劉振棟++羅群

摘要：隨著云技術(shù)的發(fā)展，云平臺(tái)的廣泛應(yīng)用，服務(wù)器高可用集群技術(shù)和虛擬服務(wù)器動(dòng)態(tài)遷移技術(shù)在數(shù)據(jù)中心中的應(yīng)用更為廣泛，大規(guī)模的計(jì)算、存儲(chǔ)資源的互聯(lián)互通對(duì)數(shù)據(jù)中心的結(jié)構(gòu)及運(yùn)行模式提出了新的要求，網(wǎng)絡(luò)的架構(gòu)、安全也尤為重要，本文在此前提下對(duì)云平臺(tái)統(tǒng)一數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)進(jìn)行探討。

關(guān)鍵詞：云平臺(tái)；數(shù)據(jù)中心；網(wǎng)絡(luò)設(shè)計(jì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）05-0013-02

Research and Discussion on the Network Design of the Unified Data Center of the Cloud Platform

LIU Zhen-dong， LUO Qun

（Chongqing Creation Vocational College， Chongqing 402160， China）

Abstract： With the development of cloud technology， the wide application of cloud platform， server and virtual server cluster technology and virtual server dynamic migration technology in the data center application is more extensive， large-scale computing， storage resources of the structure and operation mode of the data center.

Key words： Cloud platform； data center； network design

隨著云技術(shù)的發(fā)展，各行各業(yè)云平臺(tái)的建設(shè)與應(yīng)用與日俱增。在云平臺(tái)的建設(shè)過程中，建立統(tǒng)一數(shù)據(jù)中心尤為重要，建立快速、可靠、安全的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)是實(shí)現(xiàn)數(shù)據(jù)中心的重要環(huán)節(jié)。因此如何建立快捷、便利、安全、可靠的網(wǎng)絡(luò)是值得探討與研究的。

1 網(wǎng)絡(luò)總體設(shè)計(jì)

云數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)可采用扁平化二層網(wǎng)絡(luò)架構(gòu)（核心層、接入層），采用網(wǎng)絡(luò)虛擬化技術(shù)，核心交換機(jī)承擔(dān)著核心層和匯聚層的雙重任務(wù)。

使用扁平化方式可降低網(wǎng)絡(luò)復(fù)雜度，簡化了網(wǎng)絡(luò)拓?fù)?，提高了轉(zhuǎn)發(fā)效率。二層網(wǎng)絡(luò)架構(gòu)中，采用虛擬集群和堆疊技術(shù)，解決鏈路環(huán)路問題，提高了網(wǎng)絡(luò)可靠性。核心交換機(jī)設(shè)置VLAN的IP地址，接入交換機(jī)劃分VLAN，做二層轉(zhuǎn)發(fā)。

2 三層網(wǎng)絡(luò)設(shè)計(jì)

云平臺(tái)下整體網(wǎng)絡(luò)可劃分為三層，分別為接入層、匯聚層、核心層。

1） 接入層：服務(wù)器和存儲(chǔ)設(shè)備上行接入到接入層交換機(jī)。在接入交換機(jī)劃分VLAN，將管理、業(yè)務(wù)、存儲(chǔ)三個(gè)平面邏輯隔離。為簡化組網(wǎng)提高組網(wǎng)可靠性，建議接入交換機(jī)采用堆疊方式。業(yè)務(wù)平面網(wǎng)絡(luò)，用于承載虛擬機(jī)業(yè)務(wù)數(shù)據(jù)；管理平面網(wǎng)絡(luò)，用于承載管理服務(wù)器以及資源服務(wù)器之間的內(nèi)部管理消息流量；存儲(chǔ)平面網(wǎng)絡(luò)，用于承載服務(wù)器和磁盤陣列之間的專用數(shù)據(jù)訪問。

2）匯聚層：接入交換機(jī)上行到匯聚層交換機(jī)。匯聚交換機(jī)建議采用交換機(jī)集群的方式，接入交換機(jī)采用ETH-TRUNK上行至匯聚交換機(jī)，匯聚交換機(jī)堆疊之后，無需啟用VRRP功能，如果需要匯聚交換機(jī)提供網(wǎng)關(guān)功能，則直接將VLAN IF接口作為用戶網(wǎng)關(guān)地址。

3）核心層：匯聚交換機(jī)上行接入核心層交換機(jī)。核心交換機(jī)也建議采用集群的方式。核心交換機(jī)采用OSPF或者靜態(tài)路由的方式同上層設(shè)備進(jìn)行對(duì)接：采用OSPF對(duì)接時(shí)，OSPF發(fā)布地址包括核心交換機(jī)互聯(lián)地址，直連路由地址以及l(fā)oopback地址；采用靜態(tài)路由方式時(shí)，建議核心交換機(jī)同上級(jí)設(shè)備采用VRRP地址為網(wǎng)關(guān)地址。

云平臺(tái)網(wǎng)絡(luò)總體設(shè)計(jì)（單數(shù)據(jù)中心）如圖1所示。

3 業(yè)務(wù)平面網(wǎng)絡(luò)

業(yè)務(wù)網(wǎng)絡(luò)分為核心層和接入層兩層。核心層由2臺(tái)核心交換機(jī)、2臺(tái)LB、2臺(tái)防火墻組成，接入層為堆疊的接入層交換機(jī)。虛擬機(jī)使用業(yè)務(wù)網(wǎng)絡(luò)上，核心層負(fù)責(zé)完成內(nèi)部虛擬機(jī)互訪業(yè)務(wù)交換和出網(wǎng)的縱向業(yè)務(wù)轉(zhuǎn)發(fā)。內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)上，核心層負(fù)責(zé)完成出網(wǎng)縱向流量轉(zhuǎn)發(fā)。

4 網(wǎng)絡(luò)可靠性設(shè)計(jì)

1）網(wǎng)絡(luò)路徑全冗余：核心層交換設(shè)備通過使用交換機(jī)集群技術(shù)，保證對(duì)外與防火墻/NAT和對(duì)內(nèi)匯聚交換機(jī)連接的冗余；匯聚層交換設(shè)備通過使用交換機(jī)集群技術(shù)，保證對(duì)外與核心層交換設(shè)備和數(shù)據(jù)中心內(nèi)接入層交換機(jī)連接的冗余；接入交換機(jī)通過使用交換機(jī)堆疊技術(shù)，保證對(duì)外與匯聚層交換設(shè)備和對(duì)內(nèi)虛擬網(wǎng)絡(luò)層連接的冗余；虛擬網(wǎng)絡(luò)層通過采用多網(wǎng)卡綁定等技術(shù)避免單個(gè)網(wǎng)卡故障引發(fā)的業(yè)務(wù)中斷。

2）網(wǎng)絡(luò)平面通信：系統(tǒng)通信平面劃分為業(yè)務(wù)平面、存儲(chǔ)平面和管理平面。為了保證各種網(wǎng)絡(luò)平面數(shù)據(jù)的可靠性，不同平面間采用VLAN等技術(shù)進(jìn)行隔離，單個(gè)平面故障不影響其余兩個(gè)平面的正常工作。業(yè)務(wù)平面，主要為虛擬機(jī)虛擬網(wǎng)卡的通信平面，對(duì)外提供業(yè)務(wù)應(yīng)用；存儲(chǔ)平面，主要為iSCSI存儲(chǔ)提供通信平面，并為虛擬機(jī)提供存儲(chǔ)資源，但不直接與虛擬機(jī)通信，而通過虛擬化平臺(tái)轉(zhuǎn)換；管理平面，負(fù)責(zé)整個(gè)云計(jì)算系統(tǒng)的管理、業(yè)務(wù)部署、系統(tǒng)加載等流量的通信。

5 網(wǎng)絡(luò)安全性設(shè)計(jì)

網(wǎng)絡(luò)安全包括內(nèi)網(wǎng)安全和網(wǎng)絡(luò)邊界安全。

1）內(nèi)網(wǎng)安全：

平面隔離：業(yè)務(wù)、存儲(chǔ)、管理三個(gè)平面采用物理隔離的方式進(jìn)行部署，保證了各個(gè)平面之間的隔離和安全。

虛擬機(jī)網(wǎng)絡(luò)隔離：提供虛擬私有云（Virtual Private Cloud）和安全組方案，可根據(jù)客戶需求對(duì)虛擬機(jī)資源進(jìn)行網(wǎng)絡(luò)邏輯隔離。

2）邊界網(wǎng)絡(luò)的安全：

在云計(jì)算中心與互聯(lián)網(wǎng)的邊界部署防火墻，實(shí)現(xiàn)內(nèi)網(wǎng)隱藏。防火墻通過NAT、安全域隔離和虛擬防火墻等技術(shù)，對(duì)計(jì)算中心不同業(yè)務(wù)的流量進(jìn)行隔離和防護(hù)，并滿足計(jì)算多業(yè)務(wù)發(fā)展的安全需求。

3）建立DMZ區(qū)：

在數(shù)據(jù)中心與外網(wǎng)訪問之間設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)放置一些必須公開的服務(wù)器設(shè)施，如數(shù)據(jù)中心Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。

6 結(jié)束語

隨著云平臺(tái)的廣泛應(yīng)用，大規(guī)模的計(jì)算、存儲(chǔ)資源的互聯(lián)互通對(duì)數(shù)據(jù)中心的結(jié)構(gòu)及運(yùn)行模式提出了新的要求，網(wǎng)絡(luò)的架構(gòu)、安全也尤為重要，如何建設(shè)快速、可靠、安全的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)保證數(shù)據(jù)中心的得以實(shí)施，保證業(yè)務(wù)、存儲(chǔ)、管理等方便運(yùn)行的網(wǎng)絡(luò)是值得我們探討與研究的。

參考文獻(xiàn)：

[1] 莫闖.云計(jì)算下的校園網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)[J].信息安全與技術(shù)，2013.

[2] 陳婕.高校數(shù)據(jù)中心發(fā)展戰(zhàn)略探討[J].電腦知識(shí)與技術(shù)，2013.

[3] 杭州華三通信技術(shù)有限公司.NGIP新一代網(wǎng)絡(luò)建設(shè)理論與實(shí)踐[M].北京：電子工業(yè)出版社，2011.13-19.

[4] 巫莉莉，黃志宏.高校云計(jì)算數(shù)據(jù)中心的構(gòu)建解析[J].中國教育信息化，2011.