數(shù)據(jù)中心建設方案

目錄

綜述..........................................................................2

IDC網(wǎng)絡建設.................................................................5

IDC網(wǎng)絡建設.................................................................7

IDC基礎系統(tǒng)建設............................................................12

IDC應用服務系統(tǒng)建設........................................................26

IDC綜合管理系統(tǒng)............................................................34

IDC計費系統(tǒng)................................................................38

IDC計費系統(tǒng)................................................................41

技術(shù)服務.....................................................................45

IDC機房系統(tǒng)設計說明........................................................53

一期實施內(nèi)容建議............................................................61

綜述

經(jīng)歷了ISP/ICP飛速發(fā)展，.COM公司的風靡后，一種新的服務模式一互聯(lián)網(wǎng)數(shù)

據(jù)中心(InternetDataCenter,縮寫為IDC)正悄然興起。它在國外吸引著像

AT&T、AO-、IBM、Exodus、UUNET等大公司的巨資投入：國內(nèi)不但四大電信運

營商中國電信、中國網(wǎng)通、中國聯(lián)通、中國吉通開始做跑馬圈地，一些專業(yè)服務

商如清華萬博、首都在線和世紀互聯(lián)等，也參與了角逐.

IDC(InternetDalaCenter)-Imernet數(shù)據(jù)中心，它是傳統(tǒng)的數(shù)據(jù)中心與【nlernel的結(jié)合，它除了

具有傳統(tǒng)的數(shù)據(jù)中心所具有的特點外，如數(shù)據(jù)集中、主機運行可靠等，還應具有訪問方式的

變化、要做到7x24服務、反應速度快等。IDC是一個提供資源外包服務的基地，它應具有

非常好的機房環(huán)境、安全保證、網(wǎng)絡帶寬、主機的數(shù)量和主機的性能、大的存儲數(shù)據(jù)空間、

軟件環(huán)境以及優(yōu)秀的服務性能。

IDC作為提供資源外包服務的基地，它可以為企業(yè)和各類網(wǎng)站提供專業(yè)化的服務器托管、空

間租用、網(wǎng)絡批發(fā)帶寬甚至ASP、EC等業(yè)務。簡單地理解,1DC是對入駐(Hosting)企業(yè)、商

戶或網(wǎng)站服務器群托管的場所：是各種模式電子商務賴以安全運作的基礎設施.也是支持企

業(yè)及其商業(yè)聯(lián)盟(其分銷商、供應商、客戶等)實施價值鏈管理的平臺。形象地說，IDC是個

高品質(zhì)機房，在其建設方面，對各個方面都有很高的要求。

IDC的總體結(jié)構(gòu)如下圖所示：

IDC的建設主要在如下幾個方面:

網(wǎng)絡建設

IDC主要是靠其有一個高性能的網(wǎng)絡為其客戶提供服務，這個高性能的網(wǎng)絡包

括其-AN、WAN和與Internet接入等方面。

IDC的網(wǎng)絡建設主要有：

-TDC的-AN的建設，包括其-AN的基礎結(jié)構(gòu)，-AN的層次，-AN的性能。

-WC的WAN的建設，即IDC的各分支機構(gòu)之間相互連接的廣域網(wǎng)的建設等。

-IDC的用戶接入系統(tǒng)建設，即如何保證IDC的用戶以安全、可靠的方式把數(shù)據(jù)

傳到IDC的數(shù)據(jù)中心，或?qū)Υ娣旁贗DC的用戶自己的設備進行維護，這需要IDC

為用戶提供相應的接入方式，如撥號接入、專線接入及VPN等。

-IDC與Internet互聯(lián)的建設。

SQ-Server、SyBase等廠家的數(shù)據(jù)庫，以滿足不同用戶的需求。

-安全系統(tǒng)：如防火墻軟件(硬件防火墻除外)、防黑客入侵、防病毒軟件等。

這是保證IDC為用戶提供安全服務器的前提。

-數(shù)據(jù)備份軟件:支持多備份設備、多種廠家的機器、多種數(shù)據(jù)庫等等。

-應用開發(fā)系統(tǒng)：IDC應提供相應的開發(fā)系統(tǒng)平臺，提供相應的開發(fā)工具，滿足

用戶或IDC開發(fā)相應應用的需求。

IDC自身服務系統(tǒng)建設

IDC是靠其優(yōu)質(zhì)的服務來占有市場和贏得客戶的，為了做到優(yōu)質(zhì)高效服務，IDC

在其自身服務器系統(tǒng)的建設上也必須有大量的投入。IDC自身服務系統(tǒng)主要有：

-客戶關(guān)系管理系統(tǒng)(CRM):CRM是IDC與客戶建立良好關(guān)系的基礎服務系統(tǒng)，

它為TDC提供的用戶的發(fā)展動態(tài)以及用戶的新的需求等。

-計費系統(tǒng)：計費系統(tǒng)是IDC收入的保證。

-網(wǎng)絡與服務器管理系統(tǒng)：IDC有龐大的網(wǎng)絡和服務器系統(tǒng)，要管理好這些系統(tǒng),

必須有一個功能強大的網(wǎng)絡、服務器和應用管理系統(tǒng)，此能保證IDC對外的服務

質(zhì)量。

-IDC的內(nèi)部管理系統(tǒng)：保證IDC內(nèi)部各部門能夠統(tǒng)一協(xié)調(diào)工作，完成高質(zhì)量的

服務。

機房場地建設

IDC網(wǎng)絡建設

IDC網(wǎng)絡功能結(jié)構(gòu)

我們建議的IDC網(wǎng)絡結(jié)構(gòu)如下圖所示:

MaintaneousAccess

■—-

DB/MAILServer

BackendLayerStorage

Etc.

WEBSexver

FarmDNS/MailRelay

ServerAccessEtc.

Layer

Internet

CoreLayer

Toodiersites

UserAccess

Layer

User1UserN

?核心交換層：由兩臺CISC06509多層交換機構(gòu)成，

實現(xiàn)雙機容錯工作，保證數(shù)據(jù)的高速、無阻塞的交

換。

?策略分布層：可以由一組CSSUOOO系列內(nèi)容交換

機組成，負責完成服務器負載均衡和策略分布任務。

?服務器訪問層：由一組Cat3524交換機組成，完成

托管服務器的高速接入工作。

?后端網(wǎng)絡：由兩臺CISC06509構(gòu)成，實現(xiàn)雙機容錯

工作，實現(xiàn)IDC管理中心，數(shù)據(jù)庫、郵件、應用等服

務器和存儲系統(tǒng)的連接，托管服務器通過第二塊網(wǎng)

卡和后端網(wǎng)絡相連，保證獨立和高速的數(shù)據(jù)訪問。同

時，后端網(wǎng)絡通過防火墻和前端的核心網(wǎng)絡連接，

實現(xiàn)IDC管理中心對前端網(wǎng)絡的管理，防火墻則為后

端網(wǎng)絡提供更嚴格的保護。

?用戶訪問層：由若干臺Cat4000和一組Cat2924組

成，提供企業(yè)和個人用戶接入，提供INTERNET上網(wǎng),

企業(yè)用戶還可以通過VLAN和自己的托管服務器連接

實現(xiàn)日常的維護工作。

IDC網(wǎng)絡建設

方案設計描述

1.Internet接入網(wǎng)絡結(jié)構(gòu)

由于本系統(tǒng)Internet接入服務用戶主要來自于各寫字樓內(nèi)的公司和高級酒店、公寓內(nèi)的客人

和住戶，且各寫字樓相距較近，所以全部采用LAN結(jié)構(gòu)為這些用戶提供接入服務，如下圖

所示：

Tnt^mpt

Toothersites

GEF*er

LAN采用流行的以太網(wǎng)絡結(jié)構(gòu)，

核心交換：Cat6509多層交換機

分布層交換或周邊建筑物內(nèi)主干：Cat4006交換機

接入層交換機：Cat2924XL交換機

由于考慮到在泗店和寫字樓內(nèi)重新進行數(shù)據(jù)布線有一定困難，所以采用TDSL技

術(shù)實現(xiàn)樓內(nèi)的數(shù)據(jù)傳輸，所有數(shù)據(jù)交換設備都集中在中央機房內(nèi)，但網(wǎng)絡的總

體結(jié)構(gòu)不變。

核心交換使用兩臺Catalyst6509構(gòu)成，形成全冗余的高速網(wǎng)絡核心。分布層交

換機Catalyst4006使用兩條千兆線路分別與兩臺6509相連，形成冗余的千兆

主干。樓層交換機使用Catalyst2924XL交換機。

Cat6509上的千兆端口還用來連接其他的節(jié)點，與其他節(jié)點的LAN一起構(gòu)成一個

分布式的城域范圍的數(shù)據(jù)中心的結(jié)構(gòu)。

2.用CACHE加速INTERNET訪問

Internet的發(fā)展趨勢是盡可能地將內(nèi)容在地理上靠近用戶，由于本方案中

INTERNET接入用戶的大都來自與商務寫字樓和酒店公寓，其對INTERNET的訪問

具有很大的重復性，所以有效地部署CACHE可以大大地降低INTERNET接入的帶

寬負荷，提高內(nèi)容的相應速度。

另外，由于現(xiàn)在INTERNET上出現(xiàn)越來越多的多媒體形式的內(nèi)容，指望拓寬

INTERNET出口帶寬來提高用戶對這些內(nèi)容的訪問速度是根本不現(xiàn)實的，而使用

CACHE技術(shù)對INTERNE?上的這些內(nèi)容進行緩存，不但可以使這些內(nèi)容對用戶變

得現(xiàn)實可用，提高用戶的忠誠度，而且還可以通過定期定制一些多媒體節(jié)目在

CACHE+,以有償?shù)姆绞较蛴脩籼峁?，這就演化成了一種增值服務。

總之，CACHE對IDC以及ISP都是必不可少的，經(jīng)營者可以通過靈活地使用CACHE

來最大限度地降低成本，提升利潤。

我們建議使用NETAPP公司的NetCacheCl105來提供緩存服務，將其連接在

INTERNET接入路由器上提供服務。

NetCacheCl105的特點：

可靠性/可用性/可擴展性

專用的體系結(jié)構(gòu)專注于內(nèi)容可用性的提供

微碼的核心系統(tǒng)，在增加數(shù)據(jù)可用性的前提下達到最小的開銷

WAFL(WriteAnywhere)NetApp專利的文件系統(tǒng)優(yōu)化了磁盤到網(wǎng)絡的傳輸

冗余的熱插拔電源

ECC內(nèi)存保護

OS的冗余拷貝

簡化的管理

專用的內(nèi)容管理和送達軟件

大型部署時的多系統(tǒng)管理

應用分析與報告的日志

快速的安裝與啟動

企業(yè)框架軟件集成提供集中的應用管理

基于WEB與CL1的管理

溫度、電源監(jiān)控提供口:預測的系統(tǒng)管理

安全

加固了的TCP/IP協(xié)議棧在沒有防火墻的保護下也能抵御一般的網(wǎng)絡攻擊

leap-enabled過濾和病毒檢測

本地支持的第三方過濾表

NTLNkLDAP與RADIUS認證支持

ACL

多協(xié)議

支持HTTP、

支持主要的流技術(shù)(MMS,RTSP,QuickTime)

iCAP-enablcd應用提供靈活的對增值服務的訪問

3.服務器負載均衡的實現(xiàn)

對于大部分站點而言，采用多個服務器而不是一臺大型服務器，可以提高服務

器的響應性能，減少服務器的單點故障。但多臺服務器的采用，必須考慮服務器

的負載均衡問題。在本方案中服務器置于CSS11800內(nèi)容服務交換機之后，所以

由CSS11800完成服務器的負載均衡。

CSS11000系列通過ACA(ArrowpointContentAssureprotocol)制定負荷參數(shù)，

選擇最小負荷的服務器提供用戶所需的內(nèi)容。

同時CSS11000系列還支持加權(quán)輪詢-WeightedRoundRobin；最小連接機制;最

大連接數(shù)限制等多種算法實現(xiàn)負載均衡。

CiscoCSS11000系列內(nèi)容服務交換機是業(yè)界唯一的動態(tài)負載均衡交換機，采用

具有專利權(quán)的ACA算法，可以根據(jù)Cache服務器的命中率、流建立數(shù)和

RTT(RoundTripTime)選擇最合適的服務器應答用戶的請求。與其他的負載均衡

設備比較，CSS具有更高的負載均衡能力，因為它是一種基于流的交換機，其他

廠家的負載均衡設備則是基于包的交換機。基于包的解決方案通過檢測對某一特

定內(nèi)容的請求時的每個包來做轉(zhuǎn)發(fā)決定，這樣嚴重增加了CPU的負擔。而作為基

于流的交換機的CSS,一旦流建立起來后，該流所有的流量都將以線速轉(zhuǎn)發(fā)。

?目的IP地址

-源IP地址

?域/域Hash算法(Domain/Domainhash)

?URL/URLHash算法

4.WEB服務器的連接

我們?yōu)?DC中的每臺托管服務器都配置兩組網(wǎng)卡，一組用于前端網(wǎng)絡的連接，

提供WEB訪問；另一組用于后端網(wǎng)絡的連接，提供對數(shù)據(jù)庫，郵件等服務器以及

存儲系統(tǒng)的訪問。

通過使用不同的網(wǎng)絡通道進行數(shù)據(jù)庫等后臺應用訪問，可以使服務器更充分的

利用網(wǎng)絡帶寬來相應WEB請求；同時，后端網(wǎng)絡與前端網(wǎng)絡的分離可以讓數(shù)據(jù)庫

訪問、文件存取等要求高速、大容量的數(shù)據(jù)訪問享有更多的網(wǎng)絡帶寬。

服務器通過一組接入交換機Cat3524連入主干交換網(wǎng)絡。

5.后端網(wǎng)絡的設計

由于后端網(wǎng)絡連接1DC管理中心，數(shù)據(jù)庫、郵件等服務器和大容量存儲系統(tǒng)，需

要高速的交換系統(tǒng)，所以我們使用兩臺Cat6509交換機作冗余的核心，連接一

組Cat3524提供和WEB服務器的連接；對于數(shù)據(jù)庫等服務器和存儲系統(tǒng)，可以采

用千兆以太端口或千兆以太通道提供高達數(shù)Gbps的直接連接。

6.用戶的遠程維護

一般情況下，IDC用戶會要求遠程維護自己的托管服務器，由于用戶只允許對自

己托管的服務器進行訪問，因此，必須采用如：VPN、VLAN等技術(shù)保證這一點。

通過連接到后端網(wǎng)絡的廣域網(wǎng)路由器可以提供用戶通過專線、撥號、VPN等各種

方式實現(xiàn)遠程維護。木遠程維護的行為進行可以通過以下幾種方式進行：

?DDN專線：用戶通過DDN專線連接到1DC中心，通過策略路由或VLAN被限制

只能訪問自己的服務器，進行維護。

?PSTN或ISDN撥號：用戶通過撥號線路訪問IDC中心，身份認證由AAAServer

進行，并進行行為授權(quán)，保證用戶只能訪問到自己的服務器進行維護.

?VPN:用戶可能距離IDC中心太遠，從各方面不具備通過DDN或PSTN線路訪問

IDC中心的條件，這是可以通過INTERNET采用VPN的方式與IDC中心連接并維

護服務器。這種情況下，由VPNServer或VPN路由器保證連接的安全性和可靠

性。VPN的實現(xiàn)可以采用IPSec隧道和MPLSVPN技術(shù)，在保證信息正確可達的

情況下，對用戶信息進行高強度的加密，保證用戶信息的不被竊取和完整性。

對于本地接入的公司所托管的服務器，由于公司LAN和托管服務器處于一個LAN

結(jié)構(gòu)之內(nèi)，所以，服務器運行維護可以通過定義VLAN進行。

7.網(wǎng)絡安全的考慮

網(wǎng)絡的安全主要通過防火墻和入侵檢測系統(tǒng)來體現(xiàn)，通過部署防火墻系統(tǒng)，可以將網(wǎng)絡劃分

成幾個安全等級不同的部分，對于要求安全等級高的部分，還可以通過部署多級防火墻來提

供安全保護。

入侵檢測系統(tǒng)則可以對惡意的入侵行為進行探測，進行記錄。

這部分內(nèi)容參見第三章第二節(jié)"安全性建設”。

8.網(wǎng)絡的擴展性

IDC基礎系統(tǒng)建設

IDC在前期建設中，首要任務之一是建設其基礎服務系統(tǒng)，IDC的基礎系統(tǒng)主要

有DNS系統(tǒng)、目錄服務系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等。

DNS建設

在Internet上計算機和網(wǎng)絡設備使用IP地址來表示的，但IP地址很難記憶，

所以采用和IP地址相對應的域名(Domain)來表示主機和網(wǎng)絡，DNS(DomainName

Service)即域名服務就是把主機名字和IP地址作相互匹配，供Internet上用戶

以主機域名的方式相互查詢。DNS是向用戶提供域名查詢或域名登錄服務，其與

Internet中的其它域名服務器形成全球域名服務體系。通常DNS服務相采月兩

臺或多臺的方式來運行，其中一臺主服務器(Primary),其它為次服務器

(Second),當主服務器不能工作時，有任何一臺次服務器來接管其工作，這樣

保證了DNS系統(tǒng)運行的可靠性，主次服務器之間采用自動信息更新方式。

1DC的DNS系統(tǒng)除了要為IDC自身服務之外，還要為其客戶提供相應的域名定

義、為用戶開設虛擬域名服務等。所以在IDC的DNS服務器上可能要定義和管理

上百個或更多域名，由于有如此多的域名，其每天接受的查詢量也是相當龐大

的。

為了保證IDC的DNS域名的可靠性和安全性，我們采用SplitDNS技術(shù)來設計IDC的DNS

系統(tǒng)，即把IDC的DNS系統(tǒng)劃分為內(nèi)部和外部兩部分，其中外部DNS系統(tǒng)位于公共服務區(qū),

負責IDC正常對外解析工作，如1DC的Web服務器、IDC用戶的Web服務器等解析工作全

由外部DNS服務器來完成；內(nèi)部DNS系統(tǒng)主要有兩項工作，一是負責解析IDC內(nèi)部網(wǎng)絡的

主機，如目錄服務器、郵件服務器等，另一工作是負責當內(nèi)部要查詢Internet上域名時，其把

杳詢?nèi)蝿辙D(zhuǎn)發(fā)到外部DNS服務器上，然后由外部DNS服務器完成查詢?nèi)蝿?返回結(jié)果。由

于把DNS系統(tǒng)分內(nèi)外兩部分,Internet上用戶只能看到外部DNS系統(tǒng)中的服務器，而看不見

內(nèi)部的服務器，而且只有內(nèi)外DNS服務器之間交換DNS查詢信息，從而保證了系統(tǒng)的安全

性。

如卜.圖說明了DNS解析流程，

Intemet

內(nèi)部

外部

內(nèi)部

我們采用兩臺SunE420R服務器作為外部DNS服務器，兩臺SunE420R服務器作為內(nèi)部

DNS服務器，所有兩臺服務器之間以主次方式運行,DNS軟件可采用Solaris系統(tǒng)中的，也可

使用Internet上公開的Bind。具體的服務器配置如下表所示。

DNS服務器機器型號配置備注

2x450MHzUltraSPARCCPU

1：DNS服務器SunE420R1GBMemory

2x18.2GBInternalDisk

外部DNS

2x450MHzUltraSPARCCPU

次DNS服務器SunE420RIGBMemory可選

1x18.2GBInternalDisk

2x450MHzUltraSPARCCPU

主DNS服務器SunE420R1GRMemory

2x18.2GBInternalDisk

內(nèi)部DNS

2x450MHzUltraSPARCCPU

次DNS服務器SunE420R1GBMemory可選

2x18.2GBInternalDisk

安全性建設

系統(tǒng)安全架構(gòu)的設計將包括兩個方面：防止IDC網(wǎng)絡外部用戶對IDC網(wǎng)絡系統(tǒng)可

能的攻擊，以及防止IDC網(wǎng)絡內(nèi)部各子系統(tǒng)之間可能的攻擊。這兩個方面所采用

的技術(shù)和思路是一致的。

系統(tǒng)安全架構(gòu)將從三個層次來考慮：網(wǎng)絡層、主機/服務器系統(tǒng)及應用層。

?網(wǎng)絡層的安全主要是防范對于整個網(wǎng)絡的非法訪問，一般通過防火墻來實現(xiàn)。

通過配置了多級防火墻，以隔離IDC網(wǎng)絡各個組成部分相互之間的非法訪問（合

法訪問可以通過）；對于Intemet用戶來講，如果想非法侵入IDC內(nèi)部網(wǎng)絡，必

須突破防火墻的防范。另外，各級防火墻可采用不同的產(chǎn)品，以提高網(wǎng)絡整體的

安全性。

?主機/服務器系統(tǒng)的安全是針對個別機器的。除了主機/服務器的操作系統(tǒng)自身

的安全性之外，目前有多種產(chǎn)品可供選擇，包括SUN公司的SecurityManager

和CA公司的UnicenterTNG等產(chǎn)品。

?應用層的安全將從三個方面來考慮：增強應用服務器系統(tǒng)的安全；采用身份認

證機制，以保訐應用的可靠性：采用數(shù)據(jù)加密技術(shù)和防病毒軟件，以保證應用的

安全性。

1.操作系統(tǒng)的安全規(guī)劃

操作系統(tǒng)的安全性建設應是整個系統(tǒng)安全性建設的基礎。操作系統(tǒng)的安全性建設

主要包括用戶的管理、超級用戶的管理.、文件系統(tǒng)安全管理、遠程對系統(tǒng)的訪問

等。

用戶管理：對用戶的管理主要有用戶的賬號口令管理，設置用戶賬號的有效期，

用戶賬號口令的存活期限等。如果需要可以規(guī)定用戶只能在指定的時間內(nèi)才能登

錄系統(tǒng)，并對登錄系統(tǒng)的用戶進行審核（audit）。

超級用戶的管理：嚴格限制有普通用戶變成超級用戶（如使用su、「login等命

令），如果需要可以使用如CAUnicenterTNG這樣的軟件來控制系統(tǒng)超級用戶

的權(quán)限。

文件系統(tǒng)的安全管理：控制用戶對系統(tǒng)內(nèi)特殊文件的訪問權(quán)限，特別是刪除、移

動等權(quán)限，對使用NFS系統(tǒng)可以采用kerberos方式認證。

遠程對系統(tǒng)的訪問：封閉系統(tǒng)的telnet、訪問（rsh、rlogin>rep）等功能；

但可以對系統(tǒng)管理員開放相應的telnet,ftp功能，以便利于對系統(tǒng)的管理和維

護。

2.防病毒（Anti-Virus）

目前病毒在網(wǎng)絡和Internet上傳播主要以電子郵件和Web瀏覽的方式傳播，以

及內(nèi)部網(wǎng)絡上員工的共享文件的傳播。防病毒可以分為集中防病毒和分散防病毒

兩種方法。集中防病毒的方法是在主要的服務器上安裝防病毒軟件，此軟件先對

進出此服務器的數(shù)據(jù)進行檢查，然后再把通過檢查的數(shù)據(jù)發(fā)送給客戶；分散防病

毒是只在客戶端安裝防病毒軟件，它只檢查進出客戶端的數(shù)據(jù)是否有病毒感染。

由于1DC主要為客戶服務，數(shù)據(jù)主要集中在服務器上，所以在IDC系統(tǒng)的防病毒

體系中主要采用集中防病毒方法，但同時對一些與服務器相交戶的內(nèi)部客戶段

（如管理客戶段）也采用分散的防病毒方法。集中防病毒主要是對進出的郵件和

HTTP流數(shù)據(jù)進行防病毒；分散是保護內(nèi)部網(wǎng)的單個終端用戶。

3.防火墻（Firewall）

防火墻（Firewall）是保證網(wǎng)絡安全的重要手段之一，在建設IDC基礎網(wǎng)絡系統(tǒng)

安全性時，首先是要考慮防火墻的建設。在Internet/Intranet上，通過防火墻

來在兩個或多個網(wǎng)絡間加強訪問控制，其目的是保護一個網(wǎng)絡不受來自另一個

網(wǎng)絡的攻擊，隔離風險區(qū)域與安全區(qū)域的連接，但不妨礙人們對風險區(qū)域的訪

問。

防火墻要完成如下主要功能：

?通過對【P包的檢杳，過濾對網(wǎng)絡安全有潛在威脅的IP數(shù)據(jù)包。

?屏蔽對于網(wǎng)絡不必要且有安全漏洞的服務，如Telnet、FTP等。

?控制從Internet上過來的IP數(shù)據(jù)的流向，如數(shù)據(jù)包其目的地址只能是某個區(qū)域的DNS、

WWW等服務器。

,屏蔽對于某些Intcrnet站點的訪問。

吭成系統(tǒng)內(nèi)部IP地址到【nternel合法IP地址的轉(zhuǎn)換，保證能夠從系統(tǒng)內(nèi)部訪問Internet,隱

藏內(nèi)部網(wǎng)絡和主機的結(jié)構(gòu)，

,訪問日記，即AccessLogo

IDC不僅要建設自己的防火墻系統(tǒng)，同時也要考慮特定的用戶需要建立起自己的防火墻系

統(tǒng)，即用需要在其自己的應用前增設相應的防火墻系統(tǒng)來保護其應用的安全（這可根據(jù)用戶

的實際需求再進行建設）。

4.網(wǎng)絡和系統(tǒng)入侵監(jiān)控

網(wǎng)絡和系統(tǒng)的入侵檢測是在網(wǎng)絡上增加一臺掃描儀器和在主要服務器上增加相應的防入侵

軟件來實現(xiàn)。此類防入侵軟件有兩個主要功能，一個掃描網(wǎng)絡和系統(tǒng)上的安全漏洞，以便在

網(wǎng)絡和系統(tǒng)建立初期，就解決好安全問題，此功能也屬于安全保護范圍；另一個功能是在網(wǎng)

絡和系統(tǒng)運行時，監(jiān)控數(shù)據(jù)流，及時發(fā)現(xiàn)黑客入侵，從而做到防止黑客的入侵。

在IDC系統(tǒng)中，在每個重要的服務取得網(wǎng)絡的入口處安放一個探測器，對每個進出此段網(wǎng)絡

的數(shù)據(jù)流進行檢查探測，當其發(fā)現(xiàn)某一個數(shù)據(jù)流不是正常的數(shù)據(jù)流時，探測器把此數(shù)據(jù)流截

獲住，并向位于管理區(qū)的管理服務器發(fā)送入侵信息和警行，然后由管理服務器在做相應的防

御對策。

同時在每個服務器上安裝有類似的探測器，所以當黑客入侵服務器系統(tǒng)時，也是采取上述動

作。

數(shù)據(jù)存儲系統(tǒng)

1.IDC存儲系統(tǒng)綜述

在新的以信息為核心的時代，如何更有效的管理、保護和共享企業(yè)信息已為各行

業(yè)的發(fā)展提出了新的挑戰(zhàn)。尤其在電子商務、互連網(wǎng)絡等新興信息行業(yè)領域，更

是面臨著前所未有的巨大挑戰(zhàn)。在傳統(tǒng)的分布式史理模式下，網(wǎng)站內(nèi)所有的信息

分布在內(nèi)部各個服務器上，信息的管理，信息的可用性受到了很大的限制，不

能充分發(fā)揮應有的作用，而且系統(tǒng)的升級和新業(yè)務的開發(fā)部署也都不能及時響

應Internet快速變化的要求，在這種情形下，以信息為中心的集中處理模式應

時代的需要再次走上了歷史舞臺，而構(gòu)建企業(yè)信息基礎設施則更是集中處理模

式的重中之重。

對于Internet網(wǎng)站來說，幾分鐘的宕機都會帶來巨大的經(jīng)濟損失以及不可估量

的網(wǎng)絡用戶的流失，如果宕機的時間再長一些則可能危及整個網(wǎng)站的生命。因此

整個IT系統(tǒng)的高可用性變的非常重要，而作為信息系統(tǒng)核心的數(shù)據(jù)部分的高可

用性更是重中之重，服務器的宕機可以通過多臺服務器冗余帶來保護，但是如

果服務器上的數(shù)據(jù)沒有有效的保護或成為訪問瓶頸，則可能成為致命的缺陷。

另外，分布式的環(huán)境給信息系統(tǒng)管理帶來了巨大的障礙。數(shù)據(jù)分布在眾多的平臺

和服務器之上，備份和管理的工作變的越來越復雜，多個服務器上分散的數(shù)據(jù)

很難共享，而且這種分散的存儲模式也帶來了巨大的資源浪費，系統(tǒng)管理人員

無法在多個系統(tǒng)間有效的調(diào)度存儲資源。再有，這種處理模式也不利于新業(yè)務的

快速部署，而更快的測試、部署新的應用意味著更快的搶占市場，吸引用戶，這

在Internet中無疑是有著舉足輕重的意義。

IDC之間的競爭目前主要表現(xiàn)是網(wǎng)絡帶寬、基礎設施等IDC的基本要素的比較，

隨著TDC產(chǎn)生的越來越多，TDC之間的競爭已經(jīng)表現(xiàn)在如何能夠為TDC的用戶提

供更多的數(shù)據(jù)及安全服務，如：防火墻、數(shù)據(jù)備份、鏡像站點、負載均衡、統(tǒng)計

分析等數(shù)據(jù)安全、管理、分析等增值服務。IDC如何利用現(xiàn)有的帶寬優(yōu)勢、基礎

設施優(yōu)勢來提供更多的數(shù)據(jù)增值服務并且最大的壓縮成本是未來IDC之間競爭

的制勝法寶。因此IDC如何能夠提供更多的數(shù)據(jù)保護、數(shù)據(jù)管理服務成為IDC

建立時系統(tǒng)設計的一個重要方面。其實答案是很簡單的，那就是集中存儲管理。

作為IDC的集中存儲系統(tǒng)需求要面對未來IDC用戶的需求的多樣性，可以按照模

塊方式為用戶提供模塊化的服務。作為IDC的存儲中心首先應該具有極高的安全

性，試想如果存儲系統(tǒng)產(chǎn)生問題如何為用戶服務，存儲中心還應該具有很強的

功能彈性：可以實現(xiàn)集中的數(shù)據(jù)備份、冗災、連接主機的多樣性等等。

作為存儲中心的成本可以有兩種評測，一種是簡單的容量成本，另一種是與

IDC系統(tǒng)有關(guān)聯(lián)關(guān)系的功能或服務成本。第一種比較簡單，第二種我們可以通過

以下兩個示例來說明：

示例一：很多WebHosting用戶需要使用高速的文件訪問，要求容量配置管理

簡單、擴容方便。假設有400臺主機需要托管并且主機類型主要是NT、LINUX

等平臺。如果每臺主機都通過光纖通道的10通道，則我們需要在每臺主機上安

裝一個FC的卡，價格大約是US$2000.00,那么我們共需要80萬美金，如吳將

這些成本加到用戶身上顯然不合適。

示例二：如果有100臺SUN或HP的服務器提供ASP等業(yè)務，用戶需要對數(shù)據(jù)進

行備份保護，那么一般情況下需要在每臺服務器上安裝備份軟件，如果每套軟

件價格大約US$15000.00,需要花費150萬美金，并且這種備份方式要站用大量

的網(wǎng)絡資源和服務器的計算資源。

既然存儲服務是中心化的，有沒有更好的解決方案，答案是NETAPP的FILER。

通過下面的方案介紹我們就會明白為什么目前10大1DC中會有9家采用NETAPP

的存儲解決方案來為IDC的用戶提供基礎設施和增值服務。

2.存儲系統(tǒng)的建設目標

存儲系統(tǒng)重點是對整個網(wǎng)站內(nèi)的數(shù)據(jù)進行整合，建立起真正的企業(yè)存儲平臺，在統(tǒng)一的企業(yè)

存儲平臺上建立集中式的處理中心，更有效的完成業(yè)務處理，并極大的提高系統(tǒng)的可管理性,

降低系統(tǒng)的管理難度及管理開銷，提高信息的可用性和共享性.

3.存儲方案概述

IDC的存儲系統(tǒng)是為應用泥供服務的，所以在設計IDC存儲系統(tǒng)時，必須要考慮到所服務的

類型。IDC的服務類型主要有：Web服務(Web-hosting)、數(shù)據(jù)庫、郵件、目錄、計費系統(tǒng)

等。根據(jù)應用服務的類型和特點，我們把數(shù)據(jù)庫、郵件、目錄、計費等系統(tǒng)規(guī)劃為一類，此

類服務的特點是服務器的種類相同，如數(shù)據(jù)庫服務器全為Sun，存儲的數(shù)據(jù)共享型少，比較

集中；把Web服務歸為另一類,Web服務器可能是多廠家的(Sun,PCserver)，而Web服務

的內(nèi)容共享型比較多，特別是在Web負載均衡時，要求多臺Web服務器的提供的內(nèi)容要一

致。

下圖展示了NAS存儲結(jié)構(gòu)，此存儲系統(tǒng)主要為IDC的基于Web的應用服務，如Web.

Web-Hosting等,在IDCnWeb服務器是很多臺的，而且可能是不廠家的服務器，同時很多

Web服務器采用負載均衡的方式運行，這需要保證每個Web服務器在同一時刻必須提供相

同的內(nèi)容，NAS存儲系統(tǒng)能夠很好地滿足這些要求，同時NAS的良好擴展性能夠滿足Web

應用對存儲系統(tǒng)擴展的需求。

存儲

我們建議采用Netapp公司的F840作為1DC的NAS存儲系統(tǒng)。我們采用兩臺

Netapp的F840作為存儲系統(tǒng)，兩臺F840以雙機備份的方式運行，具體描述如

下：

多應用系統(tǒng)數(shù)據(jù)存儲的獨立性和安全性

由于在NAS的存儲系統(tǒng)上要存放多家的數(shù)據(jù)，如何保證用戶間的數(shù)據(jù)安全性，

是NAS存儲系統(tǒng)應重點考慮的問題。在F840filer系統(tǒng)上，首先，filer具有

高度的安全性，安全認證由UNIX主機和WINDOW'SNT主域控制器負責，安全等級

達C2級;在NT環(huán)境中,filer與NT的ACL(accesscontrollist)功能相結(jié)

合可提供更高的安全保護。

為保證數(shù)據(jù)存放的獨立性，可在一臺filer中將不同應用系統(tǒng)的數(shù)據(jù)分別存放

于多個卷組中，同時走每一卷組授予不同的操作系統(tǒng)訪問權(quán)限，用戶組和用戶

權(quán)限，以細化對數(shù)據(jù)的保護。且在網(wǎng)絡配置上可安裝多個網(wǎng)卡使filer擁有多個

IP地址，通過子網(wǎng)配置實現(xiàn)數(shù)據(jù)的分流和隔離，確保應用系統(tǒng)的數(shù)據(jù)獨立性。

另外，filer的DataOntap操作系統(tǒng)還提供名為QTREE的空間配額管理工具。

只需簡單的命令行配置即可對卷組下的用戶目錄空間和最大可創(chuàng)建文件數(shù)作配

置，實現(xiàn)細化管理。

ClusterFailover簡介

文件系統(tǒng)專用設備Filer除了軟硬件本身具有99.99%的高可靠性以外，為了消除一些單點故

障(如系統(tǒng)主板出錯，等)，在以低成本、低性能開銷、不增加系統(tǒng)復雜度的前提下，將兩

臺獨立的Filer耦合起來，實現(xiàn)一旦一臺Filer因故障而停止運行并且不能重新啟動，另一臺

Filer立即就可接管這一臺Filer的全部工作，保證系統(tǒng)正常運行:ClusterFailover系統(tǒng)結(jié)構(gòu)圖

如下圖所示。

圖中的兩臺Filer都與磁盤陣列相連，并處于同一子網(wǎng)中，兩臺Filer之間用高

速、冗余的光纖互連。光纖通道(FC-AL)的硬盤有兩個端口，分別與兩臺Filer

相連。

每個Filer有自己主管的一組硬盤。正常運行時，兩臺Filer各自獨立工作，硬

盤、風扇或電源出錯不影響另一臺Filer的工作。同樣，若一臺Filer的軟件出

錯，這也僅僅引起這臺Filer重新啟動，不會影響到另一臺Filer的工作。如果

一臺Filer發(fā)生災難性故障，即不能重新啟動，則另一臺Filer會自動接管原屬

于有故障的Filer的硬盤、文件系統(tǒng)、同時將其IP地址也歸為己有。

在整個接管過程中，客戶端僅簡單地感覺到系統(tǒng)像是在重新啟動。所有在系統(tǒng)本

身重起過程中，能夠保留的狀態(tài)，另一臺Filer也同樣通過接管保留。當然，如

果一臺Filer在其重新啟動過程中丟失一些狀態(tài)，如CTFS鎖(LOCK)狀態(tài)和文

件狀態(tài)等，則在接管后，另一臺Filer也不能保留這些狀態(tài)。

一旦有故障的Filer恢復正常運行后，它不會自動地再接管自己的文件系統(tǒng)，

這需要系統(tǒng)管理員干預才能實現(xiàn)。系統(tǒng)管理員也可強制一臺Filer交出自己的文

件系統(tǒng)，從而可實行計劃中的Filer和硬盤維護工作。

ClusterFailover的二作原理

ClusterFailover主要依靠以下兩個方面工作：

其一是WAFL的特性，特別是WAFL文件系統(tǒng)的盤上狀態(tài)(ON-DISKSTATE)永遠是一致

的.這個盤上狀態(tài)從一個一致點移動到另一個一致點的過程為一個交易，也就是說，要么完

成一個狀態(tài)遷移，要么無狀態(tài)遷移，因此它永遠保持一致。另外,WAFL在日志文件中記錄所

有被服務過的、能夠轉(zhuǎn)移到非易先性RAM(NVRAM)中的客戶請求?？谥疚募心切┮?/p>

被轉(zhuǎn)移到硬盤上的客戶請求只有在一個盤上狀態(tài)遷移完成后，才被丟棄。Filer通常利用這些

特征將盤上數(shù)據(jù)從故障中恢復。當Filer重新啟動時，它只是簡單地重新執(zhí)行在最近(一致

性)盤上狀態(tài)未反映的NVRAM中的客戶請求。

其次是互連的特性，特別是互連具有遠程內(nèi)存存取能力(有時也稱作非一致性內(nèi)

存存取，或者簡稱NVRAM)。當一個客戶請求到天時，F(xiàn)iler將其記錄在它本地

的NVRAM中。在Cluster的配置中，F(xiàn)iler利用遠程內(nèi)存存取特性將日志文件中

的記錄項拷貝到另一臺Filer的NVRAM中。這個技術(shù)的一個突出優(yōu)點是發(fā)送方發(fā)

送的拷貝極快，幾乎不影響到接收方的操作(如，沒有包處理過程)。同樣，另

一臺Filer也會將自己的NVRAM中的日志記錄項拷貝到這臺Filer的NURAM中。

當一臺Filer不能從互連的光纖通道、網(wǎng)絡或硬盤上探測到另一臺Filer的心跳

(HEARTBEAT)或I/O活動，他即認為這臺Filer已出故障，接管過程開始。主

要是接管出故障的Filer的IP和MAC地址、文件系統(tǒng)和硬盤，以及后臺服務器

進程(daemon),并將其使用的NVRAM中的日志記錄項回現(xiàn)。這個技術(shù)與Filer

重新啟動時所使用到的技術(shù)類似。接管后，正常工作的Filer中的每個后臺服務

器進程(daemon)具有兩個標識符，一個用于本地Filer,另一個用于另一臺

Filer。

ClusterFailover的配置

從以上的簡單描述，我們已了解了ClusteredFailover的原理，我們知道這個解決方案能夠使

得文件/存儲系統(tǒng)在filer本身具有的高可靠性的基礎上進一步保證了系統(tǒng)的高可用性。為了

避免一些軟硬件的兼容性問題，以及系統(tǒng)運行后配置和管理的方便，我們建議將兩臺F840

的軟件和硬件，包括存儲容量配置成完全相同的兩臺filcro

存儲解決方案特點

L整個網(wǎng)絡的數(shù)據(jù)存儲統(tǒng)一集中管理，非常適合大型設計和制造單位進行文件數(shù)據(jù)的管理和

維護；

2.容量高，一個文件系統(tǒng)可達12TB,可以簡單地增加Filer網(wǎng)絡文件數(shù)據(jù)存儲服務器來成

倍的擴大存儲容量而并不影響現(xiàn)有的網(wǎng)絡結(jié)構(gòu)；

3.文件和數(shù)據(jù)訪問速度快，單卷NFS操作速度達15,000次每秒；

4.穩(wěn)定性高，單臺可靠性達99.995%,雙機達99.997%；

5.易于操作，只有60條命令，安裝只需15分鐘；

6.易于維護，硬盤可以熱插拔，重啟動只需120秒；

7.有高度的安全性，安全認證由UNIX主機和WINDOWSNT主域控制器負責，安全等級

達C2級；

8.具有數(shù)據(jù)保護功能，具有2。~3。級硬盤快照功能；

9.具有進程保護功能并重起時間短，約120秒；

10.支持多個網(wǎng)絡協(xié)議和操作系統(tǒng)，適合多種網(wǎng)絡環(huán)境共存(UNIX,WINDOWSNT,HTTP)

的數(shù)據(jù)存儲；

高效的靈活的管理，支持熱插拔和熱備份硬盤；

12.具有模塊化設計，可以方便地升級和擴展網(wǎng)絡存儲設備；

13.存儲系統(tǒng)中的數(shù)據(jù)可進行磁帶備份保護，支持現(xiàn)有的數(shù)據(jù)備份軟件和備份設備；

14.用磁帶備份保存的數(shù)據(jù)當其恢復時原有屬性不丟失，可保持UNIX和WINDOWSNT數(shù)

據(jù)的初始狀態(tài)；

15.存儲系統(tǒng)具有最優(yōu)化的投資配置及最優(yōu)服務；

16.來備份Unix系統(tǒng)和NT系統(tǒng)混和網(wǎng)絡環(huán)境的全部數(shù)據(jù)。

數(shù)據(jù)備份系統(tǒng)

1.在IDC應用中，為確保向客戶提供7x24的服務，各種數(shù)據(jù)的安全可靠是非常重要的一個

環(huán)節(jié)，這需要對數(shù)據(jù)提供一套完整的管理方案，涉及備份、歸檔、復制等方面；我們建

議使用VeritasNctBackup軟件、SunEnterprise220R服務器與SunStorEdgeL20磁帶庫

配合，作為數(shù)據(jù)備份的解決方案。

1.1VeritasNetBackup的體系結(jié)構(gòu)

NetBackup采用四層的體系結(jié)構(gòu)，將復雜的存儲介質(zhì)管理和高性能緊密結(jié)合，

可以滿足最大型的數(shù)據(jù)中心的要求。

?第一層包括NetBackup的MasterServer。MasterServer可以看作策略規(guī)劃

和客戶端備份處理等動作的"大腦"。它可以有一個或多個磁帶驅(qū)動器或磁帶庫,

備份來自多個客戶端的數(shù)據(jù)。

?如果一個機構(gòu)有多個分離的數(shù)據(jù)中心，或有數(shù)據(jù)密集性的應用，例如數(shù)據(jù)倉

庫，它可以設置多個MediaServer,為本地的大型應用備份數(shù)據(jù)的同時通過網(wǎng)

絡備份其他客戶端的數(shù)據(jù)。如果一個MediaServer失效，聯(lián)結(jié)在該MediaServer

上的所有客戶端備份進程可以轉(zhuǎn)到另一臺MediaServer上進行。

?第三層是ClientAgent,用來備份服務器或工作站的數(shù)據(jù)。這一層代表大量

的獨立的機器。MediaServer和ClientAgent都可以由MasterServer來集中

管理。

?對于一些多個MasterServer或者覆蓋面很廣的分布式環(huán)境，NetBackup還可

以建立第四層的VeritasGlobalDataManager,來進行集中管理。Veritas

GlobalDataManager可以對企業(yè)所有的NetBackup存儲域進行集中管理。著允

許系統(tǒng)管理員和數(shù)據(jù)庫管理員可以管理NetBackup的每一個方面。它還可以實

施連續(xù)性的策略管理，和監(jiān)控企業(yè)系統(tǒng)中每一個存儲域的狀態(tài)。

NetBackup不但可以恢復主備份帶的部分或全部，還可以在別的地方恢復整個

應用或服務。NetBackup可以自動生成主備份磁帶的拷貝，可以將這些拷貝放在

遠離數(shù)據(jù)中心的地方，以備災難恢復。

1.2VeritasNetBackup的特點

性能、可用性和安全性

?并行備份和恢復一可以從一個或多個客戶端/服務器通過多個數(shù)據(jù)流到一個或

多個磁帶機的讀寫，這種并行處理技術(shù)優(yōu)化了性能。

?客戶端壓縮一可以減少網(wǎng)絡流量，現(xiàn)在WindowsNT/2000和NetWare的客戶

端支持。

?非專用磁帶格式一可以生成tar兼容的磁帶。

?中斷點重啟一一旦備份中斷，可以從備份中斷的位置重新開始備份。

?WindowsNT/2000的智能化災難恢復一WindowsNT/2000的遠程基于物理設備

的恢復。

?數(shù)據(jù)加密選項一美國和加拿大用戶可以進行56位的加密，所有的用戶都可以

進行40位加密。

靈活的實施模式

?NetBackup向?qū)б豢焖俸唵蔚赝瓿蓚浞菰O備、存儲介質(zhì)和備份策略的配置°

?遠程圖形界面管理一可以在任何地方完成所有的備份和恢復處理，包括通過撥

號網(wǎng)絡。

?用戶驅(qū)動的備份和恢復一最終用戶的友好界面可以減少系統(tǒng)管理員的干預。

?任務分類一可以根據(jù)備份的重要程度設置優(yōu)先級。

數(shù)據(jù)中心的加強可靠性

?獨一無二的多層結(jié)構(gòu)一同類產(chǎn)品中首創(chuàng)的分布式結(jié)構(gòu)體系，MasterServer,

MediaServer和Client,所有這些都可以由GlobalDataManager來監(jiān)控。

?MediaServer的故障切換一當出現(xiàn)故隙時，自動將客戶端的備份進程切換到

另一臺服務器。

強大的輔助工具

?備份進度條一可以清楚知道備份何時結(jié)束。

?設備監(jiān)視一對磁帶使用情況和驅(qū)動器配置的報告。

?日志的分類和識別一使故障診斷更容易。

?瀏覽歷史日志一可以對以前的操作進行深入分析。

多平臺支持

?支持所有主要的操作系統(tǒng)一包括所有主要的UNIX平臺，WindowsNT/2000,

Novel1NetWare,Linux等

?支持EMC—可以與EMCTimeFinder集成。

?數(shù)據(jù)庫和應用一支持很多業(yè)界領先的應用和數(shù)據(jù)庫：Oracle,MicrosoftSQL

Server,Sybase,Informix,DB2,MicrosoftExchange,andSAPR/3,還有更

多正在開發(fā)中。

1.3層次化存儲管理（HierarchicalStorageManagement）

當IDC運行一段時間以后，一些在線數(shù)據(jù)的訪問次數(shù)會越來越少，最終到無人

訪問；而出于商業(yè)的一些因素，這些數(shù)據(jù)又必須得保存一段時間，有的甚至要

保存幾年。這些大量的歷史數(shù)據(jù)引發(fā)的最大問題是占用大量的磁盤空間、增加

磁盤訪問數(shù)據(jù)的時間并引起應用程序的性能下降。

解決上面問題的方法就是層次化存儲管理（HSM）技術(shù)，HSM技術(shù)自動將在線數(shù)

據(jù)進行分類，并將不常用的歷史數(shù)據(jù)轉(zhuǎn)移到其它存儲介質(zhì)上去（例如磁帶），

同時將在線數(shù)據(jù)刪除以釋放磁盤空間；而對用戶而言，這些數(shù)據(jù)看起來依舊在

其原有的位置上，沒有變化。在有應用訪問這些數(shù)據(jù)時，HSM會自動將這些數(shù)據(jù)

讀取回來并置為在線狀態(tài)，供用戶使用。通過NerBackup與HSM技術(shù)的有效結(jié)

合，可以實現(xiàn)對數(shù)據(jù)更完善的管理。

2主機和存儲設備

在使用大型磁帶庫的環(huán)境中，由于磁帶庫采用多個高速的磁帶驅(qū)動器，其數(shù)據(jù)

吞吐率非常高，對主機和數(shù)據(jù)源的存儲設備的性能要求也相應較高。此時備份服

務器一般配置一定容量的緩沖區(qū)，這對備份數(shù)據(jù)的瀏覽、檢索和數(shù)據(jù)恢復都非常

重要。特別在連接磁帶庫的環(huán)境中，通過在緩沖區(qū)中設置備份數(shù)據(jù)的文件索引，

可以提高數(shù)據(jù)檢索的速度，并且在緩沖區(qū)對備份數(shù)據(jù)進行緩存，可以縮短讀備

份數(shù)據(jù)的時間，增強數(shù)據(jù)瀏覽和備份恢復的性能。

我們建議主:機采用SunEnterprise220R服務器，存儲設備采用SunStorEdgeL20磁帶庫。

SunEnterprise220R服務器的特點有：

?最大支持兩個450-MHzUltraSPARC-Il64-bitRISC

微處理器，每個微處理器有4MBL2緩存。

?最大支持2GB主存。

?兩個內(nèi)置9.1-GB或18.2-GB可熱切換的UltraSCSI

硬盤驅(qū)動器。

?四個PCI插槽連接到兩條高性能的PCII/O總線上,

數(shù)

支持350MB/秒的數(shù)據(jù)傳輸速率。型號配置

吊:

?兩個可熱切換的電源模塊做到N+1冗余。

SunStorEdgeL20磁帶庫的特點有：

?最大支持四個可熱交換的DLT7000磁帶驅(qū)動器和60

盤磁帶，容量達到2TB。

?吞吐量最大為72GB/小時。

?基于Web的管理軟件加強系統(tǒng)管理。

根據(jù)IDC業(yè)務的發(fā)展情況，初期可以配置少量的服務

器。在數(shù)據(jù)備份服務器上配有NetBackup系統(tǒng)軟件，自

動化模塊和L1000磁帶庫；在備份服務器和其它需作

備份的Client端配有多個NetBackupAgent模塊，支持

主服務器及網(wǎng)絡上其它服務器的備份。實現(xiàn)了全網(wǎng)數(shù)

據(jù)自動化集中管理。具體配置為：

功能

2x450MHz

CPU1GB

備份服務器SunE220R1

Mcmuiy18GB

HD

2個驅(qū)動器20個

備份磁帶庫SunL201

磁帶

備份軟件VeritasNetBackup1

3.方案特點

在本方案中,由于我們使用了NETAPP公司的強大的

FILER存儲系統(tǒng)，它與VeritasNetBackup結(jié)合，可以

將數(shù)據(jù)直接從FILER通過專門的數(shù)據(jù)通道傳遞到磁帶

庫上，不占用任何網(wǎng)絡帶寬，減輕備份客戶端的負

荷；另外，利用VeritasNetBackup的分層結(jié)構(gòu)和并

行備份與恢復技術(shù)、Veritas的HSM技術(shù)、SUN公司

高性能主機和磁帶庫、，以及制定有效的備份策略使

本方案有很強的擴展性，有利于解決各方面的瓶頸

問題，易于實現(xiàn)對數(shù)據(jù)的高效管理。

IDC應用服務系統(tǒng)建設

TDC應用系統(tǒng)的建設主要是圍繞著TDC的業(yè)務開展而定，但TDC的虛擬主機服務

(Web-Hosting).郵件服務是1DC前期建設應首先考慮的應用系統(tǒng)建設。

數(shù)據(jù)庫系統(tǒng)

數(shù)據(jù)庫系統(tǒng)是IDC建設重點應用服務系統(tǒng)之一，IDC除了建設自身的數(shù)據(jù)庫系統(tǒng)之外，還應

建設為IDC客戶服務的數(shù)據(jù)庫系統(tǒng)，如客戶租用數(shù)據(jù)庫系統(tǒng)。無論是那種數(shù)據(jù)庫服務方式,

IDC的數(shù)據(jù)庫系統(tǒng)是相當就大的，而且是多樣的，即IDC要有多種數(shù)據(jù)庫并存，以滿足不同

用戶的需求。由于數(shù)據(jù)庫系統(tǒng)在IDC的服務系統(tǒng)占有非常重要的地位，所以在建設IDC的

數(shù)據(jù)庫系統(tǒng)時，必須充分考慮數(shù)據(jù)庫服務器系統(tǒng)的高性能、高可靠性和擴展性。

我們建議采用兩臺SunE4500服務器作為數(shù)據(jù)庫服務器，兩臺服務器可運行相同的數(shù)據(jù)庫軟

件，也可運行不同的數(shù)據(jù)庫軟件，使用LegatoQualixHA+多機互為備份運行軟件使兩臺服務

器以HA的方式來運行，即當一臺數(shù)據(jù)庫服務器出現(xiàn)故障（如服務器的硬件問題、操作系統(tǒng)

問題、數(shù)據(jù)軟件問題等），另一臺服務器會自動接管此服務器的任務，繼續(xù)對外服務，從而

保證了數(shù)據(jù)庫不間斷的服務。數(shù)據(jù)庫服務器系統(tǒng)如下圖所示。

IDC服務

由于LegatoQualixlIA+軟件是面向應用的服務器互為備份軟件，保證了由亍服

務器上某一應用出現(xiàn)問題，只需要把出現(xiàn)問題的應用切換道備份服務器上運行，

而不需要把整個服務器上的應用全部切換到另一臺服務器上運行，這樣既保證

了服務器的性能，郵件減少了切換時間。同時LegatoQualixHA+支持多節(jié)點的

服務器互為備份，這樣但兩臺數(shù)據(jù)庫服務器不能滿足IDC的發(fā)展需要時，瓦以

很容易增加第三臺（或更多）數(shù)據(jù)庫服務器，使其與已經(jīng)有的數(shù)據(jù)庫服務循以

ClusterHA的方式運行（如上圖所示，增加數(shù)據(jù)庫服務器C），而對整個系統(tǒng)做

很少的改動。

同時SunE4500服務企業(yè)具有很好的計算性能、穩(wěn)定性和擴展性。而且現(xiàn)在的主

流數(shù)據(jù)庫如Oracle、Informix、Sybase>DB2等多能在其上運行，而且有些數(shù)據(jù)

庫的開發(fā)首選機器就是Sun的服務器。這可充分保證IDC對要支持多種數(shù)據(jù)庫的

要求。

在數(shù)據(jù)庫的存儲上，我們使用EMC集中的數(shù)據(jù)存儲方式，見下一章節(jié)關(guān)于IDC

存儲系統(tǒng)的建設。

數(shù)據(jù)庫服務器具體配置如下表所示。

服務器機器型號配置備注

數(shù)據(jù)庫服務器SunE45004x400MHzUltraSPARCCPU

2GBMemory

18.2GBInternalDisk

4x400MHzUltraSPARCCPU

數(shù)據(jù)庫服務器SunE45002GBMemory

18.2GBInternalDisk

QualixHA+forSunE4500

Cluster軟件QualixHA+AgentforOracle,Informix,etc.

虛擬主機服務(Web-Hosting)

虛擬主機服務是IDC的重要業(yè)務之一，是IDC為ISP、ICP、ASP以及政府機關(guān)、

公司企業(yè)等提供Web網(wǎng)站主機、系統(tǒng)平臺以及Internet連接服務。這樣ISP等

公司企業(yè)可以將重點放在對其Web本身和相應的業(yè)務系統(tǒng)的開發(fā)上，而不必把

精力浪費在對.Neb等主機的系統(tǒng)的維護上，這些工作可由Web-Hosting提供商

TDC來完成。

Web-Hosting一般分為以下兩種方式。

獨立虛擬主機(DedicatedHosting)方式

此種方式中IDC為每個用戶提供一臺或多臺單獨的主機作為其Web等應用服務

器，而不與其他的用戶共享一臺主機服務。此種方式主要是為具有復雜業(yè)務的

用戶提供高質(zhì)量、安全的Web-Hosting等服務。此種方式的最大優(yōu)點是每個用

戶獲得的資源相對獨立，減少資源共享，從而簡化管理方式，相對提高了系統(tǒng)

的安全性。但這種方式的費用較高，資源有可能浪費；而且減少了資源的共享,

也增加了每個用戶的相對投入；同時獨立主機方式的主機相對較小，不便于用

戶在主機方面的擴展和升級，以及實現(xiàn)系統(tǒng)的高可用性。

共享虛擬主機(SharedHosting)方式

共享虛擬主機方式就是IDC配置相對大型的主機系統(tǒng)為用戶提供Web-Hosting

服務，大部分用戶的Web-Hosting全在一臺或幾臺相對大型的服務器系統(tǒng)上。

此種方式的最它特點就是IDC利用大型計算機系統(tǒng)或集群系統(tǒng)(Cluster)同時

為多個用戶提供多種應用服務，這樣每個用戶可以享受到大型計算機系統(tǒng)所具

有的高可靠性、高可用性和高可維護性(即RAS)。同時由于IDC的機器設備數(shù)量

相對減少，則維護成本等也相對降低，使用戶能以與獨立主機方式的相差不大

的費用獲得更大的計算能力。同時用戶對資源擴充的要求可以由IDC對整個系

統(tǒng)資源的重新分配來實現(xiàn)，這時用戶對系統(tǒng)的擴充以無縫的方式來進行，大大

的方便了用戶的系統(tǒng)擴充和升級。

Sun公司的Netratl系列服務器、E220R和E420R服務器都非常適合作為獨立虛

擬主機方式的主機服務器。這些服務器都是機架型的服務器，Netratl為1U的

高度，E220R和E420R為4U的高度。

作為共享虛擬主機方式的主機我們可選用Sun的企業(yè)級服務器，Sun企業(yè)級服務

器-E4500、E5500、E6500有很高的RAS特性。如果IDC的業(yè)務發(fā)展很快,乜可

選用SunE10000作為Web-Hosting服務器，SunE10000具有動態(tài)域劃分技術(shù)，可

將一臺服務器的資源劃分為若干獨立的部分，每一個部分均可作為一完整的計

算機系統(tǒng)為用戶提供服務，可以避免眾多用戶爭奪主機和網(wǎng)絡資源，從而保證

用戶的對服務質(zhì)量和響應速度的要求。

對于Web-Hosting軟件,我們建議使用iPlanetWebServer軟件。此軟件具有

虛擬主機能力，支持集中管理、LDAP協(xié)議，同時具有如SSL安全特征，訪問控

制等安全機制。

電子郵件服務系統(tǒng)

電子郵件服務是IDC為用戶提供服務的內(nèi)容之一，同時電子郵件也是IDC與用戶

相互交流的重要途徑。所以IDC系統(tǒng)的電子郵件建設應主要考慮如下幾個方面：

?穩(wěn)定性，保證電子郵件服務不中斷對外服務。

?擴展性，保證在隨著用戶增加，電子郵件系統(tǒng)通過簡單調(diào)整或增加服務器就能

滿足用戶增長的需求。

?安全性，支持電子郵