一、云计算建设趋势与当前主要问题
个人电脑、互联网是过去30年当中看到两个非常变革性的事物,带来了IT使用的行为方式的转变,云计算被看作是继个人计算机变革、互联网变革之后的第三次IT浪潮,未来20、30年可能会带来IT应用交付模式、IT建设变革性的创新技术,是中国战略性新兴产业的重要组成部分。它将带来生活、生产方式和商业模式的根本性改变,成为当前全社会关注的热点。
同所有的变革一样,云计算是技术进步、需求推动、商业模式转变共同推动的结果。主要推动因素包括:
- 虚拟化技术的快速发展
- CPU等硬件的快速发展
- 网络技术的快速发展
- 企业对IT基础设施的需求快速增长
- 互联网行业对IT基础设施的需求变化迅速
- 市场对云计算商业模式逐渐认可
- 用户降低总体拥有成本和减少一次性投入
云计算在建设模式上,与传统的IT建设模式存在较大的差异,如下图所示:
传统的IT建设模式:一般都是业务驱动,自顶向下的方式,需要上业务系统的时候,申请立项—>预算审批—>方案设计—>招投标采购—>部署上线。如此下去,企业的IT系统会形成很多彼此孤立的“烟囱”,基础设施(计算、存储、网络)的利用率低下,运维管理成本高。而且业务上线的周期长,不能适应企业业务的快速调整。
云计算建设模式:云计算建设时常采用自底向上的方式,首先利用虚拟化或集群技术构建基础IT资源池(计算、存储、网络),对IT资源进行整合,提高利用率。用户或业务部门需要部署业务系统时,通过自助门户向IT运维部门申请资源,IT运维部门通过云计算运营管理平台(Cloud OS)对资源池内的资源进行分配与调度,最后以服务的方式交付给用户或业务部门。此种模式下,资源池的构建与上层的业务应用是松耦合的关系,有业务上线需求时可以快速分配出基础IT资源来支撑业务的部署上线。
近年来中国云计算应用市场的发展明显加快,无论是“公共云”还是“私有云”,典型案例日趋增多。可以看出,目前云计算在国内的概念期已过,进入到实践期。但从整个云计算的产业链来看,中国云计算的产业化仍然处于启步阶段,尚存在如云运营平台网络支持欠佳、标准缺失、数据主权争议、可用性、稳定性担忧、厂商锁定、服务质量难以规范等诸多障碍。其中,云平台网络支持欠佳和标准缺失成为阻碍云计算建设的核心技术问题。
云运营平台:也称之为“Cloud OS”,用于实现云计算基础资源(计算、存储、网络)的管理、调度与分发。目前业内的主流云计算解决方案提供商均有自主的Cloud OS,但纵观业内各厂商Cloud OS的功能实现,可以看出,它们对计算、存储资源的调度、分发支持非常完善,但对网络资源的支持非常欠缺,基本仅能做到IP、VLAN这个层次,更精细化的管理如服务质量(QoS)、安全访问控制策略(ACL)均无法支持。
标准缺失:云计算做为新兴IT技术,目前业内的相关技术标准、行业标准还没有完全形成。因此当前商用的云计算整体方案大多是基于特定厂商的特定产品组合,不同的厂商方案和产品的兼容性较差。这样会导致用户的厂商锁定及不同云服务供应商之间的业务迁移困难,影响未来云计算应用的推广与扩容。
因此,对于云计算运营平台的选择,需要重点关注兼容性与扩展性;对于云计算的网络承载平台,标准化和多厂商的互通性尤为重要,避免厂商锁定。
二、H3C开放云战略
杭州华三通信技术有限公司(以下简称H3C), 致力于IP网络技术与产品的研究、开发、生产、销售及服务。始终聚焦IP技术领域创新进步,以覆盖IP网络、IP安全和IP管理的产品线为积累形成以新一代互联网解决方案为核心的开放云网络解决方案,并迅速得到广泛应用,赢得众多高端客户的亲睐。H3C公司云战略包括以下三个层面:
专注网络:H3C自成立之日起一直专注在网络技术领域,经过8年的持续研发、累计投入超过65亿元人民币,产品型号从数十款增长到现在的360余款,发明专利授权量从2010年的第六名提升到2011年的第五名,人均专利拥有量稳居第一。四框IRF2虚拟化技术全球领先,累计近4亿元的投入使H3C拥有业界最先进的第一方可靠性实验室和国内网络规模最大的测试中心。在云计算领域,H3C仍然定位为云计算网络解决方案专家。专注,所以专业,这是H3C的立足之本。
推动标准:网络是连接云计算各种资源及终端的重要管道,网络的标准化程度将直接影响到云计算的互通性与厂商兼容性。H3C网络方案与产品一直秉承“标准化”路线,保证良好的第三方厂商兼容性。同时,H3C一直致力于推动云计算网络新技术标准化的工作,向IEEE国际标准化组织提交的802.1Qbg VEPA提案,目前已经进展到Draft2.0版本,即将成为解决虚拟机接入网络的国际标准。在中国的电信运营商,H3C正积极配合中国电信、中国移动、中国联通制定云计算网络相关的行业标准。
开放合作:在云计算运营平台(Cloud OS)的构建上,H3C坚持开放的网络服务架构,提供对所有网络设备的统一管理调度平台,并向合作伙伴提供面向云业务的调用接口,以弥补当前各厂商Cloud OS对网络资源调度和管理缺乏的不足,为用户提供完善的运营平台。在云计算项目的建设上,H3C也愿意与各大主流方案集成商合作,为用户提供全方位云计算解决方案,实现项目的统一交付。
H3C基于上述开放云战略,为客户构建开放云,如下图所示,主要包括:
- 解决方案层面:配合合作伙伴交付整体方案;
- 云操作平台层面:开放软件接口,开放网络服务架构,实现网络即服务(NaaS);
- 产品层面:面向云的硬件开放应用架构(OAA),标准的协议互连;
- 基础架构整合层面:基于开源平台的虚拟交换机vSwitch,计算、存储统一交换架构。
三、H3C云计算网络解决方案
网络是云计算的核心承载平台,无论是云服务的构建、云服务的备份、云服务的推送均离不开网络。网络健壮与否直接影响租户业务的连续,网络安全与否直接影响租户业务的信息安全,网络传输质量的好坏直接影响到用户的使用效果。
在云计算系统构架内,根据网络互联功能的差异能,可以将云计算网络分为以下三个层次:
云内互联:主要用于云数据中心内服务器、存储基础IT资源间的互联,完成计算、存储资源池的构建,满足云运营管理平台通过网络实现各资源的编排、调度与交付。引外还需要根据各租户、各业务系统的不同互访需求,实现网络层的资源隔离与安全访问控制。
云间互联:主要用于多个云数据中心间的横向互联,实现多个资源池横向整合,云服务、数据的备份,同时满足云运营管理平台实现跨数据中心资源的编排、调度、迁移、集群等。
云端互联:主要用于云数据中心与用户终端间的纵向互联,实现云服务的推送、呈现,满足用户对云计算资源的使用与管理。
在云计算环境下,这三个层面的互联网络与传统“数据中心网络”、“城域网络”、“广域/局域网络”相比,存大较大的差异,传统的技术与设备面临着新的挑战与革命。H3C凭借在IP网络领域多年的积累,针对云计算环境下网络的新需求,推出了一整套开放云网络解决方案及系列产品,实现云计算的网络就绪。
1、云内互联
云内互联网络云计算网络的核心,也是近年来新技术、新标准创新最为密集的地方。与传统数据中心网络相比,云计算数据中心内部互联网络面临着如下挑战:
从物理服务器互联到虚拟机的互联
传统数据中心网络互联对象是物理服务器的网卡(NIC),在云计算数据中心内,服务器虚拟化技术将大规模部署,物理服务器被虚拟化为虚拟机,物理网卡也被虚拟化为虚拟网卡(vNIC),因此在云计算数据中心内的网络互联将为演变为面向虚拟机的互联。虚拟机与物理服务器相比,有着规模大、动态迁移等特点,这将对网络的性能、规格、安全策略及管理等多方面提出新的要求。
从小规模二层网络到大规模二层网络互联
传统数据中心通常是按照模块化的思路进行规模设计,网络设计与模块对应进行分区,在此模块化分区组网架构下,二层网络(VLAN)的范围一般仅局限在模块分区内部。在云计算数据中心内,通常按照资源池方式构建网络,为满足资源池内任意两台服务器/虚拟机均可进行业务集群或迁移调度,二层网络(VLAN)的范围需要扩大到整个资源池。从小规模二层网络大规模二层网络互联,会带来二层环路复杂、设备/链路利用率低、运维管理难度大等一系列问题。
