模板户:专注于dede模板,织梦源码,织梦模板,网站模板,dedecms模板,网站源码,dedecms教程以及各类手机网站模板和企业网站模板分享.

织梦模板

VIP

CMS教程

站长学院

随机织梦教程

最新织梦教程

织梦模板随机Tags

关键词排名 原创 用户体验 玩具外贸网站源码 关键词优化 搜索引擎 汽车配件织梦模板 网站title 太阳能光伏网站源码 网站 财务会计网站源码 餐饮管理织梦模板 餐饮加盟网站源码 关键词 汽车润滑油网站源码 蜘蛛 优化 织梦伪静态 高亮 个人网站

当业界 VPC 规模是 2000 个主机时,青云可以是 63504 个

www.mobanhu.com / 2017-10-11 23:03:52

前言:


目前行业中大规模的网络架构,常用分布式的方案来分散集中式的高性能需求,分布式网络架构已趋主流,云计算的 IT 架构已经在企业应用中表现出明显优势。


但大多企业部署的分布式网络都是 Data Plane 使用分布式,Control Plane 逻辑上仍属于集中式,仍然不能从本质上解决单点问题,所以为了适应云计算的灵活、弹性扩展、高效和低成本,网络设计必须要进化为集中式软件管理,可编程化,控制转发层面分离等。


本文来自 陈海泉(OC)在青云QingCloud 深圳站实践课堂的演讲,他分享了关于下一代超大规模软件定义网络技术实践,全文 3180 字阅读时长约为 12 分钟。希望大家可以有所收获。


什么是 VPC ?


VPC 是什么意思呢? VPC 是用户定义的一个专属的大型三层网络。在 VPC 网络内,用户可以自定义 IP 地址范围、创建子网,并在子网内创建主机/数据库/大数据等各种云资源。今天主要从安全、方便、强大的功能三个方面来说。


安全:完美隔离

简单的说,虚拟网络指的是虚拟二层网络, VPC 指的是虚拟三层网络。在 VPC 里面,还需要能做到不同 VPC 之间, IP 地址复用。因为私有 IP 段有限制,不同的用户,可以使用相同的 IP 地址,却不互相影响。


在有 VPC 之前,所有的云厂商都会提供基础网络,在这个网络中的虚拟机分配的 IP 地址都是这个虚拟唯一的 IP,用户之间的 IP 默认互通,并且 IP 地址不可以做修改,只能云平台分配什么 IP 就用什么。


当然,为了保障用户业务安全,云平台还提供防火墙的功能,让用户挂载到主机上,把端口默认全部给封闭,因为有些比较危险的防火墙,比如 MongoDB 的端口需要被防火墙保护,否则容易被黑客入侵。


前段时间很多云平台的用户,因为 MongoDB 自身的漏洞导致被黑客黑掉、敲诈,归根到底就是因为云平台上的安全没有做到位。


基于这一现状,我们推荐使用 VPC 来做网络隔离,有了 VPC 之后用户的 IP 地址是完全隔离的,在三层、二层上没有任何互相访问的可能,就不需要单独配置各种复杂防火墙的规则。


举个例子,我们给用户 A 分配的 VPC 是 192.168.0.0/16,给 B 分配的也是这个 IP 段,这两个用户之间可以有完全相同的 IP 地址,他们互相访问的时候,即便这些所有的主机都位于同一个物理机上,也不会有互相的影响,都是按照各自的 VPC 定的规则去走。


所以,VPC 的第一个优点是安全,提供非常完美的隔离。


方便:自定义IP,路由…

对于 VPC 来说,整个网络的网段都是用户自己专属的,所以用户可以对 IP 地址做任意的修改,可以使用 192.168.1.2,也可以使用 172.16.2.3,IP 地址分配之后还可以手动修改,想用什么 IP 都可以。


强大:SDN  Passthrough,支持广播、组播和 VIP..

