IDC數(shù)據(jù)中心機房建設(shè)方案

1、數(shù)據(jù)中心建設(shè)方案綜述IDC作為提供資源外包服務(wù)的基地，它可以為企業(yè)和各類網(wǎng)站提供專業(yè)化的服務(wù) 器托管、空間租用、網(wǎng)絡(luò)批發(fā)帶寬甚至 ASP EC等業(yè)務(wù)。簡單地理解，IDC是對 入駐(Hosting)企業(yè)、商戶或網(wǎng)站服務(wù)器群托管的場所；是各種模式電子商務(wù)賴 以安全運作的基礎(chǔ)設(shè)施，也是支持企業(yè)及其商業(yè)聯(lián)盟 (其分銷商、供應(yīng)商、客戶 等)實施價值鏈管理的平臺。形象地說，IDC是個高品質(zhì)機房，在其建設(shè)方面， 對各個方面都有很高的要求。IDC的總體結(jié)構(gòu)如下圖所示IDC的建設(shè)主要在如下幾個方面:網(wǎng)絡(luò)建設(shè)IDC主要是靠其有一個高性能的網(wǎng)絡(luò)為其客戶提供服務(wù)，這個高性能的網(wǎng)絡(luò)包括其-AN、WANK與Interne

2、t 接入等方面。IDC 的網(wǎng)絡(luò)建設(shè)主要有：IDC 的- AN 的建設(shè)，包括其- AN 的基礎(chǔ)結(jié)構(gòu)， - AN 的層次， - AN 的性能。IDC的WAN勺建設(shè)，即IDC的各分支機構(gòu)之間相互連接的廣域網(wǎng)的建設(shè)等。IDC的用戶接入系統(tǒng)建設(shè)，即如何保證IDC的用戶以安全、可靠的方式把數(shù)據(jù) 傳到IDC的數(shù)據(jù)中心，或?qū)Υ娣旁贗DC的用戶自己的設(shè)備進行維護，這需要IDC 為用戶提供相應(yīng)的接入方式，如撥號接入、專線接入及VPNoIDC 與 Internet 互聯(lián)的建設(shè)。IDC 的網(wǎng)絡(luò)管理建設(shè)，由于 IDC 的網(wǎng)絡(luò)結(jié)構(gòu)相當(dāng)龐大而且復(fù)雜，要保證其網(wǎng)絡(luò)不間斷對外服務(wù)，而且高性能，必須有一高性能的網(wǎng)絡(luò)管理系統(tǒng)。服務(wù)

3、器建設(shè)IDC 的服務(wù)器建設(shè)可分為多個方面， 總體上分為基礎(chǔ)服務(wù)系統(tǒng)服務(wù)器和應(yīng)用服務(wù)系統(tǒng)服務(wù)器，主要有：基礎(chǔ)系統(tǒng)服務(wù)器：這類服務(wù)器是保障IDC為用戶提供各種服務(wù)的前提，這類服 務(wù)器有DNSK務(wù)器、目錄服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、防火墻服務(wù)器、各類安全服 務(wù)器、 IDC 系統(tǒng)性能監(jiān)控服務(wù)器等等。數(shù)據(jù)庫服務(wù)器：它是保證IDC可以為用戶提供各種應(yīng)用服務(wù)的基礎(chǔ)，IDC的數(shù) 據(jù)庫服務(wù)器必須能支持大容量訪問、多種數(shù)據(jù)庫等。數(shù)據(jù)備份服務(wù)器：它是IDC為客戶提供安全服務(wù)的內(nèi)容之一，保證客戶的數(shù)據(jù)安全可靠。 由于 IDC 的服務(wù)器種類繁多、 有多種數(shù)據(jù)庫， 所以數(shù)據(jù)備份要支持多機型、多種數(shù)據(jù)格式等等，而且容量要大。應(yīng)

4、用服務(wù)器：是IDC為用戶提供相關(guān)應(yīng)用服務(wù)的服務(wù)器。由于IDC的業(yè)務(wù)擴展， 所以應(yīng)用服務(wù)器應(yīng)具有很好的擴展性，以及支持各類應(yīng)用軟件的數(shù)量要多。服務(wù)器的負(fù)載均衡：這是IDC提供高性能、高可靠性服務(wù)的重要方法之一，服務(wù)器的負(fù)載均衡可由硬件設(shè)備（如網(wǎng)絡(luò)交換設(shè)備）或軟件的方法實現(xiàn)。存儲系統(tǒng)的建設(shè)存儲系統(tǒng)是IDC 的重點建設(shè)內(nèi)容之一，作為一個IDC ，其存儲系統(tǒng)是相當(dāng)龐大的，特別是在現(xiàn)在的企業(yè)中， 數(shù)據(jù)的容量以由 GB 級增長到 TB 級， 如此大的數(shù)據(jù)需要有一個更加安全、可靠的存儲系統(tǒng)， 由于訪問的數(shù)量也是相當(dāng)龐大的， 所以對存儲系統(tǒng)的效率也有很高的要求；而且存儲系統(tǒng)應(yīng)具有很好的擴展性，以滿足 IDC

5、的發(fā)展的需求。軟件系統(tǒng)的建設(shè)軟件系統(tǒng)的建設(shè)是IDC 需要大量投入的方面， 它是在前面網(wǎng)絡(luò)、 服務(wù)器和存儲系統(tǒng)建設(shè)的基礎(chǔ)上，IDC開展對外服務(wù)的手段。IDC在軟件建設(shè)的主要有：Web系統(tǒng)：IDC開展Web-Hosting服務(wù)內(nèi)容之一，WebS統(tǒng)軟件應(yīng)支持在一個 系統(tǒng)上能建立為多家企業(yè)服務(wù)的 Web系統(tǒng)功能等。電子郵件系統(tǒng)： 電子郵件系統(tǒng)應(yīng)支持多種電子郵件協(xié)議， 如 SMTP、 POP3、 IMAP4、 Web-Mai- 和 Voice-Mai- 等，同時電子郵件系統(tǒng)應(yīng)有很好擴展性等。數(shù)據(jù)庫系統(tǒng)：IDC應(yīng)建立多廠家的數(shù)據(jù)庫系統(tǒng)，如應(yīng)有 Orac- e、Informix、 SQ- Server、Sy

6、Base等廠家的數(shù)據(jù)庫，以滿足不同用戶的需求。安全系統(tǒng)：如防火墻軟件（硬件防火墻除外）、防黑客入侵、防病毒軟件等。這是保證IDC為用戶提供安全服務(wù)器的前提。數(shù)據(jù)備份軟件 : 支持多備份設(shè)備、多種廠家的機器、多種數(shù)據(jù)庫等等。應(yīng)用開發(fā)系統(tǒng)：IDC應(yīng)提供相應(yīng)的開發(fā)系統(tǒng)平臺，提供相應(yīng)的開發(fā)工具，滿足 用戶或IDC開發(fā)相應(yīng)應(yīng)用的需求。IDC 自身服務(wù)系統(tǒng)建設(shè)IDC是靠其優(yōu)質(zhì)的服務(wù)來占有市場和贏得客戶的，為了做到優(yōu)質(zhì)高效服務(wù)，IDC在其自身服務(wù)器系統(tǒng)的建設(shè)上也必須有大量的投入。 IDC 自身服務(wù)系統(tǒng)主要有：客戶關(guān)系管理系統(tǒng)（CRM）: CRM是IDC與客戶建立良好關(guān)系的基礎(chǔ)服務(wù)系統(tǒng)， 它為IDC提供的用戶

