搜索
XXXXX科技股份有限公司智慧应用事业部数据中心机房优化及搬迁方案2015年1月22日一、概述1、现状分析安泰数据中心机房位于时代数码港20楼,经过近一年多的运行,发现大楼的电源系统经常性的出现断电现象;数据中心的出口采用的是电信的50M专线,在过去的一年中,曾出现过服务中断达到24小时以上。同时,目前的数据中心已经不能满足业务快速发展带来的空间需要。空间不足:目前20楼中心机房总面积约为20平米左右,里面含有7个机柜,服务器约15台左右,网络设备约20台左右,包含办公网络与数据中心网络,空间使用率已达到75%以上,按照部门现在的业务发展速度,该机房已不能满足近一年的需要。环境制约:目前机房采用的是50(2P)的挂壁式空调,当夏季气温偏高时,机房内的温度难以控制,曾出现过由于温度升高导致消防栓漏水的现象。安全隐患:目前机房在大楼新建时未进行合理规划,所属楼层为20楼,空调外机没有地方放置,暂放置在隔断的小房间内,通过窗户对外散热,无法对机房的温度进行有效控制,且夏季温度偏高,存在安全隐患;机房内屋顶设有消防栓,夏季容易产生漏水现象;机房内中央空调为大楼统一控制,晚上中央空调处于关闭状态;中心机房与办公网机房同在一处,且机房内设有门禁系统的控制开关,经常有人需要进出机房调试设备或者检修空调等,不利于机房的管理。网络架构:目前数据中心网络采用单出口、单链路的架构,当电信的出口故障时,数据中心对外提供的服务将无法继续;在网络架构中,所有的链路全部为单链路(服务器与网络设备之间、网络设备与网络设备之间、出口与运营商之间),如果单链路中的某一个点出现问题,将导致服务终端。在现有的网络架构中,未考虑到网络安全因素,易出现网络入侵等事件。备用电源:目前机房采用10KVA的UPS电源,其上不但接有数据中心的设备,而且接有办公网络的设备,当UPS供电时,负载已达到100%,已不能满足后期业务发展的需要。在此背景下,我部门提出了对数据中心进行优化及搬迁的方案,以解决当前所面临的各种问题,从而确保数据中心满足部门未来三年的业务发展需要。2、建设内容根据总体规划,现将机电产业园光伏厂房中原设计为仓库的位置规划为中心机房,该房间总面积约50平米左右,位于三楼,全部用于放置数据中心的相关设备。本次规划中涉及到以下几个方面:(1)机房整体的装修;(2)强电系统与备用电源UPS的部署;(3)弱电及硬件架构规划与部署;(4)网络架构与网络安全规划;(5)机房监控与门禁系统部署;(6)机房空调部署;机房规划示意图如下:机房规划示意图3、规划原则(1)前瞻性及灵活性本机房的规划及配套电源设计应立足于业务系统长远的发展需求,统一规划、统一布局,为系统的进一步扩容预留充足的配套资源。(2)高可靠性配套电源及机房空调设备的持续高可用性是保障系统高效、稳定运行必不可缺的前提条件。网络架构的冗余性是保障业务7x24小时不间断的基础。(3)安全性机房的物理安全以及网络安全是机房建设中必不可少的因素。物理安全,是指防火、防盗、防水、防小动物入侵等;网络安全,是指防病毒、防入侵、防漏洞等。(4)管理方便性机房的通过远程视频监控、环境监测报警以及本地化值班处理问题的模式,可以使得在数码港以及在现场的管理人员实现有效的信息互动,便于机房日常管理。二、建设方案1、机房整体的装修在机房的整体装修中,采用HDG.600无边静电地板进行铺设,距离地面高度为20~25cm左右,吊顶采用硫酸钙板进行吊顶,照明使用九盏新亚格600*600规格的栅灯。照明系统分为机房正常照明与机房事故照明,正常照明系统接入市电,事故照明接入UPS。2、强电系统与备用电源UPS的部署2.1强电系统部署根据规划,每个机柜下面需要配备两个16A输出的电源面板,一个为市电电源,一个为UPS电源。所有开关均带漏电保护,并加装浪涌防雷器。UPS主机为三进三出,UPS的接入线取自动力柜的三相市电,由于已有一台10KVA的UPS,故将原10KVA的UPS分配给含网络机柜在内的三个机柜和监控、门禁、机房事故照明。剩下的机柜全部由20KVA的UPS进行平均分配。若设备后期UPS负载已超过额定值,可根据实际情况增加相应功率的电池组。强电接入一共设计两个配电柜,一个为市电的动力柜,一个为UPS配电柜,机房内所有的电源都需配备独立的控制开关,以便在故障检修或者其他原因引起的事故时能够进行有效的控制。机房的强电主干线上需配备独立的三相四线多功能电表,记录机房的电量消耗情况。机房接地系统,通过导线将电路中的某一点或者某一金属壳体连接在一起,形成电气通路,使危及人身或者设备的电流易于流到大地。从而保障机房工作人员以及机房设备的安全。强电设计图如下:图1.强电动力柜图2.UPS电力柜1图3.UPS电力柜22.2备用电源UPS部署原数据中心已有一台10KVA的UPS,由于设备的增加,该UPS已不能再负载其他的新增设备。故本次规划中,新增了一台20KVA的UPS。按照设计,每个机柜中的最大负载为4KW,即按照8台设备,每台设备500W计算,但实际的负载基本应该维持在3KW以内。根据UPS设计原理,配置的负载应该在实际的负载上乘以系数1.5,且考虑到暂时使用不了太大的UPS,故本次选用了20KVA的UPS,若后期需要扩容,再进行增加即可,这样确保了资源被充分利用。按照要求,主机采用工频机(三进三出),UPS的负载为20KVA,延时时间为4小时左右。一共需要64节蓄电池以及两个电池组机柜,每个机柜中能够安装32块蓄电池。另外,由于考虑到楼板的承重有限,为安全考虑,准备将UPS电池组柜的资金拿来定做UPS电池架,使楼板的承重面积达到最大。3、弱电及硬件架构规划与部署3.1弱电规划机房内的所有弱电线路全部采用地下铺设方式,由主机柜到各服务器机柜,本次规划中一共有12台机柜,故需在主机柜上规划12个24口配线架,各服务器机柜上分别规划一个24口配线架。后期因业务扩展而新增的设备,可以直接通过配线架连接到现有的网络中。3.2硬件架构规划由于考虑到后期的业务发展,本次的硬件架构中新增了六个图腾的机柜,原数据中心已有6个机柜,加上本次新增的8个,一共为14个机柜。这14个机柜分为两排摆放,每排六个。每个机柜上配备一个“8位16A输入10A输出”的PDU与一个“IEC14接口8位16A输入10A输出”的PDU。每个机柜最大容量为8台,最大负载不得超过4KW。所有的设备通过配线架与主机柜进行连接。4、网络架构与网络安全规划4.1设计思路网络安全:通过在出口和内网服务器接入位置部署防火墙,保障三到四层的安全。在网络中间部署T200-S设备,通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。在服务器上部署专业的杀毒软件,保证内网的安全性。业务逻辑隔离:针对不同的业务,划分为不同的VLAN,这样就为用户到服务器提供了一种端到端业务传输通道,把不同用户、不同应用的数据横向隔离开来,保证数据传输的私密性和安全性,确保用户群组获得正确的资源和网络流量的安全隔离;严格的远控管理:为保证数据中心能够被授权的用户访问,全网采用VPN方式进行远程管理,替换掉原数据中心中的teamview管理方式,且用户需要经过严格的授权,不同权限级别的人员所能够访问的服务器是不一样的。全网冗余链路:为保证数据中心7x24的运行,所有链路均采用冗余设计,防止单点故障而导致的业务中断现象。4.2详细设计1)增加高性能出口安全设备,从而提高出口的安全性、可靠性和出口带宽。在提供传统防火墙、VPN功能基础上,同时提供病毒防护、漏洞攻击防护、P2P/IM应用层流量控制和用户行为审计等安全功能;2)更改核心交换机为千兆三层交换机,提供强有力的转发性能;3)更改接入交换机为千兆二层交换机,保证服务器上行带宽及转发率;4)增加2台高性能应用控制网关,提供全面的应用识别能力,进行精细化的流量管理,及完善的安全审计;5)保证各个业务系统的逻辑隔离,保证IP地址的全局唯一性,避免IP地址冲突影响正常的网络访问。6)增加一台存储型备份服务器,对主要服务器进行增量备份,确保数据的可恢复性。7)增加一条联通20M出口链路作为备用链路,当电信出口故障时,业务流量能够通过联通出口进行转发。同时,双出口也为后期可能需要的负载均衡设备预留了空间。8)每台服务器均安装服务器版杀毒软件,确保内网各服务器的安全性。网络拓扑:以一台S5500-HI系列交换机作为核心交换机。H3CS5500-HI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备先进的硬件处理能力和丰富的业务特性。支持最多6个万兆接口,实现业界1U设备最高的端口密度以及灵活的端口扩展能力;支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性、可靠性、PoE供电能力和多业务支持能力使其成为大型企业网络和园区网的汇聚、中小企业网核心、以及城域网边缘设备的第一选择。以S5120-52C-HI前兆交换机作为接入交换机。H3CS5120-HI系列交换机是H3C公司自主开发的新一代千兆以太网交换机。具备先进的硬件处理能力、丰富的业务特性以及灵活的端口扩展能力,支持H3C特有的IRF2(第二代智能弹性架构)功能,给用户带来一个简单的、高性能的、高可靠的网络,适合数据中心服务器群接入和企业网千兆接入。S5120-HI硬件支持双可插拔电源,支持绿色节能模式,支持EEE节能特性;支持BIMS管理及带外管理口,可满足大型数据中心对交换机高可靠性、易管理性、绿色节能等严格要求。新增一台F1000-C-G与现网出口防火墙联动,增加出口可靠性;F1000-C-G是H3C公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(ApplicationSpecificPacketFilter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN、SSLVPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由。新增一台F100-C-G与现网服务器防火墙联动,增加服务器上行链路可靠性,F100-C-G是H3C公司推出的新一代防火墙产品,能够满足中小企业不断变化的网络环境和日益丰富网络应用的需要。SecPathF100-C-G继承H3C一贯的高性能、高可靠硬件平台,能够为用户提供线速、稳定的应用体验。SecPathF100-C-G不但可以提供传统的基础安全功能,如状态检测、NAT、VPN、链路负载均衡等;同时通过统一的软件平台和处理引擎,SecPathF100-C-G有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能,为用户提供一体化的应用安全防护。该设备将数据库服务器等重要的服务器进行了隔离,外网无法直接探测到改隔离区域的服务器。新增两台台T200-S用来防攻击和防病毒;H3CSecPathT200-SIPS(IntrusionPreventionSystem)集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,是业界综合防护技术最领先的入侵防御/检测系统。通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。SecPathT200-SIPS适用于企业用户、行业用户的互联网出口和广域网边界。为数据中心的所有服务器安装杀毒软件,杀毒软件采用趋势科技的防病毒套装网络版,80%以上的攻击与病毒感染均来自于内部,所以内部服务器的安全防范也极为重要。网络中所有链路均采用冗余设计,服务器