请回答刀片式服务器与塔式服务器、机架式服务器的区别?
所谓刀片服务器是指在标准高度的机架式机箱内可插装多个卡式的服务器单元,实现高可用和高密度。每一块"刀片"实际上就是一块系统主板。它们可以通过"板载"硬盘启动自己的操作系统,如Windows NT/2000、Linux等,类似于一个个独立的服务器,在这种模式下,每一块母板运行自己的系统,服务于指定的不同用户群,相互之间没有关联。不过,管理员可以使用系统软件将这些母板集合成一个服务器集群。在集群模式下,所有的母板可以连接起来提供高速的网络环境,并同时共享资源,为相同的用户群服务。在集群中插入新的
"刀片",就可以提高整体性能。而由于每块"刀片"都是热插拔的,所以,系统可以轻松地进行替换,并且将维护时间减少到最小。
这些刀片服务器在设计之初都具有低功耗、空间小、单机售价低等特点,同时它还继承发扬了传统服务器的一些技术指标,比如把热插拔和冗余运用到刀片服务器之中,这些设计满足了密集计算环境对服务器性能的需求;有的还通过内置的负载均衡技术,有效地提高了服务器的稳定性和核心网络性能。而从外表看,与传统的机架/塔式服务器相比,刀片服务器能够最大限度地节约服务器的使用空间和费用,并为用户提供灵活、便捷的扩展升级手段。
刀片服务器的特点
刀片服务器公认的特点有两个,一是克服了芯片服务器集群的缺点,被成为集群的终结者;另一个是实现了机柜优化。
集群终结者
众所周知,作为一种负载均衡技术,服务器集群已经在有效提高系统的稳定性和核心网络服务的性能方面被广泛采用,在集群系统中,若要提供更高端的运算和服务性能,只需增加更多的单元就可以获得更高的性能。更为重要的是,服务器集群还可以为任何一台单独的服务器提供冗余和容错功能。
目前IT行业正在大力发展适应宽带网络、功能强大可靠的计算机。在过去的几年里,宽带技术极大地丰富了信息高速公路的传输内容。服务器集群和RAID技术的诞生为计算机和数据池的互联网应用提供了一个新的解决方案,而其成本却远远低于传统的高端专用服务器和大型机。但是,服务器集群的集成能力低,管理这样的集群使很多管理员非常头疼。尤其是集群扩展的需求越来越大,维护这些服务器的工作量简直不可想像,包括服务器之间的内部连接和摆放空间的要求。这些物理因素都限制了集群的扩展。刀片服务器的出现适时地解决了这些问题。在集群模式下,刀片服务器所有的主板可以连接起来提供高速的网络环境,共享资源。同时每个刀片都可内置监视器和管理工具软件, 配置一台高密度服务器就可以解决一台到一百台服务器的管理问题,如果需要增加或者删除集群中的服务器,只要插入或拔出一块板即可,将维护时间减少到最小。就这个意义上来说,Blade Server从根本上克服了服务器集群的缺点。
实现机柜优化
从某一角度而言,刀片服务器实现了机柜优化的自然飞跃。刀片服务器将机柜式服务器所占用的空间密度再一次提高了50%。资料显示,在机柜系统配置好的前提下,将1U机架优化服务器系统移植到刀片服务器上,所占用的空间只是原来的1/3~1/2。而在一个标准的机柜式环境里,刀片服务器的处理密度要提高四到五倍。比如在处理1024节点的高密度计算服务器环境里,1U配置需要24个机柜,其中不包括以太网交换集线器所占用的机柜空间,而采用插有8个"刀片"的刀片服务器,只需要9个机柜,却包括了以太网交换机的空间。在相同的面积内,数据中心可以通过部署刀片服务器获得8倍于机架式服务器的服务器租赁收益。
另外,刀片服务器采用集中管理的方式,可以简化服务器的管理工作。在IT人员日益匮乏的今天,采用刀片服务器的企业可以减少雇佣工资高昂的服务器管理和维护人员,从而降低维护费用。还有,刀片服务器的低功耗设计也会显著减少能耗,节约能源的同时减少了费用。
作为一种新兴的服务器产品,读者可能还缺乏对它的直观认识。每台刀片服务器一般由机柜和刀片组成,因此刀片服务器的标识由机柜的型号和刀片的型号共同构成,而不像以往的服务器那样由一个单一的服务器型号所代表。刀片通过机柜背板上的CompacPCI接口与之相连接。服务器机柜一般可以容纳8片至数十片刀片。刀片以服务器刀片为主,而每个服务器刀片都是一个功能完整的服务器。
在此,我们以一款常见的一种刀片服务器向大家介绍一下,以了解其基本构成。
根据所需要承担的服务器功能,刀片服务器被分成服务器刀片、网络刀片、存储刀片、管理刀片、光纤通道SAN刀片、扩展I/O刀片等等不同功能的相应刀片服务器。
目前最为常见的服务器刀片一般采用1颗为的Intel Pentium Ⅲ处理器,并采用ServerWorks LC-E芯片组、Intel 815芯片组、Via Pro266芯片组,支持的内存容量和类型由芯片组决定,内存类型一般为具有ECC功能的SDRAM或DDR。由于刀片服务器的散热问题较为严重,在设计中也有厂商采用了低功耗的Transmeta 5600处理器。目前,HP、Sun也正致力于把它们的RISC处理器制作成服务器刀片,只是尚未面世。
