《数据中心机房建设项目KVM系统设计方案.doc》由会员分享,可在线阅读,更多相关《数据中心机房建设项目KVM系统设计方案.doc(29页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、数据中心机房建设项目KVM系统设计方案1.1 机房集中控管系统需求分析1.1.1 机房现状简介根据数据中心机房的具体情况,机房分布在不同楼层,分别属于不同部门,包括服务器(IBM、HP、Compaq、DELL、SUN等)。在主机房ECC监控中心或管理员工位,通过相应授权和认证,提供多个并发操作用户全域控制机房内的所有设备,同时方案需要考虑到将来对所有设备的资产和性能管理及各个分支城域网网络设备(Console口)系统纳入集中控制管理平台进行集中管理的问题。方案要求每个操作用户都通过开放式的Web浏览器只需鼠标点击即可访问到机房相应的设备,不同部门的操作用户根据各自权限的不同还可以访问各自不同部
2、门的设备,每个操作用户不但可以在自己的屏幕上打开操作一台服务器画面,还可以打开多个服务器的界面轮流进行操作或监视不同设备的运行状态,彻底摆脱了原始的一套键盘、鼠标、显示器对应操作一台设备的模式,大大节省了操作时间,提高了工作效率。同时考虑对整个机房内所有服务器管理的集中性,用户管理的安全,寻求一种能够满足这种需求的解决方案,以便使有关操作人员不必去到机房内也能操控所有的机房服务器和网络设备,且当系统规模扩张时仍能保持整个系统的完整性而达到管理上的简单有效。如何为这些IT设备提供一个统一、有效的带外管理平台是该项目的核心。本文档旨在给出对中行所有IT设备的集中带外管理提出一个完整的解决方案。1.
3、1.2 IT基础设施集中控制管理需求根据通盘考虑,所有数据中心机房的众多设备需在一个整合了多种机房系统资源的集成大平台上得到统一管理,以解决因大量设备分散分布所带来的管理上的不便性,免除了众多不必要的外围设备而节省大量空间,使得各管理员可在监控室内从键盘、鼠标、显示器组成的控制台便可登陆所有的设备,方便快捷地排除机器故障,从而更有效地保障整体机房的正常运营。具体需求如下:(1) 设备管理属于不同部门,要求能够对所有服务器做到统一监管;(2) 需有灵活便捷的管理方式,能对服务器的各种属性组别进行添加(机柜号、机柜位置、应用、OS、服务器型号、IP地址、部门、维护人员及联系方式等等),方便搜索指定
4、服务器,完全实现逻辑划分功能,同时可以实现对各服务器信息的导出功能;(3) 需考虑使用安全可靠系统架构及有效的用户权限保障系统,保障数据中心的安全性;(4) 良好的系统再扩容能力;(5) 便捷的故障处理能力,通过本项目的建设允许管理员可以在本地或通过网络远程交互式地操作、访问、检测、修复这些设备4目背景及;同时提供一条独立于数据网络(WAN and/or LAN)之外的备份链路,在网络不可达或者设备故障时通过备份链路远程交互式地操作、访问、检测、修复这些设备;(6) 完善的日志记录和事件侦测,在日志中,按照事件定义,自动监测事件发生。在数据库中,记录事件的发生时间、关联设备、事件内容等。在综合
5、考虑了以上各因素及反复探讨后,我方经过反复研究,推出以下合理化方案供各位领导参考。1.2 数据中心解决方案根据机房整体设计考虑,建议数据中心不同部门分机房所有数据中心机房的众多设备,包括不同品牌服务器和不同操作系统服务器控制,需在一个整合了多种机房系统资源的集成大平台上得到统一管理,以解决信息孤岛和各厂商管理方式各自为政的问题,方便快捷地排除机器故障,从而更有效地保障整体机房的高效运营。主要体现在以下几个方面:I. 有效控制效率及并发性与可行性兼顾考虑将来被控服务器数量与控制端用户数的匹配,满足机房管理人员同时并发访问多台服务器,以及多个管理人员访问多台服务器,扩大管理幅度,以及对服务器的控制
