智慧校園云計(jì)算平臺(tái)技術(shù)方案書(高成本)

XX智慧校園云計(jì)算平臺(tái)技術(shù)方案書2013年3月目錄1概述31.1高校信息化面臨的挑戰(zhàn)31.2云計(jì)算在高校的應(yīng)用價(jià)值42智慧校園建設(shè)背景72.1現(xiàn)狀分析72.2需求分析82.3設(shè)計(jì)原那么102.4建設(shè)模式分析113智慧校園云計(jì)算平臺(tái)設(shè)計(jì)133.1整體架構(gòu)設(shè)計(jì)133.2計(jì)算資源池設(shè)計(jì)143.3存儲(chǔ)資源池設(shè)計(jì)163.4網(wǎng)絡(luò)資源池設(shè)計(jì)17設(shè)計(jì)要點(diǎn)17組網(wǎng)架構(gòu)20核心交換系統(tǒng)21效勞器與存儲(chǔ)接入22虛擬機(jī)接入233.5平安資源池設(shè)計(jì)27設(shè)計(jì)要點(diǎn)27網(wǎng)絡(luò)邊界平安防護(hù)28虛擬機(jī)深度平安防護(hù)29平安策略動(dòng)態(tài)遷移313.6虛擬化平臺(tái)設(shè)計(jì)33計(jì)算虛擬化33網(wǎng)絡(luò)虛擬化423.7云管理平臺(tái)設(shè)計(jì)47云業(yè)務(wù)管理48云網(wǎng)絡(luò)管理543.1推薦配置清單583.2解決方案優(yōu)勢(shì)59高效節(jié)能59彈性可靠61標(biāo)準(zhǔn)融合63概述高校信息化面臨的挑戰(zhàn)在傳統(tǒng)的教育信息化建設(shè)過程中，根本上都按照“按需、逐個(gè)、獨(dú)立”的建設(shè)原那么，每一個(gè)應(yīng)用系統(tǒng)都使用獨(dú)立的效勞器、獨(dú)立的平安和管理標(biāo)準(zhǔn)、獨(dú)立的數(shù)據(jù)庫和獨(dú)立的展現(xiàn)層，即煙囪式的孤島架構(gòu)。教育信息化的孤島架構(gòu)孤島架構(gòu)的缺點(diǎn)主要有：高投入、難管理、低效率、高能耗、低可用問題當(dāng)前教育信息化硬件配置現(xiàn)狀一般是如下兩種情況：普通應(yīng)用系統(tǒng)，一臺(tái)效勞器安裝一個(gè)應(yīng)用系統(tǒng)；關(guān)鍵應(yīng)用系統(tǒng)，如校園一卡通業(yè)務(wù)系統(tǒng)、OA系統(tǒng)、云教學(xué)系統(tǒng)等，基于性能的考慮，通常以效勞器〔小型機(jī)或刀片效勞器〕和SAN存儲(chǔ)連接方式為根底，一個(gè)應(yīng)用系統(tǒng)部署在幾臺(tái)效勞器上〔應(yīng)用效勞器、數(shù)據(jù)庫效勞器〕，通過小型機(jī)或多組刀片來實(shí)現(xiàn)關(guān)鍵應(yīng)用的部署。第一種情況存在硬件資源浪費(fèi)與硬件資源缺乏的問題。如果效勞器性能很高，有資源剩余，但不能將多余的資源給其他應(yīng)用系統(tǒng)使用，造成浪費(fèi)；當(dāng)應(yīng)用頂峰時(shí)，可能一臺(tái)效勞器資源缺乏，也無法從其它地方獲取更多的硬件資源支持，造成應(yīng)用癱瘓；第二種情況存在嚴(yán)重資源浪費(fèi)問題。多臺(tái)效勞器為一個(gè)應(yīng)用效勞。應(yīng)用系統(tǒng)動(dòng)輒就有幾十個(gè)〔如教務(wù)管理、人事管理、辦公、財(cái)務(wù)管理、固定資產(chǎn)管理、教學(xué)系統(tǒng)等〕，應(yīng)用系統(tǒng)的建設(shè)需要大量的效勞器來支撐。系統(tǒng)建成后，在實(shí)際使用中，有些應(yīng)用系統(tǒng)一天可能只有少數(shù)人使用，使用的次數(shù)也很少；另外，這些應(yīng)用系統(tǒng)的使用模式也非常有規(guī)律，如大局部用戶的使用和訪問集中在上班時(shí)間，非正常上班時(shí)間〔晚上、節(jié)假日〕利用率很低。在這些時(shí)間內(nèi)，只有少數(shù)人偶爾使用OA系統(tǒng)、郵件系統(tǒng)等，大量的業(yè)務(wù)系統(tǒng)實(shí)際上處于空閑狀態(tài)，CPU和內(nèi)存利用率不超過15%，但支持這些應(yīng)用系統(tǒng)正常運(yùn)行的所有資源〔效勞器等硬件設(shè)備〕需要不間斷工作，大量的效勞器硬件增加了維護(hù)難度和能耗本錢。低可靠性問題當(dāng)任意一臺(tái)效勞器出現(xiàn)硬件故障或者軟件故障時(shí)，那么與本效勞器相關(guān)的應(yīng)用系統(tǒng)都不能使用，造成應(yīng)用系統(tǒng)癱瘓。云計(jì)算在高校的應(yīng)用價(jià)值云計(jì)算是一種基于網(wǎng)絡(luò)的計(jì)算效勞供給方式，它以跨越異構(gòu)、動(dòng)態(tài)流轉(zhuǎn)的資源池為根底提供給客戶可自治的效勞，實(shí)現(xiàn)資源的按需分配、按量計(jì)費(fèi)。云計(jì)算導(dǎo)致資源規(guī)模化、集中化，促進(jìn)IT產(chǎn)業(yè)的進(jìn)一步分工，讓IT系統(tǒng)的建設(shè)和運(yùn)維統(tǒng)一集中到云計(jì)算運(yùn)營商處，普通用戶都更加關(guān)注于自己的業(yè)務(wù)，從而提高了信息化建設(shè)的效率和彈性，促進(jìn)社會(huì)和國家生產(chǎn)生活的集約化水平。云計(jì)算主要包含兩個(gè)層次的含義：一是從被效勞的客戶端看：在云計(jì)算環(huán)境下，用戶無需自建根底系統(tǒng)，可以更加專注于自己的業(yè)務(wù)。用戶可按需獲取網(wǎng)絡(luò)上的資源，并按使用量付費(fèi)。如同翻開電燈用電，翻開水龍頭用水一樣，而無需考慮是電從哪里來，水是哪家水廠的。二是從云計(jì)算后臺(tái)看：云計(jì)算實(shí)現(xiàn)資源的集中化、規(guī)?；?。能夠?qū)崿F(xiàn)對(duì)各類異構(gòu)軟硬件根底資源的兼容，如電網(wǎng)支持水電廠、火電廠、風(fēng)電廠、核電廠等異構(gòu)電廠并網(wǎng)；還能夠?qū)崿F(xiàn)資源的動(dòng)態(tài)流轉(zhuǎn)，如西電東送，西氣東輸、南水北調(diào)等。支持異構(gòu)資源和實(shí)現(xiàn)資源的動(dòng)態(tài)流轉(zhuǎn)，可以更好的利用資源，降低根底資源供給商的本錢。云計(jì)算是能夠提供動(dòng)態(tài)資源池、虛擬化和高可用性的下一代計(jì)算模式，可以為用戶提供“按需計(jì)算”效勞。根據(jù)當(dāng)前教育信息化的現(xiàn)狀及開展趨勢(shì)，云計(jì)算在教育行業(yè)將有極其重要的應(yīng)用價(jià)值：教育資源的優(yōu)化整合對(duì)目前教育信息化的各種資源進(jìn)行整合開發(fā)利用，充分挖掘潛力，提高資源的利用率。首先將分散在不同地域的教學(xué)園區(qū)的軟硬件資源進(jìn)行整合，提高其重復(fù)利用率，杜絕閑置和浪費(fèi)現(xiàn)象，到達(dá)數(shù)據(jù)的標(biāo)準(zhǔn)統(tǒng)一、管理統(tǒng)一、維護(hù)統(tǒng)一，逐漸將校園網(wǎng)內(nèi)各個(gè)分校、各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)動(dòng)態(tài)及時(shí)地互聯(lián)互通，徹底消除教育信息化中的信息孤島，實(shí)現(xiàn)信息分散、動(dòng)態(tài)采集，集中平安管理，共享應(yīng)用。通過效勞器虛擬化技術(shù)，將各種硬件及軟件資源虛擬化成一個(gè)或多個(gè)資源池，并通過系統(tǒng)管理平臺(tái)對(duì)這些虛擬資源進(jìn)行智能的、自動(dòng)化的管理和分配。教育資源的效勞提供通過多層次的自助效勞門戶為最終用戶〔即資源的使用者〕提供數(shù)據(jù)及應(yīng)用效勞，資源使用者可以通過自助效勞門戶瀏覽和申請(qǐng)使用教育資源，并可以按自己的需要對(duì)資源進(jìn)行下載、重新整合和展現(xiàn)。同時(shí)，教育應(yīng)用開發(fā)商或資源提供者也可以通過自助效勞門戶上載教育應(yīng)用或資源到教育私有云效勞平臺(tái)上，而教育云效勞的運(yùn)營者或管理者，可以通過該自助效勞門戶對(duì)用戶、資源、計(jì)費(fèi)進(jìn)行統(tǒng)一管理。教育云平臺(tái)框架圖首先，通過運(yùn)行在效勞器上的虛擬化內(nèi)核軟件，屏蔽底層異構(gòu)硬件之間的差異性，消除上層客戶操作系統(tǒng)對(duì)硬件設(shè)備及底層驅(qū)動(dòng)的依賴，同時(shí)增強(qiáng)虛擬化運(yùn)行環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴(kuò)展性、性能優(yōu)化等功能。其次，通過虛擬化管理軟件形成云計(jì)算資源管理平臺(tái)，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)等硬件資源的軟件虛擬化管理，對(duì)上層應(yīng)用提供自動(dòng)化效勞。其業(yè)務(wù)范圍包括：虛擬計(jì)算、虛擬網(wǎng)絡(luò)、虛擬存儲(chǔ)、高可用性〔HighAvailability，HA〕、動(dòng)態(tài)資源調(diào)度〔DynamicResourceScheduling，DRS〕、虛擬機(jī)容災(zāi)與備份、虛擬機(jī)模板管理、集群文件系統(tǒng)、虛擬交換機(jī)策略等。最后，通過云業(yè)務(wù)管理中心，將根底架構(gòu)資源〔包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)〕及其相關(guān)策略整合成虛擬數(shù)據(jù)中心資源池，并允許用戶按需消費(fèi)這些資源，從而構(gòu)建平安的多租戶混合云。其業(yè)務(wù)范圍包括：組織〔虛擬數(shù)據(jù)中心〕、多租戶數(shù)據(jù)和業(yè)務(wù)平安、云業(yè)務(wù)工作流、自助式效勞門戶、兼容OpenStack的RESTAPI接口等。智慧校園建設(shè)背景現(xiàn)狀分析XX學(xué)院是江蘇省首家高等信息職業(yè)技術(shù)學(xué)院，隸屬于江蘇省信息產(chǎn)業(yè)廳，是一所國有公辦性質(zhì)的全日制普通高等學(xué)校，座落于XX大學(xué)城內(nèi)，占地1048畝。學(xué)院具有四十多年的辦學(xué)歷史。素有“江蘇省信息產(chǎn)業(yè)人才培養(yǎng)重要基地”的美譽(yù)。學(xué)院自1999年升格為大學(xué)?？?，是XX第一所具有國家統(tǒng)招資格的大專院校，2003年學(xué)院整體入住大學(xué)城校區(qū)，成為大學(xué)城第一所入住的高校，由于辦學(xué)歷史長于同類院校，師資力量優(yōu)越，所以XX信息學(xué)院一直被認(rèn)為是XX實(shí)力最強(qiáng)，就業(yè)最好的的公辦高職院校，2007年被評(píng)為國家示范高職院校，就是所謂的高職211，全國共100所，XX僅此一所。XX學(xué)院校園網(wǎng)建設(shè)較早，采用傳統(tǒng)的IT建設(shè)模式。根底網(wǎng)絡(luò)由接入、會(huì)聚、核心組成的三層物理架構(gòu)，鏈路帶寬為百兆接入，千兆骨干。其中，核心交換機(jī)為一臺(tái)CiscoC6509，在圖書館、教學(xué)樓、實(shí)訓(xùn)樓和學(xué)生公寓均部署了CiscoC4506作接入交換機(jī)的區(qū)域會(huì)聚；校園網(wǎng)出口擁有兩條，分別為200MB中國電信和1000MB教育科研網(wǎng)，通過千兆防火墻進(jìn)行平安隔離；全校大局部場(chǎng)所部署了無線信號(hào)，實(shí)現(xiàn)了校園無線網(wǎng)絡(luò)根本覆蓋；效勞器區(qū)目前擁有各種效勞器19臺(tái)，主要服役效勞器13臺(tái)，其中12刀IBMBCH刀片效勞器，6刀物理機(jī)運(yùn)行數(shù)字化校園網(wǎng)效勞數(shù)據(jù)庫，另外6刀部署虛擬化〔Vmware〕，共配置50臺(tái)虛擬機(jī)，在運(yùn)行的虛擬機(jī)有30臺(tái)，高端應(yīng)用8CPU/每虛擬機(jī)，8G內(nèi)存/每虛擬機(jī)；數(shù)據(jù)存儲(chǔ)共74T，其中采用了48T的HP存儲(chǔ)和24T的IBM存儲(chǔ)，均為FCSAN。XX學(xué)院校園網(wǎng)拓?fù)浼軜?gòu)需求分析XX學(xué)院信息化在根底設(shè)施和應(yīng)用系統(tǒng)建設(shè)方面取得了很大的成績，但是在其建設(shè)當(dāng)中，IT資源部署方式仍然是按照應(yīng)用進(jìn)行物理的劃分，這種部署方式可能存在以下風(fēng)險(xiǎn)和挑戰(zhàn)：? 資源利用率低由于應(yīng)用與資源綁定，每個(gè)應(yīng)用都需要按照其峰值業(yè)務(wù)量進(jìn)行資源的配置，這導(dǎo)致在大局部時(shí)間許多資源都處于閑置狀態(tài)，不僅造成效勞器的資源利用率較低，而且對(duì)資源的共享、數(shù)據(jù)的共享造成了天然的障礙。? 