企業(yè)在不同時(shí)期增加的系統(tǒng)設(shè)備以及基于不同平臺(tái)的各種應(yīng)用系統(tǒng)帶來(lái)管理、安全、兼容性等問(wèn)題,導(dǎo)致IT支持的可用性降低、 能耗偏高、管理困難。一個(gè)能夠解決成本、效能、安全、管理等問(wèn)題的數(shù)據(jù)中心,逐漸成為中國(guó)金融企業(yè)的必然選擇。本文以農(nóng)業(yè)銀行數(shù)據(jù)中心建設(shè)實(shí)例為參考,探 討新一代數(shù)據(jù)中心建設(shè)的相關(guān)技術(shù)及管理問(wèn)題。 一、數(shù)據(jù)中心的技術(shù)架構(gòu)設(shè)計(jì)與實(shí)施 網(wǎng)絡(luò)技 術(shù)體系結(jié)構(gòu)定義了數(shù)據(jù)中心信息系統(tǒng)的技術(shù)環(huán)境和基礎(chǔ)結(jié)構(gòu)。數(shù)據(jù)中心的各種IT資源數(shù)量龐大、管理復(fù)雜,因此必須通過(guò)具前瞻性及經(jīng)過(guò)實(shí)踐的IT構(gòu)建策略,采 用先進(jìn)的產(chǎn)品技術(shù),以動(dòng)態(tài)、優(yōu)化的基礎(chǔ)架構(gòu)改變落后、低效的資源管理,最大化利用資源,提高業(yè)務(wù)系統(tǒng)的效率和靈活性。農(nóng)行數(shù)據(jù)中心利用模塊化設(shè)計(jì)思路,采 用網(wǎng)絡(luò)分區(qū)、功能分層、應(yīng)用分級(jí)的設(shè)計(jì)方法,實(shí)現(xiàn)數(shù)據(jù)中心邏輯功能的模塊分區(qū)設(shè)計(jì)。標(biāo)準(zhǔn)化數(shù)據(jù)中心架構(gòu)層次清晰,實(shí)現(xiàn)了數(shù)據(jù)中心高可靠、高性能、易管理、 易擴(kuò)展的目標(biāo)。網(wǎng)絡(luò)分區(qū)包括生產(chǎn)業(yè)務(wù)區(qū)、運(yùn)行管理區(qū)、生產(chǎn)外聯(lián)區(qū)、廣域網(wǎng)接入?yún)^(qū)、OA接入?yún)^(qū)、上線前測(cè)試區(qū)、MIS服務(wù)區(qū)等。功能分層包含核心層、分布 層、接入層。應(yīng)用分級(jí)為Web服務(wù)器級(jí)、APP服務(wù)器級(jí)、DB服務(wù)器級(jí)。數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)體系結(jié)構(gòu)如圖1所示。 主機(jī)系統(tǒng)是金融業(yè)務(wù)處理的核心資源,也是數(shù)據(jù)中心風(fēng)險(xiǎn)的集中點(diǎn)。農(nóng)業(yè)銀行核心業(yè)務(wù)系統(tǒng)主機(jī)采用先進(jìn)的并行耦合系統(tǒng)、中間 件耦合系統(tǒng)、數(shù)據(jù)庫(kù)共享以及高可用集群、負(fù)載均衡等智能化技術(shù),構(gòu)成高效率、高穩(wěn)定性、高可靠性的生產(chǎn)環(huán)境。生產(chǎn)運(yùn)行主機(jī)系統(tǒng)架構(gòu)設(shè)計(jì)實(shí)施N+1冗余,系 統(tǒng)存儲(chǔ)采用對(duì)等遠(yuǎn)程拷貝(PPRC/HYPESWAP)和擴(kuò)展遠(yuǎn)程拷貝(XRC)技術(shù)架構(gòu),通過(guò)遠(yuǎn)程數(shù)據(jù)復(fù)制技術(shù)實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)傳輸。同時(shí)引進(jìn)下一代主機(jī)存 儲(chǔ),應(yīng)用存儲(chǔ)硬件PAV技術(shù),解決運(yùn)行規(guī)模增長(zhǎng)帶來(lái)的容量問(wèn)題。 業(yè)務(wù)系統(tǒng)體系結(jié)構(gòu)采用結(jié)構(gòu)化設(shè)計(jì)方法,充 分考慮統(tǒng)一、開(kāi)放、靈活的需求,實(shí)現(xiàn)在業(yè)務(wù)戰(zhàn)略和技術(shù)規(guī)劃之間的平滑連接,快速響應(yīng)業(yè)務(wù)變化的需求。農(nóng)業(yè)銀行業(yè)務(wù)系統(tǒng)由運(yùn)行在大型機(jī)的核心業(yè)務(wù)系統(tǒng)、貸記 卡系統(tǒng)和運(yùn)行在開(kāi)放平臺(tái)的現(xiàn)金管理平臺(tái)、投資業(yè)務(wù)平臺(tái)等40多個(gè)應(yīng)用系統(tǒng)組成。核心業(yè)務(wù)系統(tǒng)采用面向服務(wù)架構(gòu)(SOA),通過(guò)構(gòu)建企業(yè)服務(wù)總 線 (ESB)的標(biāo)準(zhǔn)化接口來(lái)完成集成的面向服務(wù)的應(yīng)用整合及信息交換體系。同時(shí),多系統(tǒng)同步并進(jìn),統(tǒng)一應(yīng)用運(yùn)行框架、開(kāi)發(fā)模型和工具,涵蓋現(xiàn)代商業(yè)銀行 業(yè)務(wù)經(jīng)營(yíng)管理方面的應(yīng)用數(shù)據(jù)項(xiàng),經(jīng)過(guò)架構(gòu)整合和性能升級(jí),最終形成一套以核心業(yè)務(wù)系統(tǒng)為主體,統(tǒng)一、規(guī)范、開(kāi)放、靈活的業(yè)務(wù)大集成系統(tǒng)。
二、數(shù)據(jù)中心的安全體系建設(shè) 數(shù)據(jù)中心的建立不僅對(duì)金融業(yè)務(wù)創(chuàng)新和發(fā)展提供了有力保障,同時(shí)也為金融業(yè)務(wù)操作風(fēng)險(xiǎn)的有效控制創(chuàng)造了條件。 1.建立風(fēng)險(xiǎn)防控責(zé)任體系 農(nóng)業(yè)銀行數(shù)據(jù)中心按照“覆蓋數(shù)據(jù)中心所有業(yè)務(wù)和崗位、制度健全、責(zé)任到位、監(jiān)督有效、考核嚴(yán)格”的要求,建 立“操作落實(shí)到人,布置落實(shí)到組,檢查落實(shí)到處,監(jiān)督落實(shí)到安全部門,考評(píng)落實(shí)到數(shù)據(jù)中心”的風(fēng)險(xiǎn)防控五級(jí)責(zé)任體系,將安全生產(chǎn)責(zé)任落實(shí)到人、落實(shí)到崗。 并且建立起從風(fēng)險(xiǎn)識(shí)別、評(píng)估、處置、控制和事件反應(yīng)的管理流程,實(shí)現(xiàn)全面的風(fēng)險(xiǎn)管理。 2.建設(shè)多層次安全技術(shù)平臺(tái) 平臺(tái)橫向涵蓋系統(tǒng)、網(wǎng)絡(luò)、通信、數(shù)據(jù)和管理安全;縱向跨越風(fēng)險(xiǎn)預(yù)防、監(jiān)控預(yù)警、應(yīng)急處理、災(zāi)難恢復(fù);同時(shí)覆 蓋數(shù)據(jù)中心邊界防護(hù)、生產(chǎn)與辦公分區(qū)互聯(lián)邊界防護(hù)、分區(qū)內(nèi)細(xì)化安全控制、網(wǎng)上銀行Internet出口安全防護(hù)、流量清洗、辦公網(wǎng)Internet出口安 全防護(hù)和終端準(zhǔn)入控制等。搭設(shè)隔離區(qū)(DMZ),把所有對(duì)外部訪問(wèn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備都放入該區(qū)域,通過(guò)外部防火墻和內(nèi)部防火墻有策略地隔離。