基于VMware構建多功能數字服務虛擬平臺系統

1、 基于vmware構建多功能數字服務虛擬平臺系統目錄一 概述1.1引言 隨著數字中心建設進程的加快，各個校園系統中心積極調整資源建設策略，將中心轉向數字資源建設，開發(fā)越來越多的多功能信息化平臺。比如，電子期刊、電子圖書、學位論文、庫普講座、在線學習系統、科技信息系統等等。 采用傳統服務器架構的管理模式有諸多不利因素。一方面，多種電子資源需要多個服務器進行部署，不僅硬件成本高，資金需求量大，而且機房布局更加復雜化，靈活性降低；另一方面要進行這些種類紛雜的數字資源管理，運維人員需要進行頻繁的機器切換以及其他復雜的操作，效率低下。于此運維人員迫切需要一種可以簡化管理、節(jié)約經費的服務器選擇高效的管理途

2、徑。vmware虛擬平臺技術為此創(chuàng)造了可能。1.2 vmware虛擬平臺介紹 vmware的出現，帶來服務器運維的巨大變革。相對于其他服務器部署技術而言，vmware基礎服務產品具有更高的可靠性和效率。vmware虛擬架構套件包括了全面的虛擬化技術、管理、資源優(yōu)化、應用可用性以及自動化的操作能力。虛擬化過程引入了底層設備資源重定向交互作用，而不影響應用層。vmware支持多操作系統并行在單個物理服務器上，能夠提供更加有效的底層硬件使用，使得運維人員可以通過管理一個虛擬架構來快速鏈接和管理資源。 在虛擬架構中，各虛擬機共享一臺物理服務器，但每一臺虛擬機都能獨立運行，并可擁有自己的cpu、內存、硬

3、盤、網卡、聲卡、顯卡、光驅等硬件設備。 vmware工具提供的功能包括：通過拖拽在宿主與虛擬機之間拷貝文件、虛擬機通過共享文件夾訪問宿主資源、提供顯卡驅動、優(yōu)化顯示效果、共用文本剪切板、鼠標自動捕獲強釋放。 綜上，使用vmware虛擬技術架構基于以下幾個方面的考慮。（1）兼容性和移植性 使用vmware可以在同一臺物理機器上安裝，windows、linux等不同的多個操作系統和各種不同的應用，且可以互不影響地同時運行。vmware虛擬機技術將傳統服務器應用程序環(huán)境封裝成可移動的專門文件，整個虛擬機都保存在文件中，可以通過移動和復制這些文件的方式來移動和復制虛擬機，無需修改即可在任何服務器上運行

4、虛擬機。（2）硬件支持和效率 vmware的動態(tài)負載均衡和連續(xù)智能優(yōu)化功能，可以保證所有應用所需資源能夠較好的分配和使用。許多領先的服務器和陣列都支持vmware，包括intel、ibm、hp、dell、聯想以及bmc2、netapp等幾乎所有主流服務器企業(yè)與存儲企業(yè)。（3）安全、備份和恢復 vmware虛擬架構增強了備份和恢復能力，可以大大減少計劃內和計劃外停機以提高業(yè)務連續(xù)性、通過高可用性確?；A架構不受多個故障源影響。通過vmware提供的virtual center、vmware infrastructurevmotion等工具，可以實現服務不中斷下的虛擬機的動態(tài)遷移，保護虛擬機上的應

5、用程序和系統數據。提供空前的靈活性和可用性。（4）費用 越來越多的vmware產品趨向于免費，從vmware server到最新發(fā)布的vmware esxi server.最關鍵的是，vmware軟件的應用大大減少了硬件服務器的成本以及與之相關的空間、冷卻、電力等成本。通過提高能效降低數據中心的電力和制冷成本。減少花在規(guī)劃、配置、監(jiān)視和維護的時間，從而減少人員成本。 虛擬平臺下的服務器部署方案示例 基于上圖的vmware技術架構，可以滿足機房系統服務的運維要求，輕松實現業(yè)務的連續(xù)不間斷運行，并且可以針對具體的應用和訪問量靈活部署，降低系統部署的總成本。由于esx server是和硬件分離的，服

6、務器的硬件和esx server的虛擬化規(guī)范之間必要的一致性，讓安裝、維護以及遠程管理虛擬機的過程非常簡單。與vmwarv esx server相配套的管理工具提供了分布式資源調度和遠程管理功能，使得vmware虛擬化解決方案更為完善，非常適用于圖書館各種電子資源的管理應用。 二 公安大學的服務器虛擬架構整合項目設計2.1 分布式部署方案當前校園網面臨的問題：（1）服務器的利用率低?，F在機房內運行的大部分機器的利用率都非常低，由于一臺服務器只能有一個操作系統，受系統和軟件開發(fā)平臺的限制，cpu、內存、硬盤空間的資源利用率不超過15%，大量的系統資源被閑置。（2）可管理性差。首先是可用性低， 除

7、個別系統做了服務器集群外，幾乎每個應用服務器都是單機，如果哪臺服務器出現故障，相對應的業(yè)務也將中斷。其次是系統維護、升級和擴容時需要停機進行，也將造成應用中斷，其中包括學校的一些重要業(yè)務系統，一旦中斷服務影響很大。（3）兼容性差。系統和應用遷移到其他服務器，需要和舊系統兼容的系統。新的軟件包括操作系統和應用軟件無法運行在老的硬件平臺，而老的代碼有時候也很難移植到新的硬件平臺上。例如：學校門戶網站，以asp為開發(fā)平臺，安裝在windows 2000 server操作系統上，幾年下來，開發(fā)了許多應用，最新的一些應用又以asp高版本、jsp、java等為開發(fā)平臺，安裝在windows 2003 se

8、rver操作系統上，不僅互不兼容，而且還由幾家公司分別開發(fā)。為節(jié)省時間、物力和保持網站持續(xù)的服務，只能用增加服務器方法來解決。（4）服務器和存儲購置成本高，維護成本遞增，也不得不考慮。隨著服務器數量增加，每年要支出高額購置費用不說，還有一半服務器已經過三年保修期，部件逐漸進入老化期，維護、維修預算費用也逐年增加 基于公安大學系統平臺多功能性的需求，整體架構采用分布式部署即，應用系統/存儲系統/數據庫系統設計從以下幾個方面考慮： 發(fā)生單點故障不影響系統穩(wěn)定性。 與集中式數據庫不同的是在數據冗余方面分布式數據庫有效性更高于前者。 均衡負載的需要，使得各處理機之間的相互干擾降到最低。 當體系結構中需

9、要增加新的組織單位，在不影響整體結構的同時，進行局部擴充。 完善的多點災難恢復處理2.2 應用系統部署方案2.2.1部署web服務器 （windows與linux兩個方面）windows 2003 部署方案web服務器是企業(yè)網intranet網站的核心，其中的數據資料非常重要，一旦遭到破壞將會給企業(yè)造成不可彌補的損失，管理好、使用好、保護好web服務器中的資源，是一項至關重要的工作。1.系統安裝，系統安全策略配置 使用ntfs格式分區(qū)、設置不同的用戶訪問服務器的不同權限是搭建一臺安全web服務器的最低要求。windows 2003安裝策略： (1)系統安裝在單獨的邏輯驅動器并自定義安裝目錄；以

10、“最小的權限+最少的服務=最大的安全”為基本理念，只安裝所必需的服務和協議，如dns、dhcp，不需要的服務和協議一律不安裝；只保留tcpip一項并禁用netbois；安裝windows2003最新補丁和防病毒軟件。 (2)關閉windows2003不必要的服務。 關閉computer browser、task scheduler、routingand remote access、removable storage、remote registryservice，print spooler，ipsec pohcy agent，distributedijink tracking client、co

11、rn+event system、alerter、errorreporting service、messenger、telnet服務。 (3)設置磁盤訪問權限。 系統磁盤只賦予administrators和system權限，系統所在目錄(默認時為windows)要加上users的默認權限，以保障asp和aspx等應用程序正常運行。其他磁盤可以此為參照，當某些第三方應用程序以服務形式啟動時，需加system用戶權限，否則啟動不成功。 (4)注冊表hkey_local_machinesystemcurrentcontroisetcontrollsa，將dword值restrietanonymous的

12、鍵值改為1，禁止windows系統進行空連接。 (5)關閉不需要的端口、更改遠程連接端口。 本地連接屬性internet協議(tcpip)高級選項tcp/ip篩選屬性把勾打上，添加需要的端口(如：21、80)。 更改遠程連接端口：開始運行輸入regedit查找3389：將hkey_local_machine世systemxcurrentcontrolsetcontrolterminal serverwdshrdpwdtdstep 和hkey_local_machlnesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp下

13、的portnumber=3389改為自定義的端口號并重新啟動服務器。 (6)編寫批處理文件delsharebat并在組策略中應用，以關閉默認共享的空連接。(以服務器有4個邏輯驅動器為例) net share c$delete net share d$delete net share e$delete net share f$delete net share admin$delete 將以上內容寫入delsharebat并保存到系統所在文件夾下的system32groupp0licyusescriptslogon目錄下。運行gpeditmsc組策略編輯器，用戶配置windows設置腳本(登錄注銷

14、)登錄“登錄屬性”“添加”“添加腳本”對話框的“腳本名”欄中輸入delsharebat_“確定”按鈕一重新啟動服務器，即可自動關閉系統的默認隱藏共享，將系統安全隱患降至最低。 (7)限制匿名訪問本機用戶?！伴_始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項”雙擊“對匿名連接的額外限制”在下拉菜單中選擇“不允許枚舉sam帳號和共享”“確定”。 (8)限制遠程用戶對光驅或軟驅的訪問?！伴_始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項”雙擊“只有本地登錄用戶才能訪問軟盤”在單選按鈕中選擇“已啟用(e)”“確定”。 (9)限制遠程用戶對netmeeting的共享，禁用ne

15、tmeeting遠程桌面共享功能。運行“speditmsc”“計算機配置”“管理模板”“windows組件”“netmeetins”“禁用遠程桌面共享”右鍵在單選按鈕中選擇“啟用(e)”“確定”。 (10)限制用戶執(zhí)行windows安裝程序，防止用戶在系統上安裝軟件。方法同(9)。 (11)刪除c：wind0wswebprinters目錄，避免溢出攻擊(此目錄的存在會造成iis里加入一個printers的擴展名，可溢出攻擊)。 (12)刪除c：windows、system32inetsrviisadmpwd。此目錄在管理iis密碼時使用(如因密碼不同步造成500錯誤時使用owa或iisadmp

16、wd修改同步密碼)。當把賬戶策略密碼策略密碼最短使用期限設為0天(即密碼不過期時，可避免iis密碼不同步問題)。這里就可刪掉此目錄。 (13)修改注冊表防止小規(guī)模ddos攻擊。 hkey_local_machineisystemcurrentcontmlsetservicestcpiplparameters新建“dword值”名為“synattackprotect”數值為“1” (14)本地策略安全選項。 將清除慮擬內存頁面文件、不顯示上次的用戶名、不需要按ctrl+alt+del、不允許sam賬戶的匿名枚舉、不允許sam賬戶和共享的匿名枚舉、均更改為“已啟用”；重命名來賓賬戶更改成一個復雜的

17、賬戶名；重命名系統管理員賬號，更改一個自己用的賬號，同時建立一個無用戶組的administrat賬戶2 iis安全策略應用 (1)不使用默認的web站點，將iis目錄與系統磁盤分開。 將網站內容移動到非系統馭動器，不使用默認的inetpubwwwroot目錄，以減輕目錄遍歷攻擊(這種攻擊試圖瀏覽web服務器的目錄結構)帶來的危險(一定要驗證所有的虛擬目錄是否均指向目標驅動器)。(2)刪除iis默認創(chuàng)建的inetpub目錄(在系統磁盤上)并配置網站訪問權限。為web服務器配置站點、目錄和文件的訪問權限。(3)刪除系統盤下的虛擬目錄：vti_bin，iissamples，scripts，iishe

18、lp，iisadmin，iishelp，msadc。(4)刪除不必要的iis擴展名映射。 右鍵單擊“默認web站點屬性主目錄配置”，打開應用程序窗口，去掉不必要的應用程序映射，主要為shtml，shtm，stm。(5)更改iis日志的路徑。 右鍵單擊“默認web站點屬性網站在啟用日志記錄下點擊屬性更改設置。(6)只選擇網站和web應用程序正確運行所必需的服務和子組件。開始控制面板添加或刪除程序添加l刪除windows組件應用程序服務器詳細信息internet信息服務(iis)詳細信息然后通過選擇或清除相應組件或服務的復選框，來選擇或取消相應的iis組件和服務。iis子組件和服務的推薦設置：禁用

19、：后臺智能傳輸服務(bits)服務器擴展，ftt服務、frontpage 2002 server extensions，internet打印、nntp服務。啟用：公用文件、internet信息服務管理器、萬維網服務。(7)刪除未使用的帳戶，設置強密碼，使用以最低特權的帳戶。避免攻擊者通過使用以高級特權運行的帳戶來獲取未經授權的資源訪問權。限制對服務器的匿名連接，確保禁用來賓帳戶；重命名管理員帳戶并分配一個強密碼以增強安全性。重命名iusr帳戶。 在iis元數據庫中更改iusr帳戶的值：“管理工具”“internet信息服務(iis)管理器”右鍵單擊“本地計算機”“屬性”選中“允許直接編輯配置數

20、據庫”復選框“確定”瀏覽至metabase.xml文件的位置，默認情況下為c：windowslsystem321inetsrv右鍵單擊melabasexml文件“編輯”搜索“anonymoususername”屬性鍵入iusr帳戶的新名稱在“文件”菜單上單擊“退出”單擊“是”。(8)使用應用程序池來隔離應用程序，提高web服務器的可靠性和安全性。 創(chuàng)建應用程序池：“管理工具”“internet信息服務(iis)管理器”本地計算機右鍵單擊“應用程序池”“新建”“應用程序池”在“應用程序池id”框中，為應用程序池鍵入一個新id“應用程序池設置”“usedefault settings for th

21、e new application pool”(使用新應用程序池的默認設置)“確定”。 將網站或應用程序分配到應用程序池：“管理工具”“internet信息服務(iis)管理器”、右鍵單擊您想要分配到應用程序池的網站或應用程序“屬性”“主目錄”、“虛擬目錄”或“目錄”選項卡，如果將目錄或虛擬目錄分配到應用程序池，則驗證“應用程序名”框是否包含正確的網站或應用程序名稱，(如果在“應用程序名”框中沒有名稱，則單擊“創(chuàng)建”，然后鍵入網站或應用程序的名稱)“應用程序池”列表框單擊您想要分配網站或應用程序的應用程序池的名稱“確定”。經過以上設置，iis安全性有了很大的提升，但一些不法攻擊者會不斷尋找新漏

22、洞來攻擊web服務系統，所以一定要養(yǎng)成及時修補系統漏洞的習慣，并不斷提高管理人員的網絡技術水平，確保web服務器有一個安全、穩(wěn)定、高效的運行環(huán)境2.2.2 基于安全角度的linux部署方案 （系統安裝，略）部署方案包括：apache安裝、編譯安裝php、jsp環(huán)境支持、web服務環(huán)境支持測試當前web服務器面臨的安全問題：由于apache服務器最大的缺點是它的普及性成為眾矢之的，所以apache服務器很容易受到dos攻擊的威脅主要包括以下幾種形式：數據包洪水攻擊磁盤攻擊路由不可達分布式拒絕服務攻擊緩沖區(qū)溢出root權限丟失針對apache服務器面臨的普遍性安全問題，部署策略有以下幾點1.為apache使用專門的用戶和用戶組 必須保證apache使用一個專門的用戶和用戶組，不要使用系統預定義的賬號，比如nobody用戶和nogroup用戶組。因為只有root用戶可以運行apache，documentroot應該能夠被管理web站點內容的用戶訪問和使用apache服務器的apache用戶和apache用戶組訪問。所以，如果希望“cat”用戶在web站點發(fā)布內容，并且可以以httpd身份運行apache服務器，通?？梢赃@樣groupadd webteam