projekt_2328_Pristup_k_projektu_detailny

Version 4.1 by igor on 2024/09/30 09:11

PRÍSTUP K PROJEKTU

podľa vyhlášky MIRRI č. 401/2023 Z. z. 




Povinná osoba

Ministerstvo dopravy a výstavby Slovenskej republiky

Názov projektu

Obnova HW infraštruktúry JISCD - 1. fáza

Zodpovedná osoba za projekt

Ing. Igor Sibert

Realizátor projektu

Ministerstvo dopravy a výstavby Slovenskej republiky

Vlastník projektu

Ing. Igor Sibert

 

Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval






 

1.    História dokumentu

Verzia

Dátum

Zmeny

Meno

0.1

31.7.2024

Pracovný návrh

Ing. Igor Sibert

1.1

26.9.2024

Zapracovanie pripomienok

Ing. Igor Sibert











2.    Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Projekt zahŕňa predovšetkým obstaranie HW a jeho umiestnenie a sfunkčnenie v dvojici dátových centier, ako aj poskytovanie služieb technickej podpory. Opis navrhovaného riešenia je prispôsobený charakteru projektu, a zahŕňa popis súčasného stavu HW tvoriaceho IT infraštruktúru JISCD, požiadavky na cieľový HW a požadované parametre SLA.

Keďže sa jedná o nový HW, ktorý bude umiestnený v dátových centrách umiestnený bez zásahu do existujúcej HW infraštruktúry JISCD, v rámci súčasnej HW infraštruktúry sa neočakávajú žiadne zmeny.

Postupná modernizácia a optimalizácia softvérového vybavenia JISCD, ako aj postupné umiestnenie softvérových súčastí a dát na HW dodaný v tomto projekte, nie je súčasťou tohto projektu.


2.1      Použité skratky a pojmy


SKRATKA/POJEM

POPIS

MD SR

Ministerstvo Dopravy Slovenskej Republiky

JISCD

Jednotný informačný systém v cestnej doprave

OVM

Orgán verejnej moci

MIRRI

Ministerstvo informatizácie, regionálneho rozvoju a investícií

SLA

Service Level Agreement

SPOF

Jednotlivý bod zlyhania (Single Point of Failure)

VM

Virtuálny server

Zmluva o JISCD

Zmluva na základe ktorej je prevádzkovaná infraštruktúra JISCD. Celkový názov „Zmluva o poskytovaní služieb (Systémová a aplikačná podpora a služby rozvoja Jednotného informačného systému v cestnej doprave)“ zverejnená na CRZ https://www.crz.gov.sk/zmluva/6042278/. Číslo zmluvy: 654/DE00/2021.


3.    Popis navrhovaného riešenia

V rámci sanácie HW infraštruktúry JISCD, ktorá sa nachádza v havarijnom stave, sa navrhuje vybudovanie vysoko dostupnej serverovej virtualizovanej platformy, ktorá bude rozprestretá do dvojice existujúcich dátových centier, v ktorých je prevádzkovaná súčasná HW infraštruktúra JISCD. Tento návrh je z pohľadu výpočtového výkonu počtu procesorov, pamäte ako aj úložiska nutným minimom pre funkčnosť riešenia kritického systému JISCD. Systém JISCD je používaný zamestnancami dvoch ministerstiev na dennej báze, pričom v ňom denne vykonajú tisícky úradných úkonov. Systém je využívaný poverenými organizáciami (TK/EK/KO/LPG), všetkými autoškolami, a životne od neho závisia prevádzkovatelia cestnej dopravy a prepravy na úrovni certifikácii a kontrol. Riešenie okrem výkonnej časti zabezpečuje aj dodržiavanie vybraných predpisov a za ich porušenie sa pomocou neho vystavujú v rámci objektívnej zodpovednosti platobné rozkazy v ročnej úhrnnej výške viac ako 10 000 000 Eur.

Súčasťou tohto sanačného návrhu sú zdieľané dátové úložiská, replikované prostredníctvom synchrónnej replikácie medzi dátovými centrami, so zabezpečením transparentného failoveru v prípade výpadku či už jedného z dátových úložísk, alebo jedného celého dátového centra. Ďalej, aj vybudovanie vysoko dostupnej LAN a SAN infraštruktúry a riešenia pre zálohovanie a archiváciu dát v rozsahu podľa minimálnych požiadaviek systému.

Súčasťou tohto projektu sú výhradne hardvérové súčasti pre realizáciu vyššie uvedeného a im prislúchajúce firmware, nie softvérové súčasti. Žiadateľ, Ministerstvo dopravy Slovenskej republiky, si je vedomé smerovania koncepcie rozvoja IKT štátnej a verejnej správy, ktorá preferuje cloudové riešenia. Súčasný stav ale neumožňuje prebudovanie zastaranej SW časti na cloud ready architektúru a to tak z dôvodu kritočnosti časového pohľadu, ako aj z dôvodu neexistujúceho finančného rámca na komplexné prebudovanie aplikačnej vrstvy.

