企业在不同时期增加的系统设备以及基于不同平台的各种应用系统带来管理、安全、兼容性等问题,导致IT支持的可用性降低、 能耗偏高、管理困难。一个能够解决成本、效能、安全、管理等问题的数据中心,逐渐成为中国金融企业的必然选择。本文以农业银行数据中心建设实例为参考,探 讨新一代数据中心建设的相关技术及管理问题。 一、数据中心的技术架构设计与实施 网络技 术体系结构定义了数据中心信息系统的技术环境和基础结构。数据中心的各种IT资源数量庞大、管理复杂,因此必须通过具前瞻性及经过实践的IT构建策略,采 用先进的产品技术,以动态、优化的基础架构改变落后、低效的资源管理,最大化利用资源,提高业务系统的效率和灵活性。农行数据中心利用模块化设计思路,采 用网络分区、功能分层、应用分级的设计方法,实现数据中心逻辑功能的模块分区设计。标准化数据中心架构层次清晰,实现了数据中心高可靠、高性能、易管理、 易扩展的目标。网络分区包括生产业务区、运行管理区、生产外联区、广域网接入区、OA接入区、上线前测试区、MIS服务区等。功能分层包含核心层、分布 层、接入层。应用分级为Web服务器级、APP服务器级、DB服务器级。数据中心网络技术体系结构如图1所示。 主机系统是金融业务处理的核心资源,也是数据中心风险的集中点。农业银行核心业务系统主机采用先进的并行耦合系统、中间 件耦合系统、数据库共享以及高可用集群、负载均衡等智能化技术,构成高效率、高稳定性、高可靠性的生产环境。生产运行主机系统架构设计实施N+1冗余,系 统存储采用对等远程拷贝(PPRC/HYPESWAP)和扩展远程拷贝(XRC)技术架构,通过远程数据复制技术实现实时数据传输。同时引进下一代主机存 储,应用存储硬件PAV技术,解决运行规模增长带来的容量问题。 业务系统体系结构采用结构化设计方法,充 分考虑统一、开放、灵活的需求,实现在业务战略和技术规划之间的平滑连接,快速响应业务变化的需求。农业银行业务系统由运行在大型机的核心业务系统、贷记 卡系统和运行在开放平台的现金管理平台、投资业务平台等40多个应用系统组成。核心业务系统采用面向服务架构(SOA),通过构建企业服务总 线 (ESB)的标准化接口来完成集成的面向服务的应用整合及信息交换体系。同时,多系统同步并进,统一应用运行框架、开发模型和工具,涵盖现代商业银行 业务经营管理方面的应用数据项,经过架构整合和性能升级,最终形成一套以核心业务系统为主体,统一、规范、开放、灵活的业务大集成系统。
二、数据中心的安全体系建设 数据中心的建立不仅对金融业务创新和发展提供了有力保障,同时也为金融业务操作风险的有效控制创造了条件。 1.建立风险防控责任体系 农业银行数据中心按照“覆盖数据中心所有业务和岗位、制度健全、责任到位、监督有效、考核严格”的要求,建 立“操作落实到人,布置落实到组,检查落实到处,监督落实到安全部门,考评落实到数据中心”的风险防控五级责任体系,将安全生产责任落实到人、落实到岗。 并且建立起从风险识别、评估、处置、控制和事件反应的管理流程,实现全面的风险管理。 2.建设多层次安全技术平台 平台横向涵盖系统、网络、通信、数据和管理安全;纵向跨越风险预防、监控预警、应急处理、灾难恢复;同时覆 盖数据中心边界防护、生产与办公分区互联边界防护、分区内细化安全控制、网上银行Internet出口安全防护、流量清洗、办公网Internet出口安 全防护和终端准入控制等。搭设隔离区(DMZ),把所有对外部访问的服务器和网络设备都放入该区域,通过外部防火墙和内部防火墙有策略地隔离。将核心交换 服务器通过交换机单独划分为一个区域,不同的局域网只能访问和自己工作相关的网络。严格控制内部网络访问,并通过多种方式实现防计算机病毒传播、未授权访 问、DDoS攻击等内部网络安全隐患。防病毒系统与桌面安全管理系统对接整合为一套服务台界面向终端用户提供安全技术支持服务,实现数据中心全局智能端到 端的安全防护。 3.加强生产运行灾备建设
数据中心IT技术体系架构主要包含网络技术体系、主机系统体系、业务系统体系。
金融数据中心与灾备中心的运行环境和数据环境采用同步备份机制,确保备份实时有效。在生产中心和灾难备份中心之间制订包括 备份恢复方案和切换流程在内的业务连续性计划,定期组织演练,保障业务持续运行。
4.完善实体安全建设
数据中心对机房环境、主机系统、数据存储等实体安全管理非常重视。一是采用分级安全区域管理,生产与工作区 域严格分开,不同安全区域只有具备相应安全级别的人经过身份识别才能进入。二是在涉及机房承重加固、电力、空调、消防等方面通过采用先进的监控系统和技术 防范措施,全面控制风险。如机房采用分层布置的主动式及早期火灾探测系统和气体灭火系统,在核心区域采用生物技术的掌纹仪、防尾随门和双人审核系统等。三 是通过高冗余设计,保障链路安全可用。所有链路包括供电、通讯、网络均采用冗余设计,且每条链路均从不同的供应商引入。四是完善应急预案,加强演练。农业 银行数据中心组织了多次内部和与武警合作的消防演练,开展了与公安110的报警响应演练。
三、数据中心的管理体系建设
农业银行数据中心的建设规模、环境条件和硬件设施都达到业内领先水平,但大集中后的数据中心通常面临规模与 管理水平、管理手段不对等的问题,怎样更好更有效率地管理好数据中心;如何降低管理风险,消除管理盲区,成为数据中心管理者思考的重点。为全面提升IT服 务管理能力,农业银行数据中心初步建立起以ISO20000标准为框架,符合ITIL“最佳实践”的IT服务管理体系。借助自动化管理工具,监控IT服务 的运行状况,建立健全标准流程,建立适当的人力资源管理机制,确保员工能够持续胜任所分配的工作和职责,将技术、流程、人员三者有效结合,为客户交付高质 量的服务。
农业银行数据中心优化和新建了一系列相互关联的服务管理过程,识别过程之间的关系和其在组织内的应用,制订 服务管理的方针目标和控制措施。主要分为服务支持和服务交付两大部分。服务支持涉及数据中心日常生产运行工作中经常用到的内容,如事件管理、问题管理、配 置管理、变更管理和发布管理等。服务交付过程定义了服务的长期计划和改进,更具战略意义,包括服务级别管理、可用性管理、服务连续性管理、信息安全管理、 容量管理以及IT服务的财务管理。通过实施ISO20000,改变传统惯性思维模式,改造各项工作流程,从传统的“救火”型向“量体裁衣”预防型转变。完 善了以服务为核心的管理流程和报告体系,建立起以安全生产为核心的生产运行长效机制。通过建立PDCA改进机制,持续提高IT服务管理水平,满足银行业务 发展要求,提升客户满意度。
在此基础上,数据中心积极运用、推进生产运行自动化、信息化,全面提升数据中心自动化管理水平,有效防控运行风险,保障安 全生产。通过中央控制中心(ECC)和逐步建设的运行集中监控、操作管理平台,在用户权限受控和可管理的安全管理前提下,实现对生产运行系统、生产设备、 生产网络、生产机房、环境设施、安全保障和园区智能化系统的集中控制、维护、指挥、调度和管理。端对端自动化不仅将数据中心的工作效率提升10倍以上,还 替代易出错的手动任务以及重复的 IT 资源容量管理任务,加强对数据维护的审查和审计,提高风险防范能力,有效控制操作风险。同时,将优化或新建的管理 流程与工具平台整合,在实现系统监控和管理的基础上,进一步完成IT基础系统与设施的全生命周期管理。IT基础设施的复杂性已被隐藏起来并完成自动化和优 化处理。此外还能通过服务管理来实现标准化以及策略和流程的自动执行,以此提高运行效率。农业银行数据中心运维流程管理如图2所示。
四、数据中心的环保节能考虑
一项由国际正常运行时间协会的调查显示,在全球大多数数据中心,能耗是主要的运维成本,占50%以上,而其 中将近63%的能耗与IT设备的散热有关。农业银行数据中心在规划设计之初就对投入的IT设备的功耗与散热系统进行科学评估,并从四方面着手实现节能降耗 的目标。
首先,贯彻节能建筑理念。在数据中心整体规划中,按照不同使用功能进行分区,建造独立建筑,各功能区可根据实际需要安排能耗及散热管理。数据中心建筑的外 立面均采用玻璃幕墙,在玻璃幕墙外设置机械驱动的垂直遮阳百叶。百叶以组为单位配备电动马达和控制单元,可根据阳光的强度或时间自动调整百叶转动的角度, 在兼顾美观的同时,充分利用自然资源降低能耗。
其次,合理规划机房内部整体布局。提高制冷效率最有效的办法是建立更好的冷热通道。这与机房的机柜摆放、布 线、高架地板等机房整体设计密切相关。机房采用80CM的高架地板,通过地板下线槽的走向与机柜平行,空调摆设与机柜位置垂直。合理的布局大幅降低机房不 良气流循环,通过控制气流生成、配送、返回等环节,实现散热的冷/热通道分区。在冷通道上机柜面对面摆放,热通道上机柜背对背摆放。将制冷系统紧贴机柜等 热源,以最大限度减少对周围环境制冷带来的能源消耗。
再次,运用动态监测、智能调节技术。机房温度变化随工作负荷的增减动态变化。在机房内部通过精密制冷系统灵活地调节IT微环境的温度,由系统自动监测机房 的温度、湿度是否适宜。通过动态监测,制冷精确到每一个节点。为延长制冷设备的使用寿命和工作效率,采取制冷系统群组模式,以及群组内制冷设备轮流运行的 方式,使机房热量管理实现高效节能与智能化的“按需调配”。
最后,提升IT设备效能比。农业银行数据中心在服务器、网络存储等IT设备选型时将节能作为重要参考依据。 目前使用的数据中心交换机每端口的耗电量是22瓦,不足最初万兆网络交换机的20%。此外数据中心尝试用服务器虚拟化技术进行服务器整合,把在大量使用率 较低的低端服务器上运行的应用程序,合并到少量高端服务器上,提高服务器的使用率,降低能耗。同时为机房节约了空间,增加了IT设备的容量。