Tecnologías de la Información
y las Comunicaciones(TIC), cuya razón de existir es contribuir de manera
eficaz a la consecución de un Sector Público Vasco moderno y eficiente, en
el Marco Legal establecido por el Gobierno, con la seguridad y calidad
establecidas.
Algunos datos
Explota dos CPD ubicados en Araba y Bizkaia
• ~ 3.000 Servidores y >3 PB información neta
• > 2.500 Aplicaciones
• > 400 Ubicaciones
• > 50.000 Puestos
• ~ 200 Trabajadores
• ~ 120 M€ Presupuesto Anual
3
Índice
1. Proceso Convergencia (Iniciativa Batera)
2. Batera - Servicio IaaS
3. Estructura CPD Convergencia
4. Continuidad de negocio (HA y DR)
4
Índice
1. Proceso Convergencia (Iniciativa Batera)
2. Batera - Servicio IaaS
3. Estructura CPD Convergencia
4. Continuidad de negocio (HA y DR)
5. Onboarding Entidades
5
Proceso de Convergencia
6
Proceso de Convergencia
Define 4 ejes de actuación:
• Infraestructuras (salas técnicas: consolidación de CPDs)
• Comunicaciones: Servicios de operador, gestión y contratación centralizada
• Puesto de trabajo: PCs ‘maquetado y gestionado’, Impresión, Ofimática, Soporte
Usuario final
• Servicios corporativos: Shared Services (Correo, Colaboración y CCUU, Gestión
identidades, Navegación segura, Telefonía IP, Videoconferencia y Gestión de
Video, …)
EJIE se transforma en un proveedor de servicios multi-cliente
Primeros servicios a implantar:
• Servicio IaaS
• Servicio Hosting
• Servicio Colaboración y Comunicación “Elkarlan”
• Servicio WorkPlace/Endpoint (EFSS y VDI/RDS)
• Gestión de Identidades y Accesos
Todo ello sobre la figura del nuevo “CPD de Convergencia”
7
“CPD de Convergencia”
• Planteamiento “greenfield” con estructura multi-tenant en el que EJIE es un
“tenant” (cliente) más.
• Diseñado para encontrar un punto de compromiso entre:
o Minimizar el TCO de la infraestructura
o Maximizar la disponibilidad de los servicios
o Minimizar la complejidad de la infraestructura (+ complejidad => + riesgo)
o Minimizar los recursos inactivos y/o infrautilizados
• Orientación “SDDC” en el que la automatización de infraestructura tenga el
máximo recorrido posible.
• Contempla la integración (hibridación) de servicios con operadores de Cloud
Público como factor para reducir costes o complementar servicios.
• Supone un nuevo planteamiento de la estrategia de disponibilidad y continuidad
(ISO 27000 e ISO 22301)
8
Hosting Consolidación
Cloud Convergencia
Servicios Compartidos
Internet
Redes Privadas
Ciudadanos
Usuarios Internos
OOAA y Dptos.
Portal
Autoservicio
SDDC Convergencia
Encuadre Servicios
9
Características
Automatización de la
Infraestructura
Segmentación
Segura de
Aplicaciones
Experiencia de
Usuario de
Autoservicio / Bajo
Demanda
Extensión Híbrida
Eliminación de
procesos manuales
(susceptibles a error) y
los silos tecnológicos y
organizativos.
Optimización de,
estandarización y
simplificación de
cargas.
Despliegues basados
en políticas y
aislamiento entre
distintas capas y
categorías de
aplicaciones así como
entre clientes (tenant).
Empoderamiento de
los desarrolladores y
de IT para solicitar y
gestionar el ciclo de
vida de las
aplicaciones.
DevOps
Extensión segura del
data center propio de
cada organización con
el Cloud de la
Convergencia y a su
vez de éste con otros
proveedores públicos
de servicio.
