7 April 2019

Импортозамещение на практике. Часть 1. Варианты

Open sourceSystem administration*nixLegislation in IT
image

Введение


В связи с тем, что близится 2020 год и «час хэ», когда нужно будет отчитаться об исполнении приказа Минкомсвязи о переходе на отечественное ПО (в рамках импортозамещения), да не простое, а из реестра Минкомсвязи, мне прилетела задача о разработке плана, собственно, по исполнению приказа Министерства связи и массовых коммуникаций №334 от 29.06.2017. И начал я разбираться.

Первая статья была о том, как не надо было делать «Вертолетам России». И вызвала она столько хайпа, под ней было написано столько комментариев, что я, честно говоря, был немного в шоке…

Так что, как было обещано, пришла пора начать «цикл статей о том, как мы приказ исполняли и боролись с обстоятельствами». Уж не знаю, насколько длинным будет этот цикл, но есть желание описать весь процесс от начала до конца, но времени на это не хватает, ибо написание статей занимает гору времени, а семью кормить надо =)

Первая статья будет посвящена изучению существующих вариантов и их поверхностному анализу, чтобы составить схему изучения вариантов на практике. Ибо прежде чем собирать стенд для испытаний надо понимать, что на нем испытывать.
Итак, прошу под кат.

Глава 1. Как есть


По порядку:

Hyper-V, ESXI в качестве платформ виртуализации. Почему и то и другое? Потому что одно в головном Предприятии, другое в филиале. Так исторически сложилось (с)

Windows Server 2012 R2 \ 2016 и CentOS 7 в качестве серверных ОСей

Windows 7 в качестве клиентских ОС

на стадии внедрения на базе MSSQLServer Standard

ТЕКТОН на Firebird 1.5 (Даже не спрашивайте… Но вы же все равно спросите, да?.. Ну, это чей-то дЕпломный проект, который был куплен нашим Предприятием на рубеже 2005, кажется, по неизвестным мне причинам. И теперь мы безуспешно пытаемся перейти с него на 1с..)

ОАЗИС на том же MSSQLServer Standard в качестве ПО для отчетов в ПФР

Zabbix на MariaDB

Exchange и Zambra OSE. Зачем и то и то? Потому что у нас 2 контура сети. Один из которых никак не связан с внешним миром и вторым контуром… ну, ИБ считает, что так надо, и не разрешает нам настроить маршрутизацию и сделать все правильно, а кто мы такие, чтобы спорить с ИБ?.. Словом, так исторически сложилось (с) (2)

IFS на Oracle, CompanyMedia на IBM Domino. Первый у нас для преддоговорной деятельности, второй — «рабочий» документооборот… Почему CompanyMedia на файловой БД в 2019м году? Не поверите, я им тот же вопрос задавал — они не придумали ответа. А почему такой монстр, как IFS нужен для преддоговорной деятельности? Да.

Microsoft Office. Тут надо пояснить. Помимо стандартного пользовательского набора, у нас с незапамятных времен (читай до моего прихода сюда) у нас тянется БД, написанная на Access. Что в ней и зачем — не имею ни малейшего понятия, но «она нам ну ооооочень нужна, мы без нее работать не сможем!», а на Excel у нас существует таааааааааакая штука… Разобраться, как это работает — невозможно, и как от этого уходить — тоже неизвестно. Там накручено огромное количество макросов, которые из тьмы файлов вытаскивают данные и что-то с ними делают. Как это работает, не знает даже автор сего творения. Переписывать это сродни редизайну БД… Словом, просто взять и уйти от MS Office мы не сможем.

Спутник в качестве интернет-браузера с недавнего времени

OpenFire + Pidgin в качестве чата

Консультант+ и ТехЭксперт

Veeam Backup & Replication и Veeam Agent for Windows в их бесплатной версии

Ну и куча виндовых серверных фишек, типа AD, DNS, DHCP, WDS, CS, RDP, Remote App, KMS, WSUS и далее по мелочи.

Все это поднималось почти с нуля, потом и кровью, страданиями и гуглением. И вот пришла пора все это уничтожить. Тут должен быть закадровый гомерический хохот, а на глазах главного героя, читай меня, должны наворачиваться слезы…

Но так ли все ужасно? Давайте смотреть варианты.

Глава 2. Как должно быть


Можно пойти по пути «Вертолетов России», то есть попытаться полностью отринуть вражеские Windows-based системы, и перейти на 100% «отечественное» (кавычки не случайны) ПО. «Хардкорный» вариант предполагает весело снести всем Windows, поставить любую понравившуюся ОС из реестра Минкомсвязи с навернутым на нее МойОфис или LibreOffice, и смотреть, кто из пользователей выплывет. Весело? Безусловно. Продуктивно? Нисколько.

