XXX數(shù)據(jù)中心解決方案

前言

數(shù)據(jù)中心（Data Center，DC）是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，是各種IT應(yīng)用業(yè)務(wù)的提供中心，是數(shù)據(jù)計(jì)算、網(wǎng)絡(luò)傳輸、存儲(chǔ)的中心。數(shù)據(jù)中心實(shí)現(xiàn)了IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用、數(shù)據(jù)的統(tǒng)一、安全策略的統(tǒng)一部署與運(yùn)維管理。數(shù)據(jù)中心是當(dāng)前運(yùn)營商和各行業(yè)的 IT 建設(shè)重點(diǎn)。運(yùn)營商、大型企業(yè)、金融證券、政府、能源、電力、交通、教育、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進(jìn)行或已完成數(shù)據(jù)中心建設(shè)，通過數(shù)據(jù)中心的建設(shè)，實(shí)現(xiàn)對(duì) IT 信息系統(tǒng)的整合和集中管理，提升內(nèi)部的運(yùn)營和管理效率以及對(duì)外的服務(wù)水平，同時(shí)降低IT 建設(shè)的 TCO?？v覽數(shù)據(jù)中心的發(fā)展史，數(shù)據(jù)中心的建設(shè)主要分為四個(gè)層面。

設(shè)計(jì)目標(biāo)

1、高效性：為了滿足平臺(tái)業(yè)務(wù)應(yīng)用系統(tǒng)的高并發(fā)、快速的虛擬機(jī)遷移、視頻文件以及大文件的上傳下載等要求，設(shè)計(jì)一個(gè)高帶寬、低延時(shí)、快速收斂并避免環(huán)路出現(xiàn)的網(wǎng)絡(luò)平臺(tái)是一個(gè)基本的設(shè)計(jì)目標(biāo)。

2、高可靠性：高可用性是數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)目標(biāo)之一，關(guān)鍵和核心部分不能出現(xiàn)單點(diǎn)故障。

3、可擴(kuò)展性：具備良好的擴(kuò)展能力也是數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo)之一，在核心、骨干網(wǎng)絡(luò)設(shè)備上要留有余量，充分考慮今后業(yè)務(wù)應(yīng)用增加的網(wǎng)絡(luò)需求。

4、靈活性、易維護(hù)性：要求網(wǎng)絡(luò)平臺(tái)能夠靈活簡便的對(duì)網(wǎng)絡(luò)資源進(jìn)行調(diào)配。因此，網(wǎng)絡(luò)管理的靈活性和易維護(hù)性也是網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)目標(biāo)之一。通過減少網(wǎng)絡(luò)配置節(jié)點(diǎn)、簡化網(wǎng)絡(luò)配置，降低網(wǎng)絡(luò)管理的人力開銷，從而易于網(wǎng)絡(luò)資源的調(diào)整和分配。

5、先進(jìn)性：整體架構(gòu)應(yīng)當(dāng)保持穩(wěn)定而不應(yīng)當(dāng)頻繁調(diào)整。在設(shè)計(jì)網(wǎng)絡(luò)平臺(tái)的架構(gòu)的時(shí)候，設(shè)計(jì)目標(biāo)之一應(yīng)該是保證網(wǎng)絡(luò)架構(gòu)和采用技術(shù)的先進(jìn)性，3年內(nèi)只做規(guī)模擴(kuò)充，而不做架構(gòu)調(diào)整。

6、安全性：保證各業(yè)務(wù)系統(tǒng)的信息安全是建設(shè)數(shù)據(jù)中心的一個(gè)基本前提，因此安全性也是網(wǎng)絡(luò)平臺(tái)需要考慮的設(shè)計(jì)目標(biāo)之一。由于網(wǎng)絡(luò)安全域的劃分與隔離很大程度上依賴網(wǎng)絡(luò)結(jié)構(gòu)的合理性，因此在設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)的時(shí)候需要考慮整體網(wǎng)絡(luò)安全性，便于安全方案進(jìn)行安全域的劃分和安全域間訪問控制。

?  基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)解決方案：

分區(qū)，即把用戶的整個(gè)IT系統(tǒng)按照關(guān)聯(lián)性、管理等方面的需求劃分為多個(gè)業(yè)務(wù)板塊系統(tǒng)，而每個(gè)系統(tǒng)有自己單獨(dú)的核心交換，服務(wù)器，安全邊界設(shè)備等，需要逐級(jí)訪問控制，良好的邏輯分區(qū)設(shè)計(jì)與安全域劃分成為數(shù)據(jù)中心網(wǎng)絡(luò)的必備基礎(chǔ)。

根據(jù)企業(yè)自身特點(diǎn)，依據(jù)業(yè)務(wù)系統(tǒng)的相關(guān)性、數(shù)據(jù)流的訪問要求和系統(tǒng)安全控制的要求等，可以把數(shù)據(jù)中心的服務(wù)器與業(yè)務(wù)系統(tǒng)分成內(nèi)網(wǎng)區(qū)（Intranet）、外聯(lián)區(qū)（Extranet）和互聯(lián)網(wǎng)區(qū)（Internet）等，并在此基礎(chǔ)上對(duì)業(yè)務(wù)流程進(jìn)行深入細(xì)化。

分層的主要是根據(jù)內(nèi)外部分流原則，把數(shù)據(jù)中心網(wǎng)絡(luò)分成標(biāo)準(zhǔn)的核心層、匯聚層和接入層三層結(jié)構(gòu)。服務(wù)器與業(yè)務(wù)系統(tǒng)之間的流量大部分在單個(gè)功能分區(qū)內(nèi)部，不需要經(jīng)過核心；分區(qū)之間的流量才經(jīng)過核心，而且在每個(gè)分區(qū)的匯聚層交換機(jī)上做互訪控制策略會(huì)更容易、對(duì)核心的壓力會(huì)更好、故障影響范圍更小、故障恢復(fù)更快。

目前的應(yīng)用訪問架構(gòu)已經(jīng)逐步由傳統(tǒng)的客戶機(jī)/服務(wù)器（簡稱C/S）架構(gòu)向?yàn)g覽器/服務(wù)器（簡稱B/S）的變遷，B/S的應(yīng)用訪問架構(gòu)要求采用三級(jí)的服務(wù)器架構(gòu)，從整體來看包括三個(gè)層次：

Web層

負(fù)責(zé)應(yīng)用界面的提供，接受客戶端請(qǐng)求并返回最終結(jié)果，是業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的對(duì)外界面。如IIS、Apache服務(wù)器等等。

Application層

負(fù)責(zé)數(shù)據(jù)的計(jì)算、業(yè)務(wù)流程整合，如常見的WebLogic、J2EE等中間件技術(shù)。

Database層

負(fù)責(zé)數(shù)據(jù)的存儲(chǔ)，供業(yè)務(wù)系統(tǒng)進(jìn)行讀寫和隨機(jī)調(diào)用。如MS SQL Server、Oracle 9i、

IBM DB2等。

三級(jí)之間通過交換網(wǎng)絡(luò)的互連，層層的安全保護(hù)，形成結(jié)構(gòu)清晰的易于部署的服務(wù)器接入架構(gòu)。三級(jí)之間的互連又分成縱向和扁平兩種結(jié)構(gòu)?？v向結(jié)構(gòu)清晰、管理簡單，扁平結(jié)構(gòu)節(jié)省投資。

?  數(shù)據(jù)中心高可用解決方案：

隨著市場競爭的日益加劇，客戶對(duì)信息系統(tǒng)的依賴性和要求越來越高，保證數(shù)據(jù)中心的高可用性，提供7×24小時(shí)網(wǎng)絡(luò)服務(wù)成為建網(wǎng)的首要目標(biāo)，也是數(shù)據(jù)中心建設(shè)關(guān)注的第一要素。

導(dǎo)致網(wǎng)絡(luò)不可用，即網(wǎng)絡(luò)故障的原因主要有兩類：

1. 不可控因素，如自然災(zāi)害、戰(zhàn)爭、大停電、人為破壞等

通過建設(shè)生產(chǎn)中心、本地備份中心、異地容災(zāi)中心，即兩地三中心模式，通過良好的整體規(guī)劃設(shè)計(jì)，保證不可控因素影響下數(shù)據(jù)中心的高可用。

2. 可控因素，如設(shè)備故障、鏈路故障、網(wǎng)絡(luò)擁塞、維護(hù)誤操作、惡意攻擊等。

在選擇產(chǎn)品設(shè)計(jì)上應(yīng)考慮諸多因素，包括物理設(shè)備、鏈路層、IP層、傳輸層和應(yīng)用層，全方位的提高網(wǎng)絡(luò)可用性。

硬件設(shè)備冗余，如設(shè)備雙主控、單板熱插拔、冗余電源、冗余風(fēng)扇。

物理鏈路冗余，如以太網(wǎng)鏈路聚合等。

環(huán)網(wǎng)技術(shù)，如：RPR、RRPP等技術(shù)。

二層路徑冗余，如：MSTP、SmartLink。

三層路徑冗余，如：VRRP、ECMP、動(dòng)態(tài)路由快速收斂。

快速故障檢測(cè)技術(shù)，如：BFD等。

不間斷轉(zhuǎn)發(fā)技術(shù)，如GR等。

一、服務(wù)器接入高可用設(shè)計(jì)

也稱服務(wù)器多網(wǎng)卡接入。為了實(shí)現(xiàn)接入高可用，服務(wù)器通常采用多鏈路上行，即服務(wù)器的兩塊甚至多網(wǎng)卡接入，服務(wù)器中的網(wǎng)絡(luò)驅(qū)動(dòng)程序?qū)蓧K或者多塊網(wǎng)卡捆綁成一個(gè)虛擬的網(wǎng)卡，如果一個(gè)網(wǎng)卡失效，另一個(gè)網(wǎng)卡會(huì)接管它的MAC地址，兩塊網(wǎng)卡使用一個(gè)IP地址，而且必須位于同一廣播域，即同一子網(wǎng)下。服務(wù)器和接入交換機(jī)之間的連接方式有幾種方式：

網(wǎng)絡(luò)可用性從左至右依次升高。推薦采用第四種接入方式。第四種連接方式服務(wù)器采用交換機(jī)容錯(cuò)模式分別接入到兩臺(tái)機(jī)柜式交換機(jī)上，并且將VLAN Trunk到兩臺(tái)設(shè)備上，實(shí)現(xiàn)服務(wù)器的高可靠接入。

二、接入到匯聚高可用設(shè)計(jì)

接入到匯聚層共有四種連接方式，分別為倒U型接法、U型接法、三角型接法和矩形接法，這里所謂不同類型的接法是以二層鏈路作為評(píng)判依據(jù)，比如說矩形接法，從接入到接入，接入到匯聚、匯聚到匯聚均為二層鏈路連接，因此形成了矩形的二層鏈路接法。

三、 匯聚高可用性設(shè)計(jì)

1）匯聚交換設(shè)備之間的VRRP；

2）安全、應(yīng)用優(yōu)化設(shè)備之間的VRRP：可以內(nèi)置或者旁掛到匯聚交換機(jī)上(推薦旁掛，而不是串連到網(wǎng)絡(luò)中，消除性能瓶頸)。利用HRP協(xié)議實(shí)現(xiàn)在Master和Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息的備份。HRP協(xié)議承載在VGMP報(bào)文上。通過指定的負(fù)載均衡算法，對(duì)指向服務(wù)器的流量做負(fù)載均衡，保證服務(wù)器群能盡最大努力向外提供服務(wù)，提升服務(wù)器的可用性，提升服務(wù)器群的處理性能。

?  數(shù)據(jù)中心虛擬化解決方案：

隨著業(yè)務(wù)的持續(xù)發(fā)展、系統(tǒng)的更新升級(jí)、設(shè)備的不斷增多、能耗的大幅飚升，數(shù)據(jù)中心面臨著資源分配與業(yè)務(wù)發(fā)展無法完美匹配的難題：

1、業(yè)務(wù)系統(tǒng)日益增多：需要更多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，運(yùn)行的業(yè)務(wù)系統(tǒng)不斷的發(fā)生變化，資源和設(shè)備分配之間的矛盾日趨激烈；

2、設(shè)備多，部署繁雜：在數(shù)據(jù)大集中的趨勢(shì)下，數(shù)據(jù)中心機(jī)房內(nèi)的IT基礎(chǔ)設(shè)施規(guī)模非常龐大，而且還將持續(xù)不斷的增加、部署難度大幅增加；

3、投資持續(xù)增加： IT基礎(chǔ)設(shè)施規(guī)模的成倍增加，在數(shù)據(jù)中心投入的硬件成本、軟件成本、人力成本等水漲船高；

4、運(yùn)維成本和能耗高：設(shè)備增多，能耗和運(yùn)維成本自然隨之增加，不符合綠色數(shù)據(jù)中心的發(fā)展趨勢(shì)，能耗已經(jīng)成為數(shù)據(jù)中心運(yùn)維的沉重經(jīng)濟(jì)負(fù)擔(dān)。

所以，為了降低TCO，需要對(duì)數(shù)據(jù)中心進(jìn)行整合。這也帶來了一系列難題：

1、 安全性：多種業(yè)務(wù)集成在一套設(shè)備上，安全性需要保證；

2、 資源合理分配：不同的業(yè)務(wù)對(duì)數(shù)據(jù)中心資源也有不同的需求，要保證各個(gè)業(yè)務(wù)合理的使用資源。

虛擬化能夠解決這些難題，虛擬化用多個(gè)物理實(shí)體創(chuàng)建一個(gè)邏輯實(shí)體，或者用一個(gè)物理實(shí)體創(chuàng)建多個(gè)邏輯實(shí)體。實(shí)體可以是計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)或應(yīng)用資源。

虛擬化實(shí)質(zhì)：隔離。虛擬化技術(shù)將不同的業(yè)務(wù)隔離開來，彼此不能互訪，從而保證業(yè)務(wù)的安全需求；將不同的業(yè)務(wù)的資源隔離開來，從而保證業(yè)務(wù)對(duì)于數(shù)據(jù)中心資源的需求。

虛擬化解決方案可包括三部分：

網(wǎng)絡(luò)虛擬化

計(jì)算虛擬化

存儲(chǔ)虛擬化

數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和園區(qū)虛擬化結(jié)合，將數(shù)據(jù)中心的訪問與網(wǎng)絡(luò)接入的終端用戶認(rèn)證、安全檢查和動(dòng)態(tài)授權(quán)結(jié)合，確保了數(shù)據(jù)中心的安全與靈活訪問。數(shù)據(jù)中心的核心交換機(jī)兼做園區(qū)虛擬化VPN的PE，匯聚交換機(jī)做相應(yīng)的MCE，結(jié)果把園區(qū)虛擬化終結(jié)在數(shù)據(jù)中心上。在數(shù)據(jù)中心的接入交換機(jī)上配置VLAN實(shí)現(xiàn)業(yè)務(wù)的邏輯隔離，并且讓每個(gè)VLAN和匯聚交換機(jī)MCE的相應(yīng)路由表形成對(duì)應(yīng)關(guān)系。這樣數(shù)據(jù)中心的虛擬化通過數(shù)據(jù)中心的接入、匯聚、核心設(shè)備貫穿到園區(qū)虛擬化中，形成網(wǎng)絡(luò)端到端的虛擬化。數(shù)據(jù)中心防火墻支持虛擬化功能，可以集成或者旁掛在數(shù)據(jù)中心匯聚交換機(jī)上，配合網(wǎng)絡(luò)虛擬化完成數(shù)據(jù)中心資源的虛擬化。

數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化特色：數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化和客戶端虛擬化（EAD）、園區(qū)網(wǎng)虛擬化形成網(wǎng)絡(luò)端到端的虛擬化訪問路徑。