《DP xCloud 云数据中心方案》由会员分享,可在线阅读,更多相关《DP xCloud 云数据中心方案(13页珍藏版)》请在金锄头文库上搜索。
1、DP xCloud 云数据中心方案发布时间:2014-11-01 08:41:00 来源:it168 网站 作者:佚名关键字:DP xCloud 解决方案 云数据中心一、 云数据中心的演进随着业务的逐步集中和整合,承载业务的数据中心已经成为信息化建设的核心,传统的数据中心正在纷纷向云数据中心过渡。从传统数据中心向云数据中心的演进大致会分为两个阶段。 虚拟化 阶段:利用虚拟化技术建设 IaaS 架构的私有云,将应用从传统的物理服务器迁移至云中,也即将应用的部署从物理服务器改为虚拟主机。这样可以使应用的部署和迁移时间从几个小时缩短到几分钟,并且显著的提高了服务器的资源利用率,降低运行维护的复杂性和
2、成本。 弹性扩展阶段:自建私有云意味着刚性的 IT 投资,在进行资源规划时,如果按照所需的峰值资源来进行规划,则意味着平时的资源闲置,这不符合通过云计算提高资源利用率节约成本的初衷。因此,自建私有云无法提供应用所需要的弹性。自建私有云与公有云/行业云中租用资源组建的虚拟私有云结合,形成私有混合云,是未来的趋势。云数据中心的演进二、 云数据中心需求要点云数据中心的需求要点有如下三点: 虚拟化虚拟化给网络和安全带来了前所未有的挑战,虚机与物理主机的解耦合,以及在数据中心的自由迁移,让传统的基于接入交换机物理端口区分应用的方法彻底失效。这使得所有的网络和安全策略部署失去了最基本的依据。因此,如何在虚
3、拟化环境下,对不同租户的虚机、同一租户的不同虚机进行识别和隔离成为云数据中心网络需要解决的首要问题。对此,目前常用的解决方案是利用虚拟化软件自带的 vSwitch 来实现对虚机的识别和基于 VLAN 的隔离。但是虚拟化软件自带的 vSwitch 特性不丰富,很难与物理网络很好的配合,并且还模糊了主机和网络的边界,无法进行流量监控和安全管理。因此虚机感知的要点在于通过新的网络协议,将虚拟主机之间的流量牵引至物理交换机,实现虚拟网络到物理网络的映射。与此同时,虚机在迁移过程中要求应用不能中断,也就是说虚机迁移时虚机的 IP 地址不能改变,这就使得整个云数据中心要采用二层组网。此外,虚机迁移引起了应
4、用部署位置的不确定性,这使得数据中心跨核心的横向流量大幅增加,这就要求数据中心的组网应该是带宽低收敛甚至是无收敛的。而一般的以太网由于生成树协议的运行造成了网络带宽的浪费,并且虚机迁移时与之相关的网络策略(如 VLAN 和 ACL)也要随之一同迁移,这会引发整网生成树的重新计算,造成网络震荡。因此如何建设一个带宽无收敛、网络策略迁移无震荡的大二层网络,是云数据中心网络需要解决的第二个问题。此外,云数据中心出于灾备或者其他方面考虑,可能会采用主备数据中心或者多数据中心模式,此时需要保证所有数据中心之间可以进行二层互通。同时,相比于单中心,多中心的分布式架构使得网关部署变得复杂。并且,由于虚机可能
5、在多个数据中心之间迁移,因此如何保证外部用户能够快速有效的访问到目的虚机,在访问的过程中,流量如何选取最佳路径,而不会浪费数据中心间有限的带宽资源等,都是多数据中心建设过程中需要考虑的问题。 多租户与传统数据中心相比,云数据中心是为多租户服务的,多租户环境为云数据中心带来了新的挑战。一方面,租户间的隔离是必要的。另一方面,不同租户在云中的私有网络间可能存在地址重叠问题。这都需要云数据中心网络在设计时加以充分的考虑。此外,租户部署在自建私有云的应用和公有云中的应用之间,存在数据通信的需求,因此需要租户自有网络与云中的应用进行跨广域网互联(也即 VPN)。当虚机需要进行跨广域网迁移时,甚至可能需要
