دیتاسنتر | طراحی دیتاسنتر | راه اندازی Data Center

واژه دیتاسنتر ( Datacenter )  یا مرکز داده به یک محل مرکزی اشاره دارد که در آن همه تجهیزات پردازشی ، شبکه ای و ذخیره سازی ( مانند سرور، سوئیچ ، روتر، استوریج ، فایروال و ...  ) در یکجا متمرکز شده اند تا کار پردازش ، ذخیره سازی دیتا و ارائه سرویس به کاربران نهایی را تسهیل نماید.به لحاظ تنوع سرویس ها و تعداد تجهیزات موجود در دیتاسنتر ابعاد و اندازه دیتاسنترها میتواند متفاوت باشد.بعضی دیتاسنترها در حد یک اتاق و بعضی در حد گروهی از چندین ساختمان مجاور هم میباشند.از بزرگ ترین دیتاسنترهای دنیا میتوان به دیتاسنتر گوگل و آمازون اشاره کرد. سرویس های ارائه شده در دیتاسنتر میتواند از وب سرویس گرفته تا سرویس ایمیل ، پرتال سازمانی ، کلود اختصاصی ، دیتابیس و خیلی از موارد دیگر باشد.

طراحی دیتاسنتر

برای سهولت نصب تجهیزات در دیتاسنتر یا مراکز داده از رک استفاده میکنند که رک های hp در بین انواع رکها بسیار پرطرفدار میباشند.رک ها در ردیف های عمودی کنار هم نصب شده و تجهیزات مربوطه داخل آنها نصب میگردند. به دیتاسنتر server farm نیز اطلاق میگردد.در هنگام پیاده سازی دیتاسنتر به صورت اصولی موارد متعددی بایستی در نظر گرفته شود که به تفصیل در استاندارد TIA-942 شرح داده شده است. در این استاندارد نکات لازم در طراحی و نصب مراکز داده از جمله کف و سقف کاذب، سیستم های اعلان و اطفاء حریق، برق اضطراری، نوع کابل کشی ها، کولینگ یا سیستم تهویه هوای دیتاسنتر مطرح شده است.استانداردهای کابل کشی وTiering  یا طبقه بندی دیتاسنتر همگی بایستی در طراحی و پیاده سازی مراکز داده لحاظ گردند.در استاندارد ANSI/TIA-942 به همه ابعاد فیزیکی دیتاسنتر از قبیل محل سایت، معماری سایت، امنیت، ایمنی، مهار آتش، سیستمهای مخابراتی و الکترونیکی توجه همه جانبه شده است.

 

دیتاسنتر

 

انواع Tier  در دیتاسنتر اشاره به میزان پایداری و stable بودن دیتاسنتر دارد.در حقیقت میزان دردسترس پذیری یاavaillability  دیتاسنتر را بهTier  های 1 تا 4 تقسیم بندی میکنیم که در Tier-1  هیچ گونه کامپوننت redundant پشتیبان یا در دیتاسنتر استفاده نمیگردد و دارای کمترین تحمل خطا میباشد. در Tier-2  بخشهای مختلف دیتاسنتر (uplink ها، سیستمهای تهویه هوا یا HVAC ، پاور سرورها، UPS  ها و ... ) به تجهیزات redundant   مجهز میشوند ولی مسیر کابلکشی های برق، شبکه و ... فقط یک مسیر میباشد به معنای دیگر فقط یک distribution path  در دیتاسنتر وجود دارد و هیچ گونه مسیر جداگانه ای برای آنها وجود ندارد. برای جا افتادن موضوع فرض کنید در دیتاسنتر دو عدد UPS  نصب شده است ولی هر دو UPS فقط از یک تابلو برق و یک مسیر، برق سرورها را تامین میکنند که اگر کابل مربوطه دچار مشکل شود عملا همه سرورهای دیتاسنتر قطع خواهد شد. در Tier-3 چندین مسیر  برق و شبکه یا distribution path چندین  متفاوت به تجهیزات سرویس میدهند ولی در هر لحظه فقط یک مسیر فعال میباشد. در Tier-4  چندین مسیر متفاوت در حالت active-active  فعال میباشند، یعنی همه مسیرها همزمان فعال میباشند و در صورت خرابی یک مسیر برق، شبکه و ... هیچگونه قطعی صورت نخواهد گرفت.

نکات طراحی دیتاسنتر

  • محل احداث دیتا سنتر روی گسل نباشد که با مراجعه به استاندارد ملی زمین شناسی قابل تعیین میباشد

  • ایجاد اتاقک جدا برای باطری های اسیدی ups و اینکه هوای این اتاق کامل عوض شود و فقط به چرخیدن هوا تمرکز نکنیم. زیرا باطری های flooded cell هیدروژن تولید میکنند و این موضوع خطرناک است.

