FusionSphere虛擬數(shù)據(jù)中心技術白皮書

1、 DOCPROPERTY Product Project Name 華為FusionSphere DOCPROPERTY DocumentName 虛擬數(shù)據(jù)中心技術白皮書前 言概述本文檔介紹FusionSphere產(chǎn)品的虛擬數(shù)據(jù)中心能力。符號約定在本文中可能出現(xiàn)下列標志，它們所代表的含義如下。符號說明用于警示緊急的危險情形，若不避免，將會導致人員死亡或嚴重的人身傷害。用于警示潛在的危險情形，若不避免，可能會導致人員死亡或嚴重的人身傷害。用于警示潛在的危險情形，若不避免，可能會導致中度或輕微的人身傷害。用于傳遞設備或環(huán)境安全警示信息，若不避免，可能會導致設備損壞、數(shù)據(jù)丟失、設備性能降低或其它不可

2、預知的結果。“注意”不涉及人身傷害。用于突出重要/關鍵信息、最佳實踐和小竅門等。“說明”不是安全警示信息，不涉及人身、設備及環(huán)境傷害信息。 STYLEREF Contents 目 錄 DOCPROPERTY DocumentName 虛擬數(shù)據(jù)中心技術白皮書目 錄 TOC o 1-1 h z t 標題 2,2,標題 3,3,Appendix heading 2,2,Appendix heading 3,3 HYPERLINK l _Toc395625516 前 言 錯誤！文檔中沒有指定樣式的文字。 STYLEREF 7 錯誤！文檔中沒有指定樣式的文字。 DOCPROPERTY Product&P

3、roject Name DOCPROPERTY DocumentName 虛擬數(shù)據(jù)中心技術白皮書什么是虛擬數(shù)據(jù)中心用戶故事王總，42歲，某中小型互聯(lián)網(wǎng)公司IT部門主管。他昨晚沒有睡好。昨天網(wǎng)上業(yè)務平臺運行緩慢，并且在晚上8點左右出現(xiàn)了系統(tǒng)崩潰。經(jīng)過定位是因為秒殺活動導致系統(tǒng)瞬間過載，同時又壞了一臺服務器，導致整個業(yè)務系統(tǒng)雪崩。隨著網(wǎng)上業(yè)務量增加，他們已經(jīng)給這些服務器加了內(nèi)存，又追加了兩臺高性能服務器，但是還是撐不住。隨著雙11和圣誕新年的到來，訂單量還在不斷增長。他們預計滿足這些業(yè)務壓力需要擴充至少20臺4路服務器。隨之而來的是匯聚交換機的口也不夠了，機房空間還夠但是供電比較緊張了。隨著訂單增

4、加物流系統(tǒng)也需要擴容，這樣供電也扛不住。前天內(nèi)服部門一臺服務器宕了，發(fā)現(xiàn)是維修部的一臺臨時接入的便攜機染毒了，在全網(wǎng)內(nèi)發(fā)起了廣播。由于業(yè)務系統(tǒng)是和內(nèi)服維修這些系統(tǒng)隔離的，幸好沒有對業(yè)務造成影響。內(nèi)服部門說因為這個他們活沒有做完必須加班，要求把他們的系統(tǒng)也隔離起來。但是怎么可能給內(nèi)服部門一臺獨立的防火墻呢？防火墻那么貴。前天手下一個熟手因為配置太復雜，撐不住離職了，這讓王總一個頭有兩個大。那家伙在離職信中說：“根本不是我在管那些設備，是他們在管我。我受夠了?！边€好這個家伙走之前做了整理，什么IP分配表，VLAN分配表，組網(wǎng)圖，路由配置等等都整理得清清楚楚。但是怎么把網(wǎng)絡配置管好，是個問題。不解決

5、管理復雜的問題，即使有新來的人接手，王總仍然沒有把握。問題多的時候，就說明需要轉(zhuǎn)型了，不破不立。世上沒有最完美的系統(tǒng)，只有最合適的，這時候，王總需要云的技術來支撐他了。用戶痛點王總的問題不是個案，而是轉(zhuǎn)型期企業(yè)IT一定會遇到的問題。當IT設備規(guī)模及復雜度到達一定的程度時，量變引起質(zhì)變，會帶來大量的問題：IT基礎設施的供給不能滿足業(yè)務增長，總是滯后，導致業(yè)務發(fā)展受限；業(yè)務部門擔心資源不足總是超量申請，造成資產(chǎn)閑置浪費；部門多，業(yè)務多，組網(wǎng)日漸復雜。同一套路由交換設備需要滿足不同業(yè)務部門的要求，配置復雜且不可追蹤，牽一發(fā)動全身。而且只有少數(shù)幾個人知道怎么搞，靠人來管理又面臨休假/離職這些情況。部門

