一种基于云计算的分布式多活数据中心的设计方法
【专利摘要】本发明公开了一种基于云计算的分布式多活数据中心的设计方法,包括以下步骤:(1)数据中心网络采用大二层架构设计,通过大规模二层网络和VLAN延伸,实现虚拟机在数据中心内部的大范围转移;(2)采用虚拟交换机技术实现数据中心网络的故障隔离;(3)数据中心网络采用板卡延伸技术来接入交换机,所述板卡延伸技术同时可以让数据中心网络感知到虚拟机;(4)设计构建物理上分离但逻辑上一体的跨数据中心网络实现数据中心的互联,并基于所述跨数据中心网络来建立分布式虚拟化的数据中心;(5)数据中心的安全防护采用多层次的安全防护,包括设备级的安全防护、网络级的安全防护、系统级的主动安全防护。
【专利说明】一种基于云计算的分布式多活数据中心的设计方法
【技术领域】
[0001]本发明涉及一种基于云计算的分布式多活数据中心的设计方法,属于电力系统信息化建设【技术领域】。
【背景技术】
[0002]数据大集中之后,企业的经营活动越来越依赖于数据中心与网络等IT基础设施,IT的全天业务连续运营成为大型企业IT建设运营与企业经营追求的目标。数据中心是计算机设备的核心场所,也是海量数据的关键承载,随着云计算大数据时代的到来,数据中心的建设掀起了新的热潮,数据中心朝着大型集约化发展,客户对数据中心的解决方案也提出了更高的要求。绿色节能、智能化、自动化管理是数据中心发展趋势。
[0003]出于灾备的目的,企业一般都会建设两个或多个数据中心。主数据中心承担用户的核心业务,其他的数据中心主要承担一些非关键业务并同时备份主中心的数据、配置、业务等。正常情况下,主中心和备中心各司其职,发生灾难时,主数据中心宕机,备份数据中心可以快速恢复数据和应用,从而减轻因灾难给用户带来的损失。
[0004]由于灾难是小概率事件,而采用一主一备这种方式,备份数据中心只在灾难发生时才能起到作用,并且随着企业容灾建设标准的提升,备份IT资源和资金会投入越来越大,相互直接又不能够复用,从而造成浪费。另外主备模式的应用,备中心在接替主中心时需要较长的时间、关系复杂,往往会严重影响用户的业务办理。为克服上述缺点,能源电力等诸多行业用户,开始将关注点转向“分布式多活数据中心”的建设,分布式多活数据中心将业务分布到多个数据中心,彼此之间并行为客户提供服务,分布式多活包括两大关键特征一一分布式和多活,体现出企业级用户在建设与使用数据中心时对资源调度利用和业务部署灵活性的新思路。
【发明内容】
[0005]本发明的目的是提供一种基于云计算的多分布式多活数据中心的设计方法,解决数据中心内部的网络扩展问题,满足应用程序在不同服务器上漂移后对大数据文件并发访问的便捷性、高速性以及可靠性。
[0006]为克服现有技术存在的不足,解决上述技术问题,本发明采用如下技术方案:一种基于云计算的分布式多活数据中心的设计方法,其特征在于,包括以下步骤:
[0007](I)数据中心网络采用大二层架构设计,通过大规模二层网络和VLAN延伸,实现虚拟机在数据中心内部的大范围转移;
[0008](2)采用虚拟交换机技术实现数据中心网络的故障隔离;
[0009](3)数据中心网络采用板卡延伸技术来接入交换机,所述板卡延伸技术同时可以让数据中心网络感知到虚拟机;
[0010](4)设计构建物理上分离但逻辑上一体的跨数据中心网络实现数据中心的互联,并基于所述跨数据中心网络来建立分布式虚拟化的数据中心,计算能力可以在不同的数据中心之间自由流动;
[0011](5)数据中心的安全防护采用多层次的安全防护,包括设备级的安全防护、网络级的安全防护、系统级的主动安全防护。
[0012]优选地,所述步骤(2)包括:将一个交换机在逻辑上分为多个虚拟交换机,所述虚拟交换机之间是彻底分离的,每个虚拟交换机有各自独立的二层和三层的协议栈和软件进程,有各自独立的管理员;由于每个虚拟交换机的软件进程是完全独立的,当某个虚拟交换机的出现问题的时候,是不会影响到别的虚拟交换机,实现了完善的故障隔离。
