跨 VPC 大规模组网
本文介绍如何利用云平台中的网络组件,构建跨越多个 VPC 的大规模网络。
适用场景
当企业业务非常复杂时,VPC 内云服务器数量的增长会导致防火墙规则数量指数级爆炸增长,将严重消耗网络性能。这时,便可以充分利用 VPC 网络自身的隔离功能,组建安全的大规模网络。VPC 网络 100% 二层隔离,天然具备安全可靠性。
组网方案
方案一:小规模跨 VPC 通信
VPC 自身的 NAT 功能 和 VPN 组件,可以应用在小规模的跨 VPC 通信场景下,例如用于 VPC 内云服务器对外提供服务。
通过 VPC 的 NAT 功能
VPC 网络支持源地址转换(通过公网 IP)和目的地址转换(通过“端口转发”)。
给 VPC 绑定一个公网 IP ,会自动配置源 NAT 功能,VPC 内所有机器可以使用 VPC 的公网地址去访问公网,就不再需要每台机器绑定公网 IP 地址。
端口转发通过转发公网 IP 的不同端口给不同云服务器,VPC 内的不同机器可以使用 VPC 的公网地址的不同端口来对外提供服务。
劣势:由于常见的 HTTP 和 HTTPS 服务需要用 80 端口和 443 端口对公网提供服务,而端口转发一个端口只能对应后端一台服务器,所以不适用大规模的 Web 服务。因此,VPC 的 NAT 功能对于单一端口的应用和服务不具备广泛适用性,不太适用构建大量的跨 VPC 服务。
通过隧道和 VPN 服务
在 VPC 内还可以使用隧道服务,基于 Internet,通过加密通道将企业数据中心、企业办公网络、或 Internet 终端、VPC 和 VPC 安全连接起来。
VPN 服务也是基于 Internet 的传输加密方式,在单台机器而非整个网络连接 VPC 内网时可以通过输入登录名密码的方式简单实现。
劣势:虽然隧道和 VPN 对数据进行了加密,但是仍然完全依赖公网链路,所以无法避免公网的波动导致的网络不稳定。如果 VPN 和隧道经过的网络链路出现丢包和高延迟,将导致网络服务的波动。
方案二:搭建大规模高性能自治网络
通过采用内网路由器实现大规模高性能的跨 VPC 通信:内网路由器可以将企业内网从单一路由的 VPC 网络,扩展为一个虚拟的自治系统(Autonomous Systems)。其架构图如下:
架构说明:
-
虚拟路由器是分布在各个物理计算节点的分布式路由器 DVR (Distributed Virtual Router),由于数据包并未真正汇聚到某个虚拟路由器中,所以避免了单点故障和单点性能瓶颈。
-
内网路由器运行在物理交换机上,性能和稳定性都远远强于虚拟路由器,物理交换机之间还存在bonding,防止单点故障。
-
通过内网路由器实现不同 VPC 之间的私有网络直接三层互通,所以内网路由器是整个虚拟网络的核心路由器。在逻辑上,云上的网络和物理网络已基本没有区别,且完全摆脱了命令行,能够以可视化界面管理您的 “自治网络” 。
操作方法:
-
在控制台中,您可以选择需要关联内网路由器的私有网络,内网路由器在三层转发的性能远远超过普通的 VPC ,所以也可以将内网路由器绑定到 VPC,加强 VPC 的内网 PPS 和带宽性能。
-
在内网路由器里加入私有网络 Vxnet 后,您需要在私有网络所在的 VPC 配置内网路由策略,将对目标网络的下一跳指向内网路由器。
方案三:云上构建“两地三中心”的网络
对 IT 企业来说,传统的单数据中心,已不足以保护企业数据的安全。因此,云平台在 PEK3a / PEK3 / SH1A / GD2 区域之间搭建了物理专线,方便大型企业打造容灾的网络架构。
通过内网路由器+网关(+云平台专线)的方式,可以直接利用机房间的专线,从物理链路层实现高可靠,打通不同可用区之间的 VPC ,在公有云上实现“两地三中心”的网络架构。
构建“两地三中心”的网络,与上一节中搭建“自治网络”的操作一致,只需要额外在每个业务可用区部署一个网关。完整的操作步骤请见 VPC 跨区互联。
方案四:构建云上云下“云网一体化”
内网路由器除了作为公有云的核心路由器,也可以作为公有云的“边界路由”,与私有云的边界设备打通,构建“云网一体化”方案。
内网路由器可以用于承接来自边界网关和 SD-WAN 的流量,发挥边界路由作用,与 SD-WAN 共同构建跨多地域多 VPC,云上云下一体的“云网一体化”方案。
SD-WAN 接入不受地域限制,只需要盒子连接公网;专线接入目前覆盖北上广一线城市,提供物理链路支持。
企业 WAN 网采用最新的 SD-WAN 方案,接入方式可以选择普通宽带接入或者物理专线接入,还支持 MPLS/VPN 和 4G LTE 等多种接入方式,让您轻松摆脱运营商网络抖动、丢包问题,具备实时监控隧道质量, 动态链路切换的功能。同时可以即插即用,无需二次部署和配置。
FAQ
Q:为什么不使用负载均衡器?
A:负载均衡器功能属于 4 ~ 7 层设备,依赖 2 ~ 3 层的互通,而不是去实现 2 ~ 3 层互通。若已有网络 ping 不通,是无法通过负载均衡器解决的。除非您绑定一个公网 IP。但这种方式的互通是公网 IP 去实现的,也并非通过负载均衡器实现了互通。并且,针对只对内网开放的服务(比如开发测试环境),是不允许绑定公网 IP 的,从成本来说也是浪费公网的流量。