1、卓信集团IT基础平台建设计划目 录1.1 整体拓扑设计31.2 机房基础设施建设41.3 网络及网络安全系统建设81.3.1 网络带宽设计81.3.2 设计方案概述91.3.3 万兆以太网技术应用91.3.4 当地流量负载均衡实现101.3.5 边界防护-防火墙111.3.6 监控检测体系建设-入侵检测121.4 服务器系统建设141.4.1 服务器主机分类及选型141.4.2 服务器虚拟化151.4.2.1 虚拟化概述151.4.2.2 本项目虚拟化平台设计181.4.3 应用服务器负载均衡191.4.4 数据库服务器集群191.5 存放及备份系统建设201.5.1 存放容量及分层存放201
2、.5.2 存放技术选择201.5.3 备份体系选择211.5.4 存放备份系统方案概述231.1 整体拓扑设计1.2 机房基础设施建设具体需依据机房实际情况而制订建设方案,机房建设参考配置以下:名称技术参数或技术要求单位数量备注IDC机房建设地面机房地面应先做防水处理:在机房周围砖砌门槛预防室外水流入;空调室内机下、地板内砖砌防水围堰,预防空调水流入机房;铺设600*600mm加厚型全钢防静电地板,地板铺设高度为300mm,机房入口处铺塑胶地板。机房总面积待定。批1墙面墙体表面抹光找平,刷乳胶漆饰面;采取单面铝塑板贴面,接缝处采取玻璃胶封边。批1吊顶确定强电、弱电、照明、消防管线和通风等管槽吊
3、挂标高;吊杆采取通丝,固定件采取内胀螺栓;吊顶材料选择铝扣板。批1机房门全密封,门框采取足1.2mm厚不锈钢板(要求用304材质),门板采取足1.0mm厚不锈钢板(要求用304材质);整扇门要用防火等相关材料填充成实心门;配置磁力锁及IC读卡装置;门内空高、门内空宽、门框宽、门槛高等参数须经实际测量定制。套1窗户密封对现有机房内窗户,内测做密封防水处理,外侧加装防盗网。批1强电用电设备设计视在功率为30KVA;机房动力配电从所在建筑总配电室引接,配电设备采取落地式动力配电柜;需考虑UPS输入、输出设计,全部机柜内设备均接UPS输出;每个机柜配置独立供电线路;空调配置独立供电线路;机房区域设计安
4、装不锈钢格栅荧光灯,机房区设计照度不低于300lx;机房内设应急照明,设计照度大于10lx。批1UPS30KVA UPS主机,延时4小时;需考虑承重。套1防雷接地机房拟和所在建筑采取共用接地系统。在市电进线端、UPS输入、输出端安装B+C级防雷器。套1弱电系统设计3套机柜,其中1套网络机柜,2套服务器机柜;网络机柜至各服务器机柜两端均配置24端口六类非屏蔽模块化配线架;机柜顶部配置不锈钢网格式弱电桥架。批1空调系统单冷机房专用精密空调;上送风,下回风;12KW;汉字屏幕显示,含有多级密码保护,配置标准 RS485 监控接口;含有来电自开启功效;含有主备机切换功效,实现机组自动切换及轮值。套2新
5、风系统依据机房实际环境设计新风系统,应包含吊顶式新风机、百叶风口、管道风机、新风管道、送风管、风管保温、调整阀送风口等。批1消防系统采取柜式七氟丙烷气体灭火系统,灭火方法采取全淹没保护方法;需配置储气罐(含气体)、自动灭火控制器和相关感应设备;消防系统气体需量实施时依据机房实际空间容量计算;系统安装完成后需经过专业机构验收。套1机柜42U,宽度800mm,深度1000mm;黑色;SPCC优质冷扎钢板制作,框架3.0mm厚度,方孔条厚度2.0mm厚度,其它1.2mm厚度;机柜内配置4块挡板;配置2套12个以上C14接口PDU(垂直安装)套3KVM一体机1U高度;16路输入;17吋液晶;1440x
6、900分辨率,标准键盘,触控板鼠标;支持菜单、热键、按钮等切换方法;16套USB接口信号线。套11.3 网络及网络安全系统建设1.3.1 网络带宽设计伴随IP业务爆炸性增加,对网络带宽需求越来越大,因为IP业务量本身不确定性和不可预见性,所以在构建基于IP网络基础设施时,带宽容量成为网络建设和计划中一个必需考虑却又难以把握关键内容。承载多种网络应用带宽容量瓶颈不打开,网络应用发展空间就会捉襟见肘。本项目关键依靠互联网建设,依据以往项目经验,互联网和VPN网络配置100M以上出口带宽是必需,也是符合卓信集团业务发展需要。本项目标关键网络关键设备之间设计采取万兆以太网互联,这处理了网络关键性能瓶颈
7、。本项目标汇聚层和接入层流量关键来自各个区域服务器设备且数量规模不大(服务器直接连接关键交换机),千兆链路能够确保流量立即上传至关键层,基础不存在影响整个网络性能瓶颈。1.3.2 设计方案概述依据项目实际情况,整体设计将网络系统按边界划分为互联网、内部办公网和本项目新建内网。本项目新建内网和互联网经过防火墙逻辑隔离,本项目新建内网和内部办公网经过防火墙逻辑隔离;本项目新建内网按业务逻辑又划分为互联网业务区、内部业务区和关键数据区,各区域之间逻辑隔离;因为互联网业务区关键面向互联网用户提供服务,存在较高风险,但互联网业务区部分应用有着访问关键数据区需求,所以方案设计在这两个区域之间布署一台防火墙
8、,确保数据流向和访问许可,保障关键数据区网络和数据安全。1.3.3 万兆以太网技术应用万兆(10G)技术推出,提供了一个简单带宽升级路径,处理了带宽不停增加问题,使网络实现平滑过渡和多种网络之间“融合”。10G以太网提供业务高速运作确保了应用高速发展。选择10G是大势所趋,它不仅在技术上处理带宽瓶颈,更关键是它表现了宽带技术发展趋势同时,能够有效地承载网络未来应用。当千兆已无法满足当下不停增加业务数据传输需求,服务器虚拟化和融合成为了现在数据中心发展关键趋势。万兆以太网能克服千兆容量限制,同时可支持未来数据中心带宽增加并简化布线成本优势就凸现出来。本项目标关键网络关键设备之间设计采取万兆以太网
9、互联,处理网络关键性能瓶颈。1.3.4 当地流量负载均衡实现方案设计在互联网业务区交换机和内部业务区交换机上分别旁路布署一台硬件负载均衡设备,实现所属区域内服务器负载均衡,确保业务连续性,增强网络数据吞吐量、处理能力和灵活性。服务器负载均衡又称当地流量负载均衡。1.3.5 边界防护-防火墙防火墙是网络安全最基础、最经济、最有效手段之一。防火墙能够实现内外网或不一样信任域之间隔离和访问控制。防火墙能够做到网络间访问控制需求,过滤部分不安全服务,能够针对协议、端口号、时间、邮件地址等条件实现安全访问控制。项目关键依靠互联网和VPN专网建设,所以本项目包含网络边界为两个,即本项目新建内网和互联网边界
10、,本项目新建内网和集团内网边界。依据业务逻辑,项目新建内网可划分为3个安全区域,分别为互联网业务区、内部业务区和关键数据区。本项目布署防护墙为下一代防火墙,下一代防火墙集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多个功效和一身,全局配置视图和一体化策略管理。在各边界及区域布署下一代防火墙能够实现以下安全保护: 内网边界防护在内网汇聚网络布署下一代防火墙。对用户经过防火墙策略基于用户信息进行访问控制。 互联网出口防护在互联网出口布署下一代防火墙,在出口进行访问控制,阻止一切非认证访问。启用入侵防御功效,提供给用层威胁实时防护。 VPN
11、远程互联经过下一代防火墙VPN接入,在互联网上构建一条可信、可控、可管安全传输隧道。1.3.6 监控检测体系建设-入侵检测伴随网络应用范围不停扩大,来自内部和外部恶意攻击、非法访问等安全威胁也和日俱增,对入侵攻击检测和防范、保障计算机系统、网络系统及整个信息基础设施安全是确保业务安全开展前提。基于网络开放性和自由性,网上有多种多样人,她们意图也是形形色色。利用防火墙技术,经过严谨配置,通常能够为不一样安全域之间提供安全网络保护,降低网络安全风险。不过,仅仅使用防火墙,网络安全还远远不够,关键表现在以下多个方面: 入侵者可伪装成正常访问请求经过防火墙,寻求内部系统可能存在缺点。 一些恶意程序(木
12、马后门)和破坏者可能就在防火墙保护系统内部。 因为性能限制,防火墙通常不能提供实时入侵检测能力。 保护方法单一。所以为了填补防火墙不足,建立立体防御体系,需要利用网络入侵检测系统在各个关键点实时监测网络运行状态,监视并统计各网段上全部操作,方便立即发觉对网络中关键服务器和主机非法操作和恶意攻击并做出立即响应。经过网络入侵检测系统用于分区实时检测和保护关键服务器和数据库,这么能够实时监控网络传输情况,自动检测可疑行为,分析来自网络外部和内部入侵信号,在网络受到危害前发出预警,方便立即作出预判应对,最大程度地为网络提供安全保障。网络入侵检测系统布署和网络结构有亲密关系,把网络入侵检测引擎放在关键网
13、段上,采取旁路监听方法,能够监测关键系统和应用异常行为;选择某台服务器作为入侵检测系统管理控制中心,对探测引擎进行策略下发、事件上报等管理。具体布署以下:入侵检测系统探测引擎有管理端口和监听端口,将监听端口旁路接到网络出口防火墙上,这么探测引擎就能够实时监控到被监听端口数据流量了。将探测引擎管理端口接在关键数据区交换机一般端口,使之能和管理控制台服务器进行正常通信。在互联网和集团内网出口防火墙上旁路布署入侵检测系统能够实现以下安全保护: 检测外部用户对内网用户端及浏览器攻击行为; 检测外部用户对内网服务器和应用系统攻击行为; 识别互联网流量类型。1.4 服务器系统建设1.4.1 服务器主机分类
14、及选型本项目包含服务器根据功效大类进行分类关键可分为数据库、应用服务器等。数据库服务器:数据库系统是整个系统关键,对服务器CPU主频、内存大小和磁盘I/O等方面有着较高要求,数据库系统是应用系统数据分析、数据挖掘关键基础组件,其可靠性、可用性、性能将直接影响到应用系统整体表现。本项目关键数据区提议布署基于物理主机集群数据库系统,为应用系统提供数据库服务。应用服务器:对于应用服务器,它要求要比数据库服务器要低,它关键强调系统实时响应速度,对CPU、内存、I/O要求相对较低,本项目部分应用服务器可由虚拟机负担,计算资源和存放资源可实现按需分配。1.4.2 服务器虚拟化1.4.2.1 虚拟化概述虚拟
15、化打破了物理硬件和操作系统及在其上运行应用程序之间硬性连接。操作系统和应用程序在虚拟机中实现虚拟化以后,便不再因在单台物理计算机中而受到种种束缚。物理元素(如交换机和存放器)虚拟等效于在可跨越整个企业虚拟基础架构内运行。和物理机一样,虚拟机是运行操作系统和应用程序软件计算机。管理程序用作虚拟机运行平台,而且能够整累计算资源。每个虚拟机包含自己虚拟(基于软件)硬件,包含虚拟CPU、内存、硬盘和网络接口卡。 虚拟化计算机x86计算机硬件被设计为只能运行单个操作系统和单个应用程序,这造成了大多数计算机未得到充足利用。即使安装了众多应用程序,大多数计算机仍无法得到充足利用。在最基础层次上,经过虚拟化能
16、够在单台物理计算机上运行多个虚拟机,且全部虚拟机可在多个环境下共享该物理计算机资源。在同一物理计算机上,不一样虚拟机能够独立、并行运行不一样操作系统和多个应用程序。下图所表示就是一台物理主机在虚拟化前和虚拟后差异: 虚拟化基础架构除了虚拟化单台物理计算机之外,还能够构建整个虚拟基础架构,其规模包含数千台互联物理计算机和存放设备。经过虚拟化,能够动态移动资源和处理能力,分配硬件资源。无需向每个应用程序永久分配服务器、存放器或网络带宽。 云计算虚拟基础架构是云计算基础。云计算依靠于可扩展弹性模型来提供IT服务,而该模型本身依靠于虚拟化才可正常工作。 服务器整合经过虚拟化进行服务器整合能够更充足地利
17、用现有服务器。另外,还能够限制需要管理、支持、存放和购置物理资源。经过整合现有工作负载并利用剩下服务器以布署新应用程序和处理方案,能够实现较高整合率。 业务连续性经过虚拟化,IT能够缩短甚至消除计划和非计划停机时间。比如,使用vSphere能够将虚拟机实时迁移到其它主机,并随时对物理服务器实施维护,而无需用户介入或中止服务。经过使用High Availability和FaultTolerance等vSphere功效,能够缩短非计划停机时间。传统灾难恢复计划需要手动实施复杂步骤来分配恢复资源、实施裸机恢复、恢复数据并验证系统是否能够使用。VMware vSphere简化了此环境。硬件配置、固件、
18、操作系统和应用程序变为存放在磁盘上部分文件中数据。使用备份或复制软件保护这些文件便可确保整个系统受到保护。无需更改这些文件便可将它们恢复到任何物理计算机上,因为虚拟机独立于硬件。1.4.2.2 本项目虚拟化平台设计本项目中计划将现有PC服务器安装ESXi加入虚拟化平台,物理主机全部经过光纤HBA接入SAN,实现计算和存放资源虚拟化。本项目中大部分应用服务器可经过虚拟化技术来实现。1.4.3 应用服务器负载均衡为了保障系统可连续业务运行,关键、业务繁忙应用服务器可经过布署在互联网业务区和内网业务区硬件负载均衡设备进行布署,正常情况下实现当地流量负载均衡,在某一台应用服务器出现故障情况下确保系统能
19、够提供正常应用服务。1.4.4 数据库服务器集群数据库平台选型,首先要考虑空间基础数据管理,因为安全生产综合监管平台一部分基础数据是空间数据,所以选择数据库软件平台要有很好空间基础数据管理能力;另外要考虑数据库软件平台安全运行,需要数据库软件平台含有可靠系统恢复和数据恢复能力,并能够提供立即有效技术支持。现在市场上关系型数据产品关键有:Oracle、SQL Server、DB2等。现在较为成熟数据库集群方法关键有:oracle rac、sql sever alwayson和amoeba+mysql分布式数据库等。可依据实际业务需求选择合适数据库集群。1.5 存放及备份系统建设1.5.1 存放容
20、量及分层存放项目中存放容量可依据业务类型或数据读写要求进行分层计划,如cache级可考虑SSD固态磁盘,数据库等可选择15000转SAS磁盘,音视频等提议使用一般大容量SATA磁盘。1.5.2 存放技术选择现在主流存放技术有两种:SAN(Storage Area Network)和NAS(Network Attached Storage)。它们分别适适用于不一样应用环境。现在基于FCSAN应用方案最多,成熟产品也很多。FC-SAN关键由磁盘阵列、FC交换机和主机光纤接口卡等组成。FC-SAN存放系统关键含有以下技术特点: 采取可伸缩FC Switch网络拓扑结构,经过高速光纤通道连接,提供SA
21、N内部任意节点之间多路可选择数据交换,设备访问网络拥塞处理也交由高速交换机处理,使得连接设备增多几乎不影响各个设备访问速度。 高性能:支持2、4、8和16 Gbps端口速度自适应。 支持热拔插,高可靠性、可用性、可维护性。SAN存放适合于大数据量存放、需要实时访问数据应用。本项目标数据量较大,且对数据安全稳定要求较高,所以,存放系统采取SAN存放结构。现在中高端存放系统可将FC SAN、IP SAN和NAS等功效融合为一体,可依据实际数据读写和传输要求按需选择。1.5.3 备份体系选择数据已成为企业信息化关键,企业应用依靠于数据来开展一切业务,所以企业应用一直冀望于备份技术能够为数据提供最大程
22、度保护。能够说,备份系统是企业信息化系统保障,是企业应用数据安全关键。业界备份技术发展历程经过了磁带到磁盘转变,在磁盘备份技术基础上又发展出虚拟磁带库(VTL)技术。VTL虚拟磁带库是把磁盘虚拟成磁带库, VTL含有以下优势: 无缝融入用户目前环境,无须更新备份软件或改变备份策略,保护用户投资; 加紧了读写速度,缩短了备份窗口,轻松应对备份窗; 能在不修改备份软件前提下,利用磁盘进行备份; 多个RAID等级磁盘阵列冗余,提供稳固可靠数据保护; 备份数据可策略性地导出到物理磁带上离线存放; 支持备份数据远程复制;本项目存在很多关键业务数据,提议采取VTL方法来提升数据安全性。1.5.4 存放备份
23、系统方案概述整个存放备份系统由光纤交换网络、磁盘阵列、数据备份系统等部分组成。光纤交换网络是存放备份系统网络基础,其关键设备是光纤交换机。方案提议配置两台光纤交换机组建冗余SAN关键交换网络。磁盘阵列是存放备份系统关键。方案配置一套双控制器FC主机通道(磁盘通道为SAS)磁盘阵列,为接入SAN服务器提供安全、高速存放空间。备份系统采取软件备份方案,实现对用户端系统、文件和数据库策略备份。为了确保SAN存放管理、备份策略制订和调整,系统配置一台备份管理服务器进行数据备份。备份由备份服务器和虚拟带库组成,备份服务器和虚拟带库同时经过光纤通道卡(HBA)和光纤交换机相连,方便实现业务数据LAN-free或Server-free备份。本方案关键表现以下优势: 可靠性在结构上充足考虑了可靠性,首先在关键交换层上配置2台高可靠光纤交换机作为双关键布署,组成双星型结构;光纤交换机、磁盘存放设备全部采取冗余设计。 高性能支持2、4、8和16 Gbps端口速度自适应。 安全性交换机采取Zoning方法,确保特定主机和应用只能访问特定存放空间,预防数据被不属于可访范围主机访问。 扩展性方案采取光纤交换机,能够扩展端口,并能经过级联形成Fabric网络。磁盘阵列系统在容量和光纤通道端口等方面含有良好可扩展性。虚拟带库在接口和磁盘等方面一样含有很好可扩展性。
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100