CN109547239A - 基于三层网络架构的异地云数据中心管理系统 - Google Patents

Abstract

本发明公开的基于三层网络架构的异地云数据中心管理系统，包括中央管理层，域管理层和受管资源层；中央管理层部署所有功能组件模块，负责全局资源管理和云服务运营管理，包含云数据中心各类前端实现功能和数据存储功能；域管理层隔离受管资源层与中央管理层的直接通信，域管理层用于实现对各个异地云数据中心和中央管理层之间呈上启下的作用；受管资源层是各个异地云数据中心的基础架构资源，包括受管服务器，存储，磁带库，网络设备和防火墙。本发明公开的管理系统通过三层模型，域管理层的设计，在域管理层和受管资源层承载了大量的管理流量，从而中央管理层的负载进行了分流，实现了多数据中心大规模云化部署的高扩展性。

Description

基于三层网络架构的异地云数据中心管理系统

技术领域

本发明属于数据中心云计算技术领域，涉及一种基于三层网络架构的异地云数据中心管理系统。

背景技术

云数据中心是目前数据中心管理基础资源的典型方式，指的是通过云计算的技术，将数据中心大量基础架构资源进行管理。云计算通常在数据中心采用私有云和混合云的模式实现，通过一个云管理平台，接入各类基础设备，实现对设备的资产管理，资源管理以及常规运维部署操作的统一管理。

目前，云数据中心根据实现方式不同，分为以Openstack为首的虚拟化管理平台和以传统网管平台演变而来的数据中心资源管理平台，其中，虚拟化管理平台各类组件深度和虚拟化结合，要求虚拟化资源在加入云平台管理之前具备受管所需的各类网络、存储、计算条件，但使用上非常便捷易用。数据中心资源管理平台是从对传统物理资源管理演进而来的云计算平台，通过逻辑上整合各类基础架构资源并通过服务模式进行消费，异构化程度高，兼容度强，并能够提供各类监控、采集、报表等传统网管能力。然而，随着分布式应用越来越多，业务系统安全要求越来越高，对于跨数据中心、多数据中心资源管理的诉求也越来越大，如果在每个数据中心均构建一套云计算管理平台不仅浪费资源，而且难以做到全局管理，互相调度，统一展现并且主从数据中心资源管理网络下对网络带宽的苛刻要求，如果在一个数据中心构建一套云计算管理平台，则不仅需要在跨数据中心之间有大量数据交互，所有异地的数据中心资源的访问和调用均需要和主数据中心之间进行交互，极大增加了链路成本。本发明基于构建一套数据中心云计算平台的理念，在云计算平台与底层受管环境之间增加一个代理层，通过代理层将主流的云计算指令和数据进行中转和缓存，则能够在仅部署一套云计算平台的情况下大大降低数据中心之间的交互，提高异地数据中心，为大规模多地域云数据中心管理提供统一的、低延迟、低成本的管理平台系统。

发明内容

本发明的目的是提供一种基于三层网络架构的异地云数据中心管理系统，解决了现有云数据中心管理技术中多管理平台跨数据中心资源管理的部署成本高，无法统一管理调度的问题。

本发明所采用的技术方案是，基于三层网络架构的异地云数据中心管理系统，其特征在于，包括中央管理层，域管理层和受管资源层；中央管理层部署所有功能组件模块，负责全局资源管理和云服务运营管理，包含云数据中心各类前端实现功能和数据存储功能；域管理层隔离受管资源层与中央管理层的直接通信，域管理层用于实现对各个异地云数据中心和中央管理层之间呈上启下的作用；受管资源层是各个异地云数据中心的基础架构资源，包括受管服务器，存储，磁带库，网络设备和防火墙。

本发明的其他特点还在于，

中央管理层部署于云平台的中央服务端，设置有多个中央管理服务器，通过云平台管理网络实现各中央管理服务器之间的通信，云平台管理网络放在若干个VLAN范围内，并用交换机进行转发，内部不设置防火墙。

域管理层部署于受管资源层的各个异地云数据中心，包括多个域管服务器，域管服务器通过中央-域通信网络与所述中央管理服务器进行通信，通过域管服务器上部署的代理服务屏蔽中央管理层，直接向各个异地云数据中心的受管资源展示中央管理层的各项功能，从而降低中央-域通信网络上的防火墙策略、DWDM通道以及VPN点对点的通道数量，保障通信安全；

还用于屏蔽受管资源层的各个异地云数据中心，将各个异地云数据中心的受管资源对应于域管服务器的相关功能抽象为对应数据直接和中央管理层对应实现各项功能的服务进行交互，避免受管资源层被破解导致中央服务器被攻陷。

域管理层用于将部署镜像包、系统升级数据源、数据同步服务等涉及大数据量的内容集中在域管服务器上，在非网络繁忙时段通过域管理服务器上部署的代理服务同步到中央管理服务器。

域管服务器处理对受管资源的数据响应，通过部署的代理服务基于受管资源上报指令中的目标地址IP进行筛选，将非跨数据中心的受管资源通讯需求在代理程服务上全部拦截。

中央-域通信网络承载于直连专用网络、DWDM网络、广域网络或者VPN中，依据各异地云数据中心对跨数据中心安全要求进行防火墙设置和网络网段设置。

受管资源层包括用于管理每个异地云数据中心的多个受管服务器，通过各个异地云数据中心的域-受管资源网络与域管理层进行通信。

域-受管资源网络为各个异地云数据中心的内部网络，包括带内管理网络，用于域管理服务器与各个受管服务器的操作系统直接连接访问，控制受管服务器从事业务相关的调度；

带外管理网络，用于域管理服务器与各个受管服务器的硬件直接连接访问，控制受管服务器的硬件状态、电源状态的调度；

业务数据网络，用于各个受管服务器基于其业务特性与相应业务系统对接的网络，与域管服务器处于隔离状态。

域-受管资源网络按照系统的安全级别具有如下三种连接方式：

松散式管理连接：受管资源按照资源类型分配IP子网和VLAN，子网大小和设备数量匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管服务器通信，其上不设防火墙，各个受管资源之间IP可达，通过系统账户安全保障安全性；

标准业务式管理连接：受管资源按照业务IP子网分配IP子网和VLAN，子网大小与业务子网完全匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管服务器通信，在跨VLAN之间部署防火墙，防火墙策略与域-受管资源网络防火墙策略一致，各个受管资源之间IP可达性与相关业务一致，符合业务访问安全规范；

安全式管理连接：受管资源按照资源类型分配IP子网和VLAN，子网大小通常和设备数量匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管服务器通信，在三层交换机旁路挂载高性能防火墙，要求所有受管资源IP地址仅与域管服务器通信，各个受管资源之间IP不可达，最大限度保障纵向网络流量安全性。

本发明的有益效果是，基于三层网络架构的异地云数据中心管理系统，解决了现有云数据中心管理技术中多管理平台跨数据中心资源管理的部署成本高，无法统一管理调度的问题。采用三层模型，无论是管理平台本身，抑或是虚拟化部署、裸机部署、监控告警、自动化运维等各个模块均在设计实现时采用该三层结构进行实现，有效的将多个数据中心的角色、认证、服务集中在一起，通过统一的平台实现各个数据中心功能的一致化，并且域管理层-受管资源层之间承载了大量的管理流量，从而对中央管理层的负载进行了分流，从而实现了多数据中心大规模云化部署的高扩展性。

附图说明

图1是本发明的异地云数据中心管理系统三层网络架构图；

图2是本发明的异地云数据中心通信示意图；

图3是本发明的异地云数据中心管理系统各层功能图。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

本发明的基于三层网络架构的异地云数据中心管理系统，如图1所示，基于三层网络架构的异地云数据中心管理系统，包括中央管理层，域管理层和受管资源层；整体系统构建时需严格遵循该三层模型，以实现整体架构的灵活扩展，安全可控的目标；中央管理层部署所有功能组件模块，负责全局资源管理和云服务运营管理，包含云数据中心各类前端实现功能和数据存储功能；域管理层隔离受管资源层与中央管理层的直接通信，域管理层用于实现对各个异地云数据中心和中央管理层之间呈上启下的作用；受管资源层是各个异地云数据中心的基础架构资源，包括受管服务器，存储，磁带库，网络设备和防火墙。

中央管理层内部设置有多个中央管理服务器，通过云平台管理网络实现各中央管理服务器之间的通信，云平台管理网络放在若干个VLAN范围内，并用交换机进行转发，内部不设置防火墙；中央管理层负责全局资源管理和云服务运营管理，部署于云平台的中央服务端，所有独立云数据中心的管理平台所包含内容应当全部归结于本层，依据不同受管资源层的各个异地云数据中心管理平台的需求实现包括资产管理、变更管理、监控管理、运维管理、资源部署管理、数据报表管理、工单管理和用户账户管理的功能。

域管理层是本发明的核心分层，具体实现方式依据现有或预计构建的云数据中心管理平台具体功能而定，部署于受管资源层的各个异地云数据中心；包括多个域管服务器，域管服务器通过中央-域通信网络与所述中央管理服务器进行通信，对各异地云数据中心来说，通过域管理层服务器上部署的代理服务屏蔽中央管理层，直接向各个异地云数据中心的受管资源展示中央管理层的各项功能，包括资产管理、变更管理、监控管理、运维管理、资源部署管理、数据报表管理、工单管理和用户账户管理，如果功能类别是松耦合结构，可以通过多个不同类型域服务器分功能分区进行实现，从而降低中央-域通信网络上的防火墙策略、DWDM通道以及VPN点对点的通道数量，保障通信安全；

对中央管理层来说，用于屏蔽受管资源层的各个异地云数据中心，将各个异地云数据中心的受管资源对应于域管服务器的相关功能抽象为对应数据直接和中央管理层对应实现相关功能的资产管理服务、变更管理服务、监控管理服务、运维管理服务、资源部署管理服务、数据报表管理服务、工单管理服务和用户账户管理服务进行交互，避免受管资源层被破解导致中央服务器被攻陷。

域管理层用于将部署镜像包、系统升级数据源、数据同步服务等涉及大数据量的内容集中在域管服务器上，在非网络繁忙时段通过域管理服务器上部署的代理服务同步到中央管理服务器。

域管服务器处理对受管资源的数据响应，通过部署的代理服务基于受管资源上报指令中的目标地址IP进行筛选，将非跨数据中心的受管资源通讯需求在代理程服务上全部拦截。

受管资源层，是各个异地云数据中心的基础架构资源，包括各类服务器，存储，磁带库，网络设备，防火墙等，所实现的具体管理功能和接入情况与具体的异地云数据中心管理系统功能相关，各个不同业务需求实现差异较大；包括用于管理每个异地云数据中心的多个受管服务器，通过各个异地云数据中心的域-受管资源网络与域管理层进行通信。

本发明的基于三层网络架构的异地云数据中心管理系统，适用于各类复杂的多数据中心环境，如图2所示，为双数据中心通信模型，其中中央管理层部署在下侧数据中心，直接连接在数据中心骨干网络路由之上，除中央管理层外，两个数据中心的域管理层和受管资源层部署模式完全相同，各个异地的数据中心之间的网络环境是对等的，网络在多个数据中心基于三层网络模型进行通信时，各个数据中心的基础架构资源均只在本数据中心内部，基于数据中心内部的高速通信网络，与处于域管理层的各个不同类型的域管理服务器(RegionServer)进行通信，域管理服务器会在本数据中心内部模拟中央处理层对应功能服务器下发所有由中央处理层下达的指令，并将所有接受数据上报请求发送至域管理服务器。

域管理服务器在各个数据中心起到模拟中央管理服务器的作用，将所有受管服务器-中央服务器之间的跨数据中心网络流量屏蔽为仅域服务器-中央服务器之间，极大降低了跨数据中心之间的网络对接，另外，可以提前将类似于部署镜像包、系统升级数据源、数据同步服务等涉及大数据量的内容集中在域服务器上，在非网络繁忙时段以批量的形式同步到中央服务器，而由域服务器处理对受管资源的数据响应，可以将非跨数据中心受管资源通讯需求全部拦截。

从安全角度上讲，使用域管理服务器在中间进行屏蔽，使各个异地数据中心内部受管资源仅能看到域管理服务器提供的功能，从而杜绝了受管资源被破解导致中央服务器被攻陷的可能。对于中央服务层来说，仅需要在跨数据中心之间使用为数不多的IP地址在与域管理服务器之间点对点通信，从而降低了骨干网络上的防火墙策略需求、DWDM通道需求以及VPN点对点的通道数量，在保障通信安全性上降低投入成本。

本发明的基于三层网络架构的异地云数据中心管理系统，在构建基于三层网络拓扑的云数据中心管理平台时，需要对当前使用的云数据中心管理平台进行全面分析，将其中松耦合的功能模块拆解成为独立的应用主体，松耦合的应用主体主要判断依据是对应用实现本身，除对接前端用户访问界面接口、外围系统采集接口等北向接口外，应用本身的程序体之间应当是独立运行的，而且对受管资源环境的接入有自身的接入手段和列表存储方式，不同应用主体之间可以公用公共网络资源，如网络端口、网络IP地址等。

如图3所示，在三层网络模型构建时，通常会使用如下网络分类来区分各种不同的通信功能：

云平台中央管理网络，负责云平台中央管理层内部各个服务之间的内部通信，该网络基于中央服务器的复杂程度而定，通常会放在一个或少数几个VLAN范围内，并用三层交换机进行转发，内部不设防火墙；

中央-域通信网络，该网络通常是跨数据中心的网络，承载于直连专用网络、DWDM网络、广域网络或者VPN中，依据数据中心对跨数据中心安全要求进行防火墙设置和网络网段设置；

域-受管资源网络，通常是各个异地数据中心内部的网络，基于基础架构资源数量的不同，会非常庞大，按照网络承载的数据类型不同分为如下类型：

带内管理网络，用于域管理服务器与各个受管资源的操作系统直接连接访问，控制受管资源从事业务相关的调度；

带外管理网络，用于域管理服务器与各个受管资源的硬件直接连接访问，控制受管资源的硬件状态、电源状态的调度；

业务数据网络，用于各个受管资源基于其业务特性与相应业务系统对接的网络，通常与域管理服务器处于隔离状态。

域-受管资源网络按照各个业务系统安全级别要求区分为如下三类：

松散式管理连接：所有受管资源按照资源类型分配IP子网和VLAN，子网大小通常和设备数量匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管理服务器通信，其上不设防火墙，各个受管资源之间IP可达，通过系统账户安全保障安全性；

标准业务式管理连接：所有受管资源按照业务IP子网分配IP子网和VLAN，子网大小与业务子网完全匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管理服务器通信，在跨VLAN之间部署防火墙，防火墙策略与业务网络防火墙策略一致，各个受管资源之间IP可达性与业务一致，符合业务访问安全规范；

安全式管理连接：所有受管资源按照资源类型分配IP子网和VLAN，子网大小通常和设备数量匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管理服务器通信，在三层交换机旁路挂载高性能防火墙，要求所有受管资源IP地址仅可以与域管理服务器通信，各个受管资源之间IP不可达，最大限度保障东西向网络流量安全性。

Claims (9)

1.基于三层网络架构的异地云数据中心管理系统，其特征在于，包括中央管理层，域管理层和受管资源层；中央管理层部署所有功能组件模块，负责全局资源管理和云服务运营管理，包含云数据中心各类前端实现功能和数据存储功能；域管理层隔离受管资源层与中央管理层的直接通信，域管理层用于实现对各个异地云数据中心和中央管理层之间呈上启下的作用；受管资源层是各个异地云数据中心的基础架构资源，包括受管服务器，存储，磁带库，网络设备和防火墙。

2.如权利要求1所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，中央管理层部署于云平台的中央服务端，设置有多个中央管理服务器，通过云平台管理网络实现各中央管理服务器之间的通信，云平台管理网络放在若干个VLAN范围内，并用交换机进行转发，内部不设置防火墙。

3.如权利要求2所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，域管理层部署于受管资源层的各个异地云数据中心，包括多个域管服务器，域管服务器通过中央-域通信网络与所述中央管理服务器进行通信，通过域管服务器上部署的代理服务屏蔽中央管理层，直接向各个异地云数据中心的受管资源展示中央管理层的各项功能，从而降低中央-域通信网络上的防火墙策略、DWDM通道以及VPN点对点的通道数量，保障通信安全；

还用于屏蔽受管资源层的各个异地云数据中心，将各个异地云数据中心的受管资源对应于域管服务器的相关功能抽象为对应数据直接和中央管理层对应实现各项功能的服务进行交互，避免受管资源层被破解导致中央服务器被攻陷。

4.如权利要求3所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，域管理层用于将部署镜像包、系统升级数据源、数据同步服务等涉及大数据量的内容集中在域管服务器上，在非网络繁忙时段通过域管理服务器上部署的代理服务同步到中央管理服务器。

5.如权利要求3所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，域管服务器处理对受管资源的数据响应，通过部署的代理服务基于受管资源上报指令中的目标地址IP进行筛选，将非跨数据中心的受管资源通讯需求在代理程服务上全部拦截。

6.如权利要求3所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，中央-域通信网络承载于直连专用网络、DWDM网络、广域网络或者VPN中，依据各异地云数据中心对跨数据中心安全要求进行防火墙设置和网络网段设置。

7.如权利要求3所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，受管资源层包括用于管理每个异地云数据中心的多个受管服务器，通过各个异地云数据中心的域-受管资源网络与域管理层进行通信。

8.如权利要求7所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，域-受管资源网络为各个异地云数据中心的内部网络，包括带内管理网络，用于域管理服务器与各个受管服务器的操作系统直接连接访问，控制受管服务器从事业务相关的调度；

带外管理网络，用于域管理服务器与各个受管服务器的硬件直接连接访问，控制受管服务器的硬件状态、电源状态的调度；

业务数据网络，用于各个受管服务器基于其业务特性与相应业务系统对接的网络，与域管服务器处于隔离状态。

9.如权利要求7所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，域-受管资源网络按照系统的安全级别具有如下三种连接方式：

松散式管理连接：受管资源按照资源类型分配IP子网和VLAN，子网大小和设备数量匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管服务器通信，其上不设防火墙，各个受管资源之间IP可达，通过系统账户安全保障安全性；

标准业务式管理连接：受管资源按照业务IP子网分配IP子网和VLAN，子网大小与业务子网完全匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管服务器通信，在跨VLAN之间部署防火墙，防火墙策略与域-受管资源网络防火墙策略一致，各个受管资源之间IP可达性与相关业务一致，符合业务访问安全规范；

安全式管理连接：受管资源按照资源类型分配IP子网和VLAN，子网大小通常和设备数量匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管服务器通信，在三层交换机旁路挂载高性能防火墙，要求所有受管资源IP地址仅与域管服务器通信，各个受管资源之间IP不可达，最大限度保障纵向网络流量安全性。