120页7万字XX云数据中心解决方案技术方案
目 录
前 言
1 项目概述
1.1 项目背景
1.2 建设目标与范围
1.2.1 建设目标
1.2.2 建设范围
1.3 项目方案设计原则
1.4 给客户带来的价值
2 项目IT需求
2.1 网络需求
2.2 计算平台需求
2.3 安全需求
2.4 管理需求
2.5 容灾备份需求
2.6 业务迁移需求
2.7 数据中心整合需求
2.8 绿色节能需求
3 技术方案总体设计
3.1 方案总体架构
3.2 网络方案
3.3 计算平台方案
3.4 安全方案
3.5 管理方案
3.6 容灾备份方案
3.7 业务迁移需求
3.8 绿色节能方案
4 网络方案设计
4.1 网络总体架构设计
4.1.1 总体网络架构
4.2 网络核心层设计
4.2.1 组网设计
4.2.2 可靠性设计
4.3 存储网络设计
4.4 网络功能区设计
4.4.1 外联区设计
4.4.2 网络服务区设计
4.4.3 业务服务及运行管理区设计
4.5 多数据中心互联设计
4.5.1 业务需求
4.5.2 多数据中心互联
4.5.3 主备双中心容灾网络
5 计算平台方案设计
5.1 计算平台总体架构
5.2 系统处理能力分析
5.2.1 计算处理能力
5.2.2 存储处理能力分析
5.3 计算存储场景设计
5.3.1 计算场景技术
5.3.2 存储场景设计
6 安全方案设计
6.1 云数据中心安全需求
6.1.1 云安全需求
6.1.2 等级保护要求
6.2 等级保护三级安全保护框架
6.2.1 安全域划分
6.2.2 信息安全等级保护框架
6.3 业务区安全防护方案
6.3.1 功能设计
6.3.2 产品部署
6.3.3 产品特性
6.4 公共信息服务区安全防护方案
6.4.1 功能设计
6.4.2 产品部署
6.4.3 产品特性
6.5 外联区安全防护方案
6.5.1 功能设计
6.5.2 产品部署
6.5.3 产品特性
6.6 运行管理区安全防护方案
6.6.1 功能设计
6.6.2 产品部署
6.6.3 产品特性
6.7 等级保护设计技术要求和基本要求的对应
6.8 等级保护安全管理解决方案
6.8.1 监控管理和安全管理中心
6.8.2 网络安全管理
6.8.3 系统安全管理
6.8.4 恶意代码防范管理
6.8.5 安全事件处置
6.9 对等级保护基本要求的符合性
6.9.1 等级保护二级基本要求的符合性
6.9.2 等级保护三级基本要求的符合性
6.10 本方案所涉及安全措施清单
6.10.1 等级保护二级涉及安全措施
6.10.2 等级保护三级涉及安全措施
7 管理方案设计
7.1 管理总体架构
7.2 管理方案设计
7.2.1 集中监控管理
7.2.2 IT服务管理
7.2.3 统一运维管理门户
7.2.4 云管理
7.2.5 业务运营管理
8 容灾备份方案设计
8.1 备份方案设计
8.1.1 NAS备份
8.1.2 HDP备份
8.1.3 基于NBU软件的备份
8.2 容灾方案设计
8.2.1 容灾概述
8.2.2 应用级容灾
8.2.3 数据级容灾
8.2.4 容灾切换流程
9 绿色节能方案设计
9.1 绿色机房基础架构
9.2 绿色计算平台
10 解决方案选型和规格
10.1 应用场景
10.2 规格及选型
10.2.1 外网
10.2.2 内网
11 解决方案优势和价值
11.1 自主研发的云计算整体解决方案
11.2 先进的云计算方案架构设计
11.3 电信级数据中心安全保障方案设计
11.4 上线即用的华为云计算业务产品
11.5 完整的数据中心集成解决方案
11.6 强大的集成服务交付能力
11.7 成熟的、多虚拟化平台、政府行业系统集成能力
11.8 强大的业务系统迁移能力
A 成功案例
B 缩略语
方案总体架构
云数据中心总体架构设计遵循面向业务需求的设计思路,基于业务场景化、模块化的设计方法,实现数据中心IT基础架构模块与业务模块松耦合,保证数据中心业务动态扩展和新业务快速上线。
使用典型规格产品设计,包括硬件、软件和应用规格化来提供简单可靠、易于部署和管理、便于扩展和升级的IT基础架构,为用户提供更好的投资保护,满足云数据中心新建、升级扩容,以及数据中心统一管控的需求,可实现被集成的场景。
云数据中心解决方案的总体架构如图3-1所示。
总体架构
网络方案
网络架构设计采用“分区+分层+分平面”的设计思路:
l 根据云数据中心不同业务功能区域之间的隔离需求,将数据中心的核心网络按照功能的不同分成多个业务区域,各业务区域之间实现网络的逻辑隔离;
l 根据云数据中心的网络系统动态扩展和高效交换的需求,将数据中心的核心网络分为核心层与接入层,实现扁平化的二层网络架构;
l 根据云数据中心网络高效交换的需求,将数据中心网络分为管理平面、业务平面和存储平面,不同平面间进行逻辑隔离;单个平面故障不会影响其它网络平面的正常工作。
计算平台方案
云数据中心支持业务应用运行于华为或业界主流厂商的物理服务器和存储、华为云计算平台和其它的虚拟化平台(VMware),支持对服务器和存储的集中管理。
云数据中心支持根据业务应用的不同特点(大计算量应用系统、高I/O访问应用系统、高并发访问应用系统以及对资源要求一般的应用系统)采用物理服务器、虚拟机(华为虚拟化平台、VMware虚拟化平台)、SAN或NAS、网络或存储连接技术(GE或10GE、4G/8G光纤连接)、存储虚拟化技术,能根据业务应用的特点对服务器或存储进行配置满足应用对计算和存储的需要(CPU、内存、网络I/O、存储I/O)。
服务器的总计架构分为三层,即表现层、应用层和数据层,三层架构的部署可以是采用物理机部署或者虚拟化部署,其中虚拟化部署方式主要考虑华为云操作系统GalaX8800;为保护用户已有投资,华为云数据中心解决方案支持业界第三方虚拟化平台,如VMware。
存储的总体架构主要是分为IPSAN、FCSAN、NAS和存储虚拟化四种;云数据中心支持华为存储和业界主流存储(IBM/HP/EMC/NetApp/HDS);采用华为VIS来支持存储虚拟化,实现存储的统一管理。
在部署业务时,首先考虑使用虚拟化平台,优先采用虚拟主机满足,对于虚拟主机不能满足的应用,则采用物理服务器满足。以下是针对不同类型应用系统的计算平台方案:
l 物理主机和虚拟机的不同节点配置全面覆盖客户的不同业务需求;
l 对内存容量、IO、扩展性的要求都不高,且有节约空间和能源的应用,我们推荐采用虚拟化计算资源来满足;
l 对于高性能计算,大容量存储,大容量内存和高IO的需求,虚拟化不能满足应用需求,则采用4路X86服务器或UNIX服务器等高性能物理主机满足;
l 针对普通的应用系统,如WEB,对内存容量、IO、扩展性的要求都不高,建议采用虚拟主机,且能节约计算资源、机架空间、能源;
l 存储设备和计算服务器之间采用多路径技术保证可靠性;
l 采用面向网络的存储体系结构,使数据处理和数据存储分离;网络存储体系将I/O能力扩展到网络上,特别是灵活的网络寻址能力,远距离数据传输能力,I/O高效性能;
采用存储网络,消除了不同存储设备和服务器之间的连接障碍;提高了数据的共享性、可用性和可扩展性、管理性。
安全方案
在云数据中心安全架构主要包含安全域划分、系统自身安全、专用安全防护系统和信息安全管理四个层次的安全方案:
l 通过安全域划分,形成清晰、简洁、稳定的IT组网架构,实现系统之间严格访问控制的安全互连,更好的解决复杂系统的安全问题;
l 系统自身安全,从系统的安全开发、安全配置、以及自身提供的安全特性方面加强系统安全;
l 专用安全防护系统,从网络、系统、应用、数据库、数据需要的安全技术手段方面加强安全防护;
l 网络信息安全管理,主要从信息安全管理方面设计安全风险管理、预警管理、策略管理、脆弱性管理、知识库管理。
管理方案
云数据中心管理系统采用开放的、可扩展、松耦合的面向服务的管理架构的设计思路,根据数据中心业务需求配置运营和运维管理模块,主要模块包统一运维管理门户、业务运营管理、IT服务管理、集中监控管理和云管理。
基于保证方案的开放性、可扩展性,华为的数据中心管理工具采用SOA的架构、同时有机结合华为的云平台管理及业界成熟的管理产品实现云数据中心运营运维的管理功能。
l 业务运营与管理
− 业务管理主要面向业务方面的规划与设计,包括服务目录管理,产品管理、服务定价策略,服务级别管理等功能的规划与设计;
− 业务运营管理负责业务的日常运转,包括业务日常流程和业务的受理;
− 客户自助服务帮助客户实现服务的在线定购、方便的服务访问及服务管理。
l IT运维与管理
− IT服务管理实现基于ITIL的流程的定义和管理,同时提供流程的定义模版,实现特定流程的定制;
− 集中的、统一的、综合的监控管理支持云数据中心所覆盖的IT资源的集中监控;
− 云平台管理采用华为的云管理平台,实现资源的自动部署,同时结合IT服务管理完成相关的变更、配置管理。
l 统一运维管理门户采用华为的门户方案,实现运营、运维的一体化管理,包括用户管理、管理工作台、仪表盘、综合报表及知识库等;
容灾备份方案
对容灾备份存在下面的一些关键需求:
Ø 更大的数据量,更高的备份需求
数据中心含数据库服务器,存在大量的结构化数据需要备份;
数据中心的数据量更大,对容灾产品的节能、减排等需求更高。
Ø 更高的RPO和RTO需求
云数据中心存在重要业务,这些业务存在容灾的需求,个别业务对RPO及RTO的要求很高;对关键核心业务,需要采用应用级容灾来保障业务连续性。
云数据中心的业务存在关联性,某个业务的正常工作可能涉及到其他业务的支持,因此进行恢复的时候,往往是考虑多个业务而不是一个业务。
Ø 可扩展性需求
数据中心备份方案要具备扩展性需求,随着备份数据量的增长可以进行平滑扩容,从而保证关键数据备份的完整性。
业务迁移需求
将现有业务迁移到云平台中实现服务器整合,提高云数据中心资源利用率。业务迁移方案需要遵循如下要求:
Ø 制定有效的业务迁移前评估和流程设计
Ø 采用成熟的业务迁移工具保障计算平台兼容性和平滑迁移
Ø 设计有效的备份恢复方案保障业务系统正常切换和运行
绿色节能方案
节能降耗是IT系统建设中长远关注的重点问题,采取有效策略实现数据中心节能降耗是的重要目标。重点需求如下:
Ø 采用先进的机房基础设施节能技术,降低耗电、制冷等关键设施的能耗
Ø 采用先进的计算资源虚拟化技术,实现资源共享,提高计算资源使用效率
网络方案设计
网络总体架构设计
总体网络架构
二层网络架构设计
传统数据中心的网络架构采用核心层、汇聚层和接入层的三层网络架构,存在以下几个方面的问题:
l 网络的层次较多,导致数据处理效率低,增加了处理时延和线路时延,同时也增加了部署成本和设备故障的几率;
l 由于汇聚层面设备一般存在处理性能和上行带宽的收敛比,在数据中心规模不断扩大的情况下,汇聚设备会成为整个网络的瓶颈,导致出现拥塞、丢包等问题;
l 网络设备之间的STP、LAG、路由处理、安全等相互之间的交互信息,随着设备数量的增加,会成几何级数激增;
l 随着数据中心虚拟化的部署,新的数据中心流量模型中,大多数的流量是在内部服务器之间进行通信,甚至能够达到整体流量的75%,这种部署架构会导致服务器之间流量需要通过汇聚层甚至核心层设备转发,效率低下,且性能很差。
为了解决上述存在的问题,数据中心核心网络建议采用核心层和接入层的的二层扁平化网络架构,二层扁平化的网络架构可以实现:
l 简化网络管理,降低投资成本,降低维护管理成本;
l 简化网络拓扑,降低网络复杂度,提高网络的性能,支撑高性能的服务器流量;
l 提高网络利用率,支撑云计算技术的资源池动态调度;
l 提高网络可靠性。二层网络结构,可以结合虚拟集群和堆叠技术,解决链路环路问题,减少网络的故障收敛时间,从而提高网络可靠性;
l 绿色环保。 简化二层网络还能降低电力和冷却需求,这对数据中心网络尤为重要。
数据中心的二层网络结构示意图如图4-1所示:
二层网络架构设计图
功能分区模块化设计
考虑到数据中心的高安全性、高扩展能力和可管理性的业务需求,数据中心网络架构的总体规划遵循区域化、层次化和模块化的设计理念,实现网络层次更加清楚、功能更加明确,提高承载的业务系统的可扩展性、安全性和可管理能力。
l 层次化设计。数据中心的核心网络采用核心层、接入层的网络架构;层次化结构也利于网络的扩展和维护。
l 功能分区和模块化设计。网络架构按照功能,分为外联区(包括Internet接入区和远程接入区)、核心区及内网接入区;核心区包括网络服务区、等保三级业务区、等保二级业务区、开发测试区及运行管理区等功能模块。
数据中心的网络功能分区架构如图4-2所示。
数据中心网络功能分区架构图
总体网络架构
数据中心整体网络拓扑如图4-3所示:包括外联区、核心区及内网接入区等。
总体网络架构图示意图
l 外联区
Ø 远程接入区
提供给各级政府部门访问的数据中心区域。政府部门一般通过国家云外网采用MPLS-VPN方式进行接入;另外,远程接入区也可用于容灾数据中心互联。
Ø Internet接入区
提供给互联网用户访问的数据中心区域。Internet接入区的DMZ区,部署外部服务器群(如:外部DNS/FTP/Web服务器),用于互联网用户访问;为了提高互联网出口的可靠性,出口路由器一般接入到2个不同的运营商。国内一般会选择中国电信和中国联通两个运营商。
l 内网接入区
用于接入内网的数据中心区域,外网数据中心与内网互联需要通过网闸实现物理安全隔离。
l 核心区
核心区对外部网络不可见,主要为政府各部门用户提供业务服务。该区域包括:网络服务区、等保二级业务区、等保三级业务区、开发测试区及运行管理区。
文章引用的资料均通过互联网等公开渠道合法获取,仅作为行业交流和学习使用,并无任何商业目的。其版权归原资料作者或出版社所有,本文作者不对所涉及的版权问题承担任何法律责任。若版权方、出版社认为本文章侵权,请立即通知作者删除。