除连接机柜背板的接口外,服务器刀片上一般还具有一个PMC扩展接口,可以连接PMC接口的扩展卡,如SCSI卡、光纤存储卡等,其功能相当于PCI扩展槽,只是相应接口的扩展卡价格略贵。 服务器刀片采用与笔记本电脑相同规格的65mm(25英寸)硬盘,一般只安装操作系统和简单的应用软件,性能较低。
网络刀片
网络刀片的功能相当于局域网交换机,从而提供良好的网络监控和管理功能。网络刀片普遍提供10/100Mbps端口,以双绞线的方式连接服务器刀片,对外提供高速上连通道(千兆端口)。采用NAS存储方式的刀片服务器经常会配备2个网络刀片,其中一个专门用于连接NAS设备。每个刀片支持10/100/1000M以太网连接,并且可以在背板上安装10/100/1000M的2-4层交换机,这样就可以把系统中每个槽位上安装的刀片与交换机连接起来,提供一个基于IP的交换网络。通过集成这种总线,刀片服务器系统可以很好地集成IP业务和语音业务,提供各种不同的电信增值服务。
存储刀片
存储刀片可以被视为一个硬盘模块,通过背板总线或者硬盘接口线向服务器刀片提供存储功能。存储刀片上一般配备2块性能较高90mm(35英寸)硬盘,接口类型有IDE、SCSI和光纤通道(Fiber Channel)接口。
管理刀片
第一代刀片服务器的KVM(Keyboard、VGA、Mouse)刀片可以说是功能最为简单的管理刀片,提供对所有服务器刀片的管理控制。KVM刀片,提供键盘、鼠标、显示器接口,KVM刀片经常还包括软驱和光驱,便于使用者直接操作服务器刀片。KVM刀片上提供切换开关,用于在机柜上的不同刀片之间或者不同机柜之间进行切换。第二代刀片服务器具备更加强大的管理功能,但是各家产品各不相同。管理刀片往往通过服务器刀片上集成的监控管理芯片进行1台或多台刀片服务器的集中监控和管理。管理刀片向服务器机柜内的其他刀片提供必要的配置信息,并在某些刀片发生故障时接收报警信息,并向监控程序发出报警。
CompactPCI :刀片服务器的标准
CompactPCI开放式标准架构很好地平衡了业界标准,包括硬件、操作系统、应用开发工具、能快速有效开发高利润的电信增值服务,同时使传统上以专有软硬件架构为主的电信建设转型,能享受开放系统带来成本大幅降低及大众化业界标准操作系统的好处。这一转变让设备及服务供应商找到了数以百万计的开发者,并开始采用具高可靠性、高扩展性和高性能的CompactPCI宽频通讯平台。
CompactPCI总线标准是建立刀片服务器的基础。它是惟一的标准,同时也是标准纷争的起源。CompactPCI目前有2个主要的版本,即 10版和20版,它们在接口定义的完善程度上不尽相同。早期的刀片服务器全部采用CompactPCI 10的标准,背板带宽也限定在32位PCI之内,这些产品属于第一代刀片服务器。2002年最新推出的刀片服务器部分采用CompactPCI 20标准,背板支持64位PCI通信,称之为第二代刀片服务器。由于标准的版本不同,两代刀片服务器之间不能完全兼容。
目前为止,只有HP一家声称完全按照CompactPCI标准设计刀片服务器,而其他服务器厂商只是在总线和接口标准方面遵循CompactPCI,在刀片的尺寸上没有完全按照该标准去执行。
应用模式指南
刀片服务器的应用很广泛,尤其是对于计算密集型应用,比如天气预报建模、数据采集、数据仿真、数字影象设计、空气动力学建模等等。而对于行业应用,如电信、金融、 IDC/ASP/ISP应用、移动电话基站、视频点播、Web主机操作及实验室系统等,刀片服务器依然能大显身手。刀片服务器的出现使其在2001年底的服务器市场上占据一块相对于机架式服务器来说不算小的市场份额。而随着2002年技术的发展尤其是InfiniBand技术开始扮演重要角色,刀片服务器将逐渐成为主流服务器并占据较大的市场份额。
刀片服务器的使用范围相当广泛。下面我们列出两个典型的应用模式进行简单的介绍。
应用模式1:网站Web服务器
这种方式可充分发挥刀片服务器密度高、可群集以及可远程管理的优势。网站可以用刀片服务器组成高密度的群集,用来实现高访问量的Web服务器,后端再连接中高端的服务器或群集系统作为数据库服务器。存储服务提供商可以采用同样的前端方案,后端配合NAS设备来提供存储服务。与普通机架服务器相比,刀片服务器在这类应用中的优势在于占用机位少,可有效节省托管费用。
应用模式2:中小企业网络服务器
当前的企业网络需求是多方面的,需要类型多样的服务,其中有些服务可以安装在一台机器上,而有些则需要使用至少一台备份机器或者群集。与之相对应,任何一个刀片系统既可以独立运行,也可以与其他服务器组成群集或互为备份。根据企业的实际需要进行搭配。这种方式可充分发挥刀片服务器易管理、配置灵活和可扩展性好的优势。 使用刀片服务器进行群集并与存域网相结合,这可以胜任大数据量吞吐的数据库并行处理。对于企业来说,这种高密度不仅节约了宝贵的机柜空间,还节约了布线成本,并可节电,从而降低对UPS的要求。
