一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法
【專利摘要】本發(fā)明公開了一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法�,包括以下步驟:(1)數(shù)據(jù)中心網(wǎng)絡(luò)采用大二層架構(gòu)設(shè)計(jì),通過大規(guī)模二層網(wǎng)絡(luò)和VLAN延伸��,實(shí)現(xiàn)虛擬機(jī)在數(shù)據(jù)中心內(nèi)部的大范圍轉(zhuǎn)移���;(2)采用虛擬交換機(jī)技術(shù)實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的故障隔離��;(3)數(shù)據(jù)中心網(wǎng)絡(luò)采用板卡延伸技術(shù)來接入交換機(jī)����,所述板卡延伸技術(shù)同時(shí)可以讓數(shù)據(jù)中心網(wǎng)絡(luò)感知到虛擬機(jī);(4)設(shè)計(jì)構(gòu)建物理上分離但邏輯上一體的跨數(shù)據(jù)中心網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)中心的互聯(lián)��,并基于所述跨數(shù)據(jù)中心網(wǎng)絡(luò)來建立分布式虛擬化的數(shù)據(jù)中心�;(5)數(shù)據(jù)中心的安全防護(hù)采用多層次的安全防護(hù),包括設(shè)備級(jí)的安全防護(hù)�、網(wǎng)絡(luò)級(jí)的安全防護(hù)、系統(tǒng)級(jí)的主動(dòng)安全防護(hù)����。
【專利說明】一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法,屬于電力系統(tǒng)信息化建設(shè)【技術(shù)領(lǐng)域】����。
【背景技術(shù)】
[0002]數(shù)據(jù)大集中之后����,企業(yè)的經(jīng)營(yíng)活動(dòng)越來越依賴于數(shù)據(jù)中心與網(wǎng)絡(luò)等IT基礎(chǔ)設(shè)施,IT的全天業(yè)務(wù)連續(xù)運(yùn)營(yíng)成為大型企業(yè)IT建設(shè)運(yùn)營(yíng)與企業(yè)經(jīng)營(yíng)追求的目標(biāo)����。數(shù)據(jù)中心是計(jì)算機(jī)設(shè)備的核心場(chǎng)所���,也是海量數(shù)據(jù)的關(guān)鍵承載,隨著云計(jì)算大數(shù)據(jù)時(shí)代的到來����,數(shù)據(jù)中心的建設(shè)掀起了新的熱潮,數(shù)據(jù)中心朝著大型集約化發(fā)展����,客戶對(duì)數(shù)據(jù)中心的解決方案也提出了更高的要求。綠色節(jié)能���、智能化��、自動(dòng)化管理是數(shù)據(jù)中心發(fā)展趨勢(shì)�����。
[0003]出于災(zāi)備的目的���,企業(yè)一般都會(huì)建設(shè)兩個(gè)或多個(gè)數(shù)據(jù)中心。主數(shù)據(jù)中心承擔(dān)用戶的核心業(yè)務(wù)��,其他的數(shù)據(jù)中心主要承擔(dān)一些非關(guān)鍵業(yè)務(wù)并同時(shí)備份主中心的數(shù)據(jù)、配置�����、業(yè)務(wù)等����。正常情況下,主中心和備中心各司其職����,發(fā)生災(zāi)難時(shí),主數(shù)據(jù)中心宕機(jī)��,備份數(shù)據(jù)中心可以快速恢復(fù)數(shù)據(jù)和應(yīng)用����,從而減輕因?yàn)?zāi)難給用戶帶來的損失。
[0004]由于災(zāi)難是小概率事件��,而采用一主一備這種方式�����,備份數(shù)據(jù)中心只在災(zāi)難發(fā)生時(shí)才能起到作用�,并且隨著企業(yè)容災(zāi)建設(shè)標(biāo)準(zhǔn)的提升,備份IT資源和資金會(huì)投入越來越大�,相互直接又不能夠復(fù)用,從而造成浪費(fèi)�。另外主備模式的應(yīng)用,備中心在接替主中心時(shí)需要較長(zhǎng)的時(shí)間����、關(guān)系復(fù)雜,往往會(huì)嚴(yán)重影響用戶的業(yè)務(wù)辦理����。為克服上述缺點(diǎn),能源電力等諸多行業(yè)用戶����,開始將關(guān)注點(diǎn)轉(zhuǎn)向“分布式多活數(shù)據(jù)中心”的建設(shè),分布式多活數(shù)據(jù)中心將業(yè)務(wù)分布到多個(gè)數(shù)據(jù)中心��,彼此之間并行為客戶提供服務(wù)��,分布式多活包括兩大關(guān)鍵特征一一分布式和多活���,體現(xiàn)出企業(yè)級(jí)用戶在建設(shè)與使用數(shù)據(jù)中心時(shí)對(duì)資源調(diào)度利用和業(yè)務(wù)部署靈活性的新思路��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是提供一種基于云計(jì)算的多分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法��,解決數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)擴(kuò)展問題���,滿足應(yīng)用程序在不同服務(wù)器上漂移后對(duì)大數(shù)據(jù)文件并發(fā)訪問的便捷性�、高速性以及可靠性�。
[0006]為克服現(xiàn)有技術(shù)存在的不足,解決上述技術(shù)問題�����,本發(fā)明采用如下技術(shù)方案:一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法�����,其特征在于����,包括以下步驟:
[0007](I)數(shù)據(jù)中心網(wǎng)絡(luò)采用大二層架構(gòu)設(shè)計(jì),通過大規(guī)模二層網(wǎng)絡(luò)和VLAN延伸���,實(shí)現(xiàn)虛擬機(jī)在數(shù)據(jù)中心內(nèi)部的大范圍轉(zhuǎn)移��;
[0008](2)采用虛擬交換機(jī)技術(shù)實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的故障隔離�;
[0009](3)數(shù)據(jù)中心網(wǎng)絡(luò)采用板卡延伸技術(shù)來接入交換機(jī),所述板卡延伸技術(shù)同時(shí)可以讓數(shù)據(jù)中心網(wǎng)絡(luò)感知到虛擬機(jī)�����;
[0010](4)設(shè)計(jì)構(gòu)建物理上分離但邏輯上一體的跨數(shù)據(jù)中心網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)中心的互聯(lián)���,并基于所述跨數(shù)據(jù)中心網(wǎng)絡(luò)來建立分布式虛擬化的數(shù)據(jù)中心,計(jì)算能力可以在不同的數(shù)據(jù)中心之間自由流動(dòng)����;
[0011](5)數(shù)據(jù)中心的安全防護(hù)采用多層次的安全防護(hù),包括設(shè)備級(jí)的安全防護(hù)��、網(wǎng)絡(luò)級(jí)的安全防護(hù)����、系統(tǒng)級(jí)的主動(dòng)安全防護(hù)。
[0012]優(yōu)選地�����,所述步驟(2)包括:將一個(gè)交換機(jī)在邏輯上分為多個(gè)虛擬交換機(jī)��,所述虛擬交換機(jī)之間是徹底分離的��,每個(gè)虛擬交換機(jī)有各自獨(dú)立的二層和三層的協(xié)議棧和軟件進(jìn)程,有各自獨(dú)立的管理員���;由于每個(gè)虛擬交換機(jī)的軟件進(jìn)程是完全獨(dú)立的��,當(dāng)某個(gè)虛擬交換機(jī)的出現(xiàn)問題的時(shí)候��,是不會(huì)影響到別的虛擬交換機(jī)��,實(shí)現(xiàn)了完善的故障隔離����。
[0013]優(yōu)選地�,所述步驟(3)包括:所述板卡延伸技術(shù)通過IEEE802.1qbh協(xié)議實(shí)現(xiàn),將原本互聯(lián)在一起的多個(gè)TOR(Top of Rack����,機(jī)柜交換機(jī))交換單元的控制平面和轉(zhuǎn)發(fā)平面融合在一起,形成多個(gè)交換機(jī)組合成一個(gè)交換機(jī)的狀態(tài)���,原有的分布在各個(gè)機(jī)架的TOR接入交換機(jī)就成為新交換機(jī)的遠(yuǎn)程板卡����;在上述架構(gòu)下����,TOR交換單元不是單獨(dú)存在的網(wǎng)元管理點(diǎn)����,也不用二層的生成樹或三層的路由協(xié)議來維護(hù)網(wǎng)絡(luò)拓?fù)洹?br>
