KVM集中管理解决方案.docx
- 文档编号:5865917
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:18
- 大小:477.55KB
KVM集中管理解决方案.docx
《KVM集中管理解决方案.docx》由会员分享,可在线阅读,更多相关《KVM集中管理解决方案.docx(18页珍藏版)》请在冰豆网上搜索。
KVM集中管理解决方案
KVM远程集中管控解决方案
2022年4月27日
1概述
1.1前言
IT建设也在逐年的扩充,但在常规书记机房维护人员在数据中心传统的日常维护管理中,对服务器、网络设备的管理基本上简单地通过单机管理、或是局部采用机柜式低端模拟KVM管理、或是通过一些辅助软件点对点的远程管理,这样的管理方式正面理临着大范围地维护管理和处理多样性IT基础设施带来的巨大挑战,这些挑战包括:
1)数据中心机房无法实现无人机房管理,物理设备存在的安全隐患:
各系统的日常维护管理中操作多,且共性的操作占了很大的比重,这种大量繁琐的操作不可避免的带来了不必要的安全隐患。
进出机房的人员增多(不同的厂商人员,不同的设备维护人员),机房人员管理繁杂,安全系数低。
2)机房设备维护操作手段复杂,一旦出现故障,维护排错时间长,效率低,影响安全生产:
不同种类的服务器网络设备等IT设备都有不同的维护操作手段,都有着自己的维护界面,造成系统维护人员需要逐个的进行维护和管理,显然这种单点式的维护需要耗费大量的人力成本,可以想象,当系统或网络维护人员穿梭于服务器、各种机柜所组成的丛林中,寻找出故障的机器时,效率是多么的低下。
而这效率的低下,不但浪费了有限的人力资源,而且使出现的故障得不到及时的修复,使网络或数据中心出现不应有的停顿,对企业的损失不可估量。
3)远程维护管理的隐患:
系统的远程维护和管理也是机房管理所面临的重要问题:
当维护管理人员不在机房,或要维护异地机房时须用到远程维护管理,维护人员不可能24小时在机房里值班,而机器故障却可能在任何时候发生,一旦出现问题需要维护人员即刻到场,对于异地机房的远程维护管理更为迫切;而目前的基于软件的远程维护不能作到真正的远程维护:
软件工具不能实现设备的加电断电重起功能,而软件工具本身要在管理目标机器上安装,这对主机本身就会带来安全隐患。
4)机房空间的利用效率问题:
对于IT机房空间来说机房的利用效率极其重要,目前众多的键盘、鼠标和显示器的数量或每个机架上的配置的键盘鼠标显示器的切换器,使得机房的空间利用率低下并且能源消耗大。
5)维护人员的工作问题:
维护人员长期不定时的加班或值班工作;机房环境(噪音,辐射和温度)对维护人员的影响;异地机房的长期出差维护的路途奔波。
。
。
这些问题都影响IT维护人员的工作满意度,从而间接会影响到工作效率。
6)管理维护成本问题:
不同机房奔波维护费用,或服务外包费用,加班值班等等费用随着企业IT系统的扩充而逐年增多,如何降低成本也成为当前企业所面临的重要问题。
分析以上的挑战,显然常规的管理维护手段已不能适应管理的要求,为了解决这些矛盾,提高系统运行维护管理水平,迫切需要改变目前的运行管理模式,包括从单点技术管理过渡到全面集中管理、从普通系统管理过渡到安全系统管理、建立健全操作授权管理机制、IT设备用电管理、微环境监控、安全日志记录和审计、密文传输防范数据传输风险、减少机房人员进出,提高物理安全性等。
采用Raritan解决方案具有如下特点:
◆可靠性使用高冗余度的硬件设备搭建的集带内带外管理优点于一身的全冗余设计方案;
◆安全性集用户安全、设备安全和数据安全于一身的安全体系,保障系统正常运行;
◆扩充性简单的设备数量增加,即可完成对整个系统的管理设备数量扩充和管理功能扩充;
◆操作性良好的简体中文人机界面、强大的集中管理功能;
◆先进性真正做到安全、易用、高效的无人机房管理;
