摘要:云硬盤容量是由統(tǒng)一存儲的從存儲集群容量中分配的����,所有云硬盤共享整個分布式存儲池的容量及性能。支持云硬盤創(chuàng)建掛載卸載磁盤擴容刪除等生命周期管理��,單塊云硬盤同時僅能掛載一臺虛擬機��。云硬盤最小支持的容量����,步長為,可自定義控制單塊云硬盤的最大容量����。
云硬盤是一種基于分布式存儲系統(tǒng)為虛擬機提供持久化存儲空間的塊設備����。具有獨立的生命周期���,支持隨意綁定/解綁至多個虛擬機使用,并能夠在存儲空間不足時對云硬盤進行擴容���,基于網(wǎng)絡分布式訪問�,為云主機提供高安全�����、高可靠�����、高性能及可擴展的數(shù)據(jù)磁盤�。
存儲系統(tǒng)兼容并支持多種底層存儲硬件,如通用服務器(計算存儲超融合或獨立通用存儲服務器)和商業(yè)存儲����,并將底層存儲硬件分別抽像不同類型集群的存儲資源池,由分布式存儲系統(tǒng)統(tǒng)一調(diào)度和管理��。在實際應用場景中���,可以將普通 SATA 接口的機械盤統(tǒng)一抽像為【SATA 存儲集群】����,將 SSD 全閃磁盤統(tǒng)一抽象為【SSD 存儲集群】,分別由統(tǒng)一存儲封裝后提供平臺用戶使用��。
如示意圖所示���,將 SATA 存儲集群的資源封裝為普通云盤�����,將 SSD 全閃存儲集群的資源封裝為高性能云盤�。平臺的虛擬機和數(shù)據(jù)庫服務可根據(jù)需求掛載不同存儲集群類型的磁盤�����,支持同時掛載多種集群類型的云硬盤�。云平臺管理員可通過管理員控制臺自定義存儲集群類型的別名,用于標識不同磁盤介質(zhì)���、不同品牌��、不同性能或不同底層硬件的存儲集群����,如 EMC 存儲集群����、SSD 存儲集群等。
通常 SSD 磁盤介質(zhì)的云硬盤的性能與容量的大小成線性關(guān)系�,容量越大提供的 IO 性能越高,如對 IO 性能有強烈需求�����,可考慮擴容 SSD 磁盤介質(zhì)的云硬盤�����。
分布式存儲底層數(shù)據(jù)通過 PG 映射的方式進行數(shù)據(jù)存儲����,同時以多副本存儲的方式保證數(shù)據(jù)安全,即寫入至云平臺存儲集群的數(shù)據(jù)塊會同時保存多份至不同服務器節(jié)點的磁盤����。多副本存儲的數(shù)據(jù)提供一致性保證,可能導致寫入的多份數(shù)據(jù)因誤操作或原始數(shù)據(jù)異常導致數(shù)據(jù)不準確��;為保證數(shù)據(jù)的準確性,云平臺提供硬盤快照能力��,將云盤數(shù)據(jù)在某一時間點的數(shù)據(jù)文件及狀態(tài)進行備份����,在數(shù)據(jù)丟失或損壞時,可通過快照快速恢復數(shù)據(jù)��,包括數(shù)據(jù)庫數(shù)據(jù)���、應用數(shù)據(jù)及文件目錄數(shù)據(jù)等��,可實現(xiàn)分鐘級恢復����。
云硬盤由統(tǒng)一存儲從存儲集群容量中分配���,為平臺虛擬資源提供塊存儲設備并共享整個分布式存儲集群的容量及性能���;同時通過塊存儲系統(tǒng)為用戶提供云硬盤資源及全生命周期管理,包括云硬盤的創(chuàng)建��、綁定�、解綁�、擴容�����、克隆�����、快照及刪除等管理�����。
- 云硬盤容量是由統(tǒng)一存儲的從存儲集群容量中分配的����,所有云硬盤共享整個分布式存儲池的容量及性能���。
- 支持云硬盤創(chuàng)建���、掛載、卸載�、磁盤擴容、刪除等生命周期管理�,單塊云硬盤同時僅能掛載一臺虛擬機�。
- 支持在線和離線的方式擴容磁盤容量���,磁盤擴容后需要在虛擬機的操作系統(tǒng)進行磁盤容量的擴容操作��。
- 為保證數(shù)據(jù)安全性及準確性����,云硬盤僅支持磁盤擴容����,不支持磁盤縮容。
- 云硬盤最小支持 10G 的容量��,步長為 1GB ���,可自定義控制單塊云硬盤的最大容量����。
- 云硬盤具有獨立的生命周期�,可自由綁定至任意虛擬機或數(shù)據(jù)庫服務,解綁后可重新掛載至其它虛擬機���;
- X86 架構(gòu)的虛擬機最多支持綁定 6 塊云硬盤��,ARM 架構(gòu)虛擬機最多支持綁定 3 塊云硬盤�����;
- 支持云硬盤克隆�,即將云硬盤內(nèi)的數(shù)據(jù)復制成為一個新的云硬盤;
- 支持對云硬盤進行快照備份�����,包括虛擬機的系統(tǒng)盤快照及彈性云盤快照���,并可從快照回滾數(shù)據(jù)至云硬盤,用于數(shù)據(jù)恢復和還原場景��;
- 支持對全局及每一塊云硬盤的 QoS 進行配置�����,可根據(jù)不同業(yè)務模式調(diào)整磁盤的性能��,以平衡平臺整體性能�����;
- 支持設置存儲集群類型權(quán)限,即可以將部分存儲資源設置為租戶獨享����,滿足需要獨享底層存儲資源的場景。
支持自動精簡配置���,在創(chuàng)建云硬盤時��,僅呈現(xiàn)分配的邏輯虛擬容量��。當用戶向邏輯存儲容量中寫入數(shù)據(jù)時�����,按照存儲容量分配策略從物理空間分配實際容量�����。如一個用戶創(chuàng)建的云硬盤為 1TB 容量�,存儲系統(tǒng)會為用戶分配并呈現(xiàn) 1TB 的邏輯卷�,僅當用戶在云硬盤中寫入數(shù)據(jù)時,才會真正的分配物理磁盤容量����。
高性能型云硬盤的性能與容量的大小成線性關(guān)系�����,容量越大��,提供的 IO 性能越高�����,如果對IO性能有強烈需求����,可考慮擴容性能型云硬盤���。UCloudStack 云硬盤完整生命周期包括創(chuàng)建中、可用�、掛載中、已掛載�����、卸載中��、擴容中、已刪除等資源狀態(tài)�,各狀態(tài)流轉(zhuǎn)如下圖所示:
- 普通云硬盤適用于對容量要求較高且數(shù)據(jù)不被經(jīng)常訪問或 I/O 負載低的應用場景;需要低成本并且有隨機讀寫 I/O 的應用環(huán)境��,如大型視頻�����、音樂����、離線文檔存儲等;
- 高性能云硬盤適用于 I/O 負載高且數(shù)據(jù)經(jīng)常被讀寫的應用場景���;中大型關(guān)系數(shù)據(jù)庫����;中大型開發(fā)測試環(huán)境��;中大型實時響應服務類環(huán)境��;
UCloudStack 通過軟件定義網(wǎng)絡 ( SDN )對傳統(tǒng)數(shù)據(jù)中心物理網(wǎng)絡進行虛擬化��,采用 OVS 作為虛擬交換機�����,VXLAN 隧道作為 OverLay 網(wǎng)絡隔離手段,通過三層協(xié)議封裝二層協(xié)議��,用于定義虛擬私有網(wǎng)絡 VPC 及不同虛擬機 IP 地址之間數(shù)據(jù)包的封裝和轉(zhuǎn)發(fā)�����。
私有網(wǎng)絡( VPC ——Virtual Private Cloud )是一個屬于用戶的�、邏輯隔離的二層網(wǎng)絡廣播域環(huán)境。在一個私有網(wǎng)絡內(nèi)�,用戶可以構(gòu)建并管理多個三層網(wǎng)絡,即子網(wǎng)( Subnet )��,包括網(wǎng)絡拓撲�����、IP 網(wǎng)段���、IP 地址、網(wǎng)關(guān)等虛擬資源作為租戶虛擬機業(yè)務的網(wǎng)絡通信載體�。
私有網(wǎng)絡 VPC 是虛擬化網(wǎng)絡的核心,為云平臺虛擬機提供內(nèi)網(wǎng)服務���,包括網(wǎng)絡廣播域��、子網(wǎng)(IP 網(wǎng)段)�、IP 地址等,是所有 NVF 虛擬網(wǎng)絡功能的基礎���。私有網(wǎng)絡是子網(wǎng)的容器�,不同私有網(wǎng)絡之間是絕對隔離的�,保證網(wǎng)絡的隔離性和安全性。
可將虛擬機��、負載均衡����、彈性網(wǎng)卡、NAT 網(wǎng)關(guān)等虛擬資源加入至私有網(wǎng)絡的子網(wǎng)中�����,提供類似傳統(tǒng)數(shù)據(jù)中心交換機的功能���,支持自定義規(guī)劃網(wǎng)絡�,并通過安全組對虛擬資源 VPC 間的流量進行安全防護��。
可通過 IPSecVPN、專線及外網(wǎng) IP 接入等方式將云平臺私有網(wǎng)絡及虛擬資源與其它云平臺或 IDC 數(shù)據(jù)中心組成一個按需定制的混合云網(wǎng)絡環(huán)境���。
VPC 網(wǎng)絡具有數(shù)據(jù)中心屬性���,每個 VPC 私有網(wǎng)絡僅屬于一個數(shù)據(jù)中心,數(shù)據(jù)中心間資源和網(wǎng)絡完全隔離�����,資源默認內(nèi)網(wǎng)不通���。租戶內(nèi)和租戶間 VPC 網(wǎng)絡默認不通����,從不同維度保證租戶網(wǎng)絡和資源的隔離性��。
一個 VPC 網(wǎng)絡主要由私有網(wǎng)絡網(wǎng)段和子網(wǎng)兩部分組成���,如下圖所示:
(1)私有網(wǎng)絡網(wǎng)段
VPC 網(wǎng)絡所屬的 CIDR 網(wǎng)段�����,作為 VPC 隔離網(wǎng)絡的私網(wǎng)網(wǎng)段�。關(guān)于 CIDR 的相關(guān)信息�,詳見 CIDR 。創(chuàng)建 VPC 網(wǎng)絡需指定私有網(wǎng)段�����,平臺管理員可通過管理控制臺自定義 VPC 私有網(wǎng)絡的網(wǎng)段�����,使租戶的虛擬資源僅使用管理員定義網(wǎng)段的 IP 地址進行通信����。平臺 VPC 私有網(wǎng)絡 CIDR 默認支持的網(wǎng)段范圍如下表所示:
| 網(wǎng)段 | 掩碼范圍 | IP 地址范圍 |
|---|
| 10.0.0.0/16 | 16 ~ 29 | 10.0.0.0 - 10.0.255.255 |
| 172.16.0.0/16 | 16 ~ 29 | 172.16.0.0 - 172.16.255.255 |
| 192.168.0.0/16 | 16 ~ 29 | 192.168.0.0 - 192.168.255.255 |
由于 DHCP 及相關(guān)服務需占用 IP 地址,私有網(wǎng)絡 CIDR 網(wǎng)段不支持 30 位掩碼的私有網(wǎng)段�����。
平臺默認會占用或?qū)δ骋徊糠?IP 網(wǎng)段做限制�,故不支持的網(wǎng)段范圍包括 127.0.0.0/8、0.0.0.0/8��、169.254.0.0/16�、169.254.0.0/16 。
(2)子網(wǎng)
子網(wǎng)( Subnet )是 VPC 私有網(wǎng)絡的基礎網(wǎng)絡地址空間�����,用于虛擬資源間內(nèi)網(wǎng)連接。
- 一個私有網(wǎng)絡至少由一個子網(wǎng)組成��,子網(wǎng)的 CIDR 必須在 VPC 的 CIDR 網(wǎng)段內(nèi)�����;
- 同一私有網(wǎng)絡內(nèi)子網(wǎng)間通過公共網(wǎng)關(guān)連接���,資源默認內(nèi)網(wǎng)互通��,可部署虛擬機��、負載均衡�、NAT 網(wǎng)關(guān)�、 IPSecVPN 網(wǎng)關(guān)等;
- 同一個 VPC 子網(wǎng)間默認通過公共網(wǎng)關(guān)進行互通����;
- 子網(wǎng) CIDR 網(wǎng)段拔碼最小為 29 位,不支持 30 ���、32 位掩碼的子網(wǎng)網(wǎng)段����;
- 每個子網(wǎng)中�,使用第一個可用 IP 地址作為網(wǎng)關(guān),如 192.168.1.0/24 的網(wǎng)關(guān)地址是 192.168.1.1 �����。
當子網(wǎng)中存在虛擬資源時����,不允許刪除并銷毀私有網(wǎng)絡和子網(wǎng)資源。
平臺對常用網(wǎng)絡設備均進行軟件定義及組件抽像�����,通過將 VPC 網(wǎng)絡與虛擬機��、彈性網(wǎng)卡���、外網(wǎng) IP��、安全組���、NAT 網(wǎng)關(guān)��、負載均衡�、VPN 網(wǎng)關(guān)��、MySQL 數(shù)據(jù)庫�����、Redis 緩存及專線等組件連接��,可快速構(gòu)建和配置繁雜的網(wǎng)絡環(huán)境及混合云場景�,如下圖所示:
- 虛擬機默認內(nèi)網(wǎng)網(wǎng)卡(創(chuàng)建時自帶的虛擬網(wǎng)卡)加入同一個 VPC 網(wǎng)絡實現(xiàn)虛擬機間網(wǎng)絡通信,并可通過安全組保證虛擬機東西向流量安全���。
- 虛擬機默認外網(wǎng)網(wǎng)卡(創(chuàng)建時自帶的虛擬網(wǎng)卡)可直接綁定多個外網(wǎng) IP 地址實現(xiàn) Internet 訪問����,同時可綁定與 IDC 物理網(wǎng)絡相連的外網(wǎng) IP 地址實現(xiàn)物理網(wǎng)絡打通����,結(jié)合安全組管控虛擬機南北向流量的同時,構(gòu)建安全可靠的混合接入環(huán)境���。
- 虛擬機的彈性網(wǎng)卡加入不同的 VPC 網(wǎng)絡及子網(wǎng)��,實現(xiàn)精細化網(wǎng)絡管理及廉價故障轉(zhuǎn)移方案���,同時將安全組與彈性網(wǎng)卡綁定�����,通過安全組規(guī)則多維度保障私有網(wǎng)絡及虛擬資源的安全。
- 虛擬機與 UDB�����、URedis 服務加入同一個 VPC 網(wǎng)絡�,滿足業(yè)務應用和數(shù)據(jù)庫、緩存服務連通場景�。
- 相同 VPC 網(wǎng)絡的虛擬機可通過 NAT 網(wǎng)關(guān)及外網(wǎng) IP 連接���,共享外網(wǎng) IP 訪問 Internet 或 IDC 數(shù)據(jù)中心網(wǎng)絡�����,并可通過 DNAT 端口映射對外提供業(yè)務服務����。
- 相同 VPC 網(wǎng)絡的虛擬機加入至內(nèi)網(wǎng) ULB 后端服務節(jié)點����,提供 VPC 網(wǎng)絡內(nèi)負載均衡服務�。
- 相同 VPC 網(wǎng)絡的虛擬機加入到外網(wǎng) ULB 后端服務節(jié)點,結(jié)合 ULB 關(guān)聯(lián)的外網(wǎng) IP ��,提供外網(wǎng)負載均衡服務����。
- 相同 VPC 網(wǎng)絡的虛擬機通過 IPSecVPN 網(wǎng)關(guān)可與不同 VPC 網(wǎng)絡的虛擬機進行內(nèi)網(wǎng)互聯(lián),實現(xiàn) VPC 間互通����。
- 通過 IPSecVPN 網(wǎng)關(guān)打通不同 VPC 間的網(wǎng)絡,使兩個 VPC 間的虛擬機可直接進行內(nèi)網(wǎng)通信�����。
- 采用 IPSecVPN 網(wǎng)關(guān)或?qū)>€將平臺與本地 IDC 數(shù)據(jù)中心及第三方云平臺連通��,構(gòu)建安全可靠的混合云環(huán)境���。
外網(wǎng) IP 可用于打通 IDC 數(shù)據(jù)中心的物理網(wǎng)絡����,應用與虛擬機直接與物理機進行內(nèi)網(wǎng)通信的場景;IPSecVPN 網(wǎng)關(guān)用于打通第三方云平臺或 IDC 數(shù)據(jù)中心的虛擬網(wǎng)絡��,應用于不同云平臺間通過 VPN 安全連接場景���。
平臺 VPC 網(wǎng)絡基于租戶控制臺和 API 提供隔離網(wǎng)絡環(huán)境�����、自定義子網(wǎng)、子網(wǎng)通信及安全防護等功能�,并可結(jié)合硬件及 DPDK 等技術(shù)特性提供高性能的虛擬網(wǎng)絡。
- 隔離的網(wǎng)絡環(huán)境私有網(wǎng)絡基于 OVS( Open vSwitch)組件���,通過 VXLAN 隧道封裝技術(shù)實現(xiàn)隔離的虛擬網(wǎng)絡�����。每一個 VPC 網(wǎng)絡對應一個 VXLAN 隧道號(VNI)���,作為全局唯一網(wǎng)絡標識符,為租戶提供一張獨立且完全隔離的二層網(wǎng)絡����,可通過在私有網(wǎng)絡中劃分多個子網(wǎng)作為虛擬資源的通信載體�����,用于連通多個虛擬資源��。不同的 VPC 網(wǎng)絡間完全隔離�����,無法直接通信��。
- 自定義子網(wǎng)支持在一個 VPC 網(wǎng)絡內(nèi)進行三層網(wǎng)絡規(guī)劃���,即劃分一個或多個子網(wǎng)。提供自定義 IP 網(wǎng)段范圍�、可用 IP 網(wǎng)段及默認網(wǎng)關(guān),可在子網(wǎng)中通過虛擬機部署應用程序和服務��。支持在子網(wǎng)中增加多個彈性網(wǎng)卡����,分別指定子網(wǎng)中的 IP 地址,并綁定至部署應用程序的虛擬機��,用于精細化管理應用服務的網(wǎng)絡訪問。
- 子網(wǎng)通信每一個子網(wǎng)都屬于一個廣播域���,VPC 網(wǎng)絡默認提供網(wǎng)關(guān)服務���,同一個 VPC 內(nèi)不同子網(wǎng)通過網(wǎng)關(guān)進行通信。
- 安全防護云平臺提供內(nèi)網(wǎng)安全組和外網(wǎng)防火墻���,通過協(xié)議�、端口為虛擬資源提供多維度安全訪問控制�,同時基于虛擬網(wǎng)卡及虛擬實例的網(wǎng)絡流量進行上下行的 QoS 控制,全方位提高 VPC 網(wǎng)絡的安全性�。安全組為有狀態(tài)安全層�,可分別設置出入方向的安全規(guī)則,用于控制并過濾進出子網(wǎng) IP 的數(shù)據(jù)流量����。
- 高性能虛擬網(wǎng)絡SDN 網(wǎng)絡分布式部署于所有計算節(jié)點,節(jié)點間通過 20GE 冗余鏈路進行通信����,并通過所有計算節(jié)點負載內(nèi)網(wǎng)流量,為云平臺提供高可靠及高性能的虛擬網(wǎng)絡�����。
云平臺在保證網(wǎng)絡隔離、網(wǎng)絡規(guī)模��、網(wǎng)絡通信及安全的同時�,為租戶和子帳號提供 VPC 子網(wǎng)的創(chuàng)建、修改����、刪除及操作審計日志等全生命周期管理。用戶創(chuàng)建虛擬機���、NAT 網(wǎng)關(guān)�����、負載均衡及 VPN 網(wǎng)關(guān)等虛擬資源時可指定需加入的VPC 網(wǎng)絡和子網(wǎng)�,并可查詢每個子網(wǎng)的可用 IP 數(shù)量����。
VPC 網(wǎng)絡具有數(shù)據(jù)中心屬性,僅支持指定相同數(shù)據(jù)中心的虛擬資源到 VPC 網(wǎng)絡中�,且每個 VPC 網(wǎng)絡的子網(wǎng)網(wǎng)段必須在 VPC 網(wǎng)絡的 CIDR 網(wǎng)段中。平臺會通過管理員配置的 VPC 網(wǎng)絡�����,為每個租戶和子賬號提供默認的 VPC 網(wǎng)絡和子網(wǎng)資源,方便用戶登錄云平臺快速部署業(yè)務��。
外網(wǎng)彈性 IP( Elastic IP Address �,簡稱 EIP ),是平臺為用戶的虛擬機�、NAT 網(wǎng)關(guān)、VPN 網(wǎng)關(guān)及負載均衡等虛擬資源提供的外網(wǎng) IP 地址�,為虛擬資源提供平臺 VPC 網(wǎng)絡外的網(wǎng)絡訪問能力,如互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心物理網(wǎng)絡���,同時外部網(wǎng)絡也可通過 EIP 地址直接訪問平臺 VPC 網(wǎng)絡內(nèi)的虛擬資源����。
EIP 資源支持獨立申請和擁有���,用戶可通過控制臺或 API 申請 IP 網(wǎng)段資源池中的 IP 地址,并將 EIP 綁定至虛擬機�����、 NAT 網(wǎng)關(guān)���、負載均衡�、VPN 網(wǎng)關(guān)上,為業(yè)務提供外網(wǎng)服務通道�����。
在私有云平臺中����,允許平臺管理員自定義平臺外網(wǎng) IP 資源池,即由平臺管理員自定義平臺訪問外網(wǎng)的方式���,外網(wǎng) IP 網(wǎng)段資源池在添加至云平臺前�,需要通過物理網(wǎng)絡設備下發(fā)至計算節(jié)點連接的交換機端口���。
如上圖物理架構(gòu)示意圖所示�����,所有計算節(jié)點需要連接網(wǎng)線至物理網(wǎng)絡的外網(wǎng)接入交換機��,并在物理網(wǎng)絡的交互機上配置所連接端口允許透傳 Vlan 的網(wǎng)絡訪問方式��,使運行在計算節(jié)點上虛擬機可通過外網(wǎng)物理網(wǎng)卡直接與外部網(wǎng)絡進行通信:
- 若通過外網(wǎng) IP 訪問互聯(lián)網(wǎng)����,需要物理網(wǎng)絡設備上將自定義的外網(wǎng) IP 網(wǎng)段配置為可直通或 NAT 到互聯(lián)網(wǎng);
- 若通過外網(wǎng) IP 訪問 IDC 數(shù)據(jù)中心的物理網(wǎng)絡���,需要在物理網(wǎng)絡設備上將自定義的外網(wǎng) IP 網(wǎng)段配置為可與 IDC 數(shù)據(jù)中心網(wǎng)絡通信��,如相同的 Vlan 或 Vlan 間打通等����。
物理網(wǎng)絡架構(gòu)為高可用示意圖��,實際生產(chǎn)環(huán)境架構(gòu)可進行調(diào)整�����,如內(nèi)外網(wǎng)接入交換機可合并為一組高可用接入交換機����,通過不同的 Vlan 區(qū)分內(nèi)外網(wǎng)等。
物理網(wǎng)絡架構(gòu)及配置確認后��,在平臺層面需要分別添加互聯(lián)網(wǎng) IP 網(wǎng)段和 IDC 物理網(wǎng)段至云平臺 IP 網(wǎng)段資源池中�,租戶可申請不同網(wǎng)段的 EIP 地址,并將通往不同網(wǎng)絡的 EIP 地址綁定至虛擬機默認外網(wǎng)網(wǎng)卡�����,使虛擬機可通過外網(wǎng) IP 地址同時訪問互聯(lián)網(wǎng)和 IDC 數(shù)據(jù)中心物理網(wǎng)絡����。
如邏輯架構(gòu)圖所示,用戶在平臺中分別添加通往 Internet (Vlan200) 和通往 IDC 物理網(wǎng)絡(Vlan100)的網(wǎng)段至云平臺����。網(wǎng)段舉例如下:
- Vlan200 的網(wǎng)段為106.75.236.0/25 ,配置下發(fā)默認路由�����,即虛擬機綁定網(wǎng)段的 EIP 將會自動下發(fā)目標地址為 0.0.0.0/0 的默認路由���;
- Vlan100 的網(wǎng)段為192.168.1.0/24 ���,僅下發(fā)當前網(wǎng)段路由,即虛擬機綁定網(wǎng)段的 EIP 僅下發(fā)目標地址為 192.168.1.0/24 的指定路由�����。
租戶可分別申請 Vlan200 和 Vlan100 的 EIP 地址,并可將兩個 EIP 同時綁定至虛擬機����。平臺會將 EIP 地址及下發(fā)路由直接配置至虛擬機外網(wǎng)網(wǎng)卡,并通過 SDN 控制器下發(fā)流表至虛擬機所在的物理機 OVS �����,物理機 OVS 通過與物理機外網(wǎng)網(wǎng)卡接口及交換機進行互聯(lián)��,通過交換機設備與互聯(lián)網(wǎng)或 IDC 物理網(wǎng)絡進行通信��。
當虛擬機需要訪問互聯(lián)網(wǎng)或物理網(wǎng)絡時���,數(shù)據(jù)會通過虛擬機外網(wǎng)網(wǎng)卡直接透傳至物理機的 OVS 虛擬交換機�����,并通過 OVS 流表將請求轉(zhuǎn)發(fā)至物理機外網(wǎng)網(wǎng)卡及物理交換機�,經(jīng)由物理交換機的 Vlan 或路由配置將數(shù)據(jù)包轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)或 IDC 物理網(wǎng)絡區(qū)域�,完成通信。
如上圖 VPC1 網(wǎng)絡的虛擬機同時綁定了 Vlan100 和 Vlan200 網(wǎng)段的 EIP 地址����,Vlan100 EIP 為 192.168.1.2 ��,Vlan200 EIP 為 106.75.236.2 ����。平臺會直接將兩個 IP 地址直接配置至虛擬機的外網(wǎng)網(wǎng)卡�,通過虛擬機操作系統(tǒng)可直接查看配置到外網(wǎng)網(wǎng)卡的 EIP 地址�;同時自動下發(fā)兩個 IP 地址所屬網(wǎng)段需要下發(fā)的路由到虛擬機操作系統(tǒng)中,虛擬機的默認路由指定的下一跳為 Vlan200 互聯(lián)網(wǎng)網(wǎng)段的網(wǎng)關(guān)���,使虛擬機可通過 106.75.236.2 IP 地址與互聯(lián)網(wǎng)進行通信�,通過 192.168.1.2 與物理網(wǎng)絡區(qū)域的 Oracle 及 HPC 高性能服務器進行內(nèi)網(wǎng)通信���。
