清华大学运行服务 体系的建设和实践 - eolfree.eol.cn/edu_net/down/tsinghuatec.pdf ·...
TRANSCRIPT
提 纲
运行服务体系的提出运行服务体系的建设内容清华大学运行服务体系的建设情况经验与体会
运行服务体系的演变
运行服务体系是随着信息化建设不断深入而出现的。根据信息化建设的阶段性,不同的阶段关注点也各不相同:1、网络管理2、应用系统管理3、数据中心4、运行服务
运行服务的几个阶段
1、网络管理为主的阶段出现计算机的时候,就存在着对机器的运行管理。
– 在校园网未建成之前,以单机版的应用为主时期,运行服务主要针对系统管理和简单的应用管理。
– 在校园网建设初期,有部分C/S模式的应用,运行服务主要包括系统管理、网络管理和简单的应用管理。
运行服务的几个阶段
2、应用管理为主的阶段96年之后,在基本完成了校园网建设以后,互联网已经逐渐普及,各高校基于网络服务的应用也逐渐增多。例如:办公自动化系统、教务管理、财务管理等。但是管理的模式基本上是各自独立,每套系统从开发、运行、维护都各自独立,没有关联,形成信息孤岛。
运行服务的几个阶段
3、校园数据中心数字校园概念的提出,对高校信息化的建设提出更高的要求,也为校园数据中心的出现奠定了基础。互联网数据中心(IDC)的发展历程,为校园数据中心的产生提供了大量可借鉴的经验。
2001年之后,清华大学开始了在校园数据中心建设的探索。
运行服务的几个阶段
校园数据中心的主要作用:1. 整合资源,减少学校在运行环境、维护人员等方面的重复投资
2. 集中负责系统的运行与维护,提高系统的可用性、可靠性及安全性
3. 数据集中存放与管理,是数据共享与交换的集散地,利于系统的整合和信息的整合
运行服务体系的几个阶段
4、运行服务体系
由建设为主转变为以建设与运行并重的阶段
为用户提供高质量的服务,保证学校的教学、管理工作有序进行。
用户:全校师生、学校的管理部门
以用户为中心,以应用管理为线索,以数据管理为目标
运行服务体系的在数字校园中的位置
URP门户(应用聚集展现、个人桌面定制、单点登录漫游等)
应用支撑系统(网络管理系统、目录服务系统、域名服务系统、网上支付系统等)
管理信息系统
教务科研财务人力资源设备资产档案
┇
硬件基础设施(计算机系统、校园网络、数据中心等)
i-Office系统
i-办公i-文档i-空间
┇
网络教学
素材课件题库平台
┇
数字图书馆
期刊书籍论文库
┇
网络服务
电子邮件主页发布IP电话视频会议社区服务决策支持
┇
URP公共平台(应用管理、用户管理与认证、权限管理、数据交换、信息发布 等)
用户(个人与部门)
URP应用
网络安全体系
运行服务体系
运行服务体系的架构
提 纲
运行服务体系的提出运行服务体系的建设内容清华大学运行服务体系的建设情况经验与体会
运行服务体系的建设内容1、 数据中心建设运行环境
高可靠的网络
合理的服务器架构
数据库及数据管理
应用管理
安全防护体系
容灾备份
2、用户服务及技术支持3、 规章制度建设4、 队伍建设
数据中心的建设——运行环境
防尘、防静电的环境
可靠的电力保证
适宜的温度和湿度
消防系统
门禁与监控
布线
运行环境建设(续)
参考的标准:
《电子计算机机房设计规范》(GB50174-93)
《计算站场地技术要求》(GB2887-89)
《计算站场地安全技术》(GB9361-88)
《计算机机房用活动地板的技术要求》(GB6650-86)
《电子计算机机房施工及验收规范》(SJ/T30003)
《电气装置安装工程接地装置施工及验收规范》(GB50169-92);
中国工程建设标准化协会标准-建筑与建筑群综合布线系统工程设计规范CECS72:95
数据中心网络建设
冗余的网络设计,保证网络的畅通无阻
加强网络监控,及时发现问题
关键部门设置专线,保证数据传输的完整性
服务器架构
服务器系统必须从整体上规划,根据应用的需求合理布局,切忌一个应用系统一套服务器系统,这样很不利于资源的优化配置,既不好管理,又不能实现资源的共享,浪费有限的经费。
服务器架构要根据自己学校的特点,尽量采用目前比较流行的体系架构。
服务器系统高可用性,根据应用的需求而定。
服务器系统的扩展性要考虑应用的发展需求。
开发、测试、正式运行三条线要分开,不要在运行环境开发、测试程序。
数据库及数据管理
数据中心的数据库不是简单的数据堆积,应该提供高效的数据存储、合理的布局,规范各应用系统的数据交换和共享,保证数据的可靠性。
数据库合理布局的实施,与数据标准的制定有着密切的关系
应用管理
应用的部署应用的版本管理公共平台的应用管理:门户、身份认证等
安全防护体系
建立行之有效的防范体系,是需要考虑运行的各个环节的。安全防范不仅仅是数据中心的事情,用户使用的安全也应纳入到安全防范体系中。安全防范工作应考虑事后追查的有效手段;需要制定紧急问题的处理机制。
安全防护体系内容网络安全:防攻击、防窃密、防监听
合理架设防火墙
主机安全:物理安全、防入侵
要定期清理用户、修改密码、安装补丁程序、停止不必要的服务等
应用安全:防伪造、防攻击
数据安全:防止数据丢失、破坏,保证信息的可用性和可靠性
办公环境的安全:防病毒、防攻击、安全知识培训
安全审计:事后追查的有效手段
入侵监测
成立紧急问题相应小组
容灾及备份
备份系统与要求的恢复时间紧密相关,无论多么先进的备份系统,一定要有针对各种情况的恢复步骤,已备不时之需。
容灾是发展到一定阶段以后的考虑,也可以分级别进行
备份及容灾的方式及环节
设备的备份
冷备、热备
数据的备份:文件数据
应用的备份:运行环境的备份
数据库的备份
逻辑备份、物理备份、在线备份
容灾
数据级容灾、应用级容灾
用户服务与技术支持
用户服务:– 面向全校师生,帮助用户解决其在使用过程中遇到的问题
技术支持面向部门用户,解决用户在使用中的问题,并进行数据检查、恢复的工作
规章制度的建设
完善的管理制度是运行管理的保障。规章制度包括三方面:管理规范、技术规范、操作手册
管理规范:管理规范是从规范管理员行为出发的各种制度、规定、办法与奖惩措施 、岗位职责等
技术规范:是规范技术人员在运行维护过程中各种行为的规定、规范与工作流程
操作手册:指导用户使用各种网络与信息系统的操作指南与用户手册,如《信息门户使用指南》、《网络学堂用户手册》、《学生选课指南》等等
队伍建设
无论多么先进的设备和技术,如果没有人进行管理是不能很好的发挥作用的。因此数据中心在建设初期就必须考虑队伍建设问题。
在队伍建设中,要注意建立整个团队的服务意识。只有优良的服务,才能使所有的应用更好的发挥作用。服务不仅仅是态度,更重要的是要有雄厚的技术做后盾。因此应建立一支有层次的队伍。
提 纲
运行服务体系的提出运行服务体系的建设内容清华大学运行服务体系的建设情况经验与体会
数字校园建设的概况
进入了建设与运行并重的阶段我们有自己的研发队伍,已经形成研发、运行两条相对独立的线目前已运行了近40多个应用系统:包括:教务系统、办公系统、财务系统、网络教学等
数据中心运行环境的建设情况
机房面积:240平方米电力保障:80KVA的UPS, 分闸到机柜空调系统:共有4台总计35P的空调消防系统:气体灭火门禁与监控:设置了门禁,并有摄像监控设有操作间和测试间设有集中的kvm系统
清华大学的数据中心机房
清华大学的数据中心机房
清华大学的数据中心网络设备
清华大学的数据中心的UPS
清华大学的数据中心的调试间
清华大学的数据中心的操作间
清华大学的服务器架构说明
服务器:以SUN、PC服务器为主,数据中心共有近百台服务器
操作系统:Solaris linux Windows结构:四层结构门户/ web/App/DB,应用按照运行系统及软件需求不同进行合并
备用机:分组设置,每组有一台备用机
高可用:数据库服务器采用HA架构,其他服务器正准备采用负载均衡;
设置开发、测试、试运行、正式运行环境
校 园网
身 份 认证
S UN 15 0 00
视频 服 务器 课 件 服务 器
身份 认证 备 份门户 服 务器 组
用 户
W E B服务 器 组
应用 服务 器 组
数 据 库服 务器 组
办 公 自动 化服 务器 组
磁带 库自 动 备份 系 统
N A S
清 华 大 学 数 据 中 心服 务 器 系 统 结 构 示 意 图
内 网
数据中心网络建设
数据库管理工作的介绍
数据库:ORACLE 8I分类应用数据库:教务库、非教务库、交换库
正在进行的工作:
数据审计
数据整合
数据交换的研究
清华大学的安全防范体系介绍
以数据中心为核心的校园网网络安全防范体系。
数据中心内存放了大量的关键数据,与各个业务部门之间的有着频繁的重要通讯,我们必须充分考虑到数据中心在整个校园网网络安全防范体系中的核心辐射作用。网络是为信息应用系统服务的,信息应用系统的安全无疑应该是校园网网络安全防范体系考虑的重点,因此清华大学校园网网络安全体系的架构应该以数据中心为核心、辐射到全校重要业务部门。数据中心不仅是整个校园网的信息枢纽,还应该成为校园网的安全枢纽
以数据中心为核心的校园网网络安全防范体系
校园网
其它数据分中心
计算中心局域网
数据分中心(图书馆)
入侵监测系统
防火墙VPN
防火墙VPN Server
防火墙VPN
数据分中心(网络中心)
防火墙VPN
防火墙VPN
认证服务器
数据中心(计算中心)
教务服务器群
信息发布服务器群
病毒控管中心
关键业务部门
业务流、加密数据通道
校园数据中心网络安全防范体系示意图
安全策略
防火墙技术
入侵检测
安全审计
其它单元安全技术
安
全
管
理
安
全
培
训
安全策略
安全策略是一个成功的网络安全体系的基础与核心。安全策略描述了校园数据中心的安全目标(包括近期目标和长期目标),能够承受的安全风险,保护对象的安全优先级等方面的内容。面对复杂的环境和较少的经费,2001年数据中心初建时,我们制定了符合实际的安全策略。比如明确了安全体系的近期目标是保证所有的机器都必须设防,能够抵御一般水平的黑客进攻;远期目标是实现完善的安全审计和取证机制,保证受到入侵后有证可查,鉴于大多数安全事件来自于管理员的误操作,审计在明确事故责任上也能发挥重大作用;长期目标是建立安全预警系统,能够抵御较高水平的黑客攻击。明确了数据中心内服务器的安全优先级等。
校园数据中心安全工具和安全技术的部署
千兆防火墙 /VPN
Web服务器(网站防篡改系统)
邮件服务器
应用服务器
DMZ区
加密网络通道
主机网络安全
认证服务器
应用服务器
主机网络安全
应用服务器群
数据库服务器
主机网络安全
数据库服务器
主机网络安全
数据库服务器群
安全日志及审计服务器
本机防火墙
主机网络安全
二级防火墙
三级防火墙
入侵检测
安全互动
本机防火墙
主机网络安全
本机防火墙
主机网络安全
校园网
主机网络安全
OA服务器
OA服务器群
二级防火墙
病毒控管中心
系统管理员为中心的安全管理制度
系统管理员负责服务器的日常安全管理
紧急事件相应小组负责处理突发事件
安全管理员负责安全动态、安全技术跟踪
跟踪操作系统、应用软件的补丁
给系统打补丁,并纪录
有安全补丁发布
有紧急事件发生
应用新工具,对服务器进行安全加固
安全培训
最终用户的安全意识是信息系统是否安全的决定因素,因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分,特别是在目前病毒泛滥的大环境下,通过定期培训、及时发放病毒警告通知、敦促大家打补丁等方法,增强所有教职员工的安全意识、提高他们的安全技能。
安全培训
为校机关的工作人员进行安全培训
协同校办制定校机关信息安全的规章制度
加强对管理员的用机的管理及安全培训,制定了装机流程,保证工作环境的安全性。
备份
数据备份:
使用几台NAS设备保存数据中心内所有运行软件的配置文件、应用程序及配置文件、搭建运行环境的说明文档、数据文件,数据库的逻辑备份
数据库备份
-物理备份与逻辑备份相结合
-使用备份软件Legato对数据库进行再线备份-备份数据存放在磁盘上服务器的备份机
-数据库服务器采用HA结构
-服务器按组划分,每组设一台冷备服务器
校园内异地容灾
在图书馆存放了一台NAS设备
保存数据中心内所有运行软件的配置文件、应用程序及配
置文件、搭建运行环境的说明文档、数据文件,数据库的逻辑备份
正在进行校园内异地容灾的方案设计
应用管理
对现有的应用进行了分类,共分为8大类别,管理粒度到应用模块
建立了应用上线的工作流程,逐步规范应用管理,加强对应用的测试工作,保证应用系统的稳定性。
建立了版本管理平台,保证版本的唯一性
用户服务及技术支持
用户服务中心,面向全校的师生,接待用户来访及电话。
2004年共接待了用户5000多人次,处理电话6500多个,处理邮件300封左右。
用户服务
用户服务中心,面向全校的师生,接待用户来访及电话。
2004年共接待了用户5000多人次,处理电话6500多个,处理邮件300封左右。
技术支持
技术支持面向部门用户,负责启动运行服务对全校各类活动的组织协调工作
几类重大的活动如下:
注册、选课、退课、迎新、离校、奖助贷系统、网上教学评估等,所有活动贯穿了全年的不同时期
技术支持负责解答用户在使用过程中的问题,定期将用户的意见反馈给研发。对部门用户提供一个接入点。
运行服务的管理
规范化管理:详细的工作规范和流程、维护记录、定期讨论、监督落实
管理思路逐步转变为以应用为主线,将各块工作统一管理,避免铁路警察各管一段的现象。
建立通畅的反馈机制,使研发、客户服务、运行形成良性循环
运行服务的管理
建设者
用户服务中心
数据中心用户
监督者
测试环境
建设实施
运行环境
提交测试验收
反馈测试验收意见
测试验收
反馈用户需求意见
监督用户服务质量
提供用户使用 维护运行环境
指导用户使用
负责后台支持
提交运行割接
确定投入运行
建设
运行
队伍建设
人员:共有15人
博士:1人 硕士:7人
用户服务及技术支持:6人
数据中心:8人
队伍建设
提出了工作角色的概念,将校园数据中心的维护工作划分为多种角色,不同的角色承担不同的工作。具体的划分为:系统管理角色、数据库管理角色、网络管理角色、安全管理角色、备份管理角色、应用管理角色、机房管理角色和客户技术支持角色等。
队伍建设
初级系统管理角色
中级系统管理角色
高级系统管理角色
安全管理角色
网络管理角色
数据库管理角色
管理员A 管理员B
正在进行的工作
调整存储模式,建立集中存储,为服务器结构的调整奠定基础,同时也为了简化数据备份工作的复杂性,提高运行系统的可用性
建立无单点故障的运行环境,提供稳定的运行服务:
今后工作的展望
– 建立服务级别:对不同的用户采用不同的处理方式
– 加强变化管理、问题管理:运行服务体系已经成为一个整体,每一个环节的变化都会影响运行服务的最终效果。
– 加强应用安全、信息安全的管理:保证信息的可靠性和可用性
提 纲
运行服务体系的提出运行服务体系的建设内容清华大学运行服务体系的建设情况经验与体会
一些工作经验和体会
数据中心的建设可以分阶段进行,要根据信息规划分步进行。在结构的设计上要有前瞻性和先进性,在设备的采购方面要充分了解应用的运行情况后进行在进行建设的同时,要预留出运行的经费三分技术,七分管理运行服务体系的建设是高校信息化持续发展的重要一环
谢谢大家