Vzhľadom na tieto fakty, ministerstvo má v pláne čo najskôr po vyriešení akútneho havarijného stavu, v priebehu roka 2025, vypracovať štúdiu uskutočniteľnosti zameranú na komplexnú modernizáciu aplikačnej časti JISCD tak, aby bola cloud ready a celkovo sa zmodernizovala oproti stavu architektúry z roku 2014, ktorá sa dnes používa. do štyroch rokov. Ministerstvo má zároveň v pláne k samotnej modernizácii aplikačnej časti pristúpiť do dvoch rokov od schválenia štúdie modernizácie, podľa dostupnosti finančných zdrojov. Predpokladaná dĺžka trvania komplexnej zmeny aplikačnej architektúry a modernizácie je 22-30 mesiacov, vrátane migrácie do cloudu a migrácie údajov.


4.    Architektúra riešenia projektu


4.1      Biznis vrstva

Z pohľadu bisznis architektúry nedôjde v rámci JISCD v rámci tohto projektu k žiadnym zmenám.


4.2      Aplikačná vrstva

Z pohľadu aplikačnej architektúry nedôjde v rámci JISCD v rámci tohto projektu k žiadnym zmenám.


4.3      Dátová vrstva

Z pohľadu dátovej vrstvy nedôjde v rámci JISCD v rámci tohto projektu k žiadnym zmenám.


4.4      Technologická vrstva

Z pohľadu technologickej vrstvy navrhujeme vybudovanie vysoko dostupnej serverovej virtualizovanej platformy rozprestretej do dvojice dátových centier, ktorá zároveň bude zodpovedať súčasne legislatívne požadovaným bezpečnostným štandardom, pri podstatnom znížení nákladov na obstaranie, ako aj prevádzku.

4.4.1       Prehľad technologického stavu - AS IS

Súčasná HW infraštruktúra je postavená najmä na fyzických serveroch IBM x3550 M4, diskových úložiská od spol. EMC, LAN infraštruktúre od spol. Cisco a viacerých ďalších typoch zariadení od rozličných výrobcov.

Keďže sa jedná prevažne o zariadenia v stave po ukončení technickej podpory zo strany výrobcov, servis zariadení, ktorý je s ich stúpajúcim vekom potrebný čoraz častejšie, je možné z hardvérového hľadiska riešiť iba prostredníctvom tretích strán (refurbished parts).

Zároveň, používanie zariadené po dobe technickej podpory zo strany výrobcov spravidla predstavuje enormné bezpečnostné riziko, keďže pre jednotlivé súčasti už výrobcovia nevydávajú bezpečnostné opravy pre firmware, čím sa zariadenia stávajú zraniteľnými (obzvlášť sa to týka servisných procesorov zariadení). Sekundárne, vzhľadom na dodržanie maticu kompatibilít, súčasne podporované verzie serverových hypervízorov a operačných systémov s patchmi pre riešenie bezpečnostných zraniteľností už nie sú na existujúcich zariadeniach dostupné.


Fyzické servery – produkčné prostredie

Názov servera

Využitie

Datacentrum

Prostredie

Výrobca

Model

Sériové číslo

CPU core per server

RAM [GB]

