一对虚拟网桥发包为什么会影响另一对网桥上的服务器的访问速度?
本文详细介绍了Openstack的网络原理和实现,主要内容包括:Neutron的网络架构及网络模型还有neutron虚拟化的实现和对二三层网桥的理解。
一、Neutron概述
Neutron是一个用Python写的分布式软件项目,用来实现OpenStack中的虚拟网络服务,实现软件定义网络。Neutron北向有自己的REST API,中间有自己的业务逻辑层,有自己的DB和进程之间通讯的消息机制。同时Neutron常见的进程包括Neutron-server和Neutron-agent,分布式部署在不同的操作系统。
OpenStack发展至今,已经经历了20个版本。虽然版本一直在更替,发展的项目也越来越多,但是Neutron作为OpenStack三大核心之一,它的地位是不会动摇的。只不过当初的Neutron也只是Nova项目的一个模块而已,到F版本正式从中剥离,成为一个正式的项目。
从Nova-Network起步,经过Quantum,多年的积累Neutron在网络各个方面都取得了长足的发展。其主要的功能为:
(1)支持多租户隔离
(2)支持多种网络类型同时使用
(3)支持隧道技术(VXLAN、GRE)
(4)支持路由转发、SNAT、DNAT技术
(5)支持Floating IP和安全组
多平面租户私有网络
图中同时有VXLAN和VLAN两种网络,两种网络之间互相隔离。租户A和B各自独占一个网络,并且通过自己的路由器连接到了外部网络。路由器为租户的每个虚拟机提供了Float IP,完成vm和外网之间的互相访问。
二、Neutron架构及网络模型
1、Neutron架构
Neutron-sever可以理解为类似于nova-api那样的一个专门用来接收API调用的组件,负责将不同的api发送到不同Neutron plugin。
Neutron-plugin可以理解为不同网络功能实现的入口,接收server发来的API,向database完成一些注册信息。然后将具体要执行的业务操作和参数通知给对应的agent来执行。
Agent就是plugin在设备上的代理,接受相应的plugin通知的业务操作和参数,并转换为具体的命令行操作。
总得来说,server负责交互接收请求,plugin操作数据库,agent负责具体的网络创建。
2、Neutron架构之Neutron-Server
(1)Neutron-server的本质是一个Python Web Server Gateway Interface(WSGI),是一个Web框架。
(2)Neutron-server接收两种请求:
REST API请求:接收REST API请求,并将REST API分发到对应的Plugin(L3RouterPlugin)。
RPC请求:接收Plugin agent请求,分发到对应的Plugin(NeutronL3agent)。
3、Neutron架构之Neutron-Plugin
Neutron-plugin分为Core-plugin和Service-plugin。
Core-plugin:ML2负责管理二层网络,ML2主要包括Network、Subnet、Port三类核心资源,对三类资源进行操作的REST API是原生支持的。
Service-plugin:实现L3-L7网络,包括Router、Firewall、***。
4、Neutron架构之Neutron-Agent
(1)Neutron-agent配置的业务对象是部署在每一个网络节点或者计算节点的网元。
(2)网元区分为PNF和VNF:
PNF:物理网络功能,指传统的路由器、交换机等硬件设备
VNF:虚拟网络功能,通过软件实现的网络功能(二层交换、三层路由等)
(3)Neutron-agent三层架构如下图:
Neutron-agent架构分为三层,北向为Neutron-server提供RPC接口,供Neutron server调用,南向通过CLI协议栈对Neutron VNF进行配置。在中间会进行两种模型的转换,从RPC模型转换为CLI模型。
5、Neutron架构之通信原理
(1)Neutron是OpenStack的核心组件,官网给出Neutron的定义是NaaS。
(2)Naas有两层含义:
对外接口:Neutron为Network等网络资源提供了RESTful API、CLI、GUI等模型。
内部实现:利用Linux原生或者开源的虚拟网络功能,加上硬件网络,构建网络。
Neutron接收到API请求后,交由模块WSGI进行初步的处理,然后这个模块通过Python API调用neutron的Plugin。Plugin做了相应的处理后,通过RPC调用Neutron的Agent组件,agent再通过某种协议对虚拟网络功能进行配置。其中承载RPC通信的是AMQP server,在部署中常用的开源软件就是RabbitMQ
6、Neutron架构之控制节点网络模型
控制节点没有实现具体的网络功能,它对各种虚拟设备做管理配合的工作。
(1)Neutron:Neutron-server核心组件。
(2)API/CLI:Neutron进程通过API/CLI接口接收请求。
(3)OVS Agent:Neutron通过RPC协议与agent通信。
控制节点部署着各种服务和Neutron-server,Neutron-server通过api/cli接口接收请求信息,通过RPC和Agent进行交互。Agent再调用ovs/linuxbridge等网络设备创建网络。
7、Neutron架构之计算节点网络模型
(1)qbr:Linux Bridge网桥
(2)br-int:OVS网桥
(3)br-tun:OVS隧道网桥
(4)VXLAN封装:网络类型的转变
8、Neutron架构之网络节点网络模型
网络节点部署了Router、DHCP Server服务,网桥连接物理网卡。
(1)Router:路由转发
(2)DHCP: 提供DNS、DHCP等服务。
(3)br-ex: 连接物理网口,连接外网
三、Neutron虚拟化实现功能及设备介绍
1、Neutron虚拟化实现功能
Neutron提供的网络虚拟化能力包括:
(1)二层到七层网络的虚拟化:L2(virtual Switch)、L3(virtual Router 和 LB)、L47(virtual Firewall )等
(2)网络连通性:二层网络和三层网络
(3)租户隔离性
(4)网络安全性
(5)网络拓展性
(6)REST API
(7)更高级的服务,包括 LBaaS,FWaaS,***aaS 等
2、Neutron虚拟化功能之二层网络
(1)按照用户权限创建网络:
Provider network:管理员创建,映射租户网络到物理网络
Tenant network:租户创建的普通网络
External network:物理网络
(2)按照网络类型:
Flat network:所有租户网络在一个网络中
Local network:只允许在服务器内通信,不通外网
VLAN network:基于物理VLAN实现的虚拟网络
VXLAN network:基于VXLAN实现的虚拟网络
3、Neutron虚拟化实现功能之租户隔离
Neutron是一个支持多租户的系统,所以租户隔离是Neutron必须要支持的特性。
(1)租户隔离三种含义:管理面隔离、数据面的隔离、故障面的隔离。
(2)不同层次租户网络的隔离性
租户与租户之间三层隔离
同一租户不同网络之间二层隔离
同一租户同一网络不同子网二层隔离
(3)计算节点的 br-int 上,Neutron 为每个虚机连接 OVS 的 access port 分配了内部的 VLAN Tag。这种 Tag 限制了网络流量只能在 Tenant Network 之内。
(4)计算节点的 br-tun 上,Neutron 将内部的 VLAN Tag 转化为 VXLAN Tunnel ID,然后转发到网络节点。
(5)网络节点的 br-tun 上,Neutron 将 VXLAN Tunnel ID 转发了一一对应的 内部 VLAN Tag,使得 网络流被不同的服务处理。
(6)网络节点的 br-int 上连接的 DHCP 和 L3 agent 使用 Linux Network Namespace 进行隔离。
4、Neutron虚拟化实现功能之租户网络安全
除了租户隔离以外 Neutron还提供数据网络与外部网络的隔离性。
(1)默认情况下,所有虚拟机通过外网的流量全部走网络节点的L3 agent。在这里,内部的固定IP被转化为外部的浮动IP地址
(1)Neutron还利用Linux iptables特性,实现其Security Group特性,从而保证访问虚机的安全性
(3)Neutron利用网络控制节点上的Network Namespace中的iptables,实现了进出租户网络的网络防火墙,从而保证了进出租户网络的安全性。
5、Neutron虚拟化设备
(1)端口:Port代表虚拟网络交换机上的一个虚拟交换机端口
虚拟机的网卡连接到Port上就会拥有MAC地址和IP地址
(2)虚拟交换机:Neutron默认采用开源的Openvswitch,
同时还支持Linux Bridge
(3)虚拟路由器VR:
路由功能
一个VR只属于一个租户,租户可以有多个VR
一个VR可以有若干个子网
VR之间采用Namespace隔离
四、Neutron网桥及二三层网络理解
1、Neutron-Local-Bridge
仅用于测试;网桥没有与物理网卡相连VM不通外网。
图中创建了两个local network,分别有其对应的qbr网桥。Vm123的虚拟网卡通过tap连接到qbr网桥上。其中2和3属于同一个network可以通信,1属于另一个网络不能和23进行通信。并且qbr网桥不连物理网卡,所以说local网络虚拟机只能同网络通信,不能连通外网。
2、Neutron-Flat-Bridge
Linux Bridge直接与物联网卡相连
每个Flat独占一个物理网卡
配置文件添加响应mapping
Flat网络是在local网络的基础上实现不同宿主机之间的二层互联,但是每个flat network都会占用一个宿主机的物理接口。其中qbr1对应的flatnetwork 连接 eth1 qbr2,两个网络的虚机在物理二层可以互联。其它跟local network类似。
3、Neutron-VLAN-Bridge
在基于linux bridge的vlan网络中,eht1物理网卡上创建了两个vlan接口,11连接到qbr1网桥,12连接到了qbr2网桥。在这种情况下vm通过eth11或者eth12发送到eth1的包会被打上各自的vlan id。此时vm2和vm3属于同一个network所以是互通的,vm与vm2和vm3不通。
4、Neutron-VXLAN-Bridge
这个是以Linux bridge作agent的Vxlan网络:
Vxlan网络比Vxlan网络多了个VXLAN隧道,在Openstack中创建好内部网络和实例后,agent就会在计算节点和网络节点创建一对vxlan vtep组成隧道的两个端点。
Vxlan连接在eth0网口。在网络节点多了两个组件dhcp 和router,他们分别通过一对veth与qbr网桥连接在一起,多个dhcp和路由之间使用namesapce隔离,当vm产生ping包时,发往linux 网桥qbr1,通过网桥在vxlan12上封装数据包,数据通过eth0网卡出计算节点到网络节点的eth0,在vxlan12解包。到达路由器之后经过nat地址转换,从eth1出去访问外网,由租户网络到运营商网络再到外部网络。
5、Neutron-VLAN-OVS
与Linux bridge不同,openvswitch 不是通过eth11 eth12这样的vlan接口来隔离不同的vlan,而是通过openvswitch的流表规则来指定如何对进出br-int的数据进行转发,实现不同vlan的隔离。
图中计算节点的所有虚拟机都连接在int网桥上,虚拟机分为两个网络。Int网桥会对到来的数据包根据network的不同打上vlan id号,然后转发到eth网桥,eth网桥直连物理网络。这时候流量就从计算节点到了网络节点。
网络节点的ehx int网桥的功能相似,多了一个ex网桥,这个网桥是管理提前创建好的,和物理网卡相连,ex网桥和int网桥之间通过一对patch-port相连,虚拟机的流量到达int网桥后经过路由到ex网桥。
6、Neutron-VXLAN-OVS
Vxlan的模型和vlan的模型十分相似,从表面上来看,他俩相比只有一个不同,vlan对应的是ethx网桥,而vxlan对应的是tun网桥。
在这里ethx和tun都是ovs网桥,所以说两者的差别不是实现组件的差别而是组件所执行功能的差别,ethx执行的是普通二层交换机的功能,tun执行的是vxlan中的vtep的功能,图中俩tun对应的接口ip就是vxlan的隧道终结点ip。所以说虚机的数据包在到达tun网桥之前是打的是vlan tag,而到达tun之后会发生网络类型的转换,从vlan封装为vxlan然后到达网络节点。而之前的vlan类型的网络,虚机数据包的类型一直都是vlan。
7、物理的二层与虚拟的二层(VLAN模式)
(1)物理的二层指的是:物理网络是二层网络,基于以太网协议的广播方式进行通信。
(2)虚拟的二层指的是:Neutron实现的虚拟网络也是二层网络(openstack的vm机所用的网络必须是大二层),也是基于以太网协议的广播方式进行通信,但毫无疑问的是该虚拟网络是依赖于物理的二层网络。
(3)物理二层+虚拟二层的典型代表:VLAN网络模式。
8、物理的三层与虚拟的二层(GRE模式与VXLAN模式)
(1)物理三层指的是:物理网络是三层网络,基于IP路由的方式进行通信。
(2)虚拟的二层指的是:Neutron实现的虚拟网络仍然是二层网络(openstack的vm机所用的网络必须是大二层),仍然是基于以太网的广播方式进行通信,但毫无疑问的是该虚拟机网络是依赖于物理的三层网络,这点有点类似于***的概念,根本原理就是将私网的包封装起来,最终打上隧道的ip地址传输。
(3)物理三层+虚拟二层的典型代表:GRE模式与VXLAN模式。
深信服科技每年将总收入的15%投入产品研发,拥有超过600人的研发团队和1600台设备的产品实验室,专利数量达37项。深信服科技产品分为两类,
一类为网络安全产品线,包括:SSL ***,IPSec ***,上网行为管理(AC),下一代防火墙(NGAF),第二代上网行为管理——安全桌面。
一类为网络优化产品线,包括:上网优化网关(SG),流量管理(BM),应用交付(AD),广域网优化(WOC),应用性能管理(APM)。 深信服SSL ***为客户提供快速、安全、易用的移动远程接入方案、内网核心应用安全隔离方案、WLAN安全接入方案、业务系统安全加固等方案,为整个组织业务系统的安全发布及接入访问保驾护航。
根据知名IT咨询服务机构Frost & Sullivan 2008年调查报告显示,深信服SSL ***以311%的市场占有率一举超越众多国内外厂商独占鳌头。2009这一占有率上升至340%,进一步扩大深信服SSL ***第一品牌的优势。2010年,深信服SSL ***产品市场占有率高达384%,又增进了市场份额。在Frost & Sullivan刚发布的2012年中国SSL ***市场分析报告中,Sangfor(深信服)市场占有率从2011年的392%稳步提升到403%,取得了前所未有的最高占比。这也使深信服SSL ***连续5年领跑中国市场,并且每年的市场占有率都在稳步上升。
作为国家密码管理局《SSL ***技术规范》标准核心制定者之一的深信服科技,其SSL ***解决方案已在政府、金融、运营商、能源、教育、大中型企业等各个领域都得到了广泛应用。在中国入选世界五百强的企业中,有近70%的企业选择了深信服SSL ***解决方案。包括中国银行、招商局、中国移动、中华人民共和国最高人民法院、中国人大等众多高端客户。 深信服IPSec ***产品拥有业界最多的专利技术,是国内应用最广泛、最成熟的***组网方案,可为客户提供异地机构快速组网、大型专网中数据安全加密、行业专网的***延伸、专网单一链路的稳定备份等多重价值。
深信服IPSec ***在各领域屡获殊荣。
2005年,深信服IPSec ***产品赢得中国IPSec ***市场占有率第一殊荣,并持续多年保持高速发展。
2007年,受国家密码管理委员会邀请,深信服科技作为国内IPSec ***行业核心厂商,参与并制定了国家IPSec ***标准。
2009年,深信服IPSec ***率先通过了公安部信息安全产品检测中心虚拟专用网安全技术标准第三级检测,并成为中国首家通过此项标准的IPSec ***厂家。
至2011年12月,深信服***的客户已突破7000家,主要集中在政府、金融、电力、石化、集团、物流和连锁等行业高端客户,其中包括中石油、中国人寿、泰康人寿、中国远洋运输集团、华润集团、中国环境监测总站、华侨城集团等行业高端客户。 2005年,深信服科技首次精确定义上网行为管理概念,并推出中国第一台专业上网行为管理设备。
深信服上网行为管理产品涵盖身份认证、终端检查、网页过滤、应用管控、邮件及外发信息管理、上网授权、流量管理、上网记录、报表统计和安全防护等功能模块,实现对互联网访问行为的全面管理。在P2P管控与带宽管理、防范网络泄密与法律风险、上网权限管理与工作效率提升、互联网访问记录与举证、网络威胁过滤与上网安全强化等多个方面提供最有效的解决方案。
2010年8月,深信服正式发布业界首部《中国上网行为管理蓝皮书》。
2011年,深信服重磅推出第二代上网行为管理产品。弥补了传统上网行为管理在安全方面的不足。
2012年,据IDC调查数据显示,深信服上网行为管理产品凭借深厚的技术优势和优质的客户服务,获得了各行业客户的一致认可,在中国内容安全管理市场占有率达414%,连续第7年蝉联市场第一位。
2013年,上网行为管理获得国家信息安全测评中心颁发的信息安全产品EAL3等级认证,成为国内首个获得此项认证的上网行为管理产品。
2013年,深信服也连续第三次入围Gartner互联网安全网关魔力象限(Magic Quadrant for Secure Web Gateways)。
作为中国上网行为管理领域的第一品牌,深信服拥有国土资源部,中国科学院,招商银行,中国政法大学,南航,华东电网,大唐国际等众多知名客户。 深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代防火墙。弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷;改善了UTM类设备简单功能堆砌,性能瓶颈的弱点。通过单次解析引擎真正做到将防火墙、***、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起,提供多功能、高性能的电信级安全设备。与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。
2013年,下一代防火墙获得全球性开源安全组织OWASP的Web应用防火墙认证证书,Web防护能力获高度认可。 深信服AD系列应用交付产品,致力于为用户更快速、更稳定的发布业务。AD应用交付产品不仅能够实现全面的多链路负载均衡、多服务器负载均衡,保证组织机构关键应用的稳定性和可用性,同时AD的商业智能特性还能够帮助组织机构快速了解来访用户的时间分布规律、地域分布特性、以及对各类应用的访问偏好等业务信息。借助商业智能分析信息,组织机构可以对网络、物流、业务流程、产品设计、商业策略等多个方面进行相应的调整和优化,提升客户满意度、攫取效益。
2012年的深信服AD的市场排名从大中华区(中国内地及港澳台地区)的第9跃升为第4。2012年10月底,深信服凭借营收的高速增长以及优异的市场表现入围了GARTNER ADC魔力象限,成为首家且唯一入围的中国厂商。
深信服应用交付已经在国土资源部、最高人民法院、新闻出版总署、云南省电网、四川省银联、国美电器、联想移动、中融国际信托等用户处获得了成功应用。 业务分支节点遍布全国甚至全球的组织机构,常常遭遇跨广域网传输数据时出现的应用与链路等问题,链路方面的主要问题包括广域网链路带宽窄、网络时延大、丢包率高等不利因素,而应用方面的主要问题则集中体现在大数据量传输速度慢、应用系统本身在广域网环境下的传输效率低、访问体验差等,严重阻挠了组织的业务发展。
深信服科技是亚太地区第一个推出广域网优化概念并提出解决方案的厂商,突破了带宽和地域的限制,加速广域网所承载的数据传输及应用系统,大幅加速各种应用及数据的传输速度,全面提升访问体验和质量。 其产品至今为止服务的客户分布在各行各业:招商局集团、中国水利水电建设集团公司,葛洲坝集团,中国日报社,中国免税品集团,民安保险,河南省环保厅,广西区质监局,水晶石科技,深圳航空、立白集团等用户都在体验深信服广域网优化产品带来的高效访问速度和高投资回报比。
2013年5月,深信服入选权威分析机构Gartner发布的《2013年全球广域网优化产品(WOC)魔力象限(Magic Quadrant)》,成为首个且唯一入围的中国厂商。 深信服BM系列专业网络流量管理设备,采用基于队列的流量处理机制和分层三色令牌桶技术,并结合DPI(数据包深度内容检测)、DFI(动态流状态检测) 及智能识别等网络应用及数据识别技术,通过高性能硬件平台为客户提供业界性能卓越的流量管理方案。深信服流量控制产品凭借强大的应用识别能力、以及丰富的流量管理策略,可以实现对网络流量的全面透析与管控,优化网络带宽,为网络管理者提供了前所未有的网络可见性,真正意义上帮助用户构建可视、可控、可优化的高效网络。
目前,在流量控制领域,深信服BM系列产品赢得了大量客户的认可,其客户包括:中国邮政集团,中国建筑设计研究院,中国科学院测量与地球物理研究所,中国国际电子商务中心等大型的知名用户。 海量的互联网资源与组织有限的网络带宽之间的矛盾由来已久,尤其近年互联网的高速发展使得内网用户渴望快速上网的诉求与日俱增,上网优化网关这一概念也应运而生,深信服SG网关是目前国内第一款专业上网优化网关,开启了业界上网优化领域新时代。
专业上网优化网关是涵盖上网加速、带宽管理、上网安全三位一体的整体解决方案。融合缓存和代理的上网加速是核心,实现带宽资源合理划分与分配的带宽管理是支撑,保障组织网络稳定可靠的上网安全是基础。
通过以上三位一体的整体解决方案, 深信服专业上网优化网关为客户降低了带宽利用率,提升了网络访问速度,对带宽的合理规划使带宽使用跟高效、合理,同时增强了组织网络安全性,多手段、全方位确保组织上网环境的稳定、可靠与安全,为上网加速奠定坚实基础。赢得了来自国务院参事室,中国疾控中心,东风汽车,郑州日产,攀煤集团,联讯证券等客户的一致肯定和广泛赞誉。 深信服第二代上网行为管理最特别的地方在于推出以“管理、速度、安全”三位一体的上网行为管理完整解决方案,其中为了保障上网安全而推出的“上网安全桌面”成为最大的亮点。虚拟化的技术在IT界正如火如荼的融合到各个产品中,平台虚拟化、存储虚拟化、数据库虚拟化、桌面虚拟化等,其中桌面虚拟化技术中就推出了安全桌面的概念。深信服第二代上网行为管理将安全桌面的虚拟化技术融合到上网行为管理中,形成了上网安全桌面。
目前在上网安全领域,深信服上网安全桌面产品得到了大量客户的认可,已有招商银行等大型金融、企业客户使用。
随着互联网技术的快速发展,云计算作为一种新兴的计算模式不断崛起。其以其高度可靠、灵活、高效、可扩展等特性,形成了以 Amazon AWS、 Microsoft Azure、Google Cloud Platform等广为人知的巨头云服务提供商。
可是,在中国这个拥有了十亿以上互联网使用者的国度里,华为云正在迅速崛起。
Huawei Cloud(华为云)是华为公司提供的领先综合云服务平台。华为云汇聚了云计算、人工智能和大数据等领域的最新技术,提供覆盖 IaaS、PaaS、SaaS,全部云端基础设施和应用服务,包括协同办公、物联网、安全防护、在线教育、在线医疗、智能城市等多个行业的云计算解决方案。目前,已经覆盖全球200多个运营区域,拥有超过15万家合作伙伴,为超过170个国家和地区的企业、政府机构和开发者提供全面的技术支持和持续服务。
针对云计算这一领域,华为云拥有丰富而完整的解决方案。华为云提供的 IaaS、PaaS、SaaS 三种服务模式,能够满足企业客户从基础设施层到应用开发和运营管理全周期所需的各种云计算服务。IPSec ***等服务可以将内网连接到公网环境,使得客户能够在安全可控的前提下快速地在全球范围内建立云计算平台;AWS Lambda类似的“函数计算”能够实现高并发的无服务器计算,并支持多语言、自动扩展等特性;Auto Scaling作为一种弹性计算服务可以自动地缩放部署资源,使得云计算资源的利用率更高;同时,华为云还提供了容器与 Kubernetes集群管理、DevOps等应用开发运维服务等,让客户能够以最佳方式利用好云计算为其创造的价值。
在人工智能领域,华为云也是行业领先。华为云以AI技术赋能智慧产业、助力企业数字转型。华为云AI包括机器学习、自然语言处理等众多人工智能技术,能够适应企业不同的需求。创建AI模型、数据处理和分析等功能就是如此简单。
Huawei Cloud EI(Enterprise Intelligence)是华为云的专享产品线,针对企业应用场景,提供以华为自研升腾AI处理器为核心的AI基础设施及包括AI model training、model inference、picture recognition、speech recognition等20余项完整的AI服务能力。
在大数据领域,华为云同样是业界领先的解决方案之一。华为云大数据分析平台是一个基于 Hadoop 生态圈开发的大数据处理系统,支持数据离线(MapReduce)和实时流处理(Storm),集成了常用的数据分析和建模工具,例如 Mahout 和 Flink,支持 HBase、Hive、Pig 等常用的存储和计算框架。同时,华为云大数据平台还提供了 Spark 、Storm、Kafka、Hbase等特别优秀的大数据相关开源软件。
华为云提供的典型的大数据解决方案有垂直行业方案(如金融、交通、电信、公共安全等)和开放的大数据服务平台(包括数据管理、数据处理、数据分析、供应链端计算、物联网能力及数据服务等)。对于不同的企业,华为云可以根据实际需求提供个性化的应用解决方案。包括从数据获取、预处理、存储分析到售后专业服务等一系列的完整大数据产业链。
首先是安全、可靠,华为以客户的数据安全、应用高可用性、用户体验至上。华为云建立了ISO27001、CSA STAR等样本级别的信息安全体系。华为云全球部署,确保数据在本地留存;全国IDC互联,组成覆盖整个中国境内、连接覆盖全球的安全、可靠、高性能云计算平台。
其次是成本优势。相对于AWS、阿里云等云计算巨头,华为云开放资源丰富,并搭配详细、全面的定价计划,以较低的价格为企业客户提供更具竞争力的资源与服务。此外,应用推荐、自动扩展或缩放等特性,也有助于提高云计算资源的利用率,减少企业客户的云计算成本。
总之,华为云作为一家综合云服务平台,在云计算、人工智能、大数据等领域都具备了领先优势。华为云的良好口碑、成本优势与顶尖技术敬仰商家用户在全球市场的广泛认可,其中涵盖了物联网、在线医疗、在线教育、协同办公、智慧城市等多个行业领域。
在未来的发展中,华为云将会不断改进自身技术,并加强与全球企业、合作伙伴、开发者等的合作关系,推动互联网技术的快速发展、实现智能社会的崛起。
在此次征集的开源软件解决方案中,经过组织专家评选,《计算机世界》方案评析实验室推荐了5个开源软件解决方案。本报在此摘登其内容概要,有兴趣的读者可登录计世网(ccwcomcn)查询方案全文。
开源软件 解决方案
邮区中心局生产作业系统是全国邮政综合网非常重要的应用系统之一,红旗软件为其搭建了一个高效、稳定、安全的系统平台。
中科红旗
搭建邮区中心局作业系统
方案背景
邮区中心局生产作业系统是邮政综合网系统的一个重要组成部分,按照邮政生产的四大基本环节(收寄―处理―运输―投递)划分,邮区中心局主要负责邮件的处理和运输任务,它是一个邮区的邮件处理中心。
邮区中心局生产作业系统不仅要完成一个邮区中心局内邮政生产作业系统的计算机数字化、自动化和信息化的生产运作和管理,更要以此为基础构造一个全国性统一的邮政生产作业网络系统。因此该系统不只是在邮区中心局内的一个生产作业系统,更是作为全国邮区中心局间的邮件运输、交接、生产作业、业务查询、信息交换等系统的有机组成部分,承担着对局站间的物流和信息流处理的重要职责。
邮区中心局生产作业系统作为全国邮政综合网非常重要的应用系统之一,为更好地服务于目前及将来的业务需求,应尽量利用现有资源,该系统的设计、开发、实施、运行应遵循实用性、开放性、综合性、统一性以及安全性等原则。
部署实施过程
在中心机房采用了Red Flag DC Server作为操作系统,采用Red Flag HA Server对数据库及应用做系统热备份; 在生产车间采用Red Flag DC Server作操作系统。
● 生产中心
生产中心是邮区中心局生产作业系统的数据中心,在此设置枢纽服务器,存储管理邮区中心局生产作业系统的生产数据,同时还是邮区中心局内和综合网其他系统的数据交换枢纽。生产中心服务器系统分为数据库服务器和应用服务器两部分。
数据库服务器
数据库服务器是整个业务系统的核心,采用 Oracle作为数据库管理平台,数据库服务分为生产数据库和历史数据库两个实例,为了保证其7x24小时不间断地提供服务,采用两台IBM xSeries 255运行Red Flag DC Server操作系统,通过红旗高可用(HA)集群软件组成高可用系统。
应用服务器和Web服务器
邮区中心局生产作业系统的应用服务器采用Tuxedo作为中间件平台的生产作业应用系统,而对于历史数据系统采用的是在Weblogic系统上的B/S模式的数据管理及查询系统,应用服务器及Web服务器系统同样要确保其7x24小时不间断提供服务,这就要求系统同样具有极高的可靠性和可用性。本系统方案中采用两台IBM xServer255分别作为应用服务器和Web服务器,采用Red Flag DC Server作为操作系统,为了保证其高可用性,中心局通过红旗高可用(HA)集群软件将其组成高可用系统。与数据库集群类似,该集群中同样包括Tuxedo和Weblogic两个应用,并将两个应用分别分布在两台主机上,组成Active/Active模式的互为热备份系统。当一台服务器发生故障时,另一台服务器可以在最短的时间内接管失败服务器上的应用,即其上同时运行两个应用,同时提供服务,从而保证业务的可靠性和连续性。当失败服务器恢复正常时,原来运行在其上的应用会重新返回,系统重新达到平衡状态。
● 邮件处理中心
在邮政枢纽中心的范围内,建设一个城域网,所辖各生产车间的客户端通过该车间服务器接入到生产中心服务器中,车间服务器承担终端服务器和应用通信服务器的功能。
车间服务器系统的配置方案是: Red Flag DC Server操作系统 + PostgresSQL数据库。
Red Flag DC Server的卓越网络性能使各车间服务器更能充分发挥其硬件效能,使整个应用系统更加稳定可靠地运行。
Red Flag DC Server不仅具有很高的开发性,稳定性,可靠性,安全性和可用性,还针对Oracle数据库做了进一步的优化工作,包括I/O子系统优化、虚拟内存子系统优化、进程调度及SMP优化等,所有这些特性使得生产中心服务器系统能够高效稳定地运行。
整个应用系统采用单一的操作系统平台,极大地提高了系统的易维护性,同时Red Flag DC Server优异的整体性能充分满足了生产作业系统的各项技术指标,为系统长期稳定运行提供了极大的保障。
技术和产品介绍
红旗软件在部署实施该系统过程中,综合提供了如下软硬件产品,共同搭建了一个高效、稳定、安全的系统平台:
软件平台采用Red Flag DC(数据中心)Server和Red Flag HA(高可用) Server;
硬件平台采用IBM 255 (4CPU,P4 exon 16G ,4G内存),FastT 200磁盘阵列柜,IBM光线交换机以及DELL 1600SC。
中间件/数据库等其他第三方产品采用Oracle、Tuxedo和Weblogic。
红旗数据中心服务器软件提供了一个稳定安全的计算平台,让企业用户充分利用Linux的可伸缩、高性能和开放性的优势,从容面对快速的业务增长和未来的挑战。它满足从32位到64位关键应用的系统需求,作为强大的数据中心或者分布的网络应用服务器集群,创造连续高效的业务价值。它适用于各种硬件平台、异构环境和服务应用。为企业在部署数据中心、网络应用和安全接入服务等方面提供了更加完整灵活的支持。它广泛支持企业级硬件和大型商业软件,提供易用的图形界面和智能管理工具集。
随着Linux大规模进入企业级关键应用,用户对系统24 小时×365 天的可靠性要求越来越高。Red Flag HA Server是红旗软件推出的企业级高可用集群软件,支持多种硬件架构,能提供Linux 平台的高可用和高可靠以及高扩展性解决方案。
Red Flag HA Server适用于对应用系统有严格高可靠性要求的企业、政府、军队、重要商业网站、ISP/ICP或数据库应用等用户。
Red Hat
深入移动核心业务
中国移动通信采用Red Hat Enterprise Linux作为WEB服务器及应用服务器业务支撑平台来满足应用需求。
方案背景
中国移动通信集团公司(简称“中国移动通信”)主要经营移动话音、数据、IP电话和多媒体业务,并具有计算机互联网国际联网单位经营权和国际出入口局业务经营权。除提供基本话音业务以外,还提供传真、数据IP电话等多种增值业务,拥有“全球通”、“动感地带”、“神州行”等著名客户品牌。用户号码段包括“139”、 “138”、 “137”、 “136”、“135”以及“134(0至8号段)”。
面向未来,中国移动通信确立了“争创世界一流企业”的发展战略目标。围绕这一目标,中国移动通信全力实施“服务与业务领先”的近期战略重点,提高核心竞争力,努力实现新跨越,确保企业全面协调、持续发展。
在中国移动通信有限公司的统一规划和指导下,各省、自治区、直辖市移动公司业务支撑网的建设已基本完成并正在完善中。面对业务支撑网的复杂性和多样性,为保障业务支撑网的正常稳定运行,迫切要求建立一个能够对业务支撑网进行集中监控、集中维护、集中管理的网管系统。
业务支撑网网管系统不仅要求能够及时监测与发现业务支撑网中潜在的各类问题、保证系统的稳定运行和业务的正常开展,还应能够对运维工作进行规范化、流程化管理。
红帽解决方案
业务支撑网网管系统是一个全国规范的系统,由各省公司分别建设,当前已经覆盖了大部分省份。如中国移动有限公司、上海移动公司、江西移动公司、贵州移动公司、山东移动公司、四川移动公司、广东移动公司等。
目前Linux越来越多地应用到电信领域的核心业务中,在中国移动也已经在众多的项目上采用了Linux操作系统平台,而且也都有良好的性能表现。该项目中采用Red Hat Enterprise Linux作为WEB服务器及应用服务器业务支撑平台来满足需求。
系统操作系统是Red Hat Enterprise Linux;硬件系统是IBM X336;应用软件系统采用了Apache、Tomcat5、Oracle9i等。
选用Linux的优势
● Linux最大的优点是使企业应用不再受某一专有厂商或某种独有技术的限制,从而保护企业应用通用性、可扩展性、不受限制性,节省IT投资成本,提高灵活性、自由性和延伸性。Linux从创始之初就遵循开放源码和自由的GNU GPL协议,从而可以充分利用全球的技术资源和智慧,创造出更为健壮的技术。用户拥有源代码,就可以自由利用源码改进、提升或定制操作系统和应用程序。
● 作为类 Unix操作系统,Linux 在稳定性、可扩展性、高可用性、安全性及性能上与Unix一致。最新的权威测试机构通过对Linux和Unix性能测试比较发现,Linux在很多方面都表现出超过Unix的测能指标。
● 目前许多关键应用的服务器均是Unix操作系统,而Linux是类Unix操作系统,通过Linux可以保证网络架构体系非常容易实现互连与协作,极大地方便系统的管理维护及各系统间的数据交流。
● 完整的linux操作系统内含有大量的应用软件和开发工具,包括GNU GCC/C++、Fortran编译器、Qt库及PHP、Awk、TCL/TK等语言。而在其他专有的操作系统内,开发工具往往是另外收取费用的。
● Linux支持很多硬件平台,比如x86、x86_64、AMD64、安腾、Sparc、PPC、ARM等,它支持从笔记本电脑到大型主机。
共创开源
搭建平谷区电子政务平台
以共创桌面Linux操作系统为基础搭建的平谷区电子政务平台可以支撑目前各类业务系统的运行,基本满足了政府部门日常办公的需要。
项目背景
作为北京市重要的郊区县之一,北京市平谷区高度重视电子政务软件平台的建设工作。为保证全区各单位之间能够实现资源共享、协同办公,提升全区所有政府部门员工的办公自动化水平,平谷区政府确立了以电子政务办公平台应用促进软件正版化、国产化应用的指导方针,推出了基于国产基础软件的电子政务平台。实践证明,以共创Linux操作系统为基础搭建出来的电子政务平台可以支撑目前各类业务系统的运行,基本能够满足政府部门日常办公的需要。
方案简介
平谷区电子政务办公应用平台主要包括三个部分,即基于国产基础软件的电子政务平台、贯穿所有委办局、乡镇的统一办公自动化系统以及基于办公套件的桌面系统。
2004年11月,北京市平谷区电子政务办公平台建设圆满完成,其客户端操作系统和办公套件分别采用了北京共创开源软件有限公司(简称共创开源)的共创桌面Linux和共创Office, 共计安装4693套,其中超过50%的计算机安装了共创桌面Linux,实现了单系统办公。
平谷区共有118家行政事业单位,计算机总数达到4693台,全部使用正版国产Linux以及国产Office办公套件仅用了670万元的资金投入,比起使用微软的Windows和Office所需要的3000多万元的巨额资金投入,可以节省2330万元。共创桌面Linux和共创Office作为国内主流的开源操作系统和办公套件,被广泛应用于整个项目当中,为所有系统的成功运行提供了坚实的基础,发挥了重大的积极作用。
平台框架部署
平谷区电子政务办公应用平台对平谷区各种应用系统进行整合,实现了政务内网的建设,通过信息发布与政务外网进行互联并和广大市民进行互动。这个平台包括的主要内容有办公自动化系统、GIS地理信息系统、互联审批系统、农村三级互动系统和信息发布系统等子系统。另外,这个平台还包括各种共享资源,如法律、法规、政策、文件、工作流程、办事指南、新闻、等数据库信息。
整个方案采用B/S结构,遵循J2EE标准。服务器的桌面系统都具备跨平台运行的能力,同时支持Linux和Windows操作系统。
平台主要特点
● 应用集成、资源整合、数据共享
平台整合了办公相关资源,实现了数据共享。共整合了40多个应用系统,形成了以四大基础数据库为依托的数据资源体系。
● 大平台流转,小平台办理
平台以实现公文在全区机构大循环和单位内部小循环的顺利流转为目标,利用覆盖全区的政务宽带网,将各委、办、局、乡、镇、街道等政府职能机构链接在一起,各机构通过电子政务办公平台,实现协同办公。同时,在电子政务办公平台的支撑下,从平台大循环流转过程中接收的各种公文、任务等可以直接计入各机构内部的小循环中,在各个科室之间继续流转、办理。
● 办公自动化系统实现全面国产基础软件应用
北京市平谷区办公自动化系统中主要功能有: 公文管理、交办任务、电子公告、短消息、系统管理等等。
● 客户端桌面系统的兼容性、创新性、安全性、易用性
平谷区电子政务平台的客户端主要采用的是共创桌面Linux,为平谷区整个电子政务系统的运行提供了坚实的基础保障,其显著特点主要表现在创新、安全、稳定、兼容、易用等方面。
● 特有的安全稳定的浏览器
作为基础操作应用系统的一部分,共创浏览器在整个平台系统的部署和应用中发挥了独特的功效。共创浏览器,顾名思义,就是共创桌面Linux系统采用FireFox浏览器实现特有的浏览器功能。共创浏览器还增加了对“IE特有功能”的支持。原始的FireFox浏览器,不支持IE特定的一些功能,例如documentall、数据岛等,这使得FireFox浏览器在浏览一些网站时,常常会出现各种问题。针对这一现场,共创浏览器则提供了这些IE特有浏览器功能的支持,使得FireFox浏览器能够较好地支持各种应用系统和电子商务的应用领域。
恩信科技
ERP开源解决方案
恩信科技开源ERP软件把企业的客户关系、产品设计、生产管理、库存管理等整合为非常明确可控制的模块化流程单元,使企业的人力、物力、财力得到最合理的应用。
传统的企业管理系统侧重于面向结果而非面向服务(SOA)的架构,数据采集是部分(信息孤岛)而非全面的,数据处理是滞后而非实时(B/S)的,导致企业的最高管理者无法实时准确地知道企业的资产情况、人员状况、销售情况等,无法及时地做出正确的决策。
据统计,体系完整的ERP(企业资源管理软件)在我国企业的使用率只在38%左右,而同样的系统在欧洲的使用率在68%。
方案设计
根据对用户需求的分析,使用开源软件产品及相关技术为用户提供合理的解决方案。
针对现代企业的迫切需求,恩信科技开源ERP软件把企业的客户关系、产品设计、生产管理、库存管理、委外管理、采购管理、资金控制、财务系统、人力资源、协同办公、系统安全整合为非常明确可控制的模块化流程单元,使企业的人力、物力、财力得到最充分、最合理的应用,帮助企业增强核心竞争力。
恩信科技开源ERP系统利用Internet全面实时地采集企业数据,面向企业流程控制,支持数据挖掘; 系统支持大规模精确计算、支持海量用户数和用户分组管理; 系统界面友好、礼貌、简洁; 各子模块既能独立运行,又可以与其他模块共享数据。恩信科技开源ERP系统有专门的安全控制管理模块,保证系统可靠地运行。恩信科技开源ERP系统应用了安全的Internet *** 技术让企业能跨地域、跨国界、跨时区实时采集任何应该采集的企业数据,实现企业的全部资源共享,对企业的任何分支机构实现实时的流程管理控制,为企业管理者提供智能化的决策分析支持。
方案实施
根据方案设计,确定合理的实施方法,控制项目进度; 对用户进行培训、系统维护,介绍未来的升级与扩充步骤。
恩信科技开源软件的定义:
用户可以免费永久使用恩信科技开源ERP及获得源代码,但当用户需要服务和一定的商业担保时需付服务费。恩信科技通过合作伙伴为客户提供服务的形式实施开源ERP,目前恩信科技能为客户提供实时服务的合作伙伴主要有两类: 应用伙伴和增值伙伴,应用伙伴的职责是为客户提供解决方案、安装、设置、数据迁移、使用培训、系统实施; 增值伙伴的职责是为客户提供解决方案、安装、设置、数据迁移、使用培训、系统实施; 帮助客户实现个性化应用作代码级二次开发、系统移植。这些合作伙伴都是恩信科技的授权认证单位,可以为客户提供实时服务和商业担保。
开源ERP实施过程及时间:
首先客户免费下载开源ERP产品并且根据提供的使用文档自行安装运行; 然后客户结合自身的需求,试运行开源ERP,通过系统提供的客户化设置功能,将ERP系统设置为符合自身特点的系统。其间可以通过开源社区对自己的有关想法、建议、困惑寻求帮助; 客户先局部试验性使用该系统,然后大面积地使用,还可以选择能提供本地化服务的合作伙伴就实施、培训、个性化开发、后续保障等细节进行商讨,然后开始实施ERP。同时可以向恩信科技或者恩信科技的合作伙伴购买、电话咨询、商业担保、现场支持等服务。整个过程会因客户所处的行业、个性化需求程度、客户领导层重视程度的不同,所需要的时间可能在3个月至9个月之间不等。
技术及产品介绍
恩信科技开源ERP产品具有支持互联网、支持多语种、支持个性化应用以及数据集成等特点。
其技术特点主要有:
● 汲取Struts、Spring等优秀框架设计思想,采用三层结构设计。
● 模块化的设计、组件化的开发提高了代码的重用性,为不同的客户提供不同的系统、不同的服务。
● 分布式数据集中设计避免了企业信息化中信息孤岛的出现,各数据表结构、命名、各子系统、各模块都采用一体化设计,既可以单独使用,也可以无缝连接、组合使用。
● 支持标准的XML、EXCEL、PDF等数据交换格式,这一特点形成了恩信科技开源ERP开放的特性。
● 突破了传统的角色管理机制,支持0到1200余个模块的任意、灵活的权限管理机制。
C3CRM
开源社区CRM解决方案
C3CRM覆盖了从客户管理、商品管理、销售管理、售后服务等全部领域,能够很好地解决目前中小企业在客户管理方面信息化投入不会太高但需求功能全面的问题。
需求分析
随着业务的发展,目前已经有越来越多的中小企业,在客户管理方面遇到了以下问题:
对于一些中小企业来说,业务人员的流动性比较强,而往往客户资源掌握在业务人员手里,一旦业务人员离职,这个客户可能就随之流失。
同时对于业务人员而言,往往需要对不同的客户群进行划分,还要对客户进行必要的跟踪或者进行一些营销活动,需借助系统来对客户进行分析得到一些有价值的决策数据。
如何更好地维系客户关系对企业来说已经显得非常重要。但有些中小企业并没有专门的IT部门,信息化投入不会太高,无法建立完善的CRM系统。
方案设计
C3CRM覆盖了从客户管理、商品管理、销售管理、售后服务、销售报表、销售分析、销售预测、日程管理、项目管理、文档管理、电子商务和企业网站等全部领域,涉及到行销活动、客户筛选、客户跟踪、销售管理、售后服务整个流程,能够很好地解决目前中小企业在客户管理方面所提出的问题。
该软件可以让业务人员根据行销活动后得到的销售线索进行逐步跟踪,整个过程也都能通过软件得到体现。其产品管理以及知识管理的模块使得业务人员可以快速得到相关所需要的信息。
该软件在客户后续服务方面有着更多的考虑。包括合同的交付回款、产品的退换以及呼叫中心的建立。这些功能能够很好地为客户的后续服务提供有力支持。
方案实施
目前在国内下载C3CRM软件的用户数已经超过十万,并已能够很大程度地满足用户的需求。
C3CRM完全可以通过远程进行安装调试以及维护。用户在使用过程中遇到的问题也都可以通过远程请求或者通过公司的网站得到解决。软件的设计充分考虑到了满足易用易实施。
针对用户的特殊要求,系统还提供二次开发服务。用户可以使用C3CRM提供的开发工具(ModuleBuilder)开发适合企业需要的模块。
技术及产品介绍
C3CRM主要面向拥有5~100用户之间的中小型企业。该产品定位在技术平台上,可提供市场、销售、服务与业务报表等基础业务支持功能,并提供强大的业务定制功能,通过快速实施,C3CRM产品可灵活适应企业的不同管理模式。
C3CRM的核心模块包括客户管理、联系人管理、潜在客户管理、销售机会管理、报价管理、产品管理、价格手册、营销活动、项目管理、客户反馈、客户回访、产品服务、合同管理、文档管理、解决方案、常见问题、日程管理、活动管理、备忘录管理、手机短信、内部通知、统计图、统计报表等以及完善的权限管理、数据备份和恢复等功能。
C3CRM产品界面友好,部署与维护简单,并可与其他系统无缝集成。C3CRM的代码完全公开,没有任何许可证费用,适合不同类型的企业应用。用户可在Web浏览器(IE或Firefox)进行操作,无需安装客户端。
方案特点分析
C3CRM是一个开源的软件,基于LAMP(Linux Apache Mysql PHP)平台,采用WEB服务实现交互通信。用户不仅可以使用开发工具(ModuleBuilder)开发适合企业需求的模块,还可以通过SOAP与其他系统集成。包括安装调试、维护都可以通过远程服务轻松得到解决。
0条评论