首先说说,SDN  Passthrough,通过提供网卡接口,让虚拟主机能够挂载多个网卡。这些网卡可以属于相同或者不同的网络,同时每个网卡能够管理自己的私网 IP、公网 IP、负载均衡器和防火墙等功能。这个功能的实现,可以让 Docker 实例挂载云平台虚拟网卡的方式,直接使用云平台的 SDN 功能,代替 Docker 的虚拟网络。


一方面减少了第二层虚拟网络的性能损失,另一方面,云平台的 SDN 是通过 API 和控制台封装好的服务,Docker 直接使用就可以了,不需要自己再配置 Docker 网络,所以大幅降低了使用难度。


业界 VPC 主流的设计方法是使用 VxLan 将所有相关计算节点连接成一个虚拟的二层网络,在这个网络上虽然用户可以划分网段,但是节点信息需要全局同步,广播泛洪到所有节点,导致规模受到限制。我们采用了三层虚拟网络设计,利用分布式控制器,和智能路由学习的方式,有效提高了控制平面工作效率,减小广播范围,结合 ARP 代答,让 VPC 规模进一步增大。正是这个原因,当业界主流 VPC 规模上限是 2000 个主机的时候,青云的 VPC 可以支持 63504 个主机。


VPC 架构


如上图,从用户的角度来看看 VPC 的架构。


VPC 对用户来说,逻辑上可以看作是一个核心交换机,它管理了很多 VxNet,每一个用户使用到的网段可以被认为是一个 VxNet,一个 VPC 可以有 252 个 VxNet,由共同的核心交换机对它进行统一的管理。


每一个 VxNet 的成员可以是一个虚拟机的网卡,网卡可以绑定 EIP 直接到互联网,也可以使用 VPC 绑定的 EIP 进行公网带宽的共享功能。


比如,建一个 VPC,给这个 VPC 绑了一个公网 IP,让 VPC 里几万个主机共享此 IP 进行外网联通,就好像大家家里的 WiFi 路由器,只有一个公网 IP,但是可以让所有的互联网设备使用它的 IP 进行公网上网。


交换除了正常的核心交换机、接入交换机的概念之后,我们还提供了隧道的功能,可以进行混合组网,它的主要应用场景是把青云的公有云和用户的私有云做一个网络隧道连接,可以让他们俩用 IP 地址直接访问,用起来相当方便。


DVR

分布式网关


分布式网关本质上是把一个 IP Mac 地址,分散到所有相关的计算节点上,比如我有一个 192.168.0.1 的网关,传统网络里面它是唯一的,不可以被分配到两个网络节点上,因为 IP 和 Mac 都会冲突。


分布式网关 DVR 的能力非常强,除了可以连接公网的网关,可以拥有公网访问的能力,还可以连接基础网络,能让 VPC 主机和基础主机做一个点对点的直通,它能够连接到其他的 VPC 成员,可以让整个 VPC 几万个 IP 之间进行路由连接,它还有一个边界路由器,作用是建立隧道连接,达到混合组网的效果,最后是跟负载均衡器也可以做到点对点连接,达到高效的负载均衡器的功能。


点对点直通


DVR 的实现也是非常复杂的,为什么云平台需要有 DVR 呢?


上边是这张是物理拓扑图,物理世界中 A 和 B通信,需要把信息发送到 A 的交换机,然后到路由器,然后路由器转给 B 的交换机,B 的交换机再发送给 B ,A 和 B 通常需要 4 跳才能发一个数据包。


刚开始的时候,我们会模仿物理世界,给用户虚拟出虚拟的路由器和交换机提供给用户。如果 A、B、C、D、E 这五个设备分别位于五个不同的虚拟机上,在逻辑上 A 的包经过C、E、D、B 才能到,逻辑上是 4 跳。但是虚拟设备每一跳都要通过物理设备去交换,而物理设备每一条 4 跳,这样总得转发量实际上需要 16 跳。


为了解决这个问题,我们引入了 DVR ,从 A 到 B 还是这样,两个 DVR 之间直接交换一下数据就可以了,因为在逻辑上有一跳,所以总数跟原来物理设备一样,四跳完成一个数据包的转换,这样性能就可以非常接近物理机的性能,从而可以组成一个大的虚拟网络。


网卡


我们年初推出的 SDN 网络直通(SDN Passthrough)功能,这个功能为 Docker 提供了一套简便高效的网络方案。在经典的『路由器/交换机/主机』三层结构里面, 我们增加了网卡这一层,让 VPC 跟物理网络更接近了一步,并提供了比物理网络更灵活的用法。


举个例子:我这一个虚拟机上要跑两个 Docker,这两个 Docker 我希望分配192.168.2.0 这个段的 IP 地址,每一个 IP 地址分配到对应的网卡。通过使用 Docker 插件,就可以把网卡挂载到 Docker 的实例上,Docker 就有一个 VPC 分配的 IP 地址,这个 IP 地址除了可以和 VPC 其他的成员互联互通,还能够使用 VPC 带来额外的功能:防火墙、公网 IP、负载均衡器等,这样多个分配的 IP 就可以有 VM IP 同等的地位,不仅性能特别好,配置起来还会特别方便。


IP


弹性 IP 在绝大多数云平台里面,等同于公网 IP,也就是通过集中的 NAT 网关,将公网 IP 地址转换为私网 IP 地址,从而能够让 VPC 内部主机连接到公网。


而 QingCloud VPC 的每个节点都自带分布式的 NAT 网关,使用起来高效而且灵活,不仅支持常见的绑定公网 IP 功能,还支持绑定基础网络 IP。其作用是让 VPC 主机和基础网络主机、私有云物理机高效互通。


LBC


基于 SDN 2.0 提供的网络平台,用户可以创建自己专属的负载均衡器集群,具有以下特点:


  • 全球独有的 TCP/HTTP/HTTPS 全透明功能,后端可以直接获得客户端 IP 地址;

  • 支持用户所有后端,只要 IP 地址不同,即使属于不同 VPC,也可以直接作为负载均衡器后端;

  • 水平扩展负载能力,让集群出带宽和 HTTPS 卸载能力无限制;

  • 集群节点基于容器技术,性能卓越;

  • 通过 SDN 直通功能,直连运行在后端上的容器实例,与Docker对接方便快捷。


边界路由器


跟物理网络一样,私有网络通常需要一个边界路由器,作为和外部网络联通的桥梁。QingCloud 的边界路由器(官方文档里命名为管理路由器)提供了以下功能:


  • 公网网关。给 QingCloud VPC 绑定了公网 IP 之后,VPC 的所有主机都可以共享这个 IP 上网。类似家用的 WIFI 路由器,为全家的所有设备提供上网出口;

  • 公网端口转发虽然 QingCloud VPC 主机可以绑定独立的公网 IP,但是通过 VPC 公网 IP 端口转发提供了另外一种节约成本的方式,让 VPC 的主机通过公用的 IP 地址对外提供服务;

  • 基础网络网关QingCloud VPC 内的主机可以直接连接到基础网络主机,无需任何配置;

  • VPN提供了 OpenVPN、PPTP 和 L2TP 等多种类型的 VPN 服务,让本地的办公网络接入 QingCloud VPC;

  • 混合云通过使用 GRE/IPSec 隧道隧道功能,可以把不同的 VPC 连接在一起,还可以跟云外的物理网络建立虚拟专线。


防火墙


青云防火墙的特点是可以细到每一个网卡,每一个网卡都可以绑定自己的防火墙规则,而且这种规则可以是一个海量的 IP 地址规则,它主要是来自于我们银行客户的需求。


虽然银行的业务都是运行在私有网络,就是用户自己独有的 IDC 里,IP 地址分在很多不同的业务部门,业务部门之间通常需要非常精细地防火墙规格进行过滤。客户的过滤最小单元通常是 IP 地址,当我们的 IDC 里有几千个 IP 地址的,每个防火墙有一两千条规则,对于每一个 IP 地址进行细粒度的访问,这对于传统的银行企业的管理员来说是非常难以管理的功能,同时对云平台也是一个挑战。


而且,当一个防火墙规则有好几千条的时候,对它进行过滤,就很有可能遇到性能损失,比如说一个数据包,需要查两千个表,每一条每一条地查,特别慢,所以我们提供了 IP/PORT 的规则,可以通过哈希的方式,加速防火墙的过滤,从而满足私有云客户这种银行企业的应用场景,因为他们每个防火墙都需要有好几千个防火墙规则进行过滤。


SPAN

为了帮助用户对被监控对象和流量进行故障定位、流量分析、流量备份和流量审计,QingCloud 还在新的 VPC 架构下提供网络流量镜像的功能。


网络流量镜像 (Switched Port Analyzer)一般可以用于网络监控、分析。 通过定义网络流量镜像的目标地址,加入 SPAN 的成员都会把网络流量按照 SPAN 定义的封装方式发送到目标地址。 SPAN 使用二层 GRE 隧道来封装和发送报文,因此在接收镜像流量的对端要能识别并解析 GRE 报文。


  • 用户可以通过自行定义,将自有的网络流量通过镜像的方式,完整地复制到目标 IP 地址;

  • 加入 SPAN 的成员都会把网络流量按照 SPAN 定义的封装方式发送到目标地址;

  • SPAN 使用二层 GRE 隧道来封装和发送报文,因此在接收镜像流量的对端要能识别并解析 GRE 报文。


举个例子:银行的交易系统,在银行里面用户要部署一个自己的业务系统的时候,如果按照传统的方式去做监控,需要给每一个系统上安装各种探侦,比如我有一个 MySQL 业务,需要在 MySQL 上装一个 MySQL 探侦监听 MySQL 所有业务请求,知道它有多少交易。但是银行通常不希望自己的业务系统被污染去安装额外的数据报进行额外的配置,一是不安全,二是不破坏包的依赖。


SPAN 是一个新型的方式可以让业务被监控的时候,不修改任何服务器,服务器的业务上不需要装任何的业务包,不需要装任何的插件或者探侦,只需要部署一个 SPAN 服务器,它搜集所有的流量镜像,就可以根据这些数据包的内容结合用户的场景进行流量的分析,知道用户完成了多少交易、有多少请求。


『广告时间』实践课堂第三季已经开始了,本次课程内容仍以技术实践为主,以用户场景为切入带你,主要围绕 QingCloud 的技术理念、功能特性和使用技巧展开,话题将涵盖如何高效构建原生云应用,云端容器部署,微服务架构,应用感知,自动化运维等业内热点话题。

