虛擬化數據中心組網方案淺析

【摘要】 隨著云計算技術高速發展，傳統意義上的網絡建設在慢慢退出信息化的舞臺，同樣虛擬化技術在數據中心的建設中也得到越來越多的運用。本文對虛擬化數據中心組網原則進行了介紹，結合具體案例對虛擬化數據中心組網方案及典型業務流向進行了分析。

【關鍵詞】 虛擬化數據中心 網絡虛擬化 VPC VDC

一、前言

虛擬化數據中心（VDC）是將傳統IDC與云計算技術相結合，應用虛擬化、自動化部署等技術構建的向用戶提供服務的基礎IT設施。VDC將虛擬化的基礎設施如服務器、網絡及存儲設備作為服務提供，通過動態資源分配和調度，提高資源利用能力和服務可靠性。與傳統數據中心相比，虛擬化數據中心在提升資源的利用率、加快業務部署能力、降低硬件設備成本和運營成本方面有著不可替代的優勢。

二、虛擬化數據中心組網原則

2.1高安全性

按照數據中心業務功能和管理功能的要求，網絡須進行分區設計，不同網絡區域的安全策略明晰，并且明確不同網絡區域之間的安全關系，單個區域進行安全策略實施不對其它區域造成影響。

2.2高可用性

組網結構設計最大限度的隔離故障域，簡化數據傳送路徑，加快故障收斂時間。

2.3易擴展性

在出現新業務區需求的情況下，不改變原有網絡結構，根據不同區域和層次的功能按需建設，業務部署靈活。

2.4易管理性

網絡結構清晰，便于維護，故障定位和解決快速、靈活。

三、組網方案實例

隨著虛擬化技術的不斷成熟，虛擬化數據中心建設規模逐漸擴大。例如：某大型通信運營商為提高資源的利用率，拓展新的市場空間以及業務模式轉變，啟動了虛擬化數據中心建設，規劃2個物理區域作為機房空間，總有效機柜100個左右，新增設備包括防火墻、交換機、路由器、負載均衡器等，其中防火墻為用戶提供地址轉換及網絡安全相關服務，交換機/路由器/負載均衡器為用戶提供組網能力和網絡帶寬。

按照虛擬數據中心業務功能和管理功能的規劃，網絡的設計采用分區的形式，一般可分為接入網絡區、網絡中心區、出口網絡區、業務網絡區、存儲網絡區、管理網絡區：（圖1）

接入網絡區

專線接入交換機承擔接入專線和傳遞路由流量的角色，相關的專線劃分到對應的vlan，使得能夠與專線接入防火墻能夠正常通信；兩臺專線接入交換機之間互聯配置為二層trunk，同時兩臺接入交換機與兩臺核心交換機口字型互聯，且互聯端口配置為三層接口ip用于隔離其他二層網絡；另外，專線接入交換機與專線接入防火墻、核心交換機之間使用OSPF，使得核心交換機能夠學習到專線網絡的網段。

網絡中心區

網絡中心區包括核心交換機及業務防火墻，兩臺核心交換機之間運用虛擬化技術實現二層組網，虛擬化技術主要包括VPC（Virtual port—channe1）和VDC（Virtual Device Context）技術。

3.1 VPC（Virtual port—channe1）

VPC是一個可以跨不同設備的port-channel技術，跨設備進行端口聚合，增加鏈路帶寬，縮短故障收斂時間。

在傳統的網絡拓撲中一般會使用雙鏈路上連的方式（如圖2）實現網絡的冗余，這種方式會產生環路，必須開啟生成樹協議，這時會有一種鏈路是block狀態的，所以這種方式實現冗余并不會增加網絡帶寬。而VPC技術則允許下行設備通過port channel跨兩個不同的上行設備，部署方式如圖3所示，所有互聯鏈路進行負載分擔，鏈路利用率100%（全部active，沒有Block），同時，在鏈路故障時，實現流量自動切換，快速收斂。VPC技術本地生效，對鏈路對端設備沒有特殊要求，易于部署。

3.2 VDC（Virtual Device Context）

VDC技術可將一臺物理交換機物理分區為各自獨立的邏輯交換機，如可將核心交換機虛擬成2臺邏輯交換機，虛擬出的VDC具有獨立的容錯能力和管理接口，可以分配獨立的地址，擁有各自獨立的接口資源管理。VDC可虛擬出獨立的控制面，如OSPF協議、BGP協議等，所有軟件協議均以VDC為單位進行維護和控制。另外虛擬出的VDC還可以用來滿足異地計算資源的跨域互通。

另外，通過路由策略將需要特殊防護的用戶流量穿過業務防火墻，大大提高業務數據的安全性。

出口網絡區

出口路由器上行采用主備鏈路口字型與上聯網絡的匯聚路由器連接，下行也采用主備鏈路口字型與防火墻互聯，兩臺出口路由器與上聯網絡的匯聚路由器之間使用BGP路由協議；兩臺出口路由器之間鏈路采用二層trunk互通，兩臺設備之間下行對應互聯網邊界防火墻配置VRRP（Virtual Router Redundancy Protocol）協議；為了更好的降低業務中斷時間，需要對VRRP配置相關的跟蹤接口進行切換主備模式，實現故障時自動切換。另外，通過部署防火墻有效提高出入口流量的安全。

業務網絡區

業務網絡區主要部署滿足業務系統的事務處理類型應用要求的服務器，一般要求配置處理能力較強的刀片服務器，并使用虛擬化引擎，以實現資源快速和靈活調度。同時，可根據各應用系統自身安全防護的需求，將服務器進一步分為核心生產區、測試區、接入維護區、內部互聯區等安全域。

存儲網絡區

存儲網絡區包括基于IP的云存儲網絡和FC-SAN的集中式存儲。其中，基于IP的云存儲網絡能夠為虛擬機和物理機等計算資源提供分布式文件存儲資源和日志詳單類存儲資源；基于FC-SAN的集中式存儲能夠為虛擬機和物理機等計算資源提供較高I/O性能的塊存儲資源，以滿足業務系統對數據存儲的需求。

管理網絡區

管理網絡區部署網管接口交換機，主要實現資源池內部管理，所有的被管理設備都需要獨立的管理網絡，以實現設備的管理、調度、監控。所有接入層設備的配置管理均可在管理匯聚交換機上實現，極大的減少了數據中心設備的管理節點（為傳統方式的1/10）。在布線上，實現了機架間一次布線，后期的布線維護只需要在機架內進行，大大降低了布線工作量，便于維護。這是傳統的接入方式無法實現的。

四、典型業務流走向分析

圖4 典型業務流走向示意圖

1、表示通過出口路由器的流量；2、表示通過出口路由器的明細的公網ip地址段路由，交互至邊界防火墻；3、表示互聯邊界防火墻通過相關策略控制、查詢NAT轉化表后將流量交互至核心交換機；4、表示核心交換機查詢路由表表轉發至與防火墻互聯的子接口；5、表示業務防火墻經過IPS入侵檢測再將流量轉發至相應的器（特殊客戶的服務器網關在業務防火墻上）。

五、結論

隨著數據中心業務的不斷豐富，VDC的建設需求將越來越多，組網方式也將更加多樣，從而使得虛擬化技術的優勢得到進一步發揮，可以預見，未來虛擬化數據中心將是云計算產業發展的新驅動力。

作者簡介：袁荔芬，中級工程師，通信項目設計師，主要從事數據、核心網工程設計工作。

聯系方式：電 話：13951856203

郵 箱：13951856203@139.cn

通信地址：江蘇省郵電規劃設計院有限責任公司南京市建鄴區楠溪江東街58號 210019