《XX智慧校园云计算平台技术方案书(4月).doc》由会员分享,可在线阅读,更多相关《XX智慧校园云计算平台技术方案书(4月).doc(64页珍藏版)》请在三一办公上搜索。
1、XX智慧校园云计算平台技术方案书2013年3月目 录1 概述31.1 高校信息化面临的挑战31.2 云计算在高校的应用价值42 智慧校园建设背景72.1 现状分析72.2 需求分析82.3 设计原则102.4 建设模式分析113 智慧校园云计算平台设计133.1 整体架构设计133.2 计算资源池设计143.3 存储资源池设计163.4 网络资源池设计173.4.1 设计要点173.4.2 组网架构203.4.3 核心交换系统213.4.4 服务器与存储接入223.4.5 虚拟机接入233.5 安全资源池设计273.5.1 设计要点273.5.2 网络边界安全防护283.5.3 虚拟机深度安全
2、防护293.5.4 安全策略动态迁移313.6 虚拟化平台设计333.6.1 计算虚拟化333.6.2 网络虚拟化423.7 云管理平台设计473.7.1 云业务管理483.7.2 云网络管理543.1 推荐配置清单583.2 解决方案优势593.2.1 高效节能593.2.2 弹性可靠613.2.3 标准融合631 概述1.1 高校信息化面临的挑战在传统的教育信息化建设过程中,基本上都按照“按需、逐个、独立”的建设原则,每一个应用系统都使用独立的服务器、独立的安全和管理标准、独立的数据库和独立的展现层,即烟囱式的孤岛架构。图1 教育信息化的孤岛架构孤岛架构的缺点主要有:(1) 高投入、难管理
3、、低效率、高能耗、低可用问题当前教育信息化硬件配置现状一般是如下两种情况: 普通应用系统,一台服务器安装一个应用系统; 关键应用系统,如校园一卡通业务系统、OA系统、云教学系统等,基于性能的考虑,通常以服务器(小型机或刀片服务器)和SAN存储连接方式为基础,一个应用系统部署在几台服务器上(应用服务器、数据库服务器),通过小型机或多组刀片来实现关键应用的部署。第一种情况存在硬件资源浪费与硬件资源不足的问题。如果服务器性能很高,有资源剩余,但不能将多余的资源给其他应用系统使用,造成浪费;当应用高峰时,可能一台服务器资源不足,也无法从其它地方获取更多的硬件资源支持,造成应用瘫痪;第二种情况存在严重资
4、源浪费问题。多台服务器为一个应用服务。应用系统动辄就有几十个(如教务管理、人事管理、办公、财务管理、固定资产管理、教学系统等),应用系统的建设需要大量的服务器来支撑。系统建成后,在实际使用中,有些应用系统一天可能只有少数人使用,使用的次数也很少;另外,这些应用系统的使用模式也非常有规律,如大部分用户的使用和访问集中在上班时间,非正常上班时间(晚上、节假日)利用率很低。在这些时间内,只有少数人偶尔使用OA系统、邮件系统等,大量的业务系统实际上处于空闲状态,CPU和内存利用率不超过15%,但支持这些应用系统正常运行的所有资源(服务器等硬件设备)需要不间断工作,大量的服务器硬件增加了维护难度和能耗成
5、本。(2) 低可靠性问题当任意一台服务器出现硬件故障或者软件故障时,则与本服务器相关的应用系统都不能使用,造成应用系统瘫痪。1.2 云计算在高校的应用价值云计算是一种基于网络的计算服务供给方式,它以跨越异构、动态流转的资源池为基础提供给客户可自治的服务,实现资源的按需分配、按量计费。云计算导致资源规模化、集中化,促进IT产业的进一步分工,让IT系统的建设和运维统一集中到云计算运营商处,普通用户都更加关注于自己的业务,从而提高了信息化建设的效率和弹性,促进社会和国家生产生活的集约化水平。云计算主要包含两个层次的含义: 一是从被服务的客户端看:在云计算环境下,用户无需自建基础系统,可以更加专注于自
6、己的业务。用户可按需获取网络上的资源,并按使用量付费。如同打开电灯用电,打开水龙头用水一样,而无需考虑是电从哪里来,水是哪家水厂的。 二是从云计算后台看:云计算实现资源的集中化、规模化。能够实现对各类异构软硬件基础资源的兼容,如电网支持水电厂、火电厂、风电厂、核电厂等异构电厂并网;还能够实现资源的动态流转,如西电东送,西气东输、南水北调等。支持异构资源和实现资源的动态流转,可以更好的利用资源,降低基础资源供应商的成本。云计算是能够提供动态资源池、虚拟化和高可用性的下一代计算模式,可以为用户提供“按需计算”服务。根据当前教育信息化的现状及发展趋势,云计算在教育行业将有极其重要的应用价值:(1)
