Technologické zázemí resortu ČÚZK

Technologické zázemí
resortu ČÚZK
Jiří Veselý
[email protected]
9.10.2013
Obsah
•
•
•
•
•
•
•
organizační uspořádání
WAN, LAN
doména
infrastruktura, datová centra
interní i externí aplikace
pošta
systémový management
Organizační uspořádání – informační
technologie
• ČÚZK, odbor informatiky: koncepce, projektové
řízení, celoresortní projekty, vývojový tým ISKN
• ČÚZK, odbor provozu CDKN: administrace centrálních
nebo celoresortních systémů, operátorský dohled
• ZÚ, odbor správy IT: administrace systémů v
působnosti ZÚ
• KÚ, oddělení podpory ICT a správy lokálních databází:
administrace systémů v působnosti KÚ
• KP, informatik: místní správce pracoviště – pracovní
stanice, zálohování …
ČÚZK
Sekce
centrální
databáze KN
(73)
odbor
provozu
centrální
databáze
(36)
odbor
správy
dat
(23)
oddělení
administrace
databáze
(9)
oddělení
administrace
UNIX
(7)
oddělení
administrace
systémového
managementu
(5)
odbor služeb
uživatelům
(11)
oddělení
administrace
domény
(8)
oddělení
operátorů
(6)
Informační systémy ČÚZK a KÚ
• podpůrné (umožňují provozovat další IS)
–
–
–
–
–
doména
systémový management
elektronická pošta
docházka
další
–
–
–
–
–
–
–
ISKN
ISUI
RUIAN
VDP
personalistika
ekonomický
další
• produkční:
Řízení bezpečnosti
•
•
•
•
Rada pro bezpečnost IS
auditoři bezpečnosti
metodik bezpečnosti
dokumentace (bezpečnostní a provozní
předpisy)
• havarijní plánování
• fyzická bezpečnost (oddělené serverovny,
pásky se zálohami mimo budovu …)
LAN
• Local Area Network, místní síť (většinou v rámci
jedné budovy)
• rychlosti 100 Mbit/s nebo 1 Gbit/s
• může obsahovat několik VLAN (virtuální LAN,
samostatné rozsahy IP adres), které mohou (nebo
nemusí) být mezi sebou propojeny
• uspořádání v závislosti na velikosti pracoviště
• v Praze časový normál (zdroj přesného času pro celou
vnitřní síť) na základě GPS signálů
LAN
Praha
WAN
• součást KIVS (komunikační
infrastruktura veřejné správy)
• Wide Area Network – privátní síť
propojující jednotlivá pracoviště
• technologie MPLS (Multi
Protocol Layer Switching) –
datové toky jednotlivých
zákaznických sítí jsou od sebe
logicky odděleny a jsou navzájem
„neviditelné“
• vlastní šifrované tunely mezi
pracovišti
• řízení datového toku
WAN ČÚZK
Kapacity linek
– 2 linky 100 Mbit/s do internetu (T-Systems a
Telefónica)
– 200 Mbit/s připojení centra do WAN
– 13x 16 Mbit/s (KÚ a ZÚ Sedlčany)
– 46x 8 Mbit/s (větší KP)
– 40x 4 Mbit/s (menší KP)
– 2x pár nenasvícených optických vláken do
housingu
Propojení do ostatních sítí
Propojení do ostatních sítí
• CMS – centrální místo služeb (propojovací síť
veřejné správy): připojení k IS Evidence
obyvatel (Ministerstvo vnitra)
• ISZR – interní rozhraní základních registrů,
propoj mezi systémem ISZR a RUIAN
• Internet: 2 nezávislé linky od dvou různých
poskytovatelů
• jediné místo připojení externích sítí: centrum
• DMZ – demilitarizovaná zóna, podsíť s
omezeným přístupem z externích sítí
Firewall
• zajišťuje filtrování provozu na základě nastavených
pravidel
• zakázat vše, pouze nutné povolit
• nikdy: přístup z nechráněné sítě do sítě vnitřní
• příklad: přístup na www.cuzk.cz:
source: any; destination: www.cuzk.cz; protocol:
TCP80
• inspekce i na vyšších vrstvách ISO/OSI modelu (např.