Operačný systém

Verzia OS

admin1a

Admin server

ŽT Kováčska

PROD

IBM/Lenovo

X3550 M4

06CGCBF

8

64

Windows Server


backup1a

NetBackup master server

ŽT Kováčska

PROD

IBM/Lenovo

X3550 M4

06CGCCM

8

64

Oracle Enterprise Linux


dbext1a

Oracle RAC with ASM

ŽT Kováčska

PROD

IBM

X3550 M4

06CEGGN

8

256

Oracle Linux


dbpub1a

Oracle DB Standard A/P with SF HA

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCDC

8

256

Oracle Linux


dbreport1a

Oracle DB Standard A/P with SF HA

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCCW

8

256

Oracle Linux


esx1a

ESXi 6.7

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCBD

24

512

ESXi

6.7

esx2a

ESXi 6.7

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCBK

24

512

ESXi

6.7

esx3a

ESXi 6.7

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCBB

24

512

ESXi

6.7

extgw1a

Adapter_Ext

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCCH

8

64

Oracle Linux


fs1a

File server A/P with SF HA

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCBM

8

64

Oracle Linux


intgw1a

Adapter_Int

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCCY

8

64

Oracle Linux


ip1a

IP+workflow weblogic SUITE+ SOA SUITE

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCCB

8

128

Oracle Linux


ldap1a

Oracle DSEE - LDAP server

ŽT Kováčska

PROD

IBM

X3550 M4

S06CGCBZ

8

64

Oracle Linux


db1a

Oracle RAC with ASM

ŽT Kováčska

PROD

IBM

X3650 M4

06CEGGX

16

256

Oracle Linux


dwh1a

Sybase IQ A/P with SF HA

ŽT Kováčska

PROD

IBM

X3650 M4

S06CEGGM

16

256

Oracle Linux


backup1b

NetBackup master server

ŽT Trnavská

PROD

IBM

X3550 M4

06CGCCL

8

64

Oracle Linux


dbext1b

Oracle RAC with ASM

ŽT Trnavská

PROD

IBM

X3550 M4

S06CEGGW

8

256

Oracle Linux


dbpub1b

Oracle DB Standard A/P with SF HA

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCCD

8

256

Oracle Linux


dbreport1b

Oracle DB Standard A/P with SF HA

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCCN

8

256

Oracle Linux


esx1b

ESXi 6.7

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCBP

24

512

ESXi

6.7

esx2b

ESXi 6.7

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCBH

24

512

ESXi

6.7

esx3b

ESXi 6.7

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCAX

24

512

ESXi

6.7

extgw1b

Adapter_Ext

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCCC

8

64

Oracle Linux


fs1b

File server A/P with SF HA

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCCZ

8

64

RedHat Linux


intgw1b

Adapter_Int

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCCP

8

64

Oracle Linux


ip1b

IP+workflow weblogic SUITE+ SOA SUITE

ŽT Trnavská

PROD

IBM

X3550 M4

S06CGCCE

8

128

Oracle Linux


db1b

Oracle RAC with ASM

ŽT Trnavská

PROD

IBM

X3650 M4

S06CEGGY

16

256

Oracle Linux


dwh1b

Sybase IQ A/P with SF HA

ŽT Trnavská

PROD

IBM

X3650 M4

S06CEGGL

16

256

Oracle Linux



Fyzické servery – predprodukčné prostredie

Názov servera

Využitie

Datacentrum

Prostredie

Výrobca

Model

Sériové číslo

CPU core per server

RAM [GB]

Operačný systém

Verzia OS  

admin1apre

Admin server

ŽT Kováčska

PREPROD

IBM/Lenov

X3550 M4

S06CGCCF

8

64

Windows Server


backup1apre

NetBackup master server

ŽT Kováčska

PREPROD

IBM/Lenov

X3550 M4

S06CGCCG

8

64

Oracle Enterprise Linux


dbext1apre

Oracle RAC with ASM

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CEGGR

8

256

Oracle Linux


dbpub1apre

Oracle DB Standard A/P with SF HA

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCDE

8

256

Oracle Linux


dbreport1a

Oracle DB Standard A/P with SF HA

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCDF

8

256

Oracle Linux


esx1apre

ESXi 6.7

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCBV

24

512

ESXi

6.7

esx2apre

ESXi 6.7

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCBY

24

512

ESXi

6.7

esx3apre

ESXi 6.7

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCAY

24

512

ESXi

6.7

fs1apre

File server A/P with SF HA

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCBA

8

64

Oracle Linux


intgw1apre

Adapter_Int

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCCV

8

64

Oracle Linux


ip1apre

IP+workflow weblogic SUITE+ SOA SUITE

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCCR

8

128

Oracle Linux


ldap1apre

Oracle DSEE - LDAP server

ŽT Kováčska

PREPROD

IBM

X3550 M4

S06CGCBX

8

64

Oracle Linux


db1apre

Oracle RAC with ASM

ŽT Kováčska

PREPROD

IBM

X3650 M4

S06CEGGV

16

256

Oracle Linux


dwh1apre

Sybase IQ A/P with SF HA

ŽT Kováčska

PREPROD

IBM

X3650 M4

S06CEGGK

16

256

Oracle Linux


backup1bpre

NetBackup master server

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCBL

8

64

Oracle Linux


dbext1bpre

Oracle RAC with ASM

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CEGGT

8

256

Oracle Linux


dbpub1bpre

Oracle DB Standard A/P with SF HA

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CEGGT

8

256

Oracle Linux


dbreport1b

Oracle DB Standard A/P with SF HA

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCDF

8

256

Oracle Linux


esx1bpre

ESXi 6.7

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCCA

24

512

ESXi

6.7

esx2bpre

ESXi 6.7

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCBE

24

512

ESXi

6.7

esx3bpre

ESXi 6.7

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCAZ

24

512

ESXi

6.7

extgw1bpre

Adapter_Ext

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCBN

8

64

Oracle Linux


fs1bpre

File server A/P with SF HA

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCCK

8

64

RedHat Linux


intgw1bpre

Adapter_Int

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCDD

8

64

Oracle Linux


ip1bpre

IP+workflow weblogic SUITE+ SOA SUITE

ŽT Trnavská

PREPROD

IBM

X3550 M4

S06CGCDB

8

128

Oracle Linux


db1bpre

Oracle RAC with ASM

ŽT Trnavská

PREPROD

IBM

X3650 M4

06CEGGZ

16

256

Oracle Linux


dwh1bpre

Sybase IQ A/P with SF HA

ŽT Trnavská

PREPROD

IBM

X3650 M4

06CEGGP

16

256

Oracle Linux



Fyzické servery – testovacie prostredie

Názov servera

Využitie

Datacentrum

Prostredie

Výrobca

Model

Sériové číslo

CPU core per server

RAM [GB]

