云平台企业级部署-网络结构-典型案例.docx

4/NUMPAGES5

StarVCenter云平台

企业级部署-网络结构

-典型案例

在部署云平台时，根据企业实际网络现状与需求的不同，会采用不同的网络布线结构，下面我们将介绍StarVCenter在企业内部部署使用的几种典型的网络结构。

名词解释：

管理网：管理节点执行管理调度时，与各个物理节点之间通信的网络。

业务网：从虚拟机的宿主物理机以外的位置，访问虚拟机所走的网络。

存储网：使用共享主存储（FCSAN、ISCSI、CEPH…）时，虚拟机的磁盘在远端存储上，因此虚拟机内部磁盘I/O需要通过存储网写入目标存储。虚拟机的克隆/备份时复制数据也走的是存储网。

典型案例

管理网与业务网合一

管理网与业务网二合一结构是最常用的结构，它相对于其它结构来说，不仅结构简单，使用和运维起来是最方便的。从上图可以看出，办公区的电脑不仅可以直接访问虚拟机，同时还可以访问StarVCenter的管理界面，也能直接ssh登录到物理服务器上进行运维管理。在安全允许的情况下可将StarVCenter的管理IP地址和18080、18081、18083端口通过路由器映射到互联网，以便能远程管理运维云平台。

这种结构的缺点是管理网与业务网在二层是互通的，如果在IP层不加以限制，虚拟拟机和物理机之间就可以相互访问，安全性低。另外管理网与业务网的链路和带宽是共用的，运维和管理时会相互影响。

三网分离

三网分离结构是将“管理网”、“业务网”、“存储网”从链路上完全分开，以保证相互之间不受影响，安全性较高。这种结构下，企业内部办公电脑可直接访问StarVCenter中的虚拟机，但无法直接访问StarVCenter的管理界面。云平台管控端具有强大的管控操作权限，只允许云平台管理员访问。云平台管理员通过办公电脑远程登录到“跳板机”桌面，可以访问StarVCenter的管理界面，可连接物理服务器进行运维。

这种模式下，可将跳板机的远程连接端口从路由器映射到互联网，以便能远程管理运维云平台。

业务网-内外网分离

某些对网络安全要求较高的企业，将企业内部的局域网进一步地分为“信息外网”和“信息内网”。其中“信息外网”是能直接通向互联网的部分，“信息内网”只能在企业内部或集团公司内部互通，不通互联网的网络。“信息外网”主要通过互联网办公或查资料用，企业内部的应用系统及重要数据传输都走“信息内网”以确保安全。

我们将企业内部的这种划分称为“内外网分离”，基于这种情况我们通常可以在信息内网和信息外网各部署一套云平台，但这种模式在管理和运维上都不方便。上图的结构描述了一种可同时服务于“信息内网”和“信息外网”的结构，在为虚拟机分配网络时，按需选择接入“信息内网”或“信息外网”均可。信息外网办公区电脑可访问接入“信息外网”的虚拟机，只有信息内网办公区的电脑才可访问“信息内网”的虚拟机。

如果一台虚拟机同时接入“信息内网”和“信息外网”，则该虚拟机可作为“信息外网”到“信息内网”的跳板机，这种情形可以管理员按需配置以确保安全。