智慧校园云计算平台技术方案设计.pdf

智慧校园云计算智慧校园云计算系统系统技术方案书技术方案书XX 智慧校园云计算系统技术方案书1目目 录录1 概述31.1 高校信息化面临的挑战 31.2 云计算在高校的应用价值 42 智慧校园建设背景72.1 现状分析72.2 需求分析82.3 设计原则 102.4 建设模式分析113 智慧校园云计算系统设计133.1 整体架构设计133.2 计算资源池设计143.3 存储资源池设计163.4 网络资源池设计173.4.1 设计要点 173.4.2 组网架构 203.4.3 核心交换系统213.4.4 服务器与存储接入223.4.5 虚拟机接入233.5 安全资源池设计273.5.1 设计要点 273.5.2 网络边界安全防护283.5.3 虚拟机深度安全防护293.5.4 安全策略动态迁移313.6 虚拟化系统设计333.6.1 计算虚拟化333.6.2 网络虚拟化413.7 云管理系统设计463.7.1 云业务管理473.7.2 云网络管理533.1 推荐配置清单573.2 解决方案优势583.2.1 高效节能 58XX 智慧校园云计算系统技术方案书23.2.2 弹性可靠 593.2.3 标准融合 61XX 智慧校园云计算系统技术方案书31 概述概述1.1 高校信息化面临的挑战在传统的教育信息化建设过程中，基本上都按照“按需、逐个、独立”的建设原则，每一个应用系统都使用独立的服务器、独立的安全和管理标准、独立的数据库和独立的展现层，即烟囱式的孤岛架构。图 1 教育信息化的孤岛架构孤岛架构的缺点主要有：（1）高投入、难管理、低效率、高能耗、低可用问题当前教育信息化硬件配置现状一般是如下两种情况：普通应用系统，一台服务器安装一个应用系统；关键应用系统，如校园一卡通业务系统、OA 系统、云教学系统等，基于性能的考虑，通常以服务器（小型机或刀片服务器）和 SAN 存储连接方式为基础，一个应用系统部署在几台服务器上（应用服务器、数据库服务器），通过小型机或多组刀片来实现关键应用的部署。XX 智慧校园云计算系统技术方案书4第一种情况存在硬件资源浪费与硬件资源不足的问题。如果服务器性能很高，有资源剩余，但不能将多余的资源给其他应用系统使用，造成浪费；当应用高峰时，可能一台服务器资源不足，也无法从其它地方获取更多的硬件资源支持，造成应用瘫痪；第二种情况存在严重资源浪费问题。多台服务器为一个应用服务。应用系统动辄就有几十个（如教务管理、人事管理、办公、财务管理、固定资产管理、教学系统等），应用系统的建设需要大量的服务器来支撑。系统建成后，在实际使用中，有些应用系统一天可能只有少数人使用，使用的次数也很少；另外，这些应用系统的使用模式也非常有规律，如大部分用户的使用和访问集中在上班时间，非正常上班时间（晚上、节假日）利用率很低。在这些时间内，只有少数人偶尔使用 OA 系统、邮件系统等，大量的业务系统实际上处于空闲状态，CPU 和内存利用率不超过 15%，但支持这些应用系统正常运行的所有资源（服务器等硬件设备）需要不间断工作，大量的服务器硬件增加了维护难度和能耗成本。（2）低可靠性问题当任意一台服务器出现硬件故障或者软件故障时，则与本服务器相关的应用系统都不能使用，造成应用系统瘫痪。1.2 云计算在高校的应用价值云计算是一种基于网络的计算服务供给方式，它以跨越异构、动态流转的资源池为基础提供给客户可自治的服务，实现资源的按需分配、按量计费。云计算导致资源规模化、集中化，促进 IT 产业的进一步分工，让 IT 系统的建设和运维统一集中到云计算运营商处，普通用户都更加关注于自己的业务，从而提高了信息化建设的效率和弹性，促进社会和国家生产生活的集约化水平。云计算主要包含两个层次的含义：一是从被服务的客户端看：在云计算环境下，用户无需自建基础系统，可以更加专注于自己的业务。用户可按需获取网络上的资源，并按使用量付费。如同打开电灯用电，打开水龙头用水一样，而无需考虑是电从哪里来，水是哪家水厂的。二是从云计算后台看：云计算实现资源的集中化、规模化。能够实现对各类异构软硬件基础资源的兼容，如电网支持水电厂、火电厂、风电厂、核电厂等异构电厂并网；还能够实现资源的动态XX 智慧校园云计算系统技术方案书5流转，如西电东送，西气东输、南水北调等。支持异构资源和实现资源的动态流转，可以更好的利用资源，降低基础资源供应商的成本。云计算是能够提供动态资源池、虚拟化和高可用性的下一代计算模式，可以为用户提供“按需计算”服务。根据当前教育信息化的现状及发展趋势，云计算在教育行业将有极其重要的应用价值：（1）教育资源的优化整合对目前教育信息化的各种资源进行整合开发利用，充分挖掘潜力，提高资源的利用率。首先将分散在不同地域的教学园区的软硬件资源进行整合，提高其重复利用率，杜绝闲置和浪费现象，达到数据的标准统一、管理统一、维护统一，逐渐将校园网内各个分校、各个应用系统的数据动态及时地互联互通，彻底消除教育信息化中的信息孤岛，实现信息分散、动态采集，集中安全管理，共享应用。通过服务器虚拟化技术，将各种硬件及软件资源虚拟化成一个或多个资源池，并通过系统管理系统对这些虚拟资源进行智能的、自动化的管理和分配。（2）教育资源的服务提供通过多层次的自助服务门户为最终用户（即资源的使用者）提供数据及应用服务，资源使用者可以通过自助服务门户浏览和申请使用教育资源，并可以按自己的需要对资源进行下载、重新整合和展现。同时，教育应用开发商或资源提供者也可以通过自助服务门户上载教育应用或资源到教育私有云服务系统上，而教育云服务的运营者或管理者，可以通过该自助服务门户对用户、资源、计费进行统一管理。XX 智慧校园云计算系统技术方案书6图 2 教育云系统框架图首先，通过运行在服务器上的虚拟化内核软件，屏蔽底层异构硬件之间的差异性，消除上层客户操作系统对硬件设备及底层驱动的依赖，同时增强虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等功能。其次，通过虚拟化管理软件形成云计算资源管理系统，实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化管理，对上层应用提供自动化服务。其业务范围包括：虚拟计算、虚拟网络、虚拟存储、高可用性（High Availability，HA）、动态资源调度（Dynamic ResourceScheduling，DRS）、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。最后，通过云业务管理中心，将基础架构资源（包括计算、存储和网络）及其相关策略整合成虚拟数据中心资源池，并允许用户按需消费这些资源，从而构建安全的多租户混合云。其业务范围包括：组织（虚拟数据中心）、多租户数据和业务安全、云业务工作流、自助式服务门户、兼容OpenStack 的 REST API 接口等。XX 智慧校园云计算系统技术方案书72 智慧校园建设背景智慧校园建设背景2.1 现状分析XX 学院是江苏省首家高等信息职业技术学院，隶属于江苏省信息产业厅，是一所国有公办性质的全日制普通高等学校，座落于 XX 大学城内，占地 1048 亩。学院具有四十多年的办学历史。素有“江苏省信息产业人才培养重要基地”的美誉。学院自 1999 年升格为大学专科，是 XX 第一所具有国家统招资格的大专院校，2003 年学院整体入住大学城校区，成为大学城第一所入住的高校，由于办学历史长于同类院校，师资力量优越，所以 XX 信息学院一直被认为是 XX 实力最强，就业最好的的公办高职院校，2007 年被评为国家示范高职院校，就是所谓的高职 211，全国共 100 所，XX 仅此一所。XX学院校园网建设较早，采用传统的IT建设模式。基础网络由接入、汇聚、核心组成的三层物理架构，链路带宽为百兆接入，千兆骨干。其中，核心交换机为一台Cisco C6509，在图书馆、教学楼、实训楼和学生公寓均部署了Cisco C4506作接入交换机的区域汇聚；校园网出口拥有两条，分别为200MB中国电信和1000MB教育科研网，通过千兆防火墙进行安全隔离；全校大部分场所部署了无线信号，实现了校园无线网络基本覆盖；服务器区目前拥有各种服务器19台，主要服役服务器13台，其中12刀IBM BCH刀片服务器，6刀物理机运行数字化校园网服务数据库，另外6刀部署虚拟化（Vmware），共配置50台虚拟机，在运行的虚拟机有30台，高端应用8CPU/每虚拟机，8G内存/每虚拟机；数据存储共74T，其中采用了48T 的HP存储和24T 的IBM存储，均为FC SAN。XX 智慧校园云计算系统技术方案书8图 3 XX 学院校园网拓扑架构2.2 需求分析XX 学院信息化在基础设施和应用系统建设方面取得了很大的成绩，但是在其建设当中，IT 资源部署方式仍然是按照应用进行物理的划分，这种部署方式可能存在以下风险和挑战：资源利用率低由于应用与资源绑定，每个应用都需要按照其峰值业务量进行资源的配置，这导致在大部分时间许多资源都处于闲置状态，不仅造成服务器的资源利用率较低，而且对资源的共享、数据的共享造成了天然的障碍。