虚拟化数据中心解决中心建议方案.docx

1、虚拟化数据中心解决中心建议方案XXXX虚拟化数据中心解决方案版本：V1.1日期：2012/10/26目录一、VMWare公司简介及解决方案综述 11.1. VMware公司简介 11.2. 虚拟化架构的优势 1二、虚拟化数据中心方案设计 32.1、需求分析 32.2、方案介绍 42.2.1、现状分析 42.2.2、服务器虚拟化方案介绍 42.4.3、虚拟化下服务器安全建议 152.2.4、虚拟化下系统及数据保护建议 182.3、方案优势 23三、成本分析 243.1、计算方法 243.2、虚拟化前、后对比分析 243.3、实例分析 253.4、服务器及存储的要求 26四、费用预算 27一、VM

2、Ware公司简介及解决方案综述1.1. VMware公司简介VMware公司成立于1998年，它将虚拟机技术引入到工业标准计算机系统中。VMware在1999年，首次交付了它的第一套产品，VMware Workstation，在2001年，通过发布VMware GSX服务器和VMware ESX服务器而进入了企业服务器的市场领域。2003年，随着具有开创意义的VMware VirtualCenter和VMware VMotion技术的破土而出，VMware通过引入一系列数据中心级的新功能，建立了在虚拟化技术领域中的领导地位。在2004年，VMware又通过发布VMware ACE产品进一步将这

3、种虚拟架构的能力延伸到企业级的桌面系统中。在2005年发布的VMware Player，以及在2006年早期发布的VMware Server产品，使得VMware第一个将免费的具有商业级可用性的虚拟化产品引入到那些新进入虚拟化世界的用户中。在2006年6月发布的最新的VMware Infrastructure 3，成为行业里第一套完整的虚拟架构套件，在一个集成的软件包中，包含了最全面的虚拟化技术、管理、资源优化、应用可用性以及自动化的操作能力。当前，全球有超过10万个公司用户，涵盖各行各业、大中小企业等正在应用着VMware公司的软件，包括100%的Fortune 100公司。通过部署VMwa

4、re软件以应对复杂的商业挑战，如资源的利用率和可用性，用户已经明显体验到它所带来的巨大效益，包括降低了整体拥有成本（TCO），高投资回报和增强了对他们的用户的服务水准等。1.2. 虚拟化架构的优势在一个虚拟架构中，用户可以把资源看成是专属于他们的，而管理员则可在企业范围内管理和优化整个资源。VMware的虚拟架构可以通过增加效率、灵活性和响应能力来降低企业的IT花费。管理一个虚拟架构可以让IT部门更快的连接和管理资源，以满足商业所需。虚拟架构可以让IT部门达成以下目标：实现35%-75% TCO的节省：通过将整合多个物理服务器到一个物理服务器降低40软件硬件成本；整合比：生产环境10-15 :

5、 1，开发测试环境15-20 : 1；每个服务器的平均利用率从5-15%提高到60%-80%；降低70-80%运营成本，包括数据中心空间、机柜、网线，耗电量，冷气空调和人力成本。提高运营效率：部署时间从小时级到分钟级，服务器重建和应用加载时间从 20-40 hrs =15-30 min，每年节省10,000 人/小时（300台服务器）；以前硬件维护需要之前的数天/周的变更管理准备和1 - 3小时维护窗口，现在可以进行零宕机硬件维护和升级。提高服务水平：帮助您的企业建立业务和IT资源之间的关系，使IT和业务优先级对应；将所有服务器作为大的资源统一进行管理，并按需自动进行动态资源调配；无中断的按需

6、扩容。旧硬件和操作系统的投资保护：不再担心旧系统的兼容性，维护和升级等一系列问题。二、虚拟化数据中心方案设计2.1、需求分析XXXX正在计划实施应用服务器整合项目，如果按照传统的应用部署方式：一个应用一台服务器的话，应用越多，所需要的服务器也越多。以30个应用为例，共需要部署30台服务器，如此数量的服务器，将会造成如下的问题：1、成本高 硬件成本较高。 运营和维护成本高，包括数据中心空间、机柜、网线、耗电量、空调和人力成本等。2、可用性低 可用性低，因为每个服务器都是单机，如果都配置为双机模式成本更高。 系统维护和升级或者扩容时候需要停机进行，造成应用中断。3、缺乏可管理性 数量太多难以管理，

7、新服务器和应用的部署时间长，大大降低服务器重建和应用加载时间。 硬件维护需要数天/周的变更管理准备和数小时的维护窗口。4、兼容性差 系统和应用迁移到新的硬件需要和旧系统兼容的系统。5、安全保障差 没有统一的服务器安全防护产品，面对日益严重的网络安全问题无能为力。 对系统和数据没有快速有效的恢复机制，一旦出现数据丢失会给XXXX正常运营带来风险。2.2、方案介绍2.2.1、现状分析XXXX现有服务器XX台，存储系统XX。根据XXXX的IT现状以及与IT管理人员的沟通，目前XXXX的IT基础架构存在以下问题： 系统资源利用率低：根据长时间的观察，XXXX绝大多数的基于X86架构的PC服务器CPU利

8、用率非常低，在5左右，浪费了大量的计算资源，并且服务器不能进行集中管理； 系统的可用性存在严重隐患：目前为保证系统的高可用性而采用的Cluster技术具有较多的局限性：一是最多只能管理3台设备，二是需要在故障时进行手工切换，有较长的停机时间，并且由于所采用的Cluster技术局限，不能保证在任何情况下都能切换成功，这将严重影响系统的可用性！除此以外，支撑其它应用的系统都处于单机工作状态，没有任何的高可用保证手段，一旦出现故障，应用将停机。 传统分散式布局的服务器和存储架构维护不便，维护成本较高，不同的业务系统之间在资源利用上不能共享和平衡。 无法直观了解各应用物理的健康状态、资源状态，无法为今

9、后系统扩容提供准确的数据依据。同时，在新的基础架构建设中，建议除解决上述问题外，还需要考虑以下问题： 如何更有效的管理服务器，监控服务器的运行状态。 服务器数量日益增长，如何做好服务器的系统和数据备份与容灾，如何保障快速地恢复。业务系统如何迁移到新硬件上面，并保证业务系统的稳定、安全。 如何保证业务的连续运行及数据的安全迁移，未来越来越多的新业务系统，如何保证稳定运行与可扩展性，可迁移性。2.2.2、服务器虚拟化方案介绍2.2.2.1、概述随着XXXX业务的快速的发展，上述问题日益凸显。在未来还会有更多的应用系统需要上线使用，界时将会有更多的服务器投入使用，面对服务器数量激增，业务连续性成本居

10、高不下，运维管理难度不断提升等诸多问题，必须构建一套功能齐全、设备先进、运行高效、使用灵活、维护方便、易于扩展、投资省、高安全可靠的信息化平台，优化整个业务系统的运行系统与支撑系统，以满足未来XXXX系统信息化建设的发展要求。为实现上述目标，我们建议采用VMware公司的服务器整合解决方案。该方案将极大的提供服务器整合的效率，大幅度简化了服务器群管理的复杂性，提高了整体系统的可用性，同时还明显的减少了投资成本，实现“绿色”IT，具有很好的技术领先性和性价比，虚拟技术由于采用了将传统服务器应用程序环境封装成可移动的档案文件的技术，很容易实现业务的连续不间断运行，针对应用和访问量灵活部署，降低系统

11、总成本。根据XXXX的实际情况，对服务器整合建议通过新购高性能服务器、主流光纤通道磁盘阵列来进行。新购服务器数量：XX台。服务器配置建议如下：CPU：4路6核或以上内存：64GB或更高网卡：千兆位以太网卡4张或更多HBA卡：两张4张千兆位以太网卡分别用于虚拟机的应用网络、和vMotion等的心跳网络。每台服务器上都安装配置VMware虚拟架构套件，用于在单个物理服务器实体上，利用服务器强大的处理能力，生成多个虚拟服务器，每一个虚拟服务器，从功能、性能和操作方式上等同于传统的单台物理服务器，在每个虚拟服务器上，再安装配置Windows或Linux操作系统，进而再安装应用软件，这样以前的每个物理服

12、务器就变身成为VMware Infrastructure架构服务器上的虚拟机，从而大大提高资源利用率，降低成本，增强了系统和应用的可用性，提高系统的灵活性和快速响应，完美的实现了服务器虚拟架构的整合。为了实现vMotion、HA等高可用特性、集中备份，需要配置共享的存储阵列。若XXXX现有的光纤通道磁盘阵列还有足够的空间和性能冗余，可以采用现有的磁盘阵列。为保证对存储访问的可靠性，推荐每台物理服务器采用两张HBA卡，并通过冗余的光纤交换机组成SAN集中存储架构。由VMware虚拟架构套件生产出来的虚拟机的封装文件都存放在SAN存储阵列上。通过共享的SAN存储架构，可以最大化的发挥虚拟架构的优势

13、，在线地迁移正在运行的虚拟机（vMware VMotion），进行动态的资源管理（VMware DRS）、实现即插即用的数据中心，为以后的容灾提供扩展性和打下基础。为了集中管理和监控虚拟机、实现自动化以及简化资源调配，建议安装vCenter Server软件，对物理服务器及其上的虚拟服务器进行统一的管理。vCenter Server即可安装在物理服务器上，也可以安装在虚拟机上，VMware建议将vCenter Server安装在虚拟机上。为保证vCenter Server的管理性能和效率，建议在实际生产中不采用vCenter Server自带的MS-SQL Server Express版，而是

14、采用可管理较多数据的数据库，如MS-SQL Server 2008 R2。同时，为了满足管理人员实时了解物理服务器、虚拟机的工作负载、健康状态和容量状态的要求，建议配置运维管理软件vCenter Operations。vCenter Operations部署架构如下：vCenter Operations由VMware以虚拟机的形式提供，直接部署在VMware vSphere平台上即可。2.2.2.2、服务器虚拟化方案拓扑整体系统拓扑图：根据客户实际架构图替换以下机构图在采用双HBA卡、磁盘阵列双主机通道的情况下，每台SAN Switch将被虚拟化系统占用5个端口。虚拟化服务器内部结构图：XXX

15、X实施VMware虚拟化解决方案后，将改现有的IT运行模式，达到以下效果： 本次虚拟化整合以后，将目前的约XX台服务器减少至XX台左右。最终将会大大降低机房能耗，大大降低运营成本，为贵州省内的行政事业单位绿色IT建设做出表率和贡献。整合后空闲下来的服务器可用于开发、测试等非关键系统。 简化服务器群管理的复杂性，管理员只通过同一个虚拟主机管理系统，就可对所有的虚拟主机进行管理，同时虚拟主机管理软件能监控服务器CPU、内存使用情况，对于有服务器不正常工作时也会自动报警。 极大的缩短停机时间或实现零停机。当物理服务器出现故障时，所有在线的虚拟机都可以自动切换到其他物理服务器。 提高系统的灵活性。可以

16、根据虚拟化系统的负载情况，在物理服务器之间合理分布虚拟机，即虚拟化平台可以根据资源利用情况，在不同的物理之间实现虚拟机的在线迁移，无需停止业务系统应用。 提高新应用的部署上线效率。通过虚拟化的模板管理，可以在分钟级的时间单位内完成新应用上线。 主动、直观管理虚拟化平台，可用于显示当前虚拟基础架构中各节点（可以在vCenter级别，数据中心级别，集群级别，ESXi主机级别以及虚拟机级别上显示节点信息）的资源使用情况和资源需求情况，并以数字的形象直观地呈现负载的高低。 直观展现资源缺乏情况和与之关联的对象，包括需要调整的系统组件以及受到影响的对象。 显示性能问题并给出解决建议：如某个对象受到了影响

17、还是导致了问题；虚拟机的密度是否过大，是否应该迁移某些虚拟机到新的位置，是否缺少资源，是否存在配置问题，OS和应用程序层面是否需要进行调整等等。 健康状态分析和容量分析，自动学习虚拟化管理对象的行为特征，记录其在执行正常行为时的各项指标，当一项或多项指标出现异常时，及时向管理人员发出告警。 提高虚拟化环境资源利用率，可发现和回收低效率使用或未使用的容量，并预测未来资源使用情况，包括资源瓶颈和未来资源使用情况。2.2.2.3、虚拟化方案构成部分详细说明涉及到的软件与专业服务的情况：软件系统： XX个VMware 虚拟架构套件企业增强版使用授权； 1个VMware vCenter Manageme

18、nt Server使用授权; XX(25的整倍数)个虚拟机的vCenter Operation高级版使用授权(建议购买);专业服务（建议购买）： XX个人天的VMware原厂专业服务2.2.2.4、VMware ESXi Server介绍本方案的主体部分既是XX台安装了VMware ESXi Server的PC服务器。VMwareESXi Server是VMware虚拟架构套件vDatacenter的基础组成部分，是动态、自我优化的 IT 基础结构的基础。VMware ESXi Server是一个强健、经过生产验证的虚拟层，它直接安装在物理服务器的裸机上，将物理服务器上的处理器、内存、存储器和

19、网络资源抽象到多个虚拟机中。通过跨大量虚拟机共享硬件资源提高了硬件利用率并大大降低了资金和运营成本。通过高级资源管理、高可用性和安全功能提高了服务级别 - 对于资源密集型的应用程序也不例外。单台物理服务器配置多个虚拟服务器的性能依据。根据统计，对于传统的服务器应用方式，通常服务器的平均利用率在5-15%之间，而采用虚拟架构整合后，服务器的平均利用率可达到60%-80%。我们完全可以通过在4台高配置的双路四核或者2台高配置的四路四核服务器上创建30个虚拟服务器的方式，来完成传统方式需要30台的低配置的单路或双路服务器才能完成的工作，用户在降低成本的方式，还大大减少了环境的复杂性，降低了对机房环境

20、的需求，同时具有更灵活稳定的管理特性。采用VMware虚拟架构相比于传统单台服务器部署单一应用方式的另外一个好处是，可以充分满足不同应用对系统资源的不同要求，如有的应用只需要一个3.0 GHz CPU，512MB的内存就可以很好的运行，而有的高访问率、高吞吐量的应用则需要2个甚至是4个双核的CPU，8GB的内存才能保证稳定的运行，在传统方式下，往往不可能针对每一种应用来采购服务器，而是用一种或几种标准配置的服务器来统一采购，这样，势必会造成某些应用资源富裕，而另一些应用面临资源紧张的情况，且应用之间不能互相调配资源。采用虚拟架构后，由于每个虚拟机所需使用的系统资源都是由虚拟架构软件统一调配，这

21、种调配可以在虚拟机运行过程中在线的发挥作用，使得任何一个应用都可以有充分保证的资源来稳定运行，同时，该应用在此时用不到的资源又可以被其他更需要资源的应用临时借用过去，最大限度的提高了整体系统的资源利用率。每一台虚拟服务器都可以利用VMware 虚拟对称式多重处理 (SMP)技术，通过使单个虚拟机能够同时使用多个物理处理器，增强了虚拟机性能。作为一项独特的 VMware 功能，Virtual SMP 支持虚拟化需要多处理器和密集资源的企业应用程序（如数据库、企业资源计划和客户关系管理）。2.2.2.5、SAN集中存储实现虚拟服务器的文件共享方案中，我们建议采用SAN集中存储方式，这样可以将每个虚

22、拟机的文件系统创建在共享的SAN集中存储阵列上，VMware VMFS虚拟机文件系统，是一种高性能的群集文件系统，允许多个ESX Server 安装同时访问同一虚拟机存储。支持通过VMware VirtualCenter、VMware VMotion 技术、VMware DRS 和 VMware HA 提供的基于虚拟化的分布式基础结构服务0。由于VMware的虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件，通过将这些文件放在SAN存储阵列上的VMFS文件系统中，可以让不同服务器上的虚拟机都可以访问到该文件，从而消除了单点故障。2.2.2.6、虚拟架构环境的集中管理、

23、自动化及优化运行为了对服务器虚拟架构进行有效的管理和监控，方案中建议配置一台独立的Windows 2008服务器来做为vSphere 套件中的vCenter Server服务器，vCenter Server服务器为 IT 环境提供了集中化管理、操作自动化、资源优化和高可用性。基于虚拟化的分布式服务为数据中心提供了前所未有的响应能力、可维护性、效率和可靠性级别。以下vCenter Server附属产品提供了资源优化和高可用性特征。VirtualCenter 提供了管理任意规模的虚拟 IT 环境所需的最高级别的简便性、效率、安全性和可靠性。02.4.3、虚拟化下服务器安全建议随着重要应用运行在虚拟

24、服务器上，虚拟环境下也承载着重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会造访服务器系统。XXXX针对服务器采用集中管理、集中防护的措施，通过传统安全技术在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术各种安全产品开始被一个一个地加入到安全防线中来。目前XXXX为了降低硬件采购成本，提高服务器资源的利用率，引进服务器虚拟化技术对现有应用服务器的计算资源进行整合，使现有建立的安全防线面临挑战！服务器虚拟化后不但面临着传统物理实机的各种安全问题，同时由于虚拟系统之间的数据交换，以及共享的计算资源池，导致传统的安全技术手段很难针对虚拟系统提

25、供防护，另外使用传统安全技术的使用还带来更大计算资源的消耗和管理运维，导致与引入服务器虚拟化的初衷相违背。通过上一章节的威胁分析发现，为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手段为服务器提供安全加固。因为传统安全技术应用到虚拟服务器防护存在短板效应：任何一点疏忽，都会让XXXX整个信息系统的安全防线功亏一篑，带来经济和企业名誉的损失。更何况，这些被广泛传统安全产品虽然可以在物理网络层很好地保护服务器系统，但它们终究无法应对虚拟系统面临新的安全威胁，所以需要采用创新的安全技术才能完善XXXX信息安全防护体系的基础架构，同时具备对最新安全威胁的抵抗力，降低安全威胁出现到可以真正进

26、行防范的时间差，提高服务器的安全性和抗攻击能力，从而提供业务系统应用的可用性。趋势科技针对虚拟环境提供全新的信息安全防护方案DeepSecurity，通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护，并满足信息系统合规性审计要求。针对银行证券的服务器虚拟化面临的风险，建议采用趋势科技的虚拟化解决方案，构建虚拟化平台的基础架构多层次的综合防护。 病毒防护防护传统的病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机的操作系统中，在整合服务器虚拟化后，要实现针对病毒的实时防护，同样需要在虚拟主机的操作系统中安装防病毒Agen

27、t程序，但是服务器虚拟化的目的是整合资源，最大化的发挥服务器资源的利用率，而传统的防病毒技术需要在每个虚拟主机中安装程序，例如：一台服务器虚拟6台主机，传统方法将Agent需要安装6套，并且在制定扫描任务就需要消耗虚拟主机的计算资源，这种方式并没有达到节约计算资源的效果，反而增加了计算资源的消耗，并且在病毒库更新是带来更多的网络资源消耗。趋势科技针对虚拟化环境提供创新的方法解决防病毒程序带来的资源消耗问题，通过使用虚拟化层相关的API接口实现全面的病毒防护。由于XXXX为VMware虚拟化环境所以将针对这个系统进行描述，具体如下： 针对VMware虚拟系统，实现底层无代理病毒防护趋势科技针对V

28、Mware虚拟系统中通过VMshield接口实现针对虚拟系统和虚拟主机之间的全面防护，无需在虚拟主机的操作系统中安装Agent程序，即虚拟主机系统无代理方式实现实时的病毒防护，这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗，最大化利用计算资源的同时提供全面病毒的实时防护。 访问控制传统技术的防火墙技术常常以硬件形式存在，用于通过访问控制和安全区域间的划分，计算资源虚拟化后导致边界模糊，很多的信息交换在虚拟系统内部就实现了，而传统防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。趋势科技DeepSecurity防火墙提供全面基于

29、状态检测细粒度的访问控制功能，可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。DeepSecurity的防火墙同时支持各种泛洪攻击的识别和拦截。 入侵检测/防护同时在主机和网络层面进行入侵监测和预防，是当今信息安全基础设施建设的主要内容。然而，随着虚拟化技术的出现，许多安全专家意识到，传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中，像它们在传统企业网络系统中所做的那样。例如，由于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器，网络入侵监测可能会变得更加困难。类似地，内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中，尤

30、其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行，但是会消耗共享的资源，使得安装安全代理软件变得不那么理想。趋势科技DeepSecurity在 VMware的VMsafe接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”，这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。DeepSecurity除了提供传统IDS/IPS系统功能外，还提供虚拟环境中基于政策的（policy-based）监控和分析工具，使DeepSecurity更精确的流量监控、分析和访问控制，还能分析网络行为，为虚拟网络提供更高的安全性。趋势科技DeepSecurity同时虚拟系统中占用更少的资源，避免过度消耗宿主机的硬件能力。 虚拟补丁防护随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。趋势科技DeepSecurity通过虚拟补丁技术完全可