雲網絡架構
阿裡雲作業系統叫飛天,雲網絡平台稱為洛神。作為飛天系統的核心元件,洛神平台支撐了超大規模租戶、超大規模虛拟機的高性能雲網絡。
洛神平台由很多網絡裝置組成,在架構上主要可以分為兩類:虛拟交換機AVS和各種網關裝置。AVS負責ECS的虛拟網絡接入,網關裝置提供了豐富的網絡功能和服務。
早期的洛神平台中,AVS和網關裝置都是在x86實體機上基于kernel架構實作的,轉發性能不高。随着DPDK技術的成熟,在洛神1.0架構中,AVS和網關裝置基于DPDK進行了重構,使轉發性能有顯著提升,網關裝置單實體機能提供100G+的轉發能力。此外,我們也基于DPDK開發了一套高性能的通用轉發平台NetFrame,包含了收發包、協定棧等通用的網絡基礎特性,屏蔽了DPDK版本和底層硬體差異,并做了大量的算法庫優化和性能調優,使各網關産品能更專注于業務功能的快速演進。
在過去很長一段時間裡,這個架構很好的滿足了業務需求,并支撐了雲網絡的快速發展。但近幾年,随着搬站和集團上雲的推進,網絡業務和流量出現了數量級增長,基于x86實體機軟轉發架構的問題也日益突出:
- • 單核性能瓶頸,大流量或攻擊場景容易打爆
- • 部分場景業務流量激增,達到數十Tbps,實體機轉發性能和業務述求間差了幾個數量級
- • 實體機擴容周期長,彈性不足,無法按需擴縮容
- • 開放能力不足,無法支援生态部署
- • ......
軟硬體一體化
上述問題中,最關鍵的兩個述求是高性能和高彈性。在這個背景下,洛神平台更新到了2.0架構,通過軟硬體一體化,打造了連接配接全球、超大規模、彈性開放的新一代雲網絡平台。
硬體是解決性能問題的最佳選擇。近幾年随着SDN技術的普及,交換晶片和智能網卡都具備了不錯的可程式設計能力,已經能很好的滿足雲網絡基礎需求。洛神2.0中,AVS和基礎網關裝置實作了硬體加速,使轉發性能顯著提升,單核問題和水位問題也都不複存在。
硬體性能很好,但可程式設計能力和資源都比較有限。對于路由、轉發,硬體很擅長;但對于NAT、SLB這些有狀态的複雜業務,硬體就有點力不從心了。除了硬體加速,洛神2.0還建構了新一代NFV平台,擁抱雲原生,将網元邏輯部署在通用ECS上,提供彈性和開放能力,很好的彌補了硬體靈活性不足的問題。
通過軟硬體一體化,基礎網元通過硬體實作了超高的轉發性能,複雜的業務網元則基于NFV平台實作了超高的靈活性和彈性。
雲網絡NFV平台
NFV的關鍵技術是建構平台能力,包括虛拟網絡的排程能力和NFV資源池的抽象管理能力。基于平台能力,加上在ECS内實作的網絡功能,就可以包裝出各種網元産品了。
洛神2.0 NFV平台的定位就是建構通用、靈活的平台能力,降低業務網元NFV化的門檻和成本,提高産品能效。整個平台由NFV轉發和NFV管控兩部分組成,在實作上主要有以下特點:
- • 基于ECS建構資源池,提供分鐘級傳遞和彈性伸縮能力
- • 支援多租戶模式,提供通用的負載均衡、彈性擴縮容、故障隔離等基礎能力
- • 支援網絡功能的服務鍊編排,将網絡産品和安全産品串接成解決方案
- • 支援第三方生态接入
NFV轉發平台采用了分層設計,通過抽象轉發層和業務邏輯層,實作了轉發的快慢速分離。受益于洛神1.0中對于DPDK和NetFrame的積累,業務網元從實體機遷移到ECS後仍具備了很高的轉發性能,結合ECS的彈性和NFV架構的水準伸縮能力,能分鐘級傳遞單客戶100G+的轉發能力。
NFV管控平台通過服務化形式,為各業務網元管控提供了通用的資源池化、彈性擴縮容、故障隔離、服務鍊編排等通用管控能力。通過NFV管控的抽象層,底層轉發資源、水位、排程、隔離對業務網元管控透明,業務網元管控可以更加專注于自身業務邏輯的快速演進。
豐富的NFV網元
作為洛神2.0的重要一部分,目前PrivateLink、NAT、SLB等網元産品已經演進到了新一代的NFV架構,并通過新架構獲得了很好的彈性和靈活性,後續也會有多的産品基于NFV架構進行建構和演進。
此外,通過NFV平台,第三方廠商可以将其應用移到阿裡雲,和阿裡雲自建網元一樣擷取彈性和排程能力,并在雲市場裡對雲上的客戶進行售賣和提供服務,形成一個非常好的生态系統,豐富雲上客戶的選擇。