將核心交換 服務(wù)器通過(guò)交換機(jī)單獨(dú)劃分為一個(gè)區(qū)域,不同的局域網(wǎng)只能訪問(wèn)和自己工作相關(guān)的網(wǎng)絡(luò)。嚴(yán)格控制內(nèi)部網(wǎng)絡(luò)訪問(wèn),并通過(guò)多種方式實(shí)現(xiàn)防計(jì)算機(jī)病毒傳播、未授權(quán)訪 問(wèn)、DDoS攻擊等內(nèi)部網(wǎng)絡(luò)安全隱患。防病毒系統(tǒng)與桌面安全管理系統(tǒng)對(duì)接整合為一套服務(wù)臺(tái)界面向終端用戶提供安全技術(shù)支持服務(wù),實(shí)現(xiàn)數(shù)據(jù)中心全局智能端到 端的安全防護(hù)。 3.加強(qiáng)生產(chǎn)運(yùn)行災(zāi)備建設(shè)
數(shù)據(jù)中心IT技術(shù)體系架構(gòu)主要包含網(wǎng)絡(luò)技術(shù)體系、主機(jī)系統(tǒng)體系、業(yè)務(wù)系統(tǒng)體系。
金融數(shù)據(jù)中心與災(zāi)備中心的運(yùn)行環(huán)境和數(shù)據(jù)環(huán)境采用同步備份機(jī)制,確保備份實(shí)時(shí)有效。在生產(chǎn)中心和災(zāi)難備份中心之間制訂包括 備份恢復(fù)方案和切換流程在內(nèi)的業(yè)務(wù)連續(xù)性計(jì)劃,定期組織演練,保障業(yè)務(wù)持續(xù)運(yùn)行。
4.完善實(shí)體安全建設(shè)
數(shù)據(jù)中心對(duì)機(jī)房環(huán)境、主機(jī)系統(tǒng)、數(shù)據(jù)存儲(chǔ)等實(shí)體安全管理非常重視。一是采用分級(jí)安全區(qū)域管理,生產(chǎn)與工作區(qū) 域嚴(yán)格分開(kāi),不同安全區(qū)域只有具備相應(yīng)安全級(jí)別的人經(jīng)過(guò)身份識(shí)別才能進(jìn)入。二是在涉及機(jī)房承重加固、電力、空調(diào)、消防等方面通過(guò)采用先進(jìn)的監(jiān)控系統(tǒng)和技術(shù) 防范措施,全面控制風(fēng)險(xiǎn)。如機(jī)房采用分層布置的主動(dòng)式及早期火災(zāi)探測(cè)系統(tǒng)和氣體滅火系統(tǒng),在核心區(qū)域采用生物技術(shù)的掌紋儀、防尾隨門和雙人審核系統(tǒng)等。三 是通過(guò)高冗余設(shè)計(jì),保障鏈路安全可用。所有鏈路包括供電、通訊、網(wǎng)絡(luò)均采用冗余設(shè)計(jì),且每條鏈路均從不同的供應(yīng)商引入。四是完善應(yīng)急預(yù)案,加強(qiáng)演練。農(nóng)業(yè) 銀行數(shù)據(jù)中心組織了多次內(nèi)部和與武警合作的消防演練,開(kāi)展了與公安110的報(bào)警響應(yīng)演練。
三、數(shù)據(jù)中心的管理體系建設(shè)
農(nóng)業(yè)銀行數(shù)據(jù)中心的建設(shè)規(guī)模、環(huán)境條件和硬件設(shè)施都達(dá)到業(yè)內(nèi)領(lǐng)先水平,但大集中后的數(shù)據(jù)中心通常面臨規(guī)模與 管理水平、管理手段不對(duì)等的問(wèn)題,怎樣更好更有效率地管理好數(shù)據(jù)中心;如何降低管理風(fēng)險(xiǎn),消除管理盲區(qū),成為數(shù)據(jù)中心管理者思考的重點(diǎn)。為全面提升IT服 務(wù)管理能力,農(nóng)業(yè)銀行數(shù)據(jù)中心初步建立起以ISO20000標(biāo)準(zhǔn)為框架,符合ITIL“最佳實(shí)踐”的IT服務(wù)管理體系。借助自動(dòng)化管理工具,監(jiān)控IT服務(wù) 的運(yùn)行狀況,建立健全標(biāo)準(zhǔn)流程,建立適當(dāng)?shù)娜肆Y源管理機(jī)制,確保員工能夠持續(xù)勝任所分配的工作和職責(zé),將技術(shù)、流程、人員三者有效結(jié)合,為客戶交付高質(zhì) 量的服務(wù)。
