1、K/3Hr 网络规划 V1.01人力资源系统网络规划( 试行)随着 K/3 人力资源系统在企业的广泛应用,常常在部署规划设计系统服务器、网络结构、客户端计算机、网络安全保障等遇到不少的困难,甚至导致系统应用无法让客户接受。本章节阐述 K/3 人力资源系统( 简称 HR 系统) ,针对不同客户应用场景需求,提供网络规划和系统部署的参考方法。人力资源系统技术架构HR 使用的是典型的 Windows DNA 三层体系结构,主要支持 B/S 工作模式,其中系统管理员可能用到 C/S 结构(报表管理和系统管理) 。应用特点与 K3 Web 版本基本类似。相比 K/3 网络部署,HR 的 Web 服务器部
2、署实施简单(没有诸如组件负载均衡应用模式,仅考虑网络负载平衡 NLB) 常见的 K/3 HR 网络结构方案一、经济部署方案(Scale In one)经济方案,允许客户将所有的服务都安装在一台服务器上,这种形式称为 Scale In(向内扩展) 。该方案在一台服务器上实现三层结构的全部工作过程。二、标准部署方案(Scale Out Tier 3)当 K/3 HR 应用在一台服务器上不能满足,可以考虑将数据库服务器与 HR 服务器分别部署在两台不同的服务器,这种形式称为 Scale Out(向外扩展) 。K/3Hr 网络规划 V1.02三、网络负载平衡应用方案(Network Loading B
3、alance)当客户业务需求在进行了三层结构分解以后,HR 服务器、数据库服务器依然无法达到性能负荷要求时,建议采用下列方式进行横向扩展。HR 服务器:采用网络负载平衡 NLB。数据库服务器:采用“主动到主动”群集应用模式、新增 CPU、内存。K/3Hr 网络规划 V1.03网络安全监控随着计算机病毒不断变种和蔓延,其危害程度也越来越高,那么,如何保障系统安全,一般考虑几个主要因素:1、操作系统安全该内容复杂,属于网络系统管理员了解内容,一般人员仅了解即可。 Windows 2000 安全补丁( SP ) 。 AD 域控制器及成员服务器组策略设置、安全模板选择。 IPSec(IP 安全策略,例
4、如,数据库服务器仅允许某 IP 进行访问,防止非法访问) 。 (可选项) 数据库服务器 IP 地址对客户端不可见,特殊岗位可采用路由或 VPN 连接。(可选项)2、防火墙管理防火墙应用目的:设置策略,授权控制访问,诸如:IP 地址、端口、网站等等;发布局域网应用(FTP、MAILServer、Web 应用、局域网服务器应用程序端口)至Internet。例如,金蝶财务集中式应用中终端服务应用软件 Citrix,就采用 ISA2000 防火墙进行发布,而不是将 Citrix(K/3 GUI)服务器直接暴露在互联网招致攻击。 应用场景:数据库服务器完全受防火墙保护、HR 服务器仅发布 80 等端口。
5、特别说明:防火墙目前市面上流行很多,防火墙性能高低直接影响 K/3 HR,其系统策略复杂程度均会影响网络传输。特别是 K/3 HR 大量并发用户应用,数据库与 HR服务器之间的有效带宽达到 100M,甚至更高达 1G。所以,在部署防火墙的同时,要求同步考虑防火墙策略是合适,必要时,建议将 HR 服务器与数据库之间同属防火墙保护范围之内。3、建立 SSL 安全机制(可选)IIS 的身份认证除了匿名访问、基本验证和 Windows NT 请求/响应方式外,还有一种安全性更高的认证,就是通过 SSL(Security Socket Layer)安全机制使用数字证书。 建立了 SSL 安全机制后,只有
6、 SSL 允许的客户才能与 SSL 允许的 Web 站点进行通信,并且在使用 URL 资源定位器时,输入 https:/ ,而不是 http:/ 。 简单的说默认情况下我们所使用的 HTTP 协议是没有任何加密措施的,这点危害在一些企业内部网络中比较大,对于使用 HUB 的企业内网来说简直就是没有任何安全可讲,因为任何人都可以在一台电脑上看到其他人在网络中的活动,对于使用交换机来组网的网络来说,安全威胁性要小很多。 所以,对安全性要求较高的企业,全面加密整个网络传输隧道的确是个很好的安全措施。K/3Hr 网络规划 V1.04四、方案特性比较表:方案特性网络模型优点 缺点 适用范围经济部署方案S
7、cale In one硬件投资成本最小;服务器内部通讯速度最快(系统内部总线处理速度 ); 维护最简单;服务器在物理上对客户端是可见的,不符合高安全性的要求;硬件负荷能力较小,并发用户数量有限;业务扩展的时候需要升级服务器或者考虑使用其它的解决方案。许可协议较少;并发操作用户数量不多;小规模企业应用。标准部署方案Scale Out- Tier 3硬件投资成本最有效,可以针对 HR 服务、数据库服务不同的需求选用最适用的服务器硬件;数据库与客户端隔离,最大程度保护客户的数据安全;支持较多并发用户操作需求;性能价格比最优的方案形式。负荷能力高于单机方案,但是面对复杂业务的高强度处理仍然无法实现智能
8、负载分布;对性能要求苛刻的高端客户来说,本方案仍未达到高可用性的标准。许可协议较多;并发用户 100 左右;中小型企业应用;是目前 K/3Hr 应用较为普遍的网络模型。网络负载平衡应用方案Network Loading Balance数据库与客户端隔离,最大程度保护客户的数据安全;数据库采用 Fail-Over Cluster,在单台数据库出现故障的时候不影响整体系统的运行;三层结构下逻辑结构分布清晰,系统整体运行效率高;在投资许可的条件下对业务压力的支持和并发用户操作的数量几乎没有限制;该方案设计灵活,费用虽然较高但仍可以得到严格的控制,客户可以在进行评估后对群集服务器的性能规格数量进行有效
9、测算,从而给出比较精确的方案预算;是所有方案中性能最优的一种。成本费用较高;群集方案在项目后期需要客户具备专业的管理人员进行管理维护。许可协议较多;并发用户数量大;高端客户业务;需要客户有足够的服务器接入带宽支持。K/3Hr 网络规划 V1.05网络服务器配比五、HR 用户服务器配置简易参照表操作系统及应用软件Windows 2000/Windows 2003SP4 或其他安全补丁 / SQL 2000 Enterprisr+SP3a/K/3 HR由于 K/3HR 系统是构建在 V FrameWork 上的系统,建议 HR 服务器采用Windows 2003 EnterpriseHR 服务器配
10、置要求HR 服务器与 K/3 工业网络部署方法有一定的差异,一个集团企业应用 K/3 账套可以有多个,而人力资源系统只有一个,故系统压力来自两方向:数据库瓶颈、HR本身 Web 服务瓶颈。如果此时数据库存在压力瓶颈时,即使再升级 Web 服务器或部署成网络负载平衡时,其性能也不会有明显改善,这是部署 K/3 HR 与 K/3 工业网络较大差别的地方。但从压力测试来看,HR 系统的数据库压力并不大,不会成为系统应用的瓶颈,而且随着 64 位数据库服务器的成熟,数据库的性能是有保证的。最大服务器数(静态部署或网络负载平衡):3 台最大并发用户数:80010001-20 许可协议 经济部署 Scal
11、e In One,条件允许最好使用标准部署方案20-500 许可协议 标准部署方案(Scale Out Tier 3)网络部署模式建议 500 以上的许可协议 网络负载均衡应用方案(Network Loading Balance) ,也可选择性能较好的标准部署方案,由标准部署方案可以很轻松的升级为网络负载均衡应用方案120 许可协议 双路 1G CPU1GB MEM双网卡(100M)20-500 许可协议 双路 12.4G CPU12.4GB MEM双网卡(100M)HR 服务器配置500 以上的许可协议 双路 2.4G 以上 CPU2.4GB 以上 MEM,CPU 随着应用的增加可扩展到 4
12、 路,即服务器可由 2 路扩展为 4 路双网卡(100M,链接广域网的网卡建议为 1G)数据库服务器配置 120 许可协议 双路 1G CPU 1G MEM单网卡(100M)磁盘阵列柜(可选)K/3Hr 网络规划 V1.0620-500 许可协议 双路 12.4G CPU 12.4G MEM单网卡(100M)(如果选择数据库群集则要求双网卡)磁盘阵列柜(可选)500 以上的许可协议 双路 2G.4 以上 CPU ,可扩展到 4 路2.4G 以上 MEM单网卡(100M)(如果选择数据库群集则要求双网卡)磁盘阵列柜(可选)K/3Hr 网络规划 V1.07 网络设计和部署遵循原则:网络类别 设计要
13、求 备注局域网1. 数据库 / HR 服务器设置在同一子网2. 客户端 / HR 服务器带宽 80K(有效带宽)3. 数据库 /HR 服务器带宽 100Ma) 数据库与客户端不同属于一个子网,仅对HR 服务器可见(出于安全考虑);b) 交换机建议支持 1G 接入(集团应用并发用户大于 500)局域网网络带宽一般不会成为性能瓶颈引入 ISA2000防火墙4. 高级应用:二级缓存、减少 HR 压力a) 引入 ISA 2000 防火墙功能:发布 HR Web 服务;最大优点:利用 ISA 缓存特点,减少对 HR 服务器压力5. 远程客户端启用 ISA 2000,并启用代理服务功能。引入 ISA 20
