1、VMware虛擬化建設(shè)方案修訂歷史編號修訂內(nèi)容簡述修訂日期修訂后版本號修訂人1完成VMware虛擬化 建設(shè)方案2020.1.21.02拓?fù)鋱D整改2020.1.52.0目錄 TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 項(xiàng)目背景.4 HYPERLINK l bookmark9 o Current Document 項(xiàng)目目標(biāo)與資源4 HYPERLINK l bookmark13 o Current Document 2.1項(xiàng)目目標(biāo)4 HYPERLINK l bookmark16 o Current Document 2.2項(xiàng)目資源4

2、HYPERLINK l bookmark19 o Current Document 項(xiàng)目方案4 HYPERLINK l bookmark23 o Current Document 3.1方案概述.4 HYPERLINK l bookmark26 o Current Document 3.2物理拓?fù)鋱D53.3部署物理位置規(guī)劃錯誤!未定義書簽。 HYPERLINK l bookmark32 o Current Document 3.4方案設(shè)計(jì).6防火墻6匯聚交換機(jī).6接入交換機(jī).7服務(wù)器8 HYPERLINK l bookmark42 o Current Document 實(shí)施計(jì)劃9 HYPERL

3、INK l bookmark46 o Current Document 4.1準(zhǔn)備階段9 HYPERLINK l bookmark49 o Current Document 4.2硬件實(shí)施階段9 HYPERLINK l bookmark52 o Current Document 4.3軟件實(shí)施階段9 HYPERLINK l bookmark55 o Current Document 4.4收尾階段9 HYPERLINK l bookmark58 o Current Document 安全優(yōu)化105.1增加1臺交換機(jī)管理網(wǎng)絡(luò)拓?fù)溴e誤!未定義書簽。5.2增加3臺交換機(jī)管理網(wǎng)絡(luò)拓?fù)溴e誤!未定義書簽。

4、5.3增加4臺交換機(jī)管理網(wǎng)絡(luò)拓?fù)溴e誤!未定義書簽。.項(xiàng)目背景由于集團(tuán)業(yè)務(wù)變更，希望合理利用上述資源整改現(xiàn)有業(yè)務(wù)系統(tǒng)以提高公司業(yè) 務(wù)的高可用性。由于集團(tuán)業(yè)務(wù)變更，希望合理利用上述資源整改現(xiàn)有業(yè)務(wù)系統(tǒng)以 提高公司業(yè)務(wù)的高可用性，由于集團(tuán)業(yè)務(wù)變更，希望合理利用上述資源整改現(xiàn)有 業(yè)務(wù)系統(tǒng)以提高公司業(yè)務(wù)的高可用性。由于集團(tuán)業(yè)務(wù)變更，希望合理利用上述資 源整改現(xiàn)有業(yè)務(wù)系統(tǒng)以提高公司業(yè)務(wù)的高可用性。（自行編寫啦：）項(xiàng)目目標(biāo)與資源2.1項(xiàng)目目標(biāo)在現(xiàn)有資源的基礎(chǔ)上搭建VMware虛擬化集群，實(shí)現(xiàn)底層基礎(chǔ)設(shè)施的冗余。2.2項(xiàng)目資源設(shè)備數(shù)量服務(wù)器（配置：128G內(nèi)存，2*300G SAS硬盤，12*4T硬盤， 1個

5、IDRAC管理網(wǎng)口，4個千兆網(wǎng)口）31臺接入交換機(jī)6臺匯聚交換機(jī)2臺出口防火墻2臺輔料（網(wǎng)線，標(biāo)簽，扎帶等）若干項(xiàng)目方案3.1方案概述防火墻HA部署，下接2臺匯聚交換機(jī)6700配置VRRP，實(shí)現(xiàn)主備冗余部署； 每機(jī)柜2臺接入層交換機(jī)一主一備與兩臺匯聚交換機(jī)一主一備分別相連；接入交 換機(jī)與服務(wù)器4個業(yè)務(wù)網(wǎng)口、1個硬件管理口相連。至此實(shí)現(xiàn)全鏈路實(shí)現(xiàn)主備冗 余架構(gòu)。35臺服務(wù)器部署ESXI6.5虛擬化底層系統(tǒng)，虛擬化搭建完成后，虛擬機(jī)安裝 VMware vSphere Vcenter Server提供統(tǒng)一管理接口?，F(xiàn)有條件下使用本地存儲， 存儲層面無法實(shí)現(xiàn)冗余因此在應(yīng)用層通過負(fù)載實(shí)現(xiàn)業(yè)務(wù)多活。3.2

6、物理拓?fù)鋱D3.3部署物理位置規(guī)劃機(jī)房位置機(jī)柜位置設(shè)備數(shù)量聯(lián)通6號柜服務(wù)器10接入交換機(jī)27號柜服務(wù)器10接入交換機(jī)28號柜服務(wù)器11接入交換機(jī)2服務(wù)器名定義規(guī)則：機(jī)柜號+S+機(jī)架位置號（每機(jī)柜由下到上從1往后依次排列）例：A6-S1，A6-S113.4方案設(shè)計(jì)防火墻由于現(xiàn)有防火墻已承載其他業(yè)務(wù)，并以HA模式（主備模式）部署，故不做 架構(gòu)變更只使用剩余接口，更改部分配置。使用接口:EthN，Eth（N+1）并將兩接口配置接口聚合使用IP： 1個與匯聚交換機(jī)互聯(lián)的接口 IP設(shè)計(jì)思路：下行鏈路做接口聚合保證鏈路冗余性。由于防火墻為HA部署，主存活時(shí)備不轉(zhuǎn)發(fā)數(shù)據(jù)，所以當(dāng)防火墻A存活 但匯聚A宕機(jī)的時(shí)候

7、數(shù)據(jù)會從匯聚B轉(zhuǎn)發(fā)到防火墻B，此時(shí)防火墻B為 備機(jī)不轉(zhuǎn)發(fā)數(shù)據(jù)，因此需要在防火墻配置探測機(jī)制。當(dāng)匯聚A宕機(jī)時(shí)， 防火墻也隨之從主切換到備。匯聚交換機(jī)兩臺匯聚交換機(jī)與上行防火墻兩兩相連，防火墻A與匯聚A相連，防火墻B 與匯聚B相連，匯聚交換機(jī)A與匯聚交換機(jī)B也通過兩個接口聚合相連。兩臺匯聚交換機(jī)與下行6臺接入交換機(jī)相連，每2臺接入交換機(jī)在一個機(jī)柜， 匯聚交換機(jī)需要把與一個機(jī)柜內(nèi)的兩臺交換機(jī)相連的接口配置為聚合接口。使用接口（每臺匯聚）：接口號用途數(shù)量從光纖接口最大接口號開始向上排 列上行與防火墻相連1或2個取中間端口號橫向兩匯聚交換機(jī)互聯(lián)2個或4個從光纖接口最小接口號開始向下排 列下行與接入交換機(jī)

8、相連6個或12個參考依據(jù)：防火墻與匯聚間若為提高帶寬則端口數(shù)翻倍使用IP用途數(shù)量定義與防火墻相連IP2個XXX.XXX.Y.XXX匯聚互聯(lián)IP2個XXX.XXX.H.XXX業(yè)務(wù)網(wǎng)關(guān)IP若干XXX.XXX.N.XXXIDRAC 網(wǎng)關(guān) IP1個XXX.XXX.Z.XXX建議管理與業(yè)務(wù)物理隔離，若使用物理隔離方案（詳見第五章），則整個 方案內(nèi)包含IDRAC的規(guī)劃全部無效。使用VlanVlan用途Vlan 號上行VlanY橫向VlanH業(yè)務(wù)VlanN； 2N管理(IDRAC) VlanZ配置策略通過ACL實(shí)現(xiàn)VLAN間隔離設(shè)計(jì)思路：通過接口聚合實(shí)現(xiàn)鏈路冗余通過浮動路由+track探針的方式實(shí)現(xiàn)路由冗余

9、。以匯聚A為例，在某些特殊情況下，如上行接口故障時(shí)，匯聚A還是 VRRP的Master，因此數(shù)據(jù)還會發(fā)從到匯聚A，但是匯聚A上行接口故障此時(shí) 會導(dǎo)致整體業(yè)務(wù)中斷。針對這種情況配置浮動路由當(dāng)匯聚A上行接口故障時(shí)， 路由會切換到橫向互聯(lián)接口，把數(shù)據(jù)傳送給匯聚B。匯聚B與匯聚A配置類 似，主路由是到防火墻B，此時(shí)因防火墻A探測不到匯聚A，防火墻也切換 到B，數(shù)據(jù)會通過備份鏈路轉(zhuǎn)發(fā)，不會導(dǎo)致業(yè)務(wù)中斷。所有IP配置到虛擬三層接口下,接入交換機(jī)相連接口模式為Trunk，其他全部為Access o接入交換機(jī)每機(jī)柜2臺接入交換機(jī)，命名為接入交換機(jī)A，B；每交換機(jī)上行與匯聚A， B各連一根線。服務(wù)器共5個接口，

10、分別為Eth0，Eth1, Eth2, Eth3,IDRAC；奇數(shù)端口與接入A 相連，偶數(shù)端口與接入B相連。奇數(shù)接口綁定VlanN，偶數(shù)端口綁定VLAN （2N）。建議IDRAC使用一臺獨(dú)立的管理交換機(jī)，若由于條件限制無法實(shí)現(xiàn)則通過 Vlan方式隔離管理與業(yè)務(wù)。使用接口（每臺接入A）：接口編號對端接口0/0/1-0/0/15服務(wù)器ETH10/0/16-0/0/30服務(wù)器ETH30/0/31-0/0/45服務(wù)器1-6IDRAC0/0/47匯聚交換機(jī)A0/0/48匯聚交換機(jī)B使用接口（每臺接入B）：接口編號對端接口0/0/1-0/0/15服務(wù)器ETH00/0/16-0/0/30服務(wù)器ETH20/0

11、/31-0/0/45服務(wù)器7-12IDRAC0/0/47匯聚交換機(jī)A0/0/48匯聚交換機(jī)B服務(wù)器編號與接入交換機(jī)接口號對應(yīng)，例：0/0/1和0/0/16接1號服務(wù) 器，0/0/2和0/0/17接2號服務(wù)器。服務(wù)器 RAID規(guī)劃萬案一硬盤Raid模式用途可用容量2*300GSASRaid1ESXI系統(tǒng)盤300G5*4T SATARaid5文件存儲16T6*4T SATARaid10數(shù)據(jù)庫存儲12T1*4T SATAHot Spare熱備盤4T可用容量/服務(wù)器32.3T35臺服務(wù)器總計(jì)可用容量1130.5T萬案一硬盤Raid模式用途可用容量2*300GSASRaid1ESXI系統(tǒng)盤300G6*4T SATARaid5文件存儲20T6*4T SATARaid5文件存儲20T合計(jì)可用容量/服務(wù)器40.3T35臺服務(wù)器總計(jì)可用容量1410.5T方案優(yōu)勢對比方案一容量使用率較方案二低，但是大大提高可靠性 方案二相對資源利用率更高，可靠性相對平庸。接口規(guī)劃接口名用途Eth0+Eth1Aggregate Port1 （系統(tǒng)層聚合）Eth2+Eth3Aggregate Port2 （系統(tǒng)層聚合）IDRAC硬件管理實(shí)施計(jì)劃4.1準(zhǔn)備階段工作時(shí)間方案可行性評估與風(fēng)險(xiǎn)評估0-1天方案最終確認(rèn)未知實(shí)施人員確認(rèn)未知實(shí)施輔材、工具（尋線器）準(zhǔn)備未知實(shí)施流程審批0-1天總時(shí)間4