淺談中小型數(shù)據(jù)中心的升級改造

周福斌，張 鑫，王立超

（中國人民解放軍66389部隊，河南 鄭州 450000）

0 引 言

部分中小型數(shù)據(jù)中心建設時間較早，運行時間較久，逐步出現(xiàn)了網(wǎng)絡不穩(wěn)定、業(yè)務系統(tǒng)運行不順暢、信息泄露以及遭遇病毒攻擊等情況，嚴重影響了辦公效率，甚至會造成網(wǎng)絡癱瘓、系統(tǒng)奔潰以及數(shù)據(jù)丟失等嚴重后果。同時隨著虛擬化等技術(shù)的普及應用，也暴露出系統(tǒng)可靠性不高、資源利用率偏低以及IT運維成本偏高等問題。因此，對老舊中小型數(shù)據(jù)中心的升級改造勢在必行。

1 現(xiàn)狀分析

1.1 網(wǎng)絡可靠性不高

部分中小型數(shù)據(jù)中心規(guī)模較小，網(wǎng)絡出口鏈路只有一條，且只有一臺出口路由器，沒有冗余設備和冗余鏈路，也沒有負載均衡設備。單臺出口路由器工作負載較高，壓力較大，導致網(wǎng)絡故障率較高，易造成整體網(wǎng)絡中斷。

1.2 資源利用率低

部分數(shù)據(jù)中心的服務器和存儲器等設備由不同的部門采購和部署，設備廠家型號不統(tǒng)一，部署不合理，一臺服務器部署一套業(yè)務系統(tǒng)的情況普遍存在，且管理不規(guī)范，自研的設備和引進的設備相互交錯，資源利用率低、冗余性差且智能化運維管理水平低，從而造成整體IT運維成本偏高[1]。

1.3 安防手段不足

部分數(shù)據(jù)中心網(wǎng)絡安全防護手段單一，部署的少量防火墻只能達到基本的防護效果，無法抵御DDOS、SQL注入以及XSS等攻擊，缺少對可疑流量的監(jiān)控和綜合分析能力，且日志審計功能缺失，無法有效進行網(wǎng)絡安全防護。同時，數(shù)據(jù)處理和訪問軟件故障、系統(tǒng)硬件故障、人為操作失誤以及網(wǎng)絡遭受攻擊等情況容易造成數(shù)據(jù)損壞和泄露，而且部分數(shù)據(jù)中心缺少必要的備份和防護措施。

2 升級改造的目標

升級改造的目標主要包括3個方面。一是維護網(wǎng)絡穩(wěn)定可靠。通過備份出口鏈路和設備冗余，增加負載均衡功能，使得鏈路出現(xiàn)故障時能夠智能切換，使用網(wǎng)絡虛擬化優(yōu)化內(nèi)部網(wǎng)絡等進一步提高網(wǎng)絡的穩(wěn)定性和可靠性。二是促進系統(tǒng)可靠高效。利用虛擬化等技術(shù)，建設計算和存儲資源池，實現(xiàn)資源動態(tài)調(diào)配的可伸縮和易擴展，提高資源利用率，促進運維管理方便快捷和智能高效。三是確保安防手段齊全。配備齊全的安防手段，通過可疑流量分析和安全評估等功能，確保系統(tǒng)能夠抵御各類病毒、DDOS、SQL注入以及XSS等攻擊。同時增加數(shù)據(jù)備份功能，一旦數(shù)據(jù)丟失，可以采用多種方式進行恢復。

3 升級改造措施

3.1 網(wǎng)絡優(yōu)化調(diào)整

3.1.1 出口網(wǎng)絡優(yōu)化

針對中小型數(shù)據(jù)中心網(wǎng)絡出口單一、路由交換設備老化、備用板件缺失以及負載壓力較大等問題，可以進行網(wǎng)絡優(yōu)化。采用分布式方式部署2臺華為NE系列中高端路由器，通過不同運營商的兩條鏈路連接廣域網(wǎng)，從而自行選擇最優(yōu)路徑訪問外部網(wǎng)絡。同時，出口設備更改為路由器+防火墻+負載均衡設備的組合，可以有效分離路由功能和安全功能[5-7]。

