数据中心虚拟化网络架构与应用
数据中心虚拟化网络架构与应用网络已经成为企业IT运行的基石,随着IT业务的不断发展,企业的基础网络架构也不断调整和演化,以支持上层不断变化的应用要求。
在传统数据中心网络的性能、安全、永续基础上,随着企业IT应用的展开,业务类型快速增长,运行模式不断变化,基础网络需要不断变化结构、不断扩展以适应这些变化,这给运维带来极大压力。传统的网络规划设计依据高可靠思路,形成了冗余复杂的网状网结构,如图1所示。
图1 企业数据中心IT基础架构网状网
结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。这样一种依赖于纯物理冗余拓扑的架构,在实际的运行维护中却同时也承担了极其繁冗的工作量。
多环的二层接入、Full Mesh的路由互联,网络中各种链路状态变化、节点运行故障都会引起预先规划配置状态的变迁,带来运维诊断的复杂性;而应用的扩容、迁移对网络涉及更多的改造,复杂的网络环境下甚至可能影响无关业务系统的正常运行。
因此,传统网络技术在支撑业务发展的同时,对运维人员提出的挑战是越来越严峻的。
随着上层应用不断发展,虚拟化技术、大规模集群技术广泛应用到企业IT中,作为底层基础架构的网络,也进入新一轮技术革新时期。H3C IRF2以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。
1. 数据中心的应用架构与服务器网络
对于上层应用系统而言,当前主流的业务架构主要基于C/S与B/S架构,从部署上,展现为多层架构的方式,如图2所示,常见应用两层、三层、四层的部署方式都有,依赖于服务器处理能力、业务要求和性能、扩展性等多种因素。
图2 多层应用架构
基础网络的构建是为上层应用服务,因此,针对应用系统的不同要求,数据中心服务器区的网络架构提供了多种适应结构,图3展示了四种H3C提供的常用网络拓扑结构:
图3 多种数据中心ServerFarm结构
根据H3C的数据中心架构理解和产品组合能力,可提供独立的网络、安全、优化设备组网,也可以提供基于框式交换平台集成安全、优化的网络架构。ServerFarm 1和2是一种扁平化架构,多层应用服务器(WEB、APP、DB)群共用同一网关,适用于一般规模服务器群,可扩展性有一定限制,网关层控制策略比较复杂;ServerFarm 3和4是一种展开式架构,与应用的多层访问架构保持了一致性,具有更清晰的数据流路径,更强的业务扩展能力和良好的策略控制能力。
2. 数据中心ServerFarm 交换网络IRF2虚拟化设计方案
对于传统的数据中心服务器区交换网络(如图4所示),针对无环设计和有环设计有多种选择方案。
图4 传统的多种服务器区接入网络拓扑
在数据中心更为通用的是采用环路接入拓扑模式,以生成树协议(MSTP)配合第一跳网关冗余协议(VRRP)提供服务器接入的可靠性。同时,服务器以多网卡连接网络以进一步提供冗余能力。图5为常用的三种接入设计方法,虽然这几种方式已经成为数据中心接入设计的最佳实践,但从网络的拓扑设计、环路规避、冗余备份等角度考虑,设计过程是极其复杂的。如VLAN的规划、生成树实例的拓扑阻塞、网关冗余选择,包括相应技术的参数选择、配置,故障切换的预期判断等,需要一套十分详细的流程,而在后期网络
运行维护过程中面临的压力和复杂度是显而易见的。
图5 生成树+VRRP的设计方式
引入虚拟化设计方式之后,在不改变传统设计的网络物理拓扑、保证现有布线方式的前提下,以IRF2的技术实现网络各层的横向整合,即将交换网络每一层的两台、多台物理设备使用IRF2技术形成一个统一
的交换架构,减少了逻辑的设备数量,如图6所示
图6 IRF2对网络横向虚拟化整合过程
在虚拟化整合过程中,被整合设备的互联电缆成为IRF2的内部互联电缆,对IRF2系统外部就不可见了.
原来两台设备之间的捆绑互联端口归属的VLAN三层接口网段均能被其它设备可达(如ping通),而归属到
IRF2系统内部后,不对互联电缆接口进行IP配置,因此隔离于IRF2外部网络。
虚拟化整合后的IRF2系统,对外表现为单台物理设备,因此,在保持基本网络互联条件下(如图6左图
所示),可将一对IRF2系统之间的多条线缆进行链路捆绑聚合动作(如图6中图所示),从而将不同网络层之间
的网状互联简化成单条逻辑链路(如图6右图所示)。
以IRF2组网后,整个网络的配置管理情况发生了很大变化。原来的多台物理设备组成为一台逻辑设备,
所有IRF2成员可以统一管理配置。因为只有一个管理IP,所以不需要登陆到不同设备各自管理运维,可以直接对所有端口、VLAN等特性进行配置,如图7所示。
图7 IRF2组网的网络配置管理方式
对于接入层设备来说,以Top of Rack接入为例:一般使用两台接入交换机对同类业务系统服务器进行接入,以满足服务器双网卡的上行要求。使用IRF2进行网络简化时,对网络汇聚层或服务器网关层的虚拟化整合是必要的,因为这是消除生成树和VRRP的关键网络层。对接入层网络来说,有如图8所示的两种选择:
图8 接入层不同的IRF2应对方式
第一种,保持原有网络拓扑和设备独立性不变,如图8方式A,通过IRF2将汇聚网关层虚拟化,Top of Rack 交换机双归属上联的两条链路直接进行捆绑,消除了环路,服务器网卡归属到独立的两台交换机。
第二种,在Top of Rack两台交换机之间增加IRF2互联线缆,使得接入层也实现虚拟化整合,如图8方式B,服务器双网卡连接的两台交换机虚拟化成一台,这两台交换机的所有上联线缆可实现跨设备的捆绑,进一步减少逻辑链路数。方式B还可实现更多的接入层设备整合,网络物理设备与逻辑节点的整合比可大大超过2:1。
对于服务器而言,上行到IRF2系统的所有网卡如同接入一台交换机,可满足各种工作模式,特别是服务器的双网卡捆绑方式,如图9所示。除了支持网卡主备模式,对于网卡需要捆绑(LACP功能)的业务要求,由于IRF2本身可支持跨设备的链路聚合,因此服务器多网卡上行到一个IRF2系统的不同交换机均可实现捆绑,实现网卡吞吐带宽增强和提升可靠性。
图9 基于IRF2的服务器多网卡适配
