企业云计算解决方案 Cloud Computing

企业云计算解决方案Cloud Computing 云端运算(Cloud Computing)在政府及企业间造成一般风潮,传统的商业应用程序如: ERP、Database、Web服务 ….等所需之IT基础架构,非常复杂及昂贵,要有专用的数据中心机房、网络带宽、电力设施、空调设计、伺服主机、储存设备等,另外还有安装、设定和维运等事务。云端技术的出现让企业IT架构有了更佳的营运模式,当使用云端中的任何应用程序时,只要登入、自定义需求后,就可以马上开始使用服务,在云端运算的环境下,当IT与服务连结后,无论是服务本身与弹性都将加快进程,整个IT架构都将与过去有极大的差异,让过去以「技术」为主的IT部门在「流程」上扮演更为重要的角色。 

HP CloudSystem Matrix可以在数分钟内提供IT服务的融合式基础架构 
现今一般 IT 预算中只有34%具体用于业务创新。主要是因 IT 日益蔓延散乱,导致数据中心采用许多不同的技术,光是用于维护和作业的成本,就消耗高达 66% 的科技预算,HP的融合式基础架构 (HP Converged Infrastructure Architecture) 与其相关服务,为信息长提供蓝图以建立弹性灵活的科技环境,支持业务的创新发展。 

使用HP融合式基础架构 (HP Converged Infrastructure) 提升数据中心环境,企业从此只需专心发展创新事业,并让科技成为创造竞争优势的主要推手。此架构整合目前的运算、储存、网络和设备资源仓储,并透过统合管理,提供虚拟化与高度自动化的科技环境。HP集合许多可实时共享的服务,让企业增加 IT 环境的弹性,进而加速享受应用程序所带来的价值。 HP融合式基础架构 (Converged Infrastructure) 
HP融合式基础架构 (Converged Infrastructure) 消弭封闭式技术问题,简化数据中心的复杂度,更能善用目前的每一分科技投资。透过单一管理,所有资产都成为资源库的一部分,可按个别业务工作量或应用程序需求进行动态分割、重组和变更。HP跨基础架构将这些资源运用优化,让各公司增进 IT 运用的效益,更达到节能及降低成本。 

全新的HP融合式基础架构 (HP Converged Infrastructure Architecture) 内含数项技术创新并提供以下效益︰ 
  • 实时提供共享服务,增进事业灵活度
  • 只需连接一次的网络架构,显著降低成本和复杂度 
  • 优化任何应用程序或工作量的资源运用
  • 改善数据中心的能源效益及管理 

HP数据中心智慧网格(HP Data Center Smart Grid) 为科技基础及数据中心设备提供一个智能化及注重能源的环境。企业首度可透过可视化接口实时且正确地监督和控制能源的使用。在HP数据中心智慧网格的协助下,企业可利用正确的信息设定能源使用政策,并监督其持续效能,确保企业能遵循内部、环保或政府规范和目标。 HP CloudSystem Matrix 具备 HP 融合式基础架构的所有优势。Matrix 是业界首见整合服务器、储存与网络的平台,将信息中心的传输服务自动化,其内建的 The Matrix Orchestration Environment (MOE) 则提供一个统整的管理接口,二者建立起可同时进行实体与虚拟运作的整合资源槽,建造第一座真正business-ready 的基础架构。 

近年来,云端运算 (Cloud Computing) 成为信息服务业最被重视的技术,各企业纷纷力求虚拟化整合以建构云端运算服务。然而,HP发现许多企业在迈向云端服务的路程上,首先要面临的就是虚拟服务器蔓延,而虚拟与实体混搭的IT环境显得更不易管理。因此,寻求一个建构整合基础架构 (Converged Infrastructure) 的解决方案以简化纷乱复杂的IT环境,遂成为企业亟需处理的课题。HP全新推出的 CloudSystem Matrix 恰如实时雨一般,能够解决这些问题,为整体基础架构的整合开创出一个全新的局面。 

HP CloudSystem Matrix 是新一代整合性基础架构的点金石,它让客户享有系统简化、省时、省人力与成本等极大益处。Matrix让信息中心能够在1,000台实体或虚拟服务器上的应用程序,进行资源的实时交互传输。这个汇集成的巨大资源槽,让管理者能以较低的成本拥有一座适应性基础架构,同时也可以控制电力消耗并视业务需求弹性调整信息中心的配置。 HP CloudSystem Matrix平台 
此平台以HP CloudSystem portfolio 为基础,提供极优越的能源管理,透过 HP Dynamic Power Capping ,用户可以将科技基础架构的电能发挥到两倍,同时能够抓取电力使用记录以协助电力预算控制与运用规画。​
 

Mcloud及vCloud建置服务

企业私有云提供以云端的角度让企业、事业单位重新思考业务与信息整合的新思维、新模式,企业IT须具备自动化管理机制,来因应使用单位需求调配虚拟化后的资源,包含机器、服务、储存设备和网络。可以动态弹性的依据企业内部使用单位来开发、派送、部署、管理所需的应用软件和IT整体架构,达到动态IT配合企业业务弹性的市场需求目标。 

企业私有云将使用者区分为两种:数据中心管理员(Data Center Administrator)和应用程序拥有人(Application Owner)。数据中心管理员着重在基础建设的管理,将数据中心之基础建设整合为一资源池,以服务的方式提供给应用程序拥有人使用。应用程序拥有人则是透过自助服务入口网站,使用数据中心的相关资源。 

