基于目前主流的隧道技術(shù),專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)隔離了虛擬網(wǎng)絡(luò)。每個(gè)VPC都有一個(gè)獨(dú)立的隧道號(hào),一個(gè)隧道號(hào)對(duì)應(yīng)一個(gè)虛擬化網(wǎng)絡(luò)。
虛擬化網(wǎng)絡(luò)背景信息
隨著云計(jì)算的不斷發(fā)展,人們對(duì)虛擬化網(wǎng)絡(luò)的要求越來越高,例如彈性(scalability)、安全性(security)、可靠性(reliability)和私密性(privacy),并且還有較高的互聯(lián)性能(performance)等需求,因此催生了多種多樣的網(wǎng)絡(luò)虛擬化技術(shù)。
比較早的解決方案,是將虛擬機(jī)的網(wǎng)絡(luò)和物理網(wǎng)絡(luò)融合在一起,形成一個(gè)扁平的網(wǎng)絡(luò)架構(gòu),例如大二層網(wǎng)絡(luò)。隨著虛擬化網(wǎng)絡(luò)規(guī)模的擴(kuò)大,這種方案中的ARP欺騙、廣播風(fēng)暴、主機(jī)掃描等問題會(huì)越來越嚴(yán)重。為了解決這些問題,出現(xiàn)了各種網(wǎng)絡(luò)隔離技術(shù),把物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)徹底隔開。其中一種技術(shù)是用戶之間用VLAN進(jìn)行隔離,但是VLAN的數(shù)量最大只能支持4096個(gè),無法支撐巨大的用戶量。
專有網(wǎng)絡(luò)原理描述
- 一個(gè)VPC內(nèi)的ECS(Elastic Compute Service)實(shí)例之間的傳輸數(shù)據(jù)包都會(huì)加上隧道封裝,帶有唯一的隧道號(hào)標(biāo)識(shí),然后通過物理網(wǎng)絡(luò)進(jìn)行傳輸。
- 不同VPC內(nèi)的ECS實(shí)例由于所在的隧道號(hào)不同,本身處于兩個(gè)不同的路由平面,因此不同VPC內(nèi)的ECS實(shí)例無法進(jìn)行通信,天然地進(jìn)行了隔離。
基于隧道技術(shù)和軟件定義網(wǎng)絡(luò)SDN(Software Defined Network)技術(shù),阿里云在硬件網(wǎng)關(guān)和自研交換機(jī)設(shè)備的基礎(chǔ)上推出了VPC產(chǎn)品。
專有網(wǎng)絡(luò)邏輯架構(gòu)
如下圖所示,VPC包含交換機(jī)、網(wǎng)關(guān)和控制器三個(gè)重要的組件。交換機(jī)和網(wǎng)關(guān)組成了數(shù)據(jù)通路的關(guān)鍵路徑,控制器使用自研協(xié)議下發(fā)轉(zhuǎn)發(fā)表到網(wǎng)關(guān)和交換機(jī),完成了配置通路的關(guān)鍵路徑。配置通路和數(shù)據(jù)通路互相分離。VPC中的交換機(jī)是分布式的節(jié)點(diǎn),網(wǎng)關(guān)和控制器都是集群部署且多機(jī)房互備,所有鏈路上都具備冗余容災(zāi),提升了VPC的整體可用性。
