[gulfrre] Re: [gulfrre] Caso de éxito: Poder Judicial de Ctes.

  • From: masdeu jose <croto3500@xxxxxxxxx>
  • To: gulfrre@xxxxxxxxxxxxx
  • Date: Wed, 10 Oct 2007 05:34:46 -0700 (PDT)

Gulfrre Grupo de Usuarios de Linux Facultad Regional Resistencia
----------------------------------------------------------------



QUE BUENO.. !! DARSE CUENTA QUE HAY GENTE QUE TAMBIEN LABURA MUCHO TODO
ESTO.. TE INFORMO DARDO LO QUE SE HACE DE ESTE LADO YA QUE ESTA EN
ALGUN SENTIDO PARECEIDO A LO QUE DESCRIBIS.



Yo trabajo para el Poder judicial de la Nacio como SysAdmin ahora aca en Buenos 
Aires antes en Resistencia.



Aca implemetamos muchisimo FLOSS y te comento porque algunas cosas hay en comun



Los numeros:

    15.000 usuarios

    150 servidores

        110 son linux.. los demas hp-ux, sco, bsd, as400, aix, solaris.. 

       10 windows.

    

para los servidores de sites en todo el pais son completamente FLOSS,
tengo implementaciones de SAMBA+LDAP trabajando como PDC con perfiles
moviles administracionde logon y scripts de logon. esto servidores
tienen tambien OpenFire+LDAP+HTTPBinding para mensajeria y Squid+LDAP
para la autnticacion y ademas el ldap posee los grupos y ACLs del
Squid. posee Ntop+NetFlow plugin, que informa del estado de la red y
del estado de los switch y routers via NetFlow (cisco). tambien posee
Postgresql para el sistema de escrutiño y una implementacion tocada de
OCS-NG para el inventario del HW que replica hacia un MySQL aca en
BSAS. ademas el SO se autentica via el mismo LDAP con NSS-LDAP que me
permite tambie relizar las consulta DNS via LDAP, el servidor tambien
posee BIND9+DHCPdinamico. el servicio de BackUP es bacula.



Aca en capital ser repliucan todos los ldaps del pais con susu usuarios
Activo-Activo por lo que ser replica hacia el pais el estado de los
hosts para llevar una centralizacion de Hosts y Nets.



En la Cental uso un desarrollo de
Qmail+LDAP+Vpopmail+Spamassassim+Courier-imap+Maildrop...etc je.. como
servidor de correo para los 15.000 usuarios con exeltentes resultados.
replicados y virtualizados balancendo la carga y con lata
disponibilidad con dos LVS (VRRP). el webmail es un groupware (HORDE)
con casi todos lo modulos. el cual te permite conectarte via web como
cliente de los PDC(SAMBA+LDAP) centrales y acceder a tus archivos
enviarlos, agenda, notas etc... conectado a un Postgresql para mantener
el backends de los usuarios. en el mismo web hay un JWChat conectado
via HTTPBinding a los Openfires para los clientes hogareños ;).  tood
esto que backupea con Bacula y utiliza 5 equipos.. unidos a una SAN y
usando LVM e ISCSI.



algunos entrnos de dessarollo tienen JBoss apache tomcat5 java...todo sobre 
linux obvio



hay tambien Asterisk para VoIP y VLAN entre las camaras electorales



los sistemas de helpdesk son ocomon y oneorcero para el maejo de
ticktes conectados a la basde de datos MySQL del OCS-NG de todo el pais
para sacar casos sobre el hardware inventariado.



tengo un entorno de dessarrollo de PKI con EJBCA y placas HSM para
tener una estructura PKI que por ahroa estoy por usarla solo para la
firama de correos, esto esta en el LDAP para llevar los CRLS y ademas
para que el webmail puede tambien encriptar. esto ocupa 4 servidores.



para controlar todo esto tengo un NAGIOS con 4500 controles (por
ahroa.. porque todos los dias crece) que informa del estados de los
servicios estandares y adems de muchos que son parametrizados. el
sistema informa via jabber a los operadores dependiendo el dia y hora
de la falla y escala via mail y via mensajes SMS con KANNEL conectado a
los proveedores y inclusive a un GNOKII por las dudas..



