维普资讯 http://www.cqvip.com
技术应用・两络 网络资源虚拟化技术 在银行数据中心的应用 兴业银行信息科技部王福宁 目前,各家银行的数据中心都集中了大量的应用 交换机上,通过一个VIP(ViSual IP Address)来对客 和系统,业务需求的迅猛增长使得应用的推出和升级速 度不断加快,数据中心不断面临着规模扩张要求,并要 户端提供服务,并采用负载均衡策略和建立服务器中心 (Server Farm)实现后台众多服务器的负载均衡,如图 l所示。 求获得更多的硬件,网络和人力等资源。然而,在现有 的设备和资源中,有相当部分并没有获得充分利用,通 过进行资源整合和智能分配,可以在一定程度上解决以 上问题。借助网络资源虚拟化技术,可以在主机上采用 LPAR(Logic PARtition)虚拟分区技术实现主机系统资源 的合理分配,在存储应用方面则可以通过SAN(Storage Area Network)来搭建存储资源整合平台,该应用已经 在银行数据中心取得实际应用,运行效果良好。 一、虚拟化应用与资源 集群是一种应用虚拟化的实现方式,就是对多台服 务器进行资源整合,形成一个整体之后再对外提供一个 虚拟的应用服务,从而达到提升总体性能的目的。 该数据中心采用CISC0的A CE(Application 服务器1 服务器2服务器3服务器4 Control Engine,应用控制引擎)来实现虚拟化应用与 后台资源整合功能。ACE可以安插在CISC0 6500系列 图1通过虚拟服务地址访问后台服务器 FINANCIAL COMPUTER OF CHINA 2008・2 8 3 维普资讯 http://www.cqvip.com 团} ・同络 在安全管理控制上,ACE提供了基于角色的控制 资源对象通过资源类(Resource Classes)来获取实 (RBAC),可以把不同的角色赋予不同的用户,用户 体设备的资源。获取的方式是:首先在初始的系统配置 必须通过授权机制来获得某个或多个角色,然后才具有 中, ̄Admin Context中,定制资源类,这个过程相当 这些角色中的一系列权限。ACE提供的角色有:超级 于创建一个模板。然后把资源对象与某个资源类关联起 管理员、网络管理员、网络监控、应用维护、安全管理 来,资源对象才能真正获得到资源。比如定制了一个20% 员、负载均衡管理员、SSL管理员。 的资源类,同时关联于3个资源对象,那么每个资源对象 都能获得ACE总资源的20%,如图3所示。 二、虚拟化网络设备和资源及实现方式 一一———~、 通过虚拟分区技术,将一个单一的ACE物理设备 ~一一 虚拟成为多个逻辑设备,并在管理维护上提供具有基于 角色的访问控制,对每个逻辑资源组进行单独分发和管 理,如图2所示。 图3如何划分资源 之v/ ^\1 有些应用所需要获得的资源并不是固定不变的。在 L/ … 业务高峰期,它会要求动态获得较多的资源,而在其他 ■ 时间仅需占用很少的资源,这要求每个虚拟设备能够根 、■——■ :设备 据各自应用的真实情况,动态地获得或释放资源,这点 也可以通过资源类完成。在资源类内,可以指定各种资 源分配策略。 } q 、、 , (1)可以根据应用的实际情况来指定最多获得资源值 i古’ Il一’ ¨ ¨ _ 和最少获得资源值。 (2)ACE还允许以下这些资源的分类管理,包括: ACL内存 当前链接数 管理链接数、代理链接数、按 :HR 巽1 HB 晏垦,HB . 坚1 I 服务器中心AWe I比率划分资源(数量每秒)、正则表达内存 SSL链接 . 服务器中心B盯P i 数、粘连条目和静态或动态翻译地址数等等。 图2虚拟设备提供虚拟服务 缺省情况下的单个物理设备能够虚拟化成5个 三、虚拟化应用的热备冗余 运行的设备。每个虚拟设备称为一个资源对象 可将两个物理的设备设计为热备冗余架构,为其 (Context),其可以拥有单独属于自己的资源,包括应 上运行的各类应用提供更可靠稳定的服务。在这种模式 用均衡策略、访问接口 域、服务器中心、真实服务器 下,ACE构成一对同位体(Peer)。当其中一个设备出 (Real Server)、配置文件 管理员等,并且有自己独 现故障的时候,另一个设备可以检测到,并且接管所有 立的维护平台。 的应用。除同位体之间的故障切换外,还可以将网关、 84 每禽盘磁避踮2。。8 2 维普资讯 http://www.cqvip.com 技术应用・网络 交换机运行状态和同位体关联起来,如果Peer之外的网 关或交换机出现问题,同位体也可以根据需求进行切 换。 (State Information Replication Data)。状态信息复制的 内容包括:地址翻译记录、TCP连接数、UDP连接数、 HTTP的连接状态、粘联表等。它保证了新的设备能够完 每个同位体下有可建立多个失效容忍组[Fault— Tolerant(FT)Groups】。失效容忍组是单独运行的 实例,每个失效容忍组由两个资源对象组成,分别 来自两个ACE实体设备,一个资源对象设置为主用 全即时接管所有的应用。 如果在规划中有多个虚拟资源设备,并且还考虑采 用热备方式,那么可以此方案基础上对资源的分配做更 进一步的优化。例如,可以综合当前的网络环境和网络 状态(Active),另一个资源对象设置为备份状态 (Standby),如图4所示。 设备1 设备负载情况,将主用状态的资源对象分开部署,如图5 所示。 资源对舞 资源对象B ?资弼c瓣彝蜘鞣 (主用状态) (主用状态) . 鬃 (资备源份对状象态B ):(资主溺份时状雾 (_ 资 嚣0 备源份对状象态D )同位体 一一一一一一一一一一一一一一一一一一一一一 申 资 卜 设否 攀 (资主源用对状象态B 叠) (资主源用对状象态D )设备2 L………………一一.J 图4热备冗余模式 图5热备冗余的优化部署 在热备冗余模式中涉及的相关技术点有以下几种。 (1)虚拟MAC地址技术 失效容忍组中有一个虚拟的MAC地址,可以在两个 资源对象之间浮动。当这个失效容忍组发生切换时,浮 四、数据中心部署案例 本方案中采用ACE单臀部署模式,既可以实现客户 端通过负载均衡访问后台服务器,也可以为客户端提供 动MAC地址会随之切换到新的主用状态的资源对象上。 这时,虚拟服务的IP地址不变,且MA C地址也不变,因 此对获取应用服务的客户来说是透明的。 (2)心跳(Heart Beat)监测 穿越负载均衡(Bypass)访问单独服务器的需求,总体 结构如图6所示。 两台CISCO 6509之间建立主干(Truck)通道,用 于转发生产数据流以及ACE冗余协议数据流、心跳监测 Peer内的两个设备之间通过发送心跳包来互相监控 数据流等其他一些管理流量。 对方,得知彼此的健康状态。 通过服务器中心,实现了后台众多服务器的集群。 采用Load Balance功能实现了负载均衡策略和虚拟服务 (3)全状态容错(Stateful Failover)技术 同位体内除了发送心跳包,还有冗余协议包 地址的发布。使用探针机制实现了ACE对后台服务器状 (Redundancy Protocol Packets)和状态信息复制包 态的实时监控。 FINANCIAL COMPUTER oF CHINA 2008・2 8 5 维普资讯 http://www.cqvip.com
技术应用・网络 图5热备冗余的优化部署 VLAN 950用于A CE之间的监测VLAN。VLAN 动。当6509一l与外界设备所连接的网关宕机时,根据 951用于应用A的业务数据VLAN。VLAN 952用于应用B HSRP机制,网关会自动切换f ̄6509—2。ACE同时感应 的业务数据VLAN。 到这个事件,于是,在ACE1之上的资源对象及其所负责 在ACE模块上建立虚拟分区,并将预先定制的资源 的应用连接也会自动切换到ACE2上。圆 策略下发到每个虚拟分区中。考虑到今后可能有扩充虚 拟分区内资源的情况,我们事先预留了30%的资源。 在每台CISCO 6509上各配置一块ACE,并建立上述 的热备冗余机制,给应用系统提供了安全稳定的服务质 量保证。 将ACE设置为可以 ̄6509本身的HSRP机制产生联 _ 目 : angxiaojun一@ic—c,com 一.cn 86 中国盒融电脑2008・2
