Embed Size (px)
Citation preview
IBM Z и цифровая трансформация IT Направления инвестиций в развитие IBM Z
Солодков Михаил НиколаевичАрхитектор решений IBM Z в России и СНГ[email protected]
IBM Z Club Минск 201912 декабря
IBM Z может выполнять
Системы с распределёнными реестрами (Blockchain)
Использование полного спектра ПО с открытым кодом
Платформа мобильных сервисов
Современные интеграционные решения(API, Data virtualization, microservices)
Ресурсоёмкие приложения (Java, обработка XML и т.п.)
Решенияя для бизнеса (SAP ERP, OeBS, FTM, Temenos T24)
Облачная платформаDocker/Kubernetes/OpenShift
Real-time аналитика, машинное обучение
HTAP – гибридная транзакционно-аналитическая обработка
OLTP – транзакционная обработка
Масштабируемость
Постоянная готовность
Гибкость, открытость
Производительность
Безопасность
Эффективность
Особенности внутренней архитектуры IBM Z позволяют выполнять одновременно, в одном корпусе рабочие нагрузки разных типов, обеспечивая:• «близкую» интеграцию
взаимодействующих систем• высокий уровень безопасности всего
комплекса• экономическую эффективность работы
консолидированной нагрузки
самый широкий спектр современных рабочих нагрузок
при высочайшем качестве предоставляемых сервисов
предоставляя огромные преимущества от совместногоразвертывания приложений
Рынок диктует новые условия и новые правила ведения бизнеса.
Как придать новый импульс предприятию, осуществив цифровую трансформацию?
Вариант 1Оставить всё как есть(неминуемо отставание)
Вариант 2Переделать всю инфраструктуру(высокие риски, затраты, небыстрая отдача)
Вариант 3Максимально использовать то, что уже есть на IBM Z , двигать трансформацию вперед
Пути трансформации ИТ и IBM Z
Модернизация приложений для работы в облаке
«Облачные» решения для среды IBM Z
ЧастноеОблако
ПубличноеОблако
Открыть IBM Z для трансформации приложений и инфраструктуры посредством упрощения работы с платформой и представления функций традиционных приложений и middleware в виде API для использования в целевых гибридных архитектурах
Открыть IBM Z для разработчиков, не имеющих знаний платформы, для создания современных приложений, которые будут развернуты в надёжной, масштабируемой и безопасной среде IBM Z
Использовать IBM Z в качестве ключевого компонента, в котором традиционные корпоративные приложения и критичные данные безопасно интегрируются с мультиоблачными средами, в которых развернуты ландшафты корпоративных приложений
Предоставить сервисы, построенные на базе платформы IBM Z для использования заказчиками в качестве публичных облачных сервисов
Предоставить доступ и распространить качественные сервисы платформыза счёт применения открытых стандартов и свободно доступных инструментов и использования
облачных моделей развертывания и предоставления сервисов
Корпоративные гибридные облака и платформа IBM Z
WASMQ
Db2
IBMDVM
Реализация гибридной инфраструктуры на IBM Z
Разработка инновационных
приложений
Новые способы взаимодействия для
клиентов
Сервис используемый разработчиками
All z/OS Data Db2 VSAM,
SMF, Physical Sequential
Non z/OS Data
Oracle, dashDB
MongoDBHadoop
IDAAOn IBM Z
z/OS Connect
EE
HLASM
SQL,NoSQL (JSON)RESTData StreamsSOAP
C,PL/I
IBM API Connect
SSC
Единая система ИБ
Техники модернизации приложений• Декомпозиция – разделение монолита на автономные модули • Реплатформинг – перенос на другую платформу исполнения (runtime)• Рефакторинг – переделка монолитного приложения в микросервисное
IBM Cloud Hyper Protect Services• BCaaS• DBaaS• CRaaS• …
IBM Z – доверенная среда для критичных приложений
Последовательность «безопасной загрузки» SSC
FirmwareBootloader
signaturecheckdecryption
SoftwareBootloader
Disc
check
decrypt
open
LUKS
SE
Protected Memory (SSC PAR)
SoftwareImage & Data
Disc Encryption
LVM
EncryptedSoftware
Encrypted Data
Encryption Key
1. Firmware bootloader загружен в память2. Firmware загружает software bootloader с диска
i. Проверка целостности of software bootloaderii. Расшифровка software bootloader
3. Software bootloader активирует зашифрованные дискиi. Ключи хранятся в software bootloader (encrypted)ii. Encryption/decryption выполняется «на лету» в процессе
доступа к коду приложений или данным.
Доступ администраторов к продуктивной системе невозможен!• После активации контейнера доступ к ОС и оперативной памяти невозможен• Информация на дисках зашифрована• Доступ администраторов только через API
Защита от инсайдерских атак, выполняемых с участием администраторов “Snowden-type attacks”
58%Of IT Operations and Security Managers believe their
organizations are unnecessarily granting access to individuals beyond their roles and responsibilities1
Insecurity of Privileged Users 80% Of threats are
internal1
1 https://www.forcepoint.com/resources/industry-analyst-reports/2016-study-insecurity-privileged-users
Secure Service Container (SSC)
Безопасность IBM Z - Шифрование на всех уровнях*Полная защита данных
Охват
Сло
жнос
ть и
упр
авле
ние
безо
пасн
ость
ю
App Encryption
hyper-sensitive data
Database EncryptionProvide protection for very sensitive in-use (DB level), in-flight & at-rest
data
File or Dataset Level EncryptionProvide broad coverage for sensitive data using
encryption tied to access control for in-flight & at-rest data protection
Full Disk and Tape EncryptionProvide 100% coverage for in-flight & at-rest data with zero host CPU cost
Защита от физического воздействия на элементы
инфраструктуры
Широкомасштабная защита, управляемая ОС…отсутствует необходимость администрирования безопасности
файловых систем
Гранулярная защита на уровне БД… Выборочное шифрование и управление ключами для
«закрытых» данных
Защита на уровне приложения. Шифрование, управляемое приложением в случаях, когда шифрование на других уровнях неудобно или отсутствует
z14 CPACFКрипто-
акселераторВ каждом ядре
процессора
*- Возможность применения тех или иных средств (алгоритмов) шифрования зависит от локального законодательства
Сейчас Данные защищенывнутри IBM Z
Целевое состояние
Данные защищены на протяжении всего их жизненного цикла вне зависимости от их расположения
Trusted Data Objects
Сквозная (End-to-end) защита посредством механизма Trusted Data Objects
Enforced data
Управление использованием данныхи аудит
IBM Z Сквозное
шифрование и другие технологии
Теку
щее
со
стоя
ние
Обеспечивает:• Protection — Защиту (Шифрование и аннулирование доступа)• Privacy — Разграничение доступа (Управление разрешениями)• Proof — Доверие (Аудит и соответствие требованиям ИБ)
«USD 40 to start an attack vector, USD 40,000 an hour for an attack recovery»
— Source: Eduard Kovacs, Security Week
Партнёры
Публичное облако
Частное облако
Целевое состояние
Безопасность IBM Z – концепция IBM Data Privacy Passports
Суммируя сказанное• Если критичные бизнес приложения развёрнуты на IBM Z - это не помеха,
а преимущество в движении к «цифровому предприятию»• Для определения архитектуры ядра корпоративной системы нового
поколения полезно оценить Data gravity – область, где хранится и обрабатывается большая часть бизнес-критичных данных
• При проектировании системы, в которой будут применяться облачные технологии (особенно гибридные, мультиоблачные решения), обязательно необходимо учитывать аспекты защищённости целевой системы и данных от современных кибер-угроз
• Платформа IBM Z предоставляет свободу архитектурных решений, большой выбор вариантов развёртывания компонентов и возможность широкого применения программного обеспечения с открытым кодом.
1.Security (immune to any cyber threat)2.Compute3.Q-computing4.AI5.Blockchain6.Multi-Cloud7.Human-Machine Interface8.Pricing
Как будут развиваться мейнфреймы IBM Z?
• Как мейнфрейм интегрируется в облако?• Знаменитая безопасность мейнфреймов – как это будет
работать в облачной среде?• Как это всё увязывается с бурным развитием AI?• Как мейнфрейм будет справляться с новыми нагрузками,
требующими большой вычислительной мощности? • Кто будет работать с такой «специфичной» платформой?
11
IDC PERSPECTIVE
The Next Frontier for the MainframePeter Rutten
EXECUTIVE SNAPSHOT Ross MauriGeneral Manager, IBM Z & LinuxONEIBM Systems
February 2019, IDC #US44836319
Tarun Chopra, Director, Product ManagementIBM Systems
Инициативы R&D IBM Z
14
SecurityЦель - устранить угрозы кражи, порчи и компрометации данных, как исходящие извне, так и изнутри организацииВ будущем IBM Z видится как платформа, обладающая «иммунной системой» от любых атак
Реализовано решение: SSC – Secure Service ContainerЗащищает от атак по основным векторам, включая инсайдерские атаки (с участием администратора).Ближайшая цель: расширить «зону иммунитета» на всю систему IBM Z
Реализовано решение: «Сквозное шифрование» (IBM z14)Ближайшая цель: распространить диапазон сквозного шифрования на данные, выходящие из IBM Z“…when Z data goes traveling, Z security travels with that data.”
Инициативы R&D IBM Z
15
ComputeРабота продолжается в двух направлениях• Core density (количество ядер, частота и пр.)• ”Holistic” performance
”Holistic” performance - это про ускорение, специфичное для определённых типов нагрузок.Уже реализованы:SIMD, компрессия, крипто-акселераторыВсе виды ускорителей – прозрачны для приложений и обладают обратной совместимостью (пример –«сквозное» шифрование).Направления исследований:1. «Иерархия акселераторов»: определение где
расположить акселератор для специфичной нагрузки относительно процессорного ядра и системы кэша – начиная от «внутри процессора» (как CPACF) заканчивая «вне процессорной книги» – например квантовый акселератор.
2. Использование опыта OpenPOWER, их стратегии и экосистемы, там где нужно, обеспечив интеграцию и прозрачность для приложений.
Инициативы R&D IBM Z
16
QuantumComputing
Точка зрения IBM - применение квантовых вычислителей в качестве одной из разновидностей акселераторов способных решать проблемы корпоративного бизнеса.
Цель – «бесшовная» интеграция с IBM Z, для расширения возможностей System of Records для решения таких задач, как динамическое моделирование рисков или профилирование заказчиков, а также других задач, где квантовые системы наиболее востребованы.
Естественный сценарий применения IBM Z –защищённый шлюз в облачную среду, где развёрнуты «квантовые» вычислительные ресурсы, обрабатывающие критичную корпоративную информацию.Такое «промышленное» применение квантовых вычислений рассматривается в числе наиболее востребованных сценариев.
Инициативы R&D IBM Z
17
ArtificialIntelligence
An Artificial Intelligence Initiative – запущена для платформы IBM Z в 2017 году.Цель: обеспечить применение Искусственного интеллекта (моделей) непосредственно там, где данные располагаются.Реализовано решение:Machine learning for z/OSНаправления исследований:• Разработка акселераторов для Deep learning• Интеграция с проверенными технологиями AIВозможная реализация:Интеграция в IBM Z наиболее передовой AI системой – PowerAI:• POWER9 + Nvidia NVLink2• Прямой доступ к памяти из Nvidia GPU• Практически неограниченный размер моделей (>32 Гб)• Стек Machine learning
Применение – безопасная (IBM Z) обработка данных с использованием Искусственного интеллекта (PowerAI)
Инициативы R&D IBM Z
18
Blockchain
Точка зрения IBM• Использование Blockchain повлияет на
цифровизацию ряда индустрий, пока это «верхушка айсберга»
• Криптовалюты будут развиваться, но только хорошо защищённые
• Главные проблемы – масштабируемость при высокой транзакционной нагрузке.
Реализовано решение:Blockchain on IBM Z cloud – построено на IBM LinuxONE, успешно функционирует.
Направления исследований:• Zero-knowledge proof for identity – для
идентификации участника блокчейн-сети• В будущем, когда технология стабилизируется (в
первую очередь алгоритмы консенсуса и коммита), возможен перенос части функциональности на аппаратный уровень, для решения проблем масштабируемости
• В настоящее время, усилия будут направлены на акселерацию вычислительных операций
Инициативы R&D IBM Z
19
MulticloudТочка зрения IBMDynamic multicloud – будущая платформа для развёртывания большинства рабочих нагрузок
Цель: Распространить System of Records (IBM Z) на мультиоблачную инфраструктуру с бесшовным взаимодействием между облачными платформами построенными на коммерческих или Open source решениях.
Направления разработок:• On-premise IBM Z cloudified – для частного
облака• Защищённое взаимодействие с частными и
публичными «облаками» • Проработка моделей «as a Service» для IBM Z
в том числе «hyper protect»aaS (DBaaS, CryptoaaS)
Инициативы R&D IBM Z
20
Human-machineInterface
Направления продолжения разработок:• Упрощение управления (новые интерфейсы)• Автоматизация• Selfmanagement
Многое уже реализовано:Управление• GUI интерфейсы управления• Автоматизация• Операционная аналитика Разработки• Инструментарий полного цикла DevOps• API к сервисам• Доступ к системным функциям средствами
Open source (ZOWE)
Вопрос стоит давно Одна из причин утечки кадров.
Инициативы R&D IBM Z
21
Pricing
Будущее -pure consumption-based model
Есть понимание устаревания старых моделей (MLC) ценообразования в условиях непредсказуемых изменений нагрузок на системы.
Важно для клиентов, которые фокусируются на снижение CAPEX в пользу OPEX
Некоторые отдельные новшества z15Вычислительная мощность• До 190 ядер, до 40 TB RAIM ОП• Новый (взамен zEDC) ускоритель компрессии на процессорном чипе• Продолжается совершенствование
• pause-less garbage collection, • 30+ new instructions codesigned and exploited by Java™• vector enhancements for analytics applications
Безопасность• IBM Fibre Channel Endpoint Security - шифрование трафика FICON® or
FCP Links (z15-DS8900F)*• IBM Z Data Privacy for Diagnostics – маскирование «чувствительных»
данных, которые содержатся в диагностической информации при выдаче внешним организациям.
• Маскирование на основе «разметки» данных, которая осуществляется с применением специальных API и машинного обучения
• IBM z15 running z/OS 2.3 or 2.4• Первые кандидаты (Db2, IMS DFSMS™ components)• Не влияет на время выдачи дампа.
22
1.Security (immune to any cyber threat)2.Compute3.Q-computing4.AI5.Blockchain6.Multi-Cloud7.Human-Machine Interface8.Pricing
Security (immune to any cyber threat)ComputeQ-computingAIBlockchainMulti-CloudHuman-Machine InterfacePricing
IBM z15 – новый шаг в реализации планов
Trademarks
Notes: Performance data contained herein was generally obtained in a controlled, isolated environments. Customer examples are presented as illustrations of how those customers have used IBM products and the results they may have achieved. Actual performance, cost, savings or other results in other operating environments may vary.IBM products are manufactured from new parts or new and used parts. In some cases, a product may not be new and may have been previously installed. Regardless, our warranty terms apply.”All customer examples cited or described in this presentation are presented as illustrations of the manner in which some customers have used IBM products and the results they may have achieved. Actual environmental costs and performance characteristics will vary depending on individual customer configurations and conditions.This publication was produced in the United States. IBM may not offer the products, services or features discussed in this document in other countries, and the information may be subject to change without notice. Consult your local IBM business contact for information on the product or services available in your area.All statements regarding IBM's future direction and intent are subject to change or withdrawal without notice, and represent goals and objectives only.Information concerning non-IBM products was obtained from the suppliers of those products, their published announcements or other publicly available sources. IBM has not tested those products about this publication and cannot confirm the accuracy of performance, compatibility or any other claims related to non-IBM products.Prices subject to change without notice. Contact your IBM representative or Business Partner for the most current pricing in your geography.Information regarding potential future products is intended to outline our general product direction and it should not be relied on in making a purchasing decision.The information mentioned regarding potential future products is not a commitment, promise, or legal obligation to deliver any material, code or functionality. Information about potential future products may not be incorporated into any contract.This information provides only general descriptions of the types and portions of workloads that are eligible for execution on Specialty Engines (e.g, zIIPs, zAAPs, and IFLs) ("SEs"). IBM authorizes customers to use IBM SE only to execute the processing of Eligible Workloads of specific Programs expressly authorized by IBM as specified in the “Authorized Use Table for IBM Machines” provided at www.ibm.com/systems/support/machine_warranties/machine_code/aut.html (“AUT”). No other workload processing is authorized for execution on an SE. IBM offers SE at a lower price than General Processors/Central Processors because customers are authorized to use SEs only to process certain types and/or amounts of workloads as specified by IBM in the AUT.
* Registered trademarks of IBM Corporation
The following are trademarks of the International Business Machines Corporation in the United States and/or other countries.
Adobe, the Adobe logo, PostScript, and the PostScript logo are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States, and/or other countries. IT Infrastructure Library is a Registered Trademark of AXELOS Limited. ITIL is a Registered Trademark of AXELOS Limited. Linear Tape-Open, LTO, the LTO Logo, Ultrium, and the Ultrium logo are trademarks of HP, IBM Corp. and Quantum in the U.S. and other countries. Intel, Intel logo, Intel Inside, Intel Inside logo, Intel Centrino, Intel Centrino logo, Celeron, Intel Xeon, Intel SpeedStep, Itanium, and Pentium are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. The registered trademark Linux is used pursuant to a sublicense from the Linux Foundation, the exclusive licensee of Linus Torvalds, owner of the mark on a worldwide basis.Microsoft, Windows, Windows NT, and the Windows logo are trademarks of Microsoft Corporation in the United States, other countries, or both. Java and all Java-based trademarks and logos are trademarks or registered trademarks of Oracle and/or its affiliates. Cell Broadband Engine is a trademark of Sony Computer Entertainment, Inc. in the United States, other countries, or both and is used under license therefrom. Red Hat, JBoss, OpenShift, Fedora, Hibernate, Ansible, CloudForms, RHCA, RHCE, RHCSA, Ceph, and Gluster are trademarks or registered trademarks of Red Hat, Inc. or its subsidiaries in the United States and other countries. UNIX is a registered trademark of The Open Group in the United States and other countries. VMware, the VMware logo, VMware Cloud Foundation, VMware Cloud Foundation Service, VMware vCenter Server, and VMware vSphere are registered trademarks or trademarks of VMware, Inc. or its subsidiaries in the United States and/or other jurisdictions. Other product and service names might be trademarks of IBM or other companies.
CICS*Cloud PaksDb2*DFSMS
FICON*GDPS*HiperSocketsHyper Swap*
IBM*ibm.com*IBM logo* IBM Sterling Connect:Direct
IMSLinuxONEParallel Sysplex*Power*
PR/SMSpectrum ScaleSystem Storage*z13*
z13s*z14z15z/OS*
z/VM*z/VSE*
24
