公众云三期网络架构设计高阶文档.pptx

文档信息修订历史 (REVISION HISTORY)RevSectionTypeDateAuthorRemarks0.12014.10HJC初稿　　　　　　　关于本文档本文档的负责人是项目的NCE目录项目背景公众云三期概要业务新增整体架构改造网络改造应用系统管理网架构设计分区必要性方法论管理网高阶设计项目背景随着公众云业务的不断发展，2014年中国移动启动了南方基地云平台三期的建设工程。建设目标如下：简化IT基础架构，降低管理复杂度及维护成本；集成服务器及存储，简化IT基础设施，减少IT建设成本；提供更强的计算能力，为高性能运算需求提供有利支撑；解决物理服务器无序扩张问题，提高服务器，存储利用率及业务的可靠性以及业务快速部署能力；以企业云或者数据中心为对象统筹考虑，规模选用“绿色“的设备，建立绿色数据中心，节省成本。除了正常扩容，对现有资源的重新规划、有效利用成为本期建设的主题。在一、二期工程中，思科高级服务与南方基地紧密合作,对业务域网络架构进行了系统规划与设计。在本期项目中，管理域的资源重新规划和分配成为本期项目重点。思科高级服务将负责管理域网络架构的设计，以及业务域扩容部分的技术指导与支持。本文为管理域网络架构的设计文档，内容涵盖从网络基本分区到网络高阶设计两部分内容目录项目背景公众云三期概要业务新增整体架构改造网络改造应用系统管理网架构设计分区必要性方法论管理网高阶设计?公众服务云一期业务公众服务云二期业务公众服务云三期业务弹性计算服务云主机云主机备份云主机云主机备份云主机（优化，并整合云主机备份）弹性存储服务云存储弹性块存储云存储弹性块存储弹性块存储备份云存储、弹性块存储（采用分布式块存储）云网络服务带宽租赁弹性公网IP带宽租赁弹性公网IP弹性负载均衡安全组云安全服务云防火墙云防火墙防DDoS服务（优化）、web安全防护、web安全检测IT维护管理类云监控云监控IDS服务DDoS防护服务客户网络VPN接入服务云监控（优化）PaaS类无无应用托管服务、RDS、能力开放、应用安全加固、IPPush开放云市场无无开放云市场从二期到三期，公众云整体架构在原基础上新增了以SaaS与PaaS为主的多个服务模块，以及多个配套管理系统，重新规划了各模块之间的访问关系。公众云二期架构公众云三期架构公众云网络一、二期建设形成了业务网、存储网、管理网三网鼎立的架构为支持上述业务开展，三期工程将会对系统进行重构，目标包含运营管理平台、资源池、 PAAS、 SAAS、等核心系统三期目标目录项目背景公众云三期概要业务新增整体架构改造网络改造应用系统管理网架构设计分区必要性方法论管理网高阶设计当前管理网为简单的平面设计，所有系统均部署在同一对核心交换机下，也没有为与其它模块通信预留接口。因此有必要对管理网的网络架构进行重新设计，以提供合理的网络路径以及必要的安全隔离层次化和结构化是简化网络日益庞大复杂的有效手段，它有效地隔离故障、简化管理、路由汇聚、网络策略集中部署等优点，而网络分区是网络层次化和结构化直接的结果*网络层次化简化流量关系实现路由汇聚利于网络策略集中化网络结构化网络扩充业务汇聚故障隔离安全管理网络管理纵向层次化横向结构化*来源：《Optimal Routing Design》，Cisco Press网络分区不但需要带来前述技术上的好处，还需要对核心业务、信息安全、管理和运维提供更多更好的支持网络分区的定义*由若干连接具有共同属性、相对独立功能单元的网络设备（包括汇聚设备、接入设备及服务器，可以是虚拟的）组成，形成一个逻辑单元，我们称这个逻辑单元为一个分区（Zone）数据中心网络分区的主要好处网络结构化、层次化的具体体现实现业务功能的分类，以方便管理简化业务（尤其核心业务）的安全性以及其他网络策略的实现满足各种不同类型业务的容量和性能要求数据中心网络分区需要稳定性和连续性是数据中心网络架构的基础部分迁移步骤较复杂、涉及面广、风险较大*注解：引自 “Data Center Design—IP Network Infrastructure”，Cisco Validated Design，November 2, 2011企业网络分区典型的方法有两种，即按照应用层次和应用类型，各有优缺点，很多企业综合采用多种网络分区方式模式B：按应用类型分区模式A：按应用层次分区交换核心交换核心WebAppDBWeb1Web2Web3DB1DB2DB3App1App2App3应用类别A应用类别B应用类别CWeb1Web1Web1Web1Web1Web1APPAPPAPPAPPAPPAPPDBDBDBDBDBDB有些企业将APP和Web合并在一起优势每个区域只服务于应用逻辑中的一个层面（web/app/sys)，应用层次之间易于通过防火墙逻辑隔离劣势可用性风