《專家觀察 | 魏新宇：“金融行業(yè)自動(dòng)化運(yùn)維的研究與落地”》要點(diǎn)：
本文介紹了專家觀察 | 魏新宇：“金融行業(yè)自動(dòng)化運(yùn)維的研究與落地”，希望對(duì)您有用。如果有疑問，可以聯(lián)系我們。

由工業(yè)和信息化部指導(dǎo),中國(guó)信息通信研究院主辦,業(yè)界知名組織云計(jì)算開源產(chǎn)業(yè)聯(lián)盟(OSCAR)承辦的2017全球云計(jì)算開源大會(huì)于4月19日-20日在北京國(guó)家會(huì)議中心順利召開.本文為本屆大會(huì)嘉賓分享的大會(huì)演講速記內(nèi)容,敬請(qǐng)瀏覽.

嘉賓介紹：魏新宇

公司職務(wù)：紅帽軟件(北京)有限公司方案架構(gòu)師

大會(huì)演講速記

大家下午好,我是紅帽公司的解決方案架構(gòu)師魏新宇,我很榮幸跟大家分享這個(gè)課題.

金融行業(yè)的定義比較廣泛,它包含有銀行、證券、保險(xiǎn).金融行業(yè)的IT化信息較早,例如1980年左右,銀行就開始了信息化建設(shè).由于起步和發(fā)展早,所以金融行業(yè)的IT架構(gòu)相對(duì)來(lái)說比較復(fù)雜的,像很多銀行的IT設(shè)備有大型機(jī)、小型機(jī)、物理服務(wù)器、虛擬化,Open Stack,甚至還有容器.

正是由于金融行業(yè)各個(gè)細(xì)分領(lǐng)域,IT業(yè)務(wù)架構(gòu)有很大的區(qū)別,或者有很大的不同,所以IT運(yùn)維我們經(jīng)常遇到一些問題,主要是集中在兩方面,一方面運(yùn)維塊效率較低,第二方面就是運(yùn)維成本非常高.

紅帽專家根據(jù)多年支持銀行業(yè)客戶,長(zhǎng)期經(jīng)驗(yàn)總結(jié)出了七類Linux運(yùn)維中常見的問題.這七類問題,可以說是很多客戶,尤其是客戶運(yùn)維人員的血淚史.當(dāng)然,有的金融客戶面臨的問題可能是其中的某一個(gè),有的面臨的問題甚至超出了這七種類型.

• 自動(dòng)部署

目前很多銀行內(nèi)采用各種開源技術(shù)實(shí)現(xiàn)了操作系統(tǒng)的批量安裝和自動(dòng)化部署、但是先前的做法可重復(fù)利用化程度很低,每當(dāng)有項(xiàng)目需要進(jìn)行自動(dòng)部署時(shí)都需要針對(duì)該項(xiàng)目重新進(jìn)行配置,工作量大且效率低下而且沒有很好的版本管理和回退機(jī)制,也缺乏一個(gè)很好的管理界面來(lái)進(jìn)行管理,希望通過有效的管理工具來(lái)實(shí)現(xiàn)快速部署海量服務(wù)器的問題.

• 軟件更新

很多銀行服務(wù)器升級(jí)都是去紅帽官方網(wǎng)站下載然后手工進(jìn)行升級(jí)操作,實(shí)效性、可追溯性差,管理員只是被動(dòng)接收來(lái)自安全部門和紅帽的安全建議,希望通過一個(gè)集中展示平臺(tái),直觀的看到數(shù)據(jù)中心內(nèi)部所有l(wèi)inux服務(wù)器目前運(yùn)行的軟件版本和官方版本之間的差異、升級(jí)的類型并直接通過統(tǒng)一的展示界面遠(yuǎn)程直接對(duì)需要升級(jí)的服務(wù)器升級(jí)某一個(gè)軟件的升級(jí)程序.

• 安全更新

國(guó)家現(xiàn)在對(duì)開源軟件的安全性要求很高,很多銀行的安全部門以及公安部會(huì)定期對(duì)所有的Linux服務(wù)器進(jìn)行安全掃描并發(fā)布安全整改意見,這些意見和廠商提供的安全更新建議往往有很大的出入,迫切的需要一個(gè)工具能提供紅帽產(chǎn)品的安全更新以及修復(fù)建議并且能結(jié)合上述的軟件更新功能為系統(tǒng)及時(shí)的修補(bǔ)安全漏洞

