7.1 Условия применения

ПО облачной платформы «ТИОНИКС» эксплуатируется в вычислительной среде центра обработки данных (дата-центра), который может быть как централизованным, так и территориально-распределенным.

Пример произвольного архитектурного планирования облачной платформы, базирующейся на Queens, приведен в официальной документации OpenStack [1].

Основные компоненты, составляющие типовой информационно-вычислительный центр уровня предприятия (далее – дата-центр или ЦОД):

  1. Приложение: компьютерная программа (вычислительная среда), задающая логику вычислительных операций; содержит в себе алгоритмическое, математическое обеспечение или адаптивный механизм загрузки вычислительных блоков.
  2. Система управления базами данных (СУБД): ПО, обеспечивающее структурированный способ хранения банков (баз) данных.
  3. Хост-система: вычислительная платформа, обеспечивающая работу управляющих приложений и СУБД; строится из оборудования, программно-аппаратных средств и общесистемного программного обеспечения.
  4. Хранилище: устройство накопления и постоянного (длительного) хранения данных.
  5. Сеть: физические каналы обмена данными, обеспечение связи между различными устройствами, подключенными к сети.

Приложения, наделенные бизнес-логикой, функционируют, как правило, в среде изолированной от прямого вмешательства, в границах модели использования IaaS.

СУБД используется как для поддержания целостности модели инфраструктуры, так и для накопления и/или выборки данных. В зависимости от архитектуры применения приложений, использующих определенные СУБД, выбираются узлы, обеспечивающие наиболее благоприятные условия эксплуатации. Могут быть выбраны как серверные компьютеры, так и виртуальные машины, работающие под управлением ОС, обеспечивающей максимальную совместимость с оборудованием – подсистемами передачи и хранения информации.

Качество электропитания, подводимого к хост-системе, сетевому оборудованию и системам хранения данных, равно как и прочим средствам ВТ, включенным в состав облачной инфраструктуры, должно соответствовать действующим нормам.

Обслуживающий персонал должен обладать общими знаниями электробезопасности, пройти необходимый инструктаж ОТ и ТБ, получить допуски к работе на электроприёмниках, в соответствии с Правилами Безопасной Эксплуатации Электроустановок и с учетом доступа в технические помещения [2].

Кроме того, оперативный персонал, эксплуатирующий оборудование ЦОД в той или иной степени, обязан соблюдать меры пожарной безопасности.

Оператор облачной платформы (сокр. ОП) выполняет организационные мероприятия по выделению вычислительных и сетевых ресурсов ЦОД, необходимых для развертывания ОП «ТИОНИКС». Как только подготовительные действия со стороны оператора выполнены, производится (автоматизированное) развертывание и необходимая интеграция.

Примечание.

Подготовительные действия, выполняемые инженерами по внедрению, изложены в документе Инструкция по развертыванию ОП.

Администратор системы может приступать к своей работе после того как облачная инфраструктура введена в эксплуатацию. Для этого потребуется выполнить вход в интерфейс управления, используя выданные реквизиты доступа.

7.1.1 Инструменты администратора

Деятельность облачного администратора или администратора VDI не ограничена использованием одного компьютера (АРМ). В зависимости от характера возникающих задач администратор может использовать различные виды СВТ: от персонального компьютера (ноутбука) с установленной операционной системой Linux до тонкого клиента, с помощью которого пользователь VDI осуществляет подключение к VDI машине.

На СВТ, используемом администратором, должен быть установлен веб-браузер, поддерживаемый операционной системой (Windows, Ubuntu, CentOS и др.). Кроме того, должно быть установлено ПО, позволяющее осуществлять безопасное подключение к управляющим/вычислительным узлам инфраструктуры, а также к вспомогательным виртуальным машинам, если таковые интегрированы в облако ТИОНИКС для определенных (сервисно-профилактических) нужд.

Веб-браузер позволяет использовать веб-интерфейс, предоставляемый модулем TIONIX.Dashboard. Рекомендуемые к использованию веб-браузеры:

7.1.2 Удаленный доступ к инфраструктуре

Удаленный доступ к инфраструктуре должен обеспечивать безопасные технологии приёма и передачи данных. Допускается использование программных средств удаленного доступа, не допускающих компроментации облачной инфраструктуры (сохранение логинов/паролей в незашифрованном виде и т.п.). Также могут быть выбраны спецсредства, прошедшие проверку ИБ.

Внимание.

Рекомендуется выбирать сертифицированные программные средства, включенные в единый реестр ПО (производимого в РФ).

При настройке удаленного доступа к облаку следует использовать SSH или организовывать дополнительные сетевые каналы, использующие VPN. Для доступа к виртуальным машинам и виртуальным рабочим столам (VDI) также должны применяться безопасные каналы или терминальные протоколы, поддерживающие сквозное шифрование.

После того как администратор закончил работу в веб-браузере любого из СВТ, не закрепленного лично за ним, он обязан принять меры по устранению любых сохраненных учетных данных, связанных с доступом к средствам управления или отдельным компонентам облака (имена учетных записей, пароли к ним и т.п.).

В конце рабочей смены все персональные компьютеры и СВТ, закрепленные за администратором, должны быть переданы по смене, с соответствующей отметкой в журнале технической эксплуатации, или заблокированы и заперты в специальном помещении, в зависимости от принятых на предприятии организационных мероприятий и политик безопасности.

7.1.3 Безопасный доступ к информации

Необходимо соблюдать меры предосторожности и правила ИБ, установленные в рамках отдела и/или организации. Администратор должен быть бдительным при выполнении авторизации с чужого рабочего места (ТК), так как некоторые веб-браузеры сохраняют вводимые пароли через куки или другими способами.

Записные или электронные книги, равно как и данный документ, не должны находиться без присмотра в помещениях общего пользования.

Если АРМ администратора оборудован АПМДЗ, то электронные ключи должны храниться в сейфе или сдаваться под охрану, в с соответствии с действующими на предприятии должностными инструкциями по информационной безопасности.

Внимание!

Не допускается случайная или основанная на личном доверии передача третьим лицам учетных данных, смарт-карт, электронных ключей и т.п. средств, позволяющих получить полный или частичный доступ к информации об инфраструктуре.

7.1.4 Рассылка данных статистического учета

Установка модуля TIONIX.PointMeter в составе ОП является обязательной (cм. документ Инструкция по развертыванию ОП TIONIX).

Для рассылки может потребоваться дополнительное выделение почтового ящика и изменение в настройке расписания рассылки.

Внимание.

Если в веб-браузере (Linux/Ubuntu) возникли ошибки или нарекания на функционал модуля PointMeter, такие как ограничение в функциональности, следует:

  • очистить кэш веб-содержимого и проверить локальную файловую систему на целостность;
  • удалить пакет веб-браузера (firefox), обновить репозиторий и установить пакет заново;
  • рассмотреть использование иного веб-браузера.

7.1.5 Техническое обслуживание, ремонт, профилактика

Техническое обслуживание и ремонт средств вычислительной техники, коммутационного оборудования и систем хранения данных, а также источников бесперебойного питания осуществляются на основе паспортов и руководств по (сервисному) обслуживанию, соответствующих моделям устройств. Документы предоставляются предприятиями-изготовителями или вендорами.

Персонал, осуществляющий диагностику, техобслуживание или ремонт оборудования облачной платформы, должен пройти инструктаж по технике безопасности и обязан слаженно взаимодействовать с администратором, ответственным за эксплуатацию облачной инфраструктуры.

Администратор обязан вести журнал эксплуатации облачной инфраструктуры, оформлять все существенные события, начиная с момента завершения ПНР и фиксации приема-сдачи платформы в эксплуатацию.

Плановые профилактические работы должны быть тщательно спланированы. Эксплуатирующая организация должна составить «дорожную карту», содержащую комплекс и график проведения профилактических мероприятий, не противоречащих нормальной эксплуатации ОП.

Должна быть выполнена оценка рисков отказа оборудования или компонентов эксплуатации и выявлен список для возможной оперативной замены (ЗИП). Рекомендуется имитация и отработка вероятных ситуаций на стенде, отдельно от оборудования «продакшен». Это необходимо, чтобы аварийные ситуации, связанные с отключением служб или нод, не влияли на качество услуг, предоставляемых инфраструктурой VDI и/или бизнес-приложениями, помещенными в облако (виртуальный ЦОД).

Сноски

[1]https://docs.openstack.org/nova/queens/install/overview.html
[2]http://docs.cntd.ru/document/901839683