Ebben a cikkben egy két telephelyes zalaegerszegi KKV informatikai hálózatának 2019 év végi tervezését és kivitelezését mutatjuk be.
Bevezető: ez a bemutató cikk körülbelül öt évvel a projekt kivitelezése után íródik, a „Rendszergazda projektek” sorozatunk első elemeként. Ebben a sorozatban az általunk kivitelezett informatikai rendszerek rendszergazdai munkáival kapcsolatos tapasztalatainkat osztjuk meg, egyúttal mutatjuk be munkánkat az érdeklődő kollégák, és leendő partnereink részére.
Előzmények: meglévő ügyfelünk ajánlásával keresett meg minket egy helyi (zalaegerszegi) vállalkozás. Elpanaszolták, hogy a külsős informatikusuk gyakorlatilag soha nem elérhető, a kéréseket nagyon hosszú idő után teljesíti, és azt is csak átmeneti, éppen csak működjön megoldásokkal végzi el. Már a második külsős informatikus partnerrel dolgoztak aki átvette a korábbi cég által elkészített hálózatot, de a kérések feldolgozásának sebessége nem változott. A vállalkozás pályázati forrásból támogatást igényelt és kapott informatikai fejlesztésre, azonban a megbízott „informatikai csapat” hosszú hónapokon át várakoztatta őket, nem segített a dokumentáció összeállításában és a formailag megfelelő árajánlat elkészítésében. A pályázat határidős mivolta végett az utolsó pillanatokban hozzánk került a projekt, melyre 1-2 hetes határidővel kellett adott költségkeretbe beleférve megoldást találni. Mivel a rendelkezésre álló forrás összege fix volt, így több helyen kompromisszumokat kellett kötni.
Első lépés: a korábbi tervezet áttekintése, átdolgozása, rendszerterv és árajánlat készítése: a korábbi kivitelező által készített tervezet több pontból is kifogásolható volt, nem fedte az ügyfél igényeit, így azt elvetettük. A pályázathoz módosítási kérelmet adtunk be, amelyet a gondos indoklás és dokumentálás miatt azonnal elfogadtak.
A projekt sarokkövei, a meglévő hálózat feltérképezése: a vállalkozás által beszerzendő informatikai eszközök egy új, frissen épült telephelyre kerültek beszerzésre, de a meglévő telephely is működött tovább, a két telephelyen ugyanazokkal az adatokkal kívántak dolgozni. A cégnek saját belső e-mail szervere volt, de kritikán aluli kivitelezéssel. Se titkosítás (IMAP 143 és SMTP 25-ös porton) nem volt, se biztonsági mentés. A fájlszerver ugyanazon a gépen futott, ami egy épített PC volt. A rajta futó népszerű Linux disztribúció gyakorlatilag évek óta nem volt frissítve, és ez a gép volt egyben a tűzfal / átjáró is. Monitorozás, felügyelet, hardverhiba detektálás, semmi nem volt. A hálózati megosztásokon olyan mint jogosultság kezelés, szintén nem volt, mindenki ugyanazzal a jelszóval érte el a fájlokat. A vendégek ugyanabba a belső hálózatba csatlakoztak be WiFi-n, mint amin titkosítás nélkül utaztak a bizalmas adatok. Informatikai biztonsági szemmel nézve egy rémálom volt.
Külön feladatként jelentkezett, hogy a cég általánosan használt adatvagyona hozzávetőlegesen 100GB nagyságrendű volt, amely adatokat mindkét telephelyről gyorsan el kellett érni. Ez egy szerverrel lehetetlennek bizonyult, mert a meglévő telephelyen egy analóg telefonvonalon futó ADSL szolgáltatás adta az internet kapcsolatot, kb. 10/1 Mbit/s sebességgel. Más szolgáltató nem tudott a címre internet hozzáférést biztosítani. Az alacsony sávszélesség miatt a VPN-es elérés használhatatlanul lassú lett volna, így a telephelyek közötti szinkronizációra is kellett megoldást találni (DFS a licencköltsége miatt nem volt kivitelezhető).
A pályázatos forrásból a következő eszközök beszerzését végeztük el:
- Egy darab DELL szerver, Windows Server licenccel
- Két darab asztali számítógép, márkás alkatrészekből felépítve
- Rack szekrény, szünetmentes tápegység, kiegészítők beszerzése
- A/3 színes lézernyomtató / másoló / szkenner (MFP) beszerzése
- A/4 fekete-fehér nyomtató beszerzése boríték nyomtatás képességgel
- Menedzselhető switch
- Mikrotik WiFi AP-k
Saját költségkeretből a következő eszközök beszerzését végeztük el:
- Egy darab használt DELL szerver az új telephelyre *
- Egy darab használt HP szerver a meglévő telephelyre
*: a projekt tervezésekor már ismert tény volt, hogy az összes szerepkört nem tudjuk egy szerverre bízni. A pályázatos költségkeret fix mivolta miatt a virtualizációt lehetővé tevő szerver vásárlása nem volt lehetséges. Mivel a célunk mindig az, hogy a partner rendszerei kifogástalanul működjenek, felajánlottuk, hogy ha rendszerfelügyeleti szerződést kötnek velünk egy adott minimum időtartamra, akkor a szükséges második szervert saját költségünkre szállítjuk és üzembe helyezzük. Ezt az ajánlatot megrendelői oldalról elfogadták, így az új telephelyen megoldottá vált a Linux / Windows alapú szolgáltatások külön-külön fizikai gépeken történő futtatása, az Internet felé publikus szolgáltatások külön hardveren, Linux alapokon futnak.
Az informatikai hálózat kialakítása, modernizálása, megoldásaink:
- Az általunk telepített szervereken a következő szolgáltatások futnak:
- Tűzfal (Internet felől és a belső hálózatok között is)
- E-mail szerver (IMAP, SMTP), webmail felület
- Active Directory tartományvezérlő
- LDAP szerver
- VPN szerver(ek)
- DNS szerver
- DHCP szerver(ek)
- Fájlmegosztás (verziókezeléssel)
- Valós idejű fájl-szinkronizáció szolgáltatás (telephelyek közé)
- Biztonsági mentések készítése, fogadása, tárolása, ellenőrzése
- Windows alapú célszoftverek futtatása (pl. Siemens licenc szerver)
- A telephelyek között egy real-time fájl-szinkronizációs szoftver biztosítja az adatok gyakorlatilag valós idejű replikációját. Ezt szintén nyílt forráskódú szoftver végzi, a telephelyek között kialakított Site-2-Site VPN kapcsolaton keresztül. Ha bármelyik telephelyen megszakad az internet kapcsolat, az ottani helyi szerverről mindig lehet dolgozni, a kapcsolat helyreállása után az adatok a két oldalról összefésülésre kerülnek. Megoldott lett az ütközések kezelése és a fájlelőzmények elérése is.
- A levelezés titkosított kapcsolatra került át, az összes e-mail üzenet a régi szerverről migrálásra, egyúttal évek szerint csoportosítva került át, ezzel az üzenetek közötti keresés sebessége jelentősen javult.
- Az új telephelyen szeparált védett (belső hálózat) és vendég WiFi kapcsolat került kialakításra.
- A régi telephelyen szintén két WiFi hálózat (az előbbiek szerinti bontásban) került kialakításra.
- Biztonsági mentések készülnek mindkét telephelyen a megosztott mappákban lévő adatokról.
- Deduplikált biztonsági mentés készül az összes adatról, beállításról, e-mail üzenetről.
- Megoldott lett a mozgó eszközök (laptopok) mindkét telephelyén történő működése.
- A jogosultság kezelését az új telephelyen Active Directory alapon oldottuk meg.
- Megoldott lett a távmunka, távelérés, biztonságos VPN kapcsolaton keresztül.
Szerződött szolgáltatásaink:
- „Havidíjas szolgáltatások – Távsegítség felhasználói számítógépekkel és mobil eszközökkel kapcsolatosan”
- „Rendszergazdai szolgáltatások – szerver-üzemeltetési szolgáltatások” – „Rendszeres eszköz átvizsgálás”
- „Havidíjas szolgáltatások – Kiszállásos (helyszíni) IT technikusi szolgáltatások” – „Előre tervezett kéthavonta kiszállás”
Végeredményben: a vállalkozás a cikk írásának pillanatában lassan ötödik éve használja az általunk kiépített rendszert. A két telephelyen üzemelő számítógépekről és a mobil eszközökről (laptopok) biztosított a fájlok biztonságos elérése. A levelezés minden eszközön, a mobiltelefonokon is elérhető. A jogosultság kezelés centralizáltan van megoldva, új munkatárs felvétele, meglévő letiltása, hozzáférések beállítása nagyon gyorsan megoldható. Olyan hiba, ami a kivitelező gondatlanságára lenne visszavezethető és a munka tartós (több órás) megállását okozta volna, nem volt. Minden kisebb problémát néhány órán belül elhárítottunk, a szervereket munkaidőn kívül frissítettük. Mindig a vállalkozás munka-ütemezéséhez igazodunk, legyen szó munkaidő utáni, akár hétvégi munkavégzés szükségességéről.