1、XX智慧校园云计算平台技术方案书2013年3月XX智慧校园云计算平台技术方案书目 录1 概述31.1 高校信息化面临的挑战31.2 云计算在高校的应用价值42 智慧校园建设背景72.1 现状分析72.2 需求分析82.3 设计原则102.4 建设模式分析113 智慧校园云计算平台设计133.1 整体架构设计133.2 计算资源池设计143.3 存储资源池设计163.4 网络资源池设计173.4.1 设计要点173.4.2 组网架构203.4.3 核心交换系统213.4.4 服务器与存储接入223.4.5 虚拟机接入233.5 安全资源池设计273.5.1 设计要点273.5.2 网络边界安全防2、护283.5.3 虚拟机深度安全防护293.5.4 安全策略动态迁移313.6 虚拟化平台设计333.6.1 计算虚拟化333.6.2 网络虚拟化423.7 云管理平台设计473.7.1 云业务管理483.7.2 云网络管理543.1 推荐配置清单583.2 解决方案优势593.2.1 高效节能593.2.2 弹性可靠613.2.3 标准融合631 概述1.1 高校信息化面临的挑战在传统的教育信息化建设过程中，基本上都按照“按需、逐个、独立”的建设原则，每一个应用系统都使用独立的服务器、独立的安全和管理标准、独立的数据库和独立的展现层，即烟囱式的孤岛架构。图1 教育信息化的孤岛架构孤岛架构的缺3、点主要有：（1） 高投入、难管理、低效率、高能耗、低可用问题当前教育信息化硬件配置现状一般是如下两种情况： 普通应用系统，一台服务器安装一个应用系统； 关键应用系统，如校园一卡通业务系统、OA系统、云教学系统等，基于性能的考虑，通常以服务器（小型机或刀片服务器）和SAN存储连接方式为基础，一个应用系统部署在几台服务器上（应用服务器、数据库服务器），通过小型机或多组刀片来实现关键应用的部署。第一种情况存在硬件资源浪费与硬件资源不足的问题。如果服务器性能很高，有资源剩余，但不能将多余的资源给其他应用系统使用，造成浪费；当应用高峰时，可能一台服务器资源不足，也无法从其它地方获取更多的硬件资源支持，造4、成应用瘫痪；第二种情况存在严重资源浪费问题。多台服务器为一个应用服务。应用系统动辄就有几十个（如教务管理、人事管理、办公、财务管理、固定资产管理、教学系统等），应用系统的建设需要大量的服务器来支撑。系统建成后，在实际使用中，有些应用系统一天可能只有少数人使用，使用的次数也很少；另外，这些应用系统的使用模式也非常有规律，如大部分用户的使用和访问集中在上班时间，非正常上班时间（晚上、节假日）利用率很低。在这些时间内，只有少数人偶尔使用OA系统、邮件系统等，大量的业务系统实际上处于空闲状态，CPU和内存利用率不超过15%，但支持这些应用系统正常运行的所有资源（服务器等硬件设备）需要不间断工作，大量的5、服务器硬件增加了维护难度和能耗成本。（2） 低可靠性问题当任意一台服务器出现硬件故障或者软件故障时，则与本服务器相关的应用系统都不能使用，造成应用系统瘫痪。1.2 云计算在高校的应用价值云计算是一种基于网络的计算服务供给方式，它以跨越异构、动态流转的资源池为基础提供给客户可自治的服务，实现资源的按需分配、按量计费。云计算导致资源规模化、集中化，促进IT产业的进一步分工，让IT系统的建设和运维统一集中到云计算运营商处，普通用户都更加关注于自己的业务，从而提高了信息化建设的效率和弹性，促进社会和国家生产生活的集约化水平。云计算主要包含两个层次的含义： 一是从被服务的客户端看：在云计算环境下，用户无6、需自建基础系统，可以更加专注于自己的业务。用户可按需获取网络上的资源，并按使用量付费。如同打开电灯用电，打开水龙头用水一样，而无需考虑是电从哪里来，水是哪家水厂的。 二是从云计算后台看：云计算实现资源的集中化、规模化。能够实现对各类异构软硬件基础资源的兼容，如电网支持水电厂、火电厂、风电厂、核电厂等异构电厂并网；还能够实现资源的动态流转，如西电东送，西气东输、南水北调等。支持异构资源和实现资源的动态流转，可以更好的利用资源，降低基础资源供应商的成本。云计算是能够提供动态资源池、虚拟化和高可用性的下一代计算模式，可以为用户提供“按需计算”服务。根据当前教育信息化的现状及发展趋势，云计算在教育行业7、将有极其重要的应用价值：（1） 教育资源的优化整合对目前教育信息化的各种资源进行整合开发利用，充分挖掘潜力，提高资源的利用率。首先将分散在不同地域的教学园区的软硬件资源进行整合，提高其重复利用率，杜绝闲置和浪费现象，达到数据的标准统一、管理统一、维护统一，逐渐将校园网内各个分校、各个应用系统的数据动态及时地互联互通，彻底消除教育信息化中的信息孤岛，实现信息分散、动态采集，集中安全管理，共享应用。通过服务器虚拟化技术，将各种硬件及软件资源虚拟化成一个或多个资源池，并通过系统管理平台对这些虚拟资源进行智能的、自动化的管理和分配。（2） 教育资源的服务提供通过多层次的自助服务门户为最终用户（即资源的8、使用者）提供数据及应用服务，资源使用者可以通过自助服务门户浏览和申请使用教育资源，并可以按自己的需要对资源进行下载、重新整合和展现。同时，教育应用开发商或资源提供者也可以通过自助服务门户上载教育应用或资源到教育私有云服务平台上，而教育云服务的运营者或管理者，可以通过该自助服务门户对用户、资源、计费进行统一管理。图2 教育云平台框架图 首先，通过运行在服务器上的虚拟化内核软件，屏蔽底层异构硬件之间的差异性，消除上层客户操作系统对硬件设备及底层驱动的依赖，同时增强虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等功能。 其次，通过虚拟化管理软件形成云计算资源管理平台，实现对数据9、中心内的计算、网络和存储等硬件资源的软件虚拟化管理，对上层应用提供自动化服务。其业务范围包括：虚拟计算、虚拟网络、虚拟存储、高可用性（High Availability，HA）、动态资源调度（Dynamic Resource Scheduling，DRS）、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。 最后，通过云业务管理中心，将基础架构资源（包括计算、存储和网络）及其相关策略整合成虚拟数据中心资源池，并允许用户按需消费这些资源，从而构建安全的多租户混合云。其业务范围包括：组织（虚拟数据中心）、多租户数据和业务安全、云业务工作流、自助式服务门户、兼容OpenStack的R10、EST API接口等。2 智慧校园建设背景2.1 现状分析XX学院是江苏省首家高等信息职业技术学院，隶属于江苏省信息产业厅，是一所国有公办性质的全日制普通高等学校，座落于XX大学城内，占地1048亩。学院具有四十多年的办学历史。素有“江苏省信息产业人才培养重要基地”的美誉。学院自1999年升格为大学专科，是XX第一所具有国家统招资格的大专院校，2003年学院整体入住大学城校区，成为大学城第一所入住的高校，由于办学历史长于同类院校，师资力量优越，所以XX信息学院一直被认为是XX实力最强，就业最好的的公办高职院校，2007年被评为国家示范高职院校，就是所谓的高职211，全国共100所，XX仅此一所11、。XX学院校园网建设较早，采用传统的IT建设模式。基础网络由接入、汇聚、核心组成的三层物理架构，链路带宽为百兆接入，千兆骨干。其中，核心交换机为一台Cisco C6509，在图书馆、教学楼、实训楼和学生公寓均部署了Cisco C4506作接入交换机的区域汇聚；校园网出口拥有两条，分别为200MB中国电信和1000MB教育科研网，通过千兆防火墙进行安全隔离；全校大部分场所部署了无线信号，实现了校园无线网络基本覆盖；服务器区目前拥有各种服务器19台，主要服役服务器13台，其中12刀IBM BCH刀片服务器， 6刀物理机运行数字化校园网服务数据库，另外6刀部署虚拟化（Vmware），共配置50台虚拟12、机，在运行的虚拟机有30台，高端应用8CPU/每虚拟机，8G内存/每虚拟机；数据存储共74T，其中采用了48T 的HP存储和24T 的IBM存储，均为FC SAN。 图3 XX学院校园网拓扑架构2.2 需求分析XX学院信息化在基础设施和应用系统建设方面取得了很大的成绩，但是在其建设当中，IT资源部署方式仍然是按照应用进行物理的划分，这种部署方式可能存在以下风险和挑战：资源利用率低由于应用与资源绑定，每个应用都需要按照其峰值业务量进行资源的配置，这导致在大部分时间许多资源都处于闲置状态，不仅造成服务器的资源利用率较低，而且对资源的共享、数据的共享造成了天然的障碍。运维成本高随着学校新应用系统的增13、加，服务器、网络和存储的设备数量也会出现迅速的膨胀，在传统的数据中心建设模式下，会造成占地空间、电力供应、散热制冷和维护成本的急剧上升，为学校长远的IT投入和运维带来挑战。业务部署缓慢在传统的模式下，学校的各个部门如果要部署新的业务，那么在提交变更请求与进行运营变更之间存在较大延迟，每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作，使得业务的部署极为缓慢。管理策略分散当前的IT资源运维管理缺乏统计的集中化IT构建策略，无法对信息化校园网数据中心的基础设施进行监控、管理、报告和远程访问，IT管理策略分散。XX学院的校园网数据中心作为学校教学和日常管理等关14、键业务正常运行的平台和进一步发展的基石，其随着学校的不断发展，其对承载的关键业务、核心应用，对于信息数据的完整性、业务运行的可靠性、网络系统的可用性的要求越来越高，因此，要求其必须拥有更强的IT服务能力，保持高效稳定的运行，数据中心的升级建设势在必行。目前IT信息技术已经延伸到学校的各个层面，从学校角度看，云计算有利于整合信息资源，实现信息共享，促进学校教学和科研水平的发展。从用户角度看，利用云计算可以独立实现或享受某一项具体的业务和服务。因此云计算将在高校的IT政策和战略中正扮演越来越重要的角色。本次方案设计，拟通过升级和改造XX学院数据中心基础设施，优化业务管理流程，建设一张“随需而动”的15、智慧校园数据中心，未来的核心业务涵盖如下范围：以“统规、统建、统维”思想为指导，以丰富的云基础设施，云存储，云安全和各类云服务共同构建XX学院IaaS云平台，服务于学校各级部门和科研机构。数据处理：具有海量数据的处理和分析。为学校各部门集中提供基础的信息处理能力，承接各部门的应用系统迁移和部署，实现相关云数据中心的资源整合、集中部署与统一管理。项目建设应从XX学院数据中心信息化发展方向以及发展现状出发，加强综合协调和统筹规划，借助现代、前沿的信息化技术，形成集成能力强、运作效率高和具有可持续发展能力的云数据中心多业务应用平台，真正为学校提供找得着、用得好、有保证的信息化服务。本方案将云数据中心16、“IT基础设施”的“按需使用”以及”自动化管理和调度”作为云计算的实践，形成可落地实施的、可持续发展的云计算平台，即IaaS云计算平台。 XX学院IaaS云平台的建设目标建议如下：统一管理通过最新的云计算核心技术之一虚拟化技术，整合现有所有应用，整合内容包括WEB、MAIL、FTP、域控管理、OA系统、后台数据库等应用，将整个业务系统作统一的规划和部署，统一数据备份，从而形成自上向下的有效IT管理架构。强调整体方案的可扩展性、高可用性、易用性和易管理性采用最新的高性能高可靠服务器，保证整个硬件系统的可靠性和可用性，为用户的应用提供可靠的硬件保障；建设云计算平台，发挥云计算平台的优越性，为用户提17、供HA功能，保证用户业务系统的连续性和高可用性，让用户的业务实现零宕机风险；提供专业的管理软件，保证硬件系统和软件系统的可管理性，为用户节省管理投资成本。2.3 设计原则l 兼容与互通当前阶段，整个云计算产业还不够成熟，相关标准还不完善。为保证多厂商的良好兼容性，避免厂商技术锁定，方案的设计充分保证与第三方厂商设备保持良好的对接。此外，为保证方案的前瞻性，设备的选型应充分考虑对已有的云计算相关标准（如EVB/802.1Qbg等）的扩展支持能力，保证良好的先进性，以适应未来的技术发展。l 业务高可用云计算平台作为承载未来政务应用的重要IT基础设施，承担着稳定运行和业务创新的重任。伴随着数据与业务18、的集中，云计算平台的建设及运维给信息部门带来了巨大的压力，因此平台的建设从基础资源池（计算、存储、网络）、虚拟化平台、云平台等多个层面充分考虑业务的高可用，基础单元出现故障后业务应用能够迅速进行切换与迁移，用户无感知，保证业务的连续性。l 统一管理与自动化云计算的最终目标是要实现系统的按需运营，多种服务的开通，而这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、工作流管理、自助Portal界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，因此统一管理与自动化将成为必然趋势。l 开放接口19、传统的管理系统与上层系统对接，注重故障的上报和信息的查询。而云计算的管理系统更关注如何实现自动化的部署，在接口方面更关注资源调度和分配，这就需要管理系统在业务调度方面实现开放。为保证服务器、存储、网络等资源能够被云计算运营平台良好的调度与管理，要求系统提供开放的API接口，云计算运营管理平台能够通过API接口、命令行脚本实现对设备的配置与策略下发联动。同时云平台也提供开放的API接口，未来可以基础这些接口进行二次定制开放，将云管理平台与教育网应用相融合，实现面向云计算的教育应用管理平台。2.4 建设模式分析在信息化发展加速的今天，小企业开始建立自己的信息系统，通过租赁云计算数据中心可以投资，并20、以少量的专业IT人员实现信息化。但对于具有成熟应用是大中型企业机构，租赁数据中心终究需要依赖于第三方机构，业务部署灵活性较差，安全性无法得到有效保证。因此，建议基于自身业务和发展目标，整体规划、分步实施、统筹协调，进行云计算平台的自建，以充分保证应用系统支撑平台的可靠性和安全性。自建云计算数据中心：用户可以根据自身业务需要，定制化的建设适合自身业务承载平台，从基础承载网、计算资源、存储资源和业务系统等多方面得到准确控制，保证平台的高可靠性和高性能；也可基于自身业务出发，开发出支撑新业务的应用系统，通过资源的自动调度，满足多种业务上线测试的需求。租赁云计算数据中心：可以减少初期投资与运营成本，降21、低风险。用户不必进行硬件的基础投资和购买昂贵的软件版权，只需根据需求租赁相应的硬件、软件，并根据使用情况来付费。两种模式对比如下：自建租赁总体投资同等同等初期投资较多较少建设模式自主设计、自主建设租赁既有的基础设施基础设施管理自主管理依赖于第三方可靠性可靠较为可靠安全性安全较为安全扩展性根据自身业务发展，灵活扩展申请扩展，受限于第三方响应能力灵活性灵活，根据自身业务灵活调整业务部署不灵活，受限于第三方基础设施模型维护维护工作量较大，既要维护基础平台，又要维护业务系统只需维护业务系统，基础设施维护由第三方完成从以上对比来看，建议自建智慧校园的云计算平台。3 智慧校园云计算平台设计3.1 整体架构22、设计根据本期工程的需求和建设目标，保持XX学院校园网整体拓扑基本不变，在整合现有资源的基础上，新建云计算平台，拉通后台资源，实现统一管理，构建立体的安全防护体系，为智慧校园应用提供坚实的基础IaaS平台。下图为整合之后的智慧校园IT整体架构：图4 整体解决方案拓扑图XX学院的IaaS云平台总体逻辑拓扑结构如下图所示。整个平台由计算资源池、网络资源池、存储资源池、安全资源池、虚拟化平台和云管理平台六个部分组成，物理组网拓扑如下：图5 IaaS云平台组网拓扑图3.2 计算资源池设计服务器是云计算平台的核心，其承担着云计算平台的“计算”功能。对于云计算平台上的服务器，通常都是将相同或者相似类型的服务23、器组合在一起，作为资源分配的母体，即所谓的计算资源池。在这个计算资源池上，再安装虚拟化软件，使得其计算资源能以虚拟机的方式被不同的应用使用。此次云平台新增的计算资源池建议采用HP/H3C最新技术的BladeSystem刀片式服务器，每台10U高的C8000刀片机箱中可以集中部署8片高性能的两路刀片服务器B260或部署16片高密双路刀片，用于集中部署虚拟化资源。C8000还带有一个共享的5TB/s高速NonStop中央背板，可将刀片服务器轻松连接到网络和共享存储。 电源由一个集中的电源背板提供，以确保所有刀片服务器都能获得它们所需的电能，在实现冗余的同时提供最高的配置灵活性。刀片系统C8000机24、箱可提供模块化服务器、互连和存储组件当前和未来几年所需的电力、散热能力及 I/O 基础设施。 该机柜 10U 高，可容纳 16 台服务器和/或存储刀片，以及可选的冗余网络和存储互连模块。 它包括一个共享的每秒 5 TB 高速 NonStop 中间板，可将刀片服务器一次性连接到网络和共享存储设备。 电源通过一个集中电源的背板提供，确保所有刀片服务器都能使用全部的电源，从而获得最大的灵活性和冗余。 可灵活选择单相、三相交流电和 48 伏直流电输入。 刀片Server采用FlexServer B260全新高密度服务器，可在单倍宽度和全高外形提供两路性能和功能。FlexServer B260刀片服务器25、支持客户整合服务器及重新规划宝贵的机柜空间，进一步缓解了数据中心的服务器数量激增并降低了总体拥有成本(TCO)。FlexServer B260服务器系列是虚拟化、数据库、业务处理、决策支持、高性能计算(HPC)和一般两路数据密集型应用的理想选择，在这些情形中，数据中心的空间效率和性价比都非常重要。支持高密度和经济高效的英特尔至强 5500 或 5600 系列处理器， FlexServer B260服务器具出色的性能、可升级和可扩展性，成为数据中心计算的标准。可在一个半高刀片内，插入 2 个处理器、2 个热插拔硬盘、384 GB 内存以及 1 个双端口 FlexFabric 适配器，同时支持 I26、T 经理通过单一平台，处理各种业务应用。高达 2 个双核、4 核或 6 核英特尔 至强 5500 或 5600 系列处理器12 个 DIMM 插槽，支持带有高级 ECC 功能的 384 GB DDR-3 内存用于硬件 RAID 0 和 1 的惠普智能阵列 P410i 控制器，可以利用可选的高速缓存模块提高设备性能多达两 (2) 块小型 (SFF) SAS、SATA 或 SSD 热插拔硬盘内置 USB 和 SD 卡插槽支持简单、灵活的管理程序部署嵌入式双端口 10 Gb FlexFabric 适配器，可满足网络密集型应用程序的高带宽要求通过同一灵活连接，融合局域网和存储区域网的流量，简化管理，降27、低基础设施成本多达八 (8) 个到网络和存储设备的连接，无需附加夹层卡分配和调整网络和存储带宽，以满足应用程序需求3.3 存储资源池设计H3C CAS云计算管理平台中的存储用于保存虚拟机的操作系统、应用程序文件、配置文件以及与活动相关的其它数据，是虚拟机正常工作的基本前提条件。根据存储的种类不同，可以分为本地存储和共享存储两种。 在部署了H3C CAS云计算管理平台，并将主机作为被管理资源对象添加到H3C CAS云计算管理平台之后，该主机默认使用本地磁盘介质作为存储，其它主机不能使用。 在数据中心中，很多用户选择使用共享存储来承载虚拟机及其数据，目前，H3C CAS云计算管理平台支持IP SA28、N和FC SAN等类型的存储。采用共享存储的好处是： 共享存储往往比本地存储提供更好的I/O性能（尤其在多虚拟机环境下）。 H3C CAS云计算管理平台中的在线迁移和高可用性功能需要共享存储作为先决条件，例如HA和动态资源调整等。H3C CAS管理平台中的虚拟机文件系统是一种优化后的高性能集群文件系统，允许多个云计算节点同时访问同一虚拟机存储。 