• 合規(guī)性檢查

大的銀行內(nèi)部有自己的操作系統(tǒng)基線,定義了一系列的標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)需要人工來(lái)實(shí)現(xiàn)以及更,參與Linux運(yùn)維的人員也很多,每個(gè)人的能力、對(duì)操作系統(tǒng)的理解程度以及使用習(xí)慣的不同會(huì)造成Linux服務(wù)器的配置存在很大的差異,有無(wú)可能通過一個(gè)集中式管理工具結(jié)合行里的運(yùn)行規(guī)范來(lái)實(shí)現(xiàn)自動(dòng)化部署并且可以根據(jù)已有古規(guī)范找出個(gè)與規(guī)范之間的差異并消除

• 從開發(fā)到測(cè)試到運(yùn)維的軟件生命周期管理

很多銀行的開發(fā)測(cè)試運(yùn)維的環(huán)境都不完全一樣,這就有在開發(fā)測(cè)試環(huán)境中可用但到了生產(chǎn)環(huán)境會(huì)出現(xiàn)問題的風(fēng)險(xiǎn),希望通過工具來(lái)統(tǒng)籌管理開發(fā)、測(cè)試和運(yùn)維平臺(tái)上的Linux環(huán)境的部署,應(yīng)用軟件的分發(fā)以及合規(guī)性一致性的檢測(cè).

• 多用戶、用戶組管理以及訪問控制

很多銀行基于Linux的系統(tǒng)都是以項(xiàng)目(業(yè)務(wù))的方式進(jìn)行劃分的,每個(gè)項(xiàng)目都會(huì)有相應(yīng)的軟件中心和數(shù)據(jù)中心的技術(shù)人員負(fù)責(zé)應(yīng)用軟件和操作系統(tǒng)的開發(fā)、部署、上線、維護(hù)等工作,為了完成這些工作需要給相應(yīng)的用戶賦予相應(yīng)的權(quán)限以避免越權(quán)操作,希望解決在大規(guī)模Linux使用環(huán)境下用戶管理和權(quán)限劃分的問題.

• 服務(wù)器組批量操作

傳統(tǒng)的Linux運(yùn)維管理需要登錄到服務(wù)器上手工或者通過執(zhí)行腳本的方式來(lái)進(jìn)行,對(duì)于一個(gè)項(xiàng)目而言,通常幾臺(tái)甚至幾十臺(tái)服務(wù)器的配置和運(yùn)行環(huán)境是完全一樣的,希望能實(shí)現(xiàn)像操作一臺(tái)服務(wù)器那樣操作一組服務(wù)器,執(zhí)行一次操作就可以對(duì)該組內(nèi)所有服務(wù)器都生效,即對(duì)一組服務(wù)器可批量進(jìn)行升級(jí)、部署、管理和維護(hù)的工作.

解決錯(cuò)綜復(fù)雜的運(yùn)維問題,出路在人員、流程、工具三方面一起下功夫,構(gòu)建標(biāo)準(zhǔn),先實(shí)現(xiàn)手工標(biāo)準(zhǔn)化運(yùn)維.接下來(lái),利用現(xiàn)代化IT技術(shù),逐漸減少運(yùn)維人員的工作量,構(gòu)建自動(dòng)化運(yùn)維.在實(shí)現(xiàn)了自動(dòng)化運(yùn)維以后,就需要構(gòu)建集中管理,實(shí)現(xiàn)集中化.最后,隨著企業(yè)IT水平的不斷提升,利用CI/CD等技術(shù),構(gòu)建devops.

參考Gartner IT基礎(chǔ)架構(gòu)和運(yùn)維成熟度模型中的技術(shù)維度,紅帽根據(jù)在Linux領(lǐng)域長(zhǎng)期的經(jīng)驗(yàn),提出OS運(yùn)維成熟度模型.OS運(yùn)維成熟度越高的企業(yè),其IT架構(gòu)越敏捷、 Time To Market越短、業(yè)務(wù)競(jìng)爭(zhēng)力越強(qiáng).

根據(jù)不完全統(tǒng)計(jì),在傳統(tǒng)行業(yè)里,IT成熟度較高的用戶,其OS成熟度大多處于三級(jí),也就是基本實(shí)現(xiàn)了運(yùn)維制度化、規(guī)范化,但仍處于半手工運(yùn)維的階段.

而作為對(duì)IT運(yùn)維要求更高的金融行業(yè),顯然需將OS運(yùn)維成熟度至少提升到四級(jí),實(shí)現(xiàn)集中化；甚至五級(jí),也就是自動(dòng)化和運(yùn)維開發(fā)一體化.

客戶理想的自動(dòng)化平臺(tái)是：首先要有一個(gè)自動(dòng)化運(yùn)維門戶(unifiedportal),理想狀態(tài)是這個(gè)門戶與客戶的云門戶統(tǒng)一對(duì)接.其次,當(dāng)IT系統(tǒng)出現(xiàn)問題/需要變更的時(shí)候,自動(dòng)/手動(dòng)觸發(fā)處理工單(這個(gè)工單系統(tǒng)符合ITIL流程 ,與行里現(xiàn)有流程和審計(jì)對(duì)接).

這個(gè)工單IT主管可以看到,審批以后、自動(dòng)執(zhí)行,把問題修復(fù).比如：linux的根分區(qū)不夠了,自動(dòng)觸發(fā)預(yù)運(yùn)維平臺(tái)的對(duì)應(yīng)操作是自動(dòng)擴(kuò)容,但需要自動(dòng)觸發(fā)創(chuàng)建工單.工單到IT主管那,批準(zhǔn)之后,自動(dòng)擴(kuò)容.

如果按照上一小節(jié)的“OS運(yùn)維成熟度模型”來(lái)衡量該架構(gòu),上圖這個(gè)架構(gòu)不僅實(shí)現(xiàn)了自動(dòng)化,也實(shí)現(xiàn)了集中監(jiān)控.因此其等級(jí)至少為4+,接近于5級(jí).

構(gòu)建自動(dòng)化運(yùn)維平臺(tái)中,紅帽的左膀右臂分別是Ansible Tower和Satellite.

Ansible Tower作為一款優(yōu)秀的自動(dòng)化運(yùn)維工具,它有四大特點(diǎn)：

• 使用簡(jiǎn)單而功能強(qiáng)大(它可以支撐整個(gè)IT架構(gòu),從物理機(jī)、操作系統(tǒng)、虛擬化、云、容器到網(wǎng)絡(luò)設(shè)備.語(yǔ)言簡(jiǎn)單易學(xué))
• 操作安全可控(ansible tower基于RBAC方式對(duì)用戶進(jìn)行授權(quán),AD,LDAP等認(rèn)證方式做對(duì)接)
• 適應(yīng)傳統(tǒng)行業(yè)客戶與互聯(lián)網(wǎng)行業(yè)(ansible是git hub上最受歡迎,使用最廣的自動(dòng)化工具)
• 在金融行業(yè)已經(jīng)積累了海量的playbook(紅帽的的用戶可以直接拿來(lái)用,紅帽在很多金融行業(yè)客戶積累的經(jīng)驗(yàn)).

金融行業(yè)

satellite則在系統(tǒng)部署、訂閱管理、軟件管理、配置管理四方面幫助客戶實(shí)現(xiàn)IT運(yùn)維標(biāo)準(zhǔn)化.

紅帽云管平臺(tái)Cloudforms,可以與AnsibleTower和Satellite對(duì)接,實(shí)現(xiàn)云平臺(tái)管理與運(yùn)維統(tǒng)一.

那么,IT自動(dòng)化運(yùn)維平臺(tái)架構(gòu)如何落地?

首先我們先看自動(dòng)化運(yùn)維平臺(tái)的架構(gòu)：從下往上：IT環(huán)境、基礎(chǔ)架構(gòu)管理、數(shù)據(jù)展示層.

IT環(huán)境層,指的是自動(dòng)化運(yùn)維平臺(tái)需要納管的對(duì)象.在一個(gè)復(fù)雜的數(shù)據(jù)中心中,運(yùn)維絕不是僅僅針對(duì)一種操作系統(tǒng),或者一種型號(hào)的服務(wù)器.而是整個(gè)數(shù)據(jù)中心,包括(但不限于)：

1.系統(tǒng)層面：從Linux(物理機(jī)、虛擬機(jī)、云環(huán)境), Unix,到Windows.

2.虛擬化平臺(tái)：VMware、Docker、Cloudstack、LXC、Openstack等.

3.商業(yè)化硬件：F5、ASA、Citrix、Eos以及各種服務(wù)器設(shè)備的管理.

4.系統(tǒng)應(yīng)用層：Apache、Zabbix、Rabbitmq、SVN、GIT等.

5.商業(yè)化軟件如：Openshift、Ceph、Gluster、Oracle等.

6.云平臺(tái)：支持的云平臺(tái)有AWS、Azure、Cloudflare、Red Hat CloudForms、Google、Linode、Digital Ocean等.

基礎(chǔ)架構(gòu)管理層

基礎(chǔ)架構(gòu)管理層的職責(zé)分為三大塊：集中監(jiān)控、運(yùn)維自動(dòng)化平臺(tái)、內(nèi)控平臺(tái).

1.集中監(jiān)控平臺(tái)包含平臺(tái)(如虛擬化平臺(tái))監(jiān)控和應(yīng)用(如oracle數(shù)據(jù)庫(kù))監(jiān)控.

