IaaS大數(shù)據(jù)中心解決方案_第1頁
IaaS大數(shù)據(jù)中心解決方案_第2頁
IaaS大數(shù)據(jù)中心解決方案_第3頁
IaaS大數(shù)據(jù)中心解決方案_第4頁
IaaS大數(shù)據(jù)中心解決方案_第5頁
已閱讀5頁,還剩72頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

laaS大數(shù)據(jù)中心解決方案

目錄

第1章.網(wǎng)絡(luò)虛擬化......................................................4

1.1基本需求........................................................4

1.2技術(shù)選擇........................................................4

1.2.1VLAN+STP技術(shù)...........................................5

1.2.2TRILL/SPB/FabricPath+VLAN............................5

1.2.3SDN+Overlay的網(wǎng)絡(luò)虛擬化技術(shù)............................5

1.3模型選擇........................................................6

1.3.lOverlay技術(shù)介紹及選擇...................................6

1.3.2SDN技術(shù)的引入.............................................7

1.3.30verlay方案模型介紹及選擇................................8

1.4SDN網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì).............................................9

1.5Overlay網(wǎng)絡(luò)介紹...............................................12

1.5.lOverlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)流程.....................................13

1.5.20verlay網(wǎng)關(guān)高可靠性.....................................14

1.5.3控制器集群提供高可靠性..................................15

1.5.4控制器集群提供北向統(tǒng)一IP,簡化云平臺對接.............16

1.5.5Overlay網(wǎng)關(guān)彈性擴(kuò)展升級.................................17

1.5.60verlay網(wǎng)絡(luò)虛機(jī)遷移.....................................17

1.5.70verlay網(wǎng)絡(luò)虛機(jī)位置無關(guān)性..............................18

1.5.80verlay網(wǎng)絡(luò)安全部署....................................19

1.5.9網(wǎng)絡(luò)技術(shù)演進(jìn)-vDC虛擬數(shù)據(jù)中心...........................20

第2章.安全虛擬化.....................................................23

2.1安全網(wǎng)關(guān)虛擬化...............................................23

2.2虛擬化架構(gòu)-橫向及縱向擴(kuò)展性..................................25

2.3虛擬化架構(gòu)T:N:M虛擬化.......................................26

2.4虛擬化架構(gòu)-接口共享虛擬化....................................26

2.5虛擬化架構(gòu)-N:l虛擬化.........................................27

2.6安全功能虛擬化-虛擬軟件安全網(wǎng)關(guān)..........................32

2.7安全虛擬化與安全服務(wù)鏈...................................34

2.8采用服務(wù)鏈方式的安全控制..................................41

第3章.計(jì)算虛擬化................................................42

3.1虛擬化資源池.............................................42

3.2虛擬化安全隔離............................................43

3.3虛擬機(jī)/存儲熱遷移.........................................44

3.4虛擬機(jī)高可靠HA...........................................44

3.5虛擬機(jī)規(guī)格動態(tài)調(diào)整........................................45

3.6自動化彈性調(diào)度............................................45

第4章.存儲虛擬化................................................46

4.1集中式存儲規(guī)劃設(shè)計(jì)........................................46

4.1.1存儲架構(gòu)............................................47

4.1.3優(yōu)勢介紹............................................47

4.1.3價值場景展現(xiàn)........................................49

4.2分布式存儲規(guī)劃設(shè)計(jì)........................................49

4.2.1技術(shù)特點(diǎn)............................................50

4.2.20NEStor對硬件設(shè)備要求...............................61

4.2.3管理系統(tǒng)的特點(diǎn)......................................62

4.2.4管理系統(tǒng)的主要功能..................................64

第5章.整體關(guān)鍵技術(shù)..............................................66

5.1網(wǎng)絡(luò)虛擬化技術(shù)設(shè)計(jì)........................................66

5.2服務(wù)器高可用技術(shù)設(shè)計(jì)......................................67

5.3數(shù)據(jù)庫高兼容性設(shè)計(jì)........................................73

5.4存儲高可用技術(shù)設(shè)計(jì)........................................73

5.5KVM虛擬技術(shù)設(shè)計(jì)..........................................75

第1章.網(wǎng)絡(luò)虛擬化

1.1基本需求

為了滿足本次的XX市大數(shù)據(jù)共享交換平臺的項(xiàng)目業(yè)務(wù)實(shí)際需求,在業(yè)務(wù)承

載的基礎(chǔ)網(wǎng)絡(luò)部分也衍生出如下幾個基本的需求:

1.首先需要滿足在云環(huán)境下能夠?yàn)榇髷?shù)據(jù)共享交換平臺下的各種業(yè)務(wù)隔

離;大數(shù)據(jù)共享交換平臺是為各單位共同接入的公共平臺,從安全性的

角度考慮,各單位之間以及單位內(nèi)各業(yè)務(wù)系統(tǒng)需要實(shí)現(xiàn)相互隔離。

2.其次在云環(huán)境下,最大的好處在于計(jì)算資源能夠隨需移動,計(jì)算資源通

過計(jì)算虛擬化可以實(shí)現(xiàn)在單臺的物理機(jī)下虛擬化成多個虛機(jī),為了保障

業(yè)務(wù)快速部署,業(yè)務(wù)的高可靠性,各虛機(jī)需要在各租戶網(wǎng)絡(luò)內(nèi)部進(jìn)行遷

移,或進(jìn)行集群,虛機(jī)遷移,其IP地址和IP網(wǎng)關(guān)本身不會變化,同時

虛機(jī)集群也需要各虛機(jī)保持在一個網(wǎng)段之內(nèi),所以從整個基礎(chǔ)網(wǎng)絡(luò)來

看,需要整個數(shù)據(jù)中心需要提供一個大二層網(wǎng)絡(luò)。

3.從整個xx大數(shù)據(jù)共享交換平臺的建設(shè)情況,其接入單位眾多,業(yè)務(wù)需求

多樣;各單位后續(xù)的業(yè)務(wù)規(guī)模難以準(zhǔn)確預(yù)測,需要基礎(chǔ)網(wǎng)絡(luò)具備靈活的

彈性,能夠滿足在后期業(yè)務(wù)的彈性擴(kuò)展,包括單一業(yè)務(wù)的規(guī)模擴(kuò)展,單

一用戶的規(guī)模擴(kuò)展;擴(kuò)展范圍甚至覆蓋到另外區(qū)域的數(shù)據(jù)中心。

1.2技術(shù)選擇

根據(jù)上述的幾個需求來看,xx市大數(shù)據(jù)共享交換平臺數(shù)據(jù)中心建設(shè),必須

要滿足多租戶安全接入,租戶內(nèi)部網(wǎng)絡(luò)隔離,實(shí)現(xiàn)各局存在的相同IP地址段的

平滑接入,簡單的大二層,后續(xù)彈性擴(kuò)展等多個需求。針對當(dāng)前常見的數(shù)據(jù)中心

技術(shù)進(jìn)行具體分析:

1.2.1VLAN+STP技術(shù)

傳統(tǒng)的核心、匯聚、接入通過VLAN實(shí)現(xiàn)租戶的隔離,通過STP實(shí)現(xiàn)多路徑

保護(hù);但傳統(tǒng)二層網(wǎng)絡(luò)中部署的STP生成樹技術(shù)協(xié)議,部署和維護(hù)繁瑣,網(wǎng)絡(luò)規(guī)

模不宜過大,限制了網(wǎng)絡(luò)的擴(kuò)展。而后以廠家私有網(wǎng)絡(luò)虛擬化技術(shù)如vPC等網(wǎng)絡(luò)

虛擬化技術(shù),雖然可以簡化部署、同時具備高可靠性,但是對于網(wǎng)絡(luò)的拓?fù)浼軜?gòu)

有嚴(yán)格要求,同時各廠家不支持互通,在網(wǎng)絡(luò)的可擴(kuò)展性上有所欠缺,只適合小

規(guī)模網(wǎng)絡(luò)部署,一般只適合數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò);此外云業(yè)務(wù)中虛擬機(jī)的大規(guī)模部

署帶來的另一個問題就是使傳統(tǒng)網(wǎng)絡(luò)設(shè)備二層地址(MAC)表項(xiàng)的大小成了云計(jì)

算環(huán)境下虛擬機(jī)規(guī)模的關(guān)鍵參數(shù),特別是對于接入設(shè)備而言,二層地址表項(xiàng)規(guī)格

較小,這也將限制整個云計(jì)算數(shù)據(jù)中心業(yè)務(wù)規(guī)模;不建議在此次項(xiàng)目中采用。

1.2.2TRILL/SPB/FabricPath+VLAN

隨著數(shù)據(jù)中心接入規(guī)模的要求,新出現(xiàn)了大規(guī)模二層網(wǎng)絡(luò)技術(shù)

TRILL/SPB/FabriePath等,它們通過引入ISIS等協(xié)議實(shí)現(xiàn)多個二層網(wǎng)絡(luò)的互通,

能支持二層網(wǎng)絡(luò)的良好擴(kuò)展,但對數(shù)據(jù)包所經(jīng)過的沿途所有網(wǎng)絡(luò)設(shè)備有特殊要求,

網(wǎng)絡(luò)中的設(shè)備需要軟硬件升級才能支持此類新技術(shù),帶來部署成本的上升,同時

各廠商互通成為一個難以解決的問題,由于采用傳統(tǒng)的VLAN接入,隨著大數(shù)據(jù)

共享交換平臺業(yè)務(wù)的快速發(fā)展,對于租戶的數(shù)量可能在不遠(yuǎn)的將來成為制約大數(shù)

據(jù)共享交換平臺向更多規(guī)模擴(kuò)展的瓶頸,因此本次需要尋求更具彈性的網(wǎng)絡(luò)技術(shù)

實(shí)現(xiàn)大數(shù)據(jù)共享交換平臺的接入。

1.2.3SDN+OveHay的網(wǎng)絡(luò)虛擬化技術(shù)

Overlay技術(shù)是專門針對多租戶數(shù)據(jù)中心建設(shè)而引入的技術(shù),在業(yè)界知名的

互聯(lián)網(wǎng)數(shù)據(jù)中心中,以及公有云的建設(shè)中成為當(dāng)前基礎(chǔ)網(wǎng)絡(luò)的首選技術(shù),Ovelay

是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式,其大體框架是對基礎(chǔ)網(wǎng)絡(luò)不進(jìn)行大規(guī)

模修改的條件下,實(shí)現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載,并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離,并且以

基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主。

?Overlay網(wǎng)絡(luò)是指建立在已有網(wǎng)絡(luò)上的虛擬網(wǎng),邏輯節(jié)點(diǎn)和邏輯鏈路構(gòu)

成了Overlay網(wǎng)絡(luò)。

?Overlay網(wǎng)絡(luò)是具有獨(dú)立的控制和轉(zhuǎn)發(fā)平面,對于連接在overlay邊緣

設(shè)備之外的終端系統(tǒng)來說,物理網(wǎng)絡(luò)是透明的。

?Overlay網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸,使云資源池化能力

可以擺脫物理網(wǎng)絡(luò)的重重限制,是實(shí)現(xiàn)云網(wǎng)融合的關(guān)鍵。

Overlay網(wǎng)絡(luò)概念圖

從當(dāng)前業(yè)界的應(yīng)用情況來看,Overlay可以滿足XX大數(shù)據(jù)共享交換平臺對

于多租戶接入、多租戶隔離、彈性擴(kuò)展、大二層組網(wǎng)等需求,建議本次XX大數(shù)

據(jù)共享交換平臺采用Overlay技術(shù)實(shí)現(xiàn)整個基礎(chǔ)網(wǎng)絡(luò)的構(gòu)建。

L3模型選擇

1.3.lOverlay技術(shù)介紹及選擇

IETF在Overlay技術(shù)領(lǐng)域提出三大技術(shù)方案:

VXLAN:VXLAN是將以太網(wǎng)報(bào)文封裝成UDP報(bào)文進(jìn)行隧道傳輸,UDP目的端口

為已知端口,源端口可按流分配,標(biāo)準(zhǔn)5元組方式有利于在IP網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程中

進(jìn)行負(fù)載分擔(dān);隔離標(biāo)識采用24比特來表示;未知目的、廣播、組播等網(wǎng)絡(luò)流

量均被封裝為組播轉(zhuǎn)發(fā)。

NVGRE:NVGRE采用的是RFC2784和RFC2890所定義的GRE隧道協(xié)議。將以

太網(wǎng)報(bào)文封裝在GRE內(nèi)進(jìn)行隧道傳輸。隔離標(biāo)識采用24比特來表示;與VXLAN

的主要區(qū)別在對流量的負(fù)載分擔(dān)上,因?yàn)槭褂昧薌RE隧道封裝,NVGRE使用了GRE

擴(kuò)展字段flowID進(jìn)行流量負(fù)載分擔(dān),這就要求物理網(wǎng)絡(luò)能夠識別GRE隧道的擴(kuò)

展信息。

STT:STT是無狀態(tài)傳輸協(xié)議,通過將以太網(wǎng)報(bào)文封裝成TCP報(bào)文進(jìn)行隧道

傳輸,隔離標(biāo)識采用64比特來表示。與VXLAN和NVGRE的主要區(qū)別是在隧道封

裝格式使用了無狀態(tài)TCP,需要對傳統(tǒng)TCP協(xié)議進(jìn)行修改以適應(yīng)NVGRE的傳輸。

總體比較,VXLAN技術(shù)具有最佳優(yōu)勢:

1)L2-4層鏈路HASH能力強(qiáng),不需要對現(xiàn)有網(wǎng)絡(luò)改造(GRE有不足,需要

網(wǎng)絡(luò)設(shè)備支持)

2)對傳輸層無修改,使用標(biāo)準(zhǔn)的UDP傳輸流量(STT需要修改TCP)

3)業(yè)界支持度最好,商用網(wǎng)絡(luò)芯片大部分支持

技術(shù)名稱支持者支持方式簡述|產(chǎn)品形式網(wǎng)絡(luò)虛擬化方式|數(shù)據(jù)新增報(bào)頭長度|躅HASH勤|

Cisco/VMware

VXLANCisco,VMware

N1000VVXLAN報(bào)頭現(xiàn)有網(wǎng)絡(luò)可ML2-14

(Virtual、Citrix、RedHatL2overUDP5OByte(+原數(shù)據(jù))

BCMTrident224bitVN1HASH

ExtensibleLAN)、Broadcom

其他OpenvSwitch

Broadcom:Trident

NVGREHP、際55軟:Hyper-V

(NetworkBroadcom,vSwitchNVGRE倒GRE頭的HASH赧

L2overGRE42Byte(+^GS)

VirtualizationDell、Emulex、Emulex:網(wǎng)保出24bitVSI網(wǎng)絡(luò)升級

usingGRE)Intel其他:Open

vSwitch

STTL2overTCP

(StatelessVMware秘態(tài)TCP,即STTlg頭現(xiàn)有財(cái)絡(luò)可ML2-L4

vSwitch58?76Byte(+原鰥)

Transport(Nicira)12招懶rcpfig64bitContextIDHASH

Tunneling)傳輸層

基于此,本次的XX市大數(shù)據(jù)共享交換平臺方案建議選擇基于Vxlan的

Overlay技術(shù)實(shí)現(xiàn)本次方案的建設(shè)。

1.3.2SDN技術(shù)的引入

上面提到了Overlay的轉(zhuǎn)發(fā)層面,在Overlay的控制層面,傳統(tǒng)的Overlay

各VETP節(jié)點(diǎn)之間需要通過主機(jī)虛機(jī)的MAC地址需要部署IP多播路由協(xié)議,且需

要支持任意源(ASM)模式一一每個成員既是多播的接收者,又是多播的發(fā)起者。

這大大增加了網(wǎng)絡(luò)運(yùn)維的難度。一方面物理網(wǎng)絡(luò)支持的IP多播組數(shù)量是有限的,

遠(yuǎn)小于VXLAN虛擬網(wǎng)絡(luò)的個數(shù),這限制了整個VXLAN網(wǎng)絡(luò)的租戶數(shù)量;另一方面

每個IP多播組中的成員個數(shù)也是有限的,此外對于多播網(wǎng)絡(luò)的維護(hù)也是一個復(fù)

雜的過程,因此在本次提供的方案中,將采用SDN的技術(shù),通過引入SDN控制

器,實(shí)現(xiàn)Overlay控制層面的簡化,同時利用SDN的服務(wù)鏈的技術(shù),將整個網(wǎng)絡(luò)