6、間網(wǎng)絡不隔離，導致網(wǎng)絡風險不可控。這時，王總需要虛擬數(shù)據(jù)中心技術來協(xié)助他。什么是虛擬數(shù)據(jù)中心技術虛擬數(shù)據(jù)中心其實不是什么很神秘的新技術，而是將云的理念落實到企業(yè)管理中的一種優(yōu)秀實踐。眾所周知，云計算的核心思想是通過虛擬化，標準化，自動化的基礎設施及管理優(yōu)秀實踐，改變IT基礎設施供給的模式。虛擬數(shù)據(jù)中心技術也不例外，支持資源隨需申請，彈性擴縮，自助服務等等這些云計算技術的通用能力。除此之外，虛擬數(shù)據(jù)中心技術向最終用戶提供一個虛擬的所見即所得的數(shù)據(jù)中心，其特點表現(xiàn)在：網(wǎng)絡設備的虛擬化。虛擬數(shù)據(jù)中心技術將防火墻，負載均衡器，二層網(wǎng)絡，三層網(wǎng)關，DHCP，VPN這些設備虛擬化，向最終用戶提供原子級的部

7、件。用戶可以像搭積木一樣搭建自己的網(wǎng)絡。由于使用了虛擬化技術，這些用戶使用的都是虛擬設備。部門間隔離。虛擬數(shù)據(jù)中心技術可以給不同的部門分配不同的網(wǎng)絡，包括VLAN，IP地址段，甚至虛擬防火墻-這下內(nèi)服部門滿意了。重要的是，這樣不同的部門間是互相隔離的。這樣IT人員面對的是和多個獨立的簡單網(wǎng)絡，而不是共用同一套網(wǎng)絡設備的多個系統(tǒng)。資源分配可追溯。所有分配出去的虛擬資源，以及VLAN，IP地址這些資源，都會被追蹤記錄下來，以便于管理及追溯。關鍵資源可管控。公網(wǎng)IP地址，公網(wǎng)帶寬，VPN這些稀缺資源，可以很好的被管理起來，隨業(yè)務部門的需求分配。自服務。虛擬數(shù)據(jù)中心技術使復雜的企業(yè)級IT變回簡潔的小規(guī)

8、模IT系統(tǒng)，就像企業(yè)剛開始創(chuàng)業(yè)時那樣簡單。這樣結合自服務門戶，以及簡單的培訓，什么虛擬機管理，防火墻配置這些都可以交給各個部門的IT funs們自己去維護了。對于王總，他只需要安排每天例行檢查設備故障情況，資源使用情況，分析系統(tǒng)熱點及潛在風險進行事先預防。而他自己也終于有空閑時間學習一下云計算的技術了。虛擬數(shù)據(jù)中心技術概覽虛擬數(shù)據(jù)中心技術都虛擬化了哪些網(wǎng)絡設備看到王總已經(jīng)喝著咖啡研究云計算了，您是不是也有些好奇，究竟我們都虛擬化了哪些網(wǎng)絡設備，都能拿來干什么用。我們虛擬化了如下的幾類設備：虛擬的防火墻。我們支持將物理防火墻設備虛擬化后，作為虛擬防火墻提供給最終用戶使用。用戶就像使用自己的防火墻

9、一樣，可以配置ACL過濾規(guī)則。虛擬的軟件三層網(wǎng)關。借助華為軟件虛擬網(wǎng)絡技術，我們在一個很小規(guī)格的虛擬機（512M內(nèi)存，2G硬盤，1核CPU）上集成了三層網(wǎng)關?；谶@個三層網(wǎng)關，您可以把一些小規(guī)模組網(wǎng)完全用軟件來實現(xiàn)。您所需要做的，就是為這個組網(wǎng)發(fā)放一臺虛擬機，然后幫他們配置一下三層默認路由。如果組網(wǎng)中有防火墻，路由指向防火墻。虛擬的硬件三層網(wǎng)關。我們支持將物理防火墻設備虛擬化后，在虛擬防火墻上同時提供三層網(wǎng)關。由于是硬件實現(xiàn)，其性能和可靠性要優(yōu)于虛擬的三層網(wǎng)關設備。虛擬軟件防火墻設備。虛擬的NAT/NAPT/SNAT設備，目前還不支持ACL、VPN等高級特性。這些能力集成在虛擬三層網(wǎng)關中，軟件

10、和硬件的網(wǎng)關都具備這些能力。虛擬的DHCP。同樣的，在一臺很小規(guī)格的虛擬機（512M內(nèi)存，2G硬盤，1核CPU）中，我們部署了DHCP服務。您可以使用這個DHCP來分配IP地址。這個DHCP是納入我們的整體方案管理的，他會按您設定的規(guī)則來分配IP。DHCP網(wǎng)卡通過trunk模式同時接收多個VLAN的DHCP請求，可以為多個子網(wǎng)提供DHCP服務。虛擬的軟件負載均衡。在一臺很小規(guī)格的虛擬機（2G內(nèi)存，2G硬盤，2核CPU）中，我們部署了軟件負載均衡服務。您可以使用這臺軟件的負載均衡來組成業(yè)務集群。虛擬的硬件負載均衡。我們支持將F5物理負載均衡器虛擬化為虛擬負載均衡。這樣您就可以將一套F5設備用在多

11、個業(yè)務系統(tǒng)中。虛擬的VPN。我們支持將物理防火墻設備虛擬化后，提供虛擬的IPSec VPN，用于將您企業(yè)內(nèi)的已有網(wǎng)絡與云上的網(wǎng)絡打通。結合云計算平臺已經(jīng)具備的虛擬交換機技術，我們可以很靈活的組裝這些網(wǎng)絡設備，就像搭積木一樣。對于大部份部件我們同時提供軟件和硬件的備選方案，您盡可以在成本和性能，可靠性之間作權衡。更重要的，他們是所見即所得的，并且所有的調(diào)整都不需要動物理設備連線。忘記那些像被貓蹂躪過的線團一樣的網(wǎng)線吧。不同的部門間的網(wǎng)絡是怎么隔離的在虛擬數(shù)據(jù)中心技術方案中，不同的部門，或不同的業(yè)務，可以使用獨立的“VPC”來隔離。一個VPC就是一個安全的網(wǎng)絡環(huán)境，包括如下網(wǎng)絡部件：一臺虛擬防火墻

12、；多個網(wǎng)絡平面；在虛擬數(shù)據(jù)中心方案中，網(wǎng)絡平面分為如下三種：內(nèi)部網(wǎng)絡。僅提供裸VLAN，可選支持IP地址管理。不提供網(wǎng)關。這種網(wǎng)絡僅有二層，不提供三層訪問的能力。這種網(wǎng)絡一般用于內(nèi)部使用的，不允許與外部路由的網(wǎng)絡。路由網(wǎng)絡。提供VLAN，IP地址管理，三層網(wǎng)關。對于一個VPC下的所有路由網(wǎng)絡，我們會自動打通這些路由網(wǎng)絡之間的路由，這樣方面您的不同路由網(wǎng)絡下的虛擬機互相訪問。我們也會打通這些網(wǎng)關到虛擬防火墻的路由，以便于您使用時用防火墻作為VPC邊界。直連網(wǎng)絡。提供將虛擬機直接接入到外部網(wǎng)路的能力。部署到這個網(wǎng)絡中的VM可以分配到外部的IP地址。外部網(wǎng)絡。所謂外部網(wǎng)絡，就是網(wǎng)關和路由不在虛擬數(shù)據(jù)

13、中心方案中管理的網(wǎng)絡平面。提供將您的虛擬機直接接入到外部網(wǎng)絡的能力。外部網(wǎng)絡在虛擬數(shù)據(jù)中心方案中表現(xiàn)為一個獨立VLAN，虛擬數(shù)據(jù)中心方案不管理這個VLAN上的IP地址分配/當前支持的IP地址分配方案有兩種：DHCP動態(tài)分配。此時虛擬數(shù)據(jù)中心方案中會在一個VPC內(nèi)部署一臺軟件的DHCP服務，用于向虛擬機提供IP地址分配。虛擬數(shù)據(jù)中心方案已經(jīng)做了IP地址到虛擬機的綁定，即虛擬機每次從DHCP服務請求到的IP地址總是固定的。靜態(tài)注入。借助虛擬化層的能力，虛擬數(shù)據(jù)中心方案可以在虛擬機創(chuàng)建時直接設定此虛擬機的IP地址。受虛擬化層能力限制，并不是所有的操作系統(tǒng)都可以靜態(tài)注入IP地址。由于不同的VPC使用各