los clientes son todos windows :( pero bueno es la unica... se usa openoffice, 
jajc, firefox.



el HW que poseemos es diverso pero no sale de la gama de los viejos
HP9000 con HP-UX y los nuevos IBM-346 o HP-ML 370, todos con RAIDS por
HARD algunos con R-1 y otros con R-5, los servidores centrales por
ejemplo el nuevo de correo es un poco bastante mas grandecito. hay un
robot de bakup para 12 LTO-4 (4TB) 


obviamente estos servidores tienen todo lo que a net se refiere.. ipatbles, 
ruteo, ruteo  diferenciado, ftp nfs ntp.. etc...

las diferencias que por ahi existen es que todos estos softwares estan 
compilados desde 0 para ganar en performance. no se usa ninguna herramienta 
grafica y todo es via comandos.. cuando digo todo.. es todo expeto los 
softwares de administacion para el usuario final, no por necesidad por 
experiencia y repidez. ninguno de los linux corre en runlevel 5


en este momento estoy configurando y analizando la posibilidad de implementar 
un sistema de biblioteca o evergreen o koha.



bueno.. seguro me olvido de algo.. ja.. SEGURO!



como ves todo es FLOSS y algunas cosas son parecidas.. me intereso
mucho saber que hay gente que va para el mismo lado y se anima a
investigar.. y no termino sin antes dejarte mi mail jjmasdeu@xxxxxxxxxx
para que cualquier consulta de ambas partes estemos comunicados

PRIMER PROPUESTA.. NI SE TE OCURRA COMPRAR Brighstor Arcserve !!!!!!!!!!!!!!!


JOSE MASDEU.



----- Mensaje original ----
De: Dardo Valdez <yacolinux@xxxxxxxxxxxx>
Para: Gulfrre <gulfrre@xxxxxxxxxxxxx>
Enviado: lunes 8 de octubre de 2007, 9:12:06
Asunto: [gulfrre] Caso de éxito: Poder Judicial de Ctes.

Gulfrre Grupo de Usuarios de Linux Facultad Regional Resistencia
----------------------------------------------------------------



Hola, con algunos muchachos de la lista ya conversamos
un poco de este tema.

Cuando comencé con Linux y a lo largo de los años
siempre me fui enterando por rumores que había
implementaciones en Corrientes y en el nordeste en
general. Creo que acá estamos la mayoría de los que
están haciendo algo o conocen de primera mano a
alguien metido en una implementación FLOSS. Me parece
que hay que contar un poco, así los muchachos van
viendo que a pesar de lo que digan muchos jugadores
del mercado, el FLOSS y Linux en particular, pica en
punta en implementaciones muy importantes a nivel
empresarial e industrial, y lo más importante, local.

Basta de cháchara, vamos a los sucios detalles.

Trabajo como sysadmin (y netadmin part-time) en el
Poder Judicial de la Pcia. de Corrientes desde febrero
de 2006, junto a Tincho Leconte y Carlos Gonzalez, los
otros dos sysadmins/netadmins (sí, solo somos 3 :-).
Tincho originalmente montó los servers y servicios
iniciales en 2005 (amén de toda la electrónica de red)
junto a Horacio Arroyo, que ya no trabaja con
nosotros. Hoy entre los tres implementamos y
mantenemos servers con todo tipo de servicios FLOSS
y/o basados en software FLOSS (plus hard de
networking, diseño e implementación L2/L3/L7).

Para situarlos tengo que decirles que las cosas que
voy a contar se implementaron en el contexto de una
MAN OSPF que abarca (o ya casi) 9 edificios (links FO,
30+ equipos de networking L2/L3/L7, etc.) en la ciudad
de Ctes. y se extenderá próximamente a una WAN (MPLS)
online 24x7 a toda la pcia. El datacenter que brinda
los servicios actualmente será extendido con otros 4
datacenters en el interior, y sirviendo a finales de
2008 (fechas formales), a 50+ edificios a lo largo y
ancho de la pcia. Sin dar cifras exactas, de 1000+
usuarios internos, con 2000+ previstos y sin mencionar
los clientes externos, servicios 24x6x365 y
escalabilidad contínua a largo plazo (el Poder
Judicial crece con la población y así el uso de los
sistemas).