7、教育资源的优化整合对目前教育信息化的各种资源进行整合开发利用,充分挖掘潜力,提高资源的利用率。首先将分散在不同地域的教学园区的软硬件资源进行整合,提高其重复利用率,杜绝闲置和浪费现象,达到数据的标准统一、管理统一、维护统一,逐渐将校园网内各个分校、各个应用系统的数据动态及时地互联互通,彻底消除教育信息化中的信息孤岛,实现信息分散、动态采集,集中安全管理,共享应用。通过服务器虚拟化技术,将各种硬件及软件资源虚拟化成一个或多个资源池,并通过系统管理平台对这些虚拟资源进行智能的、自动化的管理和分配。(2) 教育资源的服务提供通过多层次的自助服务门户为最终用户(即资源的使用者)提供数据及应用服务,资源
8、使用者可以通过自助服务门户浏览和申请使用教育资源,并可以按自己的需要对资源进行下载、重新整合和展现。同时,教育应用开发商或资源提供者也可以通过自助服务门户上载教育应用或资源到教育私有云服务平台上,而教育云服务的运营者或管理者,可以通过该自助服务门户对用户、资源、计费进行统一管理。图2 教育云平台框架图 首先,通过运行在服务器上的虚拟化内核软件,屏蔽底层异构硬件之间的差异性,消除上层客户操作系统对硬件设备及底层驱动的依赖,同时增强虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等功能。 其次,通过虚拟化管理软件形成云计算资源管理平台,实现对数据中心内的计算、网络和存储等硬件资
9、源的软件虚拟化管理,对上层应用提供自动化服务。其业务范围包括:虚拟计算、虚拟网络、虚拟存储、高可用性(High Availability,HA)、动态资源调度(Dynamic Resource Scheduling,DRS)、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。 最后,通过云业务管理中心,将基础架构资源(包括计算、存储和网络)及其相关策略整合成虚拟数据中心资源池,并允许用户按需消费这些资源,从而构建安全的多租户混合云。其业务范围包括:组织(虚拟数据中心)、多租户数据和业务安全、云业务工作流、自助式服务门户、兼容OpenStack的REST API接口等。2 智慧校
10、园建设背景2.1 现状分析XX学院是江苏省首家高等信息职业技术学院,隶属于江苏省信息产业厅,是一所国有公办性质的全日制普通高等学校,座落于XX大学城内,占地1048亩。学院具有四十多年的办学历史。素有“江苏省信息产业人才培养重要基地”的美誉。学院自1999年升格为大学专科,是XX第一所具有国家统招资格的大专院校,2003年学院整体入住大学城校区,成为大学城第一所入住的高校,由于办学历史长于同类院校,师资力量优越,所以XX信息学院一直被认为是XX实力最强,就业最好的的公办高职院校,2007年被评为国家示范高职院校,就是所谓的高职211,全国共100所,XX仅此一所。XX学院校园网建设较早,采用传
11、统的IT建设模式。基础网络由接入、汇聚、核心组成的三层物理架构,链路带宽为百兆接入,千兆骨干。其中,核心交换机为一台Cisco C6509,在图书馆、教学楼、实训楼和学生公寓均部署了Cisco C4506作接入交换机的区域汇聚;校园网出口拥有两条,分别为200MB中国电信和1000MB教育科研网,通过千兆防火墙进行安全隔离;全校大部分场所部署了无线信号,实现了校园无线网络基本覆盖;服务器区目前拥有各种服务器19台,主要服役服务器13台,其中12刀IBM BCH刀片服务器, 6刀物理机运行数字化校园网服务数据库,另外6刀部署虚拟化(Vmware),共配置50台虚拟机,在运行的虚拟机有30台,高端
12、应用8CPU/每虚拟机,8G内存/每虚拟机;数据存储共74T,其中采用了48T 的HP存储和24T 的IBM存储,均为FC SAN。 图3 XX学院校园网拓扑架构2.2 需求分析XX学院信息化在基础设施和应用系统建设方面取得了很大的成绩,但是在其建设当中,IT资源部署方式仍然是按照应用进行物理的划分,这种部署方式可能存在以下风险和挑战:资源利用率低由于应用与资源绑定,每个应用都需要按照其峰值业务量进行资源的配置,这导致在大部分时间许多资源都处于闲置状态,不仅造成服务器的资源利用率较低,而且对资源的共享、数据的共享造成了天然的障碍。运维成本高随着学校新应用系统的增加,服务器、网络和存储的设备数量
13、也会出现迅速的膨胀,在传统的数据中心建设模式下,会造成占地空间、电力供应、散热制冷和维护成本的急剧上升,为学校长远的IT投入和运维带来挑战。业务部署缓慢在传统的模式下,学校的各个部门如果要部署新的业务,那么在提交变更请求与进行运营变更之间存在较大延迟,每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作,使得业务的部署极为缓慢。管理策略分散当前的IT资源运维管理缺乏统计的集中化IT构建策略,无法对信息化校园网数据中心的基础设施进行监控、管理、报告和远程访问,IT管理策略分散。XX学院的校园网数据中心作为学校教学和日常管理等关键业务正常运行的平台和进一步发展
14、的基石,其随着学校的不断发展,其对承载的关键业务、核心应用,对于信息数据的完整性、业务运行的可靠性、网络系统的可用性的要求越来越高,因此,要求其必须拥有更强的IT服务能力,保持高效稳定的运行,数据中心的升级建设势在必行。目前IT信息技术已经延伸到学校的各个层面,从学校角度看,云计算有利于整合信息资源,实现信息共享,促进学校教学和科研水平的发展。从用户角度看,利用云计算可以独立实现或享受某一项具体的业务和服务。因此云计算将在高校的IT政策和战略中正扮演越来越重要的角色。本次方案设计,拟通过升级和改造XX学院数据中心基础设施,优化业务管理流程,建设一张“随需而动”的智慧校园数据中心,未来的核心业务
15、涵盖如下范围:以“统规、统建、统维”思想为指导,以丰富的云基础设施,云存储,云安全和各类云服务共同构建XX学院IaaS云平台,服务于学校各级部门和科研机构。数据处理:具有海量数据的处理和分析。为学校各部门集中提供基础的信息处理能力,承接各部门的应用系统迁移和部署,实现相关云数据中心的资源整合、集中部署与统一管理。项目建设应从XX学院数据中心信息化发展方向以及发展现状出发,加强综合协调和统筹规划,借助现代、前沿的信息化技术,形成集成能力强、运作效率高和具有可持续发展能力的云数据中心多业务应用平台,真正为学校提供找得着、用得好、有保证的信息化服务。本方案将云数据中心“IT基础设施”的“按需使用”以
16、及”自动化管理和调度”作为云计算的实践,形成可落地实施的、可持续发展的云计算平台,即IaaS云计算平台。 XX学院IaaS云平台的建设目标建议如下:统一管理通过最新的云计算核心技术之一虚拟化技术,整合现有所有应用,整合内容包括WEB、MAIL、FTP、域控管理、OA系统、后台数据库等应用,将整个业务系统作统一的规划和部署,统一数据备份,从而形成自上向下的有效IT管理架构。强调整体方案的可扩展性、高可用性、易用性和易管理性采用最新的高性能高可靠服务器,保证整个硬件系统的可靠性和可用性,为用户的应用提供可靠的硬件保障;建设云计算平台,发挥云计算平台的优越性,为用户提供HA功能,保证用户业务系统的连
17、续性和高可用性,让用户的业务实现零宕机风险;提供专业的管理软件,保证硬件系统和软件系统的可管理性,为用户节省管理投资成本。2.3 设计原则l 兼容与互通当前阶段,整个云计算产业还不够成熟,相关标准还不完善。为保证多厂商的良好兼容性,避免厂商技术锁定,方案的设计充分保证与第三方厂商设备保持良好的对接。此外,为保证方案的前瞻性,设备的选型应充分考虑对已有的云计算相关标准(如EVB/802.1Qbg等)的扩展支持能力,保证良好的先进性,以适应未来的技术发展。l 业务高可用云计算平台作为承载未来政务应用的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据与业务的集中,云计算平台的建设及运维给
18、信息部门带来了巨大的压力,因此平台的建设从基础资源池(计算、存储、网络)、虚拟化平台、云平台等多个层面充分考虑业务的高可用,基础单元出现故障后业务应用能够迅速进行切换与迁移,用户无感知,保证业务的连续性。l 统一管理与自动化云计算的最终目标是要实现系统的按需运营,多种服务的开通,而这依赖于对计算、存储、网络资源的调度和分配,同时提供用户管理、组织管理、工作流管理、自助Portal界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理,还要从全局而非割裂地管理资源,因此统一管理与自动化将成为必然趋势。l 开放接口传统的管理系统与上层系统对接,注
