Введение

Целью проекта «Корпоративное облако СО РАН» является создание инфраструктуры предоставления централизованных сервисов коммуникаций и совместной работы для организаций Сибирского отделения РАН в виде корпоративного облака.

Основным отличием предоставляемых сервисов от так называемых «публичных облаков», является использование исключительно внутренней инфраструктуры СПД СО РАН, которая обеспечивает высокую скорость, качество и безопасность сервисов. Использование современных программных решений позволяет также предоставлять недоступные ранее сервисы, такие как: единая адресная книга сотрудников СО РАН, совместное использование лицензионного программного обеспечения, централизованное управление рабочими станциями, участие в видеоконференциях со своих рабочих мест и т.д. Кроме того, для институтов СО РАН создана возможность централизованного получения различных IT-сервисов: электронной почты, сервисов мгновенных сообщений, передачи файлов, совместного доступа к рабочему столу и отдельным приложениям, аудио и видео связь, интеграции с телефонными сетями общего пользования, большого комплекса портальных технологий для совместной работы, автоматизации процессов, повсеместного доступа.

Основания для выполнения проекта

Проект «Корпоративное облако СО РАН» реализуется в рамках Целевой программы «Телекоммуникационные и мультимедийные ресурсы СО РАН». Основанием для выполнения проекта являются:

  1. Протокол заседания Научно-координационного Совета программы «Телекоммуникационные и мультимедийные ресурсы СО РАН» от 22.09.2011.
  2. Постановление Президиума СО РАН № 54 от 09.02.2012.
  3. Протокол заседания Научно-координационного Совета программы «Телекоммуникационные и мультимедийные ресурсы СО РАН» от 04.12.2011.

Список сотрудников, ответственных за реализацию проекта

  1. Косяков Д.В. – руководитель проекта
  2. Гуськов А.Е. – научный координатор проекта
  3. Гавенко А.Н. – ответственный за работу сетевой инфраструктуры
  4. Фомин А.А. – ответственный за работу аппаратной платформы
  5. Мальцев В.Ю. – дежурный администратор
  6. Кузнецов А.С. – дежурный администратор

Используемые аппаратные устройства

  1. 2 шасси HP BladeSystem c7000
  2. 7 серверов HP Blade 460c G6, G7, Gen8
  3. Система хранения данных EMC CX-4
  4. Телекоммуникационное оборудование Центрального узла связи СО РАН

Используемые программные продукты

  1. Microsoft Windows Server 2012
  2. Microsoft Exchange Server 2013
  3. Microsoft Lync Server 2013
  4. Microsoft SharePoint Server 2013
  5. Microsoft SQL Server 2012
  6. Microsoft System Center 2012 Server Suite
  7. Microsoft Windows XP/Vista/7/8
  8. Microsoft Office 2010/2013
  9. Microsoft Endpoint Protection 2012
  10. Microsoft Forefront TMG 2010

Технологическая схема

Решение состоит из следующих взаимосвязанных частей:

Корневая инфраструктура и инфраструктура управления:

  • Компоненты виртуализации на базе Microsoft Hyper-V.
  • Компоненты службы каталогов Active Directory.
  • Кластер Microsoft SQL Server.
  • Компоненты управления и мониторинга на базе продуктов Microsoft System Center Virtual Machine Manager (VMM), Operation Manager (SCOM).
  • Обеспечение безопасности и доступа на базе Microsoft Forefront Threat Management Gateway (TMG). 
  • Подсистема резервного копирования на базе Microsoft System Center Data Protection Manager (DPM).

Построенная таким образом корневая инфраструктура может быть гибко масштабирована при увеличении нагрузки и обеспечивает предоставление необходимых ресурсов для прикладных решений.

Инфраструктура объединенных коммуникаций и совместной работы:

  • Ферма серверов Microsoft Exchange.
  • Ферма серверов Microsoft Lync.
  • Ферма серверов Microsoft Sharepoint.

Комплексное решение, предоставляющее организациям-участникам глобальный, доступный из любой точки сервис электронной почты, общих адресных книг, планирования расписаний, мгновенных сообщений, аудио-видео связи, совместного доступа к приложениям, передачи файлов, телефонии, портальным технологиям, включающим поддержку рабочих пространств научных коллективов. С учетом масштаба внедрения, решение позволяет значительно упростить и интенсифицировать работу междисциплинарных и межинститутских научных групп, облегчает поиск компетентных специалистов и коммуникацию с ними. В научно-организационной работе такой подход позволяет проектировать и внедрять типовые прикладные решения для организаций-участников как в области управления научными проектами, так и в административно-хозяйственной деятельности. В рамках проекта разрабатываются и развертываются основанные на типовых решениях внешние сайты и внутренние порталы институтов.

Система предоставления инфраструктурных сервисов:

  • Система управления, мониторинга и доставки приложений на основе Microsoft System Center Configuration Manager (SCCM) и Microsoft App-V.
  • Система поддержки пользователей и самообслуживания на основе Microsoft System Center Service Manager (SCSM).
  • Система антивирусной защиты на базе Microsoft System Center Endpoint Protection.

