云网络架构

阿里云操作系统叫飞天，云网络平台称为洛神。作为飞天系统的核心组件，洛神平台支撑了超大规模租户、超大规模虚拟机的高性能云网络。

洛神平台由很多网络设备组成，在架构上主要可以分为两类：虚拟交换机AVS和各种网关设备。AVS负责ECS的虚拟网络接入，网关设备提供了丰富的网络功能和服务。

早期的洛神平台中，AVS和网关设备都是在x86物理机上基于kernel架构实现的，转发性能不高。随着DPDK技术的成熟，在洛神1.0架构中，AVS和网关设备基于DPDK进行了重构，使转发性能有显著提升，网关设备单物理机能提供100G+的转发能力。此外，我们也基于DPDK开发了一套高性能的通用转发平台NetFrame，包含了收发包、协议栈等通用的网络基础特性，屏蔽了DPDK版本和底层硬件差异，并做了大量的算法库优化和性能调优，使各网关产品能更专注于业务功能的快速演进。

在过去很长一段时间里，这个架构很好的满足了业务需求，并支撑了云网络的快速发展。但近几年，随着搬站和集团上云的推进，网络业务和流量出现了数量级增长，基于x86物理机软转发架构的问题也日益突出：

• • 单核性能瓶颈，大流量或攻击场景容易打爆
• • 部分场景业务流量激增，达到数十Tbps，物理机转发性能和业务述求间差了几个数量级
• • 物理机扩容周期长，弹性不足，无法按需扩缩容
• • 开放能力不足，无法支持生态部署
• • ......

软硬件一体化

上述问题中，最关键的两个述求是高性能和高弹性。在这个背景下，洛神平台升级到了2.0架构，通过软硬件一体化，打造了连接全球、超大规模、弹性开放的新一代云网络平台。

硬件是解决性能问题的最佳选择。近几年随着SDN技术的普及，交换芯片和智能网卡都具备了不错的可编程能力，已经能很好的满足云网络基础需求。洛神2.0中，AVS和基础网关设备实现了硬件加速，使转发性能显著提升，单核问题和水位问题也都不复存在。

硬件性能很好，但可编程能力和资源都比较有限。对于路由、转发，硬件很擅长；但对于NAT、SLB这些有状态的复杂业务，硬件就有点力不从心了。除了硬件加速，洛神2.0还构建了新一代NFV平台，拥抱云原生，将网元逻辑部署在通用ECS上，提供弹性和开放能力，很好的弥补了硬件灵活性不足的问题。

通过软硬件一体化，基础网元通过硬件实现了超高的转发性能，复杂的业务网元则基于NFV平台实现了超高的灵活性和弹性。

云网络NFV平台

NFV的关键技术是构建平台能力，包括虚拟网络的调度能力和NFV资源池的抽象管理能力。基于平台能力，加上在ECS内实现的网络功能，就可以包装出各种网元产品了。

洛神2.0 NFV平台的定位就是构建通用、灵活的平台能力，降低业务网元NFV化的门槛和成本，提高产品能效。整个平台由NFV转发和NFV管控两部分组成，在实现上主要有以下特点：

• • 基于ECS构建资源池，提供分钟级交付和弹性伸缩能力
• • 支持多租户模式，提供通用的负载均衡、弹性扩缩容、故障隔离等基础能力
• • 支持网络功能的服务链编排，将网络产品和安全产品串接成解决方案
• • 支持第三方生态接入

NFV转发平台采用了分层设计，通过抽象转发层和业务逻辑层，实现了转发的快慢速分离。受益于洛神1.0中对于DPDK和NetFrame的积累，业务网元从物理机迁移到ECS后仍具备了很高的转发性能，结合ECS的弹性和NFV架构的水平伸缩能力，能分钟级交付单客户100G+的转发能力。

NFV管控平台通过服务化形式，为各业务网元管控提供了通用的资源池化、弹性扩缩容、故障隔离、服务链编排等通用管控能力。通过NFV管控的抽象层，底层转发资源、水位、调度、隔离对业务网元管控透明，业务网元管控可以更加专注于自身业务逻辑的快速演进。

丰富的NFV网元

作为洛神2.0的重要一部分，目前PrivateLink、NAT、SLB等网元产品已经演进到了新一代的NFV架构，并通过新架构获得了很好的弹性和灵活性，后续也会有多的产品基于NFV架构进行构建和演进。

此外，通过NFV平台，第三方厂商可以将其应用移到阿里云，和阿里云自建网元一样获取弹性和调度能力，并在云市场里对云上的客户进行售卖和提供服务，形成一个非常好的生态系统，丰富云上客户的选择。