机房集中远程带外管理系统.doc

株洲神农城项目数据中心 集中远程带外管理系统 方 案 2019 年 10 月 目 录 1项目概述项目概述.- 2 - 2方案设计方案设计.- 2 - 2.1方案设计思路 .- 2 - 2.2方案拓扑图： .- 3 - 2.3方案描述：.- 3 - 2.4方案配置清单 .- 4 - 2.5端口连接示意图 .- 5 - 3解决方案的功能解决方案的功能 .- 6 - 3.1集中远程管理： .- 6 - 3.2多应用带内管理： .- 7 - 3.3多平台带外管理： .- 7 - 3.4网管系统整合管理 .- 7 - 4解决方案的特点解决方案的特点 .- 8 - 4.1高稳定性：.- 8 - 4.2高安全性：.- 8 - 4.3可管理性：.- 9 - 4.4独有行业特色功能： .- 9 - 5带外管理系统方案价值带外管理系统方案价值 - 10 - 6方案方案产品介绍产品介绍 .- 11 - 6.1DOMINION KX2：.- 11 - 6.2DOMINION SX .- 12 - 6.3COMMAND CENTER： - 12 - 7 7公司介绍公司介绍及成功案例及成功案例- 13 - 7.1北京卓益达科技有限公司 .- 13 - 7.2成功案例.- 14 - 1 项目概述 根据我方与贵单位工程师的前期沟通，了解到贵单位数据中心由南区汇聚机房、南区 VIP 机房、南区 数据机房和北区汇聚机房四个机房组成，各区域机房设备部署情况如下：南区汇聚机房内有 12 台服务器， 2 台 S9303 华为交换机，2 台 S9306 华为交换机，1 台 AC6605-26-PWR-64AP 无线 AP 主机，1 台 AR0M0036BA00 路由器；南区 VIP 机房内有 7 台服务器，2 台 S9303 华为交换机，1 台 S2700 华为交换机； 南区数据机房内有 30 台服务器（暂定，后续可能会增加），2 台 S9312 华为交换机（交换机后续可能会增 加）；北区汇聚机房内有 10 台服务器，2 台 S9303 华为交换机，2 台 S9306 华为交换机，1 台 AC6605-26- PWR-64AP 华为无线 AP 主机，1 台 AR0M0036BA00 华为路由器（北区汇聚机房内服务器和交换机数量为暂定， 后续会有变动）。 随着业务量的持续增长,服务器、网络交换机和路由器等设备数量快速增长，仅仅依靠传统的管理手 段已经不能满足现在的管理要求，亟需建设一套“集中远程管理系统”。 本方案提供的“集中远程带外管理系统”充分考虑系统的实用性、可靠性和安全性，可以将整个数据 中心管理水平提升一个高度，最终实现数据中心管理的自动化、智能化及高效化。 2 方案设计 2.1 方案设计思路 2.1.1 数据机房部署带外应急接入设备 通过在数据机房内部署型号为 DKX/DSX 的专业带外应急接入设备负责将数据中心的网络、安全设备的 管理端口和服务器的 KVM 端口进行物理连接，并由带外应急接入设备提供基于 IP 的对所有网络、安全设 备 Console 端口及服务器的 KVM 端口的带外访问，再将所有带外应急接入设备连接到管理网络中从而组成 一张覆盖整个数据中心的远程集中控制系统（也可以通过在现有网络中通过交换设备进行 VLAN 划分或防 火墙分割等方式进行部署）。 2.1.2 被控设备端口复杂，构建统一接入标准 对网络设备的带外管理端口(Console)为 RS232 接口标准的异步串行端口。网络设备的 Console 端口 存在 9-pin、25-pin、RJ45、RJ11 等多种物理接口形式。带外应急接入设备 DSX 设备上的 RS232 接口形式 为 RJ-45，从而可以使用 CAT-5、CAT-5e、CAT-6 等专业线缆进行串口间通讯。带外应急接入设备 DSX 提供 到各种 RS232 物理接口的转换接头，从而可以配合所有网络设备的带外管理口(Console)。 对服务器的带外管理端口(KVM)为鼠标、键盘、显示器的服务器接口(PS/2 或 USB 接口)。带外应急接 入设备 DKX 设备提供了 RJ45 的接口类型，服务器通过 CIM 模块，实现将 KVM 接口转换为 RJ45 接口连接到 带外应急接入设备 DKX 上，从而实现对服务器的远程控制。 2.1.3 集中管理、统一部署 部署带外应急管理设备 CC，统一将数据机房内的带外应急接入设备 DKX/DSX 进行整合，实现了数据中 心机房的全局管理，通过带外应急管理设备 CC，可以实现用户的细粒度认证、授权、及访问控制。保障了 远程访问的安全性。 2.1.4 远程操控、远程维护 远程集中控制系统所提供的远程管理方式，将管理人员只能到现场进行业务操作及维护的工作方式得 到了彻底改善，只要是管理人员权限范围内，只需要通过本远程集中控制系统即可实现远程方便、快捷、 安全的登录操作。 2.2 方案拓扑图： 2.3 方案描述： 本方案设计的原则是安全的访问接入，日常的操作管理方便，快速的故障处理。能够帮助管理人员简 单、安全、高效的对各个区域现有的服务器、工控机、路由器和交换机等设备进行访问日常维护、进行故 障处理，实现被控设备的统一集中管控等。 接入层设备： 在各个区域机房中部署数字 KVM 交换机，管理数据中心内的所有具有 KVM 接口的服务器，通过 D2CIM- VUSB 将目标服务器的鼠标、键盘和显卡接口连接转换成 RJ45 信号连接到 KVM 交换机；部署数字串口交换 机管理机房内的所有串口设备（路由器、交换机、防火墙等），设备的 Console 口与数字串口交换机之间 直接通过 UTP5/6 类线连接。同时将各个区域机房内的数字 KVM 交换机和数字串口交换机均连接到 TCP/IP 网络与集中管理平台和远程管理终端通信，实现 OVER IP 的远程带外管理。 管理层设备： 部署 Command Center 集中管理各个区域机房内数字 KVM 交换机设备，Command Center 设备支持双机 冗余的部署方式，在主机房内部署集中管理设备作为各个区域机房内所有 KVM 设备的统一接入平台。当集 中管理平台设备无法连通时，可以直接登录各个区域机房内的数字 KVM 交换机和数字串口交换机进行访问。 2.4 方案配置清单 南区汇聚机房南区汇聚机房 设备名称设备名称设备描述设备描述数量数量单位单位 DKX2-416 KVM 交换机，4 远程数字用户，1 本地用户，16 通 道，1U，双电源，虚拟媒体功能 1台 DSXA-16-DLM串口交换机，16 通道，双交流电源，内置调制解 调器，双以太网口 1台 D2CIM-VUSB服务器接口模块，VGA 显示器，USB 键盘，支持 virtual media，绝对鼠标同步 16个 南区南区 VIP 机房机房 设备名称设备名称设备描述设备描述数量数量单位单位 DKX2-416 KVM 交换机，4 远程数字用户，1 本地用户，16 通 道，1U，双电源，虚拟媒体功能 1台 DSXA-16-DLM串口交换机，16 通道，双交流电源，内置调制解 调器，双以太网口 1台 D2CIM-VUSB服务器接口模块，VGA 显示器，USB 键盘，支持 virtual media，绝对鼠标同步 16个 南区数据机房南区数据机房 设备名称设备名称设备描述设备描述数量数量单位单位 DKX2-432 KVM 交换机，4 远程数字用户，1 本地用户，32 通 道，1U，双电源，虚拟媒体功能 1台 DSXA-16-DLM串口交换机，16 通道，双交流电源，内置调制解 调器，双以太网口 1台 D2CIM-VUSB服务器接口模块，VGA 显示器，USB 键盘，支持 virtual media，绝对鼠标同步 32个 北区汇聚机房北区汇聚机房 设备名称设备名称设备描述设备描述数量数量单位单位 DKX2-416 KVM 交换机，4 远程数字用户，1 本地用户，16 通 道，1U，双电源，虚拟媒体功能 1台 DSXA-16-DLM串口交换机，16 通道，双交流电源，内置调制解 调器，双以太网口 1台 D2CIM-VUSB服务器接口模块，VGA 显示器，USB 键盘，支持 virtual media，绝对鼠标同步 16个 CC-V1-128CommandCenter 集中认证安全网关，1U，企业级 (集群) 2台 2.5 端口连接示意图 2.5.1 服务器连接图： 2.5.2 串口连接图： 3 解决方案的功能 3.1 集中远程管理 ： 通过本系统可以实现应用系统的远程监控、操作及 BIOS 级别故障处理，提高了系统不间断运行时间。 并且可以实现多管理平台的统一，如下: 统一管理平台统一管理平台: :管理员通过登陆 Command Center，可以通过远程 KVM 系统将数据中心机房内的服务器、 工控机等各种类型、各种平台的设备进行统一平台管理。 统一管理操作界面统一管理操作界面: :所有用户都可以在统一的中文操作界面下，对数据中心机房内的服务器进行管理， 并且为用户提供中文等多种语言的操作界面。 统一的用户管理统一的用户管理: :所有需要登陆系统的用户，账户和密码统一经由 Command Center 进行管理，保证了 账户和密码的统一性，Command Center 支持本地认证及第三方认证方式，可以很好的保证用户账户和 口令的高安全性。 统一的登录地址统一的登录地址: :以往管理方式要通过输入不同设备的 IP 地址，远程带外管理系统为用户提供了统一 的 IP 登录地址，方便了管理员的操作。 统一的权限管理统一的权限管理: :通过 Command Center 进行统一的、精细化的权限管理，可以实现对每台设备按照部 门、设备类型、厂商等信息进行权限分配，是不同用户管理不同的设备 3.2 多应用带内管理 ： Raritan KVM 系统对服务器不仅可以支持带外管理，通过 Command Center 内置了带内管理终端，例如 常见的:RDP，Telnet，SSH，VNC;并且支持对远程管理卡的管理，例如:HP 的 Ilo/Rilo;IBM 的 RSA;Dell 的 DRAC;标准的 IPMI 等远程管理卡，保证了系统有很好的可靠性，和扩容能力。 3.3 多平台带外管理 ： Raritan KVM 系统可以对现在数据机房内常见的服务器 （Windows、Linux、Unix、Solaris、AIX、HMC）、串口设备（Switch、Router、Firewall、小型 机）进行 BIOS 级别的带外管理，实现远程的故障诊断、排除，使系统的可用性达到了 99。999%的要 求，并且可以实现对服务器的远程操作系统安装。 3.4 网管系统整合 管理 Raritan 带外管理系统可以与通用网管平台如:CA Unicenter 等无缝整合，实现对系统的状态监 控，实现网络层面的可管理性。并可以通过登陆网管平台查看网络设备及服务器的状态，当服务器遇 到问题时，通过右键点击故障设备，登陆 IT 运维管理系统，对故障设备进行 BIOS 级别的管理。 实际案例实际案例: :与原有与原有 IPIP 网络管理的整合网络管理的整合 4 解决方案的特点 4.1 高稳定性： 全系列产品纯硬件解决方案，使用成熟专用的软/硬件系统 (定制的 Linux 内核)，专用操作系统，保 证系统的高性能和稳定性；有别于软件解决方案，不依赖任何操作系统平台的服务器，具有专用的系 统优化核心，免维护和减少病毒侵害。 “数字 KVM 交换机”双电源、双千兆以太网口自动冗余，并有 modem 口备份；集中管控产品 CC-SG 双 硬盘并支持双机冗余，最大程度提高稳定性。 所有设备可全功能单机工作，即使在数字 KVM 认证管理平台 CC-SG 宕机情况下也完全不影响对机房设 备的管控。 4.2 高安全性： 增强型密码的设置，支持强密码功能以及账号锁定策略，防止诱探攻击。 支持外部通用验证体系：LDAP, AD, RADIUS，TACACS+并且支持外部认证故障的自动转移功能。 Raritan 系统设备都支持基于 IP ACL，并且还支持基于用户组名和 IP 地址的绑定功能,同时支持基于 时间限制的策略机制。 所有信号都支持加密传输，支持 RC4、3DES、AES 等多种加密方式。 虚拟媒体功能：支持本地硬盘、本地/远程 ISO 文件、内置/外置移动硬盘/U 盘/CD/DVD 等。根据调查， 最实用的的媒体是本地硬盘。一般的管理员如果下载了补丁存放到本地，就会直接通过该功能传到被 控服务器，而不是找一个外置移动硬盘，将补丁复制到移动硬盘再虚拟到被控服务器。 4.3 可管理性： 集中管控系统可灵活分配用户权限，可根据服务器属性灵活定义策略，并支持时间管理。 支持每日消息和自定义徽标。管理员可以在登陆时看到用户的企业 Logo，并在登陆成功后看到领导的 最新批示。 支持访问同一台设备的管理员间中文对话，共同探讨解决服务器维护难题。 4.4 独有行业特色功能： 长距离布线支持：服务器与数字 KVM 产品之间距离可达 45 米，在大机房中尤其关键，可方便布线的 灵活性。 单设备支持对刀片服务器的管理，业内独有的 DPA 模式与第三方系统整合 轮询功能：单台设备支持对多管理设备的轮询操作功能，方便管理员实时监控被管理服务器的状态。 操作宏功能：登录和退出设备均对设备发送相应指令，保证服务器的安全性，处于锁屏状态，防止非 法用户操作 高分辨率：支持服务器远程分辨率可达 1600*1200，同时支持高清 1920*1080 的分辨率，针对宽屏服 务器显示支持 1680*1050 的分辨率，大范围的视频分辨率支持可不用调节服务器的分辨率而显示更多 设备的图像。满足用户的广泛的服务器管理需求。 5 带外管理系统方案价值 带外运维管理系统方案，既适用于 IT 设备相对集中的数据中心，也适用于分布式网络结构的企事业 单位。借助于 Raritan 带外运维管理系统方案，用户可以对各地数据中心内各种应用的设备进行集中监控、 统一管理和分权维护。 利用数据中心可视化管理系统建立一套集网络集中监控、事故预警、管理、维护功能于一体的高效专 用运维管理及监控系统，在网络故障或中断时通过带外管理通道对网络进行管理和维护，从而无需网 络管理员到现场对网络设备进行直接干预； 有效的降低用户网络运营成本、提高网络运营效率和服务质量、把由于网络设备宕机或故障造成的损 失降到最低； 远程现场级解决方案：真正实现缩短故障处理时间，最大程度减少损失，成为网络维护最后一道防线。 与已有系统兼容，并无缝继承：可以将带外网管添加进已有的数据网管系统（SNMP），也可以将带外 网管添加到 IT 运行平台（API）。 维护操作简易，界面清晰：经过认证授权，不同维护人员主管职权内的设备。 降低厂家服务费用：由于绝大部分故障处理和软件升版的操作，可以集中进行，降低了厂家技术支持 的频次，因此降低服务费 6 方案产品介绍 6.1 DOMINION KX2： Raritan 的新一代 KVM-over-IP 产品 Dominion KX2，是具有多系统管理员用户的理想单机架解决方案。 产品可提供服务器的 BIOS 级访问和控制。产品可以独立工作，或是与 Raritan 的 Command Center 集中管 理设备同时工作。 Dominion KX2 提供行业最高的 19201080 视频分辨率。通过 Universal Virtual Media (通用虚拟 媒体)功能，可实现远程软件安装、文件传输及备份功能。采用 128 位 SSL AES 或 RC4 加密，以保定安全 接通。DKX2 采用了绝对鼠标同步技术，具有行业内最为严密的鼠标响应性，缩短安装时间。通过选用远 程电源设备，产品可控制服务器的电源连接。具有自动故障切换功能的双电源及双千兆位以太网端口均为 标准特点。统一的基于浏览器的用户界面 Virtual KVM Desktop支持行业使用的最宽范围的操作系统及浏 览器。同时通过采用了业内首例基于浏览器的本地端口，可实现高生产率的“机架边”访问功能。 Dominion KX2 解决方案由 KVM-over-IP 交换机和服务器接口模块(CIM)组成。CIM 连接至服务器的 KVM 端口，而且使用 UTP(Cat5/5e/6)网线连接，距离切换器最远可达 45 米。CIM 还提供了保持有效的键盘 鼠标仿真功能。 设备具有以下各种功能设备具有以下各种功能: : 虚拟媒体 128 位 AES 或 RC4 加密功能; 带故障自动切换的双电源及双千兆位以太网端口; 系统日志; 与 RSA、LDAP、Radius 及 Active Directory 验证的集成; 产品特性：产品特性： 全接口支持：PS/2；USB；SUN；HD15；DVI 最高可靠性：全系列支持双电源；双千兆网络接口；多链路访问 最强安全性：高安全的用户认证；传输的高级别机密；全面的日志管理 最佳易用性：本地及远程访问全部采用浏览器方式访问；鼠标智能同步功能 先进技术性：全系列支持多用途虚拟媒体功能；远程访问最高 1600*1200 的分辨率支持(宽屏为 1680*1050)；高清支持 1920*1080 高分辨率，单设备支持对刀片服务器的管理；业内独有的 DPA 模式与第 三方系统整合。 6.2 DOMINION SX Dominion SX 是一款安全的串口控制台设备，通过 Telnet/SSH/Web 等方式进行远程登录，管理数据 中心内的串口服务器、小型机、网络设备、安全设备等具有串口管理接口的设备，支持以下类型设备： 服务器及无头（Headless）服务器：Sun Solaris；Sun Cobalt；HP-UX, UNIX；Linux 服务 器；IBM/AIX 服务器；Windows 2003 服务器 WAN 设备：ISDN 终端适配器；通道汇接排；CSU/DSU,PBS/PABX 网络设备：路由器；交换机以太网交换机；以太网防火墙 电源控制：所有串行控制的电源板及 UPS。 产品特性：产品特性： 全终端支持：VT100；VT220；VT320；VT400；VT500；ANSI 最强可靠性：双电源；双网络接口；内置 Modem 接口提供了强大的可靠性保障 最高安全性：高安全的用户认证；传输的高级别机密；内置 IP-Tables 防火墙；全面的操作行为 记录 最佳易用性：多用户协同处理；高缓冲的端口存储记录 先进技术性：端口关键字及状态告警；DPA 模式与第三方系统整合 广泛产品线：从 4 端口至 48 端口各种接口数量的选择 6.3 COMMAND CENTER： Raritan 的 Command Center Secure Gateway 为 IT 基础架构提供整合、安全和简易的 BIOS 层级访问 和远程访问。它具备经济有效的购买，通过减少多次搜索与轮询从而有效管理和维护额外访问端口。 通过单一的访问端口提供一个整合画面，Command Center Secure Gateway 使企业能够随时随地对系 统运行状况和安全漏洞进行前瞻性监控和管理、排除故障以及进行访问和修复。这样大大简化和加快工作 流程，从而延长了正常工作的时间并提高了员工工作效率。 坚固的安全性坚固的安全性 外置验证支持包括 Active Directory (AD)、LDAP、RADIUS，以及 TACACS+ 高可用度高可用度 以硬件为基础且具冗余备份特色和群集能力 简易管理简易管理 预先加载的 Firmware 可用性可用性 通过 VPN、广域网络或局域网络，单次登录及单一 IP 地址 浏览及报告浏览及报告 多重浏览过滤和进阶报告，可自定义、以策略为基础的浏览，允许安全及简易的访问。在共同规章认 证工作内的报告和浏览追踪协助。 具扩充性及灵活性的访问具扩充性及灵活性的访问 与 Raritan 的 Dominion系列、Paragon系列、IP-Reach系列、HP 的 iLO/RILOE、IPMI Power、RDP、VNC 及 SSH 兼容，支持对 Dominion 设备的寻找、组态设定、Firmware 升级、监督及访问。 因此可以为所有重要设备提供一个单一、可扩充、高效率且成本经济的管理网络。 可订制的计划任务可订制的计划任务 可以对计划任务进行创建，自动完成定制的操作 7 公司介绍 及成功案例 7.1 北京卓益达