超融合基础架构解决方案

超融合基础架构解决方案

超融合架构解决方案技术建议书

超融合一体机&超融合操作系统

目录

1传统IT架构面临的问题.................................错误床定义书签。

业务与架构紧耦合.................................................错误保定义书签。

传统架构制约东西向流量..........................................错误床定义书签。

网络设备的硬件规格限制业务系统规模..............................错误床定义书签。

不能适应大规模租户部署..........................................错误床定义书签。

传统安全部署模式的限制...........................................错误保定义书签。

2项目概述..............................................错误味定义书签。

建设原则........................................................错误味定义书签。

建设关键需求....................................................错误床定义书签。

建设组件及建设模式..............................................错误保定义书签。

3深信服超融合架构解决方案概述..........................错误床定义书签。

超融合架构层....................................................错误味定义书签。

服务器虚拟化(aSV)...................................................................................错误床定义书签。

网络虚拟化(aNET)....................................................................................错误!未定义书签。

存储虚拟化(aSAN)...................................................................................错误味定义书签。

网络功能虚拟化(NFV)..............................................................................错误!未定义书签。

多业务模板层....................................................错误床定义书签。

虚拟化管理平台..................................................错误保定义书签。

服务器虚拟化管理模块............................................错误床定义书签。

网络虚拟化管理模块..............................................错误味定义书签。

存储虚拟化管理模块..............................................错误床定义书签。

深信服超融合架构方案价值和优势总结..............................错误保定义书签。

深信服超融合架构价值............................................错误床定义书签。

深信服超融合架构的优势..........................................错误味定义书签。

传统IT架构面临的问题

随着业务系统的高速发展，IT架构做为承载业务系统的基础设施，快速部署、减少

投入和灵活扩展显得越来越重要。云计算能够提供可用的、便捷的、按需的资源提供，

成为当前IT架构建设的主流形态，很多新建系统都是使用云模式进行构建，同时还有

大量的现有业务系统，再向云计算环境进行迁移。而在云计算环境中，大量采用和部署

的虚拟化几乎成为一个基本的技术模式。服务器虚拟化就是首当其冲的，部署虚拟机需

要在网络中无限制地迁移到目的物理位置，虚机增长的快速性以及虚机迁移也成为一个

常态性的业务。

服务器虚拟化在经过多年的高速发展后已经越来越成熟，被接受和应用的领域也越

来越广泛。它有效降低了硬件采购成本，提高了资源利用率和可用性，同时大幅提升了

运维效率，缓解了IT建设面临的诸多压力。虽然服务器虚拟化的普及彻底改变了应用

的调配和管理，但是，所有动态负载的虚拟机所连接的网络和存储却远远滞后：

＞网络调配依然极其缓慢，甚至一个简单的拓

扑变更也需要数天或数周时间；

＞存储搭建依旧极其复杂，卷管理麻烦到管理

员需要重新学习更多相关技术。

这样的n■架构，包括实现了服务器虚拟化的架构，都已不能很好满足迈向云时代

的各种需求，面临着如下挑战：

1.1业务与架构紧耦合

传统数据中心业务是通过分区分域的方式进行建设的，一般会以POD(数据中心

标准化接入单元)为单位来实现IP地址网段的划分:一个POD内为一个网段，规划和

部署同一种业务。分区分域的方式规划清晰，维护简单，但是不足之处就是业务扩容受

限，例如:业务A部署在PODA内，如果PODA内以没有剩余空间，无法实现扩容

的时候，则需要把业务A部署在其它的机架上。此时则要求PODA需要与其它机架的

TOR交换机实现二层Trunk互通，带来的问题就是需要对网络做出大量的配置更改。

所以业务和架构紧耦合，一旦业务发生变化，物理架构就要随之需要作出调整。

1.2传统架构制约东西向流量

传统架构以核心交换机为临界点，成为二、三层网络的边界:核心交换机以上为三层

环境，主要是以控制南北数据流量为主。而核心交换机以下，由于虚拟机的大规模使用,

虚拟机迁移的特点主要以东西流量为主。同时在虚拟机迁移之后，还需要其IP地址、

MAC地址等参数保持不变，则必须通过二层环境实现。

罗列一下现有的二层技术，或多或少均存在一些问题：

＞生成树类的相关技术

(STP/RSTP/PVST/PVST+/MST等):

