《企业私有云建设指南》一3.2.3云管理平台设计

举报
华章计算机 发表于 2019/06/04 14:33:11 2019/06/04
【摘要】 本书摘自《企业私有云建设指南》一第三章,第3.2.3节,作者是孙杰 山金孝 张亮 张婷婷

       3.2.3 云管理平台设计

       云平台系统的整体架构如图3-3所示,系统分为物理资源层、虚拟资源层、云管理平台层和云计算服务层。
       上文提到的服务器资源和存储资源、网络资源等构成了物理资源层,它们通过虚拟化软件形成统一的虚拟化资源,并通过云平台管理系统,将物理设备和系统资源整合为统一的计算资源池、存储资源池和网络资源池,在此基础上根据用户的需求,自动划分资源,在资源管理平台和业务服务管理平台的支持下为用户提供丰富的云服务。
       云平台从运维、运营与用户三个层面对私有云进行资源管理和运营管理,如图3-4所示。
       云管理平台是一个用来创建云基础架构(IaaS)的平台。云管理平台允许企业在公司内部设立一个服务于企业自身的私有云。当前VMware、Citrix和Microsoft提供的虚拟化平台主要帮助企业的IT人员可以像以前管理物理机一样管理他们的虚拟机。而云管理平台是帮助非IT人员能够通过自服务的方式使用虚拟机服务。

image.png

image.png

       云管理平台包含管理服务器以及业界标准的虚拟化软件(如XenServer、vSphere、KVM等)的扩展。管理服务器可以部署在一台服务器或一组服务器集群上。管理服务器对所有节点上的资源进行统一管理并提供Web接口给管理员和用户,使他们可以对权限内的资源进行访问和操作。
       云管理平台系统将要实现的目标包括:
       ◆   对本项目建设物理资源、网络资源和虚拟资源,并进行统一的管理。
       ◆   由于不同的应用资源处于不同的内网或外网条件下,建设的云管理平台可以跨网络管理。
       ◆   纳管已有的物理资源和网络资源。先纳管部分资源,根据使用情况,逐渐将所有物理资源和网络资源纳管进来。
       ◆   实现对所有信息资源,包括物理计算资源、虚拟计算资源、物理网络资源、虚拟网络资源的自动化管理。
       ◆   云管理平台提供可视、可控、可管的运维系统。

       3.2.4 网络资源池设计

       云管理平台管理内网(private)、直连网络(direct)和公网(public)的IP分配。管理员首先将可供分配的内网、直连网络和公网IP输入系统。主要有两种网络模型可供创建:直连网络和虚拟网络。
云管理平台的资源域也分为两类:基本网络资源域仅能创建直连无标记(untagged)网络,高级网络资源域除此之外还可以创建虚拟网络以及直连带标记(tagged)网络。

       1.直连网络

       在直连网络中,虚拟机直接在本地子网中分配IP地址。这些虚拟机可以直接访问Internet,也没有任何NAT(网络地址转换)。它们的网络封包不经过任何虚拟路由器。因此,直连网络无法获得云管理平台中的软负载平衡、防火墙和端口转发等功能。
       直连网络的用户根据配置的不同,可以与其他直连网络用户相通或隔离。在直连带标记网络中,管理员对资源域内部的每位用户分配特定的VLAN标识和IP段。用户的虚拟机可以从虚拟路由器(相当于DHCP服务器)获得IP地址。直连带标记网络可以让用户的虚拟机方便地与外界网络互联互通,包括管理服务器。
       直连无标记网络则采用了类似于亚马逊的安全组概念以对每位用户进行隔离,而不采用VLAN。所有用户无论账号如何都在同一个广播域内。直连无标记网络常使用在私有云中。所有的Hypervisor类型都可以支持直连无标记网络,但只有XenServer和KVM的节点可以设置安全组。

       2.虚拟网络

       在虚拟网络中,用户的虚拟机部署于私有虚拟网络中。每个用户的虚拟网络均通过VLAN与其他用户的虚拟网络隔离。每个用户的所有客户机也在自己的VLAN中被分配相应的网络接口。
       可以用两种方式建立虚拟网络:基于虚拟路由器和基于外部路由器。
       1)云管理平台在安装时就提供了一个虚拟路由器。这个虚拟路由器可以提供DNS、DHCP、网关、NAT、负载平衡和VPN服务。
       2)基于外部路由器的虚拟网络使用第三方厂家的路由器设备提供网关和NAT服务,而DNS和DHCP依旧由虚拟路由器完成。
       虚拟网络的部署必须使用虚拟路由器或外部路由器。在虚拟网络中,同一个用户的不同虚拟机因为处于同一个VLAN,它们之间的网络通信不通过虚拟路由器。VLAN起到对用户进行隔离的作用:不同账户的用户使用不同的VLAN。
       在虚拟网络中,每一个用户会被分配一个外网IP地址,但用户可以申请更多的外网IP地址。外网IP地址是指用户实际访问虚拟机的IP地址。
       ◆   通过虚拟路由器建立虚拟网络
       每个账户都被分配一个虚拟路由器。所有此账户拥有的外网IP地址也都分配给这个虚拟路由器。这个虚拟路由器是虚拟机和外网通信的管道,并且为虚拟机提供DNS、DHCP以及NAT服务。虚拟路由器的存在使得云管理平台可以为用户提供很多网络功能。例如:将发送至某个外网IP的包转发至一个指定的虚拟机,或是在多个虚拟机之间进行流量的负载平衡,使得通过有限的公网IP可以提供更可靠的服务。
通过外部路由器建立虚拟网络
       每个账户仍然被分配一个虚拟路由器,但所有此账户拥有的外网IP被分配给外部路由器。外部路由器成为虚拟机和外网通信的桥梁,并提供NAT服务。虚拟路由器仅提供DNS和DHCP功能。负载平衡可以由外部路由器或者虚拟路由器完成。
       一个账户可能既拥有在虚拟网络中的虚拟机,也拥有在直连带标记网络中的虚拟机。在这种情况下,这个账户将拥有两台虚拟路由器,一台虚拟路由器负责资源域VLAN的管理,另一台虚拟路由器负责直连带标记VLAN的管理。
       在同一个资源域里基本网络不能与虚拟网络或直连带标记网络共存。而一个云环境可能包含一个基本网络资源域、一个虚拟网络与直连带标记网络共存的资源域。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。