整個通信過程直接通過虛擬機所在物理機的物理網(wǎng)卡進行通信����,在物理網(wǎng)卡和物理交換機性能保障的前提下���,可發(fā)揮物理網(wǎng)絡硬件的最佳轉(zhuǎn)發(fā)性能����,提升虛擬機對外通信的轉(zhuǎn)發(fā)能力�����。同時所有外網(wǎng) IP 流量均可通過平臺安全組在平臺內(nèi)進行流量管控,保證虛擬機訪問平臺外部網(wǎng)絡的安全性�。
EIP 為浮動 IP ,可隨故障虛擬機恢復漂移至健康節(jié)點�����,繼續(xù)為虛擬機或其它虛擬資源提供外網(wǎng)訪問服務��。
當一臺虛擬機所在的物理主機發(fā)生故障時���,智能調(diào)度系統(tǒng)會自動對故障主機上的虛擬機進行宕機遷移操作�����,即故障虛擬機會在其它健康的主機上重新拉起并提供正常業(yè)務服務�。若虛擬機已綁定外網(wǎng) IP ���,智能調(diào)度系統(tǒng)會同時將外網(wǎng) IP 地址及相關(guān)流表信息一起漂移至虛擬遷移后所在的物理主機��,并保證網(wǎng)絡通信可達����。
- 支持平臺管理員自定義外網(wǎng) IP 資源池,即自定義外網(wǎng) IP 網(wǎng)段����,并支持配置網(wǎng)段的路由策略。租戶申請網(wǎng)段的外網(wǎng) IP 綁定至虛擬資源后����,下發(fā)目的路由地址的流量自動以綁定的外網(wǎng) IP 為網(wǎng)絡出口����。
- 外網(wǎng) IP 網(wǎng)段支持下發(fā)默認路由和指定路由,下發(fā)默認路由代表默認所有流量均以綁定的外網(wǎng)IP為出口����,指定路由為管理員指定目的地址的流量以綁定的外網(wǎng)IP為出口。
- 提供 IPv4/IPv6 雙棧能力�,管理員可自定義管理 IPv4 和 IPv6 網(wǎng)段資源池,并支持同時綁定 IPv4/IPv6 地址到虛擬機����,為虛擬機提供雙棧網(wǎng)絡通信服務。
- 支持外網(wǎng) IP 網(wǎng)段的權(quán)限管控�����,可指定所有租戶或部分租戶使用,未被指定的租戶無權(quán)限申請并使用網(wǎng)段 EIP����。
- EIP 具有彈性綁定的特性,支持隨時綁定至虛擬機�、NAT 網(wǎng)關(guān)、負載均衡���、VPN 網(wǎng)關(guān)等虛擬機資源���,并可隨時解綁綁定至其它資源。
- 虛擬機支持綁定 50 個外網(wǎng) IPv4 和 10 個外網(wǎng) IPv6 地址�,以第一個有默認路由的外網(wǎng) IP 作為虛擬機的默認網(wǎng)絡出口。
- 提供外網(wǎng) IP 網(wǎng)段獲取服務���,支持租戶手動指定 IP 地址申請 EIP��,并提供 IP 地址沖突檢測��,方便用戶業(yè)務網(wǎng)絡地址規(guī)劃����。
- 平臺管理員可自定義外網(wǎng) IP 網(wǎng)段的帶寬規(guī)格,租戶可在帶寬規(guī)格范圍內(nèi)配置外網(wǎng) IP 的帶寬上限�����。
外網(wǎng) IP 具有數(shù)據(jù)中心屬性��,僅支持綁定相同數(shù)據(jù)中心的虛擬資源�����。用戶可通過平臺自定義申請 EIP �����,并對 EIP 進行綁定����、解綁�、調(diào)整帶寬等相關(guān)操作。
NAT 網(wǎng)關(guān)( NAT Gateway )是一種類似 NAT 網(wǎng)絡地址轉(zhuǎn)換協(xié)議的 VPC 網(wǎng)關(guān)�����,為云平臺資源提供 SNAT 和 DNAT 代理�����,支持互聯(lián)網(wǎng)或物理網(wǎng)地址轉(zhuǎn)換能力。平臺 NAT 網(wǎng)關(guān)服務通過的 SNAT 和 DNAT 規(guī)則分別實現(xiàn) VPC 內(nèi)虛擬資源的 SNAT 轉(zhuǎn)發(fā)和 DNAT 端口映射功能���。
- SNAT 規(guī)則:通過 SNAT 規(guī)則實現(xiàn) VPC 級��、子網(wǎng)級及虛擬資源實例級的 SNAT 能力���,使不同維度的資源通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)。
- DNAT 規(guī)則:通過 DNAT 規(guī)則���,可配置基于 TCP 和 UDP 兩種協(xié)議的端口轉(zhuǎn)發(fā)�,將 VPC 內(nèi)的云資源內(nèi)網(wǎng)端口映射到 NAT 網(wǎng)關(guān)所綁定的外網(wǎng) IP����,對互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心網(wǎng)絡提供服務。
作為一個虛擬網(wǎng)關(guān)設備�,需要綁定外網(wǎng) IP 作為 NAT 網(wǎng)關(guān)的 SNAT 規(guī)則出口及 DNAT 規(guī)則的入口。NAT 網(wǎng)關(guān)具有地域(數(shù)據(jù)中心)屬性��,僅支持相同數(shù)據(jù)中心下同 VPC 虛擬資源的 SNAT 和 DNAT 轉(zhuǎn)發(fā)服務����,
虛擬機通過 NAT 網(wǎng)關(guān)可訪問的網(wǎng)絡取決于綁定的外網(wǎng) IP 所屬網(wǎng)段在物理網(wǎng)絡上的配置,若所綁定的外網(wǎng) IP 可通向互聯(lián)網(wǎng),則虛擬機可通過 NAT 網(wǎng)關(guān)訪問互聯(lián)網(wǎng)���;若所綁定的外網(wǎng) IP 可通向 IDC 數(shù)據(jù)中心的物理網(wǎng)絡����,則虛擬機通過 NAT 網(wǎng)關(guān)訪問 IDC 數(shù)據(jù)中心的物理網(wǎng)絡��。
用戶在平臺使用虛擬機部署應用服務時��,有訪問外網(wǎng)或通過外網(wǎng)訪問虛擬機的應用場景�,通常我們會在每一臺虛擬機上綁定一個外網(wǎng) IP 用于和互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心網(wǎng)絡進行通信。真實環(huán)境和案例中���,可能無法分配足夠的公網(wǎng) IP ���,即使公網(wǎng) IP 足夠也無需在每一臺需要訪問外網(wǎng)的虛擬機上綁定外網(wǎng) IP 地址��。
- 共享 EIP :通過 SNAT 代理�,使多臺 VPC 內(nèi)網(wǎng)虛擬機共享 1 個或多個外網(wǎng) IP 地址訪問互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心的物理網(wǎng)絡。
- 屏蔽真實 IP :通過 SNAT 代理����,多臺 VPC 內(nèi)網(wǎng)虛擬機使用代理 IP 地址通信,自動屏蔽真實 IP 內(nèi)網(wǎng)地址。
- VPC 內(nèi)網(wǎng)虛擬機提供外網(wǎng)服務:通過 DNAT 代理�,配置 IP 及端口轉(zhuǎn)發(fā),對互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心的網(wǎng)絡提供業(yè)務服務�����。
平臺產(chǎn)品服務底層資源統(tǒng)一���,NAT 網(wǎng)關(guān)實例為主備高可用集群架構(gòu)��,可實現(xiàn) NAT 網(wǎng)關(guān)故障自動切換�,提高 SNAT 和 DNAT 服務的可用性���。同時結(jié)合外網(wǎng) IP 地址��,根據(jù) NAT 配置為租戶虛擬資源提供 SNAT 和 DNAT 代理�。
在產(chǎn)品層面�,租戶通過申請一個 NAT 網(wǎng)關(guān),指定 NAT 網(wǎng)關(guān)可允許通信的子網(wǎng)�����,通過綁定【外網(wǎng) IP】使多子網(wǎng)下虛擬機與互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心物理網(wǎng)進行通信���,具體邏輯架構(gòu)圖如下:
- 平臺支持同 VPC 多子網(wǎng)虛擬機使用 NAT 網(wǎng)關(guān)訪問互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心網(wǎng)絡���。
- 當多個子網(wǎng)中未綁定外網(wǎng) IP 的虛擬機關(guān)聯(lián) NAT 網(wǎng)關(guān)時��,平臺將自動在虛擬機中下發(fā)訪問外網(wǎng)的路由�����。
- 虛擬機通過下發(fā)的路由���,將訪問外網(wǎng)的數(shù)據(jù)通過 NAT 網(wǎng)關(guān)透傳至已綁定的【外網(wǎng) IP】。
- 透傳至外網(wǎng) IP 的數(shù)據(jù)通過平臺 OVS 及物理網(wǎng)卡將數(shù)據(jù)包發(fā)送至物理交換機����,完成數(shù)據(jù) SNAT 的通信。
- 當外網(wǎng)需要訪問 VPC 中的虛擬機服務時�����,可通過 NAT 網(wǎng)關(guān)端口轉(zhuǎn)發(fā)�����,使互聯(lián)網(wǎng)或 IDC 物理網(wǎng)通過 NAT 網(wǎng)關(guān)已綁定的 IP+端口 訪問 VPC 內(nèi)網(wǎng)服務�。
