1、XX市教育城域网及资源中心规划方案 XX市教育城域网三通两平台整体方案规划二O一三年九月目 录第1章.现状及需求分析41.1.项目建设背景41.2.应用发展规划41.2.1.专递课堂41.2.2.名师课堂51.2.3.网络协作教研51.2.4.资源类应用61.2.5.互动教学61.2.6.教育管理平台61.3.建设内容61.3.1.三通两平台一中心6第2章.城域网及资源中心方案整体设计102.1.设计原则与思路102.2.整体解决方案12第3章.功能分市详细设计143.1.云数据中心资源中心设计143.1.1.云平台数据中心建设目标143.1.2.数据中心云平台设计原则163.1.3.数据中心
2、云平台总体设计173.1.4.云平台基础承载设计203.1.5.云平台计算资源池设计253.1.6.存储设计283.1.7.虚拟化平台设计303.1.8.云平台系统设计363.2.云通道建设城域网/校校通方案443.2.1.需求分析443.2.2.链路选择443.2.3.方案设计453.3.云接入建设班班通方案523.3.1.需求分析523.3.2.网络方案设计533.3.3.身份认证方案设计553.4.云管理规划整网运维方案583.4.1.系统安全管理583.4.2.资源管理593.4.3.拓扑管理613.4.4.故障(告警/事件)管理643.4.5.告警深度关联分析与统计653.4.6.性
3、能管理703.4.7.设备管理组件73第4章.方案报价75第5章.案例参考755.1.无锡教育云75第1章. 现状及需求分析1.1. 项目建设背景上世纪九十年代以来,通过一系列重大工程和政策措施,我市的教育信息化发展奠定了一定的基础。随着教育模式的改革和新技术的不断涌现,信息化教学的应用不断拓展和深入,教学资源不断丰富,教育信息化在促进教育公平、提高教育质量、创新教育模式领域的支撑和带动作用初步显现。教育规划纲要明确提出了信息化目标,即建成人人可享有优质教育资源的信息化学习环境,基本形成学习型社会的信息化支撑服务体系,基本实现所有地市和各级各类学校宽带网络的全面覆盖,教育管理信息化水平显著提高
4、,信息技术与教育融合发展的水平显著提升。1.2. 应用发展规划应用发展是十二五期间信息化建设的关键内容,建设与教学融合的应用体系是应用规划的目标。结合目前国内外的先进经验,我市拟规划以下应用内容。1.2.1. 专递课堂同步课堂:同步课堂基于XX市电教馆资源中心提供的机构空间、学校空间、教师空间进行。1个播出教室和1-5个接收教室构成一个虚拟课堂。教育局在其空间内,利用同步课堂组织管理工具,统一组织播出学校和接收学校,统一安排虚拟课堂课表,并组织教学。播出学校和接收学校也可自行配对,在其空间内向教育局提出申请。推送资源:市资源中心根据教师需求情况将支持课堂教学的优质资源包推送到教师空间,帮助教师
5、备课、上课、进行教学评价。教师在教学活动中生成的资源可以提供到国家数字教育资源公共服务平台上进行共享。探究性学习:市资源中心通过推送探究性学习工具和资源,提供智能导航帮助教师开展探究式、讨论式、参与式教学,帮助学生增强运用信息技术分析解决问题的能力,学会学习。帮助教师运用探究学习模式开展日常学科教学。学生也可利用相应工具自行组织探究性学习。1.2.2. 名师课堂名师讲堂:名师讲堂模式主要用于名师讲解学科重点难点,帮助学生更好地达成学习目标。讲授内容以各学科和专业课程章节重难点和期末总结为主。名师导学:名师导学模式通过将教师课堂讲授与智能学习系统(“名师”)的诊断与导学相结合,实现差异化教学和个
6、性化指导,提高学生学习能力。1.2.3. 网络协作教研跨校网络协作教研跨区域网络协作教研模式是利用国家数字教育资源公共服务平台提供的虚拟教研社市功能,组织不同市域教师开展协作教研活动,实现交流学习、优势互补、共同提高。名师工作室名师工作室模式用于有组织地开放以特级教师和学科骨干教师本人命名的教师空间,为广大教师有针对性的选择与自己教育教学相关的专家或专家团队进行持续的教学科研提供服务。1.2.4. 资源类应用在市资源中心以自建、学校提供、企业提供等多种方式将传统知识点和学习内容电子化,以趣味、生动的方式呈现,提高学生学习兴趣和理解能力。1.2.5. 互动教学在教学过程中融入互动的体验,远程学习
