1、數(shù)據(jù)中心機房建設(shè)項目 KVM系統(tǒng)設(shè)計方案1.1機房集中控管系統(tǒng)需求分析機房現(xiàn)狀簡介根據(jù)數(shù)據(jù)中心機房的具體情況，機房分布在不同樓層， 分別屬于不同部門，包括服務(wù)器（IBM、HP、Compaq DELL、 SUN等）。在主機房ECC監(jiān)控中心或管理員工位，通過相應(yīng)授權(quán)和認證，提供多個并發(fā)操作用戶全域控制機房內(nèi)的所有設(shè) 備，同時方案需要考慮到將來對所有設(shè)備的資產(chǎn)和性能管理 及各個分支城域網(wǎng)網(wǎng)絡(luò)設(shè)備（Console 口）系統(tǒng)納入集中控 制管理平臺進行集中管理的問題。方案要求每個操作用戶都 通過開放式的 Web瀏覽器只需鼠標點擊即可訪問到機房相應(yīng) 的設(shè)備，不同部門的操作用戶根據(jù)各自權(quán)限的不同還可以訪 問各

2、自不同部門的設(shè)備，每個操作用戶不但可以在自己的屏 幕上打開操作一臺服務(wù)器畫面，還可以打開多個服務(wù)器的界 面輪流進行操作或監(jiān)視不同設(shè)備的運行狀態(tài)，徹底擺脫了原 始的一套鍵盤、鼠標、顯示器對應(yīng)操作一臺設(shè)備的模式，大 大節(jié)省了操作時間，提高了工作效率。同時考慮對整個機房 內(nèi)所有服務(wù)器管理的集中性，用戶管理的安全，尋求一種能 夠滿足這種需求的解決方案，以便使有關(guān)操作人員不必去到 機房內(nèi)也能操控所有的機房服務(wù)器和網(wǎng)絡(luò)設(shè)備，且當系統(tǒng)規(guī) 模擴張時仍能保持整個系統(tǒng)的完整性而達到管理上的簡單 有效。如何為這些IT設(shè)備提供一個統(tǒng)一、有效的帶外管理平 臺是該項目的核心。本文檔旨在給出對中行所有 IT設(shè)備的集 中帶外

3、管理提出一個完整的解決方案。1.1.2 IT基礎(chǔ)設(shè)施集中控制管理需求根據(jù)通盤考慮，所有數(shù)據(jù)中心機房的眾多設(shè)備需在一個整 合了多種機房系統(tǒng)資源的集成大平臺上得到統(tǒng)一管理，以解 決因大量設(shè)備分散分布所帶來的管理上的不便性，免除了眾 多不必要的外圍設(shè)備而節(jié)省大量空間，使得各管理員可在監(jiān) 控室內(nèi)從鍵盤、鼠標、顯示器組成的控制臺便可登陸所有的 設(shè)備，方便快捷地排除機器故障，從而更有效地保障整體機 房的正常運營。具體需求如下：(1) 設(shè)備管理屬于不同部門，要求能夠?qū)λ蟹?wù)器做到統(tǒng)一監(jiān)管；(2) 需有靈活便捷的管理方式，能對服務(wù)器的各種屬性組別進行添加(機柜號、機柜位置、應(yīng)用、 OS、服務(wù)器型 號、IP地

4、址、部門、維護人員及聯(lián)系方式等等) ，方便 搜索指定服務(wù)器，完全實現(xiàn)邏輯劃分功能， 同時可以實 現(xiàn)對各服務(wù)器信息的導出功能；(3) 需考慮使用安全可靠系統(tǒng)架構(gòu)及有效的用戶權(quán)限保障系統(tǒng)，保障數(shù)據(jù)中心的安全性；(4) 良好的系統(tǒng)再擴容能力；(5) 便捷的故障處理能力，通過本項目的建設(shè)允許管理員可 以在本地或通過網(wǎng)絡(luò)遠程交互式地操作、訪問、檢測、修復這些設(shè)備；同時提供一條獨立于數(shù)據(jù)網(wǎng)絡(luò)(WANand/or LAN)之外的備份鏈路，在網(wǎng)絡(luò)不可達或者設(shè)備 故障時通過備份鏈路遠程交互式地操作、訪問、檢測、 修復這些設(shè)備；(6) 完善的日志記錄和事件偵測， 在日志中，按照事件定義， 自動監(jiān)測事件發(fā)生。在數(shù)據(jù)

