規劃管理群組設計
概觀
管理群組是由單一操作資料庫、一或多部管理伺服器,以及一或多個受監視的代理程式和裝置來識別。 線上管理群組可讓警示和其他監視數據從單一控制台進行檢視和編輯。 工作也可以從本機管理群組起始,以在連接的管理群組的 Managed 物件上執行。
最簡單的 Operations Manager 實作是單一管理群組。 每個額外的群組至少需要自己的操作資料庫和管理伺服器。 每個群組也必須分別使用自己的組態設定、管理元件,以及與其他監視和 ITSM 解決方案整合來維護。
分散式管理群組實作會形成 99% Operations Manager 部署的基礎。 它允許跨多部伺服器散發功能和服務,以允許某些功能的延展性和備援性。 它可以包含所有 Operations Manager 伺服器角色,並支援使用閘道伺服器跨信任界限監視裝置。
下圖代表分散式管理群組拓撲的其中一個可能選項。
注意
Operations 控制台與資料庫之間沒有直接通訊。 所有通訊都會透過埠 TCP 5724 導向至特定的管理伺服器,然後在安裝 SQL Server 資料庫引擎實例期間,使用 OLE DB 在 TCP 1433 上使用 OLE DB 或 SQL 系統管理員指定的使用者定義埠。 不過,應用程式診斷控制台(與 Web 控制台共置)與裝載作業和數據倉儲資料庫的 SQL Server 之間有直接通訊。
您在環境中部署的管理群組可以與 Microsoft Operations Management Suite (OMS) 整合,並利用 Log Analytics,進一步相互關聯、可視化及處理效能、事件和警示。 這可讓您提升可見度,方法是能夠跨整個數據集執行自定義搜尋,以便讓系統與應用程式、裝載於內部部署或雲端的數據相互關聯。
與 Operations Manager 整合延伸至其他產品,例如 BMC 補救、IBM、Netcool,或貴組織所使用的其他企業管理解決方案。 如需規劃這些解決方案互操作性的詳細資訊,請參閱 與其他管理解決方案的整合。
管理群元件
管理伺服器
在 Operations Manager 2007 中,根管理伺服器 (RMS) 是管理群組中特殊類型的管理伺服器,而且是第一部安裝在管理群組中的管理伺服器。 RMS 是管理管理群組組態、管理及與代理程序通訊,以及與管理群組中操作資料庫和其他資料庫通訊的焦點。 RMS 也做為 Operations 控制台的目標,以及 Web 控制台的慣用目標。 在 System Center 2012 R2 – Operations Manager 中,已移除根管理伺服器角色,而且所有管理伺服器現在都是對等。 此設定會繼續存在於 System Center 2016 和更新版本 - Operations Manager 中。
RMS 不再是單一失敗點,因為所有管理伺服器都裝載先前只由 RMS 裝載的服務。 角色會散發到所有管理伺服器。 如果其中一台管理伺服器無法使用,其負責的部分就會自動重新分配。 RMS 模擬器角色針對以 RMS 為目標的管理組件提供回溯相容性。 如果您沒有先前以 RMS 為目標的任何管理元件,則不需要使用 RMS 模擬器。
管理群組可包含多部管理伺服器,以提供額外的容量和不間斷的可用性。 將兩部以上的管理伺服器新增至管理群組時,管理伺服器會自動成為三個預設資源集區的一部分,且工作會分散到集區的成員。 針對自定義定義的資源集區,會手動新增成員。 當資源集區的成員失敗時,資源集區中的其他成員將會接管該成員的工作負載。 新增管理伺服器時,新的管理伺服器會自動從資源集區中的現有成員挑選部分工作。 請檢閱 資源集區設計考慮 ,以深入瞭解其運作方式,以及影響設計計劃的建議。
如果因為任何原因而無法使用管理伺服器,則依賴管理伺服器的代理程式預設會自動故障轉移至另一部管理伺服器。 選取管理伺服器的數目和位置時,如果高可用性是需求,就應該考慮此故障轉移能力。
代理程式會連線到管理伺服器,以與所有其他 Operations Manager 元件通訊。 管理伺服器執行的一些工作是處理代理程式傳送的作業數據,並將其插入操作資料庫和數據倉儲的程式。
一般管理伺服器將處理大約 3,000 個代理程式。 實際伺服器效能會根據所收集的操作數據量而有所不同;不過,管理伺服器通常可以支援 3,000 個代理程式,即使作業數據量相對較高。
每個管理群組的管理伺服器數目上限沒有限制。 不過,在解決延展性、高可用性和災害復原限制之後,最好盡可能少地使用管理伺服器。
