深信服XXX数据中心项目aCloud企业级云技术建议书

1、XXX数据中心项目深信服aCloud企业级云技术建议书深信服科技有限公司2017年8月18日 DOCPROPERTY Product&Project NameSD-DC2 Solution DOCPROPERTY DocumentName 集成设计指导书 STYLEREF Contents 目 录 深信服企业云集成设计方案 STYLEREF Contents 目 录深信服科技版权所有 PAGE v目 录 TOC h z t 标题 1,1,标题 2,2,标题 3,3, 标题 4,4, 标题 5,5, 标题 7,1, 标题 8,2, 标题 9,3, Heading1 No Number,1,App

2、endix heading 1,1,Appendix heading 2,2,Appendix heading 3,3,Appendix heading 4,4,Appendix heading 5,5, Heading 1,1,Heading 2,2,Heading 3,3, Heading 4,4, Heading 5,5, Heading 7,1,Heading 8,2,Heading 9,3 HYPERLINK l _Toc493178676 STYLEREF 1 项目需求分析深信服科技版权所有 STYLEREF 1 整体方案规划深信服科技版权所有PAGE 32项目需求分析背景概述XX

3、X近年在信息化建设方案取得了较大发展，多个业务系统已经在现有基础设施平稳运行多年，但当前信息技术的发展可谓一日千里，云计算、超融合、分布式集群等新的技术、架构、体系都给业务业务系统带来巨大的发展空间。如何更好的把这些新技术引入各个业务系统，是XXX云平台建设过程中所面临的挑战和机遇。在此过程中，我们认为XXX数据中心面临以下挑战：数据中心基础设施需要自然更替数据中心基础设施部分已经运行了10年以上，部分设备已经老化而进入了故障多发期，例如 BOSS平台的部分服务器、存储设备已经运行810年。即使当前已经稳定运行的3-5年的设备，大多数设备原厂商已经对销售3年以上的产品停止生产。因此一旦这些设备

4、出现故障则面临着无法维修或者无法更换合适的配件，设备停用的风险较大。基础资源需进行整合核心应用业务已经在中间件、数据库等层次进行了融合，并将部分应用部署于小型机中。其他大量的业务应用系统运行在独立的x86物理平台上，没有进行虚拟化整合，导致服务器、存储等资源利用不充分，存在忙闲不均的情况，并且普遍资源利用率较低。基础资源严重不足XXX希望建设统一的互联网平台，面向业务规划和多变的用户需求，业务系统上线要求愈发紧急迫切，但受以前的基础设施规划约束，目前数据中心可使用设备资源不足，已使用设备利用率不高，新的业务系统上线将面临无资源使用局面，无法满足不断更新的业务需求。服务能力提升乏力根据信息化发展

5、的需要，数据中心的运维理念正在由面向技术的被动运维模式向面向服务的主动运维模式转变，力求在软硬件资源上提供“定制服务”，保证新应用快速上线运行和良好运行。同时围绕具体互联网应用，提供信息资源服务、软件开发、信息安全服务等服务功能。很显然，目前数据中心架构在环境支撑和功能设计上都严贡制约了数据中心服务能力的提升。近年来随着应用系统的逐步深化和推广应用，现有数据中心无论是规模还是架构很难支持现有业务的增长和后续新业务应用系统的部署实施。随着设备逐步进入老旧期，数据中心相关业务的服务器、存储、网络等设备需要新旧更替，因此新的数据中心服务模式的建设是迫在眉睫的任务。 建设目标本项目着眼XXX信息化的长

6、远发展，以向全公司提供灵活定制的资源服务、弹性的计算能力、完全可信的安全保障服务为基本要求，引进成熟先进的技术，调整优化数据中心建设整体框架。力争在“十三五”期间逐步建立以云计算为核心的信息化整体架构，实现从以业务应用为核心的被动建设方式向以服务为核心的主动建设方式的转型。本次项目主要在打好云计算的基础，故项目的建设目标为：基础设施面向资源池化转型通过构建云计算资源池、存储资源池、网络资源池、安全资源池等方式，将原有的烟囡式系统建设模式打破，通过资源池统一对外提供资源，实现基础设施建设的技术转型。 通过云计算统一提供计算能力基于超融合技术实现以虚拟化为核心的软件定义数据中心的技术架构，使用云计

7、算技术对资源池进行统一的调度管理，实现高效融合的信息化架构，对全公司业务系统建设提供弹性、敏捷、可靠的云计算服务。 构建整体运维保障监控能力。实现对云平台内基础设施进行监管，改变对自有设备现状不清、监管不严的运维现状，全面提升在云计算环境下对大型信息化数据中心的运维保障能力。 提供云计算环境的安全保障。通过对选择安全、可靠、具备核心技术自研能力的云计算平台实现在云计算层的安全。通过构建和规划数据中心灾备模式以提供数据层的安全保障。 建设任务构建符合业务需求的云计算超融合资源池。云计算超融合资源池由网络、服务器等基础硬件设备构建，通过对已有设备的有效整合和新增设备的采购，结合虚拟化技术实现对计算

8、资源、网络资源、存储资源、安全资源的定义，构建符合业务发展需求的资源池，使满足业务发展不断增长的基础设施需求。搭建功能全面的云计算平台云计算平台是项目的核心平台，通过云计算平台的构建 在计算资源服务层面，实现资源池化能力、虚拟资源管控能力、按需弹性计算能力、流程化业务管理能力、异构虚拟化能力； 在安全管控方面，实现全面的安全保障能力、全面的运维监控能力，在平台性能方面，衙提供企 业级高可用能力，确保平台的运行稳定。为云计算环境提供运维保障平台本项目要强化相应云计算平台的运行维护管理体系建设。 云计算平台的各功能组件要成熟、稳定、产 品化、易维护，方便运维人员进行资源管理、日常巡检和故障检测。实

9、现对服务交付和运行悄况进行监管，发生故障时能够根据云计算平台的智能提示及时诊断并进行正确处置，保证云计算中心软硬件系统的正常运行。提供数据中心的数据备份和异地数据中心间的数据同步能力，规划多数据中心灾备能力。需求分析业务需求分析云计算资源池需求分析由于数据中心未来主要承担互联网业务，新产品和服务的快速投产对基础设施的灵活响应、快速的部署响应及支持能力都有新的和更高的要求，并需要降低对现有应用带来冲击。与此同时业务快速发展带来的大量数据和用户，要求具有高扩展性基础设施架构架构，灵活支持不同类型的数据，同时需要平衡功能和成本，以求能够在成本有效的前提下，满足突发业务的传输与用户访问的需求云计算资源

10、池包括计算资源池、存储资源池、网络资源池三个部分，需能够满足XXX集团对计算资源、存储资源、网络资源的需求。同时，考虑到数据中心管理扁平化，未来数据中心扩容、运维的便捷性，以及有效利用服务器资源，云计算资源池建设应充分考虑超融合技术和高性能设备的选择，以及对现有设备进行整合。 为实现资源的弹性伸缩和按需分配，有效降低单位资源成本，需要新购一批高性能大容量的服务器用于超融合基础架构构建，同时利旧一部分高性能的服务器、存储等设备，共同组建资源池。 云计算中心机房所需计算资源、存储资源、网络资源包括：1、计算资源：为支撑所有具备条件的应用系统的云化迁移和升级、新系统的建设、大数据平台的接入，需新增和

11、利旧一批x86架构服务器和其他高性能服务器，进行虚拟化，构建计算资源池。 2、存储资源：为支撑所有具备条件的应用系统的云化迁移 和升级、新系统的建设、虚拟机运行所需的存储以及广电各类数据的存储，需将资源池内部署了虚拟化系统的x86标准服务器。在提供虚拟计算资源的同时，服务器上的空闲磁盘空间被组织起来形成一个统一的虚拟共享存储：虚拟存储系统。虚拟化存储在功能上与独立共享存储完全一致；同时由于存储与计算完全融合在一个硬件平台上，无需象以往那样购买连接计算服务器和存储设备的专用SAN网络设备 3、网络资源：为满足计算资源池、存储资源池及云计算中心的建设需要，需综合考虑网络资源池的规模、性能和容量。若

12、当前已有的网络设备不能满足云计算的需求，则需对网络进行扩容。同时，服务器虚拟化技术的出现使得计算服务提供不再以主机为基础，而是以云主机为单位来提供，同时为了满足同一物理服务器内云主机之间的数据交换需求，因此需要在在虚拟机和物理网络之间，提供一整套完整的逻辑网络设备、连接和服务，包括分布式虚拟交换机、虚拟路由器、虚拟下一代防火墙、虚拟应用交付、等虚拟网络、安全设备，并且需要和物理网络的无缝对接，简化网络的配置管理。云计算管理平台需求分析 需要通过云计算实现对底厚物理资源（计算、存储、网络）的虚拟融合、按需分配与局效管理，支持与现有设备和虚拟化软件的集成。需要能够将IT物理资源，抽象成按需提供的弹

13、性虚拟资源池包括虚拟机、存储、网络、网络安全，以消费单元（即组织或虚拟数据中心）的形式对外提供服务，IT部门能够通过完全自动化的自助服务访问，为用户提供这些消费单元以及其它包括虚拟机和操作系统镜像等在内的基础架构和应用服务模板。真正实现了业务的敏捷性和高效性，提高业务的快速创新能力。需要提供简单易用的自动化运维手段，通过管理平台提供故障定位分析手段，能够快速分析出问题节点，并能够指出具体的原因和修复的指导。通过平台提供的一键健康检测，能够快速分析出平台潜在的业务风险，包括各种和资源性能或者容量风险，平台管理管理和租户管理员，可以根据系统建议，可以选择手动或者自动的方式，实现业务的故障排除和资源

14、优化。容灾备份需求分析 目前广电已经建设了两个机房，桐城南路机房和金寨南路机房，因此本期项目建设在规划建设桐城南路机房的同时，需要考虑如何基于这两个机房统一规划数据中心的灾备建设。提供统一的灾备管理平台，实现两个机房的灾备管理。本次项目建设需要金寨南路机房提供部分存储空间用以桐城南路机房的ERP系统数据备份。性能需求分析 1、计算性能需求本次项目重点建设桐城南路机房，对数据中心已有设备摸底调查，考虑计算虚拟化的利旧原则，原则上计算资源池原则上需要提供每核2.2GHZ（物理CPU）以上的计算能力，并可支持实际使用需求将物理CPU进行虚拟化，梳理出可以利旧的设备列表如下：设备型号配置描述系统描述网

15、卡及电源数量IBM X3650 M4Intel(R) Xeon(R) CPU E5-2650 v2 2.60GHz 8Core 16G 8*1TB SAS 盘Windows server2008 R26 口千兆网卡, 双冗余电源5DELL PowerEdgeR720Intel(R) Xeon(R) CPU E5-2670 v2 2.50GHz 2*10Core 16G 5*500GB SAS 盘CentOS 6.54 口千兆网卡, 双冗余电源11DELL PowerEdgeR720Intel(R) Xeon(R) CPU E5-2609 v3 1.90GHz 2*6Core 16G 4*1TB

16、 SAS 盘CentOS 6.54 口千兆网卡, 单电源3Dell PowerEdgeR720XDIntel(R) Xeon(R) CPU E5-2650 v2 2.60GHz 8Core 64G,2*256G SSD 盘,12*480G SSD 盘CentOS 6.54 口千兆网卡、2 光口, 双冗余电源3Dell PowerEdgeR720XDIntel(R) Xeon(R) CPU E5-2650 v2 2.60GHz 8Core 64GCentOS 6.54 口千兆网卡、2 光口, 双冗余电源1DELL PowerEdgeR630Intel(R) Xeon(R) CPU E5-2697

17、 v3 2.60GHz 2*14Core 128G, 2*480GB SSD 盘CentOS 7.16 口千兆网卡, 双冗余电源3Dell PowerEdgeR720Intel(R) Xeon(R) CPU E5-2670 v2 2.50GHz 2*10Core 16G,3*300GB SAS 盘ubuntu 14.044 口千兆网卡, 双冗余电源1同时，考虑互联网 推流、时移回看推流、时移回看编转码等三个系统要求性能、IO 较高、使用专用设备，建议保留物理机部署方式，这3个业务占用设备情况如下：业务名称设备类型设备数量互联网 推流Dell PowerEdge R720XD1Dell Powe

18、rEdge R720XD1时移回看推流Dell PowerEdge R720XD2时移回看编转码DELL PowerEdge R6303根据对未来业务增长情况的预估，本次项目建设计算资源在原有设备利旧资源基础上，新增计算资源池配置性能250GHz CPU 主频、 600G 内存。 2、存储性能需求目前数据中心可利旧存储情况：设备型号设备描述容量（T）数量HP P2000 离线存储磁盘阵列 除系统冗余后,可用剩余为 60T 1HUAWEI S5600T核心存储磁盘阵列除系统冗余后,可用剩余为 74T 1OceanStor9000分布式文件系统 除系统冗余后,可用剩余为 78T 1根据对未来业务增

19、长情况的预估，本次项目建设计算资源在原有设备利旧资源基础上，新增存储资源可用容量300T。整体方案规划整体架构设计设计原则根据XXX数据中心发展的现状，结合成熟可落地的新兴IT技术，本次力生信息科技云数据中心的总体建设原则如下： 1、稳定性应采取各种必要技术措施，保证信息化云服务平台具备有优秀的稳定性，在保证性能的前提下，为主要业务提供持续的支撑服务。2、安全性平台系统应能充分考虑用户数据的安全，避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作行为的可回溯能力。3、可扩展性平台应具备良好的扩展能力，满足数据中心长期发展的要求。根据业务的发展预测，

20、平台系统定期按照适度预留的原则进行建设，能在规定时间内快速响应新的用户，新的业务的新增要求。4、灵活的 IT 基础架构满足资源的随时随地按需分配，需要建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成。5、自动化资源部署云计算运行管理平台的核心功能是自动为用户提供服务器、存储以及相关的系统软件和应用软件。用户、管理员和其他人员能通过 Web 界面使用该功能。自动化的部署流程不仅能做到“随需应变”，适应用户的需求，而且能够带来以下好处：引入技术和创新的时间缩短，设计、采购和构建硬件和软件平台的人力成本降低，以及通过提高现有资源的利用率和复用率节省

21、成本。6、端服务请求管理云计算运行管理平台提供一个统一的管理平台来实现端到端的流程管理，协调各个部门的合作，提高管理效率。同时该管理平台负责全部的人工交互界面，权限控制和用户管理等功能。7、完善的资源监控及故障处理手段云计算服务管理平台提供资源和服务的各种运维能力，可以监控资源的使用情况，对于平台故障提供及时地预警报警，保证云计算平台的稳定运行。8、有助于建立 IT 管理规则为了实现数据中心的规范管理，需要以云计算运行管理平台为基础，有助于为数据中心制定一套完整的管理规则。9、开放性要求各类系统设计、产品及网络构建都要满足相关的国际标准和国家标准，提供标准结构及接口。总体技术架构伴随着数据与业

22、务的集中，传统数据中心的硬件架构已经无法满足业务的快速上线和灵活的业务部署。本次云数据中心建设项目推荐使用深信服企业级云方案，即通过“云管平台 + 超融合架构”方案， 基于分布式云数据中心架构，通过软件定义的方式实现全新的IT基础架构，通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合。基于VDC实现多组织/多业务共享资源，按需服务，通过云管平台实现多个数据中心资源的统一管理，同时提供完整的安全和灾备方案。逻辑架构设计逻辑架构视图XXX数据中心总体架构包括基础架构层、超融合架构层、云服务层和云管层。XXX数据中心总体

23、架构云服务和管理运营层主要由aCMP组件提供，具体功能如下：1、自主服务门户 单点登录的自服务门户,管理员和用户在各自的门户视 图上完成全部操作。用户发起资源申请,各级管理员按 照流程做出响应。支持管理员自定义流程。 2、异构虚拟化管理 能够统一管理异构的虚拟化资源,管理员可在统一的界面 中操作资源申请与分配、资源监控和运维管理。 3、数据库即服务 针对 Oracle、SQL Server、MySQL 做专门的性能优 化和可靠性优化。用户在云平台上通过向导自助申请数 据库服务,实现数据库的快速交付和简化配置管理工作。 4、资源监控 具有丰富的监控功能,可监控 CPU、内存、网络流量、磁 盘 I

24、O 等各项性能指标,帮助管理随时掌握资源使用动态。 5、多租户管理 具有三级管理权限,每个租户含租户管理员和租户的用 户,避免租户网络安全威胁,支持租户资源配额。 6、快速备份 具有丰富的自动备份策略,能够实现分钟级的增量备份。超融合架构层包括的主要组件有服务器虚拟化aSV、存储虚拟化aSAN、网络虚拟化aNET、安全虚拟化aSEC。超融合架构层主要组件及其功能模块主要功能描述服务器虚拟化 aSV 虚拟机管理 提供虚拟机的全生命周期管理,包含创建、删除、更新配置、备份、挂起、重启等,并能 全面监控虚拟机状态,确保虚拟机正常运行。 虚拟机 HA 当主机、网络、虚拟机自身等出现故障时,能将此虚拟机

25、切换到其他的主机上重新启动运行, 保障虚拟机上的业务正常使用。 虚拟机热迁移 支持虚拟机从一台服务器迁移到另一台物理服务器,业务不中断,数据不丢失。降低宕机 带来的风险、减少业务中断的时间。 动态资源调度 能够对资源持续监测,通过负载均衡机制,持续执行资源动态平衡,将虚拟机迁移到有更 多可用资源的主机上,确保每个虚拟机在任何节点都能及时地调用相应的资源,降低出现 资源抢占的风险。 动态资源扩展 系统能够监控业务虚拟机资源使用率,当虚拟机业务资源使用率过高时,可以自动给虚拟 机添加 CPU、内存,以保障业务的正常运行。 存储虚拟化 aSAN 存储多副本技术 通过对虚拟机文件在多台物理服务器实时写

26、入,实现多副本保存,提高了存储的高可靠性。数据保障机制 在主机或者磁盘故障后,超过了设置的超时时间依然没有人工介入处理,aSAN 将会自动 进行数据重建,以保证数据副本数完备,确保数据可靠性。 存储自动精简配置 通过该技术只需要提供给虚拟机实际使用的存储空间,而不是配置的,并且未来可以随时 扩展。可以显著减少已分配但是未使用的存储空间,提高了资源利用率。 高性能存储 通过 I/O本地化、混合磁盘模式、读写优化算法、存储分层等多项自研存储技术,为业务提 供高 IO、大容量的共享存储资源。 在线扩容 提供在线添加磁盘或主机功能,在扩容过程中业务不中断,能够解决业务增长带来的资源 不足问题。 网络虚

27、拟化 aNet 分布式虚拟交换机 能够在多台主机中逻辑上组成一个分布式交换机,实现虚拟机的网络管理和实时化网络监 控,并能保证虚拟机在主机之间迁移时网络配置的一致性。 虚拟路由器 提供自带 HA 的虚拟路由器,可解决虚拟化后不同网络间路由问题,并能够实现 VLAN 子 网口、NAT 规则、ACL 策略、DHCP 地址池、DNS 代理等传统路由器的功能。 分布式虚拟防火墙 集成的分布式防火墙,能够为每一个虚拟主机提供防火墙保护,实现虚拟化主机间的微隔离, 虚拟机迁移到任何的主机上,依然保留原有的防火墙策略。并且管理员通过简单的配置管理, 即可实现对防火墙策略的统一下发。 网络探测功能 通过发送带

28、有标签的 icmp 报文并跟踪记录该报文在转发平面经过的每一跳的信息,经过汇 总后统一分析,最终得出故障点和故障原因。 业务逻辑拓扑所画即所得 管理员可以通过管理平面从资源池中调取相应的资源,并通过拖拉连线等方式,描绘出不 同的拓扑架构。后台会自动根据业务逻辑拓扑进行底层真实的环境创建,从而屏蔽了底层 的复杂性。 全网流量可视 通过实时记录每一个虚拟网络设备的任何端口的流量,从而在业务拓扑上形成全网流量可视 , 帮助管理员随时掌握网络资源使用动态。 安全虚拟化 aSEC vAF vAF 是深信服的下一代防火墙 NFV 功能,能够提供 L2-L7 层安全可视的全面防护,通过 双向检测网络流量,有

29、效识别来自网络层和应用层的内容风险。 vAD vAD 是深信服的应用交付 NFV 功能,集服务器、链路、数据中心负载均衡和应用性能优 化功能于一体,是构建高可靠、高效率业务架构的绝佳选择。 vSSL vSSL 是可以部署在虚拟化环境的 IPsec / SSL 二合一 VPN, 具有部署简单、维护成本低、 云端适应能力强等特点 , 具备将云端业务轻松完成对外安全发布的能力 , 为用户提供在任何 时候、任何场所 , 使用任何主流设备快速接入云端网络、运行内部应用的服务。 vAC vAC 是深信服上网行为管理 NFV 功能,以用户识别、终端识别、应用识别为基础,结合封堵、 流控、审计等管理手段,全面

30、应对互联网给组织带来的工作效率下降、带宽效率下降、泄 密风险、法律风险及上网安全风险等挑战。 vWOC vWOC 是深信服广域网优化 NFV 功能,具有协议优化、缓存、流压缩、流量整形、链 路质量优化等多种技术 , 能够帮助用户加快关键应用的响应速度 , 为用户带来更高的投资 回报比。 平台总体布局/数据中心网络分区原则：安全性原则 按照安全等级丌同,划分为不同分区 例如,为互联网用户,合作伙伴服务的服务器单独分区信息敏感服务器单独分区2、高可用布局原则 业务关联度高的服务器部署在同一个区域 业务关联度低的服务器拆分成多个区域 可用性要求高的业务拆分成两个对等区域。3、容量适度原则 根据运维管

31、理经验,控制单个区域内的服务数量,例如,500台以内 未来服务器数量增加、区域间流量增长后可考虑进一步拆分 4、独立运维管理原则 业务流量、安全控制、组网协议方面有特殊要求的服务器单独分区。XXX数据中心根据功能分区，划分为xx专网接入区、互联网接入区、第三方接入区、核心交换区、数据库业务区、内部生产业务区、传统架构业务区、开发测试业务区。专网接入区，作为xx专网网访问系统资源的入口，承载直接面向xx专网用的业务接入资源。第三方接入区，负责银行、监管机构、第三方机构与数据中心互联，例如使用专线来连接政府、银行等社会机构实现数据互联。互联网业务区承载租户直接面向互联网用户的业务系统，包括但不限门

32、户网站、网上服务大厅等，通过互联网接入区实现与互联网网络互通。核心交换区，用于各区域数据的交互、隔离以及负载均衡。安全管理区，用户管理员登陆认证、纪录操作行为，以及系统和应用的状态、日志监控等，承担统一的安全、运营运维、灾备等管理系统。数据库区，为保障性能和可靠性，采用高性能集群部署，利用数据库自身集群技术（如Oracle RAC，MSSQL AlwaysOn等），实现数据库高可用性。考虑到数据库安全性，部署数据库审计产品，确保合法的数据读取访问，非法的请求可以做阻断。内部生产业务区，所有的服务器均在云平台下实现服务器虚拟化、网络虚拟化、存储虚拟化和整体集群的冗余，主要承担内部生产办公系统，例

33、如BOSS系统、ERP系统等。传统架构业务区，为保障性能，主要基于传统服务器存储架构部署，主要承担互联网平台业务中需要采用传统架构部署的业务，例如推流、转码业务，该区域主要利旧原有服务器和存储设备。开发测试业务区，负责前期业务系统的测试、开发、验证等工作。集成虚拟防火墙功能，确保测试区域与生产环境做到安全隔离，测试验证过程中不影响到生产环境。部署架构设计一期部署架构（搭建云平台基础框架）XXX数据中心一期部署方式如下：XXX数据中心一期部署架构核心企业级云数据中心基础架构搭建完成。将计划内的老旧单机服务器业务系统迁移至企业级云数据中心内。将部分非核心业务系统迁移至企业级云数据中心内。最大限度施

34、放核心存储的空间及IO压力，保证核心业务运行。数据中心内多分区统一管理，资源间安全隔离，根据业务需求的不同，划分不同的区域，提供不同的资源能力。由于一期建设，boss系统、erp系统仍部署于老机房内，因此本阶段建设无需搭建传统架构的内部生产业务区。二期部署架构（构筑安全能力）考虑二期XXX数据中心整体部署方式如下：构建统一安全资源池，提升数据中心安全防御能力。资源不够可以扩充新的X86服务器作为计算和空间节点横向扩容。三期部署架构（统一灾备建设）考虑三期XXX数据中心整体部署方式如下：主备数据中心，在单数据中心的基础上扩展同城灾备数据中心。两个数据中心之间统一管理，资源统一监控。数据层面，两个

35、数据中心根据数据保护等级要求，可以选择数据同步方式，也可以选择异步方式进行同步。数据库层面，配置数据库集群软件，实现数据库数据同步，保证数据库逻辑层面一致性。网络层面，两个数据中心通过裸光纤互联，保证高速稳定低时延的数据中心互联网络，数据中心从逻辑上分为接入侧和服务侧，服务侧内部又根据业务单元分为WEB、APP和DB这3个区。全局负载设备负责数据中心级的业务流量调度和切换，各区的服务器负载均衡负责本地的服务器负载，通过应用级的健康检查功能实时发现服务器、链路、负载均衡器的故障，根据用户的需求做预设的策略，实现灵活的故障切换，降低业务切换风险。对于业务连续性要求高的业务，当一个数据中心故障时，业

36、务可以快速接管并持续提供业务。在第三阶段，原有机房的ERP系统、BOSS系统需要迁移至生产机房，因此可以利旧原有设备搭建传统架构的业务生产区，支撑业务迁移。核心技术说明服务器虚拟化技术服务器是云计算平台的核心，其承担着云计算平台的“计算”功能。对于云计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的服务器资源池。在这个服务器资源池上，再通过安装虚拟化软件，使得其计算资源能以一种云主机 的方式被不同的应用和不同用户使用。深信服aSV虚拟化平台作为介于硬件和操作系统之间的软件层，采用裸金属架构的X86虚拟化技术，实现对服务器物理资源的抽象，将CPU、内存

37、、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境，实现更高的资源利用率，同时满足应用更加灵活的资源动态分配需求，譬如提供热迁移、HA等高可用特性，实现更低的运营成本、更高的灵活性和更快速的业务响应速度，如下图所示：存储虚拟化技术在本次云数据中心建设方案中，采用分布式存储技术构建统一的存储资源池，可以形成可横向扩展（Scale-out）的云计算基础架构。在业务应用区部署深信服aSAN存储方案，运行在这种架构上的云主机不仅能够象传统层次架构那样支持vMotion、DRS、快照等，而且数据不再经过一个复

38、杂的网络传递，性能得到显著提高。由于不再需要集中共享存储设备，整个云平台基础架构得以扁平化，大大简化了IT运维和管理。利用aSAN方案构建云平台存储资源池，有效利用服务器资源，降低能源消耗，帮助企业实现IT环境的节能减排。aSAN方案的逻辑架构如上图所示。这种架构的基本单元是部署了虚拟化系统的x86标准服务器。在提供虚拟计算资源的同时，服务器上的空闲磁盘空间被组织起来形成一个统一的虚拟共享存储：虚拟存储系统。虚拟化存储在功能上与独立共享存储完全一致；同时由于存储与计算完全融合在一个硬件平台上，无需象以往那样购买连接计算服务器和存储设备的专用SAN网络设备（FC SAN或者iSCSI SAN）。

39、1、横向、纵向线性按需扩展aSAN存储虚拟化方案可以支持横向（增加服务器数量）、纵向（增加单台服务器的硬盘数量）等扩展方式，扩展起来非常简单，只需要将新的服务器加入原来的集群就可以实现扩展，扩展后可以实现容量和性能的同步扩展，目前最大支持64台服务器组件一个集群。此外，添加新的服务器到集群后，不仅存储空间得到扩展，性能也会得到同步的扩展，例如2台服务器扩展到4台服务器后，不仅存储空间得到扩展，整体性能也会扩展为原来的2倍。所以，aSAN可以帮助客户不需要过多地考虑未来的扩展，只需要满足未来36个月的需求就足够了，极大降低了初期的投资成本，并避免了传统FC存储由于无法平滑扩展性能，而需要迁移数据

40、存储所带的高风险。2、数据保护和高可用性在可靠性方面，虚拟化存储aSAN没有采用传统FC存储的raid方式，而是把每份数据copy成多份副本进行多副本存储，服务器只需要以常规手段挂载硬盘，虚拟化存储平台会把数据、在不同的物理服务器硬盘里创建2个到3个一样的副本。而且，每一次数据的变化，都会通过网络，同时在aSAN中的所有副本里进行同步，从而确保数据的一致性。这样做的好处非常明显，多副本的同步存储方式，能够在最大程度上确保数据的互备效果，从而低成本的实现存储的高可靠。由于aSAN存储虚拟化采用副本方式保存数据，支持2-3份副本。当物理硬盘出现故障的时候，存储则会被重新指向另外一个健康的副本，整个

41、过程是毫秒级的切换,对用户来讲基本是无感知的。如果不幸遇上了物理主机或者是网络故障，整个虚拟化平台可以完成分钟级的切换，业务系统或者网络设备的虚机可以快速切换到另一台服务器拉起，几分钟就能恢复正常运作，而存储的指向仍然保持了同步，这样就比传统方式的业务恢复速度快了很多。 磁盘长期运行导致损坏这是不可避免的。对于这个问题，我们会建议客户在集群中构建一些全局热备盘，当某一块磁盘或者某几块磁盘出现故障，系统可以第一时间替代故障磁盘，实现快速的磁盘自动化替换，不需要人工操作。降低磁盘故障带来的风险，提高数据的可靠性。3、高性能SSD缓存技术：由于传统的sas盘、sata盘的性能只有7200转，iops

42、达不到众多应用系统的相关性能要求。所以，深信服的存储虚拟化aSAN在硬件架构上会要求采用SSD双缓存方式，读和写都使用独立的SSD硬盘来实现，借助于SSD的高效缓存技术，可以让用户以较低的成本获得非常高的IO性能。此外，通过我们的算法优化，业务系统所请求的数据、绝大部分情况下都会直接读取到本地磁盘上的副本，从而使得存储的响应速度大幅提升，明显提升整体存储的IOPS性能。网络虚拟化技术服务器虚拟化技术的出现使得计算服务提供不再以主机为基础，而是以云主机为单位来提供，同时为了满足同一物理服务器内云主机之间的数据交换需求，服务器内部引入了网络功能部件虚拟交换机vSwitch（Virtual Swit

43、ch），如下图所示，虚拟交换机提供了云主机之间、云主机与外部网络之间的通讯能力。深信服网络虚拟化aNet，通过提供全新的网络运营方式，解决了传统硬件网络的众多管理和运维难题，并且帮助数据中心操作员将敏捷性和经济性提高若干数量级。深信服网络虚拟化aNet方案通过和服务器虚拟化aSV相结合，在虚拟机和物理网络之间，提供了一整套完整的逻辑网络设备、连接和服务，包括分布式虚拟交换机aSwitch、虚拟路由器aRouter、虚拟下一代防火墙vNGAF、虚拟应用交付vAD、虚拟vSSL VPN、虚拟广域网优化vWOC等虚拟网络、安全设备；然后，还可以支持VXLAN等增强网络协议，实现和物理网络的无缝对接，

44、简化网络的配置管理；此外，还可以通过虚拟化管理平台，实现网络拓扑部署、网络故障探测等网络管理功能。从而，aNet虚拟网络可以快速完成不同应用系统的网络部署，网络配置的自动化调整，网络故障排查等工作，提升网络的管理运维效率，提升网络就绪、扩展速度，降低数据中心物理网络的建设成本。1、简化网络结构，节省硬件网络投资在部署了深信服的网络虚拟化aNet之后，过去传统的接入交换、路由器、负载均衡、防火墙等传统网络、安全硬件设备，通通变成虚拟化的方式运行在服务器里。以前。串糖葫芦式的网络结构也会变得非常的扁平，服务器全部接入到一个大二层的网络，极大的简化物理连线。此外，硬件交换机不再需要支持类似TRILL

45、/SPB/FabricPath/VPLS（为了解决服务器虚拟化部署后的问题，新推出的交换机特性）等一些列不必要的过渡性网络功能，从而只需要普通的交换机就可以满足云计算网络的建设，降低了不必要的网络建设成本。2、简化网络配置，实现业务自动化调整部署了虚拟网络aNet后，对于物理交换机来说虚拟化环境中的虚拟机网络流量将会变得透明，物理交换机不再需要配置复杂的网络策略，提供简单的大二层转发即可。因为，所有虚拟机的VLAN、QoS、ACL等网络配置策略，将会部署aSwitch上。而aSwitch将会自动根据每台虚拟机迁移、删除等过程，实现网络策略的自动跟随，实现网络配置的自动化调整，极大的简化了虚拟机

46、迁移所带来复杂的网络运维工作。3、高可靠&高性能过去传统物理网络容易因为网络设备的故障而产生问题，解决起来也非常困难，时间都是以小时为单位的。所以，深信服的网络虚拟化产品，在可靠性方面做了很多的改进，首先通过应用层协议栈技术，我们把数据转发放到了应用层，能够让设备永不宕机,而分布式设计的虚拟路由和虚拟交换机，出现故障的时候能够实现秒级切换，从而避免虚拟设备的单点故障，物理设备和链路我们设计了集群部署和链路聚合，能够避免物理环境的单点故障；这样，我们就实现了整个虚拟网络环境的高可靠保障，任意环节出现故障，都能被自动检测出来，并快速恢复业务。此外，对于虚拟化网络的性能问题，深信服自主研发了高性能网

47、络转发引擎，结合intel最新的DPDK技术和SR-IOV技术，aSwitch虚拟设备可以达到双向10G的数据转发，让虚拟化网络能够以非常低廉的成本拥有和物理网络一样强劲的性能。4、完整专业的L4-L7网络服务，确保架构平滑迁移只把交换机和路由器虚拟化是不够的，复杂的业务环境是必须要配置负载均衡、VPN、防火墙这样的L4-L7安全、优化功能。所以，深信服将在硬件设备领域非常具有优势的NGAF、AD、WOC、SSL VPN等设备也虚拟化了，从而可以帮助用户将应用系统平滑的从物理环境迁移到虚拟化环境中，并满足安全合规要求。vNGAF、vAD、vWOC、vSSL VPN等虚拟化设备，保持了和硬件设备

48、一致的功能特性，并且具备齐全的各种产品资质证书，如安全产品销售许可证等。用户只需要根据不同应用系统的性能要求，分配1、2、4、8核不同档次的CPU资源，各种虚拟化设备就可以提供从百兆到千兆的性能。5、多层次安全策略，无缝安全防护为了从不同维度提升虚拟化平台的安全性，通过隔离的分布式交换机、ACL访问控制、NGAF的L2-L7安全防护技术、SSL VPN完整的安全接入技术等方式，可以加固虚拟机、业务系统等不同虚拟化环境边界的安全性。尤其是NGAF可以提供包括：状态检测、应用访问控制、漏洞防护、Web攻击保护、防敏感信息泄露、漏洞风险扫描、安全策略联动、防木马病毒等完整的L2-L7安全功能，可以帮

49、助用户简化安全部署，并满足合规要求。云管理技术深信服企业云管理平台aCloud，将深信服超融合架构构建的虚拟化的全资源池，和第三方的虚拟化平台构建的资源池，通过流程化、自动化的方式，实现资源即服务的交付方式，交付给最终的业务部门或者业务使用者，并实现平台自动化的运维。深信服的企业云管理平台，可以实现对第三方虚拟化管理，比如Vmware的vCenter等。管理平台采用分布式架构设计，即企业云架构集群中，每个节点都可提供相应的管理服务，任何单一节点故障都不会引起整个平台的管理中断。并且平台可提供分级分权的管理，针对不同的平台用户，可以各自使用和管理平台管理分配给的对应资源，并且针对每种资源对象，可

50、以部署更加精细化的权限管理和控制，极大了满足了企业云平台，构建云化IT架构中，多租户使用IT资源的灵活性。异构资源管理深信服企业级云管理aCloud可以同时兼容VMware、KVM等主流虚拟化平台，并支持对主流的硬件资源实现统一集中管理，通过云管理平台为租户屏蔽异构虚拟化平台差异，在多虚拟化平台环境下，能为租户提供相同的云主机资源服务，并实现对于异构虚拟化平台的统一管理。操作流程：在SANGFOR aCMP上接入VMware数据中心：这里需要vCenter的IP、用户名和密码等信息，添加前请检查网络，确保aCMP主控与vCenter的IP地址可以正常通信。添加成功后，aCMP可正常接管VMwa

51、re数据中心，将虚拟机资源分配给对应组织区域中的用户使用：用户获得审批后，可以正常使用VMware数据中心中的虚拟机：分级分权管理据企业云业务划分需求，可以将管理员划分为多级进行管理，不同的级别具有不同的管理权限和访问权限。系统管理员：或者称之为超级管理员，能够创建和管理数据中心内的所有云资源。对于公有云，系统管理员是运营商数据中心管理员；对于私有云，系统管理员是企业或机构的IT管理员。组织管理员：或者称之为虚拟数据中心（vDC）管理员，拥有对组织虚拟数据中心的管理权，包括组织内部虚拟机的运行管理、镜像管理、用户管理以及认证策略管理等。组织管理员由系统管理员创建。对于私有云，组织管理员是内部部

52、门的IT管理员。最终用户：权限最低，允许最终用户通过内部网络访问自己专属的虚拟机，并允许通过自助服务门户向组织管理员申请虚拟资源。最终用户由组织管理员创建。除此之外，深信服企业云管理平台还提供了管理员分组的概念。管理员分组是多个管理员的集合，每一个分组又可以配置多个子分组，不同的子分组可能具有不同的访问权限，但属于同一个分组或子分组的管理员具有相同的访问权限；同时支持分组后的的操作员对应资源的资源配额。IT自服务和流程自助式服务管理为用户提供了一个多租户的、可自助的IaaS服务，是一种全新的基础架构交付和使用模式，深信服企业云管理平台提供的虚拟化资源池功能，使IT部门能够将IT物理资源，抽象成

53、按需提供的弹性虚拟资源池包括虚拟机、存储、网络、网络安全，以消费单元（即组织或虚拟数据中心）的形式对外提供服务，IT部门能够通过完全自动化的自助服务访问，为用户提供这些消费单元以及其它包括虚拟机和操作系统镜像等在内的基础架构和应用服务模板。这种自助式的服务真正实现了业务的敏捷性和高效性，并极大程度地提高了业务的快速创新能力。流程简介：新增组织，同时指定组织管理员，为组织分配资源配额：新建云管用户，云管用户作为最终用户，具有对资源的实际使用权：用户使用自助服务门户，提交工单申请资源：组织管理员itadmin审批通过，并执行工单：工单执行后，用户可以使用申请的虚拟机资源：自动化运维深信服企业云，提

