超融合基础架构解决方案

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！超融合架构解决方案技术建议书超融合一体机超融合操作系统&1错误1.1错误错误1.21.3错误1.4错误错误1.52错误错误2.12.2错误2.3错误3错误错误3.13.1.13.1.23.1.33.1.43.2服务器虚拟化（aSV）错误网络虚拟化（aNET）错误存储虚拟化（aSAN）错误网络功能虚拟化（NFV）错误错误错误错误3.33.3.13.3.23.3.33.4错误错误错误错误3.4.13.4.2错误随着业务系统的高速发展，IT架➢➢业务与架构紧耦合A部A传统架构制约东西向流量地址、MAC➢➢➢网络设备的硬件规格限制业务系统规模地址表一般为：8K/16K，核心交换机单槽位一般为：128K/250K）限制了不能适应大规模租户部署➢➢传统安全部署模式的限制建设原则为避免投资浪费，IT建设关键需求随着业务的不断扩展，4-7➢➢建设组件及建设模式“超融合架构”➢aSV计算虚拟化解决方案：通过基于KVM的开源虚拟化技术提供更加便捷、灵活和开放的虚拟机生命周期管理；➢aNET网络虚拟化解决方案：通过引入VxLAN技术，能够提升云计算中心的整体扩展性，同时实现多租户环境下的安全隔离；➢aSAN存储虚拟化解决方案：充分利用现有服务器的硬盘资源，对其进行高密整合，互联所有X86架构服务器的硬盘总线，实现存储空间的融合；➢NFV网络功能虚拟化解决方案：通过使用虚拟机镜像的方式运行vAD（应用交付）、vAF（下一代防火墙）等2-7层的安全优化组件，解决东西向的安全优化特性；➢VMP虚拟化管理平台：不仅可以实现SangforIaaS架构的统一管理及统一调度，还能够通过OpenStack北向接口与第三方云管理平台实现互通，从而将资源的调度管理更加集约化、易用化。深信服超融合架构则通过：或超融合操作系统服2、超融合操作系统：（aSV+aNET或或组件全选，NFV➢➢➢➢化超融合架构层服务器虚拟化（aSV）虚CPU、内存、I/O态分配需求，譬如提供热迁移、HA➢故障迁移（HA）:➢热迁移（Motion）:通过热迁移可以实现虚拟机的在线动态迁移,保证业务连续性；零宕机时间:进行计划内硬件➢跨存储热迁移:➢精确备份时间策略：可精确到小时级的备份计划，让备份数据更精准完善。➢智能备份路径选择：可智能选择备份路径，根据存储空间的使用情况来智能选择备份位置，且与原位置不同，保证原主机或存储故障后，能从其它备份位置恢复。也可选择客户简单易用的Windows共享目录实现快速易用的备份。52➢免插件控制台：免插件的控制台访问VM，提升用户体验➢一键新增虚拟机：通过简单设置，快速创建虚拟机➢自动故障处理：系统故障时提出专家解决方案，快速恢复系统及应用➢批量新增虚拟机：为经常重复的工作内容提供自动化操作平台➢虚拟化文件系统加密通过高强度加密的Sangfor虚拟化文件系统，保证数据安全。通过添加每用户的密钥实现加密功能提高安全性。非法人员即使盗走保存有机密数据的硬盘或者虚拟机虚拟硬盘文件，也能够防止其数据被其他用户或外部攻击者未经授权的访问。➢底层防攻击合入深信服NGAF多年的安全积累的防攻击模块，保障底层Hypervisor更安全,最大限度的控制网络系统，加强边界访问控制权限的建立，降低安全风险,消除网络系统、操作系统、本身存在的大量弱点漏洞和认为操作或配置产生的与安全策略相违背的系统配置，减少入侵者成功入侵的可能；加强网络系统入侵行为的检测和防御能力，有效阻止来自外部的攻击行为，同时也防止来自内部的违规操作行为；通过加固手段切实提高操作系统的安全级别，保证系统安全。