虚拟化方案

天畅虚拟化方案(VMware一期)一、方案目的随着公司发展速度越来越快，业务量不断增大，生产系统会加入越来越多的服务，同时随着人员的扩张，客户端也越来越多，同时客户端接入形式也越来越丰富。开发和测试的多样性和及时响应的需求也越来越多。IT基础架构规模日趋庞大和复杂。公司需要一套完整的IT解决方案，能够达到以下要求：1.节约投资，同时能有效利用现有设备。2.减少IT管理，提高标准化管理程度。3.有效保证业务连续性4.有效保证容错容灾5.系统部署快速响应6.核心数据的安全保护。VMware的虚拟化技术能有效实现以上需求。A.虚拟化服务器了打破一个应用一台物理机的传统模式，通过单物理机虚拟化从而实现多台虚拟机进而实现事实上多应用单物理机，能有效节约采购成本。B.客户端模板化，从而提高了IT的可管理性，减少因为客户端的随意改动而带来的风险。C.业务连续性和应用可用性都提高了。通过虚拟化，企业可以降低计划停机时间D.可以从意外当机中快速恢复业务，而且可以将整个虚拟环境迁移到别处，从而有效保证了容错容灾。E.系统部署快速响应。过去上一台新服务器需要走复杂的流程，从采购到安装OS至少需要2个工作日。而现在新建虚拟机只是几分钟的事。这大大简化了服务器的供应。F.终端的虚拟化实现了计算存储在中心，显示在客户端。有效保证了核心数据的外泄。二、方案内容公司目前的特点：目前或者将来应用服务器多，但是运行负载不高，对于这种轻应用的服务器通过虚拟化整合可以得到很高的整合率。客户端人数（包括开发人员）快速增长，但是这些人员使用的桌面端模板有限，通过模板克隆可以非常有效整合客户端。根据目前的虚拟化的现状，推荐使用VMware的企业虚拟化方案。物理服务器上运行VMwareESXServer，每台VMwareESXServer中运行多台虚拟机，服务器实现群集，存储采用第三方独立存储。图1给出公司的整体虚拟化框架图。InternetADSL接入网关交换机无线接入点虚拟服务器CISCOVPN办公接入点………………客户端123457服务器群集千兆交换机服务器存储6图1整体虚拟化框架图接下来简要介绍一下每个部分实现的功能：1)使用2M的网通连入Internet，通过它来上网办公；2)网关选择Cisco防火墙级路由器，来防御病毒、防御互联网DOS，DDOS攻击、URL的过滤，同时还有VPN功能，来方便分支机构同事接入公司内网；3)交换机采用有线1000M无线300M相结合的方案；4)办公接入点实现打印机，扫描仪，指纹考勤机等的接入；5)架设多个AP，实现移动办公的接入；6)由三台服务器组成的群集，千兆交换机用来连接存储设备与服务器群集，利用第三方作为独立存储来保存数据；7)服务器群集上运行多台虚拟机；注：整个框架中最为核心的部分为6,该框应用VMware实现了服务器的虚拟化。1000M1000M1000M2T*6=12T硬盘阵列（RAID6）8TPE2950存储8口千兆交换机DELLR710服务器群集CPU内存硬盘2个4核*3=24核72G*3=216G1T*3=3T2T*6=12T硬盘阵列（RAID6）8TPE2950存储8口千兆交换机图2虚拟中心详细拓扑图所有数据保存在共享存储设备上，存储服务器与千兆交换机通过光纤交互数据，速度更快，同时另一台千兆交换机和另一台存储服务器冷备。DCFile+BDCSVN网管软件OA用户测试区*4SharePointCRM虚拟服务器组DELLR710服务器群集VMwareESXServerVMwarevCenter…………图3虚拟服务器详细图通过在多台物理服务器上运行VMwareESXServer，每台VMwareESXServer中再运行多台虚拟机，通过一台VMwarevCenterServer服务器（此服务器可以运行在虚拟机中）来实现对整个架构的管理。DELLR710服务器群集虚拟桌面组………………客户端VMwareDesktopManager图4虚拟桌面详细实现图通过VMwareDesktopManager实现桌面虚拟化，可以在单个计算机上运行多个操作系统它可以简化桌面管理和控制，降低运营成本，可以为远程员工和业务合作伙伴部署和管理安全的统一模板的虚拟桌面。三、设备采购天畅信息新办公室IT方案采购清单网络系统设备名备注品牌规格类型单价数量总价防火墙Cisco5510-K8/K918260118260交换机8口CiscoSD2008T59821196交换机24口NetgearProSafeGS724T2699410796无线路由器TP-LINKTP-LINKTL-WR841N20051000小计31252布线系统六类线康普92043680六类面板+模块康普40702800六类配件架康普94032820六类跳线1米三堡670420六类跳线3米三堡1370910机柜高仿600*800*2000带PDU电源100022000小计12630电话系统呼叫中心+CRM商能40000140000电话配线架三堡1501150小计40150其他硬件UPS山特3KS支持2小时610016100KVM贝尔金PRO3KVM切换器8口235012350小计8450虚拟化服务器系统服务器DellPowerEdgeR71011200333600CPUIntelXeonE55062.13GHz224036720内存三星DDR34GB6502415600硬盘DellSATA500G350103500硬盘DellSATA2TB8501311050小计70470软件OA易科010杀毒软件客户端360安全卫士+杀毒010杀毒软件服务器端MacAfee虚拟服务器安全010小计0利旧硬盘DellSATA500G350103500小计3500总计159452四、规则说明1、IP规则表一IP地址分配表设备及应用IP地址网关子网掩码IT硬件设备（防火墙，服务器等）192.168.0.1——192.168.0.20192.168.0.1255.255.255.0应用服务（IT和办公应用）192.168.0.21——192.168.0.40192.168.0.1255.255.255.0开发部（版本控制器等）192.168.0.41——192.168.0.50192.168.0.1255.255.255.0表二网络设备IP规划表名称IP地址网关子网掩码防火墙192.168.0.1/255.255.255.0无线路由器(Develop)192.168.1.1192.168.0.1255.255.255.0无线路由器(SalesS)192.168.2.1192.168.0.1255.255.255.0AP(SalesN)192.168.2.2192.168.0.1255.255.255.0AP(IT)192.168.3.1192.168.0.1255.255.255.0AP(Meeting)192.168.4.1192.168.0.1255.255.255.0注：表二中，5个路由器分别划分不同的子网表三IT应用IP规划详表名称IP地址网关子网掩码vCenter192.168.0.21192.168.0.1255.255.255.0SqlforvCenter192.168.0.22192.168.0.1255.255.255.0VDM192.168.0.23192.168.0.1255.255.255.0Routerforthinclient192.168.0.24/10.0.0.1192.168.0.1255.255.255.0AD（DHCP、DNS）192.168.0.25192.168.0.1255.255.255.0BDC+FTP192.168.0.26192.168.0.1255.255.255.0网管软件192.168.0.27192.168.0.1255.255.255.0用户测试区1192.168.0.28192.168.0.1255.255.255.0用户测试区2192.168.0.29192.168.0.1255.255.255.0用户测试区3192.168.0.30192.168.0.1255.255.255.0用户测试区4192.168.0.31192.168.0.1255.255.255.0表四办公应用IP规划表名称IP地址网关子网掩码打印服务器192.168.0.32192.168.0.1255.255.255.0OA192.168.0.33192.168.0.1255.255.255.0门禁系统192.168.0.34192.168.0.1255.255.255.0表五开发部应用IP规划表名称IP地址网关子网掩码版本控制器192.168.0.41192.168.0.1255.255.255.0表六部门IP地址规划表部门IP地址网关子网掩码行政部192.168.0.100-192.168.0.104192.168.0.1255.255.255.0开发部+财务部192.168.1.2——192.168.1.254192.168.1.1255.255.255.0销售部192.168.2.3——192.168.2.254192.168.2.1255.255.255.0IT部192.168.3.2——192.168.3.254192.168.3.1255.255.255.0VPN接入192.168.0.200——192.168.0.254192.168.0.1255.255.255.0表六中，不同部门划分不同的子网表七服务器IP地址规划表名称IP地址网关子网掩码Esx1/eth01Esx1/eth02172.16.0.1/255.255.255.0Esx2/eth01Esx2/eth02172.16.0.2/255.255.255.0Esx3/eth01Esx3/eth02172.16.0.3/255.255.255.0Esx1/eth0310.10.10.10/255.255.255.0Esx2/eth0310.10.10.20/255.255.255.0Esx3/eth0310.10.10.30/255.255.255.0Esx1/eth04192.168.0.10192.168.0.1255.255.255.0Esx2/eth04192.168.0.11192.168.0.1255.255.255.0Esx3/eth04192.168.0.12192.168.0.1255.255.255.0表七中，每台服务器的网口1、2相互冗余，网口3为vMotion，网口4连接到生产网络中表八瘦客户端IP地址规划表名称IP地址网关子网掩码开发部瘦客户端10.0.0.101——10.0.0.11010.0.0.1255.255.255.0表九存储服务器IP地址规划表名称IP地址网关子网掩码Storage01eth01172.16.0.4/255.255.255.0Storage01eth02172.16.0.5/255.255.255.0Storage02eth01172.16.1.4/255.255.255.0Storage02eth02172.16.1.5/255.255.255.0表九中，2台存储服务器的网络口为不同网段的IP，通过心跳线两两直连，达到HA效果2、无线上网规则编辑MAC地址列表来允许或拒绝无线网络中的计算机访问Internet，有效控制某个部门的同事连接指定的AP，同时防止外部的未知无线设备擅自接入网络。此规则应用于所有AP设备。3、域规则A、域中组建DHCP服务器为客户端动态分配IP地址，子网掩码，网关地址，DNS地址等信息；然后通过DHCP中的MAC地址与IP地址绑定功能，防止IP地址冲突。B、组建DNS服务器命名为oa.techown.com，添加DNS解析。C、组建活动目录（ActiveDirectory）AD域名为oa.techown.com，创建用户名，然后创建多个组，分别按照类别命名，将用户归到其部门的组中，然后给予相应的权限，