基于VMware構(gòu)建多功能數(shù)字服務(wù)虛擬平臺(tái)系統(tǒng)

1、 基于vmware構(gòu)建多功能數(shù)字服務(wù)虛擬平臺(tái)系統(tǒng)目錄一 概述1.1引言 隨著數(shù)字中心建設(shè)進(jìn)程的加快，各個(gè)校園系統(tǒng)中心積極調(diào)整資源建設(shè)策略，將中心轉(zhuǎn)向數(shù)字資源建設(shè)，開(kāi)發(fā)越來(lái)越多的多功能信息化平臺(tái)。比如，電子期刊、電子圖書(shū)、學(xué)位論文、庫(kù)普講座、在線學(xué)習(xí)系統(tǒng)、科技信息系統(tǒng)等等。 采用傳統(tǒng)服務(wù)器架構(gòu)的管理模式有諸多不利因素。一方面，多種電子資源需要多個(gè)服務(wù)器進(jìn)行部署，不僅硬件成本高，資金需求量大，而且機(jī)房布局更加復(fù)雜化，靈活性降低；另一方面要進(jìn)行這些種類(lèi)紛雜的數(shù)字資源管理，運(yùn)維人員需要進(jìn)行頻繁的機(jī)器切換以及其他復(fù)雜的操作，效率低下。于此運(yùn)維人員迫切需要一種可以簡(jiǎn)化管理、節(jié)約經(jīng)費(fèi)的服務(wù)器選擇高效的管理途

2、徑。vmware虛擬平臺(tái)技術(shù)為此創(chuàng)造了可能。1.2 vmware虛擬平臺(tái)介紹 vmware的出現(xiàn)，帶來(lái)服務(wù)器運(yùn)維的巨大變革。相對(duì)于其他服務(wù)器部署技術(shù)而言，vmware基礎(chǔ)服務(wù)產(chǎn)品具有更高的可靠性和效率。vmware虛擬架構(gòu)套件包括了全面的虛擬化技術(shù)、管理、資源優(yōu)化、應(yīng)用可用性以及自動(dòng)化的操作能力。虛擬化過(guò)程引入了底層設(shè)備資源重定向交互作用，而不影響應(yīng)用層。vmware支持多操作系統(tǒng)并行在單個(gè)物理服務(wù)器上，能夠提供更加有效的底層硬件使用，使得運(yùn)維人員可以通過(guò)管理一個(gè)虛擬架構(gòu)來(lái)快速鏈接和管理資源。 在虛擬架構(gòu)中，各虛擬機(jī)共享一臺(tái)物理服務(wù)器，但每一臺(tái)虛擬機(jī)都能獨(dú)立運(yùn)行，并可擁有自己的cpu、內(nèi)存、硬

3、盤(pán)、網(wǎng)卡、聲卡、顯卡、光驅(qū)等硬件設(shè)備。 vmware工具提供的功能包括：通過(guò)拖拽在宿主與虛擬機(jī)之間拷貝文件、虛擬機(jī)通過(guò)共享文件夾訪問(wèn)宿主資源、提供顯卡驅(qū)動(dòng)、優(yōu)化顯示效果、共用文本剪切板、鼠標(biāo)自動(dòng)捕獲強(qiáng)釋放。 綜上，使用vmware虛擬技術(shù)架構(gòu)基于以下幾個(gè)方面的考慮。（1）兼容性和移植性 使用vmware可以在同一臺(tái)物理機(jī)器上安裝，windows、linux等不同的多個(gè)操作系統(tǒng)和各種不同的應(yīng)用，且可以互不影響地同時(shí)運(yùn)行。vmware虛擬機(jī)技術(shù)將傳統(tǒng)服務(wù)器應(yīng)用程序環(huán)境封裝成可移動(dòng)的專(zhuān)門(mén)文件，整個(gè)虛擬機(jī)都保存在文件中，可以通過(guò)移動(dòng)和復(fù)制這些文件的方式來(lái)移動(dòng)和復(fù)制虛擬機(jī)，無(wú)需修改即可在任何服務(wù)器上運(yùn)行

4、虛擬機(jī)。（2）硬件支持和效率 vmware的動(dòng)態(tài)負(fù)載均衡和連續(xù)智能優(yōu)化功能，可以保證所有應(yīng)用所需資源能夠較好的分配和使用。許多領(lǐng)先的服務(wù)器和陣列都支持vmware，包括intel、ibm、hp、dell、聯(lián)想以及bmc2、netapp等幾乎所有主流服務(wù)器企業(yè)與存儲(chǔ)企業(yè)。（3）安全、備份和恢復(fù) vmware虛擬架構(gòu)增強(qiáng)了備份和恢復(fù)能力，可以大大減少計(jì)劃內(nèi)和計(jì)劃外停機(jī)以提高業(yè)務(wù)連續(xù)性、通過(guò)高可用性確?；A(chǔ)架構(gòu)不受多個(gè)故障源影響。通過(guò)vmware提供的virtual center、vmware infrastructurevmotion等工具，可以實(shí)現(xiàn)服務(wù)不中斷下的虛擬機(jī)的動(dòng)態(tài)遷移，保護(hù)虛擬機(jī)上的應(yīng)

5、用程序和系統(tǒng)數(shù)據(jù)。提供空前的靈活性和可用性。（4）費(fèi)用 越來(lái)越多的vmware產(chǎn)品趨向于免費(fèi)，從vmware server到最新發(fā)布的vmware esxi server.最關(guān)鍵的是，vmware軟件的應(yīng)用大大減少了硬件服務(wù)器的成本以及與之相關(guān)的空間、冷卻、電力等成本。通過(guò)提高能效降低數(shù)據(jù)中心的電力和制冷成本。減少花在規(guī)劃、配置、監(jiān)視和維護(hù)的時(shí)間，從而減少人員成本。 虛擬平臺(tái)下的服務(wù)器部署方案示例 基于上圖的vmware技術(shù)架構(gòu)，可以滿(mǎn)足機(jī)房系統(tǒng)服務(wù)的運(yùn)維要求，輕松實(shí)現(xiàn)業(yè)務(wù)的連續(xù)不間斷運(yùn)行，并且可以針對(duì)具體的應(yīng)用和訪問(wèn)量靈活部署，降低系統(tǒng)部署的總成本。由于esx server是和硬件分離的，服

6、務(wù)器的硬件和esx server的虛擬化規(guī)范之間必要的一致性，讓安裝、維護(hù)以及遠(yuǎn)程管理虛擬機(jī)的過(guò)程非常簡(jiǎn)單。與vmwarv esx server相配套的管理工具提供了分布式資源調(diào)度和遠(yuǎn)程管理功能，使得vmware虛擬化解決方案更為完善，非常適用于圖書(shū)館各種電子資源的管理應(yīng)用。 二 公安大學(xué)的服務(wù)器虛擬架構(gòu)整合項(xiàng)目設(shè)計(jì)2.1 分布式部署方案當(dāng)前校園網(wǎng)面臨的問(wèn)題：（1）服務(wù)器的利用率低?，F(xiàn)在機(jī)房?jī)?nèi)運(yùn)行的大部分機(jī)器的利用率都非常低，由于一臺(tái)服務(wù)器只能有一個(gè)操作系統(tǒng)，受系統(tǒng)和軟件開(kāi)發(fā)平臺(tái)的限制，cpu、內(nèi)存、硬盤(pán)空間的資源利用率不超過(guò)15%，大量的系統(tǒng)資源被閑置。（2）可管理性差。首先是可用性低， 除

7、個(gè)別系統(tǒng)做了服務(wù)器集群外，幾乎每個(gè)應(yīng)用服務(wù)器都是單機(jī)，如果哪臺(tái)服務(wù)器出現(xiàn)故障，相對(duì)應(yīng)的業(yè)務(wù)也將中斷。其次是系統(tǒng)維護(hù)、升級(jí)和擴(kuò)容時(shí)需要停機(jī)進(jìn)行，也將造成應(yīng)用中斷，其中包括學(xué)校的一些重要業(yè)務(wù)系統(tǒng)，一旦中斷服務(wù)影響很大。（3）兼容性差。系統(tǒng)和應(yīng)用遷移到其他服務(wù)器，需要和舊系統(tǒng)兼容的系統(tǒng)。新的軟件包括操作系統(tǒng)和應(yīng)用軟件無(wú)法運(yùn)行在老的硬件平臺(tái)，而老的代碼有時(shí)候也很難移植到新的硬件平臺(tái)上。例如：學(xué)校門(mén)戶(hù)網(wǎng)站，以asp為開(kāi)發(fā)平臺(tái)，安裝在windows 2000 server操作系統(tǒng)上，幾年下來(lái)，開(kāi)發(fā)了許多應(yīng)用，最新的一些應(yīng)用又以asp高版本、jsp、java等為開(kāi)發(fā)平臺(tái)，安裝在windows 2003 se

8、rver操作系統(tǒng)上，不僅互不兼容，而且還由幾家公司分別開(kāi)發(fā)。為節(jié)省時(shí)間、物力和保持網(wǎng)站持續(xù)的服務(wù)，只能用增加服務(wù)器方法來(lái)解決。（4）服務(wù)器和存儲(chǔ)購(gòu)置成本高，維護(hù)成本遞增，也不得不考慮。隨著服務(wù)器數(shù)量增加，每年要支出高額購(gòu)置費(fèi)用不說(shuō)，還有一半服務(wù)器已經(jīng)過(guò)三年保修期，部件逐漸進(jìn)入老化期，維護(hù)、維修預(yù)算費(fèi)用也逐年增加 基于公安大學(xué)系統(tǒng)平臺(tái)多功能性的需求，整體架構(gòu)采用分布式部署即，應(yīng)用系統(tǒng)/存儲(chǔ)系統(tǒng)/數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)從以下幾個(gè)方面考慮： 發(fā)生單點(diǎn)故障不影響系統(tǒng)穩(wěn)定性。 與集中式數(shù)據(jù)庫(kù)不同的是在數(shù)據(jù)冗余方面分布式數(shù)據(jù)庫(kù)有效性更高于前者。 均衡負(fù)載的需要，使得各處理機(jī)之間的相互干擾降到最低。 當(dāng)體系結(jié)構(gòu)中需

9、要增加新的組織單位，在不影響整體結(jié)構(gòu)的同時(shí)，進(jìn)行局部擴(kuò)充。 完善的多點(diǎn)災(zāi)難恢復(fù)處理2.2 應(yīng)用系統(tǒng)部署方案2.2.1部署web服務(wù)器 （windows與linux兩個(gè)方面）windows 2003 部署方案web服務(wù)器是企業(yè)網(wǎng)intranet網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會(huì)給企業(yè)造成不可彌補(bǔ)的損失，管理好、使用好、保護(hù)好web服務(wù)器中的資源，是一項(xiàng)至關(guān)重要的工作。1.系統(tǒng)安裝，系統(tǒng)安全策略配置 使用ntfs格式分區(qū)、設(shè)置不同的用戶(hù)訪問(wèn)服務(wù)器的不同權(quán)限是搭建一臺(tái)安全web服務(wù)器的最低要求。windows 2003安裝策略： (1)系統(tǒng)安裝在單獨(dú)的邏輯驅(qū)動(dòng)器并自定義安裝目錄；以

10、“最小的權(quán)限+最少的服務(wù)=最大的安全”為基本理念，只安裝所必需的服務(wù)和協(xié)議，如dns、dhcp，不需要的服務(wù)和協(xié)議一律不安裝；只保留tcpip一項(xiàng)并禁用netbois；安裝windows2003最新補(bǔ)丁和防病毒軟件。 (2)關(guān)閉windows2003不必要的服務(wù)。 關(guān)閉computer browser、task scheduler、routingand remote access、removable storage、remote registryservice，print spooler，ipsec pohcy agent，distributedijink tracking client、co

11、rn+event system、alerter、errorreporting service、messenger、telnet服務(wù)。 (3)設(shè)置磁盤(pán)訪問(wèn)權(quán)限。 系統(tǒng)磁盤(pán)只賦予administrators和system權(quán)限，系統(tǒng)所在目錄(默認(rèn)時(shí)為windows)要加上users的默認(rèn)權(quán)限，以保障asp和aspx等應(yīng)用程序正常運(yùn)行。其他磁盤(pán)可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)，需加system用戶(hù)權(quán)限，否則啟動(dòng)不成功。 (4)注冊(cè)表hkey_local_machinesystemcurrentcontroisetcontrollsa，將dword值restrietanonymous的

12、鍵值改為1，禁止windows系統(tǒng)進(jìn)行空連接。 (5)關(guān)閉不需要的端口、更改遠(yuǎn)程連接端口。 本地連接屬性internet協(xié)議(tcpip)高級(jí)選項(xiàng)tcp/ip篩選屬性把勾打上，添加需要的端口(如：21、80)。 更改遠(yuǎn)程連接端口：開(kāi)始運(yùn)行輸入regedit查找3389：將hkey_local_machine世systemxcurrentcontrolsetcontrolterminal serverwdshrdpwdtdstep 和hkey_local_machlnesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp下

13、的portnumber=3389改為自定義的端口號(hào)并重新啟動(dòng)服務(wù)器。 (6)編寫(xiě)批處理文件delsharebat并在組策略中應(yīng)用，以關(guān)閉默認(rèn)共享的空連接。(以服務(wù)器有4個(gè)邏輯驅(qū)動(dòng)器為例) net share c$delete net share d$delete net share e$delete net share f$delete net share admin$delete 將以上內(nèi)容寫(xiě)入delsharebat并保存到系統(tǒng)所在文件夾下的system32groupp0licyusescriptslogon目錄下。運(yùn)行g(shù)peditmsc組策略編輯器，用戶(hù)配置windows設(shè)置腳本(登錄注銷(xiāo)

14、)登錄“登錄屬性”“添加”“添加腳本”對(duì)話(huà)框的“腳本名”欄中輸入delsharebat_“確定”按鈕一重新啟動(dòng)服務(wù)器，即可自動(dòng)關(guān)閉系統(tǒng)的默認(rèn)隱藏共享，將系統(tǒng)安全隱患降至最低。 (7)限制匿名訪問(wèn)本機(jī)用戶(hù)。“開(kāi)始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項(xiàng)”雙擊“對(duì)匿名連接的額外限制”在下拉菜單中選擇“不允許枚舉sam帳號(hào)和共享”“確定”。 (8)限制遠(yuǎn)程用戶(hù)對(duì)光驅(qū)或軟驅(qū)的訪問(wèn)。“開(kāi)始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項(xiàng)”雙擊“只有本地登錄用戶(hù)才能訪問(wèn)軟盤(pán)”在單選按鈕中選擇“已啟用(e)”“確定”。 (9)限制遠(yuǎn)程用戶(hù)對(duì)netmeeting的共享，禁用ne

15、tmeeting遠(yuǎn)程桌面共享功能。運(yùn)行“speditmsc”“計(jì)算機(jī)配置”“管理模板”“windows組件”“netmeetins”“禁用遠(yuǎn)程桌面共享”右鍵在單選按鈕中選擇“啟用(e)”“確定”。 (10)限制用戶(hù)執(zhí)行windows安裝程序，防止用戶(hù)在系統(tǒng)上安裝軟件。方法同(9)。 (11)刪除c：wind0wswebprinters目錄，避免溢出攻擊(此目錄的存在會(huì)造成iis里加入一個(gè)printers的擴(kuò)展名，可溢出攻擊)。 (12)刪除c：windows、system32inetsrviisadmpwd。此目錄在管理iis密碼時(shí)使用(如因密碼不同步造成500錯(cuò)誤時(shí)使用owa或iisadmp