5、庫中，記錄事件的發(fā)生時間、 關(guān)聯(lián)設(shè)備、事件內(nèi)容等。在綜合考慮了以上各因素及反復探討后，我方經(jīng)過反復研究，推出以下合理化方案供各位領(lǐng)導參考。1.2數(shù)據(jù)中心解決方案根據(jù)機房整體設(shè)計考慮，建議數(shù)據(jù)中心不同部門分機房所有數(shù)據(jù)中心機房的眾多設(shè)備，包括不同品牌服務(wù)器和不同 操作系統(tǒng)服務(wù)器控制，需在一個整合了多種機房系統(tǒng)資源的 集成大平臺上得到統(tǒng)一管理，以解決信息孤島和各廠商管理 方式各自為政的問題，方便快捷地排除機器故障，從而更有 效地保障整體機房的高效運營。主要體現(xiàn)在以下幾個方面：I.有效控制效率及并發(fā)性與可行性兼顧考慮將來被控服務(wù)器數(shù)量與控制端用戶數(shù)的匹配，滿足 機房管理人員同時并發(fā)訪問多臺服務(wù)器，以

6、及多個管理 人員訪問多臺服務(wù)器，擴大管理幅度，以及對服務(wù)器的 控制效率和方案可行性，充分保證用戶遠程并發(fā)訪問的 需要。對于頻繁操作和需要高并發(fā)管理的服務(wù)器，我方 建議采用4臺MPU2032-103，用一套DSV3軟件管控。MPU2032-103為2數(shù)字通道32接入端口，一網(wǎng)絡(luò)端口， 一電源接口，單臺 KVM可以實現(xiàn)同時打開 2臺服務(wù)器 系統(tǒng)安全性系統(tǒng)安全方面，我方提供了Hub-Spoke結(jié)構(gòu)的集中控管系統(tǒng)，將來擴展時，認證服務(wù)器之間數(shù)據(jù)自動同步，并 且可以實現(xiàn)負載均衡，可以避免被控服務(wù)器數(shù)量將來過 多及用戶訪問次數(shù)增加造成用戶訪問系統(tǒng)過渡擁擠而 癱瘓，保證訪問過程無阻塞性。系統(tǒng)無限制擴容性考慮

7、到機房未來擴容可能性，本方案可以在原有基礎(chǔ)直 接增加MPU系列KVM并在DSV3軟件繼續(xù)管控即可， 不需淘汰之前所有設(shè)備，只需增加軟件用戶數(shù)和KVM設(shè)備即可。II.降低TCO和維護成本性面對將來各種各樣的服務(wù)器、路由器、交換機、電源等，其管理軟件各自為政，各種軟件只能承諾對單一或少量 設(shè)備的管理，而無法實現(xiàn)一個界面上對所有設(shè)備的統(tǒng)一 管理，我方采用的 DSView 3軟件使得管理人員在統(tǒng)- 的平臺及界面上集中控制管理服務(wù)器設(shè)備、串口設(shè)備、 電源設(shè)備等，管理員對設(shè)備情況一目了然。集中控制系 統(tǒng)還為以后加入各種新功能提供了保障，提供更進一步 的硬件遠端操控能力，包括服務(wù)器的物理健康特征，如 溫度、

8、電壓、電扇工作狀態(tài)、電源供應(yīng)以及機箱入侵等 為系統(tǒng)管理、恢復以及資產(chǎn)管理提供信息，這樣機房管 理人員便可以隨時隨地在第一時間了解整個網(wǎng)絡(luò)服務(wù) 器系統(tǒng)的物理健康狀況，以采取積極的應(yīng)對措施，節(jié)省 了客戶將來的投資，降低數(shù)據(jù)中心的管理與維護成本， 使機房的管理達到國際上新的成熟度標準。根據(jù)總體機房建設(shè)要求以及以上需求說明，綜合考慮系 統(tǒng)的穩(wěn)定性、服務(wù)器和網(wǎng)絡(luò)的安全性、用戶控制服務(wù)器和網(wǎng) 絡(luò)設(shè)備的合理性、應(yīng)用需求的高效率性、體系架構(gòu)冗余拓展 性、統(tǒng)一管理性、降低維護成本性等多方面的因素。具體方 案如下：1.3方案說明配置清單因為KVM與服務(wù)器之間的 CAT5線纜傳輸模擬信號，其必然會受到距離和環(huán)境干擾

