云數(shù)據(jù)中心網(wǎng)絡(luò)介紹

云數(shù)據(jù)中心網(wǎng)絡(luò)介紹目錄TOC\o"1-2"\h\u2619一、云網(wǎng)絡(luò)是未來的網(wǎng)絡(luò)基礎(chǔ)設(shè)施 2314251.什么是云網(wǎng)絡(luò) 2107402.云網(wǎng)絡(luò)具備云的特征 2261703.云網(wǎng)絡(luò)改變商業(yè)模式 4120884.DevOps變革產(chǎn)業(yè)生態(tài) 52175二、云網(wǎng)絡(luò)產(chǎn)品體系概述 65845三、VPC 10144601.什么是VPC 10235492.VPC的組成 11196593.VPC網(wǎng)絡(luò)規(guī)劃 13190434.VPC網(wǎng)絡(luò)高可靠設(shè)計(jì) 17316885.VPC網(wǎng)絡(luò)安全設(shè)計(jì) 18231676.VPC的運(yùn)維管理 2120820四、彈性公網(wǎng)IP 23125021.什么是彈性公網(wǎng)IP 2339682.彈性公網(wǎng)IP的類型 24246783.彈性公網(wǎng)IP功能 28147734.公網(wǎng)計(jì)費(fèi)方式 3020917五、NAT網(wǎng)關(guān) 31179511.什么是NAT網(wǎng)關(guān) 32315052.NAT網(wǎng)關(guān)的主要特點(diǎn) 3239343.NAT網(wǎng)關(guān)的主要應(yīng)用場景 3315354六、IPv6網(wǎng)關(guān) 35124921.什么是IPv6網(wǎng)關(guān) 35319622.IPv6網(wǎng)關(guān)設(shè)計(jì)思路 3625143.IPv6網(wǎng)關(guān)的主要應(yīng)用場景 3732113七、對等連接 38187351.什么是對等連接 38203792.對等連接和云企業(yè)網(wǎng)的異同 38100043.對等連接的主要應(yīng)用場景 3910593八、私網(wǎng)連接 39280351.什么是私網(wǎng)連接 40205932.私網(wǎng)連接的組成 41103313.私網(wǎng)連接的優(yōu)勢 42129104.私網(wǎng)連接的主要應(yīng)用場景 4325324九、負(fù)載均衡 4463351.什么是負(fù)載均衡 45181892.負(fù)載均衡的分類 4671023.負(fù)載均衡的優(yōu)勢 48210034.負(fù)載均衡的主要應(yīng)用場景 49226465.面向云原生的負(fù)載均衡 50云網(wǎng)絡(luò)是未來的網(wǎng)絡(luò)基礎(chǔ)設(shè)施1.什么是云網(wǎng)絡(luò)到底什么是云網(wǎng)絡(luò)？它和傳統(tǒng)的網(wǎng)絡(luò)有什么不同？當(dāng)云計(jì)算把分散在各企業(yè)的算力與存儲(chǔ)資源集中起來，并向企業(yè)、分支、IoT終端、家庭、個(gè)人移動(dòng)端傳輸數(shù)據(jù)時(shí)，基于云連接構(gòu)建的云網(wǎng)絡(luò)就是一個(gè)面向企業(yè)租戶和應(yīng)用的虛擬網(wǎng)絡(luò)。云網(wǎng)絡(luò)基于數(shù)字經(jīng)濟(jì)的云平臺(tái)，建立面向計(jì)算、存儲(chǔ)、終端、應(yīng)用的連接。云網(wǎng)絡(luò)具備云計(jì)算資源共享、彈性伸縮、自助服務(wù)、可計(jì)量、連接無處不在、兼容性的特征。云網(wǎng)絡(luò)并不是要重建一個(gè)新的網(wǎng)絡(luò)來取代現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，而是通信技術(shù)（CommunicationTechnology，CT）與信息技術(shù)（InformationTechnology，IT，這里主要是云計(jì)算技術(shù)）融合的產(chǎn)物，是資源+技術(shù)+產(chǎn)品+服務(wù)的完整商業(yè)體系。接下來，從多個(gè)視角來解讀由云網(wǎng)絡(luò)引領(lǐng)的ICT融合。2.云網(wǎng)絡(luò)具備云的特征云網(wǎng)絡(luò)應(yīng)該具備的能力如下所述。2.1資源共享為了實(shí)現(xiàn)資源共享，網(wǎng)絡(luò)必須虛擬化并安全隔離，這里會(huì)用到Overlay技術(shù)。前面討論過，網(wǎng)絡(luò)的技術(shù)本質(zhì)是“編址+路由”，Overlay的編址是在數(shù)據(jù)報(bào)文編址上疊加一層租戶標(biāo)識(shí)，現(xiàn)在通常使用VxLAN技術(shù)，在租戶報(bào)文上增加了IP+UDP+VxLAN（租戶ID）。其實(shí)這個(gè)技術(shù)并不新鮮，早在2G、3G移動(dòng)網(wǎng)絡(luò)時(shí)代，就使用GTP（GPRSTunnelProtocol）來承載手機(jī)用戶的報(bào)文，這樣無線核心網(wǎng)絡(luò)GGSN/SGSN/RNC之間的路由器不用感知手機(jī)終端地址，大大節(jié)省了路由表地址空間。使用VxLAN技術(shù)對云網(wǎng)絡(luò)進(jìn)行編址避免了對物理網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器）的升級(jí)。在路由層面是實(shí)現(xiàn)路由器表的隔離，這就要求云網(wǎng)絡(luò)向每個(gè)租戶均提供虛擬的設(shè)備（如虛擬交換機(jī)、虛擬路由器、虛擬防火墻、虛擬負(fù)載均衡等）。由于多租戶共享了物理網(wǎng)絡(luò)，所以保障每個(gè)租戶間的QoS、限速和調(diào)度能力尤為重要。2.2彈性伸縮網(wǎng)絡(luò)處理能力主要由轉(zhuǎn)發(fā)能力與控制能力決定。對于傳統(tǒng)設(shè)備來說，轉(zhuǎn)發(fā)單板即接口處理板用于處理轉(zhuǎn)發(fā)，通常有多塊。控制單板用于路由的學(xué)習(xí)與配置下發(fā)。為了保證可靠性，控制單板采用1+1主備部署。傳統(tǒng)設(shè)備買回來，處理性能就確定了。為了實(shí)現(xiàn)彈性伸縮，需要將控制面與轉(zhuǎn)發(fā)面分離部署，并且采用集群的方式支持?jǐn)U展。從軟/硬件的體系結(jié)構(gòu)看，對于復(fù)雜的4-7層協(xié)議，如DNS防火墻協(xié)議解析、會(huì)話識(shí)別、負(fù)載均衡HTTP處理、會(huì)話保持、VPN的協(xié)商協(xié)議等都適合采用CPU軟件實(shí)現(xiàn)。對于2-3層交換、路由、無狀態(tài)的ACL過濾，采用硬件對算法進(jìn)行固化性能更高。云網(wǎng)絡(luò)的虛擬設(shè)備分布式部署后，可以采用集中的流量調(diào)度進(jìn)行網(wǎng)絡(luò)資源的優(yōu)化。2.3自助服務(wù)自助服務(wù)是從用戶視角看到的云網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)的最大區(qū)別。傳統(tǒng)網(wǎng)絡(luò)采用分布式智能控制，支持人—機(jī)接口對多臺(tái)設(shè)備進(jìn)行配置，需要專業(yè)網(wǎng)絡(luò)管理員通過CLI（CommandLine）命令行進(jìn)行配置。而云網(wǎng)絡(luò)支持機(jī)—機(jī)接口，可實(shí)現(xiàn)集中管理。通過編程或者集中的控制臺(tái)就可以完成網(wǎng)絡(luò)搭建。2.4可計(jì)量云網(wǎng)絡(luò)改變了原有設(shè)備的購買方式。傳統(tǒng)網(wǎng)絡(luò)設(shè)備商會(huì)根據(jù)路由器、交換機(jī)等設(shè)備的性能規(guī)格、功能特性、維保進(jìn)行收費(fèi)，因此，有的企業(yè)即使設(shè)備利用率不到30%30\%30%，也會(huì)超額購買。而云網(wǎng)絡(luò)借鑒了CT領(lǐng)域按量計(jì)費(fèi)的方式，支持采用預(yù)付費(fèi)或者后付費(fèi)方式，根據(jù)企業(yè)實(shí)際使用量進(jìn)行收費(fèi)。因此，云網(wǎng)絡(luò)針對每個(gè)租戶的處理能力、轉(zhuǎn)發(fā)的流量進(jìn)行定時(shí)打點(diǎn)計(jì)費(fèi)、出賬單。2.5連接無處不在傳統(tǒng)網(wǎng)絡(luò)時(shí)代，廠商通過多年的積累，沉淀了很多標(biāo)準(zhǔn)，各品牌設(shè)備是可通信的。云網(wǎng)絡(luò)時(shí)代，只需將各云廠商提供的云網(wǎng)絡(luò)看作一臺(tái)超級(jí)路由器，在邊界上通過標(biāo)準(zhǔn)協(xié)議與傳統(tǒng)網(wǎng)絡(luò)實(shí)現(xiàn)對接，利用云網(wǎng)絡(luò)資源的廣泛覆蓋和滲透力，實(shí)現(xiàn)無處不在的連接。2.6兼容性兼容性是云網(wǎng)絡(luò)技術(shù)保持旺盛生命力、快速發(fā)展的基礎(chǔ)，與現(xiàn)有的物理網(wǎng)絡(luò)在對接標(biāo)準(zhǔn)上求同：一是由設(shè)備購買方式走向服務(wù)購買方式；二是在網(wǎng)絡(luò)體系上，從分布式智能走向集中智能；三是在配置方式上，由人—機(jī)分布式（Command-lineInterface，CLI）配置走向機(jī)—機(jī)（ApplicationProgrammingInterface，API）集中配置；四是在處理性能上，由固定配置走向集群化、分布式部署。3.云網(wǎng)絡(luò)改變商業(yè)模式在傳統(tǒng)的購買方式中，提供應(yīng)用服務(wù)的企業(yè)為了搭建數(shù)據(jù)中心，需要購買各類軟硬件及服務(wù)，包括向集成商購買咨詢與交付服務(wù)；向多家設(shè)備商分別購買交換機(jī)、路由器、防火墻、負(fù)載均衡設(shè)備、服務(wù)器（含網(wǎng)卡）、維保服務(wù)；向云計(jì)算軟件廠商購買或利用開源搭建虛擬化環(huán)境；向多家運(yùn)營商購買帶寬與專線。這需要漫長的協(xié)調(diào)和溝通過程，會(huì)耗費(fèi)大量的時(shí)間與精力。當(dāng)云網(wǎng)絡(luò)出現(xiàn)后，有技術(shù)能力的互聯(lián)網(wǎng)企業(yè)，可以根據(jù)應(yīng)用部署的規(guī)劃，直接在控制臺(tái)或者通過程序調(diào)用云網(wǎng)絡(luò)API，很快完成部署。技術(shù)能力欠缺的企業(yè)，也可以通過找到管理服務(wù)提供商（ManagementServiceProvider，MSP）來完成云環(huán)境的搭建。通過云網(wǎng)絡(luò)的服務(wù)化提供方式，企業(yè)可獲得許多在傳統(tǒng)網(wǎng)絡(luò)中無法獲得的能力，例如，全球部署的互聯(lián)與加速能力，云-管-邊-端的連接能力，應(yīng)用的實(shí)際使用量與網(wǎng)絡(luò)服務(wù)質(zhì)量的感知能力、總部、分支、移動(dòng)辦公等向云的平滑遷移能力等。