6、效率和方案可行性,充分保证用户远程并发访问的需要。对于频繁操作和需要高并发管理的服务器,我方建议采用4台MPU2032-103,用一套DSV3软件管控。MPU2032-103为2数字通道32接入端口,一网络端口,一电源接口,单台KVM可以实现同时打开2台服务器系统安全性系统安全方面,我方提供了Hub-Spoke结构的集中控管系统,将来扩展时,认证服务器之间数据自动同步,并且可以实现负载均衡,可以避免被控服务器数量将来过多及用户访问次数增加造成用户访问系统过渡拥挤而瘫痪,保证访问过程无阻塞性。系统无限制扩容性考虑到机房未来扩容可能性,本方案可以在原有基础直接增加MPU系列KVM并在DSV3软件继
7、续管控即可,不需淘汰之前所有设备,只需增加软件用户数和KVM设备即可。II. 降低TCO和维护成本性面对将来各种各样的服务器、路由器、交换机、电源等,其管理软件各自为政,各种软件只能承诺对单一或少量设备的管理,而无法实现一个界面上对所有设备的统一管理,我方采用的DSView 3软件使得管理人员在统一的平台及界面上集中控制管理服务器设备、串口设备、电源设备等,管理员对设备情况一目了然。集中控制系统还为以后加入各种新功能提供了保障,提供更进一步的硬件远端操控能力,包括服务器的物理健康特征,如温度、电压、电扇工作状态、电源供应以及机箱入侵等为系统管理、恢复以及资产管理提供信息,这样机房管理人员便可以
8、随时随地在第一时间了解整个网络服务器系统的物理健康状况,以采取积极的应对措施,节省了客户将来的投资,降低数据中心的管理与维护成本,使机房的管理达到国际上新的成熟度标准。根据总体机房建设要求以及以上需求说明,综合考虑系统的稳定性、服务器和网络的安全性、用户控制服务器和网络设备的合理性、应用需求的高效率性、体系架构冗余拓展性、统一管理性、降低维护成本性等多方面的因素。具体方案如下:1.3 方案说明1.3.1 配置清单因为KVM与服务器之间的CAT5线缆传输模拟信号,其必然会受到距离和环境干扰(强电和电磁)的限制,根据我方长期施工经验,建议KVM与服务器之间的CAT5线缆长度在30米以内,串口控制台
9、服务器与网络设备之间的CAT5线缆长度在100米以内。1.3.2 系统拓扑图1.3.3 方案实现概述考虑到数据中心机房的具体情况,对机房内的PC服务器(包括PC服务器、主机终端等),我们建议采用MPU2032-103数字交换机对服务器设备接口进行集中统一连接;本系统可以提供多个并发IP操作用户通过TCP/IP同时操作访问机房内所有PC服务器、主机终端、存储设备、小型机(Console口)和网络设备(Console口),同时每台MPU2032-103数字交换机还可以提供1个本地操作终端方便管理用户进入机房在机架旁操作管理其所连接的被控服务器,MPU2032-103还提供VM功能,满足日常维护打补
10、丁等传输数据;所有的MPU2032-103数字交换机都可以通过远程和本地进行设备Fireware升级;集中控制管理平台DSView实现统一用户认证及访问权限设置,除集中控制管理平台内部认证外,还支持Active Directory、Windows NT、LDAP、RADIUS、TACACS+、RSA SecurID外部认证系统;由集中控制管理平台DSView实现系统统一日志管理,功能包括:保存、查询、索引、归档,日志内容包括访问日志审计、事件日志审计、数据日志审计、告警机制;方案实现:l 采用 MPU2032-103数字交换机对PC服务器进行连接管理时,我们需要在服务器每台服务器的键盘、鼠标、
11、显示器接口都直接连接一根DSAVIQ-XXX服务器接口线缆攫取键盘、鼠标、显示器信号,DSRIQ-XXX服务器接口线缆再通过普通五类线线连接到MPU2032-103。l 远程IP操作用户只需要在IE浏览器内输入DSView HUB主认证服务器或Spoke镜像服务器的IP地址经过权限认证后即可对机房内的所有的PC服务器、主机终端、存储设备、小型机(KVM或Console口)和网络设备(Console口)进行集中统一管理。不同的IP用户都通过开放式的Web浏览器只需鼠标点击即可访问到机房内相应的设备,通过简单的用户分组和权限设置后不同部门的操作用户根据各自权限的不同可以访问各自不同部门的设备,每个
