【華為云Stack】【大架光臨】第11期:政企上云網絡適配復雜,看華為云Stack有妙招
華為云Stack網絡架構師 姚博
華為云Stack網絡技術專家 朱娜
背景
云計算所擁有的超大規模、虛擬化、高可擴展、安全性、按需服務、靈活性等特點,為客戶業務創新和組織整合提供了強大的技術基礎,當下云計算技術已經成為政企IT基礎設施的標準配置,政企數據中心部署云資源池后,網絡架構變得復雜,如何在數據中心內無縫集成云資源池、如何協同云上業務和云下傳統業務的互通、如何解決云上業務的安全合規等新問題出現,華為云Stack作為國內領先的云解決方案,能夠為政企客戶提供滿足各種業務訴求的網絡技術,幫助業務平滑上云。
業務的正常運行離不開網絡,當企業業務運行在傳統數據中心時,網絡互通和網絡安全由數據中心的硬件設備來提供,如下圖典型數據中心組網所示:傳統物理組網中的東西向流量二三層轉發由spine/leaf,新型數據中心也有多層Clos架構來承載,東西向流量的安全防護由旁掛在border leaf的防火墻完成;傳統硬件負載均衡器部署在資源池內,給業務提供高級網絡服務;南北向流量轉發集中到數據中心出口接入區完成,出口接入區的設備除了出口路由器做流量轉發外,還會部署一些安全設備如防火墻/WAF等來保證數據中心內業務安全。
圖1:企業傳統數據中心典型網絡架構
企業客戶在本地自建云后,從整個數據中心組網來看,云平臺是以一個獨立的資源池集成到客戶數據中心的全局網絡中,是數據中心的一部分。
圖2:企業傳統數據中心集成云平臺資源池組網
業務上云后,對于網絡的通信和安全訴求沒有改變,只是網絡承載體由物理硬件設備換成了云廠商提供的先進的軟件/硬件結合的網絡服務。綜合來看,云平臺提供的網絡服務,需要幫助客戶解決這些網絡問題:
1, 業務上云過程中,一部分業務在云下,一部分業務在云上,如何實現云上云下高速互聯?
2, 業務如何使用云上的網絡服務,實現快速平滑上云?
3, 云上業務的安全如何控制,才能滿足安全合規訴求?
4, 云上業務如何使用傳統硬件設備提供的高級能力,滿足業務個性化訴求?
華為云Stack基礎網絡云服務憑借國內政企市場的豐富客戶經驗積累,深入理解客戶業務上云過程中對于云網絡的訴求,提供了一系列以客戶網絡為中心、以客戶習慣為中心、以客戶業務為中心的網絡服務和能力。
云資源池網絡平滑對接數據中心網絡
企業IT云化過程中,云資源池只是數據中心的一部分,華為云Stack的網絡部署架構可以平滑接入到數據中心內,和數據中心網絡無縫集成,并且云上云下網絡互通可以靈活匹配不同分區網絡規劃。
使用L3GW服務實現客戶云上云下一張網
如之前文章《高性能云網關,打通云內外業務互通的任督二脈》中所講,客戶業務上云是一個漸進的過程,在這個過程中,客戶的網絡是覆蓋云上云下的混合組網,對于政企客戶來說,傳統的數據中心網絡規模比較龐大,一般會分多個物理網絡分區,連接不同的網絡:
? 數據中心互聯區,用于同城跨數據中心互聯;
? 廣域網接入區,接入企業骨干網,用于異地多數據中心互聯;
? 互聯網接入區,用于連接公網;
? 外聯網接入區,用于公司的合作伙伴接入。
每個業務根據服務的對象不同而要求接入不同的網絡分區,有的業務只接入一個網絡分區,有的業務會接入多個網絡分區。這些業務上云之后,對外提供的服務不會變化,連接網絡分區的訴求也不會變化,而客戶云下物理分區的組網和配置是全局規劃的,不能因為業務上云后適配云平臺的組網和外部網絡類型而調整云下的組網,造成云下網絡管理和云平臺網絡管理有明顯的差異,加大了網絡管理和維護的難度。
華為云Stack網絡L3GW服務,可以實現云上云下一張網,云上的業務網絡通過L3GW服務作為一個業務區平滑的接入到傳統數據中心的網絡,保證客戶數據中心現有的網絡架構無需改動。
圖1:通過L3GW服務實現云上云下業務一張網
承載L3GW服務的L3GW網關作為云上云下互通的邊界網關,一邊連接客戶數據中心傳統網絡,一邊連接云上的虛擬網絡。考慮到客戶數據中心的組網方式多種多樣,L3GW支持多種組網方式,比如堆疊組網、VRRP組網、雙活口字型組網以及雙活交叉組網等,這幾種組網下云平臺L3GW服務都能實現L3GW網關的配置自動化下發,另外還支持客戶自定義組網,滿足客戶個性化訴求,實現客戶數據中心網絡不需要改造,也可以使用L3GW服務。對于自定義組網,虛擬網絡的配置也是云平臺L3GW服務自動化下發的,客戶只需要配置自定義部分的網絡即可。
傳統業務上云,網絡規劃方案不變
華為云Stack可以支持業務上云后,網絡管理員繼續使用上云前的網絡規劃和配置習慣,平移上云。
使用VPC服務實現業務網絡平移上云
VPC是華為云Stack提供的云上的安全隔離的虛擬私有網絡,可以理解成傳統物理網絡的虛擬版本:
? 它是一個完全由客戶自己掌控的網絡,包括子網配置,網關配置,路由配置等,通過VPC實現業務東西向互通訴求;
? 它支持豐富的連接,可以連接到其它VPC,也可以連接到客戶本地數據中心,也可以連接到其它Region的VPC,由客戶按需定制,通過豐富的連接實現業務南北向通信訴求;
? 它也是一個安全隔離的網絡,安全隔離能力可以做到和傳統網絡設備vlan隔離級別一樣。
客戶云上的業務都是運行在VPC里,云上業務使用的VPC分兩種場景,一種是大量小規格的VPC,另一種是少量大規格的VPC。大量小規格VPC場景,是類公有云的一種用法,各個業務部門有自己的賬號,自助在云上申請根據業務類型申請VPC和自定義VPC網絡,云的特點天然能支持這種多VPC的場景。比較有挑戰的是少量大規格VPC的場景,這種場景是企業客戶由于傳統業務網絡分區規劃方式,固有組織流程,合規要求等因素,希望業務平移上云的普遍訴求。
如上文所說,傳統的數據中心網絡一般會分多個物理網絡分區,有數據中心互聯區、廣域網接入區、互聯網接入區、外聯網接入區。網絡管理員根據業務規模以及增長趨勢預先給每個分區規劃獨立的網段池子,業務上線的時候,網絡管理員基于業務的互通訴求從對應的分區網段池子下分配子網給業務使用,而不用感知業務類型給每個業務預先規劃網段池子。
業務上云后,為了保留這種網絡管理方式,云上的VPC根據網絡分區規劃,比如規劃成內網VPC,互聯網VPC,外網VPC等,每個VPC里的子網劃分還是保留上云前的分配方式,那業務規模的大小決定了VPC子網規格,以及VPC下IP個數。以內網VPC舉例,假設網絡管理員規劃的內網網段為1個B類地址,每次分配給業務使用為24位掩碼子網,那么內網VPC下的子網個數為256個,可用IP個數高達6w左右。云上VPC要能支持大規格子網和大規格IP才能滿足客戶保留網絡管理習慣,業務平移上云。
VPC下子網和IP個數越多,云平臺管控面壓力越大,因為同一個VPC下所有IP默認是可以互通,高可用訴求下的業務反親和部署,虛機會打散部署在資源池內所有主機上,導致VPC內不同的IP覆蓋不同的計算節點,當有新的IP分配給業務使用后,VPC覆蓋的所有計算節點都要處理新IP,下發IP對應的ARP表,控制器需要通知所有計算節點處理新IP上線,控制器的處理數據量隨著VPC規模變大而變大;還有一種考驗控制面性能的場景是虛機遷移場景,尤其是虛機并發遷移到新的主機上,新的主機要下發VPC下全量子網信息對應的路由表項,全量IP信息對應的ARP表項,表項越多,耗時越長,遷移導致的網絡零中斷越難保證。
華為云Stack的 VPC控制器,采用分布式系統架構,管控層和數據層分離,管控層controller通過狀態外置到nosql,實現彈性橫向擴容;通過MQ,實現消息分發和流量削峰;數據層通過agent組件接收controller的配置消息,轉換成數據面的配置,幫助數據面屏蔽業務信息,讓數據面更簡單可靠。controller和agent之間的消息推送采用push-pull機制,controller無需感知agent的狀態,邏輯簡單;agent減少無效輪詢,配置快速生效。
基于這種軟件架構,華為云Stack 單VPC支持的大規格子網和大規格IP,可以滿足絕大部分企業客戶,保留原有的網絡管理習慣的訴求,業務網絡平移上云。
使用網絡ACL服務解決業務安全配置平移上云
數據中心的網絡安全防護必不可少,安全防護一般由安全部門負責。數據中心內部是私有環境,相對安全,業務之間互相訪問,通過在硬件防火墻配置ACL規則防護即可,網絡管理員給每個業務分區規劃硬件防火墻,業務上線的時候,給安全部門提要求,安全部門根據業務的訴求,在硬件防火墻上配置對應的ACL規則。業務下線的時候,再把安全規則從硬件防火墻上移除。業務規模大的時候,硬件防火墻上配置的ACL規則會非常多。我們曾經遇到一個金融客戶,單個網絡分區的硬件防火墻上配置了60w條ACL規則。
網絡云化后,相比傳統網絡,安全邊界發生變化,云下硬件防火墻規則需要平移到云上網絡ACL,基于傳統安全配置管理習慣,安全規則跟著業務上云,云上提供的網絡ACL服務必須支持大量的規則才能滿足訴求。
云上的網絡ACL服務,業界常見實現方式是分布式,ACL規則下發到各個主機上,而不是傳統的集中式的方式。ACL是有狀態的,ACL規則越多,新建連接逐條規則匹配,性能就越低,因此單個ACL實例下規則數一般不會很大,大多數友商都小于200條。這對于業務規模比較大,或者是有安全合規要求的行業比如金融行業是遠遠不夠的。
華為云Stack網絡ACL服務,優化了網絡ACL匹配算法,解決了ACL規則多帶來的新建連接數低的影響,單個網絡ACL規則從200條,提升到1w條,新建連接沒有任何影響。基于這個優化,華為云Stack單個網絡ACL實例支持的ACL規則數1w條(按照IP和Port展開計算),業務上云過程中,安全配置管理還是保留原有的習慣,平移上云。
云上業務繼續使用傳統高級網絡設備
華為云Stack可以支持業務上云后,繼續使用傳統的高級網絡設備,業務不需要改造。
使用L2BR服務集成第三方負載均衡器
客戶在傳統數據中心部署的業務,可能會使用到硬件負載均衡設備提供的某些特性,而這些特性云平臺提供的負載均衡服務短期內無法支持,這類業務上云,如果使用云平臺提供的負載均衡服務,需要對業務進行改造,改造成不使用云平臺不支持的特性,業務改造尤其是生產業務改造帶來的代價和風險是不可預知的,因此很難落地;還有一種場景,客戶由于使用習慣、技術儲備、設備利舊和已有資產保護等原因,要求云上的業務可以繼續使用傳統的第三方硬件負載均衡設備。
解決這兩個問題的常見思路是在云上手動部署負載均衡設備的虛擬化版本,手動部署對客戶的網絡技能要求很高,并且管理和運維復雜度大大提升,可靠性也比較低。而華為云Stack IaaS網絡L2BR服務支持集成第三方硬件負載均衡設備,遷移到云上的業務還可以像在云下一樣使用傳統的負載均衡設備,應用零改造上云。
圖2:L2BR集成硬件LB應用場景
如上圖所示,傳統硬件LB旁掛在L2BR網關上,硬件LB上配置LB實例提供LB服務,LB實例所在子網通過L2BR實例接入到云內VPC,后端server運行在云上,client可以在云外,也可以在云上。云上多個VPC可以共享硬件LB,也支持跨VPC訪問LB實例。客戶可以根據業務訴求按需靈活組網,既可以使用硬件設備的高級功能,也可以保持原有的操作習慣和體驗。
總結
華為云Stack適配政企業務上云,充分考慮客戶業務上云過程中既可以把網絡平移到云上,同時又保留原有的網絡架構,操作體驗和習慣。通過深入理解客戶業務和網絡,設計匹配政企應用的網絡部署模型和網絡使用方案,實現客戶網絡配置從云下到云上的零修改平移,應用快速遷移入云;通過集成傳統負載均衡設備,實現深度特性功能要求,應用零改造上云;通過高性能、低時延、低成本的硬件交換機L3GW/L2BR網關,實現云上云下高速互聯、云上云下一張網,為客戶數字化轉型極大提升了資源的使用效率和業務的運作效率。
上云必讀 基礎服務 網絡
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章