doc
作者doc2017-10-21 14:22
项目经理, 长春理想

企业数据中心运维难点与运维技巧在线探讨

字数 8608阅读 4726评论 1赞 14

随着企业信息化的快速发展,很多企业都建立了自已的数据中心,作为企业数据传输、计算和存储中心的数据中心,集中了各种软件(杀毒软件、办公软件)和硬件资源(网络设备、安全设备、服务器、存储设备等),各种业务系统(办公OA、核心业务系统等),因此数据中心的运维管理变得越来越复杂,越来越因难。

数据中心运维难点包括:太多手工操作、忙于维护、很难快速部署新业务、网络变更很因难,跟不上需求、部署网络很麻烦等等。

本次活动主要从以下几点与大家交流学习,包括数据中心制度与流程、运维人员操作、运维技巧分享、运维难点的解决等方面。

1、如何搭建一个全面的运维中心?

IT运维服务体系永远不会脱离PDCA管理模型:策划---->实施---->检查----->改进---->策划。该模型适用范围很广,在运维的每个阶段都可以套用。

该模型中涉及四大要素:人员、资源、技术和过程。

2、IT运维服务体系建设

体系详细描述为:人员利用现有有形或无形的资源,运用自身或供方能力,通过标准的、规范的过程为需方提供服务级别协议中的运维服务。

人员:相关人员考评、上岗等具备必要衡量指标------知识(基础知识、专业知识、综合知识)、技能(必备的技能、相应的资格)、经验(从事相关活动的经验)。

服务供方也需要具有相应的水平:人员管理、岗位结构、安全意识等方面达到相应的水平。

资源:供方应有能满足需要服务级别协议的资源------运维工具(监控采集工具、过程管理工具、特殊专用工具);

服务台(受理解决跟踪等一系列的制度、用户评价记录);

备件库(供方应具备并有效管理运行维护服务活动所需的备件资源,为所运行维护的设备或系统提供备件服务,按照SLA要求恢复设备或系统的正常运行,确保备件信息的真实性及备件的可用率);

知识库(知识面要广、知识库要有审核制度以确保知识库内信息的可用性和有效性)。

技术:供方具备与运行维护服务策划相适应的技术和手段。应根据需方要求或技术发展趋势,具备发现和解决问题、风险控制、技术储备以及研发、应用新技术和前沿技术的能力。

过程:分为八大类,服务级别管理、服务报告、事件管理、问题管理、配置管理、变更管理、发布管理、信息安全管理。

每个分类都有自己详细的规范,以约束规范供方在提供服务过程中的行为,也能为供方提供改进的参照标准。

确立IT运维服务的对象和内容,做出综合自身条件的服务目录,更好的完善体系,使得体系更适应市场。

3、如何保障服务器、网络及安全等设备工作状态的正常?

可以采用访问控制和权限设置两个方面考虑

1.基本的访问控制方法

入网访问控制为网络访问提供了层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间和在哪台工作站入网。用户登录控制可分为3个方面:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。用户只有通过了所有3方面的检查,才能进入该网络。

2.Windows操作系统的账户安全参数

Windows操作系统具有一般的账户安全特性,用户的账户中记录着账户所属的组。组是一系列用户的代号,是一种简化网络管理的方法,同时也是简化对目标访问的途径,所以必须对组进行仔细的计划和控制。

Windows操作系统的“账户策略”有一些与口令控制有关的项目,这将适用于该系统中存储的所有账户。例如,用户可以设置口令的最短长度、口令的有效期限、当口令失效后是否允许用户修改其口令、用户是否可以使用以前用过的口令等。最重要的口令策略是锁定策略。当在一个指定时间段内提供指定次数的假口令之后,其账户将被锁定而无法再登录系统。此后按照设置可以在一段时问后自动解锁,或由管理员对账户解锁。账户的锁定保护也适用于远程登录。

账户锁定策略的例外是管理员账户Administrator永远不会被锁定,至少在域控制器上如此。因此为了安全考虑,应该为其取一个较长的、随机的好口令,并且仅在特别紧急的时候使用。平时,管理员可以用其他的管理账户登录,进行系统的管理,同时把这些账户设置为具有锁定能力。

