《云数据中心解决方案技术方案.docx》由会员分享,可在线阅读,更多相关《云数据中心解决方案技术方案.docx(99页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、云数据中心解决方案技术方案华为技术有限公司电子政务数据中心解决方案技术建议书目 录目 录前 言ii1 项目概述81。1 项目背景81。2 建设目标与范围81。2。1 建设目标91。2。2 建设范围91。3 项目方案设计原则91.4 给客户带来的价值102 项目IT需求112。1 网络需求112。2 计算平台需求122.3 安全需求122。4 管理需求142.5 容灾备份需求142.6 业务迁移需求142.7 数据中心整合需求142.8 绿色节能需求153 技术方案总体设计163.1 方案总体架构163。2 网络方案173。3 计算平台方案173。4 安全方案183。5 管理方案183.6 容灾
2、备份方案193。7 业务迁移需求193。8 绿色节能方案194 网络方案设计204。1 网络总体架构设计204。1.1 总体网络架构204。2 网络核心层设计234.2。1 组网设计234。2.2 可靠性设计234。3 存储网络设计244。4 网络功能区设计254.4.1 外联区设计254.4。2 网络服务区设计304。4。3 业务服务及运行管理区设计324。5 多数据中心互联设计354.5.1 业务需求354。5.2 多数据中心互联364.5。3 主备双中心容灾网络395 计算平台方案设计415。1 计算平台总体架构415.2 系统处理能力分析425。2。1 计算处理能力425.2。2 存储
3、处理能力分析445.3 计算存储场景设计465。3.1 计算场景技术465。3.2 存储场景设计526 安全方案设计566.1 云数据中心安全需求566.1。1 云安全需求566。1。2 等级保护要求566。2 等级保护三级安全保护框架576。2.1 安全域划分576.2.2 信息安全等级保护框架596.3 业务区安全防护方案596。3.1 功能设计596.3.2 产品部署626.3.3 产品特性626。4 公共信息服务区安全防护方案646.4.1 功能设计646.4。2 产品部署656。4。3 产品特性656.5 外联区安全防护方案666.5.1 功能设计666.5。2 产品部署676.5.
4、3 产品特性676。6 运行管理区安全防护方案676.6.1 功能设计676。6。2 产品部署686.6。3 产品特性686.7 等级保护设计技术要求和基本要求的对应696.8 等级保护安全管理解决方案706。8。1 监控管理和安全管理中心706.8.2 网络安全管理706。8.3 系统安全管理706.8.4 恶意代码防范管理716。8.5 安全事件处置716。9 对等级保护基本要求的符合性716。9.1 等级保护二级基本要求的符合性716.9.2 等级保护三级基本要求的符合性776。10 本方案所涉及安全措施清单886。10。1 等级保护二级涉及安全措施886.10.2 等级保护三级涉及安全
5、措施897 管理方案设计917.1 管理总体架构917.2 管理方案设计927。2。1 集中监控管理927.2.2 IT服务管理957.2.3 统一运维管理门户967。2。4 云管理997.2。5 业务运营管理1008 容灾备份方案设计1038。1 备份方案设计1038。1。1 NAS备份1038.1。2 HDP备份1048.1.3 基于NBU软件的备份1068。2 容灾方案设计1098.2.1 容灾概述1098.2.2 应用级容灾1118.2。3 数据级容灾1158.2。4 容灾切换流程1189 绿色节能方案设计1219。1 绿色机房基础架构1219.2 绿色计算平台12310 解决方案选型
6、和规格12410.1 应用场景12410。2 规格及选型12410。2。1 外网12410.2。2 内网12711 解决方案优势和价值13011.1 自主研发的云计算整体解决方案13011.2 先进的云计算方案架构设计13011.3 电信级数据中心安全保障方案设计13011.4 上线即用的华为云计算业务产品13111.5 完整的数据中心集成解决方案13111.6 强大的集成服务交付能力13211.7 成熟的、多虚拟化平台、政府行业系统集成能力13211.8 强大的业务系统迁移能力132A 成功案例133B 缩略语134电子政务数据中心解决方案技术建议书8 解决方案优势和价值1 技术方案总体设计
7、1.1 方案总体架构云数据中心总体架构设计遵循面向业务需求的设计思路,基于业务场景化、模块化的设计方法,实现数据中心IT基础架构模块与业务模块松耦合,保证数据中心业务动态扩展和新业务快速上线。使用典型规格产品设计,包括硬件、软件和应用规格化来提供简单可靠、易于部署和管理、便于扩展和升级的IT基础架构,为用户提供更好的投资保护,满足云数据中心新建、升级扩容,以及数据中心统一管控的需求,可实现被集成的场景。云数据中心解决方案的总体架构如图1-1所示。图1-1 总体架构1.2 网络方案网络架构设计采用“分区+分层+分平面的设计思路:l 根据云数据中心不同业务功能区域之间的隔离需求,将数据中心的核心网
8、络按照功能的不同分成多个业务区域,各业务区域之间实现网络的逻辑隔离;l 根据云数据中心的网络系统动态扩展和高效交换的需求,将数据中心的核心网络分为核心层与接入层,实现扁平化的二层网络架构;l 根据云数据中心网络高效交换的需求,将数据中心网络分为管理平面、业务平面和存储平面,不同平面间进行逻辑隔离;单个平面故障不会影响其它网络平面的正常工作.1.3 计算平台方案云数据中心支持业务应用运行于华为或业界主流厂商的物理服务器和存储、华为云计算平台和其它的虚拟化平台(VMware),支持对服务器和存储的集中管理.云数据中心支持根据业务应用的不同特点(大计算量应用系统、高I/O访问应用系统、高并发访问应用
9、系统以及对资源要求一般的应用系统)采用物理服务器、虚拟机(华为虚拟化平台、VMware虚拟化平台)、SAN或NAS、网络或存储连接技术(GE或10GE、4G/8G光纤连接)、存储虚拟化技术,能根据业务应用的特点对服务器或存储进行配置满足应用对计算和存储的需要(CPU、内存、网络I/O、存储I/O)。服务器的总计架构分为三层,即表现层、应用层和数据层,三层架构的部署可以是采用物理机部署或者虚拟化部署,其中虚拟化部署方式主要考虑华为云操作系统GalaX8800;为保护用户已有投资,华为云数据中心解决方案支持业界第三方虚拟化平台,如VMware。存储的总体架构主要是分为IPSAN、FCSAN、NAS
10、和存储虚拟化四种;云数据中心支持华为存储和业界主流存储(IBM/HP/EMC/NetApp/HDS);采用华为VIS来支持存储虚拟化,实现存储的统一管理。在部署业务时,首先考虑使用虚拟化平台,优先采用虚拟主机满足,对于虚拟主机不能满足的应用,则采用物理服务器满足。以下是针对不同类型应用系统的计算平台方案:l 物理主机和虚拟机的不同节点配置全面覆盖客户的不同业务需求;l 对内存容量、IO、扩展性的要求都不高,且有节约空间和能源的应用,我们推荐采用虚拟化计算资源来满足;l 对于高性能计算,大容量存储,大容量内存和高IO的需求,虚拟化不能满足应用需求,则采用4路X86服务器或UNIX服务器等高性能物
11、理主机满足;l 针对普通的应用系统,如WEB,对内存容量、IO、扩展性的要求都不高,建议采用虚拟主机,且能节约计算资源、机架空间、能源;l 存储设备和计算服务器之间采用多路径技术保证可靠性;l 采用面向网络的存储体系结构,使数据处理和数据存储分离;网络存储体系将I/O能力扩展到网络上,特别是灵活的网络寻址能力,远距离数据传输能力,I/O高效性能;采用存储网络,消除了不同存储设备和服务器之间的连接障碍;提高了数据的共享性、可用性和可扩展性、管理性。1.4 安全方案在云数据中心安全架构主要包含安全域划分、系统自身安全、专用安全防护系统和信息安全管理四个层次的安全方案:l 通过安全域划分,形成清晰、