9、（強電和電磁）的限制，根據(jù)我方長期施工經(jīng)驗，建議 KVM與服務(wù)器之間的 CAT5線纜長度在30米以內(nèi)，串口控制臺服務(wù)器與網(wǎng)絡(luò)設(shè)備之間的CAT5線纜長度在100米以內(nèi)132系統(tǒng)拓撲圖桃房門設(shè)備重申控淪解決方窒AvMMm機JI集中屜曾解黴力靠Av/ouect按軍凈.V戸的Jr.,如輒、打:如寥仲伽陽和席卡.異P*TCP.rIPnSlKia湮壽髀時痢#礦馬沖轟丄rw.v脖涉好#仁駆爭帝用幽商r»ATWfiVjL tKJ MOhel ', P抵n轉(zhuǎn)韓朋町耶幫呼臨*掘摩ZF護桿心u人円耳戡題沁UXU,FS和曲鶯、n怦弄內(nèi)燈機用譽控申心打:如WTW心站寥仲伽陽TCP.rIPMUD方案實現(xiàn)

10、概述考慮到數(shù)據(jù)中心機房的具體情況，對機房內(nèi)的PC服務(wù)器（包括PC月艮務(wù)器、主機終端等），我們建議采用MPU2032-103數(shù)字交換機對服務(wù)器設(shè)備接口進行集中統(tǒng)一連接；本系統(tǒng)可 以提供多個并發(fā)IP操作用戶通過TCP/IP同時操作訪問機房內(nèi)所有PC服務(wù)器、主機終端、存儲設(shè)備、小型機（Console口）和網(wǎng)絡(luò)設(shè)備（Console 口），同時每臺 MPU2032-103數(shù)字交換機還可以提供1個本地操作終端方便管理用戶進入機房在機架旁操作管理其所連接的被控服務(wù)器，MPU2032-103還提供VM功能，滿足日常維護打補丁等傳輸數(shù)據(jù)；所有的 MPU2032-103數(shù)字交換機都可以通過遠程和本地進行設(shè)備 Fi

11、reware升級；集中控制管理平臺 DSView實現(xiàn)統(tǒng)一用戶認 證及訪問權(quán)限設(shè)置，除集中控制管理平臺內(nèi)部認證外，還支 持 Active Directory、Windows NT、LDAP、RADIUS、 TACACS+、RSA SecurID外部認證系統(tǒng)；由集中控制管理平 臺DSView實現(xiàn)系統(tǒng)統(tǒng)一日志管理，功能包括：保存、查詢、索引、歸檔，日志內(nèi)容包括訪問日志審計、事件日志審計、 數(shù)據(jù)日志審計、告警機制；方案實現(xiàn)：采用MPU2032-103數(shù)字交換機對PC服務(wù)器進行連接 管理時，我們需要在服務(wù)器每臺服務(wù)器的鍵盤、鼠標、 顯示器接口都直接連接一根 DSAVIQ-XXX服務(wù)器接口線 纜攫取鍵盤、

12、鼠標、顯示器信號，DSRIQ-XXX服務(wù)器接 口線纜再通過普通五類線線連接到MPU2032-103。遠程IP操作用戶只需要在IE瀏覽器內(nèi)輸入 DSViewHUB主認證服務(wù)器或 Spoke鏡像服務(wù)器的IP地址經(jīng)過權(quán)限認證后即可對機房內(nèi)的所有的二;-二 c K聲;*>>PC服務(wù)器、主機終端、存儲設(shè)備、小型機（KVM或 Console 口）和網(wǎng)絡(luò)設(shè) 備（Console 口）進行集中統(tǒng)一管理。不同的 IP用戶 都通過開放式的 Web瀏覽器只需鼠標點擊即可訪問到機房內(nèi)相應(yīng)的設(shè)備，通過簡單的用戶分組和權(quán)限設(shè)置后不同部門的操作用戶根據(jù)各自權(quán)限的不同可以訪問 各自不同部門的設(shè)備，每個操作用戶不但可

