IDC網(wǎng)絡(luò )面臨的新挑戰
隨著(zhù)云計算的快速興起,作為IDC(Internet Data Center,互聯(lián)網(wǎng)數據中心)市場(chǎng)主要玩家的各大運營(yíng)商,都在加速建設依托云計算平臺的數據中心,將計算、存儲、網(wǎng)絡(luò )等資源作為服務(wù)提供給客戶(hù),以提升IDC業(yè)務(wù)的盈利水平。
IDC網(wǎng)絡(luò )是云計算數據中心的核心,負責連接各種物理資源(服務(wù)器、存儲設備)和虛擬資源(虛擬機、虛擬存儲空間等)。近年來(lái)互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展日新月異,給IDC網(wǎng)絡(luò )帶來(lái)了不少新挑戰。
如何適應流量模型的巨大變化
在云計算時(shí)代,東西流量將成為數據中心內部的主導流量。在傳統的數據中心里,應用主要部署在單臺或少量幾臺服務(wù)器上,服務(wù)器之間通信較少,主要是向數據中心外部提供服務(wù),因此網(wǎng)絡(luò )流量以南北流量為主。基于該流量模型,傳統的數據中心網(wǎng)絡(luò )采用流量逐級收斂的設計,一般從接入層到核心層的收斂比在1:3–1:20之間,這種設計方式在滿(mǎn)足流量需求的同時(shí),降低了投資成本。但是,隨著(zhù)搜索、網(wǎng)絡(luò )游戲、大型企業(yè)應用等業(yè)務(wù)的出現,單臺服務(wù)器無(wú)法完成巨大的計算任務(wù),需要部署大規模集群計算,數千臺甚至數萬(wàn)臺服務(wù)器協(xié)同工作,只有少量的服務(wù)器對外提供應用入口,而其余服務(wù)器負責應用計算,服務(wù)器之間的應用數據交換、狀態(tài)同步等流量將成為數據中心的主要流量。據預測,數據中心的網(wǎng)絡(luò )流量將從早期的“80%為南北向流量”,轉變?yōu)?ldquo;70%為東西向流量”。
盡管數據中心內部流量將以東西流量為主,但出口流量仍然會(huì )快速增長(cháng)。據預測,全球數據中心IP流量年均增長(cháng)率為33%,到2016年數據總量將增長(cháng)到4.8ZB。運營(yíng)商目前的數據中心出口流量超過(guò)200G的已經(jīng)不在少數,中國電信西部數據中心的出口流量更是高達600G。
如何滿(mǎn)足10GE/40GE/100GE服務(wù)器端口接入
隨著(zhù)服務(wù)器性能的提升以及虛擬機的部署,數據中心需要更多網(wǎng)絡(luò )接入帶寬。據IDC預測,2014年服務(wù)器10GE端口部署量將超過(guò)GE端口,成為市場(chǎng)主流,接入層上行將演進(jìn)到40GE;未來(lái)10年接入端口將向40GE甚至100GE演進(jìn),數據中心網(wǎng)絡(luò )則需要提供更大的接入帶寬和交換容量,同時(shí)避免網(wǎng)絡(luò )的頻繁升級,減少對業(yè)務(wù)的影響。
虛擬機的部署對數據中心網(wǎng)絡(luò )的新要求
虛擬機技術(shù)實(shí)現了操作系統和硬件的解耦,能夠極大提升服務(wù)器的資源利用效率。目前虛擬機的部署已經(jīng)非常普遍,超過(guò)50%的計算是在虛擬機上完成的。虛擬機的規模部署,不可避免地涉及到虛擬機在服務(wù)器間的動(dòng)態(tài)遷移,這對網(wǎng)絡(luò )提出了新的要求:首先需要構建大二層網(wǎng)絡(luò ),從而實(shí)現設備的虛擬池化;其次要保證網(wǎng)絡(luò )的低時(shí)延和高帶寬,虛擬機遷移一般需要保證時(shí)延在5ms之內,高帶寬則有助于在短時(shí)間內完成遷移;能夠動(dòng)態(tài)自動(dòng)部署網(wǎng)絡(luò )策略的虛擬機感知技術(shù)也不可或缺。
如何滿(mǎn)足用戶(hù)對安全的訴求
近年來(lái),網(wǎng)絡(luò )安全事故頻發(fā),社交網(wǎng)站用戶(hù)名密碼泄漏、信用卡支付信息失竊、公司數據庫被盜等事件引起了廣泛關(guān)注,IDC作為互聯(lián)網(wǎng)的數據存儲和處理中心,面臨更多的安全攻擊。另一方面,IDC用戶(hù)越來(lái)越關(guān)注安全服務(wù),Gartner的報告顯示,超過(guò)一半的用戶(hù)將安全服務(wù)放在了實(shí)施云計算考慮因素的首位。
云計算也給IDC網(wǎng)絡(luò )安全帶來(lái)了更大的挑戰:網(wǎng)絡(luò )邊界的模糊化、威脅種類(lèi)的變化以及大流量的DDoS攻擊,將對IDC網(wǎng)絡(luò )產(chǎn)生巨大沖擊;虛擬化平臺運行在操作系統與物理設備之間,其本身設計存在的漏洞風(fēng)險將成為云計算的致命弱點(diǎn);由于用戶(hù)共享,不同安全需求的租戶(hù)可能運行在同一臺物理機上,這種租戶(hù)共享帶來(lái)的安全問(wèn)題,傳統安全措施難以處理;在數據管理方面,應用系統和資源所有權的分離,導致云平臺管理員有可能訪(fǎng)問(wèn)用戶(hù)數據,造成人為數據泄露。
構建面向未來(lái)的數據中心網(wǎng)絡(luò )
針對上述挑戰,華為推出Cloud Fabric數據中心網(wǎng)絡(luò )解決方案,全力幫助運營(yíng)商構建面向未來(lái)的網(wǎng)絡(luò )基礎架構,讓網(wǎng)絡(luò )不再是阻礙云計算數據中心蓬勃發(fā)展的瓶頸。
彈性架構
為了應對數據中心東西流量的快速增長(cháng),以及未來(lái)服務(wù)器的升級換代,在數據中心設計時(shí)就應當選擇一種彈性的網(wǎng)絡(luò )架構。交換機作為數據中心網(wǎng)絡(luò )的核心設備,其性能、容量和演進(jìn)能力將對整個(gè)網(wǎng)絡(luò )產(chǎn)生非常重要的影響。Cloud Fabric方案采用CE12800系列數據中心交換機,具有48T超大交換容量,T比特高密線(xiàn)卡,整網(wǎng)可達到360T的無(wú)阻塞交換,支持高密服務(wù)器接入,能滿(mǎn)足GE/10GE到40GE/100GE的4代服務(wù)器演進(jìn)需求。
出口路由器NE5000E采用先進(jìn)的無(wú)阻塞交換網(wǎng)絡(luò )架構,可提供海量交換容量和超高轉發(fā)性能,同時(shí)擁有強大的集群能力,“2+8”集群的系統吞吐量超過(guò)100Tbps,集群容量和擴展能力可充分滿(mǎn)足數據中心部署超大帶寬業(yè)務(wù)的需要。2013年4月,華為發(fā)布了1T路由線(xiàn)卡,該線(xiàn)卡可以支持高密度100GE、40GE端口,交換容量達到32Tbps。
可運營(yíng)的虛擬化網(wǎng)絡(luò )
華為數據中心交換機的VS(Virtual System)技術(shù)架構,可實(shí)現設備“一虛多”的虛擬化能力,即在物理設備上劃分出多個(gè)邏輯或虛擬設備系統,每個(gè)VS承載不同業(yè)務(wù)或者服務(wù)于不同的用戶(hù)群,既實(shí)現了業(yè)務(wù)隔離,又增強了網(wǎng)絡(luò )可靠性和安全性;大幅提升設備的利用率,降低用戶(hù)成本;并可以實(shí)現多用戶(hù)群管理隔離,有效簡(jiǎn)化運維。同時(shí),網(wǎng)絡(luò )節點(diǎn)也支持“多虛一”應用,通過(guò)集群交換機系統(CSS),把多臺支持集群的交換機連接,組成一臺更大的交換機,從而簡(jiǎn)化網(wǎng)絡(luò )的拓撲,提升網(wǎng)絡(luò )性能。
