【正文】 SNMP 陷阱管理器或陷阱接收器也應安裝在管理服務器上。必須仔細選擇管理工具和應用程序，以遠程提供幾乎所有的管理功能。因為本章的主題是管理系統(tǒng)，所以我們把被管理的系統(tǒng) — 站點本身 — 表示為云狀。中央管理通常是由主服務網(wǎng)絡完成的。每臺計算機都能管理整個站點。 按需查詢被管理設備的資源，查看它們當前的配置、狀態(tài)和性能數(shù)據(jù)。因為管理服務器收集大量信息（每天數(shù)據(jù)多達數(shù)千兆），所以該信息通常存儲在單獨的計算機，即后端服務器上。管理服務器負責： 監(jiān)控能改進基礎結(jié)構(gòu)的每一件事情，并在問題發(fā)生前先識別它們。 允許獨立擴展。本節(jié)中要解決的主要內(nèi)容：運作人員在部署、調(diào)整和運作 Web 站點系統(tǒng)方面面臨挑戰(zhàn)。管理與運作簡介站點對網(wǎng)絡和不間斷服務的依賴，向保證正在運行的服務的可用性、健壯性和性能的操作人員，施加了相當壓力。預先規(guī)劃安全，并根據(jù)它評估實現(xiàn)期望的保護的風險和成本，是非常重要的。Microsoft 的“護照”服務 () 提供了另一種高級的客戶身份驗證方法?；?LDAP 的目錄服務器 — 通常為可伸縮性和可用性而克隆的 — 位于 DMZ 中用于支持身份驗證，有時也用于授權。為了防止篡改，Web 服務器應使用密鑰來標記 cookie。Microsoft 的 SQL Server 關系型數(shù)據(jù)庫加強了 ANSI/ISO SQL 標準，它指定用戶不能查看或修改數(shù)據(jù)，除非數(shù)據(jù)的擁有者授予其許可。由于某些訪問路徑必須通過防火墻開放才能合法訪問數(shù)據(jù)，因此這個解決方案并非萬能的，并可能將性能降低到無法接受的程度。另一方面，這些頁面的破環(huán)行為會嚴重降低用戶對站點的信心。單獨的后端網(wǎng)絡通常支持 DMZ 內(nèi)的所有服務器。監(jiān)控必須定期監(jiān)控（審查）平臺，以保證配置和策略不會偏離最初的安全配置。第三方網(wǎng)絡和系統(tǒng)安全掃描工具，是保證站點服務器的有效安全配置的另一個重要的輔助內(nèi)容。無需重新啟動，按 IP 地址/子網(wǎng)進行有選擇的端口防范是可行的。Cisco 在其某些可用于檢測網(wǎng)絡入侵的路由器上提供了 NetFlows 功能，但當前沒有很好的分析工具支持。 性能 — 對非常高性能的網(wǎng)絡進行實時監(jiān)控仍不可行。換句話說，HTTPS 通常從 HTTP 隔離出來，并由特殊的前端服務器支持。由于美國商業(yè)部 (DOC) 施加的出口限制，目前有兩個加密版本。管理 LAN 本身的安全至關緊要。這樣防止從 Internet 直接訪問內(nèi)部網(wǎng)絡，并且允許為每個 NIC 配置過濾器，從而將通信限制為只適合服務器所需的類型。網(wǎng)絡隔離出于安全性，DMZ 中的內(nèi)部數(shù)據(jù)網(wǎng)應該隔離，同時增加帶寬。支持有限的商業(yè)對商業(yè)或其他遠程服務的虛擬專用網(wǎng)絡 (VPN) 也可能是需要的。常用的防火墻包括 Cisco 的 PIX 或 Check Point 的 Firewall1。防火墻類型防火墻通常在網(wǎng)絡協(xié)議層發(fā)揮功能，并將許可的源/目的 IP 地址和端口（協(xié)議，如 HTTP 或 SMTP）之外的所有網(wǎng)絡通信排除在外。 面向內(nèi)部的防火墻，它從安全的內(nèi)部網(wǎng)絡中分離出 DMZ 通信，同時對這些網(wǎng)絡中有限數(shù)量的加固系統(tǒng)和服務提供可控制的訪問。）接下來我們考慮復雜的 Web 應用程序所需的客戶身份驗證和授權。此外，盡管大型站點固有的復雜性或由安全控制附加的復雜性，實現(xiàn)最簡單的用戶和管理接口是很重要的。在整個域的應用一致的控制是必要的，整個域可能包含網(wǎng)絡、平臺和應用程序?qū)右约坝蛑兴泄δ芎徒M件。然后，在幸存服務器上重新啟動故障服務器的工作?！癕icrosoft 群集服務”使多個 SQL 數(shù)據(jù)庫和文件共享可共享 RAID 設備，這樣如果主文件或數(shù)據(jù)庫服務器故障，將有備份服務器自動在線以替代其地位。