云计算数据中心建设项目网络资源池.doc

云计算数据中心建设项目网络资源池 网络设计要点 云计算数据中心基础网络是云业务数据的传输通道，将数据的计算和数据存储有机的结合在一起。为保证云业务的高可用、易扩展、易管理，云计算数据中心网络架构设计关注重点如下： 高可用性 网络的高可用是业务高可用的基本保证，在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关键网络设备之间的物理链路采用双路冗余连接，按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到99.999%的电信级可靠性。 基础网络从核心层到接入层均部署网络虚拟化技术（如H3C IRF2），可以实现数据中心级交换机的虚拟化，不仅网络容量可以平滑扩展，更可以简化网络拓扑结构，大大提高整网的可靠性，使得整网的保护倒换时间从原来的5~10秒缩短到50ms以内，达到电信级的可靠性要求。 作为未来网络的核心，要求核心交换区设备具有高可靠性，优先选用采用交换引擎与路由引擎物理分离设计的设备，从而在硬件的体系结构上达到数据中心级的高可靠性。 大二层网络部署 早期的数据中心网络，大部分采用三层组网的方式，即核心、汇聚、接入。 原有的三层网络，优点是标准架构，组网结构清晰、易于扩展等，但是随着服务数量的增加，不同的服务器划分在不同的VLAN中，这时由于虚拟机迁移需要一个大二层环境，这种组网导致虚拟机迁移只能局限在某个二层域的VLAN中，限制了虚拟机的扩展范围。 云计算数据中心内服务器虚拟化已是一种趋势，而虚拟机的迁移则是一种必然，目前业内的几种虚拟化软件要做到热迁移时都是均需要二层网络的支撑，随着未来计算资源池的不断扩展，二层网络的范围也将同步扩大，甚至需要跨数据中心部署大二层网络。大规模部暑二层网络则带来一个必然的问题就是二层环路问题，而传统解决二层网络环路问题的STP协议无法满足云计算数据中心所要求的快收敛，同时会带来协议部署及运维管理的复杂度增加。 本次方案中通过部署虚拟化技术实现两台或多台同一层物理交换机虚拟成一台逻辑设备，通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部暑STP，同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一个，无需部署传统的VRRP协议。 在管理层面，通多虚一之后，管理的设备数量减少一半以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。如下图所示： 网络安全融合 云计算将所有资源进行虚拟化，从物理上存在多个用户访问同一个物理资源的问题，那么如何保证用户访问以及后台物理资源的安全隔离就成为了一个必须考虑的问题。另一方面由于网络变成了一个大的二层网络；以前的各个业务系统分而治之，各个业务系统都是在硬件方面进行了隔离，在每个系统之间做安全的防护可以保证安全的访问。所以在云计算环境下，所有的业务和用户的资源在物理上是融合的，这样就需要通过在网关层部署防火墙的设备，同时开启虚拟防火墙的功能，为每个业务进行安全的隔离和策略的部署。 在传统的数据中心网络安全部署时，往往是网络与安全各自为战，在网络边界或关键节点串接安全设备(如FW、IPS、LB等)。随着数据中心部署的安全设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。目前主流交换机均支持安全多业务插卡，插卡与交换机背板互连实现流量转发，共用交换机电源、风扇等基础部件。融合部署除了简化机房布线、节市机架空间、简化管理之外，还具备以下优点： 互连带宽高。安全插卡采用背板总线与交换机进行互连，背板总线带宽一般可超过40Gbps，相比传统的独立安全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本。 业务接口灵活。安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有安全插卡时，交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无需担心安全业务接口不够而带来网络安全部署的局限性。 性能平滑扩展。当一台交换机上的一块安全插卡的性能不够时，可以再插入一块或多块安全插卡实现性能的平滑叠加。而且所有安全插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。 网络资源池设计 云计算数据中心大多采用“扁平化”网络架构设计——“核心+接入”两层网络架构。这种扁平化的两层网络架构便于虚拟机间的二层互通，易于全网虚拟机的部署和迁移的实现。相比传统三层架构，扁平化的两层网络架构可以大大简化网络的运维与管理。基础网络平台架构如下图所示： 数据中心网络逻辑架构图 核心层作为网络的二、三层边界 网络安全设备部署在核心层 接入层采用二层部署，便于实现数据中心内部大二层组网 在接入层构建计算和存储资源池，满足资