数据中心解决方案.pdf-道客多多

资源描述

1、大连易尚阳光科技有限公司数据中心解决方案前言数据中心（ Data Center， DC）是数据大集中而形成的集成 IT应用环境，是各种IT应用业务的提供中心，是数据计算、网络传输、存储的中心。数据中心实现了 IT基础设施、业务应用、数据的统一、安全策略的统一部署与运维管理。数据中心是当前运营商和各行业的 IT 建设重点。运营商、大型企业、金融证券、政府、能源、电力、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设，通过数据中心的建设，实现对 IT 信息系统的整合和集中管理，提升内部的运营和管理效率以及对外的服务水平，同时降低 IT 建设的 TCO。纵览数据中心的发展

2、史，数据中心的建设主要分为四个层面。数据中心基础网络整合：根据业务需求，基于开放标准的 IP协议，完成对企业现有异构业务系统、网络资源和 IT资源的整合，解决如何建设数据中心的问题。数据中心基础网络的设计以功能分区、网络分层和服务器分级为原则和特点。通过多种高可用技术和良好网络设计，实现数据中心可靠运行，保证业务的永续性；数据中心应用智能：基于 TCP/IP的开放架构，保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级，满足用户的多变需求，保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。数据中心虚拟化：传统的应用孤岛式的数据中心模

3、型扩展性差，核心资源的分配与业务应用发展出现不匹配，使得资源利用不均匀，导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟化通过构建共享的资源池，实现对网络资源、计算计算和存储资源的几种大连易尚阳光科技有限公司管理、规划和控制，简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。数据中心资源智能：通过智能化管理平台实现对资源的智能化管理，资源智能分配调度，构建高度智能、自动化数据中心。 1 数据中心基础网络整合 1.1 数据中心基础网络设计随着业务的快速发展，企业（泛指运营商、企业和行业用户）的业务应用和数据

4、正在从分散部署走向大集中，作为业务承载体的 IT设施的部署模型随之发生翻天覆地的变化，互联互通已经不能满足流程整合后的业务持续发展的需求。网络是连接所有数据中心 IT组件的唯一通用实体，构建坚实的网络基础设施将为数据中心业务永续、管理与运维提供保障。通常来讲，用户的业务可分为多个子系统，彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求，根据业务相关性和流程需要，需要采用模块化设计，实现低耦合、高内聚，保证系统和数据的安全性、可靠性、灵活扩展性、易于管理。数据中心基础网络设计原则为分区、分层和分级设计。一、数据中心分区设计原则分区，即把用户的整个 IT系统按照关联性、管理等

5、方面的需求划分为多个业务板块系统，而每个系统有自己单独的核心交换，服务器，安全边界设备等，需要逐级访问控制，良好的逻辑分区设计与安全域划分成为数据中心网络的必备基础。根据企业自身特点，依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等，可以把数据中心的服务器与业务系统分成内网区（ Intranet）、外联区（ Extranet）和互联网区（ Internet）等，并在此基础上对业务流程进行深入细化。 Intranet区企业内部访问的数据中心区域，通常称为内网区，对外部网络不可见。大连易尚阳光科技有限公司 Extranet区企业提供给合作伙伴访问的数据中心区域，通常称为外联区；

6、通过 VPN接入实现对服务器群的访问和不同企业的隔离。 Internet区企业提供给 internet用户访问的数据中心区域，也常称为 DMZ区，外部用户通过公网访问，一般就是放在企业门户网站的服务器群。二、数据中心分层设计原则分层的主要是根据内外部分流原则，把数据中心网络分成标准的核心层、汇聚层和接入层三层结构。服务器与业务系统之间的流量大部分在单个功能分区内部，不需要经过核心；分区之间的流量才经过核心，而且在每个分区的汇聚层交换机上做互访控制策略会更容易、对核心的压力会更好、故障影响范围更小、故障恢复更快。核心层核心层提供多个数据中心汇聚模块互联，并连接园区网核心；要求其具有高交

7、换能力和突发流量适应能力；大型数据中心核心要求多汇聚模块扩展能力，中小型数据中心共用园区核心。汇聚层为服务器群（ server farm）对外提供高带宽出口；要求提供大密度 GE/10GE端口实现接入层互联；具有较多槽位数提供增值业务模块部署。接入层支持高密度接入；接入总带宽和上行带宽存在收敛比、线速两种模式；基于机架考虑， 1RU更具灵活部署能力；支持堆叠，更具扩展能力；上行双链路冗余能力。业界主流做法是在汇聚层部署各类安全、应用优化业务，如在交换机上集成防火墙、负载均衡、应用加速板卡。大连易尚阳光科技有限公司三、服务器接入分级设计原则目前的应用访问架构已经逐步由传统的

8、客户机 /服务器（简称 C/S）架构向浏览器/服务器（简称 B/S）的变迁， B/S的应用访问架构要求采用三级的服务器架构，从整体来看包括三个层次： Web层负责应用界面的提供，接受客户端请求并返回最终结果，是业务系统和数据的对外界面。如 IIS、 Apache服务器等等。 Application层负责数据的计算、业务流程整合，如常见的 WebLogic、 J2EE等中间件技术。 Database层负责数据的存储，供业务系统进行读写和随机调用。如 MS SQL Server、 Oracle 9i、IBM DB2等。三级之间通过交换网络的互连，层层的安全保护，形成结构清晰的易于部署的服

9、务器接入架构。三级之间的互连又分成纵向和扁平两种结构。纵向结构清晰、管理简单，扁平结构节省投资。四、数据中心基础网络设计原则安全性容易明确不同网络区域之间的安全关系，可以单独对每个区域进行安全实施，不会对其它区域造成影响。可扩展性可根据不同区域和层次的功能按需建设，业务部署灵活，可以非常方便的增加新 Server Farm区，而不改变原有的网络结构。提高可用性可以最大限度的隔离故障域，简化数据路径，加快故障收敛时间。易管理，网络结构清晰，日常的运维变得更加简单，问题定位容易。 1.2 数据中心高可用解决方案大连易尚阳光科技有限公司随着市场竞争的日益加剧，客户对信息系统的

10、依赖性和要求越来越高，保证数据中心的高可用性，提供 7 24小时网络服务成为建网的首要目标，也是数据中心建设关注的第一要素。导致网络不可用，即网络故障的原因主要有两类： 1. 不可控因素，如自然灾害、战争、大停电、人为破坏等通过建设生产中心、本地备份中心、异地容灾中心，即两地三中心模式，通过良好的整体规划设计，保证不可控因素影响下数据中心的高可用。 2. 可控因素，如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。在选择产品设计上应考虑诸多因素，包括物理设备、链路层、 IP层、传输层和应用层，全方位的提高网络可用性。硬件设备冗余，如设备双主控、单板热插拔、冗余电源、冗余风扇。物

11、理链路冗余，如以太网链路聚合等。环网技术，如： RPR、 RRPP等技术。二层路径冗余，如： MSTP、 SmartLink。三层路径冗余，如： VRRP、 ECMP、动态路由快速收敛。快速故障检测技术，如： BFD等。不间断转发技术，如 GR等。一、服务器接入高可用设计也称服务器多网卡接入。为了实现接入高可用，服务器通常采用多链路上行，即服务器的两块甚至多网卡接入，服务器中的网络驱动程序将两块或者多块网卡捆绑成一个虚拟的网卡，如果一个网卡失效，另一个网卡会接管它的 MAC地址，两块网卡使用一个 IP地址，而且必须位于同一广播域，即同一子网下。服务器和接入交换机之间的连接方式有几

12、种方式：网络可用性从左至右依次升高。推荐采用第四种接入方式。第四种连接方式服务器采用交换机容错模式分别接入到两台机柜式交换机上，并且将 VLAN Trunk到两台设备上，实现服务器的高可靠接入。二、接入到汇聚高可用设计接入到汇聚层共有四种连接方式，分别为倒 U型接法、 U型接法、三角型接法和大连易尚阳光科技有限公司矩形接法，这里所谓不同类型的接法是以二层链路作为评判依据，比如说矩形接法，从接入到接入，接入到汇聚、汇聚到汇聚均为二层链路连接，因此形成了矩形的二层链路接法。推荐三角型接法：链路冗余，路径冗余，故障收敛时间最短。 VLAN 可以跨汇聚层交换机，服务器部署灵活。三、汇聚

