简单百科
IDC

IDC

IDC（Internet 数据 Center，即互联网数据中心）是一种大型数据存储和处理设施，用于存储、处理、管理和分发互联网相关数据和应用。IDC的主要功能包括数据存储和管理、服务器托管和管理、网络运营和管理、安全保障和管理以及计算服务等。IDC通常由一系列网络设备、服务器、存储设备、备份设备、安全设备、制冷设备、供电设备等构成。它们通常由大型互联网公司、电信运营商、云计算服务提供商、政府机构等来运营和管理。

发展历史

初期阶段

IDC在上世纪90年代初期开始出现，当时主要用于提供网络接入和服务器托管服务。数据中心主要依靠大型服务器、存储设备、网络设备等基础设施构建，主要应用为WEB服务器、邮件服务器等。

标准化阶段

2000年左右，数据中心标准化开始受到重视。数据中心的硬件设备和软件系统开始朝着标准化方向发展，如机柜标准化、机架标准化、网络标准化等。此阶段主要的应用为虚拟主机、云计算等。

智能化和边缘化阶段

2015年左右，数据中心开始迎来智能化的阶段。随着人工智能、大数据等新技术的发展，数据中心开始引入智能化管理技术和智能化设备。

2020年左右，随着物联网、5G等新技术的发展，数据中心开始朝着边缘化方向发展。数据中心开始向边缘设备靠近，向用户提供更加接近终端的计算、存储、网络等服务，提升用户体验和应用性能。

可靠性和安全阶段

在数据中心的技术发展历程中，可靠性一直是关注的重点。为了保证数据中心的高可用性和可靠性，数据中心逐渐引入了多种技术和设备，如冗余电源、冗余网络、冗余存储等。同时，数据中心也在加强对系统的监控和管理，以及提高故障诊断和修复的能力。

随着数据泄露、网络攻击等安全问题的不断出现，数据中心的安全问题逐渐成为行业的焦点。数据中心开始采取多层次的安全措施，包括网络安全、物理安全、应用安全、数据安全等，以保障数据中心的安全性和可信性。

组成

一般来讲， IDC是一个独立的系统，它应该包含服务子系统、资源子系统、网络子系统、机房基础设施子系统、管理子系统和安全子系统6个逻辑功能部分。

机房基础设施子系统

机房基础设施子系统为IDC提供机房、供电、消防、制冷、安防、布线等基础环境，为其他所有子系统提供服务；机房设施子系统包括建筑、电气、制冷、布线、机架等各个方面，这些方面的建设和维护都应该参照已有的国家或者行业标准进行，例如GB50019《采暖通风与空气调节设计规范》， GB50016《建筑设计防火规范》等。

网络子系统

网络子系统包括IDC内部的支撑网络和外部互联网出口，为资源子系统和部分基础服务提供网络环境。一般来讲，IDC网络架构都是采用层次化、模块化的设计方式，将整个网络分为4层：互联网接入层、汇聚层、业务接入层和运维及管理层，未来随着技术的发展，数据中心的网络会更加扁平化。目前的数据中心4层结构如图2所示。IDC业务网络进行隔离，通过运维管理层的接入及汇聚交换机连接管理子系统各种设备。随着可用IPv4地址的日益减少，建议IDC网络具备支持IPv6的能力。

互联网接入层一般配置核心路由器实现与互联网的互联，同时对IDC内网和广域网的路由信息进行转换和维护，并连接汇聚层的各汇聚交换机，形成IDC的网络核心；汇聚层的交换机实现向下汇聚业务接入层各业务区的接入交换机，向上与核心路由器互联。部分流量管理设备、安全设备可以部署在该层。

资源子系统

资源子系统为IDC提供开展业务运营所需的基础资源池，包括各种计算资源、存储资源、网络资源、软件应用能力资源等。从资源的用途上分，资源子系统可分为网络资源、计算资源、存储资源等资源。

网络资源包括IP地址、网络带宽、防火墙、负载均衡、流量过滤等与网络相关的资源；计算资源包括物理主机(Dedicated Server)、虚拟主机(Virtual Server)、虚拟机(Virtual Machine)等资源；存储资源包括各类以存储数据为目的提供的资源，提供的形式包括存储设备(如整套磁盘阵列)、块设备(LUN设备)、文件系统、对象存储或结构化存储(如数据库)等。

