机房建设方案

卓信集团IT根底平台建设规划目录TOC\o"1-4"\h\z\u1.1整体拓扑设计31.2机房根底设施建设41.3网络及网络平安系统建设8网络带宽设计8设计方案概述9万兆以太网技术的应用9本地流量负载均衡的实现10边界防护-防火墙11监控检测体系建设-入侵检测121.4效劳器系统建设14效劳器主机分类及选型14效劳器虚拟化15虚拟化概述15本工程虚拟化平台设计18应用效劳器负载均衡19数据库效劳器集群191.5存储及备份系统建设20存储容量及分层存储20存储技术选择20备份体系的选择21存储藏份系统方案概述23整体拓扑设计机房根底设施建设具体需根据机房实际情况而制定建设方案，机房建设参考配置如下：名称技术参数或技术要求单位数量备注IDC机房建设地面机房地面应先做防水处理：在机房周边砖砌门槛防止室外的水流入；空调室内机下、地板内砖砌防水围堰，防止空调水流入机房；铺设600*600mm加厚型全钢防静电地板，地板铺设高度为300mm，机房入口处铺塑胶地板。机房总面积待定。批1墙面墙体外表抹光找平，刷乳胶漆饰面；采用单面铝塑板贴面，接缝处采用玻璃胶封边。批1吊顶确定强电、弱电、照明、消防管线以及通风等管槽的吊挂标高；吊杆采用通丝，固定件采用内胀螺栓；吊顶材料选用铝扣板。批1机房门全密封，门框采用足1.2mm厚不锈钢板〔要求用304材质〕，门板采用足1.0mm厚不锈钢板〔要求用304材质〕；整扇门要用防火等相关材料填充成实心门；配置磁力锁及IC读卡装置；门内空高、门内空宽、门框宽、门槛高等参数须经实际测量定制。套1窗户密封对现有机房内的窗户，内测做密封防水处理，外侧加装防盗网。批1强电用电设备设计视在功率为30KVA；机房的动力配电从所在建筑的总配电室引接，配电设备采用落地式动力配电柜；需考虑UPS输入、输出设计，所有机柜内设备均接UPS输出；每个机柜配置独立的供电线路；空调配置独立的供电线路；机房区域设计安装不锈钢格栅荧光灯，机房区设计照度不低于300lx；机房内设应急照明，设计照度大于10lx。批1UPS30KVAUPS主机，延时4小时；需考虑承重。套1防雷接地机房拟与所在建筑采用共用接地系统。在市电进线端、UPS的输入、输出端安装B+C级防雷器。套1弱电系统设计3套机柜，其中1套网络机柜，2套效劳器机柜；网络机柜至各效劳器机柜两端均配置24端口六类非屏蔽模块化配线架；机柜顶部配置不锈钢网格式弱电桥架。批1空调系统单冷机房专用精密空调；上送风,下回风；12KW；中文屏幕显示，具有多级密码保护，配备标准RS485监控接口；具备来电自启动功能；具备主备机切换功能，实现机组自动切换及轮值。套2新风系统根据机房实际环境设计新风系统，应包含吊顶式新风机、百叶风口、管道风机、新风管道、送风管、风管保温、调节阀送风口等。批1消防系统采用柜式七氟丙烷气体灭火系统，灭火方式采用全淹没保护方式；需配置储气罐〔含气体〕、自动灭火控制器以及相关感应设备；消防系统的气体需量实施时根据机房实际空间容量计算；系统安装完毕后需通过专业机构验收。套1机柜42U，宽度800mm,深度1000mm；黑色；SPCC优质冷扎钢板制作，框架3.0mm厚度，方孔条厚度2.0mm厚度，其他1.2mm厚度；机柜内配置4块挡板；配置2套12个以上C14接口PDU〔垂直安装〕套3KVM一体机1U高度；16路输入；17吋液晶；1440x900分辨率，标准键盘，触控板鼠标；支持菜单、热键、按钮等切换方式；16套USB接口信号线。套1网络及网络平安系统建设网络带宽设计随着IP业务的爆炸性增长，对网络带宽的需求越来越大，由于IP业务量本身不确定性和不可预见性，因此在构建基于IP的网络根底设施时,带宽容量成为网络建设以及规划中一个必须考虑却又难以把握的重要内容。承载各种网络应用的带宽容量瓶颈不翻开，网络应用的开展空间就会捉襟见肘。本工程主要依托互联网建设，根据以往工程经验，互联网和VPN网络配置100M以上的出口带宽是必要的，也是符合卓信集团的业务开展需要的。本工程的主要网络核心设备之间设计采用万兆以太网互联，这解决了网络核心的性能瓶颈。本工程的会聚层和接入层的流量主要来自各个区域的效劳器设备且数量规模不大〔效劳器直接连接核心交换机〕，千兆链路能够确保流量及时上传至核心层，根本不存在影响整个网络性能的瓶颈。设计方案概述根据工程实际情况，整体设计将网络系统按边界划分为互联网、内部办公网以及本工程新建内网。本工程新建内网与互联网通过防火墙逻辑隔离，本工程新建内网与内部办公网通过防火墙逻辑隔离；本工程新建的内网按业务逻辑又划分为互联网业务区、内部业务区以及核心数据区，各区域之间逻辑隔离；由于互联网业务区主要面向互联网用户提供效劳，存在较高风险，但互联网业务区的局部应用有着访问核心数据区的需求，因此方案设计在这两个区域之间部署一台防火墙，确保数据流向和访问许可，保障核心数据区的网络和数据平安。万兆以太网技术的应用万兆〔10G〕技术的推出，提供了一种简单的带宽升级途径，解决了带宽不断增加的问题，使网络实现平滑过渡以及各种网络之间的“融合”。10G以太网提供业务的高速运作保证了应用的高速开展。选择10G是大势所趋，它不但在技术上解决带宽瓶颈，更重要的是它表达了宽带技术开展趋势的同时，能够有效地承载网络的未来的应用。当千兆已无法满足当下不断增长的业务数据传输需求，效劳器虚拟化和融合成为了目前数据中心开展的主要趋势。万兆以太网能克服千兆的容量限制，同时可支持未来数据中心的带宽增长并简化布线本钱的优势就凸现出来。本工程的主要网络核心设备之间设计采用万兆以太网互联，解决网络核心的性能瓶颈。本地流量负载均衡的实现方案设计在互联网业务区交换机以及内部业务区交换机上分别旁路部署一台硬件负载均衡设备，实现所属区域内的效劳器负载均衡，保证业务的连续性，增强网络数据吞吐量、处理能力和灵活性。效劳器负载均衡又称本地流量负载均衡。边界防护-防火墙防火墙是网络平安最根本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。防火墙可以做到网络间的访问控制需求，过滤一些不平安效劳，可以针对协议、端口号、时间、邮件地址等条件实现平安的访问控制。工程主要依托互联网和VPN专网建设，因此本工程涉及的网络边界为两个，即本工程新建内网与互联网边界，本工程新建内网与集团内网边界。根据业务逻辑，工程新建内网可划分为3个平安区域，分别为互联网业务区、内部业务区以及核心数据区。本工程部署的防护墙为下一代防火墙，下一代防火墙集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能与一身，全局配置视图和一体化策略管理。在各边界及区域部署下一代防火墙能够实现以下平安保护：内网边界防护在内网会聚网络部署下一代防火墙。对用户通过防火墙策略基于用户信息进行访问控制。互联网出口防护在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。启用入侵防御功能，提供给用层威胁实时防护。VPN远程互联通过下一代防火墙的VPN接入，在互联网上构建一条可信、可控、可管的平安传输隧道。监控检测体系建设-入侵检测随着网络应用范围的不断扩大，来自内部和外部的恶意攻击、非法访问等平安威胁也与日俱增，对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息根底设施的平安是保证业务平安开展的前提。基于网络的开放性与自由性，网上有各种各样的人，他们的意图也是形形色色的。利用防火墙技术，经过严谨的配置，通常能够为不同平安域之间提供平安的网络保护，降低网络平安风险。