招行北京分行FusionStorage分布式存儲技術(shù)建議書

招行北京分行FusionStorage 分布式存儲技術(shù)建議書文檔版本 01發(fā)布日期 2014-9-15華為技術(shù)有限公司版權(quán)所有 ? 華為技術(shù)有限公司 2014。保留一切權(quán)利。非經(jīng)本公司書面許可， 任何單位和個人不得擅自摘抄、 復(fù)制本文檔內(nèi)容的部分或全部， 并不得以任何形式傳播。商標(biāo)聲明和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊商標(biāo)，由各自的所有人擁有。注意您購買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為公司商業(yè)合同和條款的約束，本文檔中描述的全部或部分產(chǎn)品、服務(wù)或特性可能不在您的購買或使用范圍之內(nèi)。除非合同另有約定，華為公司對本文檔內(nèi)容不做任何明示或默示的聲明或保證。由于產(chǎn)品版本升級或其他原因， 本文檔內(nèi)容會不定期進行更新。 除非另有約定， 本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密華為技術(shù)有限公司地址： 深圳市龍崗區(qū)坂田華為總部辦公樓 郵編：518129網(wǎng)址： 客戶服務(wù)郵 support@箱：客戶服務(wù)電 4008302118話：TableofContents目錄TableofContents目錄....................................................................................................31項目概述.....................................................................................................................41.1項目背景.....................................................................................................................41.2項目需求.....................................................................................................................52項目技術(shù)方案..............................................................................................................52.1方案整體架構(gòu)..............................................................................................................52.1.1軟硬件部署圖...................................................................................................52.1.2硬件平臺...........................................................................................................82.1.3FusionStorage分布式存儲系統(tǒng)概述................................................................82.1.4FusionStorage分布式存儲系統(tǒng)詳細(xì)描述......................................................分布式機頭.............................................................................................分布式緩存.............................................................................................集群元數(shù)據(jù)管理.....................................................................................多數(shù)據(jù)副本.............................................................................................數(shù)據(jù)一致性.............................................................................................快速數(shù)據(jù)重建.........................................................................................掉電保護.................................................................................................132017-9-13 華為機密，未經(jīng)許可不得擴散 第3頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密2.1.5云管理平臺.....................................................................................................基于角色訪問控制.................................................................................物理資源管理.........................................................................................物理設(shè)備接入?yún)f(xié)議.................................................................................虛擬化資源管理.....................................................................................資源集群管理.........................................................................................