淺談中小型數(shù)據(jù)中心的升級改造

周福斌，張 鑫，王立超

（中國人民解放軍66389部隊(duì)，河南 鄭州 450000）

0 引 言

部分中小型數(shù)據(jù)中心建設(shè)時(shí)間較早，運(yùn)行時(shí)間較久，逐步出現(xiàn)了網(wǎng)絡(luò)不穩(wěn)定、業(yè)務(wù)系統(tǒng)運(yùn)行不順暢、信息泄露以及遭遇病毒攻擊等情況，嚴(yán)重影響了辦公效率，甚至?xí)斐删W(wǎng)絡(luò)癱瘓、系統(tǒng)奔潰以及數(shù)據(jù)丟失等嚴(yán)重后果。同時(shí)隨著虛擬化等技術(shù)的普及應(yīng)用，也暴露出系統(tǒng)可靠性不高、資源利用率偏低以及IT運(yùn)維成本偏高等問題。因此，對老舊中小型數(shù)據(jù)中心的升級改造勢在必行。

1 現(xiàn)狀分析

1.1 網(wǎng)絡(luò)可靠性不高

部分中小型數(shù)據(jù)中心規(guī)模較小，網(wǎng)絡(luò)出口鏈路只有一條，且只有一臺出口路由器，沒有冗余設(shè)備和冗余鏈路，也沒有負(fù)載均衡設(shè)備。單臺出口路由器工作負(fù)載較高，壓力較大，導(dǎo)致網(wǎng)絡(luò)故障率較高，易造成整體網(wǎng)絡(luò)中斷。

1.2 資源利用率低

部分?jǐn)?shù)據(jù)中心的服務(wù)器和存儲器等設(shè)備由不同的部門采購和部署，設(shè)備廠家型號不統(tǒng)一，部署不合理，一臺服務(wù)器部署一套業(yè)務(wù)系統(tǒng)的情況普遍存在，且管理不規(guī)范，自研的設(shè)備和引進(jìn)的設(shè)備相互交錯(cuò)，資源利用率低、冗余性差且智能化運(yùn)維管理水平低，從而造成整體IT運(yùn)維成本偏高[1]。

1.3 安防手段不足

部分?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)手段單一，部署的少量防火墻只能達(dá)到基本的防護(hù)效果，無法抵御DDOS、SQL注入以及XSS等攻擊，缺少對可疑流量的監(jiān)控和綜合分析能力，且日志審計(jì)功能缺失，無法有效進(jìn)行網(wǎng)絡(luò)安全防護(hù)。同時(shí)，數(shù)據(jù)處理和訪問軟件故障、系統(tǒng)硬件故障、人為操作失誤以及網(wǎng)絡(luò)遭受攻擊等情況容易造成數(shù)據(jù)損壞和泄露，而且部分?jǐn)?shù)據(jù)中心缺少必要的備份和防護(hù)措施。

2 升級改造的目標(biāo)

升級改造的目標(biāo)主要包括3個(gè)方面。一是維護(hù)網(wǎng)絡(luò)穩(wěn)定可靠。通過備份出口鏈路和設(shè)備冗余，增加負(fù)載均衡功能，使得鏈路出現(xiàn)故障時(shí)能夠智能切換，使用網(wǎng)絡(luò)虛擬化優(yōu)化內(nèi)部網(wǎng)絡(luò)等進(jìn)一步提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性。二是促進(jìn)系統(tǒng)可靠高效。利用虛擬化等技術(shù)，建設(shè)計(jì)算和存儲資源池，實(shí)現(xiàn)資源動(dòng)態(tài)調(diào)配的可伸縮和易擴(kuò)展，提高資源利用率，促進(jìn)運(yùn)維管理方便快捷和智能高效。三是確保安防手段齊全。配備齊全的安防手段，通過可疑流量分析和安全評估等功能，確保系統(tǒng)能夠抵御各類病毒、DDOS、SQL注入以及XSS等攻擊。同時(shí)增加數(shù)據(jù)備份功能，一旦數(shù)據(jù)丟失，可以采用多種方式進(jìn)行恢復(fù)。

3 升級改造措施

3.1 網(wǎng)絡(luò)優(yōu)化調(diào)整

3.1.1 出口網(wǎng)絡(luò)優(yōu)化

針對中小型數(shù)據(jù)中心網(wǎng)絡(luò)出口單一、路由交換設(shè)備老化、備用板件缺失以及負(fù)載壓力較大等問題，可以進(jìn)行網(wǎng)絡(luò)優(yōu)化。采用分布式方式部署2臺華為NE系列中高端路由器，通過不同運(yùn)營商的兩條鏈路連接廣域網(wǎng)，從而自行選擇最優(yōu)路徑訪問外部網(wǎng)絡(luò)。同時(shí)，出口設(shè)備更改為路由器+防火墻+負(fù)載均衡設(shè)備的組合，可以有效分離路由功能和安全功能[5-7]。

3.1.2 核心層網(wǎng)絡(luò)優(yōu)化

在核心層部署華為S7700系列高端3層交換機(jī)作為核心交換機(jī)，交換機(jī)通過萬兆多模光纖互聯(lián)，同時(shí)采用網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)，將2臺物理設(shè)備虛擬化成1臺，不僅可以提高網(wǎng)絡(luò)帶寬，還能實(shí)現(xiàn)鏈路的負(fù)載均衡和冗余，大大提高網(wǎng)絡(luò)的可靠性和安全性[2]。核心交換機(jī)與核心路由器采用全互聯(lián)的方式進(jìn)行連接，核心交換機(jī)只做數(shù)據(jù)轉(zhuǎn)發(fā)，不做策略路由。

3.1.3 匯聚和接入網(wǎng)絡(luò)優(yōu)化

在匯聚層和接入層部署華為5700系列3層交換機(jī)作為匯聚和接入交換機(jī)，同時(shí)要在數(shù)據(jù)密集的地方部署兩臺匯聚交換機(jī)，匯聚交換機(jī)與核心交換機(jī)也采用全互聯(lián)的方式進(jìn)行連接。另外，同一樓內(nèi)的匯聚交換機(jī)應(yīng)啟動(dòng)VRRP冗余網(wǎng)關(guān)協(xié)議，并開啟端口跟蹤功能，設(shè)置為搶占模式，正常工作時(shí)由性能高的設(shè)備作為主設(shè)備承擔(dān)數(shù)據(jù)的轉(zhuǎn)發(fā)任務(wù)，當(dāng)主設(shè)備或者鏈路發(fā)生故障時(shí)，可以實(shí)時(shí)智能切換至備用設(shè)備，保證業(yè)務(wù)順利進(jìn)行。同時(shí)，當(dāng)主設(shè)備或者鏈路維修完成后，可以再智能切換到主設(shè)備工作狀態(tài)，保證網(wǎng)絡(luò)和業(yè)務(wù)進(jìn)行的高效性和穩(wěn)定性。

3.2 業(yè)務(wù)系統(tǒng)可靠性升級

3.2.1 計(jì)算資源整合

針對不同部門單獨(dú)采購和部署服務(wù)器等設(shè)備導(dǎo)致的運(yùn)維管理混亂、運(yùn)維效率較低以及服務(wù)器和存儲資源利用率低等問題，可以采用虛擬化技術(shù)進(jìn)行有效解決。計(jì)算資源的虛擬化指將原有的服務(wù)器和采購的部分服務(wù)器，按照規(guī)格型號和數(shù)量進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，將型號一致的服務(wù)器集中分類存放，便于相互替代和備份。根據(jù)業(yè)務(wù)重要程度劃分大規(guī)模資源池和小規(guī)模相對重要的資源池。大規(guī)模資源池中可以部署更多的應(yīng)用，但是應(yīng)用部署數(shù)量較大時(shí)會帶來一定的網(wǎng)絡(luò)和資源負(fù)擔(dān)，影響重要應(yīng)用的運(yùn)行，這時(shí)需建設(shè)一個(gè)小規(guī)模資源池，專門部署相對重要的業(yè)務(wù)系統(tǒng)。將各類應(yīng)用按照高中低3個(gè)類別進(jìn)行分類，將重要性高的業(yè)務(wù)部署到小規(guī)模資源池中，且在資源分配和網(wǎng)絡(luò)帶寬分配時(shí)優(yōu)先滿足這些應(yīng)用的需要，從而保障重要業(yè)務(wù)系統(tǒng)的順暢運(yùn)行[3]。

3.2.2 存儲網(wǎng)絡(luò)構(gòu)建

存儲網(wǎng)絡(luò)構(gòu)建主要是構(gòu)建以SAN為核心的存儲網(wǎng)絡(luò)，同時(shí)進(jìn)行存儲的虛擬化。綜合考慮直接附加存儲DAS、網(wǎng)絡(luò)附加存儲NAS以及區(qū)域存儲網(wǎng)絡(luò)SAN的優(yōu)劣，由于SAN具有低延遲、高速度以及高可靠性等優(yōu)勢，且不依賴服務(wù)器和區(qū)域存儲網(wǎng)絡(luò)，業(yè)務(wù)系統(tǒng)分離不占用業(yè)務(wù)網(wǎng)絡(luò)資源，因此建立以SAN為核心的存儲系統(tǒng)。相比較IP-SAN和FC-SAN，F(xiàn)C-SAN存在維護(hù)成本過高、配置復(fù)雜以及不同廠商難以兼容等問題，而IP-SAN具有讀寫性能優(yōu)異、擴(kuò)展互通靈活、管理維護(hù)簡便、性價(jià)比高以及兼容性好等優(yōu)勢。因此，中小型數(shù)據(jù)中心可以選擇IP-SAN部署兩臺高端以太網(wǎng)交換機(jī)作為數(shù)據(jù)交換的平臺，將服務(wù)器和磁盤陣列等存儲設(shè)備連接到一起，組成一個(gè)獨(dú)立的SAN存儲網(wǎng)絡(luò)，保證存儲數(shù)據(jù)的高效流轉(zhuǎn)和可靠傳輸。網(wǎng)絡(luò)拓?fù)鋱D見圖1。

圖1 IP-SAN網(wǎng)絡(luò)拓?fù)鋱D

綜合考慮SATA和SAS硬盤的優(yōu)劣和性價(jià)比，中小型數(shù)據(jù)中心可以采用SAS硬盤作為存儲硬盤。對比RAID技術(shù)中較為成熟且廣泛應(yīng)用的RAID0、RAID1、RAID5、RAID6、RAID10技術(shù)的優(yōu)劣，具體見表1[4]。雖然RAID10在讀寫速度、數(shù)據(jù)恢復(fù)以及可靠性等方面具有較大的優(yōu)勢，但考慮到中小型數(shù)據(jù)中心升級改造成本和應(yīng)用系統(tǒng)的網(wǎng)絡(luò)狀況等，可考慮選擇利用率更高和性價(jià)比更高的RAID5技術(shù)。同時(shí)利用存儲虛擬化技術(shù)，建立存儲資源池，實(shí)現(xiàn)存儲資源的動(dòng)態(tài)調(diào)配和高效利用，利用虛擬化軟件按需擴(kuò)展存儲，通過可視化界面有效管理存儲資源，切實(shí)提高資源的可用性、可靠性以及靈活性[5,6]。

表1 RAID技術(shù)對比表

3.3 安全防護(hù)體系構(gòu)建

網(wǎng)絡(luò)安全防護(hù)是保證網(wǎng)絡(luò)可靠性的重要工作，技術(shù)層面主要是網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建和數(shù)據(jù)本身的安全防護(hù)。

3.3.1 網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建

網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建時(shí)，采用網(wǎng)絡(luò)邊界隔離、防火墻、IDS、WAF等設(shè)備部署以及防病毒系統(tǒng)部署等方式。網(wǎng)絡(luò)邊界隔離可根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)需求劃分基礎(chǔ)支撐服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)及辦公區(qū)3個(gè)區(qū)域，并制定相應(yīng)的安全防護(hù)策略。由于基礎(chǔ)支撐服務(wù)區(qū)的設(shè)備主要由為應(yīng)用服務(wù)區(qū)提供數(shù)據(jù)的數(shù)據(jù)庫集群構(gòu)成，因此該區(qū)要制定最嚴(yán)格的訪問控制策略，禁止與其他區(qū)域通信。當(dāng)應(yīng)用系統(tǒng)需要該區(qū)提供服務(wù)時(shí)，需通過由IP、MAC、用戶名及口令構(gòu)成的三元組，同時(shí)結(jié)合數(shù)據(jù)庫自身的用戶認(rèn)證體系來驗(yàn)證用戶身份，并借助數(shù)據(jù)庫防火墻來限制用戶SQL操作的種類，阻斷對數(shù)據(jù)庫的高風(fēng)險(xiǎn)操作，從而提升安全性[7]。鑒于目前大多數(shù)應(yīng)用都是基于B/S架構(gòu)，因此要重點(diǎn)做好基于Web的安全防護(hù)，可以通過部署防DDOS防火墻和WAF系統(tǒng)等，重點(diǎn)防御SQL注入或XSS等攻擊，部署網(wǎng)頁防篡改系統(tǒng)防止非法篡改網(wǎng)頁，同時(shí)還應(yīng)部署防病毒系統(tǒng)供用戶下載和安裝，并及時(shí)更新病毒庫，組織定期掃描查殺，從而有效保障網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)可靠性[8,9]。

3.3.2 數(shù)據(jù)本身的安全防護(hù)

數(shù)據(jù)備份是數(shù)據(jù)本身安全防護(hù)的重點(diǎn)，可以通過專業(yè)的數(shù)據(jù)存儲管理軟件和相應(yīng)硬件的結(jié)合來實(shí)現(xiàn)。中小型數(shù)據(jù)中心可選擇基于共享存儲的雙機(jī)熱備方案。對比LAN、LAN Free及SAN Server-Free三種備份方式，由于中小型數(shù)據(jù)中心數(shù)據(jù)量不會過大，因此選擇LAN Free數(shù)據(jù)備份方式。它可以使備份的數(shù)據(jù)直接通過SAN的鏈路從備份客戶端到備份設(shè)備，而不占用以太網(wǎng)絡(luò)的帶寬[10]。備份策略選擇完全備份、增量備份以及差分備份結(jié)合的方式，每周一至周六進(jìn)行一次增量備份或差分備份，每周日、每月底及每年底進(jìn)行一次全備份。

4 結(jié) 論

通過對老舊中小型數(shù)據(jù)中心的升級改造，可以大大提高網(wǎng)絡(luò)的可靠性和資源的利用率。同時(shí)，配備齊全的安全防護(hù)手段保證網(wǎng)絡(luò)和數(shù)據(jù)安全，有利于快速部署業(yè)務(wù)應(yīng)用，提供更及時(shí)和便利的網(wǎng)絡(luò)服務(wù)，提高網(wǎng)絡(luò)運(yùn)行效率，從而達(dá)到快速上線業(yè)務(wù)、快速響應(yīng)需求以及提高部署效率的目標(biāo)。