基础设施的三个层次（基础设施和基础能力的区别） - 原点资讯

针对各个步骤，简要说明如下：

整合平台：标准、统一化用户服务器、存储、网络硬件平台为目标。用户在采购选型上不再与单独某个业务应用为基准，而以虚拟化要求为参考。如采购刀片或高端PC服务器，存储虚拟化、分布式网络、小型机分区类技术。
虚拟化服务器：让应用操作系统与服务器、存储、网络硬件分离为目标。用户开始使用虚拟化操作系统，并迁移非关键生产应用于虚拟化平台。各种主流虚拟化厂家产品将充分测试、评估与分类使用，同时用户内部技术人员开始必修虚拟化技术。
桌面虚拟化：改变终端应用模式，移动计算为目标。分为四个不同方面：1、适合统一应用的终端应用，如Citrix XenApp、Windows Termial；2、适合个性化办公应用的虚拟桌面，如VMware View、Citrix XenDesktop、IBM KVM；3、适应GPU高要求的图形应用，如PhantosysDVP虚拟桌面平台、丽台图形终端；4、应用程序与操作系统分离的应用虚拟化，如VMware Thinapp、Microsoft App-v。
当用户开始桌面虚拟化阶段时，会面对虚拟区域安全问题，即IP资源规划、子区域的独立NAT、DHCP、防火墙、应用审计、DNS、统一防毒等问题，由传统的硬件解决方案过度到虚拟平台内部解决方案。代表产品为VMware NSX套件。
应用整合：应用程序与用户数据、用户终端设置分离为目标。以前面的应用虚拟化起步，开始考虑应用开发方面的分布式运算，如google app、VMware vFabric Cloud Application Platform为代表的程序开发模式。
管理自动化：监控、流程、计量、模块库、数据保护、环境配置统一整合管理。PaaS层面的基础平台建设，整合传统运维工作模块，关键通过流程自动化模板衔接各模块，最终为衔接至服务门户模块的私有云平台做好基础。
关键应用迁移：容灾标准建设。以虚拟环境备份开始，结合数据消重技术应用，虚拟化异地容灾系统，双活数据中心建设。
流程标准化：IT服务以业务流程导向。以业务流程规划IT运维服务标准，自动化运维流程建设，通过系统管理数据、流程总线，衔接虚拟化管理、监控管理、灾备管理、配置管理模块。
计量与服务级别制定：IT即服务，服务级别标准与运维成本关联。从用户硬件环境如按测试区、开发区、内网生产区、外网生产区、备份区等方式分隔，针对不区域计量相应运维成本。通过前面的技术，自如调度应用于各区，分层分区域管理、运维。
云门户建设：技术与业务模式的衔接。主要是技术实现模块与业务应用模块的接口开发，解决技术与业务操作的界面与流程转换。
安全建设：针对云资源池一套容灾备份系统，满足自动故障切换，和快速业务恢复的要求，并且要求RPO近乎为零；针对关键业务系统，建设一套统一自动化的备份管理系统，保障数据安全；搭建一套针对云资源池深度防护的安防*毒系统，保障云平台的业务系统不受外界侵害。整体方案规划架构图

逻辑拓扑架构

基础设施的三个层次,基础设施和基础能力的区别(5)

物理组网拓扑架构

基础设施的三个层次,基础设施和基础能力的区别(6)

拓扑架构说明：

1、根据业务需求，对整个IT基础架构资源池进行了业务划分，主要划分为前端业务资源池、关键业务资源池、桌面交付池、开发测试资源池、容灾数据中心；

2、结合医院业务场景的需求，整个IT基础设施的三个层面：网络层、应用基础平台（服务器）、存储层采用双活容灾数据中心的解决方案，保证业务系统高可用和业务的连续性，即使出现了整个机房的故障，也可以快速地在备机房进行业务系统的切换。双活数据中心主要是通过以下几方面去实现：

（1）网络层面采用大二层技术，使主、备机房的核心交换机互通，两个机房之间数据链路采用两条裸光纤进行互备冗余，保证网络的高传输带宽的同时，也保证了网络链路的传输质量；

（2）应用基础平台层面，采用服务器虚拟化平台和传统物理服务器相结合的解决方案去建设，服务器虚拟化资源池主要放置桌面云、前端应用和非核心关键业务系统（如合理用药、医保、体检、病理、OA、邮箱、web、四大业务系统的应用层面等等），物理服务器主要用于部署医院四大业务系统（HIS/LIS/ERM/PACS）数据库群集。服务器虚拟化平台在主、备机房均放置一定数量的节点，由于存储层面实现了双活（下面会提到），所以对于服务器层面来说，所有节点实际上是接入到同一套共享存储，这样的话可以把两个机房的节点进行统一群集管理，利用虚拟化群集的HA/DRS功能，保证群集内的服务器（主备机房的节点）受高可用保护，出现故障时，虚拟机可以自动迁移，保证业务的连续性；物理服务器层面，可以针对数据库部署双机热备，如oracle数据库，可以采用RAC和Data Guard，或者采用第三方高可用解决方案都可以；

（3）存储层面，采用基于存储网关或者基于阵列的双活解决方案，在主、备机房均放置一套业务存储，由于两个机房之间的存储在数据写入的时候，采用镜像的方式，数据会实时复制同步，对于业务层面来说，只会看到逻辑卷，也就是说存储发生故障的时候，业务层面不会受到影响。

3、虚拟化资源池部署桌面云（主要用于护士站、行政办公、移动查房）和部署医院的除四大核心业务系统外的其他所有业务系统，建议可以把四大核心业务系统的前端应用也部署在虚拟化平台上，把数据库运行在服务器上，然后采用双机备份的方式进行部署。

4、PACS业务系统的数据放置在NAS存储上，其他业务系统均存放用FC SAN存储上；

5、虚拟化资源池部署网络虚拟化，东西方向流量，不需要经过核心交换机，直接借助VXLAN提供的overlay技术进行传输，优化了东西向流量，并且直接在虚拟化层面实现2-7层的网络功能，简化了虚拟机的网络管理；

6、采用统一的防病毒解决方案对虚拟化、物理环境进行深度防护管理，确保医院业务系统不受安全攻击；另外，对虚拟化平台可以利用网络虚拟化的防火墙功能，对虚拟机进行更灵活、更安全的防护；

7、建设一套统一、支持多平台自动化备份平台，保护业务系统的数据安全；

8、建设统一的云管理平台，通过集成的监控、管理、调度功能，能够以承载的应用系统为维度，对信息系统相关的各种信息资源负载进行有效监控，判断其健康状态，发现潜在的故障点；在管理上，平台可以制定相应的工作流，对各业务单位或者用户提出的资源需求进行审批和下发，实现管理的自动化。

整体方案详细规划

云平台基础架构层总体设计

基于上述所述业务分区，细化数据中心业务分区描述，设计要求如下：

基础设施的三个层次,基础设施和基础能力的区别(7)

系统方案简要说明

私有云基础架构设计思路：以业务应用特性为依据，设备按需分级为生产、测试及容灾分区标准化为目标。以下有横向及纵向两方面简要说明架构规划：

横向看，架构分为数据存储层、服务器与网络层、虚拟化操作系统层、私有云管理应用层：

在数据存储层方面，生产区使用光纤FC、SAS甚至SSD磁盘为主的高性能存储；而测试与备份区，则使用容量大的SATA磁盘为主的高性价比存储。针对内网生产区数据，因磁盘I/O较大，建议使用基于存储硬件镜像功能为数据第一级保护，尽量确保数据在极短时间内同步，避免存储硬件单点故障对业务数据的影响；对于非内网生产区数据，则可使用虚拟化软件中的数据复制技术，在一定的时间内（一般可设置在15分钟至24小时内）完成数据复制同步，占用较小的硬件资源，且对存储与服务器硬件的信赖性较小，部署更灵活；对于测试开发与备份归档区的存储，因性能要求相对不高，但数据存放容量要求较大，故建设使用性价比较高的SATA磁盘，如果存储有数据消重、Thin provision功能，及iScsi、NFS共享等功能更好。用户也可以考虑在生产存储中增加SATA磁盘扩展的方式部署此部分存储空间；对容灾区，主要是内网生产区镜像目标区，及外网生产区与测试区的复制目标区，使用何种磁盘与企业在容灾恢复要求相关，技术上建议此区存储要有数据快照功能，以满足虚拟化容灾套件的容灾测试功能。另一方面，如果容灾数据区需要针对异地容灾要求，还需要存储配置可通过IP网络传输数据的功能，一般与存储网络设备结合实现此功能。
服务器与网络层，主要是生产区建设使用较新的，可靠性强的品牌服务器；而测试开发与备份区服务器，则可使用旧服务器，或配置较低、可靠性较低的高性价比服务器即可。此外，服务器配置设计要考虑虚拟化性能瓶颈对存储主机物理内存网卡CPU等要求顺序，采购投入主次明确；网络规划除按管理网络、生产网络、存储网络分层外，各层需要充分考虑双冗余交换能力。
虚拟化操作系统层，针对生产区，建议使用知名产品为主，且尽量使用企业级版本；对于测试开发、备份区，可使用其他品牌产品，但基于私有云管理层，还是建议使用相同品牌较低版本的产品，如基础版本或基础增强版等。
私有云管理应用层，包含各区虚拟化调度、统一防毒、统一网络安全配置、容灾切换、统一性能监控等组件。从项目风险考虑，可结合专业虚拟化服务，一来大大减少采购风险，二来减少用户内部技术人员漫长学习测试时间与风险。

纵向看，架构分为内网生产区、外网生产区、测试开发区、备份容灾区：

内网生产区，因以企业数据库应用为主，故此区对性能要求最高，数据也要求尽量同步至不同物理存储中，避免数据单点故障。除数据存放于高速磁盘设计外，存储硬件的数据镜像功能也是需要考虑的重点。服务器也需要配置较高型号的稳定品牌主机，服务器配置特别注意存储I/O卡的数量与存储LUN的规划，建议咨询我司资深架构师。
外网生产区，数据同步要求相对低些，使用软件复制技术达到一定周期同步数据即可，虚拟化物理服务器较多，存储数据量也较大。故建议使用灵活度较大的服务器与存储动态平衡（DRS）技术，有效减少管理人力成本。此区多以业务应用中间件为主，甚至有虚拟桌面应用，故建议使用虚拟化统一网络安全管理组件与统一防毒组件，大大提高虚拟机密度，减少维护成本。此外，此区还是私有云管理组件的存放运行区，需要相对独立的逻辑区域规划应用部署私有云管理区。
测试、开发区，主要提供生产区数据的备份恢复测试、新应用上线测试，需要在安全管理上相对生产区更严格的管理规划。建议除部署统一防毒与网络安全组件外，应当使用标准的虚拟桌面应用、模板管理系统，规范内、外部人员使用标准，避免安全隐患，提高新业务上线与旧业务维护效率。
备份、容灾区，是海量数据存放处，需要数据消重、Thin provision技术提高存储使用率。此区传统业务规划属“闲人免入”区，新的规划思路需要定期恢复演练外，还可扩展为数据分析、挖掘应用的工作区，为企业带来不可低估的竞争潜力。
纵向整体看，各区域应用或虚拟化可通过私有云管理平台统一调度、迁移、复制，满足业务应用的生命同期管理需求。技术上看，能让一个应用（包含多个虚拟机）从一个区域迁移至另一个区域，相关的虚拟机IP、网络安全设置、防毒配置等服务相关的参数、质量，均可被统一移动，大大减少管理人力与时间成本。标准提高效率，最终实现成本降低。服务器虚拟化规划概述

根据前期调研可知，目前xxx医院的IT基础架构这块现状如下：

调查结果显示，当前运行 IT基础应用的服务器大多数是 X86 构架的服务器,虽然大多数服务器系统资源的利用率不到 10%-15%，但是构架、安全和兼容性方面的问题切使用多个应用不能运行在同一台物理服务器上，只能在不同的物理平台来运行它们。这使得IT 管理人员需要花费大量的时间来管理、安装补丁和添加安全策略等。另外还导致设备、人力和散热方面的成本上升；IT基础服务器众多：如活动目录服务器、文件和打印服务器、WEB服务器、DHCP服务器等；应用服务器：医院主中心由核心主机处理群(PACS 主机群、HIS 主机群、RIS 主机群、LIS 主机群、办公自动化主机、Web主机、安全控制主机、管理服务器群(备份管理服务器、网络管理服务器等)、ERP 主机、CRM 主机等；由于IT基础设备（服务器、存储、网络等）众多，维护工作量大，而且不能做到统一监控管理，给管理工作带来极大的不便；四大核心业务系统要求7X24小时不间断运行，给IT基础运行平台和管理员带来了极大的挑战；业务系统对性能的要求、数据增长带来的一系列挑战；国家对医疗行业的高标准要求和普通百姓对医疗水平的满意程度，极大地要求医院信息化建设可以及时响应需求

综上，对 IT 基础服务器是进行虚拟化整合是最佳解决方案。

建设要求

整合xxx医院现有的部分利用率低、配置高的服务器，淘汰部分老旧的服务器，通过新增一批高性能服务器来搭建服务器虚拟化平台，并且把医院的业务系统整合到虚拟化平台。

建设内容

（1）新增一套服务器虚拟化软件，用于搭建服务虚拟平台。

（2）新购一批高性能服务器，建议至少配置有4个14核以上处理器，256GB内存，4个千兆网口，4个万兆网口,2个300GB硬盘，2个单口HBA卡。

（3）新购一套高性能存储，要求支持FC SAN、iSCSI、NAS、CIFS等存储协议，建议至少配置有64GB缓存，60TB以上容量，并且配置相应数量的SSD固态盘，带4个以上的16Gb光纤接口。

（4）新购两台光纤存储交换机，建议至少配置有48口16Gb光纤交换机，激活24口，带24个16Gb SFP模块。

（5）新购两台万兆网络交换机，建议至少配置有48口的10Gb以太网交换机，带有48个10Gb SFP 模块。

存储资源池规划概述

根据对医院信息化系统的分析，可以总结出其核心应用系统的特点如下：

数据库：是整个医院信息系统管理的核心数据类型：数据库(SQL, Oracle等）性能要求：同时访问人数多，并发性能要求高可用性要求：不能停机数据量：几十GB到几百GB
影像文件： 数据类型：文件（以静态医学影像图像，和动态医学影像为主）性能要求：同时访问人数较少，但传输数据量大，带宽要求高数据量：很大且增长很快，从几TB到几十TB数据安全性：要求长期保存，保存时间长

根据性能和可用性的分析，可以得出相应推荐的存储系统架构如下：

应用	数据类型	性能	容量	数据保护	连续性	典型存储架构
应用	数据类型	性能	容量	数据保护	连续性	FC SAN	iSCSI	NAS	CAS
HIS	数据库	高	低	高	高	优选
LIS	数据库	中	低	高	高	优选	可选
CIS	数据库	中	低	高	高	优选	可选
EMR	数据库/文件	中	中	高	高	可选		优选	推荐
RIS	数据库	高	低	高	高	优选	可选
PACS 影像	文件	中	高	高	高	可选		优选	推荐

存储使用规划

根据以上需求分析，我们从以下角度分别阐述xxx医院的存储基础架构：

针对医院信息化应用系统的存储需求，建议采用FC SAN NAS的统一存储架构：

将数字医院的HIS、LIS、CIS、RIS等核心业务系统的核心数据库应用通过FC光纤通道链路进行连接，形成FC-SAN，实现高性能、高可用的存储；
针对医院PACS系统中大量医学影像文件，采用NAS文件共享的方式提供服务，通过NFS、CIFS等文件传输协议实现海量医学影像的集中存储和快速文件检索；
核心数据库业务系统要求存储能够在最短时间内完成尽可能多的数据库查询操作，对数据访问性能要求最高；
门户网站、办公、电子邮件等应用系统对数据访问性能的要求相对较低；
PACS系统主要为顺序读写，对磁盘的吞吐性能要求较高
将HIS、LIS、CIS、RIS等系统数据库的索引和日志保存在企业级固态闪存盘(SSD)上，以最大限度提高数据库的访问速度
企业级固态闪存盘（SSD）给用户带来巨大的价值更快的性能：30倍的IOPS，不到1毫秒的响应时间，如使用SSD的HIS系统速度提高2倍，2块SSD 相当于15块15krpm 光纤磁盘的性能更高的能效：每TB的能源需求减少38%，每IO的能源需求减少98%更好的可靠性：固态硬盘，没有移动机械部件,RAID重建速度更快。
将其他访问性能要求高的数据库数据文件及网站办公文件保存在SAS磁盘上
将访问性能要求不高，但数量及容量巨大的PACS系统医学影像文件根据数据的读写频率差异，分别存放在在SAS磁盘和近线(NL)-SAS驱动器上

