企业级全球网络
企业级网络首要的要求是自主可控,网段的规划、IP地址的划分、公网的接入等相关的网络管理能力必须牢牢掌握在企业手内;第二个要求是稳定可靠,网络作为企业的基础设施,网络的稳定可靠关系到上层业务和服务的延续性和稳定;第三个要求是安全隔离,企业级网络必须做到安全、隔离,尤其在云端的网络和租户的隔离更加重要;第四个要求是高速互联,在全球化的背景下企业的业务面向的是全球的用户,不同地域部署的业务系统之间实现高速互联是非常重要的要求。
此外,目前企业上云是大势所趋,上云过程中,用户自建的IDC等基础设施和云端的连通也是需要考虑的问题。云计算时代,网络又增添了其他特性,如按需购买、即时交付、弹性伸缩。
现在,企业的业务通常面向全球用户,此时需要建立全球的骨干网,实现业务多地部署、跨国部署、云上云下互联
典型场景与方案
场景一:自主可控的网络
在云上经典网络中,用户是没有网络管理功能的,更做不到自主可控;尽管自建物理网络可以实现用户想要的功能,但成本很高。
通过在云上采用虚拟网络的方式,既解决了云上经典网络功能匮乏的问题,同时功能更多、更好、更快,成本也极大降低了。自主可控网络中较为重要的一点是可以进行网络规划,自主进行IP地址规划、自定义路由、公网访问;另外一个重要的功能是进行安全隔离,实现云上资源租户、生产与测试环境之间的隔离,以及访问控制。
要实现自主可控的网络,阿里云给出的解决方案是VPC。VPC可以理解为一个网络容器,其中包含路由器、交换机,ECS、RDS、SLB等云产品可以放在VPC这个容器内。VPC的两大特性非常适应上述场景要求:首先,VPC是安全隔离的网络,它是使用隧道技术二层隔离的网络,比三层隔离更为安全;其次,VPC是可控的网络,用户可以通过VPC实现IP地址的规划、控制云资源访问的安全组以及控制公网出入。
VPC的原理是通过使用SDN的思想进行网络功能虚拟化,简单来说包括网络虚拟化和网元虚拟化,网络虚拟化是将物理网络进行封装,给每个用户一张独立的虚拟网络;网元虚拟化是将网络设备进行虚拟化,提供给用户在虚拟网络中使用。
阿里云在4月20日深圳云栖大会上宣布云产品全面进入VPC时代,新用户后续只能购买VPC类型的云资源,此外阿里云云产品95%的云产品都接入到VPC。从业内来看,目前主要的云服务商提供了VPC,并且大部分不再提供经典的网络,如AWS。
为了打消用户使用VPC时可能会存在其他方面的顾虑,阿里云提供了Default VPC,小白用户也能使用VPC内的云资源,同时系统会自动为用户建立VPC和VSwitch;同时阿里云产品95%都接入了VPC,因此使用者可以大胆地使用VPC,无需担心VPC与其他产品不匹配的问题。
场景二:VPC中访问云产品
VPC中访问云产品有两种访问方式:
- 用户私有IP访问,用户是以自己VPC内的一个私网IP访问云产品,例如用户A的VPC地址段是192.168.1.0/24,用户可使用192.168.1.1作为其RDS的IP,这种方式一般适用于实例型云产品,如RDS、SLB等;
- 公共IP访问,一个Region内所有用户的VPC都是使用同一个IP访问云产品,例如北京的所有VPC都使用100.100.18.8这个IP访问OSS服务,这种方式适用于非实例型云产品。
场景三:公网出入
VPC是一个隔离的私有网络,默认情况下外网是无法与内网进行通信的。阿里云提供了三款产品用于VPC控制公网出入:弹性公网IP、负载均衡、NAT网关。
上图架构中最左侧是弹性公网IP,它是一个独立的产品,用户可以将其绑定到VPC网络中的ECS上,之后该ECS就具备了被公网访问和出公网的能力。它的使用方法最为简单,但只能绑定到一个ECS上,当VPC网络中ECS数量较少建议使用;此外,当ECS不想被公网访问和出公网时,只需解绑弹性公网IP即可。
架构中间部分是负载均衡,它可以将入流量分流到后端的不同ECS上,它只提供入的方向,不提供出的方向,其核心在于流量的负载均衡。
架构中最右侧的是NAT网关,首先,它可以提供入方向的访问能力(DNAT),通过NAT网关DNAT功能的IP映射方式实现,将一个公网IP映射给一个ECS独占使用;当然,用户可以在NAT网关上开多个端口,例如80端口投递到ECS1,90端口投递到ECS2上。NAT网关还提供了SNAT功能,可以是VPC中的ECS通过NAT网关出到公网。此外,NAT网关上的公网IP以共享带宽包形式封装,支持多IP共享共享带宽,优化采购成本、提高带宽使用率和灵活性。
场景四:私网互联
当企业需要多地域部署、跨国部署时,在不同地域之间需要稳定可靠的私网互联的环境;此外,云上的VPC网络和云下自建IDC机房的互联互通也是企业必须要解决的问题。
为了应对私网互联的场景,阿里云提供了高速通道的产品解决方案。高速通道要解决的核心问题包括两点:第一是云上VPC互通;第二是VPC和云下IDC互通。
对于VPC私网互通,高速通道产品可以让用户在同账号和跨账号的情况都可用;此外,它还支持同地域和跨地域的VPC之间互联互通;同时,它的操作十分简单,只需简单的6步就可以完成地域专线搭建;传输速度也非常快,同地域内延迟小于3毫秒,不同地域间延迟小于55毫秒。
上图显示的是杭州到美国的跨国私网互通的具体延迟参数。杭州到美国的延迟正常情况下是200-300毫秒甚至更多,并且不是每一家企业都具备搭建从美国到中国专线的能力。通过使用阿里云高速通道产品,可以将延迟降低到126毫秒,而且能做到即时开通,极大方便了企业的跨国业务。
云上VPC和云下的IDC机房构成了混合云架构,两者之间互通的接入方式有两种:
- 自主专线接入,用户自行寻找运营商,自主付费从阿里云VPC接入点拉专线接通到IDC机房;
- 通过合作伙伴接入,用户只需要将专线拉通到阿里云合作伙伴接入点,通过合作伙伴转接到阿里云VPC接入点。
典型案例
接下来分享两个典型的案例,第一个案例是新浪微博的混合云。
新浪微博在2016年除夕,讨论春晚的微博达到5291万条;抢微博红包超过8亿次,其中超过1亿人抢到红包。
支撑这些庞大数据的背后是新浪微博的混合云架构,它在云上配置了多个VPC和几千台ECS;同时,微博自建的IDC通过高速通道专线接入阿里云VPC,建立混合云架构;实现云上云下系统频繁调用。通过使用混合云,大大降低了峰值带来的成本;其次实现完美弹性,平时在1G左右,峰值活动时升至10G;并且这种混合云架构,大大降低了新浪微博系统改造成本。
另外一个案例是某视频直播APP跨国部署场景,该公司在华北和美西部署了跨国业务,在两地都使用VPC。该公司通过高速通道构建了中美跨国专线,通过小带宽实现(弹性低成本),进行系统的预演,前期测试等;在正式生产时,采用G级别的跨国生产专线,满足业务需求,延迟稳定在126毫秒左右。
总结
通过VPC专有网络,用户可以搭建云上自主可控的网络,自定分配IP地址段、网络规划、子网划分、公网控制、安全控制等;同时,通过使用VPC,用户可以实现云上安全隔离的网络;此外,用户还拥有了更强大的网络功能基础,如带宽包、弹性部署等。
在公网出入控制方面,阿里云提供了EIP、NAT网关、负载均衡控三类产品;此外,阿里云提供的高速通道可以帮助用户实现跨地域/国VPC之间私网互通以及实现云上VPC与云下IDC机房互通的混合云架构。通过这些网络产品,将阿里巴巴拥有全球骨干网的基础设施共享给用户,让用户具备构建企业级全球网络架构能力。
相关云产品:
- 负载均衡SLB: https://www.aliyun.com/product/slb
- NAT网关:https://www.aliyun.com/product/nat
- 高速通道:https://www.aliyun.com/product/expressconnect
