云數據中心方案范文
前言:我們精心挑選了數篇優質云數據中心方案文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
關鍵詞:802.1Qbg;VEB(虛擬以太網交換機Virtual Ethernet Bridging);VEPA(虛擬以太網端口匯聚器Virtual Ethernet Port Aggregator);Multi-Channel(多通道)
中圖分類號:TP308 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0046-02
隨著服務器虛擬化和網絡虛擬化的日益蓬勃發展,云計算在發展過程中出現了一臺物理機上部署虛擬機過多vSwitch占用服務器大量物理資源的問題,虛擬機與外部網絡對接、關聯和感知不明確不可控的問題。如何解決以上問題,Cisco公司提出了802.1Qbh、802.1BR和VN-Tag技術方案,而HP(H3C)/IBM提出了802.1Qbg的技術解決方案。
一、802.1Qbg技術
數據中心的變革歷經了服務器虛擬化、云計算等過程,而相應的交換設備也隨之悄然演化著,標準的制定和推出為這一變化指出改革方向,802.1Qbg順應改革浪潮及時跟進,對數據中心部署云時遇到的難題給出了解決方案。HP(H3C)/IBM對一臺物理機上部署虛擬機過多vSwitch占用服務器大量物理資源的問題,虛擬機與外部網絡對接、關聯和感知不明確不可控的問題,提出盡量將網絡功能移植回物理網絡,推出了802.1Qbg標準。
802.1Qbg在交換功能上,除了兼容vSwitch原有的VEB模式(Virtual Ethernet Bridging)模式外,還增加了VEPA(Virtual Ethernet Port Aggregator)和Multi-Channel工作模式共3種。VEB模式是大家部署虛擬服務器時常見的模式,802.1Qbg兼容這種模式。此種模式下,同一臺物理機上同一VLAN的虛擬服務器之間通信是直接經過該服務器內部的vSwitch轉發,沒有經過外部網絡設備。雖然由于vSwitch這一網元數量的增加,可以拓展虛擬化網絡規模,但也因為內部虛擬服務器數據交換不可控,QOS和網絡安全控制是個難題。
VEPA模式主要是針對之前已部署虛擬化的企業推出的一種解決方案。HP(H3C)/IBM基于IEEE標準,提出在沒有增加新的二層標簽基礎上,只對VMM軟件和交換機軟件簡單升級就可實現VEPA轉發功能。此種方案對已部署虛擬化服務器的用戶影響較小,二次投入也不多。VEPA方案既可以采用純軟件方式,也可是采用硬件方式實現。經HP實驗室測試,該方案報文轉發性能比傳統vSwitch提升12%或更高。VEPA要求VM服務器交換數據流必須經過外部Bridge,然后再原路返回VM響應服務器,路徑的一進一出就為原來意義上的vSwitch減輕了負擔,同時可以對相應端口進行Qos、ACL策略配置,IDS/IPS和防火墻等也可以對此端口進行安全管理,不但可控還節約了投資。
Multi-Channel工作模式是802.1Qbg的第三種模式,它是VEPA的一種增強模式。此種模式去除了服務器內部網絡功能,而以S-Channel方式將虛擬服務器與外部網絡連接起來,通過VDP(VSI Discovery Protocol)和CDCP(S-Channel Discovery and Configuration Protocol)協議報文交換,最終將將虛擬端口(vPort)終結在物理交換機端口上。多通道模式允許VEB、VEPA、Director IO同時存在,也允許各種組合方式存在。它將網絡端口劃分為并行獨立的邏輯通道并在邏輯上隔離,通道可按用戶要求隨意安排成VEB、VEPA或Director IO的一種。多通道技術實現了VEB和VEPA共存一機的要求。值得一提的是,該方式需網卡和交換機支持S-TAG和QinQ功能,所以對新部署虛擬化技術的且要求比較多的用戶比較適合。
二、802.1Qbg在云數據中心的應用測試
H3C公司作為HP的子公司,在802.1Qbg技術解決方案上做了大量的工作。筆者有幸作為一名測試用戶申請試用了H3C的虛擬化數據中心平臺。該公司為體驗用戶搭建了云數據中心的測試平臺,VMM軟件是基于KVM(IBM虛擬化)核心源代碼開發的H3C虛擬化系統,管理軟件是iMC CRM管理平臺,網絡平臺是基于40G和100G的 H3C 12500路由交換為核心,服務器是美國HP制造的多臺H3C服務器,并啟用了各種后臺存儲設備。在該試用平臺上,廠家利用多種基于802.1Qbg解決方案的技術,給用戶提供多種體驗環境。測試中,VMM遷移順暢,業務實時工作不中斷;虛擬機部署方便容易;各種網絡管理策略可在管理平臺上統一制定模板;實時對端口監測,發現異常及時報警。經觀察,多通道技術對虛擬化應用支持力度最為強勁不但兼容了原有VEB,還可利用VEPA技術,在交換機上對虛擬服務器網絡端口做各種策略,Qos、ACL保障極為便利,端口流鏡像、報文統計、安全策略下發管理上極為方便。
數據中心虛擬化目前最大的問題是虛擬機遷移不可控的問題,而HP(H3C)/IBM在VMM遷移(vMotion)這個問題上,找到了一條比較明確的解決方案:即利用iMC CRM管理虛擬機狀態,同時對可遷移的資源統一部署,利用802.1Qbg技術制定相應網絡遷移策略和路徑,做到可控的遷移,明確了VMM遷移的范圍和可利用資源。
目前H3C iMC系統能夠維護多達數萬個虛擬機接入,基于層級化的網絡管理模式,未來iMC將可管理虛擬機數量擴展到數十萬甚至數百萬,做到跨三層大范圍的自動化配置與遷移,而這一切的實現都離不開802.1Qbg技術對數據中心虛擬化的貢獻。
本人在測試中,感覺802.1Qbg對KVM、VMware支持力度很大,而對Microsoft的HyperV 3支持力度偏弱。如果廠家能及時跟進,加大與HyperV可擴展交換機技術的融合,開發相應的擴展程序包或硬件,將會是個不錯的選擇。畢竟微軟的用戶是眾多的,而Cisco、NEC和Inmon也都為此開發了相關擴展包組件或硬件。
三、結束語
802.1Qbg解決方案將服務器虛擬交換機功能大部分或完全移植回物理網絡,提升了服務器性能,明晰了網絡與服務器的界限,增強了虛擬服務器與網絡數據交換的可控性和安全性,降低了對安全設備重復投資的要求。802.1Qbg該技術和Cisco的VN-TAG如果互相借鑒的話,將會更有利于數據中心虛擬化的發展,EVB標準將會更加融合和發展。
參考文獻:
[1]李存軍.數據中心云接入技術比較[J].計算機光盤軟件與應用,2012,23.
[2]H3C EVB技術體系介紹[J].IP領航,2012,6.
[3]H3C EVB數據中心應用模型[J].IP領航,2012,6.
[4]錢景輝.數據中心在云計算需求下的技術分析[J].現代計算機,2012,07.
[5]姜建偉.企業數據中心網絡虛擬化環境中邊界感知安全技術和應用[J].計算機應用與軟件.
[6]吳晨,朱志祥,胡清俊.一種云數據中心虛擬交換的解決方案[J].西安郵電學院學報,2011,9,16,5.
[7]梁凱鵬.基于VEPA的云計算數據中心的設計與實現[J].廣東通信技術,2011,09.
[8]Shehzad Merchant VEPA:虛擬交換解決之道[J].網絡世界,2011,1,17第028版.
[9]李晨,許輝陽.云計算數據中心組網技術研究[J].電信網技術,2012,6,6.
第2篇
【關鍵詞】 云數據中心 安全防護 防護挑戰 解決方案
一、云數據中心概述
云計算簡單而言就是一種以互聯網技術為依托的計算方式,借助云計算網絡上共享的各種信息以及軟硬件等其它資源,都可以根據用戶的實際需求被準確的提供給包括計算機在內的其它互聯網終端設備。云計算的出現對于數據中心的發展起到了很好的促進作用,在功能實現方面,迫使其從以往傳統的只是提供存儲設備租用以及機房空間,向著真正的按需分配的資源虛擬云數據中心轉型。就云數據中心的特點來講,其主要是通過對虛擬技術的采用來將網絡當中的各種資源實施虛擬化操作,以為資源用戶之間的資源交互行為提供一種靈活多變的形式。
二、云數據中心安全防護目標
云數據中心安全防護工作的目標為在確保數據安全基礎之上,為數據使用者提供更好的服務。在實現這一目標的過程中,云數據中心中數據的機密性、數據的完整性是十分關鍵的任務。
2.1數據的機密性
在云數據中心安全防護工作中,數據的機密性指的是數據的使用主體為授權用戶,而不能泄露,更不能被非授權用戶所使用。為了讓云數據中心的數據體現出機密性的特征,云數據中心安全防護需要從以下三個方面做出努力:首先,需要提升云數據中心安全防護管理工作隊伍專業素養,這一提升過程可以通過培訓工作與人才引入工作來實現;其次,云數據中心安全防護工作要重視數據加密技術的廣泛應用,如數據安全傳輸專用鏈路、云數據中心數據加密以及云數據中心用戶授權管理技術等。其中,數據安全傳輸專用鏈路主要是采用VPN、SSL、NAT等鏈路技術確保云數據中心數據傳輸鏈路的安全性能。
云數據中心數據加密則可以利用DES系統、ECC系統以及RSA系統等避免云數據中心中的數據被竊取,當然,在加密技術的使用中,服務器內部的攻擊是確保數據機密工作中面臨的重要挑戰,為此,數據加密過程和數據存儲服務之間需要具備一定的分離性,在此過程中,加密工作可以在云數據中心客戶端完成,而云存儲用戶所使用的不對稱密鑰則可以由第三方機構進行管理。
當前云數據中心的用戶授權體現出了粗粒度的特征,授權級別主要包括兩級,即云數據中心管理員以及從管理員受眾得到授權的以及用戶,由于這種訪問控制機制具有著一定的安全問題,因此高安全性的訪問管理技術和身體認證技術是十分必要的。
2.2數據的完整性
在云數據中心安全防護工作中,確保數據不被蓄意或者偶然的重置、修改是重要的工作目標之一,只有實現這一目標,云數據中心的數據才能夠具備完整性。從影響云數據中心數據完整性的因素來看,這些因素包括自然災害、設備故障、計算機病毒、誤碼等。從云數據中心數據完整性的防護手段來看,則主要包括預防數據丟失與恢復數據兩個方面。在云數據中心中,為了能夠保證數據在處理、傳輸以及存儲中具備完整性,管理人員進場會運用到分記處理、奇偶校驗、鏡像以及分級存儲等技術。事實上,在云計算環境中,如果運用IaaS進行存儲,則數據遷移需要承擔的成本較高,另外,數據集具有著明顯的動態化特征,因此,傳統的數據完整性檢驗機制很難得到良好的效果,為此,為了確保云數據中心數據的完整性,云數據中心安全防護工作者需要充分了解云計算環境所具有的特征,并使用復制服務器以及兩階段提交協議等技術,對云數據中心中數據的完整性做出檢驗。
三、面臨的挑戰
