网络云服务器日志管理接口采用
A. 关于电信网络关键信息基础设施保护的思考
文 华为技术有限公司中国区网络安全与用户隐私保护部 冯运波 李加赞 姚庆天
根据我国《网络安全法》及《关键信息基础设施安全保护条例》,关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统”。其中,电信网络自身是关键信息基础设施,同时又为其他行业的关键信息基础设施提供网络通信和信息服务,在国家经济、科教、文化以及 社会 管理等方面起到基础性的支撑作用。电信网络是关键信息基础设施的基础设施,做好电信网络关键信息基础设施的安全保护尤为重要。
一、电信网络关键信息基础设施的范围
依据《关键信息基础设施安全保护条例》第 9条,应由通信行业主管部门结合本行业、本领域实际,制定电信行业关键信息基础设施的认定规则。
不同于其他行业的关键信息基础设施,承载话音、数据、消息的电信网络(以 CT 系统为主)与绝大多数其他行业的关键信息基础设施(以 IT 系统为主)不同,电信网络要复杂得多。电信网络会涉及移动接入网络(2G/3G/4G/5G)、固定接入网、传送网、IP 网、移动核心网、IP 多媒体子系统核心网、网管支撑网、业务支撑网等多个通信网络,任何一个网络被攻击,都会对承载在电信网上的话音或数据业务造成影响。
在电信行业关键信息基础设施认定方面,美国的《国家关键功能集》可以借鉴。2019 年 4 月,美国国土安全部下属的国家网络安全和基础设施安全局(CISA)国家风险管理中心发布了《国家关键功能集》,将影响国家关键功能划分为供应、分配、管理和连接四个领域。按此分类方式,电信网络属于连接类。
除了上述电信网络和服务外,支撑网络运营的大量 IT 支撑系统,如业务支撑系统(BSS)、网管支撑系统(OSS),也非常重要,应考虑纳入关键信息基础设施范围。例如,网管系统由于管理着电信网络的网元设备,一旦被入侵,通过网管系统可以控制核心网络,造成网络瘫痪;业务支撑系统(计费)支撑了电信网络运营,保存了用户数据,一旦被入侵,可能造成用户敏感信息泄露。
二、电信网络关键信息基础设施的保护目标和方法
电信网络是数字化浪潮的关键基础设施,扮演非常重要的角色,关系国计民生。各国政府高度重视关键基础设施安全保护,纷纷明确关键信息基础设施的保护目标。
2007 年,美国国土安全部(DHS)发布《国土安全国家战略》,首次指出面对不确定性的挑战,需要保证国家基础设施的韧性。2013 年 2 月,奥巴马签发了《改进关键基础设施网络安全行政指令》,其首要策略是改善关键基础设施的安全和韧性,并要求美国国家标准与技术研究院(NIST)制定网络安全框架。NIST 于 2018 年 4 月发布的《改进关键基础设施网络安全框架》(CSF)提出,关键基础设施保护要围绕识别、防护、检测、响应、恢复环节,建立网络安全框架,管理网络安全风险。NIST CSF围绕关键基础设施的网络韧性要求,定义了 IPDRR能力框架模型,并引用了 SP800-53 和 ISO27001 等标准。IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,是这五个能力的首字母。2018 年 5 月,DHS 发布《网络安全战略》,将“通过加强政府网络和关键基础设施的安全性和韧性,提高国家网络安全风险管理水平”作为核心目标。
2009 年 3 月,欧盟委员会通过法案,要求保护欧洲网络安全和韧性;2016 年 6 月,欧盟议会发布“欧盟网络和信息系统安全指令”(NISDIRECTIVE),牵引欧盟各国关键基础设施国家战略设计和立法;欧盟成员国以 NIS DIRECTIVE为基础,参考欧盟网络安全局(ENISA)的建议开发国家网络安全战略。2016 年,ENISA 承接 NISDIRECTIVE,面向数字服务提供商(DSP)发布安全技术指南,定义 27 个安全技术目标(SO),该SO 系列条款和 ISO 27001/NIST CSF之间互相匹配,关键基础设施的网络韧性成为重要要求。
借鉴国际实践,我国电信网络关键信息基础设施安全保护的核心目标应该是:保证网络的可用性,确保网络不瘫痪,在受到网络攻击时,能发现和阻断攻击、快速恢复网络服务,实现网络高韧性;同时提升电信网络安全风险管理水平,确保网络数据和用户数据安全。
我国《关键信息基础设施安全保护条例》第五条和第六条规定:国家对关键信息基础设施实行重点保护,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。我国《国家网络空间安全战略》也提出,要着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度。
参考 IPDRR 能力框架模型,建立电信网络的资产风险识别(I)、安全防护(P)、安全检测(D)、安全事件响应和处置(R)和在受攻击后的恢复(R)能力,应成为实施电信网络关键信息基础设施安全保护的方法论。参考 NIST 发布的 CSF,开展电信网络安全保护,可按照七个步骤开展。一是确定优先级和范围,确定电信网络单元的保护目标和优先级。二是定位,明确需要纳入关基保护的相关系统和资产,识别这些系统和资产面临的威胁及存在的漏洞、风险。三是根据安全现状,创建当前的安全轮廓。四是评估风险,依据整体风险管理流程或之前的风险管理活动进行风险评估。评估时,需要分析运营环境,判断是否有网络安全事件发生,并评估事件对组织的影响。五是为未来期望的安全结果创建目标安全轮廓。六是确定当期风险管理结果与期望目标之间的差距,通过分析这些差距,对其进行优先级排序,然后制定一份优先级执行行动计划以消除这些差距。七是执行行动计划,决定应该执行哪些行动以消除差距。
三、电信网络关键信息基础设施的安全风险评估
做好电信网络的安全保护,首先要全面识别电信网络所包含的资产及其面临的安全风险,根据风险制定相应的风险消减方案和保护方案。
1. 对不同的电信网络应分别进行安全风险评估
不同电信网络的结构、功能、采用的技术差异很大,面临的安全风险也不一样。例如,光传送网与 5G 核心网(5G Core)所面临的安全风险有显着差异。光传送网设备是数据链路层设备,转发用户面数据流量,设备分散部署,从用户面很难攻击到传送网设备,面临的安全风险主要来自管理面;而5G 核心网是 5G 网络的神经中枢,在云化基础设施上集中部署,由于 5G 网络能力开放,不仅有来自管理面的风险,也有来自互联网的风险,一旦被渗透攻击,影响面极大。再如,5G 无线接入网(5GRAN)和 5G Core 所面临的安全风险也存在显着差异。5G RAN 面临的风险主要来自物理接口攻击、无线空口干扰、伪基站及管理面,从现网运维实践来看,RAN 被渗透的攻击的案例极其罕见,风险相对较小。5G Core 的云化、IT 化、服务化(SBA)架构,传统的 IT 系统的风险也引入到电信网络;网络能力开放、用户端口功能(UPF)下沉到边缘等,导致接口增多,暴露面扩大,因此,5G Core 所面临的安全风险客观上高于 5G RAN。在电信网络的范围确定后,运营商应按照不同的网络单元,全面做好每个网络单元的安全风险评估。
2. 做好电信网络三个平面的安全风险评估
电信网络分为三个平面:控制面、管理面和用户面,对电信网络的安全风险评估,应从三个平面分别入手,分析可能存在的安全风险。
