将数据中心比喻为“人”,服务器和存储构成了数据中心的“器官”,而网络(交换机、路由器、防火墙)则是该数据中心的“神经电路”。 本文介绍了数据中心的网络体系结构和一般设计。
01
网络分区和保证
公司通常根据灵活、安全和可管理的设计原则对数据中心网络的物理设备进行分区。 数据中心通常采用核心-聚合-三层网络结构,核心用于高速传输所有流量,聚合在每个网络分区中充当网关。
通常,在数据中心的网络分区中,每个区域根据预期的通信量和服务器数量分配不同的业务段。 此外,一些高保修要求的区域提供了类似防火墙的安全设备,用于控制进出此区域的通信,如下图所示。
“同位素”是等级保护的缩写,在安装数据中心服务器区域时,等级保护因业务服务器而异。 例如,后台存储、带库、数据库等服务的保留和Web、前端、APP的保留是不同的。 在数据中心网络中,防火墙的功能是划分“同位素”和控制不同同位素之间的互访。
那么,如何更好地理解这个“等保”的概念呢?
在当前的数据中心网络体系结构中,考虑到不同同位素之间的流量控制,以及设计路由时的简便性和快捷性,当前的数据中心防火墙几乎都是采用旁路方式部署的,并与聚合交换机上的VRF配合使用
02
如何创建数据中心网络分区
的划分方式有以下三种,不同的划分方式各有优缺点,通常配套使用。
A.按照服务器类型分区
例如,将x86服务器、小型机、刀片式服务器、大型机和虚拟机分类。 如果完全按服务器型号分类,实际应用中可能会大量使用某个企业的小型飞机,很少使用大型飞机,小型飞机的网络区域流量变得庞大,大型飞机这一区域会变空。 因此,在当前的数据中心中,很少会像这样分配区域。
B.按照应用层次分区
例如,Web、APP是前端服务器,而数据库、存储器、NFS等是后端服务器,因此将前端服务器放置在区域中,将后端服务器放置在区域中。 一些企业的数据中心也是这样分区的。 例如,所有Web服务器都位于“综合业务区”,数据库位于“生产管理区”。 (我也知道连区域名称都那么“模糊”。 这种分区的好处是容易管理。 由于前端和后端服务区不在一个保修范围内,前端直接面向办公室,后端为前端提供服务,如下图所示。
这种区域设置方式的好处是容易分开管理,但缺点也是运输太费时间。 例如,如果前端有一个新的APP在线,而后端需要适当的数据库支持,系统运营商就会寻找网络运营商,让后端地区的防火墙开通适当的安全策略。 考虑到前端和后端的对接也存在许多非网络问题,以及前端和后端之间存在防火墙“故障”,当前端和后端通信出现问题时,网络运营商将
C.按照应用类型划分
例如,划分核心服务、公共服务、办公室区域、隔离区域和开发测试区域。 这种分区的好处是,一个“功能业务”前端服务器和后端服务器位于一个等保内。 当前端和后端对接时,网络运营商不会“背叛”防火墙策略。 但是,这样划分的话,网络计划看起来有点“混乱”。 对于不太重视早期IP地址规划的管理员来说,这可能会对前端服务器和后端服务器的IP地址规划造成一些阻碍。 例如,核心服务器场的IP地址段为10.114.128.0/21,其中10.114.128.0/24---10.114.135.0/24,16个c段但是,对于不严格的管理员,前端IP地址可能为10.114.128.0/24,后端IP地址可能为10.114.129.0/24。 这样做会导致前端和后端IP地址段“交叉”。
如果遇到极端情况,在多级数据中心使用MPLS V.PN网络坞来“卸载”前端和后端流量时,该前端和后端IP地址段将显示“交叉”
如上所述,每个分区的划分方法都有自己的优点和缺点,所以必须根据实际情况来划分分区。
03
数据中心的典型网络体系结构
A.扁平化组网
功能单一时,穿衣服
务器数量小于300台的小型数据中心来说,通常情况下都会采用两层式的扁平化组网。也就是汇聚设备担任网关,接入设备就是一个二层设备,打通二层通道的功能。对于扁平化的组网,也分为比较传统的VRRP+MSTP,和“堆叠+链路捆绑”两种方式进行组网设计。第一种就是VRRP+MSTP的结构,如下图所示:
相比起第一种非常传统的MSTP+VRRP的架构,第二种“胖树”结构,则是当前数据中心扁平化组网的常用结构。它的思路是:汇聚交换机必然堆叠,接入交换机按需堆叠,所有冗余链路必须捆绑,形成一个“胖树”状结构。它的优点就是,既保证了设备的冗余性,提升带宽性能,也能从根本上防止二层环路。但是,要实现设备的堆叠,这个对硬件有要求,所以,这种“胖树”状结构的组网,成本比起第一种来说要高不少。
B.三层组网架构
对于大型数据中心,功能多样,且要进行功能分区的场合,就会采用标准的三层架构。