運(yùn)維本錢高隨著學(xué)校新應(yīng)用系統(tǒng)的增加，效勞器、網(wǎng)絡(luò)和存儲(chǔ)的設(shè)備數(shù)量也會(huì)出現(xiàn)迅速的膨脹，在傳統(tǒng)的數(shù)據(jù)中心建設(shè)模式下，會(huì)造成占地空間、電力供給、散熱制冷和維護(hù)本錢的急劇上升，為學(xué)校長遠(yuǎn)的IT投入和運(yùn)維帶來挑戰(zhàn)。? 業(yè)務(wù)部署緩慢在傳統(tǒng)的模式下，學(xué)校的各個(gè)部門如果要部署新的業(yè)務(wù)，那么在提交變更請(qǐng)求與進(jìn)行運(yùn)營變更之間存在較大延遲，每一次的業(yè)務(wù)部署都要經(jīng)歷硬件選型、采購、上架安裝、操作系統(tǒng)和應(yīng)用程序安裝以及網(wǎng)絡(luò)配置等操作，使得業(yè)務(wù)的部署極為緩慢。? 管理策略分散當(dāng)前的IT資源運(yùn)維管理缺乏統(tǒng)計(jì)的集中化IT構(gòu)建策略，無法對(duì)信息化校園網(wǎng)數(shù)據(jù)中心的根底設(shè)施進(jìn)行監(jiān)控、管理、報(bào)告和遠(yuǎn)程訪問，IT管理策略分散。XX學(xué)院的校園網(wǎng)數(shù)據(jù)中心作為學(xué)校教學(xué)和日常管理等關(guān)鍵業(yè)務(wù)正常運(yùn)行的平臺(tái)和進(jìn)一步開展的基石，其隨著學(xué)校的不斷開展，其對(duì)承載的關(guān)鍵業(yè)務(wù)、核心應(yīng)用，對(duì)于信息數(shù)據(jù)的完整性、業(yè)務(wù)運(yùn)行的可靠性、網(wǎng)絡(luò)系統(tǒng)的可用性的要求越來越高，因此，要求其必須擁有更強(qiáng)的IT效勞能力，保持高效穩(wěn)定的運(yùn)行，數(shù)據(jù)中心的升級(jí)建設(shè)勢(shì)在必行。目前IT信息技術(shù)已經(jīng)延伸到學(xué)校的各個(gè)層面，從學(xué)校角度看，云計(jì)算有利于整合信息資源，實(shí)現(xiàn)信息共享，促進(jìn)學(xué)校教學(xué)和科研水平的開展。從用戶角度看，利用云計(jì)算可以獨(dú)立實(shí)現(xiàn)或享受某一項(xiàng)具體的業(yè)務(wù)和效勞。因此云計(jì)算將在高校的IT政策和戰(zhàn)略中正扮演越來越重要的角色。本次方案設(shè)計(jì)，擬通過升級(jí)和改造XX學(xué)院數(shù)據(jù)中心根底設(shè)施，優(yōu)化業(yè)務(wù)管理流程，建設(shè)一張“隨需而動(dòng)”的智慧校園數(shù)據(jù)中心，未來的核心業(yè)務(wù)涵蓋如下范圍：? 以“統(tǒng)規(guī)、統(tǒng)建、統(tǒng)維”思想為指導(dǎo)，以豐富的云根底設(shè)施，云存儲(chǔ)，云平安和各類云效勞共同構(gòu)建XX學(xué)院IaaS云平臺(tái)，效勞于學(xué)校各級(jí)部門和科研機(jī)構(gòu)。? 數(shù)據(jù)處理：具有海量數(shù)據(jù)的處理和分析。? 為學(xué)校各部門集中提供根底的信息處理能力，承接各部門的應(yīng)用系統(tǒng)遷移和部署，實(shí)現(xiàn)相關(guān)云數(shù)據(jù)中心的資源整合、集中部署與統(tǒng)一管理。工程建設(shè)應(yīng)從XX學(xué)院數(shù)據(jù)中心信息化開展方向以及開展現(xiàn)狀出發(fā)，加強(qiáng)綜合協(xié)調(diào)和統(tǒng)籌規(guī)劃，借助現(xiàn)代、前沿的信息化技術(shù)，形成集成能力強(qiáng)、運(yùn)作效率高和具有可持續(xù)開展能力的云數(shù)據(jù)中心多業(yè)務(wù)應(yīng)用平臺(tái)，真正為學(xué)校提供找得著、用得好、有保證的信息化效勞。本方案將云數(shù)據(jù)中心“IT根底設(shè)施”的“按需使用”以及”自動(dòng)化管理和調(diào)度”作為云計(jì)算的實(shí)踐，形成可落地實(shí)施的、可持續(xù)開展的云計(jì)算平臺(tái)，即IaaS云計(jì)算平臺(tái)。XX學(xué)院IaaS云平臺(tái)的建設(shè)目標(biāo)建議如下：? 統(tǒng)一管理通過最新的云計(jì)算核心技術(shù)之一虛擬化技術(shù)，整合現(xiàn)有所有應(yīng)用，整合內(nèi)容包括WEB、MAIL、FTP、域控管理、OA系統(tǒng)、后臺(tái)數(shù)據(jù)庫等應(yīng)用，將整個(gè)業(yè)務(wù)系統(tǒng)作統(tǒng)一的規(guī)劃和部署，統(tǒng)一數(shù)據(jù)備份，從而形成自上向下的有效IT管理架構(gòu)。? 強(qiáng)調(diào)整體方案的可擴(kuò)展性、高可用性、易用性和易管理性采用最新的高性能高可靠效勞器，保證整個(gè)硬件系統(tǒng)的可靠性和可用性，為用戶的應(yīng)用提供可靠的硬件保障；建設(shè)云計(jì)算平臺(tái)，發(fā)揮云計(jì)算平臺(tái)的優(yōu)越性，為用戶提供HA功能，保證用戶業(yè)務(wù)系統(tǒng)的連續(xù)性和高可用性，讓用戶的業(yè)務(wù)實(shí)現(xiàn)零宕機(jī)風(fēng)險(xiǎn)；提供專業(yè)的管理軟件，保證硬件系統(tǒng)和軟件系統(tǒng)的可管理性，為用戶節(jié)省管理投資本錢。設(shè)計(jì)原那么兼容與互通當(dāng)前階段，整個(gè)云計(jì)算產(chǎn)業(yè)還不夠成熟，相關(guān)標(biāo)準(zhǔn)還不完善。為保證多廠商的良好兼容性，防止廠商技術(shù)鎖定，方案的設(shè)計(jì)充分保證與第三方廠商設(shè)備保持良好的對(duì)接。此外，為保證方案的前瞻性，設(shè)備的選型應(yīng)充分考慮對(duì)已有的云計(jì)算相關(guān)標(biāo)準(zhǔn)〔如EVB/802.1Qbg等〕的擴(kuò)展支持能力，保證良好的先進(jìn)性，以適應(yīng)未來的技術(shù)開展。業(yè)務(wù)高可用云計(jì)算平臺(tái)作為承載未來政務(wù)應(yīng)用的重要IT根底設(shè)施，承當(dāng)著穩(wěn)定運(yùn)行和業(yè)務(wù)創(chuàng)新的重任。伴隨著數(shù)據(jù)與業(yè)務(wù)的集中，云計(jì)算平臺(tái)的建設(shè)及運(yùn)維給信息部門帶來了巨大的壓力，因此平臺(tái)的建設(shè)從根底資源池〔計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)〕、虛擬化平臺(tái)、云平臺(tái)等多個(gè)層面充分考慮業(yè)務(wù)的高可用，根底單元出現(xiàn)故障后業(yè)務(wù)應(yīng)用能夠迅速進(jìn)行切換與遷移，用戶無感知，保證業(yè)務(wù)的連續(xù)性。統(tǒng)一管理與自動(dòng)化云計(jì)算的最終目標(biāo)是要實(shí)現(xiàn)系統(tǒng)的按需運(yùn)營，多種效勞的開通，而這依賴于對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源的調(diào)度和分配，同時(shí)提供用戶管理、組織管理、工作流管理、自助Portal界面等。從用戶資源的申請(qǐng)、審批到分配部署的智能化。管理系統(tǒng)不僅要實(shí)現(xiàn)對(duì)傳統(tǒng)的物理資源和新的虛擬資源進(jìn)行管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理與自動(dòng)化將成為必然趨勢(shì)。開放接口傳統(tǒng)的管理系統(tǒng)與上層系統(tǒng)對(duì)接，注重故障的上報(bào)和信息的查詢。而云計(jì)算的管理系統(tǒng)更關(guān)注如何實(shí)現(xiàn)自動(dòng)化的部署，在接口方面更關(guān)注資源調(diào)度和分配，這就需要管理系統(tǒng)在業(yè)務(wù)調(diào)度方面實(shí)現(xiàn)開放。為保證效勞器、存儲(chǔ)、網(wǎng)絡(luò)等資源能夠被云計(jì)算運(yùn)營平臺(tái)良好的調(diào)度與管理，要求系統(tǒng)提供開放的API接口，云計(jì)算運(yùn)營管理平臺(tái)能夠通過API接口、命令行腳本實(shí)現(xiàn)對(duì)設(shè)備的配置與策略下發(fā)聯(lián)動(dòng)。同時(shí)云平臺(tái)也提供開放的API接口，未來可以根底這些接口進(jìn)行二次定制開放，將云管理平臺(tái)與教育網(wǎng)應(yīng)用相融合，實(shí)現(xiàn)面向云計(jì)算的教育應(yīng)用管理平臺(tái)。建設(shè)模式分析在信息化開展加速的今天，小企業(yè)開始建立自己的信息系統(tǒng)，通過租賃云計(jì)算數(shù)據(jù)中心可以投資，并以少量的專業(yè)IT人員實(shí)現(xiàn)信息化。但對(duì)于具有成熟應(yīng)用是大中型企業(yè)機(jī)構(gòu)，租賃數(shù)據(jù)中心終究需要依賴于第三方機(jī)構(gòu)，業(yè)務(wù)部署靈活性較差，平安性無法得到有效保證。因此，建議基于自身業(yè)務(wù)和開展目標(biāo)，整體規(guī)劃、分步實(shí)施、統(tǒng)籌協(xié)調(diào)，進(jìn)行云計(jì)算平臺(tái)的自建，以充分保證應(yīng)用系統(tǒng)支撐平臺(tái)的可靠性和平安性。自建云計(jì)算數(shù)據(jù)中心：用戶可以根據(jù)自身業(yè)務(wù)需要，定制化的建設(shè)適合自身業(yè)務(wù)承載平臺(tái)，從根底承載網(wǎng)、計(jì)算資源、存儲(chǔ)資源和業(yè)務(wù)系統(tǒng)等多方面得到準(zhǔn)確控制，保證平臺(tái)的高可靠性和高性能；也可基于自身業(yè)務(wù)出發(fā)，開發(fā)出支撐新業(yè)務(wù)的應(yīng)用系統(tǒng)，通過資源的自動(dòng)調(diào)度，滿足多種業(yè)務(wù)上線測(cè)試的需求。租賃云計(jì)算數(shù)據(jù)中心：可以減少初期投資與運(yùn)營本錢，降低風(fēng)險(xiǎn)。用戶不必進(jìn)行硬件的根底投資和購置昂貴的軟件版權(quán)，只需根據(jù)需求租賃相應(yīng)的硬件、軟件，并根據(jù)使用情況來付費(fèi)。 兩種模式比照方下：自建租賃總體投資同等同等初期投資較多較少建設(shè)模式自主設(shè)計(jì)、自主建設(shè)租賃既有的根底設(shè)施根底設(shè)施管理自主管理依賴于第三方可靠性可靠較為可靠平安性平安較為平安擴(kuò)展性根據(jù)自身業(yè)務(wù)開展，靈活擴(kuò)展申請(qǐng)擴(kuò)展，受限于第三方響應(yīng)能力靈活性靈活，根據(jù)自身業(yè)務(wù)靈活調(diào)整業(yè)務(wù)部署不靈活，受限于第三方根底設(shè)施模型維護(hù)維護(hù)工作量較大，既要維護(hù)根底平臺(tái)，又要維護(hù)業(yè)務(wù)系統(tǒng)只需維護(hù)業(yè)務(wù)系統(tǒng)，根底設(shè)施維護(hù)由第三方完成從以上比照來看，建議自建智慧校園的云計(jì)算平臺(tái)。智慧校園云計(jì)算平臺(tái)設(shè)計(jì)整體架構(gòu)設(shè)計(jì)根據(jù)本期工程的需求和建設(shè)目標(biāo)，保持XX學(xué)院校園網(wǎng)整體拓?fù)涓静蛔?，在整合現(xiàn)有資源的根底上，新建云計(jì)算平臺(tái)，拉通后臺(tái)資源，實(shí)現(xiàn)統(tǒng)一管理，構(gòu)建立體的平安防護(hù)體系，為智慧校園應(yīng)用提供堅(jiān)實(shí)的根底IaaS平臺(tái)。下列圖為整合之后的智慧校園IT整體架構(gòu)：整體解決方案拓?fù)鋱DXX學(xué)院的IaaS云平臺(tái)總體邏輯拓?fù)浣Y(jié)構(gòu)如下列圖所示。整個(gè)平臺(tái)由計(jì)算資源池、網(wǎng)絡(luò)資源池、存儲(chǔ)資源池、平安資源池、虛擬化平臺(tái)和云管理平臺(tái)六個(gè)局部組成，物理組網(wǎng)拓?fù)淙缦拢篒aaS云平臺(tái)組網(wǎng)拓?fù)鋱D計(jì)算資源池設(shè)計(jì)效勞器是云計(jì)算平臺(tái)的核心，其承當(dāng)著云計(jì)算平臺(tái)的“計(jì)算”功能。對(duì)于云計(jì)算平臺(tái)上的效勞器，通常都是將相同或者相似類型的效勞器組合在一起，作為資源分配的母體，即所謂的計(jì)算資源池。在這個(gè)計(jì)算資源池上，再安裝虛擬化軟件，使得其計(jì)算資源能以虛擬機(jī)的方式被不同的應(yīng)用使用。此次云平臺(tái)新增的計(jì)算資源池建議采用HP/H3C最新技術(shù)的BladeSystem刀片式效勞器，每臺(tái)10U高的C8000刀片機(jī)箱中可以集中部署8片高性能的兩路刀片效勞器B260或部署16片高密雙路刀片，用于集中部署虛擬化資源。C8000還帶有一個(gè)共享的5TB/s高速NonStop中央背板，可將刀片效勞器輕松連接到網(wǎng)絡(luò)和共享存儲(chǔ)。電源由一個(gè)集中的電源背板提供，以確保所有刀片效勞器都能獲得它們所需的電能，在實(shí)現(xiàn)冗余的同時(shí)提供最高的配置靈活性。刀片系統(tǒng)C8000機(jī)箱可提供模塊化效勞器、互連和存儲(chǔ)組件當(dāng)前和未來幾年所需的電力、散熱能力及I/O根底設(shè)施。該機(jī)柜10U高，可容納16臺(tái)效勞器和/或存儲(chǔ)刀片，以及可選的冗余網(wǎng)絡(luò)和存儲(chǔ)互連模塊。它包括一個(gè)共享的每秒5TB高速NonStop中間板，可將刀片效勞器一次性連接到網(wǎng)絡(luò)和共享存儲(chǔ)設(shè)備。電源通過一個(gè)集中電源的背板提供，確保所有刀片效勞器都能使用全部的電源，從而獲得最大的靈活性和冗余?？伸`活選擇單相、三相交流電和—48伏直流電輸入。刀片Server采用FlexServerB260全新高密度效勞器，可在單倍寬度和全高外形提供兩路性能和功能。FlexServerB260刀片效勞器支持客戶整合效勞器及重新規(guī)劃珍貴的機(jī)柜空間，進(jìn)一步緩解了數(shù)據(jù)中心的效勞器數(shù)量激增并降低了總體擁有本錢(TCO)。FlexServerB260效勞器系列是虛擬化、數(shù)據(jù)庫、業(yè)務(wù)處理、決策支持、高性能計(jì)算(HPC)和一般兩路數(shù)據(jù)密集型應(yīng)用的理想選擇，在這些情形中，數(shù)據(jù)中心的空間效率和性價(jià)比都非常重要。支持高密度和經(jīng)濟(jì)高效的英特爾?至強(qiáng)?5500或5600系列處理器，F(xiàn)lexServerB260效勞器具出色的性能、可升級(jí)和可擴(kuò)展性，成為數(shù)據(jù)中心計(jì)算的標(biāo)準(zhǔn)?？稍谝粋€(gè)半高刀片內(nèi)，插入2個(gè)處理器、2個(gè)熱插拔硬盤、384GB內(nèi)存以及1個(gè)雙端口FlexFabric適配器，同時(shí)支持IT經(jīng)理通過單一平臺(tái)，處理各種業(yè)務(wù)應(yīng)用。? 高達(dá)2個(gè)雙核、4核或6核英特爾?至強(qiáng)?5500或5600系列處理器? 12個(gè)DIMM插槽，支持帶有高級(jí)ECC功能的384GBDDR-3內(nèi)存? 用于硬件RAID0和1的惠普智能陣列P410i控制器，可以利用可選的高速緩存模塊提高設(shè)備性能? 多達(dá)兩(2)塊小型(SFF)SAS、SATA或SSD熱插拔硬盤? 內(nèi)置USB和SD卡插槽支持簡單、靈活的管理程序部署? 嵌入式雙端口10GbFlexFabric適配器，可滿足網(wǎng)絡(luò)密集型應(yīng)用程序的高帶寬要求? 通過同一靈活連接，融合局域網(wǎng)和存儲(chǔ)區(qū)域網(wǎng)的流量，簡化管理，降低根底設(shè)施本錢? 多達(dá)八(8)個(gè)到網(wǎng)絡(luò)和存儲(chǔ)設(shè)備的連接，無需附加夾層卡? 分配和調(diào)整網(wǎng)絡(luò)和存儲(chǔ)帶寬，以滿足應(yīng)用程序需求存儲(chǔ)資源池設(shè)計(jì)H3CCAS云計(jì)算管理平臺(tái)中的存儲(chǔ)用于保存虛擬機(jī)的操作系統(tǒng)、應(yīng)用程序文件、配置文件以及與活動(dòng)相關(guān)的其它數(shù)據(jù)，是虛擬機(jī)正常工作的根本前提條件。根據(jù)存儲(chǔ)的種類不同，可以分為本地存儲(chǔ)和共享存儲(chǔ)兩種。在部署了H3CCAS云計(jì)算管理平臺(tái)，并將主機(jī)作為被管理資源對(duì)象添加到H3CCAS云計(jì)算管理平臺(tái)之后，該主機(jī)默認(rèn)使用本地磁盤介質(zhì)作為存儲(chǔ)，其它主機(jī)不能使用。在數(shù)據(jù)中心中，很多用戶選擇使用共享存儲(chǔ)來承載虛擬機(jī)及其數(shù)據(jù)，目前，H3CCAS云計(jì)算管理平臺(tái)支持IPSAN和FCSAN等類型的存儲(chǔ)。采用共享存儲(chǔ)的好處是：共享存儲(chǔ)往往比本地存儲(chǔ)提供更好的I/O性能〔尤其在多虛擬機(jī)環(huán)境下〕。H3CCAS云計(jì)算管理平臺(tái)中的在線遷移和高可用性功能需要共享存儲(chǔ)作為先決條件，例如HA和動(dòng)態(tài)資源調(diào)整等。H3CCAS管理平臺(tái)中的虛擬機(jī)文件系統(tǒng)是一種優(yōu)化后的高性能集群文件系統(tǒng)，允許多個(gè)云計(jì)算節(jié)點(diǎn)同時(shí)訪問同一虛擬機(jī)存儲(chǔ)。由于虛擬架構(gòu)系統(tǒng)中的虛擬機(jī)實(shí)際上是被封裝成了一個(gè)檔案文件和假設(shè)干相關(guān)環(huán)境配置文件，通過將這些文件放在SAN存儲(chǔ)陣列上的文件系統(tǒng)中，可以讓不同效勞器上的虛擬機(jī)都可以訪問到該文件，從而消除了單點(diǎn)故障。為了實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)、集中備份以及充分利用H3CCAS虛擬架構(gòu)中虛擬機(jī)可動(dòng)態(tài)在線從一臺(tái)物理效勞器遷移到另一臺(tái)物理效勞器上的特性等，在存儲(chǔ)區(qū)配置1套HPP4500G2SAN，同時(shí)配置冗余的存儲(chǔ)接入交換機(jī)，組成標(biāo)準(zhǔn)的IPSAN集中存儲(chǔ)架構(gòu)。采用1臺(tái)HPP4500G2SAN存儲(chǔ)陣列，統(tǒng)一存放虛擬機(jī)鏡像文件和業(yè)務(wù)系統(tǒng)數(shù)據(jù)，這樣做不會(huì)在運(yùn)行虛擬機(jī)的云計(jì)算計(jì)算節(jié)點(diǎn)主機(jī)上引起任何額外的負(fù)載。存儲(chǔ)資源池設(shè)計(jì)網(wǎng)絡(luò)資源池設(shè)計(jì)設(shè)計(jì)要點(diǎn)云計(jì)算數(shù)據(jù)中心根底網(wǎng)絡(luò)是云業(yè)務(wù)數(shù)據(jù)的傳輸通道，將數(shù)據(jù)的計(jì)算和數(shù)據(jù)存儲(chǔ)有機(jī)的結(jié)合在一起。為保證云業(yè)務(wù)的高可用、易擴(kuò)展、易管理，云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)關(guān)注重點(diǎn)如下：高可用性網(wǎng)絡(luò)的高可用是業(yè)務(wù)高可用的根本保證，在網(wǎng)絡(luò)整體設(shè)計(jì)和設(shè)備配置上均是按照雙備份要求設(shè)計(jì)的。在網(wǎng)絡(luò)連接上消除單點(diǎn)故障，提供關(guān)鍵設(shè)備的故障切換。關(guān)鍵網(wǎng)絡(luò)設(shè)備之間的物理鏈路采用雙路冗余連接，按照負(fù)載均衡方式或active-active方式工作。關(guān)鍵主機(jī)可采用雙路網(wǎng)卡來增加可靠性。全冗余的方式使系統(tǒng)到達(dá)99.999%的電信級(jí)可靠性。根底網(wǎng)絡(luò)從核心層到接入層均部署H3C的IRF2技術(shù)，可以實(shí)現(xiàn)數(shù)據(jù)中心級(jí)交換機(jī)的虛擬化，不僅網(wǎng)絡(luò)容量可以平滑擴(kuò)展，更可以簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，大大提高整網(wǎng)的可靠性，使得整網(wǎng)的保護(hù)倒換時(shí)間從原來的5~10秒縮短到50ms以內(nèi)，到達(dá)電信級(jí)的可靠性要求。作為未來網(wǎng)絡(luò)的核心，要求核心交換區(qū)設(shè)備具有高可靠性，優(yōu)先選用采用交換引擎與路由引擎物理別離設(shè)計(jì)的設(shè)備，從而在硬件的體系結(jié)構(gòu)上到達(dá)數(shù)據(jù)中心級(jí)的高可靠性。本次工程核心設(shè)備采用H3CS12500數(shù)據(jù)中心級(jí)核心交換機(jī)、接入設(shè)備采用H3CS5820V2數(shù)據(jù)中心級(jí)接入交換機(jī)，設(shè)備組件層面充分保證高可靠。如下列圖所示：大二層網(wǎng)絡(luò)部署云計(jì)算數(shù)據(jù)中心內(nèi)效勞器虛擬化已是一種趨勢(shì)，而虛擬機(jī)的遷移那么是一種必然，目前業(yè)內(nèi)的幾種虛擬化軟件要做到熱遷移時(shí)都是均需要二層網(wǎng)絡(luò)的支撐，隨著未來計(jì)算資源池的不斷擴(kuò)展，二層網(wǎng)絡(luò)的范圍也將同步擴(kuò)大，甚至需要跨數(shù)據(jù)中心部署大二層網(wǎng)絡(luò)。大規(guī)模部暑二層網(wǎng)絡(luò)那么帶來一個(gè)必然的問題就是二層環(huán)路問題，而傳統(tǒng)解決二層網(wǎng)絡(luò)環(huán)路問題的STP協(xié)議無法滿足云計(jì)算數(shù)據(jù)中心所要求的快收斂，同時(shí)會(huì)帶來協(xié)議部署及運(yùn)維管理的復(fù)雜度增加。本次方案中通過部署H3CIRF2虛擬化技術(shù)實(shí)現(xiàn)兩臺(tái)或多臺(tái)同一層物理交換機(jī)虛擬成一臺(tái)邏輯設(shè)備，通過跨設(shè)備鏈路捆綁實(shí)現(xiàn)核心和接入的點(diǎn)對(duì)點(diǎn)互聯(lián)，消除二層網(wǎng)絡(luò)的環(huán)路，這樣就直接防止了在網(wǎng)絡(luò)中部暑STP，同時(shí)對(duì)于核心的兩臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一個(gè)，無需部署傳統(tǒng)的VRRP協(xié)議。在管理層面，通IRF2多虛一之后，管理的設(shè)備數(shù)量減少一半以上，對(duì)于本工程，管理點(diǎn)只有核心和接入兩臺(tái)設(shè)備，網(wǎng)絡(luò)管理大幅度簡化。如下列圖所示：網(wǎng)絡(luò)平安融合云計(jì)算將所有資源進(jìn)行虛擬化，從物理上存在多個(gè)用戶訪問同一個(gè)物理資源的問題，那么如何保證用戶訪問以及后臺(tái)物理資源的平安隔離就成為了一個(gè)必須考慮的問題。另一方面由于網(wǎng)絡(luò)變成了一個(gè)大的二層網(wǎng)絡(luò)；以前的各個(gè)業(yè)務(wù)系統(tǒng)分而治之，各個(gè)業(yè)務(wù)系統(tǒng)都是在硬件方面進(jìn)行了隔離，在每個(gè)系統(tǒng)之間做平安的防護(hù)可以保證平安的訪問。所以在云計(jì)算環(huán)境下，所有的業(yè)務(wù)和用戶的資源在物理上是融合的，這樣就需要通過在網(wǎng)關(guān)層部署防火墻的設(shè)備，同時(shí)開啟虛擬防火墻的功能，為每個(gè)業(yè)務(wù)進(jìn)行平安的隔離和策略的部署。在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)平安部署時(shí)，往往是網(wǎng)絡(luò)與平安各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)串接平安設(shè)備(如FW、IPS、LB等)。隨著數(shù)據(jù)中心部署的平安設(shè)備的種類和數(shù)量也越來越多，這將導(dǎo)致數(shù)據(jù)中心機(jī)房布線、空間、能耗、運(yùn)維管理等本錢越來越高。本次方案中采用了H3CSecBlade平安插卡可直接插在H3C交換機(jī)的業(yè)務(wù)槽位，通過交換機(jī)背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用交換機(jī)電源、風(fēng)扇等根底部件。融合部署除了簡化機(jī)房布線、節(jié)省機(jī)架空間、簡化管理之外，還具備以下優(yōu)點(diǎn)：互連帶寬高。SecBlade系列平安插卡采用背板總線與交換機(jī)進(jìn)行互連，背板總線帶寬一般可超過40Gbps，相比傳統(tǒng)的獨(dú)立平安設(shè)備采用普通千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很大的提升，而且無需增加布線、光纖和光模塊本錢。業(yè)務(wù)接口靈活。SecBlade系列平安插卡上不對(duì)外提供業(yè)務(wù)接口〔僅提供配置管理接口〕，當(dāng)交換機(jī)上插有SecBlade平安插卡時(shí)，交換機(jī)上原有的所有業(yè)務(wù)接口均可配置為平安業(yè)務(wù)接口。此時(shí)再也無需擔(dān)憂平安業(yè)務(wù)接口不夠而帶來網(wǎng)絡(luò)平安部署的局限性。性能平滑擴(kuò)展。當(dāng)一臺(tái)交換機(jī)上的一塊SecBlade平安插卡的性能不夠時(shí)，可以再插入一塊或多塊SecBlade插卡實(shí)現(xiàn)性能的平滑疊加。而且所有SecBlade插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)無需停機(jī)中斷現(xiàn)有的業(yè)務(wù)。