Systém „IBM i“ a správa systémů v praxi

1. Systém „IBM i“ a správa systémů v praxi Leden 2012 Filip Borůvka

2. Obsah prezentace • Systém IBM i (i5/OS) • Software pro řízení informatiky • Oblasti správy systému • „IBM i“ v GE Money • Reference - použití systému IBM i (i5/OS) IBM i - správa systémů v praxi

3. System IBM i – i5/OS 1/8 Model i570 a i520 IBM i - správa systémů v praxi

4. Systém IBM i – úvod 2/8 • Dříve AS/400 (OS/400), pak iSeries (i5/OS), posléze System i (i5/OS) a nyní IBM i (i5/OS) • Je server střední třídy tzv. Midrange • Má robusní integrovanou DB2 databázi • Je to objektový systém • Je bezpečný (Certifikace C2 vlády USA) • Umožňuje plnohodnotné dělení na logické části (LPAR) IBM i - správa systémů v praxi

5. Systém IBM i – výhody 3/8 • Stabilita, bezpečnost, výkonnost • Zpětná kompatibilita (System/38 – 1978, System/36 – 1983) • Plná nezávislost OS na hardware • Plná nezávislost aplikací na OS • Neplánované výpadky jsou: • 5x nižší než u UNIX serverů • 16x nižší než u Windows serverů IBM i - správa systémů v praxi

6. Systém IBM i – stabilita 4/8 • OS je napsán na míru hardware • HW má zvýšenou spolehlivost • Redundance (disky, síťové karty, silové napájení, datové propojení racků, případně i procesory, paměti a servisní procesory) IBM i - správa systémů v praxi

7. Systém IBM i - bezpečnost 5/8 • Objektový systém (každý objekt je chráněn a auditován) • Je zaručena nemodifikovatelnost (integrita) auditních logů tzv. žurnálů • Veškeré citlivé objekty (úložiště hesel) jsou uloženy v nejnižší vrstvě a jsou skryté • Rezistentní vůči virům IBM i - správa systémů v praxi

8. IBM System i – i5/OS - logické části (LPAR) 6/8 • Umožňuje provozovat současně více systému na jednom HW (Sdílení CPU a operační paměti) • Lze provozovat nativně i5/OS, IBM AIX - UNIX, Linux (RedHat, Suse – 32/64bitový) a za použití speciální karty i systém Windows 2000/2003 Server (Sdílení disků a zvýšená stabilita) IBM i - správa systémů v praxi

9. Integrace různých OS pomocí LPAR 7/8 IBM i - správa systémů v praxi

10. Systém IBM i – příklad konfigurace - Model i570 pro 9 LPARů 8/8 5,96 61952 IBM i - správa systémů v praxi

11. Software pro řízení informatiky • Jednotná (jasná) terminologie • Použití jednotné metodologie • Sledování kvality poskytování IT služeb • Plánování nárůstu výkonu, zaplnění diskové kapacity, průchodnosti sítí IBM i - správa systémů v praxi

12. Dohledové systémy 1/3 • Dostupnost systému • Zatížení systému • Zaplnění diskového prostoru • Doba odezvy IBM i - správa systémů v praxi

13. Dohledové systémy 2/3 • Dohledové systémy: • Jedno/Více platformové • Pro konkrétní aplikaci • Nepřeberné množství • Komplexní řešení jsou finančněa lidsky nákladná IBM i - správa systémů v praxi

14. Dohledové systémy 3/3 • IPSwitch - WhatsUpGold • TANGO/04 – Visual Message Center • Nastel – Autopilot • Quest Software – FogLite • CA - Unicenter • HP – OpenView • IBM - Tivoli IBM i - správa systémů v praxi

15. Systémy pro řízení přístupu 1/3 • Sdružený přístup SSO (Single Sign-On) • Uživatel se po přihlášení do primárního systému (zejména doména Windows) už nemusí znovu nikam přihlašovat. • Uživatelé si nemusí hesla psát • Snížení počtu zablokovaných účtů IBM i - správa systémů v praxi

16. Systémy pro řízení přístupu 2/3 • Sdružený přístup SSO (Single Sign-On) • Aplikace a systémy to musí umožňovat • Přihlašování do druhé domény - zvýšení bezpečnosti • Kerberos, časová synchronizace • IBM - Tivoli Access Manager for Enterprise Single Sign-On • SUN (Sada řešení – komplexní, web, Java) IBM i - správa systémů v praxi

17. Systémy pro řízení přístupu 3/3 • Automatické vytváření účtů • Na základě rolí pro konkrétní aplikace • SUN Identity manager • Rekonciliace účtů • Pravidelné rušení nepoužívaných účtů • Měsíčně proti databázi zaměstnanců • Jednoznačný identifikátor zaměstnance IBM i - správa systémů v praxi

18. Deployment 1/3 • Rozmístění (distribuce) něčeho - odněkud-> někam • Je třeba dodržet několik fází • Vytvoření (naprogramování) -> • přenos k 1. testování ->1. testování -> • přenos k 2. testování (administrator) ->2. testování -> • přenos do produkce - migrace (administrator) IBM i - správa systémů v praxi

19. Deployment 2/3 • Automatizace „na kliknutí“ • Oddělení rolí (oprávnění), logování • Migrace do produkce – schválení (tester, aplikační admin, IT žadatel, vedoucí administrátorů, provádějící (administrátor) • Testování přes více systémů – Development system -> Testovací systém IBM i - správa systémů v praxi

20. Deployment 3/3 • Aldon CMS (Change Management system) • Umí celý deployment proces • Hlídání verzí • Logování a zabezpečení • Rollback • Konverze dat při změně struktury tabulek IBM i - správa systémů v praxi

21. Vzdálený audit 1/2 • Vzdáleného prohlížení auditních logů • Pro zajištení bezpečnosti logů (tj.že je nikdo nesmaže) se pouzívá ukládání logů na jiný systém. • Aplikace kontrolující a shromažďující definované událostí IBM i - správa systémů v praxi

22. Vzdálený audit 2/2 • IBM Tivoli Compliance Insight Manager • Shromažďování událostí • Online nebo dávkově • Používá metodologii W7 (Who, did What, When, Where, Where from, Where to and on What) • IBM System z a System i, IBM AIX, Sun Solaris, HP-UX, MS Windows a Linux • IBM DB2 (System z, UNIX and Windows), Oracle Database Server, Microsoft SQL Server a Sybase ACE IBM i - správa systémů v praxi

23. Řízení zátěže • Zejména pro webové (aplikační) servery • Aplikace to musí podporovat • Rozložení zátěže – 50/50 • Rozložení zátěže – Produkce-Zápis/Backup-Čtení • Prioritizace úloh (Job Management) IBM i - správa systémů v praxi

24. Oblasti správy systému • Bezpečnost • Síťová komunikace • Zálohování a obnova • Správa databáze • Řízení systému • Hardware • Plánování IBM i - správa systémů v praxi

25. Bezpečnost 1/4 • Stanovení pravidel • Zákonné požadavky • Interní předpisy IBM i - správa systémů v praxi

26. Bezpečnost 2/4 • Auditování aktivit • Pravidelné rekonciliace uživ. účtů • Revize přístupových oprávnění • uživatelské účty • Knihovny (databáze), souborový systém • Omezený počet privilegovaných uživatelů • Programové opravy (PTF) IBM i - správa systémů v praxi

27. Bezpečnost 3/4 • Uživatelské role • Administrátor systému • Bezpečnostní administrátor • Administrátor uživatelských účtů • Aplikační podpora • Technické účty • Aktivní – Status *Enabled, heslo nastaveno, neexpirující) • Pasivní – Status *Disabled, heslo *NONE) • Operátor provozu • Běžní uživatelé IBM i - správa systémů v praxi

28. Bezpečnost 4/4 • Defaultní hesla – kontrola • Nepoužívané běžné uživ. účty stávajících zaměstnanců – blokování a pak odstranění IBM i - správa systémů v praxi

29. Síťová komunikace 1/2 • Stabilita • Redundance • Virtuální IP • Zdvojení komunikačních cest • Dokumentace • Monitorování IBM i - správa systémů v praxi

30. Síťová komunikace 2/2 • Aktivní pouze nezbytné služby (porty) • Omezení přístupu na služby (např. FTP, ODBC, DRDA) • Exit programy (Exit pointy) IBM i - správa systémů v praxi

31. Zálohování a obnova 1/6 • Prevence chyb obsluhy • Privilegovaný uživatel něco omylem smaže nebo přepíše • Potřeby zpětné komparace • Během aplikačních testů IBM i - správa systémů v praxi

32. Zálohování a obnova 2/6 • Pravidla pro zálohování • co zálohovat (DB, Systém) • jak dlouho uchovávat (DB, Systém) • Zálohování DB • před nočním zpravování • po nočním zpravování IBM i - správa systémů v praxi

33. Zálohování a obnova 3/6 • Zálohování systému • Systém • Uživ. účty a další bezpečnostní objekty • Konfiguraci systému • Uživatelské knihovny (Databázové, programové) • Archivace • Zákonné požadavky • Dohledávání prováděných operací • Jak dlouho (6 měsíců - 15 let) IBM i - správa systémů v praxi

34. Zálohování a obnova 4/6 Příklad obnovy smazané produkční tabulky • Odstavení dotčené části aplikace • Obnova z poslední zálohy • Aplikace všech žurnálových změn • Nastartování aplikace IBM i - správa systémů v praxi