detekce cross site scripting)
• v logu denně cca 5 mil. záznamů
Řízení datového toku
• zavedeno na WAN
• funkce QoS (quality of services)
• možnost přidělení určitého pásma konkrétní aplikaci
nebo skupině aplikací
• příklad:
– pro přístup k www aplikacím rezervuj 4 Mbit/s
– pro odchozí poštu rezervuj 1 Mbit/s
– provoz z GPS CZEPOS je v režimu realtime (minimalizace
zpoždění, absolutní přednost)
Přístup na internet z interní sítě
• proxy server v centru jako jediný bod pro
přístup na internet
• řízení přístupu prostřednictvím členství v
doménové skupině
• všechny přenosy logovány, vyhodnocování
denního objemu dat uživatele
• v logu denně cca 15 mil. záznamů
Referenční pracoviště
•
•
•
•
•
oddělená síť, včetně WAN
lokality Praha, České Budějovice, Prachatice
kopie provozních systémů
testování nových verzí SW (zejména APV)
fyzické oddělení od produkční sítě
minimalizuje riziko ovlivnění provozních
systémů
Vzdálený přístup do interní sítě
• pro potřeby administrátorů nebo vedoucích
pracovníků
• šifrované spojení (VPN), ověřování
certifikátem na HW tokenu (privátní klíč
neopustí token) + heslo k tokenu
• šifrované spojení přes SSL (WebVPN),
ověřování přes generovaná jednorázová hesla
• přístup k poště z mobilních zařízení
Doména
• prostředí MS Windows
• jednotná Active Directory
• řízení přístupu k interním zdrojům informací (sdílení,
aplikace …), včetně APV
• řízení přístupu k internetu
• další informace o uživatelích (telefon, organizační
jednotka …)
• na každém KÚ a v centru jeden doménový řadič
(server)
Zajištění vysoké dostupnosti
• rozdělování požadavků na víc serverů
• rovnoměrně; v určitém poměru; dynamicky podle
odezvy; pouze na jeden s přesměrováním na jiný při
výpadku
• HW zařízení (content switch)
• aplikačně (RAC, Oracle Application Server …)
• prostředky operačního systému nebo
specializovaným SW
– Windows Server – NLB (network load balancing)
– Oracle ASM (zrcadlení disků)
Hash
• Hashovací funkce je reprodukovatelná metoda pro
převod vstupních dat do (relativně) malého čísla, které
vytváří jejich otisk (můžeme ho označit jako
charakteristika dat). Výsledný otisk se označuje také jako
výtah, miniatura, fingerprint či hash. Funkce může sloužit
ke kontrole integrity dat, k rychlému porovnání dvojice
zpráv, indexování, vyhledávání apod. Je důležitou součástí
kryptografických systémů pro digitální podpisy.
(http://cs.wikipedia.org)
Hash – základní vlastnosti
• jakékoliv množství vstupních dat poskytuje stejně
dlouhý výstup (otisk)
• malou změnou vstupních dat dosáhneme velkou
změnu na výstupu (tj. výsledný otisk se od původního
zásadně na první pohled liší)
• vysoká pravděpodobnost, že dvě zprávy se stejným
otiskem jsou stejné
• funkce je jednosměrná (irreverzibilní) – z otisku nelze
odvodit původní data
Hash - algoritmy
• MD-5 - používán např. pro kontrolní součty souborů.
Není považován za bezpečný.
• SHA-1 – v současnosti hojně používaný, přestává být
považován za bezpečný
• rodina SHA-2 (SHA-256, SHA-512) – doporučované
algoritmy pro budoucnost, se současnými prostředky
(s výhledem na několik let dopředu) je považován za
bezpečný
Asymetrické šifrování
• existuje dvojice klíčů (soukromý a veřejný)
• zprávu, zašifrovanou jedním z klíčů, je možné
rozšifrovat pouze pomocí druhého z dvojice klíčů
• soukromý klíč musí být držen pod výhradní kontrolou
majitele
• šifrování soukromým klíčem – podpis
• šifrování veřejným klíčem – kódování zprávy, určené
pouze příjemci
Šifrování
Podepisování
Schema podpisu
Certifikáty, podpisy, značky, razítka
• cerifikát – potvrzení externího subjektu o identitě
majitele veřejného klíče (veřejný klíč podepsaný
certifikační autoritou)
• podpis – „zmrazení“ obsahu dokumentu (hash) a
potvrzení autora (podpis hashe). Je vytvořen
„vlastnoručně“.
• značka – jako podpis, je vytvářena automatizovaně.
• časové razítko; jako značka, vytváří autorita časového
razítka. Obsahuje garantovaný údaj o čase vytvoření
razítka
Elektronický podpis
• Zákon č. 227/2000 Sb., o elektronickém podpisu
• elektronický podpis (EP) – údaje v elektronické podobě,
připojené k datové zprávě (nebo s ní logicky spojené spojené),
sloužící k ověření identity podepsané osoby
• zaručený EP:
– je jednoznačně spojen s podepisující osobou,
– umožňuje identifikaci podepisující osoby ve vztahu k
datové zprávě,
– byl vytvořen a připojen k datové zprávě pomocí
prostředků, které podepisující osoba může udržet pod svou
výhradní kontrolou,
– je k datové zprávě, ke které se vztahuje, připojen takovým
způsobem, že je možno zjistit jakoukoliv následnou změnu
dat
Druhy certifikátů
• technicky shodné, liší se v atributech
• podle použití: osobní / systémový – pomocí
osobního se vytváří podpis, systémovým značka (tj.
automatizovaně, např. v DP KN)
• podle vydavatele: komerční / kvalifikovaný –
kvalifikovaný musí splnit náležitosti zákona, vydává
pouze kvalifikovaná CA
• zaručený EP (el. značku) lze vytvářet pouze pomocí
kvalifikovaného certifikátu
Časové razítko
• mírně odlišný princip, vždy zajišťována extrerní
autoritou časových razítek
• hash zprávy se odešle časové CA, ta k němu
připojí svůj podpis s časovým údajem (který je
garantovaný)
• u certifikátu se platí za jeho vydání, u
časového razítka za každé takové razítko
Existence zprávy v čase
• bez časového razítka – pokládá se za
prokázané, že zpráva existovala v okamžiku
doručení příjemci
• s časovým razítkem – pokládá se za prokázané,
že zpráva existovala v okamžiku označení
časovým razítkem
• časové razítko samo o sobě neprokazuje
identitu autora, vždy musí být spojeno s el.
podpisem / značkou
Datová centra
Základní informace
– 2 nezávislá datová centra v Praze
– 2 nezávislé optické trasy (různí poskytovatelé)
– vzdálenost datových center cca. 10 a 18 km (podle trasy vláken)
– Konektivita
• 4x10 Gbit ethernet
• 4x4 Gbit SAN
Design datových center
Platforma Power (IBM AIX)
Technologie
– HW technologie IBM POWER6, operační systém AIX 5.3, AIX 6.1
– virtualizace IBM POWER VM
• PowerVM Hypervisor
• Micro-Partitioning
• celkem 160 běžících LPARů v obou lokalitách
•
Výpočetní výkon
• DB produkce 58 CPU, 1,15 TB RAM, záloha 88 CPU, 1,34 TB RAM
• APP produkce 68 CPU, 0,75 TB RAM, záloha 36 CPU, 0,5 TB RAM
•
Produkce:
• 4x p570 pro DB clustery (96-480 GB RAM, 6-24 CPU 4,2 GHz)
• 17x p520 pro APP farmy (32-64 GB RAM, 4 CPU 4,2 GHz)
•
Záloha produkce, test, vývoj:
• 4x p570 pro DB clustery (96-576 GB RAM, 14 CPU 4,7 GHz)
• 9x p520 pro APP farmy (64 GB RAM, 4 CPU 4,7 GHz)
Platforma x86
• samostatné servery i virtualizace
• aplikační vrstva pro grafiku a pro Java servery v RUIAN
a VDP
• VMWare; automatická migrace mezi servery
• Windows Server (grafika), Linux
• produkce
– samostatné servery: 10x; 40 jader; 144 GB RAM
– VMWare: 4x; 56 jader; 216 GB RAM
• záloha
– samostatné servery: 9x; 32 jader; 136 GB RAM
– VMWare: 3x; 40 jader; 152 GB RAM
Disková pole
Technologie
•
•
•
– HW technologie IBM DS 8100 (třída High-End)
– Plně redundantní design s běžně dosahovanou
dostupností 99,99
Produkce:
– 1x DS8100, 368 FC disků, RAW kapacita cca 72 TB
– Čistá kapacita 36 TB
– Použití RAID 10 – zvýšená ochrana dat
Záloha produkce, test, vývoj:
– 1x DS8100, 410 FC disků, RAW kapacita cca 120 TB
– Čistá kapacita 80 TB
Kopírovací funkce:
– Metro Mirror–synchronní replikace dat do záložní lokality
– FlashCopy (Snapshot), Global Mirror (asynchronní)
Disaster recovery
• ISKN, ISUI
–
–
–
–
aktivní-pasivní lokalita, clustery v rámci lokality
v záložní lokalitě běží testovací prostředí (využití HW)
data jsou synchronně kopírována do zálohy
v případě havárie a přesunu do záložní lokality
utlumení testovacích prostředí a start produkce
• RUIAN, VDP
– aktivní v obou lokalitách (servery i data)
– při výpadku lokality nejsou potřebné další akce
Přenos údajů mezi systémy
• replikace
–
–
–
–
funkčnost Oracle databáze
několik replikačních skupin (interval replikace, směr …)
zajištěna konzistence
provázání ISKNI, ISKNE, ISUI a Nahlížení a RUIAN s VDP
• předávání zpráv na aplikační úrovni
– aktualizace RUIAN z ISKN a ISUI
– nezajišťuje automaticky konzistenci dat, nutné
kontroly
Velikosti databází
ISKNI
•
•
•
•
interní informační systém pro vedení KN
cca 3000 současně pracujících uživatelů
8000 reportů za hodinu
denně cca 900 výměnných formátů (převážně
pro geodety)
• každý uživatel má pevně přidělené role, které
stanovují co může a co nemůže dělat
• obecně platí, že jeden člověk nesmí mít
přiděleny takové role, které by mu umožnily
provést celé řízení od založení do jeho
ukončení
ISKNI - APV
• Aplikační Programové Vybavení
• třívrstvá architektura (klient-aplikační serverdatabázový server) – část aplikační logiky v
databázi, část na aplikační vrstvě, u klienta
minimum
• klientský SW:
– Java applet pro Oracle Forms
– Bentley Microstation
• Forms: cca 500 modulů (formulářů)
• Reports: cca 150 modulů (reportů)
Databáze ISKN
• Oracle 10
• velikost DB – cca 2 TB
• obecné rozdělení dat:
– číselníky (např. katastrální území …)
– minulost (data, která již přestala platit)
– přítomnost (aktuální stav katastru)
– budoucnost (připravovaný stav, změny)
– další data (uživatelská data, …)
• významná část logiky aplikace je přímo v
databázi
Počty řádků vybraných tabulek
•
•
•
•
•
•
•
•
AK_PARCELY
22 0180 000
AK_BUDOVY
3 939 000
AK_JEDNOTKY
1 867 000
AK_OPRAV_SUBJEKTY
6 873 000
AK_TELESA
6 079 000
AK_JINE_PRAV_VZTAHY
23 716 000
AK_SOURADNICE_PB
118 782 000
BP_BODY_PBPP (jen akt.)
468 000
Počty objektů v databázi ISKN
Typ objektu
Počet objektů
INDEX
2098
LOB
103
MATERIALIZED VIEW
44
PACKAGE
621
PACKAGE BODY
621
PROCEDURE
5
SEQUENCE
151
TABLE
1093
TRIGGER
2250
VIEW
543
ISKNE – Dálkový přístup do KN
• https://katastr.cuzk.cz
• internetová aplikace, poskytuje výstupy formálně shodné s
interní aplikací
• třívrstvá architektura (klient – aplikační – databázová)
• vysoká odolnost proti výpadkům
• kapacita > 10 000 reportů za hodinu
• reálný provoz > 5000 reportů za hodinu
• kopie mapy jako PDF – upravený modul APV, Microstation
běžící jako služba
• webové služby – napojení jiných informačních systémů
(CzechPOINT, banky, exekutoři …)
Výstupy DP s elektronickou značkou
•
•
•
•
od července 2006
pouze výstupy ve formátu PDF
podepisování zajišťují speciální HW zařízení
podpisem je zajištěno, že výstup vydal ČÚZK a
že od okamžiku vydání nebyl změněn
• díky el. značce je umožněna činnost externích
ověřovatelů
• také kopie mapy v PDF s el.značkou
200
12
180
Miliony
10
160
140
8
120
100
6
80
4
60
40
2
20
0
0
unikátní IP
návštěvy
stránky
stránky
Tisíce
katastr.cuzk.cz
ISUI
• sdílená infrastruktura s ISKNI a ISKNE
• neveřejná aplikace pouze pro registrované a
oprávněné uživatele
• obecní úřady, stavební úřady
• cca 900 unikátních IP adres za měsíc
• příprava webových služeb, napojení
informačních systémů obcí
0,8
7
0,7
6
0,6
5
0,5
4
0,4
3
0,3
2
0,2
1
0,1
0
0
unikátní IP
návštěvy
stránky
stránky
8
Miliony
Tisíce
isui.cuzk.cz
RUIAN
• základní informace – http://www.szrcr.cz
• vysoce dostupná architektura
• nelze přistupovat přímo, pouze
prostřednictvím ISZR
• cca 150 tis. dotazů denně
• dimenzováno na 300 dotazů/s
• výměnný formát je veřejně a zdarma přístupný
prostřednictvím VDP
RUIAN – datové toky
Webové služby
ISZR
VFR
Miliony
služby RUIAN
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
publikační
editační
Tisíce
Počty stažení VFR
2000
1800
1600
1400
1200
1000
800
600
400
200
0
adresy v CSV
znaky a vlajky
základní - stát
úplný - stát
základní - obce
úplný - obce
Objem stažených dat VFR [GB]
500,00
450,00
400,00
350,00
300,00
250,00
200,00
150,00
100,00
50,00
0,00
adresy v CSV
znaky a vlajky
základní - stát
úplný - stát
základní - obce
úplný - obce
VDP
•
•
•
•
•
http://vdp.cuzk.cz
zprostředkování přístupu k údajům RUIAN
veřejně přístupné, zdarma
popisné i grafické informace
včetně VFR (na začátku měsíce kompletní,
mezi tím pouze rozdíly)
– správní členění, hranice až do úrovně ZSJ, adresní
místa (vč. jejich definičních bodů), parcely (vč.
definičních bodů a hranic), budovy, uliční čáry ...