服务器双网卡接入网络有多种模式:网卡的主备、网卡双活。双网卡主备方式下,服务器两个网卡分别接入IRF2的不同交换机成员,实际等同于接在同一台交换机下,因此网卡链路状态发生变化时,IRF2系统能够立刻感知,网卡业务切换后,对交换机IRF2系统只是表现为网卡地址迁移到同一台交换机的不同物理端口。由于IRF2交换系统对上层网络隔离了地址端口迁移(对上层设备来说,服务器地址总是在与接入层IRF2的上行链路对应的网络接口下,并没有漂移),表项变化只在接入层设备处理,因此网络能够快速适应网卡流量切换。网卡双活模式下,两块网卡可以工作在聚合捆绑方式,则可将双网卡分别连接IRF2的不同交换机成员接入端口,并可以基于IRF2将不同交换机上的端口进行聚合捆绑,由于双网卡具有相同的MAC 和IP地址,而IRF2将不同交换机端口聚合捆绑后,聚合组内不同端口下不会存在地址漂移,网卡地址在IRF2上只被作为分布式设备的虚拟聚合链路下的一个地址,优化了双网卡组网方式。
在实施数据中心IRF2架构中,VLAN和IP的设计变得十分简单,在网络各层互联上使用链路捆绑方式在多条物理链路上虚拟出了一个聚合层,也就是捆绑后的逻辑链路,因此聚合组替代了原来的物理端口成为VLAN设计的考虑因素,因为聚合/捆绑后的交换机端口群(可能分布在IRF2不同的成员上)被视为单个逻辑端口使用。
由于网络采用IRF2设计中,已经消除了环路,在不考虑生成树协议条件下,VLAN的设计在满足业务
连通性上已经十分简单。
图10 基于IRF2的VLAN、IP设计
如图10所示,在接入层配置了A-H共8个接入VLAN,用于数据中心8类服务器接入,分属到两个业务网关层。核心层与网关层(汇聚层)均采用IRF2实现每层两台设备的虚拟化整合,接入层分别采用两种方式:左边模块Top of Rack接入不进行IRF2虚拟化;右边模块采用IRF2虚拟化横向整合。
对于VLAN A,服务器上联到两台Top of Rack交换机,每台交换机双上行捆绑到网关,逻辑上形成了一个倒V的拓扑,VLAN A在网关的IRF2系统上只需配置一个IP地址10.1.1.1/24。
对于VLAN H,由于右边模块下的Top of Rack交换机以IRF2形式接入服务器,服务器的双网卡所在的两个端口只表现为一台交换机同一VLAN H的两个端口,上行只有一个逻辑链路,因此VLAN H简单地通过此链路终结在汇聚层网关上,只需配置一个IP地址10.2.4.1/24.
核心层与汇聚层之间的连接也简化为只通过一个VLAN进行三层互联了,将本来full mesh全连接的网状
网变成了简单的单逻辑链路连接。
图11 IRF2网络架构对路由设计的简化
图11左图的网络结构中,三层互联链路成网状,所需网段多,且一般一条物理链路对应一个互联网段,在运行动态路由、使能接入环路生成树条件下,任意物理链路的故障(Up/Down)都会引起网络路由的振荡、VRRP状态变化或生成树的重新计算,同时可能引起应用系统业务流的中断(在协议计算收敛条件下的业务恢复时间可达到数秒甚至分钟级)。
而图11右图采用IRF2的网络结构,网络节点之间以多链路捆绑组模式互联(普通方式下为1~4条物理链路),捆绑组中任意一条物理链路发生故障(引起Up/Down),由于整个捆绑组在逻辑上仍然有效,接口状态正常,整个网络拓扑没有变化,因此不会引发上层路由协议重计算,极大保持了网络稳定运行。同时基于IRF2的网络架构所需互联IP大量减少,减少了网络可管理的IP对象,也消除了潜在隐患。此结构中,动态路由设计面对的网络区域,也因架构横向整合而使得动态路由区域可能变成了简单的链状,参与路由计算
的节点大量减少,设计上更简单和易稳定。
图12 面向server farm多层应用架构的IRF2组网
对于数据中心应用的多层架构,按图5的组网模式,采用IRF2技术进行改良。如图12所示,端到端的IRF2
设计可以将大规模数据中心网状网变成线性/树状辐射网,在网络每一层具有灵活扩展能力、简单配置管理
方式,提升网络的运行管理效率。
对于数据中心已有核心,扩建业务模块的网络设计,可在汇聚/网关层以下的网络层次使用IRF2技术进
行构建。
图13 在现有数据中心采用IRF2架构扩建新业务模块
如图13左图,新建业务模块的网络连接与已有业务模块区可采用相同连接拓扑,新建业务模块通过IRF2消除本模块内的环路设计,网关/汇聚节点创建两个接口分别与核心两台设备连接,如图15右图,出入此新建业务模块的访问流量可通过两条(或多条)等价路由实现连通。
3. 如何通过IRF2网络构建适应VMotion的虚拟化应用
VMware的VMotion是当前服务器虚拟化技术的热点内容,主要好处是解决了业务在运行过程中的动态迁移问题,使得应用可以根据计算容量需求动态调整计算资源。
图14 VMoiton过程示意
如图14所示,在VMotion过程中,选择好目的物理服务器后,启动迁移流程,VMWare虚拟系统将处于工作运行中的虚拟机(VM)的实时状态,包括内存、寄存器状态等信息同步拷贝到目的VM,并激活目的VM 从而完成迁移。
VMotion过程对于网络设计本无特殊要求,但迁移的范围要求网络二层连通,即源VM与目的VM在同一VLAN内,这就要求VM虚拟化应用所在的网络是一个二层网络。如图15所示,VMotion的网络中存在三种VLAN:管理VLAN如VLAN 10,迁移VMotion VLAN如VLAN 20,VM业务VLAN如VLAN 105/106。
图15 VMotion的二层VLAN类型
传统MSTP的二层设计在小范围网络环境也基本满足VMotion的应用要求,但是随着VM 二层域规模的不断扩大,有些企业甚至要建数据中心范围内的二层网络,如果采用MSTP+VRRP构建数据中心网络,不论
是前期规划还是建成后的运营都会极其复杂。
图16 基于IRF2的大规模VMotion网络架构
图16提供了端到端全面构建VMotion网络的方案。由于IRF2消除了环路和冗余网关协议带来的问题,整
个网络可搭建一个大范围的二层互联平台,在此平台上合理部署相应的管理VLAN、VMotion VLAN和VM
业务VLAN即可满足虚拟化业务需求。
在虚拟化环境中遇到的另一个问题是安全策略问题,有外部流量访问VM的安全策略,也有VM之间的
安全策略。对此存在不同的部署意见,有的认为安全策略需要部署到服务器内部的vSwitch上,有的建议由
安全设备如防火墙集中执行。
安全策略部署在服务器内的vsSwitch上,便于做到控制精细,并且在VM的迁移过程中,相应的控制策
略也能跟随虚拟化系统软件的迁移功能随着VM到达相应的vSwitch。但根据思博伦测试专家的观点,策略
在vSwitch上部署过多对于vSwitch性能有一定影响。同时,对大二层网络,策略过于分散,不利于运行维护。并且在当前企业数据中心运维架构中,服务器虚拟化带来的Switch管理归属成为问题。(是网络运营部门?还是应用运营部门?)
另一种集中式的控制策略部署在网络设备上。对IRF2构建的网络,如果对外部访问VM的流量进行策略控制,则可在所有VM的网关层设置入方向的ACL控制策略,如图16所示,控制集中、便于策略维护。
IRF2虚拟化在数据中心建设的实施已经是一种必然趋势,最佳实践的设计是落实IRF2的有效途径。IRF2并没有完全摒弃传统设计方法,而是对数据中心总体网络架构的优化,同时,IRF2的实施结果也是实现数据中心的虚拟化价值。
NIKE 项目数据中心网络架构方案
NIKE 项目数据中心网络架构方案 1.概述 (2) 2.系统需求分析 (2) 3.企业网络信息系统设计思路 (2) 4.企业网络信息系统建设原则 (2) 5.系统技术实现细节 (3) 5.1 网络拓扑图 (3) 5.2 Nike项目服务器技术实现细节 (4) 5.2.1双机备份方案 (4) 5.2.1.1.双机备份方案描述 (4) 5.2.1.2.双机备份方案的原理 (4) 5.2.1.3.双机备份方案的适用范围 (4) 5.2.1.4.双机备份的方式及优缺点 (4) 5.2.1.5双机方案建议 (4) 5.2.1.6磁盘阵列备份模式示意图 (5)
5.2.1.7双机方案网络拓扑图 (5) 5.2.1.8双机热备工作原理 (6) 6.备份 (6) 7.建议配置方案及设备清单..................................................7-8 1.概述 21世纪世界竞争的焦点将是信息的竞争,社会和经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大,信息技术的发展对政治、经济、科技、教育、军事等诸多方面的发展产生了重大的影响,信息化是世界各国发展经济的共同选择,信息化程度已成为衡量一个国家,一个行业现代化的重要标志。 2.系统需求分析 由于此方案是专为NIKE项目数据中心设计,此数据中心是为数据信息提供传递、处理、存储服务的,为了满足企业高效运作对于正常运行时间的要求,因此,此数据中心在通信、电源、冷却、线缆与安全方面都必须要做到非常可靠和安全,并可适应不断的增长与变化的要求。 3.系统设计思路 企业网络信息系统的建设是为企业业务的发展服务,综合考虑公司信息系统当前背景和状况,其建设设计主要应达到如下目标: 1) 系统的设计应能满足公司对公用信息资源的共享需求,满足3PL及客户查询数据的共享需求,并为实现公用信息资源共享提供良好的网络环境,概括而言之就是能让相关人员顺利流畅的访问数据中心的Nike XpDX Server及我司的TMS等相关系统。与此同时,系统的建设还需要考虑到投入和产出两者间的关系,注意强调成本节约,提高效费比的问题。 2) 系统的设计必须充分考虑到建成后系统的管理维护问题。为此设计应强调系统的统一集中管理,尽量减少资源的分散管理,注重提高信息系统平台运营维护的工作效率。 3) 系统的设计还需要考虑建成后资源的合理利用问题,必须保证建成系统资源主要服务于设定需求,保证设计数据流量在网络中流畅通行。因此,必须保证只有设计的数据流量才能优先在网络中传递,对于设计外数据流量(例如互联网网页访问、网络下载、网络视频、网络音频、P2P、IM聊天)应通过技术
数据中心IRF虚拟化网络架构与应用
数据中心IRF虚拟化网络架构与应用
1 概述
网络已经成为企业IT运行的基石,随着IT业务的不断发展,企业的基础网络架构也不断调整和演化, 以支持上层不断变化的应用要求。 在传统数据中心网络的性能、安全、永续基础上,随着企业IT应用的展开,业务类型快速增长、运行 模式不断变化,给基础网络带来极大运维压力:需要不断变化结构、不断扩展。而传统的网络规划设计依 据高可靠思路,形成了冗余复杂的网状网结构,如图1所示。
图1 企业数据中心IT基础架构网状网 结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。 这样一种依赖于纯物理冗余拓扑的架构,在实际的运行维护中却同时也承担了极其繁冗的工作量。 多环的二层接入、full mesh的路由互联,网络中各种链路状态变化、节点运行故障都会引起预先规划配 置状态的变迁,带来运维诊断的复杂性;而应用的扩容、迁移对网络涉及更多的改造,复杂的网络环境下 甚至可能影响无关业务系统的正常运行。 因此,传统网络技术在支撑业务发展的同时,对运维人员提出的挑战是越来越严峻的。 随着上层应用不断发展,虚拟化技术、大规模集群技术广泛应用到企业IT中,作为底层基础架构的网 络,也进入新一轮技术革新时期。H3C提供的网络虚拟化技术IRF2,以极大简化网络逻辑架构、整合物理 节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。
2
2.1
基于 IRF 虚拟化的数据中心 server farm 网络设计
数据中心的应用架构与服务器网络
对于上层应用系统而言,当前主流的业务架构主要基于C/S与B/S架构,从部署上,展现为多层架构的 方式,如图2所示,常见应用两层、三层、四层的部署方式都有,依赖于服务器处理能力、业务要求和性能、 扩展性等多种因素。
图2 多层应用架构 基础网络的构建是为上层应用服务,因此,针对应用系统的不同要求,数据中心服务器区的网络架构 提供了多种适应结构,如图3展示了4种H3C提供的常用网络拓扑结构:
图3 多种数据中心server farm结构 根据H3C的数据中心架构理解和产品组合能力,可提供独立的网络、安全、优化设备组网,也可以提 供基于框式交换平台集成安全、优化的网络架构。Server farm 1&2是一种扁平化架构,多层应用服务器
集团云数据中心基础网络-详细规划设计
集团云数据中心基础网络详细规划设计
目录 1前言 (2) 1.1背景 (2) 1.2文档目的 (2) 1.3适用范围 (2) 1.4参考文档 (2) 2设计综述 (3) 2.1设计原则 (3) 2.2设计思路 (5) 2.3建设目标 (7) 3集团云计算规划 (8) 3.1整体架构规划 (8) 3.2网络架构规划 (8) 3.2.1基础网络 (9) 3.2.2云网络 (70)