組網(wǎng)架構(gòu)本次工程根底網(wǎng)絡(luò)采用“扁平化”設(shè)計(jì)，核心層直接下聯(lián)接入層，省去了中間會(huì)聚層。隨著網(wǎng)絡(luò)交換技術(shù)的不斷開展，交換機(jī)的端口接入密度也越來越高，“扁平化”組網(wǎng)的擴(kuò)展性和密度已經(jīng)能夠很好的滿足XX學(xué)院IaaS云平臺(tái)效勞器接入的要求。同時(shí)在效勞器虛擬化技術(shù)應(yīng)用越來越廣泛的趨勢(shì)下，扁平化二層架構(gòu)更容易實(shí)現(xiàn)VLAN的大二層互通，滿足虛擬機(jī)的部署和遷移。相比傳統(tǒng)三層架構(gòu)，扁平化二層架構(gòu)可以大大簡化網(wǎng)絡(luò)的運(yùn)維與管理。根底網(wǎng)絡(luò)平臺(tái)組織結(jié)構(gòu)如下列圖所示：網(wǎng)絡(luò)的二、三層邊界在核心層，平安部署在核心層；核心與接入層之間采用二層進(jìn)行互聯(lián)，實(shí)現(xiàn)大二層組網(wǎng)，在接入層構(gòu)建計(jì)算和存儲(chǔ)資源池，滿足資源池內(nèi)虛擬機(jī)可在任意位置的物理效勞器上遷移與集群。采用2臺(tái)S12508構(gòu)建核心層，分別通過10GE鏈路與接入層、管理網(wǎng)交換機(jī)、校園網(wǎng)核心互連，未來此核心層將逐步演變成整網(wǎng)大核心，兩臺(tái)核心交換機(jī)部署IRF虛擬化。效勞器區(qū)和存儲(chǔ)區(qū)接入層分別采用2臺(tái)2臺(tái)S5820V2，每臺(tái)接入交換機(jī)與核心交換機(jī)采用10GE鏈路交叉互連，每個(gè)區(qū)的兩臺(tái)接入交換機(jī)部署IRF虛擬化，與核心交換機(jī)實(shí)現(xiàn)跨設(shè)備鏈路捆綁，消除二層環(huán)路，并實(shí)現(xiàn)鏈路負(fù)載分擔(dān)。利舊效勞器區(qū)接入層利舊老接入交換機(jī)，通過萬兆鏈路與云平臺(tái)核心互聯(lián)。分層分區(qū)設(shè)計(jì)思路：根據(jù)業(yè)務(wù)進(jìn)行分區(qū)，分成計(jì)算區(qū)、存儲(chǔ)區(qū)和管理區(qū)。計(jì)算、存儲(chǔ)區(qū)域內(nèi)二層互通，區(qū)域間VLAN隔離；根據(jù)每層工作特點(diǎn)分為核心層和接入層，網(wǎng)關(guān)部署在核心層。核心交換系統(tǒng)核心層由兩臺(tái)H3CS12508構(gòu)建，負(fù)責(zé)整個(gè)云計(jì)算平臺(tái)上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。核心交換機(jī)間及與效勞器接入交換機(jī)、管理區(qū)接入交換機(jī)、校園網(wǎng)核心交換機(jī)間均采用萬兆接口捆綁互聯(lián)。核心交換機(jī)上部署2-7層的平安插卡，實(shí)現(xiàn)云計(jì)算業(yè)務(wù)的平安防護(hù)與流量分析。H3CS12500是中國國內(nèi)第一款100G平臺(tái)交換機(jī)，支持未來40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)，采用先進(jìn)的CLOS多級(jí)多平面交換架構(gòu)，獨(dú)立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件相互獨(dú)立，最大程度的提高設(shè)備可靠性，同時(shí)為后續(xù)產(chǎn)品帶寬的持續(xù)升級(jí)提供保證；整機(jī)可以提供576個(gè)萬兆端口，提供高密度萬兆接入能力；面對(duì)下一代數(shù)據(jù)中心突發(fā)流量，創(chuàng)新的采用了“分布式入口緩存”技術(shù)，可以實(shí)現(xiàn)數(shù)據(jù)200ms緩存，滿足數(shù)據(jù)中心、高性能計(jì)算等網(wǎng)絡(luò)突發(fā)流量的要求；為了滿足數(shù)據(jù)中心級(jí)網(wǎng)絡(luò)高可靠、高可用、虛擬化的要求，S12500采用創(chuàng)新IRF2〔第二代智能彈性架構(gòu)〕設(shè)計(jì)，將多臺(tái)高端設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，同時(shí)支持獨(dú)立的控制引擎、檢測(cè)引擎、維護(hù)引擎，為系統(tǒng)提供強(qiáng)大的控制能力和50ms的高可靠保障。兩臺(tái)S12508部署IRF2虛擬化技術(shù)，簡化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同時(shí)大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，防止網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。效勞器與存儲(chǔ)接入采用兩臺(tái)H3CS5820V2萬兆交換機(jī)，負(fù)責(zé)效勞器網(wǎng)絡(luò)接入，效勞器配置雙網(wǎng)卡4個(gè)千兆接口，其中兩個(gè)千兆接口捆綁做業(yè)務(wù)流接口；并負(fù)責(zé)存儲(chǔ)設(shè)備的網(wǎng)絡(luò)接入，iSCSI存儲(chǔ)設(shè)備的網(wǎng)絡(luò)接入采用萬兆鏈路，接入交換機(jī)上對(duì)應(yīng)的端口工作在萬兆模式。S5820V2系列交換機(jī)定位于下一代數(shù)據(jù)中心及云計(jì)算網(wǎng)絡(luò)中的高密萬兆接入，采用業(yè)界先進(jìn)的硬件設(shè)計(jì)，最強(qiáng)的端口報(bào)文緩存能力，并支持豐富的數(shù)據(jù)中心特性，同時(shí)模塊化的雙電源、雙風(fēng)扇〔前后/后前風(fēng)道〕設(shè)計(jì)大幅提升設(shè)備的可靠性；針對(duì)于數(shù)據(jù)中心大流量數(shù)據(jù)無阻塞傳輸?shù)囊?，S5820V2交換機(jī)采用了專用的報(bào)文緩存芯片以提供強(qiáng)大的緩存能力，整機(jī)支持3GB數(shù)據(jù)報(bào)文緩存，配合先進(jìn)的緩存調(diào)度機(jī)制可以保證設(shè)備緩存能力有效利用的最大化；S5820V2系列交換機(jī)支持EVB(EdgeVirtualBridging)，通過VEPA(VirtualEthernetPortAggregator)技術(shù)將虛擬機(jī)產(chǎn)生的網(wǎng)絡(luò)流量上傳至與效勞器相連的物理交換機(jī)進(jìn)行處理，不僅實(shí)現(xiàn)了虛擬機(jī)間流量轉(zhuǎn)發(fā)，同時(shí)還解決了虛擬機(jī)流量監(jiān)管、訪問控制策略部署等問題；S5820V2系列交換機(jī)支持FCOE和TRILL〔TransparentInterconnectionofLotsofLinks〕，允許LAN和FCSAN的業(yè)務(wù)流量在同一個(gè)以太網(wǎng)中傳送，加快了數(shù)據(jù)中心的整合步伐，并為構(gòu)建大二層數(shù)據(jù)中心網(wǎng)絡(luò)提供了良好的技術(shù)路線。豐富的數(shù)據(jù)中心特性、增強(qiáng)的QOS能力同DCB〔DataCenterBridging〕相結(jié)合，使得S5820V2系列交換機(jī)成為構(gòu)建未來數(shù)據(jù)中心網(wǎng)絡(luò)的理想選擇。兩臺(tái)S5820V2之間分別部署IRF2虛擬化技術(shù)，通過跨設(shè)備鏈路捆綁消除二層環(huán)路、簡化管理，同時(shí)大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，防止網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。虛擬機(jī)接入在虛擬化效勞器中，虛擬以太網(wǎng)交換機(jī)是一個(gè)比擬特殊的設(shè)備，具有重要的作用。虛擬機(jī)是通過虛擬交換機(jī)向外界提供效勞的。在虛擬化的效勞器中，每個(gè)虛擬機(jī)都變成了一臺(tái)獨(dú)立的邏輯效勞器，它們之間的通信通過網(wǎng)絡(luò)進(jìn)行。每個(gè)虛擬機(jī)被分配了一個(gè)虛擬網(wǎng)卡〔不同的虛擬機(jī)網(wǎng)卡有不同MAC地址〕。為實(shí)現(xiàn)虛擬機(jī)之間以及虛擬機(jī)與外部網(wǎng)絡(luò)的通信，必須存在一個(gè)“虛擬以太網(wǎng)交換機(jī)”以實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)功能。IEEE標(biāo)準(zhǔn)化組織將“虛擬以太網(wǎng)交換機(jī)”的正式英文名稱命名為“VirtualEthernetBridge”，簡稱VEB。傳統(tǒng)的軟件VEB轉(zhuǎn)發(fā)模式在效勞器上采用純軟件方式實(shí)現(xiàn)的VEB就是通常所說的“vSwitch”。vSwitch是目前較為成熟的技術(shù)方案。在一個(gè)虛擬化的效勞器上，VMM為每個(gè)虛擬機(jī)創(chuàng)立一個(gè)虛擬網(wǎng)卡，每個(gè)虛擬網(wǎng)卡映射到vSwitch的一個(gè)邏輯端口上，效勞器的物理網(wǎng)卡對(duì)應(yīng)到vSwitch與外部物理交換機(jī)相連的上行邏輯端口上。vSwitch的引入，給云計(jì)算數(shù)據(jù)中心的運(yùn)行帶來了以下兩大問題：網(wǎng)絡(luò)界面的模糊主機(jī)內(nèi)分布著大量的網(wǎng)絡(luò)功能部件vSwitch，這些vSwitch的運(yùn)行和部署為主機(jī)操作與維護(hù)人員增加了巨大的額外工作量，在云計(jì)算數(shù)據(jù)中心通常由主機(jī)操作人員執(zhí)行，這形成了專業(yè)技能支撐的缺乏，而網(wǎng)絡(luò)操作人員一般只能管理物理網(wǎng)絡(luò)設(shè)備、無法操作主機(jī)內(nèi)vSwitch，這就使得大量vSwicth具備的網(wǎng)絡(luò)功能并不能發(fā)揮作用。此外，對(duì)于效勞器內(nèi)部虛擬機(jī)之間的數(shù)據(jù)交換，在vSwitch內(nèi)有限執(zhí)行，外部網(wǎng)絡(luò)不可見，不管在流量監(jiān)管、策略控制還是平安等級(jí)都無法依賴完備的外部硬件功能實(shí)現(xiàn)，這就使得數(shù)據(jù)交換界面進(jìn)入主機(jī)后因?yàn)関Switch的功能、性能、管理弱化而造成了高級(jí)網(wǎng)絡(luò)特性與效勞的缺失。虛擬機(jī)的不可感知性物理效勞器與網(wǎng)絡(luò)的連接是通過鏈路狀態(tài)來表達(dá)的，但是當(dāng)效勞器被虛擬化后，一個(gè)主機(jī)內(nèi)同時(shí)運(yùn)行大量的虛擬機(jī)，而此前的網(wǎng)絡(luò)面對(duì)這些虛擬機(jī)的創(chuàng)立與遷移、故障與恢復(fù)等運(yùn)行狀態(tài)完全不感知，同時(shí)對(duì)虛擬機(jī)也無法進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)定位，當(dāng)虛擬機(jī)遷移時(shí)網(wǎng)絡(luò)配置也無法進(jìn)行實(shí)時(shí)地跟隨，雖然有些數(shù)據(jù)鏡像、分析偵測(cè)技術(shù)可以局部感知虛擬機(jī)的變化，但總體而言目前的虛擬機(jī)交換網(wǎng)絡(luò)架構(gòu)無法滿足虛擬化技術(shù)對(duì)網(wǎng)絡(luò)效勞提出的要求。為了解決上述問題，本次工程H3C的解決思路是將虛擬機(jī)的所有流量都引至外部接入交換機(jī)，此時(shí)因?yàn)樗械牧髁烤?jīng)過物理交換機(jī)，因此與虛擬機(jī)相關(guān)的流量監(jiān)控、訪問控制策略和網(wǎng)絡(luò)配置遷移問題均可以得到很好的解決，此方案最典型的代表是EVB標(biāo)準(zhǔn)。IEEE802.1QbgEdgeVirtualBridging〔EVB〕是由IEEE802.1工作組制定一個(gè)新標(biāo)準(zhǔn)，主要用于解決vSwtich的上述局限性，其核心思想是：將虛擬機(jī)產(chǎn)生的網(wǎng)絡(luò)流量全部交給與效勞器相連的物理交換機(jī)進(jìn)行處理，即使同一臺(tái)物理效勞器虛擬機(jī)間的流量，也將發(fā)往外部物理交換機(jī)進(jìn)行查表處理，之后再180度掉頭返回到物理效勞器，形成了所謂的“發(fā)卡彎”轉(zhuǎn)發(fā)模式，如下列圖所示：VEPA轉(zhuǎn)發(fā)模式EVB標(biāo)準(zhǔn)具有如下的技術(shù)特點(diǎn)：借助發(fā)卡彎轉(zhuǎn)發(fā)機(jī)制將外網(wǎng)交換機(jī)上的眾多網(wǎng)絡(luò)控制策略和流量監(jiān)管特性引入到虛擬機(jī)網(wǎng)絡(luò)接入層，不但簡化了網(wǎng)卡的設(shè)計(jì)，而且充分利用了外部交換機(jī)專用ASIC芯片的處理能力、減少了虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)對(duì)CPU的開銷；充分利用外部交換機(jī)既有的控制策略特性〔ACL、QOS、端口平安等〕實(shí)現(xiàn)整網(wǎng)端到端的策略統(tǒng)一部署；充分利用外部交換機(jī)的既有特性增強(qiáng)虛擬機(jī)流量監(jiān)管能力，如各種端口流量統(tǒng)計(jì)，NetStream、端口鏡像等。EVB標(biāo)準(zhǔn)中定義了虛擬機(jī)與網(wǎng)絡(luò)之間的關(guān)聯(lián)標(biāo)準(zhǔn)協(xié)議，使得虛擬機(jī)在變更與遷移時(shí)通告網(wǎng)絡(luò)及網(wǎng)管系統(tǒng)，從而可以借助此標(biāo)準(zhǔn)實(shí)現(xiàn)數(shù)據(jù)中心全網(wǎng)范圍的網(wǎng)絡(luò)配置變更自動(dòng)化工作，使得大規(guī)模的虛擬機(jī)云計(jì)算效勞運(yùn)營部署自動(dòng)化能夠?qū)崿F(xiàn)。在EVB技術(shù)體系架構(gòu)中，除了物理效勞器和支持EVB標(biāo)準(zhǔn)的邊緣接入交換機(jī)等根底IT架構(gòu)之外，還需要定義兩套管理系統(tǒng)，分別為VMM〔VirtualMachineManager，虛擬機(jī)管理系統(tǒng)〕和NMS〔NetworkManagementSystem，網(wǎng)絡(luò)管理系統(tǒng)〕。H3C的EVBVMM和NMS分別對(duì)應(yīng)H3CCVM虛擬化管理平臺(tái)和iMCVCM〔VirtualConnectionManager，虛擬連接管理〕組件。如下為EVB根本工作流程：H3CEVB解決方案流圖網(wǎng)絡(luò)管理員在iMCVCM上創(chuàng)立VSI類別，每個(gè)類別具有版本號(hào)，保存在VTDB數(shù)據(jù)庫中。效勞器管理員通過H3CCASCVM管理平臺(tái)創(chuàng)立VM，從iMCVCM組件中查詢可用的VSI類別，創(chuàng)立VSI實(shí)例，實(shí)例的信息由VSI實(shí)例號(hào)和選定的VTID組成。H3CCASCVM管理平臺(tái)通過CVK組件將VM與網(wǎng)絡(luò)資源的綁定關(guān)系寫入到vSwitch模塊。H3CCASCVK組件中的vSwitch模塊使用VDP/CDCP協(xié)議和H3CS5820V2交換機(jī)協(xié)商S通道，在VM上線時(shí)使用配置的VSIType、VSIID等信息構(gòu)造VDP消息報(bào)文〔可能是VDP關(guān)聯(lián)、預(yù)關(guān)聯(lián)或去關(guān)聯(lián)消息〕和H3CS5820V2交換機(jī)交互。H3CS5820V2交換機(jī)接收到VDP報(bào)文后，通過HTTP向iMCVCM請(qǐng)求VSI類別定義的網(wǎng)絡(luò)資源，iMCVCM接收到此HTTP請(qǐng)求后，檢索VSI類別對(duì)應(yīng)的網(wǎng)絡(luò)資源，并通過CLI逐條下發(fā)給H3CS5820V2交換機(jī)的相應(yīng)的接口上。當(dāng)虛擬機(jī)在網(wǎng)絡(luò)中遷移時(shí)，虛擬機(jī)的虛擬網(wǎng)絡(luò)接口對(duì)應(yīng)的配置也需要隨著遷移，虛擬交換機(jī)使用VDP協(xié)議將虛擬機(jī)遷移的信息告知邊緣物理交換機(jī)。將虛擬機(jī)的VSI接口與端口策略自動(dòng)進(jìn)行關(guān)聯(lián)和去關(guān)聯(lián)，從而使虛擬機(jī)的網(wǎng)絡(luò)配置與虛擬機(jī)一起自動(dòng)遷移。虛擬機(jī)遷移時(shí)網(wǎng)絡(luò)策略同步的流程圖下面是虛擬機(jī)遷移時(shí)網(wǎng)絡(luò)策略同步的流程說明：VM從物理主機(jī)A遷移到物理主機(jī)B。VM遷移的條件可能是系統(tǒng)管理員手動(dòng)觸發(fā)，也有可能是H3CCVM虛擬化管理平臺(tái)提供的HA〔高可靠性〕和動(dòng)態(tài)資源調(diào)度等高級(jí)特性執(zhí)行時(shí)動(dòng)態(tài)觸發(fā)。將VM的XML配置文件和內(nèi)存等其它實(shí)時(shí)信息拷貝到物理主機(jī)B上〔如果VM的磁盤文件不是在共享存儲(chǔ)上，還需要將磁盤文件拷貝到B上〕，記錄拷貝過程中發(fā)生變化的應(yīng)用程序和操作系統(tǒng)臟數(shù)據(jù)在物理主機(jī)B上觸發(fā)創(chuàng)立VM，并向鄰接物理交換機(jī)發(fā)送VDP預(yù)關(guān)聯(lián)消息。將VM在物理主機(jī)A上的臟數(shù)據(jù)實(shí)時(shí)同步到物理主機(jī)B上，當(dāng)同步差異足夠小時(shí)，暫停掉效勞器A上的VM，一次性將所有的臟數(shù)據(jù)同步到物理主機(jī)B上。激活物理主機(jī)B上的VM，向鄰接物理交換機(jī)發(fā)送VDP關(guān)聯(lián)消息。如果關(guān)聯(lián)成功，那么繼續(xù)下一步；否那么發(fā)送去關(guān)聯(lián)消息，恢復(fù)效勞器A上的VM，遷移失敗。鄰接物理交換機(jī)通過HTTP向iMC請(qǐng)求虛擬機(jī)VSI對(duì)應(yīng)的網(wǎng)絡(luò)資源，iMC檢索VSI類別對(duì)應(yīng)的網(wǎng)絡(luò)資源，并通過命令行方式逐條下發(fā)給物理交換機(jī)相應(yīng)的端口上。關(guān)閉效勞器主機(jī)A上的VM，觸發(fā)VDP去關(guān)聯(lián)消息，鄰接物理交換機(jī)釋放相應(yīng)資源。平安資源池設(shè)計(jì)設(shè)計(jì)要點(diǎn)平安是一個(gè)系統(tǒng)工程，為了合理的解決網(wǎng)絡(luò)平安問題，必須充分分析網(wǎng)絡(luò)邏輯組成，網(wǎng)絡(luò)中不同局部的功能不同，所關(guān)注的平安問題也不同。所謂平安威脅，就是未經(jīng)授權(quán)，對(duì)位于效勞器、網(wǎng)絡(luò)和桌面的數(shù)據(jù)和資源進(jìn)行訪問，甚至破壞或者篡改這些數(shù)據(jù)/資源。從平安威脅的對(duì)象來看，可以分為網(wǎng)絡(luò)傳送過程、網(wǎng)絡(luò)效勞過程和軟件應(yīng)用過程三類。網(wǎng)絡(luò)傳送過程主要針對(duì)數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層協(xié)議特征中存在的漏洞進(jìn)行攻擊，如常見的監(jiān)聽、IP地址欺騙、路由協(xié)議攻擊、ICMPSmurf攻擊等；網(wǎng)絡(luò)效勞過程主要針對(duì)TCP/UDP以及居于其上的應(yīng)用層協(xié)議進(jìn)行，如常見的UDP/TCP欺騙、TCP流量劫持、TCPDoS、FTP反彈、DNS欺騙等等；軟件應(yīng)用過程那么針對(duì)位于效勞器/主機(jī)上的操作系統(tǒng)以及其上的應(yīng)用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。從平安威脅的手法來看，蠕蟲、拒絕效勞、監(jiān)聽、木馬、病毒…都是常見的攻擊工具。對(duì)關(guān)鍵的主機(jī)系統(tǒng)和子網(wǎng)，能夠進(jìn)行網(wǎng)絡(luò)資源檢查，并及時(shí)發(fā)現(xiàn)問題。使用平安掃描軟件，對(duì)關(guān)鍵的主機(jī)系統(tǒng)和網(wǎng)絡(luò)定期進(jìn)行掃描，可以檢查出網(wǎng)絡(luò)弱點(diǎn)和策略配置上的問題。根據(jù)掃描軟件發(fā)現(xiàn)的問題，及時(shí)更新操作系統(tǒng)補(bǔ)丁，查殺病毒，更新平安策略。定期強(qiáng)制更新用戶口令，并制定用戶口令規(guī)那么，禁止使用不符合規(guī)那么的口令。定期檢查文件系統(tǒng)的訪問權(quán)限是否合理，檢查用戶帳號(hào)的使用是否正常。目前，虛擬化已經(jīng)成為云計(jì)算提供“按需效勞”的關(guān)鍵技術(shù)手段，包括根底網(wǎng)絡(luò)架構(gòu)、存儲(chǔ)資源、計(jì)算資源以及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進(jìn)了一大步，只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個(gè)性化的存儲(chǔ)計(jì)算及應(yīng)用資源的合理分配，并利用虛擬化實(shí)例間的邏輯隔離實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)平安。平安無論是作為根底的網(wǎng)絡(luò)架構(gòu)，還是基于平安即效勞的理念，都需要支持虛擬化，這樣才能實(shí)現(xiàn)端到端的虛擬化計(jì)算。典型的示意圖如下圖：平安虛擬化示意圖網(wǎng)絡(luò)邊界平安防護(hù)本次工程設(shè)計(jì)在云平臺(tái)的核心交換機(jī)上部署多種平安插卡，實(shí)現(xiàn)網(wǎng)絡(luò)平安的一體化防護(hù)。如部署防火墻插卡，防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍然可以看作是一個(gè)獨(dú)立的設(shè)備。它通過交換機(jī)內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透明設(shè)備和三層路由設(shè)備。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類似。虛擬防火墻示意圖如上圖FW三層部署所示，防火墻可以與宿主交換機(jī)直接建立三層連接，也可以與上游或下游設(shè)備建立三層連接，不同連接方式取決于用戶的訪問策略?？梢酝ㄟ^靜態(tài)路由和缺省路由實(shí)現(xiàn)三層互通，也可以通過OSPF這樣的路由協(xié)議提供動(dòng)態(tài)的路由機(jī)制。如果防火墻部署在效勞器區(qū)域，可以將防火墻設(shè)計(jì)為效勞器網(wǎng)關(guān)設(shè)備，這樣所有訪問效勞器的三層流量都將經(jīng)過防火墻設(shè)備，這種部署方式可以提供區(qū)域內(nèi)部效勞器之間訪問的平安性。防火墻是網(wǎng)絡(luò)系統(tǒng)的核心根底防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP效勞端口等的訪問控制；對(duì)常見的網(wǎng)絡(luò)攻擊方式，如拒絕效勞攻擊〔pingofdeath,land,synflooding,pingflooding,teardrop〕、端口掃描〔portscanning〕、IP欺騙(ipspoofing)、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等平安增強(qiáng)措施。對(duì)于云計(jì)算數(shù)據(jù)中心虛擬機(jī)效勞網(wǎng)關(guān)的選擇上，建議根據(jù)不同租戶的平安需求進(jìn)行區(qū)分對(duì)待，不建議將所有網(wǎng)關(guān)配置在FW上，以分散FW的壓力，滿足租戶內(nèi)的平安域隔離，具體設(shè)計(jì)如下：對(duì)于需要FW的業(yè)務(wù)的租戶，網(wǎng)關(guān)部署在vFW上； 對(duì)于不需要FW的普通租戶，網(wǎng)關(guān)部署在核心交換機(jī)上。多租戶平安隔離示意圖虛擬機(jī)深度平安防護(hù)云計(jì)算將IT資源進(jìn)行虛擬化和池化，這些資源將以效勞的形式動(dòng)態(tài)分配給租戶使用。對(duì)于云計(jì)算網(wǎng)絡(luò)層的平安防護(hù)，需要解決下列圖所示的兩個(gè)問題：防火墻虛擬化示意圖位于同一物理效勞器內(nèi)的多個(gè)不同虛擬機(jī)之間的流量平安防護(hù)，此類流量有局部是直接通過vSwitch進(jìn)行交互的，部署在外部網(wǎng)絡(luò)層的防火墻策略將無法實(shí)現(xiàn)平安防護(hù)；隨著云計(jì)算中心內(nèi)新租戶的上線和業(yè)務(wù)變更，傳統(tǒng)靜態(tài)的防火墻部署方式已經(jīng)不能滿足，需要將防火墻也進(jìn)行虛擬化并交付給租戶使用。H3C動(dòng)態(tài)虛擬平安的構(gòu)建主要分4個(gè)層面，一是基于VEPA或VLAN將VM流量引出并進(jìn)行識(shí)別，為下一步給不同流量部署不同級(jí)別平安策略作準(zhǔn)備；二是防火墻資源動(dòng)態(tài)分配，這是動(dòng)態(tài)平安最為核心的一個(gè)步驟。通過1虛多的虛擬化技術(shù)，將一臺(tái)防火墻設(shè)備虛擬化為多個(gè)虛擬墻vFW，根據(jù)不同的需要?jiǎng)討B(tài)分配；三是通過SecBlade防火墻插卡平滑擴(kuò)展規(guī)格，在H3C的核心設(shè)備S12500等設(shè)備上插上防火墻業(yè)務(wù)模塊，滿足虛擬防火墻數(shù)量和性能平滑擴(kuò)展，實(shí)現(xiàn)大規(guī)模的運(yùn)營；四是防火墻資源池統(tǒng)一管理，虛擬化的防火墻資源池能夠在防火墻管理平臺(tái)上進(jìn)行可視化的統(tǒng)一管理和操作。如下列圖所示：動(dòng)態(tài)虛擬平安構(gòu)建示意圖平安策略動(dòng)態(tài)遷移虛擬化數(shù)據(jù)中新帶來的最大挑戰(zhàn)就是網(wǎng)絡(luò)平安策略要跟隨虛擬機(jī)自動(dòng)遷移。在創(chuàng)立虛擬機(jī)或虛擬機(jī)遷移時(shí)，虛擬機(jī)主機(jī)需要能夠正常運(yùn)行，除了在效勞器上的資源合理調(diào)度，其網(wǎng)絡(luò)連接的合理調(diào)度也是必須的。網(wǎng)絡(luò)平安配置自動(dòng)遷移示意圖如上圖所示，虛擬機(jī)1從pSrv1上遷移到pSrv2上，其網(wǎng)絡(luò)連接從原來的由pSRV1上vSwitchA的某個(gè)端口組接入到EdgeSwitch1，變成由pSRV2上vSwitchB的某個(gè)端口組接入到EdgeSwitch2。假設(shè)遷移后對(duì)應(yīng)的EdgeSwitch的網(wǎng)絡(luò)平安配置不適宜，會(huì)造成虛擬機(jī)1遷移后不能正常使用。尤其是原先對(duì)虛擬機(jī)1的訪問設(shè)置了平安隔離ACL，以屏蔽非法訪問保障虛擬機(jī)1上業(yè)務(wù)運(yùn)行效勞質(zhì)量。因此在發(fā)生虛擬機(jī)創(chuàng)立或遷移時(shí)，需要同步調(diào)整相關(guān)的網(wǎng)絡(luò)平安配置。并且，為了保證虛擬機(jī)的業(yè)務(wù)連續(xù)性，除了虛擬化軟件能保證虛擬機(jī)在效勞器上的快速遷移，相應(yīng)的網(wǎng)絡(luò)連接配置遷移也需要實(shí)時(shí)完成。即網(wǎng)絡(luò)具有“隨需而動(dòng)”的自動(dòng)化能力。但在VEBvSwtich模式下，通常會(huì)出現(xiàn)多個(gè)虛擬機(jī)的配置都重復(fù)下發(fā)到一個(gè)物理接口上，很難做到針對(duì)每一個(gè)虛擬機(jī)的精細(xì)化網(wǎng)絡(luò)平安配置管理。因此只有先精細(xì)化區(qū)分流量〔比方源IP、源MAC、VLAN等〕，再進(jìn)行針對(duì)性的網(wǎng)絡(luò)平安配置遷移與本地配置自動(dòng)化去部署。目前業(yè)界最優(yōu)的解決方法就是在主機(jī)鄰接物理交換機(jī)采用vPort的概念。一個(gè)虛擬機(jī)綁定一個(gè)或幾個(gè)特定的vPort，虛擬機(jī)遷移時(shí)，只需在對(duì)應(yīng)的鄰接物理交換機(jī)上將虛擬機(jī)對(duì)應(yīng)的網(wǎng)絡(luò)配置Profile綁定到vPort上即可，而不會(huì)對(duì)其它虛擬機(jī)的vPort產(chǎn)生影響。目前正在形成標(biāo)準(zhǔn)的VDP方案對(duì)網(wǎng)絡(luò)平安配置自動(dòng)遷移提供了良好的支撐能力。鄰接交換機(jī)使用VDP協(xié)議發(fā)現(xiàn)虛擬機(jī)實(shí)例，并向網(wǎng)管系統(tǒng)獲取對(duì)應(yīng)的網(wǎng)絡(luò)平安配置Profile并部署到相應(yīng)的vPort接口上。同時(shí)，虛擬機(jī)遷移前的接入位置物理交換機(jī)也會(huì)通過VDP解關(guān)聯(lián)通告，去部署相應(yīng)的profile對(duì)應(yīng)的本地配置。參加VDP后，完全不依賴網(wǎng)管系統(tǒng)對(duì)虛擬機(jī)接入物理網(wǎng)絡(luò)的定位能力，提高網(wǎng)絡(luò)配置遷移的準(zhǔn)確性和實(shí)時(shí)性。因此，在本次方案設(shè)計(jì)中，針對(duì)網(wǎng)絡(luò)平安、主機(jī)平安、虛擬機(jī)平安和應(yīng)用平安，在IaaS云平臺(tái)上，通過在一級(jí)接入模塊上部署防火墻插卡來實(shí)現(xiàn)平安防護(hù)；重點(diǎn)針對(duì)虛擬機(jī)的平安，通過在IaaS云平臺(tái)平臺(tái)上部署虛擬防火墻實(shí)現(xiàn)對(duì)于虛擬機(jī)的平安防護(hù)。虛擬化平臺(tái)設(shè)計(jì)虛擬化的本質(zhì)是給用戶提供端到端的資源虛擬化效勞，提高用戶對(duì)資源的使用效率和管理能力。資源虛擬化可分為計(jì)算虛擬化和網(wǎng)絡(luò)虛擬化。計(jì)算虛擬化效勞器是云計(jì)算平臺(tái)的核心，其承當(dāng)著云計(jì)算平臺(tái)的“計(jì)算”功能。效勞器虛擬化可以充分利用高性能效勞器的計(jì)算能力，將原本運(yùn)行在單臺(tái)物理效勞器上的操作系統(tǒng)及應(yīng)用程序遷移到虛擬機(jī)上。虛擬化后，一臺(tái)物理效勞器上能運(yùn)行多臺(tái)虛擬機(jī)，完成對(duì)企業(yè)應(yīng)用系統(tǒng)的整合。通過效勞器虛擬化，提高硬件資源的利用率，有效地抑制IT資源不斷膨脹的問題，降低客戶的采購本錢和維護(hù)本錢，同時(shí)可以節(jié)省IT機(jī)房的占地空間以及供電和冷卻等運(yùn)營開支。H3CCAS基于業(yè)界領(lǐng)先的虛擬化根底架構(gòu)KVM，依托其強(qiáng)大的技術(shù)實(shí)力、產(chǎn)品與效勞優(yōu)勢(shì)，以及深入人心的以客戶為中心的理念，為企業(yè)數(shù)據(jù)中心IaaS云計(jì)算根底架構(gòu)提供最優(yōu)化的虛擬化與云業(yè)務(wù)運(yùn)營解決方案，實(shí)現(xiàn)了數(shù)據(jù)中心IaaS云計(jì)算環(huán)境的中央管理控制，以簡潔的管理界面，統(tǒng)一管理數(shù)據(jù)中心內(nèi)所有的物理資源和虛擬資源，不僅能提高IT人員的管理能力、簡化日常例行工作，更可降低IT環(huán)境的復(fù)雜度和管理本錢。H3CCAS平臺(tái)融合了H3C在網(wǎng)絡(luò)平安領(lǐng)域多年的積累，通過對(duì)IEEE802.1Qbg〔EVB〕標(biāo)準(zhǔn)的支持，為虛擬機(jī)在平安、可視、可監(jiān)管的環(huán)境下運(yùn)行奠定了堅(jiān)實(shí)根底；創(chuàng)新的動(dòng)態(tài)資源擴(kuò)展、高可用性、動(dòng)態(tài)資源調(diào)度等功能為虛擬化平臺(tái)提供了簡單易用、本錢低廉的高可用管理模式。H3C虛擬化內(nèi)核平臺(tái)簡稱CVK〔CloudVirtualizationKernel〕，可以提供穩(wěn)定、高性能的虛擬化層，該虛擬化層可對(duì)硬件資源進(jìn)行抽象，并允許多個(gè)虛擬機(jī)共享這些資源。針對(duì)上層客戶操作系統(tǒng)對(duì)底層硬件資源的訪問，CVK用于屏蔽底層異構(gòu)硬件之間的差異性，消除上層客戶操作系統(tǒng)對(duì)硬件設(shè)備以及驅(qū)動(dòng)的依賴，同時(shí)增強(qiáng)了虛擬化運(yùn)行環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴(kuò)展性、性能優(yōu)化等功能。H3C虛擬化管理系統(tǒng)簡稱CVM〔CloudVirtualizationManager〕，主要實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)等硬件資源的軟件虛擬化管理，對(duì)上層應(yīng)用提供自動(dòng)化效勞。其業(yè)務(wù)范圍包括：虛擬計(jì)算、虛擬網(wǎng)絡(luò)、虛擬存儲(chǔ)、高可用性〔HA〕、動(dòng)態(tài)資源調(diào)度〔DRS〕、虛擬機(jī)容災(zāi)與備份、虛擬機(jī)模板管理、集群文件系統(tǒng)、虛擬交換機(jī)策略等。H3CCVM虛擬化管理系統(tǒng)具有以下特性：完備的虛擬機(jī)生命周期管理支持虛擬機(jī)的創(chuàng)立、修改、啟動(dòng)、暫停、恢復(fù)、休眠、重啟、關(guān)閉、下電、克隆、遷移、快照等常用功能，同時(shí)支持通過管理界面的控制臺(tái)遠(yuǎn)程連接到虛擬機(jī)。所有的操作全部基于圖形化配置界面。H3CCAS虛擬機(jī)生命周期管理虛擬機(jī)管理含義創(chuàng)立創(chuàng)立一個(gè)新的虛擬機(jī)。修改修改虛擬機(jī)的參數(shù)，如CPU個(gè)數(shù)、內(nèi)存大小、增刪存儲(chǔ)、增刪網(wǎng)卡等。啟動(dòng)啟動(dòng)一個(gè)虛擬機(jī)，從而使虛擬機(jī)正常開始工作。暫停暫停指定的虛擬機(jī)。虛擬機(jī)暫停時(shí)，內(nèi)存中的數(shù)據(jù)仍保存在內(nèi)存中，虛擬機(jī)處于停止運(yùn)行狀態(tài)?；謴?fù)將處于暫停狀態(tài)的虛擬機(jī)恢復(fù)到啟動(dòng)運(yùn)行狀態(tài)。休眠將指定的虛擬機(jī)休眠。虛擬機(jī)休眠時(shí)，內(nèi)存中的數(shù)據(jù)被暫時(shí)以文件的方式保存在硬盤中，然后切斷內(nèi)存的電源。重啟重啟指定的虛擬機(jī)。當(dāng)虛擬機(jī)出現(xiàn)故障停機(jī)，或虛擬機(jī)配置發(fā)生變更〔如增減CPU個(gè)數(shù)、內(nèi)存大小、磁盤大小等〕時(shí)需要重啟虛擬機(jī)。關(guān)閉關(guān)閉指定的虛擬機(jī)。下電強(qiáng)制將指定的虛擬機(jī)斷電?？寺?fù)制一個(gè)已經(jīng)存在的虛擬機(jī)。遷移把源虛擬機(jī)的操作系統(tǒng)和應(yīng)用程序從一臺(tái)主機(jī)移動(dòng)到另外一臺(tái)主機(jī)，并且能夠在目的主機(jī)上正常運(yùn)行。根據(jù)遷移發(fā)生時(shí)虛擬機(jī)的運(yùn)行狀態(tài)不同，虛擬機(jī)的遷移分為在線遷移和離線遷移兩種情況?？煺毡４婺骋粋€(gè)虛擬機(jī)在某一個(gè)特定時(shí)間內(nèi)的一個(gè)具有只讀屬性的鏡像?？刂婆_(tái)用于遠(yuǎn)程連接虛擬機(jī)的終端虛擬桌面。通過控制臺(tái)，用戶可以對(duì)未安裝操作系統(tǒng)的虛擬機(jī)安裝操作系統(tǒng)，或者翻開虛擬機(jī)上已安裝好的操作系統(tǒng)桌面。刪除刪除已經(jīng)存在的虛擬機(jī)。全面的資源性能狀態(tài)監(jiān)測(cè)物理效勞器性能狀態(tài)監(jiān)測(cè)提供物理效勞器CPU和內(nèi)存等計(jì)算資源的圖形化報(bào)表及其運(yùn)行于其上的虛擬機(jī)利用率TOP5報(bào)表，為管理員實(shí)施合理的資源規(guī)劃提供詳盡的數(shù)據(jù)資料。物理效勞器性能圖形報(bào)表虛擬機(jī)性能狀態(tài)監(jiān)測(cè)提供虛擬機(jī)CPU、內(nèi)存、磁盤I/O、網(wǎng)絡(luò)I/O等重要資源在內(nèi)的關(guān)鍵元件進(jìn)行全面的性能監(jiān)測(cè)。虛擬機(jī)性能圖形報(bào)表虛擬交換機(jī)狀態(tài)監(jiān)測(cè)提供虛擬機(jī)交換機(jī)上各個(gè)虛端口的流量統(tǒng)計(jì)與模擬面板圖形化顯示。虛擬交換機(jī)狀況監(jiān)測(cè)虛擬網(wǎng)卡性能狀態(tài)監(jiān)測(cè)提供進(jìn)出虛擬機(jī)虛端口的流量的圖形化實(shí)時(shí)顯示。虛擬網(wǎng)卡性能狀況監(jiān)測(cè)簡單易用的虛擬機(jī)業(yè)務(wù)高可靠性H3CCAS云計(jì)算管理平臺(tái)對(duì)數(shù)據(jù)中心IT根底設(shè)施進(jìn)行基于集群的集中化管理，由多臺(tái)獨(dú)立效勞器主機(jī)聚合形成的集群不僅降低了管理的復(fù)雜度，而且具有內(nèi)在的高可靠性，從而為用戶提供一個(gè)經(jīng)濟(jì)、有效、適用于所有應(yīng)用的高可靠性解決方案。H3CCAS高可靠性功能在H3CCAS集群管理系統(tǒng)中，運(yùn)行于節(jié)點(diǎn)上的虛擬機(jī)是一種資源。H3CCAS集群管理系統(tǒng)除了對(duì)集群中的節(jié)點(diǎn)進(jìn)行心跳檢測(cè)之外，還會(huì)對(duì)運(yùn)行于節(jié)點(diǎn)之上的虛擬機(jī)資源進(jìn)行狀態(tài)檢測(cè)。在每個(gè)節(jié)點(diǎn)上，都運(yùn)行了一個(gè)LRMd〔LocalResourceManagerdaemon，本地資源管理器守護(hù)進(jìn)程〕，它是H3CCAS集群管理系統(tǒng)中直接操作所管理的資源的一個(gè)軟件模塊，負(fù)責(zé)對(duì)本地的虛擬化資源進(jìn)行狀態(tài)檢測(cè)，并通過shell腳本調(diào)用方式實(shí)現(xiàn)對(duì)資源的各種操作。