高校数据中心整体建设方案建议书

XX学校云数据中心

项目建议书

目录

第1章高校数据中心建设需求分析....................................5

1.1数字化转型时代高校数据中心的建设背景..................................5

1.2高校数据中心整体需求分析...............................................6

1.2.1高校业务对IT的要求分析...........................................6

1.2.2基础设施功能需求分析..............................................7

1.2.3云数据中心安全需求................................................8

1.2.4统一规范制度需求.................................................10

1.3高校核心业务系统需求分析~.............................错误!未定义书签。

第2章高校数据中心建设总体架构设计...............................11

2.1主生产中心架构........................................................11

2.2校区环网数据中心架构..................................................12

2.3云平台总体架构........................................................12

第3章高校数据中心详细设计方案...................................14

3.1计算和存储资源池设计方案..............................................14

3.1.1方案产品简介.....................................................14

3.1.2计算资源池设计..................................................14

3.1.3存储资源池设计...................................................15

3.1.4超融合平台运行数据库~...........................与笥吴!未定义书签。

3.1.5超融合一体机配置.................................................16

3.2网络拓扑设计方案......................................................17

3.2.1数据中心物理网络拓扑.............................................17

3.2.2核心交换机收敛比设计.............................................17

3.2.3超融合资源池网络拓中卜.............................................18

3.2.4业务区虚拟网络拓扑..............................................18

3.3网络虚拟化技术能力概述................................................19

3.3.1网络探测功能.....................................................19

3.3.2全网流量可视.....................................................20

3.3.3分布式虚拟防火墙.................................................20

3.3.4业努逻辑拓扑所画即所得..........................................20

3.3.5业务监控中心.....................................................21

3.4数据中心网络安全防护方案.............................................23

3.4.1蹦中心安全威麻源分析.........................................23

3.4.2云滨源池安全防护.................................................23

3.4.3数据中心等级保护方案.............................................24

3.5云管平台运维和管理方案................................................25

3.5.1异构资源管理.....................................................26

3.5.2分级分权管理.....................................................26

3.5.3IT自服务和流程..................................................26

3.5.4自动化运维.......................................................27

3.5.5密源计量.........................................................27

3.6数据备份设计方案......................................................28

3.7容灾中心设计方案......................................................29

