概述
本文簡介
本文重點介紹如何?公用雲網路的負載平衡掛載部署在IDC的伺服器,完成IDC伺服器的應用交付網路設計,實現IDC公網出入口上雲,從而快速構建具備Auto Scaling能力的混合雲,以滿足企業的雲化進程。
本文關鍵詞
ALB:阿里雲推出的專門面向HTTP、HTTPS和QUIC等應用程式層負載情境的負載平衡服務,具備超強彈性及大規模應用程式層流量處理能力。ALB具備處理複雜業務路由的能力,與雲原生相關服務深度整合,是阿里雲官方提供的雲原生Ingress網關。並且支援掛載線下IDC伺服器。
NLB:阿里雲面向萬物互聯時代推出的新一代四層負載平衡,支援超高效能和自動彈效能力,單一實例可以達到1億並發串連,幫您輕鬆應對高並發業務。並且支援掛載線下IDC伺服器。
EIP:可以獨立購買和持有的公網IP地址資源。本架構中Elastic IP Address會綁定IPv4網關並映射雲下IDC伺服器,為IDC提供雲上公網訪問能力。
VPC:使用者基於阿里雲建立的自訂私人網路, 不同的專用網路之間二層邏輯隔離,使用者可以在自己建立的專用網路內建立和管理雲產品執行個體,比如ECS、SLB、RDS等。
雲企業網:運行在阿里雲私人全球網路上的一張高可用網路。雲企業網通過轉寄路由器TR(Transit Router)協助您在跨地區專用網路之間,專用網路與本機資料中心間搭建私網通訊通道,為您打造一張靈活、可靠、大規模的企業級雲上網路。
共用頻寬:提供地區級頻寬共用和複用功能。建立共用頻寬執行個體後,您可以將同地區下的Elastic IP Address(EIP)添加到共用頻寬執行個體中,複用共用頻寬中的頻寬,節省公網頻寬使用成本。
Express Connect:一款串連企業資料中心與阿里雲的網路服務,可在企業資料中心與雲上網路之間建立高速、穩定、安全的私網通訊通道。Express Connect的資料轉送過程可信可控,能有效提高網路通訊的品質及安全性。
物理專線:通過物理電纜或光纖串連不同機房的物理線路串連,通常由電訊廠商提供和維護。根據不同的交付形態,串連阿里雲專線存取點機房的物理專線分為獨享物理專線和共用物理專線。
VBR:阿里雲基於軟體自訂網路SDN架構下的三層Overlay技術和交換器虛擬化技術,將物理專線的接入連接埠隔離起來,並抽象成邊界路由器VBR(Virtual border router)。VBR是CPE(Customer-premises equipment)裝置和Virtual Private Cloud之間的一個路由器,作為資料從VPC到本機資料中心IDC的轉寄橋樑。
VBR上連:通過VBR上連實現Virtual Private Cloud和邊界路由器VBR之間的簡單的點到點靜態路由私網互連。
專線網關ECR:全球混合雲專線組網的轉寄服務元件,提供全球範圍專線網路互連、全動態路由組網和統一路由發行管理等功能。例如,您可以通過為專線網關ECR添加VBR,再將ECR綁定至轉寄路由器TR執行個體或為ECR綁定VPC執行個體,實現本地IDC與雲上資源之間的互訪。
NIS:一系列雲上網路AIOps工具集,提供了雲上網路從網路規划到網路營運全生命週期。包括流量分析、網路巡檢、網路效能監控、網路診斷、路徑分析、網路拓撲等功能,協助使用者最佳化網路架構、提升網路營運效率、降低網路營運成本。
CloudMonitor:一項針對阿里雲資源和互連網應用進行監控的服務。
CLB:將訪問流量根據轉寄策略分發到後端多台雲端服務器的流量分發控制服務。CLB擴充了應用的服務能力,增強了應用的可用性。
設計原則
通過負載平衡/雲企業網/Express Connect/共用頻寬/EIP/安全產品等多個產品組合使用,將IDC的伺服器與公用雲網路連接起來,不僅提供了靈活性和可擴充性,還通過各種網路和安全產品保障了企業資料和應用的安全性和可靠性。這為企業上雲提供了一個穩定、高效的過渡網路方案,實現IDC伺服器的整體應用交付網路。
方案如下圖所示:
該架構的設計原則如下:
穩定性:穩定對於公網出入口設計至關重要。企業依賴雲上公網來訪問雲資源和提供服務,如果網路與網元不穩定,它可能導致服務中斷,對業務營運造成影響。對於提供線上服務的企業而言,網元與網路的穩定性直接影響終端使用者的體驗。
安全合規:安全是雲上優勢能力之一。網路安全威脅,如DDoS攻擊、入侵嘗試等,可以危害企業的敏感性資料。雲上公網必須保證安全,以防止資料泄露和濫用。同時許多行業和地區有嚴格的資料保護法律和規定,企業必須確保其網路安全性以符合相關合規要求。
高效效能:彈性是公用雲的重要優勢。企業公網應用,特別是互連網企業的應用訪問量和服務使用模式往往有高峰和低穀。彈性網路與彈性網關(負載平衡)可以根據需求自動縮放資源,處理流量波動,從而保持服務品質。同時能夠帶來成本效益,彈性網路允許按實際使用付費,這意味著企業可以在需求增加時增加資源,在需求減少時減少資源,最佳化成本。
設計關鍵點
穩定性
負載平衡(應用型負載平衡/網路型負載平衡):
相對於傳統的主備模式的CLB,阿里雲ALB、NLB使用多可用性區域部署,某個可用性區域故障時仍能保障業務運行,實現業務高可用性。ALB與NLB採用多層次容災架構設計,通過叢集容災、會話保持、可用性區域多活等機制保障執行個體的可用性。
專線接入(Express Connect):
通過Express Connect產品經過物理專線串連阿里雲POP點和IDC。推薦採用雙專線接入雙阿里雲POP點,雙專線盡量採取不同物理路由/專線供應商,以保證業務穩定性。
Express Connect專線互聯建議採用BGP協議並開啟BFD功能,保證單根專線出現故障時可完成線路倒換和路由快速收斂。基於BFD最快可實現200ms*3的網路中斷檢測時間。
公網入口(Elastic IP Address):
Elastic IP Address建議使用多線BGP(Border Gateway Protocol)類型。通過多線BGP,阿里雲的EIP能夠利用多條線路,確保網路訪問的穩定性,並最佳化網路路徑,以獲得更快的訪問速度和更高的可靠性。多線BGP優點在於,它能夠自動選擇最優的路徑進行資料轉送,當某條線路發生故障或效能下降時,BGP網路會根據網路狀況的即時變化,調整路由策略,轉而使用其他更優的線路,這樣即便是面臨單點故障的情況,也能夠保證服務的連續性和穩定性。
雲內串連(ECR):
VBR與VPC串連推薦採用ECR,ECR採用全動態路由模式,可全鏈路覆蓋,更穩定。同時ECR支援調度最優的轉寄路徑,有效最佳化專線接入的轉寄時延。
安全合規
負載平衡(應用型負載平衡/網路型負載平衡):
NLB支援TCPSSL協議,單雙向認證、可自訂TLS策略。
ALB支援HTTPS協議,單雙向認證、可自訂TLS策略。
安全性群組:NLB/ALB可以加入安全性群組實現黑白名單策略。
VPC的網路ACL:可以支援到私網NLB/ALB VIP的訪問流量過濾。
防禦DDoS攻擊(DDoS防護增強版EIP):
EIP執行個體預設提供不超過5 Gbps的基礎DDoS防護能力。不同地區支援的最大免費防護流量不同。阿里雲提供DDoS防護(增強版)EIP,在購買EIP執行個體時,選擇DDoS防護(增強版)安全防護層級,即可提供Tbps級的專業DDoS防護能力。使用DDoS防護(增強版)EIP,無需額外進行DDoS高防配置,業務IP也無需進行轉換。
Web安全防護(WAF):
公網入口上雲後,建議開啟Web安全防護能力,實現對網站或者App的業務流量進行惡意特徵識別及防護。在對流量清洗和過濾後,將正常、安全的流量返回給伺服器,避免網站伺服器被惡意入侵導致效能異常等問題,從而保障網站的業務安全和資料安全。
如果使用ALB,建議使用WAF 3.0透明模式,透明接入模式只需將需要防護的網站資訊添加到WAF,無需修改網域名稱的DNS解析設定,即可實現WAF防護。
互連網邊界防護(互連網邊界防火牆):
互連網邊界防火牆作用於互連網邊界,對所有公網資產進出流量統一管控防護。可以使用互連網邊界防火牆,精細化管控業務公網資產出入互連網的訪問流量,減少公網資產在互連網的暴露面,降低業務流量的安全風險。
高效效能
負載平衡(應用型負載平衡/網路型負載平衡):
多可用性區域地區,ALB執行個體初始QPS上限值為10萬QPS,不隨著可用性區域的增多而變化。ALB固定IP模式執行個體最大10萬QPS,ALB動態IP模式執行個體會隨著彈性SLA自動擴容,最高可達100萬QPS。
NLB單一實例最大支援1億並發串連和100 Gbps頻寬。NLB無需指定或手動調整NLB的執行個體規格,執行個體效能會隨著業務增減自動Auto Scaling。
NLB、ALB可以跨地區掛載後端伺服器,將NLB/ALB靠近用戶端所在地區部署可以縮短公網接入距離、最佳化網路品質。
公網入口(Elastic IP Address/共用頻寬):
通過配合雲企業網的跨地區能力,可實現多地區不同公網入口接入同地區IDC,從而實現公網就近接入和多ISP覆蓋提高整體公網接入效能。多達89條覆蓋全球的優質BGP線路,享受與淘寶網和天貓網相同層級的BGP多線頻寬。中國內地的每個地區均提供電信、聯通、移動、鐵通、網通、教育網、廣電、鵬博士、方正寬頻等多條線路的直連覆蓋。根據地區情況,共用頻寬最大能提供數百Gbps的頻寬能力。
可以隨時申請和釋放EIP,且可以將其快速綁定到不同的雲下IDC伺服器/網路裝置上。提供了極高的IP地址管理靈活性和業務部署的便捷性。
共用頻寬根據實際需求動態調整頻寬大小,無論是手動還是通過API自動化,都可以快速響應業務流量變化,從而在成本和效能之間取得平衡。如果需要應對突發流量,大頻寬情境下可採取95計費模式,擁有多達5倍的彈性頻寬上限。
專線網關ECR:
專線網關ECR可以調度最優的轉寄路徑,有效最佳化專線接入的轉寄時延。
專線接入(Express Connect):
專線接入連接埠並不具備即時彈效能力,建議根據業務需求提前進行規劃。
可觀測
負載平衡(應用型負載平衡/網路型負載平衡):
ALB/NLB監控:支援串連、頻寬等監控並配置警示。
ALB/NLB動作記錄:可以記錄OpenAPI或控制台等方式操作ALB/NLB的行為,用於回溯。
NLB秒級監控:用於觀測微突發。
ALB訪問日誌:將使用者訪問記錄在Log ServiceSLS中,用於分析使用者行為、瞭解使用者的地區分布、進行問題排查等。
智能營運:
網路智慧型服務 NIS(Network Intelligence Service)支援對公網流量與負載平衡與進行健康分析、效能監控、診斷修複、流量分析和測量模擬的雲端服務,通過整合機器學習、知識圖譜等AIOps方法減少網路使用複雜性,提供自助營運能力,方便網路架構師和營運工程師更快捷的設計和使用網路。
流量分析:
CEN TR企業版和VPC支援流日誌,支援將業務流量通過流日誌形式進行記錄輸出並實現流量的詳細分析。
CloudMonitor:
提供相關雲產品的整體營運/警示/監控能力。
設計最佳實務
四層應用交付(使用NLB)
最佳實務核心架構:
NLB:實現互連網四層業務流量的多可用性區域接入,掛載IDC的伺服器。
ECR+Express Connect:全動態路由設計,專線多存取點接入,IDC和阿里雲之間採用BGP+BFD互聯。
七層應用交付(使用ALB)
最佳實務核心架構:
ALB:實現互連網七層業務流量的多可用性區域接入。
ECR+Express Connect:全動態路由設計,專線多存取點接入,IDC和阿里雲之間採用BGP+BFD互聯。
七層應用交付(NLB+雲上自建七層網關)
最佳實務核心架構:
NLB:實現互連網四層業務流量的多可用性區域接入,掛載雲上同VPC自建七層網關/通過TR掛載其他VPC自建七層網關。
自建網關:實現互連網流量的七層應用處理。
ECR+Express Connect:全動態路由設計,專線多存取點接入,IDC和阿里雲之間採用BGP+BFD互聯。
七層應用交付(NLB+IDC自建七層網關)
最佳實務核心架構:
NLB:實現互連網四層業務流量的多可用性區域接入,掛載IDC的七層自建網關。
自建網關:實現互連網流量的七層應用處理。
ECR+Express Connect:全動態路由設計,專線多存取點接入,IDC和阿里雲之間採用BGP+BFD互聯。
應用情境介紹
