张家港海事局监控网络管理平台建设方案.doc

张家港海事局监控网络管理平台建设方案1. 项目概述1.1. 项目背景和现状随着监控网络不断扩展以及海事局内IT各项业务的迅速发展、安全管理需求的不断增加以及外部监管要求的不断加强，信息系统数量和系统用户数量不断增加，网络规模迅速扩大。面对越来越多的应用系统、网络设备、主机、数据库、安全设备等IT系统越来越多、越来越复杂，运行维护的工作内容和复杂度随之大幅度增加，对信息系统运维保障的质量要求也越来越高，现有运行维护手段的局限性就愈见突出，张家港海事局的监控网络系统这方面的问题具体表现在： 现有监控手段过于分散，无法提前预警 目前大多数用户采用的是按照不同系统方式监控管理，缺乏集中统一的主动式监控报警，故障预警能力差。同时，还缺乏对系统基础架构的监控管理，不能全面反映系统运行的性能状况及提前发现系统的潜在隐患。 运维工作占用了大量的人力资源由于缺乏系统化运维手段，需要较大的运维工作量才能完成对关键信息系统的运行监控和维护操作，运维人员的工作量会随着信息系统的增加而不断增加。要改变这种局面，需要梳理整个运维工作流程，建立一个综合运维管理平台，实现运行监控、运行维护和系统建设三个环节的人员相分离，减少人力资源占用。 独立的运行态势分析，缺乏关联和整体性由于各系统独立运行、维护和管理，所以各系统的运行态势分析和审计也是相互独立的，不但各个系统单独分析，即使同一系统中的每个网络设备，每个主机系统及每个数据库系统都要分别进行分析，缺乏集中统一的系统分析。同时在故障发生后，缺乏对故障进行跟踪记录分析以提供解决故障的准确依据。综上所述，随着张家港海事局监控网络系统的发展及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面系统的安全要求越来越高，当前的运维模式在一定程度上存在安全隐患，从而在实质上降低了系统的安全性。因此，迫切需要一个统一的IT综合管理能为各应用系统、各种硬件基础设施等提供一个综合的运维管理平台，实现集中的、实时的、可视化的、智能化的业务运行监控管理，以便即时了解IT系统整体运行状况，及时发现存在的隐患、风险以及瓶颈所在，从而做出快速响应，确保各项业务的持续稳定运作。1.2. 项目建设原则监控网络管理服务平台建设指导思想是：“统一规划、分步实施、已有纳入、新建遵循”。监控网络管理服务平台项目建设是要建设一个集中管控IT资源的运维平台而非推翻以前已经购买的监控管理组件产品，所以需充分考虑对已有各种产品组件做针对性的开发、整合工作。在项目建设过程中，除应满足系统功能需求外，还必须遵循如下原则：l 安全性原则：系统设计应注重安全方面的设计，确保系统的安全运行。系统提供安全认证技术，确保登录身份认证安全性、有效性。l 稳定性原则：应保证系统不间断运行，系统执行监控及操作任务时或出现自身故障，绝不能影响被监控及操作对象的正常稳定运行。l 开放性原则：系统应遵循行业主要的标准化组织所提供的标准或建议，采用标准的、开放性的技术，能够实现与其他厂商的产品无缝地连接；采用国际标准化组织及工业界广泛接受的有关标准和基于标准的通用软硬件平台。l 可扩展性原则：在保持系统的基本体系结构长期稳定的前提下，可以有效地容纳和支持IT规模的不断扩大和复杂、业务种类的增多。同时，能够在应用体系结构和软件模块划分两个方面支持整个应用的良好扩展性。在体系结构方面采用多层结构划分，实现各层的高聚合和层间低耦合。应尽量使用模块化和插件化，使得扩展时对原系统的影响最小化。l 用户体验优化原则：具有较高的易用性，界面友好，美观统一，并对人机交互进行优化设计。l 灵活性原则：系统各子系统及子系统内功能模块应具有一定的独立性，同时具有系统相关性和整体一致性。系统提供自动化升级维护功能，系统的维护及拓展灵活、方便。l 规范性原则：统一接口标准，规范数据字典。定义监控接入标准，规范未来新建系统的监控。1.3. 项目建设目标监控网络综合管理平台项目目标如下：1) 建设IT综合管理平台，实现对主机设备、存储设备、网络设备、安全设备、数据库、中间件等IT基础设备和机房环境的综合监控，全面掌握设备及机房环境的运行状态，及时发现IT基础设备的运行瓶颈和故障。2) 实现对所有业务系统的应用可用情况、应用响应情况的监控。确保各信息化业务的可靠运行。3) 通过对IT基础设施的配置信息管理以及配置项关系管理，建立以应用系统为单位的业务关系模型，利用该模型实现对系统发生的异常信息故障定位、影响范围预警。4) 结合多种技术手段对相关运维人员提供预警提醒，运维方式由“事后补救”转变为“事先预防”。集中展现模块：采用B/S 架构，以Web 方式访问。集成网络监控、系统监控、机房环境监控、配置管理和业务管理等数据，通过图表结合的方式综合展现业务应用系统运行状况1.4. 解决方案概述针对以上一系列运维难题和分析了海事局监控网络管理现状和需求后，实现对IT资源的全面管理，完美整合了人员、技术和流程三大要素，帮助海事IT管理人员以较低的成本提供稳定、优质的服务，共同实现IT服务的目标。APEX IT运维和服务管理系统提供了“无缝式IT监控系统”功能，其系统架构清晰，采用模块化的设计理念，各功能模块既可独立运行、松散耦合；亦可整体功能无缝衔接覆盖整个业务系统，灵活的自由组合真正实现个性化的IT无忧运维。APEX IT运维和服务管理系统提供一个图形化、可定制、统一的监控管理平台。通过它实现对IT基础架构性能和告警数据的直接监控与展示（网络设备、主机、操作系统、数据库、中间件和应用等），实现对用户环境的整体运行状态的监控管理。此运维监控平台包括以下功能：l 故障预警和管理前瞻性地发现系统的故障和性能问题，能够快速识别、隔离、诊断和修复生产中出现的问题。1) 前瞻性发现基础设施和应用系统的故障。2) 前瞻性检测复杂的应用性能问题。3) 基于业务的性能影响分析报告4) 快速识别、隔离和诊断问题的起因，事故根本原因分析。5) 对一些简单的故障问题，提供自动化修复故障的功能；对复杂的故障和性能问题，尽可能提供修复故障和改善性能的建议。6) 提供的丰富的事件通知功能，事件通知方式包括：- Mail 自动向指定邮箱发送告警邮件。- 短信自动向指定手机发送告警短信。- 声音自动产生声音告警。- 图像自动以图标形式显示告警事件。- 其它通过二次开发可实现特殊要求的告警方式。7) 提供监控参数化配置管理，参数超过设定阀值，产生报警信息。l 多层次的视图展示直观、准确地体现各层面的系统和业务运行状态，分别展示不同管理层次和范围的系统运行状态。根据企业的业务特点和管理习惯，可将展示视图分成根视图、一级视图、二级视图和三级视图，分别展示不同管理层次和范围的系统运行状态（如下图所示）。l 集中统一的管理界面用户在统一监控管理平台上可查看所有视图，提供直观的图形用户界面。1) 基于上下文环境和组合视图，降低用户诊断问题的时间。2) 基于角色和权限的控制，增强管理的安全性。3) 提供可定制化的工作区和视图，提高操作的灵活性。l 开放的接口能够集成第三方监控工具，实现将第三方监控（例如空调、门禁、UPS、机房动力或特定应用管理工具等）完全变为监控系统的一部分。l 丰富的报表展示功能提供统一的报表界面，具备强大的数据展现能力：1) 提供网络、系统、数据库、网络、中间件、应用状况的集中统一报表2) 提供实时与历史性能报表3) 提供数据分析、展现和用户报表定制功能4) 预制报表模板5) 自动周期性报表，如日报、周报、月报、季报、年报等6) 支持PDF、HTML、Excel等报表格式2. 系统架构本次提供IT综合监控管理系统涵盖较多被监控的对象，覆盖面较广，功能复杂，系统设计遵循模块式开发、部署，系统从底层到最上层的图形用户接口共分为4层，每一层实现不同的功能，系统整体的架构如下图所示：整个IT系统管理架构分为管理实体、数据层、功能层和接入展现四个层次。2.1管理实体包括IT环境中的各类网络设备、服务器、存储、数据库、中间件等被管理实体，是需要被实时监控的对象，是原始信息的来源。所有的被管理对象通过SNMP、WMI、TELNET、SSH、ICMP、JDBC、ODBC、JMX及私有协议等方式向管理端提供各种性能和事件数据。2.2数据层包含两个功能，一是对管理实体中的数据进行数据采集；二是根据要求对数据进行必要的整合。除了采集到的数据外，还可能包括各种管理数据，系统汇总后的数据、文档数据等。IT系统管理的数据采集方式支持以下几种： 采用定时轮循机制获取被管实体的数据； 监听代理端的TRAP消息实时获取数据； 通过设备厂家提供的监控工具获取数据； 通过读取日志文件获取数据； 通过其他厂商网管平台获取数据。对于业务系统，若纳入到IT系统管理的管理体系中，则应支持以下的管理接口方式： 数据库接口； 文件接口（日志文件等）； SNMP； 其它API接口，需业务软件厂商提供有关接口的详细信息。2.3功能层IT综合管理所使用的各种业务逻辑，集中管理和协调各子系统之间的服务调用，是IT网络系统管理的核心管理平台，主要有如下功能要点：1. 拓扑发现，自动发现网络设备，包括交换机、路由器、防火墙等支持snmp的设备2. 