现状:金融行业传统虚拟化环境中,有多种网络需求。业务网络、备份网络、VMware管理网络、带外管理网络(BMC)、NAS网络(用于文件共享)、FC存储网络。
问题:云环境下,大量使用万兆IP网络,大大提升了传输带宽与效率。传统分开部署的基于千兆的网络是否可以合并? 业务网络、备份网络、VMware管理网、IP存储网络(包括NAS存储、分布式存储、超融合存储),这四种网络是否可以合并到2根网线中?
云环境是分布式系统,从技术角度这些网络需求是将各类流量隔离,清晰一些区分大致就是管理、控制、数据三类,重要程度依次递增。管理和控制平面具有全局性,数据平面根据承载业务安全级别不同也有可能再细分。所以从安全和故障隔离角度这些流量都应该独立设计才能更好的提供可用性。这里的隔离可以是逻辑或物理,不管千兆、万兆,还是光纤、双绞线都是物理层面的,本质就是个带宽和传输质量的区别,根据实际需求选择即可。如果各类型流量都很小,在不考虑安全隔离前提下,万兆融合没问题,否则会由于某类流量徒增影响其它流量。比如vmotion很容易把万兆打满,除非应用层流量qos。
比较好的实践我觉得是管理平面和控制独立万兆,vlan或vxlan逻辑隔离,比如带外、vmkernel管理、vmotion;数据平面独立万兆,vlan或vxlan逻辑隔离,诸如备份、存储ip这种大流量的也建议单独物理网络,否则就要设计复杂的qos。不同安全级别的业务流量要逻辑隔离,比如等保三为边界。逻辑隔离好处是,根据带宽需求可以很容易的进一步物理隔离。所以最低要求也是只用两根万兆,也尽量把不同流量逻辑隔离。
收起不建议全部合并,部分合并可以,像业务网络和“管理类”网络就不建议合并,业务专门走业务的网络,无论你这个是万兆还是千兆,管理专门走管理的网络,像备份网络、VMware管理网、IP存储网络就可以合并。
收起不能合并。
首先,监管不同意。
另外,不同的网络承担的传输内容、传输质量、带宽、安全要求等都存在差异,在同一个网络中的话,相互之间会相互影响,甚至造成业务的无法正常运行。也容易在出现故障时,增加排查难度。
在云平台下,由于万兆网络的接入,确实带宽有个大幅度提升,为了提升网卡使用率和降低交换机的数量,确实有不同网络平面复用的诉求。此时需要做好网络隔离,不同的网络平面要属于不同的vrf。同时考虑一下带宽不要相互影响,比如分布式存储的网络流量就不联系和业务网共用网卡,这样避免大流量的存储数据拷贝,影响业务。
收起fc不用整合,从经济性考虑,纯fc网络并不比10g的FCoE贵,且性能更好。
NFS,vSAN等的IPSAN网络通常使用巨型帧MTU9000,不太适合与业务网络整合
剩下的业务(如分为内部、外联、dmz、mgmt等多个区域),管理网络可以使用网卡NPAR技术拆分后提供给宿主机操作系统,对外汇聚到10G交换机后再通过防火墙分接到各自安全区域。如此一来宿主机成为了各个业务区域的中心。
日常管理中要严格控制vm同时连接多个区域网络,人为打通原有网络隔离。
先确定一个方向,这几种网络从技术类型就是IP网络和FC网络,所以先考虑如何去掉FC网络。
FC网络都是为基于FC-SAN存储设备的,可以代替的方案在近几年纷纷涌现:采用RDMA over Ethernet技术来构建存储网络,采用分布式存储来代替集中式存储,这种架构在云计算厂商以及得到大量应用,性价比远超传统FC方案。
其次,NAS网络、备份网络等归属于存储网络,通常建立一个专有的存储网络,采用10GB/25GB/100GB来满足性能要求;而业务网络、Vmware网络等属于业务网络,千兆/万兆通常可以满足需求。这两个网络基于SDN技术来进行网络分段、IP地址分配管理,通过SDN来满足网络在配置和改动上的灵活性要求,基于DVR/OVS等SDN实现机制也确保了网络规模化建设的要求。
一句话,基于IP网络。采用SDN可以来简化网络的规划和建设。
收起