6、跨广域网的二层互联。 满足安全防护与等保合规云计算为应用带来了极大的便利,在降低采购、运维等成本的同时,极大的提升了系统的效率,简化了管理,并使得应用具有了非常简便的弹性扩展的能力。但是,云计算也模糊了安全的边界,使得传统的信息安全防护手段不再适用。事实上,信息安全问题已经成为企业用户使用云资源的主要障碍,因此安全防护应为云建设的重中之重。安全防护需求又可以细分为云基础架构的安全防护以及租户自身的安全防护。同时信息安全等级保护制度作为我国信息安全建设的基本国策,是必须要满足的。按照等保定级指南进行评估,一般的云数据中心至少应该达到等保三级的要求。三、 DP xCloud 云数据中心解决方案迪普
7、科技凭借自身的技术积累以及对于应用的理解,推出了 DP xCloud云数据中心解决方案。DP xCloud 云数据中心解决方案立足于云数据中心的建设目标和建设需求,结合迪普科技领先的“应用即网络”技术理念和技术实现,为用户提供简单、智能、可靠的云数据中心建设方案。DP xCloud 云数据中心解决方案框架如下图所示:DP xCloud 云数据中心解决方案框架DP xCloud 云数据中心解决方案提供一个扁平化的简单组网,通过虚机感知和大二层技术为用户提供基本的网络互联,并进一步实现租户间的隔离和租户自组网。通过融合于网络之中的安全与应用交付的资源池,一方面实现云基础架构的安全防护与等保合规,另
8、一方面可以为租户提供虚拟安全和应用交付设备,允许租户自行定制并部署自己的安全与应用交付策略。方案要点如下: 虚拟化组网如前文所述,虚拟化环境下需要通过新的网络协议,将虚拟主机之间的流量牵引至物理交换机,实现虚拟网络到物理网络的映射。这方面,业界已有 802.1BR 和 802.1Qbg 为代表的标准技术,但是目前主流的虚拟化软件 (如VMWare、KVM 等)暂时尚不支持 802.1BR 和 802.1Qbg 等标准。基于这种现状,迪普科技在支持业界标准的同时,还提出了基于 PVLAN/VLAN 的最佳实践,保障了在以虚拟化软件内置的 vSwitch 为主的虚拟网络环境下,将虚拟主机之间的流量
9、牵引至物理交换机,实现了物理交换机对虚拟网络内流量的管控。如前文所述,为保证虚机迁移时业务不中断,云数据中心要求采用大二层组网,同时还需要解决由 STP 带来的带宽浪费和 STP 引发重收敛引发的网络震荡问题。在这方面,迪普科技的 VSM(Virtual Switching Matrix 虚拟交换矩阵)多合一虚拟化技术,可以将多台核心设备虚拟成为一台逻辑设备,实现二、三层控制平面的统一,进而在保证高可靠的前提下,实现接入交换机上行链路的跨设备链路聚合,从而消除环路,提高二层组网的性能,消除由生成树重计算造成的网络震荡。如果进行多数据中心建设,则有虚机在多个数据中心之间进行迁移的需求,因此多数据
10、中心的二层互联就成为云数据中心建设的另外一个重点。对于多数据中心二层互联,最简单的解决方案是采用裸光纤,此时多数据中心与单数据中心在组网方面基本没有区别,但裸光纤价格较为昂贵,并且距离较为有限(一般说来两中心间最远不能大于 70 公里)。另外一种二层互联的方案是采用二层 VPN 技术,如 VLL 或者 VPLS,但二层 VPN 配置复杂,并且二层 VPN 没有处理广播报文,这会极大的浪费中心间的宝贵带宽。为解决二层VPN 存在的问题,DP xCloud 云数据中心解决方案采用了 VE-DCI(Virtual Ethernet Data Center Interconnect)技术。 VE-DC
11、I 技术是一种以太网的扩展技术,可以将多个数据中心进行二层互联,实现了虚机跨数据中心的迁移,并通过任播技术,实现了三层网关的优选和自动切换。除二层互联问题外,多数据中心还要解决外部用户访问路径优化的问题。DP xCloud 云数据中心解决方案采用“全局负载均衡+本地负载均衡”的方式解决这一问题。其中,全局负载均衡负责对外发布服务地址。而本地负载均衡上则配置有应用对外发布的地址,再通过 NAT,将用户的流量转发至应用所在的虚机。具体过程如下图所示:1. 当应用存在于 DC-A 时,GLB 对外发布应用的地址为 IP-A,此地址配置于 DC-A 的 LLB-A 之上,虚机配置地址为 IP-VM。用
