系统集成解决方案Word文档格式.docx

1、2.8 系统部署架构现在 IT 的发展趋势是数据集中，数据集中的核心是对服务器进行整合，特别是一些大型企业，建立企业数据中心，购买高性能的主机，对数据集中管理，已成为一种趋势。所以 EAS的网络服务器部署应采用集中式应用，系统部署架构如下：HA千兆 大型机构心跳线专线应用服务器 数据库 远程接入服务器备份服务器路由器DMZ 光纤交换机 光纤交换机防火墙/VPNInternet内部网 存储/ 磁带库 ADSL/宽带城域网 /VPN磁盘阵列DDN/MPLS VPN 小型机构中型机构42.9 双机互备和数据备份方案2.2.3 双机互备方案我们在数据库服务器和应用服务器的设计上采取了基于双机热备与 S

2、AN数据存储相结合的数据库冗余备份方案， 采用 HA服务器群集技术，提高了数据库系统及业务应用系统的可靠性，而不是单台主机的可靠性。双机互备方案的典型应用是采用两台服务器做 HA双机系统， 一台安装应用服务器， 一台安装数据库，两台主机互为备份。其主要功能是提高客户计算机系统及其应用的可靠性，而不是单台主机的可靠性。HACMP有多种配置方式， 视具体应用复杂程度和配置不同， 其接管时间在 30 秒到 300 秒。HA技术原理：作为双机系统的两台服务器（主机 A 和 B）同时运行 HA软件；服务器除正常运行自己的应用外，同时又作为对方的备份主机；两台主机系统（ A和 B）在整个运行过程中，通过“

3、心跳线”相互监测对方的运行情况（包括系统 的软硬件运行、网络通讯和应用运行情况等）；一旦发现对方主机的运行不正常， 故障机上的应用就会立即停止运行， 本机（故障机的备份机）就会立即在自己的机器上启动故障机上的应用， 把故障机的应用及其资源包括用到的 IP 地址和磁盘空间等接管过来，使故障机上的应用在本机继续运行；应用和资源的接管过程由 HA软件自动完成，无需人工干预；当两台主机正常工作时，也可以根据需要将其中一台机上的应用人为切换到另一台机 （ 备份机 ）上运行。HA技术特性：支持并行数据库；支持动态集群重配置；广泛的集群管理工具；支持 2 到 32 个集群节点的扩展；自动失败检测和恢复；多节

4、点的灵活配置；5一般客户采用配置相同的两台主机 （一台应用服务器， 一台数据库服务器， 两台主机互为备份） 。2.10 数据备份方案数据备份流程日常备份操作由备份系统自动完成，操作人员按照要求在备份服务器上制定备份策略，全网的备份由备份服务器统一管理。 各客户端也可以自行手工启动备份。 备份服务器 （ 包括主服务器和共享服务器 ） 的数据 （文件和数据库资料 ） 直接进入磁带库， 各客户端的资料由网络传到备份主服务器， 进入带库，对于一些小文件，我们可以先将这些小文件备份到备份服务器的本地硬盘存储池中，待达到一定百分比时，在一次性迁移到带库中；而对于一些大文件，可以直接备份到带库中。这样可以大

5、大提高数据的备份效率， 提高存储设备的利用率。 为提高备份质量、 保证数据安全， 可以采用 ITSM软件的自动的副本存储池复制功能，同时进行备份复制，一份近线保管，另一份离线保管 （ 所有管理均由备份软件完成 ） 提高系统容灾能力。备份策略建议对于企业这样的一个关键应用来说，制定一个良好的备份策略是至关重要的。备份工作的主要内容包括主机、数据库系统备份和应用系统数据备份两个方面：1）主机、数据库、应用软件系统备份策略：为了在主机、数据库、应用软件系统发生故障时，能够迅速、有效的使系统得到恢复，需要对主机、数据库、应用软件系统进行备份。由于主机、数据库、应用软件极少发生变动，所以它的备份策略也比

6、较简单。在主机、 数据库、 应用软件安装调试完毕后， 将主机、 数据库、 应用软件系统的备份到磁带上。在对主机参数、数据库参数、应用软件进行修改后，及时将主机、数据库、应用软件系统备份到磁带上。定期对主机、数据库、应用软件系统进行全备份。这些全备份可以通过 ITSM 的定时自动完成。2）EAS软件系统数据备份策略：Oracle 在归档模式下运行，利用 IBM Tivoli Storage Manager for Database 模块调用 RMAN进行在线的热备份， 可以在备份时， 对备份数据保存在不同的存储对象中， 以满足客户容灾的要求，6可以利用 ITSM的多线程的数据迁移、利用多个磁带驱

7、动器同时读写提高其数据备份的效率。针对 Oracle 的总数据量和增量数据量大小， 我们可以利用 Oracle 的多达三级的增量备份机制，结合 ITSM强大的备份数据追踪寻址能力和介质管理功能， 制定灵活的备份策略， 实现全自动的备份数据的全生命周期管理。根据客户的数据量和网络条件，我们建议： Oracle 的备份以周为备份周期，星期一到星期六做数据库累积增量、归档日志、控制文件和 CATALOG用户所有对象的备份，星期天做全备份，保留前面一周期和当前周期的备份，每个周期有两份容余。而且由于该应用的 Oracle 系统版本较新，也可以利用一些最新的 Oracle 备份技术， 将同样的一份备份数

8、据同时保存在不同的存储介质中去， 如磁带和硬盘，以保证备份数据的完整性和安全性。对于 Oracle 系统的数据备份和恢复的性能，可以通过开辟多个 Oracle 数据备份通道和多重数据迁移的技术得到保障。对于以上的备份文件文件，根据管理的要求设定其保存时间，当此类数据过期时， ITSM将自动进行清理，无须管理人员参与。备份时可以利用 ITSM的永远增量备份的功能、多线程的数据迁移提高数据备份的效率， 也可以利用 ITSM 独特的磁带分类集中存放技术保证数据存放的合理性， 减少磁带的占用，提高数据恢复的效率。如果此类文件较小的话，可以利用 ITSM独特的磁盘池的功能，先将这些小文件备份到备份服务器

9、的本地硬盘存储池的 ITSM临时存储池中， 待达到一定百分比时， 在一次性迁移到带库中。对于文件系统和裸设备的备份，可以直接利用 ITSM Client 进行备份。备份通过 ITSM的定时机制自动完成。2.11 基础设施选型系统平台选型建议根据应用系统规模（模块数）和用户数规模，分别提出低、中、高 3 种选型方案建议：1）低端选型方案建议：用户规模 并发用户数小于 1007服务器 2 台 IBM X3850 X5 服务器连接磁盘阵列互为备份， 1 台作为 WEB 、应用服务器， 1 台作为数据库服务器，两台服务器配置相同应用服务器配处理器： Xeon 8 核*2置内存： 4GB *8硬盘： 1

10、46GB*2 Raid 1,0数据服务器配远程接入服务 IBM X3650 M3器配置存储阵列 IBM System Storage DS3950 易捷版型号： 1814-98H双控制器 8*300G 15K 光纤硬盘， Raid5网络连接方式 总部采用 10M 以上光纤接入互联网 （配静态 IP 地址）分支机构采用 ADSL 或光纤接入互联网分支机构和总部之间直接通过互联网访问或 VPN 互联网络设备 H3C/深信服 /中国电信 /华为/CISCO 等网络设备操作系统 RedHat Linux AS 5.XHA 软件 Rose HA For Linux数据库 EAS 数据中心 （Oracle

11、 11g 标准版 ）应用服务器软金蝶 Apusic件远程接入软件 Citrix XenApp/ 沟通科技 CTBS统一安全与身 金蝶 BOS 身份认证管理系统8份认证系统动态密码卡 动联/海月/ActiveCard2）中端选型方案建议：用户规模 并发用户数 100300服务器 2 台 IBM P710 小型机连接磁盘阵列互为备份， 1 台作为 WEB 、应用服务器，1 台作为数据库服务器，两台服务器配置相同应用服务器配 8*3.55G/32G/2*146G/1* 四口千兆网卡 /2* 双口光纤通道卡 /1* 四口异步卡 /冗余电源 /AIX 6.1 操作系统 /HA 6.1 双机热备软件 /P

12、ower VM数据服务器配 8*3.55G/32G/2*146G/1* 四口千兆网卡 /2* 双口光纤通道卡 /1* 四口异步卡 /存储阵列 DS50202GB 缓存/16*300G/2 分区激活码 /与 Windows 操作系统连接授权网络连接方式 总部采用 20M 以上光纤接入互联网 （配静态 IP 地址）操作系统 AIX 6.1数据库 EAS 数据中心 （Oracle 11g 企业版 ）9统一安全与身金蝶 BOS 身份认证管理系统3）高端选型方案建议：用户规模 并发用户数 300600服务器 2 台 IBM P730 小型机连接磁盘阵列互为备份， 1 台作为 WEB 、应用服务应用服务器

13、配 16*3.55G/64G/2*146G/1* 四口千兆网卡 /2* 双口光纤通道卡 /1* 四口异步卡 /数据服务器配 16*3.55G/64G/2*146G/1* 四口千兆网卡 /2* 双口光纤通道卡 /1* 四口异步卡 /存储阵列 DS51001818-51A 8GB 缓存/8 分区激活码 /与 Windows 操作系统连接授权1818-D1A 16*300GB 硬盘网络连接方式 总部采用 30M 以上光纤接入互联网 （配静态 IP 地址）应用服务器软 金蝶 Apusic102.12 网络指标要求在应用服务器与客户端之间， 每个 EAS客户端与应用服务器之间通讯的带宽占用约 128kb

14、it/s 。机构、总部出口的带宽估算：EAS用户数小于 5 人：带宽 =EAS总用户数 x 128kbpsEAS用户数大于 5 人，小于 10 人：带宽 =EAS总用户数 /2 x 128kbpsEAS用户数大于 10 人：带宽 =EAS总用户数 /3 x 128kbps类型 带宽要求 线路质量要求局域网 客户端到服务器： 10M 以上 丢包率小于 0.1%，并且延迟小于 10ms EAS 服务器之间： 100M 以上广域网 客户端到服务器： 128Kbps 以上 丢包率小于 2%，并且延迟小于 50ms EAS 服务器之间：2.13 网络安全管理2.2.4 防火墙防火墙对流经它的网络通信进行

15、扫描， 能够过滤掉一些攻击， 防火墙还可以关闭不使用的端口，11防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机，所以出于安全考虑，企业必须购置防火墙以保证其服务器安全，将 EAS服务器放置在防火墙内部专门区域。一般硬件防火墙比软件防火墙的性能更好，建议选择企业级的硬件防火墙，硬件防火墙市场知名度高的品牌有 H3C、天融信、 CISCO、Check Point 、Juniper 、等，用户应根据应用情况选择合适的防火墙。EAS客户端通过金蝶自主开发的协议 ORM-RPC与应用服务器连接， ORM-RPC可以运行在 HTTP或TCP/IP 协议之上， ORM-RP

16、C可以使用 HTTP 80 端口或 TCP 11034 默认端口，客户也可以自己定义ORM-RPC协议的 TCP端口。在防火墙上配置策略需要开放应用服务器的端口和 11034 端口（或客户自定义端口）。备注：1、由于应用服务器和数据库服务器之间的数据流量很大， 建议将应用服务器和数据库服务器部署在同网段，最好连接同一台交换机。2、若应用服务器和数据库服务器分别部署在不同的网段，基于性能考虑，必须保证应用服务器和数据库服务器之间的连接带宽至少 100M。若用户数多，应用服务器和数据库服务器之间的连接带宽建议采用 1000M。3、HTTP的默认端口是 80，有些应用服务器使用非 80 端口，如 W

17、ebSphere的 HTTP使用的端口是 9080，如果 EAS客户端使用 HTTP与 EAS服务端连接，服务器应开通 9080 端口。 Apusic 默认的HTTP端口是 6888。Weblogic 默认的 HTTP端口是 7001。12EASClientORM-RPCAPP SERQuerySERDBServer防火墙开放端口：HTTP ：6888TCP : 110342.14 VPN 技术VPN 即虚拟专用网 （Virtual Private Networks） 提供了一种通过公共非安全介质 （ 如 Internet）建立安全专用连接的技术。使用 VPN技术，甚至机密信息都可以通过公共非

18、安全的介质进行安全传送。 VPN技术的发展与成熟，可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。 VPN 通过安全隧道建立一个安全的连接通道，将分支机构、远程用户、合作伙伴等和企业网络互联，形成一个扩展的企业网络。VPN基本特征：使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。网络架构弹性大无缝地将 Intranet 延伸到远端办事处、移动用户和远程工作者。可以通过 Extranet 连接企业合作伙伴、供应商和主要客户（建立绿色信息通道），以提高客户满意度、降低经营成本。13VPN实现方式硬件设备：带 VPN功能模块的路由器、防火墙、专用 VPN硬件设备等，如

19、H3C、天融信、深信服、 Cisco 等。软件实现： Windows 自带 PPTP或 L2TP、第三方软件（如 CheckPoint 、深信服等）。服务提供商（ ISP）：中国电信、联通、 ISP 等。目前一些 ISP 推出了 MPLS VPN和 VPDN等。2.15 统一身份安全认证平台根据系统应用情况分析， 可以通过部署金蝶 BOS 统一身份安全认证平台来实现房地产行业应用系统、 OA 系统模块、 HR 系统模块和企业其它业务系统的统一身份安全认证。统一身份安全认证平台通过对账号、授权、认证和审计的集中管理，达到对安全运维过程进行集中统一的控制，使操作行为和维护行为可以审计。如下图所示，

20、主要达成了如下目标：（1） 将各应用系统中的账号进行统一管理和控制；（2） 提供统一的安全访问入口，实现系统间单点登陆；（3） 实施统一的安全策略，进行集中控制和管理，可对接第三方认证组件；（4） 对关键数据和操作行为进行统一管理和审计，及时发现安全隐患。14最终用户管理员审计员统一身份安全认证平台系统 A 系统 B 系统 C安全认证是指信息系统的用户在进入系统或访问系统资源时， 系统确认该用户的身份是否真实、合法和唯一的过程。目前，安全认证的方法和形式多种多样，通常在实际应用中常用的安全认证的方式主要有口令密码、动态密码卡、智能钥匙、指纹、数字证书、条码卡等。而且，很多系统为了提高安全性，其采用的安全认证方式是上述多种方法的组合。本方案建议采用动态密码卡安全认证方式，在 EAS 系统中，动态密码卡认证的实现原理下图所示：15动态密码卡认证实现原理图启用了动态密码卡认证后，用户在登录系统的时候，系统获得用户输入的密码后，会自动连接到动态密码验证服务器中进行验证， 验证通过后， 则登录到 EAS 系统中。 EAS 的动态密码卡密码的验证完全委托动态密码卡厂商提供的验证机制，从而保证系统的安全性和可靠性。2.16 远程接入方案根据对客户需求的调研， XX 集团的分支机构需要远程接入总部的房地产行业业务应用系统， 本方案建议