从静态实体安全到动态虚拟安全
传统数据中心按照模块化分区的方式设计,安全边界清晰、安全域固定,网络层安全的部署一般在安全边界在线或旁挂FW、IPS等安全设备来实现,安全设备和策略与较固定,调整和更改的需求较少。在云计算数据中心内,由于计算和存储资源的虚拟化构成了资源池,安全边界模糊。而且这些资源会随着租户的需求随时进行调度与调整,安全域和安全策略时常会有变化与调整。如何让安全资源的部署与租户的虚拟IT资源进行绑定,并根据租户的要求进行灵活动态调整,是云计算数据中心内网络安全部署需要考虑的问题。
从孤立管理到智能联动管理
传统数据中心的基础IT资源管理平台通常包括“服务器/虚拟化管理平台”、“存储管理平台”、“网络管理平台”,这三个管理平台之间通常是“各自为政”,彼此是孤立的,各自由相应的管理员进行管理。云计算数据中心的管理平台在这三个管理平台之后,有一个全局的“云计算运营管理平台”或“Cloud OS”,由此对计算、存储和网络三大IT基础资源池进行全局的调度和资源编排,将这些资源以服务的形式交付给租户。为保证云计算运营管理平台能够对这三大基础IT资源进行管理,“服务器/虚拟化管理平台”、“存储管理平台”和“网络管理平台”需要向上提供云计算运营管理平台提供相关的接口调用,形成紧耦合,而不再是各自为政、彼此孤立。
针对上述四个方面的问题,H3C在“新一代数据中心解决方案”在基础上进行不断优化与完善,通过“虚拟机感知网络”、“增强二层网络”、“虚拟化动态安全”和“开放网络架构”来解决上述问题:
1.1 虚拟机感知网络
在云计算数据中心内,服务器虚拟化会大规模部署,如下图所示:
服务器虚拟化的大规模部署,会给网络带来以下两个大层面的问题:
1) 网络设备的性能与功能规格
随着服务器虚拟化的大规模部署,网络中的业务流量和服务器主机表项(ARP/MAC等)会成10~20倍的增长,这对网络设备的性能和表项规格提出了更高的要求。流量模型从纵向流量网络切换成混合的方式,为保证网络的高性能,整网的收敛比要求较小,保证网络的低收敛甚至无收敛。网络从核心至接入各层均不应存在阻塞,还要具备对突发流量的承受能力。
S12500是中国国内第一款100G平台交换机,支持未来40GE和100GE以太网标准,整机可以提供576个万兆端口,提供高密度万兆接入能力;面对下一代数据中心突发流量,创新的采用了“分布式入口缓存”技术,可以实现数据200ms缓存,满足数据中心、高性能计算等网络突发流量的要求;为了满足数据中心级网络高可靠、高可用、虚拟化的要求,S12500采用创新IRF2(第二代智能弹性架构)设计,将多台高端设备虚拟化为一台逻辑设备,同时支持独立的控制引擎、检测引擎、维护引擎,为系统提供强大的控制能力和50ms的高可靠保障。
为了解决服务器虚拟化带来的高密度接入问题,H3C推出了新一代S5820高密万兆全线速交换机,提供48个万兆SFP+端口和4个40GE端口,而且每个40GE端口可方便扩展为4个万兆端口。同时提供前后可选风向风道,保证数据中心的高效散热。
2) 虚拟机接入网络的管理与控制
服务器虚拟化之后如何网络进行对接,如何在网络层实现对虚拟机的管理与控制?将是云计算环境下网络面临的新问题。针对此问题,HP与H3C于2009年向IEEE EVB(Edge Virtual Bridging)组织提交了VEPA(Virtual Ethernet Port Aggregator)方案,此方案作为802.1Qbg标准草案立项,目前已经到Draft 2.1版本(2012年1月),而且得到了Juniper、IBM、Qlogic、Brocade等众多厂商的支持,H3C的产品和整体方案已在泰尔试验室测试通过。如下图所示:
VEPA方案的目标是要将虚拟机之间的交换从服务器内部移出到接入硬件交换机上,实现虚拟机之间的“硬交换”。采用这种方法,通常只需要对网卡驱动、VMM桥模块和外部交换机的软件做很小的改动,从而实现低成本方案目标,而且对当前网卡、交换机、现有以太网报文格式和标准影响最小。此方案具有性能高、控制力度强、配置管理简单等特点。
采用VEPA方案,虚拟机的流量都是通过物理接入层交换机完成,它的访问控制和报文下发策略也是基于物理接入层交换机,因此很好地避免了网络和服务器设备管理边界模糊的难题。VEPA标准协议VDP还能准确的感知虚拟机的工作状态,当虚拟机发生迁移时,VEPA协议会将与此相关的访问控制和报文下发等策略重新部署到新的接入交换机。
增强二层网络
云计算环境下,计算、存储资源通常以资源池的方式构建。池内虚拟机迁移与集群是两种典型的应用模型,这两种模型均需要二层网络的支持。随着云计算资源池的不断扩大,二层网络的范围正在逐步扩大:
大规模部署二层网络则带来的第一个问题就是二层环路问题。采用传统STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二层网络技术(如IRF/VSS、TRILL、VPLS等)的应用,以解决传统技术带来的问题。此外,云计算数据中心大二层网络由于虚拟机的迁移、集群,无序突发流量会大大增加,再另上业务系统的复杂性,使得突发流量还具有不可预测的特点,因此要求云计算数据中心设备具有超大缓存的特性。
针对二层环路的问题,H3C采用IRF2(第二代智能弹性架构)技术将多台网络设备虚拟化为一台,通过跨设备的链路捆绑消除网络环路,同时将这些设备作为一台统一管理、配置和使用。目前,基于增强的IRF2技术,H3C能将4台核心交换机虚拟化为1台,开创了核心设备虚拟化的新纪元,在行业内处于领先地位。
如上图所示,IRF2虚拟化技术不仅可以将多台物理设备简化成一台逻辑设备,而且使得网络各层之间的多条链路连接也变成两台逻辑设备之间的直连,因此可以将多条物理链路进行跨设备的链路聚合从而变成一台逻辑链路,这样避免了由多条链路引起的环路问题。
在云计算环境下,由于计算、存储资源的“池”化,并以服务器形式租赁给多租户,而租户的业务特征对云运营管理者透明的。因此网络的流量模型将变的模糊,流量的突发性也变得无法预知。针对云计算中心的突发流量,H3C交换机创新的采用了“分布式大缓缓存”技术,如下图所示:
“大缓存”---- S12500每万兆端口256MB Buffer,万兆全线速转发时可实现200ms的报文缓存,满足云计算数据中心高突发流量的需求;
“分布式”---- 将端口缓存由传统的Egress方向移至Ingress方向,在“多对一”的拥塞模型下,Ingress方向的缓存能力比传统Egress方向缓存提升了N倍(N为入端口数目)。可以更好的匹配云计算数据中心向多个WEB/APP服务器向单个DB服务器的流量模型。
1.3 虚拟化动态安全
云计算将IT资源进行虚拟化和池化,这些资源将以服务的形式动态分配给租户使用。对于云计算网络层的安全防护,需要解决下图所示的两个问题:
位于同一物理服务器内的多个不同虚拟机之间的流量安全防护,此类流量有部分是直接通过vSwitch进行交互的,部署在外部网络层的防火墙策略将无法实现安全防护;
随着云计算中心内新租户的上线和业务变更,传统静态的防火墙部署方式已经不能满足,需要将防火墙也进行虚拟化并交付给租户使用。
H3C动态虚拟安全的构建主要分4个层面,一是基于VEPA或VLAN将VM流量引出并进行识别,为下一步给不同流量部署不同级别安全策略作准备;二是防火墙资源动态分配,这是动态安全最为核心的一个步骤。通过1虚多的虚拟化技术,将一台防火墙设备虚拟化为多个虚拟墙vFW,根据不同的需要动态分配;三是通过SecBlade防火墙插卡平滑扩展规格,在H3C的核心设备如S12500/S10500/S95E/S75E/S58等设备上都能插上防火墙业务模块,满足虚拟防火墙数量和性能平滑扩展,实现大规模的运营;四是防火墙资源池统一管理,虚拟化的防火墙资源池能够在防火墙管理平台上进行可视化的统一管理和操作。如下图所示:
1.4 开放网络架构
为保证网络、安全资源能够被云计算运营平台良好的调度与管理,要求网络及安全设备、管理平台提供开放的API接口,云计算运营管理平台(CloudOS)能够通过API接口实现对网络资源的调度及管理。
H3C iMC网络管理平台将云计算网络资源封装成两类服务,可供云运营管理平台进行调用:
NaaS(网络即服务):此服务将网络资源及策略封装成API接口,CloudOS在将计算、存储资源交付给租户使用时,可以调用此接口来绑定网络资源(如VLAN、带宽、安全策略等)。实现网络资源与租户的紧耦合,不同租户拥用不同的网络资源。
CaaS(连接即服务):此服务将计算与网络的连接封装成API接口,与第三方的计算、及虚拟化平台进行信息交互,实现虚拟机的创建、迁移时网络的感知,并在网络管理平台上实现网络及虚拟交换机的管理。如下图所示:
2、云间互联
数据中心间通常部署以下三种互联链路,每种互联链路所承载的数据不同,实现的功能不同,如下图所示:
三层互联。也称为数据中心前端网络互联,所谓“前端网络”是指数据中心面向企业园区网或企业广域网的出口。不同数据中心(主中心、灾备中心)的前端网络通过IP技术实现互联,园区或分支的客户端通过前端网络访问各数据中心。当主数据中心发生灾难时,前端网络将实现快速收敛,客户端通过访问灾备中心以保障业务连续性。
二层互联。也称为数据中心服务器网络互联。在不同的数据中心服务器网络接入层,构建一个跨数据中心的大二层网络(VLAN),以满足服务器集群或虚拟机动态迁移等场景对二层网络接入的需求。
SAN互联。也称为后端存储网络互联。借助传输技术(DWDM、SDH等)实现主中心和灾备中心间磁盘阵列的数据复制。
传统的数据中心服务器区网络设计中,三层互联与SAN互联一般是具备的,但通常不具备二层互联通道。而在云计算数据中心互联时,为了实现跨数据中心的资源调度、业务集群和虚拟机迁移,就要求网络层保证不同的数据中心间VLAN二层互通。然且实现跨数据中心的网络二层互通,传统的技术方案会面临如下挑战:
2.1 同城双中心
同城双中心的建设模式下,双中心之间通常采用裸纤或DWDM链路互联,因此链路质量和链路带宽较高,可以很好的满足业务双活及负载分担的需求。但是在此环境下,若直接将两个数据中心的VLAN打通,势必带来生成树的对接问题,整网的生成树协议运行更为复杂。
在此环境下,采用H3C的IRF2技术,将两个数据中心内均端到端部署IRF虚拟化,消除两个数据中心内的网络二层环路及生成树协议。两个数据中心对接时通过跨设备链路捆绑技术,不仅不会引入新的互联环路,同时还会提高互联带宽及网络的可靠性。如下图所示:
2.2 两地三中心
两地三中心建设模式下,异地数据中心互联通常不具备裸纤或DWDM链路,一般均采用租用运营商广域传输网络(如SDH等),借助运营商广域传输网络是无法直接实现二层VLAN互通的。在这种情况下一般需要采用隧道技术实现二层互通,根据广域核心传输网络架构的不同,跨广域的云数据中心二层互通分为MPLS核心网络和IP核心网络两种方案。
1 MPLS核心网
在MPLS核心网环境下,可以直接部署VLL、VPLS标准技术,基于MPLS核心网构建二层VPN隧道,实现点对点以及点对多点的二层网络互联。
2 IP核心网
在IP核心网环境下,无法直接部署VPLS,H3C独创的EVI新技术,可以在IP核心网上通过GRE构建隧道,实现点对点以及点对多点的二层网络互联。此技术对IP核心网传输设备无特殊要求。
1.3 一级多中心
对于同城两个数据中心的点对点裸纤(或DWDM)互联时,由于互联网络比较简单,不会引入新的互联环路。但如果需要互联的同城云数据中心达到三个及以上时,采用裸纤普通的互联方式必然会引起互联网络的环路,在这种环境下,H3C建议采用HUB-SPOKE星形组网模型,如下图所示:
在HUB-SPOKE组网模型下,HUB节点是整网的关键,HUB节点故障将会导致所有云中心互联网络中断。实际部署时可以采用H3C 远程IRF技术,将HUB节点的两台设备分别放置于不同的数据中心内,通过裸纤或DWDM实现跨数据中心的IRF虚拟化,在实现HUB节点跨中心统一管理的前提下,保证HUB节点的跨地域高可靠。
3、云-端互联
云计算大大扩展了IT服务能够提供的种类和范围,云-端互联使得传统的广域网路由和接入平台,扩展为泛联路由平台。
作为云计算服务提供者与使用者的联系纽带,泛联路由平台为云计算提供高速、可靠、扩展性强、简单易用的广域数据传输平台。
3.1 泛联路由平台特征
云计算主要包括公有云与私有云,云计算中心通过广域数据传输平台与终端用户互联,为公众用户或企业内部用户提供云服务。由于使用云服务的终端用户数量大、分布广泛、接入方式多种多样,因此将承载云计算的数据传输平台称为泛联路由平台。如下图所示:
虽然公有云与私有云所提供云服务的类型与对象不同,其网络联接方式、架构模型也不同,但从云计算本身的特点来看,承载云计算服务的泛联路由平台也具有一定的共同特征:
高可用:云计算为终端用户提供了最可靠、最安全的数据存储中心,用户不用再担心数据丢失、病毒入侵等麻烦。为了保证云计算服务的高可用性,除了云计算中心的高可靠外,泛联路由平台也必须确保网络接入服务的高可靠,实现网络连接“永远在线”;
易用:为使得更多的用户使用云计算服务,最大化扩展云计算服务的提供范围,云计算对用户终端的设备要求最低,使用力求简单化。因此,泛联路由平台必须能够兼容多种终端、多种接入方式,使得用户可以通过“任何终端、任何位置、任何方式”获取云计算服务;
可扩展:随着云计算的开展,会为更多用户提供更多服务。泛联路由平台必须具备可扩展性,能够方便的接入新的云计算中心、新的用户终端,并可以快速提供服务。
3.2 泛联路由平台架构
泛联路由平台需要根据公有云、私有云的流量模型组织网络架构,并通过各层次路由设备的接入和业务处理能力,满足云计算数据中心对终端用户业务提供的高可用、易用、可扩展性。
1. 公有云泛联路由平台架构
公有云的服务对象是公众用户,用户主要通过互联网接入方式与云计算中心连接。因此,公有云泛联路由平台是面向全互联网用户的,提供大容量、快速、高可用、安全的互联网接入平台。其平台架构如下图所示:
公有云通常规模庞大,具有2个甚至多个数据中心,具有多个高速互联网出口,其泛联路由平台主要由核心层路由器、外联层路由器组成:
- 核心层路由器:连接云计算数据中心与互联网出口,执行高速数据转发;
- 外联层路由器:连接各运营商互联网出口,执行大容量路由、会话处理。
- 公有云泛联路由平台的主要功能特点是:
- 全网路由处理:外联层路由器与运营商的高速互联网专线连接,并与运营商交互互联网全网路由(约17~20万条),利于提高互联网访问速度,执行更有效的流量分流与负载策略;
- 高速收敛:泛联路由平台必须具备电信级的可靠性,能够在链路故障、设备故障、互联网路由收敛等情况下完成无缝倒换,确保云计算服务不中断;
- 路由级联:多个云计算数据中心的核心层路由通过专线级联,通过灵活可扩展的分布式架构实现多数据中心的高速数据交换与备份,提供更高性能和更可靠的云计算服务。
2. 私有云泛联路由平台架构
私有云的服务对象是企业内部用户,用户可通过内部广域网、互联网、远程VPN等多种方式与云计算中心连接。相对于公有云,私有云虽然一般规模较小,接入用户数量较少,但用户连接方式更为多样,对泛联路由平台的多业务处理能力要求更高,具有“核心高速化、边缘智能化”的特点。
较小规模的私有云泛联路由平台通常采用扁平化架构,如下图所示:
扁平化泛联路由平台采用核心层、接入层两级路由架构:
- 核心层路由器:连接云计算数据中心与接入层路由器,执行各接入层路由汇聚,以及高速数据转发;支持互联网用户、远程VPN用户接入;
- 接入层路由器:接入终端用户。由于云计算对终端的要求必须尽可能简化,因此要求接入层路由器更加智能化、自动化、多业务融合,例如支持丰富网络接入方式,如有线/无线PC、PDA、手持终端等,支持IPv4单播/组播、IPv6单播/组播、MPLS VPN虚拟网络等数据传输类型,具备丰富的QoS策略、安全控制策略、应用流量控制、应用加速等业务处理能力。
较大规模的私有云泛联路由平台,例如大型集团为多个内部企业、合作伙伴提供云计算服务,所提供的云计算服务类型、终端用户数量都具备一定的规模,通常拥有多个云计算中心,对可靠性、可扩展性要求更高,采用层次化架构,如下图所示:
层次化泛联路由平台采用核心层、区域中心、接入层多级路由架构:
- 核心层路由器:云计算数据中心出口核心路由器,执行云计算服务高速数据交换;
- 区域中心路由器:核心层路由器与接入层路由器的中间层设备,通过上下两级路由成环,分别用于汇聚各区域接入层路由器,以及与核心层路由器形成高速互联网络;
- 接入层路由器:接入终端用户,与扁平化平台架构类似,支持丰富网络接入方式,以及丰富的业务处理能力。
相对于扁平化架构,层次化泛联路由平台架构能够提供更清晰的管理界面,以及更灵活的扩展性。新增云计算数据中心可通过核心层路由直接与区域中心路由连接,不影响路由平台架构的运行;新增接入层路由器也可直接上行到区域中心路由,实现对云计算数据中心的访问。
3.3 泛联路由平台建设要求
泛联路由平台架构设计是从整体组网结构上,依据云计算的泛联特征,为终端用户提供高速、便捷的接入环境,为云计算中心提供高性能、高可用、大容量、易维护、可扩展的承载平台。泛联路由平台的建设,还需要考虑以下具体要求:
开放融合:云计算架构下的网络不再是分离的,而是云计算服务的多网合一。通过将多个物理网络、多个类型网络以及多种业务网络的融合,云计算中心在统一的泛联路由平台上为各种用户提供数据、计算、存储、视频、语音等不同类型的云计算服务,使协同办公成为可能。
无线应用:随着便携机、上网本、掌上电脑、智能手机等的快速普及,WiFi/WAPI、3G等无线应用大大扩展了信息空间,丰富了接入终端的种类,提高了用户访问的便捷性,是云计算的一个重要服务形式。泛联路由平台在无线环境下的响应速度、连通率、容量,以及对漫游、无线定位等特性的支持,将成为云计算服务能否广泛推广的一个关键因素。
IPv6应用:大量的终端接入,必将带来IP地址需求的爆炸性增长。IPv6的应用,不仅仅是解决大量接入终端对IP地址的需求,而且在协议上比IPv4能够提供更好的移动特性和QoS能力。相对于IPv4的固定报文格式,IPv6的扩展性更强,可根据不同协议要求增加扩展头种类,按照处理顺序合理安排扩展头的顺序。此外,IPv6引入自动配置以及重配置技术,对于IP地址等信息终端可通过自主协商实现自动增删更新配置,真正即插即用,大大提高了IPv6的易管理性。最后,IPv6新增流标记域,方便了IPv6 QoS的端到端部署,使得业务终端可快速处理实时业务,从而支持IPv6的语音、视频等应用。IPv6必将成为云计算泛联路由平台的重要应用。
智能安全:云计算用户、应用的多样化,使得云计算泛联路由平台必须变得“智能”,包括针对用户信息的智能、针对应用层信息的智能和针对多元化业务的智能,使网络更“聪明”,面向不同用户、不同场景,提供有针对性的服务。智能安全要求泛联路由平台具有识别用户身份、L4~L7应用业务的能力,并根据数据流负载、网络环境等对不同用户、不同业务的访问进行精细化控制。
资源化:云计算将数据、存储、应用等通过虚拟化形成资源池,为用户提供服务。云计算泛联路由平台同样也具有资源化的特征,通过网络虚拟化技术,将网络、链路、带宽等形成资源,按需分配,从而使整个平台更加灵活,满足不同用户对所需要云计算服务的差异化网络接入、带宽、安全性等承载要求。
绿色节能:随着云计算IT系统越来越庞杂,泛联路由平台的系统架构优化愈加重要,在设计、制造、运维、回收等各个阶段必须尽可能减少能源消耗和对环境的负荷,满足绿色要求,降低TCO。
3、H3C云计算网络产品
四、企业云计算部署演进路线
企业的IT建设过程,以当前的基准来衡量,向云计算演进,可以分为三个阶段,如下图所示:
第一个阶段:大集中过程。
这一过程将企业分散的数据资源、IT资源进行了物理集中,形成了规模化的数据中心基础设施。在数据集中过程中,不断实施数据和业务的整合,大多数企业的数据中心基本完成了自身的标准化,使得既有业务的扩展和新业务的部署能够规划、可控,并以企业标准进行IT业务的实施,解决了数据业务分散时期的混乱无序问题。
在这一阶段中,很多企业在数据集中后期也开始了容灾建设,特别是在雪灾、大地震之后,企业的容灾中心建设普遍受到重视,以金融为热点行业几乎开展了全行业的容灾建设热潮,并且金融行业的大部分容灾建设的级别都非常高,面向应用级容灾(数据零丢失为目标)。
总的来说,第一阶段过程解决了企业IT分散管理和容灾的问题。
第二个阶段:实施虚拟化的过程。
在数据集中与容灾实现之后,随着企业的快速发展,数据中心IT基础设施扩张很快,但是系统建设成本高、周期长,即使是标准化的业务模块建设(哪怕是系统的复制性建设),软硬件采购成本、调试运行成本与业务实现周期并没有显著下降。标准化并没有给系统带来灵活性,集中的大规模IT基础设施出现了大量系统利用率不足的问题,不同的系统运行在独占的硬件资源中,效率低下而数据中心的能耗、空间问题逐步突显出来。因此,以降低成本、提升IT运行灵活性、提升资源利用率为目的的虚拟化开始在数据中心进行部署。
虚拟化屏蔽了不同物理设备的异构性,将基于标准化接口的物理资源虚拟化成逻辑上也完全标准化和一致化的逻辑计算资源(虚拟机)和逻辑存储空间。虚拟化可以将多台物理服务器整合成单台,每台服务器上运行多种应用的虚拟机,实现物理服务器资源利用率的提升,由于虚拟化环境可以实现计算与存储资源的逻辑化变更,特别是虚拟机的克隆,使得数据中心IT实施的灵活性大幅提升,业务部署周期可用数月缩小到一天以内。虚拟化后,应用以VM为单元部署运行,数据中心服务器数量可大为减少且计算能效提升,使得数据中心的能耗与空间问题得到控制。
总的来说,第二阶段过程提升了企业IT架构的灵活性,数据中心资源利用率有效提高,运行成本降低。
第三个阶段:云计算阶段。
对企业而言,数据中心的各种系统(包括软硬件与基础设施)是一大笔资源投入。新系统(特别是硬件)在建成后一般经历3-5年即面临逐步老化与更换,而软件技术则不断面临升级的压力。另一方面,IT的投入难以匹配业务的需求,即使虚拟化后,也难以解决不断增加的业务对资源的变化需求,在一定时期内扩展性总是有所限制。
于是企业IT产生新的期望蓝图:IT资源能够弹性扩展、按需服务,将服务作为IT的核心,提升业务敏捷性,进一步大幅降低成本。因此,面向服务的IT需求开始演化到云计算架构上。云计算架构可以由企业自己构建,也可采用第三方云设施,但基本趋势是企业将逐步采取租用IT资源的方式来实现业务需要,如同水力、电力资源一样,计算、存储、网络将成为企业IT运行的一种被使用的资源,无需自己建设,可按需获得。
从企业角度,云计算解决了IT资源的动态需求和最终成本问题,使得IT部门可以专注于服务的提供和业务运营。
这三个阶段中,大集中与容灾是面向数据中心物理组件和业务模块,虚拟化是面向数据中心的计算与存储资源,云计算最终面向IT服务。这样一个演进过程,表现出IT运营模式的逐步改变,而云计算则最终根本改变了传统IT的服务结构,它剥离了IT系统中与企业核心业务无关的因素(如IT基础设施),将IT与核心业务完全融合,使企业IT服务能力与自身业务的变化相适应。
在这三个阶段IT建设过程中,网络是最底层的管道,因此通常采用“网络先行”的思路建设,在进行网络架构设计时要充分考虑演进过程中会面临的挑战及解决方案,实现网络层的云就绪,以承载未来云计算的IT平台。 
