曙光KVMOVERIP解决方案摘要:KVM(Keyboard、Video、Mouse)目前是非常通用的计算机机房和信息中心的管理工具,而基于IP的数字化KVM(KVMOVERIP)是KVM的最新一代产品,它可以支持将KVM信号在IP网络上传输从而实现用户在Internet上对远端主机进行KVM控制的设想。本方案详细介绍了曙光公司的KVMOVERIP系统解决方案的特点和优势,为用户实现了跨平台、跨区间、跨行业的全面的KVM解决方案。关键字:KVM、模拟、数字、SKVM1.方案背景1.1.引言作为实现服务器控制集中化和标准化的重要设备,KVM(Keyboard、Video、Mouse)系统目前在绝大多数网络操作中心(NOC)以及互联网数据中心(IDC)中成为固定设备。在数字化KVM设备出现之前,模拟KVM切换设备作为实现KVM功能的标准设备,已被广泛应用。模拟式KVM切换器通过切换专用线缆上的模拟视频、鼠标与键盘信号实现服务器的集中管理。虽然模拟KVM装置有助于简化高密度服务器的管理,但其对使用距离的限制(需要将使用控制台放置在服务器附近),妨碍了模拟式KVM的使用范围;同时,模拟KVM能够支持的用户数有限。这些局限性限制了模拟KVM的控制范围和可扩展性。基于IP的数字化KVM系统作为向标准化和灵活的集中化迈进的一部分,不仅克服了传统模拟KVM系统的局限性,也为管理不同种类的分布式网络提供了可能。KVMoverIP系统,充分利用了现有的以太网和其他IP网络,从而取代了对专用电缆和信号系统的依赖。为确保路由能力,KVM系统必须使用真正的IP协议,而不是仅仅将IP网络用来传输专用模拟信号。这种基于IP的连接有四大优点:1,它充分利用了现有的基础设施,不再需要覆盖专用连接以确保本地和远程管理的控制和通信。2,基于IP的连接消除了模拟KVM系统的距离和其他限制,并因此实现了灵活的集中化管理。3,由于数字KVM信令是基于IP协议的,网络管理员能够通过网页浏览器,在数据中心或全球的任何地方用任何一台电脑来控制服务器和其他设备。这也意味着无需进行复杂的重新配置即可添加或改变任何数量的用户和设备。4,客户端软件可以充分利用IP技术以提供丰富的管理控制,包括进程共享、服务器状态监控、模拟多平台键盘以及集中式日志记录。为满足在分布式网络中控制多个设备的需求,一些用户选择在目标设备上安装远程控制软件。此类控制软件能够使管理员远程发布命令、检索性能和其他信息。远程控制软件方案存在几个缺点。首先,这些纯软件的解决方案要求目标设备上已经成功载入操作系统,如果操作系统没有正常载入,则远程控制软件无法正常工作。而最严重的问题通常是在没有载入操作系统时发生的,这种情况下软件解决方案几乎失去作用。其次,很多情况下,系统管理员或者远端操作者需要监视、控制甚至中断操作系统的启动过程,基于操作系统的远程控制软件无法实现这些需求。最后,远程控制软件必须安装于每个操作系统平台,从而产生了资源占用和计算负担。与之对照,KVMoverIP系统通过简单的Web或基于客户的软件控制台实现了电脑、网络硬件甚至串口设备的一对多控制,从而简化了远程服务器的管理。与在远程装置上的软件相反,所需的仅仅是一个IP地址。1.2.KVMoverIP系统实现在KVMoverIP系统中,最大的挑战来自于视频信号的压缩与传输。以分辨率1024x768,刷新率75Hz,32位真彩色视频显示输出为例,其信号传输带宽高达1.75Gb/sec,远远高于局域网及广域网所能提供的传输带宽。实用的KVMoverIP系统需要在局域网中,提供高于1500:1的视频压缩比率;在广域网中,提供高于6000:1的压缩比率;同时,KVMoverIP系统必须在实现高比率视频压缩的同时,在客户端提供足够清晰的视频还原。