近日,ZStack Cloud 5.0.0正式发布,推出了包含Vhost主存储、隔离PVLAN网络、云平台报警优化、灰度升级增强在内的一系列重要功能。云主机管理、物理机运维、密评合规、灾备服务等诸多使用场景和功能模块均有更新,为您带来更完善的平台服务、更便捷的运维体验、更强大的安全保护。
为帮助用户快速了解和使用ZStack Cloud 5.0.0,本期挑选以下几个亮点功能与大家分享。
1.Vhost主存储:通过Vhost协议对接高性能全闪分布式存储
ZStack Cloud 5.0.0中,主存储类型新增——Vhost:通过Vhost协议实现云平台与全闪分布式存储的对接,从而为云资源(云主机/云盘)提供高性能存储服务。
1)高性能、低延迟的存储服务
ZStack Cloud 5.0.0完成了云平台与新一代高性能全闪分布式存储的对接和测试:在8核16G规格配置下,可支持50用户并发使用,实现42万TPM(Transaction Per Minute);32核64G配置下,可达到百万TPM水平,满足三级医院HIS(Hospital Information System)系统要求。而对于金融机构等复杂计算场景,百万TPM意味着可在一分钟内处理约3万笔复杂的金融交易,确保客户业务流畅运行。在此类高性能、低延迟的需求场景下,Vhost表现出突出优势。
2)便捷的运维管理
在ZStack Cloud UI界面上,用户点击创建主存储,选择Vhost类型,并填写后端存储设备的IP地址、端口、用户名、密码等信息,即可实现与全闪分布式存储的连接。
添加完成后,用户可以在ZStack Cloud提供的统一界面中轻松管理Vhost主存储资源,包括启用、停用、进入维护模式、加载/卸载集群、删除等,与其他主存储类型无异。
添加Vhost主存储
Vhost主存储运维管理
3)良好的功能适配
在ZStack Cloud 5.0.0中,Vhost主存储实现了云资源(云主机/云盘)全生命周期管理,并适配大部分运维功能,例如:克隆、扩容、创建快照、设置云盘QoS、更换云主机系统盘、为云主机在线/离线加载/卸载云盘、重置云主机、创建镜像到ImageStore等等。
用户进入Vhost详情页,即能快速查看并操作其上的云主机和云盘,享有完整、丝滑的使用体验。
集中管理Vhost上的云资源
4)应用场景
Vhost主存储适用于对数据存取速度和处理性能有严格要求的业务场景,如金融服务机构、大型互联网公司和需要处理海量数据的医疗机构、科研机构等。
我们可通过以下示例来了解Vhost主存储是如何在此类场景下,帮助用户实现应用持续运行和数据高可用需求的:
在企业数据中心,客户部署大规模Oracle RAC和数据库云环境,以支持其关键业务应用。该环境包含160台弹性裸金属服务器,构成80套RAC和云数据库。同时,部署Vhost主存储并创建数据云盘,这些数据云盘将Vhost主存储划分为块存储卷并被直连到裸金属服务器,实现服务器对数据云盘的直接访问。
在该部署方案中,客户既受益于Vhost主存储技术提供的高速数据处理能力,又享有云盘存储方案带来的扩展性和灵活性。Oracle RAC环境通过这种配置能够以高吞吐量和低延迟处理数据请求,极大提升了数据分析能力,在保障数据安全和服务稳定性的前提下,显著提升业务响应速度和处理效率。
弹性裸金属直连Vhost主存储
2.云网络支持PVLAN隔离网络
PVLAN是一种网络隔离技术,它在传统的VLAN基础上提供更为细粒度的隔离。这种技术主要用于大型网络环境中,以减少常规VLAN所需的网络配置数量,并提供严格的二层隔离。
为帮助用户更好地理解PVLAN功能,以下引入PVLAN的核心概念和主要作用:
主VLAN:负责携带从辅助VLAN到上行链路的流量,所有的PVLAN都共享一个主VLAN。
辅助VLAN:包括团体(社区)VLAN和隔离(保护)VLAN,需映射到主VLAN。
a、团体(社区)VLAN:单个社区VLAN内部的端口 可以互相通信,不同社区VLAN之间不能互相通信(如需通信,请通过三层网络配置实现)。
b、隔离(保护)VLAN:同一个隔离VLAN内的端口之间不能互相访问,不同隔离VLAN之间也不能互相通信,隔离VLAN只能与“混杂端口”互访;一个主VLAN只能对应一个隔离VLAN。
c、混杂端口:混杂端口可以与PVLAN中的任何设备通信,无论对方处于主VLAN还是辅助VLAN。在实际业务场景中,物理上行链路(如物理交换机或路由器)通常需要配置为混杂端口模式。
PVLAN图解
1)精细的访问控制
PVLAN允许更细粒度的访问控制,因为它不仅可以像传统VLAN技术隔离不同VLAN下的资源,还可以在同一个VLAN内部隔离不同的实例。这意味着即使在同一个广播域内,实例间也可以被设置为相互隔离,从而防止潜在威胁,如ARP欺骗或DHCP欺骗。
2)节省IP资源
在云计算场景中,几个物理服务器上可能运行数十甚至数百个云主机。在这种高密度环境中,PVLAN使云主机的隔离变得容易:它不需要为每个隔离的网络都分配一个VLAN,而是在同一个子网内实现隔离,使得VLAN ID通常不会被耗尽,并提高IP资源利用率。
3)提高安全保护
PVLAN通过限制端口间的通信提供了更细粒度的隔离,这有助于限制潜在的网络攻击隐患。例如:在大型网络中,广播流量可能导致“广播风暴”,从而影响网络性能,而PVLAN可以限制广播流量只在必要的端口之间传播,能有效控制和减少广播风暴的影响。
此外,PVLAN减少了需要创建和管理的VLAN数量,提供了更加简洁的网络架构。
在ZStack Cloud上,用户可以为二层网络配置PVLAN中的隔离VLAN(Isolated VLAN),以实现提高网络安全、降低子网数目、提高IP利用率的目的。
ZStack Cloud上的隔离VLAN可与物理交换机上的PVLAN配置配合使用,以满足高级VLAN组网需求。
在使用PVLAN功能时,请确保您的网络设计和安全策略与PVLAN的工作方式相匹配,并在网络拓扑中将节点正确标记为Promiscuous(混杂)、Isolated(隔离)或Community(社区)VLAN。
创建PVLAN隔离网络
4)应用场景
我们可通过以下示例来了解PVLAN功能具体是如何帮助用户满足业务需求的:
需求一:解决数据中心内子网资源短缺的问题,并实现云主机相互隔离
在此类场景下,由于子网资源短缺,客户通常希望一个子网可以供多个VLAN使用,同时能将不同安全级别的云主机隔离,被隔离的云主机需要访问相同的核心服务,如DHCP服务器、认证服务器、备份服务器等,以保障业务正常运行。
数据中心内部云主机隔离
在如上所示的场景中:
用户希望将VM-1、VM-2和VM-4隔离,因此它们均被放置在隔离VLAN下。其中,即使VM-1和VM-4使用相同的物理机和VLAN,但由于该VLAN是隔离VLAN,因此它们也能被正常隔离。
Server-3和Server-5是被同一项目组使用的服务器,需要相互通信,因此被放置在同一个社区VLAN下。
所有服务器均需要访问核心服务(DHCP、认证鉴权等),因此核心服务的端口被设置为混杂模式,从而能与PVLAN中的所有设备通信。
需求二:实现不同用户业务云主机隔离
在证券公司和其他金融机构中,常常需要在一套云平台中部署多个云主机,以分别承载不同客户的金融业务。这些针对不同客户的云主机需要被相互隔离,从而保证每个客户的信息安全。
在这种场景下,PVLAN部署方案帮助金融机构以一种简洁的网络架构实现云主机隔离,在保障信息安全的同时,也降低了金融机构的网络管理成本:
不同用户业务主机隔离
在如上所示的场景中:
- VM-1、VM-2、VM-3、VM-4是承载不同用户业务的云主机,因此它们被放置在隔离VLAN下,即使部署在相同的物理机上,也能相互隔离。
- 所有的用户云主机均需要访问互联网,因此,云服务路由器端口被设置为混杂模式,所有云主机均能和它通信,实现互联网访问。
需求三:实现企业内部网络安全规划
在企业内部网络中,部分敏感设备需要被单独隔离,例如财务部门、研发部门的服务器。同时,这些设备需要访问通用资源,如打印机或数据库服务器。
企业内部网络安全规划
在如上所示的场景中:
- 会计部门的服务器需要相互通信,因此它们被放置在同一个社区VLAN下。
- 会计部门服务器和研发部门服务器、研发部门服务器之间不能相互通信,因此,研发部门服务器被单独放置在一个隔离VLAN下。
- 所有部门均需使用共享打印机,因此共享打印机端口被设置为混杂模式。
3、云平台报警优化
ZStack Cloud 5.0.0进一步完善监控报警功能,丰富通知对象和消息模板类型,覆盖更多业务场景需要:
1)丰富多样的通知渠道
ZStack Cloud 5.0.0新增企业微信、飞书通知对象类型,可以将云平台报警推送到企业微信和飞书群内。
截至本版本,ZStack Cloud已支持以下九种通知对象:系统、邮箱、钉钉、HTTP应用、短信、Mircosoft Teams、SNMP Trap接收端、飞书、企业微信。
除上述已对接的报警渠道外,您还可以基于HTTP应用类型的通知对象,生成ITSM事件,并通过Webhook进一步转发到其他第三方监控或报警平台,如Slack、短信网关等,以进一步契合您的使用习惯。
多样的报警渠道供用户根据实际情况灵活选择,运维人员即使在未登录云平台的情况下,也能及时关注到平台问题,快速响应并处理故障。
飞书通知对象
企业微信通知对象
2)灵活自定义的消息模板
在之前版本中,ZStack Cloud已支持用户为邮箱、钉钉、短信和Microsoft Teams通知对象自定义消息模板。5.0.0版本,新增支持了企业微信、飞书和HTTP应用消息模板。用户可在消息模板中,自定义消息标题和文本内容,使云平台报警以指定的格式发送到接收端,运维人员能在接收消息后,快速定位其中的关键信息。
飞书消息模板
企业微信消息模板
HTTP应用消息模板
3)应用场景
云平台丰富灵活的报警渠道和消息模板主要是为满足客户随时了解平台运行状况、及时关注并处理平台故障的需求,我们可通过以下几个示例来了解如何利用报警功能满足高效、灵活的运维需求:
场景一:利用报警推送,提前规划平台运维
通常场景下,当平台业务负载达到指定阈值时,用户需进行平台扩容以顺利承接上升的业务量。此时,为资源添加报警器使其发送报警消息到指定渠道,能使用户快速关注到阈值将满的信号,并提前进行扩容规划。
假设客户运维人员使用飞书办公,并计划在物理机内存负载持续超过80%的情况下进行计算节点扩容,可跟随以下步骤进行报警配置,从飞书端关注平台物理机的使用情况:
Step1:在飞书群中添加自定义机器人并保管好Webhook地址。
添加飞书群机器人
Step2:登录ZStack Cloud,创建飞书类型通知对象,在地址栏中填写飞书机器人的Webhook地址。
创建飞书通知对象
Step3:在报警器中,找到默认资源报警器“物理机内存已用百分比”,将已创建好的飞书通知对象绑定到报警器下。
绑定通知对象到报警器
Step4:当物理机内存使用率超过80%并持续一段时间后,云平台会向飞书群内推送报警,运维人员可根据报警提前进行扩容规划。
在飞书端接收报警消息
场景二:灵活定义消息模板和报警渠道,获取更切合实际需求的报警推送
面对多样化的客户业务需求,ZStack Cloud的监控报警功能展现出良好的可扩展性,不仅提供可灵活调整的报警消息模板,还支持通过HTTP应用将报警消息转发到更多报警或监控平台。
假设客户运维人员需监控云主机内存负载情况:当云平台内存使用率持续超过80%时,需发送报警到HTTP应用,并通过HTTP应用转发到第三方平台,供运维人员关注,可跟随以下步骤进行报警配置:
Step1:搭建HTTP应用,并保持运行状态。
Step2:登录ZStack Cloud,创建HTTP类型通知对象,填写HTTP应用地址。
创建HTTP应用通知对象
Step3:创建HTTP应用消息模板,按需设置报警消息的标题、文本,和恢复消息的标题、文本,并将其设置为默认模板。
创建HTTP应用消息模板
Step4:在报警器中,找到默认资源报警器“云主机内存已用百分比”,将创建好的HTTP应用通知对象绑定到该报警器下。
Step5:当云主机内存使用率超过80%并持续一段时间后,云平台会向HTTP应用推送报警。
在HTTP应用接收报警消息
Step6:对收到的报警消息进行二次开发,生成ITSM事件,并通过Webhook对接转发到其他通知渠道,如Slack、短信网关等,使运维人员可通过指定的渠道,便捷获取云平台报警。
4、灰度升级增强,支持升级期间云主机和VPC路由器持续运维
灰度升级是指在云平台升级过程中,不一次性将所有节点升级到新版本,而是有计划、分批次地将不同节点先后升级。这种方案给予用户充分的时间来观察新版本在已升级节点上的运行情况,继而规划是否进一步将新版本全面应用到所有节点上。与传统升级模式相比,这种升级模式更加安全、平稳,能有效帮助用户避免升级造成的预期外问题。
但灰度升级可能导致升级期间平台内各节点版本不同,如何管理未升级节点上运行的云资源成为一个挑战。
ZStack Cloud 5.0.0进一步增强灰度升级优势,着眼升级安全和业务稳定两个方面,不仅增加了升级前的验证环节,更着重解决了升级期间资源运维连续性的问题。功能增强后,用户在灰度升级期间,即使对运行在未升级物理机上的云主机和VPC路由器也能执行基本运维,例如:创建、启动、重启、停止等生命周期管理,和打开控制台、更改物理机、修改配置信息、克隆/扩容等基础操作,在确保平台升级安全的同时,也实现了资源可维护,进一步保障客户业务的平稳运行。
结语
云轴科技ZStack是产品化的云基础软件提供商,位列IDC《中国云系统软件市场跟踪报告》独立云厂商第一,产品矩阵全面覆盖数据中心云基础设施。自研架构,自主知识产权,独立于VMware和OpenStack技术路线;坚持产品化道路,轻量级部署,敏捷交付;全面适配,通过可信云首批一云多芯最高级别认证,唯一兼容四架构八平台;不断提升性能,在同等环境*下获云计算性能测试国际标准SPEC Cloud全球第一。
ZStack Cloud5.0.0着眼用户所需,除以上讲解的亮点功能外,还开发、改进了多个重要功能,力求覆盖更多业务场景,为客户打造更好的产品使用体验。
未来,我们会继续推出更多丰富好用的云计算产品功能,为用户创造价值。
- 注:测试环境查询
https://www.spec.org/cloud_iaas2018/results/res2021q2/cloudiaas2018-20210507-00014.html