從傳統(tǒng)IT部署到云，人肉運(yùn)維已經(jīng)是過(guò)去式，云上運(yùn)維該怎么開(kāi)展？人工智能對(duì)于運(yùn)維“威脅論”也隨之襲來(lái)，如何去做更智能的活，當(dāng)下很多運(yùn)維人在不斷思考和探尋答案。在2017云棲社區(qū)運(yùn)維／DevOps在線技術(shù)峰會(huì)上，阿里云專家云登就為大家分享了云計(jì)算網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的實(shí)踐和演進(jìn)，精彩不容錯(cuò)過(guò)。

以下內(nèi)容根據(jù)演講視頻以及PPT整理而成。

眾所周知，云計(jì)算是以計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)作為基礎(chǔ)的。網(wǎng)絡(luò)作為云計(jì)算的重要基石之一，其架構(gòu)設(shè)計(jì)和演進(jìn)是云計(jì)算發(fā)展的重要一環(huán)，而網(wǎng)絡(luò)架構(gòu)涉及可靠性、性能、可擴(kuò)展性等多方面內(nèi)容。架構(gòu)是從理論設(shè)計(jì)開(kāi)始的，理論設(shè)計(jì)和實(shí)踐碰撞到一起，能否經(jīng)得住考驗(yàn)，是否能夠符合預(yù)期呢？廠商所提供的網(wǎng)絡(luò)設(shè)備的高級(jí)特性真的是解決問(wèn)題的銀彈么？如何通過(guò)經(jīng)典網(wǎng)絡(luò)和VPC構(gòu)建混合云，打通云上和云下呢？阿里云在以往的實(shí)踐以及與用戶的交互碰撞中遇到的問(wèn)題又是如何解決的呢？本次分享中將與大家一起進(jìn)行探討。

本次分享的目錄

一、常見(jiàn)的云計(jì)算網(wǎng)絡(luò)架構(gòu)

二、云計(jì)算網(wǎng)絡(luò)的可靠性和故障定界

三、專有云網(wǎng)絡(luò)的模塊化

四、混合云構(gòu)建的并網(wǎng)案例

五、云網(wǎng)絡(luò)架構(gòu)的演進(jìn)趨勢(shì)

一、常見(jiàn)的云計(jì)算網(wǎng)絡(luò)架構(gòu)

下圖所展示是一種常見(jiàn)的云計(jì)算網(wǎng)絡(luò)集群架構(gòu)。傳統(tǒng)情況下云計(jì)算網(wǎng)絡(luò)架構(gòu)會(huì)分為三層：接入層、匯聚層和核心層。如下圖所示，在接入層下面的兩臺(tái)交換機(jī)會(huì)進(jìn)行堆疊，再下面會(huì)連接服務(wù)器，服務(wù)器一般會(huì)選擇使用兩個(gè)網(wǎng)卡進(jìn)行bond之后以雙上連的方式連接到2臺(tái)接入交換機(jī)。在接入交換機(jī)和匯聚交換機(jī)之間也會(huì)有多條線路的連接，一般而言會(huì)存在二層或者三層的接入。對(duì)于帶寬收斂比的設(shè)計(jì)而言，對(duì)于千兆集群可以采用1：1無(wú)收斂的方式，而對(duì)于萬(wàn)兆集群則可以使用收斂比為1：3或者1：2的方案，也可能使用無(wú)收斂的設(shè)計(jì)。從匯聚層再向上連接到核心層，一般情況會(huì)使用三層連接。

下圖是另外一種比較常見(jiàn)的云計(jì)算網(wǎng)絡(luò)集群架構(gòu)，在Spine節(jié)點(diǎn)和Leaf節(jié)點(diǎn)之間可能會(huì)存在三層連接，而Spine節(jié)點(diǎn)和Core節(jié)點(diǎn)之間也可能會(huì)存在三層連接，這種網(wǎng)絡(luò)架構(gòu)相比于前面提到的架構(gòu)而言，其擴(kuò)展粒度要更細(xì)，可以細(xì)化到一組或者多組進(jìn)行接入。

