2011年12月22日,“2011中国数据中心建设与运维高层论坛”在北京隆重举行。
主持人郑宏:我们下一个演讲是北京泰策科技发展有限公司副总经理陈忠国进行演讲,他演讲的题目“从架构到应用——谈数据中心的优化”,有请。
陈忠国:谢谢大家下午的时间,各位领导,各位来宾,我是北京泰策陈忠国,今天下午跟大家讨论的话题是从架构到应用谈数据中心优化。这个题目比较大,因为我有一个题目可以把我的内容比较好的概括起来。实际上,整个数据中心涉及到产业链,以及应用是非常非常多的。我们主要是涉及到其中几方面,随着互联网以及尤其是移动互联网发展,另外国家把这个云计算作为一个非常高的战略提出来,近几年数据中心,以及云计算,无论是从技术方面还是从产业上都取得了巨大发展。
今天,我在下面也很有幸听到很多专家和领导的发言,觉得收获非常大。在此,也借这个机会,在感谢一下主办方给我们提供了一个这么好的交流和学习的平台。就这个话题,就不多做介绍了。其实,我们中心今天第一个内容,数据中心架构优化。同样,架构这个词比较大,但是我今天所讲的内容主要涉及两方面。第一是数据中心的安全,第二是数据中心节能,我们把这两个内容归入到我的架构里面来了。目前数据中心面临的安全威胁,我们分为这几大类。第一是安全对抗类,包括物理的安全问题,网络的安全问题,应用的安全问题等,我就不一一来讲了。
第二是安全合规类,比如行业,或者企业的差异化和非法内容这方面的要求。第三类是安全管理类,以及设备和应用健康等。其中DDoS攻击是我们所关注的一个核心内容,这里截取了几个新闻。第一是09年8月7号FaceBook和微博的攻击事件,在过去10年进行总结七大互联网事件,2000年雅虎,CNN,亚马逊和eBay等大量知名网站遭受DDoS的攻击。国内不管互联网界也好,通信界也好遭受DDoS事件屡屡出现。因为DDoS攻击实践非常简单,同时危害又是巨大的。所以,DDoS攻击影响很大。关于数据中心DDoS防控,首先有我们异常流量分析设备,这个产品主要是解决异常流量可视性问题,我如果要预防先要了解什么时候网络中发现什么样的异常,这个是通过Inspector来实现的。
另外我们有一个过滤设备,我们称之为Protector,主要解决异常流量可控性的问题。我们在通过Inspetor发现异常的流量之后,我就用Protectos可以采取措施,缓解异常流量对网络的影响。具体是怎么来实现的?首先就要通过Inspector技术对网络流量进行监控,通过一些指纹技术会发现异常流量。那么,当他发现DDoS攻击的时候就发出一个流量迁移的通告。这个流量牵引目的地就是我们的异常流量过滤设备。那么,Protectos过滤完之后,就把通过相关网络协议在回注到我们网络中来,整体通过可视化可控化来解决数据中心面临的DDoS攻击。
在防护中我们首先采用了高效算法来保证关键环节,比如说高性能特征匹配。由于我们面临DDoS攻击的时候流量非常大,这个性能不仅包括过滤性能,同时发现性能也非常高。所以,我们有高性能的特征匹配可以非常快的发现异常流量,也就是DDoS攻击。同时有多种的防护算法来抗DNS攻击,抗网站攻击,抗CC攻击等。
我们组网特性不影响用户正常使用,首先从组网上我们是在正常的情况下是旁路的。大家从前面图里面可以看到我们是一个旁路组网,只是在发现了可疑流量的时候有检测设备向网络设备发一个牵引通道,这时候从逻辑上我们的防护设备才相当于串到了网络里。第二,就是牵引可疑流量,因为我们现在IDC驻守带宽越来越宽了,一定要把可疑流量都分离出来,这从可操作性上和成本上都是非常高的。
那么在可疑流量被牵引之后,我在进行攻击流量清晰,最后回注一个正常流量。现在DDoS规模越来越大,上个月国内一个比较知名的企业受到DDoS攻击,在进行DDoS攻击防护的时候,防御能力是一个非常关键的考虑。我们的系统采用多核技术,目前单机可以抵御实际的DDoS攻击。如果通过集群技术,处理能力上是非常足够的。
下面我们再来谈一下数据中心的能耗问题,今天下午前面的专家在演进中也提到了,数据中心各个政府会非常关注的一个能耗大户,数据中心的能耗据说是非常大的。其实这个不仅是政府很关注,我们数据中心运营单位也是非常关注的。所以,以IDC统计,可以看出来从96年到2010年这样一个能耗,支出所占比的趋势。越早,服务器,或者说硬件投资所占的比例是比较大的,但是能耗所占的比例随着年代推移到2010年,已经和服务器,硬件投资非常接近了。可以得出这个结论,能耗是数据中心增长最快的一个支出。但是,同时我们有这样一个统计,数据中心对于能耗管理有两部分,一部分是,我们没有做这种努力来管理能耗的28%,另外也有24%的做的不够好,加起来这28%+24%,整体52%,超过一半的数据中心不能够充分的管理能耗。
我们要节电,因为能耗占我们整个数据中心成本比例是越来越高了,我们需要去进行节电。但是,你不能够对能耗进行非常好的管理,你的节电,或者说绿色的数据中心就非常难以做到。当然这有一句话,你如果无法测量它,你就很难去管理它了。我们再来看一下数据中心中的能耗分类,两大块,一块是设备耗电,另外一块是冷却。从结果上来看,数据中心的能耗最多是用于降温,这是国外ASHRAE一个统计结果,国内应急设备所占的能耗比降温稍多一点。但是,不管怎样降温在这个能耗中所占的比例是非常大的,这也是为什么FaceBook要把他的数据中心建在北极,Google要在海洋中要建他的数据,上午也看到来自哈尔滨的朋友。哈尔滨当地政府为什么会对数据中心这个产业非常关注呢?是因为他们有得天独厚地理条件优势,温度低,自然用于降温上的投入就少了。
而我们做的事情用一句话概括,“数据中心能耗的可视化”。简单来讲,我们通过一个软件系统这个软件系统并不需要再去安装探针,或者去不同服务器上,设备上去安装,我们去采集各个服务器中的能耗情况。我们所能做到数据中心能耗的可视化,比如说通过这个接口SMP等等这些都可以,现在基本上像惠普,IBM,戴尔这些服务器的能耗情况都可以采集的到。最终我们呈现的一个结果,从服务器到机架,并不只是到了服务器,我们是从应用到服务器,再从服务器到机架,使得你对整个的能耗情况有一个非常清晰的了解,你作为一个管家至少知道这本帐是怎么样子,你下来去降低投入,或者说进行成本控制,你才有案可查。
那么,在每一个服务器,每一个机架耗电数据基础之上,我们同时还给出来每个机架风量要求。前面也提到了,在这个能耗中,能耗的投入中最多一部分,实际上并不是用于供给设备的,而是用于进行降温的。你风流的要求究竟怎么样,如果你无法去做一个比较准确的测量,或者说是报告的话,一定意味着你在这上面可能要花冤枉钱了。我们就根据能耗的多少,因为我前面提到我们是从应用到服务器,再到机架,可以得出所有能耗参数。我们在能耗基础之上我们就给出一个估算,每个机架所需要的气流。我们以CFM为单位,我们在进行相应的优化,或者说是节能减排的时候就有了非常好的数据支持,这是我们对于架构优化的内容。
下面我们再来谈一下关于业务优化的内容,现在数据中心以及云计算所面临的一个业务挑战,主要是业务体验。这也是国外一个咨询公司所提交的一个报告。我们主要是针对移动用户,如果用户不能获得满意的业务体验的时候,有43%的用户会放弃尝试,他会稍候用电脑来做一个尝试。有16%的用户就会来考虑竞争对手,我们业务提出方案的竞争对手。另外,有14%的用户可能就要向我们服务中心,打电话进行投诉,这当然也会造成我们投入的增加,这也是需要成本的。有12%的用户,就会干脆直接就转移到我们竞争对手那边去了,这当然不是我们云计算,或者我们的业务提供者所希望的。那么,我们需要做的是什么呢?就是提高用户体验,我们需要怎么去做?做好测试,这是一个非常重要的措施。
那么,这个测试他的关键点有哪两方面,第一复杂的网络环境。因为我们现在的业务都是跑在互联网之上,尤其现在是移动互联网已经,取代传统互联网的趋势了。那么,网络环境就越来越复杂,有广域网,有VPN,像电信运营商传统的拨号上网,广电,在一些热点地区上网,或者用我们3G,大部分用户也在用2.5G等等,这个网络环境是非常复杂的,这是第一点。
