某×××中介服务器托管及安全方案
某公司是河北较大的×××中介公司,在省会有150多个中介门店,每个店有5~10多台不等的工作站。
公司较早使用了计算机及网络进行管理,这包括公司的人事系统、出租、出售房源的登记、查找、交易系统。各门店主要是联通的线路,也有一部分使用电信或铁通线路。为了进行房源的登录、查找、交易等,公司专门开发了一台管理B/S架构的管理系统,通过网络进行管理。服务器托管在江西的双线机房(前几年石家庄没有专业的双线机房),在初期交果较好。但现在随着业务量的增加,各门店反应连接江西服务器的速度不稳定,有时快有时慢,还有的时候不能连接,已经影响了公司的业务。
1中介服务器托管解决方案概述
为了解决这个问题,公司准备新购买一台服务器,并将服务器托管在石家庄当地的双线机房(通过网络将江西的数据库及相关数据下载到本地新服务器上),最后通过修改DNS的方式,更改DNS的A记录,来实现线路从江西切换到石家庄。
因为新购买服务器配置较高(拟购买Dell R720、2个6核心CPU(Intel E5-2620)、32GB内存、4到6块硬盘做RAID10),也为了提高托管服务器的安全性,准备采用虚拟化技术,将网站及数据库放在虚拟机中,在虚拟机前安装Forefront TMG 2010软件防火墙,增加安全性。另外,在Forefront TMG发布网站时,可以增加"时间限制",只让各门店在每天早晨7点到晚上9点能浏览后台网站,其他时间则不能浏览业务网站。采用虚拟化后网络拓扑如图7-88所示。
图7-88 某×××中介服务器托管方案
在本方案中,需要用到3个合法的IP地址,有两个电信的IP地址、1个联通的IP地址,其中1个电信的IP地址配置在VMware ESXi主机上,用于管理,另外1个电信及1个联通的IP地址,配置在Forefront TMG的虚拟机中,用于业务网站(由TMG转发到由其保护的后台网站虚拟机中)。
在本方案中,我们为服务器安装VMware ESXi 5.1的系统,之所以不用5.5的版本是由于在vSphere Client中,只能管理虚拟机硬件版本为9的虚拟机,不能修改虚拟硬件版本为10的虚拟机。但在vSphere Client 5.5客户端中,可以将VMware ESXi 5.5的虚拟机升级到虚拟硬件版本10,这样使用传统的客户端将不能修改该虚拟机配置,只能使用vSphere Web Client,但vSphere Web Client需要vCenter Server的支持,在只有一台VMware ESXi时,使用vCenter Server意义不大。对于大多数的用户来说,在单台VMware ESXi时,使用VMware ESXi 5.1与5.5,区别不大。
在本案例中,我们将通过以下主要内容介绍:
Dell R410/710/910系列服务器RAID配置。
使用VMware ESXi 5.1的Dell专用版本安装。
配置VMware ESXi存储、时间、网络。
模板及各虚拟机的准备。
配置Forefront TMG虚拟机并安装相关系统。
配置网站与数据库虚拟机并安装配置相关系统。
客户端测试。
2 Dell服务器配置RAID方法(略)
在下面的截图中,服务器安装了4块600GB的硬盘,准备划分为RAID10(以实现较高的IOPS值),其中第1个分区为30GB用于安装VMware ESXi,剩余的空间为第2个分区,用做VMware ESXi数据存储。
如果你要使用的U盘启动服务器,并通过U盘安装系统,请按F2键进入CMOS设置,在"Boot Settings",将Boot Mode从UEFI改为BIOS,如图7-97所示,这样才能用大多数U盘启动。
图7-97 修改引导模式
3使用Dell专用版本安装VMware ESXi
在Dell、HP等较新型号的服务器上安装VMware ESXi 5.x时,需要使用VMware公司专门为这些服务器定制的版本,如果使用通用版本,则会提示找不到网卡(如图7-98所示),造成安装失败。
图7-98找不到网卡
目前VMware公司专门为Dell定制的5.x版本有5.0、5.1、5.5系列,文件名分别为VMware-VMvisor-Installer-5.0.0-504890.x86_64-Dell_Customized_RecoveryCD_A04.iso、VMware-VMvisor-Installer-5.1.0.update01-1065491.x86_64-Dell_Customized_RecoveryCD_A00.iso、VMware-VMvisor-Installer-5.5.0-1331820.x86_64-Dell_Customized_A01.iso,大小分别为293M、308M、327MB。VMware专门为HP定制的5.x版本有5.1及5.5,文件名分别为VMware-ESXi-5.1.0-799733-HP-5.32.5.iso、VMware-ESXi-5.5.0-1331820-HP-5.71.3-Sep2013.iso,大小分别为316M到342M,下载之后的文件名、大小如图7-99所示。
图7-99 VMware ESXi各版本
如果是IBM或其他的服务器,则使用VMware官方的安装程序(文件名为VMware-VMvisor-Installer-5.1.0-799733.x86_64.iso、大小为300M或VMware-VMvisor-Installer-5.5.0-1331820.x86_64.iso、大小为325M)安装即可。不能将HP或Dell的安装镜像用于其他的服务器(可能有的时候也可以,但有的时候会有提示这是某某服务器专用版本,不适合当前的服务器)。
在选择了正确的镜像之后,可以通过刻录光盘、使用启动U盘加载对应的ISO镜像(例如使用"电脑店U盘启动工具"制作的启动U盘,只要将VMware ESXi安装光盘镜像放在启动U盘的DND文件夹中,当U盘启动后,选择搜索DND目录中的启动文件,并选择对应的版本启动即可)、或者通过配置TFTP服务器从网络引导安装,或者使用服务器的管理工具,例如HP的iLO、IBM的IMM等加载镜像,或者使用KVM加载镜像。无论使用何种方式,启动VMware ESXi之后,将系统安装在上一节所规划创建的30GB分区上即可,这些不再介绍。在安装完VMware ESXi之后,按F2进入控制台,先暂时为ESXi设置一个管理地址,例如192.168.222.250,在搬去机房前暂时使用这个地址进行管理、配置,等配置完成之后,再修改为机房分配的地址。
根据图7-88所规划的,服务器的第1、2块网卡连接电信的网线,第3、4块网卡连接网通的网线。而直接通过Internet远程管理的地址亦是一个电信的地址,另2个地址将用来Forefront TMG的虚拟机。所以在设置暂时的管理地址192.168.222.250时,选择管理网卡为第1、2网卡。
【说明】由于服务器有4块网卡,所以每2个网卡作为一组,共分两组。在将服务器托管到机房后,只要在第1、2网卡中的其中一个连接到电信交换机上,将第3、4网卡其中一个连接到网通交换机即可。
在安装配置好VMware ESXi管理地址之后,在"配置→网络"中,修改第1个标准交换机vSwitch0的"虚拟机端口组"为dx(表示"电信"的意思);然后添加第2个标准交换机(绑定第3、第4块网卡),修改虚拟机端口组为wt(表示"网通"的意思);添加第3个标准交换机(不使用网卡),修改虚拟机端口组为lan,如图7-100所示。
图7-100 标准交换机及虚拟机端口组设置
之后,在"配置→存储器"中,将第2个逻辑分区添加到VMware ESXi本地存储中,并修改两个存储的名称,安装系统的则命名为OS,存储数据的则为Data,如图7-101所示。
图7-101添加存储
最后,浏览Data数据存储,在该存储中创建ISO的文件夹,并上传Windows Server 2008 R2、Forefront TMG 2010、SQL Server 2008 R2等安装镜像到该存储中,以方便后期的管理使用,如图7-102所示。
图7-102上传镜像到数据存储中
【说明】在连接管理VMware ESXi时,强烈建议管理工作站与服务器之间使用千兆网络连接,如果没有千兆的交换机,使用带有千兆网卡的工作站,使用一条"直通"的网线连接服务器与工作站也可。
未完,现在博客中发图多了,一篇得分成多篇才行。
下面是广告时间:
虚拟化并不是单独存在的。在企业实施虚拟化的过程中,除了产品虚拟化本身,还有许多其他的应用。例如,在虚拟化后之后,仍然要安装操作系统,例如需要Windows Server 2008 R2、Windows Server 2012、SQL Server等,它们并不会由于使用虚拟化而消失,这些仍然是基础的应用。另外,不可否认,无论是否使用虚拟化,在我们的企业中,服务器操作系统是Windows Server 2008 R2或Windows Server 2012 R2,或者是以前的Windows Server 2003,办公软件使用Office,工作站操作系统使用Windows 7、Windows 8.1或Windows XP仍然是主流。使用Windows操作系统或者Microsoft的其他产品是我们无法避免的。本章将介绍在企业中,部署虚拟化与云计算产品时,所需要了解或掌握的一些基础内容,无论你是使用VMware的产品,还是Citrix,抑或VMware的产品,或者其他的产品组建“云”,都需要了解的知识,这些包括Windows网络基础Active Directory、DHCP、Windows产品与补丁升级服务WSUS、Windows操作系统部署产品WDS等。
无论是组建云计算数据中心,还是云虚拟桌面,或者应用程序虚拟化,除了需要Active Directory服务器之外,还需要DHCP、DNS、Windows部署服务、WSUS升级服务器。对于对网络依赖比较严重的企业来说,或者对于中大型企业来说,重要的服务器都是具有冗余的,至少有两台相同功能的服务器,例如Active Directory、DHCP;对于“不太重要”的服务器则配置一台即可,例如Windows部署服务、WSUS升级服务器。在生产环境中,可以将Active Directory、Windows部署服务、WSUS升级服务器部署在虚拟机中,并且Active Directory、Windows部署服务及DHCP服务器可以在同一个虚拟机中,WSUS升级服务器则可以在另一个虚拟机中。
在生产环境中,可以将Active Directory部署在虚拟机中,并且一般要部署两台Active Directory的服务器,并且在这两台Active Directory中都配置DHCP服务器以提供冗余(DNS是同时要部署的,因为Active Directory与DNS已经集成),另外还可以将“Windows部署服务”配置在其中一台Active Directory服务器中。
可以说,配置Active Directory、DHCP、DNS、证书服务器、WSUS服务器、Windows部署服务器,以及KMS服务器,这些是组建与实施虚拟化的基础,没有这些基础产品平台,也就不可能组建一个好的虚拟化环境。如何组建呢?通过“VMware服务器虚拟化提高篇之虚拟化基础架构配置视频课程”,全面而详细的一一介绍这些内容。
VMware服务器虚拟化提高篇之虚拟化基础架构配置视频课程
http://edu.51cto.com/course/course_id-1216.html