管理伺服器應該能夠與 Operations Manager 資料庫和數據倉儲有良好的網路連線,因為它們經常將大量數據傳送到這些存放區。 一般而言,這些 SQL Server 聯機會耗用更多的頻寬,而且對網路等待時間更敏感。 因此,所有管理伺服器都應該位於與操作資料庫和數據倉儲資料庫相同的局域網路上,而且永遠不會跨廣域網部署。 管理伺服器與裝載 Operations Manager 資料庫之 SQL Server 實例之間的延遲應該少於 10 毫秒。
閘道伺服器
Operations Manager 需要在代理程式和管理伺服器之間執行相互驗證,才能在代理程式與管理伺服器之間交換資訊。 為了保護兩者之間的驗證程序安全,程序會經過加密。 當代理程式與管理伺服器位於同一個 Active Directory 網域或已建立信任關係的不同 Active Directory 網域中,它們會使用 Active Directory 所提供的 Kerberos V5 驗證機制。 當代理程式和管理伺服器不在相同的信任界限內時,必須使用其他機制來滿足安全的相互驗證需求。
當防火牆分隔代理程式與管理伺服器,或代理程式位於個別的不受信任網域時,會使用閘道伺服器。 閘道伺服器可作為代理程式與管理伺服器之間的 Proxy。 如果沒有閘道伺服器,代理程式仍然可以使用管理伺服器執行憑證驗證,但必須使用 MOMCertImport.exe 工具,在每個代理程式上發出並安裝 X.509 憑證,而且每個憑證都需要透過防火牆存取管理伺服器。 如果代理程式位於與閘道伺服器相同的網域中,或是它們位於信任的網域中,他們可能會使用 Kerberos 驗證。 在此情況下,只有閘道伺服器和連線的管理伺服器需要憑證。 這包括監視在 Microsoft Azure 基礎結構即服務中執行的虛擬機(IaaS),以及未加入與支援 Operations Manager 管理群組之角色相同的受信任領域,或您已在 Azure IaaS 中部署 Operations Manager(SQL Server 裝載操作資料庫和一或多部裝載管理伺服器角色的虛擬機),並監視不受信任的內部部署工作負載。
以下是監視 Azure IaaS 資源的範例 Operations Manager 部署。
以下是裝載在 Azure IaaS 中的 Operations Manager 部署範例。
閘道伺服器通常不會用於管理頻寬使用率,因為從代理程式傳送到管理伺服器的整體數據量與閘道伺服器是否使用類似。 網關伺服器的目的是減少管理不受信任網域中代理程序憑證所需的工作,並減少必須透過防火牆允許的通訊路徑數目。
- 每個閘道伺服器有超過 2,000 個代理程式,可能會對復原的能力產生負面影響,以防發生持續中斷,導致閘道伺服器無法與管理伺服器通訊。 如果需要超過 2,000 個代理程式,建議使用多個閘道伺服器。 或者,如果閘道伺服器復原時間是值得考慮的問題,就是測試系統,以確保閘道伺服器能夠在閘道伺服器與管理伺服器之間持續中斷之後快速清空其佇列。 此外,在網關伺服器上的傳入佇列填滿之後,佇列中的數據會根據其優先順序卸除,這表示此案例中持續網關伺服器中斷可能會導致數據遺失。
- 當有大量的代理程式透過閘道伺服器連線時,請考慮針對所有閘道伺服器使用專用的管理伺服器。 讓所有閘道伺服器都連線到單一管理伺服器,而沒有任何其他連線的代理程式,在持續中斷的情況下,可以加快復原時間。 管理伺服器上的有效負載是直接或透過閘道伺服器向它回報的代理程序總數。
- 為防止閘道伺服器起始與管理伺服器的通訊,包括設定為在多個管理伺服器之間故障轉移以提供高可用性時,網關核准工具包含 /ManagementServerInitiatesConnection 命令行自變數。 這可讓 Operations Manager 在 DMZ 或其他網路環境中部署系統時,符合客戶的安全策略,而且只能從內部網路起始通訊。
Web 主控台伺服器
Web 控制台提供可透過網頁瀏覽器存取的管理群組介面。 它沒有 Operations 控制台的完整功能,而且只提供監視和我的工作區檢視的存取權。 Web 控制台可讓您存取可從 Operations 主控台對受監視電腦執行的所有監視數據和工作。 在 Web 控制台中存取數據的限制與 Operations 控制台中內容的存取權相同。
報表伺服器