19、重故障的上报和信息的查询。而云计算的管理系统更关注如何实现自动化的部署,在接口方面更关注资源调度和分配,这就需要管理系统在业务调度方面实现开放。为保证服务器、存储、网络等资源能够被云计算运营平台良好的调度与管理,要求系统提供开放的API接口,云计算运营管理平台能够通过API接口、命令行脚本实现对设备的配置与策略下发联动。同时云平台也提供开放的API接口,未来可以基础这些接口进行二次定制开放,将云管理平台与教育网应用相融合,实现面向云计算的教育应用管理平台。2.4 建设模式分析在信息化发展加速的今天,小企业开始建立自己的信息系统,通过租赁云计算数据中心可以投资,并以少量的专业IT人员实现信息化。
20、但对于具有成熟应用是大中型企业机构,租赁数据中心终究需要依赖于第三方机构,业务部署灵活性较差,安全性无法得到有效保证。因此,建议基于自身业务和发展目标,整体规划、分步实施、统筹协调,进行云计算平台的自建,以充分保证应用系统支撑平台的可靠性和安全性。自建云计算数据中心:用户可以根据自身业务需要,定制化的建设适合自身业务承载平台,从基础承载网、计算资源、存储资源和业务系统等多方面得到准确控制,保证平台的高可靠性和高性能;也可基于自身业务出发,开发出支撑新业务的应用系统,通过资源的自动调度,满足多种业务上线测试的需求。租赁云计算数据中心:可以减少初期投资与运营成本,降低风险。用户不必进行硬件的基础投
21、资和购买昂贵的软件版权,只需根据需求租赁相应的硬件、软件,并根据使用情况来付费。两种模式对比如下:自建租赁总体投资同等同等初期投资较多较少建设模式自主设计、自主建设租赁既有的基础设施基础设施管理自主管理依赖于第三方可靠性可靠较为可靠安全性安全较为安全扩展性根据自身业务发展,灵活扩展申请扩展,受限于第三方响应能力灵活性灵活,根据自身业务灵活调整业务部署不灵活,受限于第三方基础设施模型维护维护工作量较大,既要维护基础平台,又要维护业务系统只需维护业务系统,基础设施维护由第三方完成从以上对比来看,建议自建智慧校园的云计算平台。3 智慧校园云计算平台设计3.1 整体架构设计根据本期工程的需求和建设目标
22、,保持XX学院校园网整体拓扑基本不变,在整合现有资源的基础上,新建云计算平台,拉通后台资源,实现统一管理,构建立体的安全防护体系,为智慧校园应用提供坚实的基础IaaS平台。下图为整合之后的智慧校园IT整体架构:图4 整体解决方案拓扑图XX学院的IaaS云平台总体逻辑拓扑结构如下图所示。整个平台由计算资源池、网络资源池、存储资源池、安全资源池、虚拟化平台和云管理平台六个部分组成,物理组网拓扑如下:图5 IaaS云平台组网拓扑图3.2 计算资源池设计服务器是云计算平台的核心,其承担着云计算平台的“计算”功能。对于云计算平台上的服务器,通常都是将相同或者相似类型的服务器组合在一起,作为资源分配的母体
23、,即所谓的计算资源池。在这个计算资源池上,再安装虚拟化软件,使得其计算资源能以虚拟机的方式被不同的应用使用。此次云平台新增的计算资源池建议采用HP/H3C最新技术的BladeSystem刀片式服务器,每台10U高的C8000刀片机箱中可以集中部署8片高性能的两路刀片服务器B260或部署16片高密双路刀片,用于集中部署虚拟化资源。C8000还带有一个共享的5TB/s高速NonStop中央背板,可将刀片服务器轻松连接到网络和共享存储。 电源由一个集中的电源背板提供,以确保所有刀片服务器都能获得它们所需的电能,在实现冗余的同时提供最高的配置灵活性。刀片系统C8000机箱可提供模块化服务器、互连和存储
24、组件当前和未来几年所需的电力、散热能力及 I/O 基础设施。 该机柜 10U 高,可容纳 16 台服务器和/或存储刀片,以及可选的冗余网络和存储互连模块。 它包括一个共享的每秒 5 TB 高速 NonStop 中间板,可将刀片服务器一次性连接到网络和共享存储设备。 电源通过一个集中电源的背板提供,确保所有刀片服务器都能使用全部的电源,从而获得最大的灵活性和冗余。 可灵活选择单相、三相交流电和 48 伏直流电输入。 刀片Server采用FlexServer B260全新高密度服务器,可在单倍宽度和全高外形提供两路性能和功能。FlexServer B260刀片服务器支持客户整合服务器及重新规划宝贵
