版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
laaS大數(shù)據(jù)中心解決方案
目錄
第1章.網(wǎng)絡(luò)虛擬化......................................................4
1.1基本需求........................................................4
1.2技術(shù)選擇........................................................4
1.2.1VLAN+STP技術(shù)...........................................5
1.2.2TRILL/SPB/FabricPath+VLAN............................5
1.2.3SDN+Overlay的網(wǎng)絡(luò)虛擬化技術(shù)............................5
1.3模型選擇........................................................6
1.3.lOverlay技術(shù)介紹及選擇...................................6
1.3.2SDN技術(shù)的引入.............................................7
1.3.30verlay方案模型介紹及選擇................................8
1.4SDN網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì).............................................9
1.5Overlay網(wǎng)絡(luò)介紹...............................................12
1.5.lOverlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)流程.....................................13
1.5.20verlay網(wǎng)關(guān)高可靠性.....................................14
1.5.3控制器集群提供高可靠性..................................15
1.5.4控制器集群提供北向統(tǒng)一IP,簡化云平臺對接.............16
1.5.5Overlay網(wǎng)關(guān)彈性擴(kuò)展升級.................................17
1.5.60verlay網(wǎng)絡(luò)虛機(jī)遷移.....................................17
1.5.70verlay網(wǎng)絡(luò)虛機(jī)位置無關(guān)性..............................18
1.5.80verlay網(wǎng)絡(luò)安全部署....................................19
1.5.9網(wǎng)絡(luò)技術(shù)演進(jìn)-vDC虛擬數(shù)據(jù)中心...........................20
第2章.安全虛擬化.....................................................23
2.1安全網(wǎng)關(guān)虛擬化...............................................23
2.2虛擬化架構(gòu)-橫向及縱向擴(kuò)展性..................................25
2.3虛擬化架構(gòu)T:N:M虛擬化.......................................26
2.4虛擬化架構(gòu)-接口共享虛擬化....................................26
2.5虛擬化架構(gòu)-N:l虛擬化.........................................27
2.6安全功能虛擬化-虛擬軟件安全網(wǎng)關(guān)..........................32
2.7安全虛擬化與安全服務(wù)鏈...................................34
2.8采用服務(wù)鏈方式的安全控制..................................41
第3章.計(jì)算虛擬化................................................42
3.1虛擬化資源池.............................................42
3.2虛擬化安全隔離............................................43
3.3虛擬機(jī)/存儲熱遷移.........................................44
3.4虛擬機(jī)高可靠HA...........................................44
3.5虛擬機(jī)規(guī)格動態(tài)調(diào)整........................................45
3.6自動化彈性調(diào)度............................................45
第4章.存儲虛擬化................................................46
4.1集中式存儲規(guī)劃設(shè)計(jì)........................................46
4.1.1存儲架構(gòu)............................................47
4.1.3優(yōu)勢介紹............................................47
4.1.3價值場景展現(xiàn)........................................49
4.2分布式存儲規(guī)劃設(shè)計(jì)........................................49
4.2.1技術(shù)特點(diǎn)............................................50
4.2.20NEStor對硬件設(shè)備要求...............................61
4.2.3管理系統(tǒng)的特點(diǎn)......................................62
4.2.4管理系統(tǒng)的主要功能..................................64
第5章.整體關(guān)鍵技術(shù)..............................................66
5.1網(wǎng)絡(luò)虛擬化技術(shù)設(shè)計(jì)........................................66
5.2服務(wù)器高可用技術(shù)設(shè)計(jì)......................................67
5.3數(shù)據(jù)庫高兼容性設(shè)計(jì)........................................73
5.4存儲高可用技術(shù)設(shè)計(jì)........................................73
5.5KVM虛擬技術(shù)設(shè)計(jì)..........................................75
第1章.網(wǎng)絡(luò)虛擬化
1.1基本需求
為了滿足本次的XX市大數(shù)據(jù)共享交換平臺的項(xiàng)目業(yè)務(wù)實(shí)際需求,在業(yè)務(wù)承
載的基礎(chǔ)網(wǎng)絡(luò)部分也衍生出如下幾個基本的需求:
1.首先需要滿足在云環(huán)境下能夠?yàn)榇髷?shù)據(jù)共享交換平臺下的各種業(yè)務(wù)隔
離;大數(shù)據(jù)共享交換平臺是為各單位共同接入的公共平臺,從安全性的
角度考慮,各單位之間以及單位內(nèi)各業(yè)務(wù)系統(tǒng)需要實(shí)現(xiàn)相互隔離。
2.其次在云環(huán)境下,最大的好處在于計(jì)算資源能夠隨需移動,計(jì)算資源通
過計(jì)算虛擬化可以實(shí)現(xiàn)在單臺的物理機(jī)下虛擬化成多個虛機(jī),為了保障
業(yè)務(wù)快速部署,業(yè)務(wù)的高可靠性,各虛機(jī)需要在各租戶網(wǎng)絡(luò)內(nèi)部進(jìn)行遷
移,或進(jìn)行集群,虛機(jī)遷移,其IP地址和IP網(wǎng)關(guān)本身不會變化,同時
虛機(jī)集群也需要各虛機(jī)保持在一個網(wǎng)段之內(nèi),所以從整個基礎(chǔ)網(wǎng)絡(luò)來
看,需要整個數(shù)據(jù)中心需要提供一個大二層網(wǎng)絡(luò)。
3.從整個xx大數(shù)據(jù)共享交換平臺的建設(shè)情況,其接入單位眾多,業(yè)務(wù)需求
多樣;各單位后續(xù)的業(yè)務(wù)規(guī)模難以準(zhǔn)確預(yù)測,需要基礎(chǔ)網(wǎng)絡(luò)具備靈活的
彈性,能夠滿足在后期業(yè)務(wù)的彈性擴(kuò)展,包括單一業(yè)務(wù)的規(guī)模擴(kuò)展,單
一用戶的規(guī)模擴(kuò)展;擴(kuò)展范圍甚至覆蓋到另外區(qū)域的數(shù)據(jù)中心。
1.2技術(shù)選擇
根據(jù)上述的幾個需求來看,xx市大數(shù)據(jù)共享交換平臺數(shù)據(jù)中心建設(shè),必須
要滿足多租戶安全接入,租戶內(nèi)部網(wǎng)絡(luò)隔離,實(shí)現(xiàn)各局存在的相同IP地址段的
平滑接入,簡單的大二層,后續(xù)彈性擴(kuò)展等多個需求。針對當(dāng)前常見的數(shù)據(jù)中心
技術(shù)進(jìn)行具體分析:
1.2.1VLAN+STP技術(shù)
傳統(tǒng)的核心、匯聚、接入通過VLAN實(shí)現(xiàn)租戶的隔離,通過STP實(shí)現(xiàn)多路徑
保護(hù);但傳統(tǒng)二層網(wǎng)絡(luò)中部署的STP生成樹技術(shù)協(xié)議,部署和維護(hù)繁瑣,網(wǎng)絡(luò)規(guī)
模不宜過大,限制了網(wǎng)絡(luò)的擴(kuò)展。而后以廠家私有網(wǎng)絡(luò)虛擬化技術(shù)如vPC等網(wǎng)絡(luò)
虛擬化技術(shù),雖然可以簡化部署、同時具備高可靠性,但是對于網(wǎng)絡(luò)的拓?fù)浼軜?gòu)
有嚴(yán)格要求,同時各廠家不支持互通,在網(wǎng)絡(luò)的可擴(kuò)展性上有所欠缺,只適合小
規(guī)模網(wǎng)絡(luò)部署,一般只適合數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò);此外云業(yè)務(wù)中虛擬機(jī)的大規(guī)模部
署帶來的另一個問題就是使傳統(tǒng)網(wǎng)絡(luò)設(shè)備二層地址(MAC)表項(xiàng)的大小成了云計(jì)
算環(huán)境下虛擬機(jī)規(guī)模的關(guān)鍵參數(shù),特別是對于接入設(shè)備而言,二層地址表項(xiàng)規(guī)格
較小,這也將限制整個云計(jì)算數(shù)據(jù)中心業(yè)務(wù)規(guī)模;不建議在此次項(xiàng)目中采用。
1.2.2TRILL/SPB/FabricPath+VLAN
隨著數(shù)據(jù)中心接入規(guī)模的要求,新出現(xiàn)了大規(guī)模二層網(wǎng)絡(luò)技術(shù)
TRILL/SPB/FabriePath等,它們通過引入ISIS等協(xié)議實(shí)現(xiàn)多個二層網(wǎng)絡(luò)的互通,
能支持二層網(wǎng)絡(luò)的良好擴(kuò)展,但對數(shù)據(jù)包所經(jīng)過的沿途所有網(wǎng)絡(luò)設(shè)備有特殊要求,
網(wǎng)絡(luò)中的設(shè)備需要軟硬件升級才能支持此類新技術(shù),帶來部署成本的上升,同時
各廠商互通成為一個難以解決的問題,由于采用傳統(tǒng)的VLAN接入,隨著大數(shù)據(jù)
共享交換平臺業(yè)務(wù)的快速發(fā)展,對于租戶的數(shù)量可能在不遠(yuǎn)的將來成為制約大數(shù)
據(jù)共享交換平臺向更多規(guī)模擴(kuò)展的瓶頸,因此本次需要尋求更具彈性的網(wǎng)絡(luò)技術(shù)
實(shí)現(xiàn)大數(shù)據(jù)共享交換平臺的接入。
1.2.3SDN+OveHay的網(wǎng)絡(luò)虛擬化技術(shù)
Overlay技術(shù)是專門針對多租戶數(shù)據(jù)中心建設(shè)而引入的技術(shù),在業(yè)界知名的
互聯(lián)網(wǎng)數(shù)據(jù)中心中,以及公有云的建設(shè)中成為當(dāng)前基礎(chǔ)網(wǎng)絡(luò)的首選技術(shù),Ovelay
是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式,其大體框架是對基礎(chǔ)網(wǎng)絡(luò)不進(jìn)行大規(guī)
模修改的條件下,實(shí)現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載,并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離,并且以
基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主。
?Overlay網(wǎng)絡(luò)是指建立在已有網(wǎng)絡(luò)上的虛擬網(wǎng),邏輯節(jié)點(diǎn)和邏輯鏈路構(gòu)
成了Overlay網(wǎng)絡(luò)。
?Overlay網(wǎng)絡(luò)是具有獨(dú)立的控制和轉(zhuǎn)發(fā)平面,對于連接在overlay邊緣
設(shè)備之外的終端系統(tǒng)來說,物理網(wǎng)絡(luò)是透明的。
?Overlay網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸,使云資源池化能力
可以擺脫物理網(wǎng)絡(luò)的重重限制,是實(shí)現(xiàn)云網(wǎng)融合的關(guān)鍵。
Overlay網(wǎng)絡(luò)概念圖
從當(dāng)前業(yè)界的應(yīng)用情況來看,Overlay可以滿足XX大數(shù)據(jù)共享交換平臺對
于多租戶接入、多租戶隔離、彈性擴(kuò)展、大二層組網(wǎng)等需求,建議本次XX大數(shù)
據(jù)共享交換平臺采用Overlay技術(shù)實(shí)現(xiàn)整個基礎(chǔ)網(wǎng)絡(luò)的構(gòu)建。
L3模型選擇
1.3.lOverlay技術(shù)介紹及選擇
IETF在Overlay技術(shù)領(lǐng)域提出三大技術(shù)方案:
VXLAN:VXLAN是將以太網(wǎng)報(bào)文封裝成UDP報(bào)文進(jìn)行隧道傳輸,UDP目的端口
為已知端口,源端口可按流分配,標(biāo)準(zhǔn)5元組方式有利于在IP網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程中
進(jìn)行負(fù)載分擔(dān);隔離標(biāo)識采用24比特來表示;未知目的、廣播、組播等網(wǎng)絡(luò)流
量均被封裝為組播轉(zhuǎn)發(fā)。
NVGRE:NVGRE采用的是RFC2784和RFC2890所定義的GRE隧道協(xié)議。將以
太網(wǎng)報(bào)文封裝在GRE內(nèi)進(jìn)行隧道傳輸。隔離標(biāo)識采用24比特來表示;與VXLAN
的主要區(qū)別在對流量的負(fù)載分擔(dān)上,因?yàn)槭褂昧薌RE隧道封裝,NVGRE使用了GRE
擴(kuò)展字段flowID進(jìn)行流量負(fù)載分擔(dān),這就要求物理網(wǎng)絡(luò)能夠識別GRE隧道的擴(kuò)
展信息。
STT:STT是無狀態(tài)傳輸協(xié)議,通過將以太網(wǎng)報(bào)文封裝成TCP報(bào)文進(jìn)行隧道
傳輸,隔離標(biāo)識采用64比特來表示。與VXLAN和NVGRE的主要區(qū)別是在隧道封
裝格式使用了無狀態(tài)TCP,需要對傳統(tǒng)TCP協(xié)議進(jìn)行修改以適應(yīng)NVGRE的傳輸。
總體比較,VXLAN技術(shù)具有最佳優(yōu)勢:
1)L2-4層鏈路HASH能力強(qiáng),不需要對現(xiàn)有網(wǎng)絡(luò)改造(GRE有不足,需要
網(wǎng)絡(luò)設(shè)備支持)
2)對傳輸層無修改,使用標(biāo)準(zhǔn)的UDP傳輸流量(STT需要修改TCP)
3)業(yè)界支持度最好,商用網(wǎng)絡(luò)芯片大部分支持
技術(shù)名稱支持者支持方式簡述|產(chǎn)品形式網(wǎng)絡(luò)虛擬化方式|數(shù)據(jù)新增報(bào)頭長度|躅HASH勤|
Cisco/VMware
VXLANCisco,VMware
N1000VVXLAN報(bào)頭現(xiàn)有網(wǎng)絡(luò)可ML2-14
(Virtual、Citrix、RedHatL2overUDP5OByte(+原數(shù)據(jù))
BCMTrident224bitVN1HASH
ExtensibleLAN)、Broadcom
其他OpenvSwitch
Broadcom:Trident
NVGREHP、際55軟:Hyper-V
(NetworkBroadcom,vSwitchNVGRE倒GRE頭的HASH赧
L2overGRE42Byte(+^GS)
VirtualizationDell、Emulex、Emulex:網(wǎng)保出24bitVSI網(wǎng)絡(luò)升級
usingGRE)Intel其他:Open
vSwitch
STTL2overTCP
(StatelessVMware秘態(tài)TCP,即STTlg頭現(xiàn)有財(cái)絡(luò)可ML2-L4
vSwitch58?76Byte(+原鰥)
Transport(Nicira)12招懶rcpfig64bitContextIDHASH
Tunneling)傳輸層
基于此,本次的XX市大數(shù)據(jù)共享交換平臺方案建議選擇基于Vxlan的
Overlay技術(shù)實(shí)現(xiàn)本次方案的建設(shè)。
1.3.2SDN技術(shù)的引入