3.7.1容灾平台整体架构.................................................30

3.7.2超融合-超融合双向容灾............................................30

3.7.3VMware-超融合单向容灾.........................................31

3.7.4数据库容灾配置..................................................33

3.7.5业务容灾切蝴数据回迁..........................................36

3.7.6容灾备份效果.....................................................38

3.8解决关键业务系统痛点的技术~...........................错误!未定义书签。

第4章项目实施规划设计...........................................39

4.1机房部署方案...........................................................39

4.2业务云化迁移方案......................................................40

4.2.1业务迁移服务概述.................................................40

4.2.2业务迁移设计原则.................................................41

4.2.3业务迁移服务流程.................................................41

4.2.4服努器迁移技术方案..............................................43

4.2.5数据库迁移技术方案...............................................44

第5章解决方案效益和价值分析.....................................46

5.1实现云数据中心的架构极简..............................................46

5.2提升学校业务稳定性....................................................46

5.3为数字化校园安全保驾护航.............................................46

5.4降低云数据中心使用复杂度.............................................47

第6章云计算服务方案.............................................48

6.1云计算服务产品概述....................................................48

6.1.1云计算服务产品定义..............................................48

6.1.2云计算服努产品架构..............................................48

6.2云计算服务产品内容....................................................48

6.2.1部署实施服务.....................................................48

6.2.2企业级云业务迁移服务.............................................49

6.2.3技术支持服务.....................................................50

6.2.4硬件维保.........................................................51

6.2.5软件升级服务.....................................................51

6.2.6专家现场服务.....................................................52

第7章方案采购清单...............................................53

7.1超融合云平台采购清单...................................................53

第1章高校数据中心建设需求分析

1.1数字化转型时代高校数据中心的建设背景

学校的信息化系统已经建设了多年，随之互联网技术的发展，当前学校信息化正在向数

字化转型。用数字化技术重新整合业务流程，通过互联网的入口实现高效的业务访问，加速

业务流转，提升校园管理、教学管理、科研、生活等高效率运行，提高全校师生对信息化系

统的服务满意度。

在学校的信息化建设中，普遍采用云计算技术，将应用系统的计算单元和数据单元部署

在学校的数据中心，用户通过终端访问业务业务平台门户。因此数据中心作为承载全部校园

信息化业务的载体，建设具备高度可靠和安全的数据中心，是信息化项目的基础平台和关键

目标。

一个标准的现代数据中心，包含了几大模块：

1）物理基础设施，即数据中心的土建、房屋结构及其附属的门禁、监控、

防火、供电、温控等装置。这些基础设施保障了数据中心的各类设备在

满足标准的环境中运行。

2）IT基础设施，包括服务器、存储、网络交换机、安全等硬件设备，还包

括机柜及布线、系统监控和管理软件、监控终端、审计等辅助的专用软

硬件。这些硬件和软件共同定义了IT层面核心功能，即计算能力、存

储力、网络拓扑、安全防护、运维管理、容灾、网络出口。

3）系统软件和应用软件，完成业务逻辑的作业，需要IT基础设施提供计

算、存储、网络资源，并具备安全防护能力。

高校的数据中心，除了具备标准数据中心的一切特征之外，又不同于企业和政府，具有

