数据中心建设方案

核心机房改造方案XX年月20224目录目录1

一、方案概述1

（二）数据中心和核心建设是什么2

（三）综合运维平台建设2

（五）平台迁移…….

4..

（六）方案综述…….

4...

二、数据中心机房建设..4

（一）基本信息4

（二）配电系统4

（三）空调系统6

（四）机房环境监控系统6

（五）方案介绍6

（六）机柜系统7

（七）防雷系统7

（八）接地处理方案8

（九）消防系统8

（十）安防门禁9

（二）业务健康程度10

（三）机房管理10

（四）用户管理12

1.

（一）开放兼容采集海量日志构建安全大数据仓库14

（二）大数据分析精准定位全网核心风险14

（三）构建安全知识库降低运维技术门坎14

（四）安全合规自查等保自评轻松实现14

1.4

（一）现有业务搬迁14

（二）设备扩容

15、方案概述功能，更加有效的反应网络拓扑现状，自动尾随客户网络情况而变化，不需人工干预和调整同时支持设定不同的发现深度，以及设定发现的网络范围，确保一些保密性相对较高的子网不被发现出来发现算法支持SNMP vl/v2/v3和Cisco CD,P确保兼容性统一维运管理信息化的人财物，整合为面向管理者、基于业务、高度可视化的运营管理平台，解决客户信息化投资如何保障、增效、增值的问题,实现统一的IT基础设施管理、业务价值分析、数据中心机房环境、IT运维工作与绩效、IT自动化管理等，致力匡助客户构建完整的IT管理体系，实现自动化、标准化、规范化，提升整体IT管理水平，保持IT业务良性、稳定和长效发展

（二）业务健康程度提供关键业务系统的健康指数曲线，并以K线图的形式直观显示，可以匡助用户了解在每一个时间范围内，这些关键业务系统或者重要的IT资源的综合健康水平和变化趋势，从而使管理者能够直观的看到IT部门对业务系统的支撑质量.IT健康指数可以自定义健康资源对象、权重和监控周期，自定义IT健康指数折线图.选取任意时间节点，可以了解该时间点参与健康指数曲线计算的业务系统的健康度指标和关联告警信息.附图

1.IT健康指数

（三）机房管理随着业务对于IT的依赖度越来越高,IT部门所需要维护的业务系统和IT资源数量更多，各资源间的结构和种类更加复杂，更多的IT资源将更加统

一、集中地部署在数据中心机房中，那末机房环境的变化将对IT资源的正常运行产生直接影响，进而影响业务系统的正常运行因此，IT运维人员还需要关注机房环境的变化情况此外,在节能减排、绿色环保的社会环境下，IT运维人员还要更加关注机房中各设备的能源使用情况基于这样的应用需求，我们采用智能机房环境管理模块，通过TCP/IP网络，直接获取机房环境设备探头的数据信息，并实时进行反馈和呈现；对于不支持TCP/IP网络的机房环境系统，也支持对机房环境管理软件进行集成的形式达成综合性机房环境系统的深入管理工作.通过该模块其他模块的配合，综合业务管理平台可以实现从业务视角对IT资源和环境元素的综合统一管理,让运维管理全方位、不留死角机房监控范围系统支持对温湿度、烟感、水浸、空调、风机、照明、粉尘、电量仪、电量、电流、UPS、电池组、智能配电柜、交流配电屏、直流配电屏、配电空开、防雷、发机电、电气火灾探测器、烟感、温感、消防报警机、视频、门禁、红外、门磁、玻璃破碎、机柜等29种资源统一监控，结合基础资源监控管理实现机房动力环境对业务影响的一体化管理，同时提供告警及报表功能机房监控卡片智能机房环境管理模块可以将每一种不同的机房环境因素都做成一张元素卡片，通过元素卡片，用户能够看见这个元素的真实造型，该元素中所有的指标信息，甚至可以简单地了解该元素的工作原理.附图机房监控卡片