2.運(yùn)維自動(dòng)化平臺(tái),它是基礎(chǔ)架構(gòu)管理層的核心組件.它需要完成四類操作：作業(yè)調(diào)度、自動(dòng)巡檢、批量發(fā)布、容災(zāi)管理.也就是說,運(yùn)維自動(dòng)化平臺(tái)必須能夠驅(qū)動(dòng)IT環(huán)境層的七種對(duì)象.

3.內(nèi)控平臺(tái),主要負(fù)責(zé)合規(guī)控制.它完成：合規(guī)管理、風(fēng)險(xiǎn)管理、用戶管理、訪問控制.

整體而言,在基礎(chǔ)架構(gòu)管理層中,運(yùn)維自動(dòng)化平臺(tái)是最關(guān)鍵的,它是管理層的發(fā)動(dòng)機(jī).而集中監(jiān)控平臺(tái)和內(nèi)控平臺(tái)則是輔助自動(dòng)化平臺(tái)的.前者負(fù)責(zé)運(yùn)維自動(dòng)化的全生命周期管理,后者負(fù)責(zé)運(yùn)維自動(dòng)化平臺(tái)的合規(guī)和安全.

服務(wù)管理層

服務(wù)管理層通常通過ITIL等架構(gòu)理念,與客戶的規(guī)章制度與業(yè)務(wù)流程匹配,需要做定制化開發(fā).目前絕大多數(shù)金融行業(yè)用戶都有流程,只是體現(xiàn)在紙面上.需要做的是將紙面上的流程IT工具化.

數(shù)據(jù)展示層：

主要是面向企業(yè)內(nèi)部IT和非IT部門的內(nèi)容用戶.做統(tǒng)一的門戶.過這個(gè)統(tǒng)一的平臺(tái),內(nèi)部用戶可以訪問這個(gè)平臺(tái).通常情況,運(yùn)維門戶會(huì)與客戶的云門戶統(tǒng)一.

金融行業(yè)客戶自動(dòng)化運(yùn)維平臺(tái)實(shí)施步驟

任何一個(gè)大型平臺(tái),無(wú)論是混合云平臺(tái),還是自動(dòng)化運(yùn)維平臺(tái),它們的構(gòu)建都不是一蹴而就的.都需要客戶結(jié)合自身的情況,分步驟、分階段走.

下面我們看一下自動(dòng)化運(yùn)維平臺(tái)常見的幾類工作,按照OS運(yùn)維成熟度模型進(jìn)行評(píng)估,六類工作都能實(shí)現(xiàn)自動(dòng)化的話,IT成熟度可達(dá)到接近于5級(jí)的水平.

在這六類工作中,按照難易程度,大致可以分為三類：

• 比較容易實(shí)現(xiàn)的是批量作業(yè)自動(dòng)化、自動(dòng)巡檢.(通過Ansible Tower+ 專業(yè)服務(wù)實(shí)現(xiàn))
• 實(shí)現(xiàn)難度中等的是：軟件批量分發(fā)部署和配置與版本管理.(通過Ansible Tower + Satellite + 專業(yè)服務(wù)/其他開源工具實(shí)現(xiàn))
• 實(shí)現(xiàn)起來(lái)最復(fù)雜的是：應(yīng)急故障檢查和容災(zāi)管理.(通過Ansible Tower + Satellite + ITIL + BPM + 專業(yè)服務(wù)/其他開源工具實(shí)現(xiàn))

因此,針對(duì)于目前完全沒有進(jìn)行自動(dòng)化構(gòu)建的小型金融客戶,建議從批量作業(yè)自動(dòng)化、自動(dòng)巡檢開始,先通過這兩步,解放運(yùn)維人員的生產(chǎn)力；對(duì)于在自動(dòng)化運(yùn)維有過一定探究的中等規(guī)模銀行,可以考慮實(shí)施軟件批量分發(fā)部署和配置與版本管理；對(duì)于IT程度較高的大型商業(yè)銀行,需要考慮的問題是,如何實(shí)現(xiàn)應(yīng)急故障檢查和容災(zāi)管理的自動(dòng)化.

實(shí)現(xiàn)六類工作與構(gòu)建服務(wù)管理層和展現(xiàn)層并不沖突.流程、工具、人員三者必須同步進(jìn)行.當(dāng)然,在早期,服務(wù)管理層可以考慮先使用人工的方式.隨著IT規(guī)模的增加以及管理要求的提高,再將紙質(zhì)流程IT工具化.

剛才所講的內(nèi)容我放到公眾號(hào)上了,大家有興趣可以看,謝謝大家.

文章來(lái)自微信公眾號(hào)：云計(jì)算開源產(chǎn)業(yè)聯(lián)盟

轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址：
http://www.snjht.com/jiaocheng/4137.html