# PCA Fidji

{{INLINETOC}} 

## Architecture applicative

### Ancienne architecture

MMA un seul serveur hébergeant tous les somposants
  - base de données
  - serveur d'application (Forms + Reports)
  - serveur IFT
  - outils de communication (STF/MRE)

### Nouvelle architecture

EXADATA la base de données et les serveurs sont vitualisés
  - 2 serveurs OTD pour la répartition de cahrge
  - 8 serveurs d'applicatiion (Forms et Reports)
  - 1 vm techniques 
  - serveur tiers physique

## Architecture réseau

L'architecture est organisée en 3 groupes de réseaux distincts

  - réseaux internes (privés) non accédé depuis l'extérieur (infiniband)

| exalogic | 172.26.0.0/26 | |
| exadata | 172.27.1.1/24 | |
| exa | 192.168.0.0/16 | /22 dans la configuration de l'exadata |
| Noisiel | 192.168.0.0/16 | plage réservée pour l'exadata de Noisiel |
| ::: | 193.168.1.0/16 | plage réservée pour l'exalogic de Noisiel |
| ::: | 193.168.2.0/16 | plage réservée pour l'exalogic de Noisiel |
| ::: | 193.168.3.0/16 | plage réservée pour l'exalogic de Noisiel |
| SPS | 193.168.4.0/16 | plage réservée pour l'exadata du SPS |
| ::: | 193.168.5.0/16 | plage réservée pour l'exalogic du SPS |
| ::: | 193.168.6.0/16 | plage réservée pour l'exalogic du SPS |
| ::: | 193.168.7.0/16 | plage réservée pour l'exalogic du SPS |
| Etendu | 193.168.20.0/24 | plage réservée pour l'exalogic: IpoIB admin |
| ::: | 193.168.21.0/24 | plage réservée pour l'exalogic: IpoIB storage |
| ::: | 193.168.23.0/24 | plage réservée pour l'exalogic: ovm-mgmt |

  - Réseau d'infra pas directement adressé par les utilisateurs:

| sauvegardes | Lan backup exadata SPS | 517 | 172.28.2.0/26 | permet de faire passer les sauvegardes |
| ::: | Lan backup exadata Noisiel | 3602 | 172.28.17.0/26 | permet de faire passer les sauvegardes |
| ::: | Lan réplication dataguard exadata | 429 | 172.30.2.0/24 | permet l'échange des données de la prod vers le secours) |
| ::: | Lan backup réplication ZFS exalogic | 430 | 172.30.3.0/24 | permet de faire passer la réplication des données |
| OBM | TADMZ EXA et OBM SPS | 185 | 172.19.165.0/24 | accès z4p |
| ::: | LAN APPLI OBM SPS | 424 | 10.154.80.176/28 | permet d'accéder au serveur OBM sur la zone3 |
| OBM | TADMZ EXA et OBM Noisiel | 632 | 172.16.147.0/24 | accès z4p |
| ::: | LAN APPLI OBM Noisiel | 2014 | 10.156.33.96/28 | permet d'accéder au serveur OBM sur la zone3 |
| ::: | LAN ADMIN VM OBM FIDJI PROD (exalogic) | 431 | 172.30.4.0/24 | permet d'accéder aux VM F Fidji pour administartion et monitoring partie PROD |
| ::: | LAN ADMIN VM OBM FIDJI INTEX (exalogic) | 432 | 172.30.5.0/24 | permet d'accéder aux VM F Fidji pour administartion et monitoring partie INTEX |
| ::: | LAN ADMIN VM OBM FIDJI DEV (exalogic) | 433 | 172.30.6.0/24 | permet d'accéder aux VM F Fidji pour administartion et monitoring partie DEV |
| ::: | LAN ADMIN DATA OBM (exadata,exalogic) | 427| 172.30.0.0/24 | permet d'accéder aux exadata/exalogic (Les OTD sont branchés dessus aussi) |
| Applications externes | Infra réseau ZA Noisiel 4.01 | 602 | 172.16.130.0/2 | réseau d'admin pour les équipements réseaux) |
| ::: | LAN DATA (exadata) | 428 | 172.30.1.0/2 | permet aux applications externes d'accéder aux bdd (applications tiers) |

  - Réseau Fidji porte les VIP des VM deux modes d'accès:

| accès direct | TADMZ VM Fidji SPS | 186 | 172.19.166.0/26 | accès z4p |
| ::: | LAN APPLI Fidji PROD SPS | 424 | 10.154.53.64/26 | Lan d'accès aux VM en direct (donc sans passer par l'OTD) (en BoIB) |
| ::: | TADMZ VM Fidji PROD Noisiel | 633 | 172.16.146.128/26\\ (gw10.156.35.188) | accès z4p |
| ::: | TADMZ VM Fidji Intex Noisiel | 634 | 172.16.146.128/26 | idem 633 mais géré par l'équipe d'intex |
| ::: | LAN APPLI Fidji PROD Noisiel | 2039 | 10.156.35.64/26\\ (gw10.156.35.126) | Lan d'accès aux VM en direct (donc sans passer par l'OTD) (en BoIB) |
| ::: | LAN APPLI Fidji INTEX Noisiel | 2041 | 10.156.35.128/26\\ (gw10.156.35.254) | Lan d'accès aux VM en direct (donc sans passer par l'OTD) (en BoIB) |
| ::: | LAN APPLI Fidji DEV Noisiel | 2005 | 10.156.32.128/26\\ (gw10.156.32.254) | Lan d'accès aux VM en direct (donc sans passer par l'OTD) (en BoIB) |
| accès par OTD((l'OTD porte les VIP qui sont ensuite redirigées vers les VM par réseau IpoIB)) | LAN APPLI Fidji OTD PROD SPS | 425 | 10.154.53.0/26 | Lan d'accès aux VM en  par l'OTD) (en IpoIB) |
| ::: | LAN APPLI Fidji OTD PROD Noisiel | 2038 | 10.156.35.0/26\\ (gw10.156.35.62) | Lan d'accès aux VM en  par l'OTD) (en IpoIB) |
| ::: | LAN APPLI Fidji OTD INTEX Noisiel | 2040 | 10.156.35.128/26\\ (gw10.156.35.190)  | Lan d'accès aux VM en  par l'OTD) (en IpoIB) |
| ::: | LAN APPLI Fidji DEV Noisiel | 2004 | 10.156.32.128/26\\ (gw10.156.32.190) | Lan d'accès aux VM en  par l'OTD) (en IpoIB) |

