今天技術的目標是實現事半功倍的效果,而現代數據中心里的信息技術設備數量正在以空前的速度增長。現在急需一種具備成本效益的解決方案,可以為數據中心中的信息技術設備提供集中化的控制,卻不會使數據中心更加雜亂。這種解決方案就是遠程KVM切換器。KVM是鍵盤、顯示器和鼠標(keyboard、video、mouse)的首字母縮寫,它可以用一套鍵盤、顯示器和鼠標同時控制多個信息技術設備。
遠程KVM切換器實現了數據中心服務器與其它信息技術設備的統一管理。數據中心安裝了遠程KVM切換器后,信息技術專業人員只需使用全球任何一臺工作站,即可對多臺服務器和網絡數據中心設備作出安全的遠程存取與控制。因此,采用遠程KVM切換器的服務器管理正成為大多數現代數據中心的轉捩點。
本文講述了遠程KVM切換器的發展過程,以及它為現代數據中心帶來的好處。本文還將列舉一臺遠程KVM切換器應具備的主要特性。最后將討論為什么Lantronix的SecureLinx™ SLK遠程KVM™切換器能在價格、性能與售后支持方面居于領先地位。
在遠程KVM切換器出現以前,數據中心的計算機服務器是由多臺冗余的I/O設備進行管理的。現代遠程KVM切換器出現以前,傳統的KVM切換器已可以控制多臺服務器,改善數據中心雜亂的管理。
傳統KVM切換器直接連接到服務器的鍵盤、顯示和鼠標接口,需要操作人員在控制臺面前控制。這種方式可以允許數據中心操作人員對目標設備作出可至BIOS級的強大存取能力。這樣,單臺KVM切換器可以用來存取和控制整個機房或整個機架的服務器。現在的KVM切換器性能已經得到進一步擴展,如支持多用戶存取多臺信息技術設備、事件日志、遠程電源管理以及安全的多層次用戶存取管理等。
數據中心的規模正在快速擴展,增加了越來越多的信息技術設備。現代的數據中心布滿整個樓層、占據同一城市的不同大廈、甚至分布全球各地已不是新鮮事。為跟上數據中心的發展,傳統KVM切換器已被使用IP協議的遠程KVM切換器所取代。
遠程KVM切換器為數據中心提供了無與倫比的縮放性和靈活性。傳統KVM切換器需要操作人員對控制臺的物理存取,而遠程KVM切換器通過標準TCP/IP連接傳送KVM信息。這種方法使操作人員可以利用公司現有的網絡基礎結構,用一臺位于世界任意地點的計算機即可通過局域網(LAN)和廣域網(WAN)控制服務器和其它分布式的信息技術資源。
用LAN/WAN環境的IP連接具有許多眾所周知的好處。
IP網絡是可縮放的。新設備只要分配一個IP地址就可以動態地增加進來。
IP網絡提供相當大的靈活性。幾乎所有設備或平臺都可以結合到一個IP網絡中。這些設備可以根據業務需求方便地重新配置,對其它結點的影響最小。
IP網絡要求的技術已經相當普及。
除了這些優點以外,IP網絡也會產生復雜的管理問題。最重要的是安全問題。IP網絡的縮放性與靈活性是優點,但也會為入侵者提供存取網絡的可能性。關于選擇遠程KVM切換器時需注意的安全問題將在本文后面討論。
|
關鍵是全球性存取
“對多臺服務器的全球存取已被證明是許多公司成功的關鍵因素。顯而易見的好處是減少服務器停機時間及實現分布式信息技術控制。”
來源:IDC |
遠程KVM切換器提供以下好處:
任何時間的全球存取
使用廣泛存在的IP網絡、互聯網和網絡瀏覽器,從全球任意地點存取服務器和其它設備。
降低成本和復雜度
遠程KVM切換器無需為每臺服務器連接鍵盤、顯示器和鼠標。這不僅減少了硬件費用,降低了復雜程度,并且節省了昂貴的物理空間,減少了對電源和空調設備的要求。
減少停機時間
遠程KVM切換器提供對任何連線服務器的簡單存取與控制,減少了停機時間。
改善業務的連續性
有些遠程KVM切換器還支持對服務器和其它信息技術設備的帶外(與網絡無關)存取。由于這些遠程 KVM 切換器不依賴于企業主干網絡,因此信息技術人員可以在網絡無法工作的情況下存取、控制和管理企業服務器。
硬件平臺和操作系統獨立性
遠程KVM切換器可工作于異種服務器環境中,用一個切換器提供對多種平臺的存取能力。由于它們不依賴于專用硬件和操作系統,適用于裝備不同廠家服務器、運行不同操作系統(如Windows、Solaris和Unix)的企業信息技術環境。
縮放能力
新的系統和設備只要分配一個新的IP地址就可以方便地加入進來。
標準化
遠程KVM的運行基于TCP/IP,信息技術人員已經熟知相關技術以及設備需求。
連線
許多新型KVM切換器都使用第5類雙絞線,從而有助于降低復雜性,節省網線費用,但需要專用適配器。其它解決方案使用標準的KVM電纜。
遠程KVM切換器如何工作
遠程KVM切換器使用標準的TCP/IP傳送數字信號,管理服務器的鍵盤、顯示器和鼠標輸出。操作人員可以從任意地通過一個標準的Web瀏覽器控制服務器。操作人員用這種方式實施對服務器的完全存取,就像坐在服務器前面一樣。
采用IP的KVM切換器利用了現有TCP/IP基礎架構的優勢:
1. 捕捉鍵盤、顯示器和鼠標的模擬信號。
2. 信號被轉換為數字包。
3. 數字化的信號和數據包被壓縮后,通過現有網絡架構上的TCP/IP連接安全傳送。
下面將說明選擇遠程KVM切換器時需要考慮的因素。
隨著時間的流逝,您的網絡會不斷增長和變化。用戶人數、服務器數和網絡設備與日俱增,遠程KVM切換系統必須能夠跟上業務擴展的步伐。所以,要尋找一種可靠、可管理并且可縮放的遠程KVM切換器,它能共同成長,容納大量的并發用戶,而無需重構內部基礎架構。如果已經安裝了傳統KVM,則應尋找具有級聯能力的KVM。這一功能將可以使您繼續使用現有的架構。
請確定您希望用TCP/IP還是直接接入數據中心設備。如果您決定采用基于IP的遠程KVM切換器,則應按照已有網絡架構進行選擇,以避免特殊的設計考慮。有些遠程KVM切換器在具備遠程功能的同時,亦可以采用本地直接接入方式。
如果同一時間需要多于一個操作者控制多臺目標設備,則應選擇一種支持不同存取級別的遠程KVM切換器。不同的存取級別可以按用戶或組設置端口許可。例如,管理員可存取的設備數量多于初級操作員。如果需要多用戶同時存取,尋找那些可支持多個遠程用戶的切換器。
在選擇遠程KVM切換器時,要考慮網絡停機情況下的處理方法。因此,必要時應選擇帶調制解調器撥號功能的遠程KVM切換器。這樣,如果網絡出現故障,可以用遠程KVM切換器的撥號功能繼續控制目標服務器。
不同的遠程KVM切換器可以容納不同類型的目標設備。因此,尋找的遠程KVM切換器應支持預計要控制的設備。例如,如果只打算控制服務器,則不必選擇既支持服務器也支持串行設備的遠程KVM切換器。如果已經有或打算以后添置需與服務器共同管理的串行設備(如遠程電源控制器等),則應選擇具有串行接口的遠程KVM切換器。
搞清楚將被控制的設備數量也非常重要。如果您的數據中心準備增加設備,則待選遠程KVM切換器上的端口應多于現在所需端口數,以滿足未來增長需求。
選擇具有直觀的圖形用戶界面(GUI)的遠程KVM切換器,這樣在升級或重新配置后無需對員工進行培訓。例如,絕大多數信息技術員工都非常熟悉標準的Windows®應用程序界面。避免選擇那些需要安裝客戶端軟件的遠程KVM切換器,而應選擇只用網絡瀏覽器的產品。
