以往使用者建構資料中心往往需要租賃機櫃,購買如路由器和交換機等網絡裝置,還得進行很多相關配置,有了雲資料中心網絡産品,使用者隻需線上購買服務就可以在雲上某個地域建構雲資料中心網絡。
使用者在使用雲下資料中心建構業務系統時,往往需要通過以下步驟建構網絡。
(1)尋找合适的資料中心,租賃機櫃。
(2)從營運商處購買IP 位址和Internet 帶寬。
(3)購買網絡裝置,如路由器和交換機。
(4)配置網絡裝置,如劃分VLAN、配置IP 位址等。
完成這些步驟後,資料中心的基礎網絡環境就配置好了,但還不夠,一般還需要購買和配置負載均衡裝置,進行流量排程和實作系統高可用,此外,往往需要購買和配置防火牆裝置等。
有了雲資料中心網絡産品,使用者隻需要線上購買服務,就可以在雲上某個地域(Region)建構雲上雲資料中心網絡。圖3-1 是某地域的雲資料中心網絡典型産品架構圖。
3.1 VPC
3.1.1 什麼是VPC
VPC 是使用者在雲上可自己掌控的私有網絡環境,例如選擇IP 位址範圍、配置路由表和網關、建構混合雲等。使用者還可以在自己定義的VPC 中使用如雲伺服器、雲資料庫和負載均衡等産品。
VPC 初期主要解決兩個核心問題:一是多租戶網絡隔離問題,二是随之帶來的使用者從VPC 内通路衆多雲服務的問題。随着越來越多的企業使用者上雲,企業級網絡的需求越來越多,VPC 要解決的問題也包括幫助企業更平滑地上雲,讓企業線上下IDC 裡的網絡架構、運維管理體系能平滑地遷移到雲上。
VPC 的核心是為每個租戶都提供一個類似于線下IDC 那樣的完全隔離的、可自定義的網絡環境。在VPC 中,有和線下IDC 對應的虛拟路由器、虛拟交換機和虛拟防火牆。這些虛拟路由器、虛拟交換機、虛拟防火牆對于大多數場景是免費的, 使用者還可以自定義各種配置,如圖3-2 所示。
圖3-2 可自定義的網絡環境
3.1.2 VPC 的組成
雲網絡颠覆了傳統資料中心的組網方式。VPC 讓使用者感覺不到線下資料中心各種複雜的實體網絡裝置和實體連線。使用者在VPC 中看到的是虛拟交換機和虛拟路由器。
1. 虛拟交換機
在一個VPC 内部一般有多個不同的子網。一個虛拟交換機(vSwitch)對應一個子網。每個子網都可以對應不同的功能、業務,或業務部門,如圖3-3 所示。
圖3-3 虛拟交換機
網絡是為上層應用和業務服務的,對應于不同的應用和業務架構有不同的子網。對于中大型企業,每個業務部門都有不同的業務和應用,子網劃分會變得更加複雜, 原則如下。
(1)不同功能區劃分不同子網。最直覺的例子就是把網絡劃分為公有子網和私有子網。公有子網對應線下IDC 的DMZ 區,和網際網路直接互動。私有子網對應線下IDC 的應用伺服器區,不直接和網際網路互動,而是和DMZ 的前置機互動。
(2) 不同應用劃分不同子網。如果企業内部有多個不同的部門,或者有多個相對獨立的不同應用,那麼可以把不同部門或不同應用劃分到對應的子網,對不同子網内的資源進行相對獨立的管理,還可以在子網邊界上通過網絡ACL 設定相應的安全政策和通路控制。
2. 虛拟路由器
虛拟路由器(vRouter)是VPC 的樞紐。作為VPC 中重要的功能元件,它可以連接配接VPC 内的各個交換機,同時是連接配接VPC 和其他網絡的網關裝置。每個VPC 建立成功後,系統都會自動建立一個路由器,每個路由器都關聯一張路由表。在雲網絡中,大部分路由都是預設添加好了的,如果使用者沒有特殊需求,不需要額外配置, 但使用者在自定義網關和代理、混合雲、多VPC 互聯等場景下需要在虛拟路由器上自定義路由的配置。
主路由表
每個VPC 都隻有一個主路由表。主路由表裡有VPC 網段的本地路由,還有雲服務的系統路由。使用者在主路由表裡可以配置自定義路由,自定義路由的下一跳為ECS 執行個體、彈性網卡、VPC Peering、虛拟邊界路由器等。
子網路由表
主路由表是VPC 粒度的,子網路由是子網/ 交換機粒度的。如果交換機關聯了子網路由,那麼會優先查子網路由表裡的路由。通過子網路由,使用者的網絡将具備一些進階的功能,如在VPC 中部署集中式防火牆,或者後端應用子網隻關聯私網路由表,前端DMZ 子網關聯公網路由表。