25、的机柜空间,进一步缓解了数据中心的服务器数量激增并降低了总体拥有成本(TCO)。FlexServer B260服务器系列是虚拟化、数据库、业务处理、决策支持、高性能计算(HPC)和一般两路数据密集型应用的理想选择,在这些情形中,数据中心的空间效率和性价比都非常重要。支持高密度和经济高效的英特尔至强 5500 或 5600 系列处理器, FlexServer B260服务器具出色的性能、可升级和可扩展性,成为数据中心计算的标准。可在一个半高刀片内,插入 2 个处理器、2 个热插拔硬盘、384 GB 内存以及 1 个双端口 FlexFabric 适配器,同时支持 IT 经理通过单一平台,处理各种业
26、务应用。高达 2 个双核、4 核或 6 核英特尔 至强 5500 或 5600 系列处理器12 个 DIMM 插槽,支持带有高级 ECC 功能的 384 GB DDR-3 内存用于硬件 RAID 0 和 1 的惠普智能阵列 P410i 控制器,可以利用可选的高速缓存模块提高设备性能多达两 (2) 块小型 (SFF) SAS、SATA 或 SSD 热插拔硬盘内置 USB 和 SD 卡插槽支持简单、灵活的管理程序部署嵌入式双端口 10 Gb FlexFabric 适配器,可满足网络密集型应用程序的高带宽要求通过同一灵活连接,融合局域网和存储区域网的流量,简化管理,降低基础设施成本多达八 (8) 个
27、到网络和存储设备的连接,无需附加夹层卡分配和调整网络和存储带宽,以满足应用程序需求3.3 存储资源池设计H3C CAS云计算管理平台中的存储用于保存虚拟机的操作系统、应用程序文件、配置文件以及与活动相关的其它数据,是虚拟机正常工作的基本前提条件。根据存储的种类不同,可以分为本地存储和共享存储两种。 在部署了H3C CAS云计算管理平台,并将主机作为被管理资源对象添加到H3C CAS云计算管理平台之后,该主机默认使用本地磁盘介质作为存储,其它主机不能使用。 在数据中心中,很多用户选择使用共享存储来承载虚拟机及其数据,目前,H3C CAS云计算管理平台支持IP SAN和FC SAN等类型的存储。采
28、用共享存储的好处是: 共享存储往往比本地存储提供更好的I/O性能(尤其在多虚拟机环境下)。 H3C CAS云计算管理平台中的在线迁移和高可用性功能需要共享存储作为先决条件,例如HA和动态资源调整等。H3C CAS管理平台中的虚拟机文件系统是一种优化后的高性能集群文件系统,允许多个云计算节点同时访问同一虚拟机存储。 由于虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件,通过将这些文件放在SAN存储阵列上的文件系统中,可以让不同服务器上的虚拟机都可以访问到该文件,从而消除了单点故障。为了实现数据的集中存储、集中备份以及充分利用H3C CAS虚拟架构中虚拟机可动态在线从一台
29、物理服务器迁移到另一台物理服务器上的特性等,在存储区配置1套HP P4500 G2 SAN,同时配置冗余的存储接入交换机,组成标准的IP SAN集中存储架构。采用1台HP P4500 G2 SAN存储阵列,统一存放虚拟机镜像文件和业务系统数据,这样做不会在运行虚拟机的云计算计算节点主机上引起任何额外的负载。图6 存储资源池设计3.4 网络资源池设计3.4.1 设计要点云计算数据中心基础网络是云业务数据的传输通道,将数据的计算和数据存储有机的结合在一起。为保证云业务的高可用、易扩展、易管理,云计算数据中心网络架构设计关注重点如下: 高可用性网络的高可用是业务高可用的基本保证,在网络整体设计和设备
30、配置上均是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键网络设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到99.999%的电信级可靠性。基础网络从核心层到接入层均部署H3C的IRF2技术,可以实现数据中心级交换机的虚拟化,不仅网络容量可以平滑扩展,更可以简化网络拓扑结构,大大提高整网的可靠性,使得整网的保护倒换时间从原来的510秒缩短到50ms以内,达到电信级的可靠性要求。作为未来网络的核心,要求核心交换区设备具有高可靠性,优先选用采用交换引擎与路由引擎物理分离设