云平臺提供高可用 NAT 網(wǎng)關(guān)服務,并支持網(wǎng)關(guān)的全生命周期管理����,包括多外網(wǎng) IP 、SNAT 規(guī)則及 DNAT 端口轉(zhuǎn)發(fā)及監(jiān)控告警�,同時為 NAT 網(wǎng)關(guān)提供網(wǎng)絡及資源隔離的安全保障。
一個 VPC 允許創(chuàng)建 20 個 NAT 網(wǎng)關(guān)���,相同 VPC 下所有 NAT 網(wǎng)關(guān)中 SNAT 規(guī)則不可重復��,即 20 個 NAT 網(wǎng)關(guān)中的 SNAT 規(guī)則不允許重復���。場景舉例:
- 當 NATGW (VPC:192.168.0.0/16)中創(chuàng)建了子網(wǎng)(192.168.0.1/24)的 SNAT 規(guī)則,則相同 VPC 下 NATGW 不可在創(chuàng)建子網(wǎng)(192.168.0.1/24)為源地址的 SNAT 規(guī)則����,當 NATGW01 中該子網(wǎng)規(guī)則刪除后,才可進行創(chuàng)建����。
- 當 NATGW (VPC:192.168.0.0/16)中創(chuàng)建了 VPC 級別的規(guī)則,則相同 VPC 下不可在創(chuàng)建 VPC 級別的規(guī)則���。
- 當 NATGW (VPC:192.168.0.0/16)中創(chuàng)建了 虛擬機(192.168.1.2) 的 SNAT 規(guī)則�,則相同VPC 下 NATGW 不可在創(chuàng)建虛擬機(192.168.1.2) 為源地址的 SNAT 規(guī)則。
NAT 網(wǎng)關(guān)支持綁定多個外網(wǎng) IP 地址�,使 SNAT 規(guī)則中的資源可通過多個外網(wǎng) IP 地址訪問外網(wǎng),DNAT 端口轉(zhuǎn)發(fā)規(guī)則中的虛擬資源���,可通過指定的外網(wǎng) IP 地址訪問 VPC 內(nèi)網(wǎng)服務���。
一個 NAT 網(wǎng)關(guān)支持綁定 50 個默認路由類型的 IPv4 外網(wǎng) IP 地址,為 NAT 網(wǎng)關(guān)指定子網(wǎng)的虛擬資源提供共享的外網(wǎng) IP 資源池���,以提供更加靈活便捷的 SNAT 及 DNAT 能力���。
支持用戶查看已綁定至 NAT 網(wǎng)關(guān)的所有外網(wǎng) IP 地址,同時支持對外網(wǎng) IP 地址的解綁�,解綁后相關(guān)聯(lián)的 SNAT 規(guī)則和 DNAT 規(guī)則網(wǎng)絡通信都將失效。用戶可通過修改 SNAT 和 DNAT 規(guī)則���,分別設置新的出口 IP 及入口源 IP 地址���。
NAT 網(wǎng)關(guān)通過 SNAT 規(guī)則支持 SNAT(Source Network Address Translation 源地址轉(zhuǎn)換)能力,每條規(guī)則由源地址和目標地址組成���,即將源地址轉(zhuǎn)換為目標地址進行網(wǎng)絡訪問���。平臺 SNAT 規(guī)則支持多種場景的出外網(wǎng)場景,即源地址包括 VPC���、子網(wǎng)�、虛擬機三種類型:
- VPC 級別:指 NAT 網(wǎng)關(guān)所屬 VPC 下的所有虛擬機可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)���。
- 子網(wǎng)級別:指 NAT 網(wǎng)關(guān)所屬 VPC 下被指定子網(wǎng)中的所有虛擬機可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)���。
- 虛擬機級別:指 NAT 網(wǎng)關(guān)所屬 VPC 下被指定的虛擬機才可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)。
規(guī)則的目標地址為 NAT 網(wǎng)關(guān)綁定的外網(wǎng) IP 地址��,通過規(guī)則策略即可將源地址在 VPC ����、子網(wǎng)、虛擬機的 IP 地址轉(zhuǎn)換為網(wǎng)關(guān)綁定的外網(wǎng) IP 進行網(wǎng)絡通信�����,即通過 SNAT 規(guī)則虛擬機可在不綁定外網(wǎng) IP 的情況下與平臺外網(wǎng)進行通信�����,如訪問 IDC 數(shù)據(jù)中心網(wǎng)絡或互聯(lián)網(wǎng)。
SNAT 規(guī)則中不同源地址類型的規(guī)則優(yōu)先級不同���,以優(yōu)先級高的規(guī)則為準:
**(1)源地址為 VPC **
- NAT 網(wