政府数据中心建设方案
第一章概述 1.1 背景 为认真贯彻国家、省对电子政务建设要求的精神,根据《XX省“十一五”国民经济和社会信息化发展规划》,结合我省电子政务建设的实际情况和发展需要,特制定本方案。 1.2 目的 1、建设统一的电子政务网络平台。 我省电子政务网络由政务内网和政务外网组成。政务内网是党政机关办公业务网络,与互联网物理隔离,主要满足各级政务部门内部办公、管理、协调、监督以及决策需要,同时满足有关政务部门特殊办公需要。政务外网是党政机关公共业务网络,主要满足各级政务部门进行社会管理、公共服务等面向社会服务的需要。 目前,XX省政务内网已经建成并运行良好,政务外网正在规划建设,通过统一的政府数据中心建设,建成全省统一的电子政务外网,省委、省政府各部门和有关单位的业务应用系统,都要基于全省统一的政务网络资源,按需要分别在政务内网和政务外网部署。 2、统筹规划电子政务基础设施建设,避免重复建设,提高整体使用效益。 政府数据中心为省政府各部门和有关单位的信息化建设提供统一的计算机机房、电子政务网络、服务器、存储设备、网络和应用系统安全、数据备份、公共地理信息和基础软件等信息化基础设施,避免重复建设,降低系统建设成本。同时利用XX省综合信息中心技术人才资源,进行系统的运行维护,降低系统的运行维护成本。 3、建设统一的电子政务安全平台。 目前,各政府部门分散建设,安全漏洞和隐患多,通过政府数据中心建设,
全省建设统一的电子政务安全平台,高标准建设信息安全基础设施,加强和规范电子政务网络信任体系建设,建立有效的身份认证、授权管理和责任认定机制。建立健全信息安全监测系统,提高对网络攻击、病毒入侵的防范能力和网络失泄密的检查发现能力。统筹规划电子政务应急响应与灾难备份建设。完善密钥管理基础设施,充分利用密码、访问控制等技术保护电子政务安全,提高全省各项电子政务应用系统的网络和信息安全,完善网络和信息安全保障体系,保障电子政务系统的网络和信息安全。 4、提升政务信息资源开发利用水平。 通过统一的政府数据中心建设,整合各部门和有关单位的政务信息资源,为政务公开、业务协同、辅助决策、公共服务等提供信息支持。 5、完善电子政务标准化体系。 通过统一的政府数据中心的建设,贯彻国家、省和我省电子政务建设标准和规范,建立健全电子政务标准实施机制。 1.3 意义 政务数据中心的建设将进一步加快推进我省电子政务建设。电子政务建设有利于深化行政管理体制改革,提高执政能力;为党委、人大、政府、政协、政府部门和有关单位履行职能提供技术手段;有利于全面落实科学发展观,构建社会主义和谐社会,加快推进改革开放和社会主义现代化建设。 第二章业务状况分析 2.1 现状分析 2.1.1 电子政务建设现状 近几年,我省围绕全面实施“阳光政务”工程,加强电子政务基础设施建设。电子政务内网进一步完善,形成了覆盖全省的政务办公网络,实现了网上公文传递、处理。电子政务外网建设稳步推进,初步建成了政务公开信息传送系统,实
数据中心机房建设概述 发布时间:2012-03-06 14:33 浏览量: 2076 一、数据中心的概念 数据中心(DataCenter)通常是指在一个物理空间内实现信息的集中处理、存储、传输、交换、管理,而计算机设备、服务器设备、网络设备、存储设备等通常认为是网络核心机房的关键设备。 关键设备运行所需要的环境因素,如供电系统、制冷系统、机柜系统、消防系统、监控系统等通常被认为是关键物理基础设施。 二、机房工程(数据中心)的类型及特点 电子机房主要有计算机机房、电信机房、控制机房、屏蔽机房等。这些机房既有电子机房的共性,也有各自的特点,其所涵盖的内容不同,功能也各异。 (一)计算机机房 计算机机房内放置重要的数据处理设备、存储设备、网络传输设备及机房保障设备。计算机机房的建设应考虑以上设备的正常运行,确保信息数据的安全性以及工作人员身心健康的需要。 大型计算机机房一般由无人区机房、有人区机房组成。无人区机房一般包括小型机机房、服务器机房、存储机房、网络机房、介质存储间、空调设备间、UPS设备间、配电间等;有人区机房一般包括总控中心机房、研发机房、测试机房、设备测试间、设备维修存储间、缓冲间、更衣室、休息室等。 中、小型计算机机房可将小型机机房、服务器机房、存储机房等合并为一个主机房。 (二)电信机房 电信机房是每个电信运营商的宝贵资源,合理、有效、充分地利用电信机房,对于设备的运行维护、快速处理设备故障、降低成本、提高企业的核心竞争力等具有十分重要的意义。 电信机房一般是按不同的功能和专业来区分和布局的,通常分为设备机房、配套机房和辅助机房。 设备机房是用于安装某一类通信设备,实现某一种特定通信功能的建筑空间,便于完成相应专业内的操作、维护和生产,一般由传输机房、交换机房、网络机房等组成。配套机房是用于安装保证通信设施正常、安全和稳定运行设备的建筑空间,一般由计费中心、网管监控室、电力电池室、变配电室和油机室等组成。 辅助机房是除通信设施机房以外,保障生产、办公、生活需要的用房,一般由运维办公室、运维值班室、资料室、备品备件库、消防保安室、新风机房、钢瓶间和卫生间等组成。在一般智能建筑中通信机房经常与计算机网络机房合建。 (三)控制机房 随着智能化建筑的发展,为实现对建筑中智能化楼宇设备的控制,必需设立控制机房。控制机房相对于数据机房、电信机房而言,机房面积较小,功能比较单一,对环境要求稍低。但却关系到智能化建筑的安全运行及设备、设施的正常便用。
集团云数据中心基础网络详细规划设计
目录 1前言 (2) 1.1背景 (2) 1.2文档目的 (2) 1.3适用范围 (2) 1.4参考文档 (2) 2设计综述 (3) 2.1设计原则 (3) 2.2设计思路 (5) 2.3建设目标 (7) 3集团云计算规划 (8) 3.1整体架构规划 (8) 3.2网络架构规划 (8) 3.2.1基础网络 (9) 3.2.2云网络 (70)
1前言 1.1背景 集团信息中心中心引入日趋成熟的云计算技术,建设面向全院及国网相关单位提供云计算服务的电力科研云,支撑全院各个单位的资源供给、数据共享、技术创新等需求。实现云计算中心资源的统一管理及云计算服务统一提供;完成云计算中心的模块化设计,逐渐完善云运营、云管理、云运维及云安全等模块的标准化、流程化、可视化的建设;是本次咨询规划的主要考虑。 1.2文档目的 本文档为集团云计算咨询项目的咨询设计方案,将作为集团信息中心云计算建设的指导性文件和依据。 1.3适用范围 本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设计人员、维护人员、工程师等,以便通过参考本文档资料指导集团云计算数据中心的具体建设。 1.4参考文档 《集团云计算咨询项目访谈纪要》 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统灾难恢复规范》(GB/T20988-2007) 《OpenStack Administrator Guide》(https://www.doczj.com/doc/2b14480690.html,/) 《OpenStack High Availability Guide》(https://www.doczj.com/doc/2b14480690.html,/) 《OpenStack Operations Guide》(https://www.doczj.com/doc/2b14480690.html,/) 《OpenStack Architecture Design Guide》(https://www.doczj.com/doc/2b14480690.html,/)
数据中心高可用网络系统设计 数据中心作为承载企业业务的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据的集中,企业数据中心的建设及运维给信息部门带来了巨大的压力,“数据集中就意味着风险集中、响应集中、复杂度集中……”,数据中心出现故障的情况几乎不可避免。因此,数据中心解决方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。为了实现这一目标,首先应该要了解企业数据中心出现故障的类型以及该类型故障产生的影响。影响数据中心的故障主要分为如下几类: ?硬件故障 ?软件故障 ?链路故障 ?电源/环境故障 ?资源利用问题 ?网络设计问题 本文针对网络的高可用设计做详细的阐述。 高可用数据中心网络设计思路 数据中心的故障类型众多,但故障所导致的结果却大同小异。即数据中心中的设备、链路或server发生故障,无法对外提供正常服务。缓解这些问题最简单的方式就是冗余设计,可以通过对设备、链路、Server提供备份,从而将故障对用户业务的影响降低到最小。 但是,一味的增加冗余设计是否就可以达到缓解故障影响的目的?有人可能会将网络可用性与冗余性等同起来。事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性有可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会带来一些如下缺点: ?网络复杂度增加 ?网络支撑负担加重
配置和管理难度增加 因此,数据中心的高可用设计是一个综合的概念。在选用高可靠设备组件、提高网络的冗余性的同时,还需要加强网络构架及协议部署的优化,从而实现真正的高可用。设计一个高可用的数据中心网络,可参考类似OSI七层模型,在各个层面保证高可用,最终实现数据中心基础网络系统的高可用,如图1所示。 图1 数据中心高可用系统设计层次模型 数据中心网络架构高可用设计 企业在进行数据中心架构规划设计时,一般需要按照模块化、层次化原则进行,避免在后续规模越来越大的情况再进行大规模的整改,造成时间与投资浪费。 模块化设计 模块化设计是指在对一定范围内的不同功能或相同功能不同性能、不同规格的应用进行功能分析的基础上,划分并设计出一系列功能模块,模块之间松耦合,力求在满足业务应用要求的基础上使网络稳定可靠、易于扩展、结构简单、易于维护。 不同企业的应用系统可能有一定的差异。在网络层面,根据应用系统的重要性、流量特征和用户特征的不同,可大致分为以下几个区域,如图2所示。
数据中心架构建设计方案建议书 1、数据中心网络功能区分区说明 功能区说明 图1:数据中心网络拓扑图 数据中心网络通过防火墙和交换机等网络安全设备分隔为个功能区:互联网区、应用服务器区、核心数据区、存储数据区、管理区和测试区。可通过在防火墙上设置策略来灵活控制各功能区之间的访问。各功能区拓扑结构应保持基本一致,并可根据需要新增功能区。 在安全级别的设定上,互联网区最低,应用区次之,测试区等,核心数据区和存储数据区最高。 数据中心网络采用冗余设计,实现网络设备、线路的冗余备份以保证较高的可靠性。 互联网区网络 外联区位于第一道防火墙之外,是数据中心网络的Internet接口,提供与Internet高速、可靠的连接,保证客户通过Internet访问支付中心。 根据中国南电信、北联通的网络分割现状,数据中心同时申请中国电信、中国联通各1条Internet线路。实现自动为来访用户选择最优的网络线路,保证优质的网络访问服务。当1条线路出现故障时,所有访问自动切换到另1条线路,即实现线路的冗余备份。
但随着移动互联网的迅猛发展,将来一定会有中国移动接入的需求,互联区网络为未来增加中国移动(铁通)链路接入提供了硬件准备,无需增加硬件便可以接入更多互联网接入链路。 外联区网络设备主要有:2台高性能链路负载均衡设备F5 LC1600,此交换机不断能够支持链路负载,通过DNS智能选择最佳线路给接入用户,同时确保其中一条链路发生故障后,另外一条链路能够迅速接管。互联网区使用交换机可以利用现有二层交换机,也可以通过VLAN方式从核心交换机上借用端口。 交换机具有端口镜像功能,并且每台交换机至少保留4个未使用端口,以便未来网络入侵检测器、网络流量分析仪等设备等接入。 建议未来在此处部署应用防火墙产品,以防止黑客在应用层上对应用系统的攻击。 应用服务器区网络 应用服务器区位于防火墙内,主要用于放置WEB服务器、应用服务器等。所有应用服务器和web服务器可以通过F5 BigIP1600实现服务器负载均衡。 外网防火墙均应采用千兆高性能防火墙。防火墙采用模块式设计,具有端口扩展能力,以满足未来扩展功能区的需要。 在此区部署服务器负载均衡交换机,实现服务器的负载均衡。也可以采用F5虚拟化版本,即无需硬件,只需要使用软件就可以象一台虚拟服务器一样,运行在vmware ESXi上。 数据库区
数据中心网络系统 设计方案
数据中心高可用网络系统设计 数据中心作为承载企业业务的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据的集中,企业数据中心的建设及运维给信息部门带来了巨大的压力,“数据集中就意味着风险集中、响应集中、复杂度集中……”,数据中心出现故障的情况几乎不可避免。因此,数据中心解决方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。为了实现这一目标,首先应该要了解企业数据中心出现故障的类型以及该类型故障产生的影响。影响数据中心的故障主要分为如下几类: 硬件故障 软件故障 链路故障 电源/环境故障 资源利用问题 网络设计问题 本文针对网络的高可用设计做详细的阐述。 高可用数据中心网络设计思路
数据中心的故障类型众多,但故障所导致的结果却大同小异。即数据中心中的设备、链路或server发生故障,无法对外提供正常服务。缓解这些问题最简单的方式就是冗余设计,能够经过对设备、链路、Server提供备份,从而将故障对用户业务的影响降低到最小。 可是,一味的增加冗余设计是否就能够达到缓解故障影响的目的?有人可能会将网络可用性与冗余性等同起来。事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性有可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会带来一些如下缺点: 网络复杂度增加 网络支撑负担加重 配置和管理难度增加 因此,数据中心的高可用设计是一个综合的概念。在选用高可靠设备组件、提高网络的冗余性的同时,还需要加强网络构架及协议部署的优化,从而实现真正的高可用。设计一个高可用的数据中心网络,可参考类似OSI七层模型,在各个层面保证高可用,最终实现数据中心基础网络系统的高可用,如图1所示。
NIKE 项目数据中心网络架构方案概述 (2) 2.系统需求分析 (2) 3.企业网络信息系统设计思路 (2) 4.企业网络信息系统建设原则 (2) 5. 系统技术实现细节 (3) 5.1 网络拓扑图 (3) 5.2 Nike项目服务器技术实现细节 (4) 5.2.1双机备份方案 (4) 5.2.1.1.双机备份方案描述 (4) 5.2.1.2.双机备份方案的原理 (4) 5.2.1.3.双机备份方案的适用范畴 (4) 5.2.1.4.双机备份的方式及优缺点 (4)
5.2.1.5双机方案建议 (4) 5.2.1.6磁盘阵列备份模式示意图 (5) 5.2.1.7双机方案网络拓扑图 (5) 5.2.1.8双机热备工作原理 (6) 6.备份 (6) 7.建议配置方案及设备清单..................................................7-8 1.概述 21世纪世界竞争的焦点将是信息的竞争,社会和经济的进展对信息资源、信息技术和信息产业的依靠程度越来越大,信息技术的进展对政治、经济、科技、教育、军事等诸多方面的进展产生了重大的阻碍,信息化是世界各国进展经济的共同选择,信息化程度已成为衡量一个国家,一个行业现代化的重要标志。 2.系统需求分析
由于此方案是专为NIKE项目数据中心设计,此数据中心是为数据信息提供传递、处理、储备服务的,为了满足企业高效运作关于正常运行时刻的要求,因此,此数据中心在通信、电源、冷却、线缆与安全方面都必须要做到专门可靠和安全,并可适应持续的增长与变化的要求。 3.系统设计思路 企业网络信息系统的建设是为企业业务的进展服务,综合考虑公司信息系统当前背景和状况,其建设设计要紧应达到如下目标: 1) 系统的设计应能满足公司对公用信息资源的共享需求,满足3PL及 客户查询数据的共享需求,并为实现公用信息资源共享提供良好的网络环境,概括而言之确实是能让有关人员顺利流畅的访咨询数据中心的Nike X pDX Server及我司的TMS等有关系统。与此同时,系统的建设还需要考虑到投入和产出两者间的关系,注意强调成本节约,提升效费比的咨询题。 2) 系统的设计必须充分考虑到建成后系统的治理爱护咨询题。为此设计应强调系统的统一集中治理,尽量减少资源的分散治理,注重提升信息系统平台运营爱护的工作效率。 3) 系统的设计还需要考虑建成后资源的合理利用咨询题,必须保证建成系统资源要紧服务于设定需求,保证设计数据流量在网络中流畅通行。因此,必须保证只有设计的数据流量才能优先在网络中传递,关于设计外数据流量(例如互联网网页访咨询、网络下载、网络视频、网络音频、P2P、IM谈天)应通过技术手段限制其传递或被低优先级处理。 4) 在目前数据信息交流频繁,生产信息化程度日益提升的时代,信息系统建设设计还应考虑到建立一套高效的网络防病毒、防垃圾邮件系统,部署在生产网络的外缘,企业网络靠近外网的最前端进行爱护,争取把网络安全风险因素隔离在网络的最边缘处,实现网络安全性的最大化。专门是像我司如此的企业,存在3PL及外围客户网络组网互联的情形,应加大对病毒的防备工作,幸免网络病毒在网内交叉传播的情形发生。
避免数据中心和网络机房基础设施因过度规划造成的资金浪费
典型数据中心和网络机房基础设施最大的、可以避免的成本就是过度规划设计成本。数据中心或 网络机房中的物理和供电基础设施利用率通常在50%-60%左右。未被利用的容量就是一种原本可以避免的投资成本,这还代表着可以避免的维护和能源成本。 本文分为三个部分。首先,介绍与过度规划设计有关的情况和统计数据。接下来,讨论发生这种情况的原因。最后,介绍避免这些成本的新的架构和实现方法。 任何从事信息技术和基础设施产业的人都曾见过未被利用的数据中心空间、功率容量以及数据中心中其他未加利用的基础设施。为了对这种现象进行量化,对讨论中用到的术语进行定义是很重要的。 表1中定义了本文中有关过度规划设计的术语: 建模假设 为了收集并分析过度规划设计的相关数据,施耐德电气对用户进行了调查,并开发了一个简化模型来描述数据中心基础设施容量规划。该模型假设: ?数据中心的设计寿命为 10 年; ?数据中心规划有最终的设计容量要求和估计启动IT 负载要求; ?在数据中心典型生命周期过程中,预期负载从预期的启动负载开始呈线性增长,在预期生命周期一半的时候,达到预期最终容量。 由以上定义的模型得出下面图 1 显示的规划模型。我们假定,它是具有代表性的“一步到位”模式的系统规划模型。 简介有关过度规划设计的情况和统计数据表1 过度规划的相关定义
上图显示了一个典型的规划周期。在传统的设计方案中,供电和冷却设备的安装容量与设计容量相等。换句话说,系统从一开始就完全建成。根据计划,数据中心或网络机房的预期负载将从30% 开始,逐步增加到最终预期负载值。但是,实际启动负载通常小于预期启动负载,并且逐步增长到最终实际负载;最终实际负载有可能大大小于安装容量(注意:由于冗余或用户希望的额定值降低余量,实际安装设备的额定功率容量会大于计划安装容量)。 第143号白皮书《数据中心项目:成长模型》详细讨论了数据中心的规划以及制定一个有效的成长计划战略的关键要素。 实际安装数据收集 为了了解实际安装的情况,施耐德电气从许多客户那里收集了大量数据。这些数据是通过实际安装设备调查和客户访谈获得的。结果发现,预期启动负载通常只有最终设计容量的 30%,预期最终负载只有预期设计容量的80%-90%(留有安全余量)。进一步发现,实际启动负载通常只有最终设计负载的20%,而且实际最终负载通常为设计容量的 60% 左右。图 1 汇总了这些数据。根据设计值,通常的数据中心最终的容量设计比实际需要大 1.5 倍。在刚刚安装或调试过程中,超大规模设计甚至更加显著,通常在 5 倍左右。 与过度规划设计相关的额外成本 与过度规划设计相关的生命周期成本可以分为两个部分:投资成本和运营成本。 图 1 阴影部分指出了与投资相关的额外成本。阴影部分代表平均安装设备中未利用的系统设计容量的部分。额外容量可直接导致额外的投资成本。额外投资成本包括额外供电设备和冷却设备的成本,以及包括布线和管路系统的设计开销和安装成本。 对于一个典型的 100 kW 数据中心,供电和冷却系统有550万人民币(55元人民币/W )左右的资本成本。分析表明,这个投资的 40% 左右被浪费掉了,相当于 220万人民币。在使用早期,这个浪费甚至更大。算进资金周转的时间成本之后,由于过度规划设计导致的损失几乎等于数据中心50%的投资成本。也就是说,单单原始资本的利息几乎就能够满足实际资本一般的需求。 与过度规划设计有关的额外生命周期成本还包括设施运行的开支。这些成本包括维护合同、消耗品和电力。如果设备按制造商的说明进行维护,年维护费用一般是系统成本(投资成本)的10%左右,因此,数据中心或网络机房的生命周期过程中的维护成本几乎等于投资成本。由于过度规划设计会产生未充分利用的设备,而且这些设备必须加以维护,所以会浪费很大一部分的维护成本。以 100 kW 数据中心为例,系统生命周期过程中浪费的成本约为 950万人民币。 0% 20% 40% 60%80%100%120% 012345678910 容量百分比数据中心运行年份 图1 数据中心生命周期过程中的设计容量和预期负载要 求
技术与应用 echnology & Application T 53 2009年3 月 ■文/中国建设银行信息技术管理部 戴春辉 窦 彤 数据中心网络设计与实现 数 据集中后,所有银行业务和网点都依赖网络来支持其对数据中心中主机的访问。此外,未来的新型应用, 如网上培训、IP 电话、可视电话等应用也对网络提出高带宽、高服务质量以及支持多点广播等要求。因此,数据中心的网络建设必须能够最大化满足上述要求,适应未来新业务和技术的发展。 一、数据中心网络设计原则 网络的可靠性。银行业务的特点决定了其网络必须有极高的可用性,能最大限度地支持各业务系统正常运行。在网络设计上,合理组织网络架构,做到设备冗余、链路冗余,保证网络具有快速故障自愈能力,实现网络通讯不中断。 网络具有良好的可用性、灵活性。支持国际上各种通用的网络协议和标准,支持大型的动态路由协议及策略路由功能,保证与其他网络(如公共数据网、金融网络等)之间的平滑连接。 网络的可扩展性。根据未来业务的增长和变化,在不变动现有网络架构的前提下,可以平滑地扩展和升级。 网络安全性。制订统一的网络安全策略,整体考虑网络平台的安全性。 网络可集中管理。对网络实行集中监测、分权管理,构建网络管理平台,提供故障自动报警,具有对设备、端口等的管理和流量统计分析功能。 保证网络服务质量。保证对统一的网络带宽资源进行合理调配,当网络拥塞发生时,保障银行关键业务和用户数据的传输。提供对数据传输的服务质量(QoS)和优先级控制等,以保证骨干网上各类业务的QoS。 二、数据中心网络实现 1.网络技术 数据中心网络设计实现的技术基础如下。(1)路由交换技术 目前,在银行的网络设计中,绝大部分网络通信都是基于TCP/IP 协议及相关技术的。路由交换技术是构建IP 网络的基础技术,是网络互联的基础。在数据中心网络中,大面积使用高性能、高可靠的三层交换机,用以构建多个不同的功能分区。分区间相互隔离,通过1G/10G 接口连接高速的核心交换区。 网络互联路由协议主要有OSPF、RIPv2和BGP。在数据中心局域网中主要使用OSPF 路由协议,以达到快速收敛的目的;而在边界或与分支机构广域互联,通常使用BGP 路由协议,以实现对网络的有效管理。 (2)负载均衡技术 负载均衡建立在现有网络结构之上,提供了一种廉价、有效、透明的方法,扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。负载均衡技术主要有软/硬件负载均衡,本地/全局负载均衡。在数据中心主要使用硬件负载均衡解决方案。 (3)防火墙技术 当前银行网络主要使用状态检测型防火墙,集成了包过滤防火墙、电路层防火墙和应用防火墙三种技术,只有符合安全规则的网络连接和访问才可以通过防火墙,有效隔离各个安全区域,保障核心数据的安全性。 (4)入侵检测技术 入侵检测技术(IDS)从计算机系统或网络中收集、分析信息,检测任何企图破坏计算机资源完整性、机密性和
软件学报 ISSN 1000-9825, CODEN RUXUEW Journal of Software,2013,24(2):295?316 [doi: 10.3724/SP.J.1001.2013.04336] ?中国科学院软件研究所版权所有 .
E-mail: jos@https://www.doczj.com/doc/2b14480690.html, https://www.doczj.com/doc/2b14480690.html, Tel/Fax: +86-10-62562563
数据中心网络的体系结构
?
魏祥麟 1,2, 陈 鸣 2, 范建华 1, 张国敏 2, 卢紫毅 1
1 2
(南京电讯技术研究所,江苏 南京
210007) 210007)
(解放军理工大学 指挥信息系统学院,江苏 南京
通讯作者 : 魏祥麟 , E-mail: wei_xianglin@https://www.doczj.com/doc/2b14480690.html,
摘
要:
在新的应用模式下,传统层次结构数据中心网络在规模、带宽、扩展性和成本方面存在诸多不足.为了适
应新型应用的需求,数据中心网络需要在低成本的前提下,满足高扩展性、低配置开销、健壮性和节能的要求.首先, 概述了传统数据中心网络体系结构及其不足,并指出了新的需求;其次,将现有方案划分为两类,即以网络为中心和 以服务器为中心的方案;然后,对两类方案中的代表性结构进行了详细的综述和对比分析;最后指出了数据中心网络 未来的发展方向. 关键词: 数据中心;网络;体系结构;拓扑;路由 中图法分类号: TP393 文献标识码: A
中文引用格式 : 魏祥麟 ,陈鸣 ,范建华 ,张国敏 ,卢紫毅 .数据中心网络的体系结构 .软件学报 ,2013,24(2):295?316. http://www.jos. https://www.doczj.com/doc/2b14480690.html,/1000-9825/4336.htm 英文引用格式 : Wei XL, Chen M, Fan JH, Zhang GM, Lu ZY. Architecture of the data center network. Ruanjian Xuebao/Journal of Software, 2013,24(2):295?316 (in Chinese). https://www.doczj.com/doc/2b14480690.html,/1000-9825/4336.htm
Architecture of the Data Center Network
WEI Xiang-Lin1,2,
1 2
CHEN Ming2,
FAN Jian-Hua1,
ZHANG Guo-Min2,
LU Zi-Yi1
(Nanjing Telecommunication Technology Research Institute, Nanjing 210007, China) (College of Command Information Systems, PLA University of Science and Technology, Nanjing 210007, China)
Corresponding author: WEI Xiang-Lin, E-mail: wei_xianglin@https://www.doczj.com/doc/2b14480690.html, Abstract: Under the new application mode, the traditional hierarchy data centers face several limitations in size, bandwidth, scalability,
and cost. In order to meet the needs of new applications, data center network should fulfill the requirements with low-cost, such as high scalability, low configuration overhead, robustness and energy-saving. First, the shortcomings of the traditional data center network architecture are summarized, and new requirements are pointed out. Secondly, the existing proposals are divided into two categories, i.e. server-centric and network-centric. Then, several representative architectures of these two categories are overviewed and compared in detail. Finally, the future directions of data center network are discussed. Key words: data center; network; architecture; topology; route
信息服务的集约化、社会化和专业化发展使得因特网上的应用、计算和存储资源向数据中心迁移.商业化 的发展促使了承载上万甚至超过 10 万台服务器的大型数据中心的出现.截至 2006 年,Google 在其 30 个数据中 心拥有超过 45 万台服务器,微软和雅虎在其数据中心的服务器数量也达到数万台[1].随着规模的扩大,数据中心 不仅承载了传统的客户机/服务器应用,而且承载了包括 GFS 和 MapReduce 在内的新应用[2].这种趋势一方面突
?
基金项目 : 国家自然科学基金 (61070173, 61103225, 61201216); 国家重点基础研究发展计划 (973)(2012CB315806); 中国博士 收稿时间 : 2012-08-09; 定稿时间 : 2012-10-19; jos 在线出版时间 : 2012-11-23 CNKI 网络优先出版 : 2012-11-23 12:17, https://www.doczj.com/doc/2b14480690.html,/kcms/detail/11.2560.TP.20121123.1217.006.htm
后科学基金 (201150M1512); 江苏省自然科学基金 (BK2010133); 国防科技重点实验室基金 (9140C020302110C0206)
一.校园网网络核心机房2011年12月29日下午3点,我们通信工程专业40人作为太原科技大学核心机房第一批访客开始了参观之旅。一个简短的欢迎仪式让我们充满期待,同时经过老师的简单介绍,我们了解到了太原科技大学校园网建设的进程,从第一版校园网主页到现在各种互联网应用齐全,先进的网络互连设备。当然最值得期待的当然是核心机房的参观,由于核心机房建设年份靠后,因此布局规划以及各种网络设备就当前而言已处于前列。接下来,老师简单介绍了前厅的基本情况及服务。这时我才发现原来我们学校的信息化服务这么细致,确实为同学们考虑了很多。最令同学们兴奋地时刻要到了,我们马上要进入核心机房了。简单列队,秩序井然。在进入机房之前还要带上鞋套,一切都按照规范进行。然后,带队老师给我们介绍了核心机房基本组成部件。首先一个基建,包括房间的特殊构造,如地板必须是防静电耐高压的,必须保持机房恒温恒湿等等。然后是UPS,在另一个小的隔间里,进去后马上就惊讶了,一排排的电池充分保证了校园网在电路异常情况下的正常运转,还有多路的电源输入及UPS 通信工程专业生产实习报告 3 的转换充分保证了电路的稳定运行。然后是多路光纤传输,先进的传输设备保证了校园网之间传输的速度。最后,是与大家密切相关的服务器及交换设备。通过近几年的建设,我们已经拥有了120多台服务器,那么保证服务器数据安全及稳定工作及其重要,这关系到校园网正常的运转。以邮件服务器为例,老师给我们详细介绍了其主要的功能应用。当了解到一台中小型服务器的造价是几十万美金,并且大多为外国进口时,我暗自也捏了一把汗,技不如人,只能寄希望于我国能加快这方面的研发,尽快夺回市场!接下来我们一起走出核心机房,然后一起来到会议室。老师又详细介绍了上海师范大学校园网及相关服务的基本情况,不禁感慨我校建设步伐之快。同时,同学与老师之间也进行了一些交流,通过交流相互之间也增进到了了解,信息办的老师也明确了学生的需求以及其关心的内容,对于以后工作也指明了方向。 ,我校网络中心的张老师给我们讲解了有关校园网与网络安全的有关问题。主要讲了三个方面的问题: (1)校园网拓扑简介。对整个校园的网络结构进行了详细的讲解,其中以核心交换设备CISCO6513以及外层汇聚交换系统华为5624以及华为6505系列为重点。 通信工程专业生产实习报告 4 (2)个人计算机的安装配置与使用规范。其中windows系统的安全保护机制有以下几方面的内容:系统与应用程序补丁、防火墙的选用、帐号与口令的设置、防病毒软件、正确的使用习惯。初装计算机的正确步骤:1、选择最新版的操作系统。2、尽量选择已经带有service packt的版本。3、遵从最小安装原则。4、请专职管理员协助安装操作系统。(3)近期校园网常见安全问题。ARP攻击是利用ARP协议本身的缺陷进行的一种非法攻击,目的是为了在全交换环境下实现数据监听,通常这种攻击方式可能被病毒.木马或者有特殊目的的攻击者使用,然后对ARP协议以及如何处理感染的主机方面也做了详细说明。听完张老师的讲座后我们又在他的带领下去了校内网络管理机房,亲眼目睹了校内的网络设施。短短2个多小时的时间马上就过去了,在惊叹与兴奋中,我看到了自己的不足,网络方向的学生竟然对于一些网络设备知之甚少,这同时对于我提出了更高的要求,也希望我能以此为契机,认真学好专业知识,成为一名合格的名副其实的网络技术专业学生。
目录 第1章总述 (4) 1.1XXX公司数据中心网络建设需求 (4) 1.1.1 传统架构存在的问题 (4) 1.1.2 XXX公司数据中心目标架构 (5) 1.2XXX公司数据中心设计目标 (6) 1.3XXX公司数据中心技术需求 (7) 1.3.1 整合能力 (7) 1.3.2 虚拟化能力 (7) 1.3.3 自动化能力 (8) 1.3.4 绿色数据中心要求 (8) 第2章XXX公司数据中心技术实现 (9) 2.1整合能力 (9) 2.1.1 一体化交换技术 (9) 2.1.2 无丢弃以太网技术 (10) 2.1.3 性能支撑能力 (11) 2.1.4 智能服务的整合能力 (11) 2.2虚拟化能力 (12) 2.2.1 虚拟交换技术 (12) 2.2.2 网络服务虚拟化 (14) 2.2.3 服务器虚拟化 (14) 2.3自动化 (15) 2.4绿色数据中心 (16) 第3章XXX公司数据中心网络设计 (17) 3.1总体网络结构 (17) 3.1.1 层次化结构的优势 (17) 3.1.2 标准的网络分层结构 (17) 3.1.3 XXX公司的网络结构 (18) 3.2全网核心层设计 (19) 3.3数据中心分布层设计 (20) 3.3.1 数据中心分布层虚拟交换机 (20) 3.3.2 数据中心分布层智能服务机箱 (21) 3.4数据中心接入层设计 (22) 3.5数据中心地址路由设计 (25) 3.5.1 核心层 (25) 3.5.2 分布汇聚层和接入层 (25) 3.5.3 VLAN/VSAN和地址规划 (26) 第4章应用服务控制与负载均衡设计 (27) 4.1功能介绍 (27) 4.1.1 基本功能 (27)
数据中心网络架构 7.6.2.3.1、网络核心 网络核心由2台双引擎万兆交换机构成,通过千兆实现各个功能分区的接入,同时交换机之间采用双千兆捆绑的方式实现高速互联。 为了保证各个功能分区的高可靠性,与各个功能分区的汇聚交换机或接入交换机采用双链路冗余连接。 网络为二层架构,要采用千兆接入层交换通过千兆线路上行到两台核心交换层交换机。服务器接入采用双网卡千兆上行,接入交换机采用万兆上行到核心交换机。 应急信息系统对网络安全、信息安全有着很高的要求,因此通过合理的防火墙、IPS和ASE部署,可以使网络对非法请求、异常攻击和病毒具有非常好的防御,同时可以对各种敏感和非法信息、网址和电子邮件进行有效的过滤。 7.6.2.3.2、全交换网络 建议采用全交换网络来保证网络的高性能。应急指挥中心服务器群规模不大,网络结构采用两层交换机即可。 在核心汇聚层采用高性能核心交换机,未采用路由器,主要的考虑基于以下两点: (1)交换机性能高,接口密度高,适合在数据中心的核心位置部署;相比而言路由器的性能和接口密度则远低于交换机; (2)交换机设备工作在二层,业务扩展灵活方便;
7.6.2.3.3、服务器接入的二层模式 在工作模式上,核心汇聚交换机工作在路由模式(三层),服务器接入层交换机工作在交换(二层)模式。 三层接入的好处在于配置管理相对简单,上行汇聚设备的报文比较“纯净”,都是单播报文。而三层接入的问题主要在服务器扩展性、灵活性以及L4/L7设备的部署上。 对于应急系统来说,服务器的扩展能力是一个非常重要的问题,在实际的部署中,经常会要求服务器之间做二层邻接,如果采用二层接入,可以很方便的实现VLAN的部署。 三层接入带来的另一个问题是L4/L7设备(如服务器Load-Balacne)的部署。Load-Balance通常部署在汇聚层,可以实现对服务器访问流量的分担,以及服务器健康状态的检查,对于某些负载均衡算法或服务器健康检查算法来说,必须要求服务器和Load-balance设备二层邻接,因此数据中心不建议采用三层接入。 对于二层接入方式,可以通过MSTP或SmartLink技术解决链路冗余问题。在MSTP中,端口的阻塞是逻辑上的,只对某些STP实例进行阻塞,一个端口可能对一个STP实例阻塞,但对另一个STP实例是可以转发的。合理的使用MSTP,可以做到链路的负载分担。而且,因为映射到一个MSTP实例的VLAN 可以灵活控制,并且引入了域的概念,使得MSTP在部署时有很好的扩展性。SmartLink提供了一种二层链路冗余技术,可以部分替代STP的功能,并且保证200毫秒的链路切换时间,可应用在HA要求较高的环境。 因此建议在数据中心的服务器区采用二层接入方式。 根据应急指挥应急指挥系统的需求,数据中心由以下几个功能区组成: (1)核心网络区: 由高速网络交换机组成,提供核心交换能力,同时部署安全和应用优化设备,保证数据安全和系统性能。 (2)核心数据库区: 由运行HA 系统的高效UNIX 主机组成,提供数据高速访问能力(3)应用区:
H3C核心交换机 S7506E网络维护手册
网络设备维护手册 第一章交换机操作手册 此部分档使用本项目交换机型号如下:S7506E/S5120/S5130/WX3024E 1.1设备登陆 1.1.1 Console登陆 1、通过交换机Console 口进行本地登录是登录交换机的最基本的方式,也是配置通过 其他方式登录交换机的基础。连接示意图如下: 2、把电脑和交换机连接好后,交换机上电开机,然后在电脑上进行如下操作,首先点击开始->程序->附件->通讯->超级终端 打开后出现下面图示,输入名称,可以任意输入。
输入完成点击确定,出现下面界面,连接时使用选择COM口,一般台式机为COM1或COM2,而笔记本经过转接,可能会产生COM3或COM4,也有可能是其他的,你可以在下面的选择项里看到,选择完成后点击确定。 通过上面的选择,现在到了对端口属性进行设置,一般情况下没有进行过修改,默认只要点击还原为默认值就可以了,然后再单击确定。之后敲回车即可,会出现H3C>提示符,说明已经与交换机连接,可以进行配置了,如果没有可以重启交换机或检查连接是否正确。
1.1.2 telnet登陆 1、新建用户名密码 local-user admin /admin为用户名 password cipher h3c@123 /h3c@123为密码 authorization-attribute level 3 /授权admin用户的等级为3,3为最高级 service-type telnet /授权admin用户的登陆方式,可以为ftp、telnet等# telnet server enable /开启telnet服务 使用电脑连接至交换机: 开始菜单-输入cmd,如下图,输入telnet 1.1.44.254,输入用户名密码admin/h3c@123即可登录交换机
数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,一般来说包括以下几个方面: 物理安全:主要指数据中心机房的安全,包括机房的选址,机房场地安全,防电磁辐射泄漏,防 静电,防火等内容; 网络安全:指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段,如防火墙,IPS,安全审计等; 系统安全:包括服务器操作系统,数据库,中间件等在内的系统安全,以及为提高这些系统的安 全性而使用安全评估管理工具所进行的系统安全分析和加固; 数据安全:数据的保存以及备份和恢复设计; 信息安全:完整的用户身份认证以及安全日志审计跟踪,以及对安全日志和事件的统一分析和记 录; 抛开物理安全的考虑,网络是数据中心所有系统的基础平台,网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容。 数据中心网络安全建设原则 网络是数据传输的载体,数据中心网络安全建设一般要考虑以下三个方面: 合理规划网络的安全区域以及不同区域之间的访问权限,保证针对用户或客户机进行通信提供正 确的授权许可,防止非法的访问以及恶性的攻击入侵和破坏; 建立高可靠的网络平台,为数据在网络中传输提供高可用的传输通道,避免数据的丢失,并且提 供相关的安全技术防止数据在传输过程中被读取和改变; 提供对网络平台支撑平台自身的安全保护,保证网络平台能够持续的高可靠运行; 综合以上几点,数据中心的网络安全建设可以参考以下原则: 整体性原则:“木桶原理”,单纯一种安全手段不可能解决全部安全问题; 多重保护原则:不把整个系统的安全寄托在单一安全措施或安全产品上; 性能保障原则:安全产品的性能不能成为影响整个网络传输的瓶颈; 平衡性原则:制定规范措施,实现保护成本与被保护信息的价值平衡; 可管理、易操作原则:尽量采用最新的安全技术,实现安全管理的自动化,以减轻安全管理的负 担,同时减小因为管理上的疏漏而对系统安全造成的威胁; 适应性、灵活性原则:充分考虑今后业务和网络安全协调发展的需求,避免因只满足了系统安全 要求,而给业务发展带来障碍的情况发生; 高可用原则:安全方案、安全产品也要遵循网络高可用性原则; 技术与管理并重原则:“三分技术,七分管理”,从技术角度出发的安全方案的设计必须有与之 相适应的管理制度同步制定,并从管理的角度评估安全设计方案的可操作性 投资保护原则:要充分发挥现有设备的潜能,避免投资的浪费;