企业私有云的主要特征 
• 资源共享 
• 快速弹性 
• 自助服务 

大同世界科技公司协助企业客户,透过六个标准步骤与国际大厂(Microsoft、VMware)所提供之私有云平台,迅速建立企业内部私有云。 

应用Microsoft与VMware所提供的工具建置企业私有云
企业私有云系统架构图 

自助入口网站客制化 
于内部服务与自动化流程均提供Web Service接口,因此可根据客户实际需要,将自助服务入口网站重新开发,完全符合企业内部流程需要之自助入口网站。 

自动化流程(Runbook)开发与服务上架 
基础的企业似私有云所提供的服务重点在于虚拟机的管理,包括Provision与De-provision。可扩充现有Provision/De-provision流程,加入符合企业需求之作业,如开通完成通知、网络环境社顶等。另外,除虚拟机管理外,可自动化的范围尚包括Active Directory管理、告警处理自动化、软件安装与Patch自动更新等功能皆可透过企业私有云所提供的服务上架机制,在自助服务入口网站上提供相关服务。  
 

云计算网络基础架构

面对服务器虚拟化(Server virtualization)、I/O虚拟化(I/O virtualization)、云端运算(Cloud computing)、桌面虚拟化(Desktop virtualization)、网络安全(Security)、备份与异地备援等云端网络需求,数据中心基础架构需要进行根本上的变革,以因应这些快速变化。这些新的数据中心服务,必须建置一个统一的管理界面、采用业界标准技术、使用互操作性技术,并实行可整合的网络安全架构。最重要的是,这样的新的数据中心网络基础架构,必须能配合服务器与储存设备云端技术的快速发展。 

HP的FlexFabric云端网络基础架构,是基于高效能、高扩展性、高可用度、低网络等待时间的设计,在架构上采取的原则是 –单纯的网络设计,统一设备管理接口,及提供整合的安全环境。HP FlexFabric高效能云端网络基础架构,其技术与解决方案如下图所示: 

HP FlexFabric高效能云端网络基础架构的特点如下: 
• 汇合(Converge) –合并储存设备与服务器的I/O连接,汇合网络与储存设备。 
• 智能管理(Orchestrate) –集中化的管理,整合管理联机规则(policies),并统一由数据中心来做所有资源的布署。 
• 扩展性与安全性(Scale + Secure) –可扩展到1000台以上的服务器,而储存设备可扩展到数TB以上。HP FlexFabric架构可同时确保网络的安全性、效能与灵活性。 
• HP FlexFabric使用业界标准协议,可降低客户在建构云端网络时的风险与成本,同时,使用各种标准协议也有助于客户在未来,轻易地将企业应用程序由私有云端网络转移到公共云端网络。 
• HP提供了单一的FlexManagement整合管理接口,可以让客户由单一平台,管理云端网络上的网络组件与相关解决方案。 
• HP FlexFabric在数据中心提供了完整的安全架构,可同时保护实体与虚拟网络;保护企业的私有云端网络与企业的公共云端网络。 

FlexFabric高效能云端网络基础架构,包含了以下几种主要的先进技术: 
• FCoE(FibreChannel over Ethernet) –网络与储存设备架构整合 
• EVI(Ethernet Virtual Interconnect) – 跨数据中心整合方案 
• TRILL(Transparent Interconnection of Lots of Links) – 新世代数据中心架构 
• SDN(Software-defined Networking) – 网络虚拟化架构 

FCoE (FibreChannel over Ethernet) 网络与储存设备架构整合 

数据中心网络整合的最大挑战,是在同一种网络接口下满足各种不同型态的联机需求及满足不同数据流需要的联机服务等级。从网络的角度来看,为解决既有数据中心网络架构复杂、管理困难的问题,需要建立一种连接数据中心内所有系统的单一互连机制,FCoE整合方案,能将服务器所有I/O接口、交换器I/O接口整合使用相同的传输技术,从物理层出发,将不同的传输需求(Ethernet、FibreChannel)整合到同一个网络技术架构下,FCoE技术所整合的网络与储存架构如下图所示: 

FCoE网络与储存架构整合,可以为数据中心带来以下优势: 
• 大幅减少网卡、交换器、布线数量 
• 服务器网卡、交换器规格、线材规格标准化 
• 减少电源与冷却系统输出,符合绿色节能机房需求 
• 结合局域网络与储存网络,大幅降低整体投资成本 
• 设备整合集中,资源有效利用,管理容易 
• 网络架构设计单纯,故障排除容易 
• 大幅简化建置与管理平台,虚拟化的基础设备资源则建构于其上,管理人员则透过智能化的操作环境来进行网络管理。 

EVI(Ethernet Virtual Interconnect) 跨数据中心整合方案 

HP EVI跨数据中心整合方案,提供了一个快速与简易的跨数据中心连接解决方案,与过去的DCI(Data Center Interconnection)方案最大的不同点在于,HP DCI并不需要底层的DWDM、MPLS/VPLS的架构为基础,可直接建置于IP网络之上,可快速为企业数据中心,建立Layer 2的网络架构延伸,可提供跨地域的通透性网络,为企业云端数据中心提供更高的可用度与可靠度。HP EVI跨数据中心整合方案,可在既有的IP网络之下,最多连接8座数据中心网络,将这些数据中心,整合成一个透通的跨地域逻辑数据中心,如下图所示:
 

HP EVI跨数据中心整合方案的优点如下: 
• 可做为数据中心的跨地域延伸与数据中心整合,提供长距离的VM迁移,提供不中断的数据中心服务。 
• 可建置于不同的企业环境,包含IP、MPLS和DWDM等跨地域网络。 
• HP EVI跨数据中心整合方案,可在数据中心之间建立多条高可用active/active联机。 
• HP EVI跨数据中心整合方案可应用于数据中心的复制、数据中心的灾难复原(Disaster Recovery)等应用。 