7、(名师讲堂类)时学生与老师远程互动,教学过程中与家长互动等。1.2.6. 教育管理平台将传统的OA办公、学籍管理、考勤系统、考核系统、行政办公系统、E-Mail等管理类系统统一为教育门户,提供一体化的教育管理工作平台。1.3. 建设内容1.3.1. 三通两平台一中心两个平台,一个中心所有的应用规划从对象角度来市分可以分为两大平台,一个是教学资源公共服务平台,一个是教育管理公共服务平台。两平台均以应用软件方式呈现,需要一个统一的硬件数据中心来承载,所以建设的首要内容就是“两个平台,一个中心”。资源到校校校通两大平台的内容统称为“资源”,资源市内学校共享的财富,实现共享的手段就是将资源送到学校,也
8、就是通过网络实现学校与教育局资源中心的连接,也即传统校校通的建设部分。资源到班级班班通让学生在教室就能使用优质的教学资源,实现与远程名师的在线互动,就是资源到班级的建设内容。包括多媒体教室,无线网络覆盖班级实现班班通。资源到个人人人通学生放学后依然能使用教学资源,老师在家、出差时期也能便捷使用备课系统,家长辅导学生等应用场景的实现,就是建设人人通空间,学生、家长、老师都能随时随地访问的内容。第2章. 城域网及资源中心方案整体设计2.1. 设计原则与思路城域网及资源中心的建设原则是能够高效、安全、绿色的支撑应用系统的使用,相比传统城域网建设,体现在几个层面的变化:1、 数据中心的形成相比传统服务
9、器部署而言,资源中心的建设要求有统一的数据中心来承载两大平台的运行2、 虚拟化的使用为了整合资源中心的硬件资源,会大量使用虚拟化技术来建设弹性的资源池;3、 应用类型对网络带宽的消耗应用的规划以动画、视频、互动等大流量应用为主,相比传统网络带宽要求提升1020倍;4、 用户规模的剧增资源的使用者增加了学生,相比传统只有老师使用的环境,用户规模增加了1020倍;5、 流量模型的变化用户的访问模型以学校访问资源中心的流量为主,基本上为纵向流量;6、 允许断网时间的变化教学系统上网意味着对网络可靠性的要求提高,允许断网时间应该控制在分钟级别;所以在城域网和资源中心的设计上需要遵循以下原则:高性能骨干
10、网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(视频、动画)的高质量传输,才能使网络不成为业务开展的瓶颈。高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。安全性制订统一的网络安全策略,整体考虑网络平台的安全性,保证师生能够安全、绿色的使用资源。独立性学校与教育局之间采用公网连接会导致一些应用系统的不可用(比如名师讲堂、双向
11、教学等),而且公网连接也使得网络不安全、不可控等隐患,所以教育局与学校之间应该采用裸光纤或者VPN方式连接;技术先进性和实用性在保证满足校园业务、应用系统业务的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准,有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通,以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权
12、管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。强QOS、强组播特性城域网因为对视频、音频等多媒体业务的需求较大,所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点,为实现市别服务,整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义,基于组播的控制特性也会进一步保证组播流的控制、管理和安全,从而为实现教育城域网的多业务支持提供保障。兼容性和经济性兼容性,能够最大
13、限度地保证学校现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有设备或做必要的升级。2.2. 整体解决方案XX市教育城域网的整体网络拓扑如下图所示:整个网络分为接入层(学校)、核心层、管理中心、电教馆办公网、城域网资源中心以及网络出口等6个模块。接入层在接入层,每个学校的出口采用一台SR/MSR路由
14、器作为出口网关,通过运营商分配的专用线路连接到市教育局的网络核心。核心层在核心层采用两台H3C S10508核心交换机,通过IRF2技术虚拟成一台,以保证网络核心的可靠性,同时成倍提升网络性能。核心交换机上除了提供连接各功能区所必须的以太网接口外,还部署防火墙、IPS、流量分析等多种业务插卡,为整个教育城域网提供安全保障。管理中心管理中心作为整个教育城域网的总指挥部,部署网络管理系统、安全管理系统、虚拟化管理平台等管理系统,以便于管理人员对整个城域网进行统一规划和管理。电教馆办公网电教馆办公网作为城域网的一个单位接入城域网核心。同样考虑到安全性和可管理性,建议所有办公网络汇聚到一个节点与核心交