12、操作用户不但可以在自己的屏幕上打开操作一台服务器画面,还可以打开多个服务器的界面轮流进行操作或监视不同设备的运行状态。实现最小化访问权限控制。实现从单点技术管理、普通系统管理、区域本地管理过渡到全面集中管理、安全系统管理和远程控制管理。1.4 Avocent机房集中控制管理平台管理特性1.4.1 解决简化和统一管理IT基础设施问题针对数据中心IT基础设施既有服务器,又有Cisco或华为等厂商的路由器、交换机、防火墙等网络设备,Avocent采用统一化集中控制系统实现机房设备管理,利用KVM over IP、Serial over IP 、Power over IP、Service Proces
13、sor over IP技术实现远程集中控制管理,方便集中监控、控制、管理、运维,提高运维效率。各部门和各机房的IT基础设施,应当考虑人员认证管理,设备、人员分组和授权管理,日志管理,告警管理,安全管理等,在业务系统出现故障时,能够有应急系统和相关方面的专家及时隔离故障和解决系统问题。使用 DSView 3集中控制管理平台,您可以从一个屏幕访问所有数据中心设备 使复杂的网络访问和控制大大简化。1.4.2 解决分布式管理问题针对客户的多机房和冗余的需求,Avocent解决方案采用分布式Hub-Spoke架构,使得认证服务器的放置实现了异地化和多机并发处理。对于数据中心机房而言,可设置一台HUB(中
14、心)和Spoke(分支)认证服务器,中心和分支后台数据同步;如需访问主机房中的终端设备,用户可直接通过HUB或Spoke认证服务器的用户和权限验证,建立与主机房内的相应终端设备之间的连接。如建立统一控制管理,访问A机房的终端设备可直接通过A机房认证服务器,节省了数据传输返回时间,实现了认证系统的负载均衡处理。当A机房本地认证服务器出现问题时,也可通过B认证服务器进行通信验证,同样可对机房内的终端设备实现远程操作。无论管理员是在不同楼层、不同楼宇还是出差在外地,同样操作也可实现同时控制操作数据中心机房。Avocent独有的分布式认证服务器架构特别适用于多地点机房的集中管理,已经在各大通信、金融行
15、业数据中心中成功应用,该架构可以提高系统的可靠性(可实现16台认证服务器冗余),以及减少认证系统负载,从而保障多地点数据中心IT基础设施系统的完全可用性。1.4.3 解决目标设备资产信息和分组管理问题服务器设备逻辑分组说明数据中心内服务器设备众多,可以对机房内服务器设备的逻辑划分说明如下:首先,按照各服务器设备所属单位部门进行划分,如下图所示:其次,对于每个组别中的各台服务器设备,分别添加各自的标志信息,如:应用类型、设备型号、操作系统、IP地址、联系人、联系电话等,如下图所示:当用户需要时,还可对以上信息进行导出,保存为.CSV 文件,更方便用户直观地对具体服务器进行各项操作:如此划分,无论
16、是对于操作员还是管理员来说,都可方便地找出所需访问的服务器设备,尤其对于系统管理员来说,既可利用不同组别来查找不同服务器设备,亦可通过DSView系统独有的Filter功能,方便快捷地找出相应字段匹配的服务器设备。例如:需查找操作员“张杰”所负责的服务器,可在系统Filter栏处输入“张杰”字段,即可显示出操作员“张杰”所负责的所有服务器设备列表。同时,也可根据不同的定义字段(如IP地址、部门、应用等)来搜检相应的服务器设备:如输入“51”字段,系统会自动将所有包含“51”字段的服务器列表检索出来:1.4.4 解决用户认证、授权和分组管理问题DSView 3 集中控制管理平台有DSView 内