➢系统故障恢复：虚拟机系统故障检测，虚拟机内部系统蓝屏，或者CPU利用率100%卡死虚拟机操作系统时，SangforVMPHA可侦测病重启该虚拟机➢源保障及控制：通过调整不同业务虚拟机的CPU，内存等计算资源的优先级，保障关键应用计算资源需求，提升高优先级系统的可用性➢块数据缓存：实现针对文件系统的块数据缓存，通过提升大文件读取速度，优化用户体验➢历史数据预取：精准读取虚拟机历史块数据，加快系统开机速度➢SCSI虚拟化硬盘加速：通过优化SCSI磁盘驱动，整体提升磁盘I/O性能。网络虚拟化（aNET）aSwitch、虚拟vNGAF、虚拟应用交付vAD、虚拟vSSLVPN、虚拟广域TRILL/SPB/FabricPath/VPLS（为了解决服务器虚拟VLAN、QoS、ACL应用层协议栈技术，我们把数据转发放到了应用层，能够让设备永不宕机,而分布式设计的虚拟最只把交换机和路由器虚拟化是不够的，复杂的业务环境是必须要配置负载均衡、VPN、防vNGAF、vAD、vWOC、vSSLVPN1、2、4、8为了从不同维度提升虚拟化平台的安全性，通过隔离的分布式交换机、ACL的安全防护技术、SSLVPN可以提供包括：状态检测、应用访问控制、漏洞防护、Web存储虚拟化（aSAN）网络设备（FCSANiSCSISAN）。如24223由于aSAN存储虚拟化采用副本方式保存数据，支持2-3份副本。当物理硬盘出现故障的时候，存储则会被重新指向另外一个健康的副本，整个过程是毫秒级的切换,对用户来讲基本是无感知的。如果不幸遇上了物理主机或者是网络故障，整个虚拟化平台可以完成分钟级的切换，业务系统或者网络设备的虚机可以快速切换到另一台服务器拉起，几分钟就能恢复正常运作，而存储的指向仍然保持了同步，这样就比传统方式的业务恢复速度快了很多。由于传统的sas盘、sata盘的性能只有7200转，iops达不到众多应用系统的相关性能要求。所以，深信服的存储虚拟化aSAN在硬件架构上会要求采用SSD双缓存方式，读和写都使用独立的SSD硬盘来实现，借助于SSD的高效缓存技术，可以让用户以较低的成本获得非常高的IO性能。此外，通过我们的算法优化，业务系统所请求的数据、绝大部分情况下都会直接读取到本地磁盘上的副本，从而使得存储的响应速度大幅提升，明显提升整体存储的IOPS性能。网络功能虚拟化（NFV）当前软件定义网络成为了技术发展的趋势，深信服也率先在国内推出全系列的数据中心安全、优化产品（NGAF下一代防火墙、SSLVPN、AD应用交付、WOC广域网优化）软件虚拟化解决方案。这些过去需要以专用硬件方式部署的产品，不再需要依赖专用的硬件，可以以软件镜像的方式，完美支持在Vmware、KVM、XEN等服务器虚拟化环境下的部署。从而极大的简化政务云数据中心网络的架构，为各个租户的虚拟应用按需、灵活的虚拟扩展出各种安全和优化方案，同时还便于划分清楚各方的运维职责。软件虚拟化版本产品直接以虚拟机的方式运行，只需要分配好相应的CPU、内存、硬盘等资源大小，就可以获得对应性能的安全、优化产品。一般会分为1核、2核、4核、8核CPU等档次，性能从百兆到千兆。功能方面，由于是将现有硬件产品的版本直接平移，所以软件版产品的功能与硬件设备保持一致，可以为用户提供最专业的网络安全、网络优化解决方案。vAD、vAF、vSSLVPN、vWOC等虚拟化软件设备支持路由、单臂等部署方式，针对不同租户开启一个对应的虚机镜像，通过集中管理平台开通虚拟设备授权，然后配置vSwitch连通网络，只需数分钟即可为不同租户提供各种增值网络服务。