数据中心建设方案IDC建设方案格式调整版

数据中心建设方案IDC建设方案格式调整版

数据中心建设方案IDC建设方案格式调整版

PAGE / NUMPAGES

数据中心建设方案IDC建设方案格式调整版

. .

数据中心建设方案 IDC 建设方案

. . . . .

. .

目录

一、 综述 5

二、 IDC 网络建设 10

( 一 ) IDC 网络功能结构 10

( 二 ) 方案设计描绘 12

1、 Internet 接入网络结构 12

2、 用 CACHE 加快 INTERNET接见 13

3、 服务器负载平衡的实现 15

4、 WEB 服务器的连结 16

5、 后端网络的设计 17

6、 用户的远程保护 17

7、 网络安全的考虑 18

8、 网络的扩展性 18

三、 IDC 基础系统建设 19

( 一 ) DNS 建设 20

( 二 ) 安全性建设 22

1、 操作系统的安全规划 23

2、 防病毒 (Anti-Virus) 24

3、 防火墙 (Firewall) 24

4、 网络和系统入侵监控 25

( 三 ) 数据储存系统 26

1、 IDC 储存系统综述 26

2、 储存系统的建设目标 29

3、 储存方案概括 30

4、 储存解决方案特点 35

5、 数据备份系统 37

四、 IDC 应用服务系统建设 39

( 一 ) 数据库系统 39

( 二 ) 虚构主机服务( Web-Hosting ) 41

( 三 ) 独立虚构主机( Dedicated Hosting )方式 42

. . . . .

. .

( 四 ) 共享虚构主机( Shared Hosting )方式 42

( 五 ) 电子邮件服务系统 43

( 六 ) ASP 服务 46

1、 ASP 定义 46

2、 ASP 的特点 48

3、 ASP 供应的服务 49

4、 ASP 服务系统 51

五、 IDC 综合管理系统 51

( 一 ) IDC 综合管理面对的挑战 51

( 二 ) 一致网络和服务管理系统解决方案 53

1、 设计目标 53

2、 管理系统整体设计方案 54

六、 IDC 计费系统 57

七、 技术服务 63

( 一 ) SHINE 公司技术服务概括 63

( 二 ) SHINE 专业技术服务 64

( 三 ) 售前技术服务 64

( 四 ) 技术培训 65

( 五 ) 售后技术服务 65

1) 辅助计划 65

3、 现场技术服务 66

4、 热线技术支持 66

5、 备件服务 66

( 六 ) 项目管理技术服务 67

八、 IDC 机房系统设计说明 76

( 一 ) 机房装饰 76

1、 一般规定 77

2、 吊顶 77

3、 间隔墙 78

4、 铝合金门窗和间隔 79

. . . . .

. .

5、 活动地板 80

( 二 ) 电气系统 81

( 三 ) 空调系统 84

( 四 ) 门禁系统 84

( 五 ) 监控系统 85

( 六 ) 消防系统 86

( 七 ) 综合布线系统 87

九、 一期实行内容建议 89

. . . . .

. .

一、 综述

经历了 ISP/ICP 飞快发展, .COM 公司的风靡后,一种新的服务

模式 --互联网数据中心( Internet Data Center ,缩写为 IDC )正悄

然盛行。它在外国吸引着像 AT&T、AO- 、IBM、Exodus 、UUNET

等大公司的巨资投入; 国内不只四大电信营运商中国电信、 中国网通、

中国联通、中国吉通开始做赛马圈地,一些专业服务商如清华万博、

国都在线和世纪互联等,也参加了角逐。

IDC(Internet Data Center) - Internet 数据中心,它是传统的数

据中心与 Internet 的联合,它除了拥有传统的数据中心所拥有的特

点外,如数据集中、主机运行靠谱等,还应拥有接见方式的变化、要

做到 7x24 服务、反响速度快等。 IDC 是一个供应资源外包服务的基

地,它应拥有特别好的机房环境、安全保证、网络带宽、主机的数目

和主机的性能、大的储存数据空间、软件环境以及优异的服务性能。

IDC 作为供应资源外包服务的基地,它能够为公司和各种网站提

供专业化的服务器托管、空间租用、网络批发带宽甚至 ASP、EC 等

业务。简单地理解, IDC 是对入驻 (Hosting) 公司、商户或网站服务

器群托管的场所; 是各样模式电子商务赖以安全运作的基础设备, 也

是支持公司及其商业结盟 (其分销商、供应商、客户等 )实行价值链管

理的平台。形象地说, IDC 是个高质量机房,在其建设方面,对各个

方面都有很高的要求。

IDC 的整体结构以以下图所示 :

. . . . .

. .

IDC 的建设主要在以下几个方面:

网络建设

IDC 主假如靠其有一个高性能的网络为其客户供应服务, 这个高

性能的网络包含其 - AN 、WAN 和与 Internet 接入等方面。

IDC 的网络建设主要有:

- IDC 的- AN 的建设,包含其 - AN 的基础结构, - AN 的层次, -

AN 的性能。

IDC 的 WAN 的建设,即 IDC 的各分支机构之间相互连结的广域网的建设等。

. . . . .

. .

IDC 的用户接入系统建设, 即怎样保证 IDC 的用户以安全、 靠谱的方式把数据传到 IDC 的数据中心,或对寄存在 IDC 的用户自己的设备进行保护,这需要 IDC 为用户供应相应的接入方式,如拨号接入、专线接入及 VPN 等。

IDC 与 Internet 互联的建设。

IDC 的网络管理建设,因为 IDC 的网络结构相当宏大并且复杂,要保证其网络不中断对外服务, 并且高性能, 一定有一高性能的网络管理系统。

服务器建设

IDC 的服务器建设可分为多个方面, 整体上分为基础服务系统服务器和应用服务系统服务器,主要有:

基础系统服务器:这种服务器是保障 IDC 为用户供应各样服务的前提,这种服务器有 DNS 服务器、目录服务器、网络管理服务器、防火墙服务器、各种安全服务器、 IDC 系统性能监控服务器等等。

数据库服务器:它是保证 IDC 能够为用户供应各样应用服务的基础, IDC 的数据库服务器一定能支持大容量接见、多种数据库等。

数据备份服务器:它是 IDC 为客户供应安全服务的内容之一,保证客户的数据安全靠谱。因为 IDC 的服务器种类众多、有多种数据库,所以数据备份要支持多机型、多种数据格式等等,并且容量要大。

应用服务器:是 IDC 为用户供应有关应用服务的服务器。

  因为

IDC 的业务扩展,所以应用服务器应拥有很好的扩展性, 以及支持各

. . . . .