2.UPS可视化视图RIIL提供机房可视化管理视图，从而多角度深层次的呈现和挖掘用户关注的机房内部所有信息支持机房布局3D效果的可视化呈现，通过全3D仿真的虚拟机房环境，可洞悉每一个机房元素,了解机房相关（机房信息、机房元素指标、机房内设备和元素的告警）、机柜相关（包括机柜内的设备信息、设备面板、机柜微环境等）、各种机房设施的信息均以分级分层的效果呈现通告3D可视化视图，支持从机房一机柜一设备一设备面板的可视化数据钻取路径在可视化视图页面，还提供了用户常用工具，如搜索定位、可用空间查询、环境监控（包括空调监控、UPS监控、配电柜监控和视频监控等）、机房统计（包括能耗统计、空间统计、设备统计等）.附图机房可用空间可视化视图

3.自定义机房配置系统内置完整传感器图例（温度、湿度、滴露、浸水、监测仪、空调、烟感、门禁、配电箱、UPS、线式浸水传感器等），通过图形化的所见即所得的拖拽设计方式，灵便设计机房、机柜结构图，设计完成的机房结构图可被即将部署，大大降低实施及后续维护难度传感器是发现和监控机房元素的工作站，系统支持监测仪的添加、删除并完成发现机房和元素的操作，根据管理需要可灵便扩展监测范围附图自定义机房布局设计

4.支持对机房环境中已发现的机房完成基本信息、机房元素、机房状态、PUE、合规性和机房权限等配置,也支持自定义创建新机房，根据管理需要编辑机房基本信息、元素管理、状态配置和权限设置即可完成新机房的创建监测仪设置可以配置监测仪的IP地址、用户名和口令，然后发现机房环境监测元素机房配置:可以设定机房的基本信息机房名称、合规性、管理员、地理位置、面积、描述等.元素管理可对当前机房已发现的机房元素进行修改元素名称和厂商等信息.状态配置:定义当前机房的状态规则PUE设置:定义计算当前机房PUE值的电量仪指标（PUE计算公式二数据中心总电量/IT设备负载电量）合规性设置匹配当前机房合规性级别设置的温度和湿度指标值系统提供默认值，用户可重新定义机柜配置:设定机柜的厂商、规格、名称、归属、机柜与设备的放置关系等信息.支持批量导入和导出功能，并可以设置机柜的能耗关系和微环境元素权限设置定义对当前机房拥有只读或者可操作权限的用户.非监管设备配置对非智能的设备或者受保护不能监控的设备，提供非监管设备配置作为入口，通过人工配置，实现这一类设备能够在机房可视化视图中进行展现.策略配置针对不同机房元素的指标信息进行配置，设定相应的阈值范围，以及与该范围相匹配的事件告警信息

（四）用户管理用户权限管理充分考虑多用户的分权、分域管理，同时能够纤细划分用户的资源、及系统权限系统最高权限为超级管理员，超级管理员将具备最高权限，用于资源的添加、用户添加、权限管理等按部门进行用户管理首先按组织架构创建系统的工作部门，此工作部门可按照实际用户部门组织架构进行设定在设计部门组织的时候可设定部门的上级单位，同时可将用户逻辑的分配在部门内.部门的设置不仅关系到使用运维系统的用户，同时也将在业务服务一览中可以进行对应关系设置，用来显示业务系统对用户的影响用户管理用户管理可以添加用户的详细信息，包括设定用户所在部门,相关详细信息将用作短信、邮件的告警通知在设定完用户后，就可设定用户所属角色及所在部门角色管理角色管理将设定用户的所属角色，这里将设定用户的管理权限及系统的使用权限例如，用户所属为机房管理员，那末机房管理的角色组将只能访问机房监控的相关功能.用户域管理域管理主要用于具有上下级管理的场景，下属节点具备多组织部门，同时各个组织内具备各自的资源管理及用户管理.将能够设定多个子域,同时设定子域内的管理用户及资源列表功能权限管理角色组的管理员将能够被设定所能访问的系统界面，精确到每一个页卡附图

5.功能授权用户与监控对象管理针对实时监控集成系统纳入监控的对象范围，以及用户对监控对象的关心程度，实现用户分权限访问监控资源用户工作组将根据用户所管理资源的不同设定资源管理权限，例如主机管理员工作，设定管理权限为主机操作系统，那末在主机工作组下用户只能在监控系统中看到固定的资源内容

