YD 5193-2014 互联网数据中心（IDC）工程设计规范.docx

中华人民共和国通信行业标准YDYD51932014互联网数据中心(IDC)工程设计规范DesignSpecificationsforInternetDataCenterEngineering2014-05-06发布2014-07-01实施中华人民共和国工业和信息化部发布中华人民共和国通信行业标准互联网数据中心(IDC)工程设计规范DesignSpecificationsforInternetDataCenterEngineeringYD51932014主管部门：工业和信息化部通信发展司批准部门：中华人民共和国工业和信息化部施行日期：2014年7月1日北京邮电大学出版社2014北京中华人融和国攻和信息化部公告2014年第32号工业和信息化部批准不干胶标签印刷机等1208项行业标准（标准编号、名称、主要内容及起始实施日期见附件1）,其中机械行业标准471项，汽车行业标准32项，船舶行业标准70项，航空行业标准Ill项，化工行业标准137项，冶金行业标准69项，建材行业标准30项，石化行业标准14项，有色金属行业标准6项，轻工行业标准89项，纺织行业标准49项，兵工民品行业标准79项，核行业标准15项，电子行业标准2项，通信行业标准34项。批准镒硅合金（FeMn68Sil6）等39项冶金行业标准样品（标准样品目录及成分含量见附件2）。以上机械行业标准由机械工业出版社出版，汽车行业标准及化工、有色金属工程建设行业标准由中国计划出版社出版，船舶行业标准由中国船舶工业综合技术经济研究院组织出版，航空行业标准由中国航空综合技术研究所组织出版，化工行业标准由化工出版社出版，冶金行业标准由冶金工业出版社出版，建材行业标准由建材工业出版社出版，石化行业标准由中国石化出版社出版，轻工行业标准由中国轻工业出版社出版，纺织行业标准由中国标准出版社出版，兵工民品行业标准由中国兵器工业标准化研究所组织出版，核行业标准由核工业标准化研究所组织出版，电子行业标准由工业和信息化部电子工业标准化研究院组织出版，通信行业标准由人民邮电出版社出版、通信工程建设行业标准由北京邮电大学出版社出版。附件：1.1208项行业标准编号、名称、主要内容等一览表（略）2.39项冶金行业标准样品目录及成分含量（略）工业和信息化部2014年5月6日本规范根据工业和信息化部“关于安排2009年通信工程建设标准编制计划的通知”（工信部通函200998号）的要求编制。本规范主要规定了互联网数据中心（IDC）的业务、系统组成、IDC分级、机房设施子系统、网络子系统、资源子系统、业务子系统、管理子系统、网络与信息安全、计费、IP地址与码号、服务质量、能耗、设备配置等。本规范中用黑体字标注的1.0.3条、1.0.4条为强制性条文，必须严格执行。本规范由工业和信息化部通信发展司负责解释、监督执行。规范在使用过程中，如有需要补充或修改的内容，请与部通信发展司联系，并将补充或修改意见寄部通信发展司（地址：北京市西长安街13号,邮编100804）。主编单位：中国移动通信集团设计院有限公司主要起草人：崔海东雷鸣参编单位：江苏省邮电规划设计院有限责任公司主要参加人：卢智军陈月琴目次1总则12术语和符号23 业务44 系统组成55 IDC分级66机房设施子系统76.1 机房要求76.2 机架要求96.3 电气、空调、布线与安防117网络子系统147.1 网络结构147.2 路由168资源子系统179业务子系统1810管理子系统1910.1 系统设置1910.2 网络管理1910.3 资源管理2110.4 业务管理2210.5 运营管理2211网络与信息安全2411.1 安全目标2411.2 安全技术措施2411.3 安全管理2511.4 备案管理与有害信息监测2512计费2613IP地址与码号2713.1 IP地址2713.2 码号2714服务质量2815能耗2916设备配置30附录A本规范用词说明31引用标准名录32条文说明333业务3.0.1IDC应提供基本业务，包括以下种类：1 .VIP机房出租；2 .主机托管；3 .机架出租；4 .服务器出租；5 .虚拟机出租；6 .带宽出租；7.IP地址出租。IDC可根据电信业务经营者的要求提供更多种类的基本业务。3.0.2IDC可提供增值业务，作为在基本业务之外用户选购的附加服务，主要包括：1 .安全防护类，包括防火墙出租、VPN接入、病毒防范、入侵检测、防DDOS攻击、流量清洗、网页防篡改、安全扫描、安全评估等；2 .数据存储类，包括在线存储、在线备份、数据备份及异地备份等；3 .流量管理类，包括负载均衡、SSL加速、流量统计分析等；4 .维护管理类，包括远程维护、设备代理监测、设备代理维护等；5 .内容管理类，包括网站镜像、网页加速、应用加速、Ci)N等；6 .系统集成类，包括设备安装和升级、网站设计与建设等；7 .云计算概念类，包括IaaS类业务、PaaS类业务、SaaS类业务等。IDC可根据电信业务经营者的要求提供更多种类的增值业务。4系统组成4.0.1IDC应包含机房设施子系统、网络子系统、资源子系统、业务子系统、管理子系统五大逻辑功能部分。业务子系统（基本业务、增值业务）资源子系统（计算、存储、网络带宽等资源池）网络子系统（网络互联、核心网络、汇聚网络等）机房设施子系统（机房、供电、消防、空调、安防、布线等）图4.0.1IDC系统组成图1 .机房设施子系统为IDC提供机房、供电、消防、空调、安防、布线等系统。2 .网络子系统为资源子系统和业务子系统提供网络环境。3 .资源子系统为业务子系统提供开展业务运营所需的基础资源池，包括计算资源、存储资源、网络资源、软件应用能力资源等。4 .业务子系统提供IDC的基本业务和增值业务。5 .管理子系统为IDC的运营维护提供必要的管理支撑，包括网络管理、资源管理、业务管理、运营管理、安全管理等。7网络子系统7.1 网络结构7.1.1 IDe网络架构应采用层次化、模块化的设计方式，整个网络可分为四层：互联网接入层、汇聚层、业务接入层和运维管理层，共同构成IDC的网络子系统，如图7.1.1所示。互联网互联网接入层汇聚层.4业务区中接入交换机汇聚交换机核心路由器快载分担为全防护等.设备存的区业务接入展曲中中坤J中中华章晶运维及萱理层业"盛募器W-存储网络:3i-I图7.1.1IDC网络结构示意图L互联网接入层应配置核心路由器实现与互联网的互联，对IDC内网和外网的路由信息进行转换和维护，并连接汇聚层的各12计费12.0.1IDC计费应支持资源占用、能力占用、服务使用、业务交易量及其组合等模式。12.0.2IDC应支持灵活的计费类型，支持不同时间段、折扣、套餐等类型。12.0.3IDC计费功能的实现宜与经营者的BSS系统统一考虑，IDC管理子系统应提供计费原始信息。12.0.4IDC的计费记录/话单准确率应不小于99.999%o12.0.5IDC的计费记录或话单应在线存储不短于3个月、离线存储不短于6个月。16设备配置16.0.1IDC各种主设备和配套设备应本着性能稳定、安全可靠、技术先进、低能耗、兼容性好、经济合理、扩展性强等原则进行配置，近期建设规模与远期发展规划应协调一致。16.0.2IDC中采用的各种设备应符合有关的设备技术规范。16.0.3IDC中的关键设备应具有高可靠性，重要部件负载分担、关键部件热备份，具有故障时自动倒换功能。16.0.4IDC中采用的各种网络设备宜具备线速转发能力，具有良好的突发流量缓存能力，支持优先级控制。16. 0.5IDC中采用的网络设备、服务器设备、存储设备和有关系统软件、应用软件宜支持虚拟化功能。