1前言 1.1背景 集团信息中心中心引入日趋成熟的云计算技术,建设面向全院及国网相关单位提供云计算服务的电力科研云,支撑全院各个单位的资源供给、数据共享、技术创新等需求。实现云计算中心资源的统一管理及云计算服务统一提供;完成云计算中心的模块化设计,逐渐完善云运营、云管理、云运维及云安全等模块的标准化、流程化、可视化的建设;是本次咨询规划的主要考虑。 1.2文档目的 本文档为集团云计算咨询项目的咨询设计方案,将作为集团信息中心云计算建设的指导性文件和依据。 1.3适用范围 本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设计人员、维护人员、工程师等,以便通过参考本文档资料指导集团云计算数据中心的具体建设。 1.4参考文档 《集团云计算咨询项目访谈纪要》 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统灾难恢复规范》(GB/T20988-2007) 《OpenStack Administrator Guide》(https://www.sodocs.net/doc/cb2371292.html,/) 《OpenStack High Availability Guide》(https://www.sodocs.net/doc/cb2371292.html,/) 《OpenStack Operations Guide》(https://www.sodocs.net/doc/cb2371292.html,/) 《OpenStack Architecture Design Guide》(https://www.sodocs.net/doc/cb2371292.html,/)
数据中心网络系统设计方案范本
数据中心网络系统 设计方案
数据中心高可用网络系统设计 数据中心作为承载企业业务的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据的集中,企业数据中心的建设及运维给信息部门带来了巨大的压力,“数据集中就意味着风险集中、响应集中、复杂度集中……”,数据中心出现故障的情况几乎不可避免。因此,数据中心解决方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。为了实现这一目标,首先应该要了解企业数据中心出现故障的类型以及该类型故障产生的影响。影响数据中心的故障主要分为如下几类: 硬件故障 软件故障 链路故障 电源/环境故障 资源利用问题 网络设计问题 本文针对网络的高可用设计做详细的阐述。 高可用数据中心网络设计思路
数据中心的故障类型众多,但故障所导致的结果却大同小异。即数据中心中的设备、链路或server发生故障,无法对外提供正常服务。缓解这些问题最简单的方式就是冗余设计,能够经过对设备、链路、Server提供备份,从而将故障对用户业务的影响降低到最小。 可是,一味的增加冗余设计是否就能够达到缓解故障影响的目的?有人可能会将网络可用性与冗余性等同起来。事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性有可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会带来一些如下缺点: 网络复杂度增加 网络支撑负担加重 配置和管理难度增加 因此,数据中心的高可用设计是一个综合的概念。在选用高可靠设备组件、提高网络的冗余性的同时,还需要加强网络构架及协议部署的优化,从而实现真正的高可用。设计一个高可用的数据中心网络,可参考类似OSI七层模型,在各个层面保证高可用,最终实现数据中心基础网络系统的高可用,如图1所示。
智慧政务云数据中心总体架构设计
智慧政务云数据中心总体架构设计
目录 第一章、项目总体设计 (3) 1.1、项目设计原则 (3) 1.1.1、统一建设 (3) 1.1.2、相对独立 (3) 1.1.3、共建共享 (3) 1.1.4、安全可靠 (3) 1.2、建设思路 (4) 1.2.1、需求驱动 (4) 1.2.2、标准先行 (4) 1.2.3、围绕数据 (4) 1.2.4、逐步扩展 (4) 1.3、数据中心总体结构设计 (5) 1.3.1、总体逻辑体系结构 (8) 1.3.1.1、信息资源体系 (8) 1.3.1.2、支撑体系 (9) 1.3.1.3、标准规范体系 (9) 1.3.1.4、运行管理体系 (10) 1.3.1.5、安全保障体系 (10) 1.3.2、总体实施结构设计 (10) 1.3.2.1、数据中心交换共享平台及信息资源 (11) 1.3.2.2、数据接口系统区 (12) 1.3.2.3、各部门系统 (12) 1.3.2.4、综合应用 (12) 1.3.3、总体物理体系结构 (12)
第一章、项目总体设计 1.1、项目设计原则 1.1.1、统一建设 数据中心必须统一规范建设。通过制定统一的数据交换与共享标准,建设统一的数据共享与交换平台和统一的前置机接口系统,可以避免重复投资,降低接口的复杂性,有效实现数据中心与业务部门以及业务部门之间的数据共享与数据交换,消除社会保障系统范围内的“信息孤岛”,实现数据资源的互联互通。 1.1.2、相对独立 根据数据中心的功能定位,数据中心的建设和运作必须保持业务系统的相对独立性。为此采用松散耦合方式,通过在业务部门统一配置接口系统实现数据资源整合。 1.1.3、共建共享 一方面建设数据中心的目的是为了实现业务部门之间的数据共享。 另一方面,数据中心的数据来源于各个业务部门,因此数据中心的建设必须依靠各业务部门的积极参与和配合。 1.1.4、安全可靠 由于社会保障数据与广大社会保障对象的切身利益密切相关,所以数据中心的安全是非常重要的。因此,必须要做好系统的安全设计,防范各种安全风险,确保数据中心能够安全可靠的运行。同时数据中心必须采用成熟的技术和体系结构,采用高质量的产品,并且要具有一定的容灾功能。
数据中心虚拟化为何离不开大二层网络技术
数据中心虚拟化为何离不开大二层网络技术? 一.为什么需要大二层? 1. 虚拟化对数据中心提出的挑战 传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量,同时使网络管理员能够对流量流进行管理。工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余。 虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是,虚拟化引入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了传统三层网络统治数据中心网络的局面。 2. 虚拟机迁移与数据中心二层网络的变化 在传统的数据中心服务器区网络设计中,通常将二层网络的范围限制在网络接入层以下,避免出现大范围的二层广播域。 如图1所示,由于传统的数据中心服务器利用率太低,平均只有10%~15%,浪费了大量的电力能源和机房资源。虚拟化技术能够有效地提高服务器的利用率,降低能源消耗,降低客户的运维成本,所以虚拟化技术得到了极大的发展。但是,虚拟化给数据中心带来的不仅是服务器利用率的提高,还有网络架构的变化。具体的来说,虚拟化技术的一项伴生技术—虚拟机动态迁移(如VMware的VMotion)在数据中心得到了广泛的应用。简单来说,虚拟机迁移技术可以使数据中心的计算资源得到灵活的调配,进一步提高虚拟机资源的利用率。但是虚拟机迁移要求虚拟机迁移前后的IP和MAC地址不变,这就需要虚拟机迁移前后的网络处于同一个二层域内部。由于客户要求虚拟机迁移的范围越来越大,甚至是跨越不同地域、不同机房之间的迁移,所以使得数据中心二层网络的范围越来越大,甚至出现了专业的大二层网络这一新领域专题。 3. 传统网络的二层为什么大不起来? 在数据中心网络中,“区域”对应VLAN的划分。相同VLAN内的终端属于同一广播域,具有一致的VLAN-ID,二层连通;不同VLAN内的终端需要通过网关互相访问,二层隔离,三层连通。传统的数据中心设计,区域和VLAN的划分粒度是比较细的,这主要取决于“需求”和“网络规模”。 传统的数据中心主要是依据功能进行区域划分,例如WEB、APP、DB,办公区、业务区、内联区、外联区等等。不同区域之间通过网关和安全设备互访,保证不同区域的可靠性、安全性。同时,不同区域由于具有不同的功能,因此需要相互访问数据时,只要终端之间能够通信即可,并不一定要求通信双方处于同一VLAN或二层网络。 传统的数据中心网络技术, STP是二层网络中非常重要的一种协议。用户构建网络时,为了保证可靠性,通常会采用冗余设备和冗余链路,这样就不可避免的形成环路。而二层网
数据中心信息安全解决方案模板
数据中心信息安全 解决方案
数据中心解决方案 (安全)
目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。
数据中心IRF2虚拟化网络架构与应用
数据中心IRF2虚拟化网络架构与应用 文/刘新民 网络已经成为企业IT运行的基石,随着IT业务的不断发展,企业的基础网络架构也不断调整和演化,以支持上层不断变化的应用要求。 在传统数据中心网络的性能、安全、永续基础上,随着企业IT应用的展开,业务类型快速增长,运行模式不断变化,基础网络需要不断变化结构、不断扩展以适应这些变化,这给运维带来极大压力。传统的网络规划设计依据高可靠思路,形成了冗余复杂的网状网结构,如图1所示。 图1 企业数据中心IT基础架构网状网 结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。这样一种依赖于纯物理冗余拓扑的架构,在实际的运行维护中却同时也承担了极其繁冗的工作量。 多环的二层接入、Full Mesh的路由互联,网络中各种链路状态变化、节点运行故障都会引起预先规划配置状态的变迁,带来运维诊断的复杂性;而应用的扩容、迁移对网络涉及更多的改造,复杂的网络环境下甚至可能影响无关业务系统的正常运行。 因此,传统网络技术在支撑业务发展的同时,对运维人员提出的挑战是越来越严峻的。 随着上层应用不断发展,虚拟化技术、大规模集群技术广泛应用到企业IT中,作为底层基础架构的网络,也进入新一轮技术革新时期。H3C IRF2以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。 1. 数据中心的应用架构与服务器网络 对于上层应用系统而言,当前主流的业务架构主要基于C/S与B/S架构,从部署上,展现为多层架构的方式,如图2所示,常见应用两层、三层、四层的部署方式都有,依赖于服务器处理能力、业务要求和性能、
数据中心、网络安全
一、数据中心的作用: 用来在internet网络基础设施上传递、加速、展示、计算、存储数据信息。 二、数据中心的组成 1、基础环境: 主要指数据中心机房及建筑物布线等设施,包括电力、制冷、消防、门禁、监控、装修等; 2、硬件设备: 主要包括核心网络设备(华为、新华三(H3C)、锐捷网络、D-Link)、 网络安全设备包含防火墙、utm、vpn、防毒邮件过滤、IPS防入侵系统物理安全隔离、监管(华为、深信服、新华三、360、天融信、启明星辰) 服务器(戴尔、联想、华为) 存储(惠普、希捷、联想、群辉) 灾备设备、机柜及配套设施; 3、基础软件: 服务器操作系统软件、虚拟化软件、IaaS服务管理软件、数据库软件、防病毒软件等;4、应用支撑平台: 一般来讲是具有行业特点的统一软件平台,整合异构系统,互通数据资源;剩下的是具体应用软件了,多数应该做成与硬件无关的。最最重要的是,光靠软件硬件的罗列是无法构成一个好的数据中心,关键是如何设计、如何 三、网络安全的作用 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断 四、网络安全的组成 1、防火墙: 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 2、IPS(防入侵系统) 监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 3、防毒墙 查杀病毒保护网络安全 4、抗DDOS 主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务 5、堡垒机 保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 6、WAF网络防火墙 Web应用防护系统(也称为:网站应用级入侵防御系统 7、网闸 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
数据中心建设架构设计
数据中心架构建设计方案建议书 1、数据中心网络功能区分区说明 功能区说明 图1:数据中心网络拓扑图 数据中心网络通过防火墙和交换机等网络安全设备分隔为个功能区:互联网区、应用服务器区、核心数据区、存储数据区、管理区和测试区。可通过在防火墙上设置策略来灵活控制各功能区之间的访问。各功能区拓扑结构应保持基本一致,并可根据需要新增功能区。 在安全级别的设定上,互联网区最低,应用区次之,测试区等,核心数据区和存储数据区最高。 数据中心网络采用冗余设计,实现网络设备、线路的冗余备份以保证较高的可靠性。 互联网区网络 外联区位于第一道防火墙之外,是数据中心网络的Internet接口,提供与Internet高速、可靠的连接,保证客户通过Internet访问支付中心。 根据中国南电信、北联通的网络分割现状,数据中心同时申请中国电信、中国联通各1条Internet线路。实现自动为来访用户选择最优的网络线路,保证优质的网络访问服务。当1条线路出现故障时,所有访问自动切换到另1条线路,即实现线路的冗余备份。
