數據中心機房搬遷及擴容方案

XXXXX科技股份有限公司智慧應用事業(yè)部數據中心機房優(yōu)化及搬遷方案2015年1月22日一、概述1、現狀分析安泰數據中心機房位于時代數碼港20樓，經過近一年多的運行，發(fā)現大樓的電源系統(tǒng)經常性的出現斷電現象；數據中心的出口采用的是電信的50M專線，在過去的一年中，曾出現過服務中斷達到24小時以上。同時，目前的數據中心已經不能滿足業(yè)務快速發(fā)展帶來的空間需要?？臻g不足：目前20樓中心機房總面積約為20平米左右，里面含有7個機柜，服務器約15臺左右，網絡設備約20臺左右，包含辦公網絡與數據中心網絡，空間使用率已達到75%以上，按照部門現在的業(yè)務發(fā)展速度，該機房已不能滿足近一年的需要。環(huán)境制約：目前機房采用的是50（2P）的掛壁式空調，當夏季氣溫偏高時，機房內的溫度難以控制，曾出現過由于溫度升高導致消防栓漏水的現象。安全隱患：目前機房在大樓新建時未進行合理規(guī)劃，所屬樓層為20樓，空調外機沒有地方放置，暫放置在隔斷的小房間內，通過窗戶對外散熱，無法對機房的溫度進行有效控制，且夏季溫度偏高，存在安全隱患；機房內屋頂設有消防栓，夏季容易產生漏水現象；機房內中央空調為大樓統(tǒng)一控制，晚上中央空調處于關閉狀態(tài)；中心機房與辦公網機房同在一處，且機房內設有門禁系統(tǒng)的控制開關，經常有人需要進出機房調試設備或者檢修空調等，不利于機房的管理。網絡架構：目前數據中心網絡采用單出口、單鏈路的架構，當電（3）安全性機房的物理安全以及網絡安全是機房建設中必不可少的因素。物理安全，是指防火、防盜、防水、防小動物入侵等；網絡安全，是指防病毒、防入侵、防漏洞等。（4）管理方便性機房的通過遠程視頻監(jiān)控、環(huán)境監(jiān)測報警以及本地化值班處理問題的模式，可以使得在數碼港以及在現場的管理人員實現有效的信息互動，便于機房日常管理。二、建設方案1、機房整體的裝修在機房的整體裝修中，采用HDG.600無邊靜電地板進行鋪設，距離地面高度為20~25cm左右，吊頂采用硫酸鈣板進行吊頂，照明使用九盞新亞格600*600規(guī)格的柵燈。照明系統(tǒng)分為機房正常照明與機房事故照明，正常照明系統(tǒng)接入市電，事故照明接入UPS。2、強電系統(tǒng)與備用電源UPS的部署2.1強電系統(tǒng)部署根據規(guī)劃，每個機柜下面需要配備兩個16A輸出的電源面板，一個為市電電源，一個為UPS電源。所有開關均帶漏電保護，并加裝浪涌防雷器。UPS主機為三進三出，UPS的接入線取自動力柜的三相市電，由于已有一臺10KVA的UPS，故將原10KVA的UPS分配給含網絡機柜在內的三個機柜和監(jiān)控、門禁、機房事故照明。剩下的機柜全部由20KVA的UPS進行平均分配。若設備后期UPS負載已超過額定值，可根據實際情況增加相應功率的電池組。強電接入一共設計兩個配電柜，一個為市電的動力柜，一個為UPS配電柜，機房內所有的電源都需配備獨立的控制開關，以便在故障檢修或者其他原因引起的事故時能夠進行有效的控制。機房的強電主干線上需配備獨立的三相四線多功能電表，記錄機房的電量消耗情況。機房接地系統(tǒng)，通過導線將電路中的某一點或者某一金屬殼體連接在一起，形成電氣通路，使危及人身或者設備的電流易于流到大地。從而保障機房工作人員以及機房設備的安全。強電設計圖如下：圖1.強電動力柜圖2.UPS電力柜1圖3.UPS電力柜22.2備用電源UPS部署原數據中心已有一臺10KVA的UPS，由于設備的增加，該UPS已不能再負載其他的新增設備。故本次規(guī)劃中，新增了一臺20KVA的UPS。按照設計，每個機柜中的最大負載為4KW，即按照8臺設備，每臺設備500W計算，但實際的負載基本應該維持在3KW以內。根據UPS設計原理，配置的負載應該在實際的負載上乘以系數1.5，且考慮到暫時使用不了太大的UPS，故本次選用了20KVA的UPS，若后期需要擴容，再進行增加即可，這樣確保了資源被充分利用。按照要求，主機采用工頻機（三進三出），UPS的負載為20KVA，延時時間為4小時左右。一共需要64節(jié)蓄電池以及兩個電池組機柜，每個機柜中能夠安裝32塊蓄電池。另外，由于考慮到樓板的承重有限，為安全考慮，準備將UPS電池組柜的資金拿來定做UPS電池架，使樓板的承重面積達到最大。3、弱電及硬件架構規(guī)劃與部署3.1弱電規(guī)劃機房內的所有弱電線路全部采用地下鋪設方式，由主機柜到各服務器機柜，本次規(guī)劃中一共有12臺機柜，故需在主機柜上規(guī)劃12個24口配線架，各服務器機柜上分別規(guī)劃一個24口配線架。后期因業(yè)務擴展而新增的設備，可以直接通過配線架連接到現有的網絡中。3.2硬件架構規(guī)劃由于考慮到后期的業(yè)務發(fā)展，本次的硬件架構中新增了六個圖騰的機柜，原數據中心已有6個機柜，加上本次新增的8個，一共為14個機柜。這14個機柜分為兩排擺放，每排六個。每個機柜上配備一個“8位16A輸入10A輸出”的PDU與一個“IEC14接口8位16A輸入10A輸出”的PDU。每個機柜最大容量為8臺，最大負載不得超過4KW。所有的設備通過配線架與主機柜進行連接。4、網絡架構與網絡安全規(guī)劃4.1設計思路網絡安全：通過在出口和內網服務器接入位置部署防火墻，保障三到四層的安全。在網絡中間部署T200-S設備，通過深入到7層的分析與檢測，實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊和惡意行為，實現對網絡應用、網絡基礎設施和網絡性能的全面保護。在服務器上部署專業(yè)的殺毒軟件，保證內網的安全性。業(yè)務邏輯隔離：針對不同的業(yè)務，劃分為不同的VLAN，這樣就為用戶到服務器提供了一種端到端業(yè)務傳輸通道，把不同用戶、不同應用的數據橫向隔離開來，保證數據傳輸的私密性和安全性，確保用戶群組獲得正確的資源和網絡流量的安全隔離；嚴格的遠控管理：為保證數據中心能夠被授權的用戶訪問，全網采用VPN方式進行遠程管理，替換掉原數據中心中的teamview管理方式，且用戶需要經過嚴格的授權，不同權限級別的人員所能夠訪問的服務器是不一樣的。全網冗余鏈路：為保證數據中心7x24的運行，所有鏈路均采用冗余設計，防止單點故障而導致的業(yè)務中斷現象。4.2詳細設計1）增加高性能出口安全設備，從而提高出口的安全性、可靠性和出口帶寬。在提供傳統(tǒng)防火墻、VPN功能基礎上，同時提供病毒防護、漏洞攻擊防護、P2P/IM應用層流量控制和用戶行為審計等安全功能；2）更改核心交換機為千兆三層交換機，提供強有力的轉發(fā)性能；3）更改接入交換機為千兆二層交換機，保證服務器上行帶寬及轉發(fā)率；4）增加2臺高性能應用控制網關，提供全面的應用識別能力，進行精細化的流量管理，及完善的安全審計；5）保證各個業(yè)務系統(tǒng)的邏輯隔離，保證IP地址的全局唯一性，避免IP地址沖突影響正常的網絡訪問。6）增加一臺存儲型備份服務器，對主要服務器進行增量備份，確保數據的可恢復性。7）增加一條聯通20M出口鏈路作為備用鏈路，當電信出口故障時，業(yè)務流量能夠通過聯通出口進行轉發(fā)。同時，雙出口也為后期可能需要的負載均衡設備預留了空間。8）每臺服務器均安裝服務器版殺毒軟件，確保內網各服務器的安全性。網絡拓撲：以一臺S5500-HI系列交換機作為核心交換機。H3CS5500-HI系列交換機是H3C公司最新開發(fā)的增強型IPv6強三層萬兆以太網交換機產品，具備先進的硬件處理能力和豐富的業(yè)務特性。支持最多6個萬兆接口，實現業(yè)界1U設備最高的端口密度以及靈活的端口擴展能力；支持IPv4/IPv6硬件雙棧及線速轉發(fā)，使客戶能夠從容應對即將帶來的IPv6時代；除此以外，其出色的安全性、可靠性、PoE供電能力和多業(yè)務支持能力使其成為大型企業(yè)網絡和園區(qū)網的匯聚、中小企業(yè)網核心、以及城域網邊緣設備的第一選擇。以S5120-52C-HI前兆交換機作為接入交換機。H3CS5120-HI系列交換機是H3C公司自主開發(fā)的新一代千兆以太網交換機。具備先進的硬件處理能力、豐富的業(yè)務特性以及靈活的端口擴展能力，支持H3C特有的IRF2（第二代智能彈性架構）功能，給用戶帶來一個簡單的、高性能的、高可靠的網絡，適合數據中心服務器群接入和企業(yè)網千兆接入。S5120-HI硬件支持雙可插拔電源，支持綠色節(jié)能模式，支持EEE節(jié)能特性；支持BIMS管理及帶外管理口，可滿足大型數據中心對交換機高可靠性、易管理性、綠色節(jié)能等嚴格要求。新增一臺F1000-C-G與現網出口防火墻聯動，增加出口可靠性；F1000-C-G是H3C公司面向大中型企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設備。支持外部攻擊防范、內網安全、流量監(jiān)控、郵件過濾、網頁過濾、應用層過濾等功能，能夠有效的保證網絡的安全；采用ASPF（ApplicationSpecificPacketFilter）應用狀態(tài)檢測技術，可對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網絡管理監(jiān)控，協(xié)助網絡管理員完成網絡的安全管理；支持多種VPN業(yè)務，如L2TPVPN、GREVPN、IPSecVPN、SSLVPN等，可以構建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由。新增一臺F100-C-G與現網服務器防火墻聯動，增加服務器上行鏈路可靠性，F100-C-G是H3C公司推出的新一代防火墻產品，能夠滿足中小企業(yè)不斷變化的網絡環(huán)境和日益豐富網絡應用的需要。SecPathF100-C-G繼承H3C一貫的高性能、高可靠硬件平臺，能夠為用戶提供線速、穩(wěn)定的應用體驗。SecPathF100-C-G不但可以提供傳統(tǒng)的基礎安全功能，如狀態(tài)檢測、NAT、VPN、鏈路負載均衡等；同時通過統(tǒng)一的軟件平臺和處理引擎，SecPathF100-C-G有效整合防火墻、入侵防御、應用層流量識別與控制、防病毒功能，為用戶提供一體化的應用安全防護。該設備將數據庫服務器等重要的服務器進行了隔離，外網無法直接探測到改隔離區(qū)域的服務器。新增兩臺臺T200-S用來防攻擊和防病毒；H3CSecPathT200-SIPS（IntrusionPreventionSystem）集成入侵防御與檢測、病毒過濾、帶寬管理和URL過濾等功能，是業(yè)界綜合防護技術最領先的入侵防御/檢測系統(tǒng)。通過深入到7層的分析與檢測，實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊和惡意行為，實現對網絡應用、網絡基礎設施和網絡性能的全面保護。SecPathT200-SIPS適用于企業(yè)用戶、行業(yè)用戶的互聯網出口和廣域網邊界。為數據中心的所有服務器安裝殺毒軟件，殺毒軟件采用趨勢科技的防病毒套裝網絡版，80%以上的攻擊與病毒感染均來自于內部，所以內部服務器的安全防范也極為重要。網絡中所有鏈路均采用冗余設計，服務器采用雙網卡橋接模式，當某一鏈路故障時，另一鏈路能夠正常使用。兩臺核心交換以及兩臺接入交換之間采用IRF2彈性構架技術，在邏輯上將兩臺設備虛擬化為一臺，一方面便于管理，另一方面為接入設備提供了備用的冗余鏈路；所有網絡設備之間級聯均采用以太通道的方式連接，不僅提高了數據轉發(fā)率，而且可以防范由于單點故障引起的業(yè)務中斷。出口采用雙出口鏈路，使用電信的50M專線為主線，聯通的20M專線為備用鏈路，一旦電信的鏈路中斷時，業(yè)務流量能夠迅速轉移到聯通的出口，保證對外提供7x24不間斷服務。整體網絡架構體現了冗余鏈路的概念，同時更體現了架構的靈活性，可以說這是一種彈性的構架。當后期由于業(yè)務量增加而導致的設備增加或者設備更新，我們可以不用改變原有的網絡架構，直接在該架構上進行增加設備即可。鏈路的冗余，可以使業(yè)務在不中斷的前提下進行設備的更新或者維修。5、機房監(jiān)控與門禁系統(tǒng)部署機房監(jiān)控分為機房視頻監(jiān)控與機房環(huán)境監(jiān)測。機房視頻監(jiān)控采用四路半球彩色攝像機，分別對兩排機柜進行交替監(jiān)控，其中一個監(jiān)控正對機房入口，對進出機房進出人員記錄。視頻監(jiān)控硬盤錄像機采用1T硬盤，可持續(xù)錄像達7天以上。機房環(huán)境監(jiān)測使用原機房內的環(huán)境監(jiān)測設備，所監(jiān)測的范圍包括水浸、電流電壓、UPS、溫濕度等，并且具有報警功能。機房內安裝水感線（覆蓋整個機房）、煙感報警器、溫濕度感應器等傳感器，確保機房內的環(huán)境安全。機房環(huán)境監(jiān)測箱安裝在機房門外，確保出現故障時值班人員第一時間進行處理，同時也便于值班人員的巡視。機房門采用2