H3C智慧校园云计算平台技术方案书.docx

XX才智校内云计算平台技术方案书HBC2013年3月1概述21.1高校信息化面临的挑战212云计算在高校的应用价值32才智校内建设背景62.1 现状分析62.2 需求分析72.3 设计原则924建设模式分析103才智校内云计算平台设计123.1 整体架构设计1232计算资源池设计133.3存储资源池设计1534网络资源池设计16设计要点16组网架构19核心交换系统20服务器与存储接入21虚拟机掇入2235平安资源池设计26设计要点26网络边界平安防伊27虚拟机深度平安防护28平安策略动态迁移303.6 虚拟化平台设计32计算虚拟化32网络虚拟化403.7 云管理平台设计45云业务管埋46云网络管理523.1 举荐配置清单563.2 解决方案优势57高效节能57弹性牢靠59标准融合611概述1.1 高校信息化面临的挑战在传统的教化信息化建设过程中.基本上都依据H按需、逐个、独立”的建设原则，每一个应用系统都运用独立的服务器、独立的平安和管理标准、独立的数据库和独立的呈现层，即灿囱式的孤岛架构。HtWS学生系彘被务系或衣现层办公jK线后初系俄表现抬决策系统衣现吃学生业务现，tt务业务爱M办公业务逻，后勤业务逻，决策业务逻，管理安全01教化信息化的孤岛架构孤岛架构的靛点主要有:（1） 高投入、难管理、低效率、高能耗、低可用问题当前教化信息化硬件配置现状一般是如下两种状况:一般应用系统，一台服务器安爰一个应用系统;关健应用系统，如校内一卡通业务系统、OA系统、云教学系统等，基于性能的考虚，通常以服务器（小型机或刀片服务器）和SAN存储连接方式为基础，一个应用系统部署在几台服务器上（应用服务器、数据库服务器），通过小型机或多俎刀片来实现关键应用的部署.第一种状况存在硬件资源奢侈与硬件资源不足的问题.您如服务器性能很高,有资源剩余,但不能将多余的资源给其他应用系统运用,造成奢侈；当应用奇峙时，可能一台服务器资源不足，也无法从其它地方获得更多的硬件资源支持，造成应用瘫痪；其次种状况存在严峻资源奢侈问题.多台服务器为一个应用服务.应用系统动辄就有几十个（如教务管理、人事管理、办公、财务管理、固定资产管理、教学系统等），应用系统的建设须要大量的服务器来支撑系统建成后，在实际运用中，有些应用系统一天可能只有少数人运用，运用的次数也很少；另外，这些应用系统的运用模式也特别有规律,如大郃分用户的运用和访问集中在上班时间,非正常上班时间（晚上、节假日）利用率很任.在这些时间内，只有少数人间或运用OA系统、邮件系统等，大量的业务系统事实上处于空闲状态，CPU和内存利用率不超过15%,但支持这些应用系统正常运行的全部资源（旅务器等硬件设自）须要不间断工作,大增的服务器硬件增加了维护难度和能耗成本（2） 低牢靠性问题当随意一台服务器出现硬件故K1.或者软件故游时，则与本服务器相关的应用系统都不能运用,造成应用系统瘫痪。1.2 云计算在高校的应用价值云计算是一种基于网络的计算服务供应方式，它以跨越异构、动态流转的资源池为基础供应应客户可自治的服务，实现资源的按需安排、按量计法。云计算导致资源规犊化、集中化，促进IT产业的进一步分工，让IT系统的建设和运维统一集中到云计算运营两处.一般用户都更加关注于自己的业务，从而提离了信息化建设的效率和弹性，促进社会和国家生产生活的集约化水平.云计算主要包含两个层次的含义：> 一是从校服务的客户端看：在云计算环境下，用户无需自建基础系统，可以更加专注于自己的业务.用户可按需获得网络上的资源,并按运用量付曲.犹如打开电灯用电,打开水龙头用水一样，而无需考虑是电从哪里来,水是哪家水厂的.> 二是从云计算后台石：云计算实现资源的集中化、温模化。能够实现对各类异构软硬件基础资源的兼容，如电网支持水电厂、火电厂、风电厂、核电厂等异构电厂并网：还能够实现资源的动态流转,如西电东送,西气东输、南水北潮等.支持异构资源和实现资源的动态流转,可以更好的利用资源，降低基础资源供应面的成本.云计算是能够供应动态资源池、虚拟化和高可用性的下一代计算模式，可以为用户供应“按需计算”服务。依据当前教化信息化的现状及发展趋势，云计算在教化行业将有极其空要的应用价值：(1) 教化资源的优化整合对目前教化信息化的各种资源进行整合开发利用，充分挖堀潜力，提高资源的利用率.首先将分散在不同地域的教学园区的软硬件资源进行整合，提高其里复利用率，杜绝闲置和奢侈现象，达到数据的标准统一、管理统一、维护统一，渐渐将校内网内各个分校、各个应用系统的数据动态刚好地互联互通，彻底消退教化信息化中的信息孤乌,实现信息分散、动态采集,集中平安管理,共享应用.通过服务器虚拟化技术，将各种硬件及软件资源虚拟化成一个或多个资源池，并通过系统管理平台对这些虚拟资源进行智能的、自动化的管理和安排.(2) 教化资源的服务供应通过多层次的自助服务门户为最终用户(即资源的运用者)供应数据及应用服务,资源运用者可以通过自助服务门户胡读和申请运用教化资源.并可以按自己的须要对资源进行下载、重新整合和呈现.同时,教化应用开发商或资源供应者也可以通过自助服务门户上载教化应用或资源到教化私有云服务平台上，而教化云服务的运营者或管理者,可以通过该自助服务门户对用户、资源、计物进行统一管理.Krn>,EK电1FB户设窈Mai1.fcajRBRWaX1.tEBWB安全一itNSM«»Bm<8EB图2教化云平台框架图首先，通过运行在服务器上的虚拟化内核软件，屏蔽底层异构硬件之间的差异性，消退上层客户操作系统对硬件设密及底层驱动的依靠,同时增加虚拟化运行环境中的硬件兼容性、高牢靠性、高可用性、可扩展性、性能优化等功能.，其次.通过虚拟化管理软件形成云计算资源管理平台，实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化管理.对上层应用供应自动化服务.其业务范围包括：虚拟计算、虚拟网络、虚拟存储、高可用性(HighAvai1.abi1.ity,HA)、动态资源调度(DYnQmiCResourceSchedu1.ing.DRS)、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等.最终，通过云业务管理中心，将基础架构资源(包括计算、存储和网络)及具相关策略整合成虚拟数据中心资源池,并允许用户按需消物这些资源，从而构建平安的多租户混合云.其业务范围包括：组织(虚拟数据中心)、多租户数据和业务平安、云业务工作流'自助式服务门户'兼容OpenStack的RESTAP1.接口等。2才智校内建设背景2.1 现状分析XX学院是江亦省首家高等信息职业技术学院，宋属于江苏省信怠产业厅，是一所国有公办性质的全口制一般高等学校，座落于XX高校城内，占地1048宙。学院具有四十多年的办学历史。索有“江苏省信息产业人才培育至要基地”的美誉.学院自1999年升格为高校专科,是XX第一所具有国家统招资格的大专院校，23年学院整体入住高校城校区，成为高校城第一所入住的高校，由于办学历史长于同类院校，师资力气优越，所以XX信息学院始终被认为是XX实力地强，就业最好的的公办高职院校，2007年被评为国家示范高职院校,就是所谓的离职211,全国共100所.XX仅此一所。XX学院校内网建设蛟早，采纳传统的IT建设模式。基础网络由接入、汇聚、核心组成的三层物理架构,链路带宽为百兆接入,千兆骨干.其中，核心交换机为一台CiscoC6509,在图书馆、教学楼、实训楼和学生公寓均部署了CiscoC4506作接入交换机的区域汇更：校内网出口拥有两条，分别为200MB中国电信和I(X)OMB教化科研网，通过千兆防火墙进行平安隔离；全校大部分场所部署了无线信号，实现了校内无线网络基本覆盖：服务器区目前拥有各种服务器19台.主要服役服务器】3台，其中12刀IBMBCH刀片服务器，6刀物理机运行数字化校内网服务数据库，另外6刀部署虚拟化(VmWarer共配置50台虚拟机，在运行的虚拟机有30台，高端应用8CPU/每虚拟机，8G内存/每虚拟机；数据存储共74T,其中采纳了48T的HP存储和24T的IBM存曲均为FCSAN.1.tVVBFMI*BBhVSATA*0MT修UB«n«»B*t*WWMX格中。玳件9IiFi1.ttKXWOOFr光电位n?«<wn?«M实利楼Ciw<4.SO7R枚学慢CiMM)7raKteCi<>>1!i<NiX.11w4S0fi_f4fe千兆光接而.«图3XX学院校内网拓扑架构2.2 需求分析XX学院信息化在基础设施和应用系统建设方面取得了很大的成果,但是在其建设当中.IT资源部署方式仍旧是依据应用进行物理的划分，这种部署方式可镜存在以下风险和挑战： 资源利用率低由于应用与资源绑定，每个应用都须要依据其峰值业务量进行资源的配置，这导致在大部分时间很多资源都处于闲置状态，不仅造成服务器的资源利用率较低，而且对资源的共享、数据的共享造成了自然的海碍. 运维成本高随着学校新应用系统的增加,服务器、网络和存慌的设备数量也会出现快速的序帐，在传统的数据中心建设模式下，会造成占地空间、电力供应、散热制冷和维护成本的急剧上升，为学校长远的口投入和运维带来挑战. 业务部署缭慢在传统的模式下，学校的各个部门假如要部署新的业务，那么在提交变更恳求与进行运营变更之间存在较大延迟，每一次的业务部果都要经整硬件选型、选购、上架安袋、援作系统和应用程序安芸以及网络配置等操作，使得业务的部署极为缓慢. 管理策珞分散当前的IT资源运维管理靛乏统计的集中化IT构建策略，无法对信息化校内网数据中心的基础设施进行监控、管理、报告和远程访问，IT管理策珞分散。XX学院的校内网数据中心作为学校教学和日常管理等关域业务正常运行的平台和进一步发展的基石，其随着学校的不断发展，其对承教的关键业务、核心应用，对于信息数据的完整性、业务运行的牢靠性、网络系统的可用性的要求越来越高,因此.要求其必需拥有更强的仃服务实力.保持高效稳定的运行,数据中心的升级建设势在必行.目前T信息技术已经延长到学校的各个层面,从学校角度看.云计算有利于整合信息资源，实现信息共享，促进学校教学和科研水平的发展。从用户角度看，利用云计算可以独立实现或享受某一项具体的业务和版务。因此云计算将在高校的IT政策和战略中正扮演越来越重要的角色。本次方案设计，拟通过升级和改造XX学院数据中心基址设施，优化业务管埋流程，建设一张"随需而动"的才智校内数据中心，将来的核心业务涵羞如下范围: 以“统规、统建、统维"思想为指导,以丰富的云基础设旅,云存能.云平安和各类云服务共同构XX学院I。S云平台，服务于学校各级部门和科研机构。 数据处理：具有海事数据的处理和分析. 为学校各部门集中供应基础的信息处理实力，承接各部门的应用系统迁移和部署,实现相关云数据中心的资源整合、集中部署与统一管理。项目速设应从XX学院数据中心信息化发展方向以及发呈现状动身，加强综合协调和统筹规划，借助现代、前沿的信息化技术，形成集成实力强、运作效率高和具有可持续发展实力的云数据中心多业务应用平台，真正为学校供应找得着、用得好、有保证的信息化服务.本方案将云数据中心，口基础设施"的"按需运用"以及”自动化管理和调度"作为云计算的实践，形成可落地实施的、可持馍发展的云计算平台，即IaQS云计算平台.XX学院IaQS云平台的建设目标建议如下: 统一管理通过最新的云计算核心技术之一虚拟化技术，整合现有全部应用，整合内容包括WEB、MAI1.FTP、域控管理、OA系统、后台数据库等应用，将整个业务系统作统一的规划和部38,统一数据名份,从而形成自上向下的有效IT管理架构. 强调整体方案的可扩展性、高可用性、易用性和易管理性采纳最新的高性能高牢靠服务器，保证整个便件系统的牢靠性和可用性，为用户的应用供应牢整的设件保障；建设云计算平台，发挥云计算平台的优越性，为用户供应HA功能，保证用户业务系统的连/性和高可用性，让用户的业务实现零宕机风险；供应专业的管理软件，保证硬件系统和软件系统的可管理性，为用户节约管理投资成本.2.3 设计原则 兼容与互通当前阶段，整个云计算产业还不够成熟，相关标淹还不完善.为保证多厂商的良好兼容性，避开厂商技术锁定，方案的设计充分保证与第三方厂商设备保持良好的对接.此外，为保证方案的前雒性，设备的选型应充分考虑对已有的云计算相关标准（如EVB802.1Qbg等）的扩展支持实力，保证良好的先进性，以适应将来的技术发展. 业务高可用云计算平台作为承载将来政务应用的重要IT基设设旅.担当着稳定运行和业务创新的重任伴船君数据与业务的集中，云计算平台的建设及运维给信息部门带来了巨大的压力，因此平台的建设从基础资源池（计算、存储、网络）、虚拟化平台、云平台等多个层面充分考虑业务的高可用，基础单元出现故障后业务应用能够快速进行切换与迁移,用户无感知，保证业务的连续性. 