写点什么

政企上云网络适配复杂,看华为云 Stack 有妙招

  • 2022 年 4 月 08 日
  • 本文字数:4659 字

    阅读完需:约 15 分钟

本文分享自华为云社区《【华为云Stack】【大架光临】第11期:政企上云网络适配复杂,看华为云Stack有妙招》,作者:华为云 Stack 网络架构师 姚博;华为云 Stack 网络技术专家 朱娜。

背景

云计算所拥有的超大规模、虚拟化、高可扩展、安全性、按需服务、灵活性等特点,为客户业务创新和组织整合提供了强大的技术基础,当下云计算技术已经成为政企 IT 基础设施的标准配置,政企数据中心部署云资源池后,网络架构变得复杂,如何在数据中心内无缝集成云资源池、如何协同云上业务和云下传统业务的互通、如何解决云上业务的安全合规等新问题出现,华为云 Stack 作为国内领先的云解决方案,能够为政企客户提供满足各种业务诉求的网络技术,帮助业务平滑上云。


业务的正常运行离不开网络,当企业业务运行在传统数据中心时,网络互通和网络安全由数据中心的硬件设备来提供,如下图典型数据中心组网所示:传统物理组网中的东西向流量二三层转发由 spine/leaf,新型数据中心也有多层 Clos 架构来承载,东西向流量的安全防护由旁挂在 border leaf 的防火墙完成;传统硬件负载均衡器部署在资源池内,给业务提供高级网络服务;南北向流量转发集中到数据中心出口接入区完成,出口接入区的设备除了出口路由器做流量转发外,还会部署一些安全设备如防火墙/WAF 等来保证数据中心内业务安全。

图 1:企业传统数据中心典型网络架构


企业客户在本地自建云后,从整个数据中心组网来看,云平台是以一个独立的资源池集成到客户数据中心的全局网络中,是数据中心的一部分。

图 2:企业传统数据中心集成云平台资源池组网


业务上云后,对于网络的通信和安全诉求没有改变,只是网络承载体由物理硬件设备换成了云厂商提供的先进的软件/硬件结合的网络服务。综合来看,云平台提供的网络服务,需要帮助客户解决这些网络问题:

1, 业务上云过程中,一部分业务在云下,一部分业务在云上,如何实现云上云下高速互联?

2, 业务如何使用云上的网络服务,实现快速平滑上云?

3, 云上业务的安全如何控制,才能满足安全合规诉求?

4, 云上业务如何使用传统硬件设备提供的高级能力,满足业务个性化诉求?


华为云 Stack 基础网络云服务凭借国内政企市场的丰富客户经验积累,深入理解客户业务上云过程中对于云网络的诉求,提供了一系列以客户网络为中心、以客户习惯为中心、以客户业务为中心的网络服务和能力。

云资源池网络平滑对接数据中心网络

企业 IT 云化过程中,云资源池只是数据中心的一部分,华为云 Stack 的网络部署架构可以平滑接入到数据中心内,和数据中心网络无缝集成,并且云上云下网络互通可以灵活匹配不同分区网络规划。

使用 L3GW 服务实现客户云上云下一张网

如之前文章《高性能云网关,打通云内外业务互通的任督二脉》中所讲,客户业务上云是一个渐进的过程,在这个过程中,客户的网络是覆盖云上云下的混合组网,对于政企客户来说,传统的数据中心网络规模比较庞大,一般会分多个物理网络分区,连接不同的网络:

• 数据中心互联区,用于同城跨数据中心互联;

• 广域网接入区,接入企业骨干网,用于异地多数据中心互联;

• 互联网接入区,用于连接公网;

• 外联网接入区,用于公司的合作伙伴接入。


每个业务根据服务的对象不同而要求接入不同的网络分区,有的业务只接入一个网络分区,有的业务会接入多个网络分区。这些业务上云之后,对外提供的服务不会变化,连接网络分区的诉求也不会变化,而客户云下物理分区的组网和配置是全局规划的,不能因为业务上云后适配云平台的组网和外部网络类型而调整云下的组网,造成云下网络管理和云平台网络管理有明显的差异,加大了网络管理和维护的难度。


华为云 Stack 网络 L3GW 服务,可以实现云上云下一张网,云上的业务网络通过 L3GW 服务作为一个业务区平滑的接入到传统数据中心的网络,保证客户数据中心现有的网络架构无需改动。

图 1:通过 L3GW 服务实现云上云下业务一张网


承载 L3GW 服务的 L3GW 网关作为云上云下互通的边界网关,一边连接客户数据中心传统网络,一边连接云上的虚拟网络。考虑到客户数据中心的组网方式多种多样,L3GW 支持多种组网方式,比如堆叠组网、VRRP 组网、双活口字型组网以及双活交叉组网等,这几种组网下云平台 L3GW 服务都能实现 L3GW 网关的配置自动化下发,另外还支持客户自定义组网,满足客户个性化诉求,实现客户数据中心网络不需要改造,也可以使用 L3GW 服务。对于自定义组网,虚拟网络的配置也是云平台 L3GW 服务自动化下发的,客户只需要配置自定义部分的网络即可。

传统业务上云,网络规划方案不变

华为云 Stack 可以支持业务上云后,网络管理员继续使用上云前的网络规划和配置习惯,平移上云。

使用 VPC 服务实现业务网络平移上云

VPC 是华为云 Stack 提供的云上的安全隔离的虚拟私有网络,可以理解成传统物理网络的虚拟版本:

• 它是一个完全由客户自己掌控的网络,包括子网配置,网关配置,路由配置等,通过 VPC 实现业务东西向互通诉求;

• 它支持丰富的连接,可以连接到其它 VPC,也可以连接到客户本地数据中心,也可以连接到其它 Region 的 VPC,由客户按需定制,通过丰富的连接实现业务南北向通信诉求;

• 它也是一个安全隔离的网络,安全隔离能力可以做到和传统网络设备 vlan 隔离级别一样。


客户云上的业务都是运行在 VPC 里,云上业务使用的 VPC 分两种场景,一种是大量小规格的 VPC,另一种是少量大规格的 VPC。大量小规格 VPC 场景,是类公有云的一种用法,各个业务部门有自己的账号,自助在云上申请根据业务类型申请 VPC 和自定义 VPC 网络,云的特点天然能支持这种多 VPC 的场景。比较有挑战的是少量大规格 VPC 的场景,这种场景是企业客户由于传统业务网络分区规划方式,固有组织流程,合规要求等因素,希望业务平移上云的普遍诉求。


如上文所说,传统的数据中心网络一般会分多个物理网络分区,有数据中心互联区、广域网接入区、互联网接入区、外联网接入区。网络管理员根据业务规模以及增长趋势预先给每个分区规划独立的网段池子,业务上线的时候,网络管理员基于业务的互通诉求从对应的分区网段池子下分配子网给业务使用,而不用感知业务类型给每个业务预先规划网段池子。


业务上云后,为了保留这种网络管理方式,云上的 VPC 根据网络分区规划,比如规划成内网 VPC,互联网 VPC,外网 VPC 等,每个 VPC 里的子网划分还是保留上云前的分配方式,那业务规模的大小决定了 VPC 子网规格,以及 VPC 下 IP 个数。以内网 VPC 举例,假设网络管理员规划的内网网段为 1 个 B 类地址,每次分配给业务使用为 24 位掩码子网,那么内网 VPC 下的子网个数为 256 个,可用 IP 个数高达 6w 左右。云上 VPC 要能支持大规格子网和大规格 IP 才能满足客户保留网络管理习惯,业务平移上云。


VPC 下子网和 IP 个数越多,云平台管控面压力越大,因为同一个 VPC 下所有 IP 默认是可以互通,高可用诉求下的业务反亲和部署,虚机会打散部署在资源池内所有主机上,导致 VPC 内不同的 IP 覆盖不同的计算节点,当有新的 IP 分配给业务使用后,VPC 覆盖的所有计算节点都要处理新 IP,下发 IP 对应的 ARP 表,控制器需要通知所有计算节点处理新 IP 上线,控制器的处理数据量随着 VPC 规模变大而变大;还有一种考验控制面性能的场景是虚机迁移场景,尤其是虚机并发迁移到新的主机上,新的主机要下发 VPC 下全量子网信息对应的路由表项,全量 IP 信息对应的 ARP 表项,表项越多,耗时越长,迁移导致的网络零中断越难保证。


华为云 Stack 的 VPC 控制器,采用分布式系统架构,管控层和数据层分离,管控层 controller 通过状态外置到 nosql,实现弹性横向扩容;通过 MQ,实现消息分发和流量削峰;数据层通过 agent 组件接收 controller 的配置消息,转换成数据面的配置,帮助数据面屏蔽业务信息,让数据面更简单可靠。controller 和 agent 之间的消息推送采用 push-pull 机制,controller 无需感知 agent 的状态,逻辑简单;agent 减少无效轮询,配置快速生效。


基于这种软件架构,华为云 Stack 单 VPC 支持的大规格子网和大规格 IP,可以满足绝大部分企业客户,保留原有的网络管理习惯的诉求,业务网络平移上云。

使用网络 ACL 服务解决业务安全配置平移上云

数据中心的网络安全防护必不可少,安全防护一般由安全部门负责。数据中心内部是私有环境,相对安全,业务之间互相访问,通过在硬件防火墙配置 ACL 规则防护即可,网络管理员给每个业务分区规划硬件防火墙,业务上线的时候,给安全部门提要求,安全部门根据业务的诉求,在硬件防火墙上配置对应的 ACL 规则。业务下线的时候,再把安全规则从硬件防火墙上移除。业务规模大的时候,硬件防火墙上配置的 ACL 规则会非常多。我们曾经遇到一个金融客户,单个网络分区的硬件防火墙上配置了 60w 条 ACL 规则。


网络云化后,相比传统网络,安全边界发生变化,云下硬件防火墙规则需要平移到云上网络 ACL,基于传统安全配置管理习惯,安全规则跟着业务上云,云上提供的网络 ACL 服务必须支持大量的规则才能满足诉求。

云上的网络 ACL 服务,业界常见实现方式是分布式,ACL 规则下发到各个主机上,而不是传统的集中式的方式。ACL 是有状态的,ACL 规则越多,新建连接逐条规则匹配,性能就越低,因此单个 ACL 实例下规则数一般不会很大,大多数友商都小于 200 条。这对于业务规模比较大,或者是有安全合规要求的行业比如金融行业是远远不够的。


华为云 Stack 网络 ACL 服务,优化了网络 ACL 匹配算法,解决了 ACL 规则多带来的新建连接数低的影响,单个网络 ACL 规则从 200 条,提升到 1W 条,新建连接没有任何影响。基于这个优化,华为云 Stack 单个网络 ACL 实例支持的 ACL 规则数 1W 条(按照 IP 和 Port 展开计算),业务上云过程中,安全配置管理还是保留原有的习惯,平移上云。

云上业务继续使用传统高级网络设备

华为云 Stack 可以支持业务上云后,继续使用传统的高级网络设备,业务不需要改造。

使用 L2BR 服务集成第三方负载均衡器

客户在传统数据中心部署的业务,可能会使用到硬件负载均衡设备提供的某些特性,而这些特性云平台提供的负载均衡服务短期内无法支持,这类业务上云,如果使用云平台提供的负载均衡服务,需要对业务进行改造,改造成不使用云平台不支持的特性,业务改造尤其是生产业务改造带来的代价和风险是不可预知的,因此很难落地;还有一种场景,客户由于使用习惯、技术储备、设备利旧和已有资产保护等原因,要求云上的业务可以继续使用传统的第三方硬件负载均衡设备。


解决这两个问题的常见思路是在云上手动部署负载均衡设备的虚拟化版本,手动部署对客户的网络技能要求很高,并且管理和运维复杂度大大提升,可靠性也比较低。而华为云 Stack IaaS 网络 L2BR 服务支持集成第三方硬件负载均衡设备,迁移到云上的业务还可以像在云下一样使用传统的负载均衡设备,应用零改造上云。

图 2:L2BR 集成硬件 LB 应用场景


如上图所示,传统硬件 LB 旁挂在 L2BR 网关上,硬件 LB 上配置 LB 实例提供 LB 服务,LB 实例所在子网通过 L2BR 实例接入到云内 VPC,后端 server 运行在云上,client 可以在云外,也可以在云上。云上多个 VPC 可以共享硬件 LB,也支持跨 VPC 访问 LB 实例。客户可以根据业务诉求按需灵活组网,既可以使用硬件设备的高级功能,也可以保持原有的操作习惯和体验。

总结

华为云 Stack 适配政企业务上云,充分考虑客户业务上云过程中既可以把网络平移到云上,同时又保留原有的网络架构,操作体验和习惯。通过深入理解客户业务和网络,设计匹配政企应用的网络部署模型和网络使用方案,实现客户网络配置从云下到云上的零修改平移,应用快速迁移入云;通过集成传统负载均衡设备,实现深度特性功能要求,应用零改造上云;通过高性能、低时延、低成本的硬件交换机 L3GW/L2BR 网关,实现云上云下高速互联、云上云下一张网,为客户数字化转型极大提升了资源的使用效率和业务的运作效率。


点击关注,第一时间了解华为云新鲜技术~

发布于: 刚刚阅读数: 2
用户头像

提供全面深入的云计算技术干货 2020.07.14 加入

华为云开发者社区,提供全面深入的云计算前景分析、丰富的技术干货、程序样例,分享华为云前沿资讯动态,方便开发者快速成长与发展,欢迎提问、互动,多方位了解云计算! 传送门:https://bbs.huaweicloud.com/

评论

发布
暂无评论
政企上云网络适配复杂,看华为云Stack有妙招_数据中心_华为云开发者社区_InfoQ写作平台