KVM监控管理系统设计方案-精品

1 KVMKVM 监控管理系统设计方案监控管理系统设计方案 一一 系统概述系统概述 随着 KVM 技术的发展 机房 KVM 监控管理系统已经不再是键盘 鼠标和显 示器的简单延伸 机房 KVM 监控管理系统整合了现代机房管理的理念 为设备 管理 用户管理 用户操作控制及用户操作记录提供了全新的技术手段 已成 为现代机房管理的重要环节 现代企业和其分支机构对信息技术的依赖程度越来越高 其机房设备明显 表现出数量大 跨地域的特点 KVM 交换机单机工作模式已经不能满足现代企 业机房管理的需要 利用机房 KVM 监控管理系统对 KVM 交换机进行集群管理 可以应对机房设备及操作人员数量不断增加 机房设备种类日益多样化的复杂 局面 机房 KVM 监控管理系统可以提供 KVM 交换机不能具备的增值功能 A A 集中 安全地管理机房设备 集中 安全地管理机房设备 B B 统一的用户管理 用户权限分配 统一的用户管理 用户权限分配 C C 完整的用户访问记录 完整的用户访问记录 D D 完整的安全性架构 完整的安全性架构 二二 需求分析与需求分析与背景背景 某单位数据机房现状分析某单位数据机房现状分析 目前某单位机房的服务器与网络设备基本都是采用单机单点管理 随着信 息化 网络化的发展 计算机系统的规模 功能不断增强扩大 机房设备将不 断增加 需要更高的运行维护效率和科学合理严密的机房管理制度 A A 现状 现状 1 某单位机房目前需求为 30 多个操作点 服务器及网络设备 由于各 操作点都有着自己的维护界面 系统维护人员需要逐个进行维护和管理 2 2 目前的机房管理 基本使用传统的管理模式 日常维护中需要操作人员频繁的进出机房 键盘 鼠标和显示器等外部 I O 设备大量的占用机房空间 机房电磁环境也有害于操作人员身体健康 B B 依据目前的现状 某单位数据机房需要一个更高效 更集中 更智能化 依据目前的现状 某单位数据机房需要一个更高效 更集中 更智能化 的管理平台的管理平台 基于以上分析 为了更好的进行系统运行维护管理 迫切需要对机房管理 设备进行升级 以期能提供一套与目前机房设备规模相适应的更安全 更高效 的集中管理平台 为了满足目前大规模 跨地域 多种类 多用户的机房设备管 理需求 可以对机房设备及操作员进行集中统一管理 本机房 KVM 监控管理系统 可以满足前面所提出的管理需求 三三 机房机房 KVMKVM 监控管理系统设计方案监控管理系统设计方案 3 13 1 系统设计原则系统设计原则 系统兼顾成熟性与先进性 开放性和标准化 可扩充性 安全性与可靠性 实用性 适应用户实际应用环境 3 3 2 2 机房机房 KVMKVM 监控管理系统监控管理系统安全性设计安全性设计 完整的安全系统 需要综合考虑访问控制 数据传输 存储的安全及完整 性 事后审计三大要素 本方案根据用户使用的具体特点 对系统安全性进行 重点设计 对各种可能的安全性问题进行全面防范 3 2 13 2 1 访问控制的安全性设计访问控制的安全性设计 访问控制的安全性 在于防止非法用户对系统的入侵 机房 KVM 监控管理系 统通过以下技术手段来实现安全的访问控制 1 1 服务器证书 客户端个人证书双向认证 服务器证书 客户端个人证书双向认证 只有当服务器端 客户端互相认证 对 方的合法性 才能建立起正常联机 保证了系统的应用中免受第三方攻击 2 2 操作员分级权限管理 操作员分级权限管理 系统管理员 一般操作员使用不同的用户名及密码登 录系统 对系统管理员 一般操作员规定不同管理操作权限 一般操作员设备 3 操作权限由系统管理员分配 按照不同操作员职责设定不同的管理权限 遵循 权限最小 原则 进行访问控制 提高系统安全性 3 3 KVMKVM 接入安全网关及用户接入安全网关接入安全网关及用户接入安全网关 KVM 交换机与服务器 用户与服务器 之间都采用安全 加密通讯协议连接 屏蔽其它网络协议包 4 4 操作员 操作员 IPIP 限制限制 对操作员采用固定 IP 的方式 可以过滤掉网络中无关 IP 所 发出的 IP 包 限制网络中的试探行为 3 2 23 2 2 密文传输防范数据传输风险密文传输防范数据传输风险 数据密文传输 在于防止非法用户对网络数据流的窃听和分析 机房 KVM 监控管理系统通过以下技术手段来实现密文传输 采用 1024 2048 位 RSA 非对称算法 有效保证身份认证体系的安全性和会话 密钥传输的保密性 采用 MD5 摘要算法 保护数据传输过程的完整性 采用 128 bit AES 加密算法 符合国际商业安全标准 XML 采用 HTTPS 传输 数据采 用 SSL 隧道传输 3 2 33 2 3 安全日志记录和审计安全日志记录和审计 事后审计 可以对于机房设备操作过程及运行状态进行实时记录 为事后追 溯 查明事故发生原因 明确责任人的具体责任提供了技术手段 机房 KVM 监控管理系统通过以下技术手段来实现安全日志记录和审计 1 计算机屏幕图像同步存储与回放功能 采用图像及字符数据存储与回放技术 可以将操作员的所有操作图像都记录下来 在需要对操作过程进行监督和事后 追溯时回放 2 日志储存 管理 查询功能 将操作员的所有操作的相关要素 登录时间 登出时间 操作员号 访问设备 访问 IP 地址等 都记录下来 以备需要对操 作员进行监督时查询 3 报警及异常状态日志 受控设备宕机 掉电报警 4 上述功能使系统具备了事后审计的能力 记录和跟踪各种系统状态的变化 提 供对系统故意入侵行为的记录和危害系统安全的记录 实现对各种安全事故的 定位 监控和捕捉各种安全事件 2 2 42 2 4 减少机房人员进出 提高物理安全性减少机房人员进出 提高物理安全性 主机运行机房是核心部位之一 减少人员频繁进出 可以提高机房设备的物 理安全性 使用机房 KVM 监控管理系统使得操作员可以在机房外操作维护机房 设备 可以有效减少机房内人员流动 3 3 3 3 管理模式的整合与调整管理模式的整合与调整 机房 KVM 监控管理系统 为机房管理提供了新的技术手段 根据新的技术手 段对机房管理模式进行调整 可以提供一套与目前机房设备规模和安全性要求 相适应的高效 集中管理平台 完善机房管理制度 具体如下 3 3 13 3 1 全面集中管理 全面集中管理 随着机房设备规模的扩大 对机房管理提出了更高的要求 面对众多的机房 设备 仍采用一对一的方式 逐个控制和管理制约了机房管理水平的进一步提 高 集中管理包含两个层面的含义 1 用户的集中管理 所有用户按其任务或所在的科室进行分组管理 统一分配访问权限 统一 设定允许其接入的 IP 地址或 IP 地址段 统一进行证书管理 2 机房设备的集中管理 所有机房设备按其任务进行分组 以便按任务或科室进行设备管理 当用 户登录系统时 该用户所有有权访问的机房设备同时在单一的用户界面显示 方便用户在不同的机房设备之间切换 3 3 23 3 2 远程控制管理远程控制管理 5 机房 KVM 监控管理系统是基于网络的机房管理解决方案 IP 所到之处 即 可部署远程控制台 利用用户现有的网络体系 构建起远程控制系统 中心系 统管理人员在获得机房设备访问权后 即可远程访问机房设备 3 3 33 3 3 准确的过程管理准确的过程管理 目前机房管理制度 虽然对操作员行为进行了规范 但操作员是否按机房 管理制度进行操作 是否定期进行巡检 无法进行准确的监控和审核 利用机 房 KVM 监控管理系统 进行准确的过程管理 从而提高操作员责任心 落实机 房管理制度 基于上述管理技术手段 需要对目前机房管理模式进行整合和调整 除对机房 管理制度进行调整外 在技术层面上 在进行系统配置时应考虑兼顾系统可用 性及安全性 在用户及用户组 设备及设备组划分 权限分配上充分考虑管理 上的需求 在日志记录 图像存储设置上应与管理制度相适应 在 IP 信任域设 置上应兼顾系统安全性与访问的方便性 使系统发挥最大效益 3 43 4 方案方案描述描述 3 4 13 4 1 方案概述方案概述 依照某单位使用要求 设计为在机房安装机房 KVM 监控管理系统主服务器 及 KVM 交换机 实现全域认证服务和日志记录 主服务器中需安装 KVM 接入代 理 用户访问代理 用户管理和日志服务软件模块 实现该机房区域 KVM 接入 IP 用户接入和日志服务等功能 KVM 交换机通过主服务器形成集群 实现对全 域机房设备的统一管理和访问控制 3 4 23 4 2 方案实现方案实现 由于某单位数据机房操控设备约为 30 台左右 分布在同一机房区域 故采 用 EasyWay KVM 交换机组合配置予以接入 接入设备数 32 个 需安装 EasyWay 16 端口 KVM 交换机 2 台 另选用相应接口功能模块计 32 个即可 6 机房机房 KVMKVM 监控管理系统主服务器 监控管理系统主服务器 服务器配置根据设备及网络带宽情况 以按需配置原则 同时权衡用户投 资 可用性和扩展性 使用户在目前条件下以较小的投资 获得最大的使用效 率 在数据机房安装机房 KVM 监控管理系统主服务器 实现全域用户管理和日志服 务 机房内的服务器与网络设备 按就近接入原则 选择与其匹配的接口模块类型 与本机房内的 KVM 交换机连接 主服务器中安装 KVM 接入代理 用户访问代理 用户管理和日志服务软件 模块 全域用户管理和日志服务都集中于主服务器 所有用户的权限管理 证 书发放 日志存储与查询都由主服务器完成 主服务器安装软件模块 主服务器安装软件模块 ES AS 用户管理 ES LS 日志服务 ES KP KVM 接入代理 ES CP 用户访问代理 3 4 33 4 3 方案功能及特点方案功能及特点 全域访问能力 全域访问能力 远程 IP 用户可以位于任何有 OA 网络存在的地方 通过 TCP IP 登录控制所有服务器及网络设备 快捷切换方式 快捷切换方式 远程 IP 用户通过客户端界面操作 其所有有权访问的机房设备 完全列表在同一显示界面中 只需鼠标点击即可接入和控制任何一台机房设备 友好的用户界面 友好的用户界面 不论是本地控制台还是远程 IP 用户 均为全图形全中文界面 高度可管理性 高度可管理性 KVM 交换机 机房设备 用户集中统一管理 支持分组管理模 式 7 安全强度高 安全强度高 双向证书认证 用户分级权限管理 数据安全加密传输 日志审 计功能 图像存储与回放 构成完整的安全体系 可靠性 可靠性 在 KVM 交换机关机或出现故障时 接口模块具备断电保护功能 能保 证所连接的服务器及网络设备正常工作 更换 KVM 交换机非常方便 只需进行 IP 地址等少量配置即可 接口模块支持热拔插 即插即用 KVM 交换机为分布式安装 当机房 KVM 监控管理系统主服务器出现故障时 可 以很方便地将 KVM 交换机设置为单机模式 IP 用户可不通过主服务器直接登录 KVM 交换机访问控制服务器及网络设备 实用性 实用性 KVM 交换机 1U 标准可上机架式 支持包括 PS 2 SUN USB 服务器和 各种终端服务器及串口设备 VGA SVGA 显示器 最大分辨率本地端和 IP 端均 支持高达 1600 x1280 显示分辨率 支持多平台多系统 如 HP IBM SUN COMPAQ DELL 小型机 串口等硬件多平台的服务器 用户资源保护 用户资源保护 非介入式安装 不会占用被控制的服务器及网络设备的内存 CPU 等重要资源 利用原有 OA 网络 不会增加网络设备投资 不会占用业务网 络带宽 用户订制 用户订制 完全自主知识产权 可以按用户需求扩充功能 实现用户定制 系统通知 系统通知 系统管理员可以对关注的事件设定通知功能 当系统有相关事件生 成时 系统会以多种通知管理员 安装部署方便 安装部署方便 方案简洁 直观 实现规范化五类线布线 简化工