一、超融合HCI基本概念与分类

首先来理解一下什么是HCI超融合？

无论从中英文的字面意义来理解，超融合（Hyperconverged）都应该是在融合（Converged）之后发展起来的如果要分类，前者应该属于后者的一支。

IDC和Gartner也是这么认为的，虽然在细节上有所区别。

IDC与Gartner对融合系统的大致分类（注：随时间推移略有变化），如下图：

IDC将融合系统（Converged Systems）分为三类，前两类集成系统（Integrated Systems）和认证参考系统（Certified Reference Systems）主要是供应商构成不同，技术成分上基本没有区别，都是由服务器硬件、磁盘存储系统、网络设备供应商和基本构件/系统管理软件组成的供 应商认证的预集成系统。

简单的说，就是看这套系统是否由一家厂商提供。VCE的Vblock由VMware虚拟化、思科服务器和网络设备、EMC存储系统组成，但VCE在EMC旗 下，所以Vblock属于“集成”（系统或基础设施），而思科与NetApp合作的FlexPod则属于“参考“（认证系统或架构）。

Gartner还比IDC多一个分类，即集成堆栈（Integrated Stack）系统，可以理解为集成基础设施系统加上应用软件，如Oracle的Exadata数据库一体机，在IDC的定义里仍属于集成系统。

超融合系统（Hyperconverged Systems）是后起之秀，与上述（传统的）融合系统最大的区别，就是有能力用同样的服务器硬件资源提供所有的计算和存储功能。换言之，在超融合系统 中，不需要专用的存储子系统（如磁盘阵列）但在必要时，也可以有（如JBOD）。

超融合系统与之前的融合系统相比，最大的区别就是以（与应用软件一起）运行在标准（x86）服务器硬件中的软件定义存储替代了传统的SAN存储系统，不仅戴尔（Dell）、惠普（HP）等服务器大厂积极推出相应的产品，还催生了以Nutanix、SimpliVity为代表的一大批初创公司。

二、深信服对于企业数据中心建设的理解

深信服认为企业的信息化建设是为了支撑企业各个业务部门协同合作，整合企业内外人、财、物等资源，辅助企业快速发展而存在的。企业在信息化的建设中就是要实现“无纸化、电子化”办公，所以企业在正常的运营过程中各个业务部门需要有支撑本部门的业务系统来实现“电子化”，而企业的众多业务系统需要有一个统一集中的存放以及运行的位置，这个位置我们一般称为数据中心。

如上图所示，深信服认为在整体企业数据中心衍变过程中，经过了传统物理架构数据中心、以服务器虚拟化技术为手段的数据中心、超融合技术打造的软件定义数据中心、混合云实现的云化数据中心。

第一代数据中心，传统式物理架构，以支持业务系统为中心进行建设。观察上图我们可以看到此架构存在以下缺陷，完全以支撑业务系统作为驱动力，不计成本、几乎不考虑安全的问题，而建设完成的业务系统也面临着底层物理设备利用率低，业务系统升级、扩容困难，各个业务系统没有高可用性，冗余性无法保证等问题。所以在这个阶段建设的数据中心各个业务系统之间处在割裂状态，各业务系统均为“烟筒式”建设。

在第二代数据中心建设中，其实主要使用的是服务器虚拟化技术，在使用了服务器虚拟化技术后，在一定程度上面弥补了第一代数据中心的缺陷，大幅度的提升了计算资源的利用率，各个业务系统都作为虚拟机的方式运行，对于运行在hypervisor层级之上各个业务系统在冗余性以及高可用性方面都有了保障。但与此同时，因为服务器虚拟化技术的特性，要使用的热迁移、HA（High eXtension，动态资源扩展）等功能，则必须实现数据大集中，则采用共享式存储方式，FC-SAN或IP-SAN。而共享式存储方式则带来的一个首要问题就是众多虚拟机对于存储阵列的集中读写压力，导致IOPS性能不足，由此问题引发的一些问题就是企业有一部分的需求场景并不适用于服务器虚拟化场景，比如：VDI桌面虚拟化场景（PS.虚拟机启动风暴问题）。同时实现了数据大集中后，那么对于存储阵列的重要程度以及单点故障也导致建设成本的急剧增加。服务器虚拟化引入了hypervisor层级之后对于安全也带来一定隐患，我们知道在用虚拟化技术设计的数据中心中，含有两种数据流量“东西向数据流量”和“南北向数据流量”，“南北向数据流量”可以理解为虚拟化环境出局，流向物理网络的数据流量，而“东西向数据流量”则为虚拟机之间在虚拟化环境内部hypervisor层级完成的数据交互流量。而在hypervisor内部的数据流量，物理环境中的防火墙、IPS、WAF等安全设备是无法探测到的，这个时候虚拟化环境相当于整体数据中心中的一个“黑洞”，所以在第二代数据中心建设中需要非常注意进行“东西向数据流量”安全防护以及安全加固。

第三代数据中心，HCI超融合架构的数据中心建设。深信服认为数据中心是一个整体那么在设计的时候应该采用“顶层设计”原则，将网络、计算、存储、安全进行统一的考虑，同时在建设的时候又要有“模块化、渐进式”的建设思路在里面，才能很好的提高企业信息化建设的价值。而超融合架构搭建的数据中心已经完全弥补了上两代数据中心的缺陷，同时继承了两代数据中心的全部优势，在建设过程中将业务系统与IT技术进行统一考虑，IOPS压力采用分而治之卸载到每台x86服务器上面解决，同时每台x86服务器配置SSD固态硬盘进行读写加速，数据中心容量扩容的同时IOPS性能呈指数上升，采用增加磁盘、增加服务器超简的scale-out扩容方式，在数据中心建设初期降低成本投入，符合渐进式数据中心的建设思路，将网络、计算、存储、安全进行统一考虑，完美解决“南北、东西”数据网络安全问题。

深信服认为，超融合是实现SDDC (Software Defined Data Center，软件定义的数据中心)的终极技术手段，也是满足企业信息化建设实践的技术路线，而超融合架构到目前也是IT技术发展的主要潮流，同时也是企业数据中心建设发展的必然经历阶段。

企业可以通过超融合架构，能够在最小的投入成本下实现迈向私有云架构的第一步。

深信服的HCI以服务器虚拟化为底层，向上构建出所画即所得的业务逻辑（网络虚拟化），向下充分利用服务器现有磁盘空间，扩展出分布式存储资源池（存储虚拟化），配合网络功能虚拟化所创建的安全服务资源池，实现东西向流量的安全防护。

三、深信服HCI超融合架构组成

还记得最上面分享的超融合的分类吗？深信服HCI架构主要是采用HCI超融合系统软件 标准的x86

服务器，并没有采用集成系统或者是集成堆栈系统，而只有这样做才真正能够实现软件与硬件的解耦，真正的解除用户被硬件厂商的绑架，同时真正实现业务系统的高可用，横向扩容的同时大幅度提升IOPS性能以及超简化的数据中心建设。

深信服超融合HCI架构，主要分为三大组件：aSV服务器虚拟化、aSAN存储虚拟化、aNET网络虚拟化。

在IaaS基础设施即服务层级，兼容标准的x86服务器，如：戴尔、惠普、联想、浪潮、曙光等。物理网络搭建没有特殊的要求，仅仅使用标准的二层交换机即可。并不需要SAN网络和共享存储阵列以及物理安全设备如：防火墙、VPN、负载均衡等。安全设备全部以软件形式呈现，在上层SaaS软件即服务同样能够实现安全接入以及网络防护，业务系统高可用保障等功能。

1.深信服超融合计算虚拟化组件-aSV

深信服aSV服务器虚拟化组件，可以单独使用，如作为单一模块使用只能构建第二代数据中心，即需要自行搭建FC-SAN或IP-SAN网络，同样需要存储阵列等高昂的物理设备。

在采用了深信服aSV服务器虚拟化后，对于上层的虚拟机即企业的业务系统，能够实现实时保护。上图显示的则为HA功能，HA功能是面对企业级用户业务系统的“计划外宕机”场景而进行研发的。上层业务系统正常运行，而当底层物理服务器因为意外情况（断电、CPU损坏、网络断开等）停机后，上层的虚拟机会发生自动漂移情况，漂移至另外一台服务主机上面继续运行，从而保障业务系统的高可用。

虚拟机热迁移功能则是面对的企业业务系统的“计划内停机”需求场景而产生的，企业信息化的运维人员平日需要对各种软、硬件进行升级操作，而一般会挑选业务系统影响最小的时间段进行“割接”。则深信服aSV服务器虚拟化软件能够将“割接”时间放置为任意时间段，在需要进行维护前期，将hypervisor上层的虚拟机迁移至其他物理主机上面，保证需要升级的物理主机上面没有虚拟机，从而将物理主机断电，将其抬出机柜进行相关硬件升级，升级完毕后将其进行加电，加电后自动加入集群虚拟机会自动漂移回该物理服务器上面。

虚拟机在物理主机上面运行势必会对底层物理资源产生争抢，而DRS功能会自动识别虚拟机的资源使用情况，当多台虚拟机达到一定的阈值的时候会触发DRS功能，将虚拟机迁移至其他物理主机上面，而将底层物理资源专门提供给负载量大的虚拟机来使用。

每台虚拟机的配置都是有上线标准的不能无止尽进行配置，同时虚拟化技术只能保证Guest OS操作系统的高可用，但是虚拟机里面如果类似“蓝屏”或者是“进程卡死”等故障怎么办？这个时候深信服DRX动态资源扩展技术的重要程度就体现出来了。用户首先访问专业的AD负载均衡设备，而然后负载均衡器根据用户的访问量自动基于用户的业务系统虚拟机进行克隆复制，来达到业务系统的横向扩容问题，同时如果当其一虚拟机发生故障时，AD也会进行其他虚拟机克隆拉起的操作，以及来保障业务系统的连续性。

业界的服务器虚拟化技术，基本都是采用hypervisor底层 Manager管理节点构成。而深信服的管理节点aCenter则是采用分布式结构，同时在安装底层hypervisor的时候就已经完成安装，经过简单配置过后整体虚拟化集群就组件完毕，而当aCenter主管理节点发生故障的时候，只要集群中还有可用的物理主机的时候，管理节点就不会失效，比起集中式管理中心的高可靠性更高。

2.深信服超融合存储虚拟化组件-aSAN

深信服存储虚拟化组件aSAN采用分布式数据存储设计思想，能够叠加到aSV服务器虚拟化上面实现虚拟机数据高可靠性保护以及数据冗余设计。同时分布式结构的设计能够将众多虚拟机的大并发IOPS读写卸载到每台物理主机上面，每台物理主机上面配置有SSD固态硬盘专门用来进行IOPS性能提升。深信服aSV与aSAN就可以为企业级用户构建出来一套超融合架构的数据中心。

深信服aSAN分布式存储采用紧耦合设计，业务系统在服务器内部基于进程进行IO读写操作，而aSV内部aSAN客户端采用RPC远程调用方式与aSAN组件中的aSAN服务端进行IO操作互通，然后采用Log缓存形式写入SSD固态硬盘中，SSD固态硬盘在写入机械硬盘中，完成一次读写操作。可以看到在整体的IO读写操作中，没有涉及协议的转换，能够大幅度提升IOPS性能，不存在性能瓶颈。

在深信服aSAN组件中，整体的可靠性分为多个层级，首先一个如上图所示，每台虚拟机采用多副本机制进行数据文件的存储，aSAN平台支持2副本以及3副本虚拟机数据存储，同时两副本采用同步方式确保数据一致性。

基于aSAN的整体集群来看，分布式结构的特点也非常能够实现scale-out横向扩容，当整体集群容量或者是IOPS性能不足时，只需要增加标准的x86服务器，安装aSV aSAN组件即可完成性能提升同样的容量扩容，而整体平台会自动进行数据文件迁移以及虚拟机迁移。

对于单物理节点中的磁盘问题，在aSAN设计之初就已经考虑到了，aSAN会将本地的众多数据盘进行合理规划，挑选1块进行热备盘处理，然而当数据盘首块损坏后，热备盘则进行顶替操作，数据回写到热备盘中，以此来达到磁盘的高可靠。

对于分布式存储设计，虚拟机的数据存储与拉起操作，各个厂商设计也不同，深信服aSAN则设计实现为I/O本地化，即副本所以的物理主机节点进行虚拟机拉起操作，不会出现跨物理主机启动虚拟机的行为，以此来提升虚拟机启动时候的速度。

在经过深信服实验室模拟测试中，采用超融合架构aSAN分布式存储，4K随机读达可以5W左右，写操作可达1W左右，其他测试数据如上图所示。

3.深信服超融合网络功能虚拟化组件-aNET

深信服在HCI架构设计之初，深入客户现场了解实际需求并结合自身的技术优势，在完成超融合HCI基本的计算、存储虚拟化后，深度设计了NFV网络功能虚拟化，深信服希望帮助企业用户解除各个数通类厂商以及安全类厂商的硬件绑架，而从采用通用的基本x86计算资源，而上层基本的业务系统连续性、网络安全、数据保护等要求全部采用逻辑的软件形式进行实现，帮助用户实现真正的SDDC，运维管理只是通过简单的键盘、鼠标点击、拖拽即可进行数据中心的网络、计算、存储、安全等全部资源的管理。深信服HCI超融合架构网络功能虚拟化能够实现基本的交换机、路由器传统三层数据转发功能，应用系统的扩容以及业务系统连续性有专业的负载均衡设备，同时安全性方面有VPN、WOC、防火墙（PS.可以防护南北向流量和东西向流量）等设备。

目前在深信服HCI超融合架构平台之上，能够搭建出来的网络结构选型设备为上述4中，交换机和路由器是标准配置设备，为aNet组件赠送设备，开启aNet组件即可免费试用。

最终给予企业用户交付的则为上述B/S架构的portal页面，整体网络在左面的设备选型框中点击，拖拽至旁边的白色面板中，即完成网络的搭建，而整体网络测试连通性，则通过右面的界面可以看到在哪一个环节存在问题。

四、深信服HCI超融合架构最佳实践

深信服HCI超融合架构，在利旧或改造的时候，只需要提供3台合规的物理服务器，采用软件交付方式即可完成整体HCI超融合平台的搭建。而在新建以及扩容业务系统时或者是考虑到项目实施周期，推荐采用超融合一体机快速完成部署。

采用了深信服HCI超融合架构后，企业数据中心机房，单个机柜在物理部署方面可缩减为上述图所示，只采用标准的二层交换机以及标准的x86服务器即可，而安全以及优化设备均以软件形式呈现，在实际机柜中则看不到。

深信服的HCI超融合架构也支持大规模部署，帮助用户形成私有云的环境，在上图中，可以看到是某用户的多机架部署情况。

同样用户进行数据中心建设一定牵扯到数据迁移问题，深信服厂商的HCI超融合架构，也提供免费的P2V迁移工具，同时如果客户已经采用其他友商的虚拟化平台，深信服厂商也提供V2V迁移的方式，帮助用户做好平滑过渡。