華為FusionSphere虛擬化軟件對(duì)不同場(chǎng)景部署方案

2021/03/19 分類:互聯(lián)網(wǎng)行業(yè) 其他行業(yè) 醫(yī)療行業(yè) 教育行業(yè) 金融行業(yè) 1337 0

1 ?小規(guī)模場(chǎng)景部署方案

小規(guī)模場(chǎng)景定義：管理的主機(jī)數(shù)量：3臺(tái)～50臺(tái)，管理的VM數(shù)量1臺(tái)～1000臺(tái)。

表3-1??小規(guī)模場(chǎng)景部署方案

部署組件內(nèi)容	部署方式	配置要求
FusionCompute管理組件（VRM）說明： VRM(Virtual Resource Manager)：FusionCompute虛擬資源管理，可以管理主機(jī)集群和邏輯集群。	1+1主備部署，物理機(jī)或者虛擬機(jī)部署	網(wǎng)卡：2*10Gbps（建議）其余配置要求具體請(qǐng)參見部署原則。
FusionManager	1+1主備部署，物理機(jī)或者虛擬機(jī)部署	網(wǎng)卡：2*10Gbps（建議）其余配置要求具體請(qǐng)參見部署原則。
UltraVR	虛擬機(jī)部署（建議）	CPU：4核內(nèi)存：8GB 磁盤空間：50GB 管理網(wǎng)絡(luò)帶寬（生產(chǎn)與備份之間管理流量所需帶寬）：10Mbps
eBackup	物理機(jī)部署	CPU：8核內(nèi)存：12GB 磁盤空間：120GB 網(wǎng)卡：1Gbps 每200VM需要部署一臺(tái)eBackup。
FusionSphere SOI	虛擬機(jī)部署（建議）	CPU：4核內(nèi)存：8GB 磁盤空間：300GB

2 ?中等規(guī)模場(chǎng)景部署方案

中等規(guī)模場(chǎng)景定義：管理的主機(jī)數(shù)量：51臺(tái)～256臺(tái)，管理的VM數(shù)量1001臺(tái)～5000臺(tái)。

表3-2??中等規(guī)模場(chǎng)景部署方案

部署組件內(nèi)容	部署方式	配置要求
FusionCompute管理組件（VRM）	1+1主備部署，物理機(jī)或者虛擬機(jī)部署	網(wǎng)卡：2*10Gbps（建議）其余配置要求具體請(qǐng)參見部署原則
FusionManager	1+1主備部署，物理機(jī)或者虛擬機(jī)部署	網(wǎng)卡：2*10Gbps（建議）其余配置要求具體請(qǐng)參見部署原則
UltraVR	虛擬機(jī)部署（建議）	CPU：4核內(nèi)存：8GB 磁盤空間：50GB 管理網(wǎng)絡(luò)帶寬（生產(chǎn)與備份之間管理流量所需帶寬）：10Mbps
eBackup	物理機(jī)或者虛擬機(jī)部署	CPU：8核內(nèi)存：12GB 磁盤空間：120GB 網(wǎng)卡：1Gbps 每200VM需要部署一臺(tái)eBackup。
FusionSphere SOI	虛擬機(jī)部署（建議）	CPU：4核內(nèi)存：8GB 磁盤空間：300GB

3 ?大規(guī)模場(chǎng)景部署方案

大規(guī)模場(chǎng)景定義：管理的主機(jī)數(shù)量：257臺(tái)～1000臺(tái)，管理的VM數(shù)量：5001臺(tái)～10000臺(tái)。

表3-3??大規(guī)模場(chǎng)景部署方案

部署組件內(nèi)容	部署方式	配置要求
FusionCompute管理組件（VRM）	1+1主備部署，物理機(jī)或者虛擬機(jī)部署	網(wǎng)卡：2*10Gbps（建議）其余配置要求具體請(qǐng)參見部署原則。
FusionManager	1+1主備部署，物理機(jī)或者虛擬機(jī)部署	網(wǎng)卡：2*10Gbps（建議）其余配置要求具體請(qǐng)參見部署原則。
UltraVR	虛擬機(jī)部署（建議）	CPU：4核內(nèi)存：8GB 磁盤空間：50GB 管理網(wǎng)絡(luò)帶寬（生產(chǎn)與備份之間管理流量所需帶寬）：10Mbps
eBackup	物理機(jī)部署	CPU：8核內(nèi)存：12GB 磁盤空間：120GB 網(wǎng)卡：1Gbps 每200VM需要部署一臺(tái)eBackup。
FusionSphere SOI	虛擬機(jī)部署（建議）	CPU：16核內(nèi)存：16GB 磁盤空間：300GB