控制面网元之间的通信依赖信令协议,信令协议也存在安全风险。以七号信令(SS7)为例,全球移动通信系统协会(GSMA)在 2015 年公布了存在 SS7 信令存在漏洞,可能导致任意用户非法位置查询、短信窃取、通话窃听;如果信令网关解析信令有问题,外部攻击者可以直接中断关键核心网元。例如,5G 的 UPF 下沉到边缘园区后,由于 UPF 所处的物理环境不可控,若 UPF 被渗透,则存在通过UPF 的 N4 口攻击核心网的风险。
电信网络的管理面风险在三个平面中的风险是最高的。例如,欧盟将 5G 管理面管理和编排(MANO)风险列为最高等级。全球电信网络安全事件显示,电信网络被攻击的实际案例主要是通过攻击管理面实现的。虽然运营商在管理面部署了统一安全管理平台解决方案(4A)、堡垒机、安全运营系统(SOC)、多因素认证等安全防护措施,但是,在通信网安全防护检查中,经常会发现管理面安全域划分不合理、管控策略不严,安全防护措施不到位、远程接入 VPN 设备及 4A 系统存在漏洞等现象,导致管理面的系统容易被渗透。
电信网络的用户面传输用户通信数据,电信网元一般只转发用户面通信内容,不解析、不存储用户数据,在做好终端和互联网接口防护的情况下,安全风险相对可控。用户面主要存在的安全风险包括:用户面信息若未加密,在网络传输过程中可能被窃听;海量用户终端接入可能导致用户面流量分布式拒绝服务攻击(DDoS);用户面传输的内容可能存在恶意信息,例如恶意软件、电信诈骗信息等;电信网络设备用户面接口可能遭受来自互联网的攻击等。
3. 做好内外部接口的安全风险评估
在开展电信网络安全风险评估时,应从端到端的视角分析网络存在的外部接口和网元之间内部接口的风险,尤其是重点做好外部接口风险评估。以 5G 核心网为例,5G 核心网存在如下外部接口:与 UE 之间的 N1 接口,与基站之间的 N2 接口、与UPF 之间的 N4 接口、与互联网之间的 N6 接口等,还有漫游接口、能力开放接口、管理面接口等。每个接口连接不同的安全域,存在不同风险。根据3GPP 协议标准定义,在 5G 非独立组网(NSA)中,当用户漫游到其他网络时,该用户的鉴权、认证、位置登记,需要在漫游网络与归属网络之间传递。漫游边界接口用于运营商之间互联互通,需要经过公网传输。因此,这些漫游接口均为可访问的公网接口,而这些接口所使用的协议没有定义认证、加密、完整性保护机制。
4. 做好虚拟化/容器环境的安全风险评估
移动核心网已经云化,云化架构相比传统架构,引入了通用硬件,将网络功能运行在虚拟环境/容器环境中,为运营商带来低成本的网络和业务的快速部署。虚拟化使近端物理接触的攻击变得更加困难,并简化了攻击下的灾难隔离和灾难恢复。网络功能虚拟化(NFV)环境面临传统网络未遇到过的新的安全威胁,包括物理资源共享打破物理边界、虚拟化层大量采用开源和第三方软件引入大量开源漏洞和风险、分层多厂商集成导致安全定责与安全策略协同更加困难、传统安全静态配置策略无自动调整能力导致无法应对迁移扩容等场景。云化环境中网元可能面临的典型安全风险包括:通过虚拟网络窃听或篡改应用层通信内容,攻击虚拟存储,非法访问应用层的用户数据,篡改镜像,虚拟机(VM)之间攻击、通过网络功能虚拟化基础设施(NFVI)非法攻击 VM,导致业务不可用等。
5. 做好暴露面资产的安全风险评估
电信网络规模大,涉及的网元多,但是,哪些是互联网暴露面资产,应首先做好梳理。例如,5G网络中,5G 基站(gNB)、UPF、安全电子支付协议(SEPP)、应用功能(AF)、网络开放功能(NEF)等网元存在与非可信域设备之间的接口,应被视为暴露面资产。暴露面设备容易成为入侵网络的突破口,因此,需重点做好暴露面资产的风险评估和安全加固。
四、对运营商加强电信网络关键信息基础设施安全保护的建议
参考国际上通行的 IPDRR 方法,运营商应根据场景化安全风险,按照事前、事中、事后三个阶段,构建电信网络安全防护能力,实现网络高韧性、数据高安全性。
1. 构建电信网络资产、风险识别能力
建设电信网络资产风险管理系统,统一识别和管理电信网络所有的硬件、平台软件、虚拟 VNF网元、安全关键设备及软件版本,定期开展资产和风险扫描,实现资产和风险可视化。安全关键功能设备是实施网络监管和控制的关键网元,例如,MANO、虚拟化编排器、运维管理接入堡垒机、位于安全域边界的防火墙、活动目录(AD)域控服务器、运维 VPN 接入网关、审计和监控系统等。安全关键功能设备一旦被非法入侵,对电信网络的影响极大,因此,应做好对安全关键功能设备资产的识别和并加强技术管控。
2. 建立网络纵深安全防护体系
一是通过划分网络安全域,实现电信网络分层分域的纵深安全防护。可以将电信网络用户面、控制面的系统划分为非信任区、半信任区、信任区三大类安全区域;管理面的网络管理安全域(NMS),其安全信任等级是整个网络中最高的。互联网第三方应用属于非信任区;对外暴露的网元(如 5G 的 NEF、UPF)等放在半信任区,核心网控制类网元如接入和移动管理功能(AMF)等和存放用户认证鉴权网络数据的网元如归属签约用户服务器(HSS)、统一数据管理(UDM)等放在信任区进行保护,并对用户认证鉴权网络数据进行加密等特别的防护。二是加强电信网络对外边界安全防护,包括互联网边界、承载网边界,基于对边界的安全风险分析,构建不同的防护方案,部署防火墙、入侵防御系统(IPS)、抗DDoS 攻击、信令防护、全流量监测(NTA)等安全防护设备。三是采用防火墙、虚拟防火墙、IPS、虚拟数据中心(VDC)/虚拟私有网络(VPC)隔离,例如通过防火墙(Firewall)可限制大部分非法的网络访问,IPS 可以基于流量分析发现网络攻击行为并进行阻断,VDC 可以实现云内物理资源级别的隔离,VPC 可以实现虚拟化层级别的隔离。四是在同一个安全域内,采用虚拟局域网(VLAN)、微分段、VPC 隔离,实现网元访问权限最小化控制,防止同一安全域内的横向移动攻击。五是基于网元间通信矩阵白名单,在电信网络安全域边界、安全域内实现精细化的异常流量监控、访问控制等。
3. 构建全面威胁监测能力
在电信网络外部边界、安全域边界、安全域内部署网络层威胁感知能力,通过部署深度报文检测(DPI)类设备,基于网络流量分析发现网络攻击行为。基于设备商的网元内生安全检测能力,构建操作系统(OS)入侵、虚拟化逃逸、网元业务面异常检测、网元运维面异常检测等安全风险检测能力。基于流量监测、网元内生安全组件监测、采集电信网元日志分析等多种方式,构建全面威胁安全态势感知平台,及时发现各类安全威胁、安全事件和异常行为。
4. 加强电信网络管理面安全风险管控
管理面的风险最高,应重点防护。针对电信网络管理面的风险,应做好管理面网络隔离、运维终端的安全管控、管理员登录设备的多因素认证和权限控制、运维操作的安全审计等,防止越权访问,防止从管理面入侵电信网络,保护用户数据安全。
5. 构建智能化、自动化的安全事件响应和恢复能力
在网络级纵深安全防护体系基础上,建立安全运营管控平台,对边界防护、域间防护、访问控制列表(ACL)、微分段、VPC 等安全访问控制策略实施统一编排,基于流量、网元日志及网元内生组件上报的安全事件开展大数据分析,及时发现入侵行为,并能对攻击行为自动化响应。
(本文刊登于《中国信息安全》杂志2021年第11期)
B. 中继网关的简介
中继网关是NGN解决方案的重要组成部分,它位于NGN网络的边缘接入层,连接PSTN和NGN网络,实现IP包转TDM的功能。
中继网关拥有回音消除技术,可以处理语音包的转换,可提供NO.7、Q.931、Q.sig等信令。
