超融合架構解決方案技術建議書超融合一體機&超融合操作系統目錄XX超融合架構解決方案技術建議書 0TOC\o"1-3"1 傳統IT架構面臨的問題 31.1 業務與架構緊耦合 31.2 傳統架構制約東西向流量 41.3 網絡設備的硬件規格限制業務系統規模 41.4 不能適應大規模租戶部署 51.5 傳統安全部署模式的限制 52 項目概述 62.1 建設意義 62.2 建設原則 62.3 建設關鍵需求 72.4 建設組件及建設模式 83 XX超融合架構解決方案概述 103.1 超融合架構層 113.1.1 服務器虛擬化（aSV） 133.1.2 網絡虛擬化（aNET） 173.1.3 存儲虛擬化（aSAN） 223.1.4 網絡功能虛擬化（NFV） 263.2 多業務模板層 343.3 虛擬化管理平臺 353.3.1 服務器虛擬化管理模塊 363.3.2 網絡虛擬化管理模塊 373.3.3 存儲虛擬化管理模塊 403.4 XX超融合架構方案價值和優勢總結 423.4.1 XX超融合架構價值 423.4.2 XX超融合架構的優勢 434 XX超融合架構解決方案配置實例 454.1 XX超融合一體機配置清單 454.2 XX超融合操作系統配置清單 474.3 XX超融合NFV組件配置清單 474.4 XX超融合服務配置清單 48傳統IT架構面臨的問題隨著業務系統的高速發展，IT架構做為承載業務系統的基礎設施，快速部署、減少投入和靈活擴展顯得越來越重要。云計算可以提供可用的、便捷的、按需的資源提供，成為當前IT架構建設的主流形態，很多新建系統都是使用云模式進行構建，同時還有大量的現有業務系統，再向云計算環境進行遷移。而在云計算環境中，大量采用和部署的虛擬化幾乎成為一個基本的技術模式。服務器虛擬化就是首當其沖的，部署虛擬機需要在網絡中無限制地遷移到目的物理位置，虛機增長的快速性以及虛機遷移也成為一個常態性的業務。服務器虛擬化在經過多年的高速發展后已經越來越成熟，被接受和應用的領域也越來越廣泛。它有效降低了硬件采購成本，提高了資源利用率和可用性，同時大幅提升了運維效率，緩解了IT建設面臨的諸多壓力。雖然服務器虛擬化的普及徹底改變了應用的調配和管理，但是，所有動態負載的虛擬機所連接的網絡和存儲卻遠遠滯后：網絡調配仍然極其緩慢，甚至一個簡單的拓撲變更也需要數天或數周時間；存儲搭建依舊極其復雜，卷管理麻煩到管理員需要重新學習更多相關技術。這樣的IT架構，包括實現了服務器虛擬化的架構，都已不能很好滿足邁向云時代的各種需求，面臨著如下挑戰：業務與架構緊耦合傳統數據中心業務是通過分區分域的方式進行建設的，一般會以POD（數據中心標準化接入單元）為單位來實現IP地址網段的劃分：一個POD內為一個網段，規劃和部署同一種業務。分區分域的方式規劃清晰，維護簡單，但是不足之處就是業務擴容受限，例如：業務A部署在PODA內，如果PODA內以沒有剩余空間，無法實現擴容的時候，則需要把業務A部署在其他的機架上。此時則要求PODA需要與其他機架的TOR交換機實現二層Trunk互通，帶來的問題就是需要對網絡做出大量的配置更改。所以業務和架構緊耦合，一旦業務發生變化，物理架構就要隨之需要作出調整。傳統架構制約東西向流量傳統架構以核心交換機為臨界點，成為二、三層網絡的邊界：核心交換機以上為三層環境，主要是以控制南北數據流量為主。而核心交換機以下，由于虛擬機的大規模使用，虛擬機遷移的特點主要以東西流量為主。同時在虛擬機遷移之后，還需要其IP地址、MAC地址等參數保持不變，則必須通過二層環境實現。羅列一下現有的二層技術，或多或少均存在一些問題：生成樹類的相關技術（STP/RSTP/PVST/PVST+/MST等）：部署和維護繁瑣，網絡規模不宜過大，網絡收斂時間較長，限制網絡的擴展。網絡虛擬化技術（各廠家私有的VPC/IRF/CSS/VSU等）：雖然可以簡化部署、同時具備高可靠和高可用，但是該類技術對拓撲架構有嚴格要求，由于私有特性，各廠家之間無法互通，一般只適合數據中心內部網絡使用。大規模二層網絡技術（TRILL/SPB/FabricPath/OTV/EVB等）：雖然能夠支持二層網絡的良好擴展，解決了生成樹網絡規模不大的問題，但該類大二層技術對網絡設備均有特殊要求，需要通過升級軟、硬件的方式才能支持此類新技術，部署成本提升。網絡設備的硬件規格限制業務系統規模在虛擬化環境下，虛擬機的大規模部署，使得物理交換機上MAC地址表項的大小（傳統的接入交換機MAC地址表一般為：8K/16K，核心交換機單槽位一般為：128K/250K）限制了虛擬機的規模，特別是對于接入交換機而言，較小的MAC地址表項規格，嚴重的限制了整個大二層環境下數據中心的業務規模。不能適應大規模租戶部署當網絡中出現大量租戶或者大量業務的時候，網絡隔離就顯得異常重要，當前的主流二層網絡隔離技術為VLAN，但是在大量租戶或大量業務部署時會有幾個限制：VLAN可用的數量為4K左右，遠遠不能滿足云計算環境下的部署需求；如果在大規模數據中心部署VLAN，會使得所有VLAN在數據中心都被允許通過，會導致任何一個VLAN的廣播數據會在整個數據中心內泛濫，大量消耗網絡帶寬，同時帶來維護的困難。當二層環境下的VLAN無法實現有效隔離的時候，還可以利用MPLSVPN做到三層的隔離，但是由于MPLSVPN自身的封裝和協議本身的交互，導致隔離后的業務交付效率低下。傳統安全部署模式的限制傳統架構下業務系統的安全部署都是基于路徑、基于拓撲的策略部署，安全部署需要根據業務的要求手工配置VLAN、IP、引流策略，如果業務發生變更，安全策略的配置也必須跟著重新配置。另外，傳統安全策略都是基于物理硬件進行部署的，大部分部署均為打補丁的方式實現。導致在業初期由于業務量小使設備利用率很低造成資源浪費，而且業務后期隨著業務量的增量可能又會出現性能不夠用的情況，安全設備的性能無法根據業務的要求而動態的擴展性能或者釋放資源。項目概述傳統架構下的數據中心解決方案已經不能夠滿足云環境下客戶業務高速發展的要求，所以本次方案規劃設計，需要通過更有價值的新架構來解決傳統架構面臨的問題。建設意義【根據項目的具體情況，進行項目背景的描述和介紹】建設原則本次項目的總體建設原則如下：1、統一規范由于業務系統的復雜性，所以應該在統一的框架體系下，參考國際國內各方面的標準與規范，嚴格遵從各項技術規定，做好系統的標準化設計與施工。2、成熟穩定由于云計算的發展變化很快，而本項目建設時間緊，涉及面廣，應用性強，在設計過程中，應選成熟穩定的技術和產品，確保建成的IT架構能夠適應各方的需求，同時節約項目施工時間。3、實用先進為避免投資浪費，IT架構的設計不僅要求能夠滿足目前業務使用的需求，還必須具備一定的先進性和發展潛力，使系統具有容量的擴充與升級換代的可能，以便該項目在盡可能的時間內與業務發展和信息技術進步相適應。4、開放適用由于IT架構是為各業務系統提供支撐，所以必須充分考慮架構的開放性，提供開放標準接口，供開發者及用戶使用。5、安全可靠本項目涉及用戶范圍廣，數量大，實時性強，設計時應加強系統安全防護能力，確保系統運行可靠，業務不中斷，數據不丟失。建設關鍵需求針對上述提及的建設原則，建議IT架構需要滿足如下要求：1、IT資源全面池化伴隨著數據與業務的集中，傳統數據中心的硬件架構已經無法滿足業務的快速上線和靈活的業務部署，新架構需要通過軟件定義的方式實現全新的IT基礎架構，也就是通過服務器虛擬化將所有X86的計算資源池化、通過網絡虛擬化構建出適合虛擬機遷移的大二層環境、最后通過存儲虛擬化實現存儲空間的融合。對于軟件定義的數據中心，需要充分保障物理資源層、資源抽象與控制層和云服務層穩定性與安全性，并提供異地容災備份服務。2、安全優化如影隨形隨著業務的不斷擴展，4-7層的安全、優化架構也需要緊密跟隨。傳統的煙囪式建設方式會讓數據中心里出現大量的安全、優化設備，同時也會讓安全管理變得復雜。從業務的角度上分析，新的IT架構必須能夠對舊系統、舊應用進行平滑遷移，4-7層的安全、優化特性按需部署，資源靈活調度；從管理的角度上分析，平臺的建設需要將所有4-7層的安全、優化機制下沉至虛擬機，通過統一的管理平臺對虛擬機的整個生命周期進行管理，同時精細的管理到虛擬機中的安全、優化應用。所以需要充分保障整個數據中心中各類業務的安全可靠，并提供新、舊業務的平滑遷移。3、自助統一的業務交付建造新一代的數據中心，最終目標是要實現系統的按需運營，多種服務的開通，而這依賴于對計算、存儲、網絡資源的調度和分配，同時提供用戶管理、組織管理、工作流管理、自助Portal界面等。從用戶資源的申請、審批到分配部署的智能化。管理系統不僅要實現對傳統的物理資源和新的虛擬資源進行管理，還要從全局而非割裂地管理資源，因此統一管理平臺與自動化服務交付是提升服務效率的重要因素。建設組件及建設模式為了實現上述建設的關鍵需求，通過IT架構的優勢，將業務系統效率發揮至極致。XX通過“超融合架構”實現了資源、業務、數據的集中承載和統一調度，超融合架構包含的組件如下：aSV計算虛擬化解決方案：通過基于KVM的開源虛擬化技術提供更加便捷、靈活和開放的虛擬機生命周期管理；aNET網絡虛擬化解決方案：通過引入VxLAN技術，能夠提升云計算中心的整體擴展性，同時實現多租戶環境下的安全隔離；aSAN存儲虛擬化解決方案：充分利用現有服務器的硬盤資源，對其進行高密整合，互聯所有X86架構服務器的硬盤總線，實現存儲空間的融合；NFV網絡功能虛擬化解決方案：通過使用虛擬機鏡像的方式運行vAD（應用交付）、vAF（下一代防火墻）等2-7層的安全優化組件，解決東西向的安全優化特性；VMP虛擬化管理平臺：不僅可以實現SangforIaaS架構的統一管理及統一調度，還能夠通過OpenStack北向接口與第三方云管理平臺實現互通，從而將資源的調度管理更加集約化、易用化。XX超融合架構則通過：超融合一體機或超融合操作系統兩種模式建設。1、超融合一體機：（除了NFV可選以外所有組件均已預集成在硬件中）超融合一體機模式，即：通過定制的x86平臺，預裝好SangforIaaS架構，包含了Sangfor虛擬化平臺、Sangfor虛擬化應用套件和Sangfor虛擬化管理平臺。實現計算、網絡、存儲的高度融合，將計算資源、網絡資源和存儲資源池化，為上層應用提供全面的IaaS服務，實現真正意義上的開機即用。2、超融合操作系統：（aSV+aNET或aSV+aSAN或組件全選，NFV可選）超融合操作系統模式，即：通過利舊或者自有的第三方x86平臺，安裝Sangfor超融合操作系統，從而實現和一體機一致的功能和類似的性能，不同的地方在于：一體機是預裝所有組件，對硬件做過調優，性能最佳；一體機的價格比單獨購買操作系統的價格更有優勢；在有空閑服務器或者利舊服務器時，操作系統更加節約投資；操作系統的部署較靈活，可以根據具體的需要選擇性部署一體機開機即用，操作系統需要有安裝調試的過程。XX超融合架構解決方案概述XX超融合架構解決方案，融合了：計算、網絡、存儲和安全四大模塊，通過全虛擬化的方式構建IT架構資源池。所有的模塊資源均可以按需部署，靈活調度，動態擴展。通過超融合一體機或者超融合操作系統能夠在最短的時間內，充分利舊現有硬件基礎架構，將業務系統安全、穩定、高效的遷移到超融合平臺中，并且為后期邁向私有云平臺奠定基礎，從而能夠實現多租戶的管理及計費審計等功能。XX的超融合架構解決方案軟件架構主要包含三大組件（服務器虛擬化aSV、網絡虛擬化aNet、存儲虛擬化aSAN）和一個管理平臺（虛擬化管理平臺VMP）。硬件架構上，可以通過一體機的方式實現開機即用，也可以采用通用X86服務器實現基礎架構的承載。配合傳統的園區網交換機（背板帶寬和交換容量夠用即可）即可完成整個平臺的搭建，無需各種功能復雜、價格昂貴的數據中心級交換機。圖示：XX超融合架構全景圖超融合架構層超融合架構層以服務器虛擬化為底層架構，擴展出網絡虛擬化和存儲虛擬化，通過所畫即所得的方式能夠快速的構建出業務邏輯，實現虛擬資源的動態調度和靈活擴展，同時全網流量可視，配置簡易直觀，運維靈活便捷圖示：所畫即所得的業務邏輯圖示：全網流量可視視圖圖示：簡易直觀的配置界面圖示：靈活便捷的運維操作服務器虛擬化（aSV）方案概述XXaSV虛擬化平臺作為介于硬件和操作系統之間的軟件層，采用裸金屬架構的X86虛擬化技術，實現對服務器物理資源的抽象，將CPU、內存、I/O等服務器物理資源轉化為一組可統一管理、調度和分配的邏輯資源，并基于這些邏輯資源在單個物理服務器上構建多個同時運行、相互隔離的虛擬機執行環境，實現更高的資源利用率，同時滿足應用更加靈活的資源動態分配需求，譬如提供熱遷移、HA等高可用特性，實現更低的運營成本、更高的靈活性和更快速的業務響應速度。方案優勢1、高可用為了提升服務器虛擬化系統的高可用性，XX從如下多維度提供了高可用技術，保障業務的穩定性。故障遷移（HA）:XXaSV虛擬化平臺提供虛擬機熱遷移和虛擬機熱備份技術，降低宕機帶來的風險、減少業務中斷的時間。XXaSV虛擬化平臺提供GuestOS故障檢測功能，當客戶機發生嚴重故障時（例如Windows系統藍屏），虛擬機管理程序會監控到客戶機故障。虛擬機管理程序可以重啟或關閉客戶機，從而避免有故障的客戶機持續占用計算資源。熱遷移（Motion）:通過熱遷移可以實現虛擬機的在線動態遷移,保證業務連續性；零宕機時間:進行計劃內硬件維護和升級遷移工作負載，業務不中斷；實現整體數據中心業務高可用，無需使用昂貴、復雜的傳統集群解決方案；最大限度地減少硬件、軟件故障造成的業務中斷時間；提高整個基礎架構范圍內的保護力度。跨存儲熱遷移:通借存儲熱遷移技術，可以在不中斷服務的情況下在跨存儲實時遷移虛擬機磁盤文件。將虛擬機磁盤文件無中斷地遷移到不同種類的存儲設備執行存儲熱遷移不會造成停機，并可全面保證業務不中斷。可遷移在任何受支持服務器硬件上運行任何受支持操作系統的虛擬機磁盤文件。可支持任何光纖通道、iSCSI、本地硬盤等存儲系統實時遷移的虛擬機磁盤文件。2、極速備份XXVMP虛擬化平臺，將備份系統融合在整體VMP平臺，實現簡單易用的備份系統，由客戶設置自動備份計劃，系統管理根據這些設置定期進行自動備份處理，以增強系統數據的安全性，同時增強自動處理事務能力，可以在不處理日常業務的時間里進行此項工作。精確備份時間策略：可精確到小時級的備份計劃，讓備份數據更精準完善。智能備份路徑選擇：可智能選擇備份路徑，根據存儲空間的使用情況來智能選擇備份位置，且與原位置不同，保證原主機或存儲故障后，能從其它備份位置恢復。也可選擇客戶簡單易用的Windows共享目錄實現快速易用的備份。3、高效P2V遷移通過XXVMPConvert實現快速的物理機遷移虛擬機，跨平臺的虛擬機遷移虛擬機。而整個虛擬化遷移過程不超過5分鐘，業務中斷在2分鐘以內。也可實現快速虛擬機平臺還原回物理機的回滾，保證業務數據不丟失。4、虛擬化運維工作更簡單免插件控制臺：免插件的控制臺訪問VM，提升用戶體驗一鍵新增虛擬機：通過簡單設置，快速創建虛擬機自動故障處理：系統故障時提出專家解決方案，快速恢復系統及應用批量新增虛擬機：為經常重復的工作內容提供自動化操作平臺5、高安全性虛擬化平臺保障虛擬化文件系統加密通過高強度加密的Sangfor虛擬化文件系統，保證數據安全。通過添加每用戶的密鑰實現加密功能提高安全性。非法人員即使盜走保存有機密數據的硬盤或者虛擬機虛擬硬盤文件，也能夠防止其數據被其他用戶或外部攻擊者未經授權的訪問。底層防攻擊合入XXNGAF多年的安全積累的防攻擊模塊，保障底層Hypervisor更安全,最大限度的控制網絡系統，加強邊界訪問控制權限的建立，降低安全風險,消除網絡系統、操作系統、本身存在的大量弱點漏洞和認為操作或配置產生的與安全策略相違背的系統配置，減少入侵者成功入侵的可能；加強網絡系統入侵行為的檢測和防御能力，有效阻止來自外部的攻擊行為，同時也防止來自內部的違規操作行為；通過加固手段切實提高操作系統的安全級別，保證系統安全。6、智能虛擬系統可用性系統故障恢復：虛擬機系統故障檢測，虛擬機內部系統藍屏，或者CPU利用率100%卡死虛擬機操作系統時，SangforVMPHA可偵測病重啟該虛擬機源保障及控制：通過調整不同業務虛擬機的CPU，內存等計算資源的優先級，保障關鍵應用計算資源需求，提升高優先級系統的可用性7、高性能虛擬化平臺塊數據緩存：實現針對文件系統的塊數據緩存，通過提升大文件讀取速度，優化用戶體驗歷史數據預取：精準讀取虛擬機歷史塊數據，加快系統開機速度SCSI虛擬化硬盤加速：通過優化SCSI磁盤驅動，整體提升磁盤I/O性能。網絡虛擬化（aNET）方案概述XX網絡虛擬化aNet，通過提供全新的網絡運營方式，解決了傳統硬件網絡的眾多管理和運維難題，并且幫助數據中心操作員將敏捷性和經濟性提高若干數量級。XX網絡虛擬化aNet方案通過和服務器虛擬化aSV相結合，在虛擬機和物理網絡之間，提供了一整套完整的邏輯網絡設備、連接和服務，包括分布式虛擬交換機aSwitch、虛擬路由器aRouter、虛擬下一代防火墻vNGAF、虛擬應用交付vAD、虛擬vSSLVPN、虛擬廣域網優化vWOC等虛擬網絡、安全設備；然后，還可以支持VXLAN等增強網絡協議，實現和物理網絡的無縫對接，簡化網絡的配置管理；此外，還可以通過虛擬化管理平臺，實現網絡拓撲部署、網絡故障探測等網絡管理功能。從而，aNet虛擬網絡可以快速完成不同應用系統的網絡部署，網絡配置的自動化調整，網絡故障排查等工作，提升網絡的管理運維效率，提升網絡就緒、擴展速度，降低數據中心物理網絡的建設成本。方案優勢1、簡化網絡結構，節省硬件網絡投資在部署了XX的網絡虛擬化aNet之后，過去傳統的接入交換、路由器、負載均衡、防火墻等傳統網絡、安全硬件設備，通通變成虛擬化的方式運行在服務器里。以前。串糖葫蘆式的網絡結構也會變得非常的扁平，服務器全部接入到一個大二層的網絡，極大的簡化物理連線。此外，硬件交換機不再需要支持類似TRILL/SPB/FabricPath/VPLS（為了解決服務器虛擬化部署后的問題，新推出的交換機特性）等一些列不必要的過渡性網絡功能，從而只需要普通的交換機就可以滿足云計算網絡的建設，降低了不必要的網絡建設成本。2、簡化網絡配置，實現業務自動化調整部署了虛擬網絡aNet后，對于物理交換機來說虛擬化環境中的虛擬機網絡流量將會變得透明，物理交換機不再需要配置復雜的網絡策略，提供簡單的大二層轉發即可。因為，所有虛擬機的VLAN、QoS、ACL等網絡配置策略，將會部署aSwitch上。而aSwitch將會自動根據每臺虛擬機遷移、刪除等過程，實現網絡策略的自動跟隨，實現網絡配置的自動化調整，極大的簡化了虛擬機遷移所帶來復雜的網絡運維工作。3、高可靠&高性能過去傳統物理網絡容易因為網絡設備的故障而產生問題，解決起來也非常困難，時間都是以小時為單位的。所以，XX的網絡虛擬化產品，在可靠性方面做了很多的改進，首先通過應用層協議棧技術，我們把數據轉發放到了應用層，能夠讓設備永不宕機,而分布式設計的虛擬路由和虛擬交換機，出現故障的時候能夠實現秒級切換，從而避免虛擬設備的單點故障，物理設備和鏈路我們設計了集群部署和鏈路聚合，能夠避免物理環境的單點故障；這樣，我們就實現了整個虛擬網絡環境的高可靠保障，任意環節出現故障，都能被自動檢測出來，并快速恢復業務。此外，對于虛擬化網絡的性能問題，XX自主研發了高性能網絡轉發引擎，結合intel最新的DPDK技術和SR-IOV技術，aSwitch虛擬設備可以達到雙向10G的數據轉發，讓虛擬化網絡能夠以非常低廉的成本擁有和物理網絡一樣強勁的性能。4、完整專業的L4-L7網絡服務，確保架構平滑遷移只把交換機和路由器虛擬化是不夠的，復雜的業務環境是必須要配置負載均衡、VPN、防火墻這樣的L4-L7安全、優化功能。所以，XX將在硬件設備領域非常具有優勢的NGAF、AD、WOC、SSLVPN等設備也虛擬化了，從而可以幫助用戶將應用系統平滑的從物理環境遷移到虛擬化環境中，并滿足安全合規要求。vNGAF、vAD、vWOC、vSSLVPN等虛擬化設備，保持了和硬件設備一致的功能特性，并且具備齊全的各種產品資質證書，如安全產品銷售許可證等。用戶只需要根據不同應用系統的性能要求，分配1、2、4、8核不同檔次的CPU資源，各種虛擬化設備就可以提供從百兆到千兆的性能。5、多層次安全策略，無縫安全防護為了從不同維度提升虛擬化平臺的安全性，通過隔離的分布式交換機、ACL訪問控制、NGAF的L2-L7安全防護技術、SSLVPN完整的安全接入技術等方式，可以加固虛擬機、業務系統等不同虛擬化環境邊界的安全性。尤其是NGAF可以提供包括：狀態檢測、應用訪問控制、漏洞防護、Web攻擊保護、防敏感信息泄露、漏洞風險掃描、安全策略聯動、防木馬病毒等完整的L2-L7安全功能，可以幫助用戶簡化安全部署，并滿足合規要求。存儲虛擬化（aSAN）方案概述XX存儲虛擬化aSAN，基于集群設計，將服務器上的硬盤存儲空間組織起來形成一個統一的虛擬共享存儲資源池，即ServerSAN分布式存儲系統，進行數據的高可靠、高性能存儲。分布式存儲系統在功能上與獨立共享存儲完全一致；一份數據會同時存儲在多個不同的物理服務器硬盤上，提升數據可靠性；此外，再通過SSD緩存，可以大幅提升服務器硬盤的IO性能，實現高性能存儲。同時，由于存儲與計算完全融合在一個硬件平臺上，用戶無需像以往那樣購買連接計算服務器和存儲設備的SAN網絡設備（FCSAN或者iSCSISAN）。方案優勢1、橫向、縱向線性按需擴展aSAN存儲虛擬化方案可以支持橫向（增加服務器數量）、縱向（增加單臺服務器的硬盤數量）等擴展方式，擴展起來非常簡單，只需要將新的服務器加入原來的集群就可以實現擴展，擴展后可以實現容量和性能的同步擴展，目前最大支持64臺服務器組件一個集群。此外，添加新的服務器到集群后，不僅存儲空間得到擴展，性能也會得到同步的擴展，例如2臺服務器擴展到4臺服務器后，不僅存儲空間得到擴展，整體性能也會擴展為原來的2倍。所以，aSAN可以幫助客戶不需要過多地考慮未來的擴展，只需要滿足未來3~6個月的需求就足夠了，極大降低了初期的投資成本，并避免了傳統FC存儲由于無法平滑擴展性能，而需要遷移數據存儲所帶的高風險。。2、數據保護和高可用性在可靠性方面，虛擬化存儲aSAN沒有采用傳統FC存儲的raid方式，而是把每份數據copy成多份副本進行多副本存儲，服務器只需要以常規手段掛載硬盤，虛擬化存儲平臺會把數據、在不同的物理服務器硬盤里創建2個到3個一樣的副本。而且，每一次數據的變化，都會通過網絡，同時在aSAN中的所有副本里進行同步，從而確保數據的一致性。這樣做的好處非常明顯，首先，由于不需要使用raid，服務器的磁盤利用率會非常高，多副本的同步存儲方式、又能夠在最大程度上確保數據的互備效果，從而低成本的實現存儲的高可靠。由于aSAN存儲虛擬化采用副本方式保存數據，支持2-3份副本。當物理硬盤出現故障的時候，存儲則會被重新指向另外一個健康的副本，整個過程是毫秒級的切換,對用戶來講基本是無感知的。如果不幸遇上了物理主機或者是網絡故障，整個虛擬化平臺可以完成分鐘級的切換，業務系統或者網絡設備的虛機可以快速切換到另一臺服務器拉起，幾分鐘就能恢復正常運作，而存儲的指向仍然保持了同步，這樣就比傳統方式的業務恢復速度快了很多。3、高性能SSD緩存技術：由于傳統的sas盤、sata盤的性能只有7200轉，iops達不到眾多應用系統的相關性能要求。所以，XX的存儲虛擬化aSAN在硬件架構上會要求采用SSD雙緩存方式，讀和寫都使用獨立的SSD硬盤來實現，借助于SSD的高效緩存技術，可以讓用戶以較低的成本獲得非常高的IO性能。此外，通過我們的算法優化，業務系統所請求的數據、絕大部分情況下都會直接讀取到本地磁盤上的副本，從而使得存儲的響應速度大幅提升，明顯提升整體存儲的IOPS性能。網絡功能虛擬化（NFV）方案概述當前軟件定義網絡成為了技術發展的趨勢，XX也率先在國內推出全系列的數據中心安全、優化產品（NGAF下一代防火墻、SSLVPN、AD應用交付、WOC廣域網優化）軟件虛擬化解決方案。這些過去需要以專用硬件方式部署的產品，不再需要依賴專用的硬件，可以以軟件鏡像的方式，完美支持在Vmware、KVM、XEN等服務器虛擬化環境下的部署。從而極大的簡化政務云數據中心網絡的架構，為各個租戶的虛擬應用按需、靈活的虛擬擴展出各種安全和優化方案，同時還便于劃分清楚各方的運維職責。性能與功能軟件虛擬化版本產品直接以虛擬機的方式運行，只需要分配好相應的CPU、內存、硬盤等資源大小，就可以獲得對應性能的安全、優化產品。一般會分為1核、2核、4核、8核CPU等檔次，性能從百兆到千兆。功能方面，由于是將現有硬件產品的版本直接平移，所以軟件版產品的功能與硬件設備保持一致，可以為用戶提供最專業的網絡安全、網絡優化解決方案。部署模式vAD、vAF、vSSLVPN、vWOC等虛擬化軟件設備支持路由、單臂等部署方式，針對不同租戶開啟一個對應的虛機鏡像，通過集中管理平臺開通虛擬設備授權，然后配置vSwitch連通網絡，只需數分鐘即可為不同租戶提供各種增值網絡服務。路由部署：vAF、vWOC單臂旁掛：vAD、vSSLVPN管理特點1、簡單5步，快速部署上線：購買授權：向XX購買軟件授權導入鏡像：將設備鏡像拷貝進入虛擬化環境注冊開通：在授權服務器上開通策略配置：配置AD、AF、SSL等虛擬設備的相關策略vSwitch配置：配置虛擬交換機實現業務的互通2、面向OpenStack的統一管理XX的vAD、vAF、vSSLVPN、vWOC等功能模塊不僅可以通過Sangfor虛擬化管理模塊實現統一的超融合管理，所有模塊均開放了北向的OpenStack接口，通過開放的統一接口，能夠更好的實現和第三方平臺的融合，并實現功能服務的創建及關閉、功能模塊的策略配置。下面以vAD為例，通過界面截圖，了解面向OpenStack的統一管理。方案優勢1、專業完整：vAD、vAF、vSSLVPN、vWOC保持了與硬件產品一致的專業功能，還具備各種產品的合規資質；而且產品類別完整，不需多廠家產品拼湊，就可以滿足用戶將應用遷移到云環境中的各種傳統業務安全、優化需求。2、簡單易用：簡單4步，快速部署上線，無需機房連線操作，設備的配置界面保持了與硬件設備一致的風格，讓云中心/租戶管理員只需要數分鐘時間，就可以快速完成業務的上線部署。3、隨需擴展：云中心管理員可以根據租戶的業務發展，增加虛機資源，按需擴展虛擬設備功能、性能。不用擔心過去由于租戶增多，硬件設備性能不足，而要淘汰、更換設備的情況，保護投資。4、總成本低：軟件虛擬化產品比同等性能的硬件設備更具有價格優勢，而且不用擔心設備淘汰帶來的投資浪費。簡單易用的部署方式，也大大減低了方案運維成本。同時，分權的管理模式，運維職責劃分更加明確，可以降低出現故障時的責任風險。提供的增值業務服務1、安全類服務：入侵檢測和防御服務通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。提供主動式入侵防御功能，能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟件的攻擊。每月一份報告，每個租戶一套NGAF開啟FW+IPS功能模塊。

WEB業務在線防護WAF

在網站前端架設在線WAF防護系統，保證用戶網站對各種SQL注入、XSS跨站、網站掛面、敏感信息泄密、網頁篡改等攻擊進行防護，每月一份防護記錄，每個租戶一套NGAF開啟WAF功能模塊。業務系統安全風險分析服務

提供系統級的安全隱患分析服務，包括外部訪問、系統維護、等信息匯總。提供系統安全分析，包括可疑訪問、惡意訪問、安全試探、異常數據訪問等安全隱患的預警性分析，建議每月一次，每個租戶一套NGAF開啟漏洞掃描和分析功能模塊

SSLVPN接入服務采用SSL技術提供虛擬專用網絡接入服務，可以面向PC、移動終端等提供安全接入方式，幫助租戶實現內部用戶、第三方用戶的遠程安全接入。每月按用戶數量靈活收費，每個租戶一套SSLVPN移動APP安全加固服務針對租戶的移動APP提供自動化的安全加固服務，讓APP可以直接和VPN網關加密傳輸，并在移動終端上加密存儲數據，提供端到端的數據防泄密功能。每月按用戶數量靈活收費，每個租戶一套SSLVPN+EasyAPP功能模塊。政務移動門戶和設備管理為每個租戶提供一個統一的移動業務門戶，包括移動設備管理、政務移動應用商店、移動設備安全監控、數據遠程擦除都能功能。每月按用戶數量靈活收費，每個租戶一套SSLVPN+EMM功能模塊。2、業務優化類服務：服務器負載均衡服務：租戶的各種應用系統，如果需要多臺虛擬服務器實現高可靠解決方案時，服務器負載均衡是必要組件，通過部署軟件版應用交付產品，可以為租戶提供L4-7服務器負載均衡、健康探測、溫暖重啟、VMware聯動等功能，保障業務穩定性。每月按一套設備收費，每個租戶一套AD應用交付產品。網站加速服務:對網站進行整體加速與實時優化，通過應用交付AD的單邊加速、SSL卸載、TCP優化、圖片轉碼等功能，避開網絡擁塞，加快在互聯網上訪問網站的速度，按網站數量收費，每個租戶一套AD應用交付+應用加速功能模塊。全局智能DNS服務:自動判斷訪問者的IP地址，智能解析域名，指向相對訪問者來說網絡訪問速度最快的服務器，可按照需要解析的IP數量計費，需要在政務云出口部署硬件鏈路負載均衡實現。廣域網優化接入：當租戶搭建的業務系統需要通過專網、電子政務外網，讓下屬分支機構、橫向政府單位訪問時，為了避免廣域網存在高丟包、高延遲造成應用訪問慢，解決帶寬不足，以及傳輸鏈路明文傳輸等安全問題，可以部署廣域網優化WOC，通過一體化的應用優化、傳輸優化、VPN功能，幫助租戶建立一套快速、安全的廣域網傳輸機制。政務云中心一套軟件版WOC產品，按月收費；各個分支機構部署硬件WOC產品，一次性采購或者租用。多業務模板層通過多業務模板，能夠在超融合架構中創建出基于各種模塊的Profile文件，例如：端口的策略模板、網絡協議模板、安全功能模板、虛機模板、用戶文件、存儲配置模板等。圖示：多業務模板層利用模板下發的方式實現整個業務邏輯架構的快速創建和故障拓撲的快速回滾。同時可以通過模板上傳的方式搭建一個模板庫，多租戶共享同一個模板庫，從而能夠根據自己的需要，下載相應的模板，實現業務的快速上線。虛擬化管理平臺XX虛擬化管理平臺VMP是一個針對超融合架構進行IT資源進行全面管理、調度的管理系統。可以針對物理主機、服務器虛擬化、網絡虛擬化、存儲虛擬化等設備和組件進行資源負載監控、虛擬資源配置和調度、網絡拓撲部署、網絡設備策略配置、網絡故障排查、存儲資源管理、數據備份管理等。尤其是網絡拓撲部署功能，管理員只需要在界面上畫出所需要的網絡、安全、虛機的組網拓撲，只需數分鐘就可以實現業務系統的就緒，做到“所畫即所得”。此外，還可以針對管理員進行權限的管理和劃分，后續通過升級可以支持多租戶業務場景的管理。從而，只需要一個管理界面，就可以幫助運維人員高效、簡便的實現云計算中心IT資源的部署、運維、排障。服務器虛擬化管理模塊服務器虛擬化管理模塊可以針對物理主機、虛擬機、內置/外置存儲進行全面的系統管理。比如，可以針對物理主機增加/刪除、物理主機性能監控、應用系統P2V遷移、虛擬機創建/克隆/遷移/監控、存儲資源管理、數據備份和恢復等等。1、服務器虛擬化性能監控功能：2、虛擬機創建、遷移管理功能：3、數據備份和恢復功能：網絡虛擬化管理模塊網絡虛擬化管理模塊可以針對虛擬化環境下的虛擬交換機、虛擬路由器、虛擬下一代防火墻、虛擬應用交付、虛擬VPN、虛擬廣域網優化、物理網絡邊界等進行全面的管理，并進行網絡拓撲部署、故障自動排查等功能。從而可以讓過去以天為單位計算的網絡部署周期縮短為分鐘級，讓網絡故障的排查更加自動化，減少人為故障的可能。1、網絡拓撲管理和部署：通過拖動管理界面左側中的各種網絡、安全設備圖標到畫布中，并完成網絡連線，畫出實際應用系統所需要的網絡架構，整個業務系統就可以快速完成部署。如下圖所示，就是搭建一個Web應用所需要的Web服務器區、APP服務器區、DB服務器區所需要網絡架構，每個區域都可以部署虛擬應用交付進行服務器負載均衡，在區域之間部署虛擬防火墻實現安全域的隔離和控制，在應用的邊界還可以部署具備WAF/IPS功能的虛擬防火墻，防止來自外部的應用層攻擊。2、網絡、安全、優化設備策略配置管理如果需要針對不同的網絡、安全、優化設備進行配置管理，只需要點擊對應設備的圖標，就可以進入其Web化的管理界面進行路由協議、網口IP地址配置、ACL、VLAN、DHCP、安全防護策略、負載均衡策略的管理。路由器配置界面：設備網絡配置界面：網絡、安全、優化設備性能監控管理界面：網絡故障排查管理界面：只需要輸入目的和源地址，就可以快速定位出整個訪問路徑上出現網絡中斷的原因，比如ACL拒絕、設備故障、連線中斷等等。存儲虛擬化管理模塊存儲虛擬化管理模塊可以針對aSAN資源池中各個物理服務器的硬盤、緩存盤、數據高可用策略、性能監控等進行全面的管理。從而極大程度的提升。管理界面簡單明了，不需要學習復雜的LUN、RAID等存儲基礎知識，就可以讓管理員快速上手，快速完成高可靠、高性能、彈性的存儲資源管理。1、集群內存儲資源性能監控：可以監控整個存儲資源池的IO訪問次數、IO吞吐、存儲使用量、緩存命中率等各項性能指標。2、高可用等策略管理：可以配置整個集群的副本容量策略、故障恢復策略、數據平衡策略等高可用功能，從而極大的提升aSAN的高可靠性。3、物理服務器硬盤資源管理：可以實時查看物理服務器上各種硬盤資源狀態，并針對設置硬盤使用類型，如熱備盤、數據盤、緩存盤等等，從而做好資源池高可靠、高性能的干禮策略。XX超融合架構方案價值和優勢總結XX超融合架構價值XX超融合架構解決方案的主要價值體現在下面三個方面。1、使用軟件定義的網絡、安全、存儲獲得效率和敏捷性擺脫極不靈活的網絡和安全、存儲體系結構，這種體系結構基于手動調配的VLAN并使用分立管理界面的專用設備，需要復雜的LUN、RAID等存儲管理。使用軟件主導型網絡和安全、存儲虛擬化服務，獲得云計算基礎架構的全面敏捷性。通過創建能夠適應工作負載并隨工作負載移動的網絡和安全、存儲結構，根據業務需要快速部署、移動、擴展和保護應用及數據。XX超融合架構可使軟件主導型網絡和安全、存儲與緊密集成到虛擬數據中心管理中的基于策略的調配機制結合在一起。2、通過提高效率和利用率降低運營、采購成本，實現資源的按需供給XX超融合架構無需重新配置物理網絡、外置存儲，即可跨集群和單元彈性分配計算資源，用戶可以在初始階段，僅投入項目所必需的最少資源，在后續的生產實踐中，根據實際需要，可以再追加擴容物理服務器的計算、存儲資源，從而實現真正的隨需應變與資源動態供給，并最終提高資源利用率。此外，XX超融合架構提供了高度可擴展的虛擬網絡，可簡化調配，降低運營成本，同時減少對專用設備的需求。3、利用虛擬工作負載的敏捷性，適應動態業務需求可創建隨應用擴展的網絡并在需要的位置應用安全服務，而無需升級硬件。XX超融合架構可提高應用可用性并增強網絡性能和存儲容量。無需重新配置物理網絡，即可部署、移動或擴展虛擬工作負載可自動調配和橫向擴展網絡連接和安全服務能夠更全面地了解虛擬通信流量線性擴展存儲容量和性能XX超融合架構的優勢1、提供更加完整的IT基礎架構虛擬化方案，涵蓋網絡、安全、存儲、計算2、管理運維更加便捷、簡單，零學習成本，讓IT架構所畫即所得3、整體擁有成本更低，無需特殊、專用的網絡、服務器設備即可實現4、國產化，提供多樣、豐富的L2-L7安全和優化功能，更好的滿足合規要求XX超融合架構解決方案配置實例XX超融合架構解決方案落地的配置主要有兩種方式：超融合一體機和超融合操作系統。超融合一體機：主要用在新建或者擴容業務系統、需要購買新的服務器做業務支撐的場景下，超融合一體機可以發揮最大的優勢：性能最佳、價格最優、上線最快。XX超融合一體機硬件一共有3大系列7個型號，主要以硬盤槽位來區分：4槽位（1款），8槽位（3款），12槽位（3款），選擇完一體機硬件后再選擇超融合操作系統來構建整個資源池。超融合操作系統：主要用在改造或者遷移業務系統、有閑置或者富余的服務器場景下，超融合操作系統的優勢在于：充分的保護現有投資、平滑的進行業務遷移、高效的實現系統升級。XX超融合操作系統組件為3個：aSV（服務器虛擬化）、aNET（網絡虛擬化）和aSAN（存儲虛擬化），aSV為整個操作系統的內核，是必選項，aNET和aSAN可以根據具體的需求二選一或者全選，所以超融合操作系統的配置方式為：aSV+aNET，aSV+aSAN或者aSV+aNET+aSAN。網絡功能虛擬化NFV：目前超融合架構中可以選擇vAF和vAD兩個組件，實現4-7層的安全防御和應用交付的功能。vAF和vAD按照性能進行劃分，每個組件擁有4個不同的款型可選，分別占用1顆vCPU，2顆vCPU，4顆vCPU，8顆vCPU。可以根據具體的需求按需部署，在License夠用的情況下能夠實現vAF和vAD的資源動態擴展。超融合服務體系：超融合的服務體系分為3個部分，硬件質保、軟件升級和安裝調試服務，還有一些性價比很高的組合包服務，根據實際情況酌情選擇XX超融合一體機硬件配置清單產品型號產品