內政部營建署資訊室代理主任黃國瑞

上從海拔3,952公尺的臺灣第一高峰玉山,到全臺大街小巷穿梭地底的下水道,都是內政部營建署的管轄範圍,建築管理更是重要業務,資訊系統的服務對象更是多元,除了有內部使用的中央建管系統和署內系統,也有地方建管系統供縣市政府和特色機關,像是科學園區、國家公園等使用,民眾或專業人士則使用申請系統。

因應使用機關不同的資訊環境條件,從去年下半年,營建署開始規畫建築管理資訊系統(簡稱建管系統)的翻新工程,不只打造雲端共用平臺,還採用了微服務架構和容器技術,今年正式啟動專案,分階段進行,年底將完成第一階段建置。

專案啟動前,為更加了解這些新應用技術,以確認是否適合系統改造工程,去年2月,營建署資訊室代理主任黃國瑞便自行展開測試。他一連測試了3種不同的容器開發工具,為嚴實掌握安裝流程,他在筆記裡寫下每個安裝步驟的說明,及搭配截圖畫面。黃國瑞的測試筆記從長達13頁,經過整理、消化,轉化說明為指令、設定等動作,最後濃縮為4頁的記錄。

經過半年多的親歷測試,黃國瑞才決定採用該技術,他笑道,「很多細節我比廠商還清楚」,他更直言,「如果自己對技術完全不了解,全部交給廠商開發,存在的風險會更高」。

建管資訊系統多達上百個子系統,黃國瑞表示,系統翻新前,他趁此機會,重新檢討每一個系統。為此先編寫了一本服務目錄,按業務屬性分類系統,再逐一羅列項目,刪除已停止提供服務的系統,及整併相同業務的系統,他舉例,像是將國家公園管理處8套自有系統,合為單一共用系統。經檢視,系統總數量降為70個。

為何選擇以雲端架構,重新塑造建管系統?已累積逾20年營建署IT實戰經驗的黃國瑞比誰都還清楚舊模式的缺陷及不便,他一一點出。許多縣市政府機房內的建管系統,都由營建署開發,一旦系統發生問題,就會找營建署維運。黃國瑞無奈地說,許多地方政府因財政困難,無法編列維運預算,使維運義務劃分不清,然而,系統分散全國各處,資訊室無法實際掌握現場的狀況,需透過電話才可了解。

各地系統所屬的環境都不一樣,有些縣市政府因財政情況,無力配置機房,直接部署系統在辦公空間,沒有隔離及管控溫度,影響系統運作的穩定性。黃國瑞指出,沒有親自了解實際情況,要遠端維運,非常的困難。

建管系統雲端化可減輕地方政府財政負擔,也利於署內進行維運

某離島縣政府,一年則只有約10件建管申請案件,因數量極少,沒有意願開發系統,也不願編列預算,部署硬體設備。待雲端平臺建置完成後,不管地方政府是無力建置機房,又或是無法自行開發系統,都可透過該平臺,使用雲端版的建管系統。

當系統出現異常時,營建署在署內就可直接掌握系統狀況,判定異常原因,可省下與地方政府通話的時間,更即時地排除問題。黃國瑞表示,統一由營建署處理各項事宜,可讓資訊系統的維護工作,更為方便。

相對財政困難的縣市政府,有些地方政府財政較為穩健,會編列預算建置軟硬體設備,設有機房並自行開發系統,再通過開放資料的模式,與營建署進行資料交換,像是提交執照申請書。但是,系統格式不一外,交換方式也沒有一定的標準,黃國瑞表示,這衍生了許多問題,導致資料傳送常遭遇失敗,因沒有監控平臺也無從得知交換失敗的原因。

造成交換失敗的原因,往往是因人為疏失,黃國瑞舉例,有時是承辦人員誤關主機,有時是系統數量過於龐大及複雜,人員更換系統時,遺漏搬遷對接的系統或是系統的附屬程式,像是排程程式。