TRILL(Transparent Interconnection of Lots of Links) 新世代数据中心架构 

TRILL(Transparent Interconnection of Lots of Links)是应用于数据中心的关键技术,可以充分运用数据中心的基础网络建置,并大幅改善数据中心的架构稳定性。其最主要的特点在于 -能够增加数据交换的应用效率,使用更好、更多的数据交换路径,提供高速虚拟服务器移动的底层支持。 TRILL新世代数据中心架构,可将多台交换器形成一个单一的底层网络架构,交换器之间可以允许多重链接,而不会有网络循环(Loop)错误产生,多条可用路径之间可形成更快速的收敛、网络断线的恢复时间将会更短。TRILL新世代数据中心的连接架构图如下图: 
 

TRILL新世代数据中心架构,使用新的路由桥接技术(Routing Bridge),其架构特色如下:
• 只需要极少的网络设定 
• 支持任意的拓扑结构和链路技术 
• 在多重路径之间可以做数据传输的负载平衡 
• 支持服务器的跨交换器多重连接,支持LACP,不会产生循环问题 
• 多重路径的带宽可以得到充分使用 
• 在整体TRILL新世代数据中心架构中,支持虚拟服务器的快速搬移 

SDN(Software-defined Networking) 网络虚拟化架构 

SDN架构是网络虚拟化的重要基础之一,OpenFlow则是实现SDN网络虚拟化架构的主要技术。SDN网络虚拟化架构是为了因应弹性的企业营运环境,在SDN网络虚拟化架构之下,打破了过去统一由网络交换器/路由器所控制的数据路径控制与数据传输功能,可以提供大规模的、快速形成的弹性网络,方便企业部属应用程序、形成可用网络。SDN网络虚拟化架构其逻辑示意图如下图: 
 

在SDN网络虚拟化架构之下,网络交换器/路由器不再需要搜集网络封包处理路径,只需要提供数据传输交换功能即可,其他的网络控制机制,则全部交由SDN Controller软件处理,无论是扩充功能、控制软件更新,都不会受限于各家的网络设备硬件,管理者可以自行定义网络行为,达到更高的网络效能,让企业网络的网络数据路径控制与网络数据传输的能见度大幅提高,可以更细部地控制网络及资源的存取。 

SDN网络虚拟化架构定义了基本的三层架构: 
• Infrastructure Layer实体架构层 –由支持开放标准(例如: OpenFlow)的网络交换器/路由器所组成。 
• Control Layer 控制层 –区分网络路径控制功能与数据传输功能,将网络路径控制功能交由SDN Controller软件集中管理。 
• Application Layer 应用层 –建置于SDN网络虚拟化之上的开放程序或企业应用程序。 ​
 

​虚拟化感知云计算网络

组织必须因应新技术和应用来调整数据中心网络的挑战,尤其是云端架构的建立,组织必须具备可代管数千部服务器的高效能网络互连能力。此举不光是整合而已,大规模服务器的虚拟化会产生无法预测的带宽需求,且一切取决于 VM 的行动性。此外,虚拟化、复合/复层的应用程序会产生大量的东西向服务器间传输量,必须以有效的方法加以处理。

此外,多数组织希望次世代数据中心网络架构能够降低成本、简化复杂度、加速应用布署并转型为服务导向,但数据中心转型并非如此容易。首先,次世代数据中心网络必须足以支撑高密度的虚拟机, 并确保虚拟机在实体主机之间可以快速移动。 而虚拟机之间的数据传输也远比过去要高,若是要传统三层式网络来负责传输数据,将耗费无谓的路径转送导致效能低落。另一方面,储存设备大量采用闪存储存(Flash Storage),其超高效率的读写速度,考验着网络联机是否也能具备同样低的传输延迟,否则网络将成为整条传输路径的瓶颈。

采用 Brocade VCS Fabric 技术的以太光纤网络架构(Ethernet Fabric) 在因应这些挑战上崭露头角,成为极具吸引力的解决方案, 在效率、继承的限制和管理困难度上,均远优于传统的阶层式以太网络,所提供的弹性规模不仅止于提供庞大的端口数量,在各网络层上提供创新。 

 

Brocade VCS 技术 为虚拟化数据中心提供聚合式光纤网络架构 (Unified Fabric)

Brocade虚拟群集交换(Virtual Cluster Switching; VCS™) 技术克服传统以太网络限制,将光纤网络(fabric)交换技术的可靠性、弹性和延展性运用到数据中心架构。透过VCS 技术,可协助将既有网络架构无缝接轨转移到聚合式数据中心光纤网络架构。Brocade VCS针对高度服务器虚拟化与储存环境最佳化开发以下四大基础技术创新,以协助数据中心网络转型。


图一. Brocade VCS 四大基础技术创新

 

1. Ethernet Fabric : 业界首见聚合式Data Center Fabric

Brocade VCS可供企业组织建构业界第一个聚合式数据中心光纤网络架构。此架构具备多重路径能力和高复原性,有效免除Spanning Tree Protocol (STP)协议需求。Brocade将VCS设计成一个建构大型高效能和平阶Layer 2 数据中心光纤网络的核心技术,为日益增加的服务器虚拟化提供更好的支持。

Brocade VCS建立在数据中心桥接(Data Center Bridging; DCB)技术上,能满足客户因为部署更多虚拟机(VM)而提高对于网络可靠性与效能的需求。Brocade协助促成DCB通过业界标准组织审核,使该项技术能适应严苛的数据中心网络。Brocade VCS的另一项关键技术是新兴的IETF多链路透通互连标准(Transparent Interconnection of Lots of Links; TRILL),能让客户更有效率的在聚合式光纤网络上移动数据,这包括自动决定路由之间的最短路径。

DCB和TRILL是以既有技术为主的新功能,同时也是建构大型、平阶、高效率聚合式光纤网络以支持以太网络和储存流量的关键。Brocade之所以能够提供业界第一个聚合式光纤网络架构,是因为已经在Data Center Fabric上累积了数十年的建构经验。

2. Distributed Intelligence : 分布式光纤网络智能

Brocade VCS提供一个完全自主式 "masterless" 和分布式控制面。系统能够在成员节点(member nodes)之间持续同步化状态和组态信息,例如虚拟机(virtual machine; VM) meta-data、 网络和储存政策,让聚合式光纤网络架构可以自我构型(self-forming)、自我修复和自我组态。

Brocade VCS也透过分布式服务架构强化服务器虚拟化,藉由创新技术强化虚拟机(VM)在网络中的能见度以及VM政策的无缝接轨转移,这个服务架构让光纤网络有能力察觉所有连接的装置,并且在那些装置之间分享信息。Automatic Migration of Port Profiles (AMPP)是VCS的功能之一, 它让VM的网络设定(profile) 例如安全性或服务质量(Quality of Service; QoS) 等级,可以在转移过程随着虚拟机移动而不需要人工干预。此种前所未有的VM能见度和自动化profile管理,协助从既有技术和网络架构移除虚拟机移动(VM mobility)的实体障碍。

3. Logical Chassis : 简化管理

Brocade VCS将丛集内多重个别的交换器视为一个逻辑实体,以简化Brocade聚合式光纤网络的管理。VCS功能让组织可以将网络架构予以平阶化(flatten),变成可以当成单一交换器管理的单一Layer 2网域。如此即可减少网络复杂性和营运成本,同时让VCS使用者能够延展他们的VM环境至大型拓朴。

 

4. Dynamic Services : 动态服务

Brocade VCS所提供之动态服务,让组织可以将新的网络和光纤网络服务增加到Brocade聚合式光纤网络,而不会中断网络或要求必须重新组态。这些动态服务包括光纤网络长距离延伸、应用传递和原生(native)光纤信道连接性。透过VCS,具备这些服务的新交换器和软件将形同位于一个逻辑机箱内的服务模块。再者,新服务可以因此提供给整个聚合式光纤网络,动态的增加新的功能性。

解决方案特点与效益


图二. Brocade Ethernet Fabric 与传统网络之比较

 

1.革命性的以太光纤网络架构

为虚拟化数据中心建构可横向扩展的以太光纤网络 ( Ethernet Fabric )架构, 系以当前及新兴的标准为基础,如 DCB 和多链路透通互连(TRILL),可提供全面运作的多路径、快速链接重新收敛 (reconvergence) 及聚合SAN 和 LAN 流量功能。 采用 Brocade VCS,设计多路径 2 层以太网络的企业不再需要 STP。如此一来,即可协助将网络利用率提高一倍,同时大幅度增强弹性。

2.配置灵活性

Brocade VDX 6720 或 VDX 6730 另一个设计目的系实现最高的灵活性。每个埠皆可支持 10GbE 或 1 GbE 联机,为新服务器提供足够的联机,同时支持现有服务器。此外还可提供多种布线选择,进而实现更符合成本效益的网络设计。Ports on Demand(随需求扩充端口数)功能可协助实现快速简单且符合成本效益的可扩展性,组织可以仅购买目前所需数量的埠,日后透过加购软件授权码来进行无缝式扩展。

图三. Brocade VCS Fabric 支援 FCoE 能力

 

3.支援FCoE

实现 Fiber Channel over Ethernet (FCoE)、iSCSI 和 NAS 储存流量及 IP LAN 数据流量的端到端聚合。

4. TRILL + Multi-homed 服务器联机

采用互联网工程任务小组(IETF)发表的Transparent Interconnection of Lots of Links(TRILL)标准,让数据能够以更有效率的方式在聚合式光纤网络架构内传输往来,包括自动判断两点之间的最短途径,是建立大型、扁平及高效率聚合式光纤以支持以太网及储存流量的关键要素,为以太网络提供Multi-homed 主动—主动 服务器联机。

5.逻辑机箱

以太光纤网络 Fabric 架构中的所有交换器可视作为单一逻辑机箱,可实现 Fabric 架构可扩展性而无需手动配置。Brocade VCS 消除了对独立聚合层交换器的需求,因为 Fabric 架构可「自动聚合 (self-aggregating)」。 这种方法可实现更为扁平的网络架构,进而大幅度降低成本和管理复杂性。组织可利用Brocade VCS 来减少网络层数量,简化网络设计并降低资本支出和营运支出。如此一来,即可进一步优化虚拟化数据中心内的网络,实现云端运算。

6.为VM环境量身订制的策略管理机制

Automatic Migration of Port Profiles(AMPP)功能,让虚拟机在迁移时可以保留VLAN、安全或服务质量层级(QoS)等虚拟机网络定义信息(profile),毋须人手介入。这项虚拟机监察及自动化定义信息管理功能,有助企业以智能方式消除现有技术和网络架构内的实体规限,以充分发挥虚拟机的流动功能。此外, 创新的VM-aware Network Automation 功能,可整合VMware、vCenter具备更进阶的虚拟化感知能力,让云端网络更智能。

图四. Brocade VM-aware Network Automation 具备进阶的虚拟化感知能力

7.统一化管理

以太光纤网络 Fabric 架构中的所有交换器可视作为单一逻利用单一企业级应用管理软件Brocade Network Advisor(BNA),统一化管理VCS Ethernet fabric及其他数据中心LAN和SAN,更方便于应用布署。 Brocade VCS fabric 利用 BNA 与VMware vCenter Server配合,使在Ethernet fabric运行的虚拟机能根据存于VMware vCenter Server的数据自动进行配置,并在虚拟机于fabric上移动时自动维持其联机服务。为IP和SAN环境而设计的统一网络管理平台BNA,让fabric内所有VCS节点受单一逻辑交换器管理,并使VMware通讯端口群组能跨越fabric和VMware vCenter Server实例,连系至通讯端口配置文件,确保虚拟机可成功在单一Ethernet fabric上或不同Ethernet fabric间迁移。 

 

运用 Brocade VCS Fabric 技术和 Brocade VDX 交换器来扩充数据中心 

组织部署虚拟化应用程序和支持的网络架构时,必须拥有最大的弹性,由于支持 VCS 的 Brocade VDX 交换器种类多,因此组织能够部署大小和规模完全符合其应用需求的 Brocade VCS Fabric光纤网络架构,并且随着需求的增长扩充其部署规模。

Brocade VDX 交换器让 VCS Fabric 光纤网络架构的部署可以先从小规模开始,然后再依需求扩充额外的交换器、增加或减少创新的 POD (Ports on Demand) 授权。组织建置自动化、可靠和进化的 VCS Fabric 光纤网络架构时,可选用固定配置的 Brocade VDX 6700 系列交换器或模块化的 Brocade VDX 8770,以满足其最具挑战性的应用需求。

此外, Brocade VDX系列交换器,未来全系列也将同时支持软件定义网络(Software Defined Network,SDN)架构,让组织能因应虚拟化网络架构的趋势与需求。

 

图五. Brocade VCS 应用布署模式

 
 

​数据中心入侵防御

数据中心在转为云端虚拟化之架构后,资安的工作变得比实体架构更为困难,虚拟化数据中心的建置规画,多半无法达到如同实体架构的安全层级,原因来自于缺乏实际有效的虚拟环境资安解决方案。虚拟环境常常将不同安全层级需求的虚拟机,建置于相同的实体服务器之中,需要有统一的安全政策工具来加以有效管理。如何确保虚拟化云端数据中心之安全,免于黑客入侵之威胁,将是企业与组织必须重视的课题。

 

虚拟化数据中心所面临的资安挑战
(1)Host to Host的资安防护需求
‧ VM常常会动态布署,也会在不同ESX Host之间移动,很难在每一台ESX Host之前,都建置IPS设备。
‧ VM到ESX Host之间的数据流量,也有资安防护的需求。
(2)VM to VM的资安防护需求
‧ 同一台ESX Host内,VM之间的数据流量,不会进入实体网络之内,无法进行安全检视与过滤。
‧ 只要一台伪冒的VM或遭黑客入侵的VM,就可以对其他VM进行攻击。
‧ 在混和虚拟桌面架构(VDI)下,资安的挑战会更大。
(3)VM备援与灾难复原的资安防护需求
‧ VM有可能需要透过vMotion机制,来进行异地备援与灾难复原。
‧ 需要有虚拟IPS(Virtual IPS)的解决方案,来提供机动性与弹性,同时降低整体资安建置成本。
 
图一. 虚拟化数据中心的资安防护需求

HP TippingPoint 虚拟化数据中心入侵防御解决方案
TippingPoint 虚拟数据中心 IPS解决方案,可将实体网络安全性延伸到虚拟环境,协助客户为数据中心的所有环节建立不妥协的安全性。结合 TippingPoint 数字疫苗实验室(Digital Vaccine® Labs; DVLabs)团队和零时差计划(Zero Day Initiative)的安全研究,提供一个满足虚拟和实体基础设施独特安全需求的完整数据中心安全解决方案。
 
图二. 采用VLAN Translation方案以解决Host to Host资安防护需求
 
(一) Host to Host资安防护需求 : 采用VLAN Translation方案
此方案由IPS设备检查ESX host之间的数据流量
‧每一台ESX host都有专属的ingress/egress VLAN对应。
‧可与实体IPS架构充分整合,效率与效能最佳。
‧布署最简单,无须于每一台ESX host之前都布署IPS设备。
 
(二) VM to VM/ VM to Host的资安防护需求 : 采用 SVF方案
HP TippingPoint 安全虚拟化框架 (Secure Virtualization Framework,SVF) 提供 IT人员单一统合且灵活的解决方案,用于扩展虚拟化的数据中心到其优秀的威胁防护的 HP TippingPoint IPS 系列。该解决方案包括两个主要组件:
‧Virtual Controller (vController)
‧Virtual Management Center (vMC)

图三. HP TippingPoint SVF 运作架构
 
HP TippingPoint vController 和 vMC的软件解决方案 让实体的 IPS 平台能针对实体主机、虚拟机(VM)或甚至移动式机器(Mobile VM),执行数据中心信任区域(Trust Zone) 的分割,并可依 VM 或是 Trust Zone 来制定 Zone-Based Firewall 与 IPS安全政策。vController透过 VMsafe API与 VMwar Hypervisor 整合,可拦截 Hypervisors内的所有 VM的数据流,并根据 IT管理者定义的资安策略,将指定的数据流转送至实体 TippingPoint IPS 进行资安威胁检查,实体IPS只允许通过安全检查的转传数据流通过。此解决方案与实体IPS架构充分整合,提供最佳效能。

图四. HP TippingPoint SVF支援 Zone Based Firewall Rules & IPS Inspection
 
vController 安全解决方案完全由 vMC 来管理,vMC充分地与 HP TippingPoint 安全管理系统 (SMS) 整合,让安全管理变得更加容易,可以让 IT 管理人员于单一的资安政策管理平台,即可管理整个数据中心的资安政策。 vMC与 VMware vCenter整合,能自动探索在数据中心中的每个虚拟机(VM),并于每个虚拟化的实体主机上布署 vController。 而vController与 IPS 实体平台整合运作的 SVF 解决方案能将适当的安全政策动态套用于所有部署和探索到的 VM 上,不管 VM 的状态是启动、关闭或是移动中。
 
图五. HP TippingPoint vMC自动派送 vController

解决方案优势
虚拟化代表效率的提升,而数据中心安全性的维护也应当同样有效率的执行。许多初期的虚拟化项目在规模上都相当有限,因此一些单点式的虚拟安全产品即可被接受。然而,一旦数据中心的虚拟化规模开始扩充,企业与组织需要诉诸一种统合的方案,提供必要能力以维护安全政策执行,而不论基础设施的类型为何。
 
HP TippingPoint虚拟化数据中心入侵防御解决方案的优势在于:
‧整合实体与虚拟的IPS安全政策制定。
‧简化安全政策的订定流程与一致化。
‧定期自动更新IPS/Firewall数字疫苗,并主动提供IPS/Firewall规则建议。
‧提供管理接口与报表的统一化。

 

 

​服务器与桌面虚拟化

随着企业规模的扩增,服务器的需求也不断增加,企业每年皆需购买相当数量之服务器,并淘汰一些过于老旧的服务器,以提供更好的服务。但是由于服务器淘汰的速度远不及增加的速度,这些不断扩增的服务器,代表着需要准备更多的空间、电力、空调、网络、人力等基础设施。这些衍生出来的成本,经年累月下,往往不低于服务器的购买价格。
个人计算机的管理一直是IT人员相当困扰的问题,如果没有有效的管理,这些计算机安装的软件数量也会越来越多,将衍生出病毒与文件系统混乱等问题,甚至公司机密数据也会因为计算机管理不善而散布出去,对公司将造成相当大的损失。
 
主机虚拟化整合的主要效益
 
主机虚拟化主要特色
• 增加硬件使用,以降低操作及维护实体服务器的成本。您可以减少执行服务器工作量所需的硬件总数。
• 将停机时间、电力中断和故障所可能导致的利润损失降至最低。
• 减少设定软硬件及重新产生测试环境的时间,以提高开发和测试效率。
• 使用少于仅使用实体计算机的故障转移设定的实体计算机数量,以改善服务器的可用性。

优势与价值
减少管理复杂性
企业级的桌面虚拟化解决方案采用集中式架构,前端用户需要的操作系统、应用程序,以及个人配置文件等数据,都统一储存在数据中心(Data Center)的服务器或储存设备中,管理对象较单纯。
解决应用程序兼容性问题
由于操作系统不断改版、升级,企业在导入新操作系统时,就必须面临旧版应用程序的兼容性问题。无论是使用Windows、Linux或其他操作系统,都势必会遇到产品生命周期结束的时候,届时如果继续使用旧版操作系统,将面临更新、维护等安全性挑战,而且许多新版的应用程序也同样会存在兼容性问题。这时如果使用桌面虚拟化技术,就能解决部分困扰。
强化数据安全
通常企业都会建置储存设备,用来存放公用档案,但许多用户为了作业方便,或是加快数据存取的速度,会选择将部分档案存放在个人计算机的硬盘中,在采用桌面虚拟化时,企业都可以强制使用者将档案存放在后端服务器或储存设备中,以防止有心人士复制或散布档案。
延长设备使用寿命
桌面虚拟化对于前端用户计算机的硬件规格要求较低,所以也可以让这些设备用更久。对于将运算资源集中在服务器上的解决方案来说,精简型计算机已经足以负担显示画面和输出入等基本操作需求,如果企业选择保留旧有的桌面计算机,也可以不买精简型计算机,用现在的计算机直接做为前端使用平台。

为什么要桌面虚拟化
计算机汰旧换新
由于计算机软硬件推陈出新,每隔几年就有新一代计算机问世,也衍生一些兼容性的困扰。再者,计算机程序愈趋庞大,旧型计算机速率无法匹配,每隔几年计算机桌机或NB就要汰旧更新,在采购程序上,从订定规格、征求建议书、评选、议价、签约,到交货验收等繁琐的手续,耗费几个月才能交付使用,若是改用虚拟桌面,就不用隔几年便得更换设备。
电力资源运用
现在计算机速度快且容量大,用户也认为速度愈快愈好,可是计算机使用几百瓦的电力处理日常工作,却有九成以上的能量是闲置的,若以整个机关核算,损耗的能源相当可观,而改用虚拟桌面,便可以节省大量电力。
计算机故障维修
MIS人员每天需要处理许多计算机叫修案件,除硬件故障之外,有许多是操作系统与应用系统设定的问题,还有计算机中毒、重灌操作系统,以及备妥新进人员计算机等等工作,若使用者分别在不同地点办公,计算机故障的排除更耗时,有需要寻求更有效率的方法因应,而藉由虚拟桌面统一管控,不失为有效的方法。
使用者桌面虚拟化主要特色
• 提供的单一管理工具可以让您布建新桌面平台或桌面平台群组,并且透过简单的接口来设定桌面平台原则,有效提高 IT 作业效率。 只要使用模板,您就能自定义桌面平台的虚拟集区并轻松设定原则,例如集区内的虚拟机数量限制或注销参数
• 应用程序虚拟化技术将应用程序与基础操作系统分开,可减少操作系统与其他应用程序之间的冲突,藉此提高兼容性并简化管理工作。应用程序可以透过数据中心集中执行、部署到实体或虚拟桌面平台本机,或是部署在 USB 磁盘,提供您各种部署弹性。
• 快速建立桌面平台映像,不管虚拟桌面平台数量有多少,都可保证更新作业的效率及顺利完成。
• 可让系统管理员深入探查桌面平台和基础架构效能,迅速锁定问题进行疑难解答。
• 将所有数据与智能财产安全地存放在数据中心来充分掌握。 加密的通讯协议流量可让用户在企业网络内部或外部安全地存取虚拟桌面平台。
使用者桌面虚拟化主要特色
 
我们提供的专业服务项目及适用产品
• 客户端进行site survey及需求访谈
• 虚拟化系统与环境安装建置
• 虚拟化系统维护
• SOP文件撰写
• 适用产品:
• 主机虚拟化:VMware ESXi、Microsoft Hyper-V、Citrix Xen
• 桌面虚拟化:VMware View、Microsoft MED-V、Citrix XenDesktop
 
 

云端数据储存平台

IDC(国际数据信息)公布2013年台湾资通讯(ICT)市场十大趋势预测指出2013年将是巨量资料(Big Data)实践元年。巨量数据将从市场宣传阶段逐步进展到企业实际应用阶段。此外Gartner在甫发布的2013年十大策略性技术与趋势,策略性巨量资料亦是名列其中。从这些专业机构的趋势预测中可以得知,企业如何因应云端世代来临其所带来巨量资料在3V+C - 数量(Volume)、种类(Variety)、速度(Velocity)与复杂度(Complexity)的快速变化,如何能以快速并兼具成本优势满足巨量数据对RPO与RTO的需求,改变既有数据储存的部署管理与商业分析,将是左右其公司竞争力的关键技术。

就以储存系统的组态配置为例,过去企业多针对单一系统,依现况数据需求成长分析推估系统最大使用量来进行规划,日后再依实际需求逐次向上扩展(Scale-up)系统。虽然此方法在数据量稳定成长且在可预期范围内时还能应付胜任;但毕竟受限于单一系统规格限制,因此即使并用多组独立系统加以扩充容量,但整体系统之带宽和处理能量却无法同时增加,因而易导致效能瓶颈。特别是针对企业信息服务虚拟化与云端化趋势下所产生巨量数据的需求,此一传统思维作法非但捉襟见肘,而且较缺乏一致性的数据储存管理策略,多组独立异质储存系统的部署往往也会大幅增加系统风险、复杂性以及管理人员的负担因而缺乏整体效益。
 
 
 
反观向外扩展式(Scale-out)储存系统,由于多采用丛集架构并且采用单一化的储存管理机制,其可由两个储存节点的最低配置开始部署,再随时配合实际对容量、性能的要求,同时逐步向外扩展。其除了可大幅提升其部署弹性及系统效能外,由于采用了一致性的管理接口及系统架构,将可大幅简化储存资源的配置与管理,让客户能因应各种不同数据储存服务对容量及效能的需求,弹指间便可完成储存资源的配置与管理。
 
简化是当储存走向云端唯一的快捷方式,唯有慎选优异的数据储存架构及平台,再辅以数据储存虚拟化(Storage Virtualization)、重复性数据删除(Data De-duplication)、储存数据自动分层(Automated Tiering)以及储存资源随需配置(Thin Provisioning)等功能特性,轻轻松松即可达到「简化储存系统部署,弹指管理巨量数据」的目标。
 
HP于2011年发表融合储存 (Converged Storage) 以因应各种与人相关的信息增长、融合式基础架构和IT即服务的数据中心的兴起所凸显的传统储存限制。HP融合储存系统的愿景是全面性简化,这是一项全新的储存概念,能以单一系统架构的方式,横跨低阶到高阶并存在于多种型式、外型和尺寸,但也能为功能块 (block)、对象(object) 和档案 (file) 应用程序保留共同数据服务。而这也是优化硬盘 (HDD)和固态硬盘(SSD)所盼望的发展愿景。

虚拟化与云端运算会产生不可预测的容量与工作负载需求。此外,过时技术、僵化的基础架构与储存设备蔓延将会妨碍数据中心走向虚拟化与云端型运算。透过HP融合储存平台,可提供效率、简化管理,并且让您随需进行扩充,完全不会发生中断、瓶颈或停机。

HP 3PAR StoreServ Storage
HP 3PAR StoreServ Storage是专为虚拟数据中心与云端运算设计的新一代储存系统,其提供了
• 精简技术 - 开始精简、变得精简并维持精简。HP 3PAR Utility Storage将硬盘数量减少50-75%,而系统管理时间则减少90%以上,是唯一能同时满足效能与服务层级目标的平台。透过将添购、系统管理与维运成本降至最低,节省更新储存技术的成本多达60%,并且长期将储存设备的投资报酬率发挥到极致。
• 绿色储存设备 - 事半功倍。采用HP 3PAR Utility Storage,可减少采购75%的容量,也就是减少管理毫无意义的设备、减少需要供电与冷却的硬盘、减少需要汰换的硬件、同时还能减少碳排放量。
• 自主式储存设备 - 透过自主式智能在子系统层级处理储存资源分配、储存分级与异动管理而不需要系统管理员的介入,因此就能简化、自动化并加速储存管理工作。
• 服务器虚拟化 - 将服务器虚拟化引领至全新境界。减少采购50%实体服务器减少至多90%的储存管理时间并利用减少了50%的储存容量来支持服务器虚拟化部署环境。HP 3PAR Utility Storage是专为提供超越虚拟化服务器环境所需要的效能彻底打造并创造出焕然一新的简易性、灵活性与效率水平。
• 安全多重用户(Multitenancy) - 以更少的基础架构,为更多的用户与应用程序达到更高的服务层级。HP 3PAR Utility Storage为了支持大量系统整合而设计,能支持混合的工作负载以及安全地将用户、主机与应用程序数据的系统管理隔离。由单一储存系统为多个用户群组提供更高的效能等级、可用性与新一代功能。
 

HP 3PAR StoreServ Storage

HP StoreAll Storage
HP StoreAll Storage 为针对非结构化数据储存设计之单一数据文件存取的高扩充性平台,为巨量数据保存与云端储存提供简化环境,进而减缩额外的网管人员和硬件需求。系统可扩充至超过1,000个储存节点、最大支持16PB储存容量以及在单一命名空间中储存数十亿个对象及档案。由HP中央研究机构HP Labs所研发的HP StoreAll Express Query 是一座协助客户处理搜寻需求较前一代产品迅速10万倍的元数据数据库 (metadata database),协助企业善用实时数据以加速业务决策。HP StoreAll Storage整合HP Autonomy Intelligent Data Operating Layer (IDOL) ,卸除待处理的工作至HP StoreAll,因此能迅速分析最新数据,并减少计算机硬件使用。此外,HP StoreAll、HP Autonomy Consolidated Archive,以及其它独立软件供货商应用程序认证的整合,协助客户确保数字资产的安全与长期保存。

EMC Isilon
EMC Isilon采用横向扩充式丛集储存架构,其由单一文件系统与多组独立被称为储存节点(node)所共同组成。任何单一节点使用工业化标准主机硬件主机,负责提供资源以储存数据并提供服务。此外所有节点均透过共同专用高带宽、低延迟的InfiniBand超高速网络交换器相互连接。此一分布式储存系统,采用了单一操作系统OneFS、支持单一名称空间(Single Name Space)并具备了无接缝式的容量扩充以及针对大量数据一致性的数据存取能力。OneFS操作系统合并传统储存设备采用三层式体系结构-文件系统、Volume管理与 RAID 机制,成为单一集成软件层,以建立在单一的丛集中可跨越所有的节点的智能型全面对称式同步文件系统。其除了有领先业界的效能与容量线性扩充能力外,同时亦具备了最先进的数据保护能力以充份满足关键任务所需之高可靠性与高可用性。
 
在OneFS中透过使用Flexprotect™功能,数据可以得到前所未有的保护水平。具体来说,OneFS使用独特数据分散储存方式,配合ECC /Parity 同位检查方式,将数据储存于横跨丛集中的所有节点中。此外它亦能够以前所未有的方式,当有四组任一节点或整个硬盘同时失效时,仍可做到保护并且其数据保护还可以根据目录,甚至小至档案都可以各别设定专属的数据保护等级以及支持在线更改数据保护等级,而不需做数据搬迁的动作。由于 EMC Isilon的丛集是一个真正的对称式系统,因此当系统即使因磁盘损坏而需要自动重建数据时,在丛集中的所有节点,都可以参与损坏硬盘的内容重建工作,并且充分利用了所有在丛集中分散数据的可用储存空间,如此一来将可大幅缩少重建的时间。
 
另一方面,OneFS操作系统也会不断的监控整个文件系统与磁盘的健康状态,并且将状态记录于每个磁盘驱动器上。若一旦OneFS识别出有风险的组件可能故障时,它会先发制人抢先将数据从可能有问题的磁盘移出,自动搬到丛集中的其他可用空间中。此一过程用户将不受任何影响,并可持续使用该系统的储存服务。
 
由于EMC Isilon支持NFS和iSCSI同时数据存取,因此不论是需要使用区块存取(Block Level Access)方式的数据库系统,或是以NFS为基础的所有虚拟主机数据存取,均可透过此单一储存平台,充份弹性满足虚拟化和一般信息服务的整合应用需求,此可以大幅简化企业数据储存的管理负担及发挥最大成本效益。
 
透过Isilon,企业内部信息人员可以轻松地进行组态设定、管理、复制、简单化配置、快照、数据分层管理、异地备援与LUN的安全管理,彻底消除了过去向上扩展式的SAN和NAS传统式储存设备的成本和复杂性,以大幅提升应用程序的效能与业务上的灵活性。此外Isilon也整合了VMware的VAAI与VASA的功能,让VMware的虚拟化主机可以结合EMC Isilon的API并透过API来直接驱动VMware的储存设备以充份发挥主机虚拟化的最大化利益。
 
大同世界科技代理领先业界的云端数据储存系统平台及管理解决方案,不论是中大型商用系统的HP 3PAR StoreServ Unifity Storage、HP StoreAll Storage、HP StoreVirtual Storage与EMC Isilon整合式储存系统,或是采用开放式原始码平行文件系统的Red Hat Storage Server及Lustre File System解决方案,搭配专业整合建置规划服务,协助客户弹指管理巨量数据,轻松拥抱云端服务。

 

 
● 搭配中华电信自主研发之Virtuoso云端管理软件,快速企业打造动态扩展及灵活易用的云服务系统。
● 标准型云主机:整合高效能运算服务器设备,包含云端化所需软件及管控系统,环境及性能预先调試,开机即可使用。
● 达到最高成本效益:虚拟化减少您的设备數量,降低設備購置支出。
● 单一简化的管理接口:Virtuoso全新简易的管理方式,簡化IT人员处理维护、监控和配置。
● 提升业务持续经营:高可用度容错系统,无缝的数据保护
● 随时扩大升级:弹性化的产品结构,客户可以按业务所需扩充硬件及软件设备。
● 可信赖的云端管控系统:Virtuoso是基于开放原始码虚拟化层所开发之新一代虚拟化资源管控系统,媲美VMware、Microsoft、Citrix虚拟化产品同类型。