31、计的设备,从而在硬件的体系结构上达到数据中心级的高可靠性。本次项目核心设备采用H3C S12500数据中心级核心交换机、接入设备采用H3C S5820V2数据中心级接入交换机,设备组件层面充分保证高可靠。如下图所示: 大二层网络部署云计算数据中心内服务器虚拟化已是一种趋势,而虚拟机的迁移则是一种必然,目前业内的几种虚拟化软件要做到热迁移时都是均需要二层网络的支撑,随着未来计算资源池的不断扩展,二层网络的范围也将同步扩大,甚至需要跨数据中心部署大二层网络。大规模部暑二层网络则带来一个必然的问题就是二层环路问题,而传统解决二层网络环路问题的STP协议无法满足云计算数据中心所要求的快收敛,同时会带来
32、协议部署及运维管理的复杂度增加。本次方案中通过部署H3C IRF2虚拟化技术实现两台或多台同一层物理交换机虚拟成一台逻辑设备,通过跨设备链路捆绑实现核心和接入的点对点互联,消除二层网络的环路,这样就直接避免了在网络中部暑STP,同时对于核心的两台设备虚拟化为一台逻辑设备之后,网关也将变成一个,无需部署传统的VRRP协议。 在管理层面,通IRF2多虚一之后,管理的设备数量减少一半以上,对于本项目,管理点只有核心和接入两台设备,网络管理大幅度简化。如下图所示: 网络安全融合云计算将所有资源进行虚拟化,从物理上存在多个用户访问同一个物理资源的问题,那么如何保证用户访问以及后台物理资源的安全隔离就成为
33、了一个必须考虑的问题。另一方面由于网络变成了一个大的二层网络;以前的各个业务系统分而治之,各个业务系统都是在硬件方面进行了隔离,在每个系统之间做安全的防护可以保证安全的访问。所以在云计算环境下,所有的业务和用户的资源在物理上是融合的,这样就需要通过在网关层部署防火墙的设备,同时开启虚拟防火墙的功能,为每个业务进行安全的隔离和策略的部署。在传统的数据中心网络安全部署时,往往是网络与安全各自为战,在网络边界或关键节点串接安全设备(如FW、IPS、LB等)。随着数据中心部署的安全设备的种类和数量也越来越多,这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。本次方案中采用了H3C SecB
34、lade安全插卡可直接插在H3C交换机的业务槽位,通过交换机背板互连实现流量转发,共用交换机电源、风扇等基础部件。融合部署除了简化机房布线、节省机架空间、简化管理之外,还具备以下优点: 互连带宽高。SecBlade系列安全插卡采用背板总线与交换机进行互连,背板总线带宽一般可超过40Gbps,相比传统的独立安全设备采用普通千兆以太网接口进行互连,在互连带宽上有了很大的提升,而且无需增加布线、光纤和光模块成本。 业务接口灵活。SecBlade系列安全插卡上不对外提供业务接口(仅提供配置管理接口),当交换机上插有SecBlade安全插卡时,交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无
35、需担心安全业务接口不够而带来网络安全部署的局限性。 性能平滑扩展。当一台交换机上的一块SecBlade安全插卡的性能不够时,可以再插入一块或多块SecBlade插卡实现性能的平滑叠加。而且所有SecBlade插卡均支持热插拔,在进行扩展时无需停机中断现有的业务。3.4.2 组网架构本次项目基础网络采用“扁平化”设计,核心层直接下联接入层,省去了中间汇聚层。随着网络交换技术的不断发展,交换机的端口接入密度也越来越高,“扁平化”组网的扩展性和密度已经能够很好的满足XX学院IaaS云平台服务器接入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下,扁平化二层架构更容易实现VLAN的大二层互通,满足
36、虚拟机的部署和迁移。相比传统三层架构,扁平化二层架构可以大大简化网络的运维与管理。基础网络平台组织结构如下图所示: 网络的二、三层边界在核心层,安全部署在核心层; 核心与接入层之间采用二层进行互联,实现大二层组网,在接入层构建计算和存储资源池,满足资源池内虚拟机可在任意位置的物理服务器上迁移与集群。 采用2台S12508构建核心层,分别通过10GE链路与接入层、管理网交换机、校园网核心互连,未来此核心层将逐步演变成整网大核心,两台核心交换机部署IRF虚拟化。 服务器区和存储区接入层分别采用2台2台S5820V2,每台接入交换机与核心交换机采用10GE链路交叉互连,每个区的两台接入交换机部署IR
37、F虚拟化,与核心交换机实现跨设备链路捆绑,消除二层环路,并实现链路负载分担。 利旧服务器区接入层利旧老接入交换机,通过万兆链路与云平台核心互联。分层分区设计思路:根据业务进行分区,分成计算区、存储区和管理区。计算、存储区域内二层互通,区域间VLAN隔离;根据每层工作特点分为核心层和接入层,网关部署在核心层。3.4.3 核心交换系统核心层由两台H3C S12508构建,负责整个云计算平台上应用业务数据的高速交换。核心交换机间及与服务器接入交换机、管理区接入交换机、校园网核心交换机间均采用万兆接口捆绑互联。核心交换机上部署2-7层的安全插卡,实现云计算业务的安全防护与流量分析。H3C S12500
38、是中国国内第一款100G平台交换机,支持未来40GE和100GE以太网标准,采用先进的CLOS多级多平面交换架构,独立的交换网板卡,控制引擎和交换网板硬件相互独立,最大程度的提高设备可靠性,同时为后续产品带宽的持续升级提供保证;整机可以提供576个万兆端口,提供高密度万兆接入能力;面对下一代数据中心突发流量,创新的采用了“分布式入口缓存”技术,可以实现数据200ms缓存,满足数据中心、高性能计算等网络突发流量的要求;为了满足数据中心级网络高可靠、高可用、虚拟化的要求,S12500采用创新IRF2(第二代智能弹性架构)设计,将多台高端设备虚拟化为一台逻辑设备,同时支持独立的控制引擎、检测引擎、维
39、护引擎,为系统提供强大的控制能力和50ms的高可靠保障。两台S12508部署IRF2虚拟化技术,简化路由协议运行状态与运维管理,同时大大缩短设备及链路出现故障快速切换,避免网络震荡。IRF2互联链路采用2*10GE捆绑,保证高可靠及横向互访高带宽。3.4.4 服务器与存储接入采用两台H3C S5820V2万兆交换机,负责服务器网络接入,服务器配置双网卡4个千兆接口,其中两个千兆接口捆绑做业务流接口;并负责存储设备的网络接入,iSCSI存储设备的网络接入采用万兆链路,接入交换机上对应的端口工作在万兆模式。S5820V2系列交换机定位于下一代数据中心及云计算网络中的高密万兆接入,采用业界先进的硬件
40、设计,最强的端口报文缓存能力,并支持丰富的数据中心特性,同时模块化的双电源、双风扇(前后/后前风道)设计大幅提升设备的可靠性;针对于数据中心大流量数据无阻塞传输的要求, S5820V2交换机采用了专用的报文缓存芯片以提供强大的缓存能力,整机支持3GB 数据报文缓存,配合先进的缓存调度机制可以保证设备缓存能力有效利用的最大化;S5820V2系列交换机支持EVB (Edge Virtual Bridging),通过VEPA (Virtual Ethernet Port Aggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理,不仅实现了虚拟机间流量转发,同时还解决了虚
41、拟机流量监管、访问控制策略部署等问题;S5820V2系列交换机支持FCOE 和TRILL(Transparent Interconnection of Lots of Links),允许LAN和FC SAN的业务流量在同一个以太网中传送,加快了数据中心的整合步伐,并为构建大二层数据中心网络提供了良好的技术路线。丰富的数据中心特性、增强的QOS能力同DCB (Data Center Bridging)相结合,使得S5820V2系列交换机成为构建未来数据中心网络的理想选择。两台S5820V2之间分别部署IRF2虚拟化技术,通过跨设备链路捆绑消除二层环路、简化管理,同时大大缩短设备及链路出现故障快速
42、切换,避免网络震荡。IRF2互联链路采用2*10GE捆绑,保证高可靠及横向互访高带宽。3.4.5 虚拟机接入在虚拟化服务器中,虚拟以太网交换机是一个比较特殊的设备,具有重要的作用。虚拟机是通过虚拟交换机向外界提供服务的。在虚拟化的服务器中,每个虚拟机都变成了一台独立的逻辑服务器,它们之间的通信通过网络进行。每个虚拟机被分配了一个虚拟网卡(不同的虚拟机网卡有不同MAC地址)。为实现虚拟机之间以及虚拟机与外部网络的通信,必须存在一个“虚拟以太网交换机”以实现报文转发功能。IEEE标准化组织将“虚拟以太网交换机”的正式英文名称命名为“Virtual Ethernet Bridge”,简称VEB。图7
43、 传统的软件VEB转发模式在服务器上采用纯软件方式实现的VEB就是通常所说的“vSwitch”。vSwitch是目前较为成熟的技术方案。在一个虚拟化的服务器上,VMM为每个虚拟机创建一个虚拟网卡,每个虚拟网卡映射到vSwitch的一个逻辑端口上,服务器的物理网卡对应到vSwitch与外部物理交换机相连的上行逻辑端口上。vSwitch的引入,给云计算数据中心的运行带来了以下两大问题:(1) 网络界面的模糊主机内分布着大量的网络功能部件vSwitch,这些vSwitch的运行和部署为主机操作与维护人员增加了巨大的额外工作量,在云计算数据中心通常由主机操作人员执行,这形成了专业技能支撑的不足,而网络
44、操作人员一般只能管理物理网络设备、无法操作主机内vSwitch,这就使得大量vSwicth具备的网络功能并不能发挥作用。此外,对于服务器内部虚拟机之间的数据交换,在vSwitch内有限执行,外部网络不可见,不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现,这就使得数据交换界面进入主机后因为vSwitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。(2) 虚拟机的不可感知性物理服务器与网络的连接是通过链路状态来体现的,但是当服务器被虚拟化后,一个主机内同时运行大量的虚拟机,而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知,同时对虚拟机也无法进
45、行实时网络定位,当虚拟机迁移时网络配置也无法进行实时地跟随,虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化,但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。为了解决上述问题, 本次项目H3C的解决思路是将虚拟机的所有流量都引至外部接入交换机,此时因为所有的流量均经过物理交换机,因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决,此方案最典型的代表是EVB标准。IEEE 802.1Qbg Edge Virtual Bridging(EVB)是由IEEE 802.1工作组制定一个新标准,主要用于解决vSwtich的上述局限性,其核心思想
46、是:将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理,即使同一台物理服务器虚拟机间的流量,也将发往外部物理交换机进行查表处理,之后再180度掉头返回到物理服务器,形成了所谓的“发卡弯”转发模式,如下图所示:图8 VEPA转发模式EVB标准具有如下的技术特点: 借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层,不但简化了网卡的设计,而且充分利用了外部交换机专用ASIC芯片的处理能力、减少了虚拟网络转发对CPU的开销; 充分利用外部交换机既有的控制策略特性(ACL、QOS、端口安全等)实现整网端到端的策略统一部署; 充分利用外部交换机的既有特性增
47、强虚拟机流量监管能力,如各种端口流量统计,NetStream、端口镜像等。EVB标准中定义了虚拟机与网络之间的关联标准协议,使得虚拟机在变更与迁移时通告网络及网管系统,从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作,使得大规模的虚拟机云计算服务运营部署自动化能够实现。在 EVB技术体系架构中,除了物理服务器和支持EVB标准的边缘接入交换机等基础IT架构之外,还需要定义两套管理系统,分别为VMM(Virtual Machine Manager,虚拟机管理系统)和NMS(Network Management System,网络管理系统)。H3C的EVB VMM和NMS分别对应H3C CVM虚拟化管理平台和iMC VCM(Virtual Connection Manager,虚拟连接管理)组件。如下为EVB基本工作流程:图9 H3C EVB解决方案流图 网络管理员在iMC VCM上创建VSI类别,每个类别具有版本号,保存在VTDB数据库中。 服务器管理员通过H3C CAS CVM管理平台创建VM,从iMC VCM组件中查询可用的VSI类别,创建VSI实例,实例的信息由VSI实例号和选定的VTID组成。
