系统集成解决方案Word文档格式.docx
《系统集成解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《系统集成解决方案Word文档格式.docx(34页珍藏版)》请在冰点文库上搜索。
2.8系统部署架构
现在IT的发展趋势是数据集中,数据集中的核心是对服务器进行整合,特别是一些大型企业,
建立企业数据中心,购买高性能的主机,对数据集中管理,已成为一种趋势。
所以EAS的网络服务
器部署应采用集中式应用,系统部署架构如下:
HA
千兆
大型机构
心跳线
专线
应用服务器数据库远程接入服务器
备份服务器
路由器
DMZ
光纤交换机光纤交换机
防火墙/VPN
Internet
内部网
存储/磁带库
ADSL/宽带城域网/VPN
磁盘阵列
DDN/MPLSVPN
小型机构
中型机构
4
2.9双机互备和数据备份方案
2.2.3双机互备方案
我们在数据库服务器和应用服务器的设计上采取了基于双机热备与SAN数据存储相结合的数据
库冗余备份方案,采用HA服务器群集技术,提高了数据库系统及业务应用系统的可靠性,而不是
单台主机的可靠性。
双机互备方案的典型应用是采用两台服务器做HA双机系统,一台安装应用服务器,一台安装数
据库,两台主机互为备份。
其主要功能是提高客户计算机系统及其应用的可靠性,而不是单台主机
的可靠性。
HACMP有多种配置方式,视具体应用复杂程度和配置不同,其接管时间在30秒到300秒。
HA技术原理:
作为双机系统的两台服务器(主机A和B)同时运行HA软件;
服务器除正常运行自己的应用外,同时又作为对方的备份主机;
两台主机系统(A和B)在整个运行过程中,通过“心跳线”相互监测对方的运行情况(包括系
统的软硬件运行、网络通讯和应用运行情况等);
一旦发现对方主机的运行不正常,故障机上的应用就会立即停止运行,本机(故障机的备份机)
就会立即在自己的机器上启动故障机上的应用,把故障机的应用及其资源包括用到的IP地址和磁盘
空间等接管过来,使故障机上的应用在本机继续运行;
应用和资源的接管过程由HA软件自动完成,无需人工干预;
当两台主机正常工作时,也可以根据需要将其中一台机上的应用人为切换到另一台机(备份机)
上运行。
HA技术特性:
支持并行数据库;
支持动态集群重配置;
广泛的集群管理工具;
支持2到32个集群节点的扩展;
自动失败检测和恢复;
多节点的灵活配置;
5
一般客户采用配置相同的两台主机(一台应用服务器,一台数据库服务器,两台主机互为备份)。
2.10数据备份方案
数据备份流程
日常备份操作由备份系统自动完成,操作人员按照要求在备份服务器上制定备份策略,全网的
备份由备份服务器统一管理。
各客户端也可以自行手工启动备份。
备份服务器(包括主服务器和共享
服务器)的数据(文件和数据库资料)直接进入磁带库,各客户端的资料由网络传到备份主服务器,进
入带库,对于一些小文件,我们可以先将这些小文件备份到备份服务器的本地硬盘存储池中,待达
到一定百分比时,在一次性迁移到带库中;
而对于一些大文件,可以直接备份到带库中。
这样可以
大大提高数据的备份效率,提高存储设备的利用率。
为提高备份质量、保证数据安全,可以采用ITSM
软件的自动的副本存储池复制功能,同时进行备份复制,一份近线保管,另一份离线保管(所有管理
均由备份软件完成)提高系统容灾能力。
备份策略建议
对于企业这样的一个关键应用来说,制定一个良好的备份策略是至关重要的。
备份工作的主要
内容包括主机、数据库系统备份和应用系统数据备份两个方面:
1)主机、数据库、应用软件系统备份策略:
为了在主机、数据库、应用软件系统发生故障时,能够迅速、有效的使系统得到恢复,需要对
主机、数据库、应用软件系统进行备份。
由于主机、数据库、应用软件极少发生变动,所以它的备
份策略也比较简单。
在主机、数据库、应用软件安装调试完毕后,将主机、数据库、应用软件系统的备份到磁带上。
在对主机参数、数据库参数、应用软件进行修改后,及时将主机、数据库、应用软件系统备份
到磁带上。
定期对主机、数据库、应用软件系统进行全备份。
这些全备份可以通过ITSM的定时自动完成。
2)EAS软件系统数据备份策略:
Oracle在归档模式下运行,利用IBMTivoliStorageManagerforDatabase模块调用RMAN
进行在线的热备份,可以在备份时,对备份数据保存在不同的存储对象中,以满足客户容灾的要求,
6
可以利用ITSM的多线程的数据迁移、利用多个磁带驱动器同时读写提高其数据备份的效率。
针对Oracle的总数据量和增量数据量大小,我们可以利用Oracle的多达三级的增量备份机制,
结合ITSM强大的备份数据追踪寻址能力和介质管理功能,制定灵活的备份策略,实现全自动的备份
数据的全生命周期管理。
根据客户的数据量和网络条件,我们建议:
Oracle的备份以周为备份周期,星期一到星期六做
数据库累积增量、归档日志、控制文件和CATALOG用户所有对象的备份,星期天做全备份,保留前
面一周期和当前周期的备份,每个周期有两份容余。
而且由于该应用的Oracle系统版本较新,也可
以利用一些最新的Oracle备份技术,将同样的一份备份数据同时保存在不同的存储介质中去,如磁
带和硬盘,以保证备份数据的完整性和安全性。
对于Oracle系统的数据备份和恢复的性能,可以通过开辟多个Oracle数据备份通道和多重数
据迁移的技术得到保障。
对于以上的备份文件文件,根据管理的要求设定其保存时间,当此类数据过期时,ITSM将自动
进行清理,无须管理人员参与。
备份时可以利用ITSM的永远增量备份的功能、多线程的数据迁移提
高数据备份的效率,也可以利用ITSM独特的磁带分类集中存放技术保证数据存放的合理性,减少磁
带的占用,提高数据恢复的效率。
如果此类文件较小的话,可以利用ITSM独特的磁盘池的功能,先
将这些小文件备份到备份服务器的本地硬盘存储池的ITSM临时存储池中,待达到一定百分比时,在
一次性迁移到带库中。
对于文件系统和裸设备的备份,可以直接利用ITSMClient进行备份。
备份通过ITSM的定时机
制自动完成。
2.11基础设施选型
系统平台选型建议
根据应用系统规模(模块数)和用户数规模,分别提出低、中、高3种选型方案建议:
1)低端选型方案建议:
用户规模并发用户数小于100
7
服务器2台IBMX3850X5服务器连接磁盘阵列互为备份,1台作为WEB、应用
服务器,1台作为数据库服务器,两台服务器配置相同
应用服务器配
处理器:
Xeon8核*2
置
内存:
4GB*8
硬盘:
146GB*2Raid1,0
数据服务器配
远程接入服务IBMX3650M3
器配置
存储阵列IBMSystemStorageDS3950易捷版
型号:
1814-98H
双控制器8*300G15K光纤硬盘,Raid5
网络连接方式总部采用10M以上光纤接入互联网(配静态IP地址)
分支机构采用ADSL或光纤接入互联网
分支机构和总部之间直接通过互联网访问或VPN互联
网络设备H3C/深信服/中国电信/华为/CISCO等网络设备
操作系统RedHatLinuxAS5.X
HA软件RoseHAForLinux
数据库EAS数据中心(Oracle11g标准版)
应用服务器软
金蝶Apusic
件
远程接入软件CitrixXenApp/沟通科技CTBS
统一安全与身金蝶BOS身份认证管理系统
8
份认证系统
动态密码卡动联/海月/ActiveCard
2)中端选型方案建议:
用户规模并发用户数100~300
服务器2台IBMP710小型机连接磁盘阵列互为备份,1台作为WEB、应用服务
器,1台作为数据库服务器,两台服务器配置相同
应用服务器配8*3.55G/32G/2*146G/1*四口千兆网卡/2*双口光纤通道卡/1*四口异步卡/
冗余电源/AIX6.1操作系统/HA6.1双机热备软件/PowerVM
数据服务器配8*3.55G/32G/2*146G/1*四口千兆网卡/2*双口光纤通道卡/1*四口异步卡/
存储阵列DS5020
2GB缓存/16*300G/2分区激活码/与Windows操作系统连接授权
网络连接方式总部采用20M以上光纤接入互联网(配静态IP地址)
操作系统AIX6.1
数据库EAS数据中心(Oracle11g企业版)
9
统一安全与身
金蝶BOS身份认证管理系统
3)高端选型方案建议:
用户规模并发用户数300~600
服务器2台IBMP730小型机连接磁盘阵列互为备份,1台作为WEB、应用服务
应用服务器配16*3.55G/64G/2*146G/1*四口千兆网卡/2*双口光纤通道卡/1*四口异步卡/
数据服务器配16*3.55G/64G/2*146G/1*四口千兆网卡/2*双口光纤通道卡/1*四口异步卡/
存储阵列DS5100
1818-51A8GB缓存/8分区激活码/与Windows操作系统连接授权
1818-D1A16*300GB硬盘
网络连接方式总部采用30M以上光纤接入互联网(配静态IP地址)
应用服务器软金蝶Apusic
10
2.12网络指标要求
在应用服务器与客户端之间,每个EAS客户端与应用服务器之间通讯的带宽占用约128kbit/s。
机构、总部出口的带宽估算:
EAS用户数小于5人:
带宽=EAS总用户数x128kbps
EAS用户数大于5人,小于10人:
带宽=EAS总用户数/2x128kbps
EAS用户数大于10人:
带宽=EAS总用户数/3x128kbps
类型带宽要求线路质量要求
局域网客户端到服务器:
10M以上丢包率小于0.1%,并且延迟
小于10msEAS服务器之间:
100M以上
广域网客户端到服务器:
128Kbps以上丢包率小于2%,并且延迟
小于50msEAS服务器之间:
2.13网络安全管理
2.2.4防火墙
防火墙对流经它的网络通信进行扫描,能够过滤掉一些攻击,防火墙还可以关闭不使用的端口,
11
防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机,所以
出于安全考虑,企业必须购置防火墙以保证其服务器安全,将EAS服务器放置在防火墙内部专门区
域。
一般硬件防火墙比软件防火墙的性能更好,建议选择企业级的硬件防火墙,硬件防火墙市场知
名度高的品牌有H3C、天融信、CISCO、CheckPoint、Juniper、等,用户应根据应用情况选择合适
的防火墙。
EAS客户端通过金蝶自主开发的协议ORM-RPC与应用服务器连接,ORM-RPC可以运行在HTTP或
TCP/IP协议之上,ORM-RPC可以使用HTTP80端口或TCP11034默认端口,客户也可以自己定义
ORM-RPC协议的TCP端口。
在防火墙上配置策略需要开放应用服务器的端口和11034端口(或客户
自定义端口)。
备注:
1、由于应用服务器和数据库服务器之间的数据流量很大,建议将应用服务器和数据库服务器部
署在同网段,最好连接同一台交换机。
2、若应用服务器和数据库服务器分别部署在不同的网段,基于性能考虑,必须保证应用服务器
和数据库服务器之间的连接带宽至少100M。
若用户数多,应用服务器和数据库服务器之间的连接带
宽建议采用1000M。
3、HTTP的默认端口是80,有些应用服务器使用非80端口,如WebSphere的HTTP使用的端口
是9080,如果EAS客户端使用HTTP与EAS服务端连接,服务器应开通9080端口。
Apusic默认的
HTTP端口是6888。
Weblogic默认的HTTP端口是7001。
12
EAS
Client
ORM-
RPC
APPSER
Query
SER
DB
Server
防火墙开放端口:
HTTP:
6888
TCP:
11034
2.14VPN技术
VPN即虚拟专用网(VirtualPrivateNetworks)提供了一种通过公共非安全介质(如Internet)
建立安全专用连接的技术。
使用VPN技术,甚至机密信息都可以通过公共非安全的介质进行安全传
送。
VPN技术的发展与成熟,可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输
网络。
VPN通过安全隧道建立一个安全的连接通道,将分支机构、远程用户、合作伙伴等和企业网
络互联,形成一个扩展的企业网络。
VPN基本特征:
使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。
网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。
可以通过Extranet连接企业合作伙伴、供应商和主要客户(建立绿色信息通道),以提高客户
满意度、降低经营成本。
13
VPN实现方式
硬件设备:
带VPN功能模块的路由器、防火墙、专用VPN硬件设备等,如H3C、天融信、深信
服、Cisco等。
软件实现:
Windows自带PPTP或L2TP、第三方软件(如CheckPoint、深信服等)。
服务提供商(ISP):
中国电信、联通、ISP等。
目前一些ISP推出了MPLSVPN和VPDN等。
2.15统一身份安全认证平台
根据系统应用情况分析,可以通过部署金蝶BOS统一身份安全认证平台来实现房地产行业应用
系统、OA系统模块、HR系统模块和企业其它业务系统的统一身份安全认证。
统一身份安全认证平
台通过对账号、授权、认证和审计的集中管理,达到对安全运维过程进行集中统一的控制,使操作
行为和维护行为可以审计。
如下图所示,主要达成了如下目标:
(1)将各应用系统中的账号进行统一管理和控制;
(2)提供统一的安全访问入口,实现系统间单点登陆;
(3)实施统一的安全策略,进行集中控制和管理,可对接第三方认证组件;
(4)对关键数据和操作行为进行统一管理和审计,及时发现安全隐患。
14
最终用户管理员审计员
统一身份安全认证平台
系统A系统B系统C
安全认证是指信息系统的用户在进入系统或访问系统资源时,系统确认该用户的身份是否真实、
合法和唯一的过程。
目前,安全认证的方法和形式多种多样,通常在实际应用中常用的安全认证的方式主要有口令
密码、动态密码卡、智能钥匙、指纹、数字证书、条码卡等。
而且,很多系统为了提高安全性,其
采用的安全认证方式是上述多种方法的组合。
本方案建议采用动态密码卡安全认证方式,在EAS系统中,动态密码卡认证的实现原理下图所
示:
15
动态密码卡认证实现原理图
启用了动态密码卡认证后,用户在登录系统的时候,系统获得用户输入的密码后,会自动连接
到动态密码验证服务器中进行验证,验证通过后,则登录到EAS系统中。
EAS的动态密码卡密码的
验证完全委托动态密码卡厂商提供的验证机制,从而保证系统的安全性和可靠性。
2.16远程接入方案
根据对客户需求的调研,XX集团的分支机构需要远程接入总部的房地产行业业务应用系统,本
方案建议
升级会员 