convergencia tic-icps · 6 proceso de convergencia define 4 ejes de actuación: •...

Nube Privada

10/02/2020

2

Sobre EJIE

EJIE Eusko Jaurlaritzaren Informatka Elkartea

Sociedad Pública de Informática del Gobierno Vasco

Misión: Empresa Pública de Servicios de las Tecnologías de la Información

y las Comunicaciones(TIC), cuya razón de existir es contribuir de manera

eficaz a la consecución de un Sector Público Vasco moderno y eficiente, en

el Marco Legal establecido por el Gobierno, con la seguridad y calidad

establecidas.

Algunos datos

Explota dos CPD ubicados en Araba y Bizkaia

• ~ 3.000 Servidores y >3 PB información neta

• > 2.500 Aplicaciones

• > 400 Ubicaciones

• > 50.000 Puestos

• ~ 200 Trabajadores

• ~ 120 M€ Presupuesto Anual

3

Índice

1. Proceso Convergencia (Iniciativa Batera)

2. Batera - Servicio IaaS

3. Estructura CPD Convergencia

4. Continuidad de negocio (HA y DR)

4

Índice





5. Onboarding Entidades

5

Proceso de Convergencia

6

Proceso de Convergencia

Define 4 ejes de actuación:

• Infraestructuras (salas técnicas: consolidación de CPDs)

• Comunicaciones: Servicios de operador, gestión y contratación centralizada

• Puesto de trabajo: PCs ‘maquetado y gestionado’, Impresión, Ofimática, Soporte

Usuario final

• Servicios corporativos: Shared Services (Correo, Colaboración y CCUU, Gestión

identidades, Navegación segura, Telefonía IP, Videoconferencia y Gestión de

Video, …)

EJIE se transforma en un proveedor de servicios multi-cliente

Primeros servicios a implantar:

• Servicio IaaS

• Servicio Hosting

• Servicio Colaboración y Comunicación “Elkarlan”

• Servicio WorkPlace/Endpoint (EFSS y VDI/RDS)

• Gestión de Identidades y Accesos

Todo ello sobre la figura del nuevo “CPD de Convergencia”

7

“CPD de Convergencia”

• Planteamiento “greenfield” con estructura multi-tenant en el que EJIE es un

“tenant” (cliente) más.

• Diseñado para encontrar un punto de compromiso entre:

o Minimizar el TCO de la infraestructura

o Maximizar la disponibilidad de los servicios

o Minimizar la complejidad de la infraestructura (+ complejidad => + riesgo)

o Minimizar los recursos inactivos y/o infrautilizados

• Orientación “SDDC” en el que la automatización de infraestructura tenga el

máximo recorrido posible.

• Contempla la integración (hibridación) de servicios con operadores de Cloud

Público como factor para reducir costes o complementar servicios.

• Supone un nuevo planteamiento de la estrategia de disponibilidad y continuidad

(ISO 27000 e ISO 22301)

8

Hosting Consolidación

Cloud Convergencia

Servicios Compartidos

Internet

Redes Privadas

Ciudadanos

Usuarios Internos

OOAA y Dptos.

Portal

Autoservicio

SDDC Convergencia

Encuadre Servicios

9

Características

Automatización de la

Infraestructura

Segmentación

Segura de

Aplicaciones

Experiencia de

Usuario de

Autoservicio / Bajo

Demanda

Extensión Híbrida

Eliminación de

procesos manuales

(susceptibles a error) y

los silos tecnológicos y

organizativos.

Optimización de,

estandarización y

simplificación de

cargas.

Despliegues basados

en políticas y

aislamiento entre

distintas capas y

categorías de

aplicaciones así como

entre clientes (tenant).

Empoderamiento de

los desarrolladores y

de IT para solicitar y

gestionar el ciclo de

vida de las

aplicaciones.

DevOps

Extensión segura del

data center propio de

cada organización con

el Cloud de la

Convergencia y a su

vez de éste con otros

proveedores públicos

de servicio.

