Avocent解决方案DSV+MPU+ACS.docx
《Avocent解决方案DSV+MPU+ACS.docx》由会员分享,可在线阅读,更多相关《Avocent解决方案DSV+MPU+ACS.docx(17页珍藏版)》请在冰豆网上搜索。
Avocent解决方案DSV+MPU+ACS
天津十一院
IT运营管理解决方案
二零一一年
1建设目标
借助Avocent集中IT运营管理解决方案,实现天津十一院数据中心机房内所有服务器网络设备等IT基础设施的统一管理,采用AvocentKVMoverIP等技术,将数据中心机房中的服务器、网络设备统一到Avocent集中管理平台中,运维人员在办公区就能对不同区域的IT设施提供日常运维,无需进出机房能大大节省机房空调系统的能耗,据第三方专业能耗统计机构分析,无人值守机房最多能节省30%能耗开销;Avocent的远程集中管理平台可让运维人员及时解决远端IT设施出现的问题和故障,同时也提高了问题的联合会诊,技术专家可以在任何地方,通过Avocent集中管理平台,安全受控的访问故障设施,减少现场支持带来运维成本开销,大大缩短了故障修复时间,提高整体IT设施的可用性和业务的连续性。
2方案设计
根据天津十一院数据中心集中IT运营管理的需求,需要设计一个支撑整个数据中心内所有服务器/网络设备管理的集中运维管理平台。
通过运维平台的单一控制台,IT管理人员即可完成对任一台服务器设备的可视化集中运维操作。
运维平台能够运行与现有网络架构,及满足将来数据中心的扩建。
2.1方案的设计原则及依据
1)能在单一的管理系统平台上完成对数据中心内所有服务器资产的容量规划、可视化配置和集中带外管理。
2)对PC服务器的操作方式为到达服务器键盘、鼠标和VGA端口的带外管理方式,操作能力不受服务器运行状态和健康状况的影响。
3)具备完善的认证系统,支持系统内部认证和与第三方认证系统的集成,目前支持NT、AD、LDAP、Radius、TACASC+、RSAtoken和目前银行也普遍采用的X.509证书认证。
4)对VMWare、XEN等异构的虚拟机和虚拟系统进行集中管理,实现虚拟机资产信息查看、执行电源操作、开启或恢复虚拟机、停止或挂起虚拟机、发起RDP/VNC连接等管理操作功能。
5)具备详尽的系统日志,能根据事件日志级别进行分类显示,同时可以根据日志类型制定邮件告警,将关键日志信息及时发送给管理人员。
6)能在单一管理系统平台上完成数据中心内服务器等IT资产集中配置和可视化管理。
7)灵活的组网方式,适应现有网络的架构。
8)良好的系统再扩容能力,可以方便地进行安装和扩容。
9)支持modem方式的带外链路,在网络中断情况下能完成对设备的检测和修复。
10)集中管理平台能够对服务器的ILO接口进行数据采集,并能够动态监测和访控服务器的运行情况。
2.2系统部署
2.3部署说明
天津十一院后端数据中心集中管控系统DSView3,负责集中管控中心机房128台服务器设备以及16台网络交换机设备。
集中IT运营管理系统由分布在数据中心用于连接服务器和网络设备管理接口的专门设备和集中管控平台系统服务器组成。
如上图(系统部署设计方案图)所示,其中连线及网络线缆布放规则如下:
1,MPU2032设备通过使用MPUIQ连接服务器一端的KVM管理接口,将PC服务器的KVM管理接口(键盘、鼠标、VGA)汇聚,另一端通过RJ45网线连接到MPU2032的端口上,而后提供基于IP的对PC服务器KVM接口的访问服务。
MPU2032设备通过TCP/IP网络与集中管控系统DSView3服务器连在同一网络中。
2,ACS6016设备通过使用串口线连接网络设备串口,将网络设备的串口管理接口汇聚,而后提供基于IP的对网络设备接口的访问服务。
ACS6016设备通过TCP/IP网络与集中管控系统DSView3服务器连在同一网络中。
3,所有从MPU2032、ACS6016设备出来的数字TCP/IP网络线路的部署均可按照普通布线规则进行,只有MPU2032、ACS6016的模拟段连接时需要注意模拟信号的衰减,所以,模拟线路中:
KVM连接线路(MPU2032到服务器KVM接口之间)不要超过30米,串口连接线路(ACS6016到网络设备串口之间)不要超过100米。
集中管控平台系统服务器通过IP网络连接数据中心内的MPU2032、ACS6016设备,提供一个对天津十一院数据中心内服务器和网络设备的集中管理平台。
在集中管理系统平台上不仅为运维人员提供了整合的管理视图,同时提供了对访问设备的安全控制,既管理信息加密、身份验证、访问控制、日志审计等,并且DSView3平台支持更为复杂的管理空间(资源)的逻辑分割。
3产品功能与技术规范
3.1DSView3(集中控管平台)
Avocent’sDSView®3管理软件为数据中心所有联网的物理和虚拟软硬件提供了一个安全、集中的管理解决方案。
通过DSView3软件,管理员可以在全球任何地点访问、诊断和修改任何网络资产,且无需考虑操作系统或连接设备网络的运行状况或状态。
通过DSView3软件,可使数据中心和远程办公室的管理、访问和扩展变得更加容易,并可提高它们的安全性。
DSView3软件通过单个基于浏览器的安全界面管理整个数据中心环境,包括:
Ø刀片式服务器和机柜
ØVMware虚拟架构,包括虚拟中心、ESX服务器和虚拟机
Ø嵌入式服务处理器
Ø机架安装式服务器
ØCyclades®ACS高级控制台服务器
ØMPU®KVMoverIP交换机
ØCycladesPM智能配电设备(IPDU)
ØMergePoint®服务处理器管理设备
DSView3软件还可为每个用户提供无限制的自定义查看功能、图形报告创建功能和任务自动化工具,以及无可比拟的网络资产整体查看功能。
DSView3软件的冗余“中心和分支”架构使管理员可以通过任何联网的PC或移动设备访问贵公司网络中的所有资产。
管理员通过DSView3软件的带外(OOB)功能可以诊断和修复问题,即使网关、路由器或其他IP连接已被断开。
数据中心不断发展。
无论您是正在向刀片系统转移、实验SAN(区域网络存储),还是仅仅尝试使用新的路由器,DSView3软件都可以通过集成新技术和提供一致的接口,帮助您进行控制,且无需考虑您的基础设施如何。
DSView3软件预先深度集成了HPSoftware、NetClarity、UptimeDevices、VMWare以及其他解决方案,同时为希望撰写定制软件的开发人员提供免费的API。
DSView3软件无需使用额外的安全程序,可通过您现有的内部或外部标准服务进行身份验证。
所有通信均经过加密,并可提供详细的活动日志,为问题处理和合规性提供重要的审计记录。
远程管理功能最大程度地降低对数据中心的本地访问需求,因此您可以更安心地以物理方式锁定敏感机器。
产品特点
功能
优点
用户
安全的数据中心远程集中管理
访问和控制您的全部IT基础设施
-从单个画面管理物理和虚拟设备。
多设备支持
可对刀片系统、VMware虚拟基础架构、MPUKVMoverIP、MergePoint服务处理器管理器、CycladesACS高级控制台服务器、CycladesPM智能配电设备进行即点即连接的集中管理
虚拟媒体支持
对不关机的lights-out数据中心进行远程诊断测试和软件加载。
KVM和电源控制的整合解决方案
集BIOS级别访问和电源控制于一身的解决方案。
在网络出现故障时还提供外置调制解调器支持。
简单、快速和可靠的用户界面
基于浏览器,可自定义包括键盘传递、缩放和定制查看器工具栏等诸多实用功能
管理
访问服务处理器
使用DSView3管理软件,管理员可以通过MergePoint服务处理器管理启用IPMI的单个服务器上的电源和系统状况。
通知
DSView3软件为定义的系统事件发送SNMP陷阱和电子邮件。
制定计划
DSView3管理软件简化了日常任务管理、更新和文件加载(包括任务的自动定制和更新)的管理。
多平台支持
支持Wintel、Linux、SunSolaris和SuSE平台
安全性
故障转移验证
DSView3管理软件具有中心和分支架构,提供故障转移访问验证以确保系统的可靠性和安全性。
灵活的验证/访问控制
验证用户访问现有内部或外部数据库(如LDAP、活动目录、NT域、TACACS+、RADIUS和RSASecurID)的权限。
系统/用户日志
DSView3软件安全功能包括系统和用户日志管理以及事件通知,以便于记录审核和合规性。
可选加密模式
可选加密模式的安全性更高,可支持安全策略(AES、DES、3DES和128bitSSL)。
退出宏
关闭会话窗口后,退出宏将注销每个用户。