16.1 .6IDC中的网络带宽利用率不宜大于70%,网络设备、服务器设备、存储设备的忙时CPU利用率、内存利用率、吞吐能力和会话处理能力的利用率均不宜大于70队16.2 .7IDC机房设施子系统的各方面配置应具备能够扩展到支持IDC终期规模的能力。目次1总则393 业务404 系统组成425 IDC分级436机房设施子系统446.1 机房要求446.2 机架要求446.3 电气、空调、布线与安防457网络子系统467.1 网络结构468资源子系统4710管理子系统4810.1 系统设置4810.2 网络管理4810.3 资源管理4810.4 业务管理4810.5 运营管理4911网络与信息安全5011.1 安全目标5011.2 安全技术措施5011.4 备案管理与有害信息监测5113IP地址与码号5213.2码号5215能耗5316设备配置553业务3.0.1IDC的基本业务主要属资源出租型。主要业务的含义如下。1 .VIP机房出租：指IDC根据用户需要，向用户提供封闭或半封闭的空间放置用户自备的网络和服务器等设备，管理和配置多由用户独立完成。VIP机房配备独立的门禁系统，在网络出口方面可共用IDe的互联网出口，也可使用IDe提供的专线出口。2 .主机托管：指IDC为用户提供一定的“空间”和“带宽”，其中“空间”是参照机架服务器的规格选取一定的机架或机位空间，用户将自己的网络设备、服务器托管在租用的空间内。用户拥有对托管设备的所有权和完全控制权限，用户自行安装软件系统和自行维护。3 .机架出租：指IDC向用户提供一定数量的机架，用户的机架可自行安装、维护自备设备。根据用户需求，机架可与其他机架之间采用通透式钢笼隔离。4 .服务器出租：指IDC规模采购服务器设备，出租给IDC用户，并向承租人提供主机的硬件维修、保养等服务。用户拥有对租用设备的使用权和完全控制权限，自行安装和维护软件系统。5 .虚拟机出租：把一台运行在互联网上的服务器资源（系统资源、网络带宽、存储空间等）按照一定的比例划分成若干台“虚拟”的“小主机”，每一个虚拟主机都具有独立的域名，常用于放置一个网站的网页、图片、数据库等内容，只能实现HTTP、FTP、E-ma11等基本的互联网服务。同一台服务器上的不同虚拟主机是彼此独立的，并可由用户自行管理。6 .带宽出租：指IDC可根据用户的需要提供不同形式的端口4系统组成4.0.1各子系统含义补充说明如下。机房设施子系统指为IDC运营所提供的一系列基本配套设施，主要为供电系统、消防系统、空调系统、安防系统、布线系统、照明系统等。网络子系统由路由器、交换机等数据通信设备和安全设备等组成。网络子系统是开展IDC业务运营的基础，对外担负着IDC与外部互联网的互联互通功能，对内承载着各种IDC业务系统。安全设备部署在IDC各网络层内，防范IDC来自外部互联网的攻击以及保障IDC内部网络和业务的正常运行。资源子系统是IDC用来开展业务运营的基础，包括计算资源、存储资源、IP资源、带宽资源、机房空间资源等资源。业务通过各种资源的合理搭配来为IDC客户提供服务。业务子系统是IDC的核心要素，也是IDC价值的具体表现形式。它根据市场需求，将IDe内的各种资源进行合理的整合和配置，对外包装出符合市场需求的可运营产品或服务，并将这些产品和服务销售给IDC客户。管理子系统为IDC的稳定运行和业务运营提供必要的各种支撑服务。7网络子系统7. 1网络结构7.1.1 IDC网络结构采用了前端业务网络与后台管理网络分离、层次化、模块化设计方式。运维管理层和业务网络物理隔离的设计方法优点如下。1 .即使业务网络遭受攻击，也可以正常通过管理网络对设备进行管理，为其提供服务，快速诊断问题，以减少业务损失。2 .管理网络的网管、防病毒、漏洞扫描等应用和管理人员的操作均独立于业务网络，对业务网络不产生影响。3 .