250
4500
Tisíce
4000
200
3500
3000
150
2500
2000
100
1500
1000
50
500
0
0
unikátní IP
návštěvy
stránky
stránky
Tisíce
vdp.cuzk.cz
Nahlížení do KN
• http://nahlizenidokn.cuzk.cz
• veřejný a bezplatný přístup k vybraným údajům
KN
• jedna z nejvíce využívaných aplikací veřejné
správy
• cca 400 tis. unikátních IP adres měsíčně
• > 1000 reportů za minutu
• > 1000 zobrazení mapy za minutu
• aktualizace po cca 2 hodinách
350
3000
Miliony
300
2500
250
2000
200
stránky
Tisíce
nahlizenidokn.cuzk.cz
1500
150
1000
100
500
50
0
0
unikátní IP
návštěvy
stránky
Nahlížení – provozní problémy
• intenzivní dolování dat, získávání osobních údajů
(jména a adresy)
– rozsáhlé automatické sítě v zahraničí, včetně botnetů
(napadené počítače)
– bez ochrany aplikace by se jednalo o 1/3 až 1/2
veškerého provozu
– obrana
• CAPTCHA (zadávání generovaného kódu)
• automatická detekce podezřelého provozu a blokování
• nelze předpovídat provoz, existují výrazné špičky
(většinou zmínky o katastru v médiích)
Nahlížení - návštěvnost
• TV Nova – převod nemovitosti na základě
padělané plné moci: je vhodné si pravidelně
kontrolovat stav nemovitosti v Nahlížení
Návrhy na vklad
•
•
•
•
https://nv.cuzk.cz
příprava návrhu na vklad do KN
kontrola zadaných údajů proti stavu KN
při doručení na KP jsou už v systému
připravena data
• připravuje se rozhraní webových služeb
(možnost napojení informačních systémů)
50
6
45
Miliony
5
40
35
4
30
25
3
20
2
15
10
1
5
0
0
unikátní IP
návštěvy
stránky
stránky
Tisíce
nv.cuzk.cz
Mapový server ČÚZK
•
•
•
•
services.cuzk.cz
všechny služby přístupné bez omezení a zdarma
> 5000 požadavků za minutu
prohlížecí služby (WMS) – rastr pro zadaný výřez a
vrstvy
• stahovací služby
– online (WMS) –vektor pro zadaný výřez a podmínku
– připravené, vygenerované soubory (v GML)
Témata mapových služeb
• ne-INSPIRE (zatím pouze WMS)
– katastrální mapa
– správní jednotky (neharmonizované)
• INSPIRE (prohlížecí i stahovací služby)
– CP (katastrální parcely)
– AD (adresy)
– AU (správní jednotky)
Příprava grafických dat pro publikaci
• rastry a rozrastrované KM-D
– na KÚ vymaskování (smazání) při obnově operátu
nebo přeskenování při velkém počtu změn
– přenos do centra
– konverze a přenos na úložiště pro publikaci
• vektory
– replikace do databáze Nahlížení
– export vektorů do souborů po jednotlivých vrstvách a
katastrálních územích
– aktualizace 6x za den
INSPIRE datové toky
Stahovací
a
prohlížecí
služby
Rastrové soubory
• analogové mapy KN: 22420 souborů,
aktualizace při přeskenování (28 GB)
• rozrastrovaná KM-D: 991 souborů, aktualizace
čtvrtletně (8 GB)
• mapy bývalého PK: 5103 souborů (52 GB)
Četnost EPSG kódů za září 2013
EPSG
900913
Popis
WGS 84/Pseudo Mercator
Google
Stránky
Přenesená data
24748060
98.90 GB
4326 WGS 84 (geographic 2D)
22616960
94.91 GB
S-JTSK
Krovak East North
17800198
231.42 GB
3498407
28.47 GB
261287
5.74 GB
56432
987
406.58 MB
6.73 MB
102067
32633 WGS 84/UTM zone 33N
5514
S-JTSK
Krovak East North
3857 WGS 84 / Pseudo-Mercator
4258 ETRS89
300
100
90
Miliony
250
80
70
200
60
150
50
40
100
30
20
50
10
0
0
unikátní IP
návštěvy
stránky
stránky
Tisíce
services.cuzk.cz
Statistika webů ČÚZK za rok 2012
průměrné / maximální měsíční hodnoty ; procenty jsou uvedeny meziroční změny
web
unikátní
IP adresy
návštěvy
Data (GB)
Hits (tis.)