當(dāng)LRMd守護(hù)進(jìn)程檢測(cè)到本機(jī)的某臺(tái)虛擬機(jī)出現(xiàn)通信故障時(shí)，首先將事件通知給DC，由DC統(tǒng)一將該虛擬機(jī)狀態(tài)告知集群內(nèi)所有的物理節(jié)點(diǎn)，并按照PE計(jì)算的策略算法，為該故障的虛擬機(jī)選擇一個(gè)空閑的節(jié)點(diǎn)，在該節(jié)點(diǎn)上重啟該虛擬機(jī)。智能化的資源自動(dòng)優(yōu)化配置在虛擬化和云計(jì)算環(huán)境中，一旦客戶將效勞器整合到資源較少的物理主機(jī)上，虛擬機(jī)的資源需求往往會(huì)成為意想不到的瓶頸，全部資源需求很有可能超過主機(jī)的可用資源。H3CCAS集群管理系統(tǒng)提供的動(dòng)態(tài)資源調(diào)度特性引入一個(gè)自動(dòng)化機(jī)制，通過持續(xù)地平衡容量，將虛擬機(jī)遷移到有更多可用資源的主機(jī)上，確保每個(gè)虛擬機(jī)在任何節(jié)點(diǎn)都能及時(shí)地調(diào)用相應(yīng)的資源。即便大量運(yùn)行SQLServer的虛擬機(jī)，只要開啟了動(dòng)態(tài)資源調(diào)整功能，就不必再對(duì)CPU和內(nèi)存的瓶頸進(jìn)行一一監(jiān)測(cè)。全自動(dòng)化的資源分配和負(fù)載平衡功能，也可以顯著地降低數(shù)據(jù)中心的本錢與運(yùn)營費(fèi)用。H3CCAS動(dòng)態(tài)資源調(diào)整功能H3CCASCVM管理平臺(tái)定期〔默認(rèn)1分鐘〕輪詢集群內(nèi)所有的物理效勞器主機(jī)，對(duì)CPU和內(nèi)存等關(guān)鍵計(jì)算資源的利用率進(jìn)行檢測(cè)，并根據(jù)用戶自定義的規(guī)那么來判斷是否需要為物理效勞器主機(jī)在集群內(nèi)尋找有更多可用資源的主機(jī)，以將該主機(jī)上的虛擬機(jī)遷移到另外一臺(tái)具有更多適宜資源的效勞器上，或者將該效勞器上其它的虛擬機(jī)遷移出去，從而為某個(gè)虛擬機(jī)騰出更多的“空間”。除了定時(shí)檢測(cè)和動(dòng)態(tài)遷移之外，H3CCAS云計(jì)算管理平臺(tái)還充分考慮了虛擬機(jī)對(duì)物理效勞器主機(jī)的親和性因素，即衡量虛擬機(jī)對(duì)當(dāng)前物理主機(jī)的依賴程度。例如，用戶可能希望某些虛擬應(yīng)用系統(tǒng)只允許在固定的物理主機(jī)上運(yùn)行，而不允許其動(dòng)態(tài)遷移。此時(shí)，只需要在H3CCAS云計(jì)算管理平臺(tái)上，去勾選虛擬機(jī)的自動(dòng)遷移屬性即可。經(jīng)濟(jì)高效的災(zāi)備恢復(fù)方案H3CCAS云計(jì)算管理平臺(tái)實(shí)現(xiàn)了透明的定時(shí)備份和即時(shí)備份功能，會(huì)在暫停虛擬機(jī)中的應(yīng)用程序之后，為正在運(yùn)行的虛擬機(jī)創(chuàng)立快照，從而對(duì)備份工作進(jìn)行集中處理，以確保文件系統(tǒng)的一致性。H3CCAS災(zāi)備恢復(fù)方案H3CCAS云計(jì)算管理平臺(tái)的備份特性是一種高效而低本錢的災(zāi)備恢復(fù)特性，它將給用戶帶來如下價(jià)值：基于磁盤的備份功能，為虛擬機(jī)提供快速、簡單的數(shù)據(jù)保護(hù)。無需額外代理的備份，簡化了部署復(fù)雜度。支持全自動(dòng)的定時(shí)備份和手工干預(yù)的即時(shí)備份，滿足不同的應(yīng)用要求。支持IEEE802.1Qbg標(biāo)準(zhǔn)支持IEEE802.1Qbg〔EVB〕協(xié)議標(biāo)準(zhǔn)，與H3CS5820V2交換機(jī)及iMCVCM網(wǎng)管組件配合，能夠?qū)崿F(xiàn)對(duì)虛擬機(jī)流量的全面監(jiān)控。EVB〔EdgeVirtualBridging〕是IEEE標(biāo)準(zhǔn)化組織針對(duì)數(shù)據(jù)中心虛擬化制定的一組技術(shù)標(biāo)準(zhǔn)，包含了虛擬化效勞器與網(wǎng)絡(luò)之間數(shù)據(jù)互通的格式與轉(zhuǎn)發(fā)要求，以及針對(duì)虛擬機(jī)、虛擬IO通道對(duì)接網(wǎng)絡(luò)的一組控制管理協(xié)議。這種開放的標(biāo)準(zhǔn)技術(shù)解決了此前效勞器虛擬化后計(jì)算資源與網(wǎng)絡(luò)資源之間產(chǎn)生的管理邊界模糊問題，以及計(jì)算資源調(diào)度與網(wǎng)絡(luò)自動(dòng)化感知之間無法關(guān)聯(lián)的問題。從技術(shù)理念和實(shí)現(xiàn)上，EVB特性徹底解決了傳統(tǒng)軟件VEB和硬件VEB技術(shù)的缺陷。通過將虛擬機(jī)的流量〔包括同一效勞器上各虛擬機(jī)之間的流量〕全部交給與效勞器直連的鄰接物理交換機(jī)進(jìn)行交換和處理，從而使流量監(jiān)管和網(wǎng)絡(luò)控制策略的實(shí)施成為可能。通過將效勞器中的網(wǎng)絡(luò)局部進(jìn)行簡化和標(biāo)準(zhǔn)化，使得VM之間數(shù)據(jù)交換功能通過外部網(wǎng)絡(luò)實(shí)現(xiàn)，同時(shí)，通過定義了標(biāo)準(zhǔn)化的效勞器主機(jī)與網(wǎng)絡(luò)之間虛擬化信息的關(guān)聯(lián)控制，使得虛擬機(jī)的效勞變更可以通過網(wǎng)絡(luò)的感知來自動(dòng)化響應(yīng)，實(shí)現(xiàn)了數(shù)據(jù)中心全網(wǎng)范圍的網(wǎng)絡(luò)配置變更自動(dòng)化工作，使得大規(guī)模的虛擬機(jī)云計(jì)算效勞運(yùn)營部署自動(dòng)化能夠?qū)崿F(xiàn)。網(wǎng)絡(luò)虛擬化網(wǎng)絡(luò)設(shè)備的虛擬化技術(shù)從最初的多臺(tái)物理網(wǎng)絡(luò)設(shè)備虛擬成一臺(tái)邏輯網(wǎng)絡(luò)設(shè)備，即N:1的虛擬化，到一臺(tái)物理網(wǎng)絡(luò)設(shè)備虛擬化成多臺(tái)邏輯網(wǎng)絡(luò)設(shè)備，即1:N的虛擬化技術(shù)，又開展了將這兩種虛擬化技術(shù)進(jìn)行整合的網(wǎng)絡(luò)設(shè)備形態(tài)，即N:1:M虛擬化技術(shù)；以及在N:1橫向虛擬化的根底上開展了縱向虛擬化技術(shù)。這四項(xiàng)技術(shù)不僅給數(shù)據(jù)中心帶來了完整的虛擬化方案，也讓數(shù)據(jù)中心在網(wǎng)絡(luò)資源的管理和利用上更加靈活。H3CIRF〔IntelligentResilientFramework，智能彈性架構(gòu)〕H3CIRF是N:1網(wǎng)絡(luò)虛擬化技術(shù)，是H3C自主研發(fā)的軟件虛擬化技術(shù)，它的核心思想是將多臺(tái)設(shè)備通過IRF物理端口連接在一起，進(jìn)行必要的配置后，虛擬化成一臺(tái)“虛擬設(shè)備”，通過該“虛擬設(shè)備”來實(shí)現(xiàn)多臺(tái)設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。IRF2形成以后，從邏輯上而言是一臺(tái)設(shè)備，有統(tǒng)一的轉(zhuǎn)發(fā)表項(xiàng)，包括MAC表、ARP/ND表、路由表和標(biāo)簽信息等。每個(gè)成員設(shè)備都有完整的轉(zhuǎn)發(fā)能力，當(dāng)它收到待轉(zhuǎn)發(fā)報(bào)文時(shí)，直接查詢本機(jī)的轉(zhuǎn)發(fā)表項(xiàng)得到報(bào)文的出接口〔以及下一跳〕和封裝信息，然后將報(bào)文從正確的出接口送出去。這個(gè)出接口可以在本機(jī)上也可以在其它成員設(shè)備上。IRF2通過IRF端口將報(bào)文從一臺(tái)成員設(shè)備送到其它成員設(shè)備的過程對(duì)外界是完全屏蔽的，跨設(shè)備轉(zhuǎn)發(fā)跳數(shù)上只增加1跳，即表現(xiàn)為只經(jīng)過了一個(gè)網(wǎng)絡(luò)設(shè)備。IRF2的技術(shù)原理：物理連接：要形成IRF2，需要在成員設(shè)備上配置IRF端口，并和IRF物理端口綁定，IRF物理端口可以在同一個(gè)槽位也可以跨槽位。成員設(shè)備之間只要滿足物理可達(dá)，沒有使用地域的限制。RF物理端口就是普通的10GE光口，IRF物理端口可以在同一個(gè)槽位也可以跨槽位。成員設(shè)備之間只要滿足物理可達(dá)，沒有使用地域的限制。二層多徑轉(zhuǎn)發(fā)：如下列圖，兩臺(tái)設(shè)備形成IRF2，從下游交換機(jī)Switch1、Switch2發(fā)送的數(shù)據(jù)從聚合端口進(jìn)入IRF2系統(tǒng)以后，兩臺(tái)設(shè)備形成的IRF2虛擬設(shè)備與Switch3之間形成兩條等價(jià)路徑。下游進(jìn)入IRF2系統(tǒng)的數(shù)據(jù)流那么分擔(dān)在兩條等價(jià)路徑進(jìn)行轉(zhuǎn)發(fā)。如果出現(xiàn)一條路徑失效，那么所有流量切換到另外一條上，并且切換時(shí)間為小于50毫秒。IRF2端口聚合轉(zhuǎn)發(fā)流程IRF2成員設(shè)備的冗余備份，IRF2每個(gè)成員設(shè)備都有完整的二/三層轉(zhuǎn)發(fā)能力，當(dāng)它收到待轉(zhuǎn)發(fā)的二/三層報(bào)文時(shí)，可以通過查詢本機(jī)的二/三層轉(zhuǎn)發(fā)表得到報(bào)文的出接口〔以及下一跳〕，然后將報(bào)文從正確的出接口發(fā)送出去。這個(gè)出接口可以在本機(jī)上也可以在其它成員設(shè)備上，并且將報(bào)文從本機(jī)送到另外一個(gè)成員設(shè)備的過程對(duì)外界是透明的。虛擬化后，將多臺(tái)高端設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，對(duì)網(wǎng)絡(luò)可用性的提升具有強(qiáng)大的優(yōu)勢(shì)?？梢蕴峁┰鰪?qiáng)的二層網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)二層鏈路的無阻塞多路徑轉(zhuǎn)發(fā)，為主機(jī)的靈活調(diào)用創(chuàng)造無差異的云網(wǎng)絡(luò)。IRF2技術(shù)是實(shí)現(xiàn)增強(qiáng)二層網(wǎng)絡(luò)的一種成熟穩(wěn)定技術(shù)，可以提供一種成熟可靠的二層鏈路的無阻塞多路徑轉(zhuǎn)發(fā)網(wǎng)絡(luò)。主要表達(dá)在三個(gè)方面：消除網(wǎng)絡(luò)環(huán)路：通過IRF2虛擬化技術(shù)把兩臺(tái)設(shè)備虛擬成邏輯的一臺(tái)設(shè)備，從而消除網(wǎng)絡(luò)環(huán)路，不再需要部署生成樹協(xié)議，通過鏈路聚合實(shí)現(xiàn)負(fù)載分擔(dān)；IRF2對(duì)網(wǎng)絡(luò)可用性的提升——消除網(wǎng)絡(luò)環(huán)路對(duì)于接入層設(shè)備來說，一般使用兩臺(tái)交換機(jī)對(duì)同類業(yè)務(wù)系統(tǒng)效勞器進(jìn)行接入，以滿足效勞器的雙網(wǎng)卡上行要求。上行到IRF2系統(tǒng)的效勞器所有網(wǎng)卡如同接入一臺(tái)交換機(jī)，適用于各種工作模式，特別是效勞器的雙網(wǎng)卡捆綁方式?；贗RF2的效勞器多網(wǎng)卡適配方式簡化路由管理：通過分布式跨設(shè)備鏈路聚合技術(shù)，實(shí)現(xiàn)多條鏈路簡化成一條邏輯鏈路，減少路由計(jì)算節(jié)點(diǎn)，物理鏈路變化不會(huì)引起路由振蕩；IRF2對(duì)網(wǎng)絡(luò)可用性的提升——簡化路由管理簡化網(wǎng)絡(luò)配置管理：虛擬化以后的兩臺(tái)設(shè)備只需要一個(gè)配置文件，極大減少設(shè)備的配置管理工作。IRF2對(duì)網(wǎng)絡(luò)可用性的提升——簡化網(wǎng)絡(luò)配置管理H3CMDC〔MultitenantDeviceContext〕H3CMDC技術(shù)是一種完全的1:N網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)，可以實(shí)現(xiàn)將一臺(tái)物理網(wǎng)絡(luò)設(shè)備通過軟件虛擬化成多臺(tái)邏輯網(wǎng)絡(luò)設(shè)備，虛擬化出來的邏輯網(wǎng)絡(luò)設(shè)備簡稱MDC〔如下圖〕。在軟件上，MDC技術(shù)將網(wǎng)絡(luò)設(shè)備操作系統(tǒng)的數(shù)據(jù)平面、控制平面、管理平面進(jìn)行了完全的虛擬化，各用戶態(tài)進(jìn)程在每個(gè)MDC獨(dú)立啟動(dòng)運(yùn)行，各MDC共用一個(gè)操作系統(tǒng)內(nèi)核。在硬件上，MDC將網(wǎng)絡(luò)設(shè)備的硬件資源進(jìn)行了虛擬化，不僅可以將板卡、端口等硬件資源劃分到獨(dú)立的邏輯設(shè)備，而且可配置每個(gè)邏輯設(shè)備的CPU權(quán)重、內(nèi)存、存儲(chǔ)空間等資源。