华为FusionShpere虚拟数据中心技术白皮书.docx
《华为FusionShpere虚拟数据中心技术白皮书.docx》由会员分享,可在线阅读,更多相关《华为FusionShpere虚拟数据中心技术白皮书.docx(26页珍藏版)》请在冰豆网上搜索。
华为FusionShpere虚拟数据中心技术白皮书
华为FusionSphere5.1
虚拟数据中心技术白皮书
文档版本
V1.0
发布日期
2015-04-30
华为技术有限公司
版权所有©华为技术有限公司2014。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
深圳市龙岗区坂田华为总部办公楼邮编:
518129
网址:
前言
概述
本文档介绍FusionSphere产品的虚拟数据中心能力。
读者对象
本文档主要适用于以下工程师:
●公司MKT、行销、渠道商在项目拓展中使用
符号约定
在本文中可能出现下列标志,它们所代表的含义如下。
符号
说明
用于警示紧急的危险情形,若不避免,将会导致人员死亡或严重的人身伤害。
用于警示潜在的危险情形,若不避免,可能会导致人员死亡或严重的人身伤害。
用于警示潜在的危险情形,若不避免,可能会导致中度或轻微的人身伤害。
用于传递设备或环境安全警示信息,若不避免,可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。
“注意”不涉及人身伤害。
用于突出重要/关键信息、最佳实践和小窍门等。
“说明”不是安全警示信息,不涉及人身、设备及环境伤害信息。
修改记录
修改记录累积了每次文档更新的说明。
最新版本的文档包含以前所有文档版本的更新内容。
文档版本V1.0(2014-09-05)
第一次正式发布。
前言ii
1什么是虚拟数据中心1
1.1用户故事1
1.2用户痛点1
1.3什么是虚拟数据中心技术2
2虚拟数据中心技术概览3
2.1虚拟数据中心技术都虚拟化了哪些网络设备3
2.2不同的部门间的网络是怎么隔离的4
2.3使用负载均衡进行流量分发5
2.4管理资源配额6
2.5如何从Internet访问VPC7
2.5.1弹性IP地址8
2.5.2NAPT8
2.5.3SNAT9
2.5.4VPN9
2.5.5VNC10
2.6确定需要创建哪些网络资源11
3怎么使用虚拟数据中心技术13
3.1典型三层网站13
3.2约束与限制14
3.2.1创建约束14
3.2.2删除约束17
4强大的小功能19
4.1Internet直通网络19
4.2SuperVLAN19
4.3安全组20
4.4浮动IP地址21
4.5双线机房21
5资源出租23
5.1北向接口23
5.2计量23
5.3Qos23
5.4出租模式24
5.4.1利用虚拟私有云作出租24
5.4.2利用虚拟数据中心作出租24
5.4.3虚拟主机出租24
6附录26
6.1支持的网络设备26
6.2支持静态注入的OS列表26
1什么是虚拟数据中心
1.1用户故事
王总,42岁,某中小型互联网公司IT部门主管。
他昨晚没有睡好。
昨天网上业务平台运行缓慢,并且在晚上8点左右出现了系统崩溃。
经过定位是因为秒杀活动导致系统瞬间过载,同时又坏了一台服务器,导致整个业务系统雪崩。
随着网上业务量增加,他们已经给这些服务器加了内存,又追加了两台高性能服务器,但是还是撑不住。
随着双11和圣诞新年的到来,订单量还在不断增长。
他们预计满足这些业务压力需要扩充至少20台4路服务器。
随之而来的是汇聚交换机的口也不够了,机房空间还够但是供电比较紧张了。
随着订单增加物流系统也需要扩容,这样供电也扛不住。
前天内服部门一台服务器宕了,发现是维修部的一台临时接入的便携机染毒了,在全网内发起了广播。
由于业务系统是和内服维修这些系统隔离的,幸好没有对业务造成影响。
内服部门说因为这个他们活没有做完必须加班,要求把他们的系统也隔离起来。
但是怎么可能给内服部门一台独立的防火墙呢?
