基于VMware構(gòu)建多功能數(shù)字服務(wù)虛擬平臺系統(tǒng)

1、 基于vmware構(gòu)建多功能數(shù)字服務(wù)虛擬平臺系統(tǒng)目錄一 概述1.1引言 隨著數(shù)字中心建設(shè)進(jìn)程的加快，各個校園系統(tǒng)中心積極調(diào)整資源建設(shè)策略，將中心轉(zhuǎn)向數(shù)字資源建設(shè)，開發(fā)越來越多的多功能信息化平臺。比如，電子期刊、電子圖書、學(xué)位論文、庫普講座、在線學(xué)習(xí)系統(tǒng)、科技信息系統(tǒng)等等。 采用傳統(tǒng)服務(wù)器架構(gòu)的管理模式有諸多不利因素。一方面，多種電子資源需要多個服務(wù)器進(jìn)行部署，不僅硬件成本高，資金需求量大，而且機(jī)房布局更加復(fù)雜化，靈活性降低；另一方面要進(jìn)行這些種類紛雜的數(shù)字資源管理，運(yùn)維人員需要進(jìn)行頻繁的機(jī)器切換以及其他復(fù)雜的操作，效率低下。于此運(yùn)維人員迫切需要一種可以簡化管理、節(jié)約經(jīng)費(fèi)的服務(wù)器選擇高效的管理途

2、徑。vmware虛擬平臺技術(shù)為此創(chuàng)造了可能。1.2 vmware虛擬平臺介紹 vmware的出現(xiàn)，帶來服務(wù)器運(yùn)維的巨大變革。相對于其他服務(wù)器部署技術(shù)而言，vmware基礎(chǔ)服務(wù)產(chǎn)品具有更高的可靠性和效率。vmware虛擬架構(gòu)套件包括了全面的虛擬化技術(shù)、管理、資源優(yōu)化、應(yīng)用可用性以及自動化的操作能力。虛擬化過程引入了底層設(shè)備資源重定向交互作用，而不影響應(yīng)用層。vmware支持多操作系統(tǒng)并行在單個物理服務(wù)器上，能夠提供更加有效的底層硬件使用，使得運(yùn)維人員可以通過管理一個虛擬架構(gòu)來快速鏈接和管理資源。 在虛擬架構(gòu)中，各虛擬機(jī)共享一臺物理服務(wù)器，但每一臺虛擬機(jī)都能獨(dú)立運(yùn)行，并可擁有自己的cpu、內(nèi)存、硬

3、盤、網(wǎng)卡、聲卡、顯卡、光驅(qū)等硬件設(shè)備。 vmware工具提供的功能包括：通過拖拽在宿主與虛擬機(jī)之間拷貝文件、虛擬機(jī)通過共享文件夾訪問宿主資源、提供顯卡驅(qū)動、優(yōu)化顯示效果、共用文本剪切板、鼠標(biāo)自動捕獲強(qiáng)釋放。 綜上，使用vmware虛擬技術(shù)架構(gòu)基于以下幾個方面的考慮。（1）兼容性和移植性 使用vmware可以在同一臺物理機(jī)器上安裝，windows、linux等不同的多個操作系統(tǒng)和各種不同的應(yīng)用，且可以互不影響地同時運(yùn)行。vmware虛擬機(jī)技術(shù)將傳統(tǒng)服務(wù)器應(yīng)用程序環(huán)境封裝成可移動的專門文件，整個虛擬機(jī)都保存在文件中，可以通過移動和復(fù)制這些文件的方式來移動和復(fù)制虛擬機(jī)，無需修改即可在任何服務(wù)器上運(yùn)行

4、虛擬機(jī)。（2）硬件支持和效率 vmware的動態(tài)負(fù)載均衡和連續(xù)智能優(yōu)化功能，可以保證所有應(yīng)用所需資源能夠較好的分配和使用。許多領(lǐng)先的服務(wù)器和陣列都支持vmware，包括intel、ibm、hp、dell、聯(lián)想以及bmc2、netapp等幾乎所有主流服務(wù)器企業(yè)與存儲企業(yè)。（3）安全、備份和恢復(fù) vmware虛擬架構(gòu)增強(qiáng)了備份和恢復(fù)能力，可以大大減少計劃內(nèi)和計劃外停機(jī)以提高業(yè)務(wù)連續(xù)性、通過高可用性確?；A(chǔ)架構(gòu)不受多個故障源影響。通過vmware提供的virtual center、vmware infrastructurevmotion等工具，可以實現(xiàn)服務(wù)不中斷下的虛擬機(jī)的動態(tài)遷移，保護(hù)虛擬機(jī)上的應(yīng)

