hcie-dc-v.0學習參考包it部分解決方案描述

?技術2015。保留一切權利。商標和其他商標均為技術的商標注您的產品、服務或特性等應受公司商業(yè)合同和條款的約束，本文檔中描述的全部或部分產品、服務或特性可能不在您的或使用范圍之內。除非合同另有約定，公司對本文檔內容不做任何明示或默示的聲技 市龍崗區(qū)坂田總部辦公樓 前概分布式云數據中心是物理分散、邏輯、業(yè)務驅動、云管協同的新一代數據中心。讀者 符號符說重的人身。人身。修改文檔版本02(2015-12-文檔版本01(2015-11-前 概 簡 特 融合資源池應用場 架 VRM部署架 OpenStack部署架 標準組 VM和VM之間互 VM Internet 關鍵特 A術語 B縮略 概關于簡傳統數據中心的如下 簡為了應對傳統數據中心的并順應技術發(fā)展趨勢，推出了分布式云數據中心，即DC2（DistributedCloudDenter）。分布式云數據中心是物理分散、邏輯統分布式云數據中心的理念在于物理分散和邏輯l物理特高

l邏輯 管理。邏輯有兩方面的含義：提供的運營，對外提供的服務界面、支撐流程，通過VDC（VirtualDenter）服務，滿足不同業(yè)務的需求資源進行整合；采用ManagOne作為數據中心管理，對多個數據中心提供管理。通過云平臺和數據中心管理協同，達到多數據中心融合、提升企業(yè)整體 系統平臺，以業(yè)務為中心的ManageOne數據中心管理，保護已有投資。 敏l支持自定義資源池的SLA（ServiceLevelAgreement），可以對資源的SLA標l支持標準化、自動化的VDC部署。10分鐘內即可完成虛擬數據中心的部署，支撐彈l軟硬件資源管理和分配l面向未來的DCaaS（DenterAsAService）架構l業(yè)務跨數據中心靈活部署支持VDC跨地域部署，業(yè)務運行所需的計算、、網絡資源，可以來自不同地域，快速適配業(yè)務的波峰、波谷狀態(tài)，實現資源的靈活調整和用戶的無差異融 池，實現的運營和運維。 采用VxLAN技術，實現跨物理數據中心的大二層網安 融合資源池應用場應用場運營商領域的融合資源池典型應用場景如圖2-1場景特l根據業(yè)務發(fā)展和集中化要求，新建的云數據中心與原有IT基礎設施平滑對接，既可管理，又能提供分級、分域的邏輯劃分能力，滿足運營商多個組織、不同l針對、省級經營主體，構建分層的運營管理體系，增強運營管理流程，規(guī)范資源、資源管理和資源虛擬結算，實現資源運營規(guī)范化、精細化，簡化l對不同廠商的物理設備、異構的虛擬化平臺進行的整合、管理，滿足運營商組織靈活、多變的應用需求，實現業(yè)務和資源的，提供一致的業(yè)務l構建企業(yè)級云服務體系，提供全網規(guī)范化云服務，實現自動化服務交付。資源使擴容同時，保證網絡互通、安全，實現多資源池管理、、調度，以及按需自助、回收資源。金融應用場金融領域的融合資源池典型應用場景如圖2-2所示場景特 l實現對IT基礎設施的。不同廠商的物理資源、虛擬資源、異構虛擬化平臺能夠進行管理，物理網絡、虛擬網絡能夠進行管理和自動，減少 l根據金融領域業(yè)務應用豐富的特點，提供的云平臺自助服務。可快速開通資領應用場

