技术性能领先，阿里云网络产品全面升级为企业级

在12月13日的阿里云网络产品发布会上，阿里云将详细介绍其网络产品家族重大更新，阿里云网络产品已经全面升级为企业级。届时，云栖社区将会对发布会进行直播，欢迎预约https://yq.aliyun.com/promotion/434

那么，如何理解升级为企业级呢？我们认为企业级需求主要有产品丰富度、性能、稳定、安全几个方面。

首先，丰富的产品家族满足企业级多样需求。

随着云骨干网的发布，阿里云已经有涵盖5大场景的11款网络产品（还不包括DNS），是Top云计算公司中网络产品最多的。

尤其是云骨干网的发布，标志着阿里云网络产品进一步向企业级用户演进、向智能网络演进。

其次，企业级需求的一个重要特点是高性能。对网络来说，主要是ECS网络性能，负载均衡性能，NAT网关性能，以及VPC相关的容量。经过多年的自主研发，目前网络相关的性能已经完全满足各种规模的企业级用户的需求。特别值得一提的是，阿里云网络产品系列在今年的双11中经受了实战考验。具体实战性能如下表所示

注：部分双11指标超过核心指标是针对实例级别的单独调整。

ECS网络性能方面， 随着物理网络升级到25G，第二代Apsara vSwitch全面上线，单实例PPS性能已经达到450万，Latency降低了66%，实现了媲美物理机的性能。有兴趣的同学可以参考技术揭秘https://yq.aliyun.com/articles/215982

负载均衡性能方面，业内首创的性能保障型实例在所有地域陆续上线，确保用户获得需要的性能，而不需要预热等机制。在具体的性能指标上，单实例可支持100万并发连接，10万新建连接，5万QPS，并且有单实例更高性能需求的用户还可以申请开通更高性能的实例。这些性能指标的背后是负载均衡产品软件，硬件，OS等多个层面的深度优化。有兴趣的同学可以参考技术揭秘https://yq.aliyun.com/articles/218895

NAT网关产品，主要是SNAT最大连接数指标，目前线上公有云是100万，随着NAT网关技术升级，NAT网关的最大连接数和新建连接数指标即将“无限”，成为更强的企业级公网网关产品。

VPC容量方面，单VPC可支撑10万台ECS，单个Region支持100万VPC，双11的场景下，单VPC已经支持超过2万ECS和5万容器了。

再次，稳定是企业级需求中压倒一切的根本。主动维护时99%的场景下能热升级，不影响用户使用。集群中的机器出现异常时能自动处理不影响用户。整个可用区故障时，系统能自动切换，尽可能短的影响用户。经过长时间的研发，目前网络产品在以下方面取得了不错的进展。

第一是全局配置同步，支持可用区级别的容灾。即一个实例的配置在Region内所有可用区都是存储的，比如华东1Region的一个EIP，这个EIP的配置会在华东1下所有的可用区存在，这是出现问题时能够快速恢复的前提。在这个基础上网络相关产品，如EIP，负载均衡，NAT网关等都实现了可用区级别的容灾，即如果一个可用区出现故障，系统能在20秒内自动切换到另一个可用区继续服务，从而提升了用户系统的稳定性。

第二是热升级，升级时99%的情况下0中断。云产品需要快速迭代，这就意味着需要经常对系统进行升级。此外，随着集群规模的不断扩大，机器故障也变成了常态，这就需要系统支持热升级，尽量减少用户系统的闪断。特别是对于有状态的负载均衡来说，这一点尤其重要。负载均衡采用集群部署模式，避免了单点性能瓶颈和单点故障，但是，集群中的多台机器如果有一台出现故障，其它机器如何接管这台机器的会话从而不中断故障机器上的会话呢？负载均衡采用了Session同步机制来解决这个问题，可以参考https://yq.aliyun.com/articles/191149

除了这些产品方面的稳定性功能外，在数据中心IDC的风火水电网等基础设施方面，阿里云IDC采用双向独立市电引入，机架服务器AB路供电，并且具有电池后备电源，可无缝接管25分钟，IDC具有业界顶尖的N+1冗余柴油发电机，可分钟级切换。同时IDC具有高可用的骨干网络，AZ间低延迟、AZ内双冗余、三路由出口光纤冗余，3+N超多线冗余BGP，平均延迟小于40ms，平均丢包率小于1%。诸多的基础设施保障稳定性。

最后，企业级需求必须要保障的一点是安全。安全涉及的面比较广，本文不讨论诸如DDoS攻击，WAF，加密审计等方面的安全，仅仅从网络产品的角度谈谈网络安全。对网络产品来说，最关键的安全就是VPC。VPC基于数据链路层，使用隧道技术进行租户隔离，比经典网络的三层隔离更安全。
如下图所示，VM1和VM3使用隧道ID 100，VM2和VM4使用隧道ID 200，这2个隧道ID就对应两个不同的用户，虽然都在一张网络中通信，但由于隧道ID不同，彼此是无法通信的，这确保了租户的安全隔离。

除了VPC外，还有一系列的安全机制，比如安全组在VPC内也可以正常使用，还有负载均衡白名单以及即将上线的黑名单功能，后续公网相关产品会统一支持类似黑白名单的机制。另外，网络ACL功能也在研发中，上线后能进一步增加网络安全性。

未来，网络产品会继续关注企业级用户的需求，提供更多的企业级功能和特性。