Sistema di "storage" - Ministero dell Interno Dipartimento della Pubblica Sicurezza

I flussi video generati delle telecamere dell’Impianto di videosorveglianza cittadina devono essere memorizzati all’interno della memoria dell’infrastruttura “iperconvergente”, fino al raggiungimento della capacità di quest’ultima, prevedendo lo spostamento automatico dei “file” più vecchi su uno

“storage” esterno che dovrà essere fornito in opera dall’Impresa.

Il “sistema di storage” dovrà essere collegato in fibra ottica agli “switch ToR”, di cui al successivo punto 7, 7.1, e dovrà poter esporre lo spazio disco tramite i protocolli richiesti in tabella alla velocità di almeno 10 “Gbit/s”.

Pertanto, l’Impresa dovrà garantire un’architettura di tipo “Scale-out distributed file system”, basata su nodi paritetici aggregati virtualmente, che includono potenza elaborativa, capacità disco e connettività

Tutte le caratteristiche richieste devono essere ottenute attraverso l’utilizzo di un singolo “sistema fisico”.

Di seguito, i requisiti minimi che devono essere soddisfatti dal sistema di “storage” fornito:

CARATTERISTICHE

MINIME VALORERICHIESTO

Classe di storage Enterprise Scale-Out Storage Montaggio Rack

Il sottosistema deve essere offerto completo degli accessori necessari al montaggio dell’intero sistema su armadi rack 19”.

Forniti con doppia alimentazione erogata da PDU a 16/32A.

Ridondanza

componenti hardware

Controller di gestione, controller di connettività, alimentazione, sistema di raffreddamento

Tipologia interfacce

richieste Ethernet 1/10 Gbit/s Numero

nodi/controller di gestione

Almeno 4 nodi/controller attivi

CARATTERISTICHE

supportati NFS, CIFS/SMB v1/v2/v3, HTTP e FTP

Continuità di servizio, affidabilità

Il sistema deve prevedere la completa ridondanza dei componenti vitali in modo da garantire l’accesso ai dati e la loro integrità anche in caso di guasto di un elemento. Lo storage deve disporre di soluzioni di mantenimento della cache e della non-volatile area storage in modo da garantire l’integrità dei dati in caso di interruzione dell’alimentazione elettrica.

Servizio di caching e/o accelerazione accesso ai dati

Deve essere disponibile la possibilità di utilizzare la funzionalità di caching e/o di accelerazione dell'accesso ai dati tramite cache dedicata su banchi di memoria o dischi SSD o altra tecnologia ad alta velocità di accesso.

Cache Il sistema dispone di almeno 64 GB di cache per controller

Sicurezza Il sistema deve poter supportare all’occorrenza dispositivi che nativamente consentano la crittografia dei dati a livello di firmware Espandibilità minima

dello spazio disco RAW

Il sistema deve consentire tramite un unico pannello di gestione di controllare il sistema e tutte le espansioni che si rendessero necessarie in futuro

Tipo di dischi supportati:

Il sistema deve supportare le seguenti tipologie: SSD, SAS, NL-SAS o in alternativa SATA

Resistenza alla rottura dei dischi

Il sistema deve adottare una tecnologia tale da garantire l'operatività del sistema, la correttezza dei dati archiviati e la loro sicurezza anche in caso di rottura di 2 dischi per ciascun raid-group.

o in alternativa meccanismi di erasure coding che consentano di supportare almeno il fault contemporaneo di 2 dischi all’interno del sistema o di un intero controller.

Inoltre il sistema deve adottare tecniche e/o tecnologie che consentano il ripristino del sistema e dei dati anche in caso di malfunzionamenti dei/del backplane.

RAID

Il sistema deve realizzare il livello RAID attraverso dispositivo hardware e deve supportare almeno 4 dei seguenti 0, 1, 3, 5, 6, 10, e 50 , o in alternativa il sistema deve offrire la protezione del dato tramite meccanismi di erasure coding, che consentano di sopportare almeno il fault contemporaneo di 2 dischi o di un intero controller.

Capacità Storage

minima richiesta 110 TB

CARATTERISTICHE

MINIME VALORERICHIESTO

(calcolato in

configurazione RAID 6 o erasure-coding) Configurazione dischi offerti

>= 10% SSD

Il restante tra SAS ed NLSAS o SATA 7. Componenti di rete

L’Impresa dovrà provvedere alla fornitura di opera delle seguenti componenti di “networking” ai fini dell’inserimento del nuovo catalogo multimediale all’interno della rete della Questura di Roma.

7.1 Full Proxy

L’Impresa dovrà provvedere alla fornitura in opera di una “appliance” denominata “Full Proxy”, il cui obiettivo principale è disaccoppiare la rete interna (“trusted”) del catalogo multimediale dalle reti esterne (non-“trusted”), dalle quali vengono ricevuti flussi multimediali generati sia dalle telecamere di videosorveglianza e di lettura targhe installate dell’Amministrazione, sia dai sistemi di videosorveglianza di altri enti.

Tale “appliance”, con particolare riferimento ai protocolli “RTSP” e “http/HTTPS”, dovrà supportare nativamentele seguenti funzionalità:

1) “parsing” del protocollo “RTSP”;

2) capacità di differenziare la comunicazione lato “client” da quella lato “server”, applicando profili di ottimizzazione differenti e consentendo di migliorare le prestazioni nei flussi di traffico;

3) capacità di ottimizzazione del traffico “RTSP Over SSL” mediante accelerazione

“hardware” dedicata e profili di sicurezza dedicati;

4) capacità di terminazione “SSL” lato “client”, lato “server”, e “dual mode”;

5) funzionalità nativa “Proxy RTSP” basata su moduli nativi specifici con gestione di configurazioni aggiuntive e di ottimizzazioni e sicurezza;

6) il modulo “RTSP proxy” deve far sì che il dispositivo operi come “Full Proxy”, vale a dire mantenere le comunicazioni in modo trasparente od applicando politiche di “SourceNAT

“ personalizzate per mascherare gli “IP” dei” client” verso reti non “trusted”;

7) il modulo “RTSP proxy” deve consentire delle customizzazioni nei flussi di traffico fra cui:

o definire come protezione di sicurezza l’ampiezza massima degli “Header” e del

“buffer” dati;

o abilitare o negare il “redirect” verso un differente indirizzo di destinazione per traffico “Unicast” e “Multicast”;

o controllare gli “Header RTSP” e la comunicazione dei flussi tramite apposite funzioni o comandi del modulo.

8) Per il modulo “RSTP proxy” sono richiesti i seguenti requisiti minimi di configurabilità:

a) settaggi specifici tramite “interfaccia grafica”;

b) “idleTimeout RTSP” per la gestione delle sessioni sospese;

c) “Maximum Header Size” per la gestione in sicurezza degli “header” di comunicazione “RTSP”;

d) “Maximum Queued Data” per il controllo della bontà dello “streaming” basato sul

“timing buffer”;

e) “Session Reconnect” ovvero capacità autonome di gestire e controllare le sessioni disconnesse ed operare la riconnessione o “resuming”, garantendo la persistenza verso i “server” (evitando “redirect”);

f) possibilità di configurare i parametri di “real http Persistence”.

9) Funzionalità attiva “proxy”:

a) determinare “source address” dal campo “transportheader”,

b) creare dinamicamente “listner RTP/RTCP” usando l’indirizzo determinato dal campo “transportheader”;

c) riscrivere il campo “transportheader source” con l’indirizzo del “virtual server” e inviarlo a destinazione;

d) “Tunneling” per “Real Networks” di “RTSP” su “http”, attraverso la porta “RTSP”

(554).

L’”appliance” dovrà avere almeno le seguenti caratteristiche:

- Richieste per secondo “(RPS) OSI L7 = 1 M”;

- Connessioni per secondo “(CPS) OSI L4 =500K”;

- Richieste per secondo “(RPS) OSI L4 http = 6M”;

- L4 “Max concurrent connections = 40M”;

- L4 “Throughput = 60 Gbps”;

- L7 “Throughput = 35 Gbps”;

- “SSL Bulk Encryption throughput = 15 Gbps”;

- N° 4 interfacce 1000BASE-T;

- N° 4 interfacce 10GBASE-SR;

- N° 2 interfacce 40GBASE-SR;

- N° 2 Alimentatori.

Il “Full Proxy” dovrà essere inserito all’interno dell’architettura di rete della Questura di Roma tra gli

“switch” (non oggetto di fornitura), che raccolgono il traffico dai “siti di campo” dell’Amministrazione e dai “sistemi esterni” e gli “swith top-of-rack”, di cui al successivo punto 7.2.

Si ritengono inclusi nella fornitura i moduli “SFP+”, nonché i cavi in rame e in fibra ottica necessari per i collegamenti dell’”appliance” agli altri apparati, evidenziandosi che i “transceiver” in fornitura dovranno essere della stessa marca dell’apparato proposto.

7.2 Switch top-of-rack

La soluzione “iperconvergente” proposta dovrà essere completa di una coppia di “switch” con funzionalità “top- of-rack” dell’infrastruttura. Gli apparati proposti devono essere dotati di tecnologia

“virtual chassis” e garantire l’affidabilità di classe “carrier” dei sistemi modulari e la scalabilità tipica dei

“data center”.

Di seguito, vengono riportate le caratteristiche minimali che dovranno essere rispettate dagli apparati proposti:

- “switch L2/L3 da rack 19” di tipo aggregabili;

- almeno 24 “porte 10GbE” complete di “transceiver SFP+”;

- almeno nr. 2 “porte 40/100GbE” native di “uplink” complete di “transceiver 40G” (di collegamento con l’apparato “full proxy”);

- almeno nr. 2 “porte 10 GbE” di “uplink” complete di “transceiver SFP+”;

- scorta di 4 “Transceiver SFP Gigabit RJ45” in rame ad “1 Gbit”;

- bassa latenza (< 1µsec);

- almeno una “porta consol”e per la gestione;

- protocolli: “IEEE 802.1Q Virtual VLANs”, “IEEE 802.1p Class of Service”, “IEEE 802.1w Rapid Spanning Tree”, “IEEE 802.1s Multiple Spanning tree”, “IEEE 802.3x Flow Control”, “IEEE 802.3ad Link Aggregation”, “SNMP”, “NTP”, “IPv4”, “ICMP”, “ARP”,

“TCP”, “UDP”, “DNS”, “DHCP2, “OSPF”, “BGP”;

- Protocolli di “routing Multicast”: “IGMP”, “PIM Sparse Mode”, “PIM Source-Specific Multicast (SSM)” e “Multicast Source Discovery Protocol (MSDP)”;

- “L2 and L3 QoS”, inclusa applicazione di “queuing” in uscita dalle porte;

- accesso via “telnet” e/o “http”;

- gestione tramite “SSHv2”;

- autenticazione “RADIUS” per il “management” dell’apparato;

- banda minima della matrice di “switching” almeno960 “Gbps”;

- alimentazione ridondata (alimentatori sostituibili a caldo).

I due “switch”, di cui al presente punto, dovranno essere collegati al “Full Proxy”, di cui al precedente punto 7.1, attraverso il quale riceveranno i flussi multimediali generati dagli “end-point” e dai sistemi di videosorveglianza di enti esterni. A tali “switch” saranno connessi i nodi dell’infrastruttura

“iperconvergente”.

Si ritengono inclusi nella fornitura i moduli “SFP+”, nonché i cavi in rame e in fibra ottica necessari per i collegamenti dei nodi dell’infrastruttura “iperconvergente”, di cui al precedente punto 3.1, e degli apparati di rete della Questura di Roma.

7.3 Switch per rete videowall

L’Impresa dovrà provvedere alla fornitura in opera di due coppie di “switch” dedicata alla distribuzione dei flussi multimediali.

In particolare, ciascuno dei due “switch” in questione dovrà rispettare le seguenti caratteristiche tecniche:

- “switch layer 2” /” layer 3” da “rack 19” stackable” con “bus” di comunicazione dedicato (con relativo cavo).

- almeno 48 porte “autosensing 10/100/1000Base-T”;

- almeno 4 porte “up-link” fino a 10 Gbps complete di “transceiver SFP+”;

- almeno una porta “console” per la gestione;

- protocolli: “IEEE 802.1Q Virtual VLANs”, “IEEE 802.1p Class of Service”, “IEEE 802.1w Rapid Spanning Tree IEEE 802.1s”, “Multiple Spanning tree”, “IEEE 802.1x Port Based Network Access Control”, “IEEE 802.3x Flow Control”, “IEEE 802.3ad Link Aggregation”, “SNMP,NTP”, “snooping IGMP v2 e/o v3”;

- accesso via “telnet e/o http”;

- “IEEE 802.1ab LLDP e/o LLDP-MED2”;

- alimentazione ridondata;

- gestione tramite “SSHv2”;

- autenticazione “RADIUS” per il “management” dell’apparato;

- banda minima della matrice di “switching” almeno “128 Gbps”.

Nel documento Ministero dell Interno Dipartimento della Pubblica Sicurezza (pagine 26-32)