集團(tuán)公司云計(jì)算平臺(tái)建設(shè)方案

集團(tuán)公司云計(jì)算平臺(tái)

技術(shù)方案

目錄

第1章總述.............................................................................5

第2章集團(tuán)公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)需求...................................................6

2.1傳統(tǒng)架構(gòu)存在的問題..............................................................6

2.2集團(tuán)公司數(shù)據(jù)中心目標(biāo)架構(gòu)........................................................7

2.3集團(tuán)公司數(shù)據(jù)中心設(shè)計(jì)目標(biāo).......................................................10

2.4集團(tuán)公司數(shù)據(jù)中心技術(shù)需求.......................................................10

2.4.1整合能力....................................................................11

2.4.2虛擬化能力..................................................................12

2.4.3自動(dòng)化能力..................................................................12

2.4.4綠色數(shù)據(jù)中心要求............................................................13

第3章集團(tuán)公司數(shù)據(jù)中心技術(shù)實(shí)現(xiàn).......................................................14

3.1整合能力.........................................................................14

3.1.1一體化交換技術(shù)...............................................................14

3.1.2無丟棄以太網(wǎng)技術(shù)............................................................15

3.1.3性能支撐能力................................................................17

3.1.4智能服務(wù)的整合能力..........................................................18

3.2虛擬化能力.......................................................................19

3.2.1虛擬交換技術(shù)...............................................................19

3.2.2網(wǎng)絡(luò)服務(wù)虛擬化.............................................................22

3.2.3服務(wù)器虛擬化...............................................................22

3.3自動(dòng)化...........................................................................24

3.4綠色數(shù)據(jù)中心.....................................................................25

第4章集團(tuán)公司云計(jì)算平臺(tái)網(wǎng)絡(luò)設(shè)計(jì)....................................................26

4.1總體網(wǎng)絡(luò)結(jié)構(gòu)...................................................................26

4.1.1層次化結(jié)構(gòu)的優(yōu)勢(shì)............................................................26

4.1.2標(biāo)準(zhǔn)的網(wǎng)絡(luò)分層結(jié)構(gòu).........................................................27

4.1.3集團(tuán)公司云計(jì)算平臺(tái)數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)........................................28

4.2數(shù)據(jù)中心核心層設(shè)計(jì).............................................................29

4.3數(shù)據(jù)中心分布層設(shè)計(jì).............................................................31

4.3.1數(shù)據(jù)中心分布層虛擬交換機(jī)..................................................31

4.3.2數(shù)據(jù)中心分布層智能服務(wù)機(jī)箱................................................32

4.4數(shù)據(jù)中心接入層設(shè)計(jì)..............................................................34

第5章應(yīng)用服務(wù)控制與負(fù)載均衡設(shè)計(jì)....................................................39

5.1功能介紹.......................................................................39

5.1.1基本功能...................................................................39

5.1.2應(yīng)用特點(diǎn)...................................................................41

5.2應(yīng)用優(yōu)化和負(fù)載均衡設(shè)計(jì)..........................................................47

5.2.1智能服務(wù)機(jī)箱設(shè)計(jì)...........................................................47

5.2.2應(yīng)用負(fù)載均衡的設(shè)計(jì).........................................................50

5.2.3安全功能的設(shè)計(jì)..............................................................55

5.2.4SSL分流設(shè)計(jì)................................................................58

5.2.5擴(kuò)展性設(shè)計(jì)..................................................................59

5.2.6高可用性設(shè)計(jì)................................................................61

第6章網(wǎng)絡(luò)安全設(shè)計(jì)...................................................................66

6.1網(wǎng)絡(luò)安全部署思路................................................................66

6.1.1網(wǎng)絡(luò)安全整體架構(gòu)............................................................66

6.1.2網(wǎng)絡(luò)平臺(tái)建設(shè)所必須考慮的安全問題...........................................68

6.2網(wǎng)絡(luò)設(shè)備級(jí)安全..................................................................69

6.2.1防蠕蟲病毒的等Dos攻擊.....................................................69

6.2.2防VLAN的脆弱性配置........................................................70

6.2.3防止DI1CP相關(guān)攻擊..........................................................72

6.3網(wǎng)絡(luò)級(jí)安全......................................................................73

6.3.1安全域的劃分...............................................................73

6.3.2防火墻部署設(shè)計(jì)..............................................................74

6.3.3防火墻策略設(shè)計(jì)..............................................................77

6.3.4防火墻性能和擴(kuò)展性設(shè)計(jì)......................................................78

6.4網(wǎng)絡(luò)的智能主動(dòng)防御..............................................................80

6.4.1網(wǎng)絡(luò)準(zhǔn)入控制................................................................81

6.4.2桌面安全管理................................................................82

6.4.3智能的監(jiān)控、分析和威脅響應(yīng)系統(tǒng).............................................85

6.4.4分布式威脅抑制系統(tǒng)..........................................................91

第7章服務(wù)質(zhì)量保證設(shè)計(jì)...............................................................94

7.1服務(wù)質(zhì)量保證設(shè)計(jì)分類...........................................................94

7.2數(shù)據(jù)中心服務(wù)質(zhì)量設(shè)計(jì)...........................................................94

7.2.1帶寬及設(shè)備吞吐量設(shè)計(jì)........................................................94

7.2.2低延遲設(shè)計(jì)..................................................................97

7.2.3無丟棄設(shè)計(jì)..................................................................99

第8章網(wǎng)絡(luò)管理和業(yè)務(wù)調(diào)度自動(dòng)化......................................................102

8.1MARS安全管理自動(dòng)化.............................................................102

8.2VFRAME業(yè)務(wù)部署自動(dòng)化............................................................103

第9章服務(wù)器（UCS）組件及高可用性..................................................104

9.1思科統(tǒng)一計(jì)算系統(tǒng)（UCS）簡(jiǎn)介...................................................104

9.2云計(jì)算的基礎(chǔ)——思科UCSMANAGER簡(jiǎn)介...........................................107

9.3云計(jì)算的擴(kuò)展一一數(shù)據(jù)中心的橫向擴(kuò)展............................................112

9.4云計(jì)算的安全一一純硬件級(jí)的容錯(cuò)................................................114

第10章兩種數(shù)據(jù)中心技術(shù)方案的綜合對(duì)比..............................................119

10.1技術(shù)方案對(duì)比...................................................................119

10.1.1傳統(tǒng)技術(shù)領(lǐng)域?qū)Ρ?.........................................................119

10.1.2下一代數(shù)據(jù)中心技術(shù)能力比較................................................121

10.2技術(shù)服務(wù)對(duì)比...................................................................124

10.3商務(wù)對(duì)比.......................................................................125

10.4總結(jié)...........................................................................126

第11章附錄：新一代數(shù)據(jù)中心產(chǎn)品介紹................................................127

11.1CiscoNEXUS7000系列10插槽交換機(jī)介紹.........................................127

11.2CiscoNEXUS5000/2000系列交換機(jī)介紹...........................................129

11.3CiscoNX-OS數(shù)據(jù)中心級(jí)操作系統(tǒng)簡(jiǎn)介.............................................135

第1章總述

為了進(jìn)一步提升客戶滿意度，為用戶提供更多增值服務(wù)，增強(qiáng)用

戶的產(chǎn)品忠誠度，需要為集團(tuán)公司包括電視機(jī)的客戶在內(nèi)提供多樣增

值應(yīng)用服務(wù)，首期考慮提供視頻點(diǎn)播服務(wù)，未來可提供電子商務(wù)等多

樣化應(yīng)用?？紤]到潛在客戶數(shù)較大，需要有一個(gè)健壯、有彈性和符合

未來趨勢(shì)變化的新一代系統(tǒng)架構(gòu)。

集團(tuán)公司電視機(jī)銷售量20年保持國內(nèi)市場(chǎng)第一，尤其是網(wǎng)絡(luò)電視

穩(wěn)居第一，潛在用戶數(shù)在數(shù)十萬以上，為此，需要在綿陽建設(shè)一個(gè)可

以充分面對(duì)未來應(yīng)用和用戶發(fā)展的新一代數(shù)據(jù)中心，同時(shí)在用戶集中

的城市的運(yùn)營商托管服務(wù)器，充分利用流量分發(fā)和站點(diǎn)自動(dòng)選擇等技

術(shù)，確保應(yīng)用的最優(yōu)化。這也是一些大型網(wǎng)站采用的方案。

第2章集團(tuán)公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)需求

2.1傳統(tǒng)架構(gòu)存在的問題

集團(tuán)公司現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)采用傳統(tǒng)以太網(wǎng)技術(shù)構(gòu)建，隨著各類

