100 人内芯片设计初创公司 IT 方案（中）

100 人内芯片设计初创公司 IT 方案（中）

前面的文章我们大致分享了百人内芯片设计初创公司在创业初期IT方面可能会遇到的二十一个问题，接下来的文章我们将逐一为大家提出相应的解决方案。

1. 存储选择
初始阶段，主要有3个型号可供选择：
NETAPP 2720HA (124T SATA) 实际格式化后，可用容量29T。 大约13万
NETAPP 2750HA（241.8T SAS） 格式化后，可用容量约26T。 大约22万
Netapp C190（24*960G SSD） 格式化后可用约为14T可用，因为是全闪，默认开启了数据缩减、压缩，重删，预计还有30%的在容量提升。约25万RMB一台。

价格只供参考，随时可能调整。无论过去买过，价格更贵，还是将来买的时候比上面便宜，请只是做参考。

2720HA主要提供给对性能要求不高，但是容量希望更多的用户。比如10-30人做设计，设计规模不大的用户。

2750HA主要是对硬盘容量要求也比较多，同时不满意2720的性能，采用的是10000转的SAS盘。

C190是一个性价比很高的型号，主要用于规模比较大，对性能也有比较高的要求。缺点是后期无法加盘柜扩容。但是，因为这个配置是全闪，性价比非常突出，特别适合预算有限，但是对性能要求高的初创企业。

随着规模的扩大，性能无法满足需求的时候，存储可以升级到其他型号，比如netapp的A250 A400 A700。也可以选择其他存储设备，比如Dell EMC的Isilon和华为的Dorado V6 NAS存储。

2. 研发计算服务器的选择
服务器目前主要选择x86服务器。目前性价比方面，AMD ZEN3的服务器很不错。但是，考虑到实际采购，也需要写一下Intel的服务器如何选择。

如果是前端，AMD可以考虑7763（64core） 7663（56core） 7643（48core），主要是core数量更多，更加适合大批量跑小Job。
如果是后端，AMD考虑75F3（32core）74F3（24core）73F3（16core），主要是频率更高，单core性能更强，适合单个Job跑的时间比较长的场景。

对应Intel可以考虑6242R 6246R 6248R这些性价比高的型号，也可以选择第三代3rd Generation Intel® Xeon® Scalable Processors。因为Intel这个第三代Scalale Processors有很多CPU带有特殊后缀，各自含义不同。比如N结尾的如6330N，代表是Networking/NFV Optimized，T结尾的代表Long-Life Use and Nebs-Thermal Friendly,还有U结尾的，比如6314U 代表的是Single-Socket Optimized，H和HL代表了Highest Per-core Scalable Performance，可以支持最大单条256GB内存。目前看来，比较适合我们的型号有6348(28core) 6342(24core)。

上面讲完了CPU，下面讲一下服务器的相关建议。

Dell R740是一款非常经典的服务器，行业使用量也很大。
Dell R740（6242R2,1632G 2933MHz内存,10G光口，PERC H740，8*1.8T）。注意内存可以根据实际情况加减。硬盘主要做本地临时存储。

Dell PowerEdge 15G服务器：
R750（32 DIMM,2* XEON 3rd Scalable Processors）
R7525 (32 DIMM,2* ZEN3)

H3C UniServer R4950 G5(2* AMD 7643 96core,3232G, 81.8T,10G光口)。

Huawei 2288H V5/V6
V5是采用第二代XEON Scalable Processors型号，V6是第三代。
2288H V5对标的是Dell R740,2288H V6对标的是Dell R750。

3. 基础设施服务器选择
R740（2* XEON4216 2.1G, 16core内存：1616GB；
硬盘：8块1.8TB 10K 2.5寸 SAS阵列卡：PERC H740 RAID 控制器, 2Gb NV
网卡：2个万兆SFP+2个千兆口；
电源：2个700w;
维保：5年原厂724*4小时上门维保。
以上服务器2台，通过vmware vsphere虚拟化，实现虚拟架构基础平台。用于AD、LDAP、文件服务器角色。

4. 研发核心交换机
目前建议配置10G交换机，华为S6730S系列，上联端口有40G/100G可选。
华为CloudEngine S6730S-S24X6Q-A 2410G SFP+640G QSFP 15000元
华为CloudEngine S6730S-H24X6C-A 2410G SFP+,6100G QSFP28) 20000元
也可以选择对应的H3C交换机。

5. 办公区域三层交换机
可以考虑华为S5735系列，有各种不同端口组合，比如下面的
华为S5735S-L24T4X-A 24口千兆4万兆 预计4000元

或者考虑华三5500V2/V3系列，也有很多种端口组合
S5500V2-34S-EI：28个10/100/1000TX以太网端口(4Combo)，2个SFP千兆端口+2个1/10G BASE-X SFP PLUS万兆端口，2个QSFP PLUS 40G端口

6. 防火墙
防火墙目前可以推荐
FG-100E/F用于互联网，SSL VPN接入等。
FG-200F（410GE SFP+，181GERJ45，8*1GE SFP） 25000元
分支机构可以采用Fortigate40F这些低端型号，还可以开启4G链路做备份，避免原厂无人运维出现网络出口故障。

Fortigate防火墙主要是配置简单，性能比较高，能够实现大部分需求。带有多个端口，满足各种网络划分需求。默认带有SSL VPN接入授权，可以支持200-500并发用户，足够满足初创公司了。

7. WIFI无线接入
无线网络建议划分单独的VLAN，并且跟AD结合认证。Guest和员工采用不同的SSID。Guest在网络方面，要避免访问内部网络的可能性。采取AC+AP的方式部署，一般都是1个无线控制器 + 多个AP + 一台POE交换机。
推荐配置（以8个AP为例）：

H3C的建议配置：
1 EWP-WX2510H-PWR H3C WX2510H-PWR-5端口千兆(4GE PoE Plus+1GE-T)无线控制器 台 3,200.00 1
2 WA5530-LI-FIT 高密，内置天线系统(工作频段：2.4G和5G，整机增益可达7dBi)802.11ac/n/a :支持802.3at兼容供电 台 1,900.00 8
3 LIS-WX-8-BE 增强型无线控制器license授权-管理8AP 个 2,000.00 1
4 S5120V2-28P-HPWR-LI 24个10/100/1000 BASE-T千兆电口+ 4个SFP光口+4个10/100/1000 BASE-T COMBO；交换容量：336Gbps/3.36Tbps;包转发：51Mpps/108Mpps；支持POE+供电，PoE最大输出功率：370W，支持简单的三层功能，支持静态路由及RIP协议 台 2,400.00 1
这里如果AP点较少，可以不用PoE交换机，比如4个AP以内，可以直接连接AC构建网络。价格为估算，实际情况请直接咨询供应商。

华为的建议配置：

1 AirEngine 9700S-S 210GE+10GE 无线控制器 台 2,000.00 1
2 AirEngine5760-10 无线AP，WIFI6兼容(工作频段：2.4G和5G，2x2MIMO :支持PoE供电 台 1,900.00 8
3 L-ACSSAP-8AP-S 无线AC接入控制器AP授权License（8AP） 个 2,200.00 1
4 S1730S-L16P-A 16个10/100/1000 BASE-T千兆电口；支持POE+供电 台 1,600.00 1
注意，现在一般AC控制器都需要按AP数量购买对应数量的license授权激活。

8. SDWAN
SDWAN是一种软件定义WAN的技术，有多个不同的使用场景。比如有采用SDWAN来实现类似MPLS VPN功能的，也有采用SDWAN来实现链路聚合分配的。

如果有多个分Site,建议考虑总部接入电信和联通的两条固定IP宽带，使用SDWAN技术实现负载均衡，链路带宽聚合，当其中一个运营商线路故障后自动切换。这个通过前面提到的Fortigate防火墙就可以实现。

