Centralny Ośrodek Informatyki buduje chmurę prywatną dla administracji

Z Marcinem Kubarkiem, dyrektorem Centralnego Ośrodka Informatyki oraz Sebastianem Bukowskim, dyrektorem Pionu Operacji rozmawiamy o budowie chmury prywatnej dla podmiotów administracji publicznej; jej architekturze; wybranych technologiach oraz planowanych usługach.

Jaka była geneza budowy chmury prywatnej przez COI?

Marcin Kubarek (M.K.): Projekt Wspólnej Infrastruktury Informatycznej Państwa, bo tak oficjalnie on się nazywa, pozwoli w sposób bezpieczny i w pełni uporządkowany przenieść do chmury systemy wykorzystywane w administracji publicznej.

Sebastian Bukowski (S.B.): Projekt Wspólnej Infrastruktury Informatycznej Państwa realizowany wspólnie przez Kancelarię Prezesa Rady Ministrów i Centralny Ośrodek Informatyki ma dwa wymiary. Pierwszy to Rządowa Chmura Obliczeniowa – RCHO, a drugi to Rządowy Klaster Bezpieczeństwa – RKB. Tworzą one całość, aby zapewnić tanie, bezpieczne i na pewnym poziomie ustandaryzowane usługi IT. Projekt przewiduje również zapewnienie dla podmiotów sektora publicznego do usług świadczonych przez publiczne chmury obliczeniowe, świadczące usługi na zasadach komercyjnych.

Czyli nie jest to projekt na wewnętrzne potrzeby COI?

M.K.: Rządową Chmurę Obliczeniową budujemy wspólnie z KPRM zarówno na potrzeby systemów znajdujących się w gestii Ministra Cyfryzacji, jak i znacznie szerzej, na potrzeby całego rynku administracji publicznej. Jest to rozwiązanie, które ma pozwolić jednostkom publicznym przenieść do chmury te systemy, które wymagają fizycznej infrastruktury i opieki administracyjnej. Dzięki temu będą one mogły zoptymalizować koszt utrzymania takich systemów po swojej stronie, ale też skupić się na dostarczaniu usług dla obywateli a nie utrzymaniu infrastruktury.

S.B.: U podstaw decyzji o rozpoczęciu tego projektu leżała chęć udostępnienia jednostkom administracji publicznej infrastruktury IT, aby mogły się one skoncentrować na działalności związanej z obsługą obywateli, a nie technologii. Dotyczyło to zwłaszcza infrastruktury IT, którą trzeba odpowiednio zwymiarować, kupić, a potem utrzymywać.

Powstał pomysł, aby zapewnić usługi – na początek Infrastructure as a Service i Platform as a Service, ale docelowo mówimy też o Software as a Service – dla administracji publicznej. To mają być usługi przede wszystkim dla podmiotów, które nie posiadają rozbudowanych obszarów IT i dedykowanych centrów przetwarzania danych.

Chcemy oferować usługi przede wszystkim tej części sektora publicznego, która nie może sobie na to pozwolić, posiada małe serwerownie i brak możliwości właściwego skalowania infrastruktury.

Wspomina Pan, że chcą Państwo udostępniać środowisko IT w sposób tańszy, bezpieczniejszy i bardziej ustandaryzowany. W przypadku chmury nie należy jednak zapominać o elastyczności w zakresie wykorzystania zasobów IT, a więc dodawania ich gdy są potrzebne, a następnie rezygnacji z nich, gdy stają się już zbędne…

S.B.: To prawda, problem przewymiarowania infrastruktury IT dotyczy nie tylko firm komercyjnych, ale też administracji publicznej. Sektora publicznego może to dotyczyć nawet w szerszym zakresie ponieważ procedury realizacji zakupów w zgodzie z ustawą Prawo Zamówień Publicznych wymaga dotrzymania konkretnych przewidzianych ustawą terminów. W ich ramach trudno jest zapewnić szybką skalowalność infrastruktury IT.

Dlatego właśnie zakupy IT muszą uwzględniać wzrost obciążenia danego systemu w perspektywie czasu i zapewniać elastyczność jego funkcjonowania w okresach zwiększonego obciążenia. Budowana przez nas chmura ma zapewnić dostęp do zasobów IT elastycznie w stosunku do bieżącego zapotrzebowania.

Ministerstwo cyfryzacji zrobiło w roku 2018 inwentaryzację dostępnych w administracji zasobów IT. Zidentyfikowano wówczas 321, różnego typu serwerowni i centrów danych o łącznej powierzchni 19,5 tys. m.kw. Aż 87% z tych nich nie spełniało podstawowych standardów technicznych…

S.B.: Właśnie te prowadzone badania były podstawą do uruchamiania dużych projektów infrastrukturalnych w obszarze administracji w tym realizacji projektu WIIP.

M.K.: Niewątpliwie wszystkie jednostki administracji publicznej starały się jak najlepiej dostosować dostępne pomieszczenia do potrzeb infrastruktury IT. Jednak nie każdego było stać na spełnienie wyśrubowanych standardów bezpieczeństwa czy Business Continuity.

S.B.: I zbudować np. duży, profesjonalny ośrodek przetwarzania danych, na dużej działce.

M.K.: Stąd też pomysł na zaoferowanie najwyższej klasy usług IaaS, PaaS i SaaS w modelu chmury obliczeniowej tym podmiotom administracji, które mają mniejsze możliwości finansowe.

S.B.: Przygotowana wspólnie z KPRM oferta to także odpowiedź na problem pozyskania odpowiednich wyspecjalizowanych kadr na rynku IT.

Rozumiem, że Centralny Ośrodek Informatyki ma własne centrum danych, w którym postawiono chmurę prywatną?

S.B.: COI jest podmiotem in house Ministra Cyfryzacji odpowiedzialnym za realizację projektów informatycznych. W związku z powyższym, de facto to nie my, a resort cyfryzacji posiada ośrodki przetwarzania danych. My nimi jedynie zarządzamy. Ale tak, posiadamy centra danych, a w nich infrastrukturę chmury prywatnej działającą już od 2013 roku. Na niej utrzymujemy powierzone nam systemy, w tym rejestry państwowe takie, jak Centralna Ewidencja Pojazdów i Kierowców.

Jeżeli chmura prywatna funkcjonuje już od dłuższego czasu, to czemu służyła budowa Wspólnej Infrastruktury Informatycznej Państwa?

S.B.: Ona została zbudowana po to, aby móc oferować tego typu usługi również podmiotom zewnętrznym. Zadaniem Rządowej Chmury Obliczeniowej jest zapewnienie administracji gotowych rozwiązań, które może wykorzystywać do prowadzenia swoich zadań na różnych warstwach dojrzałości usług (IaaS, PaaS, SaaS). Główny nacisk kładziemy wspólnie z KPRM na bezpieczeństwo, stąd w ramach RCHO, zbudowany został Rządowy Klaster Bezpieczeństwa.

W oparciu o jakie rozwiązania zbudowano Wspólnej Infrastruktury Informatycznej Państwa?

S.B.: Stosujemy bardzo różne technologie, różne stosy technologiczne. Cała architektura – sieć, systemy bezpieczeństwa, moc obliczeniowa, warstwa systemów pamięci masowej – została zbudowana przez COI. Podstawowym założeniem było to, że unikamy związania z jednym vendorem. Po drugie wybieraliśmy technologie, które sprawdziły się już w administracji.

Korzystamy zarówno z rozwiązań open source, jak i narzędzi komercyjnych klasy Enterprise. Przykładowo będziemy obsługiwać co najmniej trzy typy wirtualizatorów – VMware, Microsoft Hyper-V i OpenStack. Różne jednostki administracji stosują różne rozwiązania. Dzięki temu będą mogły w stosunkowo bezproblemowy sposób zmigrować się do Rządowej Chmury Obliczeniowej. Staramy się zapewnić takie rozwiązania i narzędzia, które pozwolą skorzystać z Rządowej Chmury Obliczeniowej zarówno systemom budowanym w oparciu o najnowsze technologie, jak również tym nieco starszym.

Czy to znaczy, że instytucja, która będzie chciała przenieść do COI systemy IT nie będzie musiała nic robić?

S.B.: Jeśli jakaś instytucja stosuje mikroserwisy, to migracja będzie właściwie niezauważalna. Dużo bardziej skomplikowany będzie projekt, w przypadku, gdy dana instytucja stosuje bardziej tradycyjny stos technologiczny.

M.K.: Elastyczność udostępnianych rozwiązań i stosu technologicznego służy temu, aby można było do nas zmigrować nie tylko nowoczesne aplikacje, ale także i te starsze.

Czy rolą COI będzie też pomoc w przebudowie aplikacji i ich migracji?

S.B.: Na pewno przy samej migracji, ale będziemy też oferować usługi doradztwa technologicznego.

Są już pierwsi chętni?

S.B.: W ramach przygotowania do uruchomienia projektu prowadzona była analiza zapotrzebowania na usługi chmurowe w ramach administracji publicznej. W oparciu m.in. o prowadzoną analizę przygotowany został inicjalny katalog usług, który został zaimplementowany w ramach Rządowej Chmury Obliczeniowej. Obecnie wspólnie z KPRM prowadzimy ustalenia w zakresie wytypowania pierwszych systemów, który mogłyby znaleźć się na chmurze.

M.K.: Obecnie trwają testy odbioru i weryfikacja zbudowanej infrastruktury IT przed uruchomieniem pierwszych usług IT.

Jeśli chodzi o dostawców infrastruktury IT, to ile będzie stacków technologicznych?

S.B.: Sądzę, że co najmniej 3-4. Naszym założeniem było również to, aby nie popaść w vendor-lock. Jednocześnie – od strony technologicznej – nasza chmura ma być łatwo rozbudowywana poprzez dokładanie kolejnych węzłów do już istniejącego rozwiązania.

Był kiedyś, realizowany w ówczesnym Ministerstwie Cyfryzacji projekt ZUCH.

S.B.: On toczy się równolegle. ZUCH to w dużej mierze platforma pozwalająca na nabywanie usług w publicznych chmurach obliczeniowych. To rozwiązanie dla instytucji, które mogą kupować usługi komercyjne, ponieważ nie ograniczają ich obowiązki związane z przetwarzaniem „wrażliwych” danych albo analiza ryzyka dla tych systemów nie wykazała przeciwskazań w zastosowaniu usług public cloud.

Czy COI będzie też pośrednikiem z chmurą publiczną?

S.B.: Tym tematem zajmuje się w tej chwili Kancelaria Prezesa Rady Ministrów. W tej chwili nie prowadzimy tego typu projektów. Natomiast nie jest wykluczone, że w przyszłości będziemy pełnili tego typu rolę.

Rozumiem, że obecny projekt Rządowej Chmury Obliczeniowej to część budowy Wspólnej Infrastruktury Informatycznej Państwa. Czy ten projekt jest już na ukończeniu?

S.B.: Budowa WIIP zakończyć się ma w październiku 2023 roku. Natomiast dużo bliżej finału jesteśmy w zakresie Rządowej Chmury Obliczeniowej. Już niedługo uruchomimy usługi IaaS i PaaS. Warto podkreślić, że do tej pory administracja w Polsce nie posiadała tego typu rozwiązań. Dużym przełomem będzie też moment, gdy w naszej chmurze pojawią się usługi SaaS.

Czy zbudowano na potrzeby Wirtualnej Infrastruktury Państwa dedykowane centrum danych?

M.K.: Na ten moment wykorzystujemy dostępne już centra danych.

S.B.: Trzeba jednak pamiętać, że równolegle trwa projekt budowy Krajowego Centrum Przetwarzania Danych. Projekt ten będzie realizowany w latach 2023-2026. Jest to duży projekt przewidujący powstanie w pierwszej fazie trzech centrów danych tylko na potrzeby administracji.

RCHO stworzono w oparciu o trzy wirtualizatory (OpenStack, VMware, Hyper-V). Na serwerach x86 została zbudowana jednolita platforma pozwalająca na dostarczanie użytkownikom zwirtualizowanych usług obliczeniowych, sieciowych oraz pamięci masowej.

Jako współdzielona pamięć masowa zostanie wykorzystane rozwiązanie SDS (Software Defined Storage). Instalacja klastrów w wielu ośrodkach, zapewni wymagane usługi: obiektowe (SWIFT), blokowe (CINDER), a także klasy usług: performance (w oparciu o dyski SSD), capacity (w oparciu o dyski HDD).

Podstawowymi elementami Rządowej Chmury Obliczeniowej są:

• infrastruktura fizyczna stanowiąca serwery fizyczne x86, które są zainstalowane symetrycznie w ośrodkach przetwarzania;
• oprogramowanie do tworzenia chmur OpenStack;
• warstwa zarządzająca rozwiązaniem OpenStack;
• pamięć masowa;
• Software Defined Network;
• platforma automatyzująca, której mechanizmy pozwalają na budowę jednolitego portalu dla użytkowników;
• repozytoria GIT;
• środowiska pomocnicze na potrzeby chmury;
• środowiska udostępniające usługi w modelu PaaS.

• Next-Generation Firewall – NGFW (fizyczny i wirtualny),
• analizator przepływów sieciowych (flow),
• sejf z hasłami,
• Load Balancer (WAF, TLS/SSL),
• łączność internetową i AntyDDOS,
• SIEM,
• DNS,
• router brzegowy,
• monitoring.