2010年IDC系统建设工程可研汇报--青海移动

中国移动青海公司城东第二生产楼 IDC系统建设工程可研 中国移动通信集团设计院有限公司 2010年 4月 中国移动青海公司城东第二生产楼 IDC系统建设方案 1 内容提要 5.投资估算 3.建设方案及规模 2.工程现状 1. 概述 4.问题说明 中国移动青海公司城东第二生产楼 IDC系统建设方案 2 建设目标 建设内容 依托中国移动的产业链优势 ，以创新为动力 ， 加强合作 ， 整合资源 ， 实现 IDC的规模化 、 专业化和集约化发展 ， 为中国移动全业务运营环境下的竞争提供基础支撑和资源保障 。 （ 1） 提高本网用户的访问速度和质量； （ 2） 为集团客户业务发展创造良好条件； （ 3） 促进互联网网间互联的健康发展； （ 4） 加强对互联网内容资源的掌控 ， 推动业务发展 。 根据集团及青海公司相关要求 ， 本次城东第二生产楼 IDC系统机房的建设内容主要包括机房平面规划 、 网络平台系统 、综合配线系统 、 安全平台 、 服务器及存储系统 、 制冷系统 、供电系统 、 防雷接地系统 、 安防系统 、 节能减排等 。 1.概述 本 工 程 概 况 中国移动青海公司城东第二生产楼 IDC系统建设方案 3 内容提要 5.投资估算 3.建设方案及规模 2. 工程现状 1. 概述 4.工程需求 中国移动青海公司城东第二生产楼 IDC系统建设方案 4 2.工程现状 青海目前没有专用 IDC系统机房，在全业务市场竞争条件下，需按集团要求建设 IDC机房配合业务的发展。 青海移动城东第二生产楼是电信专用设备机房大楼，主要作为青海公司各业务网、传输网、数据网及支撑网核心机房。 IDC机房位于第二生产楼二层，总面积 380平方米，大楼前期建设已完成机房走线架敷设及机柜位置规划。 2009年年底对该机房进行了防静电地板铺设。大楼一级电源已完成建设。 机房环境要求如下： 温度： 22 2 （夏季）、 20 2 （冬季） 湿度： 55% 10% 湿度变化率： 5%不凝露 尘埃：粒径 0.5 m个数 18000 中国移动青海公司城东第二生产楼 IDC系统建设方案 5 内容提要 5.投资估算 3.建设方案及规模 2. 工程现状 1. 概述 4.问题说明 中国移动青海公司城东第二生产楼 IDC系统建设方案 利用相应的机房设施，以外包出租的方式为用户的服务器等因特网或其他网络的相关设备提供放置、代理维护、系统配置及管理服务，以及提供数据库系统或服务器等设备的出租及其存储空间的出租、通信线路和出口带宽的代理租用和其它应用服务。因特网数据中心业务经营者必须提供机房和相应的配套设施，并提供安全保障措。 2 0 0 3 年 电信业务分类目录 IDC 定义 第一代 ：提供场地、电源、带宽等基础托管服务 第二代 ：在托管服务基础上提供各类安全、代维等增值服务 第三代 ：以客户为中心、服务为导向，在 IDC 高性能基础架构上，提供各类咨询、业务外包等随需应变的融合服务第一代 ：提供场地、电源、带宽等基础托管服务第二代 ：在托管服务基础上提供各类安全、代维等增值服务第三代 ：以客户为中心、服务为导向，在 高性能基础架构上，提供各类咨询、业务外包等随需应变的融合服务 解决了企业带宽、电源、环境等问题 高能耗、低效率 不能满足电子商务蓬勃发展时代的客户需求 比第一阶段有所进步 提供了客户需要的增值业务 尚不能满足企业需要的服务外包等融合业务 目前国际 I D C 行业已全面进入第三阶段，从传统数据中心演变成了客户 IT 服务中心，从资源保障层面上升到了业务应用层面发展历程注： 国内 IDC 提供商目前基本处于第二代初级阶段总体思路 0 3. 建设方案 青海移动 IDC目前尚难以建设第三代 IDC，但可结合通信、 IT技术的最新发展，建设比较先进的第二代 IDC，并为成为第三代 IDC夯实基础、积累经验。 