中继网关具有数字中继接口以及IP中继接口,能够承载IP网络及PSTN网络。
中继网关可提供以太网口,通过SIP/H.323协议与软交换系统互连。
中继网关通过E1接口,与PABX/PSTN相连,实现PSTN与IP网络的互联。
通过以上组网,中继网关可完成SIP/H.323协议与NO.7/Pri信令的转换,同时,使PSTN网络与IP网络实现完美的融合。
C. 大数据分析一般用什么工具分析
今天就我们用过的几款大数据分析工具简单总结一下,与大家分享。
1、Tableau
这个号称敏捷BI的扛把子,魔力象限常年位于领导者象限,界面清爽、功能确实很强大,实至名归。将数据拖入相关区域,自动出图,图形展示丰富,交互性较好。图形自定义功能强大,各种图形参数配置、自定义设置可以灵活设置,具备较强的数据处理和计算能力,可视化分析、交互式分析体验良好。确实是一款功能强大、全面的数据可视化分析工具。新版本也集成了很多高级分析功能,分析更强大。但是基于图表、仪表板、故事报告的逻辑,完成一个复杂的业务汇报,大量的图表、仪表板组合很费事。给领导汇报的PPT需要先一个个截图,然后再放到PPT里面。作为一个数据分析工具是合格的,但是在企业级这种应用汇报中有点局限。
2、PowerBI
PowerBI是盖茨大佬推出的工具,我们也兴奋的开始试用,确实完全不同于Tableau的操作逻辑,更符合我们普通数据分析小白的需求,操作和Excel、PPT类似,功能模块划分清晰,上手真的超级快,图形丰富度和灵活性也是很不错。但是说实话,毕竟刚推出,系统BUG很多,可视化分析的功能也比较简单。虽然有很多复杂的数据处理功能,但是那是需要有对Excel函数深入理解应用的基础的,所以要支持复杂的业务分析还需要一定基础。不过版本更新倒是很快,可以等等新版本。
3、Qlik
和Tableau齐名的数据可视化分析工具,QlikView在业界也享有很高的声誉。不过Qlik Seanse产品系列才在大陆市场有比较大的推广和应用。真的是一股清流,界面简洁、流程清晰、操作简单,交互性较好,真的是一款简单易用的BI工具。但是不支持深度的数据分析,图形计算和深度计算功能缺失,不能满足复杂的业务分析需求。
最后将视线聚焦国内,目前搜索排名和市场宣传比较好的也很多,永洪BI、帆软BI、BDP等。不过经过个人感觉整体宣传大于实际。
4、永洪BI
永洪BI功能方面应该是相对比较完善的,也是拖拽出图,有点类似Tableau的逻辑,不过功能与Tableau相比还是差的不是一点半点,但是操作难度居然比Tableau还难。预定义的分析功能比较丰富,图表功能和灵活性较大,但是操作的友好性不足。宣传拥有高级分析的数据挖掘功能,后来发现就集成了开源的几个算法,功能非常简单。而操作过程中大量的弹出框、难以理解含义的配置项,真的让人很晕。一个简单的堆积柱图,就研究了好久,看帮助、看视频才搞定。哎,只感叹功能藏得太深,不想给人用啊。
5、帆软BI
再说号称FBI的帆软BI,帆软报表很多国人都很熟悉,功能确实很不错,但是BI工具就真的一般般了。只能简单出图,配合报表工具使用,能让页面更好看,但是比起其他的可视化分析、BI工具,功能还是比较简单,分析的能力不足,功能还是比较简单。帆软名气确实很大,号称行业第一,但是主要在报表层面,而数据可视化分析方面就比较欠缺了。
6、Tempo
另一款工具,全名叫“Tempo大数据分析平台”,宣传比较少,2017年Gartner报告发布后无意中看到的。是一款BS的工具,申请试用也是费尽了波折啊,永洪是不想让人用,他直接不想卖的节奏。
第一次试用也是一脸懵逼,不知道该点那!不过抱着破罐子破摔的心态稍微点了几下之后,操作居然越来越流畅。也是拖拽式操作,数据可视化效果比较丰富,支持很多便捷计算,能满足常用的业务分析。最最惊喜的是它还支持可视化报告导出PPT,彻底解决了分析结果输出的问题。深入了解后,才发现他们的核心居然是“数据挖掘”,算法十分丰富,也是拖拽式操作,我一个文科的分析小白,居然跟着指导和说明做出了一个数据预测的挖掘流,简直不要太惊喜。掌握了Tempo的基本操作逻辑后,居然发现他的易用性真的很不错,功能完整性和丰富性也很好。
D. ec600模组入网又休眠
使用rt thread系统里的EC200驱动包+web client做一个物联网项目,之前开发的时候一直都是用的EC600S模块,看起来挺好的,没什么大问题,后来量产的时候不小心买了EC600N焊上去了,之前也听厂家的技术支持说应该是完全一样的,可是就掉进了这个坑里。
故障现象:
模块的net_status和net_mode灯的状态不太对,模块开机后的最终状态有时候net_mode常亮,net_status灭掉,或者net_status一直在慢闪,net_mode一直熄灭。甚至有时候我的应用可以先从服务器拿一包数据,然后又挂掉再也连不上了。
分析:
上述这两种状态都不在文档描述中,打at client去看,你发什么它都是直接回显,比如发AT+CPIN?它就直接回,而不是回OK或者错误,所以初步判断是模块进入了一个错误的状态。那么能让模块进入错误状态无非就是以下几种情况:
睡眠或者开机、重启的姿势不对
或者在模块初始化之前我的应用代码把它搞死了。但是之前用EC600S开发都是好的,而且一般应用代码不太能把模块搞到错误状态,这种可能性比较低。
排查:
针对第二种情况,排查很简单,先把应用软件去掉看看。故障依旧,所以继续排查1.
在EC200的驱动包里要配置开机引脚,状态引脚,睡眠引脚。无论是开发什么东西,一般睡眠这种状态是最容易出问题的,包括x86开发,usb设备开发,屡见不鲜,所以首先把睡眠去掉了(-1),但是故障依旧。
刚开始我始终没有怀疑状态引脚,因为它是个输入,只是判断一下模块有没有开机,感觉不会有什么问题,所以绕来绕去一直没有去动它。直到看到了有个哥们遇到了类似的问题:
RT-Thread-at_device 没有使用power pin 导致的网络异常 bugRT-Thread问答社区 - RT-Thread
这个问题其实我之前用EC600S的时候好像也遇到了,但是我并不用ping,应用也没有问题,所以也没去管他。不过这倒提醒了可以去试试,于是把开机状态也改成-1,居然就好了。
电源引脚我没去动它,模块是需要有一个开机时序的,我看它的初始化代码里也有去动电源引脚重新开机之类的。
希望其他掉在坑里的小伙伴可以看到我这篇帖子,少走点弯路。
打开CSDN,阅读体验更佳
Quectel_EC600S系列_TCP(IP)_应用指导_V1.2.rar
EC600S-CN 模块内置 TCP/IP 协议栈, Host 可以 直接通过 AT 命令访问网络; 这大大降低模块对 PPP 和外部 TCP/IP 协议栈的依赖性,从而降低终端设计 的成本。
EC600N(二)--核心板初次点亮
系列文章目录 EC600N(一)–基本信息介绍 EC600N(二)–核心板初次点亮 目录系列文章目录前言一、使用前说明1.供电方式2. 模块开机状态二、AT指令测试1.测试准备2.AT指令测试 前言 本次实验使用移远EC600N双排核心板,主要使用AT指令测试模块,测试模块的USB口和3.3V串口。 一、使用前说明 1.供电方式 EC600N模块需要用排针的VIN进行供电,供电如下图所示: USB口供电可能达不到模块的开机要求(由于串联了二极管,有压降),一般采用针脚对模块供电。这个设计有点鸡肋。 2.