過去,營建署必須仰賴人力,由維護廠商每日與縣市政府電話聯繫,了解情況,有時更需要遠端連線地方系統,才能找出問題的源頭。隨著資安意識逐漸抬頭,廠商若要連線進入系統,掌握狀況,需向地方政府申請,黃國瑞指出,這不僅耗費人力,更需花費許多時間。

統一系統格式及建立監管平臺,打通資料交換的瓶頸

營建署資訊室代理主任黃國瑞表示,自行測試才能掌握新技術的細節,如果對技術完全不了解,全部交給廠商開發,存在的風險會更高。(攝影/洪政偉)

除了自行開發系統的地方政府,特色機關也因為有資料交換的需求,面臨了相同的挑戰。特色機關多不自行開發系統,但對資料的存取權限極為敏感,尤其是科學園區,對硬體設備的資安標準有高要求,會部署營建署所開發的軟體,在自身的機房內,再自行維護,所以需通過資料交換方式,與營建署交換資料。

新的建管系統參照國發會的標準,將OpenAPI-Specification 3.0版制定為標準格式,讓縣市政府依該格式,修改系統,使雙邊系統的格式達一致性。同時,營建署會在雲端平臺上,建置資料交換的監控管理平臺,可以清楚了解哪一筆資料交換失敗,甚至,可以掌握交換失敗的原因。

每個縣市政府、單位機關的財政狀況和資安規範,都有所不同,新的共用平臺將滿足不同機關的需求,不管是否有能力自建機房,或自行開發系統,都可獲得相對應的系統服務,這正是營建署決定翻新建管系統的關鍵。

黃國瑞表示,能夠推行雲端架構,要回溯2008年,面對業務量不斷提高,需要擴充主機設備因應,然而,機房空間有限,為有效利用資源,營建署開始推動主機虛擬化的工程,完成IaaS層的建置,為今日打造建管系統的雲端共用平臺,奠定了基礎。

為在今年底,順利完成第一階段的建置工程,資訊室每個月與廠商至少召開3次會議,因系統涉及不同的建築管理業務,黃國瑞強調,需找各項業務的承辦人員參與,以確認建置的成果,是否符合使用者的需求。營建署計畫在明年底,完成該平臺9成的建置工作。

打造雲端共用平臺的同時,建管系統的架構也跟著全面大改造。黃國瑞表示,原先建築管理資訊系統中,多個子系統使用同一個資料庫,但互不交流。每個系統各自建立功能模組,如帳號管理、權限管理、資料讀取等程式,導致建立新系統時,需重新開發各項功能,此外,多重的帳號管理模組,使得使用者需用不同帳號密碼,才能登入不同的子系統。

黃國瑞將應用微服務架構於此,把系統共同的功能拆解為服務,日後新增系統時,只需通過API介面,呼叫API,開發人員不需掌握系統格式、資料庫名稱、欄位特性等,重新開發程式。使用者則可使用單一帳號密碼,進入不同的系統。

申請案件在期限前同時湧入,採微服務及容器技術因應高流量

此外,多個子系統常會運行在同個伺服器上,系統間會互相影響,當高流量出現時,單一個系統當機,會影響其他系統的運作。於是,黃國瑞決定採微服務架構,以服務功能化的角度設計,將每個系統拆解,他表示,當單一服務當機時,只要重啟該服務即可。

面對高流量的挑戰,黃國瑞不僅透過微服務架構,以降低系統間的相互影響力,為了有效調度運算資源,以因應流量變化,他也決定採用容器技術,擴充資源。

高流量來自申報業務,許多申報工作為週期性,有些檢查需每月申報結果,像是管理電梯、機械的升降設備許可證,有些檢查則是需每季申報。黃國瑞提到,流量尖峰多出現在申報期限的尾聲,尖峰期的網路平均流量近80MB,相比平日約10MB的流量,足足高出了8倍。

其實,申報時程都為期不短,但黃國瑞笑言,案件多集中在最後一個禮拜,甚至最後幾天,才進入營建署的系統進行作業,以至到最後交件期限,網路流量尖鋒往往會瞬間暴漲。

儘管,營建署在臺中和高雄都有租用電信機房,以平均分散網路流量,他指出,若要擴充伺服器資源,需先安裝作業系統環境,像是網頁伺服器、Apache、資料庫等,複製程式後,才可完成擴充,讓系統運作。所以他決定採容器技術,將主機資源轉為映像,以直接部署,加快資源擴充的速度。他表示,會根據繳件期限,推估流量暴增的時間點,在這個期間部署容器,擴充主機資源,等到高峰期結束後,再把資源收回。

除了署內資訊系統改造,去年開始,內政部規畫將轄下單位的系統全部向上集中,整併到部級機房,今年開始分階段推行,營建署也不例外,排定在明年執行。屆時,原有的署級機房將轉變為通訊機房,營建署逾3百臺的虛擬主機,都將搬遷至內政部機房,只留下網路設備和最多5套服務的系統在自身機房。

資訊向上集中是政府組織改造的其中一環,黃國瑞道,系統先整併,再將IT人力集中。人員整併至內政部前,日後系統不在署內機房裡,還得建立新的遠端控管機制。黃國瑞打算參考資訊委外時,提供給廠商遠端維護用的特權帳號管理系統的作法,來確保連線過程資訊不會外洩。黃國瑞舉例,現行作法是,使用者得先登入特權帳號系統確認身分,同時會錄下使用者的操作畫面,再這套系統透過特定的帳號密碼,自動登入內部的維護系統,而不讓使用者直接操作內部系統的登入。

黃國瑞指出,未來,營建署也會沿用類似的作法,遠端控管位在內政部機房內的系統,不過,因雙邊機關資安防護的強度不同,還需從中找出雙方都可適用的身分控管方式。因應未來管理方式的改變,最近,營建署與內政部每個月都召開會議,來規畫IT搬遷的細節。

? CIO小檔案??

內政部營建署資訊室代理主任黃國瑞

學歷:中原大學土木工程系

經歷:擔任公職逾24年,最早服務於臺灣省住宅及都市發展局,承辦道路工程設計業務,擔任營建署資訊室聯絡窗口,1998年精省後,進入營建署資訊室服務至今,負責機房建置及維護、系統開發及維運、ISMS建置,還有推動主機虛擬化等,於2016年接任資訊室代理主任

? 公司檔案??

內政部營建署

● 業務介紹:國土資源規畫、利用與管理

● 成立時間:1981年改制成立(前身為營建司)

● 網址:www.cpami.gov.tw

● 地址:臺北市松山區八德路二段342號

● 員工人數:824人

● 署長:吳欣修

? 資訊部門檔案??

● 資訊部門主管職稱:資訊室主任

● 直屬主管:主任秘書

● 資訊部門主管姓名:黃國瑞

● 資訊部門人數:8人

● IT預算:2019年約1,100萬元(不含專案費用)

● 資訊部門分工:系統開發及維運、機房建置及維護等

? IT大事記??

● 2002年:署本部及駐外單位網路及機房等資訊資源,整合為大內網架構

● 2008年:推動及建置主機虛擬化

● 2009年:導入資訊安全管理系統(ISMS)驗證

● 2010年:完成工程管理資訊整合系統的建置,上線運作,並與行政院公共工程會及地方政府進行資料交換

● 2011年:採用桌面虛擬化架構

● 2012年:對外服務網路支援IPv6

● 2014年:官網改採用自適應網站設計

● 2015年:開發全國安心建築多目標整合搜尋入口網,建立統一搜尋介面、導入資訊技術服務管理系統(ITSM)

● 2016年:內部網路支援IPv6,並為示範機關

● 2018年:將知識管理系統落實至業務層面

● 2019年:結合微服務、容器及K8s技術建置建築管理資訊系統雲端共用平臺


Advertisement

更多 iThome相關內容