作者:中国人民银行合肥中心支行 孙云
对于金融系统来说,系统的可靠性和业务连续性至关重要,数据中心的双活和灾备是目前金融行业研究和建设的热点之一。人民银行合肥中支目前有两个数据中心,分别是主数据中心和同城灾备中心,为保障业务的可用性和连续性,两中心之间迫切需要实现业务系统双活和数据灾备。
双活网络建设技术难点一。随着广域网线路类型的变化,原有的基于裸光纤连接的网络架构也面临调整。在短距离、裸光纤连接的模式下,由于时延低,传输速率高,两中心之间可以直接二层连通。在长距离MSTP线路模式下,两中心二层如仍通过MSTP线路直接连通,则会存在如下问题。
1.扩大了广播域,两个中心的二层网络会形成一个大的广播域,广播报文会通过广域网线路传播,进而占用MSTP广域网线路带宽,对宝贵的广域网线路带宽造成较大浪费。2.生成树STP协议数据会在两个数据中心之间传播,两个数据中心在网络规划时必须考虑到STP的影响,网络设计和维护较为复杂。3.如果用MSTP线路打通二层,那么为了实现网关热备,两边需要配置VRRP等冗余网关协议。但在同一时间,VRRP主网关只能出现在一个数据中心,另一中心的数据必须通过本中心VRRP主网关才能进出网络,加大了横向MSTP广域网线路流量。
因此得出结论:两中心不宜通过MSTP线路直接二层连通,因此主中心与同城灾备中心之间使用三层IP网络进行连通。
双活网络建设技术难点二。从双活业务连续性要求考虑,主中心服务器一旦发生故障,灾备中心服务器应当立即接管并对外提供服务。为保障对外服务连续性,系统在两中心切换时必须保证对外服务IP地址不变。
双活网络建设技术难点三。主中心与灾备中心使用三层网络连通,这样IP地址不变的虚拟机迁移在传统三层网络里是无法做到的。因为传统三层网络中每个IP地址都是惟一的,只能出现在一个子网中,同一个IP地址无法同时出现在主中心和灾备中心两个地方的网络中。
解决方案。VXLAN技术:VXLAN是基于IP网络之上,采用的是MAC in UDP技术,使用UDP端口4798(可以修改),这种封装技术对中间网络没有特殊要求,只要能识别IP报文的三层网络即可进行传送。类似于GRE/IPSEC等tunnel封装技术。
VXLAN特点:1.可以提供更多的二层网段。VLAN使用12位的VLANID表示网段名,从而VLAN个数被限制在4096个。而VXLAN使用24位作为VXLAN标识符(VNID),使得VXLAN的个数扩展到2^24个。2.突破物理网络基础设施的限制,基于IP子网的区域划分限制了需要二层网络连通性应用系统的部署。3.环路避免:VLAN使用STP协议防止环路,最终阻塞网络中的部分冗余链路。VXLAN数据包是基于3层的报头,可以利用3层路由协议使用所有可用的路径。4.虚拟机搬迁的需求,将虚拟机迁移至远距离的一台物理机,可以保持虚拟机的IP地址和MAC地址等参数不变。5.支持分布式网关,分布式VX-LANIP网关可以同时分布在主中心和同城灾备中心,减少横向广域网流量。
经多轮技术论证和模拟测试,我单位最终采用leaf-spine网络结构代替传统三层网络结构,解决网络连接的传输瓶颈,提高了网络的效率。VXLAN采用虚拟机的网络虚拟化平台组件作为软件vtep实现。通过软件方式实现VXLAN,与底层网络设备无关,网络设备只需支持传统三层IP网络,主中心与灾备中心只要保持三层IP网络可达即可,可以直接使用现有的网络设备构建网络,并且无需同一型号和品牌,网络设备也无需全部更新,节约建设和维护成本。
本文节选自《金融电子化》2019年01月刊
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
