全部产品
Search
文档中心

云网络卓越架构设计指南:IDC服务器的应用交付网络设计

更新时间:Dec 12, 2024

概述

本文简介

本文重点介绍如何实现公共云网络的负载均衡挂载部署在IDC的服务器,完成IDC服务器的应用交付网络设计,实现IDC公网出入口上云,从而快速构建具备弹性伸缩能力的混合云,以满足企业的云化进程。

本文关键词

  • ALB:阿里云推出的专门面向HTTP、HTTPS和QUIC等应用层负载场景的负载均衡服务,具备超强弹性及大规模应用层流量处理能力。ALB具备处理复杂业务路由的能力,与云原生相关服务深度集成,是阿里云官方提供的云原生Ingress网关。并且支持挂载线下IDC服务器。

  • NLB:阿里云面向万物互联时代推出的新一代四层负载均衡,支持超高性能和自动弹性能力,单实例可以达到1亿并发连接,帮您轻松应对高并发业务。并且支持挂载线下IDC服务器。

  • EIP:可以独立购买和持有的公网IP地址资源。本架构中弹性公网IP会绑定IPv4网关并映射云下IDC服务器,为IDC提供云上公网访问能力。

  • VPC:用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、SLB、RDS等。

  • 云企业网:运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR(Transit Router)帮助您在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,为您打造一张灵活、可靠、大规模的企业级云上网络。

  • 共享带宽提供地域级带宽共享和复用功能。创建共享带宽实例后,您可以将同地域下的弹性公网IP(EIP)添加到共享带宽实例中,复用共享带宽中的带宽,节省公网带宽使用成本。

  • 高速通道:一款连接企业数据中心与阿里云的网络服务,可在企业数据中心与云上网络之间建立高速、稳定、安全的私网通信通道。高速通道的数据传输过程可信可控,能有效提高网络通信的质量及安全性。

  • 物理专线:通过物理电缆或光纤连接不同机房的物理线路连接,通常由运营商提供和维护。根据不同的交付形态,连接阿里云专线接入点机房的物理专线分为独享物理专线和共享物理专线。

  • VBR:阿里云基于软件自定义网络SDN架构下的三层Overlay技术和交换机虚拟化技术,将物理专线的接入端口隔离起来,并抽象成边界路由器VBR(Virtual border router)。VBR是CPE(Customer-premises equipment)设备和专有网络VPC之间的一个路由器,作为数据从VPC到本地数据中心IDC的转发桥梁。

  • VBR上连:通过VBR上连实现专有网络VPC和边界路由器VBR之间的简单的点到点静态路由私网互通。

  • 专线网关ECR:全球混合云专线组网的转发服务组件,提供全球范围专线网络互通、全动态路由组网和统一路由发布管理等功能。例如,您可以通过为专线网关ECR添加VBR,再将ECR绑定至转发路由器TR实例或为ECR绑定VPC实例,实现本地IDC与云上资源之间的互访。

  • NIS:一系列云上网络AIOps工具集,提供了云上网络从网络规划到网络运维全生命周期。包括流量分析、网络巡检、网络性能监控、网络诊断、路径分析、网络拓扑等功能,帮助用户优化网络架构、提升网络运维效率、降低网络运营成本。

  • 云监控:一项针对阿里云资源和互联网应用进行监控的服务。

  • CLB:将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。CLB扩展了应用的服务能力,增强了应用的可用性。

设计原则

通过负载均衡/云企业网/高速通道/共享带宽/EIP/安全产品等多个产品组合使用,将IDC的服务器与公共云网络连接起来,不仅提供了灵活性和可扩展性,还通过各种网络和安全产品保障了企业数据和应用的安全性和可靠性。这为企业上云提供了一个稳定、高效的过渡网络方案,实现IDC服务器的整体应用交付网络。

方案如下图所示:

image

该架构的设计原则如下:

  • 稳定性:稳定对于公网出入口设计至关重要。企业依赖云上公网来访问云资源和提供服务,如果网络与网元不稳定,它可能导致服务中断,对业务运营造成影响。对于提供在线服务的企业而言,网元与网络的稳定性直接影响最终用户的体验。

  • 安全合规:安全是云上优势能力之一。网络安全威胁,如DDoS攻击、入侵尝试等,可以危害企业的敏感数据。云上公网必须保证安全,以防止数据泄露和滥用。同时许多行业和地区有严格的数据保护法律和规定,企业必须确保其网络安全性以符合相关合规要求。

  • 高效性能:弹性是公共云的重要优势。企业公网应用,特别是互联网企业的应用访问量和服务使用模式往往有高峰和低谷。弹性网络与弹性网关(负载均衡)可以根据需求自动缩放资源,处理流量波动,从而保持服务质量。同时能够带来成本效益,弹性网络允许按实际使用付费,这意味着企业可以在需求增加时增加资源,在需求减少时减少资源,优化成本。

设计关键点

稳定性

  • 负载均衡(应用型负载均衡/网络型负载均衡):

    相对于传统的主备模式的CLB,阿里云ALB、NLB使用多可用区部署,某个可用区故障时仍能保障业务运行,实现业务高可用性。ALB与NLB采用多层次容灾架构设计,通过集群容灾、会话保持、可用区多活等机制保障实例的可用性。

  • 专线接入(高速通道):

    通过高速通道产品经过物理专线连接阿里云POP点和IDC。推荐采用双专线接入双阿里云POP点,双专线尽量采取不同物理路由/专线供应商,以保证业务稳定性。

    高速通道专线互联建议采用BGP协议并开启BFD功能,保证单根专线出现故障时可完成线路倒换和路由快速收敛。基于BFD最快可实现200ms*3的网络中断检测时间。

  • 公网入口(弹性公网IP)

    弹性公网IP建议使用多线BGP(Border Gateway Protocol)类型。通过多线BGP,阿里云的EIP能够利用多条线路,确保网络访问的稳定性,并优化网络路径,以获得更快的访问速度和更高的可靠性。多线BGP优点在于,它能够自动选择最优的路径进行数据传输,当某条线路发生故障或性能下降时,BGP网络会根据网络状况的实时变化,调整路由策略,转而使用其他更优的线路,这样即便是面临单点故障的情况,也能够保证服务的连续性和稳定性。

  • 云内连接(ECR)

    VBR与VPC连接推荐采用ECR,ECR采用全动态路由模式,可全链路覆盖,更稳定。同时ECR支持调度最优的转发路径,有效优化专线接入的转发时延。

安全合规

  • 负载均衡(应用型负载均衡/网络型负载均衡):

    • NLB支持TCPSSL协议,单双向认证、可自定义TLS策略。

    • ALB支持HTTPS协议,单双向认证、可自定义TLS策略。

    • 安全组:NLB/ALB可以加入安全组实现黑白名单策略。

    • VPC的网络ACL:可以支持到私网NLB/ALB VIP的访问流量过滤。

  • 防御DDoS攻击(DDoS防护增强版EIP):

    EIP实例默认提供不超过5 Gbps的基础DDoS防护能力。不同地域支持的最大免费防护流量不同。阿里云提供DDoS防护(增强版)EIP,在购买EIP实例时,选择DDoS防护(增强版)安全防护级别,即可提供Tbps级的专业DDoS防护能力。使用DDoS防护(增强版)EIP,无需额外进行DDoS高防配置,业务IP也无需进行转换。

  • Web安全防护(WAF):

    公网入口上云后,建议开启Web安全防护能力,实现对网站或者App的业务流量进行恶意特征识别及防护。在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。

    如果使用ALB,建议使用WAF 3.0透明模式,透明接入模式只需将需要防护的网站信息添加到WAF,无需修改域名的DNS解析设置,即可实现WAF防护。

  • 互联网边界防护(互联网边界防火墙):

    互联网边界防火墙作用于互联网边界,对所有公网资产进出流量统一管控防护。可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。

高效性能

  • 负载均衡(应用型负载均衡/网络型负载均衡):

    多可用区地域,ALB实例初始QPS上限值为10万QPS,不随着可用区的增多而变化。ALB固定IP模式实例最大10万QPS,ALB动态IP模式实例会随着弹性SLA自动扩容,最高可达100万QPS。

    NLB单实例最大支持1亿并发连接和100 Gbps带宽。NLB无需指定或手动调整NLB的实例规格,实例性能会随着业务增减自动弹性伸缩。

    NLB、ALB可以跨地域挂载后端服务器,将NLB/ALB靠近客户端所在地域部署可以缩短公网接入距离、优化网络质量。

  • 公网入口(弹性公网IP/共享带宽):

    通过配合云企业网的跨地域能力,可实现多地域不同公网入口接入同地域IDC,从而实现公网就近接入和多ISP覆盖提高整体公网接入性能。多达89条覆盖全球的优质BGP线路,享受与淘宝网和天猫网相同级别的BGP多线带宽。中国内地的每个地域均提供电信、联通、移动、铁通、网通、教育网、广电、鹏博士、方正宽带等多条线路的直连覆盖。根据地域情况,共享带宽最大能提供数百Gbps的带宽能力。

    可以随时申请和释放EIP,且可以将其快速绑定到不同的云下IDC服务器/网络设备上。提供了极高的IP地址管理灵活性和业务部署的便捷性。

    共享带宽根据实际需求动态调整带宽大小,无论是手动还是通过API自动化,都可以快速响应业务流量变化,从而在成本和性能之间取得平衡。如果需要应对突发流量,大带宽场景下可采取95计费模式,拥有多达5倍的弹性带宽上限。

  • 专线网关ECR:

    专线网关ECR可以调度最优的转发路径,有效优化专线接入的转发时延。

  • 专线接入(高速通道):

    专线接入端口并不具备实时弹性能力,建议根据业务需求提前进行规划。

可观测

  • 负载均衡(应用型负载均衡/网络型负载均衡):

    • ALB/NLB监控:支持连接、带宽等监控并配置告警。

    • ALB/NLB操作日志:可以记录OpenAPI或控制台等方式操作ALB/NLB的行为,用于回溯。

    • NLB秒级监控:用于观测微突发。

    • ALB访问日志:将用户访问记录在日志服务SLS中,用于分析用户行为、了解用户的地域分布、进行问题排查等。

  • 智能运维:

    网络智能服务 NIS(Network Intelligence Service)支持对公网流量与负载均衡与进行健康分析、性能监控、诊断修复、流量分析和测量仿真的云服务,通过集成机器学习、知识图谱等AIOps方法减少网络使用复杂性,提供自助运维能力,方便网络架构师和运维工程师更快捷的设计和使用网络。

  • 流量分析:

    CEN TR企业版和VPC支持流日志,支持将业务流量通过流日志形式进行记录输出并实现流量的详细分析。

  • 云监控:

    提供相关云产品的整体运维/告警/监控能力。

设计最佳实践

四层应用交付(使用NLB)

最佳实践核心架构:

  • NLB:实现互联网四层业务流量的多可用区接入,挂载IDC的服务器。

  • ECR+高速通道:全动态路由设计,专线多接入点接入,IDC和阿里云之间采用BGP+BFD互联。

image

七层应用交付(使用ALB)

最佳实践核心架构:

  • ALB:实现互联网七层业务流量的多可用区接入。

  • ECR+高速通道:全动态路由设计,专线多接入点接入,IDC和阿里云之间采用BGP+BFD互联。

image

七层应用交付(NLB+云上自建七层网关)

最佳实践核心架构:

  • NLB:实现互联网四层业务流量的多可用区接入,挂载云上同VPC自建七层网关/通过TR挂载其他VPC自建七层网关。

  • 自建网关:实现互联网流量的七层应用处理。

  • ECR+高速通道:全动态路由设计,专线多接入点接入,IDC和阿里云之间采用BGP+BFD互联。

image

七层应用交付(NLB+IDC自建七层网关)

最佳实践核心架构:

  • NLB:实现互联网四层业务流量的多可用区接入,挂载IDC的七层自建网关。

  • 自建网关:实现互联网流量的七层应用处理。

  • ECR+高速通道:全动态路由设计,专线多接入点接入,IDC和阿里云之间采用BGP+BFD互联。

image

应用场景介绍

  • 互联网应用公网入口弹性:阿里云网络/网元具备弹性优势,可以根据业务需求实时调整,企业能够灵活地增加或减少计算资源和带宽,以应对流量波动。同时弹性资源分配模式使企业仅需为实际使用的资源付费,有效控制成本,避免资源浪费。特别是互联网企业经常会因热点事件、互联网营销活动等造成短时间内网络用量突增,互联网应用公网入口弹性上云能很好地应对这一场景。

  • 企业等保合规:阿里云提供合规性支持和工具,企业将公网入口迁移到云上后,可以帮助企业更容易实现和维持等级保护合规状态。

  • 公网安全:阿里云拥有专业的安全团队和持续的安全投入,企业将公网入口迁移到云上后,能够保证持续的安全更新和防护。

  • 公网能力优化:阿里云拥有全球分布的数据中心,企业公网入口云化后,可以部署在靠近用户的地理位置,以减少延迟,提高响应速度。

Terraform参考

四层应用交付(使用NLB)

项目

说明

Terraform Module官网地址

四层应用交付(使用NLB)

Github 地址

四层应用交付(使用NLB)

示例地址

示例地址

代码流程:

  1. 创建云上VPC与交换机。在VPC中创建网络型负载均衡NLB,其中NLB后端服务器挂载线下IDC服务器。

  2. 创建VBR与ECR并将ECR与VPC关联,配置BGP+BFD构建高可用专线网络。

需要创建的实例如下:

  • 1个VPC

  • 2个交换机

  • 1个NLB

  • 1个ECR

  • 2个VBR

七层应用交付(使用ALB)

项目

说明

Terraform Module官网地址

四层应用交付(使用ALB)

Github 地址

四层应用交付(使用ALB)

示例地址

示例地址

代码流程:

  1. 创建云上VPC与交换机。在VPC中创建应用型负载均衡ALB,其中ALB后端服务器挂载线下IDC服务器。

  2. 创建VBR与ECR并将ECR与VPC关联,配置BGP+BFD构建高可用专线网络。

需要创建的实例如下:

  • 1个VPC

  • 2个交换机

  • 1个ALB

  • 1个ECR

  • 2个VBR