数据中心私有云解决方案.pptx

1、数据中心私有云解决方案日期：2022年7月密级：内部公开杭州华三通信技术有限公司1n 浙江省政务云案例介绍n 企业数据中心n 运营商数据中心2传统数据中心面临的困境 管理策略分散缺乏统一的集中化IT构建策略，无法对数据中心内的基础设施进行监控、管理、报告和远程访问。硬件利用率低CPU利用率：10%25%一台服务器、一个操作系统、一种业务应用 运维成本上升服务器、存储、网络数量急剧膨胀占地空间、电力供应、散热制冷、维护管理成本上升 业务部署缓慢提交变更请求与进行运营变更之间存在较长延迟硬件选型、采购、上架安装、操作系统和应用程序安装、网络配置、3数据中心的虚拟化云架构资源调度网络计算存储基础数据

2、中心融合数据中心云数据中心自适应全虚拟化 融合010203l IO融合l 硬件融合l 计算虚拟化l 网络虚拟化l 存储虚拟化l弹性l业务赓续l多租户4接入层web层APP层DB层edge routersroutingswitchesauthentication,intrusion detect,web cache1st level firewall2nd level firewallload balancingswitchesweb serversweb page storage(NAS)databaseSQL serversstorage areanetwork(SAN)applicatio

3、nserversfiles(NAS)switchesswitchesinternetinternet网络池化internetinternet存储池化FW 资源池服务器池化IPS 资源池l虚拟化环境下，原有分散部署的多层次设备将逐步资源池化并通过虚拟化技术实现多通道防护，因此在高性能、弹性可扩展、虚拟化等方面提出了新的要求实践：从“多设备”到“资源池”5大类小类特征举例非硬件辅助虚拟化Container-based：基于容器的虚拟化VM无OS，共享系统OS，VMM驻留OS内核OPEN VZ，思科NX-OSHost-based：基于主机的虚拟化VM有独立OS，VMM作为系统OS一种应用Vmware

4、 server and workstationParavirtualization：准虚拟化VM有独立os，VMM直接和硬件接口，但VM的OS需要修改XenFull virtualization：完全虚拟化VM有独立OS，不做任何修改，VM的OS代码仿真执行/代码转换Vmware ESX、KVM硬件辅助虚拟化分CPU/内存/IO等直接在硬件上提供虚拟化能力，简化软件的实现Intel的VT-x/VT-I:指令虚拟化/灵活迁移VT-d：VM的os直接处理中断和DMAVT-c：VMDq，SR-IOV硬件分区虚拟化分为物理分区和逻辑分区主要用于大型机，硬件资源直接做物理或逻辑分区，每个分区运行各自的O

5、SIBM S/370 SI-PP&PP-SIIBM system z LParHP nPartitions变革的起始服务器虚拟化6服务器虚拟化技术发展阶段实验阶段全面发展应用阶段7服务器虚拟化对计算的影响AppOperating System未更改过的应用未更改过的OS虚拟硬件每台机器上只有单一的操作系统镜像每个操作系统只有一个应用程序软件必须与硬件相结合每台机器上有多个应用软件相对于硬件独立虚拟化前虚拟化后8vSwitchvSwitch迁移SwitchServerServer虚拟化前虚拟化后u服务器所有流量均经过网络u服务器与交换机互连端口固定策略分析uVM部分流量在vSwitch内部交换u

6、VM动态迁移服务器虚拟化对网络接入层面的影响策略分析9服务器虚拟化对存储设计的影响u采用共享存储设计方案，方案虚拟机在物理设备间的迁移u池化存储资源大量使用IP存储10n 浙江省政务云案例介绍n 企业数据中心n 运营商数据中心11数据中心云平台建设步骤评估规划实施优化 任务：全面盘点客户IT资产，评估基础设施工作负载容量状态，确定业务、财务和技术需求。交付件：评估报告及针对客户需求的H3C建议。任务：根据客户需求制定详细的方案与计划，确定项目角色与职责、关键日期与里程碑等。交付件：体系结构设计报告、配置指南、验收测试用例、关键内部流程认定。任务：依据规划和方案设计安装和配置，并按照规划阶段确定

