查看原文
其他

光大银行操作系统风云录

中国光大银行 中国光大银行科技创新实验室 2023-03-29

HP-UX、AIX、Linux是大家耳熟能详的操作系统,基本都是国外厂商研发维护,在和大国博弈的背景下,拥有自主可控的操作系统就显得愈发重要。在现有操作系统的江湖风云中,AIX和HP-UX等已逐步退出江湖,国产操作系统开始扬帆起航。光大银行使用的操作系统也在这江湖风云中,朝着国产化的大方向上不断更新迭代。




操作系统1.0时代

历史巨人—主机及小型机操作系统

主机操作系统OS390,IBM大型机(Main frame)专用操作系统等,随着PC服务器的性能大幅提升以及分布式架构的普及,已经逐步退出历史舞台。


AIX和HP-UX操作系统,适用Risc芯片,小型机使用的专有操作系统,以性能出众、运行稳定著称,当然价格也是十分感人。目前光大银行仍有部分系统运行在小型机上,下面针对这两种操作系统进行介绍:


1. HP-UX

全称为Hewlett Packard Unix,是惠普9000系列服务器的操作系统,可以在HP的Pa-Risc处理器、Intel的Itanium处理器的电脑上运行。其设计目标是依照POSIX标准可靠而稳定地运行、能进行严格管理的UNIX系统,它以良好的开放性、互操作性和出色的软件功能在金融等领域得到广泛的应用。


光大银行从应用系统建设初期,就开始使用HP-UX操作系统,从最开始的HP-UX 10.20版本,随着不同类型服务器的逐步升级,HP-UX也使用到最终的11iV3版本。自2000年惠普推出SuperDome高端服务器以来,光大银行核心、网银、手机银行、图前、客服、理财和Summit等重要系统都在此平台上使用HP-UX操作系统,其中核心系统还单独使用了11i安全特性的trust模式,HP-UX操作系统套数在光大银行生产最高峰时达到近400套。但随着虚拟化、全栈云等技术的发展,从硬件小型机到软件操作系统都显现出越来越多的劣势,首先维护成本持续未减,随着硬件超期服役,故障率逐渐升高,系统可用率直接受到影响,人员和设备维护成本也未能降低;其次惠普公司在国内的变化,使得HP-UX操作系统的支持力度也在下降,在大力推进自主可控的前提下,我们确实应加快小机下移的速度。在小机下移后我们可以得到以下收益:

  • 下移X86环境的cpu主频比原HP小型机主频更高,整体性能有所提升。 

  • 小机下移后,硬件架构和操作系统的选型都使得应用可以更加灵活,不局限于小型机和HP-UX操作系统的限制。

  • 虚拟化和云服务后,使得系统层管理更加规范,更便于维护,很大程度减少人员和设备成本。随着行内近几年小机下移工作的进行,目前生产还有140余套HP-UX,也计划在2023年完成下移。努力让HP-UX为光大银行站好最后一班岗!


2. AIX

AIX是IBM基于AT&T Unix System V开发的一套类UNIX操作系统,1986年1月,伴随第一个版本AIX v1破茧而出,AIX成为世界上第一个能够支持商用RISC系统的UNIX操作系统,UNIX也由此脱胎换骨并正式进入商用领域,随后的20多年内AIX也成为最具影响力的操作系统之一。


AIX操作系统通常运行在IBM公司专有的Power系列小型机之上,以性能出众、运行稳定等特性长期称霸金融以及电信等有着苛刻要求的领域。在2019年以前光大银行很大一部分AB类系统数据库服务运行在AIX平台之上,承载了光大银行十分重要的业务。但随着光大银行降本增效工作的战略要求,开展加大了产品架构转型的力度,逐批次进行小型机系统迁移至X86系统上,近两年光大银行AIX操作系统的数量已急剧减少,仅剩少量系统使用。


巨人已衰败,或许未来的某一天,它仅仅成为一代人的记忆,但不可否认过去20年的发展历程中,AIX和HP-UX对整个人类计算发展史均做出了杰出的贡献,吾辈应当铭记!