但是，仅仅使用防火墙，网络平安还远远不够，主要表现在以下几个方面：入侵者可伪装成正常的访问请求通过防火墙，寻找内部系统可能存在的缺陷。某些恶意程序(木马后门)和破坏者可能就在防火墙保护的系统内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力。保护措施单一。因此为了弥补防火墙的缺乏，建立立体防御体系，需要利用网络入侵检测系统在各个关键点实时监测网络的运行状态，监视并记录各网段上的所有操作，以便及时发现对网络中重要效劳器和主机的非法操作和恶意攻击并做出及时响应。通过网络入侵检测系统用于分区实时检测和保护核心效劳器和数据库，这样能够实时监控网络传输情况，自动检测可疑行为，分析来自网络外部和内部的入侵信号，在网络受到危害前发出预警，以便及时作出预判应对，最大程度地为网络提供平安保障。网络入侵检测系统的部署与网络结构有密切的关系，把网络入侵检测引擎放在关键网段上，采用旁路监听方式，能够监测关键系统和应用的异常行为；选择某台效劳器作为入侵检测系统的管理控制中心，对探测引擎进行策略下发、事件上报等管理。具体部署如下：入侵检测系统的探测引擎有管理端口和监听端口，将监听端口旁路接到网络出口的防火墙上，这样探测引擎就可以实时监控到被监听端口的数据流量了。将探测引擎的管理端口接在核心数据区的交换机的普通端口，使之能与管理控制台效劳器进行正常的通信。在互联网和集团内网出口防火墙上旁路部署入侵检测系统能够实现以下平安保护：检测外部用户对内网客户端及浏览器的攻击行为；检测外部用户对内网效劳器与应用系统的攻击行为；识别互联网的流量类型。效劳器系统建设效劳器主机分类及选型本工程涉及的效劳器按照功能大类进行分类主要可分为数据库、应用效劳器等。数据库效劳器：数据库系统是整个系统的核心，对效劳器的CPU主频、内存大小以及磁盘I/O等方面有着较高要求，数据库系统是应用系统的数据分析、数据挖掘的核心根底组件，其可靠性、可用性、性能将直接影响到应用系统的整体表现。本工程核心数据区建议部署基于物理主机的集群数据库系统，为应用系统提供数据库效劳。应用效劳器：对于应用效劳器，它的要求要比数据库效劳器要低，它主要强调系统实时响应速度，对CPU、内存、I/O要求相对较低的，本工程局部应用效劳器可由虚拟机承当，计算资源以及存储资源可实现按需分配。效劳器虚拟化虚拟化概述虚拟化打破了物理硬件与操作系统及在其上运行的应用程序之间的硬性连接。操作系统和应用程序在虚拟机中实现虚拟化之后，便不再因位于单台物理计算机中而受到种种束缚。物理元素〔如交换机和存储器〕的虚拟等效于在可跨越整个企业的虚拟根底架构内运行。与物理机一样，虚拟机是运行操作系统和应用程序的软件计算机。管理程序用作虚拟机的运行平台，并且可以整合计算资源。每个虚拟机包含自己的虚拟〔基于软件的〕硬件，包括虚拟CPU、内存、硬盘和网络接口卡。虚拟化计算机x86计算机硬件被设计为只能运行单个操作系统和单个应用程序，这导致了大多数计算机未得到充分利用。即使安装了众多应用程序，大多数计算机仍无法得到充分利用。在最根本的层次上，通过虚拟化可以在单台物理计算机上运行多个虚拟机，且所有虚拟机可在多种环境下共享该物理计算机的资源。在同一物理计算机上，不同的虚拟机可以独立、并行运行不同的操作系统和多个应用程序。下列图所示的就是一台物理主机在虚拟化前和虚拟后的差异：虚拟化根底架构除了虚拟化单台物理计算机之外，还可以构建整个虚拟根底架构，其规模包括数千台互联的物理计算机和存储设备。通过虚拟化，可以动态移动资源和处理能力，分配硬件资源。无需向每个应用程序永久分配效劳器、存储器或网络带宽。云计算虚拟根底架构是云计算的根底。云计算依赖于可扩展的弹性模型来提供IT效劳，而该模型本身依赖于虚拟化才可正常工作。效劳器整合通过虚拟化进行效劳器整合可以更充分地利用现有的效劳器。此外，还可以限制需要管理、支持、存储和购置的物理资源。通过整合现有的工作负载并利用剩余的效劳器以部署新的应用程序和解决方案，可以实现较高的整合率。业务连续性通过虚拟化，IT可以缩短甚至消除方案和非方案的停机时间。例如，使用vSphere可以将虚拟机实时迁移到其他主机，并随时对物理效劳器执行维护，而无需用户介入或中断效劳。通过使用HighAvailability和FaultTolerance等vSphere功能，可以缩短非方案停机时间。传统的灾难恢复方案需要手动执行复杂的步骤来分配恢复资源、执行裸机恢复、恢复数据并验证系统是否可以使用。VMwarevSphere简化了此环境。硬件配置、固件、操作系统和应用程序变为存储在磁盘上一些文件中的数据。使用备份或复制软件保护这些文件便可确保整个系统受到保护。无需更改这些文件便可将它们恢复到任何物理计算机上，因为虚拟机独立于硬件。本工程虚拟化平台设计本工程中方案将现有PC效劳器安装ESXi参加虚拟化平台，物理主机都通过光纤HBA接入SAN，实现计算和存储资源的虚拟化。本工程中的大局部应用效劳器可通过虚拟化技术来实现。应用效劳器负载均衡为了保障系统的可持续业务运行，重要的、业务繁忙的应用效劳器可通过部署在互联网业务区和内网业务区的硬件负载均衡设备进行部署，正常情况下实现本地流量负载均衡，在某一台应用效劳器出现故障的情况下确保系统能够提供正常的应用效劳。数据库效劳器集群数据库平台选型，一方面要考虑空间根底数据的管理，因为平安生产综合监管平台的一局部根底数据是空间数据，因此选择的数据库软件平台要有较好的空间根底数据管理的能力；另外要考虑数据库软件平台的平安运行，需要数据库软件平台具有可靠的系统恢复和数据恢复的能力，并可以提供及时有效的技术支持。目前市场上关系型数据产品主要有：Oracle、SQLServer、DB2等。目前较为成熟的数据库集群方式主要有：oraclerac、sqlseveralwayson以及amoeba+mysql分布式数据库等。可根据实际业务需求选择适当的数据库集群。存储及备份系统建设存储容量及分层存储工程中的存储容量可根据业务类型或者数据读写要求进行分层规划，如cache级的可考虑SSD固态磁盘，数据库等可选择15000转的SAS磁盘，音视频等建议使用普通的大容量SATA磁盘。存储技术选择目前主流的存储技术有两种：SAN〔StorageAreaNetwork〕和NAS〔NetworkAttachedStorage〕。它们分别适用于不同的应用环境。目前基于FC的SAN应用方案最多，成熟的产品也很多。FC-SAN主要由磁盘阵列、FC交换机和主机光纤接口卡等组成。FC-SAN存储系统主要具有如下技术特点：

采用可伸缩的FCSwitch网络拓扑结构，通过高速光纤通道连接，提供SAN内部任意节点之间的多路可选择的数据交换，设备访问的网络拥塞处理也交由高速交换机处理，使得连接设备的增多几乎不影响各个设备的访问速度。高性能：支持2、4、8和16Gbps端口速度自适应。支持热拔插，高可靠性、可用性、可维护性。SAN存储适合于大数据量存储、需要实时访问数据的应用。本工程的数据量较大，且对数据平安稳定要求较高，因此，存储系统采用SAN存储结构。目前中高端的存储系统可将FCSAN、IPSAN以及NAS等功能融合为一体,可根据实际数据读写和传输要求按需选择。备份体系的选择数据已成为企业信息化的核心，企业应用依赖于数据来开展一切业务，因而企业应用一直期望于备份技术可以为数据提供最大程度的保护。可以说，备份系统是企业信息化系统的保障，是企业应用数据平安的关键。业界备份技术开展历程经过了磁带到磁盘的转变，在磁盘备份技术的根底上又开展出虚拟磁带库(VTL)技术。VTL虚拟磁带库是把磁盘虚拟成磁带库，VTL的具备以下优势：无缝融入用户当前环境，无须更新备份软件或改变备份策略，保护用户投资；加快了读写的速度，缩短了备