IT设施集中控管解决方案

IT设施集中控管解决方案二零一零年目 录 1现状与需求31.1需求分析32Avocent集中控管解决方案52.1部署示意图62.2方案描述63产品与技术73.1DSView 3（集中控管平台）73.2MPU8032/4032（8并发和4并发32端口KVM over IP接入层设备）93.3ACS 6000（Serial over IP接入层设备）114方案特点155成功案例161 现状与需求XXX公司以人本管理为中心，强化团队精神，注重员工培训，积极吸引高素质人才，实现了向精英团队的转化；以科技创新为先导，办公设备先进，计算机网络规模庞大，建立起了成熟的、运行平稳的集中式网络经营管理系统；以服务客户为宗旨，机构设置规范，内部管理严谨，充分体现了人奉献社会、服务大众的现代管理理念。面向新世纪，xxx公司将加快与国际接轨的步伐，以先进的管理、健全的功能、优质的服务诚邀各界新老朋友精诚合作，共创新的辉煌。在日常的生产管理和维护管理中，管理人员一般通过服务器提供的远程登录服务对服务器进行配置等运维操作。然而如何及时知晓服务器的运行状态，如何在服务器发生故障甚至离线的情况下对服务器进行紧急恢复等操作，却是远程登录服务不能解决的，因为此时管理员已经无法使用服务器操作系统提供的远程登录服务。至于服务器的安装和补丁管理等负责任务，在目前的工作方式中则全程需要人为的参与。对于数据中心内的网络设备，一旦发生宕机，将影响到数据中心提供的所有服务。及时恢复网络通畅将关系到数据中心的正常运作，而在现有模式下，管理人员只能赶往现场解决问题，这将拖延问题解决所需花费的时间，从而使得运维所能承诺的服务质量下降。1.1 需求分析XX公司数据中心集中管理的需求，需要设计一个支撑数据中心内所有服务器和网络设备管理的运维平台。通过运维平台的单一控制台，IT管理人员即可完成对任一台服务器或网络设备的运维操作。同时运维平台能够运行与现有网络架构，及满足将来数据中心的扩建。方案的设计原则如下：1） 能在单一的控制台上完成对XX公司数据中心内所有服务器和网络设备的操作。2） 对PC服务器的操作方式为到达服务器键盘、鼠标和VGA端口的带外管理方式，操作能力不受服务器运行状态和健康状况的影响。3） 对网络设备的操作方式为到达设备串行console端口的带外管理方式，操作能力不受设备的运行状态和健康状况的影响。4） 具备完善的认证系统，支持系统内部认证和与第三方认证系统的集成，目前支持NT、AD、LDAP、Radius、TACASC+、RSA token和目前银行也普遍采用的X.509证书认证。5） 对VMWare、XEN等异构的虚拟机和虚拟系统进行集中管理，实现虚拟机资产信息查看、执行电源操作、开启或恢复虚拟机、停止或挂起虚拟机、发起RDP/VNC 连接等管理操作功能。6） 具备详尽的系统日志。7） 能在单一控制台上完成农行XX分行数据中心内服务器的资产管理。8） 灵活的组网方式，适应现有网络的架构。9） 良好的系统再扩容能力，可以方便地进行安装和扩容。10） 支持modem方式的带外链路，在网络中断情况下能完成对设备的检测和修复。2 Avocent集中控管解决方案整体解决方案提供对XX公司数据中心机房内服务器和网络设备等IT设施的集中管理。Avocent集中远程带外管理解决方案能帮助XX公司实现数据中心机房内所有服务器、网络设备等IT基础设施的统一管理，采用Avocent KVM over IP和Serial over IP等技术，运维人员在办公区就能对不同区域的IT设施提供日常运维，无需进出机房能大大节省机房空调系统的能耗，据第三方专业能耗统计机构分析，无人值守机房最多能节省30%能耗开销；Avocent的远程集中管理平台可让运维人员及时解决远端IT设施出现的问题和故障，同时也提高了问题的联合会诊，技术专家可以在任何地方，通过Avocent集中管理平台，安全受控的访问故障设施，减少现场支持带来运维成本开销，大大缩短了故障修复时间，提高整体IT设施的可用性和业务的连续性。注解：（KVM OVER IP概述KVM OVER IP又称为IP KVM，是KVM切换器的一种，即带有远程管理功能的KVM切换器，KVM是键盘、显示、鼠标(Keyboard、Video、Mouse)的缩写，就是一组键盘、显示器和鼠标，控制多台计算机。通常情况下，由于计算机到外围设备信号的衰减，模拟式KVM切换器与被控计算机的距离扩展空间非常有限。