塔式服务器应该是大家见得最多,也最容易理解的一种服务器结构类型,因为它的外形以及结构都跟我们平时使用的立式PC差不多,当然,由于服务器的主板扩展性较强、插槽也多出一堆,所以个头比普通主板大一些,因此塔式服务器的主机机箱也比标准的ATX机箱要大,一般都会预留足够的内部空间以便日后进行硬盘和电源的冗余扩展。
由于塔式服务器的机箱比较大,服务器的配置也可以很高,冗余扩展更可以很齐备,所以它的应用范围非常广,应该说目前使用率最高的一种服务器就是塔式服务器。我们平时常说的通用服务器一般都是塔式服务器,它可以集多种常见的服务应用于一身,不管是速度应用还是存储应用都可以使用塔式服务器来解决。
就使用对象或者使用级别来说,目前常见的入门级和工作组级服务器基本上都采用这一服务器结构类型,一些部门级应用也会采用,不过由于只有一台主机,即使进行升级扩张也有个限度,所以在一些应用需求较高的企业中,单机服务器就无法满足要求了,需要多机协同工作,而塔式服务器个头太大,独立性太强,协同工作在空间占用和系统管理上都不方便,这也是塔式服务器的局限性。不过,总的来说,这类服务器的功能、性能基本上能满足大部分企业用户的要求,其成本通常也比较低,因此这类服务器还是拥有非常广泛的应用支持。
机架式服务器的外形看来不像计算机,而像交换机,有1U(1U=175英寸)、2U、4U等规格。机架式服务器安装在标准的19英寸机柜里面。这种结构的多为功能型服务器。
对于信息服务企业(如ISP/ICP/ISV/IDC)而言,选择服务器时首先要考虑服务器的体积、功耗、发热量等物理参数,因为信息服务企业通常使用大型专用机房统一部署和管理大量的服务器资源,机房通常设有严密的保安措施、良好的冷却系统、多重备份的供电系统,其机房的造价相当昂贵。如何在有限的空间内部署更多的服务器直接关系到企业的服务成本,通常选用机械尺寸符合19英寸工业标准的机架式服务器。机架式服务器也有多种规格,例如1U(445cm高)、2U、4U、6U、8U等。通常1U的机架式服务器最节省空间,但性能和可扩展性较差,适合一些业务相对固定的使用领域。4U以上的产品性能较高,可扩展性好,一般支持4个以上的高性能处理器和大量的标准热插拔部件。管理也十分方便,厂商通常提供人相应的管理和监控工具,适合大访问量的关键应用,但体积较大,空间利用率不高。
第一章 总则
本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。
1将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
2定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
3通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
4使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
5在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
第二章 网络系统概况
21 网络概况
这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。
211 网络概述
这个企业的局域网,物理跨度不大,通过千兆交换机在主干网络上提供1000M的独享带宽,通过下级交换机与各部门的工作站和服务器连结,并为之提供100M的独享带宽。利用与中心交换机连结的Cisco 路由器,所有用户可直接访问Internet。
212 网络结构
这个企业的局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中,我们基于安全的重要程度和要保护的对象,可以在 Catalyst 型交换机上直接划分四个虚拟局域网(VLAN),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。(图省略)
22 网络应用
这个企业的局域网可以为用户提供如下主要应用:
1.文件共享、办公自动化、WWW服务、电子邮件服务;
2.文件数据的统一存储;
3.针对特定的应用在数据库服务器上进行二次开发(比如财务系统);
4.提供与Internet的访问;
5.通过公开服务器对外发布企业信息、发送电子邮件等;
23 网络结构的特点
在分析这个企业局域网的安全风险时,应考虑到网络的如下几个特点:
