文 / 麒麟软件生态与技术服务中心 赵雁斌 陈虎
(图片来源网络,侵删)
背景介绍:CentOS停服影响
2020年12月8日,CentOS社区官方宣布其原有的操作系统版本将陆续停止维护服务。CentOS停服将导致系统安全漏洞无社区支持,给部署在服务器上的业务系统带来严重的安全隐患。在业务层面,漏洞更新停止,关键漏洞无法及时修复,安全和维护服务缺位,业务安全得不到有效保障。在技术层面,开源社区版本缺少安全和持续维护保障,已停服版本上运行的应用和驱动,不能在新系统上进行有效衔接和适配,应用系统稳定运行面临挑战。
麒麟软件作为国内主要的操作系统厂商,为应对CentOS停服带来的网络安全风险,保障应用系统安全稳定运行,已形成系统迁移和安全接管解决方案,为金融业务系统稳定、安全运行保驾护航。
(图片来源网络,侵删)
现状挑战:金融行业如何应对CentOS停服
CentOS作为一款开源服务器操作系统,在金融行业中有着广泛应用,为许多重要业务应用提供了基础运行环境。目前金融行业头部企业已经相继开展CentOS停服应对工作,并初步列出目标与计划。
在此过程中,业务系统开发和运维人员面临的挑战主要有以下三点:
(图片来源网络,侵删)
1.在业务系统新建或扩容情况下,选择全栈创新架构,该如何进行业务系统迁移改造/适配;
2.在业务系统不变的情况下,利旧Intel硬件服务器,该如何降低业务系统迁移改造工作量;
3.若不具备操作系统变更条件,如老旧业务系统无人维护、核心关键业务系统暂时不能变更等,该如何应对CentOS停服挑战。
解决方案:麒麟软件CentOS停服应对方案
1.方案一:业务系统全栈改造迁移方案
在业务系统扩容与业务系统新建的场景下,用户可选择进行全栈创新架构改造。麒麟软件针对性地提供了迁移评估工具帮助用户评估迁移到银河麒麟服务器操作系统的工作量,降低业务系统改造适配难度,将迁移风险降到最低,提升迁移效率,助力应用软件完成全栈创新架构业务系统开发。
2.方案二:业务系统平滑迁移方案
国内多数用户的业务系统仍运行在Intel架构服务器上,短期内完全升级为全栈创新架构工作量较大,因此为了协助用户平稳过渡,麒麟软件提供银河麒麟服务器操作系统迁移工具,实现利旧Intel设备,不进行业务系统变更,完成服务器操作系统迁移工作。
3.方案三:CentOS安全接管服务方案
对于目前不具备迁移条件的业务系统,保障现有操作系统安全稳定运行,麒麟软件依托于自身技术服务体系,形成安全接管服务解决方案。安全接管服务覆盖CentOS 6、7、8和其他未停止服务产品。面向不同用户需求,麒麟软件提供标准服务、高级服务、驻场服务等三类服务项目,用户可根据实际需求进行选择。
执行步骤:操作系统迁移关键动作6步走
麒麟软件为用户提供了迁移适配作业指导书,结合操作系统迁移方案和项目实践,给出调研评估、迁移准备、实施验证、业务切换、试运行、正式上线等6个实施步骤的建议。
图 系统迁移实施步骤
1.调研评估——摸家底选系统
该阶段主要工作目标:摸清家底,综合评估选定拟迁移的业务系统。全面盘点用户企业信息化系统建设情况,梳理业务开展情况,进行目标迁移系统的筛选,合理匹配资源,完善风险应对预案。
2.迁移准备——细规划重适配
该阶段主要工作目标:根据实际迁移需求,做好迁移规划设计,重视软件适配改造及硬件兼容适配。根据选定的业务系统情况及迁移需求分析,确定采取新建迁移或保持存量系统不变。存量场景下确定各业务系统、平台、基础软件、整机是否有厂商支持,明确责任方。
3.实施验证——定策略严验证
该阶段主要工作目标:根据迁移准备情况,制定生产环境部署、数据备份迁移、割接策略,并在实验室环境进行严格验证。实验环境及测试数据应尽可能反映最终生产环境的实际情况,针对实验环境部署情况,制定生产环境部署策略。
4.业务切换——稳迁移迎切换
该阶段主要工作目标:根据实验验证确定迁移方案,稳步实施迁移,迎接切换里程碑。业务切换建议以新旧系统双轨模式开展工作,即以旧系统为主,新系统为辅,通过业务分流策略,对新业务系统进行上线使用,待经过充分试运行后,逐步进行旧系统下线,在此过程中要保持新旧系统协同联动,制定完善的切换应急方案。
