大型金融数据中心网络架构设计V2课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《大型金融数据中心网络架构设计V2课件.pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型 金融 数据中心 网络 架构 设计 V2 课件
- 资源描述:
-
1、0大型金融数据中心网络架构设计1金融数据中心网络架构设计2金融电子化起步1980-1990计算机替代手工操作引进小型机和微机承担后台和前台处理微机单兵作战联网通存通兑1990-2000全城联网电子票据交换通存通兑全国联网全行数据集中2000-2007数据大集中综合业务系统降低IT TCO强化风险控制以客户为中心IT架构治理2007 2013架构优化和安全风险关注服务与管理流程网上业务快速发展数据挖掘、风险管理 2013 互联网金融自主可控客户体验大数据分析产品及服务创新信息化金融我国金融业IT建设与发展回顾3中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿) 稳步开展云计算应用,主
2、动实施架构转型探索构建私有云平台,采用成熟度高、开放性强的计算虚拟化、容器虚拟化、分布式存储、网络虚拟化 等技术,建立资源池,形成资源弹性供给、灵活调度和动态计量的私有云平台。60%75%快速研发,持续创新到“十三五”末期,面向互联网场景的重要信息系统全部迁移至云计算架构平台,其他系统迁移比例不低于60%提高基础资源和应用部署的自动化水平,实现快速交付、动态调整、弹性部署,降低人工操作风险,自动化部署比例不低于75%推进开发、测试、交付一体化建设,支撑产品迅速投放市场信息科技“十三五”发展规划监管指导意见(征求意见稿)4金融网络应用场景的划分数据中心应用服务域(核心业务、多媒体、呼叫中心、管理
3、信息系统、办公系统、运维系统等业务系统)应用服务层渠道接入层企业边界服务域(网银、网站、外联、邮件、办公系统、办公互联网等业务系统)用户层Intranet(分支机构、总行园区、数据中心园区)InternetExtranet分支机构用户ATM、VTM、POS、柜员终端 办公终端、业务中心终端等数据中心用户运维用户、办公终端、开发测试用户总行用户业务终端、办公终端、运维用户、开发测试用户互联网用户网银用户(公、私) 小企业用户(银企、现金管理等) 外联用户合作伙伴、境外机构 、离行设备(4G/3G/2G/PSTN) 5金融网络应用场景的划分数据中心应用服务域应用服务层渠道接入层企业边界服务域用户层
4、IntranetInternetExtranet分支机构用户数据中心用户总行用户互联网用户外联用户私有云数据中心网络解决方案两地三中心网络解决方案双活数据中心网络解决方案统一外联解决方案网上银行网络解决方案金融互联网资源区网络建设方案两地三中心骨干网/核心承载网方案金融园区网解决方案WIFI、BYOD解决方案深度安全防护方案网点/3G/4G/网控器/移动营销解决方案用户及终端安全准入解决方案远程移动办公方案3G/4G VPDN专线接入方案大数据平台网络解决方案6商业银行数据中心发展及未来的演进路线7第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网
5、络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。对网络功能分区、网络安全划分具有指引意义DC 1.0:银行业信息系统风险监管(1)8第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和
6、整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:(一) 生产系统与开发系统、测试系统有效隔离。(二) 生产系统与开发系统、测试系统的管理职能相分离。(三) 除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。(四) 将完成开发和测试环境的程序或系统配置变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。对网络功能分区、网络安
7、全划分具有指引意义DC 1.0:银行业信息系统风险监管(2)9DC 1.0:网络功能分区的需求01应应用服用服务务域域满足数据中心内生产业务、经营管理类业务、办公业务等服务资源接入服务、安全服务、负载均衡服务04管理服管理服务务域域满足日常操作运维需要的运维人员接入,运维服务器接入,带外带内网络接入03存存储储服服务务域域满足新数据中心基于IP技术的NAS存储网络和备份网络02用用户户接入域接入域提供内部生产办公用户、外联单位用户、公众用户的接入服务及安全服务数据中心应满足应用服务域、用户接入域,存储服务域、管理服务域、多中心互联域等服务资源的构建,各功能组件通过网络服务总线互联为一个统一的架
8、构。10DC 1.0:应用服务分区的目标存储服务域应用服务域网络服务总线管理服务域用户接入服务外联接入业务互联网接入办公互联网接入内部用户接入带内管理服务带外管理数据中心互联广域网InternetInternet广域网园区网第三方机构存储服务域应用服务域网络服务总线管理服务域用户接入服务外联接入业务互联网接入办公互联网接入内部用户接入带内管理服务带外管理数据中心互联广域网InternetInternet广域网园区网分支机构异地灾备中心11DC 1.0:金融数据中心安全区的划分数据中心网络分区从总体上可分成不同安全级别的四个安全区:非安全区、半安全区、安全区、核心安全区非安全区(对外连接)半安全
9、区DMZ核心安全区安全区安全边界安全边界安全边界不受控制的区域,如对Internet公众用户、外联第三方单位等提供服务的资源区域,企业的安全政策和标准无法强制执行企业内部网到核心安全区、安全区的过渡区域,外部网络和企业内部网络之间的过渡区域,用于分割它们之间的直接联系,隐藏和保护内部资源提供企业内部重要程度一般的服务器和客户端的接入,安全级别较高 安全级别最高,包含了重要的应用服务器,提供关键的业务应用;包含企业网络管理、系统管理、安全管理、流程管理等管理功能相关的模块所集中的区域,具有很重要的意义,需要严格的安全策略;从外部网络到核心安全区域应通过半安全区进行转发,必须经过严格的安全控制12
10、DC 1.0:数据中心安全域划分互联网接入区公众用户VPN维护用户VPN办公用户合作伙伴外联网接入区合作伙伴外联DMZ专线VPN网关办公VPN网关维护网银、手机银行电商DMZ门户网站DMZ员工上网DMZ其他系统DMZ入侵防护防DDOS防病毒网关Internet园区网广域接入OA生产其他总部机构同城及异地中心分支机构运维管理服务区安全管理流程管理ECC堡垒机带外管理其他业务三区办公应用决策应用其他业务二区非核心系统业务一区核心业务应用服务器业务处理体系渠道体系非安全区半安全区安全区核心安全区13核心交换区内联区前置系统核心业务区核心业务系统密钥管理平台数据总线渠道管理平台会计处理平台资金运营中间
11、业务代理理财重要业务区决策支持系统风险分析系统管理网区视频监控视频会议系统运维区安全管理平台网管系统广域网接入区省际骨干接入互联网接入区外联区DMZ1DMZ2DMZ3DMZ1DMZ2办公管理区资产管理系统准生产区准生产系统测试区测试系统培训环境数据中心互联带外管理区金融网Internet第三方接入第三方接入测试网安全服务安全服务安全服务安全服务安全服务安全服务安全服务安全服务安全服务安全服务安全服务互联网接入外联接入DC 1.0: XX银行数据中心网络架构非安全区半安全区安全区核心安全区14A08A08-18-18A A机房布局机房布局A08A08-10-10A08A08-09-09A08A0
12、8-01-01A07A07-18-18A07A07-10-10A07A07-09-09A07A07-01-01A06A06-08-08A06A06-07-07A05A05-16-16A05A05-12-12A05A05-09-09A05A05-08-08A05A05-07-07A04A04-08-08A04A04-07-07A03A03-10-10A03A03-09-09A03A03-01-01A02A02-18-18A02A02-10-10A02A02-09-09A02A02-01-01A01A01-18-18A01A01-10-10A01A01-09-09A01A01-01-01A06A0
13、6-06-06A06A06-05-05A05A05-06-06A05A05-05-05A06A06-04-04A06A06-03-03A05A05-04-04A05A05-03-03A06A06-02-02A06A06-01-01A05A05-02-02A05A05-01-01机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器小小型型机机机机柜柜机机架架服服务务器器小小型型机机机机柜柜小小型型机机机机柜柜机机架架服服务务器器小小型型机机机机柜柜机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机
14、机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3A04A04-06-06A04A04-05-05A04A04-04-04A04A04-03-03A04A04-02-02A04A04-01-01A03A03-12-12A03A03-11-11A03A03-14-14A03A03-13-13A03A03-16-16A03A03-15-15A06A06-14-14A06A06-13-13A06A06-12-12A06A06-11-11A06A06-10-10A06A06-09-09铜缆铜缆三三相
15、相电电存存储储区区三三相相电电存存储储区区三三相相电电存存储储区区空调侧空调侧带带库库机机柜柜A04A04-13-13A04A04-15-15A04A04-14-14A04A04-12-12综合布综合布线线综合布综合布线线综合布综合布线线综合布综合布线线综合布综合布线线综合布综合布线线综合布综合布线线扩扩展展B B路路D DCCX XDCDCX X扩扩展展A A路路D DCCX XDCDCX X新新网网银银A AP PP P新新网网银银D DB B新新网网银银WWE EB B新新网网银银WWE EB B扩扩展展新新网网银银A AP PP P新新网网银银D DB B新新网网银银A AP PP P
16、扩扩展展新新网网银银扩扩展展走廊侧走廊侧统一统一考核考核VMAVMAX XDC 1.0:数据中心机房典型分配方式15DC 1.0:采用传统网络架构面临的挑战15网络资源管理和分配采用手工方式进行管理,并且与应用耦合度较高,需要多个部门协商才能确定,管理复杂,效率不高。网络组网使用传统技术,广播流量和未知单播泛洪会影响底层网络的稳定运行,网络规模难于扩展。网络分区相对固定,交换机、防火墙、负载均衡性能容量需要依赖设备纵向能力提升,拆分时需要配套网络拓扑方式变化,变更风险较大。运维网络逻辑分区与物理位置的紧耦合,造成计算集群不能跨分区进行部署,一定程度上造成了计算、存储资源的碎片化,加剧了计算、存
17、储资源整体富余,局部紧张的结构性矛盾,不利于资源池化管理。各分区计算资源在各机房的接入增长不平衡,造成整体富余,局部紧张的结构性矛盾,经常需要进行跨机房跳线或物理搬迁服务器。网络分区跨机房部署造成机房模块之间的布线关系复杂并且数量巨大,机房可持续重用能力较弱,另外在每个机房中的变更维护操作都要考虑到分区整体性风险。现有网络设备和布线以千兆接入为主,难以满足后续计算、存储多网融合后大量万兆服务器接入需求;服务器网卡使用缺乏统一标准,不利于通过自动化进行资源的快速调度。架构灵活性16DC 2.0:技术需求与规划要点01灵灵活性活性对网络的需求表现为松耦合的架构,极高的可靠性、灵活的容量和性能扩展能
18、力03网络资网络资源池源池服务器虚拟化使计算资源可池化,为此网络需要实现支持各种虚拟化技术的应用场景;如:构建大规模的二层网络资源池、支持网络策略的跟随02高密接入高密接入大量应用系统向开放的X86服务器转型,网络架构具有大规模网络接入的能力17交换核心管理监控区ECC总控中心运维管理服务带外连接带外管理网管控中心外网Internet园区网生产办公接入区生产业务后台区内联隔离区 互联后台区 办公后台区电话银行后台区互联隔离二区互联隔离一区InternetInternet外联单位外联单位外联隔离区企业边界广域内联接入区数据中心互联托管业务区NAS访问区DC 2.0: XX银行北京数据中心逻辑架构
展开阅读全文