【课程笔记】华为 HCIE-Cloud Computing 云计算02:华为云Stack规划设计
华为云Stack规划设计
目录
华为云Stack规划设计
一、华为云Stack交付综述
1. 交付流程
2. 交付工具链
二、华为云Stack标准组网
1. 标准组网架构
2. 单核心和双核心组网
3. 三层组网
4. 灾备组网和云联邦
一、华为云Stack交付综述
1. 交付流程
(1)准备工作:了解客户的基本现场,并且对客户的需求有基本的认知
①HLD方案
②BOQ报价
③设备采购和设备上架
(2)安装部署流程
①硬件架构设计
②硬件设备选配
③设备上架与初始化配置
④准备相关资料(自动下载)
⑤安装HCS Deploy
· 初始化安装,设计参数,上传安装包,自动化部署
· 扩展安装,设计参数,自动化部署
2. 交付工具链
(1)设备选配
①服务器
三种角色,控制+网络+计算,其中控制3,网络2,计算1
①由于ZooKeeper进程的存在,所以控制管理节点最少3台
②网络主备管理,主要是提供SDN网络,需要2台服务器
③计算节点提供资源,最少1台
-
为什么控制节点至少需要3台?
HCS是一个分布式的系统,控制节点选择2台设备做主备实际上是不安全的,所以为了安全性保证,我们选择使用分布式集群管理系统,也就是遵循开源ZooKeeper的原理进行设计
在ZooKeeper中,有两个角色分别是leader和follower,leader是主,follower是从,用户写数据的时候,需要写leader,由leader向follower进行同步,保证全局的数据一致性。如果是用户发起读请求,那么就选择任意一台设备进行数据读取均可。所以按照这种方式进行控制节点的部署实际上效率要远远高于主备
ZooKeeper实际上是遵循设计3个及3个以上的奇数个节点,因为设备开局的时候是需要进行leader选举的,也就是每次设备重启或者进程重启的时候,leader的角色是会发生变化的,一般来说都是谁先安装完成或者是谁先启动,谁就是leader。但是在实际操作中,按照流程是需要进行投票的。还需要进行说明的是,控制节点在整体操作过程中,所有的写请求,需要经过投票同意才能进行执行,这也就是为什么不去强制制定leader而是需要通过选举确定,因为整个控制进程的运行流程都是靠投票确定的
-
在投票中,我们使用的是过半制,也就是谁的票数超半数,谁就能成为leader。所以,首先最少控制节点要3台,因为少于3台无法选举。3台以上的时候,情况如下:
设备数:3
过半票数:2
容灾数:1
所以仅当设备数为奇数的时候,允许损坏的设备数才会增加
②防火墙:至少选配2台,做主备用,用于管理流量的筛查;可以选配2台WAF,做网页流量的安防
③交换机:推荐至少选择CE系列园区网交换机
④存储:建议至少配置1台存储,用于保存核心数据
(2)华为云Stack规划设计与部署
①报价规划工具eDesigner——方案与选项(售前)
②SCT报价工具——具体项目报价(华为产品经理/总代)
③HCS Desinger——方案设计工具(售后)
④HUMDP iPreinstall——设备初始化工具(售后)
⑤HCS Deploy——云架构部署工具(售后)
①控制节点至少需要4个网口
②网络节点至少需要8个网口
③计算节点至少需要4个网口
-
HCS的流量分为了管理流量、业务流量、存储流量,管理流量和业务流量相对都不是特别的高,尤其是管理流量实际上使用非常低,在不是非常顾虑安全性的情况下,可以配置管理、业务流量合并,在一个接口发送,存储流量因为涉及到海量数据传输,所以必须独享网络接口
-
HCS所有的设备接口都必须以一对的形式出现,为了保证一旦接口损坏,不会出现业务中断
-
所以最简配置方法就是:控制(管理+业务)、存储、网络节点的最大的作用就是做流量转发和流量控制的,所以一定不能合设流量,必须分离
网络节点的流量=管理流量+vRouter +NAT_LBaas +ELB_SNAT 计算节点同控制节点
二、华为云Stack标准组网
1. 标准组网架构
目前华为云Stack的标准组网是分为了单核心、双核心以及三层组网架构三种模式
①单核心组网:指的是Spine层面上只有一个核心(两台交换机做stack堆叠,逻辑上就是1台设备),所有的流量转发都需要通过该核心进行操作。即管理、业务、存储流量的网络转发都通过一套核心系统进行传输
②双核心:指的是我们将管理和业务流量进行区分,管理核心只负责转发管理流量,注意这里的管理流量指的并不是底层的管理流量,而是OpenStack的管理流量,比如Cascading_External_OM。业务流量就是正常的数据流量和业务流量
③三层组网:指的是网络架构采用了三层结构,即相较于二层组网,三层组网使用leaf、spine、border leaf三层网络架构进行流量转发,数据的集成度会更高。需要注意的是,三层组网只支持单核心组网,即spine层只有一套核心,管理+业务+存储由一套核心进行转发
对于底层的服务器和终端来说,我们接入HCS只能使用2/4/6/8网口
2网口(端口绑定)代表管理、业务、存储混用一套端口进行转发
4网口(2套端口绑定)代表管理、业务混用一套端口,存储独享一套端口
6网口(3套端口绑定)代表管理、业务、存储独享一套端口
8端口是比较特殊的,8端口专用于网络节点的连接,4组绑定端口负责接入管理、vRouter、NAT-Lbass、Nginx四种角色的流量
需要注意的是,2端口因为其比较高的集成度,所以不推荐也无法使用高阶云服务。一般建议中小规模的HCS,使用4端口进行转发,大型HCS数据中心,使用6端口进行转发,仅当测试场景以及小规模应用的时候,可以选择2端口进行集成
①单核心:的特定在于其低成本、搭建便捷、安装和部署速度较快,但是单核心流量比较集中,并且安全程度比较低
②双核心:的特定在于将管理区和业务区进行了划分,分区清晰首先利于网络安全性的控制,其次业务流量的转发性会更强,对于大流量的业务支持度会非常好。但是双核心的造价成本会相对比较高,高在两个角度上,第一个是服务器尤其是计算节点,要求必须是6端口,即管理+业务+存储分离,第二个是核心交换机需要比较好的设备,因为设备数的增加会导致整体数据流量的增加,那么就需要能够提供足够包转发率的设备
③三层组网:即在二层组网的基础上添加了border leaf层,三层组网必须选择一对spine(三层组网一定是单核心组网),三层组网的优势在于可以减少二层域范围(VXLAN广播域范围),扩展性比较强,可以支持从单核心转为双核心,扩展性和灵活性比较号。支持2/4/6三种端口模式。一般推荐在已有网络架构的前提下,进行HCS部署,先满足使用需求,后期可以利用其比较好的扩展性和变化性,进行扩展或者是升级
HCS组网类型
①单核心组网-普通单核心组网
单核心组网支持2/4/6网口接入
如果单核心选择2网口接入,那么底层接入交换机就可以不区分管理、存储和业务交换机
如果选择4网口接入,那么管理和业务共用一套接入交换机,存储单用一套接入交换机
如果是6网口,那么如图,三种流量独享交换机
从这个模式中其实也就可以看出核心的多少实际上和底层服务器的接口数量实际上是没有联系的,服务器到底要多少接口,主要决定于接入交换机分为几种角色。单核心双核心决定的是接入交换机的流量要怎么样进行汇聚和转发
-
管理TOR主要负责转发OpenStack的管理流量的,管理墙是负责运维管理人员接入的,两种管理的含义是不同的,需要注意区分
-
如果没有接入交换机是否可以?可以,但这会在极大程度上消耗核心的资源,并且在DC中实际上所有接口都接入核心是违规行为,联系跨柜对于后期的维护来说是具有极高难度的,所以不推荐
另外连线直接上核心也是一个错误的做法,因为在DC中尤其是在HCS中实际上很多流量是东西向流量,并不是南北向流量
所谓东西向流量简单来说就是在DC内部进行互相转发的流量,并不会经过spine的转发,而是在leaf层之间进行互转
南北向流量就需要通过leaf——spine——出口的转发路径对外进行数据转发。如果所有设备都接入到核心,那么核心就承担了整个HCS的所有东西向和南北向流量,这就会导致核心的包转发率异常的高,甚至在业务高峰期会超出核心的转发能力,而本身在大量的数据转发中,东西向流量是占据了大部分的,所以我们不推荐也不能将所有的连线都直接接入到核心
②单核心组网-三层组网(可升级为双核心组网)
相较于二层组网,三层组网是有三层网络架构的,在DC中就涉及到了leaf——spine——border leaf。在三层网络中,底层的接入VXLAN是通过接入交换机的二层网络配置实现的,但是leaf到spine和border leaf之间就是通过三层网络架构实现的
-
也就是说二层网络中,接入交换机一般会承担NVE的功能,但是VXLAN的三层转发VBDIF是由Spine核心节点实现的。而在三层网络中,由于二层网络架构和三层网络架构都是在leaf层实现的,所以NVE和VBDIF都是在leaf接入交换机实现的。即我们将二层网络和三层网络在leaf层面上做了隔离,这种架构就适合于原本DC就已经部署了三层网络架构,但是我们又需要HCS二层网络通信,这个时候就可以在原本的三层架构上,部署二层通信
③双核心组网
双核心组网核心优势在于分割了管理和业务,底层服务器具体使用2/4/6端口实际上还是和核心数量无关的,看的是接入交换机的类别划分。不论底层怎么进行接入,实际上来说核心层都是只划分管理和业务的
-
在图中,管理区的管理TOR指的是OpenStack的管理流量,OBS区指的是存储(OceanStor Partific或者是OBS存储或者是物理存储)业务的接入,提供存储空间
-
业务区的管理TOR指的是OpenStack的被管理流量,也就是规划中的Cascaded流量,业务TOR就是转发实际的业务流量的,存储TOR是服务器使用存储空间的接入
2. 单核心和双核心组网
组网设计需求
(1)单核心
核心交换机:必须是2台,不然不构成单核心的需求,2台做堆叠
接入TOR:根据服务器的数量决定,至少是1组
外部接入TOR:需要使用CE系列交换机或FM交换机,一般建议使用华为CE6800系列
数据库存储TOR:如果有部署云数据库业务则需要进行选择,数量按需配置
管理墙:主要负责外部接入管理的安全,可以不配置,但是属于非标准化,至少需要1台,标配2台主备
运维墙:在特殊场景下专门给运维接入使用的防火墙,保障安全使用,主要是负责给长线运维的(华为远程接入运维服务,需要单独购买)
BMC-TOR:分为了两个部分,一个是服务器BMC接口的接入,受限于BMC接口数量比较多,所以一般还需要配置BMC的汇聚
存储TOR:负责存储设备或者是分布式存储的接入,提供存储空间,如果设备数量比较多,也需要存储汇聚交换机
①单核心组网-计算节点2网口
运维管理模块:华为云全球运维中心,通过IPSec VPN接入到私有云,进行运维使用,流量通过华为云运维中心发起,转发到运维墙,运维墙选配堡垒机,保护内网安全,流量会转发到BMC汇聚交换机,然后转发到具体的BMC的接入交换机,最终到达实际的服务器底层,进行运维维护
需要注意的是,BMC的汇聚还需要连接到核心交换机,用于内网运维使用。BMC的汇聚交换机还要接入管理区TOR,用于HCS平台管理使用。所以综合总结华为云——运维墙——BMC汇聚——BMC接入(远程运维,BMC接入)——BMC汇聚——核心(内网运维 底层,BMC接入)——管理TOR——核心(HCSD安装部署维护使用)
