非线性编辑网络中心管控服务系统的安全测试

2015-03-27刘梅，管韬，刘进

电视技术 2015年6期

关键词：网线磁盘备份

刘梅，管韬，刘进

（贵州广播电视台电视录制中心，贵州贵阳 550002）

非线性编辑网络中心管控服务系统的安全测试

刘梅，管韬，刘进

（贵州广播电视台电视录制中心，贵州贵阳 550002）

重点介绍了非编网络中心管控服务系统中硬件冗余、中心存储安全、数据库系统安全、服务器切换的测试方案以及测试案例，通过网络带宽、软件功能、使用流程、系统安全等各项测试来检验非编网络系统的安全性，并针对某些薄弱环节制定相应的故障处置方案。

非编网络；安全测试；冗余；中心存储；数据库系统

非编网络在搭建完成后和正式投入使用前必须进行测试，这是一个至关重要的步骤，测试的内容主要包括网络带宽测试、软件功能测试、使用流程测试、系统安全测试、视频质量测试等多个方面。其中网络安全测试十分重要，其中网络中心管控服务系统的测试则是重中之重，关系到整个网络运行的安全。通过测试可以对网络设计的多种冗余方式、备份方式进行实际的操作检测，还能采用多种方式模拟各类故障的产生，检验该网络的安全性能以及容灾程度，以及会对网络产生哪些影响，从而预先制定出相应的应急措施和故障处理方案。

1 设备硬件的冗余测试

1.1 冗余电源测试

现在非编网中心系统的服务器、交换机、中心存储、磁盘阵列等均配置冗余双电源，两个电源协同工作负载均衡，正常工作时都为设备提供电力，当一个电源出现故障时，另一个电源就承担所有的负载。

测试方案：双电源通电正常后，手动拔出一端电源线检查设备是否运行正常。

1.2 冗余硬盘的测试

为了加强硬盘使用的安全，服务器的系统硬盘、数据硬盘，以及磁盘阵列都会采用RAID方式。RAID（Redundant Array of Inexpensive Disks）是一种由多块硬盘构成的冗余阵列，能实现数据容错，如果一个磁盘发生故障，不影响工作，并能在线更换故障盘[1]。

测试方案：根据RAID方式的不同，在RAID组里手动拔出一块硬盘，观察是否影响系统工作，再插入一块新的硬盘，测试重建时间，检查数据是否恢复。

测试案例：测试贵州广播电视台联播高清新闻非编网的数据库服务器冗余硬盘。

1）服务器系统盘有2块采用RAID1，通过磁盘数据镜像实现数据冗余，手动热拔出其中1块硬盘，服务器无异常，系统工作正常。

2）服务器数据盘共有6块采用RAID5，5块数据盘+1块校验盘，通过在所有磁盘上交叉地存取数据及奇偶校验信息实现冗余，手动拔出任意一块硬盘，数据信息不受影响。

3）插入新的硬盘，系统自动重建数据盘，重建时间约2 h，数据恢复正常（注：重建时间与数据量的大小成正比，新的硬盘空间应等于或大于原硬盘）。

2 中心存储的安全测试

为了加强中心存储的安全性，许多非编网采用了主备存储的配置方式，每个存储的控制器采用配置2个或多个的冗余方式，存储磁盘阵列采用RAID和配置备份盘的方式。

2.1 主备存储切换测试

在配置了主备存储的非编网络测试两者切换时，应该预先做好存储盘阵中数据的同步方案，使主备存储的测试数据保持一致。

测试方案：断开一个存储与交换机的连接或直接关闭，测试另一存储是否能正常接管，接管所需要时间，检查接管后站点编辑制作是否正常，对整个系统有哪些影响。

测试案例：测试本台联播高清新闻非编网中心存储DDN S2A9900，配置了主备存储DDN1和DDN2，采用全镜像方式，双读双写模式，实现了实时数据同步。

1）将存储盘阵DDN1下的某一素材文件删除，模拟该素材在DDN1中丢失，非编站点仍能使用该条素材。

2）将连接存储盘阵DDN1的光纤线断开，模拟DDN1故障，非编站点能自动读取存储盘阵DDN2的素材，完成节目编辑制作。切换是自动完成，瞬间接管达到无缝连接，切换时在非编站点的使用没有影响。

