《应用支持平台设计与建设课件》由会员分享,可在线阅读,更多相关《应用支持平台设计与建设课件(79页珍藏版)》请在金锄头文库上搜索。
1、应用支持平台设计与建设应用支持平台设计与建设商尔从 , 中山大学信息与网络中心议题议题n第一部分 数据中心建设n第二部分 核心中间件技术IT整体构架整体构架第一部分第一部分 数据中心建设数据中心建设n建立数据中心的目的n数据中心及其服务n数据中心服务面临的挑战数据中心建设目的数据中心建设目的n数据中心的建立与学校的远景和战略目标一致n整合关键IT资源在一个可控的环境中央管理环境,适应学校的发展n打破部门边界,实现IT资源有效的集成、整合、优化、资源有效共享n科研、教与学以及校务管理过程合理化n提高工作效率、改善教学效果、促进科研快速发展n有效地形成新的、健康的校园文化n重大基础性工程和标志性工
2、程数据中心n用于放置关键核心计算资源的场所,支持关键应用n是一系列服务及过程的集合n需要依赖一系列策略的支持来源:Cisco Enterprise Data Center Design数据中心的服务n基础设施服务nServer Farm服务n存储服务n安全服务n管理服务n基础应用服务数据中心服务来源:Cisco Enterprise Data Center Design基础设施服务n场地环境设施n网络环境基础设施服务(续)场地环境设施场地规划n建筑物n楼层n楼板承重n运输装卸n门窗要求基础设施服务(续) 场地环境设施活动地板n使用24in x 24 in的活动地板n活动地板高度40cm方便布设
3、线缆n房间空间不足可以使用天花板上送风上回风、天花板布设线缆的方式基础设施服务(续)场地环境设施空调送风n精密机房空调(主/备)n下送风上回风/上送风上回风n新风系统n排风系统基础设施服务(续) 场地环境设施供电n两路供电nUPS双机系统n380v三相/220v单相供电n电源插座,足够的数量n380v三相工业插座n220v单相工业插座(16A/32A)n220v民用插座(10A/15A)基础设施服务(续) 场地环境设施布局设计n提高空调送风系统的效率n“冷空气通道”“热空气通道”间隔n整洁、提高空间利用率n使用机柜(Rack/Open Rack)n方便工作有利安全n机柜分区、分组放置n机柜分组
4、间留有工作及安全通道基础设施服务(续) 网络环境n网络Layer 1-3层结构设计nGE, 10GEnDWDN, CWDN, SONETn智能网络服务nVLANs, PBRnSLB, QoSnVPN基础设施服务(续)其他nPDU (电源分配器)nKVM Switchn工具n标签n基础设施文档Server Farm服务主要提供服务器存放及托管nIntranet Server FarmnInternet Server FarmnDMZ Server Farmn开放式网络(Opened Network)Server FarmnExtranet Server FarmServer Farm服务(续)S
5、erver Farm服务(续) 核心服务器要求n服务器硬件平台与操作系统所使用的技术是成熟可靠的,使用开放的标准n良好的分区功能n很好的稳定性,有高的RAS特性nReliability(可靠性):减少故障,保障数据完整nAvailability(可用性):持续访问系统与应用能力nServiceability(可服务性):在线诊断,快速修复n良好的负载管理功能n良好的经济性和投资保护性Server Farm服务(续)目前拥有的服务器nIBM p690 两台 共40 x Power4 1.1GHz CPU, 40GB内存nSun Fire E6900 一台 20 x USIV 1.2GHz CPU
6、, 80GB内存nSun Fire V240/V210, Dell PE 6500,2560,1850超过20台nHPCC 64节点存储服务n存储服务是数据中心的重要组成部分,存储服务是将主要的存储功能从服务器中分离开来,并使存储空间利用率有效提高,使存储分配策略更加灵活,从而实现数据的有效集中nGartner分析师Roger W. Cox:存储已经成为“IT基础设施的第三大支柱”。n存储在设计与部署数据中心服务上,成为关键性的重要部分,它的重要性等同于核心计算与网络技术存储服务(续)nSANnNASniSCSInDASn磁带库nD-to-D-to-Tn虚拟磁带库存储服务(续)存储服务(续)
7、CX600存储阵列n每秒150,000次缓存I/O;1,300MB/秒的持续吞吐量n微软Windows NT、Windows 2000、Windows Server 2003 、Sun Solaris、HP-UX、IBM、AIX、NetWare、Linux、SGI、Irix、TRU-64nRAID级别 RAID 0 RAID 1 RAID 1/0 RAID 3 RAID 5n每个驱动器都有独立的双FC-AL接口,运行速度为200MB/秒 故障时可以从任一个存储处理器转移到两个光纤通道环路n每个存储阵列最高达58.4TB 支持36GB、73GB和146GB 1英寸FC2硬盘和256GB、320G
8、B 1英寸ATA硬盘 每个阵列支持240个硬盘n存储管理:Navishere、 SnapView、AccessLogix、PowerPathnDELL/EMC DS-16B存储服务(续) CX600存储阵列nCX600原始容量34.11TB,提供27.75存储容量,12个DAE,180只硬盘(FC 135只 ATA 45只),8GB缓存n两组光纤交换机,提供64个端口,目前连接了12台服务器(含IBM p690分区及Sun Fire E6900域)n已划分容量24.31 TB,剩余可用容量3.44 TBn图书馆实际容量15.6TBn网络教育学院实际容量800GB(计划外划分)n数字化学习实际容
9、量600GB(教学资源400GB)n教工和学生邮件服务实际容量3.5TBn数据库、门户、LDAP、校务系统占用的实际容量1TBnHPCC占用的实际容量为1TB存储服务(续) CX600存储阵列存储服务(续) 网络备份n由磁带库、备份软件、备份服务器组成nDELL PV136T,2个LTO Ultrium 2驱动器。每个LTO 2 native传输速度30MB/s,108 GB/h,72个磁带槽位n备份软件:Veritas NetBackup Data Center Backup Server、NetBackup Data Center SAN Media Server、NetBackup Da
10、ta Center Oracle Agent、NetBackup Data Center MS SQL Agent、NetBackup Data Center Library Support、NetBackup Data Center Shared Storage Option存储服务(续) 网络备份安全服务n交换机ACLn防火墙nCheck Point SecurePlatform NG with Application Intelligence (R55)nSmartDefence及报表模块n2 x DELL PE2650, 1Gbps EthernetnIDSn核心中间件服务n标识符管理
11、/LDAP/认证/证书管理服务n故障管理nWhatsupnNagiosn配置管理n记帐管理nfreeRADIUSn性能管理nSolarwindsnCacti/OpenNMSn安全管理基础应用服务n目录服务及目录集成服务n门户服务nWeb服务n邮件服务n校务管理系统平台nOracle9i基础应用服务(续)目录服务及目录集成服务nIBM Directory Server (IDS) 5.2n提供标准的LDAP服务n为门户、邮件、RADIUS等认证提供用户数据nIBM Directory Integrator (IDI) 5基础应用服务(续) 目录服务及目录集成服务基础应用服务(续) 目录服务及目录
12、集成服务装配线(AssemblyLines)Ora_to_IDS,用于将用户信息从Oracle数据库中导入到IDS中。 基础应用服务(续) 目录服务及目录集成服务主要通过两个连接器来完成,Read_Oracle实现从Oracle数据库的相应视图中将用户数据读入内存变量,Write_IDS实现从读入的内存变量中将数据进行处理(通过VB Script或Java Script来实现) 基础应用服务(续) 门户服务nIBM WebSphere Portal for Multiplatforms 5.1.0.1n将所各种软件组件集成在一起,为教职工、学生提供基于个性化和协作性的门户网站基础应用服务(续)
13、 门户服务基础应用服务(续) 门户服务基础应用服务(续) 门户服务数据中心服务面临的挑战数据中心面临各种技术上与IT策略上的挑战n虚拟化n后备与分布nILM(信息生命周期管理)n开放(源码)操作系统/软件的挑战nITSM(IT服务管理)的挑战数据中心服务面临的挑战虚拟化nServer Farm服务的服务器虚拟化n分区技术n虚拟机(仿真)技术 n存储服务的虚拟化nSAN、NAS和iSCSI n磁带、磁带驱动器和磁带库的虚拟 n应用服务的虚拟化 n集群技术nSLB技术n网格技术(Oracle 10g、Platform LSF )数据中心服务面临的挑战后备与分布n数据中心面临的风险n基础设施故障(网
14、络,通信,电力,空调,通风等)n服务器硬件故障n服务器操作系统及数据库崩溃n人为事故(误操作、故意破坏、偷盗)n火灾、大地震 n建立后备支援中心n制定DRP(灾难恢复计划),SHARE 78 Tier 1-7 数据中心服务面临的挑战信息生命周期管理(ILM)n是存储服务管理策略的重要组成部分n随着时间的推移,信息的价值不断增长或减少n对无价值信息需要归档删除信息释放空间n信息分层存储管理数据中心服务面临的挑战开放(源码)操作系统/软件的挑战n开放源码的优势(成本低、用户群大)n开放(源码)操作系统nLinux (RHEL, CentOS等)nUnix (FreeBSD, Solairs10)n
15、开放源码软件n安全服务 (m0n0wall, pfSense, mpd, openLDAP, freeRADIUS, Snort, A.C.I.D, Snort Center, ClamAV, Spam Assassin, Mail Scanner)n管理服务(Net-SNMP, Nagios, MGRG, Cacti, OpenNMS, NetDi, Webmin, LogWatch, Ethrape)n基础应用 (Bind, DHCP, Sendmail, OpenWebMail, Zimbra, Apache, Tomcat, JBoss, MySQL)数据中心服务未来的挑战ITSM(I
16、T服务管理)的挑战n数据中心复杂的系统带来的挑战n可提供的服务水平与用户的期望存在差异n服务交付用户端的质量需要得到实际提高n服务交付可用性要提高质量要持续n降低运行的成本n提高变化的灵活性和速度数据中心服务未来的挑战(续)ITSM(IT服务管理)的挑战n1980年代中英国商务部信息技术基础架构库(ITIL)nBS 15000,ISO/IEC 20000-1标准数据中心服务未来的挑战(续)ITSM(IT服务管理)的挑战n服务交付(SERVICE DELIVERY)n服务级别管理(Service Level Management)n能力管理(Capacity Management)n持续性管理(
17、Continuity Management)n可用性管理(Availability Management)nIT财务管理(IT Financial Management )数据中心服务未来的挑战(续)ITSM(IT服务管理)的挑战n服务支持(SERVICE SUPPORT)n配置管理(Configuration Management)n突发事件管理(Incident Management)n问题管理(Problem Management)n变更管理(Change Management)n服务台(Service/Help Desk)n发布管理(Release Management )n 安全风险
18、分析 (Security Risk Analysis ISO 17799 Standard)第二部分 核心中间件技术n发展校园中间件的意义n中间件及核心中间件n标识符管理n认证服务n目录服务n授权服务n证书与公共密钥基础设施发展校园中间件的意义n是有效集中的要求n促进数字化校园服务的标准化和协同化,防止出现相互冲突和不协调的标准n借助于国际先进的技术、标准、管理策略,推进应用的发展中间件及核心中间件的地位背景资料关于Internet2n1996年10月1日,美国一些科研机构和34所大学代表在芝加哥聚会,提出开发新一代因特网,取名“Internet2”,以提供高速互联网服务的设想n1997年9月
19、,UCAID (University Corporation for Advanced Internet Development)成立,以管理Internet2和帮助其他联合组织nInternet2的建立不是为取代互联网,也不是为普通用户新建另一个网络,而是用于教育和科研背景资料Internet2目前的发展nInternet2联盟目前已经拥有207个大学, 他们与企业和政府合作发展与部署先进的网络应用与技术,加速建立明天的InternetnInternet2的三大发展目标:n建立领先的用于国家研究机构的网络n使革命性的Internet应用成为可能n确保新的网络服务和应用在广阔的Internet
20、机构的快速传输中间件及核心中间件(续)中间件(Middleware)n用于描述各种类型的工具和数据,这些工具和数据帮助应用程序使用网络化资源和服务。中间件的定义与分类详见RFC 2768n是基础设施与应用层之间一层,提供各种服务如:身份、认证、授权、目录和安全等 n“中间件是网络工程师和应用程序开发人员都不想做的工作”中间件及核心中间件(续)中间件的重要性n已形成企业IT基础设施与应用层之间的一层n中间层的产生可有效阻止日益增加的应用程序数量n核心数据和服务从不同的应用程序中转移到一个中央的公共环境中。这种中央服务供给利于应用程序的开发、服务的拓展、有助数据管理,并且提供全面的有效的运作中间件
21、及核心中间件高校中间件的特殊性n高校在中间件的部署上存在独特的技术和政策问题n技术问题包括教职工、学生的流动性,设备的多样性和众多的复杂应用需求n政策问题包括数据的所有权、隐私问题核心中间件服务n标识符(Identifiers)是真实世界主体与一组计算机可以识别数据相连接的字符串n认证(Authentication )核实使用特定标识符的主体的真实性的过程n目录(Directories)保存与身份相关的信息和数据的中央仓库。n授权(Authorization)指的是被识别的个体或服务,当完全被认证后允许使用网络化的对象和资源进行特定工作n证书(Certificates)及公共密钥基础设施(PK
22、I),在几个重要的方面是与前面的4个核心中间件服务有关标识符管理标识符的定义n标识符(Identifier)是将真实世界映射为一组计算机可以识别名字或字符串的功能,以使不同的主体有不同的字串标识n标识符映射(Identifier Mappings)功能是Internet2 Middleware的最基础的组成部分n一个真实世界主体可能是一个人、或物体(例如,打印机、文件或应用程序)、用户组或部门标识符管理(续)标识符特性n透明性,是否可读或用户友好,真实世界主体可否从标识符的值所识别n持续性,标识符的生命周期,标识符是否永远分配给一个主体。再分配性是否一个现有的标识符值可以表示不同的主体和可撤消
23、性是否一个现有的主体可以被分配一个不同的标识符值,或完全撤消标识符n权威性,标识符的分配机构对标识符才具有权威性n智能性,某些标识符是含有代表意义的子域n扩展性,某些标识符可被扩展,它是另一个标识符的基础标识符管理(续)标识符类型n唯一标识符Unique Identifier/UID/UUID,UID是不可撤消和不可被重分配。它需要一个大的容量(最小32位)。所有其他的标识符应该直接或间接与UID相联系n登录帐号(Login Acct)/网络标识符(NetID),透明、可被重新分配n身份证号,不可重分配、不可撤消、不透明的标识符nEmail地址,通常是netid但有可能不是最后投递的地址,可以
24、是Email别名,是有可再分配、可被撤消、透明特性标识符管理(续)标识符类型n管理系统/校园卡标识符,这主要包括人事管理系统中的职工号,及学生学籍管理系统中的学号。这两个标识符是由中央管理系统分配的以区分校园的“人口”,它是可以被再分配、很少被撤消、具有不透明性n图书(馆)号,它用于借阅图书、进出图书馆,它可再分配、可被撤消,一般不需要透明性n匿名(假名/笔名),在高等大学中需要有一种具有唯一性但不透明的标识符标识符管理(续)标识符管理策略n当一个主体只有一个标识符时情况是比较简单的,但往往一个主体拥有多个标识符n主体的标识符之间的关系、标识符分配策略等会成为重要的问题n在以往的校园网络应用中
25、,每增加一个新的网络服务,都极有可能需要分配一个新的标识符标识符管理(续) 标识符管理策略n标识符的作用域n发布、获取、对应关系、使用范围n标识符的操作问题n建立消亡、重新分配、用户自行选择权n标识符之间的相互关系n标识符同步、其他的标识符的获取标识符管理(续)标识符关联与映射n标识符之间是有相互关系的n通常当拥有某个特定标识符后,就可以获得其他的标识符n理解标识符之间的关系是重要的,要了解标识符之间的关系,主要的途径是通过标识符映射的方法进行n通常是建立一个标识符映射表,说明每个标识符相关特性,例如用途、透明性、持续性、使用规定、谁可以获得这个标识符认证服务n认证核实使用特定标识符的主体的真
26、实性的过程n不同的应用使用不同的认证方式n密码方式n聪明卡、challenge-response(质询回应)机制和公钥证书方式(PKI)n图象辨认和生物测定方式认证服务(续) 认证的策略n认证是安全的,是激活网络活动的基础服务n检查密码是否容易被破解n用户可以使用一定的方法恢复自己的帐号n认证应该是可以被任何应用程序使用,以实施网络应用范围上的单点登录,使所有的用户及整个IT环境都得到好处n认证的策略必须是有效的,不应该为系统或用户造成不便或带来负担n可以被实施的,不可以被用户化(由用户自行选择其他的认证模式)n认证系统间协调目录服务(续)目录服务及其重要性n目录是其他所有中间件服务运作关键n
27、目录可以包含关键的人、过程、资源、组的客户化信息n将这些信息放在一个公共的存储区中,来自不同的地方的不同应用程序可以访问一致、全面的关键数据n在未来技术环境中,目录将是最关键的服务之一目录服务(续) 目录服务的技术性问题n目录实施需要融合多个领域的技术n核心目录技术(LDAP、X509、HTTP)n分布式目录技术(Replica、AD等)n传统关系数据库n开发人员使用目录技术目录服务(续)目录服务的政策性问题n清晰定义数据所有权和访问权限问题n是否为历史系统开发目录接口n应用系统如何使用目录服务(邮件、门户等)n院系使用中央目录服务与他们的系统连接目录服务(续)目录规划与实施n规划目录数据n规
28、划目录模式n规划目录安全策略n规划目录树n规划目录复制n规划目录分派目录服务(续) 规划目录数据n目录数据包含什么内容n目录数据不包含什么内容n目录数据的特性描述n确定什么应用使用目录服务n确定数据源,元目录(Meta Directory)n目录分组n本地化、国际化及文化习惯目录服务(续) 规划目录模式(Schema)n模式是一组以数据定义语言来表示的语法集,该语法集完整地描述了数据库的结构n模式设计是计划过程中至关重要的n Directory Schema: eduPerson 200312,eduOrg 200210目录服务(续) eduPerson Object Class Specification 200312n用于校园目录设计辅助性设计的Object Classn使高校间的通信变得方便n它提供一系列高校关于人的数据元素或属性n并提供目录数据在语法和语意上的建议授权n指的是被识别的个体或服务,当完全被认证后允许使用网络化的对象和资源进行特定工作n与特定的服务、标识符、目录、认证过程有关证书与公共密钥基础设施n通常使用X.509证书n了解国家PKI产品及政策n认证授权(CA)管理和签署证书n注册特许,在CA的支持下操作nPKI管理工具,包括使用软件管理撤消、确认和恢复n如何存放证书、公钥和证书管理信息n应用程序如何支持证书