继续访问
移远4G模组EC600N进行TCP/IP连接和服务器测试
最近公司产品需要增加一个4G模块进行数据传输,想到之前做的移远的4G模块,于是买了一个核心板回来调试。 协议选择TCP/IP,因此使用的是TCP/IP部分的AT指令手册。工具方面,使用串口调试助手,关于测试服务器,一开始用的安信可的透传云,但是服务器连接一段时间不发送消息就会自动断开,所以还是使用了网络调试助手。因为网络调试助手使用的是本地网络,如果需要和4G通信,还需要使用花生壳做内网穿透。 接下来先把服务器部分做好。 如果没有花生壳软件,建议先去官网下载一个 长这样色的。安装后打开界面如下 这个界
继续访问
STM32F405+4G模块OTA固件升级调试记录
STM32F405+4G模块OTA固件升级调试个人记录
继续访问
Cat.1模块使用总结(EC600N)
由于Cat.4模块(EC20)功耗大,考虑到NB网络覆盖问题(设备在野外工作场景),因此项目上用选择了Cat.1(EC600N)模块,现在把调试过程总结下,希望能够帮助到大家。EC20使用总结请看:单片机和4G模块通信总结(EC20)。 一、电源 手册说供电电压≥3.4V,峰值电流3A。 二、通信口 UART和IO口都是1.8V,需要做电平准换。 三、开机顺序 我是上电1s后复位,复位低电平600ms,然后100ms后开机,开机等待10s后进行操作。 四、AT指令 采用消息地体原理,具体请看
继续访问
日志组件
日志组件 1. 日志是什么 日志是软件应用必备的组件,是程序debug,或是数据收集管理的重要依据,方便我们监测生产环境的变量值变化以及代码运行轨迹。本课程主要用来学习实际开发中常用的日志组件。 主要是为了方便我们监测生产环境的变量值变化以及代码运行轨迹等。 这些记录会被输出到我们指定的位置形成文件,帮助我们分析错误以及用户请求轨迹。 2. 常用日志组件 2.1 Log4j与log4j2.x Log4j有8种不同的log级别,按照等级从低到高依次为:ALL>TRACE>DEBUG>
继续访问
ESP32+移远EC600N模组通过MQTT连接阿里云并通过HTTP进行OTA升级
ESP32+移远EC600N模组通过MQTT连接阿里云并通过HTTP进行OTA升级。以下是我这段时间进行的工作,分享下自己的研究成果,也让后面的小伙伴少踩一些坑。同时通过文章记录下操作步骤,免得自己过段时间忘记。以下是ESP32和EC600N模组之间通过串口进行数据交互的详细调试信息输出内容。...
继续访问
热门推荐 EC600N(一)--基本信息介绍
EC600N使用说明 EC600N(一)–基本信息介绍 目录EC600N使用说明前言一、模块组的基本介绍1.模组的基本选型信息2. EC600N核心板基本信息二、EC600N功能介绍1.基本功能介绍2.引脚功能三.补充 前言 EC600N是一款移远推出的4G模块。移远和中传移动是主要的4G模块和NB-lot模块的供应商。由于移远的模块使用相对比较广泛,所以用它试试。 相关资源链接: 官网,这个网站找资料比较费劲。 quetcelpython下载中心,移远的多数模块支持python的二次开发。 quetcel
继续访问
移远QuecPython(基于EC600s)开发物联网应用(七) QuecPython通讯相关模块
一. sim --SIM卡模块 import sim 1. 获取sim卡的imsi sim.getImsi() 参数 无 返回值 成功返回string类型的imsi,失败返回整型-1。 2. 获取sim卡的iccid sim.getIccid() 参数 无 返回值 成功返回string类型的iccid,失败返回整型-1。 3. 获取sim卡的电话号 sim.getPhoneNumber()...
继续访问
【C语言】一个好用的循环队列与使用示例(以EC200/600为例的AT框架)
目录1.前言2.结论3.循环队列3.1写队列到队列头3.2从尾部读读队列3.3获取当前队列内数据数量3.4清空队列3.5两个重要结构体4.效果与示例4.1三个读队列线程4.2 AT框架写队列与EC200初始化4.3 AT框架读队列4.4 EC200维持TCP长连接5.下载5.1 循环队列5.2 AT框架+EC200的TCP长连接(与EC600通用) 1.前言 上一篇:https://blog.csdn.net/ylc0919/article/details/111050124 自从之前说要发二代框架,不知不
继续访问
阿里云在线温湿度-小熊派qpython(综合展示)
需要用到的东西: 小熊派的ec100y开发板; i2c的温湿度传感器(我这里用的sht31,其他的也可以,自行修改代码); 阿里云账号; 接线:用到3.3v,GND,i2c的SCL和SDA 阿里云显示展示: app展示: 代码: # 包引用部分 import log from aLiYun import aLiYun import ujson import utime from machine import I2C import pm # 用户变量区域 # 上传间隔(单..
继续访问
EC600N-AT 软件包笔记
INIT_DEVICE_EXPORT(ec200x_device_class_register); 开辟struct at_device_class结构体 进入at_device_class_register 怎么跳转到的static int ec200x_init(struct at_device *device) at_device_class_registe执行完后到 INIT_APP_EXPORT(ec200x_device_register); static int ec200x_device_r
继续访问
open方案、openCPU-EC600、L610设计应用总结
OPEN CPU模组设计应用总结 咸鱼NO FASHION 根据实际项目需求选择最优的设计方案,是一名合格硬件工程师的基本功。 背景与优缺点说明: 对于物联网项目,大多数公司或者产品需更为便宜方案,因此在物联网项目中open CPU方案迎来黄金发展期。物联网项目本身就需要无线通信模组,通信模组开放一定IO口和通信接口,优点可以解决目前广大用户主控MCU短缺的痛点,降低开发成本;缺点IO口和通信接口使用相对于主控MCU不够灵活,接口相对较少。 软件方面: 支持open C和open Python(
继续访问
Quectel EC800N-CN 小尺寸物联网首选LTE Cat 1模块[移远通信]
EC800N-CN是移远通信专为M2M和IoT领域而设计的LTE Cat 1无线通信模块,支持最大下行速率10 Mbps和最大上行速率5 Mbps,超小封装,超高性价比。 EC800N-CN采用镭雕工艺,镭雕工艺具有外观更好看、金属质感强、散热更好、信息不容易被抹除、更能适应自动化需求等优点。 EC800N-CN内置丰富的网络协议,集成多个工业标准接口,并支持多种驱动和软件功能(如Windows7/8/8.1/10、linux、Android等操作系统下的USB虚拟串口驱动);极大地拓展了其在M
继续访问
EC600S串口通信
EC600S有两个串口通信口,TX0/RX0;TX2/RX2,分别对应程序中的UART0 - DEBUG PORT和UART2 – MAIN PORT。运行本例程, 需要通过串口线连接开发板的 MAIN 口和PC,在PC上通过串口工具打开 MAIN 口,并向该端口发送数据,即可看到 PC 发送过来的消息。 (可通过串口转usb口,把TX2/RX2分别与转usb口的RX/TX连接到电脑上即可) """ 运行本例程,需要通过串口线连接开发板的 MAIN 口和PC,在PC上通过串口工具 打开 MAIN 口,并向
继续访问
移远EC20/600系列TCP发送可变长度数据的结束标志!