15、换机互联,通过核心交换机部署安全设备保证网络的安全性。资源服务区在资源服务区,通过虚拟化技术建立计算资源池和存储资源池,为教育资源平台动态分配硬件资源,从而提高硬件资源的可靠性和可扩展性。资源服务市通过若干台(依据具体服务器数量而定)数据中心级接入交换机与城域网核心相连,构成教育资源平台和各个教育单位数据互通的通道。出口区整个教育城域网将拥有两个网络出口,一个连接到教育城域网中心,一个连接到互联网,作为整个教育城域网公网出口。第3章. 功能分区详细设计3.1. 云数据中心资源中心设计3.1.1. 云平台数据中心建设目标XX市城域网数据中心是数据大集中而形成的集成IT应用环境,它是各种IT业务和
16、应用服务的提供中心,是数据运算/交换/存储的中心,实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。数据中心的建设中,存储系统的建设和完善贯穿始终,这和当前应用系统建设的重点是相一致的。不论是各种数字资源,还是需要备份保存的业务数据,其中心内容都是对于信息(数据)的管理和使用。本方案将云数据中心“IT基础设施”的“按需使用”以及”自动化管理和调度”作为云计算的实践,形成可落地实施的、可持续发展的云计算平台,即IaaS云计算平台,为XX市旗下中小学提供服务集中以及按需使用服务,简化各个学校的IT管理,实现XX市教育资源的统一整合与管理。作为教育云计算实践,云计算数据中心的建设建
17、议达到以下目标:u 通过标准化、虚拟化的资源池部署,提高整体IT基础设施资源利用率;u 实现IT基础设施资源的自助化服务,按需申请,按需供给,实现面向最终用户的云服务模式;u 实现IT基础设施资源的自动化部署及流程化管理,并可利用云计算管理平台对资源进行可视、全面的监、管、控,简化日常运维的管理流程、降低维护成本;u 在实现可落地的云实践的基础上,保留未来向更高层次的云计算实践发展的可能,如SaaS和PaaS相关应用等;3.1.2. 数据中心云平台设计原则1. 兼容与互通当前阶段云计算整个产业化还不够成熟,相关标准还不完善。为保证多厂商的良好兼容性,避免厂商技术锁定,方案的设计充分保证与第三方
18、厂商设备保持良好的对接。此外,为保证方案的前瞻性,设备的选型应充分考虑对已有的云计算相关标准(如EVB/802.1Qbg等)的扩展支持能力,保证良好的先进性,以适应未来的技术发展。2. 业务高可用云计算平台作为承载未来教育城域网以及各个校园应用的重要IT基础设施,伴随着数据与业务的集中,云计算平台的建设及运维给信息部门带来了巨大的压力,因此平台的建设从基础资源池(计算、存储、网络)、虚拟化平台、云平台等多个层面充分考虑业务的高可用,基础单元出现故障后业务应用能够迅速进行切换与迁移,用户无感知,保证业务的连续性。3. 统一管理与自动化云计算的最终目标是要实现系统的按需运营,多种服务的开通,而这依
19、赖于对计算、存储、网络资源的调度和分配,同时提供用户管理、组织管理、工作流管理、自助Protal界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理,还要从全局而非割裂地管理资源,因此统一管理与自动化将成为必然趋势。4. 开放接口传统的管理系统与上层系统对接,注重故障的上报和信息的查询。而云计算的管理系统更关注如何实现自动化的部署,在接口方面更关注资源调度和分配,这就需要管理系统在业务调度方面实现开放。为保证服务器、存储、网络等资源能够被云计算运营平台良好的调度与管理,要求系统提供开放的API接口,云计算运营管理平台能够通过API接口、命令
20、行脚本实现对设备的配置与策略下发联动。同时云平台也提供开放的API接口,未来可以基于这些接口进行二次定制开放,将云管理平台与教育城域网应用相融合,实现面向云计算的教育应用管理平台。3.1.3. 数据中心云平台总体设计3.1.3.1. 硬件结构根据本期工程的需求和建设目标云计算平台总体逻辑拓扑结构如上图所示。整个平台由网络资源池、计算资源池、存储资源池、管理中心四部分组成。u 网络资源池:采用业界主流的“核心+接入”扁平化组网,核心交换机采用2台H3C S10508设备,部署IRF2虚拟化技术,并在机框内部署和防火墙(FW)、入侵防御检测(IPS)、负载均衡(LB)插卡,实现业务的流量监控、负载
21、分担和安全隔离防护,外联至现网出口路由器,实现外网互通;接入交换机采用2台H3C S5820V2设备,部署IRF2虚拟化技术,并启用VEPA功能,实现虚拟化网络感知。u 计算资源池:采用8台H3C FlexServer R590机架服务器,通过H3C Cloud Virtualization Kernel虚拟化平台进行整合构建资源池,在虚拟机上部署业务系统和虚拟桌面应用。u 存储资源池:采用1台H3C FlexStorege 5730存储阵列,存放虚拟机镜像文件、配置文件以及业务系统数据。u 管理中心:采用1台H3C FlexServer R390机架服务器,部署H3C iMC APM服务管理
22、组件、H3Cloud软件套件,实现对云计算资源池的统一管理及调度。3.1.3.2. 软件结构此次项目云计算软件平台的总体结构如上图所示,包括虚拟化层、自动化服务层、管理层、业务编排层、API层:1) 虚拟化层:利用Cloud Virtualization Kernel提供的底层虚拟化能力和上层Cloud Virtualization Center提供的管理能力,屏蔽底层物理硬件基础设施的异构性和复杂度,对外以虚拟资源池的形式呈现。2) 自动化服务层:强调业务运行的高可用性和可扩展性,并对业务提供自动的容灾备份与资源调度能力。3) 管理层:对虚拟化资源及云运营要素进行管理,如虚拟机生命周期的管理
23、、虚拟机镜像文件和配置文件的管理、多租户的安全隔离、网络策略配置的管理等。4) 业务编排层:对云计算资源进行可运营性管理,包括对虚拟资源池的编排、最终用户的自助服务门户、业务的申请、审批与开通、用户帐务的管理与报表输出等。5) API层:为第三方云运营管理平台提供RESTful的API接口。上述各层的功能实现分别对应H3Cloud软件套件中的Cloud Intelligence Center、Cloud Virtualization Manager和Cloud Virtualization Kernel三个组件完成:u Cloud Virtualization Kernel:虚拟化内核与管理代
24、理运行在基础设施层和上层操作系统之间的“元”操作系统,用于协调上层操作系统对底层硬件资源的访问,减轻软件对硬件设备以及驱动的依赖性,同时对虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等问题进行加固处理。u Cloud Virtualization Manager:虚拟化管理软件包主要实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化,形成虚拟资源池,对上层应用提供自动化服务。其业务范围包括:虚拟计算、虚拟网络、虚拟存储、高可靠性(HA)、动态资源调度(DRS)、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。u Cloud Intelligenc
25、e Center:云业务运营软件包由一系列云基础业务模块组成,通过将基础架构资源(包括计算、存储和网络)及其相关策略整合成虚拟数据中心资源池,并允许用户按需消费这些资源,从而构建安全的多租户混合云。其业务范围包括:组织(虚拟数据中心)、多租户数据和业务安全、云业务工作流、自助式服务门户、兼容OpenStack的REST API接口等。3.1.4. 云平台基础承载设计3.1.4.1. 核心层设计数据中心核心交换机需要资源池内部高速交换以及骨干互联工作,建议采用H3C数据中心级核心交换机S10500,主要基于如下考虑: 高性能:核心汇聚层需要与其它外部网络互联,外连接口众多,并且这些外部网络所提供
26、的接入带宽和接入设备都是业界高端设备,所以为了使网络在核心交换市不存在性能瓶颈,采用具备高密万兆的核心交换设备. 整网可靠性:因为城域网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的保障业务转发不中断、不丢包。因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。 绿色环保:为了降低机房空调能耗,要求核心交换机采用竖插槽,前下部进风、上后部抽风、强迫风散热形式。要求通过RoHS、CE等国际环保认证。H3C S10500系列交换机采用了先进的CLOS架构,每一台交换机都有两个核心的处理平面,即控制平面和业务处理平面。控制平面主要由主控板、
27、接口板上的控制单元构成,完成协议处理、路由表维护、数据配置和设备管理等控制功能。业务处理平面主要由接口板上的高速业务处理单元(ASIC芯片)和集成在交换网板板上的交换网构成,具备业务处理、报文交换和报文转发等功能。控制通道:接口板、网板通过专用通道分别连到主备控制板上的管理模块。实现双主控11、多交换网N1的热备份,提高系统的可靠性。业务通道:交换网芯片内置于交换网板,接口板通过高速通道分别连到交换网板上的交换网。控制平面和业务处理平面相互独立,互不影响,如下图所示。采用这样主控板与交换网板分离的架构,大大提高了设备性能的可扩展性,如果未来需要提高核心交换机的性能,无需更换机箱和引擎,只需升级
28、交换网板即可。同时提高了设备的可靠性,由于主控板和交换板分离,即使在主控板故障的情况下,现有的业务流量仍能通过交换网板继续转发。采用IRF2虚拟化技术后,网络核心结构变得更简单、更可靠、更高效。更简单网络简化需要解决网络结构的简化,网络业务的简化,以及管理维护的简化这三方面的问题。通过在从核心到接入的整网部署IRF2技术,多台物理设备虚拟成一台统一的逻辑设备,不但网络结构简单清晰,原先需要每台设备逐一配置,现在只需配置一次即可,大大简化了设备的管理维护。此外,相比传统网络生成树+VRRP的部署方式,启用IRF2以后,二层不再需要配置生成树,也不再需要复杂的生成树多实例的规划,三层不再需要配置V
29、RRP,不再需要复杂的路由规划和大量的IP地址消耗,从而简化了网络业务。 更可靠IRF的高可靠性体现在链路级、协议级和设备级三个方面。链路级:成员设备之间的物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样,通过多链路备份提高了链路的可靠性。协议级:IRF系统提供实时的协议热备份功能,负责将协议的配置信息备份到其他所有的成员设备,从而实现1:N的协议可靠性。设备级:IRF系统由多台成员设备组成,Master设备负责系统的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务
30、不中断,从而实现了设备级的1:N备份。相比传统的二层生成树技术和三层的VRRP技术,其收敛时间从N秒级缩短到毫秒级。更高效:对高端交换机而言,性能和端口密度的提升会受到其硬件结构的限制,而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生,会采用阻断一条链路的方式,而IRF2可以通过跨设备聚合等特性,让原本“Active-standby”的工作模式,转变成为负载分担的模式,从而提高整网的运行效率。城域网的核心层设计在保证了高性能和高可靠
31、性的基础上,还充分考虑了网络的安全性。本方案中通过在S10508交换机上部署防火墙插卡、IPS插卡和LB插卡的方式,对整个城域网的用户和数据中心进行统一安全防护。核心层部署IRF2.0协议将两台S10508虚拟化成逻辑的1台交换机实现了跨S10508链路聚合,通过虚拟化后的逻辑设备与下行接入层交换机5820V2进行互联,最终实现了核心S10508与接入5820V2之间逻辑点对点连接后消除环路的同时避免部署STP和VRRP协议。3.1.4.2. 接入层设计接入层交换机采用全万兆云平台接入交换机H3C 5820V2。未来每台服务器将会部署多台虚拟资源对外响应业务,考虑到每个业务能够保证访问的带宽要
32、求,建议每台计算资源服务器与接入交换千兆互联,同时每台接入层交换机采用2个10GE接口与核心交换机相连,保证数据中心互访的高效。3.1.4.3. 网络安全设计为了应对云计算环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。在本次项目的建设过程中,多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的10GE甚至100G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电
33、源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。目前,虚拟化已经成为云计算提供“按需服务”的关键技术手段,包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。安全无论是作为基础的网络架构,还是基于安全即服务的理念,都需要支持虚拟化,这样才能实现端到端的虚拟化计算。典型的示意图如图所示:本次项目防火墙插卡设备虽然部署在交换机框中,但仍然可以看作是一个独立的设备。它通过交换
34、机内部的10GE接口与网络设备相连,它可以部署为2层透明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。 如上图FW三层部署所示,防火墙可以与宿主交换机直接建立三层连接,也可以与上游或下游设备建立三层连接,不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通,也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器市域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供市域内部服务器之间访问的安全性。防火墙是网络系统的核心基础防护措施,它可以对整个网络进行网络市域分割,提供基于IP
35、地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。对于云计算数据中心虚拟机服务网关的选择上,建议根据不同租户的安全需求进行市分对待,不建议将所有网关配置在FW上,以分散FW的压力,满足租户内的安全域隔离,具体设计如下:对于需要FW的业务的租户,网关部署在vFW上;对于不需要F
36、W的普通租户,网关部署在核心交换机上。安全控制策略:防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据业务网中的指定的资源,严格限制网络用户对数据业务网服务器的资源,以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产;配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行
37、防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据业务网中的服务器;其他可选策略:可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问
38、的授权,进行更细粒度的用户识别和控制;根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽;根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;防火墙能满足L2-L4层网络安全,对于应用层安全(病毒、
39、攻击等)需采用L4-L7层安全防护设备IPS来进行安全防护。IPS(入侵防御检测)集成入侵防御/检测、病毒过滤和带宽管理等功能,通过深达7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,并实现对网络基础设施、网络应用和性能的全面保护。通过FW(防火墙)与IPS(入侵防御检测)安全设备联合部署,能够保证网络全面安全防护,使整网在安全的环境下高速运行。在保证安全性能的同时,通过在核心交换机部署LB(负载均衡)模块,能够优化整网流量,并且能够与H3Could云计算软件进行联动,能够实现数据中心实现DRX动态资源调整,是资源能够得到更加合理个性化分配。3.
40、1.5. 云平台计算资源池设计服务器是云计算平台的核心,其承担着云计算平台的“计算”功能。对于云计算平台上的服务器,通常都是将相同或者相似类型的服务器组合在一起,作为资源分配的母体,即所谓的服务器资源池。在这个服务器资源池上,再通过安装虚拟化软件,使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器,是一种逻辑概念。对不同处理器架构的服务器以及不同的虚拟化平台软件,其实现的具体方式不同。在x86系列的芯片上,其主要是以常规意义上的VMware虚拟机或者H3Cloud虚拟机的形式存在。在搭建服务器资源池之前,首先应该确定资源池的数量和种类,并对服务器进行归类。归类的标准
41、通常是根据服务器的处理器类型、型号、配置、物理位置来决定。对云计算平台而言,属于同一个资源池的服务器,通常就会将其视为一组可互相替代的资源。所以,一般都是将相同处理器、相近型号系列并且配置与物理位置接近的服务器比如相近型号、物理距离不远的机架式服务器或者刀片服务器。在做资源池规划的时候,也需要考虑其规模和功用。如果单个资源池的规模越大,可以给云计算平台提供更大的灵活性和容错性:更多的应用可以部署在上面,并且单个物理服务器的宕机对整个资源池的影响会更小些。但是同时,太大的规模也会给出口网络吞吐带来更大的压力,各个不同应用之间的干扰也会更大。如果有条件的话,通常推荐先审视一下自身的业务应用。可以考
42、虑将应用分级,将某些级别高的应用尽可能地放在某些独立而规模较小的资源池内,辅以较高级别的存储设备,并配备高级别的运维值守。而那些级别比较低的应用,则可以被放在那些规模较大的公用资源池(群)中。初期的资源池规划应该涵盖所有可能被纳管到云计算平台的所有服务器资源,包括那些为搭建云计算平台新购置的服务器、校园内部那些目前闲置着的服务器以及那些现有的并正在运行着业务应用的服务器。在云计算平台搭建的初期,那些目前正在为业务系统服务的服务器并不会直接被纳入云计算平台的管辖。但是随着云计算平台的上线和业务系统的逐渐迁移,这些服务器也将逐渐地被并入云计算平台的资源池中。对于x86系列的服务器,除了用于生产系统
43、的资源池以外,还需要专门搭建一个测试用资源池,以便云计算平台项目实施过程以及平台上线以后运维过程中使用。在云计算平台搭建完毕以后,服务器资源池可以如下图所示:在云计算平台上线以后,原有非云计算平台上的应用会逐步向云计算平台迁移,空出的服务器资源池也会逐渐并入云计算平台的资源池中。其状态可以用下图所示:3.1.6. 存储设计对云计算平台存储的规划的出发点应该是应用本身。首先应该考察每个业务应用的优先级,以及其对存储性能、可靠性与灵活性的要求。对那些需要高性能与高可靠性的云计算应用,原则上应该为其或者其所在的资源池配备性能、可靠性较好的高端的存储。而对于那些对灵活性要求较高的业务应用,则应该考虑为
44、其或其所在的资源池配备灵活性比较好的存储虚拟化方案。如果应用足够重要,在设计存储架构的时候还应该考虑存储级别的备份,以对各个节点可能出现的故障做冗余。比如,可以采用双存储交换机互为热备的形式,来防止存储用光纤交换机所出现的故障可能。同样,该资源池后面所拖的存储,也可以采用双存储热备的形式。为该资源池的主存储购置一个型号相同的备用存储服务器并通过磁盘对磁盘的备份方式,对两个存储服务器上的数据进行同步。这样,资源池、交换机和存储服务器的关系可以如下图所示:对于共享存储资源池,根据具体资源池上所运行的业务类型的特性,也可以考虑为其配备各种类型的存储。对于运行关键应用的生产系统,推荐配备SAN架构的存
45、储解决方案。而对非关键应用的生产系统,可以根据预算,灵活地配备SAN、iSCSI或者NAS的存储解决方案。本地存储设计服务器本地存储用于安装虚拟化平台(如Cloud Virtualization Manager和Cloud Virtualization Kernel)和保存资源池的元数据。本地存储建议配置两块SAS硬盘,设置为RAID-1,通过镜像(Mirror)方式防止本地磁盘出现单点故障,以提高H3Cloud本身的可用性。远端共享存储设计远端共享存储用于保存所有虚拟机的镜像文件以支持动态迁移、HA和动态负载均衡等高级功能。共享存储LUN容量规划公式如下:LUN容量 = (Z (X + Y)
46、 1.2)Z = 每LUN上驻留的虚拟机个数X = 虚拟磁盘文件容量Y = 内存大小假设每个LUN上驻留10个虚拟机,虚拟磁盘文件容量需求平均为40GB,内存容量在48GB之间,考虑到未来业务的扩展性,内存交换文件按8GB空间估算,整体冗余20%,那么:LUN容量 = (10 (8 + 40) 1.2) 600GBISO库为了虚拟机安装配置的方便,建议配置ISO镜像库,可以将保存在Windows共享中的ISO格式安装源文件通过Windows CIFS方式挂接在H3Cloud HyperCenter上,这样,创建新虚拟机时不需要使用物理光驱和光盘,简化使用和提高安装速度。3.1.7. 虚拟化平台
47、设计传统的虚拟机生命周期是指虚拟机从创建到删除所经历的各个阶段,最常见的划分为“创建、运行、终结”三个阶段。在IaaS架构中,虚拟机作为最为重要的IT基础设施,它的生命周期贯穿于整个云业务服务的流程之中,并直接关系着云计算平台的资源利用状况。因此,为了更好的将虚拟机的生命周期管理和云业务及资源平台管理结合在一起,在H3Cloud 云计算解决方案中,将虚拟机的生命周期外延为“规划、创建、运行、调整、终结”五个阶段。在云解决方案中,虚拟机生命周期的管理除了关注虚拟机正常的生命阶段以外,还需要关注虚拟机两个外延属性业务和资源。3.1.7.1. 规划虚拟机的规划是IT架构的关键设计范畴。在这个阶段需要将业务需求转化为IT需求,并落实到业务和资源两个方面的规划设计中来。着重考虑两个方面的内容:u 业务梳理和评估u 通过对业务的梳理,评估各学校以及数据中心平台各业务部门对虚拟机类型和规模的需求定义各部门组织以及给组织划分其所属的虚拟资源,包括计算资源