[0014]優(yōu)選地�����,所述步驟(3)包括:采用基于IEEE801.1qbh的板卡延伸技術(shù)��,在服務(wù)器內(nèi)裝一塊支持IEEE802.1qbh協(xié)議的網(wǎng)卡�����,所述網(wǎng)卡可以分成多個(gè)虛網(wǎng)卡來和虛擬機(jī)對(duì)應(yīng)��,同時(shí)所述網(wǎng)卡也是外部交換機(jī)的遠(yuǎn)程板卡�����,可以在外部交換機(jī)上實(shí)現(xiàn)管理和策略的下發(fā)���;上述方法不需要消耗服務(wù)器的CPU資源,所以具有更高的交換性能���。
[0015]優(yōu)選地����,所述步驟(4)包括:所述跨數(shù)據(jù)中心的網(wǎng)絡(luò)通過OTV技術(shù)實(shí)現(xiàn)穿越IP骨干網(wǎng)的數(shù)據(jù)中心網(wǎng)絡(luò)的打通;所述OTV技術(shù)借用一部分EO-MPLS-0GRE的數(shù)據(jù)幀封裝�,采用了完全不同的控制平面,通過ISIS來建立Adjacency關(guān)系�����,并交換數(shù)據(jù)中心之間的MAC地址表�;0TV技術(shù)對(duì)于IP骨干網(wǎng)的要求只是IP可達(dá),不需要MPLS的支持���,大大簡(jiǎn)化了網(wǎng)絡(luò)的維護(hù)�����;同時(shí)由于采用了控制平面和轉(zhuǎn)發(fā)平面的分離����,有效阻止了二層網(wǎng)絡(luò)泛濫到IP骨干網(wǎng)上����,同時(shí)也不需要把生成樹跨在數(shù)據(jù)中心間的IP骨干網(wǎng)上����,大大提高了整個(gè)網(wǎng)絡(luò)的穩(wěn)定性��。
[0016]優(yōu)選地�����,所述步驟(5)包括:所述網(wǎng)絡(luò)級(jí)的安全包括進(jìn)行用戶接入認(rèn)證�、授權(quán)和審計(jì)以防止非法的接入�,進(jìn)行傳輸加密以防止信息的泄漏和窺測(cè),進(jìn)行安全劃分和隔離以防止為授權(quán)的訪問�;所述系統(tǒng)級(jí)的主動(dòng)安全防護(hù)包括通過準(zhǔn)入控制來使“健康”的機(jī)器才能接入網(wǎng)絡(luò),通過事前探測(cè)即時(shí)分流來防止大規(guī)模DDoS攻擊�����,進(jìn)行全局的安全管理�;網(wǎng)絡(luò)作為信息傳輸?shù)钠脚_(tái),有第一時(shí)間保護(hù)信息資源的能力和機(jī)會(huì)�,智能的防御網(wǎng)絡(luò)必須能夠?qū)崿F(xiàn)所謂“先知先覺”,在潛在威脅演變?yōu)榘踩糁凹右苑雷o(hù)��。
[0017]優(yōu)選地��,所述步驟(5)包括:所述網(wǎng)絡(luò)級(jí)安全防護(hù)采用ACL控制,在允許網(wǎng)絡(luò)流量接入網(wǎng)絡(luò)的接口上配置一個(gè)ACL����,否則數(shù)據(jù)中心網(wǎng)絡(luò)將拒絕所述接口上的網(wǎng)絡(luò)流量。
[0018]優(yōu)選地�����,所述步驟(5)包括:所述ACL包括多個(gè)由一系列語句構(gòu)成的條目���,所述每個(gè)條目包括一個(gè)允許或拒絕網(wǎng)絡(luò)流量(入和出)到達(dá)條目中規(guī)定的網(wǎng)絡(luò)各部分的執(zhí)行單元�,所述每個(gè)條目還包括一個(gè)基于源地址��、目的地址�、協(xié)議、協(xié)議特定參數(shù)的過濾器單元����,所述每個(gè)ACL的最后都有一個(gè)隱式的拒絕全部的條目。
[0019]本發(fā)明所達(dá)到的有益效果:通過VPC虛擬機(jī)技術(shù)和板卡延伸技術(shù)�,實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)擴(kuò)展問題,滿足了應(yīng)用程序在不同服務(wù)器上漂移后對(duì)大數(shù)據(jù)文件并發(fā)訪問的便捷性�、高速性以及可靠性。