部署和维护繁琐，网络规模不宜过大，网络

收敛时间较长，限制网络的扩展。

＞网络虚拟化技术（各厂家私有的

VPC/IRF/CSS/VSU等）：虽然能够简化部

署、同时具备高可靠和高可用，但是该类技

术对拓扑架构有严格要求，由于私有特性,

各厂家之间无法互通，一般只适合数据中心

内部网络使用。

＞大规模二层网络技术

(TRILL/SPB/FabricPath/OTV/EVB

等）：虽然能够支持二层网络的良好扩展,

解决了生成树网络规模不大的问题，但该类

大二层技术对网络设备均有特殊要求，需要

通过升级软.硬件的方式才能支持此类新技

术，部署成本提升。

1.3网络设备的硬件规格限制业务系统规模

在虚拟化环境下，虚拟机的大规模部署，使得物理交换机上MAC地址表项的大小

（传统的接入交换机MAC地址表一般为:8K/：16K,核心交换机单槽位一般

为:128K/250K）限制了虚拟机的规模，特别是对于接入交换机而言，较小的MAC地

址表项规格，严重的限制了整个大二层环境下数据中心的业务规模。

1.4不能适应大规模租户部署

当网络中出现大量租户或者大量业务的时候，网络隔离就显得异常重要，当前的主

流二层网络隔离技术为VLAN，但是在大量租户或大量业务部署时会有几个限制：

>VLAN可用的数量为4K左右，远远不能满

足云计算环境下的部署需求

>如果在大规模数据中心部署VLAN，会使得

所有VLAN在数据中心都被允许通过，会

导致任何一个VLAN的广播数据会在整个

数据中心内泛滥，大量消耗网络带宽，同时

带来维护的困难。

当二层环境下的VLAN无法实现有效隔离的时候，还能够利用MPLSVPN做到三

层的隔离，但是由于MPLSVPN自身的封装和协议本身的交互，导致隔离后的业务交

付效率低下。

1.5传统安全部署模式的限制

传统架构下业务系统的安全部署都是基于路径、基于拓扑的策略部署，安全部署需

要根据业务的要求手工配置VLAN、IP、引流策略，如果业务发生变更，安全策略的配

置也必须跟着重新配置。

另外，传统安全策略都是基于物理硬件进行部署的，大部分部署均为打补丁的方式

实现。导致在业初期由于业务量小使设备利用率很低造成资源浪费，而且业务后期随着

业务量的增量可能又会出现性能不够用的情况，安全设备的性能无法根据业务的要求而

动态的扩展性能或者释放资源。

2项目概述

传统架构下的数据中心解决方案已经不能够满足云环境下客户业务高速发展的要

求，所以本次方案规划设计，需要通过更有价值的新架构来解决传统架构面临的问题。

2.1建设原则

本次项目的总体建设原则如下：

L统一规范

由于业务系统的复杂性，所以应该在统一的框架体系下，参考国际国内各方面的标

准与规范，严格遵从各项技术规定，做好系统的标准化设计与施工。

2、成熟稳定

由于云计算的发展变化很快，而本项目建设时间紧，涉及面广，应用性强，在设计

过程中，应选成熟稳定的技术和产品，确保建成的IT架构能够适应各方的需求，同时

节约项目施工时间。

3、实用先进

为避免投资浪费，IT架构的设计不仅要求能够满足当前业务使用的需求，还必须具

备一定的先迸性和发展潜力，使系统具有容量的扩充与升级换代的可能，以便该项目在

尽可能的时间内与业务发展和信息技术进步相适应。

4、开放适用

由于n■架构是为各业务系统提供支撑，所以必须充分考虑架构的开放性，提供开

放标准接口，供开发者及用户使用。

5、安全可靠

本项目涉及用户范围广，数量大，实时性强，设计时应加强系统安全防护能力，确

保系统运行可靠，业务不中断，数据不丢失。

2.2建设关键需求

针对上述提及的建设原则，建议1T架构需要满足如下要求：

