【正文】 復(fù)雜，多個(gè)服務(wù)器上分散的數(shù)據(jù)很難共享，而且這種分散的存儲(chǔ)模式也帶來(lái)了巨大的資源浪費(fèi)，系統(tǒng)管理人員無(wú)法在多個(gè)系統(tǒng)間有效的調(diào)度存儲(chǔ)資源。 在 IDC 系統(tǒng)中，在每個(gè)重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個(gè)探測(cè)器，對(duì)每個(gè)進(jìn)出此段網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行檢查探測(cè)，當(dāng)其發(fā)現(xiàn)某一個(gè)數(shù)據(jù)流不是正常的數(shù)據(jù)流時(shí)，探測(cè)器把此數(shù)據(jù)流截獲住，并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告，然后由管理服務(wù)器在做相應(yīng)的防御對(duì)策。 屏蔽對(duì)于某些 Inter 站點(diǎn) 的訪問(wèn)。在 Inter/Intra 上，通過(guò)防火墻來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制，其目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊，隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，但不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。 文件系統(tǒng)的安全管理 ：控制用戶(hù)對(duì)系統(tǒng)內(nèi)特殊文件的訪問(wèn)權(quán)限，特別是刪除、移動(dòng)等權(quán)限，對(duì)使用 NFS 系統(tǒng)可以采用 kerberos 方式認(rèn)證。除了主機(jī) /服務(wù)器的操作系統(tǒng)自身的安全性之外，目前有多種產(chǎn)品可供選擇，包括 SUN 公司的 Security Manager和 CA 公司的 Unicenter TNG 等產(chǎn)品。這兩個(gè)方面所采用的技術(shù)和思路是一致的。通常 DNS 服務(wù)器采用兩臺(tái)或多臺(tái)的方式來(lái)運(yùn)行，其中一臺(tái)主服務(wù)器（ Primary），其它為次服務(wù)器（ Second） ,當(dāng)主服務(wù)器不能工作時(shí)，有任何一臺(tái)次服務(wù)器來(lái)接管其工作，這樣保證了 DNS系統(tǒng)運(yùn)行的可靠性，主次服務(wù)器之間采用自動(dòng)信息更新方式。 網(wǎng)絡(luò)主交換機(jī) Cat6509 采用模塊設(shè)計(jì)，最多可以支持到 384 個(gè) 10/100 個(gè)快速以太端口，或130 個(gè)千兆以太端口。 VPN：用戶(hù)可能距離 IDC 中心太遠(yuǎn)，從各方面不具備通過(guò) DDN 或 PSTN 線路訪問(wèn)IDC 中心的條件，這是可以通過(guò) INTERNET 采用 VPN 的方式與 IDC 中心連接并維護(hù)服務(wù)器。 5．后端網(wǎng)絡(luò)的設(shè)計(jì) 由于后端網(wǎng)絡(luò)連接 IDC 管理中心，數(shù)據(jù)庫(kù)、郵件等服務(wù)器和大容量存儲(chǔ)系統(tǒng)，需要高速的交換系統(tǒng)，所以我們使用兩臺(tái) Cat6509 交換機(jī)作冗余的核心，連接一組Cat3524 提供和 WEB 服務(wù)器的連接；對(duì)于數(shù)據(jù)庫(kù)等服務(wù)器和存儲(chǔ)系統(tǒng)，可以采用千兆以太端口或千兆以太通道提供高達(dá)數(shù) Gbps 的直接連接。 最少連接 (Least Connection, LC)/最大連接 (Max Connection) Cisco CSS 11000 系列內(nèi)容服務(wù)交換機(jī)是業(yè)界唯一的動(dòng)態(tài)負(fù)載均衡交換機(jī)，采用具有專(zhuān)利權(quán)的 ACA算法，可以根據(jù) Cache服務(wù)器的命中率、流建立數(shù)和 RTT(Round Trip Time)選擇最合適的服務(wù)器應(yīng)答用戶(hù)的請(qǐng)求。 