互連網應用公網入口彈性:阿里雲網路/網元具備彈性優勢,可以根據業務需求即時調整,企業能夠靈活地增加或減少計算資源和頻寬,以應對流量波動。同時彈性資源分派模式使企業僅需為實際使用的資源付費,有效控製成本,避免資源浪費。特別是互連網企業經常會因熱時間點事件、互連網營銷活動等造成短時間內網路用量突增,互連網應用公網入口彈性上雲能很好地應對這一情境。
企業等保合規:阿里雲提供合規性支援和工具,企業將公網入口遷移到雲上後,可以協助企業更容易實現和維持等級保護合規狀態。
公網安全:阿里雲擁有專業的安全團隊和持續的安全投入,企業將公網入口遷移到雲上後,能夠保證持續的安全更新和防護。
公網能力最佳化:阿里雲擁有全球分布的資料中心,企業公網入口雲化後,可以部署在靠近使用者的地理位置,以減少延遲,提高響應速度。
Terraform參考
四層應用交付(使用NLB)
專案 | 說明 |
Terraform Module官網地址 | |
Github 地址 | |
樣本地址 |
代碼流程:
建立雲上VPC與交換器。在VPC中建立網路型負載平衡NLB,其中NLB後端伺服器掛載線下IDC伺服器。
建立VBR與ECR並將ECR與VPC關聯,配置BGP+BFD構建高可用專線網路。
需要建立的執行個體如下:
1個VPC
2個交換器
1個NLB
1個ECR
2個VBR
七層應用交付(使用ALB)
專案 | 說明 |
Terraform Module官網地址 | |
Github 地址 | |
樣本地址 |
代碼流程:
建立雲上VPC與交換器。在VPC中建立應用型負載平衡ALB,其中ALB後端伺服器掛載線下IDC伺服器。
建立VBR與ECR並將ECR與VPC關聯,配置BGP+BFD構建高可用專線網路。
需要建立的執行個體如下:
1個VPC
2個交換器
1個ALB
1個ECR
2個VBR
可視化架構CADT參考
四層應用交付(使用NLB)
情境 | 內容專案 | 說明 |
四層應用交付 | 模板ID | FMW2B14GQWCIUYD5 |
模板庫地址 | ||
程式碼範例地址 |
四層應用交付的可視化部署架構圖:
使用流程
可視化方式
大量建立相關雲端服務,包括1個VPC、2個交換器、1個NLB、對應監聽和虛擬伺服器組、1個ECR、一個共用頻寬、一個WAF。
基於模板建立應用,預設地區為杭州,雲產品均為建立。
完成應用儲存,分別進行校正、計價。本樣本相關雲產品均為隨用隨付。
核對完成,確認協議開始批量部署,後端伺服器掛載線下IDC伺服器,ECR關聯VPC。
建立VBR並將ECR與VBR關聯,配置對應的路由策略,配置BGP+BFD構建高可用專線網路。
整合API調用方式
通過一組openAPI介面,通過整合API快速完成使用。
參考文檔按照命令列工具初始化。
參考模型YAML檔案,直接部署和輸出。
如果更換地區,替換area_id的欄位,如杭州“cn-hangzhou”,替換為上海“cn-shanghai”。
如果需要替換模板中的已保有執行個體,比如使用存量的VPC、交換器等。可以替換對應的instances的ID欄位。
七層應用交付(使用ALB)
情境 | 內容專案 | 說明 |
七層應用交付 | 模板ID | 6DG34M62ELQZW75T |
模板庫地址 | ||
程式碼範例地址 |
七層應用交付的可視化部署架構圖:
使用流程
可視化方式
大量建立相關雲端服務,包括1個VPC、2個交換器、1個ALB、對應監聽和虛擬伺服器組、1個ECR、一個共用頻寬、一個WAF。
基於模板建立應用,預設地區為杭州,雲產品均為建立。
完成應用儲存,分別進行校正、計價。本樣本相關雲產品均為隨用隨付。
核對完成,確認協議開始批量部署,後端伺服器掛載線下IDC伺服器,ECR關聯VPC。
建立VBR並將ECR與VBR關聯,配置對應的路由策略,配置BGP+BFD構建高可用專線網路。
整合API調用方式
通過一組openAPI介面,通過整合API快速完成使用。
參考文檔按照命令列工具初始化。
參考模型YAML檔案,直接部署和輸出。
如果更換地區,替換area_id的欄位,如杭州“cn-hangzhou”,替換為上海“cn-shanghai”。
如果需要替換模板中的已保有執行個體,比如使用存量的VPC、交換器等。可以替換對應的instances的ID欄位。