随着越来越多的企业用户上云,且客户业务场景多种多样的情况下,云计算面临的挑战也越来越多。如企业多 IDC、异地办公区、远程运维人员接入到企业内网需要一致的体验等场景下,还要提供高可靠、安全和易维护的网络能力。我们可以通过组合百度智能云网络模块提供的虚拟网络 VPC、云智能网、负载均衡等丰富的云网络产品,利用安全组、子网 ACL 提供的全面网络安全能力,来帮助企业去构建这样一个支持多业务部署、全网互联、安全可靠的云上网络。
我们既能够满足客户超大规模业务量运行需求,支持多 Region;也可面向云化初期客户提供小型化云平台,降低上云门槛,支持规模按需,同时与公有云同根同源。
作为云中最为神秘且复杂的网络模块,我们是如何提供这样强有力的支持的呢?下面让我们来揭秘。
百度智能云的专有云 ABC Stack 的虚拟网络架构,依托百度智能云强大的研发能力,90%以上的网络组件均为自研组件,可为云上服务提供更强、更全的业务保障,是虚拟网络的理想选择。今天,就来揭秘百度智能云专有云虚拟网络。
五大网元,构建专有云虚拟网络基石
百度智能云专有云虚拟网络拥有虚拟交换机、虚拟路由器、公网网关、负载均衡器、下一代网关五大网元,且基于 DPDK 进行定制开发,自适应 CPU 单 NUMA、多 NUMA 架构,极限逼近物理网卡带宽。同时,基于集群式部署架构,更利于横向扩展。
▪ 虚拟交换机 BVS(Baidu VSwitch)
百度智能云虚拟交换机,作为宿主机节点的关键网元,对云服务器(BCC)及二代弹性裸金属服务器(BBC)流量进行虚拟化,有地址转换、限速、路由、安全组、ACL 等功能。
▪ 虚拟路由器 BVR(Baidu Virtual Router)
百度智能云虚拟路由器是虚机的集中式网关,提供路由、访问控制、限速、地址空间转换、网络地址转换等功能。其中,网络地址转换功能包含:
从 VPC 内部到物理网络的 SNAT 功能
从物理网络到 VPC 内部的 DNAT 功能
从物理网络到 VPC 内部的 FULLNAT 功能
▪ 公网网关 BCNAT(Baidu Cloud NAT)
专有云 IDC 的公网网关通过控制台进行管理,为弹性公网 IP 功能底层实现,专有云 IDC 的公网网关。
租户所有进出公网流量均需要经过 BCNAT,提供访问控制(黑名单)、统计计费限速、3层地址转换、只出不进、VXLAN 等功能。常规走 BGP 出口,也可以根据用户需求实现运营商静态单线出口。
▪ 负载均衡网关 BGW(Baidu Gateway)
百度智能云负载均衡器作为 BLB(负载均衡)、服务网卡等产品的底层实现设备,提供负载均衡、4层地址转换、单机限速等功能。当前专有云有两个 BGW 集群:
>> 产品 BGW 集群,租户创建的常规 BLB 使用该集群,VPC 通过该集群向外(VPC 内、外网、专有云物理网络)提供4层负载均衡服务。
>> 内部服务 BGW 集群,主要提供两种功能:
为专有云物理网络提供区内的负载均衡服务;
部署于专有云物理网络的业务使用该集群向VPC提供公有云的公共服务。
▪ 下一代网关 NGW(Next Gateway)
百度智能云专有云内宿主机访问公网的网关,提供物理服务器出访公网的 SNAT、ACL 等功能。
七种“武器”,选择更多、体验更优
▪ 东西向流量优化
传统的云上流量,在同 VPC 内跨子网时,会先经过子网的网关,在路由器(BVR)内部进行子网网关跳转。
而专有云则不同,它基于控制面数据监听,将同 VPC 下的所有网络资源分布式配置到资源所在节点,实现单节点掌控 VPC 所有资源信息。虚机间跨子网、跨宿主机的流量路径在宿主机间直接互通,而跳过路由器,大 VPC 东西向流量访问不再受 BVR 网元带宽限制。
▪ 服务网卡
百度智能云专有云服务网卡是一个高可用、高扩展性的 VPC 访问外部服务的代理,可以将 BOS、ORACLE 等 VPC 外部公共服务映射到 VPC 内部,也可以挂载服务发布点生成的服务域名,用户可以在 VPC 内或者混合云对端通过内网便捷、安全地访问这些服务。
此外,对于 VPC 内的服务,用户可以将其作为服务发布点发布出去,对其他用户进行授权,其他用户 VPC 内可以创建服务网卡访问此服务。
▪ 内网 DNS
内网 DNS 服务基于百度专有云私有网络环境,支持私有域名解析和管理服务。可以在自定义的一个或多个私有网络中快速构建 DNS 系统,实现私有域名映射到资源 IP 地址。
通过内网 DNS 服务,用户可以方便地使用私有域名记录来管理 VPC 中的云服务器、负载均衡等百度智能云资源,而这些私有域名在 VPC 之外将无法访问。
▪ 流日志
百度智能云专有云流日志用于记录 VPC 中云服务器实例发送和接收的网络流信息,可以为用户提供流量分析、可视化、故障诊断/定位以及网络架构调优的能力。流日志的核心字段为五元组、统计信息、时间戳,以及流量操作(是否被访问控制允许)等。
▪ 对等连接
对等连接提供了 VPC 级别的网络互联服务,帮助用户实现在不同虚拟网络之间的流量互通。同用户/不同用户之间都可以实现同区域或跨区域虚拟网络互联。
对于跨地域的对等连接,源 VPC 流量需要两次经过虚拟路由器(BVR)(源目 VPC 各一次)。而对于同地域的对等连接,百度专有云基于两端 VPC 控制面数据对流量路径进行了优化,源目 VPC 通信由两次经过 BVR 改为源目 VPC 直接通信,流量不再受 BVR 带宽限制。
▪ IDC 专线
物理专线是一款高性能、高安全性、物理隔离的网络传输服务,为用户提供与百度智能云专有云快速、可靠的连接方式。专线有效地避免了用户核心数据走公网线路带来的抖动、延时、丢包等网络质量问题,极大提升了用户业务的性能与安全性。
通过专线服务(ET),用户可以将本地数据中心扩展到百度专有云,在用户数据中心(IDC)与百度专有云之间,建立一条高速、稳定、安全的外网连接通道。
百度智能云专有云专线服务分为物理专线(EVR)和专线网关(BVR 实现)两个组成部分。用户可在物理专线上划分多个专线通道作为虚拟链路资源。专线网关由用户在其 VPC 中创建并维护,用户将专线通道绑定在指定专线网关上,并配置两端路由最终实现流量互通。
▪ 云智能网
CSN(Cloud Smart Network)实现了不同地域 VPC 之间、VPC 与本地数据中心之间的高性能、低延迟的网络互通,具有全网多点互联、路由自动学习与发布、链路选优等能力,帮助用户打造一张具有企业级规模和通信能力的全球专有云上网络。云智能网与其他链路类型相比,有链路全网互通、路由自主学习、低延时高速率及低成本的优势。
激增的数据洪流,不断出现的业务需求,都对专有云虚拟网络提出了更多新要求,百度智能云将继续提升产品性能, 简化网络功能模块,以完善的虚拟网络架构满足用对响应速度、扩展性等多方面的要求,创造极速安全的上云新体验!