但随着移动互联网的迅猛发展,将来一定会有中国移动接入的需求,互联区网络为未来增加中国移动(铁通)链路接入提供了硬件准备,无需增加硬件便可以接入更多互联网接入链路。 外联区网络设备主要有:2台高性能链路负载均衡设备F5 LC1600,此交换机不断能够支持链路负载,通过DNS智能选择最佳线路给接入用户,同时确保其中一条链路发生故障后,另外一条链路能够迅速接管。互联网区使用交换机可以利用现有二层交换机,也可以通过VLAN方式从核心交换机上借用端口。 交换机具有端口镜像功能,并且每台交换机至少保留4个未使用端口,以便未来网络入侵检测器、网络流量分析仪等设备等接入。 建议未来在此处部署应用防火墙产品,以防止黑客在应用层上对应用系统的攻击。 应用服务器区网络 应用服务器区位于防火墙内,主要用于放置WEB服务器、应用服务器等。所有应用服务器和web服务器可以通过F5 BigIP1600实现服务器负载均衡。 外网防火墙均应采用千兆高性能防火墙。防火墙采用模块式设计,具有端口扩展能力,以满足未来扩展功能区的需要。 在此区部署服务器负载均衡交换机,实现服务器的负载均衡。也可以采用F5虚拟化版本,即无需硬件,只需要使用软件就可以象一台虚拟服务器一样,运行在vmware ESXi上。 数据库区
华为数据中心虚拟化解决方案
1项目技术方案 对于XXX项目中众多应用系统,采用华为FusionSphere虚拟化技术,将上述部分应用服务部署到虚拟化化的高性能物理服务器上,达到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池(集群),保障虚拟化平台的业务在出现计划外和计划内停机的情况下能够持续运行。本项目采用华为FusionSphere虚拟化计算技术实现, 通过云平台HA、热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT,单点故障导致的业务不可用。 易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。 便于业务的快速发放, 缩短业务上线周期,高度灵活性与可扩充性、提高管理维护效率。 利用云计算技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据应用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使IT 资源与业务 优先事务能够更好地协调。 在数据存储方面,通过共享的SAN存储架构,可以最大化的发挥虚拟架构的优势; 提供虚拟机的HA、虚拟机热迁移、存储热迁移技术提高系统的可靠性;提供虚拟 机快照备份技术(HyperDP)等,而且为以后的数据备份容灾提供扩展性和打下基础。 云平台:采用华为FusionSphere云平台,提供高可用性的弹性虚拟机,保障业务系统的连续性与虚拟机的安全隔离。 备份系统:采用华为FusionSphere HyperDP备份节点建立完整的数据保护系统。整个备份云可实现集中管理,负载均衡。 数据中心包含云管理、计算资源池、存储资源池,备份系统为可选。 Figure图1 单数据中心方案拓扑
XXX 应用系统集群 Exchange Sharepoint 终端终端 业务网络 管理网络 存储网络 网络连线防火墙 防火墙 XXX 项目数据中心架构分为: 接入控制:用于对终端的接入访问进行有效控制,包括接入网关,防火墙等设备。接入控制设备不是解决方案所必须的组成部分,可以根据客户的实际需求进行裁减。 虚拟化资源池:通过在计算服务器上安装虚拟化平台软件,然后在其上创建虚拟机。存储用于向虚拟机提供系统盘、数据盘等存储资源。 资源管理:云资源管理及调度,主要是对各种云物理资源和虚拟资源进行管理。创建虚拟机时,为虚拟机分配相应的虚拟资源。包括云管理服务器、集群管理服务器、安装服务器
云数据中心基础环境-详细设计方案
云数据中心基础环境详细设计方案
目录 第一章综合布线系统 (11) 1.1 项目需求 (11) 1.2 综合布线系统概述 (11) 1.2.1 综合布线系统发展过程 (11) 1.2.2 综合布线系统的特点 (12) 1.2.3 综合布线系统的结构 (13) 1.3 综合布线系统产品 (14) 1.3.1 选择布线产品的参考因素 (14) 1.3.2 选型标准 (15) 1.3.3 综合布线产品的经济分析 (15) 1.3.4 综合布线产品的选择 (15) 1.3.5 综合布线系统特点 (16) 1.3.6 主要产品及特点 (17) 1.4 综合布线系统设计 (23) 1.4.1 设计原则 (23) 1.4.2 设计标准 (24) 1.4.3 设计任务 (25) 1.4.5 设计目标 (26) 1.4.6 设计要领 (26) 1.4.7 设计内容 (27) 1.5 工作区子系统设计方案 (34) 1.5.1 系统介绍 (34) 1.5.2 系统设计 (35) 1.5.3 主要使用产品 (39) 1.6 水平区子系统设计方案 (40) 1.6.1 系统介绍 (40) 1.6.2 系统设计 (41) 1.6.3 主要使用产品 (46) 1.7 管理子系统设计方案 (46) 1.7.1 系统介绍 (46) 1.7.2 系统设计 (47) 1.7.3 主要使用产品 (51) 1.8 垂直干线子系统设计方案 (52)
1.8.1 系统介绍 (52) 1.8.2 系统设计 (53) 1.8.3 主要使用产品 (56) 1.9 设备室子系统设计方案 (57) 1.9.1 系统介绍 (57) 1.9.2 系统设计 (57) 1.10 综合布线系统防护设计方案 (59) 1.10.1 系统介绍 (59) 1.10.2 系统设计 (60) 1.10.3 主要使用产品 (63) 第二章强电布线系统 (64) 2.1 概述 (64) 2.2 设计原则 (64) 2.3 设计依据 (65) 2.4 需求分析 (66) 2.5 系统设计 (67) 2.6 施工安装 (69) 2.6.1 桥架施工 (69) 2.6.2 管路施工 (69) 2.6.3 电缆敷设及安装 (70) 第三章配电系统 (71) 3.1 概述 (71) 3.2 用户需求 (72) 3.3 系统设计 (72) 3.3.1 UPS输入配电柜设计 (73) 3.3.2 UPS输出配电柜设计 (73) 3.3.3 UPS维修旁路配电柜设计 (74) 3.3.4 精密空调动力配电柜设计 (74) 3.3.5 动力配电柜设计 (75) 3.3.6 机房强电列头配电柜设计 (76) 3.4 施工安装 (83) 3.4.1 桥架管线施工 (83) 3.4.2 配电柜安装 (83) 第四章精密空调系统 (85) 4.1 项目概述 (85) 4.2 设计原则 (86)