另外，由于現(xiàn)在 INTERNET 上出現(xiàn)越來(lái)越多的多媒體形式的內(nèi)容，指望拓寬INTERNET 出口帶寬來(lái)提高用戶(hù)對(duì)這些內(nèi)容的訪問(wèn)速度是根本不現(xiàn)實(shí)的，而使用CACHE 技術(shù)對(duì) INTERNET 上的這些內(nèi)容進(jìn)行緩存，不但可以使這些內(nèi)容對(duì)用戶(hù)變得現(xiàn)實(shí)可用，提高用戶(hù)的忠誠(chéng)度，而且還可以通過(guò)定期定制一些多媒體節(jié)目在CACHE 中，以有償?shù)姆绞较蛴脩?hù)提供，這就演化成了一種增值服務(wù)。 核心交換層：由兩臺(tái) CISCO6509 多層交換機(jī)構(gòu)成，實(shí)現(xiàn)雙機(jī)容錯(cuò)工作，保證數(shù)據(jù)的高速、無(wú)阻塞的交換。 IDC 的機(jī)房場(chǎng)地建設(shè)主要在如下幾個(gè)方面： 機(jī)房裝修：機(jī)房裝修主要考慮吊頂、隔斷墻、門(mén)窗、墻壁和活動(dòng)地板等。 應(yīng)用開(kāi)發(fā)系統(tǒng)： IDC 應(yīng)提供相應(yīng)的開(kāi)發(fā)系統(tǒng)平臺(tái)，提供相應(yīng)的開(kāi)發(fā)工具，滿(mǎn)足用戶(hù)或 IDC 開(kāi)發(fā)相應(yīng)應(yīng)用的需求。 存儲(chǔ)系統(tǒng)的建設(shè) 存儲(chǔ)系統(tǒng)是 IDC 的重點(diǎn)建設(shè)內(nèi)容之一，作為一個(gè) IDC，其存儲(chǔ)系統(tǒng)是相當(dāng)龐大的，特別是在現(xiàn)在的企業(yè)中，數(shù)據(jù)的容量以由 GB 級(jí)增長(zhǎng)到 TB級(jí)，如此大的數(shù)據(jù)需要有一個(gè)更加安全、可靠的存儲(chǔ)系統(tǒng)，由于訪問(wèn)的數(shù)量也是相當(dāng)龐大的，所以對(duì)存儲(chǔ)系統(tǒng)的效率也有很高 的要求；而且存儲(chǔ)系統(tǒng)應(yīng)具有很好的擴(kuò)展性，以滿(mǎn)足 IDC 的發(fā)展的需求。 IDC 的網(wǎng)絡(luò)管理建設(shè)，由于 IDC 的網(wǎng)絡(luò)結(jié)構(gòu)相當(dāng)龐大而且復(fù)雜，要保證其網(wǎng)絡(luò)不間斷對(duì)外服務(wù)，而且高性能，必須有一高性能的網(wǎng)絡(luò)管理系統(tǒng)。 IDC 作為提供資源外包服務(wù)的基地，它可以為企業(yè)和各類(lèi)網(wǎng)站提供專(zhuān)業(yè)化的服務(wù)器托管、空間租用、網(wǎng)絡(luò)批發(fā)帶寬甚至 ASP、 EC 等業(yè)務(wù)。T、 AO 、 IBM、 Exodus、 UUNET 等大公司的巨資投入；國(guó)內(nèi)不但四大電信運(yùn)營(yíng)商中國(guó)電信、中國(guó)網(wǎng)通、中國(guó)聯(lián)通、中國(guó)吉通開(kāi)始做跑馬圈地，一些專(zhuān)業(yè)服務(wù)商如清華萬(wàn)博、首都在線和世紀(jì)互聯(lián)等，也參與了角逐。 IDC 的 WAN 的建設(shè)，即 IDC 的各分支機(jī)構(gòu)之間相互連接的廣域網(wǎng)的建設(shè) 等。 應(yīng)用服務(wù)器：是 IDC 為用 戶(hù)提供相關(guān)應(yīng)用服務(wù)的服務(wù)器。 安全系統(tǒng)：如防火墻軟件（硬件防火墻除外）、防黑客入侵、防病毒軟件等。 IDC 的內(nèi)部管理系統(tǒng)：保證 IDC 內(nèi)部各 部門(mén)能夠統(tǒng)一協(xié)調(diào)工作，完成高質(zhì)量的服務(wù)。 布線系統(tǒng)：機(jī)房應(yīng)有完整的綜合布線系統(tǒng)，布線系統(tǒng)包括數(shù)據(jù)布線、語(yǔ)音布線、終端布線。 