➢路由部署：vAF、vWOC➢单臂旁挂：vAD、vSSLVPN5➢购买授权：向深信服购买软件授权➢导入镜像：将设备镜像拷贝进入虚拟化环境➢注册开通：在授权服务器上开通➢策略配置：配置AD、AF、SSL等虚拟设备的相关策略➢vSwitch配置：配置虚拟交换机实现业务的互通深信服的vAD、vAF、vSSLVPN、vWOC等功能模块不仅可以通过Sangfor虚拟化管理模块实现统一的超融合管理，所有模块均开放了北向的OpenStack接口，通过开放的统一接口，能够更好的实现和第三方平台的融合，并实现功能服务的创建及关闭、功能模块的策略配置。下面以vAD为例，通过界面截图，了解面向OpenStack的统一管理。vAD、vAF、vSSLVPN、vWOC保持了与硬件产品一致的专业功能，还具备各种产品的合规资质；而且产品类别完整，不需多厂家产品拼凑，就可以满足用户将应用迁移到云环境中的各种传统业务安全、优化需求。简单4步，快速部署上线，无需机房连线操作，设备的配置界面保持了与硬件设备一致的风格，让云中心/租户管理员只需要数分钟时间，就可以快速完成业务的上线部署。云中心管理员可以根据租户的业务发展，增加虚机资源，按需扩展虚拟设备功能、性能。不用担心过去由于租户增多，硬件设备性能不足，而要淘汰、更换设备的情况，保护投资。软件虚拟化产品比同等性能的硬件设备更具有价格优势，而且不用担心设备淘汰带来的投资浪费。简单易用的部署方式，也大大减低了方案运维成本。同时，分权的管理模式，运维职责划分更加明确，可以降低出现故障时的责任风险。入侵检测和防御服务通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。提供主动式入侵防御功能，能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件的攻击。每月一份报告，每个租户一套NGAF开启FW+IPS功能模块。➢WEB业务在线防护WAF➢在网站前端架设在线WAF防护系统，保证用户网站对各种SQL注入、XSS跨站、网站挂面、敏感信息泄密、网页篡改等攻击进行防护，每月一份防护记录，每个租户一套NGAF开启WAF功能模块。➢业务系统安全风险分析服务➢提供系统级的安全隐患分析服务，包括外部访问、系统维护、等信息汇总。提供系统安全分析，包括可疑访问、恶意访问、安全试探、异常数据访问等安全隐患的预警性分析，建议每月一次，每个租户一套NGAF开启漏洞扫描和分析功能模块➢➢SSLVPN接入服务采用SSL技术提供虚拟专用网络接入服务，可以面向PC、移动终端等提供安全接入方式，帮助租户实现内部用户、第三方用户的远程安全接入。每月按用户数量灵活收费，每个租户一套SSLVPN➢移动APP安全加固服务针对租户的移动APP提供自动化的安全加固服务，让APP可以直接和VPN网关加密传输，并在移动终端上加密存储数据，提供端到端的数据防泄密功能。每月按用户数量灵活收费，每个租户一套SSLVPN+EasyAPP功能模块。➢政务移动门户和设备管理为每个租户提供一个统一的移动业务门户，包括移动设备管理、政务移动应用商店、移动设备安全监控、数据远程擦除都能功能。每月按用户数量灵活收费，每个租户一套SSLVPN+EMM功能模块。➢服务器负载均衡服务：租户的各种应用系统，如果需要多台虚拟服务器实现高可靠解决方案时，服务器负载均衡是必要组件，通过部署软件版应用交付产品，可以为租户提供L4-7服务器负载均衡、健康探测、温暖重启、VMware联动等功能，保障业务稳定性。每月按一套设备收费，每个租户一套AD应用交付产品。➢网站加速服务:对网站进行整体加速与实时优化，通过应用交付AD的单边加速、SSL卸载、TCP优化、图片转码等功能，避开网络拥塞，加快在互联网上访问网站的速度，按网站数量收费，每个租户一套AD应用交付+应用加速功能模块。