1、機房集中監控管理系統技術方案 北京方正奧德計算機系統有限公司目錄1.EASYWAY機房KVM集中監控管理系統簡介 (22.機房KVM集中監控管理系統建設目標 (63.EASYWAY機房KVM集中監控管理系統設計方案 (81.Easyway機房KVM集中監控管理系統簡介KVM是鍵盤(Keyboard、顯示器(Video、鼠標(Mouse的縮寫。KVM是通過恰當的鍵盤、鼠標和顯示器的配置,實現系統和網絡的高可管理性,提高管理人員的工作效率、節約機房面積,降低網絡服務器系統的總體擁有成本(TCO。KVM交換機的優勢表現在:提高效率、節省人力資源:由一套鍵盤、鼠標、顯示器組成的控制臺便可登陸所有的機器

2、,快速方便地在各種設備間切換,進行機器維護或排除機器故障,操作員不必親臨現場即可操作設備,節約人力資源,提高維護效率。更及時、更便捷地處理機房問題,提高機房設備的可用性。優化配置、更利于機房管理:減少了機房布線的復雜性,有利于機房設備的規劃和部署。用戶及設備管理,提升了機房整體的分析和管理能力,有效地保障機房的正常運行。降低機房人流量,提高了機房設備的安全性。節省空間及能耗:現代機房設備密度愈來愈高,使用KVM,可以免除不必要的外圍設備而節省空間,減少鍵盤、鼠標和顯示器的數量,為新增加的機房設備騰出大量的空間。同時也減少了由上述設備產生的能耗。遠程操控,改善操作人員工作環境,降低操作人員工作強

3、度:現代機房設備密度愈來愈高,導致機房內噪聲及電磁輻射增加。大量機房設備機架式安裝,使操作員不得不在狹小的機架縫隙中工作。使用KVM,操作員可在自己的辦公室內,透過IP對機房設備進行操作,大大改善了操作人員工作環境。Easyway 2008/2016:是具有自主知識產權的高端KVM交換機。 基本參數外形尺寸標準1U 機架式 規格 重量2.5kg (不帶受控端接口模塊 工作電壓100 240 V AC 電源頻率50 - 60 Hz 自動檢測 電源 功耗最大 40 W 端口數8(Easyway 2008/ 16(Easyway 2016 端口類型RJ45 支持接口類型 PS/2、USB 、RS23

4、2 顯示標準VGA 、SVGA 、XGA 、SXGA 、UXGA 最大分辨率1600 x 1200 受控設備連接端口 線纜類型CA T5 (保證圖像品質的線纜長度:100米,1024 x 768,60Hz 本地控制端口PS/2鼠標、PS/2鍵盤、VGA ;全中文GUI 圖形管理界面,支持中文輸入。 網絡端口Ethernet ; IEEE 802.3 10BaseT ;100BaseT 調制解調器端口RS-232 支持硬流控 其它端口 升級及管理端口RS-232其他參數數字用戶通道8通道高品質圖像傳輸,最高可達12通道 集中管理支持KVM 交換機集群管理,受控設備數量可無限擴展 支持網絡協議ht

5、tp ,telnet ,ppp ,snmp ,syslog ,ntp ,dhcp ,radius 故障告警宕機、掉電通知 軟件升級支持網絡升級、Console 端口升級 接口模塊固件升級支持熱拔插、即插即用、自動升級 數字用戶流量控制支持QoS ,支持低色階編碼,最低帶寬占用3KBbs 安全特性屏幕監控支持實時無損屏幕視圖記錄 用戶管理支持用戶創建及權限分配 防火墻標準訪問列表配置 日志記錄嵌入式數據庫日志系統 退出宏所有受控設備均可配置“退出宏” 數據加密64 bit 3DES 、MD5 登錄控制防止口令探測、支持用戶鎖定 第三方認證協議支持 操作特性虛媒體基于模塊的虛媒體功能,支持U 盤、

6、光盤、ISO 文件映射 支持全屏顯示數字用戶端支持全屏顯示 屏幕自動縮放數字用戶端支持屏幕自動縮放 受控設備縮略圖顯示受控設備運行狀態,點擊即可進入訪問 鼠標同步 支持絕對同步圖像:l業界首臺支持圖像存儲與回放技術的KVM交換機;l業界最高水平的12個遠程數字用戶(通道數:當多個遠程數字用戶同時操控不同的受控設備時,可保證至少8個遠程數字用戶高品質及低延時的圖像傳輸;l高效、無損圖像硬件編碼壓縮,16位真彩圖像采集,自適應顯示模式變化,保證屏幕圖像實時、無失真傳輸,最高分辨率可達1600X1200;l支持低色階圖像采集,滿足廣域網低帶寬應用需求,最低圖像帶寬需求僅為3K/S;l KVM交換機與

