IDC(Internet 數(shù)據(jù) Center,即互聯(lián)網(wǎng)數(shù)據(jù)中心)是一種大型數(shù)據(jù)存儲和處理設(shè)施,用于存儲、處理、管理和分發(fā)互聯(lián)網(wǎng)相關(guān)數(shù)據(jù)和應(yīng)用。IDC的主要功能包括數(shù)據(jù)存儲和管理、服務(wù)器托管和管理、網(wǎng)絡(luò)運營和管理、安全保障和管理以及計算服務(wù)等。IDC通常由一系列網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲設(shè)備、備份設(shè)備、安全設(shè)備、制冷設(shè)備、供電設(shè)備等構(gòu)成。它們通常由大型互聯(lián)網(wǎng)公司、電信運營商、云計算服務(wù)提供商、政府機構(gòu)等來運營和管理。
發(fā)展歷史
初期階段
IDC在上世紀(jì)90年代初期開始出現(xiàn),當(dāng)時主要用于提供網(wǎng)絡(luò)接入和服務(wù)器托管服務(wù)。數(shù)據(jù)中心主要依靠大型服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)設(shè)施構(gòu)建,主要應(yīng)用為WEB服務(wù)器、郵件服務(wù)器等。
標(biāo)準(zhǔn)化階段
2000年左右,數(shù)據(jù)中心標(biāo)準(zhǔn)化開始受到重視。數(shù)據(jù)中心的硬件設(shè)備和軟件系統(tǒng)開始朝著標(biāo)準(zhǔn)化方向發(fā)展,如機柜標(biāo)準(zhǔn)化、機架標(biāo)準(zhǔn)化、網(wǎng)絡(luò)標(biāo)準(zhǔn)化等。此階段主要的應(yīng)用為虛擬主機、云計算等。
智能化和邊緣化階段
2015年左右,數(shù)據(jù)中心開始迎來智能化的階段。隨著人工智能、大數(shù)據(jù)等新技術(shù)的發(fā)展,數(shù)據(jù)中心開始引入智能化管理技術(shù)和智能化設(shè)備。
2020年左右,隨著物聯(lián)網(wǎng)、5G等新技術(shù)的發(fā)展,數(shù)據(jù)中心開始朝著邊緣化方向發(fā)展。數(shù)據(jù)中心開始向邊緣設(shè)備靠近,向用戶提供更加接近終端的計算、存儲、網(wǎng)絡(luò)等服務(wù),提升用戶體驗和應(yīng)用性能。
可靠性和安全階段
在數(shù)據(jù)中心的技術(shù)發(fā)展歷程中,可靠性一直是關(guān)注的重點。為了保證數(shù)據(jù)中心的高可用性和可靠性,數(shù)據(jù)中心逐漸引入了多種技術(shù)和設(shè)備,如冗余電源、冗余網(wǎng)絡(luò)、冗余存儲等。同時,數(shù)據(jù)中心也在加強對系統(tǒng)的監(jiān)控和管理,以及提高故障診斷和修復(fù)的能力。
隨著數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等安全問題的不斷出現(xiàn),數(shù)據(jù)中心的安全問題逐漸成為行業(yè)的焦點。數(shù)據(jù)中心開始采取多層次的安全措施,包括網(wǎng)絡(luò)安全、物理安全、應(yīng)用安全、數(shù)據(jù)安全等,以保障數(shù)據(jù)中心的安全性和可信性。
組成
一般來講, IDC是一個獨立的系統(tǒng),它應(yīng)該包含服務(wù)子系統(tǒng)、資源子系統(tǒng)、網(wǎng)絡(luò)子系統(tǒng)、機房基礎(chǔ)設(shè)施子系統(tǒng)、管理子系統(tǒng)和安全子系統(tǒng)6個邏輯功能部分。
機房基礎(chǔ)設(shè)施子系統(tǒng)
機房基礎(chǔ)設(shè)施子系統(tǒng)為IDC提供機房、供電、消防、制冷、安防、布線等基礎(chǔ)環(huán)境,為其他所有子系統(tǒng)提供服務(wù);機房設(shè)施子系統(tǒng)包括建筑、電氣、制冷、布線、機架等各個方面,這些方面的建設(shè)和維護都應(yīng)該參照已有的國家或者行業(yè)標(biāo)準(zhǔn)進行,例如GB50019《采暖通風(fēng)與空氣調(diào)節(jié)設(shè)計規(guī)范》, GB50016《建筑設(shè)計防火規(guī)范》等。
