《华为云数据中心解决方案技术方案.docx》由会员分享,可在线阅读,更多相关《华为云数据中心解决方案技术方案.docx(112页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、云数据中心解决方案技术方案HUAWEI华为技术有限公司2网络方案设计电子政务数据中心解决方案技术建议书2网络方案设计2.1 网络总体架构设计2.1.1 总体网络架构二层网络架构设计传统数据中心的网络架构采用核心层、汇聚层和接入层的三层网络架构,存在以下几个方面的问题: 网络的层次较多,导致数据处理效率低,增加了处理时延和线路时延,同时也增加 了部署成本和设备故障的几率; 由于汇聚层面设备一般存在处理性能和上行带宽的收敛比,在数据中心规模不断扩 大的情况下,汇聚设备会成为整个网络的瓶颈,导致出现拥塞、丢包等问题; 网络设备之间的STP、LAG、路由处理、安全等相互之间的交互信息,随着设备数 量的
2、增加,会成几何级数激增; 随着数据中心虚拟化的部署,新的数据中心流量模型中,大多数的流量是在内部服 务器之间进行通信,甚至能够达到整体流量的75%,这种部署架构会导致服务器之 间流量需要通过汇聚层甚至核心层设备转发,效率低下,且性能很差。为了解决上述存在的问题,数据中心核心网络建议采用核心层和接入层的的二层扁平化网络架构,二层扁 平化的网络架构可以实现: 简化网络管理,降低投资成本,降低维护管理成本; 简化网络拓扑,降低网络复杂度,提高网络的性能,支撑高性能的服务器流量; 提高网络利用率,支撑云计算技术的资源池动态调度; 提高网络可靠性。二层网络结构,可以结合虚拟集群和堆叠技术,解决链路环路问
3、 题,减少网络的故障收敛时间,从而提高网络可靠性; 绿色环保。简化二层网络还能降低电力和冷却需求,这对数据中心网络尤为重要。数据中心的二层网络结构示意图如图2-1所示:6容灾备份方案设计图6-14业务切换流程预判电子政务数据中心解决方案技术建议书系统切换进入容灾切换流程后,需要通过预先制定好的详细策略,分别在生产和灾备中心进行业务切换,如图6-15。 容灾的切换分为三个流程: 准备流程:进行业务健康检查,确定待切换的业务。 实施:按照各容灾产品特性进行容灾切换,一般恢复步骤是:恢复存储/恢复操作系统/恢复应用/恢复网络。 验证及调整:确认业务正常切换,并验证丢失的RPO及RTO,切换后续监控等
4、。电子政务数据中心解决方案技术建议书6容灾备份方案设计图6-15某子系统切换流程图应急指挥中心生产中心灾备中心通知灾备组进行切换前检去检查生产中心网络START OI-CK,炎在中心是否、. 可用 /通知相关灾缶姐切换开始是否在线验证及调整检查生产中心 服务器数据库检杳生产中心网络检杳生产 中心存储修复灾备中心.是否已修复问题检杳生产中心 服务器数据库停止业务2停止业务3停止生产中ECC数据库停止业务I停止生产中心相关业务存储切换至灾备中心/存储切换是否J 有效 /启动灾备中心ECC数据库L数据库是否可、用/启动灾备中心应用启动灾备中心应用外部接口启动灾符中心业务测试测武是否可用与调整用户数量
5、容灾演练包括流程预判、业务切换、业务回切及其他相关流程,详细设计过程请参见灾备服务设计。*子系统切换流程7绿色节能方案设计绿色数据中心管理高能 集装箱X电子政务数据中心解决方案技术建议书7绿色节能方案设计绿色数据中心是数据中心发展的必然,建设绿色数据中心必须保证IT设备、机房配套设备能源效率高,对 环境影响小,具备节能环保、高可靠、可用性和合理性特点。我们可以从建筑节能、机房配套设备和IT设备的能源效率等方面来实现。绿色数据中心主要部件如图7-1所示。图7-1绿色数据中心主要部件L2: II基丽设备(成熟)色网络 安全 计* 存储L1:机房建设(精确)团勾U涉商供电系统制冷系统 尊合布线 机柜
