数据中心解决方案

思科业务就绪数据中心里的刀片服务器——将思科网络智能融入现有服务器体系结构

当今的企业越来越依靠网络应用和资源提高生产率,这种趋势使数据中心逐渐成为网络中最关键的环节。为改善服务,对业务需求快速作出响应,数据集中已经成为企业发展的必然趋势。与此同时,企业必须实现计算资源的集中化和虚拟化,并从独立服务器模式转向可以灵活添加和整合各种网络资源的计算和存储模式。这种方式不但能降低运作成本和支出,还能鼓励数据中心管理员利用良好的体系结构去建造数据中心,为企业提供安全的永续IP基础设施,充分发挥应用和数据资源的效能。

刀片服务器简介

随着计算资源逐渐成为共享资源而不再是专用资源,刀片服务器逐步发展成一种将管理、配置和供电整合到一个平台上的有效方式。刀片服务器指能够容纳多台服务器或多种计算资源的机箱。一般情况下,刀片服务器可用于需要高密度或部署了带集群的新应用的地方,以取代老服务器。将多个CPU组合到一个平台上之后,数据中心管理员不但能降低运作成本,还能节省宝贵的机架空间。现在,刀片服务器只占服务器市场的一小部分,即服务器总量的4%,服务器收入的1%。但根据IDC的调查结果,到2007年,这两个数字可望分别增长到27%和13%。许多领先的服务器厂商,包括IBM、HP、Sun Microsystems和Dell等,目前都已向市场投放了刀片服务器。

刀片服务器能够解决服务器整合和空间管理问题。将多台服务器整合到一起能够为数据中心节省很大的机架空间,而且可以简化电缆管理,这是因为需要连入刀片服务器机箱的电缆较少。但是,这些好处也伴随着一些不利之处。刀片服务器还不够成熟,目前还未能解决所有环境问题。例如,如果将多台服务器安装在一个机箱中,将需要极强的制冷能力。因此,考虑到服务器将产生大量热量,一个地方或一个机架上只能放置有限数量的刀片服务器。另外,刀片服务器还将限制数据中心,尤其是大数据中心的设备集中程度,迫使数据中心管理员分散放置刀片服务器,从而消弱了节省机箱空间的优势。

刀片服务器能够将交换技术集成到机箱中,在一个机箱的服务器之间实现本地交换,并通过上连链路实现和数据中心其余部分的连接。当集成刀片服务器和交换模块时,需要考虑当前的数据中心的网络拓扑。虽然交换机是唯一变动的因素,但网络服务的汇聚或分布、第三层技术的使用和子网的设计实施都是实现高可靠性和高可用性网络的重要因素。如果想部署安全可靠、可以扩展且具有投资保护能力的永续数据中心,必须围绕当前和未来的智能交换功能规划和构建网络体系结构, Cisco® Catalyst®交换机中即可提供这些功能。

思科系统®公司不但尊重客户选择,还会帮助客户评估网络管理方式、所选择的网络服务、网络稳定性和性能的优点。用系统方法建立数据中心网络能够同时优化独立服务器和刀片服务器环境的网络服务。思科正与某些刀片服务器厂商密切协作,测试和推荐适合业务就绪数据中心体系结构使用的部署方法。以后,思科还将继续加强与这些服务器厂商的合作伙伴关系。

将刀片服务器集成到业务就绪数据中心里

思科业务就绪数据中心将安全性、永续性和应用优化集成到网络的每个层次中,为数据中心带来了系统方法和端到端智能。利用这种方法,整个数据中心,包括刀片服务器,不但能为用户、应用和通信系统提供服务,还能建立高性能解决方案,更好地支持客户的商业应用。

将刀片服务器部署到数据中心时,需要考虑很多问题,包括怎样将安全性集成到IP基础设施中、怎样实现端到端永续性、怎样提供第四到七层服务以及怎样提高可管理性和可靠性等。无论网络独立于刀片服务器,还是集成到刀片服务器中,这些功能都必须成为网络体系结构的一部分。

集成安全

数据中心是企业的一部分,安全非常重要。集成到网络中的安全性必须包含三项内容——安全连接、威胁防御和身份管理。刀片服务器处在数据中心体系结构的接入层,对安全性提出了独特的要求,包括安全的访问交换机,防止遭受攻击,以及识别试图接入网络的用户和服务器。为便于配置、管理和控制,防火墙等许多功能都已经集成到汇聚层交换机中。

首先,无论将交换机嵌入到刀片服务器中,还是作为外部交换机被使用,对交换机本身的访问都必须受到保护,这种保护需要特殊功能,例如Secure Shell 2(SSHv2)或RADIUS。这两种协议都能保护访问交换机管理接口的连接。如果没有这些功能,非法用户将能够容易地改变配置,阻碍刀片服务器提供服务。

另外,数据中心的接入层还必须能够抵御潜在的攻击。交换机必须能预防并应付网络攻击。Cisco Catalyst智能交换提供的功能有助于发现并防止攻击。首先,交换机必须允许数据中心管理员配置访问控制列表(ACL),这些ACL提供了第一道防线,因为它能够设定谁具有访问服务器(这时指刀片服务器)资源的权利。下一道防线能够防止非法连接和盗窃数据。这道防线由Cisco Catalyst交换机利用以下特性提供:

  • 端口安全性——保证每个端口只能看到有限的MAC地址
  • MAC地址通知——当MAC地址突然变动时通知网络管理员(例如终端工作站被假冒时)
  • 动态地址解析协议(ARP)检查——将端口与ARP请求连接在一起,保证默认网关不被假冒
  • IP源警卫——防止IP地址被假冒

最后,接入层交换机还必须保证只允许授权设备接入网络。这项任务由Cisco Catalyst信任和身份管理功能实现。利用IEEE 802.1x验证协议,只有通过了RADIUS或TACACS+服务器正确验证的设备才能与网络连接,以保证网上服务器的合法性。其它功能将把802.1x验证与其它安全机制连接在一起,例如保证终端工作站使用的是最新的防病毒软件,以便更好地防止数据中心遭受病毒攻击。总之,Cisco Catalyst集成安全性能够保证刀片服务器或独立服务器免受内外攻击。

可用性和永续性

数据中心基础设施的可用性高,而且能够从故障中恢复,这样才能保证网络资源和应用能够一周七天、一天24小时“可用”。为实现这一目标,网络必须提供两级永续性——设备级永续性与网络级永续性。设备级永续性指设备能够防止出现故障或者从故障中快速恢复。Cisco Catalyst交换机中的很多特性都能保证设备的高可用性。将交换机集成到刀片服务器中之后,某些最基本的设备级永续性功能将无法发挥作用,例如不支持交换引擎的冗余,如需实现冗余就需要增加另一台独立的访问交换机。其它特性有助于保证交换机平台的可用性,例如Cisco Catalyst 6500系列上提供的CPU速率限制。这个特性能够限制发送到交换机CPU处理器的流量,在拒绝服务攻击中,这一点非常关键。

网络级永续性指网络能够从设备、链路或协议故障中恢复,因而能保持很高的网络可用性。网络级永续性与协议和网络设计有关。许多刀片服务器能够集成双交换引擎,还能为机箱中的服务器提供双线路连接。这种集成增加了永续性机制的复杂性,例如生成树协议。

集成式交换机上的“穿越”模式可绕过内部交换机,直接将网络接口卡(NIC)或主机总线适配器(HBA)与外部交换机相连,利用这种方法,可以降低前面提到的复杂性。但是,交换机必须提供思科为生成树开发的很多新特性,包括UplinkFast和标准版本802.1w。无论在刀片服务器中还是在接入层,新特性都能实现一秒以下的故障恢复时间。将第三层交换集成到网络的分布层和核心层之后,将能够实现与企业网络其余部分的连接并实现可到达性和最佳路径转发。刀片服务器与接入层不支持第三层交换,因为这样可能会使访问层的三层故障进入数据中心的核心层。网络可用性属于体系结构问题,而不是纯设备问题。将交换集成到刀片服务器后带来的问题可以通过智能交换消除。

供应优化

不同的应用具有不同的要求。网络必须提供这些应用需要的功能,才能有效运作,更好地满足业务要求。Cisco Catalyst智能交换为数据中心体系结构带来了三项应用传输优化技术——服务质量(QoS)、组播和内容交换。这些端到端技术采用了不同的组件,适合在网络的不同位置使用。

刀片服务器允许一定数量的服务器访问网络。只要应用数据一进入网络,就需要网络执行某些功能,以便优化传输。首先,应按照应用要求或业务优先级对数据进行分类。访问层的QoS需要在硬件中执行这种分类,然后映射到相应的队列中,以便应用QoS。利用加权循环和严格优先级的排序方法,能够保证应用可以按照需要获得较高(较低)带宽。

许多应用,包括视频及许多财务应用,都使用组播将数据从一个源地点高效分布到多个目的地。在接入层,IGMP Snooping协议(Internet Group Management Protocol)能够接收和处理应用发出的IGMP加入请求,这样,在第二层,组播流量就能有效传输到下一跳路由器或第三层交换机。由于这个功能接近服务器(或者在刀片服务器内),因而能实现带宽节约。

应用优化供应的另一个重要组件是内容负载均衡。负载均衡可以平衡从网络到服务器集群的连接,以便更好地利用服务器资源和处理能力。这个功能属于体系结构问题,而不是刀片服务器问题。为充分利用所有服务器资源,数据中心体系结构一般在汇聚交换机,如Cisco Catalyst 6500交换机中执行负载均衡服务。多数情况下,在刀片服务器中添加内容负载平衡服务不仅会增加复杂性,还无法利用数据中心内的所有服务器资源。

增强可管理性

与网络中的其它组件一样,刀片服务器的管理也很重要。交换基础设施必须为网络管理平台提供相应的接口,以便网络管理员能执行网络配置、监控和故障排除。而这也要求网络中的设备必须“可管理”,才能在网络管理员与网络设备之间传输信息。

刀片服务器并没有提出新的可管理性问题,因为其机箱的管理与其它服务器平台管理相同。但是,如果交换设备是嵌入到刀片服务器中的,则必须像网络基础设施的其余部分那样管理。从理论上讲,这应该不成问题。但是,设计刀片服务器的交换机时,人们很少考虑它的可管理性,而只将它用于服务器连接。

思科在智能交换中集成了多种可管理特性。首先,最常用的功能是通用命令行界面,它不但能降低管理不同用户界面的运作成本,还能简化平台的配置。思科CDP协议已经集成到所有思科设备中,以便思科设备管理器软件以及连接的所有思科设备能够相互了解,这包括网络上连接了哪些思科设备,以及这些设备的基础信息(例如IP地址)。该协议非常有利于监控设备间的基本连接,并为排除故障提供信息。为完成更高级的排障,还应提供端口映射或交换式端口分析器(SPAN),以便网络管理员能够将一个可能会出故障的端口“对应”到一个连有远程监控探针的管理端口。利用远程SPAN,可以实现跨越交换机的端口镜像。
可管理性和管理属于系统问题。与其它思科网络设备相似,利用Cisco Catalyst智能交换能够有效管理和维护刀片服务器端口和相连的交换机。

Cisco Catalyst智能交换和刀片服务器

如果想部署系统级体系结构,就必须将智能交换功能集成到刀片服务器中。目前,思科正与合作伙伴合作,将Cisco Catalyst智能交换技术集成到刀片服务器中,以便在刀片服务器中提供正确的接口,为数据中心的设计和部署开发一种可以扩展的系统方法。无论客户选择部署哪种服务器,思科都将为最好的网络基础设施提供解决方案。思科决心不断改进网络基础设施,提供下一代数据中心产品,提高IT生产率。

总结

刀片服务器并不是为网络设计的。因此,目前的刀片服务器产品不能提供交换平台需要的智能交换功能,包括高级QoS、集成安全性和网络可用性。由于思科业务就绪数据中心能够将智能融入到网络基础设施中,因而可以部署能够扩展的体系结构。要将交换技术集成到刀片服务器中,必须提供正确的接口,才能建立可以扩展的系统方法,为网络提供高性能和服务。思科决心与合作伙伴一起,将交换创新集成在一起,并利用积累的经验增强数据中心体系结构,最终将刀片服务器与卓越的交换技术相结合。

联系我们