想必大家對(duì)于Overlay以及Underlay網(wǎng)絡(luò)都有所了解，物理網(wǎng)絡(luò)被稱為Underlay網(wǎng)絡(luò)，物理網(wǎng)絡(luò)搭建完成之后應(yīng)該盡量保證網(wǎng)絡(luò)拓?fù)涫枪潭ǖ?；而?duì)于Overlay的網(wǎng)絡(luò)而言，可以基于VXLAN技術(shù)構(gòu)建VPC網(wǎng)絡(luò)，通過(guò)軟件定義和控制器的方式可以動(dòng)態(tài)地構(gòu)建虛擬的網(wǎng)絡(luò)。所構(gòu)建的網(wǎng)絡(luò)可以是一個(gè)或多個(gè)虛擬的網(wǎng)絡(luò)，可以通過(guò)云上不同的租戶去定義地址規(guī)劃以及路由的規(guī)劃，甚至還可以提供類似于高速通道這樣跨VPC之間的互通。Underlay網(wǎng)絡(luò)的設(shè)計(jì)基本上就是前面所提到的接入－匯聚－核心架構(gòu)以及Spine－Leaf架構(gòu)，而對(duì)于Overlay的網(wǎng)絡(luò)則描述的是虛擬的層面，提供的實(shí)際上是虛擬的路由器和虛擬的交換機(jī)，包括其構(gòu)建出來(lái)的可以接入像SLB、RDS、ECS、OCS等云產(chǎn)品的VPC容器。為什么叫做Overlay呢？其實(shí)因?yàn)镺verlay網(wǎng)絡(luò)是通過(guò)VXLAN隧道的封裝運(yùn)行在Underlay物理網(wǎng)絡(luò)之上的。通過(guò)Overlay邏輯網(wǎng)關(guān)去組織業(yè)務(wù)進(jìn)行資源編排就可以構(gòu)建出非常豐富的基于Overlay網(wǎng)絡(luò)的產(chǎn)品。

二、云計(jì)算網(wǎng)絡(luò)的可靠性和故障定界

前面主要介紹了云計(jì)算網(wǎng)絡(luò)的一些基礎(chǔ)概念，接下來(lái)將會(huì)針對(duì)云計(jì)算網(wǎng)絡(luò)的可靠性以及故障定位的方式進(jìn)行分享。

對(duì)于云計(jì)算平臺(tái)的物理網(wǎng)絡(luò)而言，其可靠性可以分為以下的幾類：

1、多線路，常見(jiàn)二層的LACP，也就是鏈路聚合，對(duì)于三層則使用等價(jià)路由

2、設(shè)備HA，從體系結(jié)構(gòu)來(lái)講，分布式的多框、多插槽的設(shè)備能夠提供多主控、多接口板這樣的方式，還可以提供類似于堆疊技術(shù)和多機(jī)之間的雙機(jī)熱備以及多機(jī)的備份或者多機(jī)堆疊的方式，還可以提供VRRP的鏈路切換。

3、探測(cè)和切換機(jī)制，實(shí)際上在網(wǎng)絡(luò)配置交付之后，如果遠(yuǎn)端出現(xiàn)了問(wèn)題，為了解決鏈路上的負(fù)載均衡以及主備切換的問(wèn)題，可以引入比如NQA＋Track這樣的探測(cè)技術(shù)，這樣可以針對(duì)靜態(tài)路由的配置通過(guò)不同的優(yōu)先級(jí)和NQA探測(cè)方式發(fā)現(xiàn)遠(yuǎn)端節(jié)點(diǎn)不可達(dá)的時(shí)候進(jìn)行路由切換。除此之外，在探索到某臺(tái)設(shè)備出現(xiàn)故障的時(shí)候就可以進(jìn)行故障隔離，可以實(shí)現(xiàn)端口級(jí)或者設(shè)備級(jí)的故障隔離，保證流量可以走備份或者冗余鏈路進(jìn)而避免流量中斷，當(dāng)然，這種情況下可能對(duì)于流量帶寬造成一定的損失。

４、巡檢和監(jiān)測(cè)，針對(duì)于Overlay和Underlay的網(wǎng)絡(luò)會(huì)提供主動(dòng)探測(cè)的機(jī)制，還有對(duì)于設(shè)備的日常日志告警的分析。設(shè)備在運(yùn)行中往往會(huì)報(bào)很多的日志和告警，將這些信息收集起來(lái)之后結(jié)合云平臺(tái)的業(yè)務(wù)流量可以挖掘出很多故障的可能性、已經(jīng)出現(xiàn)的故障還有對(duì)于未來(lái)可能出現(xiàn)故障的預(yù)判。還可以進(jìn)行流量分析，并且基于此判斷云平臺(tái)的網(wǎng)絡(luò)是否出現(xiàn)了一些問(wèn)題。

如下圖所示的是常見(jiàn)的網(wǎng)絡(luò)集群故障點(diǎn)分布圖，云計(jì)算平臺(tái)的網(wǎng)絡(luò)故障點(diǎn)主要集中在下圖中標(biāo)號(hào)的幾個(gè)位置：

