云計算管理平臺技術(shù)方案

云計算管理平臺

技術(shù)方案

目錄

一、背景介紹.......................................................4

二、云計算管理平臺整體架構(gòu)...........................................4

2.1物理層總體設(shè)計..............................................................6

2.1.1云平臺的互聯(lián)網(wǎng)出口介紹...................................................8

2.1.2業(yè)務(wù)應(yīng)用區(qū).............................................................8

2.1.3管理和服務(wù)區(qū).............................................................9

2.L4云數(shù)據(jù)庫區(qū),............................................................10

2.1.5備份存儲區(qū).............................................................10

2.1.6核心交換區(qū)..............................................................12

2.1.7云安全訪問控制區(qū)........................................................13

2.1.8物理設(shè)備選型原則........................................................14

2.2資源抽象和控制層...........................................................15

2.2.1計算資源池設(shè)計..........................................................15

2.2.2存儲資源池構(gòu)建..........................................................21

2.2.3網(wǎng)絡(luò)資源池構(gòu)建..........................................................24

224虛擬化管理平臺...........................................................27

2.3云服務(wù)層...................................................................31

23.1laaS服務(wù)...............................................................31

2.3.2多租戶組織架構(gòu)..........................................................33

233虛擬數(shù)據(jù)中心............................................................33

2.3.4云服務(wù)使用流程..........................................................39

2.3.5云服務(wù)的申請與審批......................................................40

2.3.6云服務(wù)交付..............................................................42

2.3.7云安全服務(wù)交付.........................................................54

2.3.8云負(fù)載均衡服務(wù)交付......................................................55

2.3.9云數(shù)據(jù)庫服務(wù)交付,.......................................................57

2.4云運維層...................................................................62

2.4.1云運維平臺整體架構(gòu)......................................................62

2.4.2云平臺分級管理..........................................................64

2.4.3設(shè)備管理................................................................65

2.4.4資源管理................................................................81

245資源編排.................................................................93

2.4.6資源監(jiān)控................................................................99

247用戶管理................................................................106

248流程管理................................................................109

2.4.9日志管理...............................................................113

2410報表管理...............................................................113

2.4.11計費策略管理..........................................................117

2.5云安全層..................................................................118

2.5.1云安全需求及邊界劃分...................................................118

2.5.2云邊界安全防護(hù)需求.....................................................119

2.5.3云內(nèi)部安全防護(hù)需求,....................................................119

2.5.4云安全體系架構(gòu).........................................................120

2.6云備份方案.................................................................123

2.6.1備份架構(gòu)設(shè)計,..........................................................123

262存儲備價................................................................124

2.6.3云數(shù)據(jù)備份.............................................................127

2.6.4云主機備份.............................................................132

2.6.5云數(shù)據(jù)庫備份...........................................................136

2.6.6備份策略...............................................................142

一、背景介紹

云計算是計算機科學(xué)和互聯(lián)網(wǎng)技術(shù)進(jìn)一步融合發(fā)展口勺產(chǎn)物，也是引領(lǐng)未來信息產(chǎn)業(yè)創(chuàng)新

的關(guān)鍵戰(zhàn)略性技術(shù)和手段。云計算在教育領(lǐng)域應(yīng)用前景廣闊，未來將在促進(jìn)教育公平、降低

教育成本、變革教學(xué)活動方式、提高管理效率和助推終身教育等五個方面對教育產(chǎn)生深遠(yuǎn)影

響。

云計算本質(zhì)是將計算任務(wù)分布在大量計算機構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)

需要獲取計算力、存儲空間和各種軟件服務(wù)。微軟把云計算定義在云+端、軟件+服務(wù)上；谷

歌(Googe)認(rèn)為，云計算就是以公開的標(biāo)準(zhǔn)和服務(wù)為基礎(chǔ)，以互聯(lián)網(wǎng)為中心，提供安全、快

速、便捷的數(shù)據(jù)存儲和網(wǎng)絡(luò)計算服務(wù)；IBM則認(rèn)為云計算是一個虛擬化的計算機資源池，一

種新的IT資源提供模式。雖然他們對云計算的定義不同，但認(rèn)識較一致的地方是：云計算

即“按需服務(wù)”，將數(shù)據(jù)存儲和計算能力作為可以通過互聯(lián)網(wǎng)來獲取的“服務(wù)”向客戶提供。

二、云計算管理平臺整體架構(gòu)

云計算管理平臺整體架構(gòu)圖如下圖所示:

(

I?

^口助阻第口尸如

-r

■DDO31

璘

—

云M

溪(電有］［行政*此］［叱了百］［［砒謖)K

/漏

■費

〔

的

層

您

L露I方息隊列］(斷M何11］［如S交觸F臺1［不友測認(rèn)率W］名

頊

/管

矗［云壬機］［云為＜］［五底時［詡火叫住負(fù)助馳|(司*|建

游

運

〕

L行

前

〔

云

監(jiān)

用

r云

安

控

戶

■神K

全

-JfflWilB理加游出口6個分布，防錯及1

-X務(wù)

防資閑資源池責(zé)瀘汕更痢貨源

k維

L—__?____^抽軟管

獨

護(hù)*-1

而理

絲

r虛擬化化pu/認(rèn)行］［共*A.］［4-i/i.一?r動.芻澧油］歷砧金?控制層父

褓

內(nèi)梭五化題蹩群瀛欣逢也

'SoIIJI1IJIJ3第

隊

證Ml

市

計tr&!

物T

理

數(shù)

泥

層

街

傘

安

?

理

)

圖1.云管理平臺整體架構(gòu)圖

整體分為六大部分:

1、物理層

物理層包括運行云管理平臺運行所需的云數(shù)據(jù)中心機房運行環(huán)境，以及計算、存儲、網(wǎng)

絡(luò)、安全等設(shè)備。云中心機房的部署按照分區(qū)設(shè)計，主要分為數(shù)據(jù)庫區(qū)、業(yè)務(wù)應(yīng)用區(qū)、存儲

區(qū)、系統(tǒng)管理區(qū)、網(wǎng)絡(luò)出口區(qū)和安全緩沖區(qū)等區(qū)域。

2、資源抽象與控制層

資源抽象與控制層通過虛擬化技術(shù)，負(fù)責(zé)對底層硬件資源進(jìn)行抽象，對底層硬件故障進(jìn)

行屏蔽，統(tǒng)一調(diào)度計算、存儲、網(wǎng)絡(luò)、安全資源池。其核心是虛擬化內(nèi)核，該內(nèi)核提供主機

CPU、內(nèi)存、10的虛擬化,通過共享文件系統(tǒng)保證云主機的遷移、HA集群和動態(tài)資源調(diào)度。

同時通過分布式交換機實現(xiàn)多租戶的虛擬化層的網(wǎng)絡(luò)隔離。在存儲資源池的構(gòu)建上，采用分

布式存儲技術(shù)，實現(xiàn)對服務(wù)硬盤的虛擬化整合，并通過多副本（3-5份）技術(shù)保證存儲數(shù)據(jù)