运维成本高随着学校新应用系统的增加，服务器、网络和存储的设备数量也会出现迅速的膨胀，在传统的数据中心建设模式下，会造成占地空间、电力供应、散热制冷和维护成本的急剧上升，为学校长远的 IT 投入和运维带来挑战。XX 智慧校园云计算系统技术方案书9业务部署缓慢在传统的模式下，学校的各个部门如果要部署新的业务，那么在提交变更请求与进行运营变更之间存在较大延迟，每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作，使得业务的部署极为缓慢。管理策略分散当前的 IT 资源运维管理缺乏统计的集中化 IT 构建策略，无法对信息化校园网数据中心的基础设施进行监控、管理、报告和远程访问，IT 管理策略分散。XX学院的校园网数据中心作为学校教学和日常管理等关键业务正常运行的系统和进一步发展的基石，其随着学校的不断发展，其对承载的关键业务、核心应用，对于信息数据的完整性、业务运行的可靠性、网络系统的可用性的要求越来越高，因此，要求其必须拥有更强的 IT 服务能力，保持高效稳定的运行，数据中心的升级建设势在必行。目前 IT 信息技术已经延伸到学校的各个层面，从学校角度看，云计算有利于整合信息资源，实现信息共享，促进学校教学和科研水平的发展。从用户角度看，利用云计算可以独立实现或享受某一项具体的业务和服务。因此云计算将在高校的 IT 政策和战略中正扮演越来越重要的角色。本次方案设计，拟通过升级和改造 XX 学院数据中心基础设施，优化业务管理流程，建设一张“随需而动”的智慧校园数据中心，未来的核心业务涵盖如下范围：以“统规、统建、统维”思想为指导，以丰富的云基础设施，云存储，云安全和各类云服务共同构建 XX 学院 IaaS 云系统，服务于学校各级部门和科研机构。数据处理：具有海量数据的处理和分析。为学校各部门集中提供基础的信息处理能力，承接各部门的应用系统迁移和部署，实现相关云数据中心的资源整合、集中部署与统一管理。项目建设应从 XX 学院数据中心信息化发展方向以及发展现状出发，加强综合协调和统筹规划，借助现代、前沿的信息化技术，形成集成能力强、运作效率高和具有可持续发展能力的云数据中心多业务应用系统，真正为学校提供找得着、用得好、有保证的信息化服务。本方案将云数据中心“IT 基础设施”的“按需使用”以及”自动化管理和调度”作为云计算的实践，形成可落地实施的、可持续发展的云计算系统，即 IaaS 云计算系统。XX 学院 IaaS 云系统的建设目标建议如下：XX 智慧校园云计算系统技术方案书10统一管理通过最新的云计算核心技术之一虚拟化技术，整合现有所有应用，整合内容包括 WEB、MAIL、FTP、域控管理、OA 系统、后台数据库等应用，将整个业务系统作统一的规划和部署，统一数据备份，从而形成自上向下的有效 IT 管理架构。强调整体方案的可扩展性、高可用性、易用性和易管理性采用最新的高性能高可靠服务器，保证整个硬件系统的可靠性和可用性，为用户的应用提供可靠的硬件保障；建设云计算系统，发挥云计算系统的优越性，为用户提供 HA 功能，保证用户业务系统的连续性和高可用性，让用户的业务实现零宕机风险；提供专业的管理软件，保证硬件系统和软件系统的可管理性，为用户节省管理投资成本。2.3 设计原则兼容与互通当前阶段，整个云计算产业还不够成熟，相关标准还不完善。为保证多厂商的良好兼容性，避免厂商技术锁定，方案的设计充分保证与第三方厂商设备保持良好的对接。此外，为保证方案的前瞻性，设备的选型应充分考虑对已有的云计算相关标准（如 EVB/802.1Qbg 等）的扩展支持能力，保证良好的先进性，以适应未来的技术发展。业务高可用云计算系统作为承载未来政务应用的重要 IT 基础设施，承担着稳定运行和业务创新的重任。伴随着数据与业务的集中，云计算系统的建设及运维给信息部门带来了巨大的压力，因此系统的建设从基础资源池（计算、存储、网络）、虚拟化系统、云系统等多个层面充分考虑业务的高可用，基础单元出现故障后业务应用能够迅速进行切换与迁移，用户无感知，保证业务的连续性。统一管理与自动化云计算的最终目标是要实现系统的按需运营，多种服务的开通，而这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、工作流管理、自助 Portal 界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，因此统一管理与自动化将成为必然趋势。