➢全局智能DNS服务:自动判断访问者的IP地址，智能解析域名，指向相对访问者来说网络访问速度最快的服务器，可按照需要解析的IP数量计费，需要在政务云出口部署硬件链路负载均衡实现。➢广域网优化接入：当租户搭建的业务系统需要通过专网、电子政务外网，让下属分支机构、横向政府单位访问时，为了避免广域网存在高丢包、高延迟造成应用访问慢，解决带宽不足，以及传输链路明文传输等安全问题，可以部署广域网优化WOC，通过一体化的应用优化、传输优化、VPN功能，帮助租户建立一套快速、安全的广域网传输机制。政务云中心一套软件版WOC产品，按月收费；各个分支机构部署硬件WOC产品，一次性采购或者租用。多业务模板层通过多业务模板，能够在超融合架构中创建出基于各种模块的Profile文件，例如：端口的策略模板、网络协议模板、安全功能模板、虚机模板、用户文件、存储配置模板等。利用模板下发的方式实现整个业务逻辑架构的快速创建和故障拓扑的快速回滚。同时可以通过模板上传的方式搭建一个模板库，多租户共享同一个模板库，从而能够根据自己的需要，下载相应的模板，实现业务的快速上线。虚拟化管理平台深信服虚拟化管理平台VMP是一个针对超融合架构进行IT资源进行全面管理、调度的管理系统。可以针对物理主机、服务器虚拟化、网络虚拟化、存储虚拟化等设备和组件进行资源负载监控、虚拟资源配置和调度、网络拓扑部署、网络设备策略配置、网络故障排查、存储资源管理、数据备份管理等。尤其是网络拓扑部署功能，管理员只需要在界面上画出所需要的网络、安全、虚机的组网拓扑，只需数分钟就可以实现业务系统的就绪，做到“所画即所得”。此外，还可以针对管理员进行权限的管理和划分，后续通过升级可以支持多租户业务场景的管理。从而，只需要一个管理界面，就可以帮助运维人员高效、简便的实现云计算中心IT资源的部署、运维、排障。服务器虚拟化管理模块可以针对物理主机、虚拟机、内置/外置存储进行全面的系统管理。比如，可以针对物理主机增加/删除、物理主机性能监控、应用系统P2V迁移、虚拟机创建/克隆/迁移/监控、存储资源管理、数据备份和恢复等等。网络虚拟化管理模块可以针对虚拟化环境下的虚拟交换机、虚拟路由器、虚拟下一代防火墙、虚拟应用交付、虚拟VPN、虚拟广域网优化、物理网络边界等进行全面的管理，并进行网络拓扑部署、故障自动排查等功能。从而可以让过去以天为单位计算的网络部署周期缩短为分钟级，让网络故障的排查更加自动化，减少人为故障的可能。通过拖动管理界面左侧中的各种网络、安全设备图标到画布中，并完成网络连线，画出实际应用系统所需要的网络架构，整个业务系统就可以快速完成部署。如下图所示，就是搭建一个Web应用所需要的Web服务器区、APP服务器区、DB服务器区所需要网络架构，每个区域都可以部署虚拟应用交付进行服务器负载均衡，在区域之间部署虚拟防火墙实现安全域的隔离和控制，在应用的边界还可以部署具备WAF/IPS功能的虚拟防火墙，防止来自外部的应用层攻击。如果需要针对不同的网络、安全、优化设备进行配置管理，只需要点击对应设备的图标，就可以进入其Web化的管理界面进行路由协议、网口IP地址配置、ACL、VLAN、DHCP、安全防护策略、负载均衡策略的管理。➢➢➢➢只需要输入目的和源地址，就可以快速定位出整个访问路径上出现网络中断的原因，比如ACL拒绝、设备故障、连线中断等等。存储虚拟化管理模块可以针对aSAN资源池中各个物理服务器的硬盘、缓存盘、数据高可用策略、性能监控等进行全面的管理。从而极大程度的提升。管理界面简单明了，不需要学习复杂的LUN、RAID等存储基础知识，就可以让管理员快速上手，快速完成高可靠、高性能、弹性的存储资源管理。可以监控整个存储资源池的IO访问次数、IO吞吐、存