由于虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件，通过将这些文件放在SAN存储阵列上的文件系统中，可以让不同服务器上的虚拟机都可以访问到该文件，从而消除了单点故障。为了实现数据的集中存储、集中备份以及充分利用H3C CAS29、虚拟架构中虚拟机可动态在线从一台物理服务器迁移到另一台物理服务器上的特性等，在存储区配置1套HP P4500 G2 SAN，同时配置冗余的存储接入交换机，组成标准的IP SAN集中存储架构。采用1台HP P4500 G2 SAN存储阵列，统一存放虚拟机镜像文件和业务系统数据，这样做不会在运行虚拟机的云计算计算节点主机上引起任何额外的负载。图6 存储资源池设计3.4 网络资源池设计3.4.1 设计要点云计算数据中心基础网络是云业务数据的传输通道，将数据的计算和数据存储有机的结合在一起。为保证云业务的高可用、易扩展、易管理，云计算数据中心网络架构设计关注重点如下： 高可用性网络的高可用是业务高可用30、的基本保证，在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关键网络设备之间的物理链路采用双路冗余连接，按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到99.999%的电信级可靠性。基础网络从核心层到接入层均部署H3C的IRF2技术，可以实现数据中心级交换机的虚拟化，不仅网络容量可以平滑扩展，更可以简化网络拓扑结构，大大提高整网的可靠性，使得整网的保护倒换时间从原来的510秒缩短到50ms以内，达到电信级的可靠性要求。作为未来网络的核心，要求核心交换区设备具有高可靠性，优先选用31、采用交换引擎与路由引擎物理分离设计的设备，从而在硬件的体系结构上达到数据中心级的高可靠性。本次项目核心设备采用H3C S12500数据中心级核心交换机、接入设备采用H3C S5820V2数据中心级接入交换机，设备组件层面充分保证高可靠。如下图所示： 大二层网络部署云计算数据中心内服务器虚拟化已是一种趋势，而虚拟机的迁移则是一种必然，目前业内的几种虚拟化软件要做到热迁移时都是均需要二层网络的支撑，随着未来计算资源池的不断扩展，二层网络的范围也将同步扩大，甚至需要跨数据中心部署大二层网络。大规模部暑二层网络则带来一个必然的问题就是二层环路问题，而传统解决二层网络环路问题的STP协议无法满足云计算数32、据中心所要求的快收敛，同时会带来协议部署及运维管理的复杂度增加。本次方案中通过部署H3C IRF2虚拟化技术实现两台或多台同一层物理交换机虚拟成一台逻辑设备，通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部暑STP，同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一个，无需部署传统的VRRP协议。 在管理层面，通IRF2多虚一之后，管理的设备数量减少一半以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。如下图所示： 网络安全融合云计算将所有资源进行虚拟化，从物理上存在多个用户访问同一个物理资源的问题，那么如何保证用户访问33、以及后台物理资源的安全隔离就成为了一个必须考虑的问题。另一方面由于网络变成了一个大的二层网络；以前的各个业务系统分而治之，各个业务系统都是在硬件方面进行了隔离，在每个系统之间做安全的防护可以保证安全的访问。所以在云计算环境下，所有的业务和用户的资源在物理上是融合的，这样就需要通过在网关层部署防火墙的设备，同时开启虚拟防火墙的功能，为每个业务进行安全的隔离和策略的部署。在传统的数据中心网络安全部署时，往往是网络与安全各自为战，在网络边界或关键节点串接安全设备(如FW、IPS、LB等)。随着数据中心部署的安全设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。34、本次方案中采用了H3C SecBlade安全插卡可直接插在H3C交换机的业务槽位，通过交换机背板互连实现流量转发，共用交换机电源、风扇等基础部件。融合部署除了简化机房布线、节省机架空间、简化管理之外，还具备以下优点： 互连带宽高。SecBlade系列安全插卡采用背板总线与交换机进行互连，背板总线带宽一般可超过40Gbps，相比传统的独立安全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本。 业务接口灵活。SecBlade系列安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有SecBlade安全插卡时，交换机上原有的所有业务接口均35、可配置为安全业务接口。此时再也无需担心安全业务接口不够而带来网络安全部署的局限性。 性能平滑扩展。当一台交换机上的一块SecBlade安全插卡的性能不够时，可以再插入一块或多块SecBlade插卡实现性能的平滑叠加。而且所有SecBlade插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。3.4.2 组网架构本次项目基础网络采用“扁平化”设计，核心层直接下联接入层，省去了中间汇聚层。随着网络交换技术的不断发展，交换机的端口接入密度也越来越高，“扁平化”组网的扩展性和密度已经能够很好的满足XX学院IaaS云平台服务器接入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下，扁平化二层架构更容36、易实现VLAN的大二层互通，满足虚拟机的部署和迁移。相比传统三层架构，扁平化二层架构可以大大简化网络的运维与管理。基础网络平台组织结构如下图所示： 网络的二、三层边界在核心层，安全部署在核心层； 核心与接入层之间采用二层进行互联，实现大二层组网，在接入层构建计算和存储资源池，满足资源池内虚拟机可在任意位置的物理服务器上迁移与集群。 采用2台S12508构建核心层，分别通过10GE链路与接入层、管理网交换机、校园网核心互连，未来此核心层将逐步演变成整网大核心，两台核心交换机部署IRF虚拟化。 服务器区和存储区接入层分别采用2台2台S5820V2，每台接入交换机与核心交换机采用10GE链路交叉互连37、，每个区的两台接入交换机部署IRF虚拟化，与核心交换机实现跨设备链路捆绑，消除二层环路，并实现链路负载分担。 利旧服务器区接入层利旧老接入交换机，通过万兆链路与云平台核心互联。分层分区设计思路：根据业务进行分区，分成计算区、存储区和管理区。计算、存储区域内二层互通，区域间VLAN隔离；根据每层工作特点分为核心层和接入层，网关部署在核心层。3.4.3 核心交换系统核心层由两台H3C S12508构建，负责整个云计算平台上应用业务数据的高速交换。核心交换机间及与服务器接入交换机、管理区接入交换机、校园网核心交换机间均采用万兆接口捆绑互联。核心交换机上部署2-7层的安全插卡，实现云计算业务的安全防护38、与流量分析。H3C S12500是中国国内第一款100G平台交换机，支持未来40GE和100GE以太网标准，采用先进的CLOS多级多平面交换架构，独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大程度的提高设备可靠性，同时为后续产品带宽的持续升级提供保证；整机可以提供576个万兆端口，提供高密度万兆接入能力；面对下一代数据中心突发流量，创新的采用了“分布式入口缓存”技术，可以实现数据200ms缓存，满足数据中心、高性能计算等网络突发流量的要求；为了满足数据中心级网络高可靠、高可用、虚拟化的要求，S12500采用创新IRF2（第二代智能弹性架构）设计，将多台高端设备虚拟化为一台逻辑设备，同时39、支持独立的控制引擎、检测引擎、维护引擎，为系统提供强大的控制能力和50ms的高可靠保障。两台S12508部署IRF2虚拟化技术，简化路由协议运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2互联链路采用2*10GE捆绑，保证高可靠及横向互访高带宽。3.4.4 服务器与存储接入采用两台H3C S5820V2万兆交换机，负责服务器网络接入，服务器配置双网卡4个千兆接口，其中两个千兆接口捆绑做业务流接口；并负责存储设备的网络接入，iSCSI存储设备的网络接入采用万兆链路，接入交换机上对应的端口工作在万兆模式。S5820V2系列交换机定位于下一代数据中心及云计算网络中的40、高密万兆接入，采用业界先进的硬件设计，最强的端口报文缓存能力，并支持丰富的数据中心特性，同时模块化的双电源、双风扇（前后/后前风道）设计大幅提升设备的可靠性；针对于数据中心大流量数据无阻塞传输的要求， S5820V2交换机采用了专用的报文缓存芯片以提供强大的缓存能力，整机支持3GB 数据报文缓存，配合先进的缓存调度机制可以保证设备缓存能力有效利用的最大化；S5820V2系列交换机支持EVB (Edge Virtual Bridging)，通过VEPA (Virtual Ethernet Port Aggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理，不仅实现了41、虚拟机间流量转发，同时还解决了虚拟机流量监管、访问控制策略部署等问题；S5820V2系列交换机支持FCOE 和TRILL（Transparent Interconnection of Lots of Links），允许LAN和FC SAN的业务流量在同一个以太网中传送，加快了数据中心的整合步伐，并为构建大二层数据中心网络提供了良好的技术路线。丰富的数据中心特性、增强的QOS能力同DCB （Data Center Bridging）相结合，使得S5820V2系列交换机成为构建未来数据中心网络的理想选择。两台S5820V2之间分别部署IRF2虚拟化技术，通过跨设备链路捆绑消除二层环路、简化管理，同42、时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2互联链路采用2*10GE捆绑，保证高可靠及横向互访高带宽。3.4.5 虚拟机接入在虚拟化服务器中，虚拟以太网交换机是一个比较特殊的设备，具有重要的作用。虚拟机是通过虚拟交换机向外界提供服务的。在虚拟化的服务器中，每个虚拟机都变成了一台独立的逻辑服务器，它们之间的通信通过网络进行。每个虚拟机被分配了一个虚拟网卡（不同的虚拟机网卡有不同MAC地址）。为实现虚拟机之间以及虚拟机与外部网络的通信，必须存在一个“虚拟以太网交换机”以实现报文转发功能。IEEE标准化组织将“虚拟以太网交换机”的正式英文名称命名为“Virtual Ethernet 43、Bridge”，简称VEB。图7 传统的软件VEB转发模式在服务器上采用纯软件方式实现的VEB就是通常所说的“vSwitch”。vSwitch是目前较为成熟的技术方案。在一个虚拟化的服务器上，VMM为每个虚拟机创建一个虚拟网卡，每个虚拟网卡映射到vSwitch的一个逻辑端口上，服务器的物理网卡对应到vSwitch与外部物理交换机相连的上行逻辑端口上。vSwitch的引入，给云计算数据中心的运行带来了以下两大问题：（1） 网络界面的模糊主机内分布着大量的网络功能部件vSwitch，这些vSwitch的运行和部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这44、形成了专业技能支撑的不足，而网络操作人员一般只能管理物理网络设备、无法操作主机内vSwitch，这就使得大量vSwicth具备的网络功能并不能发挥作用。此外，对于服务器内部虚拟机之间的数据交换，在vSwitch内有限执行，外部网络不可见，不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为vSwitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。（2） 虚拟机的不可感知性物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态45、完全不感知，同时对虚拟机也无法进行实时网络定位，当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。为了解决上述问题， 本次项目H3C的解决思路是将虚拟机的所有流量都引至外部接入交换机，此时因为所有的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决，此方案最典型的代表是EVB标准。IEEE 802.1Qbg Edge Virtual Bridging（EVB）是由IEEE 802.1工作组制定一个新标准，主要用于解决vSw46、tich的上述局限性，其核心思想是：将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理，即使同一台物理服务器虚拟机间的流量，也将发往外部物理交换机进行查表处理，之后再180度掉头返回到物理服务器，形成了所谓的“发卡弯”转发模式，如下图所示：图8 VEPA转发模式EVB标准具有如下的技术特点： 借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，不但简化了网卡的设计，而且充分利用了外部交换机专用ASIC芯片的处理能力、减少了虚拟网络转发对CPU的开销； 充分利用外部交换机既有的控制策略特性（ACL、QOS、端口安全等）实现整网端到端的策略统一部署；47、 充分利用外部交换机的既有特性增强虚拟机流量监管能力，如各种端口流量统计，NetStream、端口镜像等。EVB标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。在 EVB技术体系架构中，除了物理服务器和支持EVB标准的边缘接入交换机等基础IT架构之外，还需要定义两套管理系统，分别为VMM（Virtual Machine Manager，虚拟机管理系统）和NMS（Network Management System，网络管理系统）。H3C的EV48、B VMM和NMS分别对应H3C CVM虚拟化管理平台和iMC VCM（Virtual Connection Manager，虚拟连接管理）组件。如下为EVB基本工作流程：图9 H3C EVB解决方案流图 网络管理员在iMC VCM上创建VSI类别，每个类别具有版本号，保存在VTDB数据库中。 服务器管理员通过H3C CAS CVM管理平台创建VM，从iMC VCM组件中查询可用的VSI类别，创建VSI实例，实例的信息由VSI实例号和选定的VTID组成。 H3C CAS CVM管理平台通过CVK组件将VM与网络资源的绑定关系写入到vSwitch模块。 H3C CAS CVK组件中的vSwitc49、h模块使用VDP/CDCP协议和H3C S5820V2交换机协商S通道， 在VM上线时使用配置的VSI Type、VSIID等信息构造VDP消息报文（可能是VDP关联、预关联或去关联消息）和H3C S5820V2交换机交互。 H3C S5820V2交换机接收到VDP报文后，通过HTTP向iMC VCM请求VSI类别定义的网络资源，iMC VCM接收到此HTTP请求后，检索VSI 类别对应的网络资源，并通过CLI逐条下发给H3C S5820V2交换机的相应的接口上。当虚拟机在网络中迁移时，虚拟机的虚拟网络接口对应的配置也需要随着迁移，虚拟交换机使用VDP协议将虚拟机迁移的信息告知边缘物理交换机。50、将虚拟机的VSI接口与端口策略自动进行关联和去关联，从而使虚拟机的网络配置与虚拟机一起自动迁移。图10 虚拟机迁移时网络策略同步的流程图下面是虚拟机迁移时网络策略同步的流程说明： VM从物理主机A迁移到物理主机B。VM迁移的条件可能是系统管理员手动触发，也有可能是H3C CVM虚拟化管理平台提供的HA（高可靠性）和动态资源调度等高级特性执行时动态触发。 将VM的XML配置文件和内存等其它实时信息拷贝到物理主机B上（如果VM的磁盘文件不是在共享存储上，还需要将磁盘文件拷贝到B上），记录拷贝过程中发生变化的应用程序和操作系统脏数据 在物理主机B上触发创建VM，并向邻接物理交换机发送VDP预关联消息51、。 将VM在物理主机A上的脏数据实时同步到物理主机B上，当同步差异足够小时，暂停掉服务器A上的VM，一次性将所有的脏数据同步到物理主机B上。 激活物理主机B上的VM，向邻接物理交换机发送VDP关联消息。如果关联成功，则继续下一步；否则发送去关联消息，恢复服务器A上的VM，迁移失败。 邻接物理交换机通过HTTP向iMC请求虚拟机VSI对应的网络资源，iMC检索VSI类别对应的网络资源，并通过命令行方式逐条下发给物理交换机相应的端口上。 关闭服务器主机A上的VM，触发VDP去关联消息，邻接物理交换机释放相应资源。3.5 安全资源池设计3.5.1 设计要点安全是一个系统工程，为了合理的解决网络安全问52、题，必须充分分析网络逻辑组成，网络中不同部分的功能不同，所关注的安全问题也不同。所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、IP地址欺骗、路由协议攻击、ICMP Smurf攻击等；网络服务过程主要针对TCP/UDP以及居于其上的应用层协议进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCP DoS、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以53、及其上的应用程序，甚至是基于Web的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、监听、木马、病毒都是常见的攻击工具。对关键的主机系统和子网，能够进行网络资源检查，并及时发现问题。使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。目前，虚拟化已经成为云计算提供“按需服务”的关键技术手段，包括基础网络架构、存储资源、计算资源以及应用资源都已经在支54、持虚拟化方面向前迈进了一大步，只有基于这种虚拟化技术，才可能根据不同用户的需求，提供个性化的存储计算及应用资源的合理分配，并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。安全无论是作为基础的网络架构，还是基于安全即服务的理念，都需要支持虚拟化，这样才能实现端到端的虚拟化计算。典型的示意图如图所示：图11 安全虚拟化示意图3.5.2 网络边界安全防护本次项目设计在云平台的核心交换机上部署多种安全插卡，实现网络安全的一体化防护。如部署防火墙插卡，防火墙插卡设备虽然部署在交换机框中，但仍然可以看作是一个独立的设备。它通过交换机内部的10GE接口与网络设备相连，它可以部署为2层透明设备和三层路55、由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。 图12 虚拟防火墙示意图如上图FW三层部署所示，防火墙可以与宿主交换机直接建立三层连接，也可以与上游或下游设备建立三层连接，不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通，也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域，可以将防火墙设计为服务器网关设备，这样所有访问服务器的三层流量都将经过防火墙设备，这种部署方式可以提供区域内部服务器之间访问的安全性。防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常56、见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。对于云计算数据中心虚拟机服务网关的选择上，建议根据不同租户的安全需求进行区分对待，不建议将所有网关配置在FW上，以分散FW的压力，满足租户内的安全域隔离，具体设计如下： 对于需要FW的业务的租户，网关部署在vFW上； 对于不需要FW的普通租户，网关部署在核心交换机上。图57、13 多租户安全隔离示意图3.5.3 虚拟机深度安全防护云计算将IT资源进行虚拟化和池化，这些资源将以服务的形式动态分配给租户使用。对于云计算网络层的安全防护，需要解决下图所示的两个问题： 图14 防火墙虚拟化示意图 位于同一物理服务器内的多个不同虚拟机之间的流量安全防护，此类流量有部分是直接通过vSwitch进行交互的，部署在外部网络层的防火墙策略将无法实现安全防护； 随着云计算中心内新租户的上线和业务变更，传统静态的防火墙部署方式已经不能满足，需要将防火墙也进行虚拟化并交付给租户使用。H3C动态虚拟安全的构建主要分4个层面，一是基于VEPA或VLAN将VM流量引出并进行识别，为下一步给不同58、流量部署不同级别安全策略作准备；二是防火墙资源动态分配，这是动态安全最为核心的一个步骤。通过1虚多的虚拟化技术，将一台防火墙设备虚拟化为多个虚拟墙vFW，根据不同的需要动态分配；三是通过SecBlade防火墙插卡平滑扩展规格，在H3C的核心设备S12500等设备上插上防火墙业务模块，满足虚拟防火墙数量和性能平滑扩展，实现大规模的运营；四是防火墙资源池统一管理，虚拟化的防火墙资源池能够在防火墙管理平台上进行可视化的统一管理和操作。如下图所示： 图15 动态虚拟安全构建示意图3.5.4 安全策略动态迁移虚拟化数据中新带来的最大挑战就是网络安全策略要跟随虚拟机自动迁移。在创建虚拟机或虚拟机迁移时，虚59、拟机主机需要能够正常运行，除了在服务器上的资源合理调度，其网络连接的合理调度也是必须的。图16 网络安全配置自动迁移示意图如上图所示，虚拟机1从pSrv1上迁移到pSrv2上，其网络连接从原来的由pSRV1上vSwitchA的某个端口组接入到Edge Switch1，变成由pSRV2上vSwitchB的某个端口组接入到Edge Switch2。若迁移后对应的Edge Switch的网络安全配置不合适，会造成虚拟机1迁移后不能正常使用。尤其是原先对虚拟机1的访问设置了安全隔离ACL，以屏蔽非法访问保障虚拟机1上业务运行服务质量。因此在发生虚拟机创建或迁移时，需要同步调整相关的网络安全配置。并且，60、为了保证虚拟机的业务连续性，除了虚拟化软件能保证虚拟机在服务器上的快速迁移，相应的网络连接配置迁移也需要实时完成。即网络具有“随需而动”的自动化能力。但在VEB vSwtich模式下，通常会出现多个虚拟机的配置都重复下发到一个物理接口上，很难做到针对每一个虚拟机的精细化网络安全配置管理。因此只有先精细化区分流量（比如源IP、源MAC、VLAN等），再进行针对性的网络安全配置迁移与本地配置自动化去部署。目前业界最优的解决方法就是在主机邻接物理交换机采用vPort的概念。一个虚拟机绑定一个或几个特定的vPort，虚拟机迁移时，只需在对应的邻接物理交换机上将虚拟机对应的网络配置Profile绑定到v61、Port上即可，而不会对其它虚拟机的vPort产生影响。目前正在形成标准的VDP方案对网络安全配置自动迁移提供了良好的支撑能力。邻接交换机使用VDP协议发现虚拟机实例，并向网管系统获取对应的网络安全配置Profile并部署到相应的vPort接口上。同时，虚拟机迁移前的接入位置物理交换机也会通过VDP解关联通告，去部署相应的profile对应的本地配置。加入VDP后，完全不依赖网管系统对虚拟机接入物理网络的定位能力，提高网络配置迁移的准确性和实时性。因此，在本次方案设计中，针对网络安全、主机安全、虚拟机安全和应用安全，在IaaS云平台上，通过在一级接入模块上部署防火墙插卡来实现安全防护；重点针对62、虚拟机的安全，通过在IaaS云平台平台上部署虚拟防火墙实现对于虚拟机的安全防护。3.6 虚拟化平台设计虚拟化的本质是给用户提供端到端的资源虚拟化服务，提高用户对资源的使用效率和管理能力。资源虚拟化可分为计算虚拟化和网络虚拟化。3.6.1 计算虚拟化服务器是云计算平台的核心，其承担着云计算平台的“计算”功能。服务器虚拟化可以充分利用高性能服务器的计算能力，将原本运行在单台物理服务器上的操作系统及应用程序迁移到虚拟机上。虚拟化后，一台物理服务器上能运行多台虚拟机，完成对企业应用系统的整合。通过服务器虚拟化，提高硬件资源的利用率，有效地抑制IT资源不断膨胀的问题，降低客户的采购成本和维护成本，同时可63、以节省IT机房的占地空间以及供电和冷却等运营开支。H3C CAS基于业界领先的虚拟化基础架构KVM，依托其强大的技术实力、产品与服务优势，以及深入人心的以客户为中心的理念，为企业数据中心IaaS云计算基础架构提供最优化的虚拟化与云业务运营解决方案，实现了数据中心IaaS云计算环境的中央管理控制，以简洁的管理界面，统一管理数据中心内所有的物理资源和虚拟资源，不仅能提高IT人员的管理能力、简化日常例行工作，更可降低IT环境的复杂度和管理成本。H3C CAS平台融合了H3C在网络安全领域多年的积累，通过对IEEE 802.1Qbg（EVB）标准的支持，为虚拟机在安全、可视、可监管的环境下运行奠定了坚64、实基础；创新的动态资源扩展、高可用性、动态资源调度等功能为虚拟化平台提供了简单易用、成本低廉的高可用管理模式。H3C 虚拟化内核平台简称CVK（Cloud Virtualization Kernel），可以提供稳定、高性能的虚拟化层，该虚拟化层可对硬件资源进行抽象，并允许多个虚拟机共享这些资源。针对上层客户操作系统对底层硬件资源的访问，CVK用于屏蔽底层异构硬件之间的差异性，消除上层客户操作系统对硬件设备以及驱动的依赖，同时增强了虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等功能。H3C虚拟化管理系统简称CVM（Cloud Virtualization Manager）65、，主要实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化管理，对上层应用提供自动化服务。其业务范围包括：虚拟计算、虚拟网络、虚拟存储、高可用性（HA）、动态资源调度（DRS）、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。H3C CVM虚拟化管理系统具有以下特性：1. 完备的虚拟机生命周期管理支持虚拟机的创建、修改、启动、暂停、恢复、休眠、重启、关闭、下电、克隆、迁移、快照等常用功能，同时支持通过管理界面的控制台远程连接到虚拟机。所有的操作全部基于图形化配置界面。图17 H3C CAS虚拟机生命周期管理虚拟机管理含义创建创建一个新的虚拟机。修改修改虚拟机的参数，如CP66、U个数、内存大小、增删存储、增删网卡等。启动启动一个虚拟机，从而使虚拟机正常开始工作。暂停暂停指定的虚拟机。虚拟机暂停时，内存中的数据仍保留在内存中，虚拟机处于停止运行状态。恢复将处于暂停状态的虚拟机恢复到启动运行状态。休眠将指定的虚拟机休眠。虚拟机休眠时，内存中的数据被暂时以文件的方式保存在硬盘中，然后切断内存的电源。重启重启指定的虚拟机。当虚拟机出现故障停机，或虚拟机配置发生变更（如增减CPU个数、内存大小、磁盘大小等）时需要重启虚拟机。关闭关闭指定的虚拟机。下电强制将指定的虚拟机断电。克隆复制一个已经存在的虚拟机。迁移把源虚拟机的操作系统和应用程序从一台主机移动到另外一台主机，并且能够在67、目的主机上正常运行。根据迁移发生时虚拟机的运行状态不同，虚拟机的迁移分为在线迁移和离线迁移两种情况。快照保存某一个虚拟机在某一个特定时间内的一个具有只读属性的镜像。控制台用于远程连接虚拟机的终端虚拟桌面。通过控制台，用户可以对未安装操作系统的虚拟机安装操作系统，或者打开虚拟机上已安装好的操作系统桌面。删除删除已经存在的虚拟机。2. 全面的资源性能状态监测l 物理服务器性能状态监测提供物理服务器CPU和内存等计算资源的图形化报表及其运行于其上的虚拟机利用率TOP 5报表，为管理员实施合理的资源规划提供详尽的数据资料。图18 物理服务器性能图形报表l 虚拟机性能状态监测提供虚拟机CPU、内存、磁盘68、I/O、网络I/O等重要资源在内的关键元件进行全面的性能监测。图19 虚拟机性能图形报表l 虚拟交换机状态监测提供虚拟机交换机上各个虚端口的流量统计与模拟面板图形化显示。图20 虚拟交换机状况监测l 虚拟网卡性能状态监测提供进出虚拟机虚端口的流量的图形化实时显示。图21 虚拟网卡性能状况监测3. 简单易用的虚拟机业务高可靠性H3C CAS云计算管理平台对数据中心IT基础设施进行基于集群的集中化管理，由多台独立服务器主机聚合形成的集群不仅降低了管理的复杂度，而且具有内在的高可靠性，从而为用户提供一个经济、有效、适用于所有应用的高可靠性解决方案。图22 H3C CAS高可靠性功能在H3C CAS集69、群管理系统中，运行于节点上的虚拟机是一种资源。H3C CAS集群管理系统除了对集群中的节点进行心跳检测之外，还会对运行于节点之上的虚拟机资源进行状态检测。在每个节点上，都运行了一个LRMd（Local Resource Manager daemon，本地资源管理器守护进程），它是H3C CAS集群管理系统中直接操作所管理的资源的一个软件模块，负责对本地的虚拟化资源进行状态检测，并通过shell脚本调用方式实现对资源的各种操作。