深信服超融合平台-测试方案

深信服超融合平台测试目录2第1章测试概述21.1概述21.2测试环境准备31.3超融合系统安装3第2章测试内容32.1架构环境的快速部署52.2业务高可用场景测试102.3虚拟网络通信场景测试142.4安全防护场景222.5运维管理场景测试262.6性能测试283.测试方案特点第1章测试概述1.1概述深信服超融合架构将X86服务器通过深信服超融合软件定义的方式，提供虚拟化的计算资源，网络资源，存储资源，安全资源。通过将服务器物理资源转化为一组可统一管理、分配和调度的逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境，同时配合软件定义的网络和网络功能软件化方式，最大限度的提高了资源的利用率，同时满足应用更加灵活的资源动态分配需求，譬如提供热迁移、HA等高可用特性、业务的网络逻辑快速部署，实现更低的运营成本、更高的灵活性和更快速的业务响应速度。1.2测试环境准备 硬件设备 设备名称 详细描述 用户提供的服务器 至少服务器2台（A机和B机满足超融合推荐配置） 千兆交换机 千兆二层交换机2台 USBkey（飞天key） 开序列号USBkey，需要支持vaf和vad的key 应用软件和工具 P2v转换工具 HDTune5.5 虚拟机Web服务器一台（Webgoat），用于安全测试1.3超融合系统安装特点：1.安装简单、快速，并且过程中采用中文提示操作2.无需安装管理中心，部署完成虚拟化系统后，即可实现虚拟机的部署和管理第2章测试内容2.1架构环境的快速部署2.1.1业务系统的迁移-P2V迁移测试 测试目标 将客户的物理业务系统快速迁移到服务器虚拟化平台，业务不中断 注意事项 预置条件 1.待迁移服务器：现有业务系统的Windows服务器2.Sangfor_aSV_Converte工具已上传到物理系统3.被迁移服务器与一体机管理网络能互通，一体机存储空间大于待迁移物理主机的磁盘数据空间 测试步骤 1.在物理服务器中运行Sangfor_aSV_Converte工具，阅读并勾选《软件许可》，立即安装【迁移当前主机】2.选择要迁移的目的一体机，输入目的主机的admin账户密码进行认证。3.配置迁移目的虚拟机的名称、存储位置为目的共享存储，运行位置为目的自动选择，资源消耗为保持和物理服务器一致4.安装成功后，选择【关闭物理机，启动虚拟机，由虚拟机接管业务】，重启设备 预期结果 1.重启后开始迁移，登录服务器虚拟化一体机主机控制台页面的日志栏，可以看到当前迁移的任务进度；完成迁移后，物理主机自动关机，迁移的目的虚拟机自动开机并正常运行，原业务可用。2.千兆网络迁移速度可达70MB/S 测试结果 口通过口部分通过口未通过口未测试 备注 2.2业务高可用场景测试主要结合客户的业务系统虚拟机进行相应的高可用测试。2.2.1主机故障迁移测试 测试目标 主机故障时，对应虚拟机上的业务系统不中断 注意事项 预置条件 业务系统虚拟机启用了HA功能EMBEDStaticMetafile\*MERGEFORMAT 测试步骤 1.业务系统虚拟机，运行在主机A上2.办公网络一pc长ping“业务系统虚拟机”3.将主机A断电4.检查步骤2中pcping情况 预期结果 1.主机故障时，ping不通，5min内可继续ping通，说明虚拟机被拉起，运行在B主机上，业务恢复 测试结果 口通过口部分通过口未通过口未测试 备注 2.2.1业务网络故障迁移测试 测试目标 业务网络故障时虚拟机的高可用功能 注意事项 预置条件 1、虚拟机启用了HA功能2、网络参照下图部署 测试步骤 1.“业务系统虚拟机”，运行在主机A上2.办公网络一pc长ping业务系统虚拟机3.拔掉主机A业务口网线（eth2口）4.检查步骤2中pcping情况 预期结果 1.业务网络故障时，ping不通，5min内可继续ping通，说明虚拟机被拉起至B主机，业务恢复 测试结果 口通过口部分通过口未通过口未测试 备注 2.2.2备份恢复测试 测试目标 一键备份虚拟机 注意事项 无 预置条件 测试步骤 1.在业务虚拟机中新建文件test.txt2.设备备份策略，选择要步骤1中的虚拟机备份3.超过备份开始时间后查看情况4.删除备份虚拟机的中test.txt5.选择一个时间点的备份恢复 预期结果 1在设置的时间按照备份策略备份，可以看到虚拟机的最后一次备份时间2.恢复成功，test.txt文件被恢复 测试结果 口通过口部分通过口未通过口未测试 备注 2.2.3快照恢复测试 测试目标 通过快照来恢复虚拟机上的业务数据 注意事项 无 预置条件 测试步骤 1.在虚拟机中新建文件test.txt2.设置快照策略，选择要快照的虚拟机3.超过快照开始时间后查看情况4.删除备份虚拟机的中test.txt5.选择一个时间点的快照恢复 预期结果 1.在设置的时间按照快照策略备份，可以看到虚拟机的快照2.恢复成功，test.txt文件被恢复 测试结果 口通过口部分通过口未通过口未测试 备注2.3虚拟网络通信场景测试虚拟网络通信测试，为更加直观的测试效果，本次虚拟机采用额外创建新测试虚拟机的方式（可提前按照虚拟机模版部署好测试虚拟机）2.3.1虚拟网络部署 测试目标 虚拟网络可视化部署（所画即所得），简单快速，链路流量可视 注意事项 1、pc端先关闭防火墙（虚拟机为新建测试虚拟机”VM1”和“VM2”，提前创建） 预置条件 测试步骤 1.进入编辑虚拟网络模式2.从左侧图标中分别拖入一个物理出口、2个交换机、1个路由器、2台虚拟机到画布中3.为物理出口配置连接的2台实体主机网口eth24.路由器增加2个子接口5.鼠标切换到连线模式，为物理出口，虚拟路由器，虚拟交换机，虚拟机连接好虚拟网线，2个交换机分别在路由器的2个子接口6.根据网络环境设置各设备网口IP7.检查网络连通性，vm1pingvm2，vm1和vm2分别ping办公区网络 预期结果 1．以上1，2，3，4，5，6步骤中整个网络部署过程可视，简单方便2.以上第7步骤中连通的设备会直观展示出来，虚拟机之间能相互ping通，虚拟机和物理网络中pc可以相互ping通，网络流量可视 测试结果 口通过口部分通过口未通过口未测试 备注 2.3.2分布式交换机 测试目标 分布式交换机，集群断掉一台主机不影响网络连通性在虚拟服务器中组建虚拟网络，可以互相通信 注意事项 1、互ping的pc先关闭防火墙 预置条件 测试步骤 1.在上例“虚拟网络部署”中继续测试2.办公区网络pc长pingvm13.迁移vm1运行位置到另一个主机4.检查步骤2办公pcping情况 预期结果 2.能ping通4.整个过程只丢=<3个ping包 测试结果 口通过口部分通过口未通过口未测试 备注 2.3.3链路探测 测试目标 链路探测功能方便定位链路故障节点 注意事项 预置条件 沿用拓扑如下 测试步骤 1.在虚拟网络页面，打开连通性探测2.选择VM1虚拟机，目的地址到VM2虚拟IP，开始探测3.去掉vr2静态路由，再次按照步骤探测 预期结果 1.链路畅通2.链路不通，可方便的定位在vr2节点处不通 测试结果 口通过口部分通过口未通过口未测试 备注 2.3.4链路流量实时显示 测试目标 链路流量实时显示，方便用户实时掌握业务网络流量情况 注意事项 预置条件 沿用拓扑如下 测试步骤 1.在虚拟网络页面，打开流量显示功能2.观察拓扑中的链路流量 预期结果 1.链路流量实时显示2.可通过流量显示开关实时开启或者关闭 测试结果 口通过口部分通过口未通过口未测试 备注 2.4安全防护场景通过部署虚拟机防火墙的方式，实现业务的安全防护（无需借助物理硬件的安全设备），该测试为功能测试，采用新建测试虚拟机（VM1和VM2）进行测试。2.4.1vaf防火墙实现虚拟机的安全防护 测试目标 利用虚拟防火墙对虚拟机上运行的web服务器进行安全防护，在WEB服务器遭受到外部攻击时，vaf能进行阻断，并记录相应的安全日志信息 注意事项 预置条件 1.测试逻辑拓扑如下图2.在拓扑图的编辑模式3.已经开通vaf序列号4.Vm虚拟机运行远程连接 测试步骤 1.从画布左侧拖入vaf，设置好vaf网口数据，硬件配置，存储位置，运行位置等各项参数，点立即生效2.对vaf进行3.按照上图拓扑连好网线4.登录vaf控制台配置连接vsw1，vsw2，vr的口为透传模式，连接方式为access，并按照5.办公区pc远程一台vm16.在vaf中放通控制策略，办公区pc远程vm17.在vaf中启用waf功能，按照默认设置即可8.使用sql注入工具pangolin扫描web服务器 预期结果 1．以上1，2，3，4都可部署成功2.无法远程3.可以远程4.被vaf拒绝，在vaf日志中有拒绝记录 测试结果 口通过口部分通过口未通过口未测试 备注 2.4.2SQL注入攻击防护 测试目标 测试WAF对SQL注入攻击的防护 注意事项 开通vAF防火墙序列号 预置条件 1.测试逻辑拓扑参照2.4.12.配置vAF为路由模式3.虚拟机vm1安装IISweb服务器，安装webgoat 测试步骤 1、办公区pc作为客户端访问被测网站：http://www.test.com/dvwa/vulnerabilities/sqli/?id=-1'%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A82、检查是否可以获取到相应的数据库信息3、开启vAF的sql注入防护功能4、再次访问如下url:http://www.test.com/dvwa/vulnerabilities/sqli/?id=-1'%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A85、查看是否可以成功获取到数据库信息 预期结果 1.可以成功获取数据库的信息2．无法获取到数据库的表信息，且被测设备有日志记录 测试结果 口通过口部分通过口未通过口未测试 备注 2.4.3XSS跨站脚本攻击防护 测试目标 测试WAF设备对手工测试情况下XSS攻击的防护 注意事项 预置条件 1.测试环境如2.4.1节 测试步骤 1、登陆dvwa测试网站2、访问http://www.test.com/dvwa/vulnerabilities/xss_s/3、在信息内容中输入<script>alert(“xss”)</script>后提交，查看是否有xss提示框4、开启vAF的xss攻击防护功能5、再在信息内容中输入<script>alert(“xss”)</script>后提交 预期结果 1、可以成功提交，并有xss的提示框2、无法提交成功 测试结果 口通过口部分通过口未通过口未测试 备注 2.4.4OS命令注入攻击防护 测试目标 测试WAF设备对OS命令注入攻击的防护 注意事项 预置条件 1.测试环境如2.4.1节 测试步骤 1、访问http://www.test.com/dvwa/vulnerabilities/exec/2、禁用vAF的命令注入功能3、在输入框内输入127.0.0.1&&cat/etc/passwd并提交，查看是否能够查看到服务器的用户信息4、启用被vAF的命令注入功能5、在输入框内输入127.0.0.1&&cat/etc/passwd并提交，查看是否能够查看到用户信息 预期结果 1.可以查看到服务器的用户信息2.无法查看到用户信息，该请求被阻断 测试结果 口通过口部分通过口未通过口未测试 备注 2.4.5僵尸网络检测 测试目标 服务器存在被黑客植入远控木马的风险，从而能够窃取服务器上的敏感信息，测试WAF设备能够对僵尸主机进行检测，并阻断可疑流量 注意事项 预置条件 1.