Привет, Хабр! Я, Солнцев Евгений, руководитель управления эксплуатации прикладных систем Страхового Дома ВСК.

У нас периодически возникает необходимость в миграции информационных систем и сервисов в другой ЦОД или облачную инфраструктуру. Необходимость в миграции может быть вызвана:

• Требованиями регуляторов (ФСТЭК (ЗО КИИ), Роскомнадзор, ЦБ РФ);

• Повышением отказоустойчивости;

• Снижение совокупной стоимости владения (TCO) и операционных расходов (OPEX).

Часто миграция предполагает смену IP- адресов, что приводит к необходимости проведения детального аудита информационных систем с целью выявления используемых сетевых подключений с тем, чтобы затем организовать необходимую сетевую связанность в новом ЦОДе, а также исключить не используемые и несанкционированные сетевые подключения.

От тщательной подготовки напрямую зависит успех миграции. В этой статье я поделюсь нашим опытом подготовки и проведения миграции, предоставлю практические рекомендации по ее проведению. В конце поделюсь простыми, но эффективными чек-листами для этапов миграции)

Планирование миграции состоит из следующих этапов:

1. Схема миграции

Необходимо определить стратегию миграции, мигрировать системы целиком или поэтапно. Для сложных, масштабных систем предпочтительна поэтапная миграция, для небольших, решений больше подходит одномоментный перенос.

2. Паспорт системы

Следующий важный этап в подготовке к миграции — подготовка паспорта системы. Это документ, в котором будет собрана вся необходимая для миграции информация по системе:

• перечень серверов с необходимыми мощностями (vCPU, RAM, Диск, ОС),

• матрица сетевых подключений (источник-назначение, порты),

• пользовательские доступы, архитектурная схема с указанием необходимых интеграций.

Рекомендую делать паспорт в формате, позволяющем автоматизировать проверки сетевой связанности, указанной в нем с помощью скриптов, например, Excel, CSV, JSON.

Сбор данные о сетевых подключениях один из ключевых этапов проведения работ, далее рассмотрим его подробно в отдельном разделе в виде практичного чек-листа.

3. Тестирование

На данном этапе необходимо разработать smoke-тест, регрессионный и интеграционные тесты, которые позволят проверить работоспособность системы после проведения миграции.

Необходимо убедится в наличии ответственного за проведение тестирования.

Важно настроить логирование, которое позволит выявлять и диагностировать ошибки в процессе миграции.

4. План миграции.

Важно разработать подробный пошаговый план миграции системы, включающий в себя, наименование работ, ответственного, дату/время проведения, критерии успешности. На данном этапе необходимо определить, участников, которые могут понадобиться в процессе миграции: администраторы, DBA, специалисты по телекоммуникациям, разработчики, аналитики, QA-специалисты.

Присутствие специалистов в процессе миграции необходимо обеспечить в "горячем" и "холодном" режимах. В случае если систему поддерживают внешние подрядчики, необходимо предусмотреть их присутствие при работах. Обязательно проведите одну или несколько установочных встреч с участниками работ по миграции.

Подробный план работ значительно облегчит проведение работ, позволит предусмотреть все необходимые этапы их проведения. Важно заранее спланировать технологическое окно и согласовать с его заказчиками и пользователями системы. Примете во внимание, наличие периодических плановых операций (закрытие периода, расчеты и т.п.), которые могут выступить блок-фактором к проведению работ, а также отпуска/больничные сотрудников, участвующих в миграции.

Обязательно заранее оповестите всех участников, заказчиков, бизнес-пользователей, о планах по миграции и датах ее проведения. Сделайте рассылку о планируемых работах за 7-14 дней.

Обратите внимание: информирования по e-mail не всегда бывает достаточно, так как сотрудники могут по разным причинам не прочитать оповещение. Рекомендую, заранее несколькими способами в том числе голосом оповестить необходимых лиц о проведении работ и получить подтверждение в получении информации и отсутствии блок-факторов. К тому же необходимо провести встречу с бизнес-заказчиком и согласовать с ним план миграции.

5. Rollback plan

Обязательно подготовьте план отката, на случай если что-то пойдет не так. Определите время и критерии принятия решения об откате и учитывайте длительность отката.

6. Оформление работ.

Зафиксируйте проведение работ в системе Service Desk, обеспечьте информирование о начале/завершении/продлении/откате работ. По завершении миграции проинформируйте заинтересованных коллег о новой инфраструктуре.

