Plánování návrhu skupiny pro správu
Přehled
Skupinu pro správu identifikuje jedna provozní databáze, jeden nebo více serverů pro správu a jeden nebo více monitorovaných agentů a zařízení. Připojení skupin pro správu umožňuje zobrazení a úpravy výstrah a dalších dat monitorování z jedné konzoly. Úlohy je možné zahájit také z místní skupiny pro správu, aby běžely na spravovaných objektech připojené skupiny pro správu.
Nejjednodušší implementace Operations Manageru je jedna skupina pro správu. Každá další skupina vyžaduje alespoň vlastní provozní databázi a server pro správu. Každá skupina musí být také samostatně udržována s vlastním nastavením konfigurace, sadami Management Pack a integrací s jinými řešeními monitorování a ITSM.
Implementace distribuované skupiny pro správu bude tvořit základ 99 % nasazení Operations Manageru. Umožňuje distribuci funkcí a služeb na více serverech, což umožňuje škálovatelnost a redundanci některých z těchto funkcí. Může obsahovat všechny role serveru Operations Manageru a podporuje monitorování zařízení přes hranice důvěryhodnosti pomocí serveru brány.
Následující diagram představuje jednu z možných možností topologie distribuované skupiny pro správu.
Poznámka:
Mezi konzolou Operations Console a databázemi není žádná přímá komunikace. Veškerá komunikace se přes port TCP 5724 přesměruje na konkrétní server pro správu a pak na databázové servery využívající OLE DB na TCP 1433 nebo na uživatelem definovaný port určený správcem SQL během instalace instance databázového stroje SQL Serveru. Mezi konzolou Application Diagnostics (spolu s webovou konzolou) a SQL Serverem, který je hostitelem provozních databází a databází datového skladu, je však přímá komunikace.
Skupina pro správu, kterou jste nasadili ve svém prostředí, může integrovat se sadou Microsoft Operations Management Suite (OMS) a pomocí Log Analytics můžete dále korelovat, vizualizovat a reagovat na výkon, události a výstrahy. Díky tomu budete moct provádět vlastní vyhledávání v celé datové sadě, abyste mohli korelovat data mezi systémy a aplikacemi, hostovanými místně nebo v cloudu.
Integrace s Operations Managerem se rozšiřuje na další produkty, jako jsou BMC Remedy, IBM, Netcool nebo jiná podniková řešení pro správu, která vaše organizace používá. Další informace o plánování interoperability s těmito řešeními najdete v tématu Integrace s jinými řešeními pro správu.
Součásti skupiny pro správu
Server pro správu
V Operations Manageru 2007 byl kořenový server pro správu (RMS) specializovaným typem serveru pro správu ve skupině pro správu a byl prvním serverem pro správu nainstalovaným ve skupině pro správu. Rms byl ústředním bodem pro správu konfigurace skupiny pro správu, správu a komunikaci s agenty a komunikaci s provozní databází a dalšími databázemi ve skupině pro správu. Rms také slouží jako cíl pro konzolu Operations Console a upřednostňovaný cíl pro webové konzoly. V nástroji System Center 2012 R2 – Operations Manager byla odebrána role kořenového serveru pro správu a všechny servery pro správu jsou teď peery. Tato konfigurace stále existuje v nástroji System Center 2016 a novějším – Operations Manageru.
Služba RMS už není kritickým bodem selhání, protože všechny servery pro správu hostují služby dříve hostované pouze službou RMS. Role se distribuují na všechny servery pro správu. Pokud se jeden server pro správu stane nedostupným, automaticky se redistribuují jeho povinnosti. Role emulátoru SLUŽBY RMS poskytuje zpětnou kompatibilitu sad Management Pack určených pro službu RMS. Pokud nemáte žádné sady Management Pack, které dříve cílí na službu RMS, nebudete muset používat emulátor služby RMS.
Skupina pro správu může obsahovat více serverů pro správu, aby poskytovala další kapacitu a nepřetržitou dostupnost. Při přidání dvou nebo více serverů pro správu do skupiny pro správu se servery pro správu automaticky stanou součástí tří výchozích fondů zdrojů a práce se rozdělí mezi členy fondu. Pro vlastní definované fondy zdrojů se členové přidávají ručně. Pokud některý člen fondu zdrojů selže, ostatní členové ve fondu zdrojů zabíjejí úlohu daného člena. Když přidáte nový server pro správu, nový server pro správu automaticky převezme některé práce od stávajících členů ve fondu zdrojů. Projděte si aspekty návrhu fondu zdrojů a přečtěte si další informace o tom, jak fungují, a doporučení, která ovlivňují váš plán návrhu.