■標(biāo)號(hào)1：線路故障，比如服務(wù)器上連到TOR交換機(jī)，也就是服務(wù)器上的接入網(wǎng)卡接入到交換機(jī)上時(shí)出現(xiàn)了網(wǎng)卡、線路或者是接入端口損壞導(dǎo)致線路上出現(xiàn)故障。同樣的，從接入層到匯聚層，從匯聚層到核心層也會(huì)出現(xiàn)這樣的線路故障。

■標(biāo)號(hào)2：核心設(shè)備的故障，核心設(shè)備的故障可能導(dǎo)致跨網(wǎng)絡(luò)端口之間的流量損失，由此造成的影響范圍往往比較大。對(duì)圖中所示的網(wǎng)絡(luò)架構(gòu)而言，如果流量需要跨端口進(jìn)行傳輸，就一定需要從接入層到匯聚層再到核心層再轉(zhuǎn)入另外一個(gè)POD的匯聚層。

■標(biāo)號(hào)3：匯聚交換機(jī)的故障，一般情況下匯聚交換機(jī)采用堆疊的方式，可能會(huì)出現(xiàn)堆疊的分裂以及單臺(tái)設(shè)備的故障，也可能出現(xiàn)整個(gè)端口流量上行的帶寬減半或者是分裂以后導(dǎo)致等一些不可預(yù)期的后果，因此需要及時(shí)檢測(cè)出一些故障并且及時(shí)進(jìn)行隔離以及對(duì)于設(shè)備進(jìn)行下線維修從而排除此類故障。

■標(biāo)號(hào)4：接入交換機(jī)的故障，接入交換機(jī)也會(huì)發(fā)生類似于匯聚交換機(jī)的故障，堆疊分裂或者單機(jī)故障則會(huì)導(dǎo)致下面連接的服務(wù)器出現(xiàn)問(wèn)題。

■標(biāo)號(hào)5：服務(wù)器故障。

■標(biāo)號(hào)6和7：像上述提到的堆疊出現(xiàn)問(wèn)題造成的故障，這樣的故障需要通過(guò)日常的巡檢以及網(wǎng)絡(luò)設(shè)備自身報(bào)告故障的日志告警來(lái)發(fā)現(xiàn)問(wèn)題并及時(shí)去進(jìn)行相應(yīng)的處理。

以下是對(duì)于常見(jiàn)的網(wǎng)絡(luò)集群故障點(diǎn)的詳細(xì)描述：

1、線路故障。體現(xiàn)為帶寬的損失，一般通過(guò)多條線路保障，三層網(wǎng)絡(luò)設(shè)備間通常用ECMP等價(jià)路由，二層網(wǎng)絡(luò)設(shè)備間通常采用聚合LACP，提高可靠性。在實(shí)際情況下，在公有云環(huán)境中會(huì)發(fā)現(xiàn)：一旦網(wǎng)絡(luò)集群規(guī)模大了之后，堆疊出現(xiàn)問(wèn)題的概率就會(huì)變大，與此同時(shí)，二層的廣播風(fēng)暴和環(huán)路出現(xiàn)的概率也會(huì)變大，阿里云目前在逐步地考慮去掉堆疊并且去掉二層，這也可能是未來(lái)的發(fā)展方向。這樣的目的是為了簡(jiǎn)化網(wǎng)絡(luò)并提高網(wǎng)絡(luò)集群的可靠性。

2、DSW故障。DSW是對(duì)于核心設(shè)備的稱呼，由于所有的DSW之間不直接互聯(lián)，它本身的可靠性只能依靠硬件框式分布式，多主控板（主備HA）、多接口板（上面說(shuō)的多線路跨板連接）來(lái)保證單點(diǎn)可靠性，使用多臺(tái)DSW，平時(shí)負(fù)載均衡，單臺(tái)故障時(shí)互為備份鏈路。如果是單臺(tái)DSW故障，將會(huì)影響帶寬損失。

3、PSW故障。也就是匯聚設(shè)備的故障，拓?fù)渲杏蠵SW堆疊和去堆疊兩種情況，如果是堆疊的，單臺(tái)故障，上下連線依靠跨堆疊設(shè)備的LACP或者ECMP實(shí)現(xiàn)業(yè)務(wù)不中斷（但帶寬有損失），如果不是堆疊的，參考（2）的場(chǎng)景。如果是單臺(tái)PSW故障，影響的是下連的多組ASW帶寬損失一半。

