【正文】 tas的HSM技術(shù)、SUN公司高性能主機(jī)和磁帶庫(kù)、以及制定有效的備份策略使本方案有很強(qiáng)的擴(kuò)展性，有利于解決各方面的瓶頸問(wèn)題，易于實(shí)現(xiàn)對(duì)數(shù)據(jù)的高效管理。實(shí)現(xiàn)了全網(wǎng)數(shù)據(jù)自動(dòng)化集中管理。根據(jù)IDC業(yè)務(wù)的發(fā)展情況，初期可以配置少量的服務(wù)器。Sun StorEdge L20磁帶庫(kù)的特點(diǎn)有：最大支持2GB主存。最大支持兩個(gè)450MHz UltraSPARCII 64bit RISC微處理器，每個(gè)微處理器有4MB L2緩存。我們建議主機(jī)采用Sun Enterprise 220R服務(wù)器，存儲(chǔ)設(shè)備采用Sun StorEdge L20磁帶庫(kù)。此時(shí)備份服務(wù)器一般配置一定容量的緩沖區(qū)，這對(duì)備份數(shù)據(jù)的瀏覽、檢索和數(shù)據(jù)恢復(fù)都非常重要。通過(guò)NerBackup與HSM技術(shù)的有效結(jié)合，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)更完善的管理。解決上面問(wèn)題的方法就是層次化存儲(chǔ)管理（HSM）技術(shù)，HSM技術(shù)自動(dòng)將在線數(shù)據(jù)進(jìn)行分類，并將不常用的歷史數(shù)據(jù)轉(zhuǎn)移到其它存儲(chǔ)介質(zhì)上去（例如磁帶），同時(shí)將在線數(shù)據(jù)刪除以釋放磁盤空間；而對(duì)用戶而言，這些數(shù)據(jù)看起來(lái)依舊在其原有的位置上，沒(méi)有變化。 層次化存儲(chǔ)管理（Hierarchical Storage Management）當(dāng)IDC運(yùn)行一段時(shí)間以后，一些在線數(shù)據(jù)的訪問(wèn)次數(shù)會(huì)越來(lái)越少，最終到無(wú)人訪問(wèn)；而出于商業(yè)的一些因素，這些數(shù)據(jù)又必須得保存一段時(shí)間，有的甚至要保存幾年。支持所有主要的操作系統(tǒng)包括所有主要的 UNIX平臺(tái)，Windows NT/2000，Novell NetWare，Linux等瀏覽歷史日志可以對(duì)以前的操作進(jìn)行深入分析。日志的分類和識(shí)別使故障診斷更容易。設(shè)備監(jiān)視對(duì)磁帶使用情況和驅(qū)動(dòng)器配置的報(bào)告。備份進(jìn)度條可以清楚知道備份何時(shí)結(jié)束。Media Server的故障切換當(dāng)出現(xiàn)故障時(shí)，自動(dòng)將客戶端的備份進(jìn)程切換到另一臺(tái)服務(wù)器。獨(dú)一無(wú)二的多層結(jié)構(gòu)同類產(chǎn)品中首創(chuàng)的分布式結(jié)構(gòu)體系，Master Server，Media Server和Client，所有這些都可以由Global Data Manager來(lái)監(jiān)控。任務(wù)分類可以根據(jù)備份的重要程度設(shè)置優(yōu)先級(jí)。用戶驅(qū)動(dòng)的備份和恢復(fù)最終用戶的友好界面可以減少系統(tǒng)管理員的干預(yù)。遠(yuǎn)程圖形界面管理可以在任何地方完成所有的備份和恢復(fù)處理，包括通過(guò)撥號(hào)網(wǎng)絡(luò)。NetBackup向?qū)Э焖俸?jiǎn)單地完成備份設(shè)備、存儲(chǔ)介質(zhì)和備份策略的配置。數(shù)據(jù)加密選項(xiàng)美國(guó)和加拿大用戶可以進(jìn)行56位的加密，所有的用戶都可以進(jìn)行40位加密。