12、简洁、稳定的IT组网架构,实现系统之间严格访问控制的安全互连,更好的解决复杂系统的安全问题;l 系统自身安全,从系统的安全开发、安全配置、以及自身提供的安全特性方面加强系统安全;l 专用安全防护系统,从网络、系统、应用、数据库、数据需要的安全技术手段方面加强安全防护;l 网络信息安全管理,主要从信息安全管理方面设计安全风险管理、预警管理、策略管理、脆弱性管理、知识库管理。1.5 管理方案云数据中心管理系统采用开放的、可扩展、松耦合的面向服务的管理架构的设计思路,根据数据中心业务需求配置运营和运维管理模块,主要模块包统一运维管理门户、业务运营管理、IT服务管理、集中监控管理和云管理。基于保证方案
13、的开放性、可扩展性,华为的数据中心管理工具采用SOA的架构、同时有机结合华为的云平台管理及业界成熟的管理产品实现云数据中心运营运维的管理功能。l 业务运营与管理 业务管理主要面向业务方面的规划与设计,包括服务目录管理,产品管理、服务定价策略,服务级别管理等功能的规划与设计; 业务运营管理负责业务的日常运转,包括业务日常流程和业务的受理; 客户自助服务帮助客户实现服务的在线定购、方便的服务访问及服务管理.l IT运维与管理 IT服务管理实现基于ITIL的流程的定义和管理,同时提供流程的定义模版,实现特定流程的定制; 集中的、统一的、综合的监控管理支持云数据中心所覆盖的IT资源的集中监控; 云平台
14、管理采用华为的云管理平台,实现资源的自动部署,同时结合IT服务管理完成相关的变更、配置管理。l 统一运维管理门户采用华为的门户方案,实现运营、运维的一体化管理,包括用户管理、管理工作台、仪表盘、综合报表及知识库等;1.6 容灾备份方案对容灾备份存在下面的一些关键需求: 更大的数据量,更高的备份需求数据中心含数据库服务器,存在大量的结构化数据需要备份;数据中心的数据量更大,对容灾产品的节能、减排等需求更高。 更高的RPO和RTO需求云数据中心存在重要业务,这些业务存在容灾的需求,个别业务对RPO及RTO的要求很高;对关键核心业务,需要采用应用级容灾来保障业务连续性。云数据中心的业务存在关联性,某
15、个业务的正常工作可能涉及到其他业务的支持,因此进行恢复的时候,往往是考虑多个业务而不是一个业务。 可扩展性需求数据中心备份方案要具备扩展性需求,随着备份数据量的增长可以进行平滑扩容,从而保证关键数据备份的完整性。1.7 业务迁移需求将现有业务迁移到云平台中实现服务器整合,提高云数据中心资源利用率。业务迁移方案需要遵循如下要求: 制定有效的业务迁移前评估和流程设计 采用成熟的业务迁移工具保障计算平台兼容性和平滑迁移 设计有效的备份恢复方案保障业务系统正常切换和运行1.8 绿色节能方案节能降耗是IT系统建设中长远关注的重点问题,采取有效策略实现数据中心节能降耗是的重要目标。重点需求如下: 采用先进
16、的机房基础设施节能技术,降低耗电、制冷等关键设施的能耗 采用先进的计算资源虚拟化技术,实现资源共享,提高计算资源使用效率2 网络方案设计2.1 网络总体架构设计2.1.1 总体网络架构二层网络架构设计传统数据中心的网络架构采用核心层、汇聚层和接入层的三层网络架构,存在以下几个方面的问题:l 网络的层次较多,导致数据处理效率低,增加了处理时延和线路时延,同时也增加了部署成本和设备故障的几率;l 由于汇聚层面设备一般存在处理性能和上行带宽的收敛比,在数据中心规模不断扩大的情况下,汇聚设备会成为整个网络的瓶颈,导致出现拥塞、丢包等问题;l 网络设备之间的STP、LAG、路由处理、安全等相互之间的交互
17、信息,随着设备数量的增加,会成几何级数激增;l 随着数据中心虚拟化的部署,新的数据中心流量模型中,大多数的流量是在内部服务器之间进行通信,甚至能够达到整体流量的75%,这种部署架构会导致服务器之间流量需要通过汇聚层甚至核心层设备转发,效率低下,且性能很差。为了解决上述存在的问题,数据中心核心网络建议采用核心层和接入层的的二层扁平化网络架构,二层扁平化的网络架构可以实现:l 简化网络管理,降低投资成本,降低维护管理成本;l 简化网络拓扑,降低网络复杂度,提高网络的性能,支撑高性能的服务器流量;l 提高网络利用率,支撑云计算技术的资源池动态调度;l 提高网络可靠性。二层网络结构,可以结合虚拟集群和