服务子系统

IDC服务子系统提供的服务包括基础资源出租服务和代维/代管等服务两大类。

IDC基础资源出租服务，可以包括但不限于VIP机房出租，主机托管，机架出租，服务器出租，拟机(Virtual Machine)出租，带宽出租，IP地址出租和IT系统外包(VDC)服务。在基础资源服务之外， IDC还可提供代维/代管等附加服务，如安全防护、数据存储、流量管理、维护管理、内容管理和系统集成等相关服务。

IDC也可以根据技术、业务管理等的变化提供更多种类服务，如云计算概念中的各类服务等。

管理子系统

管理子系统为IDC的运营维护提供必要的管理支撑，包括网络管理、资源管理、运营管理等。

网络管理的对象包括IDC内自有设备以及提供代维/代管类增值业务的用户设备。在有条件的IDC节点，IDC的网络管理系统可以对IDC代维/代管的用户托管设备进行管理，保证用户设备高效、稳定的运行。资源管理支持对IDC中各种资源的日常管理、统计、核对。运营管理应该提供服务管理、用户管理、运营统计以及环境监控、故障监控等服务。

安全子系统

安全子系统为数据中心的其他子系统提供必要的网络安全和信息安全等方面的监测，提高整个数据中心的安全系数。在IDC网络的各层应该有如防DDo S攻击系统、网页防篡改系统和DNS防劫持系统等相应的措施实现对安全的保障。对于IDC业务运营者来说，他们应该能够为被服务对象提供有效的网络安全防护手段，例如防火墙、入侵检测、漏洞扫描、病毒查杀等，以抵御来自网络的各种类型的攻击。IDC业务运营者还应该具备对自己管辖网络内信息的溯源能力。

IDC架构

物理层

物理层指IDC在运行的过程中，提供的系列基础配套设施，主要包括供电系统、消防系统、安保系统、配线、照明系统和制冷系统。IDC系统的物理环境一般都比较恶劣，因此对数据中心的要求较高。物理层作为IDC互联网中最重要的部分之一，在整个互联网中起着至关重要的作用，它的好坏将直接影响到整个系统的运行效率。

互联网层

互联网层包括数据通信设备，如路由器、交换机、防火墙、IDS(入侵检测系统\u003e以及安全设备等。互联网层是整个互联网的核心部分，也是支撑整个互联网正常运行的基础，其性能的优劣将直接影响到整个互联网安全稳定地运行，同时也决定了整个互联网的成本高低，因此它又是整个互联网最重要的组成部分之一，是整个互联网的基石，是不可或缺的。互联网设备主要有交换机、路由器、网关等；互联网安全设备主要包括入侵报警主机、入侵探测及响应服务器、安全管理平台等。

传输层

传输层负责为数据提供传输通道，其目的在于确保数据传输的安全性，可靠性.稳定性、可扩展性，经济性和实用性。安全设备布置于IDC各个传输层，以防止IDC在外部互联网上被攻击，确保IDC内部互联网及业务能够正常开展。

业务层

业务层既是IDC的核心要素，又是IDC的价值体现。它根据用户的实际需求情况来决定是否要建设数据中心及建设的数量，从而满足不同类型的客户对数据中心资源的需求，因此， IDC的建设必须以市场需求为导向，才能吸引到更多的高质量客户，使其成为真正意义上的优秀的IDC客户。其功能主要包括数据存储、数据分析与应用、数据备份等。

资源层

资源层是IDC进行业务运营所使用的基础，它由计算资源、存储资源、IP资源、带宽资源和机房空间资源组成。

主要功能

IDC在现代互联网应用中发挥着至关重要的作用，是许多在线服务和应用的核心基础设施之一。IDC的主要功能包括：

IDC设计需求

可靠性

节能问题

在2010年左右，能源和环保问题开始引起数据中心运营商的关注。数据中心的节能和绿色设计成为关键词。在节能方面，数据中心采用了多种技术和措施，如服务器虚拟化、能耗监控、采用低功耗处理器等。

安全防护措施

为保障互联网数据中心的安全，抵御各种威胁和攻击，需要联合使用安全体系中各个层次的安全技术，形成一个完善的安全防预体系。

虚拟专用网

为了在不安全的互联网中实现企业应用的安全访问和数据的安全传输，虚拟专用网(VPN)技术无疑是互联网数据中心必不可少的安全技术。VPN通过互联网建立一个临时的、安全的连接，形成一个穿越公网的安全稳定的虚拟私有广域网。网络的VPN应用有两种:除了提供防火墙到防火墙的VPN应用，支持应用在企业分支机构之间互通信息外，还提供移动用户到VPN防火墙/网关设备的 VPN应用，支持移动办公的IP地址不固定的企业员工从互联网上对企业内部资源的访问。随着互联网数据中心业务的不断扩大，还需要保障在有限的网络带宽下实现VPN，并提供业务质量(QoS)保证。目前的趋势是采用网络控制和应用控制，即VPN和身份和访问管理(IAM)技术结合，提供更灵活的访问控制和安全隔离服务。

