超融合基礎架構解決方案.doc

超融合架構解決方案技術建議書超融合一體機 & 超融合操作系統目 錄1傳統IT架構面臨的問題21.1業(yè)務與架構緊耦合21.2傳統架構制約東西向流量31.3網絡設備的硬件規(guī)格限制業(yè)務系統規(guī)模31.4不能適應大規(guī)模租戶部署41.5傳統安全部署模式的限制42項目概述52.1建設原則52.2建設關鍵需求62.3建設組件及建設模式73深信服超融合架構解決方案概述93.1超融合架構層103.1.1服務器虛擬化（aSV）123.1.2網絡虛擬化（aNET）163.1.3存儲虛擬化（aSAN）213.1.4網絡功能虛擬化（NFV）253.2多業(yè)務模板層333.3虛擬化管理平臺343.3.1服務器虛擬化管理模塊353.3.2網絡虛擬化管理模塊363.3.3存儲虛擬化管理模塊393.4深信服超融合架構方案價值和優(yōu)勢總結413.4.1深信服超融合架構價值413.4.2深信服超融合架構的優(yōu)勢421 傳統IT架構面臨的問題隨著業(yè)務系統的高速發(fā)展，IT架構做為承載業(yè)務系統的基礎設施，快速部署、減少投入和靈活擴展顯得越來越重要。云計算可以提供可用的、便捷的、按需的資源提供，成為當前IT架構建設的主流形態(tài)，很多新建系統都是使用云模式進行構建，同時還有大量的現有業(yè)務系統，再向云計算環(huán)境進行遷移。而在云計算環(huán)境中，大量采用和部署的虛擬化幾乎成為一個基本的技術模式。服務器虛擬化就是首當其沖的，部署虛擬機需要在網絡中無限制地遷移到目的物理位置，虛機增長的快速性以及虛機遷移也成為一個常態(tài)性的業(yè)務。服務器虛擬化在經過多年的高速發(fā)展后已經越來越成熟，被接受和應用的領域也越來越廣泛。它有效降低了硬件采購成本，提高了資源利用率和可用性，同時大幅提升了運維效率，緩解了IT建設面臨的諸多壓力。雖然服務器虛擬化的普及徹底改變了應用的調配和管理，但是，所有動態(tài)負載的虛擬機所連接的網絡和存儲卻遠遠滯后： 網絡調配仍然極其緩慢，甚至一個簡單的拓撲變更也需要數天或數周時間； 存儲搭建依舊極其復雜，卷管理麻煩到管理員需要重新學習更多相關技術。這樣的IT架構，包括實現了服務器虛擬化的架構，都已不能很好滿足邁向云時代的各種需求，面臨著如下挑戰(zhàn)：1.1 業(yè)務與架構緊耦合傳統數據中心業(yè)務是通過分區(qū)分域的方式進行建設的，一般會以POD（數據中心標準化接入單元）為單位來實現IP地址網段的劃分：一個POD內為一個網段，規(guī)劃和部署同一種業(yè)務。分區(qū)分域的方式規(guī)劃清晰，維護簡單，但是不足之處就是業(yè)務擴容受限，例如：業(yè)務A部署在POD A內，如果POD A 內以沒有剩余空間，無法實現擴容的時候，則需要把業(yè)務A部署在其他的機架上。此時則要求POD A需要與其他機架的TOR交換機實現二層Trunk互通，帶來的問題就是需要對網絡做出大量的配置更改。所以業(yè)務和架構緊耦合，一旦業(yè)務發(fā)生變化，物理架構就要隨之需要作出調整。1.2 傳統架構制約東西向流量傳統架構以核心交換機為臨界點，成為二、三層網絡的邊界：核心交換機以上為三層環(huán)境，主要是以控制南北數據流量為主。而核心交換機以下，由于虛擬機的大規(guī)模使用，虛擬機遷移的特點主要以東西流量為主。同時在虛擬機遷移之后，還需要其IP地址、MAC地址等參數保持不變，則必須通過二層環(huán)境實現。羅列一下現有的二層技術，或多或少均存在一些問題： 生成樹類的相關技術（STP/RSTP/PVST/PVST+/MST等）：部署和維護繁瑣，網絡規(guī)模不宜過大，網絡收斂時間較長，限制網絡的擴展。 網絡虛擬化技術（各廠家私有的VPC/IRF/CSS/VSU等）：雖然可以簡化部署、同時具備高可靠和高可用，但是該類技術對拓撲架構有嚴格要求，由于私有特性，各廠家之間無法互通，一般只適合數據中心內部網絡使用。 大規(guī)模二層網絡技術（TRILL/SPB/FabricPath/OTV/EVB等）：雖然能夠支持二層網絡的良好擴展，解決了生成樹網絡規(guī)模不大的問題，但該類大二層技術對網絡設備均有特殊要求，需要通過升級軟、硬件的方式才能支持此類新技術，部署成本提升。1.3 網絡設備的硬件規(guī)格限制業(yè)務系統規(guī)模在虛擬化環(huán)境下，虛擬機的大規(guī)模部署，使得物理交換機上MAC地址表項的大小（傳統的接入交換機MAC地址表一般為：8K/16K，核心交換機單槽位一般為：128K/250K）限制了虛擬機的規(guī)模，特別是對于接入交換機而言，較小的MAC地址表項規(guī)格，嚴重的限制了整個大二層環(huán)境下數據中心的業(yè)務規(guī)模。1.4 不能適應大規(guī)模租戶部署當網絡中出現大量租戶或者大量業(yè)務的時候，網絡隔離就顯得異常重要，當前的主流二層網絡隔離技術為VLAN，但是在大量租戶或大量業(yè)務部署時會有幾個限制： VLAN可用的數量為4K左右，遠遠不能滿足云計算環(huán)境下的部署需求； 如果在大規(guī)模數據中心部署VLAN，會使得所有VLAN在數據中心都被允許通過，會導致任何一個VLAN的廣播數據會在整個數據中心內泛濫，大量消耗網絡帶寬，同時帶來維護的困難。當二層環(huán)境下的VLAN無法實現有效隔離的時候，還可以利用MPLS VPN做到三層的隔離，但是由于MPLS VPN自身的封裝和協議本身的交互，導致隔離后的業(yè)務交付效率低下。1.5 傳統安全部署模式的限制傳統架構下業(yè)務系統的安全部署都是基于路徑、基于拓撲的策略部署，安全部署需要根據業(yè)務的要求手工配置VLAN、IP、引流策略，如果業(yè)務發(fā)生變更，安全策略的配置也必須跟著重新配置。另外，傳統安全策略都是基于物理硬件進行部署的，大部分部署均為打補丁的方式實現。導致在業(yè)初期由于業(yè)務量小使設備利用率很低造成資源浪費，而且業(yè)務后期隨著業(yè)務量的增量可能又會出現性能不夠用的情況，安全設備的性能無法根據業(yè)務的要求而動態(tài)的擴展性能或者釋放資源。2 項目概述傳統架構下的數據中心解決方案已經不能夠滿足云環(huán)境下客戶業(yè)務高速發(fā)展的要求，所以本次方案規(guī)劃設計，需要通過更有價值的新架構來解決傳統架構面臨的問題。2.1 建設原則本次項目的總體建設原則如下： 1、統一規(guī)范由于業(yè)務系統的復雜性，所以應該在統一的框架體系下，參考國際國內各方面的標準與規(guī)范，嚴格遵從各項技術規(guī)定，做好系統的標準化設計與施工。2、成熟穩(wěn)定由于云計算的發(fā)展變化很快，而本項目建設時間緊，涉及面廣，應用性強，在設計過程中，應選成熟穩(wěn)定的技術和產品，確保建成的IT架構能夠適應各方的需求，同時節(jié)約項目施工時間。3、實用先進為避免投資浪費，IT架構的設計不僅要求能夠滿足目前業(yè)務使用的需求，還必須具備一定的先進性和發(fā)展?jié)摿Γ瓜到y具有容量的擴充與升級換代的可能，以便該項目在盡可能的時間內與業(yè)務發(fā)展和信息技術進步相適應。4、開放適用由于IT架構是為各業(yè)務系統提供支撐，所以必須充分考慮架構的開放性，提供開放標準接口，供開發(fā)者及用戶使用。5、安全可靠本項目涉及用戶范圍廣，數量大，實時性強，設計時應加強系統安全防護能力，確保系統運行可靠，業(yè)務不中斷，數據不丟失。2.2 建設關鍵需求針對上述提及的建設原則，建議IT架構需要滿足如下要求：1、IT資源全面池化伴隨著數據與業(yè)務的集中，傳統數據中心的硬件架構已經無法滿足業(yè)務的快速上線和靈活的業(yè)務部署，新架構需要通過軟件定義的方式實現全新的IT基礎架構，也就是通過服務器虛擬化將所有X86的計算資源池化、通過網絡虛擬化構建出適合虛擬機遷移的大二層環(huán)境、最后通過存儲虛擬化實現存儲空間的融合。對于軟件定義的數據中心，需要充分保障物理資源層、資源抽象與控制層和云服務層穩(wěn)定性與安全性，并提供異地容災備份服務。2、安全優(yōu)化如影隨形隨著業(yè)務的不斷擴展，4-7層的安全、優(yōu)化架構也需要緊密跟隨。傳統的煙囪式建設方式會讓數據中心里出現大量的安全、優(yōu)化設備，同時也會讓安全管理變得復雜。 從業(yè)務的角度上分析，新的IT架構必須能夠對舊系統、舊應用進行平滑遷移，4-7層的安全、優(yōu)化特性按需部署，資源靈活調度； 從管理的角度上分析，平臺的建設需要將所有4-7層的安全、優(yōu)化機制下沉至虛擬機，通過統一的管理平臺對虛擬機的整個生命周期進行管理，同時精細的管理到虛擬機中的安全、優(yōu)化應用。所以需要充分保障整個數據中心中各類業(yè)務的安全可靠，并提供新、舊業(yè)務的平滑遷移。3、自助統一的業(yè)務交付建造新一代的數據中心，最終目標是要實現系統的按需運營，多種服務的開通，而這依賴于對計算、存儲、網絡資源的調度和分配，同時提供用戶管理、組織管理、工作流管理、自助Portal界面等。從用戶資源的申請、審批到分配部署的智能化。管理系統不僅要實現對傳統的物理資源和新的虛擬資源進行管理，還要從全局而非割裂地管理資源，因此統一管理平臺與自動化服務交付是提升服務效率的重要因素。2.3 建設組件及建設模式為了實現上述建設的關鍵需求，通過IT架構的優(yōu)勢，將業(yè)務系統效率發(fā)揮至極致。深信服通過“超融合架構”實現了資源、業(yè)務、數據的集中承載和統一調度，超融合架構包含的組件如下： aSV計算虛擬化解決方案：通過基于KVM的開源虛擬化技術提供更加便捷、靈活和開放的虛擬機生命周期管理； aNET網絡虛擬化解決方案：通過引入VxLAN技術，能夠提升云計算中心的整體擴展性，同時實現多租戶環(huán)境下的安全隔離； aSAN存儲虛擬化解決方案：充分利用現有服務器的硬盤資源，對其進行高密整合，互聯所有X86架構服務器的硬盤總線，實現存儲空間的融合； NFV網絡功能虛擬化解決方案：通過使用虛擬機鏡像的方式運行vAD（應用交付）、vAF（下一代防火墻）等2-7層的安全優(yōu)化組件，解決東西向的安全優(yōu)化特性； VMP虛擬化管理平臺：不僅可以實現Sangfor IaaS架構的統一管理及統一調度，還能夠通過OpenStack北向接口與第三方云管理平臺實現互通，從而將資源的調度管理更加集約化、易用化。深信服超融合架構則通過：超融合一體機 或 超融合操作系統 兩種模式建設。1、超融合一體機：（除了NFV可選以外所有組件均已預集成在硬件中）超融合一體機模式，即：通過定制的x86平臺，預裝好Sangfor IaaS架構，包含了Sangfor虛擬化平臺、Sangfor虛擬化應用套件和Sangfor虛擬化管理平臺。實現計算、網絡、存儲的高度融合，將計算資源、網絡資源和存儲資源池化，為上層應用提供全面的IaaS服務，實現真正意義上的開機即用。2、超融合操作系統：（aSV+aNET或aSV+aSAN或組件全選，NFV可選）超融合操作系統模式，即：通過利舊或者自有的第三方x86平臺，安裝Sangfor超融合操作系統，從而實現和一體機一致的功能和類似的性能， 不同的地方在于： 一體機是預裝所有組件，對硬件做過調優(yōu)，性能最佳； 一體機的價格比單獨購買操作系統的價格更有優(yōu)勢； 在有空閑服務器或者利舊服務器時，操作系統更加節(jié)約投資； 操作系統的部署較靈活，可以根據具體的需要選擇性部署 一體機開機即用，操作系統需要有安裝調試的過程。3 深信服超融合架構解決方案概述深信服超融合架構解決方案，融合了：計算、網絡、存儲和安全四大模塊，通過全虛擬化的方式構建IT架構資源池。所有的模塊資源均可以按需部署，靈活調度，動態(tài)擴展。通過超融合一體機或者超融合操作系統能夠在最短的時間內，充分利舊現有硬件基礎架構，將業(yè)務系統安全、穩(wěn)定、高效的遷移到超融合平臺中，并且為后期邁向私有云平臺奠定基礎，從而能夠實現多租戶的管理及計費審計等功能。深信服的超融合架構解決方案軟件架構主要包含三大組件（服務器虛擬化aSV、網絡虛擬化aNet、存儲虛擬化aSAN）和一個管理平臺（虛擬化管理平臺VMP）。硬件架構上，可以通過一體機的方式實現開機即用，也可以采用通用X86服務器實現基礎架構的承載。配合傳統的園區(qū)網交換機（背板帶寬和交換容量夠用即可）即可完成整個平臺的搭建，無需各種功能復雜、價格昂貴的數據中心級交換機。 圖示：深信服超融合架構全景圖3.1 超融合架構層超融合架構層以服務器虛擬化為底層架構，擴展出網絡虛擬化和存儲虛擬化，通過所畫即所得的方式能夠快速的構建出業(yè)務邏輯，實現虛擬資源的動態(tài)調度和靈活擴展，同時全網流量可視，配置簡易直觀，運維靈活便捷圖示：所畫即所得的業(yè)務邏輯圖示：全網流量可視視圖圖示：簡易直觀的配置界面圖示：靈活便捷的運維操作3.1.1 服務器虛擬化（aSV）3.1.1.1 方案概述深信服aSV虛擬化平臺作為介于硬件和操作系統之間的軟件層，采用裸金屬架構的X86虛擬化技術，實現對服務器物理資源的抽象，將CPU、內存、I/O等服務器物理資源轉化為一組可統一管理、調度和分配的邏輯資源，并基于這些邏輯資源在單個物理服務器上構建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境，實現更高的資源利用率，同時滿足應用更加靈活的資源動態(tài)分配需求，譬如提供熱遷移、HA等高可用特性，實現更低的運營成本、更高的靈活性和更快速的業(yè)務響應速度。3.1.1.2 方案優(yōu)勢1、高可用為了提升服務器虛擬化系統的高可用性，深信服從如下多維度提供了高可用技術，保障業(yè)務的穩(wěn)定性。 故障遷移（HA）: 深信服aSV虛擬化平臺提供虛擬機熱遷移和虛擬機熱備份技術，降低宕機帶來的風險、減少業(yè)務中斷的時間。深信服aSV虛擬化平臺提供Guest OS故障檢測功能， 當客戶機發(fā)生嚴重故障時 （例如Windows系統藍屏） ，虛擬機管理程序會監(jiān)控到客戶機故障。虛擬機管理程序可以重啟或關閉客戶機，從而避免有故障的客戶機持續(xù)占用計算資源。 熱遷移（Motion）:通過熱遷移可以實現虛擬機的在線動態(tài)遷移, 保證業(yè)務連續(xù)性；零宕機時間: 進行計劃內硬件維護和升級遷移工作負載，業(yè)務不中斷；實現整體數據中心業(yè)務高可用，無需使用昂貴、復雜的傳統集群解決方案；最大限度地減少硬件、軟件故障造成的業(yè)務中斷時間；提高整個基礎架構范圍內的保護力度。 跨存儲熱遷移:通借存儲熱遷移 技術，可以在不中斷服務的情況下在跨存儲實時遷移虛擬機磁盤文件。將虛擬機磁盤文件無中斷地遷移到不同種類的存儲設備執(zhí)行存儲熱遷移不會造成停機，并可全面保證業(yè)務不中斷?？蛇w移在任何受支持服務器硬件上運行任何受支持操作系統的虛擬機磁盤文件。可支持任何光纖通道、iSCSI、本地硬盤等存儲系統實時遷移的虛擬機磁盤文件。2、極速備份深信服VMP虛擬化平臺，將備份系統融合在整體VMP平臺，實現簡單易用的備份系統，由客戶設置自動備份計劃，系統管理根據這些設置定期進行自動備份處理，以增強系統數據的安全性，同時增強自動處理事務能力，可以在不處理日常業(yè)務的時間里進行此項工作。 精確備份時間策略：可精確到小時級的備份計劃，讓備份數據更精準完善。 智能備份路徑選擇：可智能選擇備份路徑，根據存儲空間的使用情況來智能選擇備份位置，且與原位置不同，保證原主機或存儲故障后，能從其它備份位置恢復。也可選擇客戶簡單易用的Windows共享目錄實現快速易用的備份。3、高效P2V遷移通過深信服VMP Convert實現快速的物理機遷移虛擬機，跨平臺的虛擬機遷移虛擬機。而整個虛擬化遷移過程不超過5分鐘，業(yè)務中斷在2分鐘以內。也可實現快速虛擬機平臺還原回物理機的回滾，保證業(yè)務數據不丟失。4、虛擬化運維工作更簡單 免插件控制臺：免插件的控制臺訪問VM，提升用戶體驗 一鍵新增虛擬機：通過簡單設置，快速創(chuàng)建虛擬機 自動故障處理：系統故障時提出專家解決方案，快速恢復系統及應用 批量新增虛擬機：為經常重復的工作內容提供自動化操作平臺5、高安全性虛擬化平臺保障 虛擬化文件系統加密通過高強度加密的Sangfor虛擬化文件系統，保證數據安全。通過添加每用戶的密鑰實現加密功能提高安全性。非法人員即使盜走保存有機密數據的硬盤或者虛擬機虛擬硬盤文件，也能夠防止其數據被其他用戶或外部攻擊者未經授權的訪問。 底層防攻擊合入深信服NGAF多年的安全積累的防攻擊模塊，保障底層Hypervisor更安全,最大限度的控制網絡系統，加強邊界訪問控制權限的建立，降低安全風險,消除網絡系統、操作系統、本身存在的大量弱點漏洞和認為操作或配置產生的與安全策略相違背的系統配置，減少入侵者成功入侵的可能；加強網絡系統入侵行為的檢測和防御能力，有效阻止來自外部的攻擊行為，同時也防止來自內部的違規(guī)操作行為；通過加固手段切實提高操作系統的安全級別，保證系統安全。 