昆仑联通助力某汽车金融企业IDC建设

客户背景

客户企业是经银监会批准,与2006年成立的非银行金融机构。在银监会批准的经营范围内,为经销商提供有竞争力的车辆贷款,为个人和商业客户提供汽车消费信贷,以及从事与上述业务相关的其他辅助业务。

项目需求

在这个信息化高速发展,数据量日渐猛增的时代,传统单数据中心,如果发生数据中心存储故障,可能会导致业务长时间中断,甚至数据丢失,已不足以保护企业数据的安全。根据银监会关于IT系统基础环境指引,客户计划建设两地三中心的容灾备份架构,实现主中心业务出现重大故障时,同城备份中心能够提供有效地信息服务,满足生产业务连续性的需求。

 

项目目标:

ž   部署同城灾备数据中心,前端双活,数据主备

ž   灾备中心建立全新的网络基础架构

ž   重新规划网络及安全架构,实现站点间快速切换和流量智能牵引

ž   满足业务连续性对于网络架构的要求

昆仑联通解决方案

昆仑联通根据对客户公司的应用需求、业务流程和安全特点进行分析,方案设计如下:

1525672868440793.jpg

“两地三中心”架构

1.      新建亦庄IDC数据中心作为集团生产业务主数据中心,承载生产业务、开发测试业务和办公等业务,业务服务器放置在亦庄IDC。汉威大厦作为备份数据中心,主要对生产系统做备份。两中心要满足业务连续性需求。

2.      两地数据中心通过裸光钎(DWDM)互联,考虑生产业务灾备需求,两中心二层网络连通,数据业务内部访问和数据系统的备份通过这两个中心的光纤专线来实现。

3.      亦庄IDC数据中心在整体设计中,采用模块化、层次化的网络设计架构,交换层面分为两个:核心交换、接入交换。整个网络按区域模块划分:互联网接入区、DMZ区、核心交换区、内网服务器区、办公区。

4.      架构设计实现设备级和链路级全方位的冗余需求。

5.      设计满足业务连续性需求的网络架构及切换方案。业务连续性要求在主中心发生网络原因及服务器原因造成的业务中断时,需要网络设备在20分钟内将业务流从主中心切换到备中心。

6.      数据中心业务主要为:对外WEB访问业务、内部访问生产网和开发测试网业务,采用智能DNS技术,实现业务连续性需求。

7.      安全性从外网安全和内网安全两个维度综合考虑,实现安全防护核心业务数据需求。

8.      考虑第三方接入接口类型,设计部署路由器与第三方互联。

 

网络安全

采用外网边界防火墙和内网防火墙双重安全防护设计,在多个维度对整网进行安全防护,并且采用异构安全体系,使用不同厂商的安全设备,利用不同厂商安全策略特点,能够有效的增加入侵者的破解难度。

网络架构

按照模块化和层次化进行设计,模块化设计,按照业务功能设计为:互联网接入区、DMZ区、核心交换区、办公区、以及内网服务器区。

 

互联网接入.jpg

互联网接入区

作为和运营商互联的出口,主要承担两方面的作用,

1.      内部用户访问互联网的统一出口;

2.      对外提供信息服务的入口。

 

在互联网接入区出口部署两台接入交换机,分别链接两条运营商线路。采用堆叠技术,把两台交换机整合为一台交换机,实现冗余性。这种情况下,任意单台设备故障和运营商链路故障,对业务不会造成任何影响。

 

在互联网接入交换机下面,部署两台负载均衡设备,采用HA主备模式部署,当出现设备或网络故障时,可以实现设备的智能冗余切换。

 

负载均衡设备主要提供全局智能DNS解析、全局智能链路负载,智能应用服务器负载。

 

在互联网接入区部署两台下一代防火墙,作为外网边界防火墙,抵御来自互联网的安全威胁。

 

DMZ.jpg

DMZ

该区域主要放置Web服务器,SSLVPN设备,提供对外的访问业务。

 

在内网采用核心和接入二层架构设计,这种层次化设计可以和备份中心服务器实现二层互通,另外二层架构对比三层的架构设计,更符合用户当前需求,更节约成本。

 

内服务器.jpg

内网服务器区

内网服务器区主要放置生产业务服务器和开发测试服务器,是集团的业务核心。部署两台接入交换机,采用堆叠技术实现冗余架构,服务器双网卡分别链接两台交换机,采用链路聚合技术,实现链路冗余和增加带宽的目的。这种架构设计,无论是单台设备、链路或网卡的故障,不会影响系统正常运行,保证业务连续性。

 

核心交换.jpg

在核心交换机和服务器接入交换机之间,串行部署两台下一代防火墙,作为内网防火墙,通过安全访问控制策略,对内网服务器之间跨VLAN访问数量流量,进行深层过滤,实现核心生产服务器的安全防护。

 

核心交换区

部署两台三层核心交换机,采用堆叠技术,实现高可用和冗余架构。

 

在主备数据中心和双活数据中心架构层面,多个数据中心通过内部私有网络互连,统一对外提供服务。在多个数据中心内,应用系统在每个数据中心都是处于活动状态,这种运行模式下,要保障生产业务的持续性,实现智能主备业务切换,必须具备二层互联、服务器的高可用集群和虚拟化服务器迁移技术,这些技术不仅要求数据中心内实现二层网络接入,并且要求两个数据中心之间也实现二层网络的互通,因此,设计在两个数据中心之间,构建一个跨数据中心的二层网络,满足服务器集群和虚拟化迁移的需求。

 

设计在生产系统中心和备份中心间,采用光纤连接,两地之间架设一套点对点DWDM波分复用系统。把1根光纤转换为多条虚拟光纤,总设计开通8个通道。两地核心交换机,通过二层网络互通,用以满足服务器集群和虚拟化迁移等场景,对二层网络的接入需求,两地核心交换机,采用链路聚合技术,实现链路冗余性及增加带宽,并且可以实现整网无二层环路。

 

由于两地的生产网段在同1个VLAN,设计采用VRRP虚拟网关技术,来解决由于两地之间光纤中断,导致无法通信的问题。

 

客户收益

结合用户的需求,昆仑联通服务团队帮助用户重新设计了IDC网络架构、服务器接入和安全策略,完成了备份中心到生产系统中心IDC两地集中化、高性能、高可靠性IDC机房的建设,以及针对未来异地容灾中心打下了坚实的基础。前期项目完成后,昆仑联通的服务团队与用户达成协议,承担起了数据中心的运维服务工作。

 

昆仑联通的安心服务团队拥有的整合式、一站式IT技术服务能力,满足用户数据中心基础架构建设中的多样化需求。一站式服务有利于用户节约自身的IT资源,将更多的精力投入到与业务相关的应用和IT服务流程中。昆仑联通强大的合作伙伴阵营,在项目建设中不仅为用户提供了更多的方案选项,还大大节约项目投入,缩短与厂商沟通的周期。基于数据中心项目的成功,用户对昆仑联通的安心服务团队建立了高度的信任,双方在企业邮件、目录服务、商务协同和信息安全领域展开了新的合作。

相关方案: 
企业级数据中心解决方案
分享到: