0 引言
在本公众号的前面的文章中,简要介绍了云网络的产品,本系列云网络科普文章会详细介绍云网络产品,主要是包括私有网络、专线接入、SDWAN、VPN等产品。本文是讲解专线接入Direct Connect的产品和服务。
参考文章
AWS Transit Gateway简介
阿里云云企业网产品和实现剖析
腾讯云云联网产品和实现剖析
1 专线接入简介
1.1 专线接入模型 专线接入(Direct Connect)通过标准的以太网光纤电缆将用户的内部网络连接到云厂商Direct Connect的位置。电缆的一端接到用户的路由器,另一端接到云厂商的Direct Connect 路由器。有了此连接以后,用户可以访问云上的私有网络(VPC)、云上的基础服务(例如数据库、缓存等),从而绕过网络路径中的 Internet 服务提供商。
以下图表显示AWS Direct Connect 如何连接用户的网络。
1.2 Direct Connect 关键组件
如图所示介绍一下AWS Direct Connect 关键组件。其他云厂商的接入架构和AWS Direct Connect 基本上类似,在部分产品细节有所差别。
Connections:在 AWS Direct Connect 位置创建连接以建立从用户的本地部署到云上区域的网络连接。
虚拟接口(Virtual interfaces):创建虚拟接口以启用对AWS服务的访问。公有虚拟接口允许对公有服务的访问,如 Amazon S3(存储服务)。私有虚拟接口允许对 VPC 的访问。
1.3 适用Direct Connect 的使用案例
处理大型数据集:通过 Internet 传输大型数据集不仅费时而且代价昂贵。大多数企业购买的带宽只能刚好满足 Web 和电子邮件需求,而且还要在整个企业中共享 Internet 连接。那么在使用云服务时,企业会发现传输大型数据集的速度很慢,因为企业的关键网络流量要与其他 Internet 使用抢占带宽。为了缩短数据传输所需的时间,用户可以向 Internet 服务提供商申请提高带宽,这通常需要重新签订代价昂贵的合同并作出最低用量承诺。借助云厂商的 Direct Connect,用户可以在数据中心、办公室或托管环境和云之间直接传输业务重要数据,不仅无需经过 Internet 服务提供商,还能消除网络拥堵。此外,一般云厂商的Direct Connect 采用简单的按实际用量付费的定价方式,且无需最低消费承诺,这意味着用户只需为实际使用的网络端口和通过连接传输的数据付费,因此可以大大降低联网成本。
实时数据馈送:使用实时数据馈送的应用程序也可从Direct Connect中获益。例如,在网络延迟始终保持一致时,语音和视频等应用程序的性能最佳。Internet 上的网络延迟可能会有所不同,因为 Internet 会不断改变数据从A点传输到B点的方式。使用Direct Connect,用户可以控制数据的路由方式,从而比基于 Internet 的连接提供更加一致的网络体验。
混合云环境:Direct Connect 可帮助用户构建满足监管要求(要求使用专用连接)的混合环境。混合环境让用户能够将云的弹性和经济效益与利用其他现有基础设施的能力结合起来。
2 专线接入应用场景
2.1 本地网络和云上VPC互通
云上和云下的混合部署是目前大量用户进行实际业务部署的常见方式。为了实现高速、稳定、安全的数据交互,用户会有专线接入的需求,即通过 Direct Connect 专有连接将自建机房的网络和云厂商VPC 进行网络连通,实现业务混合部署或者数据传输。
在第一代的专线接入,专线接入或者虚拟接口和VPC是1:1的关系,即N个VPC互通需要创建N个专线连接,配置复杂、价格贵,后面主流的云厂商都提供更灵活的接入能力的产品,例如AWS的Transit Gateway、阿里云的云企业网、腾讯云的云联网等,可以实现专线接入或者虚拟接口和VPC是1:N的关系,即创建一个专线连接可以和云上的N个实例互联互通,如下图所示。
AWS Transit Gateway
阿里云云企业网
腾讯云云联网
2.2 本地网络和云上服务互通
在用户在使用面向 Internet 的服务,如Amazon Simple Storage Service 是一种面向 Internet 的存储服务,腾讯云的对象存储 COS,大数据分析平台等服务,这种网络场景也可以提供专线接入使得用户的本地直接访问,而不需要经过Internet的网络传输。
2.3 本地网络和本地网络
在使用AWS的Transit Gateway、阿里云的云企业网、腾讯云的云联网时可以把用户分布在各个地域的本地网络连接起来,这样用户可以有更多的搭建异地网络的选择,也做到异地的灾备。
2.4 多接入模式互备
专线接入可以和vpn、sd-wan接入进行互备,一方面可以覆盖更大的范围、灾备、成本控制,如下图所示。
2.5 多云融合
目前云厂商间各自的公有云的互通由于竞争和政策原因,一般是不支持用户无感的打通的,不过他们之间可以通过专线接入连接起来实现多云的架构,如下图阿里云的云企业网可以通过专线接入和腾讯云云联网的网络实例互通,对腾讯云云联网也是把阿里云的云企业网看成用户本地网络。
注:在实现多云融合的过程中,需要云专线支持BGP接入模式,能够在多云的环境中动态的传递路由信息。
3 专线接入产品功能
在本文的第2章节介绍专线接入的网络场景,本章节主要用专线接入提供的能力进行介绍。
3.1 物理专线建设
目前物理专线建设一般有两种模式,一种是用户本地网络直接和云厂商的专线进行对接,另外一种是用户和云厂商的合作伙伴对接而合作伙伴和云厂商进行对接。
3.2 路由的自动学习和传播
云厂商获取本地的网络的路由,一般有两种方法,一种是用户静态配置路由,另外一种是使用BGP(Border Gateway Protocol)路由协议传递网段(阿里云和腾讯云同时支持静态网段和BGP,AWS只支持BGP的专线接入)。
BGP是一种基于TCP协议的动态路由协议,主要应用于不同自治域间交换路由信息和网络可达信息。在物理专线接入的过程中,用户可以使用BGP来实现本地数据中心与专线接入路由器之间的内网互连,如下图所示。
注:通过BGP传递路由可以更加灵活的构建混合云的网络,如果使用静态配置网段在线路或者网络状态出现问题时,不能自动的收敛故障的路由。
3.3 容灾架构
为了实现容灾的网络架构,一般用户会在不同的接入点建设专线,专线模式可以设置为负载(ECMP)或者主备模式,例如通过BGP转递路由的专线接入模式,通过控制用户网络的发送给云上的aspath来控制流量的分布,如aspath相同,两个专线负载分担跑流量,线路的利用率高些,绕过aspath不同,aspath较短的为主链路,aspath较长的为备链路。
负载(ECMP)网络模型
主备网络模型
3.4 故障检测
一般的专线接入是通过BGP传递路由的模式,在出现物理端口或者网络异常时,BGP会自动的收敛路由,不过BGP的路由收敛时间稍微长些,且只能运行在BGP的专线接入中。而云厂商支持配置BFD,BFD协议可以提供一个通用的标准化的介质无关和协议无关的快速故障检测机制。具有以下优点:
- 对网络设备间任意类型的双向转发路径进行故障检测,包括直连物理链路、虚电路、隧道、MPLS LSP、多跳路由路径以及单向链路等。
- 可以为不同的上层应用服务,提供一致的快速故障检测时间。
- 提供小于1秒的检测时间,从而加快网络收敛速度,减少应用中断时间,提高网络的可靠性。
3.5 链接聚合组
链接聚合组 (LAG) 是一个逻辑接口,它使用链接聚合控制协议 (LACP) 在一个Direct Connect终端节点中聚合多个专用连接,从而可以将这些连接视为单个托管连接。LAGs 简化配置,因为 LAG 配置适用于组中的所有连接。
在下图中,用户有四个专用连接,每个位置有两个连接。用户可以为在同一位置终止的连接创建 LAG,然后使用两个LAGs(而不是四个连接)进行配置和管理。
3.6 专线NAT
在用户使用专线时,如果用户网络网段和云上的VPC的网段重叠,或者用户不愿意暴露内网地址,就需要一种做NAT转换的能力。不过在进行网络规划时,云上和云下网段不重叠其实是一个大的原则,专线NAT会带来配置和运维的复杂性,也会降低转发的性能。目前AWS和阿里云的专线都不支持NAT的功能,腾讯云支持部分场景的NAT的功能。
3.7 支持IPv6通信
目前IPv6的部署在不断的推进,部分云厂商也开始支持IPv6通信模型。
3.8 支持巨帧(jumbo frames)
在计算机网络中,巨型帧是指有效负载超过IEEE 802.3标准所限制的1500字节的以太网帧,通常来说,巨型帧可以携带最多9000字节的有效负载。巨型帧有效负载帧可以减少开销和CPU使用,在网络质量和带宽能保障的前提下对端到端TCP性能有着积极作用,而专线接入满足这个特征。
3.9 监控
一般跑在专线接入的业务相对比较主要,要有很好的指标监控的能力,目前云厂商主要是监控物理连接和虚拟接口的状态、流量等。
4 总结
云专线接入从最简单的实现一种本地网络和云上VPC互通的通信方式,发展到能接入多网络实例互联互通的,甚至为云厂商间的互通、多云融合等也铺平道路,相信未来专线接入会继续为实现“全球互联、高速上云”的愿景而不断的迭代和演进。