隨著云計算、虛擬化、軟件定義等技術在金融數據中心內開始落地部署并逐漸成熟，計算、存儲、網絡從傳統架構下的獨立建設且各自運維的模式，向云計算架構下的統一調度、統一運維的模式演進，從而使得云網協同成為金融數據中心建設的潮流和趨勢。

在傳統網絡架構中，網絡缺乏統一的控制平面，該架構下云平臺缺乏對網絡統一調度的手段，云、網難以協同，自動化程度弱，網絡被動響應業務系統。而軟件定義網絡（SDN）通過控制器實現對網絡的統一配置，從而為云網協同提供了有效的機制。

云數據中心部署網絡、SDN控制器、云平臺、虛機管理平臺（可集成于云平臺），通過控制器與云平臺和虛機管理平臺對接的方式，實現云網協同。實現云平臺統一管理計算、存儲和網絡資源。在云網協同的場景下，云數據中心通常采用水平分區、垂直分層的設計思路，并根據金融數據中心對業務應用安全性的要求（業務應用劃分為內網業務和外網業務），將數據中心劃分為內網資源池和外網資源池。

資源池劃分

內網資源池即開放平臺業務服務，根據不同用戶的業務系統安全級別和x86服務器規模，將開放平臺業務服務劃分一個或多個Fabric，每個Fabric內，業務應用通過不同VPC進行安全隔離防護。

外網資源池即DMZ業務服務，可將互聯網區DMZ服務和外聯網區DMZ服務統一規劃為一個Fabric。互聯網DMZ業務服務和外聯網DMZ業務服務劃分不同VPC進行安全隔離防護。其中，外聯網DMZ可能存在多個VPC，比如人行外聯DMZ業務服務，監管機構外聯DMZ業務服務等（不同用戶規劃上略有不同）。并且原則上外網資源池內各個VPC無互訪關系。

內外網資源池分別建立物理隔離的云分區，從而實現流量物理隔離，使業務系統更加安全。

內外網資源池內采用Spine-Leaf架構，EVPN+VXLAN分布式架構部署Overlay網絡，按需虛擬化出多個網絡資源，對應不同的業務邏輯分區。內外網資源池內部署南北向安全資源池（旁掛Border leaf上）和東西向安全資源池（可旁掛Border leaf上或者Service leaf上），本文采用東西向和南北向安全資源池全部旁掛在Border leaf上的統一建設模式，來簡化網絡部署。Border leaf配置Public VPC和業務邏輯分區VPC，業務邏輯分區VPC間的通信均需經過Public VPC進行統一中轉。

基于內外網業務服務安全隔離的要求，需要保證內外網流量的物理隔離，因此需要部署兩套核心交換機：內網核心和外網核心，來分別實現承載外網業務流量和內網業務流量。

外網核心承載的流量范圍：互聯網、外聯網、外網資源池等業務區域

內網核心承載的流量范圍：廣域網、運維區、內網資源池等業務區域

流量模型

南北向流量：

用戶將依次經過外網核心、外網資源池、內網核心和內網資源池，實現業務訪問。整體流量走向如下：

如果進一步細分到資源池VPC的路徑為（以互聯網區為例）：從互聯網區→ Public VPC（外網資源池）→ 互聯網DMZ VPC（外網資源池）→ Public VPC（外網資源池）→ 內網核心→Public VPC（內網資源池） →安全資源池（內網資源池）→ 開放平臺業務區（內網資源池）

東西向流量：

外網資源池中各個VPC間不存在互訪關系，故不存在東西向流量。內網資源池間存在東西向流量。

流量走向：開放平臺業務一區→Public VPC→安全資源池→ 開放平臺業務二區

某城商行采用了銳捷的網絡云數據中心SDN架構方案，構建了云網協同的新數據中心網絡架構，通過SDN控制器按需、動態地構建網絡資源池，協同OpenStack云平臺實現計算、存儲和網絡資源的聯動，實現了業務敏捷發放、資源共享。