华为fusionsphere 5 1虚拟数据中心技术白皮书服务器虚拟化

1、华为 FusionSphere 5.1虚拟数据中心技术白皮书文档版本 V1.02015-04-30发布日期 华为技术 版权所有 华为技术2014。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因，本文档内

2、容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术i华为 FusionSphere 5.1虚拟数据中心技术白皮书前言前言概述本文档介绍 FusionSphere 产品的虚拟数据中心能力。读者对象本文档主要适用于以下工程师：公司 MKT、行销、渠道商在项目拓展中使用符号约定在本文中可能出现下列标志，它们所代表的含义如下。文档版本 V1

3、.0 (2015-04-30)华为专有和保密信息版权所有 华为技术ii符号说明用于警示紧急的危险情形，若不避免，将会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致中度或轻微的人身伤害。用于传递设备或环境安全警示信息，若不避免，可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。“注意”不涉及人身伤害。用于突出重要/关键信息、最佳实践和小窍门等。“说明”不是安全警示信息，不涉及人身、设备及环境伤害信息。华为 FusionSphere 5.1虚拟数据中心技术白皮书前言修改记录修改记录累积了

4、每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。文档版本 V1.0 (2014-09-05)第一次正式发布。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术iii华为 FusionSphere 5.1虚拟数据中心技术白皮书目录目录前言ii1什么是虚拟数据中心11.1 用户故事11.2 用户痛点11.3 什么是虚拟数据中心技术2虚拟数据中心技术概览32.1 虚拟数据中心技术都虚拟化了哪些网络设备32.2 不同的部门间的网络是怎么隔离的42.3 使用负载均衡进行流量分发52.4 管理资源配额62.5 如何从 Internet 访问 VPC72.5.

5、1 弹性 IP 地址82.5.2 NAPT82.5.3 SNAT92.5.4 VPN92.5.5 VNC102.6 确定需要创建哪些网络资源1123怎么使用虚拟数据中心技术133.1 典型三层网站133.2 约束与限制143.2.1 创建约束143.2.2 删除约束174强大的小功能194.1 Internet 直通网络194.2 Super VLAN194.3 安全组204.4 浮动 IP 地址214.5 双线机房21资源出租235文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术iv华为 FusionSphere 5.1虚拟数据中心技术白皮书目录5.1 北向接

6、口235.2 计量235.3 Qos235.4 出租模式245.4.1 利用虚拟私有云作出租245.4.2 利用虚拟数据中心作出租245.4.3 虚拟主机出租246附录266.1 支持的网络设备266.2 支持静态注入的 OS 列表26文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术v华为 FusionSphere 5.1虚拟数据中心技术白皮书1 什么是虚拟数据中心 1什么是虚拟数据中心1.1 用户故事王总，42 岁，某中小型互联网公司 IT 部门主管。他昨晚没有睡好。昨天网上业务平台运行缓慢，并且在晚上 8 点左右出现了系统。经过定位是因为秒杀活动导致系统瞬间

7、过载，同时又坏了一台服务器，导致整个业务系统雪崩。随着网上业务量增加，他们已经给这些服务器加了内存，又追加了两台高性能服务器， 但是还是撑不住。随着双 11 和圣诞新年的到来，订单量还在不断增长。他们预计满足这些业务压力需要扩充至少 20 台 4 路服务器。随之而来的是汇聚交换机的口也不够了， 机房空间还够但是供电比较紧张了。随着订单增加物流系统也需要扩容，这样供电也扛不住。前天内服部门一台服务器宕了，发现是维修部的一台临时接入的便携机染毒了，在全网内发起了广播。由于业务系统是和内服维修这些系统隔离的，幸好没有对业务造成影响。内服部门说因为这个他们活没有做完必须加班，要求把他们的系统也隔离起来