移远EC20/600系列TCP发送可变长度数据的结束标志!
继续访问
移远ec200/600的使用
移远ec200、ec600的使用: linux2.6.22 pppd-2.4.4 ec600s 参考的是ec200s的拨号相关文档: 1:/driver/usb/serial/option.c更改了4个位置,并没 有严格按照ec200s的指导文档来(2.6.30以上、3.0以上内核还会涉及wwan、qcserial相关文件,看相关文档) 2:内核config USB_SERIAL=y USB_USBNET=y USB_NET_CDCETHER=y (还没搞清楚...
继续访问
EC600U
ec600u,tcp client 断线重连
继续访问
最新发布 STM32+USART+DMA+EC600N调试
在stm32Cube中,打开DMA发送中断和接收中断,打开usart全局中断。主要调试功能:(1)使用DMA发送固定长度数据给串口,(2)使用DMA接收不定长度帧数据。(1)利用DMA传输,发送固定大小数据 换成 包装代码如下: (2)利用DMA传输,接收大小可变的数据利用串口空闲中断,识别一帧的数据,参考链接: 注意:空闲中断结束后,记得重新开启DMA接收。指令解析 AT执行逻辑 每个AT指令执行成功,则继续下一条,如果本条AT指令执行失败,则重复执行,最多执行10次,如果10全部失败,则本轮结束
继续访问
E. 关于一些云服务器的问题
一,你有云服务器了,就把你的数据库建在云服务器上,也就是网站和数据库在同一台服务器上,虽然不怎么安全,但是经济,不然也可以考虑买一个同网段内的数据库服务器。
二,10000PV也不少了,建议4GB以上
三,云硬盘是在你云服务器之外的独立存储数据的空间,一般只是存取,不支持调用,那对你云服务器来说没啥用。你需要的还是你云服务器上的本地磁盘空间来存放你的网站程序和数据库。
四,云服务器购买后你就可以选择连接远程桌面,使用和你使用本地计算机一样,图形的
五,你要远的话,windows2003+php+mysql ,就够 了。
千万别看外面说的什么linux+mysql之类的,linux你自己会用,就另说,不会用的话,你装上,然后呢?改什么配置都找服务商?你看看他们管你不?还是WINDOWS实在些。也常用,资料也好查。
你要是用云服务器的话,我推荐你使用 快网DIY弹性云主机 你可以上网络查一下,我觉得挺好用,才48块钱。你可以试试。
F. 块存储、文件存储、对象存储这三者的本质差别是什么
一、概念及区别
针对不同的应用场景,选择的分布式存储方案也会不同,因此有了对象存储、块存储、文件系统存储。这三者的主要区别在于它们的存储接口:
1. 对象存储:
也就是通常意义的键值存储,其接口就是简单的GET,PUT,DEL和其他扩展,
2. 块存储:
这种接口通常以QEMU Driver或者Kernel Mole的方式存在,这种接口需要实现Linux的BlockDevice的接口或者QEMU提供的BlockDriver接口,如Sheepdog,AWS的EBS,青云的云硬盘和阿里云的盘古系统,还有Ceph的RBD(RBD是Ceph面向块存储的接口)
3. 文件存储:
通常意义是支持POSIX接口,它跟传统的文件系统如Ext4是一个类型的,但区别在于分布式存储提供了并行化的能力,如Ceph的CephFS(CephFS是Ceph面向文件存储的接口),但是有时候又会把GFS,HDFS这种非POSIX接口的类文件存储接口归入此类。
二、IO特点
按照这三种接口和其应用场景,很容易了解这三种类型的IO特点,括号里代表了它在非分布式情况下的对应:1. 对象存储(键值数据库):
接口简单,一个对象我们可以看成一个文件,只能全写全读,通常以大文件为主,要求足够的IO带宽。
2. 块存储(硬盘):
它的IO特点与传统的硬盘是一致的,一个硬盘应该是能面向通用需求的,即能应付大文件读写,也能处理好小文件读写。但是硬盘的特点是容量大,热点明显。因此块存储主要可以应付热点问题。另外,块存储要求的延迟是最低的。
3. 文件存储(文件系统):
支持文件存储的接口的系统设计跟传统本地文件系统如Ext4这种的特点和难点是一致的,它比块存储具有更丰富的接口,需要考虑目录、文件属性等支持,实现一个支持并行化的文件存储应该是最困难的。但像HDFS、GFS这种自己定义标准的系统,可以通过根据实现来定义接口,会容易一点。
因此,这三种接口分别以非分布式情况下的键值数据库、硬盘和文件系统的IO特点来对应即可。至于冷热、快慢、大小文件而言更接近于业务。但是因为存储系统是通用化实现,通常来说,需要尽量满足各种需求,而接口定义已经一定意义上就砍去了一些需求,如对象存储会以冷存储更多,大文件为主。
G. NTP时间同步服务器和北斗时间同步服务器以及GPS时间服务器有啥区别
NTP时间同步服务器 主要偏重于NTP时间同步功能
北斗时间同步服务器 主要偏重于北斗卫星时间来源
GPS时间服务器跟北斗时间同步服务器一样也偏重于时间来源是GPS卫星。
目前计算机网络中各主机和服务器等网络设备的时间基本处于无序的状态。随着计算机网络应用的不断涌现,计算机的时间同步问题成为愈来愈重要的事情。以Unix系统为例,时间的准确性几乎影响到所有的文件操作。 如果一台机器时间不准确,例如在从时间超前的机器上建立一个文件,用ls查看一下,以当前时间减去所显示的文件修改时间会得一个负值,这一问题对于网络文件服务器是一场灾难,文件的可靠性将不复存在。为避免产生本机错误,可从网络上获取时间,这个命令就是rdate,这样系统时钟便可与公共源同步了。但是一旦这一公共时间源出现差错就将产生多米诺效应,与其同步的所有机器的时间因此全都错误。
另外当涉及到网络上的安全设备时,同步问题就更为重要了。这些设备所生成的日志必须要反映出准确的时间。尤其是在处理繁忙数据的时候,如果时间不同步,几乎不可能将来自不同源的日志关联起来。 一旦日志文件不相关连,安全相关工具就会毫无用处。不同步的网络意味着企业不得不花费大量时间手动跟踪安全事件。现在让我们来看看如何才能同步网络,并使得安全日志能呈现出准确地时间。
Internet的发展使得电子货币,网上购物,网上证券、金融交易成为可能,顾客可以坐在家里用个人电脑进行上述活动。要保证这些活动的正常进行就要有统一的时间。不能设想用户3点钟汇出一笔钱银行2点50分收到。个人电脑的时钟准确度很低,只有10-4、10-5,一天下来有可能差十几秒。
现在许多在线教学系统的许多功能都使用了时间记录,比如上网时间记录,递交作业时间和考试时间等等。通常在线教学系统记录的用户数据均以网站服务器时间为准。笔者以前就曾出现过因为应用服务器时间还在23点55分,而数据库服务器已跨过24点,导致正在进行的整个批处理日切或数据归档等重要处理失败或根本无法进行的情况,其实应用和数据库服务器时间也只是相差了几分钟而已。为了避免出现这种情况,系统管理员要经常关注服务器的时间,发现时间差距较大时可以手工调整,但由系统管理员手工调整既不准确、并且随着服务器数量的增加也会出现遗忘,因此有必要让系统自动完成同步多个服务器的时间。
