基于测绘应用的数据中心设计与实现

2012-08-16 06:29邵金强史洋勋
科技视界 2012年30期
关键词:容灾备份数据中心

张 磊 邵金强 张 丽 史洋勋

(贵州省地矿局测绘院 贵州 贵阳 550018)

在信息安全方面, 地理信息的安全性直接关系到国家及区域安全, 加强地理信息行业数据及系统的安全性建设成为迫切的要求,除了遵循相关法律外,通过硬件建设提升地理信息的安全性和完备性也显现的尤为重要。 本文将以此展论述:

1 原数据存储状况分析

1.1 原有信息环境特点

该单位原有应用系统有业务数据库,OA 系统, 操作系统为WindowsXP、Windows 2003 等,常用数据库为MS SQL;涉密终端机器约50 台,3 台老式塔式服务器,组建的小型局域网较多,但全院未形成整体的高效局域网;全院范围内电子数据缺少统一的大容量存储介质和一体化管理,业务数据都是单独存放在单台服务器上的,备份保护是部分通过纯手工方式备份、有一部分未做任何备份措施,存储和备份模式存在很大弊端;涉密数据除制度管理约束外缺少信息技术的保障,全院的信息化建设还处于初级状态。

1.2 主要问题

目前,贵州省地矿测绘院负责全省范围内测绘业务,测绘数据对其有相当重要的作用,因此系统及数据不能出现任何故障,必须保证业务系统的连续性和防范业务系统数据的丢失。而现行信息环境具有如下问题:

1)原有数据生产中主要是单机存储,无网络备份,无版本控制,容易因人为因素,造成数据的混乱或丢失;

2)测绘数据在提交后,都是在日常使用的机器上和移动存储设备上进行保存,在拷贝手段和保密性上都存在一定的隐患;

3)受PC 机硬件性能限制,在进行海量空间数据处理和分析过程中,耗时耗力而极大的影响工作效率,对于高性能运算服务器需求更加迫切;

4)在内部管理软件的应用和部署,缺少一定的发布平台,以扩展现行业务领域,同时满足自身的版本管理等相关需求;

5)备份空间处于人工维护状态,随着备份数据的增加,备份副本难以管理,无形中增加维护工作量。

2 建设基本要求及拟采用技术

2.1 建设基本要求

充分保证数据的安全性和系统的稳定性;

实现对财务及人事OA 系统的植入和历史数据的迁移;

满足全院的数据存储及备份需求, 并满足相应的服务器系统建设:

千兆网络到桌面,网络规模新建为50-100 信息点;

历史数据目前4T,每年2T 增长,本期建设应满足五年内需求,并具有较好的可扩展性;

按照标准化机房进行建设。

2.2 拟采用的关键技术

1)防火墙技术

从该院全网范围看,按飞地边界部署规则,需要有防火墙进行隔离。

2)备份及容灾技术

该数据中心的建设中,成果数据的安全性是核心,须通过备份及容灾等相关技术,实现对数据的安全存储,并利用保护策略,实现数据的更高安全保障。

3)版本控制技术

该数据中心的建设中, 过程数据的控制性和可恢复性也不容忽视,采用版本控制技术,对测绘数据生产中的数据进行过程性标记,以保证相应过程数据的安全性和互操作性。

4)工作流技术

逐步引入工作流的理念,对整个数据的提交及归档流程进行信息化规范。

3 IDC 设计与实现

3.1 基本构想

除满足常规数据中心布设的要求外,结合测绘应用的特点,本建设主要围绕着测绘过程数据的版本管理,成果数据的备份容灾,以及应用服务器、数据库服务器和高性能计算服务器的展开。 建设中充分利用现有资源,构建基于SAN 架构的集中存储模式,引入各类服务器提升各应用系统的效能和综合安全性,并引入磁盘阵列和一体化存储设备完成本地集中存储体系建设,从而逐步实现备份及容灾。

3.2 详细设计及具体实施

3.2.1 整体结构

本数据中心基于防火墙、核心交换机、接入交换机构建的三层网络, 通过IBM 高性能数据服务器接入EMC 主磁阵和爱数备份存储柜,并联高性能运算服务器等各类应用服务器,并通过6 类双绞线接入千兆桌面。 大体布设如图1 所示。

图1 数据中心结构图

3.2.2 网络结构:

图2 网络结构图

防火墙:因各个安全域的流量既需要互访、又必须经过严格的访问控制和隔离, 本次采用Secospace USG5000 系列统一安全网关,以保证方便的进行安全域划分,容易扩展和管理,也提高了整体性能。

核心层:采用华为Quidway S9300 系列T 比特核心路由交换机作为核心交换机。 本次配置了S9303 含一个引擎、一个电源、48 个千兆电口,24 个千兆SFP 光接口,2 个多模光模块,并通过光纤接往200 米开外的另一处办公节点。

接入层:使用华为Quidway S5700 系列全千兆企业网交换机作为接入层交换机,以实现该层的分级设计,本次选用的S5700-52C-SI,交换容量为256G,完成千兆到桌面的部署,提升局域网的访问速率和可靠性。

3.2.3 主要服务器

建立数据服务器连接数据存储集群, 满足全院的数据高效存取、备份及共享性, 提高数据存储的可扩展性及安全性。 引入IBM X3755M37164I05 一台作为数据服务器。

建立应用服务器,满足全院内部管理系统的发布要求,同时可以考虑作为软件测试服务器载体, 服务后期的业务扩展并提升工作效率。 引入两台IBMX3650M3 7945I25 作为WEB 及应用服务器。

建立运算服务器, 满足中心内高性能计算及处理等工作需求,利用硬件的高性能提高工作效率,减少工作时间,从而节约成本。对原有3 台IBM X3400 塔式服务器升级,通过负载均衡构建运算集群。

3.2.4 存储及备份

引进国际领先的EMC 磁盘阵列VNXE3100, 此期配置满足5 年使用的容量,考虑到磁盘阵列做了RAID5 技术后的容量,则此次配置在容量上配置为18T,做完RAID 后有14T 的容量,完全满足3-5 年的容量需求。

为使数据能更加完善的得到备份容灾保护,并降低方案成本,采用爱数的备份存储一体化设备PX1200,与传统的4S(Server+System+Backup Software+Storage)架构相比,更为合理和节省资源开销。

3.2.5 配套设施

根据标准化机房的相应要求,机房还需配置UPS 及电池组,满足4 小时供电;建立温控、湿控及防雷等设备;同时建立门禁及监控设备保证机房安全性。[1-3]

3.2.6 安全性设计

数据中心构建上需要从以下三个层次进行安全设计:

设备级的安全:需要保证最容易成为最终攻击目标的设备本身的安全;

网络级的安全:通过进行用户接入认证、授权和审计以防止非法的接入,进行传输加密以防止信息的泄漏和窥测,进行安全划分和隔离以防止为授权的访问等进行安全保证;

系统级的主动安全:智能的防御网络必须在潜在威胁演变为安全攻击之前加以措施,包括通过准入控制来使“健康”的机器才能接入网络,通过事前探测即时分流来防止大规模DDoS 攻击,进行全局的安全管理等。

3.3 相关策略

权限控制:按照IP、MAC、线路实现整体权限控制;通过部门、用户、操作权限的综合配置进行访问和使用权限控制;专业的管理系统还设置相应的秘钥进行权限控制;结合FTP、CVS、爱数等自带功能进行权限控制。

存储控制: 与权限相匹配外, 同时通过数据服务器的Windows Server 2008 相应权限设置和EMC 自带功能结合相应的权限控制机制实现存储控制,逻辑盘符相对独立。

版本化控制:采用CVS 等版本控制工具,对数据处理过程目录进行版本化控制,保证数据安全的同事,适度可以有助于业务的协作分工。

备份控制:通过爱数备份存储柜实现对文件系统、应用系统和操作系统定时定模块的备份策略,如对重要的业务系统的数据库做数据不丢失的实时复制, 对边缘业务系统的数据库做数据库的定时备份,保证业务系统的高安全性,制度控制:通过相应的流程化管理和制度约束,保障系统的正常运转和安全性操作,从而保障数据中心的顺利使用。

4 后期工作展望

本数据中心主要基于测绘行业的特点,围绕数据的安全性和高性能处理上进行考虑,在后续的升级过程中,还需要逐步的考虑深化版本控制和容灾思想,同时引入VMWare 等虚拟软件提升性能,应用统一终端进行桌面安全管理等。

[1]中国电信[2005]658 号“关于印发中国电信IDC 产品规范:试行的通知”[S].

[2]Q/GDW345-2009 国家电网公司企业标准.国家电网公司信息机房评价规范[S].

[3]GB50174-2008 中华人民共和国国家标准.电子信息系统机房设计规范[S].

猜你喜欢
容灾备份数据中心
酒泉云计算大数据中心
创建vSphere 备份任务
民航绿色云数据中心PUE控制
关于建筑企业容灾备份系统方案的探讨
基于中兴软交换的电力通信网络容灾系统建设
旧瓶装新酒天宫二号从备份变实验室
基于云计算的交通运输数据中心实现与应用
Overlay Network技术在云计算数据中心中的应用
出版原图数据库迁移与备份恢复
实施存储虚拟化及应用容灾保障医院信息系统业务连续性