淺談中小型數據中心的升級改造

周福斌，張 鑫，王立超

（中國人民解放軍66389部隊，河南 鄭州 450000）

0 引 言

部分中小型數據中心建設時間較早，運行時間較久，逐步出現了網絡不穩定、業務系統運行不順暢、信息泄露以及遭遇病毒攻擊等情況，嚴重影響了辦公效率，甚至會造成網絡癱瘓、系統奔潰以及數據丟失等嚴重后果。同時隨著虛擬化等技術的普及應用，也暴露出系統可靠性不高、資源利用率偏低以及IT運維成本偏高等問題。因此，對老舊中小型數據中心的升級改造勢在必行。

1 現狀分析

1.1 網絡可靠性不高

部分中小型數據中心規模較小，網絡出口鏈路只有一條，且只有一臺出口路由器，沒有冗余設備和冗余鏈路，也沒有負載均衡設備。單臺出口路由器工作負載較高，壓力較大，導致網絡故障率較高，易造成整體網絡中斷。

1.2 資源利用率低

部分數據中心的服務器和存儲器等設備由不同的部門采購和部署，設備廠家型號不統一，部署不合理，一臺服務器部署一套業務系統的情況普遍存在，且管理不規范，自研的設備和引進的設備相互交錯，資源利用率低、冗余性差且智能化運維管理水平低，從而造成整體IT運維成本偏高[1]。

1.3 安防手段不足

部分數據中心網絡安全防護手段單一，部署的少量防火墻只能達到基本的防護效果，無法抵御DDOS、SQL注入以及XSS等攻擊，缺少對可疑流量的監控和綜合分析能力，且日志審計功能缺失，無法有效進行網絡安全防護。同時，數據處理和訪問軟件故障、系統硬件故障、人為操作失誤以及網絡遭受攻擊等情況容易造成數據損壞和泄露，而且部分數據中心缺少必要的備份和防護措施。

2 升級改造的目標

升級改造的目標主要包括3個方面。一是維護網絡穩定可靠。通過備份出口鏈路和設備冗余，增加負載均衡功能，使得鏈路出現故障時能夠智能切換，使用網絡虛擬化優化內部網絡等進一步提高網絡的穩定性和可靠性。二是促進系統可靠高效。利用虛擬化等技術，建設計算和存儲資源池，實現資源動態調配的可伸縮和易擴展，提高資源利用率，促進運維管理方便快捷和智能高效。三是確保安防手段齊全。配備齊全的安防手段，通過可疑流量分析和安全評估等功能，確保系統能夠抵御各類病毒、DDOS、SQL注入以及XSS等攻擊。同時增加數據備份功能，一旦數據丟失，可以采用多種方式進行恢復。

3 升級改造措施

3.1 網絡優化調整

3.1.1 出口網絡優化

針對中小型數據中心網絡出口單一、路由交換設備老化、備用板件缺失以及負載壓力較大等問題，可以進行網絡優化。采用分布式方式部署2臺華為NE系列中高端路由器，通過不同運營商的兩條鏈路連接廣域網，從而自行選擇最優路徑訪問外部網絡。同時，出口設備更改為路由器+防火墻+負載均衡設備的組合，可以有效分離路由功能和安全功能[5-7]。

3.1.2 核心層網絡優化

在核心層部署華為S7700系列高端3層交換機作為核心交換機，交換機通過萬兆多模光纖互聯，同時采用網絡設備虛擬化技術，將2臺物理設備虛擬化成1臺，不僅可以提高網絡帶寬，還能實現鏈路的負載均衡和冗余，大大提高網絡的可靠性和安全性[2]。核心交換機與核心路由器采用全互聯的方式進行連接，核心交換機只做數據轉發，不做策略路由。

3.1.3 匯聚和接入網絡優化

在匯聚層和接入層部署華為5700系列3層交換機作為匯聚和接入交換機，同時要在數據密集的地方部署兩臺匯聚交換機，匯聚交換機與核心交換機也采用全互聯的方式進行連接。另外，同一樓內的匯聚交換機應啟動VRRP冗余網關協議，并開啟端口跟蹤功能，設置為搶占模式，正常工作時由性能高的設備作為主設備承擔數據的轉發任務，當主設備或者鏈路發生故障時，可以實時智能切換至備用設備，保證業務順利進行。同時，當主設備或者鏈路維修完成后，可以再智能切換到主設備工作狀態，保證網絡和業務進行的高效性和穩定性。

3.2 業務系統可靠性升級

3.2.1 計算資源整合

針對不同部門單獨采購和部署服務器等設備導致的運維管理混亂、運維效率較低以及服務器和存儲資源利用率低等問題，可以采用虛擬化技術進行有效解決。計算資源的虛擬化指將原有的服務器和采購的部分服務器，按照規格型號和數量進行數據統計，將型號一致的服務器集中分類存放，便于相互替代和備份。根據業務重要程度劃分大規模資源池和小規模相對重要的資源池。大規模資源池中可以部署更多的應用，但是應用部署數量較大時會帶來一定的網絡和資源負擔，影響重要應用的運行，這時需建設一個小規模資源池，專門部署相對重要的業務系統。將各類應用按照高中低3個類別進行分類，將重要性高的業務部署到小規模資源池中，且在資源分配和網絡帶寬分配時優先滿足這些應用的需要，從而保障重要業務系統的順暢運行[3]。

3.2.2 存儲網絡構建

存儲網絡構建主要是構建以SAN為核心的存儲網絡，同時進行存儲的虛擬化。綜合考慮直接附加存儲DAS、網絡附加存儲NAS以及區域存儲網絡SAN的優劣，由于SAN具有低延遲、高速度以及高可靠性等優勢，且不依賴服務器和區域存儲網絡，業務系統分離不占用業務網絡資源，因此建立以SAN為核心的存儲系統。相比較IP-SAN和FC-SAN，FC-SAN存在維護成本過高、配置復雜以及不同廠商難以兼容等問題，而IP-SAN具有讀寫性能優異、擴展互通靈活、管理維護簡便、性價比高以及兼容性好等優勢。因此，中小型數據中心可以選擇IP-SAN部署兩臺高端以太網交換機作為數據交換的平臺，將服務器和磁盤陣列等存儲設備連接到一起，組成一個獨立的SAN存儲網絡，保證存儲數據的高效流轉和可靠傳輸。網絡拓撲圖見圖1。

圖1 IP-SAN網絡拓撲圖

綜合考慮SATA和SAS硬盤的優劣和性價比，中小型數據中心可以采用SAS硬盤作為存儲硬盤。對比RAID技術中較為成熟且廣泛應用的RAID0、RAID1、RAID5、RAID6、RAID10技術的優劣，具體見表1[4]。雖然RAID10在讀寫速度、數據恢復以及可靠性等方面具有較大的優勢，但考慮到中小型數據中心升級改造成本和應用系統的網絡狀況等，可考慮選擇利用率更高和性價比更高的RAID5技術。同時利用存儲虛擬化技術，建立存儲資源池，實現存儲資源的動態調配和高效利用，利用虛擬化軟件按需擴展存儲，通過可視化界面有效管理存儲資源，切實提高資源的可用性、可靠性以及靈活性[5,6]。

表1 RAID技術對比表

3.3 安全防護體系構建

網絡安全防護是保證網絡可靠性的重要工作，技術層面主要是網絡安全防護體系構建和數據本身的安全防護。

3.3.1 網絡安全防護體系構建

網絡安全防護體系構建時，采用網絡邊界隔離、防火墻、IDS、WAF等設備部署以及防病毒系統部署等方式。網絡邊界隔離可根據網絡和業務需求劃分基礎支撐服務區、應用服務區及辦公區3個區域，并制定相應的安全防護策略。由于基礎支撐服務區的設備主要由為應用服務區提供數據的數據庫集群構成，因此該區要制定最嚴格的訪問控制策略，禁止與其他區域通信。當應用系統需要該區提供服務時，需通過由IP、MAC、用戶名及口令構成的三元組，同時結合數據庫自身的用戶認證體系來驗證用戶身份，并借助數據庫防火墻來限制用戶SQL操作的種類，阻斷對數據庫的高風險操作，從而提升安全性[7]。鑒于目前大多數應用都是基于B/S架構，因此要重點做好基于Web的安全防護，可以通過部署防DDOS防火墻和WAF系統等，重點防御SQL注入或XSS等攻擊，部署網頁防篡改系統防止非法篡改網頁，同時還應部署防病毒系統供用戶下載和安裝，并及時更新病毒庫，組織定期掃描查殺，從而有效保障網絡安全，提高網絡可靠性[8,9]。

3.3.2 數據本身的安全防護

數據備份是數據本身安全防護的重點，可以通過專業的數據存儲管理軟件和相應硬件的結合來實現。中小型數據中心可選擇基于共享存儲的雙機熱備方案。對比LAN、LAN Free及SAN Server-Free三種備份方式，由于中小型數據中心數據量不會過大，因此選擇LAN Free數據備份方式。它可以使備份的數據直接通過SAN的鏈路從備份客戶端到備份設備，而不占用以太網絡的帶寬[10]。備份策略選擇完全備份、增量備份以及差分備份結合的方式，每周一至周六進行一次增量備份或差分備份，每周日、每月底及每年底進行一次全備份。

4 結 論

通過對老舊中小型數據中心的升級改造，可以大大提高網絡的可靠性和資源的利用率。同時，配備齊全的安全防護手段保證網絡和數據安全，有利于快速部署業務應用，提供更及時和便利的網絡服務，提高網絡運行效率，從而達到快速上線業務、快速響應需求以及提高部署效率的目標。