Operačný systém

Verzia OS  

esx1btest

ESXi 6.7 server

ŽT Trnavská

TEST

IBM

X3550 M4

S06CGCBT

16

512

ESXi

6.7

esx2btest

ESXi 6.7 server

ŽT Trnavská

TEST

IBM

X3550 M4

S06CGCBG

16

512

ESXi

6.7

esx3btest

ESXi 6.7 server

ŽT Trnavská

TEST

IBM

X3550 M4

S06CGCBR

16

512

ESXi

6.7

esx4btest

ESXi 6.7 server

ŽT Trnavská

TEST

IBM

X3550 M4

S06CGCBW

16

512

ESXi

6.7

esx5btest

ESXi 6.7 server

ŽT Trnavská

TEST

IBM

X3550 M4

S06CGCBC

16

512

ESXi

6.7


Zdieľané úložiská – Produkčné a predprodukčné prostredie

Produkčné a predprodukčné diskové polia (2ks) majú každé kapacitu 106,5 TB na rotačných diskoch.

 

Zdieľané úložiská – Testovacie prostredie

Diskové pole pre testovacie prostredie má kapacitu: 11,35 TB na rotačných diskoch.


Datacentrová LAN infraštruktúra a DWDM

Využívajú sa zariadenia od spol. Cisco.


Distribúcia záťaže

V súčasnom riešení sú nasadené ako Web aplikačné firewally zariadenia od spol. F5.


4.4.2       Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

V rámci 1. fázy obnovy HW infraštruktúry JISCD sa predpokladá obstaranie časti HW prostriedkov pre cieľový stav, pričom rozsah je limitovaný aktuálnymi finančnými možnosťami MD SR. Súčasťou dodanie nie je žiadny infraštruktúrny, platformový, ani aplikačný SW. Vybrané požiadavky na minimálne požiadavky sú uvedené v tabuľkách nižšie. Detailné požiadavky boli stanovené v rámci dokumentácie pre prieskum trhu na určenie predpokladanej hodnoty zákazky.

Koncepcia umiestnenia a zapojenia zariadení je znázornená na nasledujúcom obrázku.


image-2024-9-30_9-10-52.png


Optické multiplexovacie zariadenia

Optické multiplexovacie zariadenie typ 1

Počet

Typ

Využitie

Datacentrum

Prostredie

Počet portov typu LC pre pripojenie zariadení

2

Fixed

Konsolidované LAN/SAN

ŽT Kováčska

Konsolidované

16

2

Fixed

Konsolidované LAN/SAN

ŽT Trnavská

Konsolidované

16

 

LAN prepínače

LAN prepínač typ 1 (Core)

Počet

Typ

Využitie

Datacentrum

Prostredie

Počet portov 100 Gb/s QSFP

Počet portov 25Gb/s SFP28

Počet portov 10Gb/s SFP+

Počet portov 1 Gb/s RJ45

2

Fixed

Core

ŽT Kováčska

Konsolidované

32

4 (QSFP->SFP)

0

1 (manažment)

2

Fixed

Core

ŽT Trnavská

Konsolidované

32

4 (QSFP->SFP)

0

1 (manažment)

 

LAN prepínač typ 2 (Management)

Počet

Typ

Využitie

Datacentrum

Prostredie

Počet portov 100 Gb/s QSFP

Počet portov 25Gb/s SFP28

Počet portov 10Gb/s SFP+

Počet portov 1 Gb/s RJ45

2

Fixed

Management

ŽT Kováčska

Konsolidované

0

0

2 (uplink)

24 + 1 (manažment)

2

Fixed

Management

ŽT Trnavská

Konsolidované

0

0

2 (uplink)

24 + 1  (manažment)

 

LAN prepínač typ 3 (Prepojenie routrov a firewallov)

Počet

Typ

Využitie

Datacentrum

Prostredie

Počet portov 100 Gb/s QSFP

Počet portov 25Gb/s SFP28

Počet portov 10Gb/s SFP+

Počet portov 1 Gb/s RJ45

2

Fixed

Prepojenie routrov a firewallow

ŽT Kováčska

Konsolidované

0

0

4

1 (manažment)

2

Fixed

Prepojenie routrov a firewallow

ŽT Trnavská

Konsolidované

0

0

4

1 (manažment)

 

Smerovače na hranici dátových centier

Smerovač typ 1

Počet

Typ

Využitie

Datacentrum

Prostredie

Počet portov 1 Gb/s RJ45

Počet portov 10 Gb/s SFP+

1

Fixed

Konsolidované

ŽT Kováčska

Konsolidované

4

2

1

Fixed

Konsolidované

ŽT Trnavská

Konsolidované

4

2

 

Sieťový bezpečnostný prvok a VPN koncentrátor typ 1

Počet

Typ

Využitie

Datacentrum

Prostredie

Počet portov 1 Gb/s RJ45

Počet portov 1 Gb/s RJ45

 

1

Fixed

Konsolidované

ŽT Kováčska

Konsolidované




1

Fixed

Konsolidované

ŽT Trnavská

Konsolidované




 

