华为FusionSphere虚拟化软件对不同场景部署方案

2021/03/19 分类:互联网行业其他行业医疗行业教育行业金融行业 3586 0

1 小规模场景部署方案

小规模场景定义：管理的主机数量：3台～50台，管理的VM数量1台～1000台。

表3-1 小规模场景部署方案

部署组件内容	部署方式	配置要求
FusionCompute管理组件（VRM）说明： VRM(Virtual Resource Manager)：FusionCompute虚拟资源管理，可以管理主机集群和逻辑集群。	1+1主备部署，物理机或者虚拟机部署	网卡：2*10Gbps（建议）其余配置要求具体请参见部署原则。
FusionManager	1+1主备部署，物理机或者虚拟机部署	网卡：2*10Gbps（建议）其余配置要求具体请参见部署原则。
UltraVR	虚拟机部署（建议）	CPU：4核内存：8GB 磁盘空间：50GB 管理网络带宽（生产与备份之间管理流量所需带宽）：10Mbps
eBackup	物理机部署	CPU：8核内存：12GB 磁盘空间：120GB 网卡：1Gbps 每200VM需要部署一台eBackup。
FusionSphere SOI	虚拟机部署（建议）	CPU：4核内存：8GB 磁盘空间：300GB

2 中等规模场景部署方案

中等规模场景定义：管理的主机数量：51台～256台，管理的VM数量1001台～5000台。

表3-2 中等规模场景部署方案

部署组件内容	部署方式	配置要求
FusionCompute管理组件（VRM）	1+1主备部署，物理机或者虚拟机部署	网卡：2*10Gbps（建议）其余配置要求具体请参见部署原则
FusionManager	1+1主备部署，物理机或者虚拟机部署	网卡：2*10Gbps（建议）其余配置要求具体请参见部署原则
UltraVR	虚拟机部署（建议）	CPU：4核内存：8GB 磁盘空间：50GB 管理网络带宽（生产与备份之间管理流量所需带宽）：10Mbps
eBackup	物理机或者虚拟机部署	CPU：8核内存：12GB 磁盘空间：120GB 网卡：1Gbps 每200VM需要部署一台eBackup。
FusionSphere SOI	虚拟机部署（建议）	CPU：4核内存：8GB 磁盘空间：300GB

3 大规模场景部署方案

大规模场景定义：管理的主机数量：257台～1000台，管理的VM数量：5001台～10000台。

表3-3 大规模场景部署方案

部署组件内容	部署方式	配置要求
FusionCompute管理组件（VRM）	1+1主备部署，物理机或者虚拟机部署	网卡：2*10Gbps（建议）其余配置要求具体请参见部署原则。
FusionManager	1+1主备部署，物理机或者虚拟机部署	网卡：2*10Gbps（建议）其余配置要求具体请参见部署原则。
UltraVR	虚拟机部署（建议）	CPU：4核内存：8GB 磁盘空间：50GB 管理网络带宽（生产与备份之间管理流量所需带宽）：10Mbps
eBackup	物理机部署	CPU：8核内存：12GB 磁盘空间：120GB 网卡：1Gbps 每200VM需要部署一台eBackup。
FusionSphere SOI	虚拟机部署（建议）	CPU：16核内存：16GB 磁盘空间：300GB

4 FusionCompute 主机部署要求

主机，即物理服务器配置要求如表3-4所示。

说明：

如果所用服务器非新购入的全新服务器，建议在配置BIOS前，恢复BIOS默认设置。

表3-4 主机配置要求

项目	要求
CPU	Intel或AMD的64位CPU。 CPU支持硬件虚拟化技术，如Intel的VT-x或AMD的AMD-V，并已在BIOS中开启CPU虚拟化功能。
内存	≥8GB 如果主机用于部署管理节点虚拟机，需至少满足管理节点虚拟机内存规格+3GB。推荐内存配置≥48GB
硬盘/U盘	使用硬盘时，硬盘≥16GB。如果VRM虚拟机使用本地存储创建磁盘，则硬盘空间应≥96GB。使用U盘时，U盘≥4GB。
网口	NIC网口数目≥1。建议网卡数目为6个，网卡速率要求千兆以上。
RAID	建议使用1、2号硬盘组RAID 1，用于安装主机操作系统，以提高可靠性。

5 组网安全防护与对外开放

本节介绍FusionManager系统的组网安全防护，供您了解FusionManager的安全防御策略和安全使用建议。

物理部署

FusionManager的物理部署如图3-1所示。

图3-1 物理部署图

FusionManager采用主备架构，与FusionCompute对接管理虚拟资源，同时管理交换机，防火墙设备。

PVM为用户部署服务时自动创建的虚拟机，通过它向用户虚拟机提供软件安装服务和应用监控服务。

逻辑组网

FusionManager的逻辑组网如图3-2所示。

图3-2 逻辑组网图

图中总共有五个安全防御点，每个安全防御点的说明如下：

通过使用防火墙的NAT将FusionManager系统的租户API和租户UI的端口（请参考《FusionManager 通信矩阵(服务器虚拟化)》，筛选“外部+租户面+管理面/租户面”类型的端口）映射到非信任网络，达到开放租户API和租户UI对外开放的目的。租户可通过租户UI对租户资源进行管理；第三方运营系统可通过租户API对租户资源进行管理。
运维人员通过管理UI对系统资源进行管理；第三方运维系统和运营系统通过管理API对系统资源进行管理。第三方运维系统和运营系统与FusionManager系统及FusionManager所管理的设备处于一个信任网络（信任域）内，一般通过VPN相通，此时设备网络，系统内部端口对运维和运营网络可见。对于对系统安全性较高（如要求与设备面隔离）的客户，也可以通过在交换机上配置ACL策略（请参考《FusionManager 通信矩阵(服务器虚拟化)》，筛选“外部+管理面+管理面/租户面”类型的端口并将端口开放）来达到此目的，从系统安全角度，推荐使用该方式。
由客户提供的Samba服务器与FusionManager对接，供用户上传下载ISO镜像和软件。一般情况下，Samba服务器与FusionManager系统处于一个信任网络（信任域）内，可以通过VPN相通。
Samba服务器的安全加固和防护由客户来评估与保障。从网络安全角度，建议：
- 如果与FusionManager系统不在一个信任网络内，可以通过设置网关交换机的ACL策略进行安全防护。
- 如果与FusionManager系统在一个信任网络内，可以通过VPN等方式保证与FusionManager系统连通。
用户通过用户网络访问用户虚拟机，用户可选择通过防火墙ACL或NAT策略过滤，从而对用户虚拟机进行安全防护。
软件安装服务器（PVM）和管理网络与用户网络都相通。为防止恶意用户通过该节点侵入管理网络，本系统已经在PVM服务器中采用了Iptable对用户面进行了隔离。

租户API与租户操作界面的对外开放

如图3-2中的“1”所示，可使用防火墙的NAT将FusionManager系统的租户API和租户UI的端口映射到非信任网络，实现对外开放租户API和租户UI的目的。

具体的端口信息，请参考《FusionManager 通信矩阵(服务器虚拟化)》文档，筛选“外部+租户面+管理面/租户面”类型的端口。

具体配置方法可参考下方的配置举例。

配置租户API与租户操作界面的对外开放举例

通过此举例，您可以了解到FusionManager租户API与租户操作界面的对外开放的典型组网和配置方法。组网图如图3-3所示。

说明：

如果在配置完成后修改了FusionManager的管理IP，需要重新配置租户API与租户操作界面的对外开放。

图3-3 租户API与租户操作界面对外开放典型组网图

组网说明

运营商网络已接入互联网，用于互联网用户访问FusionManager的公网IP“10.185.40.43”可以被正确路由到运营商核心交换机“10.188.1.1”。
FusionManager的浮动IP为“10.188.40.43”。
FusionManager租户API与租户操作界面对外开放需要放开下列端口：
- TCP端口:21、80、443、543、6081、30000-30100。
- 具体的端口信息，请参考《FusionManager 通信矩阵(服务器虚拟化)》文档，筛选“外部+租户面+管理面/租户面”类型的端口。
FusionManager物理网关位置为防火墙，防火墙组网类型为static-route。
使用防火墙的GigabitEthernet 1/0/0端口做为Trust口，GigabitEthernet 1/0/1端口作为Untrust口。
关键网络设备型号：
- 防火墙型号：Huwei Eudemon8000E-X3&8000E-X8&8000E-X16 V200R001C01SPC900
- 企业汇聚交换机型号：Huawei Quidway S5300 V200R001C00SPC300