Nytt direktorat på 294 dagar – og ny IT-infrastruktur på 105

Hausten 2019 var eg prosjektledar for IT i opprettelsen av Digitaliseringsdirektoratet. Eg har skreve ein artikkel på Digitaliseringsbloggen om dette(https://www.digdir.no/om-oss/nytt-direktorat-pa-294-dagar-og-ny-it-infrastruktur-pa-105/1780) men vel å publisere den her også:

Torsdag 14. mars 2019 vart alle tilsette i Difi og Altinn innkalla til allmøte. Digitaliseringsdirektoratet skulle realiserast og vere i drift frå 1. januar. Vi forsto at dette ville innebere mykje arbeid på mange avdelingar framover, og spesielt oss på intern IT-drift. Med ein del teknisk gjeld bygd opp over dei siste ti åra såg fleire faggrupper i IT-drift dette som eit høve til å bygge nytt i staden for å nedbetale «gjeld».

Visjon: Moderne og plattformuavhengig

Målet vårt var å skape ei plattformuavhengig løysing og ha så få komponentar på serverrommet som mogleg. Det har lenge vore eit ynskje å kunne nytte Mac og Linux fullt ut som kontorstøttesystem. Samtidig har tidlegare brukarundersøkingar synt eit ynskje om å bruke alle typar nettlesarar.

Digitaliseringsdirektoratet sin IT-strategi og regjeringas digitaliseringsrundskriv tilrår å ta i bruk skytjenester der det er teneleg. Løysinga skal gi dei tilsette moglegheit til jobbe overalt på ein trygg og sikker måte. Vårt mantra er at brukaropplevinga skal vere lik uansett kvar ein jobbar.

Difi hadde allereie gjennomført ei risiko- og sårbarheitsanalyse knytt til tenester i Office 365, og Altinn hadde ikkje innvendingar på denne. Uavhengig av kva plattform ein vel – både internt og eksternt- er det viktig at slike analysar og risikovurderingar er gjennomført. Altinn som vart drifta av IT-avdelinga i Brønnøusundregistera, hadde også ynskje om ei meir moderne og fleksibel løysing.

Med dette som bakteppe var visjonen og målet klart. Ny plattform skulle vere skybasert, moderne og plattformuavhengig.

Oppdrag: Bygge nytt og drifte det gamle

Ei utfordring var at Difi allereie hadde tatt i bruk Office 365 og eigennamnet som ein del av organisasjonsidentiteten i Office 365-organisasjonen. Det er ikkje støtta å endre namn på organisasjonen i Office 365. I vårt interne domene hadde vi også Difi som ein del av namnet. Kombinert med  e-postsystemet Microsoft Exchange så er det ikkje supportert eller tilrådelig å endre namn på domenet.

Vi forsto fort at vi måtte sette opp heilt nytt domene både i sky og internt. Og dette måtte gjerast samtidig som vi heldt den eksisterande organisasjonen og miljøet i drift.

Interne og eksterne ressursar

Nettverksdelen vart prosjektert og implementert av Tor Erik Ones og Morten Foss som er rådgjevarar i Digitaliseringsdirektoratet. Sidan vi måtte sette opp nytt domene, vart det utfordrande å gjenbruke eksisterande subnett på ein god måte. Det har også vore ynskje om å splitte applikasjonar og tenester i forskjellige subnett. Digitaliseringsdirektoratet  tilrår å bruke IPv6, og vår nye løysing støttar også dette.

Løysinga skulle vere dynamisk, slik at ein utviklar skal kunne kople seg til med kva nettverksport som helst og bli plassert i korrekt nettverk. Tilsvarande for trådlaust nettverk der ein SSID vart inngangsport for alle klientnetta.

Klientplattform og Office 365 vart prosjektert og implementert av Ragnar Midttun og Håvard Kristiansen, saman med konsulentar frå Cloudway. Digitaliseringsdirektoratet har applikasjonsforvaltarar og utviklarar av nasjonale tenester som Altinn og ID-porten, slik at det er det særs viktig å ha kontroll på brukarar og datamaskiner eller mobile einingar.

Beslutning og prosjektstart

Vi valde å oppgradere lisensane våre frå Microsoft 365 E3 til Microsoft 365 E5 for å få full kontroll over brukarane og eininga i eitt verktøy. Oppgraderinga er kostbar, men samtidig nytta vi høvet til å fjerne andre tredjeparts produkt frå porteføljen – samtidig som vi slapp administrasjon av desse. Lisensen gir oss blant anna tilgang på Advanced Threath Protection (ATP) på klientmaskiner, i Office 365 produkta og til framtidig bruk av Azure tenester. Gjennom lisensen har brukarane også tilgang på eigen telefoni- og videokonferanse. Det var konstruktive og effektive møte med leiinga der denne kostnadsauken vart informert og gevinstar vart belyst.

