政企上雲網絡適配複雜,看華為雲Stack有妙招
摘要:政企資料中心部署雲資源池後,網路架構變得複雜,如何在資料中心內無縫整合雲資源池、如何協同雲上業務和雲下傳統業務的互通、如何解決雲上業務的安全合規等新問題出現。
本文分享自華為雲社群《【華為雲Stack】【大架光臨】第11期:政企上雲網絡適配複雜,看華為雲Stack有妙招》,作者:華為雲Stack網路架構師 姚博;華為雲Stack網路技術專家 朱娜。
背景
雲端計算所擁有的超大規模、虛擬化、高可擴充套件、安全性、按需服務、靈活性等特點,為客戶業務創新和組織整合提供了強大的技術基礎,當下雲端計算技術已經成為政企IT基礎設施的標準配置,政企資料中心部署雲資源池後,網路架構變得複雜,如何在資料中心內無縫整合雲資源池、如何協同雲上業務和雲下傳統業務的互通、如何解決雲上業務的安全合規等新問題出現,華為雲Stack作為國內領先的雲解決方案,能夠為政企客戶提供滿足各種業務訴求的網路技術,幫助業務平滑上雲。
業務的正常執行離不開網路,當企業業務執行在傳統資料中心時,網路互通和網路安全由資料中心的硬體裝置來提供,如下圖典型資料中心組網所示:傳統物理組網中的東西向流量二三層轉發由spine/leaf,新型資料中心也有多層Clos架構來承載,東西向流量的安全防護由旁掛在border leaf的防火牆完成;傳統硬體負載均衡器部署在資源池內,給業務提供高階網路服務;南北向流量轉發集中到資料中心出口接入區完成,出口接入區的裝置除了出口路由器做流量轉發外,還會部署一些安全裝置如防火牆/WAF等來保證資料中心內業務安全。
圖1:企業傳統資料中心典型網路架構
企業客戶在本地自建雲後,從整個資料中心組網來看,雲平臺是以一個獨立的資源池整合到客戶資料中心的全域性網路中,是資料中心的一部分。
圖2:企業傳統資料中心整合雲平臺資源池組網
業務上雲後,對於網路的通訊和安全訴求沒有改變,只是網路承載體由物理硬體裝置換成了雲廠商提供的先進的軟體/硬體結合的網路服務。綜合來看,雲平臺提供的網路服務,需要幫助客戶解決這些網路問題:
1, 業務上雲過程中,一部分業務在雲下,一部分業務在雲上,如何實現雲上雲下高速互聯?
2, 業務如何使用雲上的網路服務,實現快速平滑上雲?
3, 雲上業務的安全如何控制,才能滿足安全合規訴求?
4, 雲上業務如何使用傳統硬體裝置提供的高階能力,滿足業務個性化訴求?
華為雲Stack基礎網路雲服務憑藉國內政企市場的豐富客戶經驗積累,深入理解客戶業務上雲過程中對於雲網絡的訴求,提供了一系列以客戶網路為中心、以客戶習慣為中心、以客戶業務為中心的網路服務和能力。
雲資源池網路平滑對接資料中心網路
企業IT雲化過程中,雲資源池只是資料中心的一部分,華為雲Stack的網路部署架構可以平滑接入到資料中心內,和資料中心網路無縫整合,並且雲上雲下網路互通可以靈活匹配不同分割槽網路規劃。
使用L3GW服務實現客戶雲上雲下一張網
如之前文章《高效能雲網關,打通雲內外業務互通的任督二脈》中所講,客戶業務上雲是一個漸進的過程,在這個過程中,客戶的網路是覆蓋雲上雲下的混合組網,對於政企客戶來說,傳統的資料中心網路規模比較龐大,一般會分多個物理網路分割槽,連線不同的網路:
• 資料中心互聯區,用於同城跨資料中心互聯;
• 廣域網接入區,接入企業骨幹網,用於異地多資料中心互聯;
• 網際網路接入區,用於連線公網;
• 外聯網接入區,用於公司的合作伙伴接入。
每個業務根據服務的物件不同而要求接入不同的網路分割槽,有的業務只接入一個網路分割槽,有的業務會接入多個網路分割槽。這些業務上雲之後,對外提供的服務不會變化,連線網路分割槽的訴求也不會變化,而客戶雲下物理分割槽的組網和配置是全域性規劃的,不能因為業務上雲後適配雲平臺的組網和外部網路型別而調整雲下的組網,造成雲下網路管理和雲平臺網路管理有明顯的差異,加大了網路管理和維護的難度。
華為雲Stack網路L3GW服務,可以實現雲上雲下一張網,雲上的業務網路通過L3GW服務作為一個業務區平滑的接入到傳統資料中心的網路,保證客戶資料中心現有的網路架構無需改動。