在網(wǎng)絡(luò )數據平面,Cloud Fabric方案通過(guò)標準的Trill協(xié)議構建大二層網(wǎng)絡(luò ),實(shí)現虛擬機的動(dòng)態(tài)遷移。該方案支持超過(guò)500個(gè)Trill節點(diǎn)的超大規模二層網(wǎng)絡(luò ),網(wǎng)絡(luò )鏈路和節點(diǎn)故障收斂時(shí)間在500ms以?xún)龋畲笾С?6路負載分擔,充分滿(mǎn)足大規模數據中心對于網(wǎng)絡(luò )規模和性能的要求。在多數據中心互聯(lián)上,華為增強型Trill over VPLS方案充分利用成熟技術(shù),部署簡(jiǎn)單,可支持40–60個(gè)數據中心互聯(lián),在更大的地理空間上構建統一的二層網(wǎng)絡(luò ),幫助運營(yíng)商實(shí)現物理分散、邏輯統一的數據中心,有效整合IT資源,提升運營(yíng)效率。
多層次的安全體系
Cloud Fabric方案擁有先進(jìn)的安全架構,能夠全面解決數據中心的關(guān)鍵安全難題。同時(shí),華為提供專(zhuān)業(yè)的安全咨詢(xún)和服務(wù)業(yè)務(wù),幫助運營(yíng)商評估和改善數據中心的安全性能。
華為數據中心安全架構分五個(gè)維度IAARC(Identification & Authentication、Access & Authorization、Audit Trail、Response & Recovery、Content Security),包括用戶(hù)的身份識別(你是誰(shuí))、接入控制(你能訪(fǎng)問(wèn)什么)、審計和取證(行為有記錄可審計)、反應和恢復(業(yè)務(wù)響應及時(shí)性、業(yè)務(wù)可恢復性)、內容安全檢查(是否存在攻擊),針對這五個(gè)維度提供相應的安全解決方案,有效保障數據中心的平安運行。
同時(shí),該架構提供對端、管、云三層業(yè)務(wù)的層次化安全防護,在端點(diǎn)接入上提供移動(dòng)終端、VDI等終端接入安全方案;在網(wǎng)絡(luò )管道上提供邊界網(wǎng)絡(luò )、內部網(wǎng)絡(luò )、虛擬層網(wǎng)絡(luò )等層次化防護方案,實(shí)現多租戶(hù)的網(wǎng)絡(luò )隔離,抵御來(lái)自數據中心內部和外部的攻擊;在云端提供數據中心主要業(yè)務(wù)如Web、Email等的安全防護,并提供全方位的數據保護方案,包括文檔和數據庫安全、虛擬機全盤(pán)加密以及DLP。
開(kāi)放易運維
IDC網(wǎng)絡(luò )涉及到與骨干網(wǎng)絡(luò )、其他IDC、服務(wù)器/存儲器的互聯(lián)互通,華為堅持采用Trill、VPLS等業(yè)界標準協(xié)議,提升網(wǎng)絡(luò )的可集成性,有效保護運營(yíng)商的投資。
華為數據中心管理平臺U2000能夠統一管理交換機、路由器、OTN、防火墻等設備,提供E2E的物理/邏輯視圖,支持快速故障定位和靈活的業(yè)務(wù)發(fā)放;除了傳統的網(wǎng)絡(luò )管理功能,U2000還支持虛擬機感知,能在虛擬機的遷移中自動(dòng)部署網(wǎng)絡(luò )策略。
