《数据中心建设架构设计》由会员分享,可在线阅读,更多相关《数据中心建设架构设计(18页珍藏版)》请在金锄头文库上搜索。
1、数据中心架构建设计方案建议书1、数据中心网络功能区分区说明1.1功能区说明图 1:数据中心网络拓扑图数据中心网络通过防火墙和交换机等网络安全设备分隔为个功能区:互联网区、应用服务器区、核心数据区、存储数据区、管理区和测试区。可通过在防火墙上设置策略来灵活控制各功能区之间的访问。各功能区拓扑结构应保持基本一致,并可根据需要新增功能区。在安全级别的设定上,互联网区最低,应用区次之,测试区等,核心数据区和存储数据区最高。数据中心网络采用冗余设计,实现网络设备、线路的冗余备份以保证较高的可靠性。1.2互联网区网络外联区位于第一道防火墙之外,是数据中心网络的 Internet 接口,提供与Interne
2、t 高速、可靠的连接,保证客户通过 Internet 访问支付中心。根据中国南电信、北联通的网络分割现状,数据中心同时申请中国电信、中国联通各 1 条 Internet 线路。实现自动为来访用户选择最优的网络线路,保证优质的网络访问服务。当 1 条线路出现故障时,所有访问自动切换到另 1 条线路,即实现线路的冗余备份。但随着移动互联网的迅猛发展,将来一定会有中国移动接入的需求,互联区网络为未来增加中国移动(铁通)链路接入提供了硬件准备,无需增加硬件便可以接入更多互联网接入链路。外联区网络设备主要有:2 台高性能链路负载均衡设备 F5 LC1600,此交换机不断能够支持链路负载,通过 DNS 智
3、能选择最佳线路给接入用户 ,同时确保其中一条链路发生故障后,另外一条链路能够迅速接管。互联网区使用交换机可以利用现有二层交换机,也可以通过 VLAN 方式从核心交换机上借用端口。交换机具有端口镜像功能,并且每台交换机至少保留 4 个未使用端口,以便未来网络入侵检测器、网络流量分析仪等设备等接入。建议未来在此处部署应用防火墙产品,以防止黑客在应用层上对应用系统的攻击。1.3应用服务器区网络应用服务器区位于防火墙内,主要用于放置 WEB 服务器、应用服务器等。所有应用服务器和 web 服务器可以通过 F5 BigIP1600 实现服务器负载均衡。外网防火墙均应采用千兆高性能防火墙。防火墙采用模块式
4、设计,具有端口扩展能力,以满足未来扩展功能区的需要。在此区部署服务器负载均衡交换机,实现服务器的负载均衡。也可以采用F5 虚拟化版本,即无需硬件,只需要使用软件就可以象一台虚拟服务器一样,运行在 vmware ESXi 上。1.4数据库区数据库区在物理上和应用服务器在一个位置,但可以通过防火墙的通过逻辑隔离, 将应用服务器和数据库服务器分离。实际上应用服务器和数据库服务器都是通过 VMware 服务器虚拟化上创建的虚拟服务器,但可以通过交换机策略将两者逻辑分开。1.5测试区 测试区主要用于软件和硬件上线前的功能和性能测试,本区主要要求网络能够和运行系统能够有效隔离,保证网络不收到测试系统影响。
5、测试区也是通过防火墙和 VMware 逻辑隔离。1.6存储数据区存储数据区因为不需要外网直接访问,因此可以通过网络和地址的规划完全与 IP 网络分离。在本区部署两台 IP 存储阵列,一台是高性能的 SAS 硬盘 FAS2240-2,配置24 块 15K 600G 硬盘,总容量 14.4T,经过 Raid 后还有大约 9.6T 的实际存储容量。此硬盘可以分为两部分使用,一部分用于虚拟化软件共享存储,用于存放各类虚拟机的数据和用户数据库数据,大约分配 3.6T。另外一部分用于存储应用软件的存储的用户数据,此类数据主要存放活跃数据,大约 6T。另外一台存储使用高容量 SATA 存储,配置 24 块
