基于目前主流的隧道技术,专有网络VPC(Virtual Private Cloud)隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应一个虚拟化网络。
背景信息
为了提升网络资源效能与设备利用率,网络虚拟化技术应运而生,它能将物理网络资源抽象成虚拟网络资源,实现同一物理网络基础设施上多个独立逻辑网络的并行运行。这一技术具备较高的灵活与可扩展性,用户可根据需求快速调整网络资源配置。
然而,云计算的不断发展,对虚拟化网络的弹性、安全可靠、互联性能提出了更高的要求。传统的网络融合方案已难以满足,特别是大二层网络架构下暴露出的ARP欺骗、广播风暴及主机扫描等问题愈发突出。
上述问题催生了各种网络隔离技术,旨在将物理网络和虚拟网络彻底分隔。VLAN技术作为隔离手段之一,基于端口、MAC地址或IP地址将物理局域网划分为多个逻辑局域网,每个VLAN构成独立的广播域,有效阻止了广播信息的跨域传播,显著提升了局域网的性能与安全性。但VLAN存在数量限制,最大只能支持4096个虚拟网络,无法支撑巨大的用户量。
VXLAN作为突破VLAN的数量限制并实现跨数据中心的高效通信的解决方案出现,能够支持上百万个虚拟网络,特别适用于构建大规模云环境下的多租户网络。VXLAN使用隧道技术,将二层网络数据包封装在三层网络数据包中进行传输,从而实现了跨越三层网络的二层通信,解决了传统网络架构下虚拟网络扩展性的瓶颈,为云计算时代的大规模网络部署提供了强有力的技术支撑。
VPC实现原理
VPC是云计算环境中的关键组件,允许用户在共享的基础设施上创建隔离的虚拟网络环境,从而提高数据的安全性和私密性。基于隧道技术和软件定义网络(SDN)技术,结合高性能硬件网关和自研分布式虚拟交换机设备,阿里云推出了高性能、高灵活性的VPC产品,满足用户的多样化需求。
隧道技术:隧道技术是实现网络隔离的关键。每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。
一个VPC内的ECS实例间传输的数据包会通过隧道封装,带有唯一的隧道号标识,通过物理网络进行传输。
不同VPC内的ECS实例由于所在的隧道号不同,本身处于两个不同的路由平面,因此不同VPC内的ECS实例无法进行通信,天然地进行了隔离。
SDN技术:SDN作为新型的网络架构,将网络设备的控制平面与数据平面分离,实现了网络流量的集中管理和控制。VPC中的SDN控制器可以动态地配置网络策略,如路由、安全规则等,而无需直接操作底层硬件,大大提高了网络的灵活性和可编程性。
硬件网关和自研交换机设备:支持高性能的数据转发,满足大规模VPC的高吞吐量需求。
VPC逻辑架构
如下图所示,VPC包含交换机、网关和控制器三个重要的组件。
交换机和网关组成了数据通路的关键路径,控制器使用自研协议下发转发表到网关和交换机,实现了配置路径的连通。配置通路和数据通路互相分离。
VPC中的交换机是分布式的节点,网关和控制器都是集群部署且多机房互备,所有链路上都具备冗余容灾,提升了VPC的整体可用性。
功能架构
您可以充分利用VPC所提供的丰富功能,以满足您的特定需求。无论是构建复杂网络架构,还是实现精细的安全策略控制,VPC都能为您提供强有力的支持。
交换机:交换机是可用区级别的资源。创建VPC后,您可以创建交换机,并在交换机中部署云产品资源。
路由表:路由表是管理和控制网络流量的关键,合理的配置有助于增强网络的灵活性和安全性。
IP地址管理(IPAM):IPAM作为IP地址管理工具,可以帮助您自动化分配与管理IP地址,简化网络管理流程并避免地址冲突。
IPv4网关/IPv6网关:您可以使用IPv4网关/IPv6网关实现对VPC内实例访问公网的集中控制,增强VPC内的安全防护,严格管控公网访问。
VPC对等连接:您可以通过VPC对等连接,实现两个同账号或跨账号VPC间同地域或跨地域的私网互通。
网络ACL:您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云服务器ECS实例流量的访问控制。
流日志:流日志功能可记录VPC网络中弹性网卡ENI传入和传出的流量信息,帮助您检查访问控制规则、监控网络流量和排查网络故障。
流量镜像:流量镜像功能可以镜像经过弹性网卡ENI且符合筛选条件的报文,可用于内容检查、威胁监控和问题排查等场景。