樓層交換機(jī)使用 Catalyst 2924XL 交換機(jī)。在本方案中服務(wù)器置于 CSS11800 內(nèi)容服務(wù)交換機(jī)之后，所以由CSS11800 完成服務(wù)器的負(fù)載均衡。 具有專(zhuān)利權(quán)的 ACA負(fù)載均衡算法 4． WEB 服務(wù)器的連接 我們?yōu)?IDC 中的每臺(tái)托管服務(wù)器都配置兩組網(wǎng)卡，一組用于前端網(wǎng)絡(luò)的連接，提供 WEB 訪問(wèn)；另一組用于后端網(wǎng)絡(luò)的連接，提供對(duì)數(shù)據(jù)庫(kù)、郵件等服務(wù)器以及存儲(chǔ)系統(tǒng)的訪問(wèn)。 入侵檢測(cè)系統(tǒng)則可以對(duì)惡意的入侵行為進(jìn)行探測(cè)，進(jìn)行記錄。 IDC 基礎(chǔ)系統(tǒng)建設(shè) IDC 在前期建設(shè)中，首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng)， IDC 的基礎(chǔ)系統(tǒng)主要有 DNS 系統(tǒng)、目錄服務(wù)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等。 如下圖說(shuō)明了 DNS 解析流程， 我們采用兩臺(tái) Sun E420R 服務(wù)器作為外部 DNS 服務(wù)器，兩臺(tái) Sun E420R 服務(wù)器作為內(nèi)部DNS 服務(wù)器，所有兩臺(tái)服務(wù)器之間以主次方式運(yùn)行， DNS 軟件可采用 Solaris 系統(tǒng)中的，也可使用 Inter 上公開(kāi)的 Bind。另外，各級(jí)防火 墻可采用不同的產(chǎn)品，以提高網(wǎng)絡(luò)整體的安全性。 用戶(hù)管理 ：對(duì)用戶(hù)的管理主要有用戶(hù)的賬號(hào)口令管理，設(shè)置用戶(hù)賬號(hào)的有效期，用戶(hù)賬號(hào)口令的存活期限等。 由于 IDC 主要為客戶(hù)服務(wù)，數(shù)據(jù)主要集中在服務(wù)器上，所以在 IDC 系統(tǒng)的防病毒體系中主要采用集中防病毒方法，但同時(shí)對(duì)一些與服務(wù)器相交戶(hù)的內(nèi)部客戶(hù)段（如管理客戶(hù)段）也采用分散的防病毒方法。 IDC 不僅要建設(shè)自己的防火墻系統(tǒng)，同時(shí)也要考慮特定的用戶(hù)需要建立起自己的防火墻系統(tǒng)，即用需要在其自己的應(yīng)用前增設(shè)相應(yīng)的防火墻系統(tǒng)來(lái)保護(hù)其應(yīng)用的安全（這可根據(jù)用戶(hù)的實(shí)際需求再進(jìn)行建設(shè)）。 對(duì)于 Inter 網(wǎng)站來(lái)說(shuō)，幾分鐘的宕機(jī)都會(huì)帶來(lái)巨大的經(jīng)濟(jì)損失以及不可估量的網(wǎng)絡(luò)用戶(hù)的流失，如果宕機(jī)的時(shí)間再長(zhǎng)一些則可能危及整個(gè)網(wǎng)站的生命。其實(shí)答案是很簡(jiǎn)單的，那就是 集中存儲(chǔ)管理 。 既然存儲(chǔ)服務(wù)是中心化的，有沒(méi)有更好的解決方案，答案是 NETAPP 的 FILER。利用新的信息基礎(chǔ)設(shè)施最大限度的提高信息的共享性，信息共享可在存貯系統(tǒng)平臺(tái)內(nèi)快速有效的完成，無(wú)需占用網(wǎng)絡(luò)資源。 信息的可 用性、保護(hù)性和可管理性將大大提高。在 F840 filer 系統(tǒng)上，首先， filer 具有高度的安全性，安全認(rèn)證由 UNIX 主機(jī)和 WINDOWS NT 主域控制器負(fù)責(zé)，安全等級(jí)達(dá)C2級(jí)；在 NT 環(huán)境中， filer 與 NT 的 ACL（ access control list）功能相結(jié)合可提供更高的安全保護(hù)。光纖通道（ FCAL）的硬盤(pán)有兩個(gè)端口，分別與兩臺(tái) Filer相連。 