企業數據中心規劃節點分析

武振華

（中鐵十二局集團有限公司， 山西　太原　030024）

1　概述

互聯網與數字技術像水和空氣一樣正成為人們生活和工作中不可或缺的一部分，而數據中心正成為企業業務的基石。業務的快速迭代和創新意味著IT基礎架構要承載更多的變化，能夠快速地響應業務的需求，需要可擴展的性能、靈活的配置、高效的通信、更高的計算操作，與此同時，改善能源效率以降低運營成本也是必然的選擇。但傳統基礎架構資源分散、成本高昂、能耗巨大、管理低效的弊端，制約了企業轉型的速度。同時客戶需求及市場的快速變化，要求企業的信息系統及數據中心建設同時進入創新的快車道。

1.1　建設目標

隨著企業的不斷發展壯大以及信息化程度加深的需求，企業信息化基礎設施建設應向著數據中心的方向發展，第一步是實現企業用戶日常工作信息化；第二步是實現企業全部業務、數據信息化；第三步是最終建設完成“高性能、高效率、易擴展、易管理、穩定可靠”的信息化基礎設施。

1.2　建設原則

企業數據中心建設既要適應當前業務應用，又要面向未來發展。一是采用先進成熟技術并保持一段時期內的先進性；二是采用備份、冗余、監控、保密等技術提高安全可靠性；三是覆蓋范圍、層次、容量靈活可擴展，實現技術升級、設備更新無阻礙；四是堅持統一規范的原則以實現開放融合、互聯互通；五是堅持投入產出比最大化，提高經濟性；六是建立信息化基礎設施管理系統以實現日常故障監控、資源管理。

1.3　總體規劃

一是建設主干線路萬兆，接入終端千兆的網絡架構，實現數據快速轉發，業務信息系統快速訪問；二是整合現有業務系統服務器資源，建設企業云平臺，為快速部署業務信息系統、實現數據分享、利用大數據分析精準管理企業做好準備；三是建設完善的、多層級的網絡安全防護體系，保障信息安全，避免外部攻擊、內部病毒傳播，實現上級機關及公安部門要求的信息系統等級保護；四是做好具有前瞻性的總體規劃，然后按照分步實施的方案進行分階段、分批部署，保證逐步部署的設備相互匹配，沒有瓶頸，管理方便。

2　數據中心規劃節點分析

2.1　IT架構管理

中小企業的IT架構現在仍然主要是傳統架構，其主要面臨以下問題：新業務上線速度慢，需要部署環境、采購硬件；舊業務擴容需要購置存儲、遷移數據；硬件設備不斷增加，網絡、安全、計算、存儲設備的利用率、運行效能低下；故障率高且不易發現等。

在現階段，企業的業務信息化不斷深化，應規劃建設新型IT架構，即建設企業云。利用軟件定義企業數據中心，將計算、網絡、存儲、安全資源虛擬化，通過軟件快速搭建數據中心。首先是將企業的X86架構服務器進行虛擬化，在服務器內部搭建計算和存儲資源池，按需建立虛擬機，充分利用服務器CPU、內存、磁盤空間。后期需要擴容時，只需堆疊添加標準的服務器，即可實現整體資源池擴展，無需復雜的存儲遷移和網絡改造。快速搭建虛擬機實現了業務測試系統、正式系統的快速上線，并可以快速部署配套的網絡、安全架構，如圖1所示。

現階段，不僅有單獨的軟件來實現企業云，而且推出了內置軟件的一體機，包含了一整套的解決方案。

IT新架構的優勢是：數據中心業務狀態、網絡結構、數據動態實時、清晰展示，更好把控數據中心整體情況；快速、智能定位網絡故障節點，減少運維工作量；簡化數據中心結構，降低機房成本投入，合理靈活利用空閑資源；縮短業務系統上線時間，提升業務改造擴容速度。