3.2MPU2032(KVMoverIP和SerialoverIP接入层设备)
AvocentMergePointUnity交换机在单个设备中结合了KVMoverIP和串行控制台管理技术。
这项独特的结合为IT管理员提供了用于访问和控制服务器、网络设备及其他数据中心和分支办公室设备的完整远程管理解决方案。
MergePointUnity交换机直接与物理KVM、USB和串行端口进行安全的远程带外连接,加强了通常通过网络接口卡完成的IT设备带内管理。
这种统一的方法使得IT管理员能够更快速地诊断、重新配置或恢复设备,以符合服务水平协议和最大程度地减少停机时间。
产品特点
改善远程管理和提高员工效率
⏹通过串行配置和/或管理控制台减少了远程诊断/配置/修理/恢复服务器、网络设备和其他硬件所需的时间。
⏹配合带内工具可创造出更加完善的远程管理方案,便于远程访问服务器和网络设备。
⏹虚拟媒体功能实现了远程USB连接,可将CD-ROM和其他USB大容量存储设备直接映射到远程服务器以进行文件传输/复制、更新加载或新应用程序安装等。
⏹集成的串行设备支持可确保与MPUIQ-SRL模块相连设备的物理串行端口进行安全的SSH连接。
⏹Cisco®配置设置以电子模式连接到模块,无需任何额外的外部布线接头或特殊布线就能快速、直接地连接到Cisco配置端口。
提高物理安全性
⏹提供远程智能卡/CAC读卡器支持,可满足高级安全要求。
⏹通过MergePointUnity交换机的虚拟媒体功能,可将智能卡读卡器从台式PC映射到远程服务器。
⏹减少了物理进入数据中心进行本地访问和控制的需要。
⏹MergePointUnity交换机使得远程用户能够在任何地点以物理方式直接连接到服务器以及其他IT设备的KVM、USB和串行端口。
增强控制能力
⏹Avocent电源管理配电设备(PMPDU)可直接连接到两个专用电源控制端口中的一个,使得管理员能通过MergePointUnity交换机对正在访问的设备进行电源控制。
⏹远程访问与电源控制的集成使得管理员能在启动/关闭远程设备时立即看到结果。
⏹与DSView®3管理软件的无缝集成使得公司可以扩展MergePointUnity交换机的KVM和串行功能,从而为刀片、嵌入式服务处理器、虚拟服务器、第三方KVM设备及第三方电源产品提供支持。
⏹安装DSView3软件电源管理器后,还能查看详细的电源报告和电源消耗、容量及成本的历史趋势。
3.3ACS6016(SerialoverIP接入层设备)
Cyclades®ACS6000系列高级控制台服务器将尖端科技、自适应服务和安全企业通信融为一体,使IT专业人员与网络运营中心(NOC)工作人员能够从全球任何地点对IT资产执行安全的远程数据中心管理与带外管理。
CycladesACS6000控制台服务器采用加强的Linux®操作系统,可提供最佳的性能、安全性和可靠性。
CycladesACS6000还通过DSView3管理软件和集成电源提供完整的带外管理解决方案。
高性能设计和高级功能
CycladesACS6000系列高级控制台服务器具有已升级的高级功能,可为IT管理员提供可扩展的高性能解决方案。
CycladesACS6000控制台服务器具有一个高速处理器平台,带有两个千兆以太网冗余端口、一个可选的内置调制解调器和两个16位和32位网卡选项。
此外,还有一个用于监控设备级别的内部温度传感器和可配置的串行端口引出线。
CycladesACS6000系列还提供强大的软件功能,以满足最苛刻的数据中心管理应用的需求。
这些功能包括自动发现工具,可轻易识别连接至任何串行端口的服务器、路由器、交换机或PBX,从而节省初始配置与安装的时间。
为了遵守现行的数据中心网络访问策略,CycladesACS6000为安全管理提供多种自定义的访问级别。
CycladesACS6000控制台服务器具有高级控制台服务器功能,如增强的安全性、数据记录和事件监控等,为安全远程控制提供了完整的解决方案。
此外,ACS6000还支持下一代网络标准,如网际协议第6版(IPv6)。
CycladesACS6000控制台服务器提供适合1U支架空间的16、32和48端口型号,具有单、双交流和直流电源选项,还可能带有调制解调器,
有助于最大限度地提高IT资产生产率,同时提供可扩展性并降低运营成本。
产品特点
特性
优点
操作系统
嵌入式Linux
易访问性
带内(以太网)和带外(拨号调制解调器)支持
内置调制解调器连接
PC卡插槽支持允许使用其他访问接口,如调制解调器(v.92和ISDN)、以太网、高速以太网(光纤)和无线以太网(GSM、GPRS、UMTS和CDMA)
可用性
通过将千兆以太网端口用作二级端口实现自动以太网故障转移
双电源
内置调制解调器支持
USB端口选项允许存储或连接基于USB的PC卡
安全性
预设的安全配置文件—安全、中等和开放
自定义安全配置文件
X.509SSH证书支持
SSHv1和SSHv2
本地、RADIUS、TACACS+、LDAP/AD、NIS和Kerberos认证
双重认证技术(RSASecurID)
一次性密码(OTP)验证
本地备份用户身份验证支持
PAP/CHAP和可扩展身份验证协议(EAP)验证
群组身份验证
TACACS+、RADIUS和LDAP
端口访问
电源访问
装置权限
IP包和安全过滤
每个端口的用户访问列表
系统事件系统日志
具有NAT遍历支持的IPSec
IP转发支持
安全出厂默认值
强大的密码实施
控制台管理
Sun安全崩溃(SolarisReady认证)
Break-overSSH支持
离线数据缓冲—本地或远程(NFS/系统日志)
基于层的系统日志过滤器
数据缓冲时间戳和循环
无限数量的同步会话
同时访问同一端口(端口扫描)而且能自由切换
可配置的事件通知(电子邮件、寻呼、SNMP陷阱)
可自定义的全球时区支持
多种自定义的用户访问级别
端口访问
直接通过服务器名称或设备名称
CLI命令
同步Telnet和SSH访问
HTTP/HTTPS
系统管理
适用于首次用户的网络配置向导
用于自动部署的自动发现功能
命令行接口(CLI)
Web管理界面(HTTP/HTTPS)
SNMP
内置温度传感器
缆线
CAT5兼容适配器使布线工作更简单
升级
从FTP站点上免费升级
网络启动TFTP支持
其他可支持的协议
用于动态IP地址分配的DHCP
IPv6支持可实现更出色的部署灵活性
用于拨号的PPP
用于时间服务器同步的NTP
用于远程串行端口访问的RFC2217支持
4方案特点
Avocent解决方案不仅提供了对数据中心内服务器和网络设备的集中远程连接访问。
同时在统一管理、访问安全、可视化展示、容量管理和IT资产物理变更有以下特色。
Ø用户认证方式的多样化:
在不仅支持RADIUS、TACACS+、LDAP、AD、NTDomain等认证服务外,DSView3还支持RSA令牌的双因素认证机制,特别的DSView3还支持广泛应用于网络金融领域的基于X.509的U-Key认证方式。
Ø刀片服务器管理:
DSView3不再将刀片服务器作为一台简单的PC服务器看待,在DSView3的操作界面中刀片服务器作为一个独立的管理单元存在,其中的每个刀片作为管理对象存在。
因此每台刀片服务器中的每个刀片可以在不同的管理视图中进行分配。
Ø支持虚拟机的管理:
虚拟机的管理接口不再是物理端口,而是由虚拟服务器创建的虚拟层上提供的逻辑管理接口。
DSView3通过安装虚拟机插件可以获得对这些逻辑管理接口的控制,从而将虚拟机添加到DSView3的管理对象中。
Ø提供基于PSTN或ISDN备份链路:
针对网络设备的远程管理,DSView3提供了基于PSTN或ISDN备份链路。
在生产网路发生中断的情况下,DSView3服务器将自动启用预先配置的备份链路,保证运维人员依然能够远程连接并控制网络设备,从而在第一时间能够排除网络故障。
Ø可靠的系统稳定性:
单个DSView3系统最多可安装16台DSView3服务器来提供整个系统的服务。
16台服务器可以被分配到系统的不同网络位置,从而获得最大的系统稳定性。
多台DSView3服务器同时也能分担系统的管理任务。
用户可以选择任一台DSView3服务器作为系统服务的访问入口,他/她将得到完全一致的管理能力。
Ø图示化的报表:
DSView3不仅提供详尽的表格形式的日志报表,同时DSView3也提供图示化的访问、资产等信息,帮助IT运维人员更深入地了解系统的运作状态。
完全实现如下特性:
适用性:
用户部署操作的适用性
良好的人机界面,用户可定制的国际化语言支持(简/繁体中文)
支持1600*1200远端高分辨率
方便易用的向导式安装