2.2 控制器的冗余测试

非编网络的中心存储通常配置多个控制器，管理和控制磁盘阵列、传送I/O、通过冗余计算或校验恢复丢失的数据。

测试方案：关闭其中一个控制器，测试对磁盘的使用是否有影响，对使用宽带有什么影响。

测试案例：

1）测试本台联播高清新闻非编网中心存储DDN S2A9900，每台均配置双控制器，每个控制器各控制和管理一半磁盘。在telnet客户端或超级终端登录控制器1执行命令“shutdown”关闭控制器1，模拟控制器1故障，此台存储一半的磁盘不能工作，另一个控制器管理的磁盘能正常使用，登录控制器2，将控制器1管理的lun全部移动至控制器2，依次输入命令“lun move=lun0”(lun0为需要移动的lun编号)，控制器2正常接管所有磁盘，此存储全部磁盘都能使用，但只能提供一半的带宽。

2）测试本台公共频道高清非编网络中心存储HDS HUS150，每台存储有2个控制器，2个控制器同时管控所有磁盘，直接关闭其中一个控制器，所有磁盘都能正常工作，可用带宽只有原来的一半。

2.3 存储磁盘测试

中心存储磁盘阵列采用RAID方式、热备盘、冷备盘等冗余方式，提高数据存储的安全性。

测试方案：

1）测试热备盘替换：手动拔出除热备盘以外任意一块硬盘，通过超级终端或磁盘管理软件查看该硬盘是否被热备盘替换。测试替换所用的时间以及替换时对网络、站点、存储数据有何影响。

2）测试盘阵RAID：在没有热备盘的情况下，在RAID组中拔出一块硬盘，查看该RAID组是否仍能使用，检查此项操作对网络、素材、站点使用有没有影响。

3）测试磁盘的重建：插入一块新的磁盘，测试系统能否进行自动重建或输入命令进行手动重建，重建完成所需的时间，重建过程中对网络的使用有什么影响，重建完成以后数据的恢复情况。

测试案例：

1）测试本台公共频道高清非编网中心存储HDS HUS150，配置72块900 G SAS磁盘，划分为6个“7（数据盘）+ 1（校验盘）”tier和2个“9（数据盘）+1（校验盘）”tier，均采用RAID5冗余方式作为数据盘；2块磁盘采用RAID1冗余方式作为系统盘；还有2块磁盘作为全局热备盘。单个tier最多允许有3块盘故障不影响盘阵数据。在一个tier中，手动拔出一块硬盘，全局热备盘可以立即替换并自动重建，重建时会影响非编站点对存储磁盘的读写速度，存储数据没有影响，重建完成后成功替换。

2）测试本台的联播高清新闻非编网中心存储DDN S2A9900，DDN1配置80块600 G FC磁盘，划分了8个“8（数据盘）+2（校验盘）”tier，采用RADI6冗余方式，每个tier中最多允许有2块盘故障。手动拔出一块硬盘，数据立刻被同一tier其他硬盘恢复，该tier仍能够使用，对网络、素材、站点使用没有影响。插入一块新的硬盘，在无业务的情况下，将重建数值设为最大“System rebuild extent：128MiB”，将重建延时设为最小“System rebuild delay：0”，磁盘恢复时间约70 min（注：磁盘在重建时，会影响非编站点对存储的读写速度，站点在使用时，进行磁盘重建时间也会增长，建议在空闲时间进行磁盘重建）。