14、自的DHCP進行管理，所以VPC之間的地址空間是可以重疊的。這樣就使得最終用戶可以靈活的規(guī)劃他的內(nèi)部地址，而不受其他部門的干擾。對于需要跨部門互通的情況，可以采用如下的方法：事先規(guī)劃好。事先為每個VPC規(guī)劃一個網(wǎng)段作為全局互通的網(wǎng)段，然后通過路由器的配置實現(xiàn)互通。使用一個獨立規(guī)劃的外部網(wǎng)絡。使用負載均衡進行流量分發(fā)從internet進入到VPC內(nèi)的流量，可以通過負載均衡器進行流量分發(fā)，您可以選擇：虛擬的硬件負載均衡器虛擬的軟件負載均衡器對于負載均衡器，可以選擇round Robin或Least Connections算法對網(wǎng)絡服務的流量進行分發(fā)，提高業(yè)務的響應速度，并提供應用的可靠性。您可以根

15、據(jù)自己的業(yè)務情況和網(wǎng)絡負載選擇使用硬件或者軟件的虛擬負載均衡器。虛擬機硬件負載均衡器依賴于F5 BIG-IP LTM系列負載均衡設備。管理資源配額您可以通過VDC對企業(yè)內(nèi)的不同應用可以使用的資源進行配額管理，包括CPU，內(nèi)存，存儲等。將資源虛擬化成VDC， 業(yè)務管理員只需要關心多少資源可用（CPU, 內(nèi)存，存儲）， 不關心應用使用的資源的具體部署。按應用分配資源， 保證應用間資源使用不沖突。 按硬件配置劃分給不同的VDC， 提供不同質(zhì)量的資源給對應的應用。 使用VDC進行資源配額配置 ，可以方便的對系統(tǒng)內(nèi)的資源進行整體的規(guī)劃，提升運維能力，并達到對資源進行靈活部署的目的。如何從Internet

16、訪問VPC從internet訪問VPC內(nèi)的機器，您可以有如下的選擇：彈性IP。此方法適用于將某臺虛擬機暴露到互聯(lián)網(wǎng)，用于對Internet提供服務。NAPT。此方式適合于通過互聯(lián)網(wǎng)連接到某臺虛擬機，用于做維護操作。SNAT。此方式適合于大量虛擬機匿名訪問Internet的場景，比如遠程調(diào)用第三方地圖API之類。VPN。此方式使得互聯(lián)網(wǎng)上的機器通過VPN模式接入到VPC內(nèi)，與VPC內(nèi)的路由網(wǎng)絡中的任何服務器互通。VNC。VNC連接適用于遠程管理網(wǎng)絡無法到達，或網(wǎng)絡還未啟動就緒的虛擬機，用戶體驗較差。下面對這五種方法逐一詳解。彈性IP地址彈性IP地址本身是一個公網(wǎng)IP地址，您可以動態(tài)的將該IP地址

17、綁定到VPC內(nèi)任何一個路由網(wǎng)絡中的內(nèi)部IP地址上。這個地址可以是虛擬機的IP地址，虛擬負載均衡器的北向地址，也可以是一個不綁定到任何虛擬機的浮動IP。此地址受VPC邊界的虛擬防火墻保護，您可以針對該地址配置防火墻ACL規(guī)則。同時，作為系統(tǒng)管理員，您也可以限制此地址的帶寬。此特性依賴于虛擬防火墻，無虛擬防火墻時無法使用。NAPTNAPT一般用于從公網(wǎng)通過SSH/MSTSC/FTP等遠程交互手段連接虛擬機時使用。使用此方法可以連接到VPC內(nèi)任何一個路由網(wǎng)絡中的內(nèi)部IP地址上的制定端口上。這個地址可以是虛擬機的IP地址，虛擬負載均衡器的北向地址，也可以是一個不綁定到任何虛擬機的浮動IP。此地址受VP

