机房建设方案模板.docx

1、机房建设方案282020年4月19日文档仅供参考卓信集团IT基础平台建设规划目 录1.1 整体拓扑设计31.2 机房基础设施建设41.3 网络及网络安全系统建设81.3.1 网络带宽设计81.3.2 设计方案概述91.3.3 万兆以太网技术的应用91.3.4 本地流量负载均衡的实现101.3.5 边界防护-防火墙111.3.6 监控检测体系建设-入侵检测121.4 服务器系统建设141.4.1 服务器主机分类及选型141.4.2 服务器虚拟化151.4.2.1 虚拟化概述151.4.2.2 本项目虚拟化平台设计181.4.3 应用服务器负载均衡191.4.4 数据库服务器集群191.5 存储及

2、备份系统建设201.5.1 存储容量及分层存储201.5.2 存储技术选择201.5.3 备份体系的选择211.5.4 存储备份系统方案概述231.1 整体拓扑设计1.2 机房基础设施建设具体需根据机房实际情况而制定建设方案，机房建设参考配置如下：名称技术参数或技术要求单位数量备注IDC机房建设地面机房地面应先做防水处理：在机房周边砖砌门槛防止室外的水流入；空调室内机下、地板内砖砌防水围堰，防止空调水流入机房；铺设600*600mm加厚型全钢防静电地板，地板铺设高度为300mm，机房入口处铺塑胶地板。机房总面积待定。批1墙面墙体表面抹光找平，刷乳胶漆饰面；采用单面铝塑板贴面，接缝处采用玻璃胶封

3、边。批1吊顶确定强电、弱电、照明、消防管线以及通风等管槽的吊挂标高；吊杆采用通丝，固定件采用内胀螺栓；吊顶材料选用铝扣板。批1机房门全密封，门框采用足1.2mm厚不锈钢板（要求用304材质），门板采用足1.0mm厚不锈钢板（要求用304材质）；整扇门要用防火等相关材料填充成实心门；配置磁力锁及IC读卡装置；门内空高、门内空宽、门框宽、门槛高等参数须经实际测量定制。套1窗户密封对现有机房内的窗户，内测做密封防水处理，外侧加装防盗网。批1强电用电设备设计视在功率为30KVA；机房的动力配电从所在建筑的总配电室引接，配电设备采用落地式动力配电柜；需考虑UPS输入、输出设计，所有机柜内设备均接UPS输

4、出；每个机柜配置独立的供电线路；空调配置独立的供电线路；机房区域设计安装不锈钢格栅荧光灯，机房区设计照度不低于300lx；机房内设应急照明，设计照度大于10lx。批1UPS30KVA UPS主机，延时4小时；需考虑承重。套1防雷接地机房拟与所在建筑采用共用接地系统。在市电进线端、UPS的输入、输出端安装B+C级防雷器。套1弱电系统设计3套机柜，其中1套网络机柜，2套服务器机柜；网络机柜至各服务器机柜两端均配置24端口六类非屏蔽模块化配线架；机柜顶部配置不锈钢网格式弱电桥架。批1空调系统单冷机房专用精密空调；上送风,下回风；12KW；中文屏幕显示，具有多级密码保护，配备标准 RS485 监控接口

5、；具备来电自启动功能；具备主备机切换功能，实现机组自动切换及轮值。套2新风系统根据机房实际环境设计新风系统，应包含吊顶式新风机、百叶风口、管道风机、新风管道、送风管、风管保温、调节阀送风口等。批1消防系统采用柜式七氟丙烷气体灭火系统，灭火方式采用全淹没保护方式；需配置储气罐（含气体）、自动灭火控制器以及相关感应设备；消防系统的气体需量实施时根据机房实际空间容量计算；系统安装完毕后需经过专业机构验收。套1机柜42U，宽度800mm,深度1000mm；黑色；SPCC优质冷扎钢板制作，框架3.0mm厚度，方孔条厚度2.0mm厚度，其它1.2mm厚度；机柜内配置4块挡板；配置2套12个以上C14接口P

6、DU（垂直安装）套3KVM一体机1U高度；16路输入；17吋液晶；1440x900分辨率，标准键盘，触控板鼠标；支持菜单、热键、按钮等切换方式；16套USB接口信号线。套11.3 网络及网络安全系统建设1.3.1 网络带宽设计随着IP业务的爆炸性增长，对网络带宽的需求越来越大，由于IP业务量本身不确定性和不可预见性，因此在构建基于IP的网络基础设施时,带宽容量成为网络建设以及规划中一个必须考虑却又难以把握的重要内容。承载各种网络应用的带宽容量瓶颈不打开，网络应用的发展空间就会捉襟见肘。本项目主要依托互联网建设，根据以往项目经验，互联网和VPN网络配置100M以上的出口带宽是必要的，也是符合卓信

