聊聊云計(jì)算基礎(chǔ)網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)

網(wǎng)絡(luò)是云計(jì)算數(shù)據(jù)中心最重要的部分，這主要體現(xiàn)在：

網(wǎng)絡(luò)的重要性：網(wǎng)絡(luò)連接所有節(jié)點(diǎn)，各類(lèi)服務(wù)都通過(guò)網(wǎng)絡(luò)鏈接，用戶(hù)通過(guò)網(wǎng)絡(luò)遠(yuǎn)程操作。沒(méi)有網(wǎng)絡(luò)，一切都是空的。

網(wǎng)絡(luò)的復(fù)雜性：不像一般的業(yè)務(wù)系統(tǒng)，要么是單服務(wù)器級(jí)別的或者集群級(jí)別的；網(wǎng)絡(luò)系統(tǒng)基本上都是數(shù)據(jù)中心級(jí)別的，在整個(gè)數(shù)據(jù)中心的規(guī)模上，構(gòu)建各種復(fù)雜的網(wǎng)絡(luò)業(yè)務(wù)邏輯，整個(gè)系統(tǒng)復(fù)雜度非常高。

網(wǎng)絡(luò)故障的嚴(yán)重性：計(jì)算服務(wù)器故障、存儲(chǔ)服務(wù)器故障都是相對(duì)局部的故障，而網(wǎng)絡(luò)故障則牽一發(fā)而動(dòng)全身。任何一個(gè)微小的網(wǎng)絡(luò)故障，都可能會(huì)引起整個(gè)數(shù)據(jù)中心不可用，網(wǎng)絡(luò)故障一旦發(fā)生，必然是重大故障。

如果按照功能邏輯把網(wǎng)絡(luò)分層，云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)可以分成三層：

第一層，物理網(wǎng)絡(luò)?；A(chǔ)的物理承載網(wǎng)絡(luò)，也就是我們通常所理解的Underlay底層承載網(wǎng)。物理網(wǎng)絡(luò)跟用戶(hù)沒(méi)有直接關(guān)系，因此沒(méi)有必要暴露給用戶(hù)。

第二層，虛擬網(wǎng)絡(luò)?；诨A(chǔ)的物理網(wǎng)絡(luò)構(gòu)建的虛擬網(wǎng)絡(luò)，也就是我們通常理解的基于隧道的Overlay網(wǎng)絡(luò)。虛擬網(wǎng)絡(luò)主要用于租戶(hù)隔離，典型服務(wù)如AWS的虛擬私有網(wǎng)絡(luò)VPC；

第三層，應(yīng)用網(wǎng)絡(luò)。各種用戶(hù)可見(jiàn)的應(yīng)用級(jí)的網(wǎng)絡(luò)服務(wù)，比如接入網(wǎng)關(guān)、負(fù)載均衡等，如AWS的彈性負(fù)載均衡ELB。

1 AWS網(wǎng)絡(luò)相關(guān)服務(wù)概覽

云計(jì)算快速發(fā)展，產(chǎn)生了很多網(wǎng)絡(luò)相關(guān)的產(chǎn)品服務(wù)，如表 8.1所示，以AWS為例，介紹網(wǎng)絡(luò)相關(guān)的產(chǎn)品服務(wù)。

表 1AWS的網(wǎng)絡(luò)和分發(fā)服務(wù)（或功能）

2 虛擬私有網(wǎng)絡(luò)服務(wù)VPC

借助VPC，用戶(hù)可以在AWS云中預(yù)置一個(gè)邏輯隔離的私有網(wǎng)，在自定義的這個(gè)虛擬網(wǎng)絡(luò)中啟動(dòng)AWS資源。用戶(hù)可以完全掌控自己的虛擬網(wǎng)絡(luò)環(huán)境，包括選擇自己的IP地址范圍、創(chuàng)建子網(wǎng)以及配置路由表和網(wǎng)絡(luò)網(wǎng)關(guān)。用戶(hù)VPC中可以使用IPv4和IPv6，因此能夠輕松安全地訪(fǎng)問(wèn)資源和應(yīng)用程序。

用戶(hù)可以輕松自定義VPC的網(wǎng)絡(luò)配置。例如，可以為Web服務(wù)器創(chuàng)建一個(gè)能訪(fǎng)問(wèn)Internet的公有子網(wǎng)。此外，還可以將后端系統(tǒng)（如數(shù)據(jù)庫(kù)或應(yīng)用程序服務(wù)器）安置在無(wú)Internet訪(fǎng)問(wèn)的私有子網(wǎng)中?？梢允褂冒踩M和網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表等多種安全層，對(duì)各個(gè)子網(wǎng)中的EC2實(shí)例的訪(fǎng)問(wèn)進(jìn)行控制。

VPC的功能總結(jié)如下：

在AWS的可擴(kuò)展基礎(chǔ)設(shè)施中創(chuàng)建VPC，并可以選擇任何的私有IP地址范圍；

通過(guò)添加輔助IP范圍來(lái)擴(kuò)展VPC；

將VPC的私有IP地址范圍分割成一個(gè)或多個(gè)公有或私有子網(wǎng)，以便在VPC中運(yùn)行應(yīng)用程序和服務(wù)；

使用網(wǎng)絡(luò)控制列表控制進(jìn)出各個(gè)子網(wǎng)的入站和出站訪(fǎng)問(wèn)；

在S3中存儲(chǔ)數(shù)據(jù)并設(shè)置權(quán)限，以便僅可從VPC內(nèi)部訪(fǎng)問(wèn)這些數(shù)據(jù)；

為VPC中的實(shí)例分配多個(gè)IP地址并連接多個(gè)彈性網(wǎng)絡(luò)接口；

將一個(gè)或多個(gè)彈性IP地址連接到VPC中的某個(gè)實(shí)例，以便直接從Internet訪(fǎng)問(wèn)該實(shí)例；

將VPC與其他VPC相連接，可以跨VPC訪(fǎng)問(wèn)其他VPC中的資源；

通過(guò)VPC終端節(jié)點(diǎn)建立與AWS服務(wù)的私有連接，無(wú)需使用Internet網(wǎng)關(guān)、NAT或防火墻代理；

建立到私有服務(wù)或由AWS PrivateLink提供支持的SaaS解決方案的私有連接；

使用AWS站點(diǎn)到站點(diǎn)VPN橋接VPC和現(xiàn)場(chǎng)IT基礎(chǔ)設(shè)施；

在EC2-Classic平臺(tái)中啟用EC2實(shí)例，以使用私有IP地址與VPC中的實(shí)例進(jìn)行通信；

將VPC安全組與EC2-Classic中的實(shí)例進(jìn)行關(guān)聯(lián)；

使用VPC Flow Logs來(lái)記錄有關(guān)進(jìn)出VPC的網(wǎng)絡(luò)接口的網(wǎng)絡(luò)流量的信息；

支持VPC中的IPv4和IPv6；

使用VPC流量鏡像，為EC2實(shí)例捕獲和鏡像網(wǎng)絡(luò)流量；

使用網(wǎng)絡(luò)和安全設(shè)備（包括第三方產(chǎn)品）來(lái)阻止或分析入口和出口流量。

3 彈性負(fù)載均衡ELB

ELB在多個(gè)目標(biāo)（如EC2實(shí)例、容器、IP地址和Lambda函數(shù)）之間自動(dòng)分配傳入的應(yīng)用程序流量。它可以在單個(gè)可用區(qū)內(nèi)處理不斷變化的應(yīng)用程序流量負(fù)載，也可以跨多個(gè)可用區(qū)處理此類(lèi)負(fù)載。

ELB提供三種負(fù)載均衡器，它們均能實(shí)現(xiàn)高可用性、自動(dòng)擴(kuò)展和可靠的安全性，因此能讓用戶(hù)的應(yīng)用程序獲得容錯(cuò)能力：

ALB（Application Load Balancer，應(yīng)用負(fù)載均衡器）：ALB最適合HTTP和HTTPS流量的負(fù)載均衡，面向包括微服務(wù)和容器在內(nèi)的現(xiàn)代應(yīng)用程序架構(gòu)，提供高網(wǎng)絡(luò)層級(jí)請(qǐng)求的路由功能。ALB運(yùn)行于單獨(dú)的請(qǐng)求級(jí)別（第7層），可根據(jù)請(qǐng)求的內(nèi)容將流量路由至VPC內(nèi)的不同目標(biāo)。

NLB（Network Load Balancer, 網(wǎng)絡(luò)負(fù)載均衡器）：若要對(duì)需要極高性能的傳輸控制協(xié)議（TCP）、用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）和傳輸層安全性（TLS）協(xié)議流量進(jìn)行負(fù)載均衡，最適合使用網(wǎng)絡(luò)負(fù)載均衡器。網(wǎng)絡(luò)負(fù)載均衡器運(yùn)行于連接層（第4層），可將流量路由至VPC內(nèi)的不同目標(biāo)，每秒能夠處理數(shù)百萬(wàn)請(qǐng)求，同時(shí)能保持超低延遲。網(wǎng)絡(luò)負(fù)載均衡器還針對(duì)處理突發(fā)和不穩(wěn)定的流量模式進(jìn)行了優(yōu)化。

CLB（Classic Load Balancer，經(jīng)典負(fù)載均衡器）：CLB同時(shí)運(yùn)行于請(qǐng)求級(jí)別和連接級(jí)別，可在多個(gè)EC2實(shí)例之間提供基本的負(fù)載均衡。CLB適用于在EC2-Classic網(wǎng)絡(luò)內(nèi)構(gòu)建的應(yīng)用程序。

ELB的主要功能：

高可用性：ELB在單個(gè)可用區(qū)或多個(gè)可用區(qū)內(nèi)的多個(gè)目標(biāo)（EC2實(shí)例、容器和IP地址）之間自動(dòng)分配流量。

運(yùn)行狀況檢查：ELB可以檢測(cè)無(wú)法正常運(yùn)行的目標(biāo)、停止向它們發(fā)送流量，然后將負(fù)載分散到剩余的正常運(yùn)行的目標(biāo)上。

安全性功能：使用VPC創(chuàng)建和管理與負(fù)載均衡器關(guān)聯(lián)的安全組，以提供更多網(wǎng)絡(luò)和安全選項(xiàng)。還可以創(chuàng)建內(nèi)部（非面向Internet的）負(fù)載均衡器。

TLS終止：ELB提供集成化證書(shū)管理和SSL/TLS解密，使用戶(hù)可以靈活地集中管理負(fù)載均衡器的SSL設(shè)置，并從用戶(hù)自己的應(yīng)用程序上卸載CPU密集型工作。

第4層或第7層負(fù)載均衡：用戶(hù)可以對(duì)HTTP/HTTPS應(yīng)用程序執(zhí)行負(fù)載均衡以實(shí)現(xiàn)特定于第7層的功能，或者對(duì)依賴(lài)于TCP和UDP協(xié)議的應(yīng)用程序使用嚴(yán)格的第4層負(fù)載均衡。

運(yùn)行監(jiān)控：ELB提供與Amazon CloudWatch指標(biāo)的集成和請(qǐng)求跟蹤，以便實(shí)時(shí)監(jiān)控應(yīng)用程序的性能。

可以根據(jù)應(yīng)用程序按需選擇合適的負(fù)載均衡器。如果需要靈活管理應(yīng)用程序，推薦使用ALB；如果應(yīng)用程序需要實(shí)現(xiàn)極致性能和靜態(tài)IP，推薦使用NLB。如果現(xiàn)有應(yīng)用程序構(gòu)建于EC2-Classic網(wǎng)絡(luò)內(nèi)，則應(yīng)使用CLB。

4 云計(jì)算網(wǎng)絡(luò)的特點(diǎn)

網(wǎng)絡(luò)是數(shù)據(jù)中心最核心的功能，對(duì)網(wǎng)絡(luò)來(lái)說(shuō)，最關(guān)鍵的兩個(gè)性能指標(biāo)是帶寬和延遲。云計(jì)算是多租戶(hù)場(chǎng)景，多租戶(hù)域間隔離和跨域訪(fǎng)問(wèn)，以及動(dòng)態(tài)的網(wǎng)絡(luò)變化也是數(shù)據(jù)中心網(wǎng)絡(luò)非常重要的特點(diǎn)。

更大的帶寬

前面我們講了大數(shù)據(jù)的迅猛發(fā)展，數(shù)據(jù)量越來(lái)越大，網(wǎng)絡(luò)傳輸?shù)膸捯苍诳焖偕?jí)。疊加數(shù)據(jù)中心東西向流量，英特爾估計(jì)，數(shù)據(jù)中心內(nèi)部的流量每年以25％的速度增長(zhǎng)。當(dāng)前數(shù)據(jù)中心大規(guī)模商用的主流的數(shù)據(jù)帶寬是25Gbps，預(yù)計(jì)未來(lái)兩三年內(nèi)，將逐步過(guò)渡到100Gbps。

帶寬逐步增大，意味著許多現(xiàn)有的網(wǎng)絡(luò)數(shù)據(jù)處理架構(gòu)，會(huì)逐漸的無(wú)法滿(mǎn)足如此高性能的處理要求。例如，傳統(tǒng)的基于內(nèi)核TCP/IP的網(wǎng)絡(luò)處理逐漸被DPDK所取代，并且現(xiàn)在已經(jīng)有完全硬件卸載的網(wǎng)絡(luò)處理設(shè)備批量部署。

更低的延遲

Akami的一項(xiàng)研究表明，頁(yè)面加載速度的延遲一秒會(huì)導(dǎo)致轉(zhuǎn)化率平均下降7％，頁(yè)面瀏覽量下降11％，用戶(hù)滿(mǎn)意度下降16％。在金融業(yè)中，即使是一毫秒的延遲也會(huì)對(duì)高速交易算法的性能產(chǎn)生巨大影響。金融業(yè)對(duì)延遲的敏感性的一個(gè)案例是，某公司投資了4億多美元，只是為了將紐約和倫敦之間的傳輸時(shí)間縮短5毫秒。

在線(xiàn)事務(wù)處理（OLTP）的工作負(fù)載主要由南北流量控制，客戶(hù)端請(qǐng)求，然后服務(wù)器響應(yīng)，通過(guò)相對(duì)簡(jiǎn)單的三層網(wǎng)絡(luò)結(jié)構(gòu)就能得到很好的服務(wù)。但是，隨著社交媒體和移動(dòng)應(yīng)用程序的爆炸性增長(zhǎng)，流量模式已從南北（在客戶(hù)端和數(shù)據(jù)中心之間）轉(zhuǎn)變?yōu)闁|西向（數(shù)據(jù)中心內(nèi)的流量）。據(jù)估計(jì)，單個(gè)在線(xiàn)查詢(xún)可以在數(shù)據(jù)中心內(nèi)生成數(shù)百甚至數(shù)千個(gè)請(qǐng)求，然后才能響應(yīng)來(lái)自客戶(hù)端的請(qǐng)求。在這種環(huán)境下，即使數(shù)千個(gè)訪(fǎng)問(wèn)同時(shí)執(zhí)行，需要花費(fèi)較長(zhǎng)響應(yīng)時(shí)間的訪(fǎng)問(wèn)相對(duì)少見(jiàn)，但其仍然最終決定了服務(wù)的總體響應(yīng)時(shí)間。

域間隔離和跨域訪(fǎng)問(wèn)

VPC是云服務(wù)商在數(shù)據(jù)中心內(nèi)為用戶(hù)提供的一個(gè)邏輯隔離的區(qū)域，用戶(hù)可以在自己定義的的虛擬網(wǎng)絡(luò)中創(chuàng)建云服務(wù)資源。底層的虛擬網(wǎng)絡(luò)系統(tǒng)保證了不同用戶(hù)網(wǎng)絡(luò)區(qū)域的隔離。

但是，不同的私有網(wǎng)絡(luò)區(qū)域并不是完全封閉的，有些場(chǎng)景是需要跨域訪(fǎng)問(wèn)的。比如，一些非實(shí)例型“獨(dú)立服務(wù)”提供的服務(wù)，當(dāng)用戶(hù)從自己的VPC訪(fǎng)問(wèn)另外某個(gè)VPC中服務(wù)的時(shí)候，通常有兩種做法，一種是使用公網(wǎng)IP通過(guò)公網(wǎng)訪(fǎng)問(wèn)，還有一種方法就是通過(guò)提供一些特定的滿(mǎn)足安全機(jī)制情況下的跨域訪(fǎng)問(wèn)服務(wù)來(lái)走數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)路徑去訪(fǎng)問(wèn)，以此來(lái)提升訪(fǎng)問(wèn)效率，這種就是數(shù)據(jù)中心內(nèi)部的跨域訪(fǎng)問(wèn)。再比如，數(shù)據(jù)中心按照區(qū)域和可用區(qū)進(jìn)行劃分，用戶(hù)在不同的跨區(qū)域的數(shù)據(jù)中心多地容災(zāi)、或者特定的服務(wù)和數(shù)據(jù)通信，則需要跨數(shù)據(jù)中心訪(fǎng)問(wèn)。

通過(guò)VPC把不同用戶(hù)或者系統(tǒng)的資源隔離，是為了安全的考慮；跨域訪(fǎng)問(wèn)，則是在保證安全基礎(chǔ)上的性能和功能的考慮。

動(dòng)態(tài)的網(wǎng)絡(luò)變化

單個(gè)數(shù)據(jù)中心服務(wù)器規(guī)?？梢赃_(dá)到數(shù)萬(wàn)臺(tái)，如此大規(guī)模服務(wù)器集群需要數(shù)千臺(tái)網(wǎng)絡(luò)設(shè)備連接在一起。這種大規(guī)模的數(shù)據(jù)中心網(wǎng)絡(luò)管理難度大，網(wǎng)絡(luò)運(yùn)行故障定位難，運(yùn)維成本非常高。大規(guī)模數(shù)據(jù)中心動(dòng)態(tài)網(wǎng)絡(luò)變化主要體現(xiàn)在：

云計(jì)算是多租戶(hù)模式，不同的租戶(hù)業(yè)務(wù)之間是要完全隔離的，數(shù)據(jù)中心通過(guò)虛擬網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)不同租戶(hù)網(wǎng)絡(luò)域的隔離。租戶(hù)以及租戶(hù)的資源一直處在一個(gè)動(dòng)態(tài)的變化中，這加劇了網(wǎng)絡(luò)變化的頻次和難度。

數(shù)據(jù)中心數(shù)萬(wàn)臺(tái)服務(wù)器，不可避免會(huì)發(fā)生故障，而要保證用戶(hù)服務(wù)的高可用，用戶(hù)業(yè)務(wù)在不同的物理服務(wù)器之間遷移也會(huì)影響網(wǎng)絡(luò)的變化。

并且，互聯(lián)網(wǎng)上層業(yè)務(wù)日新月異的變化，也會(huì)影響網(wǎng)絡(luò)的變化。

審核編輯：劉清