. .

类应用软件的数目要多。

服务器的负载平衡: 这是 IDC 供应高性能、高靠谱性服务的重要方法之一,服务器的负载平衡可由硬件设备(如网络交换设备)或软件的方法实现。

储存系统的建设

储存系统是 IDC 的要点建设内容之一,作为一个 IDC ,其储存系统是相当宏大的, 特别是在此刻的公司中, 数据的容量以由 GB 级增添到 TB级,这样大的数据需要有一个更为安全、 靠谱的储存系统,因为接见的数目也是相当宏大的, 所以对储存系统的效率也有很高的要求;并且储存系统应拥有很好的扩展性,以知足 IDC 的发展的需求。

软件系统的建设

软件系统的建设是 IDC 需要大批投入的方面,它是在前面网络、服务器和储存系统建设的基础上, IDC 展开对外服务的手段。

 IDC 在软件建设的主要有:

- Web 系统: IDC 展开 Web-Hosting 服务内容之一, Web 系

统软件应支持在一个系统上能成立为多家公司服务的 Web 系统功能

等。

电子邮件系统:电子邮件系统应支持多种电子邮件协议,如

SMTP、POP3 、IMAP4 、Web-Mai- 和 Voice-Mai- 等,同时电子

邮件系统应有很好扩展性等。

- 数据库系统: IDC 应成立多厂家的数据库系统, 如应有 Orac-

. . . . .

. .

e 、Informix 、SQ- Server 、SyBase 等厂家的数据库,以知足不一样用

户的需求。

安全系统:如防火墙软件(硬件防火墙除外) 、防黑客入侵、防病毒软件等。这是保证 IDC 为用户供应安全服务器的前提。

数据备份软件 :支持多备份设备、 多种厂家的机器、 多种数据库

等等。

应用开发系统: IDC 应供应相应的开发系统平台,供应相应的开发工具,知足用户或 IDC 开发相应应用的需求。

IDC 自己服务系统建设

IDC 是靠其优良的服务来据有市场和博得客户的, 为了做到优良

高效服务, IDC 在其自己服务器系统的建设上也一定有大批的投入。

IDC 自己服务系统主要有:

客户关系管理系统 (CRM): CRM 是 IDC 与客户成立优异关系的基础服务系统,它为 IDC 供应的用户的发展动向以及用户的新的

需求等。

计费系统:计费系统是 IDC 收入的保证。

网络与服务器管理系统: IDC 有宏大的网络和服务器系统,要管理好这些系统, 一定有一个功能强盛的网络、 服务器和应用管理系统,此能保证 IDC 对外的服务质量。

IDC 的内部管理系统:保证 IDC 内部各部门能够一致协调工作,达成高质量的服务。

机房场所建设

. . . . .

. .

机房场所的建设是 IDC 先期建设投入最大的部分。因为 IDC 的

用户可能把其重要的数据和应用都寄存在 IDC 的机房中,所以对 IDC

机房场所环境的要求是特别高的。

  IDC 的机房场所建设主要在以下几

个方面:

机房装饰:机房装饰主要考虑吊顶、间隔墙、门窗、墙壁和活动地板等。

供电系统:供电系统是 IDC 的场所建设要点之一,因为 IDC

的大批设备需要极大的电力功率, 所以供电系统的靠谱性建设、 扩展

性是极其重要的。供电系统建设主要有: 供电功率、UPS建设(n+1 )、

配电柜、电线、插座、照明系统、接地系统、防雷和自觉电系统等。

空调系统:机房的温度、通风方式和机房空气环境等。

安全系统:门禁系统、消防系统和监控系统。

布线系统:机房应有完好的综合布线系统,布线系统包含数据布线、语音布线、终端布线。

通信系统:包含数据线带宽、语音线路数目等。

二、 IDC 网络建设

(一) IDC 网络功能结构

我们建议的 IDC 网络结构以以下图所示:

. . . . .

. .

·核心交换层: 由两台 CISCO6509 多层交换机构成, 实现双机容错工作,保证数据的高速、无堵塞的交换。

·策略散布层: 能够由一组 CSS11000 系列内容交换机构成, 负责达成服务器负载平衡和策略散布任务。

·服务器接见层:由一组 Cat3524 交换机构成,达成托管服务器的高速接入工作。

·后端网络:由两台 CISCO6509 构成,实现双机容错工作,实

现 IDC 管理中心,数据库、邮件、应用等服务器和储存系统的连结,托管服务器经过第二块网卡和后端网络相连, 保证独立和高速的数据接见。同时,后端网络经过防火墙和前端的核心网络连结,实现 IDC

管理中心对前端网络的管理, 防火墙则为后端网络供应更严格的保护。·用户接见层: 由若干台 Cat4000 和一组 Cat2924 构成,供应

. . . . .

. .

公司和个人用户接入,供应 INTERNET上网,公司用户还可以够经过

VLAN 和自己的托管服务器连结实现平时的保护工作。

(二) 方案设计描绘

1、 Internet 接入网络结构

因为本系统 Internet 接入服务用户主要来自于各写字楼内的公

司和高级酒店、公寓内的客人和住户,且各写字楼相距较近,所以全

部采纳 LAN 结构为这些用户供应接入服务,以以下图所示 :

LAN 采纳流行的以太网络结构,

核心交换: Cat6509 多层交换机

散布层交换或周边建筑物内骨干: Cat4006 交换机

接入层交换机: Cat2924XL 交换机

. . . . .

. .

因为考虑到在酒店和写字楼内从头进行数据布线有必定困难, 所以采纳 TDSL技术实现楼内的数据传输,所有数据交换设备都集中在中央机房内,但网络的整体结构不变。

核心交换使用两台 Catalyst 6509 构成,形成全冗余的高速网络核心。散布层交换机 Catalyst 4006 使用两条千兆线路分别与两台 6509 相连,形成冗余的千兆骨干。

 楼层交换机使用 Catalyst 2924XL 交换机。

Cat6509 上的千兆端口还用来连结其余的节点,与其余节点的

LAN 一同构成一个散布式的城域范围的数据中心的结构。

2、 用 CACHE 加快 INTERNET接见

Internet 的发展趋向是尽可能地将内容在地理上凑近用户, 因为

本方案中 INTERNET接入用户的多半来自与商务写字楼和酒店公寓,

其对 INTERNET的接见拥有很大的重复性,所以有效地部署 CACHE

能够大大地降低 INTERNET接入的带宽负荷,提高内容的相应速度。

此外,因为此刻 INTERNET上出现愈来愈多的多媒体形式的内容,

盼望拓宽 INTERNET出口带宽来提高用户对这些内容的接见速度是根

本不现实的,而使用 CACHE 技术对 INTERNET上的这些内容进行缓

存,不只好够使这些内容对用户变得现实可用,提高用户的忠诚度,

并且还可以够经过按期定制一些多媒体节目在 CACHE 中,以有偿的方

式向用户供应,这就演化成了一种增值服务。

总之,CACHE 对 IDC 以及 ISP都是必不行少的, 经营者能够通

. . . . .

. .

过灵巧地使用 CACHE 来最大限度地降低成本,提高收益。

我们建议使用 NETAPP公司的 NetCache C1105 来供应缓存服

务,将其连结在 INTERNET接入路由器上供应服务。

NetCache C1105 的特点:

靠谱性 / 可用性 / 可扩展性

专用的系统结构专注于内容可用性的供应

微码的核心系统,在增添数据可用性的前提下达到最小的开支

WAFL(Write Anywhere File System )NetApp 专利的文件系统优

化了磁盘到网络的传输

冗余的热插拔电源

ECC 内存保护

OS 的冗余拷贝

简化的管理

专用的内容管理和送到软件

大型部署时的多系统管理

应用剖析与报告的日志

快速的安装与启动

公司框架软件集成供应集中的应用管理

鉴于 WEB 与 CLI 的管理

温度、电源监控供应可展望的系统管理

安 全

加固了的 TCP/IP 协议栈在没有防火墙的保护下也能抵抗一般的网络

. . . . .

. .

攻击

Icap-enabled 过滤和病毒检测

当地支持的第三方过滤表

NTLM、LDAP 与 RADIUS 认证支持

ACL

多协议

支持 HTTP、FTP、NNTP

支持主要的流技术 (MMS ,RTSP,QuickTime)

iCAP-enabled 应用供应灵巧的对增值服务的接见

3、 服务器负载平衡的实现

对于大多半站点而言,采纳多个服务器而不是一台大型服务器,能够提高服务器的响应性能, 减少服务器的单点故障。

 但多台服务器的采纳,一定考虑服务器的负载平衡问题。在本方案中服务器置于 CSS11800 内容服务交换机以后, 所以由 CSS11800 达成服务器的负载平衡。

CSS11000 系列经过 ACA(Arrowpoint Content Assure

protocol) 拟订负荷参数,选择最小负荷的服务器供应用户所需的内

容。

同时 CSS11000 系列还支持加权轮询 -Weighted Round Robin ;

最小连结体制;最大连结数限制等多种算法实现负载平衡。

Cisco CSS 11000 系列内容服务交换机是业界独一的动向负载

. . . . .

. .

平衡交换机,采纳拥有专利权的 ACA 算法,能够依据 Cache 服务器的命中率、流成立数和 RTT(Round Trip Time) 选择最适合的服务器应答用户的恳求。

 与其余的负载平衡设备比较, CSS 拥有更高的负载平衡能力,因为它是一种鉴于流的交换机, 其余厂家的负载平衡设备则是鉴于包的交换机。

 鉴于包的解决方案经过检测对某一特定内容的

恳求时的每个包来做转发决定,这样严重增添了 CPU 的负担。而作

为鉴于流的交换机的 CSS,一旦流成立起来后, 该流所有的流量都将

以线速转发。

CSS 以下边的多种方法支持负载平衡:

· 拥有专利权的 ACA 负载平衡算法

· 轮询 (Round Robin, RR)

· 加权轮询 (Weighted Round Robin, WRR)

· 最少连结 (Least Connection, LC)/ 最大连结 (Max

Connection)

· 目的 IP地址

· 源IP地址

· 域/ 域 Hash 算法 (Domain/Domain hash)

URL/URL Hash 算法

考虑到建设早期, 负载平衡交换机不是一定的设备, 并且也不是所有的托管站点都需要负载平衡功能, 所以,我们建议先不采纳负载平衡设备,等到有需求的时候再增添。

4、 WEB 服务器的连结

. . . . .

. .

我们为 IDC 中的每台托管服务器都配置两组网卡,一组用于前

端网络的连结,供应 WEB 接见;另一组用于后端网络的连结,供应

对数据库、邮件等服务器以及储存系统的接见。

经过使用不一样的网络通道进行数据库等后台应用接见, 能够使服

务器更充分的利用网络带宽来相应 WEB 恳求;同时,后端网络与前

端网络的分别能够让数据库接见、 文件存取等要求高速、 大容量的数

据接见享有更多的网络带宽。

服务器经过一组接入交换机 Cat3524 连入骨干交换网络。

5、 后端网络的设计

因为后端网络连结 IDC 管理中心,数据库、邮件等服务器和大

容量储存系统,需要高速的交换系统,所以我们使用两台 Cat6509

交换机作冗余的核心,连结一组 Cat3524 供应和 WEB 服务器的连结;

对于数据库等服务器和储存系统, 能够采纳千兆以太端口或千兆以太

通道供应高达数 Gbps 的直接连结。

6、 用户的远程保护

一般状况下, IDC 用户会要求远程保护自己的托管服务器, 因为

用户只同意对自己托管的服务器进行接见, 所以,一定采纳如:VPN 、

VLAN 等技术保证这一点。

 经过连结到后端网络的广域网路由器能够

供应用户经过专线、拨号、 VPN 等各样方式实现远程保护。对远程

保护的行为进行能够经过以下几种方式进行:

. . . . .

