امنیت
فهرست مطالب
زیرساخت مرکز داده (Data Center Infrastructure) به مثابه قلب تپنده عملیات هر سازمان مدرن، مجموعهای بسیار پیچیده و همگرا از سیستمهای فیزیکی و منطقی است که برای پشتیبانی ۲۴ ساعته از محاسبات، ذخیرهسازی و ارتباطات حیاتی طراحی شده است.
این زیرساخت از سه لایه اصلی تشکیل شده است که شامل زیرساخت محاسباتی (Compute) است که میزبان صدها یا هزاران سرور فیزیکی و مجازی همچون سرورهای با چگالی بالا (سرورهای بلید)، سرورهای پرولیانت اچپی، سرورهای پاوراج دل و غیره است که وظیفه اجرای برنامهها و پردازش دادهها را بر عهده دارند. زیرساخت ذخیرهسازی (Storage) که میزبان آرایههای ذخیرهسازی با عملکرد بالا مانند آرایههای تمام فلش، استوریجهای دیتا دامین، پاور استور، MSA اچپی و شبکههای ناحیه ذخیرهسازی (SAN) برای مدیریت، حفاظت و دسترسی سریع به حجم عظیم دادهها است و در نهایت زیرساخت شبکه (Network) که متشکل از سوئیچها، روترها و فایروالهای پرسرعت مانند Cisco Nexus، فورتیگیت، سوفوس، F5، پالوآلتو است که اتصال با کم تاخیر و امن را بین سرورها، ذخیرهسازها و کاربران خارجی فراهم کند.
در پایین این لایهها، زیرساخت پشتیبان قرار دارد که شامل سیستمهای یوپیاس، ژنراتورهای پشتیبان، سیستمهای خنککننده برای مدیریت حرارت و فریمورکهای امنیتی فیزیکی و سایبری است. هدف نهایی این ساختار، نه تنها تضمین دسترسپذیری بالا و قابلیت اطمینان از طریق افزونگی است، بلکه دستیابی به اصل مقیاسپذیری پویا و چابکی در برابر افزایش تقاضای سرویسها و رشد دادهها است. اکنون اجازه دهید هر یک از این لایهها را با جزییات بیشتری مورد بررسی قرار دهیم.
۱. زیرساخت محاسباتی (Compute Infrastructure)
این لایه، توان پردازشی مورد نیاز برای اجرای تمامی بارهای کاری سازمان را فراهم میکند. هسته این زیرساخت، سرورهای با کارایی بالا است که عمدتا شامل سرورهای رکمونت یا پلتفرمهای بلید هستند که تراکم بالایی از پردازش را ارائه میدهند. به طور معمول، سرورهای مدرن مانند HPE ProLiant Gen11 یا Dell PowerEdge از جدیدترین نسل پردازندههای چندهستهای اینتل یا ایامدی و حافظههای DDR5 برای بهینهسازی توان عملیاتی استفاده میکنند تا سرعت انجام محاسبات را افزایش داده و هزینهها را در بلندمدت کاهش دهند. البته، در این میان، شرکتها از فناوری مجازیسازی با استفاده از هایپروایزرهایی چون VMware vSphere یا Microsoft Hyper-V نیز استفاده میکنند که امکان تجمیع و جداسازی منطقی منابع را فراهم کرده و چابکی و کارایی منابع فیزیکی را به شدت افزایش میدهد. شایان ذکر است معماریهای جدید مانند زیرساختهای همگرا و زیرساختهای فوق همگرا، منابع محاسباتی و ذخیرهسازی را در یک پلتفرم واحد ادغام میکنند تا مدیریت را سادهتر سازند.