3.用户权限控制

权限是由系统管理员赋予用户的特殊属性。只有当用户拥有所需要的访问权限,系统才能满足用户所提出的特殊请求。权限中大多数与管理有关,而许多权限则仅有操作系统自身可使用。一个用户的权限可以延伸到用户在本地或远程会话过程中运行的所有程序中。

用户的权限控制是针对网络非法操作所提出的一种安全保护措施。权限控制机制控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。权限控制有两种实现方式:受托者指派和继承权限屏蔽。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父日录那里继承哪些权限要求。操作系统可以根据访问权限将用户分为以下几类。

(l)特殊用户(即系统管理员)。
(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限。
(3)审计用户,负责网络的安全控制与资源使用情况的审计。

操作系统有自己的权限数据库,其中记录了在该机上可以使用的各个账户的权限。一个域账户在一些机器上有某些权限,而在另一些机器上则可能具有其他的权限。

控制本地登录和远程登录的两个权限具有特殊的重要性。前者允许一个用户在该系统的键盘上登录系统,而后者可以在该机器上建立远程会话。它们可以与域结构和本地匹配账户策略有效地结合在一起,用于确定在网络范围内可以使用哪些账户,使域结构简单化。

在用户权限控制的基础上还可以进一步建立属性安全控制。在提供文件、目录、设备等资源时,刚络系统管理员应给文件、目录等指定访问属性,形成一组网络资源安全属性。用户对网络资源的访问极限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派的有效权限,属性往往能控制以下几个方面的权限:向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、修改、显示等。

4、如何处理内网、外网的数据交互的同时保障网络安全?

网络安全系统主要依靠防火墙、网络防病毒系统等技术在网络层构筑一道安全屏障,并通过把不同的产品集成在同一个安全管理平台上实现网络层的统一、集中的安全管理。

网络层安全平台

选择网络层安全平台时主要考虑这个安全平台能否与其他相关的网络安全产品集成,能否对这些安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。

一个完善的网络安全平台至少需要部署以下产品:
防火墙、网络的安全核心提供边界安全防护和访问权限控制;
网络防病毒系统、杜绝病毒传播提供全网同步的病毒更新和策略设置提供全网杀毒。

安全网络拓扑结构划分

防火墙主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各类计算机,所以要科学地划分计算机的类别来细化安全设计。在整个内网当中,根据用途可以将计算机划分为三类:内部使用的工作站与终端、对外提供服务的应用服务器以及重要数据服务器。这三类计算机的作用不同,重要程度不同,安全需求也不同。

第一、重点保护各种应用服务器特别是要保证数据库服务的代理服务器的绝对安全不能允许用户直接访问。对应用服务器则要保证用户的访问是受到控制的要能够限制能够访问该服务器的用户范围使其只能通过指定的方式进行访问。

第二、数据服务器的安全性要大于对外提供多种服务的WWW服务器、E-mail服务器等应用服务器。所以数据库服务器在防火墙定义的规则上要严于其他服务器。

第三、内部网络有可能会对各种服务器和应用系统的直接的网络攻击,所以内部办公网络也需要和代理服务器、对外服务器、WWW、E-mail等隔离开。

第四、不能允许外网用户直接访问内部网络。

上述安全需求需要通过划分出安全的网络拓扑结构,并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。划分网络拓扑结构时,一方面要保证网络的安全;另一方面不能对原有网络结构做太大的更改。为此建议采用以防火墙为核心的支持非军事化区的三网段安全网络拓扑结构。

5、如何简化数据中心的运维管理,提高运维的工作效率?

随着云计算、大数据的高速发展,数据中心在规模、密度和复杂性上都有所增长,企业都在寻找更有效的工具来降低成本,同时希望提高工作效率,减少能耗。传统功能单一的数据中心基础设施管理系统(DCIM)已难以应付纷繁多变的网络环境,动力环境,成本压力,企业内部管理和运维效率的优化。因此,我们除了要有一款ODCC,CDCC和DCA所定义的 DCIM应该有的功能外,我们还需要有一款能够帮助数据中心或其他大型信息中心的管理者、经营者和运维人员提高管理效率、资源利用率和工作流程,以及业务状况的综合管理系统。

6、网络检测通过,但连接PC显示网络断开?

这钟问题主要从以下几方面检查

1.网线水晶头是否全通
2.pc端或墙端接触不良
3.对应的交换机接口有问题,也就这些吧

7、网络布线做好后,怎么验收呢?需要从哪些方面来考虑?

具体验收方法请参照GB50312-2007《综合布线系统工程验收规范》,验收注意以下几点:

  1. 所有信息点百分之百的做永久链路测试,连接模型按规范要求;
  2. 测试指标项目按照布线系统支持的网络(如百兆、千兆、万兆、以太网络)确定,具体见规范的指标参数表格;
  3. 确定测试仪表的功能与精度;
  4. 测试结果应打出文档资料以保存;
  5. 应对工程的质量做出评判的标准(合格或不合格)。

规范有比较的详尽的描述,如仍有问题,可再提出。

8、千兆端口模式能否实现POE供电?用a或b标准打的线是否可以跑千兆?

按照a或者b标准打的线能跑千兆,但是8芯线必须全部互通(因为百兆只要两端的1326互通就可以了)

POE供电方式有两种:一种是两对线传输信息,两对线供电;另一种方式是线对即传输信息又输送电源。POE供电主要取决于网络设备的功能,传输线路没有问题。

9、人工智能如何增强数据中心的安全性?

IT服务的安全性分为很多层次。例如,安全层包括防火墙、入侵检测和访问控制。基础设施层包括电力、网络及服务器的状态和冷却。但最重要的还是运维层。经验丰富的工作人员能够采用正确的流程,以确保数据中心运行一切正常。人工智能通过简化相应的步骤提高效率,对数据中心运维产生重大影响。

在互联网快速发展的今天,人工智能和深度学习将成为解析数据中心所生成大量数据的技术保障,通过人工智能可以更有效地管理服务交付,同时减少数据中心宕机等风险。这些都源于交付应用程序工作负载的转变。

10、大家所在公司的数据中心运维岗位一般是几个人?是一人完成所有的工作还有几个人各有分工?

我服务的一些小公司都是一个人在做运维,从桌面到网络、服务器、机房一条龙服务的,有时忙不过来就得联系集成公司帮忙处理,大一些的公司通常运维包括桌面、网络安全、服务器及应用软件开发人员等组成,你们的公司运维是是么情况,大家可以谈一下

11、IDC机房PDU规划?

IDC机房PDU规划布局建议考虑如下原则:

(1)服务器主机、存储设备、服务器机柜宜分区布置,主机、存储设备、服务器机柜及UPS、空调机等设备应按产品要求留出检修空间,允许相邻设备的维修间距部分重叠。
(2)设备之间走道净宽不应小于1200mm,才可以包装充足的安装检修空间。
(3)划分阶段进入机房的设备及预留扩充设备的相对位置,既要符合计算机系统的工艺流程,又要方便今后扩充设备的进场就位及线缆的连接。
(4)服务器机柜侧面可无间距排列,并柜,以便于强、弱电线(缆)的敷设。每排机柜之间的距离最好符合地板模数,以避免机柜前后出现小于30Omm的补边地板。
(5)放置发热量较大的服务器如IBM690、670等服务器机柜时,其机柜前面之间的净距离不应小于2.lm,以免热密度太高从而影响设备的散热。
(6)设备较多的服务器机房建议列头柜方式,使综合布线线缆汇集到列头柜而不是核心柜从而节省双绞线与光纤,同时便于使用二级网络交换设备,也便于安装使用服务于某列机柜的KVM系统。
(7)新风机的安装位置应保证新风是取自室外新鲜、清洁的空气,新风人口应不影响大楼外观,迸风口下缘距室外地坪不宜小于2m;当新凤入口设在绿化地带时,进风口下缘不宜小于lm,以减少尘埃污染,延缓空气过滤器的清洗时间,延长空气过滤器的寿命。
(8)机房精密空调机在有效送风距离内,送风方向应与设备排列方向一致;采用地板下送风方式时,空调机送风方向应与地板下强、弱电线槽顺向布置的方向一致,以减少空调系统的阻力、充分发挥空调系统效率。
(9)排风机安装位置应保证其排风口高于新风入口并避免送风、排风短路。
(10)新风管道的送风口位置应使新风与空调机回风充分混合。
(11)配电柜布置宜靠近末端负载以减少线缆,方便维护管理。
(12)应有畅通的疏散通道。
(13)鉴于市场上主流服务器及服务器机柜的散热方式大多数为前后向通风方式,因此前后向通风的服务器机柜宜采用面对面、背靠背的布置方式。在机柜正面布置地板送风口,使气流形成冷热通道,以减少前排机柜排出的热气流对后排机柜的影响,充分发挥空调系统的效能。

12、ups节能问题?

直流UPS 产品由交流配电单元、整流模块、蓄电池、直流配电单元、电池管理单元及监控模块组成,适用于工矿企业、教育、商务、银行、证劵等行业、计算机、服务器、办公自动化设备、安防监控等设备,还可应用于医疗和网络设备。在交流掉电或故障时能不间断地给设备提供稳定的后备电源,保证设备能正常工作一段时间,保存相关重要数据。

其产品效率、带载能力、可靠性相对交流UPS有大幅度的提高,但价格却比交流UPS便宜,输入电源转换过程零间断,保证负载良好稳定的工作。

直流UPS系统有效的节能只有1-6%范围

13、IDC机房是如何划分星级(等级)评定的,有何划分依据?

IDC行业星级机房星级分为五个等级,即一星级、二星级、三星级、四星级、五星级(含红金五星级)。星级越高,表示IDC业机房的档次越高。同时还有预备星级,作为星级的补充,其等级与星级相同,开业不足一年的IDC业机房可以申请预备星级,有效期一年,同时还规定,由若干建筑物组成的IDC业机房其管理使用权应该一致,IDC业机房内包括出租营业区域在内的所有区域应该是一个整体,评定星级时不能因为某一区域财产权或经营权的分离而区别对待。

IDC业机房开业一年后可申请星级,经星级评定机构评定批复后,享有五年有效的星级及其标志使用权。IDC业机房的建筑、附属设施、服务项目和运行管理应符合安全、消防、带宽保障、机房环境等现行的国家有关法规和标准。

IDC行业星级机房的具体介绍

1、一星级、二星级:
从IDC业机房的布局、公共信息符号图形,供电设备、制冷设备、设施设备养护、服务语言、IDC机房硬件设施、光纤、承诺提供24×7(每周24小时x 7天)的网络联接状况监控,24×7的主机运行状态监测,24×7系统管理和技术支持服务,24×7的客服热线,24×7的恒温恒湿环境,双路高压供电,后备柴油发电机,独立UPS 不间断电源保障和紧急状况下第一时间的响应与支持。高灵敏度的烟雾探测系统和FM200组成的消防系统等10个方面来规定所应具备的条件。

2、三星级:
除上述10个方面外,增加了计算机管理系统、管理制度的健全程度,机房设备、IDC设施等内容要求;并设置了选择项目73项(综合类别类21项,特色类别一20项,特色类别二16项,特色类别三16项),要求三星级IDC业机房至少具备其中10项。

3、四星级:
在三星级的基础上增加了IDC业机房内外装修、高品质的监控系统两个必备的考核内容,并在其他各部分提出了更高的要求。73个选择项目中,至少要具备26项。

4、五星级:
大项上与四星级内容基本相同,但各项内容内涵更丰富、规模程度要求更高,服务项目设置更多,规范也更详尽。73个选择项目中,至少要具备33项。

5、红金五星级:
在五星级的基础上,必须具备以下条件:

(1)具有两年以上五星级IDC业机房资格。
(2)地理位置处于城市中心商务区或繁华地带,交通极其便利。
(3)建筑主题鲜明,外观造型独具一格,有助于所在地建立目的地形象。
(4)内部功能布局及装修能与所在地历史、文化、自然环境相结合,恰到好处地表现和烘托其主题氛围。
(5)除有接待中心及入口外,IDC业机房整体氛围极其规模气派。
(6)各类设施设备配置齐全,品质一流;有IDC业机房内主要区域温湿度自动控制系统。
(7)有位置合理、功能齐全、品位高雅、装饰华丽的行政楼层专用服务区,至少对行政楼层提供24小时管家式服务。

同时在以下项目中至少具备五项:

(1)普通IDC机房面积不小于500m2。
(2)有布局合理、装修规范、格调高雅、符合国际标准的互联网服务标准,可提供VIP和专业客户操作间。
(3)有位置合理、装修高雅、气氛浓郁的独立封闭式功能布局。
(4)净高度不低于5m。
(5)国际认知度极高,平均每间可供出租IDC机房收入连续三年居于所在地五星级IDC业机房前列。
(6)有规模壮观、构思独特、布局科学、装修典雅、出类拔萃的专项配套设施。

机房星级的评定主要考虑哪些方面:

各星级在达到规定得分率以后,规模、IDC机房整体服务、空调设施、功能布局、公用系统、电力设施等5个部分也应达到相应的得分率,如果其中任何一个部位达不到所申请星级规定得分率,就不能获得所申请的星级。服务质量评分是对IDC业机房运作质量的综合评分,采取综合得分率的形式检查得分。服务质量分共8大项:

(1)服务人员的仪表仪容;
(2)增值服务质量(态度、效率);
(3)IDC机房服务质量(态度、效率、周到);
(4)空调设施/功能布局服务质量(态度、效率、周到、规格);
(5)其他服务(态度、效率、周到、安全);
(6)IDC业机房安全;
(7)IDC业机房声誉;
(8)IDC业机房综合服务效果。

各星级综合得分率要求:

(1)一、二星级须达到90%以上。
(2)三星级须达到92%以上.
(3)四、五星级达到95%。服务人员的仪表仪容、规范服务用语、IDC机房带宽服务、空调设施(功能布局)服务、网络监控及保安服务中心等五个部位也应达到相应的得分率。

IDC机房星级(等级)分级的依据

国内标准《电子计算机机房设计规范》(GB50174-92)中主要从机房选址、建筑结构、机房环境、安全管理及对供电电源质量要求等方面对机房分级,可分为A(容错型)、B(冗余型)、C(基本型)三个级别。

在美国标准TIA-942《数据中心的通信基础设施标准》中主要是根据数据中心基础设施的“可用性(Availability)”、“稳定性(Stability)”和“安全性(Security)”分为四个等级:TierI,TierII,TierIII,TierIV。其中这四个等级可用性的划分是源于美国标准TheUptimeInstitute,Inc.的《IndustryStandardTierClassi?cationsDe?neSiteInfrastructurePerformance》(《采用分类等级的方式定义场地基础设施性能的工业标准》),在该标准中,美国TheUptimeInstitute依据工程需求与实践,提出了场地基础设施的分类等级的体系框架,针对数据中心的关键设备期望达到“五个九”即99.999%的系统应用可用性的需求,提出了要与之相匹配的机房场地基础设施(电源配电、暖通空调、以及其他的相关系统)的可用性等级指标。

14、什么叫做“短链路共振”?

你提到的shortlinkresonance是说在链路较短时(小于15米),链路中不平衡信号或噪声信号所产生的迭加,造成通信故障(链路越短插接件之间的信号反射越易迭加)。我们都知道,永久链路要小于90米,但是标准中也要求大于15米,这样可以避免“短链路“问题。也就是说,当两个配线架或模块间的链路短于15米时,链路测试会经常失败。这一现象在超五类和六类线缆系统中,会经常出现,我们通常为“短链路”问题。

  但是,问题也没有这样可怕,一些厂商对自己的产品做了优化处理,或信号补偿技术,使得在短链路时,也能达到相应性能。比如,可以在7米甚至更短时也可以使用。同时,测试仪厂商也在测试适配器进行优化,以适合线缆产品的变化。所大家需要知道的是,链路并非越短越好。

15、在数据中心机房内Fiber Channel布线有何特殊要求?

在数据中心机房内光缆通道主要用于万兆网络,选用时注意以下几点:

传输距离:OM3多模光纤为300m-550m,单模光纤为10-40km
采用光纤的连接器件和适配器为SC、LC或按照网络设备的端口类型选用

如果采用敞开的电缆桥架敷设方式光缆要达到相应的防火等级(A级或B级机房)

光配线模块的设置位置(如设备机柜顶部、敞开式桥架上、布线列头柜及各种配线机柜内)

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

14

添加新评论1 条评论

#wuwenpin软件开发工程师, 南京
2017-10-28 15:22
不错。
Ctrl+Enter 发表

本文隶属于专栏

活动总结
活动总结是社区交流活动内容的总结及延伸,为大家提供了社区专家们丰富且高水平的理论知识、实践经验以及常见问题的最佳解决方法,非常值得大家收藏学习。