14、00 防火墙,一方面增进系统安全,更重要提升整个系统综合应用功能。广域网1. HR 服务器 / 数据库服务器部署在同一个子网里;2. HR 服务器/ 数据库带宽 100M;3. HR 系统虽然可以很好地运行在低速网络或者广域网络环境,但建议在大并发用户情形下,采用 ISA 防火墙缓存特征能提升客户端访问速度。4. 客户端有效访问带宽在 80K(独占/有效)以上。5. 极端的低速访问条件下(小于 56K,例如Modem 只有 56K) ,可以考虑使用远程终端访问的形式,例如微软或者 Citrix 解决方案。a) 说明:在低速带宽情形下,一台 Citrix 服务器可以提供 HR 浏览器在线用户是非
15、常高的,例如一台双 CPU,2GB 内存服务器,可以提供 150 个在线用户使用,其效果犹如在局域网使用,并且支持真彩、打印等功能。6. 提升广域网的带宽一般会明显提高系统的性能1. 网络带宽的不足往往成为系统的性能瓶颈关键。2. 如何管理好网络,是广域网运行良好的关键所在。启用 QoS 网络服务等有助于提升网络性能指标。广域网远程连接方式DDN帧中继ATMISDNPSTNVPN via ChinaNetADSL城域网低速率带宽应用解决方案客户端HR 服务器带宽=56K,则采用 Citrix 远程管理应用软件。一个 Citrix服务端可供 150 个左右 HR 用户使用。K/3Hr 网络规划
16、V1.08总部(数据库+HR 系统服务)与远程客户端连接为 512K 帧中继。按照每个客户端有效带宽 80K 标准,则:这种网络可以承担并发用户数量约 1020 个 HR 用户直接连接使用。应用案例 广域网共享环境:总部与分公司的通讯带宽为 256K,除了 K/3 以外,还运行着其他业务,有限带宽资源下的网络争用导致 HR 速度极不稳定。解决办法:通过带宽质量管理软件,保证带宽的 65%用于 HR 业务,系统运行效果大为改观。附录应用案例:一、某 KX 集团采用金蝶 HR 人力资源管理系统,其系统应用简化要求如下: 集团参与 HR 系统人数 3000,许可协议占人数 20%30% ,约 600
17、900 个,主要是个人工作台和经理人平台; 集团总部人数:300 人,其他分支机构人数占 90%; 数据中心: 数据库: 数据库群集; 2CPU(支持 4 路) ,4GB 内存; 三网卡(1G, 其中 2 网卡使用 Intel PRO Adapter Administrator Tools 创建虚拟网卡,实现冗余目的,接入 1G 交换机) 。 HR 服务器 2 台 HR 服务器,创建 Network Loading Balance(网络负载平衡) ; 2 路 2.0G CPU(支持 4 路),2GB 内存; 双网卡,100M,创建虚拟网卡和群集 IP。 ISA 2000 防火墙,Interne
18、t 带宽:100M 共享。 分支机构,采用 ISA2000 代理服务器或其他代理服务器软件 10M 城域网,机构人数约 200 人;并发人数约 40 人。 ADSL 上网,机构平均人数约 50 人;并发人数约 10 人。二、系统应用状况描述: 约定: 客户端与 HR 服务器有效带宽 80K, 也就是说下载 HRr 服务器文件速度能够达到 10Kbps。 可接受时间 系统服务管理:5 秒内日常业务,20 秒内报表处理等稀少操作,5 分钟内特殊操作(如账套备份等等) ,建议避免客户端应用高峰操作诸如账套备份等消耗系统大量资源的操作处理; 普通客户端日常业务操作,8 秒以内,例如:周计划查看、修改、新增、保存等操作。 上述环境下所能够达到的效果 系统服务:建议在局域网,或远程终端服务操作,例如分支机构人力资源系K/3Hr 网络规划 V1.09统管理员;如果采用城域网,则可以直接连接访问操作,否则如果有效带宽比较窄,不妨考虑使用远程终端服务应用。 客户端:客户端如果在总部,则速度和应用效果非常理想。如果远程使用ADSL 时,有效带宽在 80K 以上,则操作诸如周计划新增操作,可在 5 秒内完成,操作绩效评估模块一般在 8 秒内完成操作。使用城域网(100M)有效带宽可能达到 10M 以上,则操作效果如同在局域网一样。