四、信息数据安全建设现有架构的安全平台由于管理员对于不同厂商设备了解程度不同，往往一台设备配置策略之后，就再也不管理，如果不出问题，那台安全设备形同虚设，也不会有人主动去查看安全日志安全平台建成后，可将未来所有安全设备统一联动，避免安全设备浮现零利用率的情况加快等级保护的建设的进程

（一）开放兼容采集海量日志构建安全大数据仓库

1.服务器、网络、安全等各类日志统一采集

2.安全大数据仓库，将海量日志标准化为统一格式

（二）大数据分析精准定位全网核心风险

1.日志、漏洞和资产大数据关联分析，准确定位安全问题

2.丰富的关联分析模型，支持自定义设置，满足各种场景需求

3.内置漏扫引擎，按需进行漏扫计划

（三）构建安全知识库降低运维技术门坎

1.内置工单系统，流程化安全管理，实时监控问题处理过程

2.安全知识库，给技术人员提供技术和解决方案

3.知识库自行管理并不断丰富，提供更新服务

（四）安全合规自查等保自评轻松实现

1.基线扫描引擎，实现资产脆弱性感知和自查

2.脆弱性报表，方便周期性安全检查

3.内置等级保护、萨班斯等标准匹配模型，匡助用户自我测评

五、平台迁移

（一）现有业务搬迁将下列X网设备全部迁移至新机房新网络的架构如下图所示信息中心原有的启明星辰TJCS-NS—VM、H3C SecPathT

1030、H3csecPath网页防篡改旁挂于安全资源池，通过SDN技术对内网进行防护H3C7510依然用于与出口带宽互联，配置4块ACG板卡保证与互联网会话的建立，配置2块防火墙板卡，保障外网不会遭受大流量攻击H3C10500原用于整网核心,并配置1块IPS板卡，继续使用H3c9512用连接各区互联网业务，继续使用.

（二）设备扩容

1.增加一台与原有核心相同型号的交换机，并增加业务板卡，形式双核心备份，增加网络的可靠性保证原有核心不会因为宕机导致业务中心

2.将安全区域改为“即软件定义网络”架构，实现核心及安全区域彻底实现软件化引流，实现动态策略规划，对于转发速度要求高的数据进行快速转发，对于安全性高的数据流量进行引流分析过滤，当单个设备浮现故障时，通过内置的软件策略可以实现拓扑自动变更,网络转发自动恢复

3.增加互联网业务数据缓存系统，提高互联网访问速度，同时可用于X资源分发，加速三通两平台的建设

4.增加IT运维系统，功能包含业务服务、告警中心、资源管理（资源、拓扑和无线）、脚本监控、统计报表组件支持网络虚拟化支持网络虚拟化可对机房UPS、温湿度、火警、烟感等监控探头实施监控

5.增加负载均衡设备，对服务器区业务减少并发压力.

6.增加保垒机一台，对管理员的管理行为进行审计，对于恶意更改与非法登陆做到彻底防范结合X市X局现有数据中心的现状,本次建设的分为四个部份进行建设

（一）现状及业务状况分析现X市X局数据中心机房在市X局的二级单位-X市X学院4楼平台平台历经和X的合作，后期逐渐组建自己的网络中心维护管理着数据中心的业务,平台的几个重要功能分析如下做为X市X局及其各个区县X局的总出口来确保下属各个区县的互联网访问，提供市X局相关工作要求的上传下达处理基于X查询、X管理等重要的业务平台历经了X年的XM到XM的扩容但是随着各个区县对于互联网资源的爆炸式需求，各个区县独立业务的上线普遍放映出来的问题是“慢”，如何解决“慢问题是重中之重X年9月份，市X局下发了各个区县X局独立利用各个区县的财政资金来解决本区域内的物联网带宽的资源问题，很好的解决了各个区县“慢”的问题但是,X市X局数据中心无论是设备还是结构都浮现的严重的老化，无法更好的保证X市X资源的分发和访问建立一个高可用、高安全的数据中心势在必行

（二）数据中心和核心建设是什么数据中心顾名思义，第一是中心,其次是数据那末建设一个什么样子的中心尤其重要中心承载着各种信息数据的基础设备如互联网出口设备、核心数据交换设备、各种数据安全防护设备，数据存储平台设备.结合现状建议把数据中心建设分为几个阶段第一阶段数据中心基础设施建设一个标准数据中心机房的硬件建设应包含基础装修、门禁、安防、UPS、精密空调、机柜容量、防雷接地、消防、网络、服务器等组件，惟独建设一个强大且先进的平台，才干确保在5-8年采购的信息化支持设备能力全力的发挥作用同时可以满足主管单位的检查要求，即使资金有限但是应该全力确保

（三）综合运维平台建设现阶段业务管理情况分析:任何一个完善且健康的数据中心必须管理是重要的手段，如何有效的管理数据中心和一个数据中心能否把业务运行的健康的关键.X市X局数据中心10几年来使用的管理手段比较单一,只能处理独立的业务和设备，对于数据中心的整体运行情况缺少一个直观的分析.如何让本次建设的数据中心体现价值一个先进的数据中心运营维护应该确保

1、上级单位参观可将建设的方向，内容，及思路全面呈现，体现建设的效果

2、确保下属单位参观学习能够体现市X局先进性、高度性、强大的支撑平台确保各个区县的业务稳定高速的运行将业务健康度彻底呈现，将业务风险降至最低，将故障处理时间缩至最短此平台应当还应具备的功能

1、将整体业务的拓扑结构的彻底呈现，其中包含各种可以与信息化对接的系统，例如:网络，服务器，PC,监控,安防，环境功力监测等系统城域网的管理不像普通局域网，普通只需要关心网络设备和终端的故障,需要从业务层面来管理，所以就需要一个好的IT运营管理系统来提供强有力的支撑传统城域网建设会都会遇到以下几个问题

1.基础网络好建设，资源平台怎么建？资源从哪里获得？

2.网络建好了，硬件都是豪华高配，应用却用不起来,资源有没人用，如何破解？

3.如何合理的利用网络资源带宽，让网络资源合理利用，不会造成网络资源的浪费？这些都是X城域网建设中，遇到的难题.网络资源访问的体验差，妨碍了教学模式变革；优秀教学资源无法有效推广，资源利用率低;各校、各区存在信息孤岛，资源无法共享导致城市乡村存在数字鸿沟

（四）数据信息安全建设现代化的数据中心安全一个是数据安全一个是链路通道安全惟独链路通道安全才干确保后台的数据安全建设一个等级保护3级的安全网络所需要条件

1、设备的异构各安全厂商对于不同的安全方向有不同优势，所以一个大型的数据中心应采用不同厂商的安全产品，确保在每一个安全领域均有最好的防护效果

2、统一的管理先进的安全建设会采用不同厂商产品，如果把一个又一个不同厂商的安全设备通过集中管理的模式，会使安全等级进一步完善

3、数据安全通过冗余、备份或者虚拟化等手段进行确保

（五）平台迁移现阶段X市X局数据中心核心设备如下

1.核心出口设备

2.核心交换设备

3.核心箱式安全一体化设备

4.2022年底采购的安全防范设备

（六）方案综述本次X市X局数据中心建设在财政投资预算有限的前提下重点进行基础设施的建设

1.建设高可用、高扩容、高质量的数据中心机房

2.建设完善高效的综合运行管理平台

3.建设数据信息安全管控平台

4.最后完成和原数据中心设备的对接和切割

二、数据中心机房建设

（一）基本信息X市X信息网新机房分为两层，一层为设计配电间与网络机房，二层设计为服务器机房，机房装修包括地面部份、墙面部份、棚顶部份、隔断，墙面装饰及照明系统新机房一层平面示意图新机房二层平面示意图

（二）配电系统X市X信息网新机房配电间与网络机房相连，建设内容如图所示根据机房现有情况及未来扩展需要，建设一套200KVA UPS,UPS配置独立后备蓄电池,支持满载负载一小时UPS电源为大屏幕系统、中心机房服务器、存储设备、网络通讯设备、消防系统和应急照明系统供电,其他设备采用市电供电机房配置一台总配电柜，含市电入户总开关一路，配置电量仪显示入户路线电压;空调控制空开2路，UPS输入空开2路，UPS输出空开2路；分空开48路（每机柜2路）;机房灯光回路空开三路（配电间，网络机房，服务器机房，）;每台机柜两路配电，采用6平方BV线铺设,PDU采用IEC接头机房强电静电地板下铺设，采用镀锌铁槽走线

