超融合一体机&超融合操作系统
目录
1 1.1 1.2 1.3 1.4 1.5 2 2.1 2.2 2.3 3 3.1 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.3 3.3.1 3.3.2 3.3.3 3.4 3.4.1 3.4.2
传统IT架构面临的问题 错误!未指定书签。 业务与架构紧耦合
错误!未指定书签。
错误!未指定书签。 错误!未指定书签。 错误!未指定书签。
传统架构制约东西向流量 不能适应大规模租户部署 传统安全部署模式的限制 项目概述 建设原则
网络设备的硬件规格限制业务系统规模 错误!未指定书签。
错误!未指定书签。 错误!未指定书签。
错误!未指定书签。
建设关键需求 错误!未指定书签。 建设组件及建设模式
深信服超融合架构解决方案概述 错误!未指定书签。 超融合架构层 错误!未指定书签。 服务器虚拟化(aSV) 错误!未指定书签。 网络虚拟化(aNET)
错误!未指定书签。
错误!未指定书签。
存储虚拟化(aSAN) 错误!未指定书签。 网络功能虚拟化(NFV)
多业务模板层 错误!未指定书签。 虚拟化管理平台 错误!未指定书签。 服务器虚拟化管理模块 错误!未指定书签。 网络虚拟化管理模块 存储虚拟化管理模块
错误!未指定书签。 错误!未指定书签。
深信服超融合架构方案价值和优势总结 错误!未指定书签。 深信服超融合架构价值 错误!未指定书签。 深信服超融合架构的优势
错误!未指定书签。
传统IT架构面临的问题
随着业务系统的高速发展,IT架构做为承载业务系统的基础设施,快速部署、减少投入和灵活扩展显得越来越重要。云计算可以提供可用的、便捷的、按需的资源提供,成为当前IT架构建设的主流形态,很多新建系统都是使用云模式进行构建,同时还有大量的现有业务系统,再向云计算环境进行迁移。而在云计算环境中,大量采用和部署的虚拟化几乎成为一个基本的技术模式。服务器虚拟化就是首当其冲的,部署虚拟机需要在网络中无限制地迁移到目的物理位置,虚机增长的快速性以及虚机迁移也成为一个常态性的业务。
服务器虚拟化在经过多年的高速发展后已经越来越成熟,被接受和应用的领域也越来越广泛。它有效降低了硬件采购成本,提高了资源利用率和可用性,同时大幅提升了运维效率,缓
解了IT建设面临的诸多压力。虽然服务器虚拟化的普及彻底改变了应用的调配和管理,但是,所有动态负载的虚拟机所连接的网络和存储却远远滞后:
➢ 网络调配仍然极其缓慢,甚至一个简单的拓扑变更也需要数天或数周时间; ➢ 存储搭建依旧极其复杂,卷管理麻烦到管理员需要重新学习更多相关技术。
这样的IT架构,包括实现了服务器虚拟化的架构,都已不能很好满足迈向云时代的各种需求,面临着如下挑战:
业务与架构紧耦合
传统数据中心业务是通过分区分域的方式进行建设的,一般会以POD(数据中心标准化接入单元)为单位来实现IP地址网段的划分:一个POD内为一个网段,规划和部署同一种业务。分区分域的方式规划清晰,维护简单,但是不足之处就是业务扩容受限,例如:业务A部署在PODA内,如果PODA内以没有剩余空间,无法实现扩容的时候,则需要把业务A部署在其他的机架上。此时则要求PODA需要与其他机架的TOR交换机实现二层Trunk互通,带来的问题就是需要对网络做出大量的配置更改。所以业务和架构紧耦合,一旦业务发生变化,物理架构就要随之需要作出调整。
传统架构制约东西向流量
传统架构以核心交换机为临界点,成为二、三层网络的边界:核心交换机以上为三层环境,主要是以控制南北数据流量为主。而核心交换机以下,由于虚拟机的大规模使用,虚拟机迁移的特点主要以东西流量为主。同时在虚拟机迁移之后,还需要其IP地址、MAC地址等参数保持不变,则必须通过二层环境实现。
罗列一下现有的二层技术,或多或少均存在一些问题:
➢ 生成树类的相关技术(STP/RSTP/PVST/PVST+/MST等):部署和维护繁琐,网
络规模不宜过大,网络收敛时间较长,限制网络的扩展。
➢ 网络虚拟化技术(各厂家私有的VPC/IRF/CSS/VSU等):虽然可以简化部署、同
时具备高可靠和高可用,但是该类技术对拓扑架构有严格要求,由于私有特性,各厂家之间无法互通,一般只适合数据中心内部网络使用。
➢ 大规模二层网络技术(TRILL/SPB/FabricPath/OTV/EVB等):虽然能够支持二
层网络的良好扩展,解决了生成树网络规模不大的问题,但该类大二层技术对网络设备均有特殊要求,需要通过升级软、硬件的方式才能支持此类新技术,部署成本提升。
网络设备的硬件规格限制业务系统规模