基于用户的自定义视图(按机房位置;按系统类型;按设备厂商……)
设备需要支持对接入服务器的轮巡功能,对接入服务器的状态进行实时监控
……
用户管理的适用性
基于时间预定制的自动任务执行功能
备份、还原、复制设备配置
升级设备软件;生成各种报告
具备在线安全信息交互平台
支持中文
……
与第三方管理工具整合
整合带内访问软件:
RDP,VNC,SSH,Telnet,……
整合服务器厂商的管理工具
……
跨平台的管理工作
WEB方式HTTPS安全访问
Windows平台、Linux、Mac和SunSolaris
Firefox、Mozilla、Netscape、IE
……
可靠性:
系统的冗余特性
专用硬件和嵌入式软件系统,保证系统的稳定性和高性能
全冗余的硬件结构设计(双电源,双网口,……)
链路冗余(LOCAL,IP,PSTN)
……
有无单点故障隐患
模块化结构设计:
系统中的设备连接互为独立
可以通过web界面,对系统状态进行监控(硬件、应用、……)
安全性:
用户验证的安全性
用户的分权管理(KVM设备分权,管理目标设备的分权,访问时间限制)
系统设备的安全性
ACL与用户绑定
SYSLOG
SNMP
传输数据的安全性
所有访问控制信号:
包括键盘,鼠标和视频信号全部加密
所有虚拟媒体数据传输加密
加密方式:
128BitSSL、AES等
可维护性:
集中管理功能
对目标设备按属性和类别来定义策略
对用户组按功能权限来分类
按维护人员的职责
不同策略映射到不同的用户组
用户时间管理
……
系统对通用网管协议的支持
整合到网管平台,如:
HPOpenView等
自身的维护模式
保证系统维护时不受外界干扰
众多报告生成管理
用户访问事前审计功能
支持业界标准Syslog协议
审计跟踪、错误日至、访问报告、可用性报告、用户、设备、节点、端口等报告
……
可扩展性:
设备数量扩充
通过增加MPU和AV设备及端口可以对日后增加的服务器/网络设备进行管理,可以无缝整合至DSView集中管理平台
通过增加DSView,可以支持多服务器的冗余及负载均衡功能
使用功能扩充
通过增加第三方认证服务器系统,可以实现通过外部认证的方式进行认证和授权,例如常见的AD,RSA,Tacacs,Ldap,Radius等
……
4
成功案例
政府行业、教育行业、税务系统:
教育部、公安部、科技部、审计署、国家质检总局、文化部、航天部、中国科学院、新华社、中国国际广播电台、北京市政府、上海市政府、上海市公务网信息中心、深圳市政府、清华大学信息中心、人民大学信息中心、北京大学、西安交通大学信息中心、中国科技大学网络中心、南京大学信息中心、北京首都机场空管信息中心、北京财政局、中国公安部、总参、国税总局、江苏省国家税务局、宁波财税、南京市国家安全局信息中心、广州海关等
银行、电力公司:
中国银联、中国银行、中国农业银行、中国建设银行、工商银行总行、江苏省工商银行、浙江省工商银行、中银国际、扬州市工商银行、苏州市工商银行、华北电力、华东电力、华中电力、辽宁电力、黑龙江电力、吉林电力、河北电力、内蒙电力、山东电力、陕西电力、河南电力、陕西电力、山西电力、甘肃电力、宁夏电力、新疆电力、浙江电力、江苏电力、四川电力、湖北电力、重庆市电力公司、温州电力、嘉善电力、上海市电力公司、华电数据中心、大唐电力等
证券公司:
中信证券、中原证券、国泰君安、齐鲁证券、东方证券、南京市银河证券、新时代证券公司等
企业:
美国通用汽车、美国通用电气、YAHOO、华为、西门子、JUNIPER、SUN、NOKIA中国研发中心、SONY中国大陆区信息中心、LG南京信息中心、深圳腾讯科技(Tencent)、约克空调中国大陆区信息中心、上海大众信息中心等
电信公司:
北京电信公司、北京世纪互联、上海电信、江苏省电信公司、厦门市电信公司、广州市电信公司、深圳电信公司、四川省电信公司、沈阳电信公司、辽宁省电信公司、贵州凯里电信公司、绵阳市电信公司、温州市电信公司、陕西电信等
移动通讯:
江苏省移动公司、四川省移动公司、北京移动公司、广州移动公司、杭州移动公司、珠海市移动公司、河北移动、辽宁移动、山东移动、山西移动等
联通公司、网通公司:
江苏省江苏省联通公司、镇江市联通公司、浙江网通公司、重庆网通公司、四川省联通公司、河北网通、辽宁网通、北京网通、山东网通、山西网通等
升级会员 