（二）空调系统网络机房与服务器机房各配置一台精密空调,配电间配置一台立式空调如图中黄色部份所Zj\o机房空调及通风系统主要有两个作用其一；给机房提供足够的新鲜空气，为工作人员创造良好的工作环境维持机房对外的正压差,避免灰尘进入，保证机房有更好的洁净度其二；维持机房的温度、湿度和洁净度，为机房网络设备、服务器等设备提供一个安全的运行环境为使机房的主要设备和管理操作人员有一个良好的工作环境，并使其能够安全、可靠地运行，发挥其最大的工作效率,就要提供一个符合其运行标准要求的机房环境这就对机房空气的制冷、制热、加湿、去湿、滤尘有严格的标准要求.设备运行情、使用寿命与工作环境有密切关系，温度、湿度、洁净度就是工作环境的关键因素,机房采用下送风上回风精密制冷空调

（四）机房环境监控系统环境监控系统集中监控的内容包括:电源监测、精密空调监测、UPS监测、漏水监测、温湿度监测、烟感监测、红外监测网络视频监控系统，可以通过前端安装的摄像机,对机房各重要部位进行图象监控，并且配置网络视频发送器，通过现有计算机网络传输各监控点的监控图象，领导在各自办公室用微机进行监视，在监控中心通过视频服务器和相应的软件对前端监控图象进行视频报警录像

（五）方案介绍对机房内的机电设备，包括，UPS、专业精密空调进行集中监控和管理系统必须可靠、安全、易用、易扩充.监测内容有机房的温湿度、配电及UPS、漏水、门禁、视频监控、精密空调、消防报警、防雷等系统，支持图象识别报警和自动记录视频图象，有数据记录和历史曲线记忆等功能，支持短信报警，支持基于网络的远程监控和查询.

（1）温度、湿度监控:在机房的主要设备工作间均需安装温度和湿度传感探头，对温度、湿度进行实时检测，在监视屏上显示各测点温度、湿度值当检测值超过各工作区规定的温、湿度上、下限值时,在监视屏的相应数据旁用醒目的标志符的闪动来提示该值的超限报警2配电系统监测对配电市电、UPS和中心电源系统主要开关状态监视，实时监视电压V、电流

1、频率F、有功功率P等内容对市电的电压、电流、开关状态以及UPS的运行状态、输入输出电压质量、负载电流进行监控,提前做出予警判断，及时检修，以保障整个机房用电设备的安全.通过UPS自带的通讯模块接口进行采集3漏水系统监测在环绕机房的重点部位及空调机的加湿管、抽湿管、本体等部位的活动地板下，设置漏水传感器，一旦机房浮现漏水情况，即在监控主机上显示漏水部位并报警⑷门禁系统监控:在机房总入口设计一套磁卡门禁管理系统，由集中监控系统统一管理，机房的门加装配套的进出双向门禁控制器和门锁实现的功能:可以本地和远程控制门的开关、通过网络实时查询门禁状态、设定出入等级限制、允许进入时段等多项管理功能;机房门禁产生动作时实时记录门禁的动作时间，对出入人员代码、出入时间、出入门号码进行登录与存储;对非法强行进入人门行为予以报警5精密空调监控精密空调压缩机状态、温湿度监测、风机状态、加热器状态、抽湿器状态、加湿器状态、漏水报警，运行状态、故障报警监测等.在工作站彩色图形显示、记录各种参数、状态、报警、运行时间、趋势图、动态流程图，通过精密空调自带的通讯模块接口进行采集.6消防监控消防系统等设备的性能、运行情况和故障报警.安装在机房和走廊吊顶的感烟探测器及感温探测器发出信号时，在值班监视器上显示火警方位，发出声光报警，使得监控人员能够迅速采取下一步的措施.7防雷系统监控对防雷系统进行全面监视，一旦系统故障即将报警8机房集控系统能够通过声音、提示和手机短信方式通知六机柜系统网络机房机柜如下图右侧所示，共计8台网络机柜,2个列头柜服务器机房共计16台网络机柜，2个列头柜七防雷系统机房按照GB50057—94《建造物防雷设计规范》作好防雷措施，在重要设备端需要设计完善的防雷系统，电源防雷装置至少分为三级，对配电柜、UPS、服务器、核心交换机实施二级防雷防雷器采用质量可靠的设备，具有防浪涌、防雷击过流保护能力.

（八）接地处理方案一级防雷配电柜电源进线处接大容通量的电源防雷器.变压器的机壳、低压侧的交流零线以及与变压器相连的电力电缆的金属外护层应就近接地二级防雷UPS配电箱引出的三根相线及零线接电源防雷器,箱内交流零线不作重复接地.机房内所布放的交流供电路线中的中性线（零线），应采取绝缘导线交流配电箱上的中性线（零线）汇集排应与机架的正常不带电金属部份绝缘.三级防雷使用专用的避雷电源插座机房内所有交直流用电及配电设备均应采取接地保护.交流保护接地线应从接地汇集线上专引，严禁采用中性线作为交流保护接地线

（九）消防系统消防系统是机房必不可少的一个保障.机房消防必须采用无腐蚀作用的气体自动灭火装置气体灭火装置的灭火性能可靠，不损坏电子设备，暗管布方式安装，不影响机房整体效果71机房结构和防火分析

1、机房内的空间结构分为三层:地板下、天花下、和地板天花之间.

2、普通机房的起火因素主要是由电气过载或者短路引起的，燃烧的主要区域普通在地板下或者天花下，燃烧初期发出浓烟，温度上升相对较慢

7.2消防报警系统设计7o

2.1火灾探测器位置设计

1、每一个机房分别在地板下、天花下安装两种不同灵敏度的感烟探测器，既在一个感烟探测器的单位探测面积内设置二只不同灵敏度的探测器

2、每一个机房地板下安装1个感烟探测器，1个感温探测器;天花上安装1个感烟探测器，1个感温探测器7o2o2消防灭火系统设计

1、根据机房的特殊性，本系统采用气体灭火系统，并根据气体灭火的要求，设计系统所需的其他辅助电气设备.

2、设置一个气体紧急启动住手按钮，安装在灭火区域外墙上.

3、设置二个声光报警器设置气体喷放指示灯，安装在灭火区域外一个

4、设置气体喷放指示灯一个,气体喷放指示灯是灭火控制器接到气体管路上的压力开关动作后的返回信号来控制的其他报警系统的设备如手动报警按钮、消防警铃等，按照消防规范设置

（十）安防门禁机房门禁系统多采用刷卡式门禁系统该系统可灵便、方便地规定进入机房的人员、时间、权限，防止人为因素造成的破坏，保证机房的安全同时在各机房内部及周围设置16个球机摄像头，保证无死角监控

三、综合运维平台建设现阶段业务管理情况分析任何一个完善且健康的数据中心必须管理是重要的手段，如何有效的管理数据中心和一个数据中心能否把业务运行的健康的关键.X市X局数据中心10几年来使用的管理手段比较单一，只能处理独立的业务和设备，对于数据中心的整体运行情况缺少一个直观的分析如何让本次建设的数据中心体现价值

（一）网络拓扑在本项目中，推荐采用由统一维运管理平台可以提供多厂商、多种类的IT资源监控，通过标准的协议接口，RIIL可以完成对路由器、交换机、安全设备、无线设备、服务器、数据库、中间件、虚拟化设备、存储设备、应用、日志等监控，并且提供开放的接口，用户可以自行编制监控脚本，完成相应资源的监控作为一款企业级、平台级的综合监控管理平台，通过SNMP、ICMP、NetBIOS ARP、Traceroute、Telnet等多种手段可以良好支持众多厂商的网络设备，包括Cisco、锐捷网络、华为、H3c等不同厂商的路由器、交换机、VPN、防火墙等设备采用业界率先的、独有的DFC算法和CDP算法以及种子IP算法，可以快速搜索全网直至PC端，自动发现获取链路连接信息、设备状态等信息，可广泛应用于多厂商设备，对超大型网络,可设置分级、分别管理不同的子网即使您的网络中包含多家厂商的网络设备，RIIL都可以一网打尽，整网监控此平台可以通过多种手段自动发现、识别网络设备，依据自动发现的各类设备，通过智能拓扑算法,自动生成二层网络拓扑和三层网络拓扑结构图，提供了拓扑的动态跟踪和更新。