虛擬負(fù)載均衡管理.................................................................................自動化運維.............................................................................................監(jiān)控管理.................................................................................................計量管理.................................................................................................0安全管理.........................................................................................242.2系統(tǒng)部署方案............................................................................................................262.2.1總體組網(wǎng)方案.................................................................................................262.2.2與客戶網(wǎng)絡(luò)對接.............................................................................................272.2.3一體機2層模式連接用戶網(wǎng)絡(luò).......................................................................282.3系統(tǒng)可靠性分析........................................................................................................292.3.1數(shù)據(jù)持久度分析.............................................................................................292.3.2可靠性場景分析.............................................................................................292.4系統(tǒng)關(guān)鍵數(shù)據(jù)備份.....................................................................................................303系統(tǒng)軟硬件配置清單及說明......................................................................................31項目概述1.1項目背景招行北京分行準(zhǔn)備采用虛擬化與云計算技術(shù)來構(gòu)建 IT系統(tǒng)，提升IT系統(tǒng)的資源利用率，但是傳統(tǒng)SAN在企業(yè)基礎(chǔ)設(shè)施池化、云化中面臨的主要問題：存儲資源彈性問題： 多業(yè)務(wù)負(fù)載、資源的動態(tài)需求變化存儲擴展的問題： 共享、擴展面臨了諸多的瓶頸和問題（機頭、前后端網(wǎng)絡(luò)、2017-9-13 華為機密，未經(jīng)許可不得擴散 第4頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密CPU/Cache與HDD不同步問題）形態(tài)和實施的成本、復(fù)雜性問題：獨立的存儲網(wǎng)絡(luò)，建設(shè)成本高、實施復(fù)雜（初始實施、擴減容等）容錯和可靠性問題：大規(guī)模集群中容忍的故障域問題（跨機柜、跨room），硬盤重建的時間問題針對上述問題，建議使用FusionStorage分布式存儲產(chǎn)品解決上述問題，為滿足業(yè)務(wù)平臺日益增長的存儲需求，為業(yè)務(wù)平臺提供高安全性、高可靠性、高可用性和開放性的存儲服務(wù)。分布式存儲系統(tǒng)基于分布式處理技術(shù)、虛擬化技術(shù)和集群技術(shù)實現(xiàn)，做為云計算資源池存儲資源池的一部分，為計算資源池提供高速、可靠、安全的塊存儲服務(wù)，同時兼顧文件和對象存儲服務(wù)。工程計劃利用建設(shè)的分布式存儲（采用 X86服務(wù)器介質(zhì)）代替原虛擬化計算平臺使用的集中式 FCSAN存儲系統(tǒng)，系統(tǒng)建設(shè)裸存儲容量 2048T，并通過規(guī)范接口納入集團云管理平臺統(tǒng)一管理。1.2項目需求起配3臺RH2288H，用于開發(fā)測試環(huán)境。項目技術(shù)方案2.1方案整體架構(gòu)2.1.1 軟硬件部署圖Figure圖1RH2288H+FusionStorage 軟硬件部署圖2017-9-13 華為機密，未經(jīng)許可不得擴散 第5頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密FusionCube虛擬化一體機管理節(jié)點部署如下。1)FusionManager：負(fù)責(zé)云平臺資源管理、彈性調(diào)度以及操作維護等綜合管理功能，是云平臺管理的核心，提供基于 web的統(tǒng)一維護界面；整個系統(tǒng)的業(yè)務(wù)通過云管理FusionManager呈現(xiàn)，諸如用戶管理、集群管理、業(yè)務(wù)模板管理、虛擬機管理、統(tǒng)一硬件管理、告警、監(jiān)控等功能均由 FusionManager對外提供。2)FusionCompute：負(fù)責(zé)云平臺計算資源虛擬化和資源分配，包括 VRM和CNA兩部2017-9-13 華為機密，未經(jīng)許可不得擴散 第6頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密分。VRM:VirtualResourceManagement虛擬資源管理軟件，負(fù)責(zé)虛擬資源的管理，可管理多個邏輯集群；將物理資源 (計算、存儲、網(wǎng)絡(luò)等 )轉(zhuǎn)換成可動態(tài)調(diào)整的虛擬資源，供虛擬機使用；CNA：計算節(jié)點代理，在每個需要虛擬化的服務(wù)器上物理部署，提供虛擬化功能；3)FusionStorage：分布式云存儲，包括 FusionStorageManager和FusionStorageAgent兩部分。