5、用程序和系統(tǒng)數(shù)據(jù)。提供空前的靈活性和可用性。（4）費(fèi)用 越來越多的vmware產(chǎn)品趨向于免費(fèi)，從vmware server到最新發(fā)布的vmware esxi server.最關(guān)鍵的是，vmware軟件的應(yīng)用大大減少了硬件服務(wù)器的成本以及與之相關(guān)的空間、冷卻、電力等成本。通過提高能效降低數(shù)據(jù)中心的電力和制冷成本。減少花在規(guī)劃、配置、監(jiān)視和維護(hù)的時間，從而減少人員成本。 虛擬平臺下的服務(wù)器部署方案示例 基于上圖的vmware技術(shù)架構(gòu)，可以滿足機(jī)房系統(tǒng)服務(wù)的運(yùn)維要求，輕松實現(xiàn)業(yè)務(wù)的連續(xù)不間斷運(yùn)行，并且可以針對具體的應(yīng)用和訪問量靈活部署，降低系統(tǒng)部署的總成本。由于esx server是和硬件分離的，服

6、務(wù)器的硬件和esx server的虛擬化規(guī)范之間必要的一致性，讓安裝、維護(hù)以及遠(yuǎn)程管理虛擬機(jī)的過程非常簡單。與vmwarv esx server相配套的管理工具提供了分布式資源調(diào)度和遠(yuǎn)程管理功能，使得vmware虛擬化解決方案更為完善，非常適用于圖書館各種電子資源的管理應(yīng)用。 二 公安大學(xué)的服務(wù)器虛擬架構(gòu)整合項目設(shè)計2.1 分布式部署方案當(dāng)前校園網(wǎng)面臨的問題：（1）服務(wù)器的利用率低?，F(xiàn)在機(jī)房內(nèi)運(yùn)行的大部分機(jī)器的利用率都非常低，由于一臺服務(wù)器只能有一個操作系統(tǒng)，受系統(tǒng)和軟件開發(fā)平臺的限制，cpu、內(nèi)存、硬盤空間的資源利用率不超過15%，大量的系統(tǒng)資源被閑置。（2）可管理性差。首先是可用性低， 除

7、個別系統(tǒng)做了服務(wù)器集群外，幾乎每個應(yīng)用服務(wù)器都是單機(jī)，如果哪臺服務(wù)器出現(xiàn)故障，相對應(yīng)的業(yè)務(wù)也將中斷。其次是系統(tǒng)維護(hù)、升級和擴(kuò)容時需要停機(jī)進(jìn)行，也將造成應(yīng)用中斷，其中包括學(xué)校的一些重要業(yè)務(wù)系統(tǒng)，一旦中斷服務(wù)影響很大。（3）兼容性差。系統(tǒng)和應(yīng)用遷移到其他服務(wù)器，需要和舊系統(tǒng)兼容的系統(tǒng)。新的軟件包括操作系統(tǒng)和應(yīng)用軟件無法運(yùn)行在老的硬件平臺，而老的代碼有時候也很難移植到新的硬件平臺上。例如：學(xué)校門戶網(wǎng)站，以asp為開發(fā)平臺，安裝在windows 2000 server操作系統(tǒng)上，幾年下來，開發(fā)了許多應(yīng)用，最新的一些應(yīng)用又以asp高版本、jsp、java等為開發(fā)平臺，安裝在windows 2003 se

