韩丹
摘 要 随着各家银行的数据中心集中了大量的应用和系统,业务需求的迅猛增长使得应用的推出和升级速度不断加快,数据中心不断面临着规模扩张要求,并要求获得更多的硬件、网络和人力等资源。为了解决在业务运行中遇到的问题:硬件资源利用率低、数据安全性缺乏保障、业务连续性、人员不够等问题,对银行金融信息中心对虚拟化技术在银行信息化建设中的应用进行研究。
关键词 银行网络 虚拟化技术 规划
中图分类号:TP393 文献标识码:A
0引言
网络虚拟化的作用主要是通过逻辑手段整合或共享物理设备、线路资源来提高资源利用率,从而更有效地利用网络资源,实现对资源的快速部署以满足业务的发展需要。网络虚拟化主要包括网络设备的虚拟化和数据路径的虚拟化两方面。
网络设备的虚拟化技术主要有二层的VLAN、三层的VRF和思科Nexus7000交换机的VDC(Virtual Device Context)技术等。VLAN技术可将交换机的接口分成不同的逻辑组,每个逻辑组构成一个二层广播域,一个VLAN内的设备在二层上可以互相通信,而VLAN之间的设备在二层上不能互相访问。VRF技术可在1台设备中设置多个路由表和转发表,各自运行相应的路由协议。
Nexus7000运行NX-OS操作系统,支持设备级虚拟化VDC技术,使用该技术可以将一台Nexus7000交换机在逻辑上模拟成多台虚拟交换机,VDC作为一个单独的逻辑实体在交换机中运行。VDC的特点如下:(1)数据平面隔离:每个物理接口同时只能被分配到一个VDC。(2)控制平面隔离:每个VDC都有自已的二层/三层的协议进程。(3)管理平面隔离:每个VDC可以看成单独的设备,能独立地进行管理。(4)每个VDC是独立的故障隔离域,防止某个虚拟设备VDC上的问题影响运行于同一个物理设备上的其他虚拟设备VDC。(5)每个VDC都有自己的配置文件,能独自进行维护。
数据路径的虚拟化技术实现的是将一条物理链路划分成多条逻辑链路,以达到链路复用和安全隔离的作用。如Vlan trunk技术,Vlan trunk是通过对以太帧插入VLAN标识的方法来确保在网络接口上二层地址空间的隔离,以实现在一条trunk链路上可以传输多个VLAN的数据。
以上几种虚拟化技术是本次数据中心网络结构规划中需要采用的,其中Nexus7000 VDC是新技术,本章重点对VDC的技术实现及在数据中心网络结构中的部署做详细阐述。
1VDC规划和使用原则
数据中心局域网结构是以高可用的交换核心为中心来互联各个功能区域,各功能区域之间进行安全隔离,功能区域内的网络结构采用标准的层次化设计,要求区域网络可灵活扩展,同时降低综合布线等日常变更操作的复杂程度,VDC虚拟化技术可以在一定程度上满足这些需求。VDC的规划原则如下:(1)在功能区域的区域核心交換机上采用VDC技术,交换核心不进行VDC的划分。(2)VDC之间进行一定的安全隔离。(3)VDC进行必要冗余设计并应用相应的高可用策略。
1.1VDC拓扑结构
数据中心标准服务器区、外联区、FOVA区均使用了VDC虚拟化技术。VDC拓扑规划如下:(1)标准服务器区、外联区每台Nexus7010交换机创建2个VDC,其中1个VDC作为区域核心-VDC-2上联4台交换核心Nexus7018,另1个作为区域核心-VDC-3下联接入层交换机Nexus5020,缺省VDC用于网络管理。(2)FOVA区域每台Nexus7010交换机创建3个VDC,包括缺省VDC在内,4个VDC都需要使用。缺省VDC作为区域核心-VDC-1上联四台交换核心Nexus7018,下联其它三个新建VDC,这三个新建VDC分别作为区域核心-VDC-2、区域核心-VDC-3和区域核心-VDC-4分属于三个不同的FOVA区,它们分别下联不同FOVA区域的接入层交换机。(3)各功能区域的不同区域核心-VDC之间采用防火墙技术进行安全隔离。
1.2VDC划分
Nexus7000交换机总是存在一个缺省的VDC,第一次登录到Nexus7000交换机上,首先就进入到缺省的VDC。缺省VDC的作用是创建和删除其它VDC、给其它VDC分配资源、维护系统等,缺省VDC不能被删除。目前NX-OS包括缺省VDC在内最多可以支持4个VDC,即可以手工创建3个VDC。除非特别需要外,缺省VDC只用于管理,不用于实际生产。数据中心局域网结构设计中,VDC的划分如下:(1)FOVA区域每台Nexus7010交换机新建3个VDC,其它区域每台Nexus7010交换机新建2个VDC。(2)除FOVA区域外,其它功能区域的缺省VDC只用于系统管理和对其它VDC的管理。(3)在FOVA区域中,包括缺省VDC在内的所有4个VDC用于实际生产。
1.3VDC资源
Nexus7000上可以对VDC分配的资源有两种:物理资源和逻辑资源,并且要求以network-admin的用户角色和权限来分配资源:
(1)物理资源分配。
Nexus7000上能对VDC分配的物理资源是接口,数据中心网络结构中将使用的接口模块是N7K-M132XP-12(32接口万兆以太接口模块)和N7K-M148GS-11(48接口千兆以太接口模块),两种模块对VDC的接口资源的分配规则如下:
32接口万兆以太网接口模块必须四个接口一组分配到一个VDC。48接口千兆以太网接口模块以一个接口或多个接口为单位进行分配。
(2)逻辑资源分配。
Nexus7000上能对VDC分配的逻辑资源是VLANs、VRFs、Port-Channels、SPAN Sessions、IPv4 RIB和IPv6 RIB。对于一个VDC来说,系统缺省为它预留了每种逻辑资源可分配的最少量,即可以保证分配到的逻辑资源。
2VDC用户角色
NX-OS缺省有四种用户角色:network-admin、network-operator、vdc-admin、vdc-operator,每种用户角色拥有不同的权限。network-admin具有最高的权限,可以管理包括缺省VDC在内的所有VDC,对所有VDC具有读写权限,是设备管理员的角色。我行设备管理规划采用network-admin用户,配合ACS实现读写、只读两类用户的授权。
2.1VDC带外管理
NX-OS提供虚拟化的以太管理接口(mgmt0)以便可以通过带外网管的方式来管理VDC。Nexus7018、Nexus7010和nexus5020采用这个以太管理接口进行带外管理。
另外,Nexus7018和Nexus7010也提供独立的CMP(Connectivity Management Processor)处理器,CMP以太口能够支持telnet/SSH功能,Nexus7018和Nexus7010采用CMP接口作为带外网管的辅助和备份手段对设备进行远程管理。
2.2VDC高可用策略
VDC的高可用策略(HA-policy)是指当一个VDC出现问题时,NX-OS在高可用方面的处理方式。VDC的高可用策略规则如下:(1)Bringdown策略:当某一个VDC出现问题时,挂起这个VDC,需要对物理设备重新引导才能进行恢复。(2)Restart策略:当某一个VDC出现问题时,删除这个VDC,并用Startup配置文件重新创建VDC。(3)Switchover策略:在双引擎的条件下,当某一个VDC出現问题时,引擎会进行切换。(4)reload策略:在单引擎的条件下,重新启动物理设备,并用Startup配置文件重新创建VDC。(5)VDC的缺省高可用策略:1)在双引擎的条件下采用Switchover模式。2)在单引擎的条件下,采用Restart模式。3)缺省VDC的高可用策略不能改变。
数据中心局域网结构规划中,相关服务器区域的VDC都是冗余设计并且Nexus7018和Nexus7010都是双引擎配置,VDC的高可用策略规划如下:
缺省VDC的高可用策略不能改变,因此采用缺省高可用策略Switchover,即当缺省VDC出现故障时,引擎进行切换。其它VDC采用Restart模式,即当任何一台VDC出现故障时,删除这个VDC,并用Startup配置文件重新创建VDC,这样可以尽量不影响其它VDC的正常工作。