BMC服务自动化方案建议书 V13

1服务器自动化Bladelogic设计方案1.1架构设计服务器自动化Bladelogic的逻辑构架如下图所示：ProvisioningManagerConfigurationManagerBLCLIAPINetworkSH(NSH)ReportClientWebBrowserClientTierPXE/TFTPServerApplicationServerReportServer(Cognos)NSHProxyServerBladeLogicCoreDatabase(Oracle/MSSQL)BladeLogicReportingDataWarehouseMiddleTierBareMetalServerBareMetalServerManagedServerManagedServerManagedServerManagedServerAgentAgentAgentAgentDepotFileServerRSCDAgentServerTier/FileServerAgentRepeaterProvisioningManagerConfigurationManagerBLCLIAPINetworkSH(NSH)ReportClientWebBrowserClientTierPXE/TFTPServerApplicationServerReportServer(Cognos)NSHProxyServerBladeLogicCoreDatabase(Oracle/MSSQL)BladeLogicReportingDataWarehouseMiddleTierBareMetalServerBareMetalServerManagedServerManagedServerManagedServerManagedServerAgentAgentAgentAgentDepotFileServerRSCDAgentServerTier/FileServerAgentRepeaterRepeater应用服务器：►水平或垂直扩展：可以有任意多台应用服务器；►JVM架构：无状态，任何应用服务器都可随时被替换或添加；►小巧：安装介质不到200MB►安全：与Console和被管服务器通讯均采用加密►灵活：可安装在Windows、Solaris、Redhat、Suse等多种操作系统上应用服务器：►水平或垂直扩展：可以有任意多台应用服务器；►JVM架构：无状态，任何应用服务器都可随时被替换或添加；►小巧：安装介质不到200MB►安全：与Console和被管服务器通讯均采用加密►灵活：可安装在Windows、Solaris、Redhat、Suse等多种操作系统上被管服务器：►跨平台：可管理AIX、HP-UX、Windows、Solaris、Redhat、Suse等多种系统►单向通讯：Agent不主动发起到应用服务器的连接，总是由应用服务器发起被管服务器：►跨平台：可管理AIX、HP-UX、Windows、Solaris、Redhat、Suse等多种系统►单向通讯：Agent不主动发起到应用服务器的连接，总是由应用服务器发起管理客户端（Console）：►统一界面：几乎所有功能都集成在Console中管理客户端（Console）：►统一界面：几乎所有功能都集成在Console中转发服务器（可选）：►汇聚功能：汇聚和转发应用服务器到被管服务器的连接与指令►Cache功能：缓存分发的文件►灵活：任意服务器可指定为转发服务器转发服务器（可选）：►汇聚功能：汇聚和转发应用服务器到被管服务器的连接与指令►Cache功能：缓存分发的文件►灵活：任意服务器可指定为转发服务器1.2硬件需求应用服务器(考虑高可用性)CPU内存硬盘DualorQuad3GHzIntelXeonProcessors(Dual-Core)orabove8GBRAM100GBusabledisk(RAID1orRAID5)被管理服务器对应管理服务器个数安装操作系统5002Linux或Windows被管理服务器对应管理服务器个数安装操作系统10002Linux或Windows50006Linux或Windows注：采用冗余结构，部署多台应用服务器,参见”部署构架”一节.数据库服务器(Oracle),可利用已有的Oracle数据库,其配置如下:DualorQuad1GHzUltraSparcIIIorbetterforSolarisDualorQuad3GHzIntelXeonProcessors(Dual-Core)orbetterforWindowsDualorQuad1GHzPower5orbetterforAIX8GBRAM(16GBinQuadCPUserver)150GBusabledisk(RAID1orRAID5)(75GBper500servers)GBEthernetOracle9i,10gorSQLServer20051•OSPlatformdependsonRDBMSselected1.3功能设计BMCBladelogic服务器自动化管理解决方案可以帮助用户建立集中的自动化管理平台，实现对服务器完整生命周期的统一操作：Bladelogic针对各种开放平台（Windows,AIX,HP-UX,SUSE,Redhat,Solaris等）可实现服务器的完整生命周期的自动化管理，其所支持的服务器操作包括如下方面：资产信息和配置发现操作系统安装补丁管理应用程序分发日常巡检操作审计合规审计配置跟踪脚本执行虚拟机管理各种报表等借助BladeLogic解决方案，客户可以获得立竿见影的价值，主要包括三大方面：降低风险：比如一级事件从10个/月减少到1个/月；漏洞修复的周期缩短90%。持续合规：比如SOX合规率从10%提高到超过95%；日常巡检覆盖的设备从30%提高到100%。配置对象化实时配置做什么配置对象化实时配置做什么配置自动化怎么做发现补丁分发检查浏览报表快照修复配置自动化怎么做发现补丁分发检查浏览报表快照修复基于角色的访问控制谁能做基于角色的访问控制谁能做应用应用操作操作运维运维安全安全提高效率：比如服务器:管理员比例从45:1提高到125:1；新业务上线时间从1周缩短到2小时。1.3.1资产信息和配置发现Bladelogic能发现各种资产信息和配置信息，包括：硬件：CPU，处理器速度，处理器/架构，BIOS，描述信息，MAC地址，制造商，型号,磁盘，存储卡等等。操作系统：DNS名称，IP地址，开放的TCP端口，操作系统类型，网络设定，软件补丁，系统名称，用户，用户组，注册表，COM+,安全设定，服务等等。软件：可以发现注册到系统中的MSI，RPM，LPAR，Depot等标准软件包信息，同时，发现功能内置的应用签名，还可以发现和标识常用的企业应用软件，如DB2,Websphere,Apache,Tomcat，SSH，LDAP，Oracle，SAP等等，用户可以通过扩展应用签名标注和发现自行开发的应用。下图所示为采集的Oracle的相关配置和数据表结构信息：配置信息：BMC独有的对象化技术，可以发现并直接解析存储在应用或操作系统的配置文件(如hosts,security,serviecs,route,web.xml,init.ora)中的配置项信息，如下图所示的截图，为自动化系统所收集并解析的数据配置项信息:用命令或脚本自定义采集：Bladelogic还可以将命令行或脚本输出通过语法文件对象化，并转化为配置项供用户浏览和出具报表，下图为指令采集软件错误脚本，并将标准输出对象化后的浏览界面:1.3.2操作系统安装Bladelogic支持多种操作系统的裸机安装，包括Windows,AIX,HP-UX,SUSE，Redhat,Solaris等。以AIX为例，Bladelogic可与AIXNIM结合，通过导航方式自动识别NIM配置参数，自动生成安装Profile，实现对AIX的裸机安装，请参考如下截图:自动发现AIXNIMSPOT发现LPPSource自动生成AIX安装命令1.3.3补丁管理Bladelogic支持对多种平台的补丁分析、安装和检查功能。Windows补丁分析:Windows补丁检查报表：AIX补丁分析:1.3.4应用程序分发BMC独有的专利打包技术BLPackage,可以针对服务器的诸多管理对象进行打包、分发、合规等。打包的对象可以是软件介质，服务，用户，配置项等。在自动化平台上可以分别定义作业的不同阶段(测试，下发介质，提交)的执行时间，同时可以对正在进行的作业强制中断，或对已经完成的变更作业进行回滚。如下图所示：1.3.5日常巡检自动化平台支持服务器日常巡检的自动化，如针对windows的巡检要求：或AIX的巡检要求：通过自动化平台无需开发脚本即可完成日常巡检的设置，所有巡检项目均可通过组合配置项属性检查实现。因为自动化平台所提供的细粒度配置项和强大智能判读逻辑，以致一般的检查规则无需编写任何脚本，通过直观的表达逻辑组合即可完成检查设置：核查结果可通过面板或者报表查看1.3.6操作审计自动化平台具备单独登录功能，在完成自动化平台角色到操作系统用户的映射后，用户可以直接在服务器图标上点击右键，选择“nshhere”,无须输入用户名/密码，便可打开服务器的console。同时，系统对用户的击键记录进行记录和审计，并可查询并出具相应的报表，如下图所示。另外，自动化平台能够对用户使用指令集进行限制，如下图所示：1.3.7合规审计（安全基线）自动化平台支持基于值比对(GoldenServer)，以及基于规则的合规检查。在基于goldenserver的比对中，用户首先定义goldenserver中的标准集合，集合可以包括文件，目录，服务，用户，细粒度配置项等，随后指定需要比对的服务器集合，系统自动高亮与标准集的偏移，如下图所示:更近一步，系统还支持将差异打包，形成”修正作业(RemediationAction)”，批量执行修正作业，并最终对配置偏移的修正。在基于规则的比对中，自动化平台内置如CIS，HIPAA，PCI等开箱即用的最佳实践规范，如下图所示：同时，用户可自行对这些规则进行修改以满足自己的需要，如下图所示：完成规则定义后，系统可应用这些规则对服务器或网络设备进行合规检查，高亮不合规的设备和条目，如下图所示：1.3.8配置跟踪自动化平台通过对用户指定的对象或对象集进行快照(snapshot)的方式，对配置进行追踪。并可以对配置相对标准的偏移进行比对。下图显示某次配置比对的结果：并在发现不同时自动发email或snmptrap。1.3.9脚本执行自动化平台支持以集中的方式在多台被管服务器或服务器组上执行脚本，并统一收集执行结果，如下图所示:1.3.10虚拟机管理自动化平台支持对虚拟机的管理，包括收集虚拟机相关的配置，进行创建、起停虚拟机、虚拟机合规检查等等，如下图所示：1.3.11报表自动化平台支持Web方式制作和浏览报表，报表的类型包括：1.服务器资产报表；如下图所示：资产概览：资产详细：2.合规报表，如下图所示：3.用户与权限划分报表；4.作业相关报表；5.软件与脚本报表；6.用户击键级记录报表；7.服务器变更操作统计报表；8.服务器补丁报表；9.其他定制报表1.4高可靠性设计1.4.1应用服务器Bladelogic为典型的三层结构,分为客户端、应用服务器和数据库层，如下图所示：其中，中间件（业务处理）层的应用服务器（APPServer）可配置多台，如果一台APPServer宕机，可继续使用其他的APP服务器继续进行操作和管理。Bladelogic提供专门的管理端查看其状态，如下图所示：同时，多台APP服务器之间可进行作业的自动负载均衡。由于APP服务器为无状态服务器，单个APP服务器宕机不会影响其他APP服务器的工作。如可采用如下图的方式进行级联:BMCBladeLogicApplicatio