10

Índice





11

Servicio IaaS

• El servicio IaaS es el de más bajo nivel y se puede consumir directamente por los

clientes/usuarios finales a través de un portal de autoservicio (vRA)

• El servicio IaaS se divide en cuatro grandes categorías:

• MVs como Servicio (Servidores)

• Escritorios Virtuales/Remotos como Servicio (VDI/RDS)

• Almacenamiento como Servicio (NFS/SMB/CIFS/S3/HDFS)

• BackUp como Servicio

• Los Servicios ofertados se organizan en un catálogo

• El catálogo se organiza en dos grupos principales:

o Servicios de Front Office: Son los pensados para ser contratados por los clientes

o Servicios de Valor Añadido: Son los que se contratan como complemento de otro de

front office.

12

Servicio IaaS

• Los Servidores se definen por tres atributos principales:

• Nivel de disponibilidad: A/B/C

• Nivel de rendimiento: 1/2/3/4

• Nivel de rendimiento del almacenamiento: X/Y/Z

• Se identifican por ese código de tres caracteres: A1X, B3Y, C3Z etc …

13

Servicio IaaS

Categoría Uso Típico CPU RAM Almac. BackupNivel

Disponibilidad

Tipo Servidores (Disponibilidad: A/B/C - Nivel Rendimiento Servidor 1/2/3/4 – Nivel Rendimiento Almacenamiento

X/Y/Z)

A1X / Y

A2X / Y

A1#: Aps. críticas sensibles

latencia

A2#: Aps. críticas estándar

2 – 16

vCPU1 - 64 GB

A#X / A#Y:

20 - 1024 GB Personalizable con

granularidad:

• Diario hasta L-D con

retención hasta 1 mes

• Mensual con retención

hasta un año

• Anual con retención

hasta 5 años.

Alto

(Protección DR)

B1X / Y

B2Y

B3Y / Z

B1#: Aplicaciones sensibles

latencia

B2#: Aps. de producción estándar

B3#: Aps. Estándar bajos recursos

2 – 16

vCPU1 - 64 GB

B1X / B#Y / B3Z:

20 - 1024 GB

Normal

(Proteccion HA+)

C3Y / Z

C4Z*

C3#: Entornos desarrollo y testing

C4#: Pilotos, laboratorios y

proyectos temporales

2 – 16

vCPU

(*)C4 máx 2

1 - 64 GBC

20 - 1024 GB

No Productivo

(Proteccion HA-)

Oferta de Servicios

Nive

l

Contención

CPU

Contención

RAM

Red

(Tx)Sobresus. ANS

#1 < 1% < 0,1% 0 drops 1:1 100%

#2 < 5% < 3% 0 drops 1:4 90%

#3 < 15% < 6% 0 drops 1:6 75%

#4 N/A N/A N/A 95% N/A

Servidores

Nivel Descripción Tpo. Respuesta ANS

##X Rápido < 5 msg. 100%

##Y Normal < 20 msg. 90%

##Z Básico < 30 msg. 75%

Perfiles de Rendimiento

Almacenamiento

KPI / SLANormal

(B)

Alto

(A)

NoProd

(C)

RTO/RPO Incidente Menor 12 / 1 h 6 / 0 h BE / 24h

RTO/RPO Catástrofe ∞ / 24 h 12 / 1 h BE /1 s.

