今天技术的目标是实现事半功倍的效果,而现代数据中心里的信息技术设备数量正在以空前的速度增长。现在急需一种具备成本效益的解决方案,可以为数据中心中的信息技术设备提供集中化的控制,却不会使数据中心更加杂乱。这种解决方案就是远程KVM切换器。KVM是键盘、显示器和鼠标(keyboard、video、mouse)的首字母缩写,它可以用一套键盘、显示器和鼠标同时控制多个信息技术设备。
远程KVM切换器实现了数据中心服务器与其它信息技术设备的统一管理。数据中心安装了远程KVM切换器后,信息技术专业人员只需使用全球任何一台工作站,即可对多台服务器和网络数据中心设备作出安全的远程存取与控制。因此,采用远程KVM切换器的服务器管理正成为大多数现代数据中心的转捩点。
本文讲述了远程KVM切换器的发展过程,以及它为现代数据中心带来的好处。本文还将列举一台远程KVM切换器应具备的主要特性。最后将讨论为什么Lantronix的SecureLinx™ SLK远程KVM™切换器能在价格、性能与售后支持方面居于领先地位。
在远程KVM切换器出现以前,数据中心的计算机服务器是由多台冗余的I/O设备进行管理的。现代远程KVM切换器出现以前,传统的KVM切换器已可以控制多台服务器,改善数据中心杂乱的管理。
传统KVM切换器直接连接到服务器的键盘、显示和鼠标接口,需要操作人员在控制台面前控制。这种方式可以允许数据中心操作人员对目标设备作出可至BIOS级的强大存取能力。这样,单台KVM切换器可以用来存取和控制整个机房或整个机架的服务器。现在的KVM切换器性能已经得到进一步扩展,如支持多用户存取多台信息技术设备、事件日志、远程电源管理以及安全的多层次用户存取管理等。
数据中心的规模正在快速扩展,增加了越来越多的信息技术设备。现代的数据中心布满整个楼层、占据同一城市的不同大厦、甚至分布全球各地已不是新鲜事。为跟上数据中心的发展,传统KVM切换器已被使用IP协议的远程KVM切换器所取代。
远程KVM切换器为数据中心提供了无与伦比的缩放性和灵活性。传统KVM切换器需要操作人员对控制台的物理存取,而远程KVM切换器通过标准TCP/IP连接传送KVM信息。这种方法使操作人员可以利用公司现有的网络基础结构,用一台位于世界任意地点的计算机即可通过局域网(LAN)和广域网(WAN)控制服务器和其它分布式的信息技术资源。
用LAN/WAN环境的IP连接具有许多众所周知的好处。
IP网络是可缩放的。新设备只要分配一个IP地址就可以动态地增加进来。
IP网络提供相当大的灵活性。几乎所有设备或平台都可以结合到一个IP网络中。这些设备可以根据业务需求方便地重新配置,对其它结点的影响最小。
IP网络要求的技术已经相当普及。
除了这些优点以外,IP网络也会产生复杂的管理问题。最重要的是安全问题。IP网络的缩放性与灵活性是优点,但也会为入侵者提供存取网络的可能性。关于选择远程KVM切换器时需注意的安全问题将在本文后面讨论。
|
关键是全球性存取
“对多台服务器的全球存取已被证明是许多公司成功的关键因素。显而易见的好处是减少服务器停机时间及实现分布式信息技术控制。”
来源:IDC |
远程KVM切换器提供以下好处:
任何时间的全球存取
使用广泛存在的IP网络、互联网和网络浏览器,从全球任意地点存取服务器和其它设备。
降低成本和复杂度
远程KVM切换器无需为每台服务器连接键盘、显示器和鼠标。这不仅减少了硬件费用,降低了复杂程度,并且节省了昂贵的物理空间,减少了对电源和空调设备的要求。
减少停机时间
远程KVM切换器提供对任何连线服务器的简单存取与控制,减少了停机时间。
改善业务的连续性
有些远程KVM切换器还支持对服务器和其它信息技术设备的带外(与网络无关)存取。由于这些远程 KVM 切换器不依赖于企业主干网络,因此信息技术人员可以在网络无法工作的情况下存取、控制和管理企业服务器。
硬件平台和操作系统独立性
远程KVM切换器可工作于异种服务器环境中,用一个切换器提供对多种平台的存取能力。由于它们不依赖于专用硬件和操作系统,适用于装备不同厂家服务器、运行不同操作系统(如Windows、Solaris和Unix)的企业信息技术环境。
缩放能力
新的系统和设备只要分配一个新的IP地址就可以方便地加入进来。
标准化
远程KVM的运行基于TCP/IP,信息技术人员已经熟知相关技术以及设备需求。
连线
许多新型KVM切换器都使用第5类双绞线,从而有助于降低复杂性,节省网线费用,但需要专用适配器。其它解决方案使用标准的KVM电缆。