Для понимания дальнейших рассуждений приведу содержание ПО в ОС Astra Linux SE 1.6, из которого следует, что всю инфраструктуру, которая сейчас основана на продуктах Microsoft можно заменить на ПО в составе Astra. Можно — не значит нужно. Я еще не пробовал все это в тестовой среде с хотя бы парой десятков узлов, только развернул тестовый стенд, да и то посмотрел пока поверхностно. Но инструменты есть.

ПО в комплекте поставки Astra Linux Special Edition 1.6
  • Fly-wm
  • PostgreSQL
  • LibreOffice
  • Apache2
  • Firefox
  • Exim4
  • Dovecot
  • Thunderbird
  • GIMP
  • alsa
  • VLC
  • CUPS
  • Bind9
  • Iscdhcpserver
  • SAMBA


На сайте ОС в описании релиза есть сказ о том, что в составе присутствует Zabbix. Но если порыться в Wiki, то там есть статья о том, как установить Zabbix… из которой можно сделать вывод, что Apache, Postgre, php – все это устанавливается из репозитория. А мы выше говорили о том, что легитимно только то, что входит в состав пакета… И вот эта путаница выводит меня из себя!!!!11 Ну, в том смысле, что не ясно, что можно и нужно, а что нельзя и «не прокатит». По всему выходит, что пакеты из репозитория – тоже легитимны. Но так ли это? Кажется, что — да, но…

По итогу приходится полагать, что все, что есть в репозиториях ОС — можно назвать отечественным ПО. Отключаем логику и просто делаем так, как делают все. Ставим, используем и отчитываемся о импортозамещении. В конце концов все мы знаем, зачем все это было придумано..

Так же можно поднять всю инфраструктуру и на базе ROSA Linux Enterprise Server. Это я тоже еще не пробовал. (Все тесты и результаты будут опубликованы в следующей статье данного цикла, если все пойдет как планируется.)

ПО в комплекте поставки ROSA Enterprise Linux Server
  • средства реализации домена IPA (аналога Microsoft Active Directory)
  • Nginx и Apache
  • MySQL и PostgreSQL
  • Zimbra, Exim, Postfix и Dovecot
  • pacemaker, corosync
  • DRBD
  • Bacula
  • ejabberd
  • CIFS, NFS, Bind, DHCP, NTP, FTP, SSH
  • Zabbix
  • средство расширенного управления атрибутами ROSA Chattr
  • средство шифрования информации ROSA Crypto Tool
  • средство очистки памяти ROSA Memory Clean
  • средство гарантированного удаления файлов ROSA Shred


А можно взять бесплатный Calculate Linux и строить всю инфраструктуру на его базе. Список пакетов Calculate Linux можно посмотреть тут.

Из вышеперечисленного следует, что поднять всю необходимую инфраструктуру, по сути, с нуля — можно. Это потребует колоссальных затрат ресурсов, тонны нервов админов, килотонны кофе и уйму времени на отладку. Порог вхождения будет ну оооочень тяжело преодолимый. Но можно. Но сложно. Но работать будет. Но сложно. Но… Но…

Еще один вариант — оставить все как есть, и надеяться, что проверок не будет, и про нас просто забудут. Но нам же надо отчитываться в министерстве по переходу на отечественное ПО за каждый год. Так что тоже не вариант.

Поэтому предлагаю подойти со стороны здравого смысла.

Существует вот такая табличка:

image

Далее идут, по сути, пространные рассуждения, так что кому не интересно, можете сразу переходить к результирующей табличке (Глава 2.1.). А тех, кто любит многабукафф — милости прошу.

Так вот. Нам надо привести показатели к установленным пределам. На деле это значит, что мы должны заменить существующие ОС на продукты из реестра Минкомсвязи и довести количество замененных операционных систем до 80%. Причем не делается различий между серверными и клиентскими ОСями. Это дает нам простор для маневра. Какой? Мы можем втупую поставить пользователям тонких клиентов на базе ОС из реестра, и загнать их всех в RDP. В нашем случае, когда количество сотрудников примерно 1500 человек, мы получаем 1200 «штук» (на самом деле больше, так как у нас не только пользовательские ОСи, но и серверные, но сейчас не о точных подсчетах статья), а 300 остается на те самые 20%, которые можно не менять. И что, нам не хватит 300 серверов под Windows чтобы нормально построить привычную архитектуру? Сюда же нужно отнести специфичное ПО, которое не умеет работать ни на чем, кроме Windows, причем часто еще и на Windows XP. Но 300 машин. Не хватит? Серьезно?