在IT技術迅猛發展的背景下,云數據中心體現出了逐步替代傳統數據中心的趨勢,在此過程中,云數據中心需要面臨虛擬安全域隔離以及虛擬機安全防護等諸多問題,這些問題的存在,在一定程度上制約著云數據中心得到更加廣泛的運用并體現出更大的應用價值。云數據中心網絡虛擬化,會讓網絡邊界呈現出動態性的特征,因此,網絡安全系統對安全策略的制定與部署是至關重要的。具體而言,當前云數據中心安全防護工作主要面臨著三個問題:首先,虛擬安全域的隔離問題以及虛擬機的防護問題。虛擬交換層是云數據中心網絡虛擬化中新的網絡層次,這種網絡層次的出現導致了網絡管理邊界具有了模糊化的特點,與此同時,虛擬服務器難以被原有的網絡系統感知,因此,數據中心在安全隔離租戶虛擬域的工作中面臨著較大的挑戰;其次,云數據中心資源難以實現集中管理。在云數據中心中,一個數據流需要經過多重檢測,在使用傳統方法開展這項工作的過程中,一般需要對不同類型的功能與設備進行簡化與堆疊,這一過程需要浪費消耗較多的軟硬件資源。另外,由于安全設備所具有的模型和接口存在著一定的差異,所以云數據中心資源的集中管理也較難實現;最后,安全策略如何實現全局協同,也是需要考慮的重要問題。在云數據中心中,安全控制策略和傳統的網絡安全控制策略具有著一定差異,安全防護工作需要針對應用所具有的特性,對不同安全域進行有效區分,為制定出有效的安全策略,而為了避免產生策略沖突,這些安全策略也需要實現全局協同,這一問題是云數據中心安全防護工作中不得不面臨的挑戰之一。
四、技術
在當前的云數據中心安全防護工作中,軟件定義網絡技術能夠發揮出不容忽視的作用,在這一技術的支撐下,經過云化處理之后的邊界能夠形成良好的網絡結構,并且也能夠確保用戶對存儲資源以及網絡資源做出良好的分割使用。于此同時,在軟件定義網絡基礎上衍生出的軟件定義安全技術以及網絡功能虛擬化技術等,也能夠有效確保云數據中心安全性,并提升云數據中心數據資源的利用效率。
4.1軟件定義網絡技術
2006年,斯坦福大學首次提出了軟件定義網絡,2012年,軟件定義網絡所具有的三層架構也得到了行業內的普遍認可。軟件定義網絡所具有的三層架構包括應用層、控制層以及數據層,其中,控制層對網絡設備中所有的控制功能進行了繼承,并且具備可編程的特征,這讓控制層與數據層實現了分離,并讓數據層實現了簡化,在充分發揮這一優勢特征的基礎上,數據的使用以及開發工作都會變得更加便捷,并且網絡與系統也能夠根據受眾的業務需求做出更加快速的響應。在云數據中心安全防護中,軟件定義網絡技術具有著明顯的優勢,首先在運用軟件定義網絡技術的基礎上,可以制定多租戶安全服務策略。軟件定義網絡控制器能夠對網絡所具有的狀態信息進行感知,并可以對云數據中心安全策略和轉發策略進行聯合編譯,與此同時,軟件定義網絡技術還能蚋據租戶虛擬網絡拓撲以及租戶所提出的需求,將安全策略分布在不同的網絡節點之中,這一優勢讓云數據中心安全策略得到了簡化。另外,基于軟件定義網絡架構,云數據中心安全策略的實施工作與制定工作能夠實現較好的隔離,在此基礎上,云數據中心安全策略的實施能夠體現出更好的靈活性;其次,在運用軟件定義網絡的基礎上,云數據中心能夠構建起可復用的安全服務。軟件功能模塊化以及軟件功能的重構,能夠讓云數據中心對公共處理模塊進行合并,從而對軟硬件性能進行優化。當然,實現不同控制模型以及接口的統一化,是發揮這一優勢的必要前提;最后,在運用軟件定義網絡的基礎上,云數據中心資源可以得到集中的管理與控制。軟件定義網絡技術能夠為云數據中心提供全局網絡視圖,并能夠推動數據調配實現精細化,與此同時,軟件定義網絡技術通過對虛擬化安全設備和虛擬網絡進行協調,也能夠為云數據中心安全防護工作提供便利。
4.2網絡功能虛擬化技術
nfv網絡功能虛擬化技術指的是將電信設備運用于通用服務器,并將各類網元部署在存儲器、服務器、交換機等共同構成的平臺之上,在此基礎上,應用能夠對虛擬資源進行快速的減少和增加,并實現快速縮容與擴容,促使系統具備更好的網絡彈性。
