1.1 用户需求
在Internet普及的今天,每个单位都加大了在信息化方面前进的步伐,其中一个最基本的表现就是在电信(或者网通)机房“托管”了自己的服务器,在托管的服务器上保存自己单位的网站、邮件以及其他与Internet相关的应用。这时候就在在两个方面的问题:
(1)安全问题。因为电信(或网通)机房只是为“托管”的服务器提供空间和Internet接入,很少为用户提供安全方面的服务。这时候就得由用户自己解决安全问题。
(2)服务器数量与费用问题。因为Internet的相关应用是非常多的,例如,提供网站的Web服务、提供网站维护用来上传和下载的FTP服务、提供电子邮件的E-Mail服务、提供在线交易的服务、提供数据库的SQL Server服务、提供VPN接入的VPN服务等。这时候1台服务器不能满足要求,但对于1个单位来说,这些服务器的每个应用都是比较少的,而这些服务中的一些应用是不能和其他服务“共存”于同1台服务器上的。如果让1个单位托管多台服务器,除了服务器的硬件先期投入外,每年的托管费也是一个不小的开销(2U的服务器每年托管费用大约在4000元~2万元人民币)。
1.2 解决方案
对于托管服务器的安全问题,可以采用ISA Server 2006标准版作为软件的防火墙,为服务器提供安全服务。对于服务器数量不够问题,可以采用VMware Server,并在VMware Server中安装虚拟机,在不同的虚拟服务器中安装不同的服务来解决服务器的数量问题。同时,使用ISA Server 2006发布虚拟服务器中的各种服务到Internet上,可以很好的把ISA Server 2006、VMware Server以及VMware Server下的虚拟服务器接合在一起。虚线上面是物理主机,虚线下面是虚拟化后的逻辑等效图。
是当前许多托管服务器的网络拓扑结构,这些服务器直接在Internet网络上,所有的用户可以直接访问被托管的服务器及其之上的网站,即使这些服务器安装了一些防火墙软件,当防火墙被“攻破”后,Internet上用户可以直接访问被防火墙保护的网站。使用虚拟化技术后,将网站、数据库、电子邮件等放在VMware Server的虚拟机中,在这些虚拟机与Internet之间用ISA Server防火墙保护。虚拟化服务器的实施步骤是:
(1)在服务器上规划硬盘,将硬盘划分为3个分区,其中第1分区为主分区,划分30~40GB左右;第2个分区占整个硬盘空间的80%~90%,用来保存虚拟机镜像;剩余的空间创划分第3分区,大约10GB~20GB左右,用来保存Windows Server 2003安装镜像、VMware Server安装程序、其他软件等,最后可用空间大约在15GB左右。所有分区都使用NTFS文件系统。
(2)在第1个分区安装Windows Server 2003 R2的32位版本,并按照电信(或网通)机房提供的IP地址设置网卡参数。
(3)安装Windows Server 2003 R2 X86完成后,转到Microsoft Update网站,升级操作系统补丁,并将服务器配置成“自动更新”。
(4)安装VMware Server 1.05,并且对VMware Server 1.05进行配置,主要包括:
l 在“虚拟网络设定(Virtual Machine Settings)”中,禁用“NAT”服务,并删除VMnet8虚拟网卡;
l 修改VMnet1的网段为192.168.10.0/24;
l 在“服务”中禁用“VMware DHCP服务”;
(5)安装ISA Server 2006标准版,并选择VMware Server虚拟网卡(VMnet1)作为“内网”网卡。
(6)在VMware Server中,根据企业要求安装虚拟服务器,并在每台虚拟服务器中安装需要的操作系统及所需要的服务。推荐安装如下:
l 数据库服务器采用一个专门的虚拟机,如果安装SQL Server 2005,推荐安装Windows Server 2003 R2的64位版本,并为该虚拟机分配3GB内存;如果需要安装SQL Server 2000,推荐安装Windows Server 2003 R2的32位版本,并为该虚拟机分配2GB内存。