1网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。
。
2网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。
3内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。
4网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。
总而言之,在进行网络方案设计时,应综合考虑到这个企业局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。
第三章 网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对这个企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个企业局域网的实际情况,我们将具体的分析网络的安全风险。
31物理安全风险分析
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
32网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
公开服务器面临的威胁
这个企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务;每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中,只使用了一台路由器,用作与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
33系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT 或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
34应用的安全风险分析
应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全动态的、不断变化的:应用的安全涉及面很广,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
35管理的安全风险分析
管理是网络安全中最重要的部分
管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
36黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入UNIX服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
37通用网关接口(CGI)漏洞
有一类风险涉及通用网关接口(CGI)脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过 CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常,这些CGI脚本只能在这些所指WWW服务器中寻找,但如果进行一些修改,他们就可以在WWW服务器之外进行寻找。要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力,提高服务器备份与恢复能力,提高站点内容的防篡改与自动修复能力。
38恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。
39病毒的攻击
计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。
310不满的内部员工
不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
311网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
第四章 安全需求与安全目标
41安全需求分析
通过前面我们对这个企业局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1大幅度地提高系统的安全性(重点是可用性和可控性);
2保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7分布实施。
42网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即:
威严的法律:安全的基石是社会法律、法规、与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。
严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
43系统安全目标
基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标:
建立一套完整可行的网络安全与网络管理策略
将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信
建立网站各主机和服务器的安全保护措施,保证他们的系统安全
对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝
加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为
加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完 整的系统日志
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
第五章 网络安全方案总体设计
51安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
52安全服务、机制与技术
安全服务:安全服务主要有:控制服务、对象认证服务、可靠性服务等;
安全机制:访问控制机制、认证机制等;
安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
第六章 网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理
61物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
在网络的安全方面,主要考虑两个大的层次,一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。
621网络结构
安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。
网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。
网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。
622网络系统安全
6221 访问控制及内外网的隔离
访问控制
访问控制可以通过如下几个方面来实现:
1制订严格的管理制度:可制定的相应:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
2配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。
防火墙主要的种类是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。
防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
6222 内部网不同网络安全域的隔离及访问控制
在这里,主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。
6223 网络安全检测
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。检测工具应具备以下功能:
具备网络监控、分析和自动响应功能
找出经常发生问题的根源所在;
建立必要的循环过程确保隐患时刻被纠正;控制各种网络安全危险。
漏洞分析和响应
配置分析和响应
漏洞形势分析和响应
认证和趋势分析
具体体现在以下方面:
防火墙得到合理配置
内外WEB站点的安全漏洞减为最低
网络体系达到强壮的耐攻击性
各种服务器操作系统,如E_MIAL服务器、WEB服务器、应用服务器、,将受黑客攻击的可能降为最低
对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人员误操作的侵害
6224 审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
6225 网络防病毒
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。
网络反病毒技术包括预防病毒、检测病毒和消毒三种技术:
1预防病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控
上传速度:即单位时间内,网络数据的上行流量。
网络数据传输分为发送数据和接受数据两部分。上传就是向外部发送数据。下载为从外部接受数据。