網(wǎng)絡(luò)子系統(tǒng)
網(wǎng)絡(luò)子系統(tǒng)包括IDC內(nèi)部的支撐網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)出口,為資源子系統(tǒng)和部分基礎(chǔ)服務(wù)提供網(wǎng)絡(luò)環(huán)境。一般來講,IDC網(wǎng)絡(luò)架構(gòu)都是采用層次化、模塊化的設(shè)計方式,將整個網(wǎng)絡(luò)分為4層:互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層和運維及管理層,未來隨著技術(shù)的發(fā)展,數(shù)據(jù)中心的網(wǎng)絡(luò)會更加扁平化。目前的數(shù)據(jù)中心4層結(jié)構(gòu)如圖2所示。IDC業(yè)務(wù)網(wǎng)絡(luò)進行隔離,通過運維管理層的接入及匯聚交換機連接管理子系統(tǒng)各種設(shè)備。隨著可用IPv4地址的日益減少,建議IDC網(wǎng)絡(luò)具備支持IPv6的能力。
互聯(lián)網(wǎng)接入層一般配置核心路由器實現(xiàn)與互聯(lián)網(wǎng)的互聯(lián),同時對IDC內(nèi)網(wǎng)和外網(wǎng)的路由信息進行轉(zhuǎn)換和維護,并連接匯聚層的各匯聚交換機,形成IDC的網(wǎng)絡(luò)核心;匯聚層的交換機實現(xiàn)向下匯聚業(yè)務(wù)接入層各業(yè)務(wù)區(qū)的接入交換機,向上與核心路由器互聯(lián)。部分流量管理設(shè)備、安全設(shè)備可以部署在該層。
資源子系統(tǒng)
資源子系統(tǒng)為IDC提供開展業(yè)務(wù)運營所需的基礎(chǔ)資源池,包括各種計算資源、存儲資源、網(wǎng)絡(luò)資源、軟件應(yīng)用能力資源等。從資源的用途上分,資源子系統(tǒng)可分為網(wǎng)絡(luò)資源、計算資源、存儲資源等資源。
網(wǎng)絡(luò)資源包括IP地址、網(wǎng)絡(luò)帶寬、防火墻、負載均衡、流量過濾等與網(wǎng)絡(luò)相關(guān)的資源;計算資源包括物理主機(Dedicated Server)、虛擬主機(Virtual Server)、虛擬機(Virtual Machine)等資源;存儲資源包括各類以存儲數(shù)據(jù)為目的提供的資源,提供的形式包括存儲設(shè)備(如整套磁盤陣列)、塊設(shè)備(LUN設(shè)備)、文件系統(tǒng)、對象存儲或結(jié)構(gòu)化存儲(如數(shù)據(jù)庫)等。
服務(wù)子系統(tǒng)
IDC服務(wù)子系統(tǒng)提供的服務(wù)包括基礎(chǔ)資源出租服務(wù)和代維/代管等服務(wù)兩大類。
IDC基礎(chǔ)資源出租服務(wù),可以包括但不限于VIP機房出租,主機托管,機架出租,服務(wù)器出租,擬機(Virtual Machine)出租,帶寬出租,IP地址出租和IT系統(tǒng)外包(VDC)服務(wù)。在基礎(chǔ)資源服務(wù)之外, IDC還可提供代維/代管等附加服務(wù),如安全防護、數(shù)據(jù)存儲、流量管理、維護管理、內(nèi)容管理和系統(tǒng)集成等相關(guān)服務(wù)。
IDC也可以根據(jù)技術(shù)、業(yè)務(wù)管理等的變化提供更多種類服務(wù),如云計算概念中的各類服務(wù)等。
管理子系統(tǒng)
管理子系統(tǒng)為IDC的運營維護提供必要的管理支撐,包括網(wǎng)絡(luò)管理、資源管理、運營管理等。
網(wǎng)絡(luò)管理的對象包括IDC內(nèi)自有設(shè)備以及提供代維/代管類增值業(yè)務(wù)的用戶設(shè)備。在有條件的IDC節(jié)點,IDC的網(wǎng)絡(luò)管理系統(tǒng)可以對IDC代維/代管的用戶托管設(shè)備進行管理,保證用戶設(shè)備高效、穩(wěn)定的運行。資源管理支持對IDC中各種資源的日常管理、統(tǒng)計、核對。運營管理應(yīng)該提供服務(wù)管理、用戶管理、運營統(tǒng)計以及環(huán)境監(jiān)控、故障監(jiān)控等服務(wù)。