上述问题的解决方法,就是需要一个能调整时钟抖动率,建立一个即时缓和、调整时间变化,并用一群受托服务器提供准确、稳定时间的时间管理协议,这就是网络时间协议(NTP)。如果你的局域网可以访问互联网,那么不必安装一台专门的NTP服务器,只需安装NTP的客户端软件到互联网上的公共NTP服务器自动修正时间即可,但是这样时间能同步但不精准还可能因为网络不稳定从而导致时间同步失败的结果,最佳方案则是在网络里安装一台属于自己的NTP服务器硬件设备,将各个计算机时间同步且统一起来,成本也不高即便高相对于大数据服务器来说孰轻孰重,作为网络工程师你更清楚。
总结:
随着网络规模、网上应用不断扩大,网络设备与服务器数量不断增加。网络管理员在查看众多网络设备日志时,往往发现时间不一,即使手工设置时间,也会出现因时区或夏令时等因素造成时间误差;有些二层交换机重启后,时钟会还原到初始值,需要重新设置时间。对于核心网络设备和重要应用服务器而言,它们之间有时需要协同工作,因此时间的准确可靠性显得尤为重要。
NTP服务的配置及使用都非常简单,并且占用的网络资料非常小。NTP时间服务器目前广泛应用于网络安全、在线教学、数据库备份等领域。企业采取措施同步网络和设备的时间非常重要,但确保安全设备所产生的日志能提供精确的时间更应当得到关注。
H. JeeSpringCloud-互联网云快速开发框架
(一款免费开源的JAVA互联网云快速开发平台)微服务分布式代码生成的敏捷开发系统架构。项目代码简洁,注释丰富,上手容易,还同时集中分布式、微服务,同时包含许多基础模块和监控、服务模块。
演示版地址:http://bknfdnl.hn3.mofasui.cn/admin/login
一、平台简介
在线文档:https://gitee.com/JeeHuangBingGui/jeeSpringCloud/wikis
视频和文档下载:https://gitee.com/JeeHuangBingGui/jeeSpringCloud/attach_files
开源中国地址:https://www.oschina.net/p/jeeSpringCloud
文档视频下载:https://gitee.com/JeeHuangBingGui/jeeSpringCloud/attach_files
JeeSpringCloudV3.0-互联网云快速开发框架模块包含定时任务调度、服务器监控、平台监控、异常邮件监控、服务器Down机邮件监控、平台设置、开发平台、邮件监控、图表监控、地图监控、单点登录、Redis分布式高速缓存、
ActiveMQ队列、会员、营销、在线用户、日志、在线人数、访问次数、调用次数、直接集群、接口文档、生成模块、代码实例、安装视频、教程文档、bbo、springCloud、SpringBoot、mybatis、springmvc、IOC、AOP、定时任务、切面缓存、MVC、事务管理。
RedisMQ队列、代码生成(单表、主附表、树表、列表和表单、增删改查云接口、redis高速缓存对接代码、图表统计、地图统计、vue.js)、工作流、模块化
代码生成前端控件包括单行文本、富文本、下拉选项、复选框、日期选择、文件上传选择、树选择控件、单选按钮、多行文本….。
二、平台功能
用户管理:用户是系统操作者,该功能主要完成系统用户配置。
部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持数据权限。
岗位管理:配置系统用户所属担任职务。
菜单管理:配置系统菜单,操作权限,按钮权限标识等。
角色管理:角色菜单权限分配、设置角色按机构进行数据范围权限划分。
字典管理:对系统中经常使用的一些较为固定的数据进行维护。
参数管理:对系统动态配置常用参数。
通知公告:系统通知公告信息发布维护。
操作日志:系统正常操作日志记录和查询;系统异常信息日志记录和查询。
登录日志:系统登录日志记录查询包含登录异常。
在线用户:当前系统中活跃用户状态监控。
定时任务:在线(添加、修改、删除)任务调度包含执行结果日志。
代码生成:前后端代码生成(单表、主附表、树表、列表和表单、增删改查云接口、redis高速缓存对接代码、图表统计、地图统计、vue.js) ,并生成菜单和权限直接使用。
系统接口:根据业务代码自动生成相关的api接口文档。
连接池监视:监视当期系统数据库连接池状态,可进行分析SQL找出系统性能瓶颈。
在线接口文档:使用swager生成在线文档。
ActiveMQ队列:提供ActiveMQ队列,处理批量发送大数据量邮件、大数据量日志文件。
工作流:功能包括在线办公、我的任务、审批测试、流程管理、模型管理。
CMS:功能包括内容管理、内容管理、统计分析、栏目设置、首页。
bbo:代码生成直接生成bbo对接代码。
服务器Down机邮件监控:通过定时任务监控服务器是否Down机,并发送通知邮件。
服务器监控:通过 sigar 进行服务器图形化监控。
异常邮件监控:全局拦截系统异常,并发送通知邮件。
单点登录:使用shior和Redis、共享session方式实现单点登录。
Redis分布式高速缓存:代码生成直接生成Redis对接代码。
三、系统截图
JeeSpringCloudV3.0-互联网云快速开发框架(后台)
四、平台特性
JeeSpringCloud基于SpringBoot+SpringMVC+Mybatis+Redis+SpringCloud+Vue.js微服务分布式代码生成的敏捷开发系统架构。项目代码简洁,注释丰富,上手容易,还同时集中分布式、微服务,同时包含许多基础模块(用户管理,角色管理,部门管理,字典管理等10个模块。成为大众认同、大众参与、成就大众、大众分享的开发平台。JeeSpring官方qq群(328910546)。代码生成前端界面、底层代码(spring mvc、mybatis、Spring boot、Spring Cloud、微服务的生成)、安全框架、视图框架、服务端验证、任务调度、持久层框架、数据库连接池、缓存框架、日志管理、IM等核心技术。努力用心为大中小型企业打造全方位J2EE企业级平台ORM/Redis/Service仓库开发解决方案。一个RepositoryService仓库就直接实现bbo、微服务、基础服务器对接接口和实现。
努力用心为大中小型企业打造全方位J2EE企业级平台开发解决方案。
Spring Boot/Spring cloud微服务是利用云平台开发企业应用程序的最新技术,它是小型、轻量和过程驱动的组件。微服务适合设计可扩展、易于维护的应用程序。它可以使开发更容易,还能使资源得到最佳利用。
微服务/集群(nignx) 支持REST风格远程调用(HTTP + JSON/XML):基于非常成熟的Spring Boot框架,在Spring Boot Spring Cloud中实现了REST风格(HTTP + JSON/XML)的远程调用,以显着简化企业内部的跨语言交互,同时显着简化企业对外的Open API、无线API甚至AJAX服务端等等的开发。
事实上,这个REST调用也使得Dubbo可以对当今特别流行的“微服务”架构提供基础性支持。 另外,REST调用也达到了比较高的性能,在基准测试下,HTTP + JSON默认的RPC协议(即TCP + Hessian2二进制序列化)之间只有1.5倍左右的差距,详见下文的基准测试报告。
