《试谈中物联电子平台数据中心建设》由会员分享,可在线阅读,更多相关《试谈中物联电子平台数据中心建设(21页珍藏版)》请在金锄头文库上搜索。
1、 中物联电子平台数据中心(IDC)建设日期:2010/04/25编写: 王以弘 信息中心中物联投资集团综述基于一体化工程的中物联电子平台IDC建设主要在如下几个方面(此方案是基于自建式IDC数据中心):1.网络建设IDC是依靠高性能的网络为客户和自身提供网络服务的,这个高性能的网络包括其- AN、WAN和与Internet接入等方面。IDC的网络建设主要有:- IDC的WAN的建设: 即IDC的各分支机构之间相互连接的广域网的建设等。- IDC的用户接入系统建设: 保证集团部各中心、合作伙伴和客户以安全、可靠的方式连接到IDC的数据中心,- IDC与Internet互联的建设:- IDC的网络
2、管理建设:有效管理,保证IDC庞大复杂的网络不间断对外服务2.服务器建设服务器建设可分为多个方面,总体上分为基础服务系统服务器和应用服务系统服务器,主要有:- 基础系统服务器:这类服务器是保障电子平台IDC提供各种服务的前提,这类服务器有DNS服务器、网络管理服务器、防火墙服务器、各类安全服务器、IDC系统性能监控服务器等等。- 数据库服务器:电子平台各类业务系统的信息源主要依赖于数据库,数据库是提供各类应用服务的基础,数据库服务器必须能支持大容量访问、多种数据库等特性。- 数据备份服务器:保障数据安全措施之一,保证集团和客户的数据安全可靠。由于电子平台业务的复杂性,IDC的服务器一定会是种类
3、繁多、有多种数据库,所以对数据备份的要支持多机型、多种数据格式、跨平台等等,而且容量要大。- 应用服务器:是电子平台提供相关应用服务的服务器。由于电子平台的业务会不断的扩展,所以应用服务器应具有很好的扩展性,以与支持各类应用软件的数量要多。- 服务器的负载均衡:提供高性能、高可靠性服务的重要方法之一,服务器的负载均衡可由硬件设备(如网络交换设备)实现,部分小规模的应用,可以考虑使用软件的方法。3.存储系统建设存储系统是IDC的重点建设容之一,电子平台的IDC存储系统注定是相当庞大的,数据的容量以TB级计算,数据的安全、可靠是存储系统的基本要求,对存储系统的效率也有很高的要求并且应具有很好的扩展
4、性,以满足电子平台业务发展的需求。4.应用系统的建设应用软件系统的建设是建立在前面网络、服务器和存储系统建设的基础上,集中着整个电子平台的对、对外业务和服务。5.IDC自身服务系统建设为了能够提供优质和高效的服务,电子平台IDC必须在其自身服务系统的建设上有大量的投入。IDC自身服务系统主要有:- 网络与服务器管理系统:电子平台的IDC有庞大的网络和服务器系统,要管理好这些系统,必须有一个功能强大的网络、服务器和应用管理系统,此能保证IDC对外的服务质量。- IDC的部管理系统:保证IDC部各部门能够统一协调工作,完成高质量的服务。- 安全,报警系统等6.机房场地建设机房场地的建设是IDC前期
5、建设投入最大的部分。由于电子平台将会把重要的数据和应用都存放在IDC的机房中,所以对IDC机房场地环境的要非常高的。IDC的机房场地建设主要在如下几个方面:- 机房装修:机房装修主要考虑吊顶、隔断墙、门窗、墙壁和活动地板等。- 供电系统:供电系统是IDC的场地建设重点之一,由于IDC的大量设备需要极大的电力功率,所以供电系统的可靠性建设、扩展性是极其重要的。供电系统建设主要有:供电功率、UPS建设(n+1)、配电柜、电线、插座、照明系统、接地系统、防雷和自发电系统等。 - 空调系统:机房的温度、通风方式和机房空气环境等。- 安全系统:门禁系统、消防系统和监控系统。- 布线系统:机房应有完整的综