测试环境如2.4.1节 测试步骤 1、在Web服务器上植入远程控制木马病毒，如灰鸽子；2、通过外网终端连接服务器上的木马；3、查看vAF日志查看是否检测到木马病毒 预期结果 1、被测设备能够查看阻拦木马的日志记录。 测试结果 口通过口部分通过口未通过口未测试 备注 2.4.6网页防纂改 测试目标 测试WAF设备能够对被篡改的网页进行拦截，网页恢复后能够正常访问 注意事项 开通vAF防火墙序列号 预置条件 1.测试环境如2.4.1节 测试步骤 1、Web服务器根目录下放置一个index.html文件；2、vAF配置防篡改策略，检测和拦截篡改数据；3、修改index.html文件一个字节；4、客户端访问index.html网页； 预期结果 1、WAF设备具备对篡改的网页检测和恢复，客户端无法访问被篡改的网页，篡改数据被拦截。 测试结果 口通过口部分通过口未通过口未测试 备注 2.4.7Webshell上传攻击防护 测试目标 测试WAF设备Webshell文件上传过滤功能，由于Web应用系统在开发时并没有完善的安全控制，对上传至Web服务器的信息进行检查，从而导致Web服务器被植入病毒、木马成为黑客利用的工具，为防止黑客或内部人员通过某种攻击方式强行获取服务器权限之后，或服务器存在上传漏洞时，通过已有的权限或借助漏洞上传恶意文件构造僵尸网络、破坏网络安全等，需通过文件上传过滤进行防护 注意事项 预置条件 1.测试环境如2.4.1节 测试步骤 1、开启vAF文件Webshell防护功能；2、访问http://www.test.com/dvwa/vulnerabilities/upload/3、在本地选择一个webshell文件进行上传EMBEDPackage\*MERGEFORMAT4、查看文件是否可以上传成功，查看返回的信息是否可以访问上传的webshell文件 预期结果 1.上传webshell失败2.文件无法上传，也无法访问上传的webshell文件 测试结果 口通过口部分通过口未通过口未测试 备注 2.4.8vAD负载均衡场景 测试目标 测试vAD对应用负载均衡场景 注意事项 开通vAD序列号 预置条件 1、vAD旁路部署2、VM1和VM2为2台web服务器 测试步骤 1、配置vADhttp应用负载策略a配置IP组，将aAD单臂wan端的IP添加到IP组b配置节点池，将vm1和vm2的ip加入节点池c配置前置调度策略d新建http应用，关联ip组，节点池和前置调度策略2、访问web服务器，并查看2台web服务器调度情况 预期结果 2台web服务器轮询调度（可以通过在web服务器上抓包查看，或者在vAD控制台的节点池状态中查看） 测试结果 口通过口部分通过口未通过口未测试 备注 2.5运维管理场景测试本场景测试，可以采用业务系统虚拟机，也可以采用新建测试虚拟机进行。2.5.1虚拟机开机热迁移运行位置测试 测试目标 虚拟机开机热迁移运行位置，迁移过程不影响虚拟机业务 注意事项 预置条件 1.“业务系统虚拟机”能与办公PC互通2.“业务系统虚拟机”处于开机状态 测试步骤 1.在待迁移的虚拟机中ping办公网络pc2.在虚拟机图标中找到迁移3.修改运行位置4.观察虚拟机中ping情况 预期结果 1.能快速迁移虚拟机到运行位置，迁移成功2.迁移过程ping持续能通，不受迁移影响 测试结果 口通过口部分通过口未通过口未测试 备注 2.5.2虚拟机开机状态迁移存储位置测试 测试目标 虚拟机开机状态迁移存储位置，迁移过程不影响虚拟机业务 注意事项 预置条件 1.虚拟机“win2003-cs”处于开机状态 测试步骤 1.在待迁移的虚拟机中下载一个可执行文件2.在虚拟机图标中找到迁移3.修改存储位置4.检查步骤1文件下载 预期结果 1.能快速迁移存储位置2.