17、部认证服务,它可以根据 DSView 3 软件服务器数据库中保存的用户帐户信息,来验证登录和密码。DSView 3 软件还支持以下几种外部认证服务: Microsoft Active Directory IBM SecureWay Directory Server Novell LDAP Services Sun Solaris R9 LDAP Directory Server Sun ONETM LDAP Directory Server Microsoft Windows NT 域 Windows 2000/2003 server 的 Cisco Secure ACS 3.3 Window
18、s 2000/2003 server 的 Microsoft IAS Red Hat RHL3 的 FreeRADIUS Windows 2000/2003 server 的 Cisco Secure ACS 3.3 RSA SecurID对于用户分组而言,可设三个不同优先级别的账号,分别具有不同的访问权限,管理便捷:(1) 系统超级管理员(DSView Administrator):其可对系统所有设备进行控管、权限分配及用户账号管理,并可对DSView系统进行所有操作。(2) 组长:可对本设备组内所有设备进行集中控管,并可随时断开各组员的访问进程。(3) 组员:仅可对具有权限的个别设备进行控
19、管操作。例如:设置用户“周彦倜”为系统超级用户,具有DSView Administrator权限,优先级最高,可对所有服务器设备进行访问并可随时断开任意用户的访问进程,还可进行系统设置操作;设置用用户“蒋放”为组长,其具有对“科技部”组中的所有服务器设备的访问权限,可随时断开对该组设备有部分访问权限的组员的访问进程;设置用户“张杰”为组员,其仅具有对“科技部”中几台服务器设备的基本管理权限。1.4.5 解决访问安全的顾虑Avocent数字解决方案针对的应用,设置了6方面用户安全级别控制和保护方式:I) 结合外部认证XXXXX未来可能通过外部认证系统实施外部验证机制,Avocent目前支持AD,
20、NT Domain,Radius,LDAP,Tacacs+,RSA SecurID六种外部认证系统 ,使得各操作人员仅需牢记一套密码即可对KVM系统及日常生产进行同时操作。II) 通信数据加密可通过DSView系统针对不同用户设置不同等级的用户权限,管理相应的服务器;任一用户在访问终端设备前,必须先通过多冗余设计的认证服务器(Hub或Spoke)的严格权限验证(SSPI、AASP专用安全协议),成功后才能访问到具有相应的终端设备并进行相应权限的操作,此其间所有的鼠标、键盘及视频信号的传输皆采用可选方式的DES,3DES,128位SSL,AES加密算法,并可结合利用防火墙的端口设置等功能,最大程
21、度地保障了系统的安全性能。III) 访问时间短控制结合XXXXX外部认证系统,可指定用户在指定时间访问相应服务器设备,增强了系统的安全完备性。IV) 操作权限控制可由DSView系统分配给各不同用户不同的用户权限。V) 绑定IP控制DSView具有的强大功能使得系统可指定访问用户的IP地址列表,使得仅在此列表中存在的IP网段内的访问用户可以访问到DSView系统,防止了各种外部无效访问,大大增强了系统的严密性。VI) 代理模式访问使用代理模式,可以保护后台数据处于安全不可到达的位置。DSView3可以工作在代理模式下,此时用户建立的KVM、Serial和VM连接都通过DSView3服务器的代理
22、端口。这种工作模式可以将装置与用户在网络上隔离开,从而避免了装置直接暴露在非管理网段中,进一步加强了用户核心业务系统的安全性能。1.4.6 解决远程安全传送文件问题Virtual MediaXXXXX数据中心里服务器及设备总类繁多,重要性等级也不尽相同,Avocent集中控管系统从实际需求出发,提出了重要设备重点对待的处理策略,并结合DSR设备独有的Virtual Media功能,提出以下的先进管理模式:对重要性级别较高的服务器,利用MPU8032DAC-103其独有的总线延长技术(Bus-Extension),使得对服务器的操作达到硬件级别的远程数据迁移能力,可将本地的光驱或是磁盘映射成为目
