如何用SDDC搭建关键业务云平台

如何用SDDC搭建关键业务云平台whatdoes"agility"meanintheITworld?从Enterprise

Architecture的角度考虑基础架构什么是IT的敏捷性（agility）？从Enterprise

Architecture的角度考虑基础架构Agilityisacommonbusinesstermthatisusedfrequentlythesedaystomeasurehowfastbusinesswillrespondtoopportunitiesorthreats,andenterprisesareevenhavingkeyagilityindicators.ITAgilityisabouthowITwillenablebusinessagility,howfastITwilldelivertherequiredeffectivelyandefficiency.软件正在吞噬世界.只有最快的才能生存.MORESPEED.BETTERQUALITY.LESSCOST.LESSRISK.移动-云计算各个IT技术时代大型机客户端-服务器IT无法承受业务预期的指数级增长数百万应用数十亿用户*来源：Gartner，2013年：《在数字世界中狩猎和收获：2013年首席信息官峰会议程》

(HuntingandHarvestingintheDigitalWorld:The2013CIOAgenda)$

$

$

$

$ $IT的交付能力稳定的IT预算*业务期望新业务压力下IT交付能力的瓶颈落在后面？IT与

业务同步发展

SDDC能帮助实现IT交付与业务的同步*来源：Gartner，2013年：《在数字世界中狩猎和收获：2013年首席信息官峰会议程》

(HuntingandHarvestingintheDigitalWorld:The2013CIOAgenda)各个IT技术时代大型机客户端-服务器移动-云计算$

$

$

$

$ $IT的交付能力稳定的IT预算*业务期望或掌控变化！“现在我们认识到当头天晚上我们入睡时还是一家工业企业，,第二天JeffImmelt

Chairman&CEO,GE助力数字化转型醒来时就希望是一家软件公司.”9现代化数据中心横向扩展软件定义云就绪

闪存信任数据中心虚拟化层智能在软件数据中心虚机的操作模式：自动配置和管理什么是软件定义的数据中心(SDDC)?智能在硬件专用芯片、品牌绑定的架构手工配置和管理软件硬件计算、网络和存储资源池化，独立于厂商，最佳性价比架构，配置和管理简单混合云(私有/公有)物理/自建软件定义数据中心(SDDC)框架12软件定义数据中心

计算网络存储终端用户计算扩展性应用云管理平台云业务云运维云自动化虚拟化架构

计算网络存储CONFIDENTIALPrivatecloudPubliccloud大多数敏捷、高效的数据中心采用了软件定义数据中心的设计方法13定制化应用Google/Facebook/AmazonDataCenters定制化平台Anyx86AnyStorageAnyIPnetwork软件/硬件抽象软件/硬件抽象Facebook其位于瑞典北部城镇吕勒奥的数据中心利用VMware久经市场验证的产品

——“不敢为天下先?”CONFIDENTIAL15Compute

VirtualizationvSphere

500k+Software

DefinedStorageVirtualSAN5000+Network

VirtualizationNSX1700+Cloud

OperationsvRealizeSuite20k+CustomersCustomersCustomersCustomers行业中最广的选择SoftwareDeploymentCloudServiceProvidersQ32016GAStartingQ42016PrivateCloudPublicCloudVMwareCloudFoundationVMwarePoweredHCIQualifiedVSANReadyNodes:VSANReadyNodesQualifiedNetworking:IntegratedSystemsVxRack1000SDDCCONFIDENTIAL16过去几年来关键应用排在虚拟化平台的比率急剧增加(VMwareCoreMetricsSurveyJuly2015)CONFIDENTIAL17Ineconomics,BRICisagroupingacronymthatreferstothecountriesofBrazil,Russia,IndiaandChina,whicharealldeemedtobeatasimilarstageofnewlyadvancedeconomicdevelopment.搭建SDDC的方法SoftwareDefinedDataCenter自建融合／超融合

CloudFoundationVmwareHands-On-LabsCloudInfrastructureTodayVMware&PartnerCreatedLabContentVMwareCloudFoundation72ServersDASXtremIO136ServersVMwarePrivateCloudakaOneCloudNSXESXivCenterServervRealizeOperationsProjectNeevRealizeLogInsightvCloudDirectorvCloudDirector224ServersVNXvCloudAirNSXESXivCenterServervCloudDirector29ServersDAS/vSANIBMSoftlayerNSXESXivCenterServervCloudDirectorvRealizeNetworkInsight(FormerlyArkin)TestingCloudAmazonWebServicesVMwareCloudFoundation显著减少搭建时间201day=8man-hours

NumbersprovidedbyOneCloudearlyfieldtrialdeploymentOneCloudArchitectureAssess,DesignandPilotCloudFoundationDataCenterOperationsInstallationOperationalConfigurationPre-PlanningNetworkConfigurationStorageConfigurationAutomationConfigurationSDDCConfigurationEnvironmentQAValidationTotalTime60+Days14Days2Days1Day2Days1.5Days3Days2.5Days86+Days--1Day4Hours------4Hours2.5Days4.5DaysDeploymentCONFIDENTIAL从U2VL到SDDCCONFIDENTIAL21这些客户首先进行了U2VL，关键应用基于新的云平台运行，然后进行整个数据中心的虚拟化工作，全面走向了SDDC同业托管平台U2VL,vSPhere，vROX86，满足合规要求，快速上线服务20多个省的200多家村镇银行，成为利润中心广电云平台U2VL,vSPhere,NSX，VSAN,VSOM兼容性，可靠性，灵敏性，稳定性适应新媒体发展的云平台管理平台U2VL，vSphere,vRO,FT合规，节约成本5亿多提升业务能力校园私有云VxRail

SDDC上电即用，智慧校园系统提升管理水平，成为行业示范NSX与关键业务平台23目标依然如旧…应用和数据的安全性交付速度应用的可用性基础架构的变化

融合|私有云|公有云威胁和用户行为的变化流量模式|威胁增加|分析

应用体系结构的变化虚拟化|容器化|PaaS

…但其他方方面面发生了变化重视应用应用和数据的安全性交付速度应用的可用性VMVMVMVMAPP与网络相关联的复杂目标…24应用的可用性

由于IP和安全配置不一致，

无法跨域移动或访问应用应用交付速度

物理网络连接基础架构存在容易出错的重复性手动流程和脚本应用和数据的安全性

内部安全控制不足，依赖于静态网络拓扑来定义策略关键应用与网络相关联的复杂目标…

虚拟化挑战传统网络设计和运行现有基础架构二层网络的规模限制大二层技术的限制安全边界打破，安全隔离成为难题应用和数据的安全性内部安全控制不足依赖于静态网络拓扑来定义策略应用交付速度计算和存储资源已经实现快速就绪网络就绪成为业务部署的瓶颈物理网络连接基础架构存在容易出错的重复性手动流程和脚本应用的可用性由于IP和安全配置不一致，无法跨域移动或访问应用Floor-1:VLAN1–10.x.x.xFloor-2:VLAN2–172.16.x.x…被迫采用折中方案26固定的限制由基础架构和资源定义IT容量受影响的安全性对威胁响应延迟严重的安全漏洞受影响的速度容易出错的手动配置，调配/配置延迟销售就绪时间延长安全性/风险速度/灵活性网络连接和安全团队业务线26网络硬件限制条件网络仍然由硬件定义，将会限制虚拟化环境27虚拟化平台的发展SDDC存储计算计算存储网络VMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPP计算存储网络虚拟化平台的发展SDDC硬件限制条件网络仍然由硬件定义，将会限制虚拟化环境28任意x86设备任意存储任何IP网络VMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPP对网络进行虚拟化消除最终的数据中心限制条件29Hypervisor虚拟交换机Hypervisor虚拟交换机Hypervisor虚拟交换机Hypervisor虚拟交换机Hypervisor虚拟交换机防火墙保护负载均衡交换路由30Hypervisor虚拟交换机Hypervisor虚拟交换机Hypervisor虚拟交换机Hypervisor虚拟交换机Hypervisor虚拟交换机Hypervisor虚拟交换机VMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPP对网络进行虚拟化

