Embed Size (px)
Citation preview
Solutions解决方案
2013.10 第66期45 46
Cloud Fabric:构建数据中心“云中网络”
IDC网络面临的新挑战
着云计算的快速兴起,作为IDC(Internet
Data Center,互联网数据中心)市场主要
玩家的各大运营商,都在加速建设依托云
计算平台的数据中心,将计算、存储、网络等资源作
为服务提供给客户,以提升IDC业务的盈利水平。
IDC网络是云计算数据中心的核心,负责连接各
种物理资源(服务器、存储设备)和虚拟资源(虚拟
机、虚拟存储空间等)。近年来互联网业务的发展日
新月异,给IDC网络带来了不少新挑战。
如何适应流量模型的巨大变化
在云计算时代,东西流量将成为数据中心内部的
主导流量。在传统的数据中心里,应用主要部署在单
台或少量几台服务器上,服务器之间通信较少,主要
是向数据中心外部提供服务,因此网络流量以南北流
量为主。基于该流量模型,传统的数据中心网络采用
流量逐级收敛的设计,一般从接入层到核心层的收敛
比在1:3–1:20之间,这种设计方式在满足流量需求的同
时,降低了投资成本。但是,随着搜索、网络游戏、
大型企业应用等业务的出现,单台服务器无法完成巨
大的计算任务,需要部署大规模集群计算,数千台甚
至数万台服务器协同工作,只有少量的服务器对外提
供应用入口,而其余服务器负责应用计算,服务器之
间的应用数据交换、状态同步等流量将成为数据中心
的主要流量。据预测,数据中心的网络流量将从早期
的“80%为南北向流量”,转变为“70%为东西向流
量”。
尽管数据中心内部流量将以东西流量为主,但
出口流量仍然会快速增长。据预测,全球数据中心IP
流量年均增长率为33%,到2016年数据总量将增长到
4.8ZB。运营商目前的数据中心出口流量超过200G的已
经不在少数,中国电信西部数据中心的出口流量更是
高达600G。
随
Cloud Fabric:构建数据中心“云中网络”
如何满足10GE/40GE/100GE服务器端口接入
随着服务器性能的提升以及虚拟机的部署,数据
中心需要更多网络接入带宽。据IDC预测,2014年服务
器10GE端口部署量将超过GE端口,成为市场主流,接
入层上行将演进到40GE;未来10年接入端口将向40GE
甚至100GE演进,数据中心网络则需要提供更大的接入
带宽和交换容量,同时避免网络的频繁升级,减少对
业务的影响。
虚拟机的部署对数据中心网络的新要求
虚拟机技术实现了操作系统和硬件的解耦,能
够极大提升服务器的资源利用效率。目前虚拟机的部
署已经非常普遍,超过50%的计算是在虚拟机上完成
的。虚拟机的规模部署,不可避免地涉及到虚拟机在
服务器间的动态迁移,这对网络提出了新的要求:首
先需要构建大二层网络,从而实现设备的虚拟池化;
其次要保证网络的低时延和高带宽,虚拟机迁移一般
需要保证时延在5ms之内,高带宽则有助于在短时间
内完成迁移;能够动态自动部署网络策略的虚拟机感
知技术也不可或缺。
如何满足用户对安全的诉求
近年来,网络安全事故频发,社交网站用户名密
码泄漏、信用卡支付信息失窃、公司数据库被盗等事
件引起了广泛关注,IDC作为互联网的数据存储和处理
中心,面临更多的安全攻击。另一方面,IDC用户越来
越关注安全服务,Gartner的报告显示,超过一半的用
户将安全服务放在了实施云计算考虑因素的首位。
云计算也给IDC网络安全带来了更大的挑战:网络
边界的模糊化、威胁种类的变化以及大流量的DDoS攻
击,将对IDC网络产生巨大冲击;虚拟化平台运行在操
作系统与物理设备之间,其本身设计存在的漏洞风险
将成为云计算的致命弱点;由于用户共享,不同安全
需求的租户可能运行在同一台物理机上,这种租户共
文/帅春义
Huawei Technologies
2013.10 第66期45 46
享带来的安全问题,传统安全措施难以处理;在数据
管理方面,应用系统和资源所有权的分离,导致云平
台管理员有可能访问用户数据,造成人为数据泄露。
构建面向未来的数据中心网络
针对上述挑战,华为推出Cloud Fabric数据中心网
