LUUES KORDA HAJUSAS KAOSES

Kristo Vaher, Majandus- ja Kommunikatsiooniministeeriumi (MKM) Riigi IT tehnoloogiate juht tõi oma ettekande sissejuhatuses välja, mis on meie digiriigi hästi suur edu. Selleks on detsentraliseeritus, see on olnud see, et me oleme IT lasknud laiali, lähedale nendele domeenidele, kes tegelikult seotud teenuseid pakuvad. Samal ajal on see tekitanud ka huvitava miinuskülje, mis tähendab seda, et iga detsentraliseeritud osa on natukene teist nägu. Paljud teist ütleksid, et meie haldusala teenused on täiesti erilised. Erinevad võrreldes sellega kuidas on ehitatud, arendatud ja kuidas hallatakse ning opereeritakse erinevaid digiriigi teenuseid kuskil mujal.

Selleks, et tekitada korda hajusas kaoses, on sul vaja teha kompromisse. Selleks on vaja teatud kohas kehtestada üldpõhimõtteid ja -standardeid, mis aitavad meil teineteist paremini mõista, sest erinevad haldusalad tegelevad tihti samade probleemisega ning kui me kõik lahendame neid erinevalt siis meil tekib ka omavahel ebakõla.

Peamiselt me peaksime mõtlema sellele, et kui sul on ebaselgus, siis on mõistlik detsentraliseerimisest liikuda tsentraliseerimise poole. Ning Riigipilv on just sellel eesmärgil välja töötatud ja edasi arendamisel. See on niimoodi seetõttu, et me oleme tajunud, et detsentraliseeritud digiriigis ei ole kompetentsid sellisel tasemel nagu me tahaksime, et nad on. On üksikud kangelased ehk meil on kangelaskultuur, ning me peame liikuma sellest eemale. Liigume sinna, et meil on head teenused, mis on hästi monitooritud, logitud, juhitud ning head arendusmeeskonnad, see kõik on terve ja jätkusuutliku digiriigi üks põhimõtteid.

Teine asi, miks on tsentraliseerimine hetkel vajalik, on see, et meil on vaja uuesti asju ühtlustada. Et kui sa lased asjadel liikuda omasoodu omaenda liinides siis asjad liiguvad hästi kiiresti aga nad liiguvad natuke erinevalt. Ja nüüd on vaja see olukord pöörata natuke ümber ning me teeme uuesti natuke ühiselt ja ühtemoodi mingisuguse maani ja siis uuesti detsentraliseerime. Praeguse tsentraliseerimise eesmärk on saada suuremat kasu meie praegustest kangelastest kogu digiriigile ja siis uuesti laseme detesntraliseerida kui kompetentsi tase on tekitatud.

Lisaks peatus Kristo oma ettekandes Eesti digiühiskonna arengukava punktidel, mille põhiliseks punktiks on - Eesti täis digiväge, selle peale ehitatakse kõik üles.

Põhiteema, millest Kristo ülevaate andis, on arendusraamistik, mida meil täna riigis ei ole. Juba paar aastat on sellised teemad üles tõstatatud, et kuidas peaks asju tegema, kuidas peaks asju tellima, ehitama ja arendama. Mitte seda, et mis tingimustele või nõutele need vastama peaks aga just „ what good looks like“ ehk arendusraamistik annab vastused, kuidas digiriiki arendada.

Viimane arhitektuurinõukogu kinnitas sellise arendusraamistiku vajalikkust ning nüüd hakatakse seda looma. Siinkohal teeb Kristo kõigile üleskutse, et anna endast märku, kui soovid selle dokumendi koostamisel kaasas olla: Kristo.Vaher@mkm.ee

Kristo tõi välja ka oma lemmikmantra, et tehnoloogia kõige tähtsam roll on automatiseerida rutiine, selleks, et me saaksime rohkem aega - aega, et olla koos oma perega, aega, et tegeleda haldusala tegelike teemadega.

MIDA AVALIK SEKTOR VÕIDAB KUI KOLIB RIIGIPILVE?

