机房集中监控管理系统技术方案

1、机房集中监控管理系统技术方案 北京方正奥德计算机系统有限公司目录1.EASYWAY机房KVM集中监控管理系统简介 (22.机房KVM集中监控管理系统建设目标 (63.EASYWAY机房KVM集中监控管理系统设计方案 (81.Easyway机房KVM集中监控管理系统简介KVM是键盘(Keyboard、显示器(Video、鼠标(Mouse的缩写。KVM是通过恰当的键盘、鼠标和显示器的配置,实现系统和网络的高可管理性,提高管理人员的工作效率、节约机房面积,降低网络服务器系统的总体拥有成本(TCO。KVM交换机的优势表现在:提高效率、节省人力资源:由一套键盘、鼠标、显示器组成的控制台便可登陆所有的机器

2、,快速方便地在各种设备间切换,进行机器维护或排除机器故障,操作员不必亲临现场即可操作设备,节约人力资源,提高维护效率。更及时、更便捷地处理机房问题,提高机房设备的可用性。优化配置、更利于机房管理:减少了机房布线的复杂性,有利于机房设备的规划和部署。用户及设备管理,提升了机房整体的分析和管理能力,有效地保障机房的正常运行。降低机房人流量,提高了机房设备的安全性。节省空间及能耗:现代机房设备密度愈来愈高,使用KVM,可以免除不必要的外围设备而节省空间,减少键盘、鼠标和显示器的数量,为新增加的机房设备腾出大量的空间。同时也减少了由上述设备产生的能耗。远程操控,改善操作人员工作环境,降低操作人员工作强

3、度:现代机房设备密度愈来愈高,导致机房内噪声及电磁辐射增加。大量机房设备机架式安装,使操作员不得不在狭小的机架缝隙中工作。使用KVM,操作员可在自己的办公室内,透过IP对机房设备进行操作,大大改善了操作人员工作环境。Easyway 2008/2016:是具有自主知识产权的高端KVM交换机。 基本参数外形尺寸标准1U 机架式 规格 重量2.5kg (不带受控端接口模块 工作电压100 240 V AC 电源频率50 - 60 Hz 自动检测 电源 功耗最大 40 W 端口数8(Easyway 2008/ 16(Easyway 2016 端口类型RJ45 支持接口类型 PS/2、USB 、RS23

4、2 显示标准VGA 、SVGA 、XGA 、SXGA 、UXGA 最大分辨率1600 x 1200 受控设备连接端口 线缆类型CA T5 (保证图像品质的线缆长度:100米,1024 x 768,60Hz 本地控制端口PS/2鼠标、PS/2键盘、VGA ;全中文GUI 图形管理界面,支持中文输入。 网络端口Ethernet ; IEEE 802.3 10BaseT ;100BaseT 调制解调器端口RS-232 支持硬流控 其它端口 升级及管理端口RS-232其他参数数字用户通道8通道高品质图像传输,最高可达12通道 集中管理支持KVM 交换机集群管理,受控设备数量可无限扩展 支持网络协议ht

5、tp ,telnet ,ppp ,snmp ,syslog ,ntp ,dhcp ,radius 故障告警宕机、掉电通知 软件升级支持网络升级、Console 端口升级 接口模块固件升级支持热拔插、即插即用、自动升级 数字用户流量控制支持QoS ,支持低色阶编码,最低带宽占用3KBbs 安全特性屏幕监控支持实时无损屏幕视图记录 用户管理支持用户创建及权限分配 防火墙标准访问列表配置 日志记录嵌入式数据库日志系统 退出宏所有受控设备均可配置“退出宏” 数据加密64 bit 3DES 、MD5 登录控制防止口令探测、支持用户锁定 第三方认证协议支持 操作特性虚媒体基于模块的虚媒体功能,支持U 盘、

6、光盘、ISO 文件映射 支持全屏显示数字用户端支持全屏显示 屏幕自动缩放数字用户端支持屏幕自动缩放 受控设备缩略图显示受控设备运行状态,点击即可进入访问 鼠标同步 支持绝对同步图像:l业界首台支持图像存储与回放技术的KVM交换机;l业界最高水平的12个远程数字用户(通道数:当多个远程数字用户同时操控不同的受控设备时,可保证至少8个远程数字用户高品质及低延时的图像传输;l高效、无损图像硬件编码压缩,16位真彩图像采集,自适应显示模式变化,保证屏幕图像实时、无失真传输,最高分辨率可达1600X1200;l支持低色阶图像采集,满足广域网低带宽应用需求,最低图像带宽需求仅为3K/S;l KVM交换机与

7、接口模块采用CA T5电缆连接,图像信号差分传输,完全保证100米内(分辨率1024X768,60Hz图像信号品质;操控:l虚媒体功能:数字用户可以将的光盘、U盘或ISO文件等介质,远程映射到目标服务器;l业界首创本地用户图形界面:本地模拟用户采用类Windows图形(GUI管理界面,支持中文输入法,比传统的(OSD字符界面更加方便、快捷;l支持鼠标绝对同步,带来更好的操作体验;l数字用户端图像自动缩放,被控设备操作界面一目了然;l数字用户端支持全屏显示,远程操作零距离;l全中文图形管理界面,更适于中文用户;l被控设备缩略图显示,操作界面更直观;l从远端控制受控设备至BIOS 级,操控无障碍;

8、网络:l丰富的网络协议支持:http,telnet,snmp,ppp,syslog,dhcp,ntp,radius,icmpl业界首先采用屏幕刷新自动降速功能:根据用户屏幕变化情况及用户操作特点,自动调整屏幕图像采集策略及数据发送速度,在不影响用户操作流畅性的同时,明显降低网络数据流量;l QoS服务质量控制:接入时不会影响主要业务数据流量;l非介入式设计、硬件级交换,与受控服务器及操作系统无关,不占用受控服务器资源,可独立于受控设备单独组网,不影响受控服务器主要业务并提高安全性;l支持modem拨号访问,为网络故障提供应急备份通道;安全:l单一IP端口单次连接实现所有服务:可以关闭其它易受攻

9、击的端口,进行高强度的集中统一权限认证,防火墙配置更简单;l用户分级权限管理;l用户帐号保护功能:防止对用户帐号、密码的试探行为。l支持第三方认证协议,方便进行管理整合;l基于防火墙技术的网络访问控制;l支持用户退出宏定义,受控设备更安全;l受控服务器宕机、掉电自动告警:巡检受控服务器工作状态,发现异常状态并及时告警。l嵌入式数据库日志系统:业界首先采用嵌入式数据库进行日志管理的KVM交换机,可按日期、用户、时间等要素进行查询,无需专门日志服务器存储日志;l网络数据传输采用64bit 3DES加密算法及MD5数据完整性验证;l支持第三方事件管理:snmp trap,syslog;l独立的受控设

10、备接口模块,KVM交换机关机或发生故障时,不会影响受控设备正常工作;扩展:l支持多KVM交换机集群,连接受控设备数可无限扩展;l KVM交换机自动发现接口模块,无需配置,即插即用,支持热拔插;l多平台支持:支持具有PS/2、Sun、USB接口的服务器;l支持VT100串行设备:路由器,网络交换机,UNIX类服务器;l KVM交换机软件升级:支持WEB及超级终端两种升级方式,WEB升级方式是基于网络的快速软件升级方式,超级终端升级方式不依赖KVM交换机操作系统及网络连接,即便网络升级失败,也不需要返厂维修;l业界首先采用接口模块固件自动升级;l数字用户端支持多KVM交换机连接,在无集中管理服务器

11、的条件下,实现单一用户界面同时操作多台KVM交换机;随着KVM技术的发展,机房KVM监控管理系统已经不再是键盘、鼠标和显示器的简单延伸。机房KVM监控管理系统整合了现代机房管理的理念,为设备管理、用户管理、用户操作控制及用户操作记录提供了全新的技术手段,已成为现代机房管理的重要环节。现代企业和其分支机构对信息技术的依赖程度越来越高,其机房设备明显表现出数量大、跨地域的特点。KVM交换机单机工作模式已经不能满足现代企业机房管理的需要。利用机房KVM监控管理系统对KVM交换机进行集群管理,可以应对机房设备及操作人员数量不断增加、机房设备种类日益多样化的复杂局面。机房KVM监控管理系统可以提供KVM

12、交换机不能具备的增值功能:集中、安全地管理机房设备;统一的用户管理,用户权限分配;完整的用户访问记录;完整的安全性架构。Easyway Server 5000:是机房KVM集中监控管理系统软件(简称ES5000,集成了业界首创的KVM 图像同步存储与回放技术(KVM Replay,用统一管理、事后审计、证书服务、多种方式加密传输、KVM 集群代理等手段加强机房管理系统的安全性。对于非关键性任务机房,Easyway 2008/2016可以单独使用,也可由数台KVM组成集群,具有统一的用户权限管理、系统设置和用户界面。对于关键性任务机房,Easyway Server 5000 与Easyway 2

13、008/2016 组成机房KVM集中监控管理系统,除了保留KVM集群的原有功能外,还可实现以下增值功能:KVM图像存储、查询和回放、用户日志的存储与查询、KVM集群代理等。Easyway Server 5000机房KVM集中监控管理系统的特点:l【集中管理、设备和用户统一分配授权】对所有操作人员进行集中权限管理,对操作人员进行安全的访问控制,拒绝无权用户的访问。操作人员可以进行分组管理,按任务或分组管理操作人员权限。对所有服务器及网络设备进行集中管理,不管这些设备的具体安装位置如何,都能够按其任务进行分组,按任务或分组进行设备管理。统一的系统管理界面,无论被管理的设备安装位置如何分散,无论被管

14、理的设备为何种异构硬件平台,无论被管理的设备为何种操作系统,操作人员都能在同一界面上很方便的进行切换。l【创新的KVM图像同步存储与回放技术】Easyway Server 5000采用业界首创的KVM图像同步存储与回放技术(KVM Replay。由于计算机屏幕图像在分辨率、颜色质量上均高于一般视频率图像(如PAL,NTSC等,其采样、压缩、传输、存储处理比一般视频图像需要更快的速度、更宽的带宽和更大的容量。而视频图像又具有实时性要求,进一步增加了计算机屏幕图像同步存储与回放的困难。Easyway Server 5000采用独特的压缩、存储技术,保证了计算机屏幕图像的低失真实时存储与回放。图像数

15、据用数据库进行存储和管理,可以提高图像数据的可靠性及索引的准确性,但同时带来了图像数据存储及回放实时性较差的问题,Easyway Server 5000采用了双缓冲技术,兼顾了数据可靠性与存取实时性的需求。l【灵活的服务器配置及架构】为保护用户投资,Easyway Server 5000 将图像服务、日志服务、证书服务、网络服务集于一体,具有统一的管理界面。同时,也可以根据用户实际需求及网络结构特点,将上述任务分配到数台服务器中,以均衡服务器负载。对于可靠性要求较高的用户,可采用服务器双机热备份或双机双工模式,以提高系统可用性。l【基于安全的IP技术】Easyway Server 5000作为

16、KVM集群代理,采用了独特的HTTP/HTTPS隧道技术,通过单一IP地址及端口的单次登录,即可访问KVM集群连接的所有设备,完成所有管理功能。当用户透过防火墙访问Easyway Server 5000时,只需在防火墙上打开HTTP或HTTPS端口,不用打开其它服务端口,提高了系统的安全性,节省了用户的IP资源。更多扩展功能,全面保护用户投资。2.机房KVM集中监控管理系统建设目标随着机房设备规模的扩大,对机房管理提出了更高的要求。面对众多的机房设备,仍采用一对一的方式,逐个控制和管理制约了机房管理水平的进一步提高,无论是从现实情况,还是考虑到未来的发展,机房设备都需要实现集中管理。集中管理包

17、含两个层面的含义:所有用户按其任务或所在的部门进行分组管理,统一分配访问权限,统一设定允许其接入的IP地址或IP 地址段,统一进行证书管理。所有机房设备都能够按其任务进行分组,以便按任务或部门进行设备管理。当用户登录系统时,该用户所有有权访问的机房设备能够同时在单一的用户界面显示,方便用户在不同的机房设备之间切换。在目前的管理模式中,参与管理的技术人员的访问控制管理机制为传统的单点单机用户名及用户密码模式。此种访问控制管理机制存在密码易于泄漏,安全强度低的弱点。而在目前普遍采用的网络登录进行技术维护的模式中,其用户名及用户密码都是不加密的明文传输。虽然是在内部网内传输,但安全隐患仍然不容忽视。

18、机房KVM监控管理系统通过以下技术手段来实现安全的访问控制:l服务器证书、客户端个人证书双向认证。只有当服务器端、客户端互相认证对方的合法性,才能建立起正常联机,保证了系统的应用中免受第三方攻击。l操作员分级权限管理。系统管理员、一般操作员使用不同的用户名及密码登录系统,对系统管理员、一般操作员规定不同管理操作权限。一般操作员设备操作权限由系统管理员分配,按照不同操作员职责设定不同的管理权限,遵循“权限最小”原则,进行访问控制,提高系统安全性。l操作员IP限制。对操作员采用固定IP的方式,可以过滤掉网络中无关IP所发出的IP包,限制网络中的试探行为。在目前的管理模式中,操作员在进行日常维护和故

19、障排除时,其操作过程没有任何记录。操作员是否按操作规程进行日常巡检,是否有错误的操作,故障发生时设备的状态及发生时间,都无法实现实时记录,无法进行事后追溯。给查明事故发生原因、明确责任人的具体责任带来了困难。机房KVM监控管理系统通过以下技术手段来实现安全日志记录和审计:l计算机屏幕图像同步存储与回放功能。采用图像及字符数据存储与回放技术,可以将操作员的所有操作图像都记录下来,在需要对操作过程进行监督和事后追溯时回放。l日志储存、管理、查询功能。将操作员的所有操作的相关要素(登录时间、登出时间、操作员号、访问设备、访问IP地址等都记录下来,以备需要对操作员进行监督时查询。上述功能使系统具备了事

20、后审计的能力:记录和跟踪各种系统状态的变化;提供对系统故意入侵行为的记录和危害系统安全的记录;实现对各种安全事故的定位;监控和捕捉各种安全事件。2.2.3.密文传输防范数据传输风险:目前普遍采用网络登录进行技术维护,其上行(键盘数据和下行(显示字符数据都是不加密的网络明文传输,存在安全隐患。机房KVM监控管理系统通过以下技术手段来实现密文传输:采用1024/2048位RSA非对称算法,有效保证身份认证体系的安全性和会话密钥传输的保密性;采用MD5摘要算法,保护数据传输过程的完整性;采用128 bit AES加密算法,符合国际商业安全标准。XML 采用HTTPS传输;数据采用SSL隧道传输。内部

21、主机运行机房是核心部位之一,减少人员频繁进出,可以提高机房设备的物理安全性。使用机房KVM集中监控管理系统使得操作员可以在机房外操作维护机房设备,可以有效减少机房内人员流动。二级单位地理位置分散,中心系统管理人员对二级单位的设备管理缺乏直接的远程管理手段。另外,管理人员办公地点和机房分别位于不同的楼层,也给管理和维护带来不便。机房KVM监控管理系统是基于网络的机房管理解决方案,IP所到之处,即可部署远程控制台,利用现有的网络体系,可以很方便地构建起远程控制系统。目前系统管理人员在很多时候扮演的是一个救火队的角色。当分布在各地的网络、服务器或者应用出现各种突发故障时,管理人员必须快速地发现并解决

22、问题。系统维护人员不得不以“问题驱动”的方式来开展工作:出现问题-解决-再出现问题-再解决。显然,这种管理模式很难适应业务关键型任务要求,很难确保整个业务系统的服务品质。解决该类问题的途径就是引入智能化的手段,从而能够“主动”地监控管理系统。机房KVM集中监控管理系统可以定期主动监测各种系统的特征参数,根据预设的监控管理策略对情况做出判断和处理。3.Easyway机房KVM集中监控管理系统设计方案对于用户机房里的所有的服务器全部都可以接入到统一的机房KVM监控管理系统中。也可以根据实际需要选择接入。网络设备按具体应用需要选择接入。由于部分网络设备一旦配置完成后,在较长的时间内无需人工管理,同时

23、考虑到KVM接入的效费比,只将需要经常维护的网络设备接入机房KVM监控管理系统即可。【系统兼顾成熟性与先进性】Easyway 2008/2016均为1个本地用户和8个远程用户,对于Easyway的本地用户和其他品牌KVM相比的最大特点是本地用户界面我们也采用了与远程用户界面一致的GUI图形界面,保证了操作界面的一致性;由于使用方式与模拟式KVM的使用方式是一致的,在此对本地用户我们不再累述。Easyway 2008/2016分别可以连接8台和16台受控设备,由于均为8远程用户,那么用户对于设备的操控比为1/1和1/2,操控比远超过了其他数字式KVM的1/16,1/32或2/16,4/32或4/

24、64。因此Easyway KVM交换机特别适用于设备数量众多,操作员数量众多,而且多操作员频繁同时访问KVM对多台设备进行操控的机房,例如金融、电信等行业的机房。【部署的灵活性和可扩充性】机房设备接入点按就近原则,连接距离最近或布线最容易的KVM交换机。根据就近连接的原则,尽量减少布线的工作量,合理安排EASYWAY KVM的分布。对于目前国内大多机房的实际情况,每台机柜的设备数量不会太多,一般单台16口的KVM端口数也就够用了;而且在同一台机柜中布置KVM电缆的便捷程度远远高于在整个机柜列中布置KVM电缆,即使我们将就近的多台机柜中的设备接入同一台KVM 交换机,其KVM电缆布置的效率和灵活

25、性也优于在整个机柜列中布置KVM电缆。当受控设备数量增加时,只需要相应增加KVM交换机和受控设备接口模块,把连接好受控设备的KVM交换机接入KVM管理网络即可实现新增设备的集中统一管理。因此Easyway KVM交换机的分布部署方式也极大的提高了受控设备部署及扩展的灵活性。Easyway Server 5000机房集中监控管理软件,在配置满足要求的任何一台PC Server服务器上均可安装运行,通过简单的配置即可成为ES5000集中监控管理服务器。若由于集中监控管理服务器出现故障而导致的集中管理不可用,我们可以在另外一台服务器上安装软件或通过改变KVM交换机的工作模式来解决。从而保证了对于受控

26、设备的远程操控,而不会出现由于管理中心的故障而导致管理业务的中断。因此ES5000机房KVM集中监控管理系统采用软件的方式也增强了系统使用和部署的灵活性。同时ES5000软件采用了模块化设计,对于系统功能的扩展、升级,以及用户功能的订制非常灵活,极大的保障了用户的投资。【开放性和标准化】EASYWAY KVM交换机支持模块混接,即DIM-PS2、DIM-USB、DIM-USB-VM和DIM-SRL(串口模块可以连接到同一台EASYWAY KVM交换机上,若未按设备分类安放的机房,只需要选择模块类型,就近接入KVM交换机即可集中管理。【安全性与可靠性】整个系统采用了双向加密数据传输,设备和用户统

27、一分配授权,设备和用户的分级权限管理,保障了数据传输和设备操控的安全性;日志储存、管理、查询功能,记录和跟踪各种系统状态的变化,提供对系统故意入侵行为的记录和危害系统安全的记录,实现对各种安全事故的定位,监控和捕捉各种安全事件;屏幕视图的存储和回放功能主要实现对关键任务机房设备操控屏幕图像进行实时记录,为用户提供屏幕视频的完整录像回放,实现完全的事后审计功能。Easyway 2008/2016 KVM交换机采用分布实施,将由于KVM交换机本身的硬件故障而造成的损失降到了最低。若单台出现故障,不会影响系统中其他KVM的使用,至多就8台或16台受控设备暂时无法实现集中管理与远程操控,而对于端口数比

28、较多的KVM,例如32口,64口的KVM,单台故障会造成32或64台受控设备无法操控。以16口和64口为例,对于64台受控设备,64口的KVM需要1台,16口的需要4台,对于采用16口KVM的方案,故障率比采用64口KVM降低了75%,换句话说即可靠性提高了75%。因此对于受控设备数量巨大的机房,采用端口数相对较少,分布实施的KVM产品,虽然KVM 数量有所增加,但实际上是极大的提高了集中管理系统的可靠性。Easyway机房KVM集中监控管理系统利用用户现有的网络体系,将所有EASYWAY KVM交换机及安装ES5000集中监控管理软件而构成的集中监控管理服务器都接入局域网络。在具有权限的前提下,只要网络可达就可以方便的对机房设备进行集中管理和远程操控。系统管理员不必再频繁的进出嘈杂的现场或机房重地, 不必再奔走于机房内各种设备之间。系统管理员可以在另一栋大楼甚至另一座城市,通过网络操控机房设备。基于IP,一切都变得轻松快捷。以下为数据中心的机房KVM集中监控管理系统拓扑图:(参考特别说明：上图中的“KVM