络解决方案,全力帮助运营商构建面向未来的网络基
础架构,让网络不再是阻碍云计算数据中心蓬勃发展
的瓶颈。
弹性架构
为了应对数据中心东西流量的快速增长,以及未
来服务器的升级换代,在数据中心设计时就应当选择
一种弹性的网络架构。交换机作为数据中心网络的核
心设备,其性能、容量和演进能力将对整个网络产生
非常重要的影响。Cloud Fabric方案采用CE12800系列数
据中心交换机,具有48T超大交换容量,T比特高密线
卡,整网可达到360T的无阻塞交换,支持高密服务器
接入,能满足GE/10GE到40GE/100GE的4代服务器演进需
求。
出口路由器NE5000E采用先进的无阻塞交换网络
架构,可提供海量交换容量和超高转发性能,同时拥
有强大的集群能力,“2+8”集群的系统吞吐量超过
100Tbps,集群容量和扩展能力可充分满足数据中心部
署超大带宽业务的需要。2013年4月,华为发布了1T路
由线卡,该线卡可以支持高密度100GE、40GE端口,交
换容量达到32Tbps。
可运营的虚拟化网络
华为数据中心交换机的VS(Virtual System)技术
架构,可实现设备“一虚多”的虚拟化能力,即在物
理设备上划分出多个逻辑或虚拟设备系统,每个VS承
载不同业务或者服务于不同的用户群,既实现了业务
隔离,又增强了网络可靠性和安全性;大幅提升设备
的利用率,降低用户成本;并可以实现多用户群管理
隔离,有效简化运维。同时,网络节点也支持“多虚
一”应用,通过集群交换机系统(CSS),把多台支持
集群的交换机连接,组成一台更大的交换机,从而简
化网络的拓扑,提升网络性能。
在网络数据平面,Cloud Fabric方案通过标准的Trill
协议构建大二层网络,实现虚拟机的动态迁移。该方
案支持超过500个Tri l l节点的超大规模二层网络,网络
链路和节点故障收敛时间在500ms以内,最大支持16
路负载分担,充分满足大规模数据中心对于网络规模
和性能的要求。在多数据中心互联上,华为增强型Trill
over VPLS方案充分利用成熟技术,部署简单,可支持
40–60个数据中心互联,在更大的地理空间上构建统一
的二层网络,帮助运营商实现物理分散、逻辑统一的
数据中心,有效整合IT资源,提升运营效率。
多层次的安全体系
Cloud Fabric方案拥有先进的安全架构,能够全面
解决数据中心的关键安全难题。同时,华为提供专业
的安全咨询和服务业务,帮助运营商评估和改善数据
中心的安全性能。
华为数据中心安全架构分五个维度 I A A R C
(Identification & Authentication、Access & Authorization、
Audit Trail、Response & Recovery、Content Security),包括
用户的身份识别(你是谁)、接入控制(你能访问什
么)、审计和取证(行为有记录可审计)、反应和恢
复(业务响应及时性、业务可恢复性)、内容安全检
查(是否存在攻击),针对这五个维度提供相应的安
全解决方案,有效保障数据中心的平安运行。
同时,该架构提供对端、管、云三层业务的层次
化安全防护,在端点接入上提供移动终端、VDI等终
端接入安全方案;在网络管道上提供边界网络、内部
网络、虚拟层网络等层次化防护方案,实现多租户的
网络隔离,抵御来自数据中心内部和外部的攻击;在
云端提供数据中心主要业务如Web、Email等的安全防
护,并提供全方位的数据保护方案,包括文档和数据
库安全、虚拟机全盘加密以及DLP。
开放易运维
IDC网络涉及到与骨干网络、其他IDC、服务器/存
储器的互联互通,华为坚持采用Trill、VPLS等业界标准
协议,提升网络的可集成性,有效保护运营商的投
资。
华为数据中心管理平台U2000能够统一管理交换
机、路由器、OTN、防火墙等设备,提供E2E的物理/逻
辑视图,支持快速故障定位和灵活的业务发放;除了
传统的网络管理功能,U2000还支持虚拟机感知,能
在虚拟机的迁移中自动部署网络策略。
责任编辑:曹智慧 [email protected]