雖然遠程KVM切換器不需要在被管理的計算機上安裝專用軟件,但它們也要靠軟件來管理目標設備(因為Web瀏覽器和Telnet也是軟件程序)。在準備購買遠程KVM切換器時,要確保它與標準的瀏覽器兼容,如Internet Explorer和Netscape® Navigator。避免選擇需要專有軟件的遠程KVM解決方案,特別是需要額外購買使用權的方案。
沒有公司愿意自己的數據和客戶信息落入他人之手。鑒于安全威脅多種多樣,只依賴于單點保護方法絕不是明智的選擇,因此遠程KVM切換器必須具備以下特性:
有效控制,防止內部用戶未經授權的存取,以及
保護關鍵的系統,避免由于人為錯誤導致危險。
以下總結了一些在選擇遠程KVM切換器需注意的基本安全特性。
密鑰交換
通過在遠程KVM切換器和客戶存取軟件間交換密換來成就進一步的安全性。最可行的安全保證要對這種交換設定有效期限。
加密
數據傳輸的加密減少了由于合法KVM交談被攔截而導致的關鍵系統泄露機會。加密水平取決于操作系統、設備和瀏覽器的性能。最佳的KVM安全方法應該包括128位SSL加密和3DES加密,它采用獨立的密鑰對KVM數據包進行加密、解密和再加密,從而防止敏感的管理信息被“嗅探”。在選擇遠程KVM時也應該考慮HTTPS加密。HTTPS使用SSL協議或TLS(傳輸層安全)協議對會話數據進行加密,因而能在一定程度上防范竊聽者。
審計
審計機制對于保持KVM的安全性也很重要。負責安全的經理應該能查看所有KVM活動的日志。這些日志應提供相應的原始報告,并可以輸出到常用的報告分析程序里,這樣能夠盡快地發現異常和趨勢。特別是安全經理應該持續不斷地監控各種事件,如未通過的認證和在授權許可以外的存取嘗試。日常審計應該與其它安全措施一起執行。
隱私功能
選擇那些支持隱身模式和躲藏模式的遠程KVM切換器。隱身模式只允許知道IP地址和Web服務器端口號的用戶存取遠程KVM切換器,而外人將被排除在外。躲藏模式則是遠程KVM切換器在發現遭到攻擊時關機。例如,如果在某個時間段內有五次密碼嘗試失敗,則遠程KVM切換器會關機,并中斷網絡連接。
遠程KVM切換器是否能提供詳細的報告與事件日志。例如,一臺遠程KVM切換器能否提供從某天某一小時起始的事件日志,用以跟蹤系統中的用戶和事件?檢查是否網絡上所有設備的信息都能被收集和保存,如失敗的認證嘗試、通道阻塞以及不正確的存取權限等,這些信息是否可以輸出為一種報表應用程序的兼容格式(如.CSV或.XLS格式)。
如果已經有了傳統的模擬式KVM切換器,應尋找一種可以延續現有KVM投資的遠程KVM切換器。一般來說,可以將現有KVM切換器的一個控制臺連接到新的遠程切換器端口上。應選擇與現有設備兼容的遠程KVM切換器,并且可以級聯。這樣,您在獲得遠程存取好處的同時,也無需替換現有的基礎架構。
一旦作出購買遠程KVM切換器的決定,下一個問題就是看哪家KVM供應商能提供最佳解決方案。本文將介紹如何評估各種KVM解決方案的關注要素,包括運行性能、實現與應用的方便性、縮放性、安全性以及整體價值等。
還有一個因素在挑選 KVM 供應商時同樣非常重要,即該供應商已被驗證的技術進步與技術創新的歷史。一旦服務器出現故障,業務會在幾秒鐘之內完全停頓。因此技術保障非常重要。
Lantronix在網絡與連接領域的創新與進步方面居于領先地位,現提供新型SecureLinx SLK遠程 KVM 解決方案。SecureLinx SLK使用戶具備從任意地點通過互聯網存取與管理數據設備的能力,極大地增強了 KVM 解決方案的價值。SecureLinx SLK具備出色的存取關鍵服務器GUI的能力,獨立于操作系統和系統平臺。它只需要一個支持Java的瀏覽器,無需額外的軟件即可從遠程控制服務器。16端口的SLK還提供撥號存取與控制的功能,這在網絡停止運行時非常有用,用戶可以隨時對設備問題作出響應,以減少停機時間,提高生產效率。