16、wd修改同步密碼)。當(dāng)把賬戶(hù)策略密碼策略密碼最短使用期限設(shè)為0天(即密碼不過(guò)期時(shí)，可避免iis密碼不同步問(wèn)題)。這里就可刪掉此目錄。 (13)修改注冊(cè)表防止小規(guī)模ddos攻擊。 hkey_local_machineisystemcurrentcontmlsetservicestcpiplparameters新建“dword值”名為“synattackprotect”數(shù)值為“1” (14)本地策略安全選項(xiàng)。 將清除慮擬內(nèi)存頁(yè)面文件、不顯示上次的用戶(hù)名、不需要按ctrl+alt+del、不允許sam賬戶(hù)的匿名枚舉、不允許sam賬戶(hù)和共享的匿名枚舉、均更改為“已啟用”；重命名來(lái)賓賬戶(hù)更改成一個(gè)復(fù)雜的

17、賬戶(hù)名；重命名系統(tǒng)管理員賬號(hào)，更改一個(gè)自己用的賬號(hào)，同時(shí)建立一個(gè)無(wú)用戶(hù)組的administrat賬戶(hù)2 iis安全策略應(yīng)用 (1)不使用默認(rèn)的web站點(diǎn)，將iis目錄與系統(tǒng)磁盤(pán)分開(kāi)。 將網(wǎng)站內(nèi)容移動(dòng)到非系統(tǒng)馭動(dòng)器，不使用默認(rèn)的inetpubwwwroot目錄，以減輕目錄遍歷攻擊(這種攻擊試圖瀏覽web服務(wù)器的目錄結(jié)構(gòu))帶來(lái)的危險(xiǎn)(一定要驗(yàn)證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動(dòng)器)。(2)刪除iis默認(rèn)創(chuàng)建的inetpub目錄(在系統(tǒng)磁盤(pán)上)并配置網(wǎng)站訪問(wèn)權(quán)限。為web服務(wù)器配置站點(diǎn)、目錄和文件的訪問(wèn)權(quán)限。(3)刪除系統(tǒng)盤(pán)下的虛擬目錄：vti_bin，iissamples，scripts，iishe

18、lp，iisadmin，iishelp，msadc。(4)刪除不必要的iis擴(kuò)展名映射。 右鍵單擊“默認(rèn)web站點(diǎn)屬性主目錄配置”，打開(kāi)應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，主要為shtml，shtm，stm。(5)更改iis日志的路徑。 右鍵單擊“默認(rèn)web站點(diǎn)屬性網(wǎng)站在啟用日志記錄下點(diǎn)擊屬性更改設(shè)置。(6)只選擇網(wǎng)站和web應(yīng)用程序正確運(yùn)行所必需的服務(wù)和子組件。開(kāi)始控制面板添加或刪除程序添加l刪除windows組件應(yīng)用程序服務(wù)器詳細(xì)信息internet信息服務(wù)(iis)詳細(xì)信息然后通過(guò)選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框，來(lái)選擇或取消相應(yīng)的iis組件和服務(wù)。iis子組件和服務(wù)的推薦設(shè)置：禁用

19、：后臺(tái)智能傳輸服務(wù)(bits)服務(wù)器擴(kuò)展，ftt服務(wù)、frontpage 2002 server extensions，internet打印、nntp服務(wù)。啟用：公用文件、internet信息服務(wù)管理器、萬(wàn)維網(wǎng)服務(wù)。(7)刪除未使用的帳戶(hù)，設(shè)置強(qiáng)密碼，使用以最低特權(quán)的帳戶(hù)。避免攻擊者通過(guò)使用以高級(jí)特權(quán)運(yùn)行的帳戶(hù)來(lái)獲取未經(jīng)授權(quán)的資源訪問(wèn)權(quán)。限制對(duì)服務(wù)器的匿名連接，確保禁用來(lái)賓帳戶(hù)；重命名管理員帳戶(hù)并分配一個(gè)強(qiáng)密碼以增強(qiáng)安全性。重命名iusr帳戶(hù)。 在iis元數(shù)據(jù)庫(kù)中更改iusr帳戶(hù)的值：“管理工具”“internet信息服務(wù)(iis)管理器”右鍵單擊“本地計(jì)算機(jī)”“屬性”選中“允許直接編輯配置數(shù)

20、據(jù)庫(kù)”復(fù)選框“確定”瀏覽至metabase.xml文件的位置，默認(rèn)情況下為c：windowslsystem321inetsrv右鍵單擊melabasexml文件“編輯”搜索“anonymoususername”屬性鍵入iusr帳戶(hù)的新名稱(chēng)在“文件”菜單上單擊“退出”單擊“是”。(8)使用應(yīng)用程序池來(lái)隔離應(yīng)用程序，提高web服務(wù)器的可靠性和安全性。 創(chuàng)建應(yīng)用程序池：“管理工具”“internet信息服務(wù)(iis)管理器”本地計(jì)算機(jī)右鍵單擊“應(yīng)用程序池”“新建”“應(yīng)用程序池”在“應(yīng)用程序池id”框中，為應(yīng)用程序池鍵入一個(gè)新id“應(yīng)用程序池設(shè)置”“usedefault settings for th

21、e new application pool”(使用新應(yīng)用程序池的默認(rèn)設(shè)置)“確定”。 將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池：“管理工具”“internet信息服務(wù)(iis)管理器”、右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序“屬性”“主目錄”、“虛擬目錄”或“目錄”選項(xiàng)卡，如果將目錄或虛擬目錄分配到應(yīng)用程序池，則驗(yàn)證“應(yīng)用程序名”框是否包含正確的網(wǎng)站或應(yīng)用程序名稱(chēng)，(如果在“應(yīng)用程序名”框中沒(méi)有名稱(chēng)，則單擊“創(chuàng)建”，然后鍵入網(wǎng)站或應(yīng)用程序的名稱(chēng))“應(yīng)用程序池”列表框單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱(chēng)“確定”。經(jīng)過(guò)以上設(shè)置，iis安全性有了很大的提升，但一些不法攻擊者會(huì)不斷尋找新漏

22、洞來(lái)攻擊web服務(wù)系統(tǒng)，所以一定要養(yǎng)成及時(shí)修補(bǔ)系統(tǒng)漏洞的習(xí)慣，并不斷提高管理人員的網(wǎng)絡(luò)技術(shù)水平，確保web服務(wù)器有一個(gè)安全、穩(wěn)定、高效的運(yùn)行環(huán)境2.2.2 基于安全角度的linux部署方案 （系統(tǒng)安裝，略）部署方案包括：apache安裝、編譯安裝php、jsp環(huán)境支持、web服務(wù)環(huán)境支持測(cè)試當(dāng)前web服務(wù)器面臨的安全問(wèn)題：由于apache服務(wù)器最大的缺點(diǎn)是它的普及性成為眾矢之的，所以apache服務(wù)器很容易受到dos攻擊的威脅主要包括以下幾種形式：數(shù)據(jù)包洪水攻擊磁盤(pán)攻擊路由不可達(dá)分布式拒絕服務(wù)攻擊緩沖區(qū)溢出root權(quán)限丟失針對(duì)apache服務(wù)器面臨的普遍性安全問(wèn)題，部署策略有以下幾點(diǎn)1.為apache使用專(zhuān)門(mén)的用戶(hù)和用戶(hù)組 必須保證apache使用一個(gè)專(zhuān)門(mén)的用戶(hù)和用戶(hù)組，不要使用系統(tǒng)預(yù)定義的賬號(hào)，比如nobody用戶(hù)和nogroup用戶(hù)組。因?yàn)橹挥衦oot用戶(hù)可以運(yùn)行apache，documentroot應(yīng)該能夠被管理web站點(diǎn)內(nèi)容的用戶(hù)訪問(wèn)和使用apache服務(wù)器的apache用戶(hù)和apache用戶(hù)組訪問(wèn)。所以，如果希望“cat”用戶(hù)在web站點(diǎn)發(fā)布內(nèi)容，并且可以以httpd身份運(yùn)行apache服務(wù)器，通常可以這樣groupadd webteam