H3C数据中心解决方案Word文档下载推荐.docx
《H3C数据中心解决方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《H3C数据中心解决方案Word文档下载推荐.docx(19页珍藏版)》请在冰豆网上搜索。
1数据中心基础网络整合
1.1数据中心基础网络设计
随着业务的快速发展,企业(泛指运营商、企业和行业用户)的业务应用和数据正在从分散部署走向大集中,作为业务承载体的IT设施的部署模型随之发生翻天覆地的变化,互联互通已经不能满足流程整合后的业务持续发展的需求。
网络是连接所有数据中心IT组件的唯一通用实体,构建坚实的网络基础设施将为数据中心业务永续、管理与运维提供保障。
通常来讲,用户的业务可分为多个子系统,彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求,根据业务相关性和流程需要,需要采用模块化设计,实现低耦合、高内聚,保证系统和数据的安全性、可靠性、灵活扩展性、易于管理。
数据中心基础网络设计原则为分区、分层和分级设计。
一、数据中心分区设计原则
分区,即把用户的整个IT系统按照关联性、管理等方面的需求划分为多个业务板块系统,而每个系统有自己单独的核心交换,服务器,安全边界设备等,需要逐级访问控制,良好的逻辑分区设计与安全域划分成为数据中心网络的必备基础。
根据企业自身特点,依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等,可以把数据中心的服务器与业务系统分成内网区(Intranet)、外联区(Extranet)和互联网区(Internet)等,并在此基础上对业务流程进行深入细化。
H3C数据中心解决方案
Intranet区
企业内部访问的数据中心区域,通常称为内网区,对外部网络不可见。
Extranet区
企业提供给合作伙伴访问的数据中心区域,通常称为外联区;
通过VPN接入实现对服务器群的访问和不同企业的隔离。
Internet区
企业提供给internet用户访问的数据中心区域,也常称为DMZ区,外部用户通过公网访问,一般就是放在企业门户网站的服务器群。
二、数据中心分层设计原则
分层的主要是根据内外部分流原则,把数据中心网络分成标准的核心层、汇聚层和接入层三层结构。
服务器与业务系统之间的流量大部分在单个功能分区内部,不需要经过核心;
分区之间的流量才经过核心,而且在每个分区的汇聚层交换机上做互访控制策略会更容易、对核心的压力会更好、故障影响范围更小、故障恢复更快。
核心层
核心层提供多个数据中心汇聚模块互联,并连接园区网核心;
要求其具有高交换能力和突发流量适应能力;
大型数据中心核心要求多汇聚模块扩展能力,中小型数据中心共用园区核心;
当前以10GE接口为主,高性能要求4-810GE捆绑。
汇聚层
为服务器群(serverfarm)对外提供高带宽出口;
要求提供大密度GE/10GE端口实现接入层互联;
具有较多槽位数提供增值业务模块部署。
网络产品部
接入层
支持高密度千兆接入、万兆接入;
接入总带宽和上行带宽存在收敛比、线速两种模式;
基于机架考虑,1RU更具灵活部署能力;
支持堆叠,更具扩展能力;
上行双链路冗余能力。
业界主流做法是在汇聚层部署各类安全、应用优化业务,如在交换机上集成防火墙、负载均衡、应用加速板卡。
三、服务器接入分级设计原则
目前的应用访问架构已经逐步由传统的客户机/服务器(简称C/S)架构向浏览器/服务器(简称B/S)的变迁,B/S的应用访问架构要求采用三级的服务器架构,从整体来看包括三个层次:
Web层
负责应用界面的提供,接受客户端请求并返回最终结果,是业务系统和数据的对外界面。
如IIS、Apache服务器等等。
Application层
负责数据的计算、业务流程整合,如常见的WebLogic、J2EE等中间件技术。
Database层
负责数据的存储,供业务系统进行读写和随机调用。
如MSSQLServer、Oracle9i、IBMDB2等等。
网络产品部H3C数据中心解决方案
三级之间通过交换网络的互连,层层的安全保护,形成结构清晰的易于部署的服务器接入架构。
三级之间的互连又分成纵向和扁平两种结构。
纵向结构清晰、管理简单,扁平结构节省投资。
四、H3C数据中心基础网络设计优势
安全性好
容易明确不同网络区域之间的安全关系,可以单独对每个区域进行安全实施,不会对其它区域造成影响。
扩展性好
可根据不同区域和层次的功能按需建设,业务部署灵活,可以非常方便的增加新ServerFarm区,而不改变原有的网络结构。
提高可用性
可以最大限度的隔离故障域,简化数据路径,加快故障收敛时间。
易管理
网络结构清晰,日常的运维变得更加简单,问题定位容易。
1.2数据中心高可用解决方案
随着市场竞争的日益加剧,客户对信息系统的依赖性和要求越来越高,保证数据中心的高可用性,提供7×
24小时网络服务成为建网的首要目标,也是数据中心建设关注的第一要素。
导致网络不可用,即网络故障的原因主要有两类:
1.不可控因素,如自然灾害、战争、大停电、人为破坏等
通过建设生产中心、本地备份中心、异地容灾中心,即“两地三中心”模式,通过良好的整体规划设计,保证不可控因素影响下数据中心的高可用。
2.可控因素,如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。
H3C在相关产品设计上考虑了诸多因素,提供了全系列的解决方案,包括物理设备、链路层、IP层、传输层和应用层,全方位的提高网络可用性。
硬件设备冗余,如设备双主控、单板热插拔、冗余电源、冗余风扇。
物理链路冗余,如以太网链路聚合等。
环网技术,如:
RPR、RRPP等技术。
二层路径冗余,如:
MSTP、SmartLink。
三层路径冗余,如:
VRRP、ECMP、动态路由快速收敛。
快速故障检测技术,如:
BFD等。
不间断转发技术,如GR等。
除了产品高可用性外,H3C在数据中心整体设计上提供完整的高可用方案,具体可分为:
服务器接入高可用设计,接入层到汇聚的高可用设计,汇聚层的高可用设计。
一、服务器接入高可用设计
也称服务器多网卡接入。
为了实现接入高可用,服务器通常采用多链路上行,即服务器的两块甚至多网卡接入,服务器中的网络驱动程序将两块或者多块网卡捆绑成一个虚拟的网卡,如果一个网卡失效,另一个网卡会接管它的MAC地址,两块网卡使用一个IP地址,而且必须位于同一广播域,即同一子网下。
服务器和接入交换机之间的连接方式有几种方式:
网络可用性从左至右依次升高。
推荐采用第四种接入方式。
第四种连接方式服务器采用交换机容错模式分别接入到两台机柜式交换机上,并且将VLANTrunk到两台设备上,实现服务器的高可靠接入。
二、接入到汇聚高可用设计
接入到汇聚层共有四种连接方式,分别为倒U型接法、U型接法、三角型接法和矩形接法,这里所谓不同类型的接法是以二层链路作为评判依据,比如说矩形接法,从接入到接入,接入到汇聚、汇聚到汇聚均为二层链路连接,因此形成了矩形的二层链路接法。
H3C推荐三角型接法:
-链路冗余,路径冗余,故障收敛时间最短。
-VLAN可以跨汇聚层交换机,服务器部署灵活。
在实际部署中,还可以根据实际情况选择如下方案:
H3CIRF(IntelligentResilientFramework),H3CIRF能够实现分布式设备管理、分布式路由和跨设备链路聚合。
部署H3CIRF,除了提高网络的可用性,减少单点故障影响,还可以:
-分布式处理二三层协议,极大提高网络高性能。
-每组当成一个逻辑Fabric,配置管理更高效。
-堆叠组内设备软件版本同步升级,升级容易。
-整个堆叠组的设备支持热插拔,灵活管理。
接入与汇聚采用MSTP+VRRP:
提高可用性,还可以做到链路的负载均衡。
网络产品部H3C数据中心解决方案网络产品部
三、汇聚高可用性设计
1)汇聚交换设备之间的VRRP;
2)安全、应用优化设备之间的VRRP:
可以内置或者旁挂到汇聚交换机上(推荐旁挂,而不是串连到网络中,消除性能瓶颈)。
利用HRP协议实现在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息的备份。
HRP协议承载在VGMP报文上。
通过指定的负载均衡算法,对指向服务器的流量做负载均衡,保证服务器群能尽最大努力向外提供服务,提升服务器的可用性,提升服务器群的处理性能。
2数据中心应用智能
2.1应用智能数据中心模型
今天,WEB2.0大潮开始涌现,如Flickr、YouTuBe、BLOG、WIKI、PODCAST,互联网在第一次泡沫迸裂后又重现生机。
这些新应用的背后英雄就是WEB技术,如果讲WEB1.0解决的是“人机交互界面的标准化”问题,WEB2.0则更进一步解决了“应用数据交互的标准化”问题,而WEB2.0的技术基础是XML协议和一系列相关WEB技术。
Web2.0时代的最大特点是每个人可成为数据的提供者。
在今后的几年内,WEB应用的普及必将带来另外一个新的标准化,那就是基于WEB技术的应用标准化,如果用OSI的模型来描述的话,则是会话层和表示层的标准化。
“一旦标准化,即可网络化”意味着这些标准化的应用处理功能将集成到网络设备中,新的业务呼唤新的应用智能网络。
企业业务和数据从分散部署走向大集中,数据中心的数据量急剧膨胀,数据中心的重要性受到空前的重视,应用优化、网络安全、应用安全设备大规模部署,融合了应用安全、应用优化能力的应用智能数据中心越来越受到用户的欢迎。
顺应潮流的发展,多业务集成交换机成为数据中心建设的必备组件。
应用安全涵盖:
应用层认证、授权和审计
应用层加密(SSL)和集中PKI部署
应用层防火墙(HTTP/XML防火墙,SAML安全断言标记语言)
应用层内容安全:
病毒、入侵等等
应用优化涵盖:
应用负载均衡
基于硬件的应用缓存、压缩和交换
应用协议优化(HTTP/TCP协议优化)
融合应用安全、应用优化的应用智能数据中心模型:
2.2应用智能之安全
数据中心承载着用户的核心业务和机密数据,同时为内部、外部、合作伙伴等客户提供业务交互和数据交换,因此数据中心的安全必须与业务系统实现融合,并且能够平滑的部署在网络中。
数据中心的安全建设中的主要思想之一就是层次化的分级安全,把IT的安全分成多个等级,划分不同的安全域,这与数据中心对安全的内在要求是相辅相成的。
在深入分析IT安全形势的基础上,H3C提出基于状态演进的安全模型,把IT的安全分成:
单机安全:
单机安全强调权限管理、病毒防护、数据备份
局部安全:
局部安全强调远程接入、入侵检测、安全融合、安全协作
深度安全:
深度安全强调容灾备份、深度抵御、安全审计、流量分析
统一安全:
统一安全强调风险管理、企业内控、统一规划、统一管理
随着安全状态的演进,安全向着应用智能的安全方向发展。
在任何情况下,信息只存在于三种状态之一:
计算:
计算是信息被创建、修改、删除、查询以及深度处理的过程。
通讯:
通讯是信息在不同的环境之间以及环境内部传递的过程。
存储:
信息被以某种形式临时或者永久性保存的过程。
安全的目标就是在保证数据在这三种状态下的安全。
信息的安全状态决定安全的策略,对于数据中心来讲,信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。
安全分区
安全策略的基础是基于业务的逻辑分区和安全域划分,数据中心业务安全分区的优势:
增加新功能区更容易
不同区域可实施不同的安全策略
每个分区按照需求可独立的扩展
发生故障易定位易恢复等优点。
因此,按照分区的思想,数据中心按照业务类型分为不同的逻辑区域,每个分区制定不
同的安全策略和信任模型,划分为不同安全级别的安全域。
从实际部署上看,又分成:
边界访问控制
深度智能防御
智能安全管理
1)边界访问控制
边界控制对数据中心是最基本的要求,控制各类用户对数据中心的访问。
H3CSecBladeII万兆防火墙与核心、汇聚交换机实现多业务集成,数据交互通过背板直接进行,具有高性能和高可靠的双重优势,避免交换机在线部署的性能瓶颈和单点故障;
与防火墙旁挂部署方式相比,又具有配置策略简单、不改变数据转发路径、流量转发过程清晰、部署维护简单等诸多优点。
2)深度智能防御
针对数据中心的各类DDoS攻击、木马、黑客入侵层出不穷,传统的IDS产品只能对部分事件进行检测,无法做到实时分析和防御,H3CIPS业界领先,以在线或者旁路的方式
部署在客户网络的关键路径上(可以实现在线防御,也可配置Layer2-back二层回退),通过对流经该关键路径上的网络数据流进行2到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,从而可为客户网络提供三大保护功能:
保护网络应用、保护网络基础设施、保护网络性能。
H3CIPS系列产品还具有强大、实用的带宽管理和URL过滤功能,可为客户带来IPS之外的更高附加价值。
3)智能安全管理
数据中心除了大量的网络设备在运行外,更多是各类服务器、操作系统之间的业务交互,海量的告警、监控、SNMP、WMI等消息不断的在网络中传播,必须要要对这些安全事件、网络事件、系统事件、应用事件进行统一的收集和管理,并通智能化的分析把原始数据转换、筛选为智能安全的有效信息。
H3CSecCenter可管理近100家主流厂家的安全与网络产品、1000+种报表的自动或手工生成、流量与攻击的实时监控、海量事件关联和威胁分析、安全审计分析与追踪溯源。
总之,H3C通讯安全目标是提供面向业务的端到端的安全保障,覆盖客户端、网络和数据中心的服务器和存储系统。
2.3应用智能之优化
随着Internet和用户业务的不断发展,Web应用已经成为服务器主要的数据处理任务。
HTTP协议用于在服务器和客户端之间传输基于Web的数据。
TCP协议则为HTTP提供有保障的连接和纠错功能。
TCP虽然是非常理想的传输机制,但它也存在缺点,在传输Web数据时,TCP协议消耗了大量的资源,导致服务器性能不佳。
数据中心的性能瓶颈日趋凸现,为了解决诸如此类的性能问题,出现了流量管理产品,比如能够深度识别和管理的P2P流量的路由器,产品工作在网络层解决数据传输中的应用优化问题;
负载均衡设备,产品的目标是解决服务器访问的瓶颈问题,但是这些产品不足以解决数据中心应用层的性能问题,因此H3C应用优化设备应运而生,它采用先进的连接管理技术进行TCP卸载和传输层端到端优化,考虑到SSL、压缩、加密等更多并发处理,极大的提高了数据中心的数据访问性能。
GETA;
GETB;
GETCGETA;
GETDGETC;
GETD;
GETEGETB;
GETEGETA;
GETCGETE;
GETCGETF;
GETE;
GETGGETF;
GETCGETC;
GETE服务器TCPSessionTCPSessionTCPSessionTCPSessionTCPSessionTCPSessionTCPSessionTCPSessionTCPSessionTCPSessionTCPSession
H3CSecPathASE系列产品是采用全硬件架构(NP+FPGA)设计的,通过不同的内置硬件模块实现TCP优化、内容压缩、负载均衡、SSL加速等技术,达到应用加速的目的。
使用ASE,可以为目前不堪重负的数据中心减轻过重的负载,同时ASE可以根据数据中心的具体需要,与其它产品配合形成一体化解决方案。
SecPathASE产品的应用场景如下图所示:
ASE将web加速、SSL卸载和加速、压缩、TCP优化、负载均衡、防DDos攻击等技术集成在一个硬件平台上,并且每个功能模块都是由专有的硬件芯片运行。
利用全硬件加速处理技术来帮助企业提高应用性能,最大可使Web服务器的性能提升10倍。
同时,SecPathASE还可以提供高可用性负载均衡、快速与超智能的第4-7层交换、精细的互动控制以及其它诸多特性,为数据中心网络提供最好的保护。
ASE在客户端和服务器中间扮演了双重角色,面对客户端时,ASE表现为一个服务器;
而在面对服务器时,它表现为一个客户端。
面对客户端时,ASE的职责是处理所有的客户端连接,它专注于处理由客户端发起的连接请求并维护这些连接;
面对服务器时,ASE创建了少量但长期的连接到服务器,并重复利用这些连接不断传递新的对象数据。
GETCGETD;
GETFGETD;
GETCGETB;
GETFGETB;
GETFGETG;
GETB应用加速服务器
ASE使用各种算法来判断何时需要建立一个新的连接到服务器,或已有的连接何时需要延续。
使用ASE后,连接合并的优势就体现出来了:
1)ASE处理了所有客户端的连接,服务器不再需要创建和释放连接;
2)连接合并后,服务器只需要处理少量的TCP会话;
3)ASE屏蔽了各种方式的客户端WAN接入,避免了服务器受到延迟、冲突、丢包等客户端因素的影响;
4)ASE与服务器建立少量连接,传输大量对象,达到了最大资源利用。
同时ASE与服务器在一个局域网中,大大降低了客户端到服务器的延时,就好像将客户端搬到服务器的局域网中一样;
ASE连接和请求处理机制及其强大的处理能力能够保护服务器免于超载,使得服务器可以充分发挥其潜力,而由ASE处理高峰负荷。
SecPathASE的单臂部署方案
采用单臂模式,可以将ASE旁路部署在网络内部,不需要改变网络原有部署。
访问Web服务器资源的用户首先要被牵引到应用加速设备ASE上,连接终结后,ASE再与后台服务器进行服务请求。
SecPathASE系列单臂应用部署图
由于单臂模式无需改变网络环境,因此在大大提高应用运行速度的同时,也保证了应用的可靠性。
减少网络维护工作量和日常运营成本。
SecPathASE的在线部署方案
将ASE部署在服务器群前端,串行接入网络,为用户提供应用加速和负载均衡功能,实现对网络应用的性能提升。
SecPathASE系列在线应用部署图
在线部署ASE可以为用户提供一个应用加速通路,ASE对远程用户的连接进行终结,实现应用加速与负载均衡。
使用在线部署模式时,SecPathASE实现对非HTTP协议的透明转发,确保服务器上其他服务的正常应用。
同时访问Web服务器资源的用户访问的是应用加速设备,终端用户并没有与Web服务器直接连接,避免了后端服务器遭受DDOS攻击。
2.4应用智能之负载均衡
作为业务网络的心脏,数据中心面临着众多的挑战。
扩展性、灵活性、高性能、可靠性和安全性,无一不是对数据中心的要求。
尤其重要的一点是:
在访问请求急剧增长的时候,服务器仍要保证快速、稳定的传送应用到客户端。
如果不在数据中心配置负载均衡,将会导致服务器负载不均,部分负载很重的机器仍然不断的处理新来的业务请求,出现性能下降、响应时间变慢,甚至出现宕机。
而其它的服务器可能长期处于轻载或空闲状态,导致数据中心整体性能不高、资源利用率不高、整体投资得不到保证。
配置负载均衡后,将解决服务器任务调度和资源占用不均衡的状态,提高性能的同时提高业务系统的整体鲁棒性。