操作系統(tǒng)作為IT基礎(chǔ)設(shè)施的核心組件，向下連接硬件，對計算機硬件的復(fù)雜功能進(jìn)行封裝和抽象，提供硬件資源管理能力；向上連接軟件，為上層軟件提供了統(tǒng)一的應(yīng)用程序接口，對數(shù)據(jù)庫、中間件、應(yīng)用程序提供運行環(huán)境和支持服務(wù)。正因如此，操作系統(tǒng)的變化與業(yè)務(wù)系統(tǒng)運行息息相關(guān)。近年來，隨著金融XC建設(shè)工作的推進(jìn)，同時落實監(jiān)管對操作系統(tǒng)版本管理的要求，適應(yīng)“兩高一弱”常態(tài)化管理機制，G行總結(jié)操作系統(tǒng)領(lǐng)域?qū)嵺`經(jīng)驗，優(yōu)化服務(wù)器操作系統(tǒng)管理策略，提升服務(wù)器操作系統(tǒng)領(lǐng)域支持力度，充分發(fā)揮了操作系統(tǒng)的承上啟下橋梁作用，進(jìn)而有效保障了業(yè)務(wù)系統(tǒng)穩(wěn)定運行。

制定版本管理規(guī)劃

G行當(dāng)前使用的服務(wù)器操作系統(tǒng)主要是以Linux為核心的商業(yè)發(fā)行版本，占全行服務(wù)器操作系統(tǒng)總量的95%左右。對于Linux相關(guān)商業(yè)產(chǎn)品的維護(hù)支持，一般廠商提供包括全面支持、擴(kuò)展支持、安全支持、極限支持四個階段：其中全面支持階段提供全方位的支持，包括新硬件、新功能支持，提供安全更新和關(guān)鍵補丁修復(fù)安全漏洞及缺陷；擴(kuò)展支持服務(wù)階段提供重要安全更新及關(guān)鍵補丁，有限提供新硬件、新功能支持；而安全支持階段僅提供重要安全更新和關(guān)鍵補丁；對于極限支持階段，服務(wù)內(nèi)容與安全支持基本一致，僅是服務(wù)周期的延長，但需要較高的維護(hù)成本投入。為保障操作系統(tǒng)使用充分性與合理性，提高系統(tǒng)穩(wěn)定性，G行結(jié)合上述商業(yè)發(fā)行版本的維護(hù)支持策略及行內(nèi)基礎(chǔ)設(shè)施現(xiàn)狀，制定了服務(wù)器操作系統(tǒng)版本管理策略。

圖1 操作系統(tǒng)版本規(guī)劃示意

1.減少極限支持使用的可能。部分商用版本的安全支持與極限支持階段，需額外采購維護(hù)服務(wù)，尤其是極限支持服務(wù)的采購成本極高，因此在成本因素影響下，操作系統(tǒng)版本迭代上應(yīng)減少極限支持服務(wù)使用的可能。

2.優(yōu)選最終的小版本。版本的選擇應(yīng)考慮中間版本的支持情況，各個商業(yè)發(fā)行版本中，一般中間小版本與最終小版本的支持周期相比，支持周期要短2-3年，因此優(yōu)選最終小版本廣泛使用，可在一定程度上減少額外維護(hù)支持投入。

3.需求性與周期性引入相結(jié)合。操作系統(tǒng)的版本更新觸發(fā)條件有兩個，一個是為適應(yīng)新特性、新硬件而引入特定版本，另一個是固定周期的版本更新。G行根據(jù)當(dāng)前操作系統(tǒng)使用情況，形成了1年試用-3年主推-2年限制使用-3年限期替換的生命周期管理規(guī)劃，在使用年限上充分利用產(chǎn)品生命周期，降低業(yè)務(wù)系統(tǒng)升級成本，極大保障業(yè)務(wù)系統(tǒng)穩(wěn)定性，同時每間隔3-4年開展新版本引入，推進(jìn)版本迭代更新，4-5年的限制使用和替換周期為業(yè)務(wù)系統(tǒng)遷移提供充足的遷移替換時間窗口。

實施統(tǒng)一補丁管理基線

在操作系統(tǒng)管理中，補丁管理是重要的工作內(nèi)容之一。常態(tài)化的補丁修復(fù)既是降低安全漏洞風(fēng)險，防范網(wǎng)絡(luò)攻擊，維持系統(tǒng)穩(wěn)定與性能的需要，也是滿足行業(yè)合規(guī)，提升業(yè)務(wù)連續(xù)性，保障客戶數(shù)據(jù)安全的要求。G行多年來在操作系統(tǒng)領(lǐng)域?qū)嵤┙y(tǒng)一基線的管理策略，即通過基線標(biāo)準(zhǔn)統(tǒng)一、升級策略統(tǒng)一、實施升級統(tǒng)一的標(biāo)準(zhǔn)化、集中化的方式，實現(xiàn)對所有系統(tǒng)主機的補丁進(jìn)行統(tǒng)一管理、測試、部署。

1.統(tǒng)一基線標(biāo)準(zhǔn)。G行實施操作系統(tǒng)補丁統(tǒng)一的基線管理策略，按照每年1-2次的集中式更新，將系統(tǒng)漏洞與缺陷通過補丁更新進(jìn)行累計性修復(fù)，從而減少了生產(chǎn)環(huán)境的補丁多樣性，消除補丁基線的差異，避免因不同系統(tǒng)的主機補丁版本不一致導(dǎo)致的“安全短板”。

2.統(tǒng)一升級策略。在開發(fā)測試與生產(chǎn)環(huán)境操作系統(tǒng)版本保持一致前提下，實施一定差異的滾動補丁更策略。同時對跨版本升級方面，原則上按主機替換升級實施，除重要系統(tǒng)需開展專項非功能測試外，其余系統(tǒng)開展功能回歸測試；對小版本內(nèi)的補丁更新，不強制要求專門的非功能及功能測試，測試環(huán)境提前完成升級1個月以上并無異常，視為具備升級測試條件。

3.統(tǒng)一升級實施。統(tǒng)一的基線管理降低了運維復(fù)雜性，僅需考慮在有限數(shù)量的版本下進(jìn)行補丁升級與回退，減少測試驗證范圍，并為通過系統(tǒng)運維配置管理平臺統(tǒng)一實施與灰度發(fā)布創(chuàng)造了有利條件，有效避免分散式運維的重復(fù)勞動。同時實施窗口的選擇集中在每年的4至8月，避免對春節(jié)、兩會、國慶、雙11等重大保障活動的影響。

總之，統(tǒng)一補丁基線管理策略的核心優(yōu)勢在于將碎片化的補丁工作轉(zhuǎn)化為標(biāo)準(zhǔn)化、可度量的安全實踐，從而在安全性（減少漏洞與缺陷）、效率（降低運維成本）、合規(guī)性（滿足監(jiān)管要求）三者間實現(xiàn)平衡，提升基礎(chǔ)設(shè)施管理的韌性。

工具化操作系統(tǒng)鏡像交付

操作系統(tǒng)鏡像既是操作系統(tǒng)版本及補丁管理的出發(fā)點，又是落腳點，操作系統(tǒng)版本的變化及補丁基線變化均會影響應(yīng)用系統(tǒng)所使用的鏡像內(nèi)容。為充分保障環(huán)境一致性，減少通用軟件安裝工作，并提升交付效率，G行通過標(biāo)準(zhǔn)的鏡像實現(xiàn)云外物理機及云內(nèi)虛擬機、裸金屬的資源交付。

圖2 鏡像制作流程示意

（一）定制化開發(fā)

定制化開發(fā)階段主要通過ISO封裝技術(shù)對廠商交付的ISO鏡像文件進(jìn)行二次封裝打包，打包過程參考統(tǒng)一的基線軟件清單進(jìn)行裁剪或補充：一方面減少不必要安裝組件所帶來的安全風(fēng)險（如圖形化界面）或性能風(fēng)險，增強安全性；另一方面增加部分特定軟件的預(yù)裝部署，如perf、ebpf等可觀測工具，為系統(tǒng)故障診斷，性能觀測等提供工具支撐。此外，針對系統(tǒng)運行配置方面，結(jié)合運維技術(shù)標(biāo)準(zhǔn)，對配置基線使用kickstart工具進(jìn)行腳本化封裝，實現(xiàn)一鍵式安裝配置，以此減少物理裝機后基線配置維護(hù)工作。

（二）兼容適配

兼容適配核心解決的是軟硬件兼容問題。對下層解決硬件與云平臺、物理機的適配，將操作系統(tǒng)定制化鏡像導(dǎo)入相應(yīng)的平臺并執(zhí)行系統(tǒng)安裝，測試驗證可按預(yù)期完成裝機過程；對上層解決數(shù)據(jù)庫、中間件、通用軟件等的兼容驗證，在鏡像引入過程中，通知相關(guān)軟件的技術(shù)責(zé)任人開展適配驗證工作，驗證軟件安裝部署、功能運行、性能效率等方面滿足預(yù)期要求，為后續(xù)推廣使用奠定基礎(chǔ)。

（三）流水線交付

由于云虛擬機和裸金屬服務(wù)可通過鏡像復(fù)制進(jìn)行主機交付，為減少每次交付中進(jìn)行補丁基線追平及通用軟件安裝操作，提高交付效率，G行使用標(biāo)準(zhǔn)化的鏡像進(jìn)行資源發(fā)放。從定制化鏡像到標(biāo)準(zhǔn)化鏡像的制作過程，使用鏡像流水線工具實現(xiàn)，其中鏡像各階段部署腳本依托G行統(tǒng)一代碼管理平臺，對ansible的playbook代碼或shell腳本進(jìn)行統(tǒng)一管理，實現(xiàn)腳本更改的有跡可查及多方協(xié)同管理；通過流水線的持續(xù)集成工具實現(xiàn)流水線的運行，在設(shè)定特定參數(shù)后自動化對ansible的playbook或shell腳本的調(diào)度執(zhí)行，并滿足多環(huán)境下部分鏡像內(nèi)置軟件差異化安裝的需求。最終生成的鏡像均通過API方式上傳至統(tǒng)一制品庫存儲，為后續(xù)云內(nèi)鏡像發(fā)布提供唯一入口，實現(xiàn)標(biāo)準(zhǔn)化交付。

（四）驗證發(fā)布

鏡像的驗證發(fā)布，首先要通過流水線執(zhí)行生成鏡像，然后使用統(tǒng)一的驗證流程派發(fā)各方執(zhí)行鏡像驗證，以確保符合交付預(yù)期。對新引入的操作系統(tǒng)版本需在發(fā)布前進(jìn)行技術(shù)產(chǎn)品登記，并對所有更新的操作系統(tǒng)鏡像在云管理平臺中進(jìn)行注冊并開放使用，完成鏡像發(fā)布過程。

鏡像管理工具流程化的核心價值在于：首先是標(biāo)準(zhǔn)化，通過技術(shù)工具約束人為差異，通過流程工具消除環(huán)節(jié)缺失；其次是自動化，通過自動化流水線執(zhí)行，減少手工操作，實現(xiàn)代碼提交的自動化驗證，提高開發(fā)維護(hù)效率。其三是可觀測，從構(gòu)建到交付的全過程留痕，實現(xiàn)可追溯。

總結(jié)與展望

操作系統(tǒng)是計算機系統(tǒng)中至關(guān)重要的系統(tǒng)軟件，它處于系統(tǒng)硬件和數(shù)據(jù)庫、中間件及應(yīng)用軟件之間，起到了承上啟下的橋梁作用。在金融企業(yè)中，操作系統(tǒng)版本、補丁、鏡像管理意義重大。有效的版本管理能確保系統(tǒng)穩(wěn)定運行，減少因版本不兼容等問題導(dǎo)致的故障。合理的補丁策略有助于保障數(shù)據(jù)安全，并推進(jìn)及時更新安全補丁。標(biāo)準(zhǔn)的鏡像管理能夠?qū)崿F(xiàn)資源的快速交付，便于統(tǒng)一管理和維護(hù)，提升運維效率。三者的有機結(jié)合與統(tǒng)一，可促進(jìn)金融業(yè)務(wù)系統(tǒng)可靠性、安全性和高效性。

隨著G行應(yīng)用上云及XC改造工作的不斷推進(jìn)，XC操作系統(tǒng)的使用愈加廣泛，軟件技術(shù)產(chǎn)品的生態(tài)愈加豐富且成熟，操作版本管理方面應(yīng)持續(xù)積累和探索，與時俱進(jìn)，穩(wěn)中求進(jìn)，推進(jìn)操作系統(tǒng)管理規(guī)劃的落地實施，著力保障業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行，助力G行高質(zhì)量發(fā)展。