上面提到了Overlay的轉(zhuǎn)發(fā)層面,在Overlay的控制層面,傳統(tǒng)的Overlay
各VETP節(jié)點(diǎn)之間需要通過主機(jī)虛機(jī)的MAC地址需要部署IP多播路由協(xié)議,且需
要支持任意源(ASM)模式一一每個成員既是多播的接收者,又是多播的發(fā)起者。
這大大增加了網(wǎng)絡(luò)運(yùn)維的難度。一方面物理網(wǎng)絡(luò)支持的IP多播組數(shù)量是有限的,
遠(yuǎn)小于VXLAN虛擬網(wǎng)絡(luò)的個數(shù),這限制了整個VXLAN網(wǎng)絡(luò)的租戶數(shù)量;另一方面
每個IP多播組中的成員個數(shù)也是有限的,此外對于多播網(wǎng)絡(luò)的維護(hù)也是一個復(fù)
雜的過程,因此在本次提供的方案中,將采用SDN的技術(shù),通過引入SDN控制
器,實(shí)現(xiàn)Overlay控制層面的簡化,同時利用SDN的服務(wù)鏈的技術(shù),將整個網(wǎng)絡(luò)
的安全業(yè)務(wù)部署進(jìn)一步簡化,讓Overlay能夠更好的為本次的XX大數(shù)據(jù)共享交
換平臺提供服務(wù)。
根據(jù)客戶不同組網(wǎng)需求,Overlay分為三種組網(wǎng)模型(如圖所示)。
網(wǎng)絡(luò)Overlay:隧道封裝在物理交換機(jī)完成。這種Overlay的優(yōu)勢在于物理
網(wǎng)絡(luò)設(shè)備性能轉(zhuǎn)發(fā)性能比較高,可以支持非虛擬化的物理服務(wù)器之間的組網(wǎng)互通。
主機(jī)Overlay:隧道封裝在vSwitch完成,不用增加新的網(wǎng)絡(luò)設(shè)備即可完成
Overlay部署,可以支持虛擬化的服務(wù)器之間的組網(wǎng)互通。
混合Overlay:是網(wǎng)絡(luò)Overlay和主機(jī)Overlay的混合組網(wǎng),可以支持物
理服務(wù)器和虛擬服務(wù)器之間的組網(wǎng)互通。
NetworkOverlaylioMOveriavllvbndOver」;*、
網(wǎng)毋231Z<HOvctUylUi'rit;Ov?l?y
控制2攻
物內(nèi)也男特?投*
?1Q戰(zhàn),CBKliS>
M絡(luò)6bbiy4-機(jī)CvcrlaviM&Overlay
?。理戊為6?加,網(wǎng)博的功?0IC總務(wù)件為<zwl?ym絡(luò)笛珈■iftdaM.me沒+tima
推設(shè)aa作為5E?W4格嶺地緣0』
三種Overlay組網(wǎng)模型
相對于主機(jī)Overlay和軟件網(wǎng)絡(luò)Overlay,混合型overly網(wǎng)絡(luò)解決方案,
它具有如下特點(diǎn):
1)Overlay網(wǎng)絡(luò)是指在傳統(tǒng)網(wǎng)絡(luò)的邊緣構(gòu)架一套全新的智能控制網(wǎng)
絡(luò)。該網(wǎng)絡(luò)中的結(jié)點(diǎn)可以看作通過虛擬或邏輯鏈路而連接起來的,在
Overlay方案中,邊緣節(jié)點(diǎn)設(shè)備可以支持邏輯軟件和獨(dú)立的硬件設(shè)備。
2)Overlay網(wǎng)絡(luò)具有獨(dú)立的控制和轉(zhuǎn)發(fā)平面,對于連接在overlay邊
緣設(shè)備之外的終端系統(tǒng)來說,物理網(wǎng)絡(luò)是透明的,只需IP可達(dá),并且不在
完全限定物理網(wǎng)絡(luò)是二層網(wǎng)絡(luò)或是三層網(wǎng)絡(luò),具有更高的靈活性。
3)Overlay網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸,使云資源池化
能力可以擺脫物理網(wǎng)絡(luò)的重重限制,是實(shí)現(xiàn)云網(wǎng)融合的關(guān)鍵。
4)Overlay的網(wǎng)絡(luò)架構(gòu)是在傳統(tǒng)物理網(wǎng)絡(luò)基礎(chǔ)上構(gòu)建了邏輯的二層網(wǎng)
絡(luò),是網(wǎng)絡(luò)支持云業(yè)務(wù)發(fā)展的理想選擇,是傳統(tǒng)網(wǎng)絡(luò)向網(wǎng)絡(luò)虛擬化的深度延
伸,提供了網(wǎng)絡(luò)資源池化的最佳解決方式。
鑒于XX市政府各下屬單位前期IT建設(shè)階段不同,現(xiàn)網(wǎng)存在多種不同類型數(shù)
據(jù)庫,支撐不同類型業(yè)務(wù),有些關(guān)鍵應(yīng)用為了保證期高性能和穩(wěn)定性,目前不建
議放在虛擬化環(huán)境中,但是依然希望能將其納入。verlay網(wǎng)絡(luò)中統(tǒng)一管理,針對
這種情況,混合型overlay方案,能夠提供一套包含軟硬件的整體解決方案,將
云數(shù)據(jù)中心的所有虛擬機(jī)和物理服務(wù)器(包含虛擬機(jī)宿主和獨(dú)立承載核心業(yè)務(wù)的
物理主機(jī))同時納入管理,由SDN控制器統(tǒng)一控制下發(fā)網(wǎng)絡(luò)策略。Overlay控制
器作網(wǎng)絡(luò)管理的核心,和計(jì)算管理,存儲管理模塊一起,受云管理平臺的統(tǒng)一控
制。
1.4SDN網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)
政府當(dāng)前數(shù)據(jù)中心
互聯(lián)網(wǎng)
----------------------VxLAN閾絡(luò)----------------———VxtANWft
I
?.加“3?口
由用“A室劈他區(qū)
由用計(jì)算費(fèi)涯效
互聯(lián)網(wǎng)業(yè)務(wù)區(qū)多中心網(wǎng)絡(luò)架構(gòu)規(guī)劃圖
本次XX市大數(shù)據(jù)共享交換平臺整體網(wǎng)絡(luò)規(guī)劃建設(shè)中,為了達(dá)到安全合規(guī)性
要求,同時提高大數(shù)據(jù)共享交換平臺整體安全性,分別為宏網(wǎng)業(yè)務(wù)區(qū)和互聯(lián)網(wǎng)業(yè)
務(wù)區(qū)建設(shè)了一套相互獨(dú)立的網(wǎng)絡(luò)系統(tǒng)平臺,而XXX網(wǎng)業(yè)務(wù)區(qū)和互聯(lián)網(wǎng)業(yè)務(wù)區(qū)內(nèi)部
核心網(wǎng)絡(luò)結(jié)構(gòu)是相同的。
1)VCFCController高可用集群架構(gòu)規(guī)劃:
大數(shù)據(jù)共享交換平臺業(yè)務(wù)網(wǎng)絡(luò)全部運(yùn)行在VxLAN網(wǎng)絡(luò)中,實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)與物
理網(wǎng)絡(luò)的從邏輯上的分離。而大數(shù)據(jù)共享交換平臺網(wǎng)絡(luò)整體的運(yùn)行全部由VCFC
Controller網(wǎng)絡(luò)控制器進(jìn)行控制,為了保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,VCFCController
網(wǎng)絡(luò)控制器采用了分布式高可用集群架構(gòu)設(shè)計(jì)。
分別在A數(shù)據(jù)中心、B數(shù)據(jù)中心和政府當(dāng)前數(shù)據(jù)中心部署2臺VCFC
Controller網(wǎng)絡(luò)控制器,每個數(shù)據(jù)中心的兩臺VCFCController網(wǎng)絡(luò)控制器組
成一個Team稱之為Region,A數(shù)據(jù)中心為Region1,B數(shù)據(jù)中心為Region2,政
府當(dāng)前數(shù)據(jù)中心為Region3oRegionl、Region2和Region3組成了分布式高可行
SDN集群。
Regionl、Region2和Region3所有的VCFC控制器只需要IP可達(dá)即可保持
相互之間的必要通訊。
2)VCFCController網(wǎng)絡(luò)控制器的作用:
可以向防火墻設(shè)備、核心交換機(jī)設(shè)備、接入交換機(jī)設(shè)備和虛擬交換機(jī)設(shè)備下
發(fā)配置信息和流表信息,從而集中控制網(wǎng)絡(luò)整體的轉(zhuǎn)發(fā)策略。
3)VxLAN三層網(wǎng)關(guān):
核心交換機(jī)是大數(shù)據(jù)共享交換平臺SDN-VxLAN三層網(wǎng)關(guān),主要實(shí)現(xiàn)不同的
VxLAN之間、不同的VxLAN和VLAN之間的互通。
數(shù)據(jù)中心內(nèi)的VXLANIPGW以堆疊的形式部署,兩個數(shù)據(jù)中心的VXLANIP
GW堆疊再部署成網(wǎng)關(guān)組,以滿足業(yè)務(wù)遷移的要求。
4)防火墻-大數(shù)據(jù)共享交換平臺安全網(wǎng)關(guān)
此處的防火墻是大數(shù)據(jù)共享交換平臺安全網(wǎng)關(guān),負(fù)責(zé)大數(shù)據(jù)共享交換平臺內(nèi)
部業(yè)務(wù)系統(tǒng)的安全防護(hù),同時提供租戶間的安全隔離。
數(shù)據(jù)中心內(nèi)的防火墻以堆疊的形式部署,VCFC集群對不同數(shù)據(jù)中心的防火
墻分別進(jìn)行安全納管,可根據(jù)業(yè)務(wù)需要在控制器上直接下發(fā)策略,策略會同時在
