导语
华南零售行业全渠道联盟,简称“南零商盟”,华南时尚行业CIO联盟和广州鞋服行业信息化联盟、华南CIO联盟、华南智慧商品联盟唯一联合指导交流社群,汇聚服饰、时尚行业新零售全渠道搭建双方的精英联盟;
| 专心 | 专业 | 专研|
时尚行业信息化第一微信公号
第106期“南零商盟”微谈会于2019年9月26日晚上8点正式开播,本次分享嘉宾是来自东莞慕思寝具的曾令萍总为大家分享“浅谈IT基础架构规划”。
嘉宾介绍
从事企业信息化基础架构工作15余年,先后通过CCNA/CCNP/ITIL/MCSE/RHCE培训认证;
现就职于东莞市慕思集团,主要负责公司服务器、网络基础架构建设与规划、私有云建设与运维管理等;
对制造业企业环境信息化基础架构设计与建设拥有丰富的工作经验,擅长将企业网络化繁为简,熟悉企业信息化安全管理、企业私有云规划与应用等领域。
各位朋友,大家晚上好!非常荣幸有机会与各位进行交流,交流之前首先非常感谢黄总的盛情邀请,也非常感谢今晚的主持人董小姐,然后还有在线收听的朋友们,因为第一次分享,所以在分享过程中难免有些不足,还请大家多多见谅。今晚分享的主题是浅谈IT基础架构规划,因为群里有很多大咖,所以只能说是浅谈,如果今晚分享的内容能给朋友们提供些启发或参考,将非常荣幸。
今晚我将主要从以上8个议题展开分享,欢迎大家收听。
从上面的PPT可以看出,其实IT基础架构主要是支撑业务系统,在后端默默支撑前端业务系统的稳定运行。我们的工作就像是搞建筑基础的,待房子装修完后,大家看到的只是富丽堂皇的表面装饰,而忽略了基础中的钢筋和水泥,可能在部分CIO或IT负责人眼里也是比较容易被忽略或者说不被重视的部分,因为大家关注更多的是业务系统的上线与项目管理,比如ERP、MES、OA或者CRM等各应用系统。
大家先看上面几个图,相信网管或者网络工程师、运维工程师都非常熟悉这些熟悉的画面,网络千头万绪,网线就像蜘蛛网一样,没有理线,没有标签,各种网络问题随时都有可能发生,网络环路、短路、ARP广播风暴隐患时刻存在。理想很丰满,但现实工作中就很容易遇到这些环境。
看别人家的机房、布线是什么样子的,标准的机房布线跟我们现实中企业实际环境完全不一样,机房宽敞明亮,布线走线整齐规范有序。这里要温馨提示一下,图片来源于网络,仅作为范例讨论,不是针对某个公司的,希望大家不要对号入座。
上面这张图,我们主要讲一讲基础架构包含什么,有网络、服务器、存储系统、安全系统、监控平台和终端用户。在基础架构的规划方面有几个建议,一个是基于现状、面向未来,即结合企业目前的现状规划但要有一定的前瞻性,下一个是保护投资、注重实效,避免投资的浪费、重复投资或过度投资,接下来是科学规划,提升现有运算能力或运行效力。最后一个是适度领先、切实可行,就是做的规划不能太落后或太超前,既要接地气,考虑成本并严格控制成本,如果方案过度领先,选择的技术过度先进可能存在落地困难或存在兼容性,可行性不好,因此在基础架构规划时要特别注意这些问题。
建设一个技术比较先进、标准与规范的信息化基础架构,为企业内部应用系统提供统一安全、可管理的标准化信息基础设施,提高信息基础架构的性能和降低资源管理成本,从而在企业内部形成良好的IT环境,各种业务系统、应用系统和数据都不受约束地在其上面有效的配合、安全、高效稳定运行,提供有效的备份与容灾方案。个人认为,这是我们IT基础架构建设的最终目标。
在基础架构的规划过程中,我们可以参考国际上知名的标准体系,比如参考TOGAF企业架构与信息化的顶层设计,在IT基础架构的运维可参考ITIL服务管理标准,一套被业界广泛认可的用于有效IT服务管理的最佳实践准则,在安全管理方面可以参考信息安全管理体系标准ISO27001,可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的ISO9000标准。
如上图所示,在基础架构的网络拓朴结构中,通常广域网进来后是协转、光纤收发器或光猫和路由器,然后接入企业防火墙,如果要考虑冗余架构或网络带宽负载均衡,要考虑双线或多线接入,然后接入双台或多台防火墙并启用HA高可用性,接下来是接入企业核心交换机,再下一层是汇聚交换机,最后接入层交换机,后面是无线或者终端的用户接入,考虑网络的高可用和高可靠,建议全部采用双链路的架构,服务器放在DMZ或者独立的VLAN去处理,通过内部防火墙隔离,在服务器规划时还有私有云、服务器虚拟化、数据中心、存储或存储双活,在终端用户规划时目前很多企业已经采购桌面云解决方案,可以有效减少繁琐的桌面运维工作、数据集中存储统一管理、从长远看还可以节约大量的终端用电成本。
另外,现在有些制造业上了数字化工厂或者MES系统,里面涉及到一些工业环网,是针对生产系统的,工业网络与普通的业务网络是隔离的、独立的,它的网络结构是完全不一样的,我们普通网络是星型结构,而工业网络是环形架构,整个网络呈现一个大环,大环里有小环,形成整个环路,它的工业交换机与普通的网络交换机不同,采用的是MRP介质冗余协议,是一个支持IEC组织制定的 IEC 62439-2 标准的数据网络协议,它允许以太网交换机成环状连接,以在发生单点故障时获得比生成树协议更快的恢复时间,它适用于大多数工业以太网应用场合。
MRP工作在数据链路层的MAC子层,是Hirschmann在1998年开发的HiPER-Ring协议的直接演进版。Hirschmann现在由Belden拥有。工业以太网交换机通常都支持MRP。在MRP环中,环管理器被命名为媒体冗余管理器(MRM),而环客户机被命名为媒体冗余客户机(MRCs)。注:普通业务网络交换机使用的是STP生成树协议确保网络不被环路。
企业总部与分支机构互联,比如说集团公司广州是总部,菲律宾有分厂,香港有分公司,然后三地都有ERP要跑,数据中心放在广州,国内还有清远、东莞工厂,他们之间都是通过MPLS VPN国际互联,比如说东莞和清远、广州之间,可以通过更便宜的省内互联方案,比如说MSTP透明光纤链路互联,国际互联采用MPLS VPN解决方案,主干租用ISP骨干网上跑,网络稳定性就更有保障,特点时延时小,稳定性与可用性高,成本高;备用链路会考虑用自建IPSec VPN,预防主干线路故障时接管,确保业务正常运行,对于经常出差的中高层管理、业务、客服或者质检等人员,远端接入的话可考虑使用SSL VPN、L2TPVPN或者IPSec VPN,通过远程拔入VPN方式访问公司网络资源,实现远程办公。我经常听群里有朋友说,国外的网络访问国内的服务器为什么那么慢?如果采用自己组建的IPSec VPN,这种慢是正常的,延时比较大,甚至还有较大的丢包率,因此,在成本允许的前提下,我们推荐做法是租用运营商的MPLS VPN线路实现跨国际互联。
对于部分应用需要外部用户或合作伙伴远程访问,例如供应商或经销商等用户群,推荐的做法是应用虚拟化,比较成熟的解决方案有Citrix Xen App、MicrosoftRemoteApp等产品,可以在低带宽的环境下让外部用户安全、高效、便捷的访问企业内部应用,实现资源共享;
在基础架构的安全管理方面,主要涉及到几个:基础设施安全管理、网络边界安全管理、威胁与漏洞管理、应用与数据安全、移动设备安全管理,另外是身份与访问管理,就是身份验证管理。在帐户安全方面,这里提供一些建议供参考:
1、 设定安全策略,合理设置密码,不要太简单的密码,或者特别容易猜测的密码;
2、 有些系统或网络设备自带默认密码的,开机后要及时更改密码,默认密码存在严重的安全隐患;
3、 建议不同的应用系统使用不同的独立密码,如果使用统一身份认证的方法是另外一回事;
4、 不要使用具有特殊特征的密码,比如说名字拼音、生日或者QQ号码之类的;
5、 不要在自己核心账户设置弱密码,特别关键的应用系统密码要设置更强更复杂一些;
6、 不要在终端设备或公用电脑上记录密码,不要启用密码记忆功能,因为别人用你的电脑就可以直接访问你的系统,这是非常不安全的。
7、 推荐的做法,当有生物特征认证时,优先使用生物认证的方式去登陆,比如启用指纹认证,现在比较流行人脸识别,这都是比较推荐的做法。
8、 定期修改密码,不能一个密码用几年或长期使用,建议最长不超过90天更改密码,密码长度使用8个字符以上,启用密码复杂策略,密码不少于3种不同字符组成,更新密码不要与之前的密码相同。
关于网络边界安全,主要是在网络边界安装防火墙或者IPS/IDS设备,外网访问内网进行严格的准入限制策略,外部访问内部服务器推荐使用跳板机,增强边界网络安全,防火墙要每年续费购买服务,包括硬件维保与软件更新,购买IPS-AV-URL功能集升级服务,做到IPS/URL/AV病毒定义库实时更新;
威胁与漏洞的管理和扫描通过IPS/IDS/态势感知平台去管理与分析和控制;
应用和数据的安全,制定备份策略实现定期增量备份与完全备份,安全首选异地备份,因条件限制无法做到异地,建议在不同机房间互相备份;如在只有一个机房的条件下,至少做到异机备份,或者物理备份(如磁带机,小公司可能会用移动硬盘做备份)。总之,要确保具有有效备份。
移动设备与终端安全管理,移动设备接入后,访问业务网络要做准入控制授权与认证,超时重新登录等。所有的终端电脑设备接入网络后都要确保安装有效的杀毒软件,并保持病毒定义库实时更新,推荐使用企业版杀毒软件集中管理与统一制定策略更新与下发定时扫描任务;
基础设施安全管理,如数据中心机房,最基本的是所有的设备做到防盗、防火、防水、防潮、防鼠,电力供应稳定,确保网络安全与系统稳定。
最近几年因为勒索病毒的不断更新和升级,形成了一个庞大的黑色产业链。为预防勒索病毒,一个新的网络安全管理平台应运而生——态势感知,提前感知网络状态,通过探针服务探测网络中可疑病,企业网络安全运行的各项要素进行关联分析,预测未来一段时间内的安全影响趋势,实现威胁识别、精准监管、整体协同,预警响应的一体化管理。采集各类安全状态信息,分析汇聚安全事件、网络攻击;分析预判安全风险,挖掘信息安全提示。风险威胁实时感应,主动聚集一览无余;智能关联因果关系,预知安全症结隐患并协同处置;
目前国内有一些安全厂商做态势感知平台的产品,如大家兴趣,可以去详细了解与深入接触。
关于网络安全监控平台,我列举了一些比较常用的产品,有Zabbix、Cacti、Nagios、solarwinds,还有国产开源产品WeADMIN。ZABBIX二开功能非常强大,但应用难度也比其他平台稍微难一点,而Cacti主要是做一些网络设备接口流量的监控,或者通过插件实现对网络设备的Up & Down状态监控。Zabbix可以做到应用服务,可以针对每个应用进行详细监控,出现异常实时报警,报警方式也可以通过二开实现短信、微信、邮件、语音报警,并可通过脚本实现对服务出现异常时自动重启服务,同时也可以做接口的流量监控,通过RRD Tools的工具画图。Solarwinds是基于Windows平台的商业软件,功能强大,对于不太喜欢使用开源产品的朋友们,也是一个不错的选择。而国产WeADMIN功能也比较强大的,然后界面中文化,能实现很多功能,包括简单的资产管理功能,有兴趣的朋友可以去官网详细了解;
关于VeeamONE产品,面向所有工作负载的 IT 监控解决方案,它主要是针对VMware/Hyper-V虚拟化平台资源监控,24×7 全天候实时监控,具有简单的文档和管理报告功能,资源优化建议,备份基础架构审计、用于快速修复已知问题的智能自动化、热图、代理监控和报告增强功能、备份合规报告等!轻松检测可能影响业务运营的问题,密切监控和确保关键工作负载和基础架构的可用性,包括虚拟机CPU、内存使用率、硬盘使用状态等,个人非常推荐使用它去管理与监控服务器虚拟化平台,实时掌握资源使用状态。Veeam ONE有免费版与收费版,免费版中很多功能跟收费版相似,但收费版支持更多代理服务器和存储库,免费版即社区版支持您免费监控最多三台代理服务器和三个存储库。
做好IT基础架构规划,备份与容灾是工作中的重中之重,如果没有备份,出现问题无法恢复或回退,后果将不堪设想。在备份方案中分几个级别,有数据级别、应用级别以及业务级别;
数据级备份方案的特点成本较低,恢复时间较长,业务系统恢复难度比较高,投资较小;
应用级备份方案的特点:业务系统恢复比较快,恢复难度较低,成功率高,投资较高;
业务级备份方案的特点:基本是持续可用的,恢复时几乎不用人工干预的,技术实现复杂,难度高,在硬件与软件的投入成本相比前两个方案都高许多。
关于业务的高可用率,或SLA,经常会听到几个九的服务,我列了个表,大家有兴趣可以看一下,比如说四个九,全年的中断时间大约52分钟。如果达到五个九的话,全年业务中断时间大概是五分钟。
我们在做容灾需求分析时,要明确容灾的级别,根据业务需求做好容灾的评估,在主数据中心发生灾难时,能够快速将业务系统切换到备份环境;并在既定计划时间内完成业务系统的平滑过渡;在方案设计初期,要在投资成本与宕机时间之间找到一个平衡点,平衡点要考虑几个因素:包括内部及外部审计策略、公司形象、SLA、业务损失、业务持续;在这里列举两个大家都听过的案例供参考。
案例一:在2017年6月马士基电脑系统被勒索病毒Petya攻陷,致使公司至少造成2亿到3亿美元的直接损失,导致公司整个“基础设施”几乎都重新安装了一遍。在10天时间内,马士基重新安装了4000台服务器,4.5万台PC主机以及2500款应用程序;
案例二: 台积电在2018年8月2日傍晚遭勒索病毒入侵,并于当晚10时许扩散至三大厂区。台积电公告推算,事件发生后约40小时恢复八成机台生产作业,预计在关键的60小时“排毒行动”后有望全数排除电脑病毒。但比原先预期慢了约一天,受冲击营收也比预期大,将冲击第三季度营收约3%,约为87亿元新台币(约合人民币17.7亿元。注:数据来自网络。)
关于备份和容灾的建设步骤,
第一阶段是起步阶段,网络、存储虚拟化及核心网络二层MPLS网络互联,实现信息系统的数据级容灾,此步骤在容灾规划中的是一个起步阶段。
第二阶段是发展阶段,主机虚拟化及服务器高可用集群,实现信息系统应用级容灾。
第三阶段是拓展阶段,实现网络接入三层互联及云管理平台,实现信息系统的业务级容灾,业务级容灾的话,刚才我们也提到投资成本比较高。
容灾设计要考虑系统的数据丢失量,RPO简单的描述就是企业能容忍的最大数据量,就是系统把数据恢复到灾难发生前时间点的数据,它是衡量企业在灾难发生后会丢失多少数据的一个指标。由于实现“零数据丢失”需要巨大投入的基础架构、带宽和软件成本,这就使“零数据丢失”只能够用于极度昂贵的数据,而不能用所有的情况,比如说金融行业或电信系统数据,所以企业需要确切地确定它能够承担在一次灾难中丢失多少数据。上面有一个简单的结构图,主数据与备份数据之间有个时间点和数据备份点,按既定的备份计划去备份,在恢复过程中,恢复备份前的数据肯定是有个数据丢失量,就是要考虑企业能容忍的最大数据丢失量。
在基础架构比较重要的环节或者场景,就是数据中心的机房规划与建设,需要考虑以下几个因素:
(1)装修要符合机房的装修标准;
(2)机柜与PDU,首先设计要多少个机柜,需要多少平方的空间做机房;
(3)承重系统,标准机房都会配有UPS,另外附带一组或多组蓄电池,电池是非常重要的,机房所放楼层要考虑承重问题;
(4)供电系统,在比较稳定可靠的计划环境下,要考虑多路电力接入或者独立市电接入,配套UPS,推荐的做法是接入两路市电;并配备STS电源切换系统;
(5)新风系统即换风系统,精密空调系统考虑主备切换,接下来是机房布线、KVM管理系统,现在虚拟化应用广泛之后,KVM管理功能越来越弱化了,大部分都远程管理了,KVM使用率反而更低了;
(6)消防系统,就是机房设计装修,或者做项目时考虑消防系统,要把原有的普通消防喷头拆除,如果不拆除或封堵,万一出现异常情况喷头直接喷水的话,后果不堪设想,因为有些企业的机房一开始可能是办公室或者会议室,改成机房就需要拆除消防淋水喷头;
(7)防雷接地,做好一个切实可行的防雷接地;
(8)动环监控系统,即机房的环境要实时监控,出现异常时并能及时发短信、邮件或语音通知管理员去现场人工排查干预,排除异常情况;
(9)门禁系统,机房物理安全管理就是门禁管理,比如人脸识别、指纹识别去控制及记录,还有人员出入的视频监控录像系统。
IT年度预算管理原则及注意事项,预算还包含业务系统的预算,大部分企业预算主要是保持现有业务的正常运转,大概占比60%以上,系统更新大约占比20%,创新与开发新能力13%左右,这取决于企业实际情况,只是参考并不是标准答案。
另外,预算时需要注意的是,要为灾难做好计划,购买设备要理性购买,不要高估预算,要为积极性波动做预算,预算不要太简单或者太复杂,记得加上税费,不要担心差异,预算肯定会有差异的,记住让关键人物或部门参与进来,比如说业务部门参与进来,另外要为预期付款做预算,财务付款也是有预算的,什么时候付进度款或者付合同款,这些都要考虑,还有要把预算当成一项正在进行的工作去做。
IT年度预算之日常费用构成包括:
(1)人员成本,包括企业员工薪水、交通费用、日常开销、加班费用、培训费用、员工差旅费用;
(2)硬件维护成本包括折旧费、维护费、维修费、硬件租用费(打印机、复印机租用费);
(3)软件维护成本包括客户支持、更新升级系统、软件租用费、其他费用,比如Adobe系列产品、office365,新的授权模式都是按年付费;
(4)服务成本,包括网络线路租赁、安全服务、系统灾难恢复、信息系统外包服务及人力资源服务等产生的成本;
(5)系统迁移费用,企业内部系统的迁移所需要的费用。
IT年度预算之资本性支出费用包括:
(1)硬件成本,例如要增加存储、服务器、核心交换机、系统外设或者增加50套PC、100套VDI等;
(2)软件成本包括操作系统、工作流工具、应用系统、数据库、员工个人管理工具、系统监控工具和分析软件包、许可证费用等;
(3)服务费包括聘请专家的服务费及咨询费。
(4)项目成本,例如公司新建办公大楼或新建厂房,要考虑系统集成与弱电系统解决方案规划和设计,要将预算列入项目成本中。
由于时间关系,我今天先聊到这里,大家有什么问题可以线下交流,谢谢大家。
注:以上内容摘选自南零商盟分享会,转载仅限学习分享;
如产生版权问题,请联系我们处理;
文章不代表”华南时尚行业CIO联盟“立场!
本篇文章来源于微信公众号: 时尚消费品行业CIO
关注微信公众号
