应用带外管理系统的建设实践

随着云计算、大数据、移动互联网等新技术的深入应用，数据中心需要适应虚拟化的部署、网络的可伸缩性和整个机房的可扩展性。面对高速发展的业务对数据中心提出的挑战，并考虑到投入产出效益最大化等问题，经过公司的慎重决定，选择租用专业的机房建设下一代数据中心。

        为提高数据中心的有效性和可靠性，我们要求在技术上做好专业的机房基础建设、数据中心级别的网络规划结合结构化的综合布线、可靠的机房环境和可扩展的网络部署，但最重要的是对环境要有专业化、标准化的管理模式，对信息技术相关人员和团队的权限、岗位设置等要有明确的管理思路。另外，对资产、软件、数据、通信线路等资源，也要明确管理制度并落实下来，对业务流程、业务操作要有明确的管理制度和留痕。总之，规范的基础环境建设、高可靠的网络部署、合理的安全区划分和隔离、严格的运维管理、全程的实时监控和审计，以及严格的制度建设和落实应用带外管理系统的建设实践等，是中信建投证券保障新一代数据中心安全运维的管理理念和设计思路。而这些理念和思路需要借助业界先进的、专业的IT 工具得以实现。

        因此，我们比较了带内和带外两种运维管理模式。经过测试发现带外管理系统对于实现上述管理理念更为安全和有效。它不仅能分流包括运维在内的一部分工作，还能通过建立一个带外网络的运维监控系统，监控主机的健康程度、温度、基础环境、网络终端。这种不占用业务系统带宽的形式，能极大限度地把不必要的流量剥离出来。在实现远程管理的同时，还可对权限做严格管理。通过前期的深入考察了解，并结合证券公司在带外管理需求的自身特点，我们以Avocent 带外管理系统为基础结构、DCP 可视化资产管理系统为补充的组合方式进行选型。在服务器带外管理方面，采用MPU8032DAC 数字KVM 交换机，提供给用户至少8 路的远程并发访问通道。同时，当远程用户断开KVM 会话后，KVM 系统自动对被控服务器进行锁屏，保护服务器信息的安全性，避免信息的外泄。在网络设备方面， 采用ACS6032DAC 串口管理交换机，管理员在运维过程中可以通过串口管理交换机，直接登录任意网络设备的串口，对网络设备进行管理，保障网络的安全运行。在SP 接口管理方面，通过UMG4000 带外管理网关实现对ILO、DRAC 等远程控制卡的管理，纳入统一的DSV4 认证管理平台，所有管理员均可以通过这一入口，对数据中心内的基础设备进行操作和管理，有效提升了管理效率及数据中心的运维安全性。

        通过DCP 可视化资产管理系统与目前DSV4 带外管理系统相融合，达到“所见即所管”的效果，对机房内的相关数据进行可视化呈现，资产、能耗、空间、布线等基础数据，都可以通过带外管理系统进行调用，管理员可以随时了解数据中心的运行情况。在Avocent公司及北京昕辰宏伟软件有限公司等单位的积极配合下，自2014 年8 月正式投入使用，带外管理系统的整体运维能力已达预期效果。运维人员可以远程带外管理目标设备，所有的操作实时有效，且通过昕辰DRA 审计系统，对所有的操作均进行录像保留，符合我们内部的安全审计要求。在未来的运维过程中，数据中心的运维管理将向“人机分离，无人值守”这一趋势发展，通过更为有效的带外管理方式，建设更为高效、更为可靠性的运维管理平台。

（文章来源：《金融电子化》杂志） 

扫码即可手机
阅读转发此文