X-tee märkmed loengust

X-tee on eesti riigiasutuste infosüsteemide omavahelise suhtlemise põhisüsteem. X-tee on API-süsteem asutus-asutus IT süsteemide otsesuhtluseks (P2P), kus kõik kasutavad samu põhimõtteid ja on olemas väike keskne kontrolli/turvamissüsteem. Ta on korraga

• protokoll, ehk sõnumite formaat, mida peab järgima
• mõned tarkvaratükid, mida X-tee apide tegemieks tuleb kasutada (peatükk on nn turvaserver, mis tuleb installeerida, konfida, ja mille kaudu apit välja kutsuda ja vastata)
• x-tee keskus Riigi Infosüsteemide Ametis RIA-s, mis monitoorib toimuvat, kogub statistikat ja annab asutustele õigusi osaleda või mitte

Üldpõhimõttena tahab RIA, et: kui riigiasutuse X miski infosüsteem Xi tahab andmeid mõne teise riigiasutuse Y miskist infosüsteemist Yi, siis reeglina peab X:

• uurima, kas on juba olemas mõni X-tee API nende andmete saamiseks: kui jah, küsib endale ligipääsu APIle ja kasutab seda
• kui ei, siis käivitab projekti, et Y teeks sellise X-tee API ja siis X hakkab seda kasutama.

Ehk, kõikvõimalikud muud andmevahetusskeemid (REST liidesed, andmete dumpi upload, mälupulgaga kopeerimine jne jne) on tungivalt mittesoovitavad.

Mida X-tee teeb ja mis seal sees on?

Esiteks, P2P suhtlus:

• P2P suhtlus asutuste infosüsteemide vahel: asutused suhtlevad apide kaudu omavahel, mingit keskust pole, kust data läbi jookseks. Peamine asi seal on API-de autentimine:
  • korraga kokkulepe ja keskne süsteem sertidega majandamiseks ehk tuvastamiseks, et kas saatja saaja on ikka see asutus,kes ta ütleb ennast olevat
  • seda majandamist teeb x-tee keskus RIA-s

• on olemas spec, et kuidas konkreetselt teha SOAP apisid et datat küsida ja saata:
  • SOAPi põhine, mõned spetsiaalsed kohustuslikud väljad headeris
  • mismoodi datat tegelikult kodeerid, on suuresti igaühe oma teha

Teiseks, tarkvara:

• on olemas tarkvaratükk nimega x-tee turvaserver (ehitatud algusest peale AS Cybernetica poolt)
  • tüüpiliselt pannakse eraldi linuxi purki
  • kogu liiklus nii küsijalt kui saajalt läheb läbi nende oma x-tee turvaserveri
  • optsioonid: kas paned oma masinasse (võib virtual olla) või kasutad mingit turvaserveri hostingut

• mida turvaserver veel teeb?
  • logib enda kõhtu liikluse metainfot ja osa liikluse sisu, ca ühe kuu jagu: seda detailinfot ei saadeta kuhugile
  • nö basic metainfo, et kellega on ühendust võetud ja mis ajal, selle saadab turvaserver keskusesse, st keskuses on piiratud logi: logis on näha osapooled ja aeg ja api calli nimi

• mis on x-tee lisaväärtus versus harilik https?
  • peamine lisaväärtus on korrektne ja kontrollitud autentimine, ehk sertidega majandamine.
  • tähelepanek: turvaserverit ei ole väga lihtne konfida

Tehnilised detailid

Järgmisena vaata läbi (mõõduka süvenemisega) tehnilisemat infot:

• Ansperi ja Willemsoni korralik lühike artikkel X-tee sisulise tehnilise ülevaatega
• x-tee protokolli spec: seejuures vaata süvenemisega näiteid peatükist "Annex E Example Messages": põhiosa näites on header (seda protokoll spetsifitseeribki), edasiantav data ise on tilluke jupp lõpus Body tagi sees.
• sirvi UXP technical whitepaper ehk kommertsversiooni tehnilisem ülevaade koos organisatsiooni/korralduse soovituste/põhimõtetega
• vaata lühidalt (tunnetuse jaoks) juhuslikke juppe X-road security server manual (detailed)
• Kaks screencasti UXP keskserveri konfimisest 1 ja 2

Statistika ja kasutus

Tutvu lühidalt nende materjalidega:

• vaata riigi ametlikku X-tee lühiülevaadet sh kindlasti kasutusstatistika ja fancyd kasutus-seosed (mõlemid viimased on versioon 6 jaoks, samas on ka vanem versioon kasutusel).
• Andres Küti kuueminutist videot X-tee põhipointidest
• ja sirvi kiirelt läbi pikem kolmeosaline ülevaade X-teest Anto Veldrelt.

Promo ja äri

X-tee promo välisriikidesse teevad paljud poliitikud

• Ametlik (vabavaralise) X-tee arendamine toimub viimastel aastatel koos soomlastega organisatsiooni "Nordic Institute for Interoperability solutions" (NIIS) poolt, nende sait on https://x-road.global ja nende hallatav/arendatav vabavaraline X-tee githubis (vaata veidi ka detailsemat videot kogu asja ülespanemisest). Vaata head NIIS videot asjast ja organisatsioonist. Vana mitte-maintainitav ainult-eesti repo leaid siit.
• Seoste tekitamine riikide vahel (a la mitme eri X-tee ühendamine, nagu Eesti ja Soome vahel veidi toimub) on keeruline: Willemson ja Freudenthal Cyberist on selle kohta kirjutanud artikli Challenges of Federating National Data Access Infrastructures
• Peale põhitegija Cybernetica oma kommertsiaalse UXP-variandiga (juhtfiguurid Ansper ja Freudenthal) on veel hulk huvigruppe/firmasid, kes tegelevad X-tee kommertsiaalsete konsultatsioonide, abi, promomise, arenduse jne jne tegevustega välismaale. Vaata kaarti, kus peal valik erinevas staadiumis/erineva edukusega projekte X-tee rakendamise kohta (sellel kaardil ei ole kõiki kommerts-juurutusi):
  • E-government academy for-profit konsultatsioonimeeskond: e-valitsemise konsultatsioonid välismaal, ei anna ise tehnilist konsultatsiooni.
  • Planetway: Jaapanisse müügi tiim.
  • Erinevad soomega seotud harud, mh väike Roksnet

Ajalugu

• Esialgne idee, näitepiloot ja selle promomine riigis oli neljast inimesest tiimi poolt: Vello Kadarpik, Tanel Tammet, Hannu Krosing, Ain Järv. Vaata ka juttu ja videot esiajaloost riigipoolsete käivitamisfiguuride poolt.
• kui x-tee algas, siis tegid softi kaks firmat: Cybernetica ja Assert (viimane muutis nime Mandatoriks ja pooldus Fujitsu Services Eestiks ja Aktorsiks)
• lisaks tasub alguse kohta vaadata Ahto Kalja detailset ülevaadet X-tee projekti tekkest aastast 2004
• algul oli x-tee xml-rpc-ga, siis oli paralleelselt juurde soap, lõpuks jäi ainult soap
• regulaarselt iga paari aasta tagant (ca 4-5 a) lastakse välja uued versioonid protokollist ja turvaserverist
• Uusim x-tee versioon
  • väiksed kasulikud headeri muutused
  • selle asemel et öelda organisatsiooni id, on nüüd ka alamorganisatsiooni id
  • hakati nõudma riistvaralist turvat, st eriseadet arvuti küljes sertidega kindlamaks majandamiseks
  • uuemale üleminek venis mitu aastat pikemaks ja praegugi on käimas mõlemid paralleelselt