网络安全系统融合平台技术方案.docx
《网络安全系统融合平台技术方案.docx》由会员分享,可在线阅读,更多相关《网络安全系统融合平台技术方案.docx(20页珍藏版)》请在冰豆网上搜索。
网络安全系统融合平台技术方案
TopHC网络安全系统融合平台技术方案
TopHC系统架构
计算/存储/网络/安全融合
TopHC深度融合云计算IAAS层的4大核心组件,为用户提供统一的管理界面。
线性扩展
TopHC集群提供线性扩展的能力,初始时期最小节点可以是单台物理服务器,后期可以灵活的根据业务需求添加新的物理服务器以提升计算能力、扩容存储空间,而且随着服务器的增多,整套系统的聚合带宽也会线性、无缝的增加,完全可以满足业务不断发展所产生的容量和性能需求。
调度及策略
TopHC提供给用户的都是虚拟的资源,虚拟资源具体由那些物理资源承载,需要通过计算当前集群的资源使用情况和各个资源的状态,以达到资源使用的均衡和避免潜在的故障风险。
分布式资源调度系统DRS是根据集群内部的实时监控系统获取的物理状态,结合均衡分布策略、人工设置的策略(如标签)和电源策略,对物理资源进行过滤及筛选,得出最合适的物理承载。
在集群运行状态,DRS系统会根据实时监控系统上报的状态,会对资源进行二次调度。
仲裁机制
集群节点间想要知道其他节点的状态,同时要防止脑裂情况下的误判,这时候就必须要依赖仲裁机制来对状态做出一个正确的判断。
仲裁实际上是一个多数对少数的投票,关键在于选取哪些节点作为witness。
仲裁采用了类似vSANwitness仲裁机制的方法,利用集群节点来充当witness,根据多数有效投票来仲裁目标的状态,可有效避免脑裂和孤岛。
当集群节点需要知道其他某一节点的状态时,会将仲裁请求发往集群中的所有n个同类节点,汇总投票结果来得出仲裁结论。
TopHC存储架构
分布式存储架构
分布式存储在超融合系统中扮演十分重要的角色,为了更好适应超融合系统,提供更加可靠的产品和服务,天融信自主研发了一套分布式存储系统,而非采用开源系统。
这套分布式存储系统为TopHC量身定制:
块接口
分布式存储系统以两种方式提供块接口:
●标准块设备
●iSCSI/iSERtarget
如下图,虚拟存储设备可以提供标准块设备接口,容器、虚拟机、应用程序可以将卷当成本地磁盘使用。
也可以提供iSCSI/iSERtarget,容器、虚拟机、应用程序可以通过标准iSCSI和iSER访问虚拟块设备。
●标准块设备
支持标准SCSI协议,对于上层应用卷与本地磁盘在绝大多数场景下无任何区别,可直接对卷进行读写,亦可对卷格式化文件系统,挂载后,进行读写。
●iSCSI/iSERTarget
支持标准iSCSI协议,可通过iSCSIinitiator在远端发现并使用微控制器生成的iSCSItarget。
支持CHAP身份验证以保证客户端的访问是可信与安全的。
CHAP全称是PPP询问握手认证协议(ChallengeHandshakeAuthenticationProtocol)。
该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时以及链路建立之后重复进行。
通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。
iSER(iSCSIExtensionsforRDMA)是iSCSI使用RDMA的扩展协议,该协议允许网络数据直接与主机内存之间进行数据传输,而不需要数据拷贝和CPU介入。
RDMA(RemoteDirectMemoryAccess)远程直接数据存取,是应用程序内存与网络适配器直接传输数据的零拷贝(zero-copy)技术。
文件接口
分布式存储系统提供标准的NFS、SMB文件共享协议,满足标准NAS文件共享资源存储需求。
文件共享协议:
●NFS(NetworkFileSystem):
UNIX系统使用最广泛的一种文件共享的客户/服务器协议
●CIFS(CommonInternetFileSystem):
支持客户端通过TCP/IP协议对处于远程计算机上的文件和服务发起请求
对象接口
提供标准的RestfulAPI通过HTTP协议访问存储资源,方便用户上传和下载文件对象。
自动精简配置
分布式存储系统实现了自动精简配置功能,为应用提供比实际物理存储更多的虚拟存储资源。
采用自动精简配置技术的数据卷分配给用户的是一个逻辑的虚拟容量,而不是一个固定的物理空间,只有当用户向该逻辑资源真正写数据时,才按照预先设定好的策略从物理空间分配实际容量。
自动精简配置实现了将逻辑空间和物理空间分离的虚拟化容量分配技术,它不仅解决了单个应用的初始空间分配和扩容的难题,还大大提高了整个存储系统的资源利用率。
利用已有的文件系统特性,系统无需使用专门的元数据来记录卷的精简分配情况,和传统SAN相比,不会带来性能下降。
如果采用传统的磁盘分配方法,需要用户对当前和未来业务发展规模进行正确的预判,提前做好空间资源的规划。
但这并不是一件容易的事情,在实际中,由于对应用系统规模的估计不准确,往往会造成容量分配的浪费,比如为一个应用系统预分配了1TB的空间,但该应用却只需要100GB的容量,这就造成了900GB的容量浪费,而且这900GB容量被分配了之后,很难再被别的应用系统使用。
即使是最优秀的系统管理员,也不可能恰如其分的为应用分配好存储资源,而没有一点的浪费。
缓存
分布式存储系统采用多级cache机制提升存储IO性能,读、写cache机制采用不同流程,读cache采用内存和SSD两级cache机制,写cache要保证数据不丢失,所以只使用SSD一级cache。
默认情况下,SSD缓存的70%为读缓存,用于存储频繁读取的磁盘块,从而最大限度减少对速度缓慢的磁盘的访问。
缓存的30%为写缓存,用于执行写入操作,每个IO会先写入缓存层,再批量写入低速磁盘层。
●Writecache机制
后端存储在收到应用端发送的写IO操作时,会将写IO缓存在SSDcache后完成本节点写操作。
同时,周期性的将缓存在SSDcache中的写IO数据批量写入到硬盘,写cache有一个水位值,未到刷盘周期超过设定水位值也会将cache中数据写入到硬盘中。
系统支持大块直通,按缺省配置大于256KB的块直接落盘不写cache,这个配置可以修改。
写操作做了专门优化,通过将随机的小I/O写请求合并成一个大I/O写请求,然后顺序写到SSDcache中,从而大大提升了I/O吞吐量。
SSDcache中的写IO数据刷到磁盘时,会合并顺序IO,从而再次最大限度提高磁盘性能。
●Readcache机制
分布式存储系统的读缓存采用分层机制,第一层为内存cache,内存cache采用改进的LRU机制缓存数据,具有LRU的优点,同时能避免当发生全盘数据备份、全盘查找等此类扫描式操作时,缓存空间会被迅速挤占耗尽,原本存放在缓存中的热数据则被交换出缓存的缺点。
第二层为SSDcache,SSDcache采用热点读机制,系统会统计每个读取的数据,并统计热点访问因子,当达到阈值时,系统会自动缓存数据到SSD中,同时会将长时间未被访问的数据移出SSD。
同时TopHC支持预读机制,统计读数据的相关性,读取某块数据时自动将相关性高的块读出并缓存到SSD中。
后端存储在收到应用端发送的读IO操作时,会进行如下步骤处理:
步骤1:
从内存“读cache”中查找是否存在所需IO数据,如果存在,则直接返回,同时更新LRU队列,否则执行Step2;
步骤2:
从SSD的“写cache”中查找是否存在所需IO数据,如果存在,则直接返回,同时增加该IO数据的热点访问因子;如果热点访问因子达到阈值,则会被缓存在SSD的“读cache”中。
如果不存在,执行Step3;
步骤3:
从SSD的“读cache”中查找是否存在所需IO数据,如果存在,则直接返回,同时增加该IO数据的热点访问因子,否则执行Step4;
步骤4:
从硬盘中查找到所需IO数据并返回,同时增加该IO数据的热点访问因子,如果热点访问因子达到阈值,则会被缓存在SSD的“读cache”中。
克隆
TopHC的分布式存储系统提供了克隆功能,所有克隆卷继承了原始卷的所有功能:
克隆卷也可以像原始卷一样再次被快照和克隆。
TopHC提供克隆机制,克隆支持链接克隆和完全克隆。
克隆是基于卷快照,一个卷快照可以创建出多个克隆卷,克隆卷也可以继续克隆出下一层次的克隆卷。
克隆卷刚创建出来时的数据内容与卷快照中的数据内容一致,后续对于克隆卷的修改不会影响到原始卷的快照和其他克隆卷。
克隆时支持链接克隆,克隆卷和原始卷使用部分相同的底层数据,大大加快了克隆的速度和提升存储空间利用率。
但如果克隆次数过多,由于克隆卷和原始卷使用的是相同的底层数据,这样就会造成数据分布不均衡和IO访问局部过热。
所以当克隆数过大时,策略子系统会使用完全克隆,把数据拷贝到其他节点,从而实现数据均衡。
TopHC网络架构
网络虚拟化
计算虚拟化催动了网络虚拟化的发展。
在传统数据中心,一个服务器运行一个操作系统,而网络的交换、路由以及访问控制,流控等等都交给了物理环境中的交换机、路由器等设备。
在计算虚拟化之后,一个服务器上面运行了多个虚拟机,每个虚拟机有自己独立的CPU、内存、网卡等资源,在同一个服务器上的不同虚拟机不仅要维持原有的通信,又要共享物理网卡设备,这使具有计算虚拟化能力的数据中心的网络交换路由、网络安全等等面临到了难题,所以诞生了网络虚拟化。
体系架构
2006年,以斯坦福大学教授教授NikeMckewn为首的团队提出了OpenFlow的概念,并基于OpenFlow技术实现网络的可编程能力,让网络像软件一样灵活编程,SDN技术由此诞生。
在传统网络中,网络控制能力是分布式进行的,好比传统路由器,既负责了数据包的寻址,而且还需要根据寻址找到的最佳路径把数据包转发出去,每台路由器拿到数据包都要重新进行路由计算过程,并且只关心自己的选路,这种弊端就是缺乏在计算寻址方面的统一性;在SDN网络中,实现了网络的转发分离、集中控制、开放接口三个特性,网元的控制平面在控制器上,负责协议计算,产生流表,而网络设备仅仅承担转发平面,网元设备通过控制器集中管理和下发流表,这样就不需要对设备进行逐一操作,在SDN网络中最高的追求就是为了实现网元设备拿到数据包之后,能像人体的条件反射一样处理数据报文。
TopHC软件定义网络架构中的三层模型:
在TopHC超融合中,有两个重要的概念:
控制器和Chassis
SDN网络关键的地方是在网络架构中增加了一个SDN控制器,把原来网络中的控制平面集中到一个SDN控制器上,由这个集中的控制器来实现网络集中控制。
SDN控制器处于SDN网络中的控制层面(ControlLayer),它极大简化网络架构以及可以快速进行业务创新,其本质就是利用了SDN控制器的网络软件化过程来提升网络可编程能力。
Chassis可以理解为Hypervisor或者网关,在TopHC超融合当中默认指的是承载虚拟机的物理节点(hyervisor),每个物理节点都会被自动生成一个集成网桥,并且通过passive方式连接至SDN控制器,接受控制器的管控。
TopHC软件定义网络的三个层面功能:
●应用层面(APPLayer):
主要体现实际使用的意愿,它与控制器北向接口之间传输OVSDB协议。
它负责对接控制器的北向接口,整合各个逻辑资源为用户提供简洁方便习惯的使用方式。
●控制层面(ControlLayer):
Network模块的核心,负责整个网络内部交换和路由等流表的生成,并负责处理网络状态变化事件。
控制平面虽然是集中式的,但是借助于TopHC计算中的HA(高可用)功能,可实现控制器高可用,避免控制器故障导致集群网络不可用。
SDN控制器提供了两种接口:
北向接口(NorthBoundInterface)和南向接口(SouthBoundInterface)。
●基础层面(InfrastructureLayer):
主要有服务器上的网络资源(openvswitch/bridge/datapa
升级会员 