华为云数据中心解决方案技术白皮书.docx

《华为云数据中心解决方案技术白皮书.docx》由会员分享，可在线阅读，更多相关《华为云数据中心解决方案技术白皮书.docx（67页珍藏版）》请在课桌文档上搜索。

1、1技术背景81.1 班中心架构现状81.2 数据中心架构的挑战81.3 数据中心的发展趋势82分布式云数据中心解决方案架构102.1 分布式云数据中心解决方案架构目标102.2 分布式云数据中心总体架构122.3 分布式云数据中心逻辑部署图122.4 分布式云数据中心数据关系图143分布式云数据中心解决方案关键特性163.1 虚拟数据中心163.1.1 适用场景163.1.2 部署架构163.1.3 VDC角色173.1.4 关键特性183.2 SDN网络253.2.1 适用场景253.2.2 部署架构253.2.3 特性设计273.2.4 关键特性283.2.5 SDN控制器设备配套2933

2、统一管理301.1.1 适用场景301.1.2 部署架构311.1.3 关键特性323.4 POD343.4.1 PoD概念343.4.2 标准POD343.4.3 高扩展POD363.4.4 高性能PoD373.5 备份业务383.5.1 适用场景383.5.2 部署架构393.5.3 关键特性413.6 容灾业务453.6.1 适用场景453.6.2 部署架构463.6.3 关键特性493.7 安全管理563.7.1 适用场景563.7.2 部署架构573.7.3 关键特性584典型部署场景634.1 单DC部署634.1.1 1物理架构634.1.2 架构概述634.1.3 组件部署规格

3、建议644.2 双活容灾部署651.1.1 1物理架构651.1.2 架构概述651.1.3 组件部署建议664.3多DC分布式部署661.1.1 1物理架构661.1.2 架构概述671.1.3 组件部署规格建议67表目录表1单DC二层部署配置表错误！未定义书签。表2单DC三层部署配置错误！未定义书签。图目录图表1分布式云数据中心逻辑架构12图表2分布式云数据中心传统架构逻辑部署图13图表30PenStaCk架构下部件部署图13图表4服务式云数据中心概念关系14图表5FM+SC方式部署16图表6SC+OpenStack方式部署17图表7VDC功能概述18图表8基于模板的业务快速部署23图表9

4、DC2SDN网络框架图(OPenStaCk)25图表IODC2SDN网络框架图(FM)26图表UDC2网络子系统架构图26图表12SDN控制器实现VXLAN的部署框图29图表13物理、虚拟资源统一管理31图表14异构虚拟化管理31图表15DC2管理子系统总体架构32图表16DC2管理系统部件组合33图表17虚拟机备份架构错误！未定义书签。图表18应用备份架构错误！未定义书签。图表19虚拟机快照错误！未定义书签。图表20备份过程示意图错误！未定义书签。图表21备份恢复示意图错误！未定义书签。图表22阵列容灾部署框架错误！未定义书签。图表23主机层复制容灾部署框架错误！未定义书签。图表24FUSi

5、onSPhere云平台双活容灾方案网络拓扑错误！未定义书签。华为机密，未经许可不得扩散图表25基于阵列复制的云平台数据级容灾拓扑图错误！未定义书签。图表26同步复制I/O处理原理图错误！未定义书签。图表27异步复制I/O处理原理图错误！未定义书签。图表28复制一致性组示意图错误！未定义书签。图表29FUSiOnSPhere云平台双活容灾方案网络拓扑错误！未定义书签。图表30华为VIS6600T跨阵列镜像技术原理图错误！未定义书签。图表31VIS6600T故障切换原理图错误！未定义书签。图表32GSLB结构图错误！未定义书签。图表33虚拟机HA特性示意图错误！未定义书签。图表26安全子系统架构图

6、57图表28虚拟防火墙示意图58图表29软件虚拟防火墙59图表30安全组示意图59图表31VDe安全防护框架60图表31虚拟化防病毒架构图61图表32TPM可信计算架构图62图表45二层架构物理部署图错误！未定义书签。图表46三层架构的物理部署错误！未定义书签。图表47双活容灾的物理部署65图表48多DC物理部署图66Keywords关键词：分布式云数据中心，VDC,VPC,虚拟化，SDN,容灾，备份，安全，云管理，资源弹性Abstract摘要：本文是分布式云数据中心解决方案V100R001C10技术白皮书。术语和缩略语清单:术语/缩略语描述DC2分布式云数据中心VDC虚拟数据中心VPC虚拟私