操作系统2.0时代

行业主流—Linux操作系统

Linux是一个类Unix计算机操作系统的统称,是自由软件和开放源代码发展中最著名的代表。1991年,芬兰大学生Linus Torvalds萌发了开发一个自由的UNIX操作系统的想法,于是Linux就诞生了,为了让Linux能够有更多的人参与,Linux将其通过Internet发布,从此一大批知名的、不知名的电脑黑客、编程爱好者加入到开发过程中来,Linux逐渐成长起来。Linux凭借优秀的设计、不凡的性能以及IBM、INTEL、CA、CORE、ORACLE等国际知名企业的大力支持,市场份额逐步扩大,已经成长为影响整个世界的操作系统之一。


Linux发行版是指为达到某种目的而制作的一个完整的系统,例如桌面应用、实时应用以及嵌入式应用等。据不完全统计,目前已经有超过三百个发行版被发布,最普遍被使用的发行版有Fedora、Debian、Ubuntu、RedHat、SuSE、CentOS等等。


1.SuSE

SuSE Linux源于德国,最初以Slackware Linux为基础并提供完整德文使用界面的产品,后续被打造成一个完整发行版,凭借德国人的工匠精神,SuSE Linux被打造的十分完美,无处不彰显着精益求精的态度,虽其公司多次被资本市场青睐,先后被收购,但SuSE品牌一直保持独立运营,足见其在Linux江湖地位之高,因此,SuSE Linux凭借其出色表现,在国内金融以及电信等行业占据一席之地。


SuSE提供X86_64、ARM、IBM Power等多个平台的版本,同时也有专门针对高性能计算HPC的版本发布。SuSE自身支持高可用集群软件、跨地域集群,可以提供灵活的集群解决方案、持续数据复制、用户友好的工具、负载均衡、节点备份和恢复等功能。SuSE的技术生态环境良好,完全支持开源hypervisors,订阅一个服务器操作系统,可以运行无限个虚拟机;提供SuSE Cloud—基于Openstack开源云解决方案,其可与SuSE Studio、SuSE Manager紧密结合,为企业提供混合云平台和工具。


其在光大银行是一个长期在用的操作系统,在2019年以前,承载了光大银行绝大部分的应用服务以及部分系统的数据库服务,2019年之后逐渐承载了部分重要系统的数据库服务。SuSE11.4、SuSE12.3将于今明两年结束生命周期,结束后将无法获取更新、漏洞无法得到修复,目前主推版本为12.5,并逐步推进替换即将到期的11.4和12.3。SuSE虽然是国外品牌,但一直与中国市场保持紧密合作,目前已经推出了基于华为欧拉(OpenEuler)的版本,但是信创领域的风险仍然存在。


2. RedHat

RedHat Linux算得上是最著名的Linux发行版了,目前市场上流传的各版Linux或多或少都与其有着一定关系,大名鼎鼎的CentOS是基于RedHat按照开源规定释出的源代码编译而来,由此可见RedHat地位之高。其稳定可靠,有大量可参考的案例及配套的管理工具,国内金融以及电信等行业中大量被使用。


RedHat Linux在各种平台上支持虚拟化技术、支持多核处理器、支持AutoFs和iSCSI、支持根设置多路IO(MPIO)等技术,提供图形化SELinux管理界面、改进的ACPI支持、块设备数据加密、Conga集群和存储管理等功能。目前RedHat最新版本是9.0,采用最新的处理同步编程任务的新技术(NPTL);具备了高性能的新内核、更丰富的桌面环境、与Windows一样易操作的图形界面。


光大银行自2019年将其引入之后,其使用量快速增长,已成为小机下移至X86平台的首选操作系统,承载了大量的Oracle Rac2+2架构的生产系统,目前其在生产环境的占比已迅速增长到50%。光大银行目前RedHat Linux主推版本为7.9,8.0版本正在研究阶段。但是由于RedHat是美国公司,存在一定风险,在信创领域风险最高,后续将要逐步降低该版本的比例。



操作系统3.0时代

新兴宠儿—国产化Linux操作系统

1. Kylin

麒麟V10拥有内生安全、融入移动、性能领先、生态丰富、体验提升和云端赋能等特点,目前麒麟操作系统也已全面应用于令国人自豪的其他大国重器,如火星探测器-天问一号成功着陆火星、月球探测器、嫦娥五号成功发射以及神舟十二号载人飞船与中国空间站核心舱对接等。