相当的特殊性，这使得高校数据中心建设的项目中，学校需要根据自身情况详细定义数据中

心的建设目标、制定建设规划方案。

高校建设数据中心的特殊性在于业务目标、信息部门职责和能力不同于企业和政府，主

要体现在以下几个方面：

1）高校是相对封闭又功能完善的社区，承担数万师生的学习、工作、生

活、科研、医疗等方方面面，其数字化业务种类相比企业更加复杂，各

类业务模式不一、软件供应商众多。因此数据中心的计算和存储平台，

必须能够稳定高性能的承载校园内各类型的业务场景和各种软件，同时

保障各类网络环境下的业务安全和数据安全。

2）高校往往承担新事务试验田的角色，探索新技术的应用场景、承担国家

科研项目、为社会尝试新的生活方式、不断地教学改革提升教育质量。

这使得学校经常面临大量的新业务部署，而这些业务既有长期运行的也

有短期的探索型业务、临时项目等。这要求数据中心能够为新业务部署

提供充足的IT资源，又要避免业务失败带来的资源浪费。体现在技术

上就要求IT资源平台，既能够敏捷扩容资源能力，为业务提供充足的

性能，又能够回收和利旧资源能力，增大投资收益。

3）高校信息中心部门面临着角色转型，从过去的IT运维的部门，逐渐成

为数字化业务的运营部门，这样的角色转换，使得学校对于信息中心的

工作评价标准发生了变化。过去作为运维部门，主要工作是保障“信息

系统可用、功能完善”；现在作为运营部门，评价标准是师生使用信息

化系统的“满意度高、使用频率高”。这使得信息化部门的具体工作要

从被动响应支撑，变为主动推广数字化业务的用户数量并持续改进用户

体验。基于此方向的转型，需要IT基础平台具有高度的稳定性和便捷

的运维手段，这样才能使得信息中心的老师们能够从繁重的设备运维中

解脱出来，释放精力从事校园数字化业务的经营工作。

综合以上信息，高校在建设数据中心的项目中，可分成三个阶段，一是建成符合标准的

数据中心物理；二是建设云计算数据中心实现IT资源供应和运行环境；三是设计数字化应

用体系和运营体系，逐步实施数字化业务的应用软件部署。

1.2高校数据中心整体需求分析

1.2.1高校业务对IT的要求分析

依据本校的现状，当前已经或正在建设机房的基础设施，本方案适用于数据中心第二阶

段的IT基础设施建设，并满足第三阶段各类业务承载的要求。

学校的数字化业务可大体分成几类统一业务门户平台、统一认证平台、统一管理平台、

统一运维平台、MIS系统、网站群、数据分析系统、在线课程、结算系统等。涉及到教学、

管理、后勤、财务等方方面面的部门和业务流转。综合分析这些系统的特征和需求，数据中

心应当具备可靠性、性能扩容能力、保障业务安全、便捷运维等特征。分解数据中心的建设

需救吓：

1）高可靠性：云数据中心平台层面能够保障业务连续可靠运行，硬件故障

不影响业务和数据。能够稳定运行对于门户、财务、一卡通等业务的数

据库，实现数据库集群部署。学校已经有多个校区，具备异地容灾的基

础，整体方案实现关键业务的容灾。

2）高性能：云数据中心的平台能够提供充足的计算和存储能力，承载校园

所有的业务系统，并具备相当的扩展能力，实现门户、一卡通、在线课

程等来自互联网用户高峰期访问时，这些系统的性能足够保障业务可

用。一卡通的实时性写入要求比较高，要保障数据库能够有足够的I。

能力。

3）扩容能力：学校建设应用的周期较长，为减少投入成本，数据中心整体

架构需能够根据业务量对资源的需求，随时扩容，并降低扩容实施的复

杂度。

4）整体安全：数据中心内部的安全能力，包括边界安全和资源池内安全。

边界安全主要是为了保障互联网的攻击、非法入侵、传输加密等工作。

资源池内的安全，需要保障业务东西向流量之间的安全隔离。

5）管理能力：学校信息中心作为信息化业务的建设方和管理方，利用自动

化管理平台实现业务流程自助申请、管理员审批、自动部署的管理模

式。各二级业务部门，设置部门管理员一名，直接面向本部门的用户提

供流程审批，以分权管理的方式，降低信息中心管理员的工作量。

6）利旧能力：为实现成本优化，数据中心的建设过程中，应该能够充分利

用现有的设备，纳入到资源池中。

7）运维能力：数据中心具有统一的资源运维平台，实现对资源的整体监

控、二级部门的资源配额、网络配置，并同时纳管现有的VMware虚拟

化平台。

1.2.2基础设施功能需求分析

数据中心建设需要满足校内资源共享、业务协同需求，以及一站业务服务等智慧校园前

期建设和师生管理、生活服务的需求，需要从基础设施、数据、应用系统支撑平台等各个层

面进行整合，因此构建基础设施即服务系统、数据即服务系统、平台即服务系统等系统。

1）基础设施即服务是学校数据中心和云平台的基础服务。物理上将IT基

础设施整合的需求；性能上能够做到弹性扩展和动态调配，使得不同的

应用能够共享基础设施资源池中的资源；需要在云计算中心的建设中采

用开放架构，一方面能够采用通用的设备实现快速扩展，另一方面也能

够利旧已有设备资源，提升资源的利用效率，保护已有投资。

2）网络是基础设施即服务的基础，也是学校云计算中心建设的重点，网络

的高可用直接影响到业务系统的可用性。在学校的云数据中心建设中需

要做到统一网络布局，使得数字化校园网络中的数据和业务系统在网络

上能够做到互联互通；在网络系统的规划中，需要做到高可用性、易扩

展性、高性能和易管理。

3）计算资源池主要提供计算能力，是基础设施即服务建设的核心。由于学

校新型的互联网业务快速发展的特点，计算资源池建设中需要充分体现

动态化、弹性化的特征，做到能够根据业务部门实际需要，动态分配计

算资源，并需要提供弹性计算资源的管理工具，从而实现计算资源的可

视化管理。

4）对于存储资源池，由于学校中积累的大量结构化数据以及爆炸性增长的

非结构化数据，主要是各类文档、电子文献资源、课程视频资源等，需

要建设能够满足数据存储需求的云存储池，存储池的建设需要做到有极

好的扩展性、易管理性、安全性和高性能。

1.2.3云数据中心安全需求

学校同时承载了教学、科研、管理、生活等各类角色，涉及到师生在校期间的全部生活

和个人信息，对信息安全的要求高，因而在学校数据中心建设过程中需要充分考虑安全体系

的建设。由信息中心统T呆障IT服务的安全性，数据的物理存储实体与所有者分离，云安

全就是要采取恰当的技术措施和管理手段，打消用户顾虑，使其信任云计算中心对各部门私

有数据的存储、管理和处理。

针对XX学校建议的安全需求如下表所示:

安

全安全

安全需求描述

层需求

面

机房机房监控主要是预防盗窃、人为破坏、私自闯入等情况。监控手段有门禁系统、

监控监视系统、红外系统等。

设备设备备份用于预防关键设备意外损坏。接入到互联网中关键网络设备、服务器

备份应有冗余设计。

线路

物线路备份主要是预防通信线路意外中断。

备份

理

电源

安电源备份用于预防电源故障引起的短时电力中断。

备份

全

防电

防电磁泄漏用于预防电磁泄漏引起的数据泄漏。防电磁泄漏手段有屏蔽机房、

磁泄

安装干扰器、线路加密等。

漏

介质介质安全用于预防因媒体不可用引起的数据丢失。要求对数据进行备份，且备

安全份数据的存放环境要满足防火、防高温、防震、防水、防潮的要求。

多层防御就是采用层次化保护策略，预防能攻破一层或一类保护的攻击行为无

网多层

法破坏整个业务网。要求合理划分安全域，对每个安全域的边界和局部计算环

络防御

境,以及域之间的远程访问，根据需要采用适当的有效保护。

与

边界边界防护用于预防来自本安全域以外的各种恶意攻击和远程访问控制。边界防

系

防护护机制有防火墙、入侵检测、物理隔离等，实现与互联网和校园网的安全隔离。

统

网络

安

防病网络防病毒用于预防病毒在网络内传播、感染和发作。

全

毒

安

全安全

安全需求描述

层需求

面

网站

网站监测用于预防校园网网站WEB页面的保护。

监测

备份

备份恢复用于意外情况下的数据备份和系统恢复。

恢复

漏洞漏洞扫描用于及时发现操作系统、数据库系统、应用系统以及网络协议安全漏

扫描洞，防止安全漏洞引起的安全隐患。

主机对关键的主机，例如数据库服务器安装主机保护软件，对操作系统进行安全加

保护固

安全用于事件追踪。要求网络、安全设备和操作系统、数据库系统有审计功能，同

审计时安装第三方的安全监控和审计系统。

身份认证用于保证身份的真实性。校园网中身份认证包括管理人员身份认证、

身份

操作员身份认证、服务器身份认证等。鉴于校园网网络中用户数量较大，基于

认证

数字证书（CA）的认证体制将是理想的选择。

权限权限管理指对校园网中的业务应用、主机系统的所有操作和访问权限进行管

管理理，防止非授权访问和操作。

数据

应完整数据完整性指对校园网中存储、传输的数据进行数据完整性保护。

用性

安数据

全传输数据传输机密性指对教育系统内网络中各安全域之间传输的敏感信息进行加

机密密保护。

性

抗抵抗抵赖就是通过采用数字签名方法保证当事人行为的不可否认性，建立有效的

赖责任机制，为校园网创造可信的应用环境。

安全

各应用系统对各种访问和操作要有完善的日志记录，并提供相应的审计工具。

审计

组织

安全管理组织建设包括：组织机构、人才队伍、应急响应支援体系等的建设。

安建设

全制度安全管理制度建设包括：人员管理制度，机房管理制度，卡、机具生产管理制

管建设度，设备管理制度、文档管理制度等的建设