Datacentrová SAN infraštruktúra

SAN prepínač typ 1

Počet

Typ

Využitie

Datacentrum

Prostredie

Počet portov 64Gb/s

Manažovacie porty

2

Fixed

Konsolidované

ŽT Kováčska

Konsolidované

56 (24 portov osadených SFP)

1 Gb/s RJ45

2

Fixed

Konsolidované

ŽT Trnavská

Konsolidované

56 (24 portov osadených SFP)

1 Gb/s RJ45


Fyzické servery

Server typ 1 – Konsolidovaná virtualizovaná serverová platforma

Počet

Typ servera

Využitie

Datacentrum

Prostredie

CPU core

RAM [GB]

Boot device pre boot hypervízora [GB]

LAN

SAN

4

x86_64

Virtualizovaná serverová platforma

ŽT Kováčska

Konsolidované

2x Intel Xeon-Gold 6444Y 3.6GHz 16-core

768

400

2x 100 Gb/s QSFP

2x 32Gb/s FC

4

x86_64

Virtualizovaná serverová platforma

ŽT Trnavská

Konsolidované

2x Intel Xeon-Gold 6444Y 3.6GHz 16-core

768

400

2x 100 Gb/s QSFP

2x 32Gb/s FC


Server typ 2 – Konsolidovaný arbitračný uzol pre automatizovaný failover medzi DC

Počet

Typ servera

Využitie

Datacentrum

Prostredie

CPU core

RAM [GB]

Boot device pre boot hypervízora [GB]

LAN

SAN

1

x86_64

Arbitračný uzol

3 site

Konsolidované

Intel Xeon-Silver 4410Y 2.0GHz 12-core

32

400

2x 25 Gb/s a 2x 1Gb/s

Bez pripojenia do SAN


Centralizované úložiská údajov

Uložisko typ 1

Počet

Typ úložiska

Využitie

Datacentrum

Prostredie

Kapacita bez zohľadnenia kompresie a deduplikácie [TB]

FC konektivita 32 Gb/s

Deduplikácia a kompresia online

1

All flash

Konsolidovaná virtualizovaná serverová platforma

ŽT Kováčska

Konsolidované

60

32

Požaduje sa

1

All flash

Konsolidovaná virtualizovaná serverová platforma

ŽT Trnavská

Konsolidované

60

32

Požaduje sa


Požaduje sa transparentný failover v prípade výpadku jedného z diskových úložísk, ako aj celého DC bez výpadku behu VM. Predpokladáme priemerný kompresný pomer 1:2 per diskové úložisko.


4.4.3       Návrh riešenia technologickej architektúry

Keďže tento projekt sa týka iba HW samotného, využitie konkrétneho prístupu typu cloud-native súvisí predovšetkým s vyššími softvérovými vrstvami.

Z pohľadu HW sa očakáva a požaduje možnosť cloudového manažmentu, s možnosťou konfigurácie zariadení deklaratívnym spôsobom pri využití nástrojov ako Terraform a ďalších.

V rámci neverejnej štúdie MD SR CR083 – Modernizácia JISCD – Analýza a návrh cieľového stavu – boli preskúmané a vyhodnotené viaceré variantné riešenia, z hľadiska možností zachovania on-prem riešenia s využitím pokročilého cloud manažmentu s možnosťou rozsiahlej automatizácie činností, ako aj s možnosťami umiestnenia JISCD do vládneho cloudu (sk.cloud), resp. k niektorému z verejných cloudových poskytovateľov.

V rámci analýzy sa ukázal ako nákladovo najvýhodnejší a zároveň z pohľadu rozsahu potrebných činností a trvania transformácie najúspornejší variant zachovania on-prem riešenia, s využitím cloudového manažmentu a pokročilej automatizácie, a to aj s využitím prvkov AI. Úplný prechod na cloud-native prístup (využitie kontajnerizácie, mikroservisov, plnohodnotného DevSecOps, či zavedenie plného CI/CD, až po serverless prístup) by bol vzhľadom na charakter existujúcej programovej bázy neúmerne nákladný (odhaduje sa > 10.000MD), a zdĺhavý (odhaduje sa > 5 rokov). Podrobnejšie sú jednotlivé varianty rozpracované v predmetnej štúdii.

4.4.4       Využívanie služieb z katalógu služieb vládneho cloudu

Vzhľadom na charakter existujúceho IS JISCD a existujúcu programovú bázu sa využitie služieb vládneho cloudu nepredpokladá.

4.5      Bezpečnostná architektúra

Vzhľadom to, že v rámci projektu sú obstarávané iba HW súčasti, v rámci popisu bezpečnostnej architektúry sústredíme iba na relevantné časti vzhľadom na obstaranie HW.

V súčasnom riešení (AS IS) sa využívajú sieťové bezpečnostné prvky od spol. Checkpoint, tieto sú však v stave end of support, čo so sebou prináša zrejmú množinu rizík. V riešení v súčasnosti nie sú implementované bezpečnostné riešenia: SIEM, SOAR, či ďalšie.

