计划部署sametime8.5

计划部署拓扑

• 仅部署即时消息和在线通知
  要仅提供即时消息和在线通知，可使用在Domino® 上运行的 Sametime社区服务器或服务器集群。

以下组件部署在仅包含即时消息和在线通知的Sametime 环境中

• • Lotus®Sametime 系统控制台（用于从中央位置管理服务器）

  • DB2®

  • LDAP目录

  • LotusSametime 社区服务器

  • LotusSametime 代理服务器

  • Sametime Connect 客户端、嵌入Notes® 的 Sametime 客户端或Sametime 浏览器客户端

要将即时消息扩展到外部社区，请另外部署Lotus Sametime Gateway。要在Sametime 客户端中提供视听功能，请另外部署Lotus Sametime 媒体管理器。

 

• 部署即时消息和会议
  要提供即时消息和在线通知功能，请使用在Domino 上运行的 Sametime社区服务器或服务器集群。要提供会议室，请使用在WebSphere® Application Server 上运行的Sametime 会议服务器或服务器集群。

以下组件部署在将即时消息和在线通知组合到会议的Sametime 环境中

• • Lotus®Sametime 系统控制台（用于从中央位置管理服务器）

  • DB2®

  • LDAP目录

  • LotusSametime 社区服务器

  • LotusSametime 代理服务器

  • LotusSametime 会议服务器

  • Sametime Connect 客户端、嵌入Notes® 的 Sametime 客户端或Sametime 浏览器客户端

要将即时消息扩展到外部社区，请另外部署Lotus Sametime Gateway。要在Sametime 客户端和会议中提供视听功能，请另外部署Lotus Sametime 媒体管理器。

 

• 部署即时消息、会议和Web 客户端
  要提供即时消息和在线通知功能，请使用在Domino 上运行的 Sametime社区服务器或服务器集群。要提供会议室，请使用在WebSphere Application Server 上运行的Sametime 会议服务器或服务器集群。要提供Web 客户端的支持，请使用Sametime 代理服务器。

以下组件部署在将即时消息和在线通知组合到会议的Sametime 环境中

• • Lotus®Sametime 系统控制台（用于从中央位置管理服务器）

  • DB2®

  • LDAP目录

  • LotusSametime 社区服务器

  • LotusSametime 代理服务器

  • LotusSametime 会议服务器

  • Sametime Connect 客户端、嵌入Notes® 的 Sametime 客户端或Sametime 浏览器客户端

• 部署即时消息、会议、Web客户端、音频和视频
  要将所有客户端功能部件提供给用户，请计划部署Sametime 社区服务器、Sametime会议服务器、Sametime 代理服务器以及Lotus Sametime 媒体管理器组件。

•  LotusSametime 系统控制台从中央 

• DB2®

• LDAP目录

• LotusSametime 社区服务器 

• LotusSametime 代理服务器 

• LotusSametime 会议服务器 

• Sametime Connect 客户端、嵌入Notes® 的 Sametime 客户端或Sametime 浏览器客户端

Lotus Sametime媒体管理器包含三个组件，这些组件安装在生产环境中的不同系统上。 

• • 分组交换器

    分组交换器基于语音激活交换来将音频和视频数据路由到与会者端点。部署中可以有一个或多个分组交换器；但分组交换器不能集群。分组交换器只能注册到会议管理器。如果有会议管理器集群，那么分组交换器将注册到集群，并且每个集群成员使用相同的分组交换器。

  • 会议管理器

    通过维护与每个与会者的对话并确保这些与会者之间的所有媒体流来管理多点会议。可以安装多个会议管理器组件并对这些组件建立集群，以实现高可用性和故障转移。

  • SIP代理/注册器

    将与会者定向到会议管理器服务器，并提供高可用性和故障转移功能。可以安装多个 SIP代理/注册器组件并对这些组件建立集群，以实现高可用性和故障转移。

• 将即时消息部署到外部消息传递社区
  使用 Lotus Sametime Gateway 将Sametime 客户端与其他即时消息客户端相连接。有多个选项可用于在网络部署中设置单个服务器或Lotus Sametime Gateway 服务器集群。您可以在网络DMZ 中安全地安装 LotusSametime Gateway。在某些情况下，支持网络地址转换程序(NAT)。

一、在DMZ 中部署 Lotus Sametime Gateway

LotusSametime Gateway 是需要在网络DMZ 中进行集群部署的企业解决方案。DMZ是源自军用术语“非保护区”的网络术语。DMZ是指网络的部分区域，通常位于两个防火墙之间；在此区域中，因特网上的用户被授予有限的访问权，可通过已定义的一组网络端口访问预定义的服务器或主机。DMZ 用作因特网和公司的内部网之间的边界。网络DMZ 是企业网络中允许因特网用户和内部用户同时访问的唯一场所。

由于Lotus Sametime Gateway 本身不包含数据，因此不存在数据受损的风险。不需要安装逆向代理或其他服务器，如Lotus Sametime Gateway 前端的 IPsprayer 或负载均衡器。LotusSametime Gateway 很安全，原因是：

• 由于受到防火墙的限制，因特网用户无法直接访问企业内部网上的Sametime 社区服务器，但是因特网用户可以访问网络DMZ 中的 Lotus Sametime Gateway。

