華為云Stack基礎(chǔ)網(wǎng)絡(luò)云服務(wù)基于國內(nèi)政企市場的豐富客戶經(jīng)驗積累，深入理解客戶業(yè)務(wù)上云過程中對于云網(wǎng)絡(luò)的訴求，提供了一系列以客戶網(wǎng)絡(luò)為中心、以客戶習(xí)慣為中心、以客戶業(yè)務(wù)為中心的網(wǎng)絡(luò)服務(wù)和能力。

云資源池網(wǎng)絡(luò)平滑對接數(shù)據(jù)中心網(wǎng)絡(luò)

企業(yè)IT云化過程中，云資源池只是數(shù)據(jù)中心的一部分，華為云Stack的網(wǎng)絡(luò)部署架構(gòu)可以平滑接入到數(shù)據(jù)中心內(nèi)，和數(shù)據(jù)中心網(wǎng)絡(luò)無縫集成，并且云上云下網(wǎng)絡(luò)互通可以靈活匹配不同分區(qū)網(wǎng)絡(luò)規(guī)劃。

使用L3GW服務(wù)實現(xiàn)客戶云上云下一張網(wǎng)

客戶業(yè)務(wù)上云是一個漸進的過程，在這個過程中，客戶的網(wǎng)絡(luò)是覆蓋云上云下的混合組網(wǎng)，對于政企客戶來說，傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)模比較龐大，一般會分多個物理網(wǎng)絡(luò)分區(qū)，連接不同的網(wǎng)絡(luò)：

? 數(shù)據(jù)中心互聯(lián)區(qū)，用于同城跨數(shù)據(jù)中心互聯(lián)；

? 廣域網(wǎng)接入?yún)^(qū)，接入企業(yè)骨干網(wǎng)，用于異地多數(shù)據(jù)中心互聯(lián)；

? 互聯(lián)網(wǎng)接入?yún)^(qū)，用于連接公網(wǎng)；

? 外聯(lián)網(wǎng)接入?yún)^(qū)，用于公司的合作伙伴接入。

每個業(yè)務(wù)根據(jù)服務(wù)的對象不同而要求接入不同的網(wǎng)絡(luò)分區(qū)，有的業(yè)務(wù)只接入一個網(wǎng)絡(luò)分區(qū)，有的業(yè)務(wù)會接入多個網(wǎng)絡(luò)分區(qū)。這些業(yè)務(wù)上云之后，對外提供的服務(wù)不會變化，連接網(wǎng)絡(luò)分區(qū)的訴求也不會變化，而客戶云下物理分區(qū)的組網(wǎng)和配置是全局規(guī)劃的，不能因為業(yè)務(wù)上云后適配云平臺的組網(wǎng)和外部網(wǎng)絡(luò)類型而調(diào)整云下的組網(wǎng)，造成云下網(wǎng)絡(luò)管理和云平臺網(wǎng)絡(luò)管理有明顯的差異，加大了網(wǎng)絡(luò)管理和維護的難度。

華為云Stack網(wǎng)絡(luò)L3GW服務(wù)，可以實現(xiàn)云上云下一張網(wǎng)，云上的業(yè)務(wù)網(wǎng)絡(luò)通過L3GW服務(wù)作為一個業(yè)務(wù)區(qū)平滑的接入到傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)，保證客戶數(shù)據(jù)中心現(xiàn)有的網(wǎng)絡(luò)架構(gòu)無需改動。

圖1 通過L3GW服務(wù)實現(xiàn)云上云下業(yè)務(wù)一張網(wǎng)

承載L3GW服務(wù)的L3GW網(wǎng)關(guān)作為云上云下互通的邊界網(wǎng)關(guān)，一邊連接客戶數(shù)據(jù)中心傳統(tǒng)網(wǎng)絡(luò)，一邊連接云上的 虛擬網(wǎng)絡(luò) ?？紤]到客戶數(shù)據(jù)中心的組網(wǎng)方式多種多樣，L3GW支持多種組網(wǎng)方式，比如堆疊組網(wǎng)、VRRP組網(wǎng)、雙活口字型組網(wǎng)以及雙活交叉組網(wǎng)等，這幾種組網(wǎng)下云平臺L3GW服務(wù)都能實現(xiàn)L3GW網(wǎng)關(guān)的配置 自動化 下發(fā)，另外還支持客戶自定義組網(wǎng)，滿足客戶個性化訴求，實現(xiàn)客戶數(shù)據(jù)中心網(wǎng)絡(luò)不需要改造，也可以使用L3GW服務(wù)。對于自定義組網(wǎng)，虛擬網(wǎng)絡(luò)的配置也是云平臺L3GW服務(wù)自動化下發(fā)的，客戶只需要配置自定義部分的網(wǎng)絡(luò)即可。