中国移动青海公司城东第二生产楼 IDC系统建设方案 IDC建设思路 数据中心建设应该根据目前 IT基础设施的需求以及未来 IT发展规划而设计，它集中目前的基础设施如机房、服务器、网络设备、存储和备份设备等，形成资源的统一管理和分配，将来各个系统在进入这个数据中心基础设施的时候，仅需向这个统一的基础设施（ IDC）提出各自对于基础架构的要求，包括： 计算能力及性能的需求 存储的需求 服务器容量的需求 灾备的需求 安全的需求 业务量的需求 对于 网络容量的需求和网络接入的需求等 然后由 IDC根据各个业务 系统的需求，分配适当的基础设施资源并提供统一的运维管理服务支持。 中国移动青海公司城东第二生产楼 IDC系统建设方案 云计算 新一代 IDC的发展需求 云计算技术的特性 拓展新业务 提升服务水平 实时掌握资源分配情况，实现资源的有效利用 资源快速部属，缩短用户需求的响应时间 管理标准化、自动化，避免人为错误，提高管理效率 提供按用量计费方式，满足各类用户需要 完全开放的硬件平台，兼容不同厂家的产品 云计算管理平台同时管理各种硬件设备和软件的管理平台 上层应用与基础架构无关，适合运行各类应用：数据库、 SAP、CRM、 Web应用等 降低 IDC的总体拥有成本 采用虚拟化技术提供资源利用率，节省投资 虚拟化技术与绿色科技有机结合，降低能耗，节省维护成本 采用云存储，达到接近于零的边际管理成本 管理自动化，节省管理成本 云计算恰好符合 IDC的发展趋势，而目前比较成熟的云计算应用就是虚拟化。本期青海IDC工程应考虑引入，为将来成为第三代 IDC打下资源基础。 中国移动青海公司城东第二生产楼 IDC系统建设方案 9 本工程采用层次化设计理念，将整个 IDC系统分为四层逻辑结构：互联网接入层、汇聚层、业务接入层、运营管理层 。 网络建设方案 1 3. 建设方案 中国移动青海公司城东第二生产楼 IDC系统建设方案 互联网接入层介绍 互联网接入层负责实现数据中心与 CMNET的互联，保证 IDC内部网络高速访问互联网，并负责汇聚网络内的汇聚层交换机，对 IDC内网和外网的路由信息进行转换和维护。 中国移动青海公司城东第二生产楼 IDC系统建设方案 汇聚层介绍 汇聚层是数据中心可靠运营的关键，向下负责汇聚多个业务区的业务接入层交换机，向上与核心路由器进行互联。汇聚层主要为数据中心内部网络提供高速交换服务。部分安全设备（如防火墙、负载均衡器、 IDS、审计系统等）部署在该层，为 IDC客户提供差异化服务和网络安全保障。部分大客户或重点业务可直接接入汇聚层交换机。 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务接入层介绍 业务接入层由接入交换机和各业务系统的服务器、存储等设备组成，主要负责实现各业务区内部设备的接入。 中国移动青海公司城东第二生产楼 IDC系统建设方案 互联网接入层、汇聚层建设方案 在互联网接入层新增 2台高性能路由器，以冗余备份或负载分担的方式进行工作。路由器向上通过 10GE链路连接到青海公司 CMNET省网骨干节点 NE5000E，向下通过 10GE链路连接数据中心的汇聚设备。 2台路由器之间采用 2*2.5G或2*GE多链路互联。 在汇聚层新增 2台高端交换机，以冗余备份或负载分担的方式进行工作。汇聚交换机向上通过 10GE链路连接到互联网接入层核心路由器，向下通过 GE链路连接业务接入层接入交换机。 2台交换机之间采用 2*GE多链路互联。 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务接入层建设方案 (1) 业务接入层有两种建设方案： 方案一 本方案采用机架式服务器向用户提供 IDC业务。在各业务区每列网络机柜各新增 2台中高端交换机，向上通过 GE链路连接到汇聚交换机，向下通过 FE链路连接各业务系统服务器。 方案二 本方案采用刀片式服务器 (结合虚拟化 )向用户提供 IDC业务，刀片式服务器通过集成的交换板卡直接连接至汇聚层交换机。 此外，为满足用户设备托管业务的需要，可在非标区网络机柜中新增 2台中高端交换机，作为非标区设备的业务接入交换机。 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务接入层建设方案 (2) 本可研推荐采用方案二。以下各部分建设内容均以此为基础，即根据采用刀片式服务器的要求来制定方案。 方案一 方案二 优点 网络层次 比较 清晰 ， 对 汇聚层 设备 要求相对较低 各功能区均采用刀 片式服务器， 设备数量 大大减少 ， 精简了网络层次， 节省投资，减低系统能耗，设备利用率有所提高 缺点 设备数量 多，投资与能耗较大，设备利用率相对较低。 网络层次 比较 不明显，对 汇聚层 设备性能要求更高。 中国移动青海公司城东第二生产楼 IDC系统建设方案 运营管理层介绍 (1) 运营管理层提供网络管理、资源管理、业务管理、运营管理等 IDC管理功能，向 IDC的运营维护人员和客户提供设备管理、系统维护、远程接入等服务。 中国移动青海公司城东第二生产楼 IDC系统建设方案 运营管理层介绍 (2) 客户工作区 客户工作区是 IDC客户维护其服务器的工作区域。客户工作区提供本地终端坐席，客户在该区对自有服务器进行维护。使用防火墙作为本地终端安全隔离设备和 VPN远程接入设备。考虑到机房实际情况，建议将该区域放置在其他地点。 综合接入区 在管理网络可建立统一的专线接入接口，实现 IDC服务器与集团客户等专线接入用户互联要求，应具有良好的扩展性，确保网络安全。综合接入区应部署防火墙实现 IDC服务器与专线网络之间的安全隔离，两台防火墙之间宜采用双机热备。 运营管理平台 运营管理平台负责省内 IDC节点管理和运营。维护操作可通过运营管理平台来实现，通过防火墙访问业务功能区。运营管理平台应具备资源管理、业务管理和运营管理的相关功能。 运营管理层网络应独立建网，与 IDC业务网络保持物理隔离，以减少相互影响 。 中国移动青海公司城东第二生产楼 IDC系统建设方案 运营管理层建设方案 IDC运营管理层网络设备包括接入交换机和汇聚交换机。 本期工程新增 2台中高端交换机，作为运营管理层汇聚交换机。 业务区新增的刀片式服务器，通过刀片式服务器集成的管理接口直接连接至汇聚层交换机。 考虑到对非标区用户自有设备的管理，应在非标区网络机柜新增 2台中端交换机，作为非标区设备的管理接入交换机。接入交换机上连至管理汇聚交换机。 中国移动青海公司城东第二生产楼 IDC系统建设方案 网络建设方案新增设备汇总 序号 网络层次 设备名称 数量 1 互联网接入层 高端路由器 / 交换机 2 2 汇聚层 高端交换机 6 3 业务接入层 中 高 端交换机 2 4 汇聚 交换机 2 5 运营管理层 接入 交换机 ( 非标区 ) 2 中国移动青海公司城东第二生产楼 IDC系统建设方案 20 3. 建设方案 机房平面建设方案 2 根据机房前期规划，本机房共规划有 10列、每列 15个、共 150个机位。在前期配套传输工程中，在 A列安装了半列传输设备。根据业务量预测及集团规范对 IDC机房功能区划分的要求， IDC机房应划分为如下几个区域 ： 功能区域一 功能区域一通过普通接入（不需要经过防火墙）连接到 CMNet网络。该区域用于开展 IDC主机托管、带宽租赁、主机租赁等基础业务。 功能区域二 功能区域二通过防火墙、 IDS等安全设备连接到 CMNET网络。该区域除了提供功能区域一的业务外，还用于开展防火墙出租、服务器监控、存储出租等增值业务。 功能区域三 功能区域三通过防火墙、 IDS等安全设备连接到 CMNET网络，并提供专线接入服务，实现与集团客户内部网络的互连。功能区域三除了提供功能区域二的业务外，还用于开展集团专线接入业务。 其他区域 此外，为满足业务开通需要，还应在 IDC机房设置网络区、非标准机柜安装区、存储区、配电区等区域。 中国移动青海公司城东第二生产楼 IDC系统建设方案 平面规划方案一 本方案对机房进行区域划分如下： (1)A列剩余 7个机位作为配电区，为整个机房提供所需电源。 (2)B列、 C列作为功能区域一， D列、 E列作为功能区域二， H列、 I列作为功能区域三。 J列作为非标设备区。 (3)F列作为网络区， G列作为存储区。 本期工程在 F列新增 14个设备机柜 (2200*600*1000)，用于安装网络、安全、业务加速等设备，这是整个 IDC机房的核心区域。 本期工程可在 J列新增 1个网络机柜 (2200*600*1000)，用于安装非标区业务和管理接入交换机。该机柜内部需安装 2套电源模块，以满足设备双电源引电的要求。 本期工程新增的刀片式服务器机架按照不同的目标用户分配给各功能区域，为该区域业务提供支持。 由于本机房安装有 300mm高防静电地板，因此本期新增机柜 (包括设备机柜及电源屏 )皆需配备 300mm高抗震底座。 中国移动青海公司城东第二生产楼 IDC系统建设方案 22 平面规划方案一 (1) 中国移动青海公司城东第二生产楼 IDC系统建设方案 平面规划方案二 (2) 本方案对机房进行区域划分如下： (1)A列剩余 7个机位作为预留区， B列作为配电区，为整个机房供电。 (2)C列至 E列作为存储区， G列至 I列作为服务器区， J列作为非标设备区。 (3)F列作为网络区。 本期工程在 F列新增 14个设备机柜 (2200*600*1000)，用于安装网络、安全、业务加速等设备，这是整个 IDC机房的核心区域。 本期工程可在 J列新增 1个网络机柜 (2200*600*1000)，用于安装非标区业务和管理接入交换机。该机柜内部需安装 2套电源模块，以满足设备双电源引电的要求。 本期工程新增的刀片式服务器集中放置在 G列，通过虚拟化、运营网管等方式将其智能分配给各种业务。 本期工程新增的存储设备集中放置在 E列。 由于本机房安装有 300mm高防静电地板，因此本期新增机柜 (包括设备机柜及电源屏 )皆需配备 300mm高抗震底座。 中国移动青海公司城东第二生产楼 IDC系统建设方案 平面规划方案二 中国移动青海公司城东第二生产楼 IDC系统建设方案 平面规划方案对比 方案一将新增刀片式服务器安装在不同的功能区域，安装位置比较分散，且各种业务类型之间不宜通用。不利于实现服务器资源的虚拟化和共享，服务器利用率相对较低。 方案二将所有刀片式服务器放置在同一区域，便于对其进行虚拟化，各种业务均可通过虚拟化方式共享所有服务器资源，服务器资源利用率更高。 综合考虑上述情况，本可研推荐采用方案二。 中国移动青海公司城东第二生产楼 IDC系统建设方案 IDC机房机房应根据功能要求划分成若干布线区域，包括网络接入间（区）、主配线区域、水平配线区域、区域配线区域和设备配线区域等，配线区域内信息点的数量应根据需求进行配置。 综合布线建设方案 3 3. 建设方案 中国移动青海公司城东第二生产楼 IDC系统建设方案 综合布线方案 本方案在非标区每个新增设备机柜中新增 24口三层低端交换机 1台，通过 GE双链路上行接入网络机柜的接入层交换机，用于连接机柜内的服务器设备。若设备需双平面上行，可将两条链路分别接入相邻机柜的交换机。 在非标区每个新增设备机柜中新增管理交换机 1台，用于接入运营管理层交换机。 因本期工程非标区暂不新增设备机柜，因此不必在本期工程进行 EDA至 HAD的综合布线。 因刀片式服务器集成有交换板卡，可直接上连至汇聚交换机，因此不需要单独进行综合布线建设。 综上所述，本期工程可以暂不进行综合布线建设。 中国移动青海公司城东第二生产楼 IDC系统建设方案 本期工程主要在 IDC出口部署流量清洗系统用于对 IDC流量的分析和 DDoS攻击流量的清洗；部署 IDS和防火墙用于 IDC出口防护和入侵行为检控；部署 SSL VPN用于大客户远程维护。在此基础上对 IDC核心所有网络设备进行安全加固，同时在 IDC针对服务器部署防病毒软件。 网络安全建设方案 4 3. 建设方案 中国移动青海公司城东第二生产楼 IDC系统建设方案 互联网接入层安全建设方案 互联网接入层以防范分布式拒绝服务攻击（ DDOS）为主。 本期工程在 IDC出口部署流量清洗中心，对大流量 DDOS攻击给予清洗。流量清洗中心由流量检测系统和流量清洗系统两部分组成，通过在 IDC出口链路部署流量检测系统（分光方式部署或侧挂），当流量检测系统检测到异常流量攻击后，上报流量清洗系统并把受攻击的主机流量引入清洗系统进行异常流量清洗，将清洗后的正常业务流量重新注入网络中。 