干货!一文了解金融数据中心云网协同的资源池分区网络架构
发布时间: 2021-10-09

随着云计算、虚拟化、软件定义等技术在金融数据中心内开始落地部署并逐渐成熟,计算、存储、网络从传统架构下的独立建设且各自运维的模式,向云计算架构下的统一调度、统一运维的模式演进,从而使得云网协同成为金融数据中心建设的潮流和趋势。

在传统网络架构中,网络缺乏统一的控制平面,该架构下云平台缺乏对网络统一调度的手段,云、网难以协同,自动化程度弱,网络被动响应业务系统。而软件定义网络(SDN)通过控制器实现对网络的统一配置,从而为云网协同提供了有效的机制。

云数据中心部署网络、SDN控制器、云平台、虚机管理平台(可集成于云平台),通过控制器与云平台和虚机管理平台对接的方式,实现云网协同。实现云平台统一管理计算、存储和网络资源。在云网协同的场景下,云数据中心通常采用水平分区、垂直分层的设计思路,并根据金融数据中心对业务应用安全性的要求(业务应用划分为内网业务和外网业务),将数据中心划分为内网资源池和外网资源池。

资源池划分

内网资源池即开放平台业务服务,根据不同用户的业务系统安全级别和x86服务器规模,将开放平台业务服务划分一个或多个Fabric,每个Fabric内,业务应用通过不同VPC进行安全隔离防护。

外网资源池即DMZ业务服务,可将互联网区DMZ服务和外联网区DMZ服务统一规划为一个Fabric。互联网DMZ业务服务和外联网DMZ业务服务划分不同VPC进行安全隔离防护。其中,外联网DMZ可能存在多个VPC,比如人行外联DMZ业务服务,监管机构外联DMZ业务服务等(不同用户规划上略有不同)。并且原则上外网资源池内各个VPC无互访关系。

内外网资源池分别建立物理隔离的云分区,从而实现流量物理隔离,使业务系统更加安全。

内外网资源池内采用Spine-Leaf架构,EVPN+VXLAN分布式架构部署Overlay网络,按需虚拟化出多个网络资源,对应不同的业务逻辑分区。内外网资源池内部署南北向安全资源池(旁挂Border leaf上)和东西向安全资源池(可旁挂Border leaf上或者Service leaf上),本文采用东西向和南北向安全资源池全部旁挂在Border leaf上的统一建设模式,来简化网络部署。Border leaf配置Public VPC和业务逻辑分区VPC,业务逻辑分区VPC间的通信均需经过Public VPC进行统一中转。

基于内外网业务服务安全隔离的要求,需要保证内外网流量的物理隔离,因此需要部署两套核心交换机:内网核心和外网核心,来分别实现承载外网业务流量和内网业务流量。

外网核心承载的流量范围:互联网、外联网、外网资源池等业务区域

内网核心承载的流量范围:广域网、运维区、内网资源池等业务区域

流量模型

南北向流量:

用户将依次经过外网核心、外网资源池、内网核心和内网资源池,实现业务访问。整体流量走向如下:

如果进一步细分到资源池VPC的路径为(以互联网区为例):从互联网区→ Public VPC(外网资源池)→ 互联网DMZ VPC(外网资源池)→ Public VPC(外网资源池)→ 内网核心→Public VPC(内网资源池) →安全资源池(内网资源池)→ 开放平台业务区(内网资源池)

东西向流量:

外网资源池中各个VPC间不存在互访关系,故不存在东西向流量。内网资源池间存在东西向流量。

流量走向:开放平台业务一区→Public VPC→安全资源池→ 开放平台业务二区

某城商行采用了锐捷的网络云数据中心SDN架构方案,构建了云网协同的新数据中心网络架构,通过SDN控制器按需、动态地构建网络资源池,协同OpenStack云平台实现计算、存储和网络资源的联动,实现了业务敏捷发放、资源共享。

 

锐捷互动
搜索“锐捷互动”
或扫码关注
随时了解公司动态