Cloud Fabric:构建数据中心“云中网络”

文/帅春义

IDC网络面临的新挑战

  随着云计算的快速兴起,作为IDC(Internet Data Center,互联网数据中心)市场主要玩家的各大运营商,都在加速建设依托云计算平台的数据中心,将计算、存储、网络等资源作为服务提供给客户,以提升IDC业务的盈利水平。

  IDC网络是云计算数据中心的核心,负责连接各种物理资源(服务器、存储设备)和虚拟资源(虚拟机、虚拟存储空间等)。近年来互联网业务的发展日新月异,给IDC网络带来了不少新挑战。

如何适应流量模型的巨大变化

  在云计算时代,东西流量将成为数据中心内部的主导流量。在传统的数据中心里,应用主要部署在单台或少量几台服务器上,服务器之间通信较少,主要是向数据中心外部提供服务,因此网络流量以南北流量为主。基于该流量模型,传统的数据中心网络采用流量逐级收敛的设计,一般从接入层到核心层的收敛比在1:3–1:20之间,这种设计方式在满足流量需求的同时,降低了投资成本。但是,随着搜索、网络游戏、大型企业应用等业务的出现,单台服务器无法完成巨大的计算任务,需要部署大规模集群计算,数千台甚至数万台服务器协同工作,只有少量的服务器对外提供应用入口,而其余服务器负责应用计算,服务器之间的应用数据交换、状态同步等流量将成为数据中心的主要流量。据预测,数据中心的网络流量将从早期的“80%为南北向流量”,转变为“70%为东西向流量”。

  尽管数据中心内部流量将以东西流量为主,但出口流量仍然会快速增长。据预测,全球数据中心IP流量年均增长率为33%,到2016年数据总量将增长到4.8ZB。运营商目前的数据中心出口流量超过200G的已经不在少数,中国电信西部数据中心的出口流量更是高达600G。

如何满足10GE/40GE/100GE服务器端口接入

  随着服务器性能的提升以及虚拟机的部署,数据中心需要更多网络接入带宽。据IDC预测,2014年服务器10GE端口部署量将超过GE端口,成为市场主流,接入层上行将演进到40GE;未来10年接入端口将向40GE甚至100GE演进,数据中心网络则需要提供更大的接入带宽和交换容量,同时避免网络的频繁升级,减少对业务的影响。

虚拟机的部署对数据中心网络的新要求

  虚拟机技术实现了操作系统和硬件的解耦,能够极大提升服务器的资源利用效率。目前虚拟机的部署已经非常普遍,超过50%的计算是在虚拟机上完成的。虚拟机的规模部署,不可避免地涉及到虚拟机在服务器间的动态迁移,这对网络提出了新的要求:首先需要构建大二层网络,从而实现设备的虚拟池化;其次要保证网络的低时延和高带宽,虚拟机迁移一般需要保证时延在5ms之内,高带宽则有助于在短时间内完成迁移;能够动态自动部署网络策略的虚拟机感知技术也不可或缺。

如何满足用户对安全的诉求

  近年来,网络安全事故频发,社交网站用户名密码泄漏、信用卡支付信息失窃、公司数据库被盗等事件引起了广泛关注,IDC作为互联网的数据存储和处理中心,面临更多的安全攻击。另一方面,IDC用户越来越关注安全服务,Gartner的报告显示,超过一半的用户将安全服务放在了实施云计算考虑因素的首位。

  云计算也给IDC网络安全带来了更大的挑战:网络边界的模糊化、威胁种类的变化以及大流量的DDoS攻击,将对IDC网络产生巨大冲击;虚拟化平台运行在操作系统与物理设备之间,其本身设计存在的漏洞风险将成为云计算的致命弱点;由于用户共享,不同安全需求的租户可能运行在同一台物理机上,这种租户共享带来的安全问题,传统安全措施难以处理;在数据管理方面,应用系统和资源所有权的分离,导致云平台管理员有可能访问用户数据,造成人为数据泄露。

构建面向未来的数据中心网络

  针对上述挑战,华为推出Cloud Fabric数据中心网络解决方案,全力帮助运营商构建面向未来的网络基础架构,让网络不再是阻碍云计算数据中心蓬勃发展的瓶颈。

弹性架构

  为了应对数据中心东西流量的快速增长,以及未来服务器的升级换代,在数据中心设计时就应当选择一种弹性的网络架构。交换机作为数据中心网络的核心设备,其性能、容量和演进能力将对整个网络产生非常重要的影响。Cloud Fabric方案采用CE12800系列数据中心交换机,具有48T超大交换容量,T比特高密线卡,整网可达到360T的无阻塞交换,支持高密服务器接入,能满足GE/10GE到40GE/100GE的4代服务器演进需求。

  出口路由器NE5000E采用先进的无阻塞交换网络架构,可提供海量交换容量和超高转发性能,同时拥有强大的集群能力,“2+8”集群的系统吞吐量超过100Tbps,集群容量和扩展能力可充分满足数据中心部署超大带宽业务的需要。2013年4月,华为发布了1T路由线卡,该线卡可以支持高密度100GE、40GE端口,交换容量达到32Tbps。

可运营的虚拟化网络

  华为数据中心交换机的VS(Virtual System)技术架构,可实现设备“一虚多”的虚拟化能力,即在物理设备上划分出多个逻辑或虚拟设备系统,每个VS承载不同业务或者服务于不同的用户群,既实现了业务隔离,又增强了网络可靠性和安全性;大幅提升设备的利用率,降低用户成本;并可以实现多用户群管理隔离,有效简化运维。同时,网络节点也支持“多虚一”应用,通过集群交换机系统(CSS),把多台支持集群的交换机连接,组成一台更大的交换机,从而简化网络的拓扑,提升网络性能。

  在网络数据平面,Cloud Fabric方案通过标准的Trill协议构建大二层网络,实现虚拟机的动态迁移。该方案支持超过500个Trill节点的超大规模二层网络,网络链路和节点故障收敛时间在500ms以内,最大支持16路负载分担,充分满足大规模数据中心对于网络规模和性能的要求。在多数据中心互联上,华为增强型Trill over VPLS方案充分利用成熟技术,部署简单,可支持40–60个数据中心互联,在更大的地理空间上构建统一的二层网络,帮助运营商实现物理分散、逻辑统一的数据中心,有效整合IT资源,提升运营效率。

多层次的安全体系

  Cloud Fabric方案拥有先进的安全架构,能够全面解决数据中心的关键安全难题。同时,华为提供专业的安全咨询和服务业务,帮助运营商评估和改善数据中心的安全性能。

  华为数据中心安全架构分五个维度IAARC(Identification & Authentication、Access & Authorization、Audit Trail、Response & Recovery、Content Security),包括用户的身份识别(你是谁)、接入控制(你能访问什么)、审计和取证(行为有记录可审计)、反应和恢复(业务响应及时性、业务可恢复性)、内容安全检查(是否存在攻击),针对这五个维度提供相应的安全解决方案,有效保障数据中心的平安运行。

  同时,该架构提供对端、管、云三层业务的层次化安全防护,在端点接入上提供移动终端、VDI等终端接入安全方案;在网络管道上提供边界网络、内部网络、虚拟层网络等层次化防护方案,实现多租户的网络隔离,抵御来自数据中心内部和外部的攻击;在云端提供数据中心主要业务如Web、Email等的安全防护,并提供全方位的数据保护方案,包括文档和数据库安全、虚拟机全盘加密以及DLP。

开放易运维

  IDC网络涉及到与骨干网络、其他IDC、服务器/存储器的互联互通,华为坚持采用Trill、VPLS等业界标准协议,提升网络的可集成性,有效保护运营商的投资。

  华为数据中心管理平台U2000能够统一管理交换机、路由器、OTN、防火墙等设备,提供E2E的物理/逻辑视图,支持快速故障定位和灵活的业务发放;除了传统的网络管理功能,U2000还支持虚拟机感知,能在虚拟机的迁移中自动部署网络策略。


(更多华为资讯请关注华为开发者社区,华为自己的对外开放门户:http://developer.huawei.com/cn/ict/ ,不要问我叫啥,别人都叫我雷锋

Cloud Fabric:构建数据中心“云中网络”_第1张图片

你可能感兴趣的:(云计算,华为,数据中心,IDC,eSDK)