10
Índice
1. Proceso Convergencia (Iniciativa Batera)
2. Batera - Servicio IaaS
3. Estructura CPD Convergencia
4. Continuidad de negocio (HA y DR)
11
Servicio IaaS
• El servicio IaaS es el de más bajo nivel y se puede consumir directamente por los
clientes/usuarios finales a través de un portal de autoservicio (vRA)
• El servicio IaaS se divide en cuatro grandes categorías:
• MVs como Servicio (Servidores)
• Escritorios Virtuales/Remotos como Servicio (VDI/RDS)
• Almacenamiento como Servicio (NFS/SMB/CIFS/S3/HDFS)
• BackUp como Servicio
• Los Servicios ofertados se organizan en un catálogo
• El catálogo se organiza en dos grupos principales:
o Servicios de Front Office: Son los pensados para ser contratados por los clientes
o Servicios de Valor Añadido: Son los que se contratan como complemento de otro de
front office.
12
Servicio IaaS
• Los Servidores se definen por tres atributos principales:
• Nivel de disponibilidad: A/B/C
• Nivel de rendimiento: 1/2/3/4
• Nivel de rendimiento del almacenamiento: X/Y/Z
• Se identifican por ese código de tres caracteres: A1X, B3Y, C3Z etc …
13
Servicio IaaS
Categoría Uso Típico CPU RAM Almac. BackupNivel
Disponibilidad
Tipo Servidores (Disponibilidad: A/B/C - Nivel Rendimiento Servidor 1/2/3/4 – Nivel Rendimiento Almacenamiento
X/Y/Z)
A1X / Y
A2X / Y
A1#: Aps. críticas sensibles
latencia
A2#: Aps. críticas estándar
2 – 16
vCPU1 - 64 GB
A#X / A#Y:
20 - 1024 GB Personalizable con
granularidad:
• Diario hasta L-D con
retención hasta 1 mes
• Mensual con retención
hasta un año
• Anual con retención
hasta 5 años.
Alto
(Protección DR)
B1X / Y
B2Y
B3Y / Z
B1#: Aplicaciones sensibles
latencia
B2#: Aps. de producción estándar
B3#: Aps. Estándar bajos recursos
2 – 16
vCPU1 - 64 GB
B1X / B#Y / B3Z:
20 - 1024 GB
Normal
(Proteccion HA+)
C3Y / Z
C4Z*
C3#: Entornos desarrollo y testing
C4#: Pilotos, laboratorios y
proyectos temporales
2 – 16
vCPU
(*)C4 máx 2
1 - 64 GBC
20 - 1024 GB
No Productivo
(Proteccion HA-)
Oferta de Servicios
Nive
l
Contención
CPU
Contención
RAM
Red
(Tx)Sobresus. ANS
#1 < 1% < 0,1% 0 drops 1:1 100%
#2 < 5% < 3% 0 drops 1:4 90%
#3 < 15% < 6% 0 drops 1:6 75%
#4 N/A N/A N/A 95% N/A
Servidores
Nivel Descripción Tpo. Respuesta ANS
##X Rápido < 5 msg. 100%
##Y Normal < 20 msg. 90%
##Z Básico < 30 msg. 75%
Perfiles de Rendimiento
Almacenamiento
KPI / SLANormal
(B)
Alto
(A)
NoProd
(C)
RTO/RPO Incidente Menor 12 / 1 h 6 / 0 h BE / 24h
RTO/RPO Catástrofe ∞ / 24 h 12 / 1 h BE /1 s.