云管邊端是一個(gè)多層次的技術(shù)架構(gòu)概念，涉及云計(jì)算、網(wǎng)絡(luò)通信、邊緣計(jì)算和終端設(shè)備等多個(gè)領(lǐng)域。此架構(gòu)綜合了云計(jì)算的強(qiáng)大計(jì)算和存儲(chǔ)能力與邊緣計(jì)算的低延遲優(yōu)勢，同時(shí)結(jié)合了終端設(shè)備的用戶交互功能，形成了從云端到終端設(shè)備的完整生態(tài)系統(tǒng)。云：代表云計(jì)算，負(fù)責(zé)大規(guī)模數(shù)據(jù)的存儲(chǔ)和處理，提供各種服務(wù)如數(shù)據(jù)庫、彈性主機(jī)、微服務(wù)等。管：指的是網(wǎng)絡(luò)和通信技術(shù)，包括有線和無線網(wǎng)絡(luò)，負(fù)責(zé)將終端設(shè)備連接到云計(jì)算中心。邊：代表邊緣計(jì)算，發(fā)生在數(shù)據(jù)源附近的計(jì)算過程，如保護(hù)工程師站、視頻監(jiān)控系統(tǒng)等，它允許在數(shù)據(jù)產(chǎn)生的源頭進(jìn)行即時(shí)的數(shù)據(jù)處和響應(yīng)，減少延遲并提高效率。端：指的是終端設(shè)備，如智能手機(jī)、平板電腦、智能家電、傳感器等，它們是用戶直接交互的界面，也是數(shù)據(jù)的來源地。在采用云服務(wù)后，網(wǎng)絡(luò)工程師不再需要獲得各種設(shè)備廠商的認(rèn)證，但需要了解計(jì)算、安全、數(shù)據(jù)庫、大數(shù)據(jù)、AI等基礎(chǔ)知識(shí)，懂得應(yīng)用部署方式，才能更好地進(jìn)行網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)，可以通過編程根據(jù)應(yīng)用需求靈活調(diào)度網(wǎng)絡(luò)服務(wù)。4.DevOps變革產(chǎn)業(yè)生態(tài)在構(gòu)建網(wǎng)絡(luò)時(shí)，傳統(tǒng)運(yùn)營商首先要考慮互通標(biāo)準(zhǔn)以降低總體成本。形成標(biāo)準(zhǔn)的時(shí)間很長：回顧從2G到5G的發(fā)展歷程，基本上從標(biāo)準(zhǔn)制定到商用需要5年以上的時(shí)間。網(wǎng)絡(luò)設(shè)備的發(fā)展經(jīng)歷了技術(shù)、競爭、場景的不斷疊加，在特定場景中會(huì)發(fā)現(xiàn)某類網(wǎng)絡(luò)設(shè)備中包含了很多無用的功能。為了提升服務(wù)發(fā)布效率，云網(wǎng)絡(luò)采用了自研方式。以開源OpenvSwitch為例，為了避免對Linux內(nèi)核的改造，充分復(fù)用LinuxTCP/IP協(xié)議棧的特性與能力，然而OpenvSwitch在內(nèi)核上的處理性能并不理想，在10Gbit/s服務(wù)器時(shí)代還可勉強(qiáng)應(yīng)付，但升級(jí)到25Gbit/s、100Gbit/s以后就難以維持了。為了提升轉(zhuǎn)發(fā)處理性能，軟件與硬件的結(jié)合給網(wǎng)卡芯片、交換芯片提供商帶來了新的機(jī)會(huì)與挑戰(zhàn)，從而促使云網(wǎng)絡(luò)產(chǎn)品快速發(fā)展。云網(wǎng)絡(luò)的技術(shù)架構(gòu)與開發(fā)模式，對傳統(tǒng)的物理網(wǎng)絡(luò)設(shè)備帶來一些沖擊，主要包括交換機(jī)、路由器、負(fù)載均衡和防火墻等。由于服務(wù)器與存儲(chǔ)間的物理連接依然存在，對物理交換機(jī)、路由器的影響有限，依然要求它們具備高性能、低時(shí)延的轉(zhuǎn)發(fā)性能。由于云網(wǎng)絡(luò)中的虛擬交換機(jī)采用VxLAN等Overlay技術(shù)，對物理交換機(jī)的表項(xiàng)要求變小了。當(dāng)復(fù)雜的應(yīng)用協(xié)議層被剝離到云網(wǎng)絡(luò)虛擬化層后，物理連接層盡量減少使用二層部署，以避免隨之而來的環(huán)路問題。同時(shí)，對底層物理交換機(jī)的功能需求會(huì)減少。為了提升運(yùn)維效率，要求物理網(wǎng)絡(luò)的監(jiān)控功能提升，由人—機(jī)CLI轉(zhuǎn)變?yōu)锳PI，以實(shí)現(xiàn)機(jī)—機(jī)監(jiān)控。但由于各廠商的標(biāo)準(zhǔn)不統(tǒng)一，交換機(jī)有被云廠商白盒化的趨勢。云網(wǎng)絡(luò)對于4/7層防火墻、負(fù)載均衡等網(wǎng)絡(luò)設(shè)備的沖擊尤為巨大，簡單地把傳統(tǒng)的設(shè)備進(jìn)行軟件化，并不能帶來彈性伸縮能力，很多原有的4/7層網(wǎng)絡(luò)設(shè)備正被取代。由于采用了DevOps方式，云廠商同時(shí)具備開發(fā)與運(yùn)維的能力，可以根據(jù)實(shí)際運(yùn)維過程中的需求，在開發(fā)時(shí)快速提供管理接口。由于涉及眾多租戶和應(yīng)用在線不間斷使用的問題，靠人使用腳本方式來管理已經(jīng)不可能，要以更智能的方式對網(wǎng)絡(luò)進(jìn)行監(jiān)控、故障逃逸、版本升級(jí)管理。云網(wǎng)絡(luò)要求在新、舊版本之間進(jìn)行平滑升級(jí)與回滾。對企業(yè)來說，管理運(yùn)維云網(wǎng)絡(luò)的方式也發(fā)生了巨大的變化。因?yàn)橐呀?jīng)看不到實(shí)體設(shè)備，很多網(wǎng)絡(luò)的管理工作交給了云廠商，但是依然需要從應(yīng)用的視角去感知網(wǎng)絡(luò)的質(zhì)量與故障，進(jìn)行應(yīng)用層的可靠性保障。在過去的10年間，大部分的互聯(lián)網(wǎng)企業(yè)已經(jīng)將應(yīng)用部署在云上，充分利用云網(wǎng)絡(luò)的能力為消費(fèi)者提供服務(wù)。云計(jì)算已經(jīng)成為互聯(lián)網(wǎng)時(shí)代的基礎(chǔ)設(shè)施。變革已至，未來已來。企業(yè)上云，網(wǎng)絡(luò)先行。云網(wǎng)絡(luò)必將攜互聯(lián)網(wǎng)新技術(shù)惠及各行業(yè)。云網(wǎng)絡(luò)產(chǎn)品體系概述在介紹云網(wǎng)絡(luò)產(chǎn)品體系前，先介紹幾個(gè)與云計(jì)算相關(guān)的基礎(chǔ)概念。阿里云在基礎(chǔ)設(shè)施層面分為地域和可用區(qū)兩層，關(guān)系如下圖所示。在一個(gè)地域內(nèi)有多個(gè)可用區(qū)，每個(gè)地域完全獨(dú)立，每個(gè)可用區(qū)完全隔離，同一個(gè)地域內(nèi)的可用區(qū)之間使用低時(shí)延鏈路相連。地域。地域（Region）指物理的數(shù)據(jù)中心。資源創(chuàng)建成功后不能更換地域。用戶可以根據(jù)目標(biāo)用戶所在的地理位置選擇地域，不同地域的相同產(chǎn)品之間，一般不能直接在內(nèi)網(wǎng)通信；同時(shí)，從產(chǎn)品維度看，不同地域的資源價(jià)格可能有差異?？捎脜^(qū)?？捎脜^(qū)（AvailabilityZone，AZ）指在同一地域內(nèi)，電力和網(wǎng)絡(luò)互相獨(dú)立的物理區(qū)域。同一可用區(qū)內(nèi)實(shí)例之間的網(wǎng)絡(luò)延時(shí)更小。在同一地域內(nèi)的可用區(qū)與可用區(qū)之間內(nèi)網(wǎng)互通，可用區(qū)之間能做到故障隔離。接入點(diǎn)。接入點(diǎn)（POP點(diǎn)）指一般物理專線接入阿里云的地理位置，在每個(gè)接入點(diǎn)有兩臺(tái)接入設(shè)備。每個(gè)地域下有一到多個(gè)接入點(diǎn)，本地?cái)?shù)據(jù)中心可以從任意一個(gè)接入點(diǎn)與VPC相連。基于上述云計(jì)算的基礎(chǔ)概念，云網(wǎng)絡(luò)產(chǎn)品體系主要分為云數(shù)據(jù)中心網(wǎng)絡(luò)、跨地域網(wǎng)絡(luò)和混合云網(wǎng)絡(luò)三大部分，如下圖所示。云數(shù)據(jù)中心網(wǎng)絡(luò)產(chǎn)品具備讓用戶在云上某個(gè)地域構(gòu)建業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)能力，包括基礎(chǔ)網(wǎng)絡(luò)、公網(wǎng)帶寬、網(wǎng)元功能等。其中：基礎(chǔ)網(wǎng)絡(luò)提供一個(gè)網(wǎng)絡(luò)環(huán)境，包括VPC、IPv6等；公網(wǎng)帶寬包括彈性公網(wǎng)IP、帶寬包等產(chǎn)品；網(wǎng)元功能指的是借助網(wǎng)元，搭建更敏捷的網(wǎng)絡(luò)功能，從而降低了運(yùn)營支出和資本支出。在云網(wǎng)絡(luò)中，網(wǎng)絡(luò)元件（NetworkElement），簡稱網(wǎng)元，指的是使用與底層硬件分離的軟件來實(shí)現(xiàn)的網(wǎng)絡(luò)功能單元，交換機(jī)、路由器、NAT網(wǎng)關(guān)、負(fù)載均衡等都是網(wǎng)元?？绲赜蚓W(wǎng)絡(luò)產(chǎn)品為用戶提供了多地域私網(wǎng)互聯(lián)和跨地域公網(wǎng)加速能力。通過跨地域網(wǎng)絡(luò)產(chǎn)品可以滿足用戶多地域，甚至全球化部署業(yè)務(wù)系統(tǒng)的需求?？绲赜蚓W(wǎng)絡(luò)產(chǎn)品主要包括云企業(yè)網(wǎng)和全球加速?；旌显凭W(wǎng)絡(luò)產(chǎn)品可以為用戶構(gòu)建云上云下互通的混合云，為傳統(tǒng)用戶提供快捷的上云通道，包括VPN網(wǎng)關(guān)、智能接入網(wǎng)關(guān)、高速通道。主要產(chǎn)品中英文名稱和簡稱如下表所示。如下圖所示，云網(wǎng)絡(luò)的底層是全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施，其上是飛天洛神云網(wǎng)絡(luò)平臺(tái)，再上一層是云數(shù)據(jù)中心網(wǎng)絡(luò)、跨地域網(wǎng)絡(luò)和混合云網(wǎng)絡(luò)三大產(chǎn)品體系，之上是云網(wǎng)絡(luò)的智能網(wǎng)絡(luò)和開放網(wǎng)絡(luò)，分別通過網(wǎng)絡(luò)分析平臺(tái)和網(wǎng)絡(luò)開放平臺(tái)承載。最上層是云網(wǎng)絡(luò)解決方案，包括通用網(wǎng)絡(luò)解決方案和行業(yè)網(wǎng)絡(luò)解決方案。VPC1.什么是VPCVPC是用戶在云上可自己掌控的私有網(wǎng)絡(luò)環(huán)境，例如選擇IP地址范圍、配置路由表和網(wǎng)關(guān)、構(gòu)建混合云等。