. .

DDN 专线:用户经过 DDN 专线连结到 IDC 中心,经过策略路由或 VLAN 被限制只好接见自己的服务器,进行保护。

· PSTN或 ISDN 拨号:用户经过拨号线路接见 IDC 中心,身份

认证由 AAA Server 进行,并进行行为受权, 保证用户只好接见到自

己的服务器进行保护。

VPN:用户可能距离 IDC 中心太远,从各方面不具备经过 DDN 或 PSTN线路接见 IDC 中心的条件,这是能够经过 INTERNET采纳

VPN 的方式与 IDC 中心连结并保护服务器。这种状况下,由 VPN Server 或 VPN 路由器保证连结的安全性和靠谱性。

 VPN 的实现能够采纳 IPSec 地道和 MPLS VPN 技术,在保证信息正确可达的状况

下,对用户信息进行高强度的加密, 保证用户信息的不被盗取和完好

性。对于当地接入的公司所托管的服务器,因为公司 LAN 和托管服

务器处于一个 LAN 结构以内,所以,服务器运行保护能够经过定义

VLAN 进行。

7、 网络安全的考虑

网络的安全主要经过防火墙和入侵检测系统来表现, 经过部署防

火墙系统,能够将网络区分红几个安全等级不一样的部分, 对于要求安

全等级高的部分,还可以够经过部署多级防火墙来供应安全保护。

入侵检测系统则能够对歹意的入侵行为进行探测,进行记录。

这部分内容拜见第三章第二节 "安全性建设 "。

8、 网络的扩展性

. . . . .

. .

网络优异的扩展性能够让供应商在相当长一段时间内连续供应

一致服务,而无需进行新的投资, 我们在网络设计中也充分考虑到了

这一点。

网络主交换机 Cat6509 采纳模块设计,最多能够支持到 384 个

10/100 个快速以太端口,或 130 个千兆以太端口。其交换带宽能够

从 32Gbps (15Mpps )扩展到 256Gbps (150Mpps ),用户能够依据需要选配端口。

建筑物主交换机 Cat4006 也采纳模块设计,支持六个接口插槽,最多能够扩展到 240 个快速以太端口, 72 个千兆以太端口。

楼层交换机 Cat2924 支持 10/100 自适应端口速率,并且 2924

支持多交换机堆叠, 在端口数不够时, 能够简易地扩大端口而无需增

加上层交换机的端口。

Cat4006 能够经过千兆以太通道技术来提高骨干连结速率,

Cat2924 也相同支持快速以太通道和千兆的骨干连结,能够在需要

的时候光滑地从此刻的 10M/100M/1000M 的交换结构升级到

100M/1000M/n*1000M 的交换结构,成 10 倍地提高网络速率。

三、 IDC 基础系统建设

IDC 在先期建设中,首要任务之一是建设其基础服务系统, IDC

的基础系统主要有 DNS 系统、目录服务系统、数据备份系统、安全

系统等。

. . . . .

. .

(一) DNS 建设

在 Internet 上计算机和网络设备使用 IP 地址来表示的, 但 IP 地

址很难记忆,所以采纳和 IP 地址相对应的域名 (Domain) 来表示主机

和网络, DNS(Domain Name Service) 即域名服务就是把主机名字

和 IP 地址作相互般配,供 Internet 上用户以主机域名的方式相互查

询。

 DNS 是向用户供应域名查问或域名登录服务,其与 Internet 中

的其余域名服务器形成全世界域名服务系统。往常 DNS 服务器采纳两台或多台的方式来运行, 此中一台主服务器 (Primary ),其余为次服务器(Second ),当主服务器不可以工作时,有任何一台次服务器来接收其工作,这样保证了 DNS 系统运行的靠谱性,主次服务器之间采纳自动信息更新方式。

IDC 的 DNS 系统除了要为 IDC 自己服务以外, 还要为其客户提

供相应的域名定义、为用户开设虚构域名服务等。

 所以在 IDC 的 DNS 服务器上可能要定义和管理上百个或更多域名, 因为有这样多的域名,其每日接受的查问量也是相当宏大的。

为了保证 IDC 的 DNS 域名的靠谱性和安全性,我们采纳 Split

DNS 技术来设计 IDC 的 DNS 系统,即把 IDC 的 DNS 系统区分为内部和外面两部分,此中外面 DNS 系统位于公共服务区,负责 IDC 正常对外分析工作, 如 IDC 的 Web 服务器、 IDC 用户的 Web 服务器等分析工作全由外面 DNS 服务器来达成;内部 DNS 系统主要有两项工作,一是负责分析 IDC 内部网络的主机,如目录服务器、邮件服务器等,另一工作是负责当内部要查问 Internet 上域名时,其把查

. . . . .

. .

询任务转发到外面 DNS 服务器上,而后由外面 DNS 服务器达成查问任务,返回结果。因为把 DNS 系统分内外两部分, Internet 上用户只好看到外面 DNS 系统中的服务器,而看不见内部的服务器,并且

只有内外 DNS 服务器之间交换 DNS 查问信息,进而保证了系统的安

全性。

以以下图说了然 DNS 分析流程,

DNS 服务器

机器型号

配 置

备 注

2x450MHz UltraSPARC CPU

主 DNS 服务器

Sun E420R

1GB Memory

外面 DNS

2x18.2GB Internal Disk

2x450MHz UltraSPARC CPU

次 DNS 服务器

Sun E420R

1GB Memory

可 选

1x18.2GB Internal Disk

2x450MHz UltraSPARC CPU

主 DNS 服务器

Sun E420R

1GB Memory

内部 DNS

2x18.2GB Internal Disk

次 DNS 服务器

Sun E420R

2x450MHz UltraSPARC CPU

可 选

1GB Memory

. . . . .