6、合布线系统,布线系统包括数据布线、语音布线、终端布线。- 通信系统:包括数据线带宽、语音线路数目等。1. IDC网络建设1.1IDC网络功能结构电子平台IDC中心网络结构如下图所示:其中电子平台IDC的 Internet接入部分网络结构预计如下图:方案描述:LAN采用千兆以太网络结构。骨干网络:两家二级ISP做专线接入,根据业务规模和访问量申请若干独享带宽资源网络接入层:由多层交换机构成(比如CISCO6509),实现双机容错工作,保证数据的高速、无阻塞的交换。满足Office办公和数据中心部所有业务的7*24小时不间断运营。办公网接入层:由一组Cat3750交换机组成,保证公司所有员工的高效
7、办公。策略分布层:可以由一组系列容交换机组成,负责完成服务器负载均衡和策略分布任务。DMZ区:根据实际应用将DMZ区划分若干个Vlan应用服务层: 1.2网络安全网络的安全主要通过防火墙和入侵检测系统来体现,通过部署防火墙系统,可以将网络划分成几个安全等级不同的部分,对于要求安全等级高的部分,还可以通过部署多级防火墙来提供安全保护。入侵检测系统则可以对恶意的入侵行为进行探测,进行记录。详细容见2.2 2.2安全建设1.3网络的扩展性暂缺2.IDC基础系统建设电子平台的IDC在前期建设中,首要任务之一是建设其基础服务系统,IDC的基础系统主要有DNS系统、目录服务系统、数据备份系统、安全系统等。
8、2.1DNS建设DNS是提供域名查询或域名登录服务,其与Internet中的其它域名服务器形成全球域名服务体系。DNS服务器采用两台或多台的方式来运行,其中一台主服务器(Primary),其它为次服务器(Second),当主服务器不能工作时,有任何一台次服务器来接管其工作,这样保证了DNS系统运行的可靠性,主次服务器之间采用自动信息更新方式。电子平台IDC的DNS系统除了要为自身业务服务之外,还要为各中心和客户提供相应的域名定义、甚至为用户开设虚拟域名服务等。所以在IDC的DNS服务器上可能要定义和管理诸多的域名,每天接受的查询量也是相当庞大的。为了保证IDC的DNS域名的可靠性和安全性,建议
9、采用Split DNS技术来设计IDC的DNS系统,即把IDC的DNS系统划分为部和外部两部分,其中外部DNS系统位于公共服务区,负责IDC正常对外解析工作,部DNS系统主要有两项工作,一是负责解析IDC部网络的主机,如目录服务器、服务器等,另一工作是负责当部要查询Internet上域名时,其把查询任务转发到外部DNS服务器上,然后由外部DNS服务器完成查询任务,返回结果。外DNS服务器之间交换DNS查询信息,从而保证了系统的安全性。如下图说明了DNS解析流程,2.2安全性建设系统安全架构的设计将包括两个方面:防止电子平台IDC网络外部用户对IDC网络系统可能的攻击,以与防止IDC网络部各子系
10、统之间可能的攻击。这两个方面所采用的技术和思路是一致的。系统安全架构将从三个层次来考虑:网络层、主机/服务器系统与应用层。2.2.1 网络层安全网络层的安全主要是防对于整个网络的非法访问,采用防火墙来实现。通过配置了多级防火墙,以隔离IDC网络以与IDC网络中各个组成部分相互之间的非法访问。 防火墙的功能主要包含以下几个方面:A:通过对IP包的检查,过滤对网络安全有潜在威胁的IP数据包。B:屏蔽对于网络不必要且有安全漏洞的服务,如Telnet、FTP等。C:控制从Internet上过来的IP数据的流向,如数据包其目的地址只能是某个区域的DNS、WWW等服务器。D:屏蔽对于某些Internet站