在虚拟化环境下,虚拟机的大规模部署,使得物理交换机上MAC地址表项的大小(传统的接入交换机MAC地址表一般为:8K/16K,核心交换机单槽位一般为:128K/250K)限制了虚拟机的规模,特别是对于接入交换机而言,较小的MAC地址表项规格,严重的限制了整个大二层环境下数据中心的业务规模。
不能适应大规模租户部署
当网络中出现大量租户或者大量业务的时候,网络隔离就显得异常重要,当前的主流二层网络隔离技术为VLAN,但是在大量租户或大量业务部署时会有几个限制:
➢ VLAN可用的数量为4K左右,远远不能满足云计算环境下的部署需求; ➢ 如果在大规模数据中心部署VLAN,会使得所有VLAN在数据中心都被允许通
过,会导致任何一个VLAN的广播数据会在整个数据中心内泛滥,大量消耗网络带宽,同时带来维护的困难。
当二层环境下的VLAN无法实现有效隔离的时候,还可以利用MPLSVPN做到三层的隔离,但是由于MPLSVPN自身的封装和协议本身的交互,导致隔离后的业务交付效率低下。
传统安全部署模式的限制
传统架构下业务系统的安全部署都是基于路径、基于拓扑的策略部署,安全部署需要根据业务的要求手工配置VLAN、IP、引流策略,如果业务发生变更,安全策略的配置也必须跟着重新配置。
另外,传统安全策略都是基于物理硬件进行部署的,大部分部署均为打补丁的方式实现。导致在业初期由于业务量小使设备利用率很低造成资源浪费,而且业务后期随着业务量的增量
可能又会出现性能不够用的情况,安全设备的性能无法根据业务的要求而动态的扩展性能或者释放资源。 项目概述
传统架构下的数据中心解决方案已经不能够满足云环境下客户业务高速发展的要求,所以本次方案规划设计,需要通过更有价值的新架构来解决传统架构面临的问题。
建设原则
本次项目的总体建设原则如下: 1、统一规范
由于业务系统的复杂性,所以应该在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好系统的标准化设计与施工。
2、成熟稳定
由于云计算的发展变化很快,而本项目建设时间紧,涉及面广,应用性强,在设计过程中,应选成熟稳定的技术和产品,确保建成的IT架构能够适应各方的需求,同时节约项目施工时间。
3、实用先进
为避免投资浪费,IT架构的设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,使系统具有容量的扩充与升级换代的可能,以便该项目在尽可能的时间内与业务发展和信息技术进步相适应。
4、开放适用
由于IT架构是为各业务系统提供支撑,所以必须充分考虑架构的开放性,提供开放标准接口,供开发者及用户使用。
5、安全可靠
本项目涉及用户范围广,数量大,实时性强,设计时应加强系统安全防护能力,确保系统运行可靠,业务不中断,数据不丢失。
建设关键需求
针对上述提及的建设原则,建议IT架构需要满足如下要求:
1、IT资源全面池化
伴随着数据与业务的集中,传统数据中心的硬件架构已经无法满足业务的快速上线和灵活的业务部署,新架构需要通过软件定义的方式实现全新的IT基础架构,也就是通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合。对于软件定义的数据中心,需要充分保障物理资源层、资源抽象与控制层和云服务层稳定性与安全性,并提供异地容灾备份服务。
2、安全优化如影随形
随着业务的不断扩展,4-7层的安全、优化架构也需要紧密跟随。传统的烟囱式建设方式会让数据中心里出现大量的安全、优化设备,同时也会让安全管理变得复杂。
➢ 从业务的角度上分析,新的IT架构必须能够对旧系统、旧应用进行平滑迁移,4-7
层的安全、优化特性按需部署,资源灵活调度;
➢ 从管理的角度上分析,平台的建设需要将所有4-7层的安全、优化机制下沉至虚拟
机,通过统一的管理平台对虚拟机的整个生命周期进行管理,同时精细的管理到虚拟机中的安全、优化应用。
所以需要充分保障整个数据中心中各类业务的安全可靠,并提供新、旧业务的平滑迁移。 3、自助统一的业务交付
建造新一代的数据中心,最终目标是要实现系统的按需运营,多种服务的开通,而这依赖于对计算、存储、网络资源的调度和分配,同时提供用户管理、组织管理、工作流管理、自助Portal界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理,还要从全局而非割裂地管理资源,因此统一管理平台与自动化服务交付是提升服务效率的重要因素。
建设组件及建设模式
