国际工程咨询公司的IT技术架构建设解决方案.doc

某国际工程咨询公司的IT技术架构建设方案1. 需求1、 建立1套先进、完善的IT基础设施，满足600人IT服务需求；2、 整合现有应用系统，提高服务器的利用率，降低服务器部署时间；3、 提供统一高效的数据服务与其他IT服务；4、 建立安全的数据备份系统与适合可用的灾备系统；5、 建立基于VPN等新型的网络应用。一期的目标：1、 建立全新先进的IT基础架构，服务器虚拟化+存储虚拟化；2、 配置统一的存储系统，提供高效统一的数据服务3、 降低系统的总体拥有成本；4、 提高服务器利用率效率，降低服务器部署时间5、 提高IT服务水平并降低服务器管理成本；6、 服务器高可用设计。二期的目标为：1、 建立数据备份系统，保障有一份安全、可恢复的数据；2、 优化现有应用系统，提高利用率；3、 根据实际需要，增加新的应用系统。三期的目标为：1、 建立基于VPN等技术的新型网络应用；2、 建立适合可用的的灾备系统（建议数据级的）；2. IT系统架构设计2.1 网络系统架构设计网络根据功能及安全区域进行逻辑分层与区域划分。该网络由核心交换区、终端接入区、服务器接入区、DMZ区、互联网/VPN接入区等区域构成。核心包交换区采用双核心交换，通过多链路捆绑等技术实现冗余，各楼层交换机以千兆链路及核心相连接。网络安全边界部署高性能多业务安全网关，实现内、外网及DMZ区的安全检测及内容过滤，确保网络安全。通过部署SSL VPN（虚拟专用网）实现移动办公用户随时随地的访问公司服务器资源；通过部署IPSecVPN（虚拟专用网）实现各分公司及总部端到端的安全连接。为将来部署VOIP语音、视频会议及构建广域网应用等提供安全高效的基础网络平台。未来整体网络拓扑结构如下：图 1未来整体网络拓扑结构图2.2 应用平台架构设计针对IT系统的现状与存在的问题，结合当前IT技术的发展，并考虑其技术的前瞻性，本项目一期中建议采用VMWare服务器虚拟化存储虚拟化的解决方案，构建新的IT基础架构，满足日益增长的IT需求，提供更好的IT服务。IT系统架构设计示意图如下所示：图 2 IT基础架构示意图采用基于VMware的服务器虚拟架构与IBM XIV磁盘阵列的虚拟架构大幅度缩短了新应用或业务上线的准备时间，极大地提高了工作效率，降低了硬件采购成本，减少了宕机时间，管理费用与运维费用也得到有效控制，虚拟机的在线迁移技术实现了X86服务器上的高可用性；集中管理中心简化了虚拟架构的管理，虚拟机的文件属性使得部署与迁移都更为方便。2.3 IT技术架构对比分析Ø 传统IT架构使用物理设备通过线缆的连接构建物理数据中心，软件必须及硬件相结合，每台机器上只有单一的操作系统镜像、每个操作系统只有一个应用程序负载；可用性仅相当于最弱链接的情况。当需要部署新的应用，必须增加新的服务器，尽管其他的服务器利用率很低，可能不超过10%；部署高可用HA的时，每套应用必须部署2台以上的服务器与购买相关软件。Ø 虚拟IT架构虚拟架构是一种可靠、可扩展、可管理的软件平台，提供富有弹性、自我修复与自我管理的数据中心。虚拟软件平台可以在一台物理服务器上生成多个虚拟服务器，从而安装不同的应用，通过服务器的整合提高资源使用率，保证与刷新应用变更的周期，构建绿色节能的数据中心。Ø IT架构对比分析 描述项目传统IT架构虚拟IT架构技术原理使用物理设备通过线缆的连接构建物理数据中心一种可靠、可扩展、可管理的软件平台，提供富有弹性、自我修复与自我管理的数据中心，物理设备作为载体。打破软件与硬件的界限，加速存储及数据整合可用性通过Cluster或者第三方软件支持（需要单独购买）虚拟化平台系统内置支持，包括HA,DRS,FT等功能可靠性瓶颈在系统最薄弱的环节虚拟化平台生成标准的虚拟服务器（ESX Server），借助 VMotion 实现零停机升级资源利用率通过调查，独立的服务器平均为5-15%，存储系统利用率不足30%1、虚拟架构通过生成虚拟服务器，使得服务器的利用率大幅度调高，从平均5-15%提升到60-80%，大大地提高服务器利用率，降低服务器整体拥有成本 30-70%2、虚拟存储系统通过精简配置功能，实现按需分配，而不实际占有磁盘空间；当磁盘容量将要写满时，再进行不中断地弹性扩展管理维护针对每个物理设备进行管理维护，同样的维护操作要重复多次进行通过虚拟化服务器平台实现集中智能化管理，可以通过桌面终端一次完成；减少了数据中心的运维费用；提高了服务器及管理员之比扩展性系统的扩展通过新增物理设备来实现只需扩展现有设备的配置即可实现同样的效果，如扩展CPU与内存等应用部署购买物理设备，到机房实施，少则几天，多则几周几月快速部署或重新部署资源到你需要的地方，可直接在虚拟化平台实施，5分钟之内完成； 同时也提高IT服务水平，让新的应用尽快上线运行应用变更新的物理设备、新的软件，2个星期甚至更长创建新的虚拟服务器，部属变更应用，30分钟即可完成IT 服务水平应用部署、应用变更周期长，不能快速发挥IT系统效率快速部署与变更应用，使得IT服务能够快速上线，使用数据存储预划分的存储空间只能被独享，即使其他应用的存储空间不够，也不可以被占用，只能对磁盘阵列进行扩容虚拟存储系统通过精简配置功能，实现按需分配，而不实际占有磁盘空间；当磁盘容量将要写满时，再进行不中断地弹性扩展；显著提高存储利用率，减少对虚拟磁盘的过度调配，存储成本的减少幅度可达 50%机房空间每台服务器占据机柜的空间申请虚拟机只是占用ESX Server资源与存储资源，物理空间不变绿色节能每新增一个物理机器就需要增加机房供电与制冷电量消耗申请虚拟机不会增加电量消耗（对UPS压力减小），集群需要的资源减少时，虚拟化平台中的DPM 会将工作负载整合到较少的服务器上，将不需要的服务器置于待机模式，工作负载需要增加时，再恢复服务器在线状态；ESX 现在支持使用对各个主机进行电源优化，保证服务级别的同时最大限度减少电力消耗第 17 页3. 技术建议方案3.1 网络安全系统建设3.1.1 概述局域网由核心交换区、终端接入区、服务器区、Internet接入区及DMZ区组成。一期项目中采用6台二层交换机部署到各楼层，用于终端用户的接入，形成局域网的终端接入层。在核心交换机上根据不同功能区域划分VLAN，提高网络利用率与安全性以及可维护性。在网络安全边界部署一台绿盟安全网关，用于区域划分，实现访问控制及安全检测。在DMZ区部署一台交换机，实现该区域服务器及相关设备的接入。3.1.2 方案设计在核心交换机上划分出服务器接入、楼层接入、安全设备接入等VLAN，并启用三层路由功能，实现不同VLAN间的路由转发。各服务器以千兆链路连接到核心交换机的服务器VLAN，实现业务的快速访问。在每个楼层部署一台48口10/100/1000M自动适应二层交换机，用于楼层终端用户的接入，并通过上联端口连接至核心交换机。整个骨干实现1000M连接，为将来部署语音、视频、数据等多种业务提供了较高的带宽。Internet接入区部署一台绿盟安全网关，将互联网接入与局域网进行逻辑隔离，确保内部局域网的安全。安全网关的另一接口连接DMZ区，该区域部署一台24口的二层交换机，实现WEB、FTP等服务器的接入，通过在安全网关设置访问策略，实现局域网及互联网用户的安全访问。该网关设备采用高速硬件平台，具有防火墙、网络攻击检测及防护、抗拒绝服务攻击、VPN、内容过滤、Web安全保障、病毒防御、垃圾邮件防护等多种安全防护能力，确保各网络区域的安全。拓扑结构如下：图 3一期网络拓扑结构图3.1.3 设备配置楼层接入交换机：6台48口交换机。DMZ区接入交换机：1台24口交换机。安全网关1台。不少于4个10/100/1000M电口。3.2 应用平台建设3.2.1 概述一期项目中采用2台IBM System x3650M2服务器、IBM交换机、光纤存储系统部署VMWare虚拟化平台，整合服务器、操作系统与应用平台，提供虚拟机迁移功能VMotion、存储数据迁移StorageVMotion、 高可用性HA、资源动态调度DRS、虚拟机双机热备FT、热添加虚拟硬件、DataRecovery的功能。本方案提供的基于虚拟化技术的服务器整合解决方案使客户能充分享受及利用到IBM的System x 企业级服务器及虚拟化应用软件VMWARE的功能及优势：可扩展的服务器策略及RSA（可靠性，可用性与可服务性）的特点。可以帮助客户降低x86服务器成本，解决服务器无序扩张，利用率低下难题。本解决方案可以给您带来以下价值：Ø 整合服务器平台， 减少硬件占用空间。减少硬件部署与维护成本；Ø 提高服务器资源利用率，提高业务可靠性；Ø 改善管理灵活性，宕机等灾难情况下减少恢复时间，降低冗余度的前提下提高可用性；Ø 降低运营与维护成本， 包括数据中心空间、机柜、网线，耗电量，冷气空调与人力成本等；Ø 加快新服务器与应用的部署，大大降低服务器重建与应用加载时间。3.2.2 方案设计配置两台最新的基于四核CPU技术的IBM System X3650M2服务器（2颗CPU,24GB内存），同时每台服务器上都安装配置VMware vSphere 4企业版软件，用于在单个物理服务器实体上，利用服务器强大的处理能力，生成多个虚拟服务器，而每一个虚拟服务器，从功能、性能与操作方式上，等同于传统的单台物理服务器，在每个虚拟服务器上，再安装配置Windows 2008 Server企业版操作系统，进而再安装应用软件，这样以前的每个物理服务器就变身成为VMware vSphere 4服务器上的虚拟机，从而大大提高资源利用率，降低成本，增强了系统与应用的可用性，提高系统的灵活性与快速响应，完美的实现了服务器虚拟架构的整合。拓扑结构图如下所示：图 4应用平台拓扑结构图每台X3650M2服务器生成4个虚拟服务器ESX Server，安装不同的应用系统。每个ESX Server配置6GB内存，共享2个GE端口用于提供网络访问与2个4Gbps FC端口用于到磁盘阵列上的数据传输，2个FC端口分别连接2台SAN 交换机，构成冗余的数据访问通道。在IBM XIV磁盘阵列上为每个虚拟服务器ESX Server划分相应的空间，其中IBM XIV磁盘阵列支持精简配置功能，因此可以为ESX Server划分总够大的空间。为了实现数据的集中存储、集中备份以及充分利用VMware虚拟架构中虚拟机可动态在线从一台物理服务器迁移到另一台物理服务器上的特性，配置一台IBM XIV磁盘阵列，组成标准的SAN集中存储架构，由VMware虚拟架构套件生产出来的虚拟机的封装文件都存放在SAN存储阵列上。通过共享的SAN存储架构， 可以最大化的发挥虚拟架构的优势，进行在线地迁移正在运行的虚拟机（VMware VMotion），进行动态的资源管理（VMware DRS），虚拟机迁移功能VMotion、存储数据迁移StorageVMotion、 高可用性HA、虚拟机双机热备FT、热添加虚拟硬件、DataRecovery。Ø 系统的高可用性HAVMware HA可提供虚拟机中的应用程序所需的可用性，并且不依赖于其中运行的操作系统与应用程序。VMware HA 可针对虚拟化 IT 环境中的硬件与操作系统故障，提供统一且经济高效的故障切换保护。 Ø 监控虚拟机的情况以便检测操作系统与硬件故障。 Ø 在检测到服务器故障时，无需手动干预即可重新启动资源池中其他物理服务器上的虚拟机。Ø 在检测到操作系统故障时，通过自动重新启动虚拟机来保护应用程序不受操作系统故障的影响。Ø 提高整个基础架构范围内的保护力度从 vSphere Client 界面中单击一次即可配置 VMware HA 以提供故障切换保护，而不必进行依赖于操作系统或应用程序的解决方案所需的复杂安装与配置。由于 VMware HA 配置简单并且只需要最基本的资源即可提供保护，因此：Ø 针对服务器与操作系统故障为所有应用程序提供统一保护，而不必考虑虚拟机使用的服务器硬件或操作系统如何。 Ø 为整个 IT 基础架构建立第一道坚固屏障。Ø 保护没有其他故障切换备选方案的应用程序，并使原本可能不被置于保护下的软件应用程序也具有高可用性。图 5高可用性HA示意图Ø 资源调配DRSVMware的分布式资源调度（Distributed Resource Scheduler，DRS）可以持续不断地监控VMware主机集群中资源池的利用率，并能够根据商业需要在虚拟机中智能地分配其所需的资源。通过动态分配与平衡计算资源，VMware DRS能够整合服务器，降低IT成本，增强灵活性；减少停机时间，保持业务的持续性与稳定性；减少需要运行服务器的数量以及动态地切断当前未需使用的服务器的电源，提高了能源的利用率。：图 6分布式资源调度DRS示意图Ø VMotionVMware VMotion以零停机时间迁移虚拟机，将正在运行的虚拟机从一台物理服务器移动至另一台物理服务器，而不影响最终用户。VMware VMotion 可使 IT 环境保持正常运行，为您提供空前的灵活性与可用性，以满足您的业务与最终用户不断增长的需要。VMware VMotion 是 VMware 开发出的一项独特技术，它将服务器、存储与网络设备完全虚拟化，使得正在运行的整个虚拟机能够在瞬间从一台服务器移到另一台服务器上。虚拟机的全部状态由存储在共享存储器上的一组文件进行封装，而 VMware 的VMFS 群集文件系统允许源与目标 VMware ESX 同时访问这些虚拟机文件。然后，虚拟机的活动内存与精确的执行状态可通过高速网络迅速传输。虚拟机保留其网络标识与连接，从而确保实现无缝迁移。图 7 Vmotion示意图Ø Storage vMotionVmware Storage vMotion可以跨存储阵列实时迁移虚拟机磁盘文件,可以在共享存储位置之间与跨共享存储位置重新分配虚拟机磁盘文件，同时保证连续的服务供应与事务处理的完整性；可以实时迁移虚拟机磁盘文件，VMware Storage VMotion 是一套一流的解决方案，使您能够跨异构存储阵列执行实时的虚拟机磁盘文件迁移，同时保证全面的事务完整性，而且不会发生关键应用程序的服务中断。在虚拟基础架构中实施 VMware Storage VMotion 所获得的功能包括：执行主动的存储迁移、简化阵列更新/退出过程、提高虚拟机的存储性能，还能节省数据中心宝贵的存储容量。图 8 Storage Vmotion示意图Ø Data RecoveryVMware Data Recovery 提供集中的管理界面，支持直接通过 VMware vCenter Server 备份与恢复您的虚拟机。整个清单中的虚拟机都通过 VMware vCenter Server 自动进行识别使用由向导驱动的直观工作流来创建、配置与计划备份作业 为每个虚拟机显示多个恢复点，以便轻松选择要恢复的特定时间点副本 自动监视由 VMware HA、VMware VMotion 与 VMware DRS 移动的虚拟机，以便计划的备份可不间断地持续运行图 9Data Recovery示意图Ø VMware集中管理为了集中管理与监控虚拟机、实现自动化以及简化资源调配，本方案建议利用现有的一套服务器安装Window系统，用于安装VMware vCenter Server 4软件，对两台物理服务器及其上的虚拟服务器进行统一的管理。图 10集中管理VCenter示意图3.2.3 设备配置服务器2台：IBM X系列服务器。磁盘阵列1台：IBM XIV磁盘存储SAN交换机2台：IBM 光线交换机。3.3 方案优势3.3.1 先进性本项目采用虚拟服务器+虚拟存储系统的架构设计。虚拟化架构是当前IT业界最先进的技术，并具有很好的发展潜力。采用IBM、vmware等先进的硬件、软件设备构建具有前瞻性的IT基础架构，实现高效稳定的IT服务。3.3.2 系统扩展性Ø 设备可扩展性：网络系统采用Cisco交换机，可以通过级联的方式增加新的接入端口；IBM X3650M2 最大扩展到128GB内存（采用单条8GB），最大支持2颗四核CPU，最高 3.60TB 热插拔 SAS 或最高 3.60TB 热插拔 SATA 或最高 600GB 热插拔固态存储；IBM XIV2810-A14磁盘阵列最大可以支持180个磁盘驱动器（采用1TB SATA磁盘，可以达到超过180TB的裸容量）；SAN交换机最大扩展24个端口；。Ø 软件可扩展性： VMware DRS 对服务器资源进行动态的负载平衡，以根据业务优先级向正确的应用程序提供正确的资源，从而让应用程序可以根据需要而缩减或增长。热添加功能视需要向虚拟机添加 CPU 与内存，而且不会造成中断或宕机。热插拔功能支持添加或删除虚拟机的虚拟存储与网络设备，而且不会造成中断或宕机。虚拟磁盘热扩展支持向正在运行的虚拟机添加虚拟存储，而且不会造成中断或宕机。3.3.3 可用性计划内宕机通过使用 VMware VMotion，在进行计划内服务器维护以至跨服务器的虚拟机实时迁移时，将不再需要为这些活动安排应用程序宕机，从而不会对用户造成中断或导致服务丢失。VMware Storage VMotion 支持实时迁移虚拟机磁盘，因此不再需要为计划内存储维护或在存储迁移期间安排应用程序宕机，从而不会对用户造成中断或导致服务丢失。计划外宕机VMware HA 提供经济高效的自动化重启，当发生硬件或操作系统故障时，几分钟内即可实现所有应用程序的重启。VMware Fault Tolerance 提供持续可用性，使所有应用程序都不会发生任何数据丢失或宕机。VMware Data Recovery 为虚拟机提供简单、经济高效、无代理的备份与恢复。3.3.4 安全性Ø 网络安全性针对不同的应用与不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、VRRP、ACL、PORT+IP+MAC绑定等。同时采用SG安全网络作为防火墙，制定ACL安全访问策略与其他安全设置，个人用户安装NOD32杀毒软件，保障终端的安全。Ø 系统安全性： VMware vShield Zones 对共享环境中的应用程序级别执行企业安全策略，同时仍然维持用户及敏感数据的信任与网络分段，从而简化应用程序安全管理。VMware VMsafe 支持使用及虚拟化层协同工作的安全产品，为虚拟机提供更高级别的安全性，甚至优于物理服务器。3.3.5 绿色节能基于VMWare与IBM XIV的虚拟化解决方案，减少了服务器与磁盘的数量，最大限度降低能源/冷却需求，节省设施费用。其中，VMware DRS 附带的 VMware DPM 持续地优化 DRS 集群中的电源消耗，从而自动管理 DRS 集群中的能效。