在云數據中心安全防護工作中,網絡功能虛擬化技術體現出兩個明顯優勢,首先,云數據中心租戶能夠利用一個平臺對不同租戶以及不同版本的網絡設備進行登錄,從而實現更好的資源共享;其次,云數據中心可以以租戶具體需求為依據,對自身服務能力進行降低或者特征,從而促使自身服務體現出更好的針對性。
五、解決方案
隨著信息化時代的到來,社會的數據化發展在給人們帶來極大的便利化的同時,信息、數據安全問題的發生也嚴重影響著人們的個人利益。為此,我們提倡大力發展云數據中心,構建完善的云數據中心安全方案的主要目標之一也是為了對用戶的個人信息、相關數據進行保護。但在邁入云計算數據中心時代之后,在云模式構架的影響下,傳統數據安全方法遇到了巨大的挑戰,無論是抽象控制還是在物理邏輯方面都需要全新的數據安全策略。與此同時各種病毒威脅的發生以及計算機網絡在技術、方向方面的發展等也會引發各種網絡信息問題,從而對云數據安全造成極大的挑戰。因此,我們急需針對當今各種網絡信息問題的產生特點,來開發和制定出一套先進的云數據中心安全防御方案,以此來為新時期云數據信息用戶以及云端信息的輸出,提供一個安全的信息流通環境。切實保護雙方安全利益,預防由信息危機而引發的各項社會安全問題的產生。由于云數據中心安全防護涉及范圍較廣,且面臨問題具有一定的復雜、多樣性。因此,我們對云數據中心安全方案的制定也必須從大的模式構建和細小的體系建立兩個方面來做起,具體來講主要包括以下內容:
5.1云計算應用模式構建
云計算英語模式作為云數據中心安全防護的主要構成模式,其構建完善與否在很大程度上將決定著云數據中心安全質量的高低。為此,就云服務終端來講,其安全解決方案的建立首先要在其終端構建起一個獨有的安全評估和防御體系,只有如此才能夠在云端與終端開展信息流動的過程中,將云端信息安全被侵擾的幾率降到最低。為此,我們需要為每一臺終端機選擇并安裝,先進的防病毒、防火墻、惡意軟件查找以及IPS等安全軟件系統。極大的預防各類網絡安全攻擊事件的發生,防止個人計算機信息數據的泄露。與此同時,瀏覽器作為用戶與云端開展信息交流的重要媒介,其瀏覽器的安全與否也在很大程度上決定著云計算安全水平的提升。為此,我們必須必須積極面對,在定期對計算機病毒進行查找的同時,做好瀏覽器的補丁修護工作,極大的保證瀏覽器的安全運行。此外,由于終端當中虛擬軟件通信不在網絡通信監控范圍內,其一旦發生匿名網絡攻擊云端在難以察覺的情況下,很容易受到其攻擊,為此我們還應當加強對虛擬軟件管理工作。通過完善的信息安全預防工作的實施,來從各個方面預防信息數據安全事故的發生,將安全隱患消滅于微。
5.2云數據防御體系建立
云數據防御體系的建立使得各種網絡病毒以及威脅能夠在很大程度上被云防御發現并杜絕,提升了云數據防御體系的安全預防能力。具體而言云數據防御體系的建立主要包括以下幾個方面:首先,構建web信譽服務體系,這是云數據安全防護的關鍵也是重要組成部分之一,其預防措施要趕在web威脅發生之前,防護對象主要包括IP、網頁、網站等;其次,建立電子郵件信任模型,它主要是針對上面web信譽服務來進行優化作業,以將web當中那些包含不良信息的垃圾郵件直接在這一階段過濾掉,以防止這些已經收到污染的不安全數據、信息對云端信息或計算機造成傳染害,真正的將電子郵件的收發控制在合法范圍內。此外還包括,行為關聯分析技術體系、自動反饋機制信任體系、以及威脅信息匯總體系的構建。從功能和內容上來講,無論何種體系的構建起目的都是為了對云安全防御體系進行完善,不斷強化其安全防御能力,幫助計算機肅清其工作、運行環境,使其各方面功能得以良好的發揮。
參 考 文 獻
[1]申晉. 云計算數據中心安全面臨挑戰及防護策略探討[J]. W絡安全技術與應用,2016,(03):65+67.