而IP KVM则不同，作为数字式KVM切换器，它能实现远程控制多台电脑服务器，管理者可通过互联网对千里之外的计算机进行访问控制，做到真正运筹帷幄之间，决胜千里之外。 编辑本段KVM OVER IP工作原理KVM OVER IP将每台计算机的信号通过互联网或者专用网络传送到IP数据包。 在远程控制端，IP信号又被重新编译成键盘、鼠标、显示器信号。为了确保数据的安全性，防止黑客窃取信息或控制计算机服务器，数据包通常进行了加密处理。这样，IP KVM对多台计算机的远程控制就可以安全地实现。 KVM OVER IP拓扑图1编辑本段KVM OVER IP优势通过IP KVM您可获得BIOS级别的远程访问，并且能让您在一个地点管理散布在不同位置的设备通过互联网控制服务器，通过统一管理界面，您可以安全地管理整个IT设施结构，包括分公司，办事处等远程数据中心的数据，实现随时随地管理，高效便捷管理。 KVM OVER IP技术是网络构架中最基本的组件之一， KVM Over IP切换器允许你在任何地点、任何时间带外访问系统键盘、视频、鼠标（KVM）功能。你可能一直面临在日常的网络管理中克服过去地理障碍所带来的挑战，需要找到更快捷的方法解决远程服务器系统上的问题。或者你是中小规模企业或者分支机构仅有的几个IT管理员之一，你需要在资源短缺的情况下提高工作效率。KVM OVER IP切换器使你能够简单快速的维护和管理不同地理位置的设备，更好的管理服务器系统，提供可靠的、值得信赖的关键业务服务，并大大减少总体拥有成本（TCO）。 KVM OVER IP切换器允许你直接从自己的电脑或者任何其他地点访问并在BIOS级上控制所连接的服务器及其他网络设备。你可以通过KVM OVER IP切换器的远程连接端口来安全的管理整个IP架构，包括分支机构和远程数据中心，就好象你在本地管理控制一样简单、安全。并且用户甚至可以在网络失败以及不能使用远程访问软件时使用KVM OVER IP切换器自带的提供外部调制调节器支持功能。 编辑本段如何选购合适的KVM OVER IP目前市场上产品选择众多，特性不一，采购商在选购IP KVM不知如何选择。以下是几个主要因素供您参考。 第一、确定被控计算机数量； 第二、决定选用何种视频连接接口； 第三、确定被控计算机是否支持USB或者PS/2接口的鼠标键盘； 第四、根据您的实际情况，选择是否需要远程电源管理设备等其他附加设备。 具体方面如何选择适合你工作环境的KVM OVER IP呢?来自不同生产厂商的切换器差别都很大,如果选择了一台并不适合你工作环境的KVM OVER IP切换器，会浪费宝贵的资源，甚至可能危及公司业务的安全。要做出正确的选择，你需要记住一些关键因素，KVM OVER IP比较经典的一款型号为KS-1001IP，国内外都很常见。 KS-1001IP2第一，KVM OVER IP切换器应支持你所在的网络环境中的所有服务器及操作系统，在切换过程中不能出现不兼容的情况。KVM OVER IP切换器需要能够流畅的在IBM、HP、DELL、SUN及其他品牌的切换器之间进行切换，并且支持Windows 2000、Windows 2003、Windows NT、Windows XP、Windows 7、UNIX、LINUX、SUN Solaris等操作系统进行操作。 第二，KVM OVER IP切换须需要具有极高的稳定性。具有极高稳定性的KVM OVER IP在UPS电源的配合下，可以真正的做到对服务器24小时随时随地操控和管理。为你节省大量的时间成本及人力成本。 第三，KVM OVER IP需要具有极高的安全性。KVM OVER IP切换器固有的集中化的一个主要的副作用是更严格的控制分布广泛的资源，但是目前可用的不同的解决方案采取不同的安全措施。要清楚你将要采购的KVM OVER IP切换器是利用现在标准的安全认证技术还是产品自带的安全技术，是否需要切换器对自己和所连接设备的所有信号进行加密。 第四，确定你所需要的KVM OVER IP需要什么功能支持，需要多少个切换端口。随着公司的发展壮大你需要KVM OVER IP管理更多的服务器，开始所订的单端口或者8端口的切换器端口不够用，这时你也不用为端口不够用而苦恼，不必再额外购买更多端口的KVM OVER IP切换器，只需要使用切换器的级联功能，使用普通的切换器进行级联即可解决端口不够用的情况。 KVM OVER IP切换器已经是当今的IT构架中重要的组成部分之一，可以为您提供任何时间、任何地点、远程访问、BIOS级的对服务器设备的操控，通过上述对KVM OVER IP切换器的功能分析，希望能对您的选购有一个帮助。）2.1 部署示意图2.2 方案描述DSView3解决方案中由分布在XX公司数据中心用于连接服务器和网络设备管理接口的专门设备和运行于运维中心的DSView3服务器组成。MPU设备将PC服务器的KVM管理接口（键盘、鼠标、VGA）汇聚，而后提供基于IP的对PC服务器KVM接口的访问服务。ACS设备将网络设备的串行console端口（RS232）汇聚，而后提供基于IP的对字符终端的访问服务。DSView3服务器通过IP网络连接数据中心内的MPU和ACS6000设备，提供一个对XX公司数据中心内服务器和网络设备的集中管理平台。在DSView3平台上不仅为运维人员提供了整合的管理视图，同时提供了对访问设备的安全控制，既管理信息加密、身份验证、访问控制、日志审计等，并且DSView3平台支持更为复杂的管理空间（资源）的逻辑分割。产品与技术2.3 DSView 3（集中控管平台）Avocents DSView 3 管理软件为数据中心所有联网的物理和虚拟软硬件提供了一个安全、集中的管理解决方案。通过 DSView 3 软件，管理员可以在全球任何地点访问、诊断和修改任何网络资产，且无需考虑操作系统或连接设备网络的运行状况或状态。通过 DSView 3 软件，可使数据中心和远程办公室的管理、访问和扩展变得更加容易，并可提高它们的安全性。 DSView 3 软件通过单个基于浏览器的安全界面管理整个数据中心环境，包括： 刀片式服务器和机柜 VMware 虚拟架构，包括虚拟中心、ESX 服务器和虚拟机 嵌入式服务处理器 机架安装式服务器 Cyclades ACS高级控制台服务器 DSR KVM over IP 交换机 Cyclades PM 智能配电设备 (IPDU) MergePoint 服务处理器管理设备DSView 3 软件还可为每个用户提供无限制的自定义查看功能、图形报告创建功能和任务自动化工具，以及无可比拟的网络资产整体查看功能。 DSView 3 软件的冗余“中心和分支”架构使管理员可以通过任何联网的 PC 或移动设备访问贵公司网络中的所有资产。管理员通过 DSView 3 软件的带外 (OOB) 功能可以诊断和修复问题，即使网关、路由器或其他 IP 连接已被断开。数据中心不断发展。无论您是正在向刀片系统转移、实验 SAN（区域网络存储），还是仅仅尝试使用新的路由器，DSView 3 软件都可以通过集成新技术和提供一致的接口，帮助您进行控制，且无需考虑您的基础设施如何。DSView 3 软件预先深度集成了 HP Software、NetClarity、Uptime Devices、VMWare 以及其他解决方案，同时为希望撰写定制软件的开发人员提供免费的 API。 DSView 3 软件无需使用额外的安全程序，可通过您现有的内部或外部标准服务进行身份验证。所有通信均经过加密，并可提供详细的活动日志，为问题处理和合规性提供重要的审计记录。远程管理功能最大程度地降低对数据中心的本地访问需求，因此您可以更安心地以物理方式锁定敏感机器。产品特点功能优点用户安全的数据中心远程集中管理访问和控制您的全部 IT 基础设施 从单个画面管理物理和虚拟设备。多设备支持可对刀片系统、VMware 虚拟基础架构、DSR KVM over IP、MergePoint 服务处理器管理器、Cyclades ACS 高级控制台服务器、Cyclades PM 智能配电设备进行即点即连接的集中管理虚拟媒体支持对不关机的 lights-out 数据中心进行远程诊断测试和软件加载。KVM 和电源控制的整合解决方案集 BIOS 级别访问和电源控制于一身的解决方案。在网络出现故障时还提供外置调制解调器支持。简单、快速和可靠的用户界面基于浏览器，可自定义包括键盘传递、缩放和定制查看器工具栏等诸多实用功能管理访问服务处理器使用 DSView 3 管理软件，管理员可以通过 MergePoint 服务处理器管理启用 IPMI 的单个服务器上的电源和系统状况。 通知DSView 3 软件为定义的系统事件发送 SNMP 陷阱和电子邮件。制定计划DSView 3 管理软件简化了日常任务管理、更新和文件加载（包括任务的自动定制和更新）的管理。多平台支持支持 Wintel、Linux、Sun Solaris 和 SuSE 平台安全性故障转移验证DSView 3 管理软件具有中心和分支架构，提供故障转移访问验证以确保系统的可靠性和安全性。灵活的验证/访问控制验证用户访问现有内部或外部数据库（如 LDAP、活动目录、NT 域、TACACS+、RADIUS 和 RSA SecurID）的权限。系统/用户日志DSView 3 软件安全功能包括系统和用户日志管理以及事件通知，以便于记录审核和合规性。可选加密模式可选加密模式的安全性更高，可支持安全策略（AES、DES、3DES 和 128bit SSL）。退出宏关闭会话窗口后，退出宏将注销每个用户。2.4 MPU8032/4032（8并发和4并发32端口KVM over IP接入层设备）Avocent MergePoint Unity 交换机在单个设备中结合了 KVM over IP 和串行控制台管理技术。这项独特的结合为 IT 管理员提供了用于访问和控制服务器、网络设备及其他数据中心和分支办公室设备的完整远程管理解决方案。 MergePoint Unity 交换机直接与物理 KVM、USB 和串行端口进行安全的远程带外连接，加强了通常通过网络接口卡完成的 IT 设备带内管理。这种统一的方法使得 IT 管理员能够更快速地诊断、重新配置或恢复设备，以符合服务水平协议和最大程度地减少停机时间。产品特点改善远程管理和提高员工效率n 通过串行配置和/或管理控制台减少了远程诊断/配置/修理/恢复服务器、网络设备和其他硬件所需的时间。n 配合带内工具可创造出更加完善的远程管理方案，便于远程访问服务器和网络设备。n 虚拟媒体功能实现了远程 USB 连接，可将 CD-ROM 和其他 USB 大容量存储设备直接映射到远程服务器以进行文件传输/复制、更新加载或新应用程序安装等。n 集成的串行设备支持可确保与 MPUIQ-SRL 模块相连设备的物理串行端口进行安全的 SSH 连接。n Cisco 配置设置以电子模式连接到模块，无需任何额外的外部布线接头或特殊布线就能快速、直接地连接到 Cisco 配置端口。 提高物理安全性n 提供远程智能卡/CAC 读卡器支持，可满足高级安全要求。n 通过 MergePoint Unity 交换机的虚拟媒体功能，可将智能卡读卡器从台式 PC 映射到远程服务器。n 减少了物理进入数据中心进行本地访问和控制的需要。n MergePoint Unity 交换机使得远程用户能够在任何地点以物理方式直接连接到服务器以及其他 IT 设备的 KVM、USB 和串行端口。 增强控制能力n Avocent 电源管理配电设备 (PM PDU) 可直接连接到两个专用电源控制端口中的一个，使得管理员能通过 MergePoint Unity 交换机对正在访问的设备进行电源控制。n 远程访问与电源控制的集成使得管理员能在启动/关闭远程设备时立即看到结果。n 与 DSView 3 管理软件的无缝集成使得公司可以扩展 MergePoint Unity 交换机的 KVM 和串行功能，从而为刀片、嵌入式服务处理器、虚拟服务器、第三方 KVM 设备及第三方电源产品提供支持。n 安装 DSView 3 软件电源管理器后，还能查看详细的电源报告和电源消耗、容量及成本的历史趋势。2.5 ACS 5048（Serial over IP接入层设备）Cyclades ACS 5048 系列高级控制台服务器将尖端科技、自适应服务和安全企业通信融为一体，使 IT 专业人员与网络运营中心 (NOC) 工作人员能够从全球任何地点对 IT 资产执行安全的远程数据中心管理与带外管理。Cyclades ACS 5048 控制台服务器采用加强的 Linux 操作系统，可提供最佳的性能、安全性和可靠性。Cyclades ACS 5048 还通过 DSView 3 管理软件和集成电源提供完整的带外管理解决方案。高性能设计和高级功能Cyclades ACS 5048 系列高级控制台服务器具有已升级的高级功能，可为 IT 管理员提供可扩展的高性能解决方案。Cyclades ACS 5048 控制台服务器具有一个高速处理器平台，带有两个千兆以太网冗余端口、一个可选的内置调制解调器和两个 16 位和 32 位网卡选项。此外，还有一个用于监控设备级别的内部温度传感器和可配置的串行端口引出线。Cyclades ACS 5048系列还提供强大的软件功能，以满足最苛刻的数据中心管理应用的需求。这些功能包括自动发现工具，可轻易识别连接至任何串行端口的服务器、路由器、交换机或 PBX，从而节省初始配置与安装的时间。为了遵守现行的数据中心网络访问策略，Cyclades ACS 5048 为安全管理提供多种自定义的访问级别。