Pokud je server pro správu z nějakého důvodu nedostupný, agenti, kteří na něj spoléhají, automaticky převezme služby při selhání na jiný server pro správu. Při výběru počtu a umístění serverů pro správu by se tato schopnost převzetí služeb při selhání měla zvážit, pokud je požadavkem vysoká dostupnost.
Agenti se připojují k serveru pro správu, aby komunikují se všemi ostatními komponentami nástroje Operations Manager. Některá práce prováděná serverem pro správu je proces převzetí provozních dat odesílaných agenty a jejich vložení do provozní databáze a datového skladu.
Typický server pro správu bude zpracovávat přibližně 3 000 agentů. Skutečný výkon serveru se liší podle objemu shromážděných provozních dat; Servery pro správu ale obvykle podporují 3 000 agentů, a to i s relativně velkým objemem provozních dat.
Maximální počet serverů pro správu na skupinu pro správu není nijak omezený. Osvědčeným postupem je ale použít co nejméně serverů pro správu po vyřešení škálovatelnosti, vysoké dostupnosti a omezení zotavení po havárii.
Servery pro správu by měly mít dobré síťové připojení k databázi a datovému skladu Operations Manageru, protože do těchto úložišť často odesílají velké objemy dat. Obecně platí, že tato připojení SQL Serveru spotřebovávají větší šířku pásma a jsou citlivější na latenci sítě. Proto by všechny servery pro správu měly být ve stejné místní síti jako provozní databáze a databáze datového skladu a nikdy se nenasadily v síti wide area network. Mezi serverem pro správu a instancí SQL Serveru, která je hostitelem databází Operations Manageru, by měla být latence menší než 10 milisekund.
Server brány
Nástroj Operations Manager před výměnou informací mezi nimi vyžaduje vzájemné ověřování mezi agenty a servery pro správu. K zabezpečení procesu ověřování mezi těmito dvěma je proces zašifrovaný. Pokud se agent a server pro správu nacházejí ve stejné doméně služby Active Directory nebo v doménách služby Active Directory, které mají vytvořené vztahy důvěryhodnosti, využívají mechanismy ověřování Kerberos V5 poskytované službou Active Directory. Pokud agenti a servery pro správu neleží ve stejné hranici důvěryhodnosti, je potřeba použít jiné mechanismy, aby splňovaly požadavek na zabezpečené vzájemné ověřování.
Servery brány se používají, když brána firewall odděluje agenty od serverů pro správu nebo když jsou agenti v samostatné nedůvěryhodné doméně. Server brány funguje jako proxy server mezi agenty a serverem pro správu. Bez serveru brány by agenti mohli i nadále provádět ověřování pomocí certifikátu se serverem pro správu, ale certifikát X.509 by se muset vydat a nainstalovat na každého agenta pomocí nástroje MOMCertImport.exe a každý z nich by vyžadoval přístup k serveru pro správu přes bránu firewall. Pokud jsou agenti ve stejné doméně jako server brány nebo jsou v důvěryhodné doméně, můžou použít ověřování protokolem Kerberos. V takovém případě budou certifikáty vyžadovat pouze server brány a připojené servery pro správu. To zahrnuje monitorování virtuálních počítačů spuštěných v infrastruktuře Microsoft Azure jako služby (IaaS) pomocí Operations Manageru (tj. hybridního monitorování cloudu), který není připojený ke stejné důvěryhodné sférě jako role podporující skupinu pro správu Operations Manageru, nebo jste nasadili Operations Manager v Azure IaaS (virtuální počítač s SQL Serverem, který hostuje provozní databáze a jeden nebo více virtuálních počítačů hostující roli serveru pro správu) a monitorují nedůvěryhodné. místní úlohy.
Následuje příklad nasazení Operations Manageru, který monitoruje prostředky Azure IaaS.
Následuje příklad nasazení Operations Manageru hostovaného v Azure IaaS.
Servery brány se obvykle nepoužívají ke správě využití šířky pásma, protože celkový objem dat odesílaných z agentů na server pro správu je podobný tomu, jestli se používá server brány nebo ne. Zamýšleným účelem serveru brány je snížit úsilí potřebné ke správě certifikátů pro agenty v nedůvěryhodných doménách a snížit počet komunikačních cest, které musí být povoleny přes brány firewall.
