数据中心建设方案.docx
《数据中心建设方案.docx》由会员分享,可在线阅读,更多相关《数据中心建设方案.docx(12页珍藏版)》请在冰豆网上搜索。
数据中心建设方案
XX核心机房改造方案
2017年4月
一、方案概述
结合X市X局现有数据中心的现状,本次建设的分为四个部分进行建设
(一)现状及业务状况分析
现X市X局数据中心机房在市X局的二级单位-X市X学院4楼平台。
平台历经和X的合作,后期逐渐组建自己的网络中心维护管理着数据中心的业务,平台的几个重要功能分析如下:
做为X市X局及其各个区县X局的总出口来确保下属各个区县的互联网访问,提供市X局相关工作要求的上传下达。
处理基于X查询、X管理等重要的业务平台。
历经了X年的XM到XM的扩容。
但是随着各个区县对于互联网资源的爆炸式需求,各个区县独立业务的上线。
普遍放映出来的问题是“慢”,如何解决“慢"问题是重中之重。
X年9月份,市X局下发了各个区县X局独立利用各个区县的财政资金来解决本区域内的物联网带宽的资源问题,很好的解决了各个区县“慢”的问题。
但是,X市X局数据中心无论是设备还是结构都出现的严重的老化,无法更好的保证X市X资源的分发和访问。
建立一个高可用、高安全的数据中心势在必行
(二)数据中心和核心建设是什么
数据中心顾名思义,第一是中心,其次是数据。
那么建设一个什么样子的中心尤为重要。
中心承载着各种信息数据的基础设备如互联网出口设备、核心数据交换设备、各种数据安全防护设备,数据存储平台设备.
结合现状建议把数据中心建设分为几个阶段
第一阶段:
数据中心基础设施建设
一个标准数据中心机房的硬件建设应包含:
基础装修、门禁、安防、UPS、精密空调、机柜容量、防雷接地、消防、网络、服务器等组件,只有建设一个强大且先进的平台,才能确保在5-8年采购的信息化支持设备能力全力的发挥作用。
同时可以满足主管单位的检查要求,即使资金有限但是应该全力确保
(三)综合运维平台建设
现阶段业务管理情况分析:
任何一个完善且健康的数据中心必须管理是重要的手段,如何有效的管理数据中心和一个数据中心能否把业务运行的健康的关键.
X市X局数据中心10几年来使用的管理手段比较单一,只能处理独立的业务和设备,对于数据中心的整体运行情况缺少一个直观的分析.
如何让本次建设的数据中心体现价值
一个先进的数据中心运营维护应该确保:
1、上级单位参观可将建设的方向,内容,及思路全面呈现,体现建设的效果。
2、确保下属单位参观学习能够体现市X局先进性、高度性、强大的支撑平台确保各个区县的业务稳定高速的运行。
将业务健康度完全呈现,将业务风险降至最低,将故障处理时间缩至最短。
此平台应当还应具备的功能:
1、将整体业务的拓扑结构的完全呈现,其中包含各种可以与信息化对接的系统,例如:
网络,服务器,PC,监控,安防,环境功力监测等系统。
城域网的管理不像普通局域网,一般只需要关心网络设备和终端的故障,需要从业务层面来管理,所以就需要一个好的IT运营管理系统来提供强有力的支撑。
传统城域网建设会都会遇到以下几个问题:
1.基础网络好建设,资源平台怎么建?
资源从哪里获得?
2.网络建好了,硬件都是豪华高配,应用却用不起来,资源有没人用,如何破解?
3.如何合理的利用网络资源带宽,让网络资源合理利用,不会造成网络资源的浪费?
