|
在今天的全球經(jīng)濟中,企業(yè)要面臨全球性運作的挑戰(zhàn),24x7x365的業(yè)務模式,以及處理電子商務業(yè)務,對于連續(xù)及不受干擾地存取信息的需求可以是成功與失敗的關鍵。現(xiàn)在,網(wǎng)絡可用性和數(shù)據(jù)存取能力已經(jīng)成為整個企業(yè)價值鏈的一部分,數(shù)據(jù)中心已成為企業(yè)日常運營的核心與靈魂。對許多公司來說,數(shù)據(jù)中心已經(jīng)迅速地成為最關鍵的資產(chǎn)。
對數(shù)據(jù)中心的依賴促使企業(yè)采用大量設備和策略,促使普通的數(shù)據(jù)中心成為一個混合了新、老設備的復雜環(huán)境。一個現(xiàn)代化的數(shù)據(jù)中心里同時擁有運行不同的操作系統(tǒng)的入門級和企業(yè)級服務器、防火墻、網(wǎng)關、交換機、路由器、環(huán)境監(jiān)控系統(tǒng)、樓宇自動化系統(tǒng)以及不間斷電源等,這種情況并不鮮見。而在今天的管理系統(tǒng)環(huán)境下,這一清單還在不斷擴展。具有諷刺意味的是,每一次提供更快、更普遍地存取企業(yè)信息資源,提高工作時間,采用更短恢復窗口的災難恢復計劃的努力,實際上都增加了復雜性,降低了使用率。
|
Infonetics研究公司在一份對財富100和財富500公司的研究報告中稱,普通公司僅5.5個小時的網(wǎng)絡停機時間可以造成近4百萬收入與生產(chǎn)率損失。
這一研究最近被一家主要在線拍賣門戶的網(wǎng)絡事故證實,該公司網(wǎng)站停機幾個小時,造成超過5百萬美元的收入損失,市場份額下降10%。 |
由于具有這些復雜性,需要前瞻性的網(wǎng)絡管理與系統(tǒng)管理來完成維護網(wǎng)絡的運行、防止系統(tǒng)當機的任務,至少要將當機時間和頻率降低到最小程度。因此,對信息技術經(jīng)理來說,從任何地點、在任何時間對其管理的基礎架構進行快速、安全的存取就成為關鍵需求。要做到這一點,信息技術經(jīng)理需要有能力管理所有設備,無論它們位于何處。
所幸的是,有許多解決方案可用于現(xiàn)在數(shù)據(jù)中心的遠程管理和控制。在實施遠程存取和管理時,必須有一個綜合的方案,而不只是實施每日的存取、運轉和維護。由于多家供應商的新、老異種設備混雜存在,遠程管理解決方案應該盡量保持平臺、操作系統(tǒng)和供應商的獨立性。最后,信息技術經(jīng)理和信息技術人員都沒有足夠的時間學習新的、復雜的專有遠程管理工具。由于這一原因,任何遠程管理實施方法都應當提供人們熟悉的管理界面,以及直觀的交互式操作方法。
為拿出一個有效的遠程管理規(guī)劃,已經(jīng)在串行或 KVM [1] 控制管理架構上投入巨資的組織必須對一系列問題作出判斷:需要管理哪些設備,何時管理,如何管理,使用的工具,所需支持硬件和配置,網(wǎng)絡與安全考慮以及補救措施等。
本文將驗證實施一個遠程存取和管理現(xiàn)代數(shù)據(jù)中心的有效解決方案的各個相關要素,同時會描述應該考慮的各種因素 ,以及可以集成到整體規(guī)劃中的各種遠程管理解決方案,并保證不影響數(shù)據(jù)中心的安全性、可用性、維護性與存取能力。最后將討論 Lantronix 的遠程管理解決方案如何協(xié)助信息技術經(jīng)理成功實施遠程管理網(wǎng)絡基礎架構設備。
今天,全球化數(shù)字經(jīng)濟的持續(xù)競爭需要永遠在線式的零延遲信息存取,管理一個數(shù)據(jù)中心的復雜性以空前驚人的速度在增長。現(xiàn)代數(shù)據(jù)中心已經(jīng)不再是放在某個建筑地下室的幾臺設備,而是包括分布在多個地點的異種環(huán)境,不斷增加的許多可管理設備。并且這種趨勢還在年復一年地持續(xù)發(fā)展,使局面變得愈加復雜。
表1列出了幾種在今天數(shù)據(jù)中心中常見的設備。雖然這并不是完整清單,但可以從中窺見一點,即管理工具要具備強大的功能才能完全覆蓋所有設備。隨著數(shù)據(jù)中心設備規(guī)模的擴展,網(wǎng)絡“云”也較以往更快速地膨脹,成為一個數(shù)據(jù)中心的生態(tài)系統(tǒng)。伴隨增長的是“單點失效”(single-point-of-failure)成為現(xiàn)實,即數(shù)據(jù)中心里任何設備當機都會造成整個業(yè)務的中斷。
|
服務器 |
· 多操作系統(tǒng)(Microsoft Windows、Linux、Unix)
· 應用程序(Web、e-mail、數(shù)據(jù)庫和電子商務)
· 存儲(網(wǎng)絡文件服務器,SAN)
物理外形(例如:塔式、機架式、刀片) |
|
網(wǎng)絡安全設備 |
· 虛擬專用網(wǎng)(VPN)
· 防火墻
· 代理服務器
認證服務器 |
|
可管理的交換機與集線器(如:10/100BT、GbE、ATM) |
· 10/100 Mbps設備
· 千兆以太網(wǎng)
異步傳輸模式(ATM)設備 |
|
中等的、高端的、多千兆位路由器 |
|
|
電信設備 |
· Telco 交換機、光纖多路復用器、微波終端
· 信息技術、X-connect、PBX、DSL設備、分布式安全設備
· T-1終端、線路測試設備、農(nóng)村射頻終端
· 射頻測試設備
語音郵件設備 |
|
其它硬件
|
· 不間斷電源
· 建筑門禁系統(tǒng)
· 環(huán)境控制系統(tǒng)
特殊行業(yè)監(jiān)控與控制設備,如醫(yī)院的病人病情監(jiān)控系統(tǒng) |
一個完整的數(shù)據(jù)中心安全解決方案包括:認證、授權、數(shù)據(jù)隱私以及周邊安全。然而,在提供加密、認證、目錄、網(wǎng)絡以及其它安全組件時存在著許多重大的挑戰(zhàn),這些是整個安全數(shù)據(jù)中心架構需要考慮的因素。在業(yè)界爭相開發(fā)能提供保護功能的技術時,信息技術經(jīng)理仍然必須疲于應付每日的工作,以減少他們的網(wǎng)絡風險。
在考慮遠程管理解決方案時,必須仔細設計到外部網(wǎng)絡的連接路徑以及數(shù)據(jù)中心內(nèi)部的每個功能(如網(wǎng)關或廣域網(wǎng)的邊界、核心、分布與存取等),使得非授權用戶無法闖入網(wǎng)絡。
信息技術經(jīng)理不僅要面對日益增長的工作壓力,同時其雇員數(shù)量和預算也不斷受到審核和緊縮的威脅。在今天少花錢多辦事的新形勢下,信息技術部門一直在縮減規(guī)模,人手不足卻要應付更大工作量,數(shù)據(jù)中心經(jīng)理們必須評估那些能夠集中地管理數(shù)據(jù)中心的工具。畢竟信息技術經(jīng)理的職責關乎企業(yè)的生命,信息技術經(jīng)理要在信息技術人員日見減少的情況下,仍然具備管理本地與遠程服務器和其它信息技術設備接入的能力,這就要求有一種中心化的管理方式。可喜的是,現(xiàn)在有多種可行的解決方案,可以實施本地數(shù)據(jù)中心的集中管理,您可用較小的投入獲得更高的產(chǎn)出。
隨著網(wǎng)絡規(guī)模和范圍的持續(xù)擴大,更多應用程序與業(yè)務的集成需求使這種狀況變得復雜。對網(wǎng)絡性能與可用性的要求在日益增長。應用與網(wǎng)絡的投資回報(ROI)已經(jīng)被置于更重要的地位,同時,延長信息技術投資壽命的壓力也明顯增加。最重要的是,信息技術經(jīng)理必須應付技術人員有限和預算被削減的局面,努力做到“事半功倍”。
一個可以產(chǎn)生顯著節(jié)約效果的地方是強化基礎架構,而一種成效顯著的解決方案就是遠程管理。遠程管理采用中心式配置的人員與應用程序,從一個地點監(jiān)控、管理與響應分布全球的網(wǎng)絡與系統(tǒng)。通過這些工具,信息技術經(jīng)理可以在很短時間里對全球分散式網(wǎng)絡架構上的問題作出響應,可以在任何時間從全球任何地點完成修正工作,從而也解決了可能妨礙系統(tǒng)有效管理的人員短缺問題。
表2 遠程管理的重要優(yōu)勢一覽表。
|
優(yōu)勢 |
說明 |
|
中心化管理一個全球分散的網(wǎng)絡架構。 |
· 通知設備的當前狀況,無論它們位于何處。
· 消除管理“盲點”,并對不合理的設備配置進行補償。
· 授權用戶使用加密存取。
· 較低的整體網(wǎng)絡管理成本。 |
|
真正前瞻式(預測)管理。 |
· 減少決策時間。
· 確保與企業(yè)網(wǎng)絡設備的連接,即使網(wǎng)絡當機。
· 減少當機時間(更快速的響應)。
· 更低的維護費用。
· 提高客戶滿意度和生產(chǎn)率。 |
|
大幅降低服務/維護成本與時間。 |
· 用電子郵件通知和告警,提供即時響應。
· 遠程診斷與解決問題。
· 可以在任何時間遠程管理和查找故障(下班后、周末或節(jié)假日)無需向現(xiàn)場派遣技術人員。
· 將存取生產(chǎn)/企業(yè)網(wǎng)絡的需求減至最小。
· 資產(chǎn)和人員的更佳使用。 |
|
· 為增加收入和提高競爭能力提供完整的解決方案。 |
· 業(yè)務過程簡化。
· 促使業(yè)務運作更高效。
· 安全地遠程管理機架上的所有設備。 |
遠程管理概念
遠程管理有兩種實施方式:in-band(通道內(nèi))或out-of-band(通道外),采用哪種方式要根據(jù)遠程管理的設備以及被管理設備的性能。
In-band用于傳送簡單網(wǎng)絡管理協(xié)議(SNMP)和其它管理信息的數(shù)據(jù)網(wǎng)絡。只有當網(wǎng)絡可用且正常運行時它才有效。如果網(wǎng)絡結點失效或發(fā)生協(xié)議堆棧不穩(wěn)定的情況,in-band管理工具就失去了作用。
今天的業(yè)務都具有關鍵任務的特性,當資產(chǎn)失去了網(wǎng)絡連接或網(wǎng)絡、服務器當機時,需要有一種替代的(冗余的)管理途徑。這就是out-of-band管理。
與in-band管理不同的是,out-of-band管理不依賴網(wǎng)絡或服務器的可用性來管理服務器或網(wǎng)絡架構。因此,只有out-of-band管理系統(tǒng)才能應付許多基礎架構停機的情況。
以下列出了一些可能用到out-of-band管理的情況:
l 服務器斷電。
l 操作系統(tǒng)不穩(wěn)定或被鎖定。
l BIOS 正在進行上電自檢。
l 服務器掛起或運行不正常。
l 服務器資源非常匱乏,造成網(wǎng)絡驅動速度緩慢,或無法響應請求。
l 網(wǎng)卡不正常或出現(xiàn)故障。
l 交換機或路由器端口故障。
l 正在運行的操作系統(tǒng)部件不支持in-band通信,如Loader或Recovery Console(系統(tǒng)恢復控制臺)。
l 服務器尚未完全初始化。
當確定哪些設備需要作遠程管理時,信息技術經(jīng)理要面對各種管理存取點。這些管理點包括控制臺服務器的串行端口、分布式以太網(wǎng)管理端口、KVM 端口和交換機,以及智能UPS設備的電源端口和提供遠程功能(如計算機的上電、斷電或復位等)的電源開關。
一旦確認了所有將被管理的存取點,下一步就是考慮一些特殊的要素,它們在規(guī)劃一個滿足需求的安全遠程管理方案過程中至關重要。
世界永遠處于變化之中,數(shù)據(jù)中心也不例外。既然網(wǎng)絡肯定要增長,所選擇的遠程管理方案也要隨組織的增長而增長。選擇的系統(tǒng)可以跟隨業(yè)務的發(fā)展而適應增加的服務器和用戶,并且能感知增加遠程用戶時的整體成本(如增加遠程客戶認證的附加成本等)。當數(shù)據(jù)中心擴展時,你的遠程管理系統(tǒng)也可以隨之增長,你必須對此抱有充分的信心,因為它基于現(xiàn)有的基礎架構。
鑒于數(shù)據(jù)中心將逐步發(fā)展和擴展,遠程管理解決方案必須設計為能保護您當初在時間及金錢上的投資。既然重新配置可能涉及范圍問題,如果選擇的遠程管理產(chǎn)品有最大的靈活性的話,信息技術員工的工作就會輕松得多。這種靈活性還可以最大限度地利用信息技術資源,避免使用受制于一個供應商上的專有系統(tǒng),或者增加數(shù)據(jù)中心部署與維護的隱含成本。
如果數(shù)據(jù)中心使用了多種服務器和操作系統(tǒng),你的遠程管理解決方案就應該提供對多平臺的控制能力。即使現(xiàn)在的數(shù)據(jù)中心只使用了一種計算機或操作系統(tǒng)(如,運行微軟Windows Server的PC機),但網(wǎng)絡早晚會包括多平臺、服務器、設備和操作系統(tǒng)等。所有遠程管理客戶均應與操作系統(tǒng)無關,并使用本地管理界面,這樣便無需信息技術人員學習使用其它管理界面。
當今數(shù)據(jù)無計劃增長的特性使操作系統(tǒng)的補丁、升級與被管理系統(tǒng)的安全性成為一個相當大的負擔,特別是當這些變化頻繁時。此外,這些補丁和升級一般要求與遠程系統(tǒng)的加密連接與交互。基于這一趨勢,有些解決方案供應商聲稱它們的遠程管理解決方案是“安全”的。而事實則正相反,這些產(chǎn)品實際上只支持某些安全特性。例如,有些號稱“安全”的控制臺服務器只支持SecureShell(SSH)連接。
僅支持SSH或SSL連接都不能算是一種安全的解決方案。要成為一種真正安全的方案,遠程管理系統(tǒng)至少應支持以下一種或幾種功能:
l 遠程認證撥入用戶服務(RADIUS)
l 輕型目錄存取協(xié)議(LDAP)
l 防止侵害模式(可編程對端口掃描和 ping 進行響應)
l IP 與防火墻包過濾
l 雙因素認證
l IP Security (IPSEC)隧道
l 綜合數(shù)據(jù)日志與事件通知功能
l 支持安全策略所需其它功能
如果一個設備聲稱支持這些功能,知道它們的實施方法也同樣重要。例如,只連接到一個使用SSH的客戶端并不表示數(shù)據(jù)已經(jīng)適當加密,足夠安全。因此,檢查設備支持的加密算法也很重要。
在保護服務器方面,軟件的修補(或補丁管理)對防止公開的襲擊非常重要,但選擇一種能提供授權(防止非法存取)與加密(保護傳輸中的數(shù)據(jù))的健壯方案的管理設備才是至關重要的。
支持故障管理的遠程管理設備可以使信息技術經(jīng)理發(fā)現(xiàn)被管理設備、網(wǎng)絡和網(wǎng)絡運行中的問題。信息技術經(jīng)理根據(jù)這些信息判定故障原因,并采取相應措施。
故障管理提供以下機制:
l 通過電子郵件和/或 SNMP(自動)報告故障的出現(xiàn)
l 記錄日志以及事件/端口緩沖狀況
l 進行診斷檢測
l 糾正問題(可能自動地)
當涉及如何管理遠程設備的問題時,信息技術經(jīng)理有許多需要考慮的要點。在過去,只需在服務器上遠行一個單一的軟件解決方案,即可滿足監(jiān)控系統(tǒng)的需求,但今天面臨的威脅則需要一個全新層次的保護方案。例如,軟件解決方案可以確認服務器的運行以及信息技術人員的存取。然而,一個簡單的軟件崩潰或更改服務器 IP 地址的襲擊就能使軟件方案完全無用。即使象改變BIOS系統(tǒng)設置這樣簡單的任務也無法用軟件監(jiān)控,因為在修改這些設置時,軟件監(jiān)控器還沒有運行。
所幸的是,信息技術經(jīng)理們還有許多可選方案,可以用于系統(tǒng)安全與遠程管理,以及各種存取點的管理。
遠程管理的軟件解決方案是一種普通而具性價比的管理選擇方案,但也要考慮到它的局限性。例如,這些方案很難縮放,只在服務器運行時才有用(并且消耗系統(tǒng)資源),無法為服務器功能(BIOS,openboot)提供低層次通路,一般只支持單一操作系統(tǒng)。當然,這些解決方案不能為數(shù)據(jù)中心的非服務器設施提供管理功能。
附加服務器硬件是另一種常見的遠程服務器管理方法,如插 PCI 卡和主板上的網(wǎng)卡(LOM)。與遠程管理軟件方案相同,這些方法一般都具備高干擾性,需要服務器和網(wǎng)絡均正常運行才能提供管理功能。此外,采用插卡方案需要關掉服務器,打開機箱才能完成安裝、更換和維護工作。
控制臺服務器是一個獨立于網(wǎng)絡的硬件設備,它可以同時為多臺服務器提供低層次的冗余管理通路,方法是連接到它們的out-of-band串行口。它可以連續(xù)存取遠程設備,即使網(wǎng)絡出現(xiàn)無法工作的情況。通過網(wǎng)絡或調(diào)制解調(diào)器,用串行口可以實施從任何位置到任何設備的安全的本地或遠程存取。
控制臺服務器具有下幾點關鍵優(yōu)勢
l 立即存取所有設備,包括無網(wǎng)絡端口的設備
l 無需派遣技術人員即可查明問題原因
l 單一地點管理多個場所
l 管理無人值守場所設備的能力
l 最小的停機時間
l 遠程解決問題
l 支持各種安全特性,如加密、認證、SSH以及入侵檢測
l 對外部網(wǎng)絡和黑客的開放程度低
l 無需 VPN 連接。
一臺 KVM 切換器可以用一套鍵盤、監(jiān)視器和鼠標來控制多臺計算機服務器,減少由于多個冗余輸入/輸出(I/O)設備導致的空間占用和干擾狀況。只需一臺終端,信息技術經(jīng)理們就可以用 KVM 存取整個機架或整個房間的服務器。
在多服務器與其它設備的聯(lián)合控制方面,KVM切換器能提供許多優(yōu)勢。這些優(yōu)勢包括強大的引導前功能,如編輯服務器CMOS設置以及電源循環(huán)、BIOS級使用,以及從一臺終端控制多個服務器機架。
一種新型非干擾式KVM切換器可以實施通過IP的遠程存取。這些KVM切換器可以作用于網(wǎng)絡基礎架構,使增加用戶如增加IP地址一樣簡單。KVM-over-IP切換器還消除了模擬設備的距離限制。通過使用IP網(wǎng)絡的供電和無處不在的特性,無論用戶(或信息技術人員)身在何處,都可以控制數(shù)據(jù)中心的各種設備。
在考慮采購任何遠程管理解決方案前,應仔細審查下列表中各項內(nèi)容:
|
l 該遠程管理系統(tǒng)可以支持所有設備的遠程管理(服務器、KVM、SNMP)嗎?
l 該遠程管理系統(tǒng)需要學習新的管理界面或工具嗎
(或它可以遠程運行我的“本地管理”界面嗎)?
l 如果遠程管理系統(tǒng)失效,它會影響我的系統(tǒng)嗎
(會導致我的服務器或其它設備當機嗎)?
l 遠程管理系統(tǒng)可以在不影響被管理服務器和設備運行的情況下,進行升級、維護、更換或維修嗎?
l 遠程管理系統(tǒng)或其組成部分的失效如何影響你控制服務器與設備的能力?
l 遠程管理客戶端的操作系統(tǒng)獨立性如何?
(我可以在任何操作系統(tǒng)上運行遠程客戶端嗎?)
l 遠程客戶需要專用軟件嗎?
(我需要購買和/或安裝專用客戶端軟件嗎?)
l 服務器當機、崩潰或無響應時,遠程管理解決方案仍能提供可靠的存取嗎?
l 無論在任何服務器類型和操作系統(tǒng)條件下,遠程管理系統(tǒng)都能提供一致的界面和功能嗎?
l 若出現(xiàn)服務器崩潰(藍屏)或未授權登錄嘗試,遠程管理系統(tǒng)能提供監(jiān)控并通過電子郵件發(fā)出通知嗎?
l 遠程管理系統(tǒng)的縮放性如何?
(可以不顯著增加復雜性和成本條件下,支持在更多的場所管理更多的設備嗎?)
l 我的遠程管理系統(tǒng)支持多少個并發(fā)用戶?
l 遠程管理系統(tǒng)同時提供 in-band 和 out-of-band 存取功能很重要嗎?
(我需要在網(wǎng)絡和/或服務器當機時使用系統(tǒng)嗎?)
l 遠程管理系統(tǒng)允許遠程維護嗎?
(該解決方案支持遠程固件升級等功能嗎?)
l 初始設置是否具干擾性、復雜性?
(我必須關掉現(xiàn)有服務器或網(wǎng)絡才能安裝嗎?)
l 遠程管理系統(tǒng)與現(xiàn)有管理工具的兼容性如何?
(與系統(tǒng) SNMP 兼容嗎,與現(xiàn)有 KVM 切換器兼容嗎?)
l 遠程管理系統(tǒng)能提供對服務器和設備的低層存取嗎?
(系統(tǒng)可以提供 BIOS 級、openboot 等存取嗎?)
l 還需要考慮哪些與遠程管理解決方案相關的隱含成本?
(超過 5 個用戶的客戶軟件需要許可證嗎?)
l KVM 切換方案能提供用戶、管理員和服務器的擴展選擇嗎?
l 只需要本地機架存取嗎?還需要控制離數(shù)據(jù)中心 100 米甚至幾百里外的服務器和設備嗎?
l 電纜長度限度是多少?
l 需要多少接線工作?
l 遠程管理系統(tǒng)有特殊認證(NEBS)或特殊電源要求(AC、DC、雙/冗余 AC 或 DC 電源)嗎?
l 需要哪種類型的介質(五類線、特殊加密鎖、同軸電纜)?
l 遠程解決方案容易部署嗎?
l 遠程管理方案在本地和遠程的多平臺能力如何?
l 對非 PC 環(huán)境,遠程 KVM 解決方案提供鍵盤映射功能嗎?或者允許你使用本地鍵盤嗎?
l 如果遠程管理方案的某個部分當機,可以提供冗余嗎?
l 你的遠程 KVM 解決方案允許使用現(xiàn)有的本地 KVM 切換器嗎?
l 你的遠程管理解決方案提供 in-band 管理選項嗎?
l 你的電源循環(huán)需要和選擇?
l 你期望用哪種方式存取數(shù)據(jù)中心設備,TCP/IP 連接或直接模擬連接,亦或兩者兼用? |
|