13、高可用性设计 1）汇聚交换设备之间的 VRRP； 2）安全、应用优化设备之间的 VRRP：可以内置或者旁挂到汇聚交换机上 (推荐旁挂，而不是串连到网络中，消除性能瓶颈 )。利用 HRP协议实现在 Master和 Backup防火墙设备之间备份关键配置命令和会话表状态信息的备份。 HRP协议承载在 VGMP报文上。通过指定的负载均衡算法，对指向服务器的流量做负载均衡，保证服务器群能尽最大努力向外提供服务，提升服务器的可用性，提升服务器群的处理性能。 2 数据中心应用智能 2.1 应用智能数据中心模型 Web 2.0时代的最大特点是每个人可成为数据的提供者。在今后的几年内， WEB应用的普及必将带

14、来另外一个新的标准化，那就是基于 WEB技术的应用标准化，如果用 OSI的模型来描述的话，则是会话层和表示层的标准化。一旦标准化，即可网络化意味着这些标准化的应用处理功能将集成到网络设备中，新的业务呼唤新的应用智能网络。企业业务和数据从分散部署走向大集中，数据中心的数据量急剧膨胀，数据中心的重要性受到空前的重视，应用优化、网络安全、应用安全设备大规模部署，融合了应用安全、应用优化能力的应用智能数据中心越来越受到用户的欢迎。顺应潮流的发展，多业务集成交换机成为数据中心建设的必备组件。 2.2 应用智能之安全大连易尚阳光科技有限公司数据中心承载着用户的核心业务和机密数据，同时为内部、外部

15、、合作伙伴等客户提供业务交互和数据交换，因此数据中心的安全必须与业务系统实现融合，并且能够平滑的部署在网络中。数据中心的安全建设中的主要思想之一就是层次化的分级安全，把 IT的安全分成多个等级，划分不同的安全域，这与数据中心对安全的内在要求是相辅相成的。在深入分析 IT安全形势的基础上，基于状态演进的安全模型，把 IT的安全分成：单机安全：单机安全强调权限管理、病毒防护、数据备份局部安全：局部安全强调远程接入、入侵检测、安全融合、安全协作深度安全：深度安全强调容灾备份、深度抵御、安全审计、流量分析统一安全：统一安全强调风险管理、企业内控、统一规划、统一管理随着安全状态的演进，安全向

16、着应用智能的安全方向发展。在任何情况下，信息只存在于三种状态之一：计算：计算是信息被创建、修改、删除、查询以及深度处理的过程。通讯：通讯是信息在不同的环境之间以及环境内部传递的过程。存储：信息被以某种形式临时或者永久性保存的过程。安全的目标就是在保证数据在这三种状态下的安全。信息的安全状态决定安全的策略，对于数据中心来讲，信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。安全分区安全策略的基础是基于业务的逻辑分区和安全域划分，数据中心业务安全分区的优势：增加新功能区更容易不同区域可实施不同的安全策略每个分区

17、按照需求可独立的扩展发生故障易定位易恢复等优点。因此，按照分区的思想，数据中心按照业务类型分为不同的逻辑区域，每个分区大连易尚阳光科技有限公司制定不同的安全策略和信任模型，划分为不同安全级别的安全域。从实际部署上看，又分成：边界访问控制深度智能防御智能安全管理 1）边界访问控制边界控制对数据中心是最基本的要求，控制各类用户对数据中心的访问。随着安全状态的演进，安全向着应用智能的安全方向发展。 2）深度智能防御针对数据中心的各类 DDoS攻击、木马、黑客入侵层出不穷，传统的 IDS产品只能对部分事件进行检测，无法做到实时分析和防御，因此应选用可进行深度分析，能精确、实时地识

18、别并阻断或限制黑客、蠕虫、病毒、木马、 DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、 P2P、 IM、网游等网络攻击或网络滥用的 IDS产品，从而可为客户网络提供三大保护功能：保护网络应用、保护网络基础设施、保护网络性能。 3）智能安全管理数据中心除了大量的网络设备在运行外，更多是各类服务器、操作系统之间的业务交互，海量的告警、监控、 SNMP、 WMI等消息不断的在网络中传播，必须要要对这些安全事件、网络事件、系统事件、应用事件进行统一的收集和管理，并通智能化的分析把原始数据转换、筛选为智能安全的有效信息。 2.3 应用智能之优化随着 Internet和用户业务的不断发展， W