18、堆叠技术,解决链路环路问题,减少网络的故障收敛时间,从而提高网络可靠性;l 绿色环保。 简化二层网络还能降低电力和冷却需求,这对数据中心网络尤为重要。数据中心的二层网络结构示意图如图2-1所示:图2-1 二层网络架构设计图功能分区模块化设计考虑到数据中心的高安全性、高扩展能力和可管理性的业务需求,数据中心网络架构的总体规划遵循区域化、层次化和模块化的设计理念,实现网络层次更加清楚、功能更加明确,提高承载的业务系统的可扩展性、安全性和可管理能力。l 层次化设计。数据中心的核心网络采用核心层、接入层的网络架构;层次化结构也利于网络的扩展和维护。 l 功能分区和模块化设计。网络架构按照功能,分为外联
19、区(包括Internet接入区和远程接入区)、核心区及内网接入区;核心区包括网络服务区、等保三级业务区、等保二级业务区、开发测试区及运行管理区等功能模块。数据中心的网络功能分区架构如图2-2所示。图2-2 数据中心网络功能分区架构图总体网络架构数据中心整体网络拓扑如图2-3所示:包括外联区、核心区及内网接入区等。图2-3 总体网络架构图示意图l 外联区 远程接入区提供给各级政府部门访问的数据中心区域。政府部门一般通过国家云外网采用MPLSVPN方式进行接入;另外,远程接入区也可用于容灾数据中心互联。 Internet接入区 提供给互联网用户访问的数据中心区域。Internet接入区的DMZ区,
20、部署外部服务器群(如:外部DNS/FTP/Web服务器),用于互联网用户访问;为了提高互联网出口的可靠性,出口路由器一般接入到2个不同的运营商。国内一般会选择中国电信和中国联通两个运营商.l 内网接入区 用于接入内网的数据中心区域,外网数据中心与内网互联需要通过网闸实现物理安全隔离。l 核心区 核心区对外部网络不可见,主要为政府各部门用户提供业务服务。该区域包括:网络服务区、等保二级业务区、等保三级业务区、开发测试区及运行管理区.2.2 网络核心层设计2.2.1 组网设计数据中心的网络核心层采用的是核心层、接入层的扁平化二层网络架构;扁平化网络设计降低了网络复杂度,简化了网络拓扑,提高了转发性
21、能。数据中心网络核心层的规划图如图2-4所示。图2-4 二层网络架构设计图l 核心层:2台核心交换机采用CSS虚拟集群技术,下行链路选择10G链路捆绑技术与接入交换机互联,增加带宽的同时也提高了网络链路的可靠性。l 接入层:2台接入交换机采用堆叠技术,下行链路根据服务器的物理端口选择GE或10GE链路,上行链路选择10G或10G链路捆绑技术,上联到2台核心交换机,增加带宽的同时也提高了网络链路的可靠性.接入层设备可以根据业务需求,选择机架式、刀片内置式等不同的接入交换机类型和不同规格的配置。l 核心交换机和接入交换机之间的四条跨框链路捆绑为一个EthTrunk组,网络架构变成树型模式,不需要启
22、用STP协议,从根本上解决环路和spanning-tree收敛问题。2.2.2 可靠性设计网络核心层的可靠性设计从设备级冗余和链路级冗余两方面来实现:从设备冗余角度考虑,2台核心交换机之间采用CSS虚拟集群技术,每组的2台接入交换机之间采用堆叠技术;从链路的冗余角度考虑,核心交换机与接入交换机间的链路进行链路捆绑,大大提高网络高可靠性。接入交换机只运行L2层交换功能,核心交换机运行L3+L2层路由交换功能,这样就需要解决核心交换机和接入交换机之间二层网络环路问题.本方案中采用“集群+堆叠+链路捆绑的二层网络无环络解决方案,如图2-5所示:图2-5 “集群+堆叠+链路捆绑”的二层网络无环路解决方
23、案示意图核心交换机采用CSS虚拟集群技术,接入交换机采用堆叠技术;核心交换机与接入交换机间的链路进行链路捆绑,大大提高了网络的可靠性能。2.3 存储网络设计数据中心存储网络规划示意图如图2-6所示。图2-6 存储网络规划示意图服务器存储网络主要包括IP SAN存储网和FC SAN存储网.服务器存储网络与业务网络是物理隔离的,服务器的业务网卡和存储网卡是分别上联到业务网络和存储网络的对应TOR接入交换机上。由于虚拟化的需求,极大的增进了服务器与存储的数据交换,对于IP SAN存储网络,至少要保证接入交换机采用10G的链路接入。当采用IP SAN存储网络时:业务服务区服务器和IP SAN存储的存储
