高校云数据中心建设方案.docx
- 文档编号:5257497
- 上传时间:2022-12-14
- 格式:DOCX
- 页数:17
- 大小:3.89MB
高校云数据中心建设方案.docx
《高校云数据中心建设方案.docx》由会员分享,可在线阅读,更多相关《高校云数据中心建设方案.docx(17页珍藏版)》请在冰豆网上搜索。
高校云数据中心建设方案
高校云数据中心建设方案
目录
1我校数据中心建设思路2
2我校现状3
3五地三中心总体设计4
3.1区域互联设计4
3.2一校区(主数据中心)设计4
3.2.1机房设计4
3.2.2网络平台设计5
3.2.3虚拟化设计7
3.3我市区域三中心设计8
3.4威海,深证分中心设计9
4主数据中心年详细设计方案10
4.1总体方案10
4.1.1核心区11
4.1.2业务区域12
4.1.3广域网接入区13
4.1.4运维管理区域13
4.2扁平化网络架构13
4.3业务隔离17
4.4安全方案18
1我校数据中心建设思路
根据我校实际情况,数据中心建设围绕以下三个思路
第一:
由基础平台建设转变为服务驱动模式
高校网络中心由提供信息化支撑向提供服务迈进,特别是互联网+的提出,对高校网络中心的工作提出了新的内容,高校更致力于提供以服务驱动应用,以应用驱动信息化建设的理念,而数据中心是校园网信息化建设的核心,需要做到能够面对未来的应用发展,其一是可以随时面对爆炸式信息增长的横向扩展,其二,高校未来面向多样化的服务模式,科研,教育,社会服务等等,所以数据中心还需要具备灵活的架构,具备适应各种业务模式的纵向的扩展变化。
第二:
转变服务提供模式
提高服务提供模式,由资源托管到自助服务
1)服务器即服务:
虚拟机针对传统物理服务器有如下优势:
第一,统一规划设计,消除信息孤岛,提供资源利用率,节省总体投资成本。
我校经过几轮的信息化建设,目前业务趋势是由离散型向集中型发展,实现基础设施的融合、数据的融合、业务的融合,而IT基础设施融合则是首当其冲的第一步。
第二,快速业务上线,解决应用扩展问题。
在传统服务器模式下,新业务上线,需要规划设计、选型采购、运输到货、硬件安装、调测对接、基础应用部署等诸多环节,需要历时一个月才能推出一个新业务,而通过虚拟机模板、业务部署自动化等技术方案,通过一键式部署在分钟级内完成业务上线,并且在此过程中不需要进入机房,不需要调整网络,不需要变更物理设备,只需要在管理平台通过向导式配置为应用系统从资源池分配虚拟机资源、存储资源和网络资源。
第三,统一运维运营,解决信息中心人力问题。
系的资源进行集中整合,提升了IT支撑能力和运维能力。
2)桌面即服务:
桌面云解决方案,传统PC无法方便地进行统一集中维护与管理,无法进行集中存储与备份,桌面标准化难度高,运维成本大,而桌面云很好的解决了这些问题,根据我校实际情况,桌面云适用于教职员工普通办公、教室或者多媒体教室教学、安全办公,特别提出的是,某些高校科研数据是涉密的,桌面云可以很好的解决数据安全问题。
第三:
建设三地五中心的数据中心云平台
从我校实际情况出发,建设三地五中心的网络架构,以我市地区一校区为主数据中心,二校区为同城云备份中心,江北校区,威海校区和深圳校区为异地云备份中心,形成高速骨干网络,实现备份服务和业务连续性服务,为关键数据和关键业务提供安全可靠的数据备份服务和业务连续性服务。
2我校现状
结合十二五建设目标,我校信息化建设现阶段取得的以下进展,首先网络架构逐步实现扁平化部署,将网络平台承载的功能由边缘设备向核心设备迁移,弱化边缘设备对功能和性能的要求,降低采购和维护成本,使边缘设备成为简单接入手段,而所有功能统一由核心层承载,实现统一认证,计费和授权等功能,其次,对我校数据中心进行虚拟化部署,对数据中心的基础设施进行了升级,全面部署虚拟化,为智慧校园的创新业务发展打好基础,最后,对我校信息安全进行了全面部署,包括信息安全和网络安全,实现互联网访问信息的收集,识别和追查。
3五地三中心总体设计
结合我校实际情况,数据中心总体规划如下,建设以已我市地区为主,威海地区,深圳地区为辅的三地信息互联,包含我市地区一校区,二校区,大学城校区,威海地区威海分校,深圳地区深圳分校五个数据中心,五个数据中心网络层面逻辑互联,建设以我市地区为主的三地五中心云数据中心平台。
3.1区域互联设计
在我市区域三个中心铺设光缆环路,采用40GE接口带宽,未来可平滑扩展到100GE,威海分校和深圳分校通过专线连接到一校区和大学城校区,采用MSTP链路10GE接口带宽。
最终实现五中心的全区域逻辑互联。
