数据中心网络架构的需求原则及策略

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 【5月更文挑战第15天】本文讨论了数据中心建设的重要性,它能提升用户体验,保证业务连续性和数据安全。

在满足业务连续性需求的基础上,灾备数据中心的建设能够给用户带来更好的使用体验,为信息系统带来高可靠的系统环境,为数据安全带来更加有效的保障措施。对于网络工程师来说,更加复杂的网络架构无疑也会带来更多设计和管理维护方面的挑战。但更优的多数据中心网络架构带来的将是更好的业务连续性保障、更好的系统可靠性保障和更高的数据安全性防护能力。

1、数据中心之间的互联需求

对于数据中心网络架构,除了数据中心内部架构设计,还有多数据中心间的网络架构设计。数据中心间的网络设计直接关系到数据层、应用层、业务层之间的逻辑调用关系,所以在考虑网络架构之初,须考虑双数据中心甚至多数据之间的网络架构。针对多数据中心之间的互联,常见需求如下。

  • 业务连续性需求

网络高可用、低延时,网络通道包括互联网入口、专线通道、跨中心通道,可灵活切换,切换须平滑,上层应用无感知。

  • 容灾备份需求

多机房实现网络大二层或IP三层路由可达,实现跨机房业务调用及数据互备;部署独立密集型光波复用设备DWDM(Dense Wavelength Division Multiplexing,以下简称波分通道),实现数据库数据实时同步。

  • 服务器集群需求

跨数据中心的集群部署,实现IP网络及SAN互通;灾备数据中心服务器部署可通过存储级VM镜像复制,实现与主中心基础设施环境一致。

  • 存储需求

存储SAN网络可达,实现底层存储跨机房复制、恢复,存储使用的IP网络及SAN网络须高可用、高带宽、低延时。

  • 运维管理需求

全网IP路由可达,可实现远程管理及自动化、可视化管理,运维管理网络需要与业务网络逻辑隔离。

  • 安全性需求

跨数据中心的互联架构须保持数据中心的整体安全体系不变,安全域的划分不被破坏。


2、多数据中心网络流量原则

多数据中心势必涉及跨中心业务流量,如果不制定多数据中心网络流量原则,在多数据中心运营一段时间之后,业务调用将会是一张“蜘蛛网”,对于后期的维护将是一场噩梦。所以在进行多数据中心网络规划时,我们必须制定业务流量原则。以应用双活为例,具体应制定以下原则。

  • 流量入口

基于GSLB的流量百分比或运营商Local DNS对外部流量进行分流,在用户不切换网络环境的情况下会路由到同一个机房;根据业务场景设置适合的会话保持时间;故障情况下可以将全部流量切换到其他数据中心。

  • 跨中心流量

跨中心线路分为前置跨中心线路、核心跨中心线路、外联跨中心线路和数据库跨中心线路。前置DMZ区跨中心流量,用于全局流量管理设备集群同步,以及在故障情况下的数据中心流量切换;核心交换区跨中心流量,只用于冷备应用、中间件访问;外联区跨中心流量,正常情况下均通过本数据中心外联前置访问外联单位,针对外联单位只有单条专线的情况,通过外联前置转发到主中心外联区访问外联单位;数据库区跨中心流量,仅用于多数据中心数据库同步。

  • 内部业务流量

一般情况下,双活应用系统间的调用在单数据中心内部完成,仅某些单中心部署的应用系统存在跨中心调用的情况。

  • 中间件业务流量

注册中心在多数据中心单独部署,应用系统访问本中心注册中心即可,不会产生注册中心跨中心流量,避免网络质量导致的中间件超时问题。

消息队列可以参照注册中心单独部署或者考虑消费信息的同步部署跨数据中心消息队列大集群的方式。大集群方式下涉及应用系统访问跨机房消息队列Broker,所以此方式对跨中心网络质量要求较高。

应用访问本中心数据库,避免跨中心访问。

  • 数据库流量

主备模式下只有主中心数据库可进行读写操作,其他数据中心数据库处于只读、不可用状态,所有应用系统均访问主中心数据库。多活模式下应用系统访问本机房数据库,不涉及跨中心应用访问数据库流量。跨中心数据库流量还有数据库数据复制流量,如MySQL Replication、Oracle Data Guard等。


3、网络策略优化

在确定网络基础架构及多数据中心网络流量原则后,接下来要重点关注网络环境的优化环节,特别是安全互访及网络性能优化。

  • 网络隔离

根据信息科技风险监管指引,生产环境与开发测试环境应有效隔离,那么最有效的隔离手段就是物理隔离,避免线路直接连接,确保任何情况下都不会出现生产、测试网络互访及测试数据上生产的情况;不同环境之间全部单独部署,独立互联网出口;构建准生产环境,使其尽可能成为与生产环境结构完全相同的环境。

  • 动态DNS解析

公网DNS解析通过双机房DNS设备判断本机房运营商网关及对端机房GSLB设备公网IP地址健康检查状态,判断是否进行域名DNS切换。

内网环境动态DNS在解析冷备应用、中间件、数据库域名时,可结合适当的探测脚本检查故障情况,根据特有的健康检查规则和条件,动态切换域名解析地址。

  • 虚拟防火墙

配合类似于VMware NSX软件定义网络技术,对单台虚拟机配置精准的虚拟防火墙,确保即使同一网段内主机也不能随意互访。

  • 流量回溯、监控网络

作为IT基础架构的骨架,需要实时了解它的状态,并能回溯之前的数据流、数据包情况。通常,要做到完整的流量回溯、监控,需要对网络设备做端口镜像以获取完整数据流。通过对完整数据流的分析获取现网路由走向,掌握带宽占用率,统计异常访问及业务超时数据流回溯定位超时原因。

  • 网络层自动化运维

实现网络层的自动化维护,包括物理网络设备的加电自动配置,虚拟网络设备的自动配置、部署、管理、测试等,可以减少网络工程师的重复工作,并降低人为操作失误导致的网络故障的发生概率。更进一步,在实现网络智能化后,通过声明式配置,网络工程师只需要显式声明从哪里到哪里、配置什么业务,而无须单独登录中间每一台网络设备进行配置。

相关文章
|
2天前
|
存储 安全 云计算
云上防线:云计算时代的网络安全策略
云上防线:云计算时代的网络安全策略
13 4
|
5天前
|
存储 安全 网络安全
云计算与网络安全:保护数据的新策略
【10月更文挑战第28天】随着云计算的广泛应用,网络安全问题日益突出。本文将深入探讨云计算环境下的网络安全挑战,并提出有效的安全策略和措施。我们将分析云服务中的安全风险,探讨如何通过技术和管理措施来提升信息安全水平,包括加密技术、访问控制、安全审计等。此外,文章还将分享一些实用的代码示例,帮助读者更好地理解和应用这些安全策略。
|
10天前
|
SQL 安全 算法
网络安全漏洞与加密技术:保护信息安全的关键策略
【10月更文挑战第23天】在数字化时代,网络安全漏洞和信息安全问题日益突出。本文将探讨网络安全漏洞的概念、类型以及它们对信息系统的潜在威胁,并介绍加密技术如何成为防御这些安全威胁的有力工具。同时,强调安全意识的重要性,并提出加强网络安全教育和培训的建议。最后,通过一个代码示例,展示如何在网络应用中实现基本的加密措施,以增强读者对网络安全实践的认识。
|
13天前
|
机器学习/深度学习 计算机视觉 网络架构
【YOLO11改进 - C3k2融合】C3k2融合YOLO-MS的MSBlock : 分层特征融合策略,轻量化网络结构
【YOLO11改进 - C3k2融合】C3k2融合YOLO-MS的MSBlock : 分层特征融合策略,轻量化网络结构
|
18天前
|
供应链 安全 网络安全
云计算时代的网络安全挑战与策略
【10月更文挑战第15天】随着云计算技术的飞速发展,企业和个人用户越来越依赖云服务来存储和处理数据。然而,这种便利性也带来了新的网络安全风险。本文将探讨云计算环境中的网络安全挑战,并提出相应的防御策略,以保护数据不受威胁。
30 4
|
20天前
|
存储 监控 安全
如何实施有效的网络安全策略?
【10月更文挑战第13天】如何实施有效的网络安全策略?
57 5
|
19天前
|
运维 监控 安全
连锁药店网络优化策略:一站式融合方案提升竞争力
在数字化浪潮下,线上药店通过技术创新和线上线下融合,正重塑购药体验,提供24小时服务和医保结算便利。面对激烈竞争,连锁药店和中小药店纷纷通过优化网络架构、提升服务质量和加强合规管理来增强竞争力,实现高效、安全的数字化转型。
|
24天前
|
算法 计算机视觉 Python
YOLOv8优改系列二:YOLOv8融合ATSS标签分配策略,实现网络快速涨点
本文介绍了如何将ATSS标签分配策略融合到YOLOv8中,以提升目标检测网络的性能。通过修改损失文件、创建ATSS模块文件和调整训练代码,实现了网络的快速涨点。ATSS通过自动选择正负样本,避免了人工设定阈值,提高了模型效率。文章还提供了遇到问题的解决方案,如模块载入和环境配置问题。
63 0
YOLOv8优改系列二:YOLOv8融合ATSS标签分配策略,实现网络快速涨点
|
25天前
|
机器学习/深度学习 数据采集 算法
目标分类笔记(一): 利用包含多个网络多种训练策略的框架来完成多目标分类任务(从数据准备到训练测试部署的完整流程)
这篇博客文章介绍了如何使用包含多个网络和多种训练策略的框架来完成多目标分类任务,涵盖了从数据准备到训练、测试和部署的完整流程,并提供了相关代码和配置文件。
42 0
目标分类笔记(一): 利用包含多个网络多种训练策略的框架来完成多目标分类任务(从数据准备到训练测试部署的完整流程)
|
21天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:构建安全防线的多维策略
本文旨在探讨网络安全与信息安全领域的关键要素,包括网络安全漏洞、加密技术及安全意识等。通过综合分析这些方面的知识,本文揭示了构建有效安全防线的策略和最佳实践,旨在为读者提供深入的理解和实用的指导。