XX 智慧校园云计算系统技术方案书11开放接口传统的管理系统与上层系统对接，注重故障的上报和信息的查询。而云计算的管理系统更关注如何实现自动化的部署，在接口方面更关注资源调度和分配，这就需要管理系统在业务调度方面实现开放。为保证服务器、存储、网络等资源能够被云计算运营系统良好的调度与管理，要求系统提供开放的 API 接口，云计算运营管理系统能够通过 API 接口、命令行脚本实现对设备的配置与策略下发联动。同时云系统也提供开放的 API 接口，未来可以基础这些接口进行二次定制开放，将云管理系统与教育网应用相融合，实现面向云计算的教育应用管理系统。2.4 建设模式分析在信息化发展加速的今天，小企业开始建立自己的信息系统，通过租赁云计算数据中心可以投资，并以少量的专业 IT 人员实现信息化。但对于具有成熟应用是大中型企业机构，租赁数据中心终究需要依赖于第三方机构，业务部署灵活性较差，安全性无法得到有效保证。因此，建议基于自身业务和发展目标，整体规划、分步实施、统筹协调，进行云计算系统的自建，以充分保证应用系统支撑系统的可靠性和安全性。自建云计算数据中心：用户可以根据自身业务需要，定制化的建设适合自身业务承载系统，从基础承载网、计算资源、存储资源和业务系统等多方面得到准确控制，保证系统的高可靠性和高性能；也可基于自身业务出发，开发出支撑新业务的应用系统，通过资源的自动调度，满足多种业务上线测试的需求。租赁云计算数据中心：可以减少初期投资与运营成本，降低风险。用户不必进行硬件的基础投资和购买昂贵的软件版权，只需根据需求租赁相应的硬件、软件，并根据使用情况来付费。两种模式对比如下：自建自建租赁租赁总体投资同等同等初期投资较多较少建设模式自主设计、自主建设租赁既有的基础设施基础设施管理自主管理依赖于第三方可靠性可靠较为可靠安全性安全较为安全扩展性根据自身业务发展，灵活扩展申请扩展，受限于第三方响应XX 智慧校园云计算系统技术方案书12能力灵活性灵活，根据自身业务灵活调整业务部署不灵活，受限于第三方基础设施模型维护维护工作量较大，既要维护基础系统，又要维护业务系统只需维护业务系统，基础设施维护由第三方完成从以上对比来看，建议自建智慧校园的云计算系统。XX 智慧校园云计算系统技术方案书133 智慧校园云计算智慧校园云计算系统系统设计设计3.1 整体架构设计根据本期工程的需求和建设目标，保持 XX 学院校园网整体拓扑基本不变，在整合现有资源的基础上，新建云计算系统，拉通后台资源，实现统一管理，构建立体的安全防护体系，为智慧校园应用提供坚实的基础 IaaS 系统。下图为整合之后的智慧校园 IT 整体架构：图 4 整体解决方案拓扑图XX 学院的 IaaS 云系统总体逻辑拓扑结构如下图所示。整个系统由计算资源池、网络资源池、存储资源池、安全资源池、虚拟化系统和云管理系统六个部分组成，物理组网拓扑如下：XX 智慧校园云计算系统技术方案书14图 5 IaaS 云系统组网拓扑图3.2 计算资源池设计服务器是云计算系统的核心，其承担着云计算系统的“计算”功能。对于云计算系统上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的计算资源池。在这个计算资源池上，再安装虚拟化软件，使得其计算资源能以虚拟机的方式被不同的应用使用。此次云系统新增的计算资源池建议采用 HP/H3C 最新技术的 BladeSystem 刀片式服务器，每台 10U高的 C8000 刀片机箱中可以集中部署 8 片高性能的两路刀片服务器 B260 或部署 16 片高密双路刀片，用于集中部署虚拟化资源。C8000 还带有一个共享的 5TB/s 高速 NonStop 中央背板，可将刀片服务器轻松连接到网络和共享存储。电源由一个集中的电源背板提供，以确保所有刀片服务器都能获得它们所需的电能，在实现冗余的同时提供最高的配置灵活性。刀片系统 C8000 机箱可提供模块化服务器、互连和存储组件当前和未来几年所需的电力、散热能力及I/O 基础设施。该机柜 10U 高，可容纳 16 台服务器和/或存储刀片，以及可选的冗余网络和存储互连模块。它包括一个共享的每秒 5 TB 高速 NonStop 中间板，可将刀片服务器一次性连接到网络和共享存储设备。电源通过一个集中电源的背板提供，确保所有刀片服务器都能使用全部的电源，从而获得最大的灵活性和冗余。可灵活选择单相、三相交流电和 48 伏直流电输入。XX 智慧校园云计算系统技术方案书15刀片 Server 采用 FlexServer B260 全新高密度服务器，可在单倍宽度和全高外形提供两路性能和功能。