Тут надо еще заметить, что best practice в данном случае будет заблаговременное обучение сотрудников работе с новым ПО. Без этого есть огромный риск просто поставить на колени все производство, и парализовать работу всего Предприятия на неопределенный срок. Ибо если с ОС все не так страшно, пользователю зачастую от нее и не нужно ничего, кроме запуска Офисного приложения\браузера\1с, поиска нужного файла и запуска солитэра. А вот в Офисе\1с они работают постоянно (не берем пока в расчет инженеров-конструкторов — про САПР есть сноска в Главе 2.1. — производство и т.д.), вся отчетность проходит через фильтры Excel и т.д. Ну а для тех, кто по тем или иным причинам не может работать в бесплатном ПО — добро пожаловать на RDP.

Итак, мы спокойно можем оставить кластер на Hyper-V, раз уж он у нас есть и нам он нравится, это 12 узлов в нашем случае, от ESXI придется уходить. Плюс к нему нужен «железный» контроллер домена + виртуальный контроллер домена. Итого 14. Ну или оставить ESXi, уйдя от Hyper-V, кому как нравится, числа все равно будут те же. На Контроллерах домена у нас будет располагаться AD, DNS, DHCP, CS. При небольшом количестве виндовых машин WSUS можно пренебречь. KMS так же можно навернуть на контроллер домена. WDS больше не нужен. Из Windows сервисов остаются еще RDP-серверы. Ну так у нас осталось в запасе еще 286 неиспользованных потенциальных «штук» под Windows. RDP-ферма будет занимать еще 8-10 ОС Windows. Итого 276 единиц у нас осталось под специфичный софт для научных подразделений и САПР.

ОС
Не важно, какая это будет ОС — Astra, ROSA, Calculate, AlterOS, ЛОТОС, Halo OS, Альт Линукс, QP OC. Выбирать надо то, что будет удовлетворять пользователей. Как выбирать — сказать не могу, это очень тонкие материи. По сути, все они как минимум похожи внешне (а пользователю только это и важно ведь — как выглядит и насколько удобно пользоваться). Я просто установлю по паре каждой ОС и попрошу наименее занятых бухов по полчаса-час попользоваться. Что скажут — от того и будем плясать, наверное.
AlterOS и Halo OS в открытой продаже нет. А значит их я рассматривать не буду, ибо этот «не совсем бизнес» меня ну совсем не привлекает.

По поводу ОС ОСь
В лицензионном соглашении сказано:

1.4 Лицензионный договор не предоставляет исключительное право на Программный продукт, а только право использования в некоммерческих целях одной копии Программного продукта в соответствии с условиями, которые определены в разделе 2 Лицензионного договора.

2.4 Лицензиат имеет право некоммерческого использования Программного продукта на неограниченном количестве серверов и рабочих станций.

Таким образом, мы не можем использовать ее на Предприятии, хоть она и включена в реестр Минкомсвязи. Это грустно по той причине, что она бесплатна. Но у разработчиков что-то с сайтом, потому что я уже несколько недель не могу скачать дистрибутив, а на письма в поддержку я ответа не получил. Что? Почему? Не знаю.

Офисные пакеты
Ситуация следующая — нам так же нужно привести число отечественных «офисов» к 80%, что так же составляет 1200 «штук». Эти 1200 «штук» уже идут в составе ОС на базе Linux, которую мы установим пользователям. Не важно, в составе всех дистрибутивов есть бесплатный офисный пакет. Чаще всего это LibreOffice. А вот на RDP-серверы мы можем смело поставить пакет от Microsoft, так как мы не хотим, чтобы пользователи выпали из работы на неопределенный промежуток времени (как минимум до прохождения обучения работе с новым офисным ПО), потому что они не могут найти в новом табличном редакторе свою любимую кнопку. Это так же имеет еще и отдельный плюс — резервное копирование документов сотрудников, которые будут лежать в одном месте, и смерть винчестера больше не страшна.

Exchange
Придется сносить. К сожалению, тут никак не обойти этот показатель в 80%, так как в приказе указано «количество пользователей», а не % от количества почтовых серверов на Предприятии. И так как нам нужно заменить его на что-то из реестра Минкомсвязи, выбор у нас не особо велик. Это либо CommuniGate Pro, либо МойОфис Почта, или Р7-Офис. Сервер. А можно в обеих сетях поставить ROSA, у которой есть Zimbra, и радоваться, так как на мой вкус Zimbra гораздо удобнее и приятнее, нежели МойОфис Почта, который ужасен чуть более, чем полностью, и CommuniGate Pro мне тоже не понравился. Плюс Zimbra может запросто прихватить с Exchange всю почту при необходимости сохранить пользователям историю переписок. Btw, по Zimbra OSE я писал пару статей на Хабр (развертывание и настройка, резервное копирование и восстановление и создание и обновление списков рассылки на основе AD) Но, на вкус и цвет, как говорится.

Справочно-правовые системы
Если они и были, то скорее всего это какой-нибудь Гарант, Консультант+, ТехЭксперт и иже с ними. То бишь они российского производства. Если нет — выбор есть =)

Антивирусное ПО
Так же 100% должно быть отечественным. Ну не могут доверить защиту отечественной оборонки буржуйским программам… На выбор — Kaspersky, Dr.Web, Nano.

Veeam
Veeam BackUp and Replication. С ним ситуация странная. У него есть версия, сертифицированная ФСТЭК, но в реестре Минкомсвязи вообще никаких продуктов от Veeam. С другой стороны, в приказе министерства отсутствует графа «ПО для резервного копирования». Так что тут ситуация двоякая. В случае, если мы оставляем Windows-based сервисы, и тем более Hyper-V, Veeam очень сильно облегчает резервное копирование виртуалок, он очень удобен и неприхотлив, а Veeam agent for Windows позволяет бэкапить файловую помойку, у него очень простая настройка и удобный интерфейс, есть автоматическое определение дублирования данных и их отсечение и т.д. Словом, если мы оставляет гипервизор от Microsoft, можно попробовать написать бумажку о том, что аналогов у Veeam нет, и что он нам ну ооочень нужен. Попытка не пытка, но что из этого выйдет, я сказать не берусь.

Тут начинаются вопросы, так как вроде бы и есть у них версия под Linux. И вроде бы даже она и работает. Но на деле ее никто не использует. Поэтому придется нам еще одну виндовую машинку отрядить под сервер 1с. А то и две. Итого 274 осталось. СУБД — PostgreSQL, конечно же. Не смотря на то, что он не отечественный, но он есть в реестре Минкомсвзяи. 1с умеет с ней работать, а сама СУБД весьма неплоха. Не проста в настройке, но весьма и зело неплоха. К тому же легко встает на любой Linux-дистрибутив, а в составе той же Astra вообще поставляется в комплекте.

Документооборот
Ну, с IFS понятно, от него придется уходить 100%. Company Media — остаются вопросы. ПО отечественное, есть в реестре Минкомсвязи, все дела. Но. IBM Domino лицензируется и покупается отдельно, а следовательно, не может использоваться. С другой стороны, у Company Media есть версия для PostgreSQL. Но у нас внедряли именно IBM Domino. Да, у меня стойкий негатив к этому «продукту» компании Интертраст с названием Company Media, у меня начинает бомбить от одного его упоминания. Но к делу это не относится. Так что либо мы перевозим CM на PostgreSQL, либо ищем другую систему документооборота. В реестре есть из чего выбрать. Но на данном этапе я не буду останавливаться на этом вопросе, так как денег на Company Media было потрачено много, а дальнейшая его судьба пока не ясна, но хочется верить в здравый смысл и просто перевод системы на PostgreSQL. Так что просто оставлю список ПО из реестра.

Средства мультимедиа
Не рассматриваю. Мало того, что они узкоприменимы, так на Предприятиях, подпадающих под программу импортозамещения, они если и используются, то только для коллажирования открыток к 23 февраля сотрудницами бухгалтерии. А «товары первой необходимости» присутствуют в составе ОС.

Интернет-браузеры
Разрешены Яндекс.Браузер, Спутник. При этом, в составе почти всех ОС из реестра присутствует Mozilla Firefox. Думаю, с этим как раз проблем не возникнет. А для приложений, которые могут только в InternetExplorer мы оставили лазейку в виде RDP-серверов.

OpenFire
Естественно, отказываемся. Почему? Потому что нам нужно внедрить 1с Битрикс24! На самом деле отказываемся мы не по этому, а потому, что его нет в реестре, но в целом чат мы заменяем на портал, в котором есть сервис чата, так что… ну… эт самое… вы поняли. Вот. Ага. Да. Или же можно использовать ejabberd в качестве jabber-сервера в составе ROSA Linux. Там же есть клиент чата, если не ошибаюсь — Мирка. Это на случай, если у вас 1с Битрикса24 нет.

Zabbix
В реестре Минкомсвязи, естественно, не представлен. Но. В релизе Astra Linux 1.6 заявлено, что в него включен Zabbix версии 3.4. Так что если мы хотим получить «законный» Zabbix, то потребуется как минимум одна копия этой ОС.

Почтовый клиент
Представлен Thunderbird в комплекте почти всех ОС из реестра. Если не устраивает он — то придется покупать отдельно, в составе того же МойОфис, например, или «Р7-Офис. Органайзер». Если честно, то я больше не нашел в реестре минкомсвязи отдельных почтовых клиентов. Да меня и Thunderbird устроил. Если напишете в коментах — допишу сюда.

Банк клиенты
Надо тестировать. По идее, Криптопро умеет в Linux, на деле же лично я не проверял. В теории работать должно, но если что-то пойдет не так, то у нас есть вариант с RDP-сервером.

Глава 2.1. Сведение


В итоге у меня получилась вот такая табличка с вариантами, на основе которой и будут делаться выводы и строиться планы:
image

Что логично — если все же есть необходимость перейти с домена Windows на Astra или Rosa, или еще какой, то есть смысл и клиентские машины перевести на продукт того же производителя, так можно уменьшить количество ошибок при попытках «подружить» одно с другим.

По отношению PostgreSQL и PostgreSQL PRO надо понимать, что у них есть существенные отличия, в том числе и в быстродействии. PRO версия более продуктивна. Для «нормальной» работы той же 1с бесплатной версии скорее всего не хватит.

Astra Linux SpecialEdition и ROSA DX «НИКЕЛЬ» — это защищенные системы, сертифицированные для работы с гостайной, секреткой и т.д.

Что касается САПР: В комментариях к предыдущей статье эти вопросы звучали. У ROSA Linux в репозиториях есть следующие пакеты:

  • Freecad
  • KiCAD
  • LibreCAD
  • Opencascade
  • QCAD
  • QCAD3d

Естественно, все это свободное ПО. Но, так как в реестре Минкомсвязи CAD-пакетов не обозначено, то скорее всего этот тип программного обеспечения подпадет под категорию «незаменимый», и его можно будет закупить или использовать по уже имеющимся лицензиям, написав в министерство соответствующую бумагу.

То же самое и с другим узкоспециализированным софтом, коего на наших Предприятиях, к сожалению, немало. Придется писать бумаги и слёзно умолять не губить, и предоставить возможность продолжать работать. Скорее всего разрешение дадут.

P.S.:


Не буду оригинальным. Вся эта «возня» с импортозамещением выглядит крайне странно, если выбирать мягкие выражения. По сути, у нас ПО производит только Яндекс, Acronis, Kaspersky, 10-Strike (с натяжкой), , Аскон, Abby, Dr.Web. Ну и еще кучка небольших компаний. Но все это настолько узкие нишевые разработки (за исключением Яндекса, пожалуй), что можно говорить о том, что софта у нас почти не делают. А все, что нам предлагается в рамках программы импортозамещения — просто «проверенный» софт зарубежной разработки. То есть по сути, нам предлагают за деньги (и немалые) то же ПО, которое мы могли бы скачать и использовать бесплатно. ROSA сделана на базе Mandriva, Astra — Debian GNU. Астре можно подключить репозиторий Debian и сделать upgrade. Интересная штука получается в итоге. Все пакеты для тех же DNS, DHCP, ALD, ROSA Domain, Dovecot и все остальное — это ни что иное, как пакеты открытого ПО, часть из которых немножко «подкрасили и отштукатурили», а остальные вообще не трогали, просто «проверили» на наличие закладок. О каком «отечественном софте» идет речь — неясно.

С другой стороны, Linux-админам будет привычно работать с уже знакомым ПО, что несколько снизит порог вхождения. Но как бы то ни было, всем подконтрольным отраслевым Предприятиям переходить на этот «отечественный» софт придется. Так что «до встречи в следующей статье», если меня за эту не посадят и не уволят =)

Далее по теме можете почитать:

Статья про выбор отечественного гипервизора.

Статья про «отечественные» операционные системы.

Статья про системы и сервисы.

И про QP ОС в придачу.
Tags:импортозамещение
Hubs: Open source System administration *nix Legislation in IT
+36
33.3k 123
Comments 74