用戶還可以在自己定義的VPC中使用如云服務(wù)器、云數(shù)據(jù)庫和負(fù)載均衡等產(chǎn)品。VPC初期主要解決兩個(gè)核心問題：一是多租戶網(wǎng)絡(luò)隔離問題，二是隨之帶來的用戶從VPC內(nèi)訪問眾多云服務(wù)的問題。隨著越來越多的企業(yè)用戶上云，企業(yè)級(jí)網(wǎng)絡(luò)的需求越來越多，VPC要解決的問題也包括幫助企業(yè)更平滑地上云，讓企業(yè)在線下IDC（InternetDataCenter，互聯(lián)網(wǎng)數(shù)據(jù)中心）里的網(wǎng)絡(luò)架構(gòu)、運(yùn)維管理體系能平滑地遷移到云上。VPC的核心是為每個(gè)租戶都提供一個(gè)類似于線下IDC那樣的完全隔離的、可自定義的網(wǎng)絡(luò)環(huán)境。在VPC中，有和線下IDC對應(yīng)的虛擬路由器、虛擬交換機(jī)和虛擬防火墻。這些虛擬路由器、虛擬交換機(jī)、虛擬防火墻對于大多數(shù)場景是免費(fèi)的，用戶還可以自定義各種配置，如下圖所示。2.VPC的組成云網(wǎng)絡(luò)顛覆了傳統(tǒng)數(shù)據(jù)中心的組網(wǎng)方式。VPC讓用戶感知不到線下數(shù)據(jù)中心各種復(fù)雜的物理網(wǎng)絡(luò)設(shè)備和物理連線。用戶在VPC中看到的是虛擬交換機(jī)和虛擬路由器。2.1虛擬交換機(jī)在一個(gè)VPC內(nèi)部一般有多個(gè)不同的子網(wǎng)。一個(gè)虛擬交換機(jī)（vSwitch）對應(yīng)一個(gè)子網(wǎng)。每個(gè)子網(wǎng)都可以對應(yīng)不同的功能、業(yè)務(wù)，或業(yè)務(wù)部門，如下圖所示。網(wǎng)絡(luò)是為上層應(yīng)用和業(yè)務(wù)服務(wù)的，對應(yīng)于不同的應(yīng)用和業(yè)務(wù)架構(gòu)有不同的子網(wǎng)。對于中大型企業(yè)，每個(gè)業(yè)務(wù)部門都有不同的業(yè)務(wù)和應(yīng)用，子網(wǎng)劃分會(huì)變得更加復(fù)雜，原則如下。不同功能區(qū)劃分不同子網(wǎng)。最直觀的例子就是把網(wǎng)絡(luò)劃分為公有子網(wǎng)和私有子網(wǎng)。公有子網(wǎng)對應(yīng)線下IDC的DMZ區(qū)，和互聯(lián)網(wǎng)直接交互。私有子網(wǎng)對應(yīng)線下IDC的應(yīng)用服務(wù)器區(qū)，不直接和互聯(lián)網(wǎng)交互，而是和DMZ的前置機(jī)交互。不同應(yīng)用劃分不同子網(wǎng)。如果企業(yè)內(nèi)部有多個(gè)不同的部門，或者有多個(gè)相對獨(dú)立的不同應(yīng)用，那么可以把不同部門或不同應(yīng)用劃分到對應(yīng)的子網(wǎng)，對不同子網(wǎng)內(nèi)的資源進(jìn)行相對獨(dú)立的管理，還可以在子網(wǎng)邊界上通過網(wǎng)絡(luò)ACL設(shè)置相應(yīng)的安全策略和訪問控制。2.2虛擬路由器虛擬路由器（vRouter）是VPC的樞紐。作為VPC中重要的功能組件，它可以連接VPC內(nèi)的各個(gè)交換機(jī)，同時(shí)是連接VPC和其他網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備。每個(gè)VPC創(chuàng)建成功后，系統(tǒng)都會(huì)自動(dòng)創(chuàng)建一個(gè)路由器，每個(gè)路由器都關(guān)聯(lián)一張路由表。在云網(wǎng)絡(luò)中，大部分路由都是默認(rèn)添加好了的，如果用戶沒有特殊需求，不需要額外配置，但用戶在自定義網(wǎng)關(guān)和代理、混合云、多VPC互聯(lián)等場景下需要在虛擬路由器上自定義路由的配置。主路由表：每個(gè)VPC都只有一個(gè)主路由表。主路由表里有VPC網(wǎng)段的本地路由，還有云服務(wù)的系統(tǒng)路由。用戶在主路由表里可以配置自定義路由，自定義路由的下一跳為ECS實(shí)例、彈性網(wǎng)卡、VPCPeering、虛擬邊界路由器等。子網(wǎng)路由表：主路由表是VPC粒度的，子網(wǎng)路由是子網(wǎng)/交換機(jī)粒度的。如果交換機(jī)關(guān)聯(lián)了子網(wǎng)路由，那么會(huì)優(yōu)先查子網(wǎng)路由表里的路由。通過子網(wǎng)路由，用戶的網(wǎng)絡(luò)將具備一些高級(jí)的功能，如在VPC中部署集中式防火墻，或者后端應(yīng)用子網(wǎng)只關(guān)聯(lián)私網(wǎng)路由表，前端DMZ子網(wǎng)關(guān)聯(lián)公網(wǎng)路由表。3.VPC網(wǎng)絡(luò)規(guī)劃對一個(gè)網(wǎng)絡(luò)來講，網(wǎng)絡(luò)規(guī)劃是最基礎(chǔ)的，也是第一步。對于云上網(wǎng)絡(luò)規(guī)劃，我們要考慮的常見問題包括：需要使用多少個(gè)VPC；需要使用多少個(gè)交換機(jī)；選擇什么地址段；每個(gè)地址段規(guī)劃多大；未來業(yè)務(wù)會(huì)如何發(fā)展；云上VPC和云下IDC構(gòu)建混合云，怎么規(guī)劃地址空間；如何避免地址沖突。在創(chuàng)建VPC和交換機(jī)前，需要結(jié)合業(yè)務(wù)的具體情況來規(guī)劃VPC和交換機(jī)的數(shù)量及網(wǎng)段等。3.1VPC數(shù)量規(guī)劃如果用戶沒有多地域部署系統(tǒng)的要求，各系統(tǒng)之間也不需要通過VPC隔離，那么可以考慮使用一個(gè)VPC。反之，如果用戶有在多地域部署系統(tǒng)的需求，或者在一個(gè)地域的不同業(yè)務(wù)系統(tǒng)間需要隔離，則需要使用多個(gè)VPC。例如，生產(chǎn)環(huán)境和測試環(huán)境的隔離，如下圖所示。另外，集團(tuán)企業(yè)不同于子公司的業(yè)務(wù)系統(tǒng)往往也要求進(jìn)行業(yè)務(wù)隔離，此時(shí)，可以考慮為每個(gè)子公司配置一個(gè)VPC，但對有通信需求的子公司VPC，可以加入云企業(yè)網(wǎng)，通過路由等策略進(jìn)行進(jìn)一步的通信控制。3.2交換機(jī)數(shù)量規(guī)劃即使只使用一個(gè)VPC，也盡量使用至少兩個(gè)交換機(jī)，并且將兩個(gè)交換機(jī)布置在不同可用區(qū)，這樣可以實(shí)現(xiàn)跨可用區(qū)容災(zāi)。同一地域不同可用區(qū)之間的網(wǎng)絡(luò)通信時(shí)延很小，但也需要經(jīng)過業(yè)務(wù)系統(tǒng)的適配和驗(yàn)證。系統(tǒng)調(diào)用復(fù)雜、應(yīng)用層處理時(shí)間長、跨可用區(qū)多次調(diào)用等原因，可能產(chǎn)生期望之外的網(wǎng)絡(luò)時(shí)延，需要進(jìn)行系統(tǒng)優(yōu)化和適配，在高可用和低時(shí)延之間找到平衡。使用多少個(gè)交換機(jī)還和系統(tǒng)規(guī)模、系統(tǒng)規(guī)劃有關(guān)。如果前端系統(tǒng)可以被公網(wǎng)訪問并且有主動(dòng)訪問公網(wǎng)的需求，考慮到容災(zāi)的需要，可以將不同的前端系統(tǒng)部署在不同的交換機(jī)下，將后端系統(tǒng)部署在另外的交換機(jī)下。3.3地址空間規(guī)劃對于VPC網(wǎng)段的選擇，用戶可以使用/16、/12、/8這三個(gè)私網(wǎng)網(wǎng)段及其子網(wǎng)作為VPC的私網(wǎng)地址范圍。在規(guī)劃VPC網(wǎng)段時(shí)，請注意：如果云上只有一個(gè)VPC并且不需要和云下數(shù)據(jù)中心互通，那么可以選擇上述私網(wǎng)網(wǎng)段中的任何一個(gè)網(wǎng)段或其子網(wǎng)。如果有多個(gè)VPC，或者有VPC和云下數(shù)據(jù)中心構(gòu)建混合云的需求，那么建議使用上面這些標(biāo)準(zhǔn)網(wǎng)段的子網(wǎng)作為VPC的網(wǎng)段，掩碼建議不超過16位。對于交換機(jī)網(wǎng)段的選擇，首先，交換機(jī)的網(wǎng)段必須是其所屬VPC網(wǎng)段的子集。例如，VPC的網(wǎng)段是/16，那么該VPC下的交換機(jī)的網(wǎng)段可以是/17，一直到/29。其次，在規(guī)劃交換機(jī)網(wǎng)段時(shí)，請注意：交換機(jī)的網(wǎng)段大小在161616位網(wǎng)絡(luò)掩碼與292929位網(wǎng)絡(luò)掩碼之間，可提供8?655368-655368?65536個(gè)地址。161616位掩碼能支持655326553265532個(gè)ECS實(shí)例，對于絕大多數(shù)用戶來說都是夠用的。而對于小于292929位掩碼的，容納的實(shí)例數(shù)量太少，沒有意義。每個(gè)交換機(jī)的第一個(gè)和最后三個(gè)IP地址為系統(tǒng)保留地址。以/24為例，、53、54和55是系統(tǒng)保留地址。對于多VPC互通或者構(gòu)建混合云的場景，確保VPC的網(wǎng)段和要互通的網(wǎng)絡(luò)的網(wǎng)段都不沖突，建議遵循以下網(wǎng)段規(guī)劃原則：盡可能做到不同VPC的網(wǎng)段不同，不同VPC可以使用標(biāo)準(zhǔn)網(wǎng)段的子網(wǎng)來增加VPC可用的網(wǎng)段數(shù)。如果不能做到不同VPC的網(wǎng)段不同，則盡量保證不同VPC的交換機(jī)網(wǎng)段不同。如果也不能做到交換機(jī)網(wǎng)段不同，則保證要通信的交換機(jī)網(wǎng)段不同。有的云服務(wù)商提供了私網(wǎng)NAT產(chǎn)品來解決地址沖突又需要通信的問題，我們建議在規(guī)劃時(shí)就避免這個(gè)問題。地址空間規(guī)劃中一個(gè)需要重點(diǎn)考慮的問題是VPC或者交換機(jī)能容納的實(shí)例數(shù)量，也就是業(yè)務(wù)規(guī)模。對于大部分用戶來說，這可能不是問題，但對于部分企業(yè)級(jí)大用戶，尤其是采用云原生技術(shù)架構(gòu)的用戶來說，單VPC可能需要容納幾萬，甚至更多的實(shí)例。3.4不同規(guī)模企業(yè)地址空間規(guī)劃實(shí)踐擁有50臺(tái)左右服務(wù)器的中小企業(yè)，沒有多地域部署和混合云需求，在大部分情況下，一個(gè)VPC就夠用了，選擇系統(tǒng)默認(rèn)的/8、/12、/16三個(gè)網(wǎng)絡(luò)地址段之一即可。它們都是RFC1918定義的私網(wǎng)地址段，網(wǎng)絡(luò)地址掩碼不同，每個(gè)網(wǎng)段容納的主機(jī)數(shù)量也不同。但不管哪個(gè)地址段，對于中小企業(yè)來說都是夠用的。所以，根據(jù)歷史習(xí)慣，選擇對應(yīng)的網(wǎng)段即可。對于交換機(jī)，默認(rèn)建議至少使用兩臺(tái)交換機(jī)，并且這兩臺(tái)交換機(jī)分布在不同可用區(qū)。當(dāng)然，分布在不同可用區(qū)，時(shí)延可能會(huì)稍微增加，用戶可以根據(jù)自己的業(yè)務(wù)系統(tǒng)對時(shí)延的要求做出選擇。中大型企業(yè)，出于高可用和提升用戶體驗(yàn)的目的，往往在不同地域部署業(yè)務(wù)系統(tǒng)，這些業(yè)務(wù)系統(tǒng)有內(nèi)網(wǎng)通信需求。為了做到跨可用區(qū)容災(zāi)，每個(gè)地域還需要把業(yè)務(wù)系統(tǒng)部署在多個(gè)可用區(qū)。此外，還涉及和線下IDC互通、生產(chǎn)和測試系統(tǒng)嚴(yán)格隔離等需求。此時(shí)，VPC的地址空間規(guī)劃就會(huì)稍微復(fù)雜一些。整體原則是保持可擴(kuò)展性，避免地址沖突。多地域部署業(yè)務(wù)系統(tǒng)，必然需要使用多個(gè)VPC，而默認(rèn)的VPC地址段有三個(gè)，為了避免地址沖突，除上述提到的用不同網(wǎng)段的地址空間外，還可以把一個(gè)類型的網(wǎng)段的網(wǎng)絡(luò)掩碼變長一些。比如/8的地址空間可以被拆成/16、/16……/16，共256個(gè)子地址空間。我們可以把VPC的地址空間規(guī)劃成/16掩碼的，這樣每個(gè)VPC的地址空間都是獨(dú)立和互不沖突的。同時(shí)，需要保證線下IDC的地址空間不發(fā)生沖突。對于生產(chǎn)環(huán)境和測試環(huán)境的嚴(yán)格隔離，只需要把生產(chǎn)系統(tǒng)和測試系統(tǒng)分別部署到不同VPC即可，但考慮到未來可能的通信需求，也建議在規(guī)劃時(shí)考慮地址沖突問題。因?yàn)樾枰缈捎脜^(qū)容災(zāi)，所以在每個(gè)VPC內(nèi)至少要使用兩臺(tái)交換機(jī)。為了滿足多地域和混合云內(nèi)網(wǎng)通信需求，必然要使用云企業(yè)網(wǎng)。和VPC是地域級(jí)別的網(wǎng)絡(luò)不同，云企業(yè)網(wǎng)是一個(gè)全球網(wǎng)絡(luò)，絕大多數(shù)用戶使用一個(gè)云企業(yè)網(wǎng)即可。云企業(yè)網(wǎng)提供了強(qiáng)大的路由控制能力以實(shí)現(xiàn)云企業(yè)網(wǎng)內(nèi)不同的實(shí)例之間精細(xì)的訪問控制。4.VPC網(wǎng)絡(luò)高可靠設(shè)計(jì)網(wǎng)絡(luò)設(shè)計(jì)中十分關(guān)鍵的一環(huán)就是高可靠設(shè)計(jì)。網(wǎng)絡(luò)可靠性涉及網(wǎng)絡(luò)部署、網(wǎng)絡(luò)鏈路等層面。從VPC角度看，主要是業(yè)務(wù)部署的可靠性。多可用區(qū)、多地域的網(wǎng)絡(luò)部署可以讓網(wǎng)絡(luò)的可靠性級(jí)別呈數(shù)量級(jí)的提升。業(yè)務(wù)部署主要從單地域單可用區(qū)、單地域多可用區(qū)、多地域多可用區(qū)這三層次來考慮可靠性。4.1單地域單可用區(qū)部署單地域單可用區(qū)部署指只在某一個(gè)地域的某一個(gè)可用區(qū)部署業(yè)務(wù)系統(tǒng)，這樣的業(yè)務(wù)部署可以獲得最低的網(wǎng)絡(luò)時(shí)延，但如果業(yè)務(wù)部署所在的可用區(qū)出現(xiàn)故障（概率低），或者某個(gè)可用區(qū)的業(yè)務(wù)系統(tǒng)本身出現(xiàn)故障，那么整個(gè)業(yè)務(wù)系統(tǒng)將不可用。從可靠性角度來說，這是不推薦的業(yè)務(wù)部署方式。4.2單地域多可用區(qū)部署單地域多可用區(qū)部署指在某一個(gè)地域的多個(gè)可用區(qū)部署業(yè)務(wù)系統(tǒng)。即使用一個(gè)VPC，且VPC內(nèi)至少使用兩臺(tái)分布在不同可用區(qū)的交換機(jī)，如下圖所示。在業(yè)務(wù)系統(tǒng)支持的情況下，單地域多可用區(qū)部署業(yè)務(wù)系統(tǒng)可以避免單個(gè)可用區(qū)故障導(dǎo)致的系統(tǒng)不可用。單地域部署不能避免的是整個(gè)地域不可用導(dǎo)致的系統(tǒng)不可用，當(dāng)然發(fā)生這種情況的概率極低。將子網(wǎng)分布在不同可用區(qū)，在不同可用區(qū)同時(shí)部署業(yè)務(wù)，可以支持同城雙活和同城多可用區(qū)高可靠解決方案的構(gòu)建，云網(wǎng)絡(luò)是天然支持這種部署方式的。需要注意的是，阿里云的子網(wǎng)只能歸屬到一個(gè)可用區(qū)。構(gòu)建同城雙活、同城多可用區(qū)高可靠方案，需創(chuàng)建多個(gè)對應(yīng)的子網(wǎng)。4.3多地域多可用區(qū)部署多地域多可用區(qū)部署指在多個(gè)地域，且在每個(gè)地域的多個(gè)可用區(qū)部署業(yè)務(wù)系統(tǒng)。這是最可靠的業(yè)務(wù)部署方式。對于一些大企業(yè)用戶，單地域多可用區(qū)的高可靠方案，仍然無法滿足其高可靠需求，此時(shí)需要使用多地域多可用區(qū)的高可靠方案，如銀行的兩地三中心方案。這種多地域業(yè)務(wù)部署的網(wǎng)絡(luò)互聯(lián)方案可以通過云網(wǎng)絡(luò)產(chǎn)品構(gòu)建。云企業(yè)網(wǎng)可以把多個(gè)地域的不同VPC連接起來，讓用戶方便地部署多地域多可用區(qū)的網(wǎng)絡(luò)架構(gòu)，如下圖所示。5.VPC網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全是關(guān)鍵一環(huán)，涉及面非常廣，包括租戶安全隔離、通信安全、安全防護(hù)等。這里僅從VPC角度出發(fā)介紹相關(guān)的網(wǎng)絡(luò)安全設(shè)計(jì)，包括網(wǎng)絡(luò)層面的訪問控制、網(wǎng)絡(luò)流量的加解密，以及為了實(shí)現(xiàn)更高級(jí)別的應(yīng)用層安全所需要的流量鏡像等。5.1網(wǎng)絡(luò)ACL網(wǎng)絡(luò)ACL（NetworkAccessControlList）是VPC中的網(wǎng)絡(luò)訪問控制功能。用戶可以自定義設(shè)置網(wǎng)絡(luò)ACL規(guī)則，并將網(wǎng)絡(luò)ACL與交換機(jī)綁定，實(shí)現(xiàn)對交換機(jī)中云服務(wù)器ECS實(shí)例的流量訪問控制。子網(wǎng)間網(wǎng)絡(luò)訪問控制策略：網(wǎng)絡(luò)安全設(shè)計(jì)中很重要的一點(diǎn)是劃分網(wǎng)絡(luò)安全邊界。在把不同業(yè)務(wù)或不同部門劃分到VPC的不同子網(wǎng)后，可以通過網(wǎng)絡(luò)ACL，在不同的子網(wǎng)邊界部署安全訪問控制策略，以實(shí)現(xiàn)網(wǎng)絡(luò)的安全訪問控制。網(wǎng)絡(luò)ACL的規(guī)則是無狀態(tài)的，在設(shè)置入方向規(guī)則的允許請求后，需要同時(shí)設(shè)置相應(yīng)的出方向規(guī)則，否則可能導(dǎo)致請求無法響應(yīng)。VPC邊界的網(wǎng)絡(luò)訪問控制策略：VPC存在和外部網(wǎng)絡(luò)互聯(lián)的邊界，將網(wǎng)絡(luò)ACL應(yīng)用到對應(yīng)的子網(wǎng)/交換機(jī)可以實(shí)現(xiàn)對互聯(lián)網(wǎng)流量的網(wǎng)絡(luò)訪問控制，如下圖所示。比較典型的應(yīng)用場景包括：黑白名單：明確拒絕或接受一些公網(wǎng)IP地址的流量。主動(dòng)安全防護(hù)：僅放行一些特定協(xié)議和端口的流量到后端。5.2安全組網(wǎng)絡(luò)ACL是對應(yīng)子網(wǎng)粒度的訪問控制策略，而對應(yīng)主機(jī)粒度的訪問控制策略，是安全組。安全組是一種虛擬防火墻，具備狀態(tài)檢測和數(shù)據(jù)包過濾的功能，用于在云端劃分安全域。通過配置安全組規(guī)則，可以控制安全組內(nèi)ECS實(shí)例的入流量和出流量。安全組是有狀態(tài)的。例如，在會(huì)話期內(nèi)，如果連接的數(shù)據(jù)包在入方向是被允許的，則在出方向也是被允許的。5.3流量加密VPN產(chǎn)品訪問云上的數(shù)據(jù)通過IPSec和SSLVPN方式進(jìn)行加密，負(fù)載均衡產(chǎn)品訪問云上的數(shù)據(jù)通過HTTPS方式進(jìn)行加密。一些對安全性要求較高的行業(yè)，對于VPC內(nèi)私網(wǎng)數(shù)據(jù)也有加密的需求。5.4流量鏡像在一些場景下，用戶需要對流量做深層次的分析，例如詳細(xì)的流量內(nèi)容審計(jì)或者深入的安全趨勢分析就用到了流量鏡像。流量鏡像將用戶想要分析的流量鏡像發(fā)送到一個(gè)目的地址，此時(shí)發(fā)送的流量包含報(bào)文頭和流量負(fù)載內(nèi)容，如下圖所示。6.VPC的運(yùn)維管理企業(yè)級(jí)云網(wǎng)絡(luò)對運(yùn)維和管理的要求較高，包括分權(quán)分域維護(hù)、流日志管理等。6.1共享VPC中大型企業(yè)用戶的IT架構(gòu)一般比較復(fù)雜，對網(wǎng)絡(luò)的運(yùn)維能力要求也比較高，很多大企業(yè)的網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)和業(yè)務(wù)運(yùn)維團(tuán)隊(duì)是分開的，對資源的分權(quán)分域要求也比較高，因此，阿里云推出了共享VPC（SharedVPC）功能，如下圖所示。共享VPC的核心是支持網(wǎng)絡(luò)架構(gòu)由網(wǎng)絡(luò)管理員統(tǒng)一構(gòu)建、設(shè)計(jì)和管理，可以做到業(yè)務(wù)運(yùn)維團(tuán)隊(duì)感知不到底層的網(wǎng)絡(luò)架構(gòu)，專注于服務(wù)器、數(shù)據(jù)庫等應(yīng)用資源的管理和維護(hù)。網(wǎng)絡(luò)管理員在部署完成整個(gè)云網(wǎng)絡(luò)架構(gòu)后，可以通過共享VPC把不同的子網(wǎng)/交換機(jī)共享（分配）給不同的業(yè)務(wù)團(tuán)隊(duì)使用，業(yè)務(wù)團(tuán)隊(duì)只需要在子網(wǎng)中部署應(yīng)用系統(tǒng)，無須關(guān)注VPC間的互聯(lián)方案、防火墻、安全、公網(wǎng)等較復(fù)雜的網(wǎng)絡(luò)配置。6.2流日志VPC提供流日志（Flowlog）功能，可以記錄VPC中彈性網(wǎng)卡（ElasticNetworkInterface，ENI）傳入和傳出的流量信息，幫助用戶檢查訪問控制規(guī)則、監(jiān)控網(wǎng)絡(luò)流量和排查網(wǎng)絡(luò)故障。用戶可以捕獲指定彈性網(wǎng)卡、指定VPC或交換機(jī)的流量。