8、。但是怎么可能给内服部门一立的呢？那么贵。前天手下一个熟手因为配置太复杂，撑不住离职了，这让王总一个头有两个大。那家伙在离职信中说：“根本不是我在管那些设备，是他们在管我。我受够了。”还好这个家伙走之前做了整理，什么 IP 分配表，VLAN 分配表，组网图，路由配置等等都整理得清清楚楚。但是怎么把网络配置管好，是个问题。不解决管理复杂的问题，即使有新来的人接手，王总仍然没有把握。问题多的时候，就说明需要转型了，不破不立。世上没有最完美的系统，只有最合适的， 这时候，王总需要云的技术来支撑他了。1.2 用户痛点王总的问题不是个案，而是转型期企业 IT 一定会遇到的问题。当 IT 设备规模及复杂度

9、到达一定的程度时，量变引起质变，会带来大量的问题：IT 基础设施的供给不能满足业务增长，总是滞后，导致业务发展受限；业务部门担心资源不足总是超量申请，造成资产闲置浪费；文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术1华为 FusionSphere 5.1虚拟数据中心技术白皮书1 什么是虚拟数据中心部门多，业务多，组网日渐复杂。同一套路由交换设备需要满足不同业务部门的要求，配置复杂且不可追踪，牵一发动全身。而且只有少数几个人知道怎么搞，靠人来管理又面临休假/离职这些情况。部门间网络不隔离，导致网络风险不可控。这时，王总需要虚拟数据中心技术来协助他。1.3 什么是

10、虚拟数据中心技术虚拟数据中心其实不是什么很神秘的新技术，而是将云的理念落实到企业管理中的一种优秀实践。众所周知，云计算的核心思想是通过虚拟化，标准化，自动化的基础设施及管理优秀实践，改变 IT 基础设施供给的模式。虚拟数据中心技术也不例外，支持资源随需申请， 弹性扩缩，自助服务等等这些云计算技术的通用能力。除此之外，虚拟数据中心技术向最终用户提供一个虚拟的所见即所得的数据中心，其特点表现在：网络设备的虚拟化。虚拟数据中心技术将，负载均衡器，二层网络，三层网关，DHCP，VPN 这些设备虚拟化，向最终用户提供原子级的部件。用户可以像搭积木一样搭建自己的网络。由于使用了虚拟化技术，这些用户使用的都

11、是虚拟设备。部门间隔离。虚拟数据中心技术可以给不同的部门分配不同的网络，包括 VLAN，IP 地址段，甚至虚拟-这下内服部门满意了。重要的是，这样不同的部门间是互相隔离的。这样 IT 人员面对的是和多个独立的简单网络，而不是共用同一套网络设备的多个系统。资源分配可追溯。所有分配出去的虚拟资源，以及 VLAN，IP 地址这些资源，都会被追踪记录下来，以便于管理及追溯。关键资源可管控。公网 IP 地址，公网带宽，VPN 这些稀缺资源，可以很好的被管理起来，随业务部门的需求分配。自服务。虚拟数据中心技术使复杂的企业级 IT 变回简洁的小规模 IT 系统，就像企业刚开始创业时那样简单。这样结合自服务门

12、户，以及简单的培训，什么虚拟机管理，配置这些都可以交给各个部门的 IT funs 们自己去维护了。对于王总，他只需要安排每天例行检查设备故障情况，资源使用情况，分析系统热点及潜在风险进行事先预防。而他自己也终于有空闲时间学习一下云计算的技术了。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术2华为 FusionSphere 5.1虚拟数据中心技术白皮书2 虚拟数据中心技术概览 2虚拟数据中心技术概览2.1 虚拟数据中心技术都虚拟化了哪些网络设备看到王总已经喝着咖啡研究云计算了，您是不是也有些好奇，究竟我们都虚拟化了哪些网络设备，都能拿来干什么用。我们虚拟化了如下

13、的几类设备：虚拟的。我们支持将物理设备虚拟化后，作为虚拟提供给最终用户使用。用户就像使用自己的一样，可以配置 ACL 过滤规则。虚拟的软件三层网关。借助华为软件虚拟网络技术，我们在一个很小规格的虚拟机（512M 内存，2G 硬盘，1 核 CPU）上集成了三层网关。基于这个三层网关，您可以把一些小规模组网完全用软件来实现。您所需要做的，就是为这个组网发放一台虚拟的硬件三层网关。我们支持将物理设备虚拟化后，在虚拟上同时提供三层网关。由于是硬件实现，其性能和可靠性要优于虚拟的三层网关设备。虚拟软件设备。虚拟的 NAT/NAPT/SNAT 设备，目前还不支持 ACL、VPN等高级特性。这些能力集成在虚

14、拟三层网关中，软件和硬件的网关都具备这些能力。虚拟的 DHCP。同样的，在一台很小规格的虚拟机（512M 内存，2G 硬盘，1 核CPU）中，我们部署了 DHCP 服务。您可以使用这个 DHCP 来分配 IP 地址。这个 DHCP 是纳入我们的整体方案管理的，他会按您设定的规则来分配 IP。DHCP 网卡通过trunk 模式同时接收多个 VLAN 的 DHCP 请求，可以为多个子网提供 DHCP 服务。虚拟的软件负载均衡。在一台很小规格的虚拟机（2G 内存，2G 硬盘，2 核 CPU） 中，我们部署了软件负载均衡服务。您可以使用这台软件的负载均衡来组成业务集群。虚拟的硬件负载均衡。我们支持将

15、F5 物理负载均衡器虚拟化为虚拟负载均衡。这样您就可以将一套 F5 设备用在多个业务系统中。虚拟的 VPN。我们支持将物理设备虚拟化后，提供虚拟的 IPSec VPN，用于将您企业内的已有网络与云上的网络打通。结合云计算平台已经具备的虚拟交换机技术，我们可以很灵活的组装这些网络设备，就像搭积木一样。对于大部份部件我们同时提供软件和硬件的备选方案，您尽可以在成本和性能，可靠性之间作权衡。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术3华为 FusionSphere 5.1虚拟数据中心技术白皮书2 虚拟数据中心技术概览更重要的，他们是所见即所得的，并且所有的调整都

16、不需要动物理设备连线。忘记那些像被猫蹂躏过的线团一样的网线吧。2.2 不同的部门间的网络是怎么隔离的在虚拟数据中心技术方案中，不同的部门，或不同的业务，可以使用独立的“VPC”来隔离。一个 VPC 就是一个安全的网络环境，包括如下网络部件：一台虚拟；多个网络平面；在虚拟数据中心方案中，网络平面分为如下三种：内部网络。仅提供裸 VLAN，可选支持 IP 地址管理。不提供网关。这种网络仅有二层，不提供三层访问的能力。这种网络一般用于内部使用的，不允许与外部路由的网络。路由网络。提供 VLAN，IP 地址管理，三层网关。对于一个 VPC 下的所有路由网络，我们会自动打通这些路由网络之间的路由，这样方

17、面您的不同路由网络下的虚直连网络。提供将虚拟机直接接入到外部网路的能力。部署到这个网络中的 VM 可以分配到外部的 IP 地址。外部网络。所谓外部网络，就是网关和路由不在虚拟数据中心方案中管理的网络平面。提供将您的虚拟机直接接入到外部网络的能力。外部网络在虚拟数据中心方案中表现为一个独立 VLAN，虚拟数据中心方案不管理这个 VLAN 上的 IP 地址分配/文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术4华为 FusionSphere 5.1虚拟数据中心技术白皮书2虚拟数据中心技术概览当前支持的 IP 地址分配方案有两种：DHCP 动态分配。此时虚拟数据中心方

18、案中会在一个 VPC 内部署一台软件的 DHCP 服务，用于向虚拟机提供 IP 地址分配。虚拟数据中心方案已经做了 IP 地址到虚拟机的绑定，即虚拟机每次从 DHCP 服务请求到的 IP 地址总是固定的。静态注入。借助虚拟化层的能力，虚拟数据中心方案可以在虚拟机创建时直接设定此虚拟机的 IP 地址。注意受虚拟化层能力限制，并不是所有的操作系统都可以静态注入 IP 地址。由于不同的 VPC 使用各自的DHCP 进行管理，所以 VPC 之间的地址空间是可以重叠的。这样就使得最终用户可以灵活的规划他的内部地址，而不受其他部门的干扰。对于需要跨部门互通的情况，可以采用如下的方法：事先规划好。事先为每个

19、 VPC 规划一个网段作为全局互通的网段，然后通过路由器的配置实现互通。使用一个独立规划的外部网络。2.3 使用负载均衡进行流量分发从 internet 进入到 VPC 内的流量，可以通过负载均衡器进行流量分发，您可以选择：虚拟的硬件负载均衡器文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术5华为 FusionSphere 5.1虚拟数据中心技术白皮书2 虚拟数据中心技术概览虚拟的软件负载均衡器对于负载均衡器，可以选择 round Robin 或Least Connections 算法对网络服务的流量进行分发，提高业务的响应速度，并提供应用的可靠性。您可以根据自

20、己的业务情况和网络负载选择使用硬件或者软件的虚拟负载均衡器。虚拟机硬件负载均衡器依赖于 F5 BIG-IP LTM 系列负载均衡设备。2.4 管理资源配额您可以通过 VDC 对企业内的不同应用可以使用的资源进行配额管理，包括 CPU，内存，存储等。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术6华为 FusionSphere 5.1虚拟数据中心技术白皮书2虚拟数据中心技术概览将资源虚拟化成 VDC， 业务管理员只需要关心多少资源可用（CPU, 内存，存储），不关心应用使用的资源的具体部署。按应用分配资源， 保证应用间资源使用不冲突。按硬件配置划分给不同的 VD

21、C， 提供不同质量的资源给对应的应用。使用 VDC 进行资源配额配置 ，可以方便的对系统内的资源进行整体的规划，提升运维能力，并达到对资源进行灵活部署的目的。2.5 如何从 Internet 访问 VPC从 internet 访问 VPC 内的机器，您可以有如下的选择：弹性 IP。此方法适用于将某台虚拟机暴露到互联网，用于对 Internet 提供服务。NAPT。此方式适合于通过互联网连接到某台虚拟机，用于做维护操作。SNAT。此方式适合于大量虚拟机图 API 之类。访问 Internet 的场景，比如远程调用第三方地VPN。此方式使得互联网上的机器通过 VPN 模式接入到 VPC 内，与 V

22、PC 内的路由网络中的任何服务器互通。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术7华为 FusionSphere 5.1虚拟数据中心技术白皮书2 虚拟数据中心技术概览VNC。VNC 连接适用于远程管理网络无法到达，或网络还未启动就绪的虚拟机， 用户体验较差。下面对这五种方法逐一详解。2.5.1 弹性 IP 地址弹性 IP 地址本身是一个公网 IP 地址，您可以动态的将该 IP 地址绑定到 VPC 内任何一个路由网络中的内部 IP 地址上。这个地址可以是虚拟机的 IP 地址，虚拟负载均衡器的北向地址，也可以是一个不绑定到任何虚拟机的浮动 IP。此地址受 VP

23、C 边界的虚拟保护，您可以针对该地址配置ACL 规则。同时，作为系统管理员，您也可以限制此地址的带宽。此特性依赖于虚拟，无虚拟时无法使用。2.5.2 NAPTNAPT 一般用于从公网通过 SSH/MSTSC/FTP 等远程交互手段连接虚拟机时使用。使用此方法可以连接到 VPC 内任何一个路由网络中的内部 IP 地址上的制定端口上。这个地址可以是虚拟机的 IP 地址，虚拟负载均衡器的北向地址，也可以是一个不绑定到任何虚拟机的浮动 IP。此地址受 VPC 边界的虚拟截了自己的请求。保护，您需要合理的配置规则以避免您自己拦文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技

24、术8华为 FusionSphere 5.1虚拟数据中心技术白皮书2 虚拟数据中心技术概览此特性依赖于虚拟，无虚拟时无法使用。2.5.3 SNAT对于仅需要单向访问 Internet，不需要向 Internet 暴露服务的情况下，您可以使用 SNAT。SNAT 允许您配置一个可路由网络，以及一个或一段公网 IP 地址。配置后来自此可路由网络的 Internet 请求，在从 VPC 发出时，请求源端 IP 地址都会被映射到指定的公网 IP 地址。这样 Internet 上的主机收到请求后，发回的响应就会依据 SNAT 配置的公网 IP 地址路由回来。此路由网络受 VPC 边界的虚拟己拦截了自己的请

25、求。保护，您需要合理的配置规则以避免您自此特性依赖于虚拟，无虚拟时无法使用。2.5.4 VPN当前支持 IPsec VPN，支持 client-server 模式，以及 server-server 模式。出于 internet 的用户可以使用 client-server 模式接入到 VPC 内，与 VPC 内的路由网络中的任何服务器互通。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术9华为 FusionSphere 5.1虚拟数据中心技术白皮书2 虚拟数据中心技术概览Server-server 模式用于在一个组织的多个网络之间建立安全隧道连接，打通网络。移动设

26、备远程接入网关用于在出差员工或 AP 之类的移动设备要远程访问一个 IPSec 网关，可以通过 L2TP over IPSec 的方式，如下图所示。此模式下主机侧需要有支持 IPSec 的客户端，网关侧需要支持 IPSec。采用 L2TP over IPSec 方式接入 IPSec 网关此特性依赖于虚拟，无虚拟时无法使用。2.5.5 VNCVNC 的用户体验比较差，一般说来只有这样的情况才需要使用：被连接的虚拟机不在路由网络内，无法使用弹性 IP 或 NAPT 进行连接；或被连接的虚拟机网络断连；或被连接的虚拟机未正常启动，系统卡死等网络功能不具备的情况；VNC 并不通过虚拟机提供的网络通道连

27、接虚拟机，而是使用虚拟化平台提供的远程管控能力。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术10华为 FusionSphere 5.1虚拟数据中心技术白皮书2 虚拟数据中心技术概览2.6 确定需要创建哪些网络资源系统提供了这么多功能，客户应该怎么用？应该用哪些功能组合来满足自己的实际需求呢，我们给出了一个比较典型的网络决策流程供参考。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术11华为 FusionSphere 5.1虚拟数据中心技术白皮书2虚拟数据中心技术概览部门数量大于1是否部门内部网络是否需要隔离否创建一个VPC是创

28、建多个VPCVPC内VM是否有与VPC之外网络互通的需求VPC内不同子网之间是否有互通需求无有有有无VFW有无VFW无否有有VM之间是否进 行访问控制否结束是文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术12使用安全组进行VM间的流量控制（需要使用FC）使用ACL进行子网间流量控制配置弹性IP路由网络路由网络不支持自直连网络创建内部网络动配置为每个部门创建一个组织，并设置配额部门之间网络是否需要隔离，包括现在和规划华为 FusionSphere 5.1虚拟数据中心技术白皮书3 怎么使用虚拟数据中心技术 3怎么使用虚拟数据中心技术3.1 典型三层网站我们可以使用

29、上面的这些技术搭建一个典型的三层网站架构。一个典型的三层网站包括如下三层：Portal Server App Server数据库 ServerPortal ServerAPPServerData Base Server部署这样一个网站，我们经过如下步骤：我们为这个网站创建一个独立的 VPC，并为他的边界配置虚拟。我们需要为这个网站规划网络，需要两个可路由网络，网络 A 用于 Portal Server， 负载均衡器和 App Server，网络 B 用于数据库 Server。我们创建一个 Portal Server 的虚拟机，放在子网 A 中。我们创建一个虚拟负载均衡器，也放在子网 A 中。我

30、们创建三台 App Server 的虚拟机，使用双网卡分别连接网络 A 和网络 B。我们创建一台数据库 Server 的虚拟机，连接到网络 B。我们在各个虚拟机和负载均衡上分别配置连接关系。我们为 Portal Server 申请一个弹性 IP 地址，并绑定。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术13华为 FusionSphere 5.1虚拟数据中心技术白皮书3怎么使用虚拟数据中心技术结合 FusionManager 部件的弹性自动伸缩功能，还可以使此三层网站具备一定的弹性扩缩能力，使某一层的虚拟机数量随业务负载的变化而动态变化，从而动态的响应业务量的

31、变化。结合 FusionManager 的应用模板能力，您可以将此三层网站做成一个模板，然后利用此模板直接部署一个三层应用。结合 FusionSphere 提供的数据备份方案，还可以为数据库虚拟机提供自定义策略的自动化备份方案，从而提升系统的可靠性。3.2 约束与限制3.2.1 创建约束 vlan 池：a、与 zone 下其他 vlanpool 中的vlan 不能重复b、与vsa 管理网络，vtep 网络所使用的 vlan 不能重复，从 FC 上发现上来的 VTEP网络所使用的 vlan 不能重复。vxlan 池a、vlanid 为 409616777215,vlanpool 中的vlan 在

32、 zone 下不能重复。vlan 池关联dvs文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术14华为 FusionSphere 5.1虚拟数据中心技术白皮书3 怎么使用虚拟数据中心技术a、vlanpool 只能关联一个集群下的一个 dvs vsa 网络（vsa 管理网络，vtep 网络）：a、VLAN 号在同一个 Zone 下不能重复(本身不能重，也不能跟 vlan 池里面的 vlan重复)，不同的 Zone 之间可以重复b、和zone 下的其他 vsa 网络，外部网络以及 VPC 下的业务网络（内部网络、路由网络）子网不能有冲突，和 GE 上发现上来的 VT

33、EP 子网不能重。c、zone 下的 vsa 管理网络的子网（子网 IP、掩码）可以重复，不通的 zone 下不能冲突。d、如果是 vtep 网络，则虚拟机化环境上必须有普通模式的 DVS（只有普通网卡的主机才能支持 vxlan，主机网卡类型体现在 DVS 上则为普通模式的 DVS）；e、同一个 zone 下只能创建 16 个vsa 网络f、子网掩码最小只能为 23 位安全组：a、vpc 所对应的 VDC 中必须有属于 GE 的集群b、一个 VPC 下最多只能创建 50 个安全组安全组成员：a、VM 所在的虚拟化环境必须为 GE.b、VM 所属主机的网卡类型必须为普通网卡才能加入安全组（体现在

34、 DVS 上，DVS 的类型为普通模式）c、vm 网卡所在的网络所在的 VPC 和安全组所在的 VPC 相同d、vm 必须为稳态（running( 运行中)、stopped（已停止）、hibernated（已休眠）、pause（已暂停） vpc 下申请硬件 VFWa、vpc 所属的 zone 下必须接入物理需要配置上行口，否则设置带宽会失败），且物理上配置有 vfw（vfw 上还 vpc 下申请软件：a、vpc 所属 zone 下有能够连接到 Internet，且子网的 IP 分配方式为静态注入，子网类型为普通的外部网络，且外部网络不能为安全网络。b、vpc 对应的 zone 下有可用的 VS

35、A 管理网络，且 vsa 管理网络中的子网跟 VSAM能够通。c、如果需要支持 vxlan,VPC 对应的 zone 下还需要有 vtep 网络，且 vtep 网络跟 FC上行链路口上的 vtep 能通。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术15华为 FusionSphere 5.1虚拟数据中心技术白皮书3 怎么使用虚拟数据中心技术d、有vsa 逻辑模板 acl 规则必须有硬件 VFW，域内 acl 必须有路由网络，域间 acl 需要有弹性 IP，且路由网络，EIP 和硬件所属的 VPC 必须是同一个（软件后续也会支持 acl）EIP：a、硬件vfw

