云网络改变了用户购买和使用网络的方式。用户不再需要购买硬件设备,而是通过购买云网络产品和服务来满足业务需求。因此,在云计算时代,用户使用网络,实际上是在使用云网络产品。
2.1 云网络产品体系的演进
云计算驱动云网络的诞生。云网络是随着云计算的演进而发展的。纵观整个云网络的发展,截至2020 年,大概可以分为四个阶段,云网络Beta,即云上传统网络; 云网络1.0,即云数据中心网络;云网络2.0,即云广域网络:云网络3.0,即应用— 云—边一体网络。
1. 云网络Beta(2009—2014 年):云上传统网络
这是云网络的早期阶段,被称为传统网络或经典网络。虽然历时较长,但在产品方面并没有大的变革,主要提供的相关产品是负载均衡、公网IP 地址、私网IP 地址、DNS 和DDoS 防护服务。这一阶段云网络产品最大的变化是支持虚拟机私网IP 地址和公网IP 地址。
众所周知,传统网络都是基于网卡、网线/ 光纤和交换机/ 路由器的连接组建起来的,而云上传统网络相当于由虚拟化主机与传统网络组成。随着企业级用户上云,以及云上用户越来越多,云上传统网络逐渐暴露了在安全隔离、规模性和特性丰富度上的缺陷,并且,这些缺陷被逐渐放大,不管对用户还是对云服务商来说, 都不能满足业务发展的需求。
对云服务商来说,首先,随着虚拟化技术的发展,单物理机的业务虚拟比在逐步提高,对网络设备提出了非常高的要求,很难找到满足业务虚拟比的网络设备了。其次,我们知道,网络设备都是有规格的,比如支持的MAC 表或ARP 表的数量等, 超出或者逼近规格上限就会造成网络业务的不可用。主机虚拟化,使得在传统网络里面经常发生的广播风暴和组播风暴,在经典云网络中发生的概率提升了数十倍。一旦引发广播风暴,用户就会遭遇网络的不稳定、批量宕机等问题。支持单个用户的超大规模网络,一直是经典云网络的短板之一。云上传统网络的安全隔离是另一个让人头疼的问题。租户和租户之间需要很强的安全隔离策略,而这些安全隔离策略必须通过传统网络的访问控制能力(ACL)来实现。网络设备的访问控制能力是很重要也很脆弱的,从访问控制能力被使用的第一天开始,生产系统一上线就引发了无数的问题。在大规模分布式系统里,安全有效地管理各种网络设备的ACL 功能,一般都被认为是不可能完成的任务。此外,还有迁移域过小导致成本增加等一系列问题。
随着更多用户上云,尤其是大型互联网企业和传统企业上云,用户对云上网络管理的需求也与日俱增。比如,用户在云上多地域部署业务,需要多地域内网互通, 或者把云下IDC 和云上网络互通,构建混合云等,而当时云上的传统网络服务方式都难以满足这些需求。
因此,不管是用户,还是云服务商,都迫切需要对网络进行创新以满足业务的发展。2014 年,阿里云发布了虚拟VPC 产品,标志着云上网络进入了新的阶段。
2. 云网络1.0(2014—2015 年):云数据中心网络
云数据中心网络的代表产品是VPC。VPC 是对云上传统网络在安全性和灵活度上的全面升级,赋予每个用户独立的地址空间完全隔离的网络。和云上传统网络完全不同,用户不仅使用这一网络,而且具备配置这一网络的能力。
最重要的当然还是对安全隔离性的提升。VPC 的产品一般基于隧道技术实现, 不管是标准的VxLAN 还是GRE 隧道,不同用户的流量都只在各自的隧道里流动, 在默认情况下是不能互通的,就好像是大家都在不同的平行世界,彼此之间互相不认识。相比经典云网络不同租户都在同一个网络里面,靠设备的访问控制能力来隔离,VPC 的隔离和安全能力提升了不止一个等级。
和传统网络类似,VPC 的用户默认获得一台虚拟的路由器,可以通过在路由器下创建虚拟的交换机来配置子网。实际上,用户可以根据不同业务的网络域来规划网络,例如把开发的服务器可以放到虚拟交换机A 下,测试的服务器可以使用虚拟交换机B。在不同的虚拟交换机上,还可以绑定不同的路由表(Route Table)和访问控制列表(ACL),应用不同的安全策略和路由规则,满足中大型企业级用户的需求。在VPC 里,用户可以把丰富的云服务,例如数据库服务(RDS)放到某一个虚拟交换机下作为一个节点存在,受网络安全策略的管理。
VPC 虚拟机的公网能力相对于经典云网络提升了灵活度。在VPC 里,公网IP 地址不再作为VPC 虚拟机的内部固定能力,而是作为独立的云网络产品——弹性公网IP 存在。用户可以根据需要自由地绑定弹性公网IP 到虚拟机或服务上,不需要时可以解绑释放。
VPC 的网络功能也得到了丰富。在传统网络里,网络设备上普遍存在多个内网设备共用一个IP 地址来访问公网的产品形态;在VPC 里,同样存在类似网络功能的产品,几大云厂商一般称之为网络地址转换网关,即NAT 网关,来满足用户节省IP 地址、屏蔽内网拓扑的需求。此外,还有负载均衡SLB 等主要产品组成云数据中心网络产品矩阵。
