云计算平台工程建设方案.pdf
《云计算平台工程建设方案.pdf》由会员分享,可在线阅读,更多相关《云计算平台工程建设方案.pdf(108页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、云计算平台工程建设方案基于本期XX单位XX云计算平台的建设思路一一搭建基 于 laaS层面的云计算平台,如何采用云计算技术建立动态的IT资源平台,并使之具备快速IT服务交付能力,进而通过动态的IT 架构来应对有关省直单位X X 业务发展的需要;将应用和业务从底层的IT资源中分离出来,提高系统的可移植性,并能够充分利用更加优化的系统和网络资源以提高效率、降低整体成本是本期建设方案需要重点解决的问题。为此,我们建议以XX应用系统为顶层架构来搭建XX单位XX云计算资源池,它是由计算资源池、存储资源池、网络资源池、X X 应用程序以及运营管理平台共同组成,运营管理平台负责对资源池和应用进行管理调度及告
2、警监控。其组成框架如下图所示。图 3:资源池组成框架图以下针对X X 云计算资源池的各组成部分分别进行具体阐述。网络资源池111.组网物理拓扑图XXXX云计算平台组网物理拓扑如下图所示:移动专线2OOMpbsA3、电信专线弋 200Mpbs*3Internet图4:XX云计算平台组网物理拓扑图本工程新增3 根移动专线接入,单根200Mpbs带宽。一根为XX互联网接入区对外提供服务用,一根用于VPN专线,一根用于XX办公人员访问互联网使用。整个云计算平台在组网设计上满足双网双平面结构,从网络接口、网络链路到关键网络设备均配置冗余部件。在网络接口上每台物理服务器至少配置3 张网卡,分别用于业务服务
3、、虚拟化平台宿主机管理、IP存储系统互联。业务服务网络根据业务属性不同,通过MPLS VPN划分为公用网络区、互联网接入区、专用网络区。虚拟化计算资源可以在不同的网络区域中自由迁移。在汇聚层旁挂防火墙、隔离网闸、运维审计、数据库审计系统等安全设备。其中防火墙用于实现同一网络区域中不同业务系统的之间的安全隔离;隔离网闸用于在MPLS VPN隔离的不同网络区域之间进行安全数据交换,同时用于XX和XX之间的数据安全交换。1.12网络负载均衡设计网络负载均衡分链路负载均衡和本地负载均衡,总体逻辑不意图如下图所不:政务外网应用系统 政务外网办公人员图5:网络负载均衡示意图1.12 1.链路负载均衡设计如
4、上图所示,将移动互联网专线和电信互联网专线接入链路负载均衡器,链路负载均衡器通过对所有Internet链路进行流量路由和控制带宽服务水平实现多互联网接入的高可用性。链路负载均衡器将多条互联网线路进行虚拟化处理,保障用户从最好的线路访问内外部资源。任意一条ISP线路中断,都不会对服务造成任何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。1)OutBound流量负载均衡X X办公人员访问互联网的流量到达链路负载均衡器时,将通过链路负载均衡器多种链路状态检测结果选择最佳出口链路,提升用户体验。2)InBound流量负载均衡为使移动用户和电信用户通过不同互联网链路访问互联网接入区应用系统,链
5、路负载均衡器的智能DNS解析功能将不同用户访问的域名解析成不同的公网IP地址加速应用访问,提升用户体验。1.12 2.本地负载均衡设计本工程新增本地负载均衡器两台,旁挂于汇聚交换机。实现对服务器的负载均衡。本地负载均衡器可以保障内部资源的容错性,内部任何一个应用节点出现问题都不会对用户造成任何的影响,本地负载均衡器能够自动的屏蔽有问题的应用节点,让其停止对外服务,同时把该故障节点上的用户迁移到其他正常的节点上去。汇聚层本地负载均衡器可以虚拟成为多个设备,满足XX不同分区的安全隔离要求。XX业务系统以B/S架构为主,目前的WEB应用都包含了大量的图片,javascript,CSS文 件 等,这些
6、文件的重复传输不但给服务器造成了压力,同时也使得用户的体验受到了影响。本地负载均衡器通过HTTP压缩的方式来节省带宽以及提高访问速度。通过静态文件和动态文件的cache文件 压 缩,浏览器端文件cache控制等优化技术,来提供对W EB应用进行加速,提高用户访问速度。使用本地负载均衡器开放的API接口可以实现和云计算管理平台的集成。1.13网络虚拟化设计1.1.3.1.云计算对传统网络的挑战传统的网络规划设计依据高可靠思路,形成了冗余复杂的网状网结构,结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。云计算的大规模运营,给传统网络架构和传统应用部署都带来了
7、挑战,新一代网络支撑这种巨型的计算服务,不论是技术革新还是架构变化,都需要服务于云计算的核心要求,动态、弹性、灵活,并实现网络部署的简捷化。具体来说传统网络面临的挑战主要有以下几点:一一传统网络的复杂性在实际的运维中,管理人员承担了极其繁冗的工作量;一一云计算平台下多虚拟机部署在同一台物理服务器上运,服务器的利用率从20%提高到80%,服务器端口流量大幅提升,对网络性能提出更高要求;一一云计算平台中,虚拟机在物理服务器之间进行迁移,为了避免虚拟机迁移后路由的震荡和修改网络规划,迁移通常只在在二层域进行,因此云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。通过分析云计算对传统
8、网络基础架构带来的挑战,我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络,从而满足云计算给网络带来的压力;二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及安全策略实施对网络提出的灵活性、安全性的要求。总的来说,为满足云计算的业务要求,统一的基础网络要素必然包括:高性能交换、虚拟化应用、透明化交换。1.13 2.高性能二层网络为提供一个性能更高、二层域更大的网络环境,本工程新增核心交换机和汇聚交换机通过交换机虚拟化技术(华三IRF2、思科VSS)分别虚拟成一台逻辑设备,减少了设备节点,简化了配置。通过跨设备链路聚合技术取代传统部署方式中的STP+VRRP协议,使网络拓扑变
9、得简洁,具备更强的扩展性;同时,其毫秒级的故障收敛时间,为虚拟机迁移提供了更加宽松的实现环境。核心6 H交换机 核心/;氏 交 换 机接入图 6:交换机横向虚拟化经过二层透明化改造后,云计算平台的汇聚接入层是一个透明二层网络。不同业务(虚拟服务器)接入不同的二层VLAN,但同一个业务(虚拟服务器)可以在不同网络分区里灵活部署与迁移,满足了云计算的要求;同时,汇聚层以上进行的是VPN标签交换与路由转发,又保证了不同业务(虚拟服务器)的安全隔离。1.13 3.网络服务虚拟化为满足不同XX分区的安全隔离要求,本项目在云计算平台的汇聚层部署有汇聚交换机、防火墙、IPS、负载均衡器等设备。传统网络下,将
10、为不同分区单独配置一套安全设备,设备利用率低,运维管理复杂。在云计算平台下,通过网络服务虚拟化,统一建设一套性能强大、可扩展性良好的网络服务设备,满足为不同分区提供安全、应用加速等服务。图7:1 :N网络虚拟化技术汇聚层交换机也通过虚拟化技术多实例,每个模拟出的交换机都拥有它自身的软件进程、专用硬件资源(接 口)和独立的管理环境,可以实现独立的安全管理界限划分和故障隔离域。有助于将分立网络整合为一个通用基础设施,保留物理上独立的网络的管理界限划分和故障隔离特性,并提供单一基础设施所拥有的多种运营成本优势。如下图所示:图 8:交换机纵向虚拟化1.13 4.虚拟交换机技术1)VMwareVMwar
11、e分布式虚拟交换机功能满足网络分区条件下,虚拟主机在线迁移等功能时,保证业务网络的持续性。虚拟交换机是构成虚拟平台网络的关键角色,VMware虚拟化通过 VMware vNetwork Distributed Sw计 ch,使虚拟机跨多个主机移动时始终处于同一个VLAN内,它为虚拟机在物理服务器之间移动时监视和保持其安全性提供了一个框架。VMware vNetwork Distributed Switch 示意图如下所示:VIVI:VM VMNET STATE::NET STATE:j NET STATEI VMware vNetwork Distributed Switch IVMware
12、vSphere VMware vSphere VMware vSphere图 9:VMware vNetwork Distributed Switch 示意图在多网络分区环境时,VMware通过虚拟交换机的VLAN TRUNK,当一个端口启用了 TRUNK功能后,就具备端口聚合的功效,会自动检测流向此端口的所有流量,并把不同VLAN的流量导向物理交换机上相应的VLAN中。在一台 ESX主机上由多个千兆网卡绑定在一起(组合成vSw计 ch)提供VM对外通讯的流量,并与物理交换机上的多个启用了TRUNK功能的端口相连接。此 时 VM s分别在VLAN I、VLAN2、VLAN3上,同时在物理交换机