領域的融合資源池典型應用場景如圖2-3所示圖2-3領域融合資源池應用場場景特

l警務云要求對各個地市、省廳、的計算、、網絡資源進行虛擬化，提供虛擬化平臺和硬件設備管理的能力，減化資源層的管理，為各個業(yè)務系統 對虛擬資源、機資源可以管理調度，滿足不同業(yè)務應用、數據庫、中間件l整合、部門、社會機構的各類數據資源，集享，提供給多警種、多部門協同使用，提高機關的辦案效率。對業(yè)務系統數據充分共l提供面向實戰(zhàn)的大數據服務。對系統數據能夠智能挖掘，分析數據、獲取價值信息，通過各種算法為系統提供刑偵、經偵等支持。l要求系統易擴展。系統數據多、應用變化快，對整個應用系統的功能和容量架關于邏輯分布式云數據中心各層的功能描述如表3-1所示邏輯分功能描算、、網絡資源，也可以向服務層提供可直接使用的物理服務 布在不同地域的物理資源轉化為管理的虛擬資源池。邏輯分功能描心的DCaaS，VDC內可以提供VM（VirtualMachine）、vRouter、vFW（VirtualFirewall）、VAPP（VirtualApplication）、VPC 絡、MPLS（Multi-ProtocolLabelSwitching）網絡進行互聯。 l在匯聚層上使用VRF（VirtualRoutingandForwarding）技術實現三層網絡，在接入層采用VLAN或者VxLAN技術實現二層網絡。l網絡虛擬化功能可提供虛擬、虛擬負載均衡、虛擬交換機，滿足不同用戶l服務器可采片服務器或者機架服務器，如果是刀片服務器則通過交換背板連l可采用FCSAN或者IPSAN，如果是FCSAN則通過光纖交換機連接至服務器的平面端口，如果是IPSAN則通過IP接入交換機連接至服務器的平面端分布式云數據中心支持VRM和OpenStack兩種部署架構，如表3-2所示表3-2部署架構分架虛擬說、FusionManager和對應的虛、lOpenStack和對應的虛擬化組成云平臺OpenStack采用開源，更具擴展性lOpenStack架構支持上層應用對物理服務器的接l當前版本，一個物理數據中心只能部署一種虛擬 ；OpenStack架構下虛擬化只能使用pte或VMware的vCenterVRM部署架分布式云數據中心的VRM部署架構如圖3-3所示圖3-3VRM部署架 和pute虛擬化平臺。VRM部署架構中，各的功能如表3-3所示表3-3VRM部署架構中的及功功能描提供分布式云數據中心的服務中心（ServiceCenter）和運維中（OperationCenter）lServiceCenter：基于資源池提供的云和非云資源編排、自動lOperationCenter：是數據中心運維管理的主要操作平臺，提供統VMware公司推出的虛擬化平臺OpenOpenStack部署架分布式云數據中心的OpenStack部署架構如圖3-4所示圖3-4OpenStack部署架OpenStack云管理平臺，同時對接多個使用同一虛擬化平臺的物理數據中心。 OpenStack部署架構中，各的功能描述如表3-4所示表3-4OpenStack部署架構中的及功功能描提供分布式云數據中心服務中心（ServiceCenter）和運維（OperationCenter）lServiceCenter：基于資源池提供的云和非云資源編排、自動理，支持集成定制的企業(yè)服務，支持集成第系統。lOperationCenter：是數據中心運維管理的主要操作平臺，提供統一的、分析定位、云和非云資源的信息管理等功能。集個虛擬化物理設備，提供硬件資源管理和虛擬化HCP（CloudProtection），虛擬機無備份，提供功能描lNova：虛lNeutron：虛擬網絡lSwift：S3lKeystonelVMware公司推出的虛擬化平臺OpenOpenStackOpenStack提供的API接口，可對接第數據中心管理標準組分布式云數據中心的網絡總體邏輯架構如圖4-1單數據中心網絡設備單數據中心網絡設備如表4-1所示設備型數量（臺說2E8000E-2F5BIG-IP21設備型數量（臺說匯聚層標準組匯聚

l匯聚區(qū)是整個數據中心交換的，由高性能交換機CE12800組成。2臺CE12800 CE12800作為3層網關設備以及VxLAN網關設備分別與和負載均衡器連接 網絡服

