数据中心及应用服务中心规划方案模板.docx
《数据中心及应用服务中心规划方案模板.docx》由会员分享,可在线阅读,更多相关《数据中心及应用服务中心规划方案模板.docx(79页珍藏版)》请在冰豆网上搜索。
数据中心及应用服务中心规划方案模板
XXXX基础地理信息中心
数据及应用服务中心规划方案V2
2012年11月
概述
XXXX基础地理信息中心主要从事福建全省测绘档案资料的收集、整理、保管、编绘和呈报工作;全省测绘成果的分发服务;空间数据的加工、处理和集成;多源、多尺度空间基础地理信息数据库建设及GPS、GIS、RS技术的集成与应用开发。
其中,XXXX基础地理信息数据库是XXXX地理空间基础框架的核心,是多尺度、多数据源、多分辨率、多时态的现代基础测绘成果的集成,是福建自然、资源、环境和社会经济等信息的空间支撑的公共载体和基础。
目前承载的数据大体上分为二类,即矢量数量和图像数据,其中矢量数据大约有几十个GB,而图像数据则较大,由上百万个小文件组成,大约由几百个GB,且其数据量呈高速增长的趋势。
根据规划,XXXX基础地理信息数据库将在以下网络环境中构建相关的应用平台向不同的受众提供多级互动的地理信息服务:
Ø将基于Internet构建“XXXX地理信息公共服务平台”,主要是面向社会大众以及相关企事业单位提供地理信息服务。
Ø将基于数字福建政务网(以下简称电子政务内网)构建“XXXX地理信息公共服务平台”,纵向上主要实现国家、省、市测绘部门互联互通,横向实现测绘与政府、专业部门(如公安、国土资源、气象、地震等等)互联互通,实现地理信息资源分布式在线共享与集成应用,促进地理信息在政府宏观决策、应急指挥、业务管理、社会公益服务等方面的应用,全面提升信息化条件下地理信息公共服务能力和水平,从而有效避免“信息孤岛”现象,充分发挥财政资源的效益。
Ø另外,由中国电信福建公司承建的XXXX电子政务外网(以Internet为承载平台,以下简称电子政务外网)建成后,XXXX地理信息公共服务平台还要与其积极对接,一是实现和国家地理公共服务平台的对接;二是推进地理信息社会公共信息化服务应用项目向基层和农村延伸,实现公共信息化服务城乡一体化。
基于不同网络环境构建的XXXX地理信息公共服务平台建成后,可以提供全省多尺度(从1:
100万到1:
500)、多种类(地理实体数据、电子地图数据、地名地址数据、高程数据)的地理信息一站式服务,从而实现地理信息服务模式的变革与创新,为“数字福建”建设和海峡西岸经济区建设提供坚实的地理信息保障服务。
综上所述,我们将利用并通过整合、快速、创新的业务解决方案来实现用户价值。
基于外网的地理信息运营支撑平台规划
2.1综述
外网分为两部分,即完全开放的Internet国际互联网和中国电信福建公司承建的XXXX电子政务外网(以Internet为承载平台),电子政务外网是政府的业务专网,它不仅为政务部门的业务协同和信息共享提供网络与信息安全等支撑服务,更重要的是为社会公众提供政务信息服务,是有效沟通政府与公众的桥梁。
而在目前XXXX电子政务外网没有正式建成前,我们还必须主要依托Internet国际互联网这个网络平台为社会公众及相关企事业单位提供多级互动的地理信息服务,待XXXX电子政务外网建成后,建议采用XXXX电子政务外网与Internet国际互联网这两个网络并存运营的方式。
本章方案设计的主要目的就是为保证XXXX地理信息公共服务系统的稳定高效运行构建一个基于外网的稳定、安全、先进的外网运营支撑平台。
2.2基于外网的运营支撑平台总规划拓扑图
