某房產中介服務器托管及安全方案（上）

作者：王春海 2016-12-14 14:59:40

某公司是河北較大的房產中介公司，在省會有150多個中介門店，每個店有5～10多臺不等的工作站。該公司服務器托管在江西的雙線機房(前幾年石家莊沒有專業的雙線機房)，在初期交果較好。但現在隨著業務量的增加，各門店反應連接江西服務器的速度不穩定，有時快有時慢，還有的時候不能連接，已經影響了公司的業務。

某公司是河北較大的房產中介公司，在省會有150多個中介門店，每個店有5～10多臺不等的工作站。

公司較早使用了計算機及網絡進行管理，這包括公司的人事系統、出租、出售房源的登記、查找、交易系統。各門店主要是聯通的線路，也有一部分使用電信或鐵通線路。為了進行房源的登錄、查找、交易等，公司專門開發了一臺管理B/S架構的管理系統，通過網絡進行管理。服務器托管在江西的雙線機房(前幾年石家莊沒有專業的雙線機房)，在初期交果較好。但現在隨著業務量的增加，各門店反應連接江西服務器的速度不穩定，有時快有時慢，還有的時候不能連接，已經影響了公司的業務。

[[178937]]

1.中介服務器托管解決方案概述

為了解決這個問題，公司準備新購買一臺服務器，并將服務器托管在石家莊當地的雙線機房(通過網絡將江西的數據庫及相關數據下載到本地新服務器上)，最后通過修改DNS的方式，更改DNS的A記錄，來實現線路從江西切換到石家莊。

因為新購買服務器配置較高(擬購買Dell R720、2個6核心CPU(Intel E5-2620)、32GB內存、4到6塊硬盤做RAID10)，也為了提高托管服務器的安全性，準備采用虛擬化技術，將網站及數據庫放在虛擬機中，在虛擬機前安裝Forefront TMG 2010軟件防火墻，增加安全性。另外，在Forefront TMG發布網站時，可以增加"時間限制"，只讓各門店在每天早晨7點到晚上9點能瀏覽后臺網站，其他時間則不能瀏覽業務網站。采用虛擬化后網絡拓撲如圖7-88所示。

圖7-88 某房產中介服務器托管方案

在本方案中，需要用到3個合法的IP地址，有兩個電信的IP地址、1個聯通的IP地址，其中1個電信的IP地址配置在VMware ESXi主機上，用于管理，另外1個電信及1個聯通的IP地址，配置在Forefront TMG的虛擬機中，用于業務網站(由TMG轉發到由其保護的后臺網站虛擬機中)。

在本方案中，我們為服務器安裝VMware ESXi 5.1的系統，之所以不用5.5的版本是由于在vSphere Client中，只能管理虛擬機硬件版本為9的虛擬機，不能修改虛擬硬件版本為10的虛擬機。但在vSphere Client 5.5客戶端中，可以將VMware ESXi 5.5的虛擬機升級到虛擬硬件版本10，這樣使用傳統的客戶端將不能修改該虛擬機配置，只能使用vSphere Web Client，但vSphere Web Client需要vCenter Server的支持，在只有一臺VMware ESXi時，使用vCenter Server意義不大。對于大多數的用戶來說，在單臺VMware ESXi時，使用VMware ESXi 5.1與5.5，區別不大。

在本案例中，我們將通過以下主要內容介紹：

Dell R410/710/910系列服務器RAID配置。
使用VMware ESXi 5.1的Dell專用版本安裝。
配置VMware ESXi存儲、時間、網絡。
模板及各虛擬機的準備。
配置Forefront TMG虛擬機并安裝相關系統。
配置網站與數據庫虛擬機并安裝配置相關系統。
客戶端測試。

2.Dell服務器配置RAID方法(略)

在下面的截圖中，服務器安裝了4塊600GB的硬盤，準備劃分為RAID10(以實現較高的IOPS值)，其中第1個分區為30GB用于安裝VMware ESXi，剩余的空間為第2個分區，用做VMware ESXi數據存儲。

如果你要使用的U盤啟動服務器，并通過U盤安裝系統，請按F2鍵進入CMOS設置，在"Boot Settings"，將Boot Mode從UEFI改為BIOS，如圖7-97所示，這樣才能用大多數U盤啟動。

圖7-97 修改引導模式

3.使用Dell專用版本安裝VMware ESXi

在Dell、HP等較新型號的服務器上安裝VMware ESXi 5.x時，需要使用VMware公司專門為這些服務器定制的版本，如果使用通用版本，則會提示找不到網卡(如圖7-98所示)，造成安裝失敗。

圖7-98找不到網卡

目前VMware公司專門為Dell定制的5.x版本有5.0、5.1、5.5系列，文件名分別為VMware-VMvisor-Installer-5.0.0-504890.x86_64-Dell_Customized_RecoveryCD_A04.iso、VMware-VMvisor-Installer-5.1.0.update01-1065491.x86_64-Dell_Customized_RecoveryCD_A00.iso、VMware-VMvisor-Installer-5.5.0-1331820.x86_64-Dell_Customized_A01.iso，大小分別為293M、308M、327MB。VMware專門為HP定制的5.x版本有5.1及5.5，文件名分別為VMware-ESXi-5.1.0-799733-HP-5.32.5.iso、VMware-ESXi-5.5.0-1331820-HP-5.71.3-Sep2013.iso，大小分別為316M到342M，下載之后的文件名、大小如圖7-99所示。

圖7-99 VMware ESXi各版本

如果是IBM或其他的服務器，則使用VMware官方的安裝程序(文件名為VMware-VMvisor-Installer-5.1.0-799733.x86_64.iso、大小為300M或VMware-VMvisor-Installer-5.5.0-1331820.x86_64.iso、大小為325M)安裝即可。不能將HP或Dell的安裝鏡像用于其他的服務器(可能有的時候也可以，但有的時候會有提示這是某某服務器專用版本，不適合當前的服務器)。

在選擇了正確的鏡像之后，可以通過刻錄光盤、使用啟動U盤加載對應的ISO鏡像(例如使用"電腦店U盤啟動工具"制作的啟動U盤，只要將VMware ESXi安裝光盤鏡像放在啟動U盤的DND文件夾中，當U盤啟動后，選擇搜索DND目錄中的啟動文件，并選擇對應的版本啟動即可)、或者通過配置TFTP服務器從網絡引導安裝，或者使用服務器的管理工具，例如HP的iLO、IBM的IMM等加載鏡像，或者使用KVM加載鏡像。無論使用何種方式，啟動VMware ESXi之后，將系統安裝在上一節所規劃創建的30GB分區上即可，這些不再介紹。在安裝完VMware ESXi之后，按F2進入控制臺，先暫時為ESXi設置一個管理地址，例如192.168.222.250，在搬去機房前暫時使用這個地址進行管理、配置，等配置完成之后，再修改為機房分配的地址。

根據圖7-88所規劃的，服務器的第1、2塊網卡連接電信的網線，第3、4塊網卡連接網通的網線。而直接通過Internet遠程管理的地址亦是一個電信的地址，另2個地址將用來Forefront TMG的虛擬機。所以在設置暫時的管理地址192.168.222.250時，選擇管理網卡為第1、2網卡。

【說明】由于服務器有4塊網卡，所以每2個網卡作為一組，共分兩組。在將服務器托管到機房后，只要在第1、2網卡中的其中一個連接到電信交換機上，將第3、4網卡其中一個連接到網通交換機即可。

在安裝配置好VMware ESXi管理地址之后，在"配置→網絡"中，修改第1個標準交換機vSwitch0的"虛擬機端口組"為dx(表示"電信"的意思);然后添加第2個標準交換機(綁定第3、第4塊網卡)，修改虛擬機端口組為wt(表示"網通"的意思);添加第3個標準交換機(不使用網卡)，修改虛擬機端口組為lan，如圖7-100所示。