systém „ibm i“ a správa systémů v praxi
DESCRIPTION
Systém „IBM i“ a správa systémů v praxi. Leden 2012. Filip Borůvka. Obsah prezentace. Systém IBM i (i5/OS) Software pro řízení informatiky Oblasti správy systému „IBM i“ v GE Money Reference - použití systému IBM i (i5/OS). System IBM i – i5/OS 1/8. Model i570 a i520. - PowerPoint PPT PresentationTRANSCRIPT
Systém „IBM i“ a správa systémů v praxi
Leden 2012Filip Borůvka
IBM i - správa systémů v praxi 2
Obsah prezentace
• Systém IBM i (i5/OS)• Software pro řízení informatiky• Oblasti správy systému• „IBM i“ v GE Money• Reference - použití systému IBM i (i5/OS)
IBM i - správa systémů v praxi 3
System IBM i – i5/OS 1/8
Model i570 a i520
IBM i - správa systémů v praxi 4
• Dříve AS/400 (OS/400), pak iSeries (i5/OS), posléze System i (i5/OS) a nyní IBM i (i5/OS)
• Je server střední třídy tzv. Midrange• Má robusní integrovanou DB2 databázi• Je to objektový systém• Je bezpečný (Certifikace C2 vlády USA)• Umožňuje plnohodnotné dělení na logické části
(LPAR)
Systém IBM i – úvod 2/8
IBM i - správa systémů v praxi 5
Systém IBM i – výhody 3/8
• Stabilita, bezpečnost, výkonnost• Zpětná kompatibilita (System/38 – 1978,
System/36 – 1983)• Plná nezávislost OS na hardware• Plná nezávislost aplikací na OS• Neplánované výpadky jsou:
– 5x nižší než u UNIX serverů– 16x nižší než u Windows serverů
IBM i - správa systémů v praxi 6
Systém IBM i – stabilita 4/8
• OS je napsán na míru hardware
• HW má zvýšenou spolehlivost
• Redundance (disky, síťové karty, silové napájení, datové propojení racků,
případně i procesory, paměti a servisní procesory)
IBM i - správa systémů v praxi 7
Systém IBM i - bezpečnost 5/8
• Objektový systém (každý objekt je chráněn a auditován)
• Je zaručena nemodifikovatelnost (integrita) auditních logů tzv. žurnálů
• Veškeré citlivé objekty (úložiště hesel) jsou
uloženy v nejnižší vrstvě a jsou skryté
• Rezistentní vůči virům
IBM i - správa systémů v praxi 8
IBM System i – i5/OS - logické části (LPAR) 6/8
• Umožňuje provozovat současně více systému na jednom HW (Sdílení CPU a operační paměti)
• Lze provozovat nativně i5/OS, IBM AIX - UNIX, Linux (RedHat, Suse – 32/64bitový) a za použití speciální karty i systém Windows 2000/2003 Server (Sdílení disků a zvýšená stabilita)
IBM i - správa systémů v praxi 9
Integrace různých OS pomocí LPAR 7/8
IBM i - správa systémů v praxi 10
Instalované CPU: 8,00 Instalovaná paměť (MB): 81920Konfigurovatelné CPU: 6,00 Konfigurovatelná paměť (MB): 65536
LPAR CPU MEMORY (MB)
CZPDN01 3,00 24064CZPDN02 0,56 8448CZTST01 0,10 2048ITPDN01 0,57 9216
ITPDN02 0,72 4096ITDVL02 0,29 1024PLPDN01 0,31 8192PLDVL01 0,12 1792UKPDN01 0,29 3072
Main storage: DIMM DDR2 (512MB, 1GB, 2GB, 4GB, 8GB a 16GB) Processor: Dual Chip Module (DCM): 2.2GHz L2 & L3 cache
Systém IBM i – příklad konfigurace - Model i570 pro 9 LPARů 8/8
5,96 61952
IBM i - správa systémů v praxi 11
Software pro řízení informatiky
• Jednotná (jasná) terminologie
• Použití jednotné metodologie
• Sledování kvality poskytování IT služeb
• Plánování nárůstu výkonu, zaplnění diskové kapacity, průchodnosti sítí
IBM i - správa systémů v praxi 12
Dohledové systémy 1/3• Dostupnost systému
• Zatížení systému
• Zaplnění diskového prostoru
• Doba odezvy
IBM i - správa systémů v praxi 13
Dohledové systémy 2/3• Dohledové systémy:
– Jedno/Více platformové– Pro konkrétní aplikaci– Nepřeberné množství
• Komplexní řešení jsou finančně a lidsky nákladná
IBM i - správa systémů v praxi 14
Dohledové systémy 3/3• IPSwitch - WhatsUpGold
• TANGO/04 – Visual Message Center
• Nastel – Autopilot
• Quest Software – FogLite
• CA - Unicenter
• HP – OpenView
• IBM - Tivoli
IBM i - správa systémů v praxi 15
Systémy pro řízení přístupu 1/3• Sdružený přístup SSO (Single Sign-On)
– Uživatel se po přihlášení do primárního systému (zejména doména Windows) už nemusí znovu nikam přihlašovat.
– Uživatelé si nemusí hesla psát– Snížení počtu zablokovaných účtů
IBM i - správa systémů v praxi 16
Systémy pro řízení přístupu 2/3• Sdružený přístup SSO (Single Sign-On)
– Aplikace a systémy to musí umožňovat – Přihlašování do druhé domény - zvýšení
bezpečnosti– Kerberos, časová synchronizace
• IBM - Tivoli Access Manager for Enterprise Single Sign-On
• SUN (Sada řešení – komplexní, web, Java)
IBM i - správa systémů v praxi 17
Systémy pro řízení přístupu 3/3• Automatické vytváření účtů
– Na základě rolí pro konkrétní aplikace– SUN Identity manager
• Rekonciliace účtů– Pravidelné rušení nepoužívaných účtů– Měsíčně proti databázi zaměstnanců– Jednoznačný identifikátor zaměstnance
IBM i - správa systémů v praxi 18
Deployment 1/3
• Rozmístění (distribuce) něčeho - odněkud-> někam
• Je třeba dodržet několik fází– Vytvoření (naprogramování) -> – přenos k 1. testování -> 1. testování1. testování -> – přenos k 2. testování (administrator) -> 2. 2.
testovánítestování -> – přenos do produkce - migrace (administrator)
IBM i - správa systémů v praxi 19
Deployment 2/3
• Automatizace „na kliknutí“
• Oddělení rolí (oprávnění), logování
• Migrace do produkce – schválení (tester, aplikační admin, IT žadatel, vedoucí administrátorů, provádějící (administrátor)
• Testování přes více systémů – Development system -> Testovací systém
IBM i - správa systémů v praxi 20
Deployment 3/3
• Aldon CMS (Change Management system)– Umí celý deployment proces– Hlídání verzí– Logování a zabezpečení– Rollback– Konverze dat při změně struktury tabulek
IBM i - správa systémů v praxi 21
Vzdálený audit 1/2
• Vzdáleného prohlížení auditních logů
• Pro zajištení bezpečnosti logů (tj. že je nikdo nesmaže) se pouzívá ukládání logů na jiný systém.
• Aplikace kontrolující a shromažďující definované událostí
IBM i - správa systémů v praxi 22
Vzdálený audit 2/2
• IBM Tivoli Compliance Insight Manager– Shromažďování událostí
– Online nebo dávkově
– Používá metodologii W7 (Who, did What, When, Where, Where from, Where to and on What)
– IBM System z a System i, IBM AIX, Sun Solaris, HP-UX, MS Windows a Linux
– IBM DB2 (System z, UNIX and Windows), Oracle Database Server, Microsoft SQL Server a Sybase ACE
IBM i - správa systémů v praxi 23
Řízení zátěže
• Zejména pro webové (aplikační) servery
• Aplikace to musí podporovat
• Rozložení zátěže – 50/50
• Rozložení zátěže – Produkce-Zápis/Backup-Čtení
• Prioritizace úloh (Job Management)
IBM i - správa systémů v praxi 24
Oblasti správy systému
• Bezpečnost
• Síťová komunikace
• Zálohování a obnova
• Správa databáze
• Řízení systému
• Hardware
• Plánování
IBM i - správa systémů v praxi 25
Bezpečnost 1/4
• Stanovení pravidel
• Zákonné požadavky
• Interní předpisy
IBM i - správa systémů v praxi 26
Bezpečnost 2/4
• Auditování aktivit
• Pravidelné rekonciliace uživ. účtů
• Revize přístupových oprávnění– uživatelské účty– Knihovny (databáze), souborový systém
• Omezený počet privilegovaných uživatelů
• Programové opravy (PTF)
IBM i - správa systémů v praxi 27
Bezpečnost 3/4
• Uživatelské role– Administrátor systému– Bezpečnostní administrátor– Administrátor uživatelských účtů– Aplikační podpora– Technické účty
• Aktivní – Status *Enabled, heslo nastaveno, neexpirující)• Pasivní – Status *Disabled, heslo *NONE)
– Operátor provozu– Běžní uživatelé
IBM i - správa systémů v praxi 28
Bezpečnost 4/4
• Defaultní hesla – kontrola
• Nepoužívané běžné uživ. účty stávajících zaměstnanců – blokování a pak odstranění
IBM i - správa systémů v praxi 29
Síťová komunikace 1/2
• Stabilita
• Redundance– Virtuální IP– Zdvojení komunikačních cest
• Dokumentace
• Monitorování
IBM i - správa systémů v praxi 30
Síťová komunikace 2/2
• Aktivní pouze nezbytné služby (porty)
• Omezení přístupu na služby (např. FTP, ODBC, DRDA)– Exit programy (Exit pointy)
IBM i - správa systémů v praxi 31
Zálohování a obnova 1/6
• Prevence chyb obsluhy– Privilegovaný uživatel něco omylem smaže
nebo přepíše
• Potřeby zpětné komparace– Během aplikačních testů
IBM i - správa systémů v praxi 32
Zálohování a obnova 2/6
• Pravidla pro zálohování– co zálohovat (DB, Systém)– jak dlouho uchovávat (DB, Systém)
• Zálohování DB– před nočním zpravování– po nočním zpravování
IBM i - správa systémů v praxi 33
Zálohování a obnova 3/6
• Zálohování systému– Systém
– Uživ. účty a další bezpečnostní objekty
– Konfiguraci systému
– Uživatelské knihovny (Databázové, programové)
• Archivace– Zákonné požadavky
– Dohledávání prováděných operací
– Jak dlouho (6 měsíců - 15 let)
IBM i - správa systémů v praxi 34
Zálohování a obnova 4/6
Příklad obnovy smazané produkční tabulky
1) Odstavení dotčené části aplikace
2) Obnova z poslední zálohy
3) Aplikace všech žurnálových změn
4) Nastartování aplikace
IBM i - správa systémů v praxi 35
Zálohování a obnova - příklad z praxe 1/2
1) Nezkušený bezpečnostní administrátor nemohl během rekonciliace smazat profil bývalého administrátora, použil tedy parametr - smazat všechny objekty profilem vlastněné
2) Následkem toho došlo ke smazání 700 objektů přes celý systém
IBM i - správa systémů v praxi 36
Zálohování a obnova - příklad z praxe 2/2
3) Ze systémových žurnálů bylo zjištěno, co bylo smazáno
4) Obnova objektů z nočních záloh
5) Provedena aplikace žurnálových změn
6) Odstávka aplikace byla několik hodin
IBM i - správa systémů v praxi 37
Databáze
• Žurnálování DB změn
• Replikace DB
• Zálohování
• Archivace
IBM i - správa systémů v praxi 38
DB – Terminologie SQL vs. i5/OS
IBM i - správa systémů v praxi 39
Řízení systému
• Work management (řízení činnosti systému) – Členění a priority úloh
• Spool management (tiskárny a tiskové výstupy)
IBM i - správa systémů v praxi 40
Hardware
• Plánování a konfigurace
• Instalace HW
• Monitorování
• Řešení problémů a servisu
IBM i - správa systémů v praxi 41
Plánování
• Na rok – detailní, plánování rozpočtu
• Na tři roky – hrubý odhad pro ostatní týmy
• Statistický odhad nárůstu– Zátěže (navýšení CPU)– Zaplnění diskového prostoru (ASP)
• Pravidelné servisní poplatky (maintainance)
IBM i - správa systémů v praxi 42
Datové centrumPro umístění Hardware na počítačovém sálu je třeba zajistitodpovídající podmínky:• Fyzická a požární bezpečnost• Napájení a chlazení• Sítě• Dvojité podlahy, stropní žlaby• Zálohování• Záložní pracoviště• Dozor 24/7, Monitoring
IBM i - správa systémů v praxi 43
„IBM i“ GE Money 1/4
• Model IBM Power 770, i5/OS V6R1M0 • High availability pomocí produktu MIMIX HA
for i5/OS– Real-time replikace databáze a systému– Přepnutí na záložní systém na základě připravených
procedur
IBM i - správa systémů v praxi 44
„IBM i“ GE Money 2/4
Na systému IBM i (i5/OS) je provozováno:• Core bankovní aplikace ICBS• FIPU - financování pohledávek úvěrem• HUGE - řešení problematiky státní finanční
podpory hypotéčních úvěrů• EXPI - rozhraní mezi ICBS a datawarehouse
IBM i - správa systémů v praxi 45
„IBM i“ GE Money 3/4
• Pokladní aplikace KasaNova– Apache, IBM Websphere Application Server
6.1, IBM Websphere MQ 7.0
• Mzdy a personalistika společnosti Nugget
IBM i - správa systémů v praxi 46
Reference i5/OS 1/4• AMATI - Denak, s.r.o. (Kraslice)
– Dechové hudební nástroje– EVIS/400 (ERP systém)
• BCPP - Burza cenných papírů Praha, a.s.– Organizátor trhu s cennými papíry v ČR – Hlavní obchodní aplikace (investiční obchody)
• ČSOB - Československá obchodní banka, a. s.– Bankovnictví– IBIS (Bankovní systém pro Corporate)
IBM i - správa systémů v praxi 47
Reference i5/OS 2/4• GE Money Bank, a.s.
– Bankovnictví
– ICBS (Core bankovní systém)
– Nugget (Mzdy a personalistka)
• GPE s.r.o. (dříve Muzo)
– Bezhotovostní platby
– Bezhotovostní platby pro banky a finanční instituce v ČR a po celém světě
IBM i - správa systémů v praxi 48
Reference i5/OS 3/4• KB, a.s.
– Bankovnictví
– Karetní systém
• OLMA, a.s.
– Potravinářství (mléčné výrobky)
– Řízení technologií
IBM i - správa systémů v praxi 49
Reference i5/OS 4/4• Strojimport, a.s.
– Export a import strojírenských výrobků a zařízení– SPECTRUM/400 (ERP systém)
• Vysoká škola báňská – Technická univerzita Ostrava– Interní informační systém– Vědeckovýzkumné aktivity– RNDr. Ivo Martiník, Ph.D. ([email protected])
V ČR je přes 800 instalací i5/OS
IBM i - správa systémů v praxi 50
Doporučení – obecně 1/3
• Udržování dobrých kontaktů mezi teamy
• Před-konzultace změn– Zmínit se o tom ve výtahu, na obědě, na nudné
poradě
• Umět dobře odvedenou práci prodat
• Dokázat říci „NE“
• Používat zdravý selský rozum
IBM i - správa systémů v praxi 51
Doporučení – projekty 2/3
• Vždy se zamyslet nad tím:– co nám to přinese– co do toho vložíme – jestli to vůbec potřebujeme
• Dokumentovat si postupy (např. Notepad)– Možnost jednoduše opakovat již nalezené– Dobrý základ pro pozdější dokumentaci
IBM i - správa systémů v praxi 52
Doporučení – vedení 3/3• Podávat podřízeným zpětnou vazbu (ale i
obráceně)• Ocenit dobře odvedenou práci:
– Mimořádná odměna– Volno navíc
• Vycítit nespokojenost podřízeného– Předejít odchodu klíčových zaměstnanců– Pohovor pomůže nespokojenost vyřešit– Dodržet slíbené
IBM i - správa systémů v praxi 53
Na co pozor!
• Co se nedotáhne hned, to se táhne...
... a zpravidla nedodělá
• Udržovat aktuální dokumentaci!
• Zálohovat nejen kritická data...
• „Uděláme to dočasně, pak se to předělá...“
• „Potřebujeme to provozovat jen chvilku...“
• „Já o tom nic nevím, v mailu to nemám...“
IBM i - správa systémů v praxi 54
Odkazy na Internetu:Google – nejen vyhledávačhttp://www.google.cz
IBM System i and i5/OS Information Centerhttp://publib.boulder.ibm.com/infocenter/systems/scope/i5os/
IBM – velká modráhttp://www.ibm.com/cz/
Support for IBM System ihttp://www.ibm.com/systems/support/i/
Tato prezentace se nachází na:http://www.boruvka.cz/VSE/
IBM i - správa systémů v praxi 55
Dotazy, diskuze