另外现在SDWAN还有更多技术，比如可以实现类似MPLS专线功能，多个Site都通过当地POP点，实现虚拟专用网络。但是这种方式，一般都需要按月付费。对于小公司来说，在国内目前网络质量较好的情况下，省成本的做法就是直接分布跟总部之间通过ipsec vpn实现连接。

9. 操作系统的选择
当前，Linux服务器建议选择centos 7.9。因为centos 6.10基本上要EOL了。只要不是太老的版本，大部分EDA软件对CentOS 7.9的支持没问题。

建议通过kickstart来保证所有服务器的安装一致性，至少要保证所有OS内的软件包都一致，后期增加软件包，也应该做到所有服务器一样。
不过对于小公司安装系统，采用Kickstart可能比较麻烦，还可以采取另外一种方式简单实现安装包的一致性。

首先，安装一台包含了相关软件包，并且EDA软件都可用的centos 7.9的标准服务器。安装完成后，配置相关的yum源，包含OS的源，以及EPEL的源。因为我们更多的时候是内网，跟Internet不通，用户可以先同步这2个源到本地。

然后，在第一台标准服务器上。
#yum update
#rpm -qa > all_rpms
然后，在新安装的其他服务器上，配置跟标准服务器一样的yum源。
将标准服务器上的all_rpms文件导入
#cat all_rpms|xargs yum install
这样，可以简单做到相关服务器都有一致性的软件包。

后期，如果需要新安装某个软件包，也从标准服务器上先yum安装，然后验证通过后，在其他服务器上也安装上。

Windows服务器一般安装windows server 2016或者2019，因为考虑到更长的生命周期，选择2019是一个比较合适的选择。

10．基本网络架构图

本地用户，以PC和Laptop为主，通过接入和桌面服务器，接入设计开发环境。同时，本地笔记本和PC作为办公所用。
远程用户，可以通过SSL VPN接入公司内网（可指定具体用户），在家做设计。

如果对于安全方面需要更严格保护，可以采用以下架构图，不过要复杂很多。

本地PC只是做为办公、上网使用，跟研发基本上隔离。研发通过瘦客户端，接入VDI，然后通过VDI再连接研发开发环境的 接入和Linux桌面服务器。

在基本架构图上，办公PC作为平时工作的主力设备，建议采用小型机箱，既作为办公、上网、外部邮件、会议，又要兼具研发网络接入终端的重任。这种情况，研发的文档需求，建议配置一台或者多台终端服务器，允许研发员工在研发区域查看、编辑重要文件内容。

在VDI架构的网络中，用户需要高安全性，办公PC只能作为普通办公所用。而研发网络，采用瘦客户终端的方式接入。如果选择了ETX接入，可以启用ETX的禁止截屏或者水印方式，让本地办公PC也可以作为接入终端，而不需要额外采用瘦客户终端专门做研发网络接入。

11.互联网
在北京和上海、深圳这些城市，办公楼物业往往会捆绑某些运营商，给接入互联网带来困扰。所以，请提前沟通好网络接入方案。

在总部，可以同时采用联通和电信两家运营商，避免选择某一家运营商后，公司在其他城市的分部，网络接入跟总部是不同的运营商，从而带来总部和分部之间的网络性能问题。

在分部，可以是一条固定IP固定带宽的宽带，加上一条浮动IP的家庭宽带。从而降低固定带宽宽带的压力。

因为总部提供了双链路，也方便移动用户选择更适合自己的接入线路。

12.机房设施
一般小公司都不会去建设专业机房，但是请注意以下几点：
a. 机房位置不要选择靠近玻璃幕墙的地方，避免夏天阳光太强，导致机房过热。
b. 空调的冷凝水排放，需要注意不要通过机柜顶部，避免排水不畅，漏水到机柜内，损坏服务器。
c. 电池柜大小，请注意楼层承重要求，不可以过大，过重。
d. 核心设备，一定要接入UPS，避免意外故障。包括大楼停电后，有一个安全停机的时间。
e. 如果有条件，请安装好监控设备，特别是在下班后停电，能尽快知道，采取紧急停机等措施。电池能维持多久，请计算自己负载设备的多少，以及能够采取紧急措施的时间。建议30分钟以上。
f. 标准机柜一般是42U，1000mm/1200mm深。不要在一个机柜放入超过5KW负载的设备。机柜空间足够，但是单机柜支持的设备太多，会导致局部过热。

13. 研发平台接入和数据进出管理
从用户侧，如何接入IC设计的Linux服务器侧。一般我们使用接入软件，比如VNC XRDP FreeNX Eod/ETX。数据从外部进入研发网络，需要杀毒、自动传入。数据从研发网络出来，要采用审批，备份。所有数据进出，要有中转系统，而不是直接进出。

VNC使用广泛，默认Linux都带有免费版本。VNC是一个简单的远程控制软件，缺少一些企业特性，主要是日志记录和安全功能不足。VNC开发之初，主要是用在局域网的环境，用在互联网上存在安全问题。VNC并非是安全的协议， VNC的密码可以轻易被破解。如果有远程接入需求，应该通过VPN隧道先拨入，再用VNC登录服务器。

使用VNC最大的问题还是性能问题，VNC使用位图显示模式，远程VNC接入的性能很差，用户难以接受。另外，还容易黑屏，发生黑屏后，用户不得不先kill自己的session，然后重新开一个session接入。

FreeNX要比VNC的性能好很多，特别是在网络带宽小，延迟比较大的时候，NX能够在低带宽和慢速网络中，提供比较平滑的性能。但是，FreeNX无后续开发，因为使用SSH协议来传输，保证传输安全的同时，却引入了另外一个风险，如果内部有人通过SSH转发数据，可能会有大量数据从服务器泄露。

EoD的全称是Exceed on Demand，对EoD很多人可能有些陌生，但是对于Hummingbird Exceed，大家都是非常熟悉的，当年主流windows访问Unix/Linux的工具。EoD是OpenText的一个商业产品，在EDA行业使用很广泛。但是EoD按OpenText的说法，可能很快要EOL，下一代产品是ETX(Exceed TurboX)。

ETX的几个最重要的优点：
a. 对延迟处理是目前最佳的一个接入软件，可以很好地支持layout远程接入。
b. 用户可以共享自己的桌面，跟同事一起协作解决问题。
c. 可以suspend，然后resume以前的session。用户可以suspend自己的桌面，然后去会议室并在会议中显示他的工作。或者回家VPN接入后继续工作。
d. Web界面接入，简单方便。
e. 安全，可以禁止数据拷贝到客户端；也可以设置允许复制本地剪切板内容到远程，禁止远程剪切板到本地。只需要开放一个https端口（8443 或者 443）和一个ThinX协议通信端口（默认5510）
f. ThinX协议带宽需求低。通过 ThinX 协议，ETX 比传统 X Window 的带宽需求减少90％以上。
g. 可针对每个Session或者用户，设置复制粘贴的权限，禁止或者允许，允许后还可以设置字节数限制。
h. 最近新加的两个功能，非常不错。一个是桌面水印，任何拍照截图都可以保留一些关键信息。另外一个是截屏的时候，ETX接入的窗口黑屏，避免普通用户通过截屏方式泄露设计代码。

ETX是商业软件，几千块一个用户，对初创公司可能存在较大的成本压力。所以，对于要求不是特别高的用户，可以采用VNC或者FreeNX来做接入即可。

对于数据的传入传出审批，目前我还没有找到一套比较完美的产品可以支持，对小公司来说，传出数据量不大的时候，可能传出数据采用人工审批也是一个可接受的方案。如果大量数据需要传出，可能需要定制开发一套专门的数据审批系统。

未完待续······