18、C邊界的虛擬防火墻保護，您需要合理的配置防火墻規(guī)則以避免您自己攔截了自己的請求。此特性依賴于虛擬防火墻，無虛擬防火墻時無法使用。SNAT對于僅需要單向訪問Internet，不需要向Internet暴露服務的情況下，您可以使用SNAT。SNAT允許您配置一個可路由網(wǎng)絡，以及一個或一段公網(wǎng)IP地址。配置后來自此可路由網(wǎng)絡的Internet請求，在從VPC發(fā)出時，請求源端IP地址都會被映射到指定的公網(wǎng)IP地址。這樣Internet上的主機收到請求后，發(fā)回的響應就會依據(jù)SNAT配置的公網(wǎng)IP地址路由回來。此路由網(wǎng)絡受VPC邊界的虛擬防火墻保護，您需要合理的配置防火墻規(guī)則以避免您自己攔截了自己的請求。此

19、特性依賴于虛擬防火墻，無虛擬防火墻時無法使用。VPN當前支持IPsec VPN，支持client-server模式，以及server-server模式。出于internet的用戶可以使用client-server模式接入到VPC內(nèi)，與VPC內(nèi)的路由網(wǎng)絡中的任何服務器互通。Server-server模式用于在一個組織的多個網(wǎng)絡之間建立安全隧道連接，打通網(wǎng)絡。移動設備遠程接入網(wǎng)關用于在出差員工或AP之類的移動設備要遠程訪問一個IPSec網(wǎng)關，可以通過L2TP over IPSec的方式，如下 HYPERLINK http:/localhost:7890/pages/3118G2D3/02/3118

20、G2D3/02/resources/cfg_vpn/sec_vsp_cfg_ipsec_0154.html?ft=0&fe=10&hib=.1.2&id=sec_vsp_cfg_ipsec_0154 l sec_vsp_cfg_ipsec_0154_fig2 圖所示。此模式下主機側需要有支持IPSec的客戶端，網(wǎng)關側需要支持IPSec。采用L2TP over IPSec方式接入IPSec網(wǎng)關此特性依賴于虛擬防火墻，無虛擬防火墻時無法使用。VNCVNC的用戶體驗比較差，一般說來只有這樣的情況才需要使用：被連接的虛擬機不在路由網(wǎng)絡內(nèi)，無法使用彈性IP或NAPT進行連接；或被連接的虛擬機網(wǎng)絡斷連；或

21、被連接的虛擬機未正常啟動，系統(tǒng)卡死等網(wǎng)絡功能不具備的情況；VNC并不通過虛擬機提供的網(wǎng)絡通道連接虛擬機，而是使用虛擬化平臺提供的遠程管控能力。確定需要創(chuàng)建哪些網(wǎng)絡資源系統(tǒng)提供了這么多功能，客戶應該怎么用？應該用哪些功能組合來滿足自己的實際需求呢，我們給出了一個比較典型的網(wǎng)絡決策流程供參考。怎么使用虛擬數(shù)據(jù)中心技術典型三層網(wǎng)站我們可以使用上面的這些技術搭建一個典型的三層網(wǎng)站架構。一個典型的三層網(wǎng)站包括如下三層：Portal ServerApp Server數(shù)據(jù)庫Server部署這樣一個網(wǎng)站，我們經(jīng)過如下步驟：我們?yōu)檫@個網(wǎng)站創(chuàng)建一個獨立的VPC，并為他的邊界配置虛擬防火墻。我們需要為這個網(wǎng)站規(guī)劃網(wǎng)

22、絡，需要兩個可路由網(wǎng)絡，網(wǎng)絡A用于Portal Server，負載均衡器和App Server，網(wǎng)絡B用于數(shù)據(jù)庫Server。我們創(chuàng)建一個Portal Server的虛擬機，放在子網(wǎng)A中。我們創(chuàng)建一個虛擬負載均衡器，也放在子網(wǎng)A中。我們創(chuàng)建三臺App Server的虛擬機，使用雙網(wǎng)卡分別連接網(wǎng)絡A和網(wǎng)絡B。我們創(chuàng)建一臺數(shù)據(jù)庫Server的虛擬機，連接到網(wǎng)絡B。我們在各個虛擬機和負載均衡上分別配置連接關系。我們?yōu)镻ortal Server申請一個彈性IP地址，并綁定。結合FusionManager部件的彈性自動伸縮功能，還可以使此三層網(wǎng)站具備一定的彈性擴縮能力，使某一層的虛擬機數(shù)量隨業(yè)務負載的變