FusionStorageManager：存儲管理軟件， FusionCube使用分布式云存儲技術(shù)，通過合理有序組織服務(wù)器的本地硬盤，提供高性能高可靠的塊存儲業(yè)務(wù)。FusionStorageAgent:存儲節(jié)點代理，在每個需要虛擬化的服務(wù)器上物理部署，用于訪問FusionStorage分布式存儲池資源的代理；管理節(jié)點FusionManager(FM)、VRM(FusionCompute)部署在虛擬機上，需要占用 2臺物理服務(wù)器做主備。其中 FusionManager、UHM合部在同一臺虛機中， VRM部署一臺虛機中，都是主備部署。管理服務(wù)器命名為 MCNA節(jié)點，其余為提供計算資源的服務(wù)器命名為 CNA。管理節(jié)點使用兩塊本地硬盤做 RAID1做管理節(jié)點虛機的存儲。 其他本地硬盤在 FusionStorage軟件組織下，提供分布式存儲池，用于業(yè)務(wù)虛擬機。管理節(jié)點主備占用兩臺服務(wù)器，管理服2017-9-13 華為機密，未經(jīng)許可不得擴散 第7頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密務(wù)器剩下的計算資源可以給業(yè)務(wù)虛機使用。一套FusionCube系統(tǒng)中至少需部署3個存儲節(jié)點，除2-3塊系統(tǒng)使用外，所有服務(wù)器的本地硬盤都可組成分布式存儲池，非管理節(jié)點刀片可用于部署應(yīng)用虛擬機，應(yīng)用虛擬機使用FusionStorage分布式存儲池資源。管理、計算和存儲服務(wù)器可以混合部署，減少服務(wù)器的數(shù)量。2.1.2 硬件平臺硬件平臺由通用 X86服務(wù)器組成，服務(wù)器要求內(nèi)存最小為 64GB,每臺服務(wù)器可配置 1塊及以上的PCIE-SSD卡、SSD固態(tài)硬盤或者NvDimm條。每服務(wù)器的硬盤數(shù)量 >=4。本次項目采用 FusionCube大容量存儲服務(wù)器，該服務(wù)器可以配置 1～2張高性能的PCIE-SSD卡做讀寫緩存，同時每臺服務(wù)器可以配置 12塊大容量SATA盤為分布式存儲提供服務(wù)。2.1.3 FusionStorage 分布式存儲系統(tǒng)概述傳統(tǒng)的SAN存儲目前正被業(yè)界廣泛使用，但 SAN有其固有缺點：成本高：必須獨立的機頭IOPS受限：熱點數(shù)據(jù)存在瓶頸，導(dǎo)致 IOPS低下重建時間長：重建期間引入數(shù)據(jù)丟失風(fēng)險容量有限：受集中式機頭性能限制，總?cè)萘渴芟薰芾韽?fù)雜：需要單獨的管理系統(tǒng)FusionStorage分布式存儲系統(tǒng)可有效解決 SAN存儲帶來的這些問題。 它采用新一代分布式存儲架構(gòu)和大規(guī)模并行的分布式網(wǎng)格存儲技術(shù)，使用了“橫向擴展 ”的存儲架構(gòu)，利用分布式多節(jié)點網(wǎng)格并行分擔(dān)存儲負(fù)荷， 并通過細(xì)粒度數(shù)據(jù)分布算法保證數(shù)據(jù)的恒定均衡分布， 它不但提高了系統(tǒng)的可靠性、可用性和存取效率，還易于擴展。簡單地說， FusionStorage總體思想是通過在服務(wù)器上部署該軟件，可以將所有服務(wù)器的本機磁盤組織成一個虛擬存儲資源池，卷被切片分割打散到整個資源池所有硬盤中，達到細(xì)粒度，高并發(fā)存取數(shù)據(jù)的目的。2017-9-13 華為機密，未經(jīng)許可不得擴散 第8頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密Figure圖1FusionStorage 分布式存儲原理FusionStorage分布式存儲具有如下優(yōu)點：高IOPS,低時延：應(yīng)用大容量 Cache技術(shù)，提升 IOPS；卷被切片分割打散到整個資源池所有硬盤中， 條帶化寬度增加，單卷可獲得的性能大幅提升；訪問均衡，無熱點 ,資源池中各節(jié)點的利用率相同；無需預(yù)先設(shè)置固定 RAID組，大資源池適應(yīng)應(yīng)用負(fù)載的動態(tài)變化；應(yīng)用程序通過 Cache直達存儲，時延更低；無級擴容、超大容量：分布式系統(tǒng)，無管理機頭瓶頸，容量幾乎不受限制；無級擴容：分布式機頭 (每server服務(wù)器相當(dāng)于一個機頭 )，無性能瓶頸，可無級擴容非煙囪式擴展：存儲與計算同步平滑擴展。即插即用式擴容：擴容后系統(tǒng)自動調(diào)整負(fù)載平衡，真正實現(xiàn)無級平滑擴容。管理簡單：結(jié)構(gòu)簡單帶來管理簡單；免于低層配置管理： FusionStorage與FusionCube集成，僅需要做應(yīng)用層面的管理，免去大量2017-9-13 華為機密，未經(jīng)許可不得擴散 第9頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密低層配置管理事務(wù)。零性能管理的成本：自動負(fù)載均衡，無熱點，故障自愈，無需進行人工性能優(yōu)化。數(shù)據(jù)重建快：并行重建速快；數(shù)據(jù)分布可以跨服務(wù)器或跨機柜，不會因某個服務(wù)器、機柜故障導(dǎo)致數(shù)據(jù)不可訪問。數(shù)據(jù)分片在資源池內(nèi)打散， 硬盤故障后，可在全資源池范圍內(nèi)自動并行重建， 僅重建實際數(shù)據(jù)，無需熱備盤； 重建1TB數(shù)據(jù)時間 <30分鐘。2.1.4 FusionStorage 分布式存儲系統(tǒng)詳細(xì)描述FusionStorage通過分布式架構(gòu)把分散的、低速的 SATA/SAS機械硬盤組織成一個高效的虛擬化SAN存儲池設(shè)備，提供比 SAN設(shè)備更高的IO能力，把性能發(fā)揮到極致。FusionStorage系統(tǒng)軟件架構(gòu)FusionStorage分布式存儲系統(tǒng)包含三個子系統(tǒng)：無狀態(tài)機頭無狀態(tài)機頭對外提供本地SCSI接口或者ISCSI服務(wù)接口，可以部署在存儲節(jié)點，也可以靈活部署在計算節(jié)點。系統(tǒng)啟動時，無狀態(tài)機頭會從元數(shù)據(jù)集群獲取最新的數(shù)據(jù)分布視圖。 在IO過程中，無狀態(tài)機頭會將數(shù)據(jù)均衡的分發(fā)到各個存儲節(jié)點。2017-9-13 華為機密，未經(jīng)許可不得擴散 第10頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密存儲集群在IO過程中，存儲集群接收到無狀態(tài)機頭分發(fā)的IO請求，會根據(jù)副本策略，將IO分發(fā)到其他服務(wù)器或者機柜上的存儲節(jié)點。同時存儲節(jié)點會將每臺服務(wù)器上的緩存設(shè)備劃分成讀寫緩沖去， IO直接寫到cache中就項主節(jié)點返回。當(dāng)緩沖區(qū)達到一定的水位后， 存儲節(jié)點會自動將緩沖區(qū)的數(shù)據(jù)刷到主存設(shè)備 （機械硬盤/SSD）上。