Transcript 11、 清华大学运行服务体系的建设与实践
清华大学运行服务 体系的建设和实践
清华大学计算机与信息管理中心
戚丽
http://www.cic.tsinghua.edu.cn/ 二○○五年七月
提 纲 运行服务体系的提出
运行服务体系的建设内容 清华大学运行服务体系的建设情况 经验与体会
运行服务体系的演变
运行服务体系是随着信息化建设不断深入而 出现的。根据信息化建设的阶段性,不同的 阶段关注点也各不相同
:
1 、网络管理 2 、应用系统管理 3 、数据中心 4 、运行服务
运行服务的几个阶段
1 、网络管理为主的阶段 出现计算机的时候,就存在着对机器的运行管 理。 – 在校园网未建成之前,以单机版的应用为主时 期,运行服务主要针对系统管理和简单的应用 管理。 – 在校园网建设初期,有部分 应用管理。 C/S 模式的应用,运 行服务主要包括系统管理、网络管理和简单的
运行服务的几个阶段
2 、应用管理为主的阶段 96 年之后,在基本完成了校园网建设以后,互 联网已经逐渐普及,各高校基于网络服务的应 用也逐渐增多。例如:办公自动化系统、教务 管理、财务管理等。但是管理的模式基本上是 各自独立,每套系统从开发、运行、维护都各 自独立,没有关联,形成信息孤岛。
运行服务的几个阶段
3 、校园数据中心 数字校园概念的提出,对高校信息化的建设提 出更高的要求,也为校园数据中心的出现奠定 了基础。互联网数据中心(IDC)的发展历程,为 校园数据中心的产生提供了大量可借鉴的经验。 2001年之后,清华大学开始了在校园数据中心 建设的探索。
运行服务的几个阶段
1.
2.
3.
校园数据中心的主要作用: 整合资源,减少学校在运行环境、维护人员等方面的重 复投资 集中负责系统的运行与维护,提高系统的可用性、可靠 性及安全性 数据集中存放与管理,是数据共享与交换的集散地,利于 系统的整合和信息的整合
运行服务体系的几个阶段
4、运行服务体系 由建设为主转变为以建设与运行并重的阶段 为用户提供高质量的服务,保证学校的教学、 管理工作有序进行。 用户:全校师生、学校的管理部门 以用户为中心,以应用管理为线索,以数据 管理为目标
运行服务体系的在数字校园中的位置 运 行 服 务 体 系 用户 ( 个人与部门 ) 管理信息系统
URP
门户 (应用聚集展现、个人桌面定制、单点登录漫游等)
URP
应用 i Office系统 数字图书馆 网络教学 教务 科研 财务 人力资源 设备资产 档案 i -办公 i -文档 i -空间 ┇ 期刊 书籍 论文库 ┇ 素材 课件 题库 平台 ┇ ┇
URP
公共平台 (应用管理、用户管理与认证、权限管理、数据交换、信息发布 等) 应用支撑系统 (网络管理系统、目录服务系统、域名服务系统、网上支付系统等) 硬件基础设施 (计算机系统、校园网络、数据中心等) 网络服务 电子邮件 主页发布 IP电话 视频会议 社区服务 决策支持 ┇ 网 络 安 全 体 系
运行服务体系的架构
提 纲
运行服务体系的提出
运行服务体系的建设内容
清华大学运行服务体系的建设情况 经验与体会
运行服务体系的建设内容
1 、 数据中心建设 运行环境 高可靠的网络 合理的服务器架构 数据库及数据管理 应用管理 安全防护体系 容灾备份 2 、 用户服务及技术支持 3 、 规章制度建设 4 、 队伍建设
数据中心的建设
——
运行环境
防尘、防静电的环境 可靠的电力保证 适宜的温度和湿度 消防系统 门禁与监控 布线
运行环境建设(续)
参考的标准 : 《电子计算机机房设计规范》(GB50174-93) 《计算站场地技术要求》(GB2887-89) 《计算站场地安全技术》(GB9361-88) 《计算机机房用活动地板的技术要求》(GB6650-86) 《电子计算机机房施工及验收规范》(SJ/T30003) 《电气装置安装工程接地装置施工及验收规范》(GB50169 92); 中国工程建设标准化协会标准-建筑与建筑群综合布线系统 工程设计规范CECS72:95
数据中心网络建设
冗余的网络设计,保证网络的畅通无阻 加强网络监控,及时发现问题 关键部门设置专线,保证数据传输的完整性
服务器架构
服务器系统必须从整体上规划,根据应用的需求 合理布局,切忌一个应用系统一套服务器系统, 这样很不利于资源的优化配置,既不好管理,又 不能实现资源的共享,浪费有限的经费。 服务器架构要根据自己学校的特点,尽量采用目 前比较流行的体系架构。 服务器系统高可用性,根据应用的需求而定。 服务器系统的扩展性要考虑应用的发展需求。 开发、测试、正式运行三条线要分开,不要在运 行环境开发、测试程序。
数据库及数据管理
数据中心的数据库不是简单的数据堆积,应 该提供高效的数据存储、合理的布局,规范 各应用系统的数据交换和共享,保证数据的 可靠性。 数据库合理布局的实施,与数据标准的制定 有着密切的关系
应用管理
应用的部署 应用的版本管理 公共平台的应用管理:门户、身份认证等
安全防护体系
建立行之有效的防范体系,是需要考虑运行 的各个环节的。 安全防范不仅仅是数据中心的事情,用户使 用的安全也应纳入到安全防范体系中。 安全防范工作应考虑事后追查的有效手段; 需要制定紧急问题的处理机制。
安全防护体系内容
网络安全:防攻击、防窃密、防监听 合理架设防火墙 主机安全:物理安全、防入侵 要定期清理用户、修改密码、安装补丁程序、停止不必要 的服务等 应用安全:防伪造、防攻击 数据安全:防止数据丢失、破坏,保证信息的可用性和可 靠性 办公环境的安全:防病毒、防攻击、安全知识培训 安全审计:事后追查的有效手段 入侵监测 成立紧急问题相应小组
容灾及备份
备份系统与要求的恢复时间紧密相关,无论 多么先进的备份系统,一定要有针对各种情 况的恢复步骤,已备不时之需。 容灾是发展到一定阶段以后的考虑,也可以 分级别进行
备份及容灾的方式及环节
设备的备份 冷备、热备 数据的备份:文件数据 应用的备份:运行环境的备份 数据库的备份 逻辑备份、物理备份、在线备份 容灾 数据级容灾、应用级容灾
用户服务与技术支持
用户服务: – 面向全校师生,帮助用户解决其在使用过程中 遇到的问题 技术支持 面向部门用户,解决用户在使用中的问题,并进 行数据检查、恢复的工作
规章制度的建设
完善的管理制度是运行管理的保障。规章制度包括三方面: 管理规范、技术规范、操作手册 管理规范: 管理规范是从规范管理员行为出发的各种制 度、规定、办法与奖惩措施 、岗位职责等 技术规范: 是规范技术人员在运行维护过程中各种行为 的规定、规范与工作流程 操作手册 :指导用户使用各种网络与信息系统的操作指 南与用户手册,如《信息门户使用指南》、《网络学堂用 户手册》、《学生选课指南》等等
队伍建设
无论多么先进的设备和技术,如果没有人进行 管理是不能很好的发挥作用的。因此数据中心 在建设初期就必须考虑队伍建设问题。 在队伍建设中,要注意建立整个团队的服务意 识。只有优良的服务,才能使所有的应用更好 的发挥作用。服务不仅仅是态度,更重要的是 要有雄厚的技术做后盾。因此应建立一支有层 次的队伍。
提 纲
运行服务体系的提出 运行服务体系的建设内容
清华大学运行服务体系的建设情况
经验与体会
数字校园建设的概况
进入了建设与运行并重的阶段 我们有自己的研发队伍,已经形成研发、运 行两条相对独立的线 目前已运行了近 40 多个应用系统: 包括:教务系统、办公系统、财务系统、网 络教学等
数据中心运行环境的建设情况
机房面积: 240 平方米 电力保障: 80KVA 的 UPS , 分闸到机柜 空调系统:共有 4 台总计 35P 的空调 消防系统:气体灭火 门禁与监控:设置了门禁,并有摄像监控 设有操作间和测试间 设有集中的 kvm 系统
清华大学的数据中心机房
清华大学的数据中心机房
清华大学的数据中心网络设备
清华大学的数据中心的
UPS
清华大学的数据中心的调试间
清华大学的数据中心的操作间
清华大学的服务器架构说明
服务器:以 SUN 、 PC 服务器为主,数据中心共有 近百台服务器 操作系统: Solaris linux Windows 结构:四层结构门户 / web/App/DB ,应用按照运 行系统及软件需求不同进行合并 备用机:分组设置,每组有一台备用机 高可用:数据库服务器采用 HA 架构,其他服务器 正准备采用负载均衡; 设置开发、测试、试运行、正式运行环境
数据中心网络建设
数据库管理工作的介绍
数据库:
ORACLE 8I
分类应用数据库:教务库、非教务库、交换库 正在进行的工作: 数据审计 数据整合 数据交换的研究
清华大学的安全防范体系介绍
以数据中心为核心的校园网网络安全防范体系。 数据中心内存放了大量的关键数据,与各个业务部门之间 的有着频繁的重要通讯,我们必须充分考虑到数据中心在 整个校园网网络安全防范体系中的核心辐射作用。网络是 为信息应用系统服务的,信息应用系统的安全无疑应该是 校园网网络安全防范体系考虑的重点,因此清华大学校园 网网络安全体系的架构应该以数据中心为核心、辐射到全 校重要业务部门。数据中心不仅是整个校园网的信息枢纽, 还应该成为校园网的安全枢纽
以数据中心为核心的校园网网络安全防范体系
校园数据中心网络安全防范体系示意图 安 安 训 理 其它单元 安全技术 安全策略 防火墙 技术 安全 审计 入侵 检测 全 全 管 培
安全策略 安全策略是一个成功的网络安全体系的基础与核心。安全 策略描述了校园数据中心的安全目标(包括近期目标和长 期目标),能够承受的安全风险,保护对象的安全优先级 等方面的内容。面对复杂的环境和较少的经费,
2001
年 数据中心初建时,我们制定了符合实际的安全策略。比如 明确了安全体系的近期目标是保证所有的机器都必须设防, 能够抵御一般水平的黑客进攻;远期目标是实现完善的安 全审计和取证机制,保证受到入侵后有证可查,鉴于大多 数安全事件来自于管理员的误操作,审计在明确事故责任 上也能发挥重大作用;长期目标是建立安全预警系统,能 够抵御较高水平的黑客攻击。明确了数据中心内服务器的 安全优先级等。
校园数据中心安全工具和安全技术的部署
系统管理员为中心的安全管理制度
安全管理员负责安全 动态、安全技术跟踪 跟踪操作系统、应用 软件的补丁 有安全补丁发布 系统管理员负责服务 器的日常安全管理 有紧急事件发生 给系统打补丁,并纪 录 紧急事件相应小组负 责处理突发事件 应用新工具,对服务 器进行安全加固
安全培训
最终用户的安全意识是信息系统是否安全的 决定因素,因此对校园数据中心用户的安全 培训和安全服务是整个安全体系中重要、不 可或缺的一部分,特别是在目前病毒泛滥的 大环境下,通过定期培训、及时发放病毒警 告通知、敦促大家打补丁等方法,增强所有 教职员工的安全意识、提高他们的安全技能。
安全培训
为校机关的工作人员进行安全培训 协同校办制定校机关信息安全的规章制度 加强对管理员的用机的管理及安全培训,制 定了装机流程,保证工作环境的安全性。
备份
数据备份 : 使用几台NAS设备保存数据中心内所有运行软件的配置文件、应用程序 及配置文件、搭建运行环境的说明文档、数据文件,数据库的逻辑备 份 数据库备份 -物理备份与逻辑备份相结合 使用备份软件 Legato 对数据库进行再线备份 备份数据存放在磁盘上 服务器的备份机 -数据库服务器采用HA结构 -服务器按组划分,每组设一台冷备服务器
校园内异地容灾
在图书馆存放了一台NAS设备 保存数据中心内所有运行软件的配置文件、应用程序及配 置文件、搭建运行环境的说明文档、数据文件,数据库的 逻辑备份 正在进行校园内异地容灾的方案设计
应用管理
对现有的应用进行了分类,共分为8大类别,管理 粒度到应用模块 建立了应用上线的工作流程,逐步规范应用管理, 加强对应用的测试工作,保证应用系统的稳定性。 建立了版本管理平台,保证版本的唯一性
用户服务及技术支持
用户服务中心,面向全校的师生,接待用户来访 及电话。 2004年共接待了用户5000多人次,处理电话6500 多个,处理邮件300封左右。
用户服务
用户服务中心,面向全校的师生,接待用户来访 及电话。 2004年共接待了用户5000多人次,处理电话6500 多个,处理邮件300封左右。
技术支持
技术支持面向部门用户,负责启动运行服务对全校各类活 动的组织协调工作 几类重大的活动如下: 注册、选课、退课、迎新、离校、奖助贷系统、网上教学 评估等,所有活动贯穿了全年的不同时期 技术支持负责解答用户在使用过程中的问题,定期将用户 的意见反馈给研发。对部门用户提供一个接入点。
运行服务的管理
规范化管理:详细的工作规范和流程、维护 记录、定期讨论、监督落实 管理思路逐步转变为以应用为主线,将各块 工作统一管理,避免铁路警察各管一段的现 象。 建立通畅的反馈机制,使研发、客户服务、 运行形成良性循环
运行服务的管理
反馈测试 验收意见 建设者 监督者 反馈用户 需求意见 建设实施 提交测试验收 测试验收 测试环境 提交运行割接 用户服务中心 监督用户 服务质量 建 设 运 行 确定投入运行 指导 用户 使用 运行环境 提供用户使用 维护运行环境 负责 后台 支持 用户 数据中心
队伍建设
人员:共有15人 博士:1人 硕士:7人 用户服务及技术支持:6人 数据中心:8人
队伍建设
提出了工作角色的概念,将校园数据中心的 维护工作划分为多种角色,不同的角色承担 不同的工作。具体的划分为:系统管理角色、 数据库管理角色、网络管理角色、安全管理 角色、备份管理角色、应用管理角色、机房 管理角色和客户技术支持角色 等。
队伍建设
正在进行的工作
调整存储模式,建立集中存储,为服务器结 构的调整奠定基础,同时也为了简化数据备 份工作的复杂性,提高运行系统的可用性 建立无单点故障的运行环境,提供稳定的运 行服务:
今后工作的展望
– 建立服务级别:对不同的用户采用不同的处理 方式 – 加强变化管理、问题管理:运行服务体系已经 成为一个整体,每一个环节的变化都会影响运 行服务的最终效果。 – 加强应用安全、信息安全的管理:保证信息的 可靠性和可用性
提 纲
运行服务体系的提出 运行服务体系的建设内容 清华大学运行服务体系的建设情况
经验与体会
一些工作经验和体会
数据中心的建设可以分阶段进行,要根据信 息规划分步进行。 在结构的设计上要有前瞻性和先进性,在设备的 采购方面要充分了解应用的运行情况后进行 在进行建设的同时,要预留出运行的经费 三分技术,七分管理 运行服务体系的建设是高校信息化持续发展 的重要一环
谢谢大家