华为云数据中心规划建议

2015年8月18日星期二IT产品线数据中心云数据中心规划建议1Content云数据中心规划方法论云数据中心安全132数据中心挑战和趋势成功案例42云的上面是什么?传统数据中心（1995）大型机(1945)云数据中心（2004）•全自动计算（5000次/秒）•消耗资源多：占地170平米，150千瓦功耗•物理分散、逻辑集中•DC间互相容灾•办公环境随用户迁移？•IT资源集中化，计算能力增强•高能耗(PUE:2-3)•虚拟化提升IT利用率•各DC间独立运作(2013年)3业界-数据中心整体虚拟化趋势明显服务器虚拟化比例保持快速的增长，2016年80%的应用将运行在VM上42%34%28%28%38%47%43%53%25%25%18%MicrosoftExchangeMicrosoftSQLMicrosoftSharePointOracleMiddlewareOracleDBSAP67%2011/042010/01典型应用的虚拟化比例逐步提升，特别是Oracle、SAP等关键应用其他厂家发力虚拟化，VMware一家独大的竞争态势短期内没有变化VMware,70%Microsoft,23%Citrix,5%Redhat,1%Others,1%VMware,64%Microsoft,27%Citrix,6%Redhat,2%Others,1%2011年2012年服务器虚拟化的普及带动了相应的网络、存储虚拟化，基础设施“虚拟化”的趋势明显：•Cisco、Juniper、HP、VM各大厂家成熟应用网络虚拟化解决方案，布局SDN；新型厂家（Nicira、BigSwitch）积极布局SDN•围绕虚拟卷、虚拟Flash、虚拟SAN，VMware、EMC、IBM推出存储虚拟化解决方案，旨在提升性能、降低成本和管理复杂度；新型厂家Nutanix、Mellanox、Virsto推出各种存储虚拟化解决方案•运营商AT&T、CMCC、BT、NTT，Google均实验或应用虚拟基础设施解决方案4标杆-互联网巨头数据中心向分布式发展AWSGlobalInfrastructureAWSRegions&AvailabilityZonesAMS数据中心由8个Zone组成，Zone内部光纤互联，类似同一DC可将实例拆分部署到不同的zone实现容灾，AWS也会根据当前的系统健康状态和能力自动为用户选择zone.阿里：PHP、MySQLAmazon：C++、Perl、DBEbay：Perl、C++、NoDB阿里：JAVA、SOAAmazon：C++、Java、Perl、SOA、OracleRACEbay：Java、XSL、Layered、Oracle阿里：JAVA、AliyunAmazon：AWS、OracleEbay：Java、InternalCloudPlatform、Components、Oracle第一代：B-S架构，架构简单，负载量低第二代：集中式分层架构，瓶颈集中在后端第三代：组件+平台、全分布式架构、服务模型分区修建数据中心是影响数据中心未来趋势的最具颠覆性技术--CarlClaunch(Gartner)5传统数据中心改造步骤资源池化改造•统一共享的硬件资源池•IT基础设施标准化、通用化•计算虚拟化•存储虚拟化DCaaS•以vDC的方式组织资源•多租户、自运营、自运维•业务整合，迁移网络升级改造•纯软件Overlay•硬件改造升级•与传统网络互通统一集中管理•数据中心进行集中整合•数据中心物理分散，逻辑集中•多数据中心统一集中管理业务迁移服务•规划、设计、实施业务迁移•通过专业工具将业务迁到云端•满足业务整合与迁移需求6Content云数据中心规划方法论云数据中心安全132数据中心挑战和趋势成功案例47数据中心架构规划方法论基础设施架构规划方法业务能力模型与业务架构业务战略与战略驱动理解安全体系应用架构和系统方案业界技术趋势行业标杆基础设施架构规划业务战略8数据中心架构规划步骤需求分析项目管理项目进度管理沟通管理资源管理质量管理风险管理验收管理知识转移基础设施架构规划实施设计业务发展规划分析T01应用架构和系统方案分析T02数据中心体系规划T03云平台规划T04存储规划T05服务器规划T06运营管理规划T08网络规划T07设备要求和设备清单T10机房基础设施T11安全规划T099云平台规划资源池规划不同场景需求安全分区要求VM类型与规格VM调度策略物理资源池容量云平台能力要求技术架构虚拟化效率扩展性兼容性…云管理平台业务部署能力10业务层次应用类型部署建议接入层Web服务器可云化接口机可云化业务逻辑层中间件可云化后台应用业务逻辑简单类应用可云化业务逻辑复杂数据关联度低类应用可云化业务逻辑复杂，数据关联度高物理机数据层交易型数据库读写分离后读库、数据库拆分物理机实时交易，处理逻辑复杂，数据关联度高物理机分析型数据库实时性高，处理逻辑复杂物理机数据采集层采集机、ETL可云化应用系统分层云化原则不适合云化场景应用类型部署建议对服务器运算性能要求特别高，在单个物理服务器上配置最大计算能力的虚拟机依然不能满足业务应用的计算能力要求物理机对显卡处理能力要求特别高的业务应用物理机现有软件许可加密方式不支持虚拟化的场景物理机业务应用对服务器有特殊板卡要求，且板卡不支持在虚拟化环境中运行物理机基于特定的操作系统开发的的应用，例如在Solaris操作系统上开发的C语言应用物理机/UNIX服务器根据业务的负载、业务类型等等多个角度，评估是否需要对业务做虚拟化。服务器虚拟化规划11存储系统规划存储架构云平台使用SAN集中存储支撑多个分区高性能要求的数据库服务器使用SAN存储部分应用（如webserver）使用NAS或者对象存储设备保存应用数据根据应用需要对应用数据和云平台进行数据备份应用场景存储类型容量规划性能规划业务数据虚拟机镜像备份数据…访问类型IOPS要求存储分级可靠性存储网络SANNAS(NFS)NAS(CIFS)…基础容量周期增量扩容策略…冗余技术选择修复时间要求FCIPFCoESANIPNASSAN存储虚拟化平台1虚拟化平台2备份存储数据库服务器12信息安全技术体系物理安全网络安全主机安全数据安全应用安全身份认证访问控制内容安全监控审计备份恢复数字证书应用增强访问控制网页防篡改应用防火墙桌面安全监控用户名/密码数字证书用户名/密码数字证书用户名/密码数字证书用户名/密码物理门禁安保系统统一用户管理系统增强加固防火墙\UTMVLAN/ACL终端准入控制加密技术数据防泄漏物理分区安保系统建筑安全机房安全监控摄像环境监控异地灾备同城灾备防病毒网关\UTM流量控制\QoS传输安全\VPN应用安全审计应用安全扫描系统安全扫描系统安全审计网络安全扫描网络入侵检测网络安全审计链路备份设备备份系统备份系统恢复数据库备份应用备份综合审计中心安全管理中心恶意代码防范主机防病毒系统加密技术主机入侵检测应用防火墙数据库安全加固文档安全管理网络准入控制统一授权管理数据备份数据恢复统一认证管理信息安全技术规划13华为容灾解决方案全景图本地高可用方案同城容灾方案异地容灾方案本地生产中心同城容灾中心异地容灾中心本地高可用方案双活数据中心解决方案主备容灾解决方案两地三中心解决方案主备容灾解决方案云容灾解决方案≤100km＞100km14基于存储远程复制的容灾方案写压力较小，对存储的带宽、IOPS和时延要求不是太高的应用系统的虚拟机整机容灾支持虚拟机整机（含系统卷和数据卷）的容灾与恢复不需要在虚拟机内安装代理软件容灾管理员可以实现一键式容灾切换、容灾演练与计划性迁移等自动化操作和维护，减少手工操作支持同步复制和异步复制两种方式多种容灾方式：主备容灾、双活或互备容灾、共享容灾（多对一容灾）控制通道客户机客户机FusionCompute站点BFusionCompute客户机客户机站点A阵列远程复制UltraVR容灾管理软件UltraVR容灾管理软件适用场景技术特点&价值15存储热迁移，避免存储系统维护业务停机技术特点•迁移带宽可控，避免对正常业务产生影响•支持跨集群迁移适用场景•存储系统下电维护•优化虚拟机存储I/O性能•高效管理存储容量（回收存储碎片等）FusionCompute客户机客户机客户机客户机FusionCompute存储热迁移，让业务部署更为灵活存储热迁移16数据备份系统技术特点•灵活备份策略：周期性全量、增量备份，快照备份最小备份周期可达1小时（业界领先）•数据恢复灵活：备份快照可恢复到原虚拟机、新虚拟机、以及指定虚拟机•每个备份服务器最多可保护200个VM•支持最多10个备份服务器统一管理•支持多站点数据备份HDP备份服务器大容量NAS应用价值•实现灵活的数据备份需要•大幅提升数据备份系统的管理效率VM快照恢复VM快照备份VRM集群1VMVMVMVMVMVMFusionComputeVRM集群2VMVMVMVMVMVMFusionComputeVM快照恢复VM快照备份VRM集群3VMVMVMVMVMVMFusionComputeHDP备份服务器VM快照恢复VM快照备份HDP管理服务器管理服务器和备份服务器都支持虚拟机部署17虚拟机热迁移技术(VMMotion)技术特点•基于内存压缩传输技术，虚拟机热迁移效率提升1倍•支持源主机和目的主机是异构CPU场景下的虚拟机热迁移适用场景•可容忍短时间中断，但必须要快速恢复业务。比如轻量级数据库业务，桌面云业务FusionComputeAppFusionComputeAppApp服务器A服务器B虚拟机热迁移过程中，不中断虚拟机业务，用户无感知18物理服务器A•支持主机、虚拟平台、虚拟机内部多种故障场景的检测和虚拟机恢复•支持集中控制HA和集群自治HA两种机制，可自选•可设置HA心跳消息的网络平面，降低网络压力•多种故障判断机制，避免漏判、误判故障•支持共享存储与本地存储虚拟机HAOSAPPOSAPPX物理服务器BOSAPPOSAPP物理服务器CHA资源（可预留）大幅提升故障恢复速度，降低业务中断时间、保障业务连续性、实现一定的系统自维护3分钟恢复虚拟机N小时虚拟机物理主机虚拟机HA机制OSAPPOSAPPOSAPPOSAPPOSAPP技术特点用户价值19Content云数据中心规划方法论132数据中心挑战和趋势成功案例4云数据中心安全20公安三所云计算安全检验规范21国家信息安全测评中心云计算安全测评报告22云计算带来新的安全威肋◆身份与安全管理应用系统和资源所有权的分离，导致云平台管理员可能访问用户数据◆应用与数据安全不同安全需求的租户可能运行在同一台物理机上，传统安全措施难以处理◆系统与虚拟化安全虚拟化平台运行在操作系统与物理设备之间，其设计和实现中存在漏洞风险◆网络与边界安全网络边界的模糊化，传统的边界防护手段在虚拟网络中无法直接使用。除传统威胁外，虚拟化、多租户和特权用户问题使得云计算面临更大风险！23云计算安全威胁分析模块威胁源管理员用户黑客端TC/SC非法操作：如利用TCM与TC间正常的升级通道，植入木马控制TC恶意用户：仿冒其他用户登录，破解密码伪造TCM管理员伪造非法TCM：控制TC非法TC：非法TC具有获取VM数据能力TCM漏洞攻击权限滥用：对TCUSB端口管理不合理数据泄露到本地，如截屏TC被非法破坏：植入木马，非法获取VM数据管网络截获其他用户密码常见网络攻击PC等设备绕过安全网关云虚拟机非法重置用户密码用户非法登录：弱口令或口令保管不善类似PC的常见攻击误挂卷用户虚拟机被篡改利用虚拟机备份文件非法恢复用户数据攻击相邻虚拟机，如ARP攻击虚拟机自然损坏非授权访问相邻虚拟机攻击虚拟化平台利用虚拟化资源从事非法活动，如攻击外网虚拟机迁移过程中安全策略失效虚拟化层管理员非法登录：利用弱口令或口令保管不善还原出前一用户硬盘数据利用租用的虚拟机攻击虚拟化平台权限滥用：如果缺三权分立还原出前一用户内存数据利