整体架构从以下几方面综合设计，以满足业务连续性的要求：

存储系统的高可用性：采用最新一代统一存储系统EMC VNX系列。提供业界最高性能中端存储系统。
存储网络SAN的高可用性：采用双光纤交换机组成冗余SAN网络，配合主机上的双HBA卡和多路径管理软件（EMC PowerPath），实现数据访问通道的高可用；网络虚拟化规划概述

当前的网络与安全解决方案极不灵活并且十分复杂。在当前的运营模型中，网络调配很慢，并且工作负载分配和移动受物理拓扑和手动调配的限制。物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上，人为地阻碍了网络体系结构和容量利用率的优化。

此外，手动调配和杂乱无章的管理界面降低了效率，限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。

近些年，运维大型数据中心（如亚马逊、谷歌、Facebook和微软等的数据中心）的公司，经过多年的数据中心运维管理后，总结了如下一些数据中心网络与安全方面的经验教训。

第一个经验就是，建立在IP层（Layer 3层）的等价多路径（ECMP）的物理网络非常适合现代数据中心架构与应用。这些网络提供可预测的延迟，可以很好地扩展，而且收敛很快。同时，当节点或链路发生变化时，他们可以提供一个非常细粒度的故障域。

其次，从历史上看，利用增加带宽来解决由于带宽而导致的应用问题远比添加物理网络设备新功能来解决该问题要容易的多，同时构建这样的高容量网络的成本在过去几年大幅下降（使用同质化的IP承载网络，硬件投资肯定会降低）。通过使网络遵循KISS（Keep it Simple, Stupid）原则，可以灵活地建立出构建块（例如虚拟网络），使其运行在更健壮的基础架构网络上。

最后，把相关网络功能迁移到网络边界（智能边界，比如X86服务器）会带来更好的语义，更丰富的计算模型，以及降低对物理网关设备的性能需求（当采用分布式网络处理架构时）。运行在新型数据中心的应用就是很好的例子：随着时间的推移，许多应用程序已经纳入了一些网络上的功能，例如，Hadoop有自己的发现机制，而不是假设所有Hadoop节点都在同一个广播媒体（Layer 2网络）上。发生故障时，应用安全性和其它特征往往是内置到应用程序、计算、以及PaaS层来得以保障，不再简单依靠物理网络。

网络虚拟化是云计算的关键支持技术。网络虚拟化真正给网络带来服务器虚拟化一样的服务。上述的智能边界任务恰好可以由X86服务器里的HyperVisor来承担，通过网络虚拟化，云数据中心的应用所需要的网络功能都可以很灵活地由数据中心的智能边界（X86 Hypervisor）来实现。同时通过网络虚拟化，许多虚拟网络可以复用到一个单一的数据中心IP转发物理网络上。

结合xxx医院的网络现状，我们建议在服务器虚拟化平台和桌面云上部署网络虚拟化，简化虚拟化平台的网络管理，优化虚拟机的网络流量，并且直接在虚拟化层面实现网络的2-7层功能，为虚拟机提供更好的QoS网络管理。

功能规划

（1）逻辑交换

在设置NSX系统时，控制器集群、UWA和VTEP都是由NSX Manager创建并部署。当这些模块部署完毕，通过NSX Manager可以定义创建逻辑交换网络的范围（a Transport Zone）,在一个Transport Zone里我们可以添加X86主机集群Cluster。举例说明：一个数据中心里有10个cluster，我们可以定义一个transport zone，添加10个cluster到这个Zone里，既当我们设置一个逻辑交换网络时，该网络可以横跨整个数据中心。下图是XXX客户的NSX部署网络架构，边界网关可以安置在Edge Rack用于连接广域网和其他外部网络。

逻辑交换寻址

在具有多个租户的大型云环境或具有多个组织和应用的大企业中，IP 地址管理是一项关键任务。在本节中我们将重点讨论对逻辑交换机上部署的虚拟机的 IP 地址管理。创建的每个逻辑交换机都是一个单独的第 2 层广播域，它可以使用专用 IP 空间或公共 IP 空间与一个单独的子网相关联。根据是使用专用 IP 空间还是公共 IP 空间向逻辑网络分配地址，用户必须在 NSX Edge 服务路由器上选择使用 NAT 还是非 NAT 选项。因此，IP 地址分配取决于虚拟机是通过 NAT 还是非 NAT 配置连接到逻辑交换机。我们将分别查看下面两种部署的示例：

使用 Edge 服务路由器的 NAT 服务

不使用 Edge 服务路由器的 NAT 服务

使用网络地址转换

在组织的 IP 地址空间有限的部署中，将使用 NAT 来提供从专用 IP 空间到有限的公共 IP 地址的地址转换。通过利用 Edge 服务路由器，用户可允许各个租户创建他们自己的专用 IP 地址池，这些地址最终将映射到 Edge 服务路由器外部接口的可公开路由的外部 IP 地址。

下图显示了一个三层应用部署，其中每一层的虚拟机都连接到单独的逻辑交换机。Web、应用和数据库逻辑交换机连接到 Edge 服务路由器的三个内部接口。Edge 服务路由器的外部接口通过外部数据中心路由器连接到 Internet。

下面是 NSX Edge 服务路由器的配置详情：

Web、应用和数据库逻辑交换机连接到 NSX Edge 服务路由器的内部接口。

NSX Edge 服务路由器的上行链路接口连接到位于子网 192.168.100.0/24 内的 VLAN 端口组。

通过提供 IP 地址池在该内部接口上启用 DHCP 服务例如，10.20:10.10 到 10.20:10.50。

vCloud Networking and Security Edge 网关的外部接口上的 NAT 配置使逻辑交换机上的虚拟机能够与外部网络中的设备通信。仅当请求是由连接到 Edge 服务路由器的内部接口的虚拟机发起时，才允许这种通信。

如果需要支持重叠 IP 和 MAC 地址，则建议对每个租户使用一个 Edge 服务路由器。下图显示了具有两个租户和两个单独的 NSX Edge 服务路由器的重叠 IP 地址部署，不同租户的VM可以使用相同的IP地址，甚至不同租户的MAC地址也可以重复。根据XXX客户数据中心的实际情况，我们为他们采用这种设计方式。

不使用网络地址转换

不受可路由 IP 地址限制的组织、有虚拟机使用公共 IP 地址的组织或者不想部署 NAT 的组织可以使用 NSX 平台提供的静态和动态路由功能。在 NSX 平台中支持两种不同模式的逻辑路由。一种称为分布式路由，另一种称为集中式路由。分布式路由为东西向流量提供更高的吞吐量和性能，而集中式路由则处理南北向流量。

（2）逻辑路由

利用分布式路由与集中式路由可以灵活的部署路由网络。NSX for vSpher支持以下两种组合。

物理路由器作为分布式路由的下一跳网关

如下图所示，一个组织托管多个应用，并希望在不同的应用层之间提供连接，同时还希望能够连接到外部网络。在该拓扑中，由单独的逻辑交换机为特定层中的虚拟机提供第 2 层网络连接。分布式逻辑路由配置允许两个不同层上的虚拟机相互通信。同样，逻辑路由器上的动态路由协议支持允许与下一跃点物理路由器交换路由。这进而使外部用户能够访问连接到数据中心中的逻辑交换机的应用。

在这种拓扑中，东西向和南北向路由决策以分布式方式在虚拟化管理程序级别做出。分布式路由连接不同的逻辑交换网络，实现东西向通信，分布式路由与物理下一跳路由器间运行动态路由，连接南北向路由。在这个网络架构下，每个hypervisor路由表处理所有流向的路由通信。

NSX Edge作为分布式路由的下一跳网关

在需要支持多租户的网络中，每个租户的网络属性是不同的，既不同的架构，不同的网络服务。在这种需求下，NSX Edge配合分布式路由方式很好的解决了多租户网络需求。

在存在多个租户的环境中，每个租户对隔离的逻辑网络和其他网络服务（如负载平衡、防火墙和 VPN 等）的数量可能有不同的要求。在此类部署中，NSX Edge 服务路由器可提供网络服务功能以及动态路由协议支持。

下图是XXX客户的路由规划设计示意图，两个租户通过 NSX Edge 服务路由器连接到外部网络。每个租户都有各自的逻辑路由器实例在租户内提供路由功能。此外，租户的逻辑路由器与 NSX Edge 服务路由器之间的动态路由协议配置允许租户虚拟机连接到外部网络，NSX Edge可以启用HA来实现高可用。

在这种拓扑中，东西向流量路由通过虚拟化管理程序中的分布式路由器处理，南北向流量则流经 NSX Edge 服务路由器。

（3）逻辑负载均衡

负载平衡是 NSX 中提供的另一项网络服务，该服务可跨多个服务器分配工作负载，并实现应用的高可用性。

部署方式

当前环境下负载处于中等水平，建议为WEB及其它应用服务器配置两组虚拟设备来提供负载均衡服务，为两组虚拟设备启用HA服务，每一组由一主一备两台虚拟机提供服务，虚拟设备有三种尺寸（紧凑型256M内存占用，标准型1G内存占用，大型8G内存占用），建议采用标准型，这样总的开销为4颗vCPU，4G vRAM，1GB磁盘空间。

管理方式

NSX的负载均衡功能可通过集成于vCenter的管理界面来管理，也可以通过浏览器直接登录NSX Manager，即NSX的管理服务器来进行管理，操作简便。

服务策略

首先创建服务器池，需要为每一种类型的服务创建一个服务器池，然后将提供该类型服务的各服务器加入池中。并为每个池创建与之对应的虚拟服务器条目。服务类型前期主要是WEB服务，服务协议为HTTP或HTTPS。

NSX共提供四种负载均衡算法：IP哈希（基于客户机地址）、最小连接（基于会话数量）、交替（基于服务器权重即处理能力）和URI（基于访问的WEB地址），根据当前情况，我们建议采用交替（Round_Robin）算法。并根据池中各服务器的处理能力高低设置合理的权重。

NSX提供三种健康检测方法：HTTP、SSL和TCP，对于WEB服务来说，可选择HTTP或SSL（用于HTTPS协议），对于非WEB服务器，应采用基于TCP会话的可用性检测方法。

NSX提供三种会话保持机制选项：无、Cookie或Session ID，建议对HTTP服务采用Cookie的方式，对HTTPS服务则采用Session ID的方式。以保证来自一个客户端的服务请求始终被重定向到特定的服务器（在服务可用的前提下）。

NSX 负载平衡服务扩展能力非常强，可支持要求非常严苛的应用。每个 NSX Edge 均可扩展至：

吞吐量：9 Gbps

并发连接数：100 万

每秒新连接数：13.1 万

（4）分布式防火墙

NSX提供分布式的内核防火墙，该防火墙部署在每个hyperbisor内核，提供线速安全过滤转发，支持以VM 对象属性，支持以用户ID为对象的安全监控，同时把其他安全服务融入NSX 网络虚拟化。

NSX逻辑防火墙可以应对的主要挑战以及为用户带来的收益如下图所示。

网络隔离

网络隔离是最普遍的网络安全需求，不同于传统的依靠手工配置物理网络设备（防火墙、ACL等）来实现网络管控，NSX网络虚拟化平台天生可以实现多租户的网络隔离。

虚拟网络之间在缺省状况下是自动相互隔离的，除非管理员指定虚拟网络之间的关联。而且这种网络隔离不需要物理网络划分子网、设置VLAN、设置ACL、设置防火墙策略。

而且维护这种网络隔离的同时，VM可以部署在数据中心任意的服务器上，不通网络的VM可以配置在同一个主机上，也可以在不同的主机，隔离的策略不变。这种网络隔离意味着不通租户间VM可以使用相同的IP地址。NSX支持以下场景：两套相同IP地址的测试环境在同一个物理网络上运行而不互相干扰。

由于overlay封装，物理网络、虚拟网络各自的IP环境相互独立，比如客户可以使用IPv4的物理网络来承载IPv6的虚拟网络，不互相干扰。

网络分区

使用网络虚拟化可以轻松实现网络分区。相对与网络隔离，网络虚拟化可以实现multi-tier的虚拟网络组，及网络分区。传统的方式下网络分区是由配置物理路由器防火墙的方式来实现的，该方式很容易实现人为的配置失误，带来繁琐的troubleshooting，同时为运维管理带来的较大的负担。

网络分区同网络隔离一样是网络虚拟化的核心功能，NSX支持多个虚拟网络L3互联，同时支持micro-segmentation，既一个二层虚拟网络上使用分布式防火墙策略实现网络分区。而且上述功能通过软件自动化部署，减少传统方式下的人为失误。

在一个虚拟网络里，网络服务（L3,L2,QoS,Firewall等）都是程式化地执行、推送到各个hypevisor的vSwitch上。网络隔离、防火墙策略是直接加载到VM的虚拟网卡（vNIC）上。VM之间的通信不会转发到物理网络上，既物理网络不需配置ACL、防火墙来管控虚拟网络。

利用抽象化处理

过去，网络安全要求安全团队深入了解网络寻址、应用端口、协议、与网络硬件相关的所有信息、工作负载位置和拓扑。网络虚拟化可基于物理网络硬件和拓扑对应用工作负载通信进行抽象化处理，使网络安全摆脱这些物理约束，并根据用户、应用和业务环境应用网络安全。

高级安全服务插入、串联和转向

基础 VMware NSX 网络虚拟化平台提供基本的全状态防火墙功能，以便在虚拟网络内提供分段。在有些环境中，需要更高级的网络安全功能。在这些情况下，客户可以利用 VMware NSX 在虚拟化网络环境中分发、启用和强制实施高级网络安全服务。NSX 将网络服务分发到 vSwitch 中，以形成适用于虚拟网络流量的服务的逻辑管道。可以将第三方网络服务插入此逻辑管道中，从而允许在逻辑管道中使用物理或虚拟服务。

每个安全团队都使用各种网络安全产品的独特组合来满足其环境的需求。VMware 的整个安全解决方案提供商体系都在使用 VMware NSX 平台网络安全团队经常面临协调多个供应商所提供网络安全服务的关系的难题。NSX 方法的另一个巨大好处是它能够构建策略来利用 NSX 服务的插入、串联和转向功能，以便基于其他服务的结果，推动服务在逻辑服务管道中执行，从而能够协调多个供应商提供的本来毫不相关的网络安全服务。

例如，我们与 Palo Alto Networks的集成将利用 VMware NSX 平台来分发 Palo Alto Networks 虚拟机系列的下一代防火墙，从而在每个虚拟化管理程序本地提供高级功能。为调配或移到该虚拟化管理程序的应用工作负载定义的网络安全策略将插入到虚拟网络的逻辑管道。在运行时，服务插入功能将利用本地提供的 Palo Alto Networks 下一代防火墙功能集，在工作负载虚拟接口交付和强制实施基于应用、用户以及上下文的控制策略。

跨物理和虚拟基础架构的一致的可见性和安全模型

VMware NSX 允许跨虚拟和物理安全平台自动化资源调配和上下文共享。结合虚拟接口处的流量转向和策略实施功能，过去部署在物理网络环境中的合作伙伴服务将可以轻松地在虚拟网络环境中调配和实施，VMware NSX 可以跨驻留在物理或虚拟工作负载中的应用为客户提供一致的可见性和安全性模型。

现有工具和流程。大幅提高资源调配速度、运营效率和服务质量，同时保持服务器、网络和安全团队的职责分离。

更好地控制应用，没有负面影响。过去，要达到这种级别的网络安全，网络和安全团队不得不在性能和功能之间做出抉择。现在，利用在应用虚拟接口分发和实施高级功能集的功能可以两全其美。

减少各种操作中的人为错误。基础架构会维护相应的策略，允许在数据中心中的任何位置放置和移动工作负载，而无需任何人为干预。可以编程方式应用预先批准的应用安全性策略，从而即使对复杂网络安全服务也能实现自助式部署。

以上四个关键功能完全可以满足xxx医院客户数据中心的需求。