35. Zálohování a obnova - příklad z praxe 1/2 • Nezkušený bezpečnostní administrátor nemohl během rekonciliace smazat profil bývalého administrátora, použil tedy parametr - smazat všechny objekty profilem vlastněné • Následkem toho došlo ke smazání 700 objektů přes celý systém IBM i - správa systémů v praxi

36. Zálohování a obnova - příklad z praxe 2/2 • Ze systémových žurnálů bylo zjištěno, co bylo smazáno • Obnova objektů z nočních záloh • Provedena aplikace žurnálových změn • Odstávka aplikace byla několik hodin IBM i - správa systémů v praxi

37. Databáze • Žurnálování DB změn • Replikace DB • Zálohování • Archivace IBM i - správa systémů v praxi

38. DB – Terminologie SQL vs. i5/OS IBM i - správa systémů v praxi

39. Řízení systému • Work management (řízení činnosti systému) – Členění a priority úloh • Spool management (tiskárny a tiskové výstupy) IBM i - správa systémů v praxi

40. Hardware • Plánování a konfigurace • Instalace HW • Monitorování • Řešení problémů a servisu IBM i - správa systémů v praxi

41. Plánování • Na rok – detailní, plánování rozpočtu • Na tři roky – hrubý odhad pro ostatní týmy • Statistický odhad nárůstu • Zátěže (navýšení CPU) • Zaplnění diskového prostoru (ASP) • Pravidelné servisní poplatky (maintainance) IBM i - správa systémů v praxi

42. Datovécentrum Pro umístění Hardware na počítačovém sálu je třeba zajistit odpovídající podmínky: • Fyzickáa požární bezpečnost • Napájení a chlazení • Sítě • Dvojité podlahy, stropní žlaby • Zálohování • Záložní pracoviště • Dozor 24/7, Monitoring IBM i - správa systémů v praxi

43. „IBM i“ GE Money 1/4 • Model IBM Power 770, i5/OS V6R1M0 • High availability pomocí produktu MIMIX HA for i5/OS • Real-time replikace databáze a systému • Přepnutí na záložní systém na základě připravených procedur IBM i - správa systémů v praxi

44. „IBM i“ GE Money 2/4 Na systému IBM i (i5/OS) je provozováno: • Core bankovní aplikace ICBS • FIPU - financování pohledávek úvěrem • HUGE - řešení problematiky státní finanční podpory hypotéčních úvěrů • EXPI - rozhraní mezi ICBS a datawarehouse IBM i - správa systémů v praxi

45. „IBM i“ GE Money 3/4 • Pokladní aplikace KasaNova • Apache, IBM Websphere Application Server 6.1, IBM Websphere MQ 7.0 • Mzdy a personalistika společnosti Nugget IBM i - správa systémů v praxi

46. Reference i5/OS 1/4 • AMATI - Denak, s.r.o. (Kraslice) • Dechové hudební nástroje • EVIS/400 (ERP systém) • BCPP - Burza cenných papírů Praha, a.s. • Organizátor trhu s cennými papíry v ČR • Hlavní obchodní aplikace (investiční obchody) • ČSOB - Československá obchodní banka, a. s. • Bankovnictví • IBIS (Bankovní systém pro Corporate) IBM i - správa systémů v praxi

47. Reference i5/OS 2/4 • GE Money Bank, a.s. • Bankovnictví • ICBS (Core bankovní systém) • Nugget (Mzdy a personalistka) • GPE s.r.o. (dříve Muzo) • Bezhotovostní platby • Bezhotovostní platby pro banky a finanční instituce v ČR a po celém světě IBM i - správa systémů v praxi

48. Reference i5/OS 3/4 • KB, a.s. • Bankovnictví • Karetní systém • OLMA, a.s. • Potravinářství (mléčné výrobky) • Řízení technologií IBM i - správa systémů v praxi

49. Reference i5/OS 4/4 • Strojimport, a.s. • Export a import strojírenských výrobků a zařízení • SPECTRUM/400 (ERP systém) • Vysoká škola báňská – Technická univerzita Ostrava • Interní informační systém • Vědeckovýzkumné aktivity • RNDr. Ivo Martiník, Ph.D. (ivo.martinik@vsb.cz) V ČR je přes 800 instalací i5/OS IBM i - správa systémů v praxi

50. Doporučení – obecně 1/3 • Udržování dobrých kontaktů mezi teamy • Před-konzultace změn • Zmínit se o tom ve výtahu, na obědě, na nudné poradě • Umět dobře odvedenou práci prodat • Dokázat říci „NE“ • Používat zdravý selský rozum IBM i - správa systémů v praxi