Incidencia críticaTiempo Resp. < 30 min < 20 min -
Tiempo Resol. < 4 h < 3 h -
Incidenciagravedad alta
Tiempo Resp. < 40 min < 30 min -
Tiempo Resol. < 8 h < 6 h -
Incidenciagravedad media
Tiempo Resp. < 1 h 8x5 < 1 h 8x5 -
Tiempo Resol. < 2 días < 8 h 8x5 -
Incidenciagravedad baja
Tiempo Resp. < 2 h 8x5 < 2 h 8x5 -
Tiempo Resol. < 7 días < 16h 8x5 -
Indicadores Clave de Disponibilidad y ANS
14
Servicios Valor Añadido IaaS
• Servicio incluidos Estandar
• Antivirus SO
• Seguridad perimetral IDS/IPS
• DNS Interno y Público
• Anti-Malware y protección tráfico web
• Servicios opcionales
• Parcheado de SO
• Backup y recuperación
• Monitorización entornos de cliente (front-office)
• Centralización de logs y reporting basado en paneles de disponibilidad, rendimiento y
capacidad
• Seguridad IDS/IPS Host
• Gestión de Vulnerabilidades
• Pasarela VPN
• Evolución a PaaS
15
Servicio IaaS
Portal de autoservicio - vRA
16
Índice
1. Proceso Convergencia (Iniciativa Batera)
2. Batera - Servicio IaaS
3. Estructura CPD Convergencia
4. Continuidad de negocio (HA y DR)
17
Estructura Lógica
Tenant Default
Recursos
Clientes
SDDC
Redes de
Acceso y
CPDs
Clientes
Perímetro
WAN SDDC
y DCI
Tenant 1 Tenant 2 Tenant N
MPLS
Internet
TenantConverg
encia
Expo. Horiz.
TenantN
Tenant Operación y Servicios VARecursos
Internos
SDDC
Reserva Tenant #1
Tenant#2
Business Group #A
BG #A
Business Group #C BG #B
Business Group #BPortal
Autoservicio
18
Planteamiento Infraestructura
Usuarios Internos
OOAA, Dptos. y
personal externo
vRealize
SDN
IaaS
IaaS
PaaS
Tier
Virtual
VSAN
NFS
Microsegmentación
Rep
Backup
All-
Flash
Scale
Out
FC
Tier
Físico
BDaaS
Almac.
Objeto
EFSS
Aplicac
iones
Apps
Legacy
HTTP
Array
All-
Flash
19
Índice
1. Proceso Convergencia (Iniciativa Batera)
2. Batera - Servicio IaaS
3. Estructura CPD Convergencia
4. Continuidad de negocio (HA y DR)
20
Continuidad de negocio
Perímetro Físico
Gestión Site A
Networking Site A
Recursos con DR
Rec.sin DR
Site A Site B
Perímetro Físico
Gestión Site B
Networking Site B
Zona Transporte
Gestión
Zona Transporte
TenantsPod
Recursos
Pod SDN
Pod
Gestión
Tenant 1
Tenant 2
Tenant X
MPLS
Internet
WindowsRecursos con DR / Recursos Sin DR
RHEL
Oracle WLS
Oracle BBDD
Recursos RDS Recursos RDSRecursos VDI
21
Continuidad de negocio - SRM
• VMware SRM (Site Recovery Manager)
• Planes centralizados simples de recuperación para miles de máquinas (vs
Runbooks/procesos manuales)
• Testeo del recovery no-disruptivo
• Workflows automatizados de DR
• Se integra con el resto de productos del stack
• Reduce la complejidad y el riesgo implícito en los procesos manuales
• Permite tener RPOs predecibles
• Permite tener el DR organizado por políticas.
22
No Productivo Normal Alto Nivel 0
Categoría de Aplicación Ni estratégica ni crítica Estratégico pero no crítico Función Crítica Vital
Proporción Típica 20% 55% 20% 5%
Requisito de Disponibilidad [*]
Bajo< 98%
Medio98,0%
Alto99,0%
Muy Alto99,9%
RTO/RPO (h) DesastresMenores [1]
Best Effort/24 12/1 6/0 1/0
RTO/RPO (h) DesastresMayores [2]
∞/1 Semana ∞/24 12/1 6/1
Cobertura Soporte “Best effort” sin SLA 8x5 24x7 24x7
Monitorización Ninguna Infraestructura + SO y Middleware + Nivel de Aplicación
Ventanas de Mtmto. Fijas Fijas Flexibles Flexibles
[1]: Cubiertos con mecanismos HA en el site principal
[2]: Cubiertos con mecanismos DR con fail-over al site secundario
[*]: Sin contabilizar ventanas de parada planificadas
Continuidad de negocio Disponibilidad
Eskerrik Asko