迪普云安全解決方案DP+xCloud解決方案主打膠片20130827

DPxCloud解決方案——迪普科技云數(shù)據(jù)中心解決方案部門：產(chǎn)品行銷部日期：2013年7月密級：內(nèi)部公開云數(shù)據(jù)中心的演進1虛擬化獲取彈性傳統(tǒng)數(shù)據(jù)中心私有云私有混合云應用部署時間長資源利用率低缺乏靈活與彈性應用可快速部署資源利用率較高整體缺乏彈性應用可快速遷移資源利用率高整體具有彈性應用1應用2應用n應用1應用2應用n公有云私有云私有云私有云2云數(shù)據(jù)中心的建設目標與需求要點向租戶提供資源彈性租戶單位虛擬私有云租戶單位廣域網(wǎng)虛擬私有云虛擬私有云公有云私有DC租戶單位1、虛擬化虛機的感知與隔離虛機遷移與大二層組網(wǎng)2、多租戶租戶的虛擬網(wǎng)絡環(huán)境租戶應用間隔離與互通3、安全防護與等保合規(guī)云DC基礎架構安全租戶自身安全防護需求要點：3云數(shù)據(jù)中心框架存儲系統(tǒng)ServerFarm網(wǎng)管中心FC/FCoE/EthernetSwtichAcessSwtichAcessSwtich核心核心網(wǎng)絡安全應用交付虛擬化VSAVSAVSAVSAVSAVSA廣域網(wǎng)4云數(shù)據(jù)中心安全網(wǎng)絡架構設計虛擬化組網(wǎng)虛機感知大二層組網(wǎng)多租戶環(huán)境虛擬租戶網(wǎng)租戶間隔離安全體系架構基礎架構安全租戶安全防護虛擬化組網(wǎng)：虛機感知5802.1BR802.1Qbg(VEPA)802.1QbhVN-LINKVN-TAGV.S.解決方案的思路將虛機間的流量通過標簽加以區(qū)分，再通過物理交換機進行交換從而實現(xiàn)虛機感知802.1Qbg采用QinQ的變體，使用VLAN標簽802.1BR定義了新的標簽物理交換機只有得到虛擬化軟件支持，以上才會實現(xiàn)！可感知物理服務器無法感知虛擬機租戶1租戶2SecondaryVLAN10,1120，21PrimaryVLAN101102基于現(xiàn)有虛擬化軟件能力的虛機感知6基于虛擬交換機的VLAN/PVLAN特性對虛機加以區(qū)分并將流量引入物理交換機將虛機配置在不同的SecondaryVLAN中，實現(xiàn)虛機隔離。同一租戶的虛機放置在同一個PrimaryVLAN之中。在物理交換機上啟用ARPProxy，實現(xiàn)同一PrimaryVLAN內(nèi)的虛機互訪。物理交換機VLAN101VLAN102ARPProxyVLAN20VLAN10VLAN11VLAN21N：1虛擬化技術迪普科技VSM虛擬化技術虛擬化組網(wǎng)：Intra-DC大二層組網(wǎng)7通過跨設備鏈路聚合實現(xiàn)大二層適合10000臺以下的服務器接入等價多路徑技術TRILL（多鏈路透明互聯(lián)）SPB（最短路徑橋接）改造二層控制協(xié)議實現(xiàn)等價多路徑適合10000臺以上的服務器接入迪普科技VSM多合一虛擬化技術8VSM（VirtualSwitchingMatrix，虛擬交換機矩陣）是一種控制平面虛擬化技術，可將多個機框虛擬成為一個。轉發(fā)平面控制平面業(yè)務平面主引擎?zhèn)湟鎂SM虛擬化虛擬化組網(wǎng)：Inter-DC大二層組網(wǎng)9廣域網(wǎng)二層互聯(lián)方案VE-DCILAN擴展網(wǎng)絡1裸光纖2二層VPN（VLL/VPLS）3MACinIP/UDP1、裸光纖性能高、組網(wǎng)簡單成本高、距離受限2、二層VPN技術成熟、互通性好復雜、未考慮廣播問題3、MACinIP/UDP簡單、解決廣播問題技術不成熟、不互通迪普科技VE-DCI技術10數(shù)據(jù)中心A數(shù)據(jù)中心B廣域網(wǎng)VE-DCI本地網(wǎng)關本地網(wǎng)關VE-DCI：VirtualEthernet–DataCenterInterconnect跨數(shù)據(jù)中心的二層互聯(lián)虛機無縫跨數(shù)據(jù)中心遷移通過任播技術實現(xiàn)三層網(wǎng)關的

優(yōu)選和自動切換虛擬化組網(wǎng)：Inter-DC大二層組網(wǎng)11數(shù)據(jù)中心A數(shù)據(jù)中心B廣域網(wǎng)VE-DCI本地負載均衡本地負載均衡全局負載均衡全局負載均衡123應用遷移前，用戶直接訪問DC-A應用遷移后，用戶原連接依然通過DC-A訪問GLB發(fā)布新地址，用戶的新建連接直接訪問DC-B用戶通過全局/本地負載均衡技術實現(xiàn)虛機遷移中的路徑優(yōu)化全局負載均衡發(fā)布遷移信息本地負載均衡配置對外地址，接受客戶請求VPN112多租戶環(huán)境：虛擬租戶網(wǎng)VLAN101VLAN102/24/24租戶管理自己的虛機的同時，也存在管理虛機間邏輯網(wǎng)絡的需求，不同租戶自定義的網(wǎng)絡可能存在地址重疊。不同租戶部署在不同的VPN之中不同業(yè)務都部署在不同VLAN中不同的業(yè)務之間通過虛擬網(wǎng)關進行互通VPN2VLAN201VLAN202/24/24租戶1租戶2云數(shù)據(jù)中心多租戶環(huán)境：租戶間隔離與互通13通過VLAN/VRF實現(xiàn)虛擬租戶網(wǎng)，區(qū)分和隔離不同的租戶租戶間互訪需要通過安全設備進行控制VRFVRFVRF虛機感知與隔離同一租戶業(yè)務隔離(VLAN)租戶隔離(VRF)跨租戶訪問控制安全體系架構：基礎架構安全14各個安全域邊界部署多業(yè)務安全網(wǎng)關，安全策略統(tǒng)一部署，構建基礎架構的安全核心。普通業(yè)務資源池VIP業(yè)務資源池托管業(yè)務區(qū)廣域網(wǎng)網(wǎng)絡運維區(qū)運營業(yè)務區(qū)安全核心FWIPSUAGFWIPSUAG安全體系架構：租戶安全防護15租戶安全策略：租戶可自行定義和部署自己的安全策略通過虛擬化技術，為租戶提供虛擬業(yè)務設備（VSA）。租戶通過VSA部署自己的安全策略。所提供的業(yè)務能力包括防火墻、IPS、流量控制、審計以及應用交付等。VSA可同時作為虛擬路由網(wǎng)關使用增值安全業(yè)務：提供流量清洗、WAF、漏洞掃描等WAF群集漏洞掃描群集異常流量清洗異常流量監(jiān)測16安全體系架構：業(yè)務資源池迪普科技N:M虛擬化技術，可以將多個業(yè)務設備/板卡資源整合，并在此基礎上按需建立VSA，從而建立業(yè)務資源池。ResourcePoolVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAVSAN:MVirtualization業(yè)務網(wǎng)關業(yè)務網(wǎng)關業(yè)務網(wǎng)關業(yè)務網(wǎng)關ServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-XServicesServicesServicesControlPlaneForwardingPlaneAPP-X17方案設計：單數(shù)據(jù)中心設計FWIPSUAGADXFWIPSUAGADX設計要點虛機感知：支持業(yè)界標準的同時，可實現(xiàn)現(xiàn)有條件下的虛機流量牽引。租戶隔離：為租戶建立虛擬租戶網(wǎng)，并實現(xiàn)租戶間隔離。安全虛擬化：建立安全資源池，為租戶提供可自定義的安全防護。方案優(yōu)勢可實施：方案設計充分考慮了目前的技術現(xiàn)狀，具有良好的可實施性。簡化管理：一體化方案設計，能做到在一個界面下完成全部配置管理工作。靈活可靠：虛擬化技術保證組網(wǎng)靈活的同時，確保網(wǎng)絡的可靠性。廣域網(wǎng)VE-DCI方案設計：雙活云數(shù)據(jù)中心設計18數(shù)據(jù)中心A數(shù)據(jù)中心BSAN擴展網(wǎng)絡LAN擴展網(wǎng)絡全局負載均衡本地負載均衡全局負載均衡本地負載均衡設計要點VE-DCI：跨廣域的二層互聯(lián)、雙主模式實現(xiàn)網(wǎng)關分離。路徑優(yōu)化：虛機遷移時的路徑優(yōu)化。方案優(yōu)勢互通性好：確保與第三方設備的互通性高可靠性：雙主模式保證本地網(wǎng)關轉發(fā)的同時，可實現(xiàn)快速故障