24、网卡一般采用GE端口上联到TOR接入以太网交换机,各TOR接入交换机通过10GE链路或10GE链路捆绑上联到IP SAN存储汇聚交换机。当采用FC SAN存储网络时:业务服务区服务器的HBA卡和FC SAN存储的FC接口通过光纤链路上联到FC交换机。2.4 网络功能区设计2.4.1 外联区设计(1)Internet接入区设计Internet接入区的网络架构示意图如图2-7所示。图2-7 Internet接入区网络架构图Internet接入区包括出口路由器、链路负载均衡LLB、防火墙、IPSec/SSL VPN接入网关、应用负载均衡、接入交换机等网络设备。l 出口路由器:部署2台设备实现冗余,并
25、分别上联到2个不同的运营商;出口路由器与运营商之间一般采用静态路由或BGP路由协议。l 链路负载均衡LLB:部署2台设备实现冗余,2台LLB设备串接在出口路由器与出口防火墙之间上,每台LLB分别通过2条电路与出口路由器进行冗余连接;2台LLB采用双机热备的方式进行部署,并与出口路由器运行静态路由协议.LLB可以按照相应的策略,实现多互联网出口链路之间的智能选择,实现负载均衡和冗余备份.l 防火墙:在网络层面,通过防火墙设备NAT技术隐藏内网拓扑,是Internet接入区的第一道网络安全屏障.2台防火墙采用双机热备的方式进行部署,提高可靠性;防火墙采用路由模式,并与LLB设备之间运行静态路由协议
26、.l IPSec/SSL VPN安全网关设备:采用1台IPSec/SSL VPN安全网关设备,同时支持IPSec VPN和SSL VPN业务的接入;IPSec/SSL VPN安全网关设备旁挂在出口防火墙上,并通过GE端口同时与2台防火墙进行冗余连接。公共信息服务DMZ区设计公共信息服务DMZ区部署在Internet接入区,用于部署提供政府公共服务的Web、DNS、FTP等应用;对于提供公共信息服务的应用及数据库主机一般部署在核心内网的公共服务区.云数据中心的公共信息服务DMZ区的服务器数量较多,一般需要部署应用负载均衡设备和接入交换机设备,实现公共信息服务器进行接入和应用的负载均衡。接入交换机
27、部署2台,分别与2台出口防火墙进行互联,连接在出口防火墙的DMZ接口;2台应用负载均衡设备采用旁挂的方式,分别通过2个GE端口与接入交换机进行互联.外网出口链路负载均衡应用场景数据中心一般承载着关键的业务系统,互联网的对外出口非常重要,如果只通过1条链路与运营商进行互联,意味着可能会出现的单点故障和脆弱的网络可靠性。为了提高数据中心的冗余性和可靠性,数据中心的互联网出口一般需要与2个不同运营商进行互联,提高Internet网络出口的冗余性,并减轻网络出口的传输瓶颈问题。当数据中心的互联网出口与2个不同的运营商互联时,可以部署链路负载均衡设备LLB,实现数据中心2个互联网出口链路的智能选择,可以
28、提高出口链路的利用率,实现出口链路的负载均衡和冗余备份。方案说明LLB实时监控2条链路的负载状况及其健康状况来保证链路的高可用性。LLB可以根据链路状况和链路负载情况进行链路选择;可以根据互联网用户的所在的运营商的位置静态选择相应的出口链路,比如中国联通的互联网用户,会从与中国联通的互联链路进行互访;也可以根据用户的IP地址(本地DNS)进行路径就近性判断,动态进行链路选择,指引用户从最快的、最好的、最近的路径访问.数据中心的LLB多出口链路选择可以从两个方面进行分析:一方面是互联网用户访问数据中心的inbound流量;另一方面是数据中心访问互联网业务的outbound流量。以数据中心与中国联
29、通和中国电信两个运营商互联为例对采用LLB设备进行方案说明。LLB业务数据流如图2-8所示。图2-8 链路负载均衡设备的数据流示意图1)OUTBOUND流量设计Outbound流量,LLB提供智能的链路选择,国内用户的Outbound流量策略:l 网内用户访问属于联通网地址段的服务器,首选联通的出口链路;l 网内用户访问属于电信地址段的服务器,首选电信的出口链路;l 网内用户访问其它地址段的服务器,由负载均衡器基于动态就近性判断结果,自动的选择联通或电信链路。2)INBOUND流量设计Inbound访问的智能性,一般通过LLB提供的智能DNS解析功能实现。建议采用静态负载和动态负载相结合的方式