Raritan产品服务全国众多的大型数据中心;在国内在已经采用“集中与远程管控”系统的企业级客户,超过50%采用Raritan产品和服务,本解决方案不仅考虑了用户现有的管理对象和管理策略,同时兼顾未来的扩展和延伸需要,关注用户的投资回报,帮助用户提高企业的竞争能力和客户满意度。
1.2现况分析
儋州供电局与2011年四月利用KVM远程维护技术初步组建了变电站后台远程维护系统,该系统依托于由德讯科技股份有限公司所提供的DSR1031数字交换机,采用采用星形拓扑结构搭建。
该远程控制系统的远程控制界面采用B/S架构,通过Web界面进行远程访问操作,该系统受硬件环境的制约较少,但对安全的控制能力相对较弱。
DSR1031数字交换机作为一款2007年上市的产品,其所提供的功能相对较单一,受浏览器页面的动态刷新影响较大,响应速度低,无法满足用户的快速操作要求。
该设备现已停止生产,这严重影响了现有KVM远程控制网络的后继拓展性。
机房集中远程管控解决方案
1.3方案需求
13个分支机房需要管理,以IP专网方式实现对机房服务器和网络设备的BIOS级别的远程控制管理等。
所有的实施与使用不占用被管理服务器的任何系统资源,且与被管理服务器的系统平台无关,同被管理服务器网络接口无关,通过数字式KVM解决方案将改变分散的、逐个的管理和维护的方式,提高维护的效率及管理水平。
1.4系统方案拓扑图
1.5KVM连接示意图
1.6系统结构描述
方案从设计上分为三层结构,分别为接入层、管理层和用户层。
接入层位于各地数据机房,实现被管理设备的接入和汇聚,管理层实现对各地机房设备的集中管理,用户层为管理员操作控制端。
接入层使用Dominion数字系列的DKX2-216对各地数据机房中的被管理设备进行汇聚,使用UTP5类线从被管理设备的I/O口(KVM口或串口)连接到Dominion的端口上。
由DKX2-216使用OverIP技术将模拟信号转换成IP数据包并连接到IP网络,可从远程对被管设备进行管理。
当各地数据机房中的管理员需要在本地访问被管理设备的时候,可使用DKX2-216系列提供的本地管理接口来进行操作。
DKX2-216可根据各地数据机房中被管设备的数量,可使用不同型号。
管理层使用CC-V1-256,当安装了CC-V1-256后,使用者不能直接连接DKX2-216而需要访问CC-V1-256通过统一的界面进行集中的身份验证和权限分配后才能访问各台被管理设备。
用户层客户端无需安装专门的软件,直接通过浏览器登录到集中认证管理平台,通过授权认证,即可安全访问到目标服务器,所有的数据经过AES256的高位加密。
建立屏幕审计系统对用户操作行为的审计。
1.7设备配置清单
序号
型号
描述
单位
数量
1.
CC-V1-256
定制Centos内核的全球统一配置硬件,双电源、双千兆以太网卡、硬盘冗余。
作为安全网关管理设备通过网页浏览器可对KVM、串口和远程电源管理设备进行统一、安全的访问,,还支持嵌入式管理,如iLO/iLO2和IPMI,并提供了带内管理工具(如VNC、RDP、Telnet等)的整合,可做Cluster构架,实现故障自动切换,支持对于虚拟机的管理,以服务器组、访问时间等元素进行策略,可定制的横幅及每日消息,提供默认和可定制的电子通知,提供企业徽标定制并发布当日的登录消息。
可管理设备数:
256个节点License。
套
1
2.
DKX2-216
数字式(KVMoverIP)切换器,单台支持多达2个IP远程及1本地并发,单台可连接管理16台IT设备,冗余电源、冗余千兆网口,外置Modem接口,支持iPad方式访问,支持数字音频,支持Win/Linux/MAC系统的虚拟媒体功能,支持基于.Net的活动KVM窗口,且能够记忆上次操作打开的服务器桌面大小,智能卡“SmartCard”认证方式,支持层叠式刀片管理功能,支持与IBM刀片机箱的AAM模块整合,支持KVM级联功能,支持远程1920*1080分辨率。
台
13
3.
