高性能云网关，打通云内外业务互通的任督二脉

摘要：华为云Stack L2BR/L3GW服务采用硬件设备作为网关，充分发挥硬件的优势，给客户云上云下业务互通提供了高性能，低时延，灵活组网，灵活配置，稳定可靠的能力。

本文分享自华为云社区《【华为云Stack】【大架光临】第5期：高性能云网关，打通云内外业务互通的任督二脉》，作者：华为云Stack网络架构师姚博，华为云Stack网络技术专家朱娜。

一、业务场景

客户本地数据中心的业务部署形态，经历了使用传统物理服务器、虚拟化、云服务等多种不同的产品形态，并且这几种形态由于客户业务运行的需要，会存在相当一段时间的并存阶段。由于云计算能够为客户提供高效的业务部署能力、按需的扩容能力和多部门的资源共享能力等，并且为客户业务创新和组织整合提供了强大的技术基础，所以云计算经过了十几年的发展，技术理念上基本获得了客户的认可，并且现在政企云场景，客户业务上云成为一种趋势，甚至是KPI的考核。

企业业务上云是一个渐进的过程，在这个过程中，会存在部分业务部署在云上，部分业务部署在非云形态的传统物理机上，也就是说企业的业务网络是覆盖云上云下的混合组网；在这种业务场景下，云平台需要提供一种传统的物理underlay网络和云上的虚拟overlay网络互通的能力，比如L2/L3互通，技术上来说，是能够提供云平台可控的L2BR/L3GW网元。

二、技术难点和关键需求

现有的方案是通过在X86或ARM服务器上部署软网元来实现云内云外L2/L3的流量打通，这种方案在友商中使用的比较多，具有不依赖硬件的优势，但是存在性能低、成本高等问题需要优化。企业的业务多种多样，不同的业务对于云平台提供的网络互通能力有不同的要求，关键业务对L2BR/L3GW有了更多要求：

高带宽/低成本：比如在数仓备份业务的场景下，把云上的数据备份到云下的NBU Media Server，备份出口带宽高达500Gbps；通过服务器构建的软网元L2BR/L3GW，需要数十个网元才能组成一个高带宽的集群，成本高，并且集群规模有上限，到达瓶颈后，无法再扩容了，满足不了业务带宽持续增长的诉求；还有就是集群规模变大后，引入了管理和维护复杂的问题；

图1 数仓备份业务使用场景

低时延/高扩展：比如云平台提供的分布式数据库同城双活高可靠场景，数据库集群跨AZ部署，集群内实时备份，集群同时对云下客户端提供服务，高负载情况下，时延要求低于2ms；而在提供了低延迟的同时，还要提供L2BR/L3GW多集群的调度能力，以及集群整体故障的流量迁移调度能力。通过服务器构建的软网元L2BR/L3GW，端到端链路上变长，时延较大，并且时延随着负载变大而增大，满足不了这种稳定的低时延要求。

图2：数据库高可靠低时延场景

灵活物理组网：云上云下互通，必然会经过一个网关节点，一边接入云上的overlay网络，另一边接入数据中心underlay网络，由于不同数据中心部署环境不同，网关的组网要求也不同，常见的有堆叠组网，VRRP组网，双活口字型组网以及双活交叉组网；通过服务器构建的软网元L2BR/L3GW，组网上有额外限制，vlan需要延伸到多个TOR，这对于物理网络配置要求较高的客户来说不可接受。

图3：数据中心常见组网分类

硬件设备利旧：对于金融行业客户以及部分政企行业客户，由于其业务的重要性，以及使用习惯和技术栈等原因，偏好使用成熟稳定的硬件设备来承担云上网络服务的职责，基于客户已购的设备资产，使用硬件设备做L2BR/L3GW网关，相比于服务器，物理组网不仅更简单，成本也更低。

三、适配政企的网络互通方案

华为云Stack一直致力于给企业客户提供本地最优的云基础设施以及云服务，基于客户业务云上云下L2/L3互通的诉求，华为云Stack 基础服务 L2BR/ L3GW云网关服务，采用硬件交换机作为网关转发面实现，完美满足上述的高性能、低时延、低成本、灵活组网、弹性扩展的诉求，并且维护简单，转发稳定。

L2BR是高速、低时延、稳定安全的专属二层连接通道，用于满足传统业务迁移上云过程中，要求业务IP地址不变的诉求。从逻辑上看，L2BR服务把云内的子网延伸到云外，对于那些不能一次全部迁移到云上，同时覆盖云上云下的业务非常重要，这类业务使用L2BR服务，不仅可以保留子网，还可以保留IP地址，上云的时候，与它交互的其它客户端不需要做任何修改，云外的网络或者安全配置也不需要调整，上云变得简单易行。

