zy7096
作者zy70962018-12-18 15:19
系统架构师, 北京昆仑卓越信息技术有限公司

金融企业云化转型阶段的灾备应用快速部署及持续同步方案设计十大常见问题

字数 7313阅读 5398评论 1赞 7

近些年大数据、云计算、移动互联技术迅速发展,快速交付与灵活扩展的需求强烈增长,传统竖井式的IT基础架构已无法应对新型业务的需求。因此各大企业都在积极推动云化转型,但受制于传统IT基础架构体量,云化转型的步伐显然要沉重缓慢一些,代价也更大。

云化转型在集中计算、存储和网络资源的同时,也带来了风险的集中。金融行业属于国家的经济命脉。对于金融行业,降低风险并建设灾备系统是金融机构业务持续运行的有效措施之一,是维持金融机构业务正常运行的必要技术能力。灾备系统的建设对金融行业提升抵抗各种风险的能力非常重要。

金融企业在此阶段建设灾备系统有利有弊,好的方面是可以利用云计算带来的新技术、新特性解决灾备中的一些关键问题,而不便的地方主要会体现在以下方面:

  1. 建设内容复杂,涉及的应用可能有几百个,而应用虚拟机更可能达到上千个,所以更加需要注意灾备系统建成后,虚拟机承载的应用和数据如何与生产端保持持续同步;
  2. 当前应用服务器根据业务需求,大部分是采用高性能小型机及x86平台两种部署方式,灾备应用服务器需同时满足性能及异构平台兼容性要求;
  3. 公司如果已有云管理平台,新建应用灾备资源池必须可以与云管理平台对接,以满足资源统一管理、批量分配的需求。
  4. 新建灾备资源的业务和数据要具备快速应用部署的能力,支持多种部署模式,包括物理资源灾备和虚拟资源的灾备。
  5. 面临机房空间的使用与能源的消耗增加,需要在成本上做适当考量。

为了解决以上面临的问题,社区邀请北京昆仑卓越信息技术有限公司资深云计算架构师组织生产了《金融企业云化转型阶段的灾备应用快速部署及持续同步方案》,并根据此方案组织了“金融企业基于LinuxONE进行云平台灾备部署和同步方案设计线上交流探讨”,此次活动有十余家金融企业参与进行互动交流,本文将活动中提出的在方案设计时常见的问题进行了汇总。

1、金融企业采用该架构,如何保证内部的安全隔离?

银行传统的互联网架构都是安全纵深非常深的架构模式,采用LinuxONE的话,那么相当于所有的虚拟机都在一个物理设备内,那么它是如何实现内部的安全隔离?如何让客户可信,这个是非常重要的。另外这个架构目前案例怎么样?

回答:uckfeng 系统工程师 , 万达信息

LinuxONE利用专用加密协处理器CP Assist for Cryptographic Function (CPACF)为事务和敏感数据 提供私密性。CPACF 提供加密和哈希功能来支持明文密钥操作。受保护的密钥支持是 CPACF 所独有的特性,提供基于处理器速度的加密,同时帮助确保敏感密钥针对应用程序和操作系统保密。同事还提供加密加速功能 Crypto Express5S,它提供用于安全密钥操作的一流防篡改加密协处理器和支持快速数据加密的新硬件辅助。采用 Crypto Express5S 的 Rockhopper 通过硬件辅助 Elliptic Curve Cryptography (ECC)为受限环境提供非对称密钥支持,ECC 提供的算法实现相似加密强度所需的密钥长度远短于 RSA 密钥。这使得 ECC 加密非常适合可能需要考虑性能局限性的手机和智能卡。LinuxONE是高度安全的商用服务器,采用值得信赖的突破性技术构建。利用 LinuxONE隔离并保护每个 Linux 虚拟服务器,让它们如同运行在物理隔离的服务器中,可以毫无风险地同时运行许多 Linux 虚拟服务器。

回答:panjianzhuang 系统架构师 , IBM

高安全性性恰恰是LinuxONE的天然优势。衡量服务器的安全性,国际上有个通用的安全认证标准,LinuxONE和IBM大型主机是唯一款可以达到EAL5+的硬件产品。运行在LinuxONE上的虚拟机相当于物理机的隔离,非常的安全。在国内外有很多金融用户在用,比如公安、社保、银行和医疗用户等。
http://www.commoncriteriaportal.org/products/

2、LinuxONE能否支持多节点灾备部署?各个站点之间的数据备份方案?

如果未来建设多个灾备中心,最终形成“两地三中心”的备份架构,那么LinuxONE能否支持多个节点部署?各个站点之间的数据备份方案是什么?

回答:uckfeng 系统工程师 , 万达信息

LinuxONE可支持多节点的部署,仅从存储复制亦或者是数据复制方向上来说更多考验的是节点与节点之间的网络、存储链路的延时问题,仅从LinuxONE出发都是支持的,只是好像目前IBM还没有基于LinuxONE的两地三中心的落地项目。

回答:zy7096

我同意您的观点,我们这次的项目未涉及多节点部署。 我们这次用云管理平台纳管了LinuxONE,如果仅仅考虑多节点部署,通过对云管理平台的多region调度就可以实现。

回答:panjianzhuang 系统架构师 , IBM

对于两地三中心的架构,LinuxONE上有很多著名的案例,比如跟我们国内大行争抢宇宙第一大行的富国银行就是采用LinuxONE两地三中心架构。对于两地三中心,一般要看做到那个层面,比如基于存储同城MM异地GM,LinuxONE也是完全支持的;比如基于数据库软件的复制,LinuxONE也是完全支持;另外LinuxONE拥有其他平台不具备一个高级灾备解决方案是GDPS,完全源于IBM大型主机的GDPS,目前国内各大行的核心系统就是采用GDPS切换。

3、在使用LinuxONE作为灾备的方案中,对于兼容性是如何考虑的?

即LinuxONE作为云平台灾备方案时,是否对于生产环境的软硬件设备有兼容性的要求,是否需要在某些特定版本下才能实现该方案?

回答:zy7096 系统架构师 , 北京昆仑卓越信息技术有限公司

LinuxONE平台的操作系统和平台软件都是专用的,确实需要考虑兼容性问题,但目前已有较多主流操作系统、平台软件有对应的LinuxONE平台版本,具体如下:
操作系统:
主流三家商用Linux系统发布版本,SuSE,Redhat,Ubuntu都支持LinuxONE。
其他社区版本Linux,如CentOS(Clefos),Debian等也都支持LinuxONE
商用数据库:
Oracle的数据库全面支持LinuxONE。
DB2及Informix也都支持LinuxONE
商用中间件:
Oracle公司的weblogic,tuxedo等均支持LinuxONE
IBM的WAS也支持LinuxONE
包括SAP,Mirco Focus等公司的产品都支持LinuxONE
开源软件:
mysql,mariaDB,postgreSQL,Redis,ELK等都支持LinuxONE
常用开源软件在下面wiki有介绍:
https://github.com/linux-on-ibm-z/docs/wiki

回答:panjianzhuang 系统架构师 , IBM

首先从Linux操作系统看,LinuxONE支持所有主流的Linux版本,因此操作系统一般不会有问题。对于主流的商用或开源数据库,一般数据库厂家已经做了非常好的跨平台互相兼容。对于应用来说,一些中间件,如WAS、Weblogic等都有非常良好的跨平台支持。因此对于软硬件设备有兼容性的要求,一般不需要关注特别的版本。

回答:uckfeng 系统工程师 , 万达信息

对于应用而言相相对来说兼容性好些,数据库就对于异构的灾备环境而言就比较复杂了,采用类似OGG或着其他异构数据复制软件对于实际异构灾备的环境而言灾备恢复过程相对复杂且日常运维投入人力较大。

4、灾备资源池使用LinuxONE进行建设,那么如何保证灾备资源池和生产资源池的兼容性?

回答:zy7096 系统架构师 , 北京昆仑卓越信息技术有限公司

我们这次的背景案例中,LinuxONE是作为灾备应用资源池来使用的。用户的应用中间件主要是weblogic,weblogic是有LinuxONE平台对应版本的。我们在前期对应用跨平台部署及使用做了充分测试,测试结果证明对于weblogic来说,保证版本一致的前提下,跨平台部署是没有兼容性问题的。
wanggeng追问:
你们这个方案是做应用资源池来使用,只要保证应用中间件平台版本一致性,这样兼容就没有问题是吧。那如果版本不一致,能做跨平台兼容么?
zy7096回复:
版本不一致的问题我们在测试中也遇到过,实际结果是部分应用程序可以对跨度较小的版本中兼容使用,这更多取决于应用程序本身,生产环境不建议考虑跨版本使用。

5、使用基于LinuxONE的灾备方案,具体采用的数据复制技术是什么?

灾备系统的建设,最关键的问题就是如何同步生产和灾备端的数据。那么基于LinuxONE的灾备方案,生产资源池和灾备资源池的数据同步依靠的是哪些数据复制技术,在可靠性上如何保障?是采用数据同步还是异步的复制技术?

回答:zy7096 系统架构师 , 北京昆仑卓越信息技术有限公司

本次LinuxONE在灾备项目中,是作为应用资源池。因此不涉及到数据复制问题。
LinuxONE无内置硬盘,必须使用SAN存储。在本次实施过程中,我们也测试了一下在LinuxONE上使用存储复制技术的情况。
在这次项目中,SAN存储环境使用了SVC,数据复制是通过SVC的复制技术从生产中心复制到灾备中心。我们测试在LinuxONE上对这些复制技术都是支持的。

回答:uckfeng 系统工程师 , 万达信息

如生产和灾备都采用了LinuxONE的整体解决方案,则不管从存储底层的硬件复制还是数据库复制均可以实现灾备的数据复制。

6、其他环境向LinuxONE如何迁移?

现有环境下,安装在物理机和虚拟机上的系统,如何向LinuxONE进行迁移?需要注意哪些事项?特别是兼容性方面需要注意哪些问题?

回答:zy7096 系统架构师 , 北京昆仑卓越信息技术有限公司

LinuxONE支持各类主流的Linux操作系统主要版本,如:Redhat、Suse、Ubuntu,太老的版本可能不支持。LinuxONE平台的软件和x86平台的不通用,很多商业软件均有对应的LinuxONE版,迁移前最重要是确认x86上的应用软件是否有对应的LinuxONE平台版本。
在我们这次的实际项目中,用户原有应用很多是跑在weblogic中间件上的,Weblogic官方是有LinuxONE平台版本的。在实际测试时,保证LinuxONE平台的weblogic+jdk和x86的weblogic+jdk大版本一致,基本不存在兼容性问题。

回答:panjianzhuang 系统架构师 , IBM

对于考虑现有环境迁移到LinuxONE环境,一般先看操作系统,如果是Window系统则不能兼容,如果是Linux系统则兼容性非常好,因为Linux就是Linux,LinuxONE平台的Linux和其他平台的Linux并无差异。再则从数据库角度看,主流的Oracle、DB2、Informix和开源的Mysql、Redis和PosgreSQL完全没有问题,SQL server 2007 for Linux目前暂不支持LinuxONE。如果要迁移应用角度看,对于解释性语言,如JS、Nodejs等可以直接运行,对于编译性语言,一类是JAVA可以快速的迁移、拿来即可以用,另一类如C、C++等跟平台有紧密关联的程序语言,需要重新编译即可运行。

回答:uckfeng 系统工程师 , 万达信息

LinuxONE不会像vmware或者hyperv可提供类似converter或者hdisk2vhd等虚拟化迁移工具,但是只要是基于linux的应用及数据库软件基本可以直接在LinuxONE上重新部署,应用大部分可以直接部署使用,数据库则可能需要通过导入导出的方式进行恢复。希望IBM后续可以推出类似的迁移工具,方便LinuxONE用户进行系统迁移。

7、LinuxONE支持哪些系统软件?必须专用么?

回答:zy7096 系统架构师 , 北京昆仑卓越信息技术有限公司

LinuxONE平台操作系统、系统软件都是专用的,从IBM官方及wiki等网站获取的一些主要信息如下:
1999年,IBM发布针对Linux2.2.13内核的补丁,使得Linux可以运行在zSystems上。接近20年的历史,使得LinuxONE上有成熟的生态系统。
操作系统:
主流三家商用Linux系统发布版本,SuSE,Redhat,Ubuntu都支持LinuxONE。
其他社区版本Linux,如CentOS(Clefos),Debian等也都支持LinuxONE
商用数据库:
Oracle的数据库全面支持LinuxONE。
DB2及Informix也都支持LinuxONE
商用中间件:
Oracle公司的weblogic,tuxedo等均支持LinuxONE
IBM的WAS也支持LinuxONE
包括SAP,Mirco Focus等公司的产品都支持LinuxONE
开源软件:
mysql,mariaDB,postgreSQL,Redis,ELK等都支持LinuxONE
常用开源软件在下面wiki有介绍:
https://github.com/linux-on-ibm-z/docs/wiki

回答:panjianzhuang 系统架构师 , IBM

IBM LinuxONE走的是开源开放的战略定位,LinuxONE的生态非常的好,不仅支持所有的主流Linux操作系统(包括redhat、suse、unbuntu和centos,以及国内的红旗等),也支持所有主流的数据库(如oracle、DB2、informix,mysql等等),LinuxONE支持商用和开源的应用超过3000多个。

8、如何实现在LinuxONE环境下的数据监控?

现在很多银行都在做实施数据分析,通过监控各主机间的数据流量进行业务量监控分析或者通过监控TCP包进行故障分析、瓶颈排查、安全防范等事宜。在LinuxONE环境下,如何监控部署在平台内部各虚拟机之间的数据流量?

回答:zy7096 系统架构师 , 北京昆仑卓越信息技术有限公司

LinuxONE支持nmon工具,也支持一些商用监控软件,如IBM APM(ITM的最新版本)。通过这样成熟的工具或软件可以全面的收集LinuxONE环境的性能、状态监控指标,APM平台本身也提供数据分析的能力,也可以将数据提供给第三方平台进行流量分析或实时数据分析。
zy7096
补充一点,LinuxONE还支持ELK,可以进行更精准、更个性化的数据监控及采集。

回答:TonyWang 系统工程师 , BY

我们用的Zabbix,使用源码安装zabbix agent,然后模板用自带Linux模板即可。
其他监控需求,可以通过自定义监控项,编写脚本实现。
日志监控需求看楼上说ELK可以实现,但我们当时没找到合适的logstash安装包。

9、金融企业云化基础架构时,云平台应该如何选型?

现在不同厂商在推动云化基础设施时,有很多云管平台可供选择。方案中提到的云管平台是LinuxONE提供的吗?各项性能指标如何?希望能获得专家有关云管平台一些比较和推荐的意见。

回答: zy7096 系统架构师 , 北京昆仑卓越信息技术有限公司

云管理平台是采用我们合作伙伴的,基于Openstack的IaaS云管理平台。采用Openstack架构的好处是可以无缝对接目前绝大多数虚拟化技术,包括LinuxONE平台的kvm/zvm。在金融企业现网环境中,有很多商业虚拟化产品,采用openstack架构可以实现对原有商业化虚拟化平台的统一纳管,可以很好的利旧原有资源。
在性能方面,主要取决于被纳管的平台本身,LinuxONE自身性能非常强大,我们用云管理平台对接以后,基于云平台的虚拟机批量创建能力,可以在几分钟内批量创建出上百台虚拟机。

10、LinuxONE中部署的虚拟机迁移问题?

LinuxONE中部署的虚拟机是否支持HA及跨中心的迁移?
虚拟机可否迁移至x86平台上的虚拟化环境中?
p2v到LinuxONE上能不能实现?

回答:panjianzhuang 系统架构师 , IBM

LinuxONE是虚拟化技术的鼻祖,LinuxONE的虚拟化技术最为成熟,X86和小型机的虚拟化技术都是源于LinuxONE。LinuxONE无须借助于任何虚拟化软件,既可以做最多85个分区(或跑85个系统),如果采用z/VM虚拟化技术,运行的虚机个数没有限制,z/VM可以支持4个节点做成操作系统耦合集群z/VM SSI,这4个节点可以部署在不同的LPAR分区上,也可以部署在4台不同的LinuxONE机器上。z/VM SSI上的虚机可以在集群上任意飘移。除了z/VM自身的虚拟化技术以外,还可以借助于HA软件,比如TSAMP或LinuxHA等做到虚机的HA切换。跨数据中心的虚机迁移,更多是灾备或双活或多活的场景,理论上z/VM SSI可以做到跨数据中心部署,但是是否这样设计方案,还需要考虑两点之间的距离和性能等因素。X86平台的虚拟机是否可以迁移到LinuxONE,这个要从虚拟机的操作系统来看,如果是运行Linux系统,比如redhat、SUSE、Ubuntu或开源社区里的CentOS等,可以无缝的迁移,如果虚拟机是window系统,目前不能支持。LinuxONE天生架构就是为虚拟化而设计,Physical to virtual 根本不是问题。

回答:uckfeng 系统工程师 , 万达信息

毕竟LinuxONE传统的X86平台还是属于异构环境,所以数据库迁移可以采用多种数据备份、异构数据复制等手段,而应用泽科通过简单的重新部署完成。


更多相关金融企业基于LinuxONE进行云平台灾备部署和同步方案设计线上交流探讨问题查看,可以点击阅读:http://www.talkwithtrend.com/Activity/index/op/question/id/1329

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

7

添加新评论1 条评论

michael1983michael1983技术总监, 某证券
2019-01-15 18:40
非常精彩,认真学习
Ctrl+Enter 发表

本文隶属于专栏

活动总结
活动总结是社区交流活动内容的总结及延伸,为大家提供了社区专家们丰富且高水平的理论知识、实践经验以及常见问题的最佳解决方法,非常值得大家收藏学习。

作者其他文章

相关文章

相关问题

相关资料

X社区推广