新思維“私有云”建設理念
企業IT基礎設施正在因計劃外的增長日益復雜,信息化建設與業務發展之間存在著越來越大的差距,IT基礎架構普遍面臨著巨大挑戰:
● IT基礎架構正向資源共享方向發展
● 共享資源的環境下業務高峰期性能瓶頸問 題
● 企業或組織IT基礎架構面臨業務支撐靈活度的壓力
● 系統管理復雜
因此企業迫切需要尋求一種更有效的方法,可以在安全、可靠且易于管理的基礎上優化業務負載、滿足需求和業務發展動態變化的IT基礎設施,這正是“vps/' target='_blank'>云計算”所要解決的問題。
“云計算”概念狹義地說,是指IT基礎設施的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需的資源;廣義地說,是指服務的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需的服務。
“云”的資源可從三個層面以服務的方式提供給使用者:首先是基礎架構服務(IaaS,Infrastructure as a Service),提供的是虛擬化服務器、存儲服務器及網絡資源、安全防護資源等等;其次是平臺服務(PaaS,Platforms as a Service),提供的是優化的中間件,包括應用服務器、數據庫服務器、portal服務器等;最后是軟件服務(SaaS,Software as a Service),包括應用、流程和信息服務。云環境的建設可以需要根據實際情況,從基礎架構開始逐步實現,新思維“私有云”建設即企業自有的IaaS云建設。
企業云計算中心的“云”資源主要由 “計算中心”、“存儲中心”、 “網絡中心”三個部分綜合體現,并通過安全中心、發布中心提供企業應用服務。
計算中心:
計算資源是企業私有中最主要的資源之一,為了實現私有云計算中心的建設實現靈活配置計算資源的目標,“計算中心”通過使用虛擬化技術將計算資源的虛擬化、并且在此基礎之上完成資源配置的自動化,虛擬計算中心優勢包括:
Ø 提高硬件資源效率:將多個操作系統放到一個硬件服務器上可以加強硬件資源的使用率,因此計算中心通過服務器合并(Service Consolidation)不但保持了服務隔離,更讓硬件資源利用率低下的問題得到解決。
Ø 管理的優勢:通過服務器虛擬化,更少的管理員實現數百上千臺服務器管理。
Ø 安全穩定性:通過計算資源虛擬化,“服務隔離(Isolation)”這一原則得以實現,為應用的可靠性供保障。
Ø 高可用性:在虛擬機的硬件在經過抽象化之后,高可用性(High Availability)、冗余(Redundancy)、負載均衡(Load Balance)、副本(Backup)等以前必須靠復雜技術或是昂貴設備才能解決的問題在虛擬環境下一并得到解決。
為了提高原有物理服務器利用率,我們規劃的計算中心分為兩部分:傳統物理服務區域和虛擬服務器區域,通過負載均衡等技術,提供企業從傳統計算方式到全虛擬計算方式的過渡部署:
存儲中心:
“存儲中心”是企業各種數據、信息的物理存儲場所。要求能夠提供統一的界面以整合不同廠商、不同時期的存儲設備,充分實現存儲設備的投資保護,提高存儲系統的可擴展能力。
“存儲中心”的架構著重從“在線空間”、“近線空間”及“離線空間”三級結構設計。通過在“在線存儲空間”中配置高性能的磁盤達到優化在線數據的存取速度;再將數據從“在線空間”歸檔至“近線空間”中以備調用,最后,再將“近線空間”中的數據備份到“離線存儲空間”:
實際部署結構:
私有云存儲體系結構的優勢:
Ø 橫向擴展群集硬件:允許從小配置開始并以可預知的服務級別逐步擴展;
Ø 高級數據緩存:利用大規模 SDRAM 緩存提高性能并減少 I/O 延遲和陣列爭用;
Ø 分布式緩存吻合性:可跨整個群集自動執行 I/O 的共享、平衡和故障切換;
Ø 統一視圖:一個統一的視圖可以顯示跨 VPLEX 群集的一個或多個 LUN(這些群集可以是在同一數據中心內相距幾英尺,也可以是跨同步距離),從而實現新的高可用性和工作負載移置模式。
網絡中心:
虛擬化和云計算的發展使得數據中心網路層數日益增加、交換機基礎架構更為復雜,服務器、網絡和存儲的之間的界限變得模糊帶來更大管理難度,以及操作系統和應用在網絡環境中的流動帶來配置動態變更的需求。因此,為滿足云計算的發展,數據中心網絡系統必須具備下述功能特點:
Ø 高帶寬、高密度、低延遲;
Ø 支持數據中心以太網(DCE)的能力
DCE 主要包括幾個方面: 數據流的分類流控、以太網擁塞管理、帶寬管理、協議能力的協商、二層多路徑等方面:
Ø 虛擬化的能力
支持設備的虛擬化管理和調配、支持跨物理設備的虛擬集成,支持虛擬計算資源網絡流量可視化,支持存儲網和數據網的整合(Unified Fabric)等等
Ø 綠色的網絡設備
虛擬三層交換-虛擬“物理隔離”
Ø 將交換機按端口劃分成不同的虛擬交換機
Ø 不同的虛擬交換機中的IP地址可重疊
Ø 資源分割 (CPU and memory),管理分離 (MIBs and CLIs)
Ø 優勢: 將多臺獨立交換機“折疊”進同一機箱 / 簡化網絡,不同虛擬交換機中的用戶完全隔離, 如果一個虛擬交換機遭受攻擊,其它虛擬交換機不受影響
Direct Attach™ 直連架構
在云計算結構下,大量增長的虛機將交換功能引入了服務器,使網絡的范圍急劇擴張,而服務內的數據交換完全依賴服務器CPU處理,影響計算資源的調配使用,并且服務器中每臺虛擬交換機都需要管理,因此網絡交換機支持Direct Attach™可以有效降低管理的復雜性,增強性能和安全性
Ø 使得網絡可感知虛機,完美支持虛擬計算資源的網絡移動性
Ø Hypervisor無關
Ø “零接觸” 網絡配置
Ø 在整個網絡接入層實現動態虛擬端口策略(VPP)
任意應用流量可視
云計算中心交換網絡應用復雜,細節化的流量分析結果有助于網絡帶寬規劃或病毒攻擊流量追蹤。交換網絡流量分析的傳統方式是RMON或端口鏡像,信息簡單或存在性能瓶頸,無法適應交換網絡大容量通信環境更不能滿足虛擬化的要求,通過sFlow技術,基于采樣和概率統計技術,可同時顯示所有交換端口的各虛機的流量信息。
安全中心:
云計算中心,安全資源同樣需要滿足虛擬化、共享和資源靈活部署的需要,虛擬安全中心主要由兩大部分組成:安全網關整合和虛機安全防護。
安全網關整合:
安全網關整合是安全虛擬化建設的趨勢之一,虛擬安全網關的整合可以有效降低安全設備采購、部署、運維,包括機架空間以及能耗的成本,是建設成為綠色云計算數據中心的關鍵因素。
每臺虛擬防火墻可以根據需要部署功能各異的軟件防護刀片,滿足不同邊界的不同安全需求。
安全網關整合面臨的一大風險為網絡的單點故障,在考慮網關整合的同時如何避免單點故障為系統冗余型設計的首要點,所以VSX應采用雙機集群模式部署,如下圖:
兩臺VSX單點設備工作在Check Point獨有VSLS負載均衡模式下,兩臺物理設備可以工作在HA/AA模式下的同時,還可實現兩個虛墻之間工作在HA/AA模式。某一時刻,虛擬或墻或者物理設備出現故障時,業務流量都可無縫、透明的遷移到其他Cluster成員中。
虛機安全防護:
新思維建議在使用Check Point VPN-1 VE來建設“計算中心”區域中的安全防護措施時,根據安全級別,把ESX 服務器上的不同信任級別或者業務特點的主機劃分為不同的安全域。同一安全域的主機將通過虛擬交換機連接到VE的虛擬端口。
通過在VE上開啟防火墻和IPS功能,實現各虛擬安全域之間的訪問控制和安全監控。同時,各安全域對外的外部實體網絡的訪問,都將通過VE進行檢查和過濾。
VE的部署可以幫助企業在虛擬計算環境中實現如下防護:
Ø 虛擬計算環境內部安全域的隔離,把各種業務服務器有效的隔離開,甚至禁止其訪問。
Ø 和虛擬計算環境的動態特性相適應。在虛擬主機即便通過VMotion、DRS、VMwareHA進行切換,它將仍然屬于既定的安全域,接受相應等級的安全保護。動態遷移所帶來的安全風險,完全控制在設定的安全框架內;
Ø 虛擬計算環境內部的安全防御,防止跳躍性攻擊。即便某一臺主機因為安全漏洞或者內部人員的惡意行為,成為攻擊跳板,也不會影響到整個虛擬計算環境;另一方面,防止病毒、蠕蟲、惡意軟件在整個虛擬計算環境中的擴散;
Ø 虛擬網絡的安全監控和審計。監控網絡流量,及內部各主機之間的網絡行為,進行日志記錄,同時以備將來的事件追蹤和合規性審計;
Ø VPN-1 VE部署更加方經濟,而且除了傳統的主備模式外,VE可以利用VMotion技術實現硬件級的冗余;
綜上所述,通過企業私有云計算中心的建設,IT部門即使面臨企業應用大規模增加時,也只需提交工作而不必擔心服務器容量、存儲容量,不用考慮額外增加網絡防火墻部署,通過各種資源的整合和高度自動化的調配操作就能滿足業務的需要并節省成本,技術的融合正在影響數據中心構建和運營的方式,虛擬架構的實現將持續地顯著提高數據中心業務的效率和可擴展性。