業(yè)務(wù)應(yīng)用對(duì)IT需求的深入發(fā)展，業(yè)務(wù)部門對(duì)資源的需求正以幾何級(jí)數(shù)

增長(zhǎng)，傳統(tǒng)的IT基礎(chǔ)架構(gòu)方式給管理員和未來業(yè)務(wù)的擴(kuò)展帶來巨大挑

戰(zhàn)。具體而言存在如下問題：

?維護(hù)管理難：在傳統(tǒng)構(gòu)架的網(wǎng)絡(luò)中進(jìn)行業(yè)務(wù)擴(kuò)容、遷移或增加

新的服務(wù)功能越來越困難，每一次變更都將牽涉相互關(guān)聯(lián)的、

不同時(shí)期按不同初衷建設(shè)的多種物理設(shè)施，涉及多個(gè)不同領(lǐng)域、

不同服務(wù)方向，工作繁瑣、維護(hù)困難，而且容易出現(xiàn)漏洞和差

錯(cuò)。比如數(shù)據(jù)中心新增加一個(gè)業(yè)務(wù)類型，需要調(diào)整新的應(yīng)用訪

問控制需求，此時(shí)管理員不僅要了解新業(yè)務(wù)的邏輯訪問策略，

還要精通物理的防火墻實(shí)體的部署、連接、安裝，要考慮是增

加新的防火墻端口、還是需要添置新的防火墻設(shè)備，要考慮如

何以及何處接入，有沒有相應(yīng)的接口，如何跳線，以及隨之而

來的VLAN、路由等等，如果網(wǎng)絡(luò)中還有諸如地址轉(zhuǎn)換、7層交

換等等服務(wù)與之相關(guān)聯(lián)，那將是非常繁雜的任務(wù)。當(dāng)這樣的"

資源需求在短期內(nèi)累積，將極易在使得系統(tǒng)維護(hù)的質(zhì)量和穩(wěn)定

性下降，同時(shí)反過來減慢新業(yè)務(wù)的部署，進(jìn)而阻礙公司業(yè)務(wù)的

推進(jìn)和發(fā)展。

?資源利用率低：傳統(tǒng)架構(gòu)方式對(duì)底層資源的投入與在上層業(yè)務(wù)

所收到的效果很難得到同比發(fā)展，最普遍的現(xiàn)象就是忙的設(shè)備

不堪重負(fù)，閑的設(shè)備資源儲(chǔ)備過多，二者相互之間又無法借用

和共用。這是由于對(duì)底層網(wǎng)絡(luò)建設(shè)是以功能單元為中心進(jìn)行建

設(shè)的，并不考慮上層業(yè)務(wù)對(duì)底層資源調(diào)用的優(yōu)化，這使得對(duì)網(wǎng)

絡(luò)的投入往往無法取得同樣的業(yè)務(wù)應(yīng)用效果的改善，反而浪費(fèi)

了較多的資源和維護(hù)成本。

?服務(wù)策略不一致：傳統(tǒng)架構(gòu)最嚴(yán)重的問題是這種以孤立的設(shè)備

功能為中心的設(shè)計(jì)思路無法真正從整個(gè)系統(tǒng)角度制訂統(tǒng)一的服

務(wù)策略，比如安全策略、高可用性策略、業(yè)務(wù)優(yōu)化策略等等，

造成跨平臺(tái)策略的不一致性，從而難以將所投入的產(chǎn)品能力形

成合力為上層業(yè)務(wù)提供強(qiáng)大的服務(wù)支撐。

因此，按傳統(tǒng)底層基礎(chǔ)設(shè)施所提供的服務(wù)能力已無法適應(yīng)當(dāng)前業(yè)

務(wù)急劇擴(kuò)展所需的資源要求，本次數(shù)據(jù)中心建設(shè)必須從根本上改變傳

統(tǒng)思路，遵照一種嶄新的體系結(jié)構(gòu)思路來構(gòu)造新的數(shù)據(jù)中心IT基礎(chǔ)架

構(gòu)。

2.2集團(tuán)公司數(shù)據(jù)中心目標(biāo)架構(gòu)

面向服務(wù)的設(shè)計(jì)思想已經(jīng)成為Web2.0下解決來自業(yè)務(wù)變更、業(yè)務(wù)

急劇發(fā)展所帶來的資源和成本壓力的最佳途徑。從業(yè)務(wù)層面上主流的

IT廠商如IBM,BEA等就提出了摒棄傳統(tǒng)的“面向組件(Component)”