3.1.2 核心層網(wǎng)絡優(yōu)化

在核心層部署華為S7700系列高端3層交換機作為核心交換機，交換機通過萬兆多模光纖互聯(lián)，同時采用網(wǎng)絡設備虛擬化技術(shù)，將2臺物理設備虛擬化成1臺，不僅可以提高網(wǎng)絡帶寬，還能實現(xiàn)鏈路的負載均衡和冗余，大大提高網(wǎng)絡的可靠性和安全性[2]。核心交換機與核心路由器采用全互聯(lián)的方式進行連接，核心交換機只做數(shù)據(jù)轉(zhuǎn)發(fā)，不做策略路由。

3.1.3 匯聚和接入網(wǎng)絡優(yōu)化

在匯聚層和接入層部署華為5700系列3層交換機作為匯聚和接入交換機，同時要在數(shù)據(jù)密集的地方部署兩臺匯聚交換機，匯聚交換機與核心交換機也采用全互聯(lián)的方式進行連接。另外，同一樓內(nèi)的匯聚交換機應啟動VRRP冗余網(wǎng)關(guān)協(xié)議，并開啟端口跟蹤功能，設置為搶占模式，正常工作時由性能高的設備作為主設備承擔數(shù)據(jù)的轉(zhuǎn)發(fā)任務，當主設備或者鏈路發(fā)生故障時，可以實時智能切換至備用設備，保證業(yè)務順利進行。同時，當主設備或者鏈路維修完成后，可以再智能切換到主設備工作狀態(tài)，保證網(wǎng)絡和業(yè)務進行的高效性和穩(wěn)定性。

3.2 業(yè)務系統(tǒng)可靠性升級

3.2.1 計算資源整合

針對不同部門單獨采購和部署服務器等設備導致的運維管理混亂、運維效率較低以及服務器和存儲資源利用率低等問題，可以采用虛擬化技術(shù)進行有效解決。計算資源的虛擬化指將原有的服務器和采購的部分服務器，按照規(guī)格型號和數(shù)量進行數(shù)據(jù)統(tǒng)計，將型號一致的服務器集中分類存放，便于相互替代和備份。根據(jù)業(yè)務重要程度劃分大規(guī)模資源池和小規(guī)模相對重要的資源池。大規(guī)模資源池中可以部署更多的應用，但是應用部署數(shù)量較大時會帶來一定的網(wǎng)絡和資源負擔，影響重要應用的運行，這時需建設一個小規(guī)模資源池，專門部署相對重要的業(yè)務系統(tǒng)。將各類應用按照高中低3個類別進行分類，將重要性高的業(yè)務部署到小規(guī)模資源池中，且在資源分配和網(wǎng)絡帶寬分配時優(yōu)先滿足這些應用的需要，從而保障重要業(yè)務系統(tǒng)的順暢運行[3]。

3.2.2 存儲網(wǎng)絡構(gòu)建

存儲網(wǎng)絡構(gòu)建主要是構(gòu)建以SAN為核心的存儲網(wǎng)絡，同時進行存儲的虛擬化。綜合考慮直接附加存儲DAS、網(wǎng)絡附加存儲NAS以及區(qū)域存儲網(wǎng)絡SAN的優(yōu)劣，由于SAN具有低延遲、高速度以及高可靠性等優(yōu)勢，且不依賴服務器和區(qū)域存儲網(wǎng)絡，業(yè)務系統(tǒng)分離不占用業(yè)務網(wǎng)絡資源，因此建立以SAN為核心的存儲系統(tǒng)。相比較IP-SAN和FC-SAN，F(xiàn)C-SAN存在維護成本過高、配置復雜以及不同廠商難以兼容等問題，而IP-SAN具有讀寫性能優(yōu)異、擴展互通靈活、管理維護簡便、性價比高以及兼容性好等優(yōu)勢。因此，中小型數(shù)據(jù)中心可以選擇IP-SAN部署兩臺高端以太網(wǎng)交換機作為數(shù)據(jù)交換的平臺，將服務器和磁盤陣列等存儲設備連接到一起，組成一個獨立的SAN存儲網(wǎng)絡，保證存儲數(shù)據(jù)的高效流轉(zhuǎn)和可靠傳輸。網(wǎng)絡拓撲圖見圖1。

圖1 IP-SAN網(wǎng)絡拓撲圖

綜合考慮SATA和SAS硬盤的優(yōu)劣和性價比，中小型數(shù)據(jù)中心可以采用SAS硬盤作為存儲硬盤。對比RAID技術(shù)中較為成熟且廣泛應用的RAID0、RAID1、RAID5、RAID6、RAID10技術(shù)的優(yōu)劣，具體見表1[4]。雖然RAID10在讀寫速度、數(shù)據(jù)恢復以及可靠性等方面具有較大的優(yōu)勢，但考慮到中小型數(shù)據(jù)中心升級改造成本和應用系統(tǒng)的網(wǎng)絡狀況等，可考慮選擇利用率更高和性價比更高的RAID5技術(shù)。同時利用存儲虛擬化技術(shù)，建立存儲資源池，實現(xiàn)存儲資源的動態(tài)調(diào)配和高效利用，利用虛擬化軟件按需擴展存儲，通過可視化界面有效管理存儲資源，切實提高資源的可用性、可靠性以及靈活性[5,6]。

表1 RAID技術(shù)對比表

3.3 安全防護體系構(gòu)建

網(wǎng)絡安全防護是保證網(wǎng)絡可靠性的重要工作，技術(shù)層面主要是網(wǎng)絡安全防護體系構(gòu)建和數(shù)據(jù)本身的安全防護。

3.3.1 網(wǎng)絡安全防護體系構(gòu)建

網(wǎng)絡安全防護體系構(gòu)建時，采用網(wǎng)絡邊界隔離、防火墻、IDS、WAF等設備部署以及防病毒系統(tǒng)部署等方式。網(wǎng)絡邊界隔離可根據(jù)網(wǎng)絡和業(yè)務需求劃分基礎支撐服務區(qū)、應用服務區(qū)及辦公區(qū)3個區(qū)域，并制定相應的安全防護策略。由于基礎支撐服務區(qū)的設備主要由為應用服務區(qū)提供數(shù)據(jù)的數(shù)據(jù)庫集群構(gòu)成，因此該區(qū)要制定最嚴格的訪問控制策略，禁止與其他區(qū)域通信。當應用系統(tǒng)需要該區(qū)提供服務時，需通過由IP、MAC、用戶名及口令構(gòu)成的三元組，同時結(jié)合數(shù)據(jù)庫自身的用戶認證體系來驗證用戶身份，并借助數(shù)據(jù)庫防火墻來限制用戶SQL操作的種類，阻斷對數(shù)據(jù)庫的高風險操作，從而提升安全性[7]。鑒于目前大多數(shù)應用都是基于B/S架構(gòu)，因此要重點做好基于Web的安全防護，可以通過部署防DDOS防火墻和WAF系統(tǒng)等，重點防御SQL注入或XSS等攻擊，部署網(wǎng)頁防篡改系統(tǒng)防止非法篡改網(wǎng)頁，同時還應部署防病毒系統(tǒng)供用戶下載和安裝，并及時更新病毒庫，組織定期掃描查殺，從而有效保障網(wǎng)絡安全，提高網(wǎng)絡可靠性[8,9]。

3.3.2 數(shù)據(jù)本身的安全防護

數(shù)據(jù)備份是數(shù)據(jù)本身安全防護的重點，可以通過專業(yè)的數(shù)據(jù)存儲管理軟件和相應硬件的結(jié)合來實現(xiàn)。中小型數(shù)據(jù)中心可選擇基于共享存儲的雙機熱備方案。對比LAN、LAN Free及SAN Server-Free三種備份方式，由于中小型數(shù)據(jù)中心數(shù)據(jù)量不會過大，因此選擇LAN Free數(shù)據(jù)備份方式。它可以使備份的數(shù)據(jù)直接通過SAN的鏈路從備份客戶端到備份設備，而不占用以太網(wǎng)絡的帶寬[10]。備份策略選擇完全備份、增量備份以及差分備份結(jié)合的方式，每周一至周六進行一次增量備份或差分備份，每周日、每月底及每年底進行一次全備份。

4 結(jié) 論

通過對老舊中小型數(shù)據(jù)中心的升級改造，可以大大提高網(wǎng)絡的可靠性和資源的利用率。同時，配備齊全的安全防護手段保證網(wǎng)絡和數(shù)據(jù)安全，有利于快速部署業(yè)務應用，提供更及時和便利的網(wǎng)絡服務，提高網(wǎng)絡運行效率，從而達到快速上線業(yè)務、快速響應需求以及提高部署效率的目標。