De momento hay 20 servidores en producción, que usan
SLES9 (SuSe Linux Enterprise Server 9) y Debian; y ya
estamos implementando los restantes 22 al momento, en
la etapa inicial de una migración total a SLES10.

Toda la infraestructura está corriendo sobre Linux:
correo, proxys, dns, ntp, webservers, ftps, ssh,
backup, repositorios internos de paquetes,
comparticion de archivos, mensajería, BDs, appservers,
CMS, etc.

Hay implementaciones de RAID x soft para el hard
viejo, RAID x hard en los servers nuevos. Los
deployments tienen en particular: kernels
customizados, tunning (a todo), bonding, ruteo
Iptables, ACLs (en casi todo soft que lo soporte),
dhcp centralizado (MAN y WAN próximamente), MTAs,
scripts, cron intensivo y monitoreo en muchos lugares,
seguro me olvido de algo; básicamente redundancia y
replicación en cada lugar que se pueda según los
recursos disponibles.

Hay poco soft propietario al momento, principalmente
apps de management y monitoreo (eléctronica de red,
servers, impresoras, etc.), sin embargo es totalmente
normal y casi inevitable al tratar con hardware
propietario. A corto plazo tenemos prevista la
implementación de AV corporativo (server Linux,
cliente XP) y a mediano, patch management sobre Linux
para clientes XP.

Voy a comentar algunos servicios en detalle como para
dar una idea general.

Se usa OpenLDAP para autenticación centralizada con
clientes winXP. Justo ahora estamos planificando la
implementación de PDCs+LDAP para el uso de políticas y
perfiles de usuario (single logon, etc.), incluso para
un implementar un cierto nivel (lo que se pueda), de
patch management. Adicionalmente está en el routemap
la implementación de un server 802.1X (RADIUS), sobre
Linux (configuré un server de testing en 2006).

Nota sobre los clientes: hubo un proyecto inicial en
2004/05 que "fracasó" por falta de experiencia en
FLOSS y por la magnitud, un problema de "capa 8"
principalmente diría; éste proyecto anterior implacaba
el uso de clientes Linux (Debian) customizados y se
llegó a implementar en un ambiente de trabajo real (un
juzgado de prueba) un sistema de administración
judicial de desarrollo propio (8 developers full time,
un año y pico de laburo) basado en LAPP (Linux,Apache,
Postgresql, PHP), OpenOffice.org (OO embebido en
Firefox) y NFS; el proyecto realmente iba avanzando,
pero lentamente, y al no ajustarse a los tiempos de
implementación requeridos fue discontinuado en favor
de una solución comercial para el sistema de adm.
judicial. 

El servicio de correo es Postfix + AV + antispam +
LDAP + webmail, 24x7x365, con un magnífico uptime,
solo estropeado x el hard viejo, cosa que próximamente
solucionaremos migrando de distro y de hard.

Los multiples servers de BDs usan Mysql (para las apps
internas) y tenemos 5 Postgresql, 2 de testing y 3 en
producción soportando un sistema de adm. judicial
propietario, junto a un "server de aplicación" (un
repositorio de binarios básicamente) basado en Samba
que ahora mismo sostienen el funcionamiento
administrativo de la mayoría de los juzgados
comerciales/civiles, penales, defensorías y fiscalías
de la ciudad de Ctes. Es decir que si no prestan
servicio, para el servicio de justicia; servicio de
misión crítica le dicen en la teoría. A corto plazo se
implementarían los restantes 4 servers de BD + servers
samba "de aplicación".

La compartición de archivos se armó sobre Samba, con
cuotas de disco para los usuarios, limitación de tipos
de archivos, clientes XP customizados, etc. 