如示例站點所示，首要技術是通過多個 ISP 擁有多個 Internet 連接。前端系統(tǒng)的可用性如第四節(jié)中關于可伸縮性的描述指出的那樣，當克隆技術與 NLBS 負載平衡和無狀態(tài) Web 服務器的使用相耦合時，克隆技術可用于提供高度可用的前端 Web 服務。這些冗余組件可用于創(chuàng)建多個通信路徑、多個提供相同服務的服務器、以及在事件中替代故障服務器的備用服務器。在此模型中，Web 瀏覽器真正聯(lián)機訪問駐留在內(nèi)部網(wǎng)絡上的傳統(tǒng)應用程序。為了支持脫機（非實時）事務處理，需要將事務數(shù)據(jù)從 DMZ 異步傳輸?shù)絻?nèi)部網(wǎng)絡。內(nèi)容提供商。擴展的另一個方法是將后端系統(tǒng)提供的服務，分區(qū)為向客戶機提供服務的功能專業(yè)化系統(tǒng)。與用于擴展前端系統(tǒng)的克?。◤椭朴布?、軟件和數(shù)據(jù)）不同，分區(qū)只復制硬件和軟件，而將數(shù)據(jù)分布在各個節(jié)點。RFC 2109（“HTTP State Management Mechanism”（HTTP 狀態(tài)管理機制），可從 ）描述了 HTTP cookie 協(xié)議。配置不同子網(wǎng)上的多個 NLBS 群集，并將 DNS 配置為在多個 NBLS 群集順序分布請求，是可能的。該方法的優(yōu)點是：無成本、易于實現(xiàn)，并且不需要變動服務器。進行負荷平衡有三種主要技術：下圖表示，如圖 5 所示的小型站點，應如何擴大才能支持更多客戶和更多內(nèi)容。最底層分類，和在業(yè)務邏輯復雜方面最簡單的，是內(nèi)容提供商類?？缮炜s性簡介圖 4 例舉了站點可伸縮性的兩個不同維度。摘要下面章節(jié)使用前例的模型，詳細討論本文檔所描述的體系結(jié)構(gòu)如何滿足這四個目標：這些是用單獨的 NIC 實現(xiàn)的。這將在根據(jù)需求的基礎上支持端對端的安全性，這樣可以節(jié)約 VPN 硬件支持的成本。其他功能與 DMZ 群集類似。這些內(nèi)容已超出本文檔的范圍。安全網(wǎng)絡另一道防火墻形成了 DMZ 的內(nèi)部邊界，并將所謂的安全網(wǎng)絡與后端網(wǎng)絡隔離開。當失效的服務器恢復聯(lián)機時，可以繼續(xù)數(shù)據(jù)服務。這種體系結(jié)構(gòu)可防止從 Internet 直接訪問 DMZ 服務器，即使防火墻被突破，因為不允許 Internet 路由器轉(zhuǎn)發(fā)指定的 IP 地址范圍（請參閱 （專用 Internet 的地址分配）），包括范圍 。 后端網(wǎng)絡 — 訪問 DMZ 服務器，并通過內(nèi)部防火墻訪問安全網(wǎng)絡。Web 群集通過添加克隆體分擔群集的負荷來支持廣闊的可伸縮性。還可以將“站點服務器商業(yè)版”裝載到前端服務器上，以提供附加的數(shù)據(jù)庫驅(qū)動的服務。DMZ前端網(wǎng)絡上的服務器是面向 Internet 的。我們的示例列舉了多個標記為 ISP 1 ISP N 的冗余連接。圖 3 展示了示例站點的體系結(jié)構(gòu)。 每個 IIS Web 群集的克隆體。在大部分災難情況下，提供不間斷的服務需要在多個地理位置 (geoplex) 上復制整個站點。因此，應用程序工程師必須十分熟悉部署和運行應用程序的操作環(huán)境。 管理系統(tǒng)的核心結(jié)構(gòu)組件為管理控制臺、管理服務器和管理代理。防火墻的范圍可以從數(shù)據(jù)包過濾器（只允許指定 IP 端口和/或一系列 IP 地址之間的數(shù)據(jù)通信）到應用程序級防火墻（實際檢查數(shù)據(jù)的內(nèi)容并決定是否讓其通過）。當然，不會有沒有保護的后門！對于大型商務站點，城墻稱為站點的邊界。對于商務站點，主要的劃分方式可適當按照 Internet、站點的 DMZ、安全性、企業(yè)和管理網(wǎng)絡。數(shù)據(jù)庫復制和日志轉(zhuǎn)移通常用于將對數(shù)據(jù)庫的事務性更新轉(zhuǎn)移到遠程站點的地方。