新思维“私有云”建设理念
企业IT基础设施正在因计划外的增长日益复杂,信息化建设与业务发展之间存在着越来越大的差距,IT基础架构普遍面临着巨大挑战:
● IT基础架构正向资源共享方向发展
● 共享资源的环境下业务高峰期性能瓶颈问 题
● 企业或组织IT基础架构面临业务支撑灵活度的压力
● 系统管理复杂
因此企业迫切需要寻求一种更有效的方法,可以在安全、可靠且易于管理的基础上优化业务负载、满足需求和业务发展动态变化的IT基础设施,这正是“vps/' target='_blank'>云计算”所要解决的问题。
“云计算”概念狭义地说,是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源;广义地说,是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。
“云”的资源可从三个层面以服务的方式提供给使用者:首先是基础架构服务(IaaS,Infrastructure as a Service),提供的是虚拟化服务器、存储服务器及网络资源、安全防护资源等等;其次是平台服务(PaaS,Platforms as a Service),提供的是优化的中间件,包括应用服务器、数据库服务器、portal服务器等;最后是软件服务(SaaS,Software as a Service),包括应用、流程和信息服务。云环境的建设可以需要根据实际情况,从基础架构开始逐步实现,新思维“私有云”建设即企业自有的IaaS云建设。
企业云计算中心的“云”资源主要由 “计算中心”、“存储中心”、 “网络中心”三个部分综合体现,并通过安全中心、发布中心提供企业应用服务。
计算中心:
计算资源是企业私有中最主要的资源之一,为了实现私有云计算中心的建设实现灵活配置计算资源的目标,“计算中心”通过使用虚拟化技术将计算资源的虚拟化、并且在此基础之上完成资源配置的自动化,虚拟计算中心优势包括:
Ø 提高硬件资源效率:将多个操作系统放到一个硬件服务器上可以加强硬件资源的使用率,因此计算中心通过服务器合并(Service Consolidation)不但保持了服务隔离,更让硬件资源利用率低下的问题得到解决。
Ø 管理的优势:通过服务器虚拟化,更少的管理员实现数百上千台服务器管理。
Ø 安全稳定性:通过计算资源虚拟化,“服务隔离(Isolation)”这一原则得以实现,为应用的可靠性供保障。
Ø 高可用性:在虚拟机的硬件在经过抽象化之后,高可用性(High Availability)、冗余(Redundancy)、负载均衡(Load Balance)、副本(Backup)等以前必须靠复杂技术或是昂贵设备才能解决的问题在虚拟环境下一并得到解决。
为了提高原有物理服务器利用率,我们规划的计算中心分为两部分:传统物理服务区域和虚拟服务器区域,通过负载均衡等技术,提供企业从传统计算方式到全虚拟计算方式的过渡部署:
存储中心:
“存储中心”是企业各种数据、信息的物理存储场所。要求能够提供统一的界面以整合不同厂商、不同时期的存储设备,充分实现存储设备的投资保护,提高存储系统的可扩展能力。
“存储中心”的架构着重从“在线空间”、“近线空间”及“离线空间”三级结构设计。通过在“在线存储空间”中配置高性能的磁盘达到优化在线数据的存取速度;再将数据从“在线空间”归档至“近线空间”中以备调用,最后,再将“近线空间”中的数据备份到“离线存储空间”:
实际部署结构:
私有云存储体系结构的优势:
Ø 横向扩展群集硬件:允许从小配置开始并以可预知的服务级别逐步扩展;
Ø 高级数据缓存:利用大规模 SDRAM 缓存提高性能并减少 I/O 延迟和阵列争用;
Ø 分布式缓存吻合性:可跨整个群集自动执行 I/O 的共享、平衡和故障切换;
Ø 统一视图:一个统一的视图可以显示跨 VPLEX 群集的一个或多个 LUN(这些群集可以是在同一数据中心内相距几英尺,也可以是跨同步距离),从而实现新的高可用性和工作负载移置模式。
网络中心:
虚拟化和云计算的发展使得数据中心网路层数日益增加、交换机基础架构更为复杂,服务器、网络和存储的之间的界限变得模糊带来更大管理难度,以及操作系统和应用在网络环境中的流动带来配置动态变更的需求。因此,为满足云计算的发展,数据中心网络系统必须具备下述功能特点:
Ø 高带宽、高密度、低延迟;
Ø 支持数据中心以太网(DCE)的能力
DCE 主要包括几个方面: 数据流的分类流控、以太网拥塞管理、带宽管理、协议能力的协商、二层多路径等方面:
Ø 虚拟化的能力
支持设备的虚拟化管理和调配、支持跨物理设备的虚拟集成,支持虚拟计算资源网络流量可视化,支持存储网和数据网的整合(Unified Fabric)等等
Ø 绿色的网络设备
虚拟三层交换-虚拟“物理隔离”
Ø 将交换机按端口划分成不同的虚拟交换机
Ø 不同的虚拟交换机中的IP地址可重叠
Ø 资源分割 (CPU and memory),管理分离 (MIBs and CLIs)
Ø 优势: 将多台独立交换机“折叠”进同一机箱 / 简化网络,不同虚拟交换机中的用户完全隔离, 如果一个虚拟交换机遭受攻击,其它虚拟交换机不受影响
Direct Attach™ 直连架构
在云计算结构下,大量增长的虚机将交换功能引入了服务器,使网络的范围急剧扩张,而服务内的数据交换完全依赖服务器CPU处理,影响计算资源的调配使用,并且服务器中每台虚拟交换机都需要管理,因此网络交换机支持Direct Attach™可以有效降低管理的复杂性,增强性能和安全性
Ø 使得网络可感知虚机,完美支持虚拟计算资源的网络移动性
Ø Hypervisor无关
Ø “零接触” 网络配置
Ø 在整个网络接入层实现动态虚拟端口策略(VPP)
任意应用流量可视
云计算中心交换网络应用复杂,细节化的流量分析结果有助于网络带宽规划或病毒攻击流量追踪。交换网络流量分析的传统方式是RMON或端口镜像,信息简单或存在性能瓶颈,无法适应交换网络大容量通信环境更不能满足虚拟化的要求,通过sFlow技术,基于采样和概率统计技术,可同时显示所有交换端口的各虚机的流量信息。
安全中心:
云计算中心,安全资源同样需要满足虚拟化、共享和资源灵活部署的需要,虚拟安全中心主要由两大部分组成:安全网关整合和虚机安全防护。
安全网关整合:
安全网关整合是安全虚拟化建设的趋势之一,虚拟安全网关的整合可以有效降低安全设备采购、部署、运维,包括机架空间以及能耗的成本,是建设成为绿色云计算数据中心的关键因素。
每台虚拟防火墙可以根据需要部署功能各异的软件防护刀片,满足不同边界的不同安全需求。
安全网关整合面临的一大风险为网络的单点故障,在考虑网关整合的同时如何避免单点故障为系统冗余型设计的首要点,所以VSX应采用双机集群模式部署,如下图:
两台VSX单点设备工作在Check Point独有VSLS负载均衡模式下,两台物理设备可以工作在HA/AA模式下的同时,还可实现两个虚墙之间工作在HA/AA模式。某一时刻,虚拟或墙或者物理设备出现故障时,业务流量都可无缝、透明的迁移到其他Cluster成员中。
虚机安全防护:
新思维建议在使用Check Point VPN-1 VE来建设“计算中心”区域中的安全防护措施时,根据安全级别,把ESX 服务器上的不同信任级别或者业务特点的主机划分为不同的安全域。同一安全域的主机将通过虚拟交换机连接到VE的虚拟端口。
通过在VE上开启防火墙和IPS功能,实现各虚拟安全域之间的访问控制和安全监控。同时,各安全域对外的外部实体网络的访问,都将通过VE进行检查和过滤。
VE的部署可以帮助企业在虚拟计算环境中实现如下防护:
Ø 虚拟计算环境内部安全域的隔离,把各种业务服务器有效的隔离开,甚至禁止其访问。
Ø 和虚拟计算环境的动态特性相适应。在虚拟主机即便通过VMotion、DRS、VMwareHA进行切换,它将仍然属于既定的安全域,接受相应等级的安全保护。动态迁移所带来的安全风险,完全控制在设定的安全框架内;
Ø 虚拟计算环境内部的安全防御,防止跳跃性攻击。即便某一台主机因为安全漏洞或者内部人员的恶意行为,成为攻击跳板,也不会影响到整个虚拟计算环境;另一方面,防止病毒、蠕虫、恶意软件在整个虚拟计算环境中的扩散;
Ø 虚拟网络的安全监控和审计。监控网络流量,及内部各主机之间的网络行为,进行日志记录,同时以备将来的事件追踪和合规性审计;
Ø VPN-1 VE部署更加方经济,而且除了传统的主备模式外,VE可以利用VMotion技术实现硬件级的冗余;
综上所述,通过企业私有云计算中心的建设,IT部门即使面临企业应用大规模增加时,也只需提交工作而不必担心服务器容量、存储容量,不用考虑额外增加网络防火墙部署,通过各种资源的整合和高度自动化的调配操作就能满足业务的需要并节省成本,技术的融合正在影响数据中心构建和运营的方式,虚拟架构的实现将持续地显著提高数据中心业务的效率和可扩展性。
