江苏龙网

  1. 首页 > 资讯 > 科技 > >

技术编程|网络架构,是数据中心的“神经脉络”


网络架构 , 是数据中心的“神经脉络”
如果把数据中心比作一个“人” , 则服务器和存储设备构成了数据中心的“器官” , 而网络(交换机 , 路由器 , 防火墙)就是这个数据中心的“神经脉络” 。 那本节就针对数据中心的网络架构和一般设计的套路来说了 。
01 网络分区与等保
一般情况下 , 本着灵活、安全、易管理的设计原则 , 企业都会对数据中心网络的物理设备进行分区 。 通常情况下 , 数据中心都会采用核心—汇聚—接入三层的网络结构 , 核心用于所有流量的快速转发 , 而汇聚则是在每个网络分区上 , 担任网关的功能 。
一般来说 , 数据中心的网络分区中 , 每一个区域会根据预期的流量和服务器的数量 , 分配不同的业务网段 。 同时 , 在一些等保要求较高的区域 , 还会设置防火墙这样的安全设备 , 来控制进出这个区域的流量 , 如下图所示:
“等保”是等级保护的简写 , 在设置数据中心服务器区域的时候 , 不同业务的服务器的等级保护是不一样的 。 比如后台存储 , 带库 , 数据库这些服务器的等保和Web、前端、APP的等保就不一样 。 而在数据中心网络中 , 防火墙的功能 , 就是用来划分“等保” , 同时用来控制不同等保之间的互访 。
那如何更好的来理解这个“等保”的概念呢?

技术编程|网络架构,是数据中心的“神经脉络”
本文插图

在目前的数据中心网络架构中 , 要考虑到不同等保之间的流量控制 , 又要考虑到在设计路由的时候的简便和快捷 , 目前数据中心的防火墙几乎都会采用旁路的方式来部署 , 再配合汇聚交换机上的VRF来控制流量 。
02 数据中心网络分区的方式
分区的划分方式有以下三种 , 不同分区方式各有优缺点 , 通常结合使用 。
A.按照服务器类型分区
比如x86服务器、小型机、刀片机、大型机、虚拟机进行分类 。 完全按照服务器型号分类的话 , 在实际应用中 , 可能某个企业小型机被大量使用 , 而大型机几乎没用 , 就会导致小型机的网络区域流量巨大而大型机这个区域闲置了 。 所以 , 现在的数据中心 , 几乎看不见如此分配区域的情形了 。
B.按照应用层次分区
比如Web、APP是前端服务器 , 而数据库、存储、NFS这些是后端服务器 , 所以把前端服务器放在一个区域 , 后端服务器放在一个区域 。 在有些企业的数据中心 , 也确实是这么分区的 。 比如 , 所有的Web服务器放在“综合业务区” , 把数据库就放在“生产管理区”(你也看出来 , 连区域名字都起得那么“模糊” ) 。 如此分区的好处是便于管理 , 因为前端服务区域和后端服务区域不在一个等保内 , 前端服务区域直接面对办公 , 后端区域则为前端区域服务 , 如下图所示:
这种区域的设置方式的好处是便于分开管理 , 但是坏处也是运维起来屁事太多 。 比如 , 前端新上线了一个APP , 后端需要相应的数据库支持 , 此时系统运维人员就要找网络运维人员 , 请他们在后端区的防火墙上开通相应的安全策略 。 考虑到前端和后端对接也有诸多非网络的问题 , 加上前端和后端之间又有防火墙的“阻碍” , 所以一旦前端和后端的通信出了问题 , 网络运维人员就很容易“被背锅”了 。
C.按照应用类型划分
例如核心服务 , 公共服务 , 办公区域 , 隔离区域 , 开发测试区域进行划分 。 这种分区的好处就是 , 一个“功能业务”的前端服务器和后端服务器都在一个等保内了 , 在前端和后端对接的时候 , 网络运维人员不至于因为防火墙策略的原因而“背锅” 。 但是这样划分又会显得网络规划有点“混乱” 。 对于一些对前期IP地址规划不太重视的管理员来说 , 可能会对前端服务器和后端服务器的IP地址规划带来些麻烦 。 比如 , 给核心服务器区的IP地址段是10.114.128.0/21 , 在这里有10.114.128.0/24---10.114.135.0/24 , 整整16个C段 。 但是对于不严谨的管理员来说 , 可能会让10.114.128.0/24做前端的IP地址 , 10.114.129.0/24做后端的IP地址 , 这样的话 , 前端和后端的IP地址段就“交叉”了 。


推荐阅读


上一篇:行业互联网|「今日经开区」| 足音铿锵!盐城经开区高质量发展阔步前行

下一篇:手机使用技巧|终于搞明白了!手机弹出“系统更新”,究竟要不要更新?