这些都是X城域网建设中,遇到的难题.网络资源访问的体验差,阻碍了教学模式变革;优秀教学资源无法有效推广,资源利用率低;各校、各区存在信息孤岛,资源无法共享导致城市乡村存在数字鸿沟。
(四)数据信息安全建设
现代化的数据中心安全一个是数据安全一个是链路通道安全。
只有链路通道安全才能确保后台的数据安全。
建设一个等级保护3级的安全网络所需要条件:
1、设备的异构:
各安全厂商对于不同的安全方向有不同优势,所以一个大型的数据中心应采用不同厂商的安全产品,确保在每个安全领域均有最好的防护效果
2、统一的管理:
先进的安全建设会采用不同厂商产品,如果把一个又一个不同厂商的安全设备通过集中管理的模式,会使安全等级进一步完善
3、数据安全通过冗余、备份或者虚拟化等手段进行确保。
(五)平台迁移
现阶段X市X局数据中心核心设备如下
1.核心出口设备
2.核心交换设备
3.核心箱式安全一体化设备
4.2016年底采购的安全防范设备
(六)方案综述
本次X市X局数据中心建设在财政投资预算有限的前提下
重点进行基础设施的建设:
1.建设高可用、高扩容、高质量的数据中心机房
2.建设完善高效的综合运行管理平台
3.建设数据信息安全管控平台
4.最后完成和原数据中心设备的对接和切割
二、数据中心机房建设
(一)基本信息
X市X信息网新机房分为两层,一层为设计配电间与网络机房,二层设计为服务器机房,机房装修包括:
地面部分、墙面部分、棚顶部分、隔断,墙面装饰及照明系统。
新机房一层平面示意图:
新机房二层平面示意图:
(二)配电系统
X市X信息网新机房配电间与网络机房相连,建设内容如图所示:
根据机房现有情况及未来扩展需要,建设一套200KVAUPS,UPS配置独立后备蓄电池,支持满载负载一小时。
UPS电源为大屏幕系统、中心机房服务器、存储设备、网络通讯设备、消防系统和应急照明系统供电,其他设备采用市电供电。
机房配置一台总配电柜,含市电入户总开关一路,配置电量仪显示入户线路电压;
空调控制空开2路,
UPS输入空开2路,UPS输出空开2路;分空开48路(每机柜2路);
机房灯光回路空开三路(配电间,网络机房,服务器机房,);
每台机柜两路配电,采用6平方BV线铺设,PDU采用IEC接头。
机房强电静电地板下铺设,采用镀锌铁槽走线。
(三)空调系统
网络机房与服务器机房各配置一台精密空调,配电间配置一台立式空调。
如图中黄色部分所示。
机房空调及通风系统主要有两个作用:
其一;给机房提供足够的新鲜空气,为工作人员创造良好的工作环境。
维持机房对外的正压差,避免灰尘进入,保证机房有更好的洁净度。
其二;维持机房的温度、湿度和洁净度,为机房网络设备、服务器等设备提供一个安全的运行环境。
为使机房的主要设备和管理操作人员有一个良好的工作环境,并使其能够安全、可靠地运行,发挥其最大的工作效率,就要提供一个符合其运行标准要求的机房环境。
这就对机房空气的制冷、制热、加湿、去湿、滤尘有严格的标准要求.设备运行情況、使用寿命与工作环境有密切关系,温度、湿度、洁净度就是工作环境的关键因素.机房采用下送风上回风精密制冷空调。
(四)机房环境监控系统
环境监控系统集中监控的内容包括:
电源监测、精密空调监测、UPS监测、漏水监测、温湿度监测、烟感监测、红外监测。
网络视频监控系统,可以通过前端安装的摄像机,对机房各重要部位进行图像监控,并且配置网络视频发送器,通过现有计算机网络传输各监控点的监控图像,领导在各自办公室用微机进行监视,在监控中心通过视频服务器和相应的软件对前端监控图像进行视频报警录像。
(五)方案介绍
对机房内的机电设备,包括,UPS、专业精密空调进行集中监控和管理。
系统必须可靠、安全、易用、易扩充.监测内容有:
机房的温湿度、配电及UPS、漏水、门禁、视频监控、精密空调、消防报警、防雷等系统,支持图像识别报警和自动记录视频图像,有数据记录和历史曲线记忆等功能,支持短信报警,支持基于网络的远程监控和查询.
(1)温度、湿度监控:
在机房的主要设备工作间均需安装温度和湿度传感探头,对温度、湿度进行实时检测,在监视屏上显示各测点温度、湿度值。
当检测值超过各工作区规定的温、湿度上、下限值时,在监视屏的相应数据旁用醒目的标志符的闪动来提示该值的超限报警。
(2)配电系统监测:
对配电(市电、UPS和中心电源系统)主要开关状态监视,实时监视电压(V)、电流
(1)、频率(F)、有功功率(P)等内容。
对市电的电压、电流、开关状态以及UPS的运行状态、输入输出电压质量、负载电流进行监控,提前做出予警判断,及时检修,以保障整个机房用电设备的安全.通过UPS自带的通讯模块接口进行采集。
(3)漏水系统监测:
在环绕机房的重点部位及空调机的加湿管、抽湿管、本体等部位的活动地板下,设置漏水传感器,一旦机房出现漏水情况,即在监控主机上显示漏水部位并报警。
(4)门禁系统监控:
在机房总入口设计一套磁卡门禁管理系统,由集中监控系统统一管理,机房的门加装配套的进出双向门禁控制器和门锁。
实现的功能:
可以本地和远程控制门的开关、通过网络实时查询门禁状态、设定出入等级限制、允许进入时段等多项管理功能;机房门禁产生动作时实时记录门禁的动作时间,对出入人员代码、出入时间、出入门号码进行登录与存储;对非法强行进入人门行为予以报警。
(5)精密空调监控:
精密空调压缩机状态、温湿度监测、风机状态、加热器状态、抽湿器状态、加湿器状态、漏水报警,运行状态、故障报警监测等.在工作站彩色图形显示、记录各种参数、状态、报警、运行时间、趋势图、动态流程图,通过精密空调自带的通讯模块接口进行采集.
(6)消防监控:
消防系统等设备的性能、运行情况和故障报警.安装在机房和走廊吊顶的感烟探测器及感温探测器发出信号时,在值班监视器上显示火警方位,发出声光报警,使得监控人员能够迅速采取下一步的措施.
(7)防雷系统监控:
对防雷系统进行全面监视,一旦系统故障立即报警。
(8)机房集控系统能够通过声音、提示和手机短信方式通知。
(六)机柜系统
网络机房机柜如下图右侧所示,共计8台网络机柜,2个列头柜:
服务器机房共计16台网络机柜,2个列头柜
(七)防雷系统
机房按照GB50057—94《建筑物防雷设计规范》作好防雷措施,在重要设备端需要设计完善的防雷系统,电源防雷装置至少分为三级,对配电柜、UPS、服务器、核心交换机实施二级防雷。
防雷器采用质量可靠的设备,具有防浪涌、防雷击过流保护能力.
(八)接地处理方案
一级防雷:
配电柜电源进线处接大容通量的电源防雷器.变压器的机壳、低压侧的交流零线以及与变压器相连的电力电缆的金属外护层应就近接地。
二级防雷:
UPS配电箱引出的三根相线及零线接电源防雷器,箱内交流零线不作重复接地.机房内所布放的交流供电线路中的中性线(零线),应采取绝缘导线。
交流配电箱上的中性线(零线)汇集排应与机架的正常不带电金属部分绝缘.
三级防雷:
使用专用的避雷电源插座。
机房内所有交直流用电及配电设备均应采取接地保护.交流保护接地线应从接地汇集线上专引,严禁采用中性线作为交流保护接地线。
(九)消防系统
消防系统是机房必不可少的一个保障.机房消防必须采用无腐蚀作用的气体自动灭火装置。
气体灭火装置的灭火性能可靠,不损坏电子设备,暗管布方式安装,不影响机房整体效果。
7。
1机房结构和防火分析
1、机房内的空间结构分为三层:
地板下、天花下、和地板天花之间.
2、一般机房的起火因素主要是由电气过载或短路引起的,燃烧的主要区域一般在地板下或天花下,燃烧初期发出浓烟,温度上升相对较慢。
7.2消防报警系统设计
7。
2.1火灾探测器位置设计
1、每个机房分别在地板下、天花下安装两种不同灵敏度的感烟探测器,既在一个感烟探测器的单位探测面积内设置二只不同灵敏度的探测器。
2、每个机房地板下安装1个感烟探测器,1个感温探测器;天花上安装1个感烟探测器,1个感温探测器
7。
2。
2消防灭火系统设计
1、根据机房的特殊性,本系统采用气体灭火系统,并根据气体灭火的要求,设计系统所需的其他辅助电气设备.
2、设置一个气体紧急启动停止按钮,安装在灭火区域外墙上.
3、设置二个声光报警器设置气体喷放指示灯,安装在灭火区域外一个。
4、设置气体喷放指示灯一个,气体喷放指示灯是灭火控制器接到气体管路上的压力开关动作后的返回信号来控制的。
其他报警系统的设备如手动报警按钮、消防警铃等,按照消防规范设置。
(十)安防门禁
机房门禁系统多采用刷卡式门禁系统。
该系统可灵活、方便地规定进入机房的人员、时间、权限,防止人为因素造成的破坏,保证机房的安全。
同时在各机房内部及周围设置16个球机摄像头,保证无死角监控。
三、综合运维平台建设
现阶段业务管理情况分析:
任何一个完善且健康的数据中心必须管理是重要的手段,如何有效的管理数据中心和一个数据中心能否把业务运行的健康的关键.
X市X局数据中心10几年来使用的管理手段比较单一,只能处理独立的业务和设备,对于数据中心的整体运行情况缺少一个直观的分析。
如何让本次建设的数据中心体现价值
(一)网络拓扑
在本项目中,推荐采用由统一维运管理平台。
可以提供多厂商、多种类的IT资源监控,通过标准的协议接口,RIIL可以完成对路由器、交换机、安全设备、无线设备、服务器、数据库、中间件、虚拟化设备、存储设备、应用、日志等监控,并且提供开放的接口,用户可以自行编制监控脚本,完成相应资源的监控。
作为一款企业级、平台级的综合监控管理平台,通过SNMP、ICMP、NetBIOS、ARP、Traceroute、Telnet等多种手段可以良好支持众多厂商的网络设备,包括Cisco、锐捷网络、华为、H3C等不同厂商的路由器、交换机、VPN、防火墙等设备。
采用业界领先的、独有的DFC算法和CDP算法以及种子IP算法,可以快速搜索全网直至PC端,自动发现获取链路连接信息、设备状态等信息,可广泛应用于多厂商设备,对超大型网络,可设置分级、分别管理不同的子网。
即使您的网络中包含多家厂商的网络设备,RIIL都可以一网打尽,整网监控。
此平台可以通过多种手段自动发现、识别网络设备,依据自动发现的各类设备,通过智能拓扑算法,自动生成二层网络拓扑和三层网络拓扑结构图,提供了拓扑的动态跟踪和更新功能,更加有效的反应网络拓扑现状,自动跟随客户网络情况而变化,不需人工干预和调整。
同时支持设定不同的发现深度,以及设定发现的网络范围,确保一些保密性相对较高的子网不被发现出来。
发现算法支持SNMPv1/v2/v3和CiscoCDP,确保兼容性
统一维运管理信息化的人财物,整合为面向管理者、基于业务、高度可视化的运营管理平台,解决客户信息化投资如何保障、增效、增值的问题.实现统一的IT基础设施管理、业务价值分析、数据中心机房环境、IT运维工作与绩效、IT自动化管理等,致力帮助客户构建完整的IT管理体系,实现自动化、标准化、规范化,提升整体IT管理水平,保持IT业务良性、稳定和长效发展。
(二)业务健康程度
提供关键业务系统的健康指数曲线,并以K线图的形式直观显示,可以帮助用户了解在每一个时间范围内,这些关键业务系统或重要的IT资源的综合健康水平和变化趋势,从而使管理者能够直观的看到IT部门对业务系统的支撑质量.IT健康指数可以自定义健康资源对象、权重和监控周期,自定义IT健康指数折线图.选取任意时间节点,可以了解该时间点参与健康指数曲线计算的业务系统的健康度指标和关联告警信息.
附图1.IT健康指数
(三)机房管理
随着业务对于IT的依赖度越来越高,IT部门所需要维护的业务系统和IT资源数量更多,各资源间的结构和种类更加复杂,更多的IT资源将更加统一、集中地部署在数据中心机房中,那么机房环境的变化将对IT资源的正常运行产生直接影响,进而影响业务系统的正常运行。
因此,IT运维人员还需要关注机房环境的变化情况。
另外,在节能减排、绿色环保的社会环境下,IT运维人员还要更加关注机房中各设备的能源使用情况。
基于这样的应用需求,我们采用智能机房环境管理模块,通过TCP/IP网络,直接获取机房环境设备探头的数据信息,并实时进行反馈和呈现;对于不支持TCP/IP网络的机房环境系统,也支持对机房环境管理软件进行集成的形式达成综合性机房环境系统的深入管理工作.
通过该模块其他模块的配合,综合业务管理平台可以实现从业务视角对IT资源和环境元素的综合统一管理,让运维管理全方位、不留死角。
❒机房监控范围
系统支持对温湿度、烟感、水浸、空调、风机、照明、粉尘、电量仪、电量、电流、UPS、电池组、智能配电柜、交流配电屏、直流配电屏、配电空开、防雷、发电机、电气火灾探测器、烟感、温感、消防报警机、视频、门禁、红外、门磁、玻璃破碎、机柜等29种资源统一监控,结合基础资源监控管理实现机房动力环境对业务影响的一体化管理,同时提供告警及报表功能。
❒机房监控卡片
智能机房环境管理模块可以将每一种不同的机房环境因素都做成一张元素卡片,通过元素卡片,用户能够看见这个元素的真实造型,该元素中所有的指标信息,甚至可以简单地了解该元素的工作原理.
附图2.机房UPS监控卡片
❒可视化视图
RIIL提供机房可视化管理视图,从而多角度深层次的呈现和挖掘用户关注的机房内部所有信息。
支持机房布局3D效果的可视化呈现,通过全3D仿真的虚拟机房环境,可洞悉每一个机房元素,了解机房相关(机房信息、机房元素指标、机房内设备和元素的告警)、机柜相关(包括机柜内的设备信息、设备面板、机柜微环境等)、各种机房设施的信息均以分级分层的效果呈现。
通告3D可视化视图,支持从机房→机柜→设备→设备面板的可视化数据钻取路径。
在可视化视图页面,还提供了用户常用工具,如搜索定位、可用空间查询、环境监控(包括空调监控、UPS监控、配电柜监控和视频监控等)、机房统计(包括能耗统计、空间统计、设备统计等).
附图3.机房可用空间可视化视图
❒自定义机房配置
系统内置完整传感器图例(温度、湿度、滴露、浸水、监测仪、空调、烟感、门禁、配电箱、UPS、线式浸水传感器等),通过图形化的所见即所得的拖拽设计方式,灵活设计机房、机柜结构图,设计完成的机房结构图可被立即部署,大大降低实施及后续维护难度。
传感器是发现和监控机房元素的工作站,系统支持监测仪的添加、删除并完成发现机房和元素的操作,根据管理需要可灵活扩展监测范围。
附图4.自定义机房布局设计
支持对机房环境中已发现的机房完成基本信息、机房元素、机房状态、PUE、合规性和机房权限等配置.也支持自定义创建新机房,根据管理需要编辑机房基本信息、元素管理、状态配置和权限设置即可完成新机房的创建。
◆监测仪设置:
可以配置监测仪的IP地址、用户名和口令,然后发现机房环境监测元素。
◆机房配置:
可以设定机房的基本信息。
机房名称、合规性、管理员、地理位置、面积、描述等.
◆元素管理:
可对当前机房已发现的机房元素进行修改元素名称和厂商等信息.
◆状态配置:
定义当前机房的状态规则。
◆PUE设置:
定义计算当前机房PUE值的电量仪指标(PUE计算公式=数据中心总电量/IT设备负载电量)。
◆合规性设置:
匹配当前机房合规性级别设置的温度和湿度指标值。
系统提供默认值,用户可重新定义。
◆机柜配置:
设定机柜的厂商、规格、名称、归属、机柜与设备的放置关系等信息.支持批量导入和导出功能,并可以设置机柜的能耗关系和微环境元素。
◆权限设置:
定义对当前机房拥有只读或可操作权限的用户.
◆非监管设备配置:
对非智能的设备或受保护不能监控的设备,提供非监管设备配置作为入口,通过人工配置,实现这一类设备能够在机房可视化视图中进行展现.
◆策略配置:
针对不同机房元素的指标信息进行配置,设定相应的阈值范围,以及与该范围相匹配的事件告警信息。
(四)用户管理
用户权限管理充分考虑多用户的分权、分域管理,同时能够纤细划分用户的资源、及系统权限。
系统最高权限为超级管理员,超级管理员将具备最高权限,用于资源的添加、用户添加、权限管理等。
❒按部门进行用户管理
首先按组织架构创建系统的工作部门,此工作部门可按照实际用户部门组织架构进行设定。
在设计部门组织的时候可设定部门的上级单位,同时可将用户逻辑的分配在部门内.部门的设置不仅关系到使用运维系统的用户,同时也将在业务服务一览中可以进行对应关系设置,用来显示业务系统对用户的影响。
❒用户管理
用户管理可以添加用户的详细信息,包括设定用户所在部门,相关详细信息将用作短信、邮件的告警通知。
在设定完用户后,就可设定用户所属角色及所在部门。
❒角色管理
角色管理将设定用户的所属角色,这里将设定用户的管理权限及系统的使用权限。
例如,用户所属为机房管理员,那么机房管理的角色组将只能访问机房监控的相关功能.
❒用户域管理
域管理主要用于具有上下级管理的场景,下属节点具备多组织部门,同时各个组织内具备各自的资源管理及用户管理.将能够设定多个子域,同时设定子域内的管理用户及资源列表。
❒功能权限管理
角色组的管理员将能够被设定所能访问的系统界面,精确到每一个页卡。
附图5.功能授权
❒用户与监控对象管理
针对实时监控集成系统纳入监控的对象范围,以及用户对监控对象的关心程度,实现用户分权限访问监控资源。
用户工作组将根据用户所管理资源的不同设定资源管理权限,例如主机管理员工作,设定管理权限为主机操作系统,那么在主机工作组下用户只能在监控系统中看到固定的资源内容。
四、信息数据安全建设
现有架构的安全平台由于管理员对于不同厂商设备了解程度不同,常常一台设备配置策略之后,就不再管理,如果不出问题,那台安全设备形同虚设,也不会有人主动去查看安全日志。
安全平台建成后,可将未来所有安全设备统一联动,避免安全设备出现零利用率的情况。
加快等级保护的建设的进程。
(一)开放兼容收集海量日志构建安全大数据仓库
1.服务器、网络、安全等各类日志统一收集
2.安全大数据仓库,将海量日志标准化为统一格式
(二)大数据分析精准定位全网核心风险
1.日志、漏洞和资产大数据关联分析,准确定位安全问题
2.丰富的关联分析模型,支持自定义设置,满足各种场景需求
3.内置漏扫引擎,按需进行漏扫计划
(三)构建安全知识库降低运维技术门槛
1.内置工单系统,流程化安全管理,实时监控问题处理过程
2.安全知识库,给技术人员提供技术和解决方案
3.知识库自行管理并不断丰富,提供更新服务
(四)安全合规自查等保自评轻松实现
1.基线扫描引擎,实现资产脆弱性感知和自查
2.脆弱性报表,方便周期性安全检查
3.内置等级保护、萨班斯等标准匹配模型,帮助用户自我测评
五、平台迁移
(一)现有业务搬迁
将下列X网设备全部迁移至新机房。
新网络的架构如下图所示:
信息中心原有的启明星辰TJCS-NS—VM、H3CSecPathT1030、H3CSecPath网页防篡改旁挂于安全资源池,通过SDN技术对内网进行防护
H3C7510依然用于与出口带宽互联,配置4块ACG板卡保证与互联网会话的建立,配置2块防火墙板卡,保障外网不会遭受大流量攻击。
H3C10500原用于整网核心,并配置1块IPS板卡,继续使用
H3C9512用连接各区互联网业务,继续使用.
(二)设备扩容
1.增加一台与原有核心相同型号的交换机,并增加业务板卡,形式双核心备份,增加网络的可靠性。
保证原有核心不会因为宕机导致业务中心。
2.将安全区域改为"SDN”即"软件定义网络”架构,实现核心及安全区域完全实现软件化引流,实现动态策略规划,对于转发速度要求高的数据进行快速转发,对于安全性高的数据流量进行引流分析过滤,当单个设备出现故障时,通过内置的软件策略可以实现拓扑自动变更,网络转发自动恢复。
3.增加互联网业务数据缓存系统,提高互联网访问速度,同时可用于X资源分发,加速三通两平台的建设
4.增加IT运维系统,功能包含业务服务、告警中心、资源管理(资源、拓扑和无线)、脚本监控、统计报表组件。
支持网络虚拟化。
支持网络虚拟化。
可对机房UPS、温湿度、火警、烟感等监控探头实施监控
5.增加负载均衡设备,对服务器区业务减少并发压力.
6.增加保垒机一台,对管理员的管理行为进行审计,对于恶意更改与非法登陆做到彻底防范。