23、化而動態(tài)變化，從而動態(tài)的響應業(yè)務量的變化。結合FusionManager的應用模板能力，您可以將此三層網(wǎng)站做成一個模板，然后利用此模板直接部署一個三層應用。結合FusionSphere提供的數(shù)據(jù)備份方案，還可以為數(shù)據(jù)庫虛擬機提供自定義策略的自動化備份方案，從而提升系統(tǒng)的可靠性。約束與限制創(chuàng)建約束vlan池： a、與zone下其他vlanpool中的vlan不能重復 b、與vsa管理網(wǎng)絡，vtep網(wǎng)絡所使用的vlan不能重復，從FC上發(fā)現(xiàn)上來的VTEP網(wǎng)絡所使用的vlan不能重復。 vxlan池 a、vlanid為409616777215,vlanpool中的vlan在zone下不能重復。vla

24、n池關聯(lián)dvs a、vlanpool只能關聯(lián)一個集群下的一個dvsvsa網(wǎng)絡（vsa管理網(wǎng)絡，vtep網(wǎng)絡）： a、VLAN號在同一個Zone下不能重復(本身不能重，也不能跟vlan池里面的vlan重復)，不同的Zone之間可以重復 b、和zone下的其他vsa網(wǎng)絡，外部網(wǎng)絡以及VPC下的業(yè)務網(wǎng)絡（內(nèi)部網(wǎng)絡、路由網(wǎng)絡）子網(wǎng)不能有沖突，和GE上發(fā)現(xiàn)上來的VTEP子網(wǎng)不能重。 c、zone下的vsa管理網(wǎng)絡的子網(wǎng)（子網(wǎng)IP、掩碼）可以重復，不通的zone下不能沖突。 d、如果是vtep網(wǎng)絡，則虛擬機化環(huán)境上必須有普通模式的DVS（只有普通網(wǎng)卡的主機才能支持vxlan，主機網(wǎng)卡類型體現(xiàn)在DVS上則為

25、普通模式的DVS）； e、同一個zone下只能創(chuàng)建16個vsa網(wǎng)絡 f、子網(wǎng)掩碼最小只能為23位安全組： a、vpc所對應的VDC中必須有屬于GE的集群 b、一個VPC下最多只能創(chuàng)建50個安全組安全組成員： a、VM所在的虛擬化環(huán)境必須為GE. b、VM所屬主機的網(wǎng)卡類型必須為普通網(wǎng)卡才能加入安全組（體現(xiàn)在DVS上，DVS的類型為普通模式） c、vm網(wǎng)卡所在的網(wǎng)絡所在的VPC和安全組所在的VPC相同 d、vm必須為穩(wěn)態(tài)（running( 運行中)、stopped（已停止）、hibernated（已休眠）、pause（已暫停）vpc下申請硬件VFW a、vpc所屬的zone下必須接入物理防火墻，

26、且物理防火墻上配置有vfw（vfw上還需要配置上行口，否則設置帶寬會失?。?vpc下申請軟件防火墻： a、vpc所屬zone下有能夠連接到Internet，且子網(wǎng)的IP分配方式為靜態(tài)注入，子網(wǎng)類型為普通的外部網(wǎng)絡，且外部網(wǎng)絡不能為安全網(wǎng)絡。 b、vpc對應的zone下有可用的VSA管理網(wǎng)絡，且vsa管理網(wǎng)絡中的子網(wǎng)跟VSAM能夠通。 c、如果需要支持vxlan,VPC對應的zone下還需要有vtep網(wǎng)絡，且vtep網(wǎng)絡跟FC上行鏈路口上的vtep能通。 d、有vsa邏輯模板acl規(guī)則 必須有硬件VFW，域內(nèi)acl必須有路由網(wǎng)絡，域間acl需要有彈性IP，且路由網(wǎng)絡，EIP和硬件防火墻所屬的VP

27、C必須是同一個（軟件防火墻后續(xù)也會支持acl）EIP： a、硬件vfw下申請EIP時必須有IP帶寬模板，硬件vfw所屬vpc對應的zone下必須有公網(wǎng)IP池 b、軟件vfw下申請EIP時，用于創(chuàng)建軟件vfw的外部網(wǎng)絡下必須有可用的IP,軟件防火墻不支持設置IP帶寬； b、綁定EIP時，vm必須在路由網(wǎng)絡下，且有IP；VM的網(wǎng)卡有了DNAT，則該網(wǎng)卡不能綁定EIP dnat b、vm必須在路由網(wǎng)絡下，且有IP；VM的網(wǎng)卡綁定EIP，則該網(wǎng)卡則不能配置DNATsnat a、vpc下的路由網(wǎng)絡才能開啟snat直連網(wǎng)絡 a、vpc所在的zone下必須有外部網(wǎng)絡 b、普通子網(wǎng)和vlan類型的外部網(wǎng)絡可以

