• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Solution/IndustrySolution/Electricity/Solutions/200911/654581_30004_0.htm

电力数据(容灾)中心解决方案

【发布时间:2009-11-06】

1        数据中心的发展趋势

数据集中为加强电力企业治理和管理,实现企业战略目标提供支撑和保障,尤其在电力市场环境下将对发电、输电和供电的安全生产和管理提供基本保障。同时,数据中心将极大加强基础数据综合利用和数据共享水平,有利于企业管理层和决策层对数据进行深度分析应用,为企业决策提供可靠服务;有利于提高企业市场竞争优势,提升管理水平。数据中心建设是企业信息化深层发展的必然趋势,也是电力企业信息系统整合的重点工程,成为电力企业在“十二五”期间信息化建设的重点任务。

随着“数据大集中”的信息化建设模式越来越普及,数据中心的建设被各行各业所重视,数据中心是数据集中后IT的核心支撑,成为企业数据计算和存储的集散地,同时数据中心也是IT技术应用最为密集的地方。IT架构正在经历从“以网络为核心”向“以数据为核心”的转变,数据中心高可用、融合、虚拟化、智能已逐步成为国内新一代企业数据中心建设的关注点。

u  高可用:数据集中也就意味着风险集中、响应集中,IT系统软硬件设备出现故障的情况几乎不可避免,业务的中断和数据的丢失将会对企业的运营产生致命的影响。因此,数据中心建设方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。

u  融合:数据集中也意味着复杂度的集中,随着企业业务的发展及新业务的开拓,数据中心的IT基础设施会越来越多,架构会越来越复杂。传统计算、存储、网络分离的基础设施,异构多层的网络架构,导致数据中心基础设施达到一定规模后扩展困难,TCO居高不下,无法适应企业业务发展的需要。现阶段各种融合的新技术(如LANSAN的融合、计算与存储的融合、网络与安全的融合)越来越广泛的部署到数据中心内。

u  虚拟化:虚拟化是新一代数据中心的典型特征,虚拟化的应用让业务的部署更灵活、业务的连续性更好、设备的使用效率显著提高,同时还能让数据中心更加绿色,TCO降低。随着服务器和存储虚拟化的应用越来越被认可,目前网络虚拟化的技术也成为数据中心建设与规划时关注的热点。

u  智能:数据中心的复杂度越来越高,传统依赖运维人员个人能力进行日常管理、故障排查将会越来越困难,一旦出现故障,定位问题和解决问题的时间也越来越长。因此各种新兴数据中心管理工具在应用越来越广泛,借助这些工具,可以得到图形化、直观的数据中心运营指标,系统出现故障后,可以快速的定位与解决问题。

2        电力数据(容灾)中心网络规划设计

网络是数据中心的基础,是电力企业信息化的底层承载平台。网络规划的合理性、可靠性将直接影响到未来业务系统的扩展与灾备。因此对于电力数据(容灾)中心网络的设计,应实现以下目标:

u  网络平台性能可扩展,以满足满足业务发展需求的目标:容灾中心网络平台具备高性能网络承载能力,能够保证业务系统对网络性能的要求。

u  网络架构具有弹性扩展能力的目标:网络架构需要能够承载数据级容灾、应用级容灾的要求,同时必须平滑过渡到今后网省数据中心的架构;网络架构具有足够的灵活性及可扩展性,在保证现有网络架构不做任何变更的情况下实现服务器虚拟化和资源动态调配;

u  严格按照等级保护要求进行数据中心的建设的目标:遵循电网公司总部等级保护的要求,并进行访问控制等等级保护的相关建设;

u  网络平台高可用性目标:保证依据高可用原则进行整体网络架构设计,协议选择和设备选型,满足业务系统对网络的高可用要求;

u  网络系统在具有先进性和成熟性:满足未来业务发展需求的目标。

u  数据中心网络设备具备良好的管理性:实现日常运维操作的可视化管理。

2.1数据中心内部网络规划设计

         数据中心内部网络的设计要求在于满足不同类型的服务器高可靠接入、高性能数据传输以及安全可控的访问。在数据中心内部,按照功能的不同,可以分为网络接入模块、核心交换区、服务器区三大部分。办公局域网、上下联及行业内外联网络将做为独立的模块接入到数据中心核心交换区,各部分网络的功能和职能更加明确,网络的安全边界也更加清晰。

         服务器区的网络设计是数据中心内部网络互联设计的关键,为保证业务系统的访问安全可控、分散风险、易于扩展,服务器区的设计采用模块化的设计思路,按照业务系统的分类进行分区设计。分区设计原则电网公司总部一般会有相关的指导文件,将网省生产中心分为多个大区,由于各部分区域的重要性不同,所以要求对不同区域之间进行访问控制。又可分为多个子区。这样的逻辑分区设计,可以很好的满足安全等级保级的要求