  • از نگهداری ups های بیشتر از 100kva در داخل computer room جلوگیری بعمل آید.

  • عدم عبور لوله اب و فاضلاب از اطراف دیتاسنتر

  • درنظر گرفتن ارتقاع  حداقل 2/6 متر از کف تا سقف

  • برق تجهیزات روشنایی از برق تجهیزات شبکه جدا باشد

  • رک ها حتما روی شاسی سوار شوند.

  • رنگ رک آنتی استاتیک و ضدخش انتخاب گردد

  • در هنگام خرید رک تحمل وزن تجهیرات در نظر گرفته شود

  • فاصله بین رک تا اولین مانع روی سقف حداقل 46 سانتی متر میباشد.

  • جلوی رک ها حداقل 100 سانتی متر و پشت رک ها 80 سانتی متر فضای خالی وجود داشته باشد

  • استفاده از دستگاه های کنترل رطوبت هوا واینکه رطوبت محیط بین 40 تا 55 درصد در نوسان باشد.

  • از بین سیستم های سرمایشی یکی از مدل های in-room یا in-row و یا in-rack بایستی انتخاب شوند. اولی سرمایش از کف بوده و رک ها بهم میچسبند.در مدل in-rack فقط داخل رک خنک میشود و نیازی به درب توری رک نداریم

  • استفاده از تجهیزات تهویه هوا موسوم به ventilation air در بخش NOC برای ورود هوای تازه

  • در هنگام قرار داد رک ها روبروی هم و تشکیل راهروی گرم و سرد، عرض راهرو 120 سانتی متر حداقل باشد.

  • نصب دو pdu در داخل هر رک
  • روی pdu ها دکمه on و off نباشد تا براحتی برق تجهیزات قطع نگردد

  • استفاده از پریز برق کف خواب

  • استفاده از ژنراتورهای دیزلی بجای گازی بعنوان برق اضطراری دیتاسنتر

  • ایجاد چاه ارت برای گرفتن ولتاژهای زیاد روی تجهیزات و انتقال به چاه ارت

  • استفاده از چندین چاه ارت برای صاعقه، واحد آی تی و تجهیزات برق و تابلو برق

  • استفاده از تجهیزات fm200 برای اطفای حریق. گاز fm200 گازی غیر سمی بوده وبخوبی داخل تجهیزات نفوذ کرده و حریق را بسرعت کنترل نموده و از خود پسماندی بجای نمیگذارد

  • در صورت استفاده از سیستمهای اطفا حریق مبتنی بر آب یا sprinkler حتما pre action  از نوعباشند یعنی تا قبل از وقوع حریق درون لوله های ان اب به جریان نیفتد.

  • تعبیه drain در کف دیتاسنتر و طراحی کف دیتاسنتر بصورت شیب دار بسمت drain تا اگر آب جمع شود توسط drainer اب پمپ شود و خارج شود

  • استفاده از فضای مجزا برای سرویس های دیتا از isp ها و لینک های مخابراتی که  entrance room نام دارد. تجهیرات service provider ها اینجا قرار میگیرند

  • تعیین اصولی ناحیه MDA یا main distribution area که جایی ست که core router  و core  سوئیچ ها اینجا قرار میگیرند و نقطه مرکزی توزیع کابل کشی میباشد MDA  را معمولا در وسط computer room قرار میدهیم

  • قرار دادن سرورها در فضای eda یا equipment distribution area 

  • تعیین اصولی hda یا horizontal distribution area که در ان سوئیچ های lan,san  و kvm سوئیچ ها در آن قرار میگیرند. اگر دیتاسنتر کوچک است   mda  نقش hda را بازی میکند hda .واسطی است بین mda  و eda

مقالات دیتاسنتر

طراحی شبکه

طراحی شبکه یکی از مقولاتی است که نقش بسیار مهمی در بازدهی و کارکرد شبکه داشته و لزوم پیاده سازی و اجرای یک شبکه طبق استانداردهای لازم، شبکه را از بوجود آمدن مشکلات احتمالی در آینده مصون داشته و باعث شدن تا بتوان سرویس ها و فناوری های نوین را راحت تر در بستر شبکه بدون مشکل پیاده سازی نمود. اگر طراحی شبکه و یا معماری و توپولوژی شبکه در ابتدا به ساکن، صحیح و اصولی اجرا نشود و کارفرما پس از مدتی تصمیم به اصلاح ساختار شبکه بگیرد بایستی هزینه طراحی و اصلاح ساختار شبکه را پرداخته و چه بسا نیاز به تعویض و خرید تجهیزات شبکه نیز باشد.

اگر بخواهیم کمی تخصصی تر در زمینه طراحی شبکه و دیتاسنتر صحبت کنیم موارد بسیار زیادی بایستی در نظر گرفته شوند تا همه ابعاد یک پیاده سازی استاندارد شبکه رعایت شود. مواردی چون طراحی امنیت شبکه، مدل سه لایه ای سیسکو در ساختار سوئیچ های شبکه، در دسترس پذیری سرورها و سرویسهای شبکه، طراحی server farm یا بلاک سرورها، پیاده سازی اصول کابل کشی ساخت یافته، طراحی DMZ شبکه و ساختار مجازی سازی شبکه و سرورها بخشی از موضوعات مورد بحث در طراحی شبکه میباشند. اگر بخشی از شبکه بصورت وایرلس باشد نیز تنظیم پارامترهای امنیتی شبکه وایرلس، رعایت نکات فرکانسی و تداخل فرکانسی، نوع اکسس پوینت مورد استفاده، جانمایی اکسس پوینت ها و برد شبکه وایرلس بایستی بصورت تخصصی طراحی و پیاده سازی گردد. شبکه ای که طراحی خوب و استانداردی داشته است دارای ویژگی های زیر میباشد :

  • در صورت قطع شدن کابل یا لینکی در شبکه ارتباطات شبکه دچار اختلال نشده یا بخش کوچکی فقط دچار مشکل میشود.
  • امنیت شبکه تا حدی وابسته به پیاده سازی صحیح ساختار شبکه میباشد، پس پیاده سازی ساختار شبکه بدون در نظر گرفتن امنیت شبکه کاری بیهوده میباشد.
  • سرعت دسترسی به سرویس های و سرورها کم نمیباشد و کمتر منابع به اشتراگ گذاشته شده از دسترس خارج میشوند.
  • رعایت نکات فرکانسی و تداخل امواج و موارد امنیتی در شبکه های وایرلس
  • متناسب با هزینه و نیاز کارفرما خرید تجهیزات انجام شده باشد.( نیازی به خرید تجهیزات شبکه گران قیمت در هر پروژه ای نمیباشد)
  • در صورت پاک شدن داده ها و اطلاعات  کاربران، به آسانی و سرعت بالا اطلاعات قابل بازیابی از بک آپ میباشد

طراحی شبکه

 

 

طراحی امنیت شبکه

امنیت شبکه یا Network Security یکی از موضوعات بسیار مهم شبکه ها بوده که راهکارهای تخصصی جهت مقابله با تهدیدات داخلی و خارجی شبکه را مطرح میکند. با توجه به فراگیر شدن اینترنت و گسترش بدافزارها، ویروس ها و تروجان ها و آلوده سازی شبکه و سیستمهای آن و خطر نشت، درز اطلاعات و یا از بین رفتن اطلاعات سازمانی وجود راهکارهای امنیت شبکه که در لایه های مختلف در شبکه پیاده سازی میشود امری الزامی میباشد. راهکارهای مذکور بصورت مجموعه ای از تجهیزات سخت افزاری و تنظیمات نرم افزاری بوده که در لایه های مختلف شبکه و دیتاسنتر پیاده سازی میگردد. خلاصه ای از راهکارهای امنیت شبکه میتواند شامل موارد زیر باشد:

  • استفاده از نرم افزارهای آنتی ویروس و ضد بدافزار بر روی کلاینت ها و سرور
  • استافاده از راهکارهای DLP یا Data loss prevention  جهت جلوگیری از درز اطلاعات سارمانی به خارج از سازمان
  • استفاده از فایروال های نسل جدید در لبه شبکه
  • سگمنت بندی شبکه جهت جدا کردن و ایزوله سازی ترافیک های شبکه
  • امن سازی لایه دو مدل OSI شبکه جهت جلوگیری از حملات در این لایه
  • پیاده سازی سیستم احراز کاربران هویت مانند اکتیودایرکتوری و امن سازی آن
  • استفاده از رمزهای عبور پیچیده و غیرقابل حدس در شبکه
  • استفاده از تکنولوژِی IDS و IPS در شبکه
  • استفاده از پروتکل 802.1X در احراز هویت کاربران شبکه LAN و وایرلس
  • پیاده سازی اسپم فیلترینگ روی سرور ایمیل
  • پشتیبان گیری مرتب از داده ها بر روی tape و ذخیره سازهایی که به شبکه متصل نباشند
  • آپدیت نمودن سیستم عامل  سرورها و کلاینتهای شبکه جهت رفع آسیب پذیری های کشف شده
  • استفاده از پروتکل های امن مانند ipsec و ssl در هنگام اتصال از راه دور به شبکه در اتصالات vpn
  • پیاده سازی hardening سیستم عامل سرورها با استفاده از گروپ پالیسی ها و تنظیمات امنیتی مختلف
  • استفاده از راهکارهای NAC یا network access control در شبکه مانند نرم افزار  cisco ise در افزایش امنیت شبکه و end user ها
  • انجام تست های نفوذپذیری به شبکه یا Pen Test جهت یافتن آسیب پذیری در شبکه

 

امنیت سیسکو

 

امروزه در اکثر شبکه ها و دیتاسنترها سوئیچ های سیسکو مورد استفاده میباشند. گاه دیده شده که تنظیمات امنیتی روی سوئیچ ها اعمال نشده و خطر حملات در این لایه از شبکه میتواند اتفاق بیفتد. در زیر نمونه ای از راهکارهای افزایش امنیت روی سوئیچ های سیسکو و لایه 2 مدل OSI بیان میگردد.

امنیت در سوئیچ سیسکو

 

  • فعال سازی login banner یا MOTD banner روی سوئیچ ها جهت نمایش پیغام امنیتی هنگام لاگین به سوئیچ
  • امن سازی پورت کنسول سوئیچ و ورودی های vty در هنگام لاگین به سوئیچ
  • استفاده از ssh بجای telnet  در اتصال و ریموت به سوئیچ
  • امن سازی مد Privileged EXEC با دستور enable secret
  • استفاده از دستور service password-encryption برای رمز نمودن پسوردهای clear text
  • غیر فعال نمودن دسترسی به سوئیچ از طریق پروتکل http و https
  • غیر فعال نمودن پروتکل CDP روی اینترفیس هایی که شبکه ما را به یک شبکه untrust متصل میکند
  • محدود کردن دسترسی به سوئیچ در هنگام  ssh به سوئیچ از طریق نوشتن accessl list و اجازه اتصال به ip های مورد اعتماد
  • استفاده از vlan اختصاصی جهت مدیریت سوئیچ
  • عدم استفاده از vlan id 1 به هیچ وجه
  • غیر فعال کردن پروتکل DTP یا dynamic trunking protocol روی اینترفیس هایی که trunk نیستند
  • shout down نمودن پورت هایی که روی سوئیچ مورد استفاده نمیباشند و قرار دادن آنها در vlan های مرده
  • فعال نمودن port security روی پورت های access برای جلوگیری از حملات MAC flooding
  • فعال سازی logging یا syslog و ارسال آنها به یک سرور syslog جهت ذخیره لاگ های سوئیچ
  • تنظیم ntp روی سوئیچ جهت sync شدن تایم با تایم سرور
  • فعال نمودن bpduguard روی پورت های access با دستور spanning-tree bpduguard enable
  •  غیر فعال سازی Packet Assembler/Disassembler (PAD) با دستور no service pad
  • فعال نمود timeout برای session ها با دستور exec-timeout که برای کنسول یا ورودی های vty فعال میکنیم
  • غیرفعال سازی smart install با دستور no vstack

نکات امنیتی در سرورهای ویندوزی

  • رفع آسیب پذیری های سیستم عامل با آپدیت نمودن سرورهای ویندوزی با استفاده از windows update
  • فعال نمودن فایروال ویندوز و تعریف rule های امنیتی روی فایروال
  • تعریف password policy قوی تا کاربران نتوانند پسوردهای ساده و قابل حدس تعریف کنند
  • غیرفعال نمودن file sharing روی سرورهایی که به آن نیاز نداریم
  • پرهیز از نصب هرگونه نزم افزار اضافی یا جانبی روی ویندوز سرور
  • rename کردن اکانت administrator و استفاده از پسوردهای پیچیده برای اکانت های با دسترسی administrator
  • استفاده از lockout policy در شبکه و سرورها
  • در صورت نیاز به استفاده از remote desktop روی سرور پورت پیش فرض آن را تغییر دهید
  • در صورت باز بودن ریموت دسکتاپ روی سرورها از روی اینترنت، حتما سرویس  emote desktop gateway را پیاده سازی نمایید
  • پیاده سازی ntp سرور در شبکه
  • غیر فعال سازی پروتکل SMB ورژن 1 روی سرورها
  • غیر فعال کردن سرویس های غیر ضروری داخل ویندوز سرور
Print
11388 رتبه بندی این مطلب:
4.2

نوشتن یک نظر

افزودن نظر

x