註:本文主要是參考AWS的官網的文檔。
0. 前言
在本公眾號的前面的文章中,簡要介紹了雲網絡的產品,本系列雲網絡科普文章會詳細介紹雲網絡產品,主要是包括私有網絡、專線接入、VPN等產品,也會介紹各個雲廠商的差異點。
AWS Transit Gateway簡介,阿里云云企業網產品和實現剖析,騰訊云云聯網產品和實現剖析。
1. VPC簡介
私有網絡Virtual Private Cloud (VPC)是用戶構建的專屬網絡空間,雲上的資源可以部署到虛擬網絡中,和數據中心中運行的傳統網絡極其相似。不同私有網絡間完全邏輯隔離。用戶可以自定義網絡環境、包括選擇自己的 IP 地址範圍、創建子網以及配置路由表和網絡網關等,同時私有網絡支持多種方式連接 Internet、連接其他 VPC、連接本地數據中心。
1.1 VPC相關基本概念
VPC CIDR: 無類別域間路由(Classless Inter-Domain Routing、CIDR)是一個用於給用戶分配IP位址以及在網際網路上有效地路由IP數據包的對IP位址進行歸類的方法。雲廠商VPC的cidr 一般要求為RFC 1918中指定的私有 (非公有可路由) IP 地址範圍。
同時雲廠商也支持IPV6的網絡地址。為了限制私有網絡的IP規模,一般是支持16為的地址,例如10.0.0.0/16 或 192.168.0.0/16,為了擴大單個VPC空間的IP數目,部分雲廠商支持一個VPC多個CIDR的功能,如下圖,VPC從10.0.0.0/16,擴展為10.0.0.0/16和10.0.2.0/16。
子網:VPC 內的一個 IP 地址範圍,子網一般從VPC CIDR內分配subnet CIDR,例如VPC的CIDR為10.0.0.0/16 ,分配給子網為10.0.0.0/24,10.0.1.0/24.
彈性網絡接口:IP 地址使 VPC 中的資源能夠相互通信以及與 Internet 上的資源進行通信。VPC 中的每個實例都有一個默認網絡接口 (主網絡接口),系統會為該接口在 VPC 的 IPv4 地址範圍內指定一個私有 IPv4 地址。一般情況,用戶無法從實例(eg. 子機)斷開主網絡接口,但可以創建其他網絡接口並將其掛載至VPC 中的任何實例,當將一個網絡接口從一個實例移動到另一個實例時,網絡流量也會重導向到新的實例。在VPC的實例中包括如下的虛擬網絡接口,路由表:一組稱為「路由」的規則,它們用於確定將網絡流量發送到何處。每個子網都必須關聯一個路由表,這個路由表可指定允許出站流量離開子網的可用路由,每個子網都會自動關聯 VPC 的主路由表,如下圖所示。
用戶也可以自定義路由表和路由策略來控制流量的轉發,如下圖不同的路由表網絡流量的轉發路徑不同。
網絡網關:連接到 VPC 的網關,用於啟用 VPC 中的資源與網際網路之間的通信。例如網際網路網關、NAT 設備連接VPC和網際網路、VPN 連接或 Direct Connect 連接是連接VPC和用戶的本地網絡。
VPC 終端節點(endpoint): 將 VPC 私密地連接到支持的雲服務和 VPC 終端節點服務(由 PrivateLink 提供支持),而無需網際網路網關、NAT 設備、VPN 連接或 Direct Connect 連接。VPC 中的實例無需公有IP 地址便可與服務中的資源通信。
1.2 其他相關基本概念
Region:區域或者大區,之間相互隔離,實現最大程度的容錯能力和穩定性。
Availability Zones:每個區域都有多個相互隔離的位置,稱為可用區。當啟動實例時,用戶可以自己選擇一個可用區。如果實例分布在多個可用區且其中的某個實例發生故障,則可對應用程式進行相應設計,以使另一可用區中的實例可代為處理相關請求。
Local Zones:目前AWS支持Local Zones。本地區域是在地理上靠近用戶的 AWS 區域的擴展。本地區域 擁有自己的 Internet 連接並支持 AWS Direct Connect,因此在 本地區域中創建的資源可以為本地用戶提供超低延遲的通信。
Wavelength Zones:目前AWS支持 Wavelength Zones。利用 AWS Wavelength,開發人員可以為行動裝置和最終用戶打造具有超低延遲的應用程式。Wavelength 可以將 AWS 標準計算和存儲服務部署到電信運營商的 5G 網絡邊緣。開發人員可以將 Virtual Private Cloud (VPC) 擴展到一個或多個 Wavelength 區域,然後使用 Amazon EC2 實例等 AWS 資源來運行需要超低延遲並連接到區域中的 AWS 服務的應用程式。2 VPC通信場景
本章節主要介紹VPC的通信的場景。
2.1 VPC內部互通
默認情況下,同VPC下的子網的子機是可以互通。例如VPC的10.0.0.0/16的子網10.0.0.0/24,10.0.1.0/24關聯的路由表會有一個目的網段為10.0.0.0/16, Target為Local的路由策略。
可以配置安全組和ACL使得同VPC的機器之間不互通。
2.2 VPC間互通
2.2.1 對等連接