ORM/Redis/Service仓库
RepositoryORM仓库,提供ORM接口和多种实现,可进行配置实现。
RepositoryRedis仓库,提供Redis接口和多种实现,可进行配置实现。可以配置调用单机、redis、云redis对接。
RepositoryService仓库,提供Service接口和多种实现,可进行配置实现。一个RepositoryService仓库就直接实现bbo、微服务、基础服务器对接接口和实现。
五、架构说明
技术选型
六、代码生成器
代码生成器
七、开发入门
平台教程:https://gitee.com/JeeHuangBingGui/jeeSpringCloud/attach_files
官方提供:
1、详细部署文档。
2、部署视频。
3、中级培训视频待定,包括代码生成、架构代码介绍。
4、高级培训视频待定,包括架构代码详解。
5、架构培训视频待定,包括架构详解、代码生成详解。
平台教程:https://gitee.com/JeeHuangBingGui/jeeSpringCloud/attach_files
八、在线体验
演示版地址:http://bknfdnl.hn3.mofasui.cn/admin/login
I. 互联网时代的网络自动化运维
互联网时代的网络自动化运维
互联网上有两大主要元素"内容和眼球","内容"是互联网公司(或称ICP)提供的网络服务,如网页、游戏、即时通信等,"眼球"则是借指海量的互联网用户。互联网公司的内容往往分布在多个或大或小的IDC中,越来越多的"眼球"在盯着ICP所提供的内容,互联网公司进行内容存储的基础设施也呈现出了爆发式的增长。为了保障对内容的访问体验,互联网公司需要在不同的运营商、不同的省份/城市批量部署业务服务器用以对外提供服务,并为业务模块间的通信建立IDC内部网络、城域网和广域网,同时通过自建CDN或CDN专业服务公司对服务盲点进行覆盖。因此随着业务的增长,运维部门也显得愈发重要。他们经过这些年的积累,逐步形成了高效的运维体系。本文将结合国内互联网公司的经验,重点针对IT基础设施的新一代自动化运维体系展开讨论。
一、运维的三个阶段
● 第一个阶段:人人皆运维
在早期,一个公司的IT基础设施尚未达到一定的规模(通常在几台到几十台机器的规模),不一定有专门的运维人员或部门,运维的工作分担在各类岗位中。研发人员拥有服务器权限,自己维护和管理线上代码及业务。
● 第二个阶段:纵向自动化
随着业务量的增长,IT基础设施发展到了另外一个量级(通常在上百台至几千台机器的规模),开始有专门的运维人员,从事日常的安装维护工作,扮演"救火队员",收告警,有运维规范,但运维主要还是为研发提供后置服务。
这个阶段已经开始逐步向流程化处理进行过渡,运维部门开始输出常见问题处理的清单,有了自己业务范围适用的自动化脚本,开始利用开源软件的拼装完成大部分的工作。
具体表现为:各产品线有自己编写的脚本,利用如SVN+puppet或chef来完成服务器的上线和配置管理等工作。
● 第三阶段:一切皆自动
在互联网化的大潮中,越来越多的黑马团队应运而生,都曾有过短时间内用户访问量翻N倍的经历。在流量爆发的过程中,ICP的互联网基础服务设施是否能够很好的跟进,直接决定了业务内容能否满足海量用户的并发访问。
与此同时,运维系统需要足够地完善、高效、流程化。谷歌、腾讯、网络和阿里等规模的公司内一般都有统一的运维团队,有一套或多套自动化运维系统可供参照,运维部门与开发部门会是相互平行的视角。并且也开始更加关注IT基础设施在架构层面的优化以及超大规模集群下的自动化管理和切换(如图1所示)。
图1.大型互联网公司IT基础设施情况概览
二、BAT(网络、阿里、腾讯)运维系统的分析
国内的互联网公司网络、阿里、腾讯(以下简称:BAT)所提供的主要业务内容不同,IT架构不同,运维系统在发展过程中有不同的关注点。
1.腾讯运维:基于ITIL的运维服务管理
预计到2015年腾讯在全国将拥有60万台服务器。随着2012年自动化部署实践的成功,目前正在进行自动化验收的工作。在网络设备方面,后续将实现从需求端开始的全自动化工作:设备清单自动生成->采购清单自动下发->端口连接关系、拓扑关系自动生成->配置自动下发->自动验收。整个运维流程也已由初期的传统IT管理演进到基于ITIL的服务管理流程(如图2所示)。
图2.腾讯基于ITIL的运维服务管理
2.阿里运维系统:基于CMDB的基础设施管理+逻辑分层建模
CMDB(Configuration Management Database) 配置管理数据库(以下简称:CMDB),将IT基础架构的所有组件存储为配置项,维护每个配置项的详细数据,维护各配置项之间的关系数据以及事件、变更历史等管理数据。通过将这些数据整合到中央存储库,CMDB可以为企业了解和管理数据类型之间的因果关系提供保障。同时,CMDB与所有服务支持和服务交付流程都紧密相联,支持这些流程的运转、发挥配置信息的价值,同时依赖于相关流程保证数据的准确性。可实现IT服务支持、IT运维以及IT资产管理内部及三者之间的流程整合与自动化。在实际的项目中,CMDB常常被认为是构建其它ITIL流程的基础而优先考虑,ITIL项目的成败与是否成功建立CMDB有非常大的关系。
3.网络自动化运维:部署+监控+业务系统+关联关系
网络主要面临的运维挑战包括:突发的流量变化、复杂环境的关联影响、快速迭代的开发模式以及运维效率、运维质量、成本之间的平衡等等。网络的运维团队认为,当服务器规模达到上万台时,运维视角需要转为以服务为粒度。万台并不等于"百台*100";机器的运行状态,也不再代表业务的工作状态;运维部门为研发提供前置服务,服务与服务之间关系也随着集群的扩大逐渐复杂起来。
图3.网络自动化运维技术框架
网络的自动化运维技术框架,划分为部署、监控、业务系统、关联关系四大部分,整个框架更多突出了业务与IT基础设施的融合,注重"关联关系"的联动。所谓关联关系,主要是指任务与任务之间的时序依赖关系、任务与任务之间的数据依赖关系、任务与资源之间的引用依赖关系,分别对应到任务调度、数据传输、资源定位的服务流程中,形成了多条服务链。
关联关系的运维与业务较强相关,需要有一套系统能够理清楚关系的全貌,从而在复杂的服务链上,定位运行所在的环节,并在发生故障时预估影响范围,及时定位并通知相应的部门。在这样的一套系统中,自动化监控系统非常重要。网络的技术监控框架,主要通过数据采集、服务探测、第三方进行信息收集,进行监控评估后交给数据处理和报警联动模块处理,通过API接口进行功能扩充(如图4所示)。
图4.网络自动化技术监控框架
其实无论是BAT等互联网企业还是其他行业的企业,在IT建设中都会遵循IT基础架构库(ITIL)或ISO20000服务管理的最佳实践,采用自动化IT管理解决方案以实现重要的业务目标,如减少服务中断、降低运营成本、提高IT效率等等。随着ISO20000、ITIL v3.0的发布和推广,两者已经成为事实上的某种标准。在当今企业IT管理领域,对两个标准有着很迫切的需求。特别是ISO20000的认证要求,已经成为企业越来越普遍的需求 。ITIL v3.0包含了对IT运维从战略、设计到转换、运营、改进的服务全生命周期的管理,相关方案往往覆盖了多个领域和多个产品,规划实施和工具的选择会比较纠结。如果选择开源的工具,从CMDB开始就会遇到很多的开发工作,对于很多注重成本收益比的企业,可以参考,但由于无法保证性能与效果并不一定适用。因此,成熟的商业方案会是更好的选择。