13、上也有同样ID 的VLAN。那么,在 VLAN1中的虚拟机,就可以和与物理交换机 上 VLAN1中的端口相连的机器相互通讯。同时实现虚拟化服务器在多网络分区间的动态迁移。2)XEN通过将OPEN vSwi忙h(开放虚拟交换标准)作为其默认组件启xenserver5.6 FPI就实现对虚拟交换机的支持,而且自verxenserver5.6 SP2开始也实现了分布式的虚拟交换机功能。Xen-Motion是 Citrix Xenserver的动态迁移技术,当然,该系列4 款虚拟化产品中,目前只有最高等级的白金版和企业版才具备这项功能,至于标准版及完全免费的Express精简版则无此项能力。不但是C
14、ITRIX旗下的虚拟化产品,其他基于Xen技术开发出来的虚拟化产品,例如Virtual Iron,也具备相似的动态迁移功能LiveMigrate,除了免费提供的个人版之外,需要付款购买的企业版及企业加强版具有内置该项功能。1.14 IP地址及DNS规划XXXX云计算平台新增两个独立网段,一个用于云平台及虚拟机宿主机之间通信,一个用于云计算平台内IP存储系统网互联;业务系统的IP地址和NDS规戈h 沿用当前XX统一规划。具体参考实施意见 XXXXIP地址规划及管理规范 和 XX政府外网DNS及设备命名规范。1.141.IP地址规划原则XX单位XXIP地址规划遵从国信力和国家外网工程办有关规定和指
15、导意见。XXIP直至规划原则包括:IP地址规划主要涉及到网络资源利用的方便有限的管理网络的问题,公有地址相对紧张的情况下,合理有效的利 用 IP地址成为IP地址规划的主要问题,合 理 的 IP地址规划是有利于网络管理的;IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于外网广域骨干网IP地址的分配应该采用国家XX工程办分配的合法地址空间,充分考虑到地址空间的合理利用,保证实现最佳的网络内地址分配及业务流量的均匀分布;IP地址的规划和划分应该考虑到网络的后续规模和业务上的发展,能够满足未来发展的需要;既要满足本期工程 对 IP地址的需求,同时要充分考虑未来的业务发展,预留相应的地
16、址段;IP地址的分配需要有足够灵活性,能满足各种用户接入 需 要;地址分配是有业务驱动,按照业务量的大小分配各地的地址段;IP地址的分配必须采用VLSM(变长掩码)技 术,保 证 IP地址的利用效率;采 用 CIDR技 术,这样可以减小路由器路由表的大小,加快路由的收敛速度,也可以减小网络广播的路由信息的大 小;充分合理利用已申请的地址空间,提高地址的利用效率;IP地址的规划应该是XX广域骨干整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。1.1.4.2.IP地址规划总体规划根据国家外网工
17、程办的规定,x x x x云平台的公用网络区使用国家申请的IP地址范围为:XXXxxxo互联网区供互联网访问的设备的IP目前有省电信、省移动提供外网地址,数量考虑上留有余地。互联网区XX移动提供有3根互联网专线,每条专线提供一个c类外 网IP地 址 段,共3个C类地址段供本平台使用。XX单 位XX横向需要互联各个政府部门,纵向需要打 通 省,设区市、县、乡 镇(街 道)四级部门单位,在外网地址规划中,使用综合地址规划方案,采用公有地址和私有地址双轨并行的办法,在公有地址不够时,允许采用私有地址作为部门单位的XX业务地址。XX承载三种不同的网络业务,为了最大程度地减少不同网络业务区IP地址空间的
18、重叠,XXXXIP地址总体规划如下:网络业务区地址空间(建议的)用户地址空间公用网络区互联网接入区专用网络区云计算平台管理云计算平台存储IP 网络业务地址从相应的业务网络区地址空间中划分。1.1.4.3.DNS域名体系结构X X 单 位 X X 升级和社区市网络分别采用独立的三级域名。域名由根域和若干个子域名用“.”连接而成,作为根域名,采 用 作为省网三级域名,采用作为各设区市三级域名。各级政府组成部门咋 XX设置服务器后,应将服务器的IP地址和对应的域名在省电子网XX管中心注册。域名以4-5 段为主,原则上不超过5 段。如:“主机名.单位名”油省数据中心建立域名()管理中心,所有单位的域名
19、及DNS均 向 X X 网管中心域名册;可 在 9 个设区市市分别建立子域();各单位若需注册 ,需在 XX外网管理中心备案之后向国家外网管理中心注册。1.1.4 4集成智能DNS系统本工程新增2 台链路负载均衡器,实 现 智 能 DNS解析功能。X X 互联网接入区应用系统的DNS域名系统需与链路负载均衡器的智能DNS系统进行集成。通过对系统原有DNS授权域服务器配置进行修改,将动态记录委派到链路负载均衡器上进行解析,再返回给发起DNS请求的用户。根据解析结果引导用户请求到不同的运营商链 路,实现就近访问。1.1.4.5.网络安全域划分与隔离根 据 国 家 X X 所承载的业务和系统服务类型
20、的不同,在逻辑上,将国家XX划分为公用网络区(Global)、专用网络区(VPN)和互联网接入区(Internet)三个功能 域,分别提供国家XX互联互通业务、专 用 VPN业务和互联网业务。VPN逻辑隔离部 委VPN跨 部 门业 V PNI安全 交换专用网络区政务部门用户认 证 服 务公共网络别I务公用网络区安全互联防火墙等逻辑隔离一安全交换VPN逻辑隔离、,互联网月艮务,政 务 外 网 娈 全接入平与公众用户互联网接入区黛/G-B业 务 企 业Internet移动办公政 务 外 网 网络基 础 设 施图10:XXMPLS VPN分区示意图公用网络区:采用国家XX公用地址(即 从NNNIC注
21、册的地址)的网络区域,是国家XX的主干道,实现各部门、各地区互联互通,为跨地区、跨部门的业务应用提供支撑平台。互联网接入区:是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域,满足各级政务部门公共服务业务应用的需要。专用网络区:是依托国家XX基础设施,为有特定需求的部门或业务设置的VPN网络区域,实现不同部门或不同业务之间的相互隔离,VPN网络区域主要为少数部门的特定业务数据传输提供安全通道。通 过MPLS VPN技术运用,三个业务区之间逻辑隔离,不能互访。升 级XX数据中心分为四个区,这四个区分属于三个业务隔离区,对应关系如下表:表4:政务外网业务区和数据中心功能区对应关系表网络业务区数
22、据中心功能区公用网络区(Global)数据交换共享区/综合管理控制区专用网络区(VPN)部门服务器托管区互联网接入区(Internet)公共服务平台区某些业务系统需要跨公用网络区和互联网接入区部署,也有些需要跨专用网络区和互联网接入区部署,为了保证安全,需要进行逻辑隔离,在公用网络区和互联网接入区间部署一个网闸,同时在专用网络区和互联网接入区也部署一个网闸。除以上从业务系统层划分为公用网络区、专用网络区、互联网接入区外,还需为云计算平台管理和IP存储子系统划分2个独立网络区域,实现业务网络、管理网络、IP存储网络的安全逻辑隔离。1.15网络端口资源估算关于汇聚层交换机端口配置,接入服务器建议用
23、千兆以太网电口,网络设备间互联用万兆以太网口。本期新增机架服务器XX台,单台服务器配置XX千兆以太网电 口,共 需XXX 口千兆以太网电口,刀片服务器XX台,占用X个刀片服务器机框,每机框对外XX 口千兆以太网电 口,共XX 口,合计连接服务器需要XXX 口千兆以太网电口;汇聚交换机与防火墙、负载均衡器等汇聚网络设备需等需要万兆口互联,考虑一定端口冗余,本期建议配 置X台汇聚交换机,单台配置10/100/1000M电口不少 于XX个;千兆光口不少于XX个、万兆以太网光口不少于XX个并配置相应数量多模光纤模块。1.2.计算资源池121.计算资源池架构服务器虚拟化技术很好地解决了传统服务器系统建设
24、的问题,通过提高物理服务器利用率大幅度消减物理服务器购置需求、数量和运营成本;通过利用服务器虚拟化中CPU、内存、I0资源的动态调整能力实现对业务应用资源需求的动态响应,提升业务应用的服务质量;通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理服务器的调度等等。因此,服务器虚拟化技术是新一代数据中心最理想的解决方案。服务器虚拟化架构设计是服务器虚拟化技术运用的核心,直接决定了整个服务器资源体系对应用系统的承载能力、运行效率以及可靠性。XX云计算资源池由机架式服务器、刀片服务器构成;刀片服务器通过服务器虚拟化部署一般业务系统和web应用系统。机架式服务器用于部署
25、管理平台和高负载数据库服务器等。服务器虚拟化架构图如下所示:图11:XXMPLS VPN分区示意图1.2.2.应用系统分析经前期需求调研分析,根据业务特点将XX平台所承载的应用系统分为大访问量应用系统、大计算量应用系统、大数据量应用系统三类。1.221.大访问量应用系统大访问量应用系统如政府门户网站、气象查询等web类应用系统,这类应用的特点是业务逻辑简单,不同业务请求互不关联,但请求的并发量根据业务特点不同可能很大,如水利信息网在灾害天气下访问量将剧增。大访问量应用系统要求对大量互不关联的并发请求进行快速响应。这种情况下,需要应用服务器有足够数量的线程响应请求,而单个线程计算量不大,因而对单
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算 平台 工程 建设 方案
限制150内