[0013]优选地,所述步骤(3)包括:所述板卡延伸技术通过IEEE802.1qbh协议实现,将原本互联在一起的多个TOR(Top of Rack,机柜交换机)交换单元的控制平面和转发平面融合在一起,形成多个交换机组合成一个交换机的状态,原有的分布在各个机架的TOR接入交换机就成为新交换机的远程板卡;在上述架构下,TOR交换单元不是单独存在的网元管理点,也不用二层的生成树或三层的路由协议来维护网络拓扑。
[0014]优选地,所述步骤(3)包括:采用基于IEEE801.1qbh的板卡延伸技术,在服务器内装一块支持IEEE802.1qbh协议的网卡,所述网卡可以分成多个虚网卡来和虚拟机对应,同时所述网卡也是外部交换机的远程板卡,可以在外部交换机上实现管理和策略的下发;上述方法不需要消耗服务器的CPU资源,所以具有更高的交换性能。
[0015]优选地,所述步骤(4)包括:所述跨数据中心的网络通过OTV技术实现穿越IP骨干网的数据中心网络的打通;所述OTV技术借用一部分EO-MPLS-0GRE的数据帧封装,采用了完全不同的控制平面,通过ISIS来建立Adjacency关系,并交换数据中心之间的MAC地址表;0TV技术对于IP骨干网的要求只是IP可达,不需要MPLS的支持,大大简化了网络的维护;同时由于采用了控制平面和转发平面的分离,有效阻止了二层网络泛滥到IP骨干网上,同时也不需要把生成树跨在数据中心间的IP骨干网上,大大提高了整个网络的稳定性。
[0016]优选地,所述步骤(5)包括:所述网络级的安全包括进行用户接入认证、授权和审计以防止非法的接入,进行传输加密以防止信息的泄漏和窥测,进行安全划分和隔离以防止为授权的访问;所述系统级的主动安全防护包括通过准入控制来使“健康”的机器才能接入网络,通过事前探测即时分流来防止大规模DDoS攻击,进行全局的安全管理;网络作为信息传输的平台,有第一时间保护信息资源的能力和机会,智能的防御网络必须能够实现所谓“先知先觉”,在潜在威胁演变为安全攻击之前加以防护。
[0017]优选地,所述步骤(5)包括:所述网络级安全防护采用ACL控制,在允许网络流量接入网络的接口上配置一个ACL,否则数据中心网络将拒绝所述接口上的网络流量。
[0018]优选地,所述步骤(5)包括:所述ACL包括多个由一系列语句构成的条目,所述每个条目包括一个允许或拒绝网络流量(入和出)到达条目中规定的网络各部分的执行单元,所述每个条目还包括一个基于源地址、目的地址、协议、协议特定参数的过滤器单元,所述每个ACL的最后都有一个隐式的拒绝全部的条目。
[0019]本发明所达到的有益效果:通过VPC虚拟机技术和板卡延伸技术,实现了数据中心内部的网络扩展问题,满足了应用程序在不同服务器上漂移后对大数据文件并发访问的便捷性、高速性以及可靠性。
[0020]说明书英文标记的含义:
[0021]TOR:Top of Rack,机柜交换机;
[0022]OTV:0verlay Transport Virtualizat1n,覆盖传输虚拟化;
[0023]ISIS 〖Intermediate system to intermediate system,一个分级的链接状态路由协议;
[0024]Adjacency:邻接,在选择的邻近路由器和终端节点之间的关联;
[0025]MPLS:多协议标签交换,是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由地址、转发和交换等能力;
[0026]DDoS distributed Denial of Service,分布式拒绝服务攻击,指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力;
[0027]ACL:Access Control List,访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包;
[0028]OGRE-Object-Oriented Graphics Rendering Engine,面向对象图形植染引擎是一个用C++开发的面向场景、非常灵活的3D引擎。
【专利附图】
【附图说明】
[0029]图1是本发明的一种基于云计算的分布式多活数据中心的设计方法的流程图。
【具体实施方式】
[0030]下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
[0031]如图1所示的是本发明的一种基于云计算的分布式多活数据中心的设计方法的流程图,本发明提供一种基于云计算的分布式多活数据中心的设计方法,解决数据中心内部的网络扩展问题,满足应用程序在不同服务器上漂移后对大数据文件并发访问的便捷性、高速性以及可靠性,本发明包括以下步骤:
[0032](I)数据中心网络采用大二层架构设计,通过大规模二层网络和VLAN延伸,实现虚拟机在数据中心内部的大范围转移;
[0033](2)采用虚拟交换机技术实现数据中心网络的故障隔离;
[0034](3)数据中心网络采用板卡延伸技术来接入交换机,所述板卡延伸技术同时可以让数据中心网络感知到虚拟机;
[0035](4)设计构建物理上分离但逻辑上一体的跨数据中心网络实现数据中心的互联,并基于所述跨数据中心网络来建立分布式虚拟化的数据中心,计算能力可以在不同的数据中心之间自由流动;
[0036](5)数据中心的安全防护采用多层次的安全防护,包括设备级的安全防护、网络级的安全防护、系统级的主动安全防护。
[0037]优选地,所述步骤(2)包括:将一个交换机在逻辑上分为多个虚拟交换机,所述虚拟交换机之间是彻底分离的,每个虚拟交换机有各自独立的二层和三层的协议栈和软件进程,有各自独立的管理员;由于每个虚拟交换机的软件进程是完全独立的,当某个虚拟交换机的出现问题的时候,是不会影响到别的虚拟交换机,实现了完善的故障隔离。
[0038]优选地,所述步骤(3)包括:所述板卡延伸技术通过IEEE802.1qbh协议实现,将原本互联在一起的多个TOR(Top of Rack,机柜交换机)交换单元的控制平面和转发平面融合在一起,形成多个交换机组合成一个交换机的状态,原有的分布在各个机架的TOR接入交换机就成为新交换机的远程板卡;在上述架构下,TOR交换单元不是单独存在的网元管理点,也不用二层的生成树或三层的路由协议来维护网络拓扑。
[0039]优选地,所述步骤(3)包括:采用基于IEEE801.1qbh的板卡延伸技术,在服务器内装一块支持IEEE802.1qbh协议的网卡,所述网卡可以分成多个虚网卡来和虚拟机对应,同时所述网卡也是外部交换机的远程板卡,可以在外部交换机上实现管理和策略的下发;上述方法不需要消耗服务器的CPU资源,所以具有更高的交换性能。
[0040]优选地,所述步骤(4)包括:所述跨数据中心的网络通过OTV技术实现穿越IP骨干网的数据中心网络的打通;所述OTV技术借用一部分EO-MPLS-0GRE的数据帧封装,采用了完全不同的控制平面,通过ISIS来建立Adjacency关系,并交换数据中心之间的MAC地址表;0TV技术对于IP骨干网的要求只是IP可达,不需要MPLS的支持,大大简化了网络的维护;同时由于采用了控制平面和转发平面的分离,有效阻止了二层网络泛滥到IP骨干网上,同时也不需要把生成树跨在数据中心间的IP骨干网上,大大提高了整个网络的稳定性。
[0041]优选地,所述步骤(5)包括:所述网络级的安全包括进行用户接入认证、授权和审计以防止非法的接入,进行传输加密以防止信息的泄漏和窥测,进行安全划分和隔离以防止为授权的访问;所述系统级的主动安全防护包括通过准入控制来使“健康”的机器才能接入网络,通过事前探测即时分流来防止大规模DDoS攻击,进行全局的安全管理;网络作为信息传输的平台,有第一时间保护信息资源的能力和机会,智能的防御网络必须能够实现所谓“先知先觉”,在潜在威胁演变为安全攻击之前加以防护。
[0042]优选地,所述步骤(5)包括:所述网络级安全防护采用ACL控制,在允许网络流量接入网络的接口上配置一个ACL,否则数据中心网络将拒绝所述接口上的网络流量。
[0043]优选地,所述步骤(5)包括:所述ACL包括多个由一系列语句构成的条目,所述每个条目包括一个允许或拒绝网络流量(入和出)到达条目中规定的网络各部分的执行单元,所述每个条目还包括一个基于源地址、目的地址、协议、协议特定参数的过滤器单元,所述每个ACL的最后都有一个隐式的拒绝全部的条目。