统一管理与自动化云计算的最终目标是要实现系统的按需运营，多种服务的开通，而这依舞于对计算'存涌、网络资源的调度和安排，同时供应用户管理、组织管理、工作流管理、自助PodO1.界面等.从用户资源的申谪、审批到安排部署的智能化.管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理.还要从全局而非割裂地管理资源，因此统一管理与自动化将成为必定趋势。 开放接口传统的管理系统与上层系统对接，注意故障的上报和信息的笠询。而云计算的管理系统里关注如何实现自动化的部箸，在接口方面更关注资源调度和安排,这就须要管理系统在业务调度方面实现开放.为保证服务器、存储、网络等资源能够被云计算运管平台良好的调度与笞理.要求系统供应开放的AP1.接口，云计算运营管理平台能瞥通过Ap1.接口、吩咐行脚本实现对设备的配置与策珞下发联动。同时云平台也供应开放的AP1.接口,将来可以基此这些接口进行二次定制开放,将云管理平台与教化网应用相融合，实现面对云计算的教化应用管理平台.2.4 建设模式分析在信怠化发展加速的今日，小企业起先建立自己的信息系统，通过租赁云计算数据中心可以投资.并以少员的专业IT人员实现信息化。但对于具有成熟应用是大中型企业机构，租赁数据中心终究须要依靠于第三方机构，业务部弱格;提性较差，平安性无法得到有效保证。因此,建议基于自身业务和发展目标.整体规划'分步实施、统筹协调.进行云计算平台的自建，以充分保证应用系统支撑平台的牢程性和平安性.自建云计算数据中心：用户可以依据自身业务须要.定制化的建设适合自身业务承载平台，从基训承载网、计算资源、存储资源和业务系统等多方面得到精确限制，保证平台的离牢靠性和高性能；也可基于自身业务动身，开发出支撑新业务的应用系统，通过资源的自动调度，满意多种业务上线测试的需求.租赁云计算数据中心：可以削减初期投资与运营成本，降低风险.用户不必进行硬件的基础投资和购买昂贵的软件版权，只需依据需求租赁相应的微件、软件，并依据运用状况来付费。两种模式对比如下:自建租赁总体投资同等局等初期投资较多较少建设模式自主设计、自主建设租赁既有的基础设题基础设旅管理自主管理依靠于第三方牢靠性牢靠较为牢靠平安性平安较为平安扩展性依据自身业务发展，敏捷扩展申请扩展，受限于第三方响应实力诙捷性敏捷，依据自身业务敏捷调整业务部署不敏捷，受限于第三方基训设施模里维护维护工作量较大，段要维护基础平台,又要维沪业务系统只需维炉业务系统,基册设施维炉由第三方完成从以上对比来看，建议自建才智校内的云计算平台.3才智校内云计算平台设计3.1 整体架构设计依据本期工程的需求和建设目标，保持XX学院校内网整体拓扑基本不变，在整合现有资源的基础上,新建云计算平台，拉通后台资源，实现统一管理，构建立体的平安防护体系，为才智校内应用供应坚实的基础IaaS平台。下图为整合之后的才智校内U整体架构：图4整体解决方案拓扑图XX学院的IaaS云平台总体浅辑拓扑结构如下图所示.整个平台由计算资源池、网络资源池、存储资源池、平安资源池、虚拟化平台和云管理平台六个部分组成，物理组网拓扑如下:国5IQQS云平台组网拓扑图3.2 计算资源池设计服务器是云计算平台的核心，其担当着云计算平台的“计算”功熊.对于云计算平台上的服务器.通常都是将相同或者相像类型的服务器组合在一起，作为资源安排的母体，即所谓的计算资源池。在这个计算资源池上，再安袋虚拟化软件,使得其计算资源能以虚拟机的方式被不同的应用运用。此次云平台新增的计算资源池建议采纳HP/H3C最新技术的B1.adeSystem刀片式服务翳，每台IOU高的C8000刀片机箱中可以集中部署8片高性能的两路刀片服务器B260或部黑16片高密双路刀片，用于集中部署虚拟化资源.C8000还带有一个共享的5TBs高速NonStop中心背板，可将刀片服务器轻松连接到网络和共享存储。电源由一个集中的电源背板供应，以瑞保全部刀片服务甥都班获得它们所需的电能,在实现冗余的同时供应最高的配置敏捷性.刀片系统C8000机箱可供应模块化服务器、互连和存储组件当前和将来几年所需的电力、散然实力及1/。基础设施.该机柜IOU高，可容纳】6台照务器和/或存储刀片，以及可选的冗余网络和存储互连模块。它包括一个共享的每秒5TB高速NonStop中间板,可将刀片服务器一次性连接到网络和共享存储设备.电源通过一个集中电源的背板供应，确保全部刀片服务器都能运用全部的电源，从而获得最大的敏捷性和冗余.可敏旋选择单相、三相沟通电和一48伏直流电输入.C8000机箱H3C前端视图刀片苧全蟒能'）X-存T1.黎关万史愎式5fcSHInsightDHpIay的店电网3TS5地安景集位电?%,EB.!M5K三噌尼的灵活性、容卦:冗余专住C8000机箱-完全冗余后端视图H3C的匕道与气无十有惠筮热风S1.冗余又索设计SSJoS4个冗余互连结性每个刀片般寻N的冗余蚪氏友然现算和中间背五72W5tit中百廿友完全冗余（无主动式组件）两个OAie可注故3».百三福挎金i电溥管理AC（3*3三H）一个完整战相q*35量3个PS可选择乌毛/三虎刀片Server采纳FIexServerB26O全新高密度服务器,可在单倍宽度和全岛外形供应两路性能和功能。F1.exServerB260刀片服务器支持客户整合服务甥及重新规划珍货的机柜空间，进一步缓解了数据中心的极务器数量激增并降低了总体拥有成本（TC。）。FIeXServ&B260服务器系列是虚拟化、数据库、业务处理、决策支持、高性能计算旧Pe）和一般两路数据密集型应用的志向选择,在这些情形中,数据中心的空间效率和性价比都特别重要。支持高密度和经济高效的英特尔®至强®5500或5600系列处理器，F1.exServerB26O服务器具精彩的性能、可升级和可扩展性,成为数据中心计算的标准。可在一个半高刀片内.插入2个处理器、2个热插拔硬盘、384GB内存以及1个双端口11exFbric适配器,同时支持IT经理通过单一平台，处理各种业务应用。 高达2个双核'4核或6核英特尔®至强®5500或5600系列处理器 12个D1.MM插楂，支持带有高级ECC功能的384GBDDR-3内存 用于硬件RAID0和1的惠普智能阵列P410i限制器，可以利用可选的高速存模块提高设备性班 多达两块小型ISFF）SAS、SATA或SSD热插拔硬盘 内置USB和SD卡插枪支持筒洁、嵌捷的管理程序部署 嵌入式双端口IoGbFIeXFQbriC适配器，可满意网络密集型应用程序的高带宽要求 通过同一敏捷连接，融合局域网和存储区域网的流量，简化管理，降低基础设施成本 多达八（8）个到网络和存储设备的连接，无需附加夹层卡 安排和调整网络和存储带宽，以满意应用程序需求3.3 存储资源池设计H3CCAS云计算管理平台中的存储用于保存虚拟机的操作系统、应用程序文件、配置文件以及与活动相关的其它数据，是虚拟机正常工作的基本前提条件.休据存储的种类不同，可以分为本地存储和共享存储两种。>在部署TH3CCAS云计算管理平台,并将主机作为被管理资源对象添加到H3CCAS云计算管理平台之后，该主机默认运用本地会盘介质作为存谜，其它主机不准运用.在数据中心中，很多用户选择运用共享存储来承载虚拟机及其数据.目前.H3CCAS云计算管理平台支持IPSAN和FCSAN等类型的存储.采纳共享存佬的好处是:共享存储往往比本地存储供应更好的I/O性趣（尤其在多虚拟机环境下）.H3CCAS云计算管理平台中的在线迁移和高可用性功能须要共享存储作为先决条件，例如HA和动态资源调整等。H3CCAS管理平台中的虚拟机文件系统是一种优化后的高性能集群文件系统,允很多个云计算节点同时访问同一虚拟机存储.由于虚拟架构系统中的虚拟机事实上是被封笠成了一个档案文件和若干相关环境配置文件，通过将这些文件放在SAN存储阵列上的文件系统中.可以让不同服务器上的虚拟机都可以访问到该文件，从而消退了单点故阵。为了实现数据的集中存涌、集中备份以及充分利用H3CCAS虚拟架构中虚拟机可动态在线从一台物理服务既迁移到另一台物理服务器上的特性等，在存储区配置】套HPP4500G2SAN1同时配置冗余的存储接入交换机，组成标准的PSAN集中存储架构.采纳1台HPP45OOG2SAN存储阵列，统一存放虚拟机镜像文件和业务系统数据，这样做不会在运行虚拟机的云计算计算节点主机上引起任何颔外的负载。业务霰务集狮Jna桌面JR务W解图6存涌资源池设计3.4 网络资源池设计3.4.1 设计要点云计算数据中心基础网络是云业务数据的传输通道，将数据的计算和数据存储有机的结合在一起.