l2臺E8000E-X通過HRP2*GE口主備直連。2臺F5BIG-IP8900通過心跳1*GE口主備l每臺通過2個10GE端口和CE12800連接，采臂模式l每臺負載均衡器通過2個10GE端口和CE12800連接，采臂模式lCE5800通過10GE端口上行連接到CE12800，CE5800之間通過CE12800作為網關實外聯接入層標準組E9000+IPSAN組網（可選E9000+IPSAN的邏輯組網如圖4-2所示4-2E9000+IPSAN 網絡分為4個平面：BMC平面、管理平面、平面、業(yè)務平面 2臺CE6850作為接入交換機，通過2*40G的端口配置iStack堆疊 E9000機框服務器的通過10GE端口下行連接到CE6850接入交換機上。每CE6850通過2*10GE端口下行連接到設備RH2288H+IPSAN組網（可選RH2288H+IPSAN的邏輯組網如圖4-3所示4-3RH2288H+IPSAN 網絡分為4個平面：BMC平面、管理平面、平面、業(yè)務平面（每RH2288H服務器配置2塊網卡） 2臺CE6850作為接入交換機，通過2*40G的端口配置iStack堆疊l接入交換機CE6850通過2*40GE端口上行連接到CE12800匯聚交換；CE6850通 RH2288H服務器的BMC端口通過1*GE上行連接到管理交換機CE5800 路用于管理、業(yè)務、平面的通信。 RH2288邏輯組網圖4-4如所示4-4RH2288 兩臺CE6850通過2*40G的端口配置iStack堆疊 RH2288服務器的BMC端口通過1*GE上行連接到管理交換機CE5800 路用于管理、業(yè)務、平面的通信。OceanStor18000+RH5885組網（可選OceanStor18000+RH5885邏輯組網如圖4-54-5OceanStor18000+RH5885 2臺CE6850作為接入交換機，通過2*40G的端口配置iStack堆疊l 接入交換機CE68502*40GCE1280CE6850過2*10GCE68502*10G到。 RH5885服務器的BMC端口通過1*GE上行連接到管理交換機CE5800 路用于管理、業(yè)務、平面的通信。 通，以實現DPM（DynamicPowermanagement）對設備的等高級功能。業(yè)務l平面：連接設備和主機，用于主機和設備的數據讀寫。平面由數據鏈路承載。為了保證數據的安全，通常保證平面與其他平面。為了數據鏈路的高可靠性，往往有多個平面互為冗余；在CE6850接入交換機上和CE12800上分配一個或多個VLAN，平面的子網通常不配置網關，只在2層實l業(yè)務平面：用于VM業(yè)務對公網、VM之間、網絡設備間的業(yè)務通信等，業(yè)務平面承載到數據鏈。根據實際情況，在CE6850接入交換機上和CE12800上分配一VMVM之間同一物理主機vSwitchVMVM屬于同一物理主機，不同vSwitch的互訪路徑如圖4-6所示同一物理主機，不同vSwitch之間的VM互訪的流程描述VM1根據接入交換機的IP地址，通過vSwitch1將請求轉發(fā)給接入交換機接入交換機查詢路由后，將請求通過vSwitch2轉發(fā)給VM2不同物理主機vSwitch，之VMVM屬于不同物理主機，相同vSwitch的互訪路徑如圖4-7所示不同物理主機，同一vSwitch之間的VM互訪的流程描述服務器1中的VM2，將請求經過vSwitch2，轉發(fā)給服務器2中同一網段VM1同一接入交換機的接入域內，不同物理主機，不同vSwitch之間的VM安全域內，不同接入交換機之間的VM安全域內，不同接入交換機內的VM互訪需要通過匯聚交換機轉發(fā)。VM互訪流程如安全域內，不同接入交換機之間的VM互訪流程描述如接入交換機1根據匯聚叫匯聚交換機的IP地址，將請求轉發(fā)給匯聚交換機匯聚交換機查詢路由后，將請求轉發(fā)給接入交換機2VM2VMVMInternet的路徑如圖4-10所示圖4-10VMInternet流VMInternet的業(yè)務流程描述如下VM1根據接入交換機的IP地址，將請求發(fā)給接入交換機匯聚交換機通過直連路由查找轉發(fā)到LBLB經過靜態(tài)路由查找后再次轉發(fā)到匯聚交換機，同時將目的IP修改為公網的IP地址匯聚交換機經過缺省路由查找指向，將報文送達InternetInternetVM的路徑如圖4-11所示圖4-11InternetVM流InternetVM的流程如下Internet過來的數據包報文的目的IP為LB的IP（根路由實例）匯聚交換機(根路由實例)通過靜態(tài)路由查找轉發(fā)到報文到達匯聚交換機，經過路由查找后指向LB匯聚交換機根據LB修改后的IP地址將報文轉給接入交換機根據VM配置的IP地址，接入交換機將報文轉發(fā)給VM關鍵特關于