- Mít více než 2 000 agentů na server brány může nepříznivě ovlivnit schopnost zotavení v případě trvalého výpadku, který brání serveru brány v komunikaci se serverem pro správu. Pokud je vyžadováno více než 2 000 agentů, doporučuje se více serverů brány. Alternativou, pokud je čas obnovení serveru brány problém, je otestovat systém, aby se zajistilo, že server brány dokáže rychle vyprázdnit svou frontu po trvalém výpadku mezi serverem brány a serverem pro správu. Kromě toho se po vyplnění příchozí fronty na serveru brány data ve frontě zahodí podle priority, což znamená, že trvalý výpadek serveru brány v tomto scénáři může vést ke ztrátě dat.
- Pokud je k serverům brány připojený velký počet agentů, zvažte použití vyhrazeného serveru pro správu pro všechny servery brány. Když se všechny servery brány připojí k jednomu serveru pro správu bez dalších agentů, kteří k němu nejsou připojení, může zrychlit dobu obnovení v případě trvalého výpadku. Efektivní zatížení serveru pro správu je celkový počet agentů, kteří ho hlásí přímo nebo prostřednictvím serverů brány.
- Pokud chcete zabránit tomu, aby server brány inicioval komunikaci se serverem pro správu, včetně případů, kdy je nakonfigurováno na převzetí služeb při selhání mezi několika servery pro správu kvůli vysoké dostupnosti, nástroj schválení brány obsahuje argument příkazového řádku /ManagementServerInitiatesConnection. Nástroj Operations Manager tak může odpovídat zásadám zabezpečení zákazníka, pokud jsou systémy nasazené v DMZ nebo jiném síťovém prostředí a komunikaci je možné zahájit pouze z intranetu.
Server webové konzoly
Webová konzola poskytuje rozhraní pro skupinu pro správu, která je přístupná prostřednictvím webového prohlížeče. Nemá úplnou funkčnost konzoly Operations Console a poskytuje přístup pouze k zobrazení Monitorování a Pracovní prostor. Webová konzola poskytuje přístup ke všem datům monitorování a úlohám, které jsou akce, které lze spouštět na monitorovaných počítačích z konzoly Operations Console. Přístup k datům ve webové konzole má stejná omezení jako přístup k obsahu v konzole Operations Console.
Server pro sestavy
Generování sestav pro System Center – Operations Manager je nainstalované ve službě SQL Server Reporting Services (která je podporována verzí nástroje Operations Manager, kterou používáte) a jedinou platnou konfigurací služby Reporting Services, kterou podporuje generování sestav nástroje Operations Manager, je nativní režim.
Poznámka:
Instalace služby System Center – Operations Manager Reporting Services integruje zabezpečení instance služby SQL Reporting Services se zabezpečením založeným na rolích nástroje Operations Manager. V této instanci SQL Serveru neinstalujte žádné jiné aplikace služby Reporting Services.
Součásti serveru sestav Operations Manageru je možné nainstalovat na stejný server, na kterém běží SQL Server 2014 nebo 2016 Reporting Services nebo na jiném počítači. Pokud chcete dosáhnout optimálního výkonu, zejména v podnikovém prostředí s vysokým objemem, paralelní generování sestav uživateli, zatímco interaktivní nebo plánované sestavy zpracovávají souběžně, je potřeba vertikálně navýšit kapacitu, abyste zvládli více souběžných uživatelů a větší zatížení spouštění sestav. Doporučuje se, aby služba Generování sestav nástroje Operations Manager nebyla umístěná ve stejném SQL Serveru, který je hostitelem databáze datového skladu a nainstalována ve vyhrazeném systému.
Provozní databáze
Provozní databáze je databáze SQL Serveru, která obsahuje všechna provozní data, informace o konfiguraci a pravidla monitorování pro skupinu pro správu. Databáze Operations Manageru je jedním zdrojem selhání skupiny pro správu, takže ji lze zpřístupnit s využitím podporovaných konfigurací clusteringu.
Chcete-li zachovat tuto databázi v konzistentní velikosti, nastavení výmazu dat v Nástroji Operations Manager určuje dobu, po kterou mohou být v ní data zachována. Ve výchozím nastavení je tato doba trvání sedm (7) dnů.
Databáze datového skladu pro generování sestav
Datový sklad pro generování sestav je databáze SQL Serveru, která shromažďuje a ukládá provozní data pro dlouhodobé generování sestav. Tato data se zapisuje přímo z pravidel, která shromažďují data pro sestavy a z procesů synchronizace dat v provozní databázi. Operations Manager automaticky provádí údržbu datového skladu, včetně agregace, výmazu a optimalizace.
Následující tabulka uvádí výchozí datové typy a dobu uchovávání po počátečním nastavení databáze datového skladu.
| Datová sada | Typ agregace | Doba uchování (dny) |
|---|---|---|
| Výstrahy | Nezpracováno | 400 |
| Monitorování klientů | Nezpracováno | 30 |
| Monitorování klientů | Každý den | 400 |
| Události | Nezpracováno | 100 |
| Výkon | Nezpracováno | 10 |
| Výkon | Hodinově | 400 |
| Výkon | Každý den | 400 |
| State | Nezpracováno | 180 |
| State | Hodinově | 400 |
| State | Každý den | 400 |
Datový sklad může obsluhovat více skupin pro správu. To umožňuje, aby jedna sestava zahrnovala data ze všech počítačů v celé organizaci.
Stejně jako databáze Operations Manageru může být databáze datového skladu clusterována pro zajištění vysoké dostupnosti. Pokud není clusterovaný, měli byste ho pečlivě monitorovat, aby bylo možné rychle vyřešit všechny problémy.
Kolekce služby ACS
Kolekce služby ACS přijímá a zpracovává události od služeb předávání ACS a pak tato data odesílá do databáze služby ACS. Toto zpracování zahrnuje demontáž dat, aby bylo možné je rozdělit do několika tabulek v databázi služby ACS, minimalizovat redundanci dat a použít filtry, aby se do databáze služby ACS nepřidály zbytečné události.
Databáze služby ACS
Databáze služby ACS je centrálním úložištěm událostí generovaných zásadami auditu v rámci nasazení služby ACS. Databáze služby ACS může být umístěna ve stejném počítači jako kolekce služby ACS, ale pro zajištění nejlepšího výkonu by se každá databáze měla nainstalovat na vyhrazený server. Ve výchozím nastavení se data uchovávají čtrnáct (14) dnů.
Předávání ACS
Služba, která běží na službě předávání ACS, je součástí agenta operations manageru. Ve výchozím nastavení je tato služba nainstalována, ale není povolena při instalaci agenta Operations Manageru. Tuto službu můžete povolit pro více počítačů agentů najednou pomocí úlohy Povolit kolekci auditů nebo pomocí PowerShellu. Po povolení této služby se všechny události zabezpečení posílají do kolektoru služby ACS kromě místního protokolu zabezpečení.
Aspekty návrhu
Při rozhodování o implementaci jedné nebo více skupin pro správu byste měli vzít v úvahu následující faktory:
- Zvýšená kapacita. Operations Manager nemá žádná předdefinovaná omezení týkající se počtu agentů, které může jedna skupina pro správu podporovat. V závislosti na používaném hardwaru a zatížení monitorování (více nasazených sad Management Pack znamená vyšší zátěž monitorování) ve skupině pro správu možná budete potřebovat více skupin pro správu, aby se zachoval přijatelný výkon.
- Konsolidovaná zobrazení. Pokud se k monitorování prostředí používá více skupin pro správu, je potřeba mechanismus, který poskytuje konsolidované zobrazení dat monitorování a upozorňování z nich. Toho lze dosáhnout nasazením další skupiny pro správu (která může nebo nemusí mít žádnou odpovědnost za monitorování), která má přístup ke všem datům ve všech ostatních skupinách pro správu. Tyto skupiny pro správu se pak označují jako připojené. Skupina pro správu, která slouží k poskytnutí konsolidovaného zobrazení dat, se nazývá místní skupina pro správu a ostatní, kteří jí poskytují data, se nazývají Připojené skupiny pro správu.
- Zabezpečení a správa Dělení skupin pro správu z bezpečnostních a administrativních důvodů je podobné delegování správní autority nad organizačními jednotkami nebo doménami služby Active Directory do různých skupin pro správu. Vaše společnost může obsahovat několik IT skupin, z nichž každá má vlastní oblast odpovědnosti. Oblast může být konkrétní geografickou oblastí nebo obchodním oddělením. Například v případě holdingové společnosti to může být jedna z dceřiných společností. Pokud existuje tento typ úplného delegování správního orgánu z centralizované SKUPINY IT, může být užitečné implementovat strukturu skupin pro správu v každé oblasti. Pak je můžete nakonfigurovat jako připojené skupiny pro správu k místní skupině pro správu, která se nachází v centrálním datovém centru IT.
- Nainstalované jazyky. Všechny servery s nainstalovanou rolí serveru Operations Manageru musí být nainstalované ve stejném jazyce. To znamená, že server pro správu nemůžete nainstalovat pomocí anglické verze Operations Manageru 2012 R2 a pak nasadit konzolu Operations Console pomocí japonské verze. Pokud monitorování potřebuje více jazyků, bude pro každý jazyk operátorů potřeba další skupina pro správu.
- Produkční a předprodukční funkce. V Operations Manageru se doporučuje mít produkční implementaci, která se používá k monitorování produkčních aplikací a předprodukční implementace, která má minimální interakci s produkčním prostředím. Předprodukční skupina pro správu se používá k testování a ladění funkcí sady Management Pack před migrací do produkčního prostředí. Některé společnosti navíc používají přípravné prostředí pro servery, kde jsou nově sestavené servery umístěny po dobu hořící doby před umístěním do produkčního prostředí. Předprodukční skupinu pro správu je možné použít k monitorování přípravného prostředí, aby se zajistil stav serverů před uvedením do produkčního prostředí.
- Vyhrazená funkce služby ACS Pokud vaše požadavky zahrnují potřebu shromažďovat události protokolu zabezpečení auditu systému Windows nebo události zabezpečení systému UNIX/Linux, implementujete službu Audit Collection Service (ACS). Je vhodné implementovat skupinu pro správu, která podporuje funkci služby ACS výhradně v případě, že požadavky vaší společnosti na zabezpečení vyžadují, aby byla funkce služby ACS řízena a spravována jinou skupinou pro správu, než která spravuje zbytek produkčního prostředí.
- Funkce zotavení po havárii V Operations Manageru se všechny interakce s databází Operations Manageru zaznamenávají do transakčních protokolů před potvrzením do databáze. Tyto transakční protokoly lze odeslat na jiný server, na kterém běží Microsoft SQL Server, a potvrdit je do kopie databáze operations manageru. Tato funkce je možnost poskytnout redundanci provozní databáze Operations Manageru mezi dvěma SQL Servery ve stejné skupině pro správu. Když je potřeba provést řízené převzetí služeb při selhání, servery pro správu ve skupině pro správu vyžadují změnu registru, aby bylo možné odkazovat na sekundární SQL Server a komunikovat s ní. Skupinu pro správu převzetí služeb při selhání je možné nasadit, která odpovídá přesné konfiguraci primární skupiny pro správu (sady Management Pack, přepsání, odběry oznámení, zabezpečení atd.) a agenti jsou nakonfigurovaní tak, aby se hlásily oběma skupinám pro správu. Pokud se primární skupina pro správu z nějakého důvodu stane nedostupnou, nedojde k žádnému výpadku monitorovacího prostředí. Toto řešení zajišťuje kontinuitu služeb skupiny pro správu a nulovou ztrátu provozního monitorování.
Před nasazením nástroje System Center Operations Manager v produkčním prostředí naplánujte návrh skupiny pro správu. Během fáze plánování porozužíte komponentám it služeb (tj. infrastruktuře a úrovni aplikací) a počtu systémů a zařízení, která je podporují, jak bude integrovat a podporovat procesy správy incidentů a problémů a jak vizualizovat data pro různé úrovně podpory eskalace incidentů, techniky, zákazníky služeb a správu.
Připojené skupiny pro správu
Mnoho podniků se servery v několika geografických umístěních vyžaduje centrální monitorování těchto serverů. Konfigurace připojené skupiny pro správu, znázorněná na obrázku níže, je sada procesů pracovního postupu, které jsou navržené k vytvoření infrastruktury pro správu hierarchických systémů.
Tuto konfiguraci lze použít k zajištění centralizovaného monitorování. Je navržená tak, aby podporovala zobrazování výstrah a dat monitorování a iniciovala úlohy vůči spravovanému objektu připojené skupiny pro správu.
Propojením skupin pro správu Operations Manageru je možné spravovat centralizované funkce monitorování a současně povolit:
- Monitorování většího počtu spravovaných objektů, než je možné u jedné skupiny pro správu.
- Izolace monitorovací aktivity podle logických organizačních jednotek, například Marketing, nebo fyzických umístění, jako je Řím.
Když připojíte skupiny pro správu, nenasazujete žádné nové servery; místo toho můžete místní skupině pro správu povolit přístup k upozorněním a informacím o zjišťování, které jsou v připojené skupině pro správu. Tímto způsobem můžete zobrazit a pracovat se všemi upozorněními a dalšími daty monitorování z více skupin pro správu v jedné konzole Operations Console. Kromě toho můžete úlohy spouštět na monitorovaných počítačích připojených skupin pro správu. Informace o připojení skupin pro správu najdete v tématu Připojení skupin pro správu v Operations Manageru.
Nainstalované jazyky
Skupiny pro správu Operations Manageru podporují pouze jeden nainstalovaný jazyk. Pokud má celkové prostředí IT, které potřebujete monitorovat, více než jeden nainstalovaný jazyk, bude pro každý jazyk potřeba samostatná skupina pro správu.