除了银行、证券公司等金融领域这些“不差钱”的企业,还有很多大中型企业会不惜砸下重金自建数据中心(下文简称DC),承载企业对外服务(如企业官网)的同时,也承载着诸多对内服务的系统,如企业邮件系统、AD系统、文件系统、备份系统、归档系统、OA系统、CRM系统、ERP系统、内部BI系统等。
据中培教育某培训专家指出,前些年的服务器虚拟化技术更是将DC系统搭建的灵活性、冗余性、安全性以及资源高效配置等优势大大提升。即使当今公有云越来越普及,仍有许多企业考虑到安全、带宽等因素,并未完全将系统置于公有云上,而是采用“公私混合云”的方式,使自建的DC仍然发挥着难以替代的作用。
对于以上问题,中培教育《网络部署实战及架构设计》培训专家王老师根据自己的从业经验,总结一些企业自建DC网络架构的一些心得,供广大同仁探讨、借鉴。
1) 局域网的中坚力量----交换机
交换机是局域网中最重要的设备,是网络架构设计中首先要考虑的设备。在DC局域网架构设计中,该如何入手进行设计呢?
在网络架构的设计中,厘清数据流量交互的脉络是重要的工作,DC的网络架构中更是如此。
只有弄清楚数据的流量交互,才能找到流量的交互瓶颈会出现在哪些节点,高流量交互的区域在哪里。然后根据分析的结果来选择是使用万兆、千兆、甚至百兆的交换机端口。
使用服务器虚拟化的架构,同一台宿主机的不同虚拟机之间的数据交互已经被终结在了宿主机内部,而处于同一集群的不同宿主机之间会有虚拟机漂移、复制、数据库读写、备份等大流量数据交互,为了保证交互速度,采用万兆端口是比较好的选择。
DC的宿主机往往根据性能的不同被划分为不同的集群,不同集群之间的流量交互要远远小于同一集群的宿主机,由于不同集群的设备一般都会部署在不同的机柜,每一台机柜都会部署接入层交换机,所以不同集群的流量交互一般会跨越级联链路,跑在接入层转发至核心汇聚层之间,因此,核心汇聚层与各机柜接入层的交换机之间级联带宽最好是万兆级别。
对于跨安全区域的流量,瓶颈在防火墙或路由器,采用万兆级联端口的千兆端口即可。而外接Internet或专线的交换机,流量瓶颈在于线路的带宽,如果线路带宽不超过百兆,那相应的交换机端口使用百兆的就够了。
架构设计时,要根据以上推算的不同端口的预估数量来选购适合的交换机。因为箱式交换机具备如下优势,比较适用于虚拟化程度高的架构。
可集成多种不同类型端口,端口密度大,共享高速背板带宽;
刀片式硬件全热插拔且便于扩展和维护;
电源、风扇等同样支持热插拔,冗余性高、稳定性强;
“All-in-one”式设计,功能丰富;
有利于减少网络层级,实现“扁平化”的网络架构。
当然,盒式交换机具备成本低、占据空间少、部署灵活等优势。是使用较少的箱式交换机还是使用较多的盒式交换机,目前业界虽然多数专家的观点是倾向于前者,但仍有不少人认为后者的性价比高于前者。究竟采用盒式还是箱式交换机,需要根据具体情况而定,不能一概而论。
不论采用哪种交换机,都需要在设计时充分考虑冗余性以及性能最优化。
例如,因为网络架构设计需要考虑到冗余性,宿主机一般最少配置两块多口的网卡,每块网卡上各取一个口与两台交换机(盒式)或两个板卡(箱式)相连,避免因为宿主机某一块网卡的故障或某一台交换机的故障,导致业务的彻底中断。 因为网络架构设计考虑到性能最优化,一般使用端口聚合技术将多个端口捆绑起来,使带宽成倍增加。
2) 局域网的保安---- 防火墙
防火墙作为保障网络安全的重要设备,在网络架构设计时需要考虑到如下几点:
异构性。在不同区域部署不同品牌的防火墙可以增加攻击者的攻击难度,降低在某一结点被攻破时,“兵败如山倒”的风险;
冗余性。各大厂商都宣称自己的防火墙可做到“双活”,理论上可行,但实际运行效果并不理想。还是建议使用稳定性更可靠的“主备”模式;
不同安全区域间可根据业务需求,通过防火墙策略与交换机、路由器ACL相结合的方式,在不同类型数据流量节点设置不同等级的“关卡”,从而实现保障安全的同时避免了这些“关卡”成为数据拥塞的瓶颈,也能够降低维护管理成本。
3) 所有设备的家---机柜
大多数公司选择租用专业化机房的机柜来建设自己的DC,因为专业化的机房的电力、温湿度控制、消防、安保、运营商资源等等都是自建机房完全无法企及的。
但租用机柜的价格往往不菲,这就需要对机柜的空间最合理化利用。在设计时,机柜设备分布的设计也是一项非常重要的工作。在设计时,除了考虑空间因素外,还需要考虑设备散热、机柜最大电力容量、设备间数据线长度、功能区域的划分、机柜间跳线等因素。
4) 谈谈DC的运维
DC的运维操作八成以上都是管理员远程完成的,这就需要有一份准确的运维文档,让管理员即使不在现场,也能很好的了解设备的位置、端口、跳线编号等信息。
运维的可视化离不开监控管理系统,部署一套这样的系统往往也要投入不少钱。但一般这类系统都是按功能模块来卖的,可以根据需要选择购买几个重要的功能模块,无须全套购买。有些企业可能会要求管理员自己使用Linux搭建可视化运维监控系统,但无论是效果上还是算一算人力投入,都不如购买第三方的系统划算。
金属质感分割线
以上只是DC局域网架构建设的一些心得。其实在设计前最好多走访一些大公司,尤其是外企的DC,增长眼界,拓宽思路,吸收经验,这也是中培教育《网络部署实战及架构设计》培训的核心内容之一。