19、eb应用已经成为服务器主要的数据处理任务。 HTTP协议用于在服务器和客户端之间传输基于 Web的数据。 TCP协议则为 HTTP提供有保障的连接和纠错功能。 TCP虽然是非常理想的传输机制，但它也存在缺点，在传输 Web数据时， TCP协议消耗了大量的资源，导致服务器性能不佳。数据中心的性能瓶颈日趋凸现，为了解决诸如此类的性能问题，出现了流量管理产品，比如能大连易尚阳光科技有限公司够深度识别和管理的 P2P流量的路由器，产品工作在网络层解决数据传输中的应用优化问题；负载均衡设备，产品的目标是解决服务器访问的瓶颈问题。 2.4 应用智能之负载均衡作为业务网络的心脏，数据中心面临着众多的

20、挑战。扩展性、灵活性、高性能、可靠性和安全性，无一不是对数据中心的要求。尤其重要的一点是：在访问请求急剧增长的时候，服务器仍要保证快速、稳定的传送应用到客户端。如果不在数据中心配置负载均衡，将会导致服务器负载不均，部分负载很重的机器仍然不断的处理新来的业务请求，出现性能下降、响应时间变慢，甚至出现宕机。而其它的服务器可能长期处于轻载或空闲状态，导致数据中心整体性能不高、资源利用率不高、整体投资得不到保证。配置负载均衡后，将解决服务器任务调度和资源占用不均衡的状态，提高性能的同时提高业务系统的整体鲁棒性。 3 数据中心虚拟化随着业务的持续发展、系统的更新升级、设备的不断增多、能耗的大幅飚

21、升，数据中心面临着资源分配与业务发展无法完美匹配的难题： 1、业务系统日益增多：需要更多的网络设备、服务器，运行的业务系统不断的发生变化，资源和设备分配之间的矛盾日趋激烈； 2、设备多，部署繁杂：在数据大集中的趋势下，数据中心机房内的 IT基础设施规模非常庞大，而且还将持续不断的增加、部署难度大幅增加； 3、投资持续增加： IT基础设施规模的成倍增加，在数据中心投入的硬件成本、软件成本、人力成本等水涨船高； 4、运维成本和能耗高：设备增多，能耗和运维成本自然随之增加，不符合绿色数据中心的发展趋势，能耗已经成为数据中心运维的沉重经济负担；所以，为了降低 TCO，需要对数据中心进行整合。这也带来

22、了一系列难题： 1、安全性：多种业务集成在一套设备上，安全性需要保证；大连易尚阳光科技有限公司 2、资源合理分配：不同的业务对数据中心资源也有不同的需求，要保证各个业务合理的使用资源。虚拟化能够解决这些难题，虚拟化用多个物理实体创建一个逻辑实体，或者用一个物理实体创建多个逻辑实体。实体可以是计算、存储、网络或应用资源。虚拟化实质：隔离。虚拟化技术将不同的业务隔离开来，彼此不能互访，从而保证业务的安全需求；将不同的业务的资源隔离开来，从而保证业务对于数据中心资源的需求。虚拟化解决方案可包括三部分：网络虚拟化计算虚拟化存储虚拟化数据中心网络虚拟化和园区虚拟化结合，将数据中心的

23、访问与网络接入的终端用户认证、安全检查和动态授权结合，确保了数据中心的安全与灵活访问。数据中心的核心交换机兼做园区虚拟化 VPN的 PE，汇聚交换机做相应的 MCE，结果把园区虚拟化终结在数据中心上。在数据中心的接入交换机上配置 VLAN实现业务的逻辑隔离，并且让每个 VLAN和汇聚交换机 MCE的相应路由表形成对应关系。这样数据中心的虚拟化通过数据中心的接入、汇聚、核心设备贯穿到园区虚拟化中，形成网络端到端的虚拟化。数据中心防火墙支持虚拟化功能，可以集成或者旁挂在数据中心汇聚交换机上，配合网络虚拟化完成数据中心资源的虚拟化。数据中心网络虚拟化特色：数据中心网络虚拟化和客户端虚拟化（ EAD）、园区网虚拟化形成网络端到端的虚拟化访问路径。 4 数据中心解决方案总结数据中心解决方案总结：在数据中心的建设中无比要遵循高安全、高可靠、高性能、多业务、可扩展、异构融合、智能管理的原则实施。作为核心业务的承载体，数据中心的建设是一个系统工程，从分析、设计、建设、运维的各个声明周期都需要从需求分析入手，紧密结合业务特点，以优化整合业务流程、提高运营效率和竞争力为目标。

展开阅读全文