最新的iMC V7版本,围绕资源、用户、业务三个维度进行创新,发布了SOM服务运维管理(基于ISO20000、ITIL标准)等组件,增加了对服务器的管理,能很好的满足更多互联网化的场景需求。
通常认为,一个高效、好用的配置管理数据库一般需要满足6条重要标准,即联合、灵活的信息模型定义、标准合规、支持内置策略、自动发现和严格的访问控制。企业IT基础架构的元素类型、管理数据的类型往往有较多种,如网络设备、服务器、虚拟机等,因此对于多种信息的存储需要有合适的联合的方法。虽然 iMC智能管理平台在网络设备、服务器设备等方面已经能够较好的的满足,但是随着服务器虚拟化技术的发展,虚拟机正越来越多的成为IT基础架构的一大元素。因此,针对这一需求华三通信基于CAS CVM虚拟化管理系统,对服务器CPU、内存、磁盘I/O、网络I/O等更细节的重要资源以及虚拟机资源进行全面的管理。与BAT不同,华三通信的网管软件面向全行业,目前虽然没有对域名管理等特殊资源的'管理,但是能够通过API接口等方式与特有系统进行联动,进而满足定制化运维的需求,尤其是在互联网化的场景中,针对不同的业务需求,可以实现很多定制化的对接需求,例如,iMC+WSM组件与国内某大互联网公司自有Portal系统进行了对接,打通了iMC工具与用户自有运维平台,很好的实现了架构融和。另外,与阿里的逻辑分层建模相似,H3C "iMC+CAS"软件体系在上层也做了很多的逻辑抽象、分层,形成了诸多的模块,也即是大家看到的各种组件。
三、网络自动化运维体系
"哪怕是一个只有基础技术能力的陌生人,也能做专业的IT运维;哪怕是一个只有初中学历的运维人员,也能够带队完成中小型机房节点的建设,并负责数百至上千台服务器的维护管理工作"--这是一些公司对自己IT运行维护水平的一个整体评价。看似有些夸大的嫌疑,但实际上依托于强大的IT运维系统,国内已经有不少互联网公司能够达到或者接近这一标准。
这些企业都经历了运维发展过程中的各个阶段,运维部门曾经也是被动的、孤立的、分散的"救火队"式的团队,在后来的发展过程中,IT系统架构逐渐走向标准化、模型化,运维部门建立了完整的设备、系统资源管理数据库和知识库,包括所有硬件的配置情况、所有软件的参数配置,购买日期、维修记录,运维风险看板等等,通过网管软件,进行系统远程自动化监控。运维过程中系统会收集所有的问题、事件、变更、服务级别等信息并录入管理系统,不断完善进而形成一套趋向自动化的运作支撑机制。按照云计算的体系架构,在这样一套系统中,主要的IT资源包括计算、存储、网络资源,近些年随着网络设备厂商的推动,网络设备管理方面的自动化技术也得到十足的发展。
总结来看,一个企业在进行互联网化的建设初期,就需要考虑到随着用户访问量的增加,资源如何进行扩展。具体可以细化为规划、建设、管理、监控、运维五个方面。
1.规划模型化
为了确保后续业务能够平滑扩容,网管系统能够顺利跟进,互联网企业一般在早期整体系统架构设计时便充分考虑到标准化、模型化,新增业务资源就好比点快餐,随需随取。
标准化:一是采用标准协议和技术搭建,扩展性好,使用的产品较统一,便于管理;二是采用数据中心级设备,保证可靠性、灵活性,充分考虑业务系统对低时延的要求。
模型化:基于业务需求设计网络架构模型,验证后形成基线,可批量复制,统一管理,也适宜通过自动化提高部署效率、网管效率。
图5.常见互联网IDC架构
2.建设自动化
互联网IT基础设施具备批量复制能力之后,可以通过自动化技术,提高上线效率。在新节点建设过程中,3~5人的小型团队即可完成机房上线工作。例如某互联网公司某次针对海外紧急业务需求,一共派遣了2名工程师到现场进行设备安装部署和基本配置,而后通过互联网链路,设备从总部管理系统中自动获取配置和设备版本,下载业务系统,完成设备安装到机房上线不超过1周时间。
要达到自动化运维的目标,建设过程中需要重点考虑批量复制和自动化上线两个方面(如图6所示)。
批量复制:根据业务需要,梳理技术关注点,设计网络模型,进行充分测试和试点,输出软、硬件配置模板,进而可进行批量部署。
自动化上线:充分利用TR069、Autoconfig等技术,采用零配置功能批量自动化上线设备,效率能够得到成倍提升。
图6.批量配置与自动化上线
○ Autoconfig与TR069的主要有三个区别:
○ Autoconfig适用于零配置部署,后续一般需要专门的网管系统;TR069是一套完整的管理方案,不仅在初始零配置时有用,后续还可以一直对设备进行监控和配置管理、软件升级等。
○ Autoconfig使用DHCP与TFTP--简单,TR069零配置使用DHCP与HTTP--复杂,需要专门的ACS服务器。
安全性:TR069更安全,可以基于HTTPS/SSL。
而H3C iMC BIMS实现了TR-069协议中的ACS(自动配置服务器)功能,通过TR-069协议对CPE设备进行远程管理,BIMS具有零配置的能力和优势,有灵活的组网能力,可管理DHCP设备和NAT后的私网设备。BIMS的工作流程如图7所示。
图7.H3C iMC BIMS工作流程
3.管理智能化
对于网管团队而言,需要向其他团队提供便利的工具以进行信息查询、告警管理等操作。早期的网管工具,往往离不开命令行操作,且对于批量处理的操作支持性并不好,如网络设备的MIB库相比新的智能化技术Netconf,好比C和C++,显得笨拙许多。因此使用的角度考虑,图形化、智能化的管理工具,往往是比较受欢迎。
智能化:使用新技术,提升传统MIB式管理方式的处理效率,引入嵌入式自动化架构,实现智能终端APP化管理(如图8所示)。
图8.消息、事件处理智能化
● Netconf技术
目前网络管理协议主要是SNMP和Netconf。SNMP采用UDP,实现简单,技术成熟,但是在安全可靠性、管理操作效率、交互操作和复杂操作实现上还不能满足管理需求。Netconf采用XML作为配置数据和协议消息内容的数据编码方式,采用基于TCP的SSHv2进行传送,以RPC方式实现操作和控制。XML可以表达复杂、具有内在逻辑、模型化的管理对象,如端口、协议、业务以及之间的关系等,提高了操作效率和对象标准化;采用SSHv2传送方式,可靠性、安全性、交互性较好。二者主要对比差异如表1所示。
表1 网管技术的对比
● EAA嵌入式自动化架构
EAA自动化架构的执行包括如下三个步骤。
○ 定义感兴趣的事件源,事件源是系统中的软件或者硬件模块,如:特定的命令、日志、TRAP告警等。
○ 定义EAA监控策略,比如保存设备配置、主备切换、重启进程等。
○ 当监控到定义的事件源发生后,触发执行EAA监控策略。
4.监控平台化
利用基本监控工具如Show、Display、SNMP、Syslog等,制作平台化监控集成环境,实现全方位监控(如图所示)。
;