【正文】 因素，這些數(shù)據(jù)又必須得保存一段時間，有的甚至要保存幾年。支持所有主要的操作系統(tǒng)包括所有主要的 UNIX平臺，Windows NT/2000，Novell NetWare，Linux等瀏覽歷史日志可以對以前的操作進(jìn)行深入分析。日志的分類和識別使故障診斷更容易。設(shè)備監(jiān)視對磁帶使用情況和驅(qū)動器配置的報告。備份進(jìn)度條可以清楚知道備份何時結(jié)束。Media Server的故障切換當(dāng)出現(xiàn)故障時，自動將客戶端的備份進(jìn)程切換到另一臺服務(wù)器。獨(dú)一無二的多層結(jié)構(gòu)同類產(chǎn)品中首創(chuàng)的分布式結(jié)構(gòu)體系，Master Server，Media Server和Client，所有這些都可以由Global Data Manager來監(jiān)控。任務(wù)分類可以根據(jù)備份的重要程度設(shè)置優(yōu)先級。用戶驅(qū)動的備份和恢復(fù)最終用戶的友好界面可以減少系統(tǒng)管理員的干預(yù)。遠(yuǎn)程圖形界面管理可以在任何地方完成所有的備份和恢復(fù)處理，包括通過撥號網(wǎng)絡(luò)。NetBackup向?qū)Э焖俸唵蔚赝瓿蓚浞菰O(shè)備、存儲介質(zhì)和備份策略的配置。數(shù)據(jù)加密選項(xiàng)美國和加拿大用戶可以進(jìn)行56位的加密，所有的用戶都可以進(jìn)行40位加密。Windows NT/2000的智能化災(zāi)難恢復(fù)Windows NT/2000的遠(yuǎn)程基于物理設(shè)備的恢復(fù)。中斷點(diǎn)重啟一旦備份中斷，可以從備份中斷的位置重新開始備份。非專用磁帶格式可以生成tar兼容的磁帶。客戶端壓縮可以減少網(wǎng)絡(luò)流量，現(xiàn)在Windows NT/2000和NetWare的客戶端支持。并行備份和恢復(fù)可以從一個或多個客戶端/服務(wù)器通過多個數(shù)據(jù)流到一個或多個磁帶機(jī)的讀寫，這種并行處理技術(shù)優(yōu)化了性能。NetBackup可以自動生成主備份磁帶的拷貝，可以將這些拷貝放在遠(yuǎn)離數(shù)據(jù)中心的地方，以備災(zāi)難恢復(fù)。它還可以實(shí)施連續(xù)性的策略管理，和監(jiān)控企業(yè)系統(tǒng)中每一個存儲域的狀態(tài)。Veritas Global Data Manager可以對企業(yè)所有的NetBackup存儲域進(jìn)行集中管理。這一層代表大量的獨(dú)立的機(jī)器。如果一個機(jī)構(gòu)有多個分離的數(shù)據(jù)中心，或有數(shù)據(jù)密集性的應(yīng)用，例如數(shù)據(jù)倉庫，它可以設(shè)置多個Media Server，為本地的大型應(yīng)用備份數(shù)據(jù)的同時通過網(wǎng)絡(luò)備份其他客戶端的數(shù)據(jù)。它可以有一個或多個磁帶驅(qū)動器或磁帶庫，備份來自多個客戶端的數(shù)據(jù)。第一層包括NetBackup的Master Server。 Veritas NetBackup的體系結(jié)構(gòu)NetBackup采用四層的體系結(jié)構(gòu)，將復(fù)雜的存儲介質(zhì)管理和高性能緊密結(jié)合，可以滿足最大型的數(shù)據(jù)中心的要求。1. Veritas NetBackup軟件Veritas公司是業(yè)界在提供數(shù)據(jù)存儲解決方案方面全球性著名公司，Veritas的NetBackup是業(yè)界比較常用的備份服務(wù)軟件。數(shù)據(jù)備份系統(tǒng)在IDC應(yīng)用中，為確保向客戶提供7x24的服務(wù)，各種數(shù)據(jù)的安全可靠是非常重要的一個環(huán)節(jié)，這需要對數(shù)據(jù)提供一套完整的管理方案，涉及備份、歸檔、復(fù)制等方面。為了避免一些軟硬件的兼容性問題，以及系統(tǒng)運(yùn)行后配置和管理的方便，我們建議將兩臺F840的軟件和硬件，包括存儲容量配置成完全相同的兩臺filer。接管后，正常工作的Filer中的每個后臺服務(wù)器進(jìn)程(daemon)具有兩個標(biāo)識符，一個用于本地Filer，另一個用于另一臺Filer。主要是接管出故障的Filer的IP和MAC地址、文件系統(tǒng)和硬盤，以及后臺服務(wù)器進(jìn)程(daemon)，并將其使用的NVRAM中的日志記錄項(xiàng)回現(xiàn)。同樣，另一臺Filer也會將自己的NVRAM中的日志記錄項(xiàng)拷貝到這臺Filer的NURAM中。在Cluster的配置中，F(xiàn)iler利用遠(yuǎn)程內(nèi)存存取特性將日志文件中的記錄項(xiàng)拷貝到另一臺Filer的NVRAM中。其次是互連的特性，特別是互連具有遠(yuǎn)程內(nèi)存存取能力（有時也稱作非一致性內(nèi)存存取，或者簡稱NVRAM）。Filer通常利用這些特征將盤上數(shù)據(jù)從故障中恢復(fù)。另外，WAFL在日志文件中記錄所有被服務(wù)過的、能夠轉(zhuǎn)移到非易先性RAM（NVRAM）中的客戶請求。Cluster Failover的工作原理Cluster Failover主要依靠以下兩個方面工作：其一是WAFL的特性，特別是WAFL文件系統(tǒng)的盤上狀態(tài)（ONDISK STATE）永遠(yuǎn)是一致的。一旦有故障的Filer恢復(fù)正常運(yùn)行后，它不會自動地再接管自己的文件系統(tǒng)，這需要系統(tǒng)管理員干預(yù)才能實(shí)現(xiàn)。所有在系統(tǒng)本身重起過程中，能夠保留的狀態(tài)，另一臺Filer也同樣通過接管保留。如果一臺Filer發(fā)生災(zāi)難性故障，即不能重新啟動，則另一臺Filer會自動接管原屬于有故障的Filer的硬盤、文件系統(tǒng)、同時將其IP地址也歸為己有。正常運(yùn)行時，兩臺Filer各自獨(dú)立工作，硬盤、風(fēng)扇或電源出錯不影響另一臺Filer的工作。光纖通道（FCAL）的硬盤有兩個端口，分別與兩臺Filer相連。Cluster Failover系統(tǒng)結(jié)構(gòu)圖如下圖所示。只需簡單的命令行配置即可對卷組下的用戶目錄空間和最大可創(chuàng)建文件數(shù)作配置，實(shí)現(xiàn)細(xì)化管理。且在網(wǎng)絡(luò)配置上可安裝多個網(wǎng)卡使filer擁有多個IP地址，通過子網(wǎng)配置實(shí)現(xiàn)數(shù)據(jù)的分流和隔離，確保應(yīng)用系統(tǒng)的數(shù)據(jù)獨(dú)立性。在F840 filer系統(tǒng)上，首先，filer具有高度的安全性，安全認(rèn)證由UNIX主機(jī)和WINDOWS NT主域控制器負(fù)責(zé)，安全等級達(dá)C2級；在NT環(huán)境中，filer 與NT的ACL（access control list）功能相結(jié)合可提供更高的安全保護(hù)。 我們建議采用Netapp公司的F840作為IDC的NAS存儲系統(tǒng)。根據(jù)應(yīng)用服務(wù)的類型和特點(diǎn)，我們把數(shù)據(jù)庫、郵件、目錄、計費(fèi)等系統(tǒng)規(guī)劃為一類，此類服務(wù)的特點(diǎn)是服務(wù)器的種類相同，如數(shù)據(jù)庫服務(wù)器全為Sun ,存儲的數(shù)據(jù)共享型少，比較集中；把Web服務(wù)歸為另一類，Web服務(wù)器可能是多廠家的（Sun, PC server）,而Web服務(wù)的內(nèi)容共享型比較多，特別是在Web負(fù)載均衡時，要求多臺Web服務(wù)器的提供的內(nèi)容要一致。3．存儲方案概述IDC的存儲系統(tǒng)是為應(yīng)用提供服務(wù)的，所以在設(shè)計IDC存儲系統(tǒng)時，必須要考慮到所服務(wù)的類型。信息的可用性、保護(hù)性和可管理性將大大提高。在存儲系統(tǒng)建成后，IDC的信息系統(tǒng)將為未來的發(fā)展（包括業(yè)務(wù)和技術(shù)）奠定了堅實(shí)可靠的電子信息基礎(chǔ)架構(gòu)。關(guān)鍵業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)部分實(shí)現(xiàn)熱備份具體目標(biāo)如下:關(guān)鍵數(shù)據(jù)實(shí)現(xiàn)實(shí)時備份提高信息的可訪問性和訪問速度，所有的數(shù)據(jù)磁帶備份工作，可通過備份機(jī)利用本地磁盤鏡像數(shù)據(jù)來完成，有效降低生產(chǎn)系統(tǒng)的備份窗口需求，大大延長生產(chǎn)系統(tǒng)的在線服務(wù)時間。利用新的信息基礎(chǔ)設(shè)施最大限度的提高信息的共享性，信息共享可在存貯系統(tǒng)平臺內(nèi)快速有效的完成，無需占用網(wǎng)絡(luò)資源。在新的信息基礎(chǔ)設(shè)施上更有效的完成系統(tǒng)管理，降低系統(tǒng)管理的難度和工作量，從單點(diǎn)實(shí)現(xiàn)對企業(yè)存儲平臺的統(tǒng)一管理和控制。完成數(shù)據(jù)整合，建立全網(wǎng)站的信息基礎(chǔ)設(shè)施，在統(tǒng)一的信息存儲平臺上高效的完成業(yè)務(wù)處理，將所有應(yīng)用系統(tǒng)連入已采用的智能存貯系統(tǒng)平臺，進(jìn)行數(shù)據(jù)整合，整合后整個網(wǎng)站的數(shù)據(jù)信息將位于統(tǒng)一的企業(yè)存儲平臺之上。2．存儲系統(tǒng)的建設(shè)目標(biāo)存儲系統(tǒng)重點(diǎn)是對整個網(wǎng)站內(nèi)的數(shù)據(jù)進(jìn)行整合，建立起真正的企業(yè)存儲平臺，在統(tǒng)一的企業(yè)存儲平臺上建立集中式的處理中心，更有效的完成業(yè)務(wù)處理，并極大的提高系統(tǒng)的可管理性，降低系統(tǒng)的管理難度及管理開銷，提高信息的可用性和共享性。通過下面的方案介紹我們就會明白為什么目前10大IDC中會有9家采用NETAPP的存儲解決方案來為IDC的用戶提供基礎(chǔ)設(shè)施和增值服務(wù)。示例二：如果有100臺SUN或HP的服務(wù)器提供ASP等業(yè)務(wù)，用戶需要對數(shù)據(jù)進(jìn)行備份保護(hù)，那么一般情況下需要在每臺服務(wù)器上安裝備份軟件，如果每套軟件價格大約US$，需要花費(fèi)150萬美金，并且這種備份方式要站用大量的網(wǎng)絡(luò)資源和服務(wù)器的計算資源。假設(shè)有400臺主機(jī)需要托管并且主機(jī)類型主要是NT、 LINUX等平臺。作為存儲中心的成本可以有兩種評測，一種是簡單的容量成本，另一種是與IDC系統(tǒng)有關(guān)聯(lián)關(guān)系的功能或服務(wù)成本。作為IDC的集中存儲系統(tǒng)需求要面對未來IDC用戶的需求的多樣性，可以按照模塊方式為用戶提供模塊化的服務(wù)。因此IDC如何能夠提供更多的數(shù)據(jù)保護(hù)、數(shù)據(jù)管理服務(wù)成為IDC建立時系統(tǒng)設(shè)計的一個重要方面。IDC之間的競爭目前主要表現(xiàn)是網(wǎng)絡(luò)帶寬、基礎(chǔ)設(shè)施等IDC的基本要素的比較，隨著IDC產(chǎn)生的越來越多，IDC之間的競爭已經(jīng)表現(xiàn)在如何能夠?yàn)镮DC的用戶提供更多的數(shù)據(jù)及安全服務(wù)，如：防火墻、數(shù)據(jù)備份、鏡像站點(diǎn)、負(fù)載均衡、統(tǒng)計分析等數(shù)據(jù)安全、管理、分析等增值服務(wù)。數(shù)據(jù)分布在眾多的平臺和服務(wù)器之上，備份和管理的工作變的越來越復(fù)雜，多個服務(wù)器上分散的數(shù)據(jù)很難共享，而且這種分散的存儲模式也帶來了巨大的資源浪費(fèi)，系統(tǒng)管理人員無法在多個系統(tǒng)間有效的調(diào)度存儲資源。因此整個IT系統(tǒng)的高可用性變的非常重要，而作為信息系統(tǒng)核心的數(shù)據(jù)部分的高可用性更是重中之重，服務(wù)器的宕機(jī)可以通過多臺服務(wù)器冗余帶來保護(hù)，但是如果服務(wù)器上的數(shù)據(jù)沒有有效的保護(hù)或成為訪問瓶頸，則可能成為致命的缺陷。在傳統(tǒng)的分布式處理模式下，網(wǎng)站內(nèi)所有的信息分布在內(nèi)部各個服務(wù)器上，信息的管理，信息的可用性受到了很大的限制，不能充分發(fā)揮應(yīng)有的作用，而且系統(tǒng)的升級和新業(yè)務(wù)的開發(fā)部署也都不能及時響應(yīng)Internet快速變化的要求，在這種情形下，以信息為中心的集中處理模式應(yīng)時代的需要再次走上了歷史舞臺，而構(gòu)建企業(yè)信息基礎(chǔ)設(shè)施則更是集中處理模式的重中之重。數(shù)據(jù)存儲系統(tǒng)1． IDC存儲系統(tǒng)綜述在新的以信息為核心的時代，如何更有效的管理、保護(hù)和共享企業(yè)信息已為各行業(yè)的發(fā)展提出了新的挑戰(zhàn)。在IDC系統(tǒng)中，在每個重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個探測器，對每個進(jìn)出此段網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行檢查探測，當(dāng)其發(fā)現(xiàn)某一個數(shù)據(jù)流不是正常的數(shù)據(jù)流時，探測器把此數(shù)據(jù)流截獲住，并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告，然后由管理服務(wù)器在做相應(yīng)的防御對策。4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的入侵檢測是在網(wǎng)絡(luò)上增加一臺掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來實(shí)現(xiàn)。訪問日記，即Access Log。完成系統(tǒng)內(nèi)部IP地址到Internet合法IP地址的轉(zhuǎn)換，保證能夠從系統(tǒng)內(nèi)部訪問Internet，隱藏內(nèi)部網(wǎng)絡(luò)和主機(jī)的結(jié)構(gòu)。屏蔽對于某些Internet站點(diǎn)的訪問。控制從Internet上過來的IP數(shù)據(jù)的流向，如數(shù)據(jù)包其目的地址只能是某個區(qū)域的DNS、WWW等服務(wù)器。屏蔽對于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù)，如Telnet、FTP等。通過對IP包的檢查，過濾對網(wǎng)絡(luò)安全有潛在威脅的IP數(shù)據(jù)包。在Internet/Intranet上，通過防火墻來在兩個或多個網(wǎng)絡(luò)間加強(qiáng)訪問控制，其目的是保護(hù)一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊，隔離風(fēng)險區(qū)域與安全區(qū)域的連接，但不妨礙人們對風(fēng)險區(qū)域的訪問。集中防病毒主要是對進(jìn)出的郵件和HTTP流數(shù)據(jù)進(jìn)行防病毒；分散是保護(hù)內(nèi)部網(wǎng)的單個終端用戶。集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件，此軟件先對進(jìn)出此服務(wù)器的數(shù)據(jù)進(jìn)行檢查，然后再把通過檢查的數(shù)據(jù)發(fā)送給客戶；分散防病毒是只在客戶端安裝防病毒軟件，它只檢查進(jìn)出客戶端的數(shù)據(jù)是否有病毒感染。2．防病毒(AntiVirus)目前病毒在網(wǎng)絡(luò)和Internet上傳播主要以電子郵件和Web瀏覽的方式傳播，以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播。