D2CIM-VUSB
服务器USB接口模块,能实现虚拟媒体功能和绝对鼠标同步,支持Windows、Linux、SUN、MAC等主流系统、支持热插拔。
个
208
1.8解决方案实现如下重要功能
以上方案为完整解决方案,无需用户提供任何的支持设备即可完成数据中心全部的远程设备BIOS级的管理功能。
方案中选用的所有KVM设备都配置了双电源和双网卡,保证了整个方案的高可用性;所有选用的设备均符合萨班斯法案的强壮密码保护机制,保证了系统安全性。
1)与被管理设备的系统平台软件无关的远程管理:
共配置13台DKX2-216数字式KVM主机可管理208台服务器,由于KVM产品只和被管理服务器的键盘、鼠标、显示器或者Console口相连,将键盘、鼠标、显示信号或Console信函以IP方式延伸到任何网络连通的地方完成同本地一致的管理功能,因此无需在被控的服务器上安装任何的软件和插件,与操作系统的类型无关。
2)集中管理服务器、刀片主机刀箱及网络设备:
集中服务器主机、刀片主机、虚拟机及网络设备的Console,所有的操作管理均在统一的管理平台完成带外的管理。
3)用户只需一次登录,就可以远程管理被授权管理的任意的服务器或IT设备:
支持多种硬件接口(如PS/2、USB、SUN、串口以及Console等接口类型),并支持多种硬件接口间无缝切换
4)实现虚拟媒体的功能:
可将登录管理端本地的U盘、CD-ROM、ISO文件及硬盘等虚拟到远程服务器设备直接完成文件的安全传输,快速完成升级、打补丁、甚至远程安装操作系统。
5)实现对最新服务器管理技术的完美支持:
方案除了可集中管理传统通过键盘、鼠标和显示器连接的服务器,还支持嵌入式管理,如iLO/iLO2、DRAC、RSA和IPMI,并提供了带内管理工具(如VNC、RDP、Telnet等)的整合,并支持对虚拟化主机及中心及各型BladeServer刀片主机的端口级的集中管理。
6)实现本地和远程相结合的数据中心管理模式:
DKX2-216支持2个IP远程及1个本地接口,可将本地管理端口连接三合一控制台(键盘、鼠标、显示器一体机)实现机房本地的授权控制;每台DKX2设备均带有双电源、双千兆以太网口的高冗余的硬件配置,并支持带外虚拟媒体、强制鼠标同步等功能。
7)实现服务器设备安全、快捷连接:
DominionKX2支持自动退出宏及自动连接宏功能,当用户退出远程服务器KVM界面,则自动完成屏幕安全锁屏,当客户登陆到服务器界面时可自动进入到密码输入界面,提高操作访问的便捷性与安全性。
8)提供业界最高的分辨率支持:
解决方案中从服务器至DKX2设备之间的距离可达到45米,可把DKX2设备随意摆放在任何合适的位置,支持业界最高的高清1920X1080视频输出,完全满足现在及未来高视频分辨率服务器管理的需求。
9)支持对虚拟化主机及中心的集中管理:
支持主流的VMware及中心的统一管理,整合了VMWareViewer及VMWareViClient。
10)支持最各型刀片主机的无缝整合:
可实现对IBM、HP、DELL、CISCO等各大厂商各型刀片服务器实现端口级的管理。
11)方案实现实时监控设备与KVM之间的连接状态(包括服务器和网络设备);防止意外掉线。
12)方案实现符合萨班斯法案的强壮密码保护机制;方案中所有选用的设备均带有符合萨班斯法案的强壮密码保护机制防止黑客非法入侵。
另外通过CC-V1-256还可定义基于时间的访问控制策略,使操作者只可在正常时间访问,非正常时间完全无权限访问。
13)全中文支持:
通过提供统一的友好的全中文化操作介面,服务器管理人员可以非常容易的对服务器和其他网络设备进行访问、监视、故障诊断和解决等操作,同时还可以获取系统更新的健康信息和警报。
自定义企业徽标及提示信息等。
14)企业认证与访问列表控制功能;由CC-V1-256提供统一的访问控制列表(ACL),访问控制列表支持同用户组绑定的深层次控制功能;支持持例如LDAP、LDAPS、ActiveDirectory、RADIUS、和TACACS+等的企业级认证、授权以及帐户管理等协议,使管理更加简单的同时,更能让CC-V1-256容易地集成到已经存在的认证体系中。
