深入探討 SCOM 2007 管理技術

System Center Operations Manager 2007

發佈日期: 2007 年 7 月 25 日

作者: 顧武雄

引由於去年出版過一本 MOM 2005 的技術手冊,因此在 SCOM 2007 上市發表不久後,便有讀者寫 Email 問我有關於 MOM 2005 與 SCOM 2007 的差異性,然而究竟新版的 SCOM 2007 有甚麼樣的魅力,可以促使新舊的企業 IT 選擇導入它呢?

本頁內容

新版 SCOM 2007 與舊版 MOM 2005 的超級比一比
關於 SCOM 2007 閘道伺服器 (Gateway Server) 的介紹與部署
開始部署 SCOM 2007 閘道伺服器
安裝與使用 Gateway Approval 工具
建構永續運作的 SCOM 2007 高可用性架構
結論

距今大約兩年以前顧武雄老師就已經在許多的研討會上,以及各大 IT 雜誌的專欄中,呼籲每一位想要真正做好 IT 維運工作的管理人員要用 MOM!要用 MOM!要用 MOM!你們沒聽嘛~所以到目前為止每一天都得留下加班,想早點回家陪老婆、陪小孩、看七點檔的哆啦ㄟ夢這當然是不可能的事。

上述的言論只是一則飯後的玩笑話,不過在實際資訊技術的應用中,對於企業 IT 系統的管理可以說真是合久必分分久必合之情勢,而 SCOM 2007 便是在這一塊領域中,扮演著協助企業 IT 統一天下的一只神兵利器。

全新打造的 SCOM 2007 除了額外提供了 IT 進階管理使用的 Windows PowerShell 命令介面之外,在圖形介面的使用上也做了相當大幅度的全新設計,一方面將原有的監視與管理設定主控台合二為一之外,另一方則是改善了原先操作管理上的複雜度,讓管理人員從各種的組態配置到後續的維運監視都更加直覺化。整體來看在 [Operations Console] 的介面中由左至右可以區分為工具列區、導覽窗格、導覽按鈕、結果呈現窗格、詳細資訊窗格、動作窗格等七大區域,而在導覽按鈕部分中的每一項功能用途分別由上而下說明如下:

  • Monitoring (監視):整個受 SCOM 2007 管理的系統、服務、應用程式、裝置、效能等等,只要是管理員想要檢視的即時資訊例如:拓樸架構圖、警示項目、電腦狀態都可以立即呈現,並且可以針對目前觸發的警示項目立即檢視該產品知識庫、公司知識庫等資訊,以及立即點選位在 [動作] 窗格中的工作命令來馬上診斷或解決警示的問題所在。

  • Authoring (製作):如圖 1 所示所有各種端點對端點的即時診斷設定都可以在此介面中來一一新增定義,而對於企業內現存的各種分散式系統的監控設計 (例如:EIP、ERP、CRM、EIM) 同樣都可以在此迅速完成設定,至於其它更細微的各種監控規則的新增定義,例如你想要持續監控某一部伺服器的 CPU 與記憶體的效能臨界值,或者是某一項特定事件項目的發生時來觸發警示等等,這一些都可以在此來依照 IT 的實際需求來一一定義。

  • Reporting (報告):這一項元件是選用的安裝功能,當我們將它安裝在包含有 SQL Server 2005 Reporting Services 的環境中之後,管理員便會在 Operations Console 的介面中檢視到此 [Reporting] 導覽按鈕,在這裡頭除了可以隨時調閱任何時間範圍內的各種管理組件預設報表 (例如:Windows Server、SQL Server、Exchange Server),也可以將自己設計的報表上傳進來,另外不同的 IT 管理人員也可以預先訂閱所關切的報表項目,讓這一些報表資訊可以依照排程定期或立即的傳送到你的 Email 信箱之中。

  • Administration (管理):如圖 2 所示凡是有關於管理群組、IT 權限配置、管理伺服器、代理程式的部署、管理組件的建立與匯入、各種系統組態的配置等等,全部都可以透過此導覽窗格的各個節點項目來進行設定即可。

  • My Workspace (我的工作區):在中大型以上的企業裡想必 IT 管理人員不會只有一位,而是會有不同權責範圍的管理人員,因此每一位 IT 所關切的監控內容也相對會不一樣,藉由我的工作區這一項導覽窗格便可以讓每一位 IT 預先規劃好所有需要監控的項目,徹底掌握好自己的管轄範圍不是問題!