1、仃资源全面池化

伴随着数据与业务的集中，传统数据中心的硬件架构已经无法满足业务的快速上线

和灵活的业务部署，新架构需要通过软件定义的方式实现全新的IT基础架构，也就是

通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁

移的大二层环境、最后通过存储虚拟化实现存储空间的融合。对于软件定义的数据中心，

需要充分保障物理资源层、资源抽象与控制层和云服务层稳定性与安全性，并提供异地

容灾备份服务。

2、安全优化如影随形

随着业务的不断扩展，4-7层的安全、优化架构也需要紧密跟随。传统的烟囱式建

设方式会让数据中心里出现大量的安全、优化设备，同时也会让安全管理变得复杂。

＞从业务的角度上分析，新的IT架构必须能

够对旧系统、旧应用进行平滑迁移，4-7层

的安全、优化特性按需部署，资源灵活调度；

＞从管理的角度上分析，平台的建设需要将所

有4-7层的安全.优化机制下沉至虚拟机,

通过统一的管理平台对虚拟机的整个生命

周期进行管理，同时精细的管理到虚拟机中

的安全、优化应用。

所以需要充分保障整个数据中心中各类业务的安全可靠，并提供新、旧业务的平滑

迁移。

3、自助统一的业务交付

建造新一代的数据中心，最终目标是要实现系统的按需运营，多种服务的开通，而

这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、工作

流管理、自助Portal界面等。从用户资源的申请、审批到分配部署的智能化。管理系

统不仅要实现对传统的物理资源和新的虚拟资源迸行管理，还要从全局而非割裂地管理

资源，因此统一管理平台与自动化服务交付是提升服务效率的重要因素。

2.3建设组件及建设模式

为了实现上述建设的关键需求，通过n"架构的优势，将业务系统效率发挥至极致。

深信服通过"超融合架构”实现了资源、业务、数据的集中承载和统一调度，超融合架

构包含的组件如下:

>aSV计算虚拟化解决方案:通过基于KVM的开源虚拟化技术提供更加便捷、灵

活和开放的虚拟机生命周期管理；

>aNET网络虚拟化解决方案:通过引入VxLAN技术，能够提升云计算中心的整

体扩展性，同时实现多租户环境下的安全隔离；

>aSAN存储虚拟化解决方案:充分利用现有服务器的硬盘资源，对其进行高密整

合，互联所有X86架构服务器的硬盘总线，实现存储空间的融合；

>NFV网络功能虚拟化解决方案:通过使用虚拟机镜像的方式运行vAD（应用交

付）、vAF（下一代防火墙）等2-7层的安全优化组件，解决东西向的安全优

化特性；

>VMP虚拟化管理平台:不仅能够实现SangforlaaS架构的统一管理及统一调

度，还能够通过OpenStack北向接口与第三方云管理平台实现互通，从而将

资源的调度管理更加集约化、易用化。

深信服超融合架构则通过:超融合一体机或超融合操作系统两种模式建设。

1、超融合一体机:（除了NFV可选以外所有组件均已预集成在硬件中）

超融合一体机模式，即:通过定制的x86平台，预装好SangforlaaS架构，包含

了Sangfor虚拟化平台、Sangfor虚拟化应用套件和Sangfor虚拟化管理平台。实现

计算、网络、存储的高度融合，将计算资源、网络资源和存储资源池化，为上层应用提

供全面的laaS服务,实现真正意义上的开机即用。

2、超融合操作系统：（aSV+aNET或aSV+aSAN或组件全选,NFV可选）

超融合操作系统模式，即:通过利旧或者自有的第三方x86平台，安装Sangfor超

融合操作系统，从而实现和一体机一致的功能和类似的性能，不同的地方在于:

＞一体机是预装所有组件，对硬件做过调优,

性能最佳；

＞一体机的价格比单独购买操作系统的价格

更有优势；

＞在有空闲服务器或者利旧服务器时，操作系

统更加节约投资；

＞操作系统的部署较灵活，能够根据具体的需

要选择性部署

＞一体机开机即用，操作系统需要有安装调试

的过程。

3深信服超融合架构解决方案概述

深信服超融合架构解决方案，融合了:计算、网络、存储和安全四大模块，通过全虚

拟化的方式构建IT架构资源池。所有的模块资源均能够按需部署，灵活调度，动态扩

展.通过超融合一体机或者超融合操作系统能够在最短的时间内，充分利旧现有硬件基

础架构，将业务系统安全、稳定、高效的迁移到超融合平台中，并且为后期迈向私有云

平台奠定基础，从而能够实现多租户的管理及计费审计等功能。

深信服的超融合架构解决方案软件架构主要包含三大组件（服务器虚拟化aSV、网

络虚拟化aNet、存储虚拟化aSAN）和一个管理平台（虚拟化管理平台VMP）。硬

件架构上，能够通过一体机的方式实现开机即用，也能够采用通用X86服务器实现基

础架构的承载。配合传统的园区网交换机（背板带宽和交换容量够用即可）即可完成整

个平台的搭建，无需各种功能复杂、价格昂贵的数据中心级交换机。

业务厢户23爸$业务/租户N尸由云管理

VPC计费审批

VDC

簿联板

•ACL

多业务•QoS云接入门户

•PBR

模板层箝

数据中心级的多业务模板

虚拟机存储资源池云业务编排

超融合

架构层mi

aNETaSAN

网络虚拟化存储虚拟化云资源调度

基础

架构

云运维管理

图示:深信服超融合架构全景图

3.1超融合架构层

超融合架构层以服务器虚拟化为底层架构，扩展出网络虚拟化和存储虚拟化，通过

所画即所得的方式能够快速的构建出业务逻辑，实现虚拟资源的动态调度和灵活扩展，

同时全网流量可视，配置简易直观，运维灵活便捷

图示:所画即所得的业务逻辑

07M_7ngeEC，~X▼k个人£公出隧，“▼Privacy・，rm・▼$“cgfc"_X▼3SangfocaSV~"▼丰Fcqk＞，.》W~x

Cbttp$://23/?m=/modvnet/index☆U三

昌示:全网流量可视视

任nr

DHCP

SIKS.TMW7♦:，FT。

DNS

示:简易直观的配置界面

C•UiWJlXlJOOitJSO..*"*x}vtwVpv«v'tulKx4r

图示:灵活便捷的运维操作

3.1.1服务器虚拟化（aSV）

3.1.1.1方案概述

深信服aSV虚拟化平台作为介于硬件和操作系统之间的软件层，采用裸金属架构

的X86虚拟化技术,实现对服务器物理资源的抽象，将CPU、内存、I/O等服务器物

理资源转化为一组可统一管理、调度和分配的逻辑资源，并基于这些逻辑斐源在单个物

理服务器上构建多个同时运行、相互隔离的虚拟机执行环境，实现更高的资源利用率，

同时满足应用更加灵活的资源动态分配需求，譬如提供热迁移、HA等高可用特性，实

现更低的运营成本、更高的灵活性和更快速的业务响应速度。

3.1.1.2方案优势

1»高可用

为了提升服务器虚拟化系统的高可用性，深信服从如下多维度提供了高可用技术，

保障业务的稳定性。

故障迁移（HA）:

深信服aSV虚拟化平台提供虚拟机热迁移和虚拟机热备份技术，降低宕机带来

的风险、减少业务中断的时间。深信服aSV虚拟化平台提供GuestOS故障检

测功能，当客户机发生严重故障时（例如Windows系统蓝屏），虚拟机管

理程序会监控到客户机故障。虚拟机管理程序能够重启或关闭客户机，从而避

免有故障的客户机持续占用计算资源。

热迁移（Motion）:

通过热迁移能够实现虚拟机的在线动态迁移，保证业务连续性；零宕机时间：进

行计划内硬件维护和升级迁移工作负载，业务不中断；实现整体数据中心业务

高可用，无需使用昂贵、复杂的传统集群解决方案；最大限度地减少硬件、软

件故障造成的业务中断时间；提高整个基础架构范围内的保护力度。

跨存储热迁移：

通借存储热迁移技术，能够在不中断服务的情况下在跨存储实时迁移虚拟机磁

盘文件。将虚拟机磁盘文件无中断地迁移到不同种类的存储设备

执行存储热迁移不会造成停机，并可全面保证业务不中断。

可迁移在任何受支持服务器硬件上运行任何受支持操作系统的虚拟机磁盘文

件。

可支持任何光纤通道、iSCSI、本地硬盘等存储系统实时迁移的虚拟机磁盘文件。

2、极速备份

深信服VMP虚拟化平台，将备份系统融合在整体VMP平台，实现简单易用的备

份系统，由客户设置自动备份计划，系统管理根据这些设置定期进行自动备份处理，以

增强系统数据的安全性，同时增强自动处理事务能力，能够在不处理日常业务的时间里

进行此项工作。

＞精确备份时间策略:可精确到小时级的备份计划，让备份数据更精准完善。

＞智能备份路径选择:可智能选择备份路径，根据存储空间的使用情况来智能选择

备份位置，且与原位置不同，保证原主机或存储故障后，能从其它备份位置恢

复。也可选择客户简单易用的Windows共享目录实现快速易用的备份。

驿8省份策略X

3、高效P2V迁移

通过深信服VMPConvert实现快速的物理机迁移虚拟机，跨平台的虚拟机迁移虚

拟机。而整个虚拟化迁移过程不超过5分钟，业务中断在2分钟以内。也可实现快速虚

拟机平台还原回物理机的回滚，保证业务数据不丢失。

4、虚拟化运维工作更简单

＞免插件控制台:免插件的控制台访问VM,提升用户体验

＞一键新增虚拟机:通过简单设置，快速创建虚拟机

＞自动故障处理:系统故障时提出专家解决方案，快速恢复系统及应用

＞批量新增虚拟机:为经常重复的工作内容提供自动化操作平台

5、高安全性虚拟化平台保障

＞虚拟化文件系统加密

通过高强度加密的Sangfor虚拟化文件系统，保证数据安全。通过添加每用户的密

钥实现加密功能提高安全性。非法人员即使盗走保存有机密数据的硬盘或者虚

拟机虚拟硬盘文件，也能够防止其数据被其它用户或外部攻击者未经授权的访

问。

＞底层防攻击

合入深信服NGAF多年的安全积累的防攻击模块，保障底层Hypervisor更安全，

最大限度的控制网络系统，加强边界访问控制权限的建立，降低安全风险，消除

网络系统、操作系统、本身存在的大量弱点漏洞和认为操作或配置产生的与安

全策略相违背的系统配置，减少入侵者成功入侵的可能；加强网络系统入侵行

为的检测和防御能力，有效阻止来自外部的攻击行为，同时也防止来自内部的

违规操作行为；通过加固手段切实提高操作系统的安全级别，保证系统安全。

6、智能虚拟系统可用性

＞系统故障恢复:虚拟机系统故障检测，虚拟机内部系统蓝屏，或者CPU利用率

100%卡死虚拟机操作系统时，SangforVMPHA可侦测病重启该虚拟机

＞源保障及控制:通过调整不同业务虚拟机的CPU,内存等计算资源的优先级，

保障关健应用计算资源需求，提升高优先级系统的可用性

7、高性能虚拟化平台

＞块数据缓存:实现针对文件系统的块数据缓存，通过提升大文件读取速度，优化

用户体验

＞历史数据预取:精准读取虚拟机历史块数据，加快系统开机速度

＞SCSI虚拟化硬盘加速:通过优化SCSI磁盘驱动，整体提升磁盘I/O性能。

3.1.2网络虚拟化（aNET）

3.1.2.1方案概述

深信服网络虚拟化aNet,通过提供全新的网络运营方式，解决了传统硬件网络的

众多管理和运维难题，并且帮助数据中心操作员将敏捷性和经济性提高若干数量级。

深信服网络虚拟化aNet方案通过和服务器虚拟化aSV相结合，在虚拟机和物理网

络之间，提供了一整套完整的逻辑网络设备、连接和服务，包括分布式虚拟交换机

aSwitch,虚拟路由器aRouter、虚拟下一代防火墙vNGAF、虚拟应用交付vAD、虚

拟vSSLVPN、虚拟广域网优化vWOC等虚拟网络、安全设备；然后，还能够支持

VXLAN等增强网络协议，实现和物理网络的无缝对接，简化网络的配置管理；此外，

还能够通过虚拟化管理平台，实现网络拓扑部署、网络故障探测等网络管理功能.