中国移动青海公司城东第二生产楼 IDC系统建设方案 汇聚层安全建设方案 访问控制 访问控制系统的安全目标是将 IDC与不可信任域进行有效的隔离与访问授权。访问控制系统应根据各业务的安全级别要求和全网安全策略控制出入网络的信息流，并且系统本身应具有较强的抗攻击能力。 访问控制系统由防火墙系统组成。防火墙在网络入口点根据设定的安全规则，检查经过的通信流量，在保护内部网络安全的前提下，对两个或多个网络之间传输的数据包和联接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。 本期工程在 IDC网络汇聚交换机侧挂 2台高端防火墙，作为访问控制系统，对整个网络进行保护。 入侵检测 (IDS) IDC安全系统应根据各个功能区要求部署入侵检测能力。通过部署入侵检测系统弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，降低网络安全风险。 本期工程在汇聚层新增 1套入侵检测系统。 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务接入层安全建设方案 病毒防范：业务接入层病毒防范系统要求对 IDC自有设备进行统一管理，有条件的 IDC可对用户设备进行病毒防范管理。 安全评估：对网络现状全面的评估，检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞，将可能的安全风险封堵掉。对特殊节点、数据库和整个网络进行全面的安全检查，并对现有的安全水平作出审计报告。 应用监控：部署在互联网接入层，通过分光 /镜像方式将互联网流量复制到应用监控系统中，通过分析提供不良信息监测、异常邮件行为监测、垃圾邮件过滤、网站内容有效性测试、业务流量统计分析、备案管理等功能。 网页防篡改：网页防篡改功能有效地防止不法分子对 IDC客户网站进行攻击。网页防篡改系统部署在业务接入层，防范 WEB服务器上的网站页面被非法篡改，且在页面遭受非法篡改后能够自动屏蔽非法网页以及进行页面的自动恢复。 主机安全加固：主机安全加固指对现有操作系统和服务的安全加固，去掉安全漏洞隐患。根据业务系统的“安全最小化权限”原则，将安全风险降到最低程度，保持一个持续稳定的业务运行。需要针对中国移动 IDC内存在安全风险的主机端口与服务进行加固。 本期工程新增 1套防病毒系统。安全评估、应用监控、网页防篡改、主机安全加固等内容建议在后期工程中根据实际情况进行建设。 中国移动青海公司城东第二生产楼 IDC系统建设方案 运营管理层安全建设方案 安全控制网关 为了避免用户非授权的访问以及对网络的滥用，应在运营管理层和其他系统的接口处部署安全控制网关。 远程 VPN接入 针对 IDC运维人员、客户维护人员远程访问 IDC自有及托管设备的需求，应提供安全可靠的 VPN接入手段。 IDC的 VPN接入方式分为 IPSec VPN和 SSL VPN两种。 SSL VPN不需要安装任何客户端软件，只要用标准的浏览器就可以实现对内网资源的访问。因此本期工程建议采用 SSL VPN方式。 用户接入审计 通过身份认证和安全策略检查，对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并帮助终端进行安全修复，以防范不安全网络用户终端给网络带来安全威胁。用户终端必须在网络安全控制网关的授权下才能接入网络。 用户终端审计 终端安全审计系统应该具备终端实时监控及取证、终端安全策略检查、终端信息收集等功能。 用户行为审计 对被授权人员 (运营商运维人员和客户维护人员 )使用终端进行的操作行为与过程进行审计与监控。 本期工程建设安全控制网关和远程 VPN接入，其他三项内容一般可以通过软件实现，可以根据实际情况在后期工程中进行建设。 中国移动青海公司城东第二生产楼 IDC系统建设方案 网络安全新增设备汇总 序号 网络层次 设备名称 数量 1 流量 检测 系统 1 2 互联网接入层 流量清洗系统 1 3 防火墙 2 4 汇聚层 入侵检测 系统 ( I D S ) 1 5 业务接入层 防病毒 系统 1 6 防火墙 2 7 运营管理层 S S L V P N 1 中国移动青海公司城东第二生产楼 IDC系统建设方案 IDC业务按照业务的普及和用户认知程度，可以分为基础类业务和增值类业务两大类。 基础类业务是 IDC运营商通常提供的公共型业务，主要表现为资源出租型业务，比如机房空间出租、网络带宽出租、 CDN服务等。 增值类业务是各 IDC运营商根据自身的实力和优势以及面向的用户群体推出的差异化服务，比如安全服务、数据备份、移动业务应用等。 业务建设方案 5 3. 建设方案 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务加速建设方案 获取信息的速度快慢已经成为制约互联网发展的重要因素。如何在现有的网络资源下提高用户获取信息的速度，提高用户体验满意度，已成为困扰 IDC的一大难题。因此青海移动建设 IDC系统，必须对业务使用进行加速，提高用户的体验效果。 本期工程针对业务加速可以考虑采取如下 4种方式：负载均衡、缓存技术、SSL加速、带宽管理。 上述各项技术既可以单独使用，也可以相互结合，或者集成到交换机或服务器中去。 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务加速技术 (1)负载均衡 最早的负载均衡技术是通过 DNS来实现的，在 DNS中为多个地址配置同一个名字，因而查询这个名字的客户机将得到其中一个地址，从而使得不同的客户访问不同的服务器，达到负载均衡的目的。 DNS负载均衡是一种简单而有效的方法，但是它不能区分服务器的差异，也不能反映服务器的当前运行状态。 现代负载均衡技术通常操作于网络的第四层或第七层。负载均衡器可以根据实际的响应时间制定优先级交付决策，从而实现高性能、智能化流量管理，达到最佳的服务器群性能。采用第七层应用控制还可以减少通信高峰期的错误讯息，因为差错控制和流量管理技术可以侦测到一些错误信息并透明地将会话重定向到另一个服务器，使用户顺利地进行使用。 目前，一些智能化的负载均衡器能够侦测到像数据库错误、服务器不可用等信息，从而采取措施使会话恢复和重定向服务器，使用户业务能够得以顺利进行。多址负载均衡器可以对客户发来的访问请求进行解析，计算出最佳地址，然后将该地址返回客户，使客户自动连接到对其请求来说最佳的数据中心。 本期工程建议新增 2套负载均衡设备，侧挂在业务汇聚交换机上。 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务加速 (2)缓存技术 研究发现，在网络应用的需求中存在着许多冗余的内容，这些重复的需求占用了大量的网络资源。具体地说，在互联网上 80%的用户都在访问 20%的热门网站，而在这些热门网站中又有一些热门的内容吸引了绝大多数访问者的注意。 缓存技术就是基于以上的情况产生的。缓存设备会监视 Web请求，检索它们，然后存储为它的对象。后来的用户将直接从本地的缓存设备而不是真正的目标站点获取该对象，从而达到提高响应性能，减少带宽压力的目的。 早期的被动缓存技术可用来节省带宽以减少网络拥塞，但它存在以下问题：一是用户有可能得不到网页的及时更新，因为缓存区不可能自动跟踪网页的变化；二是为得到最新网页，用户访问时需要首先查询真正的服务器上的内容，导致访问速度降低。 目前使用最多的缓存技术产品是 Web Cache。 Cache设备可在用户端储存最常浏览的网页内容，随时提供给用户存取；还可同时监控内容的来源，以测知网页是否已更新，并同步更新储存的内容。 一般来说，在配置了互联网加速设备后，由于很多用户浏览的内容可以从 Cache设备中直接调出，网络效能会有明显的大幅提升：网页响应时间最多可以减少 90%以上；带宽使用率可增加 30% 50%。 本期工程新增 1套 Web Cache缓存。 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务加速 (3) SSL加速 SSL（加密套接字协议层）是一种应用极为广泛的 WEB信息安全传送协议。由于 SSL运用加密算法和密码，其加密 /解密过程需大量占用服务器的 CPU资源，使 CPU利用率接近100%，从而大大降低了服务器性能。当网络用户大大增加后，网络性能将急剧降低，很可能用户会因网络响应欠佳而失去耐心离开网站。为根本解决 SSL给服务器运行带来的不利影响，必须采用专门设备处理 SSL协议，以使服务器 CPU从繁重的加密 /解密过程中解脱出来。 当使用 SSL加速器时，所有非 SSL数据流可以不进行任何改变地通过加速器；但是当由SSL加密过的数据流经过 SSL加速器时，进入的 SSL数据流被解密并干净地传给服务器，而外流的 SSL数据流被加密并传向客户。 本期工程建议新增 1套 SSL加速设备。 中国移动青海公司城东第二生产楼 IDC系统建设方案 业务加速 (4)带宽管理 带宽的重要性对网络来说不言而喻。但在实际应用中，由于众多数据流同时使用带宽，却无法按照任务的关键性和时间的敏感性分级，所以关键应用带宽往往未被高效使用，带宽的使用效率低下，成为网络传输的瓶颈。 带宽管理器使用户可以高效地管理网络通信、提供差别服务并控制广域网络带宽分配。由于使用带宽管理器可以赋予带宽优先级，因此可以加大关键业务的带宽，限制非关键或大容量应用的带宽，提高众多应用和服务的功能。 带宽管理器适用于高速局域网和广域网的交界处，是所有数据流的唯一路径。它根据定制的带宽计划进行网络分析，进行精确的流量控制，智能地将通信进行分类。在大容量数据流的情况下，关键应用得以保证，带宽获得高效应用。由于各种应用、多种服务级别都能得到高质量服务，带宽使用效率达到了最大化。 带宽管理器不仅可以分析网络通信状态，还可以提供网络报告，使服务提供商可以根据具体数字进行容量规划并评估配置变化所产生的影响。 本期工程建议新增 1套带宽管理设备。 中国移动青海公司城东第二生产楼 IDC系统建设方案 青海移动 IDC后台管理网络架构也是采用层次化的设计理念，接入层采用接入交换机连接各业务模块的服务器，汇聚层采用两台汇聚交换机连接各接入层交换机，在 IDC的后端业务网络用两台防火墙进行保护，防火墙支持 VPN，同时设置网管监控区，部署在后台汇聚交换机外的两台防火墙的 DMZ区，对整个IDC后台进行管理。 后台管理网络的主要功能是向 IDC 的维护人员和客户提供 KVM 带外管理、数据维护、远程接入等服务。后台管理网络包括以下模块： KVM 管理网络、客户网管监控区、运营网管监控区。 后台管理建设方案 6 3. 建设方案 中国移动青海公司城东第二生产楼 IDC系统建设方案 后台管理系统逻辑组网 VPN 远程访问K VM - CC后台汇聚交换机防火墙CM NE T 核心路由器内外网分界平面负载均衡流量清洗防火墙I P S接入交换机 接入交换机汇聚交换机核心路由器后台接入交换机后台接入交换机后台接入交换机后台业务系统管理机柜基础业务区 增值业务区 A DC - SI 业务区增值业务提供中心K VM - CC网管监控区1 0 G E 1 0 G E1 0 G E1 0 G EGE2 * 1 0 G E2 * 1 0 G E2 * 1 0 G EGE防火墙I P S负载均衡流量分析SSL 加速SSL 加速汇聚交换机中国移动青海公司城东第二生产楼 IDC系统建设方案 KVM系统 KVM系统由 KVM交换机、 KVM-CC等组成。 KVM交换机通过服务器模块与各业务模块中的服务器串口相连，服务器模块将信号转换成 IP 信号；对于网络设备， KVM交换机可以通过以太网线与其直接串口相连，然后 KVM交换机再与以太网交换机相连接，通过 KVM over IP技术， IDC的维护工程师和客户在任何时间、任何地点、任何情况下都可以对网络设备和服务器进行进行 ROM/BIOS级别的维护 本期工程新增一套 KVM机房集中远程管理系统，用于对非标区用户设备的远程维护。 中国移动青海公司城东第二生产楼 IDC系统建设方案 综合运营管理平台 为了将 IDC各种应用和平台有效地进行整合和管理，实现对各种资源和业务进行高效便捷的运营管理，建设一个功能完善、集中统一的 IDC运营管理平台必不可少。 IDC运营管理平台包含四个管理子系统：网络管理、资源管理、业务管理、运营管理，充分覆盖移动 IDC的机房资源、应用和业务的管理和运营的各方面，具备灵活的多级部署，定制化的模块开发等特点。 中国移动青海公司城东第二生产楼 IDC系统建设方案 综合运营管理平台 (1)网络管理 IDC需要管理监控的设备众多，应用比较复杂；应用系统所涉及的环节较多，一个表面的应用问题可能涉及到的故障层次也比较多。要确保整个应用系统正常运行，必须保证系统所涉及的每个环节都正常工作。这就要求建立一套 IT监控系统，该系统能对关键设备进行实时监控，及时发现问题，向管理员发出警告信息，以便迅速解决问题。并对业务数据的流量进行统计分析，向业务管理系统的计费模块提供计费的基本数据源。 对包括线路、网络设备、服务器、客户机、数据库、应用软件在内的各种 IT资源的有效管理，是确保整个信息系统高效、安全运作的关键。这些系统管理工作单靠系统维护人员的手工操作是远远不够的，需要一整套系统管理软件帮助系统管理人员监视和维护 IT系统。 网络管理的内容包括： 拓扑管理、全方位多视图显示、配置管理、性能管理、应用与服务管理、精确的流量流向分析、故障管理、统计报表。 中国移动青海公司城东第二生产楼 IDC系统建设方案 综合运营管理平台 (2)资源管理、业务管理、运营管理 资源管理： 资源管理模块支持对 IDC机房的资源的灵活管理和呈现，基于运维中心 -机房 -机架 -机位的四位一体的管理模式，对 IP、设备、端口、带宽、机位等进行流程化的管理。 为了更好地适应 IDC的实际使用，系统提供了设备模板和扩展属性的方式来进行灵活的支持，与此同时，为了更好地监控资源的在线状态，系统还通过资源自动监控模块实现了 IP资源、端口资源的自动监控报警功能，当系统中这类资源的状态与实际在线状态不符合时，系统将报警给操作员进行确认。 业务管理： 系统采用以服务为基础、以产品类别为核心的业务管理模式：一个业务包含多个服务、产品或者套餐；一个产品由多个服务组成；服务有各自的服务类别；套餐由产品组成；提供给用户 产品，服务，套餐 。 运营管理： IDC运营管理系统的功能模块包括资料管理（客户 /业务 /合同 /帐户）、计费与帐务管理、流程与工单管理、内容管理、统计与查询管理、系统管理（权限 /配置 /日志），系统支持 IDC当前的主要服务产品，并对将来的新业务有足够的扩展支持能力。 中国移动青海公司城东第二生产楼 IDC系统建设方案 本期工程需为 50家网站、 5家游戏网站镜像、以及视频点播业务提供服务器、存储等基础硬件资源。 按照集团公司 IDC建设总体技术要求，本期工程建设专用刀片服务器和统一存储设备供IDC系统使用，同时应用虚拟设备管理软件对服务器和存储进行统一管理，将其根据实际需求分配给各种业务。 服务器虚拟化：服务器虚拟化可以使上层业务应用仅仅根据自己所需的计算资源占用要求来对 CPU、内存、 I/O和应用资源等实现自由调度，而无须考虑该应用所在的物理关联和位置。当前商用化最为成功的服务器虚拟化解决方案是 VMWare的 VMotion系列，本期工程可以考虑采用该方案。 本期工程新增服务器和存储设备均建议采用直流供电。服务器要求能支持万兆接口。新增服务器和存储设备要求支持 FCoE技术。存储设备全部或部分采用 SSD固态盘。 本期工程新增刀片式服务器 70片 (若采用虚拟化，则需配置至少 2路 CPU、 64G内存、 5-6个千兆网卡、 2个 FC) 、存储 80T。计算过程如下： 服务器、存储建设方案 7 3. 建设方案 中国移动青海公司城东第二生产楼 IDC系统建设方案 服务器需求计算 (1)方法一 本方法是估算 IDC系统本期工程所需服务器 TPCC值 。 TPCC值主要取决于以下指标： (1)系统同时在线用户数（并发用户）为 10000（ U1）； (2)平均每个用户每分钟 2次业务请求（ N1）； (3)平均每次业务请求产生 10个事务（