30、:当用户是来自国内的用户,根据用户的IP地址所属的运营商,采用静态的算法给用户端一条最快的链路;对于来自国外的用户,将采用动态算法,根据路径的传输时间等指标,计算出来一个最佳路径并提供给用户.国内用户的Inbound流量:l 属于联通地址段的用户访问服务器,首选联通的出口链路;l 属于电信地址段的用户访问服务器,首选电信的出口链路;l 其他地址段的用户访问服务器,由负载均衡器基于动态就近性判断结果,自动的选择链路。IPSec/SSL接入设计应用场景数据中心的移动用户、远程办公用户等,需要通过互联网对数据中心进行远程访问,以实现远程办公需要;某些分支机构,由于资金或网络条件的限制,无法通过专线或
31、MPLS-VPN的方式接入到数据中心,需要通过互联网的方式接入到数据中心。为了保证安全性,对于通过互联网接入数据中心的移动用户、远程办公用户、分支机构,可以考虑使用IPSec/SSL VPN等技术进行接入。IPSec VPN接入方式比较适合Site-toSite的方式接入,适用场景是分支机构通过Internet连接数据中心.SSL VPN接入方式比较适合Client-to-Site的方式,适用场景是远程办公用户、移动用户通过Internet连接数据中心。方案说明对于数据中心远程VPN接入需求,可以考虑部署1台统一的IPSec/SSL VPN网关设备,同时提供IPSec VPN和SSL VPN两
32、种接入功能。IPSec VPN功能用于SitetoSite 方式接入,支持分支机构通过互联网进行远程接入;SSL VPN功能用于ClienttoSite方式接入,支持移动用户、远程办公人员接入.IPSec/SSL VPN的用户接入示意图如图2-9所示。图2-9 IPSec/SSL VPN接入访问业务系统的数据流示意图对于采用SSL VPN接入的移动用户,移动用户的客户端与数据中心的VPN网关设备通过安全认证,在互联网上形成一个安全的SSL加密隧道,VPN网关为客户端分配相应的内部IP地址,实现客户端对数据中心的互访。对于采用IPSec接入的分支机构,其VPN网关设备与数据中心的VPN网关设备通
33、过安全认证,在互联网上形成一个安全的IPSec加密通道,实现整个分支机构或合作伙伴的办公网络与数据中心之间的业务互访。数据中心的出口防火墙,可以利用虚拟防火墙技术,为每个VPN业务分配一个虚拟防火墙,实现该业务与其它内部业务的安全隔离。 (2)远程接入区设计远程接入区网络架构示意图如图2-10所示。图2-10 远程接入区网络架构图远程接入区用来接入政府的各个部门,各个部门一般是采用MPLS-VPN的方式通过国家云外网进行接入;远程接入区还用于接入容灾数据中心,一般是通过专线或MPLSVPN网络进行接入。该区域包括出口路由器、防火墙等设备.l 出口路由器:远程接入区部署2台出口路由器,实现设备冗
34、余,提高可靠性;出口路由器与分支机构、容灾中心互联,一般采用静态路由.l 防火墙设备:对于分支机构、灾备中心与数据中心之间的业务互访进行安全控制;2台防火墙设备采用双机热备的方式进行部署,工作在路由模式,并与出口路由器运行静态路由协议;通过虚拟防火墙技术,可以实现VPN网络的隔离功能。(3)内网接入区设计根据中国国家保密局云保密管理指南的要求,涉密网与非涉密网之间应当进行物理隔离.内网属于涉密网,其承载的信息为涉密信息,而外网承载的信息为非涉密信息,内网与外网须用单向导入系统进行隔离。对于中国云网络系统,外网和内网要求物理隔离.当云外网数据中心与内网互联时,需要部署网闸设备实现高安全隔离.通过
35、网闸实现内网安全隔离的网络拓扑如图2-11所示。图2-11 通过网闸实现内网安全隔离拓扑图2.4.2 网络服务区设计应用场景数据中心支撑着各种业务系统,各种业务系统对网络架构的要求也各不相同:对于高安全性业务系统,需要在数据中心内网核心区提供安全防护的功能;有些业务系统,对性能、可靠性和可扩展性要求较高;一般的业务则没有特殊的要求.为了满足业务系统对网络功能要求,数据中心专门部署了网络服务区,针对性为各种业务系统提供相应的网络服务.网络服务区主要提供2种网络服务:一种是网络安全服务,通过部署防火墙设备实现;另外一种是应用负载均衡服务,为业务系统增强扩展性、可靠性和业务处理能力,该服务通过部署应
36、用负载均衡设备LB实现。网络架构数据中心的网络服务区网络架构图2-12所示.图2-12 网络服务区网络架构图网络服务区共部署了2台防火墙和2台LB设备,为数据中心的多个服务器业务分区提供安全控制和应用负载均衡服务.2台防火墙和2台LB均采用双机热备的冗余方式进行部署;每台防火墙和LB都采用核心交换机旁挂的方式,并通过2条GE电路与核心交换机进行互联,分别用于承载入方向和出方向的流量。防火墙设备用于对安全级别较高的业务服务器分区进行安全防护。防火墙通过虚拟化技术,从逻辑上划分为多台防火墙,分别为需要安全防护的服务器分区提供独立的安全保障。每台虚拟防火墙都是VPN 实例、安全实例和配置实例的综合体
37、,为用户提供私有的路由转发服务、安全服务和配置管理服务。防火墙设备一般采用路由工作模式。LB可以保障内部资源的容错性,内部任何一个应用节点出现问题都不会对用户造成任何的影响;LB可以增强业务扩展性,业务扩展时只需要增加相应的内部服务器即可。LB设备可以为部署在多台服务器上的应用系统,对外提供一个VIP服务地址,并实时监测各个内部服务器的负载状况。当客户端通过接入网络访问该应用系统时,业务数据流通过VIP服务地址首先到达LB,LB会根据一定的流量策略,比如轮循、比率、最小连接数等方式将业务请求自动提交给相应的服务器进行处理,从而实现负载均衡和冗余备份的功能。数据流通过部署防火墙和LB设备,网络服
38、务区支持的业务数据流模型包括: 第一种是没有特殊服务要求的业务系统。业务流的方向是通过接入层交换机,VLAN透传到核心交换机,在核心交换机进行三层终结,直接通过路由的方式到达外联区的防火墙设备;该种情况,业务系统的IP网关设置在三层交换机上。第二种是只需要LB服务的业务系统。业务流通过接入层交换机,VLAN透传到核心交换机,并通过互联电路VLAN透传到LB设备,进行三层终结;然后通过另一条互联电路路由到核心交换机,并通过路由的方式到达外联区的防火墙设备;LB设备可以实现入流量的应用负载均衡,该种情况业务系统的IP网关设置在LB上。第三种是只需要防火墙服务的业务系统。业务流通过接入层交换机,VL
39、AN透传到核心交换机,并通过互联电路VLAN透传到防火墙设备(采用虚拟防火墙),进行三层终结;然后通过另一条互联电路路由到核心交换机,并通过路由的方式到达外联区的防火墙设备。该种情况业务系统的IP网关设置在防火墙上。第四种是同时需要防火墙和LB服务的业务系统。该业务流程相当于将第二种和第三种情况进行综合。业务流通过接入层交换机,VLAN透传到核心交换机,首先到达LB设备,再到达防火墙设备,然后通过核心交换机路由到出口防火墙;LB设备可以实现入流量的负载均衡的功能。该种情况,业务系统的IP网关设置在LB设备上。各种业务数据流如图2-13所示(需要根据实际业务需求决定,仅供参考)。图2-13 网络
40、服务区数据流拓扑示意图2.4.3 业务服务及运行管理区设计业务服务区:是政府机关提供服务的业务区,需要考虑较高的可用性和更全面的安全防护措施;业务服务区包括等保二级业务区、等保三级业务区、开发测试区等。运行管理区:主要职责是对数据中心的软/硬件系统进行统一运维和运营管理,提供安全管理的功能,并部署云计算管理平台。网络架构业务服务区及运行管理区的网络架构基本相同:按照层次化、模块化的设计理念,各个功能分区的业务主机通过相应的接入交换机进行汇接,双链路上联到网络核心交换机上.数据中心业务服务区及管理区的网络架构示意图如Error! Reference source not found.所示.图2-
41、14 业务服务区及管理区网络架构示意图服务器的接入方式分为下面四种情况:l 中低端机架服务器,数量众多,通过置顶式接入层交换机(TOR)接入;l 没有内置交换机的刀片服务器,通过置顶式接入层交换机(TOR)接入;l 内置交换机的刀片服务器,直接上联到核心层交换机上,减少交换网络的层级;l 高性能服务器,数量较少且重要性高,部署数据中心核心应用系统(如:核心数据库系统),可以采用异构防火墙加强网络安全。各个业务功能分区可以通过网络服务区的防火墙进行安全控制;通过功能区的划分,也可以提高系统的可扩展能力。分平面设计数据中心的业务核心区采用的是网络分平面设计的网络架构,按照业务的类型将网络分成三个平
42、面:业务平面、存储平面和管理平面,各个平面之间实现业务安全隔离。各个平面之间通过网络设备和网卡进行物理安全隔离或VLAN逻辑安全隔离,保证各种网络平面数据的安全性和可靠性,单个平面的故障不影响其余平面继续工作。每台主机通过不同的网络接口与业务平面、管理平面和存储平面进行互联,并在交换机上通过VLAN进行隔离,其中存储平面采用单独的交换机进行接入。数据中心网络分平面设计示意图如图2-15所示.图2-15 网络平面设计示意图VPN(MCE方式)设计应用场景对于国家政府机关,其下属各个政府部门往往都是一个单独的VPN,彼此需要通过物理或逻辑的方式进行安全隔离。数据中心可以通过 VLAN的方式实现VP
43、N业务安全隔离;但VLAN是二层以太网技术,很难实现端到端的VPN网络。这种情况下,可以在数据中心的核心交换机上采用MCE的技术,实现各个VPN网络的安全隔离。核心交换机部署MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾。MCE的实现原理是在核心交换机上为每个VPN网络创建和维护一个独立的路由转发表(MultiVRF);每个VRF与相应的VPN业务的VLAN端口号相关联,这样在1台核心交换机上会维护多个VPN的VRF,彼此实现安全隔离.通过MCE技术,核心交换机相当于虚拟出彼此隔离的多个网络设备,每个虚拟设备对应一个VPN,从而实现业务的安全隔离.MCE还通过与数据
44、中心的出口路由器的配合,可以将每个VPN的业务路由通过外网MPLS-VPN承载网络进行传递,实现广域网范围内的端到端的VPN网络。方案说明数据中心的MCE方式组网示意图如图2-16所示:首先是接入交换机通过VLAN的方式对VPN业务进行隔离,并将VLAN透传到核心交换机上;核心交换机启用MCE功能,建立一个与该VPN相对应的VRF(路由转发表),并将与该VPN相对应的VLAN接口进行关联,这样该VPN形成一个单独的相互隔离的路由转发表,该VRF可以运行OSPF等动态路由协议。数据中心的出口路由器上可以启用PE的功能,建立与该VPN相对应的VRF,出口路由器和MCE之间通过VLAN等虚链路进行连
45、接,PE上将该VPN对应的VLAN接口与VRF进行关联。PE可以通过Option A的方式与外网MPLSVPN网络对接,将VPN业务路由通过MPLS网络进行传递。远端的VPN部门,可以通过CE设备接入到外网,通过MPLS-VPN网络构成端到端的VPN网络(不具备MPLS-VPN网络资源时,远端VPN部门也可通过专线直接接入到数据中心的出口路由器,关联到出口路由器设置的该VPN相对应的VRF中实现VPN功能)。图2-16 MCE组网图MCE是MPLS-VPN技术的简化版, 不需要启用复杂的BGP和标签交换功能, 对网络设备的要求低, 并且降低了运维的难度; 但如果需要配置VPN数量较多或者内部网
46、络架构比较复杂时, 需要手工配置的工作量较大, 此时可以考虑在核心交换机启用MPLS-VPN(PE)功能, 可以减少配置的工作量和复杂度。2.5 多数据中心互联设计2.5.1 业务需求数据中心全天候724不间断的运行是至关重要的,特别是对于通过互联网提供业务的用户。尽管数据中心内部采用冗余机制、安全防范工具以及先进的负载均衡技术,单个数据中心的运行方式仍然无法满足关键业务的724不间断运行。另外,数据中心满足不同地点的用户在访问业务应用时,可以实现相同的快速服务感受,也是非常重要的。单一数据中心已经无法满足业务的容灾备份和更大范围内的用户快速访问的需求,通过在不同物理位置构建多个数据中心的方式已经成为一个必然的选择.构建多数据中心,面临着网络架构如何搭建、多数据中心如何互联等问题;另外,还需要考虑实现多个数据中心间的协调工作,引导用户访问最优的站点,或者当某个站点出现灾难性故障后,引导用户通过访问容灾站点实现关键业务的访问。本方案主要考虑多数据中心最常见的容灾数据中心设计场景。2.5.2 多数据中心互联多数据中心主要有三种常见建设模式:第一种是主备双中心的灾备模式;第二种是两地三中心的灾备模式;第三种是分布式数据中心模式。其中主备双中心和两地三中心的灾备模式较为常见.容灾数据中心按照与主数据中心的物理距离的不同,一般可分为同城容灾数