Сбор данных о сетевых подключениях

Для успешной миграции важно определить все необходимые сетевые подключения с тем что бы настроить их в новом ЦОД или облачной инфраструктуре, а также повысить информационную безопасность за счет аудита используемых доступов и отключения не используемых.

1. Документация по системе.

Проверьте всю имеющуюся документацию по системе, обратите внимание на перечни, спецификации IP-адресов и схемы интеграций.

2. Конфигурационные файлы

Проанализируйте конфигурационные файлы приложения на:

• наличие прямых указаний IP-адресов

• доменных имен

• параметров сетевых соединений

По входящим интеграциям выявите всех потребителей сервисов.

3. Активные подключения (Netstat)

Используйте Netstat либо аналогичные утилиты и скрипты для автоматизированного сбора данных об активных сетевых подключениях. Рекомендуется осуществлять сбор сведений в течении длительного периода минимум 7 дней, с тем что бы выявить, подключения, устанавливающиеся периодически.

4. Балансировщики

Проведите инспекцию трафика на балансировщике через который проходит трафик.

Проверьте:

• Состав бэкенд-пулов

• Настройки health-check

• Политики persistence

• Актуальность SSL-сертификатов

5. База данных

Соберите данные о подключениях в Базе данных:

• Прямые подключения пользователей (Power BI, Excel)

• ETL-процессы и хранимые процедуры

• Linked Servers и внешние вызовы

6. Исходный код

В исходном коде приложения могут содержаться данные сетевых подключениях. Следует обратить внимание на:

• Хардкодированные IP в строковых константах

• Конфигурационные классы с сетевыми настройками

• Тестовые данные с реальными IP

Игнорирование проверки исходного кода может вызвать привести ошибкам в приложении и затруднит их поиск. Для проверки данного пункта не лишним будет привлечь к аудиту разработчиков.

7. Скрипты администрирования.

Необходимо проверить наличие:

• Скрипты бэкапов (rsync, pg_dump)

• Автоматизация развёртывания (ansible, salt)

• Cron-задачи с вызовами по IP

8. Мониторинг

Важно проверить систему мониторинга приложения, в частности

• Источники данных Grafana

• Targets в Prometheus/Zabbix

• Конфигурации SNMP-агентов

после переключения необходимо настроить систему на новые IP-адреса. Проверка мониторинга необходима для того, чтобы исключить потерю наблюдения и ложные аллерты.

9. Брандмауэры и ACL

Необходимо проверить на наличие:

• White-list's c IP

• VPN-конфигурации

• NAT-правила

• Security Groups в облаке

Проверка необходима с целью недопущения блокировок легитимного траффика.

10. Шины данных

Если ваше приложение использует шину данных, необходимо проверить:

• конфиги продюсеров/консьюмеров

• наличие фильтрации по IP

• использования не стандартных портов.

Подобная проверка позволит исключить ошибки в работе приложения и потерю сообщений.

11. Внешние интеграции

Проверьте наличие внешних интеграций в целях исключения потери их работоспособности. Обещайте внимание на:

• API-ключи с привязкой к IP

• FTP/SFTP коннекторы

• Партнёрские и пользовательские VPN

• Webhooks в Slack/Teams

• Серверы, обновлений, лицензий и гео-сервисы

• Сервисы ИБ (антивирус, Крипто Про и т.п.)

Убедитесь в том, что сетевой доступ настроен для поддоменов, часть оборудования ИБ не умеет работать с поддоменами.

Данные обо все выявленных подключениях добавляйте в паспорт системы, и настраивайте сетевые доступы в новом облаке/ЦОД по нему.

Даже при тщательной подготовке сохраняется вероятность возникновения непредвиденных ситуаций.

Поэтому:

• подготовьте механизм оперативной фиксации и открытия недостающих доступов

• организуйте круглосуточное дежурство в день миграции

• фиксируйте все изменения в реальном времени

• проводите мониторинг обратной связи от пользователей

Как и обещал, оставляю вам простые, но максимально полезные таблицы чек-листы для миграции.

Чек-лист подготовки к миграции

Чек-лист аудита сетевых подключений

Надеюсь, эта статья поможет вам выстроить четкий алгоритм этапов миграции, избежать распространенных ошибок и провести миграцию с минимальным простоем.

Делитесь своим опытом миграции в комментариях, буду рад обсуждению.

Успешных миграций!