从而，aNet虚拟网络能够快速完成不同应用系统的网络部署，网络配置的自动化

调整，网络故障排查等工作，提升网络的管理运维效率，提升网络就绪、扩展速度，降

低数据中心物理网络的建设成本。

虚拟机|虚拟机|虚拟机|虚拟机

服务器虚拟化层aSV

c。

3.1.2.2方案优势

1、简化网络结构，节省硬件网络投资

在部署了深信服的网络虚拟化aNet之后，过去传统的接入交换、路由器、负载均

衡、防火墙等传统网络、安全硬件设备，通通变成虚拟化的方式运行在服务器里。以前。

串糖葫芦式的网络结构也会变潮E常的扁平，服务器全部接入到一个大二层的网络，极

大的简化物理连线。

复杂、串糖葫芦式的网络结构简化、扁平的网络结构

此外，硬件交换机不再需要支持类似TRILL/SPB/FabricPath/VPLS（为了解决服

务器虚拟化部署后的问题，新推出的交换机特性）等一些列不必要的过渡性网络功能，

从而只需要普通的交换机就能够满足云计算网络的建设，降低了不必要的网络建设成

2、简化网络配置，实现业务自动化调整

部署了虚拟网络aNet后，对于物理交换机来说虚拟化环境中的虚拟机网络流量将

会变得透明，物理交换机不再需要配置复杂的网络策略，提供简单的大二层转发即可。

因为，所有虚拟机的VLAN、QoS、ACL等网络配置策略，将会部署aSwitch上。而

aSwitch将会自动根据每台虚拟机迁移、删除等过程，实现网络策略的自动跟随，实现

网络配置的自动化调整，极大的简化了虚拟机迁移所带来复杂的网络运维工作。

3、高可靠&高性能

过去传统物理网络容易因为网络设备的故障而产生问题，解决起来也非常困难，时

间都是以小时为单位的。所以，深信服的网络虚拟化产品，在可靠性方面做了很多的改

进，首先通过应用层协议栈技术，我们把数据转发放到了应用层，能够让设备永不宕机,

而分布式设计的虚拟路由和虚拟交换机，出现故障的时候能够实现秒级切换，从而避免

虚拟设备的单点故障，物理设备和链路我们设计了集群部署和链路聚合，能够避免物理

环境的单点故障；这样，我们就实现了整个虚拟网络环境的高可靠保障，任意环节出现

故障，都能被自动检测出来，并快速恢复业务。

高性能.高可靠的架构

局可靠----------------------------

!-应用层协议栈：设备永不宕机

；-分布式路由/交换：秒级故障恢复

：-链路聚合：物理链路备份，带宽叠加

；-主机集群：避免物理主机单点故障

高性能--------------------------

-自研高性能转发引擎：10G线速转发

-DPDK技术：数据包直接透传网络

-SR-IOV:网卡一虚多

此外，对于虚拟化网络的性能问题，深信服自主研发了高性能网络转发引擎，结合

intel最新的DPDK技术和SR-IOV技术，aSwitch虚拟设备能够达到双向10G的数

据转发，让虚拟化网络能够以非常低廉的成本拥有和物理网络一样强劲的性能。

4、完整专业的L4-L7网络服务，确保架构平滑迁移

只把交换机和路由器虚拟化是不够的，复杂的业务环境是必须要配置负载均衡、

VPN、防火墙这样的L4-L7安全、优化功能。所以，深信服将在硬件设备领域非常具

有优势的NGAF、AD、WOC、SSLVPN等设备也虚拟化了，从而能够帮助用户将应

用系统平滑的从物理环境迁移到虚拟化环境中，并满足安全合规要求。

vNGAF、vAD.vWOC.vSSLVPN等虚拟化设备，保持了和硬件设备一致的功

能特性，并且具备齐全的各种产品及质证书，如安全产品销售许可证等。用户只需要根

据不同应用系统的性能要求，分配1、2、4、8核不同档次的CPU资源，各种虚拟化

设备就能够提供从百兆到千兆的性能。

vNGAFvSSLVPNvADvWOC

•基础防火墙•多合一VPN•服务器负载•应用加速

•漏洞防护/扫描•国密传输•链路负教•流噩削减

•Web防护*应用虚拟化•全局负我•加速VPN

•防解改,防泄密*APP安全加固•SSL国密卸载•容灾优化

♦可视化分析•企业移动管理•应用优化•智能选路

5、多层次安全策略，无缝安全防护

为了从不同维度提升虚拟化平台的安全性，通过隔离的分布式交换机、ACL访问控

制、NGAF的L2-L7安全防护技术、SSLVPN完整的安全接入技术等方式，能够加固

虚拟机、业务系统等不同虚拟化环境边界的安全性。

特别是NGAF能够提供包括:状态检测、应用访问控制、漏洞防护、Web攻击保护、

防敏感信息泄露、漏洞风险扫描、安全策略联动、防木马病毒等完整的L2-L7安全功能,

能够帮助用户简化安全部署，并满足合规要求。

3.1.3存储虚拟化（aSAN）

3.1.3.1方案概述

深信服存储虚拟化aSAN,基于集群设计，将服务器上的硬盘存储空间组织起来形

成一个统一的虚拟共享存储斐源池，即ServerSAN分布式存储系统，迸行数据的高可

靠、高性能存储。分布式存储系统在功能上与独立共享存储完全一致；一份数据会同时

存储在多个不同的物理服务器硬盘上，提升数据可靠性；此外，再通过SSD缓存，能

够大幅提升服务器硬盘的10性能，实现高性能存储。同时，由于存储与计算完全融合

在一个硬件平台上，用户无需像以往那样购买连接计算服务器和存储设备的SAN网络

设备(FCSAN或者iSCSISAN)。

aSAN存储虚拟化

3.1.3.2方案优势

1、横向、纵向线性按需扩展

aSAN存储虚拟化方案能够支持横向（增加服务器数量）、纵向（增加单台服务器

的硬盘数量）等扩展方式，扩展起来非常简单，只需要将新的服务器加入原来的集群就

能够实现扩展，扩展后能够实现容量和性能的同步扩展，当前最大支持64台服务器组

件一个集群。

此外，添加新的服务器到集群后，不仅存储空间得到扩展，性能也会得到同步的扩

展，例如2台服务器扩展到4台服务器后，不仅存储空间得到扩展，整体性能也会扩展

为原来的2倍。

所以，aSAN能够帮助客户不需要过多地考虑未来的扩展，只需要满足未来3~6

个月的需求就足够了，极大降低了初期的投资成本，并避免了传统FC存储由于无法平

滑扩展性能，而需要迁移数据存储所带的高风险。。

aSAN实现高性能平滑扩展

最大64节点，逐步实现存储性能线性扩展

群集中的主机数量

2、数据保护和高可用性

在可靠性方面，虚拟化存储aSAN没有采用传统FC存储的raid方式，而是把每

份数据copy成多份副本进行多副本存储，服务器只需要以常规手段挂载硬盘，虚拟化

存储平台会把数据、在不同的物理服务器硬盘里创建2介到3个一样的副本。而且，每

一次数据的变化，都会通过网络，同时在aSAN中的所有副本里进行同步，从而确保数

据的一致性。这样做的好处非常明显，首先，由于不需要使用raid，服务器的磁盘利用

率会非常高，多副本的同步存储方式、又能够在最大程度上确保数据的互备效果，从而

低成本的实现存储的高可靠。

•每份数据，2-3副本

•同时写数据，确保数据一致性

由于aSAN存储虚拟化采用副本方式保存数据，支持2-3份副本。

当物理硬盘出现故障的时候，存储则会被重新指向另外一个健康的副

本，整个过程是毫秒级的切换，对用户来讲基本是无感知的。

如果不幸遇上了物理主机或者是网络故障，整个虚拟化平台能够完

成分钟级的切换，业务系统或者网络设备的虚机能够快速切换到另一台

服务器拉起，几分钟就能恢复正常运作，而存储的指向依然保持了同步,

这样就比传统方式的业务恢复速度快了很多。

快速迁移

VM

•硬盘故障：亳秒级切换，无缝恢复；

•主机、网络故障：分钟级切换，快速恢复。

3、高性能SSD缓存技术：

由于传统的sas盘、sata盘的性能只有7200转，iops达不到众

多应用系统的相关性能要求。所以，深信服的存储虚拟化aSAN在硬件

架构上会要求采用SSD双缓存方式，读和写都使用独立的SSD硬盘来

实现，借助于SSD的高效缓存技术，能够让用户以较低的成本获翻E

常高的10性能。此外，通过我们的算法优化，业务系统所请求的数据、

绝大部分情况下都会直接读取到本地磁盘上的副本，从而使得存储的响

应速度大幅提升，明显提升整体存储的IOPS性能。

更高的存储读写性能

3.1.4网络功能虚拟化（NFV）

3.1.4.1方案概述

当前软件定义网络成为了技术发展的趋势，深信服也率先在国内推

出全系列的数据中心安全、优化产品（NGAF下一代防火墙、SSLVPN、

AD应用交付、WOC广域网优化）软件虚拟化解决方案。这些过去需

要以专用硬件方式部署的产品，不再需要依赖专用的硬件，能够以软件

镜像的方式，完美支持在Vmware、KVM.XEN等服务器虚拟化环境

下的部署。从而极大的简化政务云数据中心网络的架构，为各个租户的

虚拟应用按需、灵活的虚拟扩展出各种安全和优化方案，同时还便于划

分清楚各方的运维职责。

电子政务云托管服务

3.1.4.2性能与功能

软件虚拟化版本产品直接以虚拟机的方式运行，只需要分配好相应

