1、混合云组网技术

1.1、WAN

1.2、VPN

1.3、BGP

1.4、SD-WAN

2、混合云组网方案

3、混合云管理

4、混合云的应用场景

本文是《云计算网络极速入门》三部曲：

《云计算网络极速入门-虚拟机网络》
《云计算网络极速入门-容器网络》
《云计算网络极速入门-混合云网络》

的最后一篇。

1、混合云组网技术

1.1、WAN

前面两篇文章我们一直在介绍LAN（局域网），不管是vLAN，还是vxLAN。与其相对应的是WAN，广域网。WAN是一种更大地理范围的计算机网络，它跨越省、市甚至国家、洲际。举个例子，某集团企业的总部设在亚洲，在北美、非洲、欧洲都有分部。那么，各分部本地的网络，可以看作是一个局域网（LAN）。而整个集团企业的网络，就是一个广域网（WAN），如图1所示。

图1 集团企业WAN

混合云本质上也是WAN，除了上面集团企业的例子，混合云还可以是自建IDC LAN和公有云中VPC互联的WAN、同一公有云中不同VPC互联的WAN，甚至是不同公有云VPC之间互联的WAN。

混合云中不同LAN之间的互联要穿越较长的物理空间距离，会面临复杂的网络环境，在安全性和性能上都会面临较大的挑战。从技术角度来讲，混合云网络互联（接入）有物理专线和VPN两种。物理专线独占物理网络带宽，性能能得到保障，但费用比较高；VPN则大部分采用公共网络，比如LTE\5G\互联网，通过加密技术在其中建立私密的安全通道，费用比较低，但性能可能无法得到保障。下面，将分布针对VPN和BGP专线进行简单介绍。

1.2、VPN

VPN，Virtual Private Network，虚拟专用网络。其实就是在正常的物理连接基础上，虚拟出了一个专用通道，从而保证通信的隔离和保密。这个物理连接，既可以是MPLS专线网络，也可以是Internet互联网络。

根据加密协议不同，VPN通常包括IPSec-VPN和SSL-VPN两种，如图2所示。

图2 VPN两种连接模式

IPSec-VPN

IPSec-VPN 简单来说就是采用IPSec协议来实现远程登录的一种VPN技术，IPSec协议是IETF（Internet Engineer Task Force）制定的安全标准，是一个范围广泛、开放的虚拟专用网安全协议，它提供第3层（网络层）上的数据保护，提供透明的安全通信。

SSL-VPN

SSL-VPN 简单来说就是采用SSL协议来实现远程登录的一种新型VPN技术，它为第7层应用程序提供第6层加密服务，并通过客户端上的本地重定向隧道传输其他TCP协议。值得一提的是，SSL 协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSL-VPN就可以免于安装客户端，简化了客户端的操作。因此，SSL-VPN被认为最适合于普通终端访问VPC。

由于IPSec-VPN运行在3层网络，而SSL-VPN运行在6层网络，从效率及兼容性来说，VPC和VPC之间的加密连接更适用IPSec-VPN。所以，目前IPSec-VPN模式主要实现服务端节点间的加密连接，而SSL-VPN主要完成个人移动端到服务端节点间的加密对接。

1.3、BGP

混合云中不同LAN之间的互联大概率要通过运营商网络，但在国内，运营商互联一直存在性能问题，联通访问电信相当于你访问了一下国外网站一样，对网络访问速率有很大影响，如果混合云中不同的LAN之间通过运营商网络进行互联，速率问题将会给混合云上的应用的部署策略及调度带来严重困扰，BGP专线可以较好的解决这个问题。

普通专线是指依托国内骨干网及宽带城域网资源，提供专线接入方式，满足企业集团客户接入Internet地市互联网络、开展各种应用的业务。普通专线一般特指国内某一运营商的互联网络，单线专线是指仅支持联通、电信或者移动线路，如电信单线，只有电信用户访问速度快，其他运营商的访问速度就没有那么好。双线专线是指连接两个运营商的互联网络，三线专线则是三个运营商网络均已接入的互联网络。

