Upload
jan-guldentops
View
139
Download
2
Embed Size (px)
DESCRIPTION
Tien praktische tips rond ICT-infrastructuur die niemand je vertelt. Talk over wat een ICT van een lokaal bestuur allemaal rekening mee moet houden als hij een degelijke ICT infrastructuur wil opbouwen. Presentatie v ict-or shopt it! 28 mei 2014, Antwerp Hilton
Citation preview
ICT & gezond verstand10 praktische tips rond ICT-infrastructuur die niemand je vertelt.
V-ict-or Shopt IT 2014Jan Guldentops ( [email protected] )BA N.V. ( http://www.ba.be )
Wie ben ik ?
Jan Guldentops (°1973) Dit jaar bouw ik 19 jaar server en netwerk
infrastructuren Oprichter Better Access (°1996) en BA (°2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van
Security Breng veel tijd in het testlab door
R&D (vooral security) → journalistiek Online te volgen via twitter (JanGuldentops), Linkedin,
Slideshare
ICT is overal
● Het hart van de werking van een bestuur ● Complex radarwerk van netwerken /
datacommunicatie / servers / applicaties● Overheidsinformatica is zoals alle andere IT
maar toch weer niet ● ICT'ers in lokale overheid zijn meestal
generalisten geen specialisten
Hele set nieuwe uitdagingen
● Gewrongen tussen : ● Veelvoud aan nieuwe opportuniteiten / problemen (
euhm uitdagingen ) – BBC, procesbeheer, security, toenemende integratie
tussen applicaties, alles geinformatiseerd, etc.● Maar: harde budgetaire tijden
– Overal wordt bespaard ook op ICT– MAAR: "Ge moet niet besparen op ICT maar met ICT!"
Hoe kan je dit waarmaken ?
● Een goede onderliggende ICT-infrastructuur ● Netwerk● Server ● Storage
● Doordachte aanpak met zoveel mogelijk gezond boerenverstand● Een goed plan● De juiste mensen op ICT ● Het correcte management van je processen
Infrastructuur: netwerk
● Het begint allemaal bij het netwerk ● = het hart van je hele infrastructuur● Als dit faalt of slecht werkt, werkt de rest ook niet
● Toch vaak heel stiefmoederlijk behandelt● weinig kennis ● gezien als plug & play
● Een paar dingen waar je zeker op moet letten
1 fysiek netwerk voor alles
● Probeer één groot fysiek WAN / LAN te bouwen ● OCMW, gemeente en zelfs andere partijen gebruiken
dezelfde fysieke infrastructuur ( switches, fibers, etc.)● Zo gestandardiseerd mogelijk
● Liefst één of een beperkt aantal vendors● Deel dit grote netwerk logisch op via VLAN's
● Beveilig het verkeer tussen de verschillende VLAN's met de juiste Access Controll Lists ( ACL's)
Bouw een performant Wide Area Network ( WAN )
● Hang alles aan elkaar !● bij voorkeur via glasvezel-verbindingen ( tot 10Gbit) ● anders via draadloze verbindingen ( tot 300Mbit )● Belgacom Explore, Infrax of andere technologie ● Internet VPNS ( max 1 tot 2mbit bruikbaar )
● Ideaal scenario : ● Waar een gebruiker ook inplugt, zou hij +- dezelfde
connectiviteit moeten hebben● Een tweede site waar je de disaster recovery van je
infrastructuur kan doen
Genoeg power en controle
● Zorg dat je genoeg power en controle hebt ● Koop alleen managed switches ● Lees de specificaties van je apparatuur :
– Er is werkelijk een verschil tussen een switch van €300 en één van € 2000
● Gebruik de opdeling core en edge switches● Bouw zoveel mogelijk redundantie in
– Voorzie alles dubbel– Liefst gescheiden wegen tussen sites
Gebruik / begrijp de technologie die beschikbaar is
● VLAN's ● Layer 2 / Layer 3 ● Quality-of-service● 802.1x
Beveilig je LAN / WAN
● Zorg op zijn minst dat je switches zelf veilig zijn : ● Userid/password ● SNMP communities met beperkte rechten● Beheerd via een veilige verbinding ( ssh / https)
● Zorg voor ACL's tussen je VLAN's● Wees voorzichtig met wireless!● Ingebouwde features: DHCPsnooping, storm
protection, etc.
Servers (/) Virtualisatie
● Server virtualisatie is mainstream geworden● Biedt ongeloofelijke voordelen :
● Betere benutting hardware● Meerdere servers naast elkaar ● Isoleren van leveranciers op hun eigen omgeving ● Server wordt een softcontainer (directory met een aantal files)
– Allerlei coole nieuwe mogelijkheden – Makkelijke Disaster Recovery– Virtual Appliances
● Failover / clusters worden eenvoudiger
Verschillende religieuze stromingen
● VMWare is zonder twijfel marktleider ● Meest volwassen product op de markt ● Door de “Amerikaanse” licentiering relatief goedkoop voor de
Belgische markt. ● Uit het linuxkamp :
● Xen ( al dan niet in de Oracle of Citrix-variant )● KVM ( Redhat, andere, )
● Hyper-V● Als je enkel windows doet en een qua functionaliteit /
betrouwbaarheid bereid bent in te leveren. ● Voornaamste argument : koppelverkoop licenties
MAAR
● Je hebt er ook de infrastructuur voor nodig : ● Liefst shared storage of SAN ● Oppassen voor performantie bottlenecks
● Bepaalde hardware-aspecten blijven moeilijk / onmogelijk : ● Dongles● Usb● Hardware insteekkaarten
● Licenties : ● Oracle● Microsoft
● Virtualisatie is geen wondermiddel !
