IT系统运维解决方案.docx
- 文档编号:20128858
- 上传时间:2023-04-25
- 格式:DOCX
- 页数:53
- 大小:2.78MB
IT系统运维解决方案.docx
《IT系统运维解决方案.docx》由会员分享,可在线阅读,更多相关《IT系统运维解决方案.docx(53页珍藏版)》请在冰豆网上搜索。
IT系统运维解决方案
东胜区公安局信息中心IT系统及基础设施运维解决方案
鄂尔多斯市网信安科技有限公司
2011-09-23
1.项目背景
1.1.项目概述
随着信息化建设、人员的增加、管理要求等,现要对东胜区公安局及下辖的派出所的IT基础设备进行统一的管理、监控,要求在区公安局监控室可以访问、操作、控制各个派出所的IT设备,能够监控各个派出所的机房状况:
是否有人员进入;是否打开某个机柜;机柜内设备的能耗;机柜内的温度、湿度、烟雾等一系列情况。
目前东胜区公安分局共有区信息中心及天骄路、巴音门克等11个派出所或街道办的信息机房,需要对这12个机房内的IT基础设备进行统一、集中管理。
应用的不断增加也带来了服务器、网络、安全等IT设备数量的急剧增加和种类的增加,给进行手工管理的管理人员带来了很大的难度。
同时由于对IT系统的依赖,使得对系统运行安全、运行效率的要求也越来越高,而目前的管理手段很难达到此要求。
本次机房建设将对机房实现全封闭管理,对机房内设备的审计监控、操作全部在机房监控室进行,不允许人员随意进出机房,要求对机房所有设备实现集中带外管理,同时对主机的配电系统及环境进行实时的监控,通过用户定义阀值,进行告警。
以期实时掌握配电系统运行状况,在出现问题时,可以迅速发现,快速定位并解决问题。
保障机房数据、设备的安全性。
根据用户要求,结合自身多年的集成经验,提供了完整详实的技术方案。
在项目设计方案中,我们考虑在保证系统的合理性、成熟性、先进性、高可靠性的同时,还要保证整个系统的安全性、稳定性、易用性、易维护性。
我们设计使用多种主流先进技术(例如:
企业IT资源系统管理、服务器安全加固、带外安全审计、智能电源及微环境等),通过集中认证控管服务器,通过KeepAlive功能保障服务器信号的持续传输,加强了可靠性保障,同时选用业界最先进、高效的设计方案和设备,做到对机房IT系统及基础设施的安全、统一管理。
1.2.建设目标
1.2.1.KVM带外集中管理系统(EIM)
所有可控节点必须通过TCP/IP方式访问。
对于所有的用户需要具备权限划分,可以通过权限的控制逐级对可控节点进行级别的访问。
机房的众多服务器需在一个平台上得到统一管理,以解决因大量设备分散分布所带来的管理不便,免除众多不必要的外围设备而节省大量空间,使得管理员可在总控中心,由一套键盘、鼠标、显示器组成的控制台便可登陆所有的设备,方便、快捷地排除机器故障和进行日常维护工作,从而更有效地保障整体机房的正常运营,此外由于采用了TCP/IP的传输方式,在主控端和被控服务器端不用加载任何的附加软件。
对机房内所有设备的监控、操作都在机房监控室进行,不允许人员随意进出机房,对机房进行完全封闭管理。
所有连接线缆使用CAT5,便于布线,管理方便。
用户在IE浏览器界面登录EIM认证系统,通过系统认证后,才可登录系统。
对用户权限进行划分,不同的用户只能管理自己权限内的目标设备(其它设备对他不可见)
1.2.2.DRA(DesktopRecord Audit)录制审计系统
用户在任何时间、任何地点通过KVM集中控制系统(EIM)对服务器进行访问时,DRA系统可对操作进行全程记录(包括BIOS操作)。
这样,完成的认证、授权、审核的全步骤,静默监视和记录所有控制操作。
不但可以规范操作规程,并可及时发现误操作,对事后分析提供第一手资料和依据。
审核人员可以通过浏览器,在任何时间登录DRA安全审核服务器,访问其身份有权限访问的视频录像,可进行在线播放或下载播放。
