以往用户构建数据中心往往需要租赁机柜,购买如路由器和交换机等网络设备,还得进行很多相关配置,有了云数据中心网络产品,用户只需在线购买服务就可以在云上某个地域构建云数据中心网络。
用户在使用云下数据中心构建业务系统时,往往需要通过以下步骤构建网络。
(1)寻找合适的数据中心,租赁机柜。
(2)从运营商处购买IP 地址和Internet 带宽。
(3)购买网络设备,如路由器和交换机。
(4)配置网络设备,如划分VLAN、配置IP 地址等。
完成这些步骤后,数据中心的基础网络环境就配置好了,但还不够,一般还需要购买和配置负载均衡设备,进行流量调度和实现系统高可用,此外,往往需要购买和配置防火墙设备等。
有了云数据中心网络产品,用户只需要在线购买服务,就可以在云上某个地域(Region)构建云上云数据中心网络。图3-1 是某地域的云数据中心网络典型产品架构图。
图3-1 某地域的云数据中心网络典型产品架构
3.1 VPC
3.1.1 什么是VPC
VPC 是用户在云上可自己掌控的私有网络环境,例如选择IP 地址范围、配置路由表和网关、构建混合云等。用户还可以在自己定义的VPC 中使用如云服务器、云数据库和负载均衡等产品。
VPC 初期主要解决两个核心问题:一是多租户网络隔离问题,二是随之带来的用户从VPC 内访问众多云服务的问题。随着越来越多的企业用户上云,企业级网络的需求越来越多,VPC 要解决的问题也包括帮助企业更平滑地上云,让企业在线下IDC 里的网络架构、运维管理体系能平滑地迁移到云上。
VPC 的核心是为每个租户都提供一个类似于线下IDC 那样的完全隔离的、可自定义的网络环境。在VPC 中,有和线下IDC 对应的虚拟路由器、虚拟交换机和虚拟防火墙。这些虚拟路由器、虚拟交换机、虚拟防火墙对于大多数场景是免费的, 用户还可以自定义各种配置,如图3-2 所示。
图3-2 可自定义的网络环境
3.1.2 VPC 的组成
云网络颠覆了传统数据中心的组网方式。VPC 让用户感知不到线下数据中心各种复杂的物理网络设备和物理连线。用户在VPC 中看到的是虚拟交换机和虚拟路由器。
1. 虚拟交换机
在一个VPC 内部一般有多个不同的子网。一个虚拟交换机(vSwitch)对应一个子网。每个子网都可以对应不同的功能、业务,或业务部门,如图3-3 所示。
图3-3 虚拟交换机
网络是为上层应用和业务服务的,对应于不同的应用和业务架构有不同的子网。对于中大型企业,每个业务部门都有不同的业务和应用,子网划分会变得更加复杂, 原则如下。
(1)不同功能区划分不同子网。最直观的例子就是把网络划分为公有子网和私有子网。公有子网对应线下IDC 的DMZ 区,和互联网直接交互。私有子网对应线下IDC 的应用服务器区,不直接和互联网交互,而是和DMZ 的前置机交互。
(2) 不同应用划分不同子网。如果企业内部有多个不同的部门,或者有多个相对独立的不同应用,那么可以把不同部门或不同应用划分到对应的子网,对不同子网内的资源进行相对独立的管理,还可以在子网边界上通过网络ACL 设置相应的安全策略和访问控制。
2. 虚拟路由器
虚拟路由器(vRouter)是VPC 的枢纽。作为VPC 中重要的功能组件,它可以连接VPC 内的各个交换机,同时是连接VPC 和其他网络的网关设备。每个VPC 创建成功后,系统都会自动创建一个路由器,每个路由器都关联一张路由表。在云网络中,大部分路由都是默认添加好了的,如果用户没有特殊需求,不需要额外配置, 但用户在自定义网关和代理、混合云、多VPC 互联等场景下需要在虚拟路由器上自定义路由的配置。
主路由表
每个VPC 都只有一个主路由表。主路由表里有VPC 网段的本地路由,还有云服务的系统路由。用户在主路由表里可以配置自定义路由,自定义路由的下一跳为ECS 实例、弹性网卡、VPC Peering、虚拟边界路由器等。
子网路由表
主路由表是VPC 粒度的,子网路由是子网/ 交换机粒度的。如果交换机关联了子网路由,那么会优先查子网路由表里的路由。通过子网路由,用户的网络将具备一些高级的功能,如在VPC 中部署集中式防火墙,或者后端应用子网只关联私网路由表,前端DMZ 子网关联公网路由表。