農(nóng)業(yè)銀行數(shù)據(jù)中心優(yōu)化和新建了一系列相互關(guān)聯(lián)的服務(wù)管理過(guò)程,識(shí)別過(guò)程之間的關(guān)系和其在組織內(nèi)的應(yīng)用,制訂 服務(wù)管理的方針目標(biāo)和控制措施。主要分為服務(wù)支持和服務(wù)交付兩大部分。服務(wù)支持涉及數(shù)據(jù)中心日常生產(chǎn)運(yùn)行工作中經(jīng)常用到的內(nèi)容,如事件管理、問(wèn)題管理、配 置管理、變更管理和發(fā)布管理等。服務(wù)交付過(guò)程定義了服務(wù)的長(zhǎng)期計(jì)劃和改進(jìn),更具戰(zhàn)略意義,包括服務(wù)級(jí)別管理、可用性管理、服務(wù)連續(xù)性管理、信息安全管理、 容量管理以及IT服務(wù)的財(cái)務(wù)管理。通過(guò)實(shí)施ISO20000,改變傳統(tǒng)慣性思維模式,改造各項(xiàng)工作流程,從傳統(tǒng)的“救火”型向“量體裁衣”預(yù)防型轉(zhuǎn)變。完 善了以服務(wù)為核心的管理流程和報(bào)告體系,建立起以安全生產(chǎn)為核心的生產(chǎn)運(yùn)行長(zhǎng)效機(jī)制。通過(guò)建立PDCA改進(jìn)機(jī)制,持續(xù)提高IT服務(wù)管理水平,滿足銀行業(yè)務(wù) 發(fā)展要求,提升客戶滿意度。
在此基礎(chǔ)上,數(shù)據(jù)中心積極運(yùn)用、推進(jìn)生產(chǎn)運(yùn)行自動(dòng)化、信息化,全面提升數(shù)據(jù)中心自動(dòng)化管理水平,有效防控運(yùn)行風(fēng)險(xiǎn),保障安 全生產(chǎn)。通過(guò)中央控制中心(ECC)和逐步建設(shè)的運(yùn)行集中監(jiān)控、操作管理平臺(tái),在用戶權(quán)限受控和可管理的安全管理前提下,實(shí)現(xiàn)對(duì)生產(chǎn)運(yùn)行系統(tǒng)、生產(chǎn)設(shè)備、 生產(chǎn)網(wǎng)絡(luò)、生產(chǎn)機(jī)房、環(huán)境設(shè)施、安全保障和園區(qū)智能化系統(tǒng)的集中控制、維護(hù)、指揮、調(diào)度和管理。端對(duì)端自動(dòng)化不僅將數(shù)據(jù)中心的工作效率提升10倍以上,還 替代易出錯(cuò)的手動(dòng)任務(wù)以及重復(fù)的 IT 資源容量管理任務(wù),加強(qiáng)對(duì)數(shù)據(jù)維護(hù)的審查和審計(jì),提高風(fēng)險(xiǎn)防范能力,有效控制操作風(fēng)險(xiǎn)。同時(shí),將優(yōu)化或新建的管理 流程與工具平臺(tái)整合,在實(shí)現(xiàn)系統(tǒng)監(jiān)控和管理的基礎(chǔ)上,進(jìn)一步完成IT基礎(chǔ)系統(tǒng)與設(shè)施的全生命周期管理。IT基礎(chǔ)設(shè)施的復(fù)雜性已被隱藏起來(lái)并完成自動(dòng)化和優(yōu) 化處理。此外還能通過(guò)服務(wù)管理來(lái)實(shí)現(xiàn)標(biāo)準(zhǔn)化以及策略和流程的自動(dòng)執(zhí)行,以此提高運(yùn)行效率。農(nóng)業(yè)銀行數(shù)據(jù)中心運(yùn)維流程管理如圖2所示。
四、數(shù)據(jù)中心的環(huán)保節(jié)能考慮
一項(xiàng)由國(guó)際正常運(yùn)行時(shí)間協(xié)會(huì)的調(diào)查顯示,在全球大多數(shù)數(shù)據(jù)中心,能耗是主要的運(yùn)維成本,占50%以上,而其 中將近63%的能耗與IT設(shè)備的散熱有關(guān)。農(nóng)業(yè)銀行數(shù)據(jù)中心在規(guī)劃設(shè)計(jì)之初就對(duì)投入的IT設(shè)備的功耗與散熱系統(tǒng)進(jìn)行科學(xué)評(píng)估,并從四方面著手實(shí)現(xiàn)節(jié)能降耗 的目標(biāo)。
首先,貫徹節(jié)能建筑理念。在數(shù)據(jù)中心整體規(guī)劃中,按照不同使用功能進(jìn)行分區(qū),建造獨(dú)立建筑,各功能區(qū)可根據(jù)實(shí)際需要安排能耗及散熱管理。數(shù)據(jù)中心建筑的外 立面均采用玻璃幕墻,在玻璃幕墻外設(shè)置機(jī)械驅(qū)動(dòng)的垂直遮陽(yáng)百葉。百葉以組為單位配備電動(dòng)馬達(dá)和控制單元,可根據(jù)陽(yáng)光的強(qiáng)度或時(shí)間自動(dòng)調(diào)整百葉轉(zhuǎn)動(dòng)的角度, 在兼顧美觀的同時(shí),充分利用自然資源降低能耗。
其次,合理規(guī)劃?rùn)C(jī)房?jī)?nèi)部整體布局。提高制冷效率最有效的辦法是建立更好的冷熱通道。這與機(jī)房的機(jī)柜擺放、布 線、高架地板等機(jī)房整體設(shè)計(jì)密切相關(guān)。機(jī)房采用80CM的高架地板,通過(guò)地板下線槽的走向與機(jī)柜平行,空調(diào)擺設(shè)與機(jī)柜位置垂直。合理的布局大幅降低機(jī)房不 良?xì)饬餮h(huán),通過(guò)控制氣流生成、配送、返回等環(huán)節(jié),實(shí)現(xiàn)散熱的冷/熱通道分區(qū)。在冷通道上機(jī)柜面對(duì)面擺放,熱通道上機(jī)柜背對(duì)背擺放。將制冷系統(tǒng)緊貼機(jī)柜等 熱源,以最大限度減少對(duì)周圍環(huán)境制冷帶來(lái)的能源消耗。
再次,運(yùn)用動(dòng)態(tài)監(jiān)測(cè)、智能調(diào)節(jié)技術(shù)。機(jī)房溫度變化隨工作負(fù)荷的增減動(dòng)態(tài)變化。在機(jī)房?jī)?nèi)部通過(guò)精密制冷系統(tǒng)靈活地調(diào)節(jié)IT微環(huán)境的溫度,由系統(tǒng)自動(dòng)監(jiān)測(cè)機(jī)房 的溫度、濕度是否適宜。通過(guò)動(dòng)態(tài)監(jiān)測(cè),制冷精確到每一個(gè)節(jié)點(diǎn)。為延長(zhǎng)制冷設(shè)備的使用壽命和工作效率,采取制冷系統(tǒng)群組模式,以及群組內(nèi)制冷設(shè)備輪流運(yùn)行的 方式,使機(jī)房熱量管理實(shí)現(xiàn)高效節(jié)能與智能化的“按需調(diào)配”。
最后,提升IT設(shè)備效能比。農(nóng)業(yè)銀行數(shù)據(jù)中心在服務(wù)器、網(wǎng)絡(luò)存儲(chǔ)等IT設(shè)備選型時(shí)將節(jié)能作為重要參考依據(jù)。 目前使用的數(shù)據(jù)中心交換機(jī)每端口的耗電量是22瓦,不足最初萬(wàn)兆網(wǎng)絡(luò)交換機(jī)的20%。此外數(shù)據(jù)中心嘗試用服務(wù)器虛擬化技術(shù)進(jìn)行服務(wù)器整合,把在大量使用率 較低的低端服務(wù)器上運(yùn)行的應(yīng)用程序,合并到少量高端服務(wù)器上,提高服務(wù)器的使用率,降低能耗。同時(shí)為機(jī)房節(jié)約了空間,增加了IT設(shè)備的容量。