4 ?FusionCompute 主機(jī)部署要求

主機(jī)，即物理服務(wù)器配置要求如表3-4所示。

?說明：

如果所用服務(wù)器非新購入的全新服務(wù)器，建議在配置BIOS前，恢復(fù)BIOS默認(rèn)設(shè)置。

表3-4??主機(jī)配置要求

項(xiàng)目	要求
CPU	Intel或AMD的64位CPU。 CPU支持硬件虛擬化技術(shù)，如Intel的VT-x或AMD的AMD-V，并已在BIOS中開啟CPU虛擬化功能。
內(nèi)存	≥8GB 如果主機(jī)用于部署管理節(jié)點(diǎn)虛擬機(jī)，需至少滿足管理節(jié)點(diǎn)虛擬機(jī)內(nèi)存規(guī)格+3GB。推薦內(nèi)存配置≥48GB
硬盤/U盤	使用硬盤時(shí)，硬盤≥16GB。如果VRM虛擬機(jī)使用本地存儲(chǔ)創(chuàng)建磁盤，則硬盤空間應(yīng)≥96GB。使用U盤時(shí)，U盤≥4GB。
網(wǎng)口	NIC網(wǎng)口數(shù)目≥1。建議網(wǎng)卡數(shù)目為6個(gè)，網(wǎng)卡速率要求千兆以上。
RAID	建議使用1、2號(hào)硬盤組RAID 1，用于安裝主機(jī)操作系統(tǒng)，以提高可靠性。

5??組網(wǎng)安全防護(hù)與對(duì)外開放

本節(jié)介紹FusionManager系統(tǒng)的組網(wǎng)安全防護(hù)，供您了解FusionManager的安全防御策略和安全使用建議。

物理部署

FusionManager的物理部署如圖3-1所示。

圖3-1??物理部署圖

FusionManager采用主備架構(gòu)，與FusionCompute對(duì)接管理虛擬資源，同時(shí)管理交換機(jī)，防火墻設(shè)備。

PVM為用戶部署服務(wù)時(shí)自動(dòng)創(chuàng)建的虛擬機(jī)，通過它向用戶虛擬機(jī)提供軟件安裝服務(wù)和應(yīng)用監(jiān)控服務(wù)。

邏輯組網(wǎng)

FusionManager的邏輯組網(wǎng)如圖3-2所示。

圖3-2??邏輯組網(wǎng)圖

圖中總共有五個(gè)安全防御點(diǎn)，每個(gè)安全防御點(diǎn)的說明如下：

通過使用防火墻的NAT將FusionManager系統(tǒng)的租戶API和租戶UI的端口（請(qǐng)參考《FusionManager 通信矩陣(服務(wù)器虛擬化)》，篩選“外部+租戶面+管理面/租戶面”類型的端口）映射到非信任網(wǎng)絡(luò)，達(dá)到開放租戶API和租戶UI對(duì)外開放的目的。租戶可通過租戶UI對(duì)租戶資源進(jìn)行管理；第三方運(yùn)營(yíng)系統(tǒng)可通過租戶API對(duì)租戶資源進(jìn)行管理。
運(yùn)維人員通過管理UI對(duì)系統(tǒng)資源進(jìn)行管理；第三方運(yùn)維系統(tǒng)和運(yùn)營(yíng)系統(tǒng)通過管理API對(duì)系統(tǒng)資源進(jìn)行管理。第三方運(yùn)維系統(tǒng)和運(yùn)營(yíng)系統(tǒng)與FusionManager系統(tǒng)及FusionManager所管理的設(shè)備處于一個(gè)信任網(wǎng)絡(luò)（信任域）內(nèi)，一般通過VPN相通，此時(shí)設(shè)備網(wǎng)絡(luò)，系統(tǒng)內(nèi)部端口對(duì)運(yùn)維和運(yùn)營(yíng)網(wǎng)絡(luò)可見。對(duì)于對(duì)系統(tǒng)安全性較高（如要求與設(shè)備面隔離）的客戶，也可以通過在交換機(jī)上配置ACL策略（請(qǐng)參考《FusionManager 通信矩陣(服務(wù)器虛擬化)》，篩選“外部+管理面+管理面/租戶面”類型的端口并將端口開放）來達(dá)到此目的，從系統(tǒng)安全角度，推薦使用該方式。
由客戶提供的Samba服務(wù)器與FusionManager對(duì)接，供用戶上傳下載ISO鏡像和軟件。一般情況下，Samba服務(wù)器與FusionManager系統(tǒng)處于一個(gè)信任網(wǎng)絡(luò)（信任域）內(nèi)，可以通過VPN相通。
Samba服務(wù)器的安全加固和防護(hù)由客戶來評(píng)估與保障。從網(wǎng)絡(luò)安全角度，建議：
- 如果與FusionManager系統(tǒng)不在一個(gè)信任網(wǎng)絡(luò)內(nèi)，可以通過設(shè)置網(wǎng)關(guān)交換機(jī)的ACL策略進(jìn)行安全防護(hù)。
- 如果與FusionManager系統(tǒng)在一個(gè)信任網(wǎng)絡(luò)內(nèi)，可以通過VPN等方式保證與FusionManager系統(tǒng)連通。
用戶通過用戶網(wǎng)絡(luò)訪問用戶虛擬機(jī)，用戶可選擇通過防火墻ACL或NAT策略過濾，從而對(duì)用戶虛擬機(jī)進(jìn)行安全防護(hù)。
軟件安裝服務(wù)器（PVM）和管理網(wǎng)絡(luò)與用戶網(wǎng)絡(luò)都相通。為防止惡意用戶通過該節(jié)點(diǎn)侵入管理網(wǎng)絡(luò)，本系統(tǒng)已經(jīng)在PVM服務(wù)器中采用了Iptable對(duì)用戶面進(jìn)行了隔離。

租戶API與租戶操作界面的對(duì)外開放

如圖3-2中的“1”所示，可使用防火墻的NAT將FusionManager系統(tǒng)的租戶API和租戶UI的端口映射到非信任網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)外開放租戶API和租戶UI的目的。

具體的端口信息，請(qǐng)參考《FusionManager 通信矩陣(服務(wù)器虛擬化)》文檔，篩選“外部+租戶面+管理面/租戶面”類型的端口。

具體配置方法可參考下方的配置舉例。

配置租戶API與租戶操作界面的對(duì)外開放舉例

通過此舉例，您可以了解到FusionManager租戶API與租戶操作界面的對(duì)外開放的典型組網(wǎng)和配置方法。組網(wǎng)圖如圖3-3所示。

?說明：

如果在配置完成后修改了FusionManager的管理IP，需要重新配置租戶API與租戶操作界面的對(duì)外開放。

圖3-3??租戶API與租戶操作界面對(duì)外開放典型組網(wǎng)圖

組網(wǎng)說明

運(yùn)營(yíng)商網(wǎng)絡(luò)已接入互聯(lián)網(wǎng)，用于互聯(lián)網(wǎng)用戶訪問FusionManager的公網(wǎng)IP“10.185.40.43”可以被正確路由到運(yùn)營(yíng)商核心交換機(jī)“10.188.1.1”。
FusionManager的浮動(dòng)IP為“10.188.40.43”。
FusionManager租戶API與租戶操作界面對(duì)外開放需要放開下列端口：
- TCP端口:21、80、443、543、6081、30000-30100。
- 具體的端口信息，請(qǐng)參考《FusionManager 通信矩陣(服務(wù)器虛擬化)》文檔，篩選“外部+租戶面+管理面/租戶面”類型的端口。
FusionManager物理網(wǎng)關(guān)位置為防火墻，防火墻組網(wǎng)類型為static-route。
使用防火墻的GigabitEthernet 1/0/0端口做為Trust口，GigabitEthernet 1/0/1端口作為Untrust口。
關(guān)鍵網(wǎng)絡(luò)設(shè)備型號(hào)：
- 防火墻型號(hào)：Huwei Eudemon8000E-X3&8000E-X8&8000E-X16 V200R001C01SPC900
- 企業(yè)匯聚交換機(jī)型號(hào)：Huawei Quidway S5300 V200R001C00SPC300