7、有云SDN软件定义网络IMS基础设施即服务PAAS平台即服务SAAS软件即服务DRAAS容灾即服务RTO恢复时间目标RPO恢复点目标DC数据中心SLA服务等级协议VPN虚拟专用网络VFW虚拟防火墙EBS弹性块存储服务RD虚拟机容灾软件(ReplicationDirector)EIP弹性IPSNAT源地址转换DNAT目的地址转换SC服务中心(ServiceCenter)OC运维中心(OPerationCenter)FM云管理中心(FUSionManager)eSightCSight是华为公司DC基础设施监控平台，包括网络、服务器、存储设备的告警、性能、拓扑等监控能力TCO拥有总成本ROI投资回报

8、率OpenStack开源云管理平台，对虚拟计算、存储、网络等服务提供管理框架与开放API,支持多种虚拟化平台1 技术背景1.1 数据中心架构现状传统的大型企业数据中心是一个物理分层的架构。随着公司规模的增长以及跨地域众多分支机构的建立，企业全局应用集中部署来实现跨地域跨组织的共享，在每个地域中建立地域级数据中心满足地域内各分支机构的应用集中部署和数据共享。而营业/办公网点则一般采用模块化或者集装箱方式建设微数据中心，主要是解决网络安全接入的问题。以华为自身的数据中心建设为例，可以很容易理解大型企业的数据中心物理分层架构。华为企业级的数据中心部署在深圳和南京，主要负责全球业务的应用集中部署，同时

9、通过深圳和南京的异地容灾解决数据中心的安全可靠性问题。在俄罗斯、英国和南非等7个地方建立区域级别的数据中心，建立全球应用的镜像同时集中共享区域应用和数据，每个区域级数据中心覆盖数个到数十个国家的业务，通过部署区域级别数据中心，可以保证网络响应时间在IOomS内。在每个区域，仍然存在对于服务质量要求更高的应用，如研发仿真等，这样在100多个地区又建立了服务器机房。对于遍布全球的分支机构，主要是建设网络机房解决纯网络接入问题。1.2 数据中心架构的挑战目前数据中心架构采用按应用烟囱式构建基础架构的方式，存在以下挑战：。建设与运营成本高。数据中心建设成本高昂，按应用垂直构建运营系统，当需要支持新建业

10、务或扩展已有业务能力时，需要不断对现有数据中心扩容。大量构建的小规模DC或分支机构DC的建设和维护成本更高。O资源利用率低。目前的数据中心的资源使用理念为应用间隔离，资源容量按照应用的最大预期负荷来设计。同时，资源为应用静态分配，大部分时间数据中心的计算、存储和网络资源利用率低下。一般情况下，数据中心服务器资源利用率常年低于15%。资源利用率低也带来能效比低的问题，数据中心的能耗成为企业心头之痛。C服务SLA保证困难，数据中心层次过多时，使用者访问应用时必然会造成较大时延，尤其是对于处于分层架构顶端的应用，所需经过的数据中心站点网络环节和层级过多，这就加大了网络连接故障或流量拥塞发生的概率；同

11、时由于数据中心基础设施设备均按照应用最大峰值流量需求进行容量和部署规划，缺少对企业用户漫游及业务热点变化的感知能力，因此面向企业最终客户接入的业务体验优化将更加困难。C管理复杂。由于数据中心承载的业务多种多样，而不同业务对软硬件系统的要求以及容灾备份策略各不相同，因此按应用纵向构建基础设施的方式造成了协同管理非常困难。如何全局管理的效率，降低物理资源和应用的耦合度，使得业务能实现快速部署上线，实现对业务的扩容、升级等全生命周期管理都对数据中心管理提出了极大的挑战。1.3 数据中心的发展趋势新一代数据中心的目标应是建设高效节能与运营成本合理的数据中心，支持企业或机构业务的持续发展，满足对业务的全

12、生命周期管理需求。高利用率、自动化、低功耗、管理自动化等成为了新一代数据中心建设的关注点。数据中心的分布化建设和集中化管理成为方向 数据中心向基础设施的分布式建设和管理的集中化方向发展数据的集中化管理和数据中心的整合是当前信息化发展的方向行业需求推动的技术发展趋势将支撑数据中心的分布式建设数据中心日益提供整合的网络、存储和计算能力，管理工具的重构和发展将成为核心的控制点 可编程的虚拟网络交换方式将带来更多挑战和机会 数据中心竞争将由单个设备竞争变化为提供整个网络架构的竞争 数据中心基础设施管理系统将成为未来数据中心的核心控制点数据中心向全方位服务化方向发展IT成本分析、桌面帮助、IT服务管理和