V cieľovom stave (TO BE) požadujeme integráciu s relevantnými bezpečnostnými riešeniami v zmysle platnej legislatívy. Navrhovaný HW musí byť kompatibilný s uvedenými bezpečnostnými riešeniami. V kontexte HW sa požaduje dodanie firewallov s pokročilou ochranou voči rôznym druhom hrozieb podľa požiadaviek aktuálne platnej legislatívy.

5.    Závislosti na ostatné ISVS / projekty

Vzhľadom na to, že sa jedná o obstaranie HW pre budúce využitie v rámci JISCD, nie sú známe závislosti na iné ISVS projekty.

6.    Zdrojové kódy

Vzhľadom na to, že sa jedná o obstaranie HW, z pohľadu SW prichádzajú do úvahy firmware a systémový softvér bežiaci na zariadeniach (napr. Broadcom/Brocade FabricOS, Cisco IOS, apod.), ktorý podstatné časti sú spravidla closed-source a výrobcovia ich zákazníkom neposkytujú.

Riešenie je navrhnuté v rámci aktuálneho stavu na trhu IT technológií tak, aby sa využívali v čo najväčšej miere komoditné technológie a otvorené štandardy pre zabezpečenie interoperability s možnosťou náhrady zariadení zariadeniami iných výrobcov, a to počas celej životnosti projektu.

7.    Prevádzka a údržba

7.1      AS IS stav zabezpečenia prevádzky a údržby a úroveň poskytovania služieb (SLA)

AS IS stav je zabezpečený na základe existujúcej zmluvy „Zmluva o poskytovaní služieb (Systémová a aplikačná podpora a služby rozvoja Jednotného informačného systému v cestnej doprave)“ ktorá je dostupná na CRZ https://www.crz.gov.sk/zmluva/6042278/.

Touto zmluvou je pokrytá prevádzka súčasného HW.

7.2      TO BE stav zabezpečenia prevádzky a údržby a úroveň poskytovania služieb (SLA).

V cieľovom stave bude prevádzka, údržba a služby súvisiace so zabezpečením SLA poskytované na základe existujúcej zmluvy „Zmluva o poskytovaní služieb (Systémová a aplikačná podpora a služby rozvoja Jednotného informačného systému v cestnej doprave)“ ktorá je dostupná na CRZ https://www.crz.gov.sk/zmluva/6042278/. Uvedené služby nie sú predmetom tohto projektu.

Cieľový HW bude umiestnený v rovnakých dátových centrách, ako v súčasnom stave (ŽT Kováčska a ŽT Trnavská). Počas vykonávania nevyhnutných SW úprav kvôli kompatibilite s cieľovým HW a SW riešením a licenčnej zhode, ako aj počas postupnej migrácie aplikácií a dát na cieľový HW, budú prevádzkové a údržbové služby realizované internými zdrojmi MD SR.

V cieľovom stave, po migrácii aplikácií a dát, budú prevádzkové a údržbové služby, ako aj služby súvisiace so zabezpečením SLA (v zmysle IT služieb, nie HW) poskytovaná na základe Zmluvy o JISCD.

Služby SLA a technickej podpory HW samotného budú riešené v rámci tohto projektu.

7.3      Prevádzkové požiadavky

7.3.1       Úrovne podpory používateľov

Keďže obsahom tohto projektu je výhradne dodávka a inštalácia HW samotného, pričom jeho prevádzku a monitoring bude vykonávať prevádzkovateľ na základe zmluvy Zmluvy o JISCD v režime 24/7/365, čiže nepretržite. V súvislosti s HW samotným nie je z hľadiska prevádzkovateľa potrebné poskytovanie služieb podpory používateľov. Tato podpora je poskytovaná súčasným prevádzkovateľom na IT služby, a to či už interným používateľom (pracovníci MD SR), resp. externým používateľom (osoby a subjekty mimo MD SR).

A AS-IS stave, ako aj TO-BE stave, pracovníci MD SR monitorovanie HW zariadení tvoriacich infraštruktúru JISCD nevykonávajú a nebudú vykonávať a žiadne HW incidenty prevádzkovateľovi nenahlasujú.

7.3.2       Riešenie incidentov – SLA parametre

Pre HW samotný sa požaduje vyriešenie HW problému zo strany výrobcu do 24h (support zo strany výrobcu).

7.4      Požadovaná dostupnosť IS

Požiadavky na dostupnosť IS sú uvedené nižšie.

7.4.1       Dostupnosť (Availability)


Na základe Zmluvy o JISCD, sú požadovaná parametre dostupnosti produkčného prostredia nasledujúce.


Popis

Parameter

Poznámka

Prevádzkové hodiny

24 hodín

od 00:00 hod. - do 23:59 hod. počas všetkých dní

Servisné okno

4 hodiny

od 20:00 hod. - do 24:00 hod. voliteľne v piatok po dohode s MD SR

Dostupnosť produkčného prostredia IS

99,80%

99,8% z 24/7/365  t.j. max ročný výpadok je 17.52 hod. za rok



Maximálny mesačný výpadok je 1,46 hodiny.