۲. زیرساخت ذخیرهسازی (Storage Infrastructure)
زیرساخت ذخیرهسازی وظیفه نگهداری، حفاظت و تضمین دسترسی با سرعت بالا به دادهها را بر عهده دارد. این زیرساخت شامل آرایههای ذخیرهسازی مختلف است که عمدتا بر مبنای شبکههای ناحیه ذخیرهسازی (Storage Area Networks) که از پروتکلهایی مانند کانال فیبر یا iSCSI استفاده میکنند پیادهسازی میشوند تا بتوانند دسترسی بلوکمحور را با تاخیر بسیار پایین فراهم کنند. در این میان، آرایههای تمام فلش و هیبریدی با استفاده از درایوهای SSD یا NVMe، عملکرد عملیات ورودی و خروجی را به حداکثر میرسانند که برای برنامههای حیاتی و تراکنشی (OLTP) ضروری است. علاوه بر SAN، استوریجها نیز برای مدیریت فایلهای غیرساختاریافته ممکن است استفاده شوند که البته با توجه به وجود شبکه SAN، شرکتها ترجیح میدهند ترافیک LAN را به شکل اختصاصی برای کاربردهای حساس در نظر بگیرند. زیرساخت حفاظت از دادهها (Data Protection) نیز شامل راهکارهای پشتیبانگیری و بازیابی از فاجعه است که بر مبنای راهکارهای تیپ درایو و فناوری رید، اطمینان میدهند دستکم یک نسخه از اطلاعات، آرشیو شده و به شکل مطمئنی نگهداری میشود.
۳. زیرساخت شبکه (Networking Infrastructure)
شبکه، ستون فقرات اتصال در مرکز داده است و وظیفه انتقال دادهها بین سرورها، ذخیرهسازها و کاربران نهایی را بر عهده دارد. این زیرساخت شامل سوئیچهای هسته (Core Switches) با ظرفیت بالا و تاخیر کم است که ترافیک بین رکها را مدیریت میکنند. مدلهای معماری مدرن مانند Spine-and-Leaf برای ایجاد یک شبکه غیر مسدود شونده با پهنای باند بالا و تاخیر یکنواخت پیادهسازی میشوند. شبکههای نرمافزارمحور نیز، مدیریت و خودکارسازی شبکه را از طریق جداسازی لایه کنترلی از لایه داده امکانپذیر میسازند. از منظر امنیت، فایروالهای نسل بعدی در نقاط ورودی و خروجی ترافیک شمال به جنوب را مدیریت میکنند، و برای میکروسگمنتبندی ترافیک داخلی شرق به غرب مستقر میشوند تا از گسترش حملات سایبری در محیط مرکز داده جلوگیری شود.
تجهیزات سختافزاری زیرساخت مرکز داده
تجهیزات سختافزاری در زیرساخت مرکز داده به سه دسته اصلی تفکیک میشوند که هر کدام نقش حیاتی در پردازش، ذخیرهسازی و ارتباطات ایفا میکنند.
سختافزار محاسباتی (Compute Hardware)
این بخش هسته پردازشی را شامل میشود که عمدتا متشکل از سرورهای رکمونت و سرورهای بلید است که توان پردازشی لازم برای انجام محاسبات یا مجازیسازی با استفاده از هایپروایزرهایی مانند VMware ESXi را فراهم آورند. برای بارهای کاری فشرده محاسباتی مانند هوش مصنوعی و مدلسازی، این سرورها مجهز به شتابدهندههای گرافیکی میشوند تا بتوانند فرآیند آموزش شبکههای عصبی را در کمترین زمان ممکن انجام دهند. همچنین، آداپتورهای کارت شبکه (NICs) با قابلیتهای Offloading و پشتیبانی از پروتکلهای خاص، اتصال بهینه سرور به شبکه را تضمین میکنند.
سختافزار ذخیرهسازی (Storage Hardware)
این تجهیزات وظیفه نگهداری و مدیریت دادهها با تاکید بر سرعت و پایداری را دارند. مولفههای اصلی شامل آرایههای ذخیرهسازی به شرح زیر هستند:
- All-Flash Arrays (AFA): این آرایهها به شکل اختصاصی از درایوهای SSD مبتنی بر NVMe استفاده میکنند تا تاخیر در حد میکروثانیه و توان عملیاتی (IOPS) بسیار بالا را برای محاسبات فراهم کنند.
- سن سوییچها: این تجهیزات برای ساخت شبکههای SAN، امکان اتصال اختصاصی و پرسرعت را بین سرورها و آرایهها فراهم میکنند.
- سیستمهای حفاظت از داده: سختافزارهایی مانند تیپ درایوها و کتابخانههای نواری و استوریجهایی مثل Data Domain جهت پشتیبانگیری و آرشیو طولانیمدت دادهها با هدف کاهش فضای فیزیکی مورد نیاز استفاده میشوند.
سختافزار شبکه (Networking Hardware)
این تجهیزات زیرساخت اتصال را ایجاد میکنند تا انتقال دادهها بین تمامی اجزای دیتاسنتر تضمین شود. مولفههای کلیدی این بخش به شرح زیر هستند:
- سوئیچهای هسته و دسترسی (Core and Access Switches): این سوئیچها مانند Cisco Nexus یا Arista با پورتهای پرسرعت 100 و 400 گیگابیت بر ثانیه برای پیادهسازی معماری Spine-and-Leaf طراحی شدهاند تا پهنای باند بالا و تاخیر یکنواخت و قابل پیشبینی را در سراسر دیتاسنتر ارائه دهند.
- فایروالهای نسل بعدی (NGFWs): این سختافزارها مانند فورتیگیت با استفاده از پردازندههای امنیتی اختصاصی (Security Processors)، قادر به بازرسی عمیق بستهها و اجرای پالیسیهای امنیتی پیچیده با سرعت نزدیک به سرعت خط (Near Line-Speed) هستند تا بدون کاهش عملکرد، امنیت شبکه را تضمین کنند.
- روترها: برای مدیریت ترافیک ورودی و خروجی و برقراری ارتباط با شبکههای WAN و اینترنت استفاده میشوند.
طراحی و پیادهسازی زیرساخت مرکز داده
طراحی و پیادهسازی زیرساخت مرکز داده یک فرآیند چندمرحلهای، پیچیده و حیاتی است که نیازمند دقت فنی، برنامهریزی استراتژیک و پیروی از استانداردهای بینالمللی است. هدف نهایی، ایجاد یک محیط مقیاسپذیر، قابل اطمینان و امن برای نگهداری از داراییهای فناوری اطلاعات سازمان است. به طور اجمالی این مراحل به شرح زیر هستند:
1. فاز برنامهریزی و طراحی (Planning and Design)
این فاز با تعیین اهداف کسبوکار آغاز میشود؛ یعنی درک نیازمندیهای آینده سازمان از نظر ظرفیت، رشد مورد انتظار و الزامات قانونی. ابتدا، ظرفیتهای مورد نیاز در سه حوزه کلیدی تعیین میشود: توان محاسباتی، ظرفیت ذخیرهسازی و پهنای باند شبکه. همچنین سطح دسترسپذیری مورد انتظار بر اساس سیستم رتبهبندی Tier موسسه Uptime تعیین میشود که معمولا Tier III یا Tier IV برای مراکز داده حیاتی انتخاب میشود. البته، در ایران عمدتا بر پایه سطح 2 انجام میشود و در برخی موارد رویکردی میان 2 و 3 انتخاب شود که برخی شرکتهای ایرانی آنرا سطح 2.5 نامگذاری کردهاند. بر اساس نیازمندیها، معماران طرح جامع را ترسیم میکنند که شامل طراحی سه لایه فناوری اطلاعات که پیشتر اشاره کردیم (Compute, Storage, Network) و لایههای فیزیکی (Power, Cooling, Cabling) است. در این مرحله، افزونگی برای تمامی مولفهها (N+1 یا 2N) لحاظ میشود تا اصل دسترسپذیری محقق گردد.
2. فاز پیادهسازی فیزیکی و پشتیبان (Physical and Support Implementation)
پس از طراحی منطقی، فرآیند اجرای فیزیکی آغاز میشود که اغلب زمانبرترین بخش است. ابتدا سیستمهای برقرسانی پیادهسازی میشوند؛ که جریان برق اصلی (سه فاز)، یوپیاس برای تامین برق کوتاهمدت و ژنراتورهای اضطراری برای تامین برق طولانیمدت است. در بخش سرمایش، سیستمهای تهویه دقیق HVAC یا سیستمهای خنککننده مایع (Liquid Cooling) برای مدیریت بارهای حرارتی بالا در اتاق سرور نصب میشوند. البته، مکانیزم سرمایش، خود الزامات فنی دقیقی دارد که انتخاب مدل متناسب باید بر اساس نوع طراحی، تعداد رکها و توان محاسباتی انجام شود. در مرحله بعد نوبت به نصب رکها، اجرای کابلکشی ساختاریافته برای فیبر نوری و کابلهای مسی میرسد. در این مرحله بابد مشخص شود در چه بخشهایی از مرکز داده باید از کابلهای پرسرعت Cat7، Cat8 یا Cat 8.1 استفاده شود و در چه بخشهایی باید از کابلهای رایج استفاده شود. همچنین، استفاده از مکانیزمهای مدیریت کابل (Cable Management) برای بهینهسازی جریان هوا و تسهیل نگهداری ضروری است. در مرحله بعد نوبت به استقرار سیستمهای کنترل دسترسی (Access Control)، دوربینهای مداربسته، و سیستمهای اطفاء حریق خودکار مانند FM-200 یا NOVEC برای حفاظت از تجهیزات میرسد.
3. فاز پیادهسازی فناوری اطلاعات و پیکربندی (IT Implementation and Configuration)
این فاز شامل نصب و راهاندازی تجهیزات حیاتی سازمان است. نصب سرورها، آرایههای ذخیرهسازی یا شبکههای ذخیرهسازی (SAN/NAS) و تجهیزات شبکه سوئیچهای لایه دسترسی، توزیع و مرکزی و فایروالها در رکهای مشخص شده است. همچنین، ممکن است از ملزومات دیگری مثل لودبالانسرها نیز برای متعادلسازی بار ترافیکی استفاده شود. انتخاب نوع سرورها و سوییچها کاملا به الزامات تجاری، فنی و پیشبینی رشد سرویسها در آینده بستگی دارد. راهاندازی و پیکربندی معماری شبکه مانند Spine-and-Leaf، تنظیم فایروالها برای اعمال سیاستهای امنیتی و پیادهسازی Micro-segmentation نیز در این مرحله انجام میشود. به طور مثال، یک مرکز داده ممکن است بر اساس معماری سلسله مراتبی، Fat-Tree یا موارد دیگر انجام شود. در مرحله بعد نوبت به نصب هایپروایزرها بر مبنای راهکارهایی مثل VMware vSphere، راهاندازی سیستمهای مدیریت ذخیرهسازی و ایجاد زیرساخت ابری خصوصی یا HCI میرسد. تقریبا، اکثر مراکز داده از راهکارهای مجازیسازی و ماشینهای مجازی برای استفاده حداکثری از سرورها و منابع آنها استفاده میکنند.
4. فاز آزمون و تحویل (Testing and Handover)
در نهایت، قبل از عملیاتی شدن، باید عملکرد مرکز داده مورد تایید قرار گیرد. در این مرحله انجام تستهای پذیرش سایت (Site Acceptance Testing) برای تایید عملکرد سیستمهای برق و خنککنندگی تحت بار کامل انجام میشود. انجام تستهای Failover برای اطمینان از اینکه افزونگی در صورت قطعی برق یا سختافزاری به درستی عمل میکند، اهمیت زیادی دارد. آخرین مرحله، تهیه مستندات کامل عملیاتی و فنی مانند نقشههای کابلکشی و طرحهای بازیابی از فاجعه و ارائه آموزشهای لازم به تیم عملیات برای شروع فعالیت و مدیریت مرکز داده است.
اشتراکگذاری
نویسنده
حمیدرضا تائبی
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.