一旦有故障的 Filer 恢復(fù)正常運(yùn)行后，它不會(huì)自動(dòng)地再接管自己的文件系統(tǒng)，這需要系統(tǒng)管理員干預(yù)才能實(shí)現(xiàn)。 其次是互連的特性，特別是互連具有遠(yuǎn)程內(nèi)存存取能力（有時(shí)也稱(chēng)作非一致性?xún)?nèi)存存取，或者簡(jiǎn)稱(chēng) NVRAM）。接管后，正常工作的 Filer 中的每個(gè)后臺(tái)服務(wù)器進(jìn)程 (daemon)具有兩個(gè)標(biāo)識(shí)符，一個(gè)用于本地 Filer，另一個(gè)用于另一臺(tái)Filer。 Veritas NetBackup 的體系結(jié)構(gòu) NetBackup 采用四層的體系結(jié)構(gòu)，將復(fù)雜的存儲(chǔ)介質(zhì)管理和高性能緊密結(jié)合，可以滿(mǎn)足最大型的數(shù)據(jù)中心的要求。 它還可以實(shí)施連續(xù)性的策略管理，和監(jiān)控企業(yè)系統(tǒng)中每一個(gè)存儲(chǔ)域的狀態(tài)。 非專(zhuān)用磁帶格式 可以生成 tar 兼容的磁帶。NetBackup 向?qū)?快速簡(jiǎn)單地完成備份設(shè)備、存儲(chǔ)介質(zhì)和備份策略的配置。 獨(dú)一無(wú)二的多層結(jié)構(gòu) 同類(lèi)產(chǎn)品中首創(chuàng)的分布式結(jié)構(gòu)體系， Master Server，Media Server 和 Client，所有這些都可以由 Global Data Manager 來(lái)監(jiān)控。 日志的分類(lèi)和識(shí)別 使故障診斷更容易。 層次化存儲(chǔ)管理（ Hierarchical Storage Management） 當(dāng) IDC 運(yùn)行一段時(shí)間以后，一些在線數(shù)據(jù)的訪問(wèn)次數(shù)會(huì)越來(lái)越少，最終到無(wú)人訪問(wèn)；而出于商業(yè)的一些因素，這些數(shù)據(jù)又必須得保存一段時(shí)間，有的甚至要保存幾年。 我們建議主機(jī)采用 Sun Enterprise 220R服務(wù)器，存儲(chǔ)設(shè)備采用 Sun StorEdge L20磁帶庫(kù)。 四個(gè) PCI 插槽 連接到兩條高性能的 PCI I/O 總線上，支持 350 MB/秒的數(shù)據(jù)傳輸速率。基于 Web 的管理軟件加強(qiáng)系統(tǒng)管理。由于數(shù)據(jù)庫(kù)系統(tǒng)在 IDC 的服務(wù)系統(tǒng)占有非常重要的地位，所以在建設(shè) IDC 的數(shù)據(jù)庫(kù)系統(tǒng)時(shí)，必須充分考慮數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)的高性能、高可靠性 和擴(kuò)展性。 在數(shù)據(jù)庫(kù)的存儲(chǔ)上，我們使用 EMC 集中的數(shù)據(jù)存儲(chǔ)方式，見(jiàn)下一章節(jié)關(guān)于 IDC存儲(chǔ)系統(tǒng)的建設(shè)。但這種方式的費(fèi)用較高，資源有可能浪費(fèi)；而且減少了資源的共享，也增加了每個(gè)用戶(hù)的相對(duì)投入；同時(shí)獨(dú)立主機(jī)方式的主機(jī)相對(duì)較小，不便于用戶(hù)在主機(jī)方面的擴(kuò)展和升級(jí)，以及實(shí)現(xiàn)系統(tǒng)的高可用性。如果 IDC 的業(yè)務(wù)發(fā)展很快，也可選用 Sun E10000 作為 WebHosting 服務(wù)器， Sun E10000 具有動(dòng)態(tài)域劃分技術(shù)，可將一臺(tái) 服務(wù)器的資源劃分為若干獨(dú)立的部分，每一個(gè)部分均可作為一完整的計(jì)算機(jī)系統(tǒng)為用戶(hù)提供服務(wù)，可以避免眾多用戶(hù)爭(zhēng)奪主機(jī)和網(wǎng)絡(luò)資源，從而保證用戶(hù)的對(duì)服務(wù)質(zhì)量和響應(yīng)速度的要求。 