SecureLinx SLK還包括一些先進的安全特性,如防止服務器遭受安全威脅的隱身模式(stealth mode),以及可在發現多個失敗的登錄嘗試時進入躲藏模式(turtle mode)。
圖 1 SecureLinx KVM配置實例
SecureLinx SLK遠程KVM切換器利用現有的IP網絡,可無縫地配合數據中心多層次的安全模式。從而簡化了設置工作:只需要分配一個IP地址,設定網絡配置,將SLK接至服務器,并對SLK進行本地或遠程配置。由于無需安裝軟件,SecureLinx SLK不會影響服務器的遠行,并且無縫地支持多種操作系統。
SecureLinx SLK遠程KVM切換器是對KVM輸出采用硬件編碼,然后通過標準TCP/IP網絡傳輸。SecureLinx SLK遠程KVM使用現有的IP網絡,可以無縫地配合數據中心的多層安全模式。它支持 SSL,保護網絡資源的安全。
如果您已經有了傳統的模擬KVM切換器,可以將其接入到一臺SecureLinx SLK服務器端口上,達到在任何時間、從任意地點存取更多服務器,而無需破壞現有的硬件。
Lantronix知道,一個操作人員遠程監控與管理的服務器越多,他花在穿越樓層、大廳以及不同遠程地點的時間也越多。所以,SecureLinx SLK遠程KVM有三種便利的模式,詳述如下:
表1. SecureLinx SLK遠程KVM模式
|
模式 |
特性 |
|
SLK1 |
單KVM端口
多達10個用戶配置文件
兩個串行口(一個DB9 female,一個8腳mini-DIN)
最適合于遠程使用的模擬KVM切換器 |
|
SLK8 |
8個KVM 端口
多達10個用戶配置文件
同時監控多達8個視頻輸出
兩個串行口(一個DB9 female,一個8腳mini-DIN)
專為管理多臺服務器或模擬遠程KVM切換器的模式而設 |
|
SLK16 |
16個KVM端口
所有通道均有多至6個獨立的遠程(數字)會話(無阻塞)
多達32個用戶配置文件
同時監控多達16個視頻輸出
通過外接串口調制解調器的帶外撥號存取
三個串行口(兩個DB9 female,一個DB9 male)
適用于有較多用戶的大型設備 |
Lantronix的網絡專業知識與服務質量
Lantronix產品在全球以質量和可靠性而聞名。迄今為止,Lantronix已經為超過2百萬臺設備和16000家客戶提供了網絡連接,這個數字還在繼續增長。隨著網絡世界的發展壯大,Lantronix已成功定位為網絡市場中的重要組成部分,因為我們協助客戶提高系統的運行時間,管理價值數億美元的設備,并將任何電子設備虛擬地接入網絡或互聯網。
與此同時,我們堅信服務質量對用戶的重要性不低于產品的性能。因此,Lantronix為自己的產品提供保證與合同服務。您購買的不僅是Lantronix產品,同時還獲得了更多的東西,那就是:高質量的服務。這包括以下兩點含意:
l 技術支持(見下文介紹)
l 一個靈活的業務合同系統
Lantronix深知,當一個供應商宣稱有“出色的技術支持”時,必須具備實質內容。業界的競爭是殘酷的,只提供空洞的或人云亦云的承諾是遠遠不夠的。所以,Lantronix維持著一支資深網絡專家隊伍,他們具備串行連接與網絡連接方面的專業知識。
技術支持的范圍非常廣泛,從基本配置與查錯,到指導建立客戶網絡頁面,以及使用可配置I/O引腳讀入或設置專用信號指示燈的觸發器等。技術支持通過電話、電子郵件和網頁進行,不向客戶收取額外費用。對美國本土客戶的實時免費電話支持開放時間是從上午6:00直到下午5:30。
Lantronix亦提供在線知識庫、視頻配置教程、聊天支持以及“實況協助”,后者是一種虛擬的現場系統工程師,可以安全、共享式地控制您的個人計算機。
術語表
下表列出本文中用到的技術詞匯。
|
認證 |
識別一個人身份的過程,一般采用用戶名和密碼識別法。認證可以保證某人身份的正確性,但不會指明該人的存取權利。
|
|
查問握手認證協議(CHAP) |
這是一種標準化的安全協議,一般用于驗證通過手機或遠程用戶的遠程存取登錄。CHAP協議用一種需要適當回應的查問來驗證用戶或系統。如果用戶提供了正確的證明,則登錄合法,并建立起網絡連接。CHAP最重要的特性是永遠不會在網絡上傳送密碼。
|
|
輕型目錄存取協議(LDAP)
|
一種軟件協議,使任何人均可以找到組織、個人和其它資源,如網絡上的文件和設備,無論它們是在公共互聯網上還是在企業內聯網里。LDAP是目錄存取協議(DAP)的輕型版本(代碼量較少),它也是網絡目錄服務標準X.500的一部分。
|
|
網絡存儲(NAS)
|
用于文件共享的一臺服務器。NAS可以在已經接有服務器的網絡上增加更多的硬盤存儲空間,而無需關機進行維護與升級。使用了NAS設備后,存儲空間不再是服務器的一個部分,反而服務器負責所有數據的處理,而NAS則為用戶提供數據。NAS設備不必放在服務器內,可以放在局域網(LAN)的任何部分,并且可以由多個連網的NAS設備構成。
|
|
數據包過濾 |
通過分析進、出數據包控制對網絡的存取,即根據數據包的IP源地址和目標地址允許或禁止其通過。數據包過濾是安全防火墻中采用的許多技術中的一種。
|
|
密碼認證協議(PAP)
|
最基本的認證形式,用戶名和密碼均通過網絡傳送,并與用戶—密碼表比較。一般保存在表中的密碼是加密的。HTTP協議中內置的基本認證功能就是使用PAP。PAP最大的弱點是要以明文傳送用戶名和密碼,即非加密形式。
|
|
遠程身份認證撥入用戶服務(RADIUS) |
為一種認證與記帳系統。當存取一個有RADIUS保護的系統時,必須輸入用戶名和密碼。這一信息被送給一臺RADIUS服務器,服務器檢查信息的正確性,并授予系統的存取權。
|
|
SSH v2 |
SSH v2基于V2協議和F-Secure 3.1.0代碼庫。一般認為,SSH v2比SSH v1更安全,雖然不可與SSH v1 兼容,但兩者可以共存于一個具備SSH的控制臺管理器中。
|
|
安全套接字層
(SSL) |
一種通過互聯網傳送私有文檔的協議。SSL通過SSL連接傳輸用私鑰加密后的數據。Netscape Navigator和Internet Explorer均支持SSL。
|
|
Telnet |
用于TCP/IP網絡(如互聯網)的終端仿真程序。Telnet程序運行在您的計算機上,連接到網絡的服務器上。然后可以通過Telnet程序輸入命令,就像直接在服務器控制臺上輸入命令一樣。這樣可以控制網絡服務器以及與其它服務器的通信。開始一個Telnet交談前,要使用有效的用戶名和密碼登錄到服務器上。
|
|
3DES |
一種DES加密算法,它將數據加密三次,使用三個64位密鑰,而不是一個,于是總密鑰長度為192位(第一次加密的結果用第二個密鑰再加密,產生的密碼文本再用第三個密鑰加密)。 |
