《基于VMware构建多功能数字服务虚拟平台系统.doc》由会员分享,可在线阅读,更多相关《基于VMware构建多功能数字服务虚拟平台系统.doc(16页珍藏版)》请在三一文库上搜索。
1、 基于VMware构建多功能数字服务虚拟平台系统目录一 概述1.1引言 随着数字中心建设进程的加快,各个校园系统中心积极调整资源建设策略,将中心转向数字资源建设,开发越来越多的多功能信息化平台。比如,电子期刊、电子图书、学位论文、库普讲座、在线学习系统、科技信息系统等等。 采用传统服务器架构的管理模式有诸多不利因素。一方面,多种电子资源需要多个服务器进行部署,不仅硬件成本高,资金需求量大,而且机房布局更加复杂化,灵活性降低;另一方面要进行这些种类纷杂的数字资源管理,运维人员需要进行频繁的机器切换以及其他复杂的操作,效率低下。于此运维人员迫切需要一种可以简化管理、节约经费的服务器选择高效的管理途
2、径。VMware虚拟平台技术为此创造了可能。1.2 VMware虚拟平台介绍 VMware的出现,带来服务器运维的巨大变革。相对于其他服务器部署技术而言,VMware基础服务产品具有更高的可靠性和效率。VMware虚拟架构套件包括了全面的虚拟化技术、管理、资源优化、应用可用性以及自动化的操作能力。虚拟化过程引入了底层设备资源重定向交互作用,而不影响应用层。VMware支持多操作系统并行在单个物理服务器上,能够提供更加有效的底层硬件使用,使得运维人员可以通过管理一个虚拟架构来快速链接和管理资源。 在虚拟架构中,各虚拟机共享一台物理服务器,但每一台虚拟机都能独立运行,并可拥有自己的CPU、内存、硬
3、盘、网卡、声卡、显卡、光驱等硬件设备。 VMware工具提供的功能包括:通过拖拽在宿主与虚拟机之间拷贝文件、虚拟机通过共享文件夹访问宿主资源、提供显卡驱动、优化显示效果、共用文本剪切板、鼠标自动捕获强释放。 综上,使用VMware虚拟技术架构基于以下几个方面的考虑。(1)兼容性和移植性 使用VMware可以在同一台物理机器上安装,Windows、Linux等不同的多个操作系统和各种不同的应用,且可以互不影响地同时运行。VMware虚拟机技术将传统服务器应用程序环境封装成可移动的专门文件,整个虚拟机都保存在文件中,可以通过移动和复制这些文件的方式来移动和复制虚拟机,无需修改即可在任何服务器上运行
4、虚拟机。(2)硬件支持和效率 VMware的动态负载均衡和连续智能优化功能,可以保证所有应用所需资源能够较好的分配和使用。许多领先的服务器和阵列都支持VMware,包括INTEL、IBM、HP、DELL、联想以及BMC2、NETApp等几乎所有主流服务器企业与存储企业。(3)安全、备份和恢复 VMware虚拟架构增强了备份和恢复能力,可以大大减少计划内和计划外停机以提高业务连续性、通过高可用性确保基础架构不受多个故障源影响。通过VMware提供的Virtual center、VMware infrastructureVMotion等工具,可以实现服务不中断下的虚拟机的动态迁移,保护虚拟机上的应
5、用程序和系统数据。提供空前的灵活性和可用性。(4)费用 越来越多的VMware产品趋向于免费,从VMware Server到最新发布的VMware ESXI Server.最关键的是,VMware软件的应用大大减少了硬件服务器的成本以及与之相关的空间、冷却、电力等成本。通过提高能效降低数据中心的电力和制冷成本。减少花在规划、配置、监视和维护的时间,从而减少人员成本。 虚拟平台下的服务器部署方案示例 基于上图的VMware技术架构,可以满足机房系统服务的运维要求,轻松实现业务的连续不间断运行,并且可以针对具体的应用和访问量灵活部署,降低系统部署的总成本。由于ESX Server是和硬件分离的,服
6、务器的硬件和ESX Server的虚拟化规范之间必要的一致性,让安装、维护以及远程管理虚拟机的过程非常简单。与VMwarv ESX Server相配套的管理工具提供了分布式资源调度和远程管理功能,使得VMware虚拟化解决方案更为完善,非常适用于图书馆各种电子资源的管理应用。 二 公安大学的服务器虚拟架构整合项目设计2.1 分布式部署方案当前校园网面临的问题:(1)服务器的利用率低。现在机房内运行的大部分机器的利用率都非常低,由于一台服务器只能有一个操作系统,受系统和软件开发平台的限制,CPU、内存、硬盘空间的资源利用率不超过15%,大量的系统资源被闲置。(2)可管理性差。首先是可用性低, 除
7、个别系统做了服务器集群外,几乎每个应用服务器都是单机,如果哪台服务器出现故障,相对应的业务也将中断。其次是系统维护、升级和扩容时需要停机进行,也将造成应用中断,其中包括学校的一些重要业务系统,一旦中断服务影响很大。(3)兼容性差。系统和应用迁移到其他服务器,需要和旧系统兼容的系统。新的软件包括操作系统和应用软件无法运行在老的硬件平台,而老的代码有时候也很难移植到新的硬件平台上。例如:学校门户网站,以ASP为开发平台,安装在Windows 2000 Server操作系统上,几年下来,开发了许多应用,最新的一些应用又以ASP高版本、JSP、JAVA等为开发平台,安装在Windows 2003 Se
8、rver操作系统上,不仅互不兼容,而且还由几家公司分别开发。为节省时间、物力和保持网站持续的服务,只能用增加服务器方法来解决。(4)服务器和存储购置成本高,维护成本递增,也不得不考虑。随着服务器数量增加,每年要支出高额购置费用不说,还有一半服务器已经过三年保修期,部件逐渐进入老化期,维护、维修预算费用也逐年增加 基于公安大学系统平台多功能性的需求,整体架构采用分布式部署即,应用系统/存储系统/数据库系统设计从以下几个方面考虑: 发生单点故障不影响系统稳定性。 与集中式数据库不同的是在数据冗余方面分布式数据库有效性更高于前者。 均衡负载的需要,使得各处理机之间的相互干扰降到最低。 当体系结构中需
9、要增加新的组织单位,在不影响整体结构的同时,进行局部扩充。 完善的多点灾难恢复处理2.2 应用系统部署方案2.2.1部署WEB服务器 (windows与linux两个方面)Windows 2003 部署方案WEB服务器是企业网Intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好WEB服务器中的资源,是一项至关重要的工作。1.系统安装,系统安全策略配置 使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求。Windows 2003安装策略: (1)系统安装在单独的逻辑驱动器并自定义安装目录;以
10、“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如DNS、DHCP,不需要的服务和协议一律不安装;只保留TCPIP一项并禁用NETBOIS;安装Windows2003最新补丁和防病毒软件。 (2)关闭windows2003不必要的服务。 关闭Computer Browser、Task scheduler、Routingand Remote Access、Removable storage、Remote RegistryService,Print Spooler,IPSEC Pohcy Agent,DistributedIJink Tracking Client、Co
11、rn+Event System、Alerter、ErrorReporting Service、Messenger、Telnet服务。 (3)设置磁盘访问权限。 系统磁盘只赋予administrators和system权限,系统所在目录(默认时为Windows)要加上users的默认权限,以保障ASP和ASPX等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加system用户权限,否则启动不成功。 (4)注册表HKEY_LOCAL_MACHINESYSTEMCurrentControISetControlLSA,将DWORD值RestrietAnonymous的
12、键值改为1,禁止Windows系统进行空连接。 (5)关闭不需要的端口、更改远程连接端口。 本地连接属性Internet协议(TCPIP)高级选项TCP/IP筛选属性把勾打上,添加需要的端口(如:21、80)。 更改远程连接端口:开始运行输入regedit查找3389:将HKEY_LOCAL_MACHINE世SYSTEMXCurrentControlSetControlTerminal ServerWdshrdpwdTdstep 和HKEY_LOCAL_MACHlNESYSTEMCurrentControlsetControlTerminal ServerWinStationsRDP-Tcp下
13、的PortNumber=3389改为自定义的端口号并重新启动服务器。 (6)编写批处理文件delsharebat并在组策略中应用,以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例) net share C$delete net share D$delete net share E$delete net share F$delete net share admin$delete 将以上内容写入delsharebat并保存到系统所在文件夹下的system32GroupP0licyUseScriptsLogon目录下。运行gpeditmsc组策略编辑器,用户配置Windows设置脚本(登录注销
14、)登录“登录属性”“添加”“添加脚本”对话框的“脚本名”栏中输入delsharebat_“确定”按钮一重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。 (7)限制匿名访问本机用户。“开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许枚举SAM帐号和共享”“确定”。 (8)限制远程用户对光驱或软驱的访问。“开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启用(E)”“确定”。 (9)限制远程用户对NetMeeting的共享,禁用Ne
15、tMeeting远程桌面共享功能。运行“speditmsc”“计算机配置”“管理模板”“Windows组件”“NetMeetins”“禁用远程桌面共享”右键在单选按钮中选择“启用(E)”“确定”。 (10)限制用户执行Windows安装程序,防止用户在系统上安装软件。方法同(9)。 (11)删除C:WIND0WSWEBprinters目录,避免溢出攻击(此目录的存在会造成IIS里加入一个printers的扩展名,可溢出攻击)。 (12)删除C:WINDOWS、system32inetsrviisadmpwd。此目录在管理IIS密码时使用(如因密码不同步造成500错误时使用OWA或Iisadmp
16、wd修改同步密码)。当把账户策略密码策略密码最短使用期限设为0天(即密码不过期时,可避免IIS密码不同步问题)。这里就可删掉此目录。 (13)修改注册表防止小规模DDOS攻击。 HKEY_LOCAL_MACHINEISYSTEMCurrentContmlSetServicesTcpiplParameters新建“DWORD值”名为“SynAttackProtect”数值为“1” (14)本地策略安全选项。 将清除虑拟内存页面文件、不显示上次的用户名、不需要按CTRL+ALT+DEL、不允许SAM账户的匿名枚举、不允许SAM账户和共享的匿名枚举、均更改为“已启用”;重命名来宾账户更改成一个复杂的
17、账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的Administrat账户2 IIS安全策略应用 (1)不使用默认的WEB站点,将IIS目录与系统磁盘分开。 将网站内容移动到非系统驭动器,不使用默认的InetpubWwwroot目录,以减轻目录遍历攻击(这种攻击试图浏览WEB服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器)。(2)删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。为WEB服务器配置站点、目录和文件的访问权限。(3)删除系统盘下的虚拟目录:vti_bin,IISSamples,Scripts,IIShe
18、lp,IISAdmin,IIShelp,MSADC。(4)删除不必要的IIS扩展名映射。 右键单击“默认WEB站点属性主目录配置”,打开应用程序窗口,去掉不必要的应用程序映射,主要为shtml,shtm,stm。(5)更改IIS日志的路径。 右键单击“默认WEB站点属性网站在启用日志记录下点击属性更改设置。(6)只选择网站和WEB应用程序正确运行所必需的服务和子组件。开始控制面板添加或删除程序添加l删除Windows组件应用程序服务器详细信息Internet信息服务(IIS)详细信息然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的IIS组件和服务。IIS子组件和服务的推荐设置:禁用
19、:后台智能传输服务(BITS)服务器扩展,FTT服务、FrontPage 2002 Server Extensions,Internet打印、NNTP服务。启用:公用文件、Internet信息服务管理器、万维网服务。(7)删除未使用的帐户,设置强密码,使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。重命名IUSR帐户。 在IIS元数据库中更改IUSR帐户的值:“管理工具”“Internet信息服务(IIS)管理器”右键单击“本地计算机”“属性”选中“允许直接编辑配置数