7、集团的业务发展需要的。本项目的主要网络核心设备之间设计采用万兆以太网互联，这解决了网络核心的性能瓶颈。本项目的汇聚层和接入层的流量主要来自各个区域的服务器设备且数量规模不大（服务器直接连接核心交换机），千兆链路能够确保流量及时上传至核心层，基本不存在影响整个网络性能的瓶颈。1.3.2 设计方案概述根据项目实际情况，整体设计将网络系统按边界划分为互联网、内部办公网以及本项目新建内网。本项目新建内网与互联网经过防火墙逻辑隔离，本项目新建内网与内部办公网经过防火墙逻辑隔离；本项目新建的内网按业务逻辑又划分为互联网业务区、内部业务区以及核心数据区，各区域之间逻辑隔离；由于互联网业务区主要面向互联网用户

8、提供服务，存在较高风险，但互联网业务区的部分应用有着访问核心数据区的需求，因此方案设计在这两个区域之间部署一台防火墙，确保数据流向和访问许可，保障核心数据区的网络和数据安全。1.3.3 万兆以太网技术的应用万兆（10G）技术的推出，提供了一种简单的带宽升级途径，解决了带宽不断增加的问题，使网络实现平滑过渡以及各种网络之间的“融合”。10G以太网提供业务的高速运作保证了应用的高速发展。选择10G是大势所趋，它不但在技术上解决带宽瓶颈，更重要的是它体现了宽带技术发展趋势的同时，能够有效地承载网络的未来的应用。当千兆已无法满足当下不断增长的业务数据传输需求，服务器虚拟化和融合成为了当前数据中心发展的

9、主要趋势。万兆以太网能克服千兆的容量限制，同时可支持未来数据中心的带宽增长并简化布线成本的优势就凸现出来。本项目的主要网络核心设备之间设计采用万兆以太网互联，解决网络核心的性能瓶颈。1.3.4 本地流量负载均衡的实现方案设计在互联网业务区交换机以及内部业务区交换机上分别旁路部署一台硬件负载均衡设备，实现所属区域内的服务器负载均衡，保证业务的连续性，增强网络数据吞吐量、处理能力和灵活性。服务器负载均衡又称本地流量负载均衡。1.3.5 边界防护-防火墙防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙能够实现内外网或不同信任域之间的隔离与访问控制。防火墙能够做到网络间的访问控制需求，过滤一些

10、不安全服务，能够针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。项目主要依托互联网和VPN专网建设，因此本项目涉及的网络边界为两个，即本项目新建内网与互联网边界，本项目新建内网与集团内网边界。根据业务逻辑，项目新建内网可划分为3个安全区域，分别为互联网业务区、内部业务区以及核心数据区。本项目部署的防护墙为下一代防火墙，下一代防火墙集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能与一身，全局配置视图和一体化策略管理。在各边界及区域部署下一代防火墙能够实现以下安全保护： 内网边界防护在内网汇聚网络部署下一代防火墙。对用户经

11、过防火墙策略基于用户信息进行访问控制。 互联网出口防护在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。启用入侵防御功能，提供应用层威胁实时防护。 VPN远程互联经过下一代防火墙的VPN接入，在互联网上构建一条可信、可控、可管的安全传输隧道。1.3.6 监控检测体系建设-入侵检测随着网络应用范围的不断扩大，来自内部和外部的恶意攻击、非法访问等安全威胁也与日俱增，对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全是保证业务安全开展的前提。基于网络的开放性与自由性，网上有各种各样的人，她们的意图也是形形色色的。利用防火墙技术，经过严谨的配置，一般能够为不同

12、安全域之间提供安全的网络保护，降低网络安全风险。可是，仅仅使用防火墙，网络安全还远远不够，主要表现在以下几个方面： 入侵者可伪装成正常的访问请求经过防火墙，寻找内部系统可能存在的缺陷。 某些恶意程序(木马后门)和破坏者可能就在防火墙保护的系统内部。 由于性能的限制，防火墙一般不能提供实时的入侵检测能力。 保护措施单一。因此为了弥补防火墙的不足，建立立体防御体系，需要利用网络入侵检测系统在各个关键点实时监测网络的运行状态，监视并记录各网段上的所有操作，以便及时发现对网络中重要服务器和主机的非法操作和恶意攻击并做出及时响应。经过网络入侵检测系统用于分区实时检测和保护核心服务器和数据库，这样能够实时

13、监控网络传输情况，自动检测可疑行为，分析来自网络外部和内部的入侵信号，在网络受到危害前发出预警，以便及时作出预判应对，最大程度地为网络提供安全保障。网络入侵检测系统的部署与网络结构有密切的关系，把网络入侵检测引擎放在关键网段上，采用旁路监听方式，能够监测关键系统和应用的异常行为；选择某台服务器作为入侵检测系统的管理控制中心，对探测引擎进行策略下发、事件上报等管理。具体部署如下：入侵检测系统的探测引擎有管理端口和监听端口，将监听端口旁路接到网络出口的防火墙上，这样探测引擎就能够实时监控到被监听端口的数据流量了。将探测引擎的管理端口接在核心数据区的交换机的普通端口，使之能与管理控制台服务器进行正常

14、的通信。在互联网和集团内网出口防火墙上旁路部署入侵检测系统能够实现以下安全保护： 检测外部用户对内网客户端及浏览器的攻击行为； 检测外部用户对内网服务器与应用系统的攻击行为； 识别互联网的流量类型。1.4 服务器系统建设1.4.1 服务器主机分类及选型本项目涉及的服务器按照功能大类进行分类主要可分为数据库、应用服务器等。数据库服务器：数据库系统是整个系统的核心，对服务器的CPU主频、内存大小以及磁盘I/O等方面有着较高要求，数据库系统是应用系统的数据分析、数据挖掘的核心基础组件，其可靠性、可用性、性能将直接影响到应用系统的整体表现。本项目核心数据区建议部署基于物理主机的集群数据库系统，为应用系

15、统提供数据库服务。应用服务器：对于应用服务器，它的要求要比数据库服务器要低，它主要强调系统实时响应速度，对CPU、内存、I/O要求相对较低的，本项目部分应用服务器可由虚拟机承担，计算资源以及存储资源可实现按需分配。1.4.2 服务器虚拟化1.4.2.1 虚拟化概述虚拟化打破了物理硬件与操作系统及在其上运行的应用程序之间的硬性连接。操作系统和应用程序在虚拟机中实现虚拟化之后，便不再因位于单台物理计算机中而受到种种束缚。物理元素（如交换机和存储器）的虚拟等效于在可跨越整个企业的虚拟基础架构内运行。与物理机一样，虚拟机是运行操作系统和应用程序的软件计算机。管理程序用作虚拟机的运行平台，而且能够整合计

16、算资源。每个虚拟机包含自己的虚拟（基于软件的）硬件，包括虚拟CPU、内存、硬盘和网络接口卡。 虚拟化计算机x86计算机硬件被设计为只能运行单个操作系统和单个应用程序，这导致了大多数计算机未得到充分利用。即使安装了众多应用程序，大多数计算机仍无法得到充分利用。在最基本的层次上，经过虚拟化能够在单台物理计算机上运行多个虚拟机，且所有虚拟机可在多种环境下共享该物理计算机的资源。在同一物理计算机上，不同的虚拟机能够独立、并行运行不同的操作系统和多个应用程序。下图所示的就是一台物理主机在虚拟化前和虚拟后的差别： 虚拟化基础架构除了虚拟化单台物理计算机之外，还能够构建整个虚拟基础架构，其规模包括数千台互联

17、的物理计算机和存储设备。经过虚拟化，能够动态移动资源和处理能力，分配硬件资源。无需向每个应用程序永久分配服务器、存储器或网络带宽。 云计算虚拟基础架构是云计算的基础。云计算依赖于可扩展的弹性模型来提供IT服务，而该模型本身依赖于虚拟化才可正常工作。 服务器整合经过虚拟化进行服务器整合能够更充分地利用现有的服务器。另外，还能够限制需要管理、支持、存储和购买的物理资源。经过整合现有的工作负载并利用剩余的服务器以部署新的应用程序和解决方案，能够实现较高的整合率。 业务连续性经过虚拟化，IT能够缩短甚至消除计划和非计划的停机时间。例如，使用vSphere能够将虚拟机实时迁移到其它主机，并随时对物理服务

18、器执行维护，而无需用户介入或中断服务。经过使用High Availability和FaultTolerance等vSphere功能，能够缩短非计划停机时间。传统的灾难恢复计划需要手动执行复杂的步骤来分配恢复资源、执行裸机恢复、恢复数据并验证系统是否能够使用。VMware vSphere简化了此环境。硬件配置、固件、操作系统和应用程序变为存储在磁盘上一些文件中的数据。使用备份或复制软件保护这些文件便可确保整个系统受到保护。无需更改这些文件便可将它们恢复到任何物理计算机上，因为虚拟机独立于硬件。1.4.2.2 本项目虚拟化平台设计本项目中计划将现有PC服务器安装ESXi加入虚拟化平台，物理主机都经

19、过光纤HBA接入SAN，实现计算和存储资源的虚拟化。本项目中的大部分应用服务器可经过虚拟化技术来实现。1.4.3 应用服务器负载均衡为了保障系统的可持续业务运行，重要的、业务繁忙的应用服务器可经过部署在互联网业务区和内网业务区的硬件负载均衡设备进行部署，正常情况下实现本地流量负载均衡，在某一台应用服务器出现故障的情况下确保系统能够提供正常的应用服务。1.4.4 数据库服务器集群数据库平台选型，一方面要考虑空间基础数据的管理，因为安全生产综合监管平台的一部分基础数据是空间数据，因此选择的数据库软件平台要有较好的空间基础数据管理的能力；另外要考虑数据库软件平台的安全运行，需要数据库软件平台具有可靠

20、的系统恢复和数据恢复的能力，并能够提供及时有效的技术支持。当前市场上关系型数据产品主要有：Oracle、SQL Server、DB2等。当前较为成熟的数据库集群方式主要有：oracle rac、sql sever alwayson以及amoeba+mysql分布式数据库等。可根据实际业务需求选择适当的数据库集群。1.5 存储及备份系统建设1.5.1 存储容量及分层存储项目中的存储容量可根据业务类型或者数据读写要求进行分层规划，如cache级的可考虑SSD固态磁盘，数据库等可选择15000转的SAS磁盘，音视频等建议使用普通的大容量SATA磁盘。1.5.2 存储技术选择当前主流的存储技术有两种：

21、SAN（Storage Area Network）和NAS（Network Attached Storage）。它们分别适用于不同的应用环境。当前基于FC的SAN应用方案最多，成熟的产品也很多。FC-SAN主要由磁盘阵列、FC交换机和主机光纤接口卡等组成。FC-SAN存储系统主要具有如下技术特点： 采用可伸缩的FC Switch网络拓扑结构，经过高速光纤通道连接，提供SAN内部任意节点之间的多路可选择的数据交换，设备访问的网络拥塞处理也交由高速交换机处理，使得连接设备的增多几乎不影响各个设备的访问速度。 高性能：支持2、4、8和16 Gbps端口速度自适应。 支持热拔插，高可靠性、可用性、可维

22、护性。SAN存储适合于大数据量存储、需要实时访问数据的应用。本项目的数据量较大，且对数据安全稳定要求较高，因此，存储系统采用SAN存储结构。当前中高端的存储系统可将FC SAN、IP SAN以及NAS等功能融合为一体,可根据实际数据读写和传输要求按需选择。1.5.3 备份体系的选择数据已成为企业信息化的核心，企业应用依赖于数据来开展一切业务，因而企业应用一直冀望于备份技术能够为数据提供最大程度的保护。能够说，备份系统是企业信息化系统的保障，是企业应用数据安全的关键。业界备份技术发展历程经过了磁带到磁盘的转变，在磁盘备份技术的基础上又发展出虚拟磁带库(VTL)技术。VTL虚拟磁带库是把磁盘虚拟成

23、磁带库， VTL的具备以下优势： 无缝融入用户当前环境，无须更新备份软件或改变备份策略，保护用户投资； 加快了读写的速度，缩短了备份窗口，轻松应对备份窗； 能在不修改备份软件的前提下，利用磁盘进行备份； 多种RAID级别的磁盘阵列冗余，提供稳固可靠的数据保护； 备份数据可策略性地导出到物理磁带上离线存储； 支持备份数据的远程复制；本项目存在诸多关键业务数据，建议采用VTL的方式来提高数据的安全性。1.5.4 存储备份系统方案概述整个存储备份系统由光纤交换网络、磁盘阵列、数据备份系统等部分组成。光纤交换网络是存储备份系统的网络基础，其关键设备是光纤交换机。方案建议配置两台光纤交换机组建冗余的SA

24、N核心交换网络。磁盘阵列是存储备份系统的核心。方案配置一套双控制器FC主机通道（磁盘通道为SAS）的磁盘阵列，为接入SAN的服务器提供安全、高速的存储空间。备份系统采用软件备份方案，实现对客户端系统、文件以及数据库的策略备份。为了保证SAN存储的管理、备份策略的制定以及调整，系统配置一台备份管理服务器进行数据备份。备份由备份服务器和虚拟带库组成，备份服务器和虚拟带库同时经过光纤通道卡（HBA）与光纤交换机相连，以便实现业务数据的LAN-free或Server-free备份。本方案主要体现以下优势： 可靠性在结构上充分考虑了可靠性，首先在核心交换层上配置2台高可靠的光纤交换机作为双核心部署，构成双星型结构；光纤交换机、磁盘存储设备都采用冗余设计。 高性能支持2、4、8和16 Gbps端口速度自适应。 安全性交换机采用Zoning方式，保证特定的主机和应用只能访问特定的存储空间，防止数据被不属于可访范围的主机访问。 扩展性方案采用光纤交换机，能够扩展端口，并能经过级联形成Fabric网络。磁盘阵列系统在容量和光纤通道端口等方面具有良好的可扩展性。虚拟带库在接口和磁盘等方面同样具有较好的可扩展性。