為了推進(jìn)公司全面轉型,實(shí)現高質(zhì)量發(fā)展,落實(shí)“3411”工程的要求。中國人保財險信息技術(shù)部積極嘗試和探索IT和網(wǎng)絡(luò )新技術(shù),不斷研究云計算、云網(wǎng)絡(luò )、云安全和IPv6等相關(guān)技術(shù)與應用實(shí)踐,2018年底率先在北京備份中心成功上線(xiàn)新一代數據中心網(wǎng)絡(luò )整體架構,生產(chǎn)、災備和開(kāi)發(fā)測試系列全面升級,大幅度提升業(yè)務(wù)部署效率,有效整合了全國各個(gè)省分公司的同類(lèi)相關(guān)業(yè)務(wù),實(shí)現了集中運維和管理,提升了資源利用率。
新一代數據中心網(wǎng)絡(luò )整體架構
智能云網(wǎng)絡(luò )的核心思想之一是SDN(Software Defined Network),通過(guò)將網(wǎng)絡(luò )控制與轉發(fā)解耦合構建開(kāi)放可編程的網(wǎng)絡(luò )體系結構。該架構主要化分為三層:協(xié)同層、控制層、轉發(fā)層
- 協(xié)同層:協(xié)同層是整個(gè)應用業(yè)務(wù)的協(xié)同調度,如網(wǎng)絡(luò )、計算、存儲之間的協(xié)同應用。實(shí)現應用部署時(shí)網(wǎng)絡(luò )配置的自動(dòng)下發(fā),通過(guò)自服務(wù)化簡(jiǎn)化變更流程,提升效率。網(wǎng)絡(luò )隨著(zhù)業(yè)務(wù)申請自動(dòng)化部署
- 控制層:控制層是網(wǎng)絡(luò )的控制中心,負責網(wǎng)絡(luò )的業(yè)務(wù)自動(dòng)部署,包括網(wǎng)絡(luò )的創(chuàng )建和防火墻的策略下發(fā)。控制層通過(guò)服務(wù)API接口跟協(xié)同應用層對接,以滿(mǎn)足多應用直接編排網(wǎng)絡(luò )。
- 轉發(fā)層:轉發(fā)層完成數據報文的實(shí)際轉發(fā),基于網(wǎng)絡(luò )上構建overlay轉發(fā)層。
網(wǎng)絡(luò )即服務(wù)NaaS(Network-as-a-Service)
SDN網(wǎng)絡(luò )可以做到動(dòng)態(tài)創(chuàng )建租戶(hù)和業(yè)務(wù)變更,實(shí)現網(wǎng)絡(luò )自動(dòng)化配置與驗證,使得數據中心能夠更加敏捷的適應各類(lèi)型業(yè)務(wù)需求,并實(shí)現網(wǎng)絡(luò )邏輯隔離。
SDN實(shí)現了面向應用的網(wǎng)絡(luò )編排,基于不同業(yè)務(wù)組的定義,實(shí)現不同業(yè)務(wù)組間的策略編排,當計算資源發(fā)生變更時(shí),網(wǎng)絡(luò )策略自動(dòng)遷移,無(wú)需人工參與。Fabric網(wǎng)絡(luò )采用Spine-Leaf 架構,通過(guò)VxLAN技術(shù)構建大二層網(wǎng)絡(luò ),分布式VxLAN組網(wǎng)架構,可以支持業(yè)務(wù)靈活擴展,流量轉發(fā)路徑最優(yōu),消除了未知單播和廣播流量,極大增強了網(wǎng)絡(luò )可靠性和擴展性。
SDN網(wǎng)絡(luò )分為物理網(wǎng)絡(luò )Underlay和邏輯網(wǎng)絡(luò )Overlay,均可以實(shí)現自動(dòng)化部署。減少網(wǎng)絡(luò )人員變更改端口相關(guān)配置的重復勞動(dòng),網(wǎng)絡(luò )人員更可聚焦網(wǎng)絡(luò )優(yōu)化和自動(dòng)化運維的工作。通過(guò)AC-DCN ZTP功能實(shí)現網(wǎng)絡(luò )即插即用,通過(guò)Overlay單路徑探測、多路徑探測和環(huán)路檢測實(shí)現網(wǎng)絡(luò )拓撲可視化運維。
- SDN自動(dòng)化方案實(shí)現物理和虛擬網(wǎng)絡(luò )統一管理,網(wǎng)絡(luò )自動(dòng)化部署,應用、邏輯、物理網(wǎng)絡(luò )三層互視。效率提升30%以上。
防火墻即服FWaaS(Firewall-as-a-Service)
為適應差異化的租戶(hù)業(yè)務(wù)和頻繁的業(yè)務(wù)變更場(chǎng)景,如何實(shí)現安全業(yè)務(wù)的自動(dòng)化部署、可視及可管,以及安全策略的調優(yōu)是迫切需要解決問(wèn)題。在整體方案中部署華為SecoManager安全控制器,提供安全業(yè)務(wù)編排和策略統一管理,支持安全功能服務(wù)化,協(xié)同網(wǎng)絡(luò )、安全設備,實(shí)現安全業(yè)務(wù)自動(dòng)編排,安全業(yè)務(wù)集中管理。
SecoManager與網(wǎng)絡(luò )協(xié)同處置,結合網(wǎng)絡(luò )拓撲學(xué)習業(yè)務(wù)策略與安全策略的映射關(guān)系,通過(guò)與Agile Controller-DCN協(xié)同,基于業(yè)務(wù)鏈按需調度將租戶(hù)流量引流至對應的安全設備。實(shí)現對全網(wǎng)安全策略集中管理和安全業(yè)務(wù)編排,快速部署安全業(yè)務(wù),自動(dòng)完成安全策略的生成與部署,實(shí)現安全業(yè)務(wù)分鐘級部署,有效降低安全運維成本,提高運維管理效率。
面向下一代的互聯(lián)網(wǎng)設計(IPv6)
IPv6是IP地址的第六版網(wǎng)絡(luò )協(xié)議,誕生于1999年。地址長(cháng)度達到128bit,可以提供2的128次方的IP地址。IPv6與5G等技術(shù)結合會(huì )快速推動(dòng)移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數據和人工智能等新興業(yè)態(tài)的發(fā)展。
為了加快IPv6部署場(chǎng)景,2017年11月份國務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規模部署行動(dòng)計劃》,2018年5月,工信部發(fā)布了關(guān)于落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規模部署行動(dòng)計劃》。
本次云網(wǎng)絡(luò )規劃與設計方案中充分考慮了面向下一代互聯(lián)網(wǎng)(IPv6)架構,率先建設成國內第一個(gè)基于IPv6的SDN網(wǎng)絡(luò )架構,構建基于IPv4和IPv6雙棧的SDN網(wǎng)絡(luò )。
交換和安全設備等采用IPv4和IPv6雙棧部署:
- 兼容IPv4 WEB/APP服務(wù)器訪(fǎng)問(wèn)IPv4 DB服務(wù)器。
- 支持Ipv4和Ipv6雙棧,滿(mǎn)足IPv4/v6 WEB/APP服務(wù)器訪(fǎng)問(wèn)IPv4/v6 DB服務(wù)器互訪(fǎng)需求。 IPv4系統訪(fǎng)問(wèn)IPv4/v6雙棧系統,使用IPv4協(xié)議棧;IPv4/v6雙棧系統訪(fǎng)問(wèn)IPv4系統,使用IPv4協(xié)議棧。
人保財險北京備份中心網(wǎng)絡(luò )已經(jīng)完成IPv4和IPv6雙棧部署,通過(guò)NAT64轉換滿(mǎn)足IPv6接入需求,為應用軟件、中間件、數據庫、操作系統等IPv6改造提供了靈活的網(wǎng)絡(luò )架構,滿(mǎn)足應用軟件等周期較長(cháng)的IPv6改造和遷移需求。
在新一代數據中心網(wǎng)絡(luò )架構規劃中以“數字化戰略”思想為牽引,構建了智能化、服務(wù)化和自動(dòng)化的新型網(wǎng)絡(luò )架構。將SDN、AI、大數據等技術(shù)手段引入網(wǎng)絡(luò )運營(yíng)中,從數據中充分了解和洞察業(yè)務(wù)需求,并提供了敏捷構建、按需定制的面向客戶(hù)的網(wǎng)絡(luò )服務(wù),實(shí)現了數據中心網(wǎng)絡(luò )在互聯(lián)網(wǎng)+時(shí)代以技術(shù)驅動(dòng)內外部協(xié)作的模式。
IPv6和智能SDN網(wǎng)絡(luò )解決方案成功部署是人保財險新數據中心網(wǎng)絡(luò )架構的重大突破,滿(mǎn)足未來(lái)業(yè)務(wù)發(fā)展的要求,也是保險行業(yè)在網(wǎng)絡(luò )轉型過(guò)程的創(chuàng )新和探索,基于IPv6 的SDN架構成功應用將助力保險行業(yè)數據化戰略轉型,為保險業(yè)務(wù)不斷發(fā)展增加新動(dòng)力。