光大银行从2017年开始试点和推广国芯操作系统,并将其作为加强基础技术领域产品多样化的重点工作领域来推进。在工作机制方面,以总体目标为导向,从试点系统的月度工作计划入手,促进任务实施,跟踪任务进展,推进各试点系统的工作进度。


光大银行在试点前期做了大量的思考工作,在整体的信创改造和操作系统选型规划中,重点考虑了以下问题:


(1)安全要求高:操作系统作为软硬件的纽带,在安全领域扮演着核心角色,是国家防范网络攻击与威胁的重要问题,而金融行业作为关系国民经济命脉的重要行业和关键领域,信息安全极为重要。操作系统需符合公安部等级保护要求,同时满足金融行业应用中的各种安全需求,如白名单、应用签名机制、国密算法、执行控制等。


(2)稳定性需求:从应用使用角度考虑,操作系统作为承上启下的关键层,是各应用软件运行的底层基石,要求具备非常高的稳定性,保证各业务场景稳定运行。


(3)可持续性发展:操作系统为核心的基础支撑软件,产品演进需为长期演进版本,是保障生态积累与稳定发展的必要性。产品的稳定性及长远角度均对企业的整体实力及产品的可持续发展能力有很高的要求。


(4)硬件兼容性要求高:光大银行的信创替换面临鲲鹏、飞腾、海光、兆芯、龙芯、Intel 等多芯片选型,操作系统需多 CPU 平台支撑同时兼容国产整机型号,选型过程中,对于操作系统硬件兼容性和产品稳定性,都需要综合考量。


现Kylin V10为光大银行信创的主推操作系统,已发布X86和ARM版本麒麟 V10的定制化镜像,进行标准化操作系统版本管理,定制系统预装软件,降低维护成本;推动全栈云适配工作,新建麒麟制品仓库,完善Gitlab代码,实现A/B栈环境母带自动化构建;更新工具箱适配麒麟V10,新增48个检查点;持续完善安全基线重检、安全漏洞修复工作;持续完善安全可控操作系统的技术标准文档、技术培训体系,做好生态建设。


目前麒麟ARM架构的机器数量已在逐步投产且稳定运行,已在国产中间业务云平台、办公自动化、统一接口平台、人民币跨境支付等多套系统,超过180台服务器上应用,39家分行以及信用卡中心共上线80多台服务器,全栈云华为栈投产上线110台虚拟机,目前生产环境运行效果稳定,同时,还有430余台信创操作系统服务器正在进行投产前测试的测试工作。


现阶段,光大银行正在逐步完成兼容国产化X86芯片的操作系统的适配工作,主要包括:全栈云、容器云、BES中间件、EverDB数据库、爱数备份软件、华为存储等,从而进一步扩大信创操作系统使用范围,争取加快国芯产品的使用增长率。


2. OpenEuler

OpenEuler于2019年12月31日正式开源,其源代码已开放给原子开源基金会,并成立OpenEuler社区,个人开发者可以获得免费的社区版操作系统,企业用户可以获得OpenEuler生态下完善的企业级应用工具链,支持云计算、边缘计算和嵌入式等场景。其全新的Linux内核5.10版本,包含了内核热升级框架、内存分级扩展能力等新特性,其中,内核热升级可以实现OS漏洞修复以及升级解决方案,实现在业务不感知的情况,实现内核在线升级;内存分级扩展是通过内核态的内存页面闲忙统计机制,精确识别进程内存页面访问冷热分布,支持SCM、XL Flash、NVMe SSD等介质,来实现系统内存容量平滑扩展。


目前麒麟、统信等厂商已基于欧拉开发出商用发行版,服务范围涵盖政企、金融、私有云等行业领域,其中,某行的信用卡业务通过将其核心系统重构,平滑切换到银行核心系统+鲲鹏+OpenEuler,实现了改造性能提升13%的目标,成为年度最佳案例。光大银行未来也有打算引入开源OpenEuler、统信等其他国产化操作系统的计划,来完善目前操作系统信创领域的生态圈。


作者 | 顾衍文 刘子正

视觉 | 王朋玉

统筹 | 祖德光

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存