的開發(fā)方式，而轉(zhuǎn)向“面向服務(wù)”的開發(fā)方式，即應(yīng)用軟件應(yīng)當(dāng)看起

來是由相互獨(dú)立、松耦合的服務(wù)構(gòu)成，而不是對(duì)接口要求嚴(yán)格、變更

復(fù)雜、復(fù)用性差的緊耦合組件構(gòu)成，這樣可以以最小的變動(dòng)、最佳的

需求溝通方式來適應(yīng)不斷變化的業(yè)務(wù)需求增長(zhǎng)。鑒于此，集團(tuán)公司數(shù)

據(jù)中心業(yè)務(wù)應(yīng)用正在朝“面向服務(wù)的架構(gòu)ServiceOriented

Architecture(SOA)”轉(zhuǎn)型。與業(yè)務(wù)的SOA相適應(yīng)，集團(tuán)公司提出支

撐業(yè)務(wù)運(yùn)行的底層基礎(chǔ)設(shè)施也應(yīng)當(dāng)向“面向服務(wù)”的設(shè)計(jì)思想轉(zhuǎn)變，

構(gòu)造“面向服務(wù)的數(shù)據(jù)中心"(ServiceOrientedDataCenter,SODC)o

傳統(tǒng)組網(wǎng)觀念是根據(jù)功能需求的變化實(shí)現(xiàn)對(duì)應(yīng)的硬件功能盒子堆

砌而構(gòu)建企業(yè)網(wǎng)絡(luò)的，這非常類似于傳統(tǒng)軟件開發(fā)的組件堆砌，被已

經(jīng)證明為是一種較低效率的資源調(diào)用方式，而如果能夠?qū)⒄麄€(gè)網(wǎng)絡(luò)的

構(gòu)建看成是由封裝完好、相互耦合松散、但能夠被標(biāo)準(zhǔn)化和統(tǒng)一調(diào)度

的“服務(wù)”組成，那么業(yè)務(wù)層面的變更、物理資源的復(fù)用都將是輕而

易舉的事情。SODC就是要求當(dāng)SOA架構(gòu)下業(yè)務(wù)的變更，導(dǎo)致軟件部分

的服務(wù)模塊的組合變化時(shí)，松耦合的網(wǎng)絡(luò)服務(wù)也能根據(jù)應(yīng)用的變化自

動(dòng)實(shí)現(xiàn)重組以適配業(yè)務(wù)變更所帶來的資源要求的變化，而盡可能少的

減少復(fù)雜硬件的相關(guān)性，從運(yùn)行維護(hù)、資源復(fù)用效率和策略一致性上

徹底解決傳統(tǒng)設(shè)計(jì)帶來的頑疾。

具體而言SODC應(yīng)形成這樣的資源調(diào)用方式:底層資源對(duì)于上層應(yīng)

用就象由服務(wù)構(gòu)成的“資源池”，需要什么服務(wù)就自動(dòng)的會(huì)由網(wǎng)絡(luò)調(diào)

用相關(guān)物理資源來實(shí)現(xiàn)，管理員和業(yè)務(wù)用戶不需要或幾乎可以看不見

物理設(shè)備的相互架構(gòu)關(guān)系以及具體存在方式。SODC的框架原型應(yīng)如下

所示：

應(yīng)用層

?

交互服務(wù)層

彌

貴

應(yīng)用網(wǎng)絡(luò)服務(wù)瞅

蒯

例

基礎(chǔ)架構(gòu)服務(wù)蜘

皿

.

在圖中，隔在物理架構(gòu)和用戶之間的“交互服務(wù)層”實(shí)現(xiàn)了向上

提供服務(wù)、向下屏蔽復(fù)雜的物理結(jié)構(gòu)的作用，使得網(wǎng)絡(luò)使用者看到的

網(wǎng)絡(luò)不是由復(fù)雜的基礎(chǔ)物理功能實(shí)體構(gòu)成的，而是一個(gè)個(gè)智能服務(wù)一

一安全服務(wù)、移動(dòng)服務(wù)、計(jì)算服務(wù)、存儲(chǔ)服務(wù)……等等，至于這些服

務(wù)是由哪些實(shí)際存在的物理資源所提供，管理員和上層業(yè)務(wù)都無需關(guān)

