深信服：深信服aBos一體機技術白皮書（44頁）.pdf

《深信服：深信服aBos一體機技術白皮書（44頁）.pdf》由會員分享，可在線閱讀，更多相關《深信服：深信服aBos一體機技術白皮書（44頁）.pdf（44頁珍藏版）》請在三個皮匠報告上搜索。

1、 深信服深信服 aBosaBos 一體機一體機 技術白皮技術白皮書書 深信服科技股份有限公司深信服科技股份有限公司NFV Network Function Virtualization 網絡功能虛擬化 修訂記錄修訂記錄 修訂版本號修訂版本號 作者作者 日期日期 備注備注 V1.0 黃航 2016-10 V2.0 黃航 2016-12 V3.0 黃航 2017-3 深信服 aBos 一體機技術白皮書 1 目 錄 目 錄 1 前言前言.2 1.1 邊緣 IT 時代變革邊緣 IT 時代變革.2 1.2 白皮書總覽白皮書總覽.2 2 深信服 aBos 一體機架構技術深信服 aBos 一體機架構技術.4

2、 2.1 aBos 超融合架構概述aBos 超融合架構概述.4 2.1.1 aBos 超融合架構的定義aBos 超融合架構的定義.4 2.2 深信服 aBos 超融合架構組成模塊深信服 aBos 超融合架構組成模塊.4 2.2.1 系統總體架構系統總體架構.4 2.3 aSV 計算虛擬化aSV 計算虛擬化.4 2.3.1 計算虛擬化概述計算虛擬化概述.4 2.3.2 aSV 技術原理aSV 技術原理.5 2.3.3 深信服 aSV 的技術特性深信服 aSV 的技術特性.14 2.3.4 aSV 的特色技術aSV 的特色技術.17 2.4 aNet 網絡設備虛擬化aNet 網絡設備虛擬化.18

3、2.4.1 網絡設備虛擬化概述網絡設備虛擬化概述.18 2.4.2 aNET 網絡虛擬化技術原理aNET 網絡虛擬化技術原理.19 2.4.3 aNet 功能特性aNet 功能特性.22 2.4.4 深信服 aNet 的特色技術深信服 aNet 的特色技術.28 2.5 aSAN 存儲虛擬化aSAN 存儲虛擬化.29 2.5.1 存儲虛擬化概述存儲虛擬化概述.29 2.5.2 aSAN 技術原理aSAN 技術原理.29 2.5.3 aSAN 存儲數據可靠性保障aSAN 存儲數據可靠性保障.38 2.5.4 深信服 aSAN 功能特性深信服 aSAN 功能特性.38 3 深信服 aBos 一體機

4、核心價值深信服 aBos 一體機核心價值.40 3.1 高穩定性高穩定性.40 3.2 簡化分支機構 IT簡化分支機構 IT.40 3.3 簡化運維、集中管理簡化運維、集中管理.40 3.4 靈活部署、擴展性好靈活部署、擴展性好.40 4 超融合架構最佳實踐超融合架構最佳實踐.41 深信服 aBos 一體機技術白皮書 2 1前言 1.1 邊緣 IT 時代變革 邊緣 IT 時代變革 隨著在物聯網的構建過程中傳感器的大量使用，企業客戶及員工使用的移動設備和云服務的大量增加,企業邊緣的概念也正在被重新定義。對于一個企業來說,它的新的邊緣包括了下屬辦事機構、商店、機場、商場、公共圖書館、運動場以及其它

5、公共空間。任何可能有顧客的地方都在迅速成為企業的邊緣。不僅是企業邊緣的概念在變化，與此同時，在這些地點的顧客參與行為也在發生本質性的變化。近年來，隨著主機托管、代管和云服務被越來越多地采用，IT 基礎架構也呈現出融合化和集中化的趨勢。而對企業邊緣的重新定義則將在某種程度上扭轉這一趨勢，因為計算、存儲和 網絡這三大功能都被推向了新的企業邊緣，以解決那些具有較高處理要求和帶寬要求的工作負載。未來，微型數據中心將有望重新崛起，但屆時它將不會采取目前的這種形式了。企業邊緣的變化還將促進 IT 與非 IT 架構/設備的持續創新和整合。服務供應商將其 IT 資產部署在客戶和合作伙伴所在的地理位置上這一舉措

6、的逐漸增長的可能性，將給雙方的 IT 團隊都帶來一系列的新挑戰。我們現在正處于一場幾十年未見的分支機構邊緣數據中心革命性轉變中，究其核心，這一轉變是由“軟件”基礎設施的崛起而驅動。虛擬網絡設備、虛擬機、存儲設備能夠以高速自動化的方式分配與重新配置，不會受到分支非動態設置的硬件基礎設施的限制，在“軟件定義廣域網”的模型下，用戶首先考慮的是分支應用，根據應用的模式便可靈活的調配其所需的 IT 基礎架構資源，也就是通過軟件化的方式實現分支硬件資源調配。深信服 aBos 一體機是軟件定義分支 IT 基礎架構一套非常成熟的解決方案，是建立一個各個軟件組件間相對獨立、松耦合的軟件系統,極大提高分支整個 I

7、T 基礎架構系統的可靠性和可擴展性。除滿足上面所述的邊緣 IT 架構虛擬化，標準化和自動化訴求外，秉承深信服公司產品的優秀基因，向您提供簡單易用，安全可靠，易交付的產品。1.2 白皮書總覽 白皮書總覽 本書介紹的內容大致如下：第一章、在前言部分，給您對企業邊緣 IT 變革，軟件定義廣域網有一個概括性的認識，并對本文檔的閱讀給出指導。第二章、講述 aBos 一體機各個功能模塊的技術細節。深信服 aBos 一體機技術白皮書 3 第三章、介紹深信服 aBos 一體機涵蓋的技術。第三章、向您介紹深信服 aBos 一體機中的技術在為客戶帶來的核心價值。第四章、分享 aBos 一體機在客戶中的實際應用場景

8、，并給出深信服超融合架構產品的體驗途徑，非常歡迎您來試用。深信服 aBos 一體機技術白皮書 4 2深信服 aBos 一體機架構技術 2.1 aBos 一體機架構概述 aBos 一體機架構概述 2.1.1 aBos 一體機架構的定義 aBos 一體機架構的定義 深信服 aBos 一體機解決方案，是一種將網絡設備、計算、存儲等資源作為基本組成元素，通過一體機的方式承載中小型或者分支機構的 IT 網絡建設技術。滿足多種類型的小型機構業務辦公需求，提供具備業務上線速度快、分支安全性考慮全面、業務發展擴展性高、集中管理的一站式分支機構解決方案，實現分支機構“ZERO IT”。2.2 深信服 aBos

9、一體機架構組成模塊 深信服 aBos 一體機架構組成模塊 2.2.1 系統總體架構 系統總體架構 深信服 aBos 一體機架構圖 深信服 aBos 一體機架構圖 深信服的 aBos 一體機解決方案軟件架構主要包含三大組件（網絡設備虛擬化、服務器虛擬化、存儲虛擬化）、一個 WEB 控制平臺（虛擬化管理平臺 VMP）、總部集中管理（BBC 管理中心）。硬件架構上，可以通過一體機的方式實現開機即用，一體機服務器實現基礎架構的承載 后續章節，會針對 aBos 超融合架構中的三大功能模塊：計算虛擬化（aSV）、網絡設備虛擬化（aNET）、存儲虛擬化（aSAN）所涵蓋的產品技術來做詳細說明。2.3 aSV

10、 計算虛擬化 aSV 計算虛擬化 2.3.1 計算虛擬化概述 計算虛擬化概述 深信服 aBos 一體機技術白皮書 5 計算資源虛擬化技術是將通用的 x86 服務器經過虛擬化軟件，對最終用戶呈現標準的虛擬機。這些虛擬機就像同一個廠家生產的系列化的產品一樣，具備系列化的硬件配置，使用相同的驅動程序。虛擬機的定義：虛擬機(Virtual Machine)是由虛擬化層提供的高效、獨立的虛擬計算機系統，每臺虛擬機都是一個完整的系統，它具有處理器、內存、網絡設備、存儲設備和 BIOS，因此操作系統和應用程序在虛擬機中的運行方式與它們在物理服務器上的運行方式沒有什么區別。虛擬機與物理服務器相比：虛擬機不是由

11、真實的電子元件組成，而是由一組虛擬組件（文件）組成，這些虛擬組件與物理服務器的硬件配置無關，關鍵與物理服務器相比，虛擬機具有以下優勢:抽象解耦 抽象解耦 1.可在任何 X86 架構的服務器上運行；2.上層應用操作系統不需修改即可運行；分區隔離 分區隔離 1.可與其他虛擬機同時運行；2.實現數據處理、網絡連接和數據存儲的安全隔離；封裝移動 封裝移動 1.可封裝于文件之中，通過簡單的文件復制實現快速部署、備份及還原；2.可便捷地將整個系統（包括虛擬硬件、操作系統和配置好的應用程序）在不同的物理服務器之間進行遷移，甚至可以在虛擬機正在運行的情況下進行遷移；深信服的 aBos 一體機解決方案中的計算虛

12、擬化采用 aSV 虛擬化系統，通過將服務器資源虛擬化為多臺虛擬機。最終用戶可以在這些虛擬機上安裝各種軟件，掛載磁盤，調整配置，調整網絡，就像普通的 x86 服務器一樣使用它。2.3.2 aSV 技術原理 aSV 技術原理 Hypervisor 架構 2.3.2.1Hypervisor 架構 2.3.2.1深信服 aBos 一體機技術白皮書 6 Hypervisor 是一種運行在物理服務器和操作系統之間的中間軟件層,可允許多個操作系統和應用共享一套基礎物理硬件，因此也可以看作是虛擬環境中的“元”操作系統，它可以協調訪問服務器上的所有物理設備和虛擬機，也叫虛擬機監視器（Virtual Machin

13、e Monitor）。Hypervisor 是所有虛擬化技術的核心。非中斷地支持多工作負載遷移的能力是Hypervisor 的基本功能。當服務器啟動并執行 Hypervisor 時，它會給每一臺虛擬機分配適量的內存、CPU、網絡和磁盤，并加載所有虛擬機的客戶操作系統。虛擬化技術架構 Hypervisor，常見的 Hypervisor 分兩類：Type-I（裸金屬型）Type-I（裸金屬型）指 VMM 直接運作在裸機上,使用和管理底層的硬件資源，GuestOS 對真實硬件資深信服 aBos 一體機技術白皮書 7 源的訪問都要通過 VMM 來完成，作為底層硬件的直接操作者，VMM 擁有硬件的驅動程

14、序。裸金屬虛擬化中 Hypervisor 直接管理調用硬件資源，不需要底層操作系統，也可以理解為 Hypervisor 被做成了一個很薄的操作系統。這種方案的性能處于主機虛擬化與操作系統虛擬化之間。代表是 VMware ESX Server、Citrix XenServer 和 Microsoft Hyper-V，Linux KVM。Type-II 型（宿主型）Type-II 型（宿主型）指 VMM 之下還有一層宿主操作系統，由于 Guest OS 對硬件的訪問必須經過宿主操作系統，因而帶來了額外的性能開銷，但可充分利用宿主操作系統提供的設備驅動和底層服務來進行內存管理、進程調度和資源管理等。

15、主機虛擬化中 VM 的應用程序調用硬件資源時需要經過:VM 內核-Hypervisor-主機內核，導致性能是三種虛擬化技術中 最 差 的。主 機 虛 擬 化 技 術 代 表 是 VMware Server（GSX）、Workstation 和Microsoft Virtual PC、Virtual Server 等。由于主機型 Hypervisor 的效率問題，深信服的 aSV 采用了裸機型 Hypervisor 中的 Linux KVM 虛擬化，即為 Type-I（裸金屬型）。KVM(Kenerl-based Virtual Machine)是 基 于 linux 內 核 虛 擬 化 技 術

16、，自linux2.6.20 之后就集成在 linux 的各個主要發行版本中。它使用 linux 自身的調度器進行管理，所以相對于 xen，其核心源碼很少。KVM 是基于硬件虛擬化擴展（Intel VT-X）和 QEMU 的修改版，KVM 屬于Linux kernel 的一個模塊，可以用命令 modprobe 去加載 KVM 模塊。加載了該模塊后，才能進一步通過工具創建虛擬機。但是僅有 KVM 模塊是不夠的。因為用戶無法直接控制內核去做事情，還必須有一個運行在用戶空間的工具才行。這個用戶空間的工具，我們選擇了已經成型的開源虛擬化軟件 QEMU，QEMU 也是一個虛擬化軟件，它的特點是可虛擬不同的

17、 CPU，比如說在 x86 的 CPU 上可虛擬一個 power 的 CPU，并可利用它編譯出可運行在 power 上的 CPU，并可利用它編譯出可運行在 power 上的程序。KVM 使用了QEMU 的一部分，并稍加改造，就成了可控制 KVM 的用戶空間工具了。這就是 KVM 和QEMU 的關系。如下圖：深信服 aBos 一體機技術白皮書 8 一個普通的 linux 進程有兩種運行模式：內核和用戶。而 KVM 增加了第三種模式：客戶模式（有自己的內核和用戶模式）。在 kvm 模型中，每一個虛擬機都是由 linux調度程序管理的標準進程?？傮w來說，kvm 由兩個部分組成：一個是管理虛擬硬件的設

18、備驅動，該驅動使用字符設備/dev/kvm 作為管理接口；另一個是模擬 PC 硬件的用戶空間組件，這是一個稍作修改的 qemu 進程。同時，aSV 采用 KVM 優勢有：嵌入到 Linux 正式 Kernel(提高兼容性)代碼級資源調用（提高性能）虛擬機就是一個進程（內存易于管理）直接支持 NUMA 技術（提高擴展性）保持開源發展模式（強大的社區支持）aSV 的 Hypervisor 實現 2.3.2.2aSV 的 Hypervisor 實現 2.3.2.2VMM(Virtual Machine Monitor)對物理資源的虛擬可以劃分為三個部分：CPU 虛擬化、內存虛擬化和 I/O 設備虛擬

19、化,其中以 CPU 的虛擬化最為關鍵。經典的虛擬化方法：現代計算機體系結構一般至少有兩個特權級（即用戶態和核心態，x86 有四個特權級 Ring0 Ring3）用來分隔系統軟件和應用軟件。那些只能在處理器的最高特權級（內核態）執行的指令稱之為特權指令，一般可讀寫系統關鍵資源的指令（即敏感指令）決大多數都是特權指令（X86 存在若干敏感指令是非特權指令的情況）。如果執行特權指令時處理器的狀態不在內核態，通常會引發一個異常而交由系統軟件來處理這個非法訪問（陷入）。經典的虛擬化方法就是使用“特權解除”和“陷入-模擬”的方式，即將 GuestOS 運行在非特權級，而將 VMM 運行于最高特權級（完全控

20、制系統資源）。解除了 GuestOS 的特權級后，Guest OS 的大部分指令仍可以在硬件上直接運行，只有執行到特權指令時，才會陷入到 VMM 模擬執行（陷入-模擬）?！跋萑?模擬”的本質是保證可能影響 VMM 正確運行的指令由 VMM 模擬執行，深信服 aBos 一體機技術白皮書 9 大部分的非敏感指令還是照常運行。因為 X86 指令集中有若干條指令是需要被 VMM 捕獲的敏感指令，但是卻不是特權指令（稱為臨界指令），因此“特權解除”并不能導致他們發生陷入模擬，執行它們不會發生自動的“陷入”而被 VMM 捕獲，從而阻礙了指令的虛擬化，這也稱之為X86 的虛擬化漏洞。X86 架構虛擬化的實現

21、方式可分為：1、X86“全虛擬化”（指所抽象的 VM 具有完全的物理機特性，OS 在其上運行不需要任何修改）Full 派秉承無需修改直接運行的理念，對“運行時監測，捕捉后模擬”的過程進行優化。該派內部之實現又有些差別，其中以 VMWare 為代表的基于二進制翻譯(BT)的全虛擬化為代表,其主要思想是在執行時將 VM 上執行的 Guest OS 指令，翻譯成 x86 指令集的一個子集，其中的敏感指令被替換成陷入指令。翻譯過程與指令執行交叉進行，不含敏感指令的用戶態程序可以不經翻譯直接執行。2、X86“半虛擬化”（指需 OS 協助的虛擬化，在其上運行的 OS 需要修改）半虛擬化的基本思想是通過修改

22、 Guest OS 的代碼，將含有敏感指令的操作，替換為對 VMM 的超調用 Hypercall，類似 OS 的系統調用，將控制權轉移到 VMM，該技術因 VMM 項目而廣為人知。該技術的優勢在于 VM 的性能能接近于物理機，缺點在于需要修改 GuestOS（如：Windows 不支持修改）及增加的維護成本，關鍵修改 Guest OS 會導致操作系統對特定 hypervisor 的依賴性，因此很多虛擬化廠商基于 VMM 開發的虛擬化產品部分已經放棄了 Linux 半虛擬化，而專注基于硬件輔助的全虛擬化開發，來支持未經修改的操作系統。3、X86“硬件輔助虛擬化”：其基本思想就是引入新的處理器運行

23、模式和新的指令，使得 VMM 和 Guest OS 運行于不同的模式下，Guest OS 運行于受控模式，原來的一些敏感指令在受控模式下全部會陷入 VMM，這樣就解決了部分非特權的敏感指令的“陷入-模擬”難題，而且模式切換時上下文的保存恢復由硬件來完成，這樣就大大提高了“陷入-模擬”時上下文切換的效率。以 Intel VT-x 硬件輔助虛擬化技術為例，該技術增加了在虛擬狀態下的兩種處理器工作模式：根（Root）操作模式和非根（Non-root）操作模式。VMM 運作在 Root 操作模式下，而 Guest OS 運行在 Non-root 操作模式下。這兩個操作模式分別擁有自己的特權級環，VMM

24、 和虛擬機的 Guest OS 分別運行在這兩個操作模式的 0 環。這樣，既能使 VMM 運行在 0 環，也能使 Guest OS 運行在 0 環，避免了修改 Guest OS。Root 操 作 模 式 和 Non-root 操 作 模 式 的 切 換 是 通 過 新 增 的 CPU 指 令（如：深信服 aBos 一體機技術白皮書 10 VMXON,VMXOFF）來完成。硬件輔助虛擬化技術消除了操作系統的 ring 轉換問題，降低了虛擬化門檻，支持任何操作系統的虛擬化而無須修改 OS 內核，得到了虛擬化軟件廠商的支持。硬件輔助虛擬化技術已經逐漸消除軟件虛擬化技術之間的差別，并成為未來的發展趨勢

25、。lvCPU 機制 vCPU 機制 vCPU 調度機制 vCPU 調度機制 對虛擬機來說，不直接感知物理 CPU，虛擬機的計算單元通過 vCPU 對象來呈現。虛擬機只看到 VMM 呈現給它的 vCPU。在 VMM 中，每個 vCPU 對應一個 VMCS（Virtual-MachineControl Structure）結構，當 vcpu 被從物理 CPU 上切換下來的時候，其運行上下文會被保存在其對應的 VMCS 結構中；當 vcpu 被切換到 pcpu 上運行時，其運行上下文會從對應的 VMCS 結構中導入到物理 CPU 上。通過這種方式，實現各 vCPU 之間的獨立運行。從虛擬機系統的結構

26、與功能劃分可以看出，客戶操作系統與虛擬機監視器共同構成了虛擬機系統的兩級調度框架，如圖所示是一個多核環境下虛擬機系統的兩級調度框架?？蛻舨僮飨到y負責第 2 級調度,即線程或進程在 vCPU 上的調度（將核心線程映射到相應的虛擬 CPU 上）。虛擬機監視器負責第 1 級調度,即 vCPU 在物理處理單元上的調度。兩級調度的調度策略和機制不存在依賴關系。vCPU 調度器負責物理處理器資源在各個虛擬機之間的分配與調度,本質上即把各個虛擬機中的 vCPU 按照一定的策略和機制調度在物理處理單元上可以采用任意的策略來分配物理資源,滿足虛擬機的不同需求。vCPU 可以調度在一個或多個物理處理單元執行（分時

27、復用或空間復用深信服 aBos 一體機技術白皮書 11 物理處理單元）,也可以與物理處理單元建立一對一固定的映射關系（限制訪問指定的物理處理單元）。內存虛擬化 內存虛擬化三層模型 內存虛擬化三層模型 因為 VMM(Virtual Machine Monitor)掌控所有系統資源，因此 VMM 握有整個內存資源，其負責頁式內存管理，維護虛擬地址到機器地址的映射關系。因 Guest OS 本身亦有頁式內存管理機制，則有 VMM 的整個系統就比正常系統多了一層映射：A.虛擬地址(VA)，指 Guest OS 提供給其應用程序使用的線性地址空間；B.物理地址(PA)，經 VMM 抽象的、虛擬機看到的偽

28、物理地址；C.機器地址(MA)，真實的機器地址，即地址總線上出現的地址信號；映射關系如下：Guest OS:PA=f(VA)、VMM:MA=g(PA)VMM 維護一套頁表，負責 PA 到 MA 的映射。Guest OS 維護一套頁表，負責 VA 到 PA 的映射。實際運行時，用戶程序訪問 VA1，經 Guest OS 的頁表轉換得到 PA1，再由 VMM 介入，使用 VMM 的頁表將 PA1 轉換為 MA1。l頁表虛擬化技術 頁表虛擬化技術 普通 MMU 只能完成一次虛擬地址到物理地址的映射，在虛擬機環境下，經過 MMU 轉換所得到的“物理地址”并不是真正的機器地址。若需得到真正的機器地址，必

29、須由 VMM 介入，再經過一次映射才能得到總線上使用的機器地址。如果虛擬機的每個內存訪問都需要 VMM 介入，并由軟件模擬地址轉換的效率是很低下的，幾乎不具有實際可用性，為實現虛擬地址到機器地址的高效轉換，現普遍采用的思想是：由 VMM 根據映射 f 和 g 生成復合的映射 fg，并直接將這個映射關系寫入 MMU。當前采用的頁表虛擬化方法主要是 MMU 類虛擬化（MMU Paravirtualization）和影子頁表，后者已被深信服 aBos 一體機技術白皮書 12 內存的硬件輔助虛擬化技術所替代。1、MMU Paravirtualization 其基本原理是：當 Guest OS 創建一個

30、新的頁表時，會從它所維護的空閑內存中分配一個頁面，并向 VMM 注冊該頁面，VMM 會剝奪 Guest OS 對該頁表的寫權限，之后 GuestOS 對該頁表的寫操作都會陷入到 VMM 加以驗證和轉換。VMM 會檢查頁表中的每一項，確保他們只映射了屬于該虛擬機的機器頁面，而且不得包含對頁表頁面的可寫映射。后 VMM 會根據自己所維護的映射關系，將頁表項中的物理地址替換為相應的機器地址，最后再把修改過的頁表載入 MMU。如此，MMU 就可以根據修改過頁表直接完成虛擬地址到機器地址的轉換。2、內存硬件輔助虛擬化 內存硬件輔助虛擬化技術原理圖 內存硬件輔助虛擬化技術原理圖 內存的硬件輔助虛擬化技術是

31、用于替代虛擬化技術中軟件實現的“影子頁表”的一種硬件輔助虛擬化技術，其基本原理是：GVA（客戶操作系統的虛擬地址）-GPA（客戶操作系統的物理地址）-HPA（宿主操作系統的物理地址）兩次地址轉換都由 CPU 硬件自動完成（軟件實現內存開銷大、性能差）。以 VT-x 技術的頁表擴充技術 Extended PageTable（EPT）為例，首先 VMM 預先把客戶機物理地址轉換到機器地址的 EPT 頁表設置到 CPU 中；其次客戶機修改客戶機頁表無需 VMM 干預；最后，地址轉換時，CPU 自動查找兩張頁表完成客戶機虛擬地址到機器地址的轉換。使用內存的硬件輔助虛擬化技術，客戶機運行過程中無需 VM

32、M 干預，去除了大量軟件開銷，內存訪問性能接近物理機。lI/O 設備虛擬化 I/O 設備虛擬化 VMM 通過 I/O 虛擬化來復用有限的外設資源，其通過截獲 Guest OS 對 I/O 設備的訪問請求，然后通過軟件模擬真實的硬件，目前 I/O 設備的虛擬化方式主要有三深信服 aBos 一體機技術白皮書 13 種：設備接口完全模擬、前端后端模擬、直接劃分。1、設備接口完全模擬：即軟件精確模擬與物理設備完全一樣的接口，Guest OS 驅動無須修改就能驅動這個虛擬設備。優點：沒有額外的硬件開銷，可重用現有驅動程序；缺點：為完成一次操作要涉及到多個寄存器的操作，使得 VMM 要截獲每個寄存器訪 問

33、并進行相應的模擬，這就導致多次上下文切換；由于是軟件模擬，性能較低。2、前端后端模擬：VMM 提供一個簡化的驅動程序（后端,Back-End），Guest OS 中的驅動程序為前端(Front-End,FE)，前端驅動將來自其他模塊的請求通過與 Guest OS 間的特殊通信機制直接發送給 Guest OS 的后端驅動，后端驅動在處理完請求后再發回通知給前端，VMM 即采用該方法。優點：基于事務的通信機制，能在很大程度上減少上下文切換開銷，沒有額外的硬件開銷；缺點：需要 GuestOS 實現前端驅動，后端驅動可能成為瓶頸。3、直接劃分：即直接將物理設備分配給某個 Guest OS，由 Gues

34、t OS 直接訪問 I/O 設備（不經 VMM），目前與此相關的技術有 IOMMU（Intel VT-d,PCI-SIG 之 SR-IOV 等），旨在建立高效的 I/O 虛擬化直通道。深信服 aBos 一體機技術白皮書 14 優點：可重用已有驅動，直接訪問減少了虛擬化開銷；缺點：需要購買較多額外的硬件。2.3.3 深信服 aSV 的技術特性 深信服 aSV 的技術特性 內存 NUMA 技術 2.3.3.1內存 NUMA 技術 2.3.3.1 非統一內存訪問（NUMA）是服務器 CPU 和內存設計的新架構。傳統的服務器架構下把內存放到單一的存儲池中，這對于單處理器或單核心的系統工作良好。但是這種

35、傳統的統一訪問方式，在多核心同時訪問內存空間時會導致資源爭用和性能問題。畢竟，CPU 應該可以訪問所有的服務器內存，但是不需要總是保持占用。實際上，CPU 僅需要訪問工作負載實際運行時所需的內存空間就可以了。因此 NUMA 改變了內存對 CPU 的呈現方式。這是通過對服務器每個 CPU 的內存進行分區來實現的。每個分區（或內存塊）稱為 NUMA 節點，而和該分區相關的處理器可以更快地訪問 NUMA 內存，而且不需要和其它的 NUMA 節點爭用服務器上的資源（其它的內存分區分配給其它處理器）。NUMA 的概念跟緩存相關。處理器的速度要比內存快得多，因此數據總是被移動到更快的本地緩存，這里處理器訪

36、問的速度要比通用內存快得多。NUMA 本質上為每個處理器配置了獨有的整體系統緩存，減少了多處理器試圖訪問統一內存空間時的爭用和延遲。NUMA 與服務器虛擬化完全兼容，而且 NUMA 也可以支持任意一個處理器訪問服務器上的任何一塊內存區域。某個處理器當然可以訪問位于不同區域上的內存數據，但是需要更多本地 NUMA 節點之外的傳輸，并且需要目標 NUMA 節點的確認。這增加了整體開銷，影響了 CPU 和內存子系統的性能。NUMA 對虛擬機負載不存在任何兼容性問題，但是理論上虛擬機最完美的方式應該是在某個 NUMA 節點內。這可以防止處理器需要跟其它的 NUMA 節點交互，從而導致工作負載性能下降。

37、深信服的 aSV 支持 NUMA 技術，使得 hypervisor 和上層 OS 內存互連，這樣 OS 不會在 CPU 和 NUMA 節點之間遷移工作負載。深信服 aBos 一體機技術白皮書 15 SRSR-IOVIOV 2.3.3.22.3.3.2通常針對虛擬化服務器的技術是通過軟件模擬共享和虛擬化網絡適配器的一個物理端口，以滿足虛擬機的 I/O 需求，模擬軟件的多個層為虛擬機作了 I/O 決策，因此導致環境中出現瓶頸并影響 I/O 性能。aSV 虛擬化平臺提供的 SR-IOV 是一種不需要軟件模擬就可以共享 I/O 設備 I/O 端口的物理功能的方法，主要利用 iNIC 實現網橋卸載虛擬網

38、卡，允許將物理網絡適配器的 SR-IOV 虛擬功能直接分配給虛擬機，可以提高網絡吞吐量，并縮短網絡延遲，同時減少處理網絡流量所需的主機 CPU 開銷。技術原理：SR-IOV（Single Root I/O Virtualization）是 PCI-SIG 推出的一項標準，是虛擬通道（在物理網卡上對上層軟件系統虛擬出多個物理通道，每個通道具備獨立的 I/O 功能）的一個技術實現，用于將一個 PCIe 設備虛擬成多個 PCIe 設備，每個虛擬 PCIe 設備如同物理 PCIe 設備一樣向上層軟件提供服務。通過 SR-IOV 一個 PCIe 設備不僅可以導出多個 PCI 物理功能，還可以導出共享該

39、I/O 設備上的資源的一組虛擬功能，每個虛擬功能都可以被直接分配到一個虛擬機，能夠讓網絡傳輸繞過軟件模擬層，直接分配到虛擬機，實現了將 PCI 功能分配到多個虛擬接口以在虛擬化環境中共享一個 PCI 設備的目的，并且降低了軟加模擬層中的 I/O 開銷，因此實現了接近本機的性能。如圖所示，在這個模型中，不需要任何透傳，因為虛擬化在終端設備上發生，允許管理程序簡單地將虛擬功能映射到 VM 上以實現本機設備性能和隔離安全。SR-IOV 虛擬出的通道分為兩個類型：1、PF(Physical Function)是完整的 PCIe 設備，包含了全面的管理、配置功能，Hypervisor 通過 PF 來管理

40、和配置網卡的所有 I/O 資源。2、VF(Virtual Funciton)是一個簡化的 PCIe 設備，僅僅包含了 I/O 功能，通過 PF 衍生而來好象物理網卡硬件資源的一個切片，對于 Hypervisor 來說，這個 VF 同一塊普通的 PCIe 網卡一模一樣。通過 SR-IOV 可滿足高網絡 IO 應用要求，無需特別安裝驅動，且無損熱遷移、內存復用、虛擬機網絡管控等虛擬化特性。FaikFaik-raidraid 2.3.3.32.3.3.3一般情況下，當主機系統有多塊硬盤時，通過組建 Raid 以提升磁盤性能或提供磁盤冗余，往往成為人們的首選考量。當今主流 raid 實現方案大致可分為

41、三種：硬件 raid(hardware raid)：通過購買昂貴的 raid 卡實現。軟件 raid(software raid)：通過操作系統內軟件創建陣列，raid 處理開銷由CPU 負責。主板 raid(fake raid)：通過主板內建 raid 控制器創建陣列，由操作系統驅動識深信服 aBos 一體機技術白皮書 16 別。相對于昂貴的硬件，主板 raid(fake raid)就成了我們不錯的選擇。Fake raid 僅提供廉價的控制器，raid 處理開銷仍由 CPU 負責，因此性能與 CPU 占用基本與software raid 持平。aSV 3.7 融入了對 Fake-RAID 的

42、支持，現可支持 Fake-RAID 安裝與使用 Fake-RAID 存儲，目前可以使用 intel 模式的 raid0，raid1，raid5，raid10，LSI 模式的raid0 虛擬機生命周期管理 2.3.3.4虛擬機生命周期管理 2.3.3.4aSV 提供了虛擬機從創建至刪除整個過程中的全面管理，就像人類的生命周期一樣，虛擬機最基本的生命周期就是創建、使用和刪除這三個狀態。當然還包含如下幾個狀態：創建虛擬機 虛擬機開關機、重啟、掛起 虛擬機上的操作系統安裝 創建模板 更新虛擬機硬件配置 遷移虛擬機及/或虛擬機的存儲資源 分析虛擬機的資源利用情況 虛擬機備份 虛擬機恢復 刪除虛擬機 在虛

43、擬機生命周期內，虛擬機可能會在某一個時間點經歷上述這些狀態。aSV 提供了完善的虛擬機生命周期管理工具，我們可以通過對虛擬機生命周期的規劃，可以想要最大化的發揮虛擬機的作用。虛擬機熱遷移 2.3.3.5虛擬機熱遷移 2.3.3.5虛擬化環境中，物理服務器和存儲上承載更多的業務和數據，設備故障時造成的影響更大。aSV 虛擬化平臺提供虛擬機熱遷移技術，降低宕機帶來的風險、減少業務中斷的時間。aSV 虛擬機熱遷移技術是指把一個虛擬機從一臺物理服務器遷移到另一臺物理服務器上，即虛擬機保存/恢復(Save/Restore)。首先將整個虛擬機的運行狀態完整保存下來，同時可以快速的恢復到目標硬件平臺上，恢復

44、以后虛擬機仍舊平滑運行，用戶不會察覺到任何差異。虛擬機的熱遷移技術主要被用于雙機容錯、負載均衡和節能降深信服 aBos 一體機技術白皮書 17 耗等應用場景。aSV 虛擬化平臺熱遷移提供內存壓縮技術，使熱遷移效率提升一倍，可支持并發多達 4 臺虛擬機同時遷移。功能價值：1.在設備維護過程中，通過熱遷移手動將應用遷移至另一臺服務器，維護結束后再遷回來，中間應用不停機，減少計劃內宕機時間。2.可結合資源動態調度策略，例如在夜晚虛擬機負荷減少時，通過預先配置自動將虛擬機遷移集中至部分服務器，減少服務器的運行數量，從而降低設備運營能耗上的支出。2.3.4 aSV 的特色技術 aSV 的特色技術 虛擬機

45、的 HA 2.3.4.1虛擬機的 HA 2.3.4.1HA 全稱是 High Availability(高可用性)。在 aSV 環境中，如果出現部署了 HA 的虛擬機所在主機的物理口網線被拔出、或存儲不能訪問等出現的物理故障時，會將此虛擬機切換到其他的主機上運行，保障虛擬機上的業務正常使用。aSV 存在后臺進程，通過輪詢的機制，每隔 5s 檢測一次虛擬機狀態是否異常，發現異常時，切換 HA 虛擬機到其他主機運行。下面任意一種情況發生，都會觸發 HA 虛擬機切換主機，1、連續三次檢測到，虛擬機所連接的物理網卡被拔出（不包括網卡被禁用情況）2、連續兩次檢測到，虛擬機當前主機無法訪問虛擬機的存儲 通

46、過 aSV 的 HA 技術，對業務系統提供了高可用性，極大縮短了由于各種主機物理或者鏈路故障引起的業務中斷時間。動態資源調度 2.3.4.2動態資源調度 2.3.4.2在虛擬化環境中，如果生產環境的應用整合到硬件資源相對匱乏的物理主機上，虛擬機的資源需求往往會成為瓶頸，全部資源需求很有可能超過主機的可用資源，這樣業務系統的性能也無法保障。aSV 虛擬化管理平臺提供的動態資源調度技術，通過引入一個自動化機制，持續地動態平衡資源能力，將虛擬機遷移到有更多可用資源的主機上，確保每個虛擬機在任何節點都能及時地調用相應的資源。即便大量運行對 CPU 和內存占用較高的虛擬機（比如數據庫虛擬機），只要開啟了

47、動態資源調度功能，就可實現全自動化的資源分配和負載平衡功能，也可以顯著地降低數據中心的成本與運營費用。aSV 的動態資源調度功能其實現原理：通過跨越集群之間的心跳機制，定時監測集群內主機的 CPU 和內存等計算資源的利用率，并根據用戶自定義的規則來判斷是否 深信服 aBos 一體機技術白皮書 18 需要為該主機在集群內尋找有更多可用資源的主機，以將該主機上的虛擬機通過虛擬機遷移技術遷移到另外一臺具有更多合適資源的服務器上，或者將該服務器上其它的虛擬機遷移出去，從而保證某個關鍵虛擬機的資源需求。多多 USBUSB 映射映射 2.3.4.32.3.4.3當物理服務器部署虛擬化之后。其中類似金蝶等需

48、要通過 usb key 進行應用加密的服務器，轉化到虛擬化后，需要將插在虛擬化平臺上的硬件 key，映射給虛擬機，而且需要滿足虛擬機熱遷移、跨主機映射的需求。業界給出的方案有三種：一、采用主機映射：直接采用主機映射的方式來完成，缺點是不支持網絡映射,無法支持熱遷移、網絡映射的需求。二、采用 Usb Anywhere：通過使用中間設備，將中間設備 IP 化，然后在虛擬機上安裝驅動并配置對端設備的方式進行的。缺點是需要 guest 虛擬機內部進行修改安裝特定軟件，與第三方應用進行配合才能完成。三、采用底層硬件虛擬化加網絡代理：支持熱遷移、網絡映射、無需修改 guest機內部。最終實現，物理設備遷移

49、到虛擬化平臺后，可以直接無縫的操作讀取原 usb硬件設備。同時解決上述兩種方案中的缺陷，破除了在虛擬化推廣中外設映射造成的阻礙。熱遷移功能的實現機制：由于整體方案是基于網絡代理處理，所以在遷移到對端設備，進行虛擬機切換時，發送消息，觸發 usb 服務程序修改連接的目的端 ip，然后發起網絡重連。隧道一旦重連成功，usb 設備通信隨即恢復，對于 guest 上層來說，是無感知的。aSV 采用上述的第三種方案，融入了對多 USB 的支持，帶來的優勢有：1、usb 設備動態插入提示 2、guest 虛擬機無需安裝插件；3、能支持熱遷移，跨主機映射，適應 VMP 集群環境；4、虛擬機遷移完成可以自動掛

50、載上原 usb 設備；5、可以簡化集成為類似 usb hub 的小設備，與 VMP 配套，搭建 usb 映射環境；6、虛擬機故障重啟、目標端 usb 設備網絡中斷等異常情況恢復后自動重映射。2.4 aNetaNet 網絡網絡設備設備虛擬化虛擬化 2.4.1 網絡網絡設備設備虛擬化概述虛擬化概述 網絡虛擬化也是構建 aBos 一體機中非常重要的一部分，在私有云、公有云發展迅 深信服 aBos 一體機技術白皮書 19 速的今天，我們分支機構 IT 基礎架構如果繼續采用傳統 IT 架構中硬件方式定義網絡的話，就會存在諸多問題：1、如何保障分支網絡設備單點故障問題，雙機部署必然帶來高成本。2、虛擬化后

51、的分支數據中心涉及多出口，如何識別流量，只能訪問到公有云或者總部數據中心。3、對如何滿足分支機構快速部署網絡設備，靈活擴展分支業務，提出了更高的要求。4、分支業務需要安全防護，部分數據如何保證安全清洗后傳輸到數據中心。6、高昂的專線線路，如何實現 VPN 替換，滿足廣域網鏈路優化。7、集團業務龐大，多分支機構的集中管理如何智能化，能否實現分支“ZERO IT”?；谏鲜鰡栴}，深信服采用了業界成熟的 NFV 的解決方案，我們稱之為 aNet，通過 NFV 實現網絡中的所需各類網絡功能資源（包括基礎的路由交換、安全防護、上網行為管理、IPSEC VPN、廣域網優化等）按需分配和靈活調度，從而實現

52、aBos 超融合架構中的網絡虛擬化。除此之外，可以按需交付功能模塊即可滿足業務需求。2.4.2 aNETaNET 網絡虛擬化技術原理網絡虛擬化技術原理 NFVNFV 2.4.2.12.4.2.1以開放取代封閉，以通用替代專有將原本傳統的專業網元設備上的網絡功能提取出來虛擬化，運行在通用的硬件平臺上，業界稱這種變化為 NFV。N F V（Network Functions Virtualisation 網絡功能虛擬化）的目標是希望通過廣泛采用的硬件承載各種各樣的網絡軟件功能，實現軟件的靈活加載，在數據中心、網絡節點和用戶端等各個位置靈活的配置，加快網絡部署和調整的速度，降低業務部署的復雜度及總體

53、投資成本，提高網絡設備的統一化、通用化、適配性。NFV 與 SDN 有很強的互補性，NFV 增加了功能部署的靈活性，SDN 可進一步推動NFV 功能部署的靈活性和方便性。通過 NFV 技術，將網絡功能資源進行虛擬化，使得網絡資源升級為虛擬化、可流動的流態資源，Overlay 模型使流態網絡資源的流動范圍跳出了物理網絡的束縛，可以在全網范圍內按需流動，呈現出網絡資源的統一池化狀態，最終實現了超融合架構中網絡資源的靈活定義、按需分配、隨需調整。aNet 底層的實現-高性能平臺 aNet 的實現主要包含兩個層面：數據平面和控制平面。深信服 aBos 一體機技術白皮書 20 傳統數據平面：在典型的虛擬

54、化網絡場景下，數據包將由網絡接口卡接收，然后進行分類并生成規定的動作，并對數據包付諸實施。在傳統的 Linux 模式下，系統接收數據包和將數據包發送出系統的過程占了包處理中很大一部分時間，換句話說，即使用戶空間應用程序什么都不做，而只是將數據包從接收端口傳送到發送端口，那么仍然會花費大量的處理時間。當網卡從網絡接收到一個數據幀后，會使用直接內存訪問（DMA）將數據幀傳送到針對這一目的而預先分配的內核緩沖區內，更新適當的接收描述符環，然后發出中斷通知數據幀的到達。操作系統對中斷進行處理，更新環，然后將數據幀交給網絡堆棧。網絡堆棧對數據進行處理，如果數據幀的目的地是本地套接字，那么就將數據復制到該

55、套接字，而擁有該套接字的用戶空間應用程序就接收到了這些數據。進行傳輸時，用戶應用程序通過系統調用將數據寫入到一個套接字，使 Linux 內核將數據從用戶緩沖區復制到內核緩沖區中。然后網絡堆棧對數據進行處理，并根據需要對其進行封裝，然后再調用網卡驅動程序。網卡驅動程序會更新適當的傳輸描述符環，并通知網卡有一個等待處理的傳輸任務。網卡將數據幀從內核緩沖區轉移到自己內置的先進先出（FIFO）緩沖區，然后將數據幀傳輸到網絡。接著網卡會發出一個中斷，通知數據幀已經成功傳輸，從而使內核釋放與該數據幀相關的緩沖區。傳統模式下 CPU 損耗主要發生在如下幾個地方：中斷處理：這包括在接收到中斷時暫停正在執行的任

56、務，對中斷進行處理，并調度 soft IRQ 處理程序來執行中斷調用的實際工作。隨著網絡流量負荷的增加，系統將會花費越來越多的時間來處理中斷，當流量速度達到 10G 以太網卡的線路速度時就會嚴重影響性能。而對于有著多個 10G 以太網卡的情況，那么系統可以會被中斷淹沒，對所有的服務產生負面影響。上下文切換：上下文切換指的是將來自當前執行線程的寄存器和狀態信息加以保存，之后再將來自被搶占線程的寄存器和狀態信息加以恢復，使該線程能夠從原先中斷的地方重新開始執行。調度和中斷都會引發上下文切換。系統調用：系統調用會造成用戶模式切換到內核模式，然后再切換回用戶模式。這會造成管道沖刷并污染高速緩存。數據復

57、制：數據幀會從內核緩沖區復制到用戶套接字，并從用戶套接字復制到內核緩沖區。執行這一操作的時間取決于復制的數據量。調度：調度程序使每個線程都能運行很短的一段時間，造成多任務內核中并發執 深信服 aBos 一體機技術白皮書 21 行的假象。當發生調度定時器中斷或在其他一些檢查時間點上，Linux 調度程序就會運行，以檢查當前線程是否時間已到。當調度程序決定應該運行另一個線程時，就會發生上下文切換。aNetaNet 底層的實現底層的實現-構建高性能平臺構建高性能平臺 2.4.2.22.4.2.2l 數據平面數據平面 Linux 等通用操作系統，必須公平地對待網絡應用程序和非網絡應用程序，導致設計上達

58、不到高 IO 吞吐，深信服的 aNet 數據面設計上，借鑒了 netmap 和 dpdk 的方案，針對數據 IO 密集型網絡應用程序設計。1.支持專有網卡和通用網卡 對于 Intel 和 Broadcom 的 e1000e，igb，ixgbe，bnx2，tg3，bnx2x 等可編程網卡，支持高性能方案，對 e1000 等網卡，支持通用方案。保證硬件兼容性。2.跨內核跨進程的全局內存池 深信服設計并實現了零拷貝的數據面環境，一個跨內核跨進程的全局內存引用機制，真正做到網卡收包一次拷貝，所有進程共享引用的方式，數據可以從網卡傳送到內核、應用層、虛擬機而無需再次拷貝。內存池自動增長，自動回收。3.避

59、免中斷處理和上下文切換 單數據線程親和鎖定到硬件線程，避免內核和用戶空間之間的上下文切換、線程切換和中斷處理，同時每個線程有直接的高速緩沖，避免了緩沖區爭用。在理想情況下，當數據包到達系統時，所有處理該數據包所需的信息最好都已經在內核的本地高速緩存中。我們可以設想一下，如果當數據包到達時，查找表項目、數據流上下文、以及連接控制塊都已經在高速緩存中的話，那么就可以直接對數據包進行處理，而無需“掛起”并等待外部順序內存訪問完成。4.應用層數據面更穩定 內核態的小 BUG，可能導致系統宕機，而應用層進程，最糟糕的情況是進程死掉，我們設計了檢測監控機制，在最極端的情況，即使進程意外死亡，也能秒級別做到

60、虛擬機無感知的網絡恢復。數據平面負責報文的轉發，是整個系統的核心，數據平面由多個數據轉發線程和一個控制線程組成，控制線程負責接收控制進程配置的消息，數據線程是實現報文的處理。在數據線程中實現快速路徑與慢速路徑分離的報文處理方式，報文的轉發是基于session 的，一條流匹配到一個 session，該條流的第一個報文負責查找各種表項，創建 session，并將查找表項的結果記錄到 session 中，該條流的后續的報文只需查找深信服 aBos 一體機技術白皮書 22 session，并根據 session 中記錄的信息對報文進行處理和轉發的。系統中所有的報文都是由數據線程接收的，需要做轉發的報文

61、，不需要送到linux 協議棧，直接在數據線程中處理后從網卡發出，對于到設備本身的報文(如 ssh，telnet，ospf,bgp,dhcp 等等)，數據線程無法直接處理，通過 TUN 接口將報文重新送到 linux 協議棧處理，從 linux 協議棧的發出的報文需經過數據線程中轉后才可從折本發出。aNet 數據層面，在六核 2.0 GHz 英特爾至強處理器 L5638 上使用最長前綴匹配（LPM）時，對于使用六個核心中的四個核心、每個核一個線程、四個 10G 以太網端口的情況，64 字節數據包的 IP 第三層轉發性能達到了 900 萬 pps。這比原始 Linux 的性能差不多提高了九倍（原

62、始 Linux 在雙處理器六核 2.4GHz 模式下的性能為 100 萬 pps）。數據面為底層處理和數據包 IO 提供了與硬件打交道的功能，而應用層協議棧在上方提供了一個優化的網絡堆棧實現。與 Linux SMP 解決方案相比，降低了對 Linux 內核的依賴性，從而具有更好的擴展性和穩定性。l控制平面 控制平面 有了數據面和協議棧做支持，控制面就可以實現豐富的應用功能?？刂泼鎸崿F了本地配套服務，一些基礎功能例如 DHCP 服務，RSTP 服務，DNS 代理功能。這些內置服務可以直接提供給虛擬機，用戶無需安裝第三方類似軟件。2.4.3 aNet 功能特性 aNet 功能特性 vAC 上網行為

63、管理 2.4.3.1vAC 上網行為管理 2.4.3.1 在分支網絡建設中，上網行為管理是必不可少的網絡設備。不僅能夠滿足分支員工上網行為的審計，同時進行流量控制保證分支核心業務的正常使用。除此之外，實現應用控制規范化員工的上網行為，對分支私接 WiFi 進行管理，保證內網環境不泄露。1、全網全終端統一管控、管理無漏洞 1、全網全終端統一管控、管理無漏洞 能夠管理有線網絡、無線網絡，同時管理移動終端、PC/筆記本，管理無漏洞；能夠對 600 多種移動應用進行有效地識別和精細管控（如微信傳文件、微信聊天、微信朋友圈、微信游戲）；對非法無線熱點能夠及時發現和精準控制，秒級識別非法熱點；能夠基于位置

64、、應用、終端、用戶四維一體的識別與權限控制；2、上網行為管控更有效：上網應用識別更有效、管控更精細 2、上網行為管控更有效：上網應用識別更有效、管控更精細 深信服 aBos 一體機技術白皮書 23 具備全國最大的應用識別特征庫和 URL 庫，應用識別種類更多，并且每 2 周更新和淘汰一次，時效性更強、準確度更高?？梢詫ρ咐?、PPStream、風行等應用全流量識別；應用控制更精細，可區分應用動作（如社交網站的瀏覽、發帖回帖、上傳）、區分方向（如網盤的上傳、下載）進行管控；應用行為標簽化管理，做到對指定類別的應用進行批量管理，策略部署更簡單。3 3、上網行為管控更有效：流量管理更精準、控制保障兩不

65、誤、上網行為管控更有效：流量管理更精準、控制保障兩不誤 P2P 智能流控技術：精確控制 P2P 上下行流量，相比市場上其他 P2P 控制技術，AC 可提高 30%以上的帶寬利用率；動態流控技術：根據具體的帶寬空閑程度和業務需要，受限的通道可以突破上限，提高帶寬利用率和用戶體驗；流量管理策略更靈活，呈現更直觀（能夠針對 URL 類型、文件類型做流控，通道流量實時可視化以及細粒度的可視化報表）。4 4、上網行為管控更有效：外發數據識別更精確，真正防泄密、上網行為管控更有效：外發數據識別更精確，真正防泄密 具備業界最好的內容識別與管控技術，可以對多種外發途徑的數據進行有效管控（如網盤上傳附件控制、論

66、壇上傳附件控制、郵件外發附件審計與控制、IM外發文件控制等）；可以對 SSL 加密內容精準識別與控制（如郵件客戶端收發加密郵件、加密論壇審計等）。vAFvAF 下一代防火墻下一代防火墻 2.4.3.22.4.3.2在構建分支 IT 基礎架構中，安全是其中必不可少一環，內網業務、終端的安全防護是分支 IT 建設的重中之重。深信服下一代防火墻是面向應用層設計，能夠精確識別用戶、應用和內容，具備完整安全防護能力，能夠全面替代傳統防火墻，并具有強勁應用層處理能力的全新網絡安全設備。1 1、精細的應用安全訪問控制、精細的應用安全訪問控制 區別于傳統的網絡層防火墻，NGAF 具備 L2-L7 層的協議的理

67、解能力。不僅能夠實現網絡層訪問控制的功能，且能夠對應用進行識別、控制、防護，解決了傳統防火墻應用層控制和防護能力不足的問題。（1）可視化的應用識別 深信服 aBos 一體機技術白皮書 24 圖：智能的用戶與應用的識別能力圖：智能的用戶與應用的識別能力 NGAF 具有卓越的應用可視化功能，通過多種應用識別技術形成國內最大的應用特征識別庫，可精確識別內外網的采用端口跳躍、端口逃逸、多端口、隨機端口的各類應用，為下一代防火墻實現用戶與應用的精細化訪問控制提供技術基礎。（2）智能用戶身份識別 NGAF 用戶識別功能可以與 8 種認證系統（AD、LDAP、Radius 等）、應用系統（POP3、SMTP

68、 等）無縫對接，通過單點登錄的方式自動識別出網絡當中 IP 地址對應的用戶信息，并建立組織的用戶分組結構。（3）面向用戶與應用的控制策略 區別于傳統防火墻的五元組訪問控制策略，下一代防火墻可通過應用可視化功能與用戶識別技術結合制定的 L3-L7 一體化應用控制策略,可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設備的運維工作，提升工作效率。深信服 aBos 一體機技術白皮書 25 圖：基于用戶和應用的訪問控制策略 圖：基于用戶和應用的訪問控制策略 2、全面的應用安全防護能力 2、全面的應用安全防護能力 能夠防護 web 攻擊，與 web 應用防火墻關注 web 應用程序安全的設計

69、理念不同，深信服下一代防火墻 NGAF 關注 web 系統在對外發布的過程中各個層面的安全問題，為對外發布系統打造堅實的防御體系。（1）強化 web 攻擊防護 深信服下一代防火墻 NGAF 采用攻擊特征+主動防御相結合的雙重防護模式，可有效保護 web 業務安全。攻擊特征的防護模式有效結合了 web 攻擊的靜態規則及基于黑客攻擊過程的動態防御機制，提供 OWASP 定義的十大安全威脅的攻擊防護功能，有效防止常見的 web 安全威脅。如 SQL 注入、XSS 跨站腳本、CSRF 跨站請求偽造，敏感信息泄露等，主動模式可提供參數類型學習的主動防御和自定義參數防護等個性化配置，保護 web 系統免受

70、網站篡改、網頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題。（2）基于應用的深度入侵防御 NGAF 基于應用的深度入侵防御采用六大威脅檢測機制：攻擊特征檢測、特殊攻擊檢測、威脅關聯分析、異常流量檢測、協議異常檢測、深度內容分析能夠有效的防止各類已知未知攻擊，實時阻斷黑客攻擊。如，緩沖區溢出攻擊、利用漏洞的攻擊、協議異常、蠕蟲、木馬、后門、DoS/DDoS 攻擊探測、掃描、間諜軟件、以及各類 IPS 逃逸攻擊等。（3）高效精確的病毒檢測能力 NGAF 提供先進的病毒防護功能，可從源頭對 HTTP、FTP、SMTP、POP3 等協議流 深信服 aBos 一體機技術白皮書 26 量中進行病毒查

71、殺，也可查殺壓縮包（zip，rar，gzip 等）中的病毒。同時采用高效的流式掃描技術，可大幅提升病毒檢測效率避免防病毒成為網絡安全的瓶頸。（4）DOS/DDOS 攻擊防護 NGAF 可防護基于數據包的 DOS 攻擊、IP 協議報文的 DOS 攻擊、TCP 協議報文的DOS 攻擊、基于 HTTP 協議的 DOS 攻擊等，實現對網絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護，實現 L2-L7 層的異常流量清洗。3 3、獨特的雙向內容檢測技術、獨特的雙向內容檢測技術 區別于傳統 DPI 技術的入侵防御系統，深信服 NGAF 具備深入應用內容的威脅分析能力，具備雙向的內容檢測能力為用戶提供完整的應

72、用層安全防護功能。圖：雙向內容檢測圖：雙向內容檢測 （1 1）可定義的敏感信息防泄漏）可定義的敏感信息防泄漏 NGAF 提供可定義的敏感信息防泄漏功能，根據儲存的數據內容可根據其特征清晰定義，通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內容進行有效識別、報警并阻斷，深信服 aBos 一體機技術白皮書 27 防止大量敏感信息被非法泄露。（如：用戶信息/郵箱賬戶信息/MD5 加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼）（2）僵尸網絡檢測隔離（2）僵尸網絡檢測隔離 NGAF 獨有的僵尸網絡檢測隔離功能，應用 NG

73、AF 對外發流量的檢測能夠判斷服務器或終端由于中了病毒木馬向外發起的惡意流量。該功能融合了僵尸網絡識別庫，利用業界領先的僵尸網絡識別檢測技術對黑客的攻擊行為進行有效識別，針對以反彈式木馬為代表的惡意軟件進行深度防護，可識別僵尸網絡流量達 15 萬條，并由深信服攻防團隊實時更新。同時，深信服 NGAF 正在完善安全云平臺，部署在全球各地的深信服下一代防火墻設備可以自動或手動上傳可疑的應用流量到安全云平臺，平臺會自動分析，形成新的惡意軟件識別策略下發到全球所有設備的規則庫上。（3）應用協議內容隱藏（3）應用協議內容隱藏 NGAF 可針對主要的服務器（WEB 服務器、FTP 服務器、郵件服務器等）反

74、饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。如：HTTP 出錯頁面隱藏、響應報頭隱藏、FTP 信息隱藏等（4）用戶登錄權限防護（4）用戶登錄權限防護 NGAF 可以針對特定的服務或者 web 頁面提供登陸保護，通過發送短信驗證碼的方式針對敏感信息和應用提供強認證保護。用戶訪問到該頁面或應用的時候需要經過短信的二次認證，增強敏感頁面或應用的安全系數；該功能能夠帶來的價值：1、對重要的頁面（如管理員頁面）進行防護，防止通過社會工程、暴力破解拿到正常管理員的賬號密碼；2、可實現敏感頁面的雙因子強認證提高安全性，防止敏感頁面開放于公網或辦公網；廣域網加速 2.4.3.31、訪

75、問提速 廣域網加速 2.4.3.31、訪問提速 提高應用系統訪問速度，保障 VPN 跨網訪問質量；(1)針對跨運營商或線路質量不好的網絡高丟包高延時的情況，采用 HTP 技術進行優深信服 aBos 一體機技術白皮書 28 化，大幅降低丟包率，并提升高延時下訪問速度。(2)替換專線后的加速 VPN 線路上承載 OA、辦公及視頻會議等系統，通過應用加速技術實現對 OA 等核心系統的訪問提速，針對視頻會議在跨運營商線路上的優化，消除馬賽克保障視頻會議高效穩定流暢。(3)針對辦公文件、財務數據等應用數據通過緩存壓縮進行流量削減，降低帶寬的壓力，提高交付效率，提升帶寬價值。2、流量可視化管理 2、流量可

76、視化管理 (1)流量可視化：對當前線路的流量組成進行分析，再進行有效的管理。(2)VPN 帶寬保障、上網應用流控：對 VPN通道內的應用系設置帶寬保障流量整形，并對上網應用基于用戶、應用、時間三元素進行使用權限控制及流量分配，防止因 P2P、視頻等無關工作應用擠占帶寬，保障VPN、上網可用性。aSW 虛擬分布式交換機 2.4.3.4aSW 虛擬分布式交換機 2.4.3.4虛擬分布式交換機是管理多臺主機上的虛擬交換機的虛擬網絡管理方式，包括對主機的物理端口和虛擬機虛擬端口的管理。aSV 虛擬化平臺提供的虛擬分布式交換機就是把分布在集群中多臺主機的單一交換機邏輯上組成一個大的集中式交換機，減少每臺

77、虛擬交換機需要單獨分別配置過程，同時為集群級別的網絡連接提供一個集中控制點，使虛擬環境中的網絡配置不再以主機為單位，簡化虛擬機網絡連接的部署、管理和監控，適合于大規模的網絡部署。虛擬分布式交換機可以保證虛擬機在主機之間遷移時網絡配置的一致性，同時提供豐富的網絡配置管理功能，端口動態綁定，靜態綁定，IP 接入控制、虛擬機網絡 Qos，實現網絡資源統一管理，實時化網絡監控。2.4.4 深信服 aNet 的特色技術 深信服 aNet 的特色技術 所畫即所得業務邏輯拓撲 2.4.4.1所畫即所得業務邏輯拓撲 2.4.4.1所畫即所得的業務邏輯呈現，是深信服超融合架構中，非常具有特色的技術功能，由于 a

78、SV、aSAN 已將計算和存儲的資源池拉通，結合 aNet 提供的網絡資源池，從而為業務邏輯拓撲的搭建提供了各種元素，通過管理平面便可從資源池中調取相應的資源，即可呈現出不同的拓撲架構。當從管理頁面，構建業務邏輯拓撲時候，整個超融合架構底層，會執行大量的動作和指令，并且根據業務邏輯拓撲進行底層真實的環境模擬，深信服 aBos 一體機技術白皮書 29 從而屏蔽了底層的復雜性，方便 IT 管理人員可以更快速，簡單，直觀的方式構建數據中心各個業務所需的邏輯拓撲。2.5 aSAN 存儲虛擬化 aSAN 存儲虛擬化 2.5.1 存儲虛擬化概述 存儲虛擬化概述 aSAN 是深信服在充分掌握了用戶對虛擬化環

79、境存儲方面的需求基礎上，推出以aSAN 分布式存儲軟件為核心的解決方案，aSAN 是基于分布式文件系統 Glusterfs 開發的面對存儲虛擬化的一款產品，并作為 aBos 超融合架構中的重要組成部分，為云計算環境而設計，融合了分布式緩存、SSD 讀寫緩存加速、多副本機制保障、故障自動重構機制等諸多存儲技術，能夠滿足關鍵業務的存儲需求，保證客戶業務高效穩定可靠的運行。2.5.2 aSAN 技術原理 aSAN 技術原理 aSAN 基于底層 Hypervisor 之上，通過主機管理、磁盤管理、緩存技術、存儲網絡、冗余副本等技術，管理集群內所有硬盤，“池化”集群所有硬盤存儲的空間，通過向 VMP 提

80、供訪問接口，使得虛擬機可以進行業務數據的保存、管理和讀寫等整個存儲過程中的操作。文件副本 2.5.2.1文件副本 2.5.2.1由于下一節磁盤管理的策略與副本設置有直接管理，因此在講解磁盤管理前，我們要先介紹文件副本技術。所謂文件副本，即將文件數據保存多份的一種冗余技術。aSAN 副本顆粒度是文件級別。例如兩個副本，即把文件 A 同時保存到磁盤 1 和磁盤 2 上。并且保證在無故障情況下，兩個副本始終保持一致。技術特點：存儲池可用空間=集群全部機械磁盤空間/副本數（同構情況），因此副本是會降低實際可用容量的。深信服 aBos 一體機技術白皮書 30 底層管理的副本對上層服務是透明的，上層無法感

81、知副本的存在。磁盤管理、副本分布由底層服務負責，副本顆粒度是文件級。在沒有故障等異常情況下，文件副本數據是始終一致的，不存在所謂主副本和備副本之分。如果對文件 A 進行修改，如寫入一段數據，這段數據會被同時寫到兩個副本文件。如果是從文件 A 讀取一段數據，則只會從其中一個副本讀取。磁盤管理磁盤管理 2.5.2.22.5.2.2aSAN 的環境中，可以實現單臺、兩臺主機節點來構建 aSAN，實現兩副本的存儲資源池，保證數據安全性。在多主機集群下，采用兩個副本副本組建 aSAN 的磁盤管理。若需要在保證主機故障而不影響數據完整性的目標，復制卷的磁盤組的每個磁盤都必須是在不同主機上。即需要做到跨主機

82、副本?？缰鳈C副本的關鍵在于復制卷磁盤分組算法。以下面場景為列（兩臺主機，每臺主機各三塊磁盤組建兩個副本）：當構建兩副本，并且兩臺主機磁盤數相同時。主機間的磁盤會一一對應組成復制卷。邏輯視圖如下：深信服 aBos 一體機技術白皮書 31 從邏輯視圖上，可以看出來和前面提到的單主機邏輯視圖并沒有本質上的區別，只是最底層的磁盤分組時，保證了復制卷內下面的磁盤不在同一主機內，從而達到了文件跨主機副本的目標。SSD 讀緩存加速原理 2.5.2.3SSD 讀緩存加速原理 2.5.2.3在 aSAN 里面，會默認把系統內的 SSD 磁盤作為緩存盤使用，下面介紹 aSAN SSD讀緩存原理。首先需要區分 aS

83、AN 客戶端和服務端概念。在 aSAN 里面，負責處理底層磁盤 IO 稱為服務端；負責向上層提供存儲接口（如訪問的掛載點）稱為客戶端。aSAN SSD 讀緩存工作在客戶端,（注意：aSAN 的 SSD 寫緩存則工作在服務端）。邏輯視圖如下：深信服 aBos 一體機技術白皮書 32 下面拋開底層的分布卷、復制卷、磁盤分組等概念，僅在客戶端上理解 SSD 讀緩存的原理。SSD 讀緩存的緩存顆粒度是按文件數據塊緩存，不是文件整體。例如，A、B、C 三個文件，可以分別各緩存讀過的一部分數據，沒讀過的部分不緩存。簡單地看，SSD 讀緩存模塊工作在文件訪問入口和服務端通信層之間。所有對文件的 IO 動作都

84、會經過 SSD 讀緩存模塊進行處理。下面分別針對首次文件讀取、二次文件讀取、文件寫入 3 個過程說明工作流程。l首次文件讀取 首次文件讀取 未緩存數據塊的首次讀操作步驟說明：1.從上層下來一個針對 A 文件的區間塊 A1，A2 的讀操作，由于該數據塊是首次讀取，沒命中 SSD 讀緩存。該讀操作會直接傳遞到下去，進入流程 2。2.A1，A2的讀操作繼續傳遞到服務端，進行具體的讀操作，完成后返回，進深信服 aBos 一體機技術白皮書 33 入流程 3 3.數據塊A1，A2在流程 3 里面返回到 SSD 讀緩存模塊，進入流程 4 4.SSD 讀緩存模塊會把數據塊A1，A2復制一份保存到 SSD 磁盤

85、并建立相關索引，對應 4.1。原數據塊A1，A2繼續往上返回到上層響應讀操作，對應 4.2。注意 4.1、4.2 是并發進行，因此這個緩存動作不會對原操作造成延時。5.至此，數據塊A1，A2就被保存到 SSD 磁盤內，以備下次讀取直接從 SSD 磁盤讀取。l二次文件讀取二次文件讀取 針對已緩存數據塊的二次讀取步驟說明：假設數據塊A1，A2已經緩存到 SSD 磁盤內，1.從上層下來一個同樣是針對 A 文件的區間塊 A1，A2 的讀操作。2.由于該數據塊A1，A2已經有緩存，在 SSD 讀緩存模塊里面命中索引，從而直接向 SSD 磁盤發起讀出緩存數據塊A1，A2的操作。3.緩存數據塊A1，A2從

86、SSD 磁盤返回到 SSD 讀緩存模塊，進入流程 4 4.SSD 讀緩存模塊把緩存數據塊A1，A2返回給上層。至此，對緩存數據塊A1，A2的重復讀取直接在客戶端返回，避免了服務端通信的流程，從而減少了延時和減輕了底層磁盤的 IO 壓力。l文件寫入 文件寫入 雖然當前 aSAN 實現的讀緩存，但對于讀緩存模塊對于文件寫入操作，也需要做相應的處理，以保證緩存的內容始終和底層磁盤一致，并且是最新的，但這個針對文件寫入的處理并不是寫緩存。aSAN 讀緩存模塊對寫操作進行處理實質是基于最近訪問原則，即最近寫入的數據深信服 aBos 一體機技術白皮書 34 在不久的將來被讀出的概率會比較高，例如文件共享服

87、務器，某人傳到文件服務器的文件，很快會其他人讀出來下載。aSAN 讀緩存對寫操作的處理從實現上分為首次寫預緩存、二次寫更新緩存。n文件塊首次寫預緩存 文件塊首次寫預緩存 流程說明：假設數據塊A1,A2是首次寫入。1.寫操作寫來經過 SSD 讀緩存模塊。由于是寫操作，SSD 讀緩存會直接 PASS 到下層 2.寫操作一直傳遞到服務端，寫入到底層磁盤，操作完成后會返回結果，進入流程 3 3.返回結果經過 SSD 讀緩存模塊，如果返回結果是成功的，表示底層數據已經成功寫入，則進入流程 4。如果返回結果是失敗，則不會進入流程 4，而是直接返回結果到上層。4.SSD 讀緩存模塊會把數據塊A1，A2復制一

88、份保存到 SSD 磁盤并建立相關索引，對應 4.1。原返回結果繼續往上返回到上層響應讀操作，對應 4.2。注意4.1、4.2 是并發進行，因此這個緩存動作不會對原操作造成延時。至此，數據塊A1,A2的寫入也會保存到 SSD 磁盤上，以備下次訪問。下次訪問的流程與二次文件讀取流程相同，從而提升了下次訪問數據的速度。n文件塊二次寫更新緩存 文件塊二次寫更新緩存 SSD 讀緩存文件塊寫更新是指對 SSD 讀緩存已緩存的數據塊進行更新的動作。深信服 aBos 一體機技術白皮書 35 假設數據塊A1,A2原來已經有緩存了，現在上層再次對 A1,A2 來一次寫操作（例如更新內容）。1.寫操作寫來經過 SS

89、D 讀緩存模塊，由于是寫操作，SSD 讀緩存會直接 PASS 到下層 2.寫操作一直傳遞到服務端，寫入到底層磁盤，操作完成后會返回結果，進入流程 3 3.返回結果經過 SSD 讀緩存模塊，如果返回結果是成功的，表示底層數據已經成功寫入，可以更新 SSD 讀緩存數據，進入流程 4。如果返回結果是失敗，則不會進入更新流程。4.SSD 讀緩存模塊會把數據塊A1，A2復制一份更新到 SSD 磁盤并建立相關索引，對應 4.1。原返回結果繼續往上返回到上層響應讀操作，對應 4.2。注意4.1、4.2 是并發進行，因此這個緩存動作不會對原操作造成延時。SSD 寫緩存加速原理 2.5.2.4SSD 寫緩存加速

90、原理 2.5.2.4SSD 寫緩存工作在服務端。由于寫緩存工作在服務端，也就是說在每個副本上都有寫緩存，即 SSD 寫緩存也是多副本的。即使有 SSD 磁盤突然損壞，也能在副本數范圍內保證數據的安全。深信服 aBos 一體機技術白皮書 36 lSSD 寫緩存模塊結構 SSD 寫緩存模塊結構 SSD 寫緩存原理是在機械硬盤上增加一層 SSD 寫緩存層，見下圖：SSD 寫緩存數據流分成藍色和紅色兩部分。這兩部分是同時在運行的，沒有先后關系。藍色部分是虛擬機有數據寫入 SSD 緩存，紅色部分是從 SSD 緩存讀出數據回寫到機械磁盤。流程如下：1.上層寫入數據請求到達 SSD 寫緩存模塊 2.SSD

91、寫緩存模塊把數據寫入到 SSD 磁盤，并獲得返回值。3.SSD 寫緩存模塊在確定數據寫入 SSD 磁盤后，即立即返回上層模塊寫入成功 4.SSD 寫緩存模塊在緩存數據累計到一定量后，從 SSD 磁盤讀出數據 5.SSD 寫緩存把從 SSD 磁盤讀出的數據回寫到機械磁盤。其中，第 4、5 步是在后臺自動進行的，不會干擾第 1、2、3 步的邏輯。深信服 aBos 一體機技術白皮書 37 l SSDSSD 寫緩存數據讀命中寫緩存數據讀命中 從 SSD 磁盤回寫到機械磁盤是需要累積一定數據量后才會進行觸發的。這時如果來了一個讀數據的請求，SSD 寫緩存模塊會先確認該讀請求是否在 SSD 寫緩存數據內，

92、如果有則從 SSD 緩存內返回；如果沒有則透到機械硬盤去讀取。流程說明：1.上層下發讀請求 2.SSD 寫緩存模塊先檢查數據是否還在緩存內未回寫 3.命中緩存，返回數據（如果不命中緩存，則會返回從底層數據盤讀?。?.向上層返回數據 l SSDSSD 寫緩存寫滿后處理寫緩存寫滿后處理 如果上層持續對 SSD 寫緩存進行大量不間斷的數據寫入，直到 SSD 寫緩存空間用完。這時的上次繼續寫入數據的速度就會下降至約等于寫緩存回寫機械盤的速度。深信服 aBos 一體機技術白皮書 38 當 SSD 磁盤用滿時會出現寫入數據流速度=回寫數據流速度。在虛擬機層面看，就是寫入數據下降到機械盤速度。如果持續出現這

93、種情況，說明 SSD 磁盤容量不足以應對業務 IO 寫性能，需要增加 SSD 緩存盤解決。l 當當 SSDSSD 磁盤故障或離線時的處理磁盤故障或離線時的處理 如前文所說，SSD 寫緩存工作于服務端，有多副本機制。在多主機多副本場景下，如果一個 SSD 磁盤損壞后，其他副本的 SSD 還正常情況下，對數據安全不會造成影響。一旦 SSD 離線超過 10 分鐘，緩存數據就視作失效，進入副本修復流程。由于所有數據都是被 SSD 接管的，因此如果是誤拔出 SSD 硬盤，需要在 10 分鐘內插回來，否則會認為該副本數據全部需要重建。2.5.3 aSANaSAN 存儲數據可靠性保障存儲數據可靠性保障 副本

94、修復是指當某個磁盤出現離線再上線后，保存在上面的文件副本可能是舊數據，需要按照其他在線的文件副本進行修復的一個行為。典型的情況是主機短暫斷網，導致副本不一致。通過采用副本快速修復技術，即對于短暫離線的副本，只修復少量差異數據，從而避免了整個文件進行對比修復，達到快速修改的目的，同時，aSAN 對業務 IO 和修復IO 做了優先級控制，從而避免了副本修復 IO 對業務 IO 的影響。2.5.4 深信服深信服 aSANaSAN 功能特性功能特性 存儲存儲自動自動精簡配置精簡配置 2.5.4.12.5.4.1自動精簡配置（Thin Provisioning）是一種先進的、智能的、高效的容量分配和深信

95、服 aBos 一體機技術白皮書 39 管理技術，它擴展了存儲管理功能，可以用小的物理容量為操作系統提供超大容量的虛擬存儲空間。并且隨著應用的數據量增長，實際存儲空間也可以及時擴展，而無須手動擴展。一句話而言，自動精簡配置提供的是“運行時空間”，可以顯著減少已分配但是未使用的存儲空間。如果采用傳統的磁盤分配方法，需要用戶對當前和未來業務發展規模進行正確的預判，提前做好空間資源的規劃。在實際中，由于對應用系統規模的估計不準確，往往會造成容量分配的浪費，比如為一個應用系統預分配了 5TB 的空間，但該應用卻只需要 1TB 的容量，這就造成了 4TB 的容量浪費，而且這 4TB 容量被分配了之后，很難

96、再被別的應用系統使用。即使是最優秀的系統管理員，也不可能恰如其分的為應用分配好存儲資源，而沒有任何的浪費。根據業界的權威統計，由于預分配了太大的存儲空間而導致的資源浪費，大約占總存儲空間的 30左右。aSAN 采用了自動精簡配置技術有效的解決了存儲資源的空間分配難題，提高了資源利用率。采用自動精簡配置技術的數據卷分配給用戶的是一個邏輯的虛擬容量，而不是一個固定的物理空間，只有當用戶向該邏輯資源真正寫數據時，才按照預先設定好的策略從物理空間分配實際容量。aSAN 私網鏈路聚合 2.5.4.2aSAN 私網鏈路聚合 2.5.4.2aSAN 的私網鏈路聚合是為了提高網絡可靠性和性能設置而提出的。使用

97、 aSAN 私網鏈路聚合不需要交換機上配置鏈路聚合，由存儲私網負責鏈路聚合的功能，使用普通的二層交換機，保證正確的連接即可。傳統的鏈路聚合是按主機 IP 進行均分，即每兩臺主機間只能用一條物理鏈路。而aSAN 私網鏈路聚合采用按照 TCP 連接進行均分，兩臺主機間的不同 TCP 連接可使用不同物理鏈路。在保障可靠性的同時，還達到了更加充分的利用所有鏈路資源的能力。數據一致性檢查 2.5.4.3數據一致性檢查 2.5.4.3aSAN 采用一致性復制協議來保證多個副本數據的一致性，即只有當所有副本都寫成功，才返回寫入磁盤成功。正常情況下 aSAN 保證每個副本上的數據都是完全一致，從任一副本讀到的

98、數據都是相同的。如果某個副本中的某個磁盤短暫故障，aSAN 會暫時不寫這個副本，等恢復后再恢復該副本上的數據；如果磁盤長時間或者永久故障，aSAN 會把這個磁盤從群集中移除掉，并為副本尋找新的副本磁盤，再通過重建機制使得數據在各個磁盤上的分布均勻。深信服 aBos 一體機技術白皮書 40 3深信服 aBos 一體機核心價值 3.1 高穩定性 高穩定性 深信服 aBos 超融合架構，通過軟件定義分支數據中心的方式，將計算、存儲、網絡包括安全形成一個大的資源池，可以靈活快速的構建數據中心里的業務系統。虛擬機的熱遷移技術、虛擬機的 HA 技術、存儲的兩副本技術保證了數據的安全性。傳統分支 IT 基礎

99、架構網絡設備需要雙機部署，aBos 一體機以較低的成本進行集群部署即可滿足業務可靠性。3.2 簡化分支機構 IT 簡化分支機構 IT 深信服 aBos 一體機僅需一臺服務器就可以解決安全防護、上網行為管理、下一代防火墻、新建銷售辦公業務系統等問題，簡化了小型機構采購及部署多臺不同功能、品牌設備的流程，不僅節省 IT 投入成本也大幅降低了運維成本，實現分支機構“ZERO IT”。3.3 簡化運維、集中管理 簡化運維、集中管理 通過我們的配置向導，現在不再需要專業管理員出差去支持分支 IT 部署和運維，日常運維通過 BBC 管理平臺也更為直觀高效。aBos 一體機解決方案實現 IT 集中化，集中管

100、理 BBC 可以部署在總部數據中心或者云端，可滿足實時信息匯總、安全策略下發、日志集中管理、分級管理、遠程接入分支維護等。3.4 靈活部署、擴展性好 靈活部署、擴展性好 深信服 aBos 一體機采用超融合架構，用戶可按需使用虛擬上網行為管理（vAC）、虛擬應用層防火墻（vAF）、虛擬廣域網優化（vWOC）、虛擬 SSL VPN（vSSLVPN）等資源服務。用戶可根據業務需求靈活組合 NFV 虛擬網絡設備，若隨著業務發展有新的網絡功能需求時只需 license 激活即可使用無需重新購買和部署替換硬件設備。并可通過可視化的 WEB 管理平臺即可管理所有虛擬設備，所畫即所得的業務邏輯網絡拓撲可實時監

101、控網絡流量，排查網絡問題幾分鐘就可以解決。深信服 aBos 一體機技術白皮書 41 4 超融合架構最佳實踐 aBos 一體機可以應用到中小型網絡數據中心建設、集團分支組網 IT 基礎架構建設，尤其替代傳統網關設備，滿足基礎路由、安全防護、上網審計、廣域網優化，服務器虛擬化、存儲虛擬化的需求。以下為深信服 aBos 一體機三個實際應用案例分享 l完美集團 項目背景：完美集團 項目背景：完美（中國）有限公司成立于 1994 年，是由馬來西亞完美資源有限公司在中國投資設立的僑資企業。擁有四大生產基地、八家控股子公司的現代化企業集團，實現年銷售過百億人民幣的目標。目前，在全國各省、自治區和直轄市設立了

102、34 家分支機構、6 家辦事處、萬余家服務網點。眾多的服務網點運維工作成為了 IT 運維中心最大的困擾。運維難度大、故障多、排障難成為了完美集團 IT 運維中心的“三座大山”。解決之道：解決之道：完美集團整合分支網絡架構，在每個分支機構部署 aBos 一體機，實現網絡基礎路由以及安全審計功能。方案價值：方案價值：完美集團采用了深信服分支機構一體化解決方案后，解決了運維難題的同時節省了分支機構運維成本及 IT 基礎建設成本。實現集中管理，分支無需專業人員投入，總部進行策略下發以及接入分支進行故障排查等。l申銀萬國期貨 項目背景：申銀萬國期貨 項目背景：申銀萬國期貨有限公司系申銀萬國證券股份有限公

103、司的控股子公司。隨著申萬期貨的業務范圍不斷擴張，申萬期貨準備在全國各地部署 20 余家輕型營業部，加快現有業務的發展。為了保障營業部高效、穩定的運行，輕型營業部在快速安全接入、網絡安全、數據安全以及安全審計變得尤為重要。同時廣域網的運維和管理的要求也在不斷的提升，從網絡安全、應用安全、數據優化到業務數據安全的要求都在不斷的提高。解決之道解決之道：在每個營業部出口處部署 1 臺深信服分支一體機 aBos，總部數據中心和 IDC 數據中心之間部署廣域網優化設備。實現分支與總部之間的快速安全的加速VPN 組網，同時實現分支到數據中心鏈路互備。方案價值：方案價值：申萬采用深信服 aBos 一體機解決方

104、案后，解決分支網絡管理難問題，簡化分公司網路架構。分支無需專業 IT 管理人員，總部部署 BBC 集中管理平臺。分公司 aBos 一體機開機即用，總部直接下發安全策略、流控策略等即可。后期可以遠程接入 aBos 一體機進行故障定位，總部運維人員可監控分支安全告警、網路設備狀態。深信服 aBos 一體機技術白皮書 42 l甘肅省公安廳交通警察總隊 項目背景甘肅省公安廳交通警察總隊 項目背景：目前甘肅省公安廳交警隊有 40 人的外包運維團隊，但是如何對運維團隊進行合理的管理，使其成為具備強大的運維能力、具有高效機制的團隊一直困擾著甘肅公安廳交警隊。要求對運維辦公區進行安全防護以及行為審計，滿足安全

105、規范、合規需求。解決之道 解決之道：深信服為交警總隊提供一套綜合解決方案，改造方案充分考慮到安全防護和上網行為審計功能。通過在運維辦公區出口部署 aBos 一體機設備，集成的 NGAF、AC 功能模塊的整體解決方案，形成 L2-L7 層立體安全防護體系，實現內網安全防護、流量控制、安全審計的效果，確保內網辦公高安全和高可用。方案價值：方案價值：1、方案整合運維辦公區網絡設備，一體化方案很好滿足區域辦公的所有網絡建設需求，實現內網 IT 網絡建設改造。2、滿足 82 號令，實現上網行為審計，規范化運維外包人員上網行為。完善的流控策略保證非核心業務的帶寬，提高工作效率。3、完善的內網 APT 防護、IPS 防護機制，保證內網 PC 主機安全，同時限制外發文件等流量。合理的區域隔離，保護單位數據安全。