數據中心建設方案
《數據中心建設方案》由會員分享,可在線閱讀,更多相關《數據中心建設方案(96頁珍藏版)》請在裝配圖網上搜索。
數據中心 網絡建設方案 目 錄 第一章 數據中心現(xiàn)狀分析 4 第二章 數據中心網絡技術分析 4 2.1 路由與交換 4 2.2 EOR 與TOR 5 2.3網絡虛擬化 5 2.3.1 網絡多虛一技術 5 2.3.2網絡一虛多技術 7 2.4 VM互訪技術(VEPA) 7 2.5 虛擬機遷移網絡技術 11 第三章 方案設計 13 3.1網絡總體規(guī)劃 13 3.2省級數據中心網絡設計 15 3.3市級數據中心網絡設計 16 3.4區(qū)縣級數據中心網絡設計 17 3.5省、市、區(qū)/縣數據中心互聯(lián)設計 18 3.5.1省、市數據中心互聯(lián) 18 3.5.2市、區(qū)/縣數據中心互聯(lián) 19 3.5.3數據中心安全解決方案 19 第四章 方案的新技術特點 21 4.1量身定制的數據中心網絡平臺 21 4.1.1最先進的萬兆以太網技術 21 4.1.2硬件全線速處理技術 22 4.1.3 Extreme Direct Attach技術 24 4.1.5 幫助虛機無縫遷移的XNV技術 29 4.1.5環(huán)保節(jié)能的網絡建設 33 4.2 最穩(wěn)定可靠的網絡平臺 34 4.2.1 獨有的模塊化操作系統(tǒng)設計 34 4.2.2超強的QOS服務質量保證 35 4.3先進的網絡安全設計 37 4.3.1 設備安全特性 38 4.3.2用戶的安全接入 39 4.3.3智能化的安全防御措施 40 4.3.4常用安全策略建議 41 附錄 方案產品資料 45 1. 核心交換機BD 8800 45 2. SummitX670系列產品 49 3. 三層千兆交換機Summit X460 61 4. 核心路由器MP7500 69 5. 匯聚路由器MP7200 75 6. 接入路由器MP3840 81 7. 接入路由器MP2824 85 8. MSG4000綜合安全網關 90 第一章 數據中心現(xiàn)狀分析 云計算數據中心相比較傳統(tǒng)數據中心對網絡的要求有以下變化: 1、Server-Server流量成為主流,而且要求二層流量為主。 2、站點內部物理服務器和虛擬機數量增大,導致二層拓撲變大。 3、擴容、災備和VM遷移要求數據中心多站點間大二層互通。 4、數據中心多站點的選路問題受大二層互通影響更加復雜。 5、iSCSI/FCoE是數據中心以網絡為核心演進的需求,也是不可或缺的一部分。 第二章 數據中心網絡技術分析 2.1 路由與交換 數據中心網絡方面,關注的重點是數據中心內部服務器前后端網絡,對于廣泛意義上的數據中心,如園區(qū)網、廣域網和接入網等內容,不做過多擴散。 數據中心的網絡以交換以太網為主,只有傳統(tǒng)意義的匯聚層往上才是IP的天下。數據中心的以太網絡會逐步擴大,IP轉發(fā)的層次也會被越推越高。 數據中心網絡從設計伊始,主要著眼點就是轉發(fā)性能,因此基于CPU/NP轉發(fā)的路由器自然會被基于ASIC轉發(fā)的三層交換機所淘汰。傳統(tǒng)的Ethernet交換技術中,只有MAC一張表要維護,地址學習靠廣播,沒有什么太復雜的網絡變化需要關注,所以速率可以很快。而在IP路由轉發(fā)時,路由表、FIB表、ARP表一個都不能少,效率自然也低了很多。 云計算數據中心對轉發(fā)帶寬的需求更是永無止境,因此會以部署核心-接入二層網絡結構為主。層次越多,故障點越多、延遲越高、轉發(fā)瓶頸也會越多。目前在一些ISP(InternetService Provider)的二層結構大型數據中心里,由于傳統(tǒng)的STP需要阻塞鏈路浪費帶寬,而新的二層多路徑L2MP技術還不夠成熟,因此會采用全三層IP轉發(fā)來暫時作為過渡技術,如接入層與核心層之間跑OSPF動態(tài)路由協(xié)議的方式。這樣做的缺點顯而易見,組網復雜,路由計算繁多,以后勢必會被Ethernet L2MP技術所取代。 新的二層多路徑技術,不管是TRILL還是SPB都引入了二層ISIS控制平面協(xié)議來作為轉發(fā)路徑計算依據,這樣雖然可以避免當前以太網單路徑轉發(fā)和廣播環(huán)路的問題,但畢竟是增加了控制平面拓撲選路計算的工作,能否使其依然如以往Ethernet般高效還有待觀察。MPLS就是一個的前車之鑒,本想著幫IP提高轉發(fā)效率,沒想到卻在VPN路由隔離方面獲得真正應用。 2.2 EOR 與TOR 數據中心網絡設備就是交換機,而交換機就分為機箱式與機架式兩種。當前云計算以大量X86架構服務器替代小型機和大型機,導致單獨機架Rack上的服務器數量增多。受工程布線的困擾,在大型數據中心內EOR(End Of Row)結構已經逐步被TOR(Top Of Rack)結構所取代。機架式交換機作為數據中心服務器第一接入設備的地位變得愈發(fā)不可動搖。而為了確保大量機架式設備的接入,匯聚和核心層次的設備首要解決的問題就是高密度接口數量,由此機箱式交換機也就占據了數據中心轉發(fā)核心的位置。 綜合來說,一般情況下數據中心以大型機箱式設備為核心,機架式設備為各個機柜的接入 2.3網絡虛擬化 云計算就是計算虛擬化,而存儲虛擬化已經在SAN上實現(xiàn)得很好了,剩下網絡虛擬化了。云計算環(huán)境中,所有的服務資源都成為了一個對外的虛擬資源,那么網絡不管是從路徑提供還是管理維護的角度來說,都得跟著把一堆的機框盒子進行多虛一統(tǒng)一規(guī)劃。而云計算一虛多的時候,物理服務器都變成了很多的VM,網絡層面則需要對一虛多對通路建立和管理更精細化。 2.3.1 網絡多虛一技術 網絡多虛一技術。最早的網絡多虛一技術代表是交換機集群Cluster技術,多以盒式小交換機為主,較為古老,當前數據中心里面已經很少見了。而新的技術則主要分為兩個方向,控制平面虛擬化與數據平面虛擬化。 控制平面虛擬化 顧名思義,控制平面虛擬化是將所有設備的控制平面合而為一,只有一個主體去處理整個虛擬交換機的協(xié)議處理,表項同步等工作。從結構上來說,控制平面虛擬化又可以分為縱向與橫向虛擬化兩種方向。 縱向虛擬化指不同層次設備之間通過虛擬化合多為一,相當于將下游交換機設備作為上游設備的接口擴展而存在,虛擬化后的交換機控制平面和轉發(fā)平面都在上游設備上,下游設備只有一些簡單的同步處理特性,報文轉發(fā)也都需要上送到上游設備進行??