馬錫坤，吳艷君，楊彩霞

南京軍區(qū)南京總醫(yī)院 信息科，江蘇南京 210002

機房設(shè)備遠(yuǎn)程集中管控系統(tǒng)方案設(shè)計

馬錫坤，吳艷君，楊彩霞

南京軍區(qū)南京總醫(yī)院 信息科，江蘇南京 210002

針對主管科室對機房設(shè)備進(jìn)行單機管理或通過一些輔助軟件點對點的遠(yuǎn)程管理已不適應(yīng)發(fā)展需要的現(xiàn)狀，我們將KVM系統(tǒng)同IT資源管控系統(tǒng)整合協(xié)同管理。通過網(wǎng)絡(luò)實現(xiàn)機房設(shè)備的遠(yuǎn)程集中管控，將機房設(shè)備一對一進(jìn)行的設(shè)備維護管理工作延伸到機房外的任何一處，從而提高工作效率和物理設(shè)備的安全性，實現(xiàn)了無人值守機房的有效維護。

設(shè)備維護管理；遠(yuǎn)程集中管控；KVM系統(tǒng)

1 機房設(shè)備維護管理分析

由于機房設(shè)備的日益增多，不同種類的設(shè)備有不同的維護操作手段，及自己的維護界面，維護人員需要逐個進(jìn)行維護和管理。不同廠商、不同設(shè)備的維護人員同時也相應(yīng)增多，造成機房人員繁雜，安全系數(shù)低，增加了機房管理的難度和工作量。維護人員穿梭于不同的機房或機柜，尋找故障機器的效率低下。而這種效率低下的本地單機管理，不但浪費了寶貴的人力資源，而且出現(xiàn)的故障因得不到及時修復(fù)，使得系統(tǒng)出現(xiàn)不應(yīng)有的停頓，其造成的損失不可估量。另一方面，維護人員不可能24h在機房里值班，而機器故障卻可能在任何時候發(fā)生，一旦出現(xiàn)問題就需要維護人員即刻到場，當(dāng)維護管理人員不在機房或要維護異地機房時，必然用到遠(yuǎn)程維護管理[1]。

而遠(yuǎn)程管理維護如果是基于軟件的方式來實現(xiàn)，如對服務(wù)器、工作站桌面進(jìn)行遠(yuǎn)程控制的PCanywhere，對串口設(shè)備進(jìn)行遠(yuǎn)程控制的Telnet等軟件，這些軟件方式的遠(yuǎn)程管理有以下的局限性：① 只能做有限的管理工作，如文件傳輸、應(yīng)用級的遠(yuǎn)程管理等，它不能做到真正的系統(tǒng)級遠(yuǎn)程維護管理，系統(tǒng)級遠(yuǎn)程管理工具應(yīng)該與被管理設(shè)備的狀態(tài)無關(guān)。軟件工具不能實現(xiàn)對設(shè)備的遠(yuǎn)程電源控制，不能進(jìn)行對BIOS一級的維護；② 軟件工具本身要在被管理設(shè)備上安裝軟件，運行軟件系統(tǒng)會對目標(biāo)設(shè)備的其他系統(tǒng)性能有影響，這就會給目標(biāo)設(shè)備主機本身帶來安全隱患。而設(shè)備遭到攻擊，設(shè)備的CPU利用率達(dá)到100%時，軟件方式的遠(yuǎn)程管理就無法對設(shè)備進(jìn)行處理；③ 軟件工具與設(shè)備的系統(tǒng)平臺有關(guān)，不同的系統(tǒng)要裝不同版本的軟件，如Windows版、UNIX版等，無法真正做到跨平臺的管理[2]。

因此，對機房內(nèi)服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行單機管理或通過一些輔助軟件點對點的遠(yuǎn)程管理已不適應(yīng)發(fā)展需要。為了提高運行維護管理水平，迫切需要改變運行管理模式，包括從單點技術(shù)管理過渡到全面集中管理、從普通系統(tǒng)管理過渡到安全系統(tǒng)管理、建立健全操作授權(quán)管理機制、安全日志記錄和審計、密文傳輸防范數(shù)據(jù)傳輸風(fēng)險。

2 管控系統(tǒng)方案設(shè)計

2.1 系統(tǒng)組成

機房設(shè)備遠(yuǎn)程集中管控系統(tǒng)是指利用硬件和軟件的手段，將關(guān)鍵設(shè)備的控制接口（包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、通信設(shè)備，以及防火墻、存儲、UPS等各種帶有數(shù)據(jù)控制接口的設(shè)備），通過帶內(nèi)或帶外的網(wǎng)絡(luò)連接在一起，使系統(tǒng)管理員可以協(xié)同控制和處理所有的關(guān)鍵設(shè)備[3-4]。

我院現(xiàn)有網(wǎng)絡(luò)中心和門診兩個機房，主要有70臺服務(wù)器、4臺網(wǎng)絡(luò)存儲設(shè)備、6臺核心或匯聚層交換機，需要遠(yuǎn)程IP用戶對機房的所有設(shè)備進(jìn)行集中統(tǒng)一管理。我們設(shè)計的系統(tǒng)方案采用數(shù)字切換設(shè)備DSR8035、電源管理設(shè)備NPC108或NPC1016、網(wǎng)關(guān)管理設(shè)備MergePoint 5200等，實現(xiàn)IP用戶全域控制機房的所有主機，并且充分考慮對現(xiàn)有機房服務(wù)器控制的實用性和將來機房服務(wù)器的擴展性。方案拓?fù)鋱D，見圖1。

DSR數(shù)字切換設(shè)備包括兩個組成部分：DSRIQ或DSAVIQ服務(wù)器接口線纜和DSR數(shù)字交換機。DSR8035是1個本地用戶、8個IP用戶控制32臺服務(wù)器的數(shù)字交換機。機房內(nèi)的服務(wù)器通過DSRIQ或DSAVIQ線纜經(jīng)過五類線連接到DSR8035數(shù)字交換機上，DSR8035可以同時連接32臺服務(wù)器。從DSRIQ或DSAVIQ服務(wù)器接口線纜到DSR數(shù)字交換機通過網(wǎng)線連接，最遠(yuǎn)可以達(dá)到30m。DSRIQ或DSAVIQ服務(wù)器接口線纜采用RJ45接口設(shè)計，極大地減少了機架中的電纜數(shù)量，非常適合于安裝密度較高的情況。

遠(yuǎn)程電源集中管理控制系統(tǒng)是由NPC遠(yuǎn)程電源管理控制設(shè)備和NPCWorks遠(yuǎn)程電源集中管理控制軟件組成。NPC108或NPC1016電源管理設(shè)備支持對8臺或16臺服務(wù)器、網(wǎng)絡(luò)設(shè)備或其他設(shè)備的電源進(jìn)行遠(yuǎn)程集中統(tǒng)一管理，遠(yuǎn)程用戶可以通過NPCView專用客戶端軟件（單機版）或NPCWorks專用集中管理軟件（網(wǎng)絡(luò)版）對服務(wù)器進(jìn)行統(tǒng)一管理。通過NPC電源管理設(shè)備進(jìn)行集中統(tǒng)一供電，能輕松重新啟動和管理控制任何地點的設(shè)備。

MergePoint 5200管理網(wǎng)關(guān)設(shè)備使 IT 專業(yè)人員能夠通過使用內(nèi)嵌服務(wù)器管理技術(shù)，特別是智能平臺管理界面（IPMI）、Dell 遠(yuǎn)程訪問卡（DRAC）和 HP Integrated Lights Out（ILO）從任何位置執(zhí)行安全的遠(yuǎn)程服務(wù)器管理，可以實現(xiàn)透明和安全地訪問服務(wù)處理器固有界面以及進(jìn)行 IPMI自動配置和服務(wù)處理器自動發(fā)現(xiàn)。MergePoint 5200設(shè)備不僅能更輕松地利用服務(wù)處理器的功能，而且可通過插件提高服務(wù)處理器的功能性。

2.2 功能特點

（1）通過網(wǎng)絡(luò)管控。IP用戶可以在任何有網(wǎng)絡(luò)存在的地方，通過TCP/IP登陸機房設(shè)備，在特殊情況下，還可以通過DSR數(shù)字交換機的本地端對機房設(shè)備進(jìn)行操作訪問。IP用戶通過Avocent 特有的DSVIEW 管理軟件，只需鼠標(biāo)點擊即可接入和控制任何1臺設(shè)備和不同機房內(nèi)的DSR數(shù)字交換機。通過DSVIEW管理軟件可以管理和控制所有的DSR數(shù)字交換機和所有的IP用戶，并可以任意的命名編碼，設(shè)置權(quán)限，還可記錄系統(tǒng)日志，所有對系統(tǒng)的操作都將作為日志被記錄下來。

圖1 機房設(shè)備遠(yuǎn)程集中管控系統(tǒng)方案

（2）用戶連接安全。系統(tǒng)提供用戶各種模式的接入，提供檢驗碼和用戶認(rèn)證兩級安全防范，防止了未經(jīng)授權(quán)進(jìn)入系統(tǒng)，在緊急的情況下，系統(tǒng)管理員可以根據(jù)需要終止終端用戶的連接，還會在與交換機連接的過程中執(zhí)行第三方身份驗證，大大加強了安全性[5]。具備斷電保護功能，所有對服務(wù)器的信息都是存儲在DSRIQ或DSAVIQ上，而不是存儲在DSR8035的每1個端口上，所以在DSR8035出現(xiàn)故障時仍能保證所連接的服務(wù)器正常工作，只需要更換1臺DSR數(shù)字交換機，連接上網(wǎng)線，即可正常操作，而原有的設(shè)置也不需要更改。

（3）設(shè)備擴展靈活。DSR8035不管是與服務(wù)器還是網(wǎng)絡(luò)交換機的連接全部采用普通五類線，IP用戶端采用TCP/IP連接，無時間、距離和空間的限制。隨著機房設(shè)備數(shù)量的增加，不需要改變原有系統(tǒng)的結(jié)構(gòu)，只需要增加DSR數(shù)字交換機就可以輕松達(dá)到任意多個IP用戶控制上千臺服務(wù)器。每個DSR8035都可以升級連接在系統(tǒng)內(nèi)的操作代碼，并且可以由管理員分發(fā)到所有系統(tǒng)內(nèi)選中的設(shè)備，而且還可對DSRIQ或DSAVIQ進(jìn)行獨立升級，支持不同時期的服務(wù)器。

（4）系統(tǒng)運行可靠。方案設(shè)計采用的是集帶內(nèi)帶外管理優(yōu)點于一身的全冗余設(shè)計方案，保證了系統(tǒng)運行的可靠性。從設(shè)計上分為兩層結(jié)構(gòu)，分別為接入層和管理層。接入層位于機房內(nèi)，實現(xiàn)被管理設(shè)備的接入和匯聚，管理層實現(xiàn)對各地機房設(shè)備的集中管理。將KVM系統(tǒng)同IT資源管控系統(tǒng)整合協(xié)同管理，建立獨立的監(jiān)控系統(tǒng)網(wǎng)絡(luò)，通過網(wǎng)絡(luò)實現(xiàn)機房設(shè)備的遠(yuǎn)程集中管控，可實時監(jiān)控被管設(shè)備的狀態(tài)[6]。當(dāng)設(shè)備出現(xiàn)告警時，可提示管理人員快捷進(jìn)入該通道主動維護。對每一位技術(shù)人員，依據(jù)其職責(zé)和工作內(nèi)容，授以管控權(quán)限。通過日志管理功能，實現(xiàn)管控的可追溯性。

（5）管控所有設(shè)備。DSR數(shù)字交換機支持不同類型的服務(wù)器和串口設(shè)備，通過DSVIEW管理軟件可實現(xiàn)所有設(shè)備的連接，能夠把機房所有設(shè)備，包括路由器、交換機、防火墻等設(shè)備都整合在1套KVM系統(tǒng)內(nèi)，真正做到輕松簡便的管理整個機房。所有切換設(shè)備完全獨立，相互之間不存在干擾，可對系統(tǒng)無限擴容。在DSR數(shù)字交換機實現(xiàn)的方案中，只需要給DSR數(shù)字交換機配置1個IP地址，此IP地址分布于內(nèi)網(wǎng)以及不同的子網(wǎng)，對被控制服務(wù)器的IP地址沒有任何的要求，可以分布于IP的任何一個部分，也支持VLAN。

3 結(jié)束語

本方案實現(xiàn)了人機分離和對機房設(shè)備的遠(yuǎn)程集中管控。

通過基于IP的遠(yuǎn)程管控機制，對設(shè)備區(qū)、操作區(qū)、辦公區(qū)進(jìn)行有效分離，減少了設(shè)備的本地管理和機房人員進(jìn)出，

增加了機房的空間，改善了維護人員的工作環(huán)境，減輕機房管理難度，消除各種人為的安全隱患[7-8]。所有目標(biāo)設(shè)備可以集中管理到統(tǒng)一界面上來，與目標(biāo)設(shè)備的內(nèi)核系統(tǒng)無關(guān)，與設(shè)備的接口無關(guān)，實現(xiàn)設(shè)備內(nèi)核一級的設(shè)備維護功能，

將機房設(shè)備一對一進(jìn)行的設(shè)備維護管理工作延伸到機房外的任何一處，系統(tǒng)安全可靠，并能做到遠(yuǎn)程對設(shè)備加電斷電，

提高了工作效率和物理設(shè)備的安全性，實現(xiàn)了無人值守機房的有效維護。

[1] 姚光華.談機房管理利器KVM[J].科技情報開發(fā)與經(jīng)濟,2008,18(1):174-175.

[2] 吳曉輝.簡述KVM Over IP方式的機房集中管控[J].電腦知識與技術(shù), 2010,6(3):613-614.

[3] 李霞,程源.校園網(wǎng)服務(wù)器監(jiān)控系統(tǒng)的研究與設(shè)計[J].鄭州輕工業(yè)學(xué)院學(xué)報(自然科學(xué)版), 2007,(4):105-107.

[4] 符瑞銳.圖書館服務(wù)器的遠(yuǎn)程實時監(jiān)控與管理[J].圖書館學(xué)刊,2010,(5):95-96.

[5] 馬淑文.KVM over IP 技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J].計算機工程與設(shè)計,2008,29(7):1850-1852.

[6] 邵晶,閻曉弟,耶健.基于KVM-over-IP的圖書館中心機房服務(wù)器遠(yuǎn)程監(jiān)控管理系統(tǒng)的構(gòu)建[J].大學(xué)圖書館學(xué)報,2006,(5):47-50.

[7] 李光,高劍青,高寧,等.機房遠(yuǎn)程與本地集中管理系統(tǒng)的應(yīng)用[J].現(xiàn)代電視技術(shù),2005,(4):78-80,83.

[8] 林昌松.KVM技術(shù)在數(shù)據(jù)中心機房的應(yīng)用[J].計算機與通信,2005,(6):57-59.

Scheme Design of the Centralized Control System with Long Distance for the Equipments in Computer Rooms

MA Xi-kun, WU Yan-jun,YANG Cai-xia
Information Department, Nanjing General Hospital of Nanjing Military Command,Nanjing Jiangsu 210002, China

The management for the equipments in computer rooms by single machine or assisted by some software hasn't been suitable for the requirement of development. The equipments in computer rooms can be controlled by network with the collaborative management of KVM system and IT resource management system in long distance. The maintenance management for equipments can be conducted outside the computer room, which improves the work efficiency and the security of equipments without being person on duty.

maintenance management for the equipments; centralized control in long distance; KVM system

1674-1633(2012)03-074-03

2011-09-07

作者郵箱：maxikun@163.com

TP308；TP309.1

B

10.3969/j.issn.1674-1633.2012.03.024