华为FusionSphere虚拟化软件部署方案

0

华为(HUAWEI)FusionSphere云操作系统 让企业的云计算建设和使用更加简捷

3  部署方案

3.1  小规模场景部署方案

小规模场景定义:管理的主机数量:3台~50台,管理的VM数量1台~1000台。

表3-1  小规模场景部署方案

部署组件内容 部署方式 配置要求
FusionCompute管理组件(VRM)

说明:

VRM(Virtual Resource Manager):FusionCompute虚拟资源管理,可以管理主机集群和逻辑集群。

 1+1主备部署,物理机或者虚拟机部署 网卡:2*10Gbps(建议)

其余配置要求具体请参见部署原则。
FusionManager 1+1主备部署,物理机或者虚拟机部署 网卡:2*10Gbps(建议)

其余配置要求具体请参见部署原则。
UltraVR 虚拟机部署(建议)
  • CPU:4核
  • 内存:8GB
  • 磁盘空间:50GB
  • 管理网络带宽(生产与备份之间管理流量所需带宽):10Mbps
eBackup 物理机部署
  • CPU:8核
  • 内存:12GB
  • 磁盘空间:120GB
  • 网卡:1Gbps
  • 每200VM需要部署一台eBackup。
FusionSphere SOI 虚拟机部署(建议)
  • CPU:4核
  • 内存:8GB
  • 磁盘空间:300GB

3.2  中等规模场景部署方案

中等规模场景定义:管理的主机数量:51台~256台,管理的VM数量1001台~5000台。

表3-2  中等规模场景部署方案

部署组件内容 部署方式 配置要求
FusionCompute管理组件(VRM) 1+1主备部署,物理机或者虚拟机部署 网卡:2*10Gbps(建议)

其余配置要求具体请参见部署原则
FusionManager 1+1主备部署,物理机或者虚拟机部署 网卡:2*10Gbps(建议)

其余配置要求具体请参见部署原则
UltraVR 虚拟机部署(建议)
  • CPU:4核
  • 内存:8GB
  • 磁盘空间:50GB
  • 管理网络带宽(生产与备份之间管理流量所需带宽):10Mbps
eBackup 物理机或者虚拟机部署
  • CPU:8核
  • 内存:12GB
  • 磁盘空间:120GB
  • 网卡:1Gbps
  • 每200VM需要部署一台eBackup。
FusionSphere SOI 虚拟机部署(建议)
  • CPU:4核
  • 内存:8GB
  • 磁盘空间:300GB

3.3  大规模场景部署方案

大规模场景定义:管理的主机数量:257台~1000台,管理的VM数量:5001台~10000台。

表3-3  大规模场景部署方案

部署组件内容 部署方式 配置要求
FusionCompute管理组件(VRM) 1+1主备部署,物理机或者虚拟机部署 网卡:2*10Gbps(建议)

其余配置要求具体请参见部署原则。
FusionManager 1+1主备部署,物理机或者虚拟机部署 网卡:2*10Gbps(建议)

其余配置要求具体请参见部署原则。
UltraVR 虚拟机部署(建议)
  • CPU:4核
  • 内存:8GB
  • 磁盘空间:50GB
  • 管理网络带宽(生产与备份之间管理流量所需带宽):10Mbps
eBackup 物理机部署
  • CPU:8核
  • 内存:12GB
  • 磁盘空间:120GB
  • 网卡:1Gbps
  • 每200VM需要部署一台eBackup。
FusionSphere SOI 虚拟机部署(建议)
  • CPU:16核
  • 内存:16GB
  • 磁盘空间:300GB

3.4  FusionCompute 主机部署要求

主机,即物理服务器配置要求如表3-4所示。

说明:

如果所用服务器非新购入的全新服务器,建议在配置BIOS前,恢复BIOS默认设置。

表3-4  主机配置要求

项目 要求
CPU Intel或AMD的64位CPU。

CPU支持硬件虚拟化技术,如Intel的VT-x或AMD的AMD-V,并已在BIOS中开启CPU虚拟化功能。
内存 ≥8GB

如果主机用于部署管理节点虚拟机,需至少满足管理节点虚拟机内存规格+3GB。

推荐内存配置≥48GB
硬盘/U盘
  • 使用硬盘时,硬盘≥16GB。如果VRM虚拟机使用本地存储创建磁盘,则硬盘空间应≥96GB。
  • 使用U盘时,U盘≥4GB。
网口
  • NIC网口数目≥1。
  • 建议网卡数目为6个,网卡速率要求千兆以上。
RAID 建议使用1、2号硬盘组RAID 1,用于安装主机操作系统,以提高可靠性。

3.5  组网安全防护与对外开放

本节介绍FusionManager系统的组网安全防护,供您了解FusionManager的安全防御策略和安全使用建议。

物理部署

FusionManager的物理部署如图3-1所示。

图3-1  物理部署图

FusionManager采用主备架构,与FusionCompute对接管理虚拟资源,同时管理交换机防火墙设备。

PVM为用户部署服务时自动创建的虚拟机,通过它向用户虚拟机提供软件安装服务和应用监控服务。

逻辑组网

FusionManager的逻辑组网如图3-2所示。

图3-2  逻辑组网图

图中总共有五个安全防御点,每个安全防御点的说明如下:

  1. 通过使用防火墙的NAT将FusionManager系统的租户API和租户UI的端口(请参考《FusionManager 通信矩阵(服务器虚拟化)》,筛选“外部+租户面+管理面/租户面”类型的端口)映射到非信任网络,达到开放租户API和租户UI对外开放的目的。租户可通过租户UI对租户资源进行管理;第三方运营系统可通过租户API对租户资源进行管理。
  2. 运维人员通过管理UI对系统资源进行管理;第三方运维系统和运营系统通过管理API对系统资源进行管理。第三方运维系统和运营系统与FusionManager系统及FusionManager所管理的设备处于一个信任网络(信任域)内,一般通过VPN相通,此时设备网络,系统内部端口对运维和运营网络可见。对于对系统安全性较高(如要求与设备面隔离)的客户,也可以通过在交换机上配置ACL策略(请参考《FusionManager 通信矩阵(服务器虚拟化)》,筛选“外部+管理面+管理面/租户面”类型的端口并将端口开放)来达到此目的,从系统安全角度,推荐使用该方式。
  3. 由客户提供的Samba服务器与FusionManager对接,供用户上传下载ISO镜像和软件。一般情况下,Samba服务器与FusionManager系统处于一个信任网络(信任域)内,可以通过VPN相通。

    Samba服务器的安全加固和防护由客户来评估与保障。从网络安全角度,建议:

    • 如果与FusionManager系统不在一个信任网络内,可以通过设置网关交换机的ACL策略进行安全防护。
    • 如果与FusionManager系统在一个信任网络内,可以通过VPN等方式保证与FusionManager系统连通。
  4. 用户通过用户网络访问用户虚拟机,用户可选择通过防火墙ACL或NAT策略过滤,从而对用户虚拟机进行安全防护。
  5. 软件安装服务器(PVM)和管理网络与用户网络都相通。为防止恶意用户通过该节点侵入管理网络,本系统已经在PVM服务器中采用了Iptable对用户面进行了隔离。

租户API与租户操作界面的对外开放

如图3-2中的“1”所示,可使用防火墙的NAT将FusionManager系统的租户API和租户UI的端口映射到非信任网络,实现对外开放租户API和租户UI的目的。

具体的端口信息,请参考《FusionManager 通信矩阵(服务器虚拟化)》文档,筛选“外部+租户面+管理面/租户面”类型的端口。

具体配置方法可参考下方的配置举例。

配置租户API与租户操作界面的对外开放举例

通过此举例,您可以了解到FusionManager租户API与租户操作界面的对外开放的典型组网和配置方法。组网图如图3-3所示。

说明:

如果在配置完成后修改了FusionManager的管理IP,需要重新配置租户API与租户操作界面的对外开放。
图3-3  租户API与租户操作界面对外开放典型组网图

组网说明

  • 运营商网络已接入互联网,用于互联网用户访问FusionManager的公网IP“10.185.40.43”可以被正确路由到运营商核心交换机“10.188.1.1”
  • FusionManager的浮动IP为“10.188.40.43”
  • FusionManager租户API与租户操作界面对外开放需要放开下列端口:
    • TCP端口:21、80、443、543、6081、30000-30100。
    • 具体的端口信息,请参考《FusionManager 通信矩阵(服务器虚拟化)》文档,筛选“外部+租户面+管理面/租户面”类型的端口。
  • FusionManager物理网关位置为防火墙防火墙组网类型为static-route。
  • 使用防火墙的GigabitEthernet 1/0/0端口做为Trust口,GigabitEthernet 1/0/1端口作为Untrust口。
  • 关键网络设备型号:
    • 防火墙型号:Huwei Eudemon8000E-X3&8000E-X8&8000E-X16 V200R001C01SPC900
    • 企业汇聚交换机型号:Huawei Quidway S5300 V200R001C00SPC300

操作步骤

  1. 配置运营商核心交换机。#接收到互联网用户对FusionManager的访问,路由到企业汇集交换机

    ip route-static 10.185.40.43 255.255.255.255 10.188.1.3

  2. 配置企业汇聚交换机。#配置和防火墙的对接的VLAN信息。

    Vlan 4018

    interface Vlanif4018

    ip address 192.168.185.1 255.255.255.252

    ip route-static 0.0.0.0 0.0.0.0 10.188.1.1(已有则无需配置)

    #将接收到的用户对FusionManager网段的访问路由到防火墙

    ip route-static 10.0.0.0 8 192.168.185.2

  3. 配置防火墙。#配置FusionManager管理网络所使用的虚拟防火墙vfwfmnat。

    ip vpn-instance vfwfmnat

    route-distinguisher 121:1

    #配置虚拟防火墙vfwfmnat的Untrust区子接口。

    interface GigabitEthernet 1/0/1.4018

    vlan-type dot1q 4018

    ip binding vpn-instance vfwfmnat

    ip address 192.168.185.2 255.255.255.252

    firewall zone vpn-instance vfwfmnat untrust

    add interface GigabitEthernet 1/0/1.4018

    #配置虚拟防火墙vfwfmnat的Trust区子接口。

    interface GigabitEthernet 1/0/0.4000

    vlan-type dot1q 4000

    ip binding vpn-instance vfwfmnat

    ip address 10.188.40.1 255.255.255.0

    firewall zone vpn-instance vfwfmnat trust

    add interface GigabitEthernet 1/0/0.4000

    #配置虚拟防火墙vfwfmnat的默认路由。

    ip route-static vpn-instance vfwfmnat 0.0.0.0 0.0.0.0 192.168.185.1

    #配置虚拟防火墙vfwfmnat安全区域间的默认包过滤规则。

    firewall packet-filter default permit interzone vpn-instance vfwfmnat local trust direction inbound

    firewall packet-filter default permit interzone vpn-instance vfwfmnat local trust direction outbound

    firewall packet-filter default permit interzone vpn-instance vfwfmnat local untrust direction inbound

    firewall packet-filter default permit interzone vpn-instance vfwfmnat local untrust direction outbound

    firewall packet-filter default permit interzone vpn-instance vfwfmnat trust untrust direction inbound

    firewall packet-filter default permit interzone vpn-instance vfwfmnat trust untrust direction outbound

    #配置互联网用户访问FusionManager时,公网IP及端口到私有IP及端口的NAT转换规则。

    nat server vpn-instance vfwfmnat zone untrust protocol tcp global 10.185.40.43 21 inside 10.188.40.43 21 no-reverse

    nat server vpn-instance vfwfmnat zone untrust protocol tcp global 10.185.40.43 80 inside 10.188.40.43 80 no-reverse

    nat server vpn-instance vfwfmnat zone untrust protocol tcp global 10.185.40.43 443 inside 10.188.40.43 443 no-reverse

    nat server vpn-instance vfwfmnat zone untrust protocol tcp global 10.185.40.43 543 inside 10.188.40.43 543 no-reverse

    nat server vpn-instance vfwfmnat zone untrust protocol tcp global 10.185.40.43 6081 inside 10.188.40.43 6081 no-reverse

    #30000至30100端口的配置,请参考如下命令添加完整,此处不再一一列举。

    nat server vpn-instance vfwfmnat zone untrust protocol tcp global 10.185.40.43 30000 inside 10.188.40.43 30000 no-reverse

  4. 配置可信域。

    需要将公网IP地址添加至FusionManager的可信域中,才可正常访问,以保证系统安全性。

    1. 使用“PuTTY”登录FusionManager主节点。以“galaxmanager”用户,通过“主节点管理IP地址”登录。“galaxmanager”用户的默认密码为“Huawei@CLOUD8”

      若为单节点部署,则使用管理IP地址登录即可。

    2. 执行以下命令,防止系统超时退出。TMOUT=0
    3. 执行以下命令,将所需的IP地址或域名加入可信域。white-ls-cfg add IP地址或域名例如,执行以下命令,将用于互联网用户访问FusionManager的公网IP地址加入可信域。

      white-ls-cfg add 10.185.40.43

      说明:

      可通过white-ls-cfg --help查看相关命令,如查看、删除等。

    4. 若FusionManager为主备部署,则还需登录FusionManager备节点,按照上述方法,将所需的IP地址或域名加入可信域。