災服務、虛擬機備份服務和多種服務。介同資源池資源，包括虛擬化的計算、和網絡資源以及物理服務器資源等。VDC主VDC的功能如圖5-15-1VDCVDC的主要功能包 創(chuàng)建基于組織來創(chuàng)建VDC，組織成員成為VDC成員可以跨物理DC來創(chuàng)建VDC，實現邏輯上的資源管理 VDC的服VDC支持共享或獨享的服 提供本VDC支持的服務列表 VDC的管支持對VDC用戶進行管理，支持創(chuàng)建、刪除和修改VDC支持對VDC提供對VDC的容量、告警、性能、拓撲等運維和統計能力，方便運維VDC的管理VDC為租戶提供獨立運營和運維能力，實現了租戶對資源的管理VDC可提供的云服務如表5-1所示5-1VDC服務類功VRMOpenStack塊彈性公網APP快速部Heat模板創(chuàng)APP彈性伸APP備APP遷l云主l物理服務l l彈性公網址數據中心的虛擬機或者物理服務器。 實現從公網IP到私網IP，一對多的地址。 是針對應用層的濾，即基于狀態(tài)的報文過濾，以便于實施 略。ASPF能夠檢測試圖通過的應用層協議會話信息， 據報文穿過。并提供對有害JavaApplets、有害ActiveX的阻斷。 ACL（AccessControlList），即控制列表，是針對用戶的業(yè)務實現權限 APP快速部用，自動建立應用間的依賴關系和網絡。 APP彈性伸 APP備用戶可以定義備份策略，相應的備份，對APP進行備份 APP遷在支持VxLAN的大二層網絡中，用戶可以將APP進行跨安全域的遷客戶

VDC支持一個或多個物理數據中心的資源，可以為租戶帶來如 5.2管5.2.1資源管介現對多個數據中心的資源進行管理。l異構虛擬資源管理l傳統數據中心與云數據中心管理。l自動化資源配置。l策略化的高效資源管理l數據中心全局容量管理 求，組合不同資源，創(chuàng)建各類服務，為租戶提供定務 客戶分布式云數據中心通過多個數據中心資源的管理，實現資源的高效利用，降低數據中心基礎架構建設的投資。個性化的服務申請和自動化的服務，降低了對IT運5.2.2運營管介分布式云數據中心通過服務中心ServiceCenter對接OpenStack云管理平FusionManager數據中心管理，實現多個物理數據中心的運營管理ServiceCenter的架構如圖5-2所示5-2ServiceCenterServiceCenter提供以下基本功l服務l資源池提供資源池管理的功能。包括資源池中的集群管理（如查看集群、集群的性個資源池組共享資源池提供給租戶使用）。l產品管l用戶提供認證和管理機制。用戶管理功能讓用戶以合適的角色得到 服務 客戶5.2.3運維管介OperationCenter的架構如圖5-3所示OperationCenter提供以下的基本l或l 資源管理在ManageOne中，被管理對象的信息在MODB（ManagedObject 提供Web頁面功能?？赏ㄟ^Web界面操作OperationCenter的各項功能客戶省TCO。提供多數據中心的整體視角，實現實時與管理。容災介可以相互進行健康狀態(tài)監(jiān)視和功能切換，當一處系統因意外（如火災、洪水、、容災系統需要具備較為完善的數據保護與恢復功能，保證生產中心不能正常工作分布式云數據中心提供基于（InfrastructureAsAService）層的容災方案，提供以 –高可靠性。雙活架構，保證單數據中心故障時，數據零丟失，業(yè)務零中斷–高兼容性。廠商常見設備，充分利用設備剩余資源，保護現有投資。–擴展靈活。 –陣列。采用陣列容災技術，容災數據的在層完成，減少容災數據的復說明分布式云數據中心目前僅在VRM架構下支持容災業(yè)務客戶縮短發(fā)生后業(yè)務中斷的時間，減少所帶來的損失。業(yè)務運行的可靠性顯著增降低了成本。備份介 ServiceCenter服務中 HCP備份服務 可備份HCP虛擬機掛載的虛擬磁盤，或備份到NFS/CIFS共享文件系統中。采 說明 支持基于SAN、NAS或第虛擬作為備份 客戶