Taavi Viilukas, Riigipilve juht, andis ülevaate, mida avalik sektor võidab, kui kolib Riigipilve.

Riigipilve eesmärk on, et riigiasutuste infosüsteemid saaks säästlikumalt majandatud ning avalikke teenuste kasutamine muutuks ühtlasemaks, kiiremaks ja mugavamaks.

Kui asutus teeb enda pilve, siis see toob kaasa kõrge omamiskulu (TCO), kõrge investeeringute tasuvuse (ROI) ning oma IT meeskonna vajaduse. Lisaks tuleb jälgida seadmete elukaart, toelepinguid, hallata litsentse ja teostada monitooringut jne.

Kui asutus teeb otsuse ja tellib teenust avalikkust pilvest, siis on tal suur valik teenusepakkujaid, kelle teenuse kvaliteet on kõikuv ja kerkib üles küsimus, kas andmete turvalisus on ikka tagatud?

Aga kui kasutada Riigipilve, mis ei ole avalik pilv, siis on teada, et kontrollitud meeskond osutab turvalisuse astmele ISKE H vastavat kindla kvaliteedi ja riigi poolt esitatud nõuetele teenust Eestis asuvates valideeritud andmekeskustes. Riigipilvele juurdepääs ei pea olema üle avaliku interneti, saab luua privaatühendusi.

KUBERNETES RIIGIPILVES

Ilja Livenson, Riigipilve arhitekt, andis ülevaate Riigipilve kõige populaarsema lisateenuse Kubernetes (K8s) platvormist, selle ajaloost, sellest kuidas näeb välja selle peale kolimine ja milline on rakenduse elutsükkel K8s.

Kubernetes ei ole ainult konteinerite haldus, vaid ka raamistik hajussüsteemide ehitamiseks. Kubernetes pakub teenuste avastamist ja koormusjaoturit; konteinerite orkestreerimist, abstraktsiooni taristule, konfiguratsiooni ja saladuste haldust ja iseparandamist.

K8s on mõeldud arendajatele. K8s ei taga, et süsteem töötab, seda võib võrrelda agressiivse süsteemiadministraatoriga.

Ilja tõi välja, et migreerimisel tuleb muuta lähendamist infosüsteemidele, migreeritav rakendus peaks olema orkestreeritud ja ehitatud spetsiaalsaelt K8s jaoks. Parim tulemusel migreerimiseks saadakse, kui on nullist kirjutatud ja disainitud vastavalt soovitule.

Lisaks analüüsis esineja, toetudes Riigipilve viimaste aastate praktiliste kogemustele, K8s kaasnevad plussid ja miinused.

K8s miinused:   

• väga dünaamiline (keegi ei garanteeri, et rakendus töötab samas kohas, rakendus peab olema recursive, st peab oskama iga hetk nullist käivitada, iga hetk peavad  välised sõltuvused olema kätte saadavad, iga hetk peavad olema potentsiaalsed mitmed erinevad komponendid teadlikud sellest, et ühe komponendiga võib midagi juhtuda);
• infrastruktuuri kõrgem hind, sest virtuaalmasinad vajavad enam RAM, rohkem ketast ja vCPU (minimaalse K8s toodangu klastri jaoks on vaja 5 serverit (3 kontrollerit, mõned workerid);
• keerukus (tuleb leida aega uutest mõistest (pod, deployment, servie mesh, ingress, HHPA, ConfigMap) arusaamiseks;
• väga populaarne buzzword (väga kiire arendustsükkel, mis tingib rakenduste, platvormide uuendamist);
• tööjõud, puudu on K8S ekspertidest.

K8s plussid:

• dünaamilisus;
• väga madal vendori lock-in (avatud ja standardne platvorm);
• programmeeritavus (väga hea protsesside automatiseerimiseks, CI/CD, Infrastructure as code);
• automatiseerimisele orienteeritud väga rikas ökosüsteem;
• orienteeritud arendajale

Riigipilve K8s omapärad. Õige otsus oli võtta K8s haldusplatvormiks SUSE Rancher, st üks suur jagatud K8s. K8s klastrid töötavad klientide privaatpilvedes, mis võimaldab integreerida legacy ja oma võrgulahendusi, aga on ebaefektiivne väiksemate klastrite korral.
Ilja Livenson andis ka teada, et tulemas on K8s keskkondade täisautomaatne paigaldamine.