5.试运行——促优化保运行
该阶段主要工作目标:进入试运行阶段,需监控此阶段暴露的问题,促进业务系统优化,并监督后续运维工作,保障业务系统运行。可通过试运行阶段的运维监控工具对业务系统运行状态进行监控来暴露隐藏问题或异常状况,厂商和用户协同定位问题解决问题,并在必要时进行双规应急切换工作或业务回退工作,以保障业务系统在试运行。
6.正式上线——常监控抓运维
该阶段主要工作目标:进入正式上线阶段,需进行日常监控,并紧抓运维工作,保障业务系统稳定运行。
实践案例:麒麟软件助力中华财险系统迁移
中华联合财产保险股份有限公司(以下简称“中华财险”)生产业务系统和测试系统的操作系统以CentOS为主。一方面由于停服影响,需要尽快将CentOS之上的业务迁移到其他稳定可靠、可提供持续服务的操作系统上;另一方面由于业务需要,中华财险正在规划机房搬迁,希望在搬迁的同时,完成操作系统整体迁移工作。
麒麟软件为中华财险提供完整的迁移实践指导,共同规划和制定迁移方案。双方组建了操作系统和应用迁移的专项工作团队,在技术突破与合理规划两方面的保障下,最终出色完成操作系统迁移工作。
1.调研分析技术架构,明确迁移策略
首先围绕中华财险原有应用情况和技术架构展开调研分析,其中涉及数十套主要业务系统。应用普遍采用Java开发语言,基础架构采用开源中间件、商业数据库等,操作系统涉及CentOS的多个版本。
业务应用迁移除技术架构问题以外,由于业务、数据之间的关联性,停机窗口的选择至关重要。结合中华财险的现实情况,项目组计划借助机房搬迁窗口,预计耗时1个月左右,在搬迁的同时,完成操作系统迁移工作。这对于整体大规模迁移操作系统来讲是非常大的挑战。
根据业务情况,中华财险和麒麟软件一起规划了以周为单位,分4个批次实施迁移。以渐进式节奏进行规划:第一周以团队磨合、工具开发、工作流程完善为主,选择典型系统进行迁移;第二和第三周,通过总结优化的工作流程、工具方法开展批量化迁移,同步开展业务验证;第四周做补充完善工作,对遗留的业务系统、需要补录数据的业务系统进行完善。
2.采用有效技术手段,快速完成迁移
借助前期详细的调研和策略准备,中华财险业务部门、技术保障部门与麒麟软件联合攻坚,果断实施、及时复盘、快速调整,最终保障了主体迁移目标的完成。
(1)操作系统兼容能力验证
经过测试,在麒麟软件提供的银河麒麟服务器操作系统环境中,安全基线配置工具可以正常运行,满足安全要求。经过评估,各个组件的主线版本均一致,虽小版本存在差异,但中标麒麟操作系统做到了组件向上兼容,因此组件小版本差异不影响应用程序使用。
(2)操作系统大规模快速部署
利用虚拟化平台模板工具,按照原业务系统数量、配置,创建麒麟操作系统虚拟机模板,在业务系统部署时,套用模板可以完成大量操作系统实例的创建,并减少逐个配置工作,大大缩短了迁移耗时,保证了项目时效性。
(3)应用自动化平滑迁移
由于迁移工作涉及的业务系统均为中华财险实际运行中的生产业务系统,如何保证业务连续、无感知迁移成为迁移工作的核心目标。麒麟工程师开发了相应的系统迁移工具,大大加速了系统迁移进程。结合迁移之前的系统调研信息,对操作系统设置、用户权限及群组、应用部署路径及数据路径做好规划和初始配置。前期调研越充分,迁移过程越顺利。
(4)迁移步骤及时优化调整
迁移实施前期,业务人员与技术人员每天对当前迁移内容进行复盘,并进行快速调整,进一步优化数据迁移同步工具、批量化模板部署,改进执行步骤,保障后续迁移的成功率和执行效率,从而确保最终完成主体目标。
3.系统迁移工作成效
通过本次迁移,验证了CentOS迁移到麒麟操作系统的方案可行性,也证明了麒麟操作系统对于金融行业重要业务系统的技术支撑能力。中华财险采用麒麟服务器操作系统,仅耗时一个月完成了千余套存量服务器操作系统的迁移工作,操作系统迁移比例高达98%。该方案充分考虑了业务应用的兼容性、迁移可行性、快速验证实施等方面因素。迁移后,操作系统运行稳定,应用程序运行正常,业务系统功能正常,业务数据完整,充分验证麒麟操作系统可以支持保险公司业务系统的稳定运行,为后续大批量的系统迁移提供了宝贵经验。