L3GW是高速、低时延、稳定安全的专属三层连接通道。三层组网相比二层组网，广播域小，灵活性高，因此，云上云下三层互通是业务上云过程中的普遍诉求。

图4：L2BR/L3GW使用场景

L2BR/L3GW云服务架构简介

L2BR/L3GW服务有独立的Console便于用户自助使用，编排层调用管理层提供的API下发配置，控制层有独立的device manager管控L2BR/L3GW交换机，device manager里scheduler模块用于在不同的网关节点上做调度，可以满足故障场景的高可靠；manager模块用于和交换机交互。数据层通过L2BR/L3GW交换机连接云内和云外网络。

图5：L2BR/L3GW整体架构

L2BR/L3GW云服务设计关键点

1. 灵活物理组网以及丰富的路由协议

网络管理员除了分配物理网络资源，还可以自定义L3GW的组网，满足个性化需求；L3GW和PE之间路由互通，可以使用静态路由配置，也可以使用BGP动态学习和通告路由。

2. 高带宽低时延

除了硬件设备带来的高带宽低时延，云外资源通过L2BR/L3GW和云内服务器互通一跳直达，在云内不会经过其它集中式网关，保证最优的带宽和时延。另外，处理器的性能至关重要，使用华为自研的设备做L2BR/L3GW的网关，相比带宽和同等数量服务器实现的网关，性价比提升60倍。

3. 弹性扩容

随着云计算的普及，云上业务规模越来越大，对L2BR/L3GW的规格要求也会越来越高，因此，L2BR/L3GW在设计时就考虑了弹性扩容的诉求。大规模场景下，客户可以按需扩容多组L2BR/L3GW网关，不同的L2BR/L3GW网关给不同的VPC提供服务。有了弹性扩容能力，还可以支持数据中心有多个网络分区的企业客户，要求接入不同网络分区时物理设备隔离以及带宽独享，在这种场景下可以使用不同的L2BR/L3GW设备的网关来接不同的网络分区，云上的单个VPC同时接入这些网络分区。通过L2BR/L3GW网关多集群可以提供高达72T带宽能力，并且可以持续提升。

L2BR/L3GW云服务南向开放生态设计考虑

避免厂商锁定一直是企业IT要解决的重要问题，企业客户在选择云厂商的时候，希望可以灵活的选择不同供应商的设备来降低风险。

我们注重开放生态建设，和生态伙伴一起携手，更好的服务客户。华为云Stack将推出云网络南向生态框架，集成第三方设备，L2BR/L3GW服务不再依赖华为CloudEngine交换机，而是可以采用第三方厂商的交换机来给客户提供相同的功能和体验。

云网络南向生态框架提供了以标准化的接口快速对接不同第三方厂商设备的能力：

框架定义了南向集成第三方设备的标准协议和API，不同的厂商的硬件设备控制器以相同的方式对接框架。
框架提供了南向SDK，厂商基于南向SDK开发硬件设备控制器，便于厂商自主验证测试，降低对接难度。
框架提供了通用的北向标准API，可以灵活扩展模型，基于硬件设备提供更多的服务。

L2BR/L3GW云服务的易用性

L2BR/L3GW云服务是用于连接传统物理网络的，物理网络离不开网络管理员的规划和管理，因此L2BR/L3GW设计时充分考虑了网络管理员和业务人员的角色划分和职责分工，在使用上采用基于角色的分权控制，由网络管理员规划和分配云上云下边界互联设备的IP资源以及VLAN资源，授权给业务人员使用，这样对于网络管理员来说，既可以做到网络统一规划，防止网络冲突，也可以强管控云平台出口流量，合理规划网络带宽；对于业务人员来说，又不用学习复杂的网络知识，只需要基本的网络基础也可以使用L2BR/L3GW服务。

图6：管理员在运维Console上配置和分配L2BR网络资源

图7：管理员在运维Console上配置和分配L3GW网络资源

图8：业务人员在运营Console上使用L2BR服务

图9：业务人员在运营Console上使用L3GW服务

四、写在最后

华为云Stack L2BR/L3GW服务采用硬件设备作为网关，充分发挥硬件的优势，给客户云上云下业务互通提供了高性能，低时延，灵活组网，灵活配置，稳定可靠的能力。L2BR/L3GW以其强大的功能以及简单易用等优势，在政务、金融、医保等诸多行业得到了普遍的使用。未来，华为云Stack通过南向生态框架，集成第三方厂商设备，构建开放生态，满足客户的个性化需求，把L2BR/L3GW持续做强，为客户业务平滑上云提供保障。

点击关注，第一时间了解华为云新鲜技术~