集團公司云計算平臺建設方案

集團公司云計算平臺

技術方案

目錄

第1章總述.............................................................................5

第2章集團公司數(shù)據(jù)中心網(wǎng)絡建設需求...................................................6

2.1傳統(tǒng)架構存在的問題..............................................................6

2.2集團公司數(shù)據(jù)中心目標架構........................................................7

2.3集團公司數(shù)據(jù)中心設計目標.......................................................10

2.4集團公司數(shù)據(jù)中心技術需求.......................................................10

2.4.1整合能力....................................................................11

2.4.2虛擬化能力..................................................................12

2.4.3自動化能力..................................................................12

2.4.4綠色數(shù)據(jù)中心要求............................................................13

第3章集團公司數(shù)據(jù)中心技術實現(xiàn).......................................................14

3.1整合能力.........................................................................14

3.1.1一體化交換技術...............................................................14

3.1.2無丟棄以太網(wǎng)技術............................................................15

3.1.3性能支撐能力................................................................17

3.1.4智能服務的整合能力..........................................................18

3.2虛擬化能力.......................................................................19

3.2.1虛擬交換技術...............................................................19

3.2.2網(wǎng)絡服務虛擬化.............................................................22

3.2.3服務器虛擬化...............................................................22

3.3自動化...........................................................................24

3.4綠色數(shù)據(jù)中心.....................................................................25

第4章集團公司云計算平臺網(wǎng)絡設計....................................................26

4.1總體網(wǎng)絡結構...................................................................26

4.1.1層次化結構的優(yōu)勢............................................................26

4.1.2標準的網(wǎng)絡分層結構.........................................................27

4.1.3集團公司云計算平臺數(shù)據(jù)中心網(wǎng)絡結構........................................28

4.2數(shù)據(jù)中心核心層設計.............................................................29

4.3數(shù)據(jù)中心分布層設計.............................................................31

4.3.1數(shù)據(jù)中心分布層虛擬交換機..................................................31

4.3.2數(shù)據(jù)中心分布層智能服務機箱................................................32

4.4數(shù)據(jù)中心接入層設計..............................................................34

第5章應用服務控制與負載均衡設計....................................................39

5.1功能介紹.......................................................................39

5.1.1基本功能...................................................................39

5.1.2應用特點...................................................................41

5.2應用優(yōu)化和負載均衡設計..........................................................47

5.2.1智能服務機箱設計...........................................................47

5.2.2應用負載均衡的設計.........................................................50

5.2.3安全功能的設計..............................................................55

5.2.4SSL分流設計................................................................58

5.2.5擴展性設計..................................................................59

5.2.6高可用性設計................................................................61

第6章網(wǎng)絡安全設計...................................................................66

6.1網(wǎng)絡安全部署思路................................................................66

6.1.1網(wǎng)絡安全整體架構............................................................66

6.1.2網(wǎng)絡平臺建設所必須考慮的安全問題...........................................68

6.2網(wǎng)絡設備級安全..................................................................69

6.2.1防蠕蟲病毒的等Dos攻擊.....................................................69

6.2.2防VLAN的脆弱性配置........................................................70

6.2.3防止DI1CP相關攻擊..........................................................72

6.3網(wǎng)絡級安全......................................................................73

6.3.1安全域的劃分...............................................................73

6.3.2防火墻部署設計..............................................................74

6.3.3防火墻策略設計..............................................................77

6.3.4防火墻性能和擴展性設計......................................................78

6.4網(wǎng)絡的智能主動防御..............................................................80

6.4.1網(wǎng)絡準入控制................................................................81

6.4.2桌面安全管理................................................................82

6.4.3智能的監(jiān)控、分析和威脅響應系統(tǒng).............................................85

6.4.4分布式威脅抑制系統(tǒng)..........................................................91

第7章服務質(zhì)量保證設計...............................................................94

7.1服務質(zhì)量保證設計分類...........................................................94

7.2數(shù)據(jù)中心服務質(zhì)量設計...........................................................94

7.2.1帶寬及設備吞吐量設計........................................................94

7.2.2低延遲設計..................................................................97

7.2.3無丟棄設計..................................................................99

第8章網(wǎng)絡管理和業(yè)務調(diào)度自動化......................................................102

8.1MARS安全管理自動化.............................................................102

8.2VFRAME業(yè)務部署自動化............................................................103

第9章服務器（UCS）組件及高可用性..................................................104

9.1思科統(tǒng)一計算系統(tǒng)（UCS）簡介...................................................104

9.2云計算的基礎——思科UCSMANAGER簡介...........................................107

9.3云計算的擴展一一數(shù)據(jù)中心的橫向擴展............................................112

9.4云計算的安全一一純硬件級的容錯................................................114

第10章兩種數(shù)據(jù)中心技術方案的綜合對比..............................................119

10.1技術方案對比...................................................................119

10.1.1傳統(tǒng)技術領域?qū)Ρ?.........................................................119

10.1.2下一代數(shù)據(jù)中心技術能力比較................................................121

10.2技術服務對比...................................................................124

10.3商務對比.......................................................................125

10.4總結...........................................................................126

第11章附錄：新一代數(shù)據(jù)中心產(chǎn)品介紹................................................127

11.1CiscoNEXUS7000系列10插槽交換機介紹.........................................127

11.2CiscoNEXUS5000/2000系列交換機介紹...........................................129

11.3CiscoNX-OS數(shù)據(jù)中心級操作系統(tǒng)簡介.............................................135

第1章總述

為了進一步提升客戶滿意度，為用戶提供更多增值服務，增強用

戶的產(chǎn)品忠誠度，需要為集團公司包括電視機的客戶在內(nèi)提供多樣增

值應用服務，首期考慮提供視頻點播服務，未來可提供電子商務等多

樣化應用?？紤]到潛在客戶數(shù)較大，需要有一個健壯、有彈性和符合

未來趨勢變化的新一代系統(tǒng)架構。

集團公司電視機銷售量20年保持國內(nèi)市場第一，尤其是網(wǎng)絡電視

穩(wěn)居第一，潛在用戶數(shù)在數(shù)十萬以上，為此，需要在綿陽建設一個可

以充分面對未來應用和用戶發(fā)展的新一代數(shù)據(jù)中心，同時在用戶集中

的城市的運營商托管服務器，充分利用流量分發(fā)和站點自動選擇等技

術，確保應用的最優(yōu)化。這也是一些大型網(wǎng)站采用的方案。

第2章集團公司數(shù)據(jù)中心網(wǎng)絡建設需求

2.1傳統(tǒng)架構存在的問題

集團公司現(xiàn)有數(shù)據(jù)中心網(wǎng)絡采用傳統(tǒng)以太網(wǎng)技術構建，隨著各類

業(yè)務應用對IT需求的深入發(fā)展，業(yè)務部門對資源的需求正以幾何級數(shù)

增長，傳統(tǒng)的IT基礎架構方式給管理員和未來業(yè)務的擴展帶來巨大挑

戰(zhàn)。具體而言存在如下問題：

?維護管理難：在傳統(tǒng)構架的網(wǎng)絡中進行業(yè)務擴容、遷移或增加

新的服務功能越來越困難，每一次變更都將牽涉相互關聯(lián)的、

不同時期按不同初衷建設的多種物理設施，涉及多個不同領域、

不同服務方向，工作繁瑣、維護困難，而且容易出現(xiàn)漏洞和差

錯。比如數(shù)據(jù)中心新增加一個業(yè)務類型，需要調(diào)整新的應用訪

問控制需求，此時管理員不僅要了解新業(yè)務的邏輯訪問策略，

還要精通物理的防火墻實體的部署、連接、安裝，要考慮是增

加新的防火墻端口、還是需要添置新的防火墻設備，要考慮如

何以及何處接入，有沒有相應的接口，如何跳線，以及隨之而

來的VLAN、路由等等，如果網(wǎng)絡中還有諸如地址轉(zhuǎn)換、7層交

換等等服務與之相關聯(lián)，那將是非常繁雜的任務。當這樣的"