8、rver操作系統(tǒng)上，不僅互不兼容，而且還由幾家公司分別開發(fā)。為節(jié)省時間、物力和保持網(wǎng)站持續(xù)的服務(wù)，只能用增加服務(wù)器方法來解決。（4）服務(wù)器和存儲購置成本高，維護(hù)成本遞增，也不得不考慮。隨著服務(wù)器數(shù)量增加，每年要支出高額購置費(fèi)用不說，還有一半服務(wù)器已經(jīng)過三年保修期，部件逐漸進(jìn)入老化期，維護(hù)、維修預(yù)算費(fèi)用也逐年增加 基于公安大學(xué)系統(tǒng)平臺多功能性的需求，整體架構(gòu)采用分布式部署即，應(yīng)用系統(tǒng)/存儲系統(tǒng)/數(shù)據(jù)庫系統(tǒng)設(shè)計從以下幾個方面考慮： 發(fā)生單點(diǎn)故障不影響系統(tǒng)穩(wěn)定性。 與集中式數(shù)據(jù)庫不同的是在數(shù)據(jù)冗余方面分布式數(shù)據(jù)庫有效性更高于前者。 均衡負(fù)載的需要，使得各處理機(jī)之間的相互干擾降到最低。 當(dāng)體系結(jié)構(gòu)中需

9、要增加新的組織單位，在不影響整體結(jié)構(gòu)的同時，進(jìn)行局部擴(kuò)充。 完善的多點(diǎn)災(zāi)難恢復(fù)處理2.2 應(yīng)用系統(tǒng)部署方案2.2.1部署web服務(wù)器 （windows與linux兩個方面）windows 2003 部署方案web服務(wù)器是企業(yè)網(wǎng)intranet網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會給企業(yè)造成不可彌補(bǔ)的損失，管理好、使用好、保護(hù)好web服務(wù)器中的資源，是一項至關(guān)重要的工作。1.系統(tǒng)安裝，系統(tǒng)安全策略配置 使用ntfs格式分區(qū)、設(shè)置不同的用戶訪問服務(wù)器的不同權(quán)限是搭建一臺安全web服務(wù)器的最低要求。windows 2003安裝策略： (1)系統(tǒng)安裝在單獨(dú)的邏輯驅(qū)動器并自定義安裝目錄；以

10、“最小的權(quán)限+最少的服務(wù)=最大的安全”為基本理念，只安裝所必需的服務(wù)和協(xié)議，如dns、dhcp，不需要的服務(wù)和協(xié)議一律不安裝；只保留tcpip一項并禁用netbois；安裝windows2003最新補(bǔ)丁和防病毒軟件。 (2)關(guān)閉windows2003不必要的服務(wù)。 關(guān)閉computer browser、task scheduler、routingand remote access、removable storage、remote registryservice，print spooler，ipsec pohcy agent，distributedijink tracking client、co

11、rn+event system、alerter、errorreporting service、messenger、telnet服務(wù)。 (3)設(shè)置磁盤訪問權(quán)限。 系統(tǒng)磁盤只賦予administrators和system權(quán)限，系統(tǒng)所在目錄(默認(rèn)時為windows)要加上users的默認(rèn)權(quán)限，以保障asp和aspx等應(yīng)用程序正常運(yùn)行。其他磁盤可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動時，需加system用戶權(quán)限，否則啟動不成功。 (4)注冊表hkey_local_machinesystemcurrentcontroisetcontrollsa，將dword值restrietanonymous的

12、鍵值改為1，禁止windows系統(tǒng)進(jìn)行空連接。 (5)關(guān)閉不需要的端口、更改遠(yuǎn)程連接端口。 本地連接屬性internet協(xié)議(tcpip)高級選項tcp/ip篩選屬性把勾打上，添加需要的端口(如：21、80)。 更改遠(yuǎn)程連接端口：開始運(yùn)行輸入regedit查找3389：將hkey_local_machine世systemxcurrentcontrolsetcontrolterminal serverwdshrdpwdtdstep 和hkey_local_machlnesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp下

13、的portnumber=3389改為自定義的端口號并重新啟動服務(wù)器。 (6)編寫批處理文件delsharebat并在組策略中應(yīng)用，以關(guān)閉默認(rèn)共享的空連接。(以服務(wù)器有4個邏輯驅(qū)動器為例) net share c$delete net share d$delete net share e$delete net share f$delete net share admin$delete 將以上內(nèi)容寫入delsharebat并保存到系統(tǒng)所在文件夾下的system32groupp0licyusescriptslogon目錄下。運(yùn)行g(shù)peditmsc組策略編輯器，用戶配置windows設(shè)置腳本(登錄注銷

14、)登錄“登錄屬性”“添加”“添加腳本”對話框的“腳本名”欄中輸入delsharebat_“確定”按鈕一重新啟動服務(wù)器，即可自動關(guān)閉系統(tǒng)的默認(rèn)隱藏共享，將系統(tǒng)安全隱患降至最低。 (7)限制匿名訪問本機(jī)用戶。“開始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項”雙擊“對匿名連接的額外限制”在下拉菜單中選擇“不允許枚舉sam帳號和共享”“確定”。 (8)限制遠(yuǎn)程用戶對光驅(qū)或軟驅(qū)的訪問。“開始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項”雙擊“只有本地登錄用戶才能訪問軟盤”在單選按鈕中選擇“已啟用(e)”“確定”。 (9)限制遠(yuǎn)程用戶對netmeeting的共享，禁用ne

15、tmeeting遠(yuǎn)程桌面共享功能。運(yùn)行“speditmsc”“計算機(jī)配置”“管理模板”“windows組件”“netmeetins”“禁用遠(yuǎn)程桌面共享”右鍵在單選按鈕中選擇“啟用(e)”“確定”。 (10)限制用戶執(zhí)行windows安裝程序，防止用戶在系統(tǒng)上安裝軟件。方法同(9)。 (11)刪除c：wind0wswebprinters目錄，避免溢出攻擊(此目錄的存在會造成iis里加入一個printers的擴(kuò)展名，可溢出攻擊)。 (12)刪除c：windows、system32inetsrviisadmpwd。此目錄在管理iis密碼時使用(如因密碼不同步造成500錯誤時使用owa或iisadmp

16、wd修改同步密碼)。當(dāng)把賬戶策略密碼策略密碼最短使用期限設(shè)為0天(即密碼不過期時，可避免iis密碼不同步問題)。這里就可刪掉此目錄。 (13)修改注冊表防止小規(guī)模ddos攻擊。 hkey_local_machineisystemcurrentcontmlsetservicestcpiplparameters新建“dword值”名為“synattackprotect”數(shù)值為“1” (14)本地策略安全選項。 將清除慮擬內(nèi)存頁面文件、不顯示上次的用戶名、不需要按ctrl+alt+del、不允許sam賬戶的匿名枚舉、不允許sam賬戶和共享的匿名枚舉、均更改為“已啟用”；重命名來賓賬戶更改成一個復(fù)雜的

17、賬戶名；重命名系統(tǒng)管理員賬號，更改一個自己用的賬號，同時建立一個無用戶組的administrat賬戶2 iis安全策略應(yīng)用 (1)不使用默認(rèn)的web站點(diǎn)，將iis目錄與系統(tǒng)磁盤分開。 將網(wǎng)站內(nèi)容移動到非系統(tǒng)馭動器，不使用默認(rèn)的inetpubwwwroot目錄，以減輕目錄遍歷攻擊(這種攻擊試圖瀏覽web服務(wù)器的目錄結(jié)構(gòu))帶來的危險(一定要驗證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動器)。(2)刪除iis默認(rèn)創(chuàng)建的inetpub目錄(在系統(tǒng)磁盤上)并配置網(wǎng)站訪問權(quán)限。為web服務(wù)器配置站點(diǎn)、目錄和文件的訪問權(quán)限。(3)刪除系統(tǒng)盤下的虛擬目錄：vti_bin，iissamples，scripts，iishe

18、lp，iisadmin，iishelp，msadc。(4)刪除不必要的iis擴(kuò)展名映射。 右鍵單擊“默認(rèn)web站點(diǎn)屬性主目錄配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，主要為shtml，shtm，stm。(5)更改iis日志的路徑。 右鍵單擊“默認(rèn)web站點(diǎn)屬性網(wǎng)站在啟用日志記錄下點(diǎn)擊屬性更改設(shè)置。(6)只選擇網(wǎng)站和web應(yīng)用程序正確運(yùn)行所必需的服務(wù)和子組件。開始控制面板添加或刪除程序添加l刪除windows組件應(yīng)用程序服務(wù)器詳細(xì)信息internet信息服務(wù)(iis)詳細(xì)信息然后通過選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框，來選擇或取消相應(yīng)的iis組件和服務(wù)。iis子組件和服務(wù)的推薦設(shè)置：禁用