SCOM 2007 管理主控台- Authoring。

圖 1:SCOM 2007 管理主控台- Authoring。

SCOM 2007 管理主控台- Administration。

圖 2:SCOM 2007 管理主控台- Administration。

上述所介紹的一個簡單的 [Operations Console] 管理介面,究竟可以讓企業 IT 掌握到哪一些系統的運作狀態呢?答案是:「任何系統」。哇!很多可能會質疑說:「這可能嗎?」。事實上只要所要監控的系統廠商,有提供整合 SCOM 的連接器程式以及專屬的管理組件 (MP),哪怕異質系統是 UNIX、ORACLE、DB2、Novell、Apache Web Services、F5、SAP 等等,如圖 3 所示一個介面搞定所有端點對端點的監控需求。

企業營運系統端對端監控。

圖 3:企業營運系統端對端監控。

需要升級現有的 MOM 2005 嗎?

如果你的企業 IT 環境中早已經部署了 MOM 2005 在協助你監控整個 IT 營運的工作了,那麼我可以告訴你新版的 SCOM 2007 將可以更加廣泛與更俐落的解決企業網路中所有從伺服端到用戶端的問題,因為當 SCOM 2007 在察覺任一受監控的系統或用戶端應用程式發生異狀時,將會立即產生相關的警示並且在第一時間內通知相對的管理人員,一旦該問題被順利被排除之後 SCOM 2007 也會在診斷無誤之後自動在主控台中關閉此警示項目,這便是最新端點對端點 (Endto-End Monitoring) 全自動化的透視監控技術所帶來的效益。

此外因應企業資安法規遵循稽核管理的需求,在 SCOM 2007 中還提供了一項稽核收集服務 (ACS,Audit Collection Services),讓資安人員可以輕易的透過各類稽核報表的統計與分析,完全掌握整個 Windows 網路環境的安全稽核狀況。

新版 SCOM 2007 與舊版 MOM 2005 的超級比一比

System Center Operations Manager 2007 相較於前一版 Microsoft Operations Manager 2005,無論在許多功能面上的新特色或架構上的改良設計都遠遠超越了許多,在表 1 中說明了兩者在這一些方面的基本比較,隨後則是深入有關於 SCOM 2007 在個別架構設計上的新特色說明。

SCOM 2007 與 MOM 2005 基本比較表

表 1:SCOM 2007 與 MOM 2005 基本比較表

以服務導向的監控技術

針對 Operations Manager 系統來說全新服務導向的監控技術是一項相當大的突破,因為在前一版的 MOM 2005 中主要是專注在以個別伺服器健康狀態的監控為主,而沒有全面性的考量到與它相關聯並且是同樣分散在企業中的應用程式與服務。如圖 4 所示在 SCOM 2007 管理主控台中我們可以清楚的看到,無論目前的 IT 營運系統架構為何,在一個以分散式應用系統為主的架構設計中,管理員已經可以很輕易的經由這種以服務模型為導向的視覺化監控技術,來輕鬆的掌握整個分散式系統的維運工作,因為只要目前運作中的任一環節出現問題 (例如:前端應用程式、後端資料庫、儲存裝置、網路元件等等),管理員便可以在第一時間立即查覺並且迅速解除掉可能延伸的後續問題。

企業 IT 營運服務的監控。

圖 4:企業 IT 營運服務的監控。

模擬交易 (Synthetic Transaction) 的診斷功能

在 SCOM 2007 管理功能中還提供了一項不需要額外安裝管理組件以及代理程式的模擬交易 (Synthetic Transaction) 的監控方法,它所能夠用來監測連線可用性的目標包含了一般的網站應用程式、ASP.NET 應用程式、ASP.NET Web Service、TCP 通訊埠的測試、各種現有的 Windows 服務以及支援 OLEDB 連線存取方式的資料庫,其中在網站應用程式的診斷部份還可以進一步針對各種細部的診斷進行條件與流程的配置,例如特定網頁的回應狀態、登入驗證的連線回應、特定連線回應的代碼等等。