安全子系統(tǒng)
安全子系統(tǒng)為數(shù)據(jù)中心的其他子系統(tǒng)提供必要的網(wǎng)絡(luò)安全和信息安全等方面的監(jiān)測,提高整個數(shù)據(jù)中心的安全系數(shù)。在IDC網(wǎng)絡(luò)的各層應(yīng)該有如防DDo S攻擊系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)和DNS防劫持系統(tǒng)等相應(yīng)的措施實現(xiàn)對安全的保障。對于IDC業(yè)務(wù)運營者來說,他們應(yīng)該能夠為被服務(wù)對象提供有效的網(wǎng)絡(luò)安全防護手段,例如防火墻、入侵檢測、漏洞掃描、病毒查殺等,以抵御來自網(wǎng)絡(luò)的各種類型的攻擊。IDC業(yè)務(wù)運營者還應(yīng)該具備對自己管轄網(wǎng)絡(luò)內(nèi)信息的溯源能力。
IDC架構(gòu)
物理層
物理層指IDC在運行的過程中,提供的系列基礎(chǔ)配套設(shè)施,主要包括供電系統(tǒng)、消防系統(tǒng)、安保系統(tǒng)、配線、照明系統(tǒng)和制冷系統(tǒng)。IDC系統(tǒng)的物理環(huán)境一般都比較惡劣,因此對數(shù)據(jù)中心的要求較高。物理層作為IDC互聯(lián)網(wǎng)中最重要的部分之一,在整個互聯(lián)網(wǎng)中起著至關(guān)重要的作用,它的好壞將直接影響到整個系統(tǒng)的運行效率。
互聯(lián)網(wǎng)層
互聯(lián)網(wǎng)層包括數(shù)據(jù)通信設(shè)備,如路由器、交換機、防火墻、IDS(入侵檢測系統(tǒng)>以及安全設(shè)備等。互聯(lián)網(wǎng)層是整個互聯(lián)網(wǎng)的核心部分,也是支撐整個互聯(lián)網(wǎng)正常運行的基礎(chǔ),其性能的優(yōu)劣將直接影響到整個互聯(lián)網(wǎng)安全穩(wěn)定地運行,同時也決定了整個互聯(lián)網(wǎng)的成本高低,因此它又是整個互聯(lián)網(wǎng)最重要的組成部分之一,是整個互聯(lián)網(wǎng)的基石,是不可或缺的。互聯(lián)網(wǎng)設(shè)備主要有交換機、路由器、網(wǎng)關(guān)等;互聯(lián)網(wǎng)安全設(shè)備主要包括入侵報警主機、入侵探測及響應(yīng)服務(wù)器、安全管理平臺等。
傳輸層
傳輸層負責(zé)為數(shù)據(jù)提供傳輸通道,其目的在于確保數(shù)據(jù)傳輸?shù)陌踩裕煽啃?穩(wěn)定性、可擴展性,經(jīng)濟性和實用性。安全設(shè)備布置于IDC各個傳輸層,以防止IDC在外部互聯(lián)網(wǎng)上被攻擊,確保IDC內(nèi)部互聯(lián)網(wǎng)及業(yè)務(wù)能夠正常開展。
業(yè)務(wù)層
業(yè)務(wù)層既是IDC的核心要素,又是IDC的價值體現(xiàn)。它根據(jù)用戶的實際需求情況來決定是否要建設(shè)數(shù)據(jù)中心及建設(shè)的數(shù)量,從而滿足不同類型的客戶對數(shù)據(jù)中心資源的需求,因此, IDC的建設(shè)必須以市場需求為導(dǎo)向,才能吸引到更多的高質(zhì)量客戶,使其成為真正意義上的優(yōu)秀的IDC客戶。其功能主要包括數(shù)據(jù)存儲、數(shù)據(jù)分析與應(yīng)用、數(shù)據(jù)備份等。
資源層
資源層是IDC進行業(yè)務(wù)運營所使用的基礎(chǔ),它由計算資源、存儲資源、IP資源、帶寬資源和機房空間資源組成。
主要功能
IDC在現(xiàn)代互聯(lián)網(wǎng)應(yīng)用中發(fā)揮著至關(guān)重要的作用,是許多在線服務(wù)和應(yīng)用的核心基礎(chǔ)設(shè)施之一。IDC的主要功能包括:
IDC設(shè)計需求
可靠性
在數(shù)據(jù)中心的技術(shù)發(fā)展歷程中,可靠性一直是關(guān)注的重點。為了保證數(shù)據(jù)中心的高可用性和可靠性,數(shù)據(jù)中心逐漸引入了多種技術(shù)和設(shè)備,如冗余電源、冗余網(wǎng)絡(luò)、冗余存儲等。同時,數(shù)據(jù)中心也在加強對系統(tǒng)的監(jiān)控和管理,以及提高故障診斷和修復(fù)的能力。
