docurl=/cn/Partner/Business___SMB_Area/Solutions/Business_Chain/Success_Stories/201003/667932_30007_0.htm

安全、高效——H3C筑造华润集团数据中心

【发布时间:2010-03-29】

客户背景

华润(集团)有限公司是属于国务院国资委管理的中央企业,是中国内地和香港最具实力的多元化企业之一。华润的业务与大众生活息息相关,主营业务包括:零售、电力、啤酒、地产、食品、医药、纺织、化工、水泥、微电子、燃气、压缩机等。

华润集团旗下共有20家一级利润中心,在香港拥有6家上市公司:华润创业(HK291)、华润电力(HK836)、华润置地(HK1109)、华润微电子(HK597)、华润燃气(HK1193)和华润水泥(HK1313)。2008年华润集团全年实现营业额1,450亿港元,经营利润118.9亿元,净利润63.1亿元,总资产3,317亿元,净资产1,436亿元。

需求分析

华润新建的数据中心位于电信级IDC中心,该数据中心网络是华润集团核心业务与数据的汇聚点,承载着华润集团的各项业务系统,集团的关键应用系统都是其重要组成部分。

在本项目一期建设中,集团的100家利润中心通过租用电信运营商MPLSVPN网络方式接入数据中心网络,华润大厦的数据网络通过租用电信运营商50M的SDH/MSTP接入数据中心网络,同时通过Internet供1700多家分支机构和移动办公员工的接入及其对外网站业务。此外有数家银行等的外联接入需求。

华润数据中心网络基础设施所需要达到的安全性、高可用性、扩展性和灵活性等需求可以概括如下:

Ø      高可用性。网络做为数据中心的基础设施,应采用高可靠的产品和技术,充分考虑系统的应变能力、容错能力和纠错能力,确保整个网络基础设施运行稳定、可靠。当今,企业关键业务应用的可用性与性能要求比任何时候都更为重要。比如每天华润集团各利润中心和合作伙伴都会有大量业务核心数据往来,一旦核心数据中心的网络瘫痪,众多关键性业务将遭受无法挽回的利润损失。因此企业数据中心应保证网络基础设施提供每天24小时,每周7天,每年52周的可用性。

Ø      高安全性。网络基础设计的安全性,涉及到企业的核心数据安全。应按照端到端访问安全、网络L2-L7层安全两个维度对安全体系进行设计规划,例如三级企业销售部门不能访问利润中心财务部门,利润中心财务部门不能访问集团总部研发部门,外部访问只能获得在DMZ区域信息。从局部安全、全局安全到智能安全,将安全理念渗透到整个数据中心网络中。

Ø      开放性。数据中心网络建设要全面遵循业界标准,所推荐采用的设备、技术在互通性和互操作性上,可以支持企业各种ERP、数据库、CRM系统的快速布署。

Ø      可扩展性和灵活性。数据中心网络基础设施作为承载业务数据通信的网络平台,必须能够随着应用系统的变化而进行自由缩放,所以网络系统必须具备良好的灵活性及可扩展性,能够满足不断变化的应用需求。

Ø      可管理性。网络系统覆盖整个数据中心,能否对其进行高效的管理和维护将直接影响企业业务系统的运作,因此需要采用智能管理技术实现网络监控和管理。

Ø      统一性。数据中心的网络建设是基于大集中“一个整体”基础上考虑。全网采用统一的架构、策略部署,QoS分类和设备形态,保证全网的可维护性。

方案设计

构建数据中心基础网络时,应采用一种模块化的设计方法,将数据中心划分为不同的功能区域,用于部署不同的应用,使得整个数据中心的架构具备可伸缩性、灵活性、和高可用性。数据中心中的服务器将会根据服务器上的应用的用户访问特性和应用的核心功能分成不同组部署在不同的区域中,但是由于整个数据中心的很多服务是统一提供的,例如数据备份和系统管理,所以为保持架构的统一性,避免资源不必要的重复浪费,一些功能相似的服务将统一部署在特定的功能区域内,例如与管理相关的服务器将被部署在管理区。

采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域,应用不同的设计方法,可以根据不同区域和层次的功能需求进行建设和操作。对于区域而言,我们可以从各个区域的功能来预知这个区域对可扩展性等的要求,例如,部署业务应用的区域可能会需要更高的可扩展性和可用性,方便各种不同行业属性的部门的特色应用,而Internet区将更注重安全性,防止外部各种蠕虫、木马、病毒的各种恶意攻击。

华润数据中心根据不同业务的访问流向和功能,设计了7个功能区:核心区、内部服务器区、内联区、下联区、互联网区、外联区、数据中心管理区。在每个服务器区,再根据应用的不同类型划分不同的层次,例如在内部服务器区中,又划分了数据库服务层、应用服务器层和WEB服务器层。在管理区主要部署管理设备,实现对数据中心网络的集中监控和管理。

方案特色

u      采用H3C特有虚拟化IRF2弹性堆叠技术,将多台设备通过物理端口连接在一起,进行必要的配置后,虚拟化成一台“分布式设备”。传统的双机热备通过VRRP协议,路由规划复杂,收敛时间慢,使用这种虚拟化技术可以实现多台设备的协同工作、统一管理和不间断维护,收敛时间到毫秒级。既具有盒式设备的低成本优点,又具有框式分布式设备的扩展性以及高可靠性优点。

u      安全部署采用H3C secblade系列安全插卡,内部服务器区的接入层交换机部署防火墙模块以增强服务器区不同层次不同应用服务器之间的安全性。内联区、下联区、互联网接入区的三层交换机均部署防火墙模块实现网络边界安全,这样各行业各部门业务互为隔离,不会产生财务,销售等机密数据泄漏。直接在H3C交换机中增加SecBlade FW模块,通过与交换机共用管理平台,降低了客户技术维护人员管理难度。并且交换机的任何端口都可以作为SecBlade FW模块的端口使用,从而降低用户成本。

u      服务器接入区和互联网接入区交换机均部署SecBlade LB业务模块,采用先进的多核硬件架构,丰富的负载均衡调度算法,实现4-7层服务器负载均衡和链路负载均衡,客户服务区集群中的不同性能的机器得到不同任务分配,提升服务器集群应用加速能力,提供了一种廉价、有效、透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力,节省客户计算运维方面的投资,提高网络的灵活性和可用性。

联系我们