的高可靠。

3、云服務(wù)層

云服務(wù)層提供laaS層云服務(wù)：

laaS服務(wù)：包括云主機、云存儲（云數(shù)據(jù)盤、對象存儲）、云數(shù)據(jù)庫服務(wù)、云防火墻、

云負(fù)載均衡和云網(wǎng)絡(luò)（租戶子網(wǎng)/IP/域名等）。laaS層服務(wù)向PaaS層、SaaS層提供開放

API接口調(diào)用。

云服務(wù)通過自助服務(wù)門戶，向租戶提供自助的線上全流程自動化交付。用戶可以在自助

服務(wù)門戶上進(jìn)行服務(wù)的申請，完成審批后相應(yīng)的云資源海會交付給用戶遠(yuǎn)程控制使用。

4、云安全防護(hù)

云安全防護(hù)為物理層、資源抽象與控制層、云服務(wù)層提供全方位的安全防護(hù)，包括防

DDoS攻擊、漏洞掃描、主機防御、網(wǎng)站防御、租戶隔離、認(rèn)證與審計、數(shù)據(jù)安全等模塊。

5、云運維層

此模塊為云平臺運維管理員提供設(shè)備管理、配置管理、鏡像管理、備份管理、日志管理、

監(jiān)控與報表等，滿足云平臺的日常運營維護(hù)需求。

6、云服務(wù)管理

此模塊主要面向云管理員，對云平臺提供給租戶的云服務(wù)進(jìn)行配置與管理，包括服務(wù)目

錄的發(fā)布，組織架構(gòu)的定義，租戶管理、云業(yè)務(wù)流程定制設(shè)計以及資源的配額與計費策略定

義等。

2.1物理層總體設(shè)計

基礎(chǔ)設(shè)施層拓?fù)淙缦?

圖云計算數(shù)據(jù)中心拓?fù)鋱D

物理資源層應(yīng)包括運行云平臺所需的機房運行環(huán)境，以及計算、存儲和網(wǎng)絡(luò)等設(shè)備。主

要分為業(yè)務(wù)應(yīng)用區(qū)、云數(shù)據(jù)庫區(qū)、備份存儲區(qū)、管理和服務(wù)區(qū)、核心交換區(qū)和云安全訪問控

制區(qū)。物理組網(wǎng)示意圖，如下圖所示：

s

s

§

圖表物理組網(wǎng)示意圖

實際組網(wǎng)拓?fù)淙缦聢D所示：

10G10G/1061G

DOuS加量清麥卜[a

云安全訪問控制M?，：I-)

'(WQ.xrt1)?1][Cote1ICoiet

__J_J*__L--L-L,_,.二J

u

住&

」

戶，產(chǎn)m=

二主可隼名總￡主祖中，2；

務(wù)應(yīng)闞區(qū)（2^名份存脩區(qū)

圖表實際組網(wǎng)拓?fù)?/p>

2.1.1云平臺的互聯(lián)網(wǎng)出口介紹

2.L2業(yè)務(wù)應(yīng)用區(qū)

主要用于部署承載業(yè)務(wù)應(yīng)用的物理服務(wù)器，通過提供大內(nèi)存性物理服務(wù)器，配置為2

路INTELXeonE5-2620CPI（6核，主頻2.0GHz）,內(nèi)存96GB,硬盤2*300GSAS+6*900GSAS,

2G高速緩存，作為計算單元，同時，利用服務(wù)器本地硬盤，結(jié)合H3CvStor零存儲解決方

案來滿足業(yè)務(wù)應(yīng)用的存儲需求，物理組網(wǎng)示意圖如下圖所示：

圖表業(yè)務(wù)應(yīng)用區(qū)

如圖所示組網(wǎng)，單臺物理服務(wù)器分別連接四個不同的網(wǎng)絡(luò)：

1、業(yè)務(wù)網(wǎng)絡(luò)：服務(wù)器網(wǎng)卡上聯(lián)H3cS5820V2接入交換機，提供業(yè)務(wù)數(shù)據(jù)訪問網(wǎng)絡(luò)；

2、管理網(wǎng)絡(luò)：服務(wù)器網(wǎng)卡上聯(lián)113cS5120Hl接入交換機，通過系統(tǒng)管理區(qū)相應(yīng)管理軟

件實現(xiàn)虛擬化平臺管理、網(wǎng)絡(luò)管理、H3CCSM管理等；

3、存儲網(wǎng)絡(luò)：通過連接H3cs6300萬兆電口接入交換機，實現(xiàn)不同區(qū)域不同物理主機

之間存儲網(wǎng)絡(luò)的互通；

4、服務(wù)器帶外管理網(wǎng)絡(luò):通過服務(wù)器帶外管理iLO口上聯(lián)H3cS5120HI交換機，形成

跨交換機帶外管理網(wǎng)絡(luò)集群，方便運維人員以服務(wù)器集群為單位對硬件進(jìn)行統(tǒng)一管理配置。

2.1.3管理和服務(wù)區(qū)

部署云管理平臺、網(wǎng)絡(luò)管理平臺、虛擬化管理平臺等管理服務(wù)器，硬件同樣采用大內(nèi)存

性2路物理服務(wù)器，通過對云管理平臺、網(wǎng)絡(luò)管理平臺、虛擬化管理平臺等軟件的部署，實

現(xiàn)對底層資源的合理管控，保障業(yè)務(wù)運行的可靠性、可月性，合理的分配資源，通過自動化

的運維管理，提升客戶IT人員的運維管理效率，物理組網(wǎng)如下圖所示：

?數(shù)據(jù)庫管理

?H3C云管

理平臺

?OpenStac

k計算詈理

節(jié)點

?對象存儲管

理

云服務(wù)管噂群

圖表物理組網(wǎng)圖

從業(yè)務(wù)管理可靠性來分析，系統(tǒng)管理區(qū)各管理平臺部署分為兩大類，硬件支撐系統(tǒng)和虛

擬支撐系統(tǒng)。

硬件支撐系統(tǒng)主要是考慮到業(yè)務(wù)管理平臺的重要性和可靠性，故直接采用物理服務(wù)器作

為支撐平臺，包括：

1、H3CCVM雙機集群：通過CVM主機實現(xiàn)對虛機的管理運維，采用雙機熱備的形式，

保證CVM管理平臺的可靠性

2、H3CCSM雙機集群：通過CSM主機實現(xiàn)對大云平臺的管理運維，采用雙機熱備的形

式，保證CSM管理平臺的可靠性

虛機支撐系統(tǒng)是指在虛擬化環(huán)境下，直接將管理平臺部署在虛機上，建立統(tǒng)一的云服務(wù)

