云計算、物聯網、虛擬化、云存儲、3C融合等等接踵而來，面對著這些新技術，用戶難免不知所措。如何理清這些新技術概念?首先要做的就是從身邊的需求入手，找到需要的技術，并加以了解、整理、深化，同時結合自身的特點，深化技術與應用的結合，把其中的技術為己所用，打造出可行方案。

近些年來，虛擬化技術的浪潮開始興起，虛擬化技術在最近三年里，一直未出CIO優(yōu)先考慮的技術范圍。如果說云計算是一種宏觀的虛擬化技術，那虛擬化技術就應該是CIO目前關注的重點技術。

虛擬化技術方興未艾

虛擬化技術不是目前才興起的技術，早在上世紀 60 年代，虛擬化技術就通過對大型機硬件資源進行分區(qū)證明了它在大型機環(huán)境中的價值。因為大型機的計算能力特別強，因此采用可邏輯地劃分成相互隔離的小型虛擬機的設計，然后憑借虛擬技術，即可在一個大型機上同時運行多個項目。隨著時間的推移，大部分行業(yè)已經從大型機轉向使用小型機及PC進行計算。目前，基于X86體系結構的計算機或服務器所面臨的挑戰(zhàn)與上個世紀60年代大型機面臨的挑戰(zhàn)相同。X86架構虛擬化技術已經將大型機的分區(qū)方法應用到目前基于X86體系結構的計算機上。

由于服務器虛擬化的概念和技術不斷成熟，IT工作者把虛擬化的目光投向了網絡和存儲。在網絡方面，基于提高鏈路高可用技術的發(fā)展從來沒有停歇過，目前已經開始從VRRP向多主機融合的虛擬化過渡。負載均衡器更作為七層網路交換機也早已是服務器多合一虛擬化應用的先導者。存儲融合也是目前企事業(yè)單位必須要面對的問題，異構、合理的使用存儲空間，以及存儲的高可用性促使存儲的虛擬化網關技術走向成熟，存儲虛擬化也成為了數據中心不可或缺的關鍵技術。

硬件分區(qū)虛擬化　硬件虛擬技術是隨著Unix服務器的發(fā)展而出現的。實際上，在Unix服務器上，不少廠商和用戶習慣于將電氣級的虛擬技術稱為硬分區(qū)(或物理分區(qū))，而把通過軟件或固件實現的邏輯分區(qū)技術則稱之為軟分區(qū)。但無論如何稱呼，實際上邏輯虛擬模式和硬件虛擬模式的共同點是與應用所在的操作系統(tǒng)無關，只與系統(tǒng)硬件相關。那么，它們之間的區(qū)別在哪里?先看硬件虛擬模式。HP和Sun等廠商在Unix服務器上采用的是MBB(Modular Building Block)架構。MBB由多個BB(Building Block)構成，Sun稱之為Board，HP稱之為Cell。每個BB可包含4路CPU、若干內存和I/O卡。不同BB內的CPU可以有不同的時鐘頻率。所有的BB通過一種稱為Crossbar Switch的交換機制連接在一起。采用MBB技術可以比較容易地設計出擁有更多數量CPU的服務器。在這種服務器上既可以運行一個操作系統(tǒng)，也可以在一個或多個BB上運行多個操作系統(tǒng)。這就是服務器的硬分區(qū)。基于MBB技術的服務器是由多個BB構成的，所以具有物理分區(qū)的特性：即可以熱插拔CPU板和內存板。這是因為每一個BB是物理分開的，每個4路CPU板可以單獨從系統(tǒng)中隔離出來并將其下電。

在硬件分區(qū)虛擬化中，硬件資源被劃分成數個分區(qū)，每個分區(qū)享有獨立的CPU、內存，并安裝獨立的操作系統(tǒng)。在一臺服務器上，存在有多個系統(tǒng)實例，同時啟動了多個操作系統(tǒng)。這種分區(qū)方法的主要缺點是缺乏很好的靈活性，不能對資源做出有效調配。

隨著技術的進步，現在對于資源劃分的顆粒已經遠遠提升，例如在IBM AIX系統(tǒng)上，對CPU資源的劃分顆粒可以達到0.1個CPU。這種分區(qū)方式，在目前的金融領域，比如在銀行信息中心得到了廣泛采用。

完全虛擬化　使用hypervisor在VM和底層硬件之間建立一個抽象層其代表是VMware的ESX server和Microsoft(Microsoft收購Connectix)的Virtual PC、Virtual Server。

hypervisor捕獲CPU指令，為指令訪問硬件控制器和外設充當中介。因此，這種虛擬化技術幾乎能讓任何一款操作系統(tǒng)不加改動就可以安裝在VM上，而它們不知道自己運行在虛擬化環(huán)境下。主要缺點是，hypervisor帶來處理開銷。#p#

準虛擬化　完全虛擬化是處理器密集型技術，因為它要求hypervisor管理各個虛擬服務器，并讓它們彼此獨立。減輕這種負擔的一種方法就是，改動客戶操作系統(tǒng)，讓它以為自己運行在虛擬環(huán)境下，能夠與hypervisor協(xié)同工作。這種方法就叫準虛擬化(Para-virtualization)。

Xen是開源準虛擬化技術的一個例子。操作系統(tǒng)作為虛擬服務器在Xen hypervisor上運行之前，它必須在核心層面進行某些改變。因此，Xen適用于BSD、Linux、Solaris及其他開源操作系統(tǒng)，但不適合對像Windows這些專有的操作系統(tǒng)進行虛擬化處理，因為它們無法改動。(在支持虛擬化技術的處理器上，由于不需要改變內核，因此，也可以支持Windows。)

典型虛擬化數據中心的整體架構部署圖

準虛擬化技術的優(yōu)點是性能高。經過準虛擬化處理的服務器可與hypervisor協(xié)同工作，其響應能力幾乎不亞于未經過虛擬化處理的服務器。

準虛擬化與完全虛擬化相比優(yōu)點明顯，以至于微軟和VMware都在開發(fā)這項技術，以完善各自的產品。

操作系統(tǒng)層虛擬化　實現虛擬化還有一個方法，那就是在操作系統(tǒng)層面增添虛擬服務器功能。Solaris Container就是這方面的一個例子，Parallels(SWsoft收購了Parallels，然后把自己的名字改成Paralles)的Virtuozzo/OpenVZ是面向Linux的軟件方案。

就操作系統(tǒng)層的虛擬化而言，沒有獨立的hypervisor層。相反，主機操作系統(tǒng)本身就負責在多個虛擬服務器之間分配硬件資源，并且讓這些服務器彼此獨立。一個明顯的區(qū)別是，如果使用操作系統(tǒng)層虛擬化，所有虛擬服務器必須運行同一操作系統(tǒng)(不過每個實例有各自的應用程序和用戶賬戶)。雖然操作系統(tǒng)層虛擬化的靈活性比較差，但本機速度性能比較高。此外，由于架構在所有虛擬服務器上使用單一、標準的操作系統(tǒng)，管理起來比異構環(huán)境要容易。

網絡虛擬化與存儲虛擬化

首先，網絡虛擬化概念并不是什么新概念，因為多年來，虛擬局域網(VLAN)技術作為基本隔離技術已經廣泛應用。當前在交換網絡上通過VLAN來區(qū)分不同業(yè)務網段、配合防火墻等安全產品劃分安全區(qū)域，是數據中心基本設計內容之一。

出于將多個邏輯網絡隔離、整合的需要，VLAN、MPLS-VPN、Multi-VRF技術在路由環(huán)境下實現了網絡訪問的隔離，虛擬化分割的邏輯網絡內部有獨立的數據通道，終端用戶和上層應用均不會感知其它邏輯網絡的存在。

但在每個邏輯網絡內部，仍然存在安全控制需求，對數據中心而言，訪問數據流從外部進入數據中心，則表明了數據在不同安全等級的區(qū)域之間流轉。#p#

其次，由于硬件性能的迅猛發(fā)展，單個設備(如單個交換機)自身能力有了很大的提升，多核處理器、多引擎板卡、多業(yè)務板卡匯聚為一身，單臺設備變得異常強大，因此，可以將一臺物理交換機邏輯上模擬成多臺虛擬交換機。另外，還可以在網絡上提供邏輯網絡內的安全策略，而不同邏輯網絡的安全策略有各自獨立的要求，虛擬化安全技術，將一臺安全設備可分割成若干臺邏輯安全設備(成為多個實例)，從而很好滿足了虛擬化的深度強化安全要求。

第三，傳統(tǒng)上的數據中心網絡架構由于多層結構、安全區(qū)域、安全等級、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設計等諸多因素，導致網絡結構比較復雜，使得數據中心基礎網絡的運維管理難度較高。使用智能彈性架構虛擬化技術，用戶可以將多臺設備連接，“橫向整合”起來組成一個“聯合設備”，并將這些設備看作單一設備進行管理和使用。多個盒式設備整合類似于一臺機架式設備，多臺框式設備的整合相當于增加了槽位，虛擬化整合后的設備組成了一個邏輯單元，在網絡中表現為一個網元節(jié)點，管理簡單化、配置簡單化、可跨設備鏈路聚合，極大簡化網絡架構，同時進一步增強冗余可靠性。

網絡虛擬交換技術為數據中心建設提供了一個新標準，定義了新一代網絡架構，使得各種數據中心的基礎網絡都能夠使用這種靈活的架構，能夠幫助企業(yè)在構建永續(xù)和高度可用的狀態(tài)化網絡的同時，優(yōu)化網絡資源的使用。

在虛擬化架構上，通過OAA集成虛擬化安全，使得傳統(tǒng)網絡中離散的安全控制點被整合進來，進一步強化并簡化了基礎網絡安全，網絡虛擬化技術將在數據中心端到端總體設計中發(fā)揮重要作用。

虛擬化存儲局域網結構中，有四種提供存儲虛擬化服務的方法：帶內設備、帶外設備、稱作分離路徑虛擬化架構的混合方法和基于控制器的虛擬化。

不管什么架構，所有的存儲虛擬化必須做三個重要的事情：保持一個虛擬磁盤和物理存儲以及其它配置元數據的鏡像;執(zhí)行配置改變和存儲管理任務的指令;當然還有在主機和存儲之間傳送數據。

這四種架構在輸入/輸出結構中處理這三種不同的路徑或者數據流(元數據、控制和數據路徑)的方法是不同的。這種差別對于性能和伸縮性的意義是不同的。

帶內設備處理元數據、控制和數據路徑信息都是在一臺設備中進行的。換句話說，元數據管理和控制功能共享這個數據路徑。這在一個繁忙的存儲局域網中會產生潛在的瓶頸，因為所有的主機請求必須經過一個單一的控制點。帶內設備可通過增加高級的集群和緩存功能解決這個潛在的伸縮性問題。

帶外設備把元數據管理和控制操作從數據路徑分離開來，把這些任務交給另一個獨立的計算引擎。這個問題是軟件代理必須安裝在每一臺主機上。這個軟件代理的工作就是把元數據和控制請求從數據流中摘出來并且發(fā)送到帶外設備進行處理，讓主機把重點專門放在向存儲設備傳送和接收數據方面。

分離路徑系統(tǒng)利用一臺智能交換機的端口級處理能力從數據路徑中卸載元數據和控制信息。同帶外設備不同，在帶外設備中，路徑是在主機分開的，分離路徑系統(tǒng)在智能設備分離在網絡上的數據和控制路徑。分離路徑系統(tǒng)把元數據和控制信息發(fā)送到帶外計算引擎進行處理并且把數據路徑信息傳送到存儲設備。因此，分離路徑系統(tǒng)不需要主機級代理。

陣列控制器一直是最常用的層。虛擬化服務一直部署在這里。然而，控制器一般都僅僅虛擬化存儲系統(tǒng)內部的物理硬盤。這種情況正在變化。這種老方法的一個變化是在一個能夠虛擬化內部和外部存儲的控制器上使用這種虛擬化智能技術。同帶內設備方法一樣，這個控制器處理所有三個路徑：數據、控制和元數據。

解決方案系統(tǒng)初探

虛擬化和云技術是不可分割的，是IT行業(yè)的一場技術革命，是IT行業(yè)未來發(fā)展的方向，這種趨勢使得IT基礎架構的運營專業(yè)化程度不斷集中和提高，從而對基礎架構層面，特別是網絡層面提出了更高的要求。虛擬化的計算資源和存儲資源最終都需要通過網絡為用戶所用。如何讓云平臺中各種業(yè)務系統(tǒng)盡可能安全的使用云平臺網絡，如何讓業(yè)務便利的接入和使用云計算服務，以及通過網絡滿足數據中心間的數據傳輸和配置遷移，如何通過虛擬化技術提高網絡的利用率，并且讓網絡具有靈活的可擴展性和可管理性，這些都是云計算網絡研究的重點。

隨著增值業(yè)務系統(tǒng)的發(fā)展，原有傳統(tǒng)數據中心存在資源利用率低、維護成本高、電力消耗嚴重等諸多弊端。因此，以構建云計算平臺實現動態(tài)基礎架構的數據中心，通過虛擬化手段進行靈活的物理資源共享，提高數據中心的安全性、可用性、模塊化管理，并在一定程度上節(jié)約整體基礎架構的使用成本。#p#

典型虛擬化數據中心的整體架構圍繞數據中心虛擬化做出整體方案設計，賽迪時代提供的解決方案核心是通過X86架構服務器虛擬化，實現業(yè)務快速部署。通過整體架構圖可以看出，前端的無盤終端通過數據中心機房的外網路由交換機接入到應用系統(tǒng)運行環(huán)境的局域網內，在網絡及邊界安全平臺區(qū)域部署防火墻、防毒墻以及網絡審計和IDS設備，所有安全及審計設備均為雙機模式，保障其可用性，整體局域網的核心為兩臺匯聚交換機，這兩臺匯聚交換機虛擬化成一臺邏輯交換機，而其它區(qū)域的網絡及其它設備均物理連接于此。

負載均衡器的其中的旁掛在匯聚交換機上，并通過建立虛擬服務器組的方式，為后端服務器虛擬化系統(tǒng)區(qū)域的虛擬機提供負載均衡服務。

服務器的網關指向負載均衡器的內網IP，保證進出的流量經過負載均衡器。負載均衡器邏輯串接在網絡中。

關鍵的數據和結構化數據(在虛擬機中)存儲于后端的存儲資源池。非結構化數據和備份數據存儲于由虛擬機作為機頭的，和后端部分存儲空間組成的NAS中。數據庫、業(yè)務應用部分的服務器由2臺交換機虛擬化后構成的一臺邏輯交換機的接入到網絡，遠程桌面虛擬化的服務器同樣由2臺虛擬化后交換機來接入，并通過負載均衡器做業(yè)務負載及防火墻的安全過濾后，直接連接到外網路由上面。

匯聚交換機上面的剩余接口分配給安全認證與綜合管理平臺系統(tǒng)區(qū)域，本區(qū)域里部署CA系統(tǒng)以及網絡和整體資源平臺的管理和監(jiān)控系統(tǒng)。在整體架構的最后端，部署存儲資源池，由2臺虛擬化網關、4臺24口光纖交換機和2臺磁盤陣列組成，負責關鍵的數據庫和虛擬機的存儲，并提供備份空間。

為了便于清晰地了解虛擬化數據中心的結構，賽迪時代對數據中心的虛擬化的關鍵模塊進行分步解讀。按照數據中心整體基礎架構從后端到前端依次為“存儲——計算——網絡”，通過虛擬化技術，所對應的就是“存儲資源池——計算資源池——網絡資源池”。

從整體來看，該技術方案可以提高虛擬桌面的可用性和各項性能，能夠為多臺虛擬機提供均衡負載，卸載CPU密集型功能，同時采用虛擬機應用模板實現快速部署。

它對于物理服務器資源的合理分配利用，負載均衡設備提供了良好的支持。當客戶端的訪問增大時，應用前端的負載均衡設備與虛擬機管理中心溝通，增加虛擬機的數量，滿足客戶端的訪問需求，此時，用于服務的計算資源增大;當前端的客戶端訪問減小時，負載均衡設備與虛擬機管理中心溝通，減少虛擬機的數量。此過程為自動化處理，不需要進行人為干預。

通過企事業(yè)數據中心業(yè)務的理解，賽迪時代在整體設計方案上充分考慮了新老業(yè)務系統(tǒng)上線、測試、部署的靈活性;并對后期虛擬機的使用和管理提供了解決方案。

根據對企事業(yè)用戶業(yè)務的普遍要求，賽迪時代在整體設計上本著管理域和功能域清晰劃分的設計思路，使得整個網絡管理上更加簡便，使故障排查更清晰，結合各管理區(qū)域和安全區(qū)域劃分的一目了然，實現故障的準確定位，以便快速解決故障，保證了網絡高可靠性和安全的保障。

基于項目網絡拓撲結構和具體應用需求，由于整體拓撲分區(qū)明確，邊界接入區(qū)域也明確，內部各個區(qū)域之間連通通過策略路由來實現。

在方案中為實現快速部署新業(yè)務系統(tǒng)，采用了虛擬化設計并明確劃分各區(qū)的業(yè)務功能，使得物理設備的計算資源得到充分發(fā)揮，并由負載均衡設備實現計算資源的合理分配。負載均衡設備通過設置多虛擬服務器，達到負載均衡設備的資源共享。存儲設備通過虛擬化后的SAN和NAS功能，實現存儲資源的共享，避免重復的投資。

方案充分發(fā)揮負載均衡與虛擬化軟件的配合能力，實現計算資源的動態(tài)擴展和虛擬機靈活動態(tài)擴展。同時安全設備的部署緊隨著網絡資源，可隨時在網絡中增加和擴展。

名詞介紹：

BFD協(xié)議

為確保IRF正常運行，以及當IRF主機出現問題時對網絡影響降到最低，現采用BFD MAD檢測機制來對設備進行實現的監(jiān)控檢測，這樣可以保證設備跌機后網絡抖動時長在毫秒級別。當IRF正常運行時，只有Master上配置的MAD IP地址生效，Slave設備上配置的MAD IP地址不生效，BFD會話處于down狀態(tài);當IRF分裂后會形成多個IRF，BFD會話被激活，會檢測到多Active沖突。

鏈路聚合技術

通過將多條以太網物理鏈路捆綁在一起成為一條邏輯鏈路，從而實現出負荷在聚合組中各個成員端口之間分擔，以增加帶寬。

同時，這些捆綁在一起的鏈路通過相互間的動態(tài)備份，可以有效地提高鏈路的可靠性。