作者:王光辉
在2008年和2016年,我曾经写过两篇IC设计IT平台的文章《高性能集成电路设计IT环境》和《大型IC设计中心的IT环境》,百度可以搜索到相关内容。
最近两年,IC设计方面初创公司众多,很多人从大公司出来创业,但是对于设计平台知道的非常少,只能自己去探索,浪费了本该用于搞产品研发的时间和精力。
我在离开海思之前就计划为这些小公司做一个标准方案,降低创业公司在设计平台建设方面的难度。2021年3月离职后,我就开始准备这个文档,花了一个多月时间,断断续续地写,赶在五一假期前,终于完成了一个第一版。
目前在给大公司做收费咨询服务,不对创业公司做收费咨询。创业公司可以找当地IT工程师参考本方案实施。或者加入我们edacad微信群,咨询行业内的大咖。我们edacad微信群汇聚了国内做IC设计平台方面的大部分专家。也请大家及时反馈文档中的错误或者不合理的地方,以便可以改进后持续发布新版本方案。
方案前提:
a. 初创公司可能存在多个Site的情况,以总部+分部方式为例,分部不部署服
务器设备,只部署基础的网络和安全设备。分部与分部之间,不做直接互联,避免网络结构过于复杂。
b. 网络设备不做HA,以单设备为主,核心设备可以多配置一台在旁边做冷备。
降低网络的复杂性,减少链路连接,方便快速debug故障。
c. 核心应用,以分布在2台物理服务器上的vm做active-standby,避免某台
物理机故障后,整个系统不可用的风险。比如Active Directory。
d. 使用专业存储设备,但存储备份只做基本的灾备。通过rsync和GPG加密,
只做核心关键数据的备份。本地只有做一些基本的防止误删除恢复措施。
e. 安全和效率取舍中,以效率优先。本地安全防护只做基本,避免数据从服务
器批量带走,对于通过截屏、剪切板等方式不做管控。
f. 本地服务器不超过10台,不做专业的机房基础设施。如果有突发比较大的计
算,将通过ipsecvpn跟公有云连接,将部分临时计算放到公有云上实现。
下面就来讲一下我们初创IC设计公司的设计平台有哪些方面的问题需要考虑。
1. 存储选择
初始阶段,主要有3个型号可供选择:
NETAPP 2720HA (12*4T SATA) 实际格式化后,可用容量29T。大约13万
NETAPP 2750HA(24*1.8TSAS) 格式化后,可用容量约26T。大约22万
Netapp C190(24*960GSSD) 格式化后可用约为14T可用,因为是全闪,默认开启了数据缩减、压缩,重删,预计还有30%的在容量提升。约25万RMB一台。
价格只供参考,随时可能调整。无论过去买过,价格更贵,还是将来买的时候比上面便宜,请只是做参考。
2720HA主要提供给对性能要求不高,但是容量希望更多的用户。比如10-30人做设计,设计规模不大的用户。
2750HA主要是对硬盘容量要求也比较多,同时不满意2720的性能,采用的是10000转的SAS盘。
C190是一个性价比很高的型号,主要用于规模比较大,对性能也有比较高的要求。缺点是后期无法加盘柜扩容。但是,因为这个配置是全闪,性价比非常突出,特别适合预算有限,但是对性能要求高的初创企业。
随着规模的扩大,性能无法满足需求的时候,存储可以升级到其他型号,比如netapp的A250 A400 A700。也可以选择其他存储设备,比如Dell EMC的Isilon和华为的Dorado V6 NAS存储。
2. 研发计算服务器的选择
服务器目前主要选择x86服务器。目前性价比方面,AMD ZEN3的服务器很不错。但是,考虑到实际采购,也需要写一下Intel的服务器如何选择。
如果是前端,AMD可以考虑7763(64core) 7663(56core) 7643(48core),主要是core数量更多,更加适合大批量跑小Job。
如果是后端,AMD考虑75F3(32core)74F3(24core)73F3(16core),主要是频率更高,单core性能更强,适合单个Job跑的时间比较长的场景。
对应Intel可以考虑6242R 6246R 6248R这些性价比高的型号,也可以选择第三代3rd Generation Intel? Xeon? Scalable Processors。因为Intel这个第三代Scalale Processors有很多CPU带有特殊后缀,各自含义不同。
比如N结尾的如6330N,代表是Networking/NFV Optimized,T结尾的代表Long-Life Use and Nebs-Thermal Friendly,还有U结尾的,比如6314U 代表的是Single-Socket Optimized,H和HL代表了HighestPer-core Scalable Performance,可以支持最大单条256GB内存。目前看来,比较适合我们的型号有6348(28core) 6342(24core)。
