苏州市干将路303号创意产业园

0512-3565 6563

Jackjones@kuaidata.com

联系客服

数据中心托管服务/管理式网络

服务:

400 651 8888

微软云服务:

400 089 2448

markjune@kuaidata.com

内容分布式网络服务:

400 811 0278

云集成与合作:

cloud@kuaidata.com

公司新闻

苏州胜网异地IDC机房解决方案案例分享

2018-03-29

一.背景:
XXXX是一家互联网金融创新服务型企业。整个业务系统采用Java语言构建,目前已经上线运行的项目主要有多个APP应用。随着公司规模的扩大与发展,公司对数据安全性要求越来越大,希望对公司发展构建出一个完整的网络方案。


二.现状:
目前公司的数据存放于阿里云主机,五台服务器每台约十兆的带宽, 公司数据总量约为1T。
结构示意图:
设备或服务
内容
数据库
约1T
服务器
5台共约50M
分布情况
北京/深圳/上海


小结:
1. 金融客户核心数据不建议存放于公网云端,需要考虑数据转移自有IDC;
2. 客户对整个基础架构的自行设计和扩容度性能弱,控制力不强;


三.面临的问题:
1.主要问题:
1、核心数据存放于公有云端,无自有IDC机房。
2、当前业务平台仅在单一阿里云部署,
3、客户对整个基础架构的自行设计和扩容度性能差,控制力不强 .
4、将云端数据迁移至自有机房,以及业务快速扩张时网络支撑问题。


四.客户需求:
需求预期
1、完成新版基础架构设计
2、实现业务全国(乡镇级)范围覆盖
3、实现业务高并发时秒级响应速度
4、提供灾备(数据级、应用级)及故障快速恢复方案 5、提供系统安全、入侵检测及审计方案
6、提供客户体验度持续优化方案
7、提供远程维护接入方案
8、实现架构演进路线及系统架构目标的多层次整    体规划
9、实现架构标准、团队电子化管理


五.解决方案:
1.方案内容
1、在深圳选取T3或以上级别机房IDC。
2、将北京、上海、深圳阿里云服务器和深圳总部通过SSL VPN与深圳IDC连接起来,实现数据实时互联互通。
3、接入电信、联通双运营商的城域网线路。
4、阿里云作为应用层与IDC互联。
5、增加CDN服务系统来加速以及防攻击,为IDC设立了一个缓冲器,也设立了一个牢固的“高 能”防火墙。实现抗DDoS攻击,网站防火墙、高效DNS服务器、加速访问服务,实现源服务器IP隐藏。
工期:1-2周


2.需求设备资源


网络设备和服务





3.所需线路资源
网络线路链接





机房IDC选型






4.方案优势
1. 实现了北京、上海、深圳阿里云服务器与IDC数据互  联互通。
2. 双运营商城域网专线接入,实现双机双网双应用,不  但能互为备份,还用于实现流量分流。
3. 部署CDN服务,为用户选取最优接入点,加速了用    户访问速度,通过节点检测技术,实现 .完全自动的   备份切换功能。并且能够有效的防止DDOS攻击,    高效DNS服务器,隐藏真实IP,提高了IDC的稳定    性和安全性。
4. 阿里云端可以与IDC互为备份。