1.2.3.数字电源及微环境管理系统(DPMS)
DPMS(数字电源及微环境管理系统),为数据中心解决设备供电及工作微环境监测的管理问题。
DPMS通过DPU(数字电源分配单元)对主机的配电系统及环境进行实时的监控,通过用户定义阀值,进行告警。
以期实时掌握配电系统运行状况,在出现问题时,可以迅速发现,快速定位并解决问题。
可通过DPU智能电源设备上安装的传感器,可以感知机柜内的温度、湿度、烟雾、水、门禁等,可以快速、方便的掌握机柜的状况。
环境监控领域的一款高性能监控主机可对供配电、UPS、空调、漏水、温湿度、红外、门禁、视频图像等进行集中监控管理报警功能,可以直接使用IE浏览器进行监控管理。
2.设计方案
2.1.系统拓扑图
2.2.方案连接方式介绍
考虑到信息中心机房的具体情况,对所有服务器(包括PC服务器、网络交换机、路由器、小型机、存储设备等)进行集中统一管理;操作用户通过TCP/IP同时操作访问机房内所有PC服务器、主机终端、存储设备、小型机(Console口)和网络设备(Console口);
方案连接实现描述:
1.MPU系列数字交换机对服务器的KVM接口进行管理时,我们只需要在每台服务器的键盘、鼠标、显示器接口都直接连接一根MPUIQ-USB服务器接口线缆攫取键盘、鼠标、显示器信号,MPUIQ-VMC服务器接口线缆再通过普通五类线线(标准568B)连接到MPU108E数字交换机的被控主机端口,MPU108E的本地控制端可以直接连接一套液晶控制台(AWNT-017)提供管理用户进入机房在机架旁操作管理其所连接的服务器;MPU108E数字交换机的网络端口通过普通五类线连接到网络交换机,提供远程管理用户通过TCP/IP操作管理。
2.ACS6000专用串口管理设备对网络交换机、路由器、小型机、存储设备串口(SerialPort)进行管理时,我们仅需要在每台串口设备的Console或Serial端口(DB9母头等)都直接连接一个串口转接头攫取串口RS232信号,串口转接头再通过普通五类线线连接到ACS专用串口管理设备的被控端端口;ACS专用串口管理设备的网络口通过普通五类线连接到网络交换机,提供远程管理用户通过TCP/IP操作管理。
3.EIM2是KVM带外集中控管平台需接入网络,远程IP操作用户只需要在IE浏览器内输入EIM2HUB中心认证服务器或Spoke分支服务器的IP地址经过权限认证后即可对机房内的所有的PC服务器、主机终端、存储设备、小型机(KVM或Console口)和网络设备(Console口)进行集中统一管理。
不同的IP用户都通过开放式的Web浏览器只需鼠标点击即可访问到机房内相应的设备,通过简单的用户分组和权限设置后不同部门的操作用户根据各自权限的不同可以访问各自不同部门的设备,每个操作用户不但可以在自己的屏幕上打开操作一台服务器画面,还可以打开多个服务器的界面轮流进行操作或监视不同设备的运行状态。
实现最小化访问权限控制。
实现从单点技术管理、普通系统管理、区域本地管理过渡到全面集中管理、安全系统管理和远程控制管理。
4.DPU2012通过配备的电源线缆为服务器及其他IT设施供电同时接入交换机与DPMS组成完整的一套系统,将传统的电源管理方式提升为数据中心IT基础设施电源集中控管与微环境监测系统。
该系统提供了有关电力使用情况和服务器周围环境的全方位的信息,以期帮助IT和设备管理人员改善数据中心的正常运行时间、优化容量规划和能源使用效率。
5.DRA是一台安装了录制审核管理系统的高性能服务器。
该服务器只需分配一IP地址后,连入网络交换机上该设备即可工作,无须在任何操作端或目标设备上安装任何形式的客户端。
用户只需要打开浏器,输入DRA录制审核管理系统的IP地址,就可以查询、播放、下载该账户权限下目标设备的所有操作记录。
3.解决方案特性描述
3.1.整体解决方案的合理性、可行性