我們的 Mail Rely 系統(tǒng)可自動(dòng)咨詢(xún) Inter 上的反垃圾郵件中心，以拒絕接受垃圾郵件，并且通過(guò)設(shè)定一些中繼策略來(lái)控制郵件中繼，杜絕被人利用成為垃圾郵件的轉(zhuǎn)發(fā)器。 為此我們采用 2 臺(tái) Sun E420R 服務(wù)器作為 MailRelay(MTA)服務(wù)器，其負(fù)責(zé)相應(yīng)用戶(hù)收發(fā)郵件的請(qǐng)求。采用傳統(tǒng)內(nèi)部應(yīng)用系統(tǒng)還是外包應(yīng)用，關(guān)鍵應(yīng)了解應(yīng)用服務(wù)提供商 (ASP)是不斷發(fā)展的外包服務(wù)的最新演化，提供了部署商業(yè)應(yīng)用的一種新模型。這些正是 IDC 所完全具有的。 3. ASP 提供的服務(wù) ASP 概念的產(chǎn)生，是根據(jù)互聯(lián)網(wǎng)應(yīng)用的發(fā)展孕育而成的，其經(jīng)營(yíng)業(yè)。 ASP 與其他廠商合作向客戶(hù)提供標(biāo)準(zhǔn)化封裝軟件，而 IS 外包和 AM 服務(wù)，以及傳統(tǒng)的托管服務(wù)都是一對(duì)一的，每個(gè)解決方案的部署都是針對(duì)客戶(hù)的特殊要求的。 ASP 自己擁有軟件或擁有軟件商對(duì)軟件訪問(wèn)的許可。 ASP 業(yè)者的價(jià)值在于，可隨時(shí)在網(wǎng)絡(luò)上更新軟件的技術(shù)，整合技術(shù)與服務(wù)的應(yīng)用。應(yīng)用服務(wù)提供商把傳統(tǒng)的外包與 Inter 結(jié)合起來(lái)，為企業(yè)提供了更加誘人的選擇，而不是購(gòu)買(mǎi)打包軟件進(jìn)行企業(yè)內(nèi)部部署。從用戶(hù)的角度看，MailRelay(MTA)就是他們的郵件服務(wù)器。 這樣結(jié)構(gòu)具有如下優(yōu)點(diǎn)： 此軟件具有虛擬主機(jī)能力，支持集中管理、 LDAP 協(xié)議，同時(shí)具有如 SSL 安全特征，訪問(wèn)控制等安全機(jī)制。此種方式的最它特點(diǎn)就是 IDC 利用大型計(jì)算機(jī)系統(tǒng)或集群系統(tǒng)（ Cluster）同時(shí)為多個(gè)用戶(hù)提供多種應(yīng)用服務(wù)，這樣每個(gè)用戶(hù)可以享受到大型計(jì)算機(jī)系統(tǒng)所具有的高可靠性、高可用性和高可維護(hù)性 (即 RAS)。 服務(wù)器 機(jī)器型號(hào) 配 置 備 注 數(shù) 據(jù)庫(kù)服務(wù)器 Sun E4500 4x400MHz UltraSPARC CPU 2GB Memory Internal Disk 數(shù)據(jù)庫(kù)服務(wù)器 Sun E4500 4x400MHz UltraSPARC CPU 2GB Memory Internal Disk Cluster 軟件 QualixHA+ QualixHA+ for Sun E4500 Agent for Oracle,Informix,etc. 虛擬主機(jī)服務(wù)（ WebHosting） 虛擬主 機(jī)服務(wù)是 IDC 的重要業(yè)務(wù)之一，是 IDC 為 ISP、 ICP、 ASP 以及政府機(jī)關(guān)、公司企業(yè)等提供 Web 網(wǎng)站主機(jī)、系統(tǒng)平臺(tái)以及 Inter 連接服務(wù)。數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)如下圖所示。在數(shù)據(jù)備 份服務(wù)器上配有NetBackup 系統(tǒng)軟件，自動(dòng)化模塊和 L1000磁帶庫(kù)；在備份服務(wù)器和其它需作備份的 Client端配有多個(gè) NetBackup Agent 模塊，支持主服務(wù)器及網(wǎng)絡(luò)上其它服務(wù)器的備份。 兩個(gè)可熱切換的電源模塊做到 N+1 冗余。 最大支持兩個(gè) 450MHz UltraSPARCII 64bit RISC 微處理器，每個(gè)微處理器有 4MB L2 緩存。 解決上面問(wèn)題的方法就是層次化存儲(chǔ)管理