XXX集团IT基础架构规划方案.docx

资源描述

企业IT基础架构规划方案金蝶软件(华南区)系统集成部 2011年03月 XXX集团 IT基础架构规划方案（简）目录一、项目背景 3 二、方案整体介绍 4 2.1 企业IT架构 4 2.2 网络系统规划 4 2.2.1 安全基础网络规划方案 6 2.2.2 安全无线网络规划方案 9 2.2.3 广域网互联VPN规划方案 11 2.2.4 网络性能指标要求 13 2.2.5 网络安全规划 13 2.3 计算机系统规划 17 2.3.1 服务器硬件选型规划方案 17 2.3.2 磁盘存储系统选型规划方案 18 2.4 IT基础软件和系统规划 21 2.4.1 操作系统选型规划方案 21 2.4.2 虚拟化规划方案 21 2.4.3 数据库选型规划方案 22 2.4.4 数据安全和备份规划 25 2.4.5 统一身份安全认证规划 29 2.4.6 企业计算机和用户管理方案 34 2.4.7 企业邮件系统选型规划方案 38 2.4.8 企业内部通信系统选型规划方案 39 2.5 企业IT机房和系统集成环境规划 40 2.5.1 机房规划要求 40 2.5.2 供电系统规划要求 41 2.5.3 机柜规划要求 42 2.5.4 硬件设备安装要求 45 三、实际案例设计 47 3.1 总体网络拓扑设计 47 3.2 店面远程接入设计 51 3.3 店面管理系统设计 53 四、投资预算 54 五、金蝶系统集成支持与售后服务 56 5.1 金蝶技术支持与服务体系介绍 56 5.2 售后技术支持与服务的方式 57 一、项目背景 XXX集团经过多年的经营，公司业务和规模在不断发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成，IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分：楼宇智能化规划和建设方案：主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。企业IT基础架构规划和解决方案：主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。本方案主要是针对XXX集团企业IT基础架构进行规划，并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。二、方案整体介绍 2.1 企业IT架构下图是一般企业的IT架构情况，本方案主要针对IT基础架构部分进行规划，并提供选型和部署参考，关于企业IT业务应用系统部分的规划和建设请参考其它方案。 2.2 网络系统规划当前，企业一般能给信息化方面投入有限。除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实施能力等都普遍较弱，这就要求网络架构成熟、稳定安全、高可靠、高可用，尽可能少投入人力和金钱进行维护。其次，由于企业首要解决的是生存问题，根本没办法做到“先信息化，再做业务”，因此网络建设实施要求必须容易，实施时间必须极短。企业的组网方案主要要素包括：局域网、广域网连接、网络管理和安全性。具体来说企业组网需求： Ø 建立安全的网络架构，总部与分支机构的网络连接； Ø 安全网络部署，确保企业正常运行； Ø 为出差的人员提供IPSec或者SSL的VPN方式； Ø 提供智能管理特性，支持浏览器图形管理； Ø 网络设计便于升级，有利于投资保护。企业一般的组网结构如下图，大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构，小企业则单线路的连接方式。通过对一般企业的信息化情况和网络规划要素进行分析，从总体上看，规划方案必须具有以下特点： Ø 网络管理简单，采用基于易用的浏览器方式，以直观的图形化界面管理网络。 Ø 用户可以采用多种的广域网连接方式，从而降低广域网链路费用。 Ø 无线接入点覆盖范围广、配置灵活，方便移动办公。 Ø 便捷、简单的统一通信系统，轻松实现交互式工作环境。 Ø 带宽压缩技术，高级QoS的应用，有效降低广域网链路流量。 Ø 随着公司业务的发展，所有网络设备均可在升级原有网络后继续使用，有效实现投资保护。 Ø 系统安全，保密性高，应用了适合企业的低成本网络安全解决方案。 2.2.1 安全基础网络规划方案根据对XXX集团的实际调研，获取了企业的网络需求，以此来制定企业基础网络建设规划方案和网络设备选型参考；以下提供基础版和企业版两种规划方案 1）网络需求：企业规划的网络节点为500个，主要的网络需求首先是资源共享，网络内的各个桌面用户可共享文件服务器/数据库、共享打印机，实现办公自动化系统中的各项功能；其次是通信服务，最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问；还有就是公司门户网站和网络通信系统（企业邮箱、企业即时通信和企业短信平台等）的建立。 2) 基础版规划方案本方案适用于200~300台电脑联网，核心采用H3C S5500-28C-SI或S5500-20TP-SI交换机，以千兆双绞线/光纤与接入交换机及服务器连接；用户接入H3C S3100-26TP-SI或S3100-52TP-SI交换机，千兆铜缆/光纤上连核心交换机。Internet出口采用H3C MSR20-1X多业务路由器作为Internet出口路由、Secpath F1000-C或者UTM作为安全网关和移动用户的VPN接入网关。网络拓扑图如下：设备选型和部署参考如下：业务需求设备选型参考配置说明数量部署位置数据核心交换机 H3C S5500-28C-SI 或H3C S5500-20TP-SI 全千兆三层核心 1 核心机房接入层交换机 H3C S3100-26TP-SI 或H3C S3100-52TP-SI 接入层支持光电复用千兆上行，支持混合堆叠 26TP：15台 52TP：8台各楼层或机房路由器 H3C MSR20-1x路由器转发率160Kpps，256M 内存，支持GE/FE交换模块，同异步串口模块，E1/PRI模块，语音模块，加密模块 1~2 核心机房安全防火墙 H3C SecPath F1000-C或H3C SecPath U200 支持应用层报文过滤 1 核心机房 VPN 支持DVPN 互联网接入 10M光纤接入电信10M光纤接入配静态IP地址 1~2 核心机房方案特点： Ø 高性价比：能够让中小企业低投资拥有高性能、经济的网络； Ø 简易性：结构简单、安装快速、简单，维护无需配置专职人员； Ø 高性能：最低投资做到千兆骨干、百兆接入； Ø 可扩展性：灵活的网络架构，能根据用户需要随时扩展，并保护已有投资。 3) 高级版规划方案：本方案适用于500~800台电脑联网，三层网络结构，万兆骨干，百兆接入；网络核心层采用H3C S7500交换机，同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备；网络汇聚层采用H3C S5500-28C-SI，独有智能堆叠系统可实现高密度千兆端口接入，拥有96 Gbps的全双工堆叠带宽，消除网络瓶颈，提供优于传统中继聚合配置的更好的可用性和弹性；接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机，千兆铜缆/光纤上连核心交换机，或H3C S5100-16/24/48P-SI全千兆交换机，千兆到桌面。网络拓扑图如下：设备选型和部署参考如下：业务需求设备选型参考配置说明数量部署位置数据核心交换机 H3C S7500(E)系列核心支持双引擎双电源，性价比最高 1 核心机房汇聚层交换机 H3C S5500-28C-SI 汇聚支持全千兆高速转发，消除网络瓶颈，同时支持万兆扩展 3 各楼层或机房接入层交换机 H3C S3100-26/52TP-SI 或 H3C S5100-16/24/48P-SI 接入层根据不同业务需求提供百兆和千兆接入两种选择 52TP：10台各楼层或机房路由器 H3C MSR50-06路由器 H3C新一代安全路由器 1~2 核心机房安全防火墙 H3C SecPath F1000-C 支持应用层报文过滤 1 1 VPN 支持DVPN 互联网接入 20M~50M光纤接入电信20M~50M光纤接入配静态IP地址 1~2 核心机房方案特点： Ø 高性能，全分布式交换网络； Ø 高可靠，无间断的通信环境； Ø 灵活弹性的网络扩展能力； Ø 高效率的网络带宽利用率； Ø 全面的QOS部署，多业务融合； Ø 完善的网络安全策略，实现深度安全检测，抵御未知风险。 2.2.2 安全无线网络规划方案无线网络的部署，能够增大员工接入网络的范围，提供更大的上网便利性--无论是在办公室、会议室还是在空间复杂的车间，员工都能与网络保持连接，随时随地访问企业资源，而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效率和协作能力，也能为合作伙伴/ 客户提供方便的上网服务。根据企业情况，可以采用FAT AP方案： 1) 无线网络需求：能够获得较高的用户接入速率，构建便利的移动办公环境，实现企业的移动网络办公，成本投入不高，适合简单、小规模的无线部署。 2) 规划方案：采用WA1208E+iMC+CAMS进行组网，配合CAMS实现802.1x的认证，可以实现基于时长、流量和包月的计费；整网通过iMC统一管理。网络拓扑图如下：设备选型和部署参考如下：业务需求设备选型参考配置说明数量部署位置无线无线接入 WA1208E 双802.11g无线模块 8 各楼层无线安全 H3C CAMS 满足用户管理、身份认证、权限控制和计费的要求 1 核心机房无线管理 H3C iMC网管系统支持与HP Openview、SNMPc等通用网管平台的集成 1 核心机房方案特点： Ø 全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制； Ø 大范围覆盖：高接收灵敏度，达到-97dBm（普通AP-95dBm），保证更远覆盖； Ø 多VLAN支持：虚拟AP方式支持多VLAN，最多支持8个虚拟SSID的VLAN划分，每个VLAN用户可以独立认证； Ø 兼作网桥使用：WDS模式支持PTP、PTMP工作模式；支持连接速率锁定、传输报文整合，提高传输效率； Ø 负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡； Ø 针对各类室外、特殊室内应用如仓库等复杂环境，可以提供专门的型号。 2.2.3 广域网互联VPN规划方案伴随企业和公司的不断扩张，公司分支机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。在VPN方式下，VPN客户端和设置在内部网络边界的VPN网关使用隧道协议，利用Internet或公用网络建立一条“隧道”作为传输通道，同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改，从而保证数据的完整性、机密性和合法性。通过VPN方式，企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问，不但节省了大量的资金，而且具有很高的安全性。另外，随着企业规模的扩大，分散办公也越来越普遍，如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用性、易管理等多方面综合考虑，SSL VPN无疑是一种最合适的方案：只需要在总部部署一台设备，成本更低，管理维护也很容易；无需安装客户端、无需配置，登陆网页就能使用。 1) 网络需求 1IPSec VPN和SSL VPN各有所长，功能互补，对企业来说都是需要的：IPSec VPN用于总部和中大型分支互连，SSL VPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下，企业总部需要采购两台设备来支持两种VPN，不仅成本更高，而且可能存在VPN策略冲突，导致性能下降、管理困难。 2) 规划方案融合VPN针对企业的实际需要，一台设备融合IPSec / SSL两种VPN，只需部署在总部，既可以用于为合作伙伴、出差人员提供远程网络访问，也可以和分支机构进行IPSec VPN互连，帮助企业降低采购、部署、维护三方面成本。 VPN网关选择方面，H3C的防火墙、路由器都能够实现融合VPN，提供给企业更加灵活的选择。例如，如果企业非常强调网络安全、VPN性能，就选择防火墙；如果企业更注重多业务处理能力，如IP语音通信、3G上网、无线接入等，推荐选择路由器。在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关，在分支机构Internet边界防火墙后面配置一台VPN网关，由此两端的VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输；另外，通过总部的VPN网关提供SSL VPN接入业务；在总部局域网数据中心部署H3C VPN Manager组件，实现对VPN网关的部署管理和监控；在总部局域网内部或Internet边界部署H3C BIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署。如下图：设备选型和部署参考如下：业务需求设备选型参考配置说明数量部署位置网络互连 VPN网关 H3C SecPath F1000VPN网关 H3C SecPath F100 VPN网关或 H3C MSR50 路由器 H3C MSR20-1X 路由器总部和大型机构配置F1000型号中小型机构配置F100型号总部1台分支机构按需求配置核心机房网络管理 H3C VPN Manager H3C BIMS 帮助用户部署、管理VPN网络 1 核心机房如果省内分支机构较多、较分散，但对速率要求不高的连锁型单位，也可以选用电信或ISP商的VPDN服务；如果多个分支机构间有多点对多点通信需求的企业、商业机构，也可以直接选用电信或ISP商的MPLS VPN服务。 2.2.4 网络性能指标要求类型带宽要求线路质量要求局域网客户端到服务器：10Mb以上，推荐100Mb 各服务器之间：200M以上，推荐1000Mb 丢包率小于0.1% 延迟小于20ms 广域网分支机构带宽：每客户端128Kb 总部出口带宽：(最大并发数/3)×128Kb 总部服务器之间：200M以上，推荐1000Mb 丢包率小于2% 延迟小于50ms 2.2.5 网络安全规划网络安全是整个系统安全运行的基础，是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面： Ø 网络边界安全需求 Ø 入侵监测与实时监控需求 Ø 安全事件的响应和处理需求分析这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。我们针对企业网络层的安全策略采用硬件保护与软件保护，静态防护与动态防护相结合，由外向内多级防护的总体策略。根据安全需求和应用系统的目的，整个网络可划分为六个不同的安全层次。具体是： Ø 核心层：核心数据库； Ø 安全层：应用信息系统中间件服务器等应用； Ø 基本安全层：内部局域网用户； Ø 可信任层：公司本部与营业部网络访问接口； Ø 危险层：Internet。信息系统各安全域中的安全需求和安全级别不同，网络层的安全主要是在各安全区域间建立有效的安全控制措施，使网间的访问具有可控性。具体的安全策略如下：核心数据库采用物理隔离策略应用系统采用分层架构方式，客户端只需要访问中间件服务器即可进行日常业务处理，从物理上不能直接访问数据库服务器，保障了核心层数据的高度安全。应用系统中间件服务器采取综合安全策略：应用系统中间件的安全隐患主要来自局域网内部，为了保障应用系统中间件服务的安全，在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离，提供子网间的访问控制能力。同时，中间件服务器本身可以通过配置相应的安全策略，限定经过授权的工作站、用户方能访问系统服务，保障了中间件服务器的安全性；内部局域网采取信息安全策略：公司本部及营业部内部局域网处于基本安全层的网络，主要是对于安全防护能力较弱的终端用户在使用，因此考虑的重点在于两个方面，一个是客户端的病毒防护，另一个是防止内部敏感信息的对外泄露。因此，通过选用网络杀毒软件达到内部局域网的病毒防护，同时，使用专用网络安全设备（如硬件防火墙）建立起有效的安全防护，通过访问控制ACL等安全策略的配置，有效地控制内部终端用户和外部网络的信息交换，实现内部局域网的信息安全。公司本部与下属机构之间网络接口采取通讯安全策略：处于可信任层的网络，其安全主要考虑各下属单位上传的业务数据的保密安全，因此，可采用数据层加密方式，通过硬件防火墙提供的VPN隧道进行加密，实现关键敏感性信息在广域网通信信道上的安全传输。 Internet采取通讯加密策略： Internet属于非安全层和危险层，由于Internet存在着大量的恶意攻击，因此考虑的重点是要避免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力，并对所有访问请求进行严格控制，对所有的数据通讯进行加密后传输。同时，建议设置严格的机房管理制度，严禁非授权的人员进入机房，也能够进一步提升整个网络系统的安全。 1) 广域网安全规划企业广域网安全，主要是通过防火墙和VPN等设备或技术来保障。防火墙对流经它的网络通信进行扫描，能够过滤掉一些攻击，防火墙还可以关闭不使用的端口，防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机，所以出于安全考虑，企业必须购置防火墙以保证其服务器安全，将应用系统服务器放置在防火墙内部专门区域。一般硬件防火墙比软件防火墙的性能更好，建议选择企业级的硬件防火墙，硬件防火墙市场知名度高的品牌有CISCO、Check Point、Juniper、H3C、天融信、华为赛门铁克、联想网御等，用户应根据应用情况选择合适的防火墙。 VPN 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质(如Internet)建立安全专用连接的技术。使用VPN技术，甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟，可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN通过安全隧道建立一个安全的连接通道，将分支机构、远程用户、合作伙伴等和企业网络互联，形成一个扩展的企业网络。 VPN基本特征： Ø 使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。 Ø 网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。 Ø 可以通过Extranet连接企业合作伙伴、供应商和主要客户（建立绿色信息通道），以提高客户满意度、降低经营成本。 VPN实现方式： Ø 硬件设备：带VPN功能模块的路由器、防火墙、专用VPN硬件设备等，如Cisco、H3C、深信服、天融信等。 Ø 软件实现：Windows 自带PPTP或L2TP、第三方软件（如CheckPoint、深信服等）。 Ø 服务提供商（ISP）：中国电信、联通、网通等。目前一些ISP推出了MPLS VPN，线路质量更有保证，推荐使用。 2）内网安全规划企业内网安全系统包括防病毒系统、内网安全管理系统，上网行为管理系统等。防病毒系统可以采用网络版防病毒系统或防毒墙等产品（比如金山、瑞星、卡巴斯基等解决方案）。内网安全系统和上网行为管理系统可以选择深信服、任子行、IP-guard等解决方案，企业可以通过部署内网安全系统实现研发网和商业信息的信息安全防范工作。对于研发网的信息安全、数据集中存储和计算资源的统一协调配置，可以通过部署企业桌面虚拟化解决方案来实现。 2.3 计算机系统规划 2.3.1 服务器硬件选型规划方案根据对XXX集团的实际调研，获取了企业业务应用系统的建设情况，随着企业信息化建设的推进，需要对各种信息化管理系统和应用系统的服务器选型进行选型规划，根据不同的系统对服务器硬件的性能指标要求不同，比如企业网站服务器、邮件服务器、域控制服务器、文件和打印服务器、业务系统服务器等，通过结合系统在线用户数、业务请求数和业务产生的事物数等参数来计算tpmC值，从而估算出服务器硬件的性能要求。 tpmC定义为TPC-C的吞吐量（TPC-C Throughput），按有效TPC-C配置期间每分钟处理的平均交易次数测量。TPC-C是一种旨在衡量联机事务处理（OLTP）系统性能与可伸缩性的行业标准基准测试项目。这种基准测试项目将对包括查询、更新及队列式小批量事务在内的广泛数据库功能进行测试。许多IT专业人员将TPC-C视为衡量“真实”OLTP系统性能的有效指示器。 1）对于最大并发用户数(一般认为最大并发用户数=预估用户规模*15%)在80以下的系统，推荐使用以下两种配置的服务器： l IBM X系列的服务器； l HP Proliant系列服务器。 2）对于最大并发用户数在80以上的系统，推荐使用以下两种配置的服务器： l IBM Power系列的服务器； l IBM BLADE系列刀片服务器。设备选型和部署参考如下：类型设备选型参考配置说明数量部署说明域服务器 IBM X3650 M3 双4核CPU/8G内存/300G硬盘 Raid0 1~2 可配置成主备域服务器邮件服务器 IBM X3650 M3 双4核CPU/16G内存/2T硬盘 Raid5 1~3 可以根据负载情况进行集中部署或分布式部署打印/文件服务器 IBM X3650 M3 双4核CPU/8G内存/2T硬盘 Raid5 1 可连接NAS或SAN存储网站服务器 IBM X3650 M3 双4核CPU/16G内存/600G硬盘 Raid5 1~2 可以部署为双机热备小型应用系统服务器 IBM X3650 M3 IBM X3850 X5 IBM X3690 X5 根据应用情况配置可以部署为双机热备中大型应用系统服务器 IBM Power系列服务器根据应用情况配置可以部署为集群模式 2.3.2 磁盘存储系统选型规划方案磁盘阵列已经成为企业信息系统不可缺少的基础组成部分，当前的主流厂商有EMC、IBM、HDS、HP等。RAID是英文Redundant Array of Inexpensive Disks的缩写，中文译作廉价冗余磁盘阵列，简称磁盘阵列。简单地说，磁盘阵列是一种把多块独立的硬盘（物理硬盘）按不同方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和提供数据冗余的技术。在这一组硬盘中，数据按照不同的算法分别存储于每块硬盘上从而达到不同的效果，这样就形成了不同的RAID级别（RAID LEVEL）。按照RAID级别划分，常见的有RAID0，RAID1，RAID3，RAID5， RAID10，RAID50等，以及硬件厂商自己定义的RAID。客户可以根据实际情况选择RAID级别，RAID10和RAID5比较常见，采用RAID10，可以获得较好的磁盘IO性能和可靠性。使用磁盘阵列的好处： Ø 提高数据的安全性； Ø 提高数据存取的速度，提升EAS性能； Ø 提供超大的存储容量。针对应用系统而言，并发数低于100时可以采用服务器内置RAID卡，连接三块以上的硬盘，配置成RAID-5模式；并发数超过100个用户就应该考虑独立的硬件磁盘阵列；超过200个并发用户数规模时，建议采用光纤通道磁盘阵列技术，如果有多台服务器（如集群配置）时，建议使用光纤通道存储局域网（SAN）技术来实现高性能的共享存储系统。以下是一般集团ERP系统对磁盘阵列的指标要求：应用规模 IOPS 最大带宽磁盘配置选型参考并发数小于400 至少12万至少335MB/s 容量至少500G IBM DS5020/DS5100 并发数大于400 至少20万至少1500 MB/s 容量至少1T IBM DS5300 磁盘存储性能是是选型的重要原则之一，存储的性能应能够满足应用系统峰值的需求，并有进一步扩展的空间，包括容量和性能的扩展。从计算机的发展历史来看，计算机的芯片发展速度按照摩尔定律，已经提高了成千上万倍，而计算机 I/O速度，即磁盘系统接口速度，则从SCSI的每秒5MB到目前业界最快的FC-2协议每秒200MB，只提高了四十倍。因此选择性能最佳的磁盘系统，可以有效地提高计算机系统的I/O性能，从而提高计算机的整体性能。 n 扩展性由于企业数据的增长已经呈几何级数的增长，企业每年数据成倍地增长早已经不是新闻了。为了保证磁盘系统的增长满足企业今后发展的需要，对磁盘系统的扩展性应从以下几个方面进行准备：磁盘系统的容量扩展性。磁盘系统本身设计会有一定的局限，其容量最大可扩展能力是否满足企业今后数据发展的需要，是选择磁盘系统时应当考虑的一个方面。磁盘系统的扩展兼容性。由于磁盘系统的发展也是日新月异，用户在存储扩容时还要考虑新磁盘系统与旧设备之间的兼容性，即产品系列有连续性。 n 可靠性数据是企业最重要的资产，数据的可靠性很大程度上依靠存储设备，主要是磁盘系统的可靠性。因此，作为磁盘系统的选择，可靠性永远是用户的第一考虑。虽然所有的磁盘厂商都声称自己的磁盘系统是可靠的，但是还是可以下几点来进行考察：冗余电源和风扇。由于硬件失效的大部分原因是由于电源问题，因此，采用冗余电源设计可以有效地防止这一故障的出现；风扇 (或者冷却系统)则是在机房环境温度过高时保护磁盘系统的一种手段，采用冗余风扇设计，必要时可以加大冷却效果，保护磁盘系统的正常工作。写缓存的数据保护。由于在磁盘系统的设计中越来越多地采用了控制器 (卡)缓存的设计，而读写缓存可以提高读写数据的速度(由于写磁盘是机械动作，通常为秒级；而写缓存是电子动作，通常为纳秒级)。但是，由于有了缓存设计，主机(服务器)写数据时，只要将数据写入磁盘系统的写缓存内，主机就认为写操作结束，如果此时写缓存发生故障(掉电、硬件故障、人为故障等)，数据因为没有写入物理磁盘而导致数据丢失。为防止这种情况的出现，通常应当在写缓存采用NVS(非掉电式存储缓存，即有单独电池保护的缓存，电池通常可以保护数据在缓存中几天不丢失)以防止电源失效；另外，对写缓存还应采用诸如镜像等的保护措施，以防止写缓存的故障。 RAID数据保护。采用RAID方式对数据进行保护，是提高数据可靠性最常用的方法。RAID方式有许多种，其编号只是代表某一种保护方式而已，并不是数字越大或者越小越好。应当说明的是，RAID0不具有数据保护功能，它只是将数据打散分布在不同的磁盘。至于采用何种RAID形式，则应于客户的数据重要程度、性能的要求，以及经费情况等总体考虑。只有支持多种RAID形式，并且支持不同RAID组的混合才能够满足用户对于不同分区的要求。总线 (包括内部总线和外部总线)。外部总线通常会配置为冗余配置，一方面可以提高可靠性；另一方面，还可以提高性能。外部总线一般可以根据用户的需要进行选配。而内部总线通常是磁盘阵列已经设计好，用户无法选择配置。而内部总线的单点故障常常会被许多用户所忽略，由于SCSI总线是单向单I/O，如果总线发生故障，则导致数据无法访问。因此，选择没有单点故障的内部总线设计，这是用户需要注意的一点。 n 功能随着计算机的发展，服务器集中、存储集中的思想越来越受到关注。为了实现存储集中，存储区域网乃至灾难备份等要求，需要磁盘系统不仅仅是简单的磁盘阵列，而是具有一定功能，如：远程数据自动拷贝、快速磁盘镜像、多重镜像等功能的存储服务器，来满足用户不断提高的需求。 n 厂商的售后服务数据是企业最重要的资产，数据的可靠性很大程度上依靠存储设备，主要是磁盘系统的可靠性。存储设备安全性至关重要，厂商的服务与技术支持能力十分重要。目前，业界普遍采用存储区域网（SAN）的方案，主服务器通过以太网连接到以太网上，每台服务器同时另外配置两块光纤通道卡，每块光纤通道卡分别连接到两台光纤交换机上。IBM的光纤交换机作为SAN的核心部件，也采用双配置，作为高可靠的冗余配置。磁盘阵列采用双光纤通道与光纤交换机分别相连。这样，任一台服务器、服务器上的通道卡、交换机出现故障，都不会影响对存储设备的访问。 2.4 IT基础软件和系统规划 2.4.1 操作系统选型规划方案根据对XXX集团的实际调研，获取了企业业务应用系统的建设情况，随着企业信息化建设的推进，需要对各种信息化管理系统和应用系统的服务器选型进行选型规划，根据不同的系统对服务 XXX集团信息化应用目标是：搭建集成、统一平台，规避流程、规避风险，实现高效协作，有效支撑决策、实现多维度矩阵管控、实现无边界的信息应用。操作系统选型参考和说明：类型操作系统选型参考选型说明域服务器/邮件服务器等企业IT管理系统 Windows Server系列操作系统建议选用最新版Windows Server 2008 R2，Windows管理和使用方便，管理功能丰富中小型业务应用系统和数据库系统 RedHat Linux 系列操作系统建议选用RedHat Linux企业高级平台版，Linux操作系统可靠性和安全性相对较高大型业务应用系统和数据库系统 IBM Unix系列操作系统 IBM Unix可靠性、安全性和性能是目前企业级服务器操作系统最高的。 2.4.2 虚拟化规划方案目前虚拟化技术主要包括服务器虚拟化、桌面虚拟化和应用虚拟化等技术。服务器虚拟化技术让一台物理服务器可以同时支持多个运行虚拟机的工作负载。管理员可利用虚拟机将工作负载（包括一个操作系统、应用组和配置）从物理计算平台中分离出去，这样就可以实现一些重要功能，如隔离（在一个计算平台上安全地运行多个工作负载）和工作负载可移植性（在不同的物理计算平台之间迁移工作负载）。采用更先进的服务器虚拟化平台，就可跨物理服务器快速迁移正在运行的工作负载。这样一来，就可在整个物理计算资源池中迁移工作负载，让IT部门可以最大限度地使用可用的计算资源，降低成本，并将应用有效、可靠地交付给用户。桌面虚拟化方案提供一种端到端的桌面管理解决方案。可动态按需产生虚拟桌面，该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。虚拟桌面是一个桌面的操作系统，是运行在服务器上的虚拟操作系统。在虚拟桌面模式下，每个人独享自己的操作系统。将桌面操作系统虚拟化带来很多好处，包括： l 信息保存在数据中心保证了数据的安全性； l 桌面的性能能够得到提升，因为它和应用后端的服务器都运行在数据中心； l 桌面可以分享最新最强大的服务器硬件； l 可以从任何地点远程访问桌面； l 维护桌面的费用大大降低。应用虚拟化技术是一种可将应用与底层系统隔离的技术。采用应用虚拟化技术，应用可直接在用户桌面系统上隔离运行或通过在用户桌面上显示应用界面而在服务器上远程运行，而不管用户采用的是哪种底层平台或操作系统。目前主流的虚拟化解决方案厂商有IBM 、VmWare、微软、Citrix等，选型时主要考虑产品的可靠性、性能指标、功能性和兼容性等。IBM和VmWare在服务器虚拟化方面比较知名，而Citrix在桌面虚拟化和应用虚拟化（远程接入）方面的解决方案相对其他厂商比较成熟。 2.4.3 数据库选型规划方案数据库作为企业IT集成架构的重要组成部分，在数据库的选择上通过开放性、可伸缩怀和并行性、安全认证、性能、操作简易程度以及使用风险来选择数据库。一、开放性 1. SQL Server 只能在windows上运行，没有丝毫的开放性，操作系统的系统的稳定对数据库是十分重要的。Windows9X系列产品是偏重于桌面应用，NT server只适合中小型企业。而且windows平台的可靠性，安全性和伸缩性是非常有限的。它不像Unix那样久经考验，尤其是在处理大数据库。 2. Oracle 能在所有主流平台上运行（包括 windows）。完全支持所有的工业标准。采用完全开放策略。可以使客户选择最适合的解决方案。对开发商全力支持。 3. Sybase ASE 能在所有主流平台上运行（包括 windows）。但由于早期Sybase与OS集成度不高，因此VERSION11.9.2以下版本需要较多OS和DB级补丁。在多平台的混合环境中，会有一定问题。 4. DB2 能在所有主流平台上运行（包括windows）。最适于海量数据。DB2在企业级的应用最为广泛二、可伸缩性，并行性 1. SQL server 并行实施和共存模型并不成熟，很难处理日益增多的用户数和数据卷，伸缩性有限。 2. Oracle 并行服务器通过使一组结点共享同一簇中的工作来扩展window的能力，提供高可用性和高伸缩性的簇的解决方案。如果windows不能满足需要，用户可以把数据库移植到Unix/Linux中。Oracle的并行服务器对各种Unix/Linux平台的集群机制都有着相当高的集成度。 3. Sybase ASE 虽然有DB SWITCH来支持其并行服务器，但DB SWITCH在技术层面还未成熟，且只支持版本12.5以上的ASE SERVER。DB SWITCH技术需要一台服务器充当SWITCH，从而在硬件上带来一些麻烦。 4. DB2 具有很好的并行性。DB2把数据库管理扩充到了并行的、多节点的环境。数据库分区是数据库的一部分，包含自己的数据、索引、配置文件、和事务日志。数据库分区有时被称为节点安全性。三、安全认证 1. SQL server 没有获得任何安全证书。 2. Oracle Server 获得最高认证级别的ISO标准认证。 3. Sybase ASE 获得最高认证级别的ISO标准认证。 4. DB2 获得最高认证级别的ISO标准认证。四、性能 1. SQL Server 多用户时性能不佳 2. Oracle 性能最高，保持开放平台下的TPC-D和TPC-C的世界记录。 3. Sybase ASE 性能接近于SQL Server，但在UNIX平台下的并发性要优与 SQL Server。 4. DB2 性能较高适用于数据仓库和在线事物处理。五、客户端支持及应用模式 1. SQL Server C/S结构，只支持windows客户，可以用ADO、DAO、OLEDB、ODBC连接。 2. Oracle 多

展开阅读全文