FlexServer B260 刀片服务器支持客户整合服务器及重新规划宝贵的机柜空间，进一步缓解了数据中心的服务器数量激增并降低了总体拥有成本(TCO)。FlexServer B260 服务器系列是虚拟化、数据库、业务XX 智慧校园云计算系统技术方案书16处理、决策支持、高性能计算(HPC)和一般两路数据密集型应用的理想选择，在这些情形中，数据中心的空间效率和性价比都非常重要。支持高密度和经济高效的英特尔至强 5500 或 5600 系列处理器，FlexServer B260 服务器具出色的性能、可升级和可扩展性，成为数据中心计算的标准。可在一个半高刀片内，插入 2 个处理器、2 个热插拔硬盘、384 GB 内存以及 1 个双端口 FlexFabric 适配器，同时支持 IT 经理通过单一系统，处理各种业务应用。高达 2 个双核、4 核或 6 核英特尔 至强 5500 或 5600 系列处理器 12 个 DIMM 插槽，支持带有高级 ECC 功能的 384 GB DDR-3 内存 用于硬件 RAID 0 和 1 的惠普智能阵列 P410i 控制器，可以利用可选的高速缓存模块提高设备性能 多达两(2)块小型(SFF)SAS、SATA 或 SSD 热插拔硬盘 内置 USB 和 SD 卡插槽支持简单、灵活的管理程序部署 嵌入式双端口 10 Gb FlexFabric 适配器，可满足网络密集型应用程序的高带宽要求 通过同一灵活连接，融合局域网和存储区域网的流量，简化管理，降低基础设施成本 多达八(8)个到网络和存储设备的连接，无需附加夹层卡 分配和调整网络和存储带宽，以满足应用程序需求3.3 存储资源池设计H3C CAS 云计算管理系统中的存储用于保存虚拟机的操作系统、应用程序文件、配置文件以及与活动相关的其它数据，是虚拟机正常工作的基本前提条件。根据存储的种类不同，可以分为本地存储和共享存储两种。在部署了 H3C CAS 云计算管理系统，并将主机作为被管理资源对象添加到 H3C CAS 云计算管理系统之后，该主机默认使用本地磁盘介质作为存储，其它主机不能使用。在数据中心中，很多用户选择使用共享存储来承载虚拟机及其数据，目前，H3C CAS 云计算管理系统支持 IP SAN 和 FC SAN 等类型的存储。采用共享存储的好处是：XX 智慧校园云计算系统技术方案书17共享存储往往比本地存储提供更好的 I/O 性能（尤其在多虚拟机环境下）。H3C CAS 云计算管理系统中的在线迁移和高可用性功能需要共享存储作为先决条件，例如HA 和动态资源调整等。H3C CAS 管理系统中的虚拟机文件系统是一种优化后的高性能集群文件系统，允许多个云计算节点同时访问同一虚拟机存储。由于虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件，通过将这些文件放在 SAN 存储阵列上的文件系统中，可以让不同服务器上的虚拟机都可以访问到该文件，从而消除了单点故障。为了实现数据的集中存储、集中备份以及充分利用 H3C CAS 虚拟架构中虚拟机可动态在线从一台物理服务器迁移到另一台物理服务器上的特性等，在存储区配置 1 套 HP P4500 G2 SAN，同时配置冗余的存储接入交换机，组成标准的 IP SAN 集中存储架构。采用 1 台 HP P4500 G2 SAN 存储阵列，统一存放虚拟机镜像文件和业务系统数据，这样做不会在运行虚拟机的云计算计算节点主机上引起任何额外的负载。图 6 存储资源池设计3.4 网络资源池设计3.4.1 设计要点云计算数据中心基础网络是云业务数据的传输通道，将数据的计算和数据存储有机的结合在一起。为保证云业务的高可用、易扩展、易管理，云计算数据中心网络架构设计关注重点如下：高可用性XX 智慧校园云计算系统技术方案书18网络的高可用是业务高可用的基本保证，在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关键网络设备之间的物理链路采用双路冗余连接，按照负载均衡方式或 active-active 方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到 99.999%的电信级可靠性。基础网络从核心层到接入层均部署 H3C 的 IRF2 技术，可以实现数据中心级交换机的虚拟化，不仅网络容量可以平滑扩展，更可以简化网络拓扑结构，大大提高整网的可靠性，使得整网的保护倒换时间从原来的 510 秒缩短到 50ms 以内，达到电信级的可靠性要求。作为未来网络的核心，要求核心交换区设备具有高可靠性，优先选用采用交换引擎与路由引擎物理分离设计的设备，从而在硬件的体系结构上达到数据中心级的高可靠性。本次项目核心设备采用 H3C S12500数据中心级核心交换机、接入设备采用 H3C S5820V2 数据中心级接入交换机，设备组件层面充分保证高可靠。如下图所示：大二层网络部署云计算数据中心内服务器虚拟化已是一种趋势，而虚拟机的迁移则是一种必然，目前业内的几种虚拟化软件要做到热迁移时都是均需要二层网络的支撑，随着未来计算资源池的不断扩展，二层网络的范围也将同步扩大，甚至需要跨数据中心部署大二层网络。大规模部暑二层网络则带来一个必然的问题就是二层环路问题，而传统解决二层网络环路问题的 STP 协议无法满足云计算数据中心所要求的快收敛，同时会带来协议部署及运维管理的复杂度增加。本次方案中通过部署 H3C IRF2 虚拟化技术实现两台或多台同一层物理交换机虚拟成一台逻辑设备，通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部XX 智慧校园云计算系统技术方案书19暑 STP，同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一个，无需部署传统的 VRRP协议。在管理层面，通 IRF2 多虚一之后，管理的设备数量减少一半以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。如下图所示：网络安全融合云计算将所有资源进行虚拟化，从物理上存在多个用户访问同一个物理资源的问题，那么如何保证用户访问以及后台物理资源的安全隔离就成为了一个必须考虑的问题。另一方面由于网络变成了一个大的二层网络；以前的各个业务系统分而治之，各个业务系统都是在硬件方面进行了隔离，在每个系统之间做安全的防护可以保证安全的访问。所以在云计算环境下，所有的业务和用户的资源在物理上是融合的，这样就需要通过在网关层部署防火墙的设备，同时开启虚拟防火墙的功能，为每个业务进行安全的隔离和策略的部署。在传统的数据中心网络安全部署时，往往是网络与安全各自为战，在网络边界或关键节点串接安全设备(如 FW、IPS、LB 等)。随着数据中心部署的安全设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。本次方案中采用了 H3C SecBlade 安全插卡可直接插在H3C 交换机的业务槽位，通过交换机背板互连实现流量转发，共用交换机电源、风扇等基础部件。融合部署除了简化机房布线、节省机架空间、简化管理之外，还具备以下优点：互连带宽高互连带宽高。SecBlade 系列安全插卡采用背板总线与交换机进行互连，背板总线带宽一般可超过 40Gbps，相比传统的独立安全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本。XX 智慧校园云计算系统技术方案书20业务接口灵活。业务接口灵活。SecBlade 系列安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有 SecBlade 安全插卡时，交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无需担心安全业务接口不够而带来网络安全部署的局限性。性能平滑扩展。性能平滑扩展。当一台交换机上的一块 SecBlade 安全插卡的性能不够时，可以再插入一块或多块 SecBlade 插卡实现性能的平滑叠加。而且所有 SecBlade 插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。3.4.2 组网架构本次项目基础网络采用“扁平化”设计，核心层直接下联接入层，省去了中间汇聚层。随着网络交换技术的不断发展，交换机的端口接入密度也越来越高，“扁平化”组网的扩展性和密度已经能够很好的满足 XX 学院 IaaS 云系统服务器接入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下，扁平化二层架构更容易实现 VLAN 的大二层互通，满足虚拟机的部署和迁移。相比传统三层架构，扁平化二层架构可以大大简化网络的运维与管理。基础网络系统组织结构如下图所示：XX 智慧校园云计算系统技术方案书21网络的二、三层边界在核心层，安全部署在核心层；核心与接入层之间采用二层进行互联，实现大二层组网，在接入层构建计算和存储资源池，满足资源池内虚拟机可在任意位置的物理服务器上迁移与集群。