《动态化IT基础架构的》由会员分享,可在线阅读,更多相关《动态化IT基础架构的(8页珍藏版)》请在金锄头文库上搜索。
1、 0(封面文章之通讯二 4600 字)动态化 IT 基础架构的“二三四”撰文/唐青松动态化 IT 基础架构建设的“两大”原因据分析人员研究表明,通常一个企业的 IT 预算中,50%以上都花费在基础架构上,如服务器、操作系统、存储和网络、系统安全等。此外,还需要刷新和管理桌面及移动设备,这使得 IT 基础架构面临着各种特定的挑战。在电信企业,最大的挑战来自于企业所面临的变更脚步,无论是业务、管理部门,还是非盈利部门。3G 技术创新和全业务竞争带来了一个动态的环境,这使得 IT 对及时满足这些改变的要求变得更加困难。其结果导致保持现有业务需求与 IT 优先级之间的灵活性相摩擦IT 组织的灵活性越小
2、,业务灵活性缺失的可能就越大。过去几年来,广东公司各专业部门为了生产运营和工作管理的需要,开发并投产了大量的管理支撑系统(即管理信息化应用及服务) 。数量众多的管理支撑系统,在提高各部门生产水平和工作效率的同时,也因为技术架构、数据格式、接口规范等的差异,在企业内部构筑了一个个“信息孤岛” ,在一定程度上阻碍了企业信息资源的整合,影响了管理支撑系统的可持续发展。为了快速应对外部环境的变化及企业业务的快速发展,解决以往管理应用模式的弊端,企业对管理支撑应用的管理模式提出了更高要求:站在企业层面进行整体规划,1加强资源整合,避免重复建设;着手业务流程的重组,打通各部门的信息孤岛,实现企业的管理信息
3、共享;进一步提升企业管理水平和决策能力,更好地支撑企业低成本高效率运营。有鉴于此,广东公司出于以下两方面原因:其一,为了追求“资源优化配置” ,实现管理信息化的“低成本”建设;其二,为了满足“响应快,即管理需求变化的敏捷响应;风险低、即 IT 项目风险的有效控制;价值高,即 IT 投资的高回报” ,实现管理信息化的“高效” ,基于综合应用平台(简称 IAP,是 20042006 年广东公司最主要的管理支撑类应用的基础应用平台) ,于 2007 年以“资源一体化”为导向,开始筹建广东公司管理信息化的动态化IT 基础架构,即广东公司“企业级云计算平台” 。动态化 IT 基础架构规划的“三大”要点(
4、一)规划目标IT 基础架构的影响是广泛的,在提供丰富的可访问的功能的同时,还要保护 IT 环境和机密数据免受入侵和破坏趋势给 IT 部门带来的压力。广东公司 IT 基础架构主要包括以下三个规划目标:(二)参考理论模型2广东公司参考 Gartner(基础架构成熟度模型) 、麻省理工学院(架构成熟度模型)以及微软基础架构优化模型等理论基础,评估公司基础架构目前的总体健康状况,并定义了可以着眼于实施优化项目的特定区域。同时,IT 部门需要考虑一种全局性的架构,统一考虑和规划全局的资源和体系结构。基础架构一般分为:基本型、标准型、合理型、动态型,具体描述见下表。级别级别说明说明基本型基本型未协作的、人
5、工的基础架构成本中心标准型标准型受管理的 IT 基础架构部分自动化和知识获取有效的成本中心合理型合理型受管理和巩固的 IT 基础架构,扩展的自动化知识获取以及重用业务驱动者动态型动态型完全自动化管理、动态资源利用、基于服务级别协议的业务链接、自动化的知识获取和利用战略资产尽管使用场景不同,但广东公司构建动态化基础架构的思路与目前互联网上最新的云计算平台、平台即服务(PAAS)等理念有众多相仿之处。广东公司关注于如何吸取“云计算”中的先进理念,并结合自身目前的 IT 现状和管治规划,逐步构建广东公司“企业云计算平台” 。(三)发展规划基础架构优化的目标在于按照逻辑顺序构建一种高效、安全且优化的
6、IT 基础架构和服务。优化的 IT 基础架构建立 IT 标准基础之上,并确保符合这些标准。在每个优化级别对 IT基础架构所做的改进可以大大降低成本,增加安全性,并提高可用性和易管理性。1.级别分析:目前在合理型阶段安全管理非常主动,对于威胁可以做到迅速响应并可以控制。使用无需接触的部署方式,降低了成本,减少了部署时间,并减少了技术困难。管理桌面计算机的流程基本无需接触,镜像的数量达到最小。拥有一个明确的硬件和软件库存状况,只需要购买所必需的许可证和计算机。3安全方面包括了桌面、服务器、防火墙、外网的严格的策略和控制。.规划目标:向动态型阶段演进成本被全面控制,用户与数据、桌面计算机、服务器相集
7、成。移动用户拥有近乎于本地用户的服务级别和能力,无论其身处何方。所有的流程均是全自动的,经常与技术本身融为一体,允许 IT 根据业务需求进行管理。对于技术的额外投资将对业务产生特定的、快速的、可衡量的收益。为了确保补丁管理、规则与已经建立的安全策略相符,使用自主规定软件与被隔离的系统来允许动态企业的自动化流程。动态化 IT 基础架构构建的“四大”举措(一)资源分层规划根据广东公司管理支撑应用的现状,把所有平台资源分为四个层次(接口层、Web/应用层、数据库/文件层、基础层) 。每年的年度计划中,针对四个层次的平台资源的实际负载及预期增长,进行相应的升级和扩容。应用上线时,按照资源申请流程向平台
8、申请承载资源。(二)应用统一部署通过统一发布管理,实现应用程序的动态化部署及资源的动态化分配。4统一发布管理从流程中对开发商应用系统的安装部署、升级等过程进行审批,并且用程序方式进行自动发布,通过参数配置将应用自动发布到指定的服务器中,避免原来手工发布带来的种种管理问题和技术风险。具体实现功能包括:发布流程,发布申请和审批、程序自动发布服务,发布服务监控和管理,版本管理,发布备份和回滚,系统发布情况统计等。(三)统一开发模式规范开发模式,从源头上控制了变革风险。传统的开发模式上,每个项目及业务应用都是单独收集需求,独立建设,由于不同开发商的技术水平参差不齐,造成开发出来的系统存在资源重复投入、
9、应用系统规范性各异、难以实现软件复用及技术积累等诸多问题。统一开发模式是为了保证企业的 IT 项目整体可控,降低开发成本,提高技术积累,而建立的应用系统标准化开发实践,它专注于基础框架、服务能力、业务组件的快速提取与共享,以期实现“多、快、好、省”的企业应用开发模式。(四)建设基础能力为实现资源一体化的 IT 基础架构,主要包括五个方面的能力建设:统一的身份与访问管理;集中的管理和监控;统一的数据保护和恢复;完善的安全与网络;统一规范的 IT 与安全流程。五个关键的能力实现可以使得 IT 基础架构不断趋向成熟控制成本、持续保护业务安全、支持业务敏捷性。同时,通过本方案,使广东公司能够降低 IT
10、 基础架构的复杂性,将 IT 人员解脱出来,让他们从事更高价值的知识学习和能力提高。1.实现身份与访问管理身份与访问管理描述了企业如何管理人员和资产身份,应当被部署来保护身份数据(同步、密码管理、用户生成)的解决方案,以及如何管理公司移动用户、防火墙外的客户和/或合作伙伴对资源的访问。原来的广东公司综合应用平台在各个地市已经构建了相应的 AD 活动目录域,但 AD 域之间处于互相没有关系,域的命名没有统一的规范这种状态。在去年的建设中,对 AD 活动目录域进行了统一的综合整改。项目的基本目标和范围如下:按照一定规则重新对各个地市的活动目录域进行调整,主要调整范围包括域名的统一规范,域架构调整,
11、构造规范的域森林结构。通过各个地市的活动目录,统一管理用户信息和资源。5对于调整后的活动目录域,可以与其他目录服务系统(Sun LDAP)进行统一认证,实现 SSO(单点登陆)功能。2.实现管理和监控基础架构的管理和监控描述了企业应当如何管理基础架构中的设备及服务器,以及如何在企业范围内部署补丁、操作系统与应用程序。从广东公司管理信息部来看,基础架构的管理以及整个架构的健康状况以及物理状况的展现,还没有实现全面有层次性的管理。管理层,无法通过更为形象的方式来了解全省的运维状况,资源配置信息无法全面准备体现,对于各个应用以及 SI 的应用是否正常运作等都没有统一的方式进行全面了解。在去年的建设中
12、,基于产品的基础,进一步完善监控,管理和监控系统灾难恢复的力度,实现包括从平台底层,操作系统平台,通用应用系统平台以及业务应用平台的全方位监控管理,并且在此基础上,完成三维机房监控管理平台,从而实现平台资源的实时监控维护和资源的整体调配,达到资源利用的最大化。此外,为实现统一管理的目标,引入虚拟化技术平台,向应用开发商提供虚拟化的测试开发环境。通过虚拟化自服务平台,为应用开发商推出一个自我服务的平台,自我创建一个虚拟测试平台。此平台的环境可以和实际环境一样,应用开发商可以在此虚拟化平台上任意进行开发和测试的工作。3.实现数据保护与恢复数据保护与恢复描述了用来进行备份、存储与还原数据和应用程序的
13、流程与工具。由于信息与数据存储的增加,企业对于保护信息并提供低成本和高时效的恢复需求的压力日益增加。正在建设中的数据备份系统能够满足弹性部署,从而能够满足依据应用系统弹性而变化,最大可能性的随动保护。该系统主要功能要求包括:备份系统能够快速部署,能够支持数据库群集;支持利用 VSS 进行快速备份的功能;支持基于磁盘、磁带的复合的备份方式;支持复杂的群集和负载均衡功能;6能够支持部署第二个备份服务器,实现对第一个备份服务器进行同地或者异地的灾难备份;并且在发生第一个备份服务器崩溃的情况下能够通过第二个备份服务器对应用数据进行直接的快速恢复。4.实现安全与网络安全与网络描述了企业应当如何考虑实施
14、IT 基础架构来确保信息与通信受到保护,不被非授权访问。并提供一个在保持企业资源访问能力的同时,保护 IT 基础架构不被拒绝服务和病毒攻击的机制。划分网络 VLAN从安全域的角度可以粗略分为核心域和边缘访问域。将对外应用服务器独立划分为一个VLAN,其他的核心服务器不提供对外访问。单独划分一个 VLAN,使服务器二层隔开,可以防止网络风暴、低级恶意行为和 Ethernet 的信息探听。同时,在使用 VLAN 时还要考虑方便性和灵活性。安全性:在局域网中采用 VLAN 技术解决用户群之间的安全性和可管理性。通过设置VLAN 和 ACL 规则,可以杜绝用户直接访问核心服务器和数据库,解决一定程度上
15、的安全隐患。高效能:在保证可管理性的前提下,要尽量考虑 VLAN 的数量与网络性能的协调。比如,分配每个应用服务单一 VLAN 和 IP 子网会造成巨大的扩展方面的局限及网络传输负担。过多的 VLAN 数量,会造成系统过多的 spanning tree 的维护开销、过多的路由处理开销以及引起一些路由配置上的限制。VLAN 数量太少,而每个 VLAN 中的设备过多,也会因为广播包过多引起系统性能问题。系统隔离与防火墙配置外部访问入口设置中高性能的防火墙设备,结合防火墙规则进行安全访问控制,同时使用 NAT 技术,对外部访问屏蔽系统内部核心服务器的 IP 地址。集中病毒防护病毒威胁来自外部访问,这
16、类病毒中尤其以蠕虫为首;同时,如果网站系统感染病毒,可能会对 BOSS 等相关系统发起攻击。因此,系统在病毒防护上既要防止别的病毒源感染自己,也要防止自己成为病毒源。根据病毒攻击的发展趋势和特点,防病毒的安全方案应该是整体安全方案的一部分,必7须结合各种安全措施多管齐下,才能确保对病毒的有效防范。首先,考虑病毒与黑客程序相结合,防病毒要结合防黑技术同时部署防护,防止外来病毒的入侵。通过防火墙、网络边界的网络防黑设计,只开放应用需要使用的网络端口,杜绝网络病毒进入。其次,考虑蠕虫病毒的网络泛滥传播,必须在传播的网络路径上隔离感染源,减少传播。通过局域网 VLAN 划分和网络间访问对某些病毒访问端口的过滤,隔离病毒源。第三,使用主机加固技术,加强系统的病毒抗攻击能力。最后,部署有效的集中管理的病毒软件系统,包括 Web 服务器防病毒系统和防病毒客户端,实现防病毒管理和病毒的查杀和文件恢复。5.实现 IT 与安全流程对于满足可靠性、可用性和高度安全的 IT 服务来说,健壮的技术是必须的。但这不是全部,优秀的流程与人员