Данная система в совокупности с компонентами Active Directory позволяет предложить организациям-участникам проекта сервис построения базовой ИТ-инфраструктуры предприятий, значительно упрощает и оптимизирует работу ИТ-персонала, повышает общую степень интеграции и уровень безопасности участников за счет внедрения типовых конфигураций и наборов программного обеспечения, единой схемы сетевой безопасности. Построение на базе компонентов системы гетерогенной системы Service Desk облегчает продвижение и эксплуатацию всего решения. 

Система предоставления вычислительных ресурсов по требованию на базе Hyper-V, VMM, SCOM. Позволяет предоставлять организаторам-участникам инфраструктуру в виде сервиса: развертывание виртуальных машин (в частности из шаблонов), предоставление ВМ необходимых ресурсов, управление состоянием, удаленное подключение, мониторинг.

Система предоставления платформы как сервисов: построение сайтов, порталов и прикладных решений на основе Microsoft Sharepoint и Microsoft SQL Server. Позволяет организациям-участникам разрабатывать, размещать и эксплуатировать прикладные решения. Особенно эффективными становятся работы по совместной разработке (межинститутским решениям) и разработке типовых решений с последующим их тиражированием.

cloudstructure.jpg 

Схема организации сети

Подключение организаций и пользователей к ресурсам проекта организовано различными способами в соответствии с потребностями и уровнем зрелости ИТ, начиная от получения всех сервисов из облака и заканчивая построением собственной облачной инфраструктуры.

cloudconnect.jpg 

Рисунок 1. Корпоративное облако СО РАН: схема взаимодействия.

В настоящее время организован сегмент сети передачи данных СО РАН с обеспечением внутренней маршрутизации локальных IP адресов между ЛВС институтов и локальной сетью облака. К этому сегменту подключены ЛВС ИВТ, ИНГГ, ИГМ, ИАиЭ, ИЦиГ, ИНХ, ИКФиА, организаций Кемеровского научного центра.

Доступ к ресурсам облака из остальных организаций - участников проекта, а также из других мест осуществляется через СПД СО РАН и публичный интернет.

Меры по защите информации

На настоящее время в корпоративном облаке СО РАН отсутствует информация, которая может быть классифицирована как конфиденциальная, секретная или содержащая коммерческую или государственную тайну.

Для защиты данных от несанкционированного доступа применяются следующие меры:

  1. Оборудование для хранения данных располагается в закрытых технологических помещениях, доступ в которые имеет ограниченный круг технических специалистов.
  2. Для передачи данных между облачными сервисами и абонентами, находящимися внутри Новосибирского научного центра, используются внутренние каналы связи Системы передачи данных СО РАН.
  3. Для передачи данных между облачными сервисами и абонентами используется защищенные протоколы, ограничивающие доступ к информации третьим лицам.
  4. Для доступа к облачным сервисам используются сертифицированные средства аутентификации и ограничения доступа в соответствии с правами доступа пользователя.

Для защиты данных от потерь применяются следующие меры:

  1. Алгоритмы избыточного хранения данных позволяют избежать потерь при выходе из строя одного или нескольких физических носителей информации.
  2. Регулярно выполняются процедуры резервного копирования массивов данных.

Текущее состояние

Проект переведен в эксплуатацию в 4-ом квартале 2012 года. На текущий момент в проекте в разной форме принимают участие около 20 организаций Сибирского отделения. При этом ежедневно в облаке регистрируются:

  • более 800 регистрирующихся пользователей;
  • более 1000 коммуникационных сессий;
  • около 3000 текстовых сообщений;
  • более 550 аудиосессий общей продолжительностью более 800 мин.;
  • более 200 передач файлов;
  • 10-20 сессий совместного доступа к рабочему столу;
  • 5-15 сеансов видеоконференцсвязи, общее число участников достигает 80 чел.;
  • более 250 телефонных звонков;
  • более 5000 почтовых сообщений.

Перспективы развития

Применение облачных технологий с использованием существующих телекоммуникационных ресурсов позволяет:

  • перевести на качественно новый уровень коммуникационные сервисы,
  • создать общедоступную платформу для разработки новых информационных ресурсов,
  • предложить эффективные средства управления техническими и вычислительными ресурсами организаций и научных центров,
  • разрабатывать и развивать корпоративные системы управления.

С учетом масштаба внедрения, решение позволит значительно упростить и интенсифицировать работу междисциплинарных и межинститутских научных групп, облегчит поиск компетентных специалистов и коммуникацию с ними. В научно-организационной работе такой подход позволит проектировать и внедрять типовые прикладные решения для организаций-участников как в области управления научными проектами, так и в административно-хозяйственной деятельности. В дальнейшем эта инфраструктура должна стать основой для формирования единого информационного пространства научной, административной и образовательной деятельности.