15)多种冗余功能:
CC-V1-256采用高冗余硬件配置,双电源、双硬盘热备、双网卡等,确保CC-V1-256的运行稳定,并可扩展主备冗余Cluster模式,万一在CC-V1-256网络故障时,可以直接通过各Dominion设备的IP地址,临时进行授权后管理操作。
16)多种安全机制:
方案具有多重严格的安全认证机制,所有数据(图象、键盘、鼠标等)都经过256位的AES加密,保证用户的信息安全;同时支持最完善的企业认证系统及内部认证机制,如动态口令等,能够提供给网络用户最大的安全性。
17)支持iPad移动终端访问:
数字式KVM交换机支持移动终端访问方式,包括IPHONE及IPAD,便于维护人员进行7x24小时维护需要。
18)活动端口的实时扫描:
数字式KVM交换机支持基于IP的活动端口的实时扫描功能,以便对于所有接入设备进行运维监测。
19)主机与切换系统之间通过CIM主机接口模块,用五类双绞线连接(T568B)。
根据不同的类型的主机而采用不同的CIM模块,以达到完美匹配,可以支持PC、PCSERVER、SUN、USBSERVER、CONSOLESERVER等,SX和串口设备的连接也通过标准五类线连接,根据串口设备的接口的不同选用相应的转接成RJ45的转接头即可。
20)以上所有的设备和被管理服务器系统无关,不需要安装专用软件及外部专用服务器,通过在普通PC中以Web访问及管理,可执行全部功能,包括配置、软件升级等。
1.9解决方案技术特点
1.9.1先进性
1)该解决方案为纯硬件高端解决方案,集中认证管理平台为定制Centos内核的硬件设备,真正防病毒,免维护;无需客户提供额外的硬件设备支持、无需用户购买任何功能项License即可完成全部的KVM管理功能。
2)支持iPhone、iPad移动终端的访问,便于维护人员进行7x24小时维护需要。
3)本解决方案可整合管理力登智能PX开关控制功能,实现服务器远程的开关重启功能。
4)支持最为全面的虚拟媒体技术,可将登录管理端本地的U盘、CD-ROM、ISO文件及硬盘等虚拟到远程服务器设备直接完成文件的加密安全传输,快速完成系统的升级、补丁、甚至系统重装,所有的操作无需被管理服务器网络连接客户端和开放任何端口。
5)力登DKX2产品唯一支持业界最高的1920*1080分辨率,满足企业高分辨输出设备的远程管理(如监控服务器、连接大屏服务器、调度系统服务器等);
6)KVM单机即具有完整的KVM管理功能,如日志、安全、加密、授权、第三方认证、虚拟媒体、刀片主机端口级管理等全部的管理功能,以减少对集中认证管理平台的依赖型。
即使集中认证管理平台故障,单机经过认证授权仍然可以完成各项操作管理功能。
7)力登DKX2支持自身的级联及整合任意具有热键功能的第三方KVM设备(数字或者模拟),帮助提高设备的利用率。
8)没有单点故障,系统中设备互为独立,单点设备故障不影响整个系统的运行,即使是集中认证管理平台故障,管理人员仍然可以通过登录到单机,经过授权后完成各项操作管理功能。
9)可监控集中认证管理系统状态,通过Web页面可查询系统平台运行状态,如CPU、硬盘、网口、流量、系统状况。
便于管理员检查系统运行状态,并提早排除故障隐患,保证系统的安全运行。
1.9.2安全性
1)集中认证管理平台CommandCenter(以下简称CC)为定制化CentOS系统,关闭非使用端口与组件,真正完全免维护,防病毒。
2)所有信号:
包括键盘,鼠标和视频信号全部256位AES加密,保障系统数据流的传输安全。
3)CC可设置两个不同网段IP地址,外网和内网用户经过授权均可访问和管理机房内IT设备。
4)系统中的设备支持支持ACL和ACL与用户组的绑定功能,支持标准的SYSLOG可以将log统一的输出到Syslog服务器上,可将用户的登入登出时间、和用户在设备上的任何操作进行记录,可统一输出日志和报表。