傳統(tǒng)業(yè)務(wù)上云，網(wǎng)絡(luò)規(guī)劃方案不變

華為云Stack可以支持業(yè)務(wù)上云后，網(wǎng)絡(luò)管理員繼續(xù)使用上云前的網(wǎng)絡(luò)規(guī)劃和配置習(xí)慣，平移上云。

使用VPC服務(wù)實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)平移上云

VPC是華為云Stack提供的云上的安全隔離的虛擬私有網(wǎng)絡(luò)，可以理解成傳統(tǒng)物理網(wǎng)絡(luò)的虛擬版本：

? 它是一個完全由客戶自己掌控的網(wǎng)絡(luò)，包括子網(wǎng)配置，網(wǎng)關(guān)配置，路由配置等，通過VPC實現(xiàn)業(yè)務(wù)東西向互通訴求；

? 它支持豐富的連接，可以連接到其它VPC，也可以連接到客戶本地數(shù)據(jù)中心，也可以連接到其它Region的VPC，由客戶按需定制，通過豐富的連接實現(xiàn)業(yè)務(wù)南北向通信訴求；

? 它也是一個安全隔離的網(wǎng)絡(luò)，安全隔離能力可以做到和傳統(tǒng)網(wǎng)絡(luò)設(shè)備vlan隔離級別一樣。

客戶云上的業(yè)務(wù)都是運行在VPC里，云上業(yè)務(wù)使用的VPC分兩種場景，一種是大量小規(guī)格的VPC，另一種是少量大規(guī)格的VPC。大量小規(guī)格VPC場景，是類公有云的一種用法，各個業(yè)務(wù)部門有自己的賬號，自助在云上申請根據(jù)業(yè)務(wù)類型申請VPC和自定義VPC網(wǎng)絡(luò)，云的特點天然能支持這種多VPC的場景。比較有挑戰(zhàn)的是少量大規(guī)格VPC的場景，這種場景是企業(yè)客戶由于傳統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)分區(qū)規(guī)劃方式，固有組織流程，合規(guī)要求等因素，希望業(yè)務(wù)平移上云的普遍訴求。

如上文所說，傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)一般會分多個物理網(wǎng)絡(luò)分區(qū)，有數(shù)據(jù)中心互聯(lián)區(qū)、廣域網(wǎng)接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)。網(wǎng)絡(luò)管理員根據(jù)業(yè)務(wù)規(guī)模以及增長趨勢預(yù)先給每個分區(qū)規(guī)劃獨立的網(wǎng)段池子，業(yè)務(wù)上線的時候，網(wǎng)絡(luò)管理員基于業(yè)務(wù)的互通訴求從對應(yīng)的分區(qū)網(wǎng)段池子下分配子網(wǎng)給業(yè)務(wù)使用，而不用感知業(yè)務(wù)類型給每個業(yè)務(wù)預(yù)先規(guī)劃網(wǎng)段池子。

業(yè)務(wù)上云后，為了保留這種網(wǎng)絡(luò)管理方式，云上的VPC根據(jù)網(wǎng)絡(luò)分區(qū)規(guī)劃，比如規(guī)劃成內(nèi)網(wǎng)VPC，互聯(lián)網(wǎng)VPC，外網(wǎng)VPC等，每個VPC里的子網(wǎng)劃分還是保留上云前的分配方式，那業(yè)務(wù)規(guī)模的大小決定了VPC子網(wǎng)規(guī)格，以及VPC下IP個數(shù)。以內(nèi)網(wǎng)VPC舉例，假設(shè)網(wǎng)絡(luò)管理員規(guī)劃的內(nèi)網(wǎng)網(wǎng)段為1個B類地址，每次分配給業(yè)務(wù)使用為24位掩碼子網(wǎng)，那么內(nèi)網(wǎng)VPC下的子網(wǎng)個數(shù)為256個，可用IP個數(shù)高達6w左右。云上VPC要能支持大規(guī)格子網(wǎng)和大規(guī)格IP才能滿足客戶保留網(wǎng)絡(luò)管理習(xí)慣，業(yè)務(wù)平移上云。

VPC下子網(wǎng)和IP個數(shù)越多，云平臺管控面壓力越大，因為同一個VPC下所有IP默認是可以互通，高可用訴求下的業(yè)務(wù)反親和部署，虛機會打散部署在資源池內(nèi)所有主機上，導(dǎo)致VPC內(nèi)不同的IP覆蓋不同的計算節(jié)點，當(dāng)有新的IP分配給業(yè)務(wù)使用后，VPC覆蓋的所有計算節(jié)點都要處理新IP，下發(fā)IP對應(yīng)的ARP表，控制器需要通知所有計算節(jié)點處理新IP上線，控制器的處理數(shù)據(jù)量隨著VPC規(guī)模變大而變大；還有一種考驗控制面性能的場景是虛機 遷移 場景，尤其是虛機并發(fā)遷移到新的主機上，新的主機要下發(fā)VPC下全量子網(wǎng)信息對應(yīng)的路由表項，全量IP信息對應(yīng)的ARP表項，表項越多，耗時越長，遷移導(dǎo)致的網(wǎng)絡(luò)零中斷越難保證。

華為云Stack的 VPC控制器，采用分布式系統(tǒng)架構(gòu)，管控層和數(shù)據(jù)層分離，管控層controller通過狀態(tài)外置到nosql，實現(xiàn)彈性橫向擴容；通過MQ，實現(xiàn)消息分發(fā)和流量削峰；數(shù)據(jù)層通過agent組件接收controller的配置消息，轉(zhuǎn)換成數(shù)據(jù)面的配置，幫助數(shù)據(jù)面屏蔽業(yè)務(wù)信息，讓數(shù)據(jù)面更簡單可靠。controller和agent之間的消息推送采用push-pull機制，controller無需感知agent的狀態(tài)，邏輯簡單；agent減少無效輪詢，配置快速生效。

基于這種軟件架構(gòu)，華為云Stack 單VPC支持的大規(guī)格子網(wǎng)和大規(guī)格IP，可以滿足絕大部分企業(yè)客戶，保留原有的網(wǎng)絡(luò)管理習(xí)慣的訴求，業(yè)務(wù)網(wǎng)絡(luò)平移上云。

使用網(wǎng)絡(luò)ACL服務(wù)解決業(yè)務(wù)安全配置平移上云

數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護必不可少，安全防護一般由安全部門負責(zé)。數(shù)據(jù)中心內(nèi)部是私有環(huán)境，相對安全，業(yè)務(wù)之間互相訪問，通過在硬件防火墻配置ACL規(guī)則防護即可，網(wǎng)絡(luò)管理員給每個業(yè)務(wù)分區(qū)規(guī)劃硬件防火墻，業(yè)務(wù)上線的時候，給安全部門提要求，安全部門根據(jù)業(yè)務(wù)的訴求，在硬件防火墻上配置對應(yīng)的ACL規(guī)則。業(yè)務(wù)下線的時候，再把安全規(guī)則從硬件防火墻上移除。業(yè)務(wù)規(guī)模大的時候，硬件防火墻上配置的ACL規(guī)則會非常多。我們曾經(jīng)遇到一個金融客戶，單個網(wǎng)絡(luò)分區(qū)的硬件防火墻上配置了60w條ACL規(guī)則。

網(wǎng)絡(luò)云化后，相比傳統(tǒng)網(wǎng)絡(luò)，安全邊界發(fā)生變化，云下硬件防火墻規(guī)則需要平移到云上網(wǎng)絡(luò)ACL，基于傳統(tǒng)安全配置管理習(xí)慣，安全規(guī)則跟著業(yè)務(wù)上云，云上提供的網(wǎng)絡(luò)ACL服務(wù)必須支持大量的規(guī)則才能滿足訴求。

云上的網(wǎng)絡(luò)ACL服務(wù)，業(yè)界常見實現(xiàn)方式是分布式，ACL規(guī)則下發(fā)到各個主機上，而不是傳統(tǒng)的集中式的方式。ACL是有狀態(tài)的，ACL規(guī)則越多，新建連接逐條規(guī)則匹配，性能就越低，因此單個ACL實例下規(guī)則數(shù)一般不會很大，大多數(shù)友商都小于200條。這對于業(yè)務(wù)規(guī)模比較大，或者是有安全合規(guī)要求的行業(yè)比如金融行業(yè)是遠遠不夠的。

