云平台网络架构以及相关产品的介绍（二）| 学习笔记-阿里云开发者社区

开发者学堂课程【专有云网络基础架构介绍：云平台网络架构以及相关产品的介绍（二）】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/1206/detail/18173

云平台网络架构以及相关产品的介绍

二、专有云网络架构及流量模型

1、专有云网络常用术语

云内的交换机主要是由这一些交换机，然后 ISW 是咱们的外网接入交换机主要是用于这个出口。常用于和外网建立静态 /BGP 路由互联，建立静态的路由的时候，一般我们就会去配置一个像华为的我们会去配置一个 Enjoy。如果这个 ISW 华为计算机的话，也可以去串这个互联色来使这个静态路由使其生效，CSW 将其内网的接入交换机。也是专线接入交换机，用户通过自有的网络和该设备进行云上网络打通。DSW 是核心交换机，它是数据中心的核心交换机中与网络专业领域网络的核心交换机，所有的 ISW 都是接在 DSW 上面的。服务器是接入在 ISW 上面，所以服务器和服务器之间的互访。如果不在同一组 SW，那么必须要必须会经过这个 DSW 进行转发的。LSW 是综合接入交换机，主要是提供 VPC/SLB 的服务。OMR 是带外核心交换机。带外的网络核心交换机。OMR 下面主要是接了这个 ISW/DSW 这些。他们的这些带外口都是接在这个 OMR 下面，确切来说是接在这个 OSW 上面的，这些交换机 OSW 街在 OMR 下面，它这边是一个二层的交换机，OMR 是一个网关，然后 ISW 接在这个二层交换机下面，比如 OSW 上面再接个二维码，那么 ISW 的。这个带外口就可以和 OMR 进行互通，那么当带外并网的时候，大概用户和这个 OMR 的相关地区进行并网，那么用户就可以通过 OMR 访问到这个后面的这个 ISW/CSW，XGW 就是咱们的 VPC 网关服务器。也是这个虚拟的 VRoute，然后 VRoute 和这个 XGW 是几乎是同一概念。

然后 VSwitch 是虚拟的交换机。创建一个 VBC 之后就可以创建这个多个 VSwitch。VBR 是 CSW 上面的虚拟路由器主要是用于和这个用于和 Vroute 建立 VXLAN 隧道，连接客户网络，实现专线的互通。并网和 VBR 也是一个概念里面的，只要是并网，就会涉及到 VBR。它是分为有 VBC 并网和经典网络并网，还要带外网络并网。带外网络并网也属于经典网络并网就是分为 2 个大块，VBC 并网和经典网络并网。每创建一个 ECS，那么必定要绑定一个安全组才能创建出来。ECS 之间的这个。安全控制，主要是通过这个安全组，EIP 就是弹性公网 IP。也是之前讲到的，创建一个 EIP，那么可以绑定的 NAT 网关也可以绑定 ECS。绑定 ECS。就只能一个一个,绑定 NAT 网关可以做到一对多或者多一点都可以。SLB 是怎么负责集团。一个是 SLB 可以绑定多台 ECS 是到通道，主要是用于这个 VBC 之间的网络打通或者 VPC 和 ITC 之间云下网络打通。NAT 网关适用于 VPC 实例，访问互联网做地址转换使用。专线是和并网 VBR 同一个概念下面，要并网的话，首先是需要去拉这个专线，singletunnel/anytunnel 都可以做到这个用于 VPC 内实例访问经典网络 VPC 访问经典网络的时候中间会经过一层转换，也就是创建一个 singletunnel/anytunnel 的 ip， singletunnel/anytunnel 都是 SLB 上面的这个产品。创建 singletunnel 之后，这个 IP 会出出现一个 VIP，那么这个 ip 就会在 SLB 上面去进行创建。那么 VPC 现在的实例，比如说 ECS 就可以访问到这个 SLB,然后 SVIP，然后到经典网络。

2、AVS 简介

AVS 是虚拟交换机。ECS 需要去访问到外部的时候，那么必定会经过这个 AVS 去进行这个数据的封装和解封装。

vswitch 也就是我们通常说的 avs (apsara virtual switch)是位于宿主机(NC)上的一个虚拟交换机，其功能主要负责虚拟网络的数据交换，将从物理网络收到的 Vxlan 报文解封装后转发给对应的 vm 另一方面将 vm 发出的报文封装成 Vxlan 发送到物理网络。

3、XGW 介绍

VPC 的网关设备称为 XGW，由服务器集群组成，和 LSW 之间运行 EBGP 路由协议。

XGW 常用包括:IGW,VGW，每一个网关都包含一个 IP，在 XGW 的物理服务器，上面用 IP，可以看到这边是 lo 端口上面的 lo 端口还要多。

IGW 提供: 如 EIP,NAT(SNAT,DNAT)

VGW 提供: 如反向访问，IC 互访，VPC 互访

从这两个方面可以看到 VGW 其实提供的就是内部的内部网络的互访和私网互访。然后 IGW 主要是提供了这个 internet，一个工作方向的互访。

4、专有云物理网络整体架构

⑴外网接入区

两台 ISW 组成，接入 ISP 或用户公骨网，实现内外部的路由分发交互，互联方式采用态路由(互联网网络并网)，互联带宽根阿里专有云网络规模和用户骨干带宽设计定义，外网接入区向数据交换区发布相关外网路由，并接收数据交换区发出的云服务内部路由，实现云网络内部与外部交互。

⑵内网接入区

两台 CSW 为内部用户提供两类接:

2.1VPC 接入(VPC 并网)，VPC 接入由 CSW 提供不同用户与 VPC 的映射关系，将用户分别导入各个 VPC 内，在 CSW 上，不同用户群保持相互隔离。

2.2 普通云服务接入 (经典网络并网)，CSW 与综合服务模块通过 EBGP 互联，直接提供到业务服务区的所有资源访问。

⑶数据交换区

由 DSW 和 ASW 组成典型的二级 CLOS 架构，上一级单元和下一级单元都是全互联结构。ASW 两两一组堆叠，对应作为服务器的接入网关。ASW 和 DSW 之间互联，DSW 之间相互没有连接。数据交换区接收外网接入区发布的外部路由，并发布云产品对外服务地址网段到外网接入区。

数据交换区接收 DCI 接入区发布的路由，云产品对外服务地划网段、云产品内部访问地址以及数据交换区地址段到 DCI 接入区。

⑷综合服务区

各类云产品服务器(XGW/SLB/OPS)分别与两台 LSW 互联（也有可能是 4 台，这个根据每朵云的情况来区分），通过 EBGP 交换路由信息两台 LSW 之间通过 IBGP 交互路由信息:LSW 与 DSW、CSW 之间通过 EBGP 交换路由信息，综合服务区可以随着业务需求进行横向扩容。

然后 LSW 下面会接这个 SLB 或 XSW。SLB 或 XSW 的业务流量都是通过这个都是通过 ISW 的，它的管控流量是会通过这边的一组 ISW 去进行数据的管控流量的这个下发。也就是当我们创建一个 SLB 实例的时候，这个流量是可以通过 ISW 这边的管控下发，XSW 也一样。首先，ISW 这边和互联网络是起这个静态路由或其他的路由，一般的话是起静态，然后这边的静态路由到的对面客服侧了，然后 ISW2 也能对客服侧，然后每台静态路由，都会跟那个 NQA，当这边的联动失效的时候，NQA 会联动这边的静态路由失效，以至于不让这个默认路由下发到云内。所以 DSW，所以这边的公网流量到外部的时候那么只会从这条 ISW 出去，这边就不会有任何的流量出去了。然后在这个外网接入区，还有这个分流器，还有云盾这些设备。这边的分光器的作用主要是把会把互联网一部分流量定向的这个分流器，这个分流器在这边其实只有一个功能，只有一个收流量的功能，没有发流量的功能，是只能收的。然后这边尽量在这边的分流器之后会有下面这个安全的设备去进行清洗，然后分光器到咱们 ISW 的时候是有收和发的，因为没有收和发的话，这个没法出公网了。然后内网接收器的话是这边主要是用于这个和客户的内网去进行并网，这边可以分为这个经典网络并网和 VPC 类型的网络并网。经典网络的并网的话是在 public 的表上面，也就是在咱们的在交换机的 public 的表上面，如果 VPC 类型的病亡的话，是会在这个 CSW 上面起一个闭网的。就是当你从 7 天去进行并网，或者从 CSW 上面去进行电网并网的时候，就会下发一个 VBR 到 CSW 上面。最后一点其实也就是 VRF 或者是如果 dean stance，数据交换机由 DSW 和 ASW 组成。ASW 之间一般是会做这个对接的,做成这种堆叠的架构，然后他们的这个双主检测的功能是通过带外接口,配置在带外接口上面。而下面的物理服务器可以通过这个这台 ASW 去访问的外部，或者可以通过这台 ASW 访问到外部。对于 NC 来说，这两个 ASW 其实就是一台。LSW 主要结构的这个 XSW,OPS,SLB 的这些设备。这边也是通过这个 EBGP 的这个路由器进行互联，然后通过 EBGP 发布这个 SLB 的经典网络的，比如说经典网络的 VIP 的流量。还有这个 XSW，就会发布这个 EIP 的经典网络的这个 IP 的流量发到外部。

5、VXLAN 报文

这边是一个 VXLAN 的封装架构，首先，从下往上看，从最下面一层是有这个 SLC，还有这个 dst,SLC 就代表了咱们的这个内存的 ip 这个 VXLAN 报文会发生在这个并网并完了之后，比如说一台 ECS 访问到云下的网络，那么当你抓包的时候，在这个 VXLAN 包里面就可以再做一条。这个下面在这个 IPV4 的下面，看到这个。SIC ID 也就是这个 ECS ID 这个云下网 IP，这是第一层，然后上面一层就是 VXLAN 的封装信息，VXLAN 的服装信息主要内容就是这个 VNI 的信息。这个也就是关于那个 global ID，在上面一层就是 udp。VXLAN 是使用这个 UDP 的这个协议进行封装的，因为使用 udp 的话这个传输速度是会非常快的，然后原单口是继续进行计算，根据那个五元组原目地址，原端口号。不断进行计算，然后目的端口是一个固定的 250，这边永远是 250。对于阿里云这边来讲是 250，对于这个外部来讲一般是 4789。然后再到外面再封装一层，这个物理网络的源地址和目标地址，也就是咱们的 VChannel 的隧道的原点和目标点。对专员的隧道原点和目标点来说，一个是 CSW，一个是 XGW，就在并网的时候来讲，就这个原地址就是咱们的 XGW 地址，也就是 VGW 的地址。XGW 地址上 VGW 的地址，目标地址就是 CSW，上面那个 localbank 地址也就是 Vtape 地址。再上面一层就是封装这个物理网络的这个麦克地址。

6、专有云流量模型

客户网络访问 VPC 网络还有客户网络一样访问到经典网络，还有这个 VPC 网络和互访，客户网络访问 VPC 网络的话还有访问到经典网络，主要是通过这个并网。通过这个并网就可以实现。然后 VPC 网络访问的经典网络。可以通过这个 singletunnel 还有 anytunnel。经典网络访问到 VPC 网络的话，主要是通过反向访问。反向访问可以做到经典网络访问 VPC 网络,如果说不通过客户侧网络,是可以这么实现的。经典网络访问 VPC 网络也可以通过客户侧网络，就是先访问到客户网络，再访问到 VPC 网络,但这种方法需要和客户侧进行沟通,还有打通一个路由,一般这种方式比较少。VPC 和 ISP 进行互访,是通过 EIP 或者 NAT 网关,ISP 访问进来是通过 SLB 或者 EIP 都可以。

7、各个产品之间的访问场景流量模型

ECS 访问 ECS 到时候会经过这么多节点,首先是 ESC 的 NC 物理服务器,连接 ASW 再到 DSW 再到 LSW,这个数据包对于 ASW、DSW、LSW 内存数据包是不可见的，只能外层数据包。从 ECS1 再到 ECS2,路过 VRoute 封装，经过 LSW 再到 XGW,又会回到 LSW、DSW、ASW，再到另外一台 ECSNC。ESC 再到 RDS,RDS 一般会创立 SLB 地址,同样也会经过 ASW 再到 DSW 再到 LSW,到达 SLB 物理服务器,SLB 会转到 LSW,然后到达 DSW、ASW,然后到达 RDSNC。

ECS 访问客户网络经过 ASW 再到 DSW 再到 LSW 然后 XGW,主要的隧道就是 XGW 和 CSW 之间的这个隧道，XGW 经过 LSW 然后 CSW,数据包的封装首先是在 NC 完成双层数据包丢到 ASW，然后双层数据包到 DSW，ASW 这边都只能看到外层的数据包，看不到内层的数据包。在 XGW 这边就可以看内层数据包，XGW 根据内层数据包进行转化，决定丢到 CSW 上面的 VBR,所以会把这个数据包重新封装给 VBR,在 VBR 进行数据的简封装,然后用真实的 IP 也就是 ECS 的 IP 去访问到客户网络。然后 ECS 访问互联网，然后客户网络访问 VPC 类型的 SLB 到 ECS，

这里就不过多赘述了，理论基本上都是可以通用的。

EIP 访问 ECS 和公网 SLB 访问 ECS,这两个不同点是 EIP 会经过 XGW 封装之后到达 ECS,公网 SLB 经过 SLB 封装之后到达 ECS.

8、同城双机房专有云底层拓扑

首先就是两朵云，这边是 AZ1,这边是 AZ2,AZ1 和 AZ2 可以称之为一个 region,因为他们是同城的。一个 region 上面的不同的 AZ 是通过 ASW 去进行互联,中间会经过传输链路，或者光纤直接拉过去也是可以的，这边的 ASW 和那边的 ASW 是通过 EDGB 路由器进行互联。所以其实全网路由都是打封了的。对于底服务器来说这边访问到那边,不管是一朵云还是两朵云，访问原理都是一样的,都是在一个区域内。然后 CSW 这边去进行并网的话，分为有 VPC 的网络和物理网络。首先，VPC 网络并网的时候是需要去在 AS 和 CM 或者 7 天去进行手动下发的配置的，然后经典网络的并网是必须在 CSW 上面去进行手动配置。讲一下经典网络并网，经典网络并网可以选择静态或者 BGP，这个和客户侧去进行协商，协商后的一个结果之后选择这个静态或者 BGP,要选择静态的时候，这边也是会去配制这个 NQA,NQA 和这个静态的有序进行联动。然后 BGP 的话是不需要去配置什么 NQA 的，一般是会配合这个 bfd 进行联动，也是其实理论上都是差不多的概念。但是静态路由的话，在 CSW 这边是会去进行一个下发到内网动作的 BGP 是不需要下发的，因为 BGP 的路由是云下网络设备发布给 CSW 之后，CSW 会自动发布给云下这些相关的设备。静态路由的话，CSW 写了一条静态路由给外部的话，那这条路由必须在配置一个引入到内部的 BGP 嗯的一个配置的动作,这样才能够被内网的这些设备所学习到，那么内部的设备才能通过这个路径访问到外部。然后这边其实就是也是同样的概念，这边有一个 ICFW。ICFW 是这个云墙，云墙引流的过程，然后这边给大家讲解一下。首先影响引流，主要是用于这个 EIP 或者 SLB 的这个网段的引流。当内部的 ECS 想访问公网的时候，比如做了一个 EIP 的映射，正好这边有做这个引流，那么它的路径是首先这个 ECS 会把这个数据包封装之后会经过这个 ASW 在到达 dsw,然后到达 dsw 之后，DSW 丢给 LSW,LSW 的接口上面会有一个路由策略的动作会把这个路由的下一项重定向给这个 Icfw。ICFW 接收到这个路由之后会把这个 EIP 的网段。首先在这个 EIP 是通过 XGW 去进行发布，EIP 可能是一个网段,在这个网段进行，那在 ICFW 里面可能会把这个分成两个去进行发布。发布给 ASW,首先是 DSW 发,下一个丢给 ASW 发，然后丢给 ICFW,ASW 丢给 icfw 这段路径是通过接口下面绑定了一个 VPN sense。再是把 public 的列表重新定向给了这个 Icfw 这个 instance，然后再用这个 ICFW 把这个路由

从里面丢出来,丢了这个 ISW.其实 ASW 会把会发布两个-25 段的路由给 isw,然后 ISW 出去之后在这个列表度越高回报的时候，因为有两两条路径，一个是直接走 DSW 另外一个是直接走 ICFW，那么肯定会选择 ICFW，因为 ISW 没有发布这个 EIP 的网段，这两个-25 的，是更优先的。DSW 发布给 ISW 的这个 EIP 的网站是一个 24 位网段所以他还是会选择这个 ICFW，这个 ICFW 之后，再丢回给 ASW 再丢给 DSW,就是会这样有一个 u 字形的路径上去，然后 u 字形的路径下来访问到内部。

三、VPC 和经典网络互访场景介绍

1、VPC 访问经典网络云服务

⑴ single tunnel 方式

Single Tunnel 用于将经典网络服务单独提给给特定的 VPC，基本原理是通过在租户 VPC 中申请一个 ip 作为 SLB 的 vip，一个 VPC 内 SLB 实例进行地址转换，云产品将提供云服务的 Server 设置为该 SLB 实例的 real server ; 使用到 single tunnel 的云产品有: RDS，ADS，OSS，MQ。

这个意思主要是当创建一个 VPC 之后，上面需要创建一个之后就可以创立 ECS,创建完之后就可以创建一个 single tunnel 类型的 SLB，这个类型的 SLB 是会从 VPC 中直接取一个 IP 出来,也就是说这个 ECS 和 VIP 在同一个网段。这个 single tunnel 类型的 VIP 后端挂了两个经典网络的 IP，比这个云内可以挂两个物理级的 IP 或者 VM。然后 ECS 访问到 VIP 有经过 VXLAN 封装。

⑵Any tunnel 方式

Any Tunnel 用于将经典网络服务提供给该 Region (整朵专有云)所有 VPC;基本原理是在 anytunnel vip 段中申请一个 lp 作为 SLB 的 vip，SLB 实例进行地址转换，云产品将提供云服务的 Server 设置为该 SLB 实例的 realserver;使用 anvtunne 的云产品有 OSS，datahub，odps，dns 等。

Any tunnel 和 single tunnel 主要的不同点在于 Any tunnel 有一个单独的地址段，它不是取自 VPC 的地址，这个地址可以在 Vpcregiondb 当中查到,使用 select 语句:select * from any tunnel vip 这边有一个 link local 的地址段，这个就是 Any tunnel 的地址。创建完 Any tunnel 的地址，如果不指定，就会随机取一个地址给到 SLB 的 VIP，Any tunnel 创建出来可以提供所有 VPC 下面的 ECS 进行访问的。single tunnel 只能提供给一个 VPC 进行访问,因为创建 single tunnel 的时候必须指定一个 VPC 进行配置。

2、云内经典网络访问 vpc 类型网络

⑴反向访问方式

经典类型 ip 访问 vpc 类型 ip(反向访问方式)

访问流程如下:

①经典 IP 发起对 DNAT-IP+port 的访问，DNAT-IP+port 就是挂的真实的 ECS IP,就是说这边有一个 real 的原 IP,真实的经典网络的原 IP，它访问的是一个虚 IP——DNAT-IP，这个后面跟的就是 ECS,这个过程是在 XGW 和 VGW 中发生.该 dnat 的 ip 后端挂载的是真实的 ecs 的 ip；

②包经过 vgw 后经典 ip 被替换为 snat 的 ip,也就是说这边真实的云 IP 会被替换为真实的 snat 的 ip,这也是有一个地址段的，这个地址段在库里面可以进行查到。对于 ECS 来说它看到的 IP 不是真实的经典 IP,是 snat 的 ip,是经过转换之后的 IP。经典 IP 访问 ECS 到时候也不是访问真实的,它是访问 DNAT-IP,DNAT-IP 也是一个经典网络的 IP,是经过 XGW 这边的路由进行宣告的，所以经典 IP 是有 DNAT-IP 的路由的。也就是反向访问的过程会经过一个 snat 和一个 dnat 的过程。