如圖 5 所示便是針對經由 OLEDB 連線的資料庫伺服器,其中還包含了針對特定資料庫的指定,接著還可以指定要從哪一個受管理的電腦節點來持續進行這一項連線測試,如此一來一旦該資料庫發生無法正常存取時便可以在 [Monitoring] 的頁面中來發現到相關警示。至於如果系統診斷出此問題已經排除,那麼同樣的該警示項目也將會被自動關閉。而如圖 6 所示的操作介面則是 SCOM 2007 所全新提供針對網站應用程式診斷的設計工具。

設定監控的資料庫來源。

圖 5:設定監控的資料庫來源。

針對網站應用程式的診斷設計界面。

圖 6:針對網站應用程式的診斷設計界面。

緊接著另一個範例我們則是以監控一個 Windows 的服務可用性來作說明。在開啟 [AddMonitoring Wizard] 精靈工具介面之後,我們以選取 [Windows Service] 為例,首先你必須輸入一個對於此服務監控的識別名稱以及此設定所要儲存的目的地管理組件。接著便可以透過點選瀏覽按鈕來選取所要監控的伺服器與相對應的服務,例如筆者想針對 SMS 2003 R2 的核心服務 [SMS_EXECUTIVE] 進行監控。

如圖 7 所示後續一旦發生所監控的服務沒有在正常執行的狀態下時,便會收到相關的警示通知。此刻管理員可以直接嘗試點選右邊工作窗格中的 [Start NT Service] 連結來遠端啟動該服務,一旦成功完成了該服務的啟動則此警示項目也將會自動設定為已解決的狀態,然後從 [Active Alerts] 的窗格之中消失。

針對網站應用程式的診斷設計界面。

圖 7:檢視 Windows 服務警示。

以模組為基礎的架構設計

在 SCOM 2007 的核心設計中主要是架構在 SDM (System Definition Model) 的技術上。這一些模組使得所有受管理的個體之間關係更加容易被定義,同時也允許讓其它的工具或應用程式來使用或進行功能的延伸。

SCOM 2007 執行在兩個基本的模組類型之上,分別是服務模組與健康模組。服務模組主要用以定義受監控的物件 (例如:某一個網站服務),如何去探索到它們、它們如何與其它的個體物件產生相依性或關聯性以及建立它們的唯一性,然而服務模組可以是個別的伺服器、應用程式、分散式應用程式或服務。

至於健康模組則是針對在受管理的物件中有哪一些事件或效能計數器將被監控。總而言之服務模組與健康模組都將是被結合在管理組件之中 (MP),讓特定的事件可以依照監控規則的定義來觸發相關的警示資訊,並且可以針對不同受監控的物件來執行專屬的工作命令。

  • WS-Management 通訊協定支援

    SCOM 2007 目前支援 WS-Management 工業標準的管理通訊協定。針對跨越整個 IT 架構的系統的存取與資訊交換的管理,可以藉由一個通用的方法那就是 WS-Management 來滿足在 IT 營運管理成本與複雜度上的降低。

  • SNMP V2 支援

    在前一版的 MOM 2005 中僅支援了 SNMP Trap 的監視,而在 SCOM 2007 中則是支援了對於整個SNMP V2堆疊的支援,這包含了 Polling 與 Trap 的監視。這功能將使得 SCOM 2007 不僅能夠接收來自 Trap 的封包,並且能夠主動的去探索網路中的其它支援 SNMP 的裝置或異質系統。

在 SCOM 2007 系統預設的安裝中由於提供了一個 [SNMP Library] 的管理組件,因此可以監控 SNMP 網路設備的一般問題,這包含了重大的連線警示、如圖 28 所示的可用性分析、設備組態的異動報表以及各類事件的分析報告,至於如果需要能夠更加全面性的細部控管特定設備的運作,例如流量的分析、各通訊埠口的診斷等等,則必須搭配由相對協力廠商所提供的管理組件方能達成管理的目的。

  • 自我效能臨界值校調 (Self-Tuning Thresholds)