BGP（Border Gateway Protocol，边界网关协议）是在TCP 上运行的一种互联网AS（自治系统）的路由协议。BGP线路简单来说就是将电信、联通、移动等多家运营商的网络融合在一起的线路，融合为一个IP地址，路由器根据相关数据进行解析，选出最快的线路反馈回去，以实现不同线路之间的互联互通。

电信、联通、移动等运营商都具有AS号（自洽系统号），全国各大网络运营商多数都是通过BGP协议与自身的AS号来互联的。使用此方案来实现双线路或多线路需要在CNNIC（中国互联网信息中心）申请IDC自己的IP地址段和AS号，然后通过BGP协议将此段IP地址广播到电信、联通、移动等其它的网络运营商，使用BGP协议互联后运营商的所有骨干路由设备将会判断到IDC机房IP段的最佳路由，以确保多运营商之间的高速访问。

BGP解决了不同运营商互联的“中间1公里”问题，它具有如下优势：

1、服务器只需要设置一个IP地址。最佳访问路由是由网络上的骨干路由器根据路由跳数及其他技术指标来确定的，不会占用服务器的任何系统资源。服务器的上行路由与下行路由都能选择最优的路径，所以能真正实现高速的单IP多线访问。

2、由于BGP协议本身具有冗余备份、消除环路的特点，所以当IDC服务器有多条BGP互联线路时可以实现路由的相互备份，在一条线路出现故障时路由会自动切换到其他线路。

3、使用BGP协议还可以使网络具有很强的扩展性，可以将IDC网络与其他运营商互联，轻松实现单IP多线路，做到所有互联运营商的用户访问都很快，这个是多IP线路无法比拟的。目前大型互联网企业，主流云服务商自建网络并与多方实现BGP互联已是大势所趋。在混合云应用中通过BGP缓解不同VPC之间的访问速率问题已经是一种通用做法。

1.4、SD-WAN

有了以上关于WAN、VPN、BGP等基础概念介绍后，我们就可以正式介绍混合云组网的最主要技术：SD-WAN。

参考SDN概念，所谓的SD-WAN即“SD-WAN是将SDN技术应用到广域网（WAN）场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络，包括企业的分支机构以及数据中心"，简单来说，就是SDN+WAN。SD-WAN是一种可以快速部署的、低成本高灵活性的广域网解决方案。

虽然在很多咨询报告或者厂家解决方案中，SD-WAN常常被限定在企业分支机构互联的组网场景中。但是，基于SD-WAN的定义，实际上SD-WAN的应用场景可归纳为三类：企业互联，数据中心互联及云互联场景。SD-WAN的应用场景如图3所示。

图3 SD-WAN的应用场景（来自百度百科）

企业互联SD-EN（SDN based Enterprise Network）关注的是用户侧的WAN连接，为企业总部、分支机构跨广域网的连接提供高效的基于SDN的解决方案。数据中心互联SD-DCI（SDN based DataCenter Interconnection ），指的是为企业的多个数据中心，或者企业办公机构与数据中心之间建立的基于SDN的解决方案。云互联SD-CX（SDN based Cloud Exchange）则更多的关注应用侧的WAN连接，为公有云、私有云以及越来越丰富的混合云应用提供高效的基于SDN的解决方案。

图4就是基于SDN的SD-WAN的通用架构图：

图4 SD-WAN的通用架构图

从图上可以看到，整个网络架构的躯干，其实还是互联网和MPLS专线。但是，在架构之上，多了一个SD-WAN控制器。这个控制器，就是SD-WAN的管理控制核心。

在各个LAN节点，多了一些uCPE和vCPE这样的东西。CPE是Customer Premise Equipment的缩写，业内称之为“客户终端设备”，是连入网络的一个接口盒子（可以理解为一个小路由器）。uCPE是Universal CPE（通用客户端设备）。vCPE是Virtual CPE（虚拟客户端设备）。

管理员可以通过应用层接口对SD-WAN控制器进行配置，也可以下发vFW（虚拟防火墙，Firewall）、vWOC（虚拟广域网优化控制器，WAN Optimization Controller）功能到CPE，实现相应的功能，而无需专门购买硬件。

SD-WAN的普及极大改变了WAN的组网和使用模式：

1、接口通吃，负载均衡

SD-WAN不再强制只允许使用MPLS，而是允许MPLS、xSDL、PON光纤宽带、4G LTE，甚至5G等多种连接类型。CPE可以支持多种接口的绑定，从而变成了一个接口资源池。同时，借助软件能力、某些设备商的CPE可以识别上千种不同应用的等级，并安排不同的服务质量。比如针对视频会议，对网络质量要求更高，就把优先级和QoS设得高一点，而文字聊天啥的，就设得级别低一点，让它用LTE之类的网络。这样一来，企业用户对MPLS专线的依赖大大降低，普通光纤宽带和4G也能派上用场。用户的带宽利用率提升了，流量成本也下降了。

2、自主选择最佳路径

WAN广域网技术的关键，其实在于路径选择。对于不同的分支机构，SD-WAN可以根据现网情况和配置策略，自主选择最佳路径。同时，SD-WAN还具备负载均衡的能力，以此来增强网络的可靠性。

3、部署简单，秒速完成

在评价SD-WAN的部署速度时，人们会反复提到一个词，叫做ZTP，也就是Zero Touch Provisioning（零接触部署），简单来说就是“即插即用”。

除了CPE上电后自动获取配置之外，还可以用扫码配置或邮件配置的方式。以邮件部署方式为例。在部署SD-WAN时，总部的IT工程师只需要提前做好配置数据，然后将配置通过邮件的方式，发给分公司的任何员工，该员工即可通过链接，完成设备的配置部署，而不再需要专业IT人士到场进行配置安装，极大提高了方便性和快捷性。

4、自管自控，智能运维

SD-WAN具有SDN的基因，所以在网络的管理上拥有先天的优势。但凡是SD-WAN的管理平台，都是图形可视化的。管理员可以清楚地通过网管界面看到SD-WAN的运行情况，并及时对出现的问题进行处置。这就大大降低了维护的难度，也减少了故障的处理时间。

综上所述，SD-WAN的好处就是省钱又好用。根据测算，同比例带宽情况下，SD-WAN相较纯粹使用MPLS，每年至少可节省30%的成本投资。因此也有人戏称SD-WAN是“Save Dollars（省钱）-WAN”。随着企业新兴业务的爆发以及迅速增长，以昂贵的MPLS专线为主的传统广域网难以支撑企业WAN的流量激增，SD-WAN逐渐成为云时代企业总部与各分支站点互联的首选。

2、混合云组网方案

对一个跨国大型集团企业来说，其网络需求非常多样，既有分支机构和总部的互联需求，也有个人移动办公和各个分支机构/总部的连接需求，所面对的组网环境十分复杂，这时候，就需要综合利用VPN网关+ WAN高速通道组合来构建跨国混合云，如图5所示。

图5 大型跨国企业组网架构

图上的WAN高速通道是依托于运营商优质的全球骨干网络，在BGP协议基础上构建的数据传输通道，用于不同网络间进行安全可靠的内网通信，可以认为就是虚拟的企业专属网络。通过这个企业专属网络，将企业所有的云上数据中心、云下自建IDC和专线接入点都连接起来，从而形成一个高速网络。

图中的WAN高速通道提供两种连接方式，第一种为云下IDC接入到云上的VPC，实现了混合云构建；第二种为多个云上VPC之间互连。IDC首先通过运营商专线接入到云服务商的专线接入点，专线接入点再通过云服务商的自建骨干网回源到region。

从上图中可以看到，VPN网关和WAN高速通道并不是对立关系，只是特点不一样，适用场景不一样，它们可以做互相备份也可以做融合。我们可以在大型网络上各取所长，跨地域用高速通道来降低线路延迟，本地接入用VPN接入，利用VPN低成本解决最后一公里接入问题。

3、混合云管理

混合云的管理主要依赖于多云管理平台（CMP， Cloud Management Platform），CMP在整个混合云计算技术体系中的地位如图6所示。

图6 CMP在混合云中的作用

CMP是一种管理公有云、私有云和混合云环境的整合性产品，图7是一个典型CMP的整体架构，底层的多云管控接口（云适配器）对接不同形态的云实例，并负责提供CMDB、权限管理、统一计量等元数据接口，通过API提供给中间的业务层使用。业务层提供自助服务、运维运营管理、容灾备份、安全合规等用户操作逻辑。最上层是统一的用户入口，可以被第三方运维运营平台集成，其灵活的前端框架和标准的API也可以实现对第三方功能应用的集成。

图7 CMP整体架构

从图7上可以看出，CMP的特点就是大而全，几乎囊括了云计算管理的方方面面，这也是目前CMP发展的主流趋势。

HashiCorp出品的Terraform是一个流行的开源CMP产品，它的口号是 "Write, Plan, and create Infrastructure as Code", 即“基础架构即代码”，支持使用配置文件描述单个应用或整个数据中心。Terraform 试图抽象化基础架构模型，屏蔽各云之间的IaaS具体差别，它几乎可以支持所有市面上能见到的私有云（vCenter、Docker）产品和公有云服务（AWS、Azure、阿里云、华为云...）。以华为云为例，通过Terraform可以轻松的创建、管理、删除华为云资源，并对其进行版本控制。图8就是使用Terraform管理华为云资源的一个典型示例：

图8 Terraform编排华为云资源

从上图可见，相比较 Chef, Puppet, Ansible这些软件配置工具，Terraform 提供的是软件配置之前，软硬件（基础）资源构建的问题。

4、混合云的应用场景

企业花费大力气搞混合云，无非应对如下几种应用场景：

灾备

灾备是企业数据安全的强需求，这里的数据安全是指数据完整性不被破坏。通常企业自建IDC（私有云）在时间维度的快照备份上非常充分，但由于自建IDC的地域局限性，其在数据物理地域安全性方面存在明显缺陷。而这却是公有云的强项，因为公有云地域机房在选址上考虑得比较周全，都会避开自然灾害（如火山、地震、洪水等）易发地。所以，公有云异地备份就成为企业数据安全的首选应用。

弹性算力调度：资源按需使用，降低总体成本

对外服务的行业，典型如互联网行业、游戏行业，通常有众多用户，平时自建IDC（私有云）的算力能满足服务需求，但在特殊时期，比如“双11”大促、新游戏开服、热点事件发生等，会有大量用户涌入，此时自建IDC（私有云）无法满足服务需求，会导致排队严重，降低用户体验，甚至丢失用户。但平时又不能事先在私有云里购买服务器补齐算力，一是无法预测用户数量，二是这些服务器平时用不上，导致持有无谓的成本。

而公有云的算力有两个明显优点，是对这种场景的完美补充：

资源按需分配和释放，按需消费，只有使用成本，无持有成本。
资源海量性，公有云一般会维护巨大的资源池来保障消费者随时都能分配到资源。

所以，企业要做的就是微调业务架构，将过量的算力调度到公有云，当流量高峰过后释放资源。

法律合规

根据国家法律法规规定，一些敏感数据不能上云，这部分数据必须存储在企业自建IDC（私有云）中。

成本控制

公有云资源的价格呈现逐年下降的趋势，而企业自建持有IT设备的维护成本则比较高。此外，自从AWS出现之后，公有云在近十几年获得长足的发展，无论是产品丰富程度还是性价比都要远超私有云，也是各大云计算厂商重点发力的领域。因此，在无法抛弃现有私有云架构的情况下，通过混合云形式拥抱公有云、享受公有云的技术红利成为很多企业的必然选择。如果能够合理利用混合云架构，可以有效控制企业的IT资产投入。

附，参考文献：

《Linux开源网络》
《Docker 容器与容器云》
《软件定义网络 SDN与OpenFlow解析》
《混合云架构》
《深度探索Linux系统虚拟化》

最后——

我把十几年的经验总结起来，出了本书，叫做《微服务治理：体系、架构及实践》，大家如果感兴趣可以关注一下。

————————————————
版权声明：本文为CSDN博主「LongLongRiver」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/longlongriver/article/details/119296019

云计算网络极速入门-混合云网络相关推荐

网络介绍＞网络连接＞混合云网络
混合云网络更新时间:2020-03-10 16:38:23 本页目录对比随着云计算的普及,企业逐渐将数据中心的业务应用迁移上云.过去以IDC为中心的星形网络结构,正在演进到以云为中心的混合云网络 ...
云计算网络极速入门-虚拟机网络
云计算网络极速入门-虚拟机网络本文是<云计算网络极速入门>三部曲: <云计算网络极速入门-虚拟机网络> <云计算网络极速入门-容器网络> <云计算网络极速入 ...
混合云网络怎么组网搭建？
1 什么是混合云云计算技术发展到现在,已经形成了两种主要的形态:公共云和专有云,它们分别有各自的优势.专有云能够对数据的安全性和服务质量进行最有效的把控,企业选择专有云是基于自身信息化建设的考虑,构 ...
Java网络编程入门，包含网络相关概念、InetAddress类、套接字Socket、网络上传和下载文件等
Java学习-11-韩顺平老师 Java-网络编程入门目录: 01-网络相关概念 02-InetAddress类 03-套接字Socket 04-网络上传和下载文件 05-UDP网络编程网络编程相 ...
云计算的台前幕后 ——微云网络
云计算,分布式计算技术的一种,其最基本的概念,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经搜寻.计算分析之后将处理结果回传给用户. 云计算并不是真实的 ...
云网络十年：探路者阿里云的理想和坚持
简介: 转载自CSDN:专访阿里云网络产品线负责人,阿里云智能研究员祝顺民(花名江鹤)和阿里云资深产品专家吴天议. 近日,阿里巴巴发布强劲财季业绩后,高盛.摩根大通等多家机构上调阿里云估值至千亿美元以 ...
为云原生而生 DeepFlow破解混合云时代网络监控难题
顺应技术发展趋势和客户应用需求变化,DeepFlow构建了全链路监控. 出品 | 常言道作者 | 丁常彦近年来,随着云计算应用的持续深入,多云混合已经成为企业应用的新常态:以容器.微服务.K8S为 ...
混合云时代，华云网络的“驭云术”
随着虚拟化.云原生等新技术的快速发展,企业数据中心基础设施也发生了翻天覆地的变化,开始从传统架构全面转向云架构,这让混合云架构被越来越多的企业所认可并采用. 但在此过程中,其应用和运维的复杂性和多样性 ...
阿里云混合云开放网络生态的探索与实践
简介:2022年F5多云应用服务科技峰会于4月正式召开.阿里云智能混合云平台高级网络架构师张然(然犀)应邀于合作伙伴生态专场分享了阿里云混合云在开放网络生态领域的探索与实践. 2022年F5多云应用服 ...

云计算网络极速入门-混合云网络

1、混合云组网技术

1.1、WAN

1.2、VPN

1.3、BGP

1.4、SD-WAN

2、混合云组网方案

3、混合云管理

4、混合云的应用场景

云计算网络极速入门-混合云网络相关推荐

最新文章

热门文章