ANZ银行如何自动化并驯服了一批混乱的Unix服务器

该银行被迫使其设置可以更容易地遵守澳大利亚银行法规。该电子书基于最新的ZDNet / TechRepublic特色，探讨了数据中心自动化如何为新的敏捷性和数字化转型提供动力。澳大利亚银行始终存在对合规性的需求，其范围涉及组织的各个方面，从分类账到费用结构，并包括支撑银行运营的IT。最近在悉尼的Puppetize发表讲话时，一对ANZ企业平台高级顾问Nathan Kroenert和Boyd Adamson详细介绍了该银行如何为其拥有7,000多个基于Unix的系统提供服务 - 被描述为处于“各种各样的状态”并运行Solaris，AIX或Linux风格 - 受控制。“我们在不同的国家/地区拥有大约22个监管机构，监督正在发生的事情，他们将拥有自己的规则，包括如何配置和需求等等，”亚当森说。所以所有这些都必须精简到基本上如何配置盒子或盒子上的某些要求。所以其中一些包括需要安装或未安装的软件包，必须运行或不运行的服务，各个领域的各种安全设置。“与任何大型组织一样，希望引入新理智定义的团队必须与传统和技术债务搏斗。木偶戏Kroenert描述了团队如何利用Puppet作为其自动化和编排策略的核心支柱，并开始使用非常广泛的规则，例如不允许用户将某些文件放在某些地方。“随着时间的推移，你会有项目出现并说：'嘿，我们需要这个文件'。所以有一大堆 - 处理这个问题的人力成本，即：'但我们没有要做到这一点，你要让我这样做!'，“他说。“嗯，因为你曾经捅过某人并不意味着你应该继续刺伤他们，”Kroenert解释道。在迁移到Puppet之前，ANZ使用了一种人工密集的方法来确定合规性，其中包括按需运行的BMC BladeLogic脚本，并为某人进行分析报告，随后提供了因观察到的任何违规行为而导致的故障单。通常情况下，门票是由引入不合规的团队修复的，仅仅因为这是一种更简单的做事方式。“这些可怕的，糟糕的穷人不得不登录箱子，实际登录箱子来修理东西 - 他们登录了40次，以便在40个主机上修复同样的问题，”Kroenert说。“那不太理想，更糟糕的是......我问过那些做错事的人，但他们做错了，因为它在开发周期的早期解决了问题，所以实际上也在这里和那里引起了一些摩擦。“根据这对，该银行是合规的，但它不具有可扩展性或直接性。关于银行是否可以证明合规的问题 - “地狱没有”是Kroenert的回应。他说：“我不想和审计员一起坐下六个月，向他们解释我们是如何从这个系统转到这种合规声明的。”“这是一次非常非常困难的讨论，并且让他们在整个讨论中保持背景。”“你要做的最后一件事就是证明你不知道它是如何运作的，如果我说：'好吧，这个团队将它传递给这个团队，这个团队，传递给这个团队'，这就变成了我们作为一个组织要解决的问题确实非常困难。“因此决定引入Puppet并从能够报告合规性到能够强制执行合规性。但该团队无法站起来建立全新的基础架构，这是“正确的方式”，可以轻松实现部署。“我们拥有7,000多个主机，在这些主机上有6,999种不同的配置，因为这就是它们建造时所需的业务。所以我们进入了非常多的棕色区域，”Kroenert说。我们必须处理我们作为第一步所做的事情，这有可能使它成为最困难的方式，但那就是我们所处的位置，”他补充道。使难度更加复杂的是组织没有所有盒子的中央列表，并且需要在不同的安全区域中安装Puppet主站。但是，一旦发现系统的全部范围，并且代理被推出，下一步就是在物理和虚拟硬件之间分布的7,000台服务器上解决NTP或SSHD配置等低成本问题。考虑到所涉及的数量，保证会出现某种破损。“当我们快速行动的时候，我们必须做好准备，不时地我们要修剪一条排水沟。我们在这里和那里做过，有些情况我们会说，'好吧，好吧，我们刚推出它。它看起来很棒。我们做了一堆测试。我们在所有的小金丝雀环境中进行了测试，它看起来很棒'，“Kroenert说。“但实际情况是，一旦你打了5,500个盒子，这些盒子都是以不同方式构建的，有些东西可能会破坏，我们有[管理层]的支持说：'看，我们真的很抱歉。我们把它推到了5,500我们打破了四个，但看看我们正在采取的前进一步。““只要我们知道我们已经完成它并且我们可以把它放回去 - 如果我们用Puppet打破它，我们就可以用Puppet修复它，”Adamson补充道。“我们没事。”

部署并非没有后退，因为团队不得不接受自动化游戏的想法，而且由于ANZ的环境让Puppet登录到syslog，Puppet经常是鞭打男孩。因此，在日志中通常发生错误之前，可能会有一个Puppet条目。我认为我最喜欢的是最后一条日志信息是Puppet，但它是两周之前，”亚当森说。Kroenert详细介绍了操作人员如何尝试关闭Puppet，使用该服务或删除ruby或其他二进制文件来阻止它运行，徒劳地试图修复他们试图处理的问题。实际上，99.9% - 而且可能高于那个 - 根本不是Puppet，”Kroenert说。“但它让组织的其他部分空间可以回答说'哦不，这不是我们'。”该银行知道它已达到目标，因为它能够向其内部审计团队提供一个事实来源的仪表板，详细说明每个主机的合规性。我们的内部审计人员可以将其视为一个门户，他们可以说：'嘿，我们需要转换这个应用程序集'。他们看看主机。他们说：'嘿，他们都是绿色的，那个看起来很棒'。他们很乐意直接推动它，“Kroenert说。“没有讨论。没有任何问题。没有任何证据，因为他们已经查看了支持这一点的所有代码。他们知道，如果我们说它符合要求，它实际上已经符合要求。”“所以对我们来说，这已经消除了大量的工时 - 我会说每年需要花费数千小时的时间进行讨论。所以对我们来说，这是合规方面的巨大胜利。”在转向Puppet，并从单个主设备控制超过6,000个节点时，该对建议将业务流程主机部署到具有大量CPU物理内核和大量内存的物理硬件上。“很多CPU和真正的CPU - 不是VM CPU，不是线程，不是超线程线程，”Kroenert解释说。“当你在超线程环境中进行交易时，Java会一直打击对方的缓存。”“确保Java拥有足够的内存。我们将其扩展起来，上升和上升，我认为现在我们的运行速度大约为64和96GB，”Kroenert说。