l Web服务器、FTP服务器、电子邮件服务器放在同一个虚拟机中,为该虚拟机安装Windows Server 2003 R2的64位版本,并为该虚拟机分配1.5GB~2GB内存。FTP采用IIS内置的FTP服务器,不建议采用Serv-U,邮件服务器可以采用“WinWebMail 3.7”。
(7)在ISA Server 2006中,将虚拟服务器中提供的“服务”发布到Internet。
(8)将ISA Server 2006配置成VPN服务器,为用户提供服务。
(1)可以在虚拟机中,安装64位的Windows Server 2003、Windows Server 2008操作系统。
(2)目前ISA Server 2006只有32位版本,而ISA Server 2008将会有64位版本(现在正在进行Beta测试,名称为IMG)。当ISA 2008正式版发布后,可以将主机操作系统升级为Windows Server 2008的64位版本,并且用ISA 2008代替ISA 2006,这样将会极大的提升系统的性能,经过实现测试,Windows Server 2008的网络访问速度、呼应速度大于Windows Server 2003。
(3)之所以没有采用多个硬盘,是因为,经过多年实践,现在硬盘的性能、安全性较以前有了极大的提高,并且此方案已经经过多年实践,基本上没有出现由于硬盘的问题,造成数据的丢失,另外,因为是托管的服务器,所以,所有数据在上传前,都在本地计算机上留有备份,这也是不采用第二块硬盘的原因之一。
(4)在配置好主机操作系统、ISA Server之后,用ghost将主机第1分区备份到第3分区,以后当托管的主机操作系统出现问题时,可以让机房值班人员恢复镜像。因为所有数据都保存在第2分区,所以恢复镜像后,不会丢失数据。
2.1 用户需求分析
中小型企业综合解决方案,公司采用WAN路由器共享上网,ADSL或光纤接入。为具有70~200台左右计算机的中小企业、机关与事业单位,提供文件服务、网站服务、补丁服务、网络防病毒服务,具体要求如下:
(1)现有机关、事业单位、企业大多采用光纤接入,有1个或多个固定IP地址。单位的出口速度有限(到电信或网通机房2M~20M左右)。
(2)单位有自己的网站,放在自己的服务器上,发布到Internet,对外提供服务。
(3)单位工作站采用Windows XP操作系统,部分计算机采用Windows 2000与Windows Vista。办公软件使用Microsoft Office。要为工作站统一提供“打补丁”的服务,以减轻由于操作系统、浏览器、办公软件漏洞而感染病毒、木马的机率。
(4)为单位提供低成本的、统一的、自动升级防病毒解决方案。
(5)需要为单位提供“文件服务器”,文件服务器要保存单位常用的软件、资料,以及为单位每个职工提供一定的服务器空间,保存个人资料。重要的资料要能“自动”在服务器备份1个月。
2.2 方案介绍
这个单位要求的服务比较多,如果采用通常的作法,需要至少3~4台服务器,才能满足要求。但考虑到每台服务器的“负载”都比较轻,如果采用多台服务器的方法,将会造成比较大的浪费(初始组建成本+以后服务器的维护费用、电费、空调制冷费等),所以,采用“虚拟化”方式,将负载相对减轻的一些服务用“虚拟机”来提供,这样在满足需求的前提下,可以达到最大的“能效比”,也可以减轻管理负担。主要方案如下:
(1)服务器采用双核或四核的CPU,配置8GB内存、2块硬盘(一块500GB、一块250或320GB)、一块千兆网卡。考虑到散热性与成本,采用塔式机箱。
(2)主机操作系统采用Windows Server 2008 X64,这样可以充分发挥硬件的性能。为用户提供的软件、资料等,采用共享文件夹方式,在服务器采用Windows Server中的“卷影副本”实现共享文件夹的自动备份。另外,可以采用DFS(分布式文件系统)、文件夹配额、文件屏蔽等新技术。
