开源软件建高校网站群
2013-09-10严世强肖众
文/严世强 肖众
随着信息化程度的普及和提高,高校各个机关部门及院系纷纷建立自己的网站,一些网络应用也通过网站形式发布。如何保障这些对外公共服务网站正常运转,做好数据备份和安全防护工作,提供不间断的高效信息服务,是信息管理部门必须要面临和解决的问题。针对这个情况,石家庄铁道大学在实践中摸索出一种通过开源软件实现的网站建设和管理模式。
网站建设和管理的结构
这种网站群构建和管理模式主要由以下几个部分组成,以独立主机或者虚拟机方式为每个网站提供独立的运行空间,并通过监控软件监控主机和网站的运行状态;通过反向代理服务器,为所有的网站提供页面缓存、提升访问速度、信息安全防护等功能;通过增量备份软件,对网站进行数据备份和数据安全监测,这个模式结构如图1所示。经过反复对比和实践,该模式采用了主流的、高性能的开源软件。通过这些开源软件构建了整个网站建设体系,节省了学校的资金投入。开源软件的开放性,也比较容易进行二次开发工作,以适应高校的具体需求。
网站空间的提供方式
图1 网站建设与管理模式结构说明
从绿色节能、节约资金和人力成本等角度考虑,全校所有对外提供公共服务的网站运行环境采用主机托管或者提供虚拟机的方式,由网络中心统一管理。根据网站构建的软件环境、应用规模、数据量大小,合理统筹将这些网站分类,分配使用不同性能的服务器。对于访问量较少,数据量增长不大的网站,通过虚拟机的方式提供。学校网站隶属不同部门,不同人员管理与维护,某些网站有可能存在网站脚本安全漏洞,而产生安全隐患。为了减少这种隐患所产生的安全问题影响,一般一台虚拟机仅运行一个网站,而不是采用通常的网站虚拟主机的方式。在Linux系统上使用VirtualBox提供各个网站所需要的虚拟机服务。为了便捷地管理这些虚拟机运行,通过使用开源的phpVirtualBox来实现,如图2所示。各个虚拟机的压力情况、网站的访问量、数据增长情况由监控软件zabbix进行实时监控。通过zabbix支持的“网站情景”功能,实时监控网站是否发生宕机等情况,如图3所示。一旦发现异常,通过自行编写的zabbix插件,自动将告警信息通过电子邮件或短信发送给系统管理员,这样就组成了支撑网站运行的完整虚拟化环境。
部署反向代理服务
使用反向代理技术为校园网内的网站提供内容缓存、降低服务主机负担和进行相关的安全防护。这里,采用了nginx这款高性能的反向代理服务软件,它能够提供支持高达 50000个并发连接数的响应,而且具有负载均衡服务的能力。通过反向代理服务不仅仅提高了网站的性能和响应速度,更重要的是通过反向代理服务的配置,能够建立相关的安全策略,更友好地实现页面访问响应。例如,仅可以准许某些特定IP地址访问网站的后台登录页面,对于nginx可以进行如下的配置:
location /administrator {
proxy_pass http://a.b.edu.cn;allowxxx.xxx.xxx.0/24;
deny all;
}
校园网网站一般由各个部门独立负责制作,水平参差不齐,经常会有HTTP 404这类的错误。另外校园网有些网站仅仅准许校园网内部访问,一些网站不恰当地连接这些信息,会导致HTTP 403这类错误。通过反向代理服务n g i n x配置文件的error_page命令,可以为所有网站的这类错误提供统一的提示信息处理界面,从而提升浏览者的访问体验满意度,提升高校的对外形象。
另外,通过反向代理服务器的部署,可以集中收集到各个网站的访问日志。通过使用webalizer或awstats日志分析软件,就能够方便地实现对全部网站访问日志进行集中的统计和分析。通过集中的日志分析和统计,能够帮助信息管理人员清晰、准确地获得这些网站外来访问信息,了解网站各页面的访问情况,以及各个网站提供信息服务的效能。根据这些统计结果,有助于信息管理人员提高网站的管理与服务质量,合理地分配各个网站所需的硬件资源,为未来网站的更新工作提供必要的数据参考。
网站数据的增量备份
对于网站而言,除了保证信息内容的安全外,最为关键的是保障信息的安全。网站服务器的工作状态是长期的不停机运行,不可避免地会出现服务器硬件失效的问题。所以,就需要进行经常性的备份工作。一旦发生服务器硬件故障的时候,能最大限度的地保障数据的完整性,及时恢复网站正常运行。为此,我们通过rsync软件,构建了远程备份系统。
在提供网站空间的服务器上,定时运行备份脚本。该脚本首先备份网站相关的数据库信息,然后再将全部的信息远程备份到rsync服务器上。由于高校校园网的网站更新频率较低,每日备份一次即可。采用增量备份模式,七天为一周期。这样,如果某些网站出现异常或者更新网站时发生意外错误,可以追溯七天的数据。备份脚
本示例如下:
#backup database
/path/mysqldump --add-drop-table衭username -ppassword databasename |gzip >/site/wwwroot/database/databasename.sql.gz
#rsync to rsync server every 7 days
HOMEDIR=/site/wwwroot
USERNAME=site_web_root
# directory to backup
BDIR=/site/wwwroot
# excludes file - this contains a wildcard pattern per line of files to exclude
EXCLUDES=/opt/rsync/nobackuplist
# the name of the backup machine
BSERVER=rsync_server_name
PASSWORDFILE=/opt/rsync/secrets.cfg
MODULE=site_web_root
BACKUPDIR=`date +%A`
OPTS="--force --ignore-errors --delete-excluded --excludefrom=$EXCLUDES --delete --backup --passwordfile=$PASSWORDFILE --backup-dir=/$BACKUPDIR -a -r "# clear incremental directory every 7 days
[ -d $HOMEDIR/emptydir ] || mkdir $HOMEDIR/emptydir
rsync --delete -a --password-file=$PASSWORDFILE $HOMEDIR/emptydir/ $USERNAME@$BSERVER::$MODULE/$BACKUPDIR/
rm -f -r $HOMEDIR/emptydir
# now the actual transfer
rsync $OPTS $BDIR $USERNAME@$BSERVER::$MODULE/current
在rsync服务器上,除了提供备份服务外,还可以通过分析rsync的日志文件,检查每个网站更新文件的情况。一旦发现危险文件的上传,如可执行的脚本、伪装成图形文件的脚本等,可及时通知系统管理员进行处理。另外可以采用的一种方式是在rsync服务器上部署clamav病毒木马监测软件,监控网站是否被上传了危险的脚本。
通过这种网站的构建和管理模式,石家庄铁道大学仅使用了十台服务器就为全校六十多个网站提供了可靠、稳定的硬件环境支撑。实践证明,该模式在节省学校投资情况下,能够合理地分配、高效地使用硬件资源,保障了网站对公共服务响应速度的要求。在安全层面上,提升了网站抗攻击的能力,能够监控到一些非法的入侵行为,提高了数据安全可靠性。通过服务运行性能监测和实现日志的集中管理,能够系统地分析和统计网站的运行和使用情况。这些数据可以进一步进行数据挖掘和分析工作,为未来网站建设和管理决策提供数据支撑。
H 3 C云网融合 迎战网络新变革
本刊讯 近日,以“云网融合”为主题的2013H3C新产品新技术巡展在北京拉开序幕。H3C本次巡展共覆盖49个城市,参与者超过一万人次。在此次大会上,H3C与众多用户代表一同就网络发展现状和未来趋势等问题进行了深入探讨,为迎接新一代互联网的变革和发展做了充分准备。
在此次巡展中,H3C针对当前网络技术发展的整体趋势,在以往的理念与方案基础上,进一步提出了“云网融合”全新理念,旨在将云计算与网络紧密相连,迎接未来互联网技术的变革。
随着信息化的不断深入,网络技术演进到数据中心、云计算和SDN,网络服务模式也由面向连接转为面向应用。H3C产品线副总裁孙德和指出:网络技术的发展趋势正向基于互联网、面向应用的“新一代融合大IT”的时代进步,客户需要的不是设备和技术,而是应用价值及应用的整合交付,H3C IToIP云网融合理念深刻体现了这一点。
为了更好展示云网融合理念,在本次巡展中H3C以VAN虚拟应用网络解决方案和H3Cloud云计算解决方案为两大主线,从技术和管理层面,构建满足未来3-5年业务发展规划和业务平滑升级发展的网络架构,保障用户业务的永续,帮助用户实现价值。
此外,在此次巡展中展示的H3Cloud解决方案,在国内首创云彩虹技术,通过不一样的实践之路,融合基础架构,实现开放和合作。活动中,H3C向与会用户展现了诸多行业应用和解决方案,让用户更加真切了解到云网融合带来的高价值。
最近几年来,H3C还推出了诸多吸引用户“眼球”的产品与解决方案,尤其是高端产品方面。本次巡展中,H3C的网络、安全、无线、业软四大产品线新品悉数亮相,多款特性领先的产品成为本次巡展活动中一大亮点。
互联网新一代变革已经开始,面对众多机遇和挑战,H3C将在网络技术、方案、产品上与合作伙伴们以深度契合的合作方式,帮助用户实现资源匹配,成就更高价值。