vcloud云计算(StarVCenter云平台网络结构-运行时的机制与原理)

之前总是有用户问采用StarVCenter搭建云平台,网络该怎么规划,这里用一幅图讲清楚。先大概看一看下面这幅图,结合后面的文字与图中内容对照来理解。

vcloud云计算(StarVCenter云平台网络结构-运行时的机制与原理)(1)

上图按照StarVCenter云平台三网分离的结构绘制了物理网络拓扑,并且展示了虚拟机在其宿主物理机中运行时的网络I/O和磁盘结构,以及运行过程与不同存储架构的关系。

下面先描述云台中三网的概念,然后再对三网运行时机制与原理进行说明,最后附上三种应用案例。

一、云平台三网的概念

管理网

管理网是安装各节点操作系统时设置的“IP网络”,主要用于用户访问管理界面,和管控节点向计算节点发送管控指令等管理操作。部署完成后,管理网IP将被移到网桥“br-mgmt”(对接管理网网卡)。

业务网

业务网是用于虚拟机之间、虚拟机与平台之外的计算机之间通信的网络。其物理结构由各节点的“业务网网卡及其相连的二层物理链路”构成。注意:各节点业务网不设IP地址,业务网IP地址仅用于虚拟机。虚拟机通过网桥“br-vm”接入业务网。

存储网

计算节点访问存储(含虚拟机磁盘I/O)所走的“IP网络”,通常用万兆网。若选择部署分布式存储,平台将自动在各节点上配置网桥“br-stgpub”及IP地址(对接存储网网卡)。

下面将分别描述StarVCenter在工作运行期间的各种网络访问场景和虚拟机磁盘读写场景,理解这些场景将有助于你规划云平台时清楚的知道服务器配置、存储设备、网络设备这些该按什么标准来购置。

二、管理网运行机制

(1). 管理员从‘管理网’内部访问云平台管理界面,

工作线路:1->2;物理主机1通过‘管理网’管控物理主机2,工作线路:2->21。

2.从办公区电脑(10.20.3.8)通过‘跳板机’从‘管理网’访问云平台管理界面,工作线路:9->10->11->2。

三、业务网运行机制

1. 虚拟机1(10.0.0.1)访问虚拟机2(10.0.0.2),工作线路:3->4->5->6。

2. 虚拟机2(10.0.0.2,vlan2)访问虚拟机3(10.0.1.2,vlan3),若VLAN2和vlan3是外网类型,则工作线路为:6->5->8->物理网关->8->5->7,若vlan2和vlan3是内网类型,则工作线路为:6->云路由->7。

3. 从办公区电脑(10.20.3.8,vlan92)访问虚拟机3(10.0.1.2,vlan3),工作线路:9->物理路由->8->5->7。

四、存储网运行机制

图中有3台虚拟机,其磁盘镜像分别存放在分布式存储、SAN存储、本地存储,只有其运行时才通过物理主机从对应存储中加载磁盘镜像到物理主机内存中生成‘运行实例’。

1. 虚拟机1存放在分布式存储中(可在集群中任意物理主机上运行,支持热迁移),其开机启动时,通过‘存储网’从各分布式存储节点多块硬盘中并行加载操作系统,并行工作线路:16->14,17->13->15->14;虚拟机向磁盘写数据时则反向。

2. 虚拟机2存放在SAN存储中(可在集群中任意物理主机上运行,支持热迁移),其开机启动时,通过‘SAN网络’从SAN存储中加载操作系统,工作线路:19->18,保存数据时工作线路:18->19。

3. 虚拟机3存放在物理主机2的本地存储中(只能在物理主机2上运行),其开机启动时,直接从物理主机2的本地硬盘中加载操作系统,保存数据时直接写入物理主机2的本地硬盘。

注意:生产环境建议将三个网络的物理链路各自独立,以确保物理安全隔离和性能。若要求不高,可三网合一或其中两网合一。管理网和存储网是物理IP网络,其交换机端端口须采用“access”模式。业务网将承载多个虚拟子网,若需带VLAN的虚拟子网,则其交换机端端口应采用“trunk”模式以允许多VLAN通过,业务网链路也就必须独立出来。

五、典型案例

在部署云平台时,根据企业实际网络现状与需求的不同,会采用不同的网络布线结构,下面我们将介绍StarVCenter在企业内部部署使用的几种典型的网络结构。

1 .管理网与业务网合一

vcloud云计算(StarVCenter云平台网络结构-运行时的机制与原理)(2)

管理网与业务网二合一结构是最常用的结构,它相对于其它结构来说,不仅结构简单,使用和运维起来是最方便的。从上图可以看出,办公区的电脑不仅可以直接访问虚拟机,同时还可以访问StarVCenter的管理界面,也能直接ssh登录到物理服务器上进行运维管理。在安全允许的情况下可将StarVCenter的管理IP地址和18080、18081、18083端口通过路由器映射到互联网,以便能远程管理运维云平台。

这种结构的缺点是管理网与业务网在二层是互通的,如果在IP层不加以限制,虚拟拟机和物理机之间就可以相互访问,安全性低。另外管理网与业务网的链路和带宽是共用的,运维和管理时会相互影响。由于管理网默认不使用VLAN模式,因此若需要对不同虚拟子网进行VLAN隔离时,这种模式不适用。

2 .三网分离

vcloud云计算(StarVCenter云平台网络结构-运行时的机制与原理)(3)

三网分离结构是将“管理网”、“业务网”、“存储网”从链路上完全分开,以保证相互之间不受影响,安全性较高。这种结构下,企业内部办公电脑可直接访问StarVCenter中的虚拟机,但无法直接访问StarVCenter的管理界面。云平台管控端具有强大的管控操作权限,只允许云平台管理员访问。云平台管理员通过办公电脑远程登录到“跳板机”桌面,可以访问StarVCenter的管理界面,可连接物理服务器进行运维。

这种模式下,可将跳板机的远程连接端口从路由器映射到互联网,以便能远程管理运维云平台。

3 .业务网-内外网分离

vcloud云计算(StarVCenter云平台网络结构-运行时的机制与原理)(4)

某些对网络安全要求较高的企业,将企业内部的局域网进一步地分为“信息外网”和“信息内网”。其中“信息外网”是能直接通向互联网的部分,“信息内网”只能在企业内部或集团公司内部互通,不通互联网的网络。“信息外网”主要通过互联网办公或查资料用,企业内部的应用系统及重要数据传输都走“信息内网”以确保安全。

我们将企业内部的这种划分称为“内外网分离”,基于这种情况我们通常可以在信息内网和信息外网各部署一套云平台,但这种模式在管理和运维上都不方便。上图的结构描述了一种可同时服务于“信息内网”和“信息外网”的结构,在为虚拟机分配网络时,按需选择接入“信息内网”或“信息外网”均可。信息外网办公区电脑可访问接入“信息外网”的虚拟机,只有信息内网办公区的电脑才可访问“信息内网”的虚拟机。

如果一台虚拟机同时接入“信息内网”和“信息外网”,则该虚拟机可作为“信息外网”到“信息内网”的跳板机,这种情形可以管理员按需配置以确保安全。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。