資源需求在短期內(nèi)累積，將極易在使得系統(tǒng)維護的質(zhì)量和穩(wěn)定

性下降，同時反過來減慢新業(yè)務的部署，進而阻礙公司業(yè)務的

推進和發(fā)展。

?資源利用率低：傳統(tǒng)架構方式對底層資源的投入與在上層業(yè)務

所收到的效果很難得到同比發(fā)展，最普遍的現(xiàn)象就是忙的設備

不堪重負，閑的設備資源儲備過多，二者相互之間又無法借用

和共用。這是由于對底層網(wǎng)絡建設是以功能單元為中心進行建

設的，并不考慮上層業(yè)務對底層資源調(diào)用的優(yōu)化，這使得對網(wǎng)

絡的投入往往無法取得同樣的業(yè)務應用效果的改善，反而浪費

了較多的資源和維護成本。

?服務策略不一致：傳統(tǒng)架構最嚴重的問題是這種以孤立的設備

功能為中心的設計思路無法真正從整個系統(tǒng)角度制訂統(tǒng)一的服

務策略，比如安全策略、高可用性策略、業(yè)務優(yōu)化策略等等，

造成跨平臺策略的不一致性，從而難以將所投入的產(chǎn)品能力形

成合力為上層業(yè)務提供強大的服務支撐。

因此，按傳統(tǒng)底層基礎設施所提供的服務能力已無法適應當前業(yè)

務急劇擴展所需的資源要求，本次數(shù)據(jù)中心建設必須從根本上改變傳

統(tǒng)思路，遵照一種嶄新的體系結構思路來構造新的數(shù)據(jù)中心IT基礎架

構。

2.2集團公司數(shù)據(jù)中心目標架構

面向服務的設計思想已經(jīng)成為Web2.0下解決來自業(yè)務變更、業(yè)務

急劇發(fā)展所帶來的資源和成本壓力的最佳途徑。從業(yè)務層面上主流的

IT廠商如IBM,BEA等就提出了摒棄傳統(tǒng)的“面向組件(Component)”

的開發(fā)方式，而轉(zhuǎn)向“面向服務”的開發(fā)方式，即應用軟件應當看起

來是由相互獨立、松耦合的服務構成，而不是對接口要求嚴格、變更

復雜、復用性差的緊耦合組件構成，這樣可以以最小的變動、最佳的

需求溝通方式來適應不斷變化的業(yè)務需求增長。鑒于此，集團公司數(shù)

據(jù)中心業(yè)務應用正在朝“面向服務的架構ServiceOriented

Architecture(SOA)”轉(zhuǎn)型。與業(yè)務的SOA相適應，集團公司提出支

撐業(yè)務運行的底層基礎設施也應當向“面向服務”的設計思想轉(zhuǎn)變，

構造“面向服務的數(shù)據(jù)中心"(ServiceOrientedDataCenter,SODC)o

傳統(tǒng)組網(wǎng)觀念是根據(jù)功能需求的變化實現(xiàn)對應的硬件功能盒子堆

砌而構建企業(yè)網(wǎng)絡的，這非常類似于傳統(tǒng)軟件開發(fā)的組件堆砌，被已

經(jīng)證明為是一種較低效率的資源調(diào)用方式，而如果能夠?qū)⒄麄€網(wǎng)絡的

構建看成是由封裝完好、相互耦合松散、但能夠被標準化和統(tǒng)一調(diào)度

的“服務”組成，那么業(yè)務層面的變更、物理資源的復用都將是輕而

易舉的事情。SODC就是要求當SOA架構下業(yè)務的變更，導致軟件部分

的服務模塊的組合變化時，松耦合的網(wǎng)絡服務也能根據(jù)應用的變化自

動實現(xiàn)重組以適配業(yè)務變更所帶來的資源要求的變化，而盡可能少的

減少復雜硬件的相關性，從運行維護、資源復用效率和策略一致性上

徹底解決傳統(tǒng)設計帶來的頑疾。

具體而言SODC應形成這樣的資源調(diào)用方式:底層資源對于上層應

用就象由服務構成的“資源池”，需要什么服務就自動的會由網(wǎng)絡調(diào)

用相關物理資源來實現(xiàn)，管理員和業(yè)務用戶不需要或幾乎可以看不見

物理設備的相互架構關系以及具體存在方式。SODC的框架原型應如下

所示：

應用層

?

