IDC系统建设工程可研汇报青海移动.ppt

中国移动青海公司城东第二生产楼IDC系统建设工程可研,中国移动通信集团设计院有限公司2010年4月,1,内容提要,5.投资估算,3.建设方案及规模,2.工程现状,1.概述,4.问题说明,2,依托中国移动的产业链优势，以创新为动力，加强合作，整合资源，实现IDC的规模化、专业化和集约化发展，为中国移动全业务运营环境下的竞争提供基础支撑和资源保障。（1）提高本网用户的访问速度和质量；（2）为集团客户业务发展创造良好条件；（3）促进互联网网间互联的健康发展；（4）加强对互联网内容资源的掌控，推动业务发展。,根据集团及青海公司相关要求，本次城东第二生产楼IDC系统机房的建设内容主要包括机房平面规划、网络平台系统、综合配线系统、安全平台、服务器及存储系统、制冷系统、供电系统、防雷接地系统、安防系统、节能减排等。,1.概述,本 工 程 概 况,3,内容提要,5.投资估算,3.建设方案及规模,2.工程现状,1.概述,4.工程需求,4,2.工程现状,青海目前没有专用IDC系统机房，在全业务市场竞争条件下，需按集团要求建设IDC机房配合业务的发展。青海移动城东第二生产楼是电信专用设备机房大楼，主要作为青海公司各业务网、传输网、数据网及支撑网核心机房。IDC机房位于第二生产楼二层，总面积380平方米，大楼前期建设已完成机房走线架敷设及机柜位置规划。2009年年底对该机房进行了防静电地板铺设。大楼一级电源已完成建设。机房环境要求如下：温度：222（夏季）、202（冬季）湿度：55%10%湿度变化率：5%不凝露尘埃：粒径0.5m个数18000,5,内容提要,5.投资估算,3.建设方案及规模,2.工程现状,1.概述,4.问题说明,3.建设方案,青海移动IDC目前尚难以建设第三代IDC，但可结合通信、IT技术的最新发展，建设比较先进的第二代IDC，并为成为第三代IDC夯实基础、积累经验。,IDC建设思路,数据中心建设应该根据目前IT基础设施的需求以及未来IT发展规划而设计，它集中目前的基础设施如机房、服务器、网络设备、存储和备份设备等，形成资源的统一管理和分配，将来各个系统在进入这个数据中心基础设施的时候，仅需向这个统一的基础设施（IDC）提出各自对于基础架构的要求，包括：计算能力及性能的需求存储的需求服务器容量的需求灾备的需求安全的需求业务量的需求对于网络容量的需求和网络接入的需求等然后由IDC根据各个业务系统的需求，分配适当的基础设施资源并提供统一的运维管理服务支持。,云计算,新一代IDC的发展需求,云计算技术的特性,拓展新业务,提升服务水平,实时掌握资源分配情况，实现资源的有效利用资源快速部属，缩短用户需求的响应时间管理标准化、自动化，避免人为错误，提高管理效率提供按用量计费方式，满足各类用户需要,完全开放的硬件平台，兼容不同厂家的产品云计算管理平台同时管理各种硬件设备和软件的管理平台上层应用与基础架构无关，适合运行各类应用：数据库、SAP、CRM、Web应用等,降低IDC的总体拥有成本,采用虚拟化技术提供资源利用率，节省投资虚拟化技术与绿色科技有机结合，降低能耗，节省维护成本采用云存储，达到接近于零的边际管理成本管理自动化，节省管理成本,云计算恰好符合IDC的发展趋势，而目前比较成熟的云计算应用就是虚拟化。本期青海IDC工程应考虑引入，为将来成为第三代IDC打下资源基础。,9,本工程采用层次化设计理念，将整个IDC系统分为四层逻辑结构：互联网接入层、汇聚层、业务接入层、运营管理层。,3.建设方案,互联网接入层介绍,互联网接入层负责实现数据中心与CMNET的互联，保证IDC内部网络高速访问互联网，并负责汇聚网络内的汇聚层交换机，对IDC内网和外网的路由信息进行转换和维护。,汇聚层介绍,汇聚层是数据中心可靠运营的关键，向下负责汇聚多个业务区的业务接入层交换机，向上与核心路由器进行互联。汇聚层主要为数据中心内部网络提供高速交换服务。部分安全设备（如防火墙、负载均衡器、IDS、审计系统等）部署在该层，为IDC客户提供差异化服务和网络安全保障。部分大客户或重点业务可直接接入汇聚层交换机。,业务接入层介绍,业务接入层由接入交换机和各业务系统的服务器、存储等设备组成，主要负责实现各业务区内部设备的接入。,互联网接入层、汇聚层建设方案,在互联网接入层新增2台高性能路由器，以冗余备份或负载分担的方式进行工作。路由器向上通过10GE链路连接到青海公司CMNET省网骨干节点NE5000E，向下通过10GE链路连接数据中心的汇聚设备。2台路由器之间采用2*2.5G或2*GE多链路互联。在汇聚层新增2台高端交换机，以冗余备份或负载分担的方式进行工作。汇聚交换机向上通过10GE链路连接到互联网接入层核心路由器，向下通过GE链路连接业务接入层接入交换机。2台交换机之间采用2*GE多链路互联。,业务接入层建设方案(1),业务接入层有两种建设方案：方案一 本方案采用机架式服务器向用户提供IDC业务。在各业务区每列网络机柜各新增2台中高端交换机，向上通过GE链路连接到汇聚交换机，向下通过FE链路连接各业务系统服务器。方案二 本方案采用刀片式服务器(结合虚拟化)向用户提供IDC业务，刀片式服务器通过集成的交换板卡直接连接至汇聚层交换机。此外，为满足用户设备托管业务的需要，可在非标区网络机柜中新增2台中高端交换机，作为非标区设备的业务接入交换机。,业务接入层建设方案(2),本可研推荐采用方案二。以下各部分建设内容均以此为基础，即根据采用刀片式服务器的要求来制定方案。,运营管理层介绍(1),运营管理层提供网络管理、资源管理、业务管理、运营管理等IDC管理功能，向IDC的运营维护人员和客户提供设备管理、系统维护、远程接入等服务。,运营管理层介绍(2),客户工作区 客户工作区是IDC客户维护其服务器的工作区域。客户工作区提供本地终端坐席，客户在该区对自有服务器进行维护。使用防火墙作为本地终端安全隔离设备和VPN远程接入设备。考虑到机房实际情况，建议将该区域放置在其他地点。综合接入区 在管理网络可建立统一的专线接入接口，实现IDC服务器与集团客户等专线接入用户互联要求，应具有良好的扩展性，确保网络安全。综合接入区应部署防火墙实现IDC服务器与专线网络之间的安全隔离，两台防火墙之间宜采用双机热备。运营管理平台 运营管理平台负责省内IDC节点管理和运营。维护操作可通过运营管理平台来实现，通过防火墙访问业务功能区。运营管理平台应具备资源管理、业务管理和运营管理的相关功能。运营管理层网络应独立建网，与IDC业务网络保持物理隔离，以减少相互影响。,运营管理层建设方案,IDC运营管理层网络设备包括接入交换机和汇聚交换机。本期工程新增2台中高端交换机，作为运营管理层汇聚交换机。业务区新增的刀片式服务器，通过刀片式服务器集成的管理接口直接连接至汇聚层交换机。考虑到对非标区用户自有设备的管理，应在非标区网络机柜新增2台中端交换机，作为非标区设备的管理接入交换机。接入交换机上连至管理汇聚交换机。,网络建设方案新增设备汇总,20,3.建设方案,根据机房前期规划，本机房共规划有10列、每列15个、共150个机位。在前期配套传输工程中，在A列安装了半列传输设备。根据业务量预测及集团规范对IDC机房功能区划分的要求，IDC机房应划分为如下几个区域：功能区域一 功能区域一通过普通接入（不需要经过防火墙）连接到CMNet网络。该区域用于开展IDC主机托管、带宽租赁、主机租赁等基础业务。功能区域二 功能区域二通过防火墙、IDS等安全设备连接到CMNET网络。该区域除了提供功能区域一的业务外，还用于开展防火墙出租、服务器监控、存储出租等增值业务。功能区域三 功能区域三通过防火墙、IDS等安全设备连接到CMNET网络，并提供专线接入服务，实现与集团客户内部网络的互连。功能区域三除了提供功能区域二的业务外，还用于开展集团专线接入业务。其他区域 此外，为满足业务开通需要，还应在IDC机房设置网络区、非标准机柜安装区、存储区、配电区等区域。,平面规划方案一,本方案对机房进行区域划分如下：(1)A列剩余7个机位作为配电区，为整个机房提供所需电源。(2)B列、C列作为功能区域一，D列、E列作为功能区域二，H列、I列作为功能区域三。J列作为非标设备区。(3)F列作为网络区，G列作为存储区。本期工程在F列新增14个设备机柜(2200*600*1000)，用于安装网络、安全、业务加速等设备，这是整个IDC机房的核心区域。本期工程可在J列新增1个网络机柜(2200*600*1000)，用于安装非标区业务和管理接入交换机。该机柜内部需安装2套电源模块，以满足设备双电源引电的要求。本期工程新增的刀片式服务器机架按照不同的目标用户分配给各功能区域，为该区域业务提供支持。由于本机房安装有300mm高防静电地板，因此本期新增机柜(包括设备机柜及电源屏)皆需配备300mm高抗震底座。,22,平面规划方案一(1),平面规划方案二(2),本方案对机房进行区域划分如下：(1)A列剩余7个机位作为预留区，B列作为配电区，为整个机房供电。(2)C列至E列作为存储区，G列至I列作为服务器区，J列作为非标设备区。(3)F列作为网络区。本期工程在F列新增14个设备机柜(2200*600*1000)，用于安装网络、安全、业务加速等设备，这是整个IDC机房的核心区域。本期工程可在J列新增1个网络机柜(2200*600*1000)，用于安装非标区业务和管理接入交换机。该机柜内部需安装2套电源模块，以满足设备双电源引电的要求。本期工程新增的刀片式服务器集中放置在G列，通过虚拟化、运营网管等方式将其智能分配给各种业务。本期工程新增的存储设备集中放置在E列。由于本机房安装有300mm高防静电地板，因此本期新增机柜(包括设备机柜及电源屏)皆需配备300mm高抗震底座。,平面规划方案二,平面规划方案对比,方案一将新增刀片式服务器安装在不同的功能区域，安装位置比较分散，且各种业务类型之间不宜通用。不利于实现服务器资源的虚拟化和共享，服务器利用率相对较低。方案二将所有刀片式服务器放置在同一区域，便于对其进行虚拟化，各种业务均可通过虚拟化方式共享所有服务器资源，服务器资源利用率更高。综合考虑上述情况，本可研推荐采用方案二。,IDC机房机房应根据功能要求划分成若干布线区域，包括网络接入间（区）、主配线区域、水平配线区域、区域配线区域和设备配线区域等，配线区域内信息点的数量应根据需求进行配置。,3.建设方案,综合布线方案,本方案在非标区每个新增设备机柜中新增24口三层低端交换机1台，通过GE双链路上行接入网络机柜的接入层交换机，用于连接机柜内的服务器设备。若设备需双平面上行，可将两条链路分别接入相邻机柜的交换机。在非标区每个新增设备机柜中新增管理交换机1台，用于接入运营管理层交换机。因本期工程非标区暂不新增设备机柜，因此不必在本期工程进行EDA至HAD的综合布线。因刀片式服务器集成有交换板卡，可直接上连至汇聚交换机，因此不需要单独进行综合布线建设。综上所述，本期工程可以暂不进行综合布线建设。,本期工程主要在IDC出口部署流量清洗系统用于对IDC流量的分析和DDoS攻击流量的清洗；部署IDS和防火墙用于IDC出口防护和入侵行为检控；部署SSL VPN用于大客户远程维护。在此基础上对IDC核心所有网络设备进行安全加固，同时在IDC针对服务器部署防病毒软件。,3.建设方案,互联网接入层安全建设方案,互联网接入层以防范分布式拒绝服务攻击（DDOS）为主。本期工程在IDC出口部署流量清洗中心，对大流量DDOS攻击给予清洗。流量清洗中心由流量检测系统和流量清洗系统两部分组成，通过在IDC出口链路部署流量检测系统（分光方式部署或侧挂），当流量检测系统检测到异常流量攻击后，上报流量清洗系统并把受攻击的主机流量引入清洗系统进行异常流量清洗，将清洗后的正常业务流量重新注入网络中。,汇聚层安全建设方案,访问控制 访问控制系统的安全目标是将IDC与不可信任域进行有效的隔离与访问授权。访问控制系统应根据各业务的安全级别要求和全网安全策略控制出入网络的信息流，并且系统本身应具有较强的抗攻击能力。访问控制系统由防火墙系统组成。防火墙在网络入口点根据设定的安全规则，检查经过的通信流量，在保护内部网络安全的前提下，对两个或多个网络之间传输的数据包和联接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。本期工程在IDC网络汇聚交换机侧挂2台高端防火墙，作为访问控制系统，对整个网络进行保护。入侵检测(IDS)IDC安全系统应根据各个功能区要求部署入侵检测能力。通过部署入侵检测系统弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，降低网络安全风险。本期工程在汇聚层新增1套入侵检测系统。,业务接入层安全建设方案,病毒防范：业务接入层病毒防范系统要求对IDC自有设备进行统一管理，有条件的IDC可对用户设备进行病毒防范管理。安全评估：对网络现状全面的评估，检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞，将可能的安全风险封堵掉。对特殊节点、数据库和整个网络进行全面的安全检查，并对现有的安全水平作出审计报告。应用监控：部署在互联网接入层，通过分光/镜像方式将互联网流量复制到应用监控系统中，通过分析提供不良信息监测、异常邮件行为监测、垃圾邮件过滤、网站内容有效性测试、业务流量统计分析、备案管理等功能。网页防篡改：网页防篡改功能有效地防止不法分子对IDC客户网站进行攻击。网页防篡改系统部署在业务接入层，防范WEB服务器上的网站页面被非法篡改，且在页面遭受非法篡改后能够自动屏蔽非法网页以及进行页面的自动恢复。主机安全加固：主机安全加固指对现有操作系统和服务的安全加固，去掉安全漏洞隐患。根据业务系统的“安全最小化权限”原则，将安全风险降到最低程度，保持一个持续稳定的业务运行。需要针对中国移动IDC内存在安全风险的主机端口与服务进行加固。本期工程新增1套防病毒系统。安全评估、应用监控、网页防篡改、主机安全加固等内容建议在后期工程中根据实际情况进行建设。,运营管理层安全建设方案,安全控制网关 为了避免用户非授权的访问以及对网络的滥用，应在运营管理层和其他系统的接口处部署安全控制网关。远程VPN接入 针对IDC运维人员、客户维护人员远程访问IDC自有及托管设备的需求，应提供安全可靠的VPN接入手段。IDC的VPN接入方式分为IPSec VPN和SSL VPN两种。SSL VPN不需要安装任何客户端软件，只要用标准的浏览器就可以实现对内网资源的访问。因此本期工程建议采用SSL VPN方式。用户接入审计 通过身份认证和安全策略检查，对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并帮助终端进行安全修复，以防范不安全网络用户终端给网络带来安全威胁。用户终端必须在网络安全控制网关的授权下才能接入网络。用户终端审计 终端安全审计系统应该具备终端实时监控及取证、终端安全策略检查、终端信息收集等功能。用户行为审计 对被授权人员(运营商运维人员和客户维护人员)使用终端进行的操作行为与过程进行审计与监控。本期工程建设安全控制网关和远程VPN接入，其他三项内容一般可以通过软件实现，可以根据实际情况在后期工程中进行建设。,网络安全新增设备汇总,IDC业务按照业务的普及和用户认知程度，可以分为基础类业务和增值类业务两大类。基础类业务是IDC运营商通常提供的公共型业务，主要表现为资源出租型业务，比如机房空间出租、网络带宽出租、CDN服务等。增值类业务是各IDC运营商根据自身的实力和优势以及面向的用户群体推出的差异化服务，比如安全服务、数据备份、移动业务应用等。,3.建设方案,业务加速建设方案,获取信息的速度快慢已经成为制约互联网发展的重要因素。如何在现有的网络资源下提高用户获取信息的速度，提高用户体验满意度，已成为困扰IDC的一大难题。因此青海移动建设IDC系统，必须对业务使用进行加速，提高用户的体验效果。本期工程针对业务加速可以考虑采取如下4种方式：负载均衡、缓存技术、SSL加速、带宽管理。上述各项技术既可以单独使用，也可以相互结合，或者集成到交换机或服务器中去。,业务加速技术(1)负载均衡,最早的负载均衡技术是通过DNS来实现的，在DNS中为多个地址配置同一个名字，因而查询这个名字的客户机将得到其中一个地址，从而使得不同的客户访问不同的服务器，达到负载均衡的目的。DNS负载均衡是一种简单而有效的方法，但是它不能区分服务器的差异，也不能反映服务器的当前运行状态。现代负载均衡技术通常操作于网络的第四层或第七层。负载均衡器可以根据实际的响应时间制定优先级交付决策，从而实现高性能、智能化流量管理，达到最佳的服务器群性能。采用第七层应用控制还可以减少通信高峰期的错误讯息，因为差错控制和流量管理技术可以侦测到一些错误信息并透明地将会话重定向到另一个服务器，使用户顺利地进行使用。目前，一些智能化的负载均衡器能够侦测到像数据库错误、服务器不可用等信息，从而采取措施使会话恢复和重定向服务器，使用户业务能够得以顺利进行。多址负载均衡器可以对客户发来的访问请求进行解析，计算出最佳地址，然后将该地址返回客户，使客户自动连接到对其请求来说最佳的数据中心。本期工程建议新增2套负载均衡设备，侧挂在业务汇聚交换机上。,业务加速(2)缓存技术,研究发现，在网络应用的需求中存在着许多冗余的内容，这些重复的需求占用了大量的网络资源。具体地说，在互联网上80%的用户都在访问20%的热门网站，而在这些热门网站中又有一些热门的内容吸引了绝大多数访问者的注意。缓存技术就是基于以上的情况产生的。缓存设备会监视Web请求，检索它们，然后存储为它的对象。后来的用户将直接从本地的缓存设备而不是真正的目标站点获取该对象，从而达到提高响应性能，减少带宽压力的目的。早期的被动缓存技术可用来节省带宽以减少网络拥塞，但它存在以下问题：一是用户有可能得不到网页的及时更新，因为缓存区不可能自动跟踪网页的变化；二是为得到最新网页，用户访问时需要首先查询真正的服务器上的内容，导致访问速度降低。目前使用最多的缓存技术产品是Web Cache。Cache设备可在用户端储存最常浏览的网页内容，随时提供给用户存取；还可同时监控内容的来源，以测知网页是否已更新，并同步更新储存的内容。一般来说，在配置了互联网加速设备后，由于很多用户浏览的内容可以从Cache设备中直接调出，网络效能会有明显的大幅提升：网页响应时间最多可以减少90%以上；带宽使用率可增加30%50%。本期工程新增1套Web Cache缓存。,业务加速(3)SSL加速,SSL（加密套接字协议层）是一种应用极为广泛的WEB信息安全传送协议。由于SSL运用加密算法和密码，其加密/解密过程需大量占用服务器的CPU资源，使CPU利用率接近100%，从而大大降低了服务器性能。当网络用户大大增加后，网络性能将急剧降低，很可能用户会因网络响应欠佳而失去耐心离开网站。为根本解决SSL给服务器运行带来的不利影响，必须采用专门设备处理SSL协议，以使服务器CPU从繁重的加密/解密过程中解脱出来。当使用SSL加速器时，所有非SSL数据流可以不进行任何改变地通过加速器；但是当由SSL加密过的数据流经过SSL加速器时，进入的SSL数据流被解密并干净地传给服务器，而外流的SSL数据流被加密并传向客户。本期工程建议新增1套SSL加速设备。,业务加速(4)带宽管理,带宽的重要性对网络来说不言而喻。但在实际应用中，由于众多数据流同时使用带宽，却无法按照任务的关键性和时间的敏感性分级，所以关键应用带宽往往未被高效使用，带宽的使用效率低下，成为网络传输的瓶颈。带宽管理器使用户可以高效地管理网络通信、提供差别服务并控制广域网络带宽分配。由于使用带宽管理器可以赋予带宽优先级，因此可以加大关键业务的带宽，限制非关键或大容量应用的带宽，提高众多应用和服务的功能。带宽管理器适用于高速局域网和广域网的交界处，是所有数据流的唯一路径。它根据定制的带宽计划进行网络分析，进行精确的流量控制，智能地将通信进行分类。在大容量数据流的情况下，关键应用得以保证，带宽获得高效应用。由于各种应用、多种服务级别都能得到高质量服务，带宽使用效率达到了最大化。带宽管理器不仅可以分析网络通信状态，还可以提供网络报告，使服务提供商可以根据具体数字进行容量规划并评估配置变化所产生的影响。本期工程建议新增1套带宽管理设备。,青海移动IDC后台管理网络架构也是采用层次化的设计理念，接入层采用接入交换机连接各业务模块的服务器，汇聚层采用两台汇聚交换机连接各接入层交换机，在IDC的后端业务网络用两台防火墙进行保护，防火墙支持VPN，同时设置网管监控区，部署在后台汇聚交换机外的两台防火墙的DMZ区，对整个IDC后台进行管理。后台管理网络的主要功能是向 IDC 的维护人员和客户提供 KVM 带外管理、数据维护、远程接入等服务。后台管理网络包括以下模块：KVM 管理网络、客户网管监控区、运营网管监控区。,3.建设方案,后台管理系统逻辑组网,KVM系统,KVM系统由KVM交换机、KVM-CC等组成。KVM交换机通过服务器模块与各业务模块中的服务器串口相连，服务器模块将信号转换成IP 信号；对于网络设备，KVM交换机可以通过以太网线与其直接串口相连，然后KVM交换机再与以太网交换机相连接，通过KVM over IP技术，IDC的维护工程师和客户在任何时间、任何地点、任何情况下都可以对网络设备和服务器进行进行ROM/BIOS级别的维护 本期工程新增一套 KVM机房集中远程管理系统，用于对非标区用户设备的远程维护。,综合运营管理平台,为了将IDC各种应用和平台有效地进行整合和管理，实现对各种资源和业务进行高效便捷的运营管理，建设一个功能完善、集中统一的IDC运营管理平台必不可少。IDC运营管理平台包含四个管理子系统：网络管理、资源管理、业务管理、运营管理，充分覆盖移动IDC的机房资源、应用和业务的管理和运营的各方面，具备灵活的多级部署，定制化的模块开发等特点。,综合运营管理平台(1)网络管理,IDC需要管理监控的设备众多，应用比较复杂；应用系统所涉及的环节较多，一个表面的应用问题可能涉及到的故障层次也比较多。要确保整个应用系统正常运行，必须保证系统所涉及的每个环节都正常工作。这就要求建立一套IT监控系统，该系统能对关键设备进行实时监控，及时发现问题，向管理员发出警告信息，以便迅速解决问题。并对业务数据的流量进行统计分析，向业务管理系统的计费模块提供计费的基本数据源。对包括线路、网络设备、服务器、客户机、数据库、应用软件在内的各种IT资源的有效管理，是确保整个信息系统高效、安全运作的关键。这些系统管理工作单靠系统维护人员的手工操作是远远不够的，需要一整套系统管理软件帮助系统管理人员监视和维护IT系统。网络管理的内容包括：拓扑管理、全方位多视图显示、配置管理、性能管理、应用与服务管理、精确的流量流向分析、故障管理、统计报表。,综合运营管理平台(2)资源管理、业务管理、运营管理,资源管理：资源管理模块支持对IDC机房的资源的灵活管理和呈现，基于运维中心-机房-机架-机位的四位一体的管理模式，对IP、设备、端口、带宽、机位等进行流程化的管理。为了更好地适应IDC的实际使用，系统提供了设备模板和扩展属性的方式来进行灵活的支持，与此同时，为了更好地监控资源的在线状态，系统还通过资源自动监控模块实现了IP资源、端口资源的自动监控报警功能，当系统中这类资源的状态与实际在线状态不符合时，系统将报警给操作员进行确认。业务管理：系统采用以服务为基础、以产品类别为核心的业务管理模式：一个业务包含多个服务、产品或者套餐；一个产品由多个服务组成；服务有各自的服务类别；套餐由产品组成；提供给用户产品，服务，套餐。运营管理：IDC运营管理系统的功能模块包括资料管理（客户/业务/合同/帐户）、计费与帐务管理、流程与工单管理、内容管理、统计与查询管理、系统管理（权限/配置/日志），系统支持IDC当前的主要服务产品，并对将来的新业务有足够的扩展支持能力。,本期工程需为50家网站、5家游戏网站镜像、以及视频点播业务提供服务器、存储等基础硬件资源。按照集团公司IDC建设总体技术要求，本期工程建设专用刀片服务器和统一存储设备供IDC系统使用，同时应用虚拟设备管理软件对服务器和存储进行统一管理，将其根据实际需求分配给各种业务。服务器虚拟化：服务器虚拟化可以使上层业务应用仅仅根据自己所需的计算资源占用要求来对CPU、内存、I/O和应用资源等实现自由调度，而无须考虑该应用所在的物理关联和位置。当前商用化最为成功的服务器虚拟化解决方案是VMWare的VMotion系列，本期工程可以考虑采用该方案。本期工程新增服务器和存储设备均建议采用直流供电。服务器要求能支持万兆接口。新增服务器和存储设备要求支持FCoE技术。存储设备全部或部分采用SSD固态盘。本期工程新增刀片式服务器70片(若采用虚拟化，则需配置至少2路CPU、64G内存、5-6个千兆网卡、2个FC)、存储80T。计算过程如下：,3.建设方案,服务器需求计算(1)方法一,本方法是估算IDC系统本期工程所需服务器TPCC值。TPCC值主要取决于以下指标：(1)系统同时在线用户数（并发用户）为10000（U1）；(2)平均每个用户每分钟2次业务请求（N1）；(3)平均每次业务请求产生10个事务（T1）；(4)一天内忙时的处理量为平均值的5倍；(5)经验系数为1.6；(6)服务器保留50的冗余。则TPCC=U1*N1*T1*5*经验系数/(1-冗余系数)=10000*2*10*5*1.6/(1-0.5)=3200000，即320万TPMC。考虑服务器虚拟机主备冗余，则系统所需TPCC值为320万*2=640万TPMC。按照每个刀片服务器20万TPMC计算，需32块刀片服务器。由于采用虚拟化软件会造成性能损耗约50%，因此需要新增64台刀片机(4路CPU)。,服务器需求计算(2)方法二,本方法按照不同业务类型分别计算所需服务器数量。(1)50家网站 根据一般托管客户规模，按照每个托管客户3台WEB服务器、2台应用服务器、1台数据库服务器计算，共计300台服务器。可以根据服务器类型进行虚拟化整合，每个客户的WEB、应用服务器、数据库服务器可整合在1台刀片机上。则每家网站需1台刀片式服务器，50家网站共需50台。(2)视频点播 视频点播按照5000用户并发、每台刀片服务器支持800并发用户计算，共需刀片服务器7台。(3)游戏网站镜像 对于游戏网站的镜像，建议将数据库放在源站，镜像站点只做WEB访问和游戏客户端、补丁下载。按照每个网站需要4台物理主机(2台WEB服务器、2台下载服务器)，5家游戏网站共需20台服务器。根据服务器类型进行虚拟化整合，每个客户的服务器整合为2台，共需刀片式服务器10台。(4)此外，单独建设3台服务器(刀片式或机架式)用于管理系统，建议与业务服务器隔离。因此共需新增刀片式服务器70台。,存储需求计算,(1)50家网站 按照每家网站800G存储计算，共需40T存储。(2)视频点播 视频点播按照提供时长1万小时(其中9000小时标清，1000小时高清)的视频资源计算，标清按每个点播用户400K码流，则所需存储数量为：400*3600*9000/1000000000=13T，考虑磁盘开销，取16T裸盘容量。高清按每个用户6M码流，则所需存储数量为：8*3600*1000/1000000=28.8T，考虑磁盘开销，取36T裸盘容量。因此，本期工程视频点播部分需新增存储52T。(3)游戏网站镜像 按照每家游戏网站1T存储计算，共需5T存储。(4)此外再考虑新增5T的后备容量。综上，本期工程共需新增存储容量102T(裸容量)。,50,视频监控系统 在重要的区域和出入口需要安装摄像头来保证这些区域的安全。另外，机房内因为空调设计的需要，设置有若干冷热通道，在每个通道设置摄像头是提高数据中心安全系数的一种有效手段。门禁系统 为保证数据中心的安全，阻止非授权人员入内，减少数据中心的安全风险，在IDC机房安装门禁系统是一种有效手段。在IDC机房的出入口设置门禁系统，门禁系统识别卡根据进入人员的身份设置不同的进入权限，机房进入人员的身份和进出门时间应在系统中进行保存记录，本项目要求IDC机房每个门区应有门禁控制。动力环境监控系统 IDC机房新增电源屏、空调等设备应接入本楼现有动力环境监控系统。,3.建设方案,根据中国移动“绿色行动计划”，绿色节能设计主要包括以下技术手段：(1)基础部件共享：共享高可用电源、风扇等基础部件，降低系统功耗；(2)热管理：包括设备热管理，机房热管理；(3)耐高温：支持机房温度提升。根据青海公司网络及机房现状，本期工程可以考虑采用的技术手段有：(1)热管理优化：通过机房热管理优化（如：空调布局优化、增加顶置风扇等手段），解决局部散热问题，在保证机房设备正常运行的基础上，适当降低环境要求，提升机房温度来实现节能。(2)使用IT虚拟化技术，精简网络结构，实现集中管理，提高资源使用效率，降低单位业务能耗。(3)在设备选型上优先选用高性能、集成度高的刀片式服务器，降低设备对机房空间、电源、空调的需求。(4)对机房设备的电流、温度、湿度等进行实时精细监控，控制空调、UPS等设备的运行，对设备工作、休眠状态进行智能化的管理，达到提高效率、节约能源的目的。本期工程要求IDC机房的PUE值达到1.8以下。,3.建设方案,城东现有电源可用资源如下：(1)西宁城东生产楼一层电力机房建设有1套300KVA UPS系统，目前尚无负载。其输出屏最大端子为250A(可带负载约130KW)。(2)西宁城东生产楼一层电力机房建设有2套2000A直流系统，每套可用容量为1200A，共2400A。目前已规划负载约800A,可供IDC等系统使用的容量约1600A。其输出屏最大端子为630A(可带负载450A)。本期工程将IDC机房B列作为该机房的配电区。本期工程在该列新增4架直流分配屏（A1、A2、A3、A4），2架交流分配屏（A5、A6）。交流分配屏从一层电力室UPS系统二引电，直流分配屏从一层电力室直流系统引电。交流分配屏A5从一层电力室UPS系统UPS输出屏1引电，A6从一层电力室UPS系统UPS输出屏2引电。本期工程在E列至G列各新增直流列头柜2个，在J列新增交流列头柜2个，为保证机房整体效果，建议列头柜尺寸为2200*600*500（H*W*D），背靠背安装。本期工程需在IDC机房内建设接地系统，包括汇流铜条、接地排及相应的接地电缆等。,3.建设方案,电源系统组网示意图,交流供电系统,直流供电系统,电源建设问题说明,(1)机房直流负载若按远期考虑，由于刀片服务器的功耗较大，电力机房现有的2套直流系统容量无法满足整个机房的供电需求，需新增直流系统用于为IDC供电(整个机房需14-16套2000A直流系统)。但在机房前期规划中只规划了2套直流系统的机位，现已被占用，若新增直流系统，必须对机房机位及走线架等规划进行相应修改。(2)本期新增2个交流二次屏，各引250A三相输入，共可带负载130KW。按照每设备机柜功率3KW计算，可带约43个交流设备机柜。而IDC机房规划可放交流设备机柜总数约为13个(J列)。交流二次屏容量可满足本期工程需要，也满足整个IDC机房的需要。(3)为更好的规划一级电源的建设，建议本期工程将电力室新增直流的部分单独立项，本可研投资估算部分也没有包括这部分内容。,55,据上表中对主机房区域的制冷量估算值401KW，需配置80KW空调5+1台。考虑到建网初期设备不多且放置位置集中，实际所需制冷量也有一个逐渐增加的过程，本期工程建议新增2台空调。本期工程所配空调应有加湿功能。本工程新增空调采用地板下送风方式。为更好的规划IDC机房本期及远期机房制冷系统，实现更好的制冷和节能效果，建议本期工程将空调部分单独立项，本可研投资估算部分也没有包括这部分内容,3.建设方案,56,内容提要,5.投资估算,3.建设方案及规模,2.工程现状,1.概述,4.问题说明,57,相关问题说明,1、机房的通风、照明、消防应已建设完成，本工程不再进行建设。2、大楼需能为加湿系统提供软化水，或提供软化水装置的安装位置，保证上下水管路由的通畅。3、为更好的为IDC系统提供一级直流电源和制冷系统，建议将电源和空调部分进行单独立项，从IDC工程中剥离出去。投资估算也未包括这部分内容。4、为提高青海IDC系统的客户体验，可以考虑在后期工程(用户较多时)建设应用层加速系统，在客户端建设加速设备(或安装客户端加速软件)，与IDC自身的加速设备联动，实现更好的用户加速体验。6、如果青海IDC发展了异地客户(如北京、上海)，为方便客户的管理需求，可在后期工程中考虑建设远程管理系统。该系统也可用于对设备进行远程操作、维护等，使维护工作更加方便灵活。7、在工程建设过程中，根据实际情况，上述建设方案可能进行一定的调整。,58,内容提要,5.投资估算,3.建设方案及规模,2.工程现状,1.概述,4.问题说明,59,5.投资估算(1),5.投资估算(2),中国移动通信集团设计院有限公司,Thank You!,