图1所示为KVMoverIP系统视频压缩流程示意图。其中,帧间比对与数据压缩算法通常是各公司的专有技术,也是直接决定客户端还原视频质量的重要因素。此外,KVMoverIP系统客户端软件所能够提供的功能,对于管理员日常管理以及排除目标设备故障也至关重要。客户端软件需要提供的关键功能包括:能够在所管理的不同目标设备间方便、快速切换。在客户端操作窗口中,快速准确的校准目标设备的鼠标。提供客户端键盘操作“宏定义”,取代客户端操作时所需要发送的组合键,例如Ctrl+Alt+Del。实际上,客户端计算机会将Ctrl+Alt+Del组合键截获,从而无法将其发送给目标设备。同时,客户端软件需要提供给使用者录制键盘“宏定义”的功能,以便用户定制特定的组合键操作。基于IP的KVM解决方案所需考虑的另一项关键因素是安全性。实际上,不同于模拟KVM所使用的专用封闭电缆,KVMoverIP系统通过共享网络进行传输这一特性使得系统安全性至关重要。衡量KVMoverIP系统安全性的关键因素包括:许可权限:并非所有的用户都需要赋予同样的权限。某些用户可能只需有浏览目标设备状况的权限,另一些用户可能需要控制目标设备,而高权限用户不仅需要控制目标设备,同时需要控制其他用户的帐号与权限,甚至重新配置KVMoverIP系统。从安全性的角度出发,基于IP的KVM系统必须能够提供差异化的用户权限。用户认证:在建立远端操作连接之前,用户必须经过必要的认证过程。审计日志:记录服务器的每次访问和断开,以备系统管理员查询。数据加密:在客户端与KVM设备间所传输的所有数据,包括键击和鼠标的移动,必须经过加密。加密密钥:随每个KVMoverIP话路的终止而终止。最后,基于以下两点因素,对用户客户端与KVM设备间的数据传输流量进行压缩同样重要:由于基于IP的KVM系统通常使用共享网络,如果数据传输没有经过适当的压缩,基于IP的KVM系统会占用既有网络的大量带宽,从而给用户的其他网络应用带来负面影响或冲击。数据压缩能够提高KVMoverIP系统自身的性能。在用户客户端与KVM设备间所需传输的数据包越少,客户端操作键盘与鼠标时产生的延迟就越短,从而提高了用户的可用性。2.曙光SKVMoverIP系统2.1.性能比较优势图2所示为曙光SKVMoverIP系统连接拓扑结构图。与国外同类产品相比,曙光SKVMoverIP系统在系统容量、系统可扩展性以及系统可用性方面均有优势,是一款部署方便,性价比较高的产品。系统容量:在目前市场上,KVMoverIP的产品种类较多,但是每台KVMoverIP终端所能控制的节点服务器数量非常有限(通常不超过32台)。曙光大规模SKVMoverIP系统采用通过5类网线连接的菊花链(daisychain)拓扑结构,配合曙光SKVMMultiplexer(多路器)扩展系统规模,最终可通过一台控制终端,控制多达1024台节点服务器,从而为使用者提供部署方便、性价比最高的产品。系统可扩展性:目前市场上,KVMoverIP产品均采用星型连接拓扑结构。此种连接方式不仅控制节点服务器的数量有限,同时可扩展性欠佳,用户在扩充系统规模时,往往面临既有投资浪费的可能性。曙光大规模SKVMoverIP系统采用菊花链连接方式,可以满足大、中、小机房的不同需求。使用者可方便的在原有系统的基础上增加节点服务器的数量,扩充系统规模,并且不会造成既有投资的浪费。同时,菊花链连接方式减少了线缆缠绕问题,十分适合高密度的安装需求。曙光SKVMoverIP系统全面兼容已有的SKVMCIM节点模块,既有曙光SKVM用户可轻松实现原有模拟KVM系统的数字化升级。