VŠE - Systém „IBM i“ a správa systémů v praxi

VŠE - Systém „IBM i“ a správa systémů v praxi

11.12.2008

IBM i - správa systémů v praxi 2

Představení

Filip Borůvka• Administrace systémů – Systém IBM i (známé

jako AS/400 a iSeries) a Windows platformy• Řešení problémů, bezpečnost, komunikace,

fyzické plánování, fixování, konsolidace, návrhy řešení a jejich realizace.

Kontakt: filip.boruvka (at) email.cz

filip.boruvka (at) ge.com


GE Money

• Model i5 570, i5/OS V6R1M0 • High availability pomocí produktu MIMIX HA

for i5/OS– Real-time replikace databáze a systému– Přepnutí na záložní systém na základě připravených

procedur


GE Money

Na systému IBM i (i5/OS) je provozováno:• Core bankovní aplikace ICBS• FIPU - financování pohledávek úvěrem• HUGE - řešení problematiky státní finanční

podpory hypotéčních úvěrů• EXPI - rozhraní mezi ICBS a datawarehouse


GE Money

• Pokladní aplikace KasaNova– Apache, IBM Websphere Application Server

6.1, IBM Websphere MQ 6.0

• Mzdy a personalistika společnosti Nugget


Obsah prezentace

• Systém IBM i (i5/OS)• Software pro řízení informatiky• Oblasti správy systému• Reference - použití systému IBM i (i5/OS)


System IBM i – i5/OS 1/8

Model i570 a i520


• Dříve AS/400 (OS/400), pak iSeries (i5/OS), posléze System i (i5/OS) a nyní IBM i (i5/OS)

• Je server střední třídy tzv. Midrange• Má robusní integrovanou DB2 databázi• Je to objektový systém• Je bezpečný (Certifikace C2 vlády USA)• Umožňuje plnohodnotné dělení na logické části

(LPAR)

Systém IBM i – úvod 2/8


Systém IBM i – výhody 3/8

• Stabilita, bezpečnost, výkonnost• Zpětná kompatibilita (System/38 – 1978,

System/36 – 1983)• Plná nezávislost OS na hardware• Plná nezávislost aplikací na OS• Neplánované výpadky jsou:

– 5x nižší než u UNIX serverů– 16x nižší než u Windows serverů


Systém IBM i – stabilita 4/8

• OS je napsán na míru hardware

• HW má zvýšenou spolehlivost

• Redundance (disky, síťové karty, silové napájení, datové propojení racků,

případně i procesory, paměti a servisní procesory)


Systém IBM i - bezpečnost 5/8

• Objektový systém (každý objekt je chráněn a auditován)

• Je zaručena nemodifikovatelnost (integrita) auditních logů tzv. žurnálů

• Veškeré citlivé objekty (úložiště hesel) jsou

uloženy v nejnižší vrstvě a jsou skryté

• Rezistentní vůči virům


IBM System i – i5/OS - logické části (LPAR) 6/8

• Umožňuje provozovat současně více systému na jednom HW (Sdílení CPU a operační paměti)

• Lze provozovat nativně i5/OS, IBM AIX - UNIX, Linux (RedHat, Suse – 32/64bitový) a za použití speciální karty i systém Windows 2000/2003 Server (Sdílení disků a zvýšená stabilita)


Integrace různých OS pomocí LPAR 7/8


Instalované CPU: 8,00 Instalovaná paměť (MB): 81920Konfigurovatelné CPU: 6,00 Konfigurovatelná paměť (MB): 65536

LPAR CPU MEMORY (MB)

CZPDN01 3,00 24064CZPDN02 0,56 8448CZTST01 0,10 2048ITPDN01 0,57 9216

ITPDN02 0,72 4096ITDVL02 0,29 1024PLPDN01 0,31 8192PLDVL01 0,12 1792UKPDN01 0,29 3072

Main storage: DIMM DDR2 (512MB, 1GB, 2GB, 4GB, 8GB a 16GB) Processor: Dual Chip Module (DCM): 2.2GHz L2 & L3 cache

Systém IBM i – příklad konfigurace - Model i570 pro 9 LPARů 8/8

5,96 61952


Software pro řízení informatiky

• Jednotná (jasná) terminologie

• Použití jednotné metodologie

• Sledování kvality poskytování IT služeb

• Plánování nárůstu výkonu, zaplnění diskové kapacity, průchodnosti sítí


Dohledové systémy 1/3• Dostupnost systému

• Zatížení systému

• Zaplnění diskového prostoru

• Doba odezvy


Dohledové systémy 2/3• Dohledové systémy:

– Jedno/Více platformové– Pro konkrétní aplikaci– Nepřeberné množství

• Komplexní řešení jsou finančně a lidsky nákladná


Dohledové systémy 3/3• IPSwitch - WhatsUpGold

• TANGO/04 – Visual Message Center

• Nastel – Autopilot

• Quest Software – FogLite

• CA - Unicenter

• HP – OpenView

• IBM - Tivoli


Systémy pro řízení přístupu 1/3• Sdružený přístup SSO (Single Sign-On)

– Uživatel se po přihlášení do primárního systému (zejména doména Windows) už nemusí znovu nikam přihlašovat.

– Uživatelé si nemusí hesla psát– Snížení počtu zablokovaných účtů


Systémy pro řízení přístupu 2/3• Sdružený přístup SSO (Single Sign-On)

– Aplikace a systémy to musí umožňovat – Přihlašování do druhé domény - zvýšení

bezpečnosti– Kerberos, časová synchronizace

• IBM - Tivoli Access Manager for Enterprise Single Sign-On

• SUN (Sada řešení – komplexní, web, Java)


Systémy pro řízení přístupu 3/3• Automatické vytváření účtů

– Na základě rolí pro konkrétní aplikace– SUN Identity manager

• Rekonciliace účtů– Pravidelné rušení nepoužívaných účtů– Měsíčně proti databázi zaměstnanců– Jednoznačný identifikátor zaměstnance


Deployment 1/3

• Rozmístění (distribuce) něčeho - odněkud-> někam

• Je třeba dodržet několik fází– Vytvoření (naprogramování) -> – přenos k 1. testování -> 1. testování1. testování -> – přenos k 2. testování (administrator) -> 2. 2.

testovánítestování -> – přenos do produkce - migrace (administrator)


Deployment 2/3

• Automatizace „na kliknutí“

• Oddělení rolí (oprávnění), logování

• Migrace do produkce – schválení (tester, aplikační admin, IT žadatel, vedoucí administrátorů, provádějící (administrátor)

• Testování přes více systémů – Development system -> Testovací systém


Deployment 3/3

• Aldon CMS (Change Management system)– Umí celý deployment proces– Hlídání verzí– Logování a zabezpečení– Rollback– Konverze dat při změně struktury tabulek


Vzdálený audit 1/2

• Vzdáleného prohlížení auditních logů

• Pro zajištení bezpečnosti logů (tj. že je nikdo nesmaže) se pouzívá ukládání logů na jiný systém.

• Aplikace kontrolující a shromažďující definované událostí


Vzdálený audit 2/2

• IBM Tivoli Compliance Insight Manager– Shromažďování událostí

– Online nebo dávkově

– Používá metodologii W7 (Who, did What, When, Where, Where from, Where to and on What)

– IBM System z a System i, IBM AIX, Sun Solaris, HP-UX, MS Windows a Linux

– IBM DB2 (System z, UNIX and Windows), Oracle Database Server, Microsoft SQL Server a Sybase ACE


Řízení zátěže

• Zejména pro webové (aplikační) servery

• Aplikace to musí podporovat

• Rozložení zátěže – 50/50

• Rozložení zátěže – Produkce-Zápis/Backup-Čtení

• Prioritizace úloh (Job Management)


Oblasti správy systému

• Bezpečnost

• Síťová komunikace

• Zálohování a obnova

• Správa databáze

• Řízení systému

• Hardware

• Plánování


Bezpečnost 1/4

• Stanovení pravidel

• Zákonné požadavky

• Interní předpisy


Bezpečnost 2/4

• Auditování aktivit

• Pravidelné rekonciliace uživ. účtů

• Revize přístupových oprávnění– uživatelské účty– Knihovny (databáze), souborový systém

• Omezený počet privilegovaných uživatelů

• Programové opravy (PTF)


Bezpečnost 3/4

• Uživatelské role– Administrátor systému– Bezpečnostní administrátor– Administrátor uživatelských účtů– Aplikační podpora– Technické účty

• Aktivní – Status *Enabled, heslo nastaveno, neexpirující)• Pasivní – Status *Disabled, heslo *NONE)

– Operátor provozu– Běžní uživatelé


Bezpečnost 4/4

• Defaultní hesla – kontrola

• Nepoužívané běžné uživ. účty stávajících zaměstnanců – blokování a pak odstranění


Síťová komunikace 1/2

• Stabilita

• Redundance– Virtuální IP– Zdvojení komunikačních cest

• Dokumentace

• Monitorování


Síťová komunikace 2/2

• Aktivní pouze nezbytné služby (porty)

• Omezení přístupu na služby (např. FTP, ODBC, DRDA)– Exit programy (Exit pointy)


Zálohování a obnova 1/6

• Prevence chyb obsluhy– Privilegovaný uživatel něco omylem smaže

nebo přepíše

• Potřeby zpětné komparace– Během aplikačních testů



• Pravidla pro zálohování– co zálohovat (DB, Systém)– jak dlouho uchovávat (DB, Systém)

• Zálohování DB– před nočním zpravování– po nočním zpravování



• Zálohování systému– Systém

– Uživ. účty a další bezpečnostní objekty

– Konfiguraci systému

– Uživatelské knihovny (Databázové, programové)

• Archivace– Zákonné požadavky

– Dohledávání prováděných operací

– Jak dlouho (6 měsíců - 15 let)



Příklad obnovy smazané produkční tabulky

1) Odstavení dotčené části aplikace

2) Obnova z poslední zálohy

3) Aplikace všech žurnálových změn

4) Nastartování aplikace


Zálohování a obnova - příklad z praxe 1/2

1) Nezkušený bezpečnostní administrátor nemohl během rekonciliace smazat profil bývalého administrátora, použil tedy parametr - smazat všechny objekty profilem vlastněné

2) Následkem toho došlo ke smazání 700 objektů přes celý systém


Zálohování a obnova - příklad z praxe 2/2

3) Ze systémových žurnálů bylo zjištěno, co bylo smazáno

4) Obnova objektů z nočních záloh

5) Provedena aplikace žurnálových změn

6) Odstávka aplikace byla několik hodin


Databáze

• Žurnálování DB změn

• Replikace DB

• Zálohování

• Archivace


DB – Terminologie SQL vs. i5/OS


Řízení systému

• Work management (řízení činnosti systému) – Členění a priority úloh

• Spool management (tiskárny a tiskové výstupy)


Hardware

• Plánování a konfigurace

• Instalace HW

• Monitorování

• Řešení problémů a servisu


Plánování

• Na rok – detailní, plánování rozpočtu

• Na tři roky – hrubý odhad pro ostatní týmy

• Statistický odhad nárůstu– Zátěže (navýšení CPU)– Zaplnění diskového prostoru (ASP)

• Pravidelné servisní poplatky (maintainance)


Datové centrumPro umístění Hardware na počítačovém sálu je třeba zajistitodpovídající podmínky:• Fyzická a požární bezpečnost• Napájení a chlazení• Sítě• Dvojité podlahy, stropní žlaby• Zálohování• Záložní pracoviště• Dozor 24/7, Monitoring


Reference i5/OS 1/4• AMATI - Denak, s.r.o. (Kraslice)

– Dechové hudební nástroje– EVIS/400 (ERP systém)

• BCPP - Burza cenných papírů Praha, a.s.– Organizátor trhu s cennými papíry v ČR – Hlavní obchodní aplikace (investiční obchody)

• ČSOB - Československá obchodní banka, a. s.– Bankovnictví– IBIS (Bankovní systém pro Corporate)


Reference i5/OS 2/4• GE Money Bank, a.s.

– Bankovnictví

– ICBS (Core bankovní systém)

– Nugget (Mzdy a personalistka)

• GPE s.r.o. (dříve Muzo)

– Bezhotovostní platby

– Bezhotovostní platby pro banky a finanční instituce v ČR a po celém světě


Reference i5/OS 3/4• KB, a.s.

– Bankovnictví

– Karetní systém

• OLMA, a.s.

– Potravinářství (mléčné výrobky)

– Řízení technologií


Reference i5/OS 4/4• Strojimport, a.s.

– Export a import strojírenských výrobků a zařízení– SPECTRUM/400 (ERP systém)

• Vysoká škola báňská – Technická univerzita Ostrava– Interní informační systém– Vědeckovýzkumné aktivity– RNDr. Ivo Martiník, Ph.D. ([email protected])

V ČR je přes 800 instalací i5/OS


Doporučení – obecně 1/3

• Udržování dobrých kontaktů mezi teamy

• Před-konzultace změn– Zmínit se o tom ve výtahu, na obědě, na nudné

poradě

• Umět dobře odvedenou práci prodat

• Dokázat říci „NE“

• Používat zdravý selský rozum


Doporučení – projekty 2/3

• Vždy se zamyslet nad tím:– co nám to přinese– co do toho vložíme – jestli to vůbec potřebujeme

• Dokumentovat si postupy (např. Notepad)– Možnost jednoduše opakovat již nalezené– Dobrý základ pro pozdější dokumentaci


Doporučení – vedení 3/3• Podávat podřízeným zpětnou vazbu (ale i

obráceně)• Ocenit dobře odvedenou práci:

– Mimořádná odměna– Volno navíc

• Vycítit nespokojenost podřízeného– Předejít odchodu klíčových zaměstnanců– Pohovor pomůže nespokojenost vyřešit– Dodržet slíbené


Na co pozor!

• Co se nedotáhne hned, to se táhne...

... a zpravidla nedodělá

• Udržovat aktuální dokumentaci!

• Zálohovat nejen kritická data...

• „Uděláme to dočasně, pak se to předělá...“

• „Potřebujeme to provozovat jen chvilku...“

• „Já o tom nic nevím, v mailu to nemám...“


Odkazy na Internetu:Google – nejen vyhledávačhttp://www.google.cz

IBM System i and i5/OS Information Centerhttp://publib.boulder.ibm.com/infocenter/systems/scope/i5os/

IBM – velká modráhttp://www.ibm.com/cz/

Support for IBM System ihttp://www.ibm.com/systems/support/i/

Tato prezentace se nachází na:http://www.boruvka.cz/VSE/

http://www.google.cz/




http://publib.boulder.ibm.com/infocenter/systems/scope/i5os/















http://www.ibm.com/cz/







http://www.ibm.com/systems/support/i/







http://www.boruvka.cz/VSE/






Dotazy, diskuze

Date post:	18-Jan-2016
Category:	Documents
Upload:	fionan
View:	48 times
Download:	6 times

VŠE - Systém „IBM i“ a správa systémů v praxi

Documents