6、3000G 硬盘,总共 72T 存储容量,经过 Raid 后,实际存储容量为 48T。在此处配置一台 F5 文件虚拟化管理系统 ARX500,用于调度存储阵列内的文件调度。当目前存储容量不足之后,可以随时增加存储容量,这时的存储可以采用更为便宜的基于 Windows storage 的存储系统。1.7办公管理区办公区通过 VPN 与数据中心互联,保证管理人员能够在办公室对数据中心的有效管理2、服务器虚拟化设计方案2.1、方案拓扑设计2.3 系统设计描述在整个架构中,我们搭建了两个网络:一个是作为生产网络(根据实际应用可以划分多个 VLAN),另外一个作为虚拟中心管理网络和虚拟机动态迁移VMot
7、ion 网络。另外根据实际的网络环境,结合实际生产环境中的要求,将网卡分别设置在不同的网段上。使用新购置服务器作为 ESX 虚拟服务器,另外可以利用旧的 1 台服务器作为 VMware Virtual Center 管理中心。将数据库服务器和应用服务器部署在三台 ESX 虚拟服务器上,利用 VMWare VMotion 功能,使得数据库服务器在 ESX 虚拟服务器硬件环境出现问题的情况下,能够自动的迁移到另一台 ESX 虚拟服务器上运行,不会因为硬件环境出现的问题而导致应用服务停止运作,保证了业务连续性。再利用 VMWare VCB 技术,定时针对应用系统做备份,当应用系统出现损坏的情况下,可
8、以在最短的时间内,恢复到健康的应用系统生产环境。使用 VMware High Availability 功能在整个虚拟化 IT 环境中提供高可用性,而没有传统群集解决方案的成本或复杂性。VMware HA 可为在虚拟机中运行的任何应用程序提供经济高效的高可用性解决方案,而不需要考虑其应用操作系统设置或应用系统基础硬件配置。VMware HA 不需要专门的备用硬件和附加软件支持。同时,VMWare 系统提供 VMWare HA、VMWare VMotion、VMWare DRS 的系统资源高可用与自动资源调节能力,可自动平衡应用间对 CPU、内存的资源分配,保证应用系统维持在最佳运行状态。VMW
9、are 高可用特性,可彻底保证用户关键性应用系统不间断运行。若实施 VMWare 高可用架构,要求虚拟化应用系统必须接入 SAN 存储区域以作数据存储共享设置。利用原有两台服务器,一台作为 VMware VirtualCenter 服务器,管理整个虚拟化数据中心系统。在存储方面,采用万兆以太网接入的 IPSAN 存储,具有保障企业级业务持续性的多种特性,包括热插拔冗余硬件、热备份硬盘、多路经故障切换、快照、克隆、本地/远程镜像和非破坏性固件升级等。3、F5 链路负载均衡问题的提出通常用户系统结构设计图如下:链路单点故障在系统原有系统结构中,采用单条链路接入,一个或多个 DNS 服务器,这些服务
10、器对于同一个域名均解析为同一个地址。在该种网络结构之中,无论主机系统、网络系统的规划有多么完美, 完全的排除了应用瓶颈和单点故障, 都还存在一个非常明显的单点故障, 就是国际网络接入部分的方案不够完整, 一旦国际网络接入部分出现中断就直接意味着所有应用的中断。Internet 用户访问快慢差异随着国内最大的 Internet 接入提供商 Chinanet 被拆分为北方 China Netcom 和南方 China Telecom 之后,两方资源的互访受到了很大程度的影响。其出现的根本原因为南北网络的互通互联接点拥塞,造成用户丢包、延迟较大,从而导致访问缓慢,甚至对于一些应用根本无法访问。以下是
11、一张在真实环境下的实测数据表:测试项目 网通北京ADSL 用户访问广东电信用户访问,宽带用户网通北京ADSL 用户访问上海ADSL 宽带用户访问DNS Result 202.xxx.xxx.209219.xxx.xxx.11202.xxx.xxx.209219.xxx.xxx.11网通电信网通电信网通电信网通电信Number of hits:72 694 7652471935Requests per Second1.201.150.071.270.870.780.320.58Socket Connects73 705 7753482036Total Bytes Sent (in KB)14.1
