智能IT基础架构建设方案

1 智能 目背景 目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，我集团许多业务的开展不再仅仅局限于同一物理位置上，即使在办事处、分支机构、出差在外、在家中，均可像在公司总部办公一样开展业务。另外集团对各项业务的流程，账务流程，行政流程需要统一进行管控，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来满足各分支机构与集团总部之间的信息交流。 另外我集团作为新兴的拥有知识产权的企业 ，信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象，这提醒我们应该更加注 重网络安全的建设。值得称道的是，公司领导已经对此引起了高度重视，并计划逐步进行卓有成效的防护工作。在这方面，合理借鉴市场先进经验与理念十分重要。 前 来要运行的系统 统 统 话 2 根据以上需求，我集团必须构建适合公司未来发展的 础架构。搭建互联 互通的信息网络和信息平台。为此，必须首先完善 础架构。 第二章 设计原则和设计思想 系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则： 全性原则 在公司网络运行的各个环节中，都应该严格注意安全的问题，防止其中的任一过程存在着安全的漏洞，从而影响整个公司业务运作的大局。 随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案中，安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保 障系统的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品，好的安全策略；另一方面，更为重要的是要有完善的安全管理制度。从技术角度来看，一个完善的网络安全系统应该包括以下三个方面： 1. 安全防护 2. 主动安全评估 3. 安全实时监控 安全防护就是通过防火墙或网络物理隔离等设备，对进出网络的数据包进行控制；同时在应用、主机上限制非法用户进入，或者用户越权访问。 主动安全评估是基于安全防护的基础上进行的，在通过了安全防护之后，可以借助安全工具或者是有经验 的安全专家来进行安全评估。 安全实时监控也是属于主动防御范畴。指在我们对网络上的各种行为进行监控，例如黑客攻击一个系统之前，往往需要了解这个系统的结构或者漏洞，他们往往会利用网络扫描工具对某个网段或者主机进行扫描，实时监控系统能够检测到这类行为。 3 用性原则 系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用先进的技术，使系统完成后，保持一定时期的领先地位。另外还要考虑成本和费用 实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能低成本与实用性相结合。 靠性原则 这套系统是企业内网的门户。它的稳定可靠关系重大，特别是具体业务项目。随着使用的普及，信息平台的运行不稳定甚至瘫痪将严重影响企业的形象，也将给为企业带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。 我公司将采用相应的手段保证系统、网络和数据的稳定可靠性，采用负载均衡技术、备份技术就是其中的重要策略。 扩展性原则 网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性，为将来系统扩展和升级提供基础。 管理性原则 系统的管理 和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。 第三章 集团 络建设方案 拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道），将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机 4 将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。对企业而言， 任何 务都是基于隧道技 术实现的，隧道机制是 施的关键。 数据通过安全的 加密管道 在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用 节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。 图 3网示意图 虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件： 保证数据的真实性 ： 通信主机必须是经过授权的，要有抵抗地址冒认（ 能力。 