系统可用性:曙光SKVMoverIP系统在单一解决方案中,集成了基于IP的数字化KVM以及传统的模拟KVM切换器。在某些情况下,例如系统管理员在服务器附近进行系统维护时,仍然会希望使用模拟KVM进行操作。集成基于IP的KVM以及模拟KVM的单一解决方案将给用户管理目标设备带来便利。用户不必选用和维护两套独立的KVM系统,也不必为了得到数字化KVM在远端管理上的便利而牺牲使用模拟KVM。同时,曙光SKVMoverIP系统可支持PS/2以及USB接口服务器混合使用。2.2.使用特性曙光SKVMoverIP系统拥有优良的性能与便利的操作性。基于硬件的视频处理与压缩算法,可最大限度的有效利用网络带宽,并提高远端操作的响应速度;支持高分辨率,最高可达1600x1200@85Hz;支持多种视频格式,包括VGA,SVGA,XGA,SXGA以及UXGA。对于初次连接的目标服务器,需要且仅需要进行一次视频自动调整。在视频自动调整过程中,系统将自动测量该目标服务器视频图像的噪音水平,如图3所示。此时客户端视频图像将被冻结直至自动视频调整完成。根据测量所得到的图像噪音水平,系统针对该目标服务器设置合理的图像噪音过滤阈值,并自动保留这些参数。在之后的远端操作过程中,如果服务器视频图像的变化小于此噪音过滤阈值,则系统认为是噪音,而不会传送任何数据;只有当服务器视频图像变化大于此噪音过滤阈值时,如鼠标正在移动或正在进行文本操作,系统才会对视频图像数据进行压缩、加密和传输。如果噪音过滤阈值设置为零,即不对视频图像进行任何过滤,系统可能会不停刷新图像,这样既占用耗费大量的网络带宽,同时也会导致鼠标跟踪困难而无法使用。通过设置噪音过滤的方式能够最大限度的减少数据传输量,也就是减少SKVMoverIP系统对网络带宽的占用;同时能够提高远端操作的实时响应速度,减少不必要的操作延时。曙光SKVMoverIP系统提供先进快捷的控制切换功能。使用者可预先对目标服务器命名。在通过客户端远程访问时,可方便的通过点击目标服务器名称或标号进行切换。如图4所示,只需要点击位于工具条服务器列表中,与目标服务器对应的标号或者相应名称,即可切换至相应的目标服务器。不需要进行复杂的设置,也无需使用OSD菜单。在目前的KVMoverIP市场中,只有少数厂商的高端产品提供类似的便捷切换功能,并且大多是需要额外购买的昂贵管理软件。在键盘“宏定义”方面,曙光SKVMoverIP不仅提供丰富的预定义“宏”,并且使用者可自由定制自己所需的键盘“宏定义”。如图5所示,点击“开始录制”后,系统会记录下使用者所进行的所有键盘操作,直至点击“停止录制”,系统将根据记录下的键盘操作生成使用者所需的键盘“宏定义”序列。在系统安全性方面,曙光SKVMoverIP设备通过内置的L2TP/IPSECVPN连接提供市场同类产品中较高等级的数据安全性。所有传输的数据均经过基于硬件的3-DES(168bit)以及AES(128bit)数据加密,并可兼容标准第三方VPN客户端。在使用者许可权限方面,系统支持三级不同权限用户:系统管理员模式具有最高的使用者权限,可进行所有操作并可随时接管当前其他低权限用户的操作;用户模式权限次之,使用用户模式不能进行鼠标属性设置、视频调整、用户帐号设置以及电源管理;浏览模式权限最低,只能进行浏览而无法进行键盘、鼠标操作。此外,曙光SKVMoverIP设备提供审计日志功能,如图6所示。审计日志记录了安全报警、系统报警、配置变更以及用户活动信息,包括登陆用户IP地址、用户连接时间以及主要操作等。3.附件3.1.相关编纂人员介绍鄂强所学专业:电子、电路设计所在单位:曙光公司研发部硬件组所做工作:曙光公司KVM系统以及硬件系统的研发工作