yearning 2. 部署_基于arm cpu和openstack架构云平台网络建设部署
1. 废话不多说先上平台对于网络的要求。
2. 基于云服务组提出的网络要求细分以下网络。
网络用途 Vlan号 CIDR Gateway 备注
互联地址 vlan500-999 100.100.0.0/21 null 环境结合现场实际情况细分掩码
带外管理网 vlan3000 100.200.0.0/22 100.200.3.254
带内管理网 vlan3004 100.200.4.0/22 100.200.7.254
控制网 vlan3008 100.200.8.0/22 100.200.11.254 与其他控制网段互通
存储Public网络 vlan3012 100.200.12.0/22 100.200.15.254 arm存储做混合部署
存储Cluster网 vlan3020 100.200.20.0/22 100.200.23.254 arm存储做混合部署
业务数据网 vlan3016 100.200.16.0/22 100.200.19.254
浮动 IP Vlan3092 100.122.0.0/16 100.122.255.254 与架构的业务网段互通
服务产品管理网 vlan3091 100.121.0.0/16 null
租户地址(vpc) vxlan 10.0.0.0/8、 Provider VLANS与平台的业务网段互通
172.16.0.0/12、
192.168.0.0/16
3.网络互联拓扑图
3.1. 全局防火墙部署
- 实施设备:两台全局防火墙
- 功能:对内部网络进行访问控制和NAT,配置IPS,AV,QOS功能模块,支持链路负载均衡功能。
- 链路:
1、两台防火墙之间通过千兆电口或者专用HA口互联,实现主备
2、下联通过千兆光口下联核心交换机
- 部署实施
1、防火墙配置为路由模式
2、两台防火墙配置为主备,通过HA心跳线交互主备信息
3、下联核心交换机接口为二层口,Trunk模式,透传互联vlan,启用VLAN接口IP,绑定3层安全域;
4、上联出口接入交换机配置为二层口,Trunk模式,透传委办局专线和政务外网互联vlan,启用VLAN接口IP,绑定3层安全域;
5、配置至外部网络的静态路由(推荐客户使用静态对接),以及至核心交换机的内部业务路由;
6、根据需求配置内部业务地址和外部政务外网地址互访的NAT地址转化;
配置基础防护模块、IPS模块、防病毒模块、Qos流量控制、僵尸主机监测模块。防火墙模块用来进行端口级的访问控制和地址转换;IPS模块用来对非法入侵流量进行防御;防病毒模块用来防御来自互联网的病毒;
3.2. 业务网络部署
- 实施设备:两台业务接入交换机
- 功能:作为管理节点和计算节点的接入设备, 作为IOP Master的接入设备,向租户提供访问 入口
- 链路:
1、 两台设备之间2条40G线缆互联,通过m-lag进行堆叠。
2、上行40G线缆交叉互联核心交换机。
3、下联服务器,每台服务器双10G网卡,bond4聚合;
部署实施
1、上联核心核心配置为Trunk口,透传各委办局业务vlan。
2、下联服务器,配置为Trunk口,透传业务vlan,动态聚合;
3.3. 核心网络部署
- 实施设备:两台核心交换机
- 功能: 核心转发节点
- 链路:
1、两台设备之间2条40G 线缆互联,通过m-lag进行堆叠。
2、上行10G线缆交叉互联防火墙。
3、下行带内、带外接入交换机10G交叉互联。
4、下行千兆交叉连接网闸。
5、下行40G交叉连接业务接入交换机;
- 部署实施
1、上联防火墙核心配置为Trunk口,透传各委办局互联vlan。
2、下联接入交换机,port-channel配置为Trunk口,透传业务vlan,管理vlan,动态聚合;
3.4. 存储网络部署
- 实施设备:两台存储接入交换机(复用业务接入交换机)
- 功能:作为存储节点设备的接入设备
- 链路:
1、两台设备之间2条40G线缆互联,1条10G光纤跳线
2、下联服务器,每台服务器双10G网卡,bond4聚合;
- 部署实施
1、两台接入交换机通过2条40G 线缆互联作为peerlink,1条10跳线作为keepalive;
2、下联服务器,配置为Trunk口,透传OS 存储vlan,bond4聚合;
3.5. 控制网络部署
- 实施设备:两台控制网交换机
- 功能:用于访问ICP云操作系统openstack/kubernetes API的网络,承担了ICP集群内部组件之间的调用,包括数据库访问、消息队列访问、监控数据采集等等。
- 部署实施
1、两台交换机万兆口互联,通过m-lag进行堆叠。
2、二层透传控制网VLAN,网关在核心上。
3、控制网接入交换机下行口需要做捆绑,配置trunk口,放行控制网、服务管理网vlan。
4、服务器的两个万兆口做bond2(mode4),上联到控制网接入交换机。
3.6.管理区实施规划
3.6.1 带内管理
该网络仅用于运维管理使用。设计为所有与用户业务无关的应用系统所在网络,该网络内可包含多个VLAN,多个网段,实施时进行统一规划,部署。运行与管理网络的应用大致可分为以下几种:
1、运营、运维系统及相关组件运行(SLB、vFW、日志采集)的网络;
2、主机管理网络,提供给计算节点、存储节点、物理服务器、备份服务器主机使用;
带内管理网络由管理接入交换机组网实现。部署两台管理接入交换机(可按需扩展),使用堆叠电缆将两台设备进行堆叠配置。由于管理网内的数据实时性要求不高,可以采用单链路方式连接。
- 实施设备:两台接入交换机
- 功能: 云平台带内管理
- 链路:
1、两台交换机万兆口互联,通过m-lag进行堆叠。
2、业务口10G交叉上行至核心交换机。
- 部署实施
1、二层透传带内管理VLAN,网关在核心上。
2、下行Access口,配置静态聚合端口。
3.6.2 带外管理
- 实施设备:2台接入交换机
- 功能: 所有硬件设备IPMI带外管理,建议服务器和网络各用其中一台
- 链路:
1、业务口10G交叉上行至核心交换机。
- 部署实施
1、二层透传带内管理VLAN,网关在核心上。
2、Access口,全部划在管理vlan下。
干货文章应该很少人细看吧,第一次接触云平台网络对这种扁平化的部署很不习惯,各位有需要的收藏一下。