(3)主机安装VMware Server 1.05(或将来的VMware Server 2.0),创建两个虚拟机,其中“网站”放在1个虚拟机中,WSUS服务器与杀毒软件服务器放在另1个虚拟机中。第1个虚拟机安装Windows Server 2003,并配置IIS与FTP服务;第2个虚拟机安装Windows Server 2008 X64,安装WSUS 3.0的64位版本,并安装NOD32 2.7的“管理员版”,为整个网络提供NOD32的病毒补丁升级服务。所有虚拟机使用“桥接网卡”,并配置为局域网的地址。
(4)使用WAN路由器,将TCP的80端口转发到第1台虚拟机中,这样将把Web服务发布到Internet。
具体实践步骤:
(1)第1块硬盘(500GB)创建四个分区:
第1分区40~60GB大小,安装Windows Server 2008 X64,卷标为system;
第2分区100~150GB,在这个分区上保存需要备份的资料,例如,单位的重要文档,以及为个人提供的、备份个人重要数据的空间,除此之外,不要再创建其他共享。卷标为data。
第3分区80~100GB,在这个分区上,保存不需要备份的资料,例如,一些软件的安装镜像、学习与培训录像等,并将这些资料,通过共享文件夹的方式提供给用户。卷标为soft。
第4分区200~250GB,保存虚拟机。
(2)第2块硬盘(250或320GB),创建1个分区,卷标为backup。然后,在第1个硬盘的第2个分区上,启用“卷影副本”,并将卷影副本的备份位置选择在第2上硬盘创建的分区上,删除默认的备份策略,创建策略,让每周一~周五的下午6点进行自动备份(通常为下班之后的1~2小时左右时间,也可根据情况调整。
所有的分区都采用NTFS文件系统。
(3)使用“DFS(分布式文件系统)”,将所创建的共享文件夹,添加到DFS路径中,为用户统一使用。
(4)安装虚拟机并配置。安装VMware Server 1.5,禁用VMware的NAT服务,并删除VMnet8虚拟网卡,创建虚拟机时需要注意:
第1台虚拟机,准备存放网站,设置虚拟机的虚拟硬盘大小为40~60GB(视网站所需要的空间进行调整),安装Windows Server 2003,并配置IIS与FTP服务。在该虚拟机中,创建2个分区即可,第1分区安装Windows Server 2003,第2分区保存网站。
第2台虚拟机,准备提供WSUS服务器,设置虚拟机的虚拟硬盘大小为120~200GB,安装Windows Server 2008 X64版本,创建2个分区,第1个分区大约40GB,第2个分区使用剩余的空间,但不能小于80GB。安装WSUS 3.0的64位版本,并安装NOD32 2.7的“管理员版”。
这两个虚拟机都使用“桥接”网卡,并与主机设置同一网段的IP地址,设置相同的子网掩码、网关与DNS地址。
(5)工作站统一安装NOD32杀毒软件,并使用第2台虚拟机提供的病毒补丁;所有工作站,配置为从WSUS服务器升级补丁;工作站上,使用主机提供的共享文件夹时,推荐使用“DFS根路径”链接,并将该链接映射为本地盘符,这样在一个盘符中访问服务器上提供的所有共享。当然,如果服务器的共享文件夹只有3~4个时,也可以不在服务器上配置“DFS”。
对于为每个人提供的“个人共享文件夹”,在服务器上为每个员工创建一个用户,并为每个员工创建一个“个人文件夹”,并配置正确的权限,让每个员工对自己的个人文件夹有“完全控制权限”,对其他个人文件夹“拒绝访问”权限。员工的个人重要数据,可能保存在“个人文件夹”中。
【说明】
(1)在服务器上,创建个人文件夹时,可以使用Windows Server 2008中的“文件夹配额”,限制每个个人文件夹的大小。还可以使用“文件屏蔽”功能,限制用户在该文件夹保存那种类型的文件,例如,限制用户保存电影、MP3等文件。
(2)用户可以在“个人文件夹”中,在“以前的版本”中,找到以前保存的数据。
本文案适合于具有以下要求的中大型企业:
(1)上网计算机数量在100~500台之间。
(2)具有光纤接入、固定IP地址。
(3)需要对外提供邮件、网站。
(4)对内提供补丁服务、杀毒软件服务、操作系统远程安装等,需要多台服务器的场合。
(5)对安全性有一定的要求。