整体网络拓扑采用扁平化两层组网架构,从数据中心核心区直接到服务器接入,省去了中间的汇聚层,这种扁平化的网络结构有以下优点:

u  简化网络拓扑,降低网络运维的难度;

u  服务器区容易构建大二层网络,更适合未来的虚拟机大量部署及迁移;

对于数据中心的网络安全部署,可采用了“分布式安全部署”的策略,安全策略部署在区域出口位置(即服务器接入层),而不是集中部署在核心交换区。分布式安全部署有以下优点:

u  分散风险,当某个服务器区的安全设备或策略失效时,不会影响到其它分区;

u  提高性能,相比核心区集中式部署,分布式部署可以大大降低防火墙插卡的性能压力,提高整网的安全性能;

u  容易扩展,各服务器区的安全策略相对简单,区域之间松耦合,后续需要扩展新的分区时仅需要变更相关联的分区策略。

2.2数据中心间网络规划设计

数据中心间通常部署以下三种互联链路,每种互联链路所承载的数据不同,实现的功能不同,并且这三种链路在逻辑上相互隔离。

l  网络三层互联。也称为数据中心前端网络互联,所谓“前端网络”是指数据中心面向企业园区网或企业广域网的出口。不同数据中心(主中心、灾备中心)的前端网络通过IP技术实现互联,园区或分支的客户端通过前端网络访问各数据中心。当主数据中心发生灾难时,前端网络将实现快速收敛,客户端通过访问灾备中心以保障业务连续性。

l  网络二层互联。也称为数据中心服务器网络互联。在不同的数据中心服务器网络接入层,构建一个跨数据中心的大二层网络(VLAN),以满足服务器集群或虚拟机动态迁移等场景对二层网络接入的需求。

l  SAN互联。也称为后端存储网络互联。借助传输技术(DWDMSDH等)实现主中心和灾备中心间磁盘阵列的数据复制。

在上述三种数据中心间的互联链路中,二层互联网络非常关键,特别是对于双活灾备模式,二层互联必不可少,只有将两个数据中心的二层网络(VLAN)打通,才能够实现跨数据中心的服务器集群或虚拟机迁移(VMotion),才能实现业务层面的实时接管和负载分担,保证数据零丢失。

3        H3C电力数据(容灾)中心整体解决方案综述

基于H3C在数据通信领域的长期研发与技术积累,纵观数据中心发展历程,数据中心的发展可分为四个层面:

Ø  数据中心基础网络整合:根据业务需求,基于开放标准的IP协议,完成对企业现有异构业务系统、网络资源和IT资源的整合,解决如何建设数据中心的问题。数据中心基础网络的设计以功能分区、网络分层和服务器分级为原则和特点。通过多种高可用技术和良好网络设计,实现数据中心可靠运行,保证业务的永续性;

Ø  数据中心应用智能:基于TCP/IP的开放架构,保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级,满足用户的多变需求,保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。

Ø  数据中心虚拟化:传统的应用孤岛式的数据中心模型扩展性差,核心资源的分配与业务应用发展出现不匹配,使得资源利用不均匀,导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟化通过构建共享的资源池,实现对网络资源、计算计算和存储资源的几种管理、规划和控制,简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。

Ø  数据中心资源智能:通过智能化管理平台实现对资源的智能化管理,资源智能分配调度,构建高度智能、自动化数据中心。

整体网络拓扑采用扁平化两层组网架构,从数据中心核心区直接到服务器接入,省去了中间的汇聚层,这种扁平化的网络结构有以下优点:

     简化网络拓扑,降低网络运维的难度;

     服务器区容易构建大二层网络,更适合未来的虚拟机大量部署及迁移;

     服务器接入交换机未来的扩展可直接在现有的IRF虚拟组内添加成员交换机,扩展方便。

对于数据中心的网络安全部署,在本方案中采用了“分布式安全部署”的策略,防火墙形态采用了H3C SecBlade安全插卡,实现网络安全的融合。SecBlade FW插卡部署在服务器接入交换机上,而不是集中部署在核心交换区。分布式安全部署有以下优点:

     分散风险,当某个服务器区的安全设备或策略失效时,不会影响到其它分区;

     提高性能,相比核心区集中式部署,分布式部署可以大大降低防火墙插卡的性能压力,提高整网的安全性能;

     容易扩展,各服务器区的安全策略相对简单,区域之间松耦合,后续需要扩展新的分区时仅需要变更相关联的分区策略。

纵观整体方案设计与部署时共采用了IRF虚拟化、网络安全融合、智能管理三种H3C特有的关键技术,在保证数据中心的高可靠的同时,简化网络运维管理,同时提供了智能化的管理工具平台。下面将针对关键技术进行详细的介绍。

