ICT & gezond verstand10 praktische tips rond ICT-infrastructuur die niemand je vertelt.

V-ict-or Shopt IT 2014Jan Guldentops ( j@ba.be )BA N.V. ( http://www.ba.be )

Wie ben ik ?

Jan Guldentops (°1973) Dit jaar bouw ik 19 jaar server en netwerk

infrastructuren Oprichter Better Access (°1996) en BA (°2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van

Security Breng veel tijd in het testlab door

R&D (vooral security) → journalistiek Online te volgen via twitter (JanGuldentops), Linkedin,

Slideshare

ICT is overal

● Het hart van de werking van een bestuur ● Complex radarwerk van netwerken /

datacommunicatie / servers / applicaties● Overheidsinformatica is zoals alle andere IT

maar toch weer niet ● ICT'ers in lokale overheid zijn meestal

generalisten geen specialisten

Hele set nieuwe uitdagingen

● Gewrongen tussen : ● Veelvoud aan nieuwe opportuniteiten / problemen (

euhm uitdagingen ) – BBC, procesbeheer, security, toenemende integratie

tussen applicaties, alles geinformatiseerd, etc.● Maar: harde budgetaire tijden

– Overal wordt bespaard ook op ICT– MAAR: "Ge moet niet besparen op ICT maar met ICT!"

Hoe kan je dit waarmaken ?

● Een goede onderliggende ICT-infrastructuur ● Netwerk● Server ● Storage

● Doordachte aanpak met zoveel mogelijk gezond boerenverstand● Een goed plan● De juiste mensen op ICT ● Het correcte management van je processen

Infrastructuur: netwerk

● Het begint allemaal bij het netwerk ● = het hart van je hele infrastructuur● Als dit faalt of slecht werkt, werkt de rest ook niet

● Toch vaak heel stiefmoederlijk behandelt● weinig kennis ● gezien als plug & play

● Een paar dingen waar je zeker op moet letten

1 fysiek netwerk voor alles

● Probeer één groot fysiek WAN / LAN te bouwen ● OCMW, gemeente en zelfs andere partijen gebruiken

dezelfde fysieke infrastructuur ( switches, fibers, etc.)● Zo gestandardiseerd mogelijk

● Liefst één of een beperkt aantal vendors● Deel dit grote netwerk logisch op via VLAN's

● Beveilig het verkeer tussen de verschillende VLAN's met de juiste Access Controll Lists ( ACL's)

Bouw een performant Wide Area Network ( WAN )

● Hang alles aan elkaar !● bij voorkeur via glasvezel-verbindingen ( tot 10Gbit) ● anders via draadloze verbindingen ( tot 300Mbit )● Belgacom Explore, Infrax of andere technologie ● Internet VPNS ( max 1 tot 2mbit bruikbaar )

● Ideaal scenario : ● Waar een gebruiker ook inplugt, zou hij +- dezelfde

connectiviteit moeten hebben● Een tweede site waar je de disaster recovery van je

infrastructuur kan doen

Genoeg power en controle

● Zorg dat je genoeg power en controle hebt ● Koop alleen managed switches ● Lees de specificaties van je apparatuur :

– Er is werkelijk een verschil tussen een switch van €300 en één van € 2000

● Gebruik de opdeling core en edge switches● Bouw zoveel mogelijk redundantie in

– Voorzie alles dubbel– Liefst gescheiden wegen tussen sites

Gebruik / begrijp de technologie die beschikbaar is

● VLAN's ● Layer 2 / Layer 3 ● Quality-of-service● 802.1x

Beveilig je LAN / WAN

● Zorg op zijn minst dat je switches zelf veilig zijn : ● Userid/password ● SNMP communities met beperkte rechten● Beheerd via een veilige verbinding ( ssh / https)

● Zorg voor ACL's tussen je VLAN's● Wees voorzichtig met wireless!● Ingebouwde features: DHCPsnooping, storm

protection, etc.

Servers (/) Virtualisatie

● Server virtualisatie is mainstream geworden● Biedt ongeloofelijke voordelen :

● Betere benutting hardware● Meerdere servers naast elkaar ● Isoleren van leveranciers op hun eigen omgeving ● Server wordt een softcontainer (directory met een aantal files)

– Allerlei coole nieuwe mogelijkheden – Makkelijke Disaster Recovery– Virtual Appliances

● Failover / clusters worden eenvoudiger

Verschillende religieuze stromingen

● VMWare is zonder twijfel marktleider ● Meest volwassen product op de markt ● Door de “Amerikaanse” licentiering relatief goedkoop voor de

Belgische markt. ● Uit het linuxkamp :

● Xen ( al dan niet in de Oracle of Citrix-variant )● KVM ( Redhat, andere, )

● Hyper-V● Als je enkel windows doet en een qua functionaliteit /

betrouwbaarheid bereid bent in te leveren. ● Voornaamste argument : koppelverkoop licenties

MAAR

● Je hebt er ook de infrastructuur voor nodig : ● Liefst shared storage of SAN ● Oppassen voor performantie bottlenecks

● Bepaalde hardware-aspecten blijven moeilijk / onmogelijk : ● Dongles● Usb● Hardware insteekkaarten

● Licenties : ● Oracle● Microsoft

● Virtualisatie is geen wondermiddel !

Storage

● Er is enorm veel veranderd op het vlak van storage en het gebruik ervan

● Enorme volumes● Flexibel met opslag kunnen omgaan● Verschillende types ( slow and fast)● Backups worden moeilijk

● Komst van SSD's

SAN

● Verschillende religies : ● Connectiviteit

– Fc <-> ethernet – Block versus server ( NFS / CIFS )

● Disks en hoe ze gebruikt worden – RAM – SSD – SATA / SAS

● Types RAID● Features

– Replicaties– Snapshots– Deduplicatie– Thin provisioning– Integratie

Nieuwe tendenzen

● Virtuele SAN's ● VMWare Vsan

● Software Defined Storage ● Bijvoorbeeld Nexenta of FreeNAS● ZFS gebaseerde full feature SAN's op gewone serverhardware

● Sterk gespecialiseerde SAN's ● Bijvoorbeeld: Tintri● SAN ontwikkeld om puur storage voor virtualisatie te leveren● Met een minimum aan management (“zero management”)

Waar op letten bij aankoop ?

● Beschikbaarheid ● Is alles redundant ?● SLA op de contracten● Hoeveel disks mogen er stuk gaan ?

● Performantie ● IOPS / Latency

● Features ● Snapshots, replicatie, deduplicatie, thin provisioning● Hoe kan er data aangeboden worden ?● Werkt het met waar ik het nodig voor heb ?

● Kostprijs● Lockin

Casus 1: minimale SAN-oplossing

Casus 2: volgens de regels van de kunst

Cloud

Cloud computing is a model for enabling convenient, on-demand network access to a

shared pool of configurable computing resources (e.g., networks, servers, storage, applications,

and services) that can be rapidly provisioned and released with minimal management effort or

service provider interaction.

( National institute for standards and technology )

Het einde van de backup ?

● Volumes zijn zeer groot geworden ● Het wordt heel moeilijk om traditioneel elke nacht alles te backuppen.● Nood aan applicatieve backups ● Lagere RTO / RPO's

– We willen minder data kwijtzijn en minder lang down zijn.

● Nieuwe tendenzen ● Online backup op SAN ● Backup naar cloud

● Ontstaan awareness : ● Verschil tussen backup, archivering en preservatie

5 minimale vereisten

● On-demand self-service● Gezamelijke pooling van server en ICT

middelen● Brede netwerktoegang● Elasticiteit

● Zowel minder als meer ● Exact afgemeten gebruik en kostprijs

Verschillende mogelijkheden

● Infrastructure as a Service (IAAS) ● Software as a Service (SAAS)

● Bv Office 365, Google Docs, Vera Mail, Loonapplicatie Schaubroek, tax-on-web, etc.

● Platform as a Service (PAAS )● Speciallekes :

● Desktop as a service, PBX as a service, etc.

Waar met je op letten ?

● Voor cloud gelden dezelfde regels als voor gewone on premisse toepassingen (bv. Op het vlak van security )

● Legale belemmeringen● Onvolwassen industrie

● Veel beloven, weinig doen● Connectiviteit

● Heb ik voldoende bandbreedte, latency en betrouwbare verbinding naar die cloud toe ?

Waar moet je op letten ?(2)

● Speel op zeker ● voorzie een scenario om terug te keren ● zorg ervoor dat je een copy hebt van de data

● Reken je kosten goed uit ● Maak duidelijke afspraken met je leverancier

● SLA● Kostprijs● Security● Etc. kostprijs, security, etc.

● Test● “The proof of the pudding is in the eating”

Cirkel van Deming

Plan

● Maak een plan waarin je : ● Een inventaris hebt van

– alles wat je functioneel en wettelijk moet bereiken– Al je processen en hoe ze geïnventariseerd worden

● Maak afspraken rond beschikbaarheid : – RTO– RPO

● Securitypolicy inclusief risico-analyse en business continuityplan

DO

● Beschrijf wat je nodig hebt ● Besteed het aan :

● Volledige uitbesteding ● Stap in grotere raamcontracten ● Coditel arrest

● Spreek SLA's af ● Realistische afspraken● Met tanden ( boeteclausules )

● Zorg ook voor documentatie en kennisoverdracht

CHECK

● Monitor ● Zorg ervoor dat je een proactief monitoringsysteem hebt

met historische cijfers– Noodzakelijk om je SLA te monitoren en te weten hoe het gaat.

● Audit af en toe ● Backups / DRP● Werking van de systemen

● Log alle interventies in een ticketing systeem● Voorzie de nodige procedures om alles op te volgen

ACT

● Los de problemen die je hebt op ● Structureel

– geen brandjes blussen met tijdelijke oplossingen● Change Management

– Doe het gestructureerd – Stuur bij

● Documenteer – Zorg dat je alles documenteert

Meer weten ?

● E-mail: J@ba.be● Twitter: JanGuldentops ● Linkedin: http://be.linkedin.com/in/janguldentops/● Slideshare:http://www.slideshare.net/janguldento

ps/

Of kom langs op onze stand !