23、标服务器上的一个盘符,并可利用映射盘符从本地光驱实现Boot From CDROM,从而不必再进入机房放置系统安装CD即可从本地CDROM实现对服务器进行远程系统重装等深层次功能,再也不必为了系统崩溃需重装系统而穿梭于机房内外了。1.4.7 解决嵌入式芯片统一管理问题多种服务器的IPMI/iLO/DRAC等嵌入式芯片统一管理,提供安全的 Serial over LAN (SoL)、电源控制、硬件监控和全新 DirectCommand 功能,该功能可以实现透明和安全地访问 SP 固有界面以及进行 IPMI 自动配置和 SP 自动发现。Avocent的解决方案还可以提供操作用户对支持SP接口的服务
24、器(例如IBM X Series,HP Proliant, Dell PowerEdge Series)实现电源的远程控制,实现远程开/关机,并可在统一的软件界面上显示该服务器主板温度、CPU温度等等各种机器信息,方便管理员及时掌握服务器健康状况。1.4.8 解决访问通道审计问题在DSView实现系统统一日志管理,功能包括:保存、查询、索引、归档,日志内容主要包括以下几个方面l 访问日志审计(ACS和DSR)访问日志主要用于记录监控人员或网管人员对网络设备和服务器的访问情况,包括了访问时间、访问端口、访问用户名、访问源IP地址。访问日志以表格方式记录在DSView的数据库中。DSView3可以
25、对来自ACS的串口数据按照用户定义的关键字进行过滤。过滤的结果作为事件被存放在DSView3的数据库中,并可以以SNMPTRAP或EMAIL的形式发送出去。l 事件日志审计(ACS)事件日志主要用于记录设备在Console端口输出的包含有用户所定义关键字的系统信息,包含了发生事件、发生端口、信息内容,事件日志以表格方式记录在DSView的数据库中。l 数据日志审计(ACS)将ACS上的串口数据统一保存到DSView3中。串口数据中包含了重要的目标设备的系统信息,以及通过serial console对目标设备的配置或操作过程。数据日志主要用于记录设备在Console端口输入输出的信息,即网管人员
26、在Console进行的操作信息,数据日志以文件的形式保存在DSView的文件系统中。ACS还支持NFS和Syslog协议,可以根据客户具体需求,将Console端口输入的信息,记录在相应的协议服务器上。1.4.9 解决主动告警问题如果 DSView 3 软件系统发生已定义且启用的事件,则将该事件保存在事件日志中。您可以显示事件日志内容、查看单个事件日志条目的详细信息,或删除事件日志条目。您可以设置在事件发生时将通知邮件发送至一个或多个地址。您可以更改事件日志的保留时间以及导出事件日志内容。事件严重性级别严重性图标说明监视器定期和可预期的事件。信息非定期、亦非可预期的事件。正常处于正常或已清除状
27、态的事件。通常在事件启动时或者离开上一事件状态之后,会出现此值。非紧急需要稍后进行更正的非正常事件。紧急性质更为严重的非正常事件,需要紧急措施,例如已安排的任务失败或通信中断。不可恢复影响 DSView 3 管理软件会话的严重的非正常事件,需要立即采取更正措施。事件类别定义的事件可归类于以下类别:l 访问控制l 装置l 认证l 数据记录l 外部l IPMIl 调制解调器l 会话l SSH 通过l 系统l 任务l 设备l 设备状态l 用户1.4.10 解决硬件兼容问题DSView3系统支持基于多种硬件平台、多操作系统的服务器和串口设备,如:NT、UNIX、Solaris等操作系统之上的SUN、H
28、P、DELL、COMPAQ、IBM、联想等机型,并能实现在多种平台间“无缝”切换。1.4.11 解决刀片式服务器管理问题Avocent的IT基础设施管理设备和DSView 3管理软件结合起来可以为创造多种连接方法,能够连接所有制造商的任意型号刀片服务器。此外,DSView 3软件还可为用户提供单一用户界面,使用户可以方便地访问和管理数据中心内所有的刀片服务器、机架式或独立服务器,以及其它的联网设备。HP BladeSystem c-Class、HP BladeSystem p-Class、IBM BladeCenter、IBM BladeCenter HT、DELL 1855、DELL1955
29、等刀片服务器统一接入管理;虽然每一家厂商的刀片服务器都有其特有的规格,但戴尔、惠普和IBM的刀片服务器都有一些类似的管理特性。这三家厂商的刀片服务器都包括(1)刀片服务器机箱管理模块、(2)服务处理器技术,以及(3)集中管理软件套件。1.4.12 解决虚拟机管理问题在今天的市场中,虚拟技术正在攻城掠地,夺取日益重要的市场地位。许多IT机构或多或少地实施了VMware技术,在选定的物理服务器上创建多个虚假服务器。这种虚拟服务器的广泛使用可以提供诸多的优势包括降低硬件方面的资本支出、减少能耗和冷却容量方面的需求,以及实现更为灵活的处理容量分配。然而,虚拟技术的引入也给IT机构的管理工作带来了许许多
30、多的挑战。这些新的挑战主要应归咎于两个基本原因:1. 虚拟服务器的本质与物理服务器不同,因此必须以不同的方式对其实施管理,尤其是考虑到目前VMware工具本身的诸多限制,管理工作的挑战就显得更为明显。2. 数据中心只实现了部分虚拟化。也就是说,服务器既可能是物理机器,也可能是驻留在物理机器上的多个虚拟机之一。虚拟和物理服务器的混合为管理运营带来了新一层的复杂性。因此,IT机构必须重新思考新的方法,对这些动态混合程度越来越高的虚拟和物理服务器实施有效的管理。Avocent集中控制管理平台DSView3.5可使管理者对物理IT资产与虚拟化设备进行统一的访问与控制管理,是业界第一种可以在统一平台上实
31、现对虚拟和物理服务器的组合访问和控制,从而减少管理数据中心的费用和使复杂性的管理平台简单化。除了将物理和虚拟服务器管理组合在一起外,DSView3.5还通过多个VMware Virtual Center的企业内创建整个虚拟基础设施的统一视图,可以整合、显示和访问多个Virtual Center中的所有虚拟机。此外,DSView3.5还可以真和跨多个VMware ESX Server或Virtual Center和ESX Server的组合,为IT管理人员提供跨真个基础设施的组合视图,在一个屏幕上看到所有的物理与虚拟服务器和机器,从而节省时间,简化管理。另外,DSView3.5能够自动发现Vir
32、tual Center、ESX Server和它们支持的虚拟服务器,并作为目标设备包含这些虚拟服务器。当虚拟机创建、拆除或转移时。通过DSView3.5可以使目标设备列表同步更新。在DSView3.5事件日志中,不仅包含来自Virtual Center管理服务器和ESX Server的事件和报警,还可以将虚拟服务器上执行的所有管理操作捕获到日志中。1.4.13 解决多平台合作问题与Uptime Sensor Hub 结合监控湿度、电压和温度;与NetClarity Auditor Enterprise集成,实现主动的网络安全保护;与 HP Software Network Node Manag
33、er (NNM) 和 Operations for Windows (OVOW) 的结合,惠普和 Avocent 客户可通过 HP Software 的节点轻松启动 DSView 3 软件会话;1.4.14 解决及时修复管理平台问题DSView3集中控制管理平台支持MS Windows、Linux和SUN Solaris等多种操作系统。硬件的选型用户可以自己选择,对用户管理员来说所有信息都是透明的,安全方面用户可以自己定义;即使硬件有问题时,通过定时备份的数据库,重新安装一台服务器(甚至可以是临时使用的笔记本),恢复备份数据就可以实现及时恢复访问通道畅通,保障客户使用的连续性,也减少硬件返修厂商的风险。
黑公网安备:91230400333293403D