架构师必备技能 2019-06-27
在2018云栖大会-南京峰会上,阿里云技术专家胡茂庐讲述了阿里云网络架构VPC的概念,并对比经典网络详细分析了VPC及其产品的核心优势,以及讲述了全球网络的实现方式。在最后由新华报业传媒集团技术装备主任章劲松分享了以往传统方式的不足和阿里合作之后所带来的收获。
以下是精彩视频内容整理:
阿里云网络产品概览
很多人都关心阿里云网络都有哪些能力,上图便是阿里云网络的能力概览。关于图中的北向指的是数据中心到互联网方向的流量,南向是指云上和线下IDC之间的能力。东西向代表数据中心内部的流量,或者数据中心互联的流量。在上述的前提概念下,其能力的具体体现如下。首先建立一张网络,和传统IDC一样需要路由器交换机来把云上的资源进行互联。随后将云资源进行复用时则需要系统的扩展能力即私网SLB。在构建一张网络之后,无论用到什么业务或者资源,最终会有两个诉求,一是和其它的网内资源做内网互通,二是访问net。从图上可看出,访问net是通过弹性公网IP,net网关和负载均衡SLB的方式提供对外的公网能力。同时也会有公网方面的业务诉求,如共享带宽,共享流量包。在东西向能力上,要能做到内网的互联则需要通过高速通道和云企业网。
VPC-云上专有网络环境
VPC是用户独享的云上私有网络。经典网络都是依赖于物理交换机组成一个物理平面的网络,而VPC是基于物理网络之上利用vxlan技术形成一个overlead的网络层面。VPC之间是通过隧道的id进行逻辑上的隔离,所以他是一个用户完全掌握自己的私有网络,可以自助进行网络规划,比如自定义网段,划分子网,管理路由,管理公网出入等等。
VPC核心优势
相比于传统网络VPC有很多优势。首先VPC的技术是利用vxlan,这使得在做不同的隧道封装时,不同的VPC之间是天然的隔离开来。传统网络使用的是二层技术,故而相对于VPC的三层技术,安全性要差很多。其次VPC的成本很低,同比于经典的ECS,VPC是95折,而且也会在共享流量、共享宽带上大大节约成本。最后从功能上来说,相比于经典网络的不可分配,VPC可以让用户进行自定义网络、子网划分、NAT网关、多地域私网互通、混合云、子网路由。
公网产品
公网产品有三个,包括弹性公网ip,它的核心功能是:支持SNAT/DNAT,既可以让VPC和ESC访问Internet,也可以让外部用户从Internet访问。负载均衡SLB,它的而核心功能是:基于负载的端口均衡支持TCP/UDP/HTTP/HTTPS用户可自定义健康检查。NAT网关,它的核心功能是:支持SNAT/DNAT,可以让多台VPC和ESC同时访问Internet,并让让外部用户从Internet访问。
在经典网络中,公网ip与ECS和虚拟机是捆绑在一起的。所以当ECS被攻击时需要换ip,或者ECS出现故障,需要换一台设备,故而导致公网ip会被替换掉。这不是很多业务或者企业所能接受的,故而有了弹性网络,它可以将EIP和ECS松耦合,这样公网ip就可以独立持有,方便上述情况的解决。
在做业务扩展性的时候,当一台服务器对外服务不满足条件时,往往需要更换一台更高规格的服务器。而负载均和SLB可以通过流量分发的技术,将一个服务请求分担到多个服务器上,这样一来就可以通过增加服务器的方式来解决上述问题,从而在弹性扩展,流量均衡,业务连续,可靠性上有了很大的提高。
在以EIP的方式对外提供公网时,会导致无论EIP如何绑定都不能减少资源数量和维护性的问题。NAT网关可以很好的解决这个问题,它可以用一个ip提供多个服务,可以自定义服务端口,灵活变更服务器端口。
网关优化-多线BGP
阿里巴巴的能力不仅仅体现在产品和技术上,也体现在资源上。众所周知,没有一家厂商可以取代一个运营商来自己建立一个大型的互联网,阿里巴巴也一样,公网的访问也依赖于运营商的大型网络。多家运营商的网络不能随时互通只能在特定的网络条件下互通,故而阿里巴巴为了解决这个问题,通过路由发布和运营商建立尽量多的BGP对等体,这样就不需要从运营商的主端网流通,从而减少网络的跳数,进而大大提高网络质量。
全球网络-专线+高速通道
阿里巴巴在上云之后,可以说在每个区域的网络都可以在分钟级别内覆盖到。比如说在华北有一家企业有自己的网络,当在其它地方新开一个分支,则需要做互通,那将需要找专业的工程师和专业的队伍花费很长的时间才能完成。而阿里只需要在华北区域和其它区域各自在云上部署办公系统,再利用高速通道来打通VPC-VPC的互联。这样一来就形成了华北地区和新开地区的局域网,从而大大减少了资源与时间。当存在一些不能上云数据时,阿里云可以通过专线通道的方式,直接将线下IDC和线上VPC打通。故而通过上述一揽子的能力,用户既可以完成全球级的网络部署。
相对于运行商专线的高成本,VPN可以解决最后一公里的通讯问题,并且可以减少很大的成本。这种方式从技术上来看,从办公点通过Ipsec-VPC、家庭或出差低通过SSL-VPN、手机端通过SSL-VPN接到云上VPC,这样就打通了办公点和云上的通讯。
公司业务新需求
随着信息时代的飞速发展,读者在大场景下收到了潜移默化的影响且发生巨大的变化。数多年前只有纸质的报纸,在互联网出现之后,人们通过报网来阅读新闻,再后来就出现了报网端微屏的阅读方式。然而仍然有很多喜欢读纸质报纸的人群,所以要将报和报网和报网端微屏整合做一个交汇点,从而应运而生一个交汇点app。在有了这样一个蓝图之后,则需要有一个属于自己的部署机房。在部署的过程中遇到了很多问题,例如安全问题、网络稳定性以及接入体验等。为了解决这一系列问题,只能尽可能多的进入运营商的线路,再由运营商提供CDN做加锁,但当仍然存在很多问题需要解决。但阿里云的方案很好的解决这一系列问题。
上图为云端加本地相结合的部署方式,在阿里云端和本地部署中心,阿里云均提供了非常健全的安全机制。再由专线部署完成数据的同步,这样一来实现了交互点app同时在线上和线下同时在云端的数据同步。当上百万用户同时访问时,在线上和线下均可以提供资源和做出应对。当本地专线支持专线时,就用本地资源或者只用阿里云的资源就可以完成。此外,通过DNS的切换,可以让不同的访问者访问不同的资源。
通过与阿里云工程师制定方案实施了本地化和云端部署相结合,轻耦合、可自动弹性扩展,可承载未来的大数据融合服务,并研究了最有性价比。通过上述一系列的部署,效果也非常显著,用户接入体验明显提升,通过云盾有效应对安全问题,管理人员可以通过管理界面、流量统计、访问统计、地域分析等功能积累的数据来进行分析并制定应对方案。
本文作者:wanwlxmmd
本文为云栖社区原创内容,未经允许不得转载。