7、的验收标准进行测试。交付件：正常运行的虚拟化和云计算环境、配置说明、规划与实施之间的差异性报告以及验收负责人的验收报告。任务：售后服务支持。借助基于基准阈值异常检测和警告功能，监控虚拟资源利用率，不断进行容量和业务流程优化。交付件：优化前后性能报告。12云数据中心建设评估内容完整的基础设施资源清单l 型号、数量、性能指标、业务需求l 哪些业务不适合于虚拟化l 哪些业务需要HA和灾备保障服务器整合比l 是否可以利旧，如何利旧l 需要新购置的服务器硬件规格与数量项目实施计划与建议l 项目实施路线图与风险评估l 分批次迁移策略时间任务阶段一项目开工需求收集容量与财务评估发布评估报告阶段二阶段三阶段四

8、阶段五13业务应用虚拟化适应性矩阵高中低中低适合虚拟化特别适合虚拟化 热备环境的备机 防病毒服务器域控服务器 终端管理服务器 办公服务器 企业级文件服务器 数据库主机（用户量较大）企业级Web服务器 企业级应用服务器 企业级数据库服务器 用户较少使用用途单一的服务器 开发测试服务器 NT服务器（Windows 2000）部门级文件服务器数据库主机（用户数量较小）支持并发方式部署的Web服务器 小型应用服务器 小型数据库服务器小型消息传递类服务器不适合虚拟化可以虚拟化系统资源利用率/需求并发用户规模14私有云建设关注四个方面计算资源池设计网络资源池设计存储资源池设计管理设计15云数据中心方案规划

9、设计原则核心业务无法虚拟化业务(小机)非核心业务（X86）研发/生产系统物理机环境运行独立双机集群部署H3C CAS虚拟化环境运行集群方式部署自助式服务部署专属虚拟机模板预配置OS、应用软件云数据中心设计原则16数据中心建设的IT资产盘点（例）业务分布IBM X336 8837 16CHP ProLiant DL380 G729IBM System x365011747邮件系统门户网站人力资源会计管理视频监控影像资料ERP安全策略OA自动化办公IT需求生产管理17数据中心建设的IT资产分析（例）0%5%10%15%20%25%30%35%40%45%50%邮件系统门户网站人力资源财务管理视频监

10、控影像资料销存管理DHCPDNSLDAPPKIOACRMERP防病毒安全策略补丁管理AD域控门禁管理文件共享文档归档网上问题外测管理产品需求IT需求终端维护装备内测行政采购即时通信费用报销出差管理外聘管理渠道管理物料管理文印管理BOM管理资产管理车辆管理工装管理网管系统投票系统培训系统考试系统会议系统薪酬管理生产管理1生产管理2CPU利用率内存利用率l CPU大于15%仅有4种业务系统（财务管理系统、OA自动化办公系统、微软Lync即时通信系统、生产管理系统）l 关键应用系统业务增长较快，普通应用系统相对平稳18数据中心建设的IT整合策略（例）IBM X336 8837 16CH3C R390

11、已停产硬件配置低后期维护费用高IBM System x3650淘汰处理，降低空间、电力、运营成本新采购CPU支持Intel-VT技术5台单独安装4种关键业务12台虚拟化运行其余业务单独管理机安装CAS已停产19计算资源池设计整合比服务器硬件配置lCPU性能：核数越多，主频越高，所能支持的虚拟机数量越多。l内存大小：内存容量越大，所能支持的虚拟机数量越多。lHBA卡：建议采用4Gb或8Gb的HBA卡，以减少链路影响。l本地磁盘：内置的本地磁盘可用性和I/O吞吐能力都较弱，推荐使用外置高性能磁盘阵列。应用负载大小与业务关键程度l应用负载越大，能同时运行的虚拟机数量越少。l业务越关键，建议同时运行的

12、虚拟机数量越少。l考虑到HA和DRS所要求的资源冗余，总体资源使用率不超过2/3较合适。经验数据：双路6核 6VM/服务器，四路6核 10VM/服务器。整合比（单台服务器上虚拟机数量）的决定因素20计算资源池设计物理集群部署l 业务网络与虚机迁移网络逻辑隔离l 虚拟化的物理主机集群常规部署小于32台l 按每机柜8台部署，同时考虑到跨机柜迁移冗余，建议以2个机柜构成物理机集群l 在具体业务部署可以按照4-8台服务器构建集群资源池，提高整体健壮性物理主机集群物理主机集群21计算资源池设计VM部署云管理平台(物理服务器)云管理平台(物理服务器)CPU/内存/IOHypervisorVMVMCPU/内