如果選擇為VPC或交換機(jī)創(chuàng)建流日志，則會(huì)捕獲VPC和交換機(jī)中所有彈性網(wǎng)卡的流量，包括在開啟流日志功能后新建的彈性網(wǎng)卡。流日志功能的流量信息會(huì)以流日志記錄的方式寫入日志服務(wù)中。每條流日志記錄會(huì)捕獲特定捕獲窗口中的特定五元組網(wǎng)絡(luò)流。捕獲窗口大約為10分鐘，流日志服務(wù)在這段時(shí)間內(nèi)會(huì)先聚合數(shù)據(jù)，再發(fā)布流日志記錄。彈性公網(wǎng)IP云面向大眾提供各種各樣的、隨時(shí)可獲取的云服務(wù)，包括各種計(jì)算、存儲(chǔ)、數(shù)據(jù)庫服務(wù)，也包括人臉識(shí)別、人工智能服務(wù)。互聯(lián)網(wǎng)是連接用戶和云服務(wù)的媒介，彈性公網(wǎng)IP就是這個(gè)媒介產(chǎn)品化的形態(tài)。1.什么是彈性公網(wǎng)IP我們通常用域名訪問某一個(gè)網(wǎng)站，但這個(gè)域名最終還是會(huì)通過DNS被解析成一個(gè)具體的公網(wǎng)IP地址，網(wǎng)絡(luò)中的物理路由器和交換機(jī)是通過這個(gè)具體的公網(wǎng)IP地址找到具體服務(wù)器的。所有對Internet提供服務(wù)的服務(wù)器都必須具備全球唯一的公網(wǎng)IP地址，這個(gè)公網(wǎng)IP地址在云網(wǎng)絡(luò)產(chǎn)品中就是彈性公網(wǎng)IP，簡稱EIP。EIP是可以獨(dú)立購買和持有的公網(wǎng)IP地址資源，由一個(gè)公網(wǎng)IP地址和一份公網(wǎng)帶寬構(gòu)成。目前，EIP可綁定到VPC類型的ECS實(shí)例、私網(wǎng)SLB實(shí)例、NAT網(wǎng)關(guān)和彈性網(wǎng)卡上。EIP的最大特點(diǎn)就是可以隨時(shí)與云產(chǎn)品綁定和解綁，和云產(chǎn)品是松耦合的關(guān)系。松耦合的架構(gòu)帶來了管理的靈活性和高可用性，如下圖所示。2.彈性公網(wǎng)IP的類型2.1多線EIP有資質(zhì)的云服務(wù)提供商的公網(wǎng)IP地址一般會(huì)通過BGP（BorderGatewayProtocol，一種自治系統(tǒng)路由協(xié)議）將與多個(gè)運(yùn)營線直連的鏈路播報(bào)給運(yùn)營商。運(yùn)營商就具備了這些公網(wǎng)IP地址的路由，運(yùn)營商網(wǎng)絡(luò)中的客戶可以像訪問內(nèi)網(wǎng)資源一樣訪問這個(gè)公網(wǎng)IP地址，所以不存在跨運(yùn)營商互訪導(dǎo)致的訪問體驗(yàn)變差的問題。我們把這種類型的公網(wǎng)IP地址稱之為多線EIP，如下圖所示。2.2任播EIP普通的彈性EIP只會(huì)從一個(gè)地域發(fā)布，如中國香港的EIP資源只會(huì)從中國香港地域發(fā)布，如果新加坡的用戶訪問中國香港的EIP，那么得通過運(yùn)營商的國際骨干網(wǎng)到新加坡，而運(yùn)營商的國際骨干網(wǎng)是有可能出現(xiàn)擁塞的，一旦網(wǎng)絡(luò)擁塞，就會(huì)增加業(yè)務(wù)的訪問時(shí)延和丟包，如下圖所示。這對游戲、實(shí)時(shí)音視頻行業(yè)客戶的上層業(yè)務(wù)影響較大。一些國際化的游戲和實(shí)時(shí)音視頻行業(yè)客戶，希望獲取比普通EIP更穩(wěn)定的公網(wǎng)服務(wù)，任播EIP應(yīng)運(yùn)而生，其技術(shù)架構(gòu)如下圖所示。任播EIP會(huì)把一個(gè)IP地址從多個(gè)POP點(diǎn)發(fā)布出去，而這些POP點(diǎn)是處于不同地域的，這樣就能夠讓用戶通過一個(gè)IP地址就近接入阿里云POP點(diǎn)。阿里云不同POP點(diǎn)之間是通過阿里云內(nèi)部專線網(wǎng)絡(luò)連接在一起的。用戶通過任播EIP就近接入POP點(diǎn)后，會(huì)通過阿里云專線網(wǎng)絡(luò)訪問后端的源站服務(wù)器。這樣就避免了國際骨干網(wǎng)的擁塞問題，進(jìn)而提供更穩(wěn)定的網(wǎng)絡(luò)。2.3單線靜態(tài)EIP單線靜態(tài)EIP只有國內(nèi)云廠商才有對應(yīng)的產(chǎn)品形態(tài)。國內(nèi)云廠商支持單線靜態(tài)EIP的產(chǎn)品形態(tài)是為了和BGP類型的帶寬做區(qū)分。BGP類型的帶寬具備動(dòng)態(tài)路由收斂能力，可靠性和抗DDoS能力好，但價(jià)格昂貴。靜態(tài)帶寬不具備動(dòng)態(tài)路由收斂能力，可靠性較低，無抗DDoS能力，但價(jià)格較低。在涉及大帶寬的數(shù)據(jù)搬運(yùn)不需要太高的可靠性時(shí)，由于流量價(jià)值較低也不會(huì)被黑客進(jìn)行DDoS攻擊，如果用BGP帶寬進(jìn)行此類數(shù)據(jù)的公網(wǎng)傳輸，其性價(jià)比是很低的，那么比較合理的方案是用單線靜態(tài)EIP進(jìn)行數(shù)據(jù)傳輸。2.4精品EIP如果服務(wù)器部署在中國香港并綁定普通的EIP，那么在一般情況下，中國內(nèi)地的用戶訪問中國香港的服務(wù)器的體驗(yàn)較差，因?yàn)镋IP默認(rèn)走運(yùn)營商的國際互聯(lián)網(wǎng)出口，可能先到美國繞一圈再到中國香港。有一些在中國香港部署業(yè)務(wù)的證券應(yīng)用希望為其中國內(nèi)地的客戶提供優(yōu)質(zhì)的公網(wǎng)訪問體驗(yàn)。在這種場景下，阿里云包裝出了精品EIP，如下圖所示。需要說明的是，精品EIP全鏈路的流量都是在運(yùn)營商的公網(wǎng)上傳輸?shù)摹?.5識(shí)別不同類型的IP的地址前文提到了很多類型的公網(wǎng)IP地址，如何識(shí)別一個(gè)公網(wǎng)IP地址是多線地址、單線地址還是主播地址呢？對于國內(nèi)的IP地址，最簡單的方式是通過類似于IPIP.net等第三方工具進(jìn)行查詢。比如說，阿里云杭州的多線EIP地址為121.40.142.XXX，通過IPIP.net查詢出其發(fā)布的線路是阿里云/電信/聯(lián)通/移動(dòng)/鐵通，還是教育網(wǎng)，如下所示，這個(gè)查詢結(jié)果是阿里云實(shí)際互聯(lián)的BGPPeer的子集，可以看出這個(gè)地址的類型是多線EIP。對應(yīng)到杭州移動(dòng)的IP地址，117.147.204.XXX，通過IPIP.net可以很清晰地查到，這個(gè)IP地址是杭州移動(dòng)的單線IP，如下圖所示。3.彈性公網(wǎng)IP功能EIP除了可以獨(dú)立持有和綁定各種云資源，還提供了一些高級(jí)功能。3.1自帶公網(wǎng)IP地址上云公網(wǎng)IP地址就像手機(jī)號(hào)碼一樣，可以讓外界訪問用戶。有一些企業(yè)用戶有自己的IP地址，這些用戶上云前需要解決的最大問題是如何保持公網(wǎng)IP地址不變。就像手機(jī)可以想換就換，但更換手機(jī)號(hào)碼是很痛苦的事情，因?yàn)槭謾C(jī)號(hào)碼很多時(shí)候在第三方是有備案的，比如銀行、郵箱。為了解決這種場景下的問題，阿里云云網(wǎng)絡(luò)在中國內(nèi)地之外的地域推出了自帶公網(wǎng)IP地址上云的產(chǎn)品功能。用戶僅需要在Internet注冊機(jī)構(gòu)的網(wǎng)站將IP地址端的AS號(hào)修改為阿里云的AS45102，并提交工單即可。此時(shí)IP地址的歸屬信息并未改變，只是發(fā)布的AS號(hào)變更到了阿里云，相當(dāng)于“攜號(hào)轉(zhuǎn)網(wǎng)”。在工單處理完之后，用戶可在云上以EIP的產(chǎn)品形態(tài)使用自己之前的公網(wǎng)IP地址。3.2盡力找回公網(wǎng)IP地址前面提到，公網(wǎng)IP地址和我們的手機(jī)號(hào)碼差不多。那么，如果公網(wǎng)IP地址不小心被用戶誤釋放掉，用戶想找回這個(gè)公網(wǎng)IP地址怎么辦？對于這種場景，阿里云提供了類似于公網(wǎng)IP地址找回的功能。但這個(gè)“找回”是盡力而為，如果這個(gè)公網(wǎng)IP地址已分配給其他用戶，那么是無法找回的。3.3連續(xù)EIP地址分配在很多場景下，企業(yè)用戶希望能分配到連續(xù)的公網(wǎng)IP地址，即類似從到1的地址。在這種場景下，用戶真正的需求是簡化第三方為用戶加白名單。比如一個(gè)大型企業(yè)，需要為其多個(gè)公網(wǎng)IP地址加白名單。如果是32個(gè)不連續(xù)的公網(wǎng)IP地址，那么對方需要加多條白名單，而對于連續(xù)的公網(wǎng)IP地址，對方僅需要加一條白名單。3.4EIP的AntiDDoS和安全清洗公網(wǎng)業(yè)務(wù)是容易被黑客進(jìn)行DDoS攻擊的。如果一個(gè)用戶的超大攻擊流量不及時(shí)被“黑洞”掉，那么會(huì)影響這個(gè)地域其他用于正常業(yè)務(wù)的流量。所以每個(gè)EIP都有一個(gè)默認(rèn)的黑洞閾值，這個(gè)值是和購買的帶寬正相關(guān)的，如果用戶被攻擊的流量超過了黑洞閾值，阿里云就會(huì)針對這個(gè)地址向外發(fā)黑洞路由，把攻擊流量“黑洞”在運(yùn)營商側(cè)，以保護(hù)阿里云整體的公網(wǎng)出口的帶寬。當(dāng)然，阿里云也會(huì)為用戶提供一定額度的免費(fèi)清洗攻擊流量的服務(wù)，在一定閾值內(nèi)，會(huì)把攻擊流量中的垃圾流量清洗掉，然后把干凈的流量回注到用戶的VPC中。4.公網(wǎng)計(jì)費(fèi)方式云廠商的公網(wǎng)帶寬主要是向運(yùn)營商采購的，云廠商和運(yùn)營商之間的公網(wǎng)帶寬結(jié)算方式為在入方向和出方向取較大值進(jìn)行收費(fèi)。講清楚了云廠商和運(yùn)營商之間的結(jié)算方式后，再講云廠商的公網(wǎng)計(jì)費(fèi)方式會(huì)很好理解。4.1按流量計(jì)費(fèi)按流量計(jì)費(fèi)是主流云廠商都支持的計(jì)費(fèi)模式。當(dāng)前大部分云廠商在一般情況下，只收取出云流量費(fèi)。在云計(jì)算發(fā)展初期，云上的流量模型主要以出方向?yàn)橹?。云廠商和運(yùn)營商結(jié)算時(shí)，由于整體上出云帶寬比入云帶寬要大，運(yùn)營商按照出云帶寬向云廠商收費(fèi)。云廠商的公網(wǎng)主要成本是出云流量成本，基于成本定價(jià)的思路，云廠商只向用戶收取出云流量費(fèi)。但隨著云計(jì)算和移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，大量智能終端開始向云上傳數(shù)據(jù)，云上的流量模型已經(jīng)發(fā)生了變化。在一些地域，阿里云的入云方向帶寬已經(jīng)大于出云方向帶寬，開始按照入云方向帶寬和運(yùn)營商進(jìn)行成本結(jié)算。國外云廠商在一些新產(chǎn)品上線時(shí)，開始對入云方向進(jìn)行收費(fèi)，如Azure的FrontDoor等。4.2按固定帶寬計(jì)費(fèi)按流量計(jì)費(fèi)方式是一種特別簡單明了的后付費(fèi)方式。但在一些場景下，尤其當(dāng)持續(xù)有出方向流量時(shí)，如游戲，按流量計(jì)費(fèi)的總體費(fèi)用是很高的。為了降低這類客戶的公網(wǎng)費(fèi)用，按固定帶寬計(jì)費(fèi)的模式應(yīng)運(yùn)而生。比如用戶購買100Mbit/s的固定帶寬，入云方向會(huì)有100Mbit/s的帶寬，出云方向也有100Mbit/s的帶寬，超出帶寬部分的流量會(huì)被限速丟棄。阿里云除了支持單EIP實(shí)例的按固定帶寬計(jì)費(fèi)模式，還支持多個(gè)EIP實(shí)例按固定帶寬計(jì)費(fèi)的模式，也就是共享帶寬的計(jì)費(fèi)模式。用戶在一個(gè)地域下只需購買一份共享帶寬，整個(gè)地域下所有公網(wǎng)相關(guān)的云產(chǎn)品都可以綁定EIP統(tǒng)一使用共享帶寬，如下圖所示。按帶寬計(jì)費(fèi)相對于按流量計(jì)費(fèi)，對云廠商后端的限速邏輯和技術(shù)要求較高，很多海外云計(jì)算廠商還不支持按固定帶寬計(jì)費(fèi)。4.3按95去峰帶寬計(jì)費(fèi)按固定帶寬計(jì)費(fèi)的模式在一些場景下為用戶節(jié)省了公網(wǎng)成本，但超出購買帶寬的流量會(huì)被限速丟棄，一些業(yè)務(wù)量波動(dòng)較大的行業(yè)客戶對此是無法接受的。為了讓用戶的公網(wǎng)帶寬具備一定的彈性，按95去峰帶寬計(jì)費(fèi)模式應(yīng)運(yùn)而生，這是一種只需預(yù)先支付少量保底帶寬費(fèi)用，即可享受多倍彈性峰值帶寬，并在月底按多次去峰后的帶寬峰值和實(shí)際使用時(shí)長收費(fèi)的計(jì)費(fèi)模式。一般情況下，在線教育、實(shí)時(shí)音視頻行業(yè)客戶的主要業(yè)務(wù)時(shí)間和工作時(shí)間重合，夜間沒有流量，選擇按流量計(jì)費(fèi)比較節(jié)約成本。游戲行業(yè)、電商行業(yè)白天和夜間都有業(yè)務(wù)流量，一般情況下選擇按固定帶寬計(jì)費(fèi)或按95去峰帶寬計(jì)費(fèi)比較劃算。NAT網(wǎng)關(guān)彈性公網(wǎng)IP地址可以直接綁定到服務(wù)器上，但也暴露了服務(wù)器的公網(wǎng)IP地址。因此，絕大多數(shù)用戶都需要一個(gè)能隱藏內(nèi)部服務(wù)器真實(shí)IP地址的網(wǎng)關(guān)設(shè)備，借助該設(shè)備與公網(wǎng)通信。在云網(wǎng)絡(luò)。我們提供了一個(gè)即開即用的IP地址轉(zhuǎn)換網(wǎng)關(guān)設(shè)備——NAT網(wǎng)關(guān)。用戶只需要在控制臺(tái)上點(diǎn)點(diǎn)鼠標(biāo)，就能即時(shí)交付企業(yè)級(jí)的NAT網(wǎng)關(guān)。NAT：NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換1.什么是NAT網(wǎng)關(guān)NAT網(wǎng)關(guān)（NATGateway）是一款企業(yè)級(jí)的VPC公網(wǎng)網(wǎng)關(guān)，可以讓無公網(wǎng)IP地址的ECS訪問互聯(lián)網(wǎng)或者讓用戶通過互聯(lián)網(wǎng)訪問ECS上的網(wǎng)站或應(yīng)用，即提供SNAT和DNAT功能。NAT網(wǎng)關(guān)通常和EIP及共享帶寬包配合使用，可以組合成高性能、配置靈活的企業(yè)級(jí)網(wǎng)關(guān)。2.NAT網(wǎng)關(guān)的主要特點(diǎn)高安全性：通過NAT網(wǎng)關(guān)的SNAT功能訪問公網(wǎng)時(shí)，用戶ECS只能主動(dòng)從NAT網(wǎng)關(guān)訪問公網(wǎng)，通過公網(wǎng)是無法直接訪問VPC內(nèi)的ECS的。另外，用戶可以通過NAT網(wǎng)關(guān)提供的SNAT規(guī)則配置功能，選擇ECS粒度或者交換機(jī)粒度的規(guī)則指定特別的ECS來訪問公網(wǎng)，控制NAT網(wǎng)關(guān)的出口公網(wǎng)訪問源。高可用性：在公共云的業(yè)務(wù)部署架構(gòu)中，用戶非常關(guān)心基礎(chǔ)組件的高可用能力，因?yàn)橐坏﹩蜛Z出現(xiàn)故障，如果基礎(chǔ)組件沒有高可用的能力，那么將對業(yè)務(wù)運(yùn)行有嚴(yán)重的影響。NAT網(wǎng)關(guān)在部署架構(gòu)中采用的是雙可用區(qū)的部署架構(gòu)，所以當(dāng)單可用區(qū)出現(xiàn)故障后，NAT網(wǎng)關(guān)可以實(shí)現(xiàn)快速業(yè)務(wù)切換，保障用戶業(yè)務(wù)的連續(xù)性。同時(shí)，NAT網(wǎng)關(guān)采用多機(jī)部署的方式，單臺(tái)機(jī)器的故障不會(huì)影響業(yè)務(wù)。易用性：NAT網(wǎng)關(guān)可以即開通即用，在考慮公網(wǎng)出口安全的前提下最大限度地簡化用戶的操作，用戶可以在官網(wǎng)控制臺(tái)或者通過OpenAPI的方式開啟VPC網(wǎng)絡(luò)的NAT功能，以使VPC內(nèi)的ECS能高效地訪問公網(wǎng)。同時(shí)，NAT網(wǎng)關(guān)提供一系列便捷的操作，以支持用戶的配置，如NAT網(wǎng)關(guān)和EIP組合購買、控制臺(tái)的操作配置指引等。高性能：NAT網(wǎng)關(guān)作為一款公網(wǎng)出口的產(chǎn)品，提供超高的產(chǎn)品性能，NAT網(wǎng)關(guān)已經(jīng)連續(xù)多年在“雙11”、春節(jié)紅包活動(dòng)中經(jīng)受高流量、高并發(fā)的考驗(yàn)。除了提供千萬級(jí)別的并發(fā)連接性能，用戶也可通過NAT池網(wǎng)關(guān)的方式，橫向擴(kuò)容，以提升針對同一個(gè)公網(wǎng)目的地址的并發(fā)能力。另外，可以在一個(gè)VPC中擴(kuò)容多個(gè)NAT網(wǎng)關(guān)，通過對子網(wǎng)路由的拆分，使不同子網(wǎng)的流量走不同的NAT網(wǎng)關(guān)，這對用戶的業(yè)務(wù)拆分、針對不同子網(wǎng)的安全防控，以及NAT網(wǎng)關(guān)性能的橫向擴(kuò)容都有著重要的意義。彈性計(jì)費(fèi)：NAT網(wǎng)關(guān)支持按使用量計(jì)費(fèi)，用戶在彈性范圍內(nèi)可以按照使用量來付費(fèi)，最大限度為用戶節(jié)約使用成本，如下圖所示，在用戶業(yè)務(wù)模型不變的情況下，選擇按使用量計(jì)費(fèi)的方式可以幫用戶節(jié)約成本。3.NAT網(wǎng)關(guān)的主要應(yīng)用場景NAT網(wǎng)關(guān)提供SNAT（源網(wǎng)絡(luò)地址轉(zhuǎn)換）、DNAT（目的網(wǎng)絡(luò)地址轉(zhuǎn)換）和共享帶寬功能。VPC內(nèi)的用戶在和公網(wǎng)業(yè)務(wù)通信時(shí)，最關(guān)注的就是安全，如避免公網(wǎng)上普遍存在的攻擊、入侵等問題。VPC內(nèi)可以訪問公網(wǎng)的主機(jī)想要細(xì)粒度的安全控制方案，需要默認(rèn)拒絕公網(wǎng)上對VPC的主動(dòng)訪問，避免VPC內(nèi)的主機(jī)主動(dòng)暴露在公網(wǎng)上。NAT網(wǎng)關(guān)可以很好地解決以上問題。3.1SNAT當(dāng)云上業(yè)務(wù)需要訪問公網(wǎng)上的服務(wù)時(shí)，可以創(chuàng)建一個(gè)NAT網(wǎng)關(guān)，通過配置SNAT規(guī)則來控制可通過NAT網(wǎng)關(guān)訪問公網(wǎng)的機(jī)器，并支持交換機(jī)和ECS的粒度。如下圖所示，用戶在NAT網(wǎng)關(guān)上綁定了彈性公網(wǎng)EIP-1，在用戶VPC內(nèi)有兩個(gè)子網(wǎng)，當(dāng)用戶配置了基于這兩個(gè)子網(wǎng)的SNAT規(guī)則后，屬于這兩個(gè)子網(wǎng)的ECS即可通過這個(gè)彈性公網(wǎng)EIP訪問公網(wǎng)上的服務(wù)。如果用戶需要將對接公網(wǎng)的入口都放在一臺(tái)NAT網(wǎng)關(guān)設(shè)備上，以便整體觀測網(wǎng)關(guān)層面的總出入流量，或者需要將某一臺(tái)設(shè)備的部分或者全部暴露到公網(wǎng)上，那么可以選擇使用NAT網(wǎng)關(guān)的DNAT功能。3.2DNAT當(dāng)VPC內(nèi)的業(yè)務(wù)需要對公網(wǎng)提供服務(wù)時(shí)，通過設(shè)置DNAT規(guī)則使公網(wǎng)上的業(yè)務(wù)可以訪問VPC內(nèi)的服務(wù)，當(dāng)前NAT網(wǎng)關(guān)的DNAT規(guī)則支持指定固定端口和任意端口來提供公網(wǎng)訪問服務(wù)。如下圖所示，用戶的NAT網(wǎng)關(guān)上綁定了EIP-1和EIP-2，在用戶VPC內(nèi)有四臺(tái)ECS，用戶配置了如下規(guī)則可以實(shí)現(xiàn)對應(yīng)的訪問類型：EIP-1：PORT1?ECS1：PORT2：公網(wǎng)上的業(yè)務(wù)可以通過EIP-1的PORT1訪問ECS1的PORT2端口；EIP-2：ANYPORT?ECS4：ANYPORT：公網(wǎng)上的業(yè)務(wù)可以通過EIP-2訪問ECS4的任意端口。3.3共享寬帶在給NAT網(wǎng)關(guān)綁定EIP后，可以將EIP加入共享帶寬中。EIP在加入共享帶寬后，可復(fù)用共享帶寬中的帶寬，節(jié)省公網(wǎng)帶寬的使用成本。IPv6網(wǎng)關(guān)1.什么是IPv6網(wǎng)關(guān)2017年，中國推出了IPv6規(guī)模部署計(jì)劃。云網(wǎng)絡(luò)對IPv6的支持是一個(gè)系統(tǒng)工程，包括內(nèi)網(wǎng)通信支持IPv6，如VPC支持IPv6、CEN支持IPv6、高速通道支持IPv6等，用戶可以在云上建立純IPv6通信網(wǎng)絡(luò)。此外，還包括公網(wǎng)通信支持IPv6，如SLB支持IPv6、IPv6網(wǎng)關(guān)等。云網(wǎng)絡(luò)還為其他產(chǎn)品提供了IPv6支持，如CDN、安全、數(shù)據(jù)庫等，用戶可以基于云構(gòu)建完整的IPv6網(wǎng)絡(luò)。下面重點(diǎn)介紹IPv6網(wǎng)關(guān)。IPv6網(wǎng)關(guān)（IPv6Gateway）是VPC的一個(gè)IPv6互聯(lián)網(wǎng)流量網(wǎng)關(guān)。用戶可以通過配置IPv6互聯(lián)網(wǎng)帶寬和僅主動(dòng)出規(guī)則，靈活定義IPv6互聯(lián)網(wǎng)出入流量。2.IPv6網(wǎng)關(guān)設(shè)計(jì)思路相對于IPv4的VPC，IPv6在產(chǎn)品形態(tài)上是有所不同的。IPv4的VPC地址空間規(guī)劃一般采用私網(wǎng)地址。因?yàn)镮Pv4的公網(wǎng)地址有限，沒辦法給VPC中的每臺(tái)ECS都分配一個(gè)公網(wǎng)IP地址，所以需要在VPC邊界通過地址轉(zhuǎn)化NAT復(fù)用公網(wǎng)IPv4地址。在IPv4場景下，網(wǎng)絡(luò)工程師需要大量的時(shí)間和精力去解決各種地址沖突的問題。但對于IPv6的地址空間來說，全局單播地址（GlobalUniqueIPv6Addresses，GUA）充足到可以給地球上每粒沙子都分配到。阿里云當(dāng)前儲(chǔ)備的IPv6GUA很充足，可給VPC中的每個(gè)計(jì)算節(jié)點(diǎn)和云服務(wù)分配一個(gè)GUA，不會(huì)產(chǎn)生地址沖突的問題，網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)和上層應(yīng)用系統(tǒng)的實(shí)現(xiàn)會(huì)簡化很多。所以阿里云VPC中分配的IPv6地址，都是GUA。這是和IPv4景最大的區(qū)別。在默認(rèn)情況下，GUA既不能被公網(wǎng)訪問，也不能主動(dòng)訪問互聯(lián)網(wǎng)。如果用戶希望VPC中的GUA可以與公網(wǎng)互聯(lián)，那么需要顯示配置IPv6網(wǎng)關(guān)，并為其購買IPv6公網(wǎng)帶寬，如下圖所示。3.IPv6網(wǎng)關(guān)的主要應(yīng)用場景3.1IPv6私網(wǎng)通信默認(rèn)的VPCIPv6地址的互聯(lián)網(wǎng)帶寬為0Mbit/s，受IPv6網(wǎng)關(guān)保護(hù)，只具備私網(wǎng)通信能力。VPC中的云實(shí)例只可以通過IPv6地址訪問同一個(gè)VPC中的其他IPv6地址，不允許通過該IPv6地址訪問公網(wǎng)，也無法被公網(wǎng)的IPv6終端訪問。3.2IPv6互聯(lián)網(wǎng)通信用戶可以通過為申請的IPv6地址購買公網(wǎng)帶寬的方式，讓VPC網(wǎng)絡(luò)中的云實(shí)例通過該IPv6地址訪問公網(wǎng)，同時(shí)允許IPv6客戶端通過公網(wǎng)訪問VPC網(wǎng)絡(luò)中的云實(shí)例。用戶可以隨時(shí)將IPv6地址中的公網(wǎng)帶寬設(shè)置為零。設(shè)置后，該IPv6地址只擁有私網(wǎng)通信能力。3.3IPv6互聯(lián)網(wǎng)通信（僅主動(dòng)訪問）用戶通過配置僅主動(dòng)出規(guī)則，使IPv6地址主動(dòng)訪問互聯(lián)網(wǎng)，但不允許IPv6客戶端通過互聯(lián)網(wǎng)訪問VPC中的云實(shí)例。用戶也可以隨時(shí)刪除主動(dòng)出規(guī)則。刪除后，具有公網(wǎng)帶寬的IPv6地址可主動(dòng)訪問互聯(lián)網(wǎng)，同時(shí)允許IPv6客戶端通過互聯(lián)網(wǎng)訪問VPC中的云實(shí)例。對等連接VPC解決了租戶之間網(wǎng)絡(luò)環(huán)境嚴(yán)格隔離的問題，不同VPC之間默認(rèn)不能通信。但有的用戶有兩三個(gè)VPC，希望這些VPC內(nèi)的實(shí)例可以通過私網(wǎng)互通。這種少量VPC互通的需求可以通過對等連接實(shí)現(xiàn)。1.什么是對等連接對等連接（VPCPeering）主要用于同地域2到3個(gè)VPC簡單互聯(lián)的場景。通過對等連接可以對兩個(gè)不同的VPC在網(wǎng)絡(luò)層面建立一個(gè)專屬的數(shù)據(jù)通道。用戶可以在每個(gè)VPC中自定義到對端VPC的明細(xì)路由，在路由層面控制兩個(gè)VPC中的資源互通范圍，如下圖所示。2.對等連接和云企業(yè)網(wǎng)的異同多個(gè)VPC的內(nèi)網(wǎng)互通既可以使用對等連接實(shí)現(xiàn)，也可以使用云企業(yè)網(wǎng)來實(shí)現(xiàn)。那么，這兩個(gè)產(chǎn)品有什么不一樣呢？產(chǎn)品定位不一樣。對等連接的定位是少量（通常2、3個(gè)）VPC的簡單互通，沒有太多高級(jí)的網(wǎng)絡(luò)功能。而云企業(yè)網(wǎng)的定位是用戶的全球級(jí)的核心網(wǎng)絡(luò)，可以為云上多VPC和云下多IDC/分支機(jī)構(gòu)等構(gòu)建一個(gè)云上云下一體的企業(yè)級(jí)核心網(wǎng)絡(luò)。用戶使用體驗(yàn)不一樣。對等連接在使用上略顯復(fù)雜，不管同賬號(hào)互通還是跨賬號(hào)互通都需要用戶顯式配置VPC路由。自定義路由這種方式，可以更自主地管理自身的網(wǎng)絡(luò)，有網(wǎng)絡(luò)運(yùn)維經(jīng)驗(yàn)的工程師比較喜歡，但對于缺乏相關(guān)運(yùn)維經(jīng)驗(yàn)的工程師不是很友好。而云企業(yè)網(wǎng)支持路由的自動(dòng)學(xué)習(xí)和配置，優(yōu)化了用戶的使用體驗(yàn)。3.對等連接的主要應(yīng)用場景3.1同賬號(hào)兩個(gè)VPC的互通對等連接支持將同賬號(hào)在同一個(gè)地域的兩個(gè)VPC打通。對于同賬號(hào)兩個(gè)VPC打通的場景，可同時(shí)創(chuàng)建發(fā)起端和接收端，創(chuàng)建完成后即建立起兩個(gè)VPC的數(shù)據(jù)通道。用戶在VPC手動(dòng)配置對應(yīng)的路由后，就在網(wǎng)絡(luò)層面打通這兩個(gè)VPC。3.2跨賬號(hào)兩個(gè)VPC的互通對等連接還支持將不同賬號(hào)在同一個(gè)地域的兩個(gè)VPC賬號(hào)。在跨用戶VPC打通的場景下，只能單獨(dú)創(chuàng)建發(fā)起端或接收端，比如賬號(hào)A創(chuàng)建發(fā)起端并指定要互聯(lián)的UID和VPCID，賬號(hào)B創(chuàng)建接收端并指定要互聯(lián)UID和VPCID。相對于同賬號(hào)兩個(gè)VPC的互通，跨賬號(hào)的互通方式略顯復(fù)雜，主要原因還是出于安全方面的考慮，必須驗(yàn)證連接的合法性。在建立好對等連接后，要實(shí)現(xiàn)兩個(gè)VPC中的計(jì)算資源的互通，不僅要在VPC中配置對應(yīng)的路由，還要注意網(wǎng)絡(luò)ACL的安全組是否設(shè)置了對應(yīng)的放行規(guī)則。需要注意，對等連接在網(wǎng)絡(luò)層面打通兩個(gè)VPC時(shí)，要避免兩個(gè)VPC的地址重疊。私網(wǎng)連接前面講到VPC網(wǎng)絡(luò)具有隔離性，VPC之間無法通信。當(dāng)一個(gè)VPC中的終端需要訪問部署在另一個(gè)VPC中的服務(wù)時(shí)，就產(chǎn)生了VPC間的通信需求。這個(gè)時(shí)候，有兩種選擇：一種是通過公網(wǎng)通信，可以讓服務(wù)提供方的VPC暴露公網(wǎng)服務(wù)到互聯(lián)網(wǎng)，服務(wù)使用方VPC通過公網(wǎng)來調(diào)用，而這會(huì)讓VPC資源面臨安全風(fēng)險(xiǎn)；另一種是通過私網(wǎng)通信，可以通過VPC對等連接打通兩個(gè)VPC的私有網(wǎng)絡(luò)，但這種方式打破了VPC之間的隔離性，將不同VPC的網(wǎng)絡(luò)連接成了一個(gè)大的網(wǎng)絡(luò)，需要通過部署其他的安全策略確保服務(wù)使用方和服務(wù)提供方各自的安全。這種方式更加適用于一個(gè)組織內(nèi)部，并且是可以進(jìn)行統(tǒng)一運(yùn)維管理的網(wǎng)絡(luò)。如果服務(wù)提供方和服務(wù)使用方的網(wǎng)絡(luò)都是獨(dú)立運(yùn)維和管理的，甚至屬于不同的組織，并不希望把網(wǎng)絡(luò)直接打通，那該怎么辦呢？試想一下，有沒有一個(gè)模型，類似于在服務(wù)使用方的VPC和服務(wù)提供方的VPC之間接上一根虛擬電纜，這根虛擬電纜的連接不需要通過互聯(lián)網(wǎng)或NAT網(wǎng)關(guān)，且電纜的兩端，分別在自己的VPC之內(nèi)，同時(shí)又分別在對方VPC之外，這樣既滿足了網(wǎng)絡(luò)隔離的要求，又滿足了服務(wù)互通的要求。這個(gè)模型就是私網(wǎng)連接（PrivateLink）產(chǎn)品的設(shè)計(jì)思路。1.什么是私網(wǎng)連接私網(wǎng)連接允許用戶在自己的VPC內(nèi)通過私網(wǎng)訪問阿里云服務(wù)、第三方服務(wù)或者自己發(fā)布的服務(wù)，這些服務(wù)都部署在服務(wù)提供方的VPC內(nèi)。服務(wù)使用方使用私網(wǎng)連接在自己的VPC內(nèi)創(chuàng)建終端節(jié)點(diǎn)時(shí)，使用的是彈性網(wǎng)絡(luò)接口（ENI）和自己VPC子網(wǎng)內(nèi)的IP地址，是可以使用安全組（SecurityGroup）來管理終端訪問的。服務(wù)提供方使用私網(wǎng)連接，可以在自己的VPC發(fā)布私網(wǎng)服務(wù)，也可以自主控制連接過來的終端，實(shí)現(xiàn)服務(wù)的發(fā)布、管理和售賣。與VPC對等連接等方式不同，私網(wǎng)連接并不是直接將兩個(gè)VPC連接在一起，變成一個(gè)網(wǎng)絡(luò)空間，而是更像通過一個(gè)“蟲洞”將兩個(gè)網(wǎng)絡(luò)空間打通。服務(wù)使用方可以在VPC中通過PrivateLink提供的入口（即終端節(jié)點(diǎn)）單向訪問服務(wù)提供方在其VPC中提供的特定服務(wù)（即終端節(jié)點(diǎn)服務(wù)）。使用私網(wǎng)連接的方式，雙方可以各自獨(dú)立規(guī)劃和管理自己的VPC，不用擔(dān)心網(wǎng)絡(luò)地址沖突，也無須配置復(fù)雜的網(wǎng)絡(luò)路由，如下圖所示。2.私網(wǎng)連接的組成私網(wǎng)連接可以分為服務(wù)使用方組件和服務(wù)提供方組件兩大部分。服務(wù)使用方和服務(wù)提供方可以是同一個(gè)阿里云賬號(hào)，也可以是不同的阿里云賬號(hào)。服務(wù)使用方最重要的組件是終端節(jié)點(diǎn)。終端節(jié)點(diǎn)代表了服務(wù)使用方VPC中的服務(wù)入口。當(dāng)服務(wù)使用方需要使用某個(gè)服務(wù)時(shí)，可以創(chuàng)建一個(gè)連接到這個(gè)服務(wù)的終端節(jié)點(diǎn)，參考下圖。終端節(jié)點(diǎn)是一個(gè)邏輯上的組件，訪問服務(wù)的請求流量實(shí)際發(fā)送到了與終端節(jié)點(diǎn)相關(guān)聯(lián)的彈性網(wǎng)卡上。與ECS上的彈性網(wǎng)卡一樣，終端節(jié)點(diǎn)網(wǎng)卡需要連接到服務(wù)使用方VPC的vSwitch上，并且分配一個(gè)vSwitch私網(wǎng)地址段的IP地址。服務(wù)使用方所訪問的服務(wù)地址，就是這個(gè)ENI的私網(wǎng)IP地址。服務(wù)提供方最重要的組件是終端節(jié)點(diǎn)服務(wù)。終端節(jié)點(diǎn)服務(wù)代表了一個(gè)服務(wù)提供方所提供的云服務(wù)。終端節(jié)點(diǎn)服務(wù)可以接收終端節(jié)點(diǎn)的連接請求。服務(wù)提供方可以選擇自動(dòng)或者手動(dòng)控制是否接受連接請求。終端節(jié)點(diǎn)服務(wù)是一個(gè)邏輯上的組件，真正提供服務(wù)的是與終端節(jié)點(diǎn)服務(wù)所關(guān)聯(lián)的服務(wù)資源。目前，阿里云支持將SLB作為私網(wǎng)連接的服務(wù)資源，后續(xù)還將支持更多類型的網(wǎng)元作為服務(wù)資源。需要注意的是，私網(wǎng)連接只會(huì)轉(zhuǎn)發(fā)同可用區(qū)的流量。也就是說，發(fā)給某個(gè)可用區(qū)vSwitch終端節(jié)點(diǎn)網(wǎng)卡的請求，只會(huì)轉(zhuǎn)發(fā)到同一可用區(qū)的終端節(jié)點(diǎn)服務(wù)資源（即SLB集群）。所以當(dāng)服務(wù)提供方?jīng)]有在某個(gè)可用區(qū)提供服務(wù)資源時(shí)，服務(wù)使用方也無法在對應(yīng)可用區(qū)的vSwitch中創(chuàng)建對應(yīng)的終端節(jié)點(diǎn)網(wǎng)卡。3.私網(wǎng)連接的優(yōu)勢私網(wǎng)連接是云網(wǎng)絡(luò)獨(dú)有的服務(wù)連接方式，充分發(fā)揮了虛擬網(wǎng)絡(luò)在多租戶網(wǎng)絡(luò)隔離和服務(wù)互通方面的靈活性。與公網(wǎng)、VPC對等連接等方式相比，私網(wǎng)連接在安全性、簡化管理等方面有比較大的優(yōu)勢。安全訪問云上服務(wù)。與公網(wǎng)提供的服務(wù)相比，通過私網(wǎng)連接提供的服務(wù)具有更好的私密性。這一方面體現(xiàn)在，流量本身不會(huì)離開內(nèi)網(wǎng)，甚至不會(huì)進(jìn)行跨機(jī)房的傳輸。另一方面，服務(wù)本身的發(fā)布、連接和訪問都在雙方的VPC中進(jìn)行，不需要任何的公網(wǎng)出入口，避免了公網(wǎng)攻擊等網(wǎng)絡(luò)安全問題。保持監(jiān)管合規(guī)性。金融服務(wù)、醫(yī)療保健行業(yè)和政府部門的敏感數(shù)據(jù)保護(hù)尤為重要，防止敏感數(shù)據(jù)（如用戶記錄）進(jìn)入互聯(lián)網(wǎng)有助于用戶遵守相關(guān)的隱私保護(hù)法規(guī)。借助阿里云私網(wǎng)連接，阿里云資源、VPC和第三方服務(wù)之間的數(shù)據(jù)將停留在云網(wǎng)絡(luò)上，而云網(wǎng)絡(luò)有強(qiáng)大的控制措施來維護(hù)安全性和合規(guī)性。訪問精確可控。服務(wù)的提供方利用私網(wǎng)連接可以精確控制允許哪些用戶賬號(hào)建立終端節(jié)點(diǎn)連接，并且控制每個(gè)連接的帶寬。服務(wù)的使用方也可以通過VPC的網(wǎng)絡(luò)訪問控制列表（NetworkAccessControlList，NACL）、安全組等，控制對特定服務(wù)的訪問。由于私網(wǎng)連接只提供單向的訪問，也不會(huì)對服務(wù)使用方的VPC造成入方向的安全威脅。低時(shí)延、高可靠。由于私網(wǎng)連接只進(jìn)行同可用區(qū)的流量轉(zhuǎn)發(fā)，所以，用戶可以自己控制所訪問服務(wù)資源的位置。對于時(shí)延非常敏感的服務(wù)，用戶可以訪問同可用區(qū)的服務(wù)資源，有效控制網(wǎng)絡(luò)時(shí)延，獲得更高的網(wǎng)絡(luò)質(zhì)量。同時(shí)，用戶可以在多個(gè)可用區(qū)中創(chuàng)建終端節(jié)點(diǎn)網(wǎng)卡，并利用服務(wù)域名獲得多可用區(qū)的高可用能力。網(wǎng)絡(luò)管理解耦。私網(wǎng)連接保持了服務(wù)雙方的網(wǎng)絡(luò)隔離，無須擔(dān)心地址沖突問題，無須配置復(fù)雜的網(wǎng)絡(luò)路由，也無須部署額外的安全策略。另外私網(wǎng)連接天然支持跨賬號(hào)的服務(wù)訪問，大大簡化了不同賬號(hào)之間的服務(wù)訪問配置。4.私網(wǎng)連接的主要應(yīng)用場景私網(wǎng)連接為云上服務(wù)的交互提供了一種全新的方式，類似云服務(wù)總線，既可以幫助用戶更加方便安全地訪問云上的服務(wù)，也可以幫助用戶更加方便地構(gòu)建服務(wù)化的云上網(wǎng)絡(luò)。更重要的是，私網(wǎng)連接為企業(yè)SaaS服務(wù)生態(tài)的發(fā)展打開了一扇新的大門，讓服務(wù)提供商能夠以一種全新的方式為云上客戶提供更加安全的服務(wù)訪問。下面我們介紹私網(wǎng)連接的三種典型主要應(yīng)用場景。訪問云服務(wù)。云上用戶可以通過創(chuàng)建VPC中的終端節(jié)點(diǎn)訪問特定的云服務(wù)。由于終端節(jié)點(diǎn)網(wǎng)卡使用的是VPC的私網(wǎng)地址，用戶可以非常方便地進(jìn)行網(wǎng)絡(luò)地址規(guī)劃，便于在多VPC、跨VPC和混合云的場景下訪問云服務(wù)。訪問企業(yè)內(nèi)部服務(wù)。利用私網(wǎng)連接，企業(yè)可以將內(nèi)部的公共服務(wù)提供給各個(gè)業(yè)務(wù)的VPC訪問，同時(shí)保持公共服務(wù)的網(wǎng)絡(luò)與業(yè)務(wù)的網(wǎng)絡(luò)環(huán)境相互隔離，以滿足運(yùn)維管理和安全隔離的要求。采用這種方式，可以大大簡化企業(yè)云上網(wǎng)絡(luò)的管理，避免復(fù)雜的路由和安全策略配置。云上應(yīng)用生態(tài)。企業(yè)級(jí)應(yīng)用往往對于安全性有更高的要求，不適合通過互聯(lián)網(wǎng)發(fā)布和訪問。利用私網(wǎng)連接，企業(yè)SaaS應(yīng)用的提供商可以在云上私有網(wǎng)絡(luò)中發(fā)布和提供服務(wù)，所有的交互數(shù)據(jù)都不經(jīng)過互聯(lián)網(wǎng)，更加安全可靠。結(jié)合阿里云的混合云產(chǎn)品，企業(yè)線下數(shù)據(jù)中心和分支的終端也能夠訪問發(fā)布在阿里云上的企業(yè)應(yīng)用和服務(wù)。負(fù)載均衡隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展，對企業(yè)級(jí)應(yīng)用系統(tǒng)的要求越來越高，應(yīng)用系統(tǒng)常常會(huì)在以下幾個(gè)方面遇到挑戰(zhàn)，如下圖所示。高可用（AlwaysOnline）：移動(dòng)互聯(lián)網(wǎng)對業(yè)務(wù)高可用有更高的要求，用戶應(yīng)用型系統(tǒng)必須具備強(qiáng)大的高可用和容災(zāi)能力，能發(fā)現(xiàn)并排除不健康的服務(wù)，在可用區(qū)及地域間進(jìn)行容災(zāi)，以實(shí)現(xiàn)業(yè)務(wù)運(yùn)行永不停止。超高彈性（SuperElastic）：5G讓接入網(wǎng)絡(luò)變得更快，帶寬變得更高，IoT技術(shù)將使得互聯(lián)網(wǎng)上的客戶端數(shù)量呈爆炸式增長，因此在5G/IoT時(shí)代，應(yīng)用系統(tǒng)必須能夠承接更大的并發(fā)連接，以及更大的帶寬。類似直播帶貨、在線電商秒殺等業(yè)務(wù)場景的成熟應(yīng)用，會(huì)導(dǎo)致在線用戶數(shù)在短時(shí)間內(nèi)出現(xiàn)指數(shù)級(jí)的暴增，應(yīng)用系統(tǒng)需要有非常好的彈性，以應(yīng)對這些突如其來的流量洪峰，在流量高峰期能夠自動(dòng)擴(kuò)容，在流量低谷期能夠自動(dòng)縮容。面向應(yīng)用（Application-Oriented）：隨著各類業(yè)務(wù)越來越復(fù)雜，業(yè)務(wù)的快速交付成了用戶越來越關(guān)注的點(diǎn)。由于微服務(wù)、云原生等技術(shù)的廣泛應(yīng)用，負(fù)載均衡將不僅面向網(wǎng)絡(luò)層提供服務(wù)，還需要深入應(yīng)用層；不僅做網(wǎng)絡(luò)入口，還需要面向應(yīng)用交付，實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)。在云原生Ingress場景下，更需要大量基于內(nèi)容的高級(jí)路由特性以實(shí)現(xiàn)金絲雀發(fā)布、故障注入、流量仿真等重要的云原生開發(fā)模式。安全可靠（Security&Trust）：網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，網(wǎng)絡(luò)中應(yīng)用系統(tǒng)的復(fù)雜度也不斷攀升，從而導(dǎo)致安全漏洞也在逐年增加，網(wǎng)絡(luò)安全事關(guān)企業(yè)的生死存亡。網(wǎng)絡(luò)安全防線被突破不僅意味著業(yè)務(wù)受損，更可能導(dǎo)致關(guān)鍵數(shù)據(jù)、信息的丟失，是企業(yè)無法承受之痛，安全始終是企業(yè)用戶最關(guān)注的特性之一。負(fù)載均衡可以幫助企業(yè)有效地解決上述痛點(diǎn)。1.什么是負(fù)載均衡負(fù)載均衡（ServerLoadBalancer，SLB）是一種對流量進(jìn)行按需分發(fā)的服務(wù)，通過將流量分發(fā)到不同的后端服務(wù)來擴(kuò)展應(yīng)用系統(tǒng)的服務(wù)吞吐能力，可以消除系統(tǒng)中的單點(diǎn)故障，提升應(yīng)用系統(tǒng)的可用性。阿里云提供全托管式在線負(fù)載均衡服務(wù)，具有即開即用、超大容量、穩(wěn)定可靠、彈性伸縮、按需付費(fèi)等特點(diǎn)，適合超大規(guī)?；ヂ?lián)網(wǎng)應(yīng)用，如春節(jié)紅包、雙11秒殺搶購、大規(guī)模在線物聯(lián)網(wǎng)應(yīng)用等高并發(fā)場景。阿里云負(fù)載均衡提供4層、7層負(fù)載均衡服務(wù)，其中4層負(fù)載均衡工作在傳輸層（OSI參考模型中第4層），基于TCP/UDP協(xié)議工作，4層負(fù)載均衡單實(shí)例可以支持高達(dá)千萬級(jí)別的并發(fā)連接與百萬級(jí)別的每秒新建連接。區(qū)別于4層負(fù)載均衡，7層負(fù)載均衡工作在應(yīng)用層（OSI參考模型中第7層），支持HTTP、HTTPS、HTTP2、WSS、QUIC、GRPC等眾多應(yīng)用協(xié)議，單實(shí)例可支持高達(dá)100萬QPS，7層負(fù)載均衡支持SSL卸載（或HTTPS/TLS卸載），負(fù)載均衡負(fù)責(zé)HTTPS流量的加密與解密，后端服務(wù)器僅需處理普通HTTP流量，可以極大地節(jié)省后端服務(wù)在數(shù)據(jù)加解密上的算力，有效控