【正文】 管理能力。 采用成熟的業(yè)務(wù)遷移工具保障計算平臺兼容性和平滑遷移216。216。以下是針對不同類型應(yīng)用系統(tǒng)的計算平臺方案：l 物理主機和虛擬機的不同節(jié)點配置全面覆蓋客戶的不同業(yè)務(wù)需求；l 對內(nèi)存容量、IO、擴展性的要求都不高，且有節(jié)約空間和能源的應(yīng)用，我們推薦采用虛擬化計算資源來滿足；l 對于高性能計算，大容量存儲，大容量內(nèi)存和高IO的需求，虛擬化不能滿足應(yīng)用需求，則采用4路X86服務(wù)器或UNIX服務(wù)器等高性能物理主機滿足；l 針對普通的應(yīng)用系統(tǒng)，如WEB，對內(nèi)存容量、IO、擴展性的要求都不高，建議采用虛擬主機，且能節(jié)約計算資源、機架空間、能源；l 存儲設(shè)備和計算服務(wù)器之間采用多路徑技術(shù)保證可靠性；l 采用面向網(wǎng)絡(luò)的存儲體系結(jié)構(gòu)，使數(shù)據(jù)處理和數(shù)據(jù)存儲分離；網(wǎng)絡(luò)存儲體系將I/O能力擴展到網(wǎng)絡(luò)上，特別是靈活的網(wǎng)絡(luò)尋址能力，遠距離數(shù)據(jù)傳輸能力，I/O高效性能；采用存儲網(wǎng)絡(luò)，消除了不同存儲設(shè)備和服務(wù)器之間的連接障礙；提高了數(shù)據(jù)的共享性、可用性和可擴展性、管理性。使用典型規(guī)格產(chǎn)品設(shè)計，包括硬件、軟件和應(yīng)用規(guī)格化來提供簡單可靠、易于部署和管理、便于擴展和升級的IT基礎(chǔ)架構(gòu)，為用戶提供更好的投資保護，滿足云數(shù)據(jù)中心新建、升級擴容，以及數(shù)據(jù)中心統(tǒng)一管控的需求，可實現(xiàn)被集成的場景。服務(wù)器的總計架構(gòu)分為三層，即表現(xiàn)層、應(yīng)用層和數(shù)據(jù)層，三層架構(gòu)的部署可以是采用物理機部署或者虛擬化部署，其中虛擬化部署方式主要考慮華為云操作系統(tǒng)GalaX8800；為保護用戶已有投資，華為云數(shù)據(jù)中心解決方案支持業(yè)界第三方虛擬化平臺，如VMware。l IT運維與管理? IT服務(wù)管理實現(xiàn)基于ITIL的流程的定義和管理，同時提供流程的定義模版，實現(xiàn)特定流程的定制；? 集中的、統(tǒng)一的、綜合的監(jiān)控管理支持云數(shù)據(jù)中心所覆蓋的IT資源的集中監(jiān)控；? 云平臺管理采用華為的云管理平臺，實現(xiàn)資源的自動部署，同時結(jié)合IT服務(wù)管理完成相關(guān)的變更、配置管理。 業(yè)務(wù)遷移需求將現(xiàn)有業(yè)務(wù)遷移到云平臺中實現(xiàn)服務(wù)器整合，提高云數(shù)據(jù)中心資源利用率。為了解決上述存在的問題，數(shù)據(jù)中心核心網(wǎng)絡(luò)建議采用核心層和接入層的的二層扁平化網(wǎng)絡(luò)架構(gòu)，二層扁平化的網(wǎng)絡(luò)架構(gòu)可以實現(xiàn)：l 簡化網(wǎng)絡(luò)管理，降低投資成本，降低維護管理成本；l 簡化網(wǎng)絡(luò)拓撲，降低網(wǎng)絡(luò)復(fù)雜度，提高網(wǎng)絡(luò)的性能，支撐高性能的服務(wù)器流量；l 提高網(wǎng)絡(luò)利用率，支撐云計算技術(shù)的資源池動態(tài)調(diào)度；l 提高網(wǎng)絡(luò)可靠性。數(shù)據(jù)中心的網(wǎng)絡(luò)功能分區(qū)架構(gòu)如圖22所示。國內(nèi)一般會選擇中國電信和中國聯(lián)通兩個運營商。接入層設(shè)備可以根據(jù)業(yè)務(wù)需求，選擇機架式、刀片內(nèi)置式等不同的接入交換機類型和不同規(guī)格的配置。由于虛擬化的需求，極大的增進了服務(wù)器與存儲的數(shù)據(jù)交換，對于IP SAN存儲網(wǎng)絡(luò)，至少要保證接入交換機采用10G的鏈路接入。l 防火墻：在網(wǎng)絡(luò)層面，通過防火墻設(shè)備NAT技術(shù)隱藏內(nèi)網(wǎng)拓撲，是Internet接入?yún)^(qū)的第一道網(wǎng)絡(luò)安全屏障。當數(shù)據(jù)中心的互聯(lián)網(wǎng)出口與2個不同的運營商互聯(lián)時，可以部署鏈路負載均衡設(shè)備LLB，實現(xiàn)數(shù)據(jù)中心2個互聯(lián)網(wǎng)出口鏈路的智能選擇，可以提高出口鏈路的利用率，實現(xiàn)出口鏈路的負載均衡和冗余備份。建議采用靜態(tài)負載和動態(tài)負載相結(jié)合的方式：當用戶是來自國內(nèi)的用戶，根據(jù)用戶的IP地址所屬的運營商，采用靜態(tài)的算法給用戶端一條最快的鏈路；對于來自國外的用戶，將采用動態(tài)算法，根據(jù)路徑的傳輸時間等指標，計算出來一個最佳路徑并提供給用戶。IPSec/SSL VPN的用戶接入示意圖如圖29所示。l 防火墻設(shè)備：對于分支機構(gòu)、災(zāi)備中心與數(shù)據(jù)中心之間的業(yè)務(wù)互訪進行安全控制；2臺防火墻設(shè)備采用雙機熱備的方式進行部署，工作在路由模式，并與出口路由器運行靜態(tài)路由協(xié)議；通過虛擬防火墻技術(shù)，可以實現(xiàn)VPN網(wǎng)絡(luò)的隔離功能。網(wǎng)絡(luò)服務(wù)區(qū)主要提供2種網(wǎng)絡(luò)服務(wù)：一種是網(wǎng)絡(luò)安全服務(wù)，通過部署防火墻設(shè)備實現(xiàn)；另外一種是應(yīng)用負載均衡服務(wù)，為業(yè)務(wù)系統(tǒng)增強擴展性、可靠性和業(yè)務(wù)處理能力，該服務(wù)通過部署應(yīng)用負載均衡設(shè)備LB實現(xiàn)。LB可以保障內(nèi)部資源的容錯性，內(nèi)部任何一個應(yīng)用節(jié)點出現(xiàn)問題都不會對用戶造成任何的影響；LB可以增強業(yè)務(wù)擴展性，業(yè)務(wù)擴展時只需要增加相應(yīng)的內(nèi)部服務(wù)器即可。業(yè)務(wù)流通過接入層交換機，VLAN透傳到核心交換機，并通過互聯(lián)電路VLAN透傳到防火墻設(shè)備（采用虛擬防火墻），進行三層終結(jié)；然后通過另一條互聯(lián)電路路由到核心交換機，并通過路由的方式到達外聯(lián)區(qū)的防火墻設(shè)備。運行管理區(qū)：主要職責(zé)是對數(shù)據(jù)中心的軟/硬件系統(tǒng)進行統(tǒng)一運維和運營管理，提供安全管理的功能，并部署云計算管理平臺。數(shù)據(jù)中心網(wǎng)絡(luò)分平面設(shè)計示意圖如圖215所示。方案說明數(shù)據(jù)中心的MCE方式組網(wǎng)示意圖如圖216所示：首先是接入交換機通過VLAN的方式對VPN業(yè)務(wù)進行隔離，并將VLAN透傳到核心交換機上；核心交換機啟用MCE功能，建立一個與該VPN相對應(yīng)的VRF（路由轉(zhuǎn)發(fā)表），并將與該VPN相對應(yīng)的VLAN接口進行關(guān)聯(lián)，這樣該VPN形成一個單獨的相互隔離的路由轉(zhuǎn)發(fā)表，該VRF可以運行OSPF等動態(tài)路由協(xié)議。另外，數(shù)據(jù)中心滿足不同地點的用戶在訪問業(yè)務(wù)應(yīng)用時，可以實現(xiàn)相同的快速服務(wù)感受，也是非常重要的。 而異地容災(zāi)數(shù)據(jù)中心與主數(shù)據(jù)中心的距離較遠(一般在100km以上)，一般采用異步鏡像；異地災(zāi)難備份不僅可以防范火災(zāi)、建筑物破壞等可能遇到的風(fēng)險隱患，還能夠防范戰(zhàn)爭、地震、水災(zāi)等風(fēng)險。根據(jù)訪問需求在防火墻上做詳細的包過濾安全策略，對主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心之間的業(yè)務(wù)互訪進行安全控制。建議在數(shù)據(jù)中心的網(wǎng)絡(luò)邊界分別部署2臺防火墻和2臺路由器，采用直連光纖、數(shù)據(jù)專線或者MPLSVPN網(wǎng)絡(luò)等方式進行互聯(lián)。防火墻采用雙機熱備的方式，并工作在透明模式。全局負載均衡GSLB能夠幫助用戶通過將相同服務(wù)內(nèi)容布署在處于不同物理地點的多個數(shù)據(jù)中心中得到更高的可用性、性能、以及更加經(jīng)濟和無懈可擊的安全性，以便在全球范圍內(nèi)的客戶獲得更快的響應(yīng)時間；并實現(xiàn)數(shù)據(jù)中心之間的負載均衡和冗余備份。計算平臺層中分為計算服務(wù)區(qū)和存儲服務(wù)區(qū)，其中計算服務(wù)區(qū)為三層架構(gòu)。實際應(yīng)用經(jīng)驗表明，一臺主機服務(wù)器的CPU利用率不應(yīng)高于75%，根據(jù)業(yè)務(wù)需求一般設(shè)定C=50%，=。其中同構(gòu)指的是華為平臺的服務(wù)器，異構(gòu)是其他品牌的服務(wù)器。存儲性能維度存儲產(chǎn)品的選擇通常是根據(jù)存儲性能指標，即IOPS值。F:未來發(fā)展的冗余，隨著業(yè)務(wù)量和用戶數(shù)據(jù)的增長，會對已采購存儲產(chǎn)生性能影響，因此在配置存儲時會對未來幾年做預(yù)估，一般按照每年10%~30%的發(fā)展速度來計算，綜合區(qū)值為20%，即如果存儲是按照5年的規(guī)劃制定，那么F=（1+20%）5 =計算樣例：假設(shè)服務(wù)器的tpmC為100萬，為3年內(nèi)的存儲規(guī)劃，則計算公式如下：存儲IOPS=100萬 / 60 x 50 x [（1+20%）3 ]= 144萬 IOPS 。根據(jù)IPSAN和FCSAN的特點，目前主流的網(wǎng)絡(luò)架構(gòu)IPSAN的帶寬為1000M、FCSAN的帶寬為4000M。8＝400M216。 計算場景技術(shù)物理服務(wù)器物理服務(wù)器是傳統(tǒng)數(shù)據(jù)中心使用的計算系統(tǒng)，它能夠很好的將系統(tǒng)軟件的性能表現(xiàn)出來。Xeon174。支持分區(qū)技術(shù)（物理分區(qū)NPAR或動態(tài)邏輯分區(qū)LPAR或動態(tài)域），提供相關(guān)軟件，現(xiàn)有配置最大可支持8個以上分區(qū)；虛擬化虛擬化適應(yīng)性對于云數(shù)據(jù)中心業(yè)務(wù)的服務(wù)器需求，首先需要判斷該業(yè)務(wù)服務(wù)器是否能夠采用虛擬化方案，不能虛擬化的則需要采用滿足實際需求的服務(wù)器進行配置，其他的則建議統(tǒng)一采用虛擬化方式，根據(jù)采集或預(yù)估的計算資源需要采用相應(yīng)配置的虛擬機來滿足該需求。圖33 主數(shù)據(jù)中心物理和虛擬化部署建議示意圖（在線業(yè)務(wù)、開發(fā)測試環(huán)境）災(zāi)備中心的虛擬化部署建議示意圖如圖34所示。非關(guān)鍵性業(yè)務(wù)：對數(shù)據(jù)讀寫能力要求不太高。 FCSAN、華為S5800T amp。其他185。然而隨著信息技術(shù)的發(fā)展，、SOA和云計算技術(shù)的涌現(xiàn)，IT的信息安全一直沒有良好的保證。保護信息資源價值不受侵犯；保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險和獲取最大的安全利益；保證的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御各種安全威脅而具有保密性、完整性、真實性、可用性和可控性的能力。云數(shù)據(jù)中心安全域與國家標準中的安全保護環(huán)境的對應(yīng)關(guān)系，如表41所示。因此，云數(shù)據(jù)中心的信息安全系統(tǒng)建設(shè)，應(yīng)當參考國家信息安全等級保護的相關(guān)標準、規(guī)范來規(guī)劃、設(shè)計、實施和運維。移動設(shè)備、遠程設(shè)備連接、瀏覽器以及各種應(yīng)用程序的插件程序、智能終端、云主機的出現(xiàn)，都為信息安全帶來了新的挑戰(zhàn)，而內(nèi)部攻擊者和系統(tǒng)漏洞仍然為信息安全最大威脅。iii. 計算能力：通過IOPS、帶寬、容量的整體計算得出，只有此種磁盤陣列滿足要求，因此選用。 FCSAN、華為S5800T amp。大量虛擬機部署：隨著計算虛擬化程度日益提高，大量非核心應(yīng)用系統(tǒng)以及虛擬桌面均被部署到虛擬機中，虛擬機密度越來越高，對存儲的容量、性能、擴展性要求也越來越高。表37顯示了通常情況下的一些典型應(yīng)用的配置規(guī)格。根據(jù)業(yè)務(wù)應(yīng)用的特點，對應(yīng)用的虛擬化建議如表36所示：表36 虛擬化適應(yīng)性分析應(yīng)用類型應(yīng)用需求CPU需求內(nèi)存需求網(wǎng)絡(luò)帶寬需求存儲空間需求存儲IO需求存儲帶寬需求虛擬化適應(yīng)性通用管理應(yīng)用系統(tǒng)通用類型LLLLLL適合大計算量應(yīng)用系統(tǒng)計算密集型HHMLMM適合大訪問量應(yīng)用系統(tǒng)瀏覽密集型HHHMML適合大數(shù)據(jù)量應(yīng)用系統(tǒng)大IO小數(shù)據(jù)量MHMMHM一般不建議小IO大數(shù)據(jù)量MMHHMH適合訪問寫密集型HHHHMH一般不建議訪問讀密集型MHHHMH適合H：高、M：中、L：低。表33 2U機架服務(wù)器的技術(shù)指標類別項目指標參數(shù)2U機架服務(wù)器處理器支持1或2個In tel174。表31將按照應(yīng)用的類型，同時針對對應(yīng)的業(yè)務(wù)場景進行描述。根據(jù)此特點，我們以oracle數(shù)據(jù)庫為例，通常oracle中默認的數(shù)據(jù)塊定義為8KB，針對OLAP通常需要的數(shù)據(jù)塊為64K。無論是IPSAN和FCSAN在傳輸數(shù)據(jù)是都無法100%的利用帶寬，因此次數(shù)據(jù)值為實際傳輸數(shù)據(jù)時的真實比率。216。計算輸入：服務(wù)器的tpmC，IO經(jīng)驗值，未來發(fā)展冗余。本節(jié)介紹的性能參考主要是依照上面的公式，其中CINT和CFP是SpecCPU2006中公示，具體可以參考官網(wǎng)：。T：為峰值交易時間計算樣例：假設(shè)需要計算每秒2000次業(yè)務(wù)訪問量的業(yè)務(wù)系統(tǒng)，那么每分鐘就有120000次業(yè)務(wù)訪問量的業(yè)務(wù)系統(tǒng)，峰值交易時間為1分鐘，在5年內(nèi)數(shù)據(jù)庫服務(wù)器的TPCC值估算，：TPM=TASK x S x F/(T x C)=(200060）[（1+）5 ]/(1*()) = 6683274TPM既需要一臺TPM值為不小于6683274的服務(wù)器。存儲服務(wù)區(qū)主要分為IPSAN、FCSAN、NAS和虛擬化存儲。數(shù)據(jù)中心主、備站點GSLB功能實現(xiàn)的網(wǎng)絡(luò)架構(gòu)如圖221所示：主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心各部署1臺全局負載均衡設(shè)備，每臺設(shè)備與相應(yīng)的2臺出口路由器進行冗余連接，提高可靠性；GSLB提供相應(yīng)應(yīng)用系統(tǒng)的服務(wù)IP的智能域名解析。 主備雙中心容災(zāi)網(wǎng)絡(luò)容災(zāi)中心網(wǎng)絡(luò)架構(gòu)容災(zāi)數(shù)據(jù)中心采用與主數(shù)據(jù)中心相類似的網(wǎng)絡(luò)架構(gòu)：核心網(wǎng)絡(luò)采用核心層和接入層的二層扁平化網(wǎng)絡(luò)架構(gòu)；按照網(wǎng)絡(luò)功能劃分為外聯(lián)區(qū)、網(wǎng)絡(luò)服務(wù)區(qū)、業(yè)務(wù)區(qū)等分區(qū)。根據(jù)訪問需求在防火墻上做詳細的包過濾安全策略，對主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心之間的業(yè)務(wù)互訪進行安全控制。（2）兩地三中心模式兩地三中心模式共部署一個主數(shù)據(jù)中心、一個同城容災(zāi)中心和一個異地容災(zāi)中心。容災(zāi)數(shù)據(jù)中心可以部署在同城或異地，但同城部署較為常見。構(gòu)建多數(shù)據(jù)中心，面臨著網(wǎng)絡(luò)架構(gòu)如何搭建、多數(shù)據(jù)中心如何互聯(lián)等問題；另外，還需要考慮實現(xiàn)多個數(shù)據(jù)中心間的協(xié)調(diào)工作，引導(dǎo)用戶訪問最優(yōu)的站點，或者當某個站點出現(xiàn)災(zāi)難性故障后，引導(dǎo)用戶通過訪問容災(zāi)站點實現(xiàn)關(guān)鍵業(yè)務(wù)的訪問。PE可以通過Option A的方式與外網(wǎng)MPLSVPN網(wǎng)絡(luò)對接，將VPN業(yè)務(wù)路由通過MPLS網(wǎng)絡(luò)進行傳遞。數(shù)據(jù)中心可以通過 VLAN的方式實現(xiàn)VPN業(yè)務(wù)安全隔離；但VLAN是二層以太網(wǎng)技術(shù)，很難實現(xiàn)端到端的VPN網(wǎng)絡(luò)。數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)及管理區(qū)的網(wǎng)絡(luò)架構(gòu)示意圖如Error! Reference source not 。第四種是同時需要防火墻和LB服務(wù)的業(yè)務(wù)系統(tǒng)。當客戶端通過接入網(wǎng)絡(luò)訪問該應(yīng)用系統(tǒng)時，業(yè)務(wù)數(shù)據(jù)流通過VIP服務(wù)地址首先到達LB，LB會根據(jù)一定的流量策略，比如輪循、比率、最小連接數(shù)等方式將業(yè)務(wù)請求自動提交給相應(yīng)的服務(wù)器進行處理，從而實現(xiàn)負載均衡和冗余備份的功能。圖212 網(wǎng)絡(luò)服務(wù)區(qū)網(wǎng)絡(luò)架構(gòu)圖網(wǎng)絡(luò)服務(wù)區(qū)共部署了2臺防火墻和2臺LB設(shè)備，為數(shù)據(jù)中心的多個服務(wù)器業(yè)務(wù)分區(qū)提供安全控制和應(yīng)用負載均衡服務(wù)。內(nèi)網(wǎng)屬于涉密網(wǎng)，其承載的信息為涉密信息，而外網(wǎng)承載的信息為非涉密信息，內(nèi)網(wǎng)與外網(wǎng)須用單向?qū)胂到y(tǒng)進行隔離。對于采用IPSec接入的分支機構(gòu)，其VPN網(wǎng)關(guān)設(shè)備與數(shù)據(jù)中心的VPN網(wǎng)關(guān)設(shè)備通過安全認證，在互聯(lián)網(wǎng)上形成一個安全的IPSec加密通道，實現(xiàn)整個分支機構(gòu)或合作伙伴的辦公網(wǎng)絡(luò)與數(shù)據(jù)中心之間的業(yè)務(wù)互訪。IPSec/SSL接入設(shè)計應(yīng)用場景數(shù)據(jù)中心的移動用戶、遠程辦公用戶等，需要通過互聯(lián)網(wǎng)對數(shù)據(jù)中心進行遠程訪問，以實現(xiàn)遠程辦公需要；某些分支機構(gòu)，由于資金或網(wǎng)絡(luò)條件的限制，無法通過專線或MPLSVPN的方式接入到數(shù)據(jù)中心，需要通過互聯(lián)網(wǎng)的方式接入到數(shù)據(jù)中心。LLB可以根據(jù)鏈路狀況和鏈路負載情況進行鏈路選擇；可以根據(jù)互聯(lián)網(wǎng)用戶的所在的運營商的位置靜態(tài)選擇相應(yīng)的出口鏈路，比如中國聯(lián)通的互聯(lián)網(wǎng)用戶，會從與中國聯(lián)通的互聯(lián)鏈路進行互訪；也可以根據(jù)用戶的IP地址（本地DNS）進行路徑就近性判斷，動態(tài)進行鏈路選擇，指引用戶從最快的、最好的、最近的路徑訪問。l IPSec/SSL VPN安全網(wǎng)關(guān)設(shè)備：采用1臺IPSec/SSL V