[0020]說明書英文標(biāo)記的含義:
[0021]TOR:Top of Rack����,機(jī)柜交換機(jī)����;
[0022]OTV:0verlay Transport Virtualizat1n��,覆蓋傳輸虛擬化�;
[0023]ISIS 〖Intermediate system to intermediate system,一個(gè)分級(jí)的鏈接狀態(tài)路由協(xié)議��;
[0024]Adjacency:鄰接���,在選擇的鄰近路由器和終端節(jié)點(diǎn)之間的關(guān)聯(lián);
[0025]MPLS:多協(xié)議標(biāo)簽交換�����,是一種用于快速數(shù)據(jù)包交換和路由的體系��,它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)��、路由地址�����、轉(zhuǎn)發(fā)和交換等能力;
[0026]DDoS distributed Denial of Service�����,分布式拒絕服務(wù)攻擊���,指借助于客戶/服務(wù)器技術(shù)����,將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)����,對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力��;
[0027]ACL:Access Control List�����,訪問控制列表�����,是路由器和交換機(jī)接口的指令列表��,用來控制端口進(jìn)出的數(shù)據(jù)包;
[0028]OGRE-Object-Oriented Graphics Rendering Engine���,面向?qū)ο髨D形植染引擎是一個(gè)用C++開發(fā)的面向場(chǎng)景�����、非常靈活的3D引擎�。
【專利附圖】
【附圖說明】
[0029]圖1是本發(fā)明的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法的流程圖���。
【具體實(shí)施方式】
[0030]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步描述�����。以下實(shí)施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案��,而不能以此來限制本發(fā)明的保護(hù)范圍��。
[0031]如圖1所示的是本發(fā)明的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法的流程圖,本發(fā)明提供一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法����,解決數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)擴(kuò)展問題,滿足應(yīng)用程序在不同服務(wù)器上漂移后對(duì)大數(shù)據(jù)文件并發(fā)訪問的便捷性�����、高速性以及可靠性,本發(fā)明包括以下步驟:
[0032](I)數(shù)據(jù)中心網(wǎng)絡(luò)采用大二層架構(gòu)設(shè)計(jì)�����,通過大規(guī)模二層網(wǎng)絡(luò)和VLAN延伸�,實(shí)現(xiàn)虛擬機(jī)在數(shù)據(jù)中心內(nèi)部的大范圍轉(zhuǎn)移;
[0033](2)采用虛擬交換機(jī)技術(shù)實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的故障隔離�;
[0034](3)數(shù)據(jù)中心網(wǎng)絡(luò)采用板卡延伸技術(shù)來接入交換機(jī),所述板卡延伸技術(shù)同時(shí)可以讓數(shù)據(jù)中心網(wǎng)絡(luò)感知到虛擬機(jī)��;
[0035](4)設(shè)計(jì)構(gòu)建物理上分離但邏輯上一體的跨數(shù)據(jù)中心網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)中心的互聯(lián)�,并基于所述跨數(shù)據(jù)中心網(wǎng)絡(luò)來建立分布式虛擬化的數(shù)據(jù)中心,計(jì)算能力可以在不同的數(shù)據(jù)中心之間自由流動(dòng)���;
[0036](5)數(shù)據(jù)中心的安全防護(hù)采用多層次的安全防護(hù)�,包括設(shè)備級(jí)的安全防護(hù)���、網(wǎng)絡(luò)級(jí)的安全防護(hù)���、系統(tǒng)級(jí)的主動(dòng)安全防護(hù)。
[0037]優(yōu)選地,所述步驟(2)包括:將一個(gè)交換機(jī)在邏輯上分為多個(gè)虛擬交換機(jī)����,所述虛擬交換機(jī)之間是徹底分離的,每個(gè)虛擬交換機(jī)有各自獨(dú)立的二層和三層的協(xié)議棧和軟件進(jìn)程�����,有各自獨(dú)立的管理員�;由于每個(gè)虛擬交換機(jī)的軟件進(jìn)程是完全獨(dú)立的,當(dāng)某個(gè)虛擬交換機(jī)的出現(xiàn)問題的時(shí)候���,是不會(huì)影響到別的虛擬交換機(jī)���,實(shí)現(xiàn)了完善的故障隔離。
[0038]優(yōu)選地�,所述步驟(3)包括:所述板卡延伸技術(shù)通過IEEE802.1qbh協(xié)議實(shí)現(xiàn),將原本互聯(lián)在一起的多個(gè)TOR(Top of Rack�,機(jī)柜交換機(jī))交換單元的控制平面和轉(zhuǎn)發(fā)平面融合在一起,形成多個(gè)交換機(jī)組合成一個(gè)交換機(jī)的狀態(tài)���,原有的分布在各個(gè)機(jī)架的TOR接入交換機(jī)就成為新交換機(jī)的遠(yuǎn)程板卡�����;在上述架構(gòu)下�,TOR交換單元不是單獨(dú)存在的網(wǎng)元管理點(diǎn)�,也不用二層的生成樹或三層的路由協(xié)議來維護(hù)網(wǎng)絡(luò)拓?fù)洹?br>
[0039]優(yōu)選地,所述步驟(3)包括:采用基于IEEE801.1qbh的板卡延伸技術(shù)����,在服務(wù)器內(nèi)裝一塊支持IEEE802.1qbh協(xié)議的網(wǎng)卡,所述網(wǎng)卡可以分成多個(gè)虛網(wǎng)卡來和虛擬機(jī)對(duì)應(yīng)���,同時(shí)所述網(wǎng)卡也是外部交換機(jī)的遠(yuǎn)程板卡�����,可以在外部交換機(jī)上實(shí)現(xiàn)管理和策略的下發(fā)��;上述方法不需要消耗服務(wù)器的CPU資源�,所以具有更高的交換性能����。
[0040]優(yōu)選地,所述步驟(4)包括:所述跨數(shù)據(jù)中心的網(wǎng)絡(luò)通過OTV技術(shù)實(shí)現(xiàn)穿越IP骨干網(wǎng)的數(shù)據(jù)中心網(wǎng)絡(luò)的打通�;所述OTV技術(shù)借用一部分EO-MPLS-0GRE的數(shù)據(jù)幀封裝,采用了完全不同的控制平面�����,通過ISIS來建立Adjacency關(guān)系,并交換數(shù)據(jù)中心之間的MAC地址表�����;0TV技術(shù)對(duì)于IP骨干網(wǎng)的要求只是IP可達(dá)�����,不需要MPLS的支持�����,大大簡(jiǎn)化了網(wǎng)絡(luò)的維護(hù)�;同時(shí)由于采用了控制平面和轉(zhuǎn)發(fā)平面的分離,有效阻止了二層網(wǎng)絡(luò)泛濫到IP骨干網(wǎng)上����,同時(shí)也不需要把生成樹跨在數(shù)據(jù)中心間的IP骨干網(wǎng)上,大大提高了整個(gè)網(wǎng)絡(luò)的穩(wěn)定性�。
[0041]優(yōu)選地,所述步驟(5)包括:所述網(wǎng)絡(luò)級(jí)的安全包括進(jìn)行用戶接入認(rèn)證��、授權(quán)和審計(jì)以防止非法的接入��,進(jìn)行傳輸加密以防止信息的泄漏和窺測(cè),進(jìn)行安全劃分和隔離以防止為授權(quán)的訪問���;所述系統(tǒng)級(jí)的主動(dòng)安全防護(hù)包括通過準(zhǔn)入控制來使“健康”的機(jī)器才能接入網(wǎng)絡(luò),通過事前探測(cè)即時(shí)分流來防止大規(guī)模DDoS攻擊�����,進(jìn)行全局的安全管理�;網(wǎng)絡(luò)作為信息傳輸?shù)钠脚_(tái),有第一時(shí)間保護(hù)信息資源的能力和機(jī)會(huì)��,智能的防御網(wǎng)絡(luò)必須能夠?qū)崿F(xiàn)所謂“先知先覺”��,在潛在威脅演變?yōu)榘踩糁凹右苑雷o(hù)�����。
[0042]優(yōu)選地�,所述步驟(5)包括:所述網(wǎng)絡(luò)級(jí)安全防護(hù)采用ACL控制,在允許網(wǎng)絡(luò)流量接入網(wǎng)絡(luò)的接口上配置一個(gè)ACL��,否則數(shù)據(jù)中心網(wǎng)絡(luò)將拒絕所述接口上的網(wǎng)絡(luò)流量����。
[0043]優(yōu)選地�,所述步驟(5)包括:所述ACL包括多個(gè)由一系列語句構(gòu)成的條目����,所述每個(gè)條目包括一個(gè)允許或拒絕網(wǎng)絡(luò)流量(入和出)到達(dá)條目中規(guī)定的網(wǎng)絡(luò)各部分的執(zhí)行單元,所述每個(gè)條目還包括一個(gè)基于源地址����、目的地址、協(xié)議���、協(xié)議特定參數(shù)的過濾器單元��,所述每個(gè)ACL的最后都有一個(gè)隱式的拒絕全部的條目����。
[0044]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出,對(duì)于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說�����,在不脫離本發(fā)明技術(shù)原理的前提下�����,還可以做出若干改進(jìn)和變形,這些改進(jìn)和變形也應(yīng)視為本發(fā)明的保護(hù)范圍��。
【權(quán)利要求】
1.一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法�����,其特征在于�,包括以下步驟: (1)數(shù)據(jù)中心網(wǎng)絡(luò)采用大二層架構(gòu)設(shè)計(jì)���,通過大規(guī)模二層網(wǎng)絡(luò)和VLAN延伸��,實(shí)現(xiàn)虛擬機(jī)在數(shù)據(jù)中心內(nèi)部的大范圍轉(zhuǎn)移����; (2)采用虛擬交換機(jī)技術(shù)實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的故障隔離��; (3)數(shù)據(jù)中心網(wǎng)絡(luò)采用板卡延伸技術(shù)來接入交換機(jī)�����,所述板卡延伸技術(shù)同時(shí)可以讓數(shù)據(jù)中心網(wǎng)絡(luò)感知到虛擬機(jī)����; (4)設(shè)計(jì)構(gòu)建物理上分離但邏輯上一體的跨數(shù)據(jù)中心網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)中心的互聯(lián)���,并基于所述跨數(shù)據(jù)中心網(wǎng)絡(luò)來建立分布式虛擬化的數(shù)據(jù)中心,計(jì)算能力可以在不同的數(shù)據(jù)中心之間自由流動(dòng)����; (5)數(shù)據(jù)中心的安全防護(hù)采用多層次的安全防護(hù),包括設(shè)備級(jí)的安全防護(hù)���、網(wǎng)絡(luò)級(jí)的安全防護(hù)����、系統(tǒng)級(jí)的主動(dòng)安全防護(hù)�����。
2.根據(jù)權(quán)利要求1所述的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法�,其特征在于,所述步驟(2)包括:將一個(gè)交換機(jī)在邏輯上分為多個(gè)虛擬交換機(jī)��,所述虛擬交換機(jī)之間是徹底分離的�����,每個(gè)虛擬交換機(jī)有各自獨(dú)立的二層和三層的協(xié)議棧和軟件進(jìn)程,有各自獨(dú)立的管理員�。
3.根據(jù)權(quán)利要求1所述的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法,其特征在于�,所述步驟(3)包括:所述板卡延伸技術(shù)通過IEEE802.1qbh協(xié)議實(shí)現(xiàn),將原本互聯(lián)在一起的多個(gè)TOR交換單元的控制平面和轉(zhuǎn)發(fā)平面融合在一起�����,形成多個(gè)交換機(jī)組合成一個(gè)交換機(jī)的狀態(tài)����,原有的分布在各個(gè)機(jī)架的TOR接入交換機(jī)就成為新交換機(jī)的遠(yuǎn)程板卡�。
4.根據(jù)權(quán)利要求3所述的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法,其特征在于���,所述步驟(3)包括:采用基于IEEE801.1qbh的板卡延伸技術(shù)����,在服務(wù)器內(nèi)裝一塊支持IEEE802.1qbh協(xié)議的網(wǎng)卡���,所述網(wǎng)卡可以分成多個(gè)虛網(wǎng)卡來和虛擬機(jī)對(duì)應(yīng)��,同時(shí)所述網(wǎng)卡也是外部交換機(jī)的遠(yuǎn)程板卡��,可以在外部交換機(jī)上實(shí)現(xiàn)管理和策略的下發(fā)��。
5.根據(jù)權(quán)利要求1所述的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法�����,其特征在于�,所述步驟(4)包括:所述跨數(shù)據(jù)中心的網(wǎng)絡(luò)通過OTV技術(shù)實(shí)現(xiàn)穿越IP骨干網(wǎng)的數(shù)據(jù)中心網(wǎng)絡(luò)的打通;所述OTV技術(shù)借用一部分Eo-MPLS-OGRE的數(shù)據(jù)幀封裝����,采用了完全不同的控制平面,通過ISIS來建立Adjacency關(guān)系�,并交換數(shù)據(jù)中心之間的MAC地址表。
6.根據(jù)權(quán)利要求1所述的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法�,其特征在于,所述步驟(5)包括:所述網(wǎng)絡(luò)級(jí)的安全包括進(jìn)行用戶接入認(rèn)證��、授權(quán)和審計(jì)以防止非法的接入�����,進(jìn)行傳輸加密以防止信息的泄漏和窺測(cè)�,進(jìn)行安全劃分和隔離以防止為授權(quán)的訪問;所述系統(tǒng)級(jí)的主動(dòng)安全防護(hù)包括通過準(zhǔn)入控制來使“健康”的機(jī)器才能接入網(wǎng)絡(luò)��,通過事前探測(cè)即時(shí)分流來防止大規(guī)模DDoS攻擊,進(jìn)行全局的安全管理����。
7.根據(jù)權(quán)利要求6所述的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法,其特征在于�����,所述步驟(5)包括:所述網(wǎng)絡(luò)級(jí)安全防護(hù)采用ACL控制����,在允許網(wǎng)絡(luò)流量接入網(wǎng)絡(luò)的接口上配置一個(gè)ACL,否則數(shù)據(jù)中心網(wǎng)絡(luò)將拒絕所述接口上的網(wǎng)絡(luò)流量�。
8.根據(jù)權(quán)利要求7所述的一種基于云計(jì)算的分布式多活數(shù)據(jù)中心的設(shè)計(jì)方法,其特征在于�����,所述步驟(5)包括:所述ACL包括多個(gè)由一系列語句構(gòu)成的條目����,所述每個(gè)條目包括一個(gè)允許或拒絕網(wǎng)絡(luò)流量到達(dá)條目中規(guī)定的網(wǎng)絡(luò)各部分的執(zhí)行單元���,所述每個(gè)條目還包括一個(gè)基于源地址����、目的地址、協(xié)議���、協(xié)議特定參數(shù)的過濾器單元��,所述每個(gè)ACL的最后都有一個(gè)隱式的拒絕全部的條目����。
【文檔編號(hào)】H04L29/06GK104506614SQ201410805490
【公開日】2015年4月8日 申請(qǐng)日期:2014年12月22日 優(yōu)先權(quán)日:2014年12月22日
【發(fā)明者】夏飛, 崔恒志, 何金陵, 孫祥剛, 鄭海雁, 官國(guó)飛, 葛崇慧 申請(qǐng)人:國(guó)家電網(wǎng)公司, 江蘇省電力公司, 江蘇方天電力技術(shù)有限公司, 江蘇省電力公司信息通信分公司