    在 MOM 2005 的使用中如果想要針對不同的 IT 環境進行效能臨界值的校調是一件相當不容易的事,而在 SCOM 2007 中可以讓我們建立自我校調的臨界值。在自我校調的臨界值功能中,主要是藉由過去系統運作的活動當中來設定一個最高與最低的臨界值,如此一來系統將會在運作效能超過這一些正常值時發出相關的警示通知。

  • 以 XML 為基礎的管理組件設計

    全新的 SCOM 2007 在管理組件 (MP,Management Pack) 的設計部分,主要是從過去獨家的 AKM 檔案格式改由以標準 XML 檔案格式的方式來完成,這樣將使得管理組件更具有延展性並且形成以模組為基礎的方式來進行管理,同時也讓許多協力廠商或企業的研發人員,可以更輕易的針對其它非微軟的應用系統來發展其它專屬的管理組件。

此外對於一些現有已經在使用中的 MOM 2005 管理組件,雖然檔案格式不同但是也可以經由 SCOM 2007 所提供的一支簡易的轉換工具 (MPConvert.exe) 來完成 XML 格式的轉換。此外對於自訂管理組件的建立,管理員只要透過 SCOM 2007 管理主控台中的製作 (Authoring) 工具,以及相關現有的管理組件樣版即可輕易的迅速製作完成。

關於 SCOM 2007 閘道伺服器 (Gateway Server) 的介紹與部署

在 SCOM 2007 中所提供的 Gateway Server 角色,可以讓 [Operations Manager] 中的探索精靈工具經由它來探索到位在工作群組、單向網域信任以及未在信任網域中的成員電腦,並且也同時作為目標電腦與管理伺服器之間的溝通橋梁。

在工作群組的環境中管理員需要針對代理程式的目標電腦與閘道伺服器之間的通訊安裝好憑證,如果是在網域的環境中則必須將閘道伺服器安裝在與目標電腦相同的網域中,如此一來此伺服器才能夠成為負責探索目標電腦的角色。

至於在管理伺服器與閘道伺服器之間的容錯備援的架構設計部分,當發生了閘道伺服器原先連線的管理伺服器無法連線時,此刻如果有預先建置好的另一部在管理群組中的管理伺服器,則閘道伺服器將會自動完成容錯移轉的作業。然而如果今天發生的是閘道伺服器因故停機,則同樣的這一些受管理電腦的代理程式也將會自動完成容錯移轉到另一部備援的閘道伺服器。另外值得注意的是在資料傳輸的安全性設計部分,管理伺服器與閘道伺服器之間的通訊都是全程加密的。

開始部署 SCOM 2007 閘道伺服器

關於閘道伺服器的安裝必須執行一支名為 MOMGateway.msi 的安裝程式,而這支程式便是位在安裝光碟中的 gateway\i386 資料夾裡 (或是 amd64),以下說明執行此安裝程式之後的相關設定說明。

  • 在開啟 [Welcome to the System Center Operations Manager Gateway Setup wizard] 視窗之後請點選 [Next] 繼續,接著在 [Destination Folder] 的頁面中可以決定安裝的目標路徑,只要點選 [Change] 按鈕即可修改。

  • 接著來到了 [Management Group Configuration] 頁面中你必須供 SCOM 2007 伺服器的連線資訊,請分別輸入管理群組名稱 (Management Group Name)、管理伺服器 (Management Server)、管理伺服器通訊埠 (Management Server Port),其中在通訊埠部分除非管理員有變更過預設值,否則是不需要做修改的。

  • 接著在 [Gateway Action Account] 的頁面中,可以選擇 [Local System] 或是 [Domain or local computer] 來指定動作帳戶。最後請在 [Ready to Install] 的頁面中點選 [Install] 即可完成安裝。

安裝與使用 Gateway Approval 工具

完成了閘道伺服器的安裝之後,緊接著還必須在管理伺服器上安裝一支名為 Gateway Approval 的小工具,如此一來雙方才能夠形成一個連線溝通的管道。關於此工具的安裝非常簡單,只要從 SCOM 2007 安裝光碟中的 \Support Tools 資料夾裡的 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 檔案複製到 SCOM 2007 的安裝路徑即可,系統預設路徑為 Program Files\System Center Operations Manager 2007。