保证数据的完整性 :接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性 :提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密匙交换功能 :提供密匙中心管理服务器，必须具备防止数据重演（ 功能，保证通道不能被重演。 提供安全防护措施和访问控制 :要有抵抗黑客通过 道攻击企业网络的能力，并且可以对 道进行访问控制（ 虚拟专 用网 以使在 的信息交换有安全保障，大多数的 品支持初 术被设想为 点的连接方式，后来它很快被公认为是一种远端的接入技术，例如在一个远程的 笔记本电脑用户与他的公司本部之间建立的加密通道。 5 目前， 术正在迅速走向成熟，而且它正处于兴盛期。 构建方式 实现有很多种方法，常用的有以下四种： 1 硬件 些硬件设备，含有 能 。 2软件 以通过专用的软件实现 3 运营商提供 以通过 租用运营商的网络 实现 企业节省了费用开支 采用了 统，相当于在总部和各地分公司之间建立了安全的专用网络，就可以充分利用公共网络的资源，在上面运行包含企业内部重要信息的各种应用系统。 比较传统的在总部分公司之间拉专线的方式，采用 决方案，大幅度降低了企业信息系统的投入成本，为企业带来了直接的效益。并且在安全性上，也得到了提高，因为即使是拉专线，也需要通过网络运营商，而采用 案，则是真正的将安全掌握在了自己手中。 统的易 扩展性 统建立以后，将来的扩展非常方便，如果需要增加一个分公司或者办事处，在该地安装一台 备，总部只需要增加一条安全策略即可以实现该分公司或者办事处的接入。如果增加一个移动用户，只需要配发一个 D 即可。因此扩展非常简单。 6 品选型 软件 性能差，不稳定等因素，在生产环境中，很少部署。现在主流般为硬件 运营商提供的 下表为一些供应提供的产品的特点， 具体价格详见附件。 能 防火墙 网络管控 网络加速 负载均衡 第一线 良好 无 无 无 无 深信服 良好 有 有 有 有 中科网威 良好 有 有 有 有 九昌电信 良好 无 无 无 无 费用对比表 所需要设备 火墙 网络管控 宽带 小计 第一线 19000 515 （总部 支机构（ 9000*4） ) 拨号光纤（月租金1500*5） 九昌电信 20000 515 （总部 支机构（ 9000*4） ) 拨号光纤（月租金1500*5） 中科网威 总部 支机构（ 8000*4） 总部 7000分支机构（ 3000*5） 深信服 总部 8W 分支机构（ 4W*4） ) 总部 7000分支机构（ 3000*5） 7 络规划与产品部署 1、集团总部设计方案 总部是整个公司的“心脏地带”，重要信息的交互、共享，重要数据的频繁传输，组成了 团的业务流。随着企业信息化 程度的不断加深，各种应用系统会逐步得到应用。 目前，集团总部的内部网络，通过电信网络直接接入 虑以后总部业务需求的发展，在总部网络出口处部署一台 一款标准 1U 机架式高性能 本配置包括 4 个 100/1000M 以太网接口，采用 P 架构高速网络处理器。最大 道数 1600 条、 3加密性能 100火墙吞吐率 1大并发会话数 500,000 个。支持双机热备、多线路负载均衡。主要功能包括 中管理、合一、防火墙、代理上网、应用带宽管理、 制、 制、娱乐控制、用户分级管理、上网行为管理等功能。 2、各地驻外机构设计方案 由于各地驻外机构需要与杭州总部进行大量的信息交换，并且随着 应用系统的应用加深，物流、资金流在企业 上的频繁传输，为了保证总部与分支机构、分支机构与分支机构之间进行安全的信息传输，故此，部署 各驻外机构。本配置包括 5个 10用 速网络处理器。最大 道数 256 条、 3加密性能 35火墙吞吐率200大并发会话数 80,000 个。主要功能包括 理平台、路由、无线上网、交换机、防火墙、 3G 上网、上网行为管理、双线路支持等功能。 3、 集团 设网络 址分配如下： 地点 服务器网段 办公网络 控 8 深圳总部 圳中心 州越 秀中心 州天河中心 海浦东中心 京浦东中心 、接入线路 根据以上分析，集团总部申请一条 20M 电信固定光纤，用作 过 备连接总部核心交换机。其它分支机构酌情申请电信或者联通光纤，通过接入层的 备与集团总部进行联 地点 络 办公网络 深圳总部 电信 20M 固定光纤（未来根据需求另外申请联通固定光纤） 电信拨号 100M 深圳中心 与集团总部共用 广州越秀中心 固定 6M 光纤或者拨号 100M（优先电信线路） 广州天河中心 固定 6M 光纤或者拨号 100M（优先电信线路） 上海浦东中心 固定 6M 光纤或者拨号 100M（优先电信线路） 北京浦东中心 固定 6M 光纤或者拨号 100M（优先电信线路） 5、完成后网络图 9 6、所需设备清单 设备名称 高性能 备 接入层 备 核心交换机 1 台（集团总部） 1 台 （集团总部） 4 台（每个分支机构一台） 第四章 数据中心虚拟化建设 10 随着信息化的快速发展，各类应用系统越来越多。按照传统数据中心建设思路，为避免应用系统之间软件和资源配置的冲突，每增加一个新需求、新应用，就需要申请经费、采购服务器、安装系统、部署应用，因此服务器数量急剧增加。而每增加一台新服务器，就意味着需要更多的空间、电源、散热、网络接口、数据存储以及管理人员。 未来集团 应用 系统初步估计 已经在 10 种以上，并且还 会 不停的增加，这些应用分散地部署在几十台服务器上，维护工作量极大。另外，许多 应用运行在单台物理服务器上，一旦设备出现问题，服务就会中断，导致系统稳定性差，业务连续性不高。 因此，从整个信息化工作全局出发，我们需要整馆内数据中心硬件资源，提高硬件资源利用率，提升关键应用的业务连续性，加强 础设施的运维管理，以适应信息化发展的快速需求。 虚拟化 的目的是为了更加合理的使用分配应用资源，消除系统中的大部分安全隐患，提升整个系统的安全及可靠性；更换及淘汰已经过时的老旧设备；扩充系统的整体性能；可以综合管理、并根据实际应用需求的变化来对资源进行快速无缝调整和分配；并且为日后的系统扩展延 伸做好准备，使其在将来不需做太大的变动就可与 各种应用 系统相结合，形成成一个结合相对紧密的整体；对内实现资源的共享、数据的异地互备、业务系统的远程灾备，对外可统一提供信息服务的综合性数字化信息服务平台。 同时确保省数字图书馆的高效、经济、环保节能和安全可靠性。及其本身的可持续发展性。 服务器的虚拟化就是将服务器物理资源抽象成逻辑资源，让一台服务器变成几台，甚至上百台相互隔离的虚拟服务器，不再受限于物理上的界限，而是让 存、磁盘、 I/资源池 ”，从而提高服务器资源的利用率 ，简化系统管理，实现服务器整合。 在传统方式中，一台服务器装载和使用一个物理服务器操作系统，每台服务器平均 0%左右。如本次更新设备还采用同样的方式，我们所需购买的服务器会高达40 台，这会导致资源的极大浪费。因此，使用 拟化技术，整合分散的物理服务器部署多台虚拟机，当有新的业务加入，信息中心即可为该业务动态分配一台或多台虚拟机。一般来说，虚拟环境由三个部分组成：硬件、虚拟机监控器 (虚拟机。 代了操作系统的位置，管理着 真实的硬件。如图 1 所示，在一台物理服务器上虚拟出两台虚拟服务器。而且从应用者的角度看，使用虚拟机和使用物理服 务器是完 11 全一样的。 利用服务器虚拟化技术搭建数据中心计算资源池 在信息中心 2 4 台高性能机架服务器中安装 拟化软件，通过 所有的物理服务器进行统一管理，按照应用级别不同，建立多个服务器群集。所有的虚拟机形成一个可统一分配的计算资源池，虚拟化结构图 如下 。 12 方案优势 提高了硬件设备的资源利用率 使用虚拟化技术，可以使数据中心每台物理服 务器实现 30:1，甚至更高的整合比率 (可根据虚拟机负载情况预先设定策略动态进行调整 )。这意味着，以前需要十台物理服务器完成的工作，在部署虚拟化后，仅一台服务器就能满足需求。对于负载较大的虚拟机可适当降低整合比率，甚至可设定策略让其独享一台物理服务器，以确保重要应用。利用电源管理及虚拟机的动态迁移技术，在虚拟机负载较低时，将其自动迁移到一台或几台物理服务器上，并将空闲物理服务器电源自动关闭。反之，当虚拟机负载加大时，则根据预先设定的策略自动打开物理服务器电源，保证虚拟机的性能。一般设定物理服务器的利用率在 60% 80之间，既能保证应用系统性能，又能节约电能。 增强了应用系统的业务稳定性 利用动态迁移技术，保证了虚拟机的高可用性，提升了整个数据中心基础架构的稳定性。当某一台服务器发生故障，虚拟机会自动根据预置策略，将对应的虚拟机迁移到其他正 13 常运行的主机上。整个过程无须人工干预，用户也没有明显的服务中断感觉，从而大大增强了应用系统的业务稳定性。 实现了业务系统的快速部署 虚拟服务器可以在线复制为模板，通过预先建立的模板和克隆技术，管理人员可以在数分钟，甚至数十秒时间内将新应用快速部署到相应的服务器计算节 点上，实现对服务和应用的统一化管理。采用 行数据迁移的工作量非常小。对存储进行虚拟化减少了应用的中断窗口，从而快速完成技术更新。事实上，与基于主机或复制的方法相比，数据迁移工作量减少了 80%。由于存储控制器在后台移动数据，因此对性能没有任何影响。 降低了数据中心机房能耗 新型数据中心正式投入使用后，由于物理服务器设备数量极大降低，同时结合分布式电源管理 (术，自动关闭负载较低的空闲虚拟主机，使得数据中心主机电力消耗由降低到 40%左右。随着存储的虚拟整合使得空间的浪费率大大降低，并且利用其 动态分层技术在只增加少量投资的情况下可以提升更多的性能。 成本节省 项目 节省效率 节省情况 维护成本 86% 更少、更新型的服务器使维护成本大大降低 软件支持成本 82% 更少的软件和 用、更新、服