管理集群，通過虛擬化軟件來保證各管理平臺的可靠性，在這個集群內(nèi)主要運行以下幾個系

統(tǒng)：

>數(shù)據(jù)庫管理：主要內(nèi)容包括數(shù)據(jù)庫的建立、調(diào)整、重構(gòu)、安全控制、完整性控制和

對用戶提供技術(shù)支持。

>H3c云管理平臺：實現(xiàn)網(wǎng)絡(luò)拓?fù)?、故障、性能、配置、安全等管理功能?/p>

>OpenStack計算管理節(jié)點：對下層虛擬化計算資源進(jìn)行管理調(diào)度。

>對象存儲管理：靜態(tài)數(shù)據(jù)的存儲、檢索、預(yù)覽，數(shù)據(jù)的持久性和可擴展性管理。

2.1.4云數(shù)據(jù)庫區(qū)

部署承載數(shù)據(jù)庫服務(wù)為物理服務(wù)器，對于部分高性能數(shù)據(jù)庫可直接部署在物理主機上，

逋過配置4路INTELXeor.E5-4620CPU（核數(shù)8核，主頻2.2GHz）,64G內(nèi)存,2*300GB

硬盤的高性能物理服務(wù)器，來滿足客戶對于數(shù)據(jù)庫系統(tǒng)的承載需求。對于性能要求不高的數(shù)

據(jù)庫服務(wù)，以虛擬機方式部署交付。數(shù)據(jù)庫服務(wù)區(qū)通過部署高性能的FC存儲，來滿足客戶

關(guān)鍵業(yè)務(wù)的數(shù)據(jù)存儲以及對數(shù)據(jù),物理組網(wǎng)如下圖所示:

管理網(wǎng)絡(luò)

S582OV2-52QF存儲網(wǎng)絡(luò)

H3CP8200

FCStorage

圖表云數(shù)據(jù)庫區(qū)

2.1.5備份存儲區(qū)

通過部署高性能存儲設(shè)備以及專業(yè)的備份管理軟件，實現(xiàn)對云主機&云存儲區(qū)以及云數(shù)

據(jù)庫區(qū)的數(shù)據(jù)的備份，保障業(yè)務(wù)數(shù)據(jù)的高可靠性，物理組網(wǎng)如下圖所示:

圖表備份存儲區(qū)組網(wǎng)拓?fù)?/p>

采用1臺物理服務(wù)器作為備份管理服務(wù)器，利用H3CFlexSlorageP5730存儲作為數(shù)據(jù)

備份介質(zhì)。

H3CFlexStorageP5730存儲是一款橫向擴展存儲平臺，專為滿足虛擬化環(huán)境不斷變化

的需求而設(shè)計。它提供了完美的解決方案：可滿足高可用性、數(shù)據(jù)移動性、災(zāi)難恢復(fù)、可管

理性及升級等方面的需求，

借助本身的企業(yè)級存儲軟件功能和領(lǐng)先的虛擬化軟件集成，F(xiàn)lexStorage可為各個階段

的虛擬化增長提供支持。直觀、普遍的管理方式簡化了存儲管理。此外，F(xiàn)lexStorage還支

持?jǐn)?shù)據(jù)跨不同層、位置以及在物理和虛擬存儲之間移動，為用戶的虛擬化環(huán)境提供了完美的

應(yīng)用。

H3CFlexStorageP5730是一款專門為客戶設(shè)計的機架式IP存儲產(chǎn)品，通過全面的企

業(yè)特性組合幫助物理和虛擬環(huán)境降低SAN成本，

?通過建立存儲集群和網(wǎng)絡(luò)RAID,通過網(wǎng)絡(luò)RAID可在存儲系統(tǒng)內(nèi)的RAID磁盤組出

現(xiàn)故障、整個存儲系統(tǒng)出現(xiàn)故障或者出現(xiàn)網(wǎng)絡(luò)或電源等方面的外部故障時提供保

護(hù)

?可擴展的性能，無中斷式升級

-集中的管理控制臺

?快照、遠(yuǎn)程拷貝可降低災(zāi)難恢復(fù)的成本

2.L6核心交換區(qū)

通過物理網(wǎng)絡(luò)設(shè)備N：1虛擬化技術(shù)，簡化生成樹協(xié)議的部署，實現(xiàn)云數(shù)據(jù)中心內(nèi)的大二

層網(wǎng)絡(luò)互通，為云主機的自動化遷移與調(diào)度提供環(huán)境支承。同時在核心層旁掛LB,對各分

區(qū)進(jìn)行安全訪問控制，物理組網(wǎng)如下圖所示，

圖表核心交換區(qū)

核心交換區(qū)的主要功能是完成各服務(wù)器功能分區(qū)、廠域網(wǎng)、互聯(lián)網(wǎng)之間數(shù)據(jù)流量的高速

交換，是廣域/局域縱向流量與服務(wù)功能分區(qū)間橫向流量的交匯點。核心交換區(qū)必須具備高

速轉(zhuǎn)發(fā)的能力，同時還需要有很強的擴展能力，以便應(yīng)對未來業(yè)務(wù)的快速增長。

如圖所示，核心區(qū)由H3csi2510-X組成。使用鞋路聚合技術(shù)合并多個10GE端口，提供

兩交換機之間的連通性。核心區(qū)交換機連接到所有其他區(qū)的邊緣設(shè)備，既可以是一對HA方

式的交換機，也可以是一對HA方式的防火墻。有兩類連接到核心，一類是來自交換機（比

如業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)）的連接，另一類是用防火墻連接（互聯(lián)網(wǎng)接入?yún)^(qū)）。每個區(qū)邊緣交換

機都上行連接到Core-SWl和Core-SW2。每個區(qū)交換機將使用單獨的VLAN,VLAN跨越兩個

交換機，上行連接到核心，成對且以高可用性方式部署的防火墻將有一個VLAN,這個VLAN

跨越兩個核心交換機上行連接，并每個都連接到一個核心。每個上行連接VLAN都在兩個交

換機中配置。

同時，在核心接入交換機旁掛LB負(fù)載均衡設(shè)備，支持全面的四至七層負(fù)載均衡和鏈路

負(fù)載均衡功能，支持IPv6基礎(chǔ)特性及IPv6的負(fù)載均衡，并配合云數(shù)據(jù)中心實現(xiàn)虛擬化環(huán)

境下針對關(guān)鍵業(yè)務(wù)的動態(tài)資源擴展，動態(tài)應(yīng)對突發(fā)業(yè)務(wù)訪問量所帶來的資源瓶頸，提高業(yè)務(wù)

運維的效率。

2.L7云安全訪問控制區(qū)

此區(qū)域是邏輯區(qū)域，用于部署與互聯(lián)網(wǎng)公有云、廣域網(wǎng)接入?yún)^(qū)進(jìn)行數(shù)據(jù)交互的安全隔離

設(shè)備，確保數(shù)據(jù)訪問安全，包括設(shè)置網(wǎng)絡(luò)隔離、防DDoS攻擊設(shè)備、防火墻、IPS、端口安全

檢測等。保證物理網(wǎng)絡(luò)安全性的同時，通過虛擬化技術(shù)，實現(xiàn)在虛擬化環(huán)境下數(shù)據(jù)訪問的安

全控制，物理組網(wǎng)如下圖所示：

03000){2心E珞-

云安全訪問控制區(qū)

(M9006)[M9006J

核心交換區(qū)

圖表云安全訪問控制區(qū)

此區(qū)域?qū)崿F(xiàn)的功能：

LDD0S流量清洗：對進(jìn)入云數(shù)據(jù)中心的數(shù)據(jù)流量使行實時監(jiān)控，及時發(fā)現(xiàn)包括DDS攻

擊在內(nèi)的異常流量。在不影響正常業(yè)務(wù)的前提IS清洗控異常流量。有效滿足用戶對右數(shù)據(jù)

中心運作連續(xù)性的要求。同時通過時間通告、分析報表等服務(wù)內(nèi)容提升用戶網(wǎng)絡(luò)流量的可見

性和安全狀況的清晰性。

2、訪問控制：利用防火墻實現(xiàn)云數(shù)據(jù)中心的整體安全防護(hù)；同時為每個申請安全服務(wù)

的租戶提供獨立的vFW服務(wù)，實現(xiàn)租戶業(yè)務(wù)的隔離需求。

3、入侵防御：通過SecBladeIPS插卡，可為數(shù)據(jù)中心內(nèi)部提供了更堅固的安全保護(hù)機

制。通過IPS的深度檢測功能可以有效保護(hù)內(nèi)部服務(wù)器避免受到病毒、蠕蟲、程序漏洞等來

自應(yīng)用層的安全威脅。

2.L8物理設(shè)備選型原則

根據(jù)實際業(yè)務(wù)需求和上述配置原則，物理設(shè)備選型遵循以下要求：

物理服務(wù)器的選型：

1）常規(guī)大內(nèi)存型應(yīng)用，主要用于承載業(yè)務(wù)系統(tǒng)的云主機服務(wù)，采用2路CPU服務(wù)器,

CPU核數(shù)26核，配置E5-2620及以上的CPU；內(nèi)存296G；

2）高計算型應(yīng)用，主要用于數(shù)據(jù)庫服務(wù)等，采用4路CPU服務(wù)器，CPU核數(shù)28核,

配置E5-4620及以上的CPU；內(nèi)存264G；

數(shù)據(jù)庫區(qū)FC存儲選型：

1）存儲設(shè)備支持：FC光纖通道存儲設(shè)備

2）支持?jǐn)?shù)據(jù)分層存儲，可以在SSD、15K、10K、7.2K硬盤之間動態(tài)遷移數(shù)據(jù)；

3）單臺陣列要求配置22個SAN存儲節(jié)點或控制器；

4）實際配置前端口24個；后端口速率26GbSAS接口；配置10k門加900sAs硬盤,

容量260TB

備份IP存儲選型：

1）配置三90T總?cè)萘?；存儲陣列支持無限個Lun,每卷支持無限個快照；

2）本次配置24個控制器，所配磁盤陣列可在線疔展至232個控制器，不會導(dǎo)致業(yè)

務(wù)中斷；

3）支持跨存儲設(shè)備的RA100/1/5/6/10；

分布式存儲選型：

1）支持2-5個數(shù)據(jù)副本，存儲最大容量可擴展至1PB以上；

2）支持最大256個節(jié)點，支持存儲節(jié)點容錯，任意一個存儲節(jié)點發(fā)生故障，都不會

導(dǎo)致數(shù)據(jù)丟失；

3）擴容新增存儲節(jié)點時，原有數(shù)據(jù)自動重新分布，按負(fù)教均衡原則分布到新增存儲

空間中。

4）配置H400T容量

網(wǎng)絡(luò)設(shè)備選型：

1）核心交換機：交換容量217.5Tbps,包轉(zhuǎn)發(fā)率25000Mpps；采用主控引擎、交換

引繁、接口單亓硬件槽位分離的全分布式架構(gòu)：支持1：N、N：l、縱向虎擬化：支

持云中心大二層互聯(lián)技術(shù)。

2）服務(wù)器千兆接入交換機，交換容量2300Gbps,轉(zhuǎn)發(fā)性能2160Mpps。

3）服務(wù)器萬兆接入交換機，交換容量21200Gbps，轉(zhuǎn)發(fā)性能2700Mpps；支持802.1Qbg

標(biāo)準(zhǔn)協(xié)議；支持全萬兆線速轉(zhuǎn)發(fā)，40GE上連。

4）負(fù)載均衡，支持全面的四至七層負(fù)載均衡和鏈路負(fù)載均衡功能，支持IPv6基礎(chǔ)特

性及IPv6的負(fù)載均衡。

5）防火墻，采用核心交換機相同的架構(gòu)，支持N：1安全集群來統(tǒng)一配置管理；支持

虛擬防火墻功能，支持IPv6基礎(chǔ)特性。

6）入侵防御，通過國際權(quán)威安全組織（通用漏洞披露組織）兼容性認(rèn)證，支持深入

七層的分析檢測技術(shù)，并能主動防御。

2.2資源抽象和控制層

2.2.1計算資源池設(shè)計

服務(wù)器是云計算平臺的核心，其承擔(dān)著云計算平臺的“計算”功能。對于云計算平臺上

的服務(wù)器，通常都是將相同或者相似類型的服務(wù)器組合在一起，作為資源分配的母體，即所

謂的服務(wù)器資源池。在這個服務(wù)器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以

一種云主機的方式被不同的應(yīng)用和不同用戶使用。在x86系列的服務(wù)器上，其主要是以

II3Cloud云主機的形式存在。后續(xù)的方案描述中，都以云主機進(jìn)行描述，如下為113c虛擬化

軟件的構(gòu)成。

?CVK：CloudVirtualizationKernel,虛擬化內(nèi)核平臺

運行在基礎(chǔ)設(shè)施層和上層操作系統(tǒng)之間的“元”操作系統(tǒng)，用于協(xié)調(diào)上層操作系統(tǒng)對底

層硬件資源的訪問，減輕軟件對硬件設(shè)備以及驅(qū)動的依賴性，同時對虛擬化運行環(huán)境中的硬

件兼容性、高可靠性、高可用性、可擴展性、性能優(yōu)化等問題進(jìn)行加固處理。

?CVM：CloudVirtualizationManager,虛擬化管理系統(tǒng)

主要實現(xiàn)對數(shù)據(jù)中心內(nèi)的計算、網(wǎng)絡(luò)和存儲等硬件資源的軟件虛擬化，形成虛擬資源池,

對上層應(yīng)用提供自動化服務(wù)。其業(yè)務(wù)范圍包括：虛擬計算、虛擬網(wǎng)絡(luò)、虛擬存儲、高可靠性

（HA）、動態(tài)資源調(diào)度（DRS）、云主機容災(zāi)與備份、云主機模板管理、集群文件系統(tǒng)、虛擬

交換機策略等。

采用H3c的CAS虛擬化平臺對多臺服務(wù)器虛擬化后，連接到共享存儲，構(gòu)建成計算資源

池，通過網(wǎng)絡(luò)按需為用戶提供計算資源服務(wù)。同一個資源池內(nèi)的云主機可在資源池內(nèi)的物理

服務(wù)器上動態(tài)漂移，實現(xiàn)資源的動態(tài)調(diào)配。

CAS產(chǎn)品邏輯架構(gòu)圖如下所示：

圖表CAS產(chǎn)品邏輯架構(gòu)

計算資源池的構(gòu)建可以采用以下四個步鞭完成：計算資源池分類設(shè)計、主機池設(shè)計、集

群設(shè)計、云主機設(shè)計四個部分完成。

1）計算資源池分類設(shè)計

在搭建服務(wù)器資源池之前，首先應(yīng)該確定資源池的數(shù)量和種類，并對服務(wù)器進(jìn)行歸類。

歸類的標(biāo)準(zhǔn)通常是根據(jù)服務(wù)器的CPU類型、型號、配置、物理位置和用途來決定。對云計算

平臺而言，屬于同一個資源池的服務(wù)器，通常就會將其視為一組可互相替代的資源。所以，

一般都是將相同處理器、相近型號系列并且配置與物理位置接近的服務(wù)器一一比如相近型號、

物理距離不遠(yuǎn)的機架式服務(wù)器。在做資源池規(guī)劃的時候，也需要考慮其規(guī)模和功用。如果單

個資源池的規(guī)模越大，可以給云計算平臺提供更大的靈活性和容錯性：更多的應(yīng)用可以部署

在上面，并且單個物理服務(wù)器的宕機對整個資源池的影響會更小些。但是同時，太大的規(guī)模

也會紿出口網(wǎng)絡(luò)吞吐帶來更大的壓力，各個不同應(yīng)用之間的干擾也會更大。

初期的資源池規(guī)劃應(yīng)該涵蓋所有可能被納管到云計算平臺的所有服務(wù)器資源，包括那些

為搭建云計算平臺新購置為服務(wù)器、用戶內(nèi)部那些目前閑置著的服務(wù)器以及那些現(xiàn)有的并正

在運行著業(yè)務(wù)應(yīng)用的服務(wù)器。在云計算平臺搭建的初期，那些目前正在為業(yè)務(wù)系統(tǒng)服務(wù)的服

務(wù)器并不會直接被納入云計算平臺的管轄。但是隨著云計算平臺的上線和業(yè)務(wù)系統(tǒng)的逐漸遷

移，這些服務(wù)器也將逐漸地被并入云計算平臺的資源池中。

針對用戶的需要，我們按照用途將云計算資源池劃分為云主機&云存儲區(qū)資源池、管理

和服務(wù)區(qū)資源池，以便云計算平臺項目實施過程以及平臺上線以后運維過程中使用。

在云計算平臺搭建完畢以后，服務(wù)器資源池可以如下圖所示：

云主&U云管理和

云存儲使■務(wù)區(qū)修

?治I?他

計算資源池

圖表云計算濟(jì)源池

H3CCVU虛擬化管理平臺體系將云計算資源池的物理服務(wù)器資源以樹形結(jié)構(gòu)進(jìn)行組織管

理，云資源中的被管理對象之間的關(guān)系可以用下圖描述：

完成在云計算軟件體系架構(gòu)中，主機池是一系列主機和集群的集合體，主機可納入群集

中，也可單獨存在。沒有加入集群的主機全部在主機池中進(jìn)行管理。

3）集群設(shè)計

集群目的是使用戶可以像管理單個實體一樣輕松地管理多個主機和云主機，從而降低管

理的復(fù)雜度，同時，通過定時對集群內(nèi)的主機和云主機狀態(tài)進(jìn)行監(jiān)測，如果一臺服務(wù)器主機

出現(xiàn)故障，運行于這臺主機上的所有云主機都可以在集群中的其它主機上重新啟動，保證了

數(shù)據(jù)中心業(yè)務(wù)的連續(xù)性。

4）云主機設(shè)計

每臺云主機都是一個完整的系統(tǒng)，它具有CPU、內(nèi)存、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備和BIOS,

因此操作系統(tǒng)和應(yīng)用程序在云主機中的運行方式與它們在物理服務(wù)器上的運行方式?jīng)]有任

何區(qū)別。與物理服務(wù)器相比，云主機具有如下優(yōu)勢：

?在標(biāo)準(zhǔn)的x86物理服務(wù)器上運行。

?可訪問物理服務(wù)器的所有資源（如CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)設(shè)備和外圍設(shè)備），任

何應(yīng)用程序都可以在云主機中運行。

?默認(rèn)情況，云主機之間完全隔離，從而實現(xiàn)安全的數(shù)據(jù)處理、網(wǎng)絡(luò)連接和數(shù)據(jù)存

儲。

?可與其它云主機共存于同一臺物理服務(wù)器，從而達(dá)到充分利用硬件資源的目的。

?云主機鏡像文件與應(yīng)用程序都可以封裝于文件之中，通過簡單的文件復(fù)制便可實

現(xiàn)云主機的部署、備份以及還原。

?具有可移動的靈巧特點，可以便捷地將整個云主機系統(tǒng)（包括虛擬硬件、操作系

統(tǒng)和配置好的應(yīng)用程序）在不同的物理服務(wù)器之間進(jìn)行遷移，甚至還可以在云主

機正在運行的情況下進(jìn)行遷移。

?可將分布式資源管理與高可用性結(jié)合到一起，從而為應(yīng)用程序提供比靜態(tài)物理基

礎(chǔ)架構(gòu)更高的服務(wù)優(yōu)先級別。

?可作為即插即用的虛擬工具（包含整套虛擬硬件、操作系統(tǒng)和配置好的應(yīng)用程序）

進(jìn)行構(gòu)建和分發(fā)，從而實現(xiàn)快速部署。

在計算資源池中，一般物理服務(wù)器與云主機的整合比平均不超過1:8、單臺物理服務(wù)器

上所有云主機vCPU之和不超過物理機總內(nèi)核的1.5倍、單臺物理服務(wù)器上所有云主機內(nèi)存

之和不超過物理內(nèi)存的120%。

在構(gòu)建完計算資源池后，軟件本身還需要保證整個計算資源池及應(yīng)用的易用性和可靠性,

II3CCAS虛擬化軟件通過以下技術(shù)實現(xiàn)可用性和可靠性的要求：

5）云主機模板設(shè)計

云主機模板包括云主機的vCPU、內(nèi)存等參數(shù)，主機根據(jù)主要應(yīng)用系統(tǒng)負(fù)載量的不同提

供不同的規(guī)格。

在采用云計算來向用戶交付服務(wù)時，用戶通過云門戶自助申請的IT服務(wù)資源就是業(yè)務(wù)

應(yīng)用模板，因此需要提前設(shè)計好相應(yīng)的IT服務(wù)模板向云門戶發(fā)布，當(dāng)用戶申請該服務(wù)時,

云平臺根據(jù)模板進(jìn)行資源編排，快速生成云主機相關(guān)資源交付給用戶使用。

6）高可用性設(shè)計

高可用性包括兩個方面：

1.云主機之間的隔離：每個云主機之間可以做到隔離保護(hù)，其中一個云主機發(fā)生故障不

會影響同一個物理機上的其他云主機；

2.物理機發(fā)生故障不會影響應(yīng)用：故障物理機上運行的云主機可被自動遷移接管，即云

主機可以在同一集群內(nèi)的多臺服務(wù)器之間進(jìn)行遷移，從而實現(xiàn)多臺物理服務(wù)器的之間的相互

熱備，實現(xiàn)當(dāng)其中一個物理服務(wù)器發(fā)生故障時，自動將其上面的云主機切換到其他的服務(wù)器,

應(yīng)用在物理機宕機情況下保證零停機。

H3CCAS虛擬化平臺HA功能會監(jiān)控該集群下所有的主機和物理主機內(nèi)運行的虛擬主機。

當(dāng)物理主機發(fā)生故障，出現(xiàn)宕機時，HA功能組件會立即響應(yīng)并在集群內(nèi)另一臺主機上重啟

該物理主機內(nèi)運行的云主機。當(dāng)某一發(fā)生故障時，HA功能也會自動的將該云主機重新啟動

來恢復(fù)中斷的業(yè)務(wù)。

7）動態(tài)資源調(diào)度

動態(tài)資源調(diào)度功能可以持續(xù)不斷地監(jiān)控計算資源池的各物理主機的利用率，并能夠根據(jù)

用戶業(yè)務(wù)的實際需要，智能地在計算資源池各物理主機間給虛擬機分配所需的計算資源。通

過自動的動態(tài)分配和平衡計算資源，動態(tài)資源調(diào)整特性能夠：整合服務(wù)器，降低1T成本，

增強靈活性；減少停機時間，保持業(yè)務(wù)的持續(xù)性和穩(wěn)定性；減少需要運行服務(wù)器的數(shù)量，提

高能源的利用率。

動態(tài)資源調(diào)度功能組件可以自動并持續(xù)地平衡計算資源池中的容量，可以動態(tài)的將云主

機遷移到有更多可用計算資源的主機上，以滿足虛擬機對計算資源的需求。即便大量運行

SQLServer的虛擬機，只要開啟了動態(tài)資源調(diào)整功能，就不必再對CPU和內(nèi)存的瓶頸進(jìn)行

一一監(jiān)測。全自動化的資源分配和負(fù)載平衡功能，也可以顯著地提升數(shù)據(jù)中心內(nèi)計算資源的

利用效率，降低數(shù)據(jù)中心為成本與運營費用。

如上圖所不，動態(tài)資源調(diào)整功能通過心跳機制，定時監(jiān)測集群內(nèi)主機的CPU利用率，并

根據(jù)用戶自定義的規(guī)則來判斷是否需要為該主機在集群內(nèi)尋找有更多可用資源的主機，以將

該主機上的云主機遷移到另外一臺具有更多合適資源的服務(wù)器上。

8）動態(tài)資源擴展特性

計算虛擬化簡化了部署業(yè)務(wù)服務(wù)器的流程和具體工蚱，極大的縮短了新業(yè)務(wù)服務(wù)器的部

署周期，使得通過快速增減業(yè)務(wù)服務(wù)器來應(yīng)對業(yè)務(wù)訪問量的突發(fā)性變化成為可能。因此，部

署了區(qū)業(yè)務(wù)環(huán)境的用戶開始考慮采用動態(tài)部署方式來應(yīng)對業(yè)務(wù)訪問的突發(fā)性需求。但采用動

態(tài)資源部署方式的一個不能忽略的前提是：IT管理人員能夠?qū)I(yè)務(wù)訪問量的突發(fā)性變化具

備很強的敏感性，并且能夠迅速采取應(yīng)對措施。但當(dāng)前的IT基礎(chǔ)架構(gòu)中，業(yè)務(wù)負(fù)載監(jiān)控平

臺、虛擬服務(wù)器管理平臺和業(yè)務(wù)分發(fā)的系統(tǒng)之間往往是割裂的，沒有整合形成統(tǒng)一方案。IT

管理人員在感知到業(yè)務(wù)訪問變化時，只能通過手工進(jìn)行虛擬服務(wù)器的增減和在業(yè)務(wù)分發(fā)系統(tǒng)

的相應(yīng)配置。這無疑缺乏靈活性且效率低下。

針對這些需求，H3CCAS虛擬化平臺可以實現(xiàn)面向應(yīng)用的云動態(tài)資源擴展解決方案DRX,

如下圖所示。H3c虛擬化管理系統(tǒng)能夠監(jiān)測到業(yè)務(wù)所在云主機性能不足，并將云主機進(jìn)行快

速復(fù)制，配合負(fù)載均衡設(shè)備對外提供服務(wù)，當(dāng)訪問高峰過后，虛擬化管理系統(tǒng)能夠動態(tài)的收

縮，刪除過剩的云主機，從而實現(xiàn)計算資源隨需而動。

圖表動杰資源擴展示實現(xiàn)原理

2.2.2存儲資源池構(gòu)建

在云計算管理平臺的建設(shè)中，存儲資源池設(shè)計采用了H3c虛擬化存儲SAN?技術(shù)也就是

vStor,也稱零存儲。vStor融合了計算虛擬化和存儲虛擬化，將計算和存儲聚合到一個硬

件平臺，形成可橫向擴展(Scale-out)的云計算基礎(chǔ)架構(gòu)。在業(yè)務(wù)應(yīng)用區(qū)部署零存儲方案,

運行在這種架構(gòu)上的云主機不僅能夠象傳統(tǒng)層次架構(gòu)那洋支持"Motion、DRS、快照等，而

且數(shù)據(jù)不再經(jīng)過一個復(fù)雜為網(wǎng)絡(luò)傳遞，性能得到顯著提高。由于不再需要集中共享存儲設(shè)備,

整個云平臺基礎(chǔ)架構(gòu)得以扁平化，大大簡化了IT運維和管理。利用零存儲技術(shù)方案構(gòu)建云

平臺存儲資源池，有效利用服務(wù)器資源，降低能源消耗，幫助政府實現(xiàn)IT環(huán)境的節(jié)能減排。

零存儲技術(shù)方案的邏輯架構(gòu)如下圖所示。這種架構(gòu)的基本單元是部署了虛擬化系統(tǒng)的

x86標(biāo)準(zhǔn)服務(wù)器。在提供虛擬計算資源的同時，服務(wù)器上的空閑磁盤空間被組織起來形成一

個統(tǒng)一的虛擬共享存儲：虛擬存儲系統(tǒng)。虛擬化存儲在功能上與獨立共享存儲完全一致；同

時由于存儲與計算完全融合在一個硬件平臺上，無需象以往那樣購買連接計算服務(wù)器和存儲

設(shè)備的專用SAN網(wǎng)絡(luò)設(shè)備(FCSAN或者iSCSISAN)。

VMVMVMVMVMVMVMVMVMVM

VMVMVMVMVMVMVMVMVMVM

虛擬SAN

□□t■it

圖表虛擬化存儲解決方案示意圖

虛擬化存儲方案技術(shù)實現(xiàn)方案如下：

1）分布式LUN設(shè)計

在虛擬化存儲架構(gòu)中，每臺服務(wù)器同時也是一個存儲節(jié)點。除了安裝平臺軟件的系統(tǒng)盤

外，每個節(jié)點上的其他所有磁盤空間（包括系統(tǒng)盤的剩余分區(qū)）都能被用于虛擬化存儲。虛

擬化存儲會使整個LUN盡量均勻分布在所管理的全部節(jié)點和物理磁盤上，這樣的設(shè)計使得對

LUN的I/O操作能利用整個系統(tǒng)中全部節(jié)點和磁盤的性能。當(dāng)管理員創(chuàng)建一個LUN時，虛擬

化存儲并不會馬上為該LIN分配實際的物理存儲空間，而是采用精簡模式，在有數(shù)據(jù)寫入的

時候才分配存儲空間。精簡模式使用戶在存儲空間有限時，能按未來的業(yè)務(wù)發(fā)展需要提前規(guī)

劃LUN的容量。

2）高可用性設(shè)計

用戶可以根據(jù)業(yè)務(wù)需要為數(shù)據(jù)設(shè)置副本數(shù)量。虛擬化存儲支持用戶為每個LUN設(shè)置2

到5個副本，并且使得不同的副本分布在不同的服務(wù)器和物理磁盤上，從而提供最大的容錯

性。當(dāng)一個服務(wù)器故障，甚至多臺服務(wù)器故障時，虛擬化存儲仍能正常工作，而且數(shù)據(jù)不丟

失

3）高性能設(shè)計

虛擬化存儲采用分布式系統(tǒng)設(shè)計，其存儲容量和性能隨著服務(wù)器節(jié)點的增加而線性增加。

由于每個LU\都橫跨全部節(jié)點服務(wù)器和物理磁盤，所以每個LUN都可以利用全部服務(wù)器和物

理磁盤的性能，從而提供比傳統(tǒng)存儲更高的性能。下面圖示顯示虛擬化存儲的10PS和吞吐

能力隨節(jié)點服務(wù)器數(shù)量的增加而線性增加的狀態(tài)。

IOPS否H(MB/S)

in（in（）n

圖表IOPS隨著節(jié)點的增加線性增加

此外，不同于傳統(tǒng)RAID以專用空閑磁盤作為熱備，虛擬化存儲由系統(tǒng)自動提供熱備空

間，并且將熱備空間均勻分布在全部物理磁盤上。這樣當(dāng)數(shù)據(jù)重構(gòu)啟動后，全部節(jié)點服務(wù)器

及物理磁盤都可以參與重構(gòu)從而實現(xiàn)最佳的重構(gòu)效率。

可以在每個服務(wù)器節(jié)點上配置RAID卡緩存來增強I/O性能，根據(jù)存儲容量的不同可以

配置容量不等的RAID卡緩存。在追求更高性能的時候，還可以在每臺服務(wù)器上配置SSD固

態(tài)硬盤作為熱點數(shù)據(jù)高速緩存。

4）自動化管理設(shè)計

虛擬化存儲采用無中心架構(gòu)，每個節(jié)點服務(wù)器的角色完全一樣，這樣用戶無需象傳統(tǒng)分

布式存儲系統(tǒng)那樣管理元數(shù)據(jù)服務(wù)器。而且整個虛擬存儲系統(tǒng)的元數(shù)據(jù)采用分布式設(shè)七，由

系統(tǒng)自動管理，無需人工干預(yù)。

當(dāng)系統(tǒng)擴容時（比如增加物理磁盤或者增加服務(wù)器節(jié)點），用戶只需幾條簡單命令（通

過命令行或者圖形化管理界面）將物理部件加入集群，系統(tǒng)上原有的數(shù)據(jù)將自動重新均衡，

原有LUN將自動擴展到新的物理設(shè)備上。

虛擬化存儲具備強大的自愈能力，一般硬件故障無需人工干預(yù)。物理磁盤或者服務(wù)器節(jié)

點故障后，系統(tǒng)可在數(shù)秒內(nèi)自愈，自動恢復(fù)業(yè)務(wù)。

5）按需擴展

虛擬化存儲是一種可橫向擴展（Scale-out）的分布式架構(gòu)，當(dāng)云平臺需要更多計算和

存儲資源時，只需以服務(wù)器為單位進(jìn)行擴容，即能實現(xiàn)計算與存儲資源的同步擴展，而無需

象傳統(tǒng)存儲陣列那樣，哪怕是擴容一個硬盤，也需要再購買整套存儲設(shè)備。采用每次增加一

臺節(jié)點服務(wù)器的擴容方案，虛擬化存儲存儲容量可從幾個TB逐步擴展到幾千TB。新加入的

節(jié)點服務(wù)器將在業(yè)務(wù)不中新的情況下，自動納入統(tǒng)一資源池，極大縮短擴容部署時間。

6）管理簡便

虛擬化存儲系統(tǒng)采用采用無中心分布式架構(gòu)，無需人為設(shè)置管理節(jié)點，從而避免了傳統(tǒng)

集群存儲系統(tǒng)復(fù)雜的元數(shù)據(jù)服務(wù)器管理。系統(tǒng)具備強大的自愈能力，一般硬件故障無需人工

干預(yù)。一個節(jié)點故障后，系統(tǒng)能自動自愈，用戶只需選擇合適的時間窗口更換故障件即可使

整個系統(tǒng)恢復(fù)到原樣。當(dāng)增加一個服務(wù)器節(jié)點時?，無需中斷業(yè)務(wù)，該節(jié)點的存儲空間將自動

納入整個系統(tǒng)，系統(tǒng)中已有的數(shù)據(jù)將自動重新均衡分布。這一切都無需人工干預(yù)。

由于整個系統(tǒng)具備強大的自我管理能力，用戶在使月虛擬化存儲提供的存儲資源時，只

需簡單的創(chuàng)建、刪除存儲資源(iSCSITarget.LUN),查看存儲資源使用情況，以及通過日

志了解系統(tǒng)運行狀況，管理十分方便。

2.2.3網(wǎng)絡(luò)資源池構(gòu)建

服務(wù)器虛擬化技術(shù)的出現(xiàn)使得計算服務(wù)提供不再以主機為基礎(chǔ)，而是以云主機為單位來

提供，同時為了滿足同一物理服務(wù)器內(nèi)云主機之間的數(shù)據(jù)交換需求，服務(wù)器內(nèi)部引入了網(wǎng)絡(luò)

功能部件虛擬交換機vSwitch(VirtualSwitch),如下圖所示，虛擬交換機提供了云主機

之間、云主機與外部網(wǎng)絡(luò)之間的通訊能力。IEEE的802.1標(biāo)準(zhǔn)中，正式將“虛擬交換機”

命名為aVirtualEthernetBridge”,簡稱VEB,或稱vSwitch。

物理曜務(wù)R

包接交換機

圖表云主機交換網(wǎng)絡(luò)架構(gòu)

vSwitch的引入，給云平臺基礎(chǔ)網(wǎng)絡(luò)的運行帶來了以下兩大問題：

云主機的不可感知性問題

物理服務(wù)器與網(wǎng)絡(luò)的連接是通過鏈路狀態(tài)來體現(xiàn)的，但是當(dāng)服務(wù)器被虛擬化后，一個主

機內(nèi)同時運行大量的云主機，而此前的網(wǎng)絡(luò)面對這些云主機的創(chuàng)建與遷移、故障與恢復(fù)等運

行狀態(tài)完全不感知，同時對云主機也無法進(jìn)行實時網(wǎng)絡(luò)定位，當(dāng)云主機迂移時網(wǎng)絡(luò)配置也無

法進(jìn)行實時地跟隨，雖然有些數(shù)據(jù)鏡像、分析偵測技術(shù)可以局部感知云主機的變化，但總體

而言目前的云主機交換網(wǎng)絡(luò)架構(gòu)無法滿足虛擬化技術(shù)對網(wǎng)絡(luò)服務(wù)提出的要求。

為了解決上述問題，本次方窠的解決思路是將云主機的所有流量都引至外部接入交換機,

也就是華三的VEPA方案，此方案將所有的流量均經(jīng)過物理交換機，因此與云主機相關(guān)的流

量監(jiān)控、訪問控制策略和網(wǎng)絡(luò)配置遷移問題均能在物理交換機上得到很好的解決，此方案最

典型的代表是EVB標(biāo)準(zhǔn)。

802.IQbgEdgeVirtualBridging(EVB)是由H3c制定一個新標(biāo)準(zhǔn)，現(xiàn)已提交IEEEE02.1

工作組，并成為國際通用亦準(zhǔn)，主要用于解決vSwitch的上述局限性，其核心思想是：將云

主機產(chǎn)生的網(wǎng)絡(luò)流量全部交紿與服務(wù)器相連的物理交換磯進(jìn)行處理，即使同一臺物理服務(wù)器

云主機間的流量，也將發(fā)往外部物理交換機進(jìn)行查表處理，之后再180度調(diào)頭返回到物理服

務(wù)器,形成了所謂的“發(fā)卡彎”轉(zhuǎn)發(fā)模式，如下圖所示：

圖表EVB/VEPA基本架構(gòu)

EVB標(biāo)準(zhǔn)中定義了云主機與網(wǎng)絡(luò)之間的關(guān)聯(lián)標(biāo)準(zhǔn)協(xié)議，使得云主機在變更與遷移時通告

網(wǎng)絡(luò)及網(wǎng)管系統(tǒng)，從而可以借助此標(biāo)準(zhǔn)實現(xiàn)數(shù)據(jù)中心全網(wǎng)范圍的網(wǎng)絡(luò)配置變更自動化工作，

使得大規(guī)模的云主機云計算服務(wù)運營部署自動化能夠?qū)崿F(xiàn)。

將支持EVB的vSwitch嵌入虛擬化軟件，是為云平臺基礎(chǔ)架構(gòu)提供最優(yōu)化的虛擬化管理

技術(shù)方案，該產(chǎn)品通過將云平臺IT資源的整合，不僅能夠達(dá)到提高服務(wù)器利用率和降低整

體擁有成本的目的，而且能簡化勞動密集型和資源密集型IT操作，顯著提高系統(tǒng)管理員的

工作效率。

多租戶的隔離問題

由于云主機及服務(wù)器數(shù)量的增多，網(wǎng)絡(luò)技術(shù)方案需要保證多個租戶使用的資源能夠有效

的隔離，華三以O(shè)verlay的虛擬化方式用來支撐云與虛擬化的建設(shè)要求，并實現(xiàn)更大規(guī)模的

多租戶能力。

Overlay的本質(zhì)是L2OvcrIP的隧道技術(shù)，華三相應(yīng)的技術(shù)方案稱為Vxlan,目前在服

務(wù)器的vSwitch、物理網(wǎng)絡(luò)上技術(shù)框架已經(jīng)就緒。Vxlan網(wǎng)絡(luò)架構(gòu)有多種實現(xiàn)，就純大二層

的實現(xiàn)，可分為主機實現(xiàn)方式和網(wǎng)絡(luò)實現(xiàn)方式；而在最終實現(xiàn)Vxlan與網(wǎng)絡(luò)外部數(shù)據(jù)連通的

連接方式上，則有多種實現(xiàn)模式，并且對于關(guān)鍵網(wǎng)絡(luò)部件將有不同的技術(shù)要求，包括基于主

機的Vxlan虛擬化網(wǎng)絡(luò)、基于物理網(wǎng)絡(luò)的Vxlan虛擬化兩種大的實現(xiàn)方式。在已經(jīng)進(jìn)行虛擬

化的環(huán)境下我們將采用基于主機的Vxlan虛擬化網(wǎng)絡(luò)方案，如下圖所示：

圖表基于主機的Overlay虛擬化網(wǎng)絡(luò)

Vxlan運行在UDP上，物理網(wǎng)絡(luò)只要支持IP