圖1　基礎網絡拓撲架構

2.2　鏈路管理

多鏈路、多運營商接入是保證鏈路正常工作的一般做法，國內主要互聯網運營商是中國聯通和中國電信。為保證鏈路的安全，一般要求運營商將企業新接入的獨享光纖線路直接連接到其城市區域性核心機房，以保證線路中間無節點故障隱患。

2.3　路由器

核心路由器處于企業數據中心網絡的核心位置。不僅要有極高的轉發性能，而且可靠性和擴展性也要很強。

高端路由器應支持網絡虛擬化，將多臺路由器虛擬為一臺，以提高設備安全性、鏈路帶寬利用率、設備使用率，并降低維護、管理的成本；應采用開放式架構，可以插入安全等業務板卡，但同時也要規避只能使用同一廠商嵌入式板卡的弊端；路由器如采用路由、轉發、業務處理硬件分離的設計時，則可以提高設備的處理能力；路由器的接口密度、路由策略、加密能力、VPN功能也是選擇設備時的重點關注指標。

路由器的安全性能應關注其防火墻功能，防攻擊手段，如ARP、單包、掃描、泛洪等攻擊，具有黑名單、網頁過濾、日志記錄等功能。

路由器的寬帶管理性能是解決網絡擁塞、延時的重要途徑，要通過鏈路負載均衡實現數據流量的分擔，通過帶寬預留實現關鍵業務數據流的質量，通過智能流量調度、分級管理、分層管理實現帶寬利用率的最大化。

2.4　交換機

核心交換機處于企業數據中心網絡的核心位置，不僅要有極高的轉發性能，主要關注設備的交換容量和包轉發率，而且可靠性和擴展性也要很強，關注設備的主控網板、交換網板的數量和電源、風扇的冗余設計，設備的業務板根據機房規模和未來發展規劃也要留有冗余。同時，板卡正交的結構為最新架構，較傳統背板連接架構在數據處理能力有較大優勢。

數據中心核心交換機在面向未來云計算、大數據等新技術，應具備橫向虛擬化和縱向虛擬化能力。

2.5　虛擬專用網絡（VPN）

部分集團級企業的分布模式為集團總部、子公司，企業各級分布在不同的城市，其業務則遍布全國甚至海外，各地的企業用戶通過網絡訪問部署在集團總部的信息系統。這些企業形成了業務分散和信息數據集中的部署模式，因此需要一種非常安全的方式實現異地網絡互聯。VPN提供一個在兩個或多個遠程網絡裝置之間的安全信道。IP Sec VPN解決了異地機構快速組網、大型專網數據安全加密、行業專網VPN延伸、專網單一鏈路穩定備份等功能。IP Sec VPN可以大幅提升跨國、跨運營商等高丟包網絡環境下的VPN訪問速度，且實現數據的高強度加密。通過多線路傳輸技術實現線路冗余備份、帶寬擴展、按分支需求分配帶寬等，保證網絡穩定，提高數據傳輸速度。

部分集團級企業需要企業人員可以隨時隨地簡單、安全、快速、經濟地經過公網訪問總部信息系統，SSL VPN實現了這個需求。SSL VPN通過多種身份認證方式保障了用戶接入的可靠性；通過安全桌面技術防止數據留存在用戶終端；通過數據加密保障數據傳輸安全；從鏈路、傳輸、數據、應用四個層次提高訪問速度；支持主流操作系統和瀏覽器，提高用戶體驗。現階段的部分VPN產品還實現了將PC業務發布到移動終端的功能，利用單點登錄技術實現訪問便捷、自動啟動、后臺運行等功能，從而提供了VPN的訪問體驗。

但是隨著互聯網的快速發展，服務器、終端、信息系統等安全性能的不斷提升，直接通過互聯網訪問應該是未來的發展趨勢。

2.6　負載

對于中型企業來說，企業數據中心部署了至少兩個運營商的線路以保證互聯網連接，或建設了企業廣域網。企業部署了多個業務信息系統，為保證系統的穩定，部署兩臺或多臺發布服務器。基于這些需求，需要部署負載均衡設備以保障互聯網和業務系統訪問。

網絡負載均衡設備經過發展已經成為應用交付設備：可以通過統計分析功能實時展示企業鏈路和服務器的運行和資源利用情況，進而為優化配置提供依據；可以通過鏈路、服務器、全局的負載均衡避免鏈路故障、服務器故障、增加或減少服務器等對業務的影響，且及時通過短信、郵件通知管理人員；可以利用鏈路選擇、服務器性能優化、單邊加速、智能分析等技術，提高鏈路和服務器資源利用率，以加快和提升用戶訪問應用系統的體驗和效果。

負載均衡設備主要是保證鏈路均衡、服務器均衡、并進行智能DNS、集群。應具備統計分析功能，并可以按照一定的時間導出分析報表。用于選擇統計的項目，包括上行流量、下行流量、訪問次數、并發連接數等。

2.7　上網行為管理

現代企業工作已經離不開計算機和網絡，企業網絡帶寬的需求逐年上漲，但是如何讓有限的網絡帶寬服務工作，上網行為管理設備成為了企業必備的網絡設備。其可以按需分配網絡資源，保證用戶訪問速度，并通過數據分析提高網絡管理；可以阻止或減少非工作網絡資源的使用，加快辦公網絡的速度，提高工作效率；可以記錄網絡訪問行為，管控向企業外部發送的信息，避免泄密和法律風險；可以阻止部分病毒入侵，保障數據安全。

因為上網行為管理可以檢測整個網絡，所以其不僅應具備以上基礎功能，還應該具備網絡安全的功能。應內置防火墻、惡意網址庫、應用識別規則庫、防DOS攻擊、防ARP欺騙、異常流量識別阻斷。

隨著新技術的發展，現階段的上網行為管理覆蓋更全面，能夠識別所有的互聯網應用、網頁、P2P等；管理更精細靈活智能，流控策略更精細，可以自動提醒用戶上網行為、自動分析上網行為的風險并進行預警、提供風險智能報表。

2.8　網絡安全管理

網絡攻擊越來越多，網絡風險愈加嚴重，網絡安全備受關注，中小企業傳統的、拼湊的網絡防護難以承受。主要表現在：分類部署的防護設備應對的是不同的攻擊，互相之間無法共享攻擊信息，難以進行統一防護；無法及時發現安全漏洞進行防護；部署全部安全設備的投資成本較大且存在被攻擊繞過的風險；缺乏專家型的網絡安全人員運維導致網絡安全設備無法發揮最大效能。

未來的網絡安全防護需要的是深度檢測企業L2—L7層網絡，及時發現業務漏洞，防患未然；利用大數據分析、預測、發現已知和未知威脅，以達到及時防護；安全防護產品簡單、易用，且通過大數據不斷及時更新漏洞和攻擊的特征庫。

現階段，企業在部署或更換現有網絡防護設備時應將應用層的檢測和入侵防護放在重要位置，且從網絡中的業務、用戶、漏洞三個方面進行分析。通過更加直觀的方式、全天候不間斷、及時通知、提供處理建議、一鍵防護、統一管控等方面幫助用戶及時處理網絡威脅，實現自動化安全管理。

網絡安全節點分為防火墻、漏洞掃描、安全審計、運維管理、終端檢測、數據分析、網絡管理、終端安全等。IPS入侵防御設備可以深入到網絡7層的分析和檢測，實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、網頁篡改等攻擊和惡意行為，實現對網絡應用、性能、設備的保護。

2.9　服務器管理

在云計算和數據中心集中化的影響下，多年來服務器一直在朝著高密度方向發展，目標是體積更小、功耗更低、高可管理性和擴展性。舊有的塔式服務器已經逐漸邊緣化，機架式服務器則成為市場主流，目前已經在各種企業系統中扮演重要角色。在選購X86架構服務器時應盡量選擇規格型號相同的服務器，以便更好地將服務器組成服務器池，避免不同型號服務器產生的不兼容；同時選擇單CPU處理能力高的服務器，提高性價比。

相對傳統X86服務器集群和融合基礎架構產品相比，新的刀片服務器解決方案將會在可靠性、穩定性、密度空間、節能、維護管理方面表現更加突出。由于能夠更好地支持云計算、大數據等第三平臺應用，刀片服務器近年來成為全球服務器市場的亮點之一。

刀片服務器為用戶提供更快、更穩定的重要業務應用性能，從而提高用戶的整體業務生產效率。使用刀片服務器后，服務器性能提升、應用性能改善、應用速度提高，企業員工在使用IT系統的過程中，能夠更快獲取和處理信息，從而提高生產效率，幫助業務發展。刀片服務器意外宕機次數減少，且恢復速度加快，使用戶減少相關風險。使用刀片服務器還可以整合服務器，在保證性能不下降的前提下減少服務器硬件資本支出，以及相應的軟件許可證支出。

對于負責監控、管理、配置服務器的IT員工來說，集中化管理意味著節省時間和提高操作效率。私有云技術的普及將進一步推動刀片服務器的發展。

2.10　存儲

數據中心的數據是企業的核心資產，數據的安全性是重中之重。數據存儲一定要做好安全防護，最好部署專業的備份管理系統，并施行每日自動備份。為了防止不可抗拒力量造成的數據丟失，應施行異地備份策略。

2.11　數據中心管理系統

數據中心作為信息與信息系統的物理載體，主要用于和IT相關的主機、網絡、存儲等設備和資源的存放和管理。傳統的管理工具是單一的、未互通的，難以滿足云時代的具有集中機房、互通網絡、共享資源、虛擬設備、動態配置特點的數據中心。對企業核心業務和關鍵網絡質量的保障仍然是IT管理的第一要務。IT管理首先要快速定位故障、多維度對全業務進行統一監控分析、完成設備自動部署和批量配置；進一步要挖掘分析業務信息、呈現展示業務狀態，為企業管理和發展提供依據。基于此，數據中心管理系統要提供完善的網絡、計算、虛擬化、業務應用的綜合管理。

數據中心管理系統需要提供中心拓撲，清晰地展現基礎設施和網絡、計算、流量；展示物理設備之間，物理設備與虛擬設備之間的從屬和鏈接關系；提供業務系統監控管理，實現實時發現問題并報警，同時提供報表以幫助管理者找出問題所在；實時展示中心外部訪問數據中心的數據流量，以及中心內部的流量分布，為更好地分配資源，保障業務穩定運行提供實時數據。

數據中心的自動化管理和安全管理也至關重要。需要具備大批量設備上線時的模板化快速部署，不同廠商和不同型號設備的編排管理，虛擬服務器和虛擬網絡的自動遷移，中心運行情況的自動分析，完成中心設備合規檢查、操作審計、終端接入控制。

2.12　機房環境管理

企業在部署刀片服務器等高密度產品時，應密切關注數據中心單機柜供電能力。單機柜供電20 A以上可以更好發揮刀片服務器性能優勢，如滿配且重負載，建議單機柜35—40 A供電。

機房內要安裝專用空調、加濕機以保持恒溫、恒濕。安裝UPS不間斷電源，保證供電安全；安裝環境報警裝置，以及時發現煙霧、溫度升高等突發情況。

3　發展方向

企業數據中心可以向大型數據中心遷移，轉變為托管的數據中心，隨著新技術的不斷涌現，企業數據中心將更加高效、智能、自動。未來，可以探索將信息系統部署到公有云，以實現快速、安全訪問。

4　結論

企業數據中心是企業信息化的核心，是實現企業業務信息化的基礎。我國十三五發展綱要中明確要求：實施網絡強國戰略，拓展網絡經濟空間，加快構建高速、移動、安全、泛在的新一代信息基礎設施，加快信息網絡新技術開發應用，布局未來網絡架構、技術體系和安全保障體系。現代企業一定要明確自身信息化未來發展方向，從企業實際出發，提早合理規劃，逐步開展企業數據中心建設，為實現企業提質增效擁抱互聯網、擁抱信息化。