11、点的访问。E:完成系统部IP地址到Internet合法IP地址的转换,保证能够从系统部访问Internet,隐藏部网络和主机的结构。电子平台IDC不仅要建设整体的对外防火墙系统,同时也要考虑由于业务的发展,需要在不同的中心甚至不同的部门之间建立起防火墙系统,例如财务部门需要在其自身的应用前增设相应的防火墙系统来保护其应用的安全(需要根据实际需求进行建设)。2.2.2 主机/服务器系统的安全主要是针对不同服务器的不用应用。操作系统的安全性建设应当是整个电子平台业务系统安全性建设的基础。在操作系统级别采取不同的安全措施。主要包括用户的管理、超级用户的管理、文件系统安全管理、远程对系统的访问等。用户
12、管理:对用户的管理主要有用户的账号口令管理,设置用户账号的有效期,用户账号口令的存活期限等。如果需要可以规定用户只能在指定的时间才能登录系统,并对登录系统的用户进行审核(audit)。超级用户的管理:严格限制有普通用户变成超级用户(如使用su、rlogin等命令),如果需要可以使用如CA Unicenter TNG这样的软件来控制系统超级用户的权限。文件系统的安全管理:控制用户对系统特殊文件的访问权限,特别是删除、移动等权限,对使用NFS系统可以采用kerberos方式认证。远程对系统的访问:封闭系统的telnet、ftp、r-访问(rsh、rlogin、rcp)等功能;但可以对系统管理员开放
13、相应的telnet、ftp功能,以便利于对系统的管理和维护。 2.2.3应用层安全应用层将从三个方面来考虑:增强应用服务器系统的安全;采用身份认证机制,以保证应用的可靠性;采用数据加密技术和防病毒软件,以保证应用的安全性,最重要的是建立起一套完善的管理制度,专人专项管理。2.2.4. 网络和系统入侵监控网络和系统的入侵检测是在网络上增加一台扫描仪器和在主要服务器上增加相应的防入侵软件来实现。此类防入侵软件有两个主要功能,一个扫描网络和系统上的安全漏洞,以便在网络和系统建立初期,就解决好安全问题,此功能也属于安全保护围;另一个功能是在网络和系统运行时,监控数据流,与时发现黑客入侵,从而做到防止黑
14、客的入侵。在电子平台IDC系统中,在每个重要的服务取得网络的入口处安放一个探测器,对每个进出此段网络的数据流进行检查探测,当其发现某一个数据流不是正常的数据流时,探测器把此数据流截获住,并向位于管理区的管理服务器发送入侵信息和警告,然后由管理服务器在做相应的防御对策。同时在每个服务器上安装有类似的探测器,所以当黑客入侵服务器系统时,也是采取上述动作。2.3存储系统建设目标:建立起真正的企业存储平台,在统一的企业存储平台上建立集中式的处理中心,更有效的完成业务处理,并极大的提高系统的可管理性,降低系统的管理难度与管理开销,提高信息的可用性和共享性。在电子商务、互联网等领域,需要更有效的管理、保护
15、和共享信息,因此整个IT系统的高可用性是非常重要的。电子平台是以信息为核心的,而作为信息系统核心的数据部分的高可用性更是重中之重,应用服务器的宕机可以通过多台服务器冗余带来保护,但是如果服务器上的信息数据没有有效的保护或成为访问瓶颈,则可能成为致命的缺陷。电子平台诸多业务的数据分布在众多的平台和服务器之上,备份和管理的工作是很复杂的,多个服务器上分散的数据也很难共享也是巨大的资源浪费。为了能够提供更多的数据保护、数据管理服务,电子平台IDC建立时系统设计可以考虑集中存储管理。参考建议方案是NETAPP的FILER。对存储系统建设要求如下:高速,高容量,高稳定性,易于维护完成数据整合,建立全电子平台系统的信息基础设施,在统一的信息存储平台上高效的完成业务处理,将所有应用系统连入已采用的智能存贮系统平台,进行数据整合,整合后整个的数据信息将位于统一的企业存储平台之上。有效的系统管理,降低系统管理的难度和工作量,从单点实现对企业存储平台的统