54、供一键式的自动化运维手段，通过平台提供的一键故障检测、一键健康检测，通过平台提供故障定位分析，能够快速分析出问题节点，并能够指出具体的原因和修复的指导、而平台提供的一键健康检测，能够快速分析出平台潜在的业务风险，包括各种和资源性能或者容量风险，平台管理管理和租户管理员，可以根据系统建议，可以选择手动或者自动的方式，实现业务的故障排除和资源优化。技术优势总结1、使用软件定义的网络、安全、存储获得效率和敏捷性摆脱极不灵活的网络和安全、存储体系结构，这种体系结构基于手动调配的VLAN并使用分立管理界面的专用设备，需要复杂的LUN、RAID等存储管理。使用软件主导型网络和安全、存储虚拟化服务，获得云计

55、算基础架构的全面敏捷性。通过创建能够适应工作负载并随工作负载移动的网络和安全、存储结构，根据业务需要快速部署、移动、扩展和保护应用及数据。深信服云平台架构可使软件主导型网络和安全、存储与紧密集成到虚拟数据中心管理中的基于策略的调配机制结合在一起，提升效率和敏捷性。同时相比较计算资源和分布式存储资源分离部署的方案，全融合架构对资源利用率更高，扩容更线性，管理上也不存在割裂的问题。2、简单易用、自助统一的业务交付能力简单4步，快速部署上线，无需机房连线操作，设备的配置界面保持了与硬件设备一致的风格，让云中心/租户管理员只需要数分钟时间，就可以快速完成业务的上线部署。提供用户资源的申请、审批到分配部

56、署的智能化资源交付能力，提供对传统的物理资源、异构虚拟资源统一管理管理，简化调配，降低运营成本。本期方案详细设计部署架构设计根据平台总体布局设计，XXX数据中心机房整体部署方式如下：本期项目整体部署架构核心企业级云数据中心基础架构搭建完成。将计划内的老旧单机服务器业务系统迁移至企业级云数据中心内。将部分非核心业务系统迁移至企业级云数据中心内。最大限度施放核心存储的空间及IO压力，保证核心业务运行。数据中心内多分区统一管理，资源间安全隔离，根据业务需求的不同，划分不同的区域，提供不同的资源能力。由于一期建设，boss系统、erp系统仍部署于老机房内，因此本阶段建设无需搭建传统架构的内部生产业务区

57、。网络系统设计整体说明网络设计整体说明：数据中心采用核心接入二层架构。数据中心互联网接入和第三方接入区域，部署两台路由器和联通骨干网路互通，同时部署抗DDOS设备、下一代防火墙以及流量控制设备，提供内外网安全隔离和防护功能以及web系统防御。内网核心交换采用两台核心核心交换机，实现集群功能，并旁挂防火墙实现安全分区。配置外联接入交换机，保证未来外部第三方接入可以模块化扩展。应用服务器业务区包含4个网络平面，分别是管理、业务、存储、隧道平面，其中管理、业务、隧道交换机采用千兆交换机堆叠组网，存储平面采用万兆交换机堆叠组网，管理、业务交换机通过10GE上行链接到核心交换机。数据库区业务交换机和存储

58、交换机堆叠组网，业务交换机通过10GE上行链接到核心交换机，考虑数据库区存储独立性，建议存储交换机不上行链接到核心交换机。管理服务器以及所有服务器的BMC口接入到带外交换机，然后上行到单独的核心交换机。在应用服务器区、业务托管区、外部接入区内的DMZ区等以超融合技术构建的基础架构业务分区内，采用虚拟网络技术实现虚拟机之前的数据交换。物理网络部署设计核心交换区核心交换区的功能主要是完成各服务功能分区之间数据流量的高速交换，是数据中心南北向流量和东西向流量的交汇点。为此，核心交换区必须具备高速转发的能力，同时还需要有很强的扩展能力，满足业务未来快速发展的需求。核心层采用2台核心交换机，采用M-LA

59、G技术，下行链路选择10G链路捆绑技术与接入交换机互联，增加带宽的同时也提高了网络链路的可靠性；同时，旁挂两台主备防火墙做网络分区隔离、防病毒功能，配置外联接入交换机，保证未来外部第三方接入可以模块化扩展。互联网接入区设计互联网接入区主要提供数据中心内业务访问互联网的通路以及数据中心安全防护。组网说明：出口两条主备xxx链路，抗DDoS设备为旁挂部署，提供对DDoS攻击的安全服务全局负载均衡主备部署，采用路由模式，上行接入网关路由器设备，每台防火墙与路由器间采用冗余设计，保障链路可靠性；两台下一代防火墙主主部署，采用透明模式，上行接入全局负载均衡设备，采用双链路连接，保障链路可靠性；下一代防火

60、墙开启IPS、实施漏洞分析、防病毒等功能实现内外网的安全隔离边界防火墙与核心交换机间串联流量控制设备，同样采用双链路连接，提高带宽使用率；流量控制设备对整体网络带宽提供高效利用，出口安全规划保证数据中心网络安全。DMZ业务区设计部署二台应用负载均衡器，实现应用高可用性并可优化web应用访问（如TCP连接复用、压缩、缓存、SSL卸载等）。部署WEB防火墙，用于防止WEB层的攻击；安全分区防火墙设计(可选)安全防火墙组网设计防火墙组网说明：两台防火墙旁挂于核心交换机旁。防火墙工作在AP模式。每台防火墙通过2条GE链路连接核心交换机，作为内网口，2条GE链路连接核心交换机，作为外网口。在防火墙上将内