3.2一校区(主数据中心)设计
3.2.1机房设计
建设新数据中心机房,升级完善机房基建设施,在供电方面提供双路供电保障系统,提升供电功率,升级UPS以及空调系统,构建稳定的制冷环境,建设完善机房的安全和动力环境监控系统,扩展机房的机柜铺设和综合布线系统。
采用全封闭冷通道设计,全区域网络视频监控和环境监控,最终实现无人值守的绿色安全机房。
3.2.2网络平台设计
建设高性能可扩展的网络基础平台,选择开放式的网络架构和网络技术,构建高性能,可满足不同应用平台的高弹性数据中心网络,服务器接入使用万兆接入方式,构建大容量,标准化的数据中心网络架构,采用逐步建设,横向扩展的原则,逐渐提供满足5000台以上高性能服务器的网络环境,实现链路的高可用性,核心设备的硬件冗余,完善数据中心的安全平台,提升安全防护的性能和维度。
进一步完善标准化的计算资源和存储资源平台,对服务器和公共存储系统进行扩容,建设面向校内云服务的虚拟化平台,搭建可以支撑校园各项公共服务的基于成熟的虚拟化技术,提供弹性云服务,可管理的灵活的计算和存储平台。
针对核心数据和核心业务,在其他校区构建异地容灾中心,实现核心数据资源和核心业务的备份保障。
详细组网方描述
采用分区建设,分为核心业务区,大数据平台,云测试平台,数据存储平台,每个区域独立L2设计,每个区域连接核心交换机,核心交换机做L3终结,各个区域网络层面虚拟化,并可以与核心交换机形成矩阵交换,核心交换机旁挂防火墙,为区域之间实现安全保护和业务控制,核心交换机上行连接广域网和互联网区域,广域网与各个分校区形成高速环网,互联网区域提供外网互访和业务发布,全网支持开放的虚拟化部署,性能可横向无限扩展,功能可纵向无限延伸,其特点如下:
1.高性能支持SDN特性
数据中心网络采用10GE接入,上行采用40GE-100GE接口汇聚,建立高性能无阻塞的数据中心架构,并支持VXLAN,openstack,vmware等虚拟化特性。
2.支持虚拟化矩阵架构
数据中心全面部署虚拟化,建设面向终端,以“人”为驱动的业务模式建设智能的数据中心,可灵活应对未来的技术变化,如SDN,OPENSTACK建设云数据中心,能够横向扩容,平滑扩展,所以需要数据中心网络层设备能够灵活支持多种矩阵组网方式,并能够在根据需求平滑过渡。
3.2.3虚拟化设计
整合网络,服务器,软件资源,形成统一虚拟化资源池,提供从设备层到网络管理层,与VMware全面深度融合SDDC一体化解决方案,实现以下功能。
1)物理与虚拟视图的统一可视化
●完整的虚拟与物理的映射关系
●VM的实时追踪
●CAE支持ESXi部署CA
2)网络管理动态适应vMOTION
●动态更新Physical-Virtual拓扑结构
●动态自动化完成网络配置(VLAN和接口配置)的变更
3)集成虚拟化安全
●统一管理和部署虚拟防火墙
●物理防火墙、虚拟防火墙的统一管理
3.3我市区域三中心设计
在我市区域建设以一校区为主数据中心,二校区和大学城校区为备份中心的云平台,三个中心成环网互联,采用裸光纤铺设,形成以校园网为服务中心的云平台。
一校区作为主数据中心,承载所有校园网业务,大学城校区作为1:
1灾备中心,提供包括数据,业务和互联网出口备份,二校区只作为数据灾备中心,三个数据中心统一为校园网提供服务,形成云数据中心平台,在L2层面采用交换集群架构互联
3.4威海,深证分中心设计
威海,深圳分校独立数据中心,作为云端,我市区域三中心统一作为核心云,其中统一身份认证系统,统一通讯系统,智慧校园系统与我市核心区域进行同步,通过CERNET城域网互联,采用VPN技术建立虚拟专网,每个云端拥有独立路由器可以实现MPLSVPN,EVPN组网架构,能够实现与核心云一体化的L2/L3信息同步,通过核心云自动化部署业务。
4主数据中心年详细设计方案
4.1总体方案
网络总体拓扑如下:
整个数据中心可以分为以下组成部分:
核心区域:
由核心交换机防火墙组成,实现整个数据中心业务的快速转发
业务区域:
包含核心业务,数据存储区域和大数据平台/云测试平台
运维管理区域:
提供网络自动化监控,运维,管理
广域网区域:
提供各个校区互联互通,包括L2/L3信息通信
互联网区域:
提供多出口互联网互访
4.1.1核心区
设计目标是作为整个数据中心的核心骨干交换机,提供数据的高速率吞吐,并且提供冗余的架构以及未来可扩展的核心架构根据未来的扩展需要,能够提供几何方核心扩容,也可以应用虚拟机箱技术实现核心交换机的虚拟化;
采用数据中心核心级别交换机产品QFX10000,独立芯片设计设,100GE链路互联。
所选设备具备控制平面和数据转发平面分离的硬件架构设计,并且多个物理部件均具备冗余组件,充分保障了网络核心在提供高性能数据传输的同时提供服务的高可用。
安全层面采用SRX5400数据中心级别安全网关产品,通过与核心交换机通过路由方式引导流量至SRX5400,并且在安全网关上部署安全区域(securityzone)来实现数据中心内部跨区域互访的有效访问控制。
同时SRX可以实现虚拟防火墙,并可以实现基于虚拟机之间的监控,这一点在安全设计中有更为详细的介绍。
4.1.2业务区域
设计目标这两个区域是数据中心的核心业务区域,为客户的数据提供托管服务,存储空间以及提供业务系统切换所需的应用程序平台。
为满足不断增长的服务器数量,该区域的网络交换机应用虚拟机箱技术实现端口密度的按需扩展和灵活的部署方式;
两个区域分别采用QFX5100交换机,未来可通过VC虚拟机箱技术实现统一管理,简化接入网络结构,网络扁平化的目的。
与此同时,可以随着服务器的增加端口密度需求的扩大按需增加QFX5100交换机的数量,扩充VC的规模,支持多种虚拟化技术,能够从面向百级数量服务器平滑过渡到千级数量服务器规模,支持VXLAN,EVPN等overlay技术,并可以而与VCERNTER实现SDDC融合,支持10GE,40GE,100GE端口。
根据需求的增长进行设备投入,有效地利用资金而不必浪费过多的开支,并且可以有效降低管理设备的数量和管理复杂度;
4.1.3广域网接入区
设计目标是该区域将承载五地三中心区域互联,在我市区域实现三中心光纤互联,与深圳,威海区域成VPN互联,承载CERNET城域网,同时可以根据未来客户数量的增加扩充更多的接入端口;作为一个独立的安全区域通过防火墙实实现对数据中心的访问可控以及安全威胁的有效隔离;
该区域分为高速链路汇聚接口和低速链路汇聚接口两个部分,由数据中心汇聚级路由器MX960提供高速链路接入,同时提供足够的数据处理能力来保障数据的高效传输。
本身设备具备未来提升支持万兆网络的扩展能力,可以配合数据中心内部网络从千兆网络升级到万兆网络。
MX960支持多业务处理板卡,可以提供如防火墙,VPN等高级服务,未来可提供互联网区域的安全保护。
4.1.4运维管理区域
数据据中心管理区是数据中心的操作中心,包括:
监控中心和数据中心物理设备操作中心。
●监控中心:
是指为用户提供的管理、控制、访问用户服务器(虚拟机),存储设备(虚拟化存储空间)的操作平台;
●物理设备操作中心:
是指对数据中心的物理设备,如:
网络、安全、服务器、存储设备的管理、监控平台;
设计目标为整个数据中心的网络日常运行维护(设备管理、业务系统实时监控、故障处理、数据服务平台)提供必要的网络连通,并提供未来可以升级传输带宽的能力;
采用EX4300以太网交换机提供网络接入服务,可以将日志服务器、业务监控系统、故障处理平台接入到数据中心网络中,便于及时获得数据中心的运行信息。
在未来如果需要升级上联带宽,可以将交换机升级提供万兆以太网接口,从而实现管理网络和业务网络的同步升级;
4.2扁平化网络架构
接入交换机QFX5100,核心交换机QFX1000支持虚拟机箱技术,可以实现交换机的虚拟化,从而实现有利于用户建设云计算数据中心的扁平化网络结构。
在大量的数据中心环境中,需要部署大量的以太接入交换节点提供服务器连接到网络核心。
为减少交换节点,数据中心架构解决方案采用集群交换技术形成单一的、逻辑设备,实现整个数据中心网络架构的最简化。
虽然全部的交换机以单一平台运行,但在虚拟机箱配置中的每台独立物理设备都有其自身的电源输入和风扇盘阵,提供可靠的以太网交换能力。
因此,由于采用了高性能的交换核心和网络边缘设备,同时通过VCF技术实现了网络架构的简化,因此新的数据中心的网络可以采用核心—接入的二层架构,从而提升效率、减少故障点、降低管理维护工作量。
数据中心的交换机无论是以柜顶“Top-of-Rack”方式还是以列末“End-of-Row”方式部署,利用集群交换技术可以大幅减少交换机之间汇聚的连接和端口。
无需为每台物理交换设备配置冗余链路以确保HA,仅为每个集群交换组配置冗余互联链路即可。
和具体的配置有关,集群交换机箱组中的某些交换机可能没有上联链路,而是借助其他成员交换机的上联链路。
在虚拟交换机配置方式下,所有物理交换机通过一块高性能背板连接,并允许在故障时切换到互联的备份交换机。
这样的配置显著减少了确保网络连接冗余所需的链路数量,同时降低或消除了数据中心接入交换节点的生成树协议的需求.
采用EOR部署方式。
随着数据中心服务器虚拟化的逐步部署,需要数据中心的网络架构能够提供针对虚拟化后流量模型的优化的转发。
采用VMware等方案实现单台物理服务器虚拟化为多台逻辑的服务器,并在不同逻辑服务器上运行不同的应用系统,如下所示:
1)虚拟机与接入交换机的连接
虚拟化后的逻辑服务器之间可以通过服务器内部的虚拟交换机vSwitch的VLAN划分实现相互之间的隔离,虚拟交换机vSwitch通过物理的NIC网络接口实现和数据中心的QFX5100接入交换机之间的Trunk互联,通过VLANTAG实现不同逻辑服务器的二层隔离。
此时,为了实现虚拟服务器之间的相互的数据交互,必须提供VLAN间的三层路由功能。
由于QFX5100能够提供线速的三层转发功能,并且在数据中心的边缘实现,因此能够提供最优化的逻辑服务器之间的线速的流量交互。
(如果边缘设备不能提供三层路由功能,则需要流量经过数据中心的汇聚设备甚至核心设备,才能实现三层的VLAN间路由功能,这种方式的效率是非常低的,也不符合数据中心流量模型)。
对于这种虚拟化的方案,我们建议的服务器连接方案如右图所示:
一台物理服务器通过双网卡连接到数据中心边缘的同一个VC的两台QFX5100上,该物理服务器内部划分的多个虚拟服务器之间通过VLAN实现相互的二层隔离,并通过Trunk连接到QFX5100VC上。
而通过边缘的QFX5100VC的三层转发功能,虚拟服务器之间的交互流量无需通过核心层设备,就能够实现网络边缘的、线速的、优化的数据转发。
2)vMotion
数据中心服务器的虚拟化是依靠虚拟机的迁移技术来实现与物理资源无关的资源共享和复用的,因此在实际部署数据中心网络和服务器时,建议将有大量交互数据的物理/虚拟服务器尽量部署在同一个接入层,结合junosspace能够实现网络和服务的可视化管理。
4.3业务隔离
哈工大数据中心云平台建设的目标包括以下两点:
●采用虚拟化技术,即,服务器虚拟化和存储虚拟化,实现数据中心IT基础架构资源的统一调配;
●各用户共享数据中心的IT基础设施,包括:
网络设备,安全设备,服务器和存储设备。
在上述前提下,如何实现享用云计算灾备用户网络平面的分离是本项目网络方案的重点。
采用业界都支持的虚拟路由(VirtualRouter,简称“VR)标准技术,支持从交换机,防火墙,路由器全线网络产品,在数据中心实现全面的用户网络平面分离,即,从数据中心入口(接入路由器),到数据核心交换,直至提供服务的虚拟化资源端,都实现网络平面的分离。
当用户访问灾备数据中心的服务时,是使用的专用的网络通道,不同用户的网络流和路由不会产生交叉,就像使用专用设备一样。
4.4安全方案
核心防火墙SRX5400只用于数据中心管理区和两个生产业务专区:
数据复制专区和业务接管专区,之间的网络访问流量,实现云计算平台管理终端和用户服务器(虚拟机)的访问控制可安全保护。
通过网络控制器控制能帮助网管员通过一个统一的界面实现同时管理物理网络和虚拟网络。
这可以最大程度地减少出错,降低运营的复杂性并削减成本,同时按计划地交付虚拟化数据中心。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高校 数据中心 建设 方案
![提示](https://static.bdocx.com/images/bang_tan.gif)