交互服務層

彌

貴

應用網(wǎng)絡服務瞅

蒯

例

基礎架構服務蜘

皿

.

在圖中，隔在物理架構和用戶之間的“交互服務層”實現(xiàn)了向上

提供服務、向下屏蔽復雜的物理結構的作用，使得網(wǎng)絡使用者看到的

網(wǎng)絡不是由復雜的基礎物理功能實體構成的，而是一個個智能服務一

一安全服務、移動服務、計算服務、存儲服務……等等，至于這些服

務是由哪些實際存在的物理資源所提供，管理員和上層業(yè)務都無需關

心，交互服務層解決了一切資源的調(diào)度和高效復用問題。

SODC和SOA構成的數(shù)據(jù)中心IT架構必將是整個數(shù)據(jù)中心未來發(fā)

展的趨勢，雖然實現(xiàn)真正理想的SODC和SOA融合的架構將是一個長期

的歷程，但在向該融合框架邁進的每一步實際上都將會形成對網(wǎng)絡靈

活性、網(wǎng)絡維護、資源利用效率、投資效益等等方面的巨大改善。因

此集團公司本次數(shù)據(jù)中心的網(wǎng)絡建設，要求盡可能的遵循如上所述的

新一代面向服務的數(shù)據(jù)中心設計框架。

2.3集團公司數(shù)據(jù)中心設計目標

在基于SODC的設計框架下，集團公司新一代數(shù)據(jù)中心應實現(xiàn)如下

設計目標：

?簡化管理：使上層業(yè)務的變更作用于物理設施的復雜度降低，

能夠最低限度的減少了物理資源的直接調(diào)度，使維護管理的難

度和成本大大降低。

?高效復用：使得物理資源可以按需調(diào)度，物理資源得以最大限

度的重用，減少建設成本，提高使用效率。即能夠?qū)崿F(xiàn)總硬件

資源占用量降低了，而每個業(yè)務得到的服務反而更有充分的資

源保證了。

?策略一致：降低具體設備個體的策略復雜性，最大程度的在設

備層面以上建立統(tǒng)一、抽象的服務，每一個被充分抽象的服務

都按找上層調(diào)用的目標進行統(tǒng)一的規(guī)范和策略化，這樣整個IT

將可以達到理想的服務規(guī)則和策略的一致性。

2.4集團公司數(shù)據(jù)中心技術需求

SODC架構是一種資源調(diào)度的全新方式，資源被調(diào)用方式是面向服

務而非象以前一樣面向復雜的物理底層設施進行設計的，而其中交互

服務層是基于服務調(diào)用的關鍵環(huán)節(jié)。交互服務層的形成是由網(wǎng)絡智能

化進一步發(fā)展而實現(xiàn)的，它是底層的物理網(wǎng)絡通過其內(nèi)在的智能服務

功能，使得其上的業(yè)務層面看不到底層復雜的結構，不用關心資源的

物理調(diào)度，從而最大化的實現(xiàn)資源的共享和復用。要形成SODC要求的

交互服務層，必須對網(wǎng)絡提出以下要求：

2.4.1整合能力

SODC要求將數(shù)據(jù)中心所需的各種資源實現(xiàn)基于網(wǎng)絡的整合，這是

后續(xù)上層業(yè)務能看到底層網(wǎng)絡提供各類SODC服務的基礎。整合的概念

不是簡單的功能增多，雖然整合化的一個體現(xiàn)是很多獨立設備的功能

被以特殊硬件的方式整合到網(wǎng)絡設備中，但其真正的核心思想是將資

源盡可能集中化以便于跨平臺的調(diào)用，而物理存在方式則可自由的根

據(jù)需要而定。

數(shù)據(jù)中心網(wǎng)絡所必須提供的資源包括：

?智能業(yè)務網(wǎng)絡所必須的智能功能，比如服務質(zhì)量保證、安全訪

問控制、設備智能管理等等；

?數(shù)據(jù)中心的三大資源網(wǎng)絡：高性能計算網(wǎng)絡；存儲交換網(wǎng)絡；