心，交互服務(wù)層解決了一切資源的調(diào)度和高效復(fù)用問題。

SODC和SOA構(gòu)成的數(shù)據(jù)中心IT架構(gòu)必將是整個(gè)數(shù)據(jù)中心未來發(fā)

展的趨勢(shì)，雖然實(shí)現(xiàn)真正理想的SODC和SOA融合的架構(gòu)將是一個(gè)長(zhǎng)期

的歷程，但在向該融合框架邁進(jìn)的每一步實(shí)際上都將會(huì)形成對(duì)網(wǎng)絡(luò)靈

活性、網(wǎng)絡(luò)維護(hù)、資源利用效率、投資效益等等方面的巨大改善。因

此集團(tuán)公司本次數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)，要求盡可能的遵循如上所述的

新一代面向服務(wù)的數(shù)據(jù)中心設(shè)計(jì)框架。

2.3集團(tuán)公司數(shù)據(jù)中心設(shè)計(jì)目標(biāo)

在基于SODC的設(shè)計(jì)框架下，集團(tuán)公司新一代數(shù)據(jù)中心應(yīng)實(shí)現(xiàn)如下

設(shè)計(jì)目標(biāo)：

?簡(jiǎn)化管理：使上層業(yè)務(wù)的變更作用于物理設(shè)施的復(fù)雜度降低，

能夠最低限度的減少了物理資源的直接調(diào)度，使維護(hù)管理的難

度和成本大大降低。

?高效復(fù)用：使得物理資源可以按需調(diào)度，物理資源得以最大限

度的重用，減少建設(shè)成本，提高使用效率。即能夠?qū)崿F(xiàn)總硬件

資源占用量降低了，而每個(gè)業(yè)務(wù)得到的服務(wù)反而更有充分的資

源保證了。

?策略一致：降低具體設(shè)備個(gè)體的策略復(fù)雜性，最大程度的在設(shè)

備層面以上建立統(tǒng)一、抽象的服務(wù)，每一個(gè)被充分抽象的服務(wù)

都按找上層調(diào)用的目標(biāo)進(jìn)行統(tǒng)一的規(guī)范和策略化，這樣整個(gè)IT

將可以達(dá)到理想的服務(wù)規(guī)則和策略的一致性。

2.4集團(tuán)公司數(shù)據(jù)中心技術(shù)需求

SODC架構(gòu)是一種資源調(diào)度的全新方式，資源被調(diào)用方式是面向服

務(wù)而非象以前一樣面向復(fù)雜的物理底層設(shè)施進(jìn)行設(shè)計(jì)的，而其中交互

服務(wù)層是基于服務(wù)調(diào)用的關(guān)鍵環(huán)節(jié)。交互服務(wù)層的形成是由網(wǎng)絡(luò)智能

化進(jìn)一步發(fā)展而實(shí)現(xiàn)的，它是底層的物理網(wǎng)絡(luò)通過其內(nèi)在的智能服務(wù)

功能，使得其上的業(yè)務(wù)層面看不到底層復(fù)雜的結(jié)構(gòu)，不用關(guān)心資源的

物理調(diào)度，從而最大化的實(shí)現(xiàn)資源的共享和復(fù)用。要形成SODC要求的

交互服務(wù)層，必須對(duì)網(wǎng)絡(luò)提出以下要求：

2.4.1整合能力

SODC要求將數(shù)據(jù)中心所需的各種資源實(shí)現(xiàn)基于網(wǎng)絡(luò)的整合，這是

后續(xù)上層業(yè)務(wù)能看到底層網(wǎng)絡(luò)提供各類SODC服務(wù)的基礎(chǔ)。整合的概念

不是簡(jiǎn)單的功能增多，雖然整合化的一個(gè)體現(xiàn)是很多獨(dú)立設(shè)備的功能

被以特殊硬件的方式整合到網(wǎng)絡(luò)設(shè)備中，但其真正的核心思想是將資

源盡可能集中化以便于跨平臺(tái)的調(diào)用，而物理存在方式則可自由的根

據(jù)需要而定。

數(shù)據(jù)中心網(wǎng)絡(luò)所必須提供的資源包括：

?智能業(yè)務(wù)網(wǎng)絡(luò)所必須的智能功能，比如服務(wù)質(zhì)量保證、安全訪

問控制、設(shè)備智能管理等等；

?數(shù)據(jù)中心的三大資源網(wǎng)絡(luò)：高性能計(jì)算網(wǎng)絡(luò)；存儲(chǔ)交換網(wǎng)絡(luò)；