干货！一文了解金融数据中心云网协同的资源池分区网络架构

随着云计算、虚拟化、软件定义等技术在金融数据中心内开始落地部署并逐渐成熟，计算、存储、网络从传统架构下的独立建设且各自运维的模式，向云计算架构下的统一调度、统一运维的模式演进，从而使得云网协同成为金融数据中心建设的潮流和趋势。

在传统网络架构中，网络缺乏统一的控制平面，该架构下云平台缺乏对网络统一调度的手段，云、网难以协同，自动化程度弱，网络被动响应业务系统。而软件定义网络（SDN）通过控制器实现对网络的统一配置，从而为云网协同提供了有效的机制。

云数据中心部署网络、SDN控制器、云平台、虚机管理平台（可集成于云平台），通过控制器与云平台和虚机管理平台对接的方式，实现云网协同。实现云平台统一管理计算、存储和网络资源。在云网协同的场景下，云数据中心通常采用水平分区、垂直分层的设计思路，并根据金融数据中心对业务应用安全性的要求（业务应用划分为内网业务和外网业务），将数据中心划分为内网资源池和外网资源池。

资源池划分

内网资源池即开放平台业务服务，根据不同用户的业务系统安全级别和x86服务器规模，将开放平台业务服务划分一个或多个Fabric，每个Fabric内，业务应用通过不同VPC进行安全隔离防护。

外网资源池即DMZ业务服务，可将互联网区DMZ服务和外联网区DMZ服务统一规划为一个Fabric。互联网DMZ业务服务和外联网DMZ业务服务划分不同VPC进行安全隔离防护。其中，外联网DMZ可能存在多个VPC，比如人行外联DMZ业务服务，监管机构外联DMZ业务服务等（不同用户规划上略有不同）。并且原则上外网资源池内各个VPC无互访关系。

内外网资源池分别建立物理隔离的云分区，从而实现流量物理隔离，使业务系统更加安全。

内外网资源池内采用Spine-Leaf架构，EVPN+VXLAN分布式架构部署Overlay网络，按需虚拟化出多个网络资源，对应不同的业务逻辑分区。内外网资源池内部署南北向安全资源池（旁挂Border leaf上）和东西向安全资源池（可旁挂Border leaf上或者Service leaf上），本文采用东西向和南北向安全资源池全部旁挂在Border leaf上的统一建设模式，来简化网络部署。Border leaf配置Public VPC和业务逻辑分区VPC，业务逻辑分区VPC间的通信均需经过Public VPC进行统一中转。

基于内外网业务服务安全隔离的要求，需要保证内外网流量的物理隔离，因此需要部署两套核心交换机：内网核心和外网核心，来分别实现承载外网业务流量和内网业务流量。

外网核心承载的流量范围：互联网、外联网、外网资源池等业务区域

内网核心承载的流量范围：广域网、运维区、内网资源池等业务区域

流量模型

南北向流量：

用户将依次经过外网核心、外网资源池、内网核心和内网资源池，实现业务访问。整体流量走向如下：

如果进一步细分到资源池VPC的路径为（以互联网区为例）：从互联网区→ Public VPC（外网资源池）→ 互联网DMZ VPC（外网资源池）→ Public VPC（外网资源池）→ 内网核心→Public VPC（内网资源池） →安全资源池（内网资源池）→ 开放平台业务区（内网资源池）

东西向流量：

外网资源池中各个VPC间不存在互访关系，故不存在东西向流量。内网资源池间存在东西向流量。

流量走向：开放平台业务一区→Public VPC→安全资源池→ 开放平台业务二区

某城商行采用了锐捷的网络云数据中心SDN架构方案，构建了云网协同的新数据中心网络架构，通过SDN控制器按需、动态地构建网络资源池，协同OpenStack云平台实现计算、存储和网络资源的联动，实现了业务敏捷发放、资源共享。