梢岳斫鉃榧惺睫D發(fā)的虛擬交換機橫向虛擬化多是將同一層次上的同類型交換機設備虛擬合一,,控制平面工作如縱向一般,都由一個主體去完成,但轉發(fā)平面上所有的機框和盒子都可以對流量進行本地轉發(fā)和處理,是典型分布式轉發(fā)結構的虛擬交換機。 控制平面虛擬化從一定意義上來說是真正的虛擬交換機,能夠同時解決統(tǒng)一管理與接口擴展的需求。但是有一個很嚴重的問題制約了其技術的發(fā)展。服務器多虛一技術目前無法做到所有資源的靈活虛擬調配,而只能基于主機級別當多機運行時,協(xié)調者的角色(等同于框式交換機的主控板控制平面)對同一應用來說,只能主備,無法做到負載均衡。網絡設備虛擬化也同樣如此,以框式設備舉例,不管以后能夠支持多少臺設備虛擬合一,只要不能解決上述問題,從控制平面處理整個虛擬交換機運行的物理控制節(jié)點主控板都只能有一塊為主,其他都是備份角色(類似于服務器多虛一中的HA Cluster結構)??偠灾摂M交換機支持的物理節(jié)點規(guī)模永遠會受限于此控制節(jié)點的處理能力。 數據平面虛擬化 數據平面的虛擬化,目前主要是TRILL和SPB,他們都是用L2 ISIS作為控制協(xié)議在所有設備上進行拓撲路徑計算,轉發(fā)的時候會對原始報文進行外層封裝,以不同的目的Tag在TRILL/SPB區(qū)域內部進行轉發(fā)。對外界來說,可以認為TRILL/SPB區(qū)域網絡就是一個大的虛擬交換機,Ethernet報文從入口進去后,完整的從出口吐出來,內部的轉發(fā)過程對外是不可見且無意義的。 這種數據平面虛擬化多合一已經是廣泛意義上的多虛一了,此方式在二層Ethernet轉發(fā)時可以有效的擴展規(guī)模范圍,作為網絡節(jié)點的N虛一來說,控制平面虛擬化目前N還在個位到十位數上晃悠,數據平面虛擬化的N已經可以輕松達到百位的范疇。但其缺點也很明顯,引入了控制協(xié)議報文處理,增加了網絡的復雜度,同時由于轉發(fā)時對數據報文多了外層頭的封包解包動作,降低了Ethernet 的轉發(fā)效率。 從數據中心當前發(fā)展來看,規(guī)模擴充是首位的,帶寬增長也是不可動搖的,因此在網絡多虛一方面,控制平面多虛一的各種技術除非能夠突破控制層多機協(xié)調工作的技術枷鎖,否則只有在中小型數據中心里面應用,后期真正的大型云計算數據中心勢必是屬于TRILL/SPB此類數據平面多虛一技術的天地。 2.3.2網絡一虛多技術 網絡一虛多技術,已經根源久遠,從Ethernet的VLAN到IP的VPN都是已經成熟技術,F(xiàn)C里面則有對應的VSAN技術。此類技術特點就是給轉發(fā)報文里面多插入一個Tag,供不同設備統(tǒng)一進行識別,然后對報文進行分類轉發(fā)。代表如只能手工配置的VLAN ID和可以自協(xié)商的MPLS Label。傳統(tǒng)技術都是基于轉發(fā)層面的,雖然在管理上也可以根據VPN進行區(qū)分,但是CPU/轉發(fā)芯片/內存這些基礎部件都是只能共享的。 目前最新的一虛多技術是類似Extreme Networks在交換機系統(tǒng)中實現(xiàn)的Virtual Router,和VM一樣可以建立多個虛擬交換機并將物理資源獨立分配,目前的實現(xiàn)是最多可建立64個VR,其中有一個用做管理。 2.4 VM互訪技術(VEPA) 隨著虛擬化技術的成熟和x86 CPU性能的發(fā)展,越來越多的數據中心開始向虛擬化轉型。虛擬化架構能夠在以下幾方面對傳統(tǒng)數據中心進行優(yōu)化: 提高物理服務器CPU利用率; 提高數據中心能耗效率; 提高數據中心高可用性; 加快業(yè)務的部署速度 正是由于這些不可替代的優(yōu)點,虛擬化技術正成為數據中心未來發(fā)展的方向。然而一個問題的解決,往往伴隨著另一些問題的誕生,數據網絡便是其中之一。隨著越來越多的服務器被改造成虛擬化平臺,數據中心內部的物理網口越來越少,以往十臺數據庫系統(tǒng)就需要十個以太網口,而現(xiàn)在,這十個系統(tǒng)可能是駐留在一臺物理服務器內的十個虛擬機,共享一條上聯(lián)網線。 這種模式顯然是不合適的,多個虛擬機收發(fā)的數據全部擠在一個出口上,單個操作系統(tǒng)和網絡端口之間不再是一一對應的關系,從網管人員的角度來說,原來針對端口的策略都無法部署,增加了管理的復雜程度。 其次,目前的主流虛擬平臺上,都沒有獨立網管界面,一旦出現(xiàn)問題網管人員與服務器維護人員又要陷入無止盡的扯皮中。當初虛擬化技術推行的一大障礙就是責任界定不清晰,現(xiàn)在這個問題再次阻礙了虛擬化的進一步普及。 接入層的概念不再僅僅針對物理端口,而是延伸到服務器內部,為不同虛擬機之間的流量交換提供服務,將虛擬機同網絡端口重新關聯(lián)起來。 做為X86平臺虛擬化的領導廠商,VMWare早已經在其vsphere平臺內置了虛擬交換機vswitch,甚至更進一步,實現(xiàn)了分布式虛擬交互機VDS(vnetwork distributed switch),為一個數據中心內提供一個統(tǒng)一的網絡接入平臺,當虛擬機發(fā)生vmotion時,所有端口上的策略都將隨著虛擬機移動。 虛擬以太網端口匯聚器(VEPA)是最新IEEE 802.1Qbg標準化工作的一個組成部分,其設計目標是降低與高度虛擬化部署有關的復雜性。如果我們研究一下使用虛擬交換機的傳統(tǒng)方法就會發(fā)現(xiàn),它與VEPA方法存在很大的不同,VEPA使用戶可以深入了解虛擬化及聯(lián)網中的各項部署挑戰(zhàn)和需要考慮的因素。 當您的物理主機上的監(jiān)視程序上有多臺虛擬機(每臺虛擬機都包含一套操作系統(tǒng)和多種應用)時,這些虛擬機在相互通信和與外部世界通信時都要使用虛擬交換機。事實上,虛擬交換機是一種第2層交換機,通常以軟件的形式在監(jiān)視程序內運行。每種監(jiān)視程序通常都有一個內建的虛擬交換機。不同的監(jiān)視程序所含的虛擬交換機在能力方面也是千差萬別的。 當虛擬交換機從聯(lián)網領域轉移到服務器領域時,就有必要針對虛擬環(huán)境對傳統(tǒng)的基于網絡的工具和解決方案進行重新測試、重新定性和重新部署。