《数据中心-IDC计算资源池系统及软件规划配置方案》由会员分享,可在线阅读,更多相关《数据中心-IDC计算资源池系统及软件规划配置方案(5页珍藏版)》请在金锄头文库上搜索。
1、IDC 计算资源池系统及软件规划配置方案(云计算资源池规划)计算资源池网络、管理系统、业务系统规划配置思路 根据安全域划分,云平台服务器主要部署在数据中心区、安全运维区、容灾 区。(1)数据中心区云平台的核心区域,部署 X86 服务器承载业务系统。云主机虚拟计算资源池的虚拟化服务器(2*12coreCPU)数量为:xxxx台。 根据本期云主机备份需求本次扩容升级备份管理节点和备份数据节点各 2 台服务器,单台服务器 2*12coreCPU/256GB 内存。(2)安全运维区主要用于承载云管理平台、虚拟化管理平台以及SDN集群,采用X86虚拟机 承载。1)云管理平台 在整体网络设计中有一个单独的
2、管理区域部署云管理平台根据其管理节点的规格和数量具有一定的管理规模的上限, 参考业界经验, 总计需要 56corevCPU/224GB 内存。2)虚拟化管理平台 用于虚拟化软件管理,上层对接云管理平台,下层对接虚拟化软件。参考业界经验,配置2个虚拟机节点,单节点配置8corevCPU/32G内存。3)SDN集群部署SDN软件作为SDN控制。参考业界经验,配置3个虚拟机节点。(3)容灾区 由容灾节点可以实现对主节点约30%的核心业务,建议本期项目新增容灾站点计算资源服务器需求为:67*30%=18台,同时配置2台容灾管理服务器,单台 服务器 2*12coreCPU/256GB 内存。(4)资源池
3、网络 在网络层面最大的瓶颈就是网络带宽和延时,早期在小规模部署的场景下,不具备条带化、1/0 本地化等技术特点,采千兆网络存储互联的方式基本能够满 足一些、缘办公系统的需求。随着不断发展,整个存储架构进行了重构。网络因 此成为瓶颈。在小规模部署的时候,千兆网络远远不足以支撑存储的流量。此时 要求存储必须使用10GB网络。随着集群规模的进一步扩大,10GB网络又成为集 群性能的一大瓶颈,因为分布式存储在写数据的时候,多个副本的同步必须通过 网络。因此对于一些大规模的场景,需提供25GB的网络以解决网络带宽的问题。另一个网络的典型场景是低时延场景。在网卡方面,网卡性能非常好,达到5微 秒内的超低网
4、络时延,以下两张图展示低时延场景,服务端和客户端均采用VMA 的虚拟机,分别测试 TCP 和 UDP 协议下的网络时延性能。(5)硬件需求汇总综上,本项目需要配置88台X86服务器,具体如下表所示:X86 服务器需求统计表安全区域设备用途数量(台)设备配置生产中承 载方式数据中心区虚拟化服XXX2*12coreCPU/512GB 内存虚拟机安全运维区运维管理及SDNXXX2*12coreCPU/256GB 内存虚拟机数据中心区备份管理XXX2*12coreCPU/256GB 内存物理机数据中心区备份数据处 理XXX2*12coreCPU/256GB 内存物理机容灾区虚拟化XXX2*12core
5、CPU/512GB 内存虚拟机容灾管理XXX2*12coreCPU/256GB 内存物理机合计XXX3.2.2 计算资源池针对不同业务域网络流量隔离、互访规划配置思路虚拟机数据中心(VDC, VirtualDataCenter)是IaaS资源的逻辑抽象,用于对 可用的CPU、内存、存储和网络进行管理,向最终用户提供一个虚拟的所见即所得的 数据中心,一个企业下属很多组织,每个组织可以设定一个或多个,每个VDC上 面可以针对企业业务,部署不同的应用。可以根据企业需求和业务需求对不同的 VDC配备不同服务质量的资源,并对这些不同资源配置进行管理。VDC优势表现 在:(1)网络设备虚拟化虚拟数据中心技
6、术将防火墙、负载均衡器、二层网络、三层网关、DHCP、等 设备进行虚拟化,向最终用户提供相应的操作。用户像真正操作物理网络设备一样 操作虚拟机的网络设置。(2)资源隔离可以给不同的租户分配不同的VDC,不同的VDC间是互相隔离IT人员面对的 是和多个独立的简单系统,而不是共用同一套的多个系统。(3)资源分配可追溯 资源消耗后和真实的资源使用一样,资源的使用量会增加,资源的剩余量会减少。反之资源使用量就会减少,剩余量增加。(4)可管理可以通过VDC对各企业不同应用使用的资源进行配额管理,包括CPU,内存, 存储等。丿应用4应用VDC1VDC2应用3应用2云平台 VDC 示意图划分三级VDC,其中
7、各集团和各省公司为一级VDC,每个一级VDC下根据所 属分公司安全隔离的要求划分二级VDC,最终根据各省公司内部业务系统安全隔 离的要求划分三级VDC。将资源虚拟化成DC后,各企业或部门的业务管理员只需要 关心多少资源可用CPU、内存、存储),不关心应用使用的资源的具体部署。首先,在虚拟网络边界上,云平台供了虚拟下一代防火墙模块进行平台边界 网络防护,确保大多数的攻击无法流入虚拟网络内部,在源头进行截杀。其次,在每个虚拟机内部防护中,平台提供了防护模块进行终端访问关系控 制和病毒查杀等终端防护卿使攻击者绕过了虚拟防火墙的攻击进入到虚拟机内 部,仍有一层安全防护进行拦截和查杀。然后,对于平台内部
8、虚拟机之间的通信,利用分布式交换机的隔离机制和分 布式防火墙模块,对虚拟网络内部进行 3、4 层的隔离防护,通过轻量级和快速 实施的隔离机制,实现虚拟网络内访问权限的隔离,即使某个虚拟机被攻击者获 取控制权,也不能通过跳板攻击其他虚拟机。对于有更高安全需求和合规性要求,可将堡垒机、日志审计设备、数据等合 规类安全组件集中进行部署管理通过模板化部署方式为业务提供安全防护能力。1)虚拟防火墙攻击者可以利用业务漏洞发起业务攻击,如SQL注入攻击、xss攻击等,为 了应对这样的攻击行为,管理员通过在网络边界上部署防火墙设备以保护业务层 边界安全;随着时间的推移,平台攻击手段也发生了巨大的变化,因此,边
9、界防 火墙必须要适应性匹配攻击行为,才能有效进行防护。虚拟防火墙主要构建了以 下5 个核心能;全面应用资产识别保护、精细应用访同制段、专业应用安全防护 能力、全面位置威胁检测阻断、持续威胁情况共享赋能。所有虚拟机全面防护:可以配置在任何一个分布式交换机端口上,进行访问 防护;对平台一个区域的流量出人口进行防护,实现微隔离;提供 BYPASS 与拦 截日志显示功能,快速确认规则有效性“分布式防火墙策略配置在分布式交换机 上,即使虚拟机迁移运行位置,策略也会跟随。分布式防火墙的应用场景:Windows服务器只要开了 135、137、139、445、 3389 其中一个端口,就有很大概率被攻击。漏洞
10、发现时,己经出现了比特币勒索 病毒。但是,数据中心有上百台Windows服务器,给所有服务器打上补丁将耗费 大量时间,在打补丁期间,一旦黑客攻破防火墙进入数据中心,数据中心开放了 相应端口的 Windows 服务器都会被轻易攻击。分布式防火墙提供东西向网络隔离 功能,只需要一条防火墙策即可保护数据中心内所有虚拟机。2)虚拟交换机逻辑隔离VXLAN 隔离:分布式虚拟交换机的东向流量封装采用 VXLAN 协议进行封装, 用于隔离不同的虚拟交换机之间的网络。当多个虚拟机逻辑上连接了同一个虚拟 交换机,如果运行在不同的物理主机上,它们之间的通信将使用 VXLAN 进行封 装。经过不同 VXLAN 封装
11、的数据,彼此之间相互独立,无法在虚拟机上通过嗅探 等方式获得其他虚拟机的数据,从而在一定程度上保证了虚拟机之间的网络隔离 用户可以根据自身的组网需求灵活配置 VXLAN 通信网络和通信端口。VLAN逻辑隔离:传统物理网络中,VLAN主要作用是把一个二层物理交换机 虚拟成多个逻辑二层交换机连接在同一个二层物理交换机的设备逻主是二层隔 离的;画即所得”的网络拓扑图,用户可任意生成多个虚拟交换机,每个虚拟交 换机之间己相互隔离。平台上的虚拟机通过平台的“物理出口”与物理网络进行 流量访问,为了保证虚拟机能够与VLAN划分的物理网络进行通信,平台支持在 “物理出口”上设置VLAN,平台的虚拟交换机支持VLAN划分,不同VLAN之间 进行网络流量隔离,不同业务区域的流量相互独立,防止出现数据泄露。平台也 支持根据网络用户的位置、作用、部门以及网络用户所使用的应用程序和协议进 行 VLAN 分组。
