隨著業(yè)務(wù)的持續(xù)發(fā)展、系統(tǒng)的更新升級(jí)、設(shè)備的不斷增多、能耗的大幅飚升，數(shù)據(jù)中心面臨著資源分配與業(yè)務(wù)發(fā)展無(wú)法匹配的難題：

業(yè)務(wù)系統(tǒng)日益增多：需要更多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，運(yùn)行的業(yè)務(wù)系統(tǒng)不斷的發(fā)生變化，資源和設(shè)備分配之間的矛盾日趨激烈；設(shè)備多，部署繁雜：在數(shù)據(jù)大集中的趨勢(shì)下，數(shù)據(jù)中心機(jī)房?jī)?nèi)的IT基礎(chǔ)設(shè)施規(guī)模非常龐大，而且還將持續(xù)不斷的增加、部署難度大幅增加；投資持續(xù)增加： IT基礎(chǔ)設(shè)施規(guī)模的成倍增加，在數(shù)據(jù)中心投入的硬件成本、軟件成本、人力成本等水漲船高；運(yùn)維成本和能耗高：設(shè)備增多，能耗和運(yùn)維成本自然隨之增加，不符合綠色數(shù)據(jù)中心的發(fā)展趨勢(shì)，能耗已經(jīng)成為數(shù)據(jù)中心運(yùn)維的沉重經(jīng)濟(jì)負(fù)擔(dān)。

采用虛擬化技術(shù)能夠有效的解決上述難題，虛擬化用多個(gè)物理實(shí)體創(chuàng)建一個(gè)邏輯實(shí)體，或者用一個(gè)物理實(shí)體創(chuàng)建多個(gè)邏輯實(shí)體。

數(shù)據(jù)中心基礎(chǔ)架構(gòu)的虛擬化可以概括為計(jì)算虛擬化、網(wǎng)絡(luò)虛擬化和存儲(chǔ)虛擬化三個(gè)部分，H3C數(shù)據(jù)中心虛擬化解決方案涉及到網(wǎng)絡(luò)虛擬化和存儲(chǔ)虛擬化兩個(gè)方面。

網(wǎng)絡(luò)虛擬化

隨著企業(yè)IT應(yīng)用的展開(kāi)，業(yè)務(wù)類(lèi)型快速增長(zhǎng)，運(yùn)行模式不斷變化，基礎(chǔ)網(wǎng)絡(luò)需要不斷變化結(jié)構(gòu)、不斷擴(kuò)展以適應(yīng)這些變化，這給運(yùn)維帶來(lái)極大壓力。傳統(tǒng)的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)依據(jù)高可靠思路，形成了冗余復(fù)雜的網(wǎng)狀網(wǎng)結(jié)構(gòu)。

結(jié)構(gòu)化網(wǎng)狀網(wǎng)的物理拓?fù)湓诒３指呖煽?、故障容錯(cuò)、提升性能上有著極好的優(yōu)勢(shì)，是通用設(shè)計(jì)規(guī)則。這樣一種依賴(lài)于純物理冗余拓?fù)涞募軜?gòu)，在實(shí)際的運(yùn)行維護(hù)中卻同時(shí)也承擔(dān)了極其繁冗的工作量。

多環(huán)的二層接入、Full Mesh的路由互聯(lián)，網(wǎng)絡(luò)中各種鏈路狀態(tài)變化、節(jié)點(diǎn)運(yùn)行故障都會(huì)引起預(yù)先規(guī)劃配置狀態(tài)的變遷，帶來(lái)運(yùn)維診斷的復(fù)雜性；而應(yīng)用的擴(kuò)容、遷移對(duì)網(wǎng)絡(luò)涉及更多的改造，復(fù)雜的網(wǎng)絡(luò)環(huán)境下甚至可能影響無(wú)關(guān)業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

因此，傳統(tǒng)網(wǎng)絡(luò)技術(shù)在支撐業(yè)務(wù)發(fā)展的同時(shí)，對(duì)運(yùn)維人員提出的挑戰(zhàn)是越來(lái)越嚴(yán)峻的。

隨著上層應(yīng)用不斷發(fā)展，虛擬化技術(shù)、大規(guī)模集群技術(shù)廣泛應(yīng)用到企業(yè)IT中，作為底層基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，也進(jìn)入新一輪技術(shù)革新時(shí)期。網(wǎng)絡(luò)虛擬化技術(shù)也隨著數(shù)據(jù)中心業(yè)務(wù)要求有不同的形式。多種應(yīng)用承載在一張物理網(wǎng)絡(luò)上，通過(guò)網(wǎng)絡(luò)虛擬化分割(稱(chēng)為縱向分割)功能使得不同企業(yè)機(jī)構(gòu)相互隔離，但可在同一網(wǎng)絡(luò)上訪問(wèn)自身應(yīng)用，從而實(shí)現(xiàn)了將物理網(wǎng)絡(luò)進(jìn)行邏輯縱向分割虛擬化為多個(gè)網(wǎng)絡(luò)；多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)承載上層應(yīng)用，基于冗余的網(wǎng)絡(luò)設(shè)計(jì)帶來(lái)復(fù)雜性，而將多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行整合(稱(chēng)為橫向整合)，虛擬化成一臺(tái)邏輯設(shè)備，提升數(shù)據(jù)中心網(wǎng)絡(luò)可用性、節(jié)點(diǎn)性能的同時(shí)將極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)。

#p#

網(wǎng)絡(luò)虛擬化---橫向整合

數(shù)據(jù)中心是企業(yè)IT架構(gòu)的核心領(lǐng)域，不論是服務(wù)器部署、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，都做到精細(xì)入微。因此，傳統(tǒng)上的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)由于多層結(jié)構(gòu)、安全區(qū)域、安全等級(jí)、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設(shè)計(jì)等諸多因素，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，使得數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維管理難度較高。

H3C第二代智能彈性架構(gòu)技術(shù)（IRF2）以極大簡(jiǎn)化網(wǎng)絡(luò)邏輯架構(gòu)、整合物理節(jié)點(diǎn)、支撐上層應(yīng)用快速變化為目標(biāo)，實(shí)現(xiàn)IT網(wǎng)絡(luò)運(yùn)行的簡(jiǎn)捷化，改變了傳統(tǒng)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的繁冗規(guī)則。

使用第二代智能彈性架構(gòu)虛擬化技術(shù)（IRF2），用戶(hù)可以將多臺(tái)設(shè)備連接，"橫向整合"起來(lái)組成一個(gè)"聯(lián)合設(shè)備"，并將這些設(shè)備看作單一設(shè)備進(jìn)行管理和使用。多個(gè)盒式設(shè)備整合類(lèi)似于一臺(tái)機(jī)架式設(shè)備，多臺(tái)框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個(gè)邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個(gè)網(wǎng)元節(jié)點(diǎn)，管理簡(jiǎn)單化、配置簡(jiǎn)單化、可跨設(shè)備鏈路聚合，極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，同時(shí)進(jìn)一步增強(qiáng)冗余可靠性。

網(wǎng)絡(luò)虛擬交換技術(shù)為數(shù)據(jù)中心建設(shè)提供了一個(gè)新標(biāo)準(zhǔn)，定義了新一代網(wǎng)絡(luò)架構(gòu)，使得各種數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)都能夠使用這種靈活的架構(gòu)，能夠幫助企業(yè)在構(gòu)建永續(xù)和高度可用的狀態(tài)化網(wǎng)絡(luò)的同時(shí)，優(yōu)化網(wǎng)絡(luò)資源的使用。

在虛擬化架構(gòu)上，通過(guò)OAA集成虛擬化安全，使得傳統(tǒng)網(wǎng)絡(luò)中離散的安全控制點(diǎn)被整合進(jìn)來(lái)，進(jìn)一步強(qiáng)化并簡(jiǎn)化了基礎(chǔ)網(wǎng)絡(luò)安全，網(wǎng)絡(luò)虛擬化技術(shù)將在數(shù)據(jù)中心端到端總體設(shè)計(jì)中發(fā)揮重要作用。

數(shù)據(jù)中心簡(jiǎn)捷化架構(gòu)---橫向整合的虛擬化如下圖所示：

上圖虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)與傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)相比，提供了多項(xiàng)顯著優(yōu)勢(shì)：

運(yùn)營(yíng)管理簡(jiǎn)化。數(shù)據(jù)中心全局網(wǎng)絡(luò)虛擬化能夠提高運(yùn)營(yíng)效率，虛擬化的每一層交換機(jī)組被邏輯化為單管理點(diǎn)，包括配置文件和單一網(wǎng)關(guān)IP地址，無(wú)需VRRP。

整體無(wú)環(huán)設(shè)計(jì)?？缭O(shè)備的鏈路聚合創(chuàng)建了簡(jiǎn)單的無(wú)環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠生成樹(shù)協(xié)議（STP）。虛擬交換組內(nèi)部經(jīng)由多個(gè)萬(wàn)兆互聯(lián)，在總體設(shè)計(jì)方面提供了靈活的部署能力。

進(jìn)一步提高可靠性。虛擬化能夠優(yōu)化不間斷通信，在一個(gè)虛擬交換機(jī)成員發(fā)生故障時(shí)，不再需要進(jìn)行L2/L3重收斂，能快速實(shí)現(xiàn)確定性虛擬交換機(jī)的恢復(fù)。

安全整合。安全虛擬化在于將多個(gè)高性能安全節(jié)點(diǎn)虛擬化為一個(gè)邏輯安全通道，安全節(jié)點(diǎn)之間實(shí)時(shí)同步狀態(tài)化信息，從而在一個(gè)物理安全節(jié)點(diǎn)故障時(shí)另一個(gè)節(jié)點(diǎn)能夠無(wú)縫接管任務(wù)。

安全整合的進(jìn)一步表現(xiàn)為OAA架構(gòu)下，IRF2集成的安全模塊之間仍然延續(xù)了此虛擬化能力，使得整個(gè)數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)具備更為簡(jiǎn)捷的架構(gòu)。

#p#

網(wǎng)絡(luò)虛擬化---橫向整合

如果把一個(gè)企業(yè)網(wǎng)絡(luò)分隔成多個(gè)不同的子網(wǎng)絡(luò)——它們使用不同的規(guī)則和控制，用戶(hù)就可以充分利用基礎(chǔ)網(wǎng)絡(luò)的虛擬化路由功能，而不是部署多套網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)這種隔離機(jī)制。

網(wǎng)絡(luò)虛擬化概念并不是什么新概念，因?yàn)槎嗄陙?lái)，虛擬局域網(wǎng)（VLAN）技術(shù)作為基本隔離技術(shù)已經(jīng)廣泛應(yīng)用。當(dāng)前在交換網(wǎng)絡(luò)上通過(guò)VLAN來(lái)區(qū)分不同業(yè)務(wù)網(wǎng)段、配合防火墻等安全產(chǎn)品劃分安全區(qū)域，是數(shù)據(jù)中心基本設(shè)計(jì)內(nèi)容之一。

出于將多個(gè)邏輯網(wǎng)絡(luò)隔離、整合的需要，VLAN、MPLS-VPN、Multi-VRF技術(shù)在路由環(huán)境下實(shí)現(xiàn)了網(wǎng)絡(luò)訪問(wèn)的隔離，虛擬化分割的邏輯網(wǎng)絡(luò)內(nèi)部有獨(dú)立的數(shù)據(jù)通道，終端用戶(hù)和上層應(yīng)用均不會(huì)感知其它邏輯網(wǎng)絡(luò)的存在。但在每個(gè)邏輯網(wǎng)絡(luò)內(nèi)部，仍然存在安全控制需求，對(duì)數(shù)據(jù)中心而言，訪問(wèn)數(shù)據(jù)流從外部進(jìn)入數(shù)據(jù)中心，則表明了數(shù)據(jù)在不同安全等級(jí)的區(qū)域之間流轉(zhuǎn)，因此，有必要在網(wǎng)絡(luò)上提供邏輯網(wǎng)絡(luò)內(nèi)的安全策略，而不同邏輯網(wǎng)絡(luò)的安全策略有各自獨(dú)立的要求，虛擬化安全技術(shù)，將一臺(tái)安全設(shè)備可分割成若干臺(tái)邏輯安全設(shè)備(成為多個(gè)實(shí)例)，從而很好滿足了虛擬化的深度強(qiáng)化安全要求。

如下圖所示，虛擬化網(wǎng)絡(luò)與虛擬化安全的整體結(jié)合，通道化設(shè)計(jì)，構(gòu)成了完整的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)架構(gòu)。

當(dāng)前在交換機(jī)中集成防火墻等安全業(yè)務(wù)線卡已經(jīng)成為數(shù)據(jù)中心基礎(chǔ)安全實(shí)施的一個(gè)主流方向，這種架構(gòu)促進(jìn)了數(shù)據(jù)中心網(wǎng)絡(luò)安全的快速部署、簡(jiǎn)捷運(yùn)行。

早期的數(shù)據(jù)中心網(wǎng)絡(luò)都是按照雙機(jī)冗余結(jié)構(gòu)進(jìn)行設(shè)計(jì)與部署的，那么，在交換系統(tǒng)IRF2虛擬化環(huán)境下，防火墻等安全線卡與兩臺(tái)交換機(jī)的關(guān)系有所變化。在雙機(jī)冗余設(shè)備中插入多塊防火墻模塊，通過(guò)IRF2對(duì)交換機(jī)進(jìn)行了虛擬化整合，則這多塊防火墻本質(zhì)上如同插在一臺(tái)交換機(jī)上。

不同交換機(jī)集成安全功能變?yōu)橐慌_(tái)交換機(jī)集成安全功能，安全線卡只面對(duì)一臺(tái)虛擬交換機(jī)，一個(gè)網(wǎng)絡(luò)交換單元，給設(shè)計(jì)上帶來(lái)了更為方便的地方。

IPS作為線卡集成到交換機(jī)，安全檢測(cè)流量是預(yù)先定義并重定向到IPS上的，在一般的雙機(jī)條件下，兩臺(tái)交換機(jī)之間是一種完全松耦合的路由關(guān)系，針對(duì)不同設(shè)備上的IPS無(wú)法起到相互備份和負(fù)載分擔(dān)的作用。但是在IRF2架構(gòu)下集成多塊IPS后，各IPS在整個(gè)IRF2結(jié)構(gòu)上均被整合，即IPS所在物理端口在IRF2全局可見(jiàn)、可被訪問(wèn)控制流規(guī)則所引用，因此，多塊IPS線卡集成后，可在方案設(shè)計(jì)上將其性能疊加起來(lái)，如下圖所示，多塊IPS線卡如同多臺(tái)IPS獨(dú)立設(shè)備可并行使用。

可以看到，通過(guò)虛擬化技術(shù)將網(wǎng)絡(luò)與安全進(jìn)行融合后的"縱向分割"，可以將網(wǎng)絡(luò)資源進(jìn)行更加細(xì)致的劃分，真正實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)部資源的整合和動(dòng)態(tài)調(diào)整，提高了數(shù)據(jù)中心的資源利用率，增加了網(wǎng)絡(luò)的可靠性。

【編輯推薦】

1. 存儲(chǔ)虛擬化技術(shù)解決數(shù)據(jù)中心難題
2. 數(shù)據(jù)中心完全虛擬化的五大障礙
3. IDC:企業(yè)會(huì)最先考慮部署虛擬化