为了实现上述建设的关键需求,通过IT架构的优势,将业务系统效率发挥至极致。深信服通过“超融合架构”实现了资源、业务、数据的集中承载和统一调度,超融合架构包含的组件如下:
➢ aSV计算虚拟化解决方案:通过基于KVM的开源虚拟化技术提供更加便捷、
灵活和开放的虚拟机生命周期管理;
➢ aNET网络虚拟化解决方案:通过引入VxLAN技术,能够提升云计算中心的整
体扩展性,同时实现多租户环境下的安全隔离;
➢ aSAN存储虚拟化解决方案:充分利用现有服务器的硬盘资源,对其进行高密
整合,互联所有X86架构服务器的硬盘总线,实现存储空间的融合; ➢ NFV网络功能虚拟化解决方案:通过使用虚拟机镜像的方式运行vAD(应用
交付)、vAF(下一代防火墙)等2-7层的安全优化组件,解决东西向的安全优化特性;
➢ VMP虚拟化管理平台:不仅可以实现SangforIaaS架构的统一管理及统一调
度,还能够通过OpenStack北向接口与第三方云管理平台实现互通,从而将资源的调度管理更加集约化、易用化。
深信服超融合架构则通过:超融合一体机或超融合操作系统两种模式建设。 1、超融合一体机:(除了NFV可选以外所有组件均已预集成在硬件中) 超融合一体机模式,即:通过定制的x86平台,预装好SangforIaaS架构,包含了Sangfor虚拟化平台、Sangfor虚拟化应用套件和Sangfor虚拟化管理平台。实现计算、网络、存储的高度融合,将计算资源、网络资源和存储资源池化,为上层应用提供全面的IaaS服务,实现真正意义上的开机即用。
2、超融合操作系统:(aSV+aNET或aSV+aSAN或组件全选,NFV可选)
超融合操作系统模式,即:通过利旧或者自有的第三方x86平台,安装Sangfor超融合操作系统,从而实现和一体机一致的功能和类似的性能,不同的地方在于:
➢ 一体机是预装所有组件,对硬件做过调优,性能最佳; ➢ 一体机的价格比单独购买操作系统的价格更有优势; ➢ 在有空闲服务器或者利旧服务器时,操作系统更加节约投资; ➢ 操作系统的部署较灵活,可以根据具体的需要选择性部署
➢ 一体机开机即用,操作系统需要有安装调试的过程。
深信服超融合架构解决方案概述
深信服超融合架构解决方案,融合了:计算、网络、存储和安全四大模块,通过全虚拟化的方式构建IT架构资源池。所有的模块资源均可以按需部署,灵活调度,动态扩展。通过超融合一体机或者超融合操作系统能够在最短的时间内,充分利旧现有硬件基础架构,将业务系统安全、稳定、高效的迁移到超融合平台中,并且为后期迈向私有云平台奠定基础,从而能够实现多租户的管理及计费审计等功能。
深信服的超融合架构解决方案软件架构主要包含三大组件(服务器虚拟化aSV、网络虚拟化aNet、存储虚拟化aSAN)和一个管理平台(虚拟化管理平台VMP)。硬件架构上,可以通过一体机的方式实现开机即用,也可以采用通用X86服务器实现基础架构的承载。配合传统的园区网交换机(背板带宽和交换容量够用即可)即可完成整个平台的搭建,无需各种功能复杂、价格昂贵的数据中心级交换机。
图示:深信服超融合架构全景图
超融合架构层
超融合架构层以服务器虚拟化为底层架构,扩展出网络虚拟化和存储虚拟化,通过所画即所得的方式能够快速的构建出业务逻辑,实现虚拟资源的动态调度和灵活扩展,同时全网流量可视,配置简易直观,运维灵活便捷
图示:所画即所得的业务逻辑 图示:全网流量可视视图 图示:简易直观的配置界面 图示:灵活便捷的运维操作
服务器虚拟化(aSV) 方案概述
深信服aSV虚拟化平台作为介于硬件和操作系统之间的软件层,采用裸金属架构的X86虚拟化技术,实现对服务器物理资源的抽象,将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源,并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境,实现更高的资源利用率,同时满足应用更加灵活的资源动
态分配需求,譬如提供热迁移、HA等高可用特性,实现更低的运营成本、更高的灵活性和更快速的业务响应速度。 方案优势
1、高可用
为了提升服务器虚拟化系统的高可用性,深信服从如下多维度提供了高可用技术,保障业务的稳定性。
➢ 故障迁移(HA):
深信服aSV虚拟化平台提供虚拟机热迁移和虚拟机热备份技术,降低宕机带来的风险、减少业务中断的时间。深信服aSV虚拟化平台提供GuestOS故障检测功能,当客户机发生严重故障时(例如Windows系统蓝屏),虚拟机管理程序会监控到客户机故障。虚拟机管理程序可以重启或关闭客户机,从而避免有故障的客户机持续占用计算资源。
➢ 热迁移(Motion):
通过热迁移可以实现虚拟机的在线动态迁移,保证业务连续性;零宕机时间:进行计划内硬件维护和升级迁移工作负载,业务不中断;实现整体数据中心业务高可用,无需使用昂贵、复杂的传统集群解决方案;最大限度地减少硬件、软件故障造成的业务中断时间;提高整个基础架构范围内的保护力度。
➢ 跨存储热迁移:
通借存储热迁移技术,可以在不中断服务的情况下在跨存储实时迁移虚拟机磁盘文件。将虚拟机磁盘文件无中断地迁移到不同种类的存储设备 执行存储热迁移不会造成停机,并可全面保证业务不中断。
可迁移在任何受支持服务器硬件上运行任何受支持操作系统的虚拟机磁盘文件。 可支持任何光纤通道、iSCSI、本地硬盘等存储系统实时迁移的虚拟机磁盘文件。 2、极速备份
深信服VMP虚拟化平台,将备份系统融合在整体VMP平台,实现简单易用的备份系统,由客户设置自动备份计划,系统管理根据这些设置定期进行自动备份处理,以增强系统数据的安全性,同时增强自动处理事务能力,可以在不处理日常业务的时间里进行此项工作。
➢ 精确备份时间策略:可精确到小时级的备份计划,让备份数据更精准完善。
➢ 智能备份路径选择:可智能选择备份路径,根据存储空间的使用情况来智能选
择备份位置,且与原位置不同,保证原主机或存储故障后,能从其它备份位置恢复。也可选择客户简单易用的Windows共享目录实现快速易用的备份。
3、高效P2V迁移
通过深信服VMPConvert实现快速的物理机迁移虚拟机,跨平台的虚拟机迁移虚拟机。而整个虚拟化迁移过程不超过5分钟,业务中断在2分钟以内。也可实现快速虚拟机平台还原回物理机的回滚,保证业务数据不丢失。
4、虚拟化运维工作更简单
➢ 免插件控制台:免插件的控制台访问VM,提升用户体验 ➢ 一键新增虚拟机:通过简单设置,快速创建虚拟机
➢ 自动故障处理:系统故障时提出专家解决方案,快速恢复系统及应用 ➢ 批量新增虚拟机:为经常重复的工作内容提供自动化操作平台
5、高安全性虚拟化平台保障
➢ 虚拟化文件系统加密
通过高强度加密的Sangfor虚拟化文件系统,保证数据安全。通过添加每用户的密钥实现加密功能提高安全性。非法人员即使盗走保存有机密数据的硬盘或者虚拟机虚拟硬盘文件,也能够防止其数据被其他用户或外部攻击者未经授权的访问。 ➢ 底层防攻击
合入深信服NGAF多年的安全积累的防攻击模块,保障底层Hypervisor更安全,最大限度的控制网络系统,加强边界访问控制权限的建立,降低安全风险,消除网络系统、操作系统、本身存在的大量弱点漏洞和认为操作或配置产生的与安全策略相违背的系统配置,减少入侵者成功入侵的可能;加强网络系统入侵行为的检测和防御能力,有效阻止来自外部的攻击行为,同时也防止来自内
部的违规操作行为;通过加固手段切实提高操作系统的安全级别,保证系统安全。
6、智能虚拟系统可用性
➢ 系统故障恢复:虚拟机系统故障检测,虚拟机内部系统蓝屏,或者CPU利用
率100%卡死虚拟机操作系统时,SangforVMPHA可侦测病重启该虚拟机 ➢ 源保障及控制:通过调整不同业务虚拟机的CPU,内存等计算资源的优先级,
保障关键应用计算资源需求,提升高优先级系统的可用性
7、高性能虚拟化平台
➢ 块数据缓存:实现针对文件系统的块数据缓存,通过提升大文件读取速度,优
化用户体验
➢ 历史数据预取:精准读取虚拟机历史块数据,加快系统开机速度
➢ SCSI虚拟化硬盘加速:通过优化SCSI磁盘驱动,整体提升磁盘I/O性能。
网络虚拟化(aNET) 方案概述
深信服网络虚拟化aNet,通过提供全新的网络运营方式,解决了传统硬件网络的众多管理和运维难题,并且帮助数据中心操作员将敏捷性和经济性提高若干数量级。
深信服网络虚拟化aNet方案通过和服务器虚拟化aSV相结合,在虚拟机和物理网络之间,提供了一整套完整的逻辑网络设备、连接和服务,包括分布式虚拟交换机aSwitch、虚拟路由器aRouter、虚拟下一代防火墙vNGAF、虚拟应用交付vAD、虚拟vSSLVPN、虚拟广域网优化vWOC等虚拟网络、安全设备;然后,还可以支持VXLAN等增强网络协议,实现和物理网络的无缝对接,简化网络的配置管理;此外,还可以通过虚拟化管理平台,实现网络拓扑部署、网络故障探测等网络管理功能。
从而,aNet虚拟网络可以快速完成不同应用系统的网络部署,网络配置的自动化调整,网络故障排查等工作,提升网络的管理运维效率,提升网络就绪、扩展速度,降低数据中心物理网络的建设成本。 方案优势
1、简化网络结构,节省硬件网络投资
在部署了深信服的网络虚拟化aNet之后,过去传统的接入交换、路由器、负载均衡、防火墙等传统网络、安全硬件设备,通通变成虚拟化的方式运行在服务器里。以前。串糖葫芦式的网络结构也会变得非常的扁平,服务器全部接入到一个大二层的网络,极大的简化物理连线。
此外,硬件交换机不再需要支持类似TRILL/SPB/FabricPath/VPLS(为了解决服务器虚拟化部署后的问题,新推出的交换机特性)等一些列不必要的过渡性网络功能,从而只需要普通的交换机就可以满足云计算网络的建设,降低了不必要的网络建设成本。
2、简化网络配置,实现业务自动化调整
部署了虚拟网络aNet后,对于物理交换机来说虚拟化环境中的虚拟机网络流量将会变得透明,物理交换机不再需要配置复杂的网络策略,提供简单的大二层转发即可。因为,所有虚拟机的VLAN、QoS、ACL等网络配置策略,将会部署aSwitch上。而aSwitch将会自动根据每台虚拟机迁移、删除等过程,实现网络策略的自动跟随,实现网络配置的自动化调整,极大的简化了虚拟机迁移所带来复杂的网络运维工作。
3、高可靠&高性能
过去传统物理网络容易因为网络设备的故障而产生问题,解决起来也非常困难,时间都是以小时为单位的。所以,深信服的网络虚拟化产品,在可靠性方面做了很多的改进,首先通过应用层协议栈技术,我们把数据转发放到了应用层,能够让设备永不宕机,而分布式设计的虚拟路由和虚拟交换机,出现故障的时候能够实现秒级切换,从而避免虚拟设备的单点故障,物理设备和链路我们设计了集群部署和链路聚合,能够避免物理环境的单点故障;这样,我们就实现了整个虚拟网络环境的高可靠保障,任意环节出现故障,都能被自动检测出来,并快速恢复业务。
此外,对于虚拟化网络的性能问题,深信服自主研发了高性能网络转发引擎,结合intel最新的DPDK技术和SR-IOV技术,aSwitch虚拟设备可以达到双向10G的数据转发,让虚拟化网络能够以非常低廉的成本拥有和物理网络一样强劲的性能。
4、完整专业的L4-L7网络服务,确保架构平滑迁移
只把交换机和路由器虚拟化是不够的,复杂的业务环境是必须要配置负载均衡、VPN、防火墙这样的L4-L7安全、优化功能。所以,深信服将在硬件设备领域非常具有优势的NGAF、AD、WOC、SSLVPN等设备也虚拟化了,从而可以帮助用户将应用系统平滑的从物理环境迁移到虚拟化环境中,并满足安全合规要求。
vNGAF、vAD、vWOC、vSSLVPN等虚拟化设备,保持了和硬件设备一致的功能特性,并且具备齐全的各种产品资质证书,如安全产品销售许可证等。用户只需要根据不同应用系统的性能要求,分配1、2、4、8核不同档次的CPU资源,各种虚拟化设备就可以提供从百兆到千兆的性能。
5、多层次安全策略,无缝安全防护
为了从不同维度提升虚拟化平台的安全性,通过隔离的分布式交换机、ACL访问控制、NGAF的L2-L7安全防护技术、SSLVPN完整的安全接入技术等方式,可以加固虚拟机、业务系统等不同虚拟化环境边界的安全性。
尤其是NGAF可以提供包括:状态检测、应用访问控制、漏洞防护、Web攻击保护、防敏感信息泄露、漏洞风险扫描、安全策略联动、防木马病毒等完整的L2-L7安全功能,可以帮助用户简化安全部署,并满足合规要求。 存储虚拟化(aSAN) 方案概述
深信服存储虚拟化aSAN,基于集群设计,将服务器上的硬盘存储空间组织起来形成一个统一的虚拟共享存储资源池,即ServerSAN分布式存储系统,进行数据的高可靠、高性能存储。分布式存储系统在功能上与独立共享存储完全一致;一份数据会同时存储在多个不同的物理服务器硬盘上,提升数据可靠性;此外,再通过SSD缓存,可以大幅提升服务器硬盘的IO性能,实现高性能存储。同时,由于存储与计算完全融合在一个硬件平台上,用户无需像以往那样购买连接计算服务器和存储设备的SAN网络设备(FCSAN或者iSCSISAN)。 方案优势
1、横向、纵向线性按需扩展
aSAN存储虚拟化方案可以支持横向(增加服务器数量)、纵向(增加单台服务器的硬盘数量)等扩展方式,扩展起来非常简单,只需要将新的服务器加入原来的集群就可以实现扩展,扩展后可以实现容量和性能的同步扩展,目前最大支持64台服务器组件一个集群。
此外,添加新的服务器到集群后,不仅存储空间得到扩展,性能也会得到同步的扩展,例如2台服务器扩展到4台服务器后,不仅存储空间得到扩展,整体性能也会扩展为原来的2倍。
所以,aSAN可以帮助客户不需要过多地考虑未来的扩展,只需要满足未来3~6个月的需求就足够了,极大降低了初期的投资成本,并避免了传统FC存储由于无法平滑扩展性能,而需要迁移数据存储所带的高风险。。
2、数据保护和高可用性
在可靠性方面,虚拟化存储aSAN没有采用传统FC存储的raid方式,而是把每份数据copy成多份副本进行多副本存储,服务器只需要以常规手段挂载硬盘,虚拟化存储平台会把数据、在不同的物理服务器硬盘里创建2个到3个一样的副本。而且,每一次数据的变化,都会通过网络,同时在aSAN中的所有副本里进行同步,从而确保数据的一致性。这样做的好处非常明显,首先,由于不需要使用raid,服务器的磁盘利用率会非常高,多副本的同步存储方式、又能够在最大程度上确保数据的互备效果,从而低成本的实现存储的高可靠。
由于aSAN存储虚拟化采用副本方式保存数据,支持2-3份副本。当物理硬盘出现故障的时候,存储则会被重新指向另外一个健康的副本,整个过程是毫秒级的切换,对用户来讲基本是无感知的。
如果不幸遇上了物理主机或者是网络故障,整个虚拟化平台可以完成分钟级的切换,业务系统或者网络设备的虚机可以快速切换到另一台服务器拉起,几分钟就能恢复正常运作,而存储的指向仍然保持了同步,这样就比传统方式的业务恢复速度快了很多。
3、高性能SSD缓存技术:
由于传统的sas盘、sata盘的性能只有7200转,iops达不到众多应用系统的相关性能要求。所以,深信服的存储虚拟化aSAN在硬件架构上会要求采用SSD双缓存方式,读和写都使用独立的SSD硬盘来实现,借助于SSD的高效缓存技术,可以让用户以较低的成本获得非常高的IO性能。此外,通过我们
的算法优化,业务系统所请求的数据、绝大部分情况下都会直接读取到本地磁盘上的副本,从而使得存储的响应速度大幅提升,明显提升整体存储的IOPS性能。
网络功能虚拟化(NFV) 方案概述
当前软件定义网络成为了技术发展的趋势,深信服也率先在国内推出全系列的数据中心安全、优化产品(NGAF下一代防火墙、SSLVPN、AD应用交付、WOC广域网优化)软件虚拟化解决方案。这些过去需要以专用硬件方式部署的产品,不再需要依赖专用的硬件,可以以软件镜像的方式,完美支持在Vmware、KVM、XEN等服务器虚拟化环境下的部署。从而极大的简化政务云数据中心网络的架构,为各个租户的虚拟应用按需、灵活的虚拟扩展出各种安全和优化方案,同时还便于划分清楚各方的运维职责。
性能与功能
软件虚拟化版本产品直接以虚拟机的方式运行,只需要分配好相应的CPU、内存、硬盘等资源大小,就可以获得对应性能的安全、优化产品。一般会分为1核、2核、4核、8核CPU等档次,性能从百兆到千兆。
功能方面,由于是将现有硬件产品的版本直接平移,所以软件版产品的功能与硬件设备保持一致,可以为用户提供最专业的网络安全、网络优化解决方案。
部署模式
vAD、vAF、vSSLVPN、vWOC等虚拟化软件设备支持路由、单臂等部署方式,针对不同租户开启一个对应的虚机镜像,通过集中管理平台开通虚拟设备授权,然后配置vSwitch连通网络,只需数分钟即可为不同租户提供各种增值网络服务。
➢ 路由部署:vAF、vWOC ➢ 单臂旁挂:vAD、vSSLVPN
管理特点
1、简单5步,快速部署上线:
➢ 购买授权:向深信服购买软件授权
➢ 导入镜像:将设备镜像拷贝进入虚拟化环境 ➢ 注册开通:在授权服务器上开通
➢ 策略配置:配置AD、AF、SSL等虚拟设备的相关策略 ➢ vSwitch配置:配置虚拟交换机实现业务的互通
2、面向OpenStack的统一管理
深信服的vAD、vAF、vSSLVPN、vWOC等功能模块不仅可以通过Sangfor虚拟化管理模块实现统一的超融合管理,所有模块均开放了北向的OpenStack接口,通过开放的统一接口,能够更好的实现和第三方平台的融合,并实现功能服务的创建及关闭、功能模块的策略配置。
下面以vAD为例,通过界面截图,了解面向OpenStack的统一管理。
方案优势
1、专业完整:
vAD、vAF、vSSLVPN、vWOC保持了与硬件产品一致的专业功能,还具备各种产品的合规资质;而且产品类别完整,不需多厂家产品拼凑,就可以满足用户将应用迁移到云环境中的各种传统业务安全、优化需求。
2、简单易用:
简单4步,快速部署上线,无需机房连线操作,设备的配置界面保持了与硬件设备一致的风格,让云中心/租户管理员只需要数分钟时间,就可以快速完成业务的上线部署。
3、随需扩展:
云中心管理员可以根据租户的业务发展,增加虚机资源,按需扩展虚拟设备功能、性能。不用担心过去由于租户增多,硬件设备性能不足,而要淘汰、更换设备的情况,保护投资。
4、总成本低:
软件虚拟化产品比同等性能的硬件设备更具有价格优势,而且不用担心设备淘汰带来的投资浪费。简单易用的部署方式,也大大减低了方案运维成本。同时,分权的管理模式,运维职责划分更加明确,可以降低出现故障时的责任风险。
提供的增值业务服务
1、安全类服务:
➢ 入侵检测和防御服务
通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。提供主动式入侵防御功
能,能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件的攻击。每月一份报告,每个租户一套NGAF开启FW+IPS功能模块。
➢ WEB业务在线防护WAF
➢ 在网站前端架设在线WAF防护系统,保证用户网站对各种SQL注入、
XSS跨站、网站挂面、敏感信息泄密、网页篡改等攻击进行防护,每月一份防护记录,每个租户一套NGAF开启WAF功能模块。 ➢ 业务系统安全风险分析服务
➢ 提供系统级的安全隐患分析服务,包括外部访问、系统维护、等信息汇
总。提供系统安全分析,包括可疑访问、恶意访问、安全试探、异常数据访问等安全隐患的预警性分析,建议每月一次,每个租户一套NGAF开启漏洞扫描和分析功能模块 ➢
➢ SSLVPN接入服务
采用SSL技术提供虚拟专用网络接入服务,可以面向PC、移动终端等提供安全接入方式,帮助租户实现内部用户、第三方用户的远程安全接入。每月按用户数量灵活收费,每个租户一套SSLVPN ➢ 移动APP安全加固服务
针对租户的移动APP提供自动化的安全加固服务,让APP可以直接和VPN网关加密传输,并在移动终端上加密存储数据,提供端到端的数据防泄密功能。每月按用户数量灵活收费,每个租户一套SSLVPN+EasyAPP功能模块。 ➢ 政务移动门户和设备管理
为每个租户提供一个统一的移动业务门户,包括移动设备管理、政务移动应用商店、移动设备安全监控、数据远程擦除都能功能。每月按用户数量灵活收费,每个租户一套SSLVPN+EMM功能模块。
2、业务优化类服务:
➢ 服务器负载均衡服务:
租户的各种应用系统,如果需要多台虚拟服务器实现高可靠解决方案时,服务器负载均衡是必要组件,通过部署软件版应用交付产品,可以为租户提供L4-7服务器负载均衡、健康探测、温暖重启、VMware
联动等功能,保障业务稳定性。每月按一套设备收费,每个租户一套AD应用交付产品。 ➢ 网站加速服务:
对网站进行整体加速与实时优化,通过应用交付AD的单边加速、SSL卸载、TCP优化、图片转码等功能,避开网络拥塞,加快在互联网上访问网站的速度,按网站数量收费,每个租户一套AD应用交付+应用加速功能模块。 ➢ 全局智能DNS服务:
自动判断访问者的IP地址,智能解析域名,指向相对访问者来说网络访问速度最快的服务器,可按照需要解析的IP数量计费,需要在政务云出口部署硬件链路负载均衡实现。 ➢ 广域网优化接入:
当租户搭建的业务系统需要通过专网、电子政务外网,让下属分支机构、横向政府单位访问时,为了避免广域网存在高丢包、高延迟造成应用访问慢,解决带宽不足,以及传输链路明文传输等安全问题,可以部署广域网优化WOC,通过一体化的应用优化、传输优化、VPN功能,帮助租户建立一套快速、安全的广域网传输机制。政务云中心一套软件版WOC产品,按月收费;各个分支机构部署硬件WOC产品,一次性采购或者租用。
多业务模板层
通过多业务模板,能够在超融合架构中创建出基于各种模块的Profile文件,例如:端口的策略模板、网络协议模板、安全功能模板、虚机模板、用户文件、存储配置模板等。
图示:多业务模板层
利用模板下发的方式实现整个业务逻辑架构的快速创建和故障拓扑的快速回滚。同时可以通过模板上传的方式搭建一个模板库,多租户共享同一个模板库,从而能够根据自己的需要,下载相应的模板,实现业务的快速上线。
虚拟化管理平台
深信服虚拟化管理平台VMP是一个针对超融合架构进行IT资源进行全面管理、调度的管理系统。可以针对物理主机、服务器虚拟化、网络虚拟化、存储虚拟化等设备和组件进行资源负载监控、虚拟资源配置和调度、网络拓扑部署、网络设备策略配置、网络故障排查、存储资源管理、数据备份管理等。
尤其是网络拓扑部署功能,管理员只需要在界面上画出所需要的网络、安全、虚机的组网拓扑,只需数分钟就可以实现业务系统的就绪,做到“所画即所得”。
此外,还可以针对管理员进行权限的管理和划分,后续通过升级可以支持多租户业务场景的管理。
从而,只需要一个管理界面,就可以帮助运维人员高效、简便的实现云计算中心IT资源的部署、运维、排障。
服务器虚拟化管理模块