H3CMDC技術(shù)通過軟、硬件虛擬化的配合，MDC邏輯設(shè)備具有完全的設(shè)備功能，有獨(dú)立的軟件環(huán)境和數(shù)據(jù)，有獨(dú)立的硬件資源。甚至可以像一臺(tái)物理設(shè)備一樣單獨(dú)重啟，而不影響物理設(shè)備上其它MDC的正常運(yùn)行，這一切使得MDC非常接近于一個(gè)單獨(dú)的物理設(shè)備，用戶可以像使用物理設(shè)備一樣來使用MDC邏輯設(shè)備。MDC技術(shù)具備了復(fù)用、隔離以及高伸縮性的優(yōu)點(diǎn)：復(fù)用，多臺(tái)MDC共用物理設(shè)備的資源，使物理資源能得到充分利用；隔離，同一臺(tái)物理設(shè)備上的多個(gè)MDC具有獨(dú)立的軟硬件資源，獨(dú)立運(yùn)行互不影響；高伸縮性，可整合多個(gè)物理網(wǎng)絡(luò)到一個(gè)物理設(shè)備上，也可以將一個(gè)物理設(shè)備擴(kuò)展為多個(gè)邏輯網(wǎng)絡(luò)利用IRF和MDC完成網(wǎng)絡(luò)資源化網(wǎng)絡(luò)資源化是指把網(wǎng)絡(luò)設(shè)備也作為IT資源的一種類型，構(gòu)建網(wǎng)絡(luò)資源池，讓網(wǎng)絡(luò)資源可分配、可回收，有效支撐計(jì)算資源池的建設(shè)要求，適配計(jì)算資源的地理位置無關(guān)性，在不犧牲效率、設(shè)備利用率和擴(kuò)展性的前提下，降低了資本支出〔CAPEX〕和運(yùn)營支出〔OPEX〕，提高了運(yùn)行效率。構(gòu)建網(wǎng)絡(luò)資源池的關(guān)鍵在于實(shí)現(xiàn)：網(wǎng)絡(luò)設(shè)備如何構(gòu)建資源池；網(wǎng)絡(luò)資源按照什么粒度來分配，是否可回收再分配。對(duì)于第一點(diǎn)，網(wǎng)絡(luò)設(shè)備N:1虛擬化技術(shù)IRF可以實(shí)現(xiàn)將多臺(tái)物理網(wǎng)絡(luò)設(shè)備虛擬成一臺(tái)網(wǎng)絡(luò)設(shè)備；對(duì)于第二點(diǎn)，網(wǎng)絡(luò)設(shè)備1:N虛擬化技術(shù)MDC可以實(shí)現(xiàn)在單臺(tái)網(wǎng)絡(luò)設(shè)備上虛擬多臺(tái)邏輯設(shè)備，網(wǎng)絡(luò)資源池可以實(shí)現(xiàn)按照以邏輯設(shè)備為資源組成單位的資源分配，同時(shí)通過MDC技術(shù)所支持的實(shí)時(shí)增加/刪除邏輯設(shè)備的能力來實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)資源池資源的回收再分配。網(wǎng)絡(luò)資源池建設(shè)如下圖，通過IRF虛擬化完成多臺(tái)物理設(shè)備的N:1，初步完成資源池的建設(shè)，然后利用MDC的1:N技術(shù)，在IRF虛擬網(wǎng)絡(luò)資源池中劃分邏輯設(shè)備資源，按需分配、按需回收以及按需部署網(wǎng)絡(luò)節(jié)點(diǎn)，提升了IT網(wǎng)絡(luò)架構(gòu)的靈活性，進(jìn)一步提升了數(shù)據(jù)中心資源利用率，降低運(yùn)行本錢。云管理平臺(tái)設(shè)計(jì)云計(jì)算的最終目標(biāo)是要實(shí)現(xiàn)系統(tǒng)的按需運(yùn)營，多種效勞的開通，而這依賴于對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源的調(diào)度和分配，同時(shí)提供用戶管理、組織管理、工作流管理、自助Portal界面等。從用戶資源的申請(qǐng)、審批到分配部署的智能化。管理系統(tǒng)不僅要實(shí)現(xiàn)對(duì)傳統(tǒng)的物理資源和新的虛擬資源進(jìn)行管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理與自動(dòng)化將成為必然趨勢(shì)。H3Cloud通過自動(dòng)化的管理平臺(tái)和手段，幫助用戶實(shí)現(xiàn)對(duì)云硬件資源和業(yè)務(wù)流程的快速部署與自動(dòng)化維護(hù)和管理。云業(yè)務(wù)管理H3CCAS/CIC〔CloudIntelligenceCenter〕由一系列云根底業(yè)務(wù)模塊組成，通過將根底架構(gòu)資源〔包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)〕及其相關(guān)策略整合成虛擬數(shù)據(jù)中心資源池，并允許用戶按需消費(fèi)這些資源，從而構(gòu)建平安的多租戶混合云。其業(yè)務(wù)范圍包括：組織〔虛擬數(shù)據(jù)中心〕、多租戶數(shù)據(jù)和業(yè)務(wù)平安、云業(yè)務(wù)工作流、自助式效勞門戶、兼容OpenStack的RESTAPI接口等。H3CCAS云計(jì)算管理平臺(tái)應(yīng)用架構(gòu)H3C云計(jì)算管理平臺(tái)除了對(duì)H3C自有的虛擬化資源進(jìn)行管理外，還兼容管理Vmware虛擬化環(huán)境。支持IEEE802.1Qbg標(biāo)準(zhǔn)支持IEEE802.1Qbg〔EVB〕協(xié)議標(biāo)準(zhǔn)，與H3CS5820V2交換機(jī)及iMCVCM網(wǎng)管組件配合，能夠?qū)崿F(xiàn)對(duì)虛擬機(jī)流量的全面監(jiān)控。EVB〔EdgeVirtualBridging〕是IEEE標(biāo)準(zhǔn)化組織針對(duì)數(shù)據(jù)中心虛擬化制定的一組技術(shù)標(biāo)準(zhǔn)，包含了虛擬化效勞器與網(wǎng)絡(luò)之間數(shù)據(jù)互通的格式與轉(zhuǎn)發(fā)要求，以及針對(duì)虛擬機(jī)、虛擬IO通道對(duì)接網(wǎng)絡(luò)的一組控制管理協(xié)議。這種開放的標(biāo)準(zhǔn)技術(shù)解決了此前效勞器虛擬化后計(jì)算資源與網(wǎng)絡(luò)資源之間產(chǎn)生的管理邊界模糊問題，以及計(jì)算資源調(diào)度與網(wǎng)絡(luò)自動(dòng)化感知之間無法關(guān)聯(lián)的問題。從技術(shù)理念和實(shí)現(xiàn)上，EVB特性徹底解決了傳統(tǒng)軟件VEB和硬件VEB技術(shù)的缺陷。通過將虛擬機(jī)的流量〔包括同一效勞器上各虛擬機(jī)之間的流量〕全部交給與效勞器直連的鄰接物理交換機(jī)進(jìn)行交換和處理，從而使流量監(jiān)管和網(wǎng)絡(luò)控制策略的實(shí)施成為可能。通過將效勞器中的網(wǎng)絡(luò)局部進(jìn)行簡化和標(biāo)準(zhǔn)化，使得VM之間數(shù)據(jù)交換功能通過外部網(wǎng)絡(luò)實(shí)現(xiàn)，同時(shí)，通過定義了標(biāo)準(zhǔn)化的效勞器主機(jī)與網(wǎng)絡(luò)之間虛擬化信息的關(guān)聯(lián)控制，使得虛擬機(jī)的效勞變更可以通過網(wǎng)絡(luò)的感知來自動(dòng)化響應(yīng)，實(shí)現(xiàn)了數(shù)據(jù)中心全網(wǎng)范圍的網(wǎng)絡(luò)配置變更自動(dòng)化工作，使得大規(guī)模的虛擬機(jī)云計(jì)算效勞運(yùn)營部署自動(dòng)化能夠?qū)崿F(xiàn)。自助式云業(yè)務(wù)電子流自助式效勞管理為用戶提供了一個(gè)平安的、多租戶的、可自助效勞的IaaS，是一種全新的根底架構(gòu)交付和使用模式。H3Cloud云業(yè)務(wù)電子流模型通過H3Cloud云計(jì)算軟件提供的虛擬化資源池功能，使IT部門能夠?qū)⒂?jì)算、存儲(chǔ)和網(wǎng)絡(luò)等物理資源抽象成按需提供的彈性虛擬資源池，以消費(fèi)單元〔即組織或虛擬數(shù)據(jù)中心〕的形式對(duì)外提供效勞，IT部門能夠通過完全自動(dòng)化的自助效勞訪問，為用戶提供這些消費(fèi)單元以及其它包括虛擬機(jī)和操作系統(tǒng)鏡像等在內(nèi)的根底架構(gòu)和應(yīng)用效勞模板。這種自助式的效勞真正實(shí)現(xiàn)了云計(jì)算的敏捷性、可控性和高效性，并極大程度地提高了業(yè)務(wù)的響應(yīng)能力。多租戶業(yè)務(wù)平安通過用戶數(shù)據(jù)平安隔離與網(wǎng)絡(luò)平安策略模板，確保虛擬化、多租戶環(huán)境下的用戶隱私信息及數(shù)據(jù)的平安。通過用戶權(quán)限的精細(xì)化控制、管理帳號(hào)的分級(jí)管理及詳細(xì)的操作訪問日志，防止權(quán)限濫用問題。H3Cloud云業(yè)務(wù)多租戶運(yùn)營模型為高性能、高效率和輕松訪問而構(gòu)建的云計(jì)算效勞器符合能源之星標(biāo)準(zhǔn)的H3CHyperServer效勞器配置充分表達(dá)了H3C一貫的幫助客戶節(jié)省能源、降低本錢的宗旨。借助通用免工具的新型滑軌，可以快速安裝H3CHyperServer，快速釋放桿可實(shí)現(xiàn)快速效勞器訪問。非常靈巧的電纜管理支架選項(xiàng)，可實(shí)現(xiàn)靈活布線和出色的布線管理，讓您可以快速訪問該效勞器。率先推出的3D陣列溫度傳感器可精確控制效勞器風(fēng)扇直接散熱，從而防止了不必要的風(fēng)扇功耗。存儲(chǔ)組件確保出色的應(yīng)用可用性和災(zāi)難恢復(fù)能力H3Cloud云計(jì)算解決方案中的存儲(chǔ)組件可跨存儲(chǔ)節(jié)點(diǎn)集群分割和保護(hù)多份數(shù)據(jù)副本，并消除SAN中的單點(diǎn)故障。應(yīng)用程序在發(fā)生電源、網(wǎng)絡(luò)、磁盤、控制器、存儲(chǔ)節(jié)點(diǎn)或站點(diǎn)故障的情況下，具有連續(xù)的數(shù)據(jù)可用性。H3Cloud云計(jì)算解決方案中的存儲(chǔ)組件高可用性架構(gòu)的優(yōu)點(diǎn)是，一個(gè)單一的存儲(chǔ)集群可托管不同網(wǎng)絡(luò)RAID級(jí)別的卷，每個(gè)卷的可用性和/或性能水平依應(yīng)用的需求而異。H3Cloud云計(jì)算解決方案中的存儲(chǔ)組件具備集成復(fù)制功能，通過自動(dòng)化和透明的故障轉(zhuǎn)移與故障恢復(fù)簡化管理。如果有一個(gè)存儲(chǔ)節(jié)點(diǎn)脫機(jī)，它就會(huì)從脫機(jī)時(shí)間開始跟蹤數(shù)據(jù)變化；當(dāng)節(jié)點(diǎn)重新聯(lián)機(jī)時(shí)，變更的數(shù)據(jù)塊就會(huì)恢復(fù)到當(dāng)前水平。經(jīng)濟(jì)實(shí)惠的企業(yè)級(jí)存儲(chǔ)功能和全面的特性集橫向擴(kuò)展存儲(chǔ)集群允許將多個(gè)存儲(chǔ)節(jié)點(diǎn)整合到共享存儲(chǔ)池中。會(huì)聚所有可用的容量和性能，用于集群中的每個(gè)卷。隨著存儲(chǔ)需求的增長，存儲(chǔ)組件可在線橫向擴(kuò)展性能和容量。網(wǎng)絡(luò)RAID可跨存儲(chǔ)節(jié)點(diǎn)集群分割和保護(hù)多份數(shù)據(jù)副本，從而消除存儲(chǔ)組件中的任何單點(diǎn)故障。應(yīng)用程序在發(fā)生電源、網(wǎng)絡(luò)、磁盤、控制器、存儲(chǔ)節(jié)點(diǎn)或站點(diǎn)故障的情況下，具有連續(xù)的數(shù)據(jù)可用性。多站點(diǎn)SAN可用性使存儲(chǔ)組件能夠?qū)⒓褐械拇鎯?chǔ)節(jié)點(diǎn)分配到不同的地點(diǎn)〔機(jī)架、機(jī)房、建筑和城市〕，并提供無縫的應(yīng)用高可用性，跨不同地點(diǎn)自動(dòng)實(shí)現(xiàn)故障轉(zhuǎn)移/故障恢復(fù)。無須預(yù)留快照，實(shí)現(xiàn)精簡配置，只分配寫入數(shù)據(jù)所需的空間，無需預(yù)分配存儲(chǔ)容量，從而提高存儲(chǔ)組件的整體利用率和效率。云資源統(tǒng)一概覽增加VmwarevCenter資源VmwarevCenter資源概覽增加組織：使用vCenter資源云網(wǎng)絡(luò)管理秉承“融合、智能、開放”的IT管理理念，H3C推出基于iMC智能管理中心統(tǒng)一平臺(tái)的全系列產(chǎn)品和解決方案，為客戶提供端到端的管理業(yè)務(wù)流程，實(shí)現(xiàn)了業(yè)務(wù)、資源和用戶的深度融合管理，使客戶真正做到了“精細(xì)IT、智能掌控”。作為H3CNGIP戰(zhàn)略的重要組成局部，H3C業(yè)務(wù)軟件產(chǎn)品依托開放架構(gòu)，以業(yè)務(wù)為導(dǎo)向，實(shí)現(xiàn)智能融合和協(xié)同聯(lián)動(dòng)，將各個(gè)業(yè)務(wù)模塊進(jìn)行端到端整合，提供端到端的精細(xì)化業(yè)務(wù)管理：數(shù)據(jù)中心管理領(lǐng)域，提供一體化、可視化的根底設(shè)施管理，虛擬化、自動(dòng)化的資