System Center 的報告 – Operations Manager 安裝在 SQL Server Reporting Services 上(由您使用的 Operations Manager 版本支援),而且 Operations Manager Reporting 支援的唯一有效 Reporting Services 組態是原生模式。
注意
安裝 System Center – Operations Manager Reporting Services 會將 SQL 報告 Services 實例的安全性與 Operations Manager 角色型安全性整合。 請勿在 SQL Server 的這個相同實例中安裝任何其他 Reporting Services 應用程式。
Operations Manager 報表伺服器元件可以安裝在執行 SQL Server 2014 或 2016 Reporting Services 或不同電腦上的相同伺服器上。 為了獲得最佳效能,特別是在使用者大量平行產生報表的企業環境中,同時進行互動式或排程報表的處理,您需要相應增加以處理更多並行使用者和較大的報表執行負載。 建議您不要將 Operations Manager Reporting Service 共置於裝載數據倉儲資料庫的相同 SQL Server 上,並安裝在專用系統上。
操作資料庫
作業資料庫是 SQL Server 資料庫,可保存管理群組的所有作業數據、組態資訊和監視規則。 Operations Manager 資料庫是管理群組的單一失敗來源,因此可以使用支援的叢集設定來提供高可用性。
若要讓此資料庫的大小保持一致,Operations Manager 中的清理設定會指定數據可能保留在其中的時間長度。 根據預設,此持續時間為七(7)天。
報表數據倉儲資料庫
報表數據倉儲是 SQL Server 資料庫,可收集和儲存作業數據以供長期報告。 此數據會直接從規則撰寫,這些規則會收集數據以報告作業資料庫中的數據同步處理程式。 Operations Manager 會自動執行數據倉儲的維護,包括匯總、梳理和優化。
下表醒目提示數據倉儲資料庫初始設定之後的預設數據類型和保留期間。
| 資料集 | 彙總類型 | 保留期間 (天數) |
|---|---|---|
| Alert | Raw | 400 |
| 用戶端監視 | Raw | 30 |
| 用戶端監視 | 每日 | 400 |
| 事件 | Raw | 100 |
| 效能 | Raw | 10 |
| 效能 | 每小時 | 400 |
| 效能 | 每日 | 400 |
| 州/省 | Raw | 180 |
| 州/省 | 每小時 | 400 |
| 州/省 | 每日 | 400 |
數據倉儲可能會為多個管理群組提供服務。 這可讓單一報表納入組織內所有計算機的數據。
如同 Operations Manager 資料庫,數據倉儲資料庫可以叢集以提供高可用性。 如果未叢集,則應該仔細監視,以便快速解決任何問題。
ACS 收集器
ACS 收集器負責接收並處理從 ACS 轉寄站傳來的事件,再將此資料傳送到 ACS 資料庫。 這項處理包括反組譯數據,使其可以分散到 ACS 資料庫中的數個數據表,將數據備援降至最低,並套用篩選,讓不必要的事件不會新增至 ACS 資料庫。
ACS 資料庫
ACS 資料庫是一個中央存放庫,用來存放 ACS 部署中稽核原則所產生的事件。 ACS 資料庫可以與 ACS 收集器位在同一部電腦上,但為獲得最佳效能,應將兩者各自安裝在專用的伺服器上。 根據預設,數據會保留 14 天(14 天)。
ACS 轉寄站
在 ACS 轉寄站上執行的服務包含在 Operations Manager 代理程式中。 此服務為預設安裝,但在 Operations Manager 代理程式安裝時尚未啟用。 您可以使用啟用稽核收集工作或使用 PowerShell,一次為多部代理程式電腦啟用此服務。 啟用此服務後,所有的安全性事件將會傳送到 ACS 收集器和本機安全性記錄中。
設計考量
決定實作單一或多個管理群組時,應考慮下列因素:
- 增加的容量。 Operations Manager 對於單一管理群組可支援的代理程式數目沒有內建限制。 根據您使用的硬體和監視負載(部署的更多管理元件表示管理群組的監視負載較高),您可能需要多個管理群組,才能維持可接受的效能。
- 合併檢視。 使用多個管理群組來監視環境時,需要一個機制來提供監視和警示數據的合併檢視。 這可以藉由部署其他管理群組來達成此目的,這些群組可能或可能沒有任何監視責任),其可存取所有其他管理群組中的所有數據。 然後,這些管理群組會說是連線的。 用來提供數據的合併檢視的管理群組稱為「本機管理」群組,而提供給數據的其他群組稱為「已連線的管理群組」。
