K3Hr网络规划说明.doc

K/3Hr网络规划V1.0人力资源系统网络规划(试行)随着K/3人力资源系统在企业的广泛应用，常常在部署规划设计系统服务器、网络结构、客户端计算机、网络安全保障等遇到不少的困难，甚至导致系统应用无法让客户接受。本章节阐述K/3人力资源系统(简称HR系统)，针对不同客户应用场景需求，提供网络规划和系统部署的参考方法。人力资源系统技术架构HR使用的是典型的Windows DNA三层体系结构，主要支持B/S工作模式，其中系统管理员可能用到C/S结构（报表管理和系统管理）。应用特点与K3 Web版本基本类似。相比K/3网络部署，HR的Web服务器部署实施简单（没有诸如组件负载均衡应用模式，仅考虑网络负载平衡NLB） 常见的K/3 HR网络结构方案一、 经济部署方案（Scale In one）经济方案，允许客户将所有的服务都安装在一台服务器上，这种形式称为Scale In（向内扩展）。该方案在一台服务器上实现三层结构的全部工作过程。二、 标准部署方案（Scale Out Tier 3）当K/3 HR应用在一台服务器上不能满足，可以考虑将数据库服务器与HR 服务器分别部署在两台不同的服务器，这种形式称为Scale Out（向外扩展）。三、 网络负载平衡应用方案（Network Loading Balance）当客户业务需求在进行了三层结构分解以后，HR服务器、数据库服务器依然无法达到性能负荷要求时，建议采用下列方式进行横向扩展。HR服务器：采用网络负载平衡NLB。数据库服务器：采用“主动到主动”群集应用模式、新增CPU、内存。网络安全监控随着计算机病毒不断变种和蔓延，其危害程度也越来越高，那么，如何保障系统安全，一般考虑几个主要因素：1、 操作系统安全该内容复杂，属于网络系统管理员了解内容，一般人员仅了解即可。 Windows 2000安全补丁（SP ）。 AD域控制器及成员服务器组策略设置、安全模板选择。 IPSec（IP安全策略，例如，数据库服务器仅允许某IP进行访问，防止非法访问）。（可选项） 数据库服务器IP地址对客户端不可见，特殊岗位可采用路由或VPN连接。（可选项）2、 防火墙管理防火墙应用目的：设置策略，授权控制访问，诸如：IP地址、端口、网站等等；发布局域网应用（FTP、MAILServer、Web应用、局域网服务器应用程序端口）至Internet。例如，金蝶财务集中式应用中终端服务应用软件Citrix，就采用ISA2000防火墙进行发布，而不是将Citrix(K/3 GUI)服务器直接暴露在互联网招致攻击。 应用场景：数据库服务器完全受防火墙保护、HR服务器仅发布80等端口。特别说明：防火墙目前市面上流行很多，防火墙性能高低直接影响K/3 HR，其系统策略复杂程度均会影响网络传输。特别是K/3 HR大量并发用户应用，数据库与HR服务器之间的有效带宽达到100M，甚至更高达1G。所以，在部署防火墙的同时，要求同步考虑防火墙策略是合适，必要时，建议将HR服务器与数据库之间同属防火墙保护范围之内。3、 建立SSL安全机制（可选）IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证，就是通过SSL（Security Socket Layer）安全机制使用数字证书。 建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https:/ ，而不是http:/ 。 简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的，这点危害在一些企业内部网络中比较大，对于使用HUB的企业内网来说简直就是没有任何安全可讲，因为任何人都可以在一台电脑上看到其他人在网络中的活动，对于使用交换机来组网的网络来说，安全威胁性要小很多。 所以，对安全性要求较高的企业，全面加密整个网络传输隧道的确是个很好的安全措施。9四、 方案特性比较表：网络模型方案特性适用范围优点缺点经济部署方案Scale In one硬件投资成本最小；服务器内部通讯速度最快(系统内部总线处理速度)； 维护最简单；服务器在物理上对客户端是可见的，不符合高安全性的要求；硬件负荷能力较小，并发用户数量有限；业务扩展的时候需要升级服务器或者考虑使用其它的解决方案。许可协议较少；并发操作用户数量不多；小规模企业应用。标准部署方案Scale Out- Tier 3硬件投资成本最有效，可以针对HR服务、数据库服务不同的需求选用最适用的服务器硬件；数据库与客户端隔离，最大程度保护客户的数据安全；支持较多并发用户操作需求；性能价格比最优的方案形式。负荷能力高于单机方案，但是面对复杂业务的高强度处理仍然无法实现智能负载分布；对性能要求苛刻的高端客户来说，本方案仍未达到高可用性的标准。许可协议较多；并发用户100左右；中小型企业应用；是目前K/3Hr应用较为普遍的网络模型。网络负载平衡应用方案Network Loading Balance数据库与客户端隔离，最大程度保护客户的数据安全；数据库采用Fail-Over Cluster，在单台数据库出现故障的时候不影响整体系统的运行；三层结构下逻辑结构分布清晰，系统整体运行效率高；在投资许可的条件下对业务压力的支持和并发用户操作的数量几乎没有限制；该方案设计灵活，费用虽然较高但仍可以得到严格的控制，客户可以在进行评估后对群集服务器的性能规格数量进行有效测算，从而给出比较精确的方案预算；是所有方案中性能最优的一种。成本费用较高；群集方案在项目后期需要客户具备专业的管理人员进行管理维护。许可协议较多；并发用户数量大；高端客户业务；需要客户有足够的服务器接入带宽支持。网络服务器配比五、 HR用户服务器配置简易参照表操作系统及应用软件Windows 2000/Windows 2003SP4 或其他安全补丁 / SQL 2000 Enterprisr+SP3a/K/3 HR由于K/3HR系统是构建在V FrameWork上的系统，建议HR服务器采用Windows 2003 EnterpriseHR服务器配置要求HR服务器与K/3工业网络部署方法有一定的差异，一个集团企业应用K/3账套可以有多个，而人力资源系统只有一个，故系统压力来自两方向：数据库瓶颈、HR本身Web服务瓶颈。如果此时数据库存在压力瓶颈时，即使再升级Web服务器或部署成网络负载平衡时，其性能也不会有明显改善，这是部署K/3 HR与K/3工业网络较大差别的地方。但从压力测试来看，HR系统的数据库压力并不大，不会成为系统应用的瓶颈，而且随着64位数据库服务器的成熟，数据库的性能是有保证的。最大服务器数（静态部署或网络负载平衡）：3台最大并发用户数：8001000网络部署模式建议1-20许可协议经济部署Scale In One，条件允许最好使用标准部署方案20-500许可协议标准部署方案(Scale Out Tier 3)500以上的许可协议网络负载均衡应用方案（Network Loading Balance），也可选择性能较好的标准部署方案，由标准部署方案可以很轻松的升级为网络负载均衡应用方案HR服务器配置120许可协议双路1G CPU1GB MEM双网卡（100M）20-500许可协议双路12.4G CPU12.4GB MEM双网卡（100M）500以上的许可协议双路2.4G以上 CPU2.4GB以上 MEM，CPU随着应用的增加可扩展到4路，即服务器可由2路扩展为4路双网卡（100M，链接广域网的网卡建议为1G）数据库服务器配置120许可协议双路1G CPU 1G MEM单网卡（100M）磁盘阵列柜（可选）20-500许可协议双路12.4G CPU 12.4G MEM单网卡（100M）(如果选择数据库群集则要求双网卡)磁盘阵列柜（可选）500以上的许可协议双路2G.4以上 CPU ，可扩展到4路2.4G以上 MEM单网卡（100M）(如果选择数据库群集则要求双网卡)磁盘阵列柜（可选） 网络设计和部署遵循原则：网络类别设计要求备注局域网1. 数据库 / HR服务器设置在同一子网2. 客户端 / HR服务器带宽80K(有效带宽)3. 数据库 /HR服务器带宽100Ma) 数据库与客户端不同属于一个子网，仅对HR服务器可见（出于安全考虑）;b) 交换机建议支持1G接入（集团应用并发用户大于500）局域网网络带宽一般不会成为性能瓶颈引入ISA2000防火墙4. 高级应用：二级缓存、减少HR压力a) 引入ISA 2000防火墙功能：发布HR Web服务；最大优点：利用ISA缓存特点，减少对HR服务器压力5. 远程客户端启用ISA 2000，并启用代理服务功能。引入ISA 2000防火墙，一方面增进系统安全，更重要提升整个系统综合应用功能。广域网1. HR服务器 / 数据库服务器部署在同一个子网里；2. HR服务器/ 数据库带宽100M；3. HR系统虽然可以很好地运行在低速网络或者广域网络环境，但建议在大并发用户情形下，采用ISA防火墙缓存特征能提升客户端访问速度。4. 客户端有效访问带宽在80K（独占/有效）以上。5. 极端的低速访问条件下（小于56K，例如Modem 只有56K），可以考虑使用远程终端访问的形式，例如微软或者Citrix解决方案。a) 说明：在低速带宽情形下，一台Citrix服务器可以提供HR 浏览器在线用户是非常高的，例如一台双CPU，2GB内存服务器，可以提供150个在线用户使用，其效果犹如在局域网使用，并且支持真彩、打印等功能。6. 提升广域网的带宽一般会明显提高系统的性能1. 网络带宽的不足往往成为系统的性能瓶颈关键。2. 如何管理好网络，是广域网运行良好的关键所在。启用QoS网络服务等有助于提升网络性能指标。广域网远程连接方式DDN帧中继ATMISDNPSTNVPN via ChinaNetADSL城域网低速率带宽应用解决方案客户端HR服务器带宽=56K，则采用Citrix远程管理应用软件。一个Citrix服务端可供150个左右HR 用户使用。应用案例总部（数据库+HR系统服务）与远程客户端连接为512K帧中继。按照每个客户端有效带宽80K标准，则：这种网络可以承担并发用户数量约1020个HR 用户直接连接使用。广域网共享环境：总部与分公司的通讯带宽为256K，除了K/3以外，还运行着其他业务，有限带宽资源下的网络争用导致HR速度极不稳定。解决办法：通过带宽质量管理软件，保证带宽的65%用于HR业务，系统运行效果大为改观。附录应用案例：一、某KX集团采用金蝶HR人力资源管理系统，其系统应用简化要求如下：l 集团参与HR系统人数3000，许可协议占人数20%30%，约600900个，主要是个人工作台和经理人平台；l 集团总部人数：300人，其他分支机构人数占90%；l 数据中心：n 数据库：u 数据库群集；u 2CPU（支持4路），4GB内存；u 三网卡(1G, 其中2网卡使用Intel PRO Adapter Administrator Tools 创建虚拟网卡，实现冗余目的，接入1G交换机)。n HR服务器u 2台HR服务器，创建Network Loading Balance（网络负载平衡）；u 2路2.0G CPU(支持4路)，2GB内存；u 双网卡，100M，创建虚拟网卡和群集IP。n ISA 2000防火墙，Internet 带宽：100M共享。l 分支机构，采用ISA2000代理服务器或其他代理服务器软件n 10M城域网，机构人数约200人；并发人数约40人。n ADSL上网，机构平均人数约50人；并发人数约10人。二、系统应用状况描述：l 约定：n 客户端与HR服务器有效带宽80K， 也就是说下载HRr服务器文件速度能够达到10Kbps。l 可接受时间n 系统服务管理：5秒内日常业务，20秒内报表处理等稀少操作，5分钟内特殊操作（如账套备份等等），建议避免客户端应用高峰操作诸如账套备份等消耗系统大量资源的操作处理；n 普通客户端日常