數(shù)據(jù)中心是實(shí)現(xiàn)數(shù)據(jù)資源共享、集中交換和綜合服務(wù)的重要基礎(chǔ)設(shè)施,是發(fā)揮業(yè)務(wù)應(yīng)用效益和提高信息化整體水平的重要保障。
依據(jù)我國(guó) “十二五”規(guī)劃,按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、急用先行”的原則,搭建起數(shù)據(jù)中心基礎(chǔ)框架和開(kāi)發(fā)平臺(tái)。實(shí)現(xiàn)數(shù)據(jù)中心、聯(lián)網(wǎng)應(yīng)用、資源監(jiān)控能力建設(shè)的統(tǒng)一布局與整合,實(shí)現(xiàn)以云計(jì)算概念為指導(dǎo),運(yùn)用數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)存儲(chǔ)、數(shù)據(jù)備份等技術(shù),采用整合、新建等方式,初步形成數(shù)據(jù)中心管理體系,實(shí)現(xiàn)數(shù)據(jù)中心和重點(diǎn)數(shù)據(jù)庫(kù)的統(tǒng)一匯集存儲(chǔ)與交換共享,實(shí)現(xiàn)上下級(jí)之間數(shù)據(jù)交換以及各部門(mén)的互聯(lián)互通。
數(shù)據(jù)中心分區(qū):構(gòu)建數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時(shí),應(yīng)采用一種模塊化的設(shè)計(jì)方法,將數(shù)據(jù)中心劃分為不同的功能區(qū)域,用于部署不同的應(yīng)用,使得整個(gè)數(shù)據(jù)中心的架構(gòu)具備可伸縮性、靈活性、和高可用性。對(duì)于區(qū)域而言,我們可以從各個(gè)區(qū)域的功能來(lái)預(yù)知這個(gè)區(qū)域?qū)蓴U(kuò)展性等的要求。
分步建設(shè):在項(xiàng)目建設(shè)的初期,數(shù)據(jù)中心網(wǎng)絡(luò)的核心設(shè)備考慮未來(lái)5—8年的發(fā)展規(guī)模,并根據(jù)業(yè)務(wù)的分類(lèi)設(shè)計(jì)多個(gè)匯聚,在核心和匯聚層預(yù)留較大的擴(kuò)展能力。在接入層則按照當(dāng)前的業(yè)務(wù)規(guī)模來(lái)部署,未來(lái)的擴(kuò)展時(shí),只增加接入層設(shè)備,保證數(shù)據(jù)中心的平滑擴(kuò)展,不影響業(yè)務(wù)的正常運(yùn)行。
需要建立數(shù)據(jù)中心的IP網(wǎng)絡(luò),按業(yè)務(wù)功能和安全需要分為不同的網(wǎng)絡(luò)區(qū)域,各個(gè)網(wǎng)絡(luò)區(qū)域有相對(duì)獨(dú)立的網(wǎng)絡(luò)設(shè)備(如交換機(jī)、防火墻等)連接相應(yīng)的主機(jī)、服務(wù)器、專(zhuān)用機(jī)等設(shè)備,每個(gè)網(wǎng)絡(luò)區(qū)域的匯聚交換機(jī)再連接到IP網(wǎng)的核心交換機(jī)上;每個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)部可以根據(jù)需要再邏輯劃分為不同的區(qū)域。
對(duì)于數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)而言,可以將網(wǎng)絡(luò)按照經(jīng)典的三層結(jié)構(gòu)(核心層、匯聚層、接入層)進(jìn)行部署。通過(guò)分層部署可以使網(wǎng)絡(luò)具有很好的擴(kuò)展性(無(wú)需干擾其它區(qū)域就能根據(jù)需要增加容量),可以提升網(wǎng)絡(luò)的可用性(隔離故障域降低故障對(duì)網(wǎng)絡(luò)的影響),可以簡(jiǎn)化網(wǎng)絡(luò)的管理(拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)更清晰)。
核心交換區(qū)部署2臺(tái)高端交換機(jī),采用10GE/GE與各分區(qū)設(shè)備互聯(lián),核心交換機(jī)上不部署安全策略,不作為終端/服務(wù)器的網(wǎng)關(guān),只負(fù)責(zé)各區(qū)域的三層轉(zhuǎn)發(fā)。通過(guò)配置防火墻,將數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)劃分為7個(gè)安全域,分別是網(wǎng)絡(luò)管理安全域、數(shù)據(jù)存儲(chǔ)安全域、業(yè)務(wù)應(yīng)用安全域、公共服務(wù)安全域、身份認(rèn)證安全域、互聯(lián)接入安全域和保留設(shè)備安全域7個(gè)安全域,通過(guò)配置訪問(wèn)控制策略,禁止非授權(quán)訪問(wèn)。
引擎冗余:核心交換機(jī)配置冗余引擎,并采用路由控制引擎和交換引擎物理分離的設(shè)計(jì),在路由控制或交換引擎切換時(shí),實(shí)現(xiàn)數(shù)據(jù)零丟失。
電源冗余:核心交換機(jī)、匯聚交換機(jī)、路由器都配置了雙電源模塊,每塊電源分別使用機(jī)房的雙路供電。同一機(jī)箱內(nèi)的三塊電源工作在冗余模式。
模塊和端口的冗余和分布:廣域網(wǎng)MSTP鏈路與路由器連接采用跨板卡的鏈路聚合技術(shù),保證連接鏈路分布在不同的板卡上,避免單點(diǎn)故障。
關(guān)鍵鏈路,如核心交換機(jī)之間、數(shù)據(jù)中心之間均采用2條鏈路。
數(shù)據(jù)中心的核心虛擬化不僅使多臺(tái)物理設(shè)備簡(jiǎn)化成一臺(tái)邏輯設(shè)備,同時(shí)網(wǎng)絡(luò)各層之間的多條鏈路連接也將變成兩臺(tái)邏輯設(shè)備之間的直連,因此可以采用鏈路捆綁的方式,將多條物理鏈路進(jìn)行跨設(shè)備的鏈路聚合,從而變成了一條邏輯鏈路,增加帶寬的同時(shí)也提高了可靠性,并使得數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)中需要的設(shè)備三層接口數(shù)大大減少;兩層網(wǎng)絡(luò)之間由一般的4個(gè)三層接口互聯(lián),變成一對(duì)三層接口互聯(lián),使得路由設(shè)計(jì)極大簡(jiǎn)化。
網(wǎng)絡(luò)物理鏈路的冗余設(shè)計(jì)為路由協(xié)議選擇備份連接提供了基礎(chǔ)。當(dāng)設(shè)備或連接因故障中斷時(shí),路由協(xié)議會(huì)自動(dòng)重新計(jì)算網(wǎng)絡(luò)路徑,并使用正常的連接保障數(shù)據(jù)通訊。
數(shù)據(jù)中心信息安全體系建設(shè)的目標(biāo)是通過(guò)建立完善的信息安全管理制度和智能、深度的安全防御的技術(shù)解決方案,構(gòu)建一個(gè)管理手段與技術(shù)手段相結(jié)合的全方位、多層次、可動(dòng)態(tài)發(fā)展的縱深安全防范體系,來(lái)實(shí)現(xiàn)信息系統(tǒng)的可靠性、保密性、完整性、有效性、不可否認(rèn)性,為業(yè)務(wù)的發(fā)展提供一個(gè)堅(jiān)實(shí)的信息系統(tǒng)基礎(chǔ)。
防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)安全策略控制出入數(shù)據(jù)中心網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器、限制器和分析器,可以有效的監(jiān)控?cái)?shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)不同安全網(wǎng)絡(luò)之間的任何活動(dòng)。防火墻在網(wǎng)絡(luò)間實(shí)現(xiàn)訪問(wèn)控制,數(shù)據(jù)中心內(nèi)部或服務(wù)器區(qū)內(nèi)部可以稱(chēng)之為“被信任應(yīng)受保護(hù)的網(wǎng)絡(luò)”,另外一個(gè)是其它的非安全網(wǎng)絡(luò)稱(chēng)為‘某個(gè)不被信任并且不需要保護(hù)的網(wǎng)絡(luò)’比如,Internet出口。防火墻就位于網(wǎng)絡(luò)和一個(gè)不受信任的網(wǎng)絡(luò)之間,通過(guò)一系列的安全手段來(lái)保護(hù)受本地網(wǎng)絡(luò)系統(tǒng)信任網(wǎng)絡(luò)上的信息。
在數(shù)據(jù)中心防火墻的部署中,主要包括網(wǎng)絡(luò)邊界的網(wǎng)絡(luò)隔離和數(shù)據(jù)中心內(nèi)部分區(qū)之間的網(wǎng)絡(luò)隔離,其中互聯(lián)網(wǎng)、業(yè)務(wù)外聯(lián)區(qū)屬于邊界的訪問(wèn)控制和隔離,部署單獨(dú)的盒式防火墻;在業(yè)務(wù)分區(qū)的匯聚交換機(jī)上部署防火墻模塊,利用虛擬防火墻技術(shù),提供分區(qū)之間以及分區(qū)內(nèi)部不同服務(wù)器之間的訪問(wèn)控制和網(wǎng)絡(luò)隔離。
采用經(jīng)典的分區(qū)分域防護(hù)理論,重構(gòu)數(shù)據(jù)中心的安全架構(gòu),除了在南北向?qū)崿F(xiàn)了大流量的縱深防御外,還實(shí)現(xiàn)了區(qū)域間和云環(huán)境的安全防護(hù)。
采用高性能、高冗余的安全防護(hù)設(shè)備,消除了網(wǎng)絡(luò)中的環(huán)路,同時(shí)實(shí)現(xiàn)了網(wǎng)絡(luò)功能虛擬化,將內(nèi)部安全訪問(wèn)節(jié)點(diǎn)數(shù)量降至最低,極大減小了數(shù)據(jù)中心當(dāng)中的故障節(jié)點(diǎn)。
