[发明专利]基于三层网络架构的异地云数据中心管理系统

权利要求书

1.基于三层网络架构的异地云数据中心管理系统，其特征在于，包括中央管理层，域管理层和受管资源层；中央管理层部署所有功能组件模块，负责全局资源管理和云服务运营管理，中央管理层用于实现云数据中心各类前端功能和数据存储功能；域管理层隔离受管资源层与中央管理层的直接通信，域管理层用于实现对各个异地云数据中心和中央管理层之间呈上启下的作用；受管资源层是各个异地云数据中心的基础架构资源，受管资源层包括受管服务器，存储设备，磁带库，网络设备和防火墙；

中央管理层部署于云平台的中央服务端，设置有多个中央管理服务器，通过云平台管理网络实现各中央管理服务器之间的通信，云平台管理网络放在若干个VLAN范围内，并用交换机进行转发，内部不设置防火墙；

域管理层部署于受管资源层的各个异地云数据中心，包括多个域管理服务器，域管理服务器通过中央-域通信网络与所述中央管理服务器进行通信，通过域管理服务器上部署的代理服务屏蔽中央管理层，直接向各个异地云数据中心的受管资源展示中央管理层的各项功能，从而降低中央-域通信网络上的防火墙策略、DWDM通道以及VPN点对点的通道数量，保障通信安全；

还用于屏蔽受管资源层的各个异地云数据中心，将各个异地云数据中心的受管资源对应于域管理服务器的相关功能抽象为对应数据直接和中央管理层对应实现各项功能的服务进行交互，避免受管资源层被破解导致中央管理服务器被攻陷；

受管资源层包括用于管理每个异地云数据中心的多个受管服务器，通过各个异地云数据中心的域-受管资源网络与域管理层进行通信；

域-受管资源网络按照系统的安全级别具有如下三种连接方式：

松散式管理连接：受管资源按照资源类型分配IP子网和VLAN，子网大小和设备数量匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管理服务器通信，其上不设防火墙，各个受管资源之间IP可达，通过系统账户安全保障安全性；

标准业务式管理连接：受管资源按照业务IP子网分配IP子网和VLAN，子网大小与业务子网完全匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管理服务器通信，在跨VLAN之间部署防火墙，防火墙策略与域-受管资源网络防火墙策略一致，各个受管资源之间IP可达性与相关业务一致，符合业务访问安全规范；

安全式管理连接：受管资源按照资源类型分配IP子网和VLAN，子网大小通常和设备数量匹配，上端通过三层交换机进行VLAN之间的连接转发，并与域管理服务器通信，在三层交换机旁路挂载高性能防火墙，要求所有受管资源IP地址仅与域管理服务器通信，各个受管资源之间IP不可达，最大限度保障纵向网络流量安全性。

2.如权利要求1所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，域管理层用于将部署镜像包、系统升级数据源、数据同步服务集中在域管理 服务器上，在非网络繁忙时段通过域管理服务器上部署的代理服务同步到中央管理服务器。

3.如权利要求1所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，域管理服务器处理对受管资源的数据响应，通过部署的代理服务基于受管资源上报指令中的目标地址IP进行筛选，将非跨数据中心的受管资源通讯需求在代理服务上全部拦截。

4.如权利要求1所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，中央-域通信网络承载于直连专用网络、DWDM网络、广域网络或者VPN中，依据各异地云数据中心对跨数据中心安全要求进行防火墙设置和网络网段设置。

5.如权利要求1所述的基于三层网络架构的异地云数据中心管理系统，其特征在于，域-受管资源网络为各个异地云数据中心的内部网络，包括带内管理网络，用于域管理服务器与各个受管服务器的操作系统直接连接访问，控制受管服务器从事业务相关的调度；

带外管理网络，用于域管理服务器与各个受管服务器的硬件直接连接访问，控制受管服务器的硬件状态、电源状态的调度；

业务数据网络，用于各个受管服务器基于其业务特性与相应业务系统对接的网络，与域管理服务器处于隔离状态。