交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
随着云计算、虚拟化、软件定义等技术在金融数据中心内开始落地部署并逐渐成熟,计算、存储、网络从传统架构下的独立建设且各自运维的模式,向云计算架构下的统一调度、统一运维的模式演进,从而使得云网协同成为金融数据中心建设的潮流和趋势。
在传统网络架构中,网络缺乏统一的控制平面,该架构下云平台缺乏对网络统一调度的手段,云、网难以协同,自动化程度弱,网络被动响应业务系统。而软件定义网络(SDN)通过控制器实现对网络的统一配置,从而为云网协同提供了有效的机制。
云数据中心部署网络、SDN控制器、云平台、虚机管理平台(可集成于云平台),通过控制器与云平台和虚机管理平台对接的方式,实现云网协同。实现云平台统一管理计算、存储和网络资源。在云网协同的场景下,云数据中心通常采用水平分区、垂直分层的设计思路,并根据金融数据中心对业务应用安全性的要求(业务应用划分为内网业务和外网业务),将数据中心划分为内网资源池和外网资源池。
资源池划分
内网资源池即开放平台业务服务,根据不同用户的业务系统安全级别和x86服务器规模,将开放平台业务服务划分一个或多个Fabric,每个Fabric内,业务应用通过不同VPC进行安全隔离防护。
外网资源池即DMZ业务服务,可将互联网区DMZ服务和外联网区DMZ服务统一规划为一个Fabric。互联网DMZ业务服务和外联网DMZ业务服务划分不同VPC进行安全隔离防护。其中,外联网DMZ可能存在多个VPC,比如人行外联DMZ业务服务,监管机构外联DMZ业务服务等(不同用户规划上略有不同)。并且原则上外网资源池内各个VPC无互访关系。
内外网资源池分别建立物理隔离的云分区,从而实现流量物理隔离,使业务系统更加安全。
内外网资源池内采用Spine-Leaf架构,EVPN+VXLAN分布式架构部署Overlay网络,按需虚拟化出多个网络资源,对应不同的业务逻辑分区。内外网资源池内部署南北向安全资源池(旁挂Border leaf上)和东西向安全资源池(可旁挂Border leaf上或者Service leaf上),本文采用东西向和南北向安全资源池全部旁挂在Border leaf上的统一建设模式,来简化网络部署。Border leaf配置Public VPC和业务逻辑分区VPC,业务逻辑分区VPC间的通信均需经过Public VPC进行统一中转。
基于内外网业务服务安全隔离的要求,需要保证内外网流量的物理隔离,因此需要部署两套核心交换机:内网核心和外网核心,来分别实现承载外网业务流量和内网业务流量。
外网核心承载的流量范围:互联网、外联网、外网资源池等业务区域
内网核心承载的流量范围:广域网、运维区、内网资源池等业务区域
流量模型
南北向流量:
用户将依次经过外网核心、外网资源池、内网核心和内网资源池,实现业务访问。整体流量走向如下:
如果进一步细分到资源池VPC的路径为(以互联网区为例):从互联网区→ Public VPC(外网资源池)→ 互联网DMZ VPC(外网资源池)→ Public VPC(外网资源池)→ 内网核心→Public VPC(内网资源池) →安全资源池(内网资源池)→ 开放平台业务区(内网资源池)
东西向流量:
外网资源池中各个VPC间不存在互访关系,故不存在东西向流量。内网资源池间存在东西向流量。
流量走向:开放平台业务一区→Public VPC→安全资源池→ 开放平台业务二区
某城商行采用了锐捷的网络云数据中心SDN架构方案,构建了云网协同的新数据中心网络架构,通过SDN控制器按需、动态地构建网络资源池,协同OpenStack云平台实现计算、存储和网络资源的联动,实现了业务敏捷发放、资源共享。