采用 2 台 S12508 构建核心层，分别通过 10GE 链路与接入层、管理网交换机、校园网核心互连，未来此核心层将逐步演变成整网大核心，两台核心交换机部署 IRF 虚拟化。服务器区和存储区接入层分别采用 2 台 2 台 S5820V2，每台接入交换机与核心交换机采用10GE 链路交叉互连，每个区的两台接入交换机部署 IRF 虚拟化，与核心交换机实现跨设备链路捆绑，消除二层环路，并实现链路负载分担。利旧服务器区接入层利旧老接入交换机，通过万兆链路与云系统核心互联。分层分区设计思路：根据业务进行分区，分成计算区、存储区和管理区。计算、存储区域内二层互通，区域间 VLAN 隔离；根据每层工作特点分为核心层和接入层，网关部署在核心层。3.4.3 核心交换系统核心层由两台 H3C S12508 构建，负责整个云计算系统上应用业务数据的高速交换。核心交换机间及与服务器接入交换机、管理区接入交换机、校园网核心交换机间均采用万兆接口捆绑互联。核心交换机上部署 2-7 层的安全插卡，实现云计算业务的安全防护与流量分析。H3C S12500 是中国国内第一款 100G 系统交换机，支持未来 40GE 和 100GE 以太网标准，采用先进的 CLOS 多级多平面交换架构，独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大程度的提高XX 智慧校园云计算系统技术方案书22设备可靠性，同时为后续产品带宽的持续升级提供保证；整机可以提供 576 个万兆端口，提供高密度万兆接入能力；面对下一代数据中心突发流量，创新的采用了“分布式入口缓存”技术，可以实现数据 200ms缓存，满足数据中心、高性能计算等网络突发流量的要求；为了满足数据中心级网络高可靠、高可用、虚拟化的要求，S12500 采用创新 IRF2（第二代智能弹性架构）设计，将多台高端设备虚拟化为一台逻辑设备，同时支持独立的控制引擎、检测引擎、维护引擎，为系统提供强大的控制能力和 50ms 的高可靠保障。两台 S12508 部署 IRF2 虚拟化技术，简化路由协议运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2 互联链路采用 2*10GE 捆绑，保证高可靠及横向互访高带宽。3.4.4 服务器与存储接入采用两台 H3C S5820V2 万兆交换机，负责服务器网络接入，服务器配置双网卡 4 个千兆接口，其中两个千兆接口捆绑做业务流接口；并负责存储设备的网络接入，iSCSI 存储设备的网络接入采用万兆链路，接入交换机上对应的端口工作在万兆模式。S5820V2 系列交换机定位于下一代数据中心及云计算网络中的高密万兆接入，采用业界先进的硬件设计，最强的端口报文缓存能力，并支持丰富的数据中心特性，同时模块化的双电源、双风扇（前后/后前风道）设计大幅提升设备的可靠性；针对于数据中心大流量数据无阻塞传输的要求，S5820V2 交换机采用了专用的报文缓存芯片以提供强大的缓存能力，整机支持 3GB 数据报文缓存，配合先进的缓存调度机制可以保证设备缓存能力有效利用的最大化；S5820V2 系列交换机支持 EVB(Edge Virtual Bridging)，通过 VEPA(Virtual Ethernet Port Aggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理，不仅实现了虚拟机间流量转发，同时还解决了虚拟机流量监管、访问控制策略部署等问题；S5820V2 系列交换机支持 FCOE 和 TRILL（Transparent Interconnection of Lots of Links），允许 LAN和 FC SAN 的业务流量在同一个以太网中传送，加快了数据中心的整合步伐，并为构建大二层数据中心网络提供了良好的技术路线。丰富的数据中心特性、增强的 QOS 能力同 DCB（Data Center Bridging）相结合，使得 S5820V2 系列交换机成为构建未来数据中心网络的理想选择。两台 S5820V2 之间分别部署 IRF2 虚拟化技术，通过跨设备链路捆绑消除二层环路、简化管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2 互联链路采用 2*10GE 捆绑，保证高可靠及横向互访高带宽。