13、存/IOHypervisorVMVMCPU/内存/IOHypervisorVMCPU/内存/IOHypervisorVMVM双机HA管理和监控心跳信号VM共享存储22计算资源池设计高可靠性保障服务器集群存储网络共享存储共享存储RAID邮件系统门户网站文件系统H3Cloud CVKDHCPDNS安全评估H3Cloud CVK销存管理财务管理ERPH3Cloud CVK组播心跳23计算资源池设计虚拟机高可用集群（HA）应用场景l适用于对业务运行连续性要求较高的场合。当服务器或VM故障时，能够自动选择空闲服务器，并将VM在空闲服务器上重启。特性价值l无需独占专门的备用服务器资源，减少灾备方案中的冗余

14、投资。l无专业集群软件的投入成本和应用复杂度。24计算资源池设计动态资源调度（DRS+）支持虚拟机与主机亲和性设置应用场景l适用于可能存在持续性突发业务负载的场合。特性价值l动态调整业务负载的分布，提升系统可用性。25计算资源池设计 DRX动态资源扩展面向用户业务全面监控基于负载的资源弹性无缝伸缩自动化免人工干预实现多业务整合DRX26操作系统业务应用操作系统业务应用操作系统业务应用计算资源池设计 DRX实现资源随需而动DRX实现资源随着业务负载的变化而变化提供应用资源传统部署DRX部署时间时间提供应用资源负载负载操作系统业务应用操作系统业务应用操作系统业务应用操作系统业务应用传统部署模式特点

15、：部署单一应用按照最大资源需求建设资源利用率低增加资源缓慢DRX特点：多业务共享资源池资源利用率高应用所需资源按需自动增加添加资源响应时间分钟级27计算资源池设计 DRX扩展的对象WebApp/MiddlewareDatabase页面展示，适合DRX业务逻辑，适合DRX数据存取，涉及到数据一致性，暂不适合DRX具体到实际部署方式：WebAPPDBDBAPPWebWebAPPWebAPPDBWebAPPDRX不涉及数据一致性问题，特别适合DRXAPPWebDBAPPWebDRXDRXAPPWebWeb层和APP层分别进行DRX，适合DRX28【使用场景】高峰时期时Web应用或单节点应用突发访问，

16、例如：高校选课、税务报税等。H3C负载均衡设备H3C CVK虚拟化平台业务分发服务器服务器服务器服务器创建新虚拟机1资源动态扩展业务负载超限新增资源注册2H3C CVM云管理平台服务计算资源池设计快速响应突发高峰业务负载超过门限后，云管理平台自动创建新虚拟机为业务扩展资源，并与LB配合提供服务29私有云建设关注四个方面计算资源池设计网络资源池设计存储资源池设计管理设计30大型数据中心实践管理中心H3C CASH3C iMC 骨干网计算资源池SAN灾备中心DCI链路网络管理员SAN存储开发测试区大数据区外联区XX区存储资源池开放服务器区计算资源池CallCenter主机区分布式存储31数据中心分

17、区设计思想Intranet 服务器区数据交换&测试服务器区数据中心管理区Extranet 服务器区Internet 服务器区数据中心核心区Internet/VPN 接入区园区网数据存储功能区数据灾备功能区园区网核心区32网络资源池设计关键节点高可靠使用IRF2前VLAN路由路径使用IRF2后配置文件IRF，N:1设备虚拟化技术，在不改变物理拓扑连接条件下，通过将网络同一层的多台物理设备整合为一台逻辑设备，从而实现多台设备的协同工作，统一管理，从逻辑上简化网络结构，并提升网络的整体效率：同层级多节点合一，通过跨设备链路捆绑，多链路被捆绑成单条逻辑链路；消除VLAN+MSTP/VRRP配置，配置简

18、单，网络收敛时间大幅降低；单个物理节点、链路故障，不影响上层路由 管理大幅降低33网络资源池设计简化网络层级IRF3，纵向融合架构，在纵向维度上支持设备扩展，把远端的盒式设备作为一块远距离接口板加入主设备系统，以达到扩展端口能力和进行集中控制管理的目的：将接入设备作为核心设备的板卡管理，和传统组网相比大大简化了管理节点数量；VCF扩展模块即插即用，通过在线增加VCF扩展模块即可实现网络扩展；将传统的两层物理架构压缩为逻辑上的一层，整个网络架构更为清晰简单。34MDC，1:N设备虚拟化技术，把一台交换机虚拟成N台互相独立的虚拟交换机，不同于传统的交换机虚拟化技术，MDC虚拟出的每台交换机之间物理