VPC 對等連接是兩個 VPC 之間的網絡連接,通過此連接,用戶可以使用私有 IPv4 地址或 IPv6 地址在兩個 VPC 之間路由流量。這兩個 VPC 中的實例可以彼此通信,就像它們在同一網絡中一樣。用戶可以在自己的 VPC 之間創建 VPC 對等連接,或者在自己的 VPC 與其他帳戶中的 VPC 之間創建連接。VPC 可位於不同區域(Region)內。
2.2.2 transit gateway或者雲聯網
AWS的 transit gateway是網絡中轉中心,可用它來互連 Virtual Private Cloud (VPC) 和本地網絡。阿里雲類似的產品為雲企業網,騰訊雲類似的產品為雲聯網。AWS Transit Gateway簡介,阿里云云企業網產品和實現剖析,騰訊云云聯網產品和實現剖析。
transit gateway互通
每個 VPC 具有一個路由表,並且Transit Gateway具有一個路由表。
vpc路由表
每個 VPC 具有一個包含 2 個條目的路由表。第一個條目是 VPC 中本地 IPv4 路由的默認條目;此條目允許此 VPC 中的實例相互通信。第二個條目將所有其他 IPv4 子網流量路由到Transit Gateway。
Transit gateway路由表默認路由,其中啟用了路由傳播。
阿里云云企業網互通
騰訊云云聯網互通
2.3 訪問Internet
2.3.1 Internet 網關
此場景的配置包含一個有單一公有子網的 Virtual Private Cloud (VPC),以及一個 Internet 網關以啟用 Internet 通信。
2.3.2 NAT網關
公有子網中的實例可直接將出站流量發往 Internet,私有子網中的實例可使用位於公有子網中的網絡地址轉換 (NAT) 網關訪問 Internet。例如,公有子網運行面向公眾的 Web 應用程式,資料庫伺服器則位於私有子網之內和不想暴露後端服務,這樣資料庫伺服器可以使用 NAT 網關連接到 Internet 進行軟體更新,但 Internet 不能建立到資料庫伺服器的連接。
2.4 訪問本地網絡
2.4.1 VPN連接
站點到站點VPN連接由雲端的虛擬私有網關或中轉網關與位於數據中心的客戶網關設備之間的兩條 VPN 隧道組成。客戶網關設備是站點到站點VPN連接在用戶這一端配置的實體設備或軟體設備。
2.4.2 專線接入
Direct Connect 通過標準的乙太網光纖電纜將用戶的內部網絡連結到 Direct Connect 位置。電纜的一端接到用戶的路由器,另一端接到 Direct Connect 路由器。有了此連接以後,用戶就可以創建直接連接到雲上服務,從而繞過網絡路徑中的 Internet 服務提供商。目前雲廠商一般是支持兩種接入,一種是用戶直接連接到雲廠商的專線接入點,另外一種是用戶連接到雲廠商的Partner,再由Partner連接到雲廠商的專線接入點。
2.4.3 SD_WAN接入服務
SD-WAN 接入服務(SD-WAN Access Service)助力多分支輕鬆實現與雲、數據中心的任意互聯,具有即插即用、全球覆蓋、智能管控等特性,為企業多分支提供更簡單、可靠、智能的一站式的上雲體驗。
AWS的SD-WAN是把合作夥伴的SD-WAN服務部署在VPC的機器中並且提供transit Gateway和雲網絡的其他實例互通,阿里雲和騰訊雲會單獨的售賣SD-WAN設備。
其中,Edge 設備為硬體設備形態,在用戶 IDC、分支和門店安裝 Edge 設備後,可自動與雲網絡連接。
2.5 將本地網絡擴展到雲中註:本章節主要使用aws的雲服務進行介紹。
把VPC的子網分配到local zone中,可以在靠近最終用戶的地理位置運行各種雲服務。本地區域具有本地 Internet 出入口,以降低延遲。本地區域還支持 Direct Connect,使用戶有機會通過專用網絡連接路由流量。
2.5.2 將 VPC 資源擴展到Outposts中AWS Outposts 是一項完全託管的服務,可提供相同的雲基礎設施、雲服務、API 和工具到幾乎任何數據中心、主機託管空間或本地設施,以實現真正一致的混合體驗。
Outposts提供一套雲的硬體和服務,對於私有網絡VPC是分配子網到Outposts中,其中有兩種互通模型,一種是專線接入,另外一種是提供internel互通。
專線模式
internet模式
2.5.3 將 VPC 資源擴展到 Wavelength 區域Wavelength 可以將 AWS 標準計算和存儲服務部署到電信運營商的 5G 網絡邊緣。開發人員可以將 Amazon Virtual Private Cloud (VPC) 擴展到一個或多個 Wavelength 區域,然後使用 Amazon Elastic Compute Cloud (EC2) 實例等 AWS 資源來運行需要超低延遲並連接到區域中的 AWS 服務的應用程式。
2.6 PrivateLink 和 VPC endponit
VPC 終端節點使用戶能夠將 VPC 私密地連接到支持的雲服務和 VPC 終端節點服務(由PrivateLink 提供支持),而無需網際網路網關、NAT 設備、VPN 連接或Direct Connect 連接。VPC 中的實例無需公有 IP 地址便可與服務中的資源通信。VPC 和其他服務之間的通信不會離開雲網絡。例如雲服務商提供的DNS服務,可以不需要通過訪問Internel的DNS服務,可以在雲服務商的內部環境完成DNS服務的訪問。
2.6.1 VPC Endpoint
通過VPC終端節點可在用戶的 VPC 與雲服務以及由 PrivateLink 支持的 VPC 終端節點服務之間建立私有連接。
Interface endpoints:一個彈性網絡接口,具有來自子網 IP 地址範圍的私有 IP 地址,用作發送到受支持的服務的通信的入口點。
子網 1 中的實例可以使用其默認 DNS 名稱,通過 AWS 區域中的公有 IP 地址空間與 Amazon Kinesis Data Streams 通信。
在上圖中,為終端節點啟用私有 DNS。任一子網中的實例都可以使用默認的 DNS 主機名或特定於終端節點的 DNS 主機名,通過接口終端節點向 Amazon Kinesis Data Streams 發送請求。
Gateway Load Balancer endpoints:是一個網關,作為在路由表中指定的路由的目標,用於發往受支持的雲服務的流量,例如AWS的Amazon S3,DynamoDB,騰訊雲的COS,CDB等服務。
子網 2 中的實例可通過網關終端節點訪問 Amazon S3
2.6.2 PrivateLink
服務提供方在 VPC 中創建自己的應用程式並將其配置為 PrivateLink 支持的服務(也稱作終端節點服務)。其他用戶可以使用接口VPC終端節點,在他們的 VPC 和你的終端節點服務之間創建連接。
PrivateLink 服務提供商配置在其 VPC 中運行服務的實例,並以 Network Load Balancer 為前端。將區域內 VPC 對等連接(VPC 在同一區域中)和區域間 VPC 對等連接(VPC 在不同的區域中)與 PrivateLink 結合使用,可允許跨 VPC 對等連接對使用者進行私有訪問。
3. 雲廠商VPC的對比
對於VPC,主流的雲廠商基本上的功能和實現類似。在VPC的連接方面,雲廠商的基本功能也類似,細節有細微的產品,產品的能力有部分差異。
3.1 私有網絡的差別
Google Cloud Platform(GCP)
的私有網絡和其他雲廠商有差別。GCP VPC的特點
3.2 專線接入的差別
國內的雲廠商阿里雲和騰訊雲等會支持專線接入的靜態路由和BGP動態路由,AWS只支持BGP動態路由。而專線接入也有是否支持NAT的差別。
3.3 transit gateway或者雲聯網
目前transit gateway是負責本地網絡實例的連接和互通,跨地域需要藉助transit gateway peering,而騰訊雲的雲聯網,阿里雲的雲企業網可以支持不同地域的網絡實例連接和互通。在路由控制方便,AWS的使用多路由表,控制粒度更細。
3.4 SD-WAN接入服務
AWS的SD-WAN是把合作夥伴的SD-WAN服務部署在VPC的機器中並且提供transit Gateway和雲網絡的其他實例互通,阿里雲和騰訊雲會單獨的售賣SD-WAN設備。
4. 總結和展望
私有網絡VPC作為IAAS層基礎設施之一,類似高速公裡或高鐵的在國民經濟的作用,一直在不斷的追求高速上雲,全球互聯的願景,而雲上私有網絡VPC的發展是雲基礎設施和服務不斷的擴張和完善的真實寫照。相信未來私有網絡VPC也能繼續的擴展新的應用場景和服務,助力雲上和雲下的服務的高效智能的互聯互通。
參考文獻
AWS VPC
https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html
GCP VPC
https://cloud.google.com/vpc/docs/vpc
AWS IoT Corehttps://amazonaws-china.com/cn/iot-core/
AWS IoT Greengrass
https://amazonaws-china.com/cn/greengrass/
AWS Snowball
https://amazonaws-china.com/cn/snowball/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc
AWS的Transit Gatewayhttps://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/what-is-transit-gateway.html
阿里云云企業網
https://help.aliyun.com/product/59006.html
阿里雲智能接入網關
https://help.aliyun.com/product/68086.html?spm=a2c4g.11186623.6.540.44636d553D8d6b
騰訊云云聯網https://cloud.tencent.com/document/product/877