的CPU、内存、硬盘等资源大小，就能够获得对应性能的安全、优化产

品。一般会分为1核、2核、4核、8核CPU等档次，性能从百兆到千

兆。

功能方面，由于是将现有硬件产品的版本直接平移，所以软件版产

品的功能与硬件设备保持一致，能够为用户提供最专业的网络安全,网

络优化解决方案。

专业、丰富的L4-L7安全、优化功能

NGAFSSLVPN应用交付广域网优化

•基础防火墙•多合一VPN•服务器负载•应用加速

•漏洞防护/扫描*国密传输・链路负载•流量削减

•Web防护*应用虚拟化•全局负载・加速VPN

•防篡改，防泄密*APP安全加固•SSL国密卸载•容灾优化

・可视化分析•企业移动管理•应用优化•智能选路

3.1.4.3部署模式

vAD、vAF、vSSLVPN,vWOC等虚拟化软件设备支持路由、单

臂等部署方式，针对不同租户开启一个对应的虚机镜像，通过集中管理

平台开通虚拟设备授权，然后配置vSwitch连通网络，只需数分钟即

可为不同租户提供各种增值网络服务。

>路由部署:vAF、vWOC

>单臂旁挂:vAD、vSSLVPN

租户1：虚机环境

设备授权管理服务器

3.1.4.4管理特点

1、简单5步，快速部署上线：

＞购买授权:向深信服购买软件授权

＞导入镜像:将设备镜像拷贝进入虚拟化环境

＞注册开通:在授权服务器上开通

＞策略配置:配置AD、AF、SSL等虚拟设备的相关策略

＞vSwitch配置:配置虚拟交换机实现业务的互通

与SANGFORus?0

♦号入乐炳

主SfE裳TXXX*B.fcK

K15-KMJ22015-10412

201301

“MGh.32Q)用ajStMOOOO；

201M»02e20ts■0MJ20

^«Nh-0«4)

”i8»344)020)J^SSiO)

SSIVPN用FSS

2O1MW2©20»MM2/y，6!MfZR

三au.TWK：

S»K»JEWiasrO3Ji**G(0；

SSIVPNS^Bt(V33：

2、面向OpenStack的统一管理

深信服的vAD、vAF、vSSLVPN、vWOC等功能模块不仅能够

通过Sangfor虚拟化管理模块实现统一的超融合管理，所有模块均开

放了北向的OpenStack接口，通过开放的统一接口，能够更好的实现

和第三方平台的融合，并实现功能服务的创建及关闭、功能模块的策略

配置。

下面以vAD为例，通过界面截图，了解面向OpenStack的统一

管理。

负载均衡器

IfA

资源池.»«»*

7«lIMStte**Pan

«*)W.2S2M.GQ4HTTPSACnvE6AMR也*8”•

□W*«ytO2S2MCr24HTTPACThrt•rttCMMU8

Q«M*raptwyW2S2M.<y24HTTPSACOVEHF"®Ml«*»s>■

Q•WromyW2S2MO<24HTTPSACTTVC««gahR*•

日“hapranyS&7.V24HTTPAC7WEmse>-

励口VIP

］指定V»p*

名称:‘为本资源池创建3P.为VIP指定名称《陶述.为

l|VIP18定iPift址和端口.为3Pi瞬协议和会话持

久性方法.指定最大连接数.管理员状态默认为

描述：UP（经检验）.

来自浮动IP的VIP1也址：

当前不支持▼

为/2而定fip地址：_______

协议端口:"

协议:*

洗搔一个协议▼

会话持久化：

而会话持久怦▼

连接限制：

VB3财

耶肖

方案优势

1、专业完整：

vAD、vAF、vSSLVPN.vWOC保持了与硬件产品一致的专业功

能，还具备各种产品的合规资质；而且产品类别完整，不需多厂家产品

拼凑，就能够满足用户将应用迁移到云环境中的各种传统业务安全、优

化需求。

2、简单易用:

简单4步，快速部署上线，无需机房连线操作，设备的配置界面保

持了与硬件设备一致的风格，让云中心/租户管理员只需要数分钟时间，

就能够快速完成业务的上线部署。

3、随需扩展：

云中心管理员能够根据租户的业务发展，增加虚机资源，按需扩展

虚拟设备功能、性能。不用担心过去由于租户增多，硬件设备性能不足，

而要淘汰、更换设备的情况，保护投资。

4、总成本低：

软件虚拟化产品比同等性能的硬件设备更具有价格优势，而且不用

担心设备淘汰带来的投资浪费。简单易用的部署方式，也大大减低了方

案运维成本。同时