数据中心机房建设项目KVM系统设计方案

1、数据中心机房建设项目 KVM系统设计方案1.1机房集中控管系统需求分析机房现状简介根据数据中心机房的具体情况，机房分布在不同楼层， 分别属于不同部门，包括服务器（IBM、HP、Compaq DELL、 SUN等）。在主机房ECC监控中心或管理员工位，通过相应授权和认证，提供多个并发操作用户全域控制机房内的所有设 备，同时方案需要考虑到将来对所有设备的资产和性能管理 及各个分支城域网网络设备（Console 口）系统纳入集中控 制管理平台进行集中管理的问题。方案要求每个操作用户都 通过开放式的 Web浏览器只需鼠标点击即可访问到机房相应 的设备，不同部门的操作用户根据各自权限的不同还可以访 问各

2、自不同部门的设备，每个操作用户不但可以在自己的屏 幕上打开操作一台服务器画面，还可以打开多个服务器的界 面轮流进行操作或监视不同设备的运行状态，彻底摆脱了原 始的一套键盘、鼠标、显示器对应操作一台设备的模式，大 大节省了操作时间，提高了工作效率。同时考虑对整个机房 内所有服务器管理的集中性，用户管理的安全，寻求一种能 够满足这种需求的解决方案，以便使有关操作人员不必去到 机房内也能操控所有的机房服务器和网络设备，且当系统规 模扩张时仍能保持整个系统的完整性而达到管理上的简单 有效。如何为这些IT设备提供一个统一、有效的带外管理平 台是该项目的核心。本文档旨在给出对中行所有 IT设备的集 中带外

3、管理提出一个完整的解决方案。1.1.2 IT基础设施集中控制管理需求根据通盘考虑，所有数据中心机房的众多设备需在一个整 合了多种机房系统资源的集成大平台上得到统一管理，以解 决因大量设备分散分布所带来的管理上的不便性，免除了众 多不必要的外围设备而节省大量空间，使得各管理员可在监 控室内从键盘、鼠标、显示器组成的控制台便可登陆所有的 设备，方便快捷地排除机器故障，从而更有效地保障整体机 房的正常运营。具体需求如下：(1) 设备管理属于不同部门，要求能够对所有服务器做到统一监管；(2) 需有灵活便捷的管理方式，能对服务器的各种属性组别进行添加(机柜号、机柜位置、应用、 OS、服务器型 号、IP地

4、址、部门、维护人员及联系方式等等) ，方便 搜索指定服务器，完全实现逻辑划分功能， 同时可以实 现对各服务器信息的导出功能；(3) 需考虑使用安全可靠系统架构及有效的用户权限保障系统，保障数据中心的安全性；(4) 良好的系统再扩容能力；(5) 便捷的故障处理能力，通过本项目的建设允许管理员可 以在本地或通过网络远程交互式地操作、访问、检测、修复这些设备；同时提供一条独立于数据网络(WANand/or LAN)之外的备份链路，在网络不可达或者设备 故障时通过备份链路远程交互式地操作、访问、检测、 修复这些设备；(6) 完善的日志记录和事件侦测， 在日志中，按照事件定义， 自动监测事件发生。在数据

5、库中，记录事件的发生时间、 关联设备、事件内容等。在综合考虑了以上各因素及反复探讨后，我方经过反复研究，推出以下合理化方案供各位领导参考。1.2数据中心解决方案根据机房整体设计考虑，建议数据中心不同部门分机房所有数据中心机房的众多设备，包括不同品牌服务器和不同 操作系统服务器控制，需在一个整合了多种机房系统资源的 集成大平台上得到统一管理，以解决信息孤岛和各厂商管理 方式各自为政的问题，方便快捷地排除机器故障，从而更有 效地保障整体机房的高效运营。主要体现在以下几个方面：I.有效控制效率及并发性与可行性兼顾考虑将来被控服务器数量与控制端用户数的匹配，满足 机房管理人员同时并发访问多台服务器，以

6、及多个管理 人员访问多台服务器，扩大管理幅度，以及对服务器的 控制效率和方案可行性，充分保证用户远程并发访问的 需要。对于频繁操作和需要高并发管理的服务器，我方 建议采用4台MPU2032-103，用一套DSV3软件管控。MPU2032-103为2数字通道32接入端口，一网络端口， 一电源接口，单台 KVM可以实现同时打开 2台服务器 系统安全性系统安全方面，我方提供了Hub-Spoke结构的集中控管系统，将来扩展时，认证服务器之间数据自动同步，并 且可以实现负载均衡，可以避免被控服务器数量将来过 多及用户访问次数增加造成用户访问系统过渡拥挤而 瘫痪，保证访问过程无阻塞性。系统无限制扩容性考虑

7、到机房未来扩容可能性，本方案可以在原有基础直 接增加MPU系列KVM并在DSV3软件继续管控即可， 不需淘汰之前所有设备，只需增加软件用户数和KVM设备即可。II.降低TCO和维护成本性面对将来各种各样的服务器、路由器、交换机、电源等，其管理软件各自为政，各种软件只能承诺对单一或少量 设备的管理，而无法实现一个界面上对所有设备的统一 管理，我方采用的 DSView 3软件使得管理人员在统- 的平台及界面上集中控制管理服务器设备、串口设备、 电源设备等，管理员对设备情况一目了然。集中控制系 统还为以后加入各种新功能提供了保障，提供更进一步 的硬件远端操控能力，包括服务器的物理健康特征，如 温度、

8、电压、电扇工作状态、电源供应以及机箱入侵等 为系统管理、恢复以及资产管理提供信息，这样机房管 理人员便可以随时随地在第一时间了解整个网络服务 器系统的物理健康状况，以采取积极的应对措施，节省 了客户将来的投资，降低数据中心的管理与维护成本， 使机房的管理达到国际上新的成熟度标准。根据总体机房建设要求以及以上需求说明，综合考虑系 统的稳定性、服务器和网络的安全性、用户控制服务器和网 络设备的合理性、应用需求的高效率性、体系架构冗余拓展 性、统一管理性、降低维护成本性等多方面的因素。具体方 案如下：1.3方案说明配置清单因为KVM与服务器之间的 CAT5线缆传输模拟信号，其必然会受到距离和环境干扰

9、（强电和电磁）的限制，根据我方长期施工经验，建议 KVM与服务器之间的 CAT5线缆长度在30米以内，串口控制台服务器与网络设备之间的CAT5线缆长度在100米以内132系统拓扑图桃房门设备重申控沦解决方窒AvMMm机JI集中屜曾解黴力靠Av/ouect按军净.V戸的Jr.,如辄、打:如寥仲伽阳和席卡.异P*TCP.rIPnSlKia湮寿髀时痢#矿馬冲轟丄rw.v脖涉好#仁駆爭帝用幽商r»ATWfiVjL tKJ MOhel ', P抵n轉韩朋町耶帮呼临*掘摩ZF护杆心u人円耳戡題沁UXU,FS和曲鶯、n怦弄內灯机用誉控申心打:如WTW心站寥仲伽阳TCP.rIPMUD方案实现

10、概述考虑到数据中心机房的具体情况，对机房内的PC服务器（包括PC月艮务器、主机终端等），我们建议采用MPU2032-103数字交换机对服务器设备接口进行集中统一连接；本系统可 以提供多个并发IP操作用户通过TCP/IP同时操作访问机房内所有PC服务器、主机终端、存储设备、小型机（Console口）和网络设备（Console 口），同时每台 MPU2032-103数字交换机还可以提供1个本地操作终端方便管理用户进入机房在机架旁操作管理其所连接的被控服务器，MPU2032-103还提供VM功能，满足日常维护打补丁等传输数据；所有的 MPU2032-103数字交换机都可以通过远程和本地进行设备 Fi

11、reware升级；集中控制管理平台 DSView实现统一用户认 证及访问权限设置，除集中控制管理平台内部认证外，还支 持 Active Directory、Windows NT、LDAP、RADIUS、 TACACS+、RSA SecurID外部认证系统；由集中控制管理平 台DSView实现系统统一日志管理，功能包括：保存、查询、索引、归档，日志内容包括访问日志审计、事件日志审计、 数据日志审计、告警机制；方案实现：采用MPU2032-103数字交换机对PC服务器进行连接 管理时，我们需要在服务器每台服务器的键盘、鼠标、 显示器接口都直接连接一根 DSAVIQ-XXX服务器接口线 缆攫取键盘、

12、鼠标、显示器信号，DSRIQ-XXX服务器接 口线缆再通过普通五类线线连接到MPU2032-103。远程IP操作用户只需要在IE浏览器内输入 DSViewHUB主认证服务器或 Spoke镜像服务器的IP地址经过权限认证后即可对机房内的所有的二;-二 c K声;*>>PC服务器、主机终端、存储设备、小型机（KVM或 Console 口）和网络设 备（Console 口）进行集中统一管理。不同的 IP用户 都通过开放式的 Web浏览器只需鼠标点击即可访问到机房内相应的设备，通过简单的用户分组和权限设置后不同部门的操作用户根据各自权限的不同可以访问 各自不同部门的设备，每个操作用户不但可

13、以在自己 的屏幕上打开操作一台服务器画面，还可以打开多个 服务器的界面轮流进行操作或监视不同设备的运行状 态。实现最小化访问权限控制。实现从单点技术管理、 普通系统管理、区域本地管理过渡到全面集中管理、安全系统管理和远程控制管理。1.4 Avocent机房集中控制管理平台管理特性解决简化和统一管理IT基础设施问题针对数据中心IT基础设施既有服务器， 又有Cisco或华 为等厂商的路由器、交换机、防火墙等网络设备，Avocent采用统一化集中控制系统实现机房设备管理，利用KVMover IP、Serial over IP、Power over IP、Service Processor over

14、IP技术实现远程集中控制管理，方便集中监控、控制、管理、运维，提高运维效率。各部门和各机房的IT基础设施，应当 考虑人员认证管理，设备、人员分组和授权管理，日志管理，告警管理，安全管理等，在业务系统出现故障时，能够有应 急系统和相关方面的专家及时隔离故障和解决系统问题。使 用DSView 3集中控制管理平台，您可以从一个屏幕访问所 有数据中心设备一使复杂的网络访问和控制大大简化。Dsview 3集中认证中疋版管理界鹵申口设备舒除界面 irtNiil Mlid 诗理界面=弋M13: Jta：軸K询績押” J<aWlndows<M<E|fuu”豎陆界ilii解决分布式管理问题针对

15、客户的多机房和冗余的需求，Avocent解决方案采用分布式Hub-Spoke架构，使得认证服务器的放置实现了异 地化和多机并发处理。对于数据中心机房而言，可设置一台 HUB （中心）和Spoke （分支）认证服务器，中心和分支后 台数据同步；如需访问主机房中的终端设备，用户可直接通 过HUB或Spoke认证服务器的用户和权限验证，建立与主 机房内的相应终端设备之间的连接。如建立统一控制管理， 访问A机房的终端设备可直接通过 A机房认证服务器，节省 了数据传输返回时间，实现了认证系统的负载均衡处理。当 A机房本地认证服务器出现问题时，也可通过B认证服务器 进行通信验证，同样可对机房内的终端设备实

16、现远程操作。无论管理员是在不同楼层、不同楼宇还是出差在外地，同样 操作也可实现同时控制操作数据中心机房。Avocent独有的分布式认证服务器架构特别适用于多地点机房的集中管理， 已经在各大通信、金融行业数据中心中成功应用，该架构可 以提高系统的可靠性（可实现16台认证服务器冗余），以及减少认证系统负载，从而保障多地点数据中心 IT基础设施系 统的完全可用性。解决目标设备资产信息和分组管理问题服务器设备逻辑分组说明数据中心内服务器设备众多，可以对机房内服务器设备的逻辑划分说明如下：首先，按照各服务器设备所属单位部门进行划分，如下图所示：其次，对于每个组别中的各台服务器设备，分别添加各自的 标志信

17、息，如：应用类型、设备型号、操作系统、IP地址、联系人、联系电话等，如下图所示:当用户需要时，还可对以上信息进行导出，保存为.CSV文件，更方便用户直观地对具体服务器进行各项操作：如此划分，无论是对于操作员还是管理员来说，都可方便地找出所需访问的服务器设备，尤其对于系统管理员来说，既可利用不同组别来查找不同服务器设备，亦可通过DSView系统独有的Filter功能，方便快捷地找出相应字段匹配的服务器设备。例如：需查找操作员“张杰”所负责的服务器， 可在系统Filter栏处输入“张杰”字段，即可显示出操作员“张杰”所负责的所有服务器设备列表同时，也可根据不同的定义字段（如IP地址、部门、应用4E

18、Q0*. ©fr rn 0 .acoLrrHEUF勺*LiB¥FtpgrtflAv«c«iit DVItw JliMt IIiI耶 I PfirrriTHric mi? artanmi日M十* SEFREW”Ai/ocent卑:刃击 Hrjt匚btJLEte Ir H ®wrasI羊如Ml矗花ilW23*7Sft茎产fl佯 'JiKH PiTAftaa 孕 睦卑等）来搜检相应的服务器设备：如输入“51”字段，系统会自动将所有包含“ 51 ”字段的服务器列表检索出来：解决用户认证、授权和分组管理问题DSView 3集中控制管理平台有 DS

19、View内部认证服务，它 可以根据 DSView 3软件服务器数据库中保存的用户帐户 信息，来验证登录和密码。DSView 3软件还支持以下几种外部认证服务：? Microsoft Active Directory? IBM SecureWay Directory Server? Novell LDAP ServicesSun Solaris R9 LDAP Directory ServerSun ONETM LDAP Directory ServerMicrosoft Windows NT 域Windows 2000/2003 server 的 Cisco Secure ACS 3.3Win

20、dows 2000/2003 server 的 Microsoft IASRed Hat RHL3 的 FreeRADIUSWindows 2000/2003 server 的 Cisco Secure ACS 3.3RSA SecurIDAvocent DSView 3捋告配置施尸丨组认证岷爵22仮握供认证蛊勢名務和类型丄一步卞一步|W谱提供驀认证服诙名輸和类型0名称一:类型 Active Directory vActjve DirectoryLDAPRADIUSRSASecuriDTACACS+ Win蓟林NT翩对于用户分组而言，可设三个不同优先级别的账号，分别具有不同的访问权限，管理便捷

21、：（1）系统超级管理员（DSView Administrator ）:其可对系统所有设备进行控管、权限分配及用户账号管理，并可对DSView系统进行所有操作。（2）组长：可对本设备组内所有设备进行集中控管，并可随时断开各组员的访问进程。（3）组员：仅可对具有权限的个别设备进行控管操作。例如：设置用户“周彦倜”为系统超级用户，具有DSViewAdministrator权限，优先级最高，可对所有服务器设备进行访问并可随时断开任意用户的访问进程，还可进行系统设 置操作；AvdeMt DSVliw 1A/ocerit-ibi I ia*. J iH 穴Ji "MS*.r IS * 畸rmdowK j-fUZiIdnr .13Whjrrw!i dtllli"厂确*肿町ST?wnF«p卜1r :tit