防火墙那么贵。
前天手下一个熟手因为配置太复杂,撑不住离职了,这让王总一个头有两个大。
那家伙在离职信中说:
“根本不是我在管那些设备,是他们在管我。
我受够了。
”还好这个家伙走之前做了整理,什么IP分配表,VLAN分配表,组网图,路由配置等等都整理得清清楚楚。
但是怎么把网络配置管好,是个问题。
不解决管理复杂的问题,即使有新来的人接手,王总仍然没有把握。
问题多的时候,就说明需要转型了,不破不立。
世上没有最完美的系统,只有最合适的,这时候,王总需要云的技术来支撑他了。
1.2用户痛点
王总的问题不是个案,而是转型期企业IT一定会遇到的问题。
当IT设备规模及复杂度到达一定的程度时,量变引起质变,会带来大量的问题:
●IT基础设施的供给不能满足业务增长,总是滞后,导致业务发展受限;
●业务部门担心资源不足总是超量申请,造成资产闲置浪费;
●部门多,业务多,组网日渐复杂。
同一套路由交换设备需要满足不同业务部门的要求,配置复杂且不可追踪,牵一发动全身。
而且只有少数几个人知道怎么搞,靠人来管理又面临休假/离职这些情况。
●部门间网络不隔离,导致网络风险不可控。
这时,王总需要虚拟数据中心技术来协助他。
1.3什么是虚拟数据中心技术
虚拟数据中心其实不是什么很神秘的新技术,而是将云的理念落实到企业管理中的一种优秀实践。
众所周知,云计算的核心思想是通过虚拟化,标准化,自动化的基础设施及管理优秀实践,改变IT基础设施供给的模式。
虚拟数据中心技术也不例外,支持资源随需申请,弹性扩缩,自助服务等等这些云计算技术的通用能力。
除此之外,虚拟数据中心技术向最终用户提供一个虚拟的所见即所得的数据中心,其特点表现在:
●网络设备的虚拟化。
虚拟数据中心技术将防火墙,负载均衡器,二层网络,三层网关,DHCP,VPN这些设备虚拟化,向最终用户提供原子级的部件。
用户可以像搭积木一样搭建自己的网络。
由于使用了虚拟化技术,这些用户使用的都是虚拟设备。
●部门间隔离。
虚拟数据中心技术可以给不同的部门分配不同的网络,包括VLAN,IP地址段,甚至虚拟防火墙--这下内服部门满意了。
重要的是,这样不同的部门间是互相隔离的。
这样IT人员面对的是和多个独立的简单网络,而不是共用同一套网络设备的多个系统。
●资源分配可追溯。
所有分配出去的虚拟资源,以及VLAN,IP地址这些资源,都会被追踪记录下来,以便于管理及追溯。
●关键资源可管控。
公网IP地址,公网带宽,VPN这些稀缺资源,可以很好的被管理起来,随业务部门的需求分配。
●自服务。
虚拟数据中心技术使复杂的企业级IT变回简洁的小规模IT系统,就像企业刚开始创业时那样简单。
这样结合自服务门户,以及简单的培训,什么虚拟机管理,防火墙配置这些都可以交给各个部门的ITfuns们自己去维护了。
对于王总,他只需要安排每天例行检查设备故障情况,资源使用情况,分析系统热点及潜在风险进行事先预防。
而他自己也终于有空闲时间学习一下云计算的技术了。
2虚拟数据中心技术概览
2.1虚拟数据中心技术都虚拟化了哪些网络设备
看到王总已经喝着咖啡研究云计算了,您是不是也有些好奇,究竟我们都虚拟化了哪些网络设备,都能拿来干什么用。
我们虚拟化了如下的几类设备:
●虚拟的防火墙。
我们支持将物理防火墙设备虚拟化后,作为虚拟防火墙提供给最终用户使用。
用户就像使用自己的防火墙一样,可以配置ACL过滤规则。
●虚拟的软件三层网关。
借助华为软件虚拟网络技术,我们在一个很小规格的虚拟机(512M内存,2G硬盘,1核CPU)上集成了三层网关。
基于这个三层网关,您可以把一些小规模组网完全用软件来实现。
您所需要做的,就是为这个组网发放一台虚拟机,然后帮他们配置一下三层默认路由。
如果组网中有防火墙,路由指向防火墙。
●虚拟的硬件三层网关。