XX 智慧校园云计算系统技术方案书233.4.5 虚拟机接入在虚拟化服务器中，虚拟以太网交换机是一个比较特殊的设备，具有重要的作用。虚拟机是通过虚拟交换机向外界提供服务的。在虚拟化的服务器中，每个虚拟机都变成了一台独立的逻辑服务器，它们之间的通信通过网络进行。每个虚拟机被分配了一个虚拟网卡（不同的虚拟机网卡有不同 MAC 地址）。为实现虚拟机之间以及虚拟机与外部网络的通信，必须存在一个“虚拟以太网交换机”以实现报文转发功能。IEEE 标准化组织将“虚拟以太网交换机”的正式英文名称命名为“Virtual Ethernet Bridge”，简称 VEB。图 7 传统的软件 VEB 转发模式在服务器上采用纯软件方式实现的 VEB 就是通常所说的“vSwitch”。vSwitch 是目前较为成熟的技术方案。在一个虚拟化的服务器上，VMM 为每个虚拟机创建一个虚拟网卡，每个虚拟网卡映射到 vSwitch的一个逻辑端口上，服务器的物理网卡对应到 vSwitch 与外部物理交换机相连的上行逻辑端口上。vSwitch 的引入，给云计算数据中心的运行带来了以下两大问题：（1）网络界面的模糊主机内分布着大量的网络功能部件 vSwitch，这些 vSwitch 的运行和部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这形成了专业技能支撑的不足，而网络操作人员一般只能管理物理网络设备、无法操作主机内 vSwitch，这就使得大量 vSwicth 具备的网络功能并不能发挥作用。此外，对于服务器内部虚拟机之间的数据交换，在 vSwitch 内有限执行，外部网络不可见，不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为 vSwitch 的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。（2）虚拟机的不可感知性XX 智慧校园云计算系统技术方案书24物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知，同时对虚拟机也无法进行实时网络定位，当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。为了解决上述问题，本次项目 H3C 的解决思路是将虚拟机的所有流量都引至外部接入交换机，此时因为所有的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决，此方案最典型的代表是 EVB 标准。IEEE 802.1Qbg Edge Virtual Bridging（EVB）是由 IEEE 802.1 工作组制定一个新标准，主要用于解决 vSwtich 的上述局限性，其核心思想是：将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理，即使同一台物理服务器虚拟机间的流量，也将发往外部物理交换机进行查表处理，之后再 180度掉头返回到物理服务器，形成了所谓的“发卡弯”转发模式，如下图所示：图 8 VEPA 转发模式EVB 标准具有如下的技术特点：借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，不但简化了网卡的设计，而且充分利用了外部交换机专用 ASIC 芯片的处理能力、减少了虚拟网络转发对 CPU 的开销；充分利用外部交换机既有的控制策略特性（ACL、QOS、端口安全等）实现整网端到端的策略统一部署；XX 智慧校园云计算系统技术方案书25充分利用外部交换机的既有特性增强虚拟机流量监管能力，如各种端口流量统计，NetStream、端口镜像等。EVB 标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。在 EVB 技术体系架构中，除了物理服务器和支持 EVB 标准的边缘接入交换机等基础 IT 架构之外，还需要定义两套管理系统，分别为 VMM（Virtual Machine Manager，虚拟机管理系统）和 NMS（NetworkManagement System，网络管理系统）。H3C 的 EVB VMM 和 NMS 分别对应 H3C CVM 虚拟化管理系统和 iMC VCM（Virtual Connection Manager，虚拟连接管理）组件。如下为 EVB 基本工作流程：图 9 H3C EVB 解决方案流图网络管理员在 iMC V