|
数据中心(Data Center,DC)是数据大集中而形成的集成IT应用环境,是各种IT应用业务的提供中心,是数据计算、网络传输、存储的中心。数据中心实现了IT基础设施、业务应用、数据的统一、安全策略的统一部署与运维管理。数据中心是当前运营商和各行业的 IT 建设重点。运营商、大型企业、金融证券、政府、能源、电力、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设,通过数据中心的建设,实现对 IT 信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT 建设的 TCO。纵览数据中心的发展史,数据中心的建设主要分为四个层面。 设计目标 1、高效性:为了满足平台业务应用系统的高并发、快速的虚拟机迁移、视频文件以及大文件的上传下载等要求,设计一个高带宽、低延时、快速收敛并避免环路出现的网络平台是一个基本的设计目标。 2、高可靠性:高可用性是数据中心网络平台的设计目标之一,关键和核心部分不能出现单点故障。 3、可扩展性:具备良好的扩展能力也是数据中心网络的设计目标之一,在核心、骨干网络设备上要留有余量,充分考虑今后业务应用增加的网络需求。 4、灵活性、易维护性:要求网络平台能够灵活简便的对网络资源进行调配。因此,网络管理的灵活性和易维护性也是网络平台的设计目标之一。通过减少网络配置节点、简化网络配置,降低网络管理的人力开销,从而易于网络资源的调整和分配。 5、先进性:整体架构应当保持稳定而不应当频繁调整。在设计网络平台的架构的时候,设计目标之一应该是保证网络架构和采用技术的先进性,3年内只做规模扩充,而不做架构调整。 6、安全性:保证各业务系统的信息安全是建设数据中心的一个基本前提,因此安全性也是网络平台需要考虑的设计目标之一。由于网络安全域的划分与隔离很大程度上依赖网络结构的合理性,因此在设计网络架构的时候需要考虑整体网络安全性,便于安全方案进行安全域的划分和安全域间访问控制。 Ø 基础网络设计解决方案: 分区,即把用户的整个IT系统按照关联性、管理等方面的需求划分为多个业务板块系统,而每个系统有自己单独的核心交换,服务器,安全边界设备等,需要逐级访问控制,良好的逻辑分区设计与安全域划分成为数据中心网络的必备基础。 根据企业自身特点,依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等,可以把数据中心的服务器与业务系统分成内网区(Intranet)、外联区(Extranet)和互联网区(Internet)等,并在此基础上对业务流程进行深入细化。 分层的主要是根据内外部分流原则,把数据中心网络分成标准的核心层、汇聚层和接入层三层结构。服务器与业务系统之间的流量大部分在单个功能分区内部,不需要经过核心;分区之间的流量才经过核心,而且在每个分区的汇聚层交换机上做互访控制策略会更容易、对核心的压力会更好、故障影响范围更小、故障恢复更快。 Ø 数据中心高可用解决方案: 随着市场竞争的日益加剧,客户对信息系统的依赖性和要求越来越高,保证数据中心的高可用性,提供7×24小时网络服务成为建网的首要目标,也是数据中心建设关注的第一要素。 导致网络不可用,即网络故障的原因主要有两类: 1. 不可控因素,如自然灾害、战争、大停电、人为破坏等 通过建设生产中心、本地备份中心、异地容灾中心,即两地三中心模式,通过良好的整体规划设计,保证不可控因素影响下数据中心的高可用。 2. 可控因素,如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。 在选择产品设计上应考虑诸多因素,包括物理设备、链路层、IP层、传输层和应用层,全方位的提高网络可用性。 硬件设备冗余,如设备双主控、单板热插拔、冗余电源、冗余风扇。 物理链路冗余,如以太网链路聚合等。 环网技术,如:RPR、RRPP等技术。 二层路径冗余,如:MSTP、SmartLink。 三层路径冗余,如:VRRP、ECMP、动态路由快速收敛。 快速故障检测技术,如:BFD等。 不间断转发技术,如GR等。 一、服务器接入高可用设计 也称服务器多网卡接入。为了实现接入高可用,服务器通常采用多链路上行,即服务器的两块甚至多网卡接入,服务器中的网络驱动程序将两块或者多块网卡捆绑成一个虚拟的网卡,如果一个网卡失效,另一个网卡会接管它的MAC地址,两块网卡使用一个IP地址,而且必须位于同一广播域,即同一子网下。服务器和接入交换机之间的连接方式有几种方式: 网络可用性从左至右依次升高。推荐采用第四种接入方式。第四种连接方式服务器采用交换机容错模式分别接入到两台机柜式交换机上,并且将VLAN Trunk到两台设备上,实现服务器的高可靠接入。 二、接入到汇聚高可用设计 接入到汇聚层共有四种连接方式,分别为倒U型接法、U型接法、三角型接法和矩形接法,这里所谓不同类型的接法是以二层链路作为评判依据,比如说矩形接法,从接入到接入,接入到汇聚、汇聚到汇聚均为二层链路连接,因此形成了矩形的二层链路接法。 三、 汇聚高可用性设计 1)汇聚交换设备之间的VRRP; 2)安全、应用优化设备之间的VRRP:可以内置或者旁挂到汇聚交换机上(推荐旁挂,而不是串连到网络中,消除性能瓶颈)。利用HRP协议实现在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息的备份。HRP协议承载在VGMP报文上。通过指定的负载均衡算法,对指向服务器的流量做负载均衡,保证服务器群能尽最大努力向外提供服务,提升服务器的可用性,提升服务器群的处理性能。 Ø 数据中心虚拟化解决方案: 随着业务的持续发展、系统的更新升级、设备的不断增多、能耗的大幅飚升,数据中心面临着资源分配与业务发展无法完美匹配的难题: 1、业务系统日益增多:需要更多的网络设备、服务器,运行的业务系统不断的发生变化,资源和设备分配之间的矛盾日趋激烈; 2、设备多,部署繁杂:在数据大集中的趋势下,数据中心机房内的IT基础设施规模非常庞大,而且还将持续不断的增加、部署难度大幅增加; 3、投资持续增加: IT基础设施规模的成倍增加,在数据中心投入的硬件成本、软件成本、人力成本等水涨船高; 4、运维成本和能耗高:设备增多,能耗和运维成本自然随之增加,不符合绿色数据中心的发展趋势,能耗已经成为数据中心运维的沉重经济负担。 所以,为了降低TCO,需要对数据中心进行整合。这也带来了一系列难题: 1、 安全性:多种业务集成在一套设备上,安全性需要保证; 2、 资源合理分配:不同的业务对数据中心资源也有不同的需求,要保证各个业务合理的使用资源。 虚拟化能够解决这些难题,虚拟化用多个物理实体创建一个逻辑实体,或者用一个物理实体创建多个逻辑实体。实体可以是计算、存储、网络或应用资源。 虚拟化实质:隔离。虚拟化技术将不同的业务隔离开来,彼此不能互访,从而保证业务的安全需求;将不同的业务的资源隔离开来,从而保证业务对于数据中心资源的需求。 虚拟化解决方案可包括三部分: 网络虚拟化 计算虚拟化 存储虚拟化 数据中心网络虚拟化特色:数据中心网络虚拟化和客户端虚拟化(EAD)、园区网虚拟化形成网络端到端的虚拟化访问路径。 Ø 安全解决方案: 数据中心承载着用户的核心业务和机密数据,同时为内部、外部、合作伙伴等客户提供业务交互和数据交换,因此数据中心的安全必须与业务系统实现融合,并且能够平滑的部署在网络中。数据中心的安全建设中的主要思想之一就是层次化的分级安全,把IT的安全分成多个等级,划分不同的安全域,这与数据中心对安全的内在要求是相辅相成的。 在深入分析IT安全形势的基础上,基于状态演进的安全模型,把IT的安全分成: 单机安全:单机安全强调权限管理、病毒防护、数据备份 局部安全:局部安全强调远程接入、入侵检测、安全融合、安全协作 深度安全:深度安全强调容灾备份、深度抵御、安全审计、流量分析 统一安全:统一安全强调风险管理、企业内控、统一规划、统一管理 随着安全状态的演进,安全向着应用智能的安全方向发展。 在任何情况下,信息只存在于三种状态之一: 计算:计算是信息被创建、修改、删除、查询以及深度处理的过程。 通讯:通讯是信息在不同的环境之间以及环境内部传递的过程。 存储:信息被以某种形式临时或者永久性保存的过程。 安全的目标就是在保证数据在这三种状态下的安全。 信息的安全状态决定安全的策略,对于数据中心来讲,信息的安全策略包括访问 控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。 