性能管理，对网络设备、服务器、数据库等业务系统实时监控，采集各种指标数据，并与告警模块关联，在产生异常时及时发出警告3. 告警管理，提供告警主动通知、告警统计、告警相关性分析等功能4. 设备配置管理，对网络设备的配置进行自动周期性的备份，实时监控网络设备的配置是否发生变化并在发生变化后及时发出警告，提供批量配置功能能够批量修改网络设备的配置5. 统一事件处理，集中收集网络设备、服务器、数据库、交易系统的事件与告警，并提供告警相关性分析，辅助管理员排除故障6. 业务视图，从业务的角度进行建模，提供可视化的业务运行状态拓扑图，实时呈现业务的运行状态，在业务出现故障后，能够从业务视图上分析出故障的根源。2.4接入展现层展现层是IT综合管理与IT管理人员之间的人机交互接口，本次IT综合管理采用全WEB化的客户端界面，运维人员只需使用浏览器即可在网络中任意一台电脑上随时接入系统，系统支持portal功能，可以根据用户的需要呈现不同的功能和数据。此外，综合管理支持email、短信、声光等多种方式的事件通知形式。3. 网络与系统监控平台部署方案及软硬件配置3.1系统部署方案本系统是由管理节点(Manage Node)、探针节点(Probe Node)和管理终端三大部分组成，管理节点的主要功能如下：a) 负责定义监控策略，并将监控策略准确下发到探针节点，探针节点根据收到的监控策略对被监控的对象进行监控和数据采集b) 负责接收探针节点发送过来的监控对象的状态数据并将这些数据集中存入数据库，并提供最新一次采集数据的内存缓存c) 负责接收探针节点发送过来的告警，并执行告警动作，比如发送短信、发送邮件、声音告警等，及时通知IT管理人员本次管理节点安装在监控网络的中心机房。探针节点可以有多个，本次项目需要部署1个，探针节点的主要功能如下：n 负责监控并采集监控对象的各种指标数据，根据被监控的对象不同，采集的指标也不一样，采集完成后，将这些数据通过数据传输通道发送到管理节点n 根据接收到的监控策略，判断当前被监控对象是否正常，如果发现不正常，及时产生告警并将告警送往管理节点n 探针节点与管理节点之间的通讯协议有多种：包括厂商私有协议（基于TCP）、HTTP和JMS消息机制。探针安装在监控网络机房服务器上.管理终端负责提供WEB方式的人机交互界面，所有功能层提及的各种功能均可以在管理终端WEB界面上使用，用户可以在终端上查看各种被监控对象的当前状态、查看当前告警、修改监控策略，查看各种历史报表等。3.2服务器硬件要求项目硬件配置数量备注网络与系统监控平台服务器配置Intel 至强8核 2.0G以上；内存16G DDR3；3.5英寸SATA (7.2K RPM)硬盘500GB；千兆以太网卡 *2；冗余电源。1网络与系统监控平台数据库服务器配置Intel 至强8核 2.0G以上；内存16G DDR3；3.5英寸SATA (7.2K RPM)硬盘500GB；千兆以太网卡 *2；冗余电源。1网络与系统监控平台probe采集服务器配置Intel 至强4核 2.0G以上；内存8G DDR3；3.5英寸SATA (7.2K RPM)硬盘200GB；千兆以太网卡 *2；冗余电源。1服务器与探针硬件利用现有的空闲服务器和工作站来完成。3.3 服务器软件类别服务器端客户端操作系统1. Linux Redhat AS42. Windows 2003/2008 server（推荐）N/A数据库3. Microsoft SQL Server 2005/2008（可选）4. Oracle 9i/10g（可选）5. MySQL 5.0.4 （系统自带，推荐）Web浏览器6. IE 7 /87. Firefox3.0及以上IE 7 /8Firefox3.0及以上现有服务器已经具备上述软件环境要求。3.4软件配置内网使用一套APEX IM综合管理平台软件，一套管理平台探针软件，配置280个终端点，20个服务器点，80台网络设备，支持全景拓扑图，中文，支持组件显示功能。4. 监控网络优化在实施监管IT设备系统之前需要对现有的网络从网络架构、流量规律、应用类型、数据类型占比、吞吐量TOP10的主机进行系统分析，通过深入剖析后根据现有的网络资源配置情况进行优化配置，以目前资源最大程度的支持好现有的应用系统。监控网络系统是整个项目的重要基础设施，所有的视频传输、网络通信、软件平台建设都需要依托于此硬件系统。为了保证张家港海事局现有的信息系统稳定运行，需要在现有的网络链路、设备的基础之上，通过多种网络技术与架构的改造来最大化的利