Cyclades ACS 5048 控制台服务器具有高级控制台服务器功能，如增强的安全性、数据记录和事件监控等，为安全远程控制提供了完整的解决方案。此外，ACS 5048 还支持下一代网络标准，如网际协议第 6 版 (IPv6)。Cyclades ACS 5048 控制台服务器提供适合 1U 支架空间的 16、32 和 48 端口型号，具有单、双交流和直流电源选项，还可能带有调制解调器，有助于最大限度地提高 IT 资产生产率，同时提供可扩展性并降低运营成本。产品特点特性优点操作系统嵌入式 Linux易访问性带内（以太网）和带外（拨号调制解调器）支持内置调制解调器连接PC 卡插槽支持允许使用其他访问接口，如调制解调器（v.92 和 ISDN）、以太网、高速以太网（光纤）和无线以太网（GSM、GPRS、UMTS 和 CDMA）可用性通过将千兆以太网端口用作二级端口实现自动以太网故障转移双电源内置调制解调器支持USB 端口选项允许存储或连接基于 USB 的 PC 卡安全性预设的安全配置文件 安全、中等和开放自定义安全配置文件X.509 SSH 证书支持SSHv1 和 SSHv2本地、RADIUS、TACACS+、LDAP/AD、NIS 和 Kerberos 认证双重认证技术 (RSA SecurID)一次性密码 (OTP) 验证本地备份用户身份验证支持PAP/CHAP 和可扩展身份验证协议 (EAP) 验证群组身份验证 TACACS+、RADIUS 和 LDAP 端口访问 电源访问 装置权限 IP 包和安全过滤每个端口的用户访问列表系统事件系统日志具有 NAT 遍历支持的 IPSecIP 转发支持安全出厂默认值强大的密码实施控制台管理Sun 安全崩溃（Solaris Ready 认证）Break-over SSH 支持离线数据缓冲 本地或远程（NFS/系统日志）基于层的系统日志过滤器数据缓冲时间戳和循环无限数量的同步会话同时访问同一端口（端口扫描）而且能自由切换可配置的事件通知（电子邮件、寻呼、SNMP 陷阱）可自定义的全球时区支持多种自定义的用户访问级别端口访问直接通过服务器名称或设备名称CLI 命令同步 Telnet 和 SSH 访问HTTP/HTTPS系统管理适用于首次用户的网络配置向导用于自动部署的自动发现功能命令行接口 (CLI)Web 管理界面 (HTTP/HTTPS)SNMP内置温度传感器缆线CAT5 兼容适配器使布线工作更简单升级从 FTP 站点上免费升级网络启动 TFTP 支持其他可支持的协议用于动态 IP 地址分配的 DHCPIPv6 支持可实现更出色的部署灵活性用于拨号的 PPP用于时间服务器同步的 NTP用于远程串行端口访问的 RFC2217 支持3 方案特点DSView3解决方案不仅提供了对数据中心内服务器和网络设备的集中远程连接访问。同时在连接控制和集中管理有以下特色。 用户认证方式的多样化：在不仅支持RADIUS、TACACS+、LDAP、AD、NT Domain等认证服务外，DSView3还支持RSA令牌的双因素认证机制，特别的DSView3还支持广泛应用于网络金融领域的基于X.509的U-Key认证方式。 刀片服务器管理：DSView3不再将刀片服务器作为一台简单的PC服务器看待，在DSView3的操作界面中刀片服务器作为一个独立的管理单元存在，其中的每个刀片作为管理对象存在。因此每台刀片服务器中的每个刀片可以在不同的管理视图中进行分配。 支持虚拟机的管理：虚拟机的管理接口不再是物理端口，而是由虚拟服务器创建的虚拟层上提供的逻辑管理接口。DSView3通过安装虚拟机插件可以获得对这些逻辑管理接口的控制，从而将虚拟机添加到DSView3的管理对象中。 提供基于PSTN或ISDN备份链路：针对网络设备的远程管理，DSView3提供了基于PSTN或ISDN备份链路。在生产网路发生中断的情况下，DSView3服务器将自动启用预先配置的备份链路，保证运维人员依然能够远程连接并控制网络设备，从而在第一时间能够排除网络故障。 可靠的系统稳定性：单个DSView3系统最多可安装16台DSView3服务器来提供整个系统的服务。16台服务器可以被分配到系统的不同网络位置，从而获得最大的系统稳定性。多台DSView3服务器同时也能分担系统的管理任务。用户可以选择任一台DSView3服务器作为系统服务的访问入口，他/她将得到完全一致的管理能力。图示化的报表：DSView3不仅提供详尽的表格形式的日志报表，同时DSView3也提供图示化的访问、资产等信息，帮助IT运维人员更深入地了解系统的运作状态。17