13、数据中心基础设施监控一只有极少数的系统管理软件工具不能作为一个服务处理。通过IaaSPaaSSaaS等不同层级的服务，为企业用户提供方便灵活的业务选择。数据中心成为服务中心，是多种服务的承载容器，这是数据中心发展的必然趋势。向基于云计算技术的软件定义数据中心发展的趋势 资源全面池化：计算虚拟化向存储虚拟化和网络虚拟化发展，基于SDN技术为实现基于业务需求的可编程、高度弹性和动态、大规模的虚拟化网络提供了技术支撑，数据中心存储资源的统一虚拟化后构成统一的资源池，包括服务器内存储资源、直连存储阵列、异构的各类存储系统，如NAS、SAN和统一存储等。 资源按需分配：包括计算、存储、网络和安全等所需资

14、源、基于SLA的虚拟数据中心（VDe）服务，VDC部署时间下降到分钟级，资源按需快速发放。 混合云：多数企业将探索私人和公共的云技术的混合，我们称之为混合云。未来几年，以IT服务交付为服务重点中心的私有云服务企业将会出现。企业应该评估哪些是商品服务，并将它们转移到公共云。安全与可靠性成为未来数据中心的基础能力安全性并不单指防火墙、TPSIDS入侵检测以及防病毒等安全防范措施。实际上，火灾、飓风和其他灾害能在任何时候袭击数据中心。在数据中心建设的初始阶段就应该构建可靠的容灾方案，或建立异地的灾难备份中心。通过多种技术手段保障业务的连续性和数据的安全性。2 分布式云数据中心解决方案架构2.1 分布

15、式云数据中心解决方案架构目标为了应对数据中心面对的挑战并顺应技术发展趋势，华为提出了分布式云数据中心（DC?）的理念。分布式云数据中心是物理分散，逻辑统一，业务驱动，云管协同，业务感知的数据中心。分布式云数据中心以融合架构（计算、存储、网络融合）作为资源池的基础单元，构建SDN业务感知网络，通过自动化管理和虚拟化平台来支撑IT服务精细化运营。分布式云数据中心的核心理念在于：物理分布、逻辑统一。它可以将企业分布于全球的数据中心整合起来，使其像一个统一的数据中心一样提供服务，通过多数据中心融合来提升企业IT效率。去地域化、软件定义数据中心、自动化是这个阶段的主要特征。逻辑统一有两方面的含义：所有数

16、据中心及其资源统一管理、调度和运维支持，分权分域管理，这些能力需要分布式云数据中心提供统一的运维管理支撑平台；当分布式云数据中心要对外提供服务时，提供统一的服务呈现界面、统一的支撑流程，这需要分布式云数据中心提供统一的服务平台。分布式云数据中心不再仅限于解决单个数据中心的效率和用户体验，而是将多个数据中心看成一个有机整体，围绕跨数据中心管理、资源调度和灾备设计，包括实现跨数据中心云资源迁移的云平台、多数据中心统一资源管理和调度的运营运维管理系统、大二层的超宽带网络和软件定义数据中心能力。分布式云数据中心将为客户带来前所未有的价值和全新的使用体验，其价值是：降低Te0,提高ROI:分布式云数据中

17、心采用虚拟化技术，消除了软件对运行软件的硬件的依赖性，使IT主管可以将利用率不足的基础结构转变成富有弹性、自动化和安全的计算资源池，供应程序按需使用。华为分布式云数据中心通过资源整合和自动化帮助企业降低运营成本，通过分布式技术实现多个数据中心的资源的逻辑统一和高效利用，降低对基础架构的投资。分布式云数据中心通过灾备服务和基于资源负载均衡的跨数据中心应用迁移来提升应用的可用性和资源利用率，可用性的提高和宕机时间的缩短使企业在无形成本方面节省了大量资金。虚拟机可以通过诸如虚拟机迁移之类的服务来提供更高的可用性。此外，虚拟机和虚拟磁盘的封装属性以及获取虚拟机状态的能力，还使虚拟机进行备份和恢复的速度