远程KVM切换器如何工作
远程KVM切换器使用标准的TCP/IP传送数字信号,管理服务器的键盘、显示器和鼠标输出。操作人员可以从任意地通过一个标准的Web浏览器控制服务器。操作人员用这种方式实施对服务器的完全存取,就像坐在服务器前面一样。
采用IP的KVM切换器利用了现有TCP/IP基础架构的优势:
1. 捕捉键盘、显示器和鼠标的模拟信号。
2. 信号被转换为数字包。
3. 数字化的信号和数据包被压缩后,通过现有网络架构上的TCP/IP连接安全传送。
下面将说明选择远程KVM切换器时需要考虑的因素。
随着时间的流逝,您的网络会不断增长和变化。用户人数、服务器数和网络设备与日俱增,远程KVM切换系统必须能够跟上业务扩展的步伐。所以,要寻找一种可靠、可管理并且可缩放的远程KVM切换器,它能共同成长,容纳大量的并发用户,而无需重构内部基础架构。如果已经安装了传统KVM,则应寻找具有级联能力的KVM。这一功能将可以使您继续使用现有的架构。
请确定您希望用TCP/IP还是直接接入数据中心设备。如果您决定采用基于IP的远程KVM切换器,则应按照已有网络架构进行选择,以避免特殊的设计考虑。有些远程KVM切换器在具备远程功能的同时,亦可以采用本地直接接入方式。
如果同一时间需要多于一个操作者控制多台目标设备,则应选择一种支持不同存取级别的远程KVM切换器。不同的存取级别可以按用户或组设置端口许可。例如,管理员可存取的设备数量多于初级操作员。如果需要多用户同时存取,寻找那些可支持多个远程用户的切换器。
在选择远程KVM切换器时,要考虑网络停机情况下的处理方法。因此,必要时应选择带调制解调器拨号功能的远程KVM切换器。这样,如果网络出现故障,可以用远程KVM切换器的拨号功能继续控制目标服务器。
不同的远程KVM切换器可以容纳不同类型的目标设备。因此,寻找的远程KVM切换器应支持预计要控制的设备。例如,如果只打算控制服务器,则不必选择既支持服务器也支持串行设备的远程KVM切换器。如果已经有或打算以后添置需与服务器共同管理的串行设备(如远程电源控制器等),则应选择具有串行接口的远程KVM切换器。
搞清楚将被控制的设备数量也非常重要。如果您的数据中心准备增加设备,则待选远程KVM切换器上的端口应多于现在所需端口数,以满足未来增长需求。
选择具有直观的图形用户界面(GUI)的远程KVM切换器,这样在升级或重新配置后无需对员工进行培训。例如,绝大多数信息技术员工都非常熟悉标准的Windows®应用程序界面。避免选择那些需要安装客户端软件的远程KVM切换器,而应选择只用网络浏览器的产品。
虽然远程KVM切换器不需要在被管理的计算机上安装专用软件,但它们也要靠软件来管理目标设备(因为Web浏览器和Telnet也是软件程序)。在准备购买远程KVM切换器时,要确保它与标准的浏览器兼容,如Internet Explorer和Netscape® Navigator。避免选择需要专有软件的远程KVM解决方案,特别是需要额外购买使用权的方案。
没有公司愿意自己的数据和客户信息落入他人之手。鉴于安全威胁多种多样,只依赖于单点保护方法绝不是明智的选择,因此远程KVM切换器必须具备以下特性:
有效控制,防止内部用户未经授权的存取,以及
保护关键的系统,避免由于人为错误导致危险。
以下总结了一些在选择远程KVM切换器需注意的基本安全特性。
密钥交换
通过在远程KVM切换器和客户存取软件间交换密换来成就进一步的安全性。最可行的安全保证要对这种交换设定有效期限。
加密
数据传输的加密减少了由于合法KVM交谈被拦截而导致的关键系统泄露机会。加密水平取决于操作系统、设备和浏览器的性能。最佳的KVM安全方法应该包括128位SSL加密和3DES加密,它采用独立的密钥对KVM数据包进行加密、解密和再加密,从而防止敏感的管理信息被“嗅探”。在选择远程KVM时也应该考虑HTTPS加密。HTTPS使用SSL协议或TLS(传输层安全)协议对会话数据进行加密,因而能在一定程度上防范窃听者。
审计
审计机制对于保持KVM的安全性也很重要。负责安全的经理应该能查看所有KVM活动的日志。这些日志应提供相应的原始报告,并可以输出到常用的报告分析程序里,这样能够尽快地发现异常和趋势。特别是安全经理应该持续不断地监控各种事件,如未通过的认证和在授权许可以外的存取尝试。日常审计应该与其它安全措施一起执行。
隐私功能
选择那些支持隐身模式和躲藏模式的远程KVM切换器。隐身模式只允许知道IP地址和Web服务器端口号的用户存取远程KVM切换器,而外人将被排除在外。躲藏模式则是远程KVM切换器在发现遭到攻击时关机。例如,如果在某个时间段内有五次密码尝试失败,则远程KVM切换器会关机,并中断网络连接。
远程KVM切换器是否能提供详细的报告与事件日志。例如,一台远程KVM切换器能否提供从某天某一小时起始的事件日志,用以跟踪系统中的用户和事件?检查是否网络上所有设备的信息都能被收集和保存,如失败的认证尝试、通道阻塞以及不正确的存取权限等,这些信息是否可以输出为一种报表应用程序的兼容格式(如.CSV或.XLS格式)。
如果已经有了传统的模拟式KVM切换器,应寻找一种可以延续现有KVM投资的远程KVM切换器。一般来说,可以将现有KVM切换器的一个控制台连接到新的远程切换器端口上。应选择与现有设备兼容的远程KVM切换器,并且可以级联。这样,您在获得远程存取好处的同时,也无需替换现有的基础架构。
一旦作出购买远程KVM切换器的决定,下一个问题就是看哪家KVM供应商能提供最佳解决方案。本文将介绍如何评估各种KVM解决方案的关注要素,包括运行性能、实现与应用的方便性、缩放性、安全性以及整体价值等。
还有一个因素在挑选 KVM 供应商时同样非常重要,即该供应商已被验证的技术进步与技术创新的历史。一旦服务器出现故障,业务会在几秒钟之内完全停顿。因此技术保障非常重要。
Lantronix在网络与连接领域的创新与进步方面居于领先地位,现提供新型SecureLinx SLK远程 KVM 解决方案。SecureLinx SLK使用户具备从任意地点通过互联网存取与管理数据设备的能力,极大地增强了 KVM 解决方案的价值。SecureLinx SLK具备出色的存取关键服务器GUI的能力,独立于操作系统和系统平台。它只需要一个支持Java的浏览器,无需额外的软件即可从远程控制服务器。16端口的SLK还提供拨号存取与控制的功能,这在网络停止运行时非常有用,用户可以随时对设备问题作出响应,以减少停机时间,提高生产效率。
SecureLinx SLK还包括一些先进的安全特性,如防止服务器遭受安全威胁的隐身模式(stealth mode),以及可在发现多个失败的登录尝试时进入躲藏模式(turtle mode)。
图 1 SecureLinx KVM配置实例
SecureLinx SLK远程KVM切换器利用现有的IP网络,可无缝地配合数据中心多层次的安全模式。从而简化了设置工作:只需要分配一个IP地址,设定网络配置,将SLK接至服务器,并对SLK进行本地或远程配置。由于无需安装软件,SecureLinx SLK不会影响服务器的远行,并且无缝地支持多种操作系统。
SecureLinx SLK远程KVM切换器是对KVM输出采用硬件编码,然后通过标准TCP/IP网络传输。SecureLinx SLK远程KVM使用现有的IP网络,可以无缝地配合数据中心的多层安全模式。它支持 SSL,保护网络资源的安全。
如果您已经有了传统的模拟KVM切换器,可以将其接入到一台SecureLinx SLK服务器端口上,达到在任何时间、从任意地点存取更多服务器,而无需破坏现有的硬件。
Lantronix知道,一个操作人员远程监控与管理的服务器越多,他花在穿越楼层、大厅以及不同远程地点的时间也越多。所以,SecureLinx SLK远程KVM有三种便利的模式,详述如下:
表1. SecureLinx SLK远程KVM模式
|
模式 |
特性 |
|
SLK1 |
单KVM端口
多达10个用户配置文件
两个串行口(一个DB9 female,一个8脚mini-DIN)
最适合于远程使用的模拟KVM切换器 |
|
SLK8 |
8个KVM 端口
多达10个用户配置文件
同时监控多达8个视频输出
两个串行口(一个DB9 female,一个8脚mini-DIN)
专为管理多台服务器或模拟远程KVM切换器的模式而设 |
|
SLK16 |
16个KVM端口
所有通道均有多至6个独立的远程(数字)会话(无阻塞)
多达32个用户配置文件
同时监控多达16个视频输出
通过外接串口调制解调器的带外拨号存取
三个串行口(两个DB9 female,一个DB9 male)
适用于有较多用户的大型设备 |
Lantronix的网络专业知识与服务质量
