【正文】 管理能力。 采用成熟的業(yè)務(wù)遷移工具保障計(jì)算平臺兼容性和平滑遷移216。216。以下是針對不同類型應(yīng)用系統(tǒng)的計(jì)算平臺方案：l 物理主機(jī)和虛擬機(jī)的不同節(jié)點(diǎn)配置全面覆蓋客戶的不同業(yè)務(wù)需求；l 對內(nèi)存容量、IO、擴(kuò)展性的要求都不高，且有節(jié)約空間和能源的應(yīng)用，我們推薦采用虛擬化計(jì)算資源來滿足；l 對于高性能計(jì)算，大容量存儲，大容量內(nèi)存和高IO的需求，虛擬化不能滿足應(yīng)用需求，則采用4路X86服務(wù)器或UNIX服務(wù)器等高性能物理主機(jī)滿足；l 針對普通的應(yīng)用系統(tǒng)，如WEB，對內(nèi)存容量、IO、擴(kuò)展性的要求都不高，建議采用虛擬主機(jī)，且能節(jié)約計(jì)算資源、機(jī)架空間、能源；l 存儲設(shè)備和計(jì)算服務(wù)器之間采用多路徑技術(shù)保證可靠性；l 采用面向網(wǎng)絡(luò)的存儲體系結(jié)構(gòu)，使數(shù)據(jù)處理和數(shù)據(jù)存儲分離；網(wǎng)絡(luò)存儲體系將I/O能力擴(kuò)展到網(wǎng)絡(luò)上，特別是靈活的網(wǎng)絡(luò)尋址能力，遠(yuǎn)距離數(shù)據(jù)傳輸能力，I/O高效性能；采用存儲網(wǎng)絡(luò)，消除了不同存儲設(shè)備和服務(wù)器之間的連接障礙；提高了數(shù)據(jù)的共享性、可用性和可擴(kuò)展性、管理性。使用典型規(guī)格產(chǎn)品設(shè)計(jì)，包括硬件、軟件和應(yīng)用規(guī)格化來提供簡單可靠、易于部署和管理、便于擴(kuò)展和升級的IT基礎(chǔ)架構(gòu)，為用戶提供更好的投資保護(hù)，滿足云數(shù)據(jù)中心新建、升級擴(kuò)容，以及數(shù)據(jù)中心統(tǒng)一管控的需求，可實(shí)現(xiàn)被集成的場景。服務(wù)器的總計(jì)架構(gòu)分為三層，即表現(xiàn)層、應(yīng)用層和數(shù)據(jù)層，三層架構(gòu)的部署可以是采用物理機(jī)部署或者虛擬化部署，其中虛擬化部署方式主要考慮華為云操作系統(tǒng)GalaX8800；為保護(hù)用戶已有投資，華為云數(shù)據(jù)中心解決方案支持業(yè)界第三方虛擬化平臺，如VMware。l IT運(yùn)維與管理? IT服務(wù)管理實(shí)現(xiàn)基于ITIL的流程的定義和管理，同時(shí)提供流程的定義模版，實(shí)現(xiàn)特定流程的定制；? 集中的、統(tǒng)一的、綜合的監(jiān)控管理支持云數(shù)據(jù)中心所覆蓋的IT資源的集中監(jiān)控；? 云平臺管理采用華為的云管理平臺，實(shí)現(xiàn)資源的自動部署，同時(shí)結(jié)合IT服務(wù)管理完成相關(guān)的變更、配置管理。 業(yè)務(wù)遷移需求將現(xiàn)有業(yè)務(wù)遷移到云平臺中實(shí)現(xiàn)服務(wù)器整合，提高云數(shù)據(jù)中心資源利用率。為了解決上述存在的問題，數(shù)據(jù)中心核心網(wǎng)絡(luò)建議采用核心層和接入層的的二層扁平化網(wǎng)絡(luò)架構(gòu)，二層扁平化的網(wǎng)絡(luò)架構(gòu)可以實(shí)現(xiàn)：l 簡化網(wǎng)絡(luò)管理，降低投資成本，降低維護(hù)管理成本；l 簡化網(wǎng)絡(luò)拓?fù)?，降低網(wǎng)絡(luò)復(fù)雜度，提高網(wǎng)絡(luò)的性能，支撐高性能的服務(wù)器流量；l 提高網(wǎng)絡(luò)利用率，支撐云計(jì)算技術(shù)的資源池動態(tài)調(diào)度；l 提高網(wǎng)絡(luò)可靠性。數(shù)據(jù)中心的網(wǎng)絡(luò)功能分區(qū)架構(gòu)如圖22所示。國內(nèi)一般會選擇中國電信和中國聯(lián)通兩個(gè)運(yùn)營商。接入層設(shè)備可以根據(jù)業(yè)務(wù)需求，選擇機(jī)架式、刀片內(nèi)置式等不同的接入交換機(jī)類型和不同規(guī)格的配置。由于虛擬化的需求，極大的增進(jìn)了服務(wù)器與存儲的數(shù)據(jù)交換，對于IP SAN存儲網(wǎng)絡(luò)，至少要保證接入交換機(jī)采用10G的鏈路接入。l 防火墻：在網(wǎng)絡(luò)層面，通過防火墻設(shè)備NAT技術(shù)隱藏內(nèi)網(wǎng)拓?fù)?，是Internet接入?yún)^(qū)的第一道網(wǎng)絡(luò)安全屏障。當(dāng)數(shù)據(jù)中心的互聯(lián)網(wǎng)出口與2個(gè)不同的運(yùn)營商互聯(lián)時(shí)，可以部署鏈路負(fù)載均衡設(shè)備LLB，實(shí)現(xiàn)數(shù)據(jù)中心2個(gè)互聯(lián)網(wǎng)出口鏈路的智能選擇，可以提高出口鏈路的利用率，實(shí)現(xiàn)出口鏈路的負(fù)載均衡和冗余備份。建議采用靜態(tài)負(fù)載和動態(tài)負(fù)載相結(jié)合的方式：當(dāng)用戶是來自國內(nèi)的用戶，根據(jù)用戶的IP地址所屬的運(yùn)營商，采用靜態(tài)的算法給用戶端一條最快的鏈路；對于來自國外的用戶，將采用動態(tài)算法，根據(jù)路徑的傳輸時(shí)間等指標(biāo)，計(jì)算出來一個(gè)最佳路徑并提供給用戶。IPSec/SSL VPN的用戶接入示意圖如圖29所示。l 防火墻設(shè)備：對于分支機(jī)構(gòu)、災(zāi)備中心與數(shù)據(jù)中心之間的業(yè)務(wù)互訪進(jìn)行安全控制；2臺防火墻設(shè)備采用雙機(jī)熱備的方式進(jìn)行部署，工作在路由模式，并與出口路由器運(yùn)行靜態(tài)路由協(xié)議；通過虛擬防火墻技術(shù)，可以實(shí)現(xiàn)VPN網(wǎng)絡(luò)的隔離功能。網(wǎng)絡(luò)服務(wù)區(qū)主要提供2種網(wǎng)絡(luò)服務(wù)：一種是網(wǎng)絡(luò)安全服務(wù)，通過部署防火墻設(shè)備實(shí)現(xiàn)；另外一種是應(yīng)用負(fù)載均衡服務(wù)，為業(yè)務(wù)系統(tǒng)增強(qiáng)擴(kuò)展性、可靠性和業(yè)務(wù)處理能力，該服務(wù)通過部署應(yīng)用負(fù)載均衡設(shè)備LB實(shí)現(xiàn)。LB可以保障內(nèi)部資源的容錯(cuò)性，內(nèi)部任何一個(gè)應(yīng)用節(jié)點(diǎn)出現(xiàn)問題都不會對用戶造成任何的影響；LB可以增強(qiáng)業(yè)務(wù)擴(kuò)展性，業(yè)務(wù)擴(kuò)展時(shí)只需要增加相應(yīng)的內(nèi)部服務(wù)器即可。業(yè)務(wù)流通過接入層交換機(jī)，VLAN透傳到核心交換機(jī)，并通過互聯(lián)電路VLAN透傳到防火墻設(shè)備（采用虛擬防火墻），進(jìn)行三層終結(jié)；然后通過另一條互聯(lián)電路路由到核心交換機(jī)，并通過路由的方式到達(dá)外聯(lián)區(qū)的防火墻設(shè)備。運(yùn)行管理區(qū)：主要職責(zé)是對數(shù)據(jù)中心的軟/硬件系統(tǒng)進(jìn)行統(tǒng)一運(yùn)維和運(yùn)營管理，提供安全管理的功能，并部署云計(jì)算管理平臺。數(shù)據(jù)中心網(wǎng)絡(luò)分平面設(shè)計(jì)示意圖如圖215所示。方案說明數(shù)據(jù)中心的MCE方式組網(wǎng)示意圖如圖216所示：首先是接入交換機(jī)通過VLAN的方式對VPN業(yè)務(wù)進(jìn)行隔離，并將VLAN透傳到核心交換機(jī)上；核心交換機(jī)啟用MCE功能，建立一個(gè)與該VPN相對應(yīng)的VRF（路由轉(zhuǎn)發(fā)表），并將與該VPN相對應(yīng)的VLAN接口進(jìn)行關(guān)聯(lián)，這樣該VPN形成一個(gè)單獨(dú)的相互隔離的路由轉(zhuǎn)發(fā)表，該VRF可以運(yùn)行OSPF等動態(tài)路由協(xié)議。另外，數(shù)據(jù)中心滿足不同地點(diǎn)的用戶在訪問業(yè)務(wù)應(yīng)用時(shí)，可以實(shí)現(xiàn)相同的快速服務(wù)感受，也是非常重要的。 而異地容災(zāi)數(shù)據(jù)中心與主數(shù)據(jù)中心的距離較遠(yuǎn)(一般在100km以上)，一般采用異步鏡像；異地災(zāi)難備份不僅可以防范火災(zāi)、建筑物破壞等可能遇到的風(fēng)險(xiǎn)隱患，還能夠防范戰(zhàn)爭、地震、水災(zāi)等風(fēng)險(xiǎn)。根據(jù)訪問需求在防火墻上做詳細(xì)的包過濾安全策略，對主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心之間的業(yè)務(wù)互訪進(jìn)行安全控制。建議在數(shù)據(jù)中心的網(wǎng)絡(luò)邊界分別部署2臺防火墻和2臺路由器，采用直連光纖、數(shù)據(jù)專線或者M(jìn)PLSVPN網(wǎng)絡(luò)等方式進(jìn)行互聯(lián)。防火墻采用雙機(jī)熱備的方式，并工作在透明模式。全局負(fù)載均衡GSLB能夠幫助用戶通過將相同服務(wù)內(nèi)容布署在處于不同物理地點(diǎn)的多個(gè)數(shù)據(jù)中心中得到更高的可用性、性能、以及更加經(jīng)濟(jì)和無懈可擊的安全性，以便在全球范圍內(nèi)的客戶獲得更快的響應(yīng)時(shí)間；并實(shí)現(xiàn)數(shù)據(jù)中心之間的負(fù)載均衡和冗余備份。計(jì)算平臺層中分為計(jì)算服務(wù)區(qū)和存儲服務(wù)區(qū)，其中計(jì)算服務(wù)區(qū)為三層架構(gòu)。實(shí)際應(yīng)用經(jīng)驗(yàn)表明，一臺主機(jī)服務(wù)器的CPU利用率不應(yīng)高于75%，根據(jù)業(yè)務(wù)需求一般設(shè)定C=50%，=。其中同構(gòu)指的是華為平臺的服務(wù)器，異構(gòu)是其他品牌的服務(wù)器。存儲性能維度存儲產(chǎn)品的選擇通常是根據(jù)存儲性能指標(biāo)，即IOPS值。F:未來發(fā)展的冗余，隨著業(yè)務(wù)量和用戶數(shù)據(jù)的增長，會對已采購存儲產(chǎn)生性能影響，因此在配置存儲時(shí)會對未來幾年做預(yù)估，一般按照每年10%~30%的發(fā)展速度來計(jì)算，綜合區(qū)值為20%，即如果存儲是按照5年的規(guī)劃制定，那么F=（1+20%）5 =計(jì)算樣例：假設(shè)服務(wù)器的tpmC為100萬，為3年內(nèi)的存儲規(guī)劃，則計(jì)算公式如下：存儲IOPS=100萬 / 60 x 50 x [（1+20%）3 ]= 144萬 IOPS 。根據(jù)IPSAN和FCSAN的特點(diǎn)，目前主流的網(wǎng)絡(luò)架構(gòu)IPSAN的帶寬為1000M、FCSAN的帶寬為4000M。8＝400M216。 