Заказчики: ТГК-1 Подрядчики: VMware Россия (ВИЭМВАРЕ РУС), Инфосистемы Джет Продукт: VMware vSphereВторой продукт: VMware NSX Третий продукт: Check Point Security Gateway Дата проекта: 2016/06 — 2016/12
Бюджет проекта: 36 600 000 руб.
|
Технология: Виртуализация
Технология: Центры обработки данных - технологии для ЦОД
Технология: SDN Software-Defined Network Программно-определяемые сети
Технология: ИБ - Межсетевые экраны
|
Содержание |
«Выбор платформы VMware был обусловлен ее зрелостью и распространенностью на рынке. Компоненты платформы можно устанавливать на любые серверы архитектуры x86, список поддерживаемых операционных систем также весьма широк, а полнота функциональных возможностей продуктов VMware позволяет создавать отказоустойчивые динамические центры обработки данных нового поколения, что целиком соответствует стратегическим планам компании на ближайшие годы»,- говорит Малафеев Алексей, заместитель директора, начальник службы обслуживания ПТС Предприятия Средств Диспетчерского и Технологического управления и Информационных Технологий ОАО "ТГК-1".
Ход проекта
25 ноября 2016 года стало известно о завершении проекта виртуализации дата-центров ТГК-1.
Проект виртуализации в рамках сотрудничества ТГК-1 и VMware начался в 2008 году - виртуализацией части серверов.
В 2010 году пришел черед дисковых ресурсов. До 2015 года действовала сеть в классическом физическом виде в дата-центре. Несколько лет назад у нее начали проявляться проблемы с производительностью — она не поспевала за ростом трафика.TAdviser Security 100: Крупнейшие ИБ-компании в России
В 2015 году начали виртуализацию сети посредством внедрения технологии VMware NSX.
Летом 2016 года проект продолжился установкой поверх VMware NSX технологии Check Point для защиты виртуальных рабочих станций [1].
Проект реализует в рамках контракта на 36,6 млн компания «Инфосистемы джет». Как сообщило издание CNews, со ссылкой на сайт госзакупок, тендерная процедура проведена в формате закупки у единственного поставщика в конце июня 2016 года. Официальный срок исполнения договора ограничен 29 декабря 2016 года.
Предыдущие этапы виртуализации ТГК-1 выполнила собственными силами — не привлекая интеграторов, но пользуясь информационной поддержкой специалистов VMware.
Задача системы - обнаружение вредоносной сетевой активности, блокирование, изоляция от сети зараженных виртуальных машин и оповещение об атаках и заражениях.
Система сможет обеспечить обработку сетевого трафика до 1 Гбит/с на ESXi-узле с включенными политиками защиты при выделении не менее восьми процессорных ядер машине защиты Check Point Security Gateway, предоставить управление политикой защиты с интеграцией с тегами в VMware NSX.
Итог проекта
Контуры системы
В составе создаваемой системы действуют подсистемы управления и сервисы защиты:
- сервер управления Check Point Security, разворачиваемый в виртуальной среде VMware.
- 16 шлюзов безопасности Check Point Security Gateway, установленных на каждый из 16 ESXi-узлов, которые войдут в состав VDI.
ТГК-1 подошла к вопросу антивирусной защиты в среде VDI с «другой стороны». Классические методы предусматривают установленных агентов, которые сидят в каждой машине, и мало того, что они грузят процессоры, они еще постоянно обращаются к дискам, сканируют их и т.д. В среде VDI одна из основных проблем заключается в том, что централизованное массовое обращение к дискам множества машин приводит к катастрофической нагрузке на дисковый массив. |
Внедряемое ТГК-1 решение поможет распознать сетевую активность. Если машина заразится вирусом или в ней окажется записан неизвестный антивирусам код, генерирующий «плохой» трафик, технология автоматически изолирует такой трафик, предоставляя возможность администраторам разобраться в ситуации.
Система защиты корпоративной виртуальной инфраструктуры внедрена в двух ЦОДах ТГК-1, в Санкт-Петербурге в ТЭЦ-17 и ТЭЦ-15.
Между этими ЦОДами действует сетевая L2-связность (40 Гбит/с) и сеть SAN (8 Гбит/с), развернута общая среда виртуализации на платформе VMware.
Непосредственный объект защиты - виртуальные машины, размещенные на серверах виртуализации VMware vSphere: одна VMware vCenter 6.x, восемь VMware ESXi 6.x (2 CPU на сервер) и 400 машин под управлением ОС Windows для рабочих станций.
Эти ЦОДы, в которых обрабатываются корпоративные приложения и собираются данные о выработке тепла и электроэнергии, на основании которой принимаются управленческие решения, находятся в собственности ТГК-1. Физически они построены с интервалом в год, несколько лет назад. В конце 2000-х годов мы сидели в историческом здании на Марсовом поле, и там у нас была обычная серверная, оборудование которой периодически перегревалось и останавливалось, а также были проблемы с электроэнергией. При переезде в новое здание решили свои мощности разместить отдельно. Так как каналы связи по городу у нас собственные, мы могли себе позволить расположиться на любом из наших объектов. Несмотря на то, что площадки территориально разнесены, логически они работают как один ЦОД. То есть они равноправны и резервируют друг друга. Если выйдет из строя один, второй автоматически подхватит работу. Они в нормальном режиме сами балансируют нагрузку, распределяя ее между собой. Мы их ресурсы планируем так, чтобы они не были загружены больше, чем на 50%. В результате, иногда в связи с какими-то работами мы имеем право полностью остановить один из ЦОДов, что и делаем. |
ТГК-1 логически завершила многоэтапный проект виртуализации ЦОДов на VMware.
Когда наша организация в 2015 году сделала выбор в пользу VMware NSX, над которым сейчас надстраивается Check Point, альтернатив этого решения на рынке просто не было. Наша потребность в NSX появилась раньше самого NSX. Мы пробовали разные решения: и VMware предыдущих поколений, и Cisco, и другие. Но все наши эксперименты заканчивались тем, что выявлялась ограниченная производительность — прежде всего потому, что трафик ходил через конкретную виртуальную машину. И когда вышел NSX, мы поняли, что ждали именно этой функциональности. |