当LRMd守护进程检测到本机的某台虚拟机出现通信故障时，首先将事件通知给DC，由DC统一将该虚拟机状态告知集群内所有的物理节点，并按照PE计算的策略算法，为该故障的虚拟机70、选择一个空闲的节点，在该节点上重启该虚拟机。4. 智能化的资源自动优化配置在虚拟化和云计算环境中，一旦客户将服务器整合到资源较少的物理主机上，虚拟机的资源需求往往会成为意想不到的瓶颈，全部资源需求很有可能超过主机的可用资源。H3C CAS集群管理系统提供的动态资源调度特性引入一个自动化机制，通过持续地平衡容量，将虚拟机迁移到有更多可用资源的主机上，确保每个虚拟机在任何节点都能及时地调用相应的资源。即便大量运行SQL Server的虚拟机，只要开启了动态资源调整功能，就不必再对CPU和内存的瓶颈进行一一监测。全自动化的资源分配和负载平衡功能，也可以显著地降低数据中心的成本与运营费用。图23 H371、C CAS动态资源调整功能H3C CAS CVM管理平台定期（默认1分钟）轮询集群内所有的物理服务器主机，对CPU和内存等关键计算资源的利用率进行检测，并根据用户自定义的规则来判断是否需要为物理服务器主机在集群内寻找有更多可用资源的主机，以将该主机上的虚拟机迁移到另外一台具有更多合适资源的服务器上，或者将该服务器上其它的虚拟机迁移出去，从而为某个虚拟机腾出更多的“空间”。除了定时检测和动态迁移之外，H3C CAS云计算管理平台还充分考虑了虚拟机对物理服务器主机的亲和性因素，即衡量虚拟机对当前物理主机的依赖程度。例如，用户可能希望某些虚拟应用系统只允许在固定的物理主机上运行，而不允许其动态迁移。72、此时，只需要在H3C CAS云计算管理平台上，去勾选虚拟机的自动迁移属性即可。5. 经济高效的灾备恢复方案H3C CAS云计算管理平台实现了透明的定时备份和即时备份功能，会在暂停虚拟机中的应用程序之后，为正在运行的虚拟机创建快照，从而对备份工作进行集中处理，以确保文件系统的一致性。图24 H3C CAS灾备恢复方案H3C CAS云计算管理平台的备份特性是一种高效而低成本的灾备恢复特性，它将给用户带来如下价值： 基于磁盘的备份功能，为虚拟机提供快速、简单的数据保护。 无需额外代理的备份，简化了部署复杂度。 支持全自动的定时备份和手工干预的即时备份，满足不同的应用要求。6. 支持IEEE 802.73、1Qbg标准支持IEEE 802.1Qbg（EVB）协议标准，与H3C S5820V2交换机及iMC VCM网管组件配合，能够实现对虚拟机流量的全面监控。EVB（Edge Virtual Bridging）是IEEE标准化组织针对数据中心虚拟化制定的一组技术标准，包含了虚拟化服务器与网络之间数据互通的格式与转发要求，以及针对虚拟机、虚拟IO通道对接网络的一组控制管理协议。这种开放的标准技术解决了此前服务器虚拟化后计算资源与网络资源之间产生的管理边界模糊问题，以及计算资源调度与网络自动化感知之间无法关联的问题。从技术理念和实现上，EVB特性彻底解决了传统软件VEB和硬件VEB技术的缺陷。通过将虚74、拟机的流量（包括同一服务器上各虚拟机之间的流量）全部交给与服务器直连的邻接物理交换机进行交换和处理，从而使流量监管和网络控制策略的实施成为可能。通过将服务器中的网络部分进行简化和标准化，使得VM之间数据交换功能通过外部网络实现，同时，通过定义了标准化的服务器主机与网络之间虚拟化信息的关联控制，使得虚拟机的服务变更可以通过网络的感知来自动化响应，实现了数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。3.6.2 网络虚拟化网络设备的虚拟化技术从最初的多台物理网络设备虚拟成一台逻辑网络设备，即N:1的虚拟化，到一台物理网络设备虚拟化成多台逻辑网络设备，即75、1:N的虚拟化技术，又发展了将这两种虚拟化技术进行整合的网络设备形态，即N:1:M虚拟化技术；以及在N:1横向虚拟化的基础上发展了纵向虚拟化技术。这四项技术不仅给数据中心带来了完整的虚拟化方案，也让数据中心在网络资源的管理和利用上更加灵活。1. H3C IRF（Intelligent Resilient Framework，智能弹性架构）H3C IRF是N:1网络虚拟化技术，是H3C自主研发的软件虚拟化技术，它的核心思想是将多台设备通过IRF物理端口连接在一起，进行必要的配置后，虚拟化成一台“虚拟设备”，通过该“虚拟设备”来实现多台设备的协同工作、统一管理和不间断维护。IRF2形成以后，从逻辑76、上而言是一台设备，有统一的转发表项，包括MAC表、ARP/ND表、路由表和标签信息等。每个成员设备都有完整的转发能力，当它收到待转发报文时，直接查询本机的转发表项得到报文的出接口（以及下一跳）和封装信息，然后将报文从正确的出接口送出去。这个出接口可以在本机上也可以在其它成员设备上。IRF2通过IRF端口将报文从一台成员设备送到其它成员设备的过程对外界是完全屏蔽的，跨设备转发跳数上只增加1跳，即表现为只经过了一个网络设备。IRF2的技术原理：物理连接：要形成IRF2，需要在成员设备上配置IRF端口，并和IRF物理端口绑定，IRF物理端口可以在同一个槽位也可以跨槽位。成员设备之间只要满足物理可达，77、没有使用地域的限制。RF物理端口就是普通的10GE光口，IRF物理端口可以在同一个槽位也可以跨槽位。成员设备之间只要满足物理可达，没有使用地域的限制。二层多径转发：如下图，两台设备形成IRF2，从下游交换机Switch 1、Switch 2发送的数据从聚合端口进入IRF2系统以后，两台设备形成的IRF2虚拟设备与Switch 3之间形成两条等价路径。下游进入IRF2系统的数据流则分担在两条等价路径进行转发。如果出现一条路径失效，则所有流量切换到另外一条上，并且切换时间为小于50毫秒。图25 IRF2端口聚合转发流程IRF2成员设备的冗余备份，IRF2每个成员设备都有完整的二/三层转发能力，当它78、收到待转发的二/三层报文时，可以通过查询本机的二/三层转发表得到报文的出接口（以及下一跳），然后将报文从正确的出接口发送出去。这个出接口可以在本机上也可以在其它成员设备上，并且将报文从本机送到另外一个成员设备的过程对外界是透明的。虚拟化后，将多台高端设备虚拟化为一台逻辑设备，对网络可用性的提升具有强大的优势。可以提供增强的二层网络技术，实现二层链路的无阻塞多路径转发，为主机的灵活调用创造无差异的云网络。IRF2技术是实现增强二层网络的一种成熟稳定技术，可以提供一种成熟可靠的二层链路的无阻塞多路径转发网络。主要体现在三个方面：n 消除网络环路：通过IRF2虚拟化技术把两台设备虚拟成逻辑的一台设备79、，从而消除网络环路，不再需要部署生成树协议，通过链路聚合实现负载分担；图26 IRF2对网络可用性的提升消除网络环路对于接入层设备来说，一般使用两台交换机对同类业务系统服务器进行接入，以满足服务器的双网卡上行要求。上行到IRF2系统的服务器所有网卡如同接入一台交换机，适用于各种工作模式，特别是服务器的双网卡捆绑方式。图27 基于IRF2的服务器多网卡适配方式n 简化路由管理：通过分布式跨设备链路聚合技术，实现多条链路简化成一条逻辑链路，减少路由计算节点，物理链路变化不会引起路由振荡；图28 IRF2对网络可用性的提升简化路由管理n 简化网络配置管理：虚拟化以后的两台设备只需要一个配置文件，极大80、减少设备的配置管理工作。图29 IRF2对网络可用性的提升简化网络配置管理2. H3C MDC（Multitenant Device Context）H3C MDC技术是一种完全的1:N网络设备虚拟化技术，可以实现将一台物理网络设备通过软件虚拟化成多台逻辑网络设备，虚拟化出来的逻辑网络设备简称MDC（如图所示）。在软件上，MDC技术将网络设备操作系统的数据平面、控制平面、管理平面进行了完全的虚拟化，各用户态进程在每个MDC独立启动运行，各MDC共用一个操作系统内核。在硬件上，MDC将网络设备的硬件资源进行了虚拟化，不仅可以将板卡、端口等硬件资源划分到独立的逻辑设备，而且可配置每个逻辑设备的CP81、U权重、内存、存储空间等资源。图30 H3C MDC技术通过软、硬件虚拟化的配合，MDC逻辑设备具有完全的设备功能，有独立的软件环境和数据，有独立的硬件资源。甚至可以像一台物理设备一样单独重启，而不影响物理设备上其它MDC的正常运行，这一切使得MDC非常接近于一个单独的物理设备，用户可以像使用物理设备一样来使用MDC逻辑设备。MDC技术具备了复用、隔离以及高伸缩性的优点：l 复用，多台MDC共用物理设备的资源，使物理资源能得到充分利用；l 隔离， 同一台物理设备上的多个MDC具有独立的软硬件资源，独立运行互不影响；l 高伸缩性，可整合多个物理网络到一个物理设备上，也可以将一个物理设备扩展为多个82、逻辑网络3. 利用IRF和MDC完成网络资源化网络资源化是指把网络设备也作为IT资源的一种类型，构建网络资源池，让网络资源可分配、可回收，有效支撑计算资源池的建设要求，适配计算资源的地理位置无关性，在不牺牲效率、设备利用率和扩展性的前提下，降低了资本支出（CAPEX）和运营支出（OPEX），提高了运行效率。构建网络资源池的关键在于实现：l 网络设备如何构建资源池；l 网络资源按照什么粒度来分配，是否可回收再分配。对于第一点，网络设备N:1虚拟化技术IRF可以实现将多台物理网络设备虚拟成一台网络设备；对于第二点，网络设备1:N虚拟化技术MDC可以实现在单台网络设备上虚拟多台逻辑设备，网络资源池可83、以实现按照以逻辑设备为资源组成单位的资源分配，同时通过MDC技术所支持的实时增加/删除逻辑设备的能力来实现对于网络资源池资源的回收再分配。图31 网络资源池建设如图所示，通过IRF虚拟化完成多台物理设备的N:1，初步完成资源池的建设，然后利用MDC的1:N技术，在IRF虚拟网络资源池中划分逻辑设备资源，按需分配、按需回收以及按需部署网络节点，提升了IT网络架构的灵活性，进一步提升了数据中心资源利用率，降低运行成本。