從某些方面來說,這種變化會對虛擬化的快速擴展和普及造成阻礙。 例如,傳統(tǒng)的網絡和服務器運營團隊是截然分開的,每個團隊都有自己的流程、工具和控制范圍。由于虛擬交換機的原因,聯(lián)網進入了服務器的范疇,因此像供應虛擬機這樣的簡單任務也需要這些團隊之間開展額外的協(xié)調工作,從而確保虛擬交換機的配置與物理網絡配置保持一致。 由于缺乏網絡中虛擬機之間流量的可視性,因此涉及到虛擬機之間通信的故障查找和監(jiān)視也變成了一項極具挑戰(zhàn)性的工作。而且隨著虛擬機數量的增長,單個服務器中的虛擬機目前已經達到8至12臺,并且會在不久的將來達到32至64臺,因此,保護虛擬機彼此不受干擾,以及不受外界威脅的侵害都變成了一項需要認真考慮的問題。 從防火墻到IDS/IPS,基于網絡的傳統(tǒng)設備和工具都需要針對這些高度虛擬化的環(huán)境重新開發(fā)、重新認證和重新部署,從而確保虛擬機之間通過虛擬交換機的通信能夠滿足法規(guī)一致性和安全方面的要求。 由于在虛擬交換機方面缺乏標準,因此會增加涉及不同監(jiān)視技術的培訓、互用性和管理開銷,進入使這些挑戰(zhàn)變得更加復雜。事實上,物理服務器正在變成一種全面的網絡環(huán)境,擁有自身的互用性、部署、認證和測試要求。 有趣的是,這種趨勢與虛擬化最基本的優(yōu)勢之一是背道而馳的,即虛擬化能夠將服務器中過剩的容量以更高的效率來運行各類應用。目前,這種“服務器中的網絡”很有可能演變成這些過剩容量的消費方,將CPU和內存資源吞噬殆盡。 VEPA的方法 為應用這些挑戰(zhàn),各方已經提出了多種不同的解決方案,其中就包括VEPA。VEPA是一種虛擬交換機替代產品;它不僅進入了標準化進程,而且成為業(yè)界眾多廠商的一致選擇。 事實上,VEPA會將服務器上虛擬機生成的所有流量轉移到外部的網絡交換機上。外部網絡交換機接下來會為同一臺物理服務器上的虛擬機和基礎設施的其它部分提供連接。 實現(xiàn)這一功能的方法是將一種新型轉發(fā)模式融入物理交換機中,使流量能夠從來時的端口“原路返回”,從而簡化同一服務器上虛擬機之間的通信。 “原路返回”模式(或稱“反射中繼”)可以在需要時將包的單一副本反向發(fā)送至同一臺服務器上的目的地或目標虛擬機。對于廣播或組播流量,VEPA能夠以本地方式向服務器上的虛擬機提供包復制能力。 傳統(tǒng)上,多數網絡交換機都不支持這種“原路返回”模式行為,因為它可能會在非虛擬世界中造成環(huán)路和廣播風暴。然而,許多網絡廠商都開始支持這種行為,目的就是解決虛擬機交換的問題,而且使用簡單的軟件或固件升級即可實現(xiàn)。 IEEE的802.1Qbg工作組還努力將這種行為變成了標準。VEPA能夠以軟件的方式,作為監(jiān)視程序中的瘦層在服務器中實施,也可以作為網卡中的硬件來實施,在后一種情況下還可以與SR-IOV等PCIe I/O虛擬化技術結合使用。其中一個典型的例子就是Linux KVM監(jiān)視程序中提供的基于軟件的VEPA實施。 事實上,VEPA將交換功能移出了服務器,并且將其放回物理網絡中,而且讓外部網絡交換機能夠看到所有的虛擬機流量。通過將虛擬機交換移回物理網絡,基于VEPA的方法使現(xiàn)有的網絡工具和流程可以在虛擬化和非虛擬化環(huán)境以及監(jiān)視程序技術中以相同的方式自由使用。 防火墻和IDS/IPS等基于網絡的設備,以及訪問控制列表(ACL)、服務質量(QoS)和端口監(jiān)視等成熟的網絡交換機功能都可以直接用于虛擬機流量和虛擬機之間的交換,因此減少和消除了對虛擬網絡設備重新進行昂貴的質量判定、測試和部署的需求。 此外,VEPA將網絡管理控制層重新交給了網絡管理員,為所有與虛擬機相關聯(lián)網功能的供應、監(jiān)視和故障查找提供了一個單一控制點。 將網絡功能從服務器卸載至網絡交換機能夠帶來諸多的優(yōu)勢,例如釋放服務器資源并將其用于更多的應用,同時還可在虛擬和非虛擬服務器之間提供線速交換;從1Gbps至10Gbps,甚至可以達到40Gbps和更高的100Gbps。 因此,基于VEPA的方法有助于擴大虛擬化部署,降低復雜性和成本,并且加快虛擬化的普及。 盡管基于VEPA的方法能夠帶來許多好處,但在某些環(huán)境下,虛擬機間流量的交換最好還是留在服務器內部。例如,在有些環(huán)境下物理服務器要承擔虛擬機的巨大負荷,而且這些虛擬機之間的通信非常頻繁,因此為了將延遲降至最低程度,最好的方法是將虛擬機之間的流量留在服務器內部。 在此類場景中,可能的方法之一是繞過基于監(jiān)視程序的軟件虛擬交換機,利用新型網卡提供的交換硬件能力,即SR-IOV等基于入向I/O虛擬化的能力。同樣,在使用這種方法時,也需要權衡考慮完全使用“服務器中的網絡”模型時的安全和成本問題。 隨著服務器虛擬化的廣泛普及,服務器內和服務器間虛擬機交換流量的復雜性都在不斷提高。基于VEPA的虛擬機間流量交換方法能夠為基于虛擬交換機的傳統(tǒng)方法提供一種非常有趣且極具吸引力的替代方案。為了向網絡和服務器基礎設施提供支持VEPA的能力,此類技術的標準化工作正在緊鑼密鼓地進行當中。 2.5 虛擬機遷移網絡技術 虛擬服務器能夠大幅度提升服務器計算資源利用率,但是仍然只發(fā)揮了虛擬化優(yōu)勢的很小一部分。虛擬化向網絡的延伸使虛擬機能夠在應用程序運行的同時實現(xiàn)在物理服務器之間的漂移,并按需提供容量,無需增加昂貴且未盡其用的平臺。更重要的是,動態(tài)虛擬機的創(chuàng)建和移動讓管理員能夠迅速響應新的請求,從而提高用戶的生產效率和客戶滿意度。但是目前傳統(tǒng)的網絡設備并不能滿足這種動態(tài)遷移的需求,這成為虛擬化進程中的瓶頸,而解決這一瓶頸就意味著虛擬化時代的真正到來。 將虛擬化優(yōu)勢延伸至網絡,如何動態(tài)并經濟有效地分配資源,來滿足高峰和低谷時的業(yè)務需求顯得至關重要。通常在一個工作日中,對計算資源的需求會從最小量開始增長。虛擬機可以立刻遷移至其它新啟動的服務器上去,以滿足需求。在工作日結束時,對計算資源的需求會降低,那時虛擬機可以遷回原來的服務器,并關閉不需要的服務器資源,以簡化管理并降低供電成本。在這個過程中,網絡的虛擬化至關重要,網絡可以使得虛擬機的動態(tài)遷移成為可能,還可以保證在任何情況下對于應用的保護,甚至可以使得用戶感覺不到虛擬資源的擴展或縮小。 日常的虛擬機遷移只是虛擬機漂移技術的一種實踐應用。當服務器離線進行維護或發(fā)生故障時,虛擬機也可進行漂移以支持業(yè)務的連續(xù)性。為了利用這些優(yōu)勢,在硬件平臺間漂移虛擬機相關的網絡配置雖并不復雜,但卻至關重要且非常耗時。此外,當虛擬機在數據中心內漂移時,與每臺虛擬機相關的網絡層策略必須隨之漂移。這些策略控制著安全、服務質量(QoS)等因素,并因用戶和應用的具體情況而異。因此,為每個業(yè)務應用維持相適應的網絡策略對于業(yè)務運營而言至關重要。 虛擬機從一臺物理服務器漂移至另一臺之前,與之相關的網絡端口配置以及安全策略必須針對目標服務器進行正確的設置,以滿足安全需求。如果數據中心存在大量的服務器和虛擬機遷移,那么手動配置會消耗大量的時間和資源。 利用網絡虛擬化的解決方案可使虛擬機遷移相關的網絡管理任務實現(xiàn)自動化,且無需大量的管理人員。 針對虛擬機漂移的自動化網絡管理 實現(xiàn)虛擬機漂移的網絡自動化最關鍵的,就是構建一個包含智能軟件的網絡交換機,來對單個虛擬機進行配置。傳統(tǒng)的網絡交換機是通過一個物理端口來與它連接的服務器進行通信的。而包含智能軟件的交換機,則能夠實現(xiàn)對單個虛擬機的感知,以及對每個虛擬機進行網絡配置,從而將單個虛擬機屬性擴展到整個網絡。當虛擬機在整個網絡遷移時,交換機能夠追蹤這種遷移,并確保網絡設置與虛擬機一起實現(xiàn)遷移。 虛擬機感知的一個重要方面是能夠與多種架構相兼容。被稱為虛擬機監(jiān)控器(VMM)是虛擬化軟件的重要組成之一,它能夠使多種操作系統(tǒng)在單一主機平臺中運行。目前可支持Citrix、微軟、VMwareXen,Oracle等虛擬化平臺。 由于數據中心通常運行不同的虛擬化架構,因此,具備兼容多個虛擬化架構的能力至關重要。研究和開發(fā)部門或許更青睞某一款架構,因為它使用戶能夠更好地管理服務器;而數據管理員為了其他用戶也許會統(tǒng)一使用另一款來自指定廠商的虛擬化架構?;蛘?,數據中心管理員因為價格或其他因素也許會選擇逐步遷移至其它廠商的架構,從而創(chuàng)建一個臨時的混合型環(huán)境。而網絡是承載這些架構的基礎,網絡的虛擬化同樣也需要對于混合環(huán)境提供很好的兼容性。 基于交換機的虛擬化產品也包含的有價值的特性: ? 跟蹤虛擬機的遷移,無需變更以太網數據包,最大限度提高資源利用率。 ? 內置于交換機的智能軟件可以緩解網絡管理員的負擔? 該架構能夠方便用戶在虛擬層中配置網絡設定,從而提高生產效率。 ? 同時支持多種虛擬化架構,最大限度提高靈活性。 ?管理平臺界面簡化管理。 針對虛擬化網絡的解決方案已成為現(xiàn)實。Extreme Networks公司的XNV技術,能夠搜索虛擬機并使性能和安全設置與虛擬端口(而非物理端口)相聯(lián)系。使用管理員擁有粒度標準來監(jiān)測每臺虛擬機及其相關的虛擬端口。XNV還可監(jiān)測虛擬機的創(chuàng)建和遷移,并確保網絡設置隨著虛擬機遷移。這些功能都有助于降低由網絡配置錯誤引起的應用宕機風險,以及將敏感應用暴露給未受權用戶的安全風險。 綜上所述,數據中心的虛擬化,即“網絡感知”和開放性,是新的數據中心的必備能力,只有這樣,用戶才能優(yōu)化資源利用率,降低手動維護安全策略所造成的人工錯誤,因為虛擬化提高了數據中心的可用性,并降低了總體擁有成本。 第三章 方案設計 3.1網絡總體規(guī)劃 數據中心網絡的建設,需要考慮到以下的一些因素:系統(tǒng)的先進程度、系統(tǒng)的穩(wěn)定性、可擴展性、系統(tǒng)的維護成本、應用系統(tǒng)和網絡系統(tǒng)的配合度、與外界互連網絡的連通、建設成本的可接受程度。 網絡整體設計采用國際通行的TCP/IP協(xié)議,并達到以下目標: 1)系統(tǒng)可靠性和穩(wěn)定性 作為高性能園區(qū)網絡,系統(tǒng)的高可靠性和穩(wěn)定性是網絡應用環(huán)境正常運行的首要條件。在保證系統(tǒng)可靠性的基礎上,還要進一步提高系統(tǒng)的可用性。我們可以從以下幾個方面來提供保證。 網絡設備、主機系統(tǒng)具有很高的平均無故障時間,并且在業(yè)界有廣泛的用戶基礎; 關鍵網絡設備冗余工作,其關鍵部件可實現(xiàn)在線更換(熱拔插),故障的恢復時間在秒級間隔內完成; 網絡在設備、拓撲以及線路等方面均應具有較高的可靠性,以保證每周7*24小時,每年365*24小時的正常工作。 2)開放性和標準化 為了保證在網絡時保證不同設備的互通性,所以網絡系統(tǒng)在設計時必須采用開放技術、支持國際標準協(xié)議,具有良好的互連互通性,保證支持同一廠家的不同系列的產品以及與不同廠商的不同網絡設備無縫連接和互操作的能力。 3)具有高處理能力、可擴展性 現(xiàn)支持各種高速網絡(快速以太網、千兆以太網、萬兆以太網等技術),提高對數據包的轉發(fā)能力和速度,提供足夠的網絡帶寬。支持各種協(xié)議并存,可靈活地構成不同系統(tǒng),并可方便地從拓撲的角度和設備的角度擴展,方便升級以滿足將來業(yè)務增長的需要。 在網絡設計時,為了適應用戶快速增長的需要,首先要滿足現(xiàn)有規(guī)模網絡用戶和應用的需求,同時考慮未來業(yè)務發(fā)展、規(guī)模的擴大,應該設計關鍵網絡設備具備擴展能力以及網絡實施新應用的能力。 靈活擴充性:靈活的端口擴充能力,模塊擴充能力,滿足網絡規(guī)模的擴充。 支持新應用的能力:產品具有支持新應用的技術準備,能夠符合實際要求的,方便快捷地實施新應用。 4)系統(tǒng)的先進、成熟、實用性及可管理和可維護性 當今世界,通信技術和計算機技術的發(fā)展日新月異,網絡設計既要適應新技術發(fā)展的潮流,保證系統(tǒng)的先進性,也要兼顧技術的成熟性、實用性,選擇最合適的設備和技術,降低由于新技術和新產品不成熟因素給用戶帶來的風險。 在系統(tǒng)設計中,選擇先進的系統(tǒng)管理軟件是必不可少的。我們在這里采用我們通過這個統(tǒng)一的管理平臺的控制,監(jiān)控主機系統(tǒng)、網絡系統(tǒng)、應用系統(tǒng)狀態(tài),簡化管理工作,提高了主機系統(tǒng)和網絡系統(tǒng)的利用效率。提供先進而完善的網絡管理工具,監(jiān)控網絡故障,優(yōu)化網絡性能,實現(xiàn)一體化的網絡管理。網絡管理基于SNMP,支持RMON和RMON2。 5)系統(tǒng)安全性和保密性 現(xiàn)在我們網絡內接入的用戶對網絡的好奇心,促使會攻擊我們內部網絡,我們制訂統(tǒng)一的安全策略,整體考慮網絡平臺的安全性,能夠提供不同方式不同級別的安全策略,保證網絡重要用戶和數據服務器的安全性。 所以說安全性是網絡運行的生命線。合理的網絡安全控制,可以使應用環(huán)境中的信息資源得到有效的保護。網絡可以阻止任何非法的操作;網絡設備可進行基于協(xié)議、基于MAC地址、基于IP地址的包過濾控制功能,不同的業(yè)務,劃分到不同的虛網中。 6)保護用戶現(xiàn)有投資及效益性 在保證網絡整體性能的前提下,網絡設計充分保護用戶投資及效益性,利用現(xiàn)有的網絡設備或做必要的升級,在原設備的基礎上,進行網絡建設,避免用戶投資的重復浪費,在滿足用戶需求和未來發(fā)展的趨勢情況下,采用性價比高的設備,構筑經濟可靠的網絡平臺,使新系統(tǒng)更有效地承擔繁重的任務,能支持將來系統(tǒng)的維護和平滑升級。所采用的設備應是當今業(yè)界的主流產品,采用主流技術、標準協(xié)議,具有良好的互操作性,減少設備互連的問題,網絡維護的費用,使用戶的投資得到有效保護。 3.2省級數據中心網絡設計 對于省級數據中心,一般規(guī)劃為大約五百臺高性能服務器,在這種模式下,可以規(guī)劃2-3層網絡連接模式(下圖為3層) 如上圖所示,一般情況下,大型數據中心采用2-3層網絡結構,以3層結構為例,采用2臺高性能Extreme Networks BD8800核心交換機,提供48個四萬兆(40G接口),通過40G通道下聯(lián)到匯聚層Summit X670系列交換機。每臺Extreme Networks Summit X670交換機提供48-60個萬兆萬兆接口,并提供四萬兆接口上聯(lián),萬兆下聯(lián)Summit X460交換機,通過X460交換機使用千兆連接所有服務器。 但是對于新型的大型數據中心,萬兆網絡連接已經成為主流,所以一般使用萬兆連接服務器,則直接將網絡簡化為如下2層: 萬兆以太網技術目前已成為建設大中型數據中心網絡的主流技術。為實現(xiàn)數據網絡平臺的功能,并考慮網絡在性能、容量、擴展性、先進性和服務質量等方面的要求,經過對交換以太網、快速以太網、千兆以太網、萬兆以太網不同網絡架構在VLAN(虛擬局域網)技術、第三層或多層交換技術、QoS、ACL等方面的性能表現(xiàn)及成本分析,確定將高密度端口的萬兆以太網交換機作為整個信息網絡的接入設備。 通過將萬兆以太網、千兆以太網、VLAN技術、三層路由交換、局域網中的QoS、ACL技術與投資經濟性實現(xiàn)完美的有機結合,建立一個具有成熟的先進技術,同時又可簡便維護和安全使用的網絡。 在省級網絡設計中,我們最終推薦核心到接入交換機40G連接,接入到服務器10G連接。 3.3市級數據中心網絡設計 市級數據中心一般采用小于100臺服務器,根據省級網絡的建設設計,我們同樣使用萬兆進行連接,這里采用一臺Summit X670系列交換機。每臺Extreme Networks Summit X670交換機提供64個萬兆萬兆接口,或者采用X670交換機堆疊,提供112個萬兆端口,如下圖所示: 3.4區(qū)縣級數據中心網絡設計 區(qū)縣級數據中心,一般采用普通企業(yè)級服務器,不進行大規(guī)模數據集中,所以一般只適用千兆進行接入,所以采用兩臺千兆交換機Extreme Networks Summit X460進行互聯(lián),通過冗余備份設置,千兆連接內部所有服務器。 3.5省、市、區(qū)/縣數據中心互聯(lián)設計 對于大多數行業(yè)客戶如醫(yī)療、教育或政府等,其數據中心不只為本地市提供數據交換和處理,同時各級數據中心之間還需要進行數據的遠程交換和共享,從而充分發(fā)揮多級數據中心架構的優(yōu)勢,使各級數據中心協(xié)同工作、遠程交換、數據共享和統(tǒng)一管理。因此省、市、區(qū)/縣數據中心的互聯(lián)也勢在必行。 3.5.1省、市數據中心互聯(lián) 省數據中心由于數據量較大,需要同時匯聚地市一級數據中心,因此在省數據中心推薦配置兩臺MP7508作為核心匯聚路由器,并互為備份。MP7508匯聚路由器通過1000M光接口連接省數據中心核心交換機BD8800,再通過1000M MSTP或155M SDH/ATM網絡分別連接各個地市數據中心上聯(lián)路由器MP7204,地市上聯(lián)路由器MP7204通過1000M光接口連接其核心交換機X670。由于MP7508和MP7204路由器的高性能,從而實現(xiàn)省、市數據中心的高速互聯(lián),其軟/硬件高可靠性設計以及每個節(jié)點采用雙機備份的方式,實現(xiàn)了數據傳輸的高可靠性和穩(wěn)定性;另外我們可采用MPLS等安全技術,進一步保證數據傳輸的安全性。 3.5.2市、區(qū)/縣數據中心互聯(lián) 根據不同的行業(yè)和應用,市數據中心與區(qū)/縣數據中心之間數據流量不同,在數據流量較大的應用中,市數據中心采用MP7204中心匯聚路由器通過100M或1000M MSTP線路連接各個區(qū)/縣數據中心MP3840匯聚路由器;對于數據流量較小的行業(yè)或應用,市數據中心MP7204可采用155M SDH線路,采用2M復用的方式連接各個區(qū)/縣數據中心MP2824,區(qū)/縣數據中心可根據實際帶寬需求采用2M或N*2M鏈路捆綁方式接入市數據中心。同樣為了提高互聯(lián)的可靠性,地市匯聚路由器和區(qū)/縣上聯(lián)路由器均采用雙機雙線路冗余備份方式,確保數據傳輸的高可靠性。 3.5.3數據中心安全解決方案 雖然數據中心處于一個相對安全的私有網絡環(huán)境,不同級別的數據中心也可通過運營商專有線路進行互聯(lián)互通,其內部數據中心和傳輸線路上有一定的安全保障。同時為提高數據中心的開放度和利用率,以及遠程管理等,其勢必要與外部網絡或internet進行數據的互聯(lián)互通,為外部或互聯(lián)網用戶提供數據業(yè)務和管理。因此在數據中心的邊界需要充分考慮其接入和互聯(lián)互通的安全性,需要有效的的邊界隔離,可以實現(xiàn)對非法訪問的阻斷;其二是有效的身份識別與訪問控制功能,可以實現(xiàn)對源地址的定位、識別和控制;其三是建立有效的對抗攻擊能力,實現(xiàn)對異常流量、惡意代碼、有目標的滲透等情況的鑒別和防護;其四是建立深度應用識別與攻擊檢測,對應用數據包進行深度檢測,防范欺騙;其五是可以實現(xiàn)業(yè)務間隔離與帶寬資源控制,保障重要業(yè)務訪問;其六是保護數據傳輸安全,防止數據被竊聽和篡改;同時,還必須具有高可靠性的安全設備來防止由于高并發(fā)訪問量、系統(tǒng)故障等突發(fā)情況而帶來的訪問不便。此外,由于邊界是數據中心正常運行的重要節(jié)點,部署安全產品必須具有便于管理的特點,這就要求設備能夠適應不同的網絡環(huán)境,配置盡量簡單方便,特征庫能夠自動升級,可以提供豐富的訪問審計功能,能夠對流量進行有效監(jiān)控,能夠提供豐富的攻擊統(tǒng)計,使數據中心系統(tǒng)管理員能夠充分掌握數據中心的安全態(tài)勢,為不斷地優(yōu)化安全策略提供依據。因此我們建議采用綜合的安全網關作為數據中心邊界接入和隔離,為其提供用戶安全接入、抗攻擊、入侵檢測、防病毒、高性能VPN、帶寬管理等綜合安全解決方案,避免了采用多廠家多型號的安全產品而帶來的管理和維護上的安全風險。 以下為數據中心安全解決方案: 在省、市、區(qū)/縣數據中心邊界,我們采用MSG4000綜合安全網關作為外部移動用戶、遠程管理以及第三方平臺等用戶和平臺的接入。MSG4000作為一款綜合安全產品,可根據用戶需求提供從100M到10G不同性能需求,省、市、區(qū)/縣數據中心可根據實際需要選用不同性能層次的MSG4000;同時MSG4000在功能上可為客戶提供安全防護、病毒過濾、入侵檢測、應用識別、流量管理、WEB訪問控制、上網行為管理以及IPSEC/SSL VPN等功能,滿足客戶整個安全防護的需求,從而避免了由于設備數量、種類較多帶來的維護和管理上的不安全因素。 第四章 方案的新技術特點 4.1量身定制的數據中心網絡平臺 4.1.1最先進的萬兆以太網技術 Extreme公司作為以太網技術的先驅,一直致力于生產嚴格遵循業(yè)界標準的以及可與其他廠商兼容的產品,Extreme Networks是由100家國際知名網絡公司組成的千兆以太網聯(lián)盟和萬兆以太網聯(lián)盟的領導者。Extreme交換機的10GB以太網模塊在世界上第一個實現(xiàn)單跳網絡傳輸1 TB數據流量。Extreme公司一直走在10GB以太網交換技術開發(fā)的前沿,公司的發(fā)起人及首席技術官Steve Haddock現(xiàn)任IEEE 802.3ae任務小組副主席,該小組已經為10-GB以太網開發(fā)了行業(yè)標準。Extreme Networks的Tony Lee自2000年3月起,在兩年任期內擔任萬兆以太網聯(lián)盟主席,另一名Extreme Networks技術專家Ameet Dhillon目前則擔任萬兆以太網聯(lián)盟理事。Extreme交換機的擴充能力和高端交換性能標志著基于標準的高性能以太網技術的重大進步。 萬兆以太網市場的全球市場占有率: Extreme在萬兆網絡應用從初期就一直保持著市場領先地位 4.1.2硬件全線速處理技術 網絡業(yè)務的不斷增多,各種應用的流行,對網絡也提出了新的要求,傳統(tǒng)的以太網交換機由于基于共享的設計理念,對于音頻、視頻以及數據的各種業(yè)務的傳輸是無法識別區(qū)分的,對于多媒體業(yè)務的開展需要更智能的設備來支撐。高速的網絡數據傳輸應用已經不是一個高級網絡唯一的重要指標。網絡的發(fā)展方向是支持線速無阻塞地傳輸各種多媒體等高級應用,在開啟各種網絡應用和功能的情況下,保證網絡暢通。這也是Extreme公司的強大技術優(yōu)勢所在。 Extreme的智能網方案采用先進的組播技術和Qos保證機制,實現(xiàn)全線速的高質量的業(yè)務運行。核心設備的大密度的高速端口使得網絡設備具有大容量的交換處理能力,以避免擁塞和延遲。Extreme采用無阻塞交換結構,基于先進路由交換機制,能夠提供線速處理能力。以此為基礎,通過合理的網絡設計實現(xiàn)高性能的網絡。 Extreme的全線三層產品交換產品均可實現(xiàn)滿載情況下的二層線速幀交換和三層線速包轉發(fā)。應該強調的是,實際運行的網絡需要配置很多控制功能,如 QoS處理、ACL、策略路由等,此時需要交換機耗費更多的資源以實現(xiàn)相應的網絡控制處理功能。Extreme產品能夠保證性能和功能的一致實現(xiàn),即在打開諸多控制處理功能的前提下,依然保證數據包的真正線速處理和轉發(fā)。 Extreme的共享內存式的交換背板結構大大提高了組播轉發(fā)的效率,節(jié)省了交換矩陣的帶寬。其他網絡廠家的交換機支持的組播、ACL、Qos等都是基于軟件技術和CPU運算的,由于占用大量處理器和內存資源,經常會導致丟失數據包,在性能上能上都達不到無丟包的限速傳輸,不得不以添加昂貴的內存條為代價。 Extreme主推的真正的線速網絡是性能和功能的全面線速,包括線速路由、線速ACL、線速Qos、線速組播,Extreme的網絡設備的Qos、組播、ACL都是通過專門的集成芯片來完成,不占運行用系統(tǒng)資源,這也是目前業(yè)界唯一能夠同時實現(xiàn)四種線速的全線速核心交換設備。國防大學在新網絡未來要承載各種多媒體為基礎的新應用,影像方面需要應用到組播、Qos技術都會在本方案的設計中得到卓越的性能表現(xiàn),優(yōu)異的全線速網絡設計能夠為科研和業(yè)務的效率提高作出巨大的貢獻。 組播結構 傳統(tǒng)的組播結構 可以看到在傳統(tǒng)組播結構上,要實現(xiàn)組播組的發(fā)送需要組播發(fā)送端通過傳統(tǒng)的交換矩陣多次發(fā)送,這樣造成了組播數據在整個轉發(fā)過程中速度慢,同時對端口帶寬占用資源過大、占用時間過長,容易造成端口擁塞。 4.1.3 Extreme Direct Attach技術 今天的虛擬機管理程序利用一個內部的“虛擬交換機”為在一個服務器內部的虛擬機(VM)之間以及它們與外部網路之間提供網絡連接。這個虛擬交換機給數據中心網絡增加了第四個層級。 今天的許多刀片服務器利用一個內部的“刀片交換機”來匯聚刀片服務器機箱內的每個物理服務器的數據流量。這些交換機給網絡增加了第五個層級。 虛擬交換機和刀片交換機的組合把交換層級從3層提高到5五層,顯著提高了網絡延遲并增加了數據中心內的網絡元素,這也增加了數據中心管理的復雜性。 Extreme Networks的Direct Attached技術消除了虛擬交換機層,簡化網絡并提高網絡性能。Extreme Networks的BlackDiamond8800交換機中的8900系列交換模塊通過利用高密度板卡和布線系統(tǒng),消除刀片交換機并使數據中心得到簡化,從而使數據中心的層級數量從5層簡化為3層。 今天的數據中心網絡可以通過結構化分“層”定義。通常情況下,有一個“網絡核心”,它是所有數據中心設備的中心連接點。這是數據中心網絡的“第一層級”。這個核心可能是一個交換機,或者更通常是由冗余交換機組成的集群來連接所有設備:網絡設備、安全設備和服務器。而網絡的“第二層級”是匯聚交換機,它連接接入交換機和核心。這層常用于大型數據中心,一般沒有必要用在中型數據中心。“第三層級”的交換機,通常被稱為接入層交換機,它直接連接服務器。這些接入交換機通常被稱為“架頂式交換機”或“行末式交換機”。 這種無論是兩個或三個層級的模式是已經被多年使用,且廣為熟悉的。 目前數據中心有兩個重要的趨勢,它們正在改變數據中心網絡的實現(xiàn)方式,一個在物理方面,而另一個在虛擬化方面。這些趨勢給數據中心網絡增加了額外的層級。 趨勢一:虛擬化 在過去幾年的數據中心最重要的發(fā)展趨勢是虛擬化的應用。虛擬化是一種技術,使一臺物理服務器允許安裝多個虛擬服務器/虛擬機。這樣可以提高服務器利用率和有助于服務器的整合,對于災難恢復和容量管理等有諸多好處。虛擬化在企業(yè)數據中心和主機托管數據中心中非常流行。而由于高性能計算集群或大型互聯(lián)網消費網站的自身性質,虛擬化不太可能應用在這些領域。 虛擬交換機 虛擬化引入了“虛擬交換機”的概念。 在非虛擬化數據中心,每個服務器運行一個操作系統(tǒng),該操作系統(tǒng)管理的物理網絡連接到與其它用戶和服務器。在虛擬化環(huán)境中,有多個虛擬機運行在物理服務器上。這些虛擬機必須共享一個物理網絡連接,并且需要互相通信。這給虛擬交換機或“vSwitch的”概念帶來了用武之地。虛擬交換機是一個運行在服務器上的模擬2層網絡設備的軟件。虛擬交換機的功能是使一個服務器內的虛擬機可以互相通訊并且可以與外界通訊。虛擬交換機仿造了二/三層交換機的一部分功能以實現(xiàn)上述通訊功能。虛擬機運行在虛擬化管理軟件中,所以它不是通用的。目前VMware、Microsoft和Citrix在自己的虛擬化管理軟件中都含有虛擬交換機。另外其它一些網絡廠商也推出了額外收費的虛擬交換機,例如Cisco的Nexus 1000。 一個需要注意的關鍵點是每個物理服務器都需要一個虛擬交換機。例如一個有40臺服務器的機柜需要40個虛擬交換機,一個有16個刀片的刀片服務器需要16個虛擬交換機。網絡中虛擬交換機的數量與網絡中運行虛擬化的服務器的數量是一一對應的。這些虛擬機每一臺都需要管理和配置。 虛擬交換機的優(yōu)點: 虛擬交換機是由虛擬化管理軟件廠商發(fā)明的,用于虛擬機與網絡間進行通訊。直到現(xiàn)在,虛擬交換機還是虛擬機之間,虛擬機與其它服務器和用戶之間通訊的唯一手段。 虛擬交換機帶來的問題: 安全性:虛擬交換機的主要功能是滿足同一服務器內部的虛擬機之間的通訊。因為虛擬交換機存在于服務器內部,虛擬機和虛擬機之間的數據流量對于外界網絡是不可見的。這樣一些由非法虛擬機引發(fā)的安全問題很難被發(fā)現(xiàn)。 網絡與系統(tǒng)管理軟件的可見性:同樣由于虛擬機和虛擬機之間的數據流量對于外界網絡是不可見的,對于虛擬機和虛擬機之間的流量的管理和監(jiān)控非常困難。傳統(tǒng)的基于端口鏡像的網絡工具無法在這樣的環(huán)境中使用。 性能的不可預見性:虛擬交換機使用軟件而非線速的交換機硬件來進行數據的轉發(fā)。虛擬交換機的轉發(fā)性能,以至于服務器的網絡性能都取決于CPU的可用資源,而該資源又取決于虛擬機上的應用程序。這與服務器的優(yōu)化是矛盾的:當服務器通過虛擬化增加利用率時,服務器的網絡性能實際會下降,這與使用虛擬化優(yōu)化服務器的設想是相違背的。 額外的網絡層級:虛擬交換機為傳統(tǒng)的網絡增加了第四個層級。這樣增加了網絡的跳數從而增加了端到端的網絡延遲。 虛擬交換機與服務器一一對應引起的擴展性問題:每個服務器都需要一個虛擬交換機,整個數據中心的網絡設備數量大大增加。一個有40個服務器的機柜需要40個虛擬交換機,而只要一臺網絡交換機。這樣大大增加了數據中心內需要管理和配置的網絡元素,增加了數據中心的運維成本。 管理的復雜性:每一個虛擬化管理軟件廠家都有一個和自己軟件配合的虛擬交換機。在一個使用多種虛擬化軟件的數據中心,需要對多種虛擬機管理進行人員培訓和制定管理流程,增加了數據中心管理成本。 問責的沖突:到底由哪個部門來管理虛擬交換機呢?是因為虛擬交換機運行在服務器內部而由服務器部門負責呢?還是因為它是網絡元素而由網絡部門負責呢?這些問題會帶來潛在的沖突,增加管理和實施解決方案的復雜度。 趨勢二:刀片服務器 刀片服務器為機架內容納高密度服務器提供了解決方案。一個刀片服務器機箱可以容納16個服務器,一個標準機柜可以容納3個或4個刀片服務器機箱。這樣一個機柜可以容納48或64個高密度服務器,并且可以簡化管理。 刀片服務器帶來的挑戰(zhàn)是它在一個機柜內制造了很高的布線密度,使為每臺服務器提供布線成為挑戰(zhàn)。正是這個原因,各個刀片服務器的廠商都制造一種插入刀片服務器機箱的“刀片交換機”。 刀片交換機的優(yōu)點: 刀片交換機的主要優(yōu)點是簡化了布線。刀片交換機連接所有的服務器,并上連到網絡的第三個層級。如果沒有刀片交換機,每個服務器需要一個以太網連接到第三級網絡,這樣每個刀片服務器機箱就需要16根跳線。有了刀片交換機跳線數量減少為1到8根。 刀片交換機的問題: 刀片交換機給網絡帶來高復用比,這樣可能造成網絡擁塞并限制服務器的性能。一個典型的刀片交換機包含24個以上的端口或連接。其中16個端口用來連接服務器,另外8個端口用來連接接入層網絡設備。這樣造成2:1復用,使網絡最高性能減少50%。 從物理網絡的角度看,刀片交換機給網絡增加了“第五層級”。如我們前面討論的,每個網絡層級都因為轉發(fā)時延帶來端到端的延遲。這個額外的層級增加了網絡元素的數量,從而增加了成本,包括刀片交換機本身的成本和配置管理刀片交換機的時間成本。 因為刀片交換機是一個根據刀片服務器機箱定做的產品,它與數據中心匯聚和接入層級的獨立交換機相比通常具有不同的功能和管理結構。這帶來的管理的復雜性,因為網絡管理員需要學習和管理不同的交換機系統(tǒng)和管理軟件。 刀片交換機同樣帶來組織管理上的問題。它是應該由管理核心/匯聚/接入交換機的網絡部門管理?還是因為它在服務器內部而由服務器部門管理?這個職責的混淆會在配置不兼容以及涉及多個部門在數據中心排錯時帶來問題。 虛擬化和刀片服務器趨勢的疊加效果是把網絡層級從3層增加到5層。當虛擬交換機引入時增加了1層,刀片交換機引入時又增加了1層。 由于顯著地增加了網絡復用比以及端到端的延時,5層網絡的性能低于3層網絡。另外這樣還需要更多電力和冷卻能力并大大增加管理成本。 Direct Attach減少網絡層級 什么是Extreme Networks的Direct Attach? Direct Attach是Extreme Networks實現(xiàn)虛擬機在網絡中進行交換的技術。一些廠家通過在服務器中的虛擬交換機實現(xiàn)虛擬機數據交換。而Extreme Networks的Direct Attach技術把虛擬機之間的數據交換功能從服務器中遷移回網絡設備中。這樣使管理員可以在享受服務器虛擬化帶來的好處的同時利用成熟的、線速的網絡交換機處理虛擬機數據交換。 從本質上講,Direct Attach允許虛擬機無需通過服務器內的軟交換機直接連接到網絡。Direct Attach通過去掉虛擬交換機減少了網絡層級,從而節(jié)約成本,降低延時,減少網絡復用并且簡化了管理。最后它使管理員在無需考慮虛擬機管理軟件的情況下實施一致的網絡策略,保證網絡的安全且符合規(guī)定。 另外,高扇出的交換機模塊以及專用的布線方案可以使刀片服務器機箱中的服務器直接連接到數據中心網絡,從而使數據中心網絡簡化。 Direct Attach如何工作 Direct Attach軟件包是ExtremeXOS的一個可加載模塊。它可以被安裝在基于ExtremeXOS的Extreme Networks的Summit系列堆疊交換機(包括Summit X450、Summit X480、Summit X650)和帶有8900系列模塊的BlackDiamond 8800交換機。 Direct Attach軟件把端口上的數據根據虛擬機進行分類,然后根據交換機中二/三層轉發(fā)協(xié)議進行轉發(fā)。雖然所有的數據包都從一臺物理服務器發(fā)送和接收,所有交換機策略仍然會針對每個虛擬機的數據流發(fā)生作用。 使用Direct Attach技術去掉虛擬交換機的好處 更高的可預見的性能:使用Direct Attach技術不需要服務器內的軟件轉發(fā)數據包,所有的數據包都通過以太網交換機線速轉發(fā)。這樣無論服務器的負載如何,都可以保證可預見的性能。 更廣泛的網絡功能:當今的以太網支持非常廣泛的功能,包括服務質量、ACL安全等多年來開發(fā)的功能。使用Direct Attach技術,這些功能可以針對數據中心內的所有虛擬機生效。 管理更少的網絡元素:在一個有10個機柜,每個機柜有40個1U服務器的數據中心,使用Direct Attach技術只需要第三級的10個網絡元素而不需要第四級的網絡元素。如果不使用Direct Attach技術,需要管理410個網絡元素,除了第三級的10的10個還有第四級的400個網絡元素!在這個實例中,減少了98%的需要管理、配置和維護的網絡元素。 增強的安全性:在使用虛擬交換機的情況下,虛擬機之間的數據流量永遠不會流出服務器。這樣很難部署交換機的安全功能,例如ACL和在線的安全檢測設備。使用Direct Attach技術,所有虛擬機和虛擬機之間的通信對交換機而言都是可見的,可以被安全策略如ACL、端口鏡像等進行處理。 易于管理:Direct Attach技術使數據中心內的所有數據交換機的管理回歸到網絡管理員手中,消除了與服務器團隊的潛在沖突。 不同虛擬化管理軟件環(huán)境下的輕松管理:Direct Attach技術不依賴于虛擬化管理軟件,可以兼容絕大多數虛擬化管理軟件。這樣它可以在混合有多廠家虛擬化系統(tǒng)的數據中心良好工作。 交換機與布線系統(tǒng)設計 除了可以通過Direct Attach技術去掉虛擬交換機,這個Extreme Networks的解決方案還有另外的好處。BlackDiamond 8800交換機通過MRJ21技術提供高密度千兆接口解決方案。MRJ21技術把6個全帶寬的千兆接口集成到1根線纜中。使用這種技術制造的96口千兆模塊使1個機箱可以容納768個千兆接口,使刀片服務器可以輕松接入8800交換機。 Direct Attach布線系統(tǒng)可以把刀片服務器機箱內的所有服務器直接連接到模塊化交換機的端口,而無需使用刀片交換機。一個有4個刀片服務器機箱,每個刀片服務器機箱有16個服務器的機柜內的所有服務器都可以直接連接到1個BlackDiamond 8800交換機的8900系列模塊上。 這個高密度端口和高密度布線解決方案消除了使用刀片交換機的需求,從而消除了這個層級的網絡設備。 結論: Extreme Networks的Direct Attach技術和高扇出的服務器模塊可以被一起使用,也可以被單獨使用。如果一起使用您可以去掉虛擬交換機和刀片交換機,從而使網絡層級從5層減少到3層,進而建立一個更易于擴展、易于管理和降低成本的網絡架構。 減少網絡層級的好處 l 更低的復用提高網絡性能使之更可預測 l 更少層級意味著更低延遲 l 更少的擁塞點意味著更可預測的性能 l 更少的網絡元素意味著更少的故障點 l 更少的網絡元素意味著更少的電力消耗 l 更少的交換機意味著更低的總體擁有成本- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 數據中心 建設 方案
裝配圖網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
鏈接地址:http://www.hcyjhs8.com/p-9537555.html