将应用与基础架构分离拓扑独立性无需依赖底层物理拓扑

即可实现应用敏捷性网络虚拟化平台调整使用适合应用的万能

网络连接和安全平台池化数据中心容量最大限度地提高利用率并

提供全面的灵活性池化数据中心容量

突破位置阻碍，提高资源利用率网络虚拟化之前的资源利用率大约是60%网络虚拟化之后的资源利用率能够达到90%以上32战略决策立即推动实现卓越的

业务价值33安全性将安全性作为数据中心基础架构的固有部分进行构建网络虚拟化

目前如何应用自动化实现IT流程的自动化，以按照业务的发展

速度交付IT应用连续性使应用与数据可以驻留于任何地方，并且在

任意位置均可访问34目标依然如旧…应用和数据的安全性交付速度应用的可用性重视应用应用和数据的安全性交付速度应用的可用性VMVMVMVMAPP35WebAPPDBAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMwareNSX安全性

微分段|DMZ无处不在|安全的用户环境协调各种策略控制安全和网络连接策略可独立于物理网络拓扑

随工作负载移动精细的策略实施针对每个工作负载实施策略并启用最小特权

安全原则数据中心2

边界客户案例：安全的数据中心连接问题陈述保密资料36Internet数据中心1

边界生产PCI非生产共享服务需要提供精细分段并降低风险简化新应用对共享防火墙的访问安全地自动执行应用部署挑战客户案例：安全的数据中心连接解决方案要求：为何选择NSX？保密资料37策略层可按应用实现对共享服务的自动化访问，无需任何人工干预自动访问共享服务解决方案需要支持虚拟化，并在部署计算工作负载时提供相应的安全性支持虚拟化和移动化符合PCI规定的解决方案合规插入第三方服务，尤其是东西向IPS可自由选择平台在现有的升级或扩容数据中心以及支持VLAN的网络中运行，同时，同一设计还支持未来的逻辑网络连接独立于网络拓扑NSX微分段路径优化ExternalNetworkSourceDestinationSourceDestinationvSwitchVSFWvSwitchVSFWvSwitchVSFWAppVLANDMZVLANServicesVLANDBVLANPerimeter

firewallInsidefirewall生产VMVM生产VMVM生产VMVMVMVMPCIVMVMPCIVMVMPCIITVMITVMITVMVMADVMVMNTPVMDHCPVMDNSVMCERT同网段的安全防护通过NSX微分段，管理者可以非常容易地做到同网段安全防护，避免黑客的跳板攻击VCcontainersClustersdatacentersPortgroupsVXLANVMcontainersVMnamesVMtagsVMattributesIdentityADGroupsIPv6compliantIPv6addressIPv6setsServicesProtocolPortsCustomIPv6ServicesAction-AllowBlock-Reject微分段安全策略与IP地址解耦NSX微分段技术可以用不同的虚拟环境属性或直接利用安全群组的方式，来设定防护机制。可以应用到任何vCenter对象，例如：Cluster、portgroup等RuleIDRuleNameSourceDestinationServiceActionAppliedTo客户案例：安全的数据中心连接NSX解决方案保密资料41InternetInternet数据中心1

边界数据中心2

边界生产PCI非生产共享服务1.在现有的升级或扩容网络上启动2.将环境映射到安全组实施3.为共享服务建立安全组4.利用NSX安全策略实现简化和自动化WebAPPDB42快速且可重复的应用部署自动为IT部门和开发人员管理网络连接

和安全性

WebVMwareNSX自动化

由IT实施的IT自动化|多租户基础架构VMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPP蓝图客户案例：IT交付自动化问题陈述保密资料43需要大量人力手动部署IT

服务后续运维速度缓慢业务部门需围绕拥有云服务的IT部门开展工作挑战数据中心云业务线结果不一致内部IT物理设备时间效率

用户不满意客户案例：IT交付自动化解决方案要求：为何选择NSX？保密资料44虚拟网络和安全策略跨开发/QE/生产环境而延展一致的服务整个应用部署（基础架构和服务）全面自动化端到端的自动化与现有的vSphere体系全面集成与vSphere集成东西向分段可保护所有工作负载精确的安全保护网络虚拟化与安全策略一体化蓝图设计设计组件基础架构网络安全性软件XaaS拖放组件以设计应用关系依赖关系网络安全性执行顺序关系基础架构XaaS软件基础架构网络虚拟化与安全策略一体化蓝图设计Automatedconnectivitytoexistingoron-demandnetworksAutomatedsecuritypolicyenforcementthruNSXsecuritypolicies,groupsandtagsOn-demanddedicatedNSXloadbalancerParentcomponentonly,notapplication-levelNSXIntegrationforBlueprintAuthoring&Deployment可视化模版设计，鼠标拖放功能46客户案例：IT交付自动化NSX解决方案保密资料47等待生效等待自动化应用部署手动网络配置VMwareNSX

网络虚拟化数分钟“零接触式”

部署VMwareESX

计算虚拟化数周或数天vRealize

Automation自动交付多层应用调配流程内置安全性

与一致性提高了为业务用户提供的

服务级别，避免了影子IT优势数据中心1数据中心248VMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPPVMVMVMVMAPP数据中心无处不在使应用和数据可以位于数据中心之间，以用于执行灾难恢复或池化数据中心资源

VMwareNSX应用连续性

灾难恢复|数据中心池化客户案例：简化灾难恢复保密资料4910.0.10/2410.0.20/2411更改IP地址（或延伸第2层）重新配置安全和网络服务4恢复虚拟机3复制虚拟机

和存储2物理网络基础架构物理网络基础架构SAN1保护虚拟机第1步和第2步（例如，VMware

SiteRecovery

Manager）vSphere主站点恢复站点重大RTO影响SANvSphere问题陈述灾难恢复流程非常复杂，

包含容易出错的手动步骤容量超额配置恢复应用所需的恢复时间

目标(RTO)过长挑战灾难恢复没有精确度客户案例：简化灾难恢复解决方案要求：为何选择NSX？保密资料50跨站点无缝提供网络连接和安全性各站点间保持一致计算、存储和网络连接已经做好准备按需提供独立于硬件池化容量借助采用了网络虚拟化技术的SDDC，可在几小时内为新应用调配灾难恢复虚拟化解决方案内置灾难恢复和业务连续性集成了业务连续性和

灾难恢复(BC/DR)功能客户案例：简化灾难恢复保密资料51/24/2411物理网络基础架构物理网络基础架构SAN1保护虚拟机第1步和第2步（例如，VMwareSite

RecoveryManager）vSphere主站点恢复站点SANvSphere恢复虚拟机32a复制虚拟机和存储降低RTO虚拟网络10.0.10/24NSXManager（主）NSXManager（辅）虚拟网络10.0.10/24跨站点提供一致的网络连接和安全性虚拟机移动性和精确的灾难恢复与SiteRecoveryManager集成优势NSX解决方案复杂性大幅降低2b同步网络

和安全性现已提供网络

和安全性

NSX+SRM所实现的灾备方案:

初始化设置53WebWebDBAppAppDBSRMLocale-IDSettoProtectedSiteActiveN-SStand-byN-S保护站点灾备站点SiteLocalRouterSiteLocalRouter过滤业务网络路由发布Locale-IDSettoProtectedSiteU-DFWU-DFWU-DFWU-DFWWebU-LSAppU-LSDBU-LSU-DFWU-DFWOSPFOSPF分布式路由器UniversalControlVMUniversalControlVMNSXESGwithECMP(Advertisingreachability)U-DLRLIFU-DLRLIFNSXESGwithECMP

SRM

NSX+SRM所实现的灾备方案:

灾难避免/计划迁移/部分应用故障恢复54分布式路由器DBWebWebAppDBUniversalLogicalSwitchU-DFWUniversalControlVMUniversalControlVMNSXESGwithECMP(Advertisingreachability)ActiveN-SStand-byN-SU-DLRLIFU-DLRLIFOSPF保护站点灾备站点OSPFSiteLocalRouterSiteLocalRouterAppU-DFWU-DFWW