Beslutninga om oppgraderinga var avgjerande for grunnlaget for ny plattform. Grunnen for at vi tok denne diskusjonen tidleg var for å avdekke korleis ny løysing skulle konfigurerast.

I september 2019 vart prosjektet starta. Ikkje berre skulle vi flytte data, men vi skulle også slå saman to organisasjonar og lære kvarandre å kjenne. Nettverk, brannmurar, VPN-koplingar mot eksterne driftsleverandørar måtte avklarast og konfigurerast – samtidig som ein heldt det eksisterande miljøet i drift.

Helga 22. – 24. november vart sett som migreringshelg for Difi:

  • Alle nettverkspunkt vart endra til dynamisk autentisering
  • Over 450 maskiner vart reinstallert
  • 610 mailboksar vart flytta til ny organisasjon
  • Difi sine eksisterande Teams-, Sharepoint- og Onedrive for business-område vart flytta

Stor flyttejobb

Microsoft støtta ikkje sky-to-sky migrering av Teams, Sharepoint og Onedrive på det tidspunktet vi migrerte. All kopiering til ny tenant (direktoratets område i skytenesta) måtte derfor gjerast ved å kopiere data frå skya til vårt datasenter – for så å bli lasta opp igjen til ny organisasjon. Dette skulle vise seg å ta lang tid, og vi var ikkje ferdig før etter ti dagar. Denne jobben gjekk dag og natt.

Dersom det var data som brukarane absolutt måtte ha, gjorde vi unntak og lasta ned dette manuelt frå det gamle miljøet og formidla dette. Ti dagar høyres lenge ut. Men kor mykje av datane er aksessert kvar dag? Rapportar vi hadde frå eksisterande skymiljø viste at under 1% av datane vart aksessert på dagleg basis. Med dette i bakhovudet kunne vi tillate å ta ein cut-over migrering og la det ta den tida det tok.

Desember vart brukt til å flytte Altinn inn i organisasjonen. Dei tilsette i avdelinga fekk ansvar for å flytte eigne personlege filer medan prosjektet flytta mail og fellesområdet til Microsoft Teams. Alle tilsette fekk nye maskiner slik at dei kunne jobbe parallelt og teste at alt fungerte fram til «fødselsdagen» til Digitaliseringsdirektoratet 1. januar 2020.

Administrasjon av klientar og mobile einingar blir gjort Microsoft Intune. Alle brukarar som skal kople eininga si mot organisasjonen må tillate at organisasjonen administrerer den. Slik kan IT-drift  rulle ut nye applikasjonar og enkelt gjere endringar i firmaapplikasjonar.  

Koronakrisa

I mars 2020 slo Covid-19 bølga innover Noreg, og alle tilsette også hos oss blei bedt om å flytte til heimekontor. Med nytt kontorstøttesystem i skya gjekk denne overgangen så godt som smertefritt, og sikra at vi i tillegg til å oppretthalde normal drift også kunne planlegge, utvikle og bidra til viktige digitale løysingar for å lette krisehandteringa i samfunnet.

Organisasjonen tok i bruk løysingane som låg klare – statistikkane våre viser ein eksplosjon av videomøte og konferansar. Skyløysinga har skalert og ytt til dei forventningane vi hadde. Vi har ikkje merka nokon forskjell på IT-plattformen – men kollegaane møter vi i videokonferansar i staden for kantina. Administrasjon av klientar og endringar skjer på same måte som når ein er på kontoret.

Ved innføring av Office 365 har vi fått til meir effektiv samhandling i organisasjonen. Eit eksempel på det er online samskriving i dokument, noko som har redusert tida dramatisk for å skrive rapportar og andre “fellesdokument”. Dette blir gjort frå online applikasjonar som Word og Excel. Det er enkelt å gi eksterne tilgang til dokument samtidig som ein har god oversikt over kven som har gjort endringar, og sikkerheita blir godt ivaretatt.

Direktoratets digitale “grunnmur” i sky er no på plass på ein god og trygg måte. Forvalting og oppfølging av tenestene er godt forankra i IT-drifts organisasjon – og vi er no klare for neste steg som blir å flytte serverrommet ut i skya, og ta i bruk SaaS tenester der det er tilgjengeleg.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s