维护人员和客户可通过VPN远程接入管理网络，通过互联网随时随地实现对IDC内网设备的管理。根据业务的发展情况，网络系统可分步建设、灵活扩展，同时也可根据IDC业务发展变化的情况，调整业务模块的用途。7.1.5业务接入层的区域划分可以采用功能聚类方法进行，可根据用户需求的不同进一步细分。例如对于主机托管区，功能区域一是通过普通接入（不需要经过防火墙）连接到互联网。用户拥有自己的业务设备，用户仅需要从IDC租用固定带宽和机位机架的服务；功能区域二通过防火墙、IDS等安全设备连接到互联网，用户需要使用IDC提供的增值服务设备，例如：防火墙、负载均衡设备等；功能区域三通过防火墙、IDS等安全设备连接到互联网，并提供专线接入服务。8资源子系统8. 0.5云计算可以实现按需动态提供服务，能够通过资源池化充分利用系统资源，克服“资源孤岛”导致的性能过剩，系统繁忙时可动态增加CPU/内存，系统空闲时回收系统资源，实现资源动态按需索取。利用虚拟化技术，可对计算资源进行整合，实现计算、内存等资源按业务需求进行分配，从而实现如下优势。1 .提高服务器利用率：整合服务器资源，通过虚拟化技术和资源动态分配技术，让服务器资源没有“闲置”，提高资源利用率。2 .提升I/O性能：通过建立“云存储”，可以实现I/O性能的提升。3 .提高资源易扩展性：资源可按需平滑扩容，扩容时易于实现对现有在运行业务的透明性，通过自动化管理实现新增节点“即插即用"O4 .提高业务连续性：通过虚拟服务器之间的高可用性功能，提高业务可用性，降低运维成本。5 .降低管理维护成本：可通过统一管理界面对所有资源进行集中管理和调配，节点之间易于实现容错和故障自愈功能，节约运维管理成本。6 .节能：通过对闲时负载较小的服务器自动进行负载迁移、休眠、远程唤醒等操作，以节约能源的消耗。10管理子系统10.1系统设置10.1.1IDC的后台维护工作需要与IDC的日常运营工作紧密结合。从11L角度来看，IDC在运维监控方面需要建立事件管理、问题管理、变更管理，并完善资源库等。10.1.3配置KVM系统便于IDe的维护。通过KVM系统，IDC的维护工程师和客户在任何时间、任何地点都可对设备进行RoM/BIOS级别的维护。KVM系统一般由KVM交换机、KVM认证服务器和服务器模块组成。服务器模块与被管设备串口相连，将信号转换成IP信号，并通过以太网与KVM交换机相连。10.2网络管理10.2.6常见实用的网络测试诊断工具集包括：Ping、TraceRoute>DNSLkup>路由表、ARP等来获取。10.3济源管理10.3.3当系统中IP地址资源的状态与实际在线状态不符合时，应告警确认。10.3.6当系统中端口资源的状态与实际在线状态不符合时，应告警确认。10.4业务管理10.4.1 IDe业务的基本单位是服务，IDC产品由一个或多个服务组合而成。10. 5运营管理10 .5.2在业务实施过程中，需注意登记各项工作步骤的内容、执行人、执行时间和备注。业务终止前应确认客户没有欠费，业务终止后应释放业务所占用的资源，如机房、机架、IP地址等。11 .5.4权限管理指应对IDe客户和系统维护人员设置相应的访问控制策略，以及对IDC客户和系统维护人员日常操作的管理，以保证系统的安全运行。11网络与信息安全11. 1安全目标11.1.1IDe应保护重要应用、主机和关键服务器，实现信息资产的安全防护，防止非授权的访问和病毒的扩散、防止黑客入侵、防范垃圾邮件、网页篡改、打击网站仿冒等。11.2安全技术措施11.2.2分布式拒绝服务攻击(DDOS)分为带宽消耗型攻击(大流量攻击)和主机资源消耗型攻击。带宽消耗型攻击会对IDe出口造成流量压力，阻塞IDe业务网络，影响IDC业务运行。主机资源消耗型攻击使服务器处理大量并发攻击请求，严重影响服务器内存、数据库、CPU的处理性能。流量清洗系统的实现可由检测子系统和清洗子系统两部分组成。可以在IDe出口链路上部署流量检测子系统，检测子系统检测到异常流量攻击后，上报清洗子系统并把受攻击的主机流量引入清洗子系统进行异常流量清洗，并将清洗后的正常业务流量重新注入网络中。11.2.7IDe的VPN接入方式可分为IPSeCVPN和SSIVPN两种。IPSecVPN在IP层通过加密与数据源验证，保证数据包在互联网上传输时的私有性、完整性和真实性。SSLVPN基于标准TCP/UDP,不受NAT限制，能够穿越防火墙，用户在任何地方都能用标准的浏览器通过SSLVPN网关代理访问内网资源。11.4备案管理与有害信息监测为落实工业和信息化部关于进一步加强电信市场准入和年检环节信息安全专项审查的通知（工信部保200910号）要求，IDe在提供互联网接入服务和信息服务的时候，需建设接入单位备案管理系统和网站有害信息检测过滤系统。有关功能应符合工信部接入服务提供者互联网站备案管理功能要求第1部分：备案管理系统功能的要求和互联网站管理工作细则等的要求。13IP地址与码号13.2码号13.2.2一种设备编码规则为：设备代码由五部分组成，第1、2位为IDC业务标识；第35位为该IDC机房所在省的省代码；第6、7位为该省的IDC机房序号；第8、9位为IDC机房设备类型；第1014位为该设备序号。15能耗15.0.1采用能源利用效率(PUE)作为机房整体能效的衡量指标。PUE的计算公式为：PUE=机房总耗电/主设备耗电。其中，机房总耗电是维持机房正常运行的所有耗电，主设备耗电包括各类服务器、存储和网络设备的耗电。在IDC整体系统网络设计中，应从机房、供电、散热、机房布局、设备选型等多个方面考虑降低能耗。节能措施可主要考虑以下几个方面。1 .设计节能减少不必要的器件及共享设计。在设备设计时应尽量减少不必要的器件引起的耗电，通过基础部件共享降低系统功耗、减少耗材、减少占地面积。提高系统集成度，降低单位器件的能源功耗，如采用低能耗芯片，米用固态硬盘等。2 .运行节能CPU变频技术。采用设备在低负荷运行时CPU自动降频、服务器闲时可休眠等方式，根据系统负荷自动调节处理器频率，降低设备在低利用率情况下的能源消耗。分层存储技术。分层存储技术主要是通过将不经常使用的数据由原来高成本低容量的FC盘转移到低负载循环高容量的SATA盘上，以减少物理磁盘数量，提升能源效率。设备共享。主要通过设备共享提升设备使用率，多个系统实例共享物理基础设施(电源、冷却)，以提高能源的使用效率，减少物理设备的数量，使得动态资源管理成为可能，有效降低机房热点。3 .配套节能减轻设备重量。主要包括单机柜本身的重量、设备机框重量、拉手条重量、设备单板重量的减轻等。4 .机房及设备热管理机房保温隔热，优化机房布局，设备分冷热分区放置，增加风扇加大风量，降低局部热点；提高机柜门开孔率，提高散热效率；在机柜内回风通路上增加挡风盲板，以减少机柜后部热风回流到机柜前部，降低机柜入风口温度等。5 .用电测量与评估需建立合理的用电测量与评估机制，以便及时、准确及全面了解机房主设备、配套设备等各部分的用电情况，评估机房能源利用效率，发现影响能效的主要问题，并在机房节能方案实施后对节能效果进行评估。16设备配置16.0.1主设备包括：IDC网络设备，如核心路由器、汇聚交换机、接入交换机等；IDC安全设备，如流量清洗系统、防火墙、人侵检测系统、VPN网关、防病毒系统、用户接入审计系统等；负载均衡、SSL加速等设备；IDC服务器/存储设备，如机架服务器、刀片服务器、分布式存储、SAN存储等；管理子系统的各种设备等。配套设备包括：机房设施子系统所涉及的各专业设备，如消防系统、安防系统、电源系统、空调系统、机架、布线系统等包含的设备，以及相配套的监控管理设备等。16.0.3对关键设备的高可靠性要求是为了充分保证系统能够不间地断地运行。