1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Transkript

1 Beskrivning av infrastruktur kring RTJP 1 1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet 1.1 Nätverk och brandvägg RTJP är placerat i 4 DMZ, brandväggsegment, där vardera segment är isolerat från andra segment och dedikerat till applikationer administrerade av Callista med undantag från Sjunet DMZ som delas med bland annat MVK. De 4 segmenten/dmz är Sjunet Front Applikation Databas All nätverkstrafik in eller från servrar på respektive DMZ kontrolleras av brandväggsöppningar. Standardinställningen är att allt är blockerat tills dess att öppningar görs. Sjunet-DMZ är ett subnät med sjunet-adresser bakom brandvägg. Front-DMZ är ett subnät med publika Internetadresser bakom brandvägg. Applikation-DMZ är ett subnät med RFC1918 eller så kallade svarta ipadresser. Databas-DMZ är ett subnät med RFC1918 eller så kallade svarta ipadresser.

2 Beskrivning av infrastruktur kring RTJP Inkommande trafik På nätverken Sjunet-DMZ och Front DMZ finns redundanta lastdelare som fördelar inkommande trafik ( i RTP SSL trafik över HTTPS på port 443) till webbservrar på respektive segment. Webbservrarna i Sjunt-DMZ och Front-DMZ terminerar SSL och agerar reverse-proxy mot applikationslagret. Klientcertifikat skickas vidare i en httpheader över en ny SSL-session mot applikationsservrarna Utgående trafik Utgående trafik initieras endast från applikationservrar, trafik mot Sjunet NATas till en och samma sjunet-ip-adress dedikerat för Callista/RTP. På motsvarande sett sker NAT på utgående trafik till Internet där trafik från RTP representerar sig med en och samma IP-adress. 1.2 Access till nätverk Access till nätverket för administration sker med ett VPN där alla användare har dedikerade klientcertfikat för authentisering. 1.3 Access och behörigheter till servrar Access till servrar sker med authentisering mot kerberos, det finns endast personliga användare för access och inga delade konton är tillåtna. Medlemmar gruppen callista har behörighet att via sudo/ldap bli administratörer på servrar i applikations och databas segmenten. Samtliga servrar är anslutna till en central LDAP och använder kerberos för authentisering. Användarhantering av administratörer sker centralt i LDAP/Kerberos och behörigheter att bli administratör sker med hjälp av sudo kopplad mot samma LDAP. 1.4 Miljöer Det finns tre miljöer för RTJP, test, QA och produktion.

3 Beskrivning av infrastruktur kring RTJP Testmiljö Virtuella servrar Servernamn Funktion Operativsyste m CPU Minne Disk rtp-t-a01 Mule RHEL6 1 3GB 63GB rtp-t-a02 Mule RHEL6 1 3GB 63GB rtp-t-db01 mysql RHEL6 1 3GB 61GB rtp-t-web01 rtp-t-web02 sjunet

4 Beskrivning av infrastruktur kring RTJP RTJP QA-miljön Virtuella servrar Servernamn Funktion Operativsyste m CPU Minne Disk rtp-p-a05 Mule RHEL6 1 4GB 64GB rtp-p-a06 Mule RHEL6 1 4GB 64GB rtp-p-a07 Jboss RHEL6 1 4GB 64GB rtp-p-a08 Jboss RHEL6 1 4GB 64GB rtp-p-web05 + ssl rtp-p-web06 + ssl rtp-p-web07 + ssl sjunet rtp-p-web08 + ssl sjunet rtp-p-db03* mysql RHEL6 1 3GB XX

5 Beskrivning av infrastruktur kring RTJP 5 rtp-p-db04 mysql RHEL6 1 3GB XX cal-lb01 edge RHEL6 1 1GB 21GB cal-lb02 edge RHEL6 1 1GB 21GB sju-lb01 edge RHEL6 1 1GB 21GB sju-lb02 edge RHEL6 1 1GB 21GB Produktionsmiljö Virtuella servrar Servernamn Funktion Operativsyste m CPU Minne Disk rtp-p-a01 Mule RHEL6 1 4GB 64GB rtp-p-a02 Mule RHEL6 1 4GB 64GB rtp-p-a03 Tomcat RHEL6 1 4GB 64GB rtp-p-a04 Tomcat RHEL6 1 4GB 64GB rtp-p-web01 rtp-p-web02

6 Beskrivning av infrastruktur kring RTJP 6 rtp-p-web03 rtp-p-web04 rtp-p-db01 mysql RHEL6 1 4GB 64GB rtp-p-db02 mysql RHEL6 1 4GB 64GB 1.5 Övervakning Samtliga servrar och tjänster övervakas med hyperic HQ. Hyperic övervakar operativsystem såväl som tjänster och kan övervaka loggfiler efter konfigurerade mönster. Utvalda callista-användare har access till hyperic-consolen. 1.6 Backup Samtliga servrar använder IBM Tivoli backupklient för att ta backup på alla filer. Backup är schemalagt till en gång per dag och data sparas i tre versioner. 1.7 Certifikat Följande certifikat används för RTJP Test CN=test.esb.rtp.sll.se/serialNumber=SE A1WL CN=test.esb.rtp.sll.sjunet.org/serialNumber=SE A1WN QA CN=qa.esb.rtp.sll.se/serialNumber=SE A1WQ CN=qa.esb.rtp.sll.sjunet.org/serialNumber=SE R4S Produktion CN=prod.esb.rtp.sll.se/serialNumber=SE P37 CN=prod.esb.rtp.sll.sjunet.org/serialNumber=SE P35