Storage
● Er is enorm veel veranderd op het vlak van storage en het gebruik ervan
● Enorme volumes● Flexibel met opslag kunnen omgaan● Verschillende types ( slow and fast)● Backups worden moeilijk
● Komst van SSD's
SAN
● Verschillende religies : ● Connectiviteit
– Fc <-> ethernet – Block versus server ( NFS / CIFS )
● Disks en hoe ze gebruikt worden – RAM – SSD – SATA / SAS
● Types RAID● Features
– Replicaties– Snapshots– Deduplicatie– Thin provisioning– Integratie
Nieuwe tendenzen
● Virtuele SAN's ● VMWare Vsan
● Software Defined Storage ● Bijvoorbeeld Nexenta of FreeNAS● ZFS gebaseerde full feature SAN's op gewone serverhardware
● Sterk gespecialiseerde SAN's ● Bijvoorbeeld: Tintri● SAN ontwikkeld om puur storage voor virtualisatie te leveren● Met een minimum aan management (“zero management”)
Waar op letten bij aankoop ?
● Beschikbaarheid ● Is alles redundant ?● SLA op de contracten● Hoeveel disks mogen er stuk gaan ?
● Performantie ● IOPS / Latency
● Features ● Snapshots, replicatie, deduplicatie, thin provisioning● Hoe kan er data aangeboden worden ?● Werkt het met waar ik het nodig voor heb ?
● Kostprijs● Lockin
Casus 1: minimale SAN-oplossing
Casus 2: volgens de regels van de kunst
Cloud
Cloud computing is a model for enabling convenient, on-demand network access to a
shared pool of configurable computing resources (e.g., networks, servers, storage, applications,
and services) that can be rapidly provisioned and released with minimal management effort or
service provider interaction.
( National institute for standards and technology )
Het einde van de backup ?
● Volumes zijn zeer groot geworden ● Het wordt heel moeilijk om traditioneel elke nacht alles te backuppen.● Nood aan applicatieve backups ● Lagere RTO / RPO's
– We willen minder data kwijtzijn en minder lang down zijn.
● Nieuwe tendenzen ● Online backup op SAN ● Backup naar cloud
● Ontstaan awareness : ● Verschil tussen backup, archivering en preservatie
5 minimale vereisten
● On-demand self-service● Gezamelijke pooling van server en ICT
middelen● Brede netwerktoegang● Elasticiteit
● Zowel minder als meer ● Exact afgemeten gebruik en kostprijs
Verschillende mogelijkheden
● Infrastructure as a Service (IAAS) ● Software as a Service (SAAS)
● Bv Office 365, Google Docs, Vera Mail, Loonapplicatie Schaubroek, tax-on-web, etc.
● Platform as a Service (PAAS )● Speciallekes :
● Desktop as a service, PBX as a service, etc.
Waar met je op letten ?
● Voor cloud gelden dezelfde regels als voor gewone on premisse toepassingen (bv. Op het vlak van security )
● Legale belemmeringen● Onvolwassen industrie
● Veel beloven, weinig doen● Connectiviteit
● Heb ik voldoende bandbreedte, latency en betrouwbare verbinding naar die cloud toe ?
Waar moet je op letten ?(2)
● Speel op zeker ● voorzie een scenario om terug te keren ● zorg ervoor dat je een copy hebt van de data
● Reken je kosten goed uit ● Maak duidelijke afspraken met je leverancier
● SLA● Kostprijs● Security● Etc. kostprijs, security, etc.
● Test● “The proof of the pudding is in the eating”
Cirkel van Deming
Plan
● Maak een plan waarin je : ● Een inventaris hebt van
– alles wat je functioneel en wettelijk moet bereiken– Al je processen en hoe ze geïnventariseerd worden
● Maak afspraken rond beschikbaarheid : – RTO– RPO
● Securitypolicy inclusief risico-analyse en business continuityplan
DO
● Beschrijf wat je nodig hebt ● Besteed het aan :
● Volledige uitbesteding ● Stap in grotere raamcontracten ● Coditel arrest
● Spreek SLA's af ● Realistische afspraken● Met tanden ( boeteclausules )
● Zorg ook voor documentatie en kennisoverdracht
CHECK
● Monitor ● Zorg ervoor dat je een proactief monitoringsysteem hebt
met historische cijfers– Noodzakelijk om je SLA te monitoren en te weten hoe het gaat.
● Audit af en toe ● Backups / DRP● Werking van de systemen
● Log alle interventies in een ticketing systeem● Voorzie de nodige procedures om alles op te volgen
ACT
● Los de problemen die je hebt op ● Structureel
– geen brandjes blussen met tijdelijke oplossingen● Change Management
– Doe het gestructureerd – Stuur bij
● Documenteer – Zorg dat je alles documenteert
Meer weten ?
● E-mail: [email protected]● Twitter: JanGuldentops ● Linkedin: http://be.linkedin.com/in/janguldentops/● Slideshare:http://www.slideshare.net/janguldento
ps/
Of kom langs op onze stand !