• 快捷搜索
  • 全站搜索

中行“两地三中心”运营体系建设实践

2013-10-11 13:32:38作者:中国银行股份有限公司信息中心助理总监 袁俊德编辑:金融咨询网
“两地三中心”模式已逐渐成为国内银行特别是大型银行数据中心建设的共识。中国银行作为全球系统重要性银行,基本建立了“两地三中心”的运营架构,并在此基础上发展形成了一套运营管理体系。

近些年,随着我国金融服务领域和渠道的逐步扩展,银行IT系统日趋复杂,客户对银行服务质量的期望不断提高,金融科技监管要求日益严格。在此背景下,国内商业银行普遍加强了数据中心建设,以保障业务快速发展和IT系统安全高效运营。目前,“两地三中心”模式已逐渐成为国内银行特别是大型银行数据中心建设的共识。中国银行作为全球系统重要性银行,基本建立了“两地三中心”的运营架构,并在此基础上发展形成了一套运营管理体系。

一、建设背景

  目前,中国银行的数据中心建设经历了四个阶段。第一阶段:2000年~2003上半年,通过物理集中将全国分散的IT系统集中到五个数据中心运营;第二阶段:2003下半年~2009 年10月,开展全行信息系统逻辑集中和“两地三中心”的规划和建设;第三阶段:2009年10月~2011年底,分批次通过数据迁移和新系统投产将全行业务系统整合集中,形成了“两地三中心”的运营体系;第四阶段:2011年至今,针对“两地三中心”深化运营管理并着手海外数据中心整合。其中,第二、第三两阶段也是中国银行IT蓝图建设阶段。

  “两地三中心”理论上是将IT系统的高可用性和灾难恢复高效整合的数据中心运营体系。严格意义上讲,高可用性和灾难恢复有不同的含义,在ISO20000描述中高可用性是Availability 的范畴,强调组件冗余,使恢复时间(RTO)最小化,而灾难恢复是Continuity 的范畴,强调系统可恢复,既有RTO要求也有数据恢复点(RPO)要求。无论高可用性还是灾难恢复都需要应对不同等级的故障。故障等级通常分为系统级、场所级和灾难级三个层级。其中,系统级主要对应单一组件(如系统或存储)故障;场所级对应电力中断、机房火灾水灾等场所故障;灾难级对应地震、战争、瘟疫等地域灾难。一般而言,“两地三中心”的同城两中心主要解决高可用性问题,即系统级和场所级故障;异地中心解决灾难级故障问题,保障在地域发生灾难的情况下的系统恢复。所以,“两地三中心”是以合理的代价保护业务的持续运营和数据的完整安全,并在灾难发生后能够尽快恢复信息系统的运行以减少业务停顿。

  通过对全行业务保障、数据安全和运营效能等方面的综合考虑,并经过两次海外知名公司咨询,中国银行确定了“两地三中心”的数据中心建设目标,分别命名为生产中心、同城备份中心和异地灾备中心。围绕这一目标,伴随IT蓝图工作的开展,中国银行同步进行数据中心的环境建设基,本建立了“两地三中心”运营体系,保障了信息系统的安全平稳运行,并于2011~2012 年组织了四次较大规模的同城或异地实战切换演练,验证了运营体系的有效性,为中国银行业务服务和发展提供了有力保障。

二、运营架构

  如何有效实现“两地三中心”的功能定位,是摆在所有银行同业面前的实际问题。简单而言,“两地三中心”的目标是实现同城高可用和异地容灾的结合,要实现这个目标需要全行科技体系统一规划,统一部署。为此,中国银行制定了业务系统的可用性分级标准和灾备定级标准,这两个标准规定了某个应用系统是否在同城或异地部署,是应用级还是数据级。在可用性分级标准中,根据业务系统运行的服务影响和时效要求等因素,将业务系统划分为5个等级,明确了不同的可用性设计指标、恢复时间和技术架构。在灾备定级标准中,根据系统中断后对客户服务产生的影响、用户的容忍中断时间以及监管对灾难恢复的要求等,将业务系统划分为4个等级,并明确了不同的恢复时间目标(RTO)和数据恢复点目标(RPO)。在这两个标准的指导下,逐步推进“两地三中心”基础环境和各应用系统的部署与建设。

  同城两中心要保障系统高可用性以及数据的一致性和完整性。高可用性通常分为Active-Standby、Active-Query 和Active-Active三个模式,前两种模式需要系统切换,后一种是双活,双活是中国银行同城两中心规划设计的最终目标。无论是哪种模式,数据的同步传输是前提,只有实施数据同步才能确保数据“零丢失”,同时在设备、系统、网络、应用等各层面相互配合,系统才具备高可用性。目前在同城两中心高可用技术方面,主机和开放平台的相关技术发展并不均衡,特别是开放平台仍有比较大的局限性,所以在不同平台的系统上可用性存在一定差异,当前完全实现同城双活尚不具备条件。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章