CESNET, jeho e-Infrastruktura a služby

CESNET Day, TU Liberec, 20. 9. 2017

Tomáš Košňar, CESNET z. s. p. o.

kosnar@cesnet.cz

Sdružení CESNET

● založeno 1996 - veřejné VŠ a AV ČR

– převzetí provozu sítě CESNET (od ČVUT)

– počátek budování pan-evropské sítě pro VVV → nová síť ~ NREN

● 2000 prodej komerční sítě, orinetace na potřeby VVV

● několik generací sítí pro VVV (paralelně s vývojem v Evropě)

● 2011 systematická podpora infrastruktur pro VV → cestovní mapa → Velká Infrastruktura CESNET

● 2016 → e-Infrastruktura CESNET

Sdružení CESNET

● CESNET – výzkumná organizace

● projekty od roku 2012

– 39 → 20 národních + 19 mezinárodních– z 11 programů

● v rámci oboru členství v mnoha národních a mezinárodních uskupeních

e-Infrastruktura CESNET

● komplexní IT prostředí pro oblast VV v ČR

● uživatelé e-Infrastruktury → 300+ organizací ~450 tisíc individuálních uživatelů

veřejné (24), státní (2), soukromé VŠ

ústavy AV ČR (57), výzkumné organizace, velké infrastruktury

základní, střední, vyšší odborné školy

nemocnice, polikliniky

knihovny, muzea, galerie

veřejná správa, samospráva

e-Infrastruktura CESNET

● komplexní IT prostředí pro oblast VV v ČR

● přístup ke službám e-Infrastruktury → politika přístupu (Access Policy)

● 94% vědeckého výkonu ČR (RIV) souvisí s využitím e-Infrastruktury CESNET

● mimo přístup do e-Infrastruktury neomezená možnost spolupráce se všemi typy subjektů

– systematická koncepční řešení v infrastrukturní oblasti

– využití nástrojů, konceptů nebo služeb vyvinutých primárně pro potřeby infrastruktury

– spolupráce na úrovni state-of-the-art v konkrétních oblastech

e-Infrastruktura CESNET

● symbolická architektura, základní komponenty

Společná komunikační infrastruktura

Fyzickáinfrastruktura

Optickápřenosová

infrastruktura

IP/MPLS páteřníinfrastruktura

PodpůrnáInfrastruktura

● optická vlákna, duální připojení páteřních uzlů● cca 6000 km (1800 jednovláknové)

● multi-Protocol Label Switching, IP sítě

● platforma pro vytváření logických sítí nebo okruhů pomocí služeb optické přenosové infrastruktury

adresové zdroje, údaje v RIPE, DNS, Mail-relay, AntiSpam Gateway; Monitoring infrastruktury a IP provozu, dohled 24x7

● vlnový multiplex – WDM technologie, 2 systémy– Cisco 15454, až 80 kanálů 1-100Gps – jádro– Open DWDM, 1-100Gps, připojování k páteři

● platforma pro vytváření nezávislých propojů bod-bod

VPLS

Služby komunikační infrastruktury

● vyhrazené okruhy a sítě

● fotonické služby – nezávislé optické propoje (speciální náročné aplikace)

● lambda služby – optické propoje s OEO konverzí● vyhrazené okruhy a sítě

– EoMPLS– VPLS

● externí E2E služby

– Nx10 Gbps GÉANT, CBF (AT, SK, PL), GLIF

Služby komunikační infrastruktury

● připojení IP protokolem → sdílená IP síť● 100 Gb/s jádro; uzly Nx10 Gb/s, 40-100 Gb/s; přístupové rychlosti ~ Nx10, 40Gb/s● IPv4, IPv6 – dual stack, unicast, multicast● duální fyzické připojení uzlů● duální páteřní uzly

● externí propojení 230 Gb/s

● 100 Gb/s GÉANT● 110 Gb/s IX, partneři

NIX.CZ, AT (VIX), SK (SIX), PL, AMS-IX, Google

● 20 Gb/s Tier-1

Služby komunikační infrastruktury

● připojení IP protokolem → sdílená IP síť, související parametry, bezpečnost● symetrické připojení bez regulace (legitimního) provozu● možnost redundantního připojení do dalšího uzlu● dohled a monitoring funkcí a bezpečnosti sítě 24/7/365● správa a přidělování adresových zdrojů IPv4, IPv6, správa údajů v RIPE, asistence při

zakládání LIR● DNS (primární, sekundární, záložní, DNSSEC), Mail-relay (záložní), AntiSpam Gateway● BCP38, RPF check + další mechanismy eliminace podvržených zdrojových adres na

vstupu do páteře● automatická obrana páteře proti UDP DDoS útokům na bázi amplifikace● semi-automatická obrana proti dalším typickým DDoS útokům● RTBH jako služba (BGP připojené sítě)● souvislý monitoring stavu a využití celé páteře● souvislý monitoring IP provozu (flow-based) na perimetru sítě a v celé páteři + detekce

typických útoků (ZKB, 485)

● CESNET - zakládající člen projektu FENIX v rámci NIX.CZ

Náročné výpočty - MetaCentrum

● aktuálně ~ 13k jader, úložiště ~ jednotky PB

● Grid+Cloud+MapReduce výpočty

● konvenční i specifický HW

● aplikační SW

● koordinace pořizování a správy programového vybavení

„Sdružení výpočetních zdrojů pro řešení velmi náročných úloh, které jsou za hranicemi výpočetních možností samostatného pracoviště“

● MetaCentrum zajišťuje a koordinuje provoz NGI (Národní Gridové Infrastruktury) – národní součást EGI (Evropské GI)

Náročné výpočty - MetaCentrum

● uživatelská podpora

● konkrétních problémy, optimalizace algoritmů, provázení uživatelů na počátku

● integrace výpočetních kapacit do NGI

● stávající, plánované

● příprava specifického prostředí

● úprava stávajícího nebo nové platformy

● Galaxy, Chipster

● specifické velké skupiny uživatelů

● EGI, ELIXIR

● virtuální servery

Datová úložiště

„Geograficky distribuované ukládání dat v administrativní doméně komunity“

● dlouhodobé ukládání primárně vědeckých dat (úroveň binárních dat)

● základní skupiny služeb

● zálohy

● archivace

● sdílení dat

● speciální aplikace

● přístup

● souborově orientovaný - NFSv4, FTP, rsync, SCP, …

● specifické aplikace - Grid storage element, DCache

● FileSender, ownCloud

Datová úložiště

● distibuovaná architektura HSM úložišť

● Plzeň, Jihlava, Brno → 21+PB fyzické kapacity

● oddělená síťová infrastruktura pro propojení úložišť

● dedikovaná připojení do páteřní sítě

● objektová úložiště

● komunitní infrastruktura

● LTP – dlouhodobé uchování dat

Podpora spolupráce uživatelů

● webkonference – základní kvalita obrazu

● videokonference – H.323/SIP, MCU (Limit Full HD)

● začlenění zařízení uživatelů do VC infrastruktury, ClearSea, rezervační portál meetings.cesnet.cz

● IP telefonie – propojení IP-telefonních sítí v rámci e-infrastruktury a s partnery

● streaming – distribuční platforma pro multimediální vysílání do Internetu

● videoarchiv – platforma pro uložení obsahu a jeho vystavení pomocí streamovacích serverů

Podpora spolupráce uživatelů

● speciální obrazové přenosy a vizualizace

● vysoké rozlišení, nízká latence, lékařské zákroky, vědecké vizualizace (SAGE, CAVE), vzdálená spolupráce pří zpracování obrazových dat HD+ (2K, 4K, 8K) apod.

● vlastní vyvíjené systémy (UltraGrid, MVTP)

● laboratoře ve spolupráci s universitami (SAGELab, Sitola)

Správa identit PKI & AAI

● eduID.cz - Česká akademická federace identit

„Jedno uživatelské jméno a heslo pro přístup k řadě síťových služeb (v multi-institucionálním prostoru)“ - ověření uživatele v jeho „domácí“ instituci

● poskytovatelé identit & poskytovatelé služeb

● poskytovatelé služeb z národní i mezinárodní komunity

● součást mezinárodní interfederace eduGAIN

● certifikáty

● uživatelé, servery (TCS, vlastní CA)

● jednotný systém správy účtů v e-Infrastruktuře

● některé služby odebírané na individuální bázi● strukturování uživatelské komunity● řízený přístup ke zdrojům

Správa identit PKI & AAI

● eduroam - služba z oblasti ověření uživatelů, z pohledu koncového uživatele síťová služba - roaming uživatelů v hostitelské síti● Síťovou infrastrukturu zajišťuje hostitelská síť; síťová infrastruktura je opřena o

autentizační infrastrukturu (technicky RADIUS server hostitelské organizace zapojený do národní hierarchie); uživatel ověřen ve své „domácí“ instituci

Bezpečnost

● řešení bezpečnostních incidentů

● bezpečnostní tým CESNET-CERTS

● https://csirt.cesnet.cz/

● technická a organizační platforma pro řešení a asistenci při řešení bezpečnostních incidentů v e-infrastruktuře CESNET a administrativní doméně komunity

● CESNET-CERTS - 1. CSIRT tým v ČR, 1. akreditovaný v ČR, členové týmu vybudovali národní CSIRT ČR

Bezpečnost

- HW akcelerované sondy- plošný monitoring IP provozu na bázi toků (zdroje provozních informací)- Honey Pots- IDS a IPS systémy apod. - monitoring infrastruktury na bázi SNMP

● bezpečnostní (technologická) infrastruktura v páteřní síti

Bezpečnost

● souvislý monitoring

– infrastruktury (síťové)

– provozu (IP, v485) - perimetr sítě (plný provoz), na bázi toků (celá páteř, sítě uživatelů), detekce anomálií (ZKB)

● záchytné a zádržné systémy

– IDS, IPS systémy Honeypoty

● systémy pro sdílení informací, SIEM

– sběr a „normalizace“ informací o anomáliích a detekovaných událostech; „přispívám → odebírám“ (informace z více míst, agregace, korelace)

● Forenzní laboratoř– penetrační testy, zátěžové testy, analýzy událostí– https://flab.cesnet.cz/

Bezpečnost

● bezpečnostní školení

– na míru pro konkrétní typové skupiny (zaměstnanci, studenti)

– technické a legislativní aspekty

– prevence

– odpovědnost za svoje chování v síti

● monitorování kvalitativních charakteristik sítě– Propustnost, zpoždění, jitter, ztrátovost apod. - pro uživatele náročných aplikací,

správce sítí apod.

● časové služby– synchronizace (NTP – Stratum 1), časová razítka (Time-Stamp Authority)

● technické konzultace

Další služby

Služby e-Infrastruktury CESNET

● strategie

– komplexní IT prostředí, optimálně provázané komponenty, efektivní AAI & mapování uživatelé ↔ zdroje, transparentní (topologicky neutrální), zabezpečené na všech úrovních

– dialog, spolupráce s a provázení typových uživatelských skupin → pochopit potřeby, přeložit do „vlastního jazyka“, promítnout do služeb e-Infrastruktury

– neustálé hledání rovnováhy - „customizace“ pro různé uživatelské skupiny / obecný kompromis → udržitelná modularita celku

● průběžné hodnocení e-Infrastruktury CESNET 2017

– zahraniční oponenti

– mezinárodní panel

– nejvyšší možné ohodnocení

– pozitivní zpráva– mj.: "CESNET can be considered a true national treasure."

Služby e-Infrastruktury CESNET

https://www.cesnet.cz/sluzby/

sluzby@cesnet.cz

...díky za trpělivost a pozornost...