7、接口模塊采用CA T5電纜連接,圖像信號差分傳輸,完全保證100米內(分辨率1024X768,60Hz圖像信號品質;操控:l虛媒體功能:數字用戶可以將的光盤、U盤或ISO文件等介質,遠程映射到目標服務器;l業界首創本地用戶圖形界面:本地模擬用戶采用類Windows圖形(GUI管理界面,支持中文輸入法,比傳統的(OSD字符界面更加方便、快捷;l支持鼠標絕對同步,帶來更好的操作體驗;l數字用戶端圖像自動縮放,被控設備操作界面一目了然;l數字用戶端支持全屏顯示,遠程操作零距離;l全中文圖形管理界面,更適于中文用戶;l被控設備縮略圖顯示,操作界面更直觀;l從遠端控制受控設備至BIOS 級,操控無障礙;

8、網絡:l豐富的網絡協議支持:http,telnet,snmp,ppp,syslog,dhcp,ntp,radius,icmpl業界首先采用屏幕刷新自動降速功能:根據用戶屏幕變化情況及用戶操作特點,自動調整屏幕圖像采集策略及數據發送速度,在不影響用戶操作流暢性的同時,明顯降低網絡數據流量;l QoS服務質量控制:接入時不會影響主要業務數據流量;l非介入式設計、硬件級交換,與受控服務器及操作系統無關,不占用受控服務器資源,可獨立于受控設備單獨組網,不影響受控服務器主要業務并提高安全性;l支持modem撥號訪問,為網絡故障提供應急備份通道;安全:l單一IP端口單次連接實現所有服務:可以關閉其它易受攻

9、擊的端口,進行高強度的集中統一權限認證,防火墻配置更簡單;l用戶分級權限管理;l用戶帳號保護功能:防止對用戶帳號、密碼的試探行為。l支持第三方認證協議,方便進行管理整合;l基于防火墻技術的網絡訪問控制;l支持用戶退出宏定義,受控設備更安全;l受控服務器宕機、掉電自動告警:巡檢受控服務器工作狀態,發現異常狀態并及時告警。l嵌入式數據庫日志系統:業界首先采用嵌入式數據庫進行日志管理的KVM交換機,可按日期、用戶、時間等要素進行查詢,無需專門日志服務器存儲日志;l網絡數據傳輸采用64bit 3DES加密算法及MD5數據完整性驗證;l支持第三方事件管理:snmp trap,syslog;l獨立的受控設

10、備接口模塊,KVM交換機關機或發生故障時,不會影響受控設備正常工作;擴展:l支持多KVM交換機集群,連接受控設備數可無限擴展;l KVM交換機自動發現接口模塊,無需配置,即插即用,支持熱拔插;l多平臺支持:支持具有PS/2、Sun、USB接口的服務器;l支持VT100串行設備:路由器,網絡交換機,UNIX類服務器;l KVM交換機軟件升級:支持WEB及超級終端兩種升級方式,WEB升級方式是基于網絡的快速軟件升級方式,超級終端升級方式不依賴KVM交換機操作系統及網絡連接,即便網絡升級失敗,也不需要返廠維修;l業界首先采用接口模塊固件自動升級;l數字用戶端支持多KVM交換機連接,在無集中管理服務器

11、的條件下,實現單一用戶界面同時操作多臺KVM交換機;隨著KVM技術的發展,機房KVM監控管理系統已經不再是鍵盤、鼠標和顯示器的簡單延伸。機房KVM監控管理系統整合了現代機房管理的理念,為設備管理、用戶管理、用戶操作控制及用戶操作記錄提供了全新的技術手段,已成為現代機房管理的重要環節。現代企業和其分支機構對信息技術的依賴程度越來越高,其機房設備明顯表現出數量大、跨地域的特點。KVM交換機單機工作模式已經不能滿足現代企業機房管理的需要。利用機房KVM監控管理系統對KVM交換機進行集群管理,可以應對機房設備及操作人員數量不斷增加、機房設備種類日益多樣化的復雜局面。機房KVM監控管理系統可以提供KVM

12、交換機不能具備的增值功能:集中、安全地管理機房設備;統一的用戶管理,用戶權限分配;完整的用戶訪問記錄;完整的安全性架構。Easyway Server 5000:是機房KVM集中監控管理系統軟件(簡稱ES5000,集成了業界首創的KVM 圖像同步存儲與回放技術(KVM Replay,用統一管理、事后審計、證書服務、多種方式加密傳輸、KVM 集群代理等手段加強機房管理系統的安全性。對于非關鍵性任務機房,Easyway 2008/2016可以單獨使用,也可由數臺KVM組成集群,具有統一的用戶權限管理、系統設置和用戶界面。對于關鍵性任務機房,Easyway Server 5000 與Easyway 2

13、008/2016 組成機房KVM集中監控管理系統,除了保留KVM集群的原有功能外,還可實現以下增值功能:KVM圖像存儲、查詢和回放、用戶日志的存儲與查詢、KVM集群代理等。Easyway Server 5000機房KVM集中監控管理系統的特點:l【集中管理、設備和用戶統一分配授權】對所有操作人員進行集中權限管理,對操作人員進行安全的訪問控制,拒絕無權用戶的訪問。操作人員可以進行分組管理,按任務或分組管理操作人員權限。對所有服務器及網絡設備進行集中管理,不管這些設備的具體安裝位置如何,都能夠按其任務進行分組,按任務或分組進行設備管理。統一的系統管理界面,無論被管理的設備安裝位置如何分散,無論被管

14、理的設備為何種異構硬件平臺,無論被管理的設備為何種操作系統,操作人員都能在同一界面上很方便的進行切換。l【創新的KVM圖像同步存儲與回放技術】Easyway Server 5000采用業界首創的KVM圖像同步存儲與回放技術(KVM Replay。由于計算機屏幕圖像在分辨率、顏色質量上均高于一般視頻率圖像(如PAL,NTSC等,其采樣、壓縮、傳輸、存儲處理比一般視頻圖像需要更快的速度、更寬的帶寬和更大的容量。而視頻圖像又具有實時性要求,進一步增加了計算機屏幕圖像同步存儲與回放的困難。Easyway Server 5000采用獨特的壓縮、存儲技術,保證了計算機屏幕圖像的低失真實時存儲與回放。圖像數

15、據用數據庫進行存儲和管理,可以提高圖像數據的可靠性及索引的準確性,但同時帶來了圖像數據存儲及回放實時性較差的問題,Easyway Server 5000采用了雙緩沖技術,兼顧了數據可靠性與存取實時性的需求。l【靈活的服務器配置及架構】為保護用戶投資,Easyway Server 5000 將圖像服務、日志服務、證書服務、網絡服務集于一體,具有統一的管理界面。同時,也可以根據用戶實際需求及網絡結構特點,將上述任務分配到數臺服務器中,以均衡服務器負載。對于可靠性要求較高的用戶,可采用服務器雙機熱備份或雙機雙工模式,以提高系統可用性。l【基于安全的IP技術】Easyway Server 5000作為

16、KVM集群代理,采用了獨特的HTTP/HTTPS隧道技術,通過單一IP地址及端口的單次登錄,即可訪問KVM集群連接的所有設備,完成所有管理功能。當用戶透過防火墻訪問Easyway Server 5000時,只需在防火墻上打開HTTP或HTTPS端口,不用打開其它服務端口,提高了系統的安全性,節省了用戶的IP資源。更多擴展功能,全面保護用戶投資。2.機房KVM集中監控管理系統建設目標隨著機房設備規模的擴大,對機房管理提出了更高的要求。面對眾多的機房設備,仍采用一對一的方式,逐個控制和管理制約了機房管理水平的進一步提高,無論是從現實情況,還是考慮到未來的發展,機房設備都需要實現集中管理。集中管理包

17、含兩個層面的含義:所有用戶按其任務或所在的部門進行分組管理,統一分配訪問權限,統一設定允許其接入的IP地址或IP 地址段,統一進行證書管理。所有機房設備都能夠按其任務進行分組,以便按任務或部門進行設備管理。當用戶登錄系統時,該用戶所有有權訪問的機房設備能夠同時在單一的用戶界面顯示,方便用戶在不同的機房設備之間切換。在目前的管理模式中,參與管理的技術人員的訪問控制管理機制為傳統的單點單機用戶名及用戶密碼模式。此種訪問控制管理機制存在密碼易于泄漏,安全強度低的弱點。而在目前普遍采用的網絡登錄進行技術維護的模式中,其用戶名及用戶密碼都是不加密的明文傳輸。雖然是在內部網內傳輸,但安全隱患仍然不容忽視。

18、機房KVM監控管理系統通過以下技術手段來實現安全的訪問控制:l服務器證書、客戶端個人證書雙向認證。只有當服務器端、客戶端互相認證對方的合法性,才能建立起正常聯機,保證了系統的應用中免受第三方攻擊。l操作員分級權限管理。系統管理員、一般操作員使用不同的用戶名及密碼登錄系統,對系統管理員、一般操作員規定不同管理操作權限。一般操作員設備操作權限由系統管理員分配,按照不同操作員職責設定不同的管理權限,遵循“權限最小”原則,進行訪問控制,提高系統安全性。l操作員IP限制。對操作員采用固定IP的方式,可以過濾掉網絡中無關IP所發出的IP包,限制網絡中的試探行為。在目前的管理模式中,操作員在進行日常維護和故

19、障排除時,其操作過程沒有任何記錄。操作員是否按操作規程進行日常巡檢,是否有錯誤的操作,故障發生時設備的狀態及發生時間,都無法實現實時記錄,無法進行事后追溯。給查明事故發生原因、明確責任人的具體責任帶來了困難。機房KVM監控管理系統通過以下技術手段來實現安全日志記錄和審計:l計算機屏幕圖像同步存儲與回放功能。采用圖像及字符數據存儲與回放技術,可以將操作員的所有操作圖像都記錄下來,在需要對操作過程進行監督和事后追溯時回放。l日志儲存、管理、查詢功能。將操作員的所有操作的相關要素(登錄時間、登出時間、操作員號、訪問設備、訪問IP地址等都記錄下來,以備需要對操作員進行監督時查詢。上述功能使系統具備了事

20、后審計的能力:記錄和跟蹤各種系統狀態的變化;提供對系統故意入侵行為的記錄和危害系統安全的記錄;實現對各種安全事故的定位;監控和捕捉各種安全事件。2.2.3.密文傳輸防范數據傳輸風險:目前普遍采用網絡登錄進行技術維護,其上行(鍵盤數據和下行(顯示字符數據都是不加密的網絡明文傳輸,存在安全隱患。機房KVM監控管理系統通過以下技術手段來實現密文傳輸:采用1024/2048位RSA非對稱算法,有效保證身份認證體系的安全性和會話密鑰傳輸的保密性;采用MD5摘要算法,保護數據傳輸過程的完整性;采用128 bit AES加密算法,符合國際商業安全標準。XML 采用HTTPS傳輸;數據采用SSL隧道傳輸。內部

21、主機運行機房是核心部位之一,減少人員頻繁進出,可以提高機房設備的物理安全性。使用機房KVM集中監控管理系統使得操作員可以在機房外操作維護機房設備,可以有效減少機房內人員流動。二級單位地理位置分散,中心系統管理人員對二級單位的設備管理缺乏直接的遠程管理手段。另外,管理人員辦公地點和機房分別位于不同的樓層,也給管理和維護帶來不便。機房KVM監控管理系統是基于網絡的機房管理解決方案,IP所到之處,即可部署遠程控制臺,利用現有的網絡體系,可以很方便地構建起遠程控制系統。目前系統管理人員在很多時候扮演的是一個救火隊的角色。當分布在各地的網絡、服務器或者應用出現各種突發故障時,管理人員必須快速地發現并解決

22、問題。系統維護人員不得不以“問題驅動”的方式來開展工作:出現問題-解決-再出現問題-再解決。顯然,這種管理模式很難適應業務關鍵型任務要求,很難確保整個業務系統的服務品質。解決該類問題的途徑就是引入智能化的手段,從而能夠“主動”地監控管理系統。機房KVM集中監控管理系統可以定期主動監測各種系統的特征參數,根據預設的監控管理策略對情況做出判斷和處理。3.Easyway機房KVM集中監控管理系統設計方案對于用戶機房里的所有的服務器全部都可以接入到統一的機房KVM監控管理系統中。也可以根據實際需要選擇接入。網絡設備按具體應用需要選擇接入。由于部分網絡設備一旦配置完成后,在較長的時間內無需人工管理,同時

23、考慮到KVM接入的效費比,只將需要經常維護的網絡設備接入機房KVM監控管理系統即可。【系統兼顧成熟性與先進性】Easyway 2008/2016均為1個本地用戶和8個遠程用戶,對于Easyway的本地用戶和其他品牌KVM相比的最大特點是本地用戶界面我們也采用了與遠程用戶界面一致的GUI圖形界面,保證了操作界面的一致性;由于使用方式與模擬式KVM的使用方式是一致的,在此對本地用戶我們不再累述。Easyway 2008/2016分別可以連接8臺和16臺受控設備,由于均為8遠程用戶,那么用戶對于設備的操控比為1/1和1/2,操控比遠超過了其他數字式KVM的1/16,1/32或2/16,4/32或4/

24、64。因此Easyway KVM交換機特別適用于設備數量眾多,操作員數量眾多,而且多操作員頻繁同時訪問KVM對多臺設備進行操控的機房,例如金融、電信等行業的機房。【部署的靈活性和可擴充性】機房設備接入點按就近原則,連接距離最近或布線最容易的KVM交換機。根據就近連接的原則,盡量減少布線的工作量,合理安排EASYWAY KVM的分布。對于目前國內大多機房的實際情況,每臺機柜的設備數量不會太多,一般單臺16口的KVM端口數也就夠用了;而且在同一臺機柜中布置KVM電纜的便捷程度遠遠高于在整個機柜列中布置KVM電纜,即使我們將就近的多臺機柜中的設備接入同一臺KVM 交換機,其KVM電纜布置的效率和靈活

25、性也優于在整個機柜列中布置KVM電纜。當受控設備數量增加時,只需要相應增加KVM交換機和受控設備接口模塊,把連接好受控設備的KVM交換機接入KVM管理網絡即可實現新增設備的集中統一管理。因此Easyway KVM交換機的分布部署方式也極大的提高了受控設備部署及擴展的靈活性。Easyway Server 5000機房集中監控管理軟件,在配置滿足要求的任何一臺PC Server服務器上均可安裝運行,通過簡單的配置即可成為ES5000集中監控管理服務器。若由于集中監控管理服務器出現故障而導致的集中管理不可用,我們可以在另外一臺服務器上安裝軟件或通過改變KVM交換機的工作模式來解決。從而保證了對于受控

26、設備的遠程操控,而不會出現由于管理中心的故障而導致管理業務的中斷。因此ES5000機房KVM集中監控管理系統采用軟件的方式也增強了系統使用和部署的靈活性。同時ES5000軟件采用了模塊化設計,對于系統功能的擴展、升級,以及用戶功能的訂制非常靈活,極大的保障了用戶的投資。【開放性和標準化】EASYWAY KVM交換機支持模塊混接,即DIM-PS2、DIM-USB、DIM-USB-VM和DIM-SRL(串口模塊可以連接到同一臺EASYWAY KVM交換機上,若未按設備分類安放的機房,只需要選擇模塊類型,就近接入KVM交換機即可集中管理。【安全性與可靠性】整個系統采用了雙向加密數據傳輸,設備和用戶統

27、一分配授權,設備和用戶的分級權限管理,保障了數據傳輸和設備操控的安全性;日志儲存、管理、查詢功能,記錄和跟蹤各種系統狀態的變化,提供對系統故意入侵行為的記錄和危害系統安全的記錄,實現對各種安全事故的定位,監控和捕捉各種安全事件;屏幕視圖的存儲和回放功能主要實現對關鍵任務機房設備操控屏幕圖像進行實時記錄,為用戶提供屏幕視頻的完整錄像回放,實現完全的事后審計功能。Easyway 2008/2016 KVM交換機采用分布實施,將由于KVM交換機本身的硬件故障而造成的損失降到了最低。若單臺出現故障,不會影響系統中其他KVM的使用,至多就8臺或16臺受控設備暫時無法實現集中管理與遠程操控,而對于端口數比

28、較多的KVM,例如32口,64口的KVM,單臺故障會造成32或64臺受控設備無法操控。以16口和64口為例,對于64臺受控設備,64口的KVM需要1臺,16口的需要4臺,對于采用16口KVM的方案,故障率比采用64口KVM降低了75%,換句話說即可靠性提高了75%。因此對于受控設備數量巨大的機房,采用端口數相對較少,分布實施的KVM產品,雖然KVM 數量有所增加,但實際上是極大的提高了集中管理系統的可靠性。Easyway機房KVM集中監控管理系統利用用戶現有的網絡體系,將所有EASYWAY KVM交換機及安裝ES5000集中監控管理軟件而構成的集中監控管理服務器都接入局域網絡。在具有權限的前提下,只要網絡可達就可以方便的對機房設備進行集中管理和遠程操控。系統管理員不必再頻繁的進出嘈雜的現場或機房重地, 不必再奔走于機房內各種設備之間。系統管理員可以在另一棟大樓甚至另一座城市,通過網絡操控機房設備。基于IP,一切都變得輕松快捷。以下為數據中心的機房KVM集中監控管理系統拓撲圖:(參考特別說明：上圖中的“KVM