上面讲完了CPU,下面讲一下服务器的相关建议。
Dell R740是一款非常经典的服务器,行业使用量也很大。
Dell R740(6242R*2,16*32G2933MHz内存,10G光口,PERC H740,8*1.8T)。注意内存可以根据实际情况加减。硬盘主要做本地临时存储。
Dell PowerEdge 15G服务器:
R750(32 DIMM,2* XEON 3rdScalable Processors)
R7525 (32 DIMM,2* ZEN3)
H3C UniServer R4950 G5(2* AMD7643 96core,32*32G, 8*1.8T,10G光口)。
Huawei 2288H V5/V6
V5是采用第二代XEON ScalableProcessors型号,V6是第三代。
2288H V5对标的是Dell R740,2288H V6对标的是Dell R750。
3. 基础设施服务器选择
R740(2* XEON4216 2.1G, 16core内存:16*16GB;
硬盘:8块1.8TB 10K 2.5寸 SAS阵列卡:PERC H740 RAID 控制器, 2Gb NV
网卡:2个万兆SFP+2个千兆口;
电源:2个700w;
维保:5年原厂7*24*4小时上门维保。
以上服务器2台,通过vmware vsphere虚拟化,实现虚拟架构基础平台。用于AD、LDAP、文件服务器角色。
4. 研发核心交换机
目前建议配置10G交换机,华为S6730S系列,上联端口有40G/100G可选。
华为CloudEngine S6730S-S24X6Q-A24*10G SFP+6*40G QSFP 15000元
华为CloudEngine S6730S-H24X6C-A24*10G SFP+,6*100G QSFP28) 20000元
也可以选择对应的H3C交换机。
5. 办公区域三层交换机
可以考虑华为S5735系列,有各种不同端口组合,比如下面的
华为S5735S-L24T4X-A 24口千兆4万兆 预计4000元
或者考虑华三5500V2/V3系列,也有很多种端口组合
S5500V2-34S-EI:28个10/100/1000TX以太网端口(4Combo),2个SFP千兆端口+2个1/10G BASE-X SFP PLUS万兆端口,2个QSFP PLUS 40G端口
6. 防火墙
防火墙目前可以推荐
FG-100E/F用于互联网,SSL VPN接入等。
FG-200F(4*10GE SFP+,18*1GERJ45,8*1GE SFP) 25000元
分支机构可以采用Fortigate40F这些低端型号,还可以开启4G链路做备份,避免原厂无人运维出现网络出口故障。
Fortigate防火墙主要是配置简单,性能比较高,能够实现大部分需求。带有多个端口,满足各种网络划分需求。默认带有SSL VPN接入授权,可以支持200-500并发用户,足够满足初创公司了。
7. WIFI无线接入
无线网络建议划分单独的VLAN,并且跟AD结合认证。Guest和员工采用不同的SSID。Guest在网络方面,要避免访问内部网络的可能性。采取AC+AP的方式部署,一般都是1个无线控制器 + 多个AP + 一台POE交换机。
推荐配置(以8个AP为例):
H3C的建议配置:
|
1 |
EWP-WX2510H-PWR |
H3C WX2510H-PWR-5端口千兆(4GE PoE Plus+1GE-T)无线控制器 |
台 |
3,200.00 |
1 |
|
2 |
WA5530-LI-FIT |
高密,内置天线系统(工作频段:2.4G和5G,整机增益可达7dBi)802.11ac/n/a :支持802.3at兼容供电 |
台 |
1,900.00 |
8 |
|
3 |
LIS-WX-8-BE |
增强型无线控制器license授权-管理8AP |
个 |
2,000.00 |
1 |
|
4 |
S5120V2-28P-HPWR-LI |
24个10/100/1000 BASE-T千兆电口+ 4个SFP光口+4个10/100/1000 BASE-T COMBO;交换容量:336Gbps/3.36Tbps;包转发:51Mpps/108Mpps;支持POE+供电,PoE最大输出功率:370W,支持简单的三层功能,支持静态路由及RIP协议 |
台 |
2,400.00 |
1 |
这里如果AP点较少,可以不用PoE交换机,比如4个AP以内,可以直接连接AC构建网络。价格为估算,实际情况请直接咨询供应商。
华为的建议配置:
|
1 |
AirEngine 9700S-S |
2*10GE+10*GE 无线控制器 |
台 |
2,000.00 |
1 |
|
2 |
AirEngine5760-10 |
无线AP,WIFI6兼容(工作频段:2.4G和5G,2x2MIMO :支持PoE供电 |
台 |
1,900.00 |
8 |
|
3 |
L-ACSSAP-8AP-S |
无线AC接入控制器AP授权License(8AP) |
个 |
2,200.00 |
1 |
|
4 |
S1730S-L16P-A |
16个10/100/1000 BASE-T千兆电口;支持POE+供电 |
台 |
1,600.00 |
1 |
注意,现在一般AC控制器都需要按AP数量购买对应数量的license授权激活。
8. SDWAN
SDWAN是一种软件定义WAN的技术,有多个不同的使用场景。比如有采用SDWAN来实现类似MPLS VPN功能的,也有采用SDWAN来实现链路聚合分配的。
如果有多个分Site,建议考虑总部接入电信和联通的两条固定IP宽带,使用SDWAN技术实现负载均衡,链路带宽聚合,当其中一个运营商线路故障后自动切换。这个通过前面提到的Fortigate防火墙就可以实现。
另外现在SDWAN还有更多技术,比如可以实现类似MPLS专线功能,多个Site都通过当地POP点,实现虚拟专用网络。但是这种方式,一般都需要按月付费。对于小公司来说,在国内目前网络质量较好的情况下,省成本的做法就是直接分布跟总部之间通过ipsec vpn实现连接。
9. 操作系统的选择
当前,Linux服务器建议选择centos 7.9。因为centos 6.10基本上要EOL了。只要不是太老的版本,大部分EDA软件对CentOS 7.9的支持没问题。
建议通过kickstart来保证所有服务器的安装一致性,至少要保证所有OS内的软件包都一致,后期增加软件包,也应该做到所有服务器一样。
不过对于小公司安装系统,采用Kickstart可能比较麻烦,还可以采取另外一种方式简单实现安装包的一致性。
首先,安装一台包含了相关软件包,并且EDA软件都可用的centos 7.9的标准服务器。安装完成后,配置相关的yum源,包含OS的源,以及EPEL的源。因为我们更多的时候是内网,跟Internet不通,用户可以先同步这2个源到本地。
然后,在第一台标准服务器上。
#yum update
#rpm -qa > all_rpms
然后,在新安装的其他服务器上,配置跟标准服务器一样的yum源。
将标准服务器上的all_rpms文件导入
#cat all_rpms|xargs yum install
这样,可以简单做到相关服务器都有一致性的软件包。
后期,如果需要新安装某个软件包,也从标准服务器上先yum安装,然后验证通过后,在其他服务器上也安装上。
Windows服务器一般安装windows server 2016或者2019,因为考虑到更长的生命周期,选择2019是一个比较合适的选择。
10.基本网络架构图
本地用户,以PC和Laptop为主,通过接入和桌面服务器,接入设计开发环境。同时,本地笔记本和PC作为办公所用。
远程用户,可以通过SSL VPN接入公司内网(可指定具体用户),在家做设计。
如果对于安全方面需要更严格保护,可以采用以下架构图,不过要复杂很多。
本地PC只是做为办公、上网使用,跟研发基本上隔离。研发通过瘦客户端,接入VDI,然后通过VDI再连接研发开发环境的 接入和Linux桌面服务器。
在基本架构图上,办公PC作为平时工作的主力设备,建议采用小型机箱,既作为办公、上网、外部邮件、会议,又要兼具研发网络接入终端的重任。这种情况,研发的文档需求,建议配置一台或者多台终端服务器,允许研发员工在研发区域查看、编辑重要文件内容。
在VDI架构的网络中,用户需要高安全性,办公PC只能作为普通办公所用。而研发网络,采用瘦客户终端的方式接入。如果选择了ETX接入,可以启用ETX的禁止截屏或者水印方式,让本地办公PC也可以作为接入终端,而不需要额外采用瘦客户终端专门做研发网络接入。
11. 互联网
在北京和上海、深圳这些城市,办公楼物业往往会捆绑某些运营商,给接入互联网带来困扰。所以,请提前沟通好网络接入方案。
在总部,可以同时采用联通和电信两家运营商,避免选择某一家运营商后,公司在其他城市的分部,网络接入跟总部是不同的运营商,从而带来总部和分部之间的网络性能问题。
在分部,可以是一条固定IP固定带宽的宽带,加上一条浮动IP的家庭宽带。从而降低固定带宽宽带的压力。
因为总部提供了双链路,也方便移动用户选择更适合自己的接入线路。
12. 机房设施
一般小公司都不会去建设专业机房,但是请注意以下几点:
a. 机房位置不要选择靠近玻璃幕墙的地方,避免夏天阳光太强,导致机房过热。
b. 空调的冷凝水排放,需要注意不要通过机柜顶部,避免排水不畅,漏水到机柜内,损坏服务器。
c. 电池柜大小,请注意楼层承重要求,不可以过大,过重。
d. 核心设备,一定要接入UPS,避免意外故障。包括大楼停电后,有一个安全停机的时间。
e. 如果有条件,请安装好监控设备,特别是在下班后停电,能尽快知道,采取紧急停机等措施。电池能维持多久,请计算自己负载设备的多少,以及能够采取紧急措施的时间。建议30分钟以上。
f. 标准机柜一般是42U,1000mm/1200mm深。不要在一个机柜放入超过5KW负载的设备。机柜空间足够,但是单机柜支持的设备太多,会导致局部过热。
13. 研发平台接入和数据进出管理
从用户侧,如何接入IC设计的Linux服务器侧。一般我们使用接入软件,比如VNC XRDP FreeNX Eod/ETX。数据从外部进入研发网络,需要杀毒、自动传入。数据从研发网络出来,要采用审批,备份。所有数据进出,要有中转系统,而不是直接进出。
VNC使用广泛,默认Linux都带有免费版本。VNC是一个简单的远程控制软件,缺少一些企业特性,主要是日志记录和安全功能不足。VNC开发之初,主要是用在局域网的环境,用在互联网上存在安全问题。VNC并非是安全的协议,VNC的密码可以轻易被破解。如果有远程接入需求,应该通过VPN隧道先拨入,再用VNC登录服务器。
使用VNC最大的问题还是性能问题,VNC使用位图显示模式,远程VNC接入的性能很差,用户难以接受。另外,还容易黑屏,发生黑屏后,用户不得不先kill自己的session,然后重新开一个session接入。
FreeNX要比VNC的性能好很多,特别是在网络带宽小,延迟比较大的时候,NX能够在低带宽和慢速网络中,提供比较平滑的性能。但是,FreeNX无后续开发,因为使用SSH协议来传输,保证传输安全的同时,却引入了另外一个风险,如果内部有人通过SSH转发数据,可能会有大量数据从服务器泄露。
EoD的全称是Exceed on Demand,对EoD很多人可能有些陌生,但是对于Hummingbird Exceed,大家都是非常熟悉的,当年主流windows访问Unix/Linux的工具。EoD是OpenText的一个商业产品,在EDA行业使用很广泛。但是EoD按OpenText的说法,可能很快要EOL,下一代产品是ETX(Exceed TurboX)。
ETX的几个最重要的优点:
a. 对延迟处理是目前最佳的一个接入软件,可以很好地支持layout远程接入。
b. 用户可以共享自己的桌面,跟同事一起协作解决问题。
c. 可以suspend,然后resume以前的session。用户可以suspend自己的桌面,然后去会议室并在会议中显示他的工作。或者回家VPN接入后继续工作。
d. Web界面接入,简单方便。
e. 安全,可以禁止数据拷贝到客户端;也可以设置允许复制本地剪切板内容到远程,禁止远程剪切板到本地。只需要开放一个https端口(8443 或者 443)和一个ThinX协议通信端口(默认5510)
f. ThinX协议带宽需求低。通过 ThinX 协议,ETX 比传统 X Window 的带宽需求减少90%以上。
g. 可针对每个Session或者用户,设置复制粘贴的权限,禁止或者允许,允许后还可以设置字节数限制。
h. 最近新加的两个功能,非常不错。一个是桌面水印,任何拍照截图都可以保留一些关键信息。另外一个是截屏的时候,ETX接入的窗口黑屏,避免普通用户通过截屏方式泄露设计代码。
ETX是商业软件,几千块一个用户,对初创公司可能存在较大的成本压力。所以,对于要求不是特别高的用户,可以采用VNC或者FreeNX来做接入即可。
对于数据的传入传出审批,目前我还没有找到一套比较完美的产品可以支持,对小公司来说,传出数据量不大的时候,可能传出数据采用人工审批也是一个可接受的方案。如果大量数据需要传出,可能需要定制开发一套专门的数据审批系统。
14. 桌面的选择
目前Linux下桌面系统主要有GNOME、KDE、XFCE、MATE、ICEWM、LXDE等,在CentOS6上,我一般推荐GNOME。但是,在CentOS7上,默认采用的是GNOME 3.28,Gnome 3.28是一个OpenGL的3D window manager。这就不太友好了,3D很炫,但是系统资源需求也很高,稳定性欠佳。所以,在CentOS7上,我们一般会考虑采用lightdm+Mate或者lightdm+xfce。
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!