XX数据中心优化方案XX数据中心优化方案.doc

ＸＸ数据中心优化方案 ＸＸ数据中心优化目标： ＸＸ数据中心承载着ＸＸＸＸＸＸ服务平台3.0及4.0的所有运行环境，是整个业务的支柱，是数据存储、信息交换和信息再加工的基础，是提高核心竞争力之所在，没有良好的技术支撑和保障，提供优质服务就无从谈起。 针对ＸＸ数据中心现阶段存在的问题，我们希望通过优化能够满足高密度、高容量、高安全性，并且具有高可靠性、可扩展性的首要目标，然后在此基础上进一步节省成本、节省空间、能够在节能方面做得更好，而且使应用的稳定性更高。 数据中心现有架构： ＸＸ数据中心现有架构如上图所示： 网络接入采用双线路，电信联通各100M带宽，通过两个H3C的U200UTM接入互联网，办公网络共用了服务平台的网络并建立了到五一新干线的VPN连接； 服务器采用3台HP DL380物理服务器并做了虚拟化，将20多台虚拟服务器分布到上面并开启了Fault Tolerance（容错）； 后端采用HP EVA 6350，所有的数据都储存在这一台存储设备内。 数据中心存在的问题及解决方案 一．网络方面 问题1：防火墙承载能力不足 现在采用的防火墙H3C的U200是一款低端的UTM设备，防火墙模式下200M的吞吐率，最大并发连接数为60000个，按照每用户25个连接计算，两台防火墙双线路共能支持5000用户在线，如果考虑未来1万用户在线，设备已无法承受；另外较低的吞吐率也不利于带宽扩展，与主流防火墙1000M以上的吞吐率相去甚远。 问题2：防火墙的防护能力差 现有防火墙的防攻击和反入侵能力较差，只有一些简单的防护功能，无法应付数据中心级别的安全保护要求，例如防DDOS攻击、入侵检测等，一旦遭遇上规模攻击就会导致整个平台瘫痪，另外如果开启了UTM防护模式，最大连接数会降低到16000个，两台防火墙双线路只能支持1200个在线用户。 问题3：平台网络和工作网络混杂 现在数据中心的业务平台网络和工作网络混杂在一起，这对数据安全是一个很大的隐患同时对业务网络稳定性也会产生影响，尤其当出现中毒或者中木马情况时，将会带来不可估量的后果。 解决方案： 增加满足需求的防火墙，考虑到未来发展需要，最大连接数至少达到达到500000，可以同时承载20000用户在线，吞吐率至少达到1000M水平，同时需要有完整的抗攻击和入侵保护系统，以下提供了两个备选型号： 参数\型号Cisco ASA5525-IPS-K9Juniper NS-ISG-1000防火墙性能（最大吞吐量）2 Gbps2Gbps防火墙性能（小包吞吐量）1 Gbps1 GbpsIPS（入侵防护）状态吞吐量600 Mbps1 Gbps当前最大连接数500000500000每秒新建连接数2000020000IPS系统（防入侵、DDOS）有有，可升级入侵检测IDP固定端口8个千兆口4个千兆口扩展插槽1个，可升级6个千兆口2个，可升级8个千兆或2个万兆口价格大约6万元大约7万元优缺点总体性能达到需求，IPS防护状态下性能稍差，可扩展性稍差，需要购买带IPS的版本，默认不带。性能较好，且可以升级入侵检测以及带宽更高的接口，价格相对稍贵。 调整网络结构，隔离平台和工作网络。申请了一条20M的线路，将独立架设路由代理用于工作网络，运营平台独享两条100M线路，保证安全和速度。 二．服务器方面 问题1：服务器都是单点模式 现在平台的所有服务器都是单点模式，只要一个点出现问题将导致整个系统瘫痪，另外单点的性能也不能满足系统需求，会严重影响系统速度和用户体验。 问题2：系统内存和存储容量不足 根据性能测试以及现有情况分析，现有服务器内存和存储已不到一半，考虑到需要做集群负载均衡，系统在近期内将会增加大量的服务器以及数据，现有的资源已经完全不能满足需求，同时还需要考虑一定冗余配置以保证灾难恢复转移。 问题3：UPS停电保护时间不足 现有的UPS配备的电池容量仅仅能够支撑硬件设备运行10分钟，这个时间对于数据中心进行反馈和应变处理不够，很可能造成数据丢失和用户体验的不良影响。 解决方案： 平台各节点必须要多节点负载和冗余，建议采用硬件负载均衡设备如F5，提高容灾能力和性能；现阶段信息安全部将进行系统级Web端负载均衡测试以检验可行性；数据库端的集群由DBA部门进行配置和测试。 增加服务器内存及存储空间，以满足上线需要。根据初步计算，即将增加的服务器和数据量需要的资源包括：3台虚拟机服务器每台增加64G内存，共计192G；增加一个硬盘柜以及12块硬盘，做Raid后达到18T容量。 建议型号及价格如下： 项目内存硬盘柜硬盘（2T）数量每服务器8条，3台服务器共计24条3台36块单价约600元约15000元约2