兩個數(shù)據(jù)中心的防火墻下發(fā),以確保虛機(jī)遷移后業(yè)務(wù)不受影響。
5)VxLAN網(wǎng)絡(luò)
在改造后的物理網(wǎng)絡(luò)之上構(gòu)建一個虛擬網(wǎng)絡(luò),上層應(yīng)用只與虛擬網(wǎng)絡(luò)相關(guān)。
Overlay網(wǎng)絡(luò)主要由三部分組成:邊緣設(shè)備、控制平面和轉(zhuǎn)發(fā)平面。
邊緣設(shè)備:與服務(wù)器或虛擬機(jī)直接相連;
控制平面:負(fù)責(zé)虛擬隧道的建立維護(hù)以及主機(jī)可達(dá)性信息的通告;
轉(zhuǎn)發(fā)平面:承載Overlay報(bào)文的現(xiàn)有物理網(wǎng)絡(luò)。
Overlay架構(gòu)圖
此次所涉及VXLAN網(wǎng)絡(luò)的所有交換機(jī),都支持VXLAN報(bào)文封裝,VXLAN這種
二層Overlay技術(shù),將以太網(wǎng)報(bào)文承載到某種隧道層面,VXLAN利用了現(xiàn)有通用
的UDP傳輸
VXLAN運(yùn)行在UDP上,物理網(wǎng)絡(luò)只要支持IP轉(zhuǎn)發(fā),則所有IP可達(dá)的主機(jī)即
可構(gòu)建一個大范圍二層網(wǎng)絡(luò)。屏蔽了物理網(wǎng)絡(luò)的模型與拓?fù)洳町?,將物理網(wǎng)絡(luò)的
技術(shù)實(shí)現(xiàn)與計(jì)算虛擬化的關(guān)鍵要求分離開來,幾乎可以支持以太網(wǎng)在任意網(wǎng)絡(luò)上
的透傳,使得云的計(jì)算資源調(diào)度范圍空前擴(kuò)大。
1.5Overlay網(wǎng)絡(luò)介紹
如圖所示為本次針對xx大數(shù)據(jù)共享交換平臺提供的網(wǎng)絡(luò)虛擬化方案:本次
方案中采用XXX的混合Overlay技術(shù)實(shí)現(xiàn)基礎(chǔ)網(wǎng)絡(luò)搭建,針對有虛擬化的主機(jī),
提供VSW實(shí)現(xiàn)虛機(jī)的Overlay接入,未做或不能做虛擬化的主機(jī),通過L2層網(wǎng)
關(guān)實(shí)現(xiàn)接入;為了簡化Overlay網(wǎng)絡(luò)的部署,引入SDN控制器VCFController,
實(shí)現(xiàn)Overlay的流表學(xué)習(xí)和控制;為了更靈活地針對各虛機(jī)、業(yè)務(wù)、以及租戶的
安全控制,引入SDN的服務(wù)鏈的技術(shù),通過L2網(wǎng)關(guān)實(shí)現(xiàn)接入安全資源池的接入。
該組網(wǎng)方案有以下優(yōu)點(diǎn):
?適用于服務(wù)器虛擬化的場景,成本較低,VXLAN物理GW既可以用在核
心位置,也可以在現(xiàn)有核心旁掛,保護(hù)已有投資。
?控制面實(shí)現(xiàn)可以由XXX高可靠的SDNController集群實(shí)現(xiàn),提高了可
靠性和可擴(kuò)展性,避免了大規(guī)模的復(fù)雜部署。
?網(wǎng)關(guān)組部署可以實(shí)現(xiàn)流量的負(fù)載分擔(dān)和高可靠性傳輸。
?支持分布式網(wǎng)關(guān)功能,使虛機(jī)遷移后不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參
數(shù),部署簡單、靈活。
下面針對本方案的細(xì)節(jié)進(jìn)行逐一介紹:
1.5.lOverlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)流程
?報(bào)文所屬VXLAN識別
VTEP只有識別出接收到的報(bào)文所屬的VXLAN,才能對該報(bào)文進(jìn)行正確地處
理。
VXLAN隧道上接收報(bào)文的識別:對于從VXLAN隧道上接收到的VXLAN報(bào)文,VTEP
根據(jù)報(bào)文
中攜帶的VNI判斷該報(bào)文所屬的VXLAN。
本地站點(diǎn)內(nèi)接收到數(shù)據(jù)幀的識別:對于從本地站點(diǎn)中接收到的二層數(shù)據(jù)幀,
VTEP通過以太網(wǎng)服務(wù)實(shí)例(ServiceInstance)將數(shù)據(jù)幀映射到對應(yīng)的VSI,
VSI內(nèi)創(chuàng)建的VXLAN即為該數(shù)據(jù)幀所屬的VXLAN。
?MAC地址學(xué)習(xí)
本地MAC地址學(xué)習(xí):指本地VTEP連接的本地站點(diǎn)內(nèi)虛擬機(jī)MAC地址的學(xué)習(xí)。
本地MAC地址通過接收到數(shù)據(jù)幀中的源MAC地址動態(tài)學(xué)習(xí),即VTEP接收到本地
虛擬機(jī)發(fā)送的數(shù)據(jù)幀后,判斷該數(shù)據(jù)幀所屬的VSI,并將數(shù)據(jù)幀中的源MAC地址
(本地虛擬機(jī)的MAC地址)添加到該VSI的MAC地址表中,該MAC地址對應(yīng)的出
接口為接收到數(shù)據(jù)幀的接口。
遠(yuǎn)端MAC地址學(xué)習(xí):指遠(yuǎn)端VTEP連接的遠(yuǎn)端站點(diǎn)內(nèi)虛擬機(jī)MAC地址的學(xué)習(xí)。
遠(yuǎn)端MAC學(xué)習(xí)時,VTEP從VXLAN隧道上接收到遠(yuǎn)端VTEP發(fā)送的VXLAN報(bào)文后,
根據(jù)VXLANID判斷報(bào)文所屬的VXLAN,對報(bào)文進(jìn)行解封裝,還原二層數(shù)據(jù)幀,
并將數(shù)據(jù)幀中的源MAC地址(遠(yuǎn)端虛擬機(jī)的MAC地址)添加到所屬VXLAN對應(yīng)
VSI的MAC地址表中,該MAC地址對應(yīng)的出接口為VXLAN隧道接口。
1.5.20verlay網(wǎng)關(guān)高可靠性
?Overlay網(wǎng)關(guān)的高可靠性原理如圖所示:
網(wǎng)關(guān)組成員配置相同的VTEPIP和虛MAC
ECMPRoute:
Prefiex:1.1.11/32BGP/OSPF------------------------------------------------------
nethop:10.0.0.1向Underlay屈絡(luò)發(fā)布VTEP!P
nethop:11.0.0.1\i------J路由形成ECMP1111
虛擬Overlay網(wǎng)絡(luò)Underlay網(wǎng)絡(luò)物理Overlay網(wǎng)絡(luò)外部網(wǎng)絡(luò)
Overlay網(wǎng)關(guān)高可靠性:網(wǎng)關(guān)組中網(wǎng)關(guān)的VTEPIP和GWVMAC相同,均通過
路由協(xié)議對內(nèi)網(wǎng)發(fā)布VTEPIP對應(yīng)路由;
網(wǎng)關(guān)組內(nèi)部,采用無狀態(tài)轉(zhuǎn)發(fā)設(shè)計(jì),所有網(wǎng)關(guān)信息同步;在處理VSW發(fā)往GW
的流量時,動態(tài)選擇GW組中的一個GW,可以很好地起到負(fù)載分擔(dān)的作用;網(wǎng)關(guān)
故障后,流量切換到分組內(nèi)其它網(wǎng)關(guān),保證業(yè)務(wù)平滑遷移。
網(wǎng)關(guān)與內(nèi)外網(wǎng)設(shè)備連接,采用聚合或ECMP方式,某鏈路故障,網(wǎng)關(guān)自動切
換鏈路,無需人工干預(yù)。單個網(wǎng)關(guān)設(shè)備采用雙主控,原主控故障,新主控接管設(shè)
備管理,所有處理網(wǎng)關(guān)自動完成。轉(zhuǎn)發(fā)層面和控制層面分離,SDNController不
感知,網(wǎng)關(guān)上流量轉(zhuǎn)發(fā)不受影響。
L5.3控制器集群提供高可靠性
VCF控制器基于AKKA實(shí)現(xiàn)了分布式集群管理,AKKA無中心化的集群成員服
務(wù),方便實(shí)現(xiàn)無單點(diǎn)故障及無單點(diǎn)瓶頸的大規(guī)模控制器集群。VCF控制器使用
AKKAActor模型構(gòu)建了一個支持高并發(fā)、強(qiáng)容錯、大規(guī)模應(yīng)用程序的開放平臺。
VCF控制器集群支持控制器數(shù)量的彈性擴(kuò)展,可以根據(jù)網(wǎng)絡(luò)規(guī)模動態(tài)伸縮,
同時不影響已部署業(yè)務(wù),目前最大支持32臺集群規(guī)模,每個控制器集群支持2.5
萬臺服務(wù)器以及20萬個虛擬機(jī)。
大規(guī)模集群設(shè)計(jì)在提高可靠性的同時,需要在業(yè)務(wù)的部署上提供完善的架構(gòu)。
傳統(tǒng)的一主多備業(yè)務(wù)模型,只有主節(jié)點(diǎn)對外提供服務(wù),其它節(jié)點(diǎn)都處于備份狀態(tài),
主節(jié)點(diǎn)會實(shí)時把業(yè)務(wù)數(shù)據(jù)廣播或組播發(fā)送給備份節(jié)點(diǎn),完成業(yè)務(wù)的主備,這種模
型在增加集群節(jié)點(diǎn)時不能做到業(yè)務(wù)的ScaleOut,相反會影響原有業(yè)務(wù)規(guī)模。每
個節(jié)點(diǎn)都提供服務(wù)、其它節(jié)點(diǎn)做為備份的方式,業(yè)務(wù)模型本質(zhì)上還是一主多備。
VCF控制器在AKKA集群基礎(chǔ)上提出了Region的概念,很好地解決了上述問題:
@9H3c?
