1、建设先进、高效、稳定、统管、开放式的基础架构平台建设一套完整的安全可靠的网络平台(等保三级)打造7*24小时连续性业务平台,为“百家汇”进驻企业和团队提供良好的IT办公服务建设全业务系统数据共享平台建设功能齐全绿色低能耗机房项目建设目标项目建设目标相关标准相关标准&文档文档GB50174-2008电子信息系统机房设计规范TIA942数据中心通信设施标准信息系统通用安全技术要求GB/T 20271-2006信息系统安全管理要求GB/T 20269-2006关于做好重要信息系统灾难备份工作的通知(信安通200411号文件)中国云科技发展“十二五”专项规划关于数据中心建设布局的指导意见数据中心技术规
2、范建设研究“百家汇百家汇”ITIT基础架构基础架构实用性&节省投资可管理性&整体管理安全性&数据稳定可靠性&业务连续性开放性&升级扩展重点考虑成熟稳定的技术架构并满足未来5年的发展需求考虑系统稳定运行,保证业务连续性工作需要建立灾备中心总设计思路总设计思路网络网络&安全设计方案安全设计方案核心交换光纤电信防火墙防火墙路由器路由器未来其它接入未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区服务区百家汇楼百家汇楼信息中心楼信息中心楼终端管理区管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍宿舍会所会所汇聚交换汇聚交换汇聚交换
3、汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理网络网络&安全架构设计安全架构设计浦口百家汇楼浦口百家汇楼分中心核心交换安全网关安全网关安全网关安全网关病毒 桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换网络网络&安全架构设计方案安全架构设计方案全冗余核心网设计,三个中心组成环形结构核心网,为7*24连续性业务提供基础保障;自上而下网络设计,核心网通过VLAN方式对区域进行划分,各区域设有汇聚交换机和安全网关配合,若发生故障也控制在区域范围内;分级管理安全设计,在核心网络采用了多种全网扫描的安全技术(防火墙、IPS、IDS、漏扫、
4、审计、防病毒等)并结合核心交换VLAN技术,为一级保护;在各服务区域采用WEB防护、上网行为、堡垒主机、桌面管理系统安全保护措施,为二级保护;各分支楼舍采用安全网关保护,为三级保护;出差人员、第三方用户通过VPN方式接入,为四级保护;部署了运维管理系统,对全网软硬件设备及机房设备统一实时监控,管理人员第一时间了解到整个系统运行情况;把会所和宿舍网络从集团网剥离,改为“百家汇”项目电信出口。核心交换光纤电信防火墙防火墙路由器路由器未来其它接入未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区服务区百家汇楼百家汇楼信息中心楼信息中心楼终端管理区管理区漏扫系统入侵检测入侵防
5、护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍宿舍会所会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理核心网络设计核心网络设计浦口百家汇楼浦口百家汇楼分中心核心交换安全网关安全网关安全网关病毒 桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换核心网络:核心网络:核心网络整体以星型结构提供服务集团总部采用两台高端交换机形成全冗余架构主核心网分别与园区百家汇楼、浦口分中心核心交换机形成大环形结构各个区域统一规划VLAN整体网络设备统一监管 安全网关核心交换光纤电信防火墙防火墙路由器路由器未
6、来其它接入未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区服务区百家汇楼百家汇楼信息中心楼信息中心楼终端管理区管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍宿舍会所会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理百家汇楼网络设计百家汇楼网络设计浦口百家汇楼浦口百家汇楼分中心核心交换安全网关安全网关安全网关病毒 桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换安全网关百家汇:百家汇:每幢楼放置汇聚交换机,分别与分中心核心网通过光纤直
7、连每幢楼的楼层放置接入交换机确保千兆带宽到桌面核心交换光纤电信防火墙防火墙路由器路由器未来其它接入未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区服务区百家汇楼百家汇楼信息中心楼信息中心楼终端管理区管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍宿舍会所会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理会所会所&宿舍网络设计宿舍网络设计汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换浦口百家汇楼浦口百家汇楼分中心核心交换安全网关安全网关安全网关安全网关
8、病毒 桌面会所会所&宿舍:宿舍:会所&宿舍网,从原来的网络中剥离,把出口调整到百家汇电信出口会所&宿舍网,分别与核心交换通过光纤相连,千兆带宽到桌面针对会所原有AP增加AC通过DHCP方式进行控制核心交换光纤电信防火墙防火墙路由器路由器未来其它接入未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区服务区百家汇楼百家汇楼信息中心楼信息中心楼终端管理区管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍宿舍会所会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理浦口百家汇楼网络设
9、计浦口百家汇楼网络设计浦口百家汇楼浦口百家汇楼分中心核心交换安全网关安全网关安全网关病毒 桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换安全网关浦口百家汇楼:浦口百家汇楼:将浦口百家汇建设成网络分中心与主中心形成冗余架构每幢楼放置汇聚交换机,每幢楼的楼层放置接入交换机千兆带宽到桌面核心交换光纤电信防火墙防火墙路由器路由器未来其它接入未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区服务区百家汇楼百家汇楼信息中心楼信息中心楼终端管理区管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍宿舍会所
10、会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理安全设计安全设计浦口百家汇楼浦口百家汇楼分中心核心交换安全网关安全网关安全网关病毒 桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换安全网关安全设计:安全设计:统一规划,分级管理核心网部署两台防火墙和各种安全保护及防范系统各分支区域通过安全网关与核心网连接外部用户通过VPN方式接入公用服务区,部署防篡改安全保护系统运维管理区,部署运维监管系统、防病毒软件及桌面安全管理系统服务器服务器&存储设计方案存储设计方案服务器服务器&存储架构设计存储架构设计I IP P
11、网络网络WEBDNS论谈论谈前置机前置机对外服务区对外服务区业务区业务区OA邮件邮件域控域控FTP应用应用A应用应用B数据库数据库A数据库数据库B虚拟化虚拟化节点节点计算区计算区节点节点节点节点节点节点杀毒杀毒网监网监备份备份桌面管理桌面管理管理区管理区虚拟化桌面虚拟化桌面存储交换区存储交换区NASSAN ASAN BInfiniband数据存储数据存储虚拟带库虚拟带库计算存储计算存储存储区存储区SAN CDP物理距离物理距离3030公里公里容灾中心容灾中心存储间复制存储间复制浦口浦口服务器服务器&存储架构设计方案存储架构设计方案服务器虚拟化云架构平台,为后期业务系统或入驻企业不断扩展提供便利
12、,平台冗余性、可靠性、安全性得到保障;SAN交换机采用16GB高速I/O接口模块,infiniband交换机采用20GB高速I/O接口模块;部署统一存储平台,所有业务数据库、虚拟化数据和非结构化数据集中存储,并根据前端业务访问数据热度,自动调整数据I/O;考虑到药品研究过程需要推演,单独部署一套浮点运算高性能计算系统,运算存储系统采用infiniband接口存储与业务数据存储分离,把运算过程数据和结果数据存一份到业务数据存储上,作为备份;分级数据保护:业务数据存储快照(为一级保护);CDP保护,实现0-48小时任意时间点恢复(为二级保护);实现全业务在集中备份(为三级保护);远程数据级容灾(为
13、四级保护);I IP P网络网络WEBDNS论谈论谈前置机前置机对外服务区对外服务区业务区业务区OA邮件邮件域控域控FTP应用应用A应用应用B数据库数据库A数据库数据库B虚拟化虚拟化节点节点计算区计算区节点节点节点节点节点节点杀毒杀毒网监网监备份备份桌面管理桌面管理管理区管理区虚拟化桌面虚拟化桌面存储交换区存储交换区NASSAN ASAN BInfiniband数据存储数据存储虚拟带库虚拟带库计算存储计算存储存储区存储区SAN CDP容灾中心容灾中心存储间复制存储间复制浦口浦口服务器架构设计服务器架构设计服务器设计:服务器设计:统一规划,共享平台IAAS云架构,扩展性强确保所有业务系统冗余保障
14、根据功能,划分同区域,安全保障构建一套基于 Infiniband的高速浮点运算高性能计算中心物理距离物理距离3030公里公里I IP P网络网络WEBDNS论谈论谈前置机前置机对外服务区对外服务区业务区业务区OA邮件邮件域控域控FTP应用应用A应用应用B数据库数据库A数据库数据库B虚拟化虚拟化节点节点计算区计算区节点节点节点节点节点节点杀毒杀毒网监网监备份备份桌面管理桌面管理管理区管理区虚拟化桌面虚拟化桌面存储交换区存储交换区NASSAN ASAN BInfiniband数据存储数据存储虚拟带库虚拟带库计算存储计算存储存储区存储区SAN CDP容灾中心容灾中心存储间复制存储间复制浦口浦口存储交
15、换区设计存储交换区设计存储交换区设计:存储交换区设计:集中部署存储交换机业务区采用SAN交换机连接高性能计算采用infiniband交换机连接物理距离物理距离3030公里公里I IP P网络网络WEBDNS论谈论谈前置机前置机对外服务区对外服务区业务区业务区OA邮件邮件域控域控FTP应用应用A应用应用B数据库数据库A数据库数据库B虚拟化虚拟化节点节点计算区计算区节点节点节点节点节点节点杀毒杀毒网监网监备份备份桌面管理桌面管理管理区管理区虚拟化桌面虚拟化桌面存储交换区存储交换区NASSAN ASAN BInfiniband数据存储数据存储虚拟带库虚拟带库计算存储计算存储存储区存储区SAN CDP
16、容灾中心容灾中心存储间复制存储间复制浦口浦口存储区设计存储区设计存储区设计:存储区设计:集中部署统一数据存储,存放业务数据(包括系统和虚拟化数据),并配置本地快照考虑到非结构化数据,采用NAS机头硬保本地数据快速恢复,采用CDP技术,保证0-48小时任意点恢复部署虚拟带库,采用sever-free方式,建立集中备份系统部署infiniband 接口存储,供计算节点存放数据。物理距离物理距离3030公里公里I IP P网络网络WEBDNS论谈论谈前置机前置机对外服务区对外服务区业务区业务区OA邮件邮件域控域控FTP应用应用A应用应用B数据库数据库A数据库数据库B虚拟化虚拟化节点节点计算区计算区节
17、点节点节点节点节点节点杀毒杀毒网监网监备份备份桌面管理桌面管理管理区管理区虚拟化桌面虚拟化桌面存储交换区存储交换区NASSAN ASAN BInfiniband数据存储数据存储虚拟带库虚拟带库计算存储计算存储存储区存储区SAN CDP容灾中心容灾中心存储间复制存储间复制浦口浦口容灾中心设计容灾中心设计物理距离物理距离3030公里公里容灾中心设计:容灾中心设计:在浦口部署一台光纤存储,通过存储底层进行数据复制生产中心和容灾中心之前可以通过光纤或ISCSI方式连接机房设计方案机房设计方案 机房所处楼层不能太高,主要基于以下因素考虑:低楼层为机房设备运输提供便利供电线路距离更短运营商线路接入方便;机
18、房环境条件更安全。根据B级机房要求在应在300400平方米,应有:综合网机房、金融网机房、网络通信机房、开发测试机房、操作监控室、备件库、设备维修间、UPS电源室、空调机房、消防设施用房等 机房区域(尤其是核心机房区域)应远离水源,在土建规划时应特别注意,大楼的消防用水、生活用水等水管应避免进入机房区域。为保证机房的整体效果,机房建议净空高度为3米以上。因此土建层高建议达到4.8米以上,梁下高度4.0米以上,以满足活动地板铺设、吊顶板安装、通风、消防管道安装等要求。机房建设选址要求机房建设选址要求机房建设设计机房建设设计市电三相配电系统市电三相配电系统UPSUPS市电市电主设备主设备辅助应急辅
19、助应急动力用电动力用电辅助用电辅助用电计算机主机计算机主机外设外设终端终端 门禁门禁应急照明应急照明应急插座应急插座空调系统空调系统消防系统消防系统感性办公设备感性办公设备辅助插座辅助插座维修插座维修插座网络网络 运行保障系统运行保障系统配电系统设计配电系统设计 结合本项目设备及空调设施供电需求,机房供配电系统设计构想如下:结合本项目设备及空调设施供电需求,机房供配电系统设计构想如下:设备供电电源均为三相五线制及单相三线制,建议采用双回路供电用电设备做接地保护,并入土建大楼配电系统用电设备、配电线路装置过流过截两段保护,配电以放射式向用电设备供电设备供电和照明供电分为两个独立回路,设备由UPS
20、提供并按设备总用电量的1.3倍进行预留,照明由市电提供并按空调设备的要求供配配电系统与应急照明系统自动切换设机房专用标准配电柜,配备低压开关,柜内配有市电备用回路,安装防雷保护系统采用“UPS”、两路市电、柴油发电机组、来保证机房整体供电配电系统设计配电系统设计 计算机系统是高精密的电子设备,对机房环境有严格的要求,其中最重要的是温度、温度和洁净度。采用下送风,上回风方式制冷主机房温度要求通常为2023,相对湿度要求为45%65%,主机房温、湿度的变化不可过于剧烈,温、湿度的变化应小于+/-3/h,不凝露。机房区采用恒温恒湿机房专用精密空调。洁净度:静态测试,微机机房内洁净度为30万级50万级
21、,机房内的空气含气尘浓度,每升空气中大于或等于0.5uM尘粒数少于1800粒/3。空调系统设计空调系统设计独立系统独立系统直流工作地直流工作地交流工作地交流工作地等电位连接等电位连接安全保护地安全保护地4.在绝缘被击穿时保护人身和设备的安全,在绝缘未被击穿时也有保护人身安全的作用5.机房静电地板下用30mm3mm紫铜带沿四周敷设等电位连接网络,该网络与接地装置连接1.机房接地配备独立的系统2.计算机直流工作接地电阻的大小、接法以衣诸地之间的关系,应依不同计算机系统要求而定3.确保人身安全的保障设备的安全接地系统接地系统 无管网(柜式)七氟丙烷气体灭火系统,是轻便可移动式自动探测火灾、自动报警、
22、自动灭火的现代化消防设备,其灭火效能高,灭火速度快、毒性低、对设备无污损,灭火装置性能优良,其控制部分可与消防控制中心相衔接。机房消防系统机房消防系统 综合布线系统是一个用于传输语音、数据、影像和其它信息的标准结构化布线系统。是建筑物或建筑群内的传输网络,它使语音和数据通信设备、交换设备和其它信息管理系统彼此相连接。综合布线的物理结构一般采用模块化设计和分层星形拓扑结构。根据本项目机房综合布线要求采用六类非屏蔽和超五类非屏蔽布线系统,采用地板下或上走线槽敷设双绞线的方式。机房综合布线机房综合布线机房环境监控系统机房环境监控系统1、配电监测2、UPS监测3、精密空调监测4、温湿度监测5、漏水检测6、门禁监测7、视频监控