虚拟局域网

数据中心多业务运营的需求，使得数据中心网络中服务器和客户端之间的纵向流量大于服务器之间的横向流量，需要使用虚拟局域网(VLAN)将不同客户的不同业务从第二层隔离开，分配一个VLAN和IP子网。专用VLAN 可以有不同安全级别的端口:专用端口与服务器连接，只能与混杂端口通信；混杂端口与路由器或交换机接口相连，也可以和共有端口通信；共有端口之间也可以相互通信，主要用于需要相互通信的客户之间。

防火墙

防火墙是数据中心网络最基本的安全设备，可以对不同的信任级别的安全区域进行隔离，保护数据中心边界安全，同时提供灵活的部署和扩展能力。DoS攻击和 DDoS攻击的手段繁多、攻击时流量突然增大，因此防DoS攻击对防火墙的功能要求和性能要求比较大。目前互联网数据中心对防火墙的重点需求是基于状态的包检测功能和虚拟防火墙。状态防火墙设备将状态检测技术应用在ACL技术上，动态的决定哪些数据包可以通过防火墙，而基于流的状态检测技术可以提供更高的转发性能。在物理防火墙无法满足实际网络环境的情况下，可以实施虚拟防火墙，将物理防火墙逻辑划分出多个相互无千扰的虚拟防火墙，并依据业务需求设置合理的细粒度的访问控制措施。另外，具有QoS机制的防火墙能够提供流量控制功能，针对不同的应用做出合理的带宽分配和流量控制，防止某个应用如FTP、Telnet在某个的时间内独占带宽资源而导致关键业务流量丢失和实时性业务流量中断。

目前大多数据中心实施双机部署、或者部署异构防火墙，以满足高可用性的要求。

流量清洗

为监控、告警、防护对应用服务器发起的 DOS/DDOS攻击，可在互联网数据中心出口处部署流量清洗设备，监测异常流量，当发现攻击时，开启防御，将异常流量牵引出来进行清洗，将正常的流量回注到服务器进行业务处理。

入侵防御

入侵防御系统检测蠕虫.网络钓鱼、后门木马，间谍软件等应用层攻击，可在互联网数据中心出口和内部各安全区的网络汇聚层采用旁挂或者与网络设备融合的部署方式进行部署，主动提供防护，预先对入侵流量进行拦截，配合防火墙和安全路由器形成从链路层到应用层的全面防护。互联网数据中心的应用流量对入侵防御系统的性能提出了挑战，需要具备高精度，高效率的入侵检测引擎和全面及时的攻击特征库。

安全管理

为达到互联网数据中心的运营要求，除了部署健全的网络安全基础设施外，还需建设的系统的、多层次的、可运营的安全管理系统，确保安全策略的集中部署、安全部件的统一管理，安全事件的高度关联，从安全管理上提升数据中心的整体安全防御能力。

首先应制订正式、有效、全面的安全管理制度，在安全管理机构与岗位设置上严格把关。加强系统安全运维管理，定期进行设备检查，安全监察、漏洞扫描，并采取及时地安全事件处置措施，还可利用辅助性管理工具，实现安全配置的自动管理。

在安全信息和事件管理方面，应对网络设备、主机服务器、数据库应用系统、云平台自身管理节点的安全信息与事件进行管理，进行安全日志管理，针对操作日志，运行日志，故障日志等进行管理，提供设备、主机、应用系统、漏洞、网络流量、主机资产等报告。

在用户身份认证与访问管理方面，应按照不同用户等级，设计相应的数据中心资源访问用户的访问权限。用户访问等级权限应区分管理员用户、普通用户的不同权限。

在故障管理方面，应进行故障预防管理，通过对高危操作的预防以达到将隐患消除在萌芽状态的目的。可根据不同高危类别，设定不同级别的高危动作。应进行故障管理，如告警处理、故障处理、应急处理、部件更换等方面。

参考资料

预见2022:《2022年中国IDC(互联网数据中心)行业全景图谱》(附市场规模、竞争格局和发展前景等).网易手机网.2023-12-09

字节云要来了吗？_新浪财经_新浪网.新浪财经.2021-11-26

2023年IDC互联网数据中心研究报告.百家号.2023-12-12