应用支持平台设计与建设课件

应用支持平台设计与建设商尔从,议题第一部分数据中心建设第二部分核心中间件技术IT整体构架数据中心建设目的数据中心的建立与学校的远景和战略目标一致整合关键IT资源在一个可控的环境中央管理环境，适应学校的发展打破部门边界，实现IT资源有效的集成、整合、优化、资源有效共享科研、教与学以及校务管理过程合理化提高工作效率、改善教学效果、促进科研快速发展有效地形成新的、健康的校园文化重大基础性工程和标志性工程数据中心用于放置关键核心计算资源的场所，支持关键应用是一系列服务及过程的集合需要依赖一系列策略的支持来源：CiscoEnterpriseDataCenterDesign数据中心服务来源：CiscoEnterpriseDataCenterDesign基础设施服务场地环境设施网络环境基础设施服务（续）

场地环境设施—场地规划建筑物楼层楼板承重运输装卸门窗要求基础设施服务（续）

场地环境设施—空调送风精密机房空调（主/备）下送风上回风/上送风上回风新风系统排风系统基础设施服务（续）

场地环境设施—供电两路供电UPS双机系统380v三相/220v单相供电电源插座，足够的数量380v三相工业插座220v单相工业插座（16A/32A）220v民用插座（10A/15A）基础设施服务（续）

场地环境设施—布局设计提高空调送风系统的效率“冷空气通道”—“热空气通道”间隔整洁、提高空间利用率使用机柜（Rack/OpenRack）方便工作有利安全机柜分区、分组放置机柜分组间留有工作及安全通道基础设施服务（续）

其他PDU(电源分配器)KVMSwitch工具标签基础设施文档ServerFarm服务主要提供服务器存放及托管IntranetServerFarmInternetServerFarmDMZServerFarm开放式网络（OpenedNetwork）ServerFarmExtranetServerFarmServerFarm服务（续）

核心服务器要求服务器硬件平台与操作系统所使用的技术是成熟可靠的，使用开放的标准良好的分区功能很好的稳定性，有高的RAS特性Reliability（可靠性）：减少故障，保障数据完整Availability（可用性）：持续访问系统与应用能力Serviceability（可服务性）：在线诊断，快速修复良好的负载管理功能良好的经济性和投资保护性ServerFarm服务（续）

目前拥有的服务器IBMp690两台共40xPower41.1GHzCPU,40GB内存SunFireE6900一台20xUSIV1.2GHzCPU,80GB内存SunFireV240/V210,DellPE6500,2560,1850超过20台HPCC64节点存储服务存储服务是数据中心的重要组成部分，存储服务是将主要的存储功能从服务器中分离开来，并使存储空间利用率有效提高，使存储分配策略更加灵活，从而实现数据的有效集中Gartner分析师RogerW.Cox：存储已经成为“IT基础设施的第三大支柱”。存储在设计与部署数据中心服务上，成为关键性的重要部分，它的重要性等同于核心计算与网络技术存储服务（续）存储服务（续）

CX600存储阵列每秒150,000次缓存I/O；1,300MB/秒的持续吞吐量微软WindowsNT®、Windows2000®、WindowsServer2003®、SunSolaris®、HP-UX、IBM、AIX、NetWare®、Linux®、SGI、Irix、TRU-64RAID级别RAID0RAID1RAID1/0RAID3RAID5每个驱动器都有独立的双FC-AL接口，运行速度为200MB/秒故障时可以从任一个存储处理器转移到两个光纤通道环路每个存储阵列最高达58.4TB支持36GB、73GB和146GB1英寸FC2硬盘和256GB、320GB1英寸ATA硬盘每个阵列支持240个硬盘存储管理：Navishere、SnapView、AccessLogix、PowerPathDELL/EMCDS-16B存储服务（续）

网络备份由磁带库、备份软件、备份服务器组成DELLPV136T，2个LTOUltrium2驱动器。每个LTO2native传输速度30MB/s，108GB/h，72个磁带槽位备份软件：VeritasNetBackupDataCenterBackupServer、NetBackupDataCenterSANMediaServer、NetBackupDataCenterOracleAgent、NetBackupDataCenterMSSQLAgent、NetBackupDataCenterLibrarySupport、NetBackupDataCenterSharedStorageOption存储服务（续）

网络备份安全服务交换机ACL防火墙CheckPointSecurePlatformNGwithApplicationIntelligence(R55)SmartDefence及报表模块2xDELLPE2650,1GbpsEthernetIDS核心中间件服务标识符管理/LDAP/认证/证书管理服务故障管理WhatsupNagios配置管理记帐管理freeRADIUS性能管理SolarwindsCacti/OpenNMS安全管理基础应用服务目录服务及目录集成服务门户服务Web服务邮件服务校务管理系统平台Oracle9i基础应用服务（续）

目录服务及目录集成服务IBMDirectoryServer(IDS)5.2提供标准的LDAP服务为门户、邮件、RADIUS等认证提供用户数据IBMDirectoryIntegrator(IDI)5基础应用服务（续）

目录服务及目录集成服务基础应用服务（续）

目录服务及目录集成服务装配线（AssemblyLines）Ora_to_IDS，用于将用户信息从Oracle数据库中导入到IDS中。基础应用服务（续）

目录服务及目录集成服务主要通过两个连接器来完成，Read_Oracle实现从Oracle数据库的相应视图中将用户数据读入内存变量，Write_IDS实现从读入的内存变量中将数据进行处理（通过VBScript或JavaScript来实现）基础应用服务（续）

门户服务IBMWebSpherePortalforMultiplatforms将所各种软件组件集成在一起，为教职工、学生提供基于个性化和协作性的门户网站基础应用服务（续）

门户服务基础应用服务（续）

门户服务基础应用服务（续）

门户服务数据中心服务面临的挑战数据中心面临各种技术上与IT策略上的挑战虚拟化后备与分布ILM（信息生命周期管理）开放（源码）操作系统/软件的挑战ITSM（IT服务管理）的挑战数据中心服务面临的挑战

虚拟化ServerFarm服务的服务器虚拟化分区技术虚拟机（仿真）技术存储服务的虚拟化SAN、NAS和iSCSI磁带、磁带驱动器和磁带库的虚拟应用服务的虚拟化集群技术SLB技术网格技术（Oracle10g、PlatformLSF）数据中心服务面临的挑战

后备与分布数据中心面临的风险基础设施故障（网络，通信，电力，空调，通风等）服务器硬件故障服务器操作系统及数据库崩溃人为事故（误操作、故意破坏、偷盗）火灾、大地震 建立后备支援中心制定DRP（灾难恢复计划），SHARE78Tier1-7数据中心服务面临的挑战

信息生命周期管理（ILM）是存储服务管理策略的重要组成部分随着时间的推移，信息的价值不断增长或减少对无价值信息需要归档删除信息释放空间信息分层存储管理数据中心服务面临的挑战

开放（源码）操作系统/软件的挑战开放源码的优势（成本低、用户群大）开放（源码）操作系统Linux(RHEL,CentOS等)Unix(FreeBSD,Solairs10)开放源码软件安全服务(m0n0wall,pfSense,mpd,openLDAP,freeRADIUS,Snort,A.C.I.D,SnortCenter,ClamAV,SpamAssassin,MailScanner)管理服务(Net-SNMP,Nagios,MGRG,Cacti,OpenNMS,NetDi,Webmin,LogWatch,Ethrape)基础应用(Bind,DHCP,Sendmail,OpenWebMail,Zimbra,Apache,Tomcat,JBoss,MySQL)数据中心服务未来的挑战

ITSM（IT服务管理）的挑战数据中心复杂的系统带来的挑战可提供的服务水平与用户的期望存在差异服务交付用户端的质量需要得到实际提高服务交付可用性要提高质量要持续降低运行的成本提高变化的灵活性和速度数据中心服务未来的挑战（续）

ITSM（IT服务管理）的挑战1980年代中英国商务部信息技术基础架构库(ITIL)BS15000，ISO/IEC20000-1标准数据中心服务未来的挑战（续）

ITSM（IT服务管理）的挑战服务交付（SERVICEDELIVERY）服务级别管理（ServiceLevelManagement）能力管理（CapacityManagement）持续性管理（ContinuityManagement）可用性管理（AvailabilityManagement）IT财务管理（ITFinancialManagement）数据中心服务未来的挑战（续）

ITSM（IT服务管理）的挑战服务支持（SERVICESUPPORT）配置管理（ConfigurationManagement）突发事件管理（IncidentManagement）问题管理（ProblemManagement）变更管理（ChangeManagement）服务台（Service/HelpDesk）发布管理（ReleaseManagement）安全风险分析（SecurityRiskAnalysisISO17799Standard）第二部分核心中间件技术发展校园中间件的意义中间件及核心中间件标识符管理认证服务目录服务授权服务证书与公共密钥基础设施发展校园中间件的意义是有效集中的要求促进数字化校园服务的标准化和协同化，防止出现相互冲突和不协调的标准借助于国际先进的技术、标准、管理策略，推进应用的发展中间件及核心中间件的地位

背景资料

关于Internet21996年10月1日，美国一些科研机构和34所大学代表在芝加哥聚会，提出开发新一代因特网，取名“Internet2”，以提供高速互联网服务的设想1997年9月，UCAID(UniversityCorporationforAdvancedInternetDevelopment)成立，以管理Internet2和帮助其他联合组织Internet2的建立不是为取代互联网，也不是为普通用户新建另一个网络，而是用于教育和科研背景资料

Internet2目前的发展Internet2联盟目前已经拥有207个大学，他们与企业和政府合作发展与部署先进的网络应用与技术，加速建立明天的InternetInternet2的三大发展目标：建立领先的用于国家研究机构的网络使革命性的Internet应用成为可能确保新的网络服务和应用在广阔的Internet机构的快速传输中间件及核心中间件（续）

中间件（Middleware）用于描述各种类型的工具和数据，这些工具和数据帮助应用程序使用网络化资源和服务。中间件的定义与分类详见RFC2768是基础设施与应用层之间一层，提供各种服务如：身份、认证、授权、目录和安全等“中间件是网络工程师和应用程序开发人员都不想做的工作”中间件及核心中间件（续）

中间件的重要性已形成企业IT基础设施与应用层之间的一层中间层的产生可有效阻止日益增加的应用程序数量核心数据和服务从不同的应用程序中转移到一个中央的公共环境中。这种中央服务供给利于应用程序的开发、服务的拓展、有助数据管理，并且提供全面的有效的运作中间件及核心中间件

高校中间件的特殊性高校在中间件的部署上存在独特的技术和政策问题技术问题包括教职工、学生的流动性，设备的多样性和众多的复杂应用需求政策问题包括数据的所有权、隐私问题核心中间件服务标识符（Identifiers）是真实世界主体与一组计算机可以识别数据相连接的字符串认证（Authentication）核实使用特定标识符的主体的真实性的过程目录（Directories）保存与身份相关的信息和数据的中央仓库。授权（Authorization）指的是被识别的个体或服务，当完全被认证后允许使用网络化的对象和资源进行特定工作证书（Certificates）及公共密钥基础设施（PKI），在几个重要的方面是与前面的4个核心中间件服务有关标识符管理

标识符的定义标识符（Identifier）是将真实世界映射为一组计算机可以识别名字或字符串的功能，以使不同的主体有不同的字串标识标识符映射（IdentifierMappings）功能是Internet2Middleware的最基础的组成部分一个真实世界主体可能是一个人、或物体（例如，打印机、文件或应用程序）、用户组或部门标识符管理（续）

标识符特性透明性，是否可读或用户友好，真实世界主体可否从标识符的值所识别持续性，标识符的生命周期，标识符是否永远分配给一个主体。再分配性是否一个现有的标识符值可以表示不同的主体和可撤消性是否一个现有的主体可以被分配一个不同的标识符值，或完全撤消标识符权威性，标识符的分配机构对标识符才具有权威性智能性，某些标识符是含有代表意义的子域扩展性，某些标识符可被扩展，它是另一个标识符的基础标识符管理（续）

标识符类型唯一标识符UniqueIdentifier/UID/UUID，UID是不可撤消和不可被重分配。它需要一个大的容量（最小32位）。所有其他的标识符应该直接或间接与UID相联系登录帐号(LoginAcct)/网络标识符(NetID)，透明、可被重新分配身份证号，不可重分配、不可撤消、不透明的标识符Email地址，通常是netid@<doamin>但有可能不是最后投递的地址，可以是Email别名，是有可再分配、可被撤消、透明特性标识符管理（续）

标识符类型管理系统/校园卡标识符，这主要包括人事管理系统中的职工号，及学生学籍管理系统中的学号。这两个标识符是由中央管理系统分配的以区分校园的“人口”，它是可以被再分配、很少被撤消、具有不透明性图书（馆）号，它用于借阅图书、进出图书馆，它可再分配、可被撤消，一般不需要透明性匿名（假名/笔名），在高等大学中需要有一种具有唯一性但不透明的标识符标识符管理（续）

标识符管理策略当一个主体只有一个标识符时情况是比较简单的，但往往一个主体拥有多个标识符主体的标识符之间的关系、标识符分配策略等会成为重要的问题在以往的校园网络应用中，每增加一个新的网络服务，都极有可能需要分配一个新的标识符标识符管理（续）

标识符管理策略标识符的作用域发布、获取、对应关系、使用范围标识符的操作问题建立消亡、重新分配、用户自行选择权标识符之间的相互关系标识符同步、其他的标识符的获取标识符管理（续）

标识符关联与映射标识符之间是有相互关系的通常当拥有某个特定标识符后，就可以获得其他的标识符理解标识符之间的关系是重要的，要了解标识符之间的关系，主要的途径是通过标识符映射的方法进行通常是建立一个标识符映射表，说明每个标识符相关特性，例如用途、透明性、持续性、使用规定、谁可以获得这个标识符认证服务认证核实使用特定标识符的主体的真实性的过程不同的应用使用不同的认证方式密码方式聪明卡、challenge-response（质询—回应）机制和公钥证书方式（PKI）图象辨认和生物测定方式认证服务（续）

认证的策略认证是安全的，是激活网络活动的基础服务检查密码是否容易被破解用户可以使用一定的方法恢复自己的帐号认证应该是可以被任何应用程序使用，以实施网络应用范围上的单点登录，使所有的用户及整个IT环境都得到好处认证的策略必须是有效的，不应该为系统或用户造成不便或带来负担可以被实施的，不可以被用户化（由用户自行选择其他的认证模式）认证系统间协调目录服务（续）

目录服务及其重要性目录是其他所有中间件服务运作关键目录可以包含关键的人、过程、资源、组的客户化信息将这些信息放在一个公共的存储区中，来自不同的地方的不同应用程序可以访问一致、全面的关键数据在未来技