分布式機頭FusionStorage采用無狀態(tài)的分布式軟件機頭，機頭部署在各個服務(wù)器上，無集中式機頭的性能瓶頸。單個服務(wù)器上軟件機頭只占用較少的 CPU資源，提供比集中式機頭更高的 IOPS分布式緩存FusionStorage實現(xiàn)了計算和存儲的融合，緩存和帶寬都均勻分布到各個服務(wù)器節(jié)點上。FusionStorage支持將服務(wù)器 SSD卡用作讀、寫緩存，對于數(shù)據(jù)的寫操作，系統(tǒng)數(shù)據(jù)首先寫到SSD的寫緩存中，所有副本（三個副本）寫緩存成功后， IO立即返回。同時 IO也會數(shù)據(jù)緩存均勻分布到各個節(jié)點上，所有服務(wù)器的緩存總?cè)萘窟h大于采用外置獨立存儲的方案。即使采用大容量低成本的 SATA硬盤，F(xiàn)usionStorage仍然可以發(fā)揮很高的 IO性能，整體性能提升1~3倍，同時提供更大的有效容量。FusionStorage支持PCIeSSD用作數(shù)據(jù)緩存，除具備通常的寫緩存外， 增加熱點數(shù)據(jù)統(tǒng)計和緩存功能，加上其大容量的優(yōu)勢，進一步提升了系統(tǒng)性能。集群元數(shù)據(jù)管理FusionStorage分布式存儲軟件的元數(shù)據(jù)服務(wù)采用集群管理方式，不會出現(xiàn)單點故障，一個節(jié)點或者一塊硬盤故障自動從集群內(nèi)隔離出來， 不影響整個系統(tǒng)業(yè)務(wù)的使用。 本次項目建議采用3臺獨立服務(wù)器做元數(shù)據(jù)。多數(shù)據(jù)副本FusionStorage存儲系統(tǒng)中沒有使用傳統(tǒng)的 RAID模式來保證數(shù)據(jù)的可靠性，而是采用了多副本備份機制，即同一份數(shù)據(jù)可以復(fù)制保存多個副本。在數(shù)據(jù)存儲前，對數(shù)據(jù)進行分片，分片2017-9-13 華為機密，未經(jīng)許可不得擴散 第11頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密后的數(shù)據(jù)按照一定的規(guī)則保存集群節(jié)點上。如下圖所示，對于服務(wù)器Server1的磁盤Disk1上的數(shù)據(jù)塊P1，它的數(shù)據(jù)備份為服務(wù)器Server2的磁盤Disk2上P1’，P1和P1’構(gòu)成了同一個數(shù)據(jù)塊的兩個副本。FusionStorage多數(shù)據(jù)副本數(shù)據(jù)一致性數(shù)據(jù)一致性的要求是：當(dāng)應(yīng)用程序成功寫入一份數(shù)據(jù)時，后端的幾個數(shù)據(jù)副本必然是一致的，當(dāng)應(yīng)用程序再次讀時，無論在哪個副本上讀取，都是之前寫入的數(shù)據(jù)。保證多個數(shù)據(jù)副本之間的數(shù)據(jù)一致性是FusionStorage的重要特點，F(xiàn)usionStorage采用強一致性復(fù)制技術(shù)確保各個數(shù)據(jù)副本的一致性。FusionStorage還支持ReadRepair機制。ReadRepair機制是指在讀數(shù)據(jù)失敗時，會判斷錯誤類型，如果是磁盤扇區(qū)讀取錯誤，可以通過從其他副本讀取數(shù)據(jù)，然后重新寫入該副本的方法進行恢復(fù)，從而保證數(shù)據(jù)副本總數(shù)不減少?？焖贁?shù)據(jù)重建FusionStorage內(nèi)部具備強大的數(shù)據(jù)保護機制。數(shù)據(jù)存儲時被分片打散到多個節(jié)點上，這些分片數(shù)據(jù)支持分布在不同的存儲節(jié)點、 不同的機柜之間， 同時數(shù)據(jù)存儲時采用多副本技術(shù)， 數(shù)據(jù)會自動保存多份，每一個分片的不同副本也被分散保存到不同的存儲節(jié)點上。在硬件發(fā)生故障導(dǎo)致數(shù)據(jù)不一致時，F(xiàn)usionStorage通過內(nèi)部的自檢機制，通過比較不同節(jié)點上的副本分片，自動發(fā)現(xiàn)數(shù)據(jù)故障。發(fā)現(xiàn)故障后啟動數(shù)據(jù)修復(fù)機制，在后臺修復(fù)數(shù)據(jù)。由于數(shù)據(jù)被分散到多個不同的存儲節(jié)點上保存，數(shù)據(jù)修復(fù)時，在不同的節(jié)點上同時啟動修復(fù)，每個節(jié)點上只需修復(fù)一小部分?jǐn)?shù)據(jù)，多個節(jié)點并行工作，有效避免單個節(jié)點修復(fù)大量數(shù)據(jù)所產(chǎn)生的性能瓶2017-9-13 華為機密，未經(jīng)許可不得擴散 第12頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密頸，對上層業(yè)務(wù)的影響做到最小化。數(shù)據(jù)故障自動恢復(fù)流程如下圖所示。FusionStorage 數(shù)據(jù)重建流程FusionStorage支持并行、快速故障處理和重建：數(shù)據(jù)分片在資源池內(nèi)打散，硬盤故障后，可在資源池范圍內(nèi)自動并行重建。數(shù)據(jù)分布上支持跨服務(wù)器或者跨機柜，不會因某個服務(wù)器或者機柜故障導(dǎo)致的數(shù)據(jù)不可訪問。擴容時可以自動進行負(fù)載均衡，應(yīng)用無需調(diào)整即可獲得更大的容量和性能。掉電保護系統(tǒng)運行過程中可能會出現(xiàn)服務(wù)器突然下電的情況， FusionStorage使用保電介質(zhì)來保存元數(shù)據(jù)和緩存數(shù)據(jù)，以防掉電而丟失。FusionStorage支持的保電介質(zhì)包括 NVDIMM 內(nèi)存條、PCIeSSD卡、SSD固態(tài)硬盤。程序運行過程中器會把元數(shù)據(jù)和緩存數(shù)據(jù)寫入保電介質(zhì)中， 上電后恢復(fù)保電介質(zhì)中的元數(shù)據(jù)和緩存數(shù)據(jù)。2.1.5 云管理平臺華為云管理平臺聚焦于數(shù)據(jù)中心虛擬化資源管理、自動化運維發(fā)放、并對企業(yè) IT管理提供開放的管理接口。 華為云管理系統(tǒng)將整個數(shù)據(jù)中心云化， 并對系統(tǒng)中用戶可見的資源抽取出來納入統(tǒng)一的資源池管理， 為用戶提供一體化的資源管理， 自動資源發(fā)放。為用戶提供了方便的獲取資源的途徑。 用戶可以通過在服務(wù)目錄自動化的獲取資源并在資源上部署用戶需要的應(yīng)用。華為云管理平臺系統(tǒng)架構(gòu)如下圖：2017-9-13 華為機密，未經(jīng)許可不得擴散 第13頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密Figure圖1華為云管理平臺系統(tǒng)架構(gòu)參考方框內(nèi)是FusionManager云管理平臺的功能模塊。 “虛擬化管理”可以采用華為的虛擬化管理軟件 FusionCompute，也可以采用其他廠家的，如 VMware的VCenter+Vsphere等。云管理軟件從軟件層面拉通統(tǒng)一各資源管理。 FusionManager云管理平臺負(fù)責(zé)全系統(tǒng)硬件和軟件資源的操作維護管理，用戶業(yè)務(wù)的自動化運維。主要功能包括：基于角色訪問控制基本角色的訪問控制是指為管理員在不同域和組織上分配不同的角色， 從而實現(xiàn)對管理員的權(quán)限控制。管理員可以通過用戶、 角色和組織的管理， 使不同用戶在不同的組織的操作相互獨立，實現(xiàn)數(shù)據(jù)隔離。用戶管理第三方認(rèn)證配置FusionManager系統(tǒng)中，管理員可以配置第三方認(rèn)證 AD服務(wù)器，配置服務(wù)器之后，即可將 AD服務(wù)器的用戶加入系統(tǒng)中。加入系統(tǒng)的AD服務(wù)器用戶可以作為 FusionManager系統(tǒng)的管理員。當(dāng)?shù)谌秸J(rèn)證用戶登錄 FusionManager時，在AD服務(wù)器上完成密碼驗證。2017-9-13 華為機密，未經(jīng)許可不得擴散 第14頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密密碼管理管理員可以通過配置密碼最小長度、是否包含特殊字符、是否包含用戶名、密碼修改的重復(fù)次數(shù)等，靈活設(shè)置密碼策略，以保證密碼的安全性。角色管理角色定義的好處管理員可以通過角色定義不同的權(quán)限組合，方便對不同用戶授予不同的權(quán)限。默認(rèn)角色FusionManager系統(tǒng)提供了六種默認(rèn)角色。默認(rèn)角色包括系統(tǒng)超級管理員、系統(tǒng)操作員、系統(tǒng)查看員、資源管理員、業(yè)務(wù)管理員和組織管理員。角色類型--

業(yè)務(wù)管理員類業(yè)務(wù)管理員類的角色只能擁有應(yīng)用模板管理、組織資源、應(yīng)用管理等權(quán)限。業(yè)務(wù)管理員只能查看和管理所在組織中的資源和用戶。FusionManager為業(yè)務(wù)管理員提供了獨立的 Portal，供業(yè)務(wù)管理員管理組織資源。系統(tǒng)管理員類系統(tǒng)管理員類的角色可以擁有系統(tǒng)管理、資源管理、故障管理類的權(quán)限。系統(tǒng)管理員可以查看和管理系統(tǒng)資源和用戶。FusionManager為系統(tǒng)管理員提供了獨立的Portal，供系統(tǒng)管理員管理系統(tǒng)資源。組織管理資源的組織管理組織與虛擬資源關(guān)聯(lián)，管理員可以將 vDC劃分給具體的組織。用戶的組織管理2017-9-13 華為機密，未經(jīng)許可不得擴散 第15頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密組織與用戶關(guān)聯(lián)，當(dāng)管理員將vDC劃分給組織后，組織內(nèi)部的管理員可以根據(jù)角色對vDC進行管理。組織是針對業(yè)務(wù)管理員定義的。業(yè)務(wù)管理員和組織的對應(yīng)關(guān)系是多對一。每個組織中的業(yè)務(wù)管理員只能查看和管理己所在組織中的資源。單點登錄當(dāng)管理員登錄FusionManager系統(tǒng)后，如果需要登錄FusionCompute，管理員不需要再次輸入用戶和密碼，可以直接訪問FusionCompute的管理界面。物理資源管理FusionManager系統(tǒng)支持機框、服務(wù)器、存儲設(shè)備和交換機等物理設(shè)備的管理。 在FusionSphere解決方案中，物理設(shè)備需手工方式導(dǎo)入 FusionManager系統(tǒng)。物理設(shè)備接入?yún)f(xié)議FusionManager系統(tǒng)可以接入服務(wù)器、存儲和交換機設(shè)備。服務(wù)器管理查看服務(wù)器信息FusionManager提供查看服務(wù)器的名稱、管理 IP地址、BIOS、CPU主頻個數(shù)、內(nèi)存大小、硬盤容量、網(wǎng)卡個數(shù)和網(wǎng)口個數(shù)等信息。服務(wù)器操作管理在FusionManager系統(tǒng)中，可以對服務(wù)器進行上電、安全下電、強制下電、安全重啟、進入維護模式和退出維護模式等操作。服務(wù)器監(jiān)控管理在FusionManager系統(tǒng)中，可以監(jiān)控服務(wù)器的如下指標(biāo)： CPU占用率、內(nèi)存占用率、網(wǎng)絡(luò)流出、網(wǎng)絡(luò)流入、磁盤I/O寫入、磁盤I/O讀出和服務(wù)器狀態(tài)等。同時，您還可以按周、月、年及自定義時段查詢性能監(jiān)控結(jié)果，您也可以導(dǎo)出查詢結(jié)果。網(wǎng)絡(luò)設(shè)備管理查看交換機信息FusionManager提供查看交換機的名稱、管理 IP地址、型號、類型和狀態(tài)等信息。查看交換機端口連接狀態(tài)2017-9-13 華為機密，未經(jīng)許可不得擴散 第16頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密在FusionManager系統(tǒng)中，可以查看交換機每個端口的編號、狀態(tài)、發(fā)送速率、接收速率、發(fā)送丟包率、接收丟包率、發(fā)送錯誤率和接收錯誤率等信息。網(wǎng)絡(luò)配置管理在FusionManager系統(tǒng)中，您可以對系統(tǒng)網(wǎng)絡(luò)進行配置和管理，包括外部網(wǎng)絡(luò)、組織網(wǎng)絡(luò)和服務(wù)器BMCIP池等。存儲系統(tǒng)管理查看存儲系統(tǒng)的配置信息FusionManager提供查看存儲系統(tǒng)的名稱、狀態(tài)和磁盤數(shù)量等信息。存儲設(shè)備的監(jiān)控管理在FusionManager系統(tǒng)中，您可以查詢存儲系統(tǒng)的總?cè)萘亢涂捎萌萘康取Ｌ摂M化資源管理虛擬化資源管理是指在 FusionManager系統(tǒng)中，管理員可以統(tǒng)一管理不同系統(tǒng)提供的虛擬資源，包括虛擬機資源、虛擬網(wǎng)絡(luò)資源和虛擬存儲資源等。虛擬機生命周期管理創(chuàng)建虛擬機FusionManager系統(tǒng)中，管理員可以通過以下方式創(chuàng)建虛擬機：創(chuàng)建應(yīng)用。使用虛擬機模板創(chuàng)建虛擬機。自定義方式創(chuàng)建虛擬機。克隆方式創(chuàng)建虛擬機。銷毀虛擬機管理員可以通過刪除應(yīng)用來銷毀虛擬機，將不再使用的虛擬機銷毀，以釋放系統(tǒng)資源。虛擬機操作管理管理員可以通過對一個或多個虛擬機，執(zhí)行啟動/喚醒、安全重啟、強制重啟、休眠、安全關(guān)閉和強制關(guān)閉等操作。遷移虛擬機2017-9-13 華為機密，未經(jīng)許可不得擴散 第17頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密管理員可以將虛擬機從一臺主機上遷移到另一臺主機上。修復(fù)虛擬機虛擬機操作系統(tǒng)異常后，管理員可以對虛擬機進行修復(fù)。修復(fù)虛擬機不會影響用戶數(shù)據(jù)，確保用戶信息不丟失。創(chuàng)建虛擬機快照虛擬機快照可保留虛擬機某一個時刻的狀態(tài)，當(dāng)虛擬機出現(xiàn)故障時，管理員可以使用快照將虛擬機恢復(fù)到創(chuàng)建快照的時刻點。虛擬機資源調(diào)整管理員可以根據(jù)業(yè)務(wù)負(fù)載調(diào)整資源的使用情況。虛擬機資源調(diào)整包括：調(diào)整虛擬機的QoS配置了虛擬機CPUQoS后，當(dāng)虛擬機啟動時，系統(tǒng)會根據(jù)當(dāng)前資源使用情況為虛擬機的VCPU綁定物理CPU，直到虛擬機關(guān)機。--