3.1.1.解决方案的合理性:
本方案将信息中心生产运行服务器及网络设备实现了远程集中管理,通过IP方式进行集中管控,IP集中管控的总数量为72台服务器设备、72台网络设备。
通过本方案,运维人员对所有服务器的访问实现了:
EIM2集中控管系统
统一设备管理
EIM2是带外管理架构(OOBITM)统一的管理工具,可以集中管理所有带外访问设备,如ACS、MPU、电源管理、IPMI、ILO、RSA的新型接口的管理和IBMbladeserver等新机型的管理同样纳入统一平台下,实现在同一平台下的全方位的集中带外管理。
EIM2采用B/S方式,在统一的管理界面中,可实现:
✧带外管理架构的组成和变更;
✧带外访问设备的配置、监测、升级和维护;
✧对控管设备各端口所连接设备进行设置,包括名称、隶属部门、维护人员、联系方式等信息。
✧对所管理设备的直接管理;
统一安全管理
系统提供统一的安全管理措施,具体包括:
✧身份认证
系统支持本地身份认证及第三方服务器认证,如RADIUS,TACACS+,NT域LDAP,RSASecurID,等认证技术,且支持动态口令认证方式。
✧IP过滤
系统提供内嵌IP过滤技术,对来自于LAN/WAN的登陆进行IP过滤,并提供Proxy功能,使得MPU1008E等设备的IP地址隐藏在后台。
✧数据加密传输
系统对KVM信息全部采用DES、3DES(128位)、SSL或AES算法进行加密传输。
✧权限管理
系统可根据用户的角色不同,进行用户权限设置、修改。
统一用户管理
在EIM上实现系统的统一用户管理,避免在MPU上分别建立多套用户管理系统,降低管理复杂度。
统一的用户管理具体表现在:
Ø统一的用户登陆界面
Ø统一的用户创建、变更、删除管理
Ø统一的用户组管理
Ø统一的用户权限管理,支持共享、独占、隐身操作模式
端口视图:
依据用户的权限,显示其所管理端口的视图。
统一事件管理
在EIM2实现系统的统一事件管理。
事件管理内容包括:
Ø事件定义:
按照关键字进行事件定义。
Ø事件侦测:
在端口日志中,按照事件定义,自动监测事件发生。
Ø事件记录:
在数据库中,记录事件的发生时间、关联设备、事件内容。
Ø事件通知:
根据用户权限分配,以特定形式发送到相关用户。
Ø事件跟踪:
相关人员可以记录对事件的处理方式和结果。
统一日志管理
在EIM2实现系统统一日志管理,功能包括:
保存、查询、索引、归档:
访问日志
访问日志主要用于记录监控人员或网管人员对网络设备和服务器的访问情况,包括了访问时间、访问端口、访问用户名、访问源IP地址。
访问日志以表格方式记录在EIM2的数据库中。
备份管理
系统提供完备的备份管理,具体包括:
Ø冗余备份:
EIM2最多支持15个备份,可以避免EIM2的单点故障。
Ø配置备份:
MPU1008E和EIM2的配置信息可以备份和恢复
Ø链路备份:
在网络崩溃时通过安全的拨号连接,建立到MPU1008E的连接。
DRA安全审计管理系统
Ø直观的设备拓扑:
DRA操作审计平台可清晰显示出与EIM2相同结构的KVM设备拓扑
Ø灵活的应用方式:
DRA操作审计平台采用B/S架构,无论EIM1的访问端还是目标设备上无需安装任何程序或插件。
Ø快捷的部署操作:
在进行设备登记时,只需要填写正确EIM1服务器的名称、IP地址,即可将设备清单同步至DRA中。
Ø详细的访问记录:
对于用户的每一次访问,DRA均会将其操作过程完整的记录下来,此次操作的相关信息,如EIM1用户,访问开始时间,访问结束时间,是否多人访问,目标设备名称都会完整的记录下来,供审计查询使用。
Ø字符型设备访问记录:
对于使用ACS管理的目标设备,其操作中产生的所有通信内容,均会完整的保留在DRA系统中。
Ø字符型设备操作查询:
对于使用ACS管理的目标设备,在查询其操作过程时,可通过回文定位功能,方便的查看通过关键字查询到的命令所处的上下文环境。