理标准安全标准规范建设包括：数据交换安全协议、认证协议、密码服务接口等标准

建设规范的建立。

安

全安全

安全需求描述

层需求

面

安全

安全服务包括安全培训1、日常维护、安全评估、安全加固、紧急响应等

服务

技术安全管理技术建设主要指充分利用已有的安全管理技术，利用和开发相关的安

建设全管理工具，提高安全管理的自动化、智能化水平。

1.2.4统一规范制度需求

建议学校应当有科学、有效、完整的技术规范和管理制度标准，来保障整个中心正常、

有序的运行。需要建立云计算中心互操作标准、云计算中心服务标准、云计算中心运维标准、

云计算中心数据即服务规范、云计算中心系统管理规范等内容。

第2章高校数据中心建设总体架构设计

2.1主生产中心架构

如下图是学校的数据中的整体架构，包含了IT资源池、核心交换区、网络出口区、管

理区、运维、安全等几大模块。

互联网出口

安全等保

38

容灾备份

资源池区：

当前普遍采用虚拟化和云计算技术作为数据中心IT资源的架构。综合学校对数据中心

的各类要求，我们推荐采用超融合技术为主构建完整的数据中心。超融合是以虚拟化技术和

X86服务器为主，融合服务器虚拟化、存储虚拟化、网络虚拟化等各类软件，通过标准的硬

件为业务提供这些资源。

以超融合构建的统一资源池，硬件部分仅仅包括服务器和网络交换机，所有的超融合软

件、业务虚拟机运行这个资源池中，存储虚拟化软件统一管理所有服务器的本地磁盘，构建

高性能高可靠的存储资源池。超融合技术不仅能为业务提供计算和存储资源，也能实现不同

业务的网络区域隔离、集成网络安全模块实现安全管控。

业务逻辑分区：

业务逻辑分区隔离可以是物理的也可以虚拟化隔离。在超融合平台上部署的业务，可以

由超融合集成的网络虚拟化实现分区隔离。独立部署的物理机、VMware等第三方虚拟化

平台，建议采用独立的VLAN做隔离。

网络出口区：

网络出口区需要部署边界防火墙等安全设备，必要时还需要部署链路负载均衡、上网行

为管理等设备。

安全等保：

如学校需要为满足安全等保3.0,还需要配置安全感知平台、潜伏探针、数据库审计,

并配置异地数据备份和业务容灾等措施。

2.2校区环网数据中心架构

目前学校有3个校区，各有1个机房。这三个机房之间建立校园环网，部署统一的云

计算平台，集成容灾备份能力，实现业务数据同城备份和关键应用的准生产容灾。在未来,

当学校的业务量规模庞大时，并且互联网业务增多时，可考虑建成异地容灾的方式，采用两

地三中心架构或者"同城双中心+混合云"。现阶段，学校有2个数据中心，采用主备模式，

将主要的业务和互联网出口放在主校区机房，一部分非关键业务放在备机房，同时将主校区

的一部分关键业务备份到备机房，实现业务容灾。

包含异地容灾的数据中心整体架构如下：

2.3云平台总体架构

在三个机房均部署云计算资源池，通过云管平台统一管理。云平台主要实现3个能力:

1）根据业务需求统一管理调度各类计算、存储资源、网络资源。

2）为业务运行提供各类云服务。

3）为管理员IT运维、安全配置、用户权限管理、资源监控等工作提供工具。

峥J—云平台

VPC

VDC

E

数据库服务应用监控最终负我均衡最穷

云接入门户

云服务层虎拟数据中心|云主机服务容器云眼将可视化业务编排

-4AM?总

HR■仝眼芬宜助门户服务虚拟网络眼务可视化排冷服务

源油存储资源迅

L4MMch'aRouter*

资源层：==a击33

CPURAM士4二

网络虚拟化/云安全服务器虚拟化存储虚拟化

基础通用X86月暗器

架构

数据

市心;J主数据中心Ij■第二数据中心，〜^二灾备数据中心

通过云管平台跨数据中心统一调度云资源和服务，为每个业务部门提供独立的VPC运

行环境。

第3章高校数据中心详细设计方案

3.1计算和存储资源池设计方案

3.1.1方案产品简介

推荐本项目采用超融合一体机同时承载计算和存储资源的供给。企业级云aCloud是面

向数据中心整体解决方案设计的一套云计算软件，采用超融合架构加云计算管理平台的方式,

构建完整的云资源池。

aCloud中包含四大主要模块：

•aSV-服务器虚拟化，基于kvm开发，提供企业级的可靠性和性能优化

技术。

•aSAN-存储虚拟化，基于GlusterFS架构，自主研发的分布式存储软

件，为资源池提供统一的存储空间。

•aNET-网络虚拟化技术，完全自助研发的虚拟化网络架构，实现业务

网络的分区隔离，提供分布式防火墙、分布式交换机、分布式路由器功

能，并首创“所画即所得”网络管理方式。

•aCMP-完全自主研发的分布式云计算管理平台，统一管理超融合集

群，为租户提供资源申请和访问的入口，为学校管理员提供运维和监控

的统一平台。

企业级云产品

SanqforaCloud

监控管理自服务审计容器灾备

黍着电.觑

计算存储网络安全

此外，aCloud组件中，还包括了vDAS审计、容器、CDP数据保护、aHM异构管理、

aSEC安全虚拟化等模块，共同为业务服务。

3.1.2计算资源池设计

针对XX学校的项目，我们建议以配置aSV+aSAN+aNET+aCMP模块，并配置少量

的aHM和aAF虚拟防火墙。

在硬件的设计上，采用2种不同配置的高低性能服务器，高性能服务器承载数据库等关

键业务，低性能服务承载轻量级业务。由aCMP统一管理。

，——、

核心应用静罐应用高并发应用日常应用

aCMP业务编排

激雅板嬴%I常规负载虚拟机。。收演像

表：

型号CPU内存/GB硬盘HDD/GBSSD/GB应用场景

S112200静态网站，边缘系统，使用

S224500频度低的信息管理系统。

S348500

Ml481000主要的信息管理类、检索系

M28161000统、一卡通的应用节点、数

据存储、认证服务等各类应

M316320100用节点和前置机

L18160100各类数据库、分析系统、一

L212320100卡通中间件、统一门户等计

L316640200算性能高的业务

3.1.3存储资源池设计

存储资源池采用aSAN管理本地硬盘实现高性能共享存储池。每台服务器需要配置

HDD作为数据存储，SSD作为分层缓存。aSAN正式利用SSD的高性能，采用专利的分层

存储技术，大幅提升了10性能。每服务器的性能在7:3读写比条件下测试，可到达10万

IOPS的能力。

充分利用每台服务器内部硬盘资源

虚拟共享存储池

1解决弹性问题2解决容量问题

ServerSAN架构

同时，超融合的每一台节点，即是数据存储空间，又是存储服务的控制器，控制器的运

算分布在多个节点上，极大提升了io处理能力。相比于传统的光纤存储，超融合存储真正

实现了存储性能的横向扩容。

在可靠性的设计上，超融合存储采用副本方式，每一份数据存储在不同的服务器中，任

何单台硬件的损坏都不影响数据访问，保障了业务连续性和数据安全。

采用超融合存储，无需精确评估数据空间需求，因为超融合的扩展非常方便，只需要购

买相同配置的服务器，加入到集群中，即可同步扩展计算能力、存储能力和容量。在本次项

目中，可按照300TB可用空间估算，满足日常业务的数据量和一部分图片视频的存储需求。

采用双副本方式，实际配置硬盘总数量＞600TB。SSD缓存配置，依据经验值，低性能服务

器按照5%缓存容量配置，高性能按照10%缓存容量配置，在使用过程中，可以随时增加

SSD提升10性能。

3.1.4超融合一体机配置

依据以往的项目经验，假定以1万学生的规模计算业务量计算，需要各类虚拟机约300

个。其中低端型号约150个，中端型号约120,高端型号约30个。按此规划，需要超融合

服务器约20台。为满足业务需求和超融合系统自身需求，针对XX学校我们推荐如下配置

的服务器和数量。

类型每台服务器承载

号

型配置数量虚拟机数量