## Logiciels 

  * zfs
  * openldap
  * dns
  * stf
  * impression
  * dhcp

## PRA

### Périmètre

Tout sinistre limité à l'ifrastructure physique du SPS (Exadata et Exalogic)

Les scénarios de sinistre retenus

^ Type de synistre ^ Dans le périmètre ^ Base de données ^^
^ ::: ^ ::: ^ couvert ^ sauvegardes ^
| sinistre des infrastructures | oui | oui | réplication |
| sinistre partiel sur unfra trensvers | non | non | |
| sinistre de salle | non | partiel | réplication/sauvegardes |
| sinistre de site | non | partiel | réplication/sauvegardes |
| sinistre logique (corruption de données) | non | oui | sauvegardes |

### Sauvegardes des bases de données

L'architecture mise en oeuvre couvre plusieurs type de sinsitres:
  - haute disponibilité en cas de panne machine la réplication offrela possibilité de basculer sur l'environnement de développement (implique un basculement sur le site de Noisiel)
  - sauvegardes permettent de restaurer les bases en cas de corruption de données (n'implique pas forcément un basculement sur le site de Noisiel)

### Sauvegardes des serveurs

La sauvegarde système repose sur les scripts d'installation et éventuellement sur la sauvegardedes fichiers plats par Time Navigator. En aucun cas les outils disponibles ne permettent de reconstruire intégralement un serveur.

La réinstallation des logiciels se fera à partir des documentations d'installation et éventuellement des fichiers de configuration sauvegardés.

# Basculement réseau

Deux noms DNS permettent aux utilisateurs de se connecter à l'application FIDJI:
  * **fidji.appli.dgfip** pour les utilisteurs exeternes par l'intermédiaire des dac
  * **fidjiweb.appli.dgfip** pour les agents de la zone agent

## Modification de l'annuaire (dac) SI-1G

Le nom de domaine concerné est fidji.appli.impots

```
;; QUESTION SECTION:
;fidji.appli.impots.		IN	A

;; ANSWER SECTION:
fidji.appli.impots.	7200	IN	CNAME	dac.appli.impots.
dac.appli.impots.	7200	IN	A	10.154.96.43
```

### Basculemment du SPS vers le CIP (aller)

Modifier l'adresse IP associée à l'URL http://fidji.appli.impots/fidji.login en **10.156.35.1** (VIP OTD Noisiel)

^ Libellé ^ avant le basculement ^ après le basculement ^
| IP | 10.156.53.10 (adresse OTD PROD SPS - 425) | **10.156.35.1 (adresse OTD PROD Noisiel - 2038)** |
| Port | 8080 | 8080 |
| URL | http://fidji.appli.impots/fidji.login | http://fidji.appli.impots/fidji.login |

### Basculemment du CIP vers le SPS (retour en nominal)

Modifier l'adresse IP associée à l'URL http://fidji.appli.impots/fidji.login en **10.156.53.10** (VIP OTD Noisiel)

^ Libellé ^ avant le basculement ^ après le basculement ^
| IP | 10.156.35.1 (adresse OTD PROD Noisiel - 2038) | **10.156.53.10 (adresse OTD PROD SPS - 425)** |
| Port | 8080 | 8080 |
| URL | http://fidji.appli.impots/fidji.login | http://fidji.appli.impots/fidji.login |

## Modification du DNS par NDV

le nom de domaine concerné est fidjiweb.appli.dgfip

```
;; QUESTION SECTION:
;fidjiweb.appli.dgfip.		IN	A

;; ANSWER SECTION:
fidjiweb.appli.dgfip.	7200	IN	CNAME	fidjiweb.d099.dgfip.
fidjiweb.d099.dgfip.	7200	IN	A	10.154.53.10
```

Les adresses ip concernées sont:

^ Nom DNS ^ LAN APPLI Fidji OTD PROD SPS 425 ^  LAN APPLI Fidji OTD PROD Noisiel 2038 ^
| fidjiweb.appli.dgfip | 10.156.53.10 (fidjiweb.d099.dgfip) | 10.156.35.1 (fidjiweb.noisiel.dgfip) |

### Basculemment du SPS vers le CIP (aller)

Le CNAME de fidjiweb.appli.dgfip doit être modifié pour pointer vers **fidjiweb.noisiel.dgfip**

^ Nom DNS ^ ancien CNAME ^  nouveau CNAME ^
| fidjiweb.appli.dgfip | fidjiweb.d099.dgfip | **fidjiweb.noisiel.dgfip** |

### Basculemment du CIP vers le SPS (retour)

Le CNAME de fidjiweb.appli.dgfip doit être modifié pour pointer vers **fidjiweb.d099.dgfip**

^ Nom DNS ^ ancien CNAME ^  nouveau CNAME ^
| fidjiweb.appli.dgfip | fidjiweb.noisiel.dgfip | **fidjiweb.d099.dgfip** |