文档首页 > > 产品介绍> 产品架构>

网络架构

网络架构

分享
更新时间:2021/01/28 GMT+08:00

HCS Online解决方案的网络采用“扁平化”架构设计,内部交换结构简单明了。对于服务器和存储的基础设施,网络划分为核心层和接入层。

图1 HCS Online网络架构
组网按照逻辑功能划分为五大区域:
  • 互联网出口区(可选):主要功能是对接Internet线路和接入网络。
  • 网络服务区:提供流量统计、防火墙、负载均衡、VPN等增值服务。
  • 管理区、计算区和存储区:是实际业务所在区域,结构类似,都是服务器连接接入交换机。

各个区域通过核心交换机进行互联,核心交换机由2台或者2台以上高性能交换机组成,构成典型的二层CLOS架构:核心交换机与网络服务区、管理区、计算区、存储区的TOR设备组成典型的二层CLOS组网架构。TOR两两堆叠作为叶子节点,此部分根据网络规模大小选择不同适用范围的数据交换模型。所有物理服务器上行至TOR,TOR与核心交换机之间通过eBGP互联,核心交换机之间没有连接。

互联网出口区

互联网出口区主要功能是数据中心网络对接Internet线路和接入专线网络。

图2 互联网出口区

互联网出口区使用路由器与Internet网络进行互联,使用BGP协议(边界网关协议,Border Gateway Protocol )或者静态路由与外部网络进行互通。可靠性方面通过主备链路方式实现,即采用双线双链路接入,每线连接一个运营商,以此保证数据中心外联线路的可靠性。

Anti-DDOS(Anti-DDoS流量清洗)为可选设备,用于防止来自数据中心外部的DDOS攻击。Anti-DDOS设备旁挂在路由器上,路由器配置端口镜像将流量送入到Anti-DDOS检查设备进行分析。在路由器与Anti-DDOS设备之间配置动态路由方式,可对攻击流进行动态引流。Anti-DDOS使用策略路由回注方式将清洗的流量引入到路由器中,路由器上使用策略路由将清洗之后的流量牵引到数据中心内部,以保证数据中心内部的流量安全。

网络服务区

网络服务区包括远程接入VPN设备、业务流量负载均衡器和安全防护设备防火墙。

图3 网络服务区

防火墙隔离各个安全域,对安全域之间的互访进行权限限制。防火墙提供虚拟防火墙功能,为需要高安全需求的租户提供网络防护能力。VPN防火墙提供VPN功能,提供用户远程加密接入,维护和管理用户自己数据中心的资源。

负载均衡功能为租户的应用服务提供负载均衡能力。负载均衡设备提供虚拟负载均衡,各个虚拟负载均衡资源之间实现逻辑隔离。每个租户可以使用至少一个及以上的虚拟负载均衡资源,租户之间的数据配置互不影响。

多租户隔离

IT管理员将为每个租户部署专用的基础设施资源。在数据中心部署多租户共享的公共基础设施,能够优化资源利用率。要实现以较低成本合理利用资源,数据中心必须具备不同租户资源的隔离设计,以确保端到端的路径隔离,并满足租户的安全要求。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问