18、得到提高。提高业务敏捷性，加快上线速度，提高用户的满意度：分布式云数据中心在虚拟化技术之上，提供了资源的按需服务能力，分布式云数据中心提供全方位的管理、业务自动化的能力。通过自助式服务，用户可以按需自助申请所需的计算、存储、网络的资源。提供业务的快速发放和部署、动态负载均衡的能力，能够基于模板快速进行应用的部署和创建。通过服务模版中的服务建模功能使得应用程序的所有者可以反复并快速地创建、配置，以及部署应用程序服务到云端。让应用服务的部署过程更形象，并可跨越私有和公共云进行重新配置。从而可以将用户业务上线的时间从天级缩短到分钟级。分布式云数据中心根据用户不同的应用需求提供不同的SLA水平的资源池

19、服务。同时分布式云数据中心具有灵活的弹性伸缩能力，根据用户配置的灵活的调度策略，实现自动的水平（Scale-Out）.垂直（SCaIeTJp）弹性伸缩的能力，从而保证IT能够快速响应业务变化，使得数据中心从成本中心变为价值中心。减少IT管理和维护资源，提高IT治理能力:分布式云数据中心提供自助的服务能力，而用户可以根据需要自己申请业务，降低对IT运营部门的依赖。通过为事件管理、问题管理、变更管理，以及发布管理等标准化流程创建自动化的工作流，让IT的管理更加有效。集中的运营与运维，主动式的管理，利用简化和标准化的工作流将业务要求与IT流程连接起来，帮助消除代价高昂的错误并降低对手动任务的依赖，从

20、而使得多个多数据中心的运营与运维效率大大提升。从能力来讲，分布式云数据中心要提供以下关键能力：采用虚拟数据中心方式为租户提供数据中心即服务(DCaaS)虚拟数据中心(VDC)为租户提供DCaaS服务，是软件定义数据中心(SDDC)的一种具体实现。VDC的资源可以来自于多个物理数据中心的不同资源池，资源类型分为虚拟化的计算、存储和网络资源以及Bare-melal物理机资源等。VDC的资源容量在创建时由VDC管理员申请或domain管理员指定，在申请审批后提供给VDC用户使用。VDC用户使用VDC内的资源需要提交申请由VDC管理员审批。VDC管理员的管理范围包括服务审批、服务模板、服务管理、资源配

21、置、资源发放、自助运维等。YDC管理员对VDC内提供的服务进行全生命周期的管理，可以定义服务并发布到服务目录供用户申请，可以审批用户申请，也可以取消发布的服务。VDC内的资源支持访问权限控制。VDC的网络可以由管理员自助定义，将VDC划分为多个VPC,VPC包括多个子网，并通过VFW、VRoUter等部件进行安全、网络管理。VDC内支持IaaS层的多种计算、存储、网络和应用服务。其中VAPP服务支持对软件应用的灵活定义和弹性伸缩。VDC服务提供部分自助运维能力，包括查看VDC告警、性能、容量、拓扑信息。VDC提供VDC级别的资源使用计量信息，方便租户计算计费信息。针对多种应用场景优化的云基础设

22、施在不同的应用场景下，对云数据中心的基础设施需求会有差异。分布式云数据中心解决方案针对不同应用场景提供了不同的基础设施，以满足上层应用的差异化需求，提高基础设施效率和快速交付能力。目前主要针对四大场景：标准虚拟化场景，提供对普通应用虚拟化以及桌面云等虚拟化方案的基础设施；高吞吐场景，主要针对OLAP分析型应用的支持，在存储和网络方面提供了优化，支持InfiniBand等高性能网络连接；高扩展场景，对于需要快速水平扩展的应用，采用计算存储一体机方案提供快速扩展能力；高性能场景，主要对于OLTP应用，X86服务器替代小机等场景，在服务器提供了多种RAS技术增强可靠性，存储支持百万级IOPS,服务器

23、微秒级稳定响应能力等。基于SDN网络虚拟化技术的网络自动化和多租户云数据中心的网络构建基于SDN虚拟化网络技术，提供业务感知的自助网络管理能力。SDN技术提升了网络的自动化管理能力。SDN控制器可以对接物理、虚拟的网络设备，通过调用其接口进行统一管理，同时提供接口给管理系统调用。这种能力在多租户云数据中心场景下带来的直接价值就是每个租户可以自助定义自己的网络并自动化实施。利用SDN网络管理的能力，Vl)C管理员可以定义VDC的安全区，创建虚拟防火墙并配置ACL、NAT策略等，然后快速的实现这些策略。这种灵活度极大的提升了网络对业务的支持，使业务网络变得灵活。SDN管理的VXLAN技术也突破了传

24、统VLAM的约束，给跨数据中心的虚拟机迁移等提供了可能。统一灵活的云数据中心管理能力分布式云数据中心的资源来自于多个物理数据中心，资源类型多样，管理需求复杂。针对这种情况，分布式云数据中心(DC2)提出了统一管理,包括：多数据中心统一管理，支持对多个数据中心资源的资源统一的接入和管理；物理虚拟统一管理，物理服务器、存储、网络资源和上面虚拟化出来的资源提供一致性的管理，提供拓扑对应关系，在同一个管理界面上呈现；多种虚拟化平台统一管理，现有虚拟化技术多种多样，既有VMWare的商业化产品，也包括XEN,KVM等开源平台，需要提供统一的能力。2.2 分布式云数据中心总体架构图表1分布式云数据中心逻辑

25、架构分布式云数据中心总体架构如上图所示，由基础设施层、虚拟化层和服务层组成。各层都分别向上层提供接口供上层调用或对接。表3分布式云数据中心各层介绍功能分层说明基础设施层基础设施层提供构建数据中心计算、存储和网络的资源池能力。分布式云数据中心提供针对多种场景的POD配置方案。基于物理资源构建了虚拟计算、虚拟存储、虚拟网络资源池。数据中心管理层数据中心管理层提供对虚拟计算、存储、网络的资源管理能力。分布式云数据中心1.1提供基于OPenStaCk和FUSiOnSPhere的云平台管理，支持镜像、服务管理、资源调度等方面能力，也提供SDN的网络虚拟化管理能力。域管理层提供对多个云数据中心的统一管理调

26、度能力，提供以VDC为核心的DCaaS,VDC内提供多种云服务能力。该层也提供对虚拟物理资源的统一运维能力。2.3分布式云数据中心逻辑部署图分布式云数据中心在OPenSlaCk架构和FUSionManager架构下部署方式和部件会有不同。下图是FusionManager架构下的各部件关系。数据中心1数据中心2图赛2分布式云数据中心传统架构逻辑部图上图描述的是传统FUSionSPhere部署架构，云管理采用FUSiOnManager,可管理VMWarC和华为UVP虚拟化平台。RD支持跨数据中心的容灾管理，同时对接异地数据中心的FUSiOnManager。数据中心1效据中心2图表3OpcnStac

27、k架构下部件部图上图是在OpenSIaCk架构下各部件的部署及连接关系，其中keystone部署在domain域，实现对多个OpenStack实例的统一认证管理。OpenStack平台原生提供了适配异构虚拟化平台能力，当前仅支持KVM平台，未来进行产品化后可支持多种虚拟化平台。下表描述了分布式云数据中心的部件及功能:部件功能描述ManageOne提供分布式云数据中心服务中心(SC)和运维中心(OC):SC:服务中心基于资源池提供的云和非云资源统一编排和自动化管理能力，包括可定制的异构和多资源池策略和编排，可定制的企业服务集成，可通过集成第三方系统补足资源池管理能力，特别是异构的传统资源自动化发

28、放能力。OC:运维中心面向数据中心业务，进行场景化运维操作和可视化的状态/风险/效率分析，基于分析能力提供主动和可预见的运维中心。FusionManagerFUSionMarIager的定位是集成多个虚拟化软件和物理设备，提供统一硬件资源管理和虚拟化资源管理。FusionCompute提供网络，存储，计算资源的虚拟化，从而实现资源的池化。RD(ReplicationDirector)提供分布式云数据中心的虚拟机容灾能力，支持主机复制方式将主虚拟机数据映射到容灾虚拟机，支持容灾切换。HyperDP提供分布式云数据中心的虚拟机备份能力VIS提供存储虚拟化功能，配合系统提供双活容灾能力OpenSta

29、ckOPenStaCk是开源云管理系统，由多个部件构成，采用REST接口和消息队列实现部件解耦，支持对异构虚拟化平台管理(KVM,VMware,XEN等)。主要部件包括：NoVa:虚拟计算,GlanCe:镜像,Cinder:虚拟磁盘，neutron:虚拟网络，SWift:S3存储，keystone:认证，CeiIOIneter:监控等2.4分布式云数据中心数据关系图图表4服务式云数据中心概念关系分布式云数据中心中逻辑概念的关系是：ODomain:代表数据中心管理系统管理的总范围，对分布式云数据中心来说包括多个物理数据中心及包含的物理虚拟资源。OAvailableZOne(AZ):AZ是对用户可

30、见的，用户在资源申请时首先需要选择AZ。在同一个AZ区域内，存储是可达的，因此虚拟机在同一个AZ内可以迁移。AZ在同一个汇聚/核心交换机下。6VDC：虚拟数据中心，可以跨多个A乙包括多个VPC。&VPC：VPC是一个AZ内为保证网络安全而划分的区域，各VPC网络间采用多种网络隔离技术。一个VPC仅属于一个AZ。HostAggregate：该概念来自OPenSIaCk的定义，同一个Aggregate是具有相同属性的资源集群，属性通过元数据描述。资源分发时通过SChedUIer部件来根据用户需求选择合适的Aggregate分配资源。一个Aggregate属于一个AZ。3分布式云数据中心解决方案关键

31、特性3.1 虚拟数据中心3.1.1 适用场景虚拟数据中心(VDC)主要适用于如下场景：企业私有云中，有独立管理租用资源并实现网络隔离需求的场景。每个VDC是一个具有自运营和自运维能力的独立管理实体。在企业中，VDC的划分方式可以灵活多样，可以按照场景要求灵活划分。a)可以按部门划分，每个部门可以独立管理本部门资源。b)可以按使用领域划分，例如：开发VDc测试VDC等。注：VDC可以支持一个或多个物理数据中心的资源。VDC对客户的价值点在于租户的自助运营、运维能力和资源隔离管理。3. 1.2部署架构Domain数据中心资源池计算资源池图表5FM+SC方式部在SC加FM的部署方式中，FM提供云管理

32、能力和虚拟化平台的访问接口；SC提供VDC服务和VDC内包含服务的管理能力。 在服务管理方面，SC是VDC的服务提供方。VDC管理员和用户可以登录SC门户，VDC管理员可以自助管理VDC内的服务、网络和自助运维等。 在运维层面，VDC相关的信息可以从eSight或合作厂商的部件获取性能、告警信息，然后统一在OC上呈现。运维管理员可以在OC上对运维信息进行统处理。Domain数据中心资源池存储资源池图表6SC+OpenStack方式部署SC加OPenStaCk部署方式采用OPenStaek提供的服务作为基础云管理平台，SC提供VDC服务。Se和C)PenStaCk利用OPenStaCk提供的RE

33、STAPl对接起来。3.1.3 VDC角色VDC相关的角色描述见下表:角色职责层次部件DomainAdmin负责DC?总体的资源管理和运维管理，例如：可以查看VDC资源、告警、性能数据，VDC物理和虚拟拓扑等DomainOCDomainServiceManager负责DC?总体的业务运营管理，例如：VDC的创建、全局服务管理等DomainSCVDCServiceManagerVDC的管理员，能够对VDC内的资源和用户进行管理，管理VDC内的服务，可以查看VDC的运维统计信息VDCSCServiceUserVDC最终用广APP/HostSC3.1.4 关键特性图赛TVDC功能概述1 .多数据中心

34、资源统一管理VDC可以从多个物理数据中心的资源池中获取资源。数据中心采用AVaiIabIeZone（AZ）方式提供资源池，选择不同的AZ也就选择了不同数据中心的资源池。在VDC创建时，管理员会根据需求从AZ列表中选择需要的AZ,后续VDC用户申请资源时将根据用户需求从这些AZ中获取资源。每个AZ内部划分为不同的HoStAggregate,不同Aggregate具备不同的SLA特性。例如：有的Aggregate的服务器包含SSD盘，可以定义为高性能Aggregale。Aggregate完全由管理员根据SLA特性自主划分。Aggregate对用户是不可见的，但当用户申请资源时可提出SLA需求，系统

35、调度器将根据SLA需求在满足要求的Aggregate中选择资源。2 .VDC间的隔离VDC之间提供管理、网络和资源隔离能力。管理隔离：VDC有管理员和用户等角色。用户登录VDC后，可以申请VDC提供的服务，由VDC管理员审批后使用。每个VDC内部有独立的用户管理、服务管理、模板管理、服务目录、容量管理、运维管理和审批流程等管理能力。不同VDC之间的这些管理能力是互相独立的。每个VDC的管理员负责本VDC的管理职责，互不干扰，从而保证VDC管理上的隔离。网络隔离：VDC内部的网络拓扑可以自主定义，包含多个安全区。每个安全区采用VLAN/VXLAN等方式互相隔离。虚拟资源（如虚拟机等）包含在这些安

36、全区内。安全外部用户访问安全区内的资源需要经过VFW。VFW上设置的ACL,ASPF,NAT等规则可以保证访问的安全控制。不同安全区之间互通通过IPSeCVPN,保证网络数据的安全性。资源隔离：每个VDe都独立管理自己的资源（例如：VM,VFW属于某VDC）,不存在VDC共享资源情况。针对某资源的查看及操作（例如：开机、关机、扩容），仅能由资源拥有用户在VDC内完成。其他VDC是无法查看和操作该资源的。资源包括虚拟化资源（比如虚拟机，虚拟磁盘），服务模板，软件库等被管理的资源。3 .配额管理VDC支持对使用的资源进行配额控制。配额的数量可以在创建VDe时由申请者指定，然后domain管理员审批

37、通过，也可以由domain管理员创建VDC时直接指定。配额种类包括：VCPU个数，内存大小，VLAN个数，VpC个数，子网个数，VM个数，网络带宽等。对于超过VDC配额后的资源申请，VDC将自动拒绝。VDC可以显示当前配额使用的数量，方便管理员控制容量。4 .用户管理每个VDC支持独立的用户管理能力。VDe管理员可以授权某用户访问VDC的权限。在获得授权后，用户可以登录该VDC并申请该VDC的服务。一个用户可以获得多个VDC的授权，从而成为多个VDC的用户。5 .服务管理VDC管理员可以对服务目录和服务生命周期进行管理。VDC管理员可以定义服务目录，服务目录包含当前已经发布并可以订购的服务列表

38、。VDC管理员首先需要定义服务，包括服务名称、描述和规格属性等，然后可以发布到服务目录中。然后，VDC用户就可以浏览服务目录并订购其中的服务。对于不再提供的服务，管理员也可以对服务取消发布。取消发布的服务不再呈现在服务目录中，用户也就无法订购了。6 .模板管理VDC内支持多种服务模板，服务模板可以帮助快速定义新服务。服务模板中可以定义服务的配置规格项和缺省值等。VDC支持的服务模板包括：VM模板，VAPP模板。这些模板可以帮助管理员实现服务快速创建部署。支持全局模板和局部模板，全局模板所有VDC可见，局部模板仅本VDC可见。7 .服务自动化服务自动化为系统提供服务自动化发放上线能力。当用户在服

39、务目录上申请服务并审批完成后，服务自动化引擎将根据订购的服务来调用相应的服务实施流程。服务流程的实施由内置的BPM执行引擎执行，执行引擎自动调用虚拟化系统REST接口并保证执行的顺序和结果。系统内置了缺省支持的服务流程，包括虚拟机、虚拟磁盘、虚拟网络设备等。管理员可以自定义新的服务发放流程来满足新业务需求。8 .自助网络管理VDC的自助网络管理利用了底层SDN提供的基础能力，主要包括的功能有： VPC：在VDC内部可以定义VpC,每个VPC内部包括多个子网，VPC内可以定义一个VRoUter,作为进入VPC的入口点。此外根据网络拓扑要求还可以定义VFW和VLB等虚拟网络部件。在VFW上通过安全

40、策略控制可以控制对VPC内资源的访问。 子网：安全区内部可以划分为多个子网，每个子网通过VLAN机制实现子网间的二层网络隔离。对于子网内的IP地址提供管理能力。 VDC虚拟网络拓扑：可以查看VDC的网络拓扑，网络拓扑展示了VDC内部的安全区及连接管理，每个安全区内部包括的网络资源和子网信息，以及每个子网内部的VAPP和VM资源华为机密，未经许可不得扩散情况。虚拟网络拓扑可以展示虚拟资源和物理资源的映射管理，例如VFW和FW间的关联关系等。9 .自助运维管理 容量管理VDC管理员可以查看VDC当前的资源使用情况和容量占用率，占用指标包括：CPU,内存，磁盘，带宽等。VDC管理员可以设置容量阈值告

41、警，当系统资源使用率超过阈值时，系统将发出告警信息。 拓扑管理VDC管理员可以查看VDC的虚拟网络拓扑，包括VDC内包括的VPC,VPC连接关系，VPC子网，VPC内虚拟机，VPC内包括的虚拟网络设施VFW；VLB,VRoUter的连接关系等。当用户修改虚拟网络拓扑后，比如增加了VFW或增加了子网，能够自动看到网络拓扑的改变。VDC管理员可以在SC上查看到VDC的虚拟拓扑，物理和虚拟拓扑的对应关系在OC上查看。 性能管理VDC管理员能够查看到VDC的性能列表，包括topN的CPU,内存,磁盘IO等性能指标的性能列表。管理员可以设置阈值报警，当性能指标不能达到性能阈值时，系统将自动产生性能告警通

42、知管理员。 告警管理Vl）C管理员在Oe可以查看VDC的告警列表，然后对告警信息进行相应的处理，包括屏蔽告警、转工单、告警降级等多种方式，帮助VDC管理员处理系统的告警。10 .支持服务列表用户登录VDC自助服务门户，可以在服务目录中看到多种预置的云服务，服务包括： 云主机服务虚拟云主机服务提供云托管业务，让用户能够象使用本地物理机一样使用虚拟机云主机。用户登录服务门户来申请云主机服务，选择相应的虚拟机模板，并指定规格（存储大小，内存大小等）并提交申请，申请批准后，用户就可以用虚拟机IP登录这台云主机。用户可以对云主机开机、关机、休眠、唤醒、扩容、减容等操作。 物理服务器服务用户可以线上申请物

43、理服务器服务。用户在申请时可查看服务器的可选规格，操作系统类型来申请物理服务器服务。该申请审批成功后，实施服务器服务需要线下操作。然后用户根据分配给物理服务器的IP地址登录到物理服务器，进行相关的业务操作。 EBS服务ElasticBlockStore（EBS,弹性块存储）可以为虚拟机动态提供块级存储服务。弹性块存储为虚拟机提供可按需扩展存储空间的块级别存储服务，虚拟机以卷设备的方式访问块存储空间。EBS服务支持对块存储扩容、减容操作。VFW服务虚拟防火墙（VFW）用于保护用户在数据中心的资源，不同用户的虚拟防火墙之间有独立的策略配置、独立的吞吐量限制、独立的会话数限制、独立的带宽保障，能够保

44、证不同用户之间的业务互不影响。1）弹性IP弹性公网IP也称为弹性IP业务，是指给用户申请的虚拟机或物理服务器配置私网IP与公网IP的一对一地址映射，使用户通过公网地址访问数据中心内部的虚拟机或物理服务器。用户在使用弹性IP业务时，在自助服务系统上需要先申请一个弹性IP,选择该弹性IP的带宽大小。在提交业务请求后，系统会从公网地址池中选择一个公网IP地址分配给用户。用户将弹性IP和合法的私网IP（这里可以是虚拟机IP地址，也可以是物理服务器IP地址）进行绑定。系统在VFW上通过NAT配置实现业务自动化发放。2） SNAT/DNATSNAT功能称为源地址转换，提供租户的多台虚拟机从数据中心内部主动

45、发起访问到外网，对用户虚拟机的私网IP做多对一的源地址转换。使多台虚拟机可以同时通过一个公网地址访问外网。用户在使用SNAT功能时，可直接对申请的私网网段开启或者关闭SNAT功能。DNAT功能称为目的地址转换，提供租户从外网访问虚拟机，使用一个公网地址通过端口区分数据中心租户的多台虚拟机或者物理服务器做一对多的地址映射。用户在使用DNAT功能时，需要选择一个已经申请的公网IP地址（这个公网IP地址不能是已经被用于弹性IP业务的），然后输入公网IP地址的端口、私网IP地址以及端口；提交业务请求之后系统会记录该条NAT策略，同时在底层设备上实现NAT配置完成业务发放3） ASPFASPF功能是针对

46、应用层的包过滤，即基于状态的报文过滤，以便于实施内部网络的安全策略。ASPF能够检测试图通过EUdemOn的应用层协议会话信息，阻止不符合规则的数据报文穿过。并提供对有害JaVaApplets,有害ACtiVeX的阻断。用户可以自定义选择针对某些协议开启ASPF功能。用户在使用ASPF功能时，需要先选择申请的虚拟防火墙，然后选择需要检查的协议类型进行开启或者关闭。4） ACLACL（AccessControlList）是针对用户的业务做访问权限的控制，用于控制用户南北向流量的业务访问，解决方案中的ACL功能是基于虚拟防火墙提供的，根据用户的虚拟机或者物理服务器的IP地址来配置有限的ACL规则。用户在使用ACL功能时，这些规则受到以下条件的约束：“如果是IN方向的ACL规则，那么目标地址必须是用户申请的虚拟机的地址段，如果设定为其他地址段，则系统会报错，返回不允许配置的信息。J如果是OlJT方向的ACL规则，那么源地址必须是用户申请的虚拟机的地址段，如果设定为其他地址段，则系统将报错，返回不允许配置的信息。5） IPSecVPNIPSecVPN即指采用IPSeC协议来实现远程接入的一种VPN技术，用以提供公用和专用网络的端对端加密和验证服务。用户可以申请多个IPSeCVPN业务，用于用户租用的数据中心资源与用户企业侧不同数据中心华为机密，未经许可不得扩散的资源在公网上实