的安全業(yè)務(wù)部署進(jìn)一步簡化,讓Overlay能夠更好的為本次的XX大數(shù)據(jù)共享交

換平臺提供服務(wù)。

根據(jù)客戶不同組網(wǎng)需求,Overlay分為三種組網(wǎng)模型(如圖所示)。

網(wǎng)絡(luò)Overlay:隧道封裝在物理交換機(jī)完成。這種Overlay的優(yōu)勢在于物理

網(wǎng)絡(luò)設(shè)備性能轉(zhuǎn)發(fā)性能比較高,可以支持非虛擬化的物理服務(wù)器之間的組網(wǎng)互通。

主機(jī)Overlay:隧道封裝在vSwitch完成,不用增加新的網(wǎng)絡(luò)設(shè)備即可完成

Overlay部署,可以支持虛擬化的服務(wù)器之間的組網(wǎng)互通。

混合Overlay:是網(wǎng)絡(luò)Overlay和主機(jī)Overlay的混合組網(wǎng),可以支持物

理服務(wù)器和虛擬服務(wù)器之間的組網(wǎng)互通。

NetworkOverlaylioMOveriavllvbndOver」;*、

網(wǎng)毋231Z<HOvctUylUi'rit;Ov?l?y

控制2攻

物內(nèi)也男特?投*

?1Q戰(zhàn),CBKliS>

M絡(luò)6bbiy4-機(jī)CvcrlaviM&Overlay

?。理戊為6?加,網(wǎng)博的功?0IC總務(wù)件為<zwl?ym絡(luò)笛珈■iftdaM.me沒+tima

推設(shè)aa作為5E?W4格嶺地緣0』

三種Overlay組網(wǎng)模型

相對于主機(jī)Overlay和軟件網(wǎng)絡(luò)Overlay,混合型overly網(wǎng)絡(luò)解決方案,

它具有如下特點(diǎn):

1)Overlay網(wǎng)絡(luò)是指在傳統(tǒng)網(wǎng)絡(luò)的邊緣構(gòu)架一套全新的智能控制網(wǎng)

絡(luò)。該網(wǎng)絡(luò)中的結(jié)點(diǎn)可以看作通過虛擬或邏輯鏈路而連接起來的,在

Overlay方案中,邊緣節(jié)點(diǎn)設(shè)備可以支持邏輯軟件和獨(dú)立的硬件設(shè)備。

2)Overlay網(wǎng)絡(luò)具有獨(dú)立的控制和轉(zhuǎn)發(fā)平面,對于連接在overlay邊

緣設(shè)備之外的終端系統(tǒng)來說,物理網(wǎng)絡(luò)是透明的,只需IP可達(dá),并且不在

完全限定物理網(wǎng)絡(luò)是二層網(wǎng)絡(luò)或是三層網(wǎng)絡(luò),具有更高的靈活性。

3)Overlay網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸,使云資源池化

能力可以擺脫物理網(wǎng)絡(luò)的重重限制,是實(shí)現(xiàn)云網(wǎng)融合的關(guān)鍵。

4)Overlay的網(wǎng)絡(luò)架構(gòu)是在傳統(tǒng)物理網(wǎng)絡(luò)基礎(chǔ)上構(gòu)建了邏輯的二層網(wǎng)

絡(luò),是網(wǎng)絡(luò)支持云業(yè)務(wù)發(fā)展的理想選擇,是傳統(tǒng)網(wǎng)絡(luò)向網(wǎng)絡(luò)虛擬化的深度延

伸,提供了網(wǎng)絡(luò)資源池化的最佳解決方式。

鑒于XX市政府各下屬單位前期IT建設(shè)階段不同,現(xiàn)網(wǎng)存在多種不同類型數(shù)

據(jù)庫,支撐不同類型業(yè)務(wù),有些關(guān)鍵應(yīng)用為了保證期高性能和穩(wěn)定性,目前不建

議放在虛擬化環(huán)境中,但是依然希望能將其納入。verlay網(wǎng)絡(luò)中統(tǒng)一管理,針對

這種情況,混合型overlay方案,能夠提供一套包含軟硬件的整體解決方案,將

云數(shù)據(jù)中心的所有虛擬機(jī)和物理服務(wù)器(包含虛擬機(jī)宿主和獨(dú)立承載核心業(yè)務(wù)的

物理主機(jī))同時納入管理,由SDN控制器統(tǒng)一控制下發(fā)網(wǎng)絡(luò)策略。Overlay控制

器作網(wǎng)絡(luò)管理的核心,和計(jì)算管理,存儲管理模塊一起,受云管理平臺的統(tǒng)一控

制。

1.4SDN網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

政府當(dāng)前數(shù)據(jù)中心

互聯(lián)網(wǎng)

----------------------VxLAN閾絡(luò)----------------———VxtANWft

I

?.加“3?口

由用“A室劈他區(qū)

由用計(jì)算費(fèi)涯效

互聯(lián)網(wǎng)業(yè)務(wù)區(qū)多中心網(wǎng)絡(luò)架構(gòu)規(guī)劃圖

本次XX市大數(shù)據(jù)共享交換平臺整體網(wǎng)絡(luò)規(guī)劃建設(shè)中,為了達(dá)到安全合規(guī)性

要求,同時提高大數(shù)據(jù)共享交換平臺整體安全性,分別為宏網(wǎng)業(yè)務(wù)區(qū)和互聯(lián)網(wǎng)業(yè)

務(wù)區(qū)建設(shè)了一套相互獨(dú)立的網(wǎng)絡(luò)系統(tǒng)平臺,而XXX網(wǎng)業(yè)務(wù)區(qū)和互聯(lián)網(wǎng)業(yè)務(wù)區(qū)內(nèi)部

核心網(wǎng)絡(luò)結(jié)構(gòu)是相同的。

1)VCFCController高可用集群架構(gòu)規(guī)劃:

大數(shù)據(jù)共享交換平臺業(yè)務(wù)網(wǎng)絡(luò)全部運(yùn)行在VxLAN網(wǎng)絡(luò)中,實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)與物

理網(wǎng)絡(luò)的從邏輯上的分離。而大數(shù)據(jù)共享交換平臺網(wǎng)絡(luò)整體的運(yùn)行全部由VCFC

Controller網(wǎng)絡(luò)控制器進(jìn)行控制,為了保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,VCFCController

網(wǎng)絡(luò)控制器采用了分布式高可用集群架構(gòu)設(shè)計(jì)。

分別在A數(shù)據(jù)中心、B數(shù)據(jù)中心和政府當(dāng)前數(shù)據(jù)中心部署2臺VCFC

Controller網(wǎng)絡(luò)控制器,每個數(shù)據(jù)中心的兩臺VCFCController網(wǎng)絡(luò)控制器組

成一個Team稱之為Region,A數(shù)據(jù)中心為Region1,B數(shù)據(jù)中心為Region2,政

府當(dāng)前數(shù)據(jù)中心為Region3oRegionl、Region2和Region3組成了分布式高可行

SDN集群。

Regionl、Region2和Region3所有的VCFC控制器只需要IP可達(dá)即可保持

相互之間的必要通訊。

2)VCFCController網(wǎng)絡(luò)控制器的作用:

可以向防火墻設(shè)備、核心交換機(jī)設(shè)備、接入交換機(jī)設(shè)備和虛擬交換機(jī)設(shè)備下

發(fā)配置信息和流表信息,從而集中控制網(wǎng)絡(luò)整體的轉(zhuǎn)發(fā)策略。

3)VxLAN三層網(wǎng)關(guān):

核心交換機(jī)是大數(shù)據(jù)共享交換平臺SDN-VxLAN三層網(wǎng)關(guān),主要實(shí)現(xiàn)不同的

VxLAN之間、不同的VxLAN和VLAN之間的互通。

數(shù)據(jù)中心內(nèi)的VXLANIPGW以堆疊的形式部署,兩個數(shù)據(jù)中心的VXLANIP

GW堆疊再部署成網(wǎng)關(guān)組,以滿足業(yè)務(wù)遷移的要求。

4)防火墻-大數(shù)據(jù)共享交換平臺安全網(wǎng)關(guān)

此處的防火墻是大數(shù)據(jù)共享交換平臺安全網(wǎng)關(guān),負(fù)責(zé)大數(shù)據(jù)共享交換平臺內(nèi)

