PCF网络设计方案..docx

网络规划设计标准Pivotal Cloud Foundry网络分为System服务网、App应用网、管理网及IP SAN网为实现网络相的互隔离。通过采用虚拟交换技术，将承载不同应用业务的虚拟机划入不同子网，实现各应用系统的安全隔离。通过VLAN将虚拟机划分为不同区域，实现分区分域的要求。用于PCF环境中3台服务器的每台物理主机上均使用2块千兆网卡，并将System服务网、App应用网、管理网及IP SAN网划分为不同的VLAN。其中，System服务网、App应用网、管理网三网连接万兆物理交换机上，IP SAN网采用单独交换机连接至存储，提高虚拟化平台可靠性。PCF环境网络构成有别于传统网络，其自身不仅包含传统物理网络部分，同时也包含虚拟网络结构以及虚拟网络与实体网络所交互的部分。正确的网络设计对组织实现其业务目标有着积极的影响，它可确保经过授权的用户能够及时访问业务数据，同时防止未经授权的用户访问数据。网络设计必须经过合理优化，以满足应用、服务、存储、管理员和用户的各种需求。网络资源规划的目标是设计一种能降低成本、改善性能、提高可用性、提供安全性，以及增强功能的虚拟网络基础架构，该架构能够更顺畅地在应用、存储、用户和管理员之间传递数据。指导原则与最佳实践在规划网络资源时，我们会遵循如下的指导原则与最佳实践。构建模块化网络解决方案，该方案可随时间的推移不断扩展以满足组织的需求，使得用户无需替换现有的网络基础架构，进而降低成本。为了减少争用和增强安全性，应该按照流量类型（管理网络（HA心跳互联网络）、vMotion在线迁移网络、虚拟机对外提供服务的网络、FT、IP存储）对网络流量进行逻辑分离。VLAN可减少所需的网络端口和电缆数量，但需要得到物理网络基础架构的支持。可以在不影响虚拟机或在交换机后端运行的网络服务的前提下，向标准或分布式交换机添加或从中移除网络适配器。如果移除所有正在运行的硬件，虚拟机仍可互相通信。如果保留一个网络适配器原封不动，则所有的虚拟机仍然可以与物理网络相连。连接到同一标准交换机或分布式交换机的每个物理网络适配器还应该连接到同一物理网络。将所有VMkernel网络适配器配置为相同MTU。实施网络组件和路径冗余，以支持可用性和负载分配。使用具有活动/备用端口配置的网卡绑定，以减少所需端口的数量，同时保持冗余。对于多网口的冗余配置应该遵循配置在不同PCI插槽间的物理网卡口之间。对于物理交换网络也应该相应的进行冗余设置，避免单点故障。建议采用千兆以太网交换网络，避免网络瓶颈。对吞吐量和并发网络带宽有较高使用要求的情况，可以考虑采用10GbE，不过采用万兆网络在适配器和交换机上的投入成本也会相应增加。简单的方法是通过在虚拟机网络vSwitch或vPortGroup上通过对多块1GbE端口捆绑负载均衡实现。PCF网络域设计要求考虑网络的连通性、隔离性、性能等方面的要求，如下表所示。网络要求要求描述连通性连通性是指将有需要进行互相通信的组件（服务器、控制节点、客户端等）进行连通。要求应用网中有业务互通需求的虚拟机、物理机、终端等设备可以通信，网络承载的业务系统可以不间断对外提供服务。隔离性隔离性是指将没有必要进行相互通信的组件互相隔开，使其在网络上不可达。如在虚拟化环境中，管理网与应用网需通过分配到不同的VLAN方式实现二层隔离。性能管理网专供资源池管理工具的资源控制服务使用，对物理机、虚拟机进行实时监控，管理网使用万兆以太网；App应用网专供虚拟机的信息应用对外提供网络服务使用，由于多台虚拟机通过同一块物理网卡对外提供网络服务，使用万兆以上高速以太网；System服务网专供PCF服务组件之间的通信，即承载各虚拟机服务器流量，使用万兆以上高速以太网；IP SAN网专供PCF 环境中3台物理服务器连接共享存储使用，使用千兆以上高速以太网。网络总体结构结合公安网现有的网络结构以及PCF总体架构，从生产环境、地址划分、客户访问、平台维护等方面考虑，网络设计中，将网络划分为PCF服务网、App应用网、管理网及IP SAN网，各个网络通过VLAN划分相互隔离。用户访问PCF应用时需经由防火墙跳转，保证PCF内网与公安网之间的安全性。测试环境硬件配置：浪潮配置-NF5270M32*E5-2650v2(2.6GHz/8c)/8GT/20M16*16G Registered DDR3内存1*10000转 900G SAS硬盘集成2个千兆网口、配置2块单口万兆网卡-INSPUR单口万兆网卡（光纤接口，含光模块）、配置冗余电源配置1块八通道直通卡2308it卡五年原厂保修服务逻辑架构方案中采用8台物理服务器，其中3台用于PCF环境，4台GP服务器，1台Oracle数据库服务器。3台用于PCF环境的服务器通过IP SAN方式连接共享存储，服