[0044]以上所述仅是本发明的优选实施方式,应当指出,对于本【技术领域】的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
【权利要求】
1.一种基于云计算的分布式多活数据中心的设计方法,其特征在于,包括以下步骤: (1)数据中心网络采用大二层架构设计,通过大规模二层网络和VLAN延伸,实现虚拟机在数据中心内部的大范围转移; (2)采用虚拟交换机技术实现数据中心网络的故障隔离; (3)数据中心网络采用板卡延伸技术来接入交换机,所述板卡延伸技术同时可以让数据中心网络感知到虚拟机; (4)设计构建物理上分离但逻辑上一体的跨数据中心网络实现数据中心的互联,并基于所述跨数据中心网络来建立分布式虚拟化的数据中心,计算能力可以在不同的数据中心之间自由流动; (5)数据中心的安全防护采用多层次的安全防护,包括设备级的安全防护、网络级的安全防护、系统级的主动安全防护。
2.根据权利要求1所述的一种基于云计算的分布式多活数据中心的设计方法,其特征在于,所述步骤(2)包括:将一个交换机在逻辑上分为多个虚拟交换机,所述虚拟交换机之间是彻底分离的,每个虚拟交换机有各自独立的二层和三层的协议栈和软件进程,有各自独立的管理员。
3.根据权利要求1所述的一种基于云计算的分布式多活数据中心的设计方法,其特征在于,所述步骤(3)包括:所述板卡延伸技术通过IEEE802.1qbh协议实现,将原本互联在一起的多个TOR交换单元的控制平面和转发平面融合在一起,形成多个交换机组合成一个交换机的状态,原有的分布在各个机架的TOR接入交换机就成为新交换机的远程板卡。
4.根据权利要求3所述的一种基于云计算的分布式多活数据中心的设计方法,其特征在于,所述步骤(3)包括:采用基于IEEE801.1qbh的板卡延伸技术,在服务器内装一块支持IEEE802.1qbh协议的网卡,所述网卡可以分成多个虚网卡来和虚拟机对应,同时所述网卡也是外部交换机的远程板卡,可以在外部交换机上实现管理和策略的下发。
5.根据权利要求1所述的一种基于云计算的分布式多活数据中心的设计方法,其特征在于,所述步骤(4)包括:所述跨数据中心的网络通过OTV技术实现穿越IP骨干网的数据中心网络的打通;所述OTV技术借用一部分Eo-MPLS-OGRE的数据帧封装,采用了完全不同的控制平面,通过ISIS来建立Adjacency关系,并交换数据中心之间的MAC地址表。
6.根据权利要求1所述的一种基于云计算的分布式多活数据中心的设计方法,其特征在于,所述步骤(5)包括:所述网络级的安全包括进行用户接入认证、授权和审计以防止非法的接入,进行传输加密以防止信息的泄漏和窥测,进行安全划分和隔离以防止为授权的访问;所述系统级的主动安全防护包括通过准入控制来使“健康”的机器才能接入网络,通过事前探测即时分流来防止大规模DDoS攻击,进行全局的安全管理。
7.根据权利要求6所述的一种基于云计算的分布式多活数据中心的设计方法,其特征在于,所述步骤(5)包括:所述网络级安全防护采用ACL控制,在允许网络流量接入网络的接口上配置一个ACL,否则数据中心网络将拒绝所述接口上的网络流量。
8.根据权利要求7所述的一种基于云计算的分布式多活数据中心的设计方法,其特征在于,所述步骤(5)包括:所述ACL包括多个由一系列语句构成的条目,所述每个条目包括一个允许或拒绝网络流量到达条目中规定的网络各部分的执行单元,所述每个条目还包括一个基于源地址、目的地址、协议、协议特定参数的过滤器单元,所述每个ACL的最后都有一个隐式的拒绝全部的条目。
【文档编号】H04L29/06GK104506614SQ201410805490
【公开日】2015年4月8日 申请日期:2014年12月22日 优先权日:2014年12月22日
【发明者】夏飞, 崔恒志, 何金陵, 孙祥刚, 郑海雁, 官国飞, 葛崇慧 申请人:国家电网公司, 江苏省电力公司, 江苏方天电力技术有限公司, 江苏省电力公司信息通信分公司