1、vSphere虚拟化应用案例系列虚拟化应用案例系列服务器托管案例服务器托管案例2某房产中介服务器托管及安全方案第1节 中介服务器托管方案概述王春海企业现状 某公司是当地较大的房产中介公司,在省会有150多个中介门店,每个店有520多台不等的计算机。公司较早使用了计算机及网络进行管理,这包括公司的人事系统、出租、出售房源的登记、查找、交易系统。为了进行房源的登录、查找、交易等,公司专门开发了B/S架构的管理系统,安装在一台服务器上并将服务器托管。各门店使用宽带连接到托管的服务器,进行房屋交易、中介、人事等系统的应用。只允许指定的IP访问管理系统 当前托管服务器安装的是Windows Server
2、 2003+SQL Server 2000+IIS,配置有4GB内存。各个门店都是固态IP地址上网,服务器端的IIS设置中,只允许指定的IP地址访问。(因为房产管理系统是对内使用的,只允许让各个门店的计算机使用。房屋交易信息、员工考勤系统等,都在这个管理系统之下)现有问题(1)服务器托管在外地的双线(联通、电信线路)机房(前几年当地没有专业的双线机房),在初期效果较好。但现在随着业务量的增加,各门店反应连接服务器的速度不稳定,有时快有时慢,还有的时候不能连接,已经影响了公司的业务。(2)较早开的门店都是固定IP的ADSL(大部分是联通线路)。现在新开的门店不能安装固定IP的ADSL,线路电信、
3、联通、移动都有。因为管理系统只是对内使用,为了不让其他人非法登录管理系统(虽然有帐户及密码),但管理员还是通过限制客户端IP地址方法,只让指定的IP地址登录。(3)管理员是每天在IIS上,重新更新这些门店的IP地址(演示在IIS中只让指定IP登录)其他问题 服务器托管在外地,除了速度慢,管理也不方便。现在当地有了专业的双线机房,想将服务器托管到当地机房,方便管理 另外原来服务器配置已经很低,想购买新的服务器。另外,近几年管理系统已经升级,新系统可以支持64位的Windows Server 2008及SQL Server 2008 R2。宽带费用问题 经过与客户沟通后,还了解,固态IP的ADSL
4、,带宽只能到2M,并且每月费用120元(宽带费60,IP地址费用60)。只是为了要限制IP访问,实际上这也是不小的开销!一共150多个店,每月IP地址费用就是9千,一年就是10多万。如果是动态IP的ADSL,带宽可以到68M,费用每月60,包年会更优惠。而且带宽增加,访问服务器的速度亦会增加。方案概述 购买一台新服务器,安装房屋交易管理系统,并通过网络将数据从原来服务器下载到新服务器,导入新安装系统,然后在总公司测试系统。测试完成后,将服务器托管到当地双线机房,上线之后,各门店采用新的系统。新方案特点-与现有应用兼容 因为新购买服务器配置较高(Dell R720、2个6核心CPU(Intel
5、E5-2620)、32GB内存、6块硬盘做RAID10),为了提高托管服务器的得利用率和安全性,采用虚拟化技术,将网站及数据库放在虚拟机中,在虚拟机前安装Forefront TMG 2010软件防火墙,增加安全性。另外,在Forefront TMG发布网站时,除了可以限制IP地址访问,还可以增加“时间限制”,只让各门店在每天早晨7点到晚上9点之间能浏览管理系统,其他时间则不能浏览业务网站。方案拓扑vSphere虚拟化应用案例系列虚拟化应用案例系列服务器托管案例服务器托管案例2某房产中介服务器托管及安全方案第1节 中介服务器托管方案概述2 方案引申使用王春海只允许指定用户浏览网站问题 在初期,仍
6、然用固态IP。为了减少成本,门店可以采用动态的ADSL,可以采用以下方法限制:(1)各门店计算机安装“证书”,只有安装了“证书”的计算机才能访问房屋管理网站。(2)为各门店配置VPN路由,组建VPN网络。门店直接用“私网”地方访问管理网站。更换为支持VPN的路由器使用证书登录受保护的网站两种方法优劣 证书方法:成本低,安全性较高(客户端与服务器端发送的数据被加密)。但各门店计算机数量有1000多台,这对管理员来说是个较大的负担。另外,每个证书的有效期是1年(可以更改为2年甚至更长),证书到期之后,需要重新注册。VPN路由:每个店需要更换路由器,路由器成本210320元之间。有投入费用,安全性较
7、高。维护量低(一次投入即可)实施步骤阶段1代替原有服务器()采购服务器(2U机架式、2个CPU、32GB内存、7块1TB硬盘(1块备用)、2或4端口网卡)()配置服务器,规划RAID10方式(为了提高性能)(3)安装VMware ESXi(4)配置模板虚拟机、配置TMG虚拟机、配置网站虚拟机(5)配置网站虚拟机(安装SQL Server、IIS、恢复数据)(6)配置TMG虚拟机,安装TMG,创建策略(7)各门店测试阶段2为动态IP的门店更换VPN路由器(1)将TMG配置为VPN路由器,并创建VPN帐户,指定VPN客户端IP地址(2)选择VPN路由器,配置VPN路由器(3)测试,使用内网地址访问管理系统网站(4)逐一将原来使用固定IP的更换为VPN路由器,不再使用固定IP。(2M6M,12060,10万)阶段3证书方式测试(1)配置证书服务器(2)新建站点,为站点申请证书,要求客户端证书(3)各门店申请证书(4)管理员颁发证书(5)各门店使用证书方式登录管理系统(6)吊销证书举一反三方案扩展应用某4S店只让指定计算机访问管理系统