El servicio de mensajería corre sobre Wildfire + LDAP
(server XMPP o "jabber") y PSI (cliente). Al momento
de la implementación probé varios servers, y me quedé
con Wildfire (basado en Java) por la facilidad de
implementación y la GUI de administración y
configuración, la cuestión del overhead de Java (vs.
Ejabberd por ejemplo) teniendo en cuenta la potencia
del hard del server resultó ser nimia y la
escalabilidad de Wildfire óptima (sirve promedio 500+
usuarios simultaneos y tuvo un solo downtime de 30
min. en casi dos años, las versiones nuevas aseguran
miles de usuarios simultaneos con la cantidad de RAM
apropiada, etc.).

Los webservers son varios Apache corriendo un CMS, el
sitio institucional, algunos servicios internos, etc.
Tengo la idea de reemplazar Apache por LightHttpd en
varios lugares a mediano plazo (un chiche nomás).
Adicionalmente hay un server Tomcat corriendo un
sistema propietario de publicación de información
judicial.

El sistema de backup distribuído trabaja sobre Amanda
y backupea regularmente decenas de gigas a disco y a
cinta de todo el datacenter. Se trabaja ahora sobre
una migración a Bacula + snapshots LVM para la
aplicación de la política de backup en los datacenters
del interior. A mediano plazo, 2008 probablemente, se
migre a Veritas Netbackup o Brighstor Arcserve (para
obtener prestaciones avanzadas y tercerizar un poco la
implementación en los 5 datacenters).

Tocando un poco la realidad, puedo decirles que hay
mucho soft de server que tiene solo se puede
implementar en versiones para Windows y si bien
existen alternativas, éstas no siempre tienen un
soporte local en el país y/o la región así que es un
poco difícil evitar a mediano plazo adquirir licencias
winservers. Es algo para meditar en la comunidad
empresarial informática y tal vez, para aprovechar una
oportunidad comercial ya que adquirir una licencia
winserver añade un overhead considerable al costo de
cualquier software de nivel industrial (especialmente
cuando hay muchos clientes).

Una nota para los muchachos que recien empiezan, se
elije un SLES porque asegura total compatibilidad con
el hardware de server adquirido (certificada), sin
necesidad de parches (en cualquier estadío de
desarrollo en que se encuentren), evita la necesidad
del mantenimiento (updates, seguridad, etc.) de
software compilado a medida (muy crítico cuando hay
poco personal y muchos SOs) y asegura la
disponibilidad de soporte especializado si hubiere
algun problema "raro" con el hard (no taaaan
indispensable si se piensa que el SO viene con
compatibilidad certificada con el hard). Finalmente un
OpenSuse podría hacer fielmente el trabajo, pero
nuevamente, va más allá de lo técnico y hay que
trabajar en conjunto con la capa 8 para que todo
funcione optimamente.

Gracias por su tiempo.

Dardo A. Valdez
Adm. de Sistema
Poder Judicial de Ctes.


      Los referentes más importantes en compra/ venta de autos se juntaron:
Demotores y Yahoo!
Ahora comprar o vender tu auto es más fácil. Vistá ar.autos.yahoo.com/
 Para administrar tu cuenta: http://www.freelists.org/list/gulfrre  
 Para ver mensajes anteriores: http://www.freelists.org/archives/gulfrre     
 -----------------------------------------------------------------------

Reglas de la Lista

Añadir OT a todos los temas Off Topic
Respetar las Ideas de los miembros
No crear ni continuar con Flames





      Los referentes más importantes en compra/ venta de autos se juntaron:
Demotores y Yahoo!
Ahora comprar o vender tu auto es más fácil. Vistá ar.autos.yahoo.com/
 Para administrar tu cuenta: http://www.freelists.org/list/gulfrre
 Para ver mensajes anteriores: http://www.freelists.org/archives/gulfrre
 -----------------------------------------------------------------------

Reglas de la Lista

Añadir OT a todos los temas Off Topic
Respetar las Ideas de los miembros
No crear ni continuar con Flames

Other related posts: