金融是現(xiàn)代經(jīng)濟(jì)的核心,是國家經(jīng)濟(jì)的命脈��,維護(hù)金融安全��,是經(jīng)濟(jì)平穩(wěn)健康發(fā)展的重要基礎(chǔ)�����。CentOS作為一款在金融行業(yè)中有著廣泛應(yīng)用的開源服務(wù)器操作系統(tǒng),其停服帶來巨大的安全風(fēng)險(xiǎn)���。麒麟軟件作為中國操作系統(tǒng)的核心力量��,為應(yīng)對(duì)停服打造了完善的解決方案�����,提供業(yè)務(wù)系統(tǒng)全棧改造����、業(yè)務(wù)系統(tǒng)平滑遷移、安全接管服務(wù)等滿足不同應(yīng)用場景的用戶需求�����,為金融業(yè)務(wù)系統(tǒng)穩(wěn)定�����、安全運(yùn)行保駕護(hù)航��。近日���,金融電子化公眾號(hào)刊登文章�,詳細(xì)介紹麒麟軟件CentOS遷移解決方案在金融用戶系統(tǒng)遷移中的成功應(yīng)用��,為金融和其他行業(yè)應(yīng)對(duì)停服挑戰(zhàn)提供了有益的借鑒和參考。
2020年12月8日����,CentOS社區(qū)官方宣布其原有的操作系統(tǒng)版本將陸續(xù)停止維護(hù)服務(wù)。CentOS停服將導(dǎo)致系統(tǒng)安全漏洞無社區(qū)支持�����,給部署在服務(wù)器上的業(yè)務(wù)系統(tǒng)帶來嚴(yán)重的安全隱患�����。在業(yè)務(wù)層面�����,漏洞更新停止�����,關(guān)鍵漏洞無法及時(shí)修復(fù)��,安全和維護(hù)服務(wù)缺位��,業(yè)務(wù)安全得不到有效保障����。在技術(shù)層面,開源社區(qū)版本缺少安全和持續(xù)維護(hù)保障�,已停服版本上運(yùn)行的應(yīng)用和驅(qū)動(dòng),不能在新系統(tǒng)上進(jìn)行有效銜接和適配�,應(yīng)用系統(tǒng)穩(wěn)定運(yùn)行面臨挑戰(zhàn)。
麒麟軟件作為國內(nèi)主要的操作系統(tǒng)廠商����,為應(yīng)對(duì)CentOS停服帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),保障應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行��,已形成系統(tǒng)遷移和安全接管解決方案�����,為金融業(yè)務(wù)系統(tǒng)穩(wěn)定���、安全運(yùn)行保駕護(hù)航����。
現(xiàn)狀挑戰(zhàn):金融行業(yè)如何應(yīng)對(duì)CentOS停服
CentOS作為一款開源服務(wù)器操作系統(tǒng)��,在金融行業(yè)中有著廣泛應(yīng)用����,為許多重要業(yè)務(wù)應(yīng)用提供了基礎(chǔ)運(yùn)行環(huán)境��。目前金融行業(yè)頭部企業(yè)已經(jīng)相繼開展CentOS停服應(yīng)對(duì)工作���,并初步列出目標(biāo)與計(jì)劃。
在此過程中����,業(yè)務(wù)系統(tǒng)開發(fā)和運(yùn)維人員面臨的挑戰(zhàn)主要有以下三點(diǎn):
1.在業(yè)務(wù)系統(tǒng)新建或擴(kuò)容情況下,選擇全棧創(chuàng)新架構(gòu)���,該如何進(jìn)行業(yè)務(wù)系統(tǒng)遷移改造/適配;
2.在業(yè)務(wù)系統(tǒng)不變的情況下����,利舊Intel硬件服務(wù)器,該如何降低業(yè)務(wù)系統(tǒng)遷移改造工作量���;
3.若不具備操作系統(tǒng)變更條件�����,如老舊業(yè)務(wù)系統(tǒng)無人維護(hù)���、核心關(guān)鍵業(yè)務(wù)系統(tǒng)暫時(shí)不能變更等�����,該如何應(yīng)對(duì)CentOS停服挑戰(zhàn)���。
解決方案:麒麟軟件CentOS停服應(yīng)對(duì)方案
1.方案一:業(yè)務(wù)系統(tǒng)全棧改造遷移方案
在業(yè)務(wù)系統(tǒng)擴(kuò)容與業(yè)務(wù)系統(tǒng)新建的場景下,用戶可選擇進(jìn)行全棧創(chuàng)新架構(gòu)改造�����。麒麟軟件針對(duì)性地提供了遷移評(píng)估工具幫助用戶評(píng)估遷移到銀河麒麟服務(wù)器操作系統(tǒng)的工作量��,降低業(yè)務(wù)系統(tǒng)改造適配難度�,將遷移風(fēng)險(xiǎn)降到最低,提升遷移效率�,助力應(yīng)用軟件完成全棧創(chuàng)新架構(gòu)業(yè)務(wù)系統(tǒng)開發(fā)。
2.方案二:業(yè)務(wù)系統(tǒng)平滑遷移方案
國內(nèi)多數(shù)用戶的業(yè)務(wù)系統(tǒng)仍運(yùn)行在Intel架構(gòu)服務(wù)器上�,短期內(nèi)完全升級(jí)為全棧創(chuàng)新架構(gòu)工作量較大,因此為了協(xié)助用戶平穩(wěn)過渡�����,麒麟軟件提供銀河麒麟服務(wù)器操作系統(tǒng)遷移工具���,實(shí)現(xiàn)利舊Intel設(shè)備�����,不進(jìn)行業(yè)務(wù)系統(tǒng)變更����,完成服務(wù)器操作系統(tǒng)遷移工作。
對(duì)于目前不具備遷移條件的業(yè)務(wù)系統(tǒng)���,保障現(xiàn)有操作系統(tǒng)安全穩(wěn)定運(yùn)行�����,麒麟軟件依托于自身技術(shù)服務(wù)體系��,形成安全接管服務(wù)解決方案。安全接管服務(wù)覆蓋CentOS 6��、7���、8和其他未停止服務(wù)產(chǎn)品����。面向不同用戶需求,麒麟軟件提供標(biāo)準(zhǔn)服務(wù)�����、高級(jí)服務(wù)����、駐場服務(wù)等三類服務(wù)項(xiàng)目,用戶可根據(jù)實(shí)際需求進(jìn)行選擇�����。
執(zhí)行步驟:操作系統(tǒng)遷移關(guān)鍵動(dòng)作6步走
麒麟軟件為用戶提供了遷移適配作業(yè)指導(dǎo)書����,結(jié)合操作系統(tǒng)遷移方案和項(xiàng)目實(shí)踐,給出調(diào)研評(píng)估����、遷移準(zhǔn)備、實(shí)施驗(yàn)證�、業(yè)務(wù)切換、試運(yùn)行���、正式上線等6個(gè)實(shí)施步驟的建議�����。
1.調(diào)研評(píng)估——摸家底選系統(tǒng)
該階段主要工作目標(biāo):摸清家底��,綜合評(píng)估選定擬遷移的業(yè)務(wù)系統(tǒng)���。全面盤點(diǎn)用戶企業(yè)信息化系統(tǒng)建設(shè)情況�,梳理業(yè)務(wù)開展情況����,進(jìn)行目標(biāo)遷移系統(tǒng)的篩選,合理匹配資源�,完善風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案。
2.遷移準(zhǔn)備——細(xì)規(guī)劃重適配
該階段主要工作目標(biāo):根據(jù)實(shí)際遷移需求��,做好遷移規(guī)劃設(shè)計(jì)�����,重視軟件適配改造及硬件兼容適配��。根據(jù)選定的業(yè)務(wù)系統(tǒng)情況及遷移需求分析���,確定采取新建遷移或保持存量系統(tǒng)不變����。存量場景下確定各業(yè)務(wù)系統(tǒng)�、平臺(tái)、基礎(chǔ)軟件�、整機(jī)是否有廠商支持,明確責(zé)任方�����。
3.實(shí)施驗(yàn)證——定策略嚴(yán)驗(yàn)證
該階段主要工作目標(biāo):根據(jù)遷移準(zhǔn)備情況���,制定生產(chǎn)環(huán)境部署����、數(shù)據(jù)備份遷移�����、割接策略��,并在實(shí)驗(yàn)室環(huán)境進(jìn)行嚴(yán)格驗(yàn)證��。實(shí)驗(yàn)環(huán)境及測試數(shù)據(jù)應(yīng)盡可能反映最終生產(chǎn)環(huán)境的實(shí)際情況,針對(duì)實(shí)驗(yàn)環(huán)境部署情況����,制定生產(chǎn)環(huán)境部署策略。
4.業(yè)務(wù)切換——穩(wěn)遷移迎切換
該階段主要工作目標(biāo):根據(jù)實(shí)驗(yàn)驗(yàn)證確定遷移方案����,穩(wěn)步實(shí)施遷移,迎接切換里程碑�����。業(yè)務(wù)切換建議以新舊系統(tǒng)雙軌模式開展工作�,即以舊系統(tǒng)為主,新系統(tǒng)為輔���,通過業(yè)務(wù)分流策略�,對(duì)新業(yè)務(wù)系統(tǒng)進(jìn)行上線使用����,待經(jīng)過充分試運(yùn)行后,逐步進(jìn)行舊系統(tǒng)下線��,在此過程中要保持新舊系統(tǒng)協(xié)同聯(lián)動(dòng)�����,制定完善的切換應(yīng)急方案�。
5.試運(yùn)行——促優(yōu)化保運(yùn)行
該階段主要工作目標(biāo):進(jìn)入試運(yùn)行階段,需監(jiān)控此階段暴露的問題����,促進(jìn)業(yè)務(wù)系統(tǒng)優(yōu)化,并監(jiān)督后續(xù)運(yùn)維工作��,保障業(yè)務(wù)系統(tǒng)運(yùn)行����。可通過試運(yùn)行階段的運(yùn)維監(jiān)控工具對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控來暴露隱藏問題或異常狀況�,廠商和用戶協(xié)同定位問題解決問題,并在必要時(shí)進(jìn)行雙規(guī)應(yīng)急切換工作或業(yè)務(wù)回退工作�����,以保障業(yè)務(wù)系統(tǒng)在試運(yùn)行��。
6.正式上線——常監(jiān)控抓運(yùn)維
該階段主要工作目標(biāo):進(jìn)入正式上線階段���,需進(jìn)行日常監(jiān)控���,并緊抓運(yùn)維工作����,保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行���。
實(shí)踐案例:麒麟軟件助力中華財(cái)險(xiǎn)系統(tǒng)遷移
中華聯(lián)合財(cái)產(chǎn)保險(xiǎn)股份有限公司(以下簡稱“中華財(cái)險(xiǎn)”)生產(chǎn)業(yè)務(wù)系統(tǒng)和測試系統(tǒng)的操作系統(tǒng)以CentOS為主����。一方面由于停服影響��,需要盡快將CentOS之上的業(yè)務(wù)遷移到其他穩(wěn)定可靠�����、可提供持續(xù)服務(wù)的操作系統(tǒng)上�;另一方面由于業(yè)務(wù)需要,中華財(cái)險(xiǎn)正在規(guī)劃機(jī)房搬遷�,希望在搬遷的同時(shí),完成操作系統(tǒng)整體遷移工作����。
麒麟軟件為中華財(cái)險(xiǎn)提供完整的遷移實(shí)踐指導(dǎo),共同規(guī)劃和制定遷移方案���。雙方組建了操作系統(tǒng)和應(yīng)用遷移的專項(xiàng)工作團(tuán)隊(duì)�,在技術(shù)突破與合理規(guī)劃兩方面的保障下,最終出色完成操作系統(tǒng)遷移工作���。
1.調(diào)研分析技術(shù)架構(gòu),明確遷移策略
首先圍繞中華財(cái)險(xiǎn)原有應(yīng)用情況和技術(shù)架構(gòu)展開調(diào)研分析��,其中涉及數(shù)十套主要業(yè)務(wù)系統(tǒng)��。應(yīng)用普遍采用Java開發(fā)語言�����,基礎(chǔ)架構(gòu)采用開源中間件��、商業(yè)數(shù)據(jù)庫等����,操作系統(tǒng)涉及CentOS的多個(gè)版本。
業(yè)務(wù)應(yīng)用遷移除技術(shù)架構(gòu)問題以外��,由于業(yè)務(wù)�、數(shù)據(jù)之間的關(guān)聯(lián)性,停機(jī)窗口的選擇至關(guān)重要����。結(jié)合中華財(cái)險(xiǎn)的現(xiàn)實(shí)情況�����,項(xiàng)目組計(jì)劃借助機(jī)房搬遷窗口�����,預(yù)計(jì)耗時(shí)1個(gè)月左右���,在搬遷的同時(shí),完成操作系統(tǒng)遷移工作�����。這對(duì)于整體大規(guī)模遷移操作系統(tǒng)來講是非常大的挑戰(zhàn)����。
根據(jù)業(yè)務(wù)情況,中華財(cái)險(xiǎn)和麒麟軟件一起規(guī)劃了以周為單位��,分4個(gè)批次實(shí)施遷移�����。以漸進(jìn)式節(jié)奏進(jìn)行規(guī)劃:第一周以團(tuán)隊(duì)磨合、工具開發(fā)����、工作流程完善為主,選擇典型系統(tǒng)進(jìn)行遷移����;第二和第三周,通過總結(jié)優(yōu)化的工作流程����、工具方法開展批量化遷移�,同步開展業(yè)務(wù)驗(yàn)證;第四周做補(bǔ)充完善工作�����,對(duì)遺留的業(yè)務(wù)系統(tǒng)��、需要補(bǔ)錄數(shù)據(jù)的業(yè)務(wù)系統(tǒng)進(jìn)行完善�。
2.采用有效技術(shù)手段,快速完成遷移
借助前期詳細(xì)的調(diào)研和策略準(zhǔn)備���,中華財(cái)險(xiǎn)業(yè)務(wù)部門��、技術(shù)保障部門與麒麟軟件聯(lián)合攻堅(jiān)����,果斷實(shí)施、及時(shí)復(fù)盤�����、快速調(diào)整���,最終保障了主體遷移目標(biāo)的完成�。
(1)操作系統(tǒng)兼容能力驗(yàn)證
經(jīng)過測試��,在麒麟軟件提供的銀河麒麟服務(wù)器操作系統(tǒng)環(huán)境中��,安全基線配置工具可以正常運(yùn)行����,滿足安全要求。經(jīng)過評(píng)估���,各個(gè)組件的主線版本均一致��,雖小版本存在差異�,但中標(biāo)麒麟操作系統(tǒng)做到了組件向上兼容,因此組件小版本差異不影響應(yīng)用程序使用���。
(2)操作系統(tǒng)大規(guī)?�?焖俨渴?/strong>
利用虛擬化平臺(tái)模板工具����,按照原業(yè)務(wù)系統(tǒng)數(shù)量���、配置����,創(chuàng)建麒麟操作系統(tǒng)虛擬機(jī)模板�,在業(yè)務(wù)系統(tǒng)部署時(shí)�,套用模板可以完成大量操作系統(tǒng)實(shí)例的創(chuàng)建,并減少逐個(gè)配置工作��,大大縮短了遷移耗時(shí)����,保證了項(xiàng)目時(shí)效性。
(3)應(yīng)用自動(dòng)化平滑遷移
由于遷移工作涉及的業(yè)務(wù)系統(tǒng)均為中華財(cái)險(xiǎn)實(shí)際運(yùn)行中的生產(chǎn)業(yè)務(wù)系統(tǒng),如何保證業(yè)務(wù)連續(xù)�、無感知遷移成為遷移工作的核心目標(biāo)。麒麟工程師開發(fā)了相應(yīng)的系統(tǒng)遷移工具���,大大加速了系統(tǒng)遷移進(jìn)程�。結(jié)合遷移之前的系統(tǒng)調(diào)研信息����,對(duì)操作系統(tǒng)設(shè)置、用戶權(quán)限及群組�����、應(yīng)用部署路徑及數(shù)據(jù)路徑做好規(guī)劃和初始配置���。前期調(diào)研越充分�����,遷移過程越順利����。
(4)遷移步驟及時(shí)優(yōu)化調(diào)整
遷移實(shí)施前期�,業(yè)務(wù)人員與技術(shù)人員每天對(duì)當(dāng)前遷移內(nèi)容進(jìn)行復(fù)盤�����,并進(jìn)行快速調(diào)整�����,進(jìn)一步優(yōu)化數(shù)據(jù)遷移同步工具��、批量化模板部署��,改進(jìn)執(zhí)行步驟���,保障后續(xù)遷移的成功率和執(zhí)行效率,從而確保最終完成主體目標(biāo)�。
3.系統(tǒng)遷移工作成效
通過本次遷移,驗(yàn)證了CentOS遷移到麒麟操作系統(tǒng)的方案可行性�����,也證明了麒麟操作系統(tǒng)對(duì)于金融行業(yè)重要業(yè)務(wù)系統(tǒng)的技術(shù)支撐能力��。中華財(cái)險(xiǎn)采用麒麟服務(wù)器操作系統(tǒng)�,僅耗時(shí)一個(gè)月完成了千余套存量服務(wù)器操作系統(tǒng)的遷移工作�,操作系統(tǒng)遷移比例高達(dá)98%。該方案充分考慮了業(yè)務(wù)應(yīng)用的兼容性、遷移可行性����、快速驗(yàn)證實(shí)施等方面因素。遷移后�,操作系統(tǒng)運(yùn)行穩(wěn)定,應(yīng)用程序運(yùn)行正常���,業(yè)務(wù)系統(tǒng)功能正常�����,業(yè)務(wù)數(shù)據(jù)完整��,充分驗(yàn)證麒麟操作系統(tǒng)可以支持保險(xiǎn)公司業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行���,為后續(xù)大批量的系統(tǒng)遷移提供了寶貴經(jīng)驗(yàn)。
麒麟動(dòng)態(tài)