.

. .

2x18.2GB Internal Disk

我们采纳两台 Sun E420R 服务器作为外面 DNS 服务器,两台 Sun

E420R 服务器作为内部 DNS 服务器,所有两台服务器之间以主次方式运行, DNS 软件可采纳 Solaris 系统中的,也可使用 Internet 上公然的 Bind 。详细的服务器配置以下表所示。

(二) 安全性建设

系统安全架构的设计将包含两个方面:防备 IDC 网络外面用户

对 IDC 网络系统可能的攻击,以及防备 IDC 网络内部各子系统之间可能的攻击。这两个方面所采纳的技术和思路是一致的。

系统安全架构将从三个层次来考虑:网络层、主机 / 服务器系统

. . . .

. .

及应用层。

·网络层的安全主假如防备对于整个网络的非法接见, 一般经过

防火墙来实现。经过配置了多级防火墙,以隔绝 IDC 网络各个构成部分相互之间的非法接见(合法接见能够经过);对于 Internet 用户来讲,假如想非法侵入 IDC 内部网络,一定打破防火墙的防备。此外,各级防火墙可采纳不一样的产品,以提高网络整体的安全性。

·主机 / 服务器系统的安所有是针对个别机器的。 除了主机 / 服务器

的操作系统自己的安全性以外, 当前有多种产品可供选择, 包含 SUN

公司的 Security Manager 和 CA 公司的 Unicenter TNG 等产品。

·应用层的安全将从三个方面来考虑: 增强应用服务器系统的安全;采纳身份认证体制,以保证应用的靠谱性;采纳数据加密技术和防病毒软件,以保证应用的安全性。

1、 操作系统的安全规划

操作系统的安全性建设应是整个系统安全性建设的基础。 操作系

统的安全性建设主要包含用户的管理、 超级用户的管理、 文件系统安

全管理、远程对系统的接见等。

用户管理 :对用户的管理主要实用户的账号口令管理, 设置用户

账号的有效期, 用户账号口令的存活限期等。 假如需要能够规定用户

只好在指定的时间内才能登录系统,并对登录系统的用户进行审查

audit )。

超级用户的管理 :严格限制有一般用户变为超级用户(如使用

. . . . .

. .

su、rlogin 等命令),假如需要能够使用如 CA Unicenter TNG 这样

的软件来控制系统超级用户的权限。

文件系统的安全管理 :控制用户对系统内特别文件的接见权限,

特别是删除、挪动等权限,对使用 NFS系统能够采纳 kerberos 方式

认证。

远程对系统的接见 :关闭系统的 telnet 、 ftp 、r-接见( rsh、rlogin 、

rcp )等功能;但能够对系统管理员开放相应的 telnet 、ftp 功能,

以便利于对系统的管理和保护。

2、 防病毒 (Anti-Virus)

当前病毒在网络和 Internet 上流传主要以电子邮件和 Web 阅读的方式流传,以及内部网络上职工的共享文件的流传。

 防病毒能够分为集中防病毒和分别防病毒两种方法。

 集中防病毒的方法是在主要的服务器上安装防病毒软件, 此软件先对进出此服务器的数据进行检查,而后再把经过检查的数据发送给客户; 分别防病毒是只在客户端安装防病毒软件,它只检查进出客户端的数据能否有病毒感染。

因为 IDC 主要为客户服务,数据主要集中在服务器上,所以在 IDC 系统的防病毒系统中主要采纳集中防病毒方法, 但同时对一些与服务器订交户的内部客户段(如管理客户段)也采纳分别的防病毒方法。

集中防病毒主假如对进出的邮件和 HTTP流数据进行防病毒;分别是保护内部网的单个终端用户。

3、 防火墙 (Firewall)

. . . . .

. .

防火墙 (Firewall) 是保证网络安全的重要手段之一,在建设 IDC

基础网络系统安全性时,第一是要考虑防火墙的建设。在 Internet/Intranet 上,经过防火墙来在两个或多个网络间增强接见

控制,其目的是保护一个网络不受来自另一个网络的攻击, 隔绝风险地区与安全地区的连结,但不阻碍人们对风险地区的接见。

防火墙要达成以下主要功能:

·经过对 IP 包的检查,过滤对网络安全有潜伏威迫的 IP 数据包。·障蔽对于网络不用要且有安全破绽的服务,如 Telnet 、FTP等。·控制从 Internet 上过来的 IP 数据的流向,如数据包其目的地址只好是某个地区的 DNS、WWW 等服务器。

·障蔽对于某些 Internet 站点的接见。

·达成系统内部 IP 地址到 Internet 合法 IP 地址的变换,保证能够从系统内部接见 Internet ,隐蔽内部网络和主机的结构。·接见日志,即 Access Log 。

IDC 不单要建设自己的防火墙系统, 同时也要考虑特定的用户需要建

立起自己的防火墙系统, 即用需要在其自己的应用前增设相应的防火

墙系统来保护其应用的安全 (这可依据用户的实质需求再进行建设) 。

4、 网络和系统入侵监控

网络和系统的入侵检测是在网络上增添一台扫描仪器和在主要

服务器上增添相应的防入侵软件来实现。 此类防入侵软件有两个主要

功能,一个扫描网络和系统上的安全破绽, 以便在网络和系统成立初

. . . . .

. .