部業(yè)務(wù)系統(tǒng)的安全防護(hù),同時提供租戶間的安全隔離。

數(shù)據(jù)中心內(nèi)的防火墻以堆疊的形式部署,VCFC集群對不同數(shù)據(jù)中心的防火

墻分別進(jìn)行安全納管,可根據(jù)業(yè)務(wù)需要在控制器上直接下發(fā)策略,策略會同時在

兩個數(shù)據(jù)中心的防火墻下發(fā),以確保虛機(jī)遷移后業(yè)務(wù)不受影響。

5)VxLAN網(wǎng)絡(luò)

在改造后的物理網(wǎng)絡(luò)之上構(gòu)建一個虛擬網(wǎng)絡(luò),上層應(yīng)用只與虛擬網(wǎng)絡(luò)相關(guān)。

Overlay網(wǎng)絡(luò)主要由三部分組成:邊緣設(shè)備、控制平面和轉(zhuǎn)發(fā)平面。

邊緣設(shè)備:與服務(wù)器或虛擬機(jī)直接相連;

控制平面:負(fù)責(zé)虛擬隧道的建立維護(hù)以及主機(jī)可達(dá)性信息的通告;

轉(zhuǎn)發(fā)平面:承載Overlay報(bào)文的現(xiàn)有物理網(wǎng)絡(luò)。

Overlay架構(gòu)圖

此次所涉及VXLAN網(wǎng)絡(luò)的所有交換機(jī),都支持VXLAN報(bào)文封裝,VXLAN這種

二層Overlay技術(shù),將以太網(wǎng)報(bào)文承載到某種隧道層面,VXLAN利用了現(xiàn)有通用

的UDP傳輸

VXLAN運(yùn)行在UDP上,物理網(wǎng)絡(luò)只要支持IP轉(zhuǎn)發(fā),則所有IP可達(dá)的主機(jī)即

可構(gòu)建一個大范圍二層網(wǎng)絡(luò)。屏蔽了物理網(wǎng)絡(luò)的模型與拓?fù)洳町?,將物理網(wǎng)絡(luò)的

技術(shù)實(shí)現(xiàn)與計(jì)算虛擬化的關(guān)鍵要求分離開來,幾乎可以支持以太網(wǎng)在任意網(wǎng)絡(luò)上

的透傳,使得云的計(jì)算資源調(diào)度范圍空前擴(kuò)大。

1.5Overlay網(wǎng)絡(luò)介紹

如圖所示為本次針對xx大數(shù)據(jù)共享交換平臺提供的網(wǎng)絡(luò)虛擬化方案:本次

方案中采用XXX的混合Overlay技術(shù)實(shí)現(xiàn)基礎(chǔ)網(wǎng)絡(luò)搭建,針對有虛擬化的主機(jī),

提供VSW實(shí)現(xiàn)虛機(jī)的Overlay接入,未做或不能做虛擬化的主機(jī),通過L2層網(wǎng)

關(guān)實(shí)現(xiàn)接入;為了簡化Overlay網(wǎng)絡(luò)的部署,引入SDN控制器VCFController,

實(shí)現(xiàn)Overlay的流表學(xué)習(xí)和控制;為了更靈活地針對各虛機(jī)、業(yè)務(wù)、以及租戶的

安全控制,引入SDN的服務(wù)鏈的技術(shù),通過L2網(wǎng)關(guān)實(shí)現(xiàn)接入安全資源池的接入。

該組網(wǎng)方案有以下優(yōu)點(diǎn):

?適用于服務(wù)器虛擬化的場景,成本較低,VXLAN物理GW既可以用在核

心位置,也可以在現(xiàn)有核心旁掛,保護(hù)已有投資。

?控制面實(shí)現(xiàn)可以由XXX高可靠的SDNController集群實(shí)現(xiàn),提高了可

靠性和可擴(kuò)展性,避免了大規(guī)模的復(fù)雜部署。

?網(wǎng)關(guān)組部署可以實(shí)現(xiàn)流量的負(fù)載分擔(dān)和高可靠性傳輸。

?支持分布式網(wǎng)關(guān)功能,使虛機(jī)遷移后不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參

數(shù),部署簡單、靈活。

下面針對本方案的細(xì)節(jié)進(jìn)行逐一介紹:

1.5.lOverlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)流程

?報(bào)文所屬VXLAN識別

VTEP只有識別出接收到的報(bào)文所屬的VXLAN,才能對該報(bào)文進(jìn)行正確地處

理。

VXLAN隧道上接收報(bào)文的識別:對于從VXLAN隧道上接收到的VXLAN報(bào)文,VTEP

根據(jù)報(bào)文

中攜帶的VNI判斷該報(bào)文所屬的VXLAN。

本地站點(diǎn)內(nèi)接收到數(shù)據(jù)幀的識別:對于從本地站點(diǎn)中接收到的二層數(shù)據(jù)幀,

VTEP通過以太網(wǎng)服務(wù)實(shí)例(ServiceInstance)將數(shù)據(jù)幀映射到對應(yīng)的VSI,

VSI內(nèi)創(chuàng)建的VXLAN即為該數(shù)據(jù)幀所屬的VXLAN。

?MAC地址學(xué)習(xí)

本地MAC地址學(xué)習(xí):指本地VTEP連接的本地站點(diǎn)內(nèi)虛擬機(jī)MAC地址的學(xué)習(xí)。

本地MAC地址通過接收到數(shù)據(jù)幀中的源MAC地址動態(tài)學(xué)習(xí),即VTEP接收到本地

虛擬機(jī)發(fā)送的數(shù)據(jù)幀后,判斷該數(shù)據(jù)幀所屬的VSI,并將數(shù)據(jù)幀中的源MAC地址

(本地虛擬機(jī)的MAC地址)添加到該VSI的MAC地址表中,該MAC地址對應(yīng)的出

接口為接收到數(shù)據(jù)幀的接口。

遠(yuǎn)端MAC地址學(xué)習(xí):指遠(yuǎn)端VTEP連接的遠(yuǎn)端站點(diǎn)內(nèi)虛擬機(jī)MAC地址的學(xué)習(xí)。

遠(yuǎn)端MAC學(xué)習(xí)時,VTEP從VXLAN隧道上接收到遠(yuǎn)端VTEP發(fā)送的VXLAN報(bào)文后,

根據(jù)VXLANID判斷報(bào)文所屬的VXLAN,對報(bào)文進(jìn)行解封裝,還原二層數(shù)據(jù)幀,

并將數(shù)據(jù)幀中的源MAC地址(遠(yuǎn)端虛擬機(jī)的MAC地址)添加到所屬VXLAN對應(yīng)

VSI的MAC地址表中,該MAC地址對應(yīng)的出接口為VXLAN隧道接口。

1.5.20verlay網(wǎng)關(guān)高可靠性

?Overlay網(wǎng)關(guān)的高可靠性原理如圖所示:

網(wǎng)關(guān)組成員配置相同的VTEPIP和虛MAC

ECMPRoute:

Prefiex:1.1.11/32BGP/OSPF------------------------------------------------------

nethop:10.0.0.1向Underlay屈絡(luò)發(fā)布VTEP!P

nethop:11.0.0.1\i------J路由形成ECMP1111

虛擬Overlay網(wǎng)絡(luò)Underlay網(wǎng)絡(luò)物理Overlay網(wǎng)絡(luò)外部網(wǎng)絡(luò)

Overlay網(wǎng)關(guān)高可靠性:網(wǎng)關(guān)組中網(wǎng)關(guān)的VTEPIP和GWVMAC相同,均通過

路由協(xié)議對內(nèi)網(wǎng)發(fā)布VTEPIP對應(yīng)路由;

網(wǎng)關(guān)組內(nèi)部,采用無狀態(tài)轉(zhuǎn)發(fā)設(shè)計(jì),所有網(wǎng)關(guān)信息同步;在處理VSW發(fā)往GW

的流量時,動態(tài)選擇GW組中的一個GW,可以很好地起到負(fù)載分擔(dān)的作用;網(wǎng)關(guān)

故障后,流量切換到分組內(nèi)其它網(wǎng)關(guān),保證業(yè)務(wù)平滑遷移。

網(wǎng)關(guān)與內(nèi)外網(wǎng)設(shè)備連接,采用聚合或ECMP方式,某鏈路故障,網(wǎng)關(guān)自動切

換鏈路,無需人工干預(yù)。單個網(wǎng)關(guān)設(shè)備采用雙主控,原主控故障,新主控接管設(shè)