报名请扫描下方二维码,或者点击 阅读原文 。


- FIN -


投诉
本文由AB模板网:织梦模板整理发布, 转载请说明出处:https://www.mobanhu.com
随机站长资讯
高级精美的家私企业网站源码 家私家纺类网
农业绿色生态水果企业dede源码
驾校类企业网站源码 驾校网站模板
绿色LED灯管类织梦源码 照明企业网站模板
蓝色通用织梦博客模板 资讯文章类网站源码
红色大气装饰公司织梦源码 建筑装修装潢企
网站建设企业模板 互联网网络营销类网站源
html5响应式手机自适应网站模板(兼容手机
黑色HTML5工作室网络公司网站整站模板(适
简洁大气网站建设网络设计类企业织梦模板
html5+css3高端网站建设工作室源码 酷炫的h
红灰色大气网络工作室织梦模板
织梦dedecms幻灯片模糊解决办法
织梦dedecms巧用标签实现图片自动Alt功能,
织梦dedecms文章列表循环标签增加notypeid
织梦dedecms专题模板应用分析及使用案例
dedecms织梦让二级栏目标题去除“/”斜杠和
关于出现“对不起,您安装的不是正版应用..
Discuz(Can not write to cache files)有关
Discuz通过修改文章标题更好的实现SEO的方
DiscuzX中存在不合法的文件被上传的修复方
关于Discuz x3.1页面空白解决方法
通用营销工业机械展示型企业织梦模板 电子
简洁外贸公司电子科技产品网站源码 白色织
蓝色大气的通信类电子科技企业通用网站源码
娱乐多媒体类企业公司织梦模板 娱乐设备网
高端大气数码产品电子类企业源码模板
高级精美的家私企业网站源码 家私家纺类网
农业绿色生态水果企业dede源码
驾校类企业网站源码 驾校网站模板
绿色LED灯管类织梦源码 照明企业网站模板
蓝色通用织梦博客模板 资讯文章类网站源码
红色大气装饰公司织梦源码 建筑装修装潢企
网站建设企业模板 互联网网络营销类网站源
html5响应式手机自适应网站模板(兼容手机
黑色HTML5工作室网络公司网站整站模板(适
简洁大气网站建设网络设计类企业织梦模板
html5+css3高端网站建设工作室源码 酷炫的h
红灰色大气网络工作室织梦模板
织梦dedecms幻灯片模糊解决办法
织梦dedecms巧用标签实现图片自动Alt功能,
织梦dedecms文章列表循环标签增加notypeid
织梦dedecms专题模板应用分析及使用案例
dedecms织梦让二级栏目标题去除“/”斜杠和
最新站长资讯
高级精美的家私企业网站源码 家私家纺类网
农业绿色生态水果企业dede源码
驾校类企业网站源码 驾校网站模板
绿色LED灯管类织梦源码 照明企业网站模板
蓝色通用织梦博客模板 资讯文章类网站源码
红色大气装饰公司织梦源码 建筑装修装潢企
网站建设企业模板 互联网网络营销类网站源
html5响应式手机自适应网站模板(兼容手机
黑色HTML5工作室网络公司网站整站模板(适
简洁大气网站建设网络设计类企业织梦模板
html5+css3高端网站建设工作室源码 酷炫的h
红灰色大气网络工作室织梦模板
织梦dedecms幻灯片模糊解决办法
织梦dedecms巧用标签实现图片自动Alt功能,
织梦dedecms文章列表循环标签增加notypeid
织梦dedecms专题模板应用分析及使用案例
dedecms织梦让二级栏目标题去除“/”斜杠和
关于出现“对不起,您安装的不是正版应用..
Discuz(Can not write to cache files)有关
Discuz通过修改文章标题更好的实现SEO的方
DiscuzX中存在不合法的文件被上传的修复方
关于Discuz x3.1页面空白解决方法
通用营销工业机械展示型企业织梦模板 电子
简洁外贸公司电子科技产品网站源码 白色织
蓝色大气的通信类电子科技企业通用网站源码
娱乐多媒体类企业公司织梦模板 娱乐设备网
高端大气数码产品电子类企业源码模板
高级精美的家私企业网站源码 家私家纺类网
农业绿色生态水果企业dede源码
驾校类企业网站源码 驾校网站模板
绿色LED灯管类织梦源码 照明企业网站模板
蓝色通用织梦博客模板 资讯文章类网站源码
红色大气装饰公司织梦源码 建筑装修装潢企
网站建设企业模板 互联网网络营销类网站源
html5响应式手机自适应网站模板(兼容手机
黑色HTML5工作室网络公司网站整站模板(适
简洁大气网站建设网络设计类企业织梦模板
html5+css3高端网站建设工作室源码 酷炫的h
红灰色大气网络工作室织梦模板
织梦dedecms幻灯片模糊解决办法
织梦dedecms巧用标签实现图片自动Alt功能,
织梦dedecms文章列表循环标签增加notypeid
织梦dedecms专题模板应用分析及使用案例
dedecms织梦让二级栏目标题去除“/”斜杠和
关于出现“对不起,您安装的不是正版应用..
Discuz(Can not write to cache files)有关
Discuz通过修改文章标题更好的实现SEO的方
DiscuzX中存在不合法的文件被上传的修复方
关于Discuz x3.1页面空白解决方法
首页 免费源码 VIP专区 会员中心
收缩