6、 内部芸修 集中as门禁 防火系统 控系姣7.1绿色机房基础架构绿色机房基础架构包括:土建系统、装修系统、供配电系统、制冷系统、智能监控系统、综合布线系统、 消防系统、防雷接地系统。“面向服务的下一代绿色数据中心”是华为公司全面集合自身优势资源,贴近客户需求,基于业务视角开 发的端到端的解决方案,以绿色节能为核心,综合运用机房热管理和IT虚拟化技术全面助力客户构建可运 营、可维护、可扩展的业务增值与创新中心,避免数据中心过度的规划。绿色机房产品全景如图7-2所示。7绿色节能方案设计图7-2绿色机房产品全景图小型数据中心SMALL DCMINI DCIDS 1000集装箱数据中心工程产品人一体化
7、集装箱ICDC: Integrated Container DCVI集群集装箱CCDC Cluster Container DCV3 微型数据中心VI中大型数据中心LARGE DC油机、高压配电、 水冷机组组IDS2000模块化数据中心_人_一人2000小机,5000中机,8000大机VI:高热,V3:大机风冷,V6:大机冷冻水,V8:小机风冷软件+硬件UPSPAC精密空调IFOS机房管理电子政务数据中心解决方案技术建议书机房的绿色是端到端的概念,方案分为以下主要方面: 前期咨询。包括方案咨询、项目规划与设计服务; 中期建设。包括机房建设、IT架构集成、业务开发和综合运营管理平台建设服务; 后
8、期运维。包括专业维保服务,长期战略性业务创新合作;具体选型设计从环保材料、节能设备、节能方案入手,如下: 高压直流机房和直流机柜供电方案,如2011年上海电信项目; 机房的冷热通道密封,多种送风方式、气流组织的合理设计,显著降低PUE; 模块化数据中心,灵活应对业务和IT的需要。模块化架构,实现数据中心标准化和 去工程化。标准化包括让建设简单,工期短,易复制;去工程化包括积木式拼装, 快速交付,即买即用;如:IDS1000集装箱机房解决方案;IDS2000模块化机房解决方案;IDS3000 一体化机柜解决方案; 与业界知名厂商深入合作,提供优秀的实施方案,提供全面的绿色节能技术和产品; 高效率
9、设计,多手段达成低碳绿色数据中心。整合多种技术实现最低的PUE (可复 制、规模应用的技术手段);电子政务数据中心解决方案技术建议书7绿色节能方案设计图7-3 PUE与绿色方案+其他辅助手段1 25+自然冷却装置/ 1.3通道封闭/盲板/节能照明/变频水泵等7.2绿色计算平台绿色计算平台涉及到CPU、电源、服务器、网络、存储、机架等一系列设备,华为绿色IT节能能力也体现 在硬件、软件和管理方面。华为绿色计算平台通过以下技术实现: 虚拟化技术。云计算和虚拟化技术,显著提高数据中心服务器利用率,从传统的15% 提高到80%,服务器的数量减少50%到75%,利用存储虚拟化技术,如LUN和存储 瘦分配
10、技术实现存储资源的整合,节约存储空间,减少磁盘、能耗,从而降低系统 的运维成本,提高系统的管理水平。 高密部署服务器。高密部署可以减小IT基础设施的占地需求。同时采用集中制冷, 提高PUE,降低制冷能耗,机房可以采用华为IDS1000集装箱机房解决方案,IDS2000 模块化机房解决方案。 CPU按需动态调频。服务器和存储采用CPU智能降频技术,根据负载压力自动调节 CPU能耗,降低能源消耗。 服务器动态功率封顶技术。控制数据中心服务器功耗在预定的配置内,防止无节制 增长,同时不影响服务器性能。 设备独有的低功耗设计。功耗仅为同类产品的1/4。 服务器、存储设备电源风扇智能调速内部关键部位设置
11、传感器,实时监控设备温度, 动态调节风扇精确散热,节省散热能耗。 路由器设备的超静音智能调速风扇,业界领先的u型散热通道设计。 交换机设备的智能调速风扇“左进后出”散热设计、自主研发ASIC芯片和智能监 控,空载能耗降低50%。电子政务数据中心解决方案技术建议书8解决方案优势和价值8解决方案优势和价值8.1自主研发的云计算整体解决方案经过多年技术积累和产品研发,华为已经形成了丰富的云计算产品线,覆盖了云计算解决方案中的主要核 心产品。主要核心产品线包括:1 .丰富的中高低端的服务器设备、存储设备、虚拟磁带库等计算存储产品;2 .丰富的核心网络设备、接入网路设备、无线网络设备等网络产品;3 .自