Windows NT/2000的智能化災(zāi)難恢復(fù)Windows NT/2000的遠(yuǎn)程基于物理設(shè)備的恢復(fù)。中斷點(diǎn)重啟一旦備份中斷，可以從備份中斷的位置重新開始備份。非專用磁帶格式可以生成tar兼容的磁帶?？蛻舳藟嚎s可以減少網(wǎng)絡(luò)流量，現(xiàn)在Windows NT/2000和NetWare的客戶端支持。并行備份和恢復(fù)可以從一個(gè)或多個(gè)客戶端/服務(wù)器通過(guò)多個(gè)數(shù)據(jù)流到一個(gè)或多個(gè)磁帶機(jī)的讀寫，這種并行處理技術(shù)優(yōu)化了性能。NetBackup可以自動(dòng)生成主備份磁帶的拷貝，可以將這些拷貝放在遠(yuǎn)離數(shù)據(jù)中心的地方，以備災(zāi)難恢復(fù)。它還可以實(shí)施連續(xù)性的策略管理，和監(jiān)控企業(yè)系統(tǒng)中每一個(gè)存儲(chǔ)域的狀態(tài)。Veritas Global Data Manager可以對(duì)企業(yè)所有的NetBackup存儲(chǔ)域進(jìn)行集中管理。這一層代表大量的獨(dú)立的機(jī)器。如果一個(gè)機(jī)構(gòu)有多個(gè)分離的數(shù)據(jù)中心，或有數(shù)據(jù)密集性的應(yīng)用，例如數(shù)據(jù)倉(cāng)庫(kù)，它可以設(shè)置多個(gè)Media Server，為本地的大型應(yīng)用備份數(shù)據(jù)的同時(shí)通過(guò)網(wǎng)絡(luò)備份其他客戶端的數(shù)據(jù)。它可以有一個(gè)或多個(gè)磁帶驅(qū)動(dòng)器或磁帶庫(kù)，備份來(lái)自多個(gè)客戶端的數(shù)據(jù)。第一層包括NetBackup的Master Server。 Veritas NetBackup的體系結(jié)構(gòu)NetBackup采用四層的體系結(jié)構(gòu)，將復(fù)雜的存儲(chǔ)介質(zhì)管理和高性能緊密結(jié)合，可以滿足最大型的數(shù)據(jù)中心的要求。1. Veritas NetBackup軟件Veritas公司是業(yè)界在提供數(shù)據(jù)存儲(chǔ)解決方案方面全球性著名公司，Veritas的NetBackup是業(yè)界比較常用的備份服務(wù)軟件。數(shù)據(jù)備份系統(tǒng)在IDC應(yīng)用中，為確保向客戶提供7x24的服務(wù)，各種數(shù)據(jù)的安全可靠是非常重要的一個(gè)環(huán)節(jié)，這需要對(duì)數(shù)據(jù)提供一套完整的管理方案，涉及備份、歸檔、復(fù)制等方面。為了避免一些軟硬件的兼容性問(wèn)題，以及系統(tǒng)運(yùn)行后配置和管理的方便，我們建議將兩臺(tái)F840的軟件和硬件，包括存儲(chǔ)容量配置成完全相同的兩臺(tái)filer。接管后，正常工作的Filer中的每個(gè)后臺(tái)服務(wù)器進(jìn)程(daemon)具有兩個(gè)標(biāo)識(shí)符，一個(gè)用于本地Filer，另一個(gè)用于另一臺(tái)Filer。主要是接管出故障的Filer的IP和MAC地址、文件系統(tǒng)和硬盤，以及后臺(tái)服務(wù)器進(jìn)程(daemon)，并將其使用的NVRAM中的日志記錄項(xiàng)回現(xiàn)。同樣，另一臺(tái)Filer也會(huì)將自己的NVRAM中的日志記錄項(xiàng)拷貝到這臺(tái)Filer的NURAM中。在Cluster的配置中，F(xiàn)iler利用遠(yuǎn)程內(nèi)存存取特性將日志文件中的記錄項(xiàng)拷貝到另一臺(tái)Filer的NVRAM中。其次是互連的特性，特別是互連具有遠(yuǎn)程內(nèi)存存取能力（有時(shí)也稱作非一致性內(nèi)存存取，或者簡(jiǎn)稱NVRAM）。Filer通常利用這些特征將盤上數(shù)據(jù)從故障中恢復(fù)。另外，WAFL在日志文件中記錄所有被服務(wù)過(guò)的、能夠轉(zhuǎn)移到非易先性RAM（NVRAM）中的客戶請(qǐng)求。Cluster Failover的工作原理Cluster Failover主要依靠以下兩個(gè)方面工作：其一是WAFL的特性，特別是WAFL文件系統(tǒng)的盤上狀態(tài)（ONDISK STATE）永遠(yuǎn)是一致的。一旦有故障的Filer恢復(fù)正常運(yùn)行后，它不會(huì)自動(dòng)地再接管自己的文件系統(tǒng)，這需要系統(tǒng)管理員干預(yù)才能實(shí)現(xiàn)。所有在系統(tǒng)本身重起過(guò)程中，能夠保留的狀態(tài)，另一臺(tái)Filer也同樣通過(guò)接管保留。如果一臺(tái)Filer發(fā)生災(zāi)難性故障，即不能重新啟動(dòng)，則另一臺(tái)Filer會(huì)自動(dòng)接管原屬于有故障的Filer的硬盤、文件系統(tǒng)、同時(shí)將其IP地址也歸為己有。正常運(yùn)行時(shí)，兩臺(tái)Filer各自獨(dú)立工作，硬盤、風(fēng)扇或電源出錯(cuò)不影響另一臺(tái)Filer的工作。光纖通道（FCAL）的硬盤有兩個(gè)端口，分別與兩臺(tái)Filer相連。Cluster Failover系統(tǒng)結(jié)構(gòu)圖如下圖所示。只需簡(jiǎn)單的命令行配置即可對(duì)卷組下的用戶目錄空間和最大可創(chuàng)建文件數(shù)作配置，實(shí)現(xiàn)細(xì)化管理。且在網(wǎng)絡(luò)配置上可安裝多個(gè)網(wǎng)卡使filer擁有多個(gè)IP地址，通過(guò)子網(wǎng)配置實(shí)現(xiàn)數(shù)據(jù)的分流和隔離，確保應(yīng)用系統(tǒng)的數(shù)據(jù)獨(dú)立性。在F840 filer系統(tǒng)上，首先，filer具有高度的安全性，安全認(rèn)證由UNIX主機(jī)和WINDOWS NT主域控制器負(fù)責(zé)，安全等級(jí)達(dá)C2級(jí)；在NT環(huán)境中，filer 與NT的ACL（access control list）功能相結(jié)合可提供更高的安全保護(hù)。 我們建議采用Netapp公司的F840作為IDC的NAS存儲(chǔ)系統(tǒng)。根據(jù)應(yīng)用服務(wù)的類型和特點(diǎn)，我們把數(shù)據(jù)庫(kù)、郵件、目錄、計(jì)費(fèi)等系統(tǒng)規(guī)劃為一類，此類服務(wù)的特點(diǎn)是服務(wù)器的種類相同，如數(shù)據(jù)庫(kù)服務(wù)器全為Sun ,存儲(chǔ)的數(shù)據(jù)共享型少，比較集中；把Web服務(wù)歸為另一類，Web服務(wù)器可能是多廠家的（Sun, PC server）,而Web服務(wù)的內(nèi)容共享型比較多，特別是在Web負(fù)載均衡時(shí)，要求多臺(tái)Web服務(wù)器的提供的內(nèi)容要一致。3．存儲(chǔ)方案概述IDC的存儲(chǔ)系統(tǒng)是為應(yīng)用提供服務(wù)的，所以在設(shè)計(jì)IDC存儲(chǔ)系統(tǒng)時(shí)，必須要考慮到所服務(wù)的類型。信息的可用性、保護(hù)性和可管理性將大大提高。在存儲(chǔ)系統(tǒng)建成后，IDC的信息系統(tǒng)將為未來(lái)的發(fā)展（包括業(yè)務(wù)和技術(shù)）奠定了堅(jiān)實(shí)可靠的電子信息基礎(chǔ)架構(gòu)。關(guān)鍵業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)部分實(shí)現(xiàn)熱備份具體目標(biāo)如下:關(guān)鍵數(shù)據(jù)實(shí)現(xiàn)實(shí)時(shí)備份提高信息的可訪問(wèn)性和訪問(wèn)速度，所有的數(shù)據(jù)磁帶備份工作，可通過(guò)備份機(jī)利用本地磁盤鏡像數(shù)據(jù)來(lái)完成，有效降低生產(chǎn)系統(tǒng)的備份窗口需求，大大延長(zhǎng)生產(chǎn)系統(tǒng)的在線服務(wù)時(shí)間。利用新的信息基礎(chǔ)設(shè)施最大限度的提高信息的共享性，信息共享可在存貯系統(tǒng)平臺(tái)內(nèi)快速有效的完成，無(wú)需占用網(wǎng)絡(luò)資源。在新的信息基礎(chǔ)設(shè)施上更有效的完成系統(tǒng)管理，降低系統(tǒng)管理的難度和工作量，從單點(diǎn)實(shí)現(xiàn)對(duì)企業(yè)存儲(chǔ)平臺(tái)的統(tǒng)一管理和控制。完成數(shù)據(jù)整合，建立全網(wǎng)站的信息基礎(chǔ)設(shè)施，在統(tǒng)一的信息存儲(chǔ)平臺(tái)上高效的完成業(yè)務(wù)處理，將所有應(yīng)用系統(tǒng)連入已采用的智能存貯系統(tǒng)平臺(tái)，進(jìn)行數(shù)據(jù)整合，整合后整個(gè)網(wǎng)站的數(shù)據(jù)信息將位于統(tǒng)一的企業(yè)存儲(chǔ)平臺(tái)之上。2．存儲(chǔ)系統(tǒng)的建設(shè)目標(biāo)存儲(chǔ)系統(tǒng)重點(diǎn)是對(duì)整個(gè)網(wǎng)站內(nèi)的數(shù)據(jù)進(jìn)行整合，建立起真正的企業(yè)存儲(chǔ)平臺(tái)，在統(tǒng)一的企業(yè)存儲(chǔ)平臺(tái)上建立集中式的處理中心，更有效的完成業(yè)務(wù)處理，并極大的提高系統(tǒng)的可管理性，降低系統(tǒng)的管理難度及管理開銷，提高信息的可用性和共享性。通過(guò)下面的方案介紹我們就會(huì)明白為什么目前10大IDC中會(huì)有9家采用NETAPP的存儲(chǔ)解決方案來(lái)為IDC的用戶提供基礎(chǔ)設(shè)施和增值服務(wù)。示例二：如果有100臺(tái)SUN或HP的服務(wù)器提供ASP等業(yè)務(wù)，用戶需要對(duì)數(shù)據(jù)進(jìn)行備份保護(hù)，那么一般情況下需要在每臺(tái)服務(wù)器上安裝備份軟件，如果每套軟件價(jià)格大約US$，需要花費(fèi)150萬(wàn)美金，并且這種備份方式要站用大量的網(wǎng)絡(luò)資源和服務(wù)器的計(jì)算資源。假設(shè)有400臺(tái)主機(jī)需要托管并且主機(jī)類型主要是NT、 LINUX等平臺(tái)。作為存儲(chǔ)中心的成本可以有兩種評(píng)測(cè)，一種是簡(jiǎn)單的容量成本，另一種是與IDC系統(tǒng)有關(guān)聯(lián)關(guān)系的功能或服務(wù)成本。作為IDC的集中存儲(chǔ)系統(tǒng)需求要面對(duì)未來(lái)IDC用戶的需求的多樣性，可以按照模塊方式為用戶提供模塊化的服務(wù)。因此IDC如何能夠提供更多的數(shù)據(jù)保護(hù)、數(shù)據(jù)管理服務(wù)成為IDC建立時(shí)系統(tǒng)設(shè)計(jì)的一個(gè)重要方面。IDC之間的競(jìng)爭(zhēng)目前主要表現(xiàn)是網(wǎng)絡(luò)帶寬、基礎(chǔ)設(shè)施等IDC的基本要素的比較，隨著IDC產(chǎn)生的越來(lái)越多，IDC之間的競(jìng)爭(zhēng)已經(jīng)表現(xiàn)在如何能夠?yàn)镮DC的用戶提供更多的數(shù)據(jù)及安全服務(wù)，如：防火墻、數(shù)據(jù)備份、鏡像站點(diǎn)、負(fù)載均衡、統(tǒng)計(jì)分析等數(shù)據(jù)安全、管理、分析等增值服務(wù)。