深信服XXX數(shù)據(jù)中心項目aCloud企業(yè)級云技術(shù)建議書

1、XXX數(shù)據(jù)中心項目深信服aCloud企業(yè)級云技術(shù)建議書深信服科技有限公司2017年8月18日 DOCPROPERTY Product&Project NameSD-DC2 Solution DOCPROPERTY DocumentName 集成設計指導書 STYLEREF Contents 目 錄 深信服企業(yè)云集成設計方案 STYLEREF Contents 目 錄深信服科技版權(quán)所有 PAGE v目 錄 TOC h z t 標題 1,1,標題 2,2,標題 3,3, 標題 4,4, 標題 5,5, 標題 7,1, 標題 8,2, 標題 9,3, Heading1 No Number,1,App

2、endix heading 1,1,Appendix heading 2,2,Appendix heading 3,3,Appendix heading 4,4,Appendix heading 5,5, Heading 1,1,Heading 2,2,Heading 3,3, Heading 4,4, Heading 5,5, Heading 7,1,Heading 8,2,Heading 9,3 HYPERLINK l _Toc493178676 STYLEREF 1 項目需求分析深信服科技版權(quán)所有 STYLEREF 1 整體方案規(guī)劃深信服科技版權(quán)所有PAGE 32項目需求分析背景概述XX

3、X近年在信息化建設方案取得了較大發(fā)展，多個業(yè)務系統(tǒng)已經(jīng)在現(xiàn)有基礎設施平穩(wěn)運行多年，但當前信息技術(shù)的發(fā)展可謂一日千里，云計算、超融合、分布式集群等新的技術(shù)、架構(gòu)、體系都給業(yè)務業(yè)務系統(tǒng)帶來巨大的發(fā)展空間。如何更好的把這些新技術(shù)引入各個業(yè)務系統(tǒng)，是XXX云平臺建設過程中所面臨的挑戰(zhàn)和機遇。在此過程中，我們認為XXX數(shù)據(jù)中心面臨以下挑戰(zhàn)：數(shù)據(jù)中心基礎設施需要自然更替數(shù)據(jù)中心基礎設施部分已經(jīng)運行了10年以上，部分設備已經(jīng)老化而進入了故障多發(fā)期，例如 BOSS平臺的部分服務器、存儲設備已經(jīng)運行810年。即使當前已經(jīng)穩(wěn)定運行的3-5年的設備，大多數(shù)設備原廠商已經(jīng)對銷售3年以上的產(chǎn)品停止生產(chǎn)。因此一旦這些設備

4、出現(xiàn)故障則面臨著無法維修或者無法更換合適的配件，設備停用的風險較大。基礎資源需進行整合核心應用業(yè)務已經(jīng)在中間件、數(shù)據(jù)庫等層次進行了融合，并將部分應用部署于小型機中。其他大量的業(yè)務應用系統(tǒng)運行在獨立的x86物理平臺上，沒有進行虛擬化整合，導致服務器、存儲等資源利用不充分，存在忙閑不均的情況，并且普遍資源利用率較低。基礎資源嚴重不足XXX希望建設統(tǒng)一的互聯(lián)網(wǎng)平臺，面向業(yè)務規(guī)劃和多變的用戶需求，業(yè)務系統(tǒng)上線要求愈發(fā)緊急迫切，但受以前的基礎設施規(guī)劃約束，目前數(shù)據(jù)中心可使用設備資源不足，已使用設備利用率不高，新的業(yè)務系統(tǒng)上線將面臨無資源使用局面，無法滿足不斷更新的業(yè)務需求。服務能力提升乏力根據(jù)信息化發(fā)展

5、的需要，數(shù)據(jù)中心的運維理念正在由面向技術(shù)的被動運維模式向面向服務的主動運維模式轉(zhuǎn)變，力求在軟硬件資源上提供“定制服務”，保證新應用快速上線運行和良好運行。同時圍繞具體互聯(lián)網(wǎng)應用，提供信息資源服務、軟件開發(fā)、信息安全服務等服務功能。很顯然，目前數(shù)據(jù)中心架構(gòu)在環(huán)境支撐和功能設計上都嚴貢制約了數(shù)據(jù)中心服務能力的提升。近年來隨著應用系統(tǒng)的逐步深化和推廣應用，現(xiàn)有數(shù)據(jù)中心無論是規(guī)模還是架構(gòu)很難支持現(xiàn)有業(yè)務的增長和后續(xù)新業(yè)務應用系統(tǒng)的部署實施。隨著設備逐步進入老舊期，數(shù)據(jù)中心相關業(yè)務的服務器、存儲、網(wǎng)絡等設備需要新舊更替，因此新的數(shù)據(jù)中心服務模式的建設是迫在眉睫的任務。 建設目標本項目著眼XXX信息化的長

6、遠發(fā)展，以向全公司提供靈活定制的資源服務、彈性的計算能力、完全可信的安全保障服務為基本要求，引進成熟先進的技術(shù)，調(diào)整優(yōu)化數(shù)據(jù)中心建設整體框架。力爭在“十三五”期間逐步建立以云計算為核心的信息化整體架構(gòu)，實現(xiàn)從以業(yè)務應用為核心的被動建設方式向以服務為核心的主動建設方式的轉(zhuǎn)型。本次項目主要在打好云計算的基礎，故項目的建設目標為：基礎設施面向資源池化轉(zhuǎn)型通過構(gòu)建云計算資源池、存儲資源池、網(wǎng)絡資源池、安全資源池等方式，將原有的煙囡式系統(tǒng)建設模式打破，通過資源池統(tǒng)一對外提供資源，實現(xiàn)基礎設施建設的技術(shù)轉(zhuǎn)型。 通過云計算統(tǒng)一提供計算能力基于超融合技術(shù)實現(xiàn)以虛擬化為核心的軟件定義數(shù)據(jù)中心的技術(shù)架構(gòu)，使用云計

7、算技術(shù)對資源池進行統(tǒng)一的調(diào)度管理，實現(xiàn)高效融合的信息化架構(gòu)，對全公司業(yè)務系統(tǒng)建設提供彈性、敏捷、可靠的云計算服務。 構(gòu)建整體運維保障監(jiān)控能力。實現(xiàn)對云平臺內(nèi)基礎設施進行監(jiān)管，改變對自有設備現(xiàn)狀不清、監(jiān)管不嚴的運維現(xiàn)狀，全面提升在云計算環(huán)境下對大型信息化數(shù)據(jù)中心的運維保障能力。 提供云計算環(huán)境的安全保障。通過對選擇安全、可靠、具備核心技術(shù)自研能力的云計算平臺實現(xiàn)在云計算層的安全。通過構(gòu)建和規(guī)劃數(shù)據(jù)中心災備模式以提供數(shù)據(jù)層的安全保障。 建設任務構(gòu)建符合業(yè)務需求的云計算超融合資源池。云計算超融合資源池由網(wǎng)絡、服務器等基礎硬件設備構(gòu)建，通過對已有設備的有效整合和新增設備的采購，結(jié)合虛擬化技術(shù)實現(xiàn)對計算

8、資源、網(wǎng)絡資源、存儲資源、安全資源的定義，構(gòu)建符合業(yè)務發(fā)展需求的資源池，使?jié)M足業(yè)務發(fā)展不斷增長的基礎設施需求。搭建功能全面的云計算平臺云計算平臺是項目的核心平臺，通過云計算平臺的構(gòu)建 在計算資源服務層面，實現(xiàn)資源池化能力、虛擬資源管控能力、按需彈性計算能力、流程化業(yè)務管理能力、異構(gòu)虛擬化能力； 在安全管控方面，實現(xiàn)全面的安全保障能力、全面的運維監(jiān)控能力，在平臺性能方面，衙提供企 業(yè)級高可用能力，確保平臺的運行穩(wěn)定。為云計算環(huán)境提供運維保障平臺本項目要強化相應云計算平臺的運行維護管理體系建設。 云計算平臺的各功能組件要成熟、穩(wěn)定、產(chǎn) 品化、易維護，方便運維人員進行資源管理、日常巡檢和故障檢測。實

9、現(xiàn)對服務交付和運行悄況進行監(jiān)管，發(fā)生故障時能夠根據(jù)云計算平臺的智能提示及時診斷并進行正確處置，保證云計算中心軟硬件系統(tǒng)的正常運行。提供數(shù)據(jù)中心的數(shù)據(jù)備份和異地數(shù)據(jù)中心間的數(shù)據(jù)同步能力，規(guī)劃多數(shù)據(jù)中心災備能力。需求分析業(yè)務需求分析云計算資源池需求分析由于數(shù)據(jù)中心未來主要承擔互聯(lián)網(wǎng)業(yè)務，新產(chǎn)品和服務的快速投產(chǎn)對基礎設施的靈活響應、快速的部署響應及支持能力都有新的和更高的要求，并需要降低對現(xiàn)有應用帶來沖擊。與此同時業(yè)務快速發(fā)展帶來的大量數(shù)據(jù)和用戶，要求具有高擴展性基礎設施架構(gòu)架構(gòu)，靈活支持不同類型的數(shù)據(jù)，同時需要平衡功能和成本，以求能夠在成本有效的前提下，滿足突發(fā)業(yè)務的傳輸與用戶訪問的需求云計算資源

10、池包括計算資源池、存儲資源池、網(wǎng)絡資源池三個部分，需能夠滿足XXX集團對計算資源、存儲資源、網(wǎng)絡資源的需求。同時，考慮到數(shù)據(jù)中心管理扁平化，未來數(shù)據(jù)中心擴容、運維的便捷性，以及有效利用服務器資源，云計算資源池建設應充分考慮超融合技術(shù)和高性能設備的選擇，以及對現(xiàn)有設備進行整合。 為實現(xiàn)資源的彈性伸縮和按需分配，有效降低單位資源成本，需要新購一批高性能大容量的服務器用于超融合基礎架構(gòu)構(gòu)建，同時利舊一部分高性能的服務器、存儲等設備，共同組建資源池。 云計算中心機房所需計算資源、存儲資源、網(wǎng)絡資源包括：1、計算資源：為支撐所有具備條件的應用系統(tǒng)的云化遷移和升級、新系統(tǒng)的建設、大數(shù)據(jù)平臺的接入，需新增和

11、利舊一批x86架構(gòu)服務器和其他高性能服務器，進行虛擬化，構(gòu)建計算資源池。 2、存儲資源：為支撐所有具備條件的應用系統(tǒng)的云化遷移 和升級、新系統(tǒng)的建設、虛擬機運行所需的存儲以及廣電各類數(shù)據(jù)的存儲，需將資源池內(nèi)部署了虛擬化系統(tǒng)的x86標準服務器。在提供虛擬計算資源的同時，服務器上的空閑磁盤空間被組織起來形成一個統(tǒng)一的虛擬共享存儲：虛擬存儲系統(tǒng)。虛擬化存儲在功能上與獨立共享存儲完全一致；同時由于存儲與計算完全融合在一個硬件平臺上，無需象以往那樣購買連接計算服務器和存儲設備的專用SAN網(wǎng)絡設備 3、網(wǎng)絡資源：為滿足計算資源池、存儲資源池及云計算中心的建設需要，需綜合考慮網(wǎng)絡資源池的規(guī)模、性能和容量。若

12、當前已有的網(wǎng)絡設備不能滿足云計算的需求，則需對網(wǎng)絡進行擴容。同時，服務器虛擬化技術(shù)的出現(xiàn)使得計算服務提供不再以主機為基礎，而是以云主機為單位來提供，同時為了滿足同一物理服務器內(nèi)云主機之間的數(shù)據(jù)交換需求，因此需要在在虛擬機和物理網(wǎng)絡之間，提供一整套完整的邏輯網(wǎng)絡設備、連接和服務，包括分布式虛擬交換機、虛擬路由器、虛擬下一代防火墻、虛擬應用交付、等虛擬網(wǎng)絡、安全設備，并且需要和物理網(wǎng)絡的無縫對接，簡化網(wǎng)絡的配置管理。云計算管理平臺需求分析 需要通過云計算實現(xiàn)對底厚物理資源（計算、存儲、網(wǎng)絡）的虛擬融合、按需分配與局效管理，支持與現(xiàn)有設備和虛擬化軟件的集成。需要能夠?qū)T物理資源，抽象成按需提供的彈

13、性虛擬資源池包括虛擬機、存儲、網(wǎng)絡、網(wǎng)絡安全，以消費單元（即組織或虛擬數(shù)據(jù)中心）的形式對外提供服務，IT部門能夠通過完全自動化的自助服務訪問，為用戶提供這些消費單元以及其它包括虛擬機和操作系統(tǒng)鏡像等在內(nèi)的基礎架構(gòu)和應用服務模板。真正實現(xiàn)了業(yè)務的敏捷性和高效性，提高業(yè)務的快速創(chuàng)新能力。需要提供簡單易用的自動化運維手段，通過管理平臺提供故障定位分析手段，能夠快速分析出問題節(jié)點，并能夠指出具體的原因和修復的指導。通過平臺提供的一鍵健康檢測，能夠快速分析出平臺潛在的業(yè)務風險，包括各種和資源性能或者容量風險，平臺管理管理和租戶管理員，可以根據(jù)系統(tǒng)建議，可以選擇手動或者自動的方式，實現(xiàn)業(yè)務的故障排除和資源

14、優(yōu)化。容災備份需求分析 目前廣電已經(jīng)建設了兩個機房，桐城南路機房和金寨南路機房，因此本期項目建設在規(guī)劃建設桐城南路機房的同時，需要考慮如何基于這兩個機房統(tǒng)一規(guī)劃數(shù)據(jù)中心的災備建設。提供統(tǒng)一的災備管理平臺，實現(xiàn)兩個機房的災備管理。本次項目建設需要金寨南路機房提供部分存儲空間用以桐城南路機房的ERP系統(tǒng)數(shù)據(jù)備份。性能需求分析 1、計算性能需求本次項目重點建設桐城南路機房，對數(shù)據(jù)中心已有設備摸底調(diào)查，考慮計算虛擬化的利舊原則，原則上計算資源池原則上需要提供每核2.2GHZ（物理CPU）以上的計算能力，并可支持實際使用需求將物理CPU進行虛擬化，梳理出可以利舊的設備列表如下：設備型號配置描述系統(tǒng)描述網(wǎng)

15、卡及電源數(shù)量IBM X3650 M4Intel(R) Xeon(R) CPU E5-2650 v2 2.60GHz 8Core 16G 8*1TB SAS 盤Windows server2008 R26 口千兆網(wǎng)卡, 雙冗余電源5DELL PowerEdgeR720Intel(R) Xeon(R) CPU E5-2670 v2 2.50GHz 2*10Core 16G 5*500GB SAS 盤CentOS 6.54 口千兆網(wǎng)卡, 雙冗余電源11DELL PowerEdgeR720Intel(R) Xeon(R) CPU E5-2609 v3 1.90GHz 2*6Core 16G 4*1TB

16、 SAS 盤CentOS 6.54 口千兆網(wǎng)卡, 單電源3Dell PowerEdgeR720XDIntel(R) Xeon(R) CPU E5-2650 v2 2.60GHz 8Core 64G,2*256G SSD 盤,12*480G SSD 盤CentOS 6.54 口千兆網(wǎng)卡、2 光口, 雙冗余電源3Dell PowerEdgeR720XDIntel(R) Xeon(R) CPU E5-2650 v2 2.60GHz 8Core 64GCentOS 6.54 口千兆網(wǎng)卡、2 光口, 雙冗余電源1DELL PowerEdgeR630Intel(R) Xeon(R) CPU E5-2697

17、 v3 2.60GHz 2*14Core 128G, 2*480GB SSD 盤CentOS 7.16 口千兆網(wǎng)卡, 雙冗余電源3Dell PowerEdgeR720Intel(R) Xeon(R) CPU E5-2670 v2 2.50GHz 2*10Core 16G,3*300GB SAS 盤ubuntu 14.044 口千兆網(wǎng)卡, 雙冗余電源1同時，考慮互聯(lián)網(wǎng) 推流、時移回看推流、時移回看編轉(zhuǎn)碼等三個系統(tǒng)要求性能、IO 較高、使用專用設備，建議保留物理機部署方式，這3個業(yè)務占用設備情況如下：業(yè)務名稱設備類型設備數(shù)量互聯(lián)網(wǎng) 推流Dell PowerEdge R720XD1Dell Powe

18、rEdge R720XD1時移回看推流Dell PowerEdge R720XD2時移回看編轉(zhuǎn)碼DELL PowerEdge R6303根據(jù)對未來業(yè)務增長情況的預估，本次項目建設計算資源在原有設備利舊資源基礎上，新增計算資源池配置性能250GHz CPU 主頻、 600G 內(nèi)存。 2、存儲性能需求目前數(shù)據(jù)中心可利舊存儲情況：設備型號設備描述容量（T）數(shù)量HP P2000 離線存儲磁盤陣列 除系統(tǒng)冗余后,可用剩余為 60T 1HUAWEI S5600T核心存儲磁盤陣列除系統(tǒng)冗余后,可用剩余為 74T 1OceanStor9000分布式文件系統(tǒng) 除系統(tǒng)冗余后,可用剩余為 78T 1根據(jù)對未來業(yè)務增

19、長情況的預估，本次項目建設計算資源在原有設備利舊資源基礎上，新增存儲資源可用容量300T。整體方案規(guī)劃整體架構(gòu)設計設計原則根據(jù)XXX數(shù)據(jù)中心發(fā)展的現(xiàn)狀，結(jié)合成熟可落地的新興IT技術(shù)，本次力生信息科技云數(shù)據(jù)中心的總體建設原則如下： 1、穩(wěn)定性應采取各種必要技術(shù)措施，保證信息化云服務平臺具備有優(yōu)秀的穩(wěn)定性，在保證性能的前提下，為主要業(yè)務提供持續(xù)的支撐服務。2、安全性平臺系統(tǒng)應能充分考慮用戶數(shù)據(jù)的安全，避免用戶受到異常攻擊或敏感數(shù)據(jù)竊取。應能主動評估業(yè)務系統(tǒng)的安全狀況及提供彌補措施，并提供各種操作行為的可回溯能力。3、可擴展性平臺應具備良好的擴展能力，滿足數(shù)據(jù)中心長期發(fā)展的要求。根據(jù)業(yè)務的發(fā)展預測，

20、平臺系統(tǒng)定期按照適度預留的原則進行建設，能在規(guī)定時間內(nèi)快速響應新的用戶，新的業(yè)務的新增要求。4、靈活的 IT 基礎架構(gòu)滿足資源的隨時隨地按需分配，需要建立一個靈活的硬件基礎架構(gòu)。硬件基礎架構(gòu)通常由虛擬的服務器池、共享的存儲系統(tǒng)、網(wǎng)絡和硬件管理軟件組成。5、自動化資源部署云計算運行管理平臺的核心功能是自動為用戶提供服務器、存儲以及相關的系統(tǒng)軟件和應用軟件。用戶、管理員和其他人員能通過 Web 界面使用該功能。自動化的部署流程不僅能做到“隨需應變”，適應用戶的需求，而且能夠帶來以下好處：引入技術(shù)和創(chuàng)新的時間縮短，設計、采購和構(gòu)建硬件和軟件平臺的人力成本降低，以及通過提高現(xiàn)有資源的利用率和復用率節(jié)省

21、成本。6、端服務請求管理云計算運行管理平臺提供一個統(tǒng)一的管理平臺來實現(xiàn)端到端的流程管理，協(xié)調(diào)各個部門的合作，提高管理效率。同時該管理平臺負責全部的人工交互界面，權(quán)限控制和用戶管理等功能。7、完善的資源監(jiān)控及故障處理手段云計算服務管理平臺提供資源和服務的各種運維能力，可以監(jiān)控資源的使用情況，對于平臺故障提供及時地預警報警，保證云計算平臺的穩(wěn)定運行。8、有助于建立 IT 管理規(guī)則為了實現(xiàn)數(shù)據(jù)中心的規(guī)范管理，需要以云計算運行管理平臺為基礎，有助于為數(shù)據(jù)中心制定一套完整的管理規(guī)則。9、開放性要求各類系統(tǒng)設計、產(chǎn)品及網(wǎng)絡構(gòu)建都要滿足相關的國際標準和國家標準，提供標準結(jié)構(gòu)及接口。總體技術(shù)架構(gòu)伴隨著數(shù)據(jù)與業(yè)

22、務的集中，傳統(tǒng)數(shù)據(jù)中心的硬件架構(gòu)已經(jīng)無法滿足業(yè)務的快速上線和靈活的業(yè)務部署。本次云數(shù)據(jù)中心建設項目推薦使用深信服企業(yè)級云方案，即通過“云管平臺 + 超融合架構(gòu)”方案， 基于分布式云數(shù)據(jù)中心架構(gòu)，通過軟件定義的方式實現(xiàn)全新的IT基礎架構(gòu)，通過服務器虛擬化將所有X86的計算資源池化、通過網(wǎng)絡虛擬化構(gòu)建出適合虛擬機遷移的大二層環(huán)境、最后通過存儲虛擬化實現(xiàn)存儲空間的融合?；赩DC實現(xiàn)多組織/多業(yè)務共享資源，按需服務，通過云管平臺實現(xiàn)多個數(shù)據(jù)中心資源的統(tǒng)一管理，同時提供完整的安全和災備方案。邏輯架構(gòu)設計邏輯架構(gòu)視圖XXX數(shù)據(jù)中心總體架構(gòu)包括基礎架構(gòu)層、超融合架構(gòu)層、云服務層和云管層。XXX數(shù)據(jù)中心總體

23、架構(gòu)云服務和管理運營層主要由aCMP組件提供，具體功能如下：1、自主服務門戶 單點登錄的自服務門戶,管理員和用戶在各自的門戶視 圖上完成全部操作。用戶發(fā)起資源申請,各級管理員按 照流程做出響應。支持管理員自定義流程。 2、異構(gòu)虛擬化管理 能夠統(tǒng)一管理異構(gòu)的虛擬化資源,管理員可在統(tǒng)一的界面 中操作資源申請與分配、資源監(jiān)控和運維管理。 3、數(shù)據(jù)庫即服務 針對 Oracle、SQL Server、MySQL 做專門的性能優(yōu) 化和可靠性優(yōu)化。用戶在云平臺上通過向?qū)ё灾暾垟?shù) 據(jù)庫服務,實現(xiàn)數(shù)據(jù)庫的快速交付和簡化配置管理工作。 4、資源監(jiān)控 具有豐富的監(jiān)控功能,可監(jiān)控 CPU、內(nèi)存、網(wǎng)絡流量、磁 盤 I

24、O 等各項性能指標,幫助管理隨時掌握資源使用動態(tài)。 5、多租戶管理 具有三級管理權(quán)限,每個租戶含租戶管理員和租戶的用 戶,避免租戶網(wǎng)絡安全威脅,支持租戶資源配額。 6、快速備份 具有豐富的自動備份策略,能夠?qū)崿F(xiàn)分鐘級的增量備份。超融合架構(gòu)層包括的主要組件有服務器虛擬化aSV、存儲虛擬化aSAN、網(wǎng)絡虛擬化aNET、安全虛擬化aSEC。超融合架構(gòu)層主要組件及其功能模塊主要功能描述服務器虛擬化 aSV 虛擬機管理 提供虛擬機的全生命周期管理,包含創(chuàng)建、刪除、更新配置、備份、掛起、重啟等,并能 全面監(jiān)控虛擬機狀態(tài),確保虛擬機正常運行。 虛擬機 HA 當主機、網(wǎng)絡、虛擬機自身等出現(xiàn)故障時,能將此虛擬機

25、切換到其他的主機上重新啟動運行, 保障虛擬機上的業(yè)務正常使用。 虛擬機熱遷移 支持虛擬機從一臺服務器遷移到另一臺物理服務器,業(yè)務不中斷,數(shù)據(jù)不丟失。降低宕機 帶來的風險、減少業(yè)務中斷的時間。 動態(tài)資源調(diào)度 能夠?qū)Y源持續(xù)監(jiān)測,通過負載均衡機制,持續(xù)執(zhí)行資源動態(tài)平衡,將虛擬機遷移到有更 多可用資源的主機上,確保每個虛擬機在任何節(jié)點都能及時地調(diào)用相應的資源,降低出現(xiàn) 資源搶占的風險。 動態(tài)資源擴展 系統(tǒng)能夠監(jiān)控業(yè)務虛擬機資源使用率,當虛擬機業(yè)務資源使用率過高時,可以自動給虛擬 機添加 CPU、內(nèi)存,以保障業(yè)務的正常運行。 存儲虛擬化 aSAN 存儲多副本技術(shù) 通過對虛擬機文件在多臺物理服務器實時寫

26、入,實現(xiàn)多副本保存,提高了存儲的高可靠性。數(shù)據(jù)保障機制 在主機或者磁盤故障后,超過了設置的超時時間依然沒有人工介入處理,aSAN 將會自動 進行數(shù)據(jù)重建,以保證數(shù)據(jù)副本數(shù)完備,確保數(shù)據(jù)可靠性。 存儲自動精簡配置 通過該技術(shù)只需要提供給虛擬機實際使用的存儲空間,而不是配置的,并且未來可以隨時 擴展?？梢燥@著減少已分配但是未使用的存儲空間,提高了資源利用率。 高性能存儲 通過 I/O本地化、混合磁盤模式、讀寫優(yōu)化算法、存儲分層等多項自研存儲技術(shù),為業(yè)務提 供高 IO、大容量的共享存儲資源。 在線擴容 提供在線添加磁盤或主機功能,在擴容過程中業(yè)務不中斷,能夠解決業(yè)務增長帶來的資源 不足問題。 網(wǎng)絡虛

27、擬化 aNet 分布式虛擬交換機 能夠在多臺主機中邏輯上組成一個分布式交換機,實現(xiàn)虛擬機的網(wǎng)絡管理和實時化網(wǎng)絡監(jiān) 控,并能保證虛擬機在主機之間遷移時網(wǎng)絡配置的一致性。 虛擬路由器 提供自帶 HA 的虛擬路由器,可解決虛擬化后不同網(wǎng)絡間路由問題,并能夠?qū)崿F(xiàn) VLAN 子 網(wǎng)口、NAT 規(guī)則、ACL 策略、DHCP 地址池、DNS 代理等傳統(tǒng)路由器的功能。 分布式虛擬防火墻 集成的分布式防火墻,能夠為每一個虛擬主機提供防火墻保護,實現(xiàn)虛擬化主機間的微隔離, 虛擬機遷移到任何的主機上,依然保留原有的防火墻策略。并且管理員通過簡單的配置管理, 即可實現(xiàn)對防火墻策略的統(tǒng)一下發(fā)。 網(wǎng)絡探測功能 通過發(fā)送帶

28、有標簽的 icmp 報文并跟蹤記錄該報文在轉(zhuǎn)發(fā)平面經(jīng)過的每一跳的信息,經(jīng)過匯 總后統(tǒng)一分析,最終得出故障點和故障原因。 業(yè)務邏輯拓撲所畫即所得 管理員可以通過管理平面從資源池中調(diào)取相應的資源,并通過拖拉連線等方式,描繪出不 同的拓撲架構(gòu)。后臺會自動根據(jù)業(yè)務邏輯拓撲進行底層真實的環(huán)境創(chuàng)建,從而屏蔽了底層 的復雜性。 全網(wǎng)流量可視 通過實時記錄每一個虛擬網(wǎng)絡設備的任何端口的流量,從而在業(yè)務拓撲上形成全網(wǎng)流量可視 , 幫助管理員隨時掌握網(wǎng)絡資源使用動態(tài)。 安全虛擬化 aSEC vAF vAF 是深信服的下一代防火墻 NFV 功能,能夠提供 L2-L7 層安全可視的全面防護,通過 雙向檢測網(wǎng)絡流量,有

29、效識別來自網(wǎng)絡層和應用層的內(nèi)容風險。 vAD vAD 是深信服的應用交付 NFV 功能,集服務器、鏈路、數(shù)據(jù)中心負載均衡和應用性能優(yōu) 化功能于一體,是構(gòu)建高可靠、高效率業(yè)務架構(gòu)的絕佳選擇。 vSSL vSSL 是可以部署在虛擬化環(huán)境的 IPsec / SSL 二合一 VPN, 具有部署簡單、維護成本低、 云端適應能力強等特點 , 具備將云端業(yè)務輕松完成對外安全發(fā)布的能力 , 為用戶提供在任何 時候、任何場所 , 使用任何主流設備快速接入云端網(wǎng)絡、運行內(nèi)部應用的服務。 vAC vAC 是深信服上網(wǎng)行為管理 NFV 功能,以用戶識別、終端識別、應用識別為基礎,結(jié)合封堵、 流控、審計等管理手段,全面

30、應對互聯(lián)網(wǎng)給組織帶來的工作效率下降、帶寬效率下降、泄 密風險、法律風險及上網(wǎng)安全風險等挑戰(zhàn)。 vWOC vWOC 是深信服廣域網(wǎng)優(yōu)化 NFV 功能,具有協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈 路質(zhì)量優(yōu)化等多種技術(shù) , 能夠幫助用戶加快關鍵應用的響應速度 , 為用戶帶來更高的投資 回報比。 平臺總體布局/數(shù)據(jù)中心網(wǎng)絡分區(qū)原則：安全性原則 按照安全等級丌同,劃分為不同分區(qū) 例如,為互聯(lián)網(wǎng)用戶,合作伙伴服務的服務器單獨分區(qū)信息敏感服務器單獨分區(qū)2、高可用布局原則 業(yè)務關聯(lián)度高的服務器部署在同一個區(qū)域 業(yè)務關聯(lián)度低的服務器拆分成多個區(qū)域 可用性要求高的業(yè)務拆分成兩個對等區(qū)域。3、容量適度原則 根據(jù)運維管

31、理經(jīng)驗,控制單個區(qū)域內(nèi)的服務數(shù)量,例如,500臺以內(nèi) 未來服務器數(shù)量增加、區(qū)域間流量增長后可考慮進一步拆分 4、獨立運維管理原則 業(yè)務流量、安全控制、組網(wǎng)協(xié)議方面有特殊要求的服務器單獨分區(qū)。XXX數(shù)據(jù)中心根據(jù)功能分區(qū)，劃分為xx專網(wǎng)接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、第三方接入?yún)^(qū)、核心交換區(qū)、數(shù)據(jù)庫業(yè)務區(qū)、內(nèi)部生產(chǎn)業(yè)務區(qū)、傳統(tǒng)架構(gòu)業(yè)務區(qū)、開發(fā)測試業(yè)務區(qū)。專網(wǎng)接入?yún)^(qū)，作為xx專網(wǎng)網(wǎng)訪問系統(tǒng)資源的入口，承載直接面向xx專網(wǎng)用的業(yè)務接入資源。第三方接入?yún)^(qū)，負責銀行、監(jiān)管機構(gòu)、第三方機構(gòu)與數(shù)據(jù)中心互聯(lián)，例如使用專線來連接政府、銀行等社會機構(gòu)實現(xiàn)數(shù)據(jù)互聯(lián)。互聯(lián)網(wǎng)業(yè)務區(qū)承載租戶直接面向互聯(lián)網(wǎng)用戶的業(yè)務系統(tǒng)，包括但不限門

32、戶網(wǎng)站、網(wǎng)上服務大廳等，通過互聯(lián)網(wǎng)接入?yún)^(qū)實現(xiàn)與互聯(lián)網(wǎng)網(wǎng)絡互通。核心交換區(qū)，用于各區(qū)域數(shù)據(jù)的交互、隔離以及負載均衡。安全管理區(qū)，用戶管理員登陸認證、紀錄操作行為，以及系統(tǒng)和應用的狀態(tài)、日志監(jiān)控等，承擔統(tǒng)一的安全、運營運維、災備等管理系統(tǒng)。數(shù)據(jù)庫區(qū)，為保障性能和可靠性，采用高性能集群部署，利用數(shù)據(jù)庫自身集群技術(shù)（如Oracle RAC，MSSQL AlwaysOn等），實現(xiàn)數(shù)據(jù)庫高可用性?？紤]到數(shù)據(jù)庫安全性，部署數(shù)據(jù)庫審計產(chǎn)品，確保合法的數(shù)據(jù)讀取訪問，非法的請求可以做阻斷。內(nèi)部生產(chǎn)業(yè)務區(qū)，所有的服務器均在云平臺下實現(xiàn)服務器虛擬化、網(wǎng)絡虛擬化、存儲虛擬化和整體集群的冗余，主要承擔內(nèi)部生產(chǎn)辦公系統(tǒng)，例

33、如BOSS系統(tǒng)、ERP系統(tǒng)等。傳統(tǒng)架構(gòu)業(yè)務區(qū)，為保障性能，主要基于傳統(tǒng)服務器存儲架構(gòu)部署，主要承擔互聯(lián)網(wǎng)平臺業(yè)務中需要采用傳統(tǒng)架構(gòu)部署的業(yè)務，例如推流、轉(zhuǎn)碼業(yè)務，該區(qū)域主要利舊原有服務器和存儲設備。開發(fā)測試業(yè)務區(qū)，負責前期業(yè)務系統(tǒng)的測試、開發(fā)、驗證等工作。集成虛擬防火墻功能，確保測試區(qū)域與生產(chǎn)環(huán)境做到安全隔離，測試驗證過程中不影響到生產(chǎn)環(huán)境。部署架構(gòu)設計一期部署架構(gòu)（搭建云平臺基礎框架）XXX數(shù)據(jù)中心一期部署方式如下：XXX數(shù)據(jù)中心一期部署架構(gòu)核心企業(yè)級云數(shù)據(jù)中心基礎架構(gòu)搭建完成。將計劃內(nèi)的老舊單機服務器業(yè)務系統(tǒng)遷移至企業(yè)級云數(shù)據(jù)中心內(nèi)。將部分非核心業(yè)務系統(tǒng)遷移至企業(yè)級云數(shù)據(jù)中心內(nèi)。最大限度施

34、放核心存儲的空間及IO壓力，保證核心業(yè)務運行。數(shù)據(jù)中心內(nèi)多分區(qū)統(tǒng)一管理，資源間安全隔離，根據(jù)業(yè)務需求的不同，劃分不同的區(qū)域，提供不同的資源能力。由于一期建設，boss系統(tǒng)、erp系統(tǒng)仍部署于老機房內(nèi)，因此本階段建設無需搭建傳統(tǒng)架構(gòu)的內(nèi)部生產(chǎn)業(yè)務區(qū)。二期部署架構(gòu)（構(gòu)筑安全能力）考慮二期XXX數(shù)據(jù)中心整體部署方式如下：構(gòu)建統(tǒng)一安全資源池，提升數(shù)據(jù)中心安全防御能力。資源不夠可以擴充新的X86服務器作為計算和空間節(jié)點橫向擴容。三期部署架構(gòu)（統(tǒng)一災備建設）考慮三期XXX數(shù)據(jù)中心整體部署方式如下：主備數(shù)據(jù)中心，在單數(shù)據(jù)中心的基礎上擴展同城災備數(shù)據(jù)中心。兩個數(shù)據(jù)中心之間統(tǒng)一管理，資源統(tǒng)一監(jiān)控。數(shù)據(jù)層面，兩個

35、數(shù)據(jù)中心根據(jù)數(shù)據(jù)保護等級要求，可以選擇數(shù)據(jù)同步方式，也可以選擇異步方式進行同步。數(shù)據(jù)庫層面，配置數(shù)據(jù)庫集群軟件，實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)同步，保證數(shù)據(jù)庫邏輯層面一致性。網(wǎng)絡層面，兩個數(shù)據(jù)中心通過裸光纖互聯(lián)，保證高速穩(wěn)定低時延的數(shù)據(jù)中心互聯(lián)網(wǎng)絡，數(shù)據(jù)中心從邏輯上分為接入側(cè)和服務側(cè)，服務側(cè)內(nèi)部又根據(jù)業(yè)務單元分為WEB、APP和DB這3個區(qū)。全局負載設備負責數(shù)據(jù)中心級的業(yè)務流量調(diào)度和切換，各區(qū)的服務器負載均衡負責本地的服務器負載，通過應用級的健康檢查功能實時發(fā)現(xiàn)服務器、鏈路、負載均衡器的故障，根據(jù)用戶的需求做預設的策略，實現(xiàn)靈活的故障切換，降低業(yè)務切換風險。對于業(yè)務連續(xù)性要求高的業(yè)務，當一個數(shù)據(jù)中心故障時，業(yè)

36、務可以快速接管并持續(xù)提供業(yè)務。在第三階段，原有機房的ERP系統(tǒng)、BOSS系統(tǒng)需要遷移至生產(chǎn)機房，因此可以利舊原有設備搭建傳統(tǒng)架構(gòu)的業(yè)務生產(chǎn)區(qū)，支撐業(yè)務遷移。核心技術(shù)說明服務器虛擬化技術(shù)服務器是云計算平臺的核心，其承擔著云計算平臺的“計算”功能。對于云計算平臺上的服務器，通常都是將相同或者相似類型的服務器組合在一起，作為資源分配的母體，即所謂的服務器資源池。在這個服務器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以一種云主機 的方式被不同的應用和不同用戶使用。深信服aSV虛擬化平臺作為介于硬件和操作系統(tǒng)之間的軟件層，采用裸金屬架構(gòu)的X86虛擬化技術(shù)，實現(xiàn)對服務器物理資源的抽象，將CPU、內(nèi)存

37、、I/O等服務器物理資源轉(zhuǎn)化為一組可統(tǒng)一管理、調(diào)度和分配的邏輯資源，并基于這些邏輯資源在單個物理服務器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境，實現(xiàn)更高的資源利用率，同時滿足應用更加靈活的資源動態(tài)分配需求，譬如提供熱遷移、HA等高可用特性，實現(xiàn)更低的運營成本、更高的靈活性和更快速的業(yè)務響應速度，如下圖所示：存儲虛擬化技術(shù)在本次云數(shù)據(jù)中心建設方案中，采用分布式存儲技術(shù)構(gòu)建統(tǒng)一的存儲資源池，可以形成可橫向擴展（Scale-out）的云計算基礎架構(gòu)。在業(yè)務應用區(qū)部署深信服aSAN存儲方案，運行在這種架構(gòu)上的云主機不僅能夠象傳統(tǒng)層次架構(gòu)那樣支持vMotion、DRS、快照等，而且數(shù)據(jù)不再經(jīng)過一個復

38、雜的網(wǎng)絡傳遞，性能得到顯著提高。由于不再需要集中共享存儲設備，整個云平臺基礎架構(gòu)得以扁平化，大大簡化了IT運維和管理。利用aSAN方案構(gòu)建云平臺存儲資源池，有效利用服務器資源，降低能源消耗，幫助企業(yè)實現(xiàn)IT環(huán)境的節(jié)能減排。aSAN方案的邏輯架構(gòu)如上圖所示。這種架構(gòu)的基本單元是部署了虛擬化系統(tǒng)的x86標準服務器。在提供虛擬計算資源的同時，服務器上的空閑磁盤空間被組織起來形成一個統(tǒng)一的虛擬共享存儲：虛擬存儲系統(tǒng)。虛擬化存儲在功能上與獨立共享存儲完全一致；同時由于存儲與計算完全融合在一個硬件平臺上，無需象以往那樣購買連接計算服務器和存儲設備的專用SAN網(wǎng)絡設備（FC SAN或者iSCSI SAN）。

39、1、橫向、縱向線性按需擴展aSAN存儲虛擬化方案可以支持橫向（增加服務器數(shù)量）、縱向（增加單臺服務器的硬盤數(shù)量）等擴展方式，擴展起來非常簡單，只需要將新的服務器加入原來的集群就可以實現(xiàn)擴展，擴展后可以實現(xiàn)容量和性能的同步擴展，目前最大支持64臺服務器組件一個集群。此外，添加新的服務器到集群后，不僅存儲空間得到擴展，性能也會得到同步的擴展，例如2臺服務器擴展到4臺服務器后，不僅存儲空間得到擴展，整體性能也會擴展為原來的2倍。所以，aSAN可以幫助客戶不需要過多地考慮未來的擴展，只需要滿足未來36個月的需求就足夠了，極大降低了初期的投資成本，并避免了傳統(tǒng)FC存儲由于無法平滑擴展性能，而需要遷移數(shù)據(jù)

40、存儲所帶的高風險。2、數(shù)據(jù)保護和高可用性在可靠性方面，虛擬化存儲aSAN沒有采用傳統(tǒng)FC存儲的raid方式，而是把每份數(shù)據(jù)copy成多份副本進行多副本存儲，服務器只需要以常規(guī)手段掛載硬盤，虛擬化存儲平臺會把數(shù)據(jù)、在不同的物理服務器硬盤里創(chuàng)建2個到3個一樣的副本。而且，每一次數(shù)據(jù)的變化，都會通過網(wǎng)絡，同時在aSAN中的所有副本里進行同步，從而確保數(shù)據(jù)的一致性。這樣做的好處非常明顯，多副本的同步存儲方式，能夠在最大程度上確保數(shù)據(jù)的互備效果，從而低成本的實現(xiàn)存儲的高可靠。由于aSAN存儲虛擬化采用副本方式保存數(shù)據(jù)，支持2-3份副本。當物理硬盤出現(xiàn)故障的時候，存儲則會被重新指向另外一個健康的副本，整個

41、過程是毫秒級的切換,對用戶來講基本是無感知的。如果不幸遇上了物理主機或者是網(wǎng)絡故障，整個虛擬化平臺可以完成分鐘級的切換，業(yè)務系統(tǒng)或者網(wǎng)絡設備的虛機可以快速切換到另一臺服務器拉起，幾分鐘就能恢復正常運作，而存儲的指向仍然保持了同步，這樣就比傳統(tǒng)方式的業(yè)務恢復速度快了很多。 磁盤長期運行導致?lián)p壞這是不可避免的。對于這個問題，我們會建議客戶在集群中構(gòu)建一些全局熱備盤，當某一塊磁盤或者某幾塊磁盤出現(xiàn)故障，系統(tǒng)可以第一時間替代故障磁盤，實現(xiàn)快速的磁盤自動化替換，不需要人工操作。降低磁盤故障帶來的風險，提高數(shù)據(jù)的可靠性。3、高性能SSD緩存技術(shù)：由于傳統(tǒng)的sas盤、sata盤的性能只有7200轉(zhuǎn)，iops

42、達不到眾多應用系統(tǒng)的相關性能要求。所以，深信服的存儲虛擬化aSAN在硬件架構(gòu)上會要求采用SSD雙緩存方式，讀和寫都使用獨立的SSD硬盤來實現(xiàn)，借助于SSD的高效緩存技術(shù)，可以讓用戶以較低的成本獲得非常高的IO性能。此外，通過我們的算法優(yōu)化，業(yè)務系統(tǒng)所請求的數(shù)據(jù)、絕大部分情況下都會直接讀取到本地磁盤上的副本，從而使得存儲的響應速度大幅提升，明顯提升整體存儲的IOPS性能。網(wǎng)絡虛擬化技術(shù)服務器虛擬化技術(shù)的出現(xiàn)使得計算服務提供不再以主機為基礎，而是以云主機為單位來提供，同時為了滿足同一物理服務器內(nèi)云主機之間的數(shù)據(jù)交換需求，服務器內(nèi)部引入了網(wǎng)絡功能部件虛擬交換機vSwitch（Virtual Swit

43、ch），如下圖所示，虛擬交換機提供了云主機之間、云主機與外部網(wǎng)絡之間的通訊能力。深信服網(wǎng)絡虛擬化aNet，通過提供全新的網(wǎng)絡運營方式，解決了傳統(tǒng)硬件網(wǎng)絡的眾多管理和運維難題，并且?guī)椭鷶?shù)據(jù)中心操作員將敏捷性和經(jīng)濟性提高若干數(shù)量級。深信服網(wǎng)絡虛擬化aNet方案通過和服務器虛擬化aSV相結(jié)合，在虛擬機和物理網(wǎng)絡之間，提供了一整套完整的邏輯網(wǎng)絡設備、連接和服務，包括分布式虛擬交換機aSwitch、虛擬路由器aRouter、虛擬下一代防火墻vNGAF、虛擬應用交付vAD、虛擬vSSL VPN、虛擬廣域網(wǎng)優(yōu)化vWOC等虛擬網(wǎng)絡、安全設備；然后，還可以支持VXLAN等增強網(wǎng)絡協(xié)議，實現(xiàn)和物理網(wǎng)絡的無縫對接，

44、簡化網(wǎng)絡的配置管理；此外，還可以通過虛擬化管理平臺，實現(xiàn)網(wǎng)絡拓撲部署、網(wǎng)絡故障探測等網(wǎng)絡管理功能。從而，aNet虛擬網(wǎng)絡可以快速完成不同應用系統(tǒng)的網(wǎng)絡部署，網(wǎng)絡配置的自動化調(diào)整，網(wǎng)絡故障排查等工作，提升網(wǎng)絡的管理運維效率，提升網(wǎng)絡就緒、擴展速度，降低數(shù)據(jù)中心物理網(wǎng)絡的建設成本。1、簡化網(wǎng)絡結(jié)構(gòu)，節(jié)省硬件網(wǎng)絡投資在部署了深信服的網(wǎng)絡虛擬化aNet之后，過去傳統(tǒng)的接入交換、路由器、負載均衡、防火墻等傳統(tǒng)網(wǎng)絡、安全硬件設備，通通變成虛擬化的方式運行在服務器里。以前。串糖葫蘆式的網(wǎng)絡結(jié)構(gòu)也會變得非常的扁平，服務器全部接入到一個大二層的網(wǎng)絡，極大的簡化物理連線。此外，硬件交換機不再需要支持類似TRILL

45、/SPB/FabricPath/VPLS（為了解決服務器虛擬化部署后的問題，新推出的交換機特性）等一些列不必要的過渡性網(wǎng)絡功能，從而只需要普通的交換機就可以滿足云計算網(wǎng)絡的建設，降低了不必要的網(wǎng)絡建設成本。2、簡化網(wǎng)絡配置，實現(xiàn)業(yè)務自動化調(diào)整部署了虛擬網(wǎng)絡aNet后，對于物理交換機來說虛擬化環(huán)境中的虛擬機網(wǎng)絡流量將會變得透明，物理交換機不再需要配置復雜的網(wǎng)絡策略，提供簡單的大二層轉(zhuǎn)發(fā)即可。因為，所有虛擬機的VLAN、QoS、ACL等網(wǎng)絡配置策略，將會部署aSwitch上。而aSwitch將會自動根據(jù)每臺虛擬機遷移、刪除等過程，實現(xiàn)網(wǎng)絡策略的自動跟隨，實現(xiàn)網(wǎng)絡配置的自動化調(diào)整，極大的簡化了虛擬機

46、遷移所帶來復雜的網(wǎng)絡運維工作。3、高可靠&高性能過去傳統(tǒng)物理網(wǎng)絡容易因為網(wǎng)絡設備的故障而產(chǎn)生問題，解決起來也非常困難，時間都是以小時為單位的。所以，深信服的網(wǎng)絡虛擬化產(chǎn)品，在可靠性方面做了很多的改進，首先通過應用層協(xié)議棧技術(shù)，我們把數(shù)據(jù)轉(zhuǎn)發(fā)放到了應用層，能夠讓設備永不宕機,而分布式設計的虛擬路由和虛擬交換機，出現(xiàn)故障的時候能夠?qū)崿F(xiàn)秒級切換，從而避免虛擬設備的單點故障，物理設備和鏈路我們設計了集群部署和鏈路聚合，能夠避免物理環(huán)境的單點故障；這樣，我們就實現(xiàn)了整個虛擬網(wǎng)絡環(huán)境的高可靠保障，任意環(huán)節(jié)出現(xiàn)故障，都能被自動檢測出來，并快速恢復業(yè)務。此外，對于虛擬化網(wǎng)絡的性能問題，深信服自主研發(fā)了高性能網(wǎng)

47、絡轉(zhuǎn)發(fā)引擎，結(jié)合intel最新的DPDK技術(shù)和SR-IOV技術(shù)，aSwitch虛擬設備可以達到雙向10G的數(shù)據(jù)轉(zhuǎn)發(fā)，讓虛擬化網(wǎng)絡能夠以非常低廉的成本擁有和物理網(wǎng)絡一樣強勁的性能。4、完整專業(yè)的L4-L7網(wǎng)絡服務，確保架構(gòu)平滑遷移只把交換機和路由器虛擬化是不夠的，復雜的業(yè)務環(huán)境是必須要配置負載均衡、VPN、防火墻這樣的L4-L7安全、優(yōu)化功能。所以，深信服將在硬件設備領域非常具有優(yōu)勢的NGAF、AD、WOC、SSL VPN等設備也虛擬化了，從而可以幫助用戶將應用系統(tǒng)平滑的從物理環(huán)境遷移到虛擬化環(huán)境中，并滿足安全合規(guī)要求。vNGAF、vAD、vWOC、vSSL VPN等虛擬化設備，保持了和硬件設備

48、一致的功能特性，并且具備齊全的各種產(chǎn)品資質(zhì)證書，如安全產(chǎn)品銷售許可證等。用戶只需要根據(jù)不同應用系統(tǒng)的性能要求，分配1、2、4、8核不同檔次的CPU資源，各種虛擬化設備就可以提供從百兆到千兆的性能。5、多層次安全策略，無縫安全防護為了從不同維度提升虛擬化平臺的安全性，通過隔離的分布式交換機、ACL訪問控制、NGAF的L2-L7安全防護技術(shù)、SSL VPN完整的安全接入技術(shù)等方式，可以加固虛擬機、業(yè)務系統(tǒng)等不同虛擬化環(huán)境邊界的安全性。尤其是NGAF可以提供包括：狀態(tài)檢測、應用訪問控制、漏洞防護、Web攻擊保護、防敏感信息泄露、漏洞風險掃描、安全策略聯(lián)動、防木馬病毒等完整的L2-L7安全功能，可以幫

49、助用戶簡化安全部署，并滿足合規(guī)要求。云管理技術(shù)深信服企業(yè)云管理平臺aCloud，將深信服超融合架構(gòu)構(gòu)建的虛擬化的全資源池，和第三方的虛擬化平臺構(gòu)建的資源池，通過流程化、自動化的方式，實現(xiàn)資源即服務的交付方式，交付給最終的業(yè)務部門或者業(yè)務使用者，并實現(xiàn)平臺自動化的運維。深信服的企業(yè)云管理平臺，可以實現(xiàn)對第三方虛擬化管理，比如Vmware的vCenter等。管理平臺采用分布式架構(gòu)設計，即企業(yè)云架構(gòu)集群中，每個節(jié)點都可提供相應的管理服務，任何單一節(jié)點故障都不會引起整個平臺的管理中斷。并且平臺可提供分級分權(quán)的管理，針對不同的平臺用戶，可以各自使用和管理平臺管理分配給的對應資源，并且針對每種資源對象，可

50、以部署更加精細化的權(quán)限管理和控制，極大了滿足了企業(yè)云平臺，構(gòu)建云化IT架構(gòu)中，多租戶使用IT資源的靈活性。異構(gòu)資源管理深信服企業(yè)級云管理aCloud可以同時兼容VMware、KVM等主流虛擬化平臺，并支持對主流的硬件資源實現(xiàn)統(tǒng)一集中管理，通過云管理平臺為租戶屏蔽異構(gòu)虛擬化平臺差異，在多虛擬化平臺環(huán)境下，能為租戶提供相同的云主機資源服務，并實現(xiàn)對于異構(gòu)虛擬化平臺的統(tǒng)一管理。操作流程：在SANGFOR aCMP上接入VMware數(shù)據(jù)中心：這里需要vCenter的IP、用戶名和密碼等信息，添加前請檢查網(wǎng)絡，確保aCMP主控與vCenter的IP地址可以正常通信。添加成功后，aCMP可正常接管VMwa

51、re數(shù)據(jù)中心，將虛擬機資源分配給對應組織區(qū)域中的用戶使用：用戶獲得審批后，可以正常使用VMware數(shù)據(jù)中心中的虛擬機：分級分權(quán)管理據(jù)企業(yè)云業(yè)務劃分需求，可以將管理員劃分為多級進行管理，不同的級別具有不同的管理權(quán)限和訪問權(quán)限。系統(tǒng)管理員：或者稱之為超級管理員，能夠創(chuàng)建和管理數(shù)據(jù)中心內(nèi)的所有云資源。對于公有云，系統(tǒng)管理員是運營商數(shù)據(jù)中心管理員；對于私有云，系統(tǒng)管理員是企業(yè)或機構(gòu)的IT管理員。組織管理員：或者稱之為虛擬數(shù)據(jù)中心（vDC）管理員，擁有對組織虛擬數(shù)據(jù)中心的管理權(quán)，包括組織內(nèi)部虛擬機的運行管理、鏡像管理、用戶管理以及認證策略管理等。組織管理員由系統(tǒng)管理員創(chuàng)建。對于私有云，組織管理員是內(nèi)部部

52、門的IT管理員。最終用戶：權(quán)限最低，允許最終用戶通過內(nèi)部網(wǎng)絡訪問自己專屬的虛擬機，并允許通過自助服務門戶向組織管理員申請?zhí)摂M資源。最終用戶由組織管理員創(chuàng)建。除此之外，深信服企業(yè)云管理平臺還提供了管理員分組的概念。管理員分組是多個管理員的集合，每一個分組又可以配置多個子分組，不同的子分組可能具有不同的訪問權(quán)限，但屬于同一個分組或子分組的管理員具有相同的訪問權(quán)限；同時支持分組后的的操作員對應資源的資源配額。IT自服務和流程自助式服務管理為用戶提供了一個多租戶的、可自助的IaaS服務，是一種全新的基礎架構(gòu)交付和使用模式，深信服企業(yè)云管理平臺提供的虛擬化資源池功能，使IT部門能夠?qū)T物理資源，抽象成

53、按需提供的彈性虛擬資源池包括虛擬機、存儲、網(wǎng)絡、網(wǎng)絡安全，以消費單元（即組織或虛擬數(shù)據(jù)中心）的形式對外提供服務，IT部門能夠通過完全自動化的自助服務訪問，為用戶提供這些消費單元以及其它包括虛擬機和操作系統(tǒng)鏡像等在內(nèi)的基礎架構(gòu)和應用服務模板。這種自助式的服務真正實現(xiàn)了業(yè)務的敏捷性和高效性，并極大程度地提高了業(yè)務的快速創(chuàng)新能力。流程簡介：新增組織，同時指定組織管理員，為組織分配資源配額：新建云管用戶，云管用戶作為最終用戶，具有對資源的實際使用權(quán)：用戶使用自助服務門戶，提交工單申請資源：組織管理員itadmin審批通過，并執(zhí)行工單：工單執(zhí)行后，用戶可以使用申請的虛擬機資源：自動化運維深信服企業(yè)云，提

54、供一鍵式的自動化運維手段，通過平臺提供的一鍵故障檢測、一鍵健康檢測，通過平臺提供故障定位分析，能夠快速分析出問題節(jié)點，并能夠指出具體的原因和修復的指導、而平臺提供的一鍵健康檢測，能夠快速分析出平臺潛在的業(yè)務風險，包括各種和資源性能或者容量風險，平臺管理管理和租戶管理員，可以根據(jù)系統(tǒng)建議，可以選擇手動或者自動的方式，實現(xiàn)業(yè)務的故障排除和資源優(yōu)化。技術(shù)優(yōu)勢總結(jié)1、使用軟件定義的網(wǎng)絡、安全、存儲獲得效率和敏捷性擺脫極不靈活的網(wǎng)絡和安全、存儲體系結(jié)構(gòu)，這種體系結(jié)構(gòu)基于手動調(diào)配的VLAN并使用分立管理界面的專用設備，需要復雜的LUN、RAID等存儲管理。使用軟件主導型網(wǎng)絡和安全、存儲虛擬化服務，獲得云計

55、算基礎架構(gòu)的全面敏捷性。通過創(chuàng)建能夠適應工作負載并隨工作負載移動的網(wǎng)絡和安全、存儲結(jié)構(gòu)，根據(jù)業(yè)務需要快速部署、移動、擴展和保護應用及數(shù)據(jù)。深信服云平臺架構(gòu)可使軟件主導型網(wǎng)絡和安全、存儲與緊密集成到虛擬數(shù)據(jù)中心管理中的基于策略的調(diào)配機制結(jié)合在一起，提升效率和敏捷性。同時相比較計算資源和分布式存儲資源分離部署的方案，全融合架構(gòu)對資源利用率更高，擴容更線性，管理上也不存在割裂的問題。2、簡單易用、自助統(tǒng)一的業(yè)務交付能力簡單4步，快速部署上線，無需機房連線操作，設備的配置界面保持了與硬件設備一致的風格，讓云中心/租戶管理員只需要數(shù)分鐘時間，就可以快速完成業(yè)務的上線部署。提供用戶資源的申請、審批到分配部

56、署的智能化資源交付能力，提供對傳統(tǒng)的物理資源、異構(gòu)虛擬資源統(tǒng)一管理管理，簡化調(diào)配，降低運營成本。本期方案詳細設計部署架構(gòu)設計根據(jù)平臺總體布局設計，XXX數(shù)據(jù)中心機房整體部署方式如下：本期項目整體部署架構(gòu)核心企業(yè)級云數(shù)據(jù)中心基礎架構(gòu)搭建完成。將計劃內(nèi)的老舊單機服務器業(yè)務系統(tǒng)遷移至企業(yè)級云數(shù)據(jù)中心內(nèi)。將部分非核心業(yè)務系統(tǒng)遷移至企業(yè)級云數(shù)據(jù)中心內(nèi)。最大限度施放核心存儲的空間及IO壓力，保證核心業(yè)務運行。數(shù)據(jù)中心內(nèi)多分區(qū)統(tǒng)一管理，資源間安全隔離，根據(jù)業(yè)務需求的不同，劃分不同的區(qū)域，提供不同的資源能力。由于一期建設，boss系統(tǒng)、erp系統(tǒng)仍部署于老機房內(nèi)，因此本階段建設無需搭建傳統(tǒng)架構(gòu)的內(nèi)部生產(chǎn)業(yè)務區(qū)

57、。網(wǎng)絡系統(tǒng)設計整體說明網(wǎng)絡設計整體說明：數(shù)據(jù)中心采用核心接入二層架構(gòu)。數(shù)據(jù)中心互聯(lián)網(wǎng)接入和第三方接入?yún)^(qū)域，部署兩臺路由器和聯(lián)通骨干網(wǎng)路互通，同時部署抗DDOS設備、下一代防火墻以及流量控制設備，提供內(nèi)外網(wǎng)安全隔離和防護功能以及web系統(tǒng)防御。內(nèi)網(wǎng)核心交換采用兩臺核心核心交換機，實現(xiàn)集群功能，并旁掛防火墻實現(xiàn)安全分區(qū)。配置外聯(lián)接入交換機，保證未來外部第三方接入可以模塊化擴展。應用服務器業(yè)務區(qū)包含4個網(wǎng)絡平面，分別是管理、業(yè)務、存儲、隧道平面，其中管理、業(yè)務、隧道交換機采用千兆交換機堆疊組網(wǎng)，存儲平面采用萬兆交換機堆疊組網(wǎng)，管理、業(yè)務交換機通過10GE上行鏈接到核心交換機。數(shù)據(jù)庫區(qū)業(yè)務交換機和存儲

58、交換機堆疊組網(wǎng)，業(yè)務交換機通過10GE上行鏈接到核心交換機，考慮數(shù)據(jù)庫區(qū)存儲獨立性，建議存儲交換機不上行鏈接到核心交換機。管理服務器以及所有服務器的BMC口接入到帶外交換機，然后上行到單獨的核心交換機。在應用服務器區(qū)、業(yè)務托管區(qū)、外部接入?yún)^(qū)內(nèi)的DMZ區(qū)等以超融合技術(shù)構(gòu)建的基礎架構(gòu)業(yè)務分區(qū)內(nèi)，采用虛擬網(wǎng)絡技術(shù)實現(xiàn)虛擬機之前的數(shù)據(jù)交換。物理網(wǎng)絡部署設計核心交換區(qū)核心交換區(qū)的功能主要是完成各服務功能分區(qū)之間數(shù)據(jù)流量的高速交換，是數(shù)據(jù)中心南北向流量和東西向流量的交匯點。為此，核心交換區(qū)必須具備高速轉(zhuǎn)發(fā)的能力，同時還需要有很強的擴展能力，滿足業(yè)務未來快速發(fā)展的需求。核心層采用2臺核心交換機，采用M-LA

59、G技術(shù)，下行鏈路選擇10G鏈路捆綁技術(shù)與接入交換機互聯(lián)，增加帶寬的同時也提高了網(wǎng)絡鏈路的可靠性；同時，旁掛兩臺主備防火墻做網(wǎng)絡分區(qū)隔離、防病毒功能，配置外聯(lián)接入交換機，保證未來外部第三方接入可以模塊化擴展?；ヂ?lián)網(wǎng)接入?yún)^(qū)設計互聯(lián)網(wǎng)接入?yún)^(qū)主要提供數(shù)據(jù)中心內(nèi)業(yè)務訪問互聯(lián)網(wǎng)的通路以及數(shù)據(jù)中心安全防護。組網(wǎng)說明：出口兩條主備xxx鏈路，抗DDoS設備為旁掛部署，提供對DDoS攻擊的安全服務全局負載均衡主備部署，采用路由模式，上行接入網(wǎng)關路由器設備，每臺防火墻與路由器間采用冗余設計，保障鏈路可靠性；兩臺下一代防火墻主主部署，采用透明模式，上行接入全局負載均衡設備，采用雙鏈路連接，保障鏈路可靠性；下一代防火

60、墻開啟IPS、實施漏洞分析、防病毒等功能實現(xiàn)內(nèi)外網(wǎng)的安全隔離邊界防火墻與核心交換機間串聯(lián)流量控制設備，同樣采用雙鏈路連接，提高帶寬使用率；流量控制設備對整體網(wǎng)絡帶寬提供高效利用，出口安全規(guī)劃保證數(shù)據(jù)中心網(wǎng)絡安全。DMZ業(yè)務區(qū)設計部署二臺應用負載均衡器，實現(xiàn)應用高可用性并可優(yōu)化web應用訪問（如TCP連接復用、壓縮、緩存、SSL卸載等）。部署WEB防火墻，用于防止WEB層的攻擊；安全分區(qū)防火墻設計(可選)安全防火墻組網(wǎng)設計防火墻組網(wǎng)說明：兩臺防火墻旁掛于核心交換機旁。防火墻工作在AP模式。每臺防火墻通過2條GE鏈路連接核心交換機，作為內(nèi)網(wǎng)口，2條GE鏈路連接核心交換機，作為外網(wǎng)口。在防火墻上將內(nèi)