文件下载不受影响，且文件下载完成后可安装运行 测试结果 口通过口部分通过口未通过口未测试 备注 2.5.3集群横向扩展测试 测试目标 增加一台物理主机横向扩展，计算性能和存储容量线性扩展，不影响现有集群虚拟机业务 注意事项 能够提供第三台服务器的情况下 预置条件 1.扩容的单台主机已安装超融合一体机软件（硬件满足配置要求）2.扩容前检查集群序列号授权情况，需要包括新加主机的授权 测试步骤 1.将待扩容主机管理口、vxlan口，数据通信口、存储口按照原集群部署接入对应网络中2.在集群实体机页面添加主机，找到待扩容主机，添加3.根据提示进行下一步操作，格式化新主机磁盘，完成集群横向扩展过程4.检查添加主机后原集群存储容量和计算节点5.检查一台运行中的虚拟机 预期结果 1.扩容1台主机后存储容量线性增加，计算节点线性增加2.运行中的虚拟机业务照常运行，不受扩容影响 测试结果 口通过口部分通过口未通过口未测试 备注 2.5.4磁盘热拔插及磁盘替换测试 测试目标 磁盘热拔插，磁盘故障时方便快速替换 注意事项 磁盘替换时，新盘容量需大于等于老盘容量 预置条件 测试步骤 1.在一个虚拟机中下载文件，观察一体机磁盘灯闪烁情况（有写数据时磁盘灯闪烁明显，说明虚拟机数据存在对应磁盘上）2.拔掉集群中主机步骤1中闪烁的数据盘3.插入一个新磁盘4.在离线磁盘图标上更换磁盘，按照提示进行下一步操作5.检查正在运行的虚拟机业务 预期结果 1.拔掉磁盘后，磁盘显示离线2.在虚拟存储配置页面可以看到识别到新磁盘（磁盘数根据实际磁盘数）3.替换成功，替换后，坏磁盘图标消失，磁盘变为健康状态4.正在运行的虚拟机业务不受影响 测试结果 口通过口部分通过口未通过口未测试 备注 2.6性能测试 测试目标 测试超融合一体机的存储性能情况 注意事项 预置条件 测试步骤 1.使用HDtune工具在一台虚拟机中跑读取性能 预期结果 1.能达到400MB/s左右（一般物理本地磁盘测试在80MB/S左右）2.满足高性能 测试结果 口通过口部分通过口未通过口未测试 备注 3.测试方案特点本次测试方案，总结如下：1、通过深信服的P2V工具可便捷的实现客户的应用系统无缝迁移至深信服超融合架构上平稳运行。2、在各种可能出现的主机故障或者业务出现问题的场景下，深信服超融合架构仍可满足业务对高可用的要求，保障业务持续运行。3、深信服超融合架构还可满足业务对高安全性、存储高性能，易管理，灵活的弹性扩展等需求。_1234567897.wmf_1517407199.doc超融合部署初始化指导书1.1超融合架构设备网口推荐分配集群管理口：用于管理集群的网口，默认eth0Vxlan口：集群不同主机虚拟机之间通信口，可自行选择网口业务数据口：虚拟机对外通信口，可根据业务量配置是否使用链路聚合口存储网口：用于集群间存储通信网口，存储网络，一般独占千兆交换机1.2安装1.2.1在bios中开启虚拟化进入bios，在advance中启用虚拟化1.2.3设置raid为jbod模式（注：不同的raid卡设置方式有差异，根据提示进行设置）第一步：进入bios，关闭安静启动第二步：根据提示进入raid卡编辑项，选择configurationWizard第三步：逐个磁盘设置为jbod模式1.2.3安装1.3环境初始化提供模块化部署，可通过序列号控制开启虚拟化，虚拟存储，虚拟网络，安全网关，负载均衡设备。主机插USB-key，将keyid发给储运刘敏或李年华开通虚拟化，虚拟存储，虚拟网络，vad，vaf序列号根据1.3节中“超融合一体机安装”文档中推荐网口接好网线组建2主机集群初始化存储配置存储网络，推荐单交换机链路聚合初始化存储：_1234567891.wmf_1234567898.wmf_1234567899.wmf_1234567895.wmf_1234567896.wmf_1234567894.wmf