VŠE - Systém „IBM i“ a správa systémů v praxi
11.12.2008
IBM i - správa systémů v praxi 2
Představení
Filip Borůvka• Administrace systémů – Systém IBM i (známé
jako AS/400 a iSeries) a Windows platformy• Řešení problémů, bezpečnost, komunikace,
fyzické plánování, fixování, konsolidace, návrhy řešení a jejich realizace.
Kontakt: filip.boruvka (at) email.cz
filip.boruvka (at) ge.com
IBM i - správa systémů v praxi 3
GE Money
• Model i5 570, i5/OS V6R1M0 • High availability pomocí produktu MIMIX HA
for i5/OS– Real-time replikace databáze a systému– Přepnutí na záložní systém na základě připravených
procedur
IBM i - správa systémů v praxi 4
GE Money
Na systému IBM i (i5/OS) je provozováno:• Core bankovní aplikace ICBS• FIPU - financování pohledávek úvěrem• HUGE - řešení problematiky státní finanční
podpory hypotéčních úvěrů• EXPI - rozhraní mezi ICBS a datawarehouse
IBM i - správa systémů v praxi 5
GE Money
• Pokladní aplikace KasaNova– Apache, IBM Websphere Application Server
6.1, IBM Websphere MQ 6.0
• Mzdy a personalistika společnosti Nugget
IBM i - správa systémů v praxi 6
Obsah prezentace
• Systém IBM i (i5/OS)• Software pro řízení informatiky• Oblasti správy systému• Reference - použití systému IBM i (i5/OS)
IBM i - správa systémů v praxi 7
System IBM i – i5/OS 1/8
Model i570 a i520
IBM i - správa systémů v praxi 8
• Dříve AS/400 (OS/400), pak iSeries (i5/OS), posléze System i (i5/OS) a nyní IBM i (i5/OS)
• Je server střední třídy tzv. Midrange• Má robusní integrovanou DB2 databázi• Je to objektový systém• Je bezpečný (Certifikace C2 vlády USA)• Umožňuje plnohodnotné dělení na logické části
(LPAR)
Systém IBM i – úvod 2/8
IBM i - správa systémů v praxi 9
Systém IBM i – výhody 3/8
• Stabilita, bezpečnost, výkonnost• Zpětná kompatibilita (System/38 – 1978,
System/36 – 1983)• Plná nezávislost OS na hardware• Plná nezávislost aplikací na OS• Neplánované výpadky jsou:
– 5x nižší než u UNIX serverů– 16x nižší než u Windows serverů
IBM i - správa systémů v praxi 10
Systém IBM i – stabilita 4/8
• OS je napsán na míru hardware
• HW má zvýšenou spolehlivost
• Redundance (disky, síťové karty, silové napájení, datové propojení racků,
případně i procesory, paměti a servisní procesory)
IBM i - správa systémů v praxi 11
Systém IBM i - bezpečnost 5/8
• Objektový systém (každý objekt je chráněn a auditován)
• Je zaručena nemodifikovatelnost (integrita) auditních logů tzv. žurnálů
• Veškeré citlivé objekty (úložiště hesel) jsou
uloženy v nejnižší vrstvě a jsou skryté
• Rezistentní vůči virům
IBM i - správa systémů v praxi 12
IBM System i – i5/OS - logické části (LPAR) 6/8
• Umožňuje provozovat současně více systému na jednom HW (Sdílení CPU a operační paměti)
• Lze provozovat nativně i5/OS, IBM AIX - UNIX, Linux (RedHat, Suse – 32/64bitový) a za použití speciální karty i systém Windows 2000/2003 Server (Sdílení disků a zvýšená stabilita)
IBM i - správa systémů v praxi 13
Integrace různých OS pomocí LPAR 7/8
IBM i - správa systémů v praxi 14
Instalované CPU: 8,00 Instalovaná paměť (MB): 81920Konfigurovatelné CPU: 6,00 Konfigurovatelná paměť (MB): 65536
LPAR CPU MEMORY (MB)
CZPDN01 3,00 24064CZPDN02 0,56 8448CZTST01 0,10 2048ITPDN01 0,57 9216
ITPDN02 0,72 4096ITDVL02 0,29 1024PLPDN01 0,31 8192PLDVL01 0,12 1792UKPDN01 0,29 3072
Main storage: DIMM DDR2 (512MB, 1GB, 2GB, 4GB, 8GB a 16GB) Processor: Dual Chip Module (DCM): 2.2GHz L2 & L3 cache
Systém IBM i – příklad konfigurace - Model i570 pro 9 LPARů 8/8
5,96 61952
IBM i - správa systémů v praxi 15
Software pro řízení informatiky
• Jednotná (jasná) terminologie
• Použití jednotné metodologie
• Sledování kvality poskytování IT služeb
• Plánování nárůstu výkonu, zaplnění diskové kapacity, průchodnosti sítí
IBM i - správa systémů v praxi 16
Dohledové systémy 1/3• Dostupnost systému
• Zatížení systému
• Zaplnění diskového prostoru
• Doba odezvy
IBM i - správa systémů v praxi 17
Dohledové systémy 2/3• Dohledové systémy:
– Jedno/Více platformové– Pro konkrétní aplikaci– Nepřeberné množství
• Komplexní řešení jsou finančně a lidsky nákladná
IBM i - správa systémů v praxi 18
Dohledové systémy 3/3• IPSwitch - WhatsUpGold
• TANGO/04 – Visual Message Center
• Nastel – Autopilot
• Quest Software – FogLite
• CA - Unicenter
• HP – OpenView
• IBM - Tivoli
IBM i - správa systémů v praxi 19
Systémy pro řízení přístupu 1/3• Sdružený přístup SSO (Single Sign-On)
– Uživatel se po přihlášení do primárního systému (zejména doména Windows) už nemusí znovu nikam přihlašovat.
– Uživatelé si nemusí hesla psát– Snížení počtu zablokovaných účtů
IBM i - správa systémů v praxi 20
Systémy pro řízení přístupu 2/3• Sdružený přístup SSO (Single Sign-On)
– Aplikace a systémy to musí umožňovat – Přihlašování do druhé domény - zvýšení
bezpečnosti– Kerberos, časová synchronizace
• IBM - Tivoli Access Manager for Enterprise Single Sign-On
• SUN (Sada řešení – komplexní, web, Java)
IBM i - správa systémů v praxi 21
Systémy pro řízení přístupu 3/3• Automatické vytváření účtů
– Na základě rolí pro konkrétní aplikace– SUN Identity manager
• Rekonciliace účtů– Pravidelné rušení nepoužívaných účtů– Měsíčně proti databázi zaměstnanců– Jednoznačný identifikátor zaměstnance
IBM i - správa systémů v praxi 22
Deployment 1/3
• Rozmístění (distribuce) něčeho - odněkud-> někam
• Je třeba dodržet několik fází– Vytvoření (naprogramování) -> – přenos k 1. testování -> 1. testování1. testování -> – přenos k 2. testování (administrator) -> 2. 2.
testovánítestování -> – přenos do produkce - migrace (administrator)
IBM i - správa systémů v praxi 23
Deployment 2/3
• Automatizace „na kliknutí“
• Oddělení rolí (oprávnění), logování
• Migrace do produkce – schválení (tester, aplikační admin, IT žadatel, vedoucí administrátorů, provádějící (administrátor)
• Testování přes více systémů – Development system -> Testovací systém
IBM i - správa systémů v praxi 24
Deployment 3/3
• Aldon CMS (Change Management system)– Umí celý deployment proces– Hlídání verzí– Logování a zabezpečení– Rollback– Konverze dat při změně struktury tabulek
IBM i - správa systémů v praxi 25
Vzdálený audit 1/2
• Vzdáleného prohlížení auditních logů
• Pro zajištení bezpečnosti logů (tj. že je nikdo nesmaže) se pouzívá ukládání logů na jiný systém.
• Aplikace kontrolující a shromažďující definované událostí
IBM i - správa systémů v praxi 26
Vzdálený audit 2/2
• IBM Tivoli Compliance Insight Manager– Shromažďování událostí
– Online nebo dávkově
– Používá metodologii W7 (Who, did What, When, Where, Where from, Where to and on What)
– IBM System z a System i, IBM AIX, Sun Solaris, HP-UX, MS Windows a Linux
– IBM DB2 (System z, UNIX and Windows), Oracle Database Server, Microsoft SQL Server a Sybase ACE
IBM i - správa systémů v praxi 27
Řízení zátěže
• Zejména pro webové (aplikační) servery
• Aplikace to musí podporovat
• Rozložení zátěže – 50/50
• Rozložení zátěže – Produkce-Zápis/Backup-Čtení
• Prioritizace úloh (Job Management)
IBM i - správa systémů v praxi 28
Oblasti správy systému
• Bezpečnost
• Síťová komunikace
• Zálohování a obnova
• Správa databáze
• Řízení systému
• Hardware
• Plánování
IBM i - správa systémů v praxi 29
Bezpečnost 1/4
• Stanovení pravidel
• Zákonné požadavky
• Interní předpisy
IBM i - správa systémů v praxi 30
Bezpečnost 2/4
• Auditování aktivit
• Pravidelné rekonciliace uživ. účtů
• Revize přístupových oprávnění– uživatelské účty– Knihovny (databáze), souborový systém
• Omezený počet privilegovaných uživatelů
• Programové opravy (PTF)
IBM i - správa systémů v praxi 31
Bezpečnost 3/4
• Uživatelské role– Administrátor systému– Bezpečnostní administrátor– Administrátor uživatelských účtů– Aplikační podpora– Technické účty
• Aktivní – Status *Enabled, heslo nastaveno, neexpirující)• Pasivní – Status *Disabled, heslo *NONE)
– Operátor provozu– Běžní uživatelé
IBM i - správa systémů v praxi 32
Bezpečnost 4/4
• Defaultní hesla – kontrola
• Nepoužívané běžné uživ. účty stávajících zaměstnanců – blokování a pak odstranění
IBM i - správa systémů v praxi 33
Síťová komunikace 1/2
• Stabilita
• Redundance– Virtuální IP– Zdvojení komunikačních cest
• Dokumentace
• Monitorování
IBM i - správa systémů v praxi 34
Síťová komunikace 2/2
• Aktivní pouze nezbytné služby (porty)
• Omezení přístupu na služby (např. FTP, ODBC, DRDA)– Exit programy (Exit pointy)
IBM i - správa systémů v praxi 35
Zálohování a obnova 1/6
• Prevence chyb obsluhy– Privilegovaný uživatel něco omylem smaže
nebo přepíše
• Potřeby zpětné komparace– Během aplikačních testů
IBM i - správa systémů v praxi 36
Zálohování a obnova 2/6
• Pravidla pro zálohování– co zálohovat (DB, Systém)– jak dlouho uchovávat (DB, Systém)
• Zálohování DB– před nočním zpravování– po nočním zpravování
IBM i - správa systémů v praxi 37
Zálohování a obnova 3/6
• Zálohování systému– Systém
– Uživ. účty a další bezpečnostní objekty
– Konfiguraci systému
– Uživatelské knihovny (Databázové, programové)
• Archivace– Zákonné požadavky
– Dohledávání prováděných operací
– Jak dlouho (6 měsíců - 15 let)
IBM i - správa systémů v praxi 38
Zálohování a obnova 4/6
Příklad obnovy smazané produkční tabulky
1) Odstavení dotčené části aplikace
2) Obnova z poslední zálohy
3) Aplikace všech žurnálových změn
4) Nastartování aplikace
IBM i - správa systémů v praxi 39
Zálohování a obnova - příklad z praxe 1/2
1) Nezkušený bezpečnostní administrátor nemohl během rekonciliace smazat profil bývalého administrátora, použil tedy parametr - smazat všechny objekty profilem vlastněné
2) Následkem toho došlo ke smazání 700 objektů přes celý systém
IBM i - správa systémů v praxi 40
Zálohování a obnova - příklad z praxe 2/2
3) Ze systémových žurnálů bylo zjištěno, co bylo smazáno
4) Obnova objektů z nočních záloh
5) Provedena aplikace žurnálových změn
6) Odstávka aplikace byla několik hodin
IBM i - správa systémů v praxi 41
Databáze
• Žurnálování DB změn
• Replikace DB
• Zálohování
• Archivace
IBM i - správa systémů v praxi 42
DB – Terminologie SQL vs. i5/OS
IBM i - správa systémů v praxi 43
Řízení systému
• Work management (řízení činnosti systému) – Členění a priority úloh
• Spool management (tiskárny a tiskové výstupy)
IBM i - správa systémů v praxi 44
Hardware
• Plánování a konfigurace
• Instalace HW
• Monitorování
• Řešení problémů a servisu
IBM i - správa systémů v praxi 45
Plánování
• Na rok – detailní, plánování rozpočtu
• Na tři roky – hrubý odhad pro ostatní týmy
• Statistický odhad nárůstu– Zátěže (navýšení CPU)– Zaplnění diskového prostoru (ASP)
• Pravidelné servisní poplatky (maintainance)
IBM i - správa systémů v praxi 46
Datové centrumPro umístění Hardware na počítačovém sálu je třeba zajistitodpovídající podmínky:• Fyzická a požární bezpečnost• Napájení a chlazení• Sítě• Dvojité podlahy, stropní žlaby• Zálohování• Záložní pracoviště• Dozor 24/7, Monitoring
IBM i - správa systémů v praxi 47
Reference i5/OS 1/4• AMATI - Denak, s.r.o. (Kraslice)
– Dechové hudební nástroje– EVIS/400 (ERP systém)
• BCPP - Burza cenných papírů Praha, a.s.– Organizátor trhu s cennými papíry v ČR – Hlavní obchodní aplikace (investiční obchody)
• ČSOB - Československá obchodní banka, a. s.– Bankovnictví– IBIS (Bankovní systém pro Corporate)
IBM i - správa systémů v praxi 48
Reference i5/OS 2/4• GE Money Bank, a.s.
– Bankovnictví
– ICBS (Core bankovní systém)
– Nugget (Mzdy a personalistka)
• GPE s.r.o. (dříve Muzo)
– Bezhotovostní platby
– Bezhotovostní platby pro banky a finanční instituce v ČR a po celém světě
IBM i - správa systémů v praxi 49
Reference i5/OS 3/4• KB, a.s.
– Bankovnictví
– Karetní systém
• OLMA, a.s.
– Potravinářství (mléčné výrobky)
– Řízení technologií
IBM i - správa systémů v praxi 50
Reference i5/OS 4/4• Strojimport, a.s.
– Export a import strojírenských výrobků a zařízení– SPECTRUM/400 (ERP systém)
• Vysoká škola báňská – Technická univerzita Ostrava– Interní informační systém– Vědeckovýzkumné aktivity– RNDr. Ivo Martiník, Ph.D. ([email protected])
V ČR je přes 800 instalací i5/OS
IBM i - správa systémů v praxi 51
Doporučení – obecně 1/3
• Udržování dobrých kontaktů mezi teamy
• Před-konzultace změn– Zmínit se o tom ve výtahu, na obědě, na nudné
poradě
• Umět dobře odvedenou práci prodat
• Dokázat říci „NE“
• Používat zdravý selský rozum
IBM i - správa systémů v praxi 52
Doporučení – projekty 2/3
• Vždy se zamyslet nad tím:– co nám to přinese– co do toho vložíme – jestli to vůbec potřebujeme
• Dokumentovat si postupy (např. Notepad)– Možnost jednoduše opakovat již nalezené– Dobrý základ pro pozdější dokumentaci
IBM i - správa systémů v praxi 53
Doporučení – vedení 3/3• Podávat podřízeným zpětnou vazbu (ale i
obráceně)• Ocenit dobře odvedenou práci:
– Mimořádná odměna– Volno navíc
• Vycítit nespokojenost podřízeného– Předejít odchodu klíčových zaměstnanců– Pohovor pomůže nespokojenost vyřešit– Dodržet slíbené
IBM i - správa systémů v praxi 54
Na co pozor!
• Co se nedotáhne hned, to se táhne...
... a zpravidla nedodělá
• Udržovat aktuální dokumentaci!
• Zálohovat nejen kritická data...
• „Uděláme to dočasně, pak se to předělá...“
• „Potřebujeme to provozovat jen chvilku...“
• „Já o tom nic nevím, v mailu to nemám...“
IBM i - správa systémů v praxi 55
Odkazy na Internetu:Google – nejen vyhledávačhttp://www.google.cz
IBM System i and i5/OS Information Centerhttp://publib.boulder.ibm.com/infocenter/systems/scope/i5os/
IBM – velká modráhttp://www.ibm.com/cz/
Support for IBM System ihttp://www.ibm.com/systems/support/i/
Tato prezentace se nachází na:http://www.boruvka.cz/VSE/
IBM i - správa systémů v praxi 56
Dotazy, diskuze