【IT168 方案】构建共享基础结构从来都是具有挑战性的。如果考察典型的企业数据中心设计,您就会发现重要的应用程序要么有自身专用的基础结构,要么对共享要素要求过高,远远超出实际需要。两种方法都无法充分利用资源,并且浪费了 IT 预算。
问题在于没有人能够确切知道,当添加额外负载时,服务器、网络和存储等基础结构要素将如何表现。资源是否会变成瓶颈,意外地降低重要应用程序的性能?若是如此,怎样才能快速识别此类瓶颈的来源?
当前对云计算的关注使得理解多租户环境(共享所有资源的基础结构)的方方面面变得更为重要。事实上,由于担心安全性和服务质量 (QoS),许多公司都不愿构建云基础结构或提供云服务。
Cisco 已与 VMware 和 NetApp 联手设计和测试安全的多租户云架构,以提供我们视为安全多租户环境的四大要素:
安全隔离。 在任何情况下,一个租户都必须无法访问其他租户的虚拟机 (VM)、网络或存储资源。必须安全地隔离每个租户。
服务保证。 计算、网络和存储的性能必须相互隔离,并且在正常操作以及发生故障或某些租户产生异常负载时都能得到保证。
可用性。 基础结构必须确保在发生可能的故障时仍然可以提供所需的计算、网络和存储资源。
管理。 快速提供、管理和监控所有资源的能力至关重要。
在本文中,我将介绍三家公司为实现这些多租户要素而共同设计的独特架构。接着,我将详细谈论我们围绕第二个要素 “服务保证” 展开的工作。
一本近期发布的设计指南 详细介绍了一项 Cisco 认证设计,该设计使用了所有三家公司技术以实现上述全部四个要素。 本期 Tech OnTap 的另一篇文章 详细介绍了架构的一个组成部分 NetApp MultiStore。
架构概述
图 1 显示了架构的块级概述。在架构的所有层都设计了关键的软件和硬件组件,以提供安全性、服务质量、可用性且易于管理。
图 1) 端到端块图。
计算层
在计算层,VMware vSphere 和 vCenter Server 软件提供强大的服务器虚拟化环境,使服务器资源能够动态分配至在虚拟机中运行的多个来宾操作系统。
VMware vShield Zone 提供计算层安全性。这是一个集中管理的、有状态的分布式虚拟防火墙,与 vSphere 4.0 捆绑在一起,后者利用 ESX 主机邻近性和虚拟网络可见性的优势以创建安全区。vShield Zone 与 VMware vCenter 相集成,并利用虚拟清点信息(如 vNIC、端口组、群集和 VLAN)来简化防火墙规则管理和可信区配置。这一创建安全性策略的新方法通过 VMotion 跟踪虚拟机,并且对 IP 地址更改和网络重新编号是完全透明的。
Cisco Unified Computing System (UCS) 是新一代数据中心平台,该平台将计算、服务器网络访问、 存储访问和虚拟融入一个结合性系统中。UCS 将低延迟无损万兆以太网网络结构与企业级 x86 架构服务器相集成。该系统是一个集成的可扩展多机箱平台,在 这一平台中,所有资源都参与一个统一管理域。
网络层
网络层提供计算层和存储层之间的安全网络连接,以及到外部网络和客户端的连接。关键组件包括:
Cisco Nexus 7000,它提供到外部网络的以太网 (LAN) 连接
Cisco Nexus 5000,它与 FC 存储和 Cisco 7000 界面相联接
Cisco Nexus 1000V,它是在 VMware 内核中运行的软件交换机,可提供 Cisco VN-Link 服务,以使服务器和网络环境紧密集成,从而允许在实时迁移中随虚拟机移动策略
Cisco MDS 9124,它是提供 SAN 连接的光纤通道交换机,可允许在 UCS 上运行的 VMware ESX 进行 SAN 启动
存储层
存储层由 NetApp 统一存储系统组成,可同时提供 SAN 连接(用于 SAN 启动)和用于运行 VMware 环境的 NFS 连接。NetApp 存储还可满足任何运行应用程序的专门存储需求。在以太网上运行 VMware 环境可提供大大简化的管理环境,从而降低成本。
NetApp MultiStore 软件提供的共享存储安全性和隔离级别可与物理隔离的存储阵列相媲美。MultiStore 允许您在单个存储系统上创建多个完全隔离的逻辑分区,因此您既可共享存储,又能保护隐私。可以在存储系统之间独立透明地迁移单个存储容器。
租户配置
使用此架构配置租户时,产生的环境将配备以下项目:
一个或多个虚拟机或 vApp
一个或多个虚拟存储控制器(vFiler 单元)
一个或多个用于互连和访问这些资源的 VLAN
这些实体共同构成一个逻辑分区。租户无法侵犯逻辑分区的边界。除安全性以外,我们还想确保在一个租户分区内发生的活动不会间接干扰其他租户分区内的活动。