7、的發(fā)展動態(tài)以及用戶的新的需求等。計費系統(tǒng)：計費系統(tǒng)是IDC收入的保證。網(wǎng)絡(luò)與服務(wù)器管理系統(tǒng)：IDC有龐大的網(wǎng)絡(luò)和服務(wù)器系統(tǒng)，要管理好這些系統(tǒng)， 必須有一個功能強大的網(wǎng)絡(luò)、服務(wù)器和應(yīng)用管理系統(tǒng)，此能保證IDC對外的服務(wù) 質(zhì)量。IDC 的內(nèi)部管理系統(tǒng)：保證IDC 內(nèi)部各部門能夠統(tǒng)一協(xié)調(diào)工作，完成高質(zhì)量的服務(wù)。機房場地建設(shè)機房場地的建設(shè)是IDC 前期建設(shè)投入最大的部分。由于 IDC 的用戶可能把其重要的數(shù)據(jù)和應(yīng)用都存放在IDC 的機房中，所以對IDC 機房場地環(huán)境的要求是非常高的。 IDC 的機房場地建設(shè)主要在如下幾個方面：機房裝修：機房裝修主要考慮吊頂、隔斷墻、門窗、墻壁和活動地板等。供電系統(tǒng)：供

8、電系統(tǒng)是IDC 的場地建設(shè)重點之一，由于IDC 的大量設(shè)備需要極大的電力功率， 所以供電系統(tǒng)的可靠性建設(shè)、 擴展性是極其重要的。 供電系統(tǒng)建設(shè)主要有： 供電功率、UPS 建設(shè)（ n+1 ） 、配電柜、電線、插座、照明系統(tǒng)、接地系統(tǒng)、防雷和自發(fā)電系統(tǒng)等?？照{(diào)系統(tǒng)：機房的溫度、通風(fēng)方式和機房空氣環(huán)境等。安全系統(tǒng)：門禁系統(tǒng)、消防系統(tǒng)和監(jiān)控系統(tǒng)。布線系統(tǒng)： 機房應(yīng)有完整的綜合布線系統(tǒng)， 布線系統(tǒng)包括數(shù)據(jù)布線、 語音布線、 終端布線。通信系統(tǒng)：包括數(shù)據(jù)線帶寬、語音線路數(shù)目等。IDC網(wǎng)絡(luò)功能結(jié)構(gòu)IDC網(wǎng)絡(luò)建設(shè)我們建議的IDC網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:M&intaneov; AccLtytrBickend L,界

9、tDB/MAJL ServerSto ngtE忙WEB SeiverF amSetvei AccessLa”fHDNSZMai Reiiy-LJtcIntemr tIf str AccrisLayer核心交換層：由兩臺CISCO650移層交換機構(gòu)成，實現(xiàn)雙機容錯工作，保證數(shù) 據(jù)的高速、無阻塞的交換。策略分布層：可以由一組 CSS1100陳列內(nèi)容交換機組成，負(fù)責(zé)完成服務(wù)器負(fù) 載均衡和策略分布任務(wù)。服務(wù)器訪問層：由一組Cat3524交換機組成，完成托管服務(wù)器的高速接入工作。后端網(wǎng)絡(luò)：由兩臺CISCO650的成，實現(xiàn)雙機容錯工作，實現(xiàn)IDC管理中心， 數(shù)據(jù)庫、郵件、應(yīng)用等服務(wù)器和存儲系統(tǒng)的連接，托管

10、服務(wù)器通過第二塊網(wǎng)卡和 后端網(wǎng)絡(luò)相連，保證獨立和高速的數(shù)據(jù)訪問。同時，后端網(wǎng)絡(luò)通過防火墻和前端 的核心網(wǎng)絡(luò)連接，實現(xiàn)IDC管理中心對前端網(wǎng)絡(luò)的管理，防火墻則為后端網(wǎng)絡(luò)提 供更嚴(yán)格的保護。用戶訪問層：由若干臺Cat4000和一組Cat2924組成，提供企業(yè)和個人用戶接 入，提供INTERNET:網(wǎng)，企業(yè)用戶還可以通過 VLAM口自己的托管服務(wù)器連接實 現(xiàn)日常的維護工作。IDC網(wǎng)絡(luò)建設(shè)方案設(shè)計描述.Internet 接入網(wǎng)絡(luò)結(jié)構(gòu)由于本系統(tǒng)Internet接入服務(wù)用戶主要來自于各寫字樓內(nèi)的公司和高級酒店、 公寓內(nèi)的客人和住戶，且各寫字樓相距較近，所以全部采用LAN結(jié)構(gòu)為這些用戶 提供接入服務(wù)，如下圖

11、所示：LAN采用流行的以太網(wǎng)絡(luò)結(jié)構(gòu),核心交換：Cat6509多層交換機分布層交換或周邊建筑物內(nèi)主干：Cat4006交換機接入層交換機：Cat2924XL交換機由于考慮到在酒店和寫字樓內(nèi)重新進行數(shù)據(jù)布線有一定困難，所以采用TDSLS術(shù)實現(xiàn)樓內(nèi)的數(shù)據(jù)傳輸，所有數(shù)據(jù)交換設(shè)備都集中在中央機房內(nèi)， 但網(wǎng)絡(luò)的總體 結(jié)構(gòu)不變。核心交換使用兩臺Catalyst 6509構(gòu)成，形成全冗余的高速網(wǎng)絡(luò)核心。分布層交 換機Catalyst 4006 使用兩條千兆線路分別與兩臺6509相連，形成冗余的千兆 主干。樓層交換機使用 Catalyst 2924XL交換機。Cat6509上的千兆端口還用來連接其他的節(jié)點，與其他

12、節(jié)點的LAN一起構(gòu)成一個分布式的城域范圍的數(shù)據(jù)中心的結(jié)構(gòu)。.用 CACHED速 INTERNE昉問Internet的發(fā)展趨勢是盡可能地將內(nèi)容在地理上靠近用戶,由于本方案中 INTERNETS入用戶的大都來自與商務(wù)寫字樓和酒店公寓，其對INTERNET勺訪問具有很大的重復(fù)性，所以有效地部署 CACHET以大大地降低INTERNETS入的帶 寬負(fù)荷，提高內(nèi)容的相應(yīng)速度。另外，由于現(xiàn)在INTERNET:出現(xiàn)越來越多的多媒體形式的內(nèi)容，指望拓寬 INTERNETS 口帶寬來提高用戶對這些內(nèi)容的訪問速度是根本不現(xiàn)實的，而使用 CACHED：對INTERNET:的這些內(nèi)容進行緩存，不但可以使這些內(nèi)容對用戶

13、變 得現(xiàn)實可用，提高用戶的忠誠度，而且還可以通過定期定制一些多媒體節(jié)目在 CACHED,以有償?shù)姆绞较蛴脩籼峁@就演化成了一種增值服務(wù)?？傊珻ACHE寸IDC以及ISP都是必不可少的，經(jīng)營者可以通過靈活地使用 CACHE 來最大限度地降低成本，提升利潤。我們建議使用NETAP公司的NetCache C1105來提供緩存服務(wù)，將其連接在 INTERNET1入路由器上提供服務(wù)。NetCache C1105 的特點：可靠性/可用性/可擴展性專用的體系結(jié)構(gòu)專注于內(nèi)容可用性的提供微碼的核心系統(tǒng)，在增加數(shù)據(jù)可用性的前提下達到最小的開銷WAFL(Write Anywhere File System )

14、NetApp專利的文件系統(tǒng)優(yōu)化了磁盤到網(wǎng)絡(luò)的傳輸冗余的熱插拔電源ECCft存保護OS的冗余拷貝簡化的管理專用的內(nèi)容管理和送達軟件大型部署時的多系統(tǒng)管理應(yīng)用分析與報告的日志快速的安裝與啟動企業(yè)框架軟件集成提供集中的應(yīng)用管理基于WEEBf CLI的管理溫度、電源監(jiān)控提供可預(yù)測的系統(tǒng)管理安全加固了的 TCP/IP 協(xié)議棧在沒有防火墻的保護下也能抵御一般的網(wǎng)絡(luò)攻擊 Icap-enabled 過濾和病毒檢測本地支持的第三方過濾表NTLM LDA叫RADIU縱證支持ACL多協(xié)議支持 HTTP、 FTP、 NNTP支持主要的流技術(shù)(MMS， RTSP， QuickTime)iCAP-enabled 應(yīng)用提供

15、靈活的對增值服務(wù)的訪問3服務(wù)器負(fù)載均衡的實現(xiàn)對于大部分站點而言， 采用多個服務(wù)器而不是一臺大型服務(wù)器， 可以提高服務(wù)器的響應(yīng)性能， 減少服務(wù)器的單點故障。 但多臺服務(wù)器的采用， 必須考慮服務(wù)器的負(fù)載均衡問題。在本方案中服務(wù)器置于CSS11800內(nèi)容服務(wù)交換機之后，所以由CSS1180求成服務(wù)器的負(fù)載均衡。CSS11000S歹!J通過 ACA(Arrowpoint Content Assure protocol) 制定負(fù)荷參數(shù)， 選擇最小負(fù)荷的服務(wù)器提供用戶所需的內(nèi)容。同時CSS11000S列還支持加權(quán)輪詢-Weighted RoundRobin；最小連接機制；最 大連接數(shù)限制等多種算法實現(xiàn)負(fù)載

16、均衡。Cisco CSS 11000 系列內(nèi)容服務(wù)交換機是業(yè)界唯一的動態(tài)負(fù)載均衡交換機，采用具有專利權(quán)的ACAB法，可以根據(jù)Cache服務(wù)器的命中率、流建立數(shù)和RTT(RoundTrip Time) 選擇最合適的服務(wù)器應(yīng)答用戶的請求。與其他的負(fù)載均衡設(shè)備比較，CSS有更高的負(fù)載均衡能力，因為它是一種基于流的交換機，其他廠家的負(fù)載均衡設(shè)備則是基于包的交換機。 基于包的解決方案通過檢測對某一特定內(nèi)容的請求時的每個包來做轉(zhuǎn)發(fā)決定，這樣嚴(yán)重增加了 CPU勺負(fù)擔(dān)。而作為基于流的交換 機的CSS 一旦流建立起來后，該流所有的流量都將以線速轉(zhuǎn)發(fā)。CSS 以下面的多種方法支持負(fù)載均衡：具有專利權(quán)的ACA負(fù)載均

17、衡算法輪詢(Round Robin, RR)加權(quán)輪詢(Weighted Round Robin, WRR)最少連接(Least Connection, LC)/ 最大連接(Max Connection)目的 IP 地址 源 IP 地址域 / 域 Hash 算法 (Domain/Domain hash)- URL/URL Hash 算法考慮到建設(shè)初期， 負(fù)載均衡交換機不是必須的設(shè)備， 而且也不是所有的托管站點都需要負(fù)載均衡功能，所以，我們建議先不采用負(fù)載均衡設(shè)備，等到有需求的時候再增加。4. WEEK務(wù)器的連接我們?yōu)镮DC 中的每臺托管服務(wù)器都配置兩組網(wǎng)卡，一組用于前端網(wǎng)絡(luò)的連接， 提供WE昉問

18、；另一組用于后端網(wǎng)絡(luò)的連接，提供對數(shù)據(jù)庫、郵件等服務(wù)器以及存 儲系統(tǒng)的訪問。通過使用不同的網(wǎng)絡(luò)通道進行數(shù)據(jù)庫等后臺應(yīng)用訪問， 可以使服務(wù)器更充分的利用網(wǎng)絡(luò)帶寬來相應(yīng) WEB青求；同時，后端網(wǎng)絡(luò)與前端網(wǎng)絡(luò)的分離可以讓數(shù)據(jù)庫訪 問、文件存取等要求高速、大容量的數(shù)據(jù)訪問享有更多的網(wǎng)絡(luò)帶寬。服務(wù)器通過一組接入交換機Cat3524 連入主干交換網(wǎng)絡(luò)。5后端網(wǎng)絡(luò)的設(shè)計由于后端網(wǎng)絡(luò)連接IDC管理中心，數(shù)據(jù)庫、郵件等服務(wù)器和大容量存儲系統(tǒng)， 需 要高速的交換系統(tǒng)， 所以我們使用兩臺 Cat6509 交換機作冗余的核心， 連接一組Cat3524提供和WEB艮務(wù)器的連接；對于數(shù)據(jù)庫等服務(wù)器和存儲系統(tǒng)，可以采用千兆

19、以太端口或千兆以太通道提供高達數(shù)Gbps 的直接連接。6用戶的遠(yuǎn)程維護一般情況下，IDC用戶會要求遠(yuǎn)程維護自己的托管服務(wù)器，由于用戶只允許對自 己托管的服務(wù)器進行訪問，因此，必須采用如：VPN VLAN技術(shù)保證這一點。通過連接到后端網(wǎng)絡(luò)的廣域網(wǎng)路由器可以提供用戶通過專線、撥號、VPN等各種方式實現(xiàn)遠(yuǎn)程維護。對遠(yuǎn)程維護的行為進行可以通過以下幾種方式進行：DDNt*線：用戶通過DDNt*線連接到IDC中心，通過策略路由或 VLAN1限制 只能訪問自己的服務(wù)器，進行維護。PSTNgE ISDN撥號：用戶通過撥號線路訪問IDC中心，身份認(rèn)證由AAAServer 進行，并進行行為授權(quán)，保證用戶只能訪問到

20、自己的服務(wù)器進行維護。VPN用戶可能距離IDC中心太遠(yuǎn)，從各方面不具備通過 DDN PSTNB各訪問 IDC中心的條件，這是可以通過INTERNE冰用VPNB方式與IDC中心連接并維 護服務(wù)器。這種情況下，由VPNServer或VPN路由器保證連接的安全性和可靠 性。VPNB實現(xiàn)可以采用IPSec隧道和MPLS VP酸術(shù)，在保證信息正確可達的 情況下， 對用戶信息進行高強度的加密， 保證用戶信息的不被竊取和完整性。 對于本地接入的公司所托管的服務(wù)器，由于公司LAN和托管服務(wù)器處于一個LAN結(jié)構(gòu)之內(nèi)，所以，服務(wù)器運行維護可以通過定義VLAN1行。.網(wǎng)絡(luò)安全的考慮網(wǎng)絡(luò)的安全主要通過防火墻和入侵檢測

21、系統(tǒng)來體現(xiàn)， 通過部署防火墻系統(tǒng)，可以 將網(wǎng)絡(luò)劃分成幾個安全等級不同的部分， 對于要求安全等級高的部分，還可以通 過部署多級防火墻來提供安全保護。入侵檢測系統(tǒng)則可以對惡意的入侵行為進行探測，進行記錄。這部分內(nèi)容參見第三章第二節(jié)安全性建設(shè)”。.網(wǎng)絡(luò)的擴展性網(wǎng)絡(luò)良好的擴展性可以讓供應(yīng)商在相當(dāng)長一段時間內(nèi)持續(xù)提供一致服務(wù)，而無需進行新的投資，我們在網(wǎng)絡(luò)設(shè)計中也充分考慮到了這一點。網(wǎng)絡(luò)主交換機 Cat6509采用模塊設(shè)計，最多可以支持到 384個10/100個快速以太端口，或 130個千兆以太端口。其交換帶寬可以從 32Gbps （15Mpps）擴展到256Gbps （150Mpps）, 用戶可以根據(jù)

22、需要選配端口。建筑物主交換機 Cat4006也采用模塊設(shè)計， 支持六個接口插槽， 最多可以擴展到240個快速 以太端口，72個千兆以太端口。樓層交換機Cat2924支持10/100自適應(yīng)端口速率，而且 2924支持多交換機堆疊，在端口數(shù) 不夠時，可以簡便地擴充端口而無需增加上層交換機的端口。Cat4006可以通過千兆以太通道技術(shù)來提升主干連接速率，Cat2924也同樣支持快速以太通道和千兆的主干連接，可以在需要的時候平滑地從現(xiàn)在的10M/100M/1000M 的交換結(jié)構(gòu)升級到100M/1000M/n*1000M 的交換結(jié)構(gòu)，成 10倍地提升網(wǎng)絡(luò)速率。1.操作系統(tǒng)的安全規(guī)劃操作系統(tǒng)的安全性建設(shè)應(yīng)

23、是整個系統(tǒng)安全性建設(shè)的基礎(chǔ)。操作系統(tǒng)的安全性建設(shè) 主要包括用戶的管理、超級用戶的管理、文件系統(tǒng)安全管理、遠(yuǎn)程對系統(tǒng)的訪問 等。用戶管理：對用戶的管理主要有用戶的賬號口令管理，設(shè)置用戶賬號的有效期，用戶賬號口令的存活期限等。如果需要可以規(guī)定用戶只能在指定的時間內(nèi)才能登錄系統(tǒng)，并對登錄系統(tǒng)的用戶進行審核（audit ）。超級用戶的管理：嚴(yán)格限制有普通用戶變成超級用戶（如使用su、rlogin等命令），如果需要可以使用如 CA Unicenter TNG這樣的軟件來控制系統(tǒng)超級用戶 的權(quán)限。文件系統(tǒng)的安全管理：控制用戶對系統(tǒng)內(nèi)特殊文件的訪問權(quán)限，特別是刪除、移 動等權(quán)限，對使用NFS系統(tǒng)可以采用ke

24、rberos方式認(rèn)證。遠(yuǎn)程對系統(tǒng)的訪問：封閉系統(tǒng)的telnet、ftp、r-訪問（rsh、rlogin、rcp）等 功能； 但可以對系統(tǒng)管理員開放相應(yīng)的 telnet 、 ftp 功能， 以便利于對系統(tǒng)的管理和維護。2防病毒（Anti-Virus）目前病毒在網(wǎng)絡(luò)和Internet上傳播主要以電子郵件和 WebM覽的方式傳播，以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播。 防病毒可以分為集中防病毒和分散防病毒兩種方法。 集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件， 此軟件先對進出此服務(wù)器的數(shù)據(jù)進行檢查， 然后再把通過檢查的數(shù)據(jù)發(fā)送給客戶； 分散防病毒是只在客戶端安裝防病毒軟件，它只檢查進出客戶端的數(shù)

25、據(jù)是否有病毒感染。由于IDC主要為客戶服務(wù)，數(shù)據(jù)主要集中在服務(wù)器上，所以在IDC系統(tǒng)的防病毒 體系中主要采用集中防病毒方法，但同時對一些與服務(wù)器相交戶的內(nèi)部客戶段（如管理客戶段） 也采用分散的防病毒方法。 集中防病毒主要是對進出的郵件和HTTPW數(shù)據(jù)進行防病毒；分散是保護內(nèi)部網(wǎng)的單個終端用戶。3防火墻（Firewall）防火墻（Firewall）是保證網(wǎng)絡(luò)安全的重要手段之一，在建設(shè)IDC基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)安全性時， 首先是要考慮防火墻的建設(shè)。 在 Internet/Intranet 上， 通過防火墻來在兩個或多個網(wǎng)絡(luò)間加強訪問控制， 其目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊，隔離風(fēng)險區(qū)域與安全區(qū)

26、域的連接，但不妨礙人們對風(fēng)險區(qū)域的訪問。防火墻要完成如下主要功能：通過對IP包的檢查，過濾對網(wǎng)絡(luò)安全有潛在威脅的IP數(shù)據(jù)包。屏蔽對于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù)，如 Telnet、FTP等?？刂茝腎nternet上過來的IP數(shù)據(jù)的流向，如數(shù)據(jù)包其目的地址只能是某個區(qū)域的DNS WWW服務(wù)器。屏蔽對于某些Internet站點的訪問。完成系統(tǒng)內(nèi)部IP地址到Internet合法IP地址的轉(zhuǎn)換，保證能夠從系統(tǒng)內(nèi)部訪問 Internet ，隱藏內(nèi)部網(wǎng)絡(luò)和主機的結(jié)構(gòu)。訪問日t己， 即 Access Log。IDC不僅要建設(shè)自己的防火墻系統(tǒng)，同時也要考慮特定的用戶需要建立起自己的防火墻系統(tǒng)， 即用需要在其自

27、己的應(yīng)用前增設(shè)相應(yīng)的防火墻系統(tǒng)來保護其應(yīng)用的安全（這可根據(jù)用戶的實際需求再進行建設(shè)）。4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的入侵檢測是在網(wǎng)絡(luò)上增加一臺掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來實現(xiàn)。 此類防入侵軟件有兩個主要功能， 一個掃描網(wǎng)絡(luò)和系統(tǒng)上的安全漏洞， 以便在網(wǎng)絡(luò)和系統(tǒng)建立初期，就解決好安全問題，此功能也屬于安全保護范圍；另一個功能是在網(wǎng)絡(luò)和系統(tǒng)運行時，監(jiān)控數(shù)據(jù)流，及時發(fā)現(xiàn)黑客入侵，從而做到防止黑客的入侵。在IDC系統(tǒng)中，在每個重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個探測器，對每個進出此段網(wǎng)絡(luò)的數(shù)據(jù)流進行檢查探測，當(dāng)其發(fā)現(xiàn)某一個數(shù)據(jù)流不是正常的數(shù)據(jù)流時，探測器把此數(shù)據(jù)流截獲住，并向位于

28、管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告，然后由管理服務(wù)器在做相應(yīng)的防御對策。同時在每個服務(wù)器上安裝有類似的探測器，所以當(dāng)黑客入侵服務(wù)器系統(tǒng)時，也是采取上述動作。數(shù)據(jù)存儲系統(tǒng)1. IDC存儲系統(tǒng)綜述在新的以信息為核心的時代，如何更有效的管理、保護和共享企業(yè)信息已為各行 業(yè)的發(fā)展提出了新的挑戰(zhàn)。尤其在電子商務(wù)、互連網(wǎng)絡(luò)等新興信息行業(yè)領(lǐng)域，更 是面臨著前所未有的巨大挑戰(zhàn)。在傳統(tǒng)的分布式處理模式下，網(wǎng)站內(nèi)所有的信息 分布在內(nèi)部各個服務(wù)器上，信息的管理，信息的可用性受到了很大的限制， 不能 充分發(fā)揮應(yīng)有的作用，而且系統(tǒng)的升級和新業(yè)務(wù)的開發(fā)部署也都不能及時響應(yīng) Internet快速變化的要求，在這種情形下，

29、以信息為中心的集中處理模式應(yīng)時 代的需要再次走上了歷史舞臺，而構(gòu)建企業(yè)信息基礎(chǔ)設(shè)施則更是集中處理模式的 重中之重。對于Internet網(wǎng)站來說，幾分鐘的宕機都會帶來巨大的經(jīng)濟損失以及不可估量 的網(wǎng)絡(luò)用戶的流失，如果宕機的時間再長一些則可能危及整個網(wǎng)站的生命。因此整個IT系統(tǒng)的高可用性變的非常重要，而作為信息系統(tǒng)核心的數(shù)據(jù)部分的高可 用性更是重中之重，服務(wù)器的宕機可以通過多臺服務(wù)器冗余帶來保護，但是如果服務(wù)器上的數(shù)據(jù)沒有有效的保護或成為訪問瓶頸，則可能成為致命的缺陷。另外，分布式的環(huán)境給信息系統(tǒng)管理帶來了巨大的障礙。數(shù)據(jù)分布在眾多的平臺和服務(wù)器之上，備份和管理的工作變的越來越復(fù)雜，多個服務(wù)器上分

30、散的數(shù)據(jù)很 難共享，而且這種分散的存儲模式也帶來了巨大的資源浪費，系統(tǒng)管理人員無法在多個系統(tǒng)間有效的調(diào)度存儲資源。再有，這種處理模式也不利于新業(yè)務(wù)的快速 部署，而更快的測試、部署新的應(yīng)用意味著更快的搶占市場，吸引用戶，這在 Internet中無疑是有著舉足輕重的意義。IDC之間的競爭目前主要表現(xiàn)是網(wǎng)絡(luò)帶寬、基礎(chǔ)設(shè)施等 IDC的基本要素的比較， 隨著IDC產(chǎn)生的越來越多，IDC之間的競爭已經(jīng)表現(xiàn)在如何能夠為IDC的用戶提 供更多的數(shù)據(jù)及安全服務(wù)，如：防火墻、數(shù)據(jù)備份、鏡像站點、負(fù)載均衡、統(tǒng)計 分析等數(shù)據(jù)安全、管理、分析等增值服務(wù)。IDC如何利用現(xiàn)有的帶寬優(yōu)勢、基礎(chǔ)設(shè)施優(yōu)勢來提供更多的數(shù)據(jù)增值服務(wù)

31、并且最大的壓縮成本是未來IDC之間競爭的制勝法寶。因此IDC如何能夠提供更多的數(shù)據(jù)保護、數(shù)據(jù)管理服務(wù)成為IDC建立時系統(tǒng)設(shè)計的一個重要方面。其實答案是很簡單的，那就是集中存儲管理。作為IDC的集中存儲系統(tǒng)需求要面對未來IDC用戶的需求的多樣性，可以按照模 塊方式為用戶提供模塊化的服務(wù)。作為IDC的存儲中心首先應(yīng)該具有極高的安全 性，試想如果存儲系統(tǒng)產(chǎn)生問題如何為用戶服務(wù)，存儲中心還應(yīng)該具有很強的功能彈性：可以實現(xiàn)集中的數(shù)據(jù)備份、冗災(zāi)、連接主機的多樣性等等。作為存儲中心的成本可以有兩種評測，一種是簡單的容量成本，另一種是與IDC系統(tǒng)有關(guān)聯(lián)關(guān)系的功能或服務(wù)成本。 第一種比較簡單，第二種我們可以通過

32、以下 兩個示例來說明：示例一：很多 Web Hosting用戶需要使用高速的文件訪問，要求容量配置管理 簡單、擴容方便。假設(shè)有400臺主機需要托管并且主機類型主要是 NT LINUX 等平臺。如果每臺主機都通過光纖通道的IO通道，則我們需要在每臺主機上安 裝一個FC的卡，價格大約是US$2000.00,那么我們共需要80萬美金，如果將 這些成本加到用戶身上顯然不合適。示例二：如果有100臺SUNlE HP的服務(wù)器提供ASP等業(yè)務(wù)，用戶需要對數(shù)據(jù)進 行備份保護，那么一般情況下需要在每臺服務(wù)器上安裝備份軟件，如果每套軟件價格大約US$15000.00,需要花費150萬美金，并且這種備份方式要站用大

33、量的 網(wǎng)絡(luò)資源和服務(wù)器的計算資源。既然存儲服務(wù)是中心化的，有沒有更好的解決方案，答案是NETAPP勺FILER。通過下面的方案介紹我們就會明白為什么目前10大IDC中會有9家采用NETAPP的存儲解決方案來為IDC的用戶提供基礎(chǔ)設(shè)施和增值服務(wù)。2.存儲系統(tǒng)的建設(shè)目標(biāo)存儲系統(tǒng)重點是對整個網(wǎng)站內(nèi)的數(shù)據(jù)進行整合，建立起真正的企業(yè)存儲平臺，在統(tǒng)一的企業(yè)存儲平臺上建立集中式的處理中心，更有效的完成業(yè)務(wù)處理，并極大的提高系統(tǒng)的可管理性，降低系統(tǒng)的管理難度及管理開銷，提高信息的可用性和 共享性。存儲系統(tǒng)要達到的建設(shè)目標(biāo)如下：完成數(shù)據(jù)整合，建立全網(wǎng)站的信息基礎(chǔ)設(shè)施，在統(tǒng)一的信息存儲平臺上高效的完成業(yè)務(wù)處理，將

34、所有應(yīng)用系統(tǒng)連入已采用的智能存貯系統(tǒng)平臺，進行數(shù)據(jù)整合，整合后整個網(wǎng)站的數(shù)據(jù)信息將位于統(tǒng)一的企業(yè)存儲平臺之上。在新的信息基礎(chǔ)設(shè)施上更有效的完成系統(tǒng)管理，降低系統(tǒng)管理的難度和工作量，從單點實 現(xiàn)對企業(yè)存儲平臺的統(tǒng)一管理和控制。利用新的信息基礎(chǔ)設(shè)施最大限度的提高信息的共享性，信息共享可在存貯系統(tǒng)平臺內(nèi)快速 有效的完成，無需占用網(wǎng)絡(luò)資源。提高信息的可訪問性和訪問速度，所有的數(shù)據(jù)磁帶備份工作，可通過備份機利用本地磁盤 鏡像數(shù)據(jù)來完成，有效降低生產(chǎn)系統(tǒng)的備份窗口需求，大大延長生產(chǎn)系統(tǒng)的在線服務(wù)時間。一個完整的存儲系統(tǒng)還應(yīng)與數(shù)據(jù)備份系統(tǒng)做到無逢結(jié)合，即存儲系統(tǒng)還達到如下目標(biāo)：關(guān)鍵數(shù)據(jù)實現(xiàn)實時備份關(guān)鍵業(yè)務(wù)系

35、統(tǒng)的主機實現(xiàn)熱備份關(guān)鍵業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)部分實現(xiàn)熱備份具體目標(biāo)如下:關(guān)鍵數(shù)據(jù)實現(xiàn)遠(yuǎn)程實時備份，備份技術(shù)應(yīng)不占用主機資源，對應(yīng)用系統(tǒng)無任何影響。 建立災(zāi)難備份中心。在災(zāi)難備份中心，放置主機系統(tǒng)以用作熱備份，其處理能力為生產(chǎn)中心主機的80%以上。在災(zāi)難備份中心，建立網(wǎng)絡(luò)備份系統(tǒng)，其中包括備份網(wǎng)絡(luò)設(shè)備如路由器、HUB等和備份線路，備份線路的接入分局應(yīng)不同于生產(chǎn)中心連接的分局。在存儲系統(tǒng)建成后， IDC 的信息系統(tǒng)將為未來的發(fā)展 (包括業(yè)務(wù)和技術(shù)) 奠定了堅實可靠的 電子信息基礎(chǔ)架構(gòu)。所有的業(yè)務(wù)可以在這一信息基礎(chǔ)架構(gòu)上進行集中的控制和統(tǒng)一的管理。信息的可用性、 保護性和可管理性將大大提高。 系統(tǒng)的可擴展性

36、和靈活性也將比傳統(tǒng)的分布 式存儲方式大大改善，可以充分滿足目前及未來的業(yè)務(wù)發(fā)展和管理的需要。3存儲方案概述IDC的存儲系統(tǒng)是為應(yīng)用提供服務(wù)的，所以在設(shè)計IDC存儲系統(tǒng)時，必須要考慮到所服務(wù)的類型。IDC的服務(wù)類型主要有：WebK務(wù)(Web-hosting)、數(shù)據(jù)庫、 郵件、目錄、計費系統(tǒng)等。根據(jù)應(yīng)用服務(wù)的類型和特點，我們把數(shù)據(jù)庫、郵件、 目錄、 計費等系統(tǒng)規(guī)劃為一類， 此類服務(wù)的特點是服務(wù)器的種類相同， 如數(shù)據(jù)庫 服務(wù)器全為Sun,存儲的數(shù)據(jù)共享型少，比較集中；把Wet務(wù)歸為另一類，Web 服務(wù)器可能是多廠家的(Sun, PC server )，而Web服務(wù)的內(nèi)容共享型比較多， 特別是在Web

37、負(fù)載均衡時，要求多臺 Wet務(wù)器的提供的內(nèi)容要一致。下圖展示了 NAS儲結(jié)構(gòu)，此存儲系統(tǒng)主要為IDC的基于Web的應(yīng)用服務(wù)，如 Web Web-Hosting等，在IDC中Web務(wù)器是很多臺的，而且可能是不廠家的 服務(wù)器，同時很多 Web務(wù)器采用負(fù)載均衡的方式運行，這需要保證每個Web服務(wù)器在同一時刻必須提供相同的內(nèi)容，NAS#儲系統(tǒng)能夠很好地滿足這些要求，同時NAS的良好擴展性能夠滿足 Webg用對存儲系統(tǒng)擴展的需求。存儲SwitchWeb Senrer存儲我們建議采用Netapp公司的F840作為IDC的NAS#儲系統(tǒng)。我們采用兩臺 Netapp的F840作為存儲系統(tǒng)，兩臺F840以雙機備

38、份的方式運行，具體描述如 下：多應(yīng)用系統(tǒng)數(shù)據(jù)存儲的獨立性和安全性由于在NAS的存儲系統(tǒng)上要存放多家的數(shù)據(jù)，如何保證用戶間的數(shù)據(jù)安全性，是 NAS#儲系統(tǒng)應(yīng)重點考慮的問題。在 F840 filer系統(tǒng)上，首先，filer具有高度 的安全性，安全認(rèn)證由UNIX主機和WINDOWS所域控制器負(fù)責(zé)，安全等級達 C2級；在NT環(huán)境中，filer 與NT的ACL (access control list )功能相結(jié)合 可提供更高的安全保護。為保證數(shù)據(jù)存放的獨立性，可在一臺filer中將不同應(yīng)用系統(tǒng)的數(shù)據(jù)分別存放于 多個卷組中，同時對每一卷組授予不同的操作系統(tǒng)訪問權(quán)限， 用戶組和用戶權(quán)限， 以細(xì)化對數(shù)據(jù)的保

39、護。且在網(wǎng)絡(luò)配置上可安裝多個網(wǎng)卡使filer擁有多個IP地址，通過子網(wǎng)配置實現(xiàn)數(shù)據(jù)的分流和隔離，確保應(yīng)用系統(tǒng)的數(shù)據(jù)獨立性。另外，filer的Data Ontap操作系統(tǒng)還提供名為QTRE的空間配額管理工具。 只需簡單的命令行配置即可對卷組下的用戶目錄空間和最大可創(chuàng)建文件數(shù)作配 置，實現(xiàn)細(xì)化管理。Cluster Failover 簡介文件系統(tǒng)專用設(shè)備Filer除了軟硬件本身具有99.99%的高可靠性以外，為了消 除一些單點故障(如系統(tǒng)主板出錯，等)，在以低成本、低性能開銷、不增加系 統(tǒng)復(fù)雜度的前提下，將兩臺獨立的Filer耦合起來，實現(xiàn)一旦一臺Filer因故障 而停止運行并且不能重新啟動，另一臺

40、Filer立即就可接管這一臺Filer的全部 工作，保證系統(tǒng)正常運行。Cluster Failover系統(tǒng)結(jié)構(gòu)圖如下圖所示。Glii T Ai.S 口 UAreccActiwOnr SluriWtfjij T.5 IT liUr。Qk IctiiW Otae StrarfbF圖中的兩臺Filer都與磁盤陣列相連，并處于同一子網(wǎng)中，兩臺Filer之間用高 速、冗余的光纖互連。光纖通道(FC-AL)的硬盤有兩個端口，分別與兩臺Filer 相連。每個Filer有自己主管的一組硬盤。正常運行時，兩臺Filer各自獨立工作，硬 盤、風(fēng)扇或電源出錯不影響另一臺 Filer的工作。同樣，若一臺Filer的軟

41、件出 錯，這也僅僅引起這臺Filer重新啟動，不會影響到另一臺Filer的工作。如果 一臺Filer發(fā)生災(zāi)難性故障，即不能重新啟動，則另一臺Filer會自動接管原屬 于有故障的Filer的硬盤、文件系統(tǒng)、同時將其IP地址也歸為己有。在整個接管過程中，客戶端僅簡單地感覺到系統(tǒng)像是在重新啟動。所有在系統(tǒng)本 身重起過程中，能夠保留的狀態(tài)，另一臺 Filer也同樣通過接管保留。當(dāng)然，如 果一臺Filer在其重新啟動過程中丟失一些狀態(tài)，如 CIFS鎖(LOCK狀態(tài)和文 件狀態(tài)等，則在接管后，另一臺 Filer也不能保留這些狀態(tài)。一旦有故障的Filer恢復(fù)正常運行后，它不會自動地再接管自己的文件系統(tǒng)， 這

42、 需要系統(tǒng)管理員干預(yù)才能實現(xiàn)。系統(tǒng)管理員也可強制一臺Filer交出自己的文件 系統(tǒng)，從而可實行計劃中的Filer和硬盤維護工作。Cluster Failover 的工作原理Cluster Failover主要依靠以下兩個方面工作：其一是 WAFL的特性，特別是 WAFL文件系統(tǒng)的盤上狀態(tài)(ON-DISK STATE )永遠(yuǎn)是一致 的。這個盤上狀態(tài)從一個一致點移動到另一個一致點的過程為一個交易，也就是說，要么完成一個狀態(tài)遷移，要么無狀態(tài)遷移，因此它永遠(yuǎn)保持一致。另外， WAFL在日志文件中記錄 所有被服務(wù)過的、能夠轉(zhuǎn)移到非易先性RAM (NVRAM )中的客戶請求。日志文件中那些已被轉(zhuǎn)移到硬盤上

43、的客戶請求只有在一個盤上狀態(tài)遷移完成后，才被丟棄。Filer通常利用這些特征將盤上數(shù)據(jù)從故障中恢復(fù)。當(dāng)Filer重新啟動時，它只是簡單地重新執(zhí)行在最近(致性)盤上狀態(tài)未反映的 NVRAM中的客戶請求。其次是互連的特性，特別是互連具有遠(yuǎn)程內(nèi)存存取能力(有時也稱作非一致性內(nèi) 存存取，或者簡稱NVRAM。當(dāng)一個客戶請求到來時，F(xiàn)iler將其記錄在它本地 的NVRAW。在Cluster的配置中，F(xiàn)iler利用遠(yuǎn)程內(nèi)存存取特性將日志文件中 的記錄項拷貝到另一臺Filer的NVRAW。這個技術(shù)的一個突出優(yōu)點是發(fā)送方發(fā) 送的拷貝極快，幾乎不影響到接收方的操作(如，沒有包處理過程)。同樣，另 一臺Filer也

44、會將自己的NVRAW的日志記錄項拷貝到這臺 Filer的NURA附。當(dāng)一臺Filer不能從互連的光纖通道、網(wǎng)絡(luò)或硬盤上探測到另一臺Filer的心跳 (HEARTBEAM I/O活動，他即認(rèn)為這臺Filer已出故障，接管過程開始。主要是接管出故障的Filer的IP和MAC*址、文件系統(tǒng)和硬盤，以及后臺服務(wù)器 進程(daemon),并將其使用的NVRAM7的日志記錄項回現(xiàn)。這個技術(shù)與 Filer 重新啟動時所使用到的技術(shù)類似。 接管后，正常工作的Filer中的每個后臺服務(wù) 器進程(daemon)具有兩個標(biāo)識符，一個用于本地 Filer ,另一個用于另一臺 Filer 。Cluster Failov

45、er 的配置從以上的簡單描述，我們已了解了 Clustered Failover的原理，我們知道這個 解決方案能夠使得文件/存儲系統(tǒng)在filer本身具有的高可靠性的基礎(chǔ)上進一步 保證了系統(tǒng)的高可用性。為了避免一些軟硬件的兼容性問題，以及系統(tǒng)運行后配置和管理的方便，我們建議將兩臺 F840的軟件和硬件，包括存儲容量配置成完 全相同的兩臺filer 。存儲解決方案特點.整個網(wǎng)絡(luò)的數(shù)據(jù)存儲統(tǒng)一集中管理，非常適合大型設(shè)計和制造單位進行文件數(shù)據(jù)的管理 和維護；.容量高，一個文件系統(tǒng)可達12TB,可以簡單地增加 Filer網(wǎng)絡(luò)文件數(shù)據(jù)存儲服務(wù)器來成倍的擴大存儲容量而并不影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)；.文件和數(shù)據(jù)訪問

46、速度快，單卷 NFS操作速度達15,000次每秒；.穩(wěn)定性高，單臺可靠性達 99.995%,雙機達99.997%;.易于操作，只有60條命令，安裝只需15分鐘；.易于維護，硬盤可以熱插拔，重啟動只需120秒；.有高度的安全性，安全認(rèn)證由 UNIX主機和 WINDOWS NT主域控制器負(fù)責(zé)，安全等級 達C2級；.具有數(shù)據(jù)保護功能，具有 2030級硬盤快照功能；.具有進程保護功能并重起時間短，約 120秒；.支持多個網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)，適合多種網(wǎng)絡(luò)環(huán)境共存 (UNIX , WINDOWS NT , HTTP )的數(shù)據(jù)存儲；.高效的靈活的管理，支持熱插拔和熱備份硬盤；.具有模塊化設(shè)計，可以方便地升級

47、和擴展網(wǎng)絡(luò)存儲設(shè)備；.存儲系統(tǒng)中的數(shù)據(jù)可進行磁帶備份保護，支持現(xiàn)有的數(shù)據(jù)備份軟件和備份設(shè)備；.用磁帶備份保存的數(shù)據(jù)當(dāng)其恢復(fù)時原有屬性不丟失，可保持UNIX和WINDOWS NT數(shù)據(jù)的初始狀態(tài)；.存儲系統(tǒng)具有最優(yōu)化的投資配置及最優(yōu)服務(wù)；.來備份Unix系統(tǒng)和NT系統(tǒng)混和網(wǎng)絡(luò)環(huán)境的全部數(shù)據(jù)。數(shù)據(jù)備份系統(tǒng)在IDC應(yīng)用中，為確保向客戶提供7x24的服務(wù)，各種數(shù)據(jù)的安全可靠是非常重 要的一個環(huán)節(jié)，這需要對數(shù)據(jù)提供一套完整的管理方案，涉及備份、歸檔、復(fù)制 等方面。我們建議使用 Veritas NetBackup軟件、Sun Enterprise 220R服務(wù)器 與Sun StorEdge L20磁帶庫配合

48、，作為數(shù)據(jù)備份的解決方案。Veritas NetBackup 軟件Veritas公司是業(yè)界在提供數(shù)據(jù)存儲解決方案方面全球性著名公司，Veritas的NetBackup是業(yè)界比較常用的備份服務(wù)軟件。Veritas NetBackup可以為一個具有大量WindowsNT/2000, UNIX , NetWare等環(huán)境的數(shù)據(jù)中心提供數(shù)據(jù)保護，并通過一些靈活的圖形化 界面來管理其所有的備份和恢復(fù)工作，這樣可以在一個企業(yè)實施連續(xù)性的備份策略。Vehtas NetBackup的體系結(jié)構(gòu)NetBackup采用四層的體系結(jié)構(gòu)，將復(fù)雜的存儲介質(zhì)管理和高性能緊密結(jié)合，可 以滿足最大型的數(shù)據(jù)中心的要求。第一層包括N

49、etBackup的Master Server 。 Master Server可以看作策略規(guī)劃 和客戶端備份處理等動作的“大腦。它可以有一個或多個磁帶驅(qū)動器或磁帶庫， 備份來自多個客戶端的數(shù)據(jù)。如果一個機構(gòu)有多個分離的數(shù)據(jù)中心，或有數(shù)據(jù)密集性的應(yīng)用，例如數(shù)據(jù)倉庫， 它可以設(shè)置多個Media Server ,為本地的大型應(yīng)用備份數(shù)據(jù)的同時通過網(wǎng)絡(luò)備 份其他客戶端的數(shù)據(jù)。如果一個 Media Server失效，聯(lián)結(jié)在該 Media Server 上的所有客戶端備份進程可以轉(zhuǎn)到另一臺Media Server上進行。第三層是Client Agent ,用來備份服務(wù)器或工作站的數(shù)據(jù)。這一層代表大量 的獨立

50、的機器。Media Server和Client Agent 都可以由Master Server來集中 管理。對于一些多個Master Server或者覆蓋面很廣的分布式環(huán)境，NetBackup還可 以建立第四層的 Veritas Global Data Manager ,來進行集中管理。Veritas Global Data Manager可以對企業(yè)所有的NetBackup存儲域進行集中管理。著允 許系統(tǒng)管理員和數(shù)據(jù)庫管理員可以管理NetBackup的每一個方面。它還可以實施連續(xù)性的策略管理，和監(jiān)控企業(yè)系統(tǒng)中每一個存儲域的狀態(tài)。NetBackup不但可以恢復(fù)主備份帶的部分或全部，還可以在別的地

51、方恢復(fù)整個應(yīng)用或服務(wù)。NetBackup可以自動生成主備份磁帶的拷貝，可以將這些拷貝放在遠(yuǎn) 離數(shù)據(jù)中心的地方，以備災(zāi)難恢復(fù)。Vehtas NetBackup的特點性能、可用性和安全性并行備份和恢復(fù)-可以從一個或多個客戶端/服務(wù)器通過多個數(shù)據(jù)流到一個或 多個磁帶機的讀寫，這種并行處理技術(shù)優(yōu)化了性能?？蛻舳藟嚎s-可以減少網(wǎng)絡(luò)流量，現(xiàn)在 WindowsNT/2000和NetWare的客戶端 支持。非專用磁帶格式-可以生成tar兼容的磁帶。中斷點重啟-一旦備份中斷，可以從備份中斷的位置重新開始備份。Windows NT/2000災(zāi)智能化災(zāi)難恢復(fù)-Windows NT/2000的遠(yuǎn)程基于物理設(shè)備 的恢復(fù)

52、。數(shù)據(jù)加密選項-美國和加拿大用戶可以進行56位的加密，所有的用戶都可以 進行40位加密。靈活的實施模式NetBackup向?qū)?快速簡單地完成備份設(shè)備、存儲介質(zhì)和備份策略的配置。遠(yuǎn)程圖形界面管理-可以在任何地方完成所有的備份和恢復(fù)處理，包括通過撥號網(wǎng)絡(luò)。用戶驅(qū)動的備份和恢復(fù)-最終用戶的友好界面可以減少系統(tǒng)管理員的干預(yù)。任務(wù)分類-可以根據(jù)備份的重要程度設(shè)置優(yōu)先級。數(shù)據(jù)中心的加強可靠性獨一無二的多層結(jié)構(gòu)-同類產(chǎn)品中首創(chuàng)的分布式結(jié)構(gòu)體系，Master Server ,Media Server和Client ,所有這些都可以由 Global Data Manager 來監(jiān)控。Media Server的故

53、障切換-當(dāng)出現(xiàn)故障時，自動將客戶端的備份進程切換到 另一臺服務(wù)器。強大的輔助工具備份進度條-可以清楚知道備份何時結(jié)束。設(shè)備監(jiān)視-對磁帶使用情況和驅(qū)動器配置的報告。日志的分類和識別-使故障診斷更容易。瀏覽歷史日志-可以對以前的操作進行深入分析。多平臺支持支持所有主要的操作系統(tǒng)-包括所有主要的UNIX平臺，Windows NT/2000, Novell NetWare , Linux 等支持EMC-可以與EMC TimeFinder集成。數(shù)據(jù)庫和應(yīng)用-支持很多業(yè)界領(lǐng)先的應(yīng)用和數(shù)據(jù)庫：Oracle, Microsoft SQLServer, Sybase, Informix, DB2, Micros

54、oft Exchange, and SAP R/3,還有更多正在開發(fā)中。1.3 層次化存儲管理（Hierarchical Storage Management ）當(dāng)IDC運行一段時間以后，一些在線數(shù)據(jù)的訪問次數(shù)會越來越少， 最終到無人訪 問；而出于商業(yè)的一些因素，這些數(shù)據(jù)又必須得保存一段時間， 有的甚至要保存 幾年。這些大量的歷史數(shù)據(jù)引發(fā)的最大問題是占用大量的磁盤空間、 增加磁盤訪 問數(shù)據(jù)的時間并引起應(yīng)用程序的性能下降。解決上面問題的方法就是層次化存儲管理（HSM技術(shù)，HSMJ術(shù)自動將在線數(shù) 據(jù)進行分類，并將不常用的歷史數(shù)據(jù)轉(zhuǎn)移到其它存儲介質(zhì)上去（例如磁帶），同 時將在線數(shù)據(jù)刪除以釋放磁盤空間

55、；而對用戶而言，這些數(shù)據(jù)看起來依舊在其原有的位置上，沒有變化。在有應(yīng)用訪問這些數(shù)據(jù)時，HSM&自動將這些數(shù)據(jù)讀取回來并置為在線狀態(tài)，供用戶使用。通過NerBackup與HSMK術(shù)的有效結(jié)合，可 以實現(xiàn)對數(shù)據(jù)更完善的管理。2.主機和存儲設(shè)備在使用大型磁帶庫的環(huán)境中，由于磁帶庫采用多個高速的磁帶驅(qū)動器，其數(shù)據(jù)吞吐率非常高，對主機和數(shù)據(jù)源的存儲設(shè)備的性能要求也相應(yīng)較高。此時備份服務(wù) 器一般配置一定容量的緩沖區(qū)，這對備份數(shù)據(jù)的瀏覽、檢索和數(shù)據(jù)恢復(fù)都非常重 要。特別在連接磁帶庫的環(huán)境中，通過在緩沖區(qū)中設(shè)置備份數(shù)據(jù)的文件索引，可以提高數(shù)據(jù)檢索的速度，并且在緩沖區(qū)對備份數(shù)據(jù)進行緩存，可以縮短讀備份數(shù) 據(jù)的時

56、間，增強數(shù)據(jù)瀏覽和備份恢復(fù)的性能。我們建議主機采用Sun Enterprise 220R服務(wù)器，存儲設(shè)備采用Sun StorEdge L20 磁帶庫。Sun Enterprise 220R 服務(wù)器的特點有：最大支持兩個450-MHz UltraSPARC-II 64-bit RISC微處理器，每個微處理器 有4MB L2緩存。最大支持2GB主存。兩個內(nèi)置9.1-GB或18.2-GB可熱切換的UltraSCSI硬盤驅(qū)動器。四個PCI插槽連接到兩條高性能的PCI I/O總線上，支持350 MB/秒的數(shù)據(jù) 傳輸速率。兩個可熱切換的電源模塊做到 N+1冗余。Sun StorEdge L20磁帶庫的特點

57、有：最大支持四個可熱交換的DLT7000磁帶驅(qū)動器和60盤磁帶，容量達到 2TB。吞吐量最大為 72GB/小時?；赪eb的管理軟件加強系統(tǒng)管理。根據(jù)IDC業(yè)務(wù)的發(fā)展情況，初期可以配置少量的服務(wù)器。在數(shù)據(jù)備份服務(wù)器上配有NetBackup系統(tǒng)軟件，自動化模塊和 L1000磁帶庫；在備份服務(wù)器和其它需作備份的Client端配有多個NetBackup Agent模塊，支持主服務(wù)器及網(wǎng)絡(luò)上其它服務(wù)器的備份。實現(xiàn)了全網(wǎng) 數(shù)據(jù)自動化集中管理。具體配置為：功能型號配置數(shù)量備份服務(wù)器Sun E220R2x450MHz CPU1GB Memory18GB HD備份磁帶庫Sun L202個驅(qū)動器20個磁帶1備份

58、軟件Veritas NetBackup13.方案特點在本方案中，由于我們使用了 NETAP公司的弓S大的FILER存儲系統(tǒng)，它與 VeritasNetBackup結(jié)合，可以將數(shù)據(jù)直接從FILER通過專門的數(shù)據(jù)通道傳遞到 磁帶庫上，不占用任何網(wǎng)絡(luò)帶寬，減輕備份客戶端的負(fù)荷；另外，利用 Veritas NetBackup的分層結(jié)構(gòu)和并行備份與恢復(fù)技術(shù)、Veritas的HSMK術(shù)、SUN司 高性能主機和磁帶庫、，以及制定有效的備份策略使本方案有很強的擴展性，有利于解決各方面的瓶頸問題，易于實現(xiàn)對數(shù)據(jù)的高效管理。IDC應(yīng)用服務(wù)系統(tǒng)建設(shè)IDC應(yīng)用系統(tǒng)的建設(shè)主要是圍繞著IDC的業(yè)務(wù)開展而定，但IDC的虛擬

59、主機服務(wù) (Web-Hosting)、郵件服務(wù)是IDC前期建設(shè)應(yīng)首先考慮的應(yīng)用系統(tǒng)建設(shè)。數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)是IDC建設(shè)重點應(yīng)用服務(wù)系統(tǒng)之一，IDC除了建設(shè)自身的數(shù)據(jù)庫系統(tǒng) 之外，還應(yīng)建設(shè)為IDC客戶服務(wù)的數(shù)據(jù)庫系統(tǒng)，如客戶租用數(shù)據(jù)庫系統(tǒng)。無論是那種數(shù)據(jù)庫服務(wù)方式，IDC的數(shù)據(jù)庫系統(tǒng)是相當(dāng)盤大的，而且是多樣的，即 IDC 要有多種數(shù)據(jù)庫并存，以滿足不同用戶的需求。由于數(shù)據(jù)庫系統(tǒng)在IDC的服務(wù)系 統(tǒng)占有非常重要的地位，所以在建設(shè)IDC的數(shù)據(jù)庫系統(tǒng)時，必須充分考慮數(shù)據(jù)庫 服務(wù)器系統(tǒng)的高性能、高可靠性和擴展性。我們建議采用兩臺Sun E4500服務(wù)器作為數(shù)據(jù)庫服務(wù)器，兩臺服務(wù)器可運行相同 的數(shù)據(jù)庫軟

60、件，也可運行不同的數(shù)據(jù)庫軟件，使用 Legato QualixHA+多機互為 備份運行軟件使兩臺服務(wù)器以 HA的方式來運行，即當(dāng)一臺數(shù)據(jù)庫服務(wù)器出現(xiàn)故 障（如服務(wù)器的硬件問題、操作系統(tǒng)問題、數(shù)據(jù)軟件問題等），另一臺服務(wù)器會 自動接管此服務(wù)器的任務(wù)，繼續(xù)對外服務(wù)，從而保證了數(shù)據(jù)庫不間斷的服務(wù)。 數(shù) 據(jù)庫服務(wù)器系統(tǒng)如下圖所示。IDC服務(wù)由于Legato QualixHA+軟件是面向應(yīng)用的服務(wù)器互為備份軟件，保證了由于服 務(wù)器上某一應(yīng)用出現(xiàn)問題，只需要把出現(xiàn)問題的應(yīng)用切換道備份服務(wù)器上運行， 而不需要把整個服務(wù)器上的應(yīng)用全部切換到另一臺服務(wù)器上運行，這樣既保證了服務(wù)器的性能，郵件減少了切換時間。同時