3 数据库系统安全测试

为了保障数据库的安全，数据库服务器通常采用主备配置，两者并行的工作方式。还配置第三备数据库服务器作为应急备份，当主备数据库服务器都出现故障时能够接管。

3.1 主备数据库服务器测试

1）主备数据库服务器的切换测试

2台数据库服务器处于并行工作的状态，建立数据库集群，同时为系统提供服务，当其中某台服务器出现故障，另外一台服务器继续为系统提供服务器。

测试方案：在2台数据库正常情况下，查看当前接管主服务数据库是哪台，关闭此台服务器，测试另一数据库能否接管，接管后状态是否正常，接管所需时间。

测试案例：测试本台联播高清新闻非编网数据库服务器，配置了RAC1和RAC2，双机互为备份，安装RetHat Enter⁃prise Linux系统和Oracle 10GRAC数据库软件[2]。数据库集群正常，Oracle服务正常时，输入命令“crs_stat-t”查看主服务“ora.oradb.db”在RAC1上，在服务器RAC1上执行“power⁃off”关机命令，观察集群的状态主服务“ora.oradb.db”自动切换到RAC2上，RAC2瞬间接管，接管正常，客户端对oracle数据库服务的访问正常。重启动RAC1后，重新恢复集群状态。

2）对外服务端口冗余测试

数据库服务器通过千兆以太网端口与交换机连接为系统提供服务，当每台服务器提供2个端口，分别与2台核心交换机形成交叉链路时，实现了对外服务链路完全交叉冗余。

测试方案：分别拔出主备数据库服务器主机一条对外服务网线，观察集群是否正常，恢复网线，再测试下一条网线。

测试案例：测试对象同上，在RAC1主机后拔出对外网线eth0，集群正常，服务正常，恢复网线；再拔出RAC1，集群正常，服务正常，恢复网线。在RAC2主机后拔出对外网线eth0，集群正常，服务正常，恢复网线；再拔出eth1，集群正常，服务正常，恢复网线。任何一条对外服务线路故障，数据库系统不会受影响。

3）心跳服务端口冗余测试

当主备数据库服务器用双路千兆以太链路实现心跳实时检测，分别与2台核心交换机形成交叉链路，在交换机上将4个端口划分到一个Vlan中，可实现心跳链路冗余。

测试方案：分别拔出主备服务器主机一条心跳网线，观察集群是否正常，恢复网线，再测试下一条心跳网线。

测试案例：测试对象同上，在RAC1主机后拔出心跳网线eth2，集群正常，服务正常，恢复网线；再拔出eth3，集群正常，服务正常，恢复网线。在RAC2主机后拔出心跳网线eth2，集群正常，服务正常，恢复网线；再拔出eth3，集群正常，服务正常，恢复网线。任何一条心跳线路故障，数据库系统不会受影响。

为了避免数据库文件出错无法恢复的情况，需要预先做好数据库文件的备份，通常采取自动备份和手动备份2种方式结合，当数据库文件系统出现故障时可以恢复到最近时间的数据。

测试方案：测试前手动对数据库进行备份，模拟当前数据库文件出错，使用这些备份数据对数据库进行恢复。

测试案例：测试对象同上，测试前在非编站点编辑一个测试故事板，包括视音频素材、字幕、特技、动画等并保存。登录数据库RAC1，执行命令“sh～/scripts/a.sh”完成物理备份，最新物理备份文件存放在/bak/orabak目录下，登录数据库RAC2，执行命令“sh～/b.sh”完成逻辑备份，最新逻辑文件存放在/bak/expdpbak目录下。再分别导入最新物理备份与逻辑备份进行恢复，数据库恢复完成后在非编站点检查测试故事板，所有内容和结构与之前存储的一致，数据库文件恢复正常（注：数据库文件恢复测试应由数据库专业人员进行）。

3.2 第三备数据库服务器接管测试

第三备份服务器实现了对数据库元数据的存储与备份，当主备2台数据库服务器同时崩溃的情况下，此应急的数据库仍能快速接管数据库系统，保证整个网络数据运行，并且当主备数据库故障修复后，能将数据恢复到主备数据库。

测试方案：测试前手动对数据库文件进行备份，通过命令将数据库切换至第三备数据库服务器接管，测试接管是否正常及接管所需时间。

测试案例：测试本台联播高清新闻非编网第三备数据库服务器DataGurad，数据文件与主备数据库实时同步，安装RetHat Enterprise Linux系统和Oracle 10GRAC数据库软件。1）在DataGurad上使用oracle用户登录sqlplus“sqlplus/as sys⁃dba”。2）停止主备数据库的服务“SQL＞recover managed standby database cancel”。3）准备转换“SQL＞alter database recover managed standby database finish force”。4）将DataGu⁃rad数据库failover转换为主库“SQL＞alter database commit to switch to primary”查看此时数据库角色状态“SQL＞select da⁃tabase_role from v$database”。5）重启数据库到read write状态“SQL＞shutdown immediate”，“SQL＞startup”启动完成后，第三备数据库接管，接管正常，接管时间约15 min。

4 主要服务器切换接管的测试

4.1 存储管理服务器切换测试

存储管理服务器对中心存储的数据进行组装和搭配，形成高级的主数据管理单元，管理存储磁盘文件系统，采用主备冗余配置提高系统安全性[3]。

测试方案：先查看当前接管的存储管理服务器是哪台，采用停止服务或关机方式关闭活动服务器，测试自动接管，或采用输入切换命令的方式直接将服务指向另一台服务器，测试手动接管，在工作站查看各磁盘资源访问是否正常，能否正常访问中心存储，切换所需时间，以及在切换过程中会产生什么影响。

测试案例：测试本台联播高清新闻非编网存储管理服务器MDS（Master Data Service），配置2台MDS1和MDS2，安装RetHat Enterprise Linux操作系统和StorNext For Linux管理软件。在MDS服务器上输入“./cvadmin”命令，查看带“*”的盘符由存储服务器MDS1管理。1）测试自动接管：在MDS1上执行“service cvfs stop”停止stornext服务或执行“poweroff”直接关闭，MDS2自动接管。2）测试手动切换：在MDS1输入命令“service cvfs restart”重启服务指向MDS2。2项测试MDS02都能正常接管，工作站能正常访问中心存储磁盘，接管时间约10 s，在客户端安装SANergy软件测试读写，切换时只出现短暂停顿。

4.2 域控服务器接管测试

在安装服务器操作系统时分别在2台服务器上配置主域控和备域控，实现域控服务器冗余。主备域控服务为集群管理，通过IP地址后台实时监控，可实现自动接管。

测试方案：关闭主域控服务器，测试备域控服务器能否正常接管，域控服务是否正常，站点能否重新登录域。

4.3 NAS服务器切换测试

NAS服务器通过光纤链路与存储中心连接，非编网中无光纤卡的站点则通过以太网链路，访问由NAS服务器映射的存储中心网络素材盘。可根据无卡站点的数量配置2台或2台以上实现冗余。

测试方案：测试前准备连接各台NAS服务器映射网络盘符的脚本文件，直接运行脚本文件可以实现快速切换。关闭测试站点正在连接的NAS服务器，该站点会无法访问中心存储磁盘，运行连接另一台NAS服务器映射网络盘符的脚本文件，测试该站点是否能访问存储中心的磁盘。

4.4 管控服务器的接管测试

管控服务器作为承担非编网网络管理的功能服务器，可配置2台，1台为主服务器，1台为冷备服务器形成冗余，2台服务器安装相同的管理控制服务软件。

测试方案：关闭主管控服务器，打开冷备管控服务器，并启动管理控制核心服务，测试冷备管理服务器是否正常接管，管控服务是否正常。