3.1解决方案关键技术

IRF虚拟化

l  IRF简介

以太网是广播性质的网络,一旦链路成环路很容易导致广播风暴,耗尽网络链路及设备资源。然而在传统的数据中心网络部署中,为了保证网络设备和链路的高可靠,往往通过引入双机热备、双链路双归属的冗余方式组网,引入MSTP+VRRP协议来实现链路和设备网关的热备,这种部署方式必然会带来网络环路和复杂度的增加。

IRFIntelligent Resilient Framework,智能弹性架构)是H3C自主研发的交换机虚拟化技术。它的核心思想是将多台物理设备虚拟化成一台“虚拟设备”,实现N1的横向虚拟化整合。使用这种虚拟化技术可以实现多台设备的协同工作、统一管理和不间断维护。

为了便于描述,这个“虚拟设备”也称为IRF。所以,本文中的IRF有两层意思,一个是指IRF技术,一个是指IRF设备。

l  IRF的优点

提高可靠性。IRF的高可靠性体现在多个方面:其一、IRF由多台成员设备组成,Master设备负责IRF的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证业务不中断,从而实现了设备的1:N备份;其二、IRF虚拟化设备可实现跨设备的链路聚合,与上、下层设备之间的链路聚合功能,多条链路之间可以互为备份也可以进行负载分担,从而进一步提高了IRF的可靠性;其三、IRF的成员设备切换和链路切换时间均为毫秒级,相比传统的MSTP+VRRP协议的秒~十秒的收剑时间,网络的故障自愈时间有了数量级的提升。

简化管理。IRF形成之后,用户通过任意成员设备的任意端口都可以登录IRF系统,对IRF内所有成员设备进行统一管理。此外,由于多台设备虚拟为一台设备,此时的网络逻辑拓扑简化为点到点的直连,消除了传统的组网环路,因此可大大简化乃至消除MSTP协议的部署,IRF设备对外表现为一个网关,也无需部署VRRP协议。同时,由于IRF进行了N1的横向整合,网络中设备的数量将大大减少,路由协议的邻居关系、设备Loopback地址、网络接口互连地址也会随之减少,达到节省网络IP资源并简化了网络运维的目的。

强大的网络扩展能力。通过增加IRF成员设备,可以轻松自如的扩展IRF的端口数、带宽。因为各成员设备都有CPU,能够独立处理协议报文、进行报文转发,所以IRF还能够轻松自如的扩展处理能力。

l  IRF组网应用

数据中心实际组网中,在部署IRF虚拟化整合之后,对上、下层设备来说,它们就是一台设备,数据中心网络从服务器网卡接入至汇聚、核心交换机,二层链路可实现端到端捆绑。IRF可部署在核心层、汇聚层和接入层,如下图所示:

网络安全融合

网络安全融合简介

数据中心是企业IT的核心资产,安全的要求在不断提高,在传统的数据中心网络安全部署时,往往是网络与安全各自为战,在网络边界或关键节点串接安全设备(FWIPSLB)。随着数据中心部署的安全设备的种类和数量也越来越多,这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。

H3C数据中心网络安全融合产品方案(SecBlade)可以很好的解决上述问题,SecBlade安全插卡(FWIPSLBSSL VPN等)可直接插在H3C交换机的业务槽位,通过交换机背板互连实现流量转发,共用交换机电源、风扇等基础部件。达到简化机房布线、节省机架空间、简化管理的目的。

H3C SecBlade插卡形态如下图所示:

l  融合部署优点

u  互连带宽高。SecBlade系列安全插卡采用背板总线与交换机进行互连,背板总线带宽一般可超过40Gbps,相比传统的独立安全设备采用普通千兆以太网接口进行互连,在互连带宽上有了很大的提升,而且无需增加布线、光纤和光模块成本。

u  减少单点故障。由于SecBlade安全插卡采用背板与交换机互连,所以互连线路可靠性高,不会存在互连线路故障点。此外,交换机的背板具备健康检测机制,在透明模式部署的安全插卡(如IPSACG)上可根据业务要求配置“二层回退”功能,当检测到SecBlade插卡出现故障时,交换机可直接对原来经过SecBlade安全插卡的流量进行旁路,使业务流不中断,避免设备级的单点故障。

u  业务接口灵活。SecBlade系列安全插卡上不对外提供业务接口(仅提供配置管理接口),当交换机上插有SecBlade安全插卡时,交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无需担心安全业务接口不够而带来网络安全部署的局限性。

u  性能平滑扩展。当一台交换机上的一块SecBlade安全插卡的性能不够时,可以再插入一块或多块SecBlade插卡实现性能的平滑叠加。而且所有SecBlade插卡均支持热插拔,在进行扩展时无需停机中断现有的业务。

l  网络安全融合组网部署

u  在实际的数据中心组网部署时,通过在汇聚接入交换机上部署FWLB插卡,可以让原本数据中心复杂分层的“蝶形”组网拓扑(如下图左侧所示)大大简化。同时启用虚拟防火墙的功能,将一块SecBlade FW插卡划分为多个实例分配到不同的服务器区实现安全访问控制,达到网络拓扑扁平化、减少物理布线连接、便于运维管理的目的,而最终实现的逻辑功能与左侧完全一致。

在此项目中,服务器接入区安全策略均采用SecBlade FW插卡的方式,部署在服务器接入交换机上,实际部署的逻辑结构如下图所示:

         服务器网关部署在接入交换机上,SecBlade FW插卡与接入交换机AccSwitchCoreSW之间运行OSPF路由协议,实现SecBlade FW插卡之间的冗余备份。所有外部服务器及用户与本服务器区之间的访问控制策略在SecBlade FW插卡部署,本服务器区内部若需要进行访问控制,可在接入交换机AccSwitch上通过ACL规则实现。

数据中心智能管理

l  网络基础设施管理

传统的网络管理平台大多只能对网络设备和组网拓扑进行管理, 不能提供如分区拓扑、机房机架等基础设施的管理,H3C iMC管理平台特别数据中心的特定需求,整合了数据中心网络分区拓扑管理、机房机架管理,这样可以更快的帮助运维管理人员定位数据中心网络基础设施问题。

数据中心分区拓扑管理。通过不同的窗体标识出不同的分区,与数据中心分区设计相对应。如下图所示:

机房机架管理。根据机房实际机架摆放情况,制定出对应的机房3D效果图,并对机架和实际设备进行绑定,当某机架出现告警或故障时,可以在3D图上通过不同的颜色标识,便于运维管理人员快速的定位问题。如下图所示:

 

 

虚拟资源管理

数据中心虚拟化技术的部署将越来越广泛,在虚拟化的环境下,运维的复杂度增加,H3C iMC数据中心基础管理平台可实现对IRF网络虚拟化及VMware服务器虚拟化管理。

IRF虚拟化管理。IRF虚拟设备在网络拓扑中呈现出一台设备,当进行点击展开后,可以显示出IRF虚拟组内的多台物理设备面板和相关的配置。如下图所示:

服务器虚拟机(VM)拓扑。可显示出一台物理服务器内的VMware虚拟机及vSwitch虚拟交换机拓扑,如下图中右侧方框内所示:

面向业务的流量报表分析

数据中心存在着各种关键业务和应用,如交易、财务、ERP、营销等,为便于实现IPIT的融合管理,需要将网络管理与业务管理的功能进行对接,拓扑图上不光可以显示设备信息,也可以显示服务器菜单运行业务及详细性能参数。另外,数据中心带来了新的业务模型,如1N(一台服务器运行多个业务)、N:1(多台服务器运行同一个业务)和NM(不同业务间的流量模型)。

H3C提供基于NetFlow/NetStream/sFlow等流量分析技术的分析功能,并将其统一按照核心业务进行流量分析,该功能可以直接展现基于业务的流量,贴近用户的真实环境。

应用性能监控

数据中心业务应用及系统监控管理方面,用户最关心的是业务系统的监控管理,目前通用的网络管理软件无法对用户多样的关键业务系统进行有效监控、管理和展现。H3C APM是一个全面的关键业务应用系统监控管理工具,能够在一个平台上对多个关键业务系统全面、高效、统一管理,是一种针对基于网络的业务应用系统和运营维护工具。实现在一个网络管理平台对数据中心业务的全局掌控。如下图所示:

3.2数据中心解决方案总结

H3C在数据中心解决方案特点总结:

高安全、高可靠、高性能、多业务、可扩展、异构融合、智能管理。

作为核心业务的承载体,数据中心的建设是一个系统工程,从分析、设计、建设、运维的各个声明周期都需要从需求分析入手,紧密结合业务特点,以优化整合业务流程、提高运营效率和竞争力为目标。

4结束语

随着电力企业业务的不断发展,未来的电力数据(容灾)中心肯定会越来越复杂、越来越昂贵。前期的规划设计非常重要,应该遵循严谨务实的原则,充分论证。在项目建设和实施中充分考虑建成后进行规范管理和维护,数据中心既不过于超前,又能满足企业当前和未来若干年业务发展的需要,使企业的信息化投入产生良好的效益。

联系我们