文件系統(tǒng)的安全管理：控制用戶對系統(tǒng)內(nèi)特殊文件的訪問權(quán)限，特別是刪除、移動等權(quán)限，對使用NFS系統(tǒng)可以采用kerberos方式認(rèn)證。如果需要可以規(guī)定用戶只能在指定的時間內(nèi)才能登錄系統(tǒng)，并對登錄系統(tǒng)的用戶進(jìn)行審核（audit）。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理、超級用戶的管理、文件系統(tǒng)安全管理、遠(yuǎn)程對系統(tǒng)的訪問等。應(yīng)用層的安全將從三個方面來考慮：增強(qiáng)應(yīng)用服務(wù)器系統(tǒng)的安全；采用身份認(rèn)證機(jī)制，以保證應(yīng)用的可靠性；采用數(shù)據(jù)加密技術(shù)和防病毒軟件，以保證應(yīng)用的安全性。除了主機(jī)/服務(wù)器的操作系統(tǒng)自身的安全性之外，目前有多種產(chǎn)品可供選擇，包括SUN公司的Security Manager和CA公司的Unicenter TNG等產(chǎn)品。 通過配置了多級防火墻，以隔離IDC網(wǎng)絡(luò)各個組成部分相互之間的非法訪問（合法訪問可以通過）；對于Internet用戶來講，如果想非法侵入IDC內(nèi)部網(wǎng)絡(luò)，必須突破防火墻的防范。這兩個方面所采用的技術(shù)和思路是一致的。次DNS服務(wù)器Sun E420R2x450MHz UltraSPARC CPU1GB Memory Internal Disk 可 選內(nèi)部DNS主DNS服務(wù)器Sun E420R2x450MHz UltraSPARC CPU1GB Memory Internal Disk具體的服務(wù)器配置如下表所示。如下圖說明了DNS解析流程，為了保證IDC的DNS域名的可靠性和安全性，我們采用Split DNS技術(shù)來設(shè)計IDC的DNS系統(tǒng)，即把IDC的DNS系統(tǒng)劃分為內(nèi)部和外部兩部分，其中外部DNS系統(tǒng)位于公共服務(wù)區(qū)，負(fù)責(zé)IDC正常對外解析工作，如IDC的Web服務(wù)器、IDC用戶的Web服務(wù)器等解析工作全由外部DNS服務(wù)器來完成；內(nèi)部DNS系統(tǒng)主要有兩項(xiàng)工作，一是負(fù)責(zé)解析IDC內(nèi)部網(wǎng)絡(luò)的主機(jī)，如目錄服務(wù)器、郵件服務(wù)器等，另一工作是負(fù)責(zé)當(dāng)內(nèi)部要查詢Internet上域名時，其把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上，然后由外部DNS服務(wù)器完成查詢?nèi)蝿?wù)，返回結(jié)果。IDC的DNS系統(tǒng)除了要為IDC自身服務(wù)之外，還要為其客戶提供相應(yīng)的域名定義、為用戶開設(shè)虛擬域名服務(wù)等。DNS是向用戶提供域名查詢或域名登錄服務(wù)，其與Internet中的其它域名服務(wù)器形成全球域名服務(wù)體系。IDC基礎(chǔ)系統(tǒng)建設(shè)IDC在前期建設(shè)中，首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng)，IDC的基礎(chǔ)系統(tǒng)主要有DNS系統(tǒng)、目錄服務(wù)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等。樓層交換機(jī)Cat2924支持10/100自適應(yīng)端口速率，而且2924支持多交換機(jī)堆疊，在端口數(shù)不夠時，可以簡便地擴(kuò)充端口而無需增加上層交換機(jī)的端口。其交換帶寬可以從32Gbps（15Mpps）擴(kuò)展到256Gbps（150Mpps），用戶可以根