[2]張小梅,馬錚,朱安南,姜楠. 云數據中心安全防護解決方案[J]. 郵電設計技術,2016,(01):50-54.
第3篇
數據表明,在2008年,全球仍有接近16億的人口尚未能使用電力,而即使是進入2030年,這一數字也將僅僅減少為14億。與此同時,就全球而言,能源的消耗并非簡單的由人口數量所決定,2030年,由接近20億人口所形成的中產階級群體將對包括汽車、電腦等在內的能源消耗品產生無可估量的購買力,這一事實將使得電力需求攀升翻倍,為我們所生存的地球帶來不容小覷的能源困境。
全世界均在力求實現至2050年二氧化碳排放量減半的目標,一方面我們可以通過在發電的過程中使用太陽能、風能等清潔能源,另一方面,在終端使用時進一步節省能源同樣是簡單、有效的方法。特別是考慮到配電及分布過程中的電力消耗,來自終端一千瓦的電力消耗則意味著需要在電力生產端減少三千瓦。
當下,數據中心的電力消耗已經占到全球能源電力消耗的8%,而每三年電力消耗即會翻倍增長更是給數據中心提出了嚴峻的挑戰,Capex(資本支出)和Opex(運營成本)的不均衡給數據中心管理者帶來了極大的困擾。同時,云計算的出現則為企業節省成本并降低能耗提供了一種新的方向,它不僅僅代表IT技術的進步,更是以IT運用資源共享的方式對IT服務模式進行優化。基于在云計算環境下業務競爭的需要和IT負載遷移的考慮,用戶在構建數據中心時,不僅僅需要將數據中心的高可用性視為先決條件,如何實現數據中心的高效率也成為不可忽略的考量。通過更為標準化的設計及優秀的運維來建造和管理一個密集的、靈活的、自動化的數據中心,既滿足未來15-20年運營周期的應用需求,也可將未來新技術的更新納入考慮,這意味著在數據中心建設的初始階段,便需要以全局視角來審視數據中心的設計,全面規劃數據中心的配電、制冷、安防、門禁控制及后期的運營管理等方方面面,通過有效地優化數據中心的整體架構進一步節約30%的電力消耗,以期真正實現數據中心從前期資本支出到后期運營成本的投資回報。
云計算這一全新的商業模式帶來了數據中心的動態需求,使得數據中心的管理者們開始重新審視數據中心的規劃與建設,連接所有相互關聯的系統,繼而影響到數據中心的可用性及能效。僅局限于關注IT機房的數據中心建設的傳統思路將被改變,一個數據中心不應只考慮如何放置機架、服務器以及存儲設備,施耐德電氣倡導的更全面的數據中心構想,則致力于以一個更為標準化的方式幫助用戶實現貫穿機柜、行級、房間級甚至于整個樓宇設施級別的設計,使規劃、設計、構建和運營變得更加可預測、更高效、更加可擴展,使用戶將精力集中到其他更為重要的業務領域。