圖1:通過L3GW服務實現雲上雲下業務一張網
承載L3GW服務的L3GW閘道器作為雲上雲下互通的邊界閘道器,一邊連線客戶資料中心傳統網路,一邊連線雲上的虛擬網路。考慮到客戶資料中心的組網方式多種多樣,L3GW支援多種組網方式,比如堆疊組網、VRRP組網、雙活口字型組網以及雙活交叉組網等,這幾種組網下雲平臺L3GW服務都能實現L3GW閘道器的配置自動化下發,另外還支援客戶自定義組網,滿足客戶個性化訴求,實現客戶資料中心網路不需要改造,也可以使用L3GW服務。對於自定義組網,虛擬網路的配置也是雲平臺L3GW服務自動化下發的,客戶只需要配置自定義部分的網路即可。
傳統業務上雲,網路規劃方案不變
華為雲Stack可以支援業務上雲後,網路管理員繼續使用上雲前的網路規劃和配置習慣,平移上雲。
使用VPC服務實現業務網路平移上雲
VPC是華為雲Stack提供的雲上的安全隔離的虛擬私有網路,可以理解成傳統物理網路的虛擬版本:
• 它是一個完全由客戶自己掌控的網路,包括子網配置,閘道器配置,路由配置等,通過VPC實現業務東西向互通訴求;
• 它支援豐富的連線,可以連線到其它VPC,也可以連線到客戶本地資料中心,也可以連線到其它Region的VPC,由客戶按需定製,通過豐富的連線實現業務南北向通訊訴求;
• 它也是一個安全隔離的網路,安全隔離能力可以做到和傳統網路裝置vlan隔離級別一樣。
客戶雲上的業務都是執行在VPC裡,雲上業務使用的VPC分兩種場景,一種是大量小規格的VPC,另一種是少量大規格的VPC。大量小規格VPC場景,是類公有云的一種用法,各個業務部門有自己的賬號,自助在雲上申請根據業務型別申請VPC和自定義VPC網路,雲的特點天然能支援這種多VPC的場景。比較有挑戰的是少量大規格VPC的場景,這種場景是企業客戶由於傳統業務網路分割槽規劃方式,固有組織流程,合規要求等因素,希望業務平移上雲的普遍訴求。
如上文所說,傳統的資料中心網路一般會分多個物理網路分割槽,有資料中心互聯區、廣域網接入區、網際網路接入區、外聯網接入區。網路管理員根據業務規模以及增長趨勢預先給每個分割槽規劃獨立的網段池子,業務上線的時候,網路管理員基於業務的互通訴求從對應的分割槽網段池子下分配子網給業務使用,而不用感知業務型別給每個業務預先規劃網段池子。
業務上雲後,為了保留這種網路管理方式,雲上的VPC根據網路分割槽規劃,比如規劃成內網VPC,網際網路VPC,外網VPC等,每個VPC裡的子網劃分還是保留上雲前的分配方式,那業務規模的大小決定了VPC子網規格,以及VPC下IP個數。以內網VPC舉例,假設網路管理員規劃的內網網段為1個B類地址,每次分配給業務使用為24位掩碼子網,那麼內網VPC下的子網個數為256個,可用IP個數高達6w左右。雲上VPC要能支援大規格子網和大規格IP才能滿足客戶保留網路管理習慣,業務平移上雲。
VPC下子網和IP個數越多,雲平臺管控面壓力越大,因為同一個VPC下所有IP預設是可以互通,高可用訴求下的業務反親和部署,虛機會打散部署在資源池內所有主機上,導致VPC內不同的IP覆蓋不同的計算節點,當有新的IP分配給業務使用後,VPC覆蓋的所有計算節點都要處理新IP,下發IP對應的ARP表,控制器需要通知所有計算節點處理新IP上線,控制器的處理資料量隨著VPC規模變大而變大;還有一種考驗控制面效能的場景是虛機遷移場景,尤其是虛機併發遷移到新的主機上,新的主機要下發VPC下全量子網資訊對應的路由表項,全量IP資訊對應的ARP表項,表項越多,耗時越長,遷移導致的網路零中斷越難保證。
華為雲Stack的 VPC控制器,採用分散式系統架構,管控層和資料層分離,管控層controller通過狀態外接到nosql,實現彈性橫向擴容;通過MQ,實現訊息分發和流量削峰;資料層通過agent元件接收controller的配置訊息,轉換成資料面的配置,幫助資料面遮蔽業務資訊,讓資料面更簡單可靠。controller和agent之間的訊息推送採用push-pull機制,controller無需感知agent的狀態,邏輯簡單;agent減少無效輪詢,配置快速生效。
基於這種軟體架構,華為雲Stack 單VPC支援的大規格子網和大規格IP,可以滿足絕大部分企業客戶,保留原有的網路管理習慣的訴求,業務網路平移上雲。
使用網路ACL服務解決業務安全配置平移上雲
資料中心的網路安全防護必不可少,安全防護一般由安全部門負責。資料中心內部是私有環境,相對安全,業務之間互相訪問,通過在硬體防火牆配置ACL規則防護即可,網路管理員給每個業務分割槽規劃硬體防火牆,業務上線的時候,給安全部門提要求,安全部門根據業務的訴求,在硬體防火牆上配置對應的ACL規則。業務下線的時候,再把安全規則從硬體防火牆上移除。業務規模大的時候,硬體防火牆上配置的ACL規則會非常多。我們曾經遇到一個金融客戶,單個網路分割槽的硬體防火牆上配置了60w條ACL規則。
網路雲化後,相比傳統網路,安全邊界發生變化,雲下硬體防火牆規則需要平移到雲上網路ACL,基於傳統安全配置管理習慣,安全規則跟著業務上雲,雲上提供的網路ACL服務必須支援大量的規則才能滿足訴求。
雲上的網路ACL服務,業界常見實現方式是分散式,ACL規則下發到各個主機上,而不是傳統的集中式的方式。ACL是有狀態的,ACL規則越多,新建連線逐條規則匹配,效能就越低,因此單個ACL例項下規則數一般不會很大,大多數友商都小於200條。這對於業務規模比較大,或者是有安全合規要求的行業比如金融行業是遠遠不夠的。
華為雲Stack網路ACL服務,優化了網路ACL匹配演算法,解決了ACL規則多帶來的新建連線數低的影響,單個網路ACL規則從200條,提升到10w條,新建連線沒有任何影響。基於這個優化,華為雲Stack單個網路ACL例項支援的ACL規則數10w條(按照IP和Port展開計算),業務上雲過程中,安全配置管理還是保留原有的習慣,平移上雲。
雲上業務繼續使用傳統高階網路裝置
華為雲Stack可以支援業務上雲後,繼續使用傳統的高階網路裝置,業務不需要改造。
使用L2BR服務整合第三方負載均衡器
客戶在傳統資料中心部署的業務,可能會使用到硬體負載均衡裝置提供的某些特性,而這些特性雲平臺提供的負載均衡服務短期內無法支援,這類業務上雲,如果使用雲平臺提供的負載均衡服務,需要對業務進行改造,改造成不使用雲平臺不支援的特性,業務改造尤其是生產業務改造帶來的代價和風險是不可預知的,因此很難落地;還有一種場景,客戶由於使用習慣、技術儲備、裝置利舊和已有資產保護等原因,要求雲上的業務可以繼續使用傳統的第三方硬體負載均衡裝置。
解決這兩個問題的常見思路是在雲上手動部署負載均衡裝置的虛擬化版本,手動部署對客戶的網路技能要求很高,並且管理和運維複雜度大大提升,可靠性也比較低。而華為雲Stack IaaS網路L2BR服務支援整合第三方硬體負載均衡裝置,遷移到雲上的業務還可以像在雲下一樣使用傳統的負載均衡裝置,應用零改造上雲。
圖2:L2BR整合硬體LB應用場景
如上圖所示,傳統硬體LB旁掛在L2BR閘道器上,硬體LB上配置LB例項提供LB服務,LB例項所在子網通過L2BR例項接入到雲內VPC,後端server執行在雲上,client可以在雲外,也可以在雲上。雲上多個VPC可以共享硬體LB,也支援跨VPC訪問LB例項。客戶可以根據業務訴求按需靈活組網,既可以使用硬體裝置的高階功能,也可以保持原有的操作習慣和體驗。
總結
華為雲Stack適配政企業務上雲,充分考慮客戶業務上雲過程中既可以把網路平移到雲上,同時又保留原有的網路架構,操作體驗和習慣。通過深入理解客戶業務和網路,設計匹配政企應用的網路部署模型和網路使用方案,實現客戶網路配置從雲下到雲上的零修改平移,應用快速遷移入雲;通過整合傳統負載均衡裝置,實現深度特性功能要求,應用零改造上雲;通過高效能、低時延、低成本的硬體交換機L3GW/L2BR閘道器,實現雲上雲下高速互聯、雲上雲下一張網,為客戶數字化轉型極大提升了資源的使用效率和業務的運作效率。