CPU2xE5-2630V4(10C,2.2G),128GB内

服存，2x240GB系统盘，2X960GBSSD,

务低8x4TBSATA,4个千兆网口，2个万兆光口,215个中端VM或

器配个SFP+模块，冗余电源30个低端VM

服

务高CPU2xE5-2680V4(14C,2.4G),256GB内5个高端VM或10

器配存，2x240GB系统，2x1.92TBSSD,8x4TB个中端VM

SATA,4个千兆网口，2个万兆光口,2个

SFP+模块，冗余电源

3.2网络拓扑设计方案

3.2.1数据中心物理网络拓扑

将数据中心按照物理分区，实现分区部署。主要分成核心交换区、网络出口区、业务区、

办公区、大数据区、带外管理区和容灾机房。其中业务区有超融合集群和非虚拟化集群构成。

3.2.2核心交换机收敛比设计

由于网络虚拟化技术引入到资源池，可将传统数据中心的三层架构（接入-汇聚-核心），

简化为二层（接入-核心），将业务区之间的安全隔离，比如0A区、DMZ区、财务区等采用

网络虚拟化技术隔离。的aNET提供分布式防火墙技术，实现针对业务区和虚拟机的细粒度

安全配置、统一安全运维、安全策略跟随等功能。若采用虚拟下一代防火墙vNGAF,则可

针对每个业务区独立配置安全策略，有效防护东西向和南北向的安全威胁，实现多业务区安

全的运行在同一个平台中。

业务区和办公区的业务网络，接入交换机采用1G接口，上联交换机采用双万兆上联。

每台交换机具有48个1G接口，收敛比为241。若学校部署较多的高流量应用，比如在线

视频等，可以将上联端口换成4X10G,让收敛比接近1:1。

对于大数据应用，建议汇聚层采用10G接口，上联到核心层采用40G接口，以实现最

佳的网络性能。

3.2.3超融合资源池网络拓扑

超融合服务器，一共有三张网络：业务网、存储网、管理网。其网络拓扑如下图所示：

超融合的存储网，采用万兆存储交换机，是完全独立的内部网络。超融合的业务网和管

理网，一般采用1G网络即够用。建议为管理网划分独立的VLAN,接入到带外管理区。

3.2.4业务区虚拟网络拓扑

本次方案的设计中，采用了两周不同配置的服务器，承载不同的业务。在资源池内部,

都可以使用aNET技术为每个租户划分虚拟数据中心(VDC),租户即是学校的二级单位，比

如图书馆、财务处、教务处、后勤等部门。每个租户的管理员，在其VDC内部，可以独立

创建虚拟化、虚拟网络拓扑、部署虚拟防火墙/虚拟化路由器/虚拟交换机，由此实现更加

复杂的业务网络。

如下图在典型的配置中，一个VDC租户,可以分成多个VPC业务区，每个VPC业务

即使一套业务系统，比如所有的网站群，或者0A软件的各个服务器。每个VPC包含一个

虚拟路由器、虚拟化防火墙和若干台虚拟机。每个VDC租户包含了一个或多个分布式交换

机，并从物理网口将流量引出。

为了简化网络的配置，aNET实现了"所画即所得”的部署网络的方法，管理员只需要

在aCMP界面上，用鼠标"拖拽"和"连线"即可将所见的网络拓扑即时的在生产环境中

部署完毕，极大的简化了网络管理的复杂度。如下图，是某高校客户真实的环境的虚拟网络

3.3网络虚拟化技术能力概述

3.3.1网络探测功能

网络探测功能是通过发送带有标签的icmp报文并跟踪记录该报文在转发平面经过的

每一跳，每一跳的信息包括虚拟设备的名称和转发的端口名称，然后将所有记录的信息串联

起来就可以知道到达特定目标的报文转发路径了。这种方式就像我们通过tracert的方式探

测一样，但是比tracert更细致，能够探测出流量的出去和回来的路径。这样我们就能更直

观的找到网络中存在的问题。

步制:

驯机：teamviewOCOl囹

发包门口:ethO

：6

铐王机通信：否

33^3召

Trunk:1

Trunk:1

6

否

3.3.2全网流量可视

数据包在转发平面转发的时候，每经过一个虚拟网络设备的任何一个端口都会有记录,

上层通过实时向底层转发平面查询虚拟网络设备的端口的相关记录，就可以显示出每个端口

的流量了，这样就可以在业务拓扑上可形成全网流量可视。

3.3.3分布式虚拟防火墙

数据中心80%的流量在数据中心内部，南北流量只有20%.传统防火墙放在边界网关

上，无法防护到数据中心内部攻击，而数据中心部分非核心业务安全防护低很容易被黑客攻

破，一旦攻破黑客就可以通过跳板攻击其他业务。分布式防火墙，相当于在每台虚拟机出口

和入口都放着一个防火墙，只要配置一条策略，无论拓扑如何变化、虚拟机在哪运行、IP是

否更改，后台都可以动态进行调整，因此无论何时业务都能够进行安全防护。的分布式虚拟

化防火墙，通过自研的网络控制平面，可接收用户配置、拓扑变动、ip变动等消息动态调整

配置并更新到firewall上。

3.3.4业务逻辑拓扑所画即所得

所画即所得的业务逻辑呈现，是企业级云架构中非常具有特色的技术功能，由