• Sametime社区服务器有内部防火墙的保护，只可通过加密的VP 协议进行访问。

• DB2®有内部防火墙的保护，且受到主机和端口访问的限制。

• LDAP有内部防火墙的保护，可通过SSL 进行访问，且受到主机和端口访问的限制。

• Lotus Sametime Gateway 通过可使用SSL 加密的 SIP 与其他即时消息提供者进行交换。

当组件安装在其自己的机器上时，它们的性能表现最好；当有内部防火墙的保护时，它们的安全性最高。

二、独立服务器的拓扑

独立Sametime Gateway 服务器有其自己的管理控制台。独立服务器不需要SIP 或 XMPP 代理服务器。在以下配置中，SametimeGateway 服务器部署在 DMZ中，没有内部防火墙的保护，而DB2 和 LDAP 服务器都有防火墙的保护。

三、受管理服务器群组的拓扑

以下每个部署都由一个服务器集群组成，这些服务器在一个单元中协同运作，以提供高可用性和故障转移功能。有一个管理控制台用于管理所有服务器。您可考虑采用以下集群部署：

• 方案：在两台机器上安装Sametime Gateway 服务器单元

  • 机器1：DB2、DeploymentManager、主节点

  • 机器2：次节点、代理服务器

• 方案：在三台机器上安装Sametime Gateway 服务器单元

  • 机器1：DB2

  • 机器2：Deployment Manager、主节点

  • 机器3：次节点、代理服务器

• 方案：在四台机器上安装Sametime Gateway 服务器单元

  • 机器1：DB2

  • 机器2：Deployment Manager、主节点

  • 机器3：次节点

  • 机器4：代理服务器

• 方案：在五台机器上安装Sametime Gateway 服务器单元

  • 机器1：DB2

  • 机器2：Deployment Manager、主节点

  • 机器3：次节点

  • 机器4：次节点

  • 机器 5：代理服务器

下图显示了典型Sametime Gateway 集群以及为实现以下目的而必须在防火墙中打开的端口：连接DB2 和 LDAP，以及在本地Sametime 社区和外部即时消息社区之间交换即时消息和在线通知。

IBM®Lotus Sametime Gateway 在WebSphere® Application Server 上运行。WebSphereApplication Server 提供以下功能：

• 借助高可用性管理器，实现集群支持和强大的故障转移能力

• 会话启动协议(SIP) 基础结构，包含平台提供的无状态SIP 代理和 SIP IP sprayer

• 开放、可扩展的平台支持。可以用灵活的方式配置其他插件服务。

• 用于管理系统配置和监控及安全策略的中央位置，管理通过Integrated Solutions Console 和wsadmin 脚本命令进行。

DB2 是Lotus Sametime Gateway 策略和记录的存储器。DB2可以采用集群配置，用于故障转移和负载均衡。DB2是 Lotus 公共存储策略的组成部分。LotusDomino® 可以将 DB2 用作备用存储库，并且Lotus Sametime Enterprise Meeting Server 也使用DB2 来存储和在多台服务器之间共享配置数据。DB2应安装在受内部防火墙保护的单独机器上。

四、连接到即时消息社区时的典型部署

LotusSametime Gateway 可以连接到以下即时消息社区：

• AOL、Yahoo!Messenger、Google Talk 和XMPP 社区

• 其他Lotus Sametime 社区

• 使用 AOL 交换所的其他Lotus Sametime 公司

您可以根据需要设置任何或所有配置。LotusSametime Gateway允许公司中的选定个人用户向一个或多个公用网络上的用户发送即时消息，从而使他们可以直接访问全球数以百万计的用户。

注：在设置与 AOL 的连接时，您可以选择仅连接AOL 用户或连接包括AOL、ICQ、iChat和 AOL Enterprise FederationPartner 社区（包括外部Sametime 社区）其他用户的AOL 交换所社区。IBM建议不要配置这两个社区，因为AOL 交换所服务的用户属于AOL 社区所服务的用户的扩展集。如果只设置了AOL，并且稍后决定连接 AOL交换所 社区，那么请首先删除AOL 社区，然后再将 AOL交换所社区添加到 LotusSametime Gateway。

连接到其他Lotus Sametime 公司时，您可以连接不同公司的业务用户。当IT 基础结构仍然比较分散，以及当您想使因特网上的不同供应商互相连接时，获取这种部署方式十分有用。通过使用SSL 证书交换，保证了连接的安全。

五、建议的部署

仅针对小型测试配置，您可以将Lotus Sametime Gateway 安装在Sametime 服务器、DB2或其他应用程序所在的同一台机器上。对于生产环境，Sametime社区服务器应和Lotus Sametime Gateway 安装在不同机器上。

六、使用NAT 和多个 NIC

您可以在本地Lotus Sametime 社区服务器与Lotus Sametime Gateway 之间部署网络地址转换程序(NAT)。但是，尝试将 LotusSametime Gateway 连接到AOL、Yahoo 或基于SIP 的 TLS 加密外部社区时，不支持在Lotus Sametime Gateway 与因特网之间部署NAT 设备。虽然存在具有 SIP感知能力的 NAT 设备，但这些并不够，原因是AOL 和 Yahoo 社区都要求安全SIP (SSL/TLS) 通信，而 NAT设备无法对包进行解密和转换以进行正常操作。NAT对 XMPP 协议没有影响，因此使用Google Talk 通过 XMPP 进行的交换始终可以通过Lotus Sametime Gateway 与因特网之间支持NAT 的防火墙。

 

七、多个网络接口卡

要模拟NAT，可以使用两个网络接口卡(NIC)：一个用于内部 IP地址；另一个用于外部IP 地址。如果使用此配置，那么必须使用Integrated Solutions Console 更新缺省主机。