1、数据中心解决方案 前言 数据中心(Data Center,DC )是数据大集中而形成的集成IT应用环境,是各种IT应用业务的提供中心,是数据计算、网络传输、存储的中心。数据中心实现了IT基础设施、业务应用、数据的统一、安全策略的统一部署与运维管理。 数据中心是当前运营商和各行业的IT建设重点。运营商、大型企业、金融证券、政府、能源、电力、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设,通过数据中心的建设,实现对IT信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT建设的TCO。 H3C长期致力于IP技术与产品的研究、开发、生产、销售及服务。
2、H3C不但拥有全线以太网交换机和路由器产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前,网络产品中国市场份额第一,安全产品中国市场份额位居三甲,IP存储亚太市场份额第一,IP监控技术全球领先,H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。 H3C长期保持对数据中心领域的关注,持续投入力量于数据中心解决方案的研发,融合了网络、安全、IP存储、软件管理系统、IP监控等产品的基于IToIP架构的数据中心解决方案,有效地解决了用户在数据中心建设中遇到的各种难题,已经在各行各业的数据中心建设中广泛应用。 基于H3C在数据通信领域
3、的长期研发与技术积累,纵观数据中心发展历程,数据中心的发展可分为四个层面: 数据中心基础网络整合:根据业务需求,基于开放标准的IP协议,完成对企业现有异构业务系统、网络资源和IT资源的整合,解决如何建设数据中心的问题。数据中心基础网络的设计以功能分区、网络分层和服务器分级为原则和特点。通过多种高可用技术和良好网络设计,实现数据中心可靠运行,保证业务的永续性; 数据中心应用智能:基于TCP/IP的开放架构,保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级,满足用户的多变需求,保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。 数据中心虚拟化:
4、传统的应用孤岛式的数据中心模型扩展性差,核心资源的分配与业务应用发展出现不匹配,使得资源利用不均匀,导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟H3C 数据中心解决方案 网络产品部 化通过构建共享的资源池,实现对网络资源、计算计算和存储资源的几种管理、规划和控制,简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。 数据中心资源智能:通过智能化管理平台实现对资源的智能化管理,资源智能分配调度,构建高度智能、自动化数据中心。 1 数据中心基础网络整合 1.1 数据中心基础网络设计 随着业务的快速发展,企业(泛指运营
5、商、企业和行业用户)的业务应用和数据正在从分散部署走向大集中,作为业务承载体的IT设施的部署模型随之发生翻天覆地的变化,互联互通已经不能满足流程整合后的业务持续发展的需求。 网络是连接所有数据中心IT组件的唯一通用实体,构建坚实的网络基础设施将为数据中心业务永续、管理与运维提供保障。 通常来讲,用户的业务可分为多个子系统,彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求,根据业务相关性和流程需要,需要采用模块化设计,实现低耦合、高内聚,保证系统和数据的安全性、可靠性、灵活扩展性、易于管理。 数据中心基础网络设计原则为分区、分层和分级设计。 一、 数据中心分区设计原则 分区,即把用户的整
6、个IT系统按照关联性、管理等方面的需求划分为多个业务板块系统,而每个系统有自己单独的核心交换,服务器,安全边界设备等,需要逐级访问控制,良好的逻辑分区设计与安全域划分成为数据中心网络的必备基础。 根据企业自身特点,依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等,可以把数据中心的服务器与业务系统分成内网区(Intranet )、外联区(Extranet )和互联网区(Internet)等,并在此基础上对业务流程进行深入细化。 H3C 数据中心解决方案 Intranet区 企业内部访问的数据中心区域,通常称为内网区,对外部网络不可见。 Extranet区 企业提供给合作伙伴访问的数据
7、中心区域,通常称为外联区;通过VPN接入实现对服务器群的访问和不同企业的隔离。 Internet区 企业提供给internet用户访问的数据中心区域,也常称为DMZ区,外部用户通过公网访问,一般就是放在企业门户网站的服务器群。 二、数据中心分层设计原则 分层的主要是根据内外部分流原则,把数据中心网络分成标准的核心层、汇聚层和接入层三层结构。服务器与业务系统之间的流量大部分在单个功能分区内部,不需要经过核心;分区之间的流量才经过核心,而且在每个分区的汇聚层交换机上做互访控制策略会更容易、对核心的压力会更好、故障影响范围更小、故障恢复更快。 核心层 核心层提供多个数据中心汇聚模块互联,并连接园区网
8、核心;要求其具有高交换能力和突发流量适应能力;大型数据中心核心要求多汇聚模块扩展能力,中小型数据中心共用园区核心;当前以10GE接口为主,高性能要求 4-8 10GE捆绑。 汇聚层 为服务器群(server farm)对外提供高带宽出口;要求提供大密度GE/10GE端口实现接入层互联;具有较多槽位数提供增值业务模块部署。 网络产品部 接入层 H3C 数据中心解决方案 支持高密度千兆接入、万兆接入;接入总带宽和上行带宽存在收敛比、线速两种模式;基于机架考虑,1RU更具灵活部署能力;支持堆叠,更具扩展能力;上行双链路冗余能力。 业界主流做法是在汇聚层部署各类安全、应用优化业务,如在交换机上集成防火
9、墙、负载均衡、应用加速板卡。 三、服务器接入分级设计原则 目前的应用访问架构已经逐步由传统的客户机/服务器(简称C/S)架构向浏览器/服务器(简称B/S )的变迁, B/S的应用访问架构要求采用三级的服务器架构,从整体来看包括三个层次: Web层 负责应用界面的提供,接受客户端请求并返回最终结果,是业务系统和数据的对外界面。如IIS、Apache 服务器等等。 Application层 负责数据的计算、业务流程整合,如常见的WebLogic、J2EE 等中间件技术。 Database层 负责数据的存储,供业务系统进行读写和随机调用。如MS SQL Server、Oracle 9i、IBM DB
10、2等等。 网络产品部 H3C 数据中心解决方案 三级之间通过交换网络的互连,层层的安全保护,形成结构清晰的易于部署的服务器接入架构。三级之间的互连又分成纵向和扁平两种结构。纵向结构清晰、管理简单,扁平结构节省投资。 四、H3C数据中心基础网络设计优势 安全性好 容易明确不同网络区域之间的安全关系,可以单独对每个区域进行安全实施,不会对其它区域造成影响。 扩展性好 可根据不同区域和层次的功能按需建设,业务部署灵活,可以非常方便的增加新 Server Farm区,而不改变原有的网络结构。 提高可用性 可以最大限度的隔离故障域,简化数据路径,加快故障收敛时间。 易管理 网络结构清晰,日常的运维变得更
11、加简单,问题定位容易。 1.2 数据中心高可用解决方案 随着市场竞争的日益加剧,客户对信息系统的依赖性和要求越来越高,保证数据中心的高可用性,提供724小时网络服务成为建网的首要目标,也是数据中心建设关注的第一要素。 网络产品部 H3C 数据中心解决方案 导致网络不可用,即网络故障的原因主要有两类: 1. 不可控因素,如自然灾害、战争、大停电、人为破坏等 通过建设生产中心、本地备份中心、异地容灾中心,即“两地三中心”模式,通过良好的整体规划设计,保证不可控因素影响下数据中心的高可用。 2. 可控因素,如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。 H3C在相关产品设计上考虑了诸多因素
12、,提供了全系列的解决方案,包括物理设备、链路层、IP层、传输层和应用层,全方位的提高网络可用性。 硬件设备冗余,如设备双主控、单板热插拔、冗余电源、冗余风扇。 物理链路冗余,如以太网链路聚合等。 环网技术,如:RPR、RRPP等技术。 二层路径冗余,如:MSTP、SmartLink。 三层路径冗余,如:VRRP、ECMP、动态路由快速收敛。 快速故障检测技术,如:BFD等。 不间断转发技术,如GR等。 除了产品高可用性外,H3C在数据中心整体设计上提供完整的高可用方案,具体可分为:服务器接入高可用设计,接入层到汇聚的高可用设计,汇聚层的高可用设计。 一、服务器接入高可用设计 也称服务器多网卡接
13、入。为了实现接入高可用,服务器通常采用多链路上行,即服务器的两块甚至多网卡接入,服务器中的网络驱动程序将两块或者多块网卡捆绑成一个虚拟的网卡,如果一个网卡失效,另一个网卡会接管它的MAC地址,两块网卡使用一个IP地址,而且必须位于同一广播域,即同一子网下。服务器和接入交换机之间的连接方式有几种方式: 网络可用性从左至右依次升高。推荐采用第四种接入方式。第四种连接方式服务器采用交换机容错模式分别接入到两台机柜式交换机上,并且将VLAN Trunk到两台设备上,实现服务器的高可靠接入。 二、接入到汇聚高可用设计 网络产品部 H3C 数据中心解决方案 接入到汇聚层共有四种连接方式,分别为倒U 型接法
14、、U型接法、三角型接法和矩形接法,这里所谓不同类型的接法是以二层链路作为评判依据,比如说矩形接法,从接入到接入,接入到汇聚、汇聚到汇聚均为二层链路连接,因此形成了矩形的二层链路接法。 H3C推荐三角型接法: 链路冗余,路径冗余,故障收敛时间最短。 VLAN 可以跨汇聚层交换机,服务器部署灵活。 在实际部署中,还可以根据实际情况选择如下方案: H3C IRF(Intelligent Resilient Framework),H3C IRF能够实现分布式设备管理、分布式路由和跨设备链路聚合。部署H3C IRF,除了提高网络的可用性,减少单点故障影响,还可以: 分布式处理二三层协议,极大提高网络高性
15、能。 每组当成一个逻辑Fabric,配置管理更高效。 堆叠组内设备软件版本同步升级,升级容易。 整个堆叠组的设备支持热插拔,灵活管理。 接入与汇聚采用MSTP+VRRP:提高可用性,还可以做到链路的负载均衡。 网络产品部 H3C 数据中心解决方案 网络产品部 三、 汇聚高可用性设计 1)汇聚交换设备之间的VRRP; 2)安全、应用优化设备之间的VRRP:可以内置或者旁挂到汇聚交换机上 (推荐旁挂,而不是串连到网络中,消除性能瓶颈)。利用HRP 协议实现在Master 和Backup防火墙设备之间备份关键配置命令和会话表状态信息的备份。HRP协议承载在VGMP报文上。通过指定的负载均衡算法,对指
16、向服务器的流量做负载均衡,保证服务器群能尽最大努力向外提供服务,提升服务器的可用性,提升服务器群的处理性能。 2 数据中心应用智能 2.1 应用智能数据中心模型 今天,WEB2.0大潮开始涌现,如Flickr、YouTuBe、BLOG、WIKI、PODCAST,互联网在第一次泡沫迸裂后又重现生机。这些新应用的背后英雄就是WEB技术,如果讲WEB1.0解决的是“人机交互界面的标准化”问题,WEB2.0 则更进一步解决了“应用数据交互的标准化” 问题,而WEB2.0的技术基础是XML 协议和一系列相关WEB技术。 Web 2.0时代的最大特点是每个人可成为数据的提供者。在今后的几年内,WEB应用的
17、普及必将带来另外一个新的标准化,那就是基于WEB技术的应用标准化,如果用OSI的模型来描述的话,则是会话层和表示层的标准化。“一旦标准化,即可网络化”意味着这些标准化的应用处理功能将集成到网络设备中,新的业务呼唤新的应用智能网络。 企业业务和数据从分散部署走向大集中,数据中心的数据量急剧膨胀,数据中心的重要性受到空前的重视,应用优化、网络安全、应用安全设备大规模部署,融合了应用安全、应用优化能力的应用智能数据中心越来越受到用户的欢迎。顺应潮流的发展,多业务集成交换机成为数据中心建设的必备组件。 应用安全涵盖: 应用层认证、授权和审计 应用层加密(SSL)和集中PKI部署 应用层防火墙(HTTP
18、/XML防火墙,SAML安全断言标记语言) 应用层内容安全:病毒、入侵等等 应用优化涵盖: H3C 数据中心解决方案 应用负载均衡 基于硬件的应用缓存、压缩和交换 应用协议优化(HTTP/TCP协议优化) 融合应用安全、应用优化的应用智能数据中心模型: 2.2 应用智能之安全 数据中心承载着用户的核心业务和机密数据,同时为内部、外部、合作伙伴等客户提供业务交互和数据交换,因此数据中心的安全必须与业务系统实现融合,并且能够平滑的部署在网络中。数据中心的安全建设中的主要思想之一就是层次化的分级安全,把IT的安全分成多个等级,划分不同的安全域,这与数据中心对安全的内在要求是相辅相成的。 在深入分析I
19、T安全形势的基础上,H3C提出基于状态演进的安全模型,把IT的安全分成: 单机安全:单机安全强调权限管理、病毒防护、数据备份 局部安全:局部安全强调远程接入、入侵检测、安全融合、安全协作 深度安全:深度安全强调容灾备份、深度抵御、安全审计、流量分析 统一安全:统一安全强调风险管理、企业内控、统一规划、统一管理 网络产品部 H3C 数据中心解决方案 网络产品部 随着安全状态的演进,安全向着应用智能的安全方向发展。 在任何情况下,信息只存在于三种状态之一: 计算:计算是信息被创建、修改、删除、查询以及深度处理的过程。 通讯:通讯是信息在不同的环境之间以及环境内部传递的过程。 存储:信息被以某种形式
20、临时或者永久性保存的过程。 安全的目标就是在保证数据在这三种状态下的安全。 信息的安全状态决定安全的策略,对于数据中心来讲,信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。安全分区 安全策略的基础是基于业务的逻辑分区和安全域划分,数据中心业务安全分区的优势: 增加新功能区更容易 不同区域可实施不同的安全策略 每个分区按照需求可独立的扩展 发生故障易定位易恢复等优点。 因此,按照分区的思想,数据中心按照业务类型分为不同的逻辑区域,每个分区制定不 同的安全策略和信任模型,划分为不同安全级别的安全域。从实际部署上看,又分成: 边界访问控制 深度智能防御 智能安全管理 1)边界访问控制 边界控制对数据中心是最基本的要求,控制各类用户对数据中心的访问。随着安全状态的演进,安全向着应用智能的安全方向发展。H3C SecBlade II万兆防火墙与核心、汇聚交换机实现多业务集成,数据交互通过背板直接进行,具有高性能和高可靠的双重优势,避免交换机在线部署的性能瓶颈和单点故障;与防火墙旁挂部署方式相比,又具有配置策略简单、不改变数据转发路径、流量转发过程清晰、部署维护简单等诸多优点。
