h3c虚拟桌面技术建议书.docx

h3c虚拟桌面技术建议书copyright 2012 杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。目 录1 虚拟桌面建设需求分析11.1 虚拟桌面建设现状11.2 h3cloud虚拟桌面简介12 整体方案设计12.1 设计原则12.2 建设思路22.3 云计算数据中心方案拓扑32.4 云计算平台的搭建42.4.1 计算资源池设计42.4.2 基础网络平台设计102.4.3 虚拟机交换网络162.4.4 安全设计202.4.5 存储设计242.5 虚拟桌面部署322.5.1 云业务工作流设计332.5.2 虚拟桌面模板发布352.5.3 用户自助申请352.5.4 组织管理员审批362.5.5 虚拟桌面自助交付372.5.6 用户使用虚拟桌面372.6 ha功能设置382.7 动态资源调整设置392.8 虚拟桌面备份403 h3cloud虚拟桌面优势414 设备配置与选型4156虚拟桌面建设需求分析产生背景从it技术诞生之日起，就伴随着一对矛盾，即用户使用的便捷性与it管理的复杂性之间的矛盾。在最初的大型机时代，it资源的使用和管理都位于机房内，用户使用不方便，但it的管理相对简单。随着x86芯片成本的降低和windows操作系统桌面的大规模普及，用户可以更便捷地使用it技术和it资源，但是it管理员却无法对这些分散的和异构化的终端进行集中有效的管理。随着云计算与移动应用浪潮的兴起，用户使用与it管理之间的矛盾更加突出。 虚拟桌面建设现状传统的pc办公环境在实际使用中主要存在以下几个问题：l pc机硬件的多样化，使得难以对企业内部进行统一的集中化管理；l 用户数据分散存储，终端设备丢失会引起数据泄露等重大安全隐患；l 办公环境固定，对于台式机，只能在固定场所解决用户的办公需求，对于便携机，只能在固定设备上解决上解决用户的办公需求；l 设备数量众多，许多环境下一个人可能配备两台以上pc，对整个企业的能耗是一个不小的负担；l 每个用户需要自己维护自己的pc机，进行系统升级等维护工作。随着it技术的发展和推广，使用虚拟桌面构建办公环境的方案正被越来越多的用户所接受。相比于与传统pc办公环境，虚拟桌面办公环境主要有以下几个优势：l 集中化管理，企业可以在数据中心服务器上集中托管所有的办公桌面。it管理员可以在短短几秒时间内部署一个新的桌面，极大地加快了企业业务需求的相应速度。l 严格的安全把控。企业可以将涉及信息安全的应用部署在虚拟桌面内，通过网络策略的灵活配置、各种软硬件安全措施，确保机密信息只停留在虚拟桌面内部，从而实现机密信息的严格管控目的。当使用者不再需要此环境时，还可以实现相应桌面虚拟机的销毁工作，彻底保证信息的安全性。l 标准化的管理。对于桌面复杂性较低、用户只拥有非常有限的应用与功能、或者桌面的个性化设置不是很强的场景，如呼叫中心、电信/金融/医院营业厅、实训教学实验室等，所有的云桌面都集中在中央位置，因而更容易实现对机密数据的访问控制，并可以严格控制办公环境的稳定性和标准化。即使桌面环境被破坏，也可以通过快照或备份文件快速重建。l 办公环境的业务连续性。虚拟桌面集中承载在具有高稳定性的服务器集群内，因此，虚拟桌面可以享受到与服务器一样的可靠性、数据保护能力和灾难恢复功能。同时，可以借助底层虚拟化内核提供的管理功能实施故障的自动快速切换，确保虚拟桌面的运行连续性。l 随时随地访问。虚拟桌面可以很轻松地将用户办公桌面环境中的个性化信息、个人私密数据与用户账号绑定在一起，并且集中保存。用户不管是通过企业内部网络还是internet，都可以借助vdi内置的桌面拼装功能，动态生成云桌面，满足用户随时随地访问自己专属桌面的需求。l 可弹性伸缩的配置。通过对办公桌面的虚拟硬件资源进行动态调整，可以轻松地满足用户在不同应用场景下对桌面性能的要求。例如，通过增加虚拟cpu个数和内存大小，可以满足用户进行资源密集型计算的要求；通过增加虚拟磁盘空间或个数，可以满足用户进行大容量存储的要求。h3c cas vdi虚拟桌面简介h3c cas vdi（virtual desktop infrastructure，虚拟桌面基础架构）虚拟桌面产品是h3c cas云计算管理平台的重要组件之一，是为了解决当前it运维管理与桌面用户使用之间的矛盾而推出的产品。同时，h3c虚拟桌面解决方案也是h3cloud整体云计算解决方案的重要组成部分。h3c cas vdi通过构建一种全新的桌面交付模型，将原有pc桌面工作负载（包括操作系统、应用程序、用户数据等）集中托管在数据中心的集群计算资源上执行，终端用户使用支持rdp（remote desktop protocol，远程桌面协议）的客户端设备（如pc机、笔记本、平板电脑等）随时随地与数据中心内虚拟桌面进行通信。h3c cas vdi虚拟桌面产品的系统架构具有如下特点：1) b/s结构的云桌面设计架构：依托底层虚拟化内核平台和虚拟化管理模块，向上提供b/s架构的云桌面交付。2) 流程化的云桌面交付体系：借助云业务电子流，提供云桌面的自助申请和审批电子流，以自动化的形式完成云桌面的部署与交付。3) 高可靠的云桌面运行环境：利用虚拟化管理系统提供的高可靠性功能和容灾备份功能，为云桌面运行提供可连续性运行环境。整体方案设计设计原则一人一机由于企业内部有着严格的信息安全需求，因此在部署虚拟桌面时，采用“一人一机”的原则，即每个用户的虚拟桌面在后台都有一个独立的虚拟机。这样的部署方式可以有效隔离用户虚拟桌面的数据，使得各个虚拟桌面的后台数据不会相互干扰。同时，“一人一机”的部署方式，也方便对不同用户设置不同的访问权限，可以更方便地满足企业内部用户权限分级管理的需求。桌面高可用虚拟桌面作为承载企业内部人员日常办公应用的重要it基础设施，承担着稳定运行和业务连续性的重任。伴随着数据与应用的集中，云计算平台的建设及运维给信息部门带来了巨大的压力，因此平台的建设从基础资源池（计算、存储、网络）、虚拟化平台、云平台等多个层面充分考虑业务的高可用，基础单元出现故障后业务应用能够迅速进行切换与迁移，用户无感知，保证业务的连续性。统一管理与自动化从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，因此统一管理与自动化将成为必然趋势。建设思路充分利旧，终端兼容考虑到虚拟桌面部署数量大的一般特点，如统一新采购瘦客户机作为终端部署，会大大增加初期建设成本；同时，一般企业内部都已采购足够数量的pc机。因此本次虚拟桌面建设以充分利旧为原则，不需要以指定瘦客户机作为终端。企业可利用内部已有的pc机作为终端，通过远程连接的方式使用虚拟桌面。由于pc机在整个方案中主要作为输出设备的角色存在，不需要承载操作系统或业务系统，因此此方案可以兼容多种配置、多种类型的pc机作为终端设备。组织化精细管理企业内部都会划分不同的部门，进行分层分级管理。将虚拟桌面的部署、管理和企业内部的部门划分结合起来，可是使虚拟桌面的运维工作更符合企业需求，同时也能提高运维效率。虚拟桌面的组织，是由虚拟化资源池构成的基于物理平台的虚拟数据中心。一个组织包括虚拟化后的逻辑计算资源、网络资源、存储资源、虚拟机模板、虚拟桌面、终端用户和组织管理员等。组织可以是企业私有云内部的一个业务部门，也可以是运营商公有云的外部客户。虚拟桌面数据中心方案拓扑对于数据中心的整体规划，主要分为网络资源池、计算资源池、存储资源池、管理中心4个部分，拓扑结构如下图所示： 核心h3c s12500+ h3c secblade fw+ h3c secblade lbinternet新建服务器h3c cvm/cich3c imc接入交换机h3c s5830v2管理中心万兆光纤千兆电口接入交换机h3c s5120iscsi存储阵列h3c flexstorage p4500h3c flexserver r390操作系统业务系统操作系统业务系统操作系统业务系统h3c cvk管理中心存储资源池网络资源池计算资源池利旧服务器其中，虚拟桌面集中部署在计算资源池的服务器中，对于虚拟桌面的详细部署拓扑，如下图所示：网络资源池（根据实际配置撰写）采用业界主流的“核心+接入”扁平化组网，核心交换机采用2台h3c s12508设备，部署irf2虚拟化技术，并在机框内部署负载均衡（lb）和防火墙（fw）插卡，实现业务的流量监控和负载均衡；计算资源池的接入交换机采用2台h3c s5830v2设备，部署irf2虚拟化技术；利旧服务器区采用2台s5120设备，部署irf2虚拟化技术；h3c管理产品通过s5120设备管理各类网络资源以及计算资源池。计算资源池（根据实际配置撰写）采用h3cloud云计算操作系统软件，将多台h3c flexserver r390机架服务器组建ha集群，在虚拟机上部署企业业务应用，并配合ha和动态负载均衡等高级功能，实现业务的连续性，减少计划内宕机时间，提高资源利用率。存储资源池根据实际需求采用多台h3c flexstorage p4500 iscsi存储阵列，统一存放虚拟机镜像文件和业务系统数据，这样做不会在运行虚拟机的云计算计算节点主机上引起任何额外的负载。管理中心采用2台h3c flexserver r390机架服务器，分别部署h3c imc dcm数据中心管理套件和h3cloud软件套件（含cvk、cvm和cic），实现对云计算资源池的统一管理及调度。云计算平台的搭建计算资源池设计服务器是云计算平台的核心，也是虚拟桌面的核心，其承担着虚拟桌面的“主机”功能。对于云计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的服务器资源池。在这个服务器资源池上，再通过安装虚拟化软件，使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器，是一种逻辑概念。对不同处理器架构的服务器以及不同的虚拟化平台软件，其实现的具体方式不同。在x86系列的芯片上，其主要是以常规意义上的vmware虚拟机或者h3cloud虚拟机的形式存在。资源池分类设计在搭建服务器资源池之前，首先应该确定资源池的数量和种类，并对服务器进行归类。归类的标准通常是根据服务器的cpu类型、型号、配置、物理位置来决定。对虚拟桌面平台而言，属于同一个资源池的服务器，通常就会将其视为一组可互相替代的资源。所以，一般都是将相同处理器、相近型号系列并且配置与物理位置接近的服务器比如相近型号、物理距离不远的机架式服务器或者刀片服务器。在做资源池规划的时候，也需要考虑其规模和功用。如果单个资源池的规模越大，可以给虚拟桌面平台提供更大的灵活性和容错性：更多的虚拟桌面可以部署在上面，并且单个物理服务器的宕机对整个资源池的影响会更小些。但是同时，太大的规模也会给出口网络吞吐带来更大的压力，各个不同应用之间的干扰也会更大。如果有条件的话，通常推荐先审视一下企业自身的业务需求。可以考虑将虚拟桌面分级，将某些级别高的虚拟桌面尽可能地放在某些独立而规模较小的资源池内，辅以较高级别的存储设备，并配备高级别的运维值守。而那些级别比较低的虚拟桌面，则可以被放在那些规模较大的公用资源池（群）中。cvm虚拟化管理平台体系将it数据中心的物理服务器资源以树形结构进行组织管理，统一称之为云资源。云资源是h3cloud云计算软件分层管理模型的核心节点之一，用来统一管理数据中心内所有的、复杂的硬件基础设施，不仅包括基本的it基础设施（如硬件服务器系统），还包括其它与之配套的设备（如网络和存储系统）。默认情况下，h3cloud云计算管理平台出厂配置中已经添加了一个名为“云资源”的根节点，准备使用h3cloud云计算软件进行管理的所有物理资源都需要手工逐一添加到该节点下进行统一的管理。云资源中的被管理对象之间的关系可以用下图描述：主机池设计在h3cloud云计算软件体系架构中，主机池是一系列主机和集群的集合体，主机有可能已加入到集群中，也可能没有。没有加入集群的主机全部在主机池中进行管理。在h3cloud云计算管理平台主界面导航菜单窗口中点击“云资源”，在快捷工具栏中选择按钮。或者右键单击“云资源”，在弹出的上下文菜单中选择子菜单。在弹出的增加主机池对话框中，输入主机池名称后，单击按钮完成主机池的添加。集群设计集群是h3cloud云计算软件中的一个新概念，其目的是使用户可以像管理单个实体一样轻松地管理多个主机和虚拟机，从而降低管理的复杂度，同时，通过定时对集群内的主机和虚拟机状态进行监测，如果一台服务器主机出现故障，运行于这台主机上的所有虚拟机都可以在集群中的其它主机上重新启动，保证了数据中心业务以及虚拟桌面业务的连续性。在h3cloud云计算管理平台主界面导航菜单窗口中点击需要增加集群的主机池，在快捷工具栏中选择按钮。或者右键单击需要增加集群的主机池，在弹出的上下文菜单中选择子菜单。在h3cloud云计算管理平台中，向主机池中增加集群操作以向导的方式一步一步完成。主机设计集群创建成功之后，没有任何主机或虚拟机包含于其中，为了基于将主机和虚拟机基于集群进行管理，首先需要将主机添加到集群。在h3cloud云计算管理平台主界面导航菜单窗口中点击需要增加主机的集群，在快捷工具栏中选择按钮。或者右键单击需要增加主机的集群，在弹出的上下文菜单中选择子菜单。在弹出的增加主机对话框中，输入需要被添加到集群的主机的ip地址、通过ssh协议访问主机的用户帐号及密码后，单击按钮完成主机池的添加。虚拟机设计虚拟机与物理服务器类似，它们主要的区别在于虚拟机并不是由电子元器件件组成的，而是由一组文件构成的。在我们的虚拟桌面技术方案中，虚拟机扮演着虚拟桌面“主机”的角色。每台虚拟机都是一个完整的系统，它具有cpu、内存、网络设备、存储设备和 bios，因此操作系统和应用程序在虚拟机中的运行方式与它们在物理服务器上的运行方式没有任何区别。与物理服务器相比，虚拟机具有如下优势：在标准的 x86 物理服务器上运行。可访问物理服务器的所有资源（如 cpu、内存、磁盘、网络设备和外围设备），任何应用程序都可以在虚拟机中运行。默认情况，虚拟机之间完全隔离，从而实现安全的数据处理、网络连接和数据存储。可与其它虚拟机共存于同一台物理服务器，从而达到充分利用硬件资源的目的。虚拟机镜像文件与应用程序都封装于文件之中，通过简单的文件复制便可实现虚拟机的部署、备份以及还原。具有可移动的灵巧特点，可以便捷地将整个虚拟机系统（包括虚拟硬件、操作系统和配置好的应用程序）在不同的物理服务器之间进行迁移，甚至还可以在虚拟机正在运行的情况下进行迁移。可将分布式资源管理与高可用性结合到一起，从而为应用程序提供比静态物理基础架构更高的服务优先级别。可作为即插即用的虚拟工具（包含整套虚拟硬件、操作系统和配置好的应用程序）进行构建和分发，从而实现快速部署。在h3cloud云计算管理平台主界面导航菜单窗口中点击需要增加虚拟机的主机，在快捷工具栏中选择按钮。或者右键单击需要增加虚拟机的主机，在弹出的上下文菜单中选择子菜单。在h3cloud云计算管理平台中，增加虚拟机的操作以向导的方式一步一步完成。基础网络平台设计2.1.2网络设计要点基础网络是虚拟桌面数据的传输通道，将数据的计算和数据存储有机的结合在一起。为保证虚拟桌面业务的高可用、易扩展、易管理，部署虚拟桌面的云计算数据中心网络架构设计关注重点如下：高可用性网络的高可用是业务高可用的基本保证，在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关键网络设备之间的物理链路采用双路冗余连接，按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到99.999%的电信级可靠性。基础网络从核心层到接入层均部署h3c的irf2技术，可以实现数据中心级交换机的虚拟化，不仅网络容量可以平滑扩展，更可以简化网络拓扑结构，大大提高整网的可靠性，使得整网的保护倒换时间从原来的510秒缩短到50ms以内，达到电信级的可靠性要求。作为未来网络的核心，要求核心交换区设备具有高可靠性，优先选用采用交换引擎与路由引擎物理分离设计的设备，从而在硬件的体系结构上达到数据中心级的高可靠性。本次项目核心设备采用h3c s12500数据中心级核心交换机、接入设备采用h3c s5830v2数据中心级接入交换机，设备组件层面充分保证高可靠。如下图所示：大二层网络部署云计算数据中心内服务器虚拟化已是一种趋势，而虚拟机的迁移则是一种必然，目前业内的几种虚拟化软件要做到热迁移时都是均需要二层网络的支撑，随着未来计算资源池的不断扩展，二层网络的范围也将同步扩大，甚至需要跨数据中心部署大二层网络。大规模部暑二层网络则带来一个必然的问题就是二层环路问题，而传统解决二层网络环路问题的stp协议无法满足云计算数据中心所要求的快收敛，同时会带来协议部署及运维管理的复杂度增加。本次方案中通过部署h3c irf2虚拟化技术实现两台或多台同一层物理交换机虚拟成一台逻辑设备，通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部暑stp，同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一个，无需部署传统的vrrp协议。 在管理层面，通irf2多虚一之后，管理的设备数量减少一半以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。如下图所示：网络安全融合云计算虚拟桌面将所有资源进行虚拟化，从物理上存在多个用户访问同一个物理资源的问题，那么如何保证用户访问以及后台物理资源的安全隔离就成为了一个必须考虑的问题。另一方面由于网络变成了一个大的二层网络；以前的各个业务系统分而治之，各个业务系统都是在硬件方面进行了隔离，在每个系统之间做安全的防护可以保证安全的访问。所以在云计算环境下，所有的虚拟桌面和用户的资源在物理上是融合的，这样就需要通过在网关层部署防火墙的设备，同时开启虚拟防火墙的功能，为每个虚拟桌面进行安全的隔离和策略的部署。在传统的数据中心网络安全部署时，往往是网络与安全各自为战，在网络边界或关键节点串接安全设备(如fw、ips、lb等)。随着数据中心部署的安全设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。本次方案中采用了h3c secblade安全插卡可直接插在h3c交换机的业务槽位，通过交换机背板互连实现流量转发，共用交换机电源、风扇等基础部件。融合部署除了简化机房布线、节省机架空间、简化管理之外，还具备以下优点：互连带宽高。secblade系列安全插卡采用背板总线与交换机进行互连，背板总线带宽一般可超过40gbps，相比传统的独立安全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本。业务接口灵活。secblade系列安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有secblade安全插卡时，交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无需担心安全业务接口不够而带来网络安全部署的局限性。性能平滑扩展。当一台交换机上的一块secblade安全插卡的性能不够时，可以再插入一块或多块secblade插卡实现性能的平滑叠加。而且所有secblade插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。基础网络整体设计本次项目基础网络采用“扁平化”设计，核心层直接下联接入层，省去了中间汇聚层。随着网络交换技术的不断发展，交换机的端口接入密度也越来越高，“扁平化”组网的扩展性和密度已经能够很好的满足安庆石化云数据中心服务器接入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下，扁平化二层架构更容易实现vlan的大二层互通，满足虚拟机的部署和迁移。相比传统三层架构，扁平化二层架构可以大大简化网络的运维与管理。基础网络平台组织结构如下图所示：网络的二、三层边界在核心层，安全部署在核心层；核心与接入层之间采用二层进行互联，实现大二层组网，在接入层构建计算和存储资源池，满足资源池内虚拟机可在任意位置的物理服务器上迁移与集群。实际组网拓扑如下图所示：（本部分根据项目实际情况）采用2台s12508构建核心层，分别通过10ge链路与接入层、管理网交换机、出口路由器互连，未来此核心层将逐步演变成整网大核心，两台核心交换机部署irf虚拟化。接入层采用2台s5830v2-24s，每台接入交换机与核心交换机采用10ge链路交叉互连，两台接入交换机部署irf虚拟化，与核心交换机实现跨设备链路捆绑，消除二层环路，并实现链路负载分担。利旧服务器区接入层采用2台s5120-52c-ei，每台接入交换机与核心交换机采用10ge链路交叉互连，两台接入交换机部署irf虚拟化，与核心交换机实现跨设备链路捆绑，消除二层环路，并实现链路负载分担。同时分别连接h3c flexserver r390服务器的ilo接口实现服务器的带外管理，并与imc网管服务器、云平台管理服务器互连。分层分区设计思路：根据业务进行分区，分成计算区、存储区和管理区。计算、存储区域内二层互通，区域间vlan隔离；根据每层工作特点分为核心层和接入层，网关部署在核心层。核心层设计核心层由两台h3c s12508构建，负责整个云计算平台上应用业务数据的高速交换。两台核心交换机s12508分别与两台服务器接入区交换机间呈“三角形”型连接，与现网出口区路由器呈“口”字型连接，一台管理区接入交换机双上行分别与两台核心交换机连接。核心交换机间及与服务器接入交换机、管理区接入交换机、现网核心路由器间均采用万兆接口捆绑互联。核心交换机上部署防火墙插卡和网流分析插卡，实现云计算业务的安全防护与流量分析。两台s12508部署irf2虚拟化技术，简化路由协议运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。irf2互联链路采用2*10ge捆绑，保证高可靠及横向互访高带宽。组网拓扑如下图所示： 设备型号单台设备端口配置备注h3c s12508，2台8端口万兆以太网光接口业务板，1块secblade fw插卡，1块secblade lb插卡，1块接入层设计接入层分为资源池接入和管理区接入两大部分：资源池接入：采用两台s5830v2-24s全万兆交换机构建，负责x86服务器和iscsi存储设备的网络接入，服务器配置双网卡4个万兆接口，其中两个万兆接口捆绑做业务流接口，两个万兆接口捆绑做存储流接口双网卡采用捆绑双活模式；iscsi存储设备的网络接入采用万兆链路，接入交换机上对应的端口工作在万兆模式。利旧服务器接入：采用二台s5120-52c-ei千兆下行、万兆上行交换机，其中千兆下行端口分别与x86服务器自带的千兆网卡口互连，同时与 imc网管服务器、云平台服务器互连，上行接口采用四个10ge链路分别与两台核心交换机互连。两台s5830v2-24s部署irf2虚拟化技术，通过跨设备链路捆绑消除二层环路、简化管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。irf2互联链路采用2*10ge捆绑，保证高可靠及横向互访高带宽。设备型号单台设备端口配置备注h3c s5830v-24s，2台固定24端口万兆sfp+接口连接服务器、存储h3c s5120-52c-ei，2台48 个10/100/1000base-t以太网端口，4 个复用的sfp 千兆端口（combo），配置1块2*10ge扩展卡利旧服务器区交换机，同时连接管理软件虚拟机交换网络服务器虚拟化技术的出现使得用户不再需要单独部署pc机来满足企业内日常的办公需要，而是使用虚拟机来提供，同时为了满足同一物理服务器内虚拟机之间的数据交换需求，服务器内部引入了网络功能部件虚拟交换机vswitch（virtual switch），如下图所示，虚拟交换机提供了虚拟机之间、虚拟机与外部网络之间的通讯能力。ieee的802.1标准中，正式将“虚拟交换机”命名为“virtual ethernet bridge”，简称veb，或称vswitch。虚拟机交换网络架构vswitch的引入，给云计算数据中心的运行带来了以下两大问题：网络界面的模糊主机内分布着大量的网络功能部件vswitch，这些vswitch的运行、部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这形成了专业技能支撑的不足，而网络操作人员一般只能管理物理网络设备、无法操作主机内vswitch，这就使得大量vswicth具备的网络功能并不能发挥作用。此外，对于服务器内部虚拟机之间的数据交换，在vswitch内有限执行，外部网络不可见，不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为vswitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。虚拟机的不可感知性物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知，同时对虚拟机也无法进行实时网络定位，当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。为了解决上述问题， 本次项目h3c的解决思路是将虚拟机的所有流量都引至外部接入交换机，此时因为所有的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决，此方案最典型的代表是evb标准。802.1qbg edge virtual bridging（evb）是由ieee 802.1工作组制定一个新标准，主要用于解决vswtich的上述局限性，其核心思想是：将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理，即使同一台物理服务器虚拟机间的流量，也将发往外部物理交换机进行查表处理，之后再180度调头返回到物理服务器，形成了所谓的“发卡弯”转发模式，如下图所示：evb/vepa基本架构evb标准具有如下的技术特点：借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，不但简化了网卡的设计，而且充分利用了外部交换机专用asic芯片的处理能力、减少了虚拟网络转发对cpu的开销；充分利用外部交换机既有的控制策略特性（acl、qos、端口安全等）实现整网端到端的策略统一部署；充分利用外部交换机的既有特性增强了虚拟机流量监管能力，如各种端口流量统计，netstream、端口镜像等。evb标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。cvm产品是h3c为数据中心云计算基础架构提供最优化的虚拟化管理解决方案，该产品通过将数据中心it资源的整合，不仅能够达到提高服务器利用率和降低整体拥有成本的目的，而且能简化劳动密集型和资源密集型it操作，显著提高系统管理员的工作效率。下面以cvm和h3c imc（智能管理中心）产品为例简单描述使用evb后虚拟机的创建过程。使用evb创建虚拟机的过程如上图所示使用evb标准后，虚拟机创建过程可以大致分为如下五步：网络管理员将可用的网络资源通过h3c imc的图形界面录入imc数据库中；服务器管理员在通过cvm产品创建虚拟机之前，cvm产品会自动通过rest api接口查询imc中可用的网络资源；服务器管理员在cvm产品上创建虚拟机，在指定虚拟机的cpu、内存、硬盘等计算参数的同时，指定步骤二中的某个网络资源；当服务器管理员将创建虚拟机的请求提交之后，cvm产品会首先创建虚拟机，其过程同市场上主流的虚拟化产品，不再赘述；虚拟机创建成功后，cvm会将该虚拟机与其所使用网络资源的绑定关系通知给vswitch；vswitch会通过evb标准中的vdp(vsi discovery and configuration protocol)协议将虚拟机及网络资源的绑定关系通知给接入交换机接入交换机将根据网络资源的编号向imc发送请求，imc收到请求后会将该网络资源对应的网络配置下发到接入交换机上，从而完成了整个虚拟机的创建过程。通过上述过程，虚拟机不但拥有了cpu、内存、硬盘等计算资源，还拥有了相应的网络资源并据此自动接入网络。虚拟机迁移过程基本与上述过程类似，稍有区别的是：如果迁移前后的接入交换机不同，系统会在迁移之前的接入交换机上删除该虚拟机的相关网络配置，从而达到 “网络配置跟随”的目的。通过上述的举例可以看出：evb不仅简化了虚拟化结构，并使得网络参与虚拟化计算，变革了原来交叠不清的管理界面和模式，关联了虚拟机变化(创建、迁移、撤销、属性修改等)和网络感知，这些都是通过确定和简单的技术如multi channel和协议如vdp来实现的。这些技术与协议将会如同arp、dhcp等标准的网络协议一样为云计算数据中心it基础设施所认识和支持，成为虚拟化环境中的标准和基础协议。cvm上对虚拟交换网络的管理实现如下图所示：安全设计本次项目安全设计采用分层保护的思路，从“云计算资源池”向外延伸有三重保护：a) 具有丰富安全特性的交换机构成数据中心网络的第一重保护；b) 具有高性能检测引擎的ips对网络报文做深度检测，构成数据中心网络的第二重保护；c) 凭借高性能硬件防火墙构成的数据中心网络边界，对数据中心网络做第三重保护；用一个形象的比喻来说明数据的三重保护：数据中心就像一个欣欣向荣的国家，来往的商客就像访问数据中心的报文；防火墙是驻守在国境线上的军队，一方面担负着守卫国土防御外族攻击（ddos）的重任，另一方面负责检查来往商客的身份（访问控制）；ips是国家的警察，随时准备捉拿虽然拥有合法身份，但仍在从事违法乱纪活动的商客（蠕虫、病毒），以保卫社会秩序；具有各种安全特性的交换机就像商铺雇佣的保安，提供最基本的安全监管，时刻提防由内部人员造成的破坏（stp 攻击）。三重保护为数据中心网络提供了从链路层到应用层的多层防御体系。交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对ddos和多种畸形报文攻击的防御。ips可以针对应用流量做深度分析与检测能力，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。l2l4层安全l2l4层安全防护由防火墙完成，本次项目防火墙插卡设备虽然部署在交换机框中，但仍然可以看作是一个独立的设备。它通过交换机内部的10ge接口与网络设备相连，它可以部署为2层透明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。 如上图fw三层部署所示，防火墙可以与宿主交换机直接建立三层连接，也可以与上游或下游设备建立三层连接，不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通，也可以通过ospf这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域，可以将防火墙设计为服务器网关设备，这样所有访问服务器的三层流量都将经过防火墙设备，这种部署方式可以提供区域内部服务器之间访问的安全性。安全域划分：核心防火墙插卡上根据不同的业务类型，划分不同的安全域，通过域间策略的安全防护。本次项目初期建议划分虚拟桌面域、虚拟机业务域、存储域、外部域这四个安全域，所示外部流量及跨域的横向互访流量均需要经过防火墙过滤。如下图所示：虚拟桌面域：此域内主要部署虚拟桌面的后台虚拟机，允许内部用户进行访问；虚拟机业务域：此域内主要部署初期迁移到虚拟机上的试点业务应用，只允许相应的用户访问；存储域：此域用户部署iscsi或nas存储设备，仅限云平台虚拟机访问，不允许外部用户访问。外部域：与现网及企业外网用户互联，非信任区域。安全控制策略：u 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；u 建议在两台防火墙上设定严格的访问控制规则，配置只有规则允许的ip地址或者用户能够访问数据业务网中的指定的资源，严格限制网络用户对数据业务网服务器的资源，以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播，保护数据业务网的核心数据信息资产；u 配置防火墙防dos/ddos功能，对land、smurf、fraggle、ping of death、tear drop、syn flood、icmp flood、udp flood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽；u 配置防火墙全面攻击防范能力，包括arp欺骗攻击的防范，提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大icmp报文攻击防范、地址/端口扫描的防范、icmp重定向或不可达报文控制功能、tracert报文控制功能、带路由记录选项ip报文控制功能等，全面防范各种网络层的攻击行为。l4l7层安全防火墙工作在l2l4层上，无法“看”到l4层以上的安全威胁，而传统的ids（入侵检测系统）作为一个旁路设备，对这些威胁又“看而不阻”，因此我们需要ips（入侵防御系统）来解决下面这些l4l7层的安全问题：u 恶意网页u 蠕虫病毒u 后门木马u 间谍软件u dos/ddosu 垃圾邮件u 网络钓鱼u 系统漏洞u 网页篡改u 本次方案在核心交换机上没有部署h3c secblade ips安全插卡，以后如果业务需要可以部署该插卡。存储设计目前主流的存储架构包括das、 nas、 san，下面针对3种主流应用系统做架构分析。直连方式存储（direct attached storage - das）。顾名思义，在这种方式中，存储设备是通过电缆（通常是scsi接口电缆）直接到服务器。i/o请求直接发送到存储设备。存储区域网络（storage area network - san）。存储设备组成单独的网络，大多利用光纤连接，服务器和存储设备间可以任意连接。i/o请求也是直接发送到存储设备。如果san是基于tcp/ip的网络，则通过iscsi技术，实现ip-san网络。网络连接存储（network attached storage - nas）。nas设备通常是集成了处理器和磁盘/磁盘柜，连接到tcp/ip网络上（可以通过lan或wan），通过文件存取协议（例如nfs，cifs等）存取数据。nas将文件存取请求转换为内部i/o请求。上述几种存储方式的优劣势分析：das费用低；适合于单独的服务器连接主机的扩展性受到限制，主机和存储的连接距离受到限制，只能实现网络备份，对业务网络的压力较大san高性能，高扩展性；光纤连接距离远；可连接多个磁盘阵列或磁带库组成存储池，易于管理；通过备份软件，可以做到server-free和lan-free备份，减轻服务器和网络负担。成本较高nas安装过程简单；易于管理；利用现有的网络实现文件共享；高扩展性。不支持数据库应用通过以上对比可以看出san具有如下优点：关键任务数据库应用，其中可预计的响应时间、可用性和可扩展性是基本要素；san具有出色的可扩展性；san克服了传统上与scsi相连的线缆限制，极大地拓展了服务器和存储之间的距离，从而增加了更多连接的可能性；改进的扩展性还简化了服务器的部署和升级，保护了原有硬件设备的投资。集中的存储备份，其中性能、数据一致性和可靠性可以确保关键数据的安全；高可用性和故障切换环境可以确保更低的成本、更高的应用水平；可扩展的存储虚拟化，可使存储与直接主机连接相分离，并确保动态存储分区；改进的灾难容错特性，在主机服务器及其连接设备之间提供光纤通道高性能和扩展的距离。考虑到ip san的扩展性比fc san更加出色。我们可以在ip san中使用scsi、fc、sata、sas等多种磁盘阵列来扩展ip san的容量，我们推荐使用ip-san存储架构。为了达到系统的故障快速切换，本方案中配置后端共享存储，以实现动态ha和迁移，我们配置一台ip-san存储，这样可以将云计算平台中每个虚拟机的文件系统创建在共享的san集中存储阵列上。h3cloud虚拟机文件系统是一种优化后的高性能集群文件系统，允许多个云计算计算节点同时访问同一虚拟机存储。0 由于虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件，通过将这些文件放在san存储阵列上的文件系统中，可以让不同服务器上的虚拟机都可以访问到该文件，从而消除了单点故障。系统支持一台故障后，快速切换到另一台的功能，切换时间大概在0-10分钟以内。存储是指虚拟机文件（含数据文件和配置文件）保存的地方。按照存储的位置可以划分为两类：本地磁盘存储和通过网络存储在远端服务器上。本地存储包括：本地目录文件、lvm逻辑存储卷、scsi/fc存储；网络存储则包含：iscsi网络存储、nfs网络文件系统、共享文件系统和windows系统共享目录。这里我们选择比较典型的三种应用配置来说明： 本地目录文件、iscsi存储和共享文件系统。本地存储设计服务器本地存储用于安装虚拟化平台（如cvk和cvm）和保存资源池的元数据。本地存储建议配置两块sas硬盘，设置为raid-1，通过镜像（mirror）方式放置本地磁盘出现单点故障，以提高h3cloud本身的可用性。h3cloud云计算管理平台初始安装后，会默认创建一个本地的默认存储： defaultpool，位于/vms/images目录下。先选择“主机”，在右面页签中选择“存储”，选择“增加”按钮，可以手工增加本地文件目录类型的存储池；配置挂接的目录：iscsi远端共享存储设计远端共享存储用于保存所有虚拟机的镜像文件以支持动态迁移、ha和动态负载均衡等高级功能。共享存储lun容量规划公式如下：lun容量 = （z （x + y） 1.2）z = 每lun上驻留的虚拟机个数x = 虚拟磁盘文件容量y = 内存大小假设每个lun上驻留10个虚拟机，虚拟磁盘文件容量需求平均为40gb，内存容量在48gb之间，考虑到未来业务的扩展性，内存交换文件按8gb空间估算，整体冗余20%，那么：lun容量 = （10 （8 + 40） 1.2） 600gbiscsi存储是将虚拟机存储在iscsi存储设备上。一般是先修改物理主机上的iscsi配置，使其能够访问iscsi存储。iscsi存储是作为一个块设备使用的，即iscsi上配置了对应的target后，则在vmanager上使用该存储池时，是全部占用的，类似于裸设备的使用。选择“iscsi网络存储”类型：若物理主机还没有设置initiator节点的名称，则需要先设置initiator节点。配置initiator节点名称：注意：initiator名称需要和iscsi上配置的名称一致如initiator节点名称.debian:01:192168000004，需要配置和iscsi存储上一致。iscsi存储上target对应的initiators配置：设置物理机上和iscsi服务器联通使用的网络地址：配置iscsi存储地址后，选择对应的target：选择target最为存储池：选择结束后，点击“完成”即可。共享文件系统对于iscsi或者fc提供裸设备作为存储池，一个最大的缺点是一个虚拟机占用了所有存储空间。针对这种情况，cvm在iscsi和fc的基础上提供了共享文件系统，即基于iscsi和fc的裸设备，采用共享文件系统格式化，从而能够让iscsi的同一个target能够同时容纳多个虚拟机同时使用，从而大大提高了设备的利用效率。共享文件系统是多个主机之间可以共享使用，所有其配置是在主机的属性上配置的。主机池的属性页签，配置共享文件系统。增加一个共享文件系统：基于iscsi，对应的iscsi配置请参考iscsi存储部分配置。物理主机上增加存储池：在物理主机上直接引用已经配置好的“共享文件系统”类型的存储池即可。虚拟桌面部署桌面虚拟化解决方案在不改变用户使用习惯的前提下，将传统企业用户桌面系统以虚拟桌面的形式提供给终端用户。这些虚拟桌面运行于云计算数据中心的虚拟计算资源池中，共享数据中心内的计算、网络、存储资源，从而有效的实现了企业内it资源的弹性部署。依托云计算管理平台和云业务工作流程，系统可以自动化部署用户自助申请的虚拟桌面资源，部署完成后用户即可使用。从而极大的提升了企业桌面应