5)可限制单人单账户登录,对密码采用严格的符合萨班斯法案要求的口令控制。
6)可通过策略限制账户的有效期,如只允许账户在早上九点到下午五点工作时间有效。
7)对用户操作内容可以事前审计,事后追踪,并可分类查询统计。
8)系统中的所有设备都支持用户安全的内部验证,当使用内部验证时不需要安装任何的外部验证服务器;同时系统也支持外部验证服务器,当选用外部验证系统时可以支持业界通用的标准的验证服务器:
RADIUS,LDAP(S)/ActiveDirectory,TACACS+。
系统支持多级安全验证,验证故障自动转移功能。
9)系统支持用户的精细化分权管理功能,可以对系统中的设备CommandCenter,KX、SX分权管理,对目标设备分权管理。
1.9.3高扩展性
1)由于此方案为集中管理完整的解决方案,用户通过统一的管理界面,一次登录授权完成所有的管理功能,未来增加新的节点机房管理,无需改变现有结构统一地址,只需增加相应端口的KVM主机即可纳入现有的管理平台统一授权管理,单套集中认证管理平台系统支持10000个节点的管理。
2)KVM主机至被管理服务器间的CAT5线距离在真彩效果下超过45m,可合理利用机房空间,提高设备的利用率。
3)本解决方案包含力登数字KVM产品的全部管理功能,后期无需购买任何功能性License,如有新功能发布,只需在力登网站免费下载升级包自行完成升级或支持升级即可使用其他新功能。
1.9.4高可用性
1)系统提供了事前审计功能,可对用户登录到端口操作的目的性操作进行记录,可查询和统计。
提高了系统审计的能力,丰富了用户的管理功能。
2)可对服务器属性的自由定义:
比如可根据机房设备的管理层次来定义设备的所在机房、排列、类别、设备类型、所属部门、维护人员等。
完全按照机房设备管理的实际情况来定义,并据此自定义显示视图,方便查看及服务器查找。
3)方便的授权:
基于服务器属性,通过条件语句授权,符合条件的自动归到已建好的权限组中,新增加服务器管理只需设置好属性即可,无需在来做复杂的授权、取消管理权限,只需修改属性也可一步完成。
4)通过策略限制做深层次的权限管理,可限制账户的有效事件段。
5)通过任务定制完成对系统各类信息的备份保存,对系统设备自动升级,事件信息的邮件通知等。
6)KX支持网络带宽的自动适应功能,来自动调节网络带宽和桌面显示的效果;支持双鼠标自动同步。
7)客户端无需安装任何专门的软件,通过Web界面登录即可完成全部管理功能。
1.10使用本解决方案实现的价值
1)一旦任意KVM管理机房IT设备发生故障,管理人员即刻通过KVM系统,以带外的方式(所谓带外即所访问的IP为KVM主机IP,同被管理设备的IP及运行状态无关)登录到机房IT设备,完成同在本地相同的故障处理工作,从而大大缩短关键设备宕机的恢复时间,极大地提高系统的可用性;
2)摆脱空间和距离的限制,在任意网路可达的环境下,经过安全验证即刻远程集中管理机房内各种平台的IT设备,从而提高系统维护的效率;
3)通过统一的管理平台集中授权管理机房各型IT设备,提供事前和事后详细查询日志,提高管理的安全性和可追溯性;
4)KVM解决方案提供了共享的操作模式及虚拟媒体功能,可满足维护人员协同作业,共同诊断处理问题,甚至完成远程装机打补丁工作,从而提供故障处理的效率;
5)DominionKX2支持自动退出宏及自动连接宏功能,帮助用户快速登录及退出通道后的安全锁屏,提高操作访问的便捷性与安全性。
6)通过使用KVM的解决方案,可严格限制人员进入机房,规范机房管理,实现无人机房和人机分离,简化管理流程,提高物理安全性;
7)实现了“人机分离”简化机房管理制度,员工不用在噪音、辐射环境下工作,从而提高管理效率和员工满意度;
8)通过安装KVM管理产品,可移除机房内众多的显示器、键盘、鼠标甚至原来配置的机柜式低端KVM,节省机房空间、使得机房更加整洁规范;