上传速度决定了单位时间内向外发送数据的快慢,受网络带宽和设备性能制约
“下载速率”就是在使用下载软件,如迅雷,快车,BTCOMET等下载工具,对网络资源进行下载这一过程中的下载速度,也就是即时速度,它以“KB/S”的形式来表达。
网络是由节点和连线构成,表示诸多对象及其相互联系。在数学上,网络是一种图,一般认为专指加权图。网络除了数学定义外,还有具体的物理含义,即网络是从某种相同类型的实际问题中抽象出来的模型。在计算机领域中,网络是信息传输、接收、共享的虚拟平台,通过它把各个点、面、体的信息联系到一起,从而实现这些资源的共享。网络是人类发展史来最重要的发明,提高了科技和人类社会的发展。
在1999年之前,人们一般认为网络的结构都是随机的。但随着Barabasi和Watts在1999年分别发现了网络的无标度和小世界特性并分别在世界著名的《科学》和《自然》杂志上发表了他们的发现之后,人们才认识到网络的复杂性。
利用网络,人们不仅可以实现资源共享,还可以交换资料、保持联系、进行娱乐等。现在很多人的生活和工作已经和网络密不可分了。网络的实现,使单一的、分散的计算机有机地连成一个系统,它主要有以下功能:
1、资源共享
网络的主要功能就是资源共享。共享的资源包括软件资源、硬件资源以及存储在公共数据库中的各类数据资源。网上用户能部分或全部地共享这些资源,使网络中的资源能够互通有无、分工协作,从而大大提高系统资源的利用率。
2、快速传输信息
分布在不同地区的计算机系统,可以通过网络及时、高速地传递各种信息,交换数据,发送电子邮件,使人们之间的联系更加紧密。
3、提高系统可靠性
在网络中,由于计算机之间是互相协作、互相备份的关系,以及在网络中采用一些备份的设备和一些负载调度、数据容错等技术,使得当网络中的某一部分出现故障时,网络中其他部分可以自动接替其任务。因此,与单机系统相比,计算机网络具有较高的可靠性。
4、易于进行分布式处理
在网络中,还可以将一个比较大的问题或任务分解为若干个子问题或任务,分散到网络中不同的计算机上进行处理计算。这种分布处理能力在进行一些重大课题的研究开发时是卓有成效的。
5、综合信息服务
在当今的信息化社会里,个人、办公室、图书馆、企业和学校等,每时每刻都在产生并处理大量的信息。这些信息可能是文字、数字、图像、声音甚至是视频,通过网络就能够收集、处理这些信息,并进行信息的传送。因此,综合信息服务将成为网络的基本服务功能。
惠普推动绿色刀片策略造绿色数据中心
随着国家政策对节能降耗要求的提高,节能降耗正成为国家、全社会关注的重点。而IT能耗在所有的电力使用当中所占比重的不断上升,已经使其成为社会提倡节能降耗主要领域之一。做为全球领先的IT公司和一家具有强烈社会责任感的企业,惠普公司积极倡导“绿色IT”的理念,并加大研发,推出了一系列的针对绿色IT的创新技术和产品。10月26日,惠普公司在香山饭店举办了“绿色刀片”的研讨会,介绍了惠普公司新一代数据中心以及新一代刀片系统BladeSystem c-Class在供电散热等方面的绿色创新技术以及环保节能优势,并推出了针对绿色数据中心的完整解决方案。
长期以来,更强大的数据中心处理能力一直是我们追求的目标。但在能源开销与日俱增的今天,处理能力发展的另一面是需要消耗更多的资源。而且随着服务器密度的不断增大,供电需求也在相应增加,并由此产生了更多的热量。在过去的十年中,服务器供电密度平均增长了十倍。据IDC预测,到2008年IT采购成本将与能源成本持平。另一方面,数据中心的能耗中,冷却又占了能耗的60%到70%。因此,随着能源价格的节节攀升,数据中心的供电和冷却问题,已经成为所有的数据中心都无法回避的问题。
惠普公司十几年来一直致力于节能降耗技术的研究,并致力于三个层面的创新:一是数据中心层面环境级的节能技术;二是针对服务器、存储等IT产品在系统层面的绿色设计;三是对关键节能部件的研发,如供电、制冷、风扇等方面的技术创新。目前,来自惠普实验室的这些创新技术正在引领业界的绿色趋势。针对数据中心环境层面,惠普推出了全新的动态智能冷却系统帮助客户构建新一代绿色数据中心或对原有数据中心进行改造;在设备层面,惠普的新一代绿色刀片服务器系统以能量智控(Thermal Logic)技术以及PARSEC体系架构等方面的创新成为未来数据中心节能的最关键基础设施;同时这些创新技术体现在一些关键节能部件上,如Active Cool(主动散热)风扇、动态功率调整技术(DPS, Dynamic Power Saver)等。惠普公司的绿色创新将帮助客户通过提高能源效率来降低运营成本。
HP DSC精确制冷 实现绿色数据中心
