XXX
服务器虚拟化安全解决方案
文档修订记录
目录
1.环境概述............................................................................... 错误!未定义书签。
2.面临安全威胁....................................................................... 错误!未定义书签。
2.1.针对操作系统漏洞的攻击........................................ 错误!未定义书签。
2.2.针对应用的攻击........................................................ 错误!未定义书签。
2.3.虚拟化带来新的威胁................................................ 错误!未定义书签。
2.4.统一管理和审计........................................................ 错误!未定义书签。
3.安全防护需求....................................................................... 错误!未定义书签。
4.安全防护方案....................................................................... 错误!未定义书签。
4.1.架构设计.................................................................... 错误!未定义书签。
4.2.方案部署.................................................................... 错误!未定义书签。
4.3.功能模块.................................................................... 错误!未定义书签。
5.和传统防护方案的区别....................................................... 错误!未定义书签。
6.方案价值............................................................................... 错误!未定义书签。
1.环境概述
XXX目前对部分应用系统进行了虚拟化,情况概述如下:
4台物理服务器,每台服务器采用4个6核CPU
每一个虚拟服务器采用3核CPU标准配置
总共有32台虚拟服务器
2.面临安全威胁
2.1. 针对操作系统漏洞的攻击
海事局目前的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:
大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行
黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常
由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。
2.2. 针对应用的攻击
虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统,这些应用系统都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数据,或者是导致应用不能正常对外提供服务。
2.3. 虚拟化带来新的威胁
当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、
黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题:硬件资源利用率受到限制
当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会在每一个虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,运行这些安全软件需要占用相同的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。
后台资源冲突
每个虚拟服务器操作系统上面单独安装安全软件,会随着虚拟服务器数量增加造成对后端存储的负荷越来越大,最终会影响到虚拟服务器的运行速度。
物理边界模糊
当服务器虚拟化之后,每台物理服务器上面运行了8个虚拟服务器系统,在虚拟化环境里面,使用靠可用性功能之后,这8个系统并不是固定的,而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求
2.4. 统一管理和审计
服务器的管理不仅仅是基本的安全防护,同时也需要进行受到攻击后的追溯以及取证,这就需要根据一些法规要求,对系统以及应用的日志进行统一收集,一旦服务器上面的操作触发了事先设定条件,就上传日志,便于事后管理和审计
3.安全防护需求
通过对XXX服务器虚拟环境的了解,以及面临的威胁分析,目前XXX服务器虚拟化存在的安全需求有几下几点:
1、对虚拟化操作系统提供全面的安全防护:防病毒、防火墙、深度数据包检测
等
2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击
3、针对虚拟化的特色,提供无代理安全防护,节省物理服务器硬件资源,提高
虚拟服务器的搭载密度
4、对Windows服务器进行系统、应用的日志审计
4.安全防护方案
趋势科技根据XXX服务器虚拟化的安全需求,为其使用趋势科技深度防护系统Deep Security进行防护:
4.1. 架构设计
Deep Security 解决方案架构包含三个组件:
Deep Security 代理,部署在受保护的服务器或虚拟机上。
Deep Security 管理器,提供集中式策略管理、发布安全更新并通过警报和报
告进行监控。
安全中心,是一种托管门户,专业漏洞研究团队针对新出现的威胁通过该门
户开发规则更新,然后由Deep Security 管理器定期发布这些更新。
Deep Security 代理接收来自Deep Security 管理器的安全配置,通常是一个安全配置文件。该安全配置包含对服务器强制执行的深度数据包检查、防火墙、完整性监控及日志审计规则。只需通过执行建议的扫描即可确定对服务器分配哪些规则,此过程将扫描服务器上已安装的软件并建议需要采用哪些规则保护服务器。对所有规则监控活动都创建事件,随后这些事件将发送到Deep Security 管理器,或者同时也发送到SIEM 系统。Deep Security 代理和Deep Security 管理器之间的所有通信都受到相互验证的SSL 所保护。
Deep Security 管理器对安全中心发出轮询,以确定是否存在新的安全更新。存在新的更新时,Deep Security 管理器将获取该更新,然后便可通过手动或自
动方式将该更新应用于需要其额外保护的服务器。Deep Security 管理器和安全中心之间的通信也受到相互验证的SSL 所保护。Deep Security 管理器还连接到IT 基础架构的其他元素,以简化管理。Deep Security 管理器可连接到VMware vCenter,也可连接到Microsoft Active Directory 等目录,以获取服务器配置和分组信息。Deep Security 管理器还拥有Web 服务API,可用于程式化地访问功能。
安全中心对漏洞信息的公共和私有源都进行监控,以保护客户正在使用的操作系统和应用程序。
Deep Security管理器
Deep Security 解决方案提供实用且经过验证的控制,可解决棘手的安全问题。有关操作且具有可行性的安全不仅让您的组织获知安全事件,还可帮助了解安全事件。在许多情况下,这种安全就是提供有关事件发起者、内容、时间和位置的信息,以便组织可以正确理解事件然后执行相应操作,而不仅仅是告诉组织安全控制本身执行了什么操作。Deep Security 管理器软件满足了安全和操作双重要求,其功能如下:
集中式的、基于 Web 的管理系统:通过一种熟悉的、资源管理器风格的
用户界面创建和管理安全策略,并跟踪记录威胁以及为响应威胁而采取
的预防措施。
详细报告:内容详尽的详细报告记录了未遂的攻击,并提供有关安全配
置和更改的可审计历史记录。
建议扫描:识别服务器和虚拟机上运行的应用程序,并建议对这些系统
应用哪些过滤器,从而确保提供事半功倍的正确防护。
风险排名:可根据资产价值和漏洞信息查看安全事件。
基于角色的访问:可使多个管理员(每个管理员具有不同级别的权限)
对系统的不同方面进行操作并根据各自的角色接收相应的信息。
可自定义的仪表板:使管理员能够浏览和追溯至特定信息,并监控威胁
及采取的预防措施。可创建和保存多个个性化视图。
预定任务:可预定常规任务(如报告、更新、备份和目录同步)以便自
动完成
Deep Security代理
Deep Security 代理是Deep Security 解决方案中的一个基于服务器的软件组件,实现了IDS/IPS、Web 应用程序防护、应用程序控制、防火墙、完整性监控以及日志审计。它可通过监控出入通信流中是否存在协议偏离、发出攻击信号的内容或违反策略的情况,对服务器或虚拟机实行防御。必要时,Deep Security 代理会通过阻止恶意通信流介入威胁并使之无效。
安全中心
安全中心是Deep Security 解决方案中不可或缺的一部分。它包含一支由安全专家组成的动态团队,这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应,从而帮助客户对最新威胁做到防患于未然;同时,安全中心还包含一个用于访问安全更新和信息的客户门户。安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程:
监控:对超过100 个公共、私有和政府数据源进行系统化的持续监控,以
识别新的相关威胁和漏洞,并将其关联起来。安全中心研究人员利用与不同组织的关系,获取有关漏洞的早期(有时是预发布)信息,从而向客户提供及时、准确的防护。这些来源包括Microsoft、Oracle 及其他供应商顾问、SANS、CERT、Bugtraq、VulnWatch、PacketStorm 以及Securiteam。
确定优先级:然后根据客户风险评估及服务等级协议确定漏洞的优先级,以
作进一步分析。
分析:对漏洞执行深入分析,确定需要采取的必要防护措施。
开发和测试:然后开发出可对漏洞实行防护的软件过滤器以及可推荐过滤器
的规则,并进行广泛的测试,以便最大限度地降低误测率,并确保客户能够快速、顺利地部署这些过滤器和规则。
交付:将新过滤器作为安全更新交付给客户。当新的安全更新发布时,客户
将通过Deep Security 管理器中的警报立即收到通知。然后就可以将这些过滤器自动或手动应用于相应的服务器。
通信:通过可提供有关新发现安全漏洞的详细描述的安全顾问,可实现与客
户之间的持续通信。
4.2. 方案部署
安装1个Deep Security控制管理台
在4台物理服务器上面分别安装DSV A(针对VMware Esx的安全虚拟系统)
4.3. 功能模块
Deep Security 解决方案使您能够部署一个或多个防护模块,提供恰好适度的防护以满足不断变化的业务需求。您可以通过部署全面防护创建自我防御的服务器和虚拟机,也可以从完整性监控模块着手发现可疑行为。所有模块功能都通过单个Deep Security 代理部署到服务器或虚拟机,该Deep Security 代理由Deep Security 管理器软件集中管理,并在物理、虚拟和云计算环境之间保持一致。
防病毒
1)对病毒、蠕虫、木马、间谍软件等各种各样的恶意程序进行检测和清除
2)基于传统的物理服务器进行有代理的病毒防护
3)在虚拟平台上面,实现底层的无代理的病毒防护
深度数据包检查(DPI) 引擎
实现入侵检测和防御、Web 应用程序防护以及应用程序控制
该解决方案的高性能深度数据包检查引擎可检查所有出入通信流(包括SSL 通信流)中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模式下运行,以保护操作系统和企业应用程序的漏洞。它可保护Web 应用程序,使其免受应用层攻击,包括SQL 注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息,包括攻击者、攻击时间及意图利用的漏洞。发生事件时,可通过警报自动通知管理员。DPI 用于入侵检测和防御、Web 应用程序防护以及应用程序控制。
A、虚拟补丁功能
在操作系统和企业应用程序安装补丁之前对其漏洞进行防护,以提供及时保护,使其免受已知攻击和零日攻击
漏洞规则可保护已知漏洞(如Microsoft 披露的漏洞),使其免受无数次的漏洞攻击。Deep Security 解决方案对超过100 种应用程序(包括数据库、Web、电子邮件和FTP 服务器)提供开箱即用的漏洞防护。在数小时内即可提供可对新发现的漏洞进行防护的规则,无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上:
智能规则通过检测包含恶意代码的异常协议数据,针对攻击未知漏洞的漏洞攻击行为提供零日防护。
漏洞攻击规则可停止已知攻击和恶意软件,类似于传统的防病毒软件,都使用签名来识别和阻止已知的单个漏洞攻击。
由于趋势科技是Microsoft 主动保护计划(MAPP) 的现任成员,Deep Security 解决方案可在每月安全公告发布前提前从Microsoft 收到漏洞信息。这种提前通知有助于预测新出现的威胁,并通过安全更新为双方客户快速有效地提供更及时的防护。
B、WEB 应用程序安全
Deep Security 解决方案符合有关保护Web 应用程序及其处理数据的PCI 要求6.6。Web 应用程序防护规则可防御SQL 注入攻击、跨站点脚本攻击及其他Web 应用程序漏洞攻击,在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的Web 应用程序攻击。根据客户要求进行的一项渗透测试,我们发现,部署Deep Security 的SaaS 数据中心可对其Web 应用程序和服务器中发现的99% 的高危险性漏洞提供防护。
C、应用程序控制
应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。
防火墙
减小物理和虚拟服务器的受攻击面
Deep Security 防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的服务器运行所必需的端口和协议上的通信,并阻止其他所有端口和协议,降低对服务器进行未授权访问的风险。其功能如下:
虚拟机隔离:使虚拟机能够隔离在云计算或多租户虚拟环境中,无需修改虚拟交换机配置即可提供虚拟分段。
细粒度过滤:通过实施有关IP 地址、Mac 地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。
覆盖所有基于IP 的协议:通过支持全数据包捕获简化了故障排除,并且可提供宝贵的分析见解,有助于了解增加的防火墙事件– TCP、UDP、ICMP 等。
侦察检测:检测端口扫描等活动。还可限制非IP 通信流,如ARP 通信流。
灵活的控制:状态型防火墙较为灵活,可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题,此问题可能出于正常情况,也可能是攻击的一部分。
预定义的防火墙配置文件:对常见企业服务器类型(包括Web、LDAP、DHCP、FTP 和数据库)进行分组,确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。
可操作的报告:通过详细的日志记录、警报、仪表板和灵活的报告,Deep Security 防火墙软件模块可捕获和跟踪配置更改(如策略更改内容及更改者),
从而提供详细的审计记录。
完整性监控
监控未授权的、意外的或可疑的更改
Deep Security 完整性监控软件模块可监控关键的操作系统和应用程序文件(如目录、注册表项和值),以检测可疑行为。其功能如下:
按需或预定检测:可预定或按需执行完整性扫描。
广泛的文件属性检查:使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控,包括:内容、属性(如所有者、权限和大小)以及日期与时间戳。还可监控对Windows 注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作,并提供警报。此功能适用于PCI DSS 10.5.5 要求。
可审计的报告:完整性监控模块可显示Deep Security 管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过Syslog 将事件转发到安全信息和事件管理(SIEM) 系统。
安全配置文件分组:可为各组或单个服务器配置完整性监控规则,以简化监控规则集的部署和管理。
基准设置:可创建基准安全配置文件用于比较更改,以便发出警报并确定相应的操作。
灵活实用的监控:完整性监控模块提供了灵活性和控制性,可针对您的独特环境优化监控活动。这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。此外,还可根据独特的要求灵活创建自定义规则。
日志审计
查找日志文件中隐藏的重要安全事件并了解相关信息
使用Deep Security 日志审计软件模块可收集并分析操作系统和应用程序日志,以查找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。这些事件随后会转发到一个SIEM 系统或集中式的日志记录服务器,以便进行关联、报告和存档。Deep Security 代理还会将事件信息转发到Deep Security 管理器。日志审计模块的部分优势如下:
可疑行为检测:该模块可检测服务器上可能发生的可疑行为。
收集您的整个环境中的事件:Deep Security 日志审计模块能够收集许多事件
并将其关联起来,这些事件包括:Microsoft Windows、Linux 和Solaris 平台间的事件;来自Web 服务器、邮件服务器、SSHD、Samba、Microsoft FTP 等的应用程序事件;自定义应用程序日志事件。
关联不同事件:收集各种警告、错误和信息事件并将其关联起来,包括系统消息(如磁盘已满、通信错误、服务事件、关机和系统更新)、应用程序事件(如帐户登录/注销/故障/锁定、应用程序错误和通信错误)、管理员操作(如管理员登录/注销/故障/锁定、策略更改和帐户更改)。
有关合规性的可审计报告:可生成安全事件的完整审计记录,以帮助满足合规性要求,如PCI 10.6。
5.同其他厂商解决方案区别
6. 方案价值
通过在虚拟化平台上面部署趋势科技Deep Security ,可以给XXX 带来以下的价值:
针对整个服务器虚拟化平台提供多种安全防护,不仅仅是防病毒还包括防火墙、深度数据包检测、日志审计、完整性监控;
在服务器操作系统、应用层面自动拦截针对漏洞的各种已知和未知的攻击,解决服务器漏洞管理难的问题
安全功能模块无代理的工作模式,可以提高物理服务器搭载虚拟机的数量,提高对硬件资源的利用率,更好的起到节能减排(减少物理服务器的数量,节省更多的电费以及机房制冷费用)
1项目概述 1.1竹溪县民政局现状 竹溪县民政局机房现有设备运行年限较长,各业务系统相对独立,造成管理难度大,基于这种现状我司推荐竹溪县民政局信息化启动平台化建设。 竹溪县民政局信息化平台是提高健康水平、提高政府服务质量和效率的有力推手,是规范医疗政府服务,方便群众办事,缓解群众看病难问题的主要手段,不仅对推动竹溪县政务整改工作有重要意义,也是当前竹溪县民政局信息化平台工作迫切的需求。 1.2竹溪县民政局信息化平台建设的基本原则 1)顶层设计,统筹协调原则:竹溪县民政局信息化平台建设要按照国家有 关信息化建设的总体部署和要求,结合竹溪县民政局实际,做好顶层设 计,进行信息资源统筹规划,统一建设规范、标准和管理制度,构建竹 溪县民政局信息化平台为建设目标和任务。运用不同机制和措施,因地 制宜、分类指导、分步推进,促进竹溪县民政局信息化平台工作协调发 展。 2)标准化原则:竹溪县民政局信息化平台建设要在统一标准、统一规范指 导原则下开展,相关技术、标准、协议和接口也须遵循国际、国家、部 颁有关标准,没有上述标准要分析研究,制定出适合竹溪县民政局信息 化平台的标准、规范。 3)开放和兼容性原则:竹溪县民政局信息化平台建设不是一个独立系统, 而是搭建一下通用平台,基于平台承载各类应用系统运行,因此,系统 设计应充分考虑其开放性,同时因发展需要,应具有较好的伸缩性,满 足发展需要。 4)先进性原则:采取业界先进系统架构理念和技术,为系统的升级与拓展 打下扎实基础,如在技术上采用业界先进、成熟的软件和开发技术,面
向对象的设计方法,可视化的面向对象的开发工具,支持 Internet/Ineternet网络环境下的分布式应用;客户/应用服务器/数据 服务器体系结构与浏览器/服务器(B/S)体系相结合的先进的网络计算 模式。 5)安全与可靠的原则:作为竹溪县民政局信息化平台,关乎到民生及医疗 数据安全,其数据库硬件平台必须具备最高的安全性及可靠性,可接近 连续可用。平台一旦出现故障可能会导致群体性事件,因此竹溪县民政 局信息化平台需要建立在一个科学稳定的硬件平台上,并达到系统要求 的安全性和可靠性。二是网络安全。在系统架构和网络结构设计上首先 考虑安全性,必须加强领导、落实责任,综合适用技术、经济、制度、 法律等手段强化网络的安全管理。三是信息安全。主要是数据安全即保 证数据的原始性和完整性,运行数据不可被他人修改或访问,记录者的 记录不容抵赖,访问和修改可追踪性等。在系统设计时既考虑系统级的 安全,又考虑应用级的安全。应用系统采用多级认证(系统级认证、模 块认证、数据库认证和表级认证)等措施,采用用户密码的加密技术以 防止用户口令被破解。同时需制定不断完善的信息系统应急处理预案和 合理的数据库备份策略,在灾难时也能快速从灾难中恢复。四是信息化 平台应具有较强数据I/O处理能力,同时系统在设计时必须考虑在大规 模并发,长期运行条件下的系统可靠性,满足竹溪县民政局信息化7× 24小时的服务要求,保证各机构单位数据交换和资源共享的需要。 6)协调合作原则:要求各有关方将以往的行为方式从独立行事向合作共事 转变,从独立决策向共同决策方式转变。各方在合作基础上,应在人力 资源和设备实体方面全力建立更加稳定的信息技术设施。 1.3平台需求 1.3.1硬件需求 竹溪县民政局信息化平台是支撑整个系统安全、稳定运行的硬件设备和网络设施建设,是系统平台的基础设施。主要包括支撑整个系统安全、稳定运行所需
服务器虚拟化实施方案 (草案) 陕西智维中兴电子科技有限公司 2013年11月
目录 1 项目背景 (4) 2 需求分析 (5) 2.1 系统分析 (5) 2.2 整合IT基础服务器 (5) 2.3 整合重要应用服务器 (5) 3 VMware实施计划 (6) 3.1 实施计划 (6) 3.2 实施系统拓扑图 (7) 4 实施规划 (8) 4.1 集群规划 (8) 4.2 硬件规划 (9) 4.3 网络规划 (9) 4.4 相关软件说明 (10) 5 安装ESXi server (10) 5.1 相关设置规划表 (10) 5.2 安装前准备工作 (11) 5.3 ESXi安装 (12) 6 安装VC (22) 6.1 前提条件 (22) 6.2 安装DB2 (22) 6.3 配置ODBC (32) 6.4 安装VC (35) 6.5 安装VClient (43) 7 创建数据中心 (46) 7.1 创建数据中心 (46) 7.2 配置主机 (46) 7.2.1 添加主机 (46) 7.2.2 配置时间和NTP服务 (49) 7.3 配置license (51) 7.3.1 配置ESX License (51)
7.3.2 检查Vmware License (51) 7.3.3 配置vCenter Server License (53) 7.4 网络设置 (54) 7.4.1 VMware 网络介绍 (54) 7.4.2 管理网络设置 (55) 7.4.3 虚拟机网络设置 (58) 7.4.4 VMotion Kernel网络设置 (59) 7.5 存储设置 (62) 7.5.1 存储和交换机设置 (62) 7.5.2 添加存储配置 (62) 7.5.3 存储扩容配置 (66) 7.6 创建主机群集 (67) 7.6.1 配置主机通信 (67) 7.6.2 配置网络环境 (67) 7.6.3 配置集群 (68) 7.6.4 测试 (71) 7.7 创建只读用户appmon (72) 8 虚拟机部署 (74) 8.1 新建虚拟机 (74) 8.1.1 创建虚拟机 (74) 8.1.2 安装操作系统 (81) 8.1.3 设置虚拟机自动启动 (84) 8.2 模板部署虚拟机 (86) 8.2.1 创建模板 (86) 8.2.2 模板部署虚拟机 (89) 8.2.3 自定义规则 (91) 8.3 克隆部署虚拟机 (98) 9 converter 4.3软件使用 (98) 9.1 VMware converter standalone软件安装 (99) 9.2 P2V 物理服务器至虚拟化架构 (104) 9.2.1 热P2V Windows 2003物理服务器 (105) 9.2.2 热P2V LINUX物理服务器 (115) 9.2.3 冷P2V Windows 2003物理服务器 (124) 9.2.4 冷P2V Linux物理服务器 (137)
网络基础架构及数据中心规划方案 2016年11月
目录 一.网络建设需求 (3) 1.1 目标架构: (3) 1.2设计目标: (3) 二. 规划方案 (4) 2.1 方案拓扑 (4) 2.2 架构说明 (5) 2.3 为什么选用Vmware虚拟化技术(整个方案的重点) (6) 2.4 VMware方案结构 (7) 2.4.1 基础架构服务层 (7) 2.4.2 应用程序服务层 (9) 2.4.3 虚拟应用程序层 (14) 2.4.4 数据备份 (15) 2.4.5 具体方案陈述 (20) 2.5 VMWARE方案带来的好处 (21) 2.5.1 大大降低TCO (21) 2.5.2 提高运营效率 (23) 2.5.3 提高服务水平 (24) 三. 项目预算 (24) 总述
为推进公司信息化建设,以信息化推动公司业务工作改革与发展,需要在集团总部建设新一代的绿色高效能数据中心网络。 一.网络建设需求 1.1 目标架构: 传统组网观念是根据功能需求的变化实现对应的硬件功能盒子堆砌而构建企业网络的,这是一种较低效率的资源调用方式,而如果能够将整个网络的构建看成是由封装完好、相互耦合松散、但能够被标准化和统一调度的“服务”组成,那么业务层面的变更、物理资源的复用都将是轻而易举的事情。最终形成底层资源对于上层应用就象由服务构成的“资源池”,需要什么服务就自动的会由网络调用相关物理资源来实现。 1.2设计目标: 扩展性: 架构设计能应对集团未来几年的发展以及满足整合分公司资源的需要; 简化管理 使上层业务的变更作用于物理设施的复杂度降低,能够最低限度的减少了物理资源的直接调度,使维护管理的难度和成本大大降低。 高效复用 得物理资源可以按需调度,物理资源得以最大限度的重用,减少建设成本,提高使用效率。即能够实现总硬件资源占用降低了,而每个业务得到的服务反而更有充分的资源保证了。 网络安全:
虚拟化解决方案
目录 一、VMware解决方案概述........................ 错误!未定义书签。 1.1 VMware服务器整合解决方案......................................................................... 错误!未定义书签。 1.2 VMware商业连续性解决方案......................................................................... 错误!未定义书签。 1.3 VMware测试和开发解决方案......................................................................... 错误!未定义书签。 二、VMware虚拟化实施方案设计.................. 错误!未定义书签。 2.1 需求分析 ......................................................................................................... 错误!未定义书签。 2.2 方案拓扑图 ..................................................................................................... 错误!未定义书签。 2.3 方案构成部分详细说明 ................................................................................. 错误!未定义书签。 2.3.1 软件需求.............................................................................................. 错误!未定义书签。 2.3.2 硬件需求.............................................................................................. 错误!未定义书签。 2.4 方案结构描述 ................................................................................................. 错误!未定义书签。 2.4.1 基础架构服务层.................................................................................. 错误!未定义书签。 2.4.2 应用程序服务层.................................................................................. 错误!未定义书签。 2.4.3 虚拟应用程序层.................................................................................. 错误!未定义书签。 2.4.4 VMware异地容灾技术......................................................................... 错误!未定义书签。 2.5 方案带来的好处 ............................................................................................. 错误!未定义书签。 2.5.1 大大降低TCO....................................................................................... 错误!未定义书签。 2.5.2 提高运营效率...................................................................................... 错误!未定义书签。 2.5.3 提高服务水平...................................................................................... 错误!未定义书签。 2.5.4 旧硬件和操作系统的投资保护.......................................................... 错误!未定义书签。 2.6 与同类产品的比较 ......................................................................................... 错误!未定义书签。 2.6.1 效率 ..................................................................................................... 错误!未定义书签。 2.6.2 控制 ..................................................................................................... 错误!未定义书签。 2.6.3 选择 ..................................................................................................... 错误!未定义书签。 三、VMware 虚拟化桌面应用实列 ................. 错误!未定义书签。 3.1 拓扑图 ............................................................................................................. 错误!未定义书签。 3.2 方案描述 ......................................................................................................... 错误!未定义书签。 3.3 方案效果 ......................................................................................................... 错误!未定义书签。 四、项目预算.................................. 错误!未定义书签。
XX服务器 虚 拟 化 方 案
第一章概述 1.1项目背景 XX征信有限公司成立于北京,管理中心坐落于六朝古都南京,是国内早期从事非银行类信贷信息管理的公司之一。专门提供个人征信、企业评级、商家诚信认证等服务,被中国市场学会信用工作委员会授予副理事长单位,同时,聘请XX征信有限公司总经理XX先生为中国市场学会信用工作委员会副理事长。 XX征信在征信系统设计开发、区域信用体系建设、征信管理咨询等方面有着丰富的实践经验。在借鉴了国内外成熟的征信系统和完善的管理机制后,通过自主研发,建立了适应我国经济体制的非金融机构借贷信息共享平台,简称CMS平台。 CMS平台尽最大可能确保了信息主体记录的准确性、完整性、及时性和跨领域的一致性。此外,公司会实时更新录入者的具体信用情况,会员用户可以及时通过CMS平台查询主体信用信息,降低风险、寻找合作项目。。 1.2 项目目标 本着先进、实用的原则,XX利用虚拟化,将现有IT 基础架构转变成基于VMware vSphere,从而让IT 系统能够通过服务级别自动化提高控制力。降低资金成本和运营成本并最大限度提高IT 效益,同时保留选择任何应用程序、操作系统或硬件的自由。 ●通过将现有应用系统移植到虚拟化环境,保证系统的稳定性和可靠性,提高业务系 统的处理性能,提高IT业务效率。 ●通过服务器整合、自动化和高可用性来优化现有IT 基础架构。 ●利用业务连续性和灾难恢复来减少停机并提高可靠性。 ●利用我们的绿色IT 解决方案,通过减少运行的服务器数量和动态关闭未使用的服 务器来提高能效。
●让信息科人员将精力转移到打造具有变革意义的业务解决方案上,而不是放在对硬 件和软件的例行维护上。 ●更充分地利用现有IT资产,使数据中心的资金开销最多降低,大幅降低电力、散热 和占地空间需求,并使资源成本降低。 ●为下一步实现云数据中心提供基础和先决条件。 第二章虚拟化方案设计 2.1系统部署方案 XX征信虚拟化环境预期包含应用和数据库等多套应用,本次项目的主要实施目标是虚拟化环境建设,并将部分现在正在使用中的应用在虚拟化环境中进行部署和使用。 在3台服务器上安装虚拟化系统,组建HA,之后将使用中的核心数据库系统迁移到虚拟化平台上.之后可以根据实际使用情况酌情将其他应用系统迁移到虚拟化服务器上。 2.2 网络拓扑图
某航空公司虚拟化解决方案 行业航空业 用户名称某航空公司 项目需求服务器虚拟化 建设需求服务器虚拟化建设 项目目的IT系统必须要能满足随需应变的业务需求,随需应用的IT架构具有良好的扩展能力和柔性化,能快速地适应企业需求变化,并根据业务需要动态分配资源,从而提高业务 响应能力;能降低维护成本,提高运行效率;能够降低企业应用集成的复杂性,节省系统 整体成本。 解决方案为用户提供强大的虚拟化支持,VMware vSphere 是业界第一款云操作系统,通过将IT 基础架构转变为私有云(根据需要与外部云建立联邦的内部云集合)从而将IT 基 础架构作为可轻松访问的服务来交付。利用成本效益更高的云计算功能,打造灵活、 可靠的下一代IT 服务,对服务级别获得超强的控制力。 背景: 某航空有限责任公司(以下简称“某航”)成立于1992年11月,1993年9月17日正式开航,主要经 营航空客、货、邮运输业务。自开航以来,某航保持了16年安全飞行和15年持续盈利,成为中国民航界 赫赫有名的资产最为优良、主业最为突出、人机比例最低、最具活力和生机的航空公司之一,曾先后荣获“**市市长质量奖”、“中国最具价值品牌”、“中国十大雇主品牌”等荣誉。 用户需求及目标 IT架构需要优化 作为目前国内五大航空集团之一,某航深知,航空企业的发展离不开信息化建设,只有信息化能够帮 助某航在国内激烈的民航竞争中立于不败之地。自成立以来,某航在信息化建设上持续投入,不仅实现了 主要业务如订票系统、离港系统、货运系统、飞行运行管理系统、行李查询系统、财务系统、结算系统、 飞行部门编排航班、机组排班等业务的全部计算机化,而且还在移动办公、生产控制和服务营销等方面实 现了全方位的移动信息化。如今,某航信息化水平在国内航空公司中处于领先地位,为某航的成功发挥着 保驾护航的作用。 在成绩面前,某航没有骄傲,他们清醒地认识到,要让某航在这个充满变化的时代保持企业高速稳定 的发展,IT系统必须要能满足随需应变的业务需求,随需应用的IT架构具有良好的扩展能力和柔性化,能 快速地适应企业需求变化,并根据业务需要动态分配资源,从而提高业务响应能力;能降低维护成本,提高
1.1、VMware虚拟化实施内容 在本期项目中,将遵照规划和架构设计进行项目实施。本实施方案不涉及具体操作步骤 和细节配置,而主要针对项目实施的过程进行控制。预计的实施步骤如下: 1.准备阶段 准备阶段是为项目的实施搜集各方面资料和必要的工具,同时也包括双方参与实施人员 的确定。准备阶段主要内容如下; 软件介质准备,包含项目涉及的所有软件产品介质,如果是项目内采购则由卖方准备, 如采用用户现有的软件则由用户方提供,主要的介质包含: (1)VMware产品介质 (2)各虚拟机的操作系统介质 (3)在应用服务器上运行的所有应用软件介质 (4)服务器硬件驱动程序介质 如涉及到License则需要提供方确保在提供软件介质时同时提供有效的License授权。如Windows操作系统需要S/N号码等。 在准备阶段还需要确定实施需要的人员名单,每个步骤的参与人员要事先确定下来。为 了确保应用迁移时的现场技术支持,要求在应用迁移或服务器迁移时确保应用软件的管理员或 厂家技术人员能够现场支持。 2.VMware vSphere虚拟架构实施 在实施过程中,主要的工作包括虚拟环境搭建和系统迁移两部分,本节主要针对VMware vSphere4虚拟化架构搭建的过程进行描述。 针对本期项目的情况,需要按照下列步骤进行VMware vSphere架构建设。在此,只对实 施的过程列表并进行简要说明,详细地安装和配置技术实现步骤将在安装过程中为用户进行现 场培训,并在项目实施后的安装报告中将具体参数设置等进行汇总和记录,安装报告将在总结 与交付阶段与项目的其他文档共同转移给用户的管理团队。 项目实施内容任务描述 物理环境 准备服务器硬件预先安装 和配置确认 1.服务器硬件安装(如需); 2.服务器硬件机架安装位置标示; 3.服务器内部硬件配置确认; 网络交换机安装和物 理环境确认 1.交换机端口预留; 2.网络线缆连接;
呈送: 验收: 服务器虚拟化项目完成报告书 2012-09-25
项目概述 1, 硬件配置 服务器1 DELL R720 CPU : XEON E5-2650 8Core *2 RAM : 32G NIC : 1000M*4 HDD : 300G SAS *2 服务器2 DELL R720 CPU : XEON E5-2650 8Core *2 RAM : 32G NIC : 1000M*4 HDD : 300G SAS *2 存储器 DELL PowerVault MD3600f HDD:10*600GB " 15K RPM, 6Gbps SAS HDD ; Con troller Box1:PowerVault(TM) MD36x0f*1 ; Con troller Box2:PowerVault(TM) MD36x0f*1 SFP收发器:带2个SFP端口 *2 2, 软件 虚拟化平台: VMware vSphere 5 Esse ntials Plus Kit for 3 hosts (Max 2 processorsper host) and 192 GB vRAM en titleme nt (最大支持:一个标准版vCenter和三台虚拟主机(每台主机的物理CPU个数不超过2) 客户机OS: Win dows Server 2003 R2 STD 32BIT Win dows Server 2008 R2 STD 64BIT vCenter服务器OS: Windows Server 2008 R2 64BIT标准版 数据库:SQL Server 2008 Express
Deep-Security虚拟化安全解决方案
XXX 虚拟化安全解决方案
趋势科技(中国)有限公司 2011年9月
目录 第1章.概述 (3) 第2章.XXX虚拟化安全面临威胁分析 (4) 第3章.XXX虚拟化基础防护必要性 (7) 第4章.趋势科技虚拟化安全解决方案 (8) 第5章.XXX虚拟化安全部署方案 (14) 5.1.VMware平台部署方案 (14) 5.2.趋势虚拟安全方案集中管理 (15) 5.3.XXX虚拟化防护解决方案拓扑 (15) 第6章.趋势科技DeepSecurity介绍 (16) 6.1.DeepSecuirty架构 (16) 6.2.DeepSecuirty部署及整合 (18) 6.3.DeepSecuirty主要优势 (19) 6.4.DeepSecuirty模块 (21)
第1章.概述 XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。 在XXX,这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。 而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量
V M w a r e虚拟化实施方案-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
1.1、VMware虚拟化实施内容 在本期项目中,将遵照规划和架构设计进行项目实施。本实施方案不涉及具体操作步骤和细节配置,而主要针对项目实施的过程进行控制。预计的实施步骤如下: 1.准备阶段 准备阶段是为项目的实施搜集各方面资料和必要的工具,同时也包括双方参与实施人员的确定。准备阶段主要内容如下; 软件介质准备,包含项目涉及的所有软件产品介质,如果是项目内采购则由卖方准备,如采用用户现有的软件则由用户方提供,主要的介质包含: (1)VMware产品介质 (2)各虚拟机的操作系统介质 (3)在应用服务器上运行的所有应用软件介质 (4)服务器硬件驱动程序介质 如涉及到License则需要提供方确保在提供软件介质时同时提供有效的License 授权。如Windows操作系统需要S/N号码等。 在准备阶段还需要确定实施需要的人员名单,每个步骤的参与人员要事先确定下来。为了确保应用迁移时的现场技术支持,要求在应用迁移或服务器迁移时确保应用软件的管理员或厂家技术人员能够现场支持。 2.VMware vSphere虚拟架构实施 在实施过程中,主要的工作包括虚拟环境搭建和系统迁移两部分,本节主要针对VMware vSphere4虚拟化架构搭建的过程进行描述。 针对本期项目的情况,需要按照下列步骤进行VMware vSphere架构建设。在此,只对实施的过程列表并进行简要说明,详细地安装和配置技术实现步骤将在安装过程中为用户进行现场培训,并在项目实施后的安装报告中将具体参数设置等进行汇总和记录,安装报告将在总结与交付阶段与项目的其他文档共同转移给用户的管理团队。
凯迈测控服务器虚拟化资源整合建设方案
一、前言 云计算如何让IT 改头换面 在这个必须先发制人、IT 对每个决策都很关键的商业世界,IT 响应能力和敏捷性可为企业带来竞争优势。然而,许多IT 组织却难以作出足够快的反应,这是因为他们的基础架构不但管理成本高昂,而且还由于过于复杂而难以进行调整。 云计算提供了一种更为高效、灵活和经济的方法,可帮助IT 组织满足不断增长的业务需求:IT 即服务。VMware 提供了一种向这种新模式转型的变革性实用方法,采用的解决方案既能够充分利用云计算的强大功能,又能够确保安全并实现对现有技术投资的保值。 VMware 的方法:踏上“你的云”之旅 虚拟化是云计算的基本促进因素。作为虚拟化领域的领导企业,VMware 将这一坚实的基础作为立足之本,其平台和解决方案可为云计算基础架构提供动力、构建并运行强健的云计算应用程序,并将终端用户计算作为基于云的服务提供。 我们的方法具备全面性,但与其他云计算产品不同,它并不试图用一种云满足所有需求。为了实现竞争优势,必须灵活地对云计算进行量身定制和调整以满足您的个性化需要。对于您的企业而言,云可以是内部私有云、利用外部服务的公有云,或二者相结合的混合云。 无论哪个云选项最适合您,都只有VMware 可提供用于构建和管理云的完整解决方案体系,而且VMware 拥有广泛的合作伙伴体系,可以确保其解决方案中的一切均安全、无缝地正常运转。我们不会向所有客户都提供同样的云,我们提供的是“你的云” - 通过促进IT 交付能力来促进您更快取得业务成效。 VMware 的定制方法能通过实现以下方面带来灵活性和安全性,并同时保护您的现有投资: ?通过提高利用率和实现自动化来提高效率 池化资源以及动态优化的自助管理环境可以显著提高IT 性能- 利用现有资源以避 免不必要的基础架构投资和技术锁定。这样可以降低总体拥有成本(TCO)。 ?敏捷性和可控性 云计算旨在加强终端用户的计算能力,同时确保安全性并保留IT 的监督和授权能 力。VMware 解决方案将所有三种云计算环境结合在一起,从而可极大地简化IT 服务调配和部署,同时保持IT 控制力、防护性保护以及合规性。因而,IT 组织可以更加快速安全地响应不断发展的业务需求。 ?自由选择 IT 保留了支持传统系统的能力,并获得了在内部或外部部署传统系统的灵活性,而不必局限于任何一种技术或一家供应商。开发人员可以构建可在通用的管理和安全框架内的混合云、私有云和公有云之间移植的应用程序。
VMware服务器虚拟化解决方案详细
虚拟化解决方案
目录 一、VMware解决方案概述.......................................... 错误!未定义书签。 1.1 VMware服务器整合解决方案.................................... 错误!未定义书签。 1.2 VMware商业连续性解决方案.................................... 错误!未定义书签。 1.3 VMware测试和开发解决方案.................................... 错误!未定义书签。 二、VMware虚拟化实施方案设计 .............................. 错误!未定义书签。 2.1 需求分析 ................................................................... 错误!未定义书签。 2.2 方案拓扑图 ............................................................... 错误!未定义书签。 2.3 方案构成部分详细说明 .............................................. 错误!未定义书签。 2.3.1 软件需求 ............................................................ 错误!未定义书签。 2.3.2 硬件需求 ............................................................ 错误!未定义书签。 2.4 方案结构描述.............................................................. 错误!未定义书签。 2.4.1 基础架构服务层................................................. 错误!未定义书签。 2.4.2 应用程序服务层................................................. 错误!未定义书签。 2.4.3 虚拟应用程序层................................................. 错误!未定义书签。 2.4.4 VMware异地容灾技术 ...................................... 错误!未定义书签。 2.5 方案带来的好处 .......................................................... 错误!未定义书签。 2.5.1 大大降低TCO ..................................................... 错误!未定义书签。 2.5.2 提高运营效率..................................................... 错误!未定义书签。 2.5.3 提高服务水平..................................................... 错误!未定义书签。 2.5.4 旧硬件和操作系统的投资保护 ......................... 错误!未定义书签。 2.6 与同类产品的比较 ...................................................... 错误!未定义书签。
XXX服务器虚拟化安全解决方案范文 录 1、环境概述 42、面临安全威胁 42、1、针对操作系统漏洞的攻击 42、2、针对应用的攻击 42、3、虚拟化带来新的威胁 42、4、统一管理和审计 53、安全防护需求 64、安全防护方案 64、1、架构设计 74、2、方案部署104、3、功能模块105、和传统防护方案的区别1 46、方案价值14 1、环境概述XXX目前对部分应用系统进行了虚拟化,情况概述如下:l4台物理服务器,每台服务器采用4个6核CPUl 每一个虚拟服务器采用3核CPU 标准配置l 总共有32台虚拟服务器 2、面临安全威胁 2、 1、针对操作系统漏洞的攻击海事局目前的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:l 大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行l 黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。 2、2、针对应用的攻击虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统,这些应用系统都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数
据,或者是导致应用不能正常对外提供服务。 2、3、虚拟化带来新的威胁当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题:l 硬件资源利用率受到限制当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会在每一个虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,运行这些安全软件需要占用相同的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。l 后台资源冲突每个虚拟服务器操作系统上面单独安装安全软件,会随着虚拟服务器数量增加造成对后端存储的负荷越来越大,最终会影响到虚拟服务器的运行速度。l 物理边界模糊当服务器虚拟化之后,每台物理服务器上面运行了8个虚拟服务器系统,在虚拟化环境里面,使用靠可用性功能之后,这8个系统并不是固定的,而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求 2、4、统一管理和审计服务器的管理不仅仅是基本的安全防护,同时也需要进行受到攻击后的追溯以及取证,这就需要根据一些法规要求,对系统以及应用的日志进行统一收集,一旦服务器上面的操作触发了事先设定条件,就上传日志,便于事后管理和审计 3、安全防护需求通过对XXX服务器虚拟环境的了解,以及面临的威胁分析,目前XXX服务器虚拟化存在的安全需求有几下几点: 1、对虚拟化操作系统提供全面的安全防护:防病毒、防火墙、深度数据包检测等 2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击 3、针对虚拟化的特色,提供无代理安全防护,节省物理服务器硬件资源,提高虚拟服务器的搭载密度
V M w a r e服务器虚拟化 解决方案
VMware虚拟化解决方案
一、项目研究内容 1.1 虚拟化的应用 随着企业的成长,IT部门必须快速地提升运算能力-以不同操作环境的新服务器形式而存在。因此而产生的服务器数量激增则需要大量的资金和人力去运作,管理和升级。 IT部门需要: ?提升系统维护的效率 ?快速部署新的系统来满足商业运行的需要 ?找到减少相关资产,人力和运作成本的方法 虚拟构架提供前所未有的负载隔离,为所有系统运算和I/O设计的微型资源控制。虚拟构架完美地结合现有的管理软件并在共享存储(SAN)上改进投资回报率。通过把物理系统整合到有VMWARE虚拟构架的数据中心上去,企业体验到:?更少的硬件和维护费用 ?空闲系统资源的整合 ?提升系统的运作效率 ?性价比高,持续的产品环境 整合IT基础服务器 运行IT基础应用的服务器大多数是Intel构架的服务器 这一类的应用通常表现为文件和打印服务器,活动目录,网页服务器,防火墙,NAT/DHCP服务器等。
虽然大多数服务器系统资源的利用率在10%-15%,但是构架,安全和兼容性方面的问题导致必须指定不同的物理平台来运行它们。 管理,安装补丁和添加安全策略将花去大量的时间。另外,服务器的衍生组件将导致设备,动力和散热方面的成本上升。 因为低服务器的利用率,低CPU的合并和中等I/O的要求,IT基础服务器首选作为虚拟化和相关整合的候选者。 虚拟化使得企业能实现: ?达到甚至超过每个CPU,4个负载的整合比率 ?更便宜的硬件和运作成本 ?在服务器管理方面的重大改进,包含添加,移动,变更,预制和重置 ?基础应用将变得更强壮和灾难抵御能力 整合重要应用服务器 根据5个不同的企业使用服务器软件来大幅降低成本的实例,VMWARE出具了一份研究报告。 使用服务器TCO模型来分类和计算成本,我们分析显示VMWARE服务器软件帮助这些企业实现: ?减少28%-53%的硬件成本 ?减少72%-79%的运作成本 ?减少29%-64%的综合成本 客户目标: ?整合空闲服务器和存储资源,为新项目重新部署这些资源 ?提升运作效率 ?改进服务器的管理灵活性 ?通过零当机维护改善服务等级
虚拟化环境建设方案 方案背景 随着IT技术的飞速发展,基础传统IT架构模式下的应用规模扩大,需要更多的服务器来支持业务的发展,同时出现了如下几个问题: 资源利用率低、闲置率高,运行效率低 应急处理响应时间慢、服务保障差 运行维护成本高 虚拟化的出现很好的解决了上面出现的问题: 虚拟化技术,能够通过区分资源的优先次序随时将服务器资源分配给最需要它们的虚拟机应用,简化管理并提高效率,从而减少为单个工作负载峰值而储备的资源。 对于拥有较多服务器,或是应用较多的IT用户,采用虚拟化对他们来说是非常有吸引力的。可以降低TCO,运维成本,方便管理,降低应用规模增长服务器相应增长数量等,同时可以提高安全性。 基于浪潮TS850的虚拟化解决方案 下图为基于浪潮TS850的虚拟化解决方案拓扑图:
方案性能、特色 企业级应用部署虚拟化具备众多优势,它有助于更有效地利用资源和更出色地管理系统。浪潮作为国内最大、最专业的服务器及存储厂商,在虚拟化应用推广也起着模范带头作用。浪潮可以根据用户需求,提供业界先进、稳定可靠的虚拟化解决方案。本虚拟化方案采用了浪潮最新自主研发的八路至强服务器TS850,该方案相比较四路虚拟化方案具有明显的优势:
1. 八路服务器,更多的内核,更大的内存,可部署更多的虚拟机 2. 强大的RAS 特性,出色的集群HA 功能,保证了客户应用业务的连续 性 3. 高扩展性,可实现随业务增长的性能扩展 4. 降低维护管理难度和强度,相对多台物理机作虚拟化更加简化 5. 节省能源消耗 TS850在虚拟化的应用方面有着得天独厚的优势,在其平台上部署虚拟化可以更好的满足应用需求,保证业务连续性,简化维护管理,降低客户TCO 。浪潮高端八路服务器TS850与虚拟化的结合,不仅能充分发挥自身的性能优势,同时也保证了虚拟化应用特性的充分利用。 客户价值 减少方案总体成本,从而降低高可用性应用门槛。 按照传统方案实现应用的高可用,需要将服务器数目增加一倍,带来大量的采购成本。同时,电力消耗、制冷消耗、人员维护成本都将随服务器数量线形增0 0.5 1 1.5 2 2.5 数据库 邮件服务 Web 服务 四路服务器 八路服务器
噢易服务器虚拟化网络中心 技术方案 1.需求分析 软件和硬件技术不断发展,越来越多的学校依赖IT技术来有效地支撑业务系统和流程。技术融入越多,应用扩展越多,学校就需要越来愈多的服务器容量来应对需求,随之面临的管理问题逐渐上升。 服务器资源分散,管理维护困难 随着业务的不断更新,网络中心服务器数量逐年增长,每台服务器搭建一个应用,资源分散,不能很好整合,无法集中统一管理,升级、维护等问题需要到网络中心服务器上逐一解决。 服务器资源利用率低 学校网络中心原有一些服务,如文件服务、WEB服务等业务使用的是独立的服务器,使用频率不高,但占用相当多的服务器,不仅服务器资源利用率低,效果也有待提升。 为保证系统安全性和可靠性,网络中心数据库服务器一般采用双机热备的方式,应用服务器一般采用负载均衡或冷备方式,导致服务器数量众多。安全性和可靠性虽然得到提高,但备机系统资源平时并没有利用到,浪费了备机系统资源,资源利用率低,同时也增加了维护成本以及维护工作量。 除此之外,很多学校网络中心在采购的时候就考虑到3-5年的扩容,导致网络中心的服务器和存储利用率一般平均不到50%,基本属于轻负载状态(10%~15%),使得资源的浪费非常大,得不到合理利用。 部分服务器老化,应用不稳定
随着应用的更新,应用年限的增长,部分服务器硬逐渐老化,很多老旧的服务器已无法支撑学校应用系统,导致应用系统不稳定。而采购全新的服务器,一台服务器只安装一个应用的话,采购成本大,也增加了管理难度。 业务扩展困难,临时环境搭建耗时耗力 随着业务系统建设的深入和业务处理量的不断增加,未来对于IT系统的使用还将会是一个快速增长的趋势,随着大量软件应用不断增加,应用数据的逐渐累积,以及终端设备的大规模采购,必然导致已有的服务器难以支撑未来业务的不断扩展需求,需要增加投入。而传统的方式,增加新的应用就需要增加新的服务器,随之增加投入成本; 另外,学校临时应用环境的搭建,如部分老师需要搭建临时的测试系统,使用时间不长,但又需要硬件服务器资源;如临时考试系统,需要准备硬件资源,还要搭建软件环境,使用完以后又会迅速拆除,环境搭建费时费力,无法快速上线。 停机中断 硬件故障维护、升级或者扩容时候需要停机进行操作,造成应用系统中断,影响了正常业务应用系统使用及开展,特别是一些重要以及一些24小时不中断的应用,如财务系统,教务系统,重要的WEB应用等。 软件兼容性冲突 不少网络中心存在一个服务器在没有做虚拟化的情况下搭建多个应用的情况。由于业务性质的差异性,大量的教学业务系统,不同厂商开发,不同版本,很难统一部署和管理,软件正常使用,系统稳定性得不到有效保证。 视频应用或大流量访问带来的网络堵塞问题 学校网络中心的重要应用,如录播系统,视频点播系统,活跃网站访问,在高峰期可能会出现网络拥堵,而网络中心现有的硬件资源无法很好的解决这样的网络问题。 业务安全性、连续性要求增高,IT管理越来越复杂。 为了保证业务的安全性和连续性,对服务器的管理维护要求越来越高,由于服务器系统故障、硬件故障导致业务中断,需快速恢复,很多学校由于业务性质的特殊性,一般都会采用双机或者多机热备份方式,主服务器故障,自动切换到其他备份服务器上,安全性和可靠性虽然得到提升,但备机系统资源平时并没有利用到,浪费了备机系统资源,也增加了维护