36、下申请 EIP 时必须有 IP 带宽模板，硬件 vfw 所属 vpc 对应的 zone 下必须有公网 IP 池b、软件vfw 下申请 EIP 时，用于创建软件 vfw 的外部网络下必须有可用的 IP,软件不支持设置 IP 带宽；b、绑定EIP 时，vm 必须在路由网络下，且有 IP；VM 的网卡有了 DNAT，则该网卡不能绑定 EIP dnatb、vm 必须在路由网络下，且有 IP；VM 的网卡绑定 EIP，则该网卡则不能配置 DNAT snata、vpc 下的路由网络才能开启 snat 直连网络a、vpc 所在的 zone 下必须有外部网络b、普通子网和 vlan 类型的外部网络可以被 zo

37、ne 下的多个 vpc 用来创建直连网络,但一个 vpc 只能使用一次c、超级子网类型的外部网络的一个 vlan 只能被一个直连网络使用d、安全类型的外部网络不能用于直连网络 内部网络a、有可用的 dvsb、dvs 必须关联 vlanpool，且 vlanpool 中有可用的 vlanc、如果 ip 分配方式为内部 DHCP，需要 vsa 逻辑模板，如果网络在底层创建的不是trunk 类型的portgroup(支持 trunk,R3C10 版本及一下的 GE)，则还需要 vfwd、如果创建子网类型的内部网络，则子网跟 vpc 下的业务网络 IP 不能重，跟 vpc 所在 zone 下的外部网络

38、，vsa 管理网络，vtep 网络，以及公网 IP 池的 IP 不能重，vlan 在 zone 下不能重复e、如果是 vlan 类型的内部网络，vlan 在vpc 下可以重复。 路由网络a、vpc 下需要申请虚拟文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术16华为 FusionSphere 5.1虚拟数据中心技术白皮书3 怎么使用虚拟数据中心技术b、有可用的 dvsc、dvs 必须关联 vlanpool，且 vlanpool 中有可用的 vland、如果ip 分配方式为内部 dhcp，则还需要 vsa 逻辑模板e、子网信息跟 VPC 下的其他业务网络 IP

39、不能重，跟 vpc 所在 zone 下的外部网络，vsa 管理网络，vtep 网络，以及公网 IP 池的的 IP 不能重。f、子网预留了 6 个 IP（第一，三，四，五，网关，以及最后一个 IP），网关不能跟其他预留的 IP 冲突。g、vlan 在 zone 下不能重复 外部网络：a、有可用的 dvsb、dvs 必须关联 vlanpool，且 vlanpool 中有可用的 vlan c、vlan 在 zone 下不能重复d、子网在 vlan 下不能重复（包括跟 vpc 下的业务网络，zone 下的vsa 管理网络，vtep 网络，以及公网 IP 池中的 IP） 公网 IP 池a、一个 zone

40、 下最多创 8 个公网 IP 池b、ip 全系统不能重复 组播 IP 池：a、一个 zone 下最多创建 8 个公网 IP 池b、IP 范围为55 以及55， 全系统不能重复 VPN:a、必须有 vfw、可以创建 Ipsec 和 L2TP 类型的 VPN 连接；ps: 电信比拼版本中软件的虚拟支持 ipsec 类型的 VPN 连接。b、本端 IP 必须为 EIPc、创建 Ipsec 类型的 VPN 必须有路由网络和远端网关d、创建 VPN 连接必须先创建 VPN 网关3.2.2 删除约束1、直连网络：有 V

41、M 不能删2、内部网络：有 VM 不能删(现在的判断和路由网络一样)文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术17华为 FusionSphere 5.1虚拟数据中心技术白皮书3 怎么使用虚拟数据中心技术3、路由网络：有 VM 不能删，有域内 aclentry，snat,vlb,vpn,手工申请的 IP 不能删4、外部网络：被直连网络或 firewallvsa 使用不能删除；有 VM 不能删除5、硬件 vfw，软件 vfw:有路由网络，非 trunk 的 DHCP 类型的内部网络不能释放，有EIP 不能释放（acl 在释放vfw 时一并删除）6、VPC：有网

