企业运维训练营之云上网络原理与实践
第五讲 云上网络互连(上)
视频地址:
https://developer.aliyun.com/learning/course/991/detail/14983
课程目标:
- 了解企业广域网络的通用需求以及典型的企业组网架构
- 了解云企业网的组成模块及转发原理
- 掌握通过云企业网实现VPC间互通以及统一的南北向出口
- 掌握云企业网常见问题和解决方案
课程目录:
- 企业组网架构
- 云企业网
- CENTR的组件
- 最佳实践
- 问题排查
- 基础实验
正文:
一、 企业组网架构
1. 办公局点
a. 办公局点的企业组网架构组成部分包括:
- 边界路由器(Router):局点接入,访问公网;
- 防火墙(Firewall):安全隔离,划分可信区域;
- 核心交换机(Core-Swith):VLAN划分,承上启下;
- 接入交换机(ASW):终端接入,如办公室电脑、打印机,员工手机等;
b. 典型的办公局点企业组网架构包含三个区域:
典型企业组网架构
- 可信区域(Trust Zone):在这个区域中,接入交换机连接到核心交换机后,形成一个小的局域网,局域网是私网连接,相对安全,因此被称为可信区域;
- 不可信区域(Untrust Zone):在这个区域,私网可以通过路由器访问公网,为了保障网络安全,在可信区域和不可信区域中间添加一道防火墙进行隔离;
- 非军事化区域(DMZ Zone):为了更好的隔离可信区和非可信区,在它们之间添加的特殊网络区域,企业私网可通过Proxy访问公网,实现内外网分离,使企业内部网络更安全;在这个区域内会放置一些允许外网访问的服务器,比如Email服务器、FTP服务器等,同时还会放置AD服务器作为中心控制。
2. 数据中心网
数据中心组网架构
- 在数据中心组网架构中,主要有三个层次:广域网(WAN-Router)、数据中心核心(Core)、接入层和服务器(ASW-RS);
- 为了提供更好的网络收敛比,在数据中心核心到接入交换机之间,通常还会有两层:核心交换机和汇聚交换机;
- 服务器RS向广域网方向的流量属于南北向,服务器之间的交互的流量属于东西向。
3. 跨域网络 - 局点间打通
假设一个企业在5个城市(北京、上海、杭州、成都、深圳)都有办公点,这5个办公点之间需要两两互通,一般有三种组网方案:
方案一:Hub-Spoke
在这5个城市中,选择其中一个跟其他4个城市距离最短的城市作为中转站,比如杭州,将4个城市跟杭州连接,这样4个城市可以通过杭州相互连接。
存在问题:
如果其中一个城市与杭州的连接中断,则它与其他城市的连接就都中断了,即脱离公司组网,因此,通常会在两个城市之间建立2条连接。
方案二:Hub-Spoke+HA
这种方案是在方案一的基础上加了HA(High Available),将每个城市除了跟杭州相连接外,还与其他两个城市相连接,比如成都分别跟杭州、北京、深圳连接,这样即使成都和杭州之间的连接中断,还是可以通过路由的方式通过北京或深圳与杭州连接,基本解决了网络高可用的问题。
存在问题:
高时延。
方案三:FullMesh
FullMesh指两两之间都有点到点的互通。这个方案的优点在于:当其中一条连接中断,可以选择另一条最短连接线路,以确保尽量不牺牲时延,比如成都和杭州中断,可以选择成都到上海到杭州。
以上方案中,连接企业各局点的实线部分,通常使用IPSEC VPN、物理专线等,如果各局点指的是阿里云VPC,又该如何实现互联呢?
二、云企业网
1. 云企业网概述
云企业网CEN(Cloud Enterprise Network)是运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR(TransitRouter),帮助用户在跨地域专有网络之间、专有网络与本地数据中心间,搭建私网通信通道,为用户打造一张灵活、可靠、大规模的企业级云上网络。
如下图所示,云企业网实现IDC通过专线连到阿里云边界路由器,与悉尼VPC和上海VPC互通,也可以通过智能接入网关连到云连接网,并与其他VPC互通。
2. 云企业网底层基座
阿里云在全球构建了最广泛的全球化网络基础设计覆盖,包括25个可用地域、80个可用区、280+个POP节点和2800+个边缘节点,为云企业网提供完整的两两互通方案奠定了基础。
- 跨地域通信底层传输链路高冗余
CEN底层使用阿里巴巴全球传输网络任意两点不少于3条路径冗余, SLA可达99.5%;
- 支持云下机构接入多种方式互备
CEN支持双专线,专线和VPN,专线和CCN多种冗余组合方式提升上云链路可靠性;
- 支持上云链路健康检查
可配置专线上云健康检查,系统自动探测链路状况;
- 低时延
- CEN底层使用阿里巴巴全球传输网络,高质量,任意两点之间以最短路径私网互通;
- 丰富的跨境出口链路,最优化全国用户出海体验。
名词解释
可用地域(Region):在云网络中的每个点(如:北京、上海、美东,等)就是一个Region;
可用区:指机房,每个Region里会有多个可用区,计算和存储都在可用区;
POP节点:专线接入点,用户可以接入POP点并通过阿里云内网与各地域互通;
边缘节点:更接近用户的网络边缘节点,类似CDN边缘的概念;
3. 云企业网网络体验
阿里云的云网络体验馆:
通过测试从青岛到美国硅谷的连接速度,对比公网和云企业网的表现:
- 时延:降低41%
公网连接时延:237.06ms
云企业网时延:141.57ms
- 丢包率:
公网:30%以上
云企业网:0%
公网连接需要绕行多个运营商导致时延长、丢包率高,而云企业网则通过专线连接,因此在时延和丢包率方面有更好的表现。
云企业网的四大优势:
a. 全球网络大规模互联
转发路由器联合带宽包能快速连接多个地域的VPC和云下网络,实现全球资源互通,同地域下企业版转发路由器支持200个VPC互联,满足企业网络规模扩张的需求;
b. 低时延高速率
转发路由器提供低延迟、高速率的网络传输能力。同地域资源互通最大速率可达到网络设备端口转发速率,全球资源互通,网络整体时延较公网互通时延有很大提升;
c. 按需付费快速交付
转发路由器支持按使用量付费。同地域下网络互通仅需为已经连接的网络实例和转发路由器处理过的流量付费;跨地域链路可以快速开通、快速变配,无固定的设备、线路投入降低网络建设成本;
d. 一站式运维
控制台提供基于地理位置和基于网络资源的可视化管理界面,用户可以通过可视化管理界面,快速查看同地域和跨地域组网拓扑,迅速掌握全网运行状态,提高网络运维效率。
4. 云企业网发展
目前,云企业网有两个版本,CEN1.0(下图上)和CEN2.0(下图下)。对比两个版本可以发现,CEN2.0在中间节点的每个接入设备添加了一个转发路由器(Transit Router,TR),其目的是用来解决由于CEN1.0的限制所产生的问题。
云企业网CEN1.0架构和CEN2.0架构
a. CEN1.0的主要限制:
- 同地域加载网络实例最大为15(无法有效支持企业级大客户东西向扩展);
- CEN整体的路由表最大为300条;
- 加入VPC和VBR的路由自学习,客户无法自主控制,对于一些存在生产、测试、公共服务区、DMZ区标准的企业网络架构不支持;
b. CEN2.0如何解决这些问题?
- 引入TransitRouter(TR)的虚拟NFV网元节点,VPC、VBR、CCN等实例attach到虚拟NFV网元上,利用NFV横向扩容的能力,当前一个地域TR默认可以支持关联100个VPC、10个VBR、10个 CCN;
- 从原本纯动态的路由,修改为静态路由,有效收敛路由条目数,但是对于TR自身而言又保留路由学习的概念,简化客户的操作;
- 控制面都上移到TR的NFV网元,在NFV网元上设计自定义路由表,可以实现更灵活的企业标准组网,如东西向服务链,统一的南北向出口、共享服务器区、单一VPC加入多CEN等。
5. 云企业网应用场景
转发路由器TR(TransitRouter)是地域范围内企业级核心转发网元,可转发同地域或跨地域的网络实例间的流量,并支持在地域内定义灵活的互通、隔离、引流策略,帮助用户打造一张灵活、可靠、大规模的企业级互联网络。
在跨地域网络互连场景下,需要引入跨地域带宽来实现两两互通。