管理业务模块:管理业务模块流量转发为管理节点——管理区TOR——核心——业务TOR——业务节点,流量从管理节点出发,发送的是Cascading,OpenStack管理区流量,流量通过以上路径到达业务节点之后,业务节点反馈Cascaded流量,进行HCS管理流量的拉通
(1) 计算节点:计算节点2网口,要求管理+业务+存储合一,但是需要注意这种模式对于网络接口的流量压力是非常大的,所以一般来说计算节点2网口模式只适用于2种场景,第一种就是网络流量压力不大的测试场景,第二种就是客户预算不足的情况,这种情况下为了保证正常使用,我们推荐计算节点的网口至少要配置25GE网口
(2) 存储服务器
传统存储或OBS:管理、存储,管理负责接入ManageOne,存储负责提供空间,尤其是EVS云硬盘服务和OBS对象存储服务
NAS存储:NAS存储是外部存储,HCS没有管理权限,所以接入HCS的NAS只需要连线存储线即可
eBackup:华为备份容灾节点,一般来说eBackup是以虚拟机的形式部署在HCSD上的,但是如果是物理机部署,就会涉及管理、业务、存储三方接入,管理负责对备份容灾进行业务管控,业务负责接收备端Agent的流量,存储负责将要备份的介质的数据转发到存储空间
IPSAN业务:三方扩展存储使用,只提供存储空间,管理由外部进行管理
(3) BMGW:裸金属网关,负责裸金属服务器的流量转发使用,管理+业务(BMS流量转发使用)
(4) BMS:裸金属服务器
接入模式1:如果BMS接口数量比较多,可以选择存储、业务分设,这种情况下管理是依赖外部管理的,BMS以资源的形式添加进HCS
接入模式2(常用):管理+业务合设模式,存储需要BMS自己提供或者是使用SAN存储的空间
(5) SFS:文件共享服务,管理、业务,业务指的就是存储空间的提供,SFS可以单独对外提供服务(网盘),那么SFS单独对外的时候,不能通过业务TOR和核心交换机路径转发,需要单独的SFS进行提供,另外SFS后端还需要专门的TOR进行维护
(6) DEW数据加密服务:管理、业务
网络节点接入方案1:管理+存储、业务、存储
其中网络节点管理——存储合设,因为网络节点对于存储空间的使用是比较少的,占用的存储空间并不多,所以和管理流量合设,业务流量(网络转发流量)是单独使用端口的
存储流量并不是管理+存储流量,网络节点的管理+存储流量是网络节点自己使用的存储流量,而单独的存储流量是转发的存储流量,也就是对外提供存储服务的流量,比如SDRS的流量
网络节点接入方案2:管理、业务、存储
这种方案的实现相比于方案1的区别在于网络节点实际上并没有使用外部存储空间,这就要求网络节点服务器使用自身的存储空间,业务流量和存储流量没有变化
OBS模块
OBS根据版本实际上连接方式是有区别的,目前常用的是OBSv3。OBSv3由LVS和Node两个部分组成,其中LVS负责整体业务层面的负载均衡,Node负责的是实际的空间提供和数据存储
OBS_LVS,OBS负载均衡2节点,主备,管理+业务合设,因为整体流量不高,基本以请求为主,不涉及数据传输
OBS Node负责实际数据存储,所以分为了业务、管理+存储+业务,实际上Node分为了两种模式,一种是合设,管理、业务、存储共有一套端口,另一种是业务提供,即提供存储空间对外
Spine区域
管理墙负责整体管理流量进行安全性检测,同时SSL网关也是在管理墙上,负责外部远程接入,正常情况下,外部和内部的连接都需要遵循外部——出口PE——核心——管理墙——核心——业务TOR
非正常情况下(站点连接,即区分总部站点和分区站点)企业多站点互联可以使用外部接入TOR直接连接核心到业务TOR。因为非正常情况下,业务流量不过管理墙,所以一般适用于由互信的情况下,比如3DC,总部-分支站点连接的情况
②单核计算节点-4网口
运维区、接入区和2网口模式相同,不再赘述
单核心情况下,不论是多少接口,变化的只有业务区,其他区域不会有任何区别。相较于2接口而言,4接口会将存储流量进行单列,因为在实际的HCS业务中,管理和业务流量本质上都不是特别高,流量主要是以存储流量为主。所以4接口模式下,一般都会分配一组端口专门用于跑存储流量使用,所以也会有专门的存储TOR交换机
数据库存储模块
数据库存储模块主要是包含两个内容,一个是数据库存储服务器,本质上是华为分布式存储,也可以使用IPSAN存储,但是一定要保证单列存储,不共用。为了保证数据安全
数据库存储需要连接管理接口到管理区TOR,存储接口连接专门的数据库存储TOR,其和业务区的存储TOR是隔离的,用于在使用数据库(特指GaussDB系列服务)的时候,是通过专门的数据库存储TOR连接数据库存储的
流量路径为:用户——出口PE——核心交换机——业务TOR——计算节点(前端与后端的区分点)——数据库服务器——存储TOR——数据库存储TOR——数据库存储服务器
系统容器层
容器服务是一个单列服务,不依赖于ECS计算节点和BMS计算节点,HCS部署容器服务是需要分配单独的物理服务器的,用于构建CCE云容器服务以及相关的配套服务,比如SWR......容器和数据库存储服务是部署在一起的,两者共用数据库存储TOR。因为云原生微服务框架下,容器的部署和业务的提供需要大量使用数据库服务提供记录支持,所以将两个业务放在一起,可以有效的减少业务访问延迟
容器业务分为管理+业务、存储,管理业务还是接入到业务区TOR,存储就依赖数据库存储TOR连接
计算节点在4接口模式下,会将流量比较高的存储单列,分为管理业务、存储进行设计
网络节点不受到计算节点接口数的影响,网络节点在4接口模式下根据实际情况进行设计,图中目前是管理、业务、存储分设
存储服务器就分为了管理、存储,存储服务器的业务就是存储所以存储服务器本身就只需要最多4接口即可
NAS和2接口相同,只提供业务,管理通过外部实现
ebackup同2接口模式,接口数量不受限,至少需要6接口(ebackup在实际交付阶段,使用2接口甚至是1接口也能使用,但是非常不建议因为流量太大,会导致进程严重卡死)
③单核计算节点-6网口
在6网口情况下,本质上大部分的内容和2网口4网口没有很多的区别,因为单核心其实就已经决定了网口的功能分布,只是计算节点根据业务量的大小和存储数据量的大小进行划分。在这个前提下,6网口一般是适用于业务量比较高的场景,这种场景对于存储的需求同样也是比较高的,所以我们需要通过海量存储设备实现对于业务的底层支持,这种情况下就需要通过存储汇聚方案进行实现,需要注意的是,存储汇聚方案是可选的,并非必选,我们可以按照2网口或者4网口的模式进行业务提供,存储汇聚更多情况下是为了面对海量数据的计中管理所设置的
在6网口模式中,首先数据库存储区没有发生比较大的变化,和4网口模式是相同的。相较于前面两种情况,6网口新增了存储光交,即我们进行通信的时候,后台存储SAN网络需要通过光纤交换机进行业务提供,而并非传统的数据中心交换机或者是CE系列交换机
为什么只有存储设备才需要光交呢?光通信的优势在于2个点,第一个是存储光网络可以保证在数据传输的过程中,绝对不丢包。对于海量数据传输的大规模场景是非常适用的;第二个是存储适用光网络可以单次传输大包,更适合我们进行海量数据的一次性传输(传统以太网络单个包的大小是1506bit,选择使用FC-SAN之后,可以通过开启FCoE,将单包大小拉到9000bit,所以在大规模场景下,选择FCSAN搭配FCoE是更合适的)
存储业务FCSAN网络对外提供的是基于光的网络传输,SAPHANA是基于存储的备份管理软件,安装在单独的服务器上,所以SAPHANA需要连接存储、业务和管理网络
计算节点在6网口情况下,需要管理、业务、存储分布,这种模式对于业务的整体使用时安全且高性能的,但是同时成本就会达到最高
网络节点配置2网口和4网口
其他所有相关节点的连接都没有发生变化,同2网口和4网口
④单核心组网(总结)
运维区
(1) 运维墙:提供华为全球云运维中心接入流量的安全保证
(2) 堡垒机:防止外部恶意攻击流量对内部产生冲击
(3) BMC模块:由于华为云运维中心底层时需要连接到HCS服务器底层的BMC的,所以分为了BMC汇聚和BMC接入,服务器连接到BMC接入,海量端口接入后,BMC接入交换机还要将所有的BMC流量统一集成到BMC汇聚交换机
(4) 管理TOR(底层管理):主要是负责外部接入和内部连接共用的,外部连接通过BMC汇聚连接到BMC接入,内部运维人员管理是需要通过核心——管理TOR——BMC接入进行管控的。即对外管理TOR可以让华为云接入到ManageOne平台,对内则时内部运维连接到BMC使用
核心层
(1) 出口PE:出口交换机,负责外部和内部连接,这里的连接主要是涉及业务接入使用
(2) 管理墙:负责对外部输入的流量进行检查,一般以旁挂墙的形式出现,外网进入的流量,通过PE——核心——管理墙——核心——业务区的流量路径进行转发,内部反馈给外部的流量就不需要通过管理墙,直接以业务区——核心——出口PE的形式反馈。旁挂墙可以有效地提升安全性,同时降低数据安全筛查的延迟
(3) SSL网关:SSL网关是以功能的形式部署在管理墙上的,并非单独的设备实现,主要负责外部特殊应用的接入
(4) 核心交换机:DC网络中承担的角色是Spine,负责对所有HCS中的南北向流量进行转发
接入方案
-
接入方案1:PE交换机接入,主要是通过公网连接私网,一般用于混合云、VPN、对等连接等场景使用,即外部不可信场景下,通过该方案进行云上云下的连接
-
接入方案2:由于接入方案2是不通过防火墙的,所以一般是用于可信环境的连接,比如多云站点之间的连接,尤其是3DC场景或者是总部分站点的连接场景
业务区
(1) 业务TOR:在计算节点2接口的条件下,因为接入接口过少,所以不对交换机的角色做区分,统一接入到业务TOR交换机
(2) 管理/业务TOR:主要用于4接口和6接口场景,负责将节点的管理/业务接口或管理和业务接口接入到网络中,和运维区的管理TOR不同的是,运维区的管理TOR是对硬件设备的管理,业务区的管理/业务TOR是针对于HCS平台的管理。业务就是实际的使用过程中需要承载的数据和流量
(3) 存储TOR:存储TOR用于4接口或6接口模式,承载的是通过存储流量,即计算节点使用存储空间时,需要跨网络读取的存储数据。需要注意的是业务区的存储TOR主要是负责分配传输通用存储的,会涉及到IPSAN和分布式存储的空间。主要提供的云服务为EVS云硬盘服务
(4) 数据库存储TOR:负责连接数据库专用存储的,因为数据库中的数据重要性和安全性要求都异常的高,所以不可能使用通用的IPSAN存储空间进行混用,必须专用。因此我们专门需要数据库存储搭配TOR
系统容器:系统容器和数据库存储需要连接到相同的数据库存储TOR中,注意该项是强制项,必须按照该模式进行设计,因为海量的云原生业务实际上都需要搭配后端数据库服务进行数据的存储,将数据库存储和容器业务连接到相同的数据库存储TOR上非常有利于容器的快响应
(5) 存储光纤交换机
FCSAN:该模式只在6网口中选配,因为6网口模式中,实际业务对于存储的要求会非常高,所以采用光纤通信可以保证绝对不丢包,同时可以通过开启FCoE模式提升单包传输效率
SAPHANA:需要连接FCSAN光交进行数据备份,将SAPHANA和FCSAN连接到相同的设备可以提升备份的速度,同时降低备份数据在网络中传递的距离,减少对其他正常业务的干扰
(6) 网络节点:不论在哪种情况下,都至少需要6网口,即管理、业务、存储分设,不允许做合设,保证网络流量和高阶网络服务提供的顺畅性
(7) 计算节点
2网口:管理、业务、存储合设为一组端口,成本低但是性能会受到比较大的影响,所以不推荐在大规模场景下使用,一般使用于测试环境中比较多
4网口:管理/业务、存储划分,管理/业务合设对于带宽的要求不高,因为本身管理流量并不大,可以进行合设。存储流量相对比较大,所以4网口将存储进行了分离
6网口:管理、业务、存储分设,最优方案,安全性和传输稳定性都是最高的,可以绝对保证系统顺畅,但是成本也是最高的
(8) 存储服务器:不论在哪种情况下,都需要4网口,2网口做管理(Device Manage),2网口做存储空间的提供
(9) NAS:由于NAS不包含在HCS的管理范围内,所以NAS存储空间是需要通过外部管理的,HCS接入只有一组业务线(存储线)
(10) eBackup:不区分情况,需要3组线进行连接,分别是备份容灾管理、备份容灾业务、存储,其中备份容灾的管理主要是控制业务的创建、启停等备份容灾的生命周期的操作。备份容灾业务主要是接收Agent代理端发送的被备份端的数据。存储线是ebackup将数据转存到存储设备的网络路径
(11) IPSAN:主要分为两个网络,一个是存储网络,直接连接业务区,另一个是管理网络,物理接口直接开启Device Manage,这个接口是连接到运维区的管理TOR的
(12) BMS模块
BMGW:裸金属网关,负责裸金属服务器的南北向流量转发,需要4个网口进行连接,管理和业务
BMS服务器:如果BMS自带存储,那么就连接管理、业务两组线,如果BMS使用的是EVS云硬盘,那么就需要管理、业务、存储三组线
(13) SFS模块:SFS文件共享分为,主要是提供CIFS或NFS或FTP服务,如果是分布式存储提供SFS服务,那么就连接管理线、业务线、存储线。如果是外部SFS对接到HCS的,那么涉及外部管理,HCS内部不连接管理线,主要是提供存储空间。当SFS以网盘的形式对外提供服务的时候,就只对外连接存储线
(14) OBS-TOR:主要是负责OBS接入使用的,OBS作为外部接入的高阶云服务,不需要HCS内部进行管理,是外部管理模式(底层管理,搭建、运维),OBS只提供使用管理即Device Manage相关的服务,如存储空间分配,配额,空间使用等。OBS的LVS只提供管理+业务合设,OBS的存储节点提供的是管理+业务+存储合设(这里合设是因为OBS的组成是集群的,管理和业务流量消耗并不大,可以简单理解为存储独享,再加上分布式集群的模式,可以满足使用需求)
(2)双核心
单核心和双核心的区别就在于核心层面即Spine层面上需要几组核心交换进行连接,如果用户的业务量比较大,我们是推荐使用双核心组网,将管理和业务进行分离
和单核心不同的是,双核心组网没有2网口和4网口模式,起步就是6网口模式,因为双核心本身业务量就是比较大的,在核心已经区分了管理和业务的前提下,就不能考虑底层做低配。必须要按照顶配的思路进行设计,所以双核心就是目前HCS的最高配置方案
运维区相较于单核心,本身没有发生变化,还是遵循华为云全球运维中心-运维墙-堡垒机-BMC汇聚-BMC接入的转发流程,但是区别在于双核心场景下,出口PE会连接一条线到运维墙(该线按需配置)
-
管理区新增管理核心之后,所有负责管理相关的设备和流量都要转发到管理核心,尤其是管理墙进行安全保证的,所有的管理区TOR,不论底层还是HCS的管理TOR都需要接入管理核心,管理流量在双核心场景下,正式完全独立。包括外部SSL接入也是通过管理墙接入到管理网络中
-
业务区所有的流量都要接入到业务核心,业务核心下辖数据库存储TOR、业务TOR、存储TOR、存储光交网络
-
相较于单核心网络,双核心网络的业务区整体功能设计非常简单,因为交换机已经全部按功能独立开了,所以交换机TOR至少有三个类型,分别是管理TOR,业务TOR,存储TOR。底层服务器计算节点6接口,6接口就分为三组,接入到三组TOR中。其他的所有设备的连接,均遵循单核心原则
单核心组网中,多region是以每个region各自拥有管理业务核心进行对接的方式连接的。但是在多核心中,因为管理业务核心分布,所以双核心场景中,每个region只有业务核心,管理核心统一,便于一套管理核心对多个region进行统一管理
-
针对于该情况,我们有两种部署方案,第一种就是将管理区放在主站点上,第二种就是使用3DC模式,将管理区独立站点部署。对于大规模部署的场景,我们一般是建议选择后者,即独立部署管理区,这样做更有利于安全性保证。最终实现两个生产站点+1个管理站点的模式
多region模式下,如果两个站点都是独立站点,那么就每个站点各自有关联核心和业务核心,管理核心之间互联,业务核心之间互联,保证管理和业务核心网络之间的连接
3. 三层组网
三层组网必须是单核心模式
三层组网分为了leaf接入节点,spine转发节点以及border leaf节点。该方案的优势在于减少了二层域,可以有效隔离广播流量,提升系统效率。另外整体成本比较低,可以进行灵活扩展。第三就是三层组网可以在现有DC网络上做最小化改造即可进行部署,对现有业务的影响比较小。最后三层组网对管理平面和业务平面没有隔离需求。所以部署难度也非常低
由于三层组网是单核心,所以仍然存在2网口、4网口、6网口的组网模式。我们在进行划分的时候,需要注意底层要根据需求分配足够的leaf节点,满足网络接入的需求
在2网口模式下,运维区、出口PE、管理墙和单核心网络没有区别。服务器设备根据功能的不同,需要连接到不同的设备,不能做混接。所以网络节点,需要连接网络节点leaf,存储设备连接存储节点leaf,计算节点连接计算节点leaf。即每种不同的功能需要分配单独的leaf交换机进行连接,全部隔离
4网口模式下,除了计算节点根据区别,划分为存储、管理/业务网络之外,其他所有模式都和2网口没有任何区别
6网口模式下,除了计算节点根据区别,划分为存储、管理、业务网络之外,其他所有模式都和2网口没有任何区别
4. 灾备组网和云联邦
(1)灾备组网
①高可用性组网,单核心场景下,直接在两个站点中设置一个三方仲裁站点,两个站点同时连接到仲裁,并且连接到对方。一旦出现问题,则由仲裁站点进行判断,进行业务切换
②双核心场景下,仲裁站点通过接收两个站点的管理网络发送的心跳信息,进行业务在线判断,一旦其中一个站点出现问题,那么仲裁会发送消息到另一端的管理网络,要求该端拉起业务,保证业务连续性,同时仲裁站点还会记录故障时间,和当前情况,便于后续生产站点恢复之后,进行业务的还原
③两地三中心场景下,仲裁负责的是本地生产和本地灾备站点的主备切换,CSDR服务中包含的容灾,则是通过业务核心进行数据的远程复制,从生产站点或者是灾备站点复制到异地灾备站点
④双核心场景下,两地三中心需要仲裁站点连接本地生产和本地灾备,同单独CSHA场景。但是包含了CSDR容灾之后,就需要异地灾备站点的管理核心和业务核心同时连接本地生产和本地灾备的管理核心和业务核心。不论客户最终使用串联3DC还是并联3DC模式,线都是要连接好的。因为这种大规模的DC建设必须要做好客户需求变更的设计冗余,不要在初始化设置的时候就只做满足用户基本需求的设计,而是需要做好冗余设计,便于后期用户修改需求
(2)云联邦
云联邦主要是针对于云间网络进行的设计,云间网络包含管理网和业务网两个模块
-
管理平面主要承载云间管理数据,包含认证鉴权、业务管理、运维管理等
-
业务平面主要承载业务交互数据,例如灾备场景的数据同步、业务软件间的接口调用等
云联邦网络设计基准
-
用户对网络性能需求高,那么就使用专线,如果用户穷,就用普通网络
-
网络安全需求高,则专线+VPN,其他情况选择普网+VPN
-
网络质量要求高,则根据需求选择,如果客户只是需要高带宽,普网和专线区别不大。如果对可靠性和延迟要求极高,那么一定专线
-
预算
如果不使用任何专线,那么就直接配置IPSec VPN进行连接
如果全专线,可以和华为定制接入方案