4、ASW故障。線上很多的ASW都是堆疊的，目前阿里云也開(kāi)始去堆疊，如果是堆疊的，ASW下連服務(wù)器，服務(wù)器雙網(wǎng)卡bond接入（LACP），如果是去堆疊的ASW，服務(wù)器雙網(wǎng)卡等價(jià)路由負(fù)載均衡。如果單臺(tái)ASW故障，影響的是下連的48臺(tái)服務(wù)器的帶寬損失一半。未來(lái)，阿里云新構(gòu)建的集群會(huì)逐漸減少對(duì)于堆疊的使用，進(jìn)而提高網(wǎng)絡(luò)設(shè)備的可靠性。其實(shí)對(duì)于網(wǎng)絡(luò)廠商而言，他們也會(huì)對(duì)于堆疊特性進(jìn)行大量的測(cè)試，但是實(shí)際上由于堆疊特性十分復(fù)雜，因?yàn)槠渖婕暗接布?、軟件、?nèi)部檢測(cè)以及協(xié)議的傳輸備份，也就是會(huì)涉及到很多跨框、跨設(shè)備的同步以及選舉機(jī)制。由于堆疊特性實(shí)現(xiàn)本身就非常復(fù)雜，就會(huì)導(dǎo)致出現(xiàn)問(wèn)題的可能性比像路由轉(zhuǎn)發(fā)這樣其他簡(jiǎn)單特性更高。而在云計(jì)算場(chǎng)景下海量的網(wǎng)絡(luò)設(shè)備同時(shí)運(yùn)行，就進(jìn)一步提升了堆疊特性出現(xiàn)問(wèn)題的可能性，基本上就會(huì)導(dǎo)致出現(xiàn)存在堆疊的場(chǎng)景下可能經(jīng)常會(huì)出現(xiàn)問(wèn)題。為了解決這樣的問(wèn)題就需要逐步地去除堆疊和二層。

5、服務(wù)器故障?？赡荏w現(xiàn)在服務(wù)器網(wǎng)卡或者本身內(nèi)部的應(yīng)用系統(tǒng)的問(wèn)題，服務(wù)器故障一般只會(huì)影響自己，范圍比較小。

6、PSW堆疊分裂。各自認(rèn)為自己是主設(shè)備，為了減小影響，一般會(huì)配置DAD雙主檢測(cè)，禁掉一邊，影響為整個(gè)pod的上聯(lián)帶寬和跨asw之間轉(zhuǎn)發(fā)帶寬損失一半。如果PSW堆疊整體故障，整個(gè)pod掛掉（各組ASW下的48臺(tái)服務(wù)器之間仍可互通），上連不通，跨asw的互連不通。

7、ASW堆疊分裂。類似于（6），影響為一組ASW下掛的48臺(tái)服務(wù)器的互聯(lián)或者上聯(lián)帶寬損失一半。如果ASW堆疊整體故障，該組ASW下連的48臺(tái)服務(wù)器全部不通。對(duì)于（6）（7）的堆疊故障，由于廠商堆疊技術(shù)本身復(fù)雜，導(dǎo)致故障概率提升，再加上公共云使用的網(wǎng)絡(luò)設(shè)備規(guī)模大，基數(shù)上去了就進(jìn)一步放大出故障的概率，且影響范圍大。因此網(wǎng)絡(luò)本身的可靠性和故障位置，對(duì)于云產(chǎn)品來(lái)說(shuō)影響的范圍也是不同的，ecs之類的云產(chǎn)品能夠打散到不同的ASW、POD甚至AZ（跨網(wǎng)絡(luò)集群），其可靠性指標(biāo)也是不同的。基本上是打散的網(wǎng)絡(luò)設(shè)備之間的層級(jí)越高，可靠性保證越高，但同樣的網(wǎng)絡(luò)延遲也越高。

那么怎樣才能夠及早地發(fā)現(xiàn)這些故障呢？其實(shí)可以使用故障主動(dòng)探測(cè)的模型。在網(wǎng)絡(luò)集群里面，可能會(huì)選擇特定的接入設(shè)備比如像服務(wù)器，將其作為主動(dòng)探測(cè)的機(jī)器，其探測(cè)的目標(biāo)就是網(wǎng)絡(luò)設(shè)備下面的其他服務(wù)器。

建立的第一個(gè)簡(jiǎn)單故障主動(dòng)探測(cè)的模型如下：

1、一個(gè)TOR下面所有物理服務(wù)器（例如48臺(tái)）都同時(shí)出現(xiàn)大量丟包 －－＞ TOR交換機(jī)故障。

2、個(gè)別物理服務(wù)器出現(xiàn)丟包 －－＞ 服務(wù)器負(fù)載問(wèn)題／TOR交換機(jī)端口隊(duì)列打滿。

3、到某個(gè)機(jī)房的大量物理服務(wù)器同時(shí)出現(xiàn)大量丟包－－＞匯聚交換機(jī)／核心交換機(jī)故障。

4、到某個(gè)機(jī)房的大量物理服務(wù)器出現(xiàn)少量概率丟包－＞匯聚交換機(jī)／核心交換機(jī)的個(gè)別端口問(wèn)題。

５、每個(gè)機(jī)房最少只需要1臺(tái)機(jī)器作為探測(cè)源，部署對(duì)業(yè)務(wù)網(wǎng)絡(luò)影響小，ICMP ping之類的只能做Layer3的探測(cè)。

依照上述的故障主動(dòng)探測(cè)模型就可以簡(jiǎn)單地判斷網(wǎng)絡(luò)出現(xiàn)故障的范圍。

建立的第二個(gè)簡(jiǎn)單故障主動(dòng)探測(cè)的模型如下：

　　1、通過(guò)選擇不同位置的服務(wù)器作為探測(cè)源或者探測(cè)目標(biāo)，發(fā)現(xiàn)不同層次的故障位置，多輪次組合。

2、要求每臺(tái)服務(wù)器運(yùn)行agent，并接受外部控制器指令，動(dòng)態(tài)調(diào)整探測(cè)策略，可建立TCP連接并測(cè)試。

3、可以針對(duì)overlay和underlay網(wǎng)絡(luò)進(jìn)行探測(cè)，更容易模擬實(shí)際應(yīng)用的業(yè)務(wù)流量特征，支持Layer 4探測(cè)、時(shí)延計(jì)算。

第二個(gè)故障主動(dòng)探測(cè)模型在服務(wù)器內(nèi)部會(huì)增加一些代理Agent，安裝代理之后可以做到對(duì)于4到7層的探測(cè)，可以探測(cè)出TCP連接的情況以及其延遲和性能速率。同樣的，探測(cè)模型也可以組合出不同的探測(cè)方式，在了解網(wǎng)絡(luò)架構(gòu)的拓?fù)渲缶涂梢蕴綔y(cè)位于同一組接入交換機(jī)下面的兩臺(tái)或者多臺(tái)服務(wù)器，也可以探測(cè)位于不同的核心交換機(jī)或者匯聚交換機(jī)下面的多臺(tái)服務(wù)器。通過(guò)這種建模方式就可以知道當(dāng)前延遲高或者丟包的場(chǎng)景下，網(wǎng)絡(luò)的問(wèn)題到底出現(xiàn)在什么位置。

三、專有云網(wǎng)絡(luò)的模塊化

上述提到的是網(wǎng)絡(luò)體現(xiàn)在本身體系結(jié)構(gòu)上的可靠性，比如分布式設(shè)備、支持主備HA、支持雙機(jī)熱備或者多機(jī)堆疊以及其他一些高級(jí)特性，這些都是從網(wǎng)絡(luò)設(shè)備本身的角度而言的。除此之外，通過(guò)線路帶寬的設(shè)計(jì)保證收斂比以及負(fù)載均衡，以此來(lái)保證云計(jì)算網(wǎng)絡(luò)的可靠性。而通過(guò)日常的巡檢和探測(cè)能夠及時(shí)地發(fā)現(xiàn)故障，并在故障發(fā)生之后及時(shí)了解故障發(fā)生的具體原因并提供故障定位的方式，進(jìn)而提高云平臺(tái)網(wǎng)絡(luò)的可靠性。

上述這些都是在公有云網(wǎng)絡(luò)上的實(shí)踐，對(duì)于專有云而言，又會(huì)存在什么樣的差別呢？其實(shí)對(duì)于專有云而言，更多地會(huì)對(duì)其進(jìn)行模塊化的設(shè)計(jì)。公有云一般而言是可規(guī)劃的，可以對(duì)于未來(lái)集群的規(guī)模、建設(shè)的地域以及網(wǎng)絡(luò)架構(gòu)的選擇等進(jìn)行規(guī)劃。而對(duì)于專有云而言，客戶的需求往往不能夠規(guī)劃出來(lái)，不同的客戶所需要的業(yè)務(wù)的場(chǎng)景和訴求往往是不同的，這些在網(wǎng)絡(luò)設(shè)備的選型、已有設(shè)備的利舊使用以及對(duì)于云平臺(tái)功能的裁剪上都會(huì)有所體現(xiàn)，所以專有云與公有云上的的網(wǎng)絡(luò)設(shè)計(jì)就存在較大的差別。

下圖是專有云網(wǎng)絡(luò)架構(gòu)圖，一個(gè)很明顯的特點(diǎn)就是專有云網(wǎng)絡(luò)會(huì)分成幾個(gè)區(qū)域，最上面的是外部接入?yún)^(qū)，外部接入?yún)^(qū)包含了阿里云和ISP或者用戶骨干網(wǎng)出口的鏈接以及在其上進(jìn)行安全防護(hù)的云盾。專有云網(wǎng)絡(luò)架構(gòu)圖中間的DSW和下部的PSW則屬于DC區(qū)，也就是網(wǎng)絡(luò)架構(gòu)的核心區(qū)域。圖中右面的綜合接入?yún)^(qū)分為了兩個(gè)部分，一部分是阿里云所提供的負(fù)載均衡、VPC網(wǎng)關(guān)以及OPS相關(guān)的接入，另外一部分則是CSW，實(shí)際上就是客戶的VPC專線接入?yún)^(qū)，阿里云的專有云客戶會(huì)有一些原來(lái)的物理網(wǎng)絡(luò)需要與云上的VPC進(jìn)行網(wǎng)絡(luò)打通，一般會(huì)通過(guò)VPC的專線接入交換機(jī)的綜合交換機(jī)接入進(jìn)來(lái)。也就是說(shuō)專有云網(wǎng)絡(luò)的每一個(gè)模塊都有一個(gè)相對(duì)獨(dú)立的設(shè)計(jì)，所有的模塊實(shí)際上都是作為半獨(dú)立的部分，所謂半獨(dú)立就是意味著可以進(jìn)行獨(dú)立的裁剪或者進(jìn)行局部調(diào)整。專有云網(wǎng)絡(luò)進(jìn)行模塊化之后能夠帶來(lái)的好處就是可以進(jìn)行隨意地裁剪，比如很多專有云客戶沒(méi)有連接互聯(lián)網(wǎng)的需求，只需要一個(gè)完全的孤島環(huán)境，這樣就可以將外部接入?yún)^(qū)全部裁減掉。這樣做所帶來(lái)的優(yōu)點(diǎn)就是首先簡(jiǎn)化了不必要的功能，其次減少了設(shè)備的采購(gòu)，也就減少了用戶不必要的網(wǎng)絡(luò)成本。

專有云網(wǎng)絡(luò)架構(gòu)其他方面的一些考慮與公有云存在哪些差別呢？

（1）專有云的網(wǎng)絡(luò)架構(gòu)源于公有云

專有云基于公有云已驗(yàn)證輸出的架構(gòu)版本，進(jìn)行裁剪和變更。既保證云網(wǎng)絡(luò)架構(gòu)是同構(gòu)的，又引入靈活性和降低成本。

（2）公有云的建設(shè)是可規(guī)劃的，專有云則是按項(xiàng)目走的

公有云的網(wǎng)絡(luò)架構(gòu)一旦確定，建設(shè)就有了標(biāo)準(zhǔn)，在架構(gòu)整個(gè)生命周期內(nèi)建設(shè)都需要按照架構(gòu)設(shè)計(jì)進(jìn)行實(shí)現(xiàn)，而且完全可以提前規(guī)劃。專有云更強(qiáng)調(diào)的是可以進(jìn)行細(xì)粒度的調(diào)整，其可定制化要求會(huì)更高一些。專有云的網(wǎng)絡(luò)架構(gòu)確定后，每個(gè)項(xiàng)目的客戶需求不同，常常要求變更，最常見(jiàn)的是網(wǎng)絡(luò)設(shè)備選型變更，網(wǎng)絡(luò)拓?fù)湟渤Ｓ凶兏?，例如拉專線、利舊原有網(wǎng)絡(luò)設(shè)備等的需求，對(duì)于這些情況大多是case by case進(jìn)行解決。

（3）公有云的硬件和配置可定制化，專有云的硬件和配置盡量通用化

根據(jù)架構(gòu)演進(jìn)設(shè)計(jì)，公有云啟用的硬件可定制，且規(guī)劃是一脈相承的。專有云由于面對(duì)的是不同的客戶，需求不同，重口難調(diào)，架構(gòu)設(shè)計(jì)往往需要考慮兼容性，要能利舊，客戶常常要求將其已有的交換機(jī)資產(chǎn)用在云網(wǎng)絡(luò)建設(shè)上。所以專有云的網(wǎng)絡(luò)設(shè)備往往要求需要通用化，便于不同用戶理解，降低用戶后期運(yùn)維的復(fù)雜性和學(xué)習(xí)的成本。

（4）架構(gòu)支持的服務(wù)器規(guī)模

公有云的網(wǎng)絡(luò)拓?fù)?，一開(kāi)始的考慮就是中、大規(guī)模的。專有云的需求規(guī)模各項(xiàng)目不一致，服務(wù)器少的項(xiàng)目只有幾十臺(tái)，而服務(wù)器多的項(xiàng)目又需要超過(guò)幾千臺(tái)以上，因此專有云的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)需要考慮S／M／L等不同規(guī)模，甚至要?jiǎng)澐值母?xì)粒度，以便兼顧云平臺(tái)的穩(wěn)定性和客戶采購(gòu)的硬件成本的均衡。

四、混合云構(gòu)建的并網(wǎng)案例

一般而言，客戶在建設(shè)專有云之后，可能也會(huì)對(duì)于自己的租戶提供服務(wù)，或者自身也會(huì)存在部門的劃分，希望每個(gè)部門也有自己的專有網(wǎng)絡(luò)，并希望云上的專有網(wǎng)絡(luò)能夠和原有的云下物理網(wǎng)絡(luò)進(jìn)行打通。

案例1：傳統(tǒng)IDC接入阿里云VPC

下圖是一個(gè)常見(jiàn)的傳統(tǒng)IDC接入阿里云并網(wǎng)的網(wǎng)絡(luò)拓?fù)?。圖中左半部分是云平臺(tái)的網(wǎng)絡(luò)，圖上的示例劃分了三個(gè)VPC，每個(gè)VPC內(nèi)部都包含了自己的云產(chǎn)品，也會(huì)有自己的虛擬交換機(jī)和虛擬路由器。圖中右半部分表示的是客戶原有的網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)可能會(huì)基于業(yè)務(wù)或者基于部門進(jìn)行劃分。那么如何將用戶原有的網(wǎng)絡(luò)接入到云上的網(wǎng)絡(luò)，實(shí)現(xiàn)將業(yè)務(wù)從云下遷移到云上呢？阿里云會(huì)提供VPC的專線接入方案幫助實(shí)現(xiàn)傳統(tǒng)IDC與阿里云的并網(wǎng)接入。

案例2：傳統(tǒng)IDC接入阿里云VPC－－單租戶多VPC

下圖中展現(xiàn)的是單租戶多VPC的網(wǎng)絡(luò)拓?fù)?。圖中左半部分是傳統(tǒng)IDC的網(wǎng)絡(luò)區(qū)，客戶原來(lái)可能是通過(guò)VLAN劃分不同部門之間的網(wǎng)絡(luò)的，那么如何接入到阿里云的VPC呢？如圖中右半部分所示的其實(shí)是一個(gè)專線接入設(shè)備CSW，可以看到左側(cè)的網(wǎng)絡(luò)一般而言可以根據(jù)VLAN的劃分設(shè)計(jì)出接入的方式。如圖中所示以VLAN劃分為X、Y、Z三個(gè)部門的網(wǎng)絡(luò)，右邊在阿里云網(wǎng)絡(luò)區(qū)中也會(huì)相應(yīng)地劃分出三個(gè)VLAN IF接口，這三個(gè)VLAN IF接口會(huì)對(duì)應(yīng)地接收客戶這邊的三部分的報(bào)文?？蛻鬒DC中的三個(gè)VLAN的報(bào)文通過(guò)Trunk口上行到CSW上以后，因?yàn)閂PC網(wǎng)絡(luò)可以進(jìn)行VPC內(nèi)的路由和地址規(guī)劃，因此在CSW交換機(jī)上可以劃分三個(gè)VRF，每個(gè)VRF會(huì)根據(jù)入端口去確定后面的路由轉(zhuǎn)發(fā)，比如VLAN X的報(bào)文通過(guò)Trunk口接收上來(lái)之后會(huì)終結(jié)到三層口VLAN IF X上。VRF一般都是通過(guò)入端口進(jìn)行確定的，因此自然就會(huì)在VRF A中進(jìn)行路由，這樣就可以設(shè)計(jì)從傳統(tǒng)IDC網(wǎng)絡(luò)到VPC上的路由以及從VPC到傳統(tǒng)網(wǎng)絡(luò)的回包路由。當(dāng)報(bào)文通過(guò)VRF A路由到出接口的時(shí)候，VSI會(huì)進(jìn)行虛擬的交換將當(dāng)前的流量對(duì)應(yīng)到某一個(gè)VXLAN Tunnel上去進(jìn)行封裝和轉(zhuǎn)發(fā)，這樣報(bào)文就會(huì)通過(guò)綜合接入交換機(jī)LSW轉(zhuǎn)發(fā)到VPC的XGW網(wǎng)關(guān)，之后XGW網(wǎng)關(guān)根據(jù)VXLAN的ID確定當(dāng)前的流量需要引入到哪一個(gè)VPC中去，這樣就實(shí)現(xiàn)了云下的傳統(tǒng)IDC客戶網(wǎng)絡(luò)和云上的租戶的VPC的網(wǎng)絡(luò)打通。

案例3：傳統(tǒng)IDC接入阿里云VPC－－多租戶

下圖中展現(xiàn)的是另外一個(gè)例子：多租戶的傳統(tǒng)IDC接入阿里云VPC的情況。這與公有云的接入方式比較類似，上一個(gè)例子實(shí)際上是專有云客戶內(nèi)部網(wǎng)絡(luò)不同部門或者不同應(yīng)用的劃分并通過(guò)VLAN的方式接入，而下圖中例子則是專有云客戶自己還有很多個(gè)租戶需要接入，這樣接入方式其實(shí)與公有云比較相似，多個(gè)租戶可以通過(guò)三層的專線直接接入到VPC的接入點(diǎn)CSW，后面的邏輯其實(shí)與上面的案例是一樣的，通過(guò)入端口確定VRF之后，在CSW內(nèi)部可以將流量引入到不同的VPC中去來(lái)實(shí)現(xiàn)云下的網(wǎng)絡(luò)和云上VPC網(wǎng)絡(luò)的打通。

上述的實(shí)現(xiàn)方式在專有云的實(shí)踐中經(jīng)常遇到用戶使用靜態(tài)地址進(jìn)行接入的情況，因此會(huì)需要靜態(tài)路由配置，比如流量回包時(shí)會(huì)需要通過(guò)VPC到客戶網(wǎng)絡(luò)那一側(cè)進(jìn)行靜態(tài)路由的指回。以下圖為例，配置靜態(tài)路由的CSW是一個(gè)堆疊的設(shè)備，如果遠(yuǎn)端客戶的網(wǎng)絡(luò)出現(xiàn)了問(wèn)題，比如光纖被挖斷或者出現(xiàn)了設(shè)備故障問(wèn)題，怎樣去實(shí)現(xiàn)流量的切換呢？其實(shí)需要使用NQA ＋ Track的方式，需要定義兩種具有不同優(yōu)先級(jí)的路由，正常情況下會(huì)通過(guò)高優(yōu)先級(jí)的路由傳回客戶的租戶網(wǎng)絡(luò)，當(dāng)NQA探測(cè)到遠(yuǎn)端的設(shè)備不可達(dá)的時(shí)候則會(huì)通過(guò)Track方式將路由切換到備用專線上來(lái)傳回給租戶的網(wǎng)絡(luò)，這樣就實(shí)現(xiàn)了遠(yuǎn)端故障時(shí)的流量切換。當(dāng)遠(yuǎn)端網(wǎng)絡(luò)主鏈路恢復(fù)之后流量還可以重新切換回來(lái)。這樣就實(shí)現(xiàn)了云上和云下多鏈路VPC專線接入的情況下的靜態(tài)路由鏈路。

五、云網(wǎng)絡(luò)架構(gòu)的演進(jìn)趨勢(shì)

未來(lái)，云計(jì)算平臺(tái)網(wǎng)絡(luò)架構(gòu)演進(jìn)的趨勢(shì)主要如下圖所示：

未來(lái)云計(jì)算平臺(tái)上的網(wǎng)絡(luò)會(huì)發(fā)生從經(jīng)典網(wǎng)絡(luò)到VPC網(wǎng)絡(luò)進(jìn)行切換；逐漸去除堆疊，從堆疊環(huán)境切換到獨(dú)立設(shè)備，在一個(gè)比較大范圍的網(wǎng)絡(luò)使用場(chǎng)景里面減少堆疊帶來(lái)的故障，整體提高云平臺(tái)網(wǎng)絡(luò)的可靠性；在Underlay物理網(wǎng)絡(luò)中逐漸去掉二層，因?yàn)槎咏?jīng)常會(huì)出現(xiàn)廣播風(fēng)暴或者環(huán)路問(wèn)題，去掉二層則可以提高網(wǎng)絡(luò)的可靠性；對(duì)于端口而言，會(huì)從原來(lái)的支持千兆和萬(wàn)兆逐漸過(guò)渡到支持25G和100G；對(duì)于物理網(wǎng)絡(luò)的復(fù)雜度而言，會(huì)逐漸降低對(duì)于物理網(wǎng)絡(luò)的依賴，逐漸將其復(fù)雜度下沉到服務(wù)器端，無(wú)論是VPC網(wǎng)關(guān)還是普通云產(chǎn)品的宿主服務(wù)器，都會(huì)將其對(duì)網(wǎng)絡(luò)的依賴進(jìn)行逐漸解耦，盡量減少因?yàn)榫W(wǎng)絡(luò)故障給云平臺(tái)帶來(lái)的不穩(wěn)定。