云计算与IDC建设研修班教材-Part4-数据中心规划及运维

云计算与数据中心建设云计算与数据中心建设Part4Part4数据中心规划及运维数据中心规划及运维UnitedInformationTechnologyCo.,Ltd.Page1汪锡圣2012-02-08机房规划与设计提纲机房规划与设计绿色节能措施运维体系安全保障UnitedInformationTechnologyCo.,Ltd.安全保障机房规划与设计—整体业务规划业务类型、规模及架构支撑硬件服务器存储网络支撑软件基础软件应用软件配套设施机柜、运营运维平台UnitedInformationTechnologyCo.,Ltd.服务器整体处理能力类型（x86/刀片/小机）存储整体存储容量及性能存储类型（SAN/NAS/分布式）网络处理能力网络架构（包括安全）基础软件OS类型数量虚拟化软件类型及数量应用软件类型及数量平台类型及数量WAN/InternetWAN/Internet出口路由器出口路由器核心层核心层网络高可用设计•硬件设备冗余，双主控、单板热插拔、冗余电源、冗余风扇•物理链路冗余，以太网链路聚合环网技术，RPR、RRPP机房规划与设计—网络设计WEBWEBServersServers汇聚层汇聚层•环网技术，RPR、RRPP•二层路径冗余，MSTP、SmartLink•三层路径冗余，VRRP、ECMP、动态路由快速收敛•快速故障检测技术，BFD•不间断转发技术，GR•路径可用检查，L3MonitorUnitedInformationTechnologyCo.,Ltd.applicationapplicationServersServersdatabasedatabaseServersServers安全高可用设计
硬件设备冗余，冗余引擎、冗余电源、冗余风扇
设备之间状态热备份数据中心边界边界FW前端FW内部FWWEB服务器数据库服务器机房规划与设计—防火墙设计internetinternet边界路由器边界交换机数据存储边界FW对不受信任外部访问限制多层异构企业当前常见的多层安全策略UnitedInformationTechnologyCo.,Ltd.前端FW限制用户访问可执行的操作内部FW限制对应用、数据的操作机房规划与设计—机房布局功能区域划分明确•IT设备、制冷、供电等区域就按功能明确划分机柜摆放•以面对面或背对背的方式摆放，形成冷风通道和热风通道•机柜间距应至少保证1.2m，发热量特别大的机柜还应适当提高UnitedInformationTechnologyCo.,Ltd.设备摆放•服务器、存储、PC等应分区放置•发热量大的设备应分散在多个机柜中机房规划与设计—设备选型原则满足需求经济性在满足需求的前提不仅满足当前需求，还需考虑到未来的扩展性在满足需求的前提下，优先考虑性价比高的设备及方案，以降低总体投资厂商信誉绿色节能绿色节省已成新一代UnitedInformationTechnologyCo.,Ltd.厂商的经济实力、技术实力、市场占有率、服务水平等绿色节省已成新一代数据中心的趋势，设备选型是其中一个重要因素机房规划与设计—设备选型主要内容核心IT系统网络、计算机、存储、安全、应用软件等选型供配电系统发电机、UPS、电池、防雷等公共安全及控制系统火灾报警、应急联动、安防、环境监控等UnitedInformationTechnologyCo.,Ltd.空调暖通系统空调、新风等消防、给排水系统灭火等机房规划与设计提纲机房规划与设计绿色节能措施运维体系安全保障UnitedInformationTechnologyCo.,Ltd.安全保障绿色节能措施汇总建筑节能合理平面布局，优化气流组织水冷技术自然冷却UnitedInformationTechnologyCo.,Ltd.虚拟化及整合技术选用绿色节能设备建筑节能选用节能环保的建筑材料照明系统的自动控制与节能UnitedInformationTechnologyCo.,Ltd.暖通、中央空调系统节能（如水泵电机、风机变频控制，适时调节中央空调水系统流量和冷却塔风机的风量）合理平面布局，优化气流组织通过机柜、空调室内机的合理摆放，建立冷热通道，避免气流的短路、受阻，优化气流组织，可节省5-8%制冷能耗UnitedInformationTechnologyCo.,Ltd.水冷技术直接蒸发水冷空调方式使用水冷方案，仅空水冷技术冷冻水空调（室外机为水冷或风冷）系统水冷机柜门机柜式水平送风空调使用水冷方案，仅空调一项将节约能耗30%以上UnitedInformationTechnologyCo.,Ltd.水冷机柜门方式（刀片、高端服务器）封闭式水冷服务器机柜自然冷却运用自然环境空气的温度来为数据中心提供散热，这种设计可以把数据中心在机械方面的能耗降低50%UnitedInformationTechnologyCo.,Ltd.Facebook俄勒冈数据中心—100%使用外部空气进行冷却Google基于海水的数据中心—使用海水进行冷却虚拟化及整合技术•变物理资源为逻辑管理的虚拟化是提高服务器和存储利用率，建立绿色数据中心获得投资回报的最快途径通过实时分区迁移功能节省用电——将低使用率服务器上的分区迁•通过实时分区迁移功能节省用电——将低使用率服务器上的分区迁移走，然后关闭这些服务器SQLSQLSQLSQLSQLSQLSQLSQLSQLSQLSQLSQLUnitedInformationTechnologyCo.,Ltd.SQLSQLSQLSQL选用绿色节能设备在选购设备时，将绿色节能作为一项指标多核芯片技术提升处理能力UnitedInformationTechnologyCo.,Ltd.水冷式服务器MAID功能存储系统机房规划与设计提纲机房规划与设计绿色节能措施运维体系安全保障UnitedInformationTechnologyCo.,Ltd.安全保障维护工程师高层领导部门管理者IT服务管理子系统统一的接入和展现（报表、信息查询统计与发布）展现层业务服务管理子系统监控管理子系统数据中心运维体系安全管理接口系统层IT服务管理子系统服务管理管理管理管理维管理管理管理服务管理服务管理CMDB)业务服务管理子系统管理业务服务管理业务监控管理服务管理监控展现层监控系统/监控管理子系统理理理业务理监控管理理层UnitedInformationTechnologyCo.,Ltd.系统工/层层数据中心运维体系—团队管理架构IT系统用户监控系统日常维护作业保障服务台一线支持二线支持业务系统支持数据库支持网络支持主机支持流程经理流程制度一线支持二线支持UnitedInformationTechnologyCo.,Ltd.Page19三线支持（第三方IT服务提供商）三线支持数据中心运维体系—运维资质及认证运维管理体系资质及认证运维管理体系资质及认证ISO9001质量管理体系认证ISO9001质量管理体系认证ISO27001信息安全管理体系认证ISO27001信息安全管理体系认证ISO20000管理体系认证ISO20000管理体系认证ISO14000环境管理认证ISO14000环境管理认证BS25999业务连续性管理认证BS25999业务连续性管理认证UnitedInformationTechnologyCo.,Ltd.理体系认证理体系认证全管理体系认证全管理体系认证系认证系认证理认证理认证续性管理认证续性管理认证机房规划与设计提纲机房规划与设计绿色节能措施运维体系安全保障UnitedInformationTechnologyCo.,Ltd.安全保障安全保障体系结合新一代数据中心的业务应用特点及平台架构特性，在采取传统安全防护基础上，进一步集成数据加密、VPN、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安全技术手段，构建面向应用的纵深安全防御体系环境安全数据安全运营管理安全底层架构安全UnitedInformationTechnologyCo.,Ltd.Page22运营管理安全底层架构安全数据中心安全环境安全•区域划分：最高分为五级区域（一般、受控、重要、关键、客户专属）•结合公共安全系统、自动控制管理系统、人工辅助形成完善的环境管理体系级别3：重要区域级别4：关键区域生产运行的区域级别5：客户专属区域客户专属机房区域UnitedInformationTechnologyCo.,Ltd.Page23级别1：一般区域包括园区界内的户外空间级别2：受控区域数据中心的全部室内区域空间级别3：重要区域办公区域底层架构安全•基础网络安全•安全域划分：部署防火墙，划分安全域，实施安全边界防护•异常流量监测与攻击防范：进行流量实施监控，部署DDoS攻击防御系统•承载网络应支持设备级、链路级的冗余备份•主机及管理终端安全•基础网络安全•安全域划分：部署防火墙，划分安全域，实施安全边界防护•异常流量监测与攻击防范：进行流量实施监控，部署DDoS攻击防御系统•承载网络应支持设备级、链路级的冗余备份•主机及管理终端安全底层•主机及管理终端安全•主机/终端系统安全加固：补丁管理、安全配置•安全防护：控制蠕虫/病毒/木马在云计算平台内传播，非法入侵监测•服务器虚拟化安全•虚拟机管理器安全：服务最小化原则、内核模块完整性、补丁管理机制等•虚拟机安全：虚拟机安全隔离、访问控制、恶意虚拟机防护（防地址欺骗、VM端口扫描等）、虚拟机资源限制等•网络虚拟化安全•主机及管理终端安全•主机/终端系统安全加固：补丁管理、安全配置•安全防护：控制蠕虫/病毒/木马在云计算平台内传播，非法入侵监测•服务器虚拟化安全•虚拟机管理器安全：服务最小化原则、内核模块完整性、补丁管理机制等•虚拟机安全：虚拟机安全隔离、访问控制、恶意虚拟机防护（防地址欺骗、VM端口扫描等）、虚拟机资源限制等•网络虚拟化安全层架构安UnitedInformationTechnologyCo.,Ltd.Page24•虚拟交换机：采用VLAN划分虚拟机组、对端口限速，禁止混杂模式进行网络嗅探等•虚拟防火墙：设置安全访问控制策略，建立逻辑安全边界•存储安全：支持存储空间的负载均衡、冗余保护等•高可用性要求：支持HA(冷备)、FT（热备）等•容灾备份：提供各层级的本地/异地容灾服务•虚拟交换机：采用VLAN划分虚拟机组、对端口限速，禁止混杂模式进行网络嗅探等•虚拟防火墙：设置安全访问控制策略，建立逻辑安全边界•存储安全：支持存储空间的负载均衡、冗余保护等•高可用性要求：支持HA(冷备)、FT（热备）等•容灾备份：提供各层级的本地/异地容灾服务安全数据安全•数据隔离：通过虚拟化层安全机制实现虚拟机间存储访问隔离•数据访问控制：设置虚拟环境下的逻辑边界安全访问控制策略，实现虚拟机、虚拟机组间的数据访问控制•数据隔离：通过虚拟化层安全机制实现虚拟机间存储访问隔离•数据访问控制：设置虚拟环境下的逻辑边界安全访问控制策略，实现虚拟机、虚拟机组间的数据访问控制数略，实现虚拟机、虚拟机组间的数据访问控制•数据存储安全：为用户可选提供加密存储服务；虚拟机服务则建议用户对重要的数据信息在上传、存储前进行加密处理•数据传输安全•应采用SSH、SSL等方式保障维护管理信息的安全•应支持采用数据加密、VPN等技术保障用户数据信息的网络传输安全•剩余信息保护：存储资源重分配之前进行完整的数据擦除；数略，实现虚拟机、虚拟机组间的数据访问控制•数据存储安全：为用户可选提供加密存储服务；虚拟机服务则建议用户对重要的数据信息在上传、存储前进行加密处理•数据传输安全•应采用SSH、SSL等方式保障维护管理信息的安全•应支持采用数据加密、VPN等技术保障用户数据信息的网络传输安全•剩余信息保护：存储资源重分配之前进行完整的数据擦除；数数据安UnitedInformationTechnologyCo.,Ltd.Page25•剩余信息保护：存储资源重分配之前进行完整的数据擦除；数据删除后，对应的存储区进行完整的数据擦除或标识为只写•数据备份与恢复：支持文件级完整和增量备份；映像级恢复和单个文件的