“阿尔法银行就像坦克一样可靠,
伽玛银行就像银行一样可靠!”
Victor Pelevin,“数字”
当在对话中出现“银行系统”一词时,想象力就画出了一种最可靠的系统,该系统建立在最昂贵的设备上,聚集在所有可能的水平上,并通过可及及不可及的保护手段与外界隔离。实际上,存在这样的系统。但是...
如果您查看银行中开发人员的职位空缺,那么很有可能在Cassandra,MongoDB和其他平台的知识需求中看到其中的内容,这绝不会激发有关100%可用性的想法。 DBMS(例如Oracle或Microsoft SQL Server)安装在连接到最可靠和高性能阵列的昂贵服务器群集中的某个位置,以及商品库中服务器场中常规虚拟机上的某个位置。
原因很明显-冗余解决方案很昂贵。但是,如何在平台成本与其可靠性之间找到折衷方案呢?
曾几何时,当企业中的信息系统很少时,每个系统的基础结构都是一件艺术品。随着时间的推移,系统越来越多,支持数百种不同的硬件和软件配置变得昂贵,并且基础架构部门开始实现标准化。例如,应用程序可以使用的一组RDBMS基础结构解决方案可能如下所示:
- 具有高端类磁盘阵列和同步复制的高端类服务器;
- 具有中端磁盘阵列和同步复制的中端服务器;
- 具有中端磁盘阵列和异步复制的中端类服务器;
- 具有没有复制功能的中型磁盘阵列的商用服务器。
现在,如何为属于特定应用程序的特定数据库选择配置?
您可以列出“必须不惜一切代价运行的最重要的应用程序”。这带来了两个问题:
其余应用程序的硬件配置取决于系统所有者的“权重”。结果,某些电子病假服务使用的是最昂贵的设备,因为这是总会计师最喜欢的创意,没有人愿意与之吵架。这是不合理的金钱浪费。
某些应用程序可能没有考虑在内,因此可能未包含在“最重要”列表中。例如,每个人都记得处理银行卡,但是没有人记得检查“黑名单”上的客户,这应该适用于所有操作。结果,这种系统的故障变成令人不快的意外并导致严重的问题。
有一种正式的方法可以让您做出正确的选择并保护需要保护的内容,而不必为您不能为之付出的钱支付过多。
首先,介绍了根据关键程度对应用程序进行分类的方法。通常,其中四个级别。例如,可以这样调用它们:
- 铂;
- 金;
- 银;
- 青铜。
或像这样:
- 关键任务;
- 关键业务;
- 业务运作;
- 办公室生产力。
这四个层次完全适合4种不同的基础结构配置。剩下要做的就是根据需要对每个应用程序进行分类。
评估时,必须遵守两个规则:
由企业评估系统,而不是由服务该系统的IT部门评估。关键程度不应该由系统维持多长时间或费力来确定。唯一的标准是业务将因系统停机而蒙受的损失。
构成评估的问题的措词应提供验证答案的可能性。当然,这些标准仍然基于专家的判断,但是专家至少可以解释为什么他做出了这样的评估。
什么决定了关键程度?
- . , , , .
- SLA (service level agreement). , – , .
- . , , .
在世界范围内,已经出现了类似的情况:
这并不意味着在您的企业中按类分配系统的方式应该完全相同。但是无论如何,如果超过15%的操作系统进入了关键任务级别,这就是认真思考的原因。
对于“这个或那个系统需要多少”这个问题,任何所有者都会回答“非常”。因此,还需要问另一个问题:如果系统停止运行会怎样?系统的严重性等级取决于系统关闭后果的严重性及其发生的速度。
让我们看一下几种银行系统。
结算系统在客户之间(法人实体)提供(惊奇!)结算。如果突然有大公司客户无法向交易对手付款,那么银行将损失一笔非常可观的款项,因此,结算系统无疑将成为最高级别的信用。
让我们来处理卡片。如果一百或两个客户无法用他们的卡付款,银行的损失将很小,但是这样大规模的拒绝服务本身是不能接受的。
现在让我们来一个维护存款的系统。如果该系统停止运行,那么银行的损失将再次很小,拒绝服务的损失将不如处理时那样大。但是,我们是否需要报纸标题为“银行拒绝发行存款”的社论?这个问题是修辞。
最后,让我们来看一下总账。如果她突然发生了什么事,那么客户将不会注意到任何事情,因为该系统根本不参与客户服务。但是,值得推迟资产负债表的交付,因为对中央银行的制裁不久就会到来。
因此,系统停机的负面影响可以分为4类:
- 经济(直接损失);
- 客户(拒绝服务);
- 声誉(媒体上的负面反应);
- 法律(从警告和罚款到诉讼和许可撤销)。
对于每种后果类别,应制定严重性标准并为分数指定从0到4。例如,一个表可能如下所示:
| 0 | 1个 | 2 | 3 | 4 | |
|---|---|---|---|---|---|
| 经济 | 没有 | <计划利润的0.1% | 计划利润的0.1%.. 0.5% | 计划利润的0.5%.. 1% | >计划利润的1% |
| 客户 | 没有 | 1位客户 | >1% | >5% | >10% |
当然,所有数字都是任意的,所有计算方法都仅基于专家的判断,关于将什么视为“区域性媒体”以及如何处理流行博客中负面文章的辩论范围确实是无限的。但是,在大型公司中,肯定会同时有法律部门和公关部门,他们会随时发表有力的见解。
下一步是选择估计损失的时间间隔。例如,小时,4小时,8小时,24小时。这些间隔是任意的,与被评估系统的SLA没有关系。尽管将来将典型的SLA精确地绑定到这些间隔是正确的。
现在,每个系统的所有者将填充一个由16个单元格组成的矩阵。下表中的数字为示例。唯一根本重要的是,对于较长时间间隔的后果的估计不能小于对于较短时间间隔的后果的估计。
| 长达1小时 | 1..4小时 | 4..8小时 | 8..24小时 | |
|---|---|---|---|---|
| 经济 | 1个 | 1个 | 3 | 3 |
| 客户 | 1个 | 2 | 2 | 3 |
| 名誉 | 0 | 0 | 1个 | 2 |
| 法律 | 1个 | 2 | 3 | 4 |
剩下三个步骤可以从此矩阵中获得最终分数。
第一步-对于每个时间间隔,选择最大估算值:
| 长达1小时 | 1..4小时 | 4..8小时 | 8..24小时 | |
|---|---|---|---|---|
| 最大值 | 1个 | 2 | 3 | 4 |
第二步:我们使用矩阵将获得的估计值转换为关键度类:
| 点数 | 长达1小时 | 1..4小时 | 4..8小时 | 8..24小时 |
|---|---|---|---|---|
| 4 | MC | MC | 公元前 | 公元前 |
| 3 | MC | 公元前 | 公元前 | BO |
| 2 | BO | BO | BO | OP |
| 1个 | BO | BO | OP | OP |
对于此系统,我们获得以下估计:
| 长达1小时 | 1..4小时 | 4..8小时 | 8..24小时 | |
|---|---|---|---|---|
| 类 | BO | BO | 公元前 | 公元前 |
最后,从所有获得的估计中,我们选择最大的估计-在这种情况下,被评估的系统应归类为“业务关键”。
收到这些估算后,我们可以为每个系统合理选择一个或另一个基础架构解决方案。
剩下的一些细微差别,否则所描述的方法将是不完整的。
如果系统确保另一个系统的可操作性,则其关键等级不能低于从属系统的等级。例如,Active Directory与业务完全无关。但是,如果突然上升,那么对许多业务应用程序的后果将是最可怕的,因此AD绝对属于关键任务类。
由于系统停机而造成的损失不能低于中断该系统提供的业务流程所造成的损失。根据此规则,评估公司电子邮件系统非常有趣,因为突然发现关键信息的交换与之相关。
如果公司在同一系统上使用多个块,并且这些块对系统的估计不同,则应使用最大估计。而且,甚至评估标准也可能不同。例如,根据一个客户的类型(普通的“医师”,VIP或大型公司客户),对服务一个客户的可能性的评估可能会非常不同。
为您的系统贴上标签-并可能使您的基础结构像它所需要的那样可靠,但不要比它可能贵!