份。基于的應用備份能力，用戶可以按照應用或者文件粒度進行應用備份。備份安全介 通過虛擬、IDS、IPS、 –虛擬虛擬的概念如圖5-5所示，是將一臺劃分為多個邏輯，每個邏輯能夠獨立為一個企業(yè)服務，提供私有網絡，實現獨立的安全保障，進而實現資源使用率的最大化。5-5虛擬 虛擬VSA（VirtualService虛擬化服務應用系統是的虛擬化網絡邊界網關，VSA部署在VM上 N支持、 VDC防護框VDC的邊界部署VFW（可以是硬件一虛多，也VSA）和vIDS、vIPS、vAnti-DDoS等防護功能，防護VDC的南北向流量；VDC，l防IP及MAC通過IP和MAC綁定方式實現防IP及MAC仿冒功lDHCP支持對虛擬機的DHCP，用戶虛擬機啟動DHCPServer服務，防止用戶無意識或啟動DHCPServer服務，影響正常的虛擬機IP地址分配過程。l廣播報文抑在服務器整合、桌面云等企業(yè)應用場景，如果發(fā)生網絡或發(fā)作等引起的廣播報文，可能造成網絡通信異常，此時可以開啟虛擬交換機的廣播報文抑l虛擬化無防成虛擬化防解決方案，做到僅需在一臺特殊的安全虛擬機中部署防引卡巴斯基虛擬化防集成驗證，支持Windows云主機的無防。說明分布式云數據中心僅在FusionSphere架構下支持虛擬化無防功能客戶

提供端到端的安全解決方案，保護和安全性，確保系統安全合A術語態(tài)協同工作，以便于實施網絡的安全策略。ASPF智能地過濾TCP和UDP數據包，能夠檢測由任意一側發(fā)起的會pnCeilometer是pnkn發(fā)生的幾乎所有的事件都收集起來，用于計費和以及其它服務提供數據支撐。 該概念來自OnAggehd部件來根據用戶需求選擇合適的gg分配資源。一個gge個。 發(fā)現各種企圖、行為或者結果，以保證網絡系統資源一種虛擬機容災，為分布式云數據中心提供虛擬機容災能力，支持主機方式將主虛擬機數據到容災虛擬機，并支持容災作為分布式云數據中心管理系統ManagerOne的組件，服務中心基于資源池提供的云和非云資源編排和自動化管理能力，包括通過集成第系統補足資源池管理能力，特別是異構的傳統資源自動化能力?；诖笠?guī)模開源開發(fā)，將計算、網絡、虛擬化融合一體，垂直整合軟硬件優(yōu)勢構建差異化競爭力，交付IT云計算解決方案，將一個物理邏輯上虛擬出多個或者在虛擬機上運行的虛擬，每個虛擬有獨立的路由轉、安全服策略、配置管理。租戶在修改所屬虛擬的配置時不影響其他虛擬的運行。同時對虛擬做吞吐量和會話數限制，確保虛擬的資源利用不占有其他虛擬資源。行的虛擬負載均衡，每個虛擬負載均衡有獨立的路由轉、 向、租戶間的安全。VxLAN允許物理子網邊界的移動性，是定義網絡、定安全一組規(guī)則的集合，用于定義哪些數據包可以到達虛擬機，哪些虛擬機時選定要加入的安全組來對自身的虛擬機進行安全和訪彈性伸多租多租戶是一種架構技術，用于實現如何在多用戶的環(huán)境下共用相同的系統或，并且仍可確保各用戶間數據的性以及滿足上劃分個（每個租戶）虛擬網絡環(huán)境，每個虛擬網絡擁有獨立服 應用系統等，VDC管理員可以結合部門、組織特殊需求，定義服。公有如應用和，公眾可以通過網絡獲取這些資源。公共云服務的模式可以是免費或按量?；旌霞幚砟芰蚍漳芰?。例如，可以減少單點故障、共享資源、邏輯部雙活容私有外，一般還有云設備（）；現時商業(yè)有VMware的vSphere和PlatformComputing的ISF，開放源代碼的云設備 私有云與外部，數據安全得到保障。虛擬或多個操作環(huán)境，實現資源的模擬、或共享等。資資源進行和。B縮略AccessControlApplicationProgramming應用編程接AddressResolutionApplicationSpecificPacketBorderGatewayBusinessProcessChangedBloc