Medzi výpadky sa nezapočítavajú plánované odstávky

7.4.2       RTO (Recovery Time Objective)

V kontexte projektu, kde sa rieši iba HW, z pohľadu zdieľaných dátových úložísk sa požaduje zabezpečenie synchrónneho zrkadlenia medzi lokalitami, s automatizovaným transparentným failoverom, a to aj  medzi lokalitami, bez výpadku behu VM v rámci serverovej virtualizačnej platformy (detekcia zlyhania a failover sa požaduje v ráde desiatok sekúnd). Uvedený koncept však zároveň predstavuje SPOF ako celok, preto je pre dodržanie parametrov SLA potrebné zabezpečiť zálohovanie a replikáciu aj na úrovni softvérovej vrstvy (zálohovacím/replikačným SW). Uvedený SW nie je predmetom dodania v rámci tohto projektu, ako ani riešenie zálohovania prostredníctvom neho.

7.4.3       RPO (Recovery Point Objective)

Pri zdieľaných dátových úložiskách sa požaduje synchrónne zrkadlenie, viď. vyššie.

8.    Požiadavky na personál

Dodanie, inštalácia a montáž HW bude realizovaná externými zdrojmi ako súčasť obstarania HW.

Zabezpečenie fyzického prístupu do serverovne bude realizované v zmysle existujúcich pravidiel a oprávnení.

9.    Implementácia a preberanie výstupov projektu

V súvislosti s dodaním HW, na ktoré je tento projekt zameraný, sa požaduje výkon činností, v rámci ktorých bude zabezpečený dovoz HW, jeho montáž v dátových centrách, oživenie, aktualizácie firmware, avšak bez inštalácie a konfigurácie akéhokoľvek ďalšieho SW.

Požadovaný zoznam činností je nasledovný.

  • Kontrola pripravenosti dátových centier pre dovoz HW a inštaláciu HW.
    • Kontrola nosnosti podláh v dátových centrách a v rámci trás pre navezenie hardvéru.
    • Kontrola svetlých priechodov trás pre navážku HW.
    • Overenie pripravenosti miest pre umiestnenie rackov (ak nebudú poskytnuté zo strany prevádzkovateľa dátového centra).
    • Overenie napájacích a chladiacich kapacít.
    • Overenie možností zabezpečenia vstupov pre personál Dodávateľa do dátového centra.
  • Dodanie zariadení do dátových centier.
    • Zabezpečenie dovozu a koordinácia pracovníkov dátových centier pri vykládke.
    • Kontrola dodania zariadení podľa dodacích listov.
    • Vybalenie zariadení z obalového materiálu.
    • Prenos zariadení do miesta finálneho umiestnenia pre montáž do stojanov.
    • Odvoz a likvidácia obalového materiálu na náklady Dodávateľa.
  • Montáž zariadení do stojanov v dátovom centre 1.
    • Montáž zariadení do stojanov.
    • Pripojenie zariadení do siete LAN.
    • Pripojenie zariadení do siete SAN.
    • Pripojenie zariadení do siete elektrického napájania.
    • Označenie kabeláže.
  • Montáž zariadení do stojanov v dátovom centre 2.
    • Montáž zariadení do stojanov.
    • Pripojenie zariadení do siete LAN.
    • Pripojenie zariadení do siete SAN.
    • Pripojenie zariadení do siete elektrického napájania.
    • Označenie kabeláže.
  • Iniciálna konfigurácia zariadení DWDM, otestovanie funkčnosti.
    • V rámci tohto kroku bude vykonaná iniciálna konfigurácia zariadení DWDM:
    • Premeranie útlmu a ďalších charakteristík optických prepojovacích trás.
    • Zapnutie zariadení.
    • Prvotná konfigurácia zariadení, nastavenie manažovacích IP adries.
    • Aplikácia odporúčaných verzií firmware zo strany výrobcov na zariadenia.
    • Podľa potreby, inštalácia manažovacích softvérových nástrojov pre jednotlivé HW zariadenia.
    • Overenie funkčnosti hardvéru a kontrola logov.
    • Pripojenie ukončení optických trás do DWDM zariadení, podľa potreby vrátane optických útlmových členov podľa postupov stanovených výrobcom zariadení.
    • Pripojenie relevantných zariadení siete SAN a LAN do DWDM zariadení, konfigurácie pre zabezpečenie správnej funkčnosti.
    • Vykonanie testov funkčnosti a zabezpečenia veľkej miery dostupnosti.
  • Prvotná konfigurácia zariadení LAN a otestovanie funkčnosti
    • Zapnutie zariadení.
    • Overenie funkčnosti hardvéru a kontrola logov.
    • Prvotná konfigurácia zariadení, nastavenie manažovacích IP adries a VLAN.
    • Aplikácia odporúčaných verzií firmware zo strany výrobcov na zariadenia.
    • V prípade, že sa jedná o zariadenia manažované z cloudu výrobcu, prvotná konfigurácia a zaradenie do cloud manažovacích rozhraní výrobcov.
    • Podľa potreby, inštalácia manažovacích softvérových nástrojov pre jednotlivé HW zariadenia.
    • Konfigurácia zabezpečenia veľkej miery dostupnosti.
    • Vykonanie testov funkčnosti a zabezpečenia veľkej miery dostupnosti.
  • Prvotná konfigurácia zariadení SAN a otestovanie funkčnosti
    • V rámci tohto kroku bude vykonaná iniciálna konfigurácia zariadení siete SAN:
    • Zapnutie zariadení.
    • Overenie funkčnosti hardvéru a kontrola logov.
    • Prvotná konfigurácia zariadení, nastavenie manažovacích IP adries.
    • Aplikácia odporúčaných verzií firmware zo strany výrobcov na zariadenia.
    • Podľa potreby, inštalácia manažovacích softvérových nástrojov pre jednotlivé HW zariadenia.
    • Vykonanie testov funkčnosti a zabezpečenia veľkej miery dostupnosti.
  • Iniciálna konfigurácia zariadení sieťových bezpečnostných prvkov a ostatných sieťových prvkov podľa špecifikácií vyššie, otestovanie funkčnosti
    • V rámci tohto kroku bude vykonaná iniciálna konfigurácia sieťových bezpečnostných prvkov a ostatných sieťových prvkov podľa špecifikácie uvedenej v tomto dokumente vyššie:
    • Zapnutie zariadení.
    • Overenie funkčnosti hardvéru a kontrola logov.
    • Prvotná konfigurácia zariadení, nastavenie manažovacích IP adries.
    • Aplikácia odporúčaných verzií firmware zo strany výrobcov na zariadenia.
    • V prípade, že sa jedná o zariadenia manažované z cloudu výrobcu, prvotná konfigurácia a zaradenie do cloud manažovacích rozhraní výrobcov.
    • Podľa potreby, inštalácia manažovacích softvérových nástrojov pre jednotlivé HW zariadenia.
    • Konfigurácia zabezpečenia veľkej miery dostupnosti.
    • Vykonanie testov funkčnosti a zabezpečenia veľkej miery dostupnosti.
  • Iniciálna konfigurácia diskových polí a ich prvotná konfigurácia, otestovanie funkčnosti.
    • V rámci tohto kroku bude vykonaná iniciálna konfigurácia diskových polí, ich prvotná konfigurácia a otestovanie funkčnosti.
    • Zapnutie zariadení.
    • Overenie funkčnosti hardvéru a kontrola logov.
    • Prvotná konfigurácia zariadení, nastavenie manažovacích IP adries.
    • Aplikácia odporúčaných verzií firmware zo strany výrobcov na zariadenia.
    • V prípade, že sa jedná o zariadenia manažované z cloudu výrobcu, prvotná konfigurácia a zaradenie do cloud manažovacích rozhraní výrobcov.
    • Podľa potreby, inštalácia manažovacích softvérových nástrojov pre jednotlivé HW zariadenia.
    • Úvodná konfigurácia RAID a zabezpečenia veľkej miery dostupnosti.
    • Konfigurácia zabezpečenia veľkej miery dostupnosti naprieč lokalitami, tam kde sa to požaduje.
    • Vyprezentovanie testovacích LUNov a konfigurácia zónovania pre testovacie LUNy.
    • Vykonanie testov funkčnosti a zabezpečenia veľkej miery dostupnosti.


Všetky činnosti budú dohľadované pracovníkmi MD SR a správnosť a úplnosť vykonania činností potvrdia formálnym spôsobom prostredníctvom preberacích protokolov.


10. Prílohy

V prípade potreby doplňte zoznam príloh 

Poznámka: odporúčame, aby ste si VŠETKY TABUĽKOVÉ VSTUPY evidovali a spravovali v jednom centrálnom súbore formátu EXCEL – s cieľom minimalizovať budúcu prácnosť s aktualizáciou a udržiavaním obsahu.

 

 

Inštrukcie k verejnému pripomienkovaniu:

  • Podľa §4 ods. 10 vyhlášky č. 401/2023 Z.z je potrebné zrealizovať pripomienkovanie Projektového prístupu odbornou verejnosťou, zaevidovať a vyhodnotiť pripomienky odbornej verejnosti.
  • Oznámenie o začatí verejného pripomienkovania zverejniť v centrálnom metainformačnom systéme verejnej správy na mieste určenom Orgánom vedenia.
  • Dať na schválenie riadiacemu výboru výstupy po zverejnení vyhodnotenia pripomienok.
  • Vyhodnotenie zverejniť na webovom sídle objednávateľa (do projektového adresára).

 






V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky má obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie musí byť v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.


Inštrukcia: Šedý text v celom dokumente predstavuje nápoveď pre vyplnenie dokumentu, po vyplnení kapitol odporúčame text šedou farbou vymazať.


Dokumenty ukladajte s prefixom I_XX.

Odporúčame, aby ste si TABUĽKOVÉ VSTUPY  vo formáte EXCEL spravovali v jednom centrálnom súbore s cieľom minimalizovať budúcu prácnosť s aktualizáciou a udržiavaním obsahu.