KUIDAS MIGREERIDA LIVE INFOSÜSTEEMI KESET PÄEVA ILMA KATKESTUSETA?

TEHIK peaarhitekt, 2020. aasta tehnoloogia guru, Martin Õunap andis lühiülevaate, milline on läbipaistev migreerimine andmekeskuste vahel ning arutles millises osas annab DevOps suurt lisaväärtust. TEHIKu edulugu pakkus huvi ning ergutas ka teisi samas suunas tegutsema.

Eduloo algpõhjuseks olid Riigipilves tehtavad riistvaratöid, sest siis oli TEHIKul vaja leida lahendust maandamaks võimalikust katkestusest tulenevaid hirme. Ta kirjeldas esialgset lahendust, kus teenused olid ainult Riigipilves ja kahe erineva lokatsiooniga lahendust. Õunap jagas ka kogemust esimesest ebaõnnestunud ja teisest õnnestunud projekti kolimisest.

Edasi arutles TEHIKu peaarhitekt, mis osas annab DevOps suurt lisaväärtust: „DevOps on kultuur ja kultuur on minule, see mis määratleb, mis moodi ja mida teen“. Äripoolel on oma soovid, mille täitmiseks tuleb DevOps appi automatiseerides töövood, tekib vastustustunne ja suureneb koostööt operatiivtiimi ja arendajate vahel ning komponendid (DB, MQ, NoSQL, S3..) on standardsed.

Martin Õunap lõpetas ettekande mõtteteraga: ”Kogemus ja tarkus on ühed vähestest väärtustest, mis jagades kasvavad!”

TÖÖTOAD

1. KUBERNETESE PRAKTILINE TÖÖTUBA

Pelle Jakovits Tartu Ülikoolist andis ülevaate, kuidas ja milleks kasutada konteinerite automatiseerimise tehnoloogiaid ja millised on kiired võidud. 

2. CI/CD PRAKTILINE TÖÖTUBA

Sander Kuusemets Tartu Ülikoolist ja Martin Õunap Tervise ja Heaolu Infosüsteemide Keskuse (TEHIK) peaarhitekti juhendamisel sai töötoas osaleja koostada oma CI/CD (“Continuous Integration” ning “Continuous Delivery”) pipeline, kasutades Gitlabi ja Kubernetest. 

3. KONFIGURATSIOONIHALGUSE PRAKTILINE TÖÖTUBA

Allan Poola, Riigi Infosüsteemi Ameti (RIA) eriprojektide osakonna arhitekt, ja Ilja Livenson, Riigipilve arhitekt, tõid välja, mis probleeme lahendab konfiguratsioonihaldus, mis asi on Ansible ning infra kui lähtekood. Lähtekoodi kasutades saab dokumentatsiooni jooksvalt uuendada, sest seal oleks viimane versioon. Võimalik on kasutada erinevaid tööriistu: Ansible, CFEngine, Chef, Puppet, Salt jt.

Praktiliselt said töögrupi liikmed läbi teha VM-i loomise Ansible-ga, mis töötab paljudes Unixi-laadsetes süsteemides ja saab konfigureerida nii Unix-laadseid süsteeme kui ka Microsoft Windowsi, tutvuda automatiseerimiste võimalustega. 

Töötubade lõppedes jätkusid ettekanded Riigipilve uuelt arhitektilt ja Riigipilve uuelt juhilt:

RAKENDUSTE TARNIMINE RIIGIPILVE

Google töötamise kogemusega Lauri Võsandi, Riigipilve arhitekt, laiendas kuulajate silmaringi, rääkides SaaS-i teenustest (MySQL, Mongo, S3, logimisest, monitooringust jne) ja nende poole liikumisest.