9)RaritanKVM系统的使用,将使得企业以积极的方式节约成本支持,提升IT部门服务品质;
2方案使用产品介绍
2.1CommandCenter:
集中远程管理门户
2.1.1CommandCenter概述
CommandCenter®SecureGateway(简称CC-SG)作为安全网关管理设备通过网页浏览器可对KVM、串口和远程电源管理设备进行统一、安全的访问。
它可集中管理Raritan的Dominion®系列产品,还支持嵌入式管理,如iLO/iLO2和IPMI,并提供了带内管理工具(如VNC、RDP、Telnet等)的整合,并支持对虚拟化主机及中心(如VMware™等)及BladeServer刀片主机的端口级的集中管理。
CC-SG作为集中管理平台提供了集中式策略与安全性管理。
CC-SG具备安全、强大和高效的管理,依托于AES加密、灵活的验证选择(LDAP、ActiveDirectory®、RADIUS和TACACS+)、全面的报告功能、定制视图及SNMP陷阱。
CC-SG将控制台访问和远程电源管理功能集成到多个本地或远程数据中心,提供简便的集中式网关,从而能够快速诊断和解决问题。
2.1.2CommandCenter特点
高可用性
●使用双以太网、镜像的硬盘驱动器,可确保网络稳定运行
●支持AccessPeering技术,无单点故障,支持多达10个CC-SG节点间流量均衡与故障转移
●冗余NIC作为备份网卡,在网卡出故障时提供保护
●CC-SG自身系统运行状态的监控,实时提供系统快照保障系统可靠运行
●支持双CommandCenter地理位置一级的热备份,保障集中远程管理系统正常运行
●支持集中管理多达10000台的IT设备
安全性
●提供事前审计功能,可对用户访问端口的目的性统计和查询
●完善的策略管理,可针对账户有效期做深层次的账户管理
●符合萨班斯法案的强制密码保护机制,提高系统帐号安全性
●SSL256位RSA公用密钥、256位私有密钥加密;集中的安全策略、访问权限、权限以及用户定义的视图;通过SSL或SSH访问,所有这一切都提供了最高级别的网络安全
●第三方身份验证支持包括ActiveDirectory(AD)、LDAP、RADIUS和TACACS+,利用现有技术加强安全性
●加强防护的CentOS操作系统(OS)-带防黑客架构的基于内核的OS可以防止非法访问
可扩充性
●可与Raritan的DKX2、DSX和DKSX2,PAROGON等所有电信级的产品兼容,从而形成了一个管理所有关键设备的单一网络,可伸缩、效率高,而且经济划算
●定制脚本功能简化了批量操作,如设备配置、备份和用户设置等
易用性
●1U外形节省空间,高效利用机架空间
●自定义设备属性,自动生成管理策略,自定义个性视图
●利用内置应用小程序支持,可通过GUI界面控制Raritan远程电源模块
●CC-SG集成了VMware™环境,能够支持连接Virtual虚拟中心软件、ESX服务器和VMotion™功能等特性
●支持BladeServer刀片主机端口级管理
●支持RaritanPX电源及其它智能PDU的集中管理,并完整报表定制及图形化管理功能
●通过VPN、Internet或Intranet利用单一登录和单一IP地址灵活快速地进行访问,简化了管理多个IP地址的复杂性
●基于GUI的系统设置简化了通过直观屏幕和在线帮助的设置过程
●全面的事件管理、记录、报告和审计跟踪既减轻了管理压力,又可以集中管理
●支持SNMP可以整合到网管系统中
●支持直联模式和代理模式为用户提供了多种访问方式的选择
●批量脚本功能可用于集中管理CommandCenter网络、计算机接口模块(CIM)和其它Raritan设备上的软件代码维护工作。
●多种查看过滤器功能强大,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- KVM 集中 管理 解决方案
![提示](https://static.bdocx.com/images/bang_tan.gif)