3.7 云管理平台设计云计算的最终目标是要实现系统的按需运营，多种服务的开通，而这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、工作流管理、自助Portal界84、面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，因此统一管理与自动化将成为必然趋势。H3Cloud通过自动化的管理平台和手段，帮助用户实现对云硬件资源和业务流程的快速部署与自动化维护和管理。3.7.1 云业务管理H3C CAS/CIC（Cloud Intelligence Center）由一系列云基础业务模块组成，通过将基础架构资源（包括计算、存储和网络）及其相关策略整合成虚拟数据中心资源池，并允许用户按需消费这些资源，从而构建安全的多租户混合云。其业务范围包括：组织（虚拟数据中心）、多租户数据和业务安全、85、云业务工作流、自助式服务门户、兼容OpenStack的REST API接口等。图32 H3C CAS云计算管理平台应用架构H3C云计算管理平台除了对H3C自有的虚拟化资源进行管理外，还兼容管理Vmware虚拟化环境。l 支持IEEE 802.1Qbg标准支持IEEE 802.1Qbg（EVB）协议标准，与H3C S5820V2交换机及iMC VCM网管组件配合，能够实现对虚拟机流量的全面监控。EVB（Edge Virtual Bridging）是IEEE标准化组织针对数据中心虚拟化制定的一组技术标准，包含了虚拟化服务器与网络之间数据互通的格式与转发要求，以及针对虚拟机、虚拟IO通道对接网络的一86、组控制管理协议。这种开放的标准技术解决了此前服务器虚拟化后计算资源与网络资源之间产生的管理边界模糊问题，以及计算资源调度与网络自动化感知之间无法关联的问题。从技术理念和实现上，EVB特性彻底解决了传统软件VEB和硬件VEB技术的缺陷。 通过将虚拟机的流量（包括同一服务器上各虚拟机之间的流量）全部交给与服务器直连的邻接物理交换机进行交换和处理，从而使流量监管和网络控制策略的实施成为可能。 通过将服务器中的网络部分进行简化和标准化，使得VM之间数据交换功能通过外部网络实现，同时，通过定义了标准化的服务器主机与网络之间虚拟化信息的关联控制，使得虚拟机的服务变更可以通过网络的感知来自动化响应，实现了数87、据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。l 自助式云业务电子流自助式服务管理为用户提供了一个安全的、多租户的、可自助服务的IaaS，是一种全新的基础架构交付和使用模式。图33 H3Cloud云业务电子流模型通过H3Cloud云计算软件提供的虚拟化资源池功能，使IT部门能够将计算、存储和网络等物理资源抽象成按需提供的弹性虚拟资源池，以消费单元（即组织或虚拟数据中心）的形式对外提供服务，IT部门能够通过完全自动化的自助服务访问，为用户提供这些消费单元以及其它包括虚拟机和操作系统镜像等在内的基础架构和应用服务模板。这种自助式的服务真正实现了云计算的88、敏捷性、可控性和高效性，并极大程度地提高了业务的响应能力。l 多租户业务安全 通过用户数据安全隔离与网络安全策略模板，确保虚拟化、多租户环境下的用户隐私信息及数据的安全。 通过用户权限的精细化控制、管理帐号的分级管理及详细的操作访问日志，避免权限滥用问题。图34 H3Cloud云业务多租户运营模型l 为高性能、高效率和轻松访问而构建的云计算服务器 符合能源之星标准的H3C HyperServer服务器配置充分体现了H3C一贯的帮助客户节省能源、降低成本的宗旨。 借助通用免工具的新型滑轨，可以快速安装H3C HyperServer，快速释放杆可实现快速服务器访问。非常灵巧的电缆管理支架选项，可实89、现灵活布线和出色的布线管理，让您可以快速访问该服务器。 率先推出的3D阵列温度传感器可精确控制服务器风扇直接散热，从而避免了不必要的风扇功耗。l 存储组件确保出色的应用可用性和灾难恢复能力 H3Cloud云计算解决方案中的存储组件可跨存储节点集群分割和保护多份数据副本，并消除SAN中的单点故障。 应用程序在发生电源、网络、磁盘、控制器、存储节点或站点故障的情况下，具有连续的数据可用性。 H3Cloud云计算解决方案中的存储组件高可用性架构的优点是，一个单一的存储集群可托管不同网络RAID级别的卷，每个卷的可用性和/或性能水平依应用的需求而异。 H3Cloud云计算解决方案中的存储组件具备集成复90、制功能，通过自动化和透明的故障转移与故障恢复简化管理。 如果有一个存储节点脱机，它就会从脱机时间开始跟踪数据变化；当节点重新联机时，变更的数据块就会恢复到当前水平。l 经济实惠的企业级存储功能和全面的特性集 横向扩展存储集群允许将多个存储节点整合到共享存储池中。 汇聚所有可用的容量和性能，用于集群中的每个卷。 随着存储需求的增长，存储组件可在线横向扩展性能和容量。 网络RAID可跨存储节点集群分割和保护多份数据副本，从而消除存储组件中的任何单点故障。 应用程序在发生电源、网络、磁盘、控制器、存储节点或站点故障的情况下，具有连续的数据可用性。 多站点SAN可用性使存储组件能够将集群中的存储节点分91、配到不同的地点（机架、机房、建筑和城市），并提供无缝的应用高可用性，跨不同地点自动实现故障转移/故障恢复。 无须预留快照，实现精简配置，只分配写入数据所需的空间，无需预分配存储容量，从而提高存储组件的整体利用率和效率。l 云资源统一概览l 增加Vmware vCenter资源l Vmware vCenter资源概览l 增加组织：使用vCenter资源3.7.2 云网络管理秉承“融合、智能、开放”的IT管理理念，H3C推出基于iMC智能管理中心统一平台的全系列产品和解决方案，为客户提供端到端的管理业务流程，实现了业务、资源和用户的深度融合管理，使客户真正做到了“精细IT、智能掌控”。作为H3C 92、NGIP战略的重要组成部分，H3C业务软件产品依托开放架构，以业务为导向，实现智能融合和协同联动，将各个业务模块进行端到端整合，提供端到端的精细化业务管理：数据中心管理领域，提供一体化、可视化的基础设施管理，虚拟化、自动化的资源管理，多纬度、新模型的应用和流量管理，规范化、可衡量的IT运维流程管理，为数据中心资源的动态调配、最优化利用提供了保障。iMC VCM虚拟连接管理（Virtual Connection Manager，以下简称VCM）在虚拟化数据中心环境中，为实现按需分配资源，需要计算、存储、网络资源的协同调度，才能完成服务/应用的创建部署。iMC VCM虚拟连接管理是一个非常有效解决93、方案，它通过监听虚拟机变更消息（上线、下线、迁移等），自动将网络侧配置在宿主、目的地交换机之间进行变更，实现物理网络和虚拟网络之间提供无缝协作。当一台虚拟机迁移时，VCM会自动为虚拟机执行网络配置的迁移，网络管理员无须手动为虚拟机配置接入交换机，真正的实现了虚拟机的无缝迁移，并兼容不同厂商提供的物理网络（H3C及第三方厂商交换机）和虚拟网络（VMware、Microsoft Hyper-V等虚拟服务器网络）。l 兼容多种虚拟网络环境同时支持VMWare，Microsoft Hyper-V、Linux KVM（包含开源及H3C vSwitch）等类型的虚拟化环境，能够监视虚拟资源、拓扑及性能数据94、。提供结构化视图，层次化的展示出了物理服务器（比如ESX/ESXi Server）、虚拟交换机、虚拟机之间的逻辑关系。包括物理服务器的状态、拓扑定位、品牌、型号、内存、CPU、隶属的数据中心、管理端等信息；虚拟交换机下连的虚拟机、状态、IP地址及可执行的操作等。l 边缘交换机管理边缘交换机是指下联有虚拟机的交换机。只有加入到VCM边缘交换机清单中的交换机，才能被VCM管理，实现连接配置的管理能力，包括增加、删除、查询边缘交换机和查看边缘交换机连接虚拟机的迁移历史等。管理员需要首先按规划配置VM部署、迁移相关的边缘交换机，范围之外的交换机不能实现随需而动。同时，针对每个交换机设定不同的ACL（A95、ccess Control List，访问控制列表）号段，有规划的利用ACL资源。l VSI Type管理VSI（Virtual Station Interface，虚拟服务器接口）Type是一套网络配置，用于和虚拟机的vNIC（virtual Network Interface Card，虚拟网卡）进行绑定。选择所需服务单元并初始化参数，即可定制一套VSI Type。用户可以修改VSI Type的参数并发布新的版本。当虚拟机发生迁移时，VCM会清理虚拟机在源交换机上的网络配置，同时将虚拟机配套的VSI Type下发到迁移的目的边缘交换机上。提供查询、增加、修改及删除VSI Type功能。可配96、置的VSI Type服务模板包括限定访问虚拟机的客户端范围、报文优先级、带宽保证QoS（Quality of Service，服务质量）等。l 连接管理将虚拟机和VSI Type版本绑定在一起，建立关联关系，即为连接。连接管理主要功能包括增加、删除以及查询连接，对已经建立的连接进行下发VSI Type操作，也可对已下发VSI Type操作的连接取消下发，同时提供了查看连接绑定的虚拟机、VSI Type版本信息的功能。VCM实时的监控VMware、Hyper-V等虚拟化网络资源信息，在创建连接时，可直接选择相应VM/vNIC，减少手工工作量。l 连接配置迁移VCM支持标准网络环境下的虚拟机迁移时97、对应的网络连接信息（VSI Type、VLAN信息）的动态迁移；同时兼容802.1Qbg网络环境。迁移历史列表：显示每一次迁移事件的所有相关信息。包含VM、vNIC；源物理服务器、源交换机；目的物理服务器、目的交换机；迁移时间、迁移结果；可以执行查看操作，查看连接部署的操作结果操作列表：显示每一次连接部署操作的相关信息。包含VM、vNIC；接入位置（交换机，端口）；连接名称、操作类型（上线、下线）、执行时间、执行结果；可以执行查看操作，查看连接部署的操作结果；对于执行失败的操作、可以手工触发重新下发操作。迁移路径：以连接为单位，可以通过列表和图标两种方式查看连接的迁移历史，包含每一次迁移的物理98、服务器、接入交换机信息。l 第三方应用支持提供VCM插件，可将VCM注册到vManager（VMware vCenter或其他虚拟机管理端）Server中，用户可以通过第三方管理端管理虚拟机上的连接。以VMware为例，VCM插件注册成功后，在vCenter Server页面将出现iMC VCM页面，生成VM时可直接调用对应网络配置，简化操作，提高工作效率。l 对外开放接口VCM基于iMC SOA（Service Oriented Architecture，面向服务架构）开发，对外提供丰富的RESTful 接口，可用于和第三方系统、云平台对接。3.1 推荐配置清单设备名称推荐型号数量单台/套配99、置说明云核心交换机H3C S125002单引擎、冗余网板、冗余电源；48口千兆、8口万兆；防火墙模块云接入交换机H3C S5820v2248口千兆、4口万兆、2口40G云刀片服务器H3C FlexServer C800061个机箱、6个2路6核刀片云机架服务器H3C FlexServer R39022路8核，32G内存，600G硬盘，4GE云IP SAN存储HP P4500224T SAS盘，2 *10G虚拟化平台H3C CAS/CVM1平台及12CPU管理许可云管理平台H3C CAS/CIC1平台及100VM管理许可网络管理平台H3C iMC1平台及25节点管理许可，应用管理、健康管理3.2100、 解决方案优势3.2.1 高效节能1. 降低能耗节约电费根据经验数据，2路4核的物理服务器一般建议整合比为10:1，即每台物理服务器可以运行10个虚拟机。以此计算，我们可以将20个业务系统整合到2台服务器和1套存储设备里，每年的电费成本计算如下表所示。成本项虚拟化之前虚拟化之后服务器数量（台）203 2台H3C FlexServer服务器，每台服务器虚拟化510个虚拟机。 1台H3C FlexServer服务器，安装H3C CAS CVM和CIC组件。存储数量（台）01耗电量（千瓦/年）0.462024365 每台物理服务器的最大耗电量以460瓦计算。0.46324365 + 0.512436101、5 每台物理服务器的最大耗电量以460瓦计算。 每台HP P4500 G2 SAN存储的最大耗电量以500瓦计算。电价（元人民币/度）11成本/年（万元人民币）8.061.65节约成本/年（万元人民币）6.41从虚拟化前后的服务器耗电量对比可以看出，实施服务器虚拟化之后，每年的电费开销可以节约79.5%，约6+万元人民币。2. 降低采购成本除了通过虚拟化技术在服务器上整合业务系统之外，还可以在服务器上运行虚拟办公桌面，方便教职工对各种操作系统桌面的需求。例如，教职工在项目开发过程中，需要的各种开发和测试环境就可以在虚拟机上进行，虚拟机的申请与审批流程全部通过H3C CAS CIC云业务管理平台102、实现。按照H3C公司的虚拟办公桌面最佳实践经验，一台2路4核、16GB内存的服务器上可以同时运行1015台Windows 7桌面。按照目前满足商用办公的PC市场价格估计在5000元人民币/台、每台服务器价格35000元人民币计算，可以为客户节省30%50%的PC桌面采购成本，而且，虚拟桌面越多，节约的成本越多。3. 高效业务变更现在新应用部署速度加快，实际工作中，一遇到新应用使用新服务器进行部署和测试，可在虚拟机里进行，大大降低了服务器重建和应用加载时间，提高了管理和工作效率。关键任务虚拟化之前虚拟化之后部署一个新的业务 310天硬件申请、选型和采购 14小时部署 510分钟部署硬件维护 24103、周的变更管理准备 13小时维护窗口 业务不中断的虚拟机迁移技术 13小时的维护窗口迁移到虚拟化环境 24周的变更管理准备 1小时左右，采用P2V工具。由于虚拟化构架可使虚拟机具有动态可迁移性，不需要像以前那样，一遇到硬件故障或维护需要数天/周的变更管理准备和13小时维护时间，现在可以进行快速的维护和升级，不用担心某台服务器出现问题，会影响到整个应用平台。3.2.2 弹性可靠XX学院IaaS云平台基础承载网均采用数据中心级设备，从单设备层面保证支撑平台的高可靠和高性能；同时均支持IRF2（第二代智能弹性架构）技术，将多台高端设备虚拟化为一台逻辑设备，在可靠性、分布性和易管理性方面具有强大的优势，104、搭建了健壮弹性的支撑平台。IRF2是H3C网络虚拟化技术，从对提升网络整体效率的角度，起到了一种横向整合的作用，即在不改变网络物理拓扑连接结构条件下，将网络同一层的多台设备横向整合，从逻辑上简化了网络架构。由于整合后的IRF2系统具备跨设备链路聚合功能，因此，不同网络层之间的电缆互联也可通过逻辑整合，多条链路被捆绑成一条聚合的逻辑链路，如图所示。图11 IRF2对网络的横向虚拟化整合IRF2网络架构与传统的网络设计相比，提供了多项显著优势： 1）运营管理简化。IRF2全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。2）整体105、无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。3）进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。本方案选用业界最为成熟专业的数据中心设备： 核心交换机：核心交换机S12500是H3C面向下一代数据中心设计的核心交换产品，采用先进的CLOS多级多平面交换架构，可以提供持续的带宽升级能力。S12500是中国国内第一款100G平台交换机，支持未来40GE和100GE以太网标准，面对下一代数据中心突发流量106、，创新的采用了“分布式入口缓存”技术，可以实现数据200ms缓存，满足数据中心、高性能计算等网络突发流量的要求；同时为了满足数据中心级网络高可靠、高可用、虚拟化的要求，S12500采用创新IRF2（第二代智能弹性架构）设计，将多台高端设备虚拟化为一台逻辑设备，并结合MDC（Multitenant Devices Context，多租户设备环境），真正实现网络设备资源池化；同时支持独立的控制引擎、检测引擎、维护引擎，为系统提供强大的控制能力和50ms的高可靠保障。 服务器接入交换机：服务器接入交换机S5820V2系列交换机是H3C公司自主研发的数据中心级以太网交换机产品。S5820V2系列交换机107、采用Top of Rack设计，支持丰富的数据中心特性EVB (Edge Virtual Bridging)、FCOE、TRILL；支持DCB （Data Center Bridging），并支持ISSU（不中断业务升级）、OAM（操作、管理和维护）及能效以太网（EEE），充分满足了数据中心对设备高性能、易管理及绿色节能的需要。 存储接入交换机：存储接入交换机S5820V2采用业界先进的硬件设计，最强的端口报文缓存能力，并支持丰富的数据中心特性EVB (Edge Virtual Bridging)、FCOE、TRILL；支持模块化双电源和双风扇组件；所有机型的接口板，电源模块以及风扇模块均可以108、热插拔而不影响设备的正常运行。此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，在提高可靠性的同时，降低设备整体功耗。3.2.3 标准融合1. 网络融合安全图35 数据中心核心交换与安全融合方案示意图如上图所示，数据中心通过部署网络安全融合方案，通过安全插卡的方式在一台核心交换机中完成了安全功能部署，从而取代了过去像“串糖葫芦”似的串联部署在网络中的大量安全设备（比如防火墙、IPS、LB设备等）。从交换机任何一个端口进来的数据，都会通过背板和内部高速接口进入这些安全插卡进行分析和过滤，保证最终从出端口转发出去的数据流将是干净的、安全的、可靠的。由于各板卡之间都是通109、过内部10GE的高速接口处理，转发效率要远远高于过去多个安全设备之间的交互方式。因此，网络安全融合后的一体化方案不仅降低了设备数量，减少了网络的故障点和部署与维护成本，同时提升了数据交互的效率。2. 网络融合虚拟化在云时代的数据中心，全面的虚拟化技术在服务器、网络的引进，模糊了网络与服务器的管理边界，虚拟服务器在数据中心网络中的物理位置的可视性变得困难，网络及计算资源的协同调度也出现新的挑战。在创建虚拟机或虚拟机迁移时，VM（Virtual Machine，虚拟机）主机能否正常运行，不仅需要规划服务器资源，网络连接的合理调度也是必须的。打通网络、计算之间的隔阂，实现资源的融合管理和智能调度，将110、是实现数据中心基于业务编排，并最终实现自动化的关键。H3C虚拟连接管理作为网络配置迁移的一种解决方案，以虚拟机作为管理的基本单位，跟踪虚拟机的启动、停止和迁移过程，并根据虚拟机的最新接入位置下发物理网络参数配置，能够很好的实现物理网络和虚拟网络的协作处理，兼容不同厂商提供的物理网络（H3C及第三方厂商交换机）和虚拟网络（VMware、Microsoft Hyper-V等虚拟服务器网络）。在虚拟化数据中心环境中，为实现按需分配资源，需要计算、存储、网络资源的协同调度，才能完成服务/应用的创建部署。H3C虚拟连接管理是一个非常有效解决方案，它通过监听虚拟机变更消息（上线、下线、迁移等），自动将网络侧配置在宿主、目的地交换机之间进行变更，实现物理网络和虚拟网络之间提供无缝协作。当一台虚拟机迁移时，VCM会自动为虚拟机执行网络配置的迁移，网络管理员无须手动为虚拟机配置接入交换机，真正的实现了虚拟机的无缝迁移。本方案采用IEEE标准的802.1Qbg（EVB）技术，可以在服务器虚拟化的基础上实现对虚拟机严格的网络策略控制，保证虚拟化环境下的虚拟机安全。63