更新时间:2021-03-18 GMT+08:00
分享

网络架构

全栈专属服务的网络采用“扁平化”架构设计,内部交换结构简单明了。对于服务器和存储的基础设施,网络划分为核心层和接入层。

图1 全栈专属服务网络架构
组网按照逻辑功能划分为五大区域:
  • 互联网出口区:主要功能是对接Internet线路和接入网络。
  • 网络服务区:提供流量统计、防火墙、负载均衡、VPN等增值服务。
  • 管理区、计算区和存储区:是实际业务所在区域,结构类似,都是服务器连接接入交换机

各个区域通过核心交换机进行互联,核心交换机由高性能交换机组成。核心机框式交换机做集群,使用“多虚一”的技术,将多台交换机在逻辑上虚拟成一台交换机,提高设备冗余,只需要一个管理IP即可对设备进行管理。

互联网出口区

互联网出口区主要功能是数据中心网络对接Internet线路和接入专线网络。

图2 互联网出口区

互联网出口区使用路由器与MPLS承载网络(多协议标签交换,Multi-Protocol Label Switching)与Internet网络、DCN网络(数据通信网络,Data Communication Network)等进行互联。使用BGP协议(边界网关协议,Border Gateway Protocol )或者静态路由与外部网络进行互通,企业接入采用静态路由方式。可靠性方面通过主备链路方式实现,即采用双线双链路接入,每线连接一个运营商,以此保证数据中心外联线路的可靠性。

数据中心互联网出口区防火墙为可选组件,串联部署。串联防火墙工作采用路由模式,分为Untrust、Trust、DMZ和Management四个区域,各安全域通过域间策略控制安全访问。防火墙与出口路由器之间使用OSPF路由协议,动态学习内网发布的路由条目。

网络服务区

网络服务区包括远程接入VPN设备、业务流量负载均衡器和安全防护设备防火墙。

图3 网络服务区

防火墙隔离各个安全域,对安全域之间的互访进行权限限制。防火墙提供虚拟防火墙功能,为需要高安全需求的租户提供网络防护能力。VPN防火墙提供VPN功能,提供用户远程加密接入,维护和管理用户自己数据中心的资源。

负载均衡功能为租户的应用服务提供负载均衡能力。负载均衡设备提供虚拟负载均衡,各个虚拟负载均衡资源之间实现逻辑隔离。每个租户可以使用至少一个及以上的虚拟负载均衡资源,租户之间的数据配置互不影响。

多租户隔离

IT管理员将为每个租户部署专用的基础设施资源。在数据中心部署多租户共享的公共基础设施,能够优化资源利用率。要实现以较低成本合理利用资源,数据中心必须具备不同租户资源的隔离设计,以确保端到端的路径隔离,并满足租户的安全要求。

相关文档