Ta käsitles ettekandes tänast seisu: virtuaalmasinate keskne taristu, kuidas tellitakse uusi rakendusi täna, aga kuidas võiks pilve rakenduste korral olla - rakendused tarnitakse Docker konteinerite kujul.

Võsandi tõi välja Cloud native kriteeriume pilvesõbralike rakenduste arendamiseks: mida arvestada uue rakenduse arendamisel, tarkvara tarnida läbi Docker registry kaudu, mitte kasutades kohalikku failisüsteemi.

Samuti esitles ta ka enda nägemust, mis tekitas hiljem pärast arutelusid. Näiteks ta soovitas teha uued rakendused Zabbixi ja Nagiose asemel Prometheuse peale, ning arvestades energia efektiivust, tuleks uued rakendused teha C++, Go, Javas.

Võsandi tõstatas ka küsimuse, et mis on mikroteenus, mille alusel rakendus jaotatakse mikroteenuseks?

Samuti arutles Riigipilve arhitekt, milline võiks olla Riigipilv 2.0: rakendused peaks töötama üle kahe saidi, rakenduste paigaldus ja uuendus oleks kiire, väldatakse tootjalukku, hajutamiseks kolmas andmekeskus jt, kuidas võiks toimuda pilves autentimine ja palju teisi mõtteid (standardiseerimine).

Õigesti tehtud arendus töötab hästi nii Riigipilves, AWS, GCP, Azure või on-prem Dockeri klastris.  

KONSOLIDEERIMISE HIRMUD JA MURED

Taavi Viilukas, Riigipilve juht, andis teada, et alates 01.03.2022 läheb Riigipilv üle uuele loodavale riigiasutusele. Seda üleminekut Riigipilve kliendid tajuvad minimaalselt, sest uus komplekteerimisel olev meeskond hakkab haldama toimivat Riigipilve. Seetõttu käideldavus ja infoturve  ei kannata ning jätkuvad olemasolevad lisateenused. Tänaste lisateenuste pakkujatega sõlmitakse tugilepingud.

Taavi Viilukas algatas kuulajatega ka arutelu, mis on tänases Riigipilves head, mis võiks olla paremini ning millised on ootused?

PILVES OLLA VÕI MITTE - SEE ON TURBE KÜSIMUS?

Tõnu Tammer, CERT-EE juht, tuletas meelde oma ettekandes pealkirjaga „Pilves olla või mitte – see on turbe küsimus“, et küberturvalisus on kriitiliste süsteemide ja tundliku info kaitse digitaalsete rünnete eest. Samuti, et Cert.ee on 24/7 kübermaailma kiirabi, mis tegeleb Küberintsidentide lahendamise ja teavitamisega.

Riigisektoril ja elutähtsa/olulise teenuse teenusepakkujal on küberintsidentist Cert.ee teavitamine kohustuslik tulenevalt Küberturvalisuse seadusest (KüTS).

Cert.ee enda poolt edastab certnews@cert.ee kaudu ülevaate küberruumist, osaleb küberohtude kõrvaldamisel, visualiseerib DMARc’i, võimaldab kasutada Küberohte tõrjuvat turvalist ja privaatset DNS (DNS, DoH, DoT): dns.cert.ee ja teostab küberintsidendi järgset uurimist.

Riigipilve jaoks on tagatud RIA poolt DDoS kaitse, RPKI (Resource Public Key Infrastructure) filtreering ja RTIX otseühendus, mille eesmärk on tagada võrkude omavaheline liiklus ka siis, kui ühendus välisriikidega on mingil põhjusel häiritud.

Cert teeb ka turbeteste: pen.testid - tuvastatud puudused kõrvaldatakse.

CERT-EE juht Tõnu Tammer tõi välja ka murekohad, et Riigipilve infrastruktuuri kohta lekib infot  ja kasutatakse Google DNS. 

Kokkuvõtte seminarist tegid Ave Aun RIKSist ja Eveli Kljujev Ericssonist.