數(shù)據(jù)分布在眾多的平臺(tái)和服務(wù)器之上，備份和管理的工作變的越來(lái)越復(fù)雜，多個(gè)服務(wù)器上分散的數(shù)據(jù)很難共享，而且這種分散的存儲(chǔ)模式也帶來(lái)了巨大的資源浪費(fèi)，系統(tǒng)管理人員無(wú)法在多個(gè)系統(tǒng)間有效的調(diào)度存儲(chǔ)資源。因此整個(gè)IT系統(tǒng)的高可用性變的非常重要，而作為信息系統(tǒng)核心的數(shù)據(jù)部分的高可用性更是重中之重，服務(wù)器的宕機(jī)可以通過(guò)多臺(tái)服務(wù)器冗余帶來(lái)保護(hù)，但是如果服務(wù)器上的數(shù)據(jù)沒(méi)有有效的保護(hù)或成為訪問(wèn)瓶頸，則可能成為致命的缺陷。在傳統(tǒng)的分布式處理模式下，網(wǎng)站內(nèi)所有的信息分布在內(nèi)部各個(gè)服務(wù)器上，信息的管理，信息的可用性受到了很大的限制，不能充分發(fā)揮應(yīng)有的作用，而且系統(tǒng)的升級(jí)和新業(yè)務(wù)的開發(fā)部署也都不能及時(shí)響應(yīng)Internet快速變化的要求，在這種情形下，以信息為中心的集中處理模式應(yīng)時(shí)代的需要再次走上了歷史舞臺(tái)，而構(gòu)建企業(yè)信息基礎(chǔ)設(shè)施則更是集中處理模式的重中之重。數(shù)據(jù)存儲(chǔ)系統(tǒng)1． IDC存儲(chǔ)系統(tǒng)綜述在新的以信息為核心的時(shí)代，如何更有效的管理、保護(hù)和共享企業(yè)信息已為各行業(yè)的發(fā)展提出了新的挑戰(zhàn)。在IDC系統(tǒng)中，在每個(gè)重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個(gè)探測(cè)器，對(duì)每個(gè)進(jìn)出此段網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行檢查探測(cè)，當(dāng)其發(fā)現(xiàn)某一個(gè)數(shù)據(jù)流不是正常的數(shù)據(jù)流時(shí)，探測(cè)器把此數(shù)據(jù)流截獲住，并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告，然后由管理服務(wù)器在做相應(yīng)的防御對(duì)策。4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的入侵檢測(cè)是在網(wǎng)絡(luò)上增加一臺(tái)掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來(lái)實(shí)現(xiàn)。訪問(wèn)日記，即Access Log。完成系統(tǒng)內(nèi)部IP地址到Internet合法IP地址的轉(zhuǎn)換，保證能夠從系統(tǒng)內(nèi)部訪問(wèn)Internet，隱藏內(nèi)部網(wǎng)絡(luò)和主機(jī)的結(jié)構(gòu)。屏蔽對(duì)于某些Internet站點(diǎn)的訪問(wèn)?？刂茝腎nternet上過(guò)來(lái)的IP數(shù)據(jù)的流向，如數(shù)據(jù)包其目的地址只能是某個(gè)區(qū)域的DNS、WWW等服務(wù)器。屏蔽對(duì)于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù)，如Telnet、FTP等。通過(guò)對(duì)IP包的檢查，過(guò)濾對(duì)網(wǎng)絡(luò)安全有潛在威脅的IP數(shù)據(jù)包。在Internet/Intranet上，通過(guò)防火墻來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制，其目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊，隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，但不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。集中防病毒主要是對(duì)進(jìn)出的郵件和HTTP流數(shù)據(jù)進(jìn)行防病毒；分散是保護(hù)內(nèi)部網(wǎng)的單個(gè)終端用戶。集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件，此軟件先對(duì)進(jìn)出此服務(wù)器的數(shù)據(jù)進(jìn)行檢查，然后再把通過(guò)檢查的數(shù)據(jù)發(fā)送給客戶；分散防病毒是只在客戶端安裝防病毒軟件，它只檢查進(jìn)出客戶端的數(shù)據(jù)是否有病毒感染。2．防病毒(AntiVirus)目前病毒在網(wǎng)絡(luò)和Internet上傳播主要以電子郵件和Web瀏覽的方式傳播，以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播。文件系統(tǒng)的安全管理：控制用戶對(duì)系統(tǒng)內(nèi)特殊文件的訪問(wèn)權(quán)限，特別是刪除、移動(dòng)等權(quán)限，對(duì)使用NFS系統(tǒng)可以采用kerberos方式認(rèn)證。如果需要可以規(guī)定用戶只能在指定的時(shí)間內(nèi)才能登錄系統(tǒng)，并對(duì)登錄系統(tǒng)的用戶進(jìn)行審核（audit）。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理、超級(jí)用戶的管理、文件系統(tǒng)安全管理、遠(yuǎn)程對(duì)系統(tǒng)的訪問(wèn)等。Cat4006可以通過(guò)千兆以太通道技術(shù)來(lái)提升主干連接速率，Cat2924也同樣支持快速以太通道和千兆的主干連接，可以在需要的時(shí)候平滑地從現(xiàn)在的10M/100M/1000M的交換結(jié)構(gòu)升級(jí)到100M/1000M/n*1000M的交換結(jié)構(gòu)，成10倍地提升網(wǎng)絡(luò)速率。建筑物主交換機(jī)Cat4006也采用模塊設(shè)計(jì)，支持六個(gè)接口插槽，最多可以擴(kuò)展到240個(gè)快速以太端口，72個(gè)千兆以太端口。網(wǎng)絡(luò)主交換機(jī)Cat6509采用模塊設(shè)計(jì)，最多可以支持到384個(gè)10/100個(gè)快速以太端口，或130個(gè)千兆以太端口。這部分內(nèi)容參見(jiàn)第三章第二節(jié)安全性建設(shè)。7．網(wǎng)絡(luò)安全的考慮網(wǎng)絡(luò)的安全主要通過(guò)防火墻和入侵檢測(cè)系統(tǒng)來(lái)體現(xiàn)，通過(guò)部署防火墻系統(tǒng)，可以將網(wǎng)絡(luò)劃分成幾個(gè)安全等級(jí)不同的部分，對(duì)于要求安全等級(jí)高的部分，還可以通過(guò)部署多級(jí)防火墻來(lái)提供安全保護(hù)。VPN的實(shí)現(xiàn)可以采用IPSec隧道和MPLS VPN技術(shù)，在保證信息正確可達(dá)的情況下，對(duì)用戶信息進(jìn)行高強(qiáng)度的加密，保證用戶信息的不被竊取和完整性。VPN：用戶可