我们支持将物理防火墙设备虚拟化后,在虚拟防火墙上同时提供三层网关。
由于是硬件实现,其性能和可靠性要优于虚拟的三层网关设备。
●虚拟软件防火墙设备。
虚拟的NAT/NAPT/SNAT设备,目前还不支持ACL、VPN等高级特性。
这些能力集成在虚拟三层网关中,软件和硬件的网关都具备这些能力。
●虚拟的DHCP。
同样的,在一台很小规格的虚拟机(512M内存,2G硬盘,1核CPU)中,我们部署了DHCP服务。
您可以使用这个DHCP来分配IP地址。
这个DHCP是纳入我们的整体方案管理的,他会按您设定的规则来分配IP。
DHCP网卡通过trunk模式同时接收多个VLAN的DHCP请求,可以为多个子网提供DHCP服务。
●虚拟的软件负载均衡。
在一台很小规格的虚拟机(2G内存,2G硬盘,2核CPU)中,我们部署了软件负载均衡服务。
您可以使用这台软件的负载均衡来组成业务集群。
●虚拟的硬件负载均衡。
我们支持将F5物理负载均衡器虚拟化为虚拟负载均衡。
这样您就可以将一套F5设备用在多个业务系统中。
●虚拟的VPN。
我们支持将物理防火墙设备虚拟化后,提供虚拟的IPSecVPN,用于将您企业内的已有网络与云上的网络打通。
结合云计算平台已经具备的虚拟交换机技术,我们可以很灵活的组装这些网络设备,就像搭积木一样。
对于大部份部件我们同时提供软件和硬件的备选方案,您尽可以在成本和性能,可靠性之间作权衡。
更重要的,他们是所见即所得的,并且所有的调整都不需要动物理设备连线。
忘记那些像被猫蹂躏过的线团一样的网线吧。
2.2不同的部门间的网络是怎么隔离的
在虚拟数据中心技术方案中,不同的部门,或不同的业务,可以使用独立的“VPC”来隔离。
一个VPC就是一个安全的网络环境,包括如下网络部件:
●一台虚拟防火墙;
●多个网络平面;
在虚拟数据中心方案中,网络平面分为如下三种:
●内部网络。
仅提供裸VLAN,可选支持IP地址管理。
不提供网关。
这种网络仅有二层,不提供三层访问的能力。
这种网络一般用于内部使用的,不允许与外部路由的网络。
●路由网络。
提供VLAN,IP地址管理,三层网关。
对于一个VPC下的所有路由网络,我们会自动打通这些路由网络之间的路由,这样方面您的不同路由网络下的虚拟机互相访问。
我们也会打通这些网关到虚拟防火墙的路由,以便于您使用时用防火墙作为VPC边界。
●直连网络。
提供将虚拟机直接接入到外部网路的能力。
部署到这个网络中的VM可以分配到外部的IP地址。
●外部网络。
所谓外部网络,就是网关和路由不在虚拟数据中心方案中管理的网络平面。
提供将您的虚拟机直接接入到外部网络的能力。
外部网络在虚拟数据中心方案中表现为一个独立VLAN,虚拟数据中心方案不管理这个VLAN上的IP地址分配/
当前支持的IP地址分配方案有两种:
●DHCP动态分配。
此时虚拟数据中心方案中会在一个VPC内部署一台软件的DHCP服务,用于向虚拟机提供IP地址分配。
虚拟数据中心方案已经做了IP地址到虚拟机的绑定,即虚拟机每次从DHCP服务请求到的IP地址总是固定的。
●静态注入。
借助虚拟化层的能力,虚拟数据中心方案可以在虚拟机创建时直接设定此虚拟机的IP地址。
受虚拟化层能力限制,并不是所有的操作系统都可以静态注入IP地址。
由于不同的VPC使用各自的DHCP进行管理,所以VPC之间的地址空间是可以重叠的。
这样就使得最终用户可以灵活的规划他的内部地址,而不受其他部门的干扰。
对于需要跨部门互通的情况,可以采用如下的方法:
●事先规划好。
事先为每个VPC规划一个网段作为全局互通的网段,然后通过路由器的配置实现互通。
●使用一个独立规划的外部网络。
2.3使用负载均衡进行流量分发
从internet进入到VPC内的流量,可以通过负载均衡器进行流量分发,您可以选择:
●虚拟的硬件负载均衡器
●虚拟的软件负载均衡器
对于负载均衡器,可以选择roundRobin或LeastConnections算法对网络服务的流量进行分发,提高业务的响应速度,并提供应用的可靠性。
您可以根据自己的业务情况和网络负载选择使用硬件或者软件的虚拟负载均衡器。
虚拟机硬件负载均衡器依赖于F5BIG-IPLTM系列负载均衡设备。
2.4管理资源配额
您可以通过VDC对企业内的不同应用可以使用的资源进行配额管理,包括CPU,内存,存储等。
●将资源虚拟化成VDC,业务管理员只需要关心多少资源可用(CPU,内存,存储),不关心应用使用的资源的具体部署。
●按应用分配资源,保证应用间资源使用不冲突。
●按硬件配置划分给不同的VDC,提供不同质量的资源给对应的应用。
使用VDC进行资源配额配置,可以方便的对系统内的资源进行整体的规划,提升运维能力,并达到对资源进行灵活部署的目的。
2.5如何从Internet访问VPC
从internet访问VPC内的机器,您可以有如下的选择:
●弹性IP。
此方法适用于将某台虚拟机暴露到互联网,用于对Internet提供服务。
●NAPT。
此方式适合于通过互联网连接到某台虚拟机,用于做维护操作。
●SNAT。
此方式适合于大量虚拟机匿名访问Internet的场景,比如远程调用第三方地图API之类。
●VPN。
此方式使得互联网上的机器通过VPN模式接入到VPC内,与VPC内的路由网络中的任何服务器互通。
●VNC。
VNC连接适用于远程管理网络无法到达,或网络还未启动就绪的虚拟机,用户体验较差。
下面对这五种方法逐一详解。
2.5.1弹性IP地址
弹性IP地址本身是一个公网IP地址,您可以动态的将该IP地址绑定到VPC内任何一个路由网络中的内部IP地址上。
这个地址可以是虚拟机的IP地址,虚拟负载均衡器的北向地址,也可以是一个不绑定到任何虚拟机的浮动IP。
此地址受VPC边界的虚拟防火墙保护,您可以针对该地址配置防火墙ACL规则。
同时,作为系统管理员,您也可以限制此地址的带宽。
此特性依赖于虚拟防火墙,无虚拟防火墙时无法使用。
2.5.2NAPT
NAPT一般用于从公网通过SSH/MSTSC/FTP等远程交互手段连接虚拟机时使用。
使用此方法可以连接到VPC内任何一个路由网络中的内部IP地址上的制定端口上。
这个地址可以是虚拟机的IP地址,虚拟负载均衡器的北向地址,也可以是一个不绑定到任何虚拟机的浮动IP。
此地址受VPC边界的虚拟防火墙保护,您需要合理的配置防火墙规则以避免您自己拦截了自己的请求。
此特性依赖于虚拟防火墙,无虚拟防火墙时无法使用。
2.5.3SNAT
对于仅需要单向访问Internet,不需要向Internet暴露服务的情况下,您可以使用SNAT。
SNAT允许您配置一个可路由网络,以及一个或一段公网IP地址。
配置后来自此可路由网络的Internet请求,在从VPC发出时,请求源端IP地址都会被映射到指定的公网IP地址。
这样Internet上的主机收到请求后,发回的响应就会依据SNAT配置的公网IP地址路由回来。
此路由网络受VPC边界的虚拟防火墙保护,您需要合理的配置防火墙规则以避免您自己拦截了自己的请求。
此特性依赖于虚拟防火墙,无虚拟防火墙时无法使用。
2.5.4VPN
当前支持IPsecVPN,支持client-server模式,以及server-server模式。
出于internet的用户可以使用client-server模式接入到VPC内,与VPC内的路由网络中的任何服务器互通。
Server-server模式用于在一个组织的多个网络之间建立安全隧道连接,打通网络。
移动设备远程接入网关用于在出差员工或AP之类的移动设备要远程访问一个IPSec网关,可以通过L2TPoverIPSec的方式,如下图所示。
此模式下主机侧需要有支持IPSec的客户端,网关侧需要支持IPSec。
采用L2TPoverIPSec方式接入IPSec网关
此特性依赖于虚拟防火墙,无虚拟防火墙时无法使用。
2.5.5VNC
VNC的用户体验比较差,一般说来只有这样的情况才需要使用:
●被连接的虚拟机不在路由网络内,无法使用弹性IP或NAPT进行连接;或
●被连接的虚拟机网络断连;或
●被连接的虚拟机未正常启动,系统卡死等网络功能不具备的情况;
VNC并不通过虚拟机提供的网络通道连接虚拟机,而是使用虚拟化平台提供的远程管控能力。
2.6确定需要创建哪些网络资源
系统提供了这么多功能,客户应该怎么用?
应该用哪些功能组合来满足自己的实际需求呢,我们给出了一个比较典型的网络决策流程供参考。
3怎么使用虚拟数据中心技术
3.1典型三层网站
我们可以使用上面的这些技术搭建一个典型的三层网站架构。
一个典型的三层网站包括如下三层:
●PortalServer
●AppServer
●数据库Server
部署这样一个网站,我们经过如下步骤:
●我们为这个网站创建一个独立的VPC,并为他的边界配置虚拟防火墙。
●我们需要为这个网站规划网络,需要两个可路由网络,网络A用于PortalServer,负载均衡器和AppServer,网络B用于数据库Server。
●我们创建一个PortalServer的虚拟机,放在子网A中。
●我们创建一个虚拟负载均衡器,也放在子网A中。
●我们创建三台AppServer的虚拟机,使用双网卡分别连接网络A和网络B。
●我们创建一台数据库Server的虚拟机,连接到网络B。
●我们在各个虚拟机和负载均衡上分别配置连接关系。
●我们为PortalServer申请一个弹性IP地址,并绑定。
结合FusionManager部件的弹性自动伸缩功能,还可以使此三层网站具备一定的弹性扩缩能力,使某一层的虚拟机数量随业务负载的变化而动态变化,从而动态的响应业务量的变化。
结合FusionManager的应用模板能力,您可以将此三层网站做成一个模板,然后利用此模板直接部署一个三层应用。
结合FusionSphere提供的数据备份方案,还可以为数据库虚拟机提供自定义策略的自动化备份方案,从而提升系统的可靠性。
3.2约束与限制
3.2.1创建约束
Øvlan池:
a、与zone下其他vlanpool中的vlan不能重复
b、与vsa管理网络,vtep网络所使用的vlan不能重复,从FC上发现上来的VTEP网络所使用的vlan不能重复。
Øvxlan池
a、vlanid为4096~16777215,vlanpool中的vlan在zone下不能重复。
Øvlan池关联dvs
a、vlanpool只能关联一个集群下的一个dvs
Øvsa网络(vsa管理网络,vtep网络):
a、VLAN号在同一个Zone下不能重复(本身不能重,也不能跟vlan池里面的vlan重复),不同的Zone之间可以重复
b、和zone下的其他vsa网络,外部网络以及VPC下的业务网络(内部网络、路由网络)子网不能有冲突,和GE上发现上来的VTEP子网不能重。
c、zone下的vsa管理网络的子网(子网IP、掩码)可以重复,不通的zone下不能冲突。
d、如果是vtep网络,则虚拟机化环境上必须有普通模式的DVS(只有普通网卡的主机才能支持vxlan,主机网卡类型体现在DVS上则为普通模式的DVS);
e、同一个zone下只能创建16个vsa网络
f、子网掩码最小只能为23位
安全组:
a、vpc所对应的VDC中必须有属于GE的集群
b、一个VPC下最多只能创建50个安全组
安全组成员:
a、VM所在的虚拟化环境必须为GE.
b、VM所属主机的网卡类型必须为普通网卡才能加入安全组(体现在DVS上,DVS的类型为普通模式)
c、vm网卡所在的网络所在的VPC和安全组所在的VPC相同
d、vm必须为稳态(running(运行中)、stopped(已停止)、hibernated(已休眠)、pause(已暂停))
Øvpc下申请硬件VFW
a、vpc所属的zone下必须接入物理防火墙,且物理防火墙上配置有vfw(vfw上还需要配置上行口,否则设置带宽会失败)
Øvpc下申请软件防火墙:
a、vpc所属zone下有能够连接到Internet,且子网的IP分配方式为静态注入,子网类型为普通的外部网络,且外部网络不能为安全网络。
b、vpc对应的zone下有可用的VSA管理网络,且vsa管理网络中的子网跟VSAM能够通。
c、如果需要支持vxlan,VPC对应的zone下还需要有vtep网络,且vtep网络跟FC上行链路口上的vtep能通。
d、有vsa逻辑模板
Øacl规则
必须有硬件VFW,域内acl必须有路由网络,域间acl需要有弹性IP,且路由网络,EIP和硬件防火墙所属的VPC必须是同一个(软件防火墙后续也会支持acl)
EIP:
a、硬件vfw下申请EIP时必须有IP带宽模板,硬件vfw所属vpc对应的zone下必须有公网IP池
b、软件vfw下申请EIP时,用于创建软件vfw的外部网络下必须有可用的IP,软件防火墙不支持设置IP带宽;
b、绑定EIP时,vm必须在路由网络下,且有IP;VM的网卡有了DNAT,则该网卡不能绑定EIP
Ødnat
b、vm必须在路由网络下,且有IP;VM的网卡绑定EIP,则该网卡则不能配置DNAT
snat
a、vpc下的路由网络才能开启snat
Ø直连网络
a、vpc所在的zone下必须有外部网络
b、普通子网和vlan类型的外部网络可以被zone下的多个vpc用来创建直连网络,但一个vpc只能使用一次
c、超级子网类型的外部网络的一个vlan只能被一个直连网络使用
d、安全类型的外部网络不能用于直连网络
Ø内部网络
a、有可用的dvs
b、dvs必须关联vlanpool,且vlanpool中有可用的vlan
c、如果ip分配方式为内部DHCP,需要vsa逻辑模板,如果网络在底层创建的不是trunk类型的portgroup(支持trunk,R3C10版本及一下的GE),则还需要vfw
d、如果创建子网类型的内部网络,则子网跟vpc下的业务网络IP不能重,跟vpc所在zone下的外部网络,vsa管理网络,vtep网络,以及公网IP池的IP不能重,vlan在zone下不能重复
e、如果是vlan类型的内部网络,vlan在vpc下可以重复。
Ø路由网络
a、vpc下需要申请虚拟防火墙
b、有可用的dvs
c、dvs必须关联vlanpool,且vlanpool中有可用的vlan
d、如果ip分配方式为内部dhcp,则还需要vsa逻辑模板
e、子网信息跟VPC下的其他业务网络IP不能重,跟vpc所在zone下的外部网络,vsa管理网络,vtep网络,以及公网IP池的的IP不能重。
f、子
升级会员 