北向統(tǒng)一ip池址
vSmlchlOOO
vSwfthtOOI
聯(lián)瞅
vS?iteh10Q2
VCF架構(gòu)圖
L5.4控制器集群提供北向統(tǒng)一IP,簡化云平臺對接
VCF控制器集群在北向提供統(tǒng)一IP地址,北向APP無需關(guān)心業(yè)務(wù)所在的集
群節(jié)點(diǎn)位置,也無需感知集群節(jié)點(diǎn)的狀態(tài)變化,大大簡化了編程邏輯。在VCF控
制器集群中,一部分成員是領(lǐng)導(dǎo)者(leader),一部分是成員(member)。Leader
對上提供北向的訪問接口,負(fù)責(zé)對集群進(jìn)行管理;Member負(fù)責(zé)管理控制交換機(jī),
通過南向接口連接交換機(jī)。整個集群可以按需動態(tài)或手工形成兩臺臺到多臺的子
集群,稱之為Region,業(yè)務(wù)按Region運(yùn)行,也就是說業(yè)務(wù)的主備以Region為
單位,在Region內(nèi)完成業(yè)務(wù)的備份,同時業(yè)務(wù)也可以在Region內(nèi)以負(fù)載均衡的
模式運(yùn)行,以充分利用備份節(jié)點(diǎn)的硬件資源。如圖所示,我們把所有的leader
放在一個Region里,選一個作為主Leader,其他的作為備份,這樣就保持整個
集群有一個持續(xù)的不間斷的對外提供北向服務(wù)的能力。交換機(jī)需要同時連到
Region中的所有成員上,其中一個控制器會被選舉為主,其它為備,這樣,當(dāng)
Region中的主控制器故障時,Region中的備控制器就可以接管對交換機(jī)的控制,
提供一個不間斷的南向服務(wù)能力。
1.5.50verlay網(wǎng)關(guān)彈性擴(kuò)展升級
受制于芯片的限制,單個網(wǎng)關(guān)設(shè)備支持的租戶數(shù)量有限,控制器能夠動態(tài)的
將不同租戶的隧道建立在不同的Overlay網(wǎng)關(guān)上,支持Overlay網(wǎng)關(guān)的無狀態(tài)分
布,實(shí)現(xiàn)租戶流量的負(fù)載分擔(dān)。
如圖所示,Overlay網(wǎng)絡(luò)可以支持Overlay網(wǎng)關(guān)隨著租戶數(shù)量增加的擴(kuò)充,
當(dāng)前最大可以支持超過64K個租戶數(shù)量,從而提供一個具有彈性擴(kuò)展能力的
Overlay網(wǎng)絡(luò)架構(gòu),滿足XX大數(shù)據(jù)共享交換平臺后期彈性擴(kuò)展的要求。
Overlay網(wǎng)絡(luò)彈性擴(kuò)展
1.5.60verlay網(wǎng)絡(luò)虛機(jī)遷移
在虛擬化環(huán)境中,虛擬機(jī)故障、動態(tài)資源調(diào)度功能、服務(wù)器主機(jī)故障或計(jì)劃
內(nèi)停機(jī)等都會造成虛擬機(jī)遷移動作的發(fā)生。虛擬機(jī)的遷移,需要保證遷移虛擬機(jī)
和其他虛擬機(jī)直接的業(yè)務(wù)不能中斷,而且虛擬機(jī)對應(yīng)的網(wǎng)絡(luò)策略也必須同步遷移。
虛擬機(jī)遷移及網(wǎng)絡(luò)策略如圖所示:
內(nèi)存轉(zhuǎn)K.N,后淖VM關(guān)機(jī)
虛擬機(jī)遷移及網(wǎng)絡(luò)策略跟隨
網(wǎng)絡(luò)管理員通過虛擬機(jī)管理平臺下發(fā)虛擬機(jī)遷移指令,虛擬機(jī)管理平臺通知
控制器預(yù)遷移,控制器標(biāo)記遷移端口,并向源主機(jī)和目的主機(jī)對應(yīng)的主備控制器
分布發(fā)送同步消息,通知遷移的VPort,增加遷移標(biāo)記。同步完成后,控制器通
知虛擬機(jī)管理平臺可以進(jìn)行遷移了。
虛擬機(jī)管理平臺收到控制器的通知后,開始遷移,創(chuàng)建VM分配IP等資源并
啟動VM。啟動后目的主機(jī)上報(bào)端口添加事件,通知給控制器,控制器判斷遷移標(biāo)
記,遷移端口,保存新上報(bào)端口和舊端口信息。然后控制器向目的主機(jī)下發(fā)網(wǎng)絡(luò)
策略。
源VM和目的執(zhí)行內(nèi)存拷貝,內(nèi)存拷貝結(jié)束后,源VM關(guān)機(jī),目的VM上線。
源VM關(guān)機(jī)后,遷移源主機(jī)上報(bào)端口刪除事件,通知給控制器,控制器判斷遷移
標(biāo)記,控制器根據(jù)信息刪除舊端□信息并同時刪除遷移前舊端口對應(yīng)的流表信息。
主控制器完成上述操作后在控制器集群內(nèi)進(jìn)行刪除端口消息的通知。其他控
制器收到刪除端口信息后,也刪除本控制器的端口信息,同時刪除對應(yīng)端的流表
信息。源控制器需要把遷移后新端口通知控制器集群的其他控制器。其他控制器
收到遷移后的端口信息,更新端口信息。當(dāng)控制器重新收到Packet-in報(bào)文后,
重新觸發(fā)新的流表生成。
1.5.70verlay網(wǎng)絡(luò)虛機(jī)位置無關(guān)性
通過使用MAC-in-UDP封裝技術(shù),VXLAN為虛擬機(jī)提供了位置無關(guān)的二層抽
象,Underlay網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò)解耦合。終端能看到的只是虛擬的二層連接
關(guān)系,完全意識不到物理網(wǎng)絡(luò)限制。
更重要的是,這種技術(shù)支持跨傳統(tǒng)網(wǎng)絡(luò)邊界的虛擬化,由此支持虛擬機(jī)可以
自由遷移,甚至可以跨越不同地理位置數(shù)據(jù)中心進(jìn)行遷移。如此以來,可以支持
虛擬機(jī)隨時隨地接入,不受實(shí)際所在物理位置的限制。
所以VXLAN的位置無關(guān)性,不僅使得業(yè)務(wù)可在任意位置靈活部署,緩解了服
務(wù)器虛擬化后相關(guān)的網(wǎng)絡(luò)擴(kuò)展問題;而且使得虛擬機(jī)可以隨時隨地接入、遷移,
是網(wǎng)絡(luò)資源池化的最佳解決方式,可以有力地支持云業(yè)務(wù)、大數(shù)據(jù)、虛擬化的迅
猛發(fā)展。
1.5.80verlay網(wǎng)絡(luò)安全部署
如圖所示,Overlay網(wǎng)絡(luò)的安全部署有三種模式,這三種模式既可以獨(dú)立部
署,也可以配合部署:
①
0
?旁掛部署
主要形態(tài):硬件安全資源。
安全資源旁掛在核心/匯聚設(shè)備旁側(cè)(部分安全資源也可選作為L3網(wǎng)關(guān))。
安全資源關(guān)注VXLAN〈->VLAN的安全訪問控制。
?服務(wù)器側(cè)部署
主要形態(tài):軟件安全資源。
安全資源以VM形態(tài)部署在服務(wù)器內(nèi)部,可以作為其他VM的網(wǎng)關(guān)。
如果安全資源支持VXLAN,可以完成VXLAN〈->VLAN的安全訪問控制。
全硬件VXLAN方案不推薦使用。
?專用安全區(qū)部署
主要形態(tài):軟件或硬件安全資源。
安全資源集中部署在某一個TOR設(shè)備下,重點(diǎn)關(guān)注不同VXLANID之間互訪
的安全控制。
如果安全資源支持VXLAN,就直接配置VXLANID的互訪策略。
如果安全資源不支持VXLAN,需要TOR完成VXLAN到VLAN的轉(zhuǎn)換,然后安
全資源上配置不同VLAN互訪的安全策略。
1.5.9網(wǎng)絡(luò)技術(shù)演進(jìn)-vDC虛擬數(shù)據(jù)中心
隨著虛擬化與云計(jì)算技術(shù)的不斷成熟,XX市建設(shè)允許租戶按需租用資源和
服務(wù),創(chuàng)建租戶自己的虛擬數(shù)據(jù)中心(vDC,VirtualDataCenter)或虛擬私有
云(VPC,VirtualPrivateCloud),幫助租戶節(jié)省建設(shè)成本、提高業(yè)務(wù)敏捷性。
因此,XX市大數(shù)據(jù)共享交換平臺需要考慮后續(xù)為各委辦局或其他用戶提供服務(wù),
幫助用戶將大部分IT應(yīng)用向大數(shù)據(jù)共享交換平臺遷移。大專有云平臺為租戶(委
辦局單位)提供云主機(jī)、云存儲、云網(wǎng)絡(luò)安全等虛擬基礎(chǔ)設(shè)施資源,基于這些虛
擬資源,租戶可以在專有云中構(gòu)建自己的虛擬數(shù)據(jù)中心,同時各租戶的虛擬數(shù)據(jù)
中心彼此安全隔離。如下圖所示:
數(shù)據(jù)中心
珞由3
FWAB
租
戶
1
2F
vSRvL8
虛擬數(shù)據(jù)中心(vDC)的最大好處就是可以讓租戶靈活部署自己的業(yè)務(wù)應(yīng)用,
就像部署在自己的專屬數(shù)據(jù)中心內(nèi)部,擁有計(jì)算、存儲和網(wǎng)絡(luò)虛擬實(shí)例完整的使
用權(quán)和管理權(quán)。
對于計(jì)算、存儲資源的虛擬化,目前的技術(shù)成熟度很高,使用也非常普遍。
然而對于網(wǎng)絡(luò)安全資源的虛擬化技術(shù)實(shí)現(xiàn),是構(gòu)建虛擬數(shù)據(jù)中心的重點(diǎn)和難點(diǎn),
XXX通過多年在網(wǎng)絡(luò)安全領(lǐng)域的積累,很好的將網(wǎng)絡(luò)安全的虛擬化技術(shù)應(yīng)用到了
XXXLOUD云平臺中,通過硬件設(shè)備的1:N虛擬化和NFV(網(wǎng)絡(luò)功能虛擬化)技術(shù),
實(shí)現(xiàn)網(wǎng)絡(luò)安全資源虛擬化。如下圖所示:
物理設(shè)備
圖硬件設(shè)備1:N虛擬化
圖網(wǎng)絡(luò)功能虛擬化(NFV)
由于布線、歸屬等原因,目前的物理設(shè)備并不適合作為租戶獨(dú)享的設(shè)備在云
計(jì)算環(huán)境中部署。為了解決目前存在的問題,需要一個既具備物理網(wǎng)絡(luò)設(shè)備的功
能又適合于在公有云多租戶環(huán)境中部署的設(shè)備,NFV(NetworkFunction
Virtualisation,網(wǎng)絡(luò)功能虛擬化)應(yīng)用而生。
XXX提供一系列NFV方案,應(yīng)用于vDC場景,幫助XX市大數(shù)據(jù)共享交換平
臺構(gòu)建租戶的私有云或混合云。它和物理設(shè)備一樣,采用業(yè)界領(lǐng)先的專業(yè)網(wǎng)絡(luò)平
臺ComwareV7,運(yùn)行在標(biāo)準(zhǔn)X86服務(wù)器或虛擬機(jī)上,提供和物理設(shè)備相同的功
能和體驗(yàn),包括路由、防火墻、VPN、QoS、及配置管理等,同時充分利用虛擬平
臺的特點(diǎn),簡化設(shè)備的部署安裝。
圖XX市大數(shù)據(jù)共享交換平臺虛擬數(shù)據(jù)中心部署示意圖
第2章.安全虛擬化
2.1安全網(wǎng)關(guān)虛擬化
公有云及私有云等云計(jì)算業(yè)務(wù)的開展,均存在將一臺物理設(shè)備進(jìn)行1:N虛
擬化之后提供給不同租戶使用的需求。要求虛擬安全網(wǎng)關(guān)之間業(yè)務(wù)數(shù)據(jù)相互隔離,
能夠提供獨(dú)立管理、獨(dú)立審計(jì)、獨(dú)立安全策略,同時能夠給每個虛擬安全網(wǎng)關(guān)分
配獨(dú)立的處理能力。
傳統(tǒng)安全網(wǎng)關(guān)產(chǎn)品在解決虛擬化問題通常有兩種方案:基于虛擬路由或者基
于虛擬機(jī)。
基于虛擬路由的安全虛擬化方案在數(shù)據(jù)平面,圍繞轉(zhuǎn)發(fā)表,通過VRF或類似
技術(shù)將轉(zhuǎn)發(fā)相關(guān)的表項(xiàng)(如路由表、ARP表)分割成多個邏輯的表,實(shí)現(xiàn)報(bào)文轉(zhuǎn)
發(fā)的隔離;在管理平面,為不同虛擬安全網(wǎng)關(guān)關(guān)聯(lián)不同的管理員,實(shí)現(xiàn)管理的隔
離;在控制平面,需要針對每種業(yè)務(wù)逐一考慮虛擬化的改造,使其支持虛擬化。
這種虛擬化方案,本質(zhì)上是一種多實(shí)例技術(shù),是在已有非虛擬化的系統(tǒng)架構(gòu)上,
對一些主要安全業(yè)務(wù)進(jìn)行多實(shí)例的改造,只能對個別安全業(yè)務(wù)實(shí)現(xiàn)部分虛擬化,
系統(tǒng)可擴(kuò)展性差。
基于虛擬機(jī)的安全虛擬化方案中CPU、內(nèi)存和I/O資源由底層的Hypervisor
或Emulator實(shí)現(xiàn)模擬。虛擬安全網(wǎng)關(guān)作為一個GuestOS運(yùn)行在虛擬化的硬件環(huán)
境中,因此,基于虛擬機(jī)的虛擬化從安全業(yè)務(wù)的角度來說,是一種完全的虛擬化
方案,更容易部署和遷移,也避免了虛擬化后導(dǎo)致的部分功能缺失的問題。但是,
基于虛擬機(jī)的虛擬化通過Hypervisor或Emulator作為中間層,給上層構(gòu)造了一
個完全獨(dú)立的虛擬硬件空間,每個GuestOS需要獨(dú)立構(gòu)造完整的操作系統(tǒng)和業(yè)務(wù)
環(huán)境,由此也帶來了一些問題。比如,單臺物理設(shè)備/服務(wù)器上運(yùn)行的虛擬安全
網(wǎng)關(guān)數(shù)量很少,報(bào)文轉(zhuǎn)發(fā)時延加大等。使得這種方案更適合部署在虛擬安全網(wǎng)關(guān)
數(shù)量要求不多、業(yè)務(wù)性能不高的場景。
虛擬化技術(shù)是實(shí)現(xiàn)基于多業(yè)務(wù)業(yè)務(wù)隔離的重要方式。和傳統(tǒng)廠商的虛擬化實(shí)
現(xiàn)方式不同,XXX的安全虛擬化是一種基于容器的完全虛擬化技術(shù);每個安全引
擎通過唯一的OS內(nèi)核對系統(tǒng)硬件資源進(jìn)行管理,每個虛擬安全網(wǎng)關(guān)作為一個容
器實(shí)例運(yùn)行在同一個內(nèi)核之上,多臺虛擬安全網(wǎng)關(guān)相互獨(dú)立,每個虛擬安全網(wǎng)關(guān)
實(shí)例對外呈現(xiàn)為一個完整的防火墻系統(tǒng),該虛擬安全網(wǎng)關(guān)業(yè)務(wù)功能完整、管理獨(dú)
立、具備精細(xì)化的資源限制能力,典型示意圖如下所示:
1、虛擬安全網(wǎng)關(guān)具備多業(yè)務(wù)的支持能力
虛擬安全網(wǎng)關(guān)有自己獨(dú)立的運(yùn)行空間,各個實(shí)例之間的運(yùn)行空間完全隔離,
天然具備了虛擬化特性。每個實(shí)例運(yùn)行的防火墻業(yè)務(wù)系統(tǒng),包括管理平面、控制
平面、數(shù)據(jù)平面,具備完整的業(yè)務(wù)功能。因此,從功能的角度看,虛擬化后的系
統(tǒng)和非虛擬化的系統(tǒng)功能一致。這也意味著每個虛擬安全網(wǎng)關(guān)內(nèi)部可以使能多種
安全業(yè)務(wù),諸如路由協(xié)議,NAT,狀態(tài)檢測,IPSECVPN,攻擊防范等都可以獨(dú)立
開啟。
2、虛擬安全網(wǎng)關(guān)安全資源精確定義能力
通過統(tǒng)一的OS內(nèi)核,可以細(xì)粒度的控制每個虛擬安全網(wǎng)關(guān)容器對的CPU、
內(nèi)存、存儲的硬件資源的利用率,也可以管理每個VFW能使用的物理接口、VLAN
等資源,有完善的虛擬化資源管理能力。通過統(tǒng)一的調(diào)度接口,每個容器的所能
使用的資源支持動態(tài)的調(diào)整,比如,可以根據(jù)業(yè)務(wù)情況,在不中斷VFW業(yè)務(wù)的情
況下,在線動態(tài)增加某個VFW的內(nèi)存資源。
3、多層次分級分角色的獨(dú)立管理能力
基于分級的多角色虛擬化管理方法,可以對每個管理設(shè)備的用戶都會被分配
特定的級別和角色,從而確定了該用戶能夠執(zhí)行的操作權(quán)限。一方面,通過分級
管理員的定義,可以將整個安全資源劃分為系統(tǒng)級別和虛擬安全網(wǎng)關(guān)級別。系統(tǒng)
級別的管理員可以對整個防火墻的資源進(jìn)行全局的配置管理,虛擬安全網(wǎng)關(guān)管理
員只關(guān)注自身的虛擬安全網(wǎng)關(guān)配置管理。另一方面,通過定義多角色管理員,諸
如在每個虛擬安全網(wǎng)關(guān)內(nèi)部定義管理員、操作員、審計(jì)員等不同角色,可以精確
定義每個管理員的配置管理權(quán)限,滿足虛擬安全網(wǎng)關(guān)內(nèi)部多角色分權(quán)的管理。
4、接口虛擬化能力
所謂接口的虛擬化,是指物理設(shè)備的一個物理接口或者邏輯接口(聚合口或
子接口)同時分配各多個虛擬安全網(wǎng)關(guān),該接口形式上被這些虛擬安全網(wǎng)關(guān)共享
使用。被共享的接口在每個虛擬安全網(wǎng)關(guān)中,分別形成一個獨(dú)立的邏輯接口實(shí)例,
可以有虛擬安全網(wǎng)關(guān)級管理員各自配置IP地址、路由協(xié)議、安全業(yè)務(wù)等。在多
個虛擬安全網(wǎng)關(guān)實(shí)例共享一個Internet出口的場景上這種技術(shù)可以有效減少對
多個物理接口的依賴。防火墻設(shè)備只需要通過一個接物理□和外網(wǎng)Internet出
口路由器相連,通過配置接口虛擬化技術(shù),每個虛擬安全網(wǎng)關(guān)實(shí)例可以分別分配
公網(wǎng)接口,使其具備獨(dú)立的Intemet接入能力。詳細(xì)的組網(wǎng)圖如下所示:
2.2虛擬化架構(gòu)-橫向及縱向擴(kuò)展性
傳統(tǒng)的虛擬安全網(wǎng)關(guān)技術(shù)受限于物理設(shè)備自身的CPU處理能力、內(nèi)存容量、
端口數(shù)量等多方面的限制,部署中缺乏擴(kuò)展性,很難滿足業(yè)務(wù)發(fā)展的需求。XXX
SOP虛擬化架構(gòu)的另一個創(chuàng)新一一分布式虛擬化架構(gòu),可以有效提升系統(tǒng)的虛擬
化容量。在分布式虛擬化架構(gòu)中,系統(tǒng)的安全處理引擎可以按需配置,以支持虛
擬化能力的線性擴(kuò)展。虛擬化能力擴(kuò)展有如下兩種方式:橫向擴(kuò)展和縱向擴(kuò)展。
其中橫向擴(kuò)展是指單虛擬墻的處理能力增加,系統(tǒng)整體可支持虛擬墻的總數(shù)不變。
而縱向擴(kuò)展則是指單虛擬墻的處理能力不變,系統(tǒng)整體可支持的虛擬墻的總數(shù)增
加。
同時,SOP架構(gòu)可以和XXX的SCF架構(gòu)無縫集成,在N:1基礎(chǔ)上進(jìn)行1:N虛
擬化,實(shí)現(xiàn)N:1:M。在單臺物理防火墻所支持的虛擬安全網(wǎng)關(guān)數(shù)量、性能不能滿
足需要時,通過SCF,進(jìn)一步擴(kuò)展虛擬化能力。
2.3虛擬化架構(gòu)-1”/虛擬化
在一個虛擬安全網(wǎng)關(guān)實(shí)例內(nèi),虛擬安全網(wǎng)關(guān)管理員還可以繼續(xù)創(chuàng)建本虛擬安
全網(wǎng)關(guān)內(nèi)獨(dú)立的VPN多實(shí)例(VRF),不同虛擬墻內(nèi)的VRF實(shí)例完全獨(dú)立,名字可
以相同。同一個虛擬墻內(nèi)多個VRF共享該虛擬安全網(wǎng)關(guān)的資源,通過搶占進(jìn)行分
配。通過這種1:N:M虛擬化方式可以滿足一個租戶內(nèi)部的進(jìn)一步業(yè)務(wù)隔離需求,
同時進(jìn)一步擴(kuò)大系統(tǒng)虛擬化能力。上述功能尤其適用于部分變更頻繁且有實(shí)時性
要求的業(yè)務(wù)系統(tǒng),可以開通獨(dú)立的虛擬安全網(wǎng)關(guān)并且將該虛擬安全網(wǎng)關(guān)授權(quán)給業(yè)
務(wù)系統(tǒng)管理員,并且限定業(yè)務(wù)系統(tǒng)管理員的權(quán)限,比如僅能操作該虛擬安全網(wǎng)關(guān)
內(nèi)的安全安全策略。對于其他的業(yè)務(wù)系統(tǒng),可以在缺省虛擬安全網(wǎng)關(guān)內(nèi)通過VRF
隔離,由管理員統(tǒng)一維護(hù)管理。此方案實(shí)現(xiàn)了業(yè)務(wù)快速響應(yīng)、虛擬化業(yè)務(wù)能力擴(kuò)
展及安全權(quán)限控制的多方平衡。
2.4虛擬化架構(gòu)-接口共享虛擬化
?共享Internet出口場景
如果多部門共享NAT出口或者是VPC應(yīng)用場景中對外的internet互聯(lián)鏈路
只有一條,那么對應(yīng)的對外物理互聯(lián)接口就只有一個。待解決的問題就是如何實(shí)
現(xiàn)多虛擬安全網(wǎng)關(guān)共享該物理接口。劃分子接口并將不同的子接口分配給不同虛
墻的方式不可行,因?yàn)閕nternet返回的流量不會攜帶任何VLANTAG。傳統(tǒng)的解
決方案可以前置出口路由器,通過出口路由器上配置復(fù)雜的NAT轉(zhuǎn)換策略,并通
過多個子接口和防火墻互聯(lián)以區(qū)分虛擬安全網(wǎng)關(guān)數(shù)據(jù),但是這種方式存在配置復(fù)
雜,增刪虛擬安全網(wǎng)關(guān)需要同步修改上層路由器配置的問題,管理維護(hù)都很麻煩。
針對該應(yīng)用場景,XXXSOP架構(gòu)創(chuàng)新性地推出接口共享虛擬化特性。物理設(shè)
備的一個接口(可以是物理接口也可以是邏輯接口)同時分配給多個虛擬安全網(wǎng)
關(guān),該接口形式上被這些虛擬安全網(wǎng)關(guān)共享使用。這種方式中,被共享的接口在
每個虛擬安全網(wǎng)關(guān)中,分別形成一個獨(dú)立的邏輯接口實(shí)例,可以由虛擬安全網(wǎng)關(guān)
級管理員各自配置IP地址、路由協(xié)議、安全業(yè)務(wù)等。該接口在不同的虛擬安全
網(wǎng)關(guān)實(shí)例中會自動生成不同的MAC地址(虛擬安全網(wǎng)關(guān)管理員也可以手工修改
MAC),系統(tǒng)根據(jù)數(shù)據(jù)報(bào)文攜帶的MAC地址可以區(qū)分所屬的虛擬安全網(wǎng)關(guān)。
無接口虛擬化接口虛擬化
InternetInternet
目的MAC接口
MAC1VFW1-G1/0/0
MAC2VFW2-G1/0/0
分類引*
MAC3VFW3-G1/0/0
2.5虛擬化架構(gòu)-N:1虛擬化
現(xiàn)有的雙機(jī)熱備技術(shù)難以滿足云計(jì)算時代的規(guī)模管理部署、性能彈性擴(kuò)展需
求。云時代迫切需要一種全新的架構(gòu),能夠在滿足熱備可靠性的基礎(chǔ)上解決現(xiàn)有
缺陷。
安全集群框架(SCF)高可靠性技術(shù)通過將兩臺設(shè)備虛擬化為一臺邏輯設(shè)備,實(shí)
現(xiàn)了管理和控制上的統(tǒng)一,同時組網(wǎng)部署更加簡單,有效利用鏈路帶寬,提高系
統(tǒng)穩(wěn)定性,大幅減少故障點(diǎn)帶來的業(yè)務(wù)切換沖擊。
SCF技術(shù)脫胎于XXXIRF2技術(shù),將IRF從網(wǎng)絡(luò)層面上升到業(yè)務(wù)層面,繼承
TXXXIRF2網(wǎng)絡(luò)部署的種種優(yōu)點(diǎn),實(shí)現(xiàn)了安全業(yè)務(wù)的集群處理。目前SCF最多
支持4臺分布式設(shè)備的集群,極大地方便了用戶的靈活擴(kuò)容。SCF在拓?fù)涔芾怼?/p>
成員管理、堆疊分裂檢測等方面的實(shí)現(xiàn)機(jī)制與IRF2相同,本文不再贅述。本文
重點(diǎn)以分布式設(shè)備來說明安全業(yè)務(wù)的備份機(jī)制。
在SCF集群中,包含如下幾個關(guān)鍵概念:
O安全引擎組:由多個安全引擎組成的邏輯實(shí)體,通過安全引擎組實(shí)現(xiàn)了安
全引擎的資源池化。業(yè)務(wù)配置、虛擬設(shè)備劃分都是以安全引擎組為基礎(chǔ)。
O智能引流策略:為了實(shí)現(xiàn)系統(tǒng)性能的線性擴(kuò)展,需要能夠?qū)?shù)據(jù)流負(fù)載分
擔(dān)到安全引擎組內(nèi)的多個安全引擎。同時由于安全業(yè)務(wù)的有狀態(tài)行,需要
通過引流策略保證同一條數(shù)據(jù)的往返報(bào)文由同一塊安全引擎處理。由于這
些引流策略是由系統(tǒng)自動生成,稱之為智能引流策略。
O備份組:備份組是一個邏輯概念,一個組內(nèi)最多包含兩個引擎,同一個引
擎可以屬于不同的備份組。同一備份組內(nèi)兩個引擎根據(jù)優(yōu)先級決定主備關(guān)
系。智能引流策略根據(jù)備份組內(nèi)引擎的主備關(guān)系將數(shù)據(jù)流引流到主引擎
上。
1、引擎級備份支持更高可靠性
為解決傳統(tǒng)雙機(jī)備份“故障出發(fā)點(diǎn)多”及“切換粒度粗”帶來的業(yè)務(wù)沖擊及
性能損失問題,SCF架構(gòu)引入了引擎級備份技術(shù)。引擎級備份通技術(shù)過將主機(jī)進(jìn)
行SCF集群,對外通過跨設(shè)備鏈路捆綁或者提供等價路由節(jié)點(diǎn)進(jìn)行互聯(lián),有效利
用鏈路帶寬。對內(nèi)在業(yè)務(wù)引擎之間實(shí)現(xiàn)備份,從而將主控、接口和業(yè)務(wù)引擎的故
障解耦,可以最大程度地減少各節(jié)點(diǎn)故障帶來的業(yè)務(wù)沖擊。
在一個SCF內(nèi)的多個安全業(yè)務(wù)引擎,通過配置指定1:1的備份關(guān)系。從可靠
性角度考慮通常建議備份組內(nèi)的兩個成員引擎位于不同的機(jī)框,避免整機(jī)掉電帶
來的業(yè)務(wù)中斷。在偶數(shù)塊引擎的情況下,可以實(shí)現(xiàn)引擎1對1的備份。在奇數(shù)塊
引擎的情況下,可以采用循環(huán)備份法比如,1、2、3三個引擎,2備份1,3備份
2,1備份3。系統(tǒng)根據(jù)配置的引擎?zhèn)浞蓐P(guān)系進(jìn)行引流,同時實(shí)時監(jiān)控業(yè)務(wù)引擎的
運(yùn)行狀態(tài)。一旦發(fā)現(xiàn)引擎故障,那么將該引擎承載的數(shù)據(jù)流切換到備份引擎上。
具體備份切換原理如下圖所示:FW1-2作為FW1-1的備份引擎,F(xiàn)W2-1作為FW1-
3的備份引擎,F(xiàn)W2-3作為FW2-2的備份引擎。正常情況下,系統(tǒng)引流到引擎FW1-
1、FW1-3、FW2-2±,當(dāng)任意一塊主引擎故障時,該主引擎承載的數(shù)據(jù)流被分發(fā)
到其對應(yīng)的備份引擎。
智能弓M照略,瘡敷括流根據(jù)備份為系引流到不同的安r業(yè)務(wù)引掌
?!跆镎?!口%a也口引11
9Ms」『LSk>t4
尸?▲
,一.」IM■I'[―JIB*■■■一■■i
主枷機(jī)1u?!?12
FW1-2為FW1-1的備份,FW2-1和FW5備優(yōu),________FW2-3g-1ftFW2-2,
流量切換
tFwi-m?,流量切換JFwi-aftffi,流量t;或?FW2-2J3B.
FWl-2到FW2-1S5F2-3
在引擎級備份情況下,當(dāng)一塊引擎發(fā)生故障時,僅僅在
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 臨時占用土地租賃協(xié)議
- 快件賒銷協(xié)議書
- 2024建設(shè)工程補(bǔ)充合同范本
- 求職意向書樣本-書信范本
- 2024幼兒園保安聘用合同
- 勞務(wù)施工安全協(xié)議書范本2024年
- 浙江省初中名校七年級上學(xué)期語文期中試卷5套【附答案】
- 吉林省雜糧采購合同
- 4.1 夯實(shí)法治基礎(chǔ) (大單元教學(xué)設(shè)計(jì)) 2024-2025學(xué)年統(tǒng)編版道德與法治九年級上冊
- 家庭雇傭保姆合同模板
- 煤礦皮帶智能化集控系統(tǒng)PPT教學(xué)講授課件
- 個人財(cái)務(wù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)--論文
- 分?jǐn)?shù)乘除法整理復(fù)習(xí)(課堂PPT)
- 杭州會展業(yè)發(fā)展與對策研究文獻(xiàn)綜述
- 小學(xué)六年級英語上冊《Unit 1 How can I get there》教案
- 完整版方法驗(yàn)證報(bào)告模板最終
- 電力管道資料表格(共30頁)
- 大班科學(xué)活動教案《豆豆家族》含PPT課件
- 【精品試卷】部編人教版(統(tǒng)編)一年級上冊語文第一單元測試卷含答案
- 金屬有機(jī)化學(xué)ppt課件
- 數(shù)學(xué)說題稿(共4頁)
評論
0/150
提交評論