中国电信天翼混合云服务平台-技术详解

1、China Telecom e-Surfing Hybrid Cloud Service (Powered by China Telecom and VMware)中国电信天翼混合云服务平台 技术详解Agenda天翼混合云技术框架如何连接到天翼混合云环境天翼云的信息安全保障虚拟数据中心服务混合云容灾服务如何实现应用向混合云的迁移总结Q&A2中国电信天翼混合云服务客户内部的数据中心Any Application No Changes混合云软件定义的数据中心VMware vSphere & vCloud Suite无需改动应用平滑过渡网络、安全策略使用共同的管理工具统一的技术支撑团队混合云目标：为

2、私有云提供安全、平滑的拓展渠道以充分享用公有云的弹性计算能力3容灾中心虚拟数据中心虚拟桌面中心容灾代理VM客户环境天翼云解决方案架构图4vSphereComputeStorageNetworkvCenter虚拟桌面服务API统一管理平台管理API核心应用容灾代理VMVPN/专线虚拟数据中心服务容灾服务共享物理服务器 (Shared)中国电信天翼混合云服务设计理念: 参考vCloud Air整体设计架构及本地企业客户的需求独享数据中心共享私有数据中心BBAABC5小包32 GHz vCPU, 180 GB RAM, 1.5 TB HD, HA中包96 GHz vCPU, 540 GB RAM,

3、3TB HD, HA大包160 GHz vCPU, 900 GB RAM, 4.5 TB HD, HA增量包32 GHz vCPU, 180 GB RAM, 1.5 TB HD企业独享物理服务器 (Dedicated)小包5GHz vCPU, 20GB RAM, 500GB HD HA中包15GHz vCPU, 60GB RAM, 1.5TB HD HA大包25GHz vCPU, 100GB RAM, 2.5TB HD HA增量包5GHz vCPU, 20GB RAM, 500GB HD天翼混合云的服务模式 虚拟数据中心 (VDC)注意: 虚拟数据中心服务按照年度（12个月）作为收费单位；增量

4、包的使用必须基于客户已经购买的大、中、小包服务，且不能超过基础服务的服务时限；Compute,start at180GB vRAM32GHz vCPUVMs recommended: 20Infrastructure HAStorage, start at:1.5 TBNetwork, start at1 Org networkFirewallS-NAT/D-NATVPNLoad balancersPhysically isolated虚拟数据中心服务规格独享模式 独享数据中心 Virtual Dedicated Cloud Compute,start at540 GB vRAM96 GHz

5、vCPUVMs recommended: 60Infrastructure HAStorage, start at:3.0 TBNetwork, start at1 Org networkFirewallS-NAT/D-NATVPNLoad balancersCompute,start at900 GB vRAM160GHz vCPUVMs recommended: 100Infrastructure HAStorage, start at:4.5 TBNetwork, start at2 Org networkFirewallS-NAT/D-NATVPNLoad balancersSmall

6、MediumLarge6虚拟数据中心服务规格共享模式Compute,start at20GB vRAM5GHz vCPUVMs recommended: 3Infrastructure HAStorage, start at:500 GBNetwork, start at1 Org network,DHCPFirewallS-NAT/D-NATVPNLoad balancersLogically isolatedFully private networking2 Web server with:2 GB vRAM1 vCPU/2GHz30 GB storage10.1.1.0/24 1 App

7、 VMs with:4 GB vRAM2 vCPU/4 GHz 30 GB storage10.1.2./0/24 1 DB VMs with:8 GB vRAM4vCPU/8 GHz300 GB storage10.1.3.0/24 1 VM with:20 GB vRAM5 GHz vCPUGB storage10.1.1.0/24Or10 VM with:2 GB vRAM1 vCPU/2GHz50MB storage10.1.1.0/24OrSmall共享私有数据中心 Virtual Private Cloud 7天翼混合云的服务模式 容灾服务(即将提供)8VMware vSphere

8、VMwarevCenter Server容灾代理客户环境Servers天翼混合云容灾中心北京容灾中心贵州容灾中心(后续建设)vSphere 为混合云容灾提供最好的基础继承天翼云数据中心的优点；与客户侧硬件无关；保护应用更容易将应用封装成为文件，包括应用、OS和数据等；自服务容灾切换；在原有维护界面中统一管理在vSphere Web Client中安装插件；可以通过接口集成；简单安全的异步传输备份与恢复15分钟-24小时的RPO；支持容灾演练；天翼混合云的服务模式 桌面服务(即将提供)9ComputeVirtualizationComputeVirtualizationComputeVirtua

9、lizationComputeVirtualizationComputeVirtualizationComputeVirtualizationComputeVirtualizationComputeVirtualizationComputeVirtualizationStorageCustomersUsersDesktonePlatformAgenda天翼混合云技术框架如何连接到天翼混合云环境天翼云的信息安全保障虚拟数据中心服务容灾中心服务如何实现应用向混合云的迁移总结Q&A10总的来说接入混合云的方法是使用专线或VPN使用专线接入需要客户数据中心与混合云数据中心间有专线网络（CN2等）。使用

10、VPN接入使用硬件VPN设备需要客户侧采购或利旧硬件VPN设备，该设备需要支持IPsec VPN以及Layer2 VPN功能；使用软件VPN设备需要客户侧具备VMware vCNS产品或NSX产品环境；如果客户租用的混合云环境无需与私有云连通（公有云模式）则不需要任何连接条件；11专线接入连接架构图12(192.168.50.0/24)(192.168.50.0/24)Default Gateway = 192.168.50.1050.3650.3750.3450.35(192.168.50.0/24)SDH/MSTP/CN2EDGE GATEWAYVPN接入连接架构图vSphere (On-

11、Premise)Sharepoint-Routed Network (10.0.10.0/24)Edge GatewayLEP 69.194.137.230Peer ID 10.0.1.150Peer IP 68.108.102.4710.0.1.15010.0.10.1External Router10.0.1.168.108.102.47192.168.109.1vCloud Hybrid Service69.194.137.230软/硬件 VPN设备LEP 10.0.1.150Peer ID 69.194.137.230Peer IP 69.194.137.230VPN TrafficV

12、irtual Machine 1Virtual Machine 2Sharepoint-Default Routed Network (192.168.109/24)IP Protocol ID 50 (ESP)IP Protocol ID 51 (AH)UDP Port 500 (IKE)UDP Port 450013使用延伸的网络部署保证VM的IP不变(192.168.50.0/24)184.61.71.15574.204.180.41VPN TrafficINTERNETEDGE GATEWAYEDGE GATEWAYCorpFirewall(192.168.50.0/24)Defaul

13、t Gateway = 192.168.50.1050.3650.3750.3450.3550.33100.33(192.168.50.0/24)50.10100.1014此外一些常见网络问题的说明NAT服务客户侧原有NAT服务管理客户侧环境，混合云侧的NAT由VMware软件进行管理；防火墙客户侧原有防火墙负责客户侧访问控制策略，混合云侧的虚拟机访问策略由VMware提供的软件防火墙进行配置，防火墙策略的统一需要手工配置；负载均衡客户侧与混合云侧分别管理各自的负载均衡服务，混合云侧的负载均衡功能由VMware的软件功能实现；DHCP服务客户侧与混合云侧分别管理各自环境中的DHCP服务；15A

14、genda天翼混合云技术框架如何连接到天翼混合云环境天翼云的信息安全保障虚拟数据中心服务容灾中心服务如何实现应用向混合云的迁移总结Q&A16天翼混合云完整的安全方案满足数据中心外延要求（默认提供）17客户数据中心Primary Data CentervCloud Hybrid Service独享数据中心1WANVPN/专线安全策略1APP-VM-1DB-VM-1DB-VM-2独享数据中心2共享数据中心1、电信级五星级机房环境；122、电信级安全防护设备（DDOS）；33、VPN或专线安全连接；4、第三方安全软件、安全策略随应用漂移无需更改；6、数据可以保留本地，保障数据安全；安全策略2APP-

15、VM-2465、支持独享的数据中心物理硬件与其他租户隔离；5防火墙18INTERNET核心生产网络EDGE GATEWAYDMZ区开发&测试网络审计网络防火墙策略: 默认: Deny all；为所有通过这个网关的流量制定策略；支持的防火墙策略类型：Protocol;源/目标IP;源/目标Port;支持跨越多重网络的防火墙策略；适合企业级应用网络环境的部署；防火墙策略可在混合云维护界面中配置19数据隔离租户间不共享模板20Dedicated Cloud用户的LUN是独享的；租户用户权限管理（建议）21角色权限不能做适于租户管理员（租户根用户）创建/编辑角色、用户、通知策略等系统管理工作租户基础架

16、构、网络配置Account management虚拟基础架构管理员创建/编辑虚拟数据中心资源管理用户、网络VI admin网络管理员创建网络及服务管理用户、虚拟基础架构Network admin部署操作员部署项目及虚拟的申请除此之外Supervisor项目或虚机用户提交新建、修改项目|虚机申请，并使用项目和虚机除此之外End user业务联系人上myVmware提交资源购买申请、以及支持请求无混合云权限有权限购买资源的用户我们支持客户自带的第三方安全解决方案Endpoint安全方案杀毒、终端IDS&IPS等功能可以使用与客户环境中相同的有代理方式（Agent）实现；网络IDS、IPS方案推荐客

17、户使用国内厂商类似天融信等可以用虚拟机实现功能的解决方案；22Agenda天翼混合云技术框架如何连接到天翼混合云环境天翼云的信息安全保障虚拟数据中心服务容灾中心服务如何实现应用向混合云的迁移总结Q&A23已集成L4 L7网络服务：FirewallNATIPSec VPNLoad BalancersVXLAN gatewaysVDC虚拟数据中心Virtual Data Center技术框架24客户环境vSphereComputeStorageNetworkvCenter统一管理平台管理APIvSphereVDC 1VDC 2VXLAN监控代理VM一周之内上线！虚拟数据中心服务内容Snap sho

18、tFirewallsVPNsRedundancy + HALoad BalancersOrg NetworkData ProtectionNATSupportOrg Management(Dept./Catalog)Application and Approval Public Ips、BandwidthHybrid MonitorHot-add25支持建立混合云内的子网四种基本模式26快照和热添加服务免费提供所有虚拟机建立快照；每个虚拟机只保留一次快照；在已经有快照的虚拟机上再次打快照时将覆盖原有快照；不建议客户长时间使用快照而不删除，对性能影响较大；免费提供所有虚拟机的配置热添加功能；增加

19、虚拟机的CPU和内存配置资源时可以实现热添加；如果需要减少虚拟机的配置资源时必须关机修改；27备份服务28VMware vSphereData deduplicatedVDP默认中不提供备份服务;客户如果选择备份服务，需要承担备份所消耗的存储租赁费用以及备份服务费用；计算资源的可靠性利用vSphere HA自动恢复客户的应用系统；用服务器集群化的方法最小化停机时间；29VMware ESXiVMware ESXiVMware ESXiResource PoolFailed ServerOperating ServerOperating Server计算资源的高可用功能是天翼混合云平台的一部分无

20、需客户应用修改任何使用用户本地的vCops方案监控混合云用户本地数据中心混合云数据中心Internet or VPN/专线DBvCops企业IT 设计 (部门和组织，网络和安全，流程等）建设/升级VMware Operation + Hyperic 方案监控本地的Vmware软件定义的数据中心 (可选) 监控本地硬件，包括认证的X86服务器*、Unix服务器*和存储*迁移部分负载到混合云服务检查/安装操作系统代理重新连接云中的被管理对象AgentWebAppAgentAgentWebAppAgentAgentAgentAgentX86UnixStorageHyperic30归档自动归档手工回收

21、归档后规定期限删除我的云项目和虚机全生命周期管理新建项目信息虚机配置信息CPU、MEM、盘块网络延期延期日期原因调整和日常操作开关机快照虚机配置调整添加虚机部署可以拒绝异步提交批量处理31申请单机制扩大最终使用用户范围最终用户（如项目经理）按需求提交项目和虚机申请系统操作员按申请进行部署，跟踪部署过程角色分离，支持更广可用性提高系统操作员效率申请单支持异步提交，无需在线等待部署结果支持批量提交，大大节约操作时间申请单流程各节点自动通知可以在流程各节点配置通知对象和通知信息，以支持移动操作支持添加审批流程为将来客户审批流程嵌入提供接口32Support由VMware PSO主导的专业化运维团队；

22、7*24小时的监控和响应；多云节点的统一视图和统一管理；项目|虚机全生命周期管理，包括新建、部署、调整、延期、回收归档；申请单机制支持异步提交，批量执行；流程节点支持配置通知相关对象和信息提供完整日志记录；33Agenda天翼混合云技术框架如何连接到天翼混合云环境天翼云的信息安全保障虚拟数据中心服务容灾中心服务如何实现应用向混合云的迁移总结Q&A34容灾方案（DR2C）技术框架35客户数据中心DR-AppliancevSphereDR-VDCVPC天翼混合云服务Storage(VMDK2)(VMDK1)vSphereStorage(VMDK2)(VMDK1)vSphereWANDR-Appli

23、anceVM Replication服务内容：在混合云环境中提供“温备”的容灾服务；自服务的保护计划、容灾演练、容灾切换、容灾回滚服务；15分钟至24小时的恢复时间点（RPO）；利用data seed技术减少容灾初始化的时间；容灾传输中采用加密技术；在原有维护工具中增加插件即可管理混合云容灾在原有维护工具中增加插件即可管理混合云容灾36无缝集成自服务的容灾演练和容灾切换ConfigurePauseTestFailoverStop37利用data seed技术减少容灾初始化的时间首先克隆被容灾的虚拟机；将克隆的虚拟机文件发送给混合云平台；将克隆的虚拟机文件进行导入；在配置虚拟机容灾初始化时无需同

24、步全部数据而是同步变化的数据，减少初始化时间；删除克隆文件；在所有需要应用容灾的虚拟机上使用data seed技术大大缩短容灾初始化时间；38容灾中的数据保护39ESXiVR Appliance(vCloud Tunneling)Public Internet or Direct Connect PLCvCloud Air(Cloud Proxy)Host Based Replication(HBR)WebSocket (SSL) EncryptionESXi在容灾服务中采用了全链路加密传输技术；采用代理技术，双方资源和数据均受到保护；Agenda天翼混合云技术框架如何连接到天翼混合云环境天翼

25、云的信息安全保障虚拟数据中心服务容灾中心服务如何实现应用向混合云的迁移总结Q&A40使用混合云服务时可能出现的场景41PhysicalVirtualizedCloud ComputingHybrid Cloud常规模式：天翼混合云目标市场：PhysicalVirtualizedCloud ComputingHybrid Cloud天翼混合云服务内容需要具备的条件42序号应用场景只有物理硬件具备ESXi & vCenter具备vCNS或NSX具备vCOPs1虚拟数据中心租赁2L4 L7网络服务3快照、备份、热添加、HA4业务网连通5IP保持不变6统一监控7混合云容灾8集成管理容灾服务=可实现=需

26、条件=不具备租户上线流程总览43评估咨询系统设计TLM管理系统部署TP使用关注：角色输入输出工具咨询评估总览44评估咨询系统设计TLM管理系统部署TP使用 租户评估咨询是租户上线之前的重要环节，通过租户评估环境，需要针对租户的各项需求进行广泛调研，了解租户的上线之前对于计算资源、网络、存储等相关要求进行评估，同时针对兼容性等问题进行收集和查询，最大限度确保业务系统在云环境上的正常运行。需求调研现状分析兼容性确认资源评估评估报告设计建议评估咨询表格45系统设计总览46评估咨询系统设计TLM管理系统部署TP使用 系统设计部分会紧密结合租户的具体需求以及在评估咨询阶段的结果，将上述内容转换成为可以实

27、施部署的系统设计，其中会包括租户混合云环境中详细的计算、网络及存储资源的划分情况、网络总体架构设计、不同网络之间的防火墙规则、NAT、VPN、负载均衡器等的详细配置。评估报告租户技术讨论优化建议系统详细设计报告部署方案系统设计表格47TLM管理总览48评估咨询系统设计TLM管理系统部署TP使用 天翼云平台运营商管理（TLM）门户为运营商管理租户门户云平台提供一整套流程。全面涵盖了租户管理、产品，增值服务及订单管理以及租户虚拟数据中心管理等。在此环节中主要负责租户上线时的订单录入、租户创建和其他相关的基础配置。订单信息租户信息资源管理服务管理信息录入部署前的基础环境TLM管理页面49系统部署总览

28、50评估咨询系统设计TLM管理系统部署TP使用 在完成租户基本信息录入之后，接下来将根据系统设计阶段的输出文档，在混合云环境中为租户准备所需的资源和配置。在系统部署阶段开始进行部署工作，包括创建租户对应的OvDC，、配置防火墙、VPN等。系统详细设计报告部署方案TLM录入信息完成租户资源部署具备交付条件系统部署页面51TP使用总览52评估咨询系统设计TLM管理系统部署TP使用 TP指的是租户门户，它是主要为混合云租户提供日常登陆使用服务的门户，在租户购买的云资源部署完成之后，租户登陆之后可以进行虚拟机创建与使用、资源监控、项目管理、申请流程管理、用户创建与权限管理等诸多功能。部署完成验证与测试

29、租户信息交付租户使用TP使用页面53Agenda天翼混合云技术框架如何连接到天翼混合云环境天翼云的信息安全保障虚拟数据中心服务容灾中心服务如何实现应用向混合云的迁移总结Q&A54天翼混合云优势总结55物理隔离；网络隔离；数据隔离；继承vSphere的可靠表现；安全可靠对购买的资源做到可视、可控，统一管理；集成于原有的运维工具；可视可控可灵活配置、组合网络资源、计算资源等；虚拟机在企业环境与混合云之间可进、可出；灵活性强配置简单，上线速度快；对应用系统的完整灾备无需更改应用；在原有vSphere Web Client中进行管理、演练；云中灾备总结56强强联合，定义中国混合云标准虚拟数据中心灵活配

30、置网络；资源随意调配；混合云灾备配置简单，上线速度快；无需更改应用；平滑迁移混合云环境做到可进可出；可视可控与原有维护工具高度集成；支持审批流程；安全可靠完整的安全保障方案；vSphere的高可靠性得到客户验证；Agenda天翼混合云技术框架如何连接到天翼混合云环境天翼云的信息安全保障虚拟数据中心服务容灾中心服务如何实现应用向混合云的迁移总结Q&A57Frequently Asked QuestionsQ: 客户侧VMware软件的版本要求？A:58vSpherevCNSNSXvCOPs5.1或以上5.1或以上无要求5.8高级版或以上何种场景需要使用延伸的网络部署应用程序依赖IP地址；应用程序

31、扩展性上存在缺陷；IP地址写在了程序中；没有使用DNS；客户侧的固有防火墙规则是基于IP的规则；基于IP的ACL等59使用延伸的网络部署时必须考虑的问题所有延伸网络下的VM的非本地网络流量必定会经过VPNAD服务延伸网络中的AD必须使用企业原有的；DNS/AD服务都需要通过VPN访问企业内部的服务；不能把一个网络拆分开来；60Frequently Asked QuestionsQ1: vCOPs统一监控时混合云中VM是否需要license？A1: 需要61Frequently Asked QuestionsQ1: Can I use?A1: Direct vCenter Integration

32、 = No“In Guest”, vCD Tenant API = Yes62Frequently Asked QuestionsQ1: What network bits are required?A1: Internet connection to service. Any IPSEC endpoint to connect cloud to enterprise.63租户门户 (TP)64满足客户业务和组织多样性需求私有云与公有云灵活组合66自服务与管控合理结合67什么样的客户应用适合于天翼混合云？68 68用户数据中心天翼混合云服务数据中心VPN/专线APP-1DB-1用户可以根据自身

33、应用特点，灵活选择使用天翼混合云的方式，这其中包括：APP-1类应用，应用服务器和数据库服务器可以同时迁移至混合云资源池中；APP-2类应用，由于数据库需要足够的弹性和扩展性，可以单独将数据库迁移至混合云环境；APP-3类应用，由于数据库暂时不具备迁移条件，可以单独将应用服务器等迁移至混合云环境；APP-2和APP-3类应用通过VPN或专线来保证数据中心间的安全通讯，而APP-1类应用对数据中心间的带宽需求很低；用户还可以根据自身环境的变化，将应用服务器和数据库服务器在两个数据中心之间灵活调整；APP-2DB-2DB-3APP-3虚拟数据中心服务让客户能够灵活搭建更复杂的环境69INTERNET业务网络DMZ网络开发测试部门网络审计网络EDGE GATEWAY计算资源的灵活配置:可以任意配置虚拟机的CPU和内存大小；可以对