开发者学堂课程【高校精品课-华东师范大学 - Python 数据科学基础与实践:【视频】阿里云云计算 ACP 认证(5)】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1006/detail/15121
【视频】阿里云云计算 ACP 认证(5)
内容介绍
一. 网络与 VPC
二. 阿里云安全简介
一. 网络与 VPC
第一节作为引入的部分,谈到了VPC产生的一些背景。
VPC是在最新的一代的SDN软件定义网络基础上进一步研发出来的。网络的发展日新月异,在2010年的5月份,阿里云的ecs首次对外亮相的时候,很多人想不到云计算的到来对于网络的影响会这么大。到了2012年以后,随着计算虚拟化、存储虚拟化等一系列技术的发展,单个物理机虚拟化的比例在逐步提高,这时对于网络设备就提出了更高的要求。
当时在世界范围内可能都已经找不到可以满足这种业务如此庞大的虚拟化的网络设备,所以这时包括阿里、其他各个云商比如AWS,Google等各大云商都遇到了由于计算虚拟化导致的入网的终端节点过多使得当时的云架构,特别是云网络架构的稳定性、性能、安全等方面可能都存在着一些隐患和问题。这些问题极大影响了当时这些公司作为云业务的发展。
同时,随着云越来越深入到普通大众的视线,越来越多的用户上云特别是一些大型的互联网公司,甚至一些大型的传统企业也都陆陆续续的上云了。云上的用户越来越多,因此在用户的角度,对于云上的网络的管理需求也越来越多。比如现在非常常见的用户在云上的多地域部署业务需要多地域的内网互通,或者用户需要把线下的IDC和云上的网络去进行互通,来搭建混合云的架构等等。
这些现在看起来好像很平常,但是现在去看当时云上的传统网络服务都不是特别的匹配。所以在那个背景条件下无论是用户还是云平台,都迫切需要在网络层面上进行一些革新,因此阿里云在2012年左右抛弃了传统的大二层架构,而去设计一个新的网络虚拟化的技术方案。
这个网络虚拟化的技术方案经过了多年的发展,基本上经过了三个大的版本的迭代才形成了今天在云上使用的阿里云的网络,特别是VPC网络相关一些基础。
一个是在2016年以前完成了租户隔离,也就是图上所显示出来的在虚拟化平台基础上引入了overlay技术,也就是隧道技术,完成了租户端的租户隔离。这是属于在阿里云的云网络的第一代的形态。
2016年到2019年这三年的时间,主要完成了云上的全球互联,也就是云上的用户在多地域部署业务以后,多地域的内网互通或云下的IDC、云上的VPC进行互通等等。这些都是在这个阶段来完成的。
2020年以后进入了崭新的云网络3.0时代,形成了用户从应用到云到边的一体化的网络,这是现在最新的一个特征。
回归到一切,阿里云的云网络的基础是VPC。VPC是一个通讯技术跟云计算信息技术相结合所产生的一种东西,它能够去满足、去连接云上云下的基本上各种各样的虚拟或者物理的一些设备。
专有网络VPC
VPC的全称是虚拟专有网,是阿里云所构建的一个隔离的网络环境。专有网络之间逻辑上是彻底隔离的,通过采用overlay技术来实现。网络的技术本质上就是编织加路由,Overlay技术,从编制上来讲就是在原来传统的网络数据报文的编制的数据上再叠加一层租户的标识,即所谓的隧道,租户去创建一个网络,就给他分配一个隧道号,而这个隧道号就会叠加在原来的报文里面,这就是现在非常常见的vxlan技术。
在租户的三层报文的包体里面增加vXLan的租户ID,通过vxlan技术来实现对云上的网络进行编制,避免对物理网络直接使用,或者需要对物理网络进行升级的这样的层面。在路由这个层面上也实现了隔离,租户跟租户之间,网络跟网络之间的路由表也进行了隔离。
要实现这种隔离,要怎么来做呢?也就是VPC的里面的这些虚拟设备,要实现这种租户与租户之间,网络跟网络之间,虚拟网络与虚拟网络之间或者专有网络之间的隔离,就需要向每个租户的每个专有网络提供对应的虚拟网络设备,比如虚拟的路由器,虚拟的交换机。ALB其实就是虚拟的负载均衡,这就是VPC产生的一个大的背景。
为什么说VPC是SDN上面进行迭代的?因为SDN本身是VPC的基础,通过SDN来实现对于网络的转发能力和控制能力的支持。这样通过软件定义网络再加上隧道的技术,就能够实现云上有一个专属的隔离的网络环境,实现了等效于虚拟网卡级别的二层隔离。
VPC主要提供了两个能力,一个是用户可以自定义网络拓朴,包括选择自有IP地址范围,划分网段,配置网关等。
第二可以通过一些方式跟原有的数据中心相连,比如专线、VPN,或者云企业网等等。现在有各种各样的能力可以跟线下的数据中心相连,形成云上云下的资源使用同一个网络地址来规划,就能够实现应用的平滑迁移上云。
路由器与交换机
VPC内部的主要的虚拟设备就是虚拟的路由器跟虚拟的交换机。虚拟的路由器是无法创建的,创建VPC的时候会自动帮我们创建一个虚拟的路由器(VRouter),它是VPC内连接各个交换机的网关设备,同时也是连接VPC跟其他网络的网关设备。
创建一个VPC成功以后,除了有虚拟路由器之外,它还会关联若干张路由表,至少有一张系统路由表。现在大部分场景下有若干张路由表,系统路由表加用户路由表,不同版本有的是五张,有的是十张,这个稍微有区别。
虚拟交换机是组成专有网络的基础网络设备,用来连接不同的云产品实例。其他产品的网络是怎么相连的呢?其实它也是可以通过VPC相连的,但是从实现的角度上来说,它并不是直接跟VPC作为一个实例。它不论是什么产品都是一个实例,这个实例是有端点的。vxlan要成立,ecs就要跟对端的vxlan的通道打通,隧道要要求端点两侧需要形成一组Vtep虚拟中节点,出的时候加包头,收的时候解包头,反向也是如此。
在VPC内可以直接纳管的设备是有实例的,且实例可以在VPC里取得一个唯一合法的IP。假如有个负载均衡在VPC里,ecs有它的实例IP,比如192.168.1.100,这时有负载均衡或RDS,RDS前置的也是负载均衡,主跟被之间怎么去切换呢?这个负载均衡能够获得VPC内的IP,所以才能形成内网对内网的访问。
如果是oss、table store这样的隔离环境,这个隔离环境每一次发起请求的时候,会单独针对这个请求或AKSK去申请一个段时间内车道只属于个人的请求或个人的链接去使用。其实也是在一个隔离环境里,只不过这个隧道不独属于个人的VPC,而是大家共用一个大的隧道集群里面的某一个隧道,只是在个人使用的那个期间不会被其他用户所干扰。当个人的连接退出以后,隧道的资源可以交还给系统,由它再去调度给其他的后面的人使用。这个技术在内部叫做any Tunnel。
弹性公网IP
VPC既然是一个隔离的网络,它就必然要涉及到在VPC内部跟外网也就是VPC之外的资源进行互联互通或进行一些连接所需要的资源。不仅仅是EIP这张图,高速通道原来有对等连接跟专线两种形态,现在已经改了,对等链接这个产品并不是下掉而是转移到VPC内部。这个图是VPC产品家族相关的架构图:
这个架构图主要展示云上的整个阿里云的网络体系。网络体系大概可以分成三大部分,一个是数据中心网络,一个是跨地域网络,还有混合云网络。对应传统的数据中心网络跟数据中心之间互联的网络以及用户接入到数据中心的接入网络。数据中心网络主要是让我们具备在某个地域可以云上构建业务系统的网络能力。这里面包含能够去构建云上网络的基本的要件,除了VPC之外可能还有公网互连,内网互联,跨地域互联的相关的一些产品。
VPC内部要跟外网进行互联的设备有哪些呢?SLB,EIP腾讯公网IP,Nat网关,VPN。这些都可以工作在VPC的内部或工作的VPC的边界。一侧连着VPC内部的资源,一侧连着VPC外部。另外一些是基于公网可以去访问到阿里云内的一些资源,主要有OSS,SLB这类面向公网提供服务。
接下来就是跨地域网络,跨地域网络主体是云企业网,跨地域网络主要是提供了多地域的私网互联跟跨地域的公网加速的能力。默认情况下,资源跨地域是通过公网去连的,它的带宽是取决于公网的速率。要获得比较好的品质,需要单独通过公网加速的能力或是跨地域直接通过内网打通,可以通过云企业网。云企业网是构架在阿里巴巴骨干网之上的,把阿里各个地域之间进行互联互通的网络,通过跨地域网络相关的主要是云企业网络产品,可以满足多地域部署、全球化部署业务的需求。还有全球加速,主要做连接加速
混合云网络主要是为云上云下进行互通所打造的一些产品。主要有通道线, VPN网关,还有智能接入网关。是一种小盒子,一般是放在门店。这三个构成了混合云网络。
以上是整个阿里云网络架构的基础。
