XX数据中心优化方案XX数据中心优化目标:XX数据中心承载着XXXXXX服务平台3.0及4.0的所有运行环境,是整个业务的支柱,是数据存储、信息交换和信息再加工的基础,是提高核心竞争力之所在,没有良好的技术支撑和保障,提供优质服务就无从谈起。针对XX数据中心现阶段存在的问题,我们希望通过优化能够满足高密度、高容量、高安全性,并且具有高可靠性、可扩展性的首要目标,然后在此基础上进一步节省成本、节省空间、能够在节能方面做得更好,而且使应用的稳定性更高。数据中心现有架构:XX数据中心现有架构如上图所示:1.网络接入采用双线路,电信联通各100M带宽,通过两个H3C的U200UTM接入互联网,办公网络共用了服务平台的网络并建立了到五一新干线的VPN连接;2.服务器采用3台HPDL380物理服务器并做了虚拟化,将20多台虚拟服务器分布到上面并开启了FaultTolerance(容错);3.后端采用HPEVA6350,所有的数据都储存在这一台存储设备内。数据中心存在的问题及解决方案一.网络方面问题1:防火墙承载能力不足现在采用的防火墙H3C的U200是一款低端的UTM设备,防火墙模式下200M的吞吐率,最大并发连接数为60000个,按照每用户25个连接计算,两台防火墙双线路共能支持5000用户在线,如果考虑未来1万用户在线,设备已无法承受;另外较低的吞吐率也不利于带宽扩展,与主流防火墙1000M以上的吞吐率相去甚远。问题2:防火墙的防护能力差现有防火墙的防攻击和反入侵能力较差,只有一些简单的防护功能,无法应付数据中心级别的安全保护要求,例如防DDOS攻击、入侵检测等,一旦遭遇上规模攻击就会导致整个平台瘫痪,另外如果开启了UTM防护模式,最大连接数会降低到16000个,两台防火墙双线路只能支持1200个在线用户。问题3:平台网络和工作网络混杂现在数据中心的业务平台网络和工作网络混杂在一起,这对数据安全是一个很大的隐患同时对业务网络稳定性也会产生影响,尤其当出现中毒或者中木马情况时,将会带来不可估量的后果。解决方案:1.增加满足需求的防火墙,考虑到未来发展需要,最大连接数至少达到达到500000,可以同时承载20000用户在线,吞吐率至少达到1000M水平,同时需要有完整的抗攻击和入侵保护系统,以下提供了两个备选型号:参数\型号CiscoASA5525-IPS-K9JuniperNS-ISG-1000防火墙性能(最大吞吐量)2Gbps2Gbps防火墙性能(小包吞吐量)1Gbps1GbpsIPS(入侵防护)状态吞吐量600Mbps1Gbps当前最大连接数500000500000每秒新建连接数2000020000IPS系统(防入侵、DDOS)有有,可升级入侵检测IDP固定端口8个千兆口4个千兆口扩展插槽1个,可升级6个千兆口2个,可升级8个千兆或2个万兆口价格大约6万元大约7万元优缺点总体性能达到需求,IPS防护状态下性能稍差,可扩展性稍差,需要购买带IPS的版本,默认不带。性能较好,且可以升级入侵检测以及带宽更高的接口,价格相对稍贵。2.调整网络结构,隔离平台和工作网络。申请了一条20M的线路,将独立架设路由代理用于工作网络,运营平台独享两条100M线路,保证安全和速度。二.服务器方面问题1:服务器都是单点模式现在平台的所有服务器都是单点模式,只要一个点出现问题将导致整个系统瘫痪,另外单点的性能也不能满足系统需求,会严重影响系统速度和用户体验。问题2:系统内存和存储容量不足根据性能测试以及现有情况分析,现有服务器内存和存储已不到一半,考虑到需要做集群负载均衡,系统在近期内将会增加大量的服务器以及数据,现有的资源已经完全不能满足需求,同时还需要考虑一定冗余配置以保证灾难恢复转移。问题3:UPS停电保护时间不足现有的UPS配备的电池容量仅仅能够支撑硬件设备运行10分钟,这个时间对于数据中心进行反馈和应变处理不够,很可能造成数据丢失和用户体验的不良影响。解决方案:1.平台各节点必须要多节点负载和冗余,建议采用硬件负载均衡设备如F5,提高容灾能力和性能;现阶段信息安全部将进行系统级Web端负载均衡测试以检验可行性;数据库端的集群由DBA部门进行配置和测试。2.增加服务器内存及存储空间,以满足上线需要。根据初步计算,即将增加的服务器和数据量需要的资源包括:3台虚拟机服务器每台增加64G内存,共计192G;增加一个硬盘柜以及12块硬盘,做Raid后达到18T容量。建议型号及价格如下:项目内存硬盘柜硬盘(2T)数量每服务器8条,3台服务器共计24条3台36块单价约600元约15000元约2500元总价14400元45000元90000元合计149400元3.增加UPS电池容量,建议至少保证所有设备在停电后运行1个小时,以便于及时通知相关人员进行数据保存以及安全关闭系统工作,同时也可防止某些关键任务需要较长时间关闭导致的问题发生。按照现有UPS的功率及负载建议型号及电池如下表:参数\型号汤浅免维护蓄电池12V65AH松下免维护蓄电池12V65AH型号NP65-12LC-P1265ST电压12V12V容量65AH65AH数量1616单价700元680元合计11200元10880元附加说明另需电池柜及附件大约800元。一.软件方面问题1:杀毒软件非专用现在服务器上使用的杀毒软件是免费的个人版杀毒软件,稳定性和安全性都不能满足服务器系统的需要甚至还有广告加载,而且没有得到及时更新,起不到防护作用。问题2:没有反垃圾邮件的策略邮件服务器没有反垃圾邮件策略,也没有用户验证以及任务调度功能,这样容易导致服务器变成垃圾邮件发送者的跳板服务器或者发送过于频繁,被邮箱运营商和垃圾邮件列表封杀。问题3:各级别的备份缺失现在无论是从存储级别、虚拟机级别或者应用程序级别,都没有备份策略,一旦发生问题,没有任何恢复手段,将造成数据丢失的严重后果。解决方案:1.杀毒软件更换为服务器专用版本,并保持更新。已选型版本介绍:文件安全软件服务器版a.专为服务区环境优化设计ESETE文件安全软件服务器版专为Windows服务器平台需求优化设计,保障系统流畅运行、安全无虞。b.支持「内核」版服务器系统新版本支持服务器系统内核版,专为日常应用进行优化,占用系统资源更少。官方授权购买网址,约600元/年每服务器,按需购买。2.确定邮件服务器及反垃圾邮件策略。正在开发的邮件服务器需要有反垃圾邮件功能、用户验证以及任务调度功能,以保证能正常收发邮件。3.现阶段采用应用程序级别的备份方案。通过网络将文件服务器以及数据库服务器的备份复制到一台专用备份机的外置硬盘上,每天晚上执行完成后取出,实现异地保存。备份粒度:文件服务器采用每周一次全备份、每天一次增量备份,数据库服务器备份策略由DBA确定。