被動站點在發(fā)生災難后才提供服務。例如，用戶應該總能通過用戶憑據(jù)的復制登錄至聯(lián)機郵件服務，然后使用克隆的“簡單郵件傳輸協(xié)議 (SMTP)”路由器發(fā)送郵件，即使用戶的郵件文件是無效的。分區(qū)故障轉(zhuǎn)移，即服務自動切換到二級節(jié)點（退回未完成的事務），可提供持續(xù)的分區(qū)可用性。通常，數(shù)據(jù)是按對象分區(qū)的，如郵箱、用戶帳戶或生產(chǎn)線等。后端系統(tǒng)后端系統(tǒng)是維護應用程序數(shù)據(jù)的數(shù)據(jù)存儲，也是啟用與其他維護數(shù)據(jù)資源的系統(tǒng)的連通性的數(shù)據(jù)存儲。（由于客戶機狀態(tài)可以完全分區(qū)，因此也易于擴展。由于每個克隆體在本地復制存儲，因此，所有更新必須應用到所有克隆體上。例如，瀏覽器可如此分類：支持 HTML 的，如 Microsoft Internet Explorer ；支持動態(tài) HTML (DHTML) 的，如 Internet Explorer ；以及支持 Extensible Markup Language (XML) 的，如 Internet Explorer 。大型商務 Web 站點的原理圖 1 展示了商務 Web 站點的概念和基本原理，這些內(nèi)容將在本節(jié)的以下部分詳細說明。商務站點使用多個安全域，其中包括具有不同安全性需求的系統(tǒng)，每個域均受到網(wǎng)絡過濾器或防火墻保護。使后端系統(tǒng)具有高度可用性更具挑戰(zhàn)性，主要是因為它們維護著數(shù)據(jù)或狀態(tài)。帶狀態(tài)的或內(nèi)容敏感的負荷平衡系統(tǒng)則將請求路由到正確的后端系統(tǒng)。 管理的簡便性和完整性 — 確保運作能夠滿足增長的需求。這種增長的基礎為支持高度可用性的堅實的體系結(jié)構(gòu)、安全基礎結(jié)構(gòu)和管理基礎結(jié)構(gòu)?！绑w系結(jié)構(gòu)概述”介紹一些對于大型 Web 站點很重要的體系結(jié)構(gòu)概念。強調(diào)保持 Web 站點簡便靈活的運作和應用程序設計，以及“.”如何能夠成功地以必要而有效的可伸縮性、可用性、安全性和可管理性來部署和運作站點。本文檔定義了構(gòu)建 Windows DNA 站點的體系結(jié)構(gòu)。最后，將討論使用 Microsoft 工具和技術管理 Web 站點。不僅在支持的獨特用戶的數(shù)量上不斷增加，這種增長非常迅速，而且在提供的用戶服務的復雜性和集成性方面也不斷增長。這種體系結(jié)構(gòu)，通過克隆或復制與無狀態(tài)負荷平衡系統(tǒng)（使負荷在可用的克隆體之間分配）相耦合的前端系統(tǒng)，擴展其支持的獨特用戶的數(shù)量。負荷平衡用于在克隆體之間分配負荷。復制品還可通過在遠程位置上成為可用，來提高站點的可用性。因此，系統(tǒng)的管理和監(jiān)控必須遠程完成。通常，最終用戶鍵入第一個 URL，例如，然后單擊超級鏈接或完成 Web 頁上的表單以便向站點深處導航。它們運行相同的軟件，并通過內(nèi)容復制或高度可用的文件共享訪問相同的 Web 內(nèi)容、HTML 文件、ASP、腳本等。維護客戶機狀態(tài)我們不希望在克隆前端系統(tǒng)中維護客戶機狀態(tài)，因為這與透明客戶機故障轉(zhuǎn)移和負荷平衡相抵觸。數(shù)據(jù)還可以存儲在 URL 中，并在用戶單擊顯示的 Web 頁上的鏈接時返回。對于提高的可用性，群集 — 通常由兩個訪問公共的、復制的或 RAID （獨立盤的冗余數(shù)組）保護的存儲器的節(jié)點組成 — 將支持每個分區(qū)。不過，分區(qū)的選擇將決定訪問模式及其產(chǎn)生的負荷。該應用程序軟件完成帶狀態(tài)負荷平衡。災難承受系統(tǒng)要求將站點的副本或部分副本放在離主站點足夠遠的地方，這樣，在整個災難中失去多個站點的概率會小到可承受的程度。此處的基本方法是：將內(nèi)容從中央升級服務器復制到遠程站點的升級服務器，更新每個站點的內(nèi)容。這一概念的應用程序有助于確保在正確的場合應用正確的保護級別。Internet 好象中世紀的城堡及其周邊環(huán)境：在其城墻之外，很少有法律約束并有各種不拘一格的個性。附加的圍墻和加鎖的門或墻中墻，提供了附加保護。管理基礎結(jié)構(gòu)站點管理系統(tǒng)通常構(gòu)建在單獨的網(wǎng)絡上，以確保高度可用。管理代理與管理服務器使用標準的或?qū)Ｓ玫膮f(xié)議相互通信。我們的示例以一個大型站點為例，并展示了拓撲結(jié)構(gòu)和組件冗余。不需要很高可用性的站點只要刪除冗余的元素，特別是圖中從 Internet ISP 1 開始的整個上半部分。 DMZ 網(wǎng)絡（中）。 與企業(yè)網(wǎng)的連接（閃電狀）。RRDNS 的缺點是不能檢測出 ISP 連接的消失而繼續(xù)為不再工作的 IP 地址提供服務。高速前端交換機支持到前端 Web 群集中的每臺服務器的連接。在示例站點中運行 Windows 2000 的每個 Web 群集均使用 NLBS（網(wǎng)絡負荷平衡服務 — 在 Windows NT 中也稱為 Windows 負荷平衡服務）。每個前端服務器均特殊加強了安全性并連接到三個網(wǎng)絡：用于面向 Internet 的 NIC（網(wǎng)絡接口卡）的 IP 過濾，可確保只有被支持的功能的正確通信類型和源，才能進入前端服務器。通過添加群集和分區(qū)數(shù)據(jù)庫可實現(xiàn)可伸縮性。除服務器物理地址外，群集還具有多個虛擬 IP 地址，以支持群集本身和每個群集服務地址對（用于冗余）。為了支持其他功能，在本節(jié)中可能還需要其他服務器。安全數(shù)據(jù)存儲安全 SQL 群集是可選的，并只為更復雜的事務性站點中所需。通常有很多機制可用，包括 Microsoft Content Replication（Microsoft 內(nèi)容復制系統(tǒng)）和諸如 RoboCopy 等工具。另外，Internet 本身也可能用于傳輸，這種情況下使用 VPN 技術確保所有通信的安全非常重要。用于緊急帶外 (OOB) 訪問的串口撥號連接也沒有顯示。 數(shù)據(jù)和基礎結(jié)構(gòu)的安全性 — 保護數(shù)據(jù)和基礎結(jié)構(gòu)免受惡意攻擊或盜用。我們已經(jīng)標識了三個主要類別。首先，我們關注擴展獨特客戶和內(nèi)容，然后再看業(yè)務復雜性的增加。但請注意，這涉及重要的應用程序狀態(tài)考慮，我們將在后面討論。 服務器內(nèi)部使用 Windows 2000 的 NLBS 的智能 IP 負荷平衡。目前的限制是服務器不能動態(tài)調(diào)整負荷，重組是根據(jù)服務器故障進行的而不是根據(jù)應用程序失效進行的（盡管第三方工具，如 NetIQ 和 Microsoft 的 HTTPMon，可用于削弱這些限制）。不能動態(tài)平衡客戶機請求的負荷。但是，在某些情況這不再可能，或不希望對單個系統(tǒng)的可用性有如此大的數(shù)據(jù)依賴性。但是，這種責任通常落在應用程序工程師頭上，他們將數(shù)據(jù)分散在業(yè)務對象上，而隨著數(shù)據(jù)大小和工作量的不斷增長，業(yè)務對象也將均勻分布在數(shù)量不斷增加的服務器上。擴展業(yè)務復雜性下圖說明了隨著集成到系統(tǒng)的業(yè)務過程數(shù)量的增長和業(yè)務過程聯(lián)機性的增長，對系統(tǒng)安全性和數(shù)量的需求也隨之增長。圖 8. “內(nèi)容提供商”模型脫機事務處理。MSMQ 既能支持異步通訊又能保證消息可靠傳遞，所以對這種類型的交互很有用。這些交互類型需要認真設計，并且盡量減少其數(shù)量。我們在下面的章節(jié)中討論增加服務可用性的基礎構(gòu)件。但是當 IIS Web 服務器掛起時，則必須通過監(jiān)控工具檢測。在站點內(nèi)，交換機和路由器應以這樣的方式相互連接，即每個服務總有多條路徑與之連接。心跳在專用網(wǎng)絡（如群集心跳網(wǎng)絡所示）上通過專用 NIC 發(fā)送。由于保護機制永遠不會是完美的，所以檢測機制（監(jiān)控和審核）將在可能的入侵發(fā)生時產(chǎn)生報警或觸發(fā)響應（糾正操作）。沒有必要對整個站點應用最高