備管理,所有處理網(wǎng)關(guān)自動完成。轉(zhuǎn)發(fā)層面和控制層面分離,SDNController不

感知,網(wǎng)關(guān)上流量轉(zhuǎn)發(fā)不受影響。

L5.3控制器集群提供高可靠性

VCF控制器基于AKKA實(shí)現(xiàn)了分布式集群管理,AKKA無中心化的集群成員服

務(wù),方便實(shí)現(xiàn)無單點(diǎn)故障及無單點(diǎn)瓶頸的大規(guī)模控制器集群。VCF控制器使用

AKKAActor模型構(gòu)建了一個支持高并發(fā)、強(qiáng)容錯、大規(guī)模應(yīng)用程序的開放平臺。

VCF控制器集群支持控制器數(shù)量的彈性擴(kuò)展,可以根據(jù)網(wǎng)絡(luò)規(guī)模動態(tài)伸縮,

同時不影響已部署業(yè)務(wù),目前最大支持32臺集群規(guī)模,每個控制器集群支持2.5

萬臺服務(wù)器以及20萬個虛擬機(jī)。

大規(guī)模集群設(shè)計(jì)在提高可靠性的同時,需要在業(yè)務(wù)的部署上提供完善的架構(gòu)。

傳統(tǒng)的一主多備業(yè)務(wù)模型,只有主節(jié)點(diǎn)對外提供服務(wù),其它節(jié)點(diǎn)都處于備份狀態(tài),

主節(jié)點(diǎn)會實(shí)時把業(yè)務(wù)數(shù)據(jù)廣播或組播發(fā)送給備份節(jié)點(diǎn),完成業(yè)務(wù)的主備,這種模

型在增加集群節(jié)點(diǎn)時不能做到業(yè)務(wù)的ScaleOut,相反會影響原有業(yè)務(wù)規(guī)模。每

個節(jié)點(diǎn)都提供服務(wù)、其它節(jié)點(diǎn)做為備份的方式,業(yè)務(wù)模型本質(zhì)上還是一主多備。

VCF控制器在AKKA集群基礎(chǔ)上提出了Region的概念,很好地解決了上述問題:

@9H3c?

北向統(tǒng)一ip池址

vSmlchlOOO

vSwfthtOOI

聯(lián)瞅

vS?iteh10Q2

VCF架構(gòu)圖

L5.4控制器集群提供北向統(tǒng)一IP,簡化云平臺對接

VCF控制器集群在北向提供統(tǒng)一IP地址,北向APP無需關(guān)心業(yè)務(wù)所在的集

群節(jié)點(diǎn)位置,也無需感知集群節(jié)點(diǎn)的狀態(tài)變化,大大簡化了編程邏輯。在VCF控

制器集群中,一部分成員是領(lǐng)導(dǎo)者(leader),一部分是成員(member)。Leader

對上提供北向的訪問接口,負(fù)責(zé)對集群進(jìn)行管理;Member負(fù)責(zé)管理控制交換機(jī),

通過南向接口連接交換機(jī)。整個集群可以按需動態(tài)或手工形成兩臺臺到多臺的子

集群,稱之為Region,業(yè)務(wù)按Region運(yùn)行,也就是說業(yè)務(wù)的主備以Region為

單位,在Region內(nèi)完成業(yè)務(wù)的備份,同時業(yè)務(wù)也可以在Region內(nèi)以負(fù)載均衡的

模式運(yùn)行,以充分利用備份節(jié)點(diǎn)的硬件資源。如圖所示,我們把所有的leader

放在一個Region里,選一個作為主Leader,其他的作為備份,這樣就保持整個

集群有一個持續(xù)的不間斷的對外提供北向服務(wù)的能力。交換機(jī)需要同時連到

Region中的所有成員上,其中一個控制器會被選舉為主,其它為備,這樣,當(dāng)

Region中的主控制器故障時,Region中的備控制器就可以接管對交換機(jī)的控制,

提供一個不間斷的南向服務(wù)能力。

1.5.50verlay網(wǎng)關(guān)彈性擴(kuò)展升級

受制于芯片的限制,單個網(wǎng)關(guān)設(shè)備支持的租戶數(shù)量有限,控制器能夠動態(tài)的

將不同租戶的隧道建立在不同的Overlay網(wǎng)關(guān)上,支持Overlay網(wǎng)關(guān)的無狀態(tài)分

布,實(shí)現(xiàn)租戶流量的負(fù)載分擔(dān)。

如圖所示,Overlay網(wǎng)絡(luò)可以支持Overlay網(wǎng)關(guān)隨著租戶數(shù)量增加的擴(kuò)充,

當(dāng)前最大可以支持超過64K個租戶數(shù)量,從而提供一個具有彈性擴(kuò)展能力的

Overlay網(wǎng)絡(luò)架構(gòu),滿足XX大數(shù)據(jù)共享交換平臺后期彈性擴(kuò)展的要求。

Overlay網(wǎng)絡(luò)彈性擴(kuò)展

1.5.60verlay網(wǎng)絡(luò)虛機(jī)遷移

在虛擬化環(huán)境中,虛擬機(jī)故障、動態(tài)資源調(diào)度功能、服務(wù)器主機(jī)故障或計(jì)劃

內(nèi)停機(jī)等都會造成虛擬機(jī)遷移動作的發(fā)生。虛擬機(jī)的遷移,需要保證遷移虛擬機(jī)

和其他虛擬機(jī)直接的業(yè)務(wù)不能中斷,而且虛擬機(jī)對應(yīng)的網(wǎng)絡(luò)策略也必須同步遷移。

虛擬機(jī)遷移及網(wǎng)絡(luò)策略如圖所示:

內(nèi)存轉(zhuǎn)K.N,后淖VM關(guān)機(jī)

虛擬機(jī)遷移及網(wǎng)絡(luò)策略跟隨

網(wǎng)絡(luò)管理員通過虛擬機(jī)管理平臺下發(fā)虛擬機(jī)遷移指令,虛擬機(jī)管理平臺通知

控制器預(yù)遷移,控制器標(biāo)記遷移端口,并向源主機(jī)和目的主機(jī)對應(yīng)的主備控制器

分布發(fā)送同步消息,通知遷移的VPort,增加遷移標(biāo)記。同步完成后,控制器通

知虛擬機(jī)管理平臺可以進(jìn)行遷移了。

虛擬機(jī)管理平臺收到控制器的通知后,開始遷移,創(chuàng)建VM分配IP等資源并

啟動VM。啟動后目的主機(jī)上報(bào)端口添加事件,通知給控制器,控制器判斷遷移標(biāo)

記,遷移端口,保存新上報(bào)端口和舊端口信息。然后控制器向目的主機(jī)下發(fā)網(wǎng)絡(luò)

策略。

源VM和目的執(zhí)行內(nèi)存拷貝,內(nèi)存拷貝結(jié)束后,源VM關(guān)機(jī),目的VM上線。

源VM關(guān)機(jī)后,遷移源主機(jī)上報(bào)端口刪除事件,通知給控制器,控制器判斷遷移

標(biāo)記,控制器根據(jù)信息刪除舊端□信息并同時刪除遷移前舊端口對應(yīng)的流表信息。

主控制器完成上述操作后在控制器集群內(nèi)進(jìn)行刪除端口消息的通知。其他控

制器收到刪除端口信息后,也刪除本控制器的端口信息,同時刪除對應(yīng)端的流表

信息。源控制器需要把遷移后新端口通知控制器集群的其他控制器。其他控制器

收到遷移后的端口信息,更新端口信息。當(dāng)控制器重新收到Packet-in報(bào)文后,

重新觸發(fā)新的流表生成。

1.5.70verlay網(wǎng)絡(luò)虛機(jī)位置無關(guān)性

通過使用MAC-in-UDP封裝技術(shù),VXLAN為虛擬機(jī)提供了位置無關(guān)的二層抽

象,Underlay網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò)解耦合。終端能看到的只是虛擬的二層連接