調(diào)整虛擬機 CPU數(shù)目管理員可以根據(jù)需要，增加或者減少虛擬機的CPU核數(shù)，以便滿足虛擬機上業(yè)務(wù)負(fù)載發(fā)生變化時，對計算資源的不同需求。調(diào)整內(nèi)存大小管理員可以根據(jù)需要增加或者減少虛擬機的內(nèi)存容量，以便滿足虛擬機上業(yè)務(wù)負(fù)載發(fā)生變化時對內(nèi)存的需求。----

增加或修改虛擬磁盤管理員通過增加虛擬磁盤或修改磁盤容量，滿足業(yè)務(wù)對虛擬機磁盤容量變化的需求，實現(xiàn)存儲資源的靈活使用。刪除虛擬磁盤管理員通過刪除虛擬磁盤，釋放不使用的磁盤空間，滿足業(yè)務(wù)對虛擬機磁盤容量變化的需求，實現(xiàn)存儲資源的靈活使用。增加或修改網(wǎng)卡管理員通過增加虛擬網(wǎng)卡或修改網(wǎng)卡屬性，調(diào)整虛擬機的網(wǎng)絡(luò)屬性，實現(xiàn)網(wǎng)絡(luò)資源的靈活使用。刪除網(wǎng)卡管理員通過刪除虛擬網(wǎng)卡，釋放不使用的網(wǎng)卡，實現(xiàn)網(wǎng)絡(luò)資源的靈活使用。2017-9-13 華為機密，未經(jīng)許可不得擴散 第18頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密--

增加USB控制器管理員可以為 VMware虛擬化環(huán)境中的虛擬機添加 USB控制器，添加 USB控制器后，虛擬機就可以綁定 USB設(shè)備。刪除USB控制器管理員可以為 VMware虛擬化環(huán)境中的虛擬機刪除 USB控制器，以釋放虛擬機所占用的USB控制器資源。- 綁定或解綁定 USB設(shè)備管理員將虛擬機與主機上的 USB設(shè)備進行綁定，使得虛擬機能夠訪問 USB設(shè)備，滿足用戶需求。也可以解綁定，及時釋放虛擬機占用的 USB設(shè)備資源。- 調(diào)整虛擬機磁盤的 IO上限管理員可設(shè)置虛擬機每個磁盤的 IO上限，以避免某個虛擬機的磁盤 IO過大，影響其他虛擬機的性能。虛擬機性能監(jiān)控在FusionManager系統(tǒng)中，管理員可以獲取虛擬機 CPU占用率、內(nèi)存占用率、網(wǎng)絡(luò)流速和磁盤 I/O等信息，還可以按周、月、年及自定義時段查詢性能監(jiān)控結(jié)果。虛擬存儲管理FusionManager系統(tǒng)可以管理分布式存儲系統(tǒng)上的存儲資源，以數(shù)據(jù)存儲為單位分配給資源集群使用。資源集群管理資源集群由計算資源、存儲資源和網(wǎng)絡(luò)資源組成。資源集群是對計算、存儲、網(wǎng)絡(luò)等物理資源的分組，資源集群之間是相對隔離的。一個虛擬化環(huán)境中可以有多個資源集群。資源集群管理包括創(chuàng)建資源集群、刪除資源集群、擴容資源集群、減容資源集群、查詢資源集群、資源集群性能監(jiān)控和資源集群的調(diào)度策略等。在 FusionSphere解決方案中，在虛擬化環(huán)境（例如FusionCompute或VMware的vSphere）上實現(xiàn)了創(chuàng)建資源集群、刪除資源集群、擴容資源集群、減容資源集群功能。在FusionManager實現(xiàn)查詢資源集群、資源集群性能監(jiān)控和資源集群的調(diào)度策略等功能。查看資源集群2017-9-13 華為機密，未經(jīng)許可不得擴散 第19頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密管理員可以在FusionManager上查看資源集群的基本信息，例如資源集群名稱、資源集群所屬域、資源集群所屬虛擬化環(huán)境、資源集群所屬資源分區(qū)、資源集群中的虛擬機、資源集群中主機資源和存儲資源等信息。資源集群性能監(jiān)控管理員可以在 FusionManager上按周、月、年和自定義時間段查詢資源集群性能監(jiān)控。監(jiān)控指標(biāo)包含平均 CPU占用率、平均內(nèi)存占用率、平均網(wǎng)絡(luò)流速、 TOPCPU占用主機等信息。設(shè)置資源調(diào)度策略管理員可以在 FusionManager上設(shè)置、查看和處理資源調(diào)度策略。資源調(diào)度是指通過檢查資源集群內(nèi)各個主機的負(fù)載情況，當(dāng)系統(tǒng)發(fā)現(xiàn)部分主機負(fù)載較重，會自動在不同的主機之間遷移虛擬機（自動）或者給出虛擬機遷移建議（手動），以達到同一資源集群內(nèi)的不同主機間的負(fù)載均衡。虛擬負(fù)載均衡管理FusionManager可以為用戶虛擬機或主機提供負(fù)載均衡服務(wù)。 用戶通過申請負(fù)載均衡服務(wù)器，將虛擬機或主機關(guān)聯(lián)到負(fù)載均衡器。負(fù)載均衡器根據(jù)用戶設(shè)定的負(fù)載均衡策略，將業(yè)務(wù)請求均勻分發(fā)到與之關(guān)聯(lián)的虛擬機或主機上，保證業(yè)務(wù)的穩(wěn)定性和可靠性。負(fù)載均衡器管理管理員可以查詢、創(chuàng)建、刪除負(fù)載均衡器。監(jiān)聽器管理管理員可以在已經(jīng)創(chuàng)建的負(fù)載均衡器上，增加新的監(jiān)聽器。每個負(fù)載均衡器中可以創(chuàng)建多個監(jiān)聽器，對外提供服務(wù)。綁定虛擬機或主機管理員可以在FusionManager中，將虛擬機或主機綁定到負(fù)載均衡器上，以實現(xiàn)綁定虛擬機或主機的負(fù)載均衡。負(fù)載均衡策略可以選擇輪詢模式或者最小連接模式。自動化運維管理員還可以針對不同應(yīng)用設(shè)置不同的伸縮策略， 系統(tǒng)自動根據(jù)伸縮策略和應(yīng)用的負(fù)載進行2017-9-13 華為機密，未經(jīng)許可不得擴散 第20頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密資源彈性伸縮調(diào)度。應(yīng)用自動伸縮管理員可以通過對不同的應(yīng)用設(shè)置不同的資源使用策略， 以達到應(yīng)用自動伸縮的目的。 