安全分区 安全策略的基础是基于业务的逻辑分区和安全域划分,数据中心业务安全分区的优势: 增加新功能区更容易 不同区域可实施不同的安全策略 每个分区按照需求可独立的扩展 发生故障易定位易恢复等优点。 因此,按照分区的思想,数据中心按照业务类型分为不同的逻辑区域,每个分区制定不同的安全策略和信任模型,划分为不同安全级别的安全域。从实际部署上看,又分成: 边界访问控制 深度智能防御 智能安全管理 1)边界访问控制 边界控制对数据中心是最基本的要求,控制各类用户对数据中心的访问。随着安全状态的演进,安全向着应用智能的安全方向发展。 2)深度智能防御 针对数据中心的各类DDoS攻击、木马、黑客入侵层出不穷,传统的IDS产品只能对部分事件进行检测,无法做到实时分析和防御,因此应选用可进行深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用的IDS产品,从而可为客户网络提供三大保护功能:保护网络应用、保护网络基础设施、保护网络性能。 3)智能安全管理 数据中心除了大量的网络设备在运行外,更多是各类服务器、操作系统之间的业务交互,海量的告警、监控、SNMP、WMI等消息不断的在网络中传播,必须要要对这些安全事件、网络事件、系统事件、应用事件进行统一的收集和管理,并通智能化的分析把原始数据转换、筛选为智能安全的有效信息。 Ø 运维管理解决方案 运维区分三个方面对数据中心进行运维: 1. 建设全网管理平台,实现全网的分级分权管理。通过网管系统对全网的拓扑和设备进行管理,具有设备仿真面板所见即所得和对第三方主流设备管理的能力,可以管理管理大规模的无线管理网络,对设备配置变更、收集软件版本为多台设备统一批量配置和升级,大大节省管理员的工作量。 2. 建立统一运维审计系统,实现分级分权的管理。对其操作的过程进行记录,防止人为误操作等,在发生事故后可以通过录像追究相应人的责任和迅速的恢复系统。 3. 建立全网的威胁侦测系统利用基于云安全、多协议关联分析和代码比对技术,通过协议和应用的关联分析,快速定位高危节点和攻击型态,转化成详细的报告并提供处理措施进行落实。可以对企业网络安全环境进行智能分析,对于现有的防毒架构提升更高层次的管理指标,从而大大提高网络、数据的安全系数,真正达到事半功倍的效果。 具备统一监控管理平台,可提供拓扑视图、拓扑监控、拓扑告警等功能,帮助用户实时了解网络的组网情况和设备运行状态。 可对服务器进行统一管理: 基本信息管理:通过机架图等可视化方式,提供服务器以及各部件基本信息、健康状态的展示功能,并可通过远程KVM和虚拟媒体远程操作服务器。 性能分析:提供网口性能、服务器功耗、CPU占用率/内存占用率、创建分析任务和时间段性能等多个指标分析。 可对存储进行统一管理: 提供系统内部物理和逻辑组件间的关联关系可视化展示,以便故障发生时能够精确定位。 块存储:存储阵列前端端口、控制器、RAID组、LUN、硬盘之间的逻辑关系。 文件存储:NAS引擎前端端口、NAS引擎节点、文件系统、文件存储池、数据磁盘、以及存储单元上的LUN和硬盘之间的逻辑关系。 从性能负载、指标异常、告警趋势等多角度分析存储设备的运行状况,提供简单直观的健康度综合评分,及早发现系统性能瓶颈和运行风险,大幅度提升效率。 对网络的统一管理: 提供网络设备的基本管理功能,将单个网元的相关信息和维护操作入口集中在一个管理页面中,便于用户针对单个网元的监控和维护。 通过周期检测网络中各种业务质量性能,并以历史数据图表、告警、报表等多种形式展现给用户,为网络维护者提供可以量化的网络质量数据。 提供图形化、向导式、端到端的业务部署能力,帮助用户快速开通新VPN业务、增加新的VPN接入点以及调整已有的VPN业务,提升用户业务维护的效率。支持对Full-mesh、Hub-Sopke、MCE、自定义组网类型的业务开通,支持在PE-CE间部署OSPF、ISIS、静态以及EBGP路由协议。 支持深入分析网络中的流量数据并提供详细的流量数据分析报告,并实时监控全网流量。 提供针对操作系统、数据库、网络设备、安全设备等日志的集中采集、分析和存储功能。日志系统将采集、过滤、归并、存储、监控、告警、查询和报表功能统一结合,方便用户从海量日志信息中快速定位异常现象和安全趋势分析。 |