20、据库”复选框“确定”浏览至MetaBase.xml文件的位置,默认情况下为C:Windowslsystem321inetsrv右键单击MelaBasexml文件“编辑”搜索“AnonymousUserName”属性键入IUSR帐户的新名称在“文件”菜单上单击“退出”单击“是”。(8)使用应用程序池来隔离应用程序,提高WEB服务器的可靠性和安全性。 创建应用程序池:“管理工具”“Internet信息服务(IIS)管理器”本地计算机右键单击“应用程序池”“新建”“应用程序池”在“应用程序池ID”框中,为应用程序池键入一个新ID“应用程序池设置”“Usedefault settings for th
21、e new application pool”(使用新应用程序池的默认设置)“确定”。 将网站或应用程序分配到应用程序池:“管理工具”“Internet信息服务(IIS)管理器”、右键单击您想要分配到应用程序池的网站或应用程序“属性”“主目录”、“虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称,(如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称)“应用程序池”列表框单击您想要分配网站或应用程序的应用程序池的名称“确定”。经过以上设置,IIS安全性有了很大的提升,但一些不法攻击者会不断寻找新漏
22、洞来攻击WEB服务系统,所以一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保WEB服务器有一个安全、稳定、高效的运行环境2.2.2 基于安全角度的LINUX部署方案 (系统安装,略)部署方案包括:APACHE安装、编译安装PHP、JSP环境支持、WEB服务环境支持测试当前WEB服务器面临的安全问题:由于APACHE服务器最大的缺点是它的普及性成为众矢之的,所以APACHE服务器很容易受到DOS攻击的威胁主要包括以下几种形式:数据包洪水攻击磁盘攻击路由不可达分布式拒绝服务攻击缓冲区溢出ROOT权限丢失针对APACHE服务器面临的普遍性安全问题,部署策略有以下几点1.为AP
23、ACHE使用专门的用户和用户组 必须保证Apache使用一个专门的用户和用户组,不要使用系统预定义的账号,比如nobody用户和nogroup用户组。因为只有root用户可以运行Apache,DocumentRoot应该能够被管理Web站点内容的用户访问和使用Apache服务器的Apache用户和Apache用户组访问。所以,如果希望“cat”用户在Web站点发布内容,并且可以以httpd身份运行Apache服务器,通常可以这样groupadd webteamusermod G webteam catchown R http.webteam /www/htmlchmod R 2570 /www
24、/htdocs 只有ROOT用户访问日志目录,这个目录的权限推荐Chown R root.root /etc/logsChown R700 /etc/logs2.WEB目录的访问策略 对于可以访问的 WEB目录,要使用相对保守的途径进行访问,不要让用户查看任何目录索引列表。(1)禁止使用目录索引,Apache服务器在接收到用户对一个目录的访问时,会查找Directorylndex指令指定的目录索引文件,默认情况下该文件是index.html。如果该文件不存在,那么Apache会创建动态列表为用户显示该目录的内容。通常这样的设置会暴露Web站点结构,因此需要修改配置文件禁止显示动态目录索引(2)
25、禁止默认访问,默认访问只对指定的目录开启访问权限,如果允许访问/var/www/html目录,使用如下设定:Order deny ,alloAllow from all3.APACHE服务器的密码保护 (1)建立.htpasswd文件首先在设置存取控制的目录(如htdocs)下建立一个文件,文件名可以自行设定,一般服务器都会设置为.htpasswd,该文件是不能由HTTP读取的。.htpasswd文件中的每一行代表一个使用者,使用者的名字及经过加密的密码以冒号“:”分隔。 (2)htaccess文件实现保护authtype basicauthuserfile /usr/home/*/htdocs/.abcname1authgroupfile /usr/home/*/htdocs/.abcname2authname informationrequire valid-user