在这种组网方式中,交换核心区是整个数据中心网络的枢纽,核心设备通常部署2-4台大容量高端框式交换机,可以是独立部署,也可以通过堆叠技术后成组部署(但是考虑到核心和汇聚之间都是三层连接,且堆叠有一定裂开风险,所以一般核心都会采用独立部署的方式,即核心之间只和汇聚之间有互联,核心之间无互联)
分区内的汇聚层和接入层通过堆叠实现二层破环。
下图为大家展示了一个当前主流的数据中心三层组网架构图:
刚才的拓扑图中,各个大区域之间的防火墙采用了旁路的连接方式。防火墙采用旁路连接的目的,也是为了提升可扩展性,并且可以兼容动态路由。而这种结构,要想实现核心—汇聚—接入之间的流量进入防火墙,就需要使用VRF在汇聚交换机上隔离路由了。所以,VRF在这个地方,起到的作用是隔离路由,起到一个“化旁路为串联”的作用。
本文的难点,也正好是汇聚交换机上使用VRF时,这个业务流的逻辑图如何画出。实际上,我本人在刚接到这个项目的时候,也是花了一段时间来理解这个VRF和旁路防火墙之间的关系的。下面我可以简单为大家说一下划业务流的方法。
所谓“单一等保”,实际上就是汇聚下方的所有业务网段可以直接访问,流量无需经过防火墙控制。在这种情况下,就只需要一个VRF,把汇聚—核心和汇聚—防火墙之间的流量隔离开即可。
物理连接图如下:
由于汇聚、接入,包括防火墙做了双机或者堆叠,所以在此时可以将汇聚、接入先暂时画成单个设备,这样物理结构就不会太复杂了。
然后,去掉汇聚层设备的图标,用一个方框来代替。在方框内部添加两个小方框,代表两个拥有独立三层路由的虚拟设备,与核心连接的是全局路由,与接入连接的是VRF路由。然后,防火墙上“画出”两条线,分别与“全局路由”小框和“VRF”小框互联。防火墙与汇聚连接的两条线,可以是不同的物理接口,也可以是不同的子接口。如下图所示:
最后,去掉汇聚层设备位置的大方块,将防火墙“塞”在“全局路由”小框和“VRF”小框之间,这样,一个单一等保级别的,化旁路为串联的流量图就完成了。
两个等保级别,这就要求了两个等保级别内的业务在互访时,流量需要经过防火墙。这里你就要记住:一个等保一个VRF,不同等保级别的流量要放在不同的VRF内。
在画双等保逻辑流量的时候,采用的方式和单一等保逻辑流量的方式是一样的。第一步,仍然是把双机结构改成单机结构,所不同的是,防火墙和汇聚之间,需要画三条线。总之,汇聚下面有N个等保,汇聚和防火墙之间就画N+1条线。
然后,去掉汇聚层设备的图标,用一个方框来代替。在方框内部添加三个小方框,代表三个拥有独立三层路由的虚拟设备,接入层交换机换成两个,分别代表等保1的接入和等保2的接入。
然后,去掉大方框,将防火墙“塞”在“全局路由”小方框和“VRF-1”、“VRF-2”小方块之间,先形成如下图所示的结构:
最后,将两个等保“VRF”的小方块,分别连接在防火墙的两边,这样,一个双等保的化旁路为串联的业务流逻辑图就画好了,根据标注的接口编号和规划的IP地址,就可以写配置脚本了。而且串联的逻辑图画好以后,也立刻能够知道静态路由该如何规划了。
记住一点:“全局”、“VRF-1”、“VRF-2”上标注的接口,其实全是汇聚交换机的。
记住这个方式,以后遇到旁路防火墙,下面有N多个等保的业务流,也可以按照这个方式去照葫芦画瓢了。
04
数据中心未来的发展
随着大数据时代的到来,企业数据中心承载的业务越来越多,新业务上线越来越快。为了满足业务的需要,传统数据中心网络将逐渐向具备弹性、简单和开放特征的新一代数据中心网络演进。
A.弹性
弹性是指网络能够实现灵活、平滑扩展以适应业务不断发展的需要。弹性扩展包括设备级、系统级和数据中心级的扩展。
设备级弹性扩展:网络设备需要具备持续的平滑扩容能力。例如接入交换机可以提供25GE/40GE的接入能力,核心交换机能提供百T以上的交换容量,高密度的100GE/400GE接口等。
系统级弹性扩展:数据中心网络需要支持更大规模的二层网络。例如提供X万台10GE服务器接入的能力。
数据中心级弹性扩展:数据中心互联网络要能够支持多个数据中心的资源整合,实现更大规模虚拟机跨数据中心迁移。
B.简单
简单就在于要能够让网络更好的为业务服务,能够根据业务来调度网络资源,例如要能够实现网络资源和IT资源的统一呈现与管理,能够实现从业务到逻辑网络再到物理网络的平滑转换等。
C.开放
传统网络的管理维护是封闭的,独立于计算、存储等IT资源。网络开放以后,可以打破原有的封闭环境,使网络设备可以与更多的SDN控制器、第三方管理插件、虚拟化平台等协同工作,从而打造更灵活的端到端数据中心解决方案。
资料免费送(点击链接下载)
史上最全,数据中心机房标准及规范汇总(下载)数据中心运维管理 | 资料汇总(2017.7.2版本)
加入运维管理VIP群(点击链接查看)
《数据中心运维管理》VIP技术交流群会员招募说明
扫描以下二维码加入学习群