数据中心扩容及容灾中心建设规划方案Word文件下载.docx
- 文档编号:20455479
- 上传时间:2023-01-23
- 格式:DOCX
- 页数:38
- 大小:2.18MB
数据中心扩容及容灾中心建设规划方案Word文件下载.docx
《数据中心扩容及容灾中心建设规划方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《数据中心扩容及容灾中心建设规划方案Word文件下载.docx(38页珍藏版)》请在冰豆网上搜索。
新增加一台与一期相同的数据中心核心交换机,用于加强原有数据中心交换机的硬件可靠性;
一期项目方案中,将一台交换机分出两台虚拟交换来满足核心交换机之间的软负载及可靠性,现将两台虚拟交换机分布在两台物理设备当中,提供硬件级别的可靠性。
(新增数据中心核心交换机,思科Nexus7009一台)
部署方式上,根据上图所示,充分利用交换机虚拟化技术,可以按照数据中心应用类型的区分,将数据中心分两个区域,即数字化校园服务和云服务,从而可以更精细化的对两套网络环境进行控制。
◆数据中心防火墙
新增加一台与一期相同的数据中心防火墙,用于加强原有数据中心防火墙的可靠性;
一期项目方案中,通过虚拟防火墙的方式将单台防火墙虚拟化出两台虚拟防火墙部署在出口上,但这对于单台防火墙来说存在物理结构上的单点;
通过新采用相同配置的防火墙可以加强硬件的可靠性,同时可以通过虚拟防火墙的方式同样可以同时为数字化校园和云服务做安全防护工作。
(新增防火墙与IPS,思科ASA5585-S20P20X防火墙一台)
◆刀片服务器扩容
在一期建设中刀片服务器系统配置了4个刀箱总共配置24片半刀服务器,在本次扩容中,考虑采购4台半刀服务器、2台全刀服务器用于一卡通应用及数据库,并使用UCS统一管理平台中统一管理。
(新增4台B200M3两路刀片服务器和2台B420M3四路刀片服务器)
◆数据库防火墙
数据库作为数字化校园的数据核心,除了要确保数据高可靠的情况下还需要确保整个数据的安全性。
Oracle数据库防火墙基于网络的安全软件监控信息流,使Oracle和非Oracle数据库免于攻击。
它围绕数据库建立了一个外围防御圈,实时监控应用的各种活动,允许正常的应用活动,同时帮助防止SQL注入式攻击,以及对敏感信息的无授权访问。
防火墙主要在网络层次之间设置、用于加强访问控制的软硬件保护设备,而数据库防火墙是应用和数据库之间设置的、用于加强数据库访问控制的软硬件保护设施。
所以为了避免数据库遭受恶意攻击、访问后,不能追踪到足够的证据;
以及来自内部的威胁,特权用户修改配置、改变或偷窃数据,通过建立数据库防火墙使得数据库更加安全稳定的运行。
(新增一套OracleDBFW)
◆虚拟化安全
●需求分析
越来越多的应用使用虚拟化的方式部署,并且随着云服务平台的推动,会有更多的非网络中心直接管理的应用存在,我们无法对每个应用内容单独管控,一旦云服务平台中托管应用中毒,则直接对数据中心及内部的应用造成直接影响。
●建设方案
结合西南交通大学大私有云数据中心规划当中,从底层系统病毒至外部的防火墙,到主动式的入侵检测和防护,系统晚成型监控和日志管理等,对于虚拟化服务器的安全的高级保护内容如下:
Ø
深度包检查与过滤
入侵检测和阻止(IDS/IPS)
Web应用程序防护
应用程序控制
双向状态防火墙
DPI规则通过保护漏洞不受已知和未知攻击来提供入侵检测和阻止(IDS/IPS)防护。
此类防护也称为虚拟补丁,实现方式是每个规则定义预期的应用程序数据并根据其内容阻止恶意数据。
此外,DPI规则通过一组Web应用程序防护规则来保护Web应用程序中的漏洞(如跨站点脚本(XSS)和SQL注入)。
