Внедрение виртуализации в коммерческом банке, KVM

Существующий в банке серверный парк был моральным и физическим изношен, под большинство критических серверов были задействованы рабочие станции. Такое положение дел не позволяло гарантировать бесперебойную работу ИТ инфраструктуры.
В связи с этим было принято решение о приобретении производительного сервера, переноса на его хостовую ОС роли по предоставлению связи со внешним миром (два внешних канала передачи данных, маршрутизатор, межсетевой экран, прокси- сервер, почтовый шлюз), переноса в виртуальную следующих сервисов - инфраструктуры Active Directory, службы обновления Windows WSUS, корпоративной антивирусной системы, информационно-правовой системы "ЛИГА-ЗАКОН", резервной СУБД Oracle (Standby).
В целях минимизации затрат, связанных с лицензированием ПО, а также из соображений обеспечения высокой надежности и защищенности хостовой среды было принято решение об использовании в проекте только OpenSource решений и ОС Linux. В качестве хостовой ОС была выбрана CentOS, в качестве платформы виртуализации было выбрано решение KVM (Kernel-based Virtual Machine). В дальнейшем планировалось приобретение второго сервера и создание на их основе отказоустойчивого кластера виртуализации с балансировкой нагрузки.

Был приобретен сервер IBM Х3550 (CPU Intel Xeon Е5405 2 GHz 4 Cores, RAM 12 Gb, HDD 2x 300 Gb RAID1, LAN 2x 1 Gb), дополнительно двухпортовый гигабитный сетевой адаптер. Развернута ОС CentOS 5.3 x86_64. Два сетевых интерфейса подключены к сетям провайдеров, один во внутреннюю сеть, один напрямую к основному серверу Oracle. Были настроены правила межсетевого экрана iptables, правила маршрутизации iproute, для обеспечения отказоустойчивости доступа ко внешним сетям написаны скрипты, перестраивающие правила маршрутизации при пропадании/восстановлении внешних каналов передачи данных. Развернут почтовый шлюз sendmail с защитой от нежелательной почты (DNS black lists, milter-greylist, spamassassin + postgreSQL) и антивирусной защитой clamav, написаны скрипты, подтягивающие почтовые ящики Exchange и разрешающие прием почты только для них. Развернут прокси-сервер squid с доменной авторизацией пользователей (samba) и антивирусной защитой (clamav), настроены политики доступа групп пользователей и правила блокировки нежелательных сайтов, баннеров и т.п (squidGuard). Также на хостовой ОС была развернута справочно поисковая система на базе MediaWiki (apache, clamav, postgreSQL).

Система виртуализации (KVM, QEMU) была собрана из исходных текстов. В виртуальную среду были перенесены два контроллера Active Directory, сервер WSUS, сервер информационно-правовой системы "ЛИГА-ЗАКОН", корпоративный антивирус TrendMicro OfficeScan , развернут новый сервер Oracle (Standby). Были написаны скрипты, позволяющие удобно управлять виртуальными машинами, корректно завершать работу гостевых ОС при перезагрузке/выключении хостовой ОС, запуска гостевых ОС при старте хостовой ОС.

Для защиты от пропадания электропитания был развернут и настроен пакет Apcupsd, который корректно завершал работу системы при получении соответствующего сигнала от ИБП.

Написаны скрипты автоматического обновления вирусных баз, правил squidGuard, spamassassin.

В результате было высвобождено четыре устаревших сервера, разгружено (перенесены роли) два сервера, дополнительно в виртуальной среде развернут один сервер.

В процессе эксплуатации загрузка хостовой ОС оставалась низкой, что позволит при необходимости расширить количество виртуальных машин.

наверх