關(guān)系,完全意識不到物理網(wǎng)絡(luò)限制。

更重要的是,這種技術(shù)支持跨傳統(tǒng)網(wǎng)絡(luò)邊界的虛擬化,由此支持虛擬機(jī)可以

自由遷移,甚至可以跨越不同地理位置數(shù)據(jù)中心進(jìn)行遷移。如此以來,可以支持

虛擬機(jī)隨時隨地接入,不受實(shí)際所在物理位置的限制。

所以VXLAN的位置無關(guān)性,不僅使得業(yè)務(wù)可在任意位置靈活部署,緩解了服

務(wù)器虛擬化后相關(guān)的網(wǎng)絡(luò)擴(kuò)展問題;而且使得虛擬機(jī)可以隨時隨地接入、遷移,

是網(wǎng)絡(luò)資源池化的最佳解決方式,可以有力地支持云業(yè)務(wù)、大數(shù)據(jù)、虛擬化的迅

猛發(fā)展。

1.5.80verlay網(wǎng)絡(luò)安全部署

如圖所示,Overlay網(wǎng)絡(luò)的安全部署有三種模式,這三種模式既可以獨(dú)立部

署,也可以配合部署:

0

?旁掛部署

主要形態(tài):硬件安全資源。

安全資源旁掛在核心/匯聚設(shè)備旁側(cè)(部分安全資源也可選作為L3網(wǎng)關(guān))。

安全資源關(guān)注VXLAN〈->VLAN的安全訪問控制。

?服務(wù)器側(cè)部署

主要形態(tài):軟件安全資源。

安全資源以VM形態(tài)部署在服務(wù)器內(nèi)部,可以作為其他VM的網(wǎng)關(guān)。

如果安全資源支持VXLAN,可以完成VXLAN〈->VLAN的安全訪問控制。

全硬件VXLAN方案不推薦使用。

?專用安全區(qū)部署

主要形態(tài):軟件或硬件安全資源。

安全資源集中部署在某一個TOR設(shè)備下,重點(diǎn)關(guān)注不同VXLANID之間互訪

的安全控制。

如果安全資源支持VXLAN,就直接配置VXLANID的互訪策略。

如果安全資源不支持VXLAN,需要TOR完成VXLAN到VLAN的轉(zhuǎn)換,然后安

全資源上配置不同VLAN互訪的安全策略。

1.5.9網(wǎng)絡(luò)技術(shù)演進(jìn)-vDC虛擬數(shù)據(jù)中心

隨著虛擬化與云計(jì)算技術(shù)的不斷成熟,XX市建設(shè)允許租戶按需租用資源和

服務(wù),創(chuàng)建租戶自己的虛擬數(shù)據(jù)中心(vDC,VirtualDataCenter)或虛擬私有

云(VPC,VirtualPrivateCloud),幫助租戶節(jié)省建設(shè)成本、提高業(yè)務(wù)敏捷性。

因此,XX市大數(shù)據(jù)共享交換平臺需要考慮后續(xù)為各委辦局或其他用戶提供服務(wù),

幫助用戶將大部分IT應(yīng)用向大數(shù)據(jù)共享交換平臺遷移。大專有云平臺為租戶(委

辦局單位)提供云主機(jī)、云存儲、云網(wǎng)絡(luò)安全等虛擬基礎(chǔ)設(shè)施資源,基于這些虛

擬資源,租戶可以在專有云中構(gòu)建自己的虛擬數(shù)據(jù)中心,同時各租戶的虛擬數(shù)據(jù)

中心彼此安全隔離。如下圖所示:

數(shù)據(jù)中心

珞由3

FWAB

1

2F

vSRvL8

虛擬數(shù)據(jù)中心(vDC)的最大好處就是可以讓租戶靈活部署自己的業(yè)務(wù)應(yīng)用,

就像部署在自己的專屬數(shù)據(jù)中心內(nèi)部,擁有計(jì)算、存儲和網(wǎng)絡(luò)虛擬實(shí)例完整的使

用權(quán)和管理權(quán)。

對于計(jì)算、存儲資源的虛擬化,目前的技術(shù)成熟度很高,使用也非常普遍。

然而對于網(wǎng)絡(luò)安全資源的虛擬化技術(shù)實(shí)現(xiàn),是構(gòu)建虛擬數(shù)據(jù)中心的重點(diǎn)和難點(diǎn),

XXX通過多年在網(wǎng)絡(luò)安全領(lǐng)域的積累,很好的將網(wǎng)絡(luò)安全的虛擬化技術(shù)應(yīng)用到了

XXXLOUD云平臺中,通過硬件設(shè)備的1:N虛擬化和NFV(網(wǎng)絡(luò)功能虛擬化)技術(shù),

實(shí)現(xiàn)網(wǎng)絡(luò)安全資源虛擬化。如下圖所示:

物理設(shè)備

圖硬件設(shè)備1:N虛擬化

圖網(wǎng)絡(luò)功能虛擬化(NFV)

由于布線、歸屬等原因,目前的物理設(shè)備并不適合作為租戶獨(dú)享的設(shè)備在云

計(jì)算環(huán)境中部署。為了解決目前存在的問題,需要一個既具備物理網(wǎng)絡(luò)設(shè)備的功

能又適合于在公有云多租戶環(huán)境中部署的設(shè)備,NFV(NetworkFunction

Virtualisation,網(wǎng)絡(luò)功能虛擬化)應(yīng)用而生。

XXX提供一系列NFV方案,應(yīng)用于vDC場景,幫助XX市大數(shù)據(jù)共享交換平

臺構(gòu)建租戶的私有云或混合云。它和物理設(shè)備一樣,采用業(yè)界領(lǐng)先的專業(yè)網(wǎng)絡(luò)平

臺ComwareV7,運(yùn)行在標(biāo)準(zhǔn)X86服務(wù)器或虛擬機(jī)上,提供和物理設(shè)備相同的功

能和體驗(yàn),包括路由、防火墻、VPN、QoS、及配置管理等,同時充分利用虛擬平

臺的特點(diǎn),簡化設(shè)備的部署安裝。

圖XX市大數(shù)據(jù)共享交換平臺虛擬數(shù)據(jù)中心部署示意圖

第2章.安全虛擬化

2.1安全網(wǎng)關(guān)虛擬化

公有云及私有云等云計(jì)算業(yè)務(wù)的開展,均存在將一臺物理設(shè)備進(jìn)行1:N虛

擬化之后提供給不同租戶使用的需求。要求虛擬安全網(wǎng)關(guān)之間業(yè)務(wù)數(shù)據(jù)相互隔離,

能夠提供獨(dú)立管理、獨(dú)立審計(jì)、獨(dú)立安全策略,同時能夠給每個虛擬安全網(wǎng)關(guān)分

配獨(dú)立的處理能力。

傳統(tǒng)安全網(wǎng)關(guān)產(chǎn)品在解決虛擬化問題通常有兩種方案:基于虛擬路由或者基

于虛擬機(jī)。

基于虛擬路由的安全虛擬化方案在數(shù)據(jù)平面,圍繞轉(zhuǎn)發(fā)表,通過VRF或類似

技術(shù)將轉(zhuǎn)發(fā)相關(guān)的表項(xiàng)(如路由表、ARP表)分割成多個邏輯的表,實(shí)現(xiàn)報(bào)文轉(zhuǎn)

發(fā)的隔離;在管理平面,為不同虛擬安全網(wǎng)關(guān)關(guān)聯(lián)不同的管理員,實(shí)現(xiàn)管理的隔

離;在控制平面,需要針對每種業(yè)務(wù)逐一考慮虛擬化的改造,使其支持虛擬化。

這種虛擬化方案,本質(zhì)上是一種多實(shí)例技術(shù),是在已有非虛擬化的系統(tǒng)架構(gòu)上,

對一些主要安全業(yè)務(wù)進(jìn)行多實(shí)例的改造,只能對個別安全業(yè)務(wù)實(shí)現(xiàn)部分虛擬化,

系統(tǒng)可擴(kuò)展性差。

基于虛擬機(jī)的安全虛擬化方案中CPU、內(nèi)存和I/O資源由底層的Hypervisor

或Emulator實(shí)現(xiàn)模擬。虛擬安全網(wǎng)關(guān)作為一個GuestOS運(yùn)行在虛擬化的硬件環(huán)

境中,因此,基于虛擬機(jī)的虛擬化從安全業(yè)務(wù)的角度來說,是一種完全的虛擬化

方案,更容易部署和遷移,也避免了虛擬化后導(dǎo)致的部分功能缺失的問題。但是,

基于虛擬機(jī)的虛擬化通過Hypervisor或Emulator作為中間層,給上層構(gòu)造了一

個完全獨(dú)立的虛擬硬件空間,每個GuestOS需要獨(dú)立構(gòu)造完整的操作系統(tǒng)和業(yè)務(wù)

環(huán)境,由此也帶來了一些問題。比如,單臺物理設(shè)備/服務(wù)器上運(yùn)行的虛擬安全

網(wǎng)關(guān)數(shù)量很少,報(bào)文轉(zhuǎn)發(fā)時延加大等。使得這種方案更適合部署在虛擬安全網(wǎng)關(guān)

數(shù)量要求不多、業(yè)務(wù)性能不高的場景。

虛擬化技術(shù)是實(shí)現(xiàn)基于多業(yè)務(wù)業(yè)務(wù)隔離的重要方式。和傳統(tǒng)廠商的虛擬化實(shí)

現(xiàn)方式不同,XXX的安全虛擬化是一種基于容器的完全虛擬化技術(shù);每個安全引

擎通過唯一的OS內(nèi)核對系統(tǒng)硬件資源進(jìn)行管理,每個虛擬安全網(wǎng)關(guān)作為一個容

器實(shí)例運(yùn)行在同一個內(nèi)核之上,多臺虛擬安全網(wǎng)關(guān)相互獨(dú)立,每個虛擬安全網(wǎng)關(guān)

實(shí)例對外呈現(xiàn)為一個完整的防火墻系統(tǒng),該虛擬安全網(wǎng)關(guān)業(yè)務(wù)功能完整、管理獨(dú)

立、具備精細(xì)化的資源限制能力,典型示意圖如下所示:

1、虛擬安全網(wǎng)關(guān)具備多業(yè)務(wù)的支持能力

虛擬安全網(wǎng)關(guān)有自己獨(dú)立的運(yùn)行空間,各個實(shí)例之間的運(yùn)行空間完全隔離,

天然具備了虛擬化特性。每個實(shí)例運(yùn)行的防火墻業(yè)務(wù)系統(tǒng),包括管理平面、控制

平面、數(shù)據(jù)平面,具備完整的業(yè)務(wù)功能。因此,從功能的角度看,虛擬化后的系

統(tǒng)和非虛擬化的系統(tǒng)功能一致。這也意味著每個虛擬安全網(wǎng)關(guān)內(nèi)部可以使能多種

安全業(yè)務(wù),諸如路由協(xié)議,NAT,狀態(tài)檢測,IPSECVPN,攻擊防范等都可以獨(dú)立

開啟。

2、虛擬安全網(wǎng)關(guān)安全資源精確定義能力

通過統(tǒng)一的OS內(nèi)核,可以細(xì)粒度的控制每個虛擬安全網(wǎng)關(guān)容器對的CPU、

內(nèi)存、存儲的硬件資源的利用率,也可以管理每個VFW能使用的物理接口、VLAN

等資源,有完善的虛擬化資源管理能力。通過統(tǒng)一的調(diào)度接口,每個容器的所能

使用的資源支持動態(tài)的調(diào)整,比如,可以根據(jù)業(yè)務(wù)情況,在不中斷VFW業(yè)務(wù)的情

況下,在線動態(tài)增加某個VFW的內(nèi)存資源。

3、多層次分級分角色的獨(dú)立管理能力

基于分級的多角色虛擬化管理方法,可以對每個管理設(shè)備的用戶都會被分配

特定的級別和角色,從而確定了該用戶能夠執(zhí)行的操作權(quán)限。一方面,通過分級

管理員的定義,可以將整個安全資源劃分為系統(tǒng)級別和虛擬安全網(wǎng)關(guān)級別。系統(tǒng)

級別的管理員可以對整個防火墻的資源進(jìn)行全局的配置管理,虛擬安全網(wǎng)關(guān)管理

員只關(guān)注自身的虛擬安全網(wǎng)關(guān)配置管理。另一方面,通過定義多角色管理員,諸

如在每個虛擬安全網(wǎng)關(guān)內(nèi)部定義管理員、操作員、審計(jì)員等不同角色,可以精確

定義每個管理員的配置管理權(quán)限,滿足虛擬安全網(wǎng)關(guān)內(nèi)部多角色分權(quán)的管理。

4、接口虛擬化能力

所謂接口的虛擬化,是指物理設(shè)備的一個物理接口或者邏輯接口(聚合口或

子接口)同時分配各多個虛擬安全網(wǎng)關(guān),該接口形式上被這些虛擬安全網(wǎng)關(guān)共享

使用。被共享的接口在每個虛擬安全網(wǎng)關(guān)中,分別形成一個獨(dú)立的邏輯接口實(shí)例,

可以有虛擬安全網(wǎng)關(guān)級管理員各自配置IP地址、路由協(xié)議、安全業(yè)務(wù)等。在多

個虛擬安全網(wǎng)關(guān)實(shí)例共享一個Internet出口的場景上這種技術(shù)可以有效減少對

多個物理接口的依賴。防火墻設(shè)備只需要通過一個接物理□和外網(wǎng)Internet出

口路由器相連,通過配置接口虛擬化技術(shù),每個虛擬安全網(wǎng)關(guān)實(shí)例可以分別分配

公網(wǎng)接口,使其具備獨(dú)立的Intemet接入能力。詳細(xì)的組網(wǎng)圖如下所示:

2.2虛擬化架構(gòu)-橫向及縱向擴(kuò)展性

傳統(tǒng)的虛擬安全網(wǎng)關(guān)技術(shù)受限于物理設(shè)備自身的CPU處理能力、內(nèi)存容量、

端口數(shù)量等多方面的限制,部署中缺乏擴(kuò)展性,很難滿足業(yè)務(wù)發(fā)展的需求。XXX

SOP虛擬化架構(gòu)的另一個創(chuàng)新一一分布式虛擬化架構(gòu),可以有效提升系統(tǒng)的虛擬

化容量。在分布式虛擬化架構(gòu)中,系統(tǒng)的安全處理引擎可以按需配置,以支持虛

擬化能力的線性擴(kuò)展。虛擬化能力擴(kuò)展有如下兩種方式:橫向擴(kuò)展和縱向擴(kuò)展。

其中橫向擴(kuò)展是指單虛擬墻的處理能力增加,系統(tǒng)整體可支持虛擬墻的總數(shù)不變。

而縱向擴(kuò)展則是指單虛擬墻的處理能力不變,系統(tǒng)整體可支持的虛擬墻的總數(shù)增

加。

同時,SOP架構(gòu)可以和XXX的SCF架構(gòu)無縫集成,在N:1基礎(chǔ)上進(jìn)行1:N虛

擬化,實(shí)現(xiàn)N:1:M。在單臺物理防火墻所支持的虛擬安全網(wǎng)關(guān)數(shù)量、性能不能滿

足需要時,通過SCF,進(jìn)一步擴(kuò)展虛擬化能力。

2.3虛擬化架構(gòu)-1”/虛擬化

在一個虛擬安全網(wǎng)關(guān)實(shí)例內(nèi),虛擬安全網(wǎng)關(guān)管理員還可以繼續(xù)創(chuàng)建本虛擬安

全網(wǎng)關(guān)內(nèi)獨(dú)立的VPN多實(shí)例(VRF),不同虛擬墻內(nèi)的VRF實(shí)例完全獨(dú)立,名字可

以相同。同一個虛擬墻內(nèi)多個VRF共享該虛擬安全網(wǎng)關(guān)的資源,通過搶占進(jìn)行分

配。通過這種1:N:M虛擬化方式可以滿足一個租戶內(nèi)部的進(jìn)一步業(yè)務(wù)隔離需求,

同時進(jìn)一步擴(kuò)大系統(tǒng)虛擬化能力。上述功能尤其適用于部分變更頻繁且有實(shí)時性

要求的業(yè)務(wù)系統(tǒng),可以開通獨(dú)立的虛擬安全網(wǎng)關(guān)并且將該虛擬安全網(wǎng)關(guān)授權(quán)給業(yè)

務(wù)系統(tǒng)管理員,并且限定業(yè)務(wù)系統(tǒng)管理員的權(quán)限,比如僅能操作該虛擬安全網(wǎng)關(guān)

內(nèi)的安全安全策略。對于其他的業(yè)務(wù)系統(tǒng),可以在缺省虛擬安全網(wǎng)關(guān)內(nèi)通過VRF

隔離,由管理員統(tǒng)一維護(hù)管理。此方案實(shí)現(xiàn)了業(yè)務(wù)快速響應(yīng)、虛擬化業(yè)務(wù)能力擴(kuò)

展及安全權(quán)限控制的多方平衡。

2.4虛擬化架構(gòu)-接口共享虛擬化

?共享Internet出口場景

如果多部門共享NAT出口或者是VPC應(yīng)用場景中對外的internet互聯(lián)鏈路

只有一條,那么對應(yīng)的對外物理互聯(lián)接口就只有一個。待解決的問題就是如何實(shí)

現(xiàn)多虛擬安全網(wǎng)關(guān)共享該物理接口。劃分子接口并將不同的子接口分配給不同虛

墻的方式不可行,因?yàn)閕nternet返回的流量不會攜帶任何VLANTAG。傳統(tǒng)的解

決方案可以前置出口路由器,通過出口路由器上配置復(fù)雜的NAT轉(zhuǎn)換策略,并通

過多個子接口和防火墻互聯(lián)以區(qū)分虛擬安全網(wǎng)關(guān)數(shù)據(jù),但是這種方式存在配置復(fù)

雜,增刪虛擬安全網(wǎng)關(guān)需要同步修改上層路由器配置的問題,管理維護(hù)都很麻煩。

針對該應(yīng)用場景,XXXSOP架構(gòu)創(chuàng)新性地推出接口共享虛擬化特性。物理設(shè)

備的一個接口(可以是物理接口也可以是邏輯接口)同時分配給多個虛擬安全網(wǎng)

關(guān),該接口形式上被這些虛擬安全網(wǎng)關(guān)共享使用。這種方式中,被共享的接口在

每個虛擬安全網(wǎng)關(guān)中,分別形成一個獨(dú)立的邏輯接口實(shí)例,可以由虛擬安全網(wǎng)關(guān)

級管理員各自配置IP地址、路由協(xié)議、安全業(yè)務(wù)等。該接口在不同的虛擬安全

網(wǎng)關(guān)實(shí)例中會自動生成不同的MAC地址(虛擬安全網(wǎng)關(guān)管理員也可以手工修改

MAC),系統(tǒng)根據(jù)數(shù)據(jù)報(bào)文攜帶的MAC地址可以區(qū)分所屬的虛擬安全網(wǎng)關(guān)。

無接口虛擬化接口虛擬化

InternetInternet

目的MAC接口

MAC1VFW1-G1/0/0

MAC2VFW2-G1/0/0

分類引*

MAC3VFW3-G1/0/0

2.5虛擬化架構(gòu)-N:1虛擬化

現(xiàn)有的雙機(jī)熱備技術(shù)難以滿足云計(jì)算時代的規(guī)模管理部署、性能彈性擴(kuò)展需

求。云時代迫切需要一種全新的架構(gòu),能夠在滿足熱備可靠性的基礎(chǔ)上解決現(xiàn)有

缺陷。

安全集群框架(SCF)高可靠性技術(shù)通過將兩臺設(shè)備虛擬化為一臺邏輯設(shè)備,實(shí)

現(xiàn)了管理和控制上的統(tǒng)一,同時組網(wǎng)部署更加簡單,有效利用鏈路帶寬,提高系

統(tǒng)穩(wěn)定性,大幅減少故障點(diǎn)帶來的業(yè)務(wù)切換沖擊。

SCF技術(shù)脫胎于XXXIRF2技術(shù),將IRF從網(wǎng)絡(luò)層面上升到業(yè)務(wù)層面,繼承

TXXXIRF2網(wǎng)絡(luò)部署的種種優(yōu)點(diǎn),實(shí)現(xiàn)了安全業(yè)務(wù)的集群處理。目前SCF最多

支持4臺分布式設(shè)備的集群,極大地方便了用戶的靈活擴(kuò)容。SCF在拓?fù)涔芾怼?/p>

成員管理、堆疊分裂檢測等方面的實(shí)現(xiàn)機(jī)制與IRF2相同,本文不再贅述。本文

重點(diǎn)以分布式設(shè)備來說明安全業(yè)務(wù)的備份機(jī)制。

在SCF集群中,包含如下幾個關(guān)鍵概念:

O安全引擎組:由多個安全引擎組成的邏輯實(shí)體,通過安全引擎組實(shí)現(xiàn)了安

全引擎的資源池化。業(yè)務(wù)配置、虛擬設(shè)備劃分都是以安全引擎組為基礎(chǔ)。

O智能引流策略:為了實(shí)現(xiàn)系統(tǒng)性能的線性擴(kuò)展,需要能夠?qū)?shù)據(jù)流負(fù)載分

擔(dān)到安全引擎組內(nèi)的多個安全引擎。同時由于安全業(yè)務(wù)的有狀態(tài)行,需要

通過引流策略保證同一條數(shù)據(jù)的往返報(bào)文由同一塊安全引擎處理。由于這

些引流策略是由系統(tǒng)自動生成,稱之為智能引流策略。

O備份組:備份組是一個邏輯概念,一個組內(nèi)最多包含兩個引擎,同一個引

擎可以屬于不同的備份組。同一備份組內(nèi)兩個引擎根據(jù)優(yōu)先級決定主備關(guān)

系。智能引流策略根據(jù)備份組內(nèi)引擎的主備關(guān)系將數(shù)據(jù)流引流到主引擎

上。

1、引擎級備份支持更高可靠性

為解決傳統(tǒng)雙機(jī)備份“故障出發(fā)點(diǎn)多”及“切換粒度粗”帶來的業(yè)務(wù)沖擊及

性能損失問題,SCF架構(gòu)引入了引擎級備份技術(shù)。引擎級備份通技術(shù)過將主機(jī)進(jìn)

行SCF集群,對外通過跨設(shè)備鏈路捆綁或者提供等價路由節(jié)點(diǎn)進(jìn)行互聯(lián),有效利

用鏈路帶寬。對內(nèi)在業(yè)務(wù)引擎之間實(shí)現(xiàn)備份,從而將主控、接口和業(yè)務(wù)引擎的故

障解耦,可以最大程度地減少各節(jié)點(diǎn)故障帶來的業(yè)務(wù)沖擊。

在一個SCF內(nèi)的多個安全業(yè)務(wù)引擎,通過配置指定1:1的備份關(guān)系。從可靠

性角度考慮通常建議備份組內(nèi)的兩個成員引擎位于不同的機(jī)框,避免整機(jī)掉電帶

來的業(yè)務(wù)中斷。在偶數(shù)塊引擎的情況下,可以實(shí)現(xiàn)引擎1對1的備份。在奇數(shù)塊

引擎的情況下,可以采用循環(huán)備份法比如,1、2、3三個引擎,2備份1,3備份

2,1備份3。系統(tǒng)根據(jù)配置的引擎?zhèn)浞蓐P(guān)系進(jìn)行引流,同時實(shí)時監(jiān)控業(yè)務(wù)引擎的

運(yùn)行狀態(tài)。一旦發(fā)現(xiàn)引擎故障,那么將該引擎承載的數(shù)據(jù)流切換到備份引擎上。

具體備份切換原理如下圖所示:FW1-2作為FW1-1的備份引擎,F(xiàn)W2-1作為FW1-

3的備份引擎,F(xiàn)W2-3作為FW2-2的備份引擎。正常情況下,系統(tǒng)引流到引擎FW1-

1、FW1-3、FW2-2±,當(dāng)任意一塊主引擎故障時,該主引擎承載的數(shù)據(jù)流被分發(fā)

到其對應(yīng)的備份引擎。

智能弓M照略,瘡敷括流根據(jù)備份為系引流到不同的安r業(yè)務(wù)引掌

?!跆镎?!口%a也口引11

9Ms」『LSk>t4

尸?▲

,一.」IM■I'[―JIB*■■■一■■i

主枷機(jī)1u?!?12

FW1-2為FW1-1的備份,FW2-1和FW5備優(yōu),________FW2-3g-1ftFW2-2,

流量切換

tFwi-m?,流量切換JFwi-aftffi,流量t;或?FW2-2J3B.

FWl-2到FW2-1S5F2-3

在引擎級備份情況下,當(dāng)一塊引擎發(fā)生故障時,僅僅在

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論