19、：后臺智能傳輸服務(wù)(bits)服務(wù)器擴(kuò)展，ftt服務(wù)、frontpage 2002 server extensions，internet打印、nntp服務(wù)。啟用：公用文件、internet信息服務(wù)管理器、萬維網(wǎng)服務(wù)。(7)刪除未使用的帳戶，設(shè)置強(qiáng)密碼，使用以最低特權(quán)的帳戶。避免攻擊者通過使用以高級特權(quán)運(yùn)行的帳戶來獲取未經(jīng)授權(quán)的資源訪問權(quán)。限制對服務(wù)器的匿名連接，確保禁用來賓帳戶；重命名管理員帳戶并分配一個強(qiáng)密碼以增強(qiáng)安全性。重命名iusr帳戶。 在iis元數(shù)據(jù)庫中更改iusr帳戶的值：“管理工具”“internet信息服務(wù)(iis)管理器”右鍵單擊“本地計算機(jī)”“屬性”選中“允許直接編輯配置數(shù)

20、據(jù)庫”復(fù)選框“確定”瀏覽至metabase.xml文件的位置，默認(rèn)情況下為c：windowslsystem321inetsrv右鍵單擊melabasexml文件“編輯”搜索“anonymoususername”屬性鍵入iusr帳戶的新名稱在“文件”菜單上單擊“退出”單擊“是”。(8)使用應(yīng)用程序池來隔離應(yīng)用程序，提高web服務(wù)器的可靠性和安全性。 創(chuàng)建應(yīng)用程序池：“管理工具”“internet信息服務(wù)(iis)管理器”本地計算機(jī)右鍵單擊“應(yīng)用程序池”“新建”“應(yīng)用程序池”在“應(yīng)用程序池id”框中，為應(yīng)用程序池鍵入一個新id“應(yīng)用程序池設(shè)置”“usedefault settings for th

21、e new application pool”(使用新應(yīng)用程序池的默認(rèn)設(shè)置)“確定”。 將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池：“管理工具”“internet信息服務(wù)(iis)管理器”、右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序“屬性”“主目錄”、“虛擬目錄”或“目錄”選項卡，如果將目錄或虛擬目錄分配到應(yīng)用程序池，則驗證“應(yīng)用程序名”框是否包含正確的網(wǎng)站或應(yīng)用程序名稱，(如果在“應(yīng)用程序名”框中沒有名稱，則單擊“創(chuàng)建”，然后鍵入網(wǎng)站或應(yīng)用程序的名稱)“應(yīng)用程序池”列表框單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱“確定”。經(jīng)過以上設(shè)置，iis安全性有了很大的提升，但一些不法攻擊者會不斷尋找新漏

22、洞來攻擊web服務(wù)系統(tǒng)，所以一定要養(yǎng)成及時修補(bǔ)系統(tǒng)漏洞的習(xí)慣，并不斷提高管理人員的網(wǎng)絡(luò)技術(shù)水平，確保web服務(wù)器有一個安全、穩(wěn)定、高效的運(yùn)行環(huán)境2.2.2 基于安全角度的linux部署方案 （系統(tǒng)安裝，略）部署方案包括：apache安裝、編譯安裝php、jsp環(huán)境支持、web服務(wù)環(huán)境支持測試當(dāng)前web服務(wù)器面臨的安全問題：由于apache服務(wù)器最大的缺點(diǎn)是它的普及性成為眾矢之的，所以apache服務(wù)器很容易受到dos攻擊的威脅主要包括以下幾種形式：數(shù)據(jù)包洪水攻擊磁盤攻擊路由不可達(dá)分布式拒絕服務(wù)攻擊緩沖區(qū)溢出root權(quán)限丟失針對apache服務(wù)器面臨的普遍性安全問題，部署策略有以下幾點(diǎn)1.為apache使用專門的用戶和用戶組 必須保證apache使用一個專門的用戶和用戶組，不要使用系統(tǒng)預(yù)定義的賬號，比如nobody用戶和nogroup用戶組。因為只有root用戶可以運(yùn)行apache，documentroot應(yīng)該能夠被管理web站點(diǎn)內(nèi)容的用戶訪問和使用apache服務(wù)器的apache用戶和apache用戶組訪問。所以，如果希望“cat”用戶在web站點(diǎn)發(fā)布內(nèi)容，并且可以以httpd身份運(yùn)行apache服務(wù)器，通?？梢赃@樣groupadd webteam