www
166 795/-3%
198 672
597 637/+1%
732 483
196,04/0%
275,12
12 033/-11%
15 842
nahlizenidokn 397 804/+9%
467 463
1 994 539/+14%
2 136 700
5 337,9/+29%
6 319,91
450 518/+26%
510 489
DATAZ
3 194/-9%
3 885
11 762/-15%
14 337
4,04/-20%
5,05
374/-21%
446
Nivelace
4 132/-6%
4 945
13 160/-8%
15 926
22,78/-15%
27,78
1 033/-21%
1 736
CZEPOS
1 230/-19%
1 545
2 140/-25%
2 799
1,66/-13%
4,78
113/-32%
156
WMS
52 582/+130%
59 694
160 602 /+129%
192 686
384,32/+84%
488,15
59 011/+157%
83 992
Personalistika
• SW pro vedení údajů o zaměstnancích (vč.
mzdové agendy)
• provázanost s ISKN – po založení zaměstnance
v personalistice se údaje přenesou do ISKN a
teprve potom je možné založit uživatele a
přidělit mu role v APV
Elektronická pošta
• poštovní servery MS Exchange (vč. antivirové
kontroly) na úrovni centra a krajů, cca 5000 schránek
• cluster externích serverů pro příjem pošty z
internetu, průměrně 500 000 mailů denně
– antivir (jiný než v interní síti), antispam, greylisting
– např. za den: 602 tis. pokusů o doručení, z toho
dále puštěno 13%, z toho 70% nedoručený spam > dále doručena pouze 4% z původního počtu
pokusů o doručení
Systémový management
•
•
•
•
•
•
monitoring sítě a serverů
zálohování
vzdálené instalace
HelpDesk
inventury
antivirus, antimalware
Cacti
• http://www.cacti.net
• jako vstup hlavně SNMP
(simple network
management protocol) a
výstupy skriptů
• monitoring sítě (kapacity
linek, ping)
• monitoring serverů
–
–
–
–
zatížení CPU
obsazení paměti
počet uživatelů Oracle
…
CA Unicenter Network and System
Management
• komplexní nástroj pro monitoring
– agenti na cílových systémech
– zpracování zpráv
• např. sledování zatížení CPU, fragmentace a
obsazení disků, obsahu textových souborů
(logů), existence procesu, dostupnosti linky
• při dosažení nastavené meze je zaslána zpráva
Zálohování
• pásky LTO4 (800/1600 GB)
• 2 knihovny, každá 5 mechanik a 110 slotů
• zálohování křížem mezi lokalitami a následné
kopírování na druhou knihovnu
• 3-týdenní cyklus
• databáze ISKN – po 2 hodinách archivní logy,
7x týdně plná záloha
• zálohy ostatních dat (Exchange, souborový
server …)
Antivirus, Antimalware
• eTrust ITM (integrated threat management)
• centrální nastavení, které se automaticky
aplikuje na všechny stanice a servery
– výjimky
– způsob skenování
– pravidelné úlohy
– distribuce znalostní databáze a aktualizací
• hlášení nalezených virů
Unicenter Desktop and Server
Management
• vzdálené instalace SW
– hromadné distribuce a instalace
– možno definovat pravidla, podle kterých se
instalace provádí
• inventury
– inventury HW i SW
– celkové přehledy i seznamy pro konkrétní počítač
– databáze SW
• vzdálená konzole, různé druhy provozu
HelpDesk
• nástroj pro řešení problémů
– zápis problému
– přidělení konkrétnímu řešiteli podle zadané oblasti
– hlídání termínů dle priority
– sledování postupu řešení
– znalostní databáze
– propojení s podobnými systémy externích firem
Licenční server Bentley
• produkty Bentley (Microstation …) – plovoucí
licence
• při spuštění programu je licence vypůjčena, po
jeho ukončení je vrácena
• poměr nainstalovaných programů a skutečné
potřeby licencí (současně používaných) cca 3:1
Rozdělení HW
• KP
– souborový server
– server systémového managementu
– síťová infrastruktura (šifrátor, switche)
• KÚ: navíc server pro doménu, poštu, personalistiku a
pomocné servery
• centrum: celkem cca 320 serverů a jiných HW
zařízení, 70 switchů
Vývoj počtu serverů spravovaných SCD
350
300
250
200
150
100
50
0
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
Děkuji za pozornost
Dotazy?