Ø用户权限集中分配:
通过笛卡儿积式权限分配方式,可以清晰地定义DRA用户-EIM2用户-目标设备间的访问权限。
Ø录制参数设置:
可以设置对某目标设备的操作、某个EIM2用户的操作或某个EIM1用户对某个目标设备的操作的例外录制策略。
Ø视频录制参数调整:
通过调整录制视频的图像大小、图像的色深及采样速率实现视频文件的质量及文件大小的调整。
Ø存储策略设置:
可设置存储器满后,是停止录制还是删除旧文件记录录制。
Ø数据库备份:
可将当前DRA数据库进行备份,以缩短重新部署时间。
Ø视频文件备份:
可把当前的视频文件进行备份或转存。
DPMS数字电源及微环境管理系统
✧增强机房安全管理级别
通过带外管理系统实现远程安全管理,减少人员现场作业,提高机房物理安全性;
✧设备运行状态可视可控
实时监测设备的运行状态,并支持集中管控;
✧提高机房用电安全
实时自动观察设备用电参数,而不是人工采样;
基于设备级远程电源控制,以降低宕机时间;
通过统一的界面集中监视到设备电力运行状态,继而统一告警或生成报表;。
✧详细的访问记录
对于用户的每一次访问,DPMS均会将其操作过程完整的记录下来,此次操作的相关信息,都会完整的记录下来,供审计查询使用。
3.1.2.解决方案的可行性:
EIM2带外控管平台:
实现对服务器和网络设备的集中带外管理
DRA录制审核管理系统:
实现对EIM2控管平台中用户对服务器及网络设备的视频和字符审计
用户动态口令认证系统:
提供原始口令与动态口令相结合,确保用户系统登录安全
数字电源及微环境管理系统:
实现对配电系统的实时监控以及微环境监测,配电问题定位及告警
信息设备资源管理系统:
提供先进的IT运维管理平台,融合网络管理、主机系统管理、应用服务管理、性能管理、资源管理等各种IT因素的统一管理
3.2.应用方案安全、严密、具有一定的前瞻性
3.2.1.解决方案的安全性
⏹安全管理功能强大,用户密码登陆,用证书确认及身份认证,并通过控管平台进行授权,保障系统安全性。
⏹用户、用户组管理和权限管理,将管理级别进一步细划,提高了管理的效率。
⏹每个端口的用户权限控制技术和用户登录的视图技术,保证用户管理设备的方便和安全。
⏹中心、分支认证控管平台的辐条架构,可充分实现容灾的可靠性,保证不间断的控制。
⏹所有服务器键盘、鼠标、视频信号均经过128位加密处理。
⏹提供IP过滤功能,保证合法的IP地址才能访问。
⏹支持本地身份认证及第三方服务器认证,如ActiveDirectory外部认证服务、WindowsNT外部认证服务、LDAP外部认证服务、RADIUS外部认证服务、TACACS+外部认证服务、RSASecurID外部认证等。
3.2.2.解决方案的前瞻性
⏹Avocent是企业数据中心、中小型企业和分支机构IT基础设施管理解决方案的全球领先供应商,为各行业数万个数据中心提供了数据中心管理解决方案。
⏹每年有14%的销售收入持续不断的投入到新产品的开发和研究,Avocent将不断致力于为您的企业提供全面的管理解决方案和优良的服务。
⏹集中控管系统是一个以EIM2为核心的系统,各种控管设备均通过EIM2统一管理为用户提供便捷的机房管理方式。
⏹当新的运维管理技术出现后,Avocent会快速的将其融入EIM2的集中控管平台下,使Avocent的客户的运维手段始终保持世界领先水平。
3.2.3.对刀片服务器系统的支持
在数据中心部署刀片服务器的好处
⏹节省空间-每平方英尺更多的计算能力/服务器
⏹简化的基础设施和线缆-刀片机架供应冗余电源和风扇,减少了对连接不同刀片服务器的外部线缆的需要,具有易于插拔刀片服务器的框架结构
⏹易于扩展-很容易添加更多的刀片服务器。
⏹可恢复性
⏹维修效率
⏹动态负载平衡
⏹可管理特性
Avocent基础设施管理专用设备与EIM2管理系统配合提供了连接所有刀片服务器的多种方式,不管刀片服务器是由哪家厂商生产的。
此外,EIM2系统还未提供了访问和管理数据中心中的刀片服务器、机架式服务器或独立服务器以及所有其他网络设备的单一用户界面。
支持的刀片系统
IBM刀片机箱:
BladeCenter、BladeCenterT、BladeCenterH和BladeCenterHT
Dell刀片机箱:
PowerEdge1855和PowerEdge1955
HP刀片机箱:
BladeSystemc-Class和BladeSystemp-Class
通用刀片机箱
3.2.4.对虚拟服务器系统的支持
许多IT机构或多或少的实施了VMWare技术,在选定的物理服务器上创建多个虚拟服务器。
这种虚拟服务器的广泛使用可以提供诸多的优势-包括降低硬件方面的资本支出、减少能耗和冷却容量方面的需求,以及实现更为灵活的处理容量分配。
然而,虚拟技术的引入也给IT机构的管理工作带来了许许多多的挑战。
这些新的挑战主要应归咎于两个基本原因:
虚拟服务器的本质与物理服务器不同,因此必须以不同的方式对其实施管理,尤其是考虑到目前VMware工具不能神的诸多限制,管理工作的挑战就显得更为明显。
数据中心只实现了部分虚拟化。
也就是说,服务器既可能是物理机器,也可能是驻留在物理机器上的多个虚拟机之一。
虚拟和物理服务器的混合为管理运营带来了新一层的复杂性。
因此,IT机构必须重新思考新的方法,对这些动态混合程度越来越高的虚拟和物理服务器实施有效的管理。
Avocent帮助客户应对部分虚拟的数据中心环境所带来的管理挑战。
⏹发现VirtualCenters、VMwareESXServer及其支持的虚拟服务器的能力
⏹将这些虚拟服务其包括在目标设备之内
⏹在虚拟机创建、拆除或移动时对目标设备列表进行持续的同步/更新
⏹通过EIM2管理控制台以精细的力度管理虚拟服务器访问权的能力,采用与其它目标设备相同的方式,并且在对应的ESX服务器上对许可进行自动复制。
⏹将虚拟服务器获得的时间和警报收纳于EIM2时间日之中,并用于现实和相关的动作。
⏹将虚拟服务器上的所有的管理操作捕获到EIM2审查日志中。
支持的虚拟服务器
VMwareVirtualCenter2.01版或更高
VMwareESXserver3.01版或更高
3.3.解决方案的高可操作性
⏹集中控管系统具有良好的可操作性,访问端只要网络连通即可通过IE等浏览器工具访问到控管系统。
⏹每台控管设备提供一套接口供接本地键盘、鼠标、显示器,使用户在维护时方便的通过本地操作台进行维护。
⏹集成方案建议
Ø多机房IT基础设施集中控制系统互访问题
Ø集中控制系统实现多机房统一化管理,方便集中监控、控制、管理、运维,提高运维效率。
各部门和各机房的IT基础设施,应当考虑统一设备管理,人员管理,日志管理,在业务系统出现故障时,能够有应急系统和相关方面的专家及时隔离故障和解决系统问题。
Ø集中控管系统逻辑划分的实现
Ø服务器设备逻辑分组说明
Ø首先,可按照各服务器设备所属单位部门进行划分。
其次,对于每个组别中的各台服务器设备,分别添加各自的标志信息,如:
应用类型、设备型号、操作系统、IP地址、联系人、联系电话等。
Ø当用户需要时,还可对以上信息进行导出,保存为.CSV文件,更方便用户直观地对具体服务器进行各项操作。
Ø安全权限设置
Avocent数字解决方案针对应用,设置了5层用户安全级别控制方式:
I)外部结合认证
可通过外部认证系统实施外部验证机制,Avocent目前支持AD,NTDomain,Radius,LDAP,Tacacs+,RSASecurID六种外部认证系统,使得各操作人员仅需牢记一套密码即可对KVM系统及日常生产进行同时操作。
II)服务维护人员登录
可通过EIM2系统针对不同用户设置不同等级的用户权限,管理相应的服务器;任一用户在访问终端设备前,必须先通过多冗余设计的认证服务器(Hub或Spoke)的严格权限验证(SSPI、AASP专用安全协议),成功后才能访问到具有相应的终端设备并进行相应权限的操作,此其间所有的鼠标、键盘及视频信号的传输皆采用可选方式的DES,3DES,128位SSL,AES加密算法,并可结合利用防火墙的端口设置等功能,最大程度地保障了系统的安全性能。
III)访问时间短控制
结合外部认证系统,可指定用户在指定时间访问相应服务器设备,增强了系统的安全完备性。
IV)操作权限控制
可由EIM2系统分配给各不同用户不同的用户权限,
V)绑定IP控制
EIM2具有的强大功能使得系统可指定访问用户的IP地址列表,使得仅在此列表中存在的IP网段内的访问用户可以访问到EIM2系统,防止了各种外部无效访问,大大增强了系统的严密性。
4.产品描述
4.1.MPU1008E数字KVM交换机
本KVMoverIP切换器可让您对数据中心内所有连接的服务器和基于串行的设备进行BIOS级的控制—而且可随着您需求的增长而伸缩扩展。
8端口MPU®1008EKVMoverIP切换器可提供1条用于远程访问的同步数字通道,并可对数据中心内所有连接的服务器和串行设备进行BIOS级的控制。
切换器让您能够远程重启所连接的设备,并在网络出现故障时提供外置调制解调器支持。
MPU1008E切换器配备有与InternetExplorer、Mozilla、Firefox或Netscape兼容的板载Web界面,可用于访问和控制基于IP的服务器。
这为那些需要可灵活伸缩扩展系统的公司提供了便利。
随着系统的扩展,可以使用EIM2管理系统。
这个强大的集中化管理工具让您可以通过一个单一的界面访问和控制服务器和网络设备。
其中心和分支架构可以提供故障转移验证。
用户接受中央管理服务器(中心)或15个镜像服务器(分支)中的一个服务器的验证。
同时还提供SNMP和IPMI支持。
EIM2系统还提供虚拟媒体支持,虚拟媒体功能允许远程加载软件,以便于进行文件传输、应用程序和操作系统补丁安装以及诊断测试。
特性与优点
特性
优点
用户
远程服务器管理
8端口MPU®1008EKVMoverIP切换器,1个本地用户,1个数字用户,可以进行本地和远程服务器管理。
8端口紧凑型结构,节省了硬件和机架空间,从而降低了每个服务器端口的成本。
虚拟媒体支持
若与EIM2管理系统配套使用,MPU1008E切换器可提供虚拟媒体支持。
通过该软件可将CD-ROM和其他存储媒体映射到远程分支服务器,以执行文件传输、应用程序和操作系统补丁安装以及CD-ROM诊断程序。
KVM和电源控制整合解决方案
集BIOS级别访问和电源控制于一身的解决方案。
在网络出现故障时还提供外置调制解调器支持。
提供两个可直接连接至电源管理设备的电源控制端口。
管理
板载Web接口
通过板载Web界面可直接访问目标设备,无需再使用其他软件。
这对于希望拥有可伸缩扩展系统的小公司管理员来说,非常有益。
可根据系统扩展的需要,在日后添加EIM2系统。
单一的管理平台
通过配套使用EIM2系统和MPU1008E切换器,您就可以通过一个单一的界面管理包括数据中心和分支办公室在内的整个IT基础设施。
访问启用了IPMI的服务器
使用EIM2系统,IT管理员还可以监控和管理温度、风扇和电压等系统运行状况。
通知
EIM2系统为定义的系统事件发送SNMP陷阱和电子邮件通知。
制定计划
EIM2系统简化了日常任务、更新和文件下载(包括任务的自动定制和更新)的管理。
两个网络界面端口
提供网络故障转移冗余
安全性
故障转移验证
EIM2管理系统具有中心和分支架构,提供故障转移验证以确保系统的可靠性和安全性。
用户日志和访问控制
E
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 系统 解决方案