華為云Stack網(wǎng)絡(luò)ACL服務(wù)，優(yōu)化了網(wǎng)絡(luò)ACL匹配算法，解決了ACL規(guī)則多帶來的新建連接數(shù)低的影響，單個網(wǎng)絡(luò)ACL規(guī)則從200條，提升到1w條，新建連接沒有任何影響。基于這個優(yōu)化，華為云Stack單個網(wǎng)絡(luò)ACL實例支持的ACL規(guī)則數(shù)1w條（按照IP和Port展開計算），業(yè)務(wù)上云過程中，安全配置管理還是保留原有的習(xí)慣，平移上云。

云上業(yè)務(wù)繼續(xù)使用傳統(tǒng)高級網(wǎng)絡(luò)設(shè)備

華為云Stack可以支持業(yè)務(wù)上云后，繼續(xù)使用傳統(tǒng)的高級網(wǎng)絡(luò)設(shè)備，業(yè)務(wù)不需要改造。

使用L2BR服務(wù)集成第三方 負載均衡 器

客戶在傳統(tǒng)數(shù)據(jù)中心部署的業(yè)務(wù)，可能會使用到硬件負載均衡設(shè)備提供的某些特性，而這些特性云平臺提供的負載均衡服務(wù)短期內(nèi)無法支持，這類業(yè)務(wù)上云，如果使用云平臺提供的負載均衡服務(wù)，需要對業(yè)務(wù)進行改造，改造成不使用云平臺不支持的特性，業(yè)務(wù)改造尤其是生產(chǎn)業(yè)務(wù)改造帶來的代價和風(fēng)險是不可預(yù)知的，因此很難落地；還有一種場景，客戶由于使用習(xí)慣、技術(shù)儲備、設(shè)備利舊和已有資產(chǎn)保護等原因，要求云上的業(yè)務(wù)可以繼續(xù)使用傳統(tǒng)的第三方硬件負載均衡設(shè)備。

解決這兩個問題的常見思路是在云上手動部署負載均衡設(shè)備的虛擬化版本，手動部署對客戶的網(wǎng)絡(luò)技能要求很高，并且管理和運維復(fù)雜度大大提升，可靠性也比較低。而華為云Stack IaaS網(wǎng)絡(luò)L2BR服務(wù)支持集成第三方硬件負載均衡設(shè)備，遷移到云上的業(yè)務(wù)還可以像在云下一樣使用傳統(tǒng)的負載均衡設(shè)備，應(yīng)用零改造上云。

圖2 L2BR集成硬件LB應(yīng)用場景

如上圖所示，傳統(tǒng)硬件LB旁掛在L2BR網(wǎng)關(guān)上，硬件LB上配置LB實例提供LB服務(wù)，LB實例所在子網(wǎng)通過L2BR實例接入到云內(nèi)VPC，后端server運行在云上，client可以在云外，也可以在云上。云上多個VPC可以共享硬件LB，也支持跨VPC訪問LB實例。客戶可以根據(jù)業(yè)務(wù)訴求按需靈活組網(wǎng)，既可以使用硬件設(shè)備的高級功能，也可以保持原有的操作習(xí)慣和體驗。

華為云Stack適配政企業(yè)務(wù)上云，充分考慮客戶業(yè)務(wù)上云過程中既可以把網(wǎng)絡(luò)平移到云上，同時又保留原有的網(wǎng)絡(luò)架構(gòu)，操作體驗和習(xí)慣。通過深入理解客戶業(yè)務(wù)和網(wǎng)絡(luò)，設(shè)計匹配政企應(yīng)用的網(wǎng)絡(luò)部署模型和網(wǎng)絡(luò)使用方案，實現(xiàn)客戶網(wǎng)絡(luò)配置從云下到云上的零修改平移，應(yīng)用快速遷移入云；通過集成傳統(tǒng)負載均衡設(shè)備，實現(xiàn)深度特性功能要求，應(yīng)用零改造上云；通過高性能、低時延、低成本的硬件交換機L3GW/L2BR網(wǎng)關(guān)，實現(xiàn)云上云下高速互聯(lián)、云上云下一張網(wǎng)，為客戶數(shù)字化轉(zhuǎn)型極大提升了資源的使用效率和業(yè)務(wù)的運作效率。