13、以在自己 的屏幕上打開操作一臺服務(wù)器畫面，還可以打開多個 服務(wù)器的界面輪流進行操作或監(jiān)視不同設(shè)備的運行狀 態(tài)。實現(xiàn)最小化訪問權(quán)限控制。實現(xiàn)從單點技術(shù)管理、 普通系統(tǒng)管理、區(qū)域本地管理過渡到全面集中管理、安全系統(tǒng)管理和遠程控制管理。1.4 Avocent機房集中控制管理平臺管理特性解決簡化和統(tǒng)一管理IT基礎(chǔ)設(shè)施問題針對數(shù)據(jù)中心IT基礎(chǔ)設(shè)施既有服務(wù)器， 又有Cisco或華 為等廠商的路由器、交換機、防火墻等網(wǎng)絡(luò)設(shè)備，Avocent采用統(tǒng)一化集中控制系統(tǒng)實現(xiàn)機房設(shè)備管理，利用KVMover IP、Serial over IP、Power over IP、Service Processor over

14、IP技術(shù)實現(xiàn)遠程集中控制管理，方便集中監(jiān)控、控制、管理、運維，提高運維效率。各部門和各機房的IT基礎(chǔ)設(shè)施，應(yīng)當 考慮人員認證管理，設(shè)備、人員分組和授權(quán)管理，日志管理，告警管理，安全管理等，在業(yè)務(wù)系統(tǒng)出現(xiàn)故障時，能夠有應(yīng) 急系統(tǒng)和相關(guān)方面的專家及時隔離故障和解決系統(tǒng)問題。使 用DSView 3集中控制管理平臺，您可以從一個屏幕訪問所 有數(shù)據(jù)中心設(shè)備一使復雜的網(wǎng)絡(luò)訪問和控制大大簡化。Dsview 3集中認證中疋版管理界鹵申口設(shè)備舒除界面 irtNiil Mlid 詩理界面=弋M13: Jta：軸K詢績押” J<aWlndows<M<E|fuu”豎陸界ilii解決分布式管理問題針對

15、客戶的多機房和冗余的需求，Avocent解決方案采用分布式Hub-Spoke架構(gòu)，使得認證服務(wù)器的放置實現(xiàn)了異 地化和多機并發(fā)處理。對于數(shù)據(jù)中心機房而言，可設(shè)置一臺 HUB （中心）和Spoke （分支）認證服務(wù)器，中心和分支后 臺數(shù)據(jù)同步；如需訪問主機房中的終端設(shè)備，用戶可直接通 過HUB或Spoke認證服務(wù)器的用戶和權(quán)限驗證，建立與主 機房內(nèi)的相應(yīng)終端設(shè)備之間的連接。如建立統(tǒng)一控制管理， 訪問A機房的終端設(shè)備可直接通過 A機房認證服務(wù)器，節(jié)省 了數(shù)據(jù)傳輸返回時間，實現(xiàn)了認證系統(tǒng)的負載均衡處理。當 A機房本地認證服務(wù)器出現(xiàn)問題時，也可通過B認證服務(wù)器 進行通信驗證，同樣可對機房內(nèi)的終端設(shè)備實

16、現(xiàn)遠程操作。無論管理員是在不同樓層、不同樓宇還是出差在外地，同樣 操作也可實現(xiàn)同時控制操作數(shù)據(jù)中心機房。Avocent獨有的分布式認證服務(wù)器架構(gòu)特別適用于多地點機房的集中管理， 已經(jīng)在各大通信、金融行業(yè)數(shù)據(jù)中心中成功應(yīng)用，該架構(gòu)可 以提高系統(tǒng)的可靠性（可實現(xiàn)16臺認證服務(wù)器冗余），以及減少認證系統(tǒng)負載，從而保障多地點數(shù)據(jù)中心 IT基礎(chǔ)設(shè)施系 統(tǒng)的完全可用性。解決目標設(shè)備資產(chǎn)信息和分組管理問題服務(wù)器設(shè)備邏輯分組說明數(shù)據(jù)中心內(nèi)服務(wù)器設(shè)備眾多，可以對機房內(nèi)服務(wù)器設(shè)備的邏輯劃分說明如下：首先，按照各服務(wù)器設(shè)備所屬單位部門進行劃分，如下圖所示：其次，對于每個組別中的各臺服務(wù)器設(shè)備，分別添加各自的 標志信

17、息，如：應(yīng)用類型、設(shè)備型號、操作系統(tǒng)、IP地址、聯(lián)系人、聯(lián)系電話等，如下圖所示:當用戶需要時，還可對以上信息進行導出，保存為.CSV文件，更方便用戶直觀地對具體服務(wù)器進行各項操作：如此劃分，無論是對于操作員還是管理員來說，都可方便地找出所需訪問的服務(wù)器設(shè)備，尤其對于系統(tǒng)管理員來說，既可利用不同組別來查找不同服務(wù)器設(shè)備，亦可通過DSView系統(tǒng)獨有的Filter功能，方便快捷地找出相應(yīng)字段匹配的服務(wù)器設(shè)備。例如：需查找操作員“張杰”所負責的服務(wù)器， 可在系統(tǒng)Filter欄處輸入“張杰”字段，即可顯示出操作員“張杰”所負責的所有服務(wù)器設(shè)備列表同時，也可根據(jù)不同的定義字段（如IP地址、部門、應(yīng)用4E

18、Q0*. ©fr rn 0 .acoLrrHEUF勺*LiB¥FtpgrtflAv«c«iit DVItw JliMt IIiI耶 I PfirrriTHric mi? artanmi日M十* SEFREW”Ai/ocent卑:刃擊 Hrjt匚btJLEte Ir H ®wrasI羊如Ml矗花ilW23*7Sft莖產(chǎn)fl佯 'JiKH PiTAftaa 孕 睦卑等）來搜檢相應(yīng)的服務(wù)器設(shè)備：如輸入“51”字段，系統(tǒng)會自動將所有包含“ 51 ”字段的服務(wù)器列表檢索出來：解決用戶認證、授權(quán)和分組管理問題DSView 3集中控制管理平臺有 DS

19、View內(nèi)部認證服務(wù)，它 可以根據(jù) DSView 3軟件服務(wù)器數(shù)據(jù)庫中保存的用戶帳戶 信息，來驗證登錄和密碼。DSView 3軟件還支持以下幾種外部認證服務(wù)：? Microsoft Active Directory? IBM SecureWay Directory Server? Novell LDAP ServicesSun Solaris R9 LDAP Directory ServerSun ONETM LDAP Directory ServerMicrosoft Windows NT 域Windows 2000/2003 server 的 Cisco Secure ACS 3.3Win

20、dows 2000/2003 server 的 Microsoft IASRed Hat RHL3 的 FreeRADIUSWindows 2000/2003 server 的 Cisco Secure ACS 3.3RSA SecurIDAvocent DSView 3捋告配置施尸丨組認證岷爵22仮握供認證蠱勢名務(wù)和類型丄一步卞一步|W譜提供驀認證服詼名輸和類型0名稱一:類型 Active Directory vActjve DirectoryLDAPRADIUSRSASecuriDTACACS+ Win薊林NT翩對于用戶分組而言，可設(shè)三個不同優(yōu)先級別的賬號，分別具有不同的訪問權(quán)限，管理便捷

21、：（1）系統(tǒng)超級管理員（DSView Administrator ）:其可對系統(tǒng)所有設(shè)備進行控管、權(quán)限分配及用戶賬號管理，并可對DSView系統(tǒng)進行所有操作。（2）組長：可對本設(shè)備組內(nèi)所有設(shè)備進行集中控管，并可隨時斷開各組員的訪問進程。（3）組員：僅可對具有權(quán)限的個別設(shè)備進行控管操作。例如：設(shè)置用戶“周彥倜”為系統(tǒng)超級用戶，具有DSViewAdministrator權(quán)限，優(yōu)先級最高，可對所有服務(wù)器設(shè)備進行訪問并可隨時斷開任意用戶的訪問進程，還可進行系統(tǒng)設(shè) 置操作；AvdeMt DSVliw 1A/ocerit-ibi I ia*. J iH 穴Ji "MS*.r IS * 畸rmdowK j-fUZiIdnr .13Whjrrw!i dtllli"廠確*腫町ST?wnF«p卜1r :tit