云计算数据中心建设方案.docx
《云计算数据中心建设方案.docx》由会员分享,可在线阅读,更多相关《云计算数据中心建设方案.docx(93页珍藏版)》请在沃文网上搜索。
1、智慧东丽云计算数据中心工程建设方案智慧东丽首期项目云计算数据中心工程建设方案二一五年十一月 93 / 93目录一、项目背景3二、工程概述3三、数据中心网络设计5(一)网络结构51、链路接入区62、互联网接入区63、互联网服务资源区74、专网接入区75、专网服务资源区86、核心网络区87、内网服务资源区98、存储资源区99、运维管理区1010、指挥中心接入区1011、物理整合区11(二)虚拟化组网11四、云计算平台系统设计13(一)资源池设计141、计算资源池架构设计142、存储资源池设计143、资源池部署设计154、设备选型17(二)云计算资源管理系统191、云计算资源管理系统设计概述192、
2、云计算资源管理系统设计思路203、云计算资源管理系统框架设计214、云计算资源管理系统功能设计25(三)云存储资源管理系统设计271、云存储资源管理系统设计概述272、云存储资源管理系统设计思路283、云存储资源管理系统框架设计304、云存储资源管理系统功能设计30(四)云平台运行监控系统设计31(五)云平台运维管理系统设计32(六)云平台管理支撑系统设计331、资源设备管理342、资源基本管理353、资源综合管理354、资源功耗管理35(七)云平台运营管理系统设计36(八)云应用服务平台(PaaS)设计371、云路由372、云负载383、云代理节点38五、数据中心安全系统设计40(一)云平台
3、安全总体设计40(二)云安全等保定级分析42(三)云安全系统需求分析431、安全技术需求分析432、安全管理需求分析51(四)安全技术体系设计52(五)云区域边界安全设计571、实现边界的访问控制592、实现网络边界入侵检测603、实现边界病毒防护604、实现边界完整性保护615、实现边界安全审计保护616、实现网站安全防护61(六)云计算环境安全设计621、虚拟机访问控制622、主机安全管理633、日志集中审计634、脆弱性管理64(七)云安全管理中心设计641、集中安全管控642、安全策略集中管理653、云安全集中管理66(八)安全管理体系设计661、安全管理组织662、人员安全管理673
4、、安全管理策略67(九)安全运维体系设计68六、数据中心机房工程68(一)机房布局与布线68(二)机房装饰装修691、地面工程702、天花吊顶工程723、墙面工程734、门窗工程设计74(三)机房电气系统741、配电系统742、电源插座设计753、照明系统设计754、接地系统设计765、防雷系统786、不间断电源系统78(四)机房空调系统801、机房环境设计标准802、机房环精密空调容量设计803、空调送风方式的设计814、空调上下水设计81(五)动力环境监控系统系统81(六)KVM系统841、方案说明842、方案拓扑图及说明843、方案特点85(七)机房消防报警和气体灭火系统86一、 项目背
5、景根据区委、区政府主要领导批示,2014年11月我区启动了智慧东丽战略发展顶层设计与规划工作。经过几个月的努力,通过一系列调研、分析、设计与研讨,智慧东丽建设总体规划与三年行动计划文稿形成(以下简称“规划”),并与相关部门进行了若干次的专题讨论。根据各方意见修改后,规划于2015年4月中旬经区长办公会研究原则通过。规划中指出“新建智慧东丽云平台,与现有的“智慧华明”云平台共同支撑智慧应用系统建设。按照“集约建设、集中部署”的原则,将新建的智慧应用系统直接部署在云平台,将各部门已建的非涉密业务系统和公共服务类应用系统逐步迁移至云平台,实现智慧应用在基础层面集中共享、信息层面协同整合、运行维护层面
6、统一保障,有利于充分整合和利用信息化资源。”根据规划中的目标和原则,在“智慧东丽”首期项目中与城市运行管理指挥中心同步进行云计算数据中心工程建设,数据中心为智慧东丽的总体建设提供基于云计算技术的信息化基础设施,为智慧东丽的各类业务应用提供稳定可靠的运行环境。二、 工程概述云计算数据中心与城市运行管理指挥中心选址为同一地点,位于东丽开发区津塘路与五经路交口处的“帝达东谷国际东谷中心2号楼2层”,位于该层西北侧区域,总共占用面积接近350平方米。其中包含主机房、配电间、消防间、控制室等区域。图 1 数据中心平面图云计算数据中心是“智慧东丽”的信息技术基础设施,不仅承载智慧东丽首期项目的三个主要应用
7、,还将为日后东丽区的各类信息化应用提供稳定可靠高效的计算、存储、网络资源,以实现全区信息化基础资源的集中建设、集中管理、集约使用。数据中心的网络连接包括互联网、政务网、其他专网,接入区文广局的光纤路由,以及三大运营商提供的固网和移动网络。智慧东丽云计算数据中心建设包括数据中心网络、云计算平台、安全系统、机房工程等部分,后续章节分项阐述。三、 数据中心网络设计(一) 网络结构数据中心网络分为运营商链路设备区、互联网接入区,互联网服务资源区、核心网络区、内网资源服务区、专网接入区、专网服务资源区、存储资源区、物理资源整合区、本地用户接入区、运维管理区等几部分,每个区域间根据业务、功能的安全防护需求
8、配备诸如防火墙等安全设备进行安全隔离,保证网络层面的安全访问控制。以上分区同时也是机房物理分区的指导原则。数据中心网络总体架构设计如下图。1、 链路接入区外部网络与数据中心互联时对方设备的安放区域,包括了互联网链路及外单位专线链路。拟同时接入中国移动、中国联通、中国电信三大运营商互联网线路,为每个运营商分配一个机柜以存放其相应设备。由于该区域设备由运营商提供并配置,因此未在网络总体拓扑中予以具体体现。专网链路接入目前设计包括政务外网、区技防网等,同样为外部专线链路设备指定安放区域。2、 互联网接入区互联网接入区为接入互联网而配置的设备的安放区域,主要放置与运营商互联网接入设备进行互联的本方设备
9、,如路由器、边界防火墙、IPS(入侵防御系统)、链路负载均衡等。互联网接入区主要配置设备如下,关键设备配置两套,以保证可用性要求。表 1 互联网接入区设备序号设备数量备注1链路负载均衡设备2实现多调互联网链路的负载均衡2安全网关2互联网边界防火墙3入侵防御系统2主动防御来自互联网的安全威胁4出口行为审计1对本地用户访问互联网进行审计5防毒墙1防御本地用户访问互联网而面临的恶意代码攻击3、 互联网服务资源区互联网服务资源区指为透过互联网向外提供服务和访问的智慧东丽各类应用的部署区域,物理上集中放置一批服务器设备,并通过虚拟化技术将服务器进行计算资源的池化。通过互联网进入数据中心的访问流量将被终结
10、在此区域,此区域内的服务器若需要与内网资源进行数据上的交互,则可再经由一道防火墙进入核心网络区以访问内网资源。互联网服务资源区主要配置设备如下。表 2 互联网资源服务区设备序号设备数量备注1互联网服务区汇聚交换机2接入该区域的服务器资源2Web应用防火墙2对互联网web服务提供保护3服务器5互联网资源服务区的服务器4、 专网接入区专网指其他政府部门、企事业单位的行业专网,通过专线与数据中心网络互联。专网接入区主要放置与专网接入设备进行互联的本方设备,如边界防火墙等。专网接入区配置两台扩展能力强的高性能防火墙,以集中专网接入的安全管理。表 3 互联网接入区设备序号设备数量备注1专网接入防火墙2数
11、据中心网络与外单位专网的边界安全网关5、 专网服务资源区专网服务资源区指为透过专网向外提供服务和访问的智慧东丽各类应用的部署区域,物理上集中放置一批服务器设备,并通过虚拟化技术将服务器进行计算资源的池化。通过专网进入数据中心的访问流量将被终结在此区域,此区域内的服务器若需要与内网资源进行数据上的交互,则可再经由一道防火墙进入核心网络区以访问内网资源。专网服务资源区主要配置设备如下。表 4 专网服务资源区设备序号设备数量备注1专网服务区汇聚交换机2接入该区域的服务器资源2服务器5专网资源服务区的服务器6、 核心网络区核心网络区是数据中心本地网络的核心区域,主要是核心交换设备以及安全管控设备。核心
12、网络区与互联网服务资源区、专网服务资源区、本地用户接入区、物理资源整合区、运维管理区相连接,均在连接间设置防火墙进行访问的安全控制。因此外部用户需要经过两道防火墙才能进行数据中心核心网络访问本地资源。核心网络区主要配置设备如下。表 5 核心网络区设备序号设备数量备注1核心交换机2接入该区域的服务器资源2NTP服务器为数据中心设备提供统一的标准时间3数据库审计系统对内网的数据库资源的访问进行审计4安全审计系统对内网的网络访问进行安全审计5漏洞扫描系统对数据中心网络进行漏洞扫描7、 内网服务资源区内网服务资源区指向本地用户提供服务和访问的智慧东丽各类应用的部署区域,物理上集中放置一批服务器设备,并
13、通过虚拟化技术将服务器进行计算资源的池化。专网服务资源区主要配置设备如下。表 6 内网服务资源区设备序号设备数量备注1内网服务区接入交换机4接入该区域的服务器资源2计算资源服务器10专网资源服务区的服务器3数据库服务器6专网资源服务区的服务器4计算资源管理服务器2专网资源服务区的管理节点服务器8、 存储资源区数据中心的存储资源区设计根据存储的数据性质不同分为两大类:FC SAN和IP SAN,即光纤存储网络和IP存储网络。前者适用于结构化数据的存储,如数据库;后者适用于非结构化的数据,如文件、图像、视频等。FC SAN存储区域的设备主要包括:表 7 FC SAN存储区域设备序号设备数量备注1集
14、中式存储FC交换机2光纤交换机,连接服务器与存储设备2集中式存储磁盘阵列2存储数据的核心设备IP SAN存储区域的设备主要包括:表 8 IP SAN存储区域设备序号设备数量备注1分布存储接入交换机4IP SAN交换机2存储资源服务器10分布式存储系统的资源节点服务器3存储管理服务器2分布式存储系统的管理节点服务器9、 运维管理区所有对数据中心服务器的操作原则上都必须在专门的运维管理区进行操作,该区域既是网络上的概念,也对应于物理的房间(数据中心控制室)。运维管理区直接接入核心网络区,可以访问数据中心网络上的所有设备和应用,因此运维管理区的物理安全要有严格的控制措施。表 9 运维管理区设备序号设
15、备数量备注1接入交换机4下接工作站,上联核心交换2运维工作站10用于运维操作的电脑终端10、 指挥中心接入区指挥中心本地用户和设备接入数据中心网络的区域。该区域包括接入交换机、汇聚交换机,以及上网行为管理和防毒墙。指挥中心网络布线配线架全部集中在数据中心机房内指定的机柜,配线架经跳线连接接入交换机,接入交换机上联全千兆汇聚交换机。汇聚交换机经防火墙连接核心交换,同时经防毒墙、上网行为管理等设备连接互联网接入区。表 10 指挥中心接入区序号设备数量备注1接入交换机10下接配线架,上联汇聚交换2汇聚交换机2下联接入交换,上联核心区边界防火墙3防毒墙1指挥中心用户访问互联网的病毒防御4上网行为管理1
16、指挥中心用户访问互联网的行为管理11、 物理整合区(二) 虚拟化组网在传统的网络中,为了加强网络的可靠性,一般在核心层将两台设备配置成双核心,双核心起到了冗余备份作用,但冗余的网络架构增加了网络设计和操作的复杂性,同时大量的备份链路也降低了网络资源的利用率,减少了网络的投资回报率。虚拟交换架构的核心思想是将多台设备通过物理端口连接在一起,进行一些配置后,多台物理设备将虚拟化成一台设备,实现整个虚拟化系统中设备之间的信息共享及表项同步,实现了多台设备之间的协同工作、统一管理和不间断维护。网络虚拟化系统整体性能及端口密度都得到了成倍的增长,突破了传统网络结构中单台核心设备的性能及端口密度限制,通过
17、网络虚拟化技术,核心设备可以实现跨设备的链路聚合,与汇聚层设备或接入层设备通过聚合链路连接,在简化网络配置的同时,提高了网络连接的可靠性,保证了网络的稳定运行。在本方案中,对于网络核心设备以及各区域接入设备,我们都采用网络虚拟化技术来进行组网,组网拓扑如下所示:图 2 虚拟化组网技术采用虚拟化技术来进行组网,具有以下优点: 高性能虚拟化技术可以有效提高单台设备的带宽,多台设备组成虚拟化系统后,虚拟化系统的交换容量、包转发率及端口密度是系统各成员之和,虚拟化系统性能得到了成倍的增长,满足了数据中心对核心交换设备的高性能及高端口密度要求。 高可靠性通过虚拟化系统将多台设备虚拟成一台,可靠性大大增强
18、,主控、电源均实现了N+1冗余备份,正常情况下,对外表现为一台设备,如果系统中某个成员发生故障,不会影响到其它成员的正常转发。例如:如果是两台设备组成网络虚拟化系统,当一台设备出现故障时,虚拟化系统将自动分拆成两台独立的设备,另一台设备仍然能够正常转发。虚拟化系统支持跨物理设备的链路聚合技术可以跨设备配置链路聚合,用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口。 通过端口聚合既可以实现流量的负载分担提高带宽,又能够进行互相备份。 简化管理 虚拟化系统从逻辑层面作为单一设备形态运行,和传统常见的提供冗余备份的VRRP+MSTP组网相比,管理简单,自动支持备份简化了网络配置,不需要配置
19、VRRP这样的协议,所有协议分布式运行,方便网络管理员进行网络管理,提升了网络可靠性及可维护性。四、 云计算平台系统设计(一) 资源池设计1、 计算资源池架构设计服务器虚拟化技术是云计算资源架构设计的核心技术,直接决定了整个云计算资源体系对应用系统的承载能力、运行效率以及可靠性。该云计算资源架构设计如下图所示:图 3 云计算资源池架构图2、 存储资源池设计根据对本次智慧东丽云平台建设项目的需求,云平台规划集中式存储容量150TB,分布式存储容量200TB。图 云存储资源池系统示意图互联网资源服务区集中式存储配置50块2.5寸 900G 10k SAS硬盘,35块 3.5寸 3TB 7.2k S
20、ATA硬盘,分布式存储配置60块4TB 7.2k SATA硬盘;内网资源服务区集中式存储配置20块2.5寸 900G 10k SAS硬盘,15块 3.5寸 3TB 7.2k SATA硬盘,分布式存储配置36块4TB 7.2k SATA硬盘。专网资源服务区集中式存储配置20块2.5寸 900G 10k SAS硬盘,15块 3.5寸 3TB 7.2k SATA硬盘,分布式存储配置36块4TB 7.2k SATA硬盘。3、 资源池部署设计(1) 应用服务器部署计算资源服务器可部署虚拟机系统(VM)或直接使用物理PC服务器。当应用负载接近单台物理服务器性能时,可直接部署于物理服务器,一般应用部署在计算
21、资源服务器上的虚拟机。根据应用系统的可用性要求等级不同,在虚拟机上实现高可用的方式有以下三种,虚拟机热迁移,虚拟机HA,物理机HA。虚拟机热迁移用于满足计划内停机维护操作。当服务器需要停机执行维护操作时,可通过虚拟机热迁移功能,将某一物理服务器上的虚拟机动态迁移至另一物理服务器。动态迁移过程,业务不中断,不影响用户的正常访问。虚拟机HA用于满足一般应用服务器计划外宕机。当发生服务器故障时,通过虚拟机HA,虚拟机可在其他的物理服务器上自动重启,实现故障转移。此过程会引起短暂业务中断,业务中断时间由虚拟机操作系统在另一物理服务器上启动的时间及应用系统启动的时间决定。通过虚拟机HA比传统群集较少一半
22、的服务器数量,在保证了一定高可用的同时提高资源利用率。对于直接部署在物理服务器的应用系统,可通过高可用群集软件提供可用性保证。在windows系统可配置MSCS群集,在redhat Linux操作系统可配置VCS群集。通过部署高可用群集,在确保在物理服务器故障或应用故障时,进行快速的故障转移,减小并消除业务中断带来的负面影响。为了能够提供具有更高可扩展性和可靠性的应用平台,并能够在服务器集群中智能地分配负载,从而确保客户最大限度地发挥其应用服务器投资价值,结合硬件负载均衡设备,为部署在应用服务器上的服务和应用提供最佳的可扩展性和性能。(2) 数据库服务器部署数据库服务器作为业务系统的数据处理平
23、台,对服务器的I/O处理能力、内存、CPU等有较高要求的,建议采用高性能机架式服务器部署,不同的业务系统数据库可通过多实例进行共享同一物理服务器群集。对服务器性能要求一般的数据库管理系统可部署在虚拟机上。数据库服务器做业务系统的核心节点,为了保障其的高可用性,建议至少使用2台物理服务器或2台虚拟机做HA。部署于虚拟机上的数据库管理系统可通过HA技术保证其高可用;部署于物理服务器的数据库管理系统通过数据库管理系统自带群集软件(RAC)实现其高可用。根据应用类型和规模的不同,数据库对于服务器的性能和安全性要求也不一样。总体上采用在物理服务器和虚拟机相结合的部署方式。4、 设备选型机架式服务器实际上
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
20 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算 数据中心 建设 方案