為了推進(jìn)公司全面轉(zhuǎn)型,實(shí)現(xiàn)高質(zhì)量發(fā)展,落實(shí)“3411”工程的要求。中國(guó)人保財(cái)險(xiǎn)信息技術(shù)部積極嘗試和探索IT和網(wǎng)絡(luò)新技術(shù),不斷研究云計(jì)算、云網(wǎng)絡(luò)、云安全和IPv6等相關(guān)技術(shù)與應(yīng)用實(shí)踐,2018年底率先在北京備份中心成功上線新一代數(shù)據(jù)中心網(wǎng)絡(luò)整體架構(gòu),生產(chǎn)、災(zāi)備和開(kāi)發(fā)測(cè)試系列全面升級(jí),大幅度提升業(yè)務(wù)部署效率,有效整合了全國(guó)各個(gè)省分公司的同類相關(guān)業(yè)務(wù),實(shí)現(xiàn)了集中運(yùn)維和管理,提升了資源利用率。
新一代數(shù)據(jù)中心網(wǎng)絡(luò)整體架構(gòu)
智能云網(wǎng)絡(luò)的核心思想之一是SDN(Software Defined Network),通過(guò)將網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)解耦合構(gòu)建開(kāi)放可編程的網(wǎng)絡(luò)體系結(jié)構(gòu)。該架構(gòu)主要化分為三層:協(xié)同層、控制層、轉(zhuǎn)發(fā)層
- 協(xié)同層:協(xié)同層是整個(gè)應(yīng)用業(yè)務(wù)的協(xié)同調(diào)度,如網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)之間的協(xié)同應(yīng)用。實(shí)現(xiàn)應(yīng)用部署時(shí)網(wǎng)絡(luò)配置的自動(dòng)下發(fā),通過(guò)自服務(wù)化簡(jiǎn)化變更流程,提升效率。網(wǎng)絡(luò)隨著業(yè)務(wù)申請(qǐng)自動(dòng)化部署
- 控制層:控制層是網(wǎng)絡(luò)的控制中心,負(fù)責(zé)網(wǎng)絡(luò)的業(yè)務(wù)自動(dòng)部署,包括網(wǎng)絡(luò)的創(chuàng)建和防火墻的策略下發(fā)?刂茖油ㄟ^(guò)服務(wù)API接口跟協(xié)同應(yīng)用層對(duì)接,以滿足多應(yīng)用直接編排網(wǎng)絡(luò)。
- 轉(zhuǎn)發(fā)層:轉(zhuǎn)發(fā)層完成數(shù)據(jù)報(bào)文的實(shí)際轉(zhuǎn)發(fā),基于網(wǎng)絡(luò)上構(gòu)建overlay轉(zhuǎn)發(fā)層。
網(wǎng)絡(luò)即服務(wù)NaaS(Network-as-a-Service)
SDN網(wǎng)絡(luò)可以做到動(dòng)態(tài)創(chuàng)建租戶和業(yè)務(wù)變更,實(shí)現(xiàn)網(wǎng)絡(luò)自動(dòng)化配置與驗(yàn)證,使得數(shù)據(jù)中心能夠更加敏捷的適應(yīng)各類型業(yè)務(wù)需求,并實(shí)現(xiàn)網(wǎng)絡(luò)邏輯隔離。
SDN實(shí)現(xiàn)了面向應(yīng)用的網(wǎng)絡(luò)編排,基于不同業(yè)務(wù)組的定義,實(shí)現(xiàn)不同業(yè)務(wù)組間的策略編排,當(dāng)計(jì)算資源發(fā)生變更時(shí),網(wǎng)絡(luò)策略自動(dòng)遷移,無(wú)需人工參與。Fabric網(wǎng)絡(luò)采用Spine-Leaf 架構(gòu),通過(guò)VxLAN技術(shù)構(gòu)建大二層網(wǎng)絡(luò),分布式VxLAN組網(wǎng)架構(gòu),可以支持業(yè)務(wù)靈活擴(kuò)展,流量轉(zhuǎn)發(fā)路徑最優(yōu),消除了未知單播和廣播流量,極大增強(qiáng)了網(wǎng)絡(luò)可靠性和擴(kuò)展性。
SDN網(wǎng)絡(luò)分為物理網(wǎng)絡(luò)Underlay和邏輯網(wǎng)絡(luò)Overlay,均可以實(shí)現(xiàn)自動(dòng)化部署。減少網(wǎng)絡(luò)人員變更改端口相關(guān)配置的重復(fù)勞動(dòng),網(wǎng)絡(luò)人員更可聚焦網(wǎng)絡(luò)優(yōu)化和自動(dòng)化運(yùn)維的工作。通過(guò)AC-DCN ZTP功能實(shí)現(xiàn)網(wǎng)絡(luò)即插即用,通過(guò)Overlay單路徑探測(cè)、多路徑探測(cè)和環(huán)路檢測(cè)實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)淇梢暬\(yùn)維。
- SDN自動(dòng)化方案實(shí)現(xiàn)物理和虛擬網(wǎng)絡(luò)統(tǒng)一管理,網(wǎng)絡(luò)自動(dòng)化部署,應(yīng)用、邏輯、物理網(wǎng)絡(luò)三層互視。效率提升30%以上。
防火墻即服FWaaS(Firewall-as-a-Service)
為適應(yīng)差異化的租戶業(yè)務(wù)和頻繁的業(yè)務(wù)變更場(chǎng)景,如何實(shí)現(xiàn)安全業(yè)務(wù)的自動(dòng)化部署、可視及可管,以及安全策略的調(diào)優(yōu)是迫切需要解決問(wèn)題。在整體方案中部署華為SecoManager安全控制器,提供安全業(yè)務(wù)編排和策略統(tǒng)一管理,支持安全功能服務(wù)化,協(xié)同網(wǎng)絡(luò)、安全設(shè)備,實(shí)現(xiàn)安全業(yè)務(wù)自動(dòng)編排,安全業(yè)務(wù)集中管理。
SecoManager與網(wǎng)絡(luò)協(xié)同處置,結(jié)合網(wǎng)絡(luò)拓?fù)鋵W(xué)習(xí)業(yè)務(wù)策略與安全策略的映射關(guān)系,通過(guò)與Agile Controller-DCN協(xié)同,基于業(yè)務(wù)鏈按需調(diào)度將租戶流量引流至對(duì)應(yīng)的安全設(shè)備。實(shí)現(xiàn)對(duì)全網(wǎng)安全策略集中管理和安全業(yè)務(wù)編排,快速部署安全業(yè)務(wù),自動(dòng)完成安全策略的生成與部署,實(shí)現(xiàn)安全業(yè)務(wù)分鐘級(jí)部署,有效降低安全運(yùn)維成本,提高運(yùn)維管理效率。
面向下一代的互聯(lián)網(wǎng)設(shè)計(jì)(IPv6)
IPv6是IP地址的第六版網(wǎng)絡(luò)協(xié)議,誕生于1999年。地址長(zhǎng)度達(dá)到128bit,可以提供2的128次方的IP地址。IPv6與5G等技術(shù)結(jié)合會(huì)快速推動(dòng)移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)和人工智能等新興業(yè)態(tài)的發(fā)展。
為了加快IPv6部署場(chǎng)景,2017年11月份國(guó)務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》,2018年5月,工信部發(fā)布了關(guān)于落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》。
本次云網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方案中充分考慮了面向下一代互聯(lián)網(wǎng)(IPv6)架構(gòu),率先建設(shè)成國(guó)內(nèi)第一個(gè)基于IPv6的SDN網(wǎng)絡(luò)架構(gòu),構(gòu)建基于IPv4和IPv6雙棧的SDN網(wǎng)絡(luò)。
交換和安全設(shè)備等采用IPv4和IPv6雙棧部署:
- 兼容IPv4 WEB/APP服務(wù)器訪問(wèn)IPv4 DB服務(wù)器。
- 支持Ipv4和Ipv6雙棧,滿足IPv4/v6 WEB/APP服務(wù)器訪問(wèn)IPv4/v6 DB服務(wù)器互訪需求。 IPv4系統(tǒng)訪問(wèn)IPv4/v6雙棧系統(tǒng),使用IPv4協(xié)議棧;IPv4/v6雙棧系統(tǒng)訪問(wèn)IPv4系統(tǒng),使用IPv4協(xié)議棧。
人保財(cái)險(xiǎn)北京備份中心網(wǎng)絡(luò)已經(jīng)完成IPv4和IPv6雙棧部署,通過(guò)NAT64轉(zhuǎn)換滿足IPv6接入需求,為應(yīng)用軟件、中間件、數(shù)據(jù)庫(kù)、操作系統(tǒng)等IPv6改造提供了靈活的網(wǎng)絡(luò)架構(gòu),滿足應(yīng)用軟件等周期較長(zhǎng)的IPv6改造和遷移需求。
在新一代數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)規(guī)劃中以“數(shù)字化戰(zhàn)略”思想為牽引,構(gòu)建了智能化、服務(wù)化和自動(dòng)化的新型網(wǎng)絡(luò)架構(gòu)。將SDN、AI、大數(shù)據(jù)等技術(shù)手段引入網(wǎng)絡(luò)運(yùn)營(yíng)中,從數(shù)據(jù)中充分了解和洞察業(yè)務(wù)需求,并提供了敏捷構(gòu)建、按需定制的面向客戶的網(wǎng)絡(luò)服務(wù),實(shí)現(xiàn)了數(shù)據(jù)中心網(wǎng)絡(luò)在互聯(lián)網(wǎng)+時(shí)代以技術(shù)驅(qū)動(dòng)內(nèi)外部協(xié)作的模式。
IPv6和智能SDN網(wǎng)絡(luò)解決方案成功部署是人保財(cái)險(xiǎn)新數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)的重大突破,滿足未來(lái)業(yè)務(wù)發(fā)展的要求,也是保險(xiǎn)行業(yè)在網(wǎng)絡(luò)轉(zhuǎn)型過(guò)程的創(chuàng)新和探索,基于IPv6 的SDN架構(gòu)成功應(yīng)用將助力保險(xiǎn)行業(yè)數(shù)據(jù)化戰(zhàn)略轉(zhuǎn)型,為保險(xiǎn)業(yè)務(wù)不斷發(fā)展增加新動(dòng)力。