期,就解决好安全问题,此功能也属于安全保护范围;另一个功能是在网络和系统运行时,监控数据流,及时发现黑客入侵,进而做到防备黑客的入侵。

在 IDC 系统中,在每个重要的服务获得网络的进口处安置一个探测

器,对每个进出此段网络的数据流进行检查探测, 当其发现某一个数据流不是正常的数据流时, 探测器把此数据流截获住, 并向位于管理区的管理服务器发送入侵信息和警示, 而后由管理服务器在做相应的防守对策。

同时在每个服务器上安装有近似的探测器, 所以当黑客入侵服务器系统时,也是采纳上述动作。

(三) 数据储存系统

1、 IDC 储存系统综述

在新的以信息为核心的时代, 怎样更有效的管理、 保护和共享公司信息已为各行业的发展提出了新的挑战。

 特别在电子商务、 互连网络等新兴信息行业领域, 更是面对着亘古未有的巨大挑战。

 在传统的散布式办理模式下, 网站内所有的信息散布在内部各个服务器上, 信息的管理,信息的可用性遇到了很大的限制, 不可以充散发挥应有的作

用,并且系统的升级和新业务的开发部署也都不可以及时响应 Internet 快速变化的要求, 在这种情况下, 以信息为中心的集中办理模式应时代的需要再次走上了历史舞台, 而建立公司信息基础设备则更是集中

. . . . .

. .

办理模式的重中之重。

对于 Internet 网站来说,几分钟的宕机都会带来巨大的经济损失以及不行估计的网络用户的流失, 假如宕机的时间再长一些则可能危及整个网站的生命。

 所以整个 IT系统的高可用性变的特别重要, 而作为信息系统核心的数据部分的高可用性更是重中之重, 服务器的宕机能够经过多台服务器冗余带来保护, 可是假如服务器上的数据没有有效的保护或成为接见瓶颈,则可能成为致命的缺点。

此外,散布式的环境给信息系统管理带来了巨大的阻碍。

 数据散布在众多的平台和服务器之上,备份和管理的工作变的愈来愈复杂,多个服务器上分别的数据很难共享, 并且这种分别的储存模式也带来了巨大的资源浪费, 系统管理人员没法在多个系统间有效的调动储存资源。再有,这种办理模式也不利于新业务的快速部署,而更快的测试、部署新的应意图味着更快的抢占市场,吸引用户,这在 Internet 中无疑是有着举足轻重的意义。

IDC 之间的竞争当前主要表现是网络带宽、基础设备等 IDC 的基本因素的比较,跟着 IDC 产生的愈来愈多, IDC 之间的竞争已经表此刻怎样能够为 IDC 的用户供应更多的数据及安全服务,如:防

火墙、数据备份、镜像站点、负载平衡、统计剖析等数据安全、 管理、

剖析等增值服务。

 IDC 怎样利用现有的带宽优势、 基础设备优势来提

供更多的数据增值服务并且最大的压缩成本是未来 IDC 之间竞争的

取胜法宝。所以 IDC 怎样能够供应更多的数据保护、数据管理服务

成为 IDC 成即刻系统设计的一个重要方面。其实答案是很简单的,

. . . . .

. .

那就是集中储存管理 。

作为 IDC 的集中储存系统需求要面对未来 IDC 用户的需求的多

样性,能够依照模块方式为用户供应模块化的服务。作为 IDC 的存

储中心第一应当拥有极高的安全性, 试想假如储存系统产生问题怎样为用户服务,储存中心还应当拥有很强的功能弹性: 能够实现集中的数据备份、冗灾、连结主机的多样性等等。

作为储存中心的成本能够有两种评测,一种是简单的容量成本,另一种是与 IDC 系统有关系关系的功能或服务成本。第一种比较简单,第二种我们能够经过以下两个示例来说明:

示例一:好多 Web Hosting 用户需要使用高速的文件接见,要求容量配置管理简单、 扩容方便。假定有 400 台主机需要托管并且主机种类主假如 NT、 LINUX 等平台。假如每台主机都经过光纤通道的 IO 通道,则我们需要在每台主机上安装一个 FC 的卡,价钱大概是

US$2000.00 ,那么我们共需要 80 万美金,假如将这些成本加到用户

身上明显不适合。

示例二:假若有 100 台 SUN 或 HP 的服务器供应 ASP 等业务,

用户需要对数据进行备份保护, 那么一般状况下需要在每台服务器上

安装备份软件, 假如每套软件价钱大概 US$15000.00 ,需要花销 150

万美金,并且这种备份方式要站用大批的网络资源和服务器的计算资

源。

既然储存服务是中心化的,有没有更好的解决方案,答案是

NETAPP 的 FILER。经过下边的方案介绍我们就会理解为何当前 10

. . . . .

. .

大 IDC 中会有 9 家采纳 NETAPP 的储存解决方案来为 IDC 的用户供应基础设备和增值服务。

2、 储存系统的建设目标

储存系统要点是对整个网站内的数据进行整合, 成立起真实的公司储存平台,在一致的公司储存平台上成立集中式的办理中心, 更有效的达成业务办理, 并极大的提高系统的可管理性, 降低系统的管理难度及管理开支,提高信息的可用性和共享性。

储存系统要达到的建设目标以下:

·达成数据整合, 成立全网站的信息基础设备, 在一致的信息储存平台上高效的达成业务办理, 将所有应用系统连入已采纳的智能存贮系统平台,进行数据整合, 整合后整个网站的数据信息将位于一致的公司储存平台之上。

·在新的信息基础设备上更有效的达成系统管理, 降低系统管理的难度和工作量,从单点实现对公司储存平台的一致管理和控制。

·利用新的信息基础设备最大限度的提高信息的共享性, 信息共享可在存贮系统平台内快速有效的达成,无需占用网络资源。

·提高信息的可接见性和接见速度,所有的数据磁带备份工作,可经过备份机利用当地磁盘镜像数据来达成, 有效降低生产系统的备份窗口需求,大大延伸生产系统的在线服务时间。

一个完好的储存系统还应与数据备份系统做到无逢联合, 即储存系统还达到以下目标:

. . . . .

. .

·要点数据实现及时备份

·要点业务系统的主机实现热备份

·要点业务系统的网络部分实现热备份

详细目标以下 :

·要点数据实现远程及时备份, 备份技术应不占用主机资源, 对应用系统无任何影响。

·成立灾害备份中心。

·在灾害备份中心, 搁置主机系统以用作热备份, 其办理能力为生产中心主机的 80%以上。

·在灾害备份中心, 成立网络备份系统, 此中包含备份网络设备如路由器、HUB 等和备份线路,备份线路的接入分局应不一样于生产中心连结的分局。

在储存系统建成后, IDC 的信息系统将为未来的发展 (包含业务和技术)确立了坚固靠谱的电子信息基础架构。

 所有的业务能够在这一信息基础架构长进行集中的控制和一致的管理。

 信息的可用性、 保护性和可管理性将大大提高。

 系统的可扩展性和灵巧性也将比传统的散布式储存方式大大改良, 能够充分知足当前及未来的业务发展和管理的需要。

3、 储存方案概括

IDC 的储存系统是为应用供应服务的,所以在设计 IDC 储存系

统时,一定要考虑到所服务的种类。 IDC 的服务种类主要有: Web

. . . . .

. .

服务( Web-hosting )、数据库、邮件、目录、计费系统等。依据应

用服务的种类和特点,我们把数据库、邮件、目录、计费等系统规划

为一类,此类服务的特点是服务器的种类相同, 如数据库服务器全为

Sun ,储存的数据共享型少,比较集中;把 Web 服务归为另一类,

Web 服务器可能是多厂家的( Sun, PC server ),而 Web 服务的内容共享型比许多,特别是在 Web 负载平衡时,要求多台 Web 服务器的供应的内容要一致。

以下图展现了 NAS 储存结构,此储存系统主要为 IDC 的鉴于 Web 的应用服务, 如 Web 、Web-Hosting 等,在 IDC 中 Web 服务器是好多台的,并且可能是不厂家的服务器,同时好多 Web 服务器采纳负载平衡的方式运行, 这需要保证每个 Web 服务器在同一时辰一定供应相同的内容, NAS 储存系统能够很好地知足这些要求, 同时 NAS 的优异扩展性能够知足 Web 应用对储存系统扩展的需求。

我们建议采纳 Netapp 公司的 F840 作为 IDC 的 NAS 储存系统。我们采纳两台 Netapp 的 F840 作为储存系统,两台 F840 以双机备份的方式运行,详细描绘以下:

多应用系统数据储存的独立性和安全性

. . . . .

. .

因为在 NAS 的储存系统上要寄存多家的数据,怎样保证用户间

的数据安全性,是 NAS 储存系统应要点考虑的问题。在 F840 filer 系统上,第一, filer 拥有高度的安全性,安全认证由 UNIX 主机和 WINDOWS NT 主域控制器负责,安全等级达 C2 级;在 NT 环境中, filer 与 NT 的 ACL (access control list )功能相联合可供应更高的

安全保护。

为保证数据寄存的独立性,可在一台 filer 中将不一样应用系统的

数据分别寄存于多个卷组中, 同时对每一卷组授与不一样的操作系统访

问权限,用户组和用户权限,以细化对数据的保护。且在网络配置上

可安装多个网卡使 filer 拥有多个 IP 地址,经过子网配置实现数据的

分流和隔绝,保证应用系统的数据独立性。

此外,filer 的 Data Ontap 操作系统还供应名为 QTREE的空间

配额管理工具。只需简单的命令行配置即可对卷组下的用户目录空间

和最大可创立文件数作配置,实现细化管理。

Cluster Failover 简介

文件系统专用设备 Filer 除了软硬件自己拥有 99.99% 的高靠谱性

以外,为了除去一些单点故障 (如系统主板犯错, 等),在以低成本、

低性能开支、不增添系统复杂度的前提下,将两台独立的 Filer 耦合

起来,实现一旦一台 Filer 因故障而停止运行并且不可以从头启动,另

一台 Filer 马上便可接收这一台 Filer 的所有工作,保证系统正常运行。

Cluster Failover 系统结构图以以下图所示。

. . . . .

. .

图中的两台 Filer 都与磁盘阵列相连,并处于同一子网中,两台

Filer 之间用高速、冗余的光纤互连。光纤通道( FC-AL )的硬盘有两

个端口,分别与两台 Filer 相连。

每个 Filer 有自己主管的一组硬盘。正常运行时,两台 Filer 各自独立工作,硬盘、电扇或电源犯错不影响另一台 Filer 的工作。相同,若一台 Filer 的软件犯错,这也不过惹起这台 Filer 从头启动,不会影响到另一台 Filer 的工作。假如一台 Filer 发生灾害性故障,即不可以重

新启动,则另一台 Filer 会自动接收原属于有故障的 Filer 的硬盘、文

件系统、同时将其 IP 地址也归为己有。

在整个接收过程中, 客户端仅简单地感觉到系统像是在从头启动。

所有在系统自己重起过程中,能够保存的状态,另一台 Filer 也相同

经过接收保存。自然,假如一台 Filer 在其从头启动过程中丢掉一些状态,如 CIFS 锁( LOCK )状态和文件状态等,则在接收后,另一台 Filer 也不可以保存这些状态。

一旦有故障的 Filer 恢复正常运行后,它不会自动地再接收自己

. . . . .

. .

的文件系统,这需要系统管理员干涉才能实现。

 系统管理员也可强迫一台 Filer 交出自己的文件系统,进而可推行计划中的 Filer 和硬盘保护工作。

Cluster Failover 的工作原理

Cluster Failover 主要依赖以下两个方面工作:

其一是 WAFL 的特征,特别是 WAFL 文件系统的盘上状态

ON-DISK STATE)永久是一致的。这个盘上状态从一个一致点挪动到另一个一致点的过程为一个交易, 也就是说,要么达成一个状态迁徙,要么无状态迁徙,所以它永久保持一致。此外, WAFL 在日志文

件中记录所有被服务过的、能够转移到非易先性 RAM (NVRAM )中的客户恳求。日志文件中那些已被转移到硬盘上的客户恳求只有在一个盘上状态迁徙达成后, 才被抛弃。

 Filer 往常利用这些特点将盘上数据从故障中恢复。当 Filer 从头启动时,它不过简单地从头履行在近来(一致性)盘上状态未反应的 NVRAM 中的客户恳求。

其次是互连的特征, 特别是互连拥有远程内存存取能力 (有时也称作非一致性内存存取,或许简称 NVRAM )。当一个客户恳求到来时,Filer 将其记录在它当地的 NVRAM 中。在 Cluster 的配置中,Filer

. . . . .

. .

利用远程内存存取特征将日志文件中的记录项拷贝到另一台 Filer 的

NVRAM 中。这个技术的一个突出长处是发送方发送的拷贝极快, 几乎不影响到接收方的操作 (如,没有包办理过程)。相同,另一台 Filer 也会将自己的 NVRAM 中的日志记录项拷贝到这台 Filer 的 NURAM 中。

当一台 Filer 不可以从互连的光纤通道、网络或硬盘上探测到另一

台 Filer 的心跳( HEARTBEAT)或 I/O 活动,他即认为这台 Filer 已出故障,接收过程开始。主假如接收出故障的 Filer 的 IP 和 MAC 地址、文件系统和硬盘,以及后台服务器进度 (daemon) ,并将其使用的

NVRAM 中的日志记录项回现。这个技术与 Filer 从头启动时所使用

到的技术近似。接收后,正常工作的 Filer 中的每个后台服务器进度 (daemon) 拥有两个表记符, 一个用于当地 Filer,另一个用于另一台

Filer。

Cluster Failover 的配置

从以上的简单描绘, 我们已认识了 Clustered Failover 的原理,

我们知道这个解决方案能够使得文件 / 储存系统在 filer 自己拥有的高靠谱性的基础长进一步保证了系统的高可用性。

 为了防止一些软硬件的兼容性问题, 以及系统运行后配置和管理的方便, 我们建议将两台 F840 的软件和硬件,包含储存容量配置成完好相同的两台 filer 。

4、 储存解决方案特点

. . . . .

. .

整个网络的数据储存一致集中管理, 特别适合大型设计和制造单位进行文件数据的管理和保护;

2. 容量高,一个文件系统可达 12TB,能够简单地增添

Filer 网络文件数据储存服务器来成倍的扩大储存容量而其实不影

响现有的网络结构;

文件和数据接见速度快,单卷 NFS操作速度达 15,000

次每秒;

稳固性高,单台靠谱性达 99.995% ,双机达 99.997%;

易于操作,只有 60 条命令,安装只需 15 分钟;

易于保护,硬盘能够热插拔,重启动只需 120 秒;

有高度的安全性,安全认证由 UNIX 主机和 WINDOWS NT 主域控制器负责,安全等级达 C2 级;

拥有数据保护功能,拥有 20~30 级硬盘快照功能;

拥有进度保护功能并重起时间短,约 120 秒;

支持多个网络协讲和操作系统, 适合多种网络环境共存

UNIX,WINDOWS NT ,HTTP)的数据储存;

高效的灵巧的管理,支持热插拔和热备份硬盘;

. . . . .

. .

拥有模块化设计,能够方便地升级和扩展网络储存设备;

储存系统中的数据可进行磁带备份保护, 支持现有的数据备份软件和备份设备;

用磁带备份保存的数据当其恢复时原有属性不丢掉, 可保持 UNIX 和 WINDOWS NT 数据的初始状态;

储存系统拥有最优化的投资配置及最优服务;

来备份 Unix 系统和 NT 系统混和网络环境的所有数据。

5、 数据备份系统

在 IDC 应用中,为保证向客户供应 7x24 的服务,各样数据的安全靠谱是特别重要的一个环节, 这需要对数据供应一套完好的管理方案,波及备份、归档、复制等方面。我们建议使用 Veritas NetBackup

软件、Sun Enterprise 220R 服务器与 Sun StorEdge L20 磁带库配合,作为数据备份的解决方案。

主机和储存设备

在使用大型磁带库的环境中, 因为磁带库采纳多个高速的磁带驱动器,其数据吞吐率特别高, 对主机和数据源的储存设备的性能要求也相应较高。此时备份服务器一般配置必定容量的缓冲区, 这对备份数据的阅读、检索和数据恢复都特别重要。

 特别在连结磁带库的环境

. . . . .

. .

中,经过在缓冲区中设置备份数据的文件索引, 能够提高数据检索的

速度,并且在缓冲区对备份数据进行缓存, 能够缩短读备份数据的时

间,增强数据阅读和备份恢复的性能。

我们建议主机采纳 Sun Enterprise 220R 服务器,储存设备采纳

Sun StorEdge L20 磁带库。

Sun Enterprise 220R 服务器的特点有:

·最大支持两个 450-MHz UltraSPARC-II 64-bit RISC 微办理器,每

个微办理器有 4MB L2 缓存。

·最大支持 2GB 主存。

·两个内置 9.1-GB 或 18.2-GB 可热切换的 UltraSCSI 硬盘驱动器。

·四个 PCI 插槽 连结到两条高性能的 PCI I/O 总线上,支持 350 MB/

秒的数据传输速率。

·两个可热切换的电源模块做到 N+1 冗余。

Sun StorEdge L20 磁带库的特点有:

·最大支持四个可热交换的 DLT7000 磁带驱动器和 60 盘磁带,容量

达到 2TB。

·吞吐量最大为 72GB/ 小时。

·鉴于 Web 的管理软件增强系统管理。

依据 IDC 业务的发展状况,早期能够配置少许的服务器。在数据备

份服务器上配有 NetBackup 系统软件,自动化模块和 L1000 磁带库;

在备份服务器和其余需作备份的 Client 端配有多个 NetBackup

Agent 模块,支持主服务器及网络上其余服务器的备份。实现了全

. . . . .

. .

网数据自动化集中管理。详细配置为:

功 能

型 号

配 置

备份服务器

Sun E220R

2x450MHz CPU1GB Memory18GB HD

1

备份磁带库

Sun L20

2 个驱动器

20 个磁带

1

备份软

推荐访问:建设方案 方案 建设 数据中心 数据中心建设方案IDC建设方案格式调整版