28、被zone下的多個vpc用來創(chuàng)建直連網(wǎng)絡,但一個vpc只能使用一次 c、超級子網(wǎng)類型的外部網(wǎng)絡的一個vlan只能被一個直連網(wǎng)絡使用 d、安全類型的外部網(wǎng)絡不能用于直連網(wǎng)絡內(nèi)部網(wǎng)絡 a、有可用的dvs b、dvs必須關聯(lián)vlanpool，且vlanpool中有可用的vlan c、如果ip分配方式為內(nèi)部DHCP，需要vsa邏輯模板，如果網(wǎng)絡在底層創(chuàng)建的不是trunk類型的portgroup(支持trunk,R3C10版本及一下的GE)，則還需要vfw d、如果創(chuàng)建子網(wǎng)類型的內(nèi)部網(wǎng)絡，則子網(wǎng)跟vpc下的業(yè)務網(wǎng)絡IP不能重，跟vpc所在zone下的外部網(wǎng)絡，vsa管理網(wǎng)絡，vtep網(wǎng)絡，以及公網(wǎng)IP池

29、的IP不能重，vlan在zone下不能重復 e、如果是vlan類型的內(nèi)部網(wǎng)絡，vlan在vpc下可以重復。 路由網(wǎng)絡 a、vpc下需要申請?zhí)摂M防火墻 b、有可用的dvs c、dvs必須關聯(lián)vlanpool，且vlanpool中有可用的vlan d、如果ip分配方式為內(nèi)部dhcp，則還需要vsa邏輯模板 e、子網(wǎng)信息跟VPC下的其他業(yè)務網(wǎng)絡IP不能重，跟vpc所在zone下的外部網(wǎng)絡，vsa管理網(wǎng)絡，vtep網(wǎng)絡，以及公網(wǎng)IP池的的IP不能重。 f、子網(wǎng)預留了6個IP（第一，三，四，五，網(wǎng)關，以及最后一個IP），網(wǎng)關不能跟其他預留的IP沖突。 g、vlan在zone下不能重復外部網(wǎng)絡： a、有可

30、用的dvs b、dvs必須關聯(lián)vlanpool，且vlanpool中有可用的vlan c、vlan在zone下不能重復 d、子網(wǎng)在vlan下不能重復（包括跟vpc下的業(yè)務網(wǎng)絡，zone下的vsa管理網(wǎng)絡，vtep網(wǎng)絡，以及公網(wǎng)IP池中的IP）公網(wǎng)IP池 a、一個zone下最多創(chuàng)8個公網(wǎng)IP池 b、ip全系統(tǒng)不能重復組播IP池： a、一個zone下最多創(chuàng)建8個公網(wǎng)IP池 b、IP范圍為55 以及55， 全系統(tǒng)不能重復VPN: a、必須有vfw、可以創(chuàng)建Ipsec和L2TP類型的VPN連接； ps: 電信比拼版本中軟件的虛擬防火墻支持ipsec類型的VPN連接。 b、本端IP必須為EIP c、創(chuàng)建

31、Ipsec類型的VPN必須有路由網(wǎng)絡和遠端網(wǎng)關 d、創(chuàng)建VPN連接必須先創(chuàng)建VPN網(wǎng)關刪除約束1、直連網(wǎng)絡：有VM不能刪2、內(nèi)部網(wǎng)絡：有VM不能刪(現(xiàn)在的判斷和路由網(wǎng)絡一樣)3、路由網(wǎng)絡：有VM不能刪，有域內(nèi)aclentry，snat,vlb,vpn,手工申請的IP 不能刪4、外部網(wǎng)絡：被直連網(wǎng)絡或firewallvsa使用不能刪除；有VM不能刪除5、硬件vfw，軟件vfw:有路由網(wǎng)絡，非trunk的DHCP類型的內(nèi)部網(wǎng)絡不能釋放，有EIP不能釋放（acl在釋放vfw時一并刪除）6、VPC：有網(wǎng)絡不能刪，有vfw不能刪,有安全組不能刪7、EIP：綁定了不能刪（可以被VM,SLB,VPN,F5，