計(jì)算場景技術(shù)物理服務(wù)器物理服務(wù)器是傳統(tǒng)數(shù)據(jù)中心使用的計(jì)算系統(tǒng)，它能夠很好的將系統(tǒng)軟件的性能表現(xiàn)出來。Xeon174。支持分區(qū)技術(shù)（物理分區(qū)NPAR或動態(tài)邏輯分區(qū)LPAR或動態(tài)域），提供相關(guān)軟件，現(xiàn)有配置最大可支持8個(gè)以上分區(qū)；虛擬化虛擬化適應(yīng)性對于云數(shù)據(jù)中心業(yè)務(wù)的服務(wù)器需求，首先需要判斷該業(yè)務(wù)服務(wù)器是否能夠采用虛擬化方案，不能虛擬化的則需要采用滿足實(shí)際需求的服務(wù)器進(jìn)行配置，其他的則建議統(tǒng)一采用虛擬化方式，根據(jù)采集或預(yù)估的計(jì)算資源需要采用相應(yīng)配置的虛擬機(jī)來滿足該需求。圖33 主數(shù)據(jù)中心物理和虛擬化部署建議示意圖（在線業(yè)務(wù)、開發(fā)測試環(huán)境）災(zāi)備中心的虛擬化部署建議示意圖如圖34所示。非關(guān)鍵性業(yè)務(wù)：對數(shù)據(jù)讀寫能力要求不太高。 FCSAN、華為S5800T amp。其他185。然而隨著信息技術(shù)的發(fā)展，、SOA和云計(jì)算技術(shù)的涌現(xiàn)，IT的信息安全一直沒有良好的保證。保護(hù)信息資源價(jià)值不受侵犯；保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益；保證的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御各種安全威脅而具有保密性、完整性、真實(shí)性、可用性和可控性的能力。云數(shù)據(jù)中心安全域與國家標(biāo)準(zhǔn)中的安全保護(hù)環(huán)境的對應(yīng)關(guān)系，如表41所示。因此，云數(shù)據(jù)中心的信息安全系統(tǒng)建設(shè)，應(yīng)當(dāng)參考國家信息安全等級保護(hù)的相關(guān)標(biāo)準(zhǔn)、規(guī)范來規(guī)劃、設(shè)計(jì)、實(shí)施和運(yùn)維。移動設(shè)備、遠(yuǎn)程設(shè)備連接、瀏覽器以及各種應(yīng)用程序的插件程序、智能終端、云主機(jī)的出現(xiàn)，都為信息安全帶來了新的挑戰(zhàn)，而內(nèi)部攻擊者和系統(tǒng)漏洞仍然為信息安全最大威脅。iii. 計(jì)算能力：通過IOPS、帶寬、容量的整體計(jì)算得出，只有此種磁盤陣列滿足要求，因此選用。 FCSAN、華為S5800T amp。大量虛擬機(jī)部署：隨著計(jì)算虛擬化程度日益提高，大量非核心應(yīng)用系統(tǒng)以及虛擬桌面均被部署到虛擬機(jī)中，虛擬機(jī)密度越來越高，對存儲的容量、性能、擴(kuò)展性要求也越來越高。表37顯示了通常情況下的一些典型應(yīng)用的配置規(guī)格。根據(jù)業(yè)務(wù)應(yīng)用的特點(diǎn)，對應(yīng)用的虛擬化建議如表36所示：表36 虛擬化適應(yīng)性分析應(yīng)用類型應(yīng)用需求CPU需求內(nèi)存需求網(wǎng)絡(luò)帶寬需求存儲空間需求存儲IO需求存儲帶寬需求虛擬化適應(yīng)性通用管理應(yīng)用系統(tǒng)通用類型LLLLLL適合大計(jì)算量應(yīng)用系統(tǒng)計(jì)算密集型HHMLMM適合大訪問量應(yīng)用系統(tǒng)瀏覽密集型HHHMML適合大數(shù)據(jù)量應(yīng)用系統(tǒng)大IO小數(shù)據(jù)量MHMMHM一般不建議小IO大數(shù)據(jù)量MMHHMH適合訪問寫密集型HHHHMH一般不建議訪問讀密集型MHHHMH適合H：高、M：中、L：低。表33 2U機(jī)架服務(wù)器的技術(shù)指標(biāo)類別項(xiàng)目指標(biāo)參數(shù)2U機(jī)架服務(wù)器處理器支持1或2個(gè)In tel174。表31將按照應(yīng)用的類型，同時(shí)針對對應(yīng)的業(yè)務(wù)場景進(jìn)行描述。根據(jù)此特點(diǎn)，我們以oracle數(shù)據(jù)庫為例，通常oracle中默認(rèn)的數(shù)據(jù)塊定義為8KB，針對OLAP通常需要的數(shù)據(jù)塊為64K。無論是IPSAN和FCSAN在傳輸數(shù)據(jù)是都無法100%的利用帶寬，因此次數(shù)據(jù)值為實(shí)際傳輸數(shù)據(jù)時(shí)的真實(shí)比率。216。計(jì)算輸入：服務(wù)器的tpmC，IO經(jīng)驗(yàn)值，未來發(fā)展冗余。本節(jié)介紹的性能參考主要是依照上面的公式，其中CINT和CFP是SpecCPU2006中公示，具體可以參考官網(wǎng)：。T：為峰值交易時(shí)間計(jì)算樣例：假設(shè)需要計(jì)算每秒2000次業(yè)務(wù)訪問量的業(yè)務(wù)系統(tǒng)，那么每分鐘就有120000次業(yè)務(wù)訪問量的業(yè)務(wù)系統(tǒng)，峰值交易時(shí)間為1分鐘，在5年內(nèi)數(shù)據(jù)庫服務(wù)器的TPCC值估算，：TPM=TASK x S x F/(T x C)=(200060）[（1+）5 ]/(1*()) = 6683274TPM既需要一臺TPM值為不小于6683274的服務(wù)器。存儲服務(wù)區(qū)主要分為IPSAN、FCSAN、NAS和虛擬化存儲。數(shù)據(jù)中心主、備站點(diǎn)GSLB功能實(shí)現(xiàn)的網(wǎng)絡(luò)架構(gòu)如圖221所示：主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心各部署1臺全局負(fù)載均衡設(shè)備，每臺設(shè)備與相應(yīng)的2臺出口路由器進(jìn)行冗余連接，提高可靠性；GSLB提供相應(yīng)應(yīng)用系統(tǒng)的服務(wù)IP的智能域名解析。 主備雙中心容災(zāi)網(wǎng)絡(luò)容災(zāi)中心網(wǎng)絡(luò)架構(gòu)容災(zāi)數(shù)據(jù)中心采用與主數(shù)據(jù)中心相類似的網(wǎng)絡(luò)架構(gòu)：核心網(wǎng)絡(luò)采用核心層和接入層的二層扁平化網(wǎng)絡(luò)架構(gòu)；按照網(wǎng)絡(luò)功能劃分為外聯(lián)區(qū)、網(wǎng)絡(luò)服務(wù)區(qū)、業(yè)務(wù)區(qū)等分區(qū)。根據(jù)訪問需求在防火墻上做詳細(xì)的包過濾安全策略，對主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心之間的業(yè)務(wù)互訪進(jìn)行安全控制。（2）兩地三中心模式兩地三中心模式共部署一個(gè)主數(shù)據(jù)中心、一個(gè)同城容災(zāi)中心和一個(gè)異地容災(zāi)中心。容災(zāi)數(shù)據(jù)中心可以部署在同城或異地，但同城部署較為常見。構(gòu)建多數(shù)據(jù)中心，面臨著網(wǎng)絡(luò)架構(gòu)如何搭建、多數(shù)據(jù)中心如何互聯(lián)等問題；另外，還需要考慮實(shí)現(xiàn)多個(gè)數(shù)據(jù)中心間的協(xié)調(diào)工作，引導(dǎo)用戶訪問最優(yōu)的站點(diǎn)，或者當(dāng)某個(gè)站點(diǎn)出現(xiàn)災(zāi)難性故障后，引導(dǎo)用戶通過訪問容災(zāi)站點(diǎn)實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的訪問。PE可以通過Option A的方式與外網(wǎng)MPLSVPN網(wǎng)絡(luò)對接，將VPN業(yè)務(wù)路由通過MPLS網(wǎng)絡(luò)進(jìn)行傳遞。數(shù)據(jù)中心可以通過 VLAN的方式實(shí)現(xiàn)VPN業(yè)務(wù)安全隔離；但VLAN是二層以太網(wǎng)技術(shù)，很難實(shí)現(xiàn)端到端的VPN網(wǎng)絡(luò)。數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)及管理區(qū)的網(wǎng)絡(luò)架構(gòu)示意圖如Error! Reference source not 。第四種是同時(shí)需要防火墻和LB服務(wù)的業(yè)務(wù)系統(tǒng)。當(dāng)客戶端通過接入網(wǎng)絡(luò)訪問該應(yīng)用系統(tǒng)時(shí)，業(yè)務(wù)數(shù)據(jù)流通過VIP服務(wù)地址首先到達(dá)LB，LB會根據(jù)一定的流量策略，比如輪循、比率、最小連接數(shù)等方式將業(yè)務(wù)請求自動提交給相應(yīng)的服務(wù)器進(jìn)行處理，從而實(shí)現(xiàn)負(fù)載均衡和冗余備份的功能。圖212 網(wǎng)絡(luò)服務(wù)區(qū)網(wǎng)絡(luò)架構(gòu)圖網(wǎng)絡(luò)服務(wù)區(qū)共部署了2臺防火墻和2臺LB設(shè)備，為數(shù)據(jù)中心的多個(gè)服務(wù)器業(yè)務(wù)分區(qū)提供安全控制和應(yīng)用負(fù)載均衡服務(wù)。內(nèi)網(wǎng)屬于涉密網(wǎng)，其承載的信息為涉密信息，而外網(wǎng)承載的信息為非涉密信息，內(nèi)網(wǎng)與外網(wǎng)須用單向?qū)胂到y(tǒng)進(jìn)行隔離。對于采用IPSec接入的分支機(jī)構(gòu)，其VPN網(wǎng)關(guān)設(shè)備與數(shù)據(jù)中心的VPN網(wǎng)關(guān)設(shè)備通過安全認(rèn)證，在互聯(lián)網(wǎng)上形成一個(gè)安全的IPSec加密通道，實(shí)現(xiàn)整個(gè)分支機(jī)構(gòu)或合作伙伴的辦公網(wǎng)絡(luò)與數(shù)據(jù)中心之間的業(yè)務(wù)互訪。IPSec/SSL接入設(shè)計(jì)應(yīng)用場景數(shù)據(jù)中心的移動用戶、遠(yuǎn)程辦公用戶等，需要通過互聯(lián)網(wǎng)對數(shù)據(jù)中心進(jìn)行遠(yuǎn)程訪問，以實(shí)現(xiàn)遠(yuǎn)程辦公需要；某些分支機(jī)構(gòu)，由于資金或網(wǎng)絡(luò)條件的限制，無法通過專線或MPLSVPN的方式接入到數(shù)據(jù)中心，需要通過互聯(lián)網(wǎng)的方式接入到數(shù)據(jù)中心。LLB可以根據(jù)鏈路狀況和鏈路負(fù)載情況進(jìn)行鏈路選擇；可以根據(jù)互聯(lián)網(wǎng)用戶的所在的運(yùn)營商的位置靜態(tài)選擇相應(yīng)的出口鏈路，比如中國聯(lián)通的互聯(lián)網(wǎng)用戶，會從與中國聯(lián)通的互聯(lián)鏈路進(jìn)行互訪；也可以根據(jù)用戶的IP地址（本地DNS）進(jìn)行路徑就近性判斷，動態(tài)進(jìn)行鏈路選擇，指引用戶從最快的、最好的、最近的路徑訪問。l IPSec/SSL VPN安全網(wǎng)關(guān)設(shè)備：采用1臺IPSec/SSL V