12、主研发的电信级云计算虚拟化平台;4 .自主研发的云计算平台综合监控管理系统5 .丰富的中高低端防火墙、入侵监测、DDoS、VPN等安全接入产品; 在核心产品的支撑的基础上,华为针对数据中心需求开发出针对性的云计算解决方案,各组件之间无缝集 成,确保了解决方案的稳定性、完备性和安全性。8.2先进的云计算方案架构设计华为云计算方案架构设计采用SOA的架构设计理念,从业务需求的角度设计匹配的IT基础架构,确保IT 架构的可扩展性、灵活性和可演进性。同时,实现业务设计和IT基础架构松耦合,确保IT架构对业务多 样性的支持和业务快速上线的支持。华为云计算方案架构设计的优势主要体现在以下几点:1 .电信级
13、的网络设计方案。云计算网络方案借鉴华为在电信行业网络设计的多年经验 和技术积累,采用先进的网络设计方法、技术、产品,确保数据中心网络架构满足 未来长期的业务发展需求2 .成熟的云计算设计方案。云计算平台方案设计采用华为自主研发的虚拟化产品,总 结华为丰富的云计算项目经验,经过华为IPD流程的严格开发,确保了云计算方案 的先进性和可靠性3 .先进的电信级管理方案。华为云计算管理方案设计覆盖网元管理、网络管理、云平 台计算资源管理,以及和业界先进产品合作的服务管理等多方位管理系统,满足大 规模数据中心运维管理的需求,形成了完整的数据中心管理体系8.3电信级数据中心安全保障方案设计华为安全解决方案是
14、华为在传统数据中心和云计算数据中心建设过程中的经验总结,体现了华为的竞争力。 华为安全解决方案体现以下特点1 .以华为丰富的电信级数据中心安全产品为依托;2 .对电信行业安全规范的深入理解;8解决方案优势和价值电子政务数据中心解决方案技术建议书3 .结合华为公司自身数据中心安全管控的丰富经验;4 .深入总结电信网络安全管理方面的项目经验;基于以上积累,华为提出了数据中心安全框架,并针对安全架构提出整体解决方案,覆盖了数据中心的完 整安全需求。8.4上线即用的华为云计算业务产品华为云计算解决方案不仅为政府部门数据中心打造先进的云计算计算资源平台,而且在云计算平台上为私 有云上提供了功能完善的云计
15、算服务产品。主要包括以下典型业务:1 .虚拟主机资源申请自助服务。虚拟主机资源申请自助服务给最终用户提供自助申请 管理界面,帮助最终用户快速、灵活、方便地申请所需资源;2 .虚拟桌面业务。虚拟桌面业务为客户提供完整、安全的办公桌面解决方案,简化桌 面管理;3 .云存储业务。云存储业务为最终用户提供集中方面的在线存储功能,使得用户在任 何地点,以任何方式都可以方便存取个人的相关数据;4 .联合通讯业务。联合通讯业务为客户提供即时通信、在线会议等典型服务,满足客 户基本办公写作需求;5 . BMS门户。BMS门户为数据中心运维管理人员提供基础的云服务门户功能,数据中 心管理人员只需要根据自身需求做
16、定制开发就可以快速对外提供云服务。8.5完整的数据中心集成解决方案华为提供端到端的数据中心集成解决方案,涵盖数据中心解决方案所需的:1 .全系列的X86服务器,包括机架服务器、刀片服务器、可扩展服务器,同时支持其 它厂商x86和Unix服务器的使用;2 .完整的存储设备产品线,涵盖高、中、低端IPSAN和FCSAN、NAS、虚拟存储、VTL、 云存储、光纤交换机、软硬件一体化的存储备份和恢复产品HDP3500E;3 .全系列网络管理产品,包括高、中、低端路由器、交换机,如93系列核心交换机、57系列接入交换机、NE系列路由器;4 .完整的安全管理产品,包括高、中、低端防火墙、IPS/IDS、D
17、DoS、堡垒机、远程访 问控制等;5 .功能完善的虚拟化、云操作系统,包括UVP、Galax等,并提供基于华为云的业务, 如虚拟主机出租、云存储、云桌面、基于云的增值服务、联合通讯、面向中小企业 的SaaS应用等;6 .功能完善的数据中心综合运维管理解决方案,涵盖数据中心内云及非云环境的监控 与管理以及运维管理流程;7 .功能齐全的数据中心机房设计、建造和运维管理的大量成功案例和经验。8.6 强大的集成服务交付能力华为在全球构建了面向数据中心的强大的集成服务交付团队,可以为用户进行基于华为软硬件产品和第三 方合作伙伴的数据中心端到端解决方案的交付。同时一线交付团队和后端的研发团队紧密合作,可以
18、针对 用户数据中心的特定需求进行定制开发,从而满足用户数据中心的个性化需求。这种集成交付模式经过全 球大量的电信和其它行业用户的验证。华为还具有全球化的服务支持团队,可以为用户数据中心建设过程中及其后续的运维管理进行本地化支持。 总部的服务支持团队可以为遍布全球的服务支持团队提供7x24小时的运维管理支持,从而及时响应用户电子政务数据中心解决方案技术建议书8解决方案优势和价值请求,解决用户问题,保证用户业务稳定可靠地运行。华为数据中心交付完成后,还可以提供各种健康检查的增值服务,确保用户数据中心稳定高效地运行。8.7 成熟的、多虚拟化平台、政府行业系统集成能力华为公司在构建完善行业云计算解决方
19、案的同时,也积极与政府部门展开合作,如:上海市政府、深圳市 府、北京经信委等,理解政府行业业务特点与业务发展趋势;提供跨多种虚拟化软件平台,我们是唯一一 家可以兼容国内现有版权的虚拟化软件(华为UVP、移动大云、VMWARE)的集成商和管理商,基于政府 业务的行业应用系统的集成解决方案,同时在中外运、福建云中有行业成功实践经验。8.8 强大的业务系统迁移能力华为公司依据自身研发团队虚拟化软件的定制化能力和整体架构能力,通过在中外运、江苏电信业务云化 等项目中的最佳实践,提供标准化的流程、工具与专业团队支持,积累迁移过程的评估、量度与实施能力, 降低业务云化改造和迁移的复杂性,帮助客户将原有业务
20、系统平滑迁移到云平台上,降低未来业务云化的 各种风险。8解决方案优势和价值电子政务数据中心解决方案技术建议书A缩略语缩略语英文全称中文名称AACLAccess Control List访问控制列表ADActive Directory活动目录ASAutonomous System自治系统BBGPBorder Gateway Protocol边界网关协议BBUBackup Battery Unit备份电池单元BMCBaseboard Management Controller主板管理控制器CCSSCluster Switch System集群交换系统CPUCentral Processing Un
21、it中央处理器CRMCustomer Relationship Management客户关系管理DDDoSDistribute Denial of Service分布式拒绝访问服务DHCPDynamic Host Configuration Protocol动态主机配置协议DMZDemilitarized Zone非军事区(隔离区)DNSDomain Name Server域名服务器DDRDouble Data Rate双倍速率同步DIMMDual in-Line Memory Module双列直插式存储模块E缩略语英文全称中文名称EBGPExternal Border Gateway Pro
22、tocol外部边界网关协议Eth-TRUNK-以太网链路聚合GGSLBGobal Server Load Balance全局负载均衡HHAHigh Availability局可用性HTTPHypertext Transfer Protocol超文本传输协议1IBGPInternal Border Gateway Protocol内部边界网关协议ICAIndependent Computing Architecture独立计算架构IDSIntrusion Detection System入侵检测系统IPInternet Protocol因特网协议IPSIntrusion Prevention S
23、ystem入侵预防系统IP SANIP Storage Area NetworkIP存储区域网络IDCInternet Data Center互联网数据中心IPMIIntelligent Platform Management Interface智能型平台管理接口iSCSIInternet Small Computer Systems InterfaceInternet小型计算机系统接口LLBLoad Balance负载均衡LAN switchLocal Area Network Switch局域网交换机LUNLogical Unit Number逻辑单元号MMPLSMultiprotocol
24、 Label Switching多协议标签交换NNAPNetwork Access Point网络接入点NTPNetwork Time Protocol网络时间协议电子政务数据中心解决方案技术建议书8解决方案优势和价值电子政务数据中心解决方案技术建议书2网络方案设计网络接入层图2-1二层网络架构设计图_ 10GE 一堆叠线缆功能分区模块化设计考虑到数据中心的高安全性、高扩展能力和可管理性的业务需求,数据中心网络架构的总体规划遵循区域 化、层次化和模块化的设计理念,实现网络层次更加清楚、功能更加明确,提高承载的业务系统的可扩展 性、安全性和可管理能力。 层次化设计。数据中心的核心网络采用核心层、
25、接入层的网络架构;层次化结构也 利于网络的扩展和维护。 功能分区和模块化设计。网络架构按照功能,分为外联区(包括Internet接入区和 远程接入区)、核心区及内网接入区;核心区包括网络服务区、等保三级业务区、 等保二级业务区、开发测试区及运行管理区等功能模块。数据中心的网络功能分区架构如图2-2所示。图2-2数据中心网络功能分区架构图网络服务区运行管理区FW/IPS网络/安全管理服务罂Internet国*电子 政务外网网闸接入层接入层(uvp I LL接入层政务内网Bia fbU布1 LJ等保三级政务业务区主数据中心总体网络架构数据中心整体网络拓扑如图2-3所示:包括外联区、核心区及内网接入
26、区等。缩略语英文全称中文名称0OSPFOpen Shortest Path First开放最短路径优先PPaaSPlatform as a Service平台即服务QQoSQuantity of Service服务质量SSDHSynchronous Digital Hierarchy同步数字体系SSLSecure Sockets Layer安全套接层STPSpanning Tree Protocol生成树协议TTCPTransfer Control Protocol传输控制协议VVLANVirtual Local Area Network虚拟局域网VPNVirtual Private Netw
27、ork虚拟专用网VRRPVirtual Route Redundancy Protocol虚拟路由冗余协议WWDMWavelength Division Multiplexing波分复用电子政务数据中心解决方案技术建议书8解决方案优势和价值8解决方案优势和价值关注公众号:数字蜡黄社. 获取最新会曷福利.全年 行业资讯.解决方案一同 打尽!转小编兼取亳新资料.鑫 请进行智慧端市行业社群. 与数万行业靖黄共同成长!电子政务数据中心解决方案技术建议书关注数字精英社”公号前送晶新朋决方案e.关注智登城市、城市社会 治理、数学乡村l数字政府等领 域的创新应用、创新思维、前沿 知识、曷新技术、解决方案、案
28、 例分析。与行业精英於筑数字中 国、数字经济发展新生态。2网络方案设计电子政务数据中心解决方案技术建议书图2-3总体网络架构图示意图容灾数 据中心Internet国家电子政务外网图 B 图争吗翳 OS J 都仞j)核心交换机汇锻交换机接入交换机 FC交换机 路由器负数均衡 防火堵松曜L服务器存储设需1OGE%路 U能带荆掷 GE%路 FC的路 广域网链路 雄总线搅 外联区 远程接入区提供给各级政府部门访问的数据中心区域。政府部门一般通过国家云外网采用 MPLS-VPN方式进行接入;另外,远程接入区也可用于容灾数据中心互联。 Internet接入区提供给互联网用户访问的数据中心区域。Intern
29、et接入区的DMZ区,部署外部服务 器群(如:外部DNS/FTP/Web服务器),用于互联网用户访问;为了提高互联网出 口的可靠性,出口路由器一般接入到2个不同的运营商。国内一般会选择中国电信 和中国联通两个运营商。 内网接入区用于接入内网的数据中心区域,外网数据中心与内网互联需要通过网闸实现物理安 全隔离。 核心区电子政务数据中心解决方案技术建议书2网络方案设计核心区对外部网络不可见,主要为政府各部门用户提供业务服务。该区域包括:网 络服务区、等保二级业务区、等保三级业务区、开发测试区及运行管理区。2.2 网络核心层设计2.2.1 组网设计数据中心的网络核心层采用的是核心层、接入层的扁平化二
30、层网络架构;扁平化网络设计降低了网络复杂 度,简化了网络拓扑,提高了转发性能。网络接入层图2-4二层网络架构设计图10GE 一堆叠线缆数据中心网络核心层的规划图如图2-4所示。 核心层:2台核心交换机采用CSS虚拟集群技术,下行链路选择10G链路捆绑技术 与接入交换机互联,增加带宽的同时也提高了网络链路的可靠性。 接入层:2台接入交换机采用堆叠技术,下行链路根据服务器的物理端口选择GE 或10GE链路,上行链路选择10G或10G链路捆绑技术,上联到2台核心交换机, 增加带宽的同时也提高了网络链路的可靠性。接入层设备可以根据业务需求,选择 机架式、刀片内置式等不同的接入交换机类型和不同规格的配置
31、。 核心交换机和接入交换机之间的四条跨框链路捆绑为一个Eth-Trunk组,网络架构 变成树型模式,不需要启用STP协议,从根本上解决环路和spanning-tree收敛问题。222可靠性设计网络核心层的可靠性设计从设备级冗余和链路级冗余两方面来实现:从设备冗余角度考虑,2台核心交换 机之间采用CSS虚拟集群技术,每组的2台接入交换机之间采用堆叠技术;从链路的冗余角度考虑,核心 交换机与接入交换机间的链路进行链路捆绑,大大提高网络高可靠性。接入交换机只运行L2层交换功能,核心交换机运行L3+L2层路由交换功能,这样就需要解决核心交换机和 接入交换机之间二层网络环路问题。本方案中采用“集群+堆叠
32、+链路捆绑”的二层网络无环络解决方案,如图2.5所示:电子政务数据中心解决方案技术建议书2网络方案设计接入层集群图2-5 集群+堆叠+链路捆绑”的二层网络无环路解决方案示意图10GE 堆叁线缆核心交换机采用CSS虚拟集群技术,接入交换机采用堆叠技术;核心交换机与接入交换机间的链路进行链 路捆绑,大大提高了网络的可靠性能。2.3 存储网络设计数据中心存储网络规划示意图如图2-6所示。图2-6存储网络规划示意图等保二级政务业务区Server Farm等保三级政务业务区行而Server Farm开发测试区M而Server Farm运行管理区M而Server Farm图FC交换机 以太网交换机例FC
33、GE 10GE服务器存储网络主要包括IP SAN存储网和FC SAN存储网。服务器存储网络与业务网络是物理隔离的,服务器的业务网卡和存储网卡是分别上联到业务网络和存储网络的对应TOR接入交换机上。由于虚拟化的需 求,极大的增进了服务器与存储的数据交换,对于IP SAN存储网络,至少要保证接入交换机采用10G的链 路接入。当采用IPSAN存储网络时:业务服务区服务器和IPSAN存储的存储网卡一般采用GE端口上联到TOR接入 以太网交换机,各TOR接入交换机通过10GE链路或10GE链路捆绑上联到IP SAN存储汇聚交换机。当采用FC SAN存储网络时:业务服务区服务器的HBA卡和FC SAN存储
34、的FC接口通过光纤链路上联到FC2网络方案设计电子政务数据中心解决方案技术建议书 交换机。2.4 网络功能区设计2.4.1 外联区设计(1) Internet接入区设计Internet接入区的网络架构示意图如图2-7所示。Internet公共值E8K务区 (UtZlx)网络核心层图2-7 Internet接入区网络架构图Internet接入区包括出口路由器、链路负载均衡LLB、防火墙、IPSec/SSL VPN接入网关、应用负载均衡、接 入交换机等网络设备。 出口路由器:部署2台设备实现冗余,并分别上联到2个不同的运营商;出口路由 器与运营商之间一般采用静态路由或BGP路由协议。 链路负载均衡
35、LLB:部署2台设备实现冗余,2台LLB设备串接在出口路由器与出口 防火墙之间上,每台LLB分别通过2条电路与出口路由器进行冗余连接;2台LLB 采用双机热备的方式进行部署,并与出口路由器运行静态路由协议。LLB可以按照 相应的策略,实现多互联网出口链路之间的智能选择,实现负载均衡和冗余备份。 防火墙:在网络层面,通过防火墙设备NAT技术隐藏内网拓扑,是Internet接入区 的第一道网络安全屏障。2台防火墙采用双机热备的方式进行部署,提高可靠性; 防火墙采用路由模式,并与LLB设备之间运行静态路由协议. IPSec/SSL VPN安全网关设备:采用1台IPSec/SSL VPN安全网关设备,
36、同时支持IPSec VPN和SSL VPN业务的接入;IPSec/SSL VPN安全网关设备旁挂在出口防火墙上,并 通过GE端口同时与2台防火墙进行冗余连接。电子政务数据中心解决方案技术建议书2网络方案设计公共信息服务DMZ区设计公共信息服务DMZ区部署在Internet接入区,用于部署提供政府公共服务的Web、DNS、FTP等应用;对 于提供公共信息服务的应用及数据库主机一般部署在核心内网的公共服务区。云数据中心的公共信息服务DMZ区的服务器数量较多,一般需要部署应用负载均衡设备和接入交换机设 备,实现公共信息服务器进行接入和应用的负载均衡。接入交换机部署2台,分别与2台出口防火墙进行 互联
37、,连接在出口防火墙的DMZ接口; 2台应用负载均衡设备采用旁挂的方式,分别通过2个GE端口与 接入交换机进行互联。外网出口链路负载均衡应用场景数据中心一般承载着关键的业务系统,互联网的对外出口非常重要,如果只通过1条链路与运营商进行互 联,意味着可能会出现的单点故障和脆弱的网络可靠性。为了提高数据中心的冗余性和可靠性,数据中心 的互联网出口一般需要与2个不同运营商进行互联,提高Internet网络出口的冗余性,并减轻网络出口的 传输瓶颈问题。当数据中心的互联网出口与2个不同的运营商互联时,可以部署链路负载均衡设备LLB,实现数据中心2 个互联网出口链路的智能选择,可以提高出口链路的利用率,实现
38、出口链路的负载均衡和冗余备份。方案说明LLB实时监控2条链路的负载状况及其健康状况来保证链路的高可用性。LLB可以根据链路状况和链路负载 情况进行链路选择;可以根据互联网用户的所在的运营商的位置静态选择相应的出口链路,比如中国联通 的互联网用户,会从与中国联通的互联链路进行互访;也可以根据用户的IP地址(本地DNS)进行路径就 近性判断,动态进行链路选择,指引用户从最快的、最好的、最近的路径访问。数据中心的LLB多出口链路选择可以从两个方面进行分析:一方面是互联网用户访问数据中心的inbound 流量;另一方面是数据中心访问互联网业务的outbound流量。以数据中心与中国联通和中国电信两个运
39、 营商互联为例对采用LLB设备进行方案说明。图2-8链路负载均衡设备的数据流示意图中国电煮中国联通LLB业务数据流如图2-8所示。电信用户访问数 据中心及数据中 心用户访问电信 用户通过中国电 信的网络出口FWj力联通用户访问数 据中心及数据中 心川户访问联通 川户通过中国联 通的网络出口数据中心内部出户网络核心层国际用户访问数据中心及 数据中心用户访问国际用 户进行动态就近性判断, 并根据结果进行中国电信 或中国联通的出口锌路自 动选择1) OUTBOUND流量设计2网络方案设计电子政务数据中心解决方案技术建议书Outbound流量,LLB提供智能的链路选择,国内用户的Outbound流量策
40、略: 网内用户访问属于联通网地址段的服务器,首选联通的出口链路; 网内用户访问属于电信地址段的服务器,首选电信的出口链路; 网内用户访问其它地址段的服务器,由负载均衡器基于动态就近性判断结果,自动 的选择联通或电信链路。2) INBOUND流量设计Inbound访问的智能性,一般通过LLB提供的智能DNS解析功能实现。建议采用静态负载和动态负载相结 合的方式:当用户是来自国内的用户,根据用户的IP地址所属的运营商,采用静态的算法给用户端一条最 快的链路;对于来自国外的用户,将采用动态算法,根据路径的传输时间等指标,计算出来一个最佳路径 并提供给用户。国内用户的Inbound流量: 属于联通地址
41、段的用户访问服务器,首选联通的出口链路; 属于电信地址段的用户访问服务器,首选电信的出口链路; 其他地址段的用户访问服务器,由负载均衡器基于动态就近性判断结果,自动的选 择链路。IPSec/SSL接入设计应用场景数据中心的移动用户、远程办公用户等,需要通过互联网对数据中心进行远程访问,以实现远程办公需要; 某些分支机构,由于资金或网络条件的限制,无法通过专线或MPLS-VPN的方式接入到数据中心,需要通 过互联网的方式接入到数据中心。为了保证安全性,对于通过互联网接入数据中心的移动用户、远程办公用户、分支机构,可以考虑使用 IPSec/SSL VPN等技术进行接入。IPSec VPN接入方式比
42、较适合Site-to-Site的方式接入,适用场景是分支机 构通过Internet连接数据中心。SSL VPN接入方式比较适合Client-to-Site的方式,适用场景是远程办公用户、 移动用户通过Internet连接数据中心。方案说明对于数据中心远程VPN接入需求,可以考虑部署1台统一的IPSec/SSL VPN网关设备,同时提供IPSec VPN 和SSL VPN两种接入功能。IPSecVPN功能用于Site-to-Site方式接入,支持分支机构通过互联网进行远程接 入;SSLVPN功能用于Client.to-Site方式接入,支持移动用户、远程办公人员接入。IPSec/SSL VPN的
43、用户接入示意图如图2-9所示。2网络方案设计政府分支机构IPsec VPN接入访问数据流 (IPsec)政府移动用户Internet出口路由器防火墙防火墙核心交换机接入交换机IPsec/SSL VPN 安全网关问数据流; (SSL)政府远程办公用户SSL VP、接入W3Server Farm电子政务数据中心解决方案技术建议书图2-9 IPSec/SSLVPN接入访问业务系统的数据流示意图对于采用SSL VPN接入的移动用户,移动用户的客户端与数据中心的VPN网关设备通过安全认证,在互联网上形成一个安全的SSL加密隧道,VPN网关为客户端分配相应的内部IP地址,实现客户端对数据中心的 互访。对于
44、采用IPSec接入的分支机构,其VPN网关设备与数据中心的VPN网关设备通过安全认证,在互 联网上形成一个安全的IPSec加密通道,实现整个分支机构或合作伙伴的办公网络与数据中心之间的业务 互访。数据中心的出口防火墙,可以利用虚拟防火墙技术,为每个VPN业务分配一个虚拟防火墙,实现该业务与 其它内部业务的安全隔离。(2)远程接入区设计远程接入区网络架构示意图如图2-10所示。电子政务数据中心解决方案技术建议书2网络方案设计图2-10远程接入区网络架构图远程接入区黑3sg署网络核心层远程接入区用来接入政府的各个部门,各个部门一般是采用MPLS-VPN的方式通过国家云外网进行接入;远程接入区还用于接入容灾数据中心,一般是通过专线或MPLS-VPN网络进行接入。该区域包括出口路由器、防火墙等设备。 出口路由器:远程接入区部署2台出口路由器,实现设备冗余,提高可靠性;出口 路由器与分支机构、容灾中心互联,一般采用静态路由。 防火墙设备:对于分支机构、灾备中心与数据中心之间的业务互访进行安全控制;2台防火墙设备采用双机热备的方式进行部署,工作在路由模式,并与出口路由器 运行静态路由协议;通过虚拟防火墙技术,可以实现VPN网络的隔离功能