第二点应用,也是非常复杂的。你可能有传统的这种上网业务,比如说游戏,现在互联网上的业务种类也是非常非常多的。为了确保这个业务上线之后,或者在业务迁移的时候,比如说像IDC的,我们今天就有好几个用户IDC进行了迁移。IDC迁移之后,你如何确保你的业务质量能够达到用户的期望,在测试阶段能够充分的把准备工作做好,确保用户体验不会出问题。那就是说,需要从复杂的网络环境,以及复杂的用户模型来入手。
我们需要的是一个从实验室,到有真实环境的跨越。因为我们在实验室的环境中,是非常简单的。比如我们应用服务器,和我们所模拟的用户端中间都是局域网没有丢包,网络延迟也几乎没有。但是我们前面提到在真实应用中,用户的网络环境是千差万别的,同时我们在实验室中去进行业务验证的时候,我也很难去模拟各种各样的用户业务情况。因为,真实的用户是各种各样的,大家都用不同终端,比如说PC机,或者是智能手机等等,在进行业务使用,那么你在测试环境里面,可能只是几台测试机来进行业务流的发送,我们就需要考虑在这样一个实验室环境中所测试出来的结果,对于我们业务优化,和业务保障,能够起到作用,这一定需要我们实现从实验室到真实环境的跨越。
在这方面,我们有两个产品可以和大家分享一下。第一个是网络损伤仿真工具,首先我们可以模拟各种各样网络参数,比如说带宽,丢包,延迟,我们可以在实验室中去模拟真正的网络环境。我们除了可以对各种参数进行非常精细化的配置之外,我们还可以对真实网络环境进行捕获。我们曾经在一个项目里面,我们用户就问我们能不能把,因为这个项目涉及到巴西,能不能把这个巴西现在的骨干网跟我们在实验室里模拟处理,这个就用我们的真实网络环境捕获能力就可以非常好的解决。这个产品除了大家看到硬件之外,还有一个纯软件解决方案,这主要是为了方便大家在软件开发环境进行使用。除了进行网络损伤模拟之外,还提供非常好的分析能力。这样我们在实验室中进行业务测试的时候,如果我们发现性能指标,比如说延迟,并不是一个网络侧延迟,而是从应用侧延迟,就相当于二三层和应用层看情况完全不同。
如果说最终测试,比如说我们去模拟一个移动用户,拿着手机的用户来访问这些业务的话,他的体验非常差,你可能就需要去想,我如何来改善,除了提供网络损伤模拟之外,还可以提供非常细的,每个交易都可以可视化,最后发现在什么环节,造成最终业务的体验达不到我们所希望的效果。我们第二相关的产品是进行业务流仿真,我们目前通过这个硬件盒子,可以在实验室里面去模拟150多个应用仿真,现在常见互联网应用,绝大部分就可以通过这个硬件设备真正进行模拟,同时还可以产生4500多种攻击,这样子我们也可以去验证我们的应用,在真实的网络环境情况下,在有这种攻击的情况下我们业务是不是能够提供正常的体验。需要补充说明,我们这有一个特性,通过单端口可以做到L2-了N流的混合。由于时间关系,我们对这些点就不一一细的阐述。
最后,我也借这个机会跟大家讲一下我们泰策公司。作为一家民营企业我们在行业里面时间也不长,也没有名气。我们是一个致力于提高网络设备效率公司,我们有另外一个身份,是国内领先DNS供应商,我们在DNS运营解析这个领域国内也是非常知名的,同时我们技术产品在国际上也是处于领先地位。我们专注领域就是通信领域,或者IT领域,我们通过三个A来执行方案。我们的运营模式一方面立足于自身,包括现在已经服务国内很多用户,同时一方面我们自己往外走,也和一些厂商进行合作。我们也和国际上一些厂商进行合作,把他们的产品引到我们中国市场,成为中国的市场和国外先进的技术,以及产品这样一个桥梁。
我们策略是两块,一是请进来,第二走出去。我们目前办公室就是北京,天津,香港,有我们的办事,在上海,广州,成都,乌鲁木齐有我们销售代表处,这是我们国内市场覆盖情况,目前大概在20个省,已经有我们的业务。我的内容就到这,谢谢大家。 