19、隔离、安全隔离，拥有独立的硬件资源和管理权限：复用，多台MDC共用物理设备的资源，使物理资源能得到充分利用 隔离，同一台物理设备上的多个MDC具有独立的软硬件资源，独立运行互不影响 高伸缩性，可整合多个物理网络到一个物理设备上，也可以将一个物理设备扩展为多个逻辑网络缺省MDC 1非缺省MDC 3非缺省MDC 2非缺省MDC n缺省缺省 MDC MDC网络资源池设计提升设备复用率35制约机房服务器部署密度的主要问题是电力而不是机架的物理空间；低密度电源区（46KW）不太可能部署4U高度以上的高计算密度服务器和刀片服务器（按照供电能力只能部署不多于两台服务器），因此部署8台以下的2U高度的机架式服

20、务器会成为标准配置；高密度电源区会部署高计算密度服务器和刀片服务器，但数量在58台以下（因服务器功率与高度而异）；TOR布线考虑到将来业务量的增加及服务器的发展，10G接入逐渐成为互联网发展的主流网络资源池设计物理机柜部署EOR布线36网络资源池设计POD方式扩展u区域：对应到一个服务器区域uPod：对应到接入交换机(EOR)大小：取决于间距与密度 服务器机柜到网络机柜线缆长度：铜缆100m光纤200500mu机架：服务器：受功率限制，每个机架630个服务器网络：取决于接入方式(TOR、EOR、Blade)存储：专门的机柜POD是一种业务提供模式，体现了数据中心业务扩展的途径37网络资源池设计

21、TIA-942逻辑结构图接入室 RM总配线区MDA路由器、核心LAN/SAN交换机、PBX等接服务商网或园区接服务商网或园区水平配线区HDALAN/SAN/KVM交换机机 房水平配线区HDALAN/SAN/KVM交换机水平配线区HDALAN/SAN/KVM交换机水平配线区HDALAN/SAN/KVM交换机设备配线区 EDA机架/机柜设备配线区 EDA机架/机柜设备配线区 EDA机架/机柜设备配线区 EDA机架/机柜通信室TR办公&操作中心的LAN交换机运维办公室、办公、操作中心主干电缆主干电缆主干电缆主干电缆主干电缆主干电缆水平电缆水平电缆水平电缆区域配线区 ZDA水平电缆水平电缆水平电缆唯一

22、不可放唯一不可放置有源设备置有源设备的区域的区域38网络资源池设计服务器与网络的连接*按每服务器2Gbps带宽需求计算 刀片服务器刀片服务器采用网络模块连接网络，减少电缆数量，减化服务器连接，简化网络管理小型机前端访问HA心跳线服务器间访问存储访问存储访问带外管理带外管理高端服务器根据具体应用场景n前端网口-多个n服务器间访问网口-多个n一个管理网口n一个或多个心跳互联n存储网络接口 机架服务器网络接口需求：管理口：1x1GE业务口：2x1GE业务 2x1GE虚拟化存储口：2x8G FC HBA部署：双接口捆绑上行业务虚拟化迁移管理存储网络逻辑隔离39网络资源池设计网口规划服务器 千兆网口万兆

23、网口外接IP存储：建议至少3-4个网口n1个用于管理网络；n1个用于存储网络；（如业务量大，推荐升级为万兆网口）n2个用于业务网络，双上行链路捆绑，提高链路吞吐量和可靠性。注：H3C R系列服务器默认配有4个千兆网口；根据实际需要，可扩容2个万兆网口；iLO有专用网口，不需要占用服务器网口40网络资源池设计流量规划l一个vSwitch对应一个物理网口l虚拟机生成一个vNIC，会关联到一个vSwitch上l通过生成多个vNIC关联到不同vSwitch上，实现虚拟机上不同流量的划分l可以为业务（存储）规划多个网口，来提升链路的传输率和可靠性vSwitch（管理）vSwitch（业务）vSwitch

24、（存储）VMVM41网络资源池设计IP网段规划服务器#2服务器#3业务网络管理网络iLO网络存储接入交换机链路聚合共享存储服务器#1核心交换机+FW/IPS/LB192.168.20.20010.152.160.250252/2310.152.200.8082/2410.152.200.4648/24WAN路由器总部办公PCPCPCPC开发中心PCPCPCPC分支机构PCPCPCPC外联单位PCPCPCPC接入交换机H3Cloud CAS192.168.20.110112/2410.152.200.200共享存储RAID42网络资源池设计基础安全DDOS检测防御SPAN/RSPAN/ERSPA

25、NNetStream高性能服务器低档服务器应用传输加密应用防火墙IPSVPNLBLB+SSLVLAN ACLIngress ACLEgress ACLuRPFiMC Sec Center转发数据流镜像监控流外部网络1.设备加固2.传输加密3.防火墙4.入侵检测与防御5.网络实时监控6.拒绝服务攻击7.VPN技术8.网络授权管理9.VLAN隔离10.双向NAT11.P43与核心环形连接，拓扑简单适合安全和应用优化设备独立设备互联主备冗余设计2、业务设备旁挂3、业务交换集成网络资源池设计安全架构设计优点缺点场景与核心之间不能运行动态路由协议，只能配置静态路由Inline设备性能瓶颈强调安全隔离的业

26、务区如网银与核心即可以环形也可全交叉拓扑，可以运行动态路由协议，灵活方便适合独立设备互联灵活实现按需流量牵引易保证整网性能优点缺点交换机策略复杂场景大型数据中心开放服务器区汇聚场景中小型数据中心开放服务器区汇聚与核心即可以环形也可全交叉拓扑，可以运行动态路由协议，灵活方便减少数据中心布线按需配置业务模块易满足高性能要求网络架构简化易运维管理1、井字型方案44FWIPSLBVLAN1VLAN2VLAN3核心层汇聚层接入层按需防护优势简化整网安全策略按需引流，降低安全服务区负载对于不需安全处理的业务，降低传输时延及被阻断的风险安全服务区FWIPSLB安全服务区防火墙IPS服务器业务流n交换机+Se

27、cBlade插卡，组成综合多业务处理平台n对无须通过IPS的数据流直接Pass视频数据流交换机网络资源池设计按需防护45主数据中心灾备中心存储SANLayer 2Layer 2Layer 3Layer 3Layer 2Layer 2SANDWDMDWDMDWDMServerServer存储 DCI核心网IP 网络分支园区三层互联二层互联SAN互联数据中心互联三种形式l 也称为数据中心前端网络互联l 不同数据中心的前端网络通过IP技术实现互联，园区或分支客户端通过前端网络访问各数据中心。l 当主数据中心发生灾难时，通过前端网络快速收敛，使得客户端通过访问灾备中心以保障业务连续l 也称为数据中心后

28、端服务器网络互联（以下简称DCI）。l 在不同的数据中心服务器网络接入层，构建一个跨数据中心的大二层网络，以满足服务器集群或虚拟机动态迁移等场景对二层网络接入的需求。l 也称为后端存储网络互联。l 通常借助传输技术（DWDM、SDH等）实现主中心和灾备中心间磁盘阵列的数据复制46VXLAN 100vSwitch内置VTEPL2 GW内置VTEPL3 GW内置VTEPVXLAN 200vSwitch内置VTEPL2 GW内置VTEPL3 GW内置VTEP网络资源池设计 大二层VxLAN网络物理网络物理网络主机主机DB服务器服务器1服务器服务器VM1VM2L2 GW内置VTEPL3 GW内置VTE

29、PVM1VM2DB服务器服务器2vSwitchvSwitch内置VTEPvSwitch内置VTEPL3 GW内置VTEPL2 GW内置VTEP47私有云建设关注四个方面计算资源池设计网络资源池设计存储资源池设计管理设计48存储功能区部署存储交换机SAN存储阵列HBASAN存储部署l独立的SAN存储区域l专用的存储交换机，冗余部署l服务器HBA卡选择双通道l存储服务器：足够的磁盘槽位，CPU、内存相对要求较低l网络：10G以上速率，延迟低的无损以太网l考虑到性能要求，建议服务器配置独立网卡与存储网络连接，按照方式二部署。分布式存储部署分布式存储机柜服务器机柜存储交换机接入交换机零存储部署l应用服

30、务器除提供应用服务以外，同时以自身存储构成分布式存储，提供存储服务l独立的网卡及交换设备用于存储交换。l服务器磁盘资源及CPU内存等均要求较高49共享存储设备服务器服务器SAN网络LAN网络网络机柜存储机柜服务器机柜网络机柜服务器机柜传统的计算虚拟化部署方案：n两套系统：服务器、存储整列n两套网络：LAN、SANn两套管理：虚机管理、磁盘管理n服务器自带磁盘的利用率低服务器Zstor服务器LAN网络服务器机柜网络机柜Zstor服务器机柜零存储部署方案：n一套系统，只有服务器系统n一套网络，只有LANn服务器的硬盘通过分布式存储技术，实现一个虚拟存储系统n实现计算与存储融合，提高资源利用率n计算

31、与存储采用统一管理界面，简化管理虚拟存储系统存储资源池设计“零存储”优化方案50“零存储”方案即采用了分布式文件系统思路实现存储资源共享VMVMVMVM服务器VMVMVMVM服务器VMVMVMVM服务器VMVMVMVM服务器VMVMVMVM服务器vStor存储资源池设计“零存储”优化方案51存储资源池设计存储虚拟化拓扑结构对外业务网络集群数据交换网络集群管理网络云业务单元云业务单元虚拟化虚拟化CVM云管理中心云业务单元云业务单元云业务单元云业务单元52存储资源池设计分布式的数据存储模式Node 2Node 3Node 1Data Module 2Data Module 1Data Module

32、 3以三个节点、每个节点内3块磁盘为例53集群节点4集群节点2集群节点3集群节点1 加入节点加入节点 集群节点4当新节点加入时已有数据自动重新均衡存储资源池设计自动负载均衡54VM2VM2VM1VM11 12 23 34 45 56 61 12 23 34 45 56 61 12 23 34 45 56 61 12 23 34 45 56 61 12 23 34 45 56 61 12 23 34 45 56 6存储资源池设计高可用设计系统支持25个数据副本，副本跨节点、跨磁盘分布磁盘故障时，不影响虚拟机运行，数据自动重构节点故障时，虚拟机自动迁移，数据自动重构1 16 63 36 62 24

33、 41 14 46 6能够容忍多块硬盘和节点故障55Spare chunks存储资源池设计故障恢复以空闲的硬盘作为热备,多对一重构，重构时间长，重构期间无保护，易造成数据丢失热备盘任意一块磁盘故障，剩余全部磁盘都参与重构，多对多重构，重构时间短，可靠性高传统RAID零存储数据重构的过程为：零存储每10分钟执行一次扫瞄本地的数据，如果发现数据丢失则立刻重构数据。也可通过手工命令行方式执行重构操作。56私有云建设关注四个方面计算资源池设计网络资源池设计存储资源池设计管理设计57管理层概述虚拟化管理层（Controller）虚拟化层 虚拟计算资源池虚拟存储资源池虚拟网络资源池云应用层业务编排自助服务

34、门户云业务流程管理API接口层硬件基础设施层计算存储网络企业私有云业务云OpenStack帐务管理与报表虚拟存储资源管理虚拟计算资源管理物理网络管理虚拟网络管理云管理Hypervisor硬件资源管理监控管理业务管理服务PortalAPI58租户管理员业务用户A租户B租户D租户使用人C租户业务主管部门1部门2部门3部门4云管理员使用人业务主管使用人业务主管使用人业务主管云运营管理员流程管理设计流程管理运维管理员59资源管理设计设备管理100多个厂商，6000多种类型网络设备深入的设备管理，堆叠设备、板卡、模块、风扇、电源等。支持设备仿真面板全面支持IP60资源管理设计虚拟化管理n CAS、VMw

35、are、Hyper-V、KVM、等虚拟化全面支持n 集群、宿主机、vm等统一管理n 宿主机、vm资源分配情况，使用情况统一管理多虚拟化平台管理深入的虚拟化管理虚拟拓扑n 虚拟机的拓扑和监控，能够正确处理外部的物理拓扑与内部的虚拟化拓扑虚拟化配置n 虚拟机创建、启动、关闭等。61资源管理设计机房管理62应用管理设计操作系统虚拟化数据库中间件统一通信应用MoreMoreLync应用服务器Web服务器More100余种应用。还在不断丰富中！更可自定义监控63业务管理设计业务卡片实时反应业务系统的健康度、繁忙度、可用性、业务告警。业务水晶球掌握业务系统健康情况分布，全局了解整体业务现状。业务TOP N

36、反应当前健康度低、业务繁忙、可用性低的前10个系统，提示管理者重点关注。64IT工程师管理设计满足各层面的管理需要IT主管n 直观展现IT价值与业绩n 量化IT投资分析n 实现IT从业务支撑向深度参与转变n 主动服务，快速排错。n 基于业务影响范围确定问题处理优先级n 提高运维效率。65IP拓扑拓扑全网拓扑全网拓扑管理设计监控大屏66n 浙江省政务云案例介绍n 企业数据中心n 运营商数据中心67运营商大型IDC解决方案IPSec/SSL VPN远程访问运维支撑区交换+安全一体化移动核心路由器IDC内外网分界平面流量清洗IPS后台业务系统管理机柜1#机房：银行客户增值业务区网管监控区应用监控流量

37、分析3#机房：政企客户5#机房：零租客户4#机房：互联网客户核心交换区中国电信网络中国联通网络2#机房：证券客户10 GEGE68带宽整租模式面向互联网公司、大型政企客户租用整体机房空间或大量机架（甚至定制机架）租用出口层设备多个高速端口带宽客户自带网络、安全、服务器等，整网接入面向中小客户客户自有服务器租用机架空间独享或共享低带宽运营商数据中心业务模式云资源出租模式运营商提供IaaS级服务对云资源采用计时计量收费提供安全增值业务提供自主服务平台托管零租模式69运营商IDC建设思路（一）依据客户群需求，对客户群进行行业分类n政府办公：政府办公网络和网站系统，要求高度机密，稳定的独享带宽，对信息

38、内容进行周期性的检查；n互联网公司：高带宽、高吞吐、高可靠性等要求，对线路质量要求严格；n网络游戏：玩家的最近体验，对安全性、可靠性、带宽和时延要求非常高，客户技术能力比较强，主要需求是带宽和物理环境；n大中型企业：各种电子商务和在线交易的平台，访问量和数据量大，主要需求网络带宽、后台计算和数据库等资源，安全性比较高，需要SSL加密，防御各种端口扫描和DDoS攻击，保证各种在线交易等业务的安全。证券等金融业客户有部署卫星备份链路或容灾备份等要求；n中小型企业：虚拟主机、主机租赁业务，作为中小型企业和个人用户展示自己的窗口，同时存在Web、E-Mail、FTP服务器等需求，无独立硬件资源。70对

39、业务进行整合，包装特色业务，满足客户需求n虚拟主机：主要为中小型提供虚拟空间，如Web/Mail/DB；衡量指标主要为硬盘空间、数据库、最大Session数、最大用户数、最大TCP连接数，通常采用共享带宽；维护依靠FTP进行文件备份等操作；n服务器/机柜托管、租赁：根据客户业务需求、技术能力、资金和人力投入进行选择，采用用户工作区或SSL VPN进行远程监控和维护；n机房托管：主要为政府和大型企业等VIP客户，资金和人力投入大；可在客户工作区进行网络监控和维护，甚至会有门禁系统；n带宽服务：客户可采用专线等保证网络安全和业务的物理隔离，也可采用VPN或购买固定独享来获得安全高效的网络服务。运营

40、商IDC建设思路（二）71提供高效运营和特色服务实现业务增值，弥补传统业务盈利能力所有服务均可定制，满足个性化需求n内容过滤n防火墙n防病毒n防攻击：DDoS、TCP Sync Floodn应用优化：应用加速、负载均衡n安全访问控制：SSL加密、VPN隔离nP2P限流：BTn漏洞扫描与补丁修复n资源性能监控 n运营商IDC建设思路（三）72刀片机箱业务防火墙 网络出口层核心层汇聚层接入层机架式服务器IDS维护终端GEGECE路由器负载均衡出口路由器DMZ服务器CMNETIP专网DMZ区接入维护区核心生产区、测试区CMNET防火墙 光纤 五类线 S12508S7608-XS5830-106SS7

41、608-XS5120-52CS12508FC交换机S7608-XS7608-XS5120-52CS5120-52CS7606-SFC线 管理线 管理区存储区VPN网关4*10GE4*10GE 4*10GE 4*10GE中国移动天津物流基地一级私有云73湖南移动IDCKVM后台汇聚交换机防火墙负载均衡流量清洗防火墙IPS/IDSH3C S12500核心交换机后台业务系统管理机柜基础业务区增值业务区ADC-SI业务区KVM网管监控区3*10 GE3*10 GE10 GE2*10 GE2*10 GE10 GEGESSL加速10 GE3*10 GE3*10 GE负载均衡防火墙IPS/IDSSSL加速1

42、0 GE10 GE10 GE10 GE10 GE2*GE2*GE2*GE2*GE10 GE10 GE10 GE10 GE2*10 GE2*10 GE2*10 GE2*10 GE2*10 GE2*10 GE2*10 GEGEGEGEGEGECMNET核心路由器74浙江移动新一代数据中心架构S12500嘉兴移动核心路由器流量清洗20GE检测10GE清洗千兆接入交换机48GE+2X10GE后台接入交换机48FE基础业务用户区增值业务用户区网管监控区漏洞扫描系统安全审计系统后台汇聚交换机DCN网络百兆防火墙服务器核心路由交换设备24X10GE+24GE+万兆防火墙75核心交换区计费接口区T1600互联

43、网接口区网管网接口区F5000山西移动数据业务网数据中心S12500+FW插卡+IPS插卡核心生产区CMNETSecCenter10GE WAN网管系统S5800-60C+FW计费系统各个业务系统S5800-60C+FW项目概述：中国移动数据业务发展迅速，系统数量急剧增加，规模不断扩大，导致网络互联架构日益复杂，安全威胁不断升级。从整体上提高数据业务系统的安全防护能力。方案特点：在设计方案上，更关注整体网络的统一：将多个系统统一整合，建立数据中心的架构，既方便统一管理，也方便资源调整，改变长期以来的条带化分割系统的做法，使整体网络架构更为高效。逻辑分区的网络设计结构清晰，有利于安全域的划分，同

44、时还保证了网络的可扩展性。采用数据中心级交换机构建高可靠、高性能核心交换区。并且采用安全与网络的融合方案及高性能安全产品。76二长IDC红谷滩IDC8*10G接口4*10G接口IDC GSR12816-1S12500S12500ChinaNetChinaNet孺子路二长楼九江浔阳九江浔阳GSR12816-1GSR12816-1GSR12816-1IDC GSR12816-1IT集中区托管业务区项目概述：江西电信新建红谷滩数据中心，建设要求面向公众服务与电信内部运营，全面满足资源托管、全业务运营互联网、云计算服务业务支撑需求。方案特点：项目采用H3C S12508 IDC核心交换机2台。采用统一

45、交换架构核心交换设备支持高密度万兆线速板卡，满足目前IDC 80G出口容量需求，通过交换端口大缓存特性，保证高可靠业务QOS，采用IRF2.0技术提高带宽利用率，方便管理与维护，构建新一代绿色、节能、可扩展的新一代数据中心。江西电信红谷滩数据中心77中国电信西信中心项目概述：中国西部信息中心成为中国电信集团在中国西部最大的数据灾备中心、信息安全中心、电话呼叫中心基地，也是中国西部最重要的通信交换和信息处理的核心枢纽。对新一代数据中心来说，网络是基石。四川电信要求整体网络方案设计在容量、性能等方面达到业界领先水平；整体架构具备可扩展性，支持向增值业务、云计算类业务的转型发展；优先考虑整体TCO及

46、绿色节能等因素。方案特点：项目采用H3C S12518 IDC核心交换机2台，H3C S7610 IDC汇聚交换机9台。核心层S12518采用6010GE大密度万兆线速板卡做核心，凸显IDC核心交换机大吞吐量技术优势；汇聚层S7610根据业务需要选择采用三层路由模式或是二层交换模式与S12518组网；核心层、汇聚层链路采用IRF2.0技术提高带宽利用率，方便管理与维护，节省50%的汇聚交换机端口成本。接入层接入层核心层核心层托管业务区VIP客户区自用业务区TSRS7610S7610S12518IDC路由骨干层路由骨干层接入层接入层S7610接入层接入层总出口：总出口：640G10GE*N100

47、M/1GE1GE/10GE1GE78浙江电信互联云资源池项目概述：浙江电信的金华、绍兴两地数据中心相聚300公里，浙江电信为提供各数据中心资源利用率，提出跨广域数据中心互联，实现资源共享，两地数据中心对资源进行统一调配，对业务实现按需接入的需求。方案特点：采用4台华三S12510-F交换机作为网络核心，实现跨广域数据中心互联，资源虚拟化，两地数据中心核心设备统一管理。79汇聚层S12500 IRF集成FW/LB板卡10GE*NGE50节点GE12节点CMNETChinaNet接入层 IRFL3L2云存储服务器云门户服务器云业务服务器GE38节点10GE管理服务器16910GE10GE10GE1

48、0GEV100V200V300V3000联通沃云数据中心l扁平化网络结构，数据中心级交换机形成无阻塞交换网络l全网IRF虚拟化，构建满足横向流量交互、虚拟机迁移的二层网络l网络安全融合，简化网络结构和管理80汇聚层核心交换层许庄高开区三层高开区四层TSRS12500S12500唐山联通城域网汇聚层S12500汇聚层10GE10GE*510GE*510GE*410GE*21GE1GE/10GE1GE10GE*2项目概述：唐山作为河北IDC发展的重点之一，具有优越的地理位置优势，IDC业务发展迅速，需扩容以满足日益增多的业务发展需求，同时还需做好对增值业务的有效支撑，实现转型业务的跨越式发展。方案特点：整个项目全部采用100G数据中心级别交换机；采用分布式大缓存端口设计保障网络IDC网络200ms不丢包；面向未来长期发展需要，建设具备高密度万兆接入能力的交换平台。DDOS河北联通国际数据港81谢谢！