原创力文档- 1、本文档共17页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
雲计算中心网络系统建设方案
1网络系统建设方案
1.1网络系统建设的规定
计算中心通過互联网、专线接入和VPN接入提供服务;
提供多种网络接入及特定單位的专线接入,满足顾客以多种方式遠程接入雲计算平台的规定;
有效隔离计算中心与互联网,防备来自互联网的非授权访問,使计算中心在受控的前提下提供应外部進行访問;
為雲计算大楼公共服务区(顾客服务区、办公区、公共會议室)提供网络连接;
子网相對独立,又彼此关联。各入驻單位的计算机网络互相独立,各自构建独立的單位局域网,满足各單位组网需求;同步要考虑其工作的共性需求。在设计中要考虑他們之间的相對隔离又彼此关联的规定,划分不一样的区域,区域之间采用物理隔离或逻辑隔离。
建立完善的网络安全和管理机制,保证网络系统的安全和正常运转。
1.2网络系统总体设计
1.2.1
图1雲计算中心网络系统逻辑构造图
雲计算中心网络系统整体逻辑构造如图1所示。整個网络系统包括雲计算资源区和服务与管理区,服务与管理区可深入分為對外服务区、中心办公区、DMZ区。
雲计算资源区是超级计算系统所在区域。
雲计算服务区是计算中心對企业等非政府机构提供超级计算服务的区域。
中心办公区是雲计算中心工作人员的办公区域。
DMZ区是雲计算中心设置Web服务器和SSLVPN接入的区域。
上述区域整体上包括雲计算中心资源层、关键互换层、功能接入层和互联网接入/服务层;采用分层构造模块化的设计理念,使网络构造清晰化,便于网络安全方略的实行和网络管理,并提高网络的灵活性和可扩展性。
1)雲计算资源区
雲计算中心服务結點使用萬兆链路直接接入到雲计算资源区的高性能接入互换机上。
2)服务与管理区
关键互换/访問控制层:重要包括一台的关键互换机,由于目前的关键互换设备一般都支持多种模块,而本项目所需接入的网段也不是太多,可将汇聚互换的功能融入其中,對各子网的访問控制方略采用互换机访問控制技术实現。
功能接入层:包括雲计算中心办公子网、雲计算對外服务子网等;
互联网接入/服务层:包括1条互联网接入链路、边界防火墙、DMZ区(设置DNS、WWW、SSLVPN接入等服务)等。
1.2.2服务与管理区网络
图2网络系统拓扑构造及安全防护布署
可以将网络拓扑分為3层,包括互联网接入/服务层、功能接入层关键互换层和雲计算中心资源层。互联网接入/服务层包括边界防火墙、DMZ区(设置DNS、WWW、邮件、SSLVPN接入等服务)。关键互换层重要包括一台关键互换机。功能接入层包括雲计算中心办公子网、雲计算對外服务子网等。
1.2.3
雲计算開放区包括与超级计算有关的管理、服务單位,其對网络的连接和访問控制规定如表1所示:
表1雲计算中心子网分布表
雲计算有关單位分布状况
大楼内部联网规定
外部联网规定
高性能计算開放试验室(雲计算办公子网)
雲计算中心子网
互联网
超级计算中心办公室、高性能计算机工程中心吕梁分中心、會议室、办公室(雲计算办公子网)
雲计算中心子网
互联网
進驻單位
雲计算中心子网
互联网
顾客通過互联网采用VPN技术接入雲计算中心;假如需要,可以采用专线接入,可以直接接入到关键层关键互换机上,运用VLAN的方式進行逻辑隔离,运用防火墙對其進行访問控制、审计。
1.2.4网络带宽
1)主干带宽设计
考虑超级计算机的业务需求,选择萬兆以太网作為关键层组网,從接入互换机到关键互换机采用仟兆以太网技术。
為了便于此後系统的升级,选择的关键互换机、接入互换机等都可以支持萬兆。一旦此後需要無需更换设备即可平滑升级到全萬兆主干网。
2)互联网接口及带宽规定
(a)雲计算办公区的互联网带宽需求
内部人员运用Internet進行资料查询、收发邮件、對外联络等工作,對带宽需求不會太高。内部人员按照140左右估算,估计约200M即可满足需求。
(b)對外服务区的互联网带宽需求
雲计算中心的客户通過Internet访問有关的服务器,完毕计算业务的提交、数据上传、作业管理、作业监控、成果下载等。作业提交的方式重要包括WEB访問、FTP、Telnet、Xwindows等方式。這部分访問單個顾客對带宽规定不高,不過需要考虑顾客的总量,結合并发顾客访問量進行综合考虑。
在初期,初步预留300M带宽給這部分访問。
(c)互联网带宽需求
根据以上對Internet带宽的初步分析,同步結合目前ISP提供的带宽的性价比综合考虑,选择1000M多路接入,後来根据发展状况再進行扩展。
1.3互联网接入
互联网接入/服务层重要提供對外服务,是外界進入中心,与中心发生数据交互的第一种功能层次,這個功能层包括:互联网接入、DMZ区和网络与安全管理区等。這個功能层建设中首先需要考虑安全問題,重點是怎样保证外界安全、可靠的与中心各区域進行数据交互,另一方面是设备的选型,如:边界路由器
文档评论(0)