传统数据中心机房采用的是平均制冷设计模式,但目前随着机架式服务器以及刀片服务器的出现和普及,数据中心出现了高密度服务器与低密度混合的模式,由于服务器的密度不均衡,因而产生的热量也不均衡,传统数据中心的平均制冷方法已经很难满足需求。造成目前数据中心的两个现状:一是目前85%以上的机房存在过度制冷问题;二在数据中心的供电中,只有1/3用在IT设备上,而制冷费用占到总供电的2/3 。因此降低制冷能耗是数据中心节能的关键所在。
针对传统数据中心机房的平均制冷弊端,惠普推出了基于动态智能制冷技术的全新解决方案——“惠普动态智能冷却系统”(DSC, Dynamic Smart Cooling)。动态智能冷却技术的目标是通过精确制冷,提高制冷效率。DSC可根据服务器运行负荷动态调控冷却系统来降低能耗,根据数据中心的大小不同,节能可达到20 %至45%。
DSC结合了惠普在电源与冷却方面的现有创新技术,如惠普刀片服务器系统 c-Class架构的重要组件HP Thermal Logic等技术,通过在服务器机架上安装了很多与数据中心相连的热能探测器,可以随时把服务器的温度变化信息传递到中央监控系统。当探测器传递一个服务器温度升高的信息时,中央监控系统就会发出指令给最近的几台冷却设备,加大功率制冷来降低那台服务器的温度。当服务器的温度下降后,中央监控系统会根据探测器传递过来的新信息,发出指令给附近的冷却设备减小功率。惠普的实验数据显示,在惠普实验室的同一数据中心不采用DSC技术,冷却需要117千瓦,而采用DSC系统只需要72千瓦。
惠普刀片系统:绿色数据中心的关键生产线
如果把数据中心看作是一个“IT工厂”,那么“IT工厂”节能降耗不仅要通过DSC等技术实现“工厂级”环境方面的节能,最重要的是其中每一条“生产线”的节能降耗,而数据中心的生产线就是服务器、存储等IT设备。目前刀片系统以节约空间、便于集中管理、易于扩展和提供不间断的服务,满足了新一代数据中心对服务器的新要求,正成为未来数据中心的重要“生产线”。因此刀片系统本身的节能环保技术是未来数据中心节能降耗的关键所在。
惠普公司新一代绿色刀片系统HP BladeSystem c-Class基于工业标准的模块化设计,它不仅仅集成了刀片服务器和刀片存储,还集成了数据中心的众多要素如网络、电源/冷却和管理等,即把计算、存储、网络、电源/冷却和管理都整合到一起。同时在创新的BladeSystem c-Class刀片系统中,还充分考虑了现代数据中心基础设施对电源、冷却、连接、冗余、安全、计算以及存储等方面的需求。
在标准化的硬件平台基础上,惠普刀片系统的三大关键技术,更令竞争对手望尘莫及。首先是惠普洞察管理技术——它通过单一的控制台实现了物理和虚拟服务器、存储、网络、电源以及冷却系统的统一和自动化管理,使管理效率提升了10倍,管理员设备配比达到了1:200。第二是能量智控技术——通过有效调节电力和冷却减少能量消耗,超强冷却风扇相对传统风扇降低了服务器空气流40%,能量消耗减少50%。最后是虚拟连接架构——大大减少了线缆数量,无需额外的交换接口管理。允许服务器额外增加、可替代、可移动,并无需管理员参与SAN和LAN的更改。
目前,惠普拥有完整的刀片服务器战略和产品线,既有支持2路或4路的ProLiant刀片服务器,也有采用安腾芯片的Integrity刀片系统,同时还有存储刀片、备份刀片等。同时,惠普BladeSystem c-Class刀片服务器系统已得到客户的广泛认可。根据IDC发布的2006年第四季度报告显示,惠普在刀片服务器的工厂营业额和出货量方面都占据了全球第一的位置。2007年第二季度,惠普刀片市场份额472%,领先竞争对手达15%,而且差距将会继续扩大。作为刀片市场的领导者,惠普BladeSystem c-Class刀片系统将成为数据中心的关键基础设施。
PARSEC体系架构和能量智控:绿色生产线的两大核心战略
作为数据中心的关键基础设施,绿色是刀片系统的重要发展趋势之一,也是数据中心节能的关键所在。HP BladeSystem c-Class刀片系统的创新设计中,绿色就是其关键创新技术之一,其独特的PARSEC体系架构和能量智控技术就是这条绿色生产线的两大关键技术。
HP PARSEC体系结构是惠普刀片系统针对绿色策略的另一创新。目前机架服务器都采用内部几个小型局部风扇布局,这样会造成成本较高、功率较大、散热能力差、消费功率和空间。HP PARSEC(Parallel Redundant Scalable Enterprise Cooling)体系结构是一种结合了局部与中心冷却特点的混合模式。机箱被分成四个区域,每个区域分别装有风扇,为该区域的刀片服务器提供直接的冷却服务,并为所有其它部件提供冷却服务。由于服务器刀片与存储刀片冷却标准不同,而冷却标准与机箱内部的基础元件相适应,甚至有时在多重冷却区内会出现不同类型的刀片。配合惠普创新的 Active Cool风扇,用户就可以轻松获得不同的冷却配置。惠普风扇设计支持热插拔,可通过添加或移除来调节气流,使之有效地通过整个系统,让冷却变得更加行之有效。
惠普的能量智控技术(Thermal Logic)是一种结合了惠普在供电、散热等方面的创新技术的系统级节能方法,该技术提供了嵌入式温度测量与控制能力,通过即时热量监控,可追踪每个机架中机箱的散热量、内外温度以及服务器耗电情况,这使用户能够及时了解并匹配系统运行需求,与此同时以手动或自动的方式设定温度阈值。或者自动开启冷却或调整冷却水平以应对并解决产生的热量,由此实现最为精确的供电及冷却控制能力。通过能量智控管理,客户可以动态地应用散热控制来优化性能、功耗和散热性能,以充分利用电源预算,确保灵活性。采用能量智控技术,同样电力可以供应的服务器数量增加一倍,与传统的机架堆叠式设备相比,效率提升30%。在每个机架插入更多服务器的同时,所耗费的供电及冷却量却保持不变或是减小,整体设计所需部件也将减少。
Active Cool风扇、DPS、电源调整仪:生产线的每个部件都要节能
惠普BladeSystem c-Class刀片系统作为一个“绿色生产线”,通过能量智控技术和PARSEC体系架构实现了“生产线”级的节能降耗,而这条生产线上各组成部件的技术创新则是绿色生产线的关键技术保障。例如,深具革新意义的Active Cool风扇,实现智能电源管理的ProLiant 电源调整仪以及动态功率调整等技术。
风扇是散热的关键部件。风扇设计是否越大越好?答案是否定的。市场上有的刀片服务器产品采用了较大型的集中散热风扇,不仅占用空间大、噪音大,冗余性较差、有漏气通道,而且存在过渡供应、需要较高的供电负荷。
惠普刀片服务器中采用了创新的Active Cool(主动散热)风扇。Active Cool风扇的设计理念源于飞行器技术,体积小巧,扇叶转速达136英里/小时,在产生强劲气流的同时比传统型风扇设计耗电量更低。同时具有高风量(CFM)、高风压、最佳噪音效果、最佳功耗等特点,仅使用100瓦电力便能够冷却16台刀片服务器。这项深具革新意义的风扇当前正在申请20项专利。Active Cool风扇配合PARSEC散热技术,可根据服务器的负载自动调节风扇的工作状态,并让最节能的气流和最有效的散热通道来冷却需要的部件,有效减少了冷却能量消耗,与传统散热风扇相比,功耗降低66%,数据中心能量消耗减少50%。
在供电方面,同传统的机架服务器独立供电的方式相比,惠普的刀片系统采用集中供电,通过创新的ProLiant 电源调整仪以及动态功率调整等技术实现了智能电源管理,根据电源状况有针对性地采取策略,大大节省了电能消耗。
ProLiant 电源调整仪(ProLiant Power Regulator)可实现服务器级、基于策略的电源管理。电源调整议可以根据CPU的应用情况为其提供电源,必要时,为CPU应用提供全功率,当不需要时则可使CPU处于节电模式,这使得服务器可以实现基于策略的电源管理。事实上可通过动态和静态两种方式来控制CPU的电源状态,即电源调整议即可以设置成连续低功耗的静态工作模式,也可以设置成根据CPU使用情况自动调整电源供应的动态模式。目前电源调整议可适用于AMD或英特尔的芯片,为方便使用,惠普可通过iLO高级接口显示处理器的使用数据并通过该窗口进行配置操作。电源调整议使服务器在不损失性能的前提下节省了功率和散热成本。
惠普创新的动态功率调整技术(DPS, Dynamic Power Saver)可以实时监测机箱内的电源消耗,并根据需求自动调节电源的供应。由于电源在高负荷下运转才能发挥最大效力,通过提供与用户整体基础设施要求相匹的配电量, DPS进一步改进了耗电状况。例如,当服务器对电源的需求较少时,可以只启动一对供电模块,而使其它供电模块处于stand by状态,而不是开启所有的供电单元,但每个供电单元都以较低的效率运行。当对电源需求增加时,可及时启动STAND BY的供电模块,使之满足供电需求。这样确保了供电系统总是保持最高效的工作状态,同时确保充足的电力供应,但通过较低的供电负荷实现电力的节约。通过动态功率调整技术,每年20个功率为0075/千瓦时的机箱约节省5545美元。
结束语
传统数据中心与日俱增的能源开销备受关注,在过去十年中服务器供电费用翻番的同时,冷却系统也为数据中心的基础设施建设带来了空前的压力。为了解决节节攀升的热量与能源消耗的难题,惠普公司创新性地推出了新一代绿色刀片系统BladeSystem c-Class和基于动态智能制冷技术DSC的绿色数据中心解决方案,通过惠普创新的PARSEC体系架构、能量智控技术(Thermal Logic)以及Active Cool风扇等在供电及散热等部件方面的创新技术来降低能耗,根据数据中心的大小不同,这些技术可为数据中心节能达到20 %至45%。
0条评论