設(shè)置了自動伸縮策略后， 系統(tǒng)會自動根據(jù)資源策略和應(yīng)用的資源占用率對應(yīng)用進行動態(tài)伸縮 （例如，增加或減少該應(yīng)用的虛擬機），使應(yīng)用達到最佳資源占有狀態(tài)。自動伸縮策略包含組內(nèi)自動伸縮策略、組間自動伸縮策略和計劃任務(wù)。組內(nèi)自動伸縮策略組內(nèi)自動伸縮策略是針對一個應(yīng)用而言的。當(dāng)某個應(yīng)用的 CPU、內(nèi)存資源的占用率較高，或者磁盤寫入 /讀取速度、網(wǎng)絡(luò)流入 /流出速度較高時，系統(tǒng)可以自動為該應(yīng)用添加虛擬機，并自動安裝虛擬機的應(yīng)用軟件，以降低應(yīng)用的整體資源負(fù)載，使應(yīng)用能夠健康的運行。同時，當(dāng)應(yīng)用的資源占用率很低時，系統(tǒng)可以自動減少該應(yīng)用所使用的虛擬機，釋放相應(yīng)的資源，以達到應(yīng)用間資源的有效復(fù)用和節(jié)能減排的目的。組間自動伸縮策略組間自動伸縮策略是針對應(yīng)用組而言的。指當(dāng)系統(tǒng) CPU或內(nèi)存資源不足的情況下，系統(tǒng)自動根據(jù)組間設(shè)置的資源復(fù)用策略，在資源緊張的情況下，自動釋放優(yōu)先級低的資源，以供優(yōu)先級高的應(yīng)用使用。計劃任務(wù)計劃任務(wù)是針對應(yīng)用組而言的。時間計劃策略允許用戶對于不同的應(yīng)用實現(xiàn)資源的分時復(fù)用。用戶可以設(shè)置計劃策略，使得不同的應(yīng)用分時段的使用系統(tǒng)資源。例如，白天讓辦公用戶的虛擬機使用系統(tǒng)資源，晚上分配資源給公共虛擬機。開放API和SDKFusionManager提供了支持多語言的 SDK包和靈活的API接口，供用戶進行二次開發(fā)。開放SDKFusionManager 提供多語言 SDK包，供客戶進行二次開發(fā)，支持 JAVA和Python兩種開發(fā)語言。2017-9-13 華為機密，未經(jīng)許可不得擴散 第21頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密FusionManager 同時提供了 SDK接口文檔、二次開發(fā)指南和開發(fā)樣例，為客戶順利進行二次開發(fā)提供指導(dǎo)。開發(fā)APIFusionManager系統(tǒng)提供開放 API，上層網(wǎng)管通過開放 API從FusionManager中獲取資源信息，方便上層網(wǎng)管管理員對系統(tǒng)進行管理和維護。接口安全保護上層網(wǎng)管通過 http和https協(xié)議與開放API互通。開放API和上層網(wǎng)管對接使用用戶名和密碼進行認(rèn)證。為了保證密碼傳輸安全性， FusionManager系統(tǒng)對密碼采用了 RSA2048非對稱加密。運維數(shù)據(jù)獲取通過開放API接口，上層網(wǎng)管管理員可方便獲取 FusionManager 系統(tǒng)的運維管理數(shù)據(jù)。例如，實時和歷史告警數(shù)據(jù)、資源的實時和歷史監(jiān)控數(shù)據(jù)等。通過開放API接口，上層網(wǎng)管管理員可方便獲取 FusionManager 系統(tǒng)的資源信息。例如，集群資源、服務(wù)器資源、交換機資源和虛擬機資源等。資源的操作維護通過開放API接口，上層網(wǎng)管管理員可對FusionManager系統(tǒng)資源進行維護操作。例如，對虛擬機進行啟動、停止、重啟等操作；對服務(wù)器進行上電、下電、重啟等操作。監(jiān)控管理FusionManager提供拓?fù)涔芾?、性能監(jiān)控、告警管理、任務(wù)中心管理和操作日志管理等監(jiān)控管理功能。管理員可以通過監(jiān)控信息，了解整個系統(tǒng)的軟件和硬件的運行情況，及時進行故障處理。拓?fù)涔芾砉芾韱T通過拓?fù)湟晥D可以查看物理硬件資源視圖和虛擬機資源視圖，通過拓?fù)湟晥D可以了解計算、存儲、網(wǎng)絡(luò)以及虛擬資源的邏輯關(guān)系。監(jiān)控管理2017-9-13 華為機密，未經(jīng)許可不得擴散 第22頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密狀態(tài)監(jiān)控管理員可以查看計算資源、存儲資源、網(wǎng)絡(luò)資源和虛擬資源的當(dāng)前狀態(tài)，通過儀盤表的視圖方式了解系統(tǒng)的軟硬件資源，還可以導(dǎo)出歷史監(jiān)控數(shù)據(jù)。容量監(jiān)控管理員可以查看計算資源、存儲資源、網(wǎng)絡(luò)資源和虛擬資源等的系統(tǒng)資源容量情況，以便維護人員和管理員可以提前發(fā)現(xiàn)擴減容需求，避免資源浪費和過載的發(fā)生。告警管理告警管理是指集中監(jiān)控所有軟硬件告警， 包括計算設(shè)備告警、存儲設(shè)備告警和虛擬資源告警。所有軟硬件告警統(tǒng)一以列表的方式呈現(xiàn)給管理員。告警分為以下幾個級別：緊急：此類故障會影響系統(tǒng)提供的服務(wù)，需立即采取處理措施。重要：此類故障會影響系統(tǒng)的服務(wù)質(zhì)量，需要采取緊急處理措施。次要：此類故障不影響服務(wù)質(zhì)量，但為了避免造成更嚴(yán)重的故障，需要在適當(dāng)時間進行處理或進一步觀察。提示：此類故障提示可能有潛在的錯誤會影響系統(tǒng)的服務(wù)質(zhì)量，需根據(jù)不同錯誤類型進行處理。為了提高管理員告警處理的效率，您可以進行如下告警功能設(shè)置：設(shè)置告警轉(zhuǎn)郵件：可以設(shè)置將相應(yīng)級別的告警自動轉(zhuǎn)到管理員郵箱，方便管理員及時獲取和處理告警。設(shè)置告警閾值：可以設(shè)置CPU占用率、內(nèi)存占用率、磁盤I/O、網(wǎng)絡(luò)流量等告警閾值，在系統(tǒng)資源達到閾值時，產(chǎn)生告警。操作日志管理管理員可以在 FusionManager查詢和導(dǎo)出用戶操作日志。計量管理FusionManager支持自動將計量數(shù)據(jù)記錄到文件， 并通過FTP和話單服務(wù)器對接， 將計量數(shù)據(jù)上傳到話單服務(wù)器。2017-9-13 華為機密，未經(jīng)許可不得擴散 第23頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密計次話單在用戶進行虛擬機、塊存儲、備份和各類網(wǎng)絡(luò)資源的申請、修改、釋放、凍結(jié)和解凍等操作時，F(xiàn)usionManager記錄相關(guān)信息到話單文件，并發(fā)送話單文件給話單服務(wù)器。審計話單審計話單是對計量話單的補充，在計次信息遺漏時，為計費提供依據(jù)。其中，虛擬機的審計話單記錄周期可配置，其他資源的審計話單記錄周期是 5分鐘。負(fù)載均衡流量話單FusionManager定時（每隔一小時）記錄每個負(fù)載均衡器的流量信息到文件，并發(fā)送給話單服務(wù)器。彈性IP流量話單FusionManager實時收集網(wǎng)絡(luò)的彈性 IP流量信息，記錄到文件，并發(fā)送給話單服務(wù)器。0安全管理FusionManager提供了全方位的安全體系。包括日志安全管理、賬戶和密碼安全管理、權(quán)限管理、WEB安全管理、數(shù)據(jù)安全管理、操作系統(tǒng)安全管理和防畸形報文攻擊安全管理等。日志安全管理管理員通過查看日志了解系統(tǒng)的運行情況和操作記錄，從而進行用戶行為審計和問題定位。操作日志記錄了用戶對系統(tǒng)所做的操作以及操作的結(jié)果，例如登錄、退出系統(tǒng)和創(chuàng)建虛擬機等。記錄操作日志，可以快速定位系統(tǒng)是否遭受惡意的操作和攻擊。賬戶和密碼管理FusionManager提供常見賬戶的密碼修改功能，管理員可以定期修改密碼，保證系統(tǒng)的密碼安全性。權(quán)限管理FusionManager為管理員提供了功能強大的權(quán)限管理功能，使用戶在不同的組織和域下進行獨立的操作，實現(xiàn)用戶數(shù)據(jù)隔離。從而保證了系統(tǒng)內(nèi)部資源的安全性。詳情請參考5.1基于2017-9-13 華為機密，未經(jīng)許可不得擴散 第24頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密角色訪問控制 。WEB安全管理防范Web應(yīng)用的基本攻擊，如防止 SQL注入，防止跨站腳本攻擊。登錄頁面支持圖片驗證碼。在Web系統(tǒng)的登錄頁面，系統(tǒng)隨機生成驗證碼；只有當(dāng)用戶名、密碼和隨機驗證碼全部驗證通過時，用戶才能登錄。用戶第一次登錄時沒有驗證碼輸入界面， 只有密碼輸入錯誤時才會彈出驗證碼輸入界面。長時間不使用 Web管理系統(tǒng)，系統(tǒng)會自動鎖定該管理系統(tǒng)。數(shù)據(jù)安全管理數(shù)據(jù)庫必須進行基礎(chǔ)的安全的配置， 保證數(shù)據(jù)庫運行安全， PostgreSQL數(shù)據(jù)庫的主要安全配置如下：記錄數(shù)據(jù)庫的操作日志。禁止數(shù)據(jù)庫帳戶遠程訪問數(shù)據(jù)庫，只能本地訪問數(shù)據(jù)庫?？赏ㄟ^系統(tǒng)數(shù)據(jù)備份，備份文件和數(shù)據(jù)庫的數(shù)據(jù)，可供管理員在系統(tǒng)故障時恢復(fù)系統(tǒng)。操作系統(tǒng)安全管理FusionManager系統(tǒng)使用SUSELinux操作系統(tǒng)，為了保證系統(tǒng)安全性。已經(jīng)對 SUSELinux操作系統(tǒng)進行基礎(chǔ)的安全配置，基礎(chǔ)安全配置的主要內(nèi)容如下：關(guān)閉不必要的服務(wù)，如屏蔽 Telnet服務(wù)和FTP服務(wù)。加固SSH的服務(wù)?？刂莆募湍夸浀脑L問權(quán)限。記錄操作日志。防畸形報文安全FusionManager系統(tǒng)與終端用戶有交互、與非信任網(wǎng)絡(luò)互聯(lián)、容易受攻擊的等協(xié)議，在測試過程中進行了畸形報文攻擊測試，使用 Codenomicon 、xDefend進行畸泛洪類、畸形報文攻2017-9-13 華為機密，未經(jīng)許可不得擴散 第25頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密擊測試。從而保證了系統(tǒng)交互的安全性。2.2系統(tǒng)部署方案2.2.1 總體組網(wǎng)方案管理員Internet Intranet防火墻業(yè)務(wù)網(wǎng)絡(luò)VRRP管理網(wǎng)絡(luò)客戶數(shù)通網(wǎng)絡(luò)核心交換機業(yè)務(wù)/管理混合一體機網(wǎng)絡(luò)FusionCube一體機部署在客戶的數(shù)據(jù)中心機房中；采用 4*10GE上行到客戶核心交換機。網(wǎng)絡(luò)通信平面劃分為業(yè)務(wù)網(wǎng)、管理網(wǎng)。兩個網(wǎng)絡(luò)之間通過 VLAN是隔離的，保證最終用戶不能破壞基礎(chǔ)平臺。采用RH2288H機架服務(wù)器。一體機融合計算和存儲資源，提供虛擬化資源。每臺服務(wù)器配置1個2*10GE端口的普通網(wǎng)卡。每個機柜配置 1對S6724交換機+1個S5728（BMC接入），2017-9-13 華為機密，未經(jīng)許可不得擴散 第26頁,共31頁ConfidentialityLevel招行北京分行 FusionStorage 分布式存儲系統(tǒng)技術(shù)建議書 機密每個機柜支持 12臺RH2288H(單柜6kW)；機柜間匯聚交換機可以是客戶提供，也可以由華為提供。如果是華為提供可選擇 1對S6724作為匯聚交換機（支持 9柜）或者1對S6748（支持20柜）。一體機采用服務(wù)器上的本地存儲。 本地存儲通過 SAS口直接連接到服務(wù)器上。 本地存儲通過FusionStorage分布式存儲軟件系統(tǒng)虛擬化成一個大資源池給用戶使用。一體機內(nèi)部網(wǎng)絡(luò)按照二層網(wǎng)絡(luò)架構(gòu)設(shè)計， 和客戶網(wǎng)絡(luò)連接可以選擇采用二層模式， 二層模式是，子網(wǎng)的網(wǎng)關(guān)配置客戶網(wǎng)絡(luò)， 僅將一體機交換機作為接入交換機。 主要應(yīng)用于要求管理與業(yè)務(wù)隔離，用戶可配置不同子網(wǎng)安全隔離。2.2.2與客戶網(wǎng)絡(luò)對接服務(wù)器側(cè)邏輯上分為三個平面：業(yè)務(wù)平面、存儲平面和管理平面，且三個平面之間是隔離的，保證最終用戶不能破壞基礎(chǔ)平臺。存儲平面：服務(wù)器上存儲間通過存儲網(wǎng)絡(luò)二層直接互通。存儲設(shè)備為虛擬機提供存儲資源，但不直接與虛擬機通信，而通過虛擬化平臺轉(zhuǎn)化。業(yè)務(wù)平面：為用戶提供業(yè)務(wù)通道，為虛擬機虛擬網(wǎng)卡的通信平面，對外提供業(yè)務(wù)應(yīng)用?？舍槍Σ煌摂M機細(xì)分VLAN進行訪問隔離。管理平面：負(fù)責(zé)整個云計算系統(tǒng)的管理、業(yè)務(wù)部署、系統(tǒng)加載等流量的通信。BMC平面主要負(fù)責(zé)服務(wù)器的管理，BMC平面和管理平面隔離。服務(wù)器采用2個10GE網(wǎng)口進行組網(wǎng)，業(yè)務(wù)、管理、存儲平面通過兩網(wǎng)卡聚合確保鏈路冗余。外置2個10GE交換機進行接入和匯聚，用于接入機柜內(nèi)所有機架服務(wù)器，以及柜間級聯(lián)。在交換機上劃分VLAN，將管理、業(yè)務(wù)、存儲三個平面邏輯隔離，機柜內(nèi)交換機再上行匯聚到客戶網(wǎng)絡(luò)中。一體機默認(rèn)VLAN劃分：BMC平面為VLAN4030，管理平面為VLAN4040，存儲平面為VLAN4050，業(yè)務(wù)平面為VLAN2-4000；其中管理平面的子網(wǎng)網(wǎng)段及VLAN劃分可根據(jù)