云数据中心网络设计方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云数据中心网络设计方案
目录
一、项目背景 (2)
二、工程概述 (2)
三、数据中心网络设计 (4)
(一)网络结构 (4)
1、链路接入区 (5)
2、互联网接入区 (5)
3、互联网服务资源区 (6)
4、专网接入区 (6)
5、专网服务资源区 (7)
6、核心网络区 (7)
7、内网服务资源区 (8)
8、存储资源区 (8)
9、运维管理区 (9)
10、指挥中心接入区 (9)
11、物理整合区 (10)
(二)虚拟化组网 (10)
一、项目背景
根据区委、区政府主要领导批示,2014年11月我区启动了智慧城市战略发展顶层设计与规划工作。
经过几个月的努力,通过一系列调研、分析、设计与研讨,《智慧城市建设总体规划与三年行动计划》文稿形成(以下简称“《规划》”),并与相关部门进行了若干次的专题讨论。
根据各方意见修改后,《规划》于2015年4月中旬经区长办公会研究原则通过。
《规划》中指出“新建智慧城市云平台,与现有的“智慧华明”云平台共同支撑智慧应用系统建设。
按照“集约建设、集中部署”的原则,将新建的智慧应用系统直接部署在云平台,将各部门已建的非涉密业务系统和公共服务类应用系统逐步迁移至云平台,实现智慧应用在基础层面集中共享、信息层面协同整合、运行维护层面统一保障,有利于充分整合和利用信息化资源。
”
根据《规划》中的目标和原则,在“智慧城市”首期项目中与城市运行管理指挥中心同步进行云计算数据中心工程建设,数据中心为智慧城市的总体建设提供基于云计算技术的信息化基础设施,为智慧城市的各类业务应用提供稳定可靠的运行环境。
二、工程概述
云计算数据中心与城市运行管理指挥中心选址为同一
地点,位于城市开发区津塘路与五经路交口处的“帝达东谷国际—东谷中心2号楼2层”,位于该层西北侧区域,总共占用面积接近350平方米。
其中包含主机房、配电间、消防间、控制室等区域。
图 1 数据中心平面图
云计算数据中心是“智慧城市”的信息技术基础设施,不仅承载智慧城市首期项目的三个主要应用,还将为日后城市区的各类信息化应用提供稳定可靠高效的计算、存储、网络资源,以实现全区信息化基础资源的集中建设、集中管理、集约使用。
数据中心的网络连接包括互联网、政务网、其他专网,接入区文广局的光纤路由,以及三大运营商提供的固网和移动网络。
智慧城市云计算数据中心建设包括数据中心网络、云计算平台、安全系统、机房工程等部分,后续章节分项阐述。
三、数据中心网络设计
(一)网络结构
数据中心网络分为运营商链路设备区、互联网接入区,互联网服务资源区、核心网络区、内网资源服务区、专网接入区、专网服务资源区、存储资源区、物理资源整合区、本地用户接入区、运维管理区等几部分,每个区域间根据业务、功能的安全防护需求配备诸如防火墙等安全设备进行安全隔离,保证网络层面的安全访问控制。
以上分区同时也是机房物理分区的指导原则。
数据中心网络总体架构设计如下图。
1、链路接入区
外部网络与数据中心互联时对方设备的安放区域,包括了互联网链路及外单位专线链路。
拟同时接入中国移动、中国联通、中国电信三大运营商互联网线路,为每个运营商分配一个机柜以存放其相应设备。
由于该区域设备由运营商提供并配置,因此未在网络总体拓扑中予以具体体现。
专网链路接入目前设计包括政务外网、区技防网等,同样为外部专线链路设备指定安放区域。
2、互联网接入区
互联网接入区为接入互联网而配置的设备的安放区域,主要放置与运营商互联网接入设备进行互联的本方设备,如路由器、边界防火墙、IPS(入侵防御系统)、链路负载均衡等。
互联网接入区主要配置设备如下,关键设备配置两套,以保证可用性要求。
表 1 互联网接入区设备
3、互联网服务资源区
互联网服务资源区指为透过互联网向外提供服务和访问的智慧城市各类应用的部署区域,物理上集中放置一批服务器设备,并通过虚拟化技术将服务器进行计算资源的池化。
通过互联网进入数据中心的访问流量将被终结在此区域,此区域内的服务器若需要与内网资源进行数据上的交互,则可再经由一道防火墙进入核心网络区以访问内网资源。
互联网服务资源区主要配置设备如下。
表 2 互联网资源服务区设备
4、专网接入区
专网指其他政府部门、企事业单位的行业专网,通过专线与数据中心网络互联。
专网接入区主要放置与专网接入设备进行互联的本方设备,如边界防火墙等。
专网接入区配置两台扩展能力强的高性能防火墙,以集中专网接入的安全管理。
表 3 互联网接入区设备
5、专网服务资源区
专网服务资源区指为透过专网向外提供服务和访问的智慧城市各类应用的部署区域,物理上集中放置一批服务器设备,并通过虚拟化技术将服务器进行计算资源的池化。
通过专网进入数据中心的访问流量将被终结在此区域,此区域内的服务器若需要与内网资源进行数据上的交互,则可再经由一道防火墙进入核心网络区以访问内网资源。
专网服务资源区主要配置设备如下。
表 4 专网服务资源区设备
6、核心网络区
核心网络区是数据中心本地网络的核心区域,主要是核心交换设备以及安全管控设备。
核心网络区与互联网服务资源区、专网服务资源区、本地用户接入区、物理资源整合区、运维管理区相连接,均在连接间设置防火墙进行访问的安全控制。
因此外部用户需要经过两道防火墙才能进行数据中心核心网络访问本地资源。
核心网络区主要配置设备如下。
表 5 核心网络区设备
7、内网服务资源区
内网服务资源区指向本地用户提供服务和访问的智慧城市各类应用的部署区域,物理上集中放置一批服务器设备,并通过虚拟化技术将服务器进行计算资源的池化。
专网服务资源区主要配置设备如下。
表 6 内网服务资源区设备
8、存储资源区
数据中心的存储资源区设计根据存储的数据性质不同分为两大类:FC SAN和IP SAN,即光纤存储网络和IP存储网络。
前者适用于结构化数据的存储,如数据库;后者适用于非结构化的数据,如文件、图像、视频等。
FC SAN存储区域的设备主要包括:
表7 FC SAN存储区域设备
IP SAN存储区域的设备主要包括:
表8 IP SAN存储区域设备
9、运维管理区
所有对数据中心服务器的操作原则上都必须在专门的运维管理区进行操作,该区域既是网络上的概念,也对应于物理的房间(数据中心控制室)。
运维管理区直接接入核心网络区,可以访问数据中心网络上的所有设备和应用,因此运维管理区的物理安全要有严格的控制措施。
表9 运维管理区设备
10、指挥中心接入区
指挥中心本地用户和设备接入数据中心网络的区域。
该区域包括接入交换机、汇聚交换机,以及上网行为管理和防毒墙。
指挥中心网络布线配线架全部集中在数据中心
机房内指定的机柜,配线架经跳线连接接入交换机,接入交换机上联全千兆汇聚交换机。
汇聚交换机经防火墙连接核心交换,同时经防毒墙、上网行为管理等设备连接互联网接入区。
表10 指挥中心接入区
11、物理整合区
(二)虚拟化组网
在传统的网络中,为了加强网络的可靠性,一般在核心层将两台设备配置成双核心,双核心起到了冗余备份作用,但冗余的网络架构增加了网络设计和操作的复杂性,同时大量的备份链路也降低了网络资源的利用率,减少了网络的投资回报率。
虚拟交换架构的核心思想是将多台设备通过物理端口连接在一起,进行一些配置后,多台物理设备将虚拟化成一台设备,实现整个虚拟化系统中设备之间的信息共享及表项同步,实现了多台设备之间的协同工作、统一管理和不间断维护。
网络虚拟化系统整体性能及端口密度都得到了成倍的增长,突破了传统网络结构中单台核心设备的性能及端口密度限制,通过网络虚拟化技术,核心设备可以实现跨设备的链路聚合,与汇聚层设备或接入层设备通过聚合链路连接,在简化网络配置的同时,提高了网络连接的可靠性,保证了网络的稳定运行。
在本方案中,对于网络核心设备以及各区域接入设备,我们都采用网络虚拟化技术来进行组网,组网拓扑如下所示:
图 2 虚拟化组网技术
采用虚拟化技术来进行组网,具有以下优点:
➢高性能
虚拟化技术可以有效提高单台设备的带宽,多台设备组成虚拟化系统后,虚拟化系统的交换容量、包转发率及
端口密度是系统各成员之和,虚拟化系统性能得到了成倍的增长,满足了数据中心对核心交换设备的高性能及高端口密度要求。
➢高可靠性
通过虚拟化系统将多台设备虚拟成一台,可靠性大大增强,主控、电源均实现了N+1冗余备份,正常情况下,对外表现为一台设备,如果系统中某个成员发生故障,不会影响到其它成员的正常转发。
例如:如果是两台设备组成网络虚拟化系统,当一台设备出现故障时,虚拟化系统将自动分拆成两台独立的设备,另一台设备仍然能够正常转发。
虚拟化系统支持跨物理设备的链路聚合技术可以跨设备配置链路聚合,用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口。
通过端口聚合既可以实现流量的负载分担提高带宽,又能够进行互相备份。
➢简化管理
虚拟化系统从逻辑层面作为单一设备形态运行,和传统常见的提供冗余备份的VRRP+MSTP组网相比,管理简单,自动支持备份简化了网络配置,不需要配置VRRP这样的协议,所有协议分布式运行,方便网络管理员进行网络管理,提升了网络可靠性及可维护性。