42、络不能删，有 vfw 不能删,有安全组不能删7、EIP：绑定了不能删（可以被 VM,SLB,VPN,F5，或者手工申请的 IP 绑定），被域间acl 使用了不能删8、手工申请的 IP:绑定了 EIP 不能删9、安全组：有成员不能删，被其他安全组引用不能删10、vsa 管理网络，vtep 网络：所属子网 IP 被分配，不能删11、vlan 池，vxlan 池：关联了 DVS 不能删，有 vlan 被网络使用不能删12、vlanpool 解关联 DVS：DVS 下有 portgrou 使用该 vlanpool 内的 vlan，则不能解关联13、组播 IP 池：池内的 IP 被 vxlan 网络使用

43、不能删14、公网 IP 池：池内的 IP 被 snat,dnat,EIP 使用无法释放15、外部网络 DHCP 服务器，被外部网络使用后不能删除文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术18华为 FusionSphere 5.1虚拟数据中心技术白皮书4 强大的小功能 4 强大的小功能4.1 Internet 直通网络Internet 直通网络其实是使用外部网络提供的一种网络模式。此外部网络的地址直接就是 Internet 地址，这样连接到直通网络的虚拟机就可以通过此网络平面的一个 Internet 来提供服务，或访问 Internet。这种情况适用于不配置

44、物理，还需要提供 Internet 访问的能力。在这种网络模式下，FusionManager 可以使用静态注入的方式管理 IP 地址。4.2 Super VLAN在上面的直通网络模式下，在同一个直通网络中的虚拟机其实是部署在同一个二层网络中。由于在同一个二层网络中，这些 IP 地址之间的互相访问不会经过二层网络中的虚拟机可以互相攻击。，即在此为解决互相攻击的问题，Super VLAN 方案支持为不同的 VPC 间的 Internet 直通网络分配同一段公网地址。这样既节省公网 IP 地址，又避免 Internet 直通网络的二层风险。文档版本 V1.0 (2015-04-30)华为专有和保密信

45、息版权所有 华为技术19华为 FusionSphere 5.1虚拟数据中心技术白皮书4强大的小功能在这种网络模式下，FusionManager 可以使用静态注入的方式管理 IP 地址。并且共享同一段 Internet 地址的 SuperVLAN 之间的地址不必规划，可以杂散使用。而且同一个 VPC 内的 Internet 直通网络上的多个地址是二层直通的，可以直接互通，避免内部业务互访占用公网带宽。4.3 安全组当虚拟化层使用 FusionCompute 时，您可以使用安全组来做 VPC 内的网络隔离。您可以将 VPC 内的一些 IP 地址加入一个安全组，然后设定不同安全组间的访问规则。这些地

46、址不必成段，即，安全组内的地址可以是杂散的。组间访问规则支持如下配置能力：允许或禁止来自另一个安全组的请求通过指定协议及指定端口访问本安全组；允许或禁止来自指定 IP 地址段的请求通过指定协议及指定端口访问本安全组；同一个安全组内的地址之间的访问不受限制。通过这种方式，您可以实现对 VPC 内部网络安全行为的精细控制。约束及限制：直连网络不支持安全组功能文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术20华为 FusionSphere 5.1虚拟数据中心技术白皮书4强大的小功能4.4 浮动 IP 地址浮动 IP 地址一般用于应用内部存在主备用关系的情况。这种情况

47、下，主备用 Server 各需要一个设备 IP 地址，同时还需要一个浮动 IP 地址对外提供业务。正常情况下浮动 IP 由主用服务器占有。当主用服务器故障时，备用服务器会主动获取此浮动 IP，并继续提供业务。我们支持为这种情况分配浮动 IP 地址，并允许您在该浮动 IP 地址上绑定弹性 IP，以及将该浮动 IP 加入到设备 IP 地址所作的安全组中。4.5 双线机房弹性 IP 特性支持双线机房，您可以将位于两个不同提供商的弹性 IP 地址绑定到同一个内部 IP 地址上。这样此内部地址上的服务就可以向两个 Internet 服务提供商的网络提供服务。文档版本 V1.0 (2015-04-30)华为专有和保密信息版权所有 华为技术21华为 FusionSphere 5.1虚拟数据中心技术白皮书4强大的小