Incidencia críticaTiempo Resp. < 30 min < 20 min -

Tiempo Resol. < 4 h < 3 h -

Incidenciagravedad alta

Tiempo Resp. < 40 min < 30 min -

Tiempo Resol. < 8 h < 6 h -

Incidenciagravedad media

Tiempo Resp. < 1 h 8x5 < 1 h 8x5 -

Tiempo Resol. < 2 días < 8 h 8x5 -

Incidenciagravedad baja

Tiempo Resp. < 2 h 8x5 < 2 h 8x5 -

Tiempo Resol. < 7 días < 16h 8x5 -

Indicadores Clave de Disponibilidad y ANS

14

Servicios Valor Añadido IaaS

• Servicio incluidos Estandar

• Antivirus SO

• Seguridad perimetral IDS/IPS

• DNS Interno y Público

• Anti-Malware y protección tráfico web

• Servicios opcionales

• Parcheado de SO

• Backup y recuperación

• Monitorización entornos de cliente (front-office)

• Centralización de logs y reporting basado en paneles de disponibilidad, rendimiento y

capacidad

• Seguridad IDS/IPS Host

• Gestión de Vulnerabilidades

• Pasarela VPN

• Evolución a PaaS

15

Servicio IaaS

Portal de autoservicio - vRA

16

Índice





17

Estructura Lógica

Tenant Default

Recursos

Clientes

SDDC

Redes de

Acceso y

CPDs

Clientes

Perímetro

WAN SDDC

y DCI

Tenant 1 Tenant 2 Tenant N

MPLS

Internet

TenantConverg

encia

Expo. Horiz.

TenantN

Tenant Operación y Servicios VARecursos

Internos

SDDC

Reserva Tenant #1

Tenant#2

Business Group #A

BG #A

Business Group #C BG #B

Business Group #BPortal

Autoservicio

18

Planteamiento Infraestructura

Usuarios Internos

OOAA, Dptos. y

personal externo

vRealize

SDN

IaaS

IaaS

PaaS

Tier

Virtual

VSAN

NFS

Microsegmentación

Rep

Backup

All-

Flash

Scale

Out

FC

Tier

Físico

BDaaS

Almac.

Objeto

EFSS

Aplicac

iones

Apps

Legacy

HTTP

Array

All-

Flash

19

Índice





20

Continuidad de negocio

Perímetro Físico

Gestión Site A

Networking Site A

Recursos con DR

Rec.sin DR

Site A Site B

Perímetro Físico

Gestión Site B

Networking Site B

Zona Transporte

Gestión

Zona Transporte

TenantsPod

Recursos

Pod SDN

Pod

Gestión

Tenant 1

Tenant 2

Tenant X

MPLS

Internet

WindowsRecursos con DR / Recursos Sin DR

RHEL

Oracle WLS

Oracle BBDD

Recursos RDS Recursos RDSRecursos VDI

21

Continuidad de negocio - SRM

• VMware SRM (Site Recovery Manager)

• Planes centralizados simples de recuperación para miles de máquinas (vs

Runbooks/procesos manuales)

• Testeo del recovery no-disruptivo

• Workflows automatizados de DR

• Se integra con el resto de productos del stack

• Reduce la complejidad y el riesgo implícito en los procesos manuales

• Permite tener RPOs predecibles

• Permite tener el DR organizado por políticas.

22

No Productivo Normal Alto Nivel 0

Categoría de Aplicación Ni estratégica ni crítica Estratégico pero no crítico Función Crítica Vital

Proporción Típica 20% 55% 20% 5%

Requisito de Disponibilidad [*]

Bajo< 98%

Medio98,0%

Alto99,0%

Muy Alto99,9%

RTO/RPO (h) DesastresMenores [1]

Best Effort/24 12/1 6/0 1/0

RTO/RPO (h) DesastresMayores [2]

∞/1 Semana ∞/24 12/1 6/1

Cobertura Soporte “Best effort” sin SLA 8x5 24x7 24x7

Monitorización Ninguna Infraestructura + SO y Middleware + Nivel de Aplicación

Ventanas de Mtmto. Fijas Fijas Flexibles Flexibles

[1]: Cubiertos con mecanismos HA en el site principal

[2]: Cubiertos con mecanismos DR con fail-over al site secundario

[*]: Sin contabilizar ventanas de parada planificadas

Continuidad de negocio Disponibilidad

Eskerrik Asko

convergencia tic-icps · 6 proceso de convergencia define 4 ejes de actuación: •...

Documents