5.未来规划
一期实施方案
建立高可靠性及高安全性IDC,接入双运营商城域网专线, 部署CDN服务,提供24小时永不间断高速互联网金融应用服务。


方案说明:
IDC:
1. FW:部署NGFW(下一代防火墙)/UTM(统一威胁管理防火墙)双机热备份(故障自动切换);既是互联网接入 的核心设备,也是个体网络与互联网的第一道屏障; 2. WEB:在双FW的架构下,各自增加一台WAF(WEB应用防火墙),在应用层上进一步提高对WEB应用的安全 保护。 3. 分区:仅允许需对外的DMZ区域接入互联网,内网区域(数据库服务器等)完全隔离互联网,避免任何网络入 侵和攻击,有效保护重要数据的安全。
组网:
1. 多运营商线路,多网备份,有效避免单线或单运营商瘫痪等因素导致全网中断; 2. 配合CDN及智能DNS解释,为使用不同运营商接入的用户提供同样优质的服务。 3. 双机双网双应用,稳定,安全,流量工程提高网络带宽利用率,节约网络成本。
CDN:
1. 部署CDN服务,配合智能DNS解释,提供最优访问节点,将不同运营商的用户引入到IDC相应的入口(如电信接 入口或联通接入口)。避免用户跨运营商访问,限制了流量或延迟较大的情况。 2. 通过CDN把用户分流到不同接入口,达到双线负载均衡的效果,流量通过两台FW进入内网,也实现了FW的负 载均衡。 3. 隐藏真实IDC节点,有效避免直接的DDOS攻击,提高IDC安全指数。


6.IDC内部搭建





.双FW/WAF冗余备份,保障了网络可靠性的 情况下,为  IDC提供全方位的安全保护(网络 层到应用层的保护);
.双Core-SW冗余(热备),提供LAN可.TC/UC双城域网实现负载/备份功能;
靠性;
.双机双网,与异地机房组成互联骨干,高速同 步数据,主线使用MSTP,备线借用TC/UC城 域网一个IP实现。(根据MSTP运营商决定使 用TC/UC)
.严格的区域划分,非DMZ区域隔离任何不安全因素。


拓扑图:





1、机房:1. 双设备防护:具备WAF\防火墙等设备冗余热备份防护,增加机房安全。 2. 服务器划分:区分DMZ区与内网区,数据库拒绝公网访问,加大对数 据安全的保护。
2、接入不同运营商:1. 相互做备份,单某一运营商瘫痪或其他原因无法使用时,可使用 另一运营商; 2. 同运营商访问:访客通过与其一致的运营商网络,加快访问速度。
3、CDN: 1. DNS加速访问,根据不同运营商IP选择不 同运营商网络; 2. 缓冲加速访问:Cache缓存最近访问数据, 访客直接访问Cache可直接获取数据; 3. 高能防火墙:隐藏真实IP,防DDOS攻击, 防黑客入侵机房。 4. 通过cdn部署,把客户源服务器做到隐藏 的效果。


优势方案:
1. 部署冗余设备(双FW/双WAF),避免了设备故障造成的网络中断,提高了IDC在运行中 的可靠性和稳定性。通过一次性投资,避免了日后因设备故障造成的直接经济损失。
2. 双运营商城域网专线接入,不但能互为备份,还用于实现负载均衡。
3. 部署CDN服务,为用户选取最优接入点,加速了用户访问速度,通过节点检测技术,实现 完全自动的备份切换功能。并且能够有效的防止DDOS攻击,高效DNS服务器,隐藏真实 IP,提高了IDC的稳定性和安全性。
4. 本方案在单一IDC的情况下,在设备、线路上实现了完全冗余备份,通过CDN实现了最优 接入线路选择、自动备份和真实IP隐藏。在最少的投入下,组建最稳定快速智能的网络。


二期实施方案
建立高可靠性及高安全性主IDC及异地IDC,接入双运营商城域网专线,部署CDN服务,提供24小时永不间断高速互联网金融应用服务。
方案说明:
IDC:
1. FW:部署NGFW(下一代防火墙)/UTM(统一威胁管理防火墙)双机热备份(故障自动切换);既是互联网接入的核心设备,也是个体网络与互联网的第一道屏障;2. WEB:在双FW的架构下,各自增加一WAF(WEB应用防火墙),在应用层上进一步提高对WEB应用的安全保护。3. 分区:仅允许需对外的DMZ区域接入互联网,内网区域(数据库服务器等)完全隔离互联网,避免任何网络入侵和攻击,有效保护重要数据的安全。4. 异地IDC:建立异地IDC,冗余备份,预防机房因本地网络崩溃或机房本身故障能迅速调用异地机房,且本地机房与异地机房数据 定时更新,确保双机房数据一致。
组网:
1. 主IDC及异地IDC均使用多运营商线路,多网备份,有效避免单线或者单一营运下被一个故障因素导致全网中断的情况,大大提高互联 网容灾能力。2. 多运营商提供双线接入功能,配合CDN及智能DNS解释,为使用不同运营商接入的用户提供同样优质的服务。3. 主IDC及异地通过MSTP互联,高速同步数据。4. 借用两地IDC的城域网资源,建立备份VPN,作为MSTP的补充线路,既能全面备份MSTP,也能同时运作,分流两地传输的次要数据。
CDN:
1. 部署CDN服务,配合智能DNS解释,提供最优访问节点,将不同运营商的用户引入到IDC相应的入口(如电信接入口或联通接入口)。避免用户跨运营商访问,限制了流量或延迟较大的情况。2. 通过CDN把用户分流到不同接入口,达到双线负载均衡的效果,流量通过两台FW进入内网,也实现了FW的负载均衡。
3. 隐藏真实IDC节点,有效避免直接的DDOS攻击,提高IDC安全指数。


IDC机房备份
以客户机房为主,在异地建立备份机房,有效避免单线或者单一营运下被一个故障因素导致全网中断的情况,大大提高互联网容灾能力。


. 机房异地备份,建立异地IDC,冗 余备份,预防机房因本地网络崩溃 或机房本身故障能迅速调用异地机 房,且本地机房与异地机房数据定 时更新,确保双机房数据一致。
. 核心机房与备份机房互为备份。
. 机房IP隐藏,黑客手段、DDOS难 以暴力攻击、入侵数据服务器等。





CDN服务系统
遍布各地CDN缓存节点构件一个CDN服务系统,为IDC群设立了一个缓冲器,也设立了一个牢固的“高能”防火墙。
1、防攻击
. 抗DDoS攻击 防护SYN flood、UDP flood、ICMP flood等二十多种攻击。
. 网站防火墙 应用层攻击拦截、后拦截、漏洞封堵、防跨站、防注入、防篡改,防挂马,防黑客攻击。
2、加速
. 高效DNS服务器高效的DNS供用户解析、CDN加 速。解析更快、更准确。每秒查询率达到千万级 别、隐藏真实IP。





. 加速访问服务
缓存加速、遍布全加速节点, 优化网站HTML、 JS、CSS等静态内容,加速浏览器对页面的渲染速度


方案内容
补充说明:





1. 主节点和容灾节点彼此通过专线实时热备,通过VPN建立 冗余。 2. 通过智能DNS解析来分流常见ISP访问源到各镜像节点 (仅放置静态数据),隐藏主节点IP地址,从而实现分流, 负载均衡,防范流量等常见网络攻击。 3. 镜像节点一般可以防范10 G的DDos流量攻击,若单个镜 像节点受到攻击当机,智能DNS解析将把网络访问切换到 其他节点,保障访问。 4. 选择具备网络安防能力和有BGP线路的IDC和云厂商来建 立各类新节点。 5. CDN支持主备轮询。 6. 未来扩容在同城双节点新增设备即可。


方案收益
方案实施后可以带来如下益处:
①提升平台稳定
  新增IDC建立冗余来更好保障业务平台稳定。
②提升业务效率
 资源扩容后,可以建立存量数据集,以提升运营的数 据统计分析工作效率。


③从被动转为主动
 单一IDC发生故障或承受网络攻击之时,只能被动等 待运营商修复故障。方案实施后,技术团队可以主动 修复故障,提升业务恢复速度。


④发展弹性伸缩能力
  尝试采用云端作为镜像节点(无数据),发展弹性伸 缩能力,以保障业务的各类突发增长。


拓扑图





1.部署冗余设备(双FW/双WAF),避免了设备故障造成的网络中断,提高了IDC在运行中 的可靠性和稳定性。通过一次性投资,避免了日后因设备故障造成的直接经济损失。 2. 多营运商城域网专线接入,不但互为备份,还实现负载均衡。 3. 建立异地IDC,减低了对单一IDC的依赖,避免了IDC外部环境因素对网络服务的影响。 4. 部署CDN服务,为用户选取最优接入点,加速了用户访问速度,通过节点检测技术,实现 完全自动的备份切换功能。并且能够有效的防止DDOS攻击,高效DNS服务器,隐藏真实 IP,提高了IDC的稳定性和安全性。 5. 建立异地IDC,互为冗余备份,预防机房因本地网络崩溃或机房本身故障能迅速调用异地 机房,且本地机房与异地机房数据实时更新,确保双机房数据一致,