節(jié)能問題
在2010年左右,能源和環(huán)保問題開始引起數(shù)據(jù)中心運營商的關(guān)注。數(shù)據(jù)中心的節(jié)能和綠色設(shè)計成為關(guān)鍵詞。在節(jié)能方面,數(shù)據(jù)中心采用了多種技術(shù)和措施,如服務(wù)器虛擬化、能耗監(jiān)控、采用低功耗處理器等。
安全防護措施
隨著數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等安全問題的不斷出現(xiàn),數(shù)據(jù)中心的安全問題逐漸成為行業(yè)的焦點。數(shù)據(jù)中心開始采取多層次的安全措施,包括網(wǎng)絡(luò)安全、物理安全、應(yīng)用安全、數(shù)據(jù)安全等,以保障數(shù)據(jù)中心的安全性和可信性。
為保障互聯(lián)網(wǎng)數(shù)據(jù)中心的安全,抵御各種威脅和攻擊,需要聯(lián)合使用安全體系中各個層次的安全技術(shù),形成一個完善的安全防預(yù)體系。
虛擬專用網(wǎng)
為了在不安全的互聯(lián)網(wǎng)中實現(xiàn)企業(yè)應(yīng)用的安全訪問和數(shù)據(jù)的安全傳輸,虛擬專用網(wǎng)(VPN)技術(shù)無疑是互聯(lián)網(wǎng)數(shù)據(jù)中心必不可少的安全技術(shù)。VPN通過互聯(lián)網(wǎng)建立一個臨時的、安全的連接,形成一個穿越公網(wǎng)的安全穩(wěn)定的虛擬私有廣域網(wǎng)。網(wǎng)絡(luò)的VPN應(yīng)用有兩種:除了提供防火墻到防火墻的VPN應(yīng)用,支持應(yīng)用在企業(yè)分支機構(gòu)之間互通信息外,還提供移動用戶到VPN防火墻/網(wǎng)關(guān)設(shè)備的 VPN應(yīng)用,支持移動辦公的IP地址不固定的企業(yè)員工從互聯(lián)網(wǎng)上對企業(yè)內(nèi)部資源的訪問。隨著互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)的不斷擴大,還需要保障在有限的網(wǎng)絡(luò)帶寬下實現(xiàn)VPN,并提供業(yè)務(wù)質(zhì)量(QoS)保證。目前的趨勢是采用網(wǎng)絡(luò)控制和應(yīng)用控制,即VPN和身份和訪問管理(IAM)技術(shù)結(jié)合,提供更靈活的訪問控制和安全隔離服務(wù)。
虛擬局域網(wǎng)
數(shù)據(jù)中心多業(yè)務(wù)運營的需求,使得數(shù)據(jù)中心網(wǎng)絡(luò)中服務(wù)器和客戶端之間的縱向流量大于服務(wù)器之間的橫向流量,需要使用虛擬局域網(wǎng)(VLAN)將不同客戶的不同業(yè)務(wù)從第二層隔離開,分配一個VLAN和IP子網(wǎng)。專用VLAN 可以有不同安全級別的端口:專用端口與服務(wù)器連接,只能與混雜端口通信;混雜端口與路由器或交換機接口相連,也可以和共有端口通信;共有端口之間也可以相互通信,主要用于需要相互通信的客戶之間。
防火墻
防火墻是數(shù)據(jù)中心網(wǎng)絡(luò)最基本的安全設(shè)備,可以對不同的信任級別的安全區(qū)域進行隔離,保護數(shù)據(jù)中心邊界安全,同時提供靈活的部署和擴展能力。DoS攻擊和 DDoS攻擊的手段繁多、攻擊時流量突然增大,因此防DoS攻擊對防火墻的功能要求和性能要求比較大。目前互聯(lián)網(wǎng)數(shù)據(jù)中心對防火墻的重點需求是基于狀態(tài)的包檢測功能和虛擬防火墻。狀態(tài)防火墻設(shè)備將狀態(tài)檢測技術(shù)應(yīng)用在ACL技術(shù)上,動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻,而基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能。在物理防火墻無法滿足實際網(wǎng)絡(luò)環(huán)境的情況下,可以實施虛擬防火墻,將物理防火墻邏輯劃分出多個相互無千擾的虛擬防火墻,并依據(jù)業(yè)務(wù)需求設(shè)置合理的細粒度的訪問控制措施。另外,具有QoS機制的防火墻能夠提供流量控制功能,針對不同的應(yīng)用做出合理的帶寬分配和流量控制,防止某個應(yīng)用如FTP、Telnet在某個的時間內(nèi)獨占帶寬資源而導(dǎo)致關(guān)鍵業(yè)務(wù)流量丟失和實時性業(yè)務(wù)流量中斷。
目前大多數(shù)據(jù)中心實施雙機部署、或者部署異構(gòu)防火墻,以滿足高可用性的要求。
流量清洗
為監(jiān)控、告警、防護對應(yīng)用服務(wù)器發(fā)起的 DOS/DDOS攻擊,可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口處部署流量清洗設(shè)備,監(jiān)測異常流量,當(dāng)發(fā)現(xiàn)攻擊時,開啟防御,將異常流量牽引出來進行清洗,將正常的流量回注到服務(wù)器進行業(yè)務(wù)處理。
入侵防御
入侵防御系統(tǒng)檢測蠕蟲.網(wǎng)絡(luò)釣魚、后門木馬,間諜軟件等應(yīng)用層攻擊,可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口和內(nèi)部各安全區(qū)的網(wǎng)絡(luò)匯聚層采用旁掛或者與網(wǎng)絡(luò)設(shè)備融合的部署方式進行部署,主動提供防護,預(yù)先對入侵流量進行攔截,配合防火墻和安全路由器形成從鏈路層到應(yīng)用層的全面防護。互聯(lián)網(wǎng)數(shù)據(jù)中心的應(yīng)用流量對入侵防御系統(tǒng)的性能提出了挑戰(zhàn),需要具備高精度,高效率的入侵檢測引擎和全面及時的攻擊特征庫。
安全管理
為達到互聯(lián)網(wǎng)數(shù)據(jù)中心的運營要求,除了部署健全的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施外,還需建設(shè)的系統(tǒng)的、多層次的、可運營的安全管理系統(tǒng),確保安全策略的集中部署、安全部件的統(tǒng)一管理,安全事件的高度關(guān)聯(lián),從安全管理上提升數(shù)據(jù)中心的整體安全防御能力。
首先應(yīng)制訂正式、有效、全面的安全管理制度,在安全管理機構(gòu)與崗位設(shè)置上嚴(yán)格把關(guān)。加強系統(tǒng)安全運維管理,定期進行設(shè)備檢查,安全監(jiān)察、漏洞掃描,并采取及時地安全事件處置措施,還可利用輔助性管理工具,實現(xiàn)安全配置的自動管理。
在安全信息和事件管理方面,應(yīng)對網(wǎng)絡(luò)設(shè)備、主機服務(wù)器、數(shù)據(jù)庫應(yīng)用系統(tǒng)、云平臺自身管理節(jié)點的安全信息與事件進行管理,進行安全日志管理,針對操作日志,運行日志,故障日志等進行管理,提供設(shè)備、主機、應(yīng)用系統(tǒng)、漏洞、網(wǎng)絡(luò)流量、主機資產(chǎn)等報告。
在用戶身份認(rèn)證與訪問管理方面,應(yīng)按照不同用戶等級,設(shè)計相應(yīng)的數(shù)據(jù)中心資源訪問用戶的訪問權(quán)限。用戶訪問等級權(quán)限應(yīng)區(qū)分管理員用戶、普通用戶的不同權(quán)限。
在故障管理方面,應(yīng)進行故障預(yù)防管理,通過對高危操作的預(yù)防以達到將隱患消除在萌芽狀態(tài)的目的。可根據(jù)不同高危類別,設(shè)定不同級別的高危動作。應(yīng)進行故障管理,如告警處理、故障處理、應(yīng)急處理、部件更換等方面。
參考資料 >
預(yù)見2022:《2022年中國IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)行業(yè)全景圖譜》(附市場規(guī)模、競爭格局和發(fā)展前景等).網(wǎng)易手機網(wǎng).2023-12-09
字節(jié)云要來了嗎?_新浪財經(jīng)_新浪網(wǎng).新浪財經(jīng).2021-11-26
2023年IDC互聯(lián)網(wǎng)數(shù)據(jù)中心研究報告.百家號.2023-12-12