12、913.470.9614.9613.6112.233.877.03Bytes Sent Rate (in KB/s)0.240.220.020.250.230.200.060.12Total Bytes Recv (in KB)4148.244001.90256.584388.543019.942703.2621.7339.83Bytes Recv Rate (in KB/s)69.1266.684.2873.1250.3245.050.360.66表中可以看出,对于同一个站点,一个用户分别从两条线路进行访问,得出的访问速度差异是非常大的。最大的差值在广东电信分别访问站点的两条线路,其速度差异
13、接近 20 倍。有效解决链路单点故障及为南北不同用户提供相同服务质量的需求与日俱增。对于一个运行关键业务的网站来说,为用户供 24*7 不间段的业务,并保持用户的访问速度和访问的成功率非常重要。F5 提供的最佳解决方案使用 F5 公司的 LinkControl 多链路设计结构图:网络出口结构建议我们建议采用一对 F5 Link controller 设备接在两个出口链路处,实现由内向外和由外向内的出入站流量负载均衡。由外向内的 inbound 访问的智能性,通过 Link controller 提供的智能 DNS 解析功能,实现对两条链路的负载均衡。Link controller 可以通过实时
14、监控两条链路的负载状况及其健康状况,也可以根据当前链路的负载情况,用户所处的位置 ip 地址或用户的特殊要求进行相应域名解析,指引用户从最快的、最好的、最近的路径访问到企业的站点。这里我们建议采用静态负载(Topology)和动态负载(RTT)相结合的方式,使得方案更能满足客户是实际需求,当用户是来自国内的用户,在 F5 设备的 Class中能查到它是来自哪家运营商的地址,这时 F5 的设备将采用静态的算法给用户端一条最快的链路, 如果 用户不是来自国内,是来自国外的用户,F5 设备将采用动态算法(RTT), 去探测用户的 LDNS, 然后算出来一个最佳路径并提供给用户, 这样从用户端, 不论
15、是来自国内还是来自国外的用户都能得到一条最佳的路径来访问用户企业网站。用户在进行由内向外的 outbound 访问时,由 F5 Link controller 提供智能的链路选择,实现对两条链路的负载均衡。F5 LC 可以通过实时监控两条链路的负载状况及其健康状况来保证链路的高可用性,同时可以根据当前链路的负载情况,用户想要访问的 IP 地址等信息进行链路选择,指引用户从最快的、最好的、最近的路径访问 INTERNET,另外考虑到带宽等,我们可以在 F5 LC 上通过添加策略来实现指定用户走指定链路,只有当此链路出问题时会自动切换到其他好的链路上。方案特点:1、 从整体结构上来看,对入站链路选
16、择进行了优化, 解决了服务器互访慢的问题, 使得 web 服务提高了响应速度,由于链路的优化从而改善了这些服务的的响应速度,国内用户和国外用户通过 F5 设备的均衡最终能得到一个相对最佳的链路,保证了内部服务从外网访问能通过一条最快的链路,大大提升了网络响应速度2、 采用 F5 的 LC,同时也解决了出站时的链路优化和当其中某个链路中断时, 自动切换到其他的链路上去的功能, 另外在 BIGIP 上设置不同网段的链路选择, 如: 可以将一段地址网络只走某一条链路, 其他的地址走另外的链路, 当此链路中断时, BIGIP 把所有流量切换到好的链路上。3、 另外 F5 LC 还同时具备服务器负载均衡的能力,可以解决企业原有的服务器性能不足的问题。技术实现原理出 站 连 接为了向企业用户访问互联网资源时提供高可性,LC 使用 default gateway pool 和 SNAT(安全网络地址转换)将流量动态导向最佳链路。Default gateway pool 包含了多个网关,F5 LC 将根据负载均衡算法选择
