ANZ銀行如何自動化并馴服了一批混亂的Unix服務器

該銀行被迫使其設置可以更容易地遵守澳大利亞銀行法規(guī)。該電子書基于最新的ZDNet / TechRepublic特色，探討了數(shù)據(jù)中心自動化如何為新的敏捷性和數(shù)字化轉型提供動力。澳大利亞銀行始終存在對合規(guī)性的需求，其范圍涉及組織的各個方面，從分類賬到費用結構，并包括支撐銀行運營的IT。最近在悉尼的Puppetize發(fā)表講話時，一對ANZ企業(yè)平臺高級顧問Nathan Kroenert和Boyd Adamson詳細介紹了該銀行如何為其擁有7,000多個基于Unix的系統(tǒng)提供服務 - 被描述為處于“各種各樣的狀態(tài)”并運行Solaris，AIX或Linux風格 - 受控制。“我們在不同的國家/地區(qū)擁有大約22個監(jiān)管機構，監(jiān)督正在發(fā)生的事情，他們將擁有自己的規(guī)則，包括如何配置和需求等等，”亞當森說。所以所有這些都必須精簡到基本上如何配置盒子或盒子上的某些要求。所以其中一些包括需要安裝或未安裝的軟件包，必須運行或不運行的服務，各個領域的各種安全設置。“與任何大型組織一樣，希望引入新理智定義的團隊必須與傳統(tǒng)和技術債務搏斗。木偶戲Kroenert描述了團隊如何利用Puppet作為其自動化和編排策略的核心支柱，并開始使用非常廣泛的規(guī)則，例如不允許用戶將某些文件放在某些地方。“隨著時間的推移，你會有項目出現(xiàn)并說：'嘿，我們需要這個文件'。所以有一大堆 - 處理這個問題的人力成本，即：'但我們沒有要做到這一點，你要讓我這樣做!'，“他說。“嗯，因為你曾經捅過某人并不意味著你應該繼續(xù)刺傷他們，”Kroenert解釋道。在遷移到Puppet之前，ANZ使用了一種人工密集的方法來確定合規(guī)性，其中包括按需運行的BMC BladeLogic腳本，并為某人進行分析報告，隨后提供了因觀察到的任何違規(guī)行為而導致的故障單。通常情況下，門票是由引入不合規(guī)的團隊修復的，僅僅因為這是一種更簡單的做事方式。“這些可怕的，糟糕的窮人不得不登錄箱子，實際登錄箱子來修理東西 - 他們登錄了40次，以便在40個主機上修復同樣的問題，”Kroenert說。“那不太理想，更糟糕的是......我問過那些做錯事的人，但他們做錯了，因為它在開發(fā)周期的早期解決了問題，所以實際上也在這里和那里引起了一些摩擦。“根據(jù)這對，該銀行是合規(guī)的，但它不具有可擴展性或直接性。關于銀行是否可以證明合規(guī)的問題 - “地獄沒有”是Kroenert的回應。他說：“我不想和審計員一起坐下六個月，向他們解釋我們是如何從這個系統(tǒng)轉到這種合規(guī)聲明的。”“這是一次非常非常困難的討論，并且讓他們在整個討論中保持背景。”“你要做的最后一件事就是證明你不知道它是如何運作的，如果我說：'好吧，這個團隊將它傳遞給這個團隊，這個團隊，傳遞給這個團隊'，這就變成了我們作為一個組織要解決的問題確實非常困難。“因此決定引入Puppet并從能夠報告合規(guī)性到能夠強制執(zhí)行合規(guī)性。但該團隊無法站起來建立全新的基礎架構，這是“正確的方式”，可以輕松實現(xiàn)部署。“我們擁有7,000多個主機，在這些主機上有6,999種不同的配置，因為這就是它們建造時所需的業(yè)務。所以我們進入了非常多的棕色區(qū)域，”Kroenert說。我們必須處理我們作為第一步所做的事情，這有可能使它成為最困難的方式，但那就是我們所處的位置，”他補充道。使難度更加復雜的是組織沒有所有盒子的中央列表，并且需要在不同的安全區(qū)域中安裝Puppet主站。但是，一旦發(fā)現(xiàn)系統(tǒng)的全部范圍，并且代理被推出，下一步就是在物理和虛擬硬件之間分布的7,000臺服務器上解決NTP或SSHD配置等低成本問題?？紤]到所涉及的數(shù)量，保證會出現(xiàn)某種破損。“當我們快速行動的時候，我們必須做好準備，不時地我們要修剪一條排水溝。我們在這里和那里做過，有些情況我們會說，'好吧，好吧，我們剛推出它。它看起來很棒。我們做了一堆測試。我們在所有的小金絲雀環(huán)境中進行了測試，它看起來很棒'，“Kroenert說。“但實際情況是，一旦你打了5,500個盒子，這些盒子都是以不同方式構建的，有些東西可能會破壞，我們有[管理層]的支持說：'看，我們真的很抱歉。我們把它推到了5,500我們打破了四個，但看看我們正在采取的前進一步。““只要我們知道我們已經完成它并且我們可以把它放回去 - 如果我們用Puppet打破它，我們就可以用Puppet修復它，”Adamson補充道。“我們沒事。”

部署并非沒有后退，因為團隊不得不接受自動化游戲的想法，而且由于ANZ的環(huán)境讓Puppet登錄到syslog，Puppet經常是鞭打男孩。因此，在日志中通常發(fā)生錯誤之前，可能會有一個Puppet條目。我認為我最喜歡的是最后一條日志信息是Puppet，但它是兩周之前，”亞當森說。Kroenert詳細介紹了操作人員如何嘗試關閉Puppet，使用該服務或刪除ruby或其他二進制文件來阻止它運行，徒勞地試圖修復他們試圖處理的問題。實際上，99.9% - 而且可能高于那個 - 根本不是Puppet，”Kroenert說。“但它讓組織的其他部分空間可以回答說'哦不，這不是我們'。”該銀行知道它已達到目標，因為它能夠向其內部審計團隊提供一個事實來源的儀表板，詳細說明每個主機的合規(guī)性。我們的內部審計人員可以將其視為一個門戶，他們可以說：'嘿，我們需要轉換這個應用程序集'。他們看看主機。他們說：'嘿，他們都是綠色的，那個看起來很棒'。他們很樂意直接推動它，“Kroenert說。“沒有討論。沒有任何問題。沒有任何證據(jù)，因為他們已經查看了支持這一點的所有代碼。他們知道，如果我們說它符合要求，它實際上已經符合要求。”“所以對我們來說，這已經消除了大量的工時 - 我會說每年需要花費數(shù)千小時的時間進行討論。所以對我們來說，這是合規(guī)方面的巨大勝利。”在轉向Puppet，并從單個主設備控制超過6,000個節(jié)點時，該對建議將業(yè)務流程主機部署到具有大量CPU物理內核和大量內存的物理硬件上。“很多CPU和真正的CPU - 不是VM CPU，不是線程，不是超線程線程，”Kroenert解釋說。“當你在超線程環(huán)境中進行交易時，Java會一直打擊對方的緩存。”“確保Java擁有足夠的內存。我們將其擴展起來，上升和上升，我認為現(xiàn)在我們的運行速度大約為64和96GB，”Kroenert說。