Lantronix产品在全球以质量和可靠性而闻名。迄今为止,Lantronix已经为超过2百万台设备和16000家客户提供了网络连接,这个数字还在继续增长。随着网络世界的发展壮大,Lantronix已成功定位为网络市场中的重要组成部分,因为我们协助客户提高系统的运行时间,管理价值数亿美元的设备,并将任何电子设备虚拟地接入网络或互联网。
与此同时,我们坚信服务质量对用户的重要性不低于产品的性能。因此,Lantronix为自己的产品提供保证与合同服务。您购买的不仅是Lantronix产品,同时还获得了更多的东西,那就是:高质量的服务。这包括以下两点含意:
l 技术支持(见下文介绍)
l 一个灵活的业务合同系统
Lantronix深知,当一个供应商宣称有“出色的技术支持”时,必须具备实质内容。业界的竞争是残酷的,只提供空洞的或人云亦云的承诺是远远不够的。所以,Lantronix维持着一支资深网络专家队伍,他们具备串行连接与网络连接方面的专业知识。
技术支持的范围非常广泛,从基本配置与查错,到指导建立客户网络页面,以及使用可配置I/O引脚读入或设置专用信号指示灯的触发器等。技术支持通过电话、电子邮件和网页进行,不向客户收取额外费用。对美国本土客户的实时免费电话支持开放时间是从上午6:00直到下午5:30。
Lantronix亦提供在线知识库、视频配置教程、聊天支持以及“实况协助”,后者是一种虚拟的现场系统工程师,可以安全、共享式地控制您的个人计算机。
术语表
下表列出本文中用到的技术词汇。
|
认证 |
识别一个人身份的过程,一般采用用户名和密码识别法。认证可以保证某人身份的正确性,但不会指明该人的存取权利。
|
|
查问握手认证协议(CHAP) |
这是一种标准化的安全协议,一般用于验证通过手机或远程用户的远程存取登录。CHAP协议用一种需要适当回应的查问来验证用户或系统。如果用户提供了正确的证明,则登录合法,并建立起网络连接。CHAP最重要的特性是永远不会在网络上传送密码。
|
|
轻型目录存取协议(LDAP)
|
一种软件协议,使任何人均可以找到组织、个人和其它资源,如网络上的文件和设备,无论它们是在公共互联网上还是在企业内联网里。LDAP是目录存取协议(DAP)的轻型版本(代码量较少),它也是网络目录服务标准X.500的一部分。
|
|
网络存储(NAS)
|
用于文件共享的一台服务器。NAS可以在已经接有服务器的网络上增加更多的硬盘存储空间,而无需关机进行维护与升级。使用了NAS设备后,存储空间不再是服务器的一个部分,反而服务器负责所有数据的处理,而NAS则为用户提供数据。NAS设备不必放在服务器内,可以放在局域网(LAN)的任何部分,并且可以由多个连网的NAS设备构成。
|
|
数据包过滤 |
通过分析进、出数据包控制对网络的存取,即根据数据包的IP源地址和目标地址允许或禁止其通过。数据包过滤是安全防火墙中采用的许多技术中的一种。
|
|
密码认证协议(PAP)
|
最基本的认证形式,用户名和密码均通过网络传送,并与用户—密码表比较。一般保存在表中的密码是加密的。HTTP协议中内置的基本认证功能就是使用PAP。PAP最大的弱点是要以明文传送用户名和密码,即非加密形式。
|
|
远程身份认证拨入用户服务(RADIUS) |
为一种认证与记帐系统。当存取一个有RADIUS保护的系统时,必须输入用户名和密码。这一信息被送给一台RADIUS服务器,服务器检查信息的正确性,并授予系统的存取权。
|
|
SSH v2 |
SSH v2基于V2协议和F-Secure 3.1.0代码库。一般认为,SSH v2比SSH v1更安全,虽然不可与SSH v1 兼容,但两者可以共存于一个具备SSH的控制台管理器中。
|
|
安全套接字层
(SSL) |
一种通过互联网传送私有文档的协议。SSL通过SSL连接传输用私钥加密后的数据。Netscape Navigator和Internet Explorer均支持SSL。
|
|
Telnet |
用于TCP/IP网络(如互联网)的终端仿真程序。Telnet程序运行在您的计算机上,连接到网络的服务器上。然后可以通过Telnet程序输入命令,就像直接在服务器控制台上输入命令一样。这样可以控制网络服务器以及与其它服务器的通信。开始一个Telnet交谈前,要使用有效的用户名和密码登录到服务器上。
|
|
3DES |
一种DES加密算法,它将数据加密三次,使用三个64位密钥,而不是一个,于是总密钥长度为192位(第一次加密的结果用第二个密钥再加密,产生的密码文本再用第三个密钥加密)。 |