通过检测已知的应用程序流量(在企业环境中可能需要限制),DPI规则还可以用于向计算机提供应用程序控制。
持续的WEB安全管理系统规则更新会自动提供最新的全面防护,以抵御已知和未知攻击。
根据权威机构统计“34%的数据攻击都是和Web应用相关”,“75%的攻击都发生在应用层”传统的外围防护如:
防火墙等无法保护,识别和弥补这些Web应用漏洞需要花费时间和资源,WEB应用保护可以在漏洞被修补前防护针对这些漏洞的攻击行为,避免高昂的遗留程序重写或服务中断费用;
OA服务器主要对外访问的80端口也将是被攻击的其中一种方式,并且这种防护对于传统的硬件防火墙所无法识别。
完善的双向状态防火墙为所有网络通讯协议(包括TCP、UDP和ICMP)提供全面支持。
防火墙规则是完全可配置的,以每个网络接口为基础允许或拒绝网络通信,以及限制对允许的IP或MAC地址的通信。
(新增一套趋势DS虚拟化防护)
◆漏洞扫描系统
任何操作系统和应用都不可避免的存在bug,并且新安全漏洞不断的被发现,因此系统本身的脆弱性是不可能完全避免的。
来自Internet的恶意入侵者可以通过发起恶意扫描和远程溢出等攻击,渗透或绕过防火墙,进入数据中心网络,获取、篡改甚至破坏敏感的数据,乃至破坏整个网络的正常运行。
漏洞管理设备主要功能如下:
全方位系统脆弱性发现:
全面发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告。
从海量数据中快速定位风险:
提供仪表盘报告和分析方式,在大规模安全检查后,快速定位风险类型、区域、严重程度,根据资产重要性进行排序,可以从仪表盘报告直接定位到具体主机具体漏洞。
融入并促进安全管理流程:
安全管理不只是技术,更重要的是通过流程制度对安全脆弱性风险进行控制,产品结合安全管理制度,支持安全风险预警、检查、分级管理、修复、审计流程,并监督流程的执行。
灵活的部署方案:
支持单机单网络、单机多网络、分布式部署、扫描代理等多种接入方式,灵活适应各种网络拓扑环境,降低成本,便于扩展。
支持通过虚拟化镜像方式在虚拟化环境下直接部署,支持IPv6网络环境下的部署和漏洞扫描。
(新增绿盟管理设备一台)
◆安全审计系统
安全
审计
根据对高校网络系统的威胁与风险分析,高校的信息安全需求主要在以下方面:
对业务运维操作进行细粒度的审计监控;
数据库操作访问进行全面审计;
对邮件、论坛等外发信息行为进行有效的监控;
可对邮件、论坛等外发信息行为进行监控管理,防止高校敏感机密信息外泄、非法反动言论传播;
对上网行为进行全面监控,对违反安全策略的事件,实时告警、记录;
因此在高校网络中部署安全审计系统,可有效监控业务系统访问行为和敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求。
安全审计系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。
是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是安全审计系统的基本标准。
一个完善的安全审计系统(SAS)应该从四个方面评价:
细粒度的操作内容审计与精准的网络行为实时监控;
全面详细的审计信息,丰富可定制的报表系统;
支持分级部署、集中管理,满足不同规模网络的使用和管理需求;
自身的安全性高,不易遭受攻击。
本次方案当中通过旁挂的方式新增一台安全审计系统,主要对数据中心内的流量、行为和内容做审计,防止在维护人员、黑客等对系统进行非法的操作及操作日志进行审计工作,确保系统的安全。
(新增绿盟安全审计系统一台)
2.3弹性应用部署方案
在数字化校园中,以教务系统为例,在选课的时候对系统的压力非常大,通常会提前两天部署多台教务系统用于缓解系统的压力;
但长期部署多台教务系统对于一年爆发两次的频率来说会对系统造成过多的资源浪费。
虚拟化的部署方式会让资源上能够得到很好的控制,根据上述拓扑来看,影响负载压力的往往在于教务系统等,通过虚拟化的方式部署5台甚至更多的服务器,按照实际能够负载+1台的弹性负载为准,部署完成后通过应用负载均衡将5台教务系统进行负载,选择轮询的方式(权重只有当性能不均衡的情况下使用),能够实现5台教务系统之间的负载,足以满足选课时的要求。
在平时负载小的情况下使用双机的方式运行,一旦VMware判断负载过大时,将通过从集群中打开一台另一台教务系统,负载均衡会通过健康检查自动发现这台机器,并负载。
选课结束后,将关闭教务3-5的三台服务器,这时虚拟化平台会将CPU资源和内存资源释放,负载均衡通过健康检查发现教务3-5的服务器停止服务时,会自动的将负载轮询至教务1和教务2后,从而能够达到弹性的部署方式。
总结:
所有虚拟化主机和思科UCS内使用SANBOOT的部署方式的物理服务器均可以通过这种方案部署,前提需要有空余的可用计算资源。
3云计算服务建设规划
3.1什么是云计算服务
云计算服务,即云服务。
是指可以拿来作为服务提供使用的云计算产品。
包括云主机,云存储等产品等本次主要涉及云主机服务。
云计算服务是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。
用户通过网络以按需、易扩展的方式获得所需资源和服务。
从建设流程上来看,传统的仓筒式的架构逐步到软硬件的资源整合,包括数据库、门户、身份认证、存储资源等,再通过虚拟化的方式提供更高效的服务器利用率,最后在虚拟化平台内提供自动、高效灵活的部署方式,从而提供云计算服务。
通过私有云的建设与教育信息化的结合,本次云计算服务的建设中,主要以云主机为主,详细描述如下:
云主机是云计算在基础设施应用上的重要组成部分,位于云计算产业链金字塔底层,产品源自云计算平台。
该平台整合了互联网应用三大核心要素:
计算、存储、网络,面向用户提供公用化的互联网基础设施服务。
云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。
“云计算”将所有的计算资源集中起来,通过网络提供给用户。
这使得应用提供者无需为繁琐的细节而烦恼,能够更加专注于自己的业务,有利于创新和降低成本。
云主机是在一组集群主机上虚拟出多个类似独立主机的部分,集群中每个主机上都有云主机的一个镜像,从而大大提高了虚拟主机的安全稳定性,除非所有的集群内主机全部出现问题,云主机才会无法访问。
云主机服务是整合了计算、存储与网络资源的IT基础设施能力租用服务,能提供基于云计算模式的按需使用和按需付费能力的服务器租用服务。
客户可以通过web界面的自助服务平台,申请和部署所需的服务器环境。
3.2为什么建设云计算服务
西南交通大学一期建设中以满足虚拟化平台为目标,实现从传统的架构到虚拟化,并且通过二期建设的增补对私有云数据中心性能、可靠性和安全多方面强化,为云计算服务提供更高效、稳定和安全的底层环境。
为提高办公效率和管理的便捷性,建立云计算服务是必然的趋势,详细如下:
西南交通大学各业务部门及院系建设了大量的应用系统来支撑学校和各个院系日常的教学、科研、管理、协作交流等各种IT应用,这些应用部署于各个院系的相应机房中的服务器和存储和学校网络中心的机房中。
这种部署和运维体系带来以下一些严重的问题:
1、服务器和存储分散于各个院系和学校网络中心,对于运维和管理的难度是难以想象的;
无法统一进行运维和管理,对学校各个院系和学校网络中心的服务器和存储的利用情况、健康情况无法进行统一的了解和做更好的管理和控制。
2、由于各种原因,运行相应应用的服务器和存储的利用率极其低下特别对服务器来说一般的服务器的利用率仅仅在10%左右;
所带来的主要的问题就是服务器、存储资源的浪费从而就是金钱和人力资源的浪费间接地带来了机房占地面积的浪费;
电力资源的浪费(因为由于芯片技术、服务器技术、存储技术的限制,满负荷运行应用和低负荷运行应用的电力的损耗是相差不大的)。
3、服务器和存储分散于各个院系和学校网络中心,从而应用也是部署于各个院系和学校网络中心;
对各种应用进行统一的安全控制、备份和恢复控制、监控从而让各种应用可靠、稳定、高效地运行是一件不可能完成的任务/非常难以完成的任务。
4、各个院系的科研人员、教师、学生都会有自己相应的创新需求,而完成他们的创新需求需要开发相应的应用软件系统来进行支撑,例如某个院系的科研人员、教师、学生要开发一个类似微博、Wiki等这种WEB2.0应用来支撑他们的科研活动或者日常交流的协同工作平台或者开发一个数字图书馆(包括各种的图像、PDF、音频、视频等)来方便学校内部用户和学校外部用来来搜索他们所需要的科研资料、教学资料等;
然而要运行他们的应用软件系统如按照传统的方式必然会需要重新采购服务器、存储等IT设备和一些系统软件(例如J2EE应用服务器、数据库系统),这样就是带来几个严重的问题就是:
采购周期过长、采购受经费限制无法采购所需要的设备和系统软件、新一轮的服务器和存储资源浪费、采购过来的硬件资源和软件资源无法适应应用大量并发用户使用的需要等等。
所以为了大部分解决这些问题,学校将利用本次数据中心的建设机会,建设一个云计算服务管理平台,为学校各业务部门及院系集中提供云主机租用服务。
3.3云主机服务建设拓扑描述
在据中心建设和规划中,主要以硬件架构为基础,打造一个安全、靠可用、效率的一个数据中心;
通过一期建设和本次扩容的规划中,保证了底层的环境,为云计算服务提供了很好的平台,在云计算服务建设规划中,通过建立云主机来提高对计算资源的自动化、流程化管理等;
云存储部分为解决大数据时代的数据存放、相互分享等。
3.4云计算服务建设规划方案
在整个云计算服务平台中,云主机是通过虚拟机的方式运行在现有的虚拟化平台当中,云存储通过分布式的方式单独运行。
3.4.1云主机服务建设方案
本期云主机服务建设先考虑利用数据中心一期建设采购的4台服务器和存储设备等硬件资源,采购8个CPU许可的云计算服务管理平台软件,搭建一个小规模的云主机服务实验环境,本期优先满足业务部门的云主机租用服务,后续再进一步扩容软硬件资源后扩展到为院系甚至师生个体提供云主机租用服务。
本期建设的云计算平台需要具有以下几个重要的功能:
1.学校内各个部门不再具有相应的小机房即各种运用不再会运行在各个部门的硬件上,让这些应用集中运行于云主机服务管理平台上,即达到如下图所示的从传统计算模式(专用设备)到云计算模式的迁移和过渡。
从而达到以下的目标:
数据中心的建设必须实行统筹规划,打破项目之间的界限
应用程序与硬件解耦-硬件资源可以动态地在应用系统间调拨
采用开放的互连性好的硬件和软件产品
建立各种管理的规范:
操作系统版本、软件版本、升级管理、资源命名等
2.根据学校各部门及院系通过浏览器递交相应的WEB申请需求,然后相应的管理员通过浏览器在云计算平台中批准他们的申请请求并让云计算平台自动的分配出和增加他们所需要的硬件资源(例如CPU、内存、存储等资源)并且此硬件资源上安装好了他们所需要的一些系统软件(例如相应LINUX操作系统、WINDOWS操作系统、ApacheHTTPServer、MySQL数据库)给它们使用来运行他们所需要的应用和其它需求;
并且可以统一它们的使用情况和根据需要回收相应的硬件资源。
3.对云计算平台整体进行相应的备份和恢复、监控、安全防护、管理;
能让我们通过浏览器很容易就看到云计算平台中各个硬件资源的使用情况(例如CPU、内存、存储的利用率)、运行于云计算平台中的应用的运行情况(例如应用的对硬件资源的消耗情况)从而能让我们知道对哪个应用增加/减少相应的硬件资源以让我们的应用更加健康、可靠、稳定高效地运行;
并且当硬件资源或者操作系统出现相应的问题的时候能够发送相应的邮件/短信来通知我们等等。
从而让我们的运维压力下降。
3.5云计算服务系统监控
3.5.1需求分析
由于数据中心越来越庞大,所有的应用及设备都以双机的方式运行,人为监控方式的效率越来越低,并且云服务管理平台的推动使用降低了对系统的管理复杂度,申请服务器的工作都交由云服务管理平台来执行,但这面临一个问题,越来越多的系统进来后,管理员无法通过认为的方式收集和观察系统运行情况,更多的部门托管业务无法直接管理,无法检查数据中心内部的运行状态以及日志记录。
3.5.2建设方案
本次监控管理平台主要采用开源应用cacti和nagios,cacti主要用于网络的监控和动态拓扑图的管理(气象图),而nagios主要用于监控系统、数据库等服务。
从上述拓扑上可以看出,通过监控软件可以收集数据中心内网络、物理主机、虚拟机、数据库等。
网络:
网络方面主要是使用SNMP的协议收集核心交换机上每个端口以及互联设备端口的上行和下行带宽,实时监控链路的负载,并且可以通过气象图实时定期刷新观察每一条链路上负载的情况。
物理主机:
这方面主要监控所有支持SNMP的主机状态,监控CPU、内存等使用情况;
虚拟机:
主要是收集操作系统层的使用情况,相同于物理主机,对虚拟机内部的连通性、资源使用等进行监控和信息收集。
数据库:
数据库方面通过Negios收集数据库的运行信息,包括表空间、共享池、会话数及进程等。
4容灾中心建设规划
4.1容灾建设必要性
随着高校信息化建设的不断深入,校园网建设日趋完善,应用系统也随之日益增多,眼下,高校信息化建设已经进入高速发展阶段,平台、数据库、硬件设施已经开始集中化管理,通过集中化的管理能够提供更集中的机房环境、网络资源和服务器资源,简化管理。
西南交通大学在数据中心一期建设及扩容项目中已经实现完整的架构,数字化校园应用、部门应用等全部统一部署在新校区数据中心当中。
但面临一个问题,当该数据中心因意外(如火灾、地震、大面积停电等)停止工作时,所有的业务将无法对外提供服务,甚至严重的会造成程序和数据的丢失,集中化管理是必然的趋势,但不能因为集中化管理而中断业务连续性甚至导致数据丢失,所以我们通过部署容灾中心来解决这些问题。
所谓容灾中心是指在相隔一定距离的异地,建立两套或多套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。
4.2拓扑描述
上述设备的部署和连接结构如图所示,采用一台数据中心交换机作为容灾中心的核心交换机,并通过虚拟交换机的方式分成两台逻辑独立交换机,通过裸光纤直连的方式与数据中心核心交换机互联;
每一个虚拟交换机使用一条万兆多模光纤链路分别上联数据中心万兆防火墙及IPS设备的一个虚拟防火墙,服务器负载均衡设备通过万兆端口汇聚的方式分别连接至两台虚拟交换机当中,并与新校区数据中心负载均衡之间形成热备份协议。
数据库容灾服务器选择一台数据库一体机,并运行异构的数据库容灾工具进行容灾;
应用服务器上选择两路10核心CPU256GB内存建立虚拟化服务器集群,每个控制器分别使用万兆多模的方式连接至核心交换机之间。
容灾中心内配置一台存储,可以通过MirrorView的方式将新校区数据中心中的数据镜像备份到容灾中心存储中,同时也将容灾中心内的生产应用备份至两台现有的VNX5500当中。
4.3容灾中心基础建设规划
容灾中心基础建设规划中,同样采用新校区数据中心架构的方式;
从网络、服务器、存储等方面,构建一个完整的数据中心,详细设备如下:
◆核心网络交换机
核心网络方面,数据中心的网络流量跟校园网流量有所区别,数据中心侧重于横向端口数据流量并且对延迟要求较高,而网络的流量更多的是纵向流量,我们采用一台Nexus7009交换机来作为整个容灾中心核心交换机,并且与新校区数据中心通过裸光纤直连,形成数据中心以太网链路,校园网以太网链路作为备份链路使用。
(新增思科Nexus7009交换机一台)
◆万兆防火墙(入侵检测)
容灾中心和新校区数据中心都需要有独立的应用出口,并且容灾中心防火墙部署的模式与结构上与新校区数据中心一致,通过在容灾中心添加一台万兆的防火墙并虚拟出两台透明防火墙,分别与两台校园网络交换机互联,同时连接一台容灾核心交换机;
当新校区数据中心节点发生故障时,容灾中心内防火墙依然能够提供安全的防护。
(新增思科ASA5585-S10P10X防火墙一台)
◆WEB应用防火墙
容灾中心同样也需要web应用防护,本次方案中新增一台web应用防火墙,旁挂在思科Nexus7009交换机之上,并且使用ACL的方式剥离web流量,通过web应用防火墙来访问,一般拥有4万人的高校的web流量大约在400-600M左右,本次方案中选择的web应用防火墙能够满足;
Web安全规则上与数据中心保持一致,一旦开始容灾切换时,也要及时提供web安全防护。
(新增Radawre1008WAF一台)
◆服务器负载均衡设备
容灾中心部署一台硬件负载均衡旁路在核心交换机上,通过RadwarealteonVADC虚拟化功能划分两台负载均衡,其中一台VADC为容灾中心的应用提供负载,另一台作为数据中心冷备份设备,一旦数据中心发生灾难故障时,可以直接启冷备份VADC来直接提供服务。
(新增Radwarealteon5224一台)
◆数据库服务器
数据库服务器采用数据库一体机的方式,从服务器节点、风扇、电源、集群心跳网络、SAS磁盘控制器等,均采用冗余的硬件高可用设计,并且能够使用设备管理软件实现一键式安装、部署、配置、打补丁等,实现快速部署RAC,为应用级容灾提供易于部署、稳定的数据库环境。
(新增OracleODA数据库一体机一套)
◆刀片服务器
在容灾数据中心部署一套两机箱刀片服务器系统,配置上采用两颗10核心CPU和256GB内存,除了能够为虚拟化容灾提供可靠的环境之外,还需要为容灾机房内部署的应用提供计算资源。
(新增思科UCS一套)
◆统一存储
在容灾中心部署一台存储、两台光纤通道交换机,光纤通道交换机通过长距离单模FC模块与新校区的交换机级联,打通现有的存储网络环境;
配置一台存储用于本地应用使用和新校区数据中心的数据镜像,在新校区数据中心的任意一台存储中,通过存储系统自带的镜像功能将数据异步到容灾存储当中,从而实现数据级容灾的初步效果。
对于容灾存储的磁盘选择上,除了作为同步镜像复制外,还需要承载本地的应用。
(新增EMCVNX5400存储一套)
4.4容灾中心网络架构
容灾中心网络架构上要考虑交换机、安全和负载均衡这几个部分,以及与老校区之间的互联,容灾中心网络方面依然采用扁平化技术,使用一台数据中心交换机作为容灾中心核心交换,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据中心 扩容 中心 建设 规划 方案