云计算数据中心工程
建设方案
1 / 56
一、
项目背景
根据区委、区政府主要领导批示,我区启动了智慧 XX 战略发展顶层设计与规划工
作。经过几个月的努力,通过一系列调研、分析、设计与研讨,《智慧 XX 建设总体规
划与三年行动计划》文稿形成(以下简称“《规划》”),并与相关部门进行了若干
次的专题讨论。根据各方意见修改后,《规划》经区长办公会研究原则通过。
《规划》中指出“新建智慧 XX 云平台,与现有的“智慧华明”云平台共同支撑智
慧应用系统建设。按照“集约建设、集中部署”的原则,将新建的智慧应用系统直接
部署在云平台,将各部门已建的非涉密业务系统和公共服务类应用系统逐步迁移至云
平台,实现智慧应用在基础层面集中共享、信息层面协同整合、运行维护层面统一保
障,有利于充分整合和利用信息化资源。”
根据《规划》中的目标和原则,在“智慧 XX”首期项目中与城市运行管理指挥中
心同步进行云计算数据中心工程建设,数据中心为智慧 XX 的总体建设提供基于云计算
技术的信息化基础设施,为智慧 XX 的各类业务应用提供稳定可靠的运行环境。
二、
工程概述
云计算数据中心与城市运行管理指挥中心选址为同一地点,位于 XX 开发区 X 路与
X 路交口处的“XX 国际—2 号楼 2 层”,位于该层西北侧区域,总共占用面积接近 350
平方米。其中包含主机房、配电间、消防间、控制室等区域。
2 / 56
图 1 数据中心平面图
云计算数据中心是“智慧 XX”的信息技术基础设施,不仅承载智慧 XX 首期项目的
三个主要应用,还将为日后 XX 区的各类信息化应用提供稳定可靠高效的计算、存储、
网络资源,以实现全区信息化基础资源的集中建设、集中管理、集约使用。
数据中心的网络连接包 括互联 网、政务网、其 他 专网,接 入 区文 广局 的 光纤 路 由 ,
以 及 三 大 运 营商 提供的 固 网和移动网络。
智慧 XX 云计算数据中心建设包 括 数据中心网络、云计算平台、 安 全系统、机房工
程等部分,后 续章节 分项 阐 述。
三、
数据中心网络设计
(一)
网络 结构
数据中心网络分为运 营商链 路设 备 区、 互联 网接 入 区, 互联 网服务资源区、 核 心
网络区、 内 网资源服务区、专网接 入 区、专网服务资源区、存储资源区、 物 理资源整
合区、 本 地用 户 接 入 区、运维管理区等几部分, 每 个区域间根据业务、 功能 的 安 全防
护 需求 配 备诸如 防 火墙 等 安 全设 备 进行 安 全 隔离 ,保 证 网络层面的 安 全 访问 控制。以
上 分区同 时也 是机房 物 理分区的指导原则。
数据中心网络总体 架构 设计 如 下图。
3 / 56
1、 链 路接 入 区
外 部网络与数据中心 互联时对 方设 备 的 安放 区域,包 括 了 互联 网 链 路 及外单 位专
线链 路。
拟 同 时 接 入 中国移动、中国 联 通、中国电信三 大 运 营商互联 网 线 路,为 每 个运 营
商 分配一个机 柜 以存 放 其相应设 备 。 由 于该区域设 备由 运 营商 提供并配 置 , 因此未 在
网络总体 拓扑 中 予 以 具 体体现。
专网 链 路接 入 目 前 设计包 括 政务 外 网、区技防网等,同 样 为 外 部专 线链 路设 备 指
定 安放 区域。
2、 互联 网接 入 区
互联 网接 入 区为接 入互联 网 而 配 置 的设 备 的 安放 区域,主要 放置 与运 营商互联 网
接 入 设 备 进行 互联 的 本 方设 备 , 如 路 由器 、 边界 防 火墙 、 IPS ( 入侵 防 御 系统)、 链 路
负 载 均衡 等。
互联 网接 入 区主要配 置 设 备如 下,关 键 设 备 配 置两套 ,以保 证 可用 性 要 求 。
表 1 互联 网接 入 区设 备
序 号
设 备
数 量
备注
1
链 路 负 载 均衡 设 备
2
实现 多 调 互联 网 链 路的 负 载 均衡
2
安 全网关
2
互联 网 边界 防 火墙
3
入侵 防 御 系统
2
主动防 御来自互联 网的 安 全 威胁
4 / 56
4
出口行为 审 计
1
对本 地用 户访问互联 网进行 审 计
5
防 毒墙
1
防 御本 地用 户访问互联 网 而 面 临 的 恶 意 代码攻击
3、 互联 网服务资源区
互联 网服务资源区指为 透 过 互联 网 向外 提供服务和 访问 的智慧 XX 各类应用的部署
区域, 物 理 上 集中 放置 一批服务 器 设 备 ,并通过 虚拟 化技术将服务 器 进行计算资源的
池 化。
通过 互联 网进 入 数据中心的 访问流量 将 被终结 在 此 区域, 此 区域 内 的服务 器 若 需
要与 内 网资源进行数据 上 的交 互 ,则可 再 经 由 一 道 防 火墙 进 入核 心网络区以 访问内 网
资源。
互联 网服务资源区主要配 置 设 备如 下。
表 2 互联 网资源服务区设 备
序 号
设 备
数 量
备注
1
互联 网服务区 汇聚 交 换 机
2
接 入 该区域的服务 器 资源
2
Web 应用防 火墙
2
对互联 网 web 服务提供保护
3
服务 器
5
互联 网资源服务区的服务 器
4 、 专网接 入 区
专网指其 他 政府部门、 企事 业 单 位的行业专网,通过专 线 与数据中心网络 互联 。
专网接 入 区主要 放置 与专网接 入 设 备 进行 互联 的 本 方设 备 , 如边界 防 火墙 等。
专网接 入 区配 置两 台 扩 展 能 力 强 的高 性能 防 火墙 ,以集中专网接 入 的 安 全管理。
表 3 互联 网接 入 区设 备
序 号
设 备
数 量
备注
1
专网接 入 防 火墙
2
数据中心网络与 外单 位专网的 边界安 全网关
5、 专网服务资源区
专网服务资源区指为 透 过专网 向外 提供服务和 访问 的智慧 XX 各类应用的部署区域,
物 理 上 集中 放置 一批服务 器 设 备 ,并通过 虚拟 化技术将服务 器 进行计算资源的 池 化。
通过专网进 入 数据中心的 访问流量 将 被终结 在 此 区域, 此 区域 内 的服务 器 若 需 要
与 内 网资源进行数据 上 的交 互 ,则可 再 经 由 一 道 防 火墙 进 入核 心网络区以 访问内 网资
源。
专网服务资源区主要配 置 设 备如 下。
5 / 56
表 4 专网服务资源区设 备
序 号
设 备
数 量
备注
1
专网服务区 汇聚 交 换 机
2
接 入 该区域的服务 器 资源
2
服务 器
5
专网资源服务区的服务 器
6、 核 心网络区
核 心网络区是数据中心 本 地网络的 核 心区域,主要是 核 心交 换 设 备 以 及安 全管控
设 备 。
核 心网络区与 互联 网服务资源区、专网服务资源区、 本 地用 户 接 入 区、 物 理资源
整合区、运维管理区相连接, 均 在连接间设 置 防 火墙 进行 访问 的 安 全控制。 因此外 部
用 户需 要经过 两道 防 火墙才能 进行数据中心 核 心网络 访问本 地资源。
核 心网络区主要配 置 设 备如 下。
表 5 核 心网络区设 备
序 号
设 备
数 量
备注
1
核 心交 换 机
2
接 入 该区域的服务 器 资源
2
NTP 服务 器
为数据中心设 备 提供统一的标 准时 间
3
数据 库审 计系统
对内 网的数据 库 资源的 访问 进行 审 计
4
安 全 审 计系统
对内 网的网络 访问 进行 安 全 审 计
5
漏洞扫描 系统
对 数据中心网络进行 漏洞扫描
7 、 内 网服务资源区
内 网服务资源区指 向本 地用 户 提供服务和 访问 的智慧 XX 各类应用的部署区域, 物
理 上 集中 放置 一批服务 器 设 备 ,并通过 虚拟 化技术将服务 器 进行计算资源的 池 化。
专网服务资源区主要配 置 设 备如 下。
表 6 内 网服务资源区设 备
序 号
设 备
数 量
备注
1
内 网服务区接 入 交 换 机
4
接 入 该区域的服务 器 资源
2
计算资源服务 器
10
专网资源服务区的服务 器
3
数据 库 服务 器
6
专网资源服务区的服务 器
4
计算资源管理服务 器
2
专网资源服务区的管理 节 点服务 器
8 、 存储资源区
数据中心的存储资源区设计根据存储的数据 性质 不同分为 两大 类 :FC SAN 和 IP
SAN , 即光纤 存储网络和 IP 存储网络。 前者适 用于 结构 化数据的存储, 如 数据 库; 后
6 / 56
者适 用于非 结构 化的数据, 如 文 件 、图 像 、 视频 等。
FC SAN 存储区域的设 备 主要包 括:
表 7 FC SAN 存储区域设 备
序 号
设 备
数 量
备注
1
集中 式 存储 FC 交 换 机
2
光纤 交 换 机,连接服务 器 与存储设 备
2
集中 式 存储 磁盘阵 列
2
存储数据的 核 心设 备
IP SAN 存储区域的设 备 主要包 括:
表 8 IP SAN 存储区域设 备
序 号
设 备
数 量
备注
1
分 布 存储接 入 交 换 机
4
IP SAN 交 换 机
2
存储资源服务 器
10
分 布式 存储系统的资源 节 点服务 器
3
存储管理服务 器
2
分 布式 存储系统的管理 节 点服务 器
9 、 运维管理区
所 有 对 数据中心服务 器 的 操 作原则 上都必须 在专门的运维管理区进行 操 作,该区
域 既 是网络 上 的概 念 , 也对 应于 物 理的房间(数据中心控制室)。
运维管理区直接接 入核 心网络区,可以 访问 数据中心网络 上 的 所 有设 备 和应用,
因此 运维管理区的 物 理 安 全要有 严格 的控制 措 施。
表 9 运维管理区设 备
序 号
设 备
数 量
备注
1
接 入 交 换 机
4
下接工作 站 , 上联核 心交 换
2
运维工作 站
10
用于运维 操 作的电 脑终端
10、 指挥中心接 入 区
指挥中心 本 地用 户 和设 备 接 入 数据中心网络的区域。该区域包 括 接 入 交 换 机、 汇
聚 交 换 机,以 及上 网行为管理和防 毒墙 。指挥中心网络 布线 配 线架 全部集中在数据中
心机房 内 指定的机 柜 ,配 线架 经 跳线 连接接 入 交 换 机,接 入 交 换 机 上联 全 千兆汇聚 交
换 机。 汇聚 交 换 机经防 火墙 连接 核 心交 换 ,同 时 经防 毒墙 、 上 网行为管理等设 备 连接
互联 网接 入 区。
表 10 指挥中心接 入 区
序 号
设 备
数 量
备注
1
接 入 交 换 机
10
下接配 线架 , 上联汇聚 交 换
2
汇聚 交 换 机
2
下 联 接 入 交 换 , 上联核 心区 边界 防 火墙
7 / 56
序 号
设 备
数 量
备注
3
防 毒墙
1
指挥中心用 户访问互联 网的 病毒 防 御
4
上 网行为管理
1
指挥中心用 户访问互联 网的行为管理
11、 物 理整合区
(二)
虚拟 化 组 网
在 传 统的网络中,为了 加强 网络的可靠 性 ,一 般 在 核 心层将 两 台设 备 配 置 成 双核
心, 双核 心 起到 了 冗余备份 作用, 但冗余 的网络 架构增加 了网络设计和 操 作的 复杂性 ,
同 时大量 的 备份链 路 也降低 了网络资源的利用 率 , 减少 了网络的 投 资 回报率 。
虚拟 交 换架构 的 核 心 思想 是将 多 台设 备 通过 物 理 端 口连接在一 起 ,进行一 些 配 置
后, 多 台 物 理设 备 将 虚拟 化成一台设 备 ,实现整个 虚拟 化系统中设 备之 间的信息共享
及表 项同步,实现了 多 台设 备之 间的协同工作、统一管理和不间 断 维护。
网络 虚拟 化系统整体 性能及端 口密 度都得到 了成 倍 的 增 长, 突破 了 传 统网络 结构
中 单 台 核 心设 备 的 性能及端 口密 度限 制,通过网络 虚拟 化技术, 核 心设 备 可以实现 跨
设 备 的 链 路 聚 合,与 汇聚 层设 备或 接 入 层设 备 通过 聚 合 链 路连接,在简化网络配 置 的
同 时 ,提高了网络连接的可靠 性 ,保 证 了网络的稳定运行。
在 本 方案中, 对 于网络 核 心设 备 以 及 各区域接 入 设 备 ,我 们都采 用网络 虚拟 化技
术 来 进行 组 网, 组 网 拓扑如 下 所 示 :
采
用 虚拟 化技术 来 进行 组 网, 具 有以下 优 点 :
8 / 56
图 2 虚拟化组网技术
虚拟 化技术可以有效提高 单 台设 备 的 带宽 , 多 台设 备组 成 虚拟 化系统后, 虚拟 化
系统的交 换容量 、包 转 发 率及端 口密 度 是系统各成 员之 和, 虚拟 化系统 性能得到 了成
倍 的 增 长, 满足 了数据中心 对核 心交 换 设 备 的高 性能及 高 端 口密 度 要 求 。
高可靠 性
通过 虚拟 化系统将 多 台设 备虚拟 成一台,可靠 性大大增强 ,主控、电源 均 实现了
N+ 1 冗余备份 , 正常情况 下, 对外表 现为一台设 备 , 如果 系统中 某 个成 员 发 生故 障,不
会 影响到 其 它 成 员 的 正常转 发。 例如:如果 是 两 台设 备组 成网络 虚拟 化系统, 当 一台
设 备 出现 故 障 时 , 虚拟 化系统将 自 动分 拆 成 两 台 独立 的设 备 , 另 一台设 备仍然能够正
常转 发。
虚拟 化系统支 持跨物 理设 备 的 链 路 聚 合技术可以 跨 设 备 配 置链 路 聚 合,用 户 可以
将不同成 员 设 备上 的 物 理以 太 网 端 口配 置 成一个 聚 合 端 口。 通过 端 口 聚 合 既 可以实现
流量 的 负 载分 担 提高 带宽 , 又能够 进行 互 相 备份 。
简化管理
虚拟 化系统 从逻辑 层面作为 单 一设 备 形 态 运行,和 传 统 常 见的提供 冗余备份 的
VRRP+MSTP 组 网相 比 ,管理简 单 , 自 动支 持备份 简化了网络配 置 ,不 需 要配 置 VRRP 这
样 的协 议 , 所 有协 议 分 布式 运行,方 便 网络管理 员 进行网络管理,提 升 了网络可靠 性
及 可维护 性 。
四 、
云计算平台系统设计
(一)
资源 池 设计
1、 计算资源 池架构 设计
服务 器虚拟 化技术是云计算资源 架构 设计的 核 心技术,直接 决 定了整个云计算资
源体系 对 应用系统的承载 能 力、运行效 率 以 及 可靠 性 。该云计算资源 架构 设计 如 下图
所 示 :
9 / 56
图 3 云计算资源 池架构 图
2、 存储资源 池 设计
根据 对本 次智慧 XX 云平台建设项目的 需求 ,云平台规划集中 式 存储 容量 150 TB ,
分 布式 存储 容量 200 TB 。
图 云存储资源 池 系统示意图
互联 网资源服务区集中 式 存储配 置 50 块 2 . 5 寸 9 00 G 10 k SAS 硬 盘 ,35 块 3 . 5 寸
3 TB 7. 2 k SATA 硬 盘 ,分 布式 存储配 置 60 块 4TB 7. 2 k SATA 硬 盘;内 网资源服务区集
中 式 存储配 置 20 块 2 . 5 寸 9 00 G 10 k SAS 硬 盘 ,15 块 3 . 5 寸 3 TB 7. 2 k SATA 硬 盘 ,分
10 / 56