为保证云业务的高可用、易扩及、易管理，云计算数据中心网络架构设计关注意点如下：高可用性网络的高可用是业务高可用的基本保证,在网络整体设计和设台配置上均是依据双备份要求设计的.在网络连接上消退单点故障，供应关健设备的故障切换.关城网络设备之间的物理链路采纳双路冗余连接，依掂负载均衡方式或QCHVe-QdiVe方式工作。关犍主机可采纳双路网卡来增加牢靠性。全冗余的方式使系统达到99.999%的电信级牢靠性.基础网络从核心层到接入层均部署H3C的IRF2技术，可以突现数据中心级交换机的虚拟化，不仅网络容垣可以平滑扩展,更可以简化网络拓扑结构,大大提高整网的牢靠性,使得整网的爱护倒换时间从原来的570秒缩短到50ms以内，达到电信级的牢靠性要求.作为将来网络的核心,要求核心交换区设密具有高牢靠性,优先选用采纳交换引擎与路由引擎物理分别设计的设备,从而在硬件的体系结构上达到数据中心级的高牢靠性,本次项目核心设备采纳H3CS125数据中心级核心交换机、接入设备采纳H3CS582OV2数据中心级接入交换机，设笛组件层面充分保证高牢靠。如下图所不：控制平面与转发平面物理分B1.,主控板与交换同板分理分期大二层网络部署云计算数据中心内服务器虚拟化已是一种总势，而虚拟机的迁移则是一种必定，目前业内的几种虚拟化软件要做到热迁移时都是均须要二层网络的支律，随君将来计算资源池的不断扩展，二层网络的范围也将同步扩大，甚至须要跨数据中心部署大二层网络。大规模部若二层网络则带来一个必定的问题就是二层环路问理，而传统解决二层网络环路向近的STP协议无法满意云计算数据中心所要求的快收效，同时会带来协议部署及运维管埋的困难度增加.本次方案中通过部SfH3CIRF2虚拟化技术实现两台或多台同一层物理交换机虚拟成一台逻辑设备，通过鳄设备链路摧统实现核心和接入的点对点互联，消退二层网络的环路，这样就干脆避开了在网络中部5BSTP,同时对于核心的两台设缶虚拟化为一台逻辑设备之后,网关也将变成一个，无需部踊传统的VRRP协议。在管理层面，通RF2多虚一之后，管理的设备数量削减一半以上，对于本项目，管理点只有核心和接入两台设笛，网络管理大幅度简化。如下图所示：云计算将全部资源进行虚拟化，从物理上存在多个用户访问同一个物理资源的问迎，那么如何保证用户访问以及后台物理资源的平安隔离就成为了一个必需考虑的问题.另一方面田于网络变成了一个大的二层网络；以前的各个业务系统分而治之，各个业务系统都是在俄件方面进行了隔离，在每个系统之间做平安的防护可以保证平安的访问.所以在云计算环境下,全部的业务和用户的资源在物理上是融合的，这样就须要通过在网关层部署防火墙的设备.同时开启虚拟防火墙的功能，为每个业务进行平安的隔黑和策略的部署。在传统的数据中心网络平安部署时.往往是网络与平安各自为战，在网络边界或关键节点串接平安设备（如FW、IPS、1.B等）。随著数据中心部署的平安设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高.本次方案中采纳了H3CSecBIade平安插卡可干脆插在H3C交换机的业务槽位，通过交换机背板互连实现流量转发，共用交换机电源、风用等基础部件,融合部署除了简化机房布线、节约机架空间、简化管理之外，建具着以下优点：互旌带良富.SecB1.ade系列平安插卡采纳背板总线与交换机进行互连，背板总线带宽一般可超过40Gbps,相比传统的独立平安设备采纳一股千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本.业务接口【捷SeCBIade系列平安插卡上不对外供应业务接口（仅供应配置管理接口）,当交换机上插有SeCBIQde平安插卡时，交换机上原有的全部业务接口均可配三t为平安业务接口。此时再也无需担忧平安业务接口不笫而带来网络平安部3?的局限性.性能平清犷及当一台交换机上的一块SeCB1.ade平安插卡的性不够时，可以再插入一块或多块SecBiode插卡实现性能的平滑共加。而且全部SeCBIQde插卡均支持款插拔，在进行扩展时无需停机中断现有的业务.流B清洗防火墙入侵防揖负耗均衡3.4.2组网架构本次项目基础网络采纲“扁平化"设计，核心层干脆下联接入层，省去了中间汇聚层.随着网络交换技术的不断发展，交换机的端口接入密度也越来越高，"扁平化"组网的扩展性和密度已经能培很好的满意XX学院IoaS云平台服务器接入的要求.同时在服务器虚拟化技术应用越来越广泛的趋势下，扁平化二层架构更简洁实现V1.AN的大二层互通，满意虚拟机的部署和迁移。相比传统三层架构，筑平化二层架构可以大大简化网络的运维与管理，范秘网络平台组织结构如下图所示:校园网> 网络的二、三层边界在核心层，平安部署在核心层；> 核心与接入层之间采纳二层进行互联,实现大二层组网，在接入层构建计算和存储资源池.满懑资源池内虚拟机可在防意位H的物理服务掰上迁移与集群。> 采纳2台SI2508构建核心层，分别通过IoGE链路与接入层、管理网交换机、校内网核心互连，将来此核心层将逐步演化成整网大核心，两台核心交换机部署IRF虚拟化.服务器区和存健区接入层分别采纳2台2台S5820V2,每台接入交换机与核心交换机采纳IoGE链路交叉互连.每个区的两台接入交换机部署IRF虚拟化，与核心交换机实现跨设备链路捆绑，消退二层环路，并实现链路负载分担。> 利旧服务器区接入层利旧老接入交换机,通过万兆链路与云平台核心互联。分层分区设计思路：依据业务进行分区，分成计算区、存储区和管理区。计算、存储区域内二层互通，区域间V1.AN隔离；依据每层工作特点分为核心层和接入层，网关部署在核心层。3.4.3 核心交换系统核心层由两台H3CS1.2508构建.负责整个云计算平台上应用业务数据的高速交换.核心交换机间及与服务器接入交换机'管理区接入交换机、校内网核心交换机间均采纳万兆接口捆绑互联。核心交换机上部署2-7层的平安插卡，实现云计算业务的平安防护与流量分析.H3C$12500是中国国内第一款100G平台交换机，支持将来40GE和100GE以太网标准，采纳先进的C1.oS多级多平面交换架构，独立的交换网板卡,限制引擎和交换网板硬件相互独立.最大程度的提高设缶牢靠性，同时为后段产品带宽的持续升级供应保证：整机可以供应576个万兆满口,供应高空度万兆接入实力；面对下一代数据中心突发流量，创新的采纳了“分布式入口镀存"技术，可以实现数据200ms缓存，满意数据中心、高性能计算等网络突发流量的要求；为了满意数据中心级网络高牢靠、高可用、虚拟化的要求，S12500采纳创新IRF2(其次代智镜弹性架构)设计，将多台高端设备虚拟化为一台逻辑设备，同时支持独立的限制引擎、检测引擎、维护引攀，为系统供应强大的限制实力和50ms的高牢靠保障。两台S12508部署IRF2虚拟化技术，简化路由协议运行状态与运维管理,同时大大缩短设密及链路出现故障快速切换，避开网络震荡.RF2互联链路采纳20GE捆绑，保证高牢靠及横向互访高带宽。3.4.4 服务器与存储接入采纳两台H3CS5820V2万兆交换机，负货服务器网络接入，服务器配遛双网卡4个千兆接口，其中两个千兆接口捆排做业务流接口：并负费存储设备的网络接入，iSCSI存储设备的网络接入采纳万兆链路，接入交换机上对应的端口工作在万兆模式。S5820V2系列交换机定位于下一代数据中心及云计算网络中的高密万兆接入,采纳业界先进的硬件设计，最强的端口报文缓存实力，并支持丰富的数据中心特性，同时模块化的双电源、双风扇(前后/后前风道)设计大幅提升设备的牢靠性；针对于数据中心大流量数据无堵塞传输的要求，S5820V2交换机采纳了专用的报文存芯片以供应强大的缓存实力，整机支持3GB数据报文存.协作先进的缓存调度机制可以保证设备缓存实力有效利用的最大化；S5820V2系列交换机支持EVB(EdgeVirtua1.Bridging),通过VEPA(Virtua1.EthernetPortAggregatoH技术将虚拟机产生的网洛流量上传至与服务器相连的物理交换机进行处理，不仅实现了虚拟机间流量转发，同时还解决了虚拟机流量监管、访问限制策略部署等问理;S5820V2系列交换机支持FCOE和TRI1.1.(TransparentInterconnectionof1.o1.sof1.inks),允许1.AN和FCSAN的业务流量在同一个以太网中传送,加快了数据中心的整合步伐,并为构建大二层数据中心网络供应了良好的技术路途.丰言的数据中心特饯、增加的QOS实力同DCB(DataCenterBridging)相结合，使汨S5820V2系列交换机成为构建将来数据中心网络的志向选择.两台S5820V2之间分别部署IRF2虚拟化技术，通过跨设备链路捆那消退二层环路、筒化管理，同时大大缩短设笛及鞋路出现故障快速切换，避开网络震荡。RF2互联借路采纳2"IoGE捆绑，保证高牢靠及横向互访高带宽.3.4.5 虚拟机接入在虚拟化服务器中,虚拟以太网交换机是一个比较特殊的设备，具有更要的作用.虚拟机是通过虚拟交换机向外界供应服务的.在虚拟化的服务器中，每个虚拟机都变成了一台独立的逻辑服务甥，它们之间的通信通过网络进行。每个虚拟机被安排了一个虚拟网卡(不同的虚拟机网卡有不同MAC地址),为实现虚拟机之间以及虚拟机与外部网络的通信，必需存在一个“虚拟以太网交换机°以实现报文转发功能.EEE标准化组织将“虚拟以太网交换机"的正式英文名称命名为-Virtua1.EthernetBfidgen,简称VEB。在服务器上采纳纯软件方式实现的VEB戢是通常所说的*ivSwitch".VSwitch是目前较为成熟的技术方案。在一个虚拟化的服务器上，VMM为每个虚拟机创建一个虚拟网卡，每个虚拟网卡映射到VSwitch的一个逻辑话口上，服务器的物理网卡对应到vSwitch与外部物理交换机相连的上行逐辑端口上。VSwitch的引入，给云计算数据中心的运行带来了以下两大问题：(1) 网络界面的模糊主机内分布若大量的网络功能部件Switch,这些vSwitch的运行和部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这形成了专业技能支部的不足，而网络操作人员一般只镜管埋物理网络设备'无法操作主机内VSWitCh,这就使得大量VSWiCth具备的网络功能并不能发挥作用。此外，对于服务幽内部虚拟机之间的数据交换，在VSWitCh内有限执行，外部网络不行见.不论在流域监管、策略限制还是平安等级都无法依靠完备的外部硬件功能实现,这就使得数据交换界面进入主机后因为VSWitCh的功能、性能、管理弱化而造成了高级网络特性与服务的缺失.(2) 虚拟机的不行通知性物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后,一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与复原等运行状态完全不感知，同时对虚拟机也无法进行实时网络定位.当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据僚像、分析侦测技术可以局部感知虚拟机的变更，但总体而言目前的虚拟机交换网络架构无法满意虚拟化技术对网络服务提出的要求。为了解决上述问JS,本次项目H3C的解决思路是将虚拟机的全部流量都引至外部接入交换机.此时因为全部的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问限制笫珞和阳络配立迁移问题均可以得到很好的解决.此方案最典型的代表是EVB标准。IEEE802.IQbgEdgeVirtua1.Bridging(EVB)是由IEEE802.1工作组制定一个新标准，主要用于解决VSWtiCh的上述局限性.具核心思想是：将虚拟机产生的网络流及全部交给与服务器相连的物理交换机进行处理，即使同一台物理限务器虚拟机间的流量，也将发往外部物理交换机进行查表处理，之后再180度掉头返回到物理服务解，形成了所谓的U发卡弯”转发模式，如下图所示：EVB标注具有如下的技术特点：借助发卡弯转发机制将外网交换机上的众多网络限制策珞和流量监管特性引入到虚拟机网络接入层,不但循化了网卡的设计，而且充分利用了外部交换机专用ASIC芯片的处理实力、削减了虚拟网络转发对CPU的开销；充分利用外部交换机既有的限制策略特性(AC1.xQOS.端口平安等)实现整网递到端的策略统一部署；充分利用外部交换机的既有特性玷加虚拟机流量监管实力,如各种端口流域统计.NetStream,端口镜像等.EVB标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范囹的网络配置变更自动化