6、智能虛擬系統可用性 系統故障恢復：虛擬機系統故障檢測，虛擬機內部系統藍屏，或者CPU 利用率100%卡死虛擬機操作系統時，Sangfor VMP HA可偵測病重啟該虛擬機 源保障及控制：通過調整不同業(yè)務虛擬機的CPU，內存等計算資源的優(yōu)先級，保障關鍵應用計算資源需求，提升高優(yōu)先級系統的可用性7、高性能虛擬化平臺 塊數據緩存：實現針對文件系統的塊數據緩存，通過提升大文件讀取速度，優(yōu)化用戶體驗 歷史數據預?。壕珳首x取虛擬機歷史塊數據，加快系統開機速度 SCSI虛擬化硬盤加速：通過優(yōu)化SCSI磁盤驅動，整體提升磁盤I/O性能。3.1.2 網絡虛擬化（aNET）3.1.2.1 方案概述深信服網絡虛擬化aNet，通過提供全新的網絡運營方式，解決了傳統硬件網絡的眾多管理和運維難題，并且?guī)椭鷶祿行牟僮鲉T將敏捷性和經濟性提高若干數量級。深信服網絡虛擬化aNet方案通過和服務器虛擬化aSV相結合，在虛擬機和物理網絡之間，提供了一整套完整的邏輯網絡設備、連接和服務，包括分布式虛擬交換機aSwitch、虛擬路由器aRouter、虛擬下一代防火墻vNGAF、虛擬應用交付vAD、虛擬vSSL VPN、虛擬廣域網優(yōu)化vWOC等虛擬網絡、安全設備；然后，還可以支持VXLAN等增強網絡協議，實現和物理網絡的無縫對接，簡化網絡的配置管理；此外，還可以通過虛擬化管理平臺，實現網絡拓撲部署、網絡故障探測等網絡管理功能。從而，aNet虛擬網絡可以快速完成不同應用系統的網絡部署，網絡配置的自動化調整，網絡故障排查等工作，提升網絡的管理運維效率，提升網絡就緒、擴展速度，降低數據中心物理網絡的建設成本。3.1.2.2 方案優(yōu)勢1、簡化網絡結構，節(jié)省硬件網絡投資在部署了深信服的網絡虛擬化aNet之后，過去傳統的接入交換、路由器、負載均衡、防火墻等傳統網絡、安全硬件設備，通通變成虛擬化的方式運行在服務器里。以前。串糖葫蘆式的網絡結構也會變得非常的扁平，服務器全部接入到一個大二層的網絡，極大的簡化物理連線。此外，硬件交換機不再需要支持類似TRILL/SPB/FabricPath/VPLS（為了解決服務器虛擬化部署后的問題，新推出的交換機特性）等一些列不必要的過渡性網絡功能，從而只需要普通的交換機就可以滿足云計算網絡的建設，降低了不必要的網絡建設成本。2、簡化網絡配置，實現業(yè)務自動化調整部署了虛擬網絡aNet后，對于物理交換機來說虛擬化環(huán)境中的虛擬機網絡流量將會變得透明，物理交換機不再需要配置復雜的網絡策略，提供簡單的大二層轉發(fā)即可。因為，所有虛擬機的VLAN、QoS、ACL等網絡配置策略，將會部署aSwitch上。而aSwitch將會自動根據每臺虛擬機遷移、刪除等過程，實現網絡策略的自動跟隨，實現網絡配置的自動化調整，極大的簡化了虛擬機遷移所帶來復雜的網絡運維工作。3、高可靠&高性能過去傳統物理網絡容易因為網絡設備的故障而產生問題，解決起來也非常困難，時間都是以小時為單位的。所以，深信服的網絡虛擬化產品，在可靠性方面做了很多的改進，首先通過應用層協議棧技術，我們把數據轉發(fā)放到了應用層，能夠讓設備永不宕機,而分布式設計的虛擬路由和虛擬交換機，出現故障的時候能夠實現秒級切換，從而避免虛擬設備的單點故障，物理設備和鏈路我們設計了集群部署和鏈路聚合，能夠避免物理環(huán)境的單點故障；這樣，我們就實現了整個虛擬網絡環(huán)境的高可靠保障，任意環(huán)節(jié)出現故障，都能被自動檢測出來，并快速恢復業(yè)務。此外，對于虛擬化網絡的性能問題，深信服自主研發(fā)了高性能網絡轉發(fā)引擎，結合intel最新的DPDK技術和SR-IOV技術，aSwitch虛擬設備可以達到雙向10G的數據轉發(fā)，讓虛擬化網絡能夠以非常低廉的成本擁有和物理網絡一樣強勁的性能。4、完整專業(yè)的L4-L7網絡服務，確保架構平滑遷移只把交換機和路由器虛擬化是不夠的，復雜的業(yè)務環(huán)境是必須要配置負載均衡、VPN、防火墻這樣的L4-L7安全、優(yōu)化功能。所以，深信服將在硬件設備領域非常具有優(yōu)勢的NGAF、AD、WOC、SSL VPN等設備也虛擬化了，從而可以幫助用戶將應用系統平滑的從物理環(huán)境遷移到虛擬化環(huán)境中，并滿足安全合規(guī)要求。vNGAF、vAD、vWOC、vSSL VPN等虛擬化設備，保持了和硬件設備一致的功能特性，并且具備齊全的各種產品資質證書，如安全產品銷售許可證等。用戶只需要根據不同應用系統的性能要求，分配1、2、4、8核不同檔次的CPU資源，各種虛擬化設備就可以提供從百兆到千兆的性能。5、多層次安全策略，無縫安全防護為了從不同維度提升虛擬化平臺的安全性，通過隔離的分布式交換機、ACL訪問控制、NGAF的L2-L7安全防護技術、SSL VPN完整的安全接入技術等方式，可以加固虛擬機、業(yè)務系統等不同虛擬化環(huán)境邊界的安全性。尤其是NGAF可以提供包括：狀態(tài)檢測、應用訪問控制、漏洞防護、Web攻擊保護、防敏感信息泄露、漏洞風險掃描、安全策略聯動、防木馬病毒等完整的L2-L7安全功能，可以幫助用戶簡化安全部署，并滿足合規(guī)要求。3.1.3 存儲虛擬化（aSAN）3.1.3.1 方案概述深信服存儲虛擬化aSAN，基于集群設計，將服務器上的硬盤存儲空間組織起來形成一個統一的虛擬共享存儲資源池，即ServerSAN分布式存儲系統，進行數據的高可靠、高性能存儲。分布式存儲系統在功能上與獨立共享存儲完全一致；一份數據會同時存儲在多個不同的物理服務器硬盤上，提升數據可靠性；此外，再通過SSD緩存，可以大幅提升服務器硬盤的IO性能，實現高性能存儲。同時，由于存儲與計算完全融合在一個硬件平臺上，用戶無需像以往那樣購買連接計算服務器和存儲設備的SAN網絡設備（FC SAN或者iSCSI SAN）。3.1.3.2 方案優(yōu)勢1、橫向、縱向線性按需擴展aSAN存儲虛擬化方案可以支持橫向（增加服務器數量）、縱向（增加單臺服務器的硬盤數量）等擴展方式，擴展起來非常簡單，只需要將新的服務器加入原來的集群就可以實現擴展，擴展后可以實現容量和性能的同步擴展，目前最大支持64臺服務器組件一個集群。此外，添加新的服務器到集群后，不僅存儲空間得到擴展，性能也會得到同步的擴展，例如2臺服務器擴展到4臺服務器后，不僅存儲空間得到擴展，整體性能也會擴展為原來的2倍。所以，aSAN可以幫助客戶不需要過多地考慮未來的擴展，只需要滿足未來36個月的需求就足夠了，極大降低了初期的投資成本，并避免了傳統FC存儲由于無法平滑擴展性能，而需要遷移數據存儲所帶的高風險。2、數據保護和高可用性在可靠性方面，虛擬化存儲aSAN沒有采用傳統FC存儲的raid方式，而是把每份數據copy成多份副本進行多副本存儲，服務器只需要以常規(guī)手段掛載硬盤，虛擬化存儲平臺會把數據、在不同的物理服務器硬盤里創(chuàng)建2個到3個一樣的副本。而且，每一次數據的變化，都會通過網絡，同時在aSAN中的所有副本里進行同步，從而確保數據的一致性。這樣做的好處非常明顯，首先，由于不需要使用raid，服務器的磁盤利用率會非常高，多副本的同步存儲方式、又能夠在最大程度上確保數據的互備效果，從而低成本的實現存儲的高可靠。由于aSAN存儲虛擬化采用副本方式保存數據，支持2-3份副本。當物理硬盤出現故障的時候，存儲則會被重新指向另外一個健康的副本，整個過程是毫秒級的切換,對用戶來講基本是無感知的。如果不幸遇上了物理主機或者是網絡故障，整個虛擬化平臺可以完成分鐘級的切換，業(yè)務系統或者網絡設備的虛機可以快速切換到另一臺服務器拉起，幾分鐘就能恢復正常運作，而存儲的指向仍然保持了同步，這樣就比傳統方式的業(yè)務恢復速度快了很多。3、高性能SSD緩存技術：由于傳統的sas盤、sata盤的性能只有7200轉，iops達不到眾多應用系統的相關性能要求。所以，深信服的存儲虛擬化aSAN在硬件架構上會要求采用SSD雙緩存方式，讀和寫都使用獨立的SSD硬盤來實現，借助于SSD的高效緩存技術，可以讓用戶以較低的成本獲得非常高的IO性能。此外，通過我們的算法優(yōu)化，業(yè)務系統所請求的數據、絕大部分情況下都會直接讀取到本地磁盤上的副本，從而使得存儲的響應速度大幅提升，明顯提升整體存儲的IOPS性能。3.1.4 網絡功能虛擬化（NFV）3.1.4.1 方案概述當前軟件定義網絡成為了技術發(fā)展的趨勢，深信服也率先在國內推出全系列的數據中心安全、優(yōu)化產品（NGAF下一代防火墻、SSL VPN、AD應用交付、WOC廣域網優(yōu)化）軟件虛擬化解決方案。這些過去需要以專用硬件方式部署的產品，不再需要依賴專用的硬件，可以以軟件鏡像的方式，完美支持在Vmware、KVM、XEN等服務器虛擬化環(huán)境下的部署。從而極大的簡化政務云數據中心網絡的架構，為各個租戶的虛擬應用按需、靈活的虛擬擴展出各種安全和優(yōu)化方案，同時還便于劃分清楚各方的運維職責。3.1.4.2 性能與功能軟件虛擬化版本產品直接以虛擬機的方式運行，只需要分配好相應的CPU、內存、硬盤等資源大小，就可以獲得對應性能的安全、優(yōu)化產品。一般會分為1核、2核、4核、8核CPU等檔次，性能從百兆到千兆。功能方面，由于是將現有硬件產品的版本直接平移，所以軟件版產品的功能與硬件設備保持一致，可以為用戶提供最專業(yè)的網絡安全、網絡優(yōu)化解決方案。3.1.4.3 部署模式vAD、vAF、vSSL VPN、vWOC等虛擬化軟件設備支持路由、單臂等部署方式，針對不同租戶開啟一個對應的虛機鏡像，通過集中管理平臺開通虛擬設備授權，然后配置vSwitch連通網絡，只需數分鐘即可為不同租戶提供各種增值網絡服務。 路由部署： vAF、vWOC 單臂旁掛： vAD、vSSL VPN3.1.4.4 管理特點1、簡單5步，快速部署上線： 購買授權：向深信服購買軟件授權 導入鏡像：將設備鏡像拷貝進入虛擬化環(huán)境 注冊開通：在授權服務器上開通 策略配置：配置AD、AF、SSL等虛擬設備的相關策略 vSwitch配置：配置虛擬交換機實現業(yè)務的互通2、面向OpenStack的統一管理深信服的vAD、vAF、vSSL VPN、vWOC等功能模塊不僅可以通過Sangfor虛擬化管理模塊實現統一的超融合管理，所有模塊均開放了北向的OpenStack接口，通過開放的統一接口，能夠更好的實現和第三方平臺的融合，并實現功能服務的創(chuàng)建及關閉、功能模塊的策略配置。下面以vAD為例，通過界面截圖，了解面向OpenStack的統一管理。3.1.4.5 方案優(yōu)勢1、專業(yè)完整：vAD、vAF、vSSL VPN、vWOC保持了與硬件產品一致的專業(yè)功能，還具備各種產品的合規(guī)資質；而且產品類別完整，不需多廠家產品拼湊，就可以滿足用戶將應用遷移到云環(huán)境中的各種傳統業(yè)務安全、優(yōu)化需求。2、簡單易用：簡單4步，快速部署上線，無需機房連線操作，設備的配置界面保持了與硬件設備一致的風格，讓云中心/租戶管理員只需要數分鐘時間，就可以快速完成業(yè)務的上線部署。3、隨需擴展：云中心管理員可以根據租戶的業(yè)務發(fā)展，增加虛機資源，按需擴展虛擬設備功能、性能。不用擔心過去由于租戶增多，硬件設備性能不足，而要淘汰、更換設備的情況，保護投資。4、總成本低：軟件虛擬化產品比同等性能的硬件設備更具有價格優(yōu)勢，而且不用擔心設備淘汰帶來的投資浪費。簡單易用的部署方式，也大大減低了方案運維成本。同時，分權的管理模式，運維職責劃分更加明確，可以降低出現故障時的責任風險。3.1.4.6 提供的增值業(yè)務服務1、安全類服務： 入侵檢測和防御服務通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。提供主動式入侵防御功能，能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟件的攻擊。每月一份報告，每個租戶一套NGAF開啟FW+IPS功能模塊。 WEB業(yè)務在線防護WAF在網站前端架設在線WAF防護系統，保證用戶網站對各種SQL注入、XSS跨站、網站掛面、敏感信息泄密、網頁篡改等攻擊進行防護，每月一份防護記錄，每個租戶一套NGAF開啟WAF功能模塊。 業(yè)務系統安全風險分析服務提供系統級的安全隱患分析服務，包括外部訪問、系統維護、等信息匯總。提供系統安全分析，包括可疑訪問、惡意訪問、安全試探、異常數據訪問等安全隱患的預警性分析，建議每月一次，每個租戶一套NGAF開啟漏洞掃描和分析功能模塊 SSL VPN接入服務采用SSL技術提供虛擬專用網絡接入服務，可以面向PC、移動終端等提供安全接入方式，幫助租戶實現內部用戶、第三方用戶的遠程安全接入。每月按用戶數量靈活收費，每個租戶一套SSL VPN 移動APP安全加固服務針對租戶的移動APP提供自動化的安全加固服務，讓APP可以直接和VPN網關加密傳輸，并在移動終端上加密存儲數據，提供端到端的數據防泄密功能。每月按用戶數量靈活收費，每個租戶一套SSL VPN +EasyAPP功能模塊。 政務移動門戶和設備管理為每個租戶提供一個統一的移動業(yè)務門戶，包括移動設備管理、政務移動應用商店、移動設備安全監(jiān)控、數據遠程擦除都能功能。每月按用戶數量靈活收費，每個租戶一套SSL VPN +EMM功能模塊。2、業(yè)務優(yōu)化類服務： 服務器負載均衡服務：租戶的各種應用系統，如果需要多臺虛擬服務器實現高可靠解決方案時，服務器負載均衡是必要組件，通過部署軟件版應用交付產品，可以為租戶提供L4-7服務器負載均衡、健康探測、溫暖重啟、VMware聯動等功能，保障業(yè)務穩(wěn)定性。每月按一套設備收費，每個租戶一套AD應用交付產品。 網站加速服務:對網站進行整體加速與實時優(yōu)化，通過應用交付AD的單邊加速、SSL卸載、TCP優(yōu)化、圖片轉碼等功能，避開網絡擁塞，加快在互聯網上訪問網站的速度，按網站數量收費，每個租戶一套AD應用交付+應用加速功能模塊。 全局智能DNS服務:自動判斷訪問者的IP地址，智能解析域名，指向相對訪問者來說網絡訪問速度最快的服務器，可按照需要解析的IP數量計費，需要在政務云出口部署硬件鏈路負載均衡實現。 廣域網優(yōu)化接入：當租戶搭建的業(yè)務系統需要通過專網、電子政務外網，讓下屬分支機構、橫向政府單位訪問時，為了避免廣域網存在高丟包、高延遲造成應用訪問慢，解決帶寬不足，以及傳輸鏈路明文傳輸等安全問題，可以部署廣域網優(yōu)化WOC，通過一體化的應用優(yōu)化、傳輸優(yōu)化、VPN功能，幫助租戶建立一套快速、安全的廣域網傳輸機制。政務云中心一套軟件版WOC產品，按月收費；各個分支機構部署硬件WOC產品，一次性采購或者租用。3.2 多業(yè)務模板層通過多業(yè)務模板，能夠在超融合架構中創(chuàng)建出基于各種模塊的Profile文件，例如：端口的策略模板、網絡協議模板、安全功能模板、虛機模板、用戶文件、存儲配置模板等。圖示：多業(yè)務模板層利用模板下發(fā)的方式實現整個業(yè)務邏輯架構的快速創(chuàng)建和故障拓撲的快速回滾。同時可以通過模板上傳的方式搭建一個模板庫，多租戶共享同一個模板庫，從而能夠根據自己的需要，下載相應的模板，實現業(yè)務的快速上線。3.3 虛擬化管理平臺深信服虛擬化管理平臺VMP是一個針對超融合架構進行IT資源進行全面管理、調度的管理系統?？梢葬槍ξ锢碇鳈C、服務器虛擬化、網絡虛擬化、存儲虛擬化等設備和組件進行資源負載監(jiān)控、虛擬資源配置和調度、網絡拓撲部署、網絡設備策略配置、網絡故障排查、存儲資源管理、數據備份管理等。尤其是網絡拓撲部署功能，管理員只需要在界面上畫出所需要的網絡、安全、虛機的組網拓撲，只需數分鐘就可以實現業(yè)務系統的就緒，做到“所畫即所得”。此外，還可以針對管理員進行權限的管理和劃分，后續(xù)通過升級可以支持多租戶業(yè)務場景的管理。從而，只需要一個管理界面，就可以幫助運維人員高效、簡便的實現云計算中心IT資源的部署、運維、排障。3.3.1 服務器虛擬化管理模塊服務器虛擬化管理模塊可以針對物理主機、虛擬機、內置/外置存儲進行全面的系統管理。比如，可以針對物理主機增加/刪除、物理主機性能監(jiān)控、應用系統P2V遷移、虛擬機創(chuàng)建/克隆/遷移/監(jiān)控、存儲資源管理、數據備份和恢復等等。1、服務器虛擬化性能監(jiān)控功能：2、虛擬機創(chuàng)建、遷移管理功能：3、數據備份和恢復功能：3.3.2 網絡虛擬化管理模塊網絡虛擬化管理模塊可以針對虛擬化環(huán)境下的虛擬交換機、虛擬路由器、虛擬下一代防火墻、虛擬應用交付、虛擬VPN、虛擬廣域網優(yōu)化、物理網絡邊界等進行全面的管理，并進行網絡拓撲部署、故障自動排查等功能。從而可以讓過去以天為單位計算的網絡部署周期縮短為分鐘級，讓網絡故障的排查更加自動化，減少人為故障的可能。1、網絡拓撲管理和部署：通過拖動管理界面左側中的各種網絡、安全設備圖標到畫布中，并完成網絡連線，畫出實際應用系統所需要的網絡架構，整個業(yè)務系統就可以快速完成部署。如下圖所示，就是搭建一個Web應用所需要的Web服務器區(qū)、APP服務器區(qū)、DB服務器區(qū)所需要