12、户通过 IP-A 发起访问,LLB-A 将访问转发至虚机。2. 当虚机发生迁移时,未完成的访问依然通过 IP-A 进行,由于在迁移过程中 IP-VM 并没有发生变化, LLB-A 依然能够将访问流量跨数据中心转发至虚机。3. 虚机发生迁移后,GLB 感知到这一迁移,将应用对外发布的地址改为IP-B,此地址配置于位于 DC-B 中的 LLB-B 之上。用户新发起的访问通过 IP-B 直接发送至 LLB-B,LLB-B 再通过 NAT 将流量转发至 IP-VM,也即转发至虚机之上。 多租户环境如上所述,通过 802.1BR、802.1Qbg 、PVLAN 等技术可以把虚机间的流量牵引到物理网络中来
13、。再结合 VLAN 技术,可以实现对不同的租户的应用加以标记和识别。但是多租户环境中的一些特殊问题,如前面提到的租户 IP 地址重叠问题,租户自组网需求等,并不能通过 VLAN 技术得到彻底的解决和满足。DP xCloud 云数据中心解决方案引入了 OVC(OS-Level Virtual Context)虚拟化技术。OVC 可以创建具有独立网管的虚拟系统,虚拟系统之间进行严格的资源隔离。因此,每个 OVC 虚拟系统就可以对应一个虚拟租户网,满足租户隔离与自组网的需求。同时,OVC 虚拟系统本身相当于一个虚拟的路由器,可以实现与租户自有网络之间的跨广域网互联。 安全防护与等保合规如前所述,云计
14、算模糊了安全的边界,使得传统的信息安全防护手段不再适用。面对这种情况,云数据中心的安全防护要立足于逻辑安全边界而非物理安全边界。因此,云计算技术不仅仅对计算和存储资源提出了虚拟化的要求,也对网络安全资源提出了虚拟化的要求。云数据中心的安全防护包括云基础架构的安全防护和租户自身的安全防护。对于云基础架构的安全防护,DP xCloud 云数据中心解决方案主要通过集成式的融合安全网关实现。融合安全网关具有多种高性能的业务板卡,在保证性能的前提下,能够满足访问控制、攻击防范、恶意代码访问、流量识别与控制、网络行为管理等多种安全需求,满足等保三级对于网络安全的各种要求。对于租户自身安全防护,DP xCl
15、oud 云数据中心解决方案通过 L27 的N:M 虚拟化技术,建立安全资源池,可以为租户提供虚拟业务设备(Virtual Services ApplianceVSA)。VSA 是虚拟防火墙、虚拟 IPS、虚拟 UAG等虚拟设备的统称。VSA 允许租户自行配置管理,租户可根据自身的需要租用特定的种类的虚拟设备(如一个虚拟防火墙加一个虚拟 IPS),在此基础上自行部署安全策略实现自身的安全防护。同时,也可以作为虚拟路由器,与租户自有网络设备建立隧道,实现跨广域互联。除 VSA 以外,DP xCloud 云数据中心解决方案还可以通过安全网关集成的流量清洗、WAF 板卡以及漏洞扫描设备,为租户提供有价
16、值的增值安全业务,包括抗 DoS/DDoS,Web 应用安全防护和定期安全检查服务。四、 云数据中心方案设计 单数据中心方案设计单数据中心的方案设计较为简单,采用“核心-接入”的扁平化组网模式,并通过 VSM 虚拟化实现数据中心大二层组网。通过在核心部署各种类型的安全和应用交付业务板卡实现安全防护所需的功能。方案拓扑如下图所示:单数据中心方案设计单数据中心方案的设计要点如下:? 虚机感知:支持业界标准的同时,可实现现有条件下的虚机流量牵引。? 租户隔离:为租户建立虚拟租户网,并实现租户间隔离。? 安全虚拟化:建立安全资源池,为租户提供可自定义的安全防护。 多数据中心方案设计多数据中心方案设计是在单数据中心设计的基础之上,通过 VE-DCI 实现数据中心间的二层互联、虚机迁移和网关优选与自动切换,并通过“全局负载均衡+本地负载均衡”的方式,实现外部用户访问路径优化。方案拓扑如下图所示:多数据中