32、或者手工申請的IP綁定），被域間acl使用了不能刪8、手工申請的IP:綁定了EIP不能刪9、安全組：有成員不能刪，被其他安全組引用不能刪10、vsa管理網(wǎng)絡，vtep網(wǎng)絡：所屬子網(wǎng)IP被分配，不能刪11、vlan池，vxlan池：關聯(lián)了DVS不能刪，有vlan被網(wǎng)絡使用不能刪12、vlanpool解關聯(lián)DVS：DVS下有portgrou使用該vlanpool內(nèi)的vlan，則不能解關聯(lián)13、組播IP池：池內(nèi)的IP被vxlan網(wǎng)絡使用不能刪14、公網(wǎng)IP池：池內(nèi)的IP被snat,dnat,EIP使用無法釋放15、外部網(wǎng)絡DHCP服務器，被外部網(wǎng)絡使用后不能刪除強大的小功能Internet直通網(wǎng)絡I

33、nternet直通網(wǎng)絡其實是使用外部網(wǎng)絡提供的一種網(wǎng)絡模式。此外部網(wǎng)絡的地址直接就是Internet地址，這樣連接到直通網(wǎng)絡的虛擬機就可以通過此網(wǎng)絡平面的一個Internet來提供服務，或訪問Internet。這種情況適用于不配置物理防火墻，還需要提供Internet訪問的能力。在這種網(wǎng)絡模式下，F(xiàn)usionManager可以使用靜態(tài)注入的方式管理IP地址。Super VLAN在上面的直通網(wǎng)絡模式下，在同一個直通網(wǎng)絡中的虛擬機其實是部署在同一個二層網(wǎng)絡中。由于在同一個二層網(wǎng)絡中，這些IP地址之間的互相訪問不會經(jīng)過防火墻，即在此二層網(wǎng)絡中的虛擬機可以互相攻擊。為解決互相攻擊的問題，Super V

34、LAN方案支持為不同的VPC間的Internet直通網(wǎng)絡分配同一段公網(wǎng)地址。這樣既節(jié)省公網(wǎng)IP地址，又避免Internet直通網(wǎng)絡的二層風險。在這種網(wǎng)絡模式下，F(xiàn)usionManager可以使用靜態(tài)注入的方式管理IP地址。并且共享同一段Internet地址的SuperVLAN之間的地址不必規(guī)劃，可以雜散使用。而且同一個VPC內(nèi)的Internet直通網(wǎng)絡上的多個地址是二層直通的，可以直接互通，避免內(nèi)部業(yè)務互訪占用公網(wǎng)帶寬。安全組當虛擬化層使用FusionCompute時，您可以使用安全組來做VPC內(nèi)的網(wǎng)絡隔離。您可以將VPC內(nèi)的一些IP地址加入一個安全組，然后設定不同安全組間的訪問規(guī)則。這些地址

35、不必成段，即，安全組內(nèi)的地址可以是雜散的。組間訪問規(guī)則支持如下配置能力：允許或禁止來自另一個安全組的請求通過指定協(xié)議及指定端口訪問本安全組；允許或禁止來自指定IP地址段的請求通過指定協(xié)議及指定端口訪問本安全組；同一個安全組內(nèi)的地址之間的訪問不受限制。通過這種方式，您可以實現(xiàn)對VPC內(nèi)部網(wǎng)絡安全行為的精細控制。約束及限制：直連網(wǎng)絡不支持安全組功能浮動IP地址浮動IP地址一般用于應用內(nèi)部存在主備用關系的情況。這種情況下，主備用Server各需要一個設備IP地址，同時還需要一個浮動IP地址對外提供業(yè)務。正常情況下浮動IP由主用服務器占有。當主用服務器故障時，備用服務器會主動獲取此浮動IP，并繼續(xù)提供業(yè)務。我們支持為這種情況分配浮動IP地址，并允許您在該浮動IP地址上綁定彈性IP，以及將該浮動IP加入到設備IP地址所作的安全組中。雙線機房彈性IP特性支持雙線機房，您可以將位于兩個不同提供商的彈性IP地址綁定到同一個內(nèi)部IP地址上。這樣此內(nèi)部地址上的服務就可以向兩個Internet服務提供商的網(wǎng)絡提供服務。此特性依賴于虛擬防火墻，無虛擬防火墻時無法使用。資源出租北向接口如果您是