完成了 Gateway Approval 工具程式的安裝之後,必須在命令提示列中切換到 SCOM 2007 的安裝路徑之下,執行該程式並且搭配相關參數來完成必要的組態配置工作,以下說明相關的必要與選用參數使用方法:

  • 必要的參數設定

    /ManagementServerName = 設定管理伺服器的 FQDN 網址

    /GatewayName = 設定閘道伺服器的 FQDN 網址

  • 選用的參數設定

    /SiteName = 用以指定閘道伺服器所在的 Active Directory 站台名稱

    /Action={Create|Delete} = 用來指定建立或刪除閘道伺服器

建構永續運作的 SCOM 2007 高可用性架構

SCOM 2007 在拓樸架構的設計上並非只能夠針對單點 IT 營運網路的規劃,而是可以依照擁有多點分公司網路的組織架構需求,藉由管理群組 (Management Group) 的分區設計,進而將位在各分公司的每一部管理伺服器 (Management Server) 完成如網狀般的部署,以達到IT營運的集中控管目標進而提升 IT 運作效率與大幅降低企業總營運成本。

除了可以藉由管理群組的規劃方式來達到延伸企業 IT 環境集中監控的目的之外,針對 SCOM 2007 不間斷的高可用性部署部分,我們還可以對於各點分公司的受管理電腦代理程式配置安全邊界,以便於可以在代理程式無法與原先的管理伺服器進行連線通訊時,迅速切換到未在相同管理群組中的其它持續運作中的管理伺服器,達到重要資訊回報不中斷與持續監控的目的。

在 SCOM 2007 預設運作的狀態下,如果受管理電腦上的代理程式無法回報資訊到原有預設的管理伺服器中,將會立即嘗試連線到位在相同管理群組中的其它管理伺服器,此外還可以針對安全性層面的考量之下,預先進一步設定好哪一些代理程式在發生容錯移轉時可以自動切換連線的管理伺服器。

在實際部署上只要當我們在相同的管理群組中擁有兩部以上的管理伺服器時,在部署受管理電腦上的代理程式過程中,無論採用大量自動安裝或是手動安裝的部署方式,都可以設定預設連接的管理伺服器是哪一部,而代理程式也將會在發生容錯移轉時自動切換到目前任何可以正常連線的管理伺服器上繼續運作。

無論如何你還可以在完成部署之後隨時透過 SCOM 專屬的 Shell 命令視窗,來下達 Set-ManagementServer 命令與相關參數,來決定哪一些管理伺服器可以在發生容錯移轉時來進行備援的連線目的。

在如圖 8 所示的架構示意圖中是一個典型的無縫隙備援規劃方法,最上層的根管理伺服器可以集中收集到來自旗下各點管理伺服器所回報回來的各類事件、警示以及效能等資訊。緊接著接下來的四部管理伺服器上我們還可以將它們一分為二,來將負責用戶端電腦與伺服端主機的管理以及自動備援的管理伺服器區分開來,如此一來不僅可以達到網路流量與系統的負載平衡,還可以確保 IT 維運的永續經營與服務品質。

SCOM 2007 支援無縫隙的高可性架構設計。

圖 8:SCOM 2007 支援無縫隙的高可性架構設計。

在安裝有 SCOM 2007 代理程式的受管理電腦部分,由於在部署的階段中已經設定好主要與次要的管理伺服器了,因此除非這兩部管理伺服器同一時間下停機,否則它對於受管理電腦的持續監控與關鍵資料的收集是不會因而中斷的。

結論

網管這一條路並不好走,因為在行進的過程中有太多的技術門檻須要去突破,有太多雜亂無章的系統需要去管理,有太多新穎的知識需要去吸收,而在之中的成功關鍵,除了需要高度的熱忱之外,選對正確的網管工具也是一項不可或缺的重要條件之一,在此期望每一位優秀的企業 IT 工作者,都可以像筆者一樣善用 System Center Operations Manager 2007 的卓越管理機制,實實在在輕輕鬆鬆在彈指之間就做好 IT 維運工作。

顯示: