云网络架构
阿里云操作系统叫飞天,云网络平台称为洛神。作为飞天系统的核心组件,洛神平台支撑了超大规模租户、超大规模虚拟机的高性能云网络。
洛神平台由很多网络设备组成,在架构上主要可以分为两类:虚拟交换机AVS和各种网关设备。AVS负责ECS的虚拟网络接入,网关设备提供了丰富的网络功能和服务。
早期的洛神平台中,AVS和网关设备都是在x86物理机上基于kernel架构实现的,转发性能不高。随着DPDK技术的成熟,在洛神1.0架构中,AVS和网关设备基于DPDK进行了重构,使转发性能有显著提升,网关设备单物理机能提供100G+的转发能力。此外,我们也基于DPDK开发了一套高性能的通用转发平台NetFrame,包含了收发包、协议栈等通用的网络基础特性,屏蔽了DPDK版本和底层硬件差异,并做了大量的算法库优化和性能调优,使各网关产品能更专注于业务功能的快速演进。
在过去很长一段时间里,这个架构很好的满足了业务需求,并支撑了云网络的快速发展。但近几年,随着搬站和集团上云的推进,网络业务和流量出现了数量级增长,基于x86物理机软转发架构的问题也日益突出:
- • 单核性能瓶颈,大流量或攻击场景容易打爆
- • 部分场景业务流量激增,达到数十Tbps,物理机转发性能和业务述求间差了几个数量级
- • 物理机扩容周期长,弹性不足,无法按需扩缩容
- • 开放能力不足,无法支持生态部署
- • ......
软硬件一体化
上述问题中,最关键的两个述求是高性能和高弹性。在这个背景下,洛神平台升级到了2.0架构,通过软硬件一体化,打造了连接全球、超大规模、弹性开放的新一代云网络平台。
硬件是解决性能问题的最佳选择。近几年随着SDN技术的普及,交换芯片和智能网卡都具备了不错的可编程能力,已经能很好的满足云网络基础需求。洛神2.0中,AVS和基础网关设备实现了硬件加速,使转发性能显著提升,单核问题和水位问题也都不复存在。
硬件性能很好,但可编程能力和资源都比较有限。对于路由、转发,硬件很擅长;但对于NAT、SLB这些有状态的复杂业务,硬件就有点力不从心了。除了硬件加速,洛神2.0还构建了新一代NFV平台,拥抱云原生,将网元逻辑部署在通用ECS上,提供弹性和开放能力,很好的弥补了硬件灵活性不足的问题。
通过软硬件一体化,基础网元通过硬件实现了超高的转发性能,复杂的业务网元则基于NFV平台实现了超高的灵活性和弹性。
云网络NFV平台
NFV的关键技术是构建平台能力,包括虚拟网络的调度能力和NFV资源池的抽象管理能力。基于平台能力,加上在ECS内实现的网络功能,就可以包装出各种网元产品了。
洛神2.0 NFV平台的定位就是构建通用、灵活的平台能力,降低业务网元NFV化的门槛和成本,提高产品能效。整个平台由NFV转发和NFV管控两部分组成,在实现上主要有以下特点:
- • 基于ECS构建资源池,提供分钟级交付和弹性伸缩能力
- • 支持多租户模式,提供通用的负载均衡、弹性扩缩容、故障隔离等基础能力
- • 支持网络功能的服务链编排,将网络产品和安全产品串接成解决方案
- • 支持第三方生态接入
NFV转发平台采用了分层设计,通过抽象转发层和业务逻辑层,实现了转发的快慢速分离。受益于洛神1.0中对于DPDK和NetFrame的积累,业务网元从物理机迁移到ECS后仍具备了很高的转发性能,结合ECS的弹性和NFV架构的水平伸缩能力,能分钟级交付单客户100G+的转发能力。
NFV管控平台通过服务化形式,为各业务网元管控提供了通用的资源池化、弹性扩缩容、故障隔离、服务链编排等通用管控能力。通过NFV管控的抽象层,底层转发资源、水位、调度、隔离对业务网元管控透明,业务网元管控可以更加专注于自身业务逻辑的快速演进。
丰富的NFV网元
作为洛神2.0的重要一部分,目前PrivateLink、NAT、SLB等网元产品已经演进到了新一代的NFV架构,并通过新架构获得了很好的弹性和灵活性,后续也会有多的产品基于NFV架构进行构建和演进。
此外,通过NFV平台,第三方厂商可以将其应用移到阿里云,和阿里云自建网元一样获取弹性和调度能力,并在云市场里对云上的客户进行售卖和提供服务,形成一个非常好的生态系统,丰富云上客户的选择。