- 安全性和系統管理。 基於安全性和系統管理原因分割管理群組的概念類似於將系統管理授權單位委派給不同的系統管理群組。 您的公司可能包含多個 IT 群組,每個群組都有自己的責任領域。 此區域可能是特定的地理區域或營業單位。 例如,在控股公司的情況下,它可以是其中一家子公司。 從集中式 IT 群組執行這類系統管理授權的完整委派存在時,在每一個區域中實作管理群組結構可能很有用。 然後,您可以將它們設定為連線的管理群組至位於集中式 IT 資料中心的本機管理群組。
- 已安裝的語言。 所有已安裝 Operations Manager 伺服器角色的伺服器都必須以相同語言安裝。 也就是說,您無法使用英文版的 Operations Manager 2012 R2 來安裝管理伺服器,然後使用日文版本部署 Operations Console。 如果監視需要跨越多種語言,運算子的每個語言都需要額外的管理群組。
- 生產階段和生產階段前功能。 在 Operations Manager 中,建議使用生產實作來監視生產應用程式,以及與生產環境互動最少的生產前實作。 生產階段前管理群組在移轉至生產環境之前,會先用於測試和微調管理元件功能。 此外,有些公司為新建置的伺服器採用預備環境,在進入生產環境之前,會先將新建的伺服器置於燃燒期間。 生產前管理群組可用來監視預備環境,以確保在生產推出之前伺服器的健康情況。
- 專用 ACS 功能。 如果您的需求包含收集 Windows 稽核安全性記錄事件或 UNIX/Linux 安全性事件的需求,您將實作 Audit Collection Service (ACS)。 如果您的公司的安全性需求規定 ACS 功能是由管理群組以外的管理群組控制及管理,則實作僅支援 ACS 函式的管理群組可能很有説明。
- 災害復原功能。 在 Operations Manager 中,所有與 Operations Manager 資料庫的互動都會記錄在事務歷史記錄中,再認可至資料庫。 這些事務歷史記錄可以傳送至執行 SQL Server Microsoft的另一部伺服器,並認可至該處的 Operations Manager 資料庫複本。 這項功能是一個選項,可在相同管理群組中的兩部 SQL Server 之間提供 Operations Manager 操作資料庫的備援。 需要執行受控故障轉移時,管理群組中的管理伺服器需要登錄變更,才能參考和與次要 SQL Server 通訊。 您可以部署故障轉移管理群組,其符合主要管理群組的確切組態(管理元件、覆寫、通知訂閱、安全性等),而且代理程式已設定為向這兩個管理群組報告。 如果整個管理群組因任何原因而無法使用,則不會停機監視環境。 此解決方案可確保管理群組的服務持續性,且作業監視不會遺失。
在生產環境中部署 System Center Operations Manager 之前,請先規劃管理群組的設計。 在規劃階段,瞭解IT服務元件(也就是基礎結構和應用層級),以及支援這些元件的系統和裝置數目、整合和支援您的事件和問題管理程式的方式,以及如何將不同事件呈報支援層、工程、服務取用者和管理的數據可視化。
已連線的管理群組
許多位於多個地理位置的伺服器企業都需要集中監視這些伺服器。 下圖所示的連線管理群組組態是一組工作流程程式,其設計目的是要建立階層式系統管理基礎結構。
此設定可用來達成集中式監視。 其設計目的是支持檢視警示和監視數據,以及針對已連線管理群組的 Managed 物件起始工作。
藉由連接 Operations Manager 管理群組,集中式監視功能可以同時啟用:
- 監視比單一管理群組可以的更多管理物件。
- 根據邏輯業務單位隔離監視活動,例如「行銷」或實體位置,例如羅馬。
當您連線到管理群組時,並不會部署任何新伺服器,而是允許本機管理群組存取連線管理群組中的警示和探索資訊。 如此一來,您就可以在單一 Operations 主控台中檢視和處理來自多個管理群組的所有警示和其他監視資料。 此外,您還可以在連線管理群組的受監視電腦上執行工作。 若要瞭解如何連線管理群組,請參閱 連接 Operations Manager 中的管理群組。
已安裝的語言
Operations Manager 管理群組僅支援一種已安裝的語言。 如果您需要監視的整體 IT 環境有多種安裝的語言,每種語言就需要獨立的管理群組。