服务器虚拟化管理模块可以针对物理主机、虚拟机、内置/外置存储进行全面的系统管理。比如,可以针对物理主机增加/删除、物理主机性能监控、应用系统P2V迁移、虚拟机创建/克隆/迁移/监控、存储资源管理、数据备份和恢复等等。
1、服务器虚拟化性能监控功能: 2、虚拟机创建、迁移管理功能: 3、数据备份和恢复功能: 网络虚拟化管理模块
网络虚拟化管理模块可以针对虚拟化环境下的虚拟交换机、虚拟路由器、虚拟下一代防火墙、虚拟应用交付、虚拟VPN、虚拟广域网优化、物理网络边界等进行全面的管理,并进行网络拓扑部署、故障自动排查等功能。
从而可以让过去以天为单位计算的网络部署周期缩短为分钟级,让网络故障的排查更加自动化,减少人为故障的可能。
1、网络拓扑管理和部署:
通过拖动管理界面左侧中的各种网络、安全设备图标到画布中,并完成网络连线,画出实际应用系统所需要的网络架构,整个业务系统就可以快速完成部署。
如下图所示,就是搭建一个Web应用所需要的Web服务器区、APP服务器区、DB服务器区所需要网络架构,每个区域都可以部署虚拟应用交付进行服务器负载均衡,在区域之间部署虚拟防火墙实现安全域的隔离和控制,在应用的边界还可以部署具备WAF/IPS功能的虚拟防火墙,防止来自外部的应用层攻击。
2、网络、安全、优化设备策略配置管理
如果需要针对不同的网络、安全、优化设备进行配置管理,只需要点击对应设备的图标,就可以进入其Web化的管理界面进行路由协议、网口IP地址配置、ACL、VLAN、DHCP、安全防护策略、负载均衡策略的管理。
➢ ➢ ➢ ➢
路由器配置界面: 设备网络配置界面:
网络、安全、优化设备性能监控管理界面: 网络故障排查管理界面:
只需要输入目的和源地址,就可以快速定位出整个访问路径上出现网络中断的原因,比如ACL拒绝、设备故障、连线中断等等。
存储虚拟化管理模块
存储虚拟化管理模块可以针对aSAN资源池中各个物理服务器的硬盘、缓存盘、数据高可用策略、性能监控等进行全面的管理。从而极大程度的提升。
管理界面简单明了,不需要学习复杂的LUN、RAID等存储基础知识,就可以让管理员快速上手,快速完成高可靠、高性能、弹性的存储资源管理。
1、集群内存储资源性能监控:
可以监控整个存储资源池的IO访问次数、IO吞吐、存储使用量、缓存命中率等各项性能指标。
2、高可用等策略管理:
可以配置整个集群的副本容量策略、故障恢复策略、数据平衡策略等高可用功能,从而极大的提升aSAN的高可靠性。
3、物理服务器硬盘资源管理:
可以实时查看物理服务器上各种硬盘资源状态,并针对设置硬盘使用类型,如热备盘、数据盘、缓存盘等等,从而做好资源池高可靠、高性能的干礼策略。
深信服超融合架构方案价值和优势总结
深信服超融合架构价值
深信服超融合架构解决方案的主要价值体现在下面三个方面。
1、使用软件定义的网络、安全、存储获得效率和敏捷性
摆脱极不灵活的网络和安全、存储体系结构,这种体系结构基于手动调配的VLAN并使用分立管理界面的专用设备,需要复杂的LUN、RAID等存储管理。使用软件主导型网络和安全、存储虚拟化服务,获得云计算基础架构的全面敏捷性。通过创建能够适应工作负载并随工作负载移动的网络和安全、存储
结构,根据业务需要快速部署、移动、扩展和保护应用及数据。深信服超融合架构可使软件主导型网络和安全、存储与紧密集成到虚拟数据中心管理中的基于策略的调配机制结合在一起。
2、通过提高效率和利用率降低运营、采购成本,实现资源的按需供给
深信服超融合架构无需重新配置物理网络、外置存储,即可跨集群和单元弹性分配计算资源,用户可以在初始阶段,仅投入项目所必需的最少资源,在后续的生产实践中,根据实际需要,可以再追加扩容物理服务器的计算、存储资源,从而实现真正的随需应变与资源动态供给,并最终提高资源利用率。此外,深信服超融合架构提供了高度可扩展的虚拟网络,可简化调配,降低运营成本,同时减少对专用设备的需求。
3、利用虚拟工作负载的敏捷性,适应动态业务需求
可创建随应用扩展的网络并在需要的位置应用安全服务,而无需升级硬件。深信服超融合架构可提高应用可用性并增强网络性能和存储容量。
➢ 无需重新配置物理网络,即可部署、移动或扩展虚拟工作负载 ➢ 可自动调配和横向扩展网络连接和安全服务 ➢ 能够更全面地了解虚拟通信流量 ➢ 线性扩展存储容量和性能
深信服超融合架构的优势
1、提供更加完整的IT基础架构虚拟化方案,涵盖网络、安全、存储、计算 2、管理运维更加便捷、简单,零学习成本,让IT架构所画即所得 3、整体拥有成本更低,无需特殊、专用的网络、服务器设备即可实现 4、国产化,提供多样、丰富的L2-L7安全和优化功能,更好的满足合规要求
因篇幅问题不能全部显示,请点此查看更多更全内容