数据中心建设方案

XX核心机房改造方案2023年4月

目录20239目录 217287一、方案概述 311110（一）现状及业务状况分析 329561（二）数据中心和核心建设是什么 325628（三）综合运维平台建设 48142（四）数据信息安全建设 419287（五）平台迁移 522160（六）方案综述 520237二、数据中心机房建设 64561（一）基本信息 68543（二）配电系统 75510（三）空调系统 832394（四）机房环境监控系统 910566（五）方案介绍 95417（六）机柜系统 1029934（七）防雷系统 1129765（八）接地解决方案 1116250（九）消防系统 1221152（十）安防门禁 122450三、综合运维平台建设 1326494（一）网络拓扑 132464（二）业务健康限度 1425337（三）机房管理 1532101（四）用户管理 1918859四、信息数据安全建设 209576（一）开放兼容收集海量日记构建安全大数据仓库 2122259（二）大数据分析精拟定位全网核心风险 218377（三）构建安全知识库减少运维技术门槛 2125125（四）安全合规自查等保自评轻松实现 2221460五、平台迁移 2326205（一）现有业务搬迁 237090（二）设备扩容 23

一、方案概述结合X市X局现有数据中心的现状，本次建设的分为四个部分进行建设（一）现状及业务状况分析现X市X局数据中心机房在市X局的二级单位-X市X学院4楼平台。平台历经和X的合作，后期逐渐组建自己的网络中心维护管理着数据中心的业务，平台的几个重要功能分析如下:做为X市X局及其各个区县X局的总出口来保证下属各个区县的互联网访问，提供市X局相关工作规定的上传下达。解决基于X查询、X管理等重要的业务平台。历经了X年的XM到XM的扩容。但是随着各个区县对于互联网资源的爆炸式需求，各个区县独立业务的上线。普遍放映出来的问题是“慢”，如何解决“慢”问题是重中之重。X年9月份，市X局下发了各个区县X局独立运用各个区县的财政资金来解决本区域内的物联网带宽的资源问题，很好的解决了各个区县“慢”的问题。但是，X市X局数据中心无论是设备还是结构都出现的严重的老化，无法更好的保证X市X资源的分发和访问。建立一个高可用、高安全的数据中心势在必行（二）数据中心和核心建设是什么数据中心顾名思义，第一是中心，另一方面是数据。那么建设一个什么样子的中心尤为重要。中心承载着各种信息数据的基础设备如互联网出口设备、核心数据互换设备、各种数据安全防护设备，数据存储平台设备。结合现状建议把数据中心建设分为几个阶段第一阶段：数据中心基础设施建设一个标准数据中心机房的硬件建设应包含：基础装修、门禁、安防、UPS、精密空调、机柜容量、防雷接地、消防、网络、服务器等组件，只有建设一个强大且先进的平台，才干保证在5-8年采购的信息化支持设备能力全力的发挥作用。同时可以满足主管单位的检查规定，即使资金有限但是应当全力保证（三）综合运维平台建设现阶段业务管理情况分析：任何一个完善且健康的数据中心必须管理是重要的手段，如何有效的管理数据中心和一个数据中心能否把业务运营的健康的关键。X市X局数据中心10几年来使用的管理手段比较单一，只能解决独立的业务和设备，对于数据中心的整体运营情况缺少一个直观的分析。如何让本次建设的数据中心体现价值一个先进的数据中心运营维护应当保证：1、上级单位参观可将建设的方向，内容，及思绪全面呈现，体现建设的效果。2、保证下属单位参观学习可以体现市X局先进性、高度性、强大的支撑平台保证各个区县的业务稳定高速的运营。将业务健康度完全呈现，将业务风险降至最低，将故障解决时间缩至最短。此平台应当还应具有的功能：1、将整体业务的拓扑结构的完全呈现，其中包含各种可以与信息化对接的系统，例如：网络，服务器，PC，监控，安防，环境功力监测等系统。城域网的管理不像普通局域网，一般只需要关心网络设备和终端的故障，需要从业务层面来管理，所以就需要一个好的IT运营管理系统来提供强有力的支撑。传统城域网建设会都会碰到以下几个问题：基础网络好建设，资源平台怎么建？资源从哪里获得？网络建好了，硬件都是豪华高配，应用却用不起来，资源有没人用，如何破解？如何合理的运用网络资源带宽，让网络资源合理运用，不会导致网络资源的浪费？这些都是X城域网建设中，碰到的难题。网络资源访问的体验差，阻碍了教学模式变革；优秀教学资源无法有效推广，资源运用率低；各校、各区存在信息孤岛，资源无法共享导致城市乡村存在数字鸿沟。（四）数据信息安全建设现代化的数据中心安全一个是数据安全一个是链路通道安全。只有链路通道安全才干保证后台的数据安全。建设一个等级保护3级的安全网络所需要条件：设备的异构：各安全厂商对于不同的安全方向有不同优势，所以一个大型的数据中心应采用不同厂商的安全产品，保证在每个安全领域均有最佳的防护效果统一的管理：先进的安全建设会采用不同厂商产品，假如把一个又一个不同厂商的安全设备通过集中管理的模式，会使安全等级进一步完善数据安全通过冗余、备份或者虚拟化等手段进行保证。（五）平台迁移现阶段X市X局数据中心核心设备如下核心出口设备核心互换设备核心箱式安全一体化设备2023年终采购的安全防范设备（六）方案综述本次X市X局数据中心建设在财政投资预算有限的前提下重点进行基础设施的建设：建设高可用、高扩容、高质量的数据中心机房建设完善高效的综合运营管理平台建设数据信息安全管控平台最后完毕和原数据中心设备的对接和切割

二、数据中心机房建设（一）基本信息X市X信息网新机房分为两层，一层为设计配电间与网络机房，二层设计为服务器机房，机房装修涉及：地面部分、墙面部分、棚顶部分、隔断，墙面装饰及照明系统。新机房一层平面示意图：新机房二层平面示意图：

（二）配电系统X市X信息网新机房配电间与网络机房相连，建设内容如图所示：根据机房现有情况及未来扩展需要，建设一套200KVAUPS,UPS配置独立后备蓄电池，支持满载负载一小时。UPS电源为大屏幕系统、中心机房服务器、存储设备、网络通讯设备、消防系统和应急照明系统供电，其他设备采用市电供电。机房配置一台总配电柜，含市电入户总开关一路，配置电量仪显示入户线路电压；空调控制空开2路，UPS输入空开2路，UPS输出空开2路；分空开48路（每机柜2路）；机房灯光回路空开三路（配电间，网络机房，服务器机房，）；每台机柜两路配电，采用6平方BV线铺设，PDU采用IEC接头。机房强电静电地板下铺设，采用镀锌铁槽走线。

（三）空调系统网络机房与服务器机房各配置一台精密空调，配电间配置一台立式空调。如图中黄色部分所示。机房空调及通风系统重要有两个作用：其一；给机房提供足够的新鲜空气，为工作人员发明良好的工作环境。维持机房对外的正压差，避免灰尘进入，保证机房有更好的洁净度。其二；维持机房的温度、湿度和洁净度，为机房网络设备、服务器等设备提供一个安全的运营环境。为使机房的重要设备和管理操作人员有一个良好的工作环境，并使其可以安全、可靠地运营，发挥其最大的工作效率，就要提供一个符合其运营标准规定的机房环境。这就对机房空气的制冷、制热、加湿、去湿、滤尘有严格的标准规定。设备运营情況、使用寿命与工作环境有密切关系，温度、湿度、洁净度就是工作环境的关键因素。机房采用下送风上回风精密制冷空调。

（四）机房环境监控系统环境监控系统集中监控的内容涉及：电源监测、精密空调监测、UPS监测、漏水监测、温湿度监测、烟感监测、红外监测。网络视频监控系统，可以通过前端安装的摄像机，对机房各重要部位进行图像监控，并且配置网络视频发送器，通过现有计算机网络传输各监控点的监控图像，领导在各自办公室用微机进行监视，在监控中心通过视频服务器和相应的软件对前端监控图像进行视频报警录像。 （五）方案介绍对机房内的机电设备，涉及，UPS、专业精密空调进行集中监控和管理。系统必须可靠、安全、易用、易扩充。监测内容有：机房的温湿度、配电及UPS、漏水、门禁、视频监控、精密空调、消防报警、防雷等系统，支持图像辨认报警和自动记录视频图像，有数据记录和历史曲线记忆等功能，支持短信报警，支持基于网络的远程监控和查询。（1）温度、湿度监控：在机房的重要设备工作间均需安装温度和湿度传感探头，对温度、湿度进行实时检测，在监视屏上显示各测点温度、湿度值。当检测值超过各工作区规定的温、湿度上、下限值时，在监视屏的相应数据旁用醒目的标志符的闪动来提醒该值的超限报警。（2）配电系统监测：对配电（市电、UPS和中心电源系统）重要开关状态监视，实时监视电压（V）、电流（1）、频率（F）、有功功率（P）等内容。对市电的电压、电流、开关状态以及UPS的运营状态、输入输出电压质量、负载电流进行监控，提前做出予警判断，及时检修，以保障整个机房用电设备的安全。通过UPS自带的通讯模块接口进行采集。（3）漏水系统监测：在围绕机房的重点部位及空调机的加湿管、抽湿管、本体等部位的活动地板下，设立漏水传感器，一旦机房出现漏水情况，即在监控主机上显示漏水部位并报警。（4）门禁系统监控：在机房总入口设计一套磁卡门禁管理系统，由集中监控系统统一管理，机房的门加装配套的进出双向门禁控制器和门锁。实现的功能：可以本地和远程控制门的开关、通过网络实时查询门禁状态、设定出入等级限制、允许进入时段等多项管理功能；机房门禁产生动作时实时记录门禁的动作时间，对出入人员代码、出入时间、出入门号码进行登录与存储；对非法强行进入人门行为予以报警。（5）精密空调监控：精密空调压缩机状态、温湿度监测、风机状态、加热器状态、抽湿器状态、加湿器状态、漏水报警，运营状态、故障报警监测等。在工作站彩色图形显示、记录各种参数、状态、报警、运营时间、趋势图、动态流程图，通过精密空调自带的通讯模块接口进行采集。（6）消防监控：消防系统等设备的性能、运营情况和故障报警。安装在机房和走廊吊顶的感烟探测器及感温探测器发出信号时，在值班监视器上显示火警方位，发出声光报警，使得监控人员可以迅速采用下一步的措施。（7）防雷系统监控：对防雷系统进行全面监视，一旦系统故障立即报警。（8）机房集控系统可以通过声音、提醒和手机短信方式告知。（六）机柜系统网络机房机柜如下图右侧所示，共计8台网络机柜，2个列头柜：服务器机房共计16台网络机柜，2个列头柜（七）防雷系统机房按照GB50057-94《建筑物防雷设计规范》作好防雷措施，在重要设备端需要设计完善的防雷系统，电源防雷装置至少分为三级，对配电柜、UPS、服务器、核心互换机实行二级防雷。防雷器采用质量可靠的设备，具有防浪涌、防雷击过流保护能力。（八）接地解决方案一级防雷：配电柜电源进线处接大容通量的电源防雷器。变压器的机壳、低压侧的交流零线以及与变压器相连的电力电缆的金属外护层应就近接地。二级防雷：UPS配电箱引出的三根相线及零线接电源防雷器，箱内交流零线不作反复接地。机房内所布放的交流供电线路中的中性线（零线），应采用绝缘导线。交流配电箱上的中性线（零线）汇集排应与机架的正常不带电金属部分绝缘。三级防雷：使用专用的避雷电源插座。机房内所有交直流用电及配电设备均应采用接地保护。交流保护接地线应从接地汇集线上专引，严禁采用中性线作为交流保护接地线。（九）消防系统消防系统是机房必不可少的一个保障。机房消防必须采用无腐蚀作用的气体自动灭火装置。气体灭火装置的灭火性能可靠，不损坏电子设备，暗管布方式安装，不影响机房整体效果。7.1机房结构和防火分析1、机房内的空间结构分为三层：地板下、天花下、和地板天花之间。2、一般机房的起火因素重要是由电气过载或短路引起的，燃烧的重要区域一般在地板下或天花下，燃烧初期发出浓烟，温度上升相对较慢。7.2消防报警系统设计7.2.1火灾探测器位置设计1、每个机房分别在地板下、天花下安装两种不同灵敏度的感烟探测器，既在一个感烟探测器的单位探测面积内设立二只不同灵敏度的探测器。2、每个机房地板下安装1个感烟探测器，1个感温探测器;天花上安装1个感烟探测器，1个感温探测器7.2.2消防灭火系统设计1、根据机房的特殊性，本系统采用气体灭火系统，并根据气体灭火的规定，设计系统所需的其他辅助电气设备。2、设立一个气体紧急启动停止按钮，安装在灭火区域外墙上。3、设立二个声光报警器设立气体喷放指示灯，安装在灭火区域外一个。4、设立气体喷放指示灯一个，气体喷放指示灯是灭火控制器接到气体管路上的压力开关动作后的返回信号来控制的。其他报警系统的设备如手动报警按钮、消防警铃等，按照消防规范设立。（十）安防门禁机房门禁系统多采用刷卡式门禁系统。该系统可灵活、方便地规定进入机房的人员、时间、权限，防止人为因素导致的破坏，保证机房的安全。同时在各机房内部及周边设立16个球机摄像头，保证无死角监控。三、综合运维平台建设现阶段业务管理情况分析：任何一个完善且健康的数据中心必须管理是重要的手段，如何有效的管理数据中心和一个数据中心能否把业务运营的健康的关键。X市X局数据中心10几年来使用的管理手段比较单一，只能解决独立的业务和设备，对于数据中心的整体运营情况缺少一个直观的分析。如何让本次建设的数据中心体现价值（一）网络拓扑在本项目中，推荐采用由统一维运管理平台。可以提供多厂商、多种类的IT资源监控，通过标准的协议接口，RIIL可以完毕对路由器、互换机、安全设备、无线设备、服务器、数据库、中间件、虚拟化设备、存储设备、应用、日记等监控，并且提供开放的接口，用户可以自行编制监控脚本，完毕相应资源的监控。作为一款公司级、平台级的综合监控管理平台，通过SNMP、ICMP、NetBIOS、ARP、Traceroute、Telnet等多种手段可以良好支持众多厂商的网络设备，涉及Cisco、锐捷网络、华为、H3C等不同厂商的路由器、互换机、VPN、防火墙等设备。采用业界领先的、独有的DFC算法和CDP算法以及种子IP算法，可以快速搜索全网直至PC端，自动发现获取链路连接信息、设备状态等信息，可广泛应用于多厂商设备，对超大型网络，可设立分级、分别管理不同的子网。即使您的网络中包含多家厂商的网络设备，RIIL都可以一网打尽，整网监控。此平台可以通过多种手段自动发现、辨认网络设备，依据自动发现的各类设备，通过智能拓扑算法，自动生成二层网络拓扑和三层网络拓扑结构图，提供了拓扑的动态跟踪和更新功能，更加有效的反映网络拓扑现状，自动跟随客户网络情况而变化，不需人工干预和调整。同时支持设定不同的发现深度，以及设定发现的网络范围，保证一些保密性相对较高的子网不被发现出来。发现算法支持SNMPv1/v2/v3和CiscoCDP，保证兼容性统一维运管理信息化的人财物，整合为面向管理者、基于业务、高度可视化的运营管理平台，解决客户信息化投资如何保障、增效、增值的问题。实现统一的IT基础设施管理、业务价值分析、数据中心机房环境、IT运维工作与绩效、IT自动化管理等，致力帮助客户构建完整的IT管理体系，实现自动化、标准化、规范化，提高整体IT管理水平，保持IT业务良性、稳定和长效发展。（二）业务健康限度 提供关键业务系统的健康指数曲线，并以K线图的形式直观显示，可以帮助用户了解在每一个时间范围内，这些关键业务系统或重要的IT资源的综合健康水平和变化趋势，从而使管理者可以直观的看到IT部门对业务系统的支撑质量。IT健康指数可以自定义健康资源对象、权重和监控周期，自定义IT健康指数折线图。选取任意时间节点，可以了解该时间点参与健康指数曲线计算的业务系统的健康度指标和关联告警信息。IT健康指数（三）机房管理随着业务对于IT的依赖度越来越高，IT部门所需要维护的业务系统和IT资源数量更多，各资源间的结构和种类更加复杂，更多的IT资源将更加统一、集中地部署在数据中心机房中，那么机房环境的变化将对IT资源的正常运营产生直接影响，进而影响业务系统的正常运营。因此，IT运维人员还需要关注机房环境的变化情况。此外，在节能减排、绿色环保的社会环境下，IT运维人员还要更加关注机房中各设备的能源使用情况。基于这样的应用需求，我们采用智能机房环境管理模块，通过TCP/IP网络，直接获取机房环境设备探头的数据信息，并实时进行反馈和呈现；对于不支持TCP/IP网络的机房环境系统，也支持对机房环境管理软件进行集成的形式达成综合性机房环境系统的进一步管理工作。通过该模块其他模块的配合，综合业务管理平台可以实现从业务视角对IT资源和环境元素的综合统一管理，让运维管理全方位、不留死角。机房监控范围系统支持对温湿度、烟感、水浸、空调、风机、照明、粉尘、电量仪、电量、电流、UPS、电池组、智能配电柜、交流配电屏、直流配电屏、配电空开、防雷、发电机、电气火灾探测器、烟感、温感、消防报警机、视频、门禁、红外、门磁、玻璃破碎、机柜等29种资源统一监控，结合基础资源监控管理实现机房动力环境对业务影响的一体化管理，同时提供告警及报表功能。机房监控卡片智能机房环境管理模块可以将每一种不同的机房环境因素都做成一张元素卡片，通过元素卡片，用户可以看见这个元素的真实造型，该元素中所有的指标信息，甚至可以简朴地了解该元素的工作原理。机房UPS监控卡片可视化视图RIIL提供机房可视化管理视图，从而多角度深层次的呈现和挖掘用户关注的机房内部所有信息。支持机房布局3D效果的可视化呈现，通过全3D仿真的虚拟机房环境，可洞悉每一个机房元素，了解机房相关（机房信息、机房元素指标、机房内设备和元素的告警）、机柜相关（涉及机柜内的设备信息、设备面板、机柜微环境等）、各种机房设施的信息均以分级分层的效果呈现。通告3D可视化视图，支持从机房→机柜→设备→设备面板的可视化数据钻取途径。在可视化视图页面，还提供了用户常用工具，如搜索定位、可用空间查询、环境监控（涉及空调监控、UPS监控、配电柜监控和视频监控等）、机房记录（涉及能耗记录、空间记录、设备记录等）。机房可用空间可视化视图自定义机房配置系统内置完整传感器图例（温度、湿度、滴露、浸水、监测仪、空调、烟感、门禁、配电箱、UPS、线式浸水传感器等），通过图形化的所见即所得的拖拽设计方式，灵活设计机房、机柜结构图，设计完毕的机房结构图可被立即部署，大大减少实行及后续维护难度。传感器是发现和监控机房元素的工作站，系统支持监测仪的添加、删除并完毕发现机房和元素的操作，根据管理需要可灵活扩展监测范围。自定义机房布局设计支持对机房环境中已发现的机房完毕基本信息、机房元素、机房状态、PUE、合规性和机房权限等配置。也支持自定义创建新机房，根据管理需要编辑机房基本信息、元素管理、状态配置和权限设立即可完毕新机房的创建。监测仪设立：可以配置监测仪的IP地址、用户名和口令，然后发现机房环境监测元素。机房配置：可以设定机房的基本信息。机房名称、合规性、管理员、地理位置、面积、描述等。元素管理：可对当前机房已发现的机房元素进行修改元素名称和厂商等信息。状态配置：定义当前机房的状态规则。PUE设立：定义计算当前机房PUE值的电量仪指标（PUE计算公式=数据中心总电量/IT设备负载电量）。合规性设立：匹配当前机房合规性级别设立的温度和湿度指标值。系统提供默认值，用户可重新定义。机柜配置：设定机柜的厂商、规格、名称、归属、机柜与设备的放置关系等信息。支持批量导入和导出功能，并可以设立机柜的能耗关系和微环境元素。权限设立：定义对当前机房拥有只读或可操作权限的用户。非监管设备配置：对非智能的设备或受保护不能监控的设备，提供非监管设备配置作为入口，通过人工配置，实现这一类设备可以在机房可视化视图中进行展现。策略配置：针对不同机房元素的指标信息进行配置，设定相应的阈值范围，以及与该范围相匹配的事件告警信息。（四）用户管理用户权限管理充足考虑多用户的分权、分域管理，同时可以纤细划分用户的资源、及系统权限。系统最高权限为超级管理员，超级管理员将具有最高权限，用于资源的添加、用户添加、权限管理等。按部门进行用户管理一方面按组织架构创建系统的工作部门，此工作部门可按照实际用户部门组织架构进行设定。在设计部门组织的时候可设定部门的上级单位，同时可将用户逻辑的分派在部门内。部门的设立不仅关系到使用运维系统的用户，同时也将在业务服务一览中可以进行相应关系设立，用来显示业务系统对用户的影响。用户管理用户管理可以添加用户的具体信息，涉及设定用户所在部门，相关具体信息将用作短信、邮件的告警告知。在设定完用户后，就可设定用户所属角色及所在部门。角色管理角色管理将设定用户的所属角色，这里将设定用户的管理权限及系统的使用权限。例如，用户所属为机房管理员，那么机房管理的角色组将只能访问机房监控的相关功能。用户域管理 域管理重要用于具有上下级管理的场景，下属节点具有多组织部门，同时各个组织内具有各自的资源管理及用户管理。将可以设定多个子域，同时设定子域内的管理用户及资源列表。功能权限管理角色组的管理员将可以被设定所能访问的系统界面，精确到每一个页卡。功能授权用户与监控对象管理针对实时监控集成系统纳入监控的对象范围，以及用户对监控对象的关心限度，实现用户分权限访问监控资源。用户工作组将根据用户所管理资源的不同设定资源管理权限，例如主机管理员工作，设定管理权限为主机操作系统，那么在主机工作组下用户只能在监控系统中看到固定的资源内容。四、信息数据安全建设现有架构的安全平台由于管理员对于不同厂商设备了解限度不同，经常一台设备配置策略之后，就不再管理，假如不出问题，那台安全设备形同虚设，也不会有人积极去查看安全日记。安全平台建成后，可将