三期实施方案
高可用性及安全性IDC群组:一个大型核心IDC,多个异地子备份IDC互 为协作,互为备份。每个IDC接入双营运商城域网专线,部署全国CDN服务, 提供24小时永不间断高速互联网金融应用服务。


方案说明
IDC: 1. 强大IDC群组:一个大型核心IDC,多个异地子备份IDC互为协作,互为备份。异地子IDC可实现数据镜像存放或Cache存放,加速 访问。
2. 部署双机热备份(故障自动切换)。FW既是互联网接入的核心设备。
3. WAF(WEB应用防火墙),在应用层上进一步提高对WEB应用的安全保护。
4. 仅允许需要提供对外WEB服务应用服务器和必须访问外网的终端设备的DMZ区域接入互联网,内网区域(数据库服务器等)完全 隔离互联网,避免任何网络入侵和攻击,有效保护重要数据的安全。
5. 设备冗余,配合部署双核心交换机热备份(故障自动切换),及备份服务器(具体备份模式根据客户实际情况而定)
组网: 1. 主IDC及各异地子IDC均使用多营运商线路,多网备份,有效避免单线或者单一营运下被一个故障因素导致全网中断的情况,大大提高 互联网容灾能力。 2. 在CDN的整合下,用户流量分流在全国节点的线路上,极大提高访问承载力。 3. 双营运商提供双线接入功能,配合CDN及智能DNS解释,为使用不同营运商接入的用户提供同样优质的服务。 4. 主IDC及各异地通过MSTP互联,高速同步数据。 5. 借各地IDC城域网资源,建立备份IPSEC VPN,作为MSTP的补充线路,既能全面备份MSTP,也能同时运作,分流各地传输的次要数 据。
CDN
1. 部署全国CDN服务,配合智能DNS解释,提供最优访问节点,将全国各地不同营运商的用户引入到最近节点的对应入口(如电信接 入口或联通接入口)。避免用户跨营运商访问,限制了流量或延迟较大的情况。 2. 通过CDN把用户分流到不同节点的不通接入口,根据CDN加速机制,将用户流量分流到全国各地的IDC,并且在各个IDC实现双线 负载均衡的效果,流量通过多台FW进入各地IDC内网,也实现了FW的负载均衡。 3. 隐藏真实IDC节点,有效避免直接的DDOS攻击,提高IDC安全指数。




最终完整方案






1.部署冗余设备(双FW/双WAF),避免了设备故障造成的网络中断,提高了IDC在运行中的可靠性和稳 定性。通过一次性投资,避免了日后因设备故障造成的直接经济损失。 2. 多营运商城域网专线接入,不但能互为备份,还用于实现负载均衡。 3. 部署CDN服务,为用户选取最优接入点,加速了用户访问速度,通过节点检测技术,实现完全自动的备 份切换功能。并且能够有效的防止DDOS攻击,高效DNS服务器,隐藏真实IP,提高了IDC的稳定性和 安全性。 4. 本方案在全国范围内部署了一个核心IDC,多个异地协作IDC,在设备、线路、IDC上实现了完全冗余备 份,建立IDC群组,减低了对核心IDC的依赖,避免了IDC外部环境因素对网络服务的影响。 5. 强大IDC群组,一个大型核心IDC,多个异地子备份IDC互为协作,互为备份。异地子IDC可实现数据镜 像存放或Cache存放,镜像节点同时可实现快速扩容的功能。