基于外网的地理信息支撑运营平台规划总图<图1>
如<图1>所示,XXXX基础地理信息中心基于外网的地理信息支撑运营平台从架构上看,可以分为外网线路规划、基础网络规划、应用主机部分规划以及网络安全规划等4个部分,以下,我们就将本着“统一规划、分期实施”的原则对以上部分逐一进行规划说明。
2.3外网线路规划
为保证XXXX地理信息公共服务系统的顺畅运营,根据其业务特征,有必要对外网线路进行一次梳理和规划,这样才能根据外网线路的实际带宽状况对整个外网进行结构性设计,避免“头轻脚重”或者“头重脚轻”,使投资效益最大化。
ØXXXX电子政务外网线路:
XXXX电子政务外网建成后,主要运行政务部门面向社会的专业性服务和不需在内网上运行的业务,各个节点带宽如下:
省核心链路带宽2.5G,核心和汇聚层采用1000M,厅局接入100M。
也就是XXXX基础地理信息中心也会有一条电信福建公司承建的100M的承载于Internet的电子政务外网线路。
ØInternet线路:
目前,XXXX基础地理信息中心已有3条Internet线路,分别是电信20M、电信10M和联通10M,我们拟对这3条线路进行整合和扩容,以满足XXXX地理信息公共服务系统的运营要求:
即将电信20M、电信10M这两条线路整合成一条100M线路;联通10M这一条线路扩容成100M。
(注:
可根据流量负载状况分期扩容)
Ø远期外网线路总汇:
支撑XXXX地理信息公共服务系统运营的就有3条外网线路可用使用,分别是XXXX电子政务外网100M、电信100M和联通100M,合计300M的带宽且这3条不同运营商的外网线路互为备份,共同构建一个稳定可靠、永不断网的Internet出口环境。
另外,需要说明的是,如果远期XXXX电子政务外网100M线路运营稳定,且提供的带宽可申请扩展,建议可以取消电信100M线路而保留不同运营商(联通)的100M线路,以减少每个年度的运营成本支出。
2.4基础网络部分规划
如<图1>所示,我们如果单纯地把基于外网的地理信息支撑运营平台当作一个整体,基础网络部分就好比是一条“高速公路”,只有路况良好才能保证“汽车”(即应用主机系统)高速运行,因此,我们规划的两大目标是:
实现多ISP接入链路的负载均衡及冗余、构建稳定高速的数据交换网络。
Ø为了实现多ISP接入链路负载均衡及冗余的规划目标,我们在在外网链路与核心网络之间部署了链路负载均衡设备,其主要作用是:
●保证最终用户对Internet实现不中断的访问:
链路负载均衡能够连续监视每个Internet连接的状态;自动检测各种故障,如链路、路由器、DNS服务器和其它故障;通过检查确保用户只使用那些高效运转的接入链路;可以根据优先权、IP地址、内容和其它用户指定的参数转发数据包;特定内容选择最佳链路时,会综合考虑与请求内容的网络就近性、链路的实时负载与链路的成本。
●端到端QoS保证:
链路负载均衡的内置带宽管理功能,可以按照4~7层的特性识别不同类型的流量,通过带宽保证和限制,为关键业务提供服务质量保证。
Ø要构建一个稳定高速的数据交换网络,核心交换机的规划就显得尤为重要,因为其将负责各种业务数据流量的转发,是整个网络最核心部分,它的性能、可靠性将极大地影响整个网络的运行情况。
因此,我们在整个网络最核心部分规划部署了增强型IPv6三层万兆以太网交换机,其提供以下功能:
●地图服务等其他应用服务器可直接千兆接入核心交换机,实现数据的高速转发;
●地理信息业务,最为重要的需求是I/O性能的提升,我们规划中将数据库服务器通过其自带的万兆网口与核心交换机万兆光纤端口直连,可以满足大容量I/O吞吐的需求。
●规划中,我们在Web应用服务器区前端部署了千兆二层交换机(可利用已有的IBMBladeCenterH刀片机箱中自带的以太网交换机模块),做为其专有的接入交换机,主要是考虑即将上线的是基于Internet的业务,必须将Web应用服务器区与其他应用、数据库服务器区分开来,实行单独防护。
Ø另外,为了满足核心网络节点高可靠性、高稳定性及高性能等方面的需求,以上规划均考虑了双机冗余的部署方式,以避免单点故障。
Ø基础网络部分拓扑图
2.5应用主机部分规划
“高速公路”(基础网络)建好了,还需要“好车”带着我们(主机以及应用软件)奔向目标。
应用主机部分就好比是一辆辆“汽车”,如何让她们高速、经济高效、不间断地运行,是我们规划的最大目标。
应用主机部分主要可以分为前端应用主机(如Web应用、地图应用等等)、数据库主机、存储系统、服务器负载均衡以及备份系统5个部分,规划图如下所示:
如<图3>所示,由于基于外网的应用与基于政务内网的应用相比,相对简单,为了取得最高性价比及保护原有投资,我们建议利用已有的IBMBladeCenterH刀片和IBMDS4700磁盘存储系统用标准方式构建。
Ø前端应用服务器群:
主要承担Web、地图等应用业务,由于对计算的要求不大,规划中我们利用用户已有的IBMBladeCenterH刀片系统构建,已有的IBMBladeCenterH刀片机箱尚有12个刀片服务器空余托架,根据业务发展状况可分期部署,并可根据不同的前端应用配置RAC(集群)以保证高可用性。
Ø数据库服务器群:
由于地理信息业务对I/O性能的需求极大,规划中我们将利用用户已有的两套IBMx3650M2部门级服务器,配置HA(双机热备)来构建数据库系统;以后,如有其他项目上线,我们可以方便地通过增配一套或多套企业级服务器来扩展数据系统,新增的数据库服务器可以通过自带的万兆端口与核心交换机的万兆端口双链路直连,既能保证高I/O吞吐又能保证高可用性。
Ø光纤交换机:
未来多业务系统上线后,平台中将部署多台数据库服务器,这就需要通过光纤交换机与光纤通道磁盘存储系统连接,而不能采用数据库服务器与存储系统光纤直连的方式;为保证高可用性,规划中部署了两套光纤交换机并配置成HA工作模式。
Ø存储系统:
我们将利用用户已有的IBMSystemStorageDS4700构建,目前配置有10个300GB15000RPM4GB光纤硬盘(RAID5),本机还有8个硬盘空槽,未来可以通过加配硬盘以及扩展存储柜的方式(最大112个硬盘槽位)方便地扩展存储容量;建议采用RAID5+Hotspare工作模式。
Ø服务器负载均衡:
如<图3>所示,我们通过在前端应用服务器上配置(RAC集群)来提高网站的处理能力,但其不足之处在于每一个前端应用服务器都有一个唯一的IP地址,外网用户需要记住多个IP地址以更好地访问该站点,由此也造成流量不能有效地在多个服务器之间进行分配。
因此,我们在核心交换机上部署了服务器负载均衡设备来解决此问题,其在进行流量管理时,被分配一个虚拟的IP地址即VIP,外网用户只需通过访问VIP,负载均衡设备会根据当时的服务器的工作状态、负载情况,按照一定的分配算法将流量分配到服务器群中的一个服务器,对于用户来说服务器群是透明的,用户并不知道服务器群的存在,VIP即是该站点的接入地址。
负载均衡设备进一步地提高了网站的可靠性,这是由于当服务器群中的某一个服务器发生故障,会有另外的服务器接替其工作,并且负载均衡设备会确保流量不会分配到工作不正常、关机或处理能力已饱和的服务器上。
Ø备份系统:
如<图3>所示,从前端应用服务器、数据库服务器到光纤交换机,用户所使用的都是集群环境或全冗余架构,在这其中无论是哪个环节发生单点故障都不会影响业务的连续性。
但是在此环境架构中,存在着一个致命的环节,因为在此环境中所有的数据都是保存在IBMSystemStorageDS4700光纤磁盘存储系统上,其就好像是“好车”上的“发动机”,是应用主机系统的核心所在。
虽然DS4700有RAID5与Hotspare的保护,但毕竟DS4700只是单台存储,如果DS4700发生故障的话,前端所做的集群环境与全冗余架构就再也无法确保业务的连续性了。
因此,我们在规划中设计了一套1套磁盘存储系统作为DS4700备用机,配置SAS磁盘,使用raid5+Hotspare方式对备份存储本机进行保护,并确保可用磁盘空间不低于主存储DS4700,使用两台存储虚拟化管理控制器,同步DS4700上的数据到备份存储上,并且做到主、备两台存储之间的HA,使整个平台不再存在单点故障,做到全冗余架构,保证地理信息业务的连续性及安全性。
2.6网络安全部分规划
“高速公路”(基础网络)建好后,我们的“好车”(应用主机)本应能在上面顺畅地运行,却发现“高速公路”上尽是拖拉机、摩托车等非法车辆,时不时还有不法份子向“好车”投掷石块进行攻击,这时,我们就迫切需要“高速交警”(网络安全防护措施)来管理和保护,以保证我们的“好车”(应用主机)能高效、安全地运营。
因此,我们将对XXXX基础地理信息中心基于外网的业务系统实施全局二级等级化标准保护。
网络安全部分的规划,总体上可以分为两大部分,一是要建立一个完善的信息安全管理体系,从制度上保证整个信息系统的安全运营;二是要通过各种安全设备的协同工作从技术上来实现对整个信息系统的安全防护。
以下,我们将就如何在技术上的保证这一方面做出规划,至于在制度上的如何保证,由于内容较多,我们将以附件的方式提交。
如<图4>所示,网络安全在技术上的保证,主要是通过在整个支撑平台的不同位置部署防火墙、入侵防御系统、Web应用防护系统、网络安全审计系统以及漏洞扫描系统等安全产品来实现。
Ø防火墙:
部署在网络出口处,是整个平台的第一道安全防线。
部署后,所有访问服务器的请求都要经过防火墙安全规则的详细检测,只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。
防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而屏蔽了绝大部分外界攻击。
另外,规划中XXXX地理信息公共服务系统和位置服务中心成诸多业务将承载在外网上运行,一旦系统上线,数据访问量将剧增,因此原本的百兆防火墙不适合用户的需求,需要替换成千兆的防火墙,建议分为两期来做,第一期先部署一台千兆防火墙,第二期再部署另一台千兆防火墙做双机热备以避免单点故障。
另外,根据XXXX人民政府办公厅于2010年5月19日发布《XXXX电子政务外网管理暂行办法》第一章第二条“政务外网是国家电子政务外网的组成部分,是覆盖省—市—县—乡的全省统一的电子政务专网,政务外网与政务信息网物理隔离,与互联网逻辑隔离。
”之规定,也需要通过防火墙实现电子政务外网与互联网的逻辑隔离。
Ø入侵防御系统:
防火墙是一种最基本的安全措施,它可以起到限制访问的目的,好比在网络中修建了围墙,不允许任意出入,只许在正规的出入口进出,防火墙可以阻止所有无关人员出入,并放行所有的相关人员。
但,“开好车的就一定是好人吗?
”,由于防火墙只能对表面现象进行检查,不能深入对内容进行检查,因此我们需要在平台中部署第二道防线来主动防御来自应用层的攻击,即入侵防御系统,它对已经通过防火墙检测的正常流量进行检测,发现隐藏在其中的恶意数据包,并阻止其攻击平台中的服务器主机,保证正常业务系统的连续性和可用性。
ØWeb应用防护系统:
部署在Web应用服务器群的前端。
由于从物理层到应用层(也就是ISO的一层到七层)都可以实现对网页内容的更改,例如,ARPSpoof,TCP会话劫持,FTP,SQL注入,WebShell提权等。
因此,对网站的防篡改也应该从物理层到应用层构建一套全层次受控的访问体系,也就是说,从ARP层到应用层对用户的防护的访问进行全面的、可控的最小权限访问控制。
目前,用户已有的一套InforGuard网页防篡改软件由于在网站更新的时候经常会出现问题,已不再使用,更为重要的的是,其基本设计的概念是“事后还原”,也就是,一旦发现网页内容被更改,则尽快恢复事先备份的正确网页内容;而规划中部署的Web应用防护系统的设计理念是“事先防改”,也就是说,做到让黑客根本无法更改,或者用一个通俗的话来比喻,一般的防篡改系统是“治病”,Web应用防护系统是“免疫”,同时还具有抗DDoS攻击防护、被盗链等功能。
Ø网络安全审计系统:
旁路部署在核心交换机上,实现对数据库操作的审计,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
其核心价值体现是完善业务系统的安全防范体系,满足组织机构内外部合规性要求,全面体现管理者对业务系统信息资源的全局把控和调度能力。
Ø漏洞扫描系统(软件):
部署在数据库服务器群中,其可以实现对服务器的风险评估,及时的进行安全加固以加强服务器本身的安全,其利用“发现—扫描—定性—修复—审核”的弱点全面评估法则,综合运用多种国际最新的漏洞扫描与检测技术,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而帮助用户在弱点全面评估的基础上实现安全自主掌控。
2.7分期建设规划表
“统一规划,分期实施”是我们设计XXXX基础地理信息中心数据及应用服务中心所遵循的原则之一,因此,我们建议本项目可分为三期建设,具体规划如下表所示:
2.7.1一期建设清单
外网线路部分单位:
人民币万元
编号
设备名称
数量
描述
单价
小计
建议
1
XXXX电子政务外网线路
1条
◆目前未接入;
◆标准100M光纤接入;
◆向XXXX经济信息中心申请更大带宽。
0
0
一期建设。
2
电信线路
1条
◆现有10M和20M各一条,拟扩展至100M一条,费用按年计算。
15
15
根据流量负载情况分期扩容。
3
联通线路
1条
◆现有10M一条,拟扩展至100M一条,费用按年计算。
6
6
小计:
略
基础网络部分单位:
人民币万元
编号
设备名称
数量
描述
单价
小计
建议
1
链路负载均衡
1套
◆部署在外网出口处;
◆标准吞吐率≥1GB,并可通过软件许可证的方式升级吞吐量至4GB;
◆提供至少6个10/100/1000BaseT端口以及光纤端口。
16.7
16.7
2
核心交换机
2套
◆增强型IPv6强三层以太网万兆交换机;
◆双机热备,支持IRF2;
◆背板交换容量≥256Gbps;
◆交换容量(全双工)≥192Gbps;
◆包转发率(整机)≥96Mpps;
◆配置24个10/100/1000Base-T以太网端口+4个复用的1000Base-X千兆SFP端口+2个扩展插槽;
◆配置1个2端口万兆以太网SFP+接口板,并提供2个SFP+万兆模块(850nm,300m,LC);
◆配置1个2端口万兆以太网CX4接口模块(3m短距离),实现IRF2弹性堆叠;
◆配置1根50cmCX4本地连接电缆。
4.8
9.6
3
办公网PC
接入交换机
1套
◆作为内部办公网PC的接入交换机。
0
0
利旧。
小计:
26.3
应用主机部分单位:
人民币万元
编号
设备名称
数量
描述
单价
小计
建议
1
应用服务器
1套
◆9U刀片机箱;
◆IBMBladeCenterH;
◆14个刀片服务器托架;
◆2组(共4个)电源,实现冗余;
◆20口(对外6口)千兆2层以太网交换机模块。
0
0
利旧。
1套
◆20口(对外6口)千兆2层以太网交换机模块;
◆扩容以实现冗余;
◆安装在刀片机箱上。
1
1.2
2套
◆刀片服务器;
◆IBMBladeHS22;
◆CPU:
2个Intel四核XeonE5530处理器(2.40GHz,8MB三级高速缓存);
◆内存:
16GB(4x4GB)DDR3,12个内存插槽,最大192GB;
◆硬盘:
2个146GB10K6GbpsSAS2.5英寸热插拔硬盘,支持RAID0/1。
0
0
利旧。
6套
◆刀片服务器;
◆IBMBladeHS22;
◆CPU:
2个Intel四核XeonE5530处理器(2.40GHz,8MB三级高速缓存);
◆内存:
16GB(4x4GB)DDR3,12个内存插槽,最大192GB;
◆硬盘:
2个146GB10K6GbpsSAS2.5英寸热插拔硬盘,支持RAID0/1。
3.3
19.8
2
数据库服务器
2套
◆2U机架式;
◆IBMx3650M2;
◆CPU:
2个Intel四核XeonE5540处理器(2.53GHz,8M三级高速缓存);
◆内存:
16GB(4x4GB)DDR3RDIMM,16个内存插槽,最大128GB;
◆硬盘:
3个300GB10K6GbpsSAS2.5英寸热插拔硬盘,支持RAID0/1/5/6;
◆网卡:
集成双口10/100/1000Mb自适应;
◆HBA:
4GB光纤;
◆光驱:
DVD;
◆操作系统:
微软WindowsServer2008标准版32/64位(支持1-4处理器,含5用户授权)简体中文ROK。
0
0
利旧。
3
光纤存储系统
1套
◆4U;
◆IBMSystemStorageDS4700;
◆协议端口:
主机端口为光纤通道。
◆主机接口和磁盘及数量:
4个4Gbps光纤通道(FC)交换接口和FC仲裁环(FC-AL);4个4GbpsFC-SW驱动器接口;
◆速度性能:
IOPS≥121,500(,磁盘吞吐率≥900Mb/S;
◆存储缓存:
≥2GB
◆配置容量:
10*300GB15000RPM4GB光纤硬盘;
◆扩展性能:
单一机头通过扩展存储柜可支持≥112个硬盘槽位。
0
0
利旧。
4
光纤交换机
1套
◆如果只有2台数据库服务器,存储将采用直连方式,不需要光纤交换机;
◆最大支持24个8Gpbs/4GbpsFC端口,本次激活8个4Gpbs端口。
7.4
7.4
小计:
28.4
网络安全部分单位:
人民币万元
编号
设备名称
数量
描述
单价
小计
建议
1
百兆防火墙
1套
◆东软FW5120-W;
◆部署在外网出口处;
◆配置6个10/100Base-T端口。
0
0
利旧,现有线路状况下可暂使用。
2
千兆防火墙
1套
◆部署在外网出口处;
◆至少支持一对Bypass接口;
◆系统吞吐量≥4G;
◆最大并发连接数≥100万(可扩展至200万);
◆每秒新建连接数≥6万;
◆配置6个10/100/1000自适应电口,并可扩展光口。
10
10
3
入侵防御系统
1套
◆部署在外网防火墙之后;
◆双机热备;
◆最大4路(可以是2路光纤接入或2路电口接入或2路光纤2路电口接入,光接口可为单模或多模);
◆吞吐率≥1200Mbps;
◆碎片重组数≥1,000,000;
◆单包最大时延≥200us;
◆最大并发连接数≥200万;
◆每秒最大连接数≥8万。
23.2
23.2
4
Web应用防护系统
1套
◆最多6个千兆接口(多模光纤SX、千兆以太网可选);
◆吞吐量(双向)≥800M;
◆延迟﹤30us;
◆最大并发TCP会话数≥60万。
16.8
16.8
5
上网行为管理
1套
◆部署在内部办公网PC的接入交换机上;
◆网康。
0
0
利旧。
6
网络防病毒软件
1套
0
0
利旧。
小计:
50
一期建设资金估算(不含外网线路费用):
104.7
2.7.2二期建设清单
基础网络扩容单位:
人民币万元
编号
设备名称
数量
描述
单价
小计
建议
1
链路负载均衡
1套
◆部署在外网出口处;
◆与一期部署的链路负载均衡做双机热备;
◆标准吞吐率≥1GB,并可通过软件许可证的方式升级吞吐
升级会员 