云计算数据中心网络虚拟化技术
云计算数据中心网络虚拟化技术 Network1:VM 本地互访网络,边界是Access Switch ,包括物理服务器本机VM 互访和跨Access Switch 的不同物理服务器VM 互访两个层面。 Network2:Ethernet 与FC 融合,就是FCoE ,边界仍然是Access Switch 。 Network3:跨核心层服务器互访网络,边界是Access Switch 与Core Switch 。 Network4:数据中心跨站点二层网络,边界是Core Switch 。 Network5:数据中心外部网络,边界是Core Switch 与ISP IP 网络。 在大规模数据中心部署虚拟化计算和虚拟化存储以后,对网络产生了新的需求。 1) 虚拟机(VM)之间的互通,在DC 内部和DC 间任 意互通、迁移和扩展资源。 2) 更多的接口,更多的带宽,至少按照一万个万兆端口容量构建资源池。 3) 二层网络规模扩大,保证业务与底层硬件的透 明和随需部署。 4) 数据中心站点间二层互联,DC 资源整合,地域 无差别,构建真正的大云。 5) 服务器前后端网络融合,DC 内部网络整合。 李 明 杭州华三通信技术有限公司 杭州 100052 摘 要 云计算带来的超大规模数据中心建设,对数据中心网络提出了新的需求,网络虚拟化技术是解决这些新需求的有效手段,通过系统论述数据中心网络虚拟化技术中涉及的控制平面虚拟化技术和数据平面虚拟化技术,分析了业界主要厂商的技术实现和新的虚拟化标准协议的技术原理,为数据中心网络虚拟化技术的发展提出了一个较为清晰的演进路径。 关键词 云计算;数据中心;网络虚拟化技术 云计算最重要的技术实现就是虚拟化技术,计算虚拟化商用的解决方案得到了较成熟的应用,而存储虚拟化已经在SAN 上实现得很好了,在网络虚拟化技术方面,业界主流厂商都提出了自己的解决方案,本文分析了数据中心中网络虚拟化的实现相关技术和发展思路。 最早的网络虚拟化技术代表是交换机集群Cluster 技术,多以盒式小交换机为主,当前数据中心里面已经很少见了。而新技术则主要分为两个方向,控制平面虚拟化与数据平面虚拟化。在探讨网络虚拟化技术之前,先定义一下云计算数据中心各种网络类型,数据中心网络流量的根本出发点是Server ,结合云计算最适合的核心-接入二层网络结构,各种网络分类如图1所示。 Client Network5 Network4 Network3 Network2Network Core Layer Access Layer Physical Server(PS) VM/PS VM VM VM/PS DC Sitel DC Site2 图1 网络分类
云数据中心架构
云计算下的数据中心架构 来源:机房360 作者:程应军陈鹰更新时间:2011-12-26 10:13:15 摘要:目前最引人关注的的IT 概念非“云计算”莫属,云计算已经成为当今IT 界乃至全球商界最为津津乐道的一个新概念。云计算是指利用大规模的数据中心或超级计算机集群,通过互联网将计算资源免费或按需租用方式提供给使用者。 云计算的一个重要应用在于由第三方机构提供云计算数据中心,并为大量的中小企业提供远程共享式的云计算应用服务。使得这些企业不需要建设自己的数据中心就可以使用所需的计算资源,实现成本最优化、资源共享最大化。 云计算,应当高度贴合网络未来更高层次的发展趋势,着力于提高网络数据处理和存储能力,致力于低碳高效的利用基础资源。具体而言,应着重从高端服务器、高密度低成本服务器、海量存储设备和高性能计算设备等基础设施领域提高云计算数据中心的数据处理能力。云计算要求基础设施具有良好的弹性、扩展性、自动化、数据移动、多租户、空间效率和对虚拟化的支持。那么,云计算环境下的数据中心基础设施各部分的架构应该是什么样的 呢? 1、云计算数据中心总体架构 云计算架构分为服务和管理两大部分。在服务方面,主要以提供用户基于云的各种服务为主,共包含3个层次:基础设施即服务IaaS、平台即服务PaaS、软件即服务SaaS。在管理方面,主要以云的管理层为主,它的功能是确保整个云计算中心能够安全、稳定地运行,并且能够被有效管理。其总体架构如下图。
2、云计算机房架构 根据长城电子公司多年的经验,为满足云计算服务弹性的需要,云计算机房采用标准化、模块化的机房设计架构。模块化机房包括集装箱模块化机房和楼宇模块化机房。集装箱模块化机房在室外无机房场景下应用,减轻了建设方在机房选址方面的压力,帮助建设方将原来半年的建设周期缩短到两个月,而能耗仅为传统机房的50%,可适应沙漠炎热干旱地区和极地严寒地区的极端恶劣环境。楼宇模块化机房采用冷热风道隔离、精确送风、室外冷源等领先制冷技术,可适用于大中型数据中心的积木化建设和扩展。 3、云计算网络系统架构 网络系统总体结构规划应坚持区域化、层次化、模块化的设计理念,使网络层次更加清楚、功能更加明确。数据中心网络根据业务性质或网络设备的作用进行区域划分,可从以下几方面的内容进行规划。 1)按照传送数据业务性质和面向用户的不同,网络系统可以划分为内部核心网、远程业务专网、公众服务网等区域。 2)按照网络结构中设备作用的不同,网络系统可以划分为核心层、汇聚层、接入层。 3)从网络服务的数据应用业务的独立性、各业务的互访关系及业务的安全隔离需求综合考虑,网络系统在逻辑上可以划分为存储区、应用业务区、前置区、系统管理区、托管区、
数据中心云安全建设方案
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
虚拟化数据中心的网络安全设计
虚拟化数据中心给网络安全带来了一些挑战,尤其是虚拟机的迁移,计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术,如VLAN扩展,安全策略上移,网络安全策略跟随虚拟机动态迁移等。 虚拟化数据中心的网络安全设计 数据中心虚拟化是指采用虚拟化技术构建基础设施池,主要包括计算、存储、网络三种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路,而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。 数据中心虚拟化,从主机等计算资源的角度看,包含多合一与一分多两个方向(如图1所示),都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。前者出现较早,主要包括集群计算等技术,以提升计算性能为主;而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术,以缩短业务部署时间,提高资源使用效率为主要目的。 图1 计算虚拟化的两种表现形式
虚拟化后数据中心面临的安全问题 传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略(如图2所示),网络安全策略能够满足主机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。。 图2 数据中心虚拟化安全模型 虚拟化数据中心对网络安全提出三点需求: 1、在保证不同用户或不同业务之间流量访问控制,还要支持多租户能力; 2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移; 3、网络安全策略可跟随虚拟机自动迁移。 在上述三个需求中,第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现,这给当前网络安全策略带来了挑战。 应对之道 VLAN扩展 虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机(虚拟机或者物理机)的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。 要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前看开,VLAN是最好的选择,但由于VLAN数最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。如图3所示,VLAN扩展的有以下两个
数据中心网络及安全方案规划与设计
数据中心网络及安全方案规划与设计 1.1. 数据中心网络建设目标 XX数据中心未来将XX集团承载所有生产环境系统。数据中心网络作为业务网络的一个重要组成部分,为核心业务系统服务器和存储设备提供安全可靠的接入平台。网络建设应达成以下目标: 高可用――网络作为数据中心的基础设施,网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面: ◆高可靠:应采用高可靠的产品和技术,充分考虑系统 的应变能力、容错能力和纠错能力,确保整个网络基 础设施运行稳定、可靠。当今,关键业务应用的可用 性与性能要求比任何时候都更为重要。 ◆高安全:网络基础设计的安全性,涉及到XX业务的 核心数据安全。应按照端到端访问安全、网络L2-L7 层安全两个维度对安全体系进行设计规划,从局部安
全、全局安全到智能安全,将安全理念渗透到整个数 据中心网络中。 先进性:数据中心将长期支撑XX集团的业务发展,而网络又是数据中心的基础支撑平台,因此数据中心 网络的建设需要考虑后续的机会成本,采用主流的、 先进的技术和产品(如数据中心级设备、CEE、FCoE、虚拟化支持等),保证基础支撑平台5~10年内不会被 淘汰,从而实现投资的保护。 易扩展――XX集团的业务目前已向多元化发展,未来的业务范围会更多更广,业务系统频繁调整与扩展再所难免,因此数据中心网络平台必须能够适应业务系统的频繁调整,同时在性能上应至少能够满足未来5~10年的业务发展。对于网络设备的选择和协议的部署,应遵循业界标准,保证良好的互通性和互操作性,支持业务的快速部署。 易管理――数据中心是IT技术最为密集的地方,数据中心的设备繁多,各种协议和应用部署越来越复杂,对运维人员的要求也越来越高,单独依赖运维人员个人的技术能力和
大型数据中心网络体系规划设计与实现方案
技术与应用 echnology & Application T 53 2009年3 月 ■文/中国建设银行信息技术管理部 戴春辉 窦 彤 数据中心网络设计与实现 数 据集中后,所有银行业务和网点都依赖网络来支持其对数据中心中主机的访问。此外,未来的新型应用, 如网上培训、IP 电话、可视电话等应用也对网络提出高带宽、高服务质量以及支持多点广播等要求。因此,数据中心的网络建设必须能够最大化满足上述要求,适应未来新业务和技术的发展。 一、数据中心网络设计原则 网络的可靠性。银行业务的特点决定了其网络必须有极高的可用性,能最大限度地支持各业务系统正常运行。在网络设计上,合理组织网络架构,做到设备冗余、链路冗余,保证网络具有快速故障自愈能力,实现网络通讯不中断。 网络具有良好的可用性、灵活性。支持国际上各种通用的网络协议和标准,支持大型的动态路由协议及策略路由功能,保证与其他网络(如公共数据网、金融网络等)之间的平滑连接。 网络的可扩展性。根据未来业务的增长和变化,在不变动现有网络架构的前提下,可以平滑地扩展和升级。 网络安全性。制订统一的网络安全策略,整体考虑网络平台的安全性。 网络可集中管理。对网络实行集中监测、分权管理,构建网络管理平台,提供故障自动报警,具有对设备、端口等的管理和流量统计分析功能。 保证网络服务质量。保证对统一的网络带宽资源进行合理调配,当网络拥塞发生时,保障银行关键业务和用户数据的传输。提供对数据传输的服务质量(QoS)和优先级控制等,以保证骨干网上各类业务的QoS。 二、数据中心网络实现 1.网络技术 数据中心网络设计实现的技术基础如下。(1)路由交换技术 目前,在银行的网络设计中,绝大部分网络通信都是基于TCP/IP 协议及相关技术的。路由交换技术是构建IP 网络的基础技术,是网络互联的基础。在数据中心网络中,大面积使用高性能、高可靠的三层交换机,用以构建多个不同的功能分区。分区间相互隔离,通过1G/10G 接口连接高速的核心交换区。 网络互联路由协议主要有OSPF、RIPv2和BGP。在数据中心局域网中主要使用OSPF 路由协议,以达到快速收敛的目的;而在边界或与分支机构广域互联,通常使用BGP 路由协议,以实现对网络的有效管理。 (2)负载均衡技术 负载均衡建立在现有网络结构之上,提供了一种廉价、有效、透明的方法,扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。负载均衡技术主要有软/硬件负载均衡,本地/全局负载均衡。在数据中心主要使用硬件负载均衡解决方案。 (3)防火墙技术 当前银行网络主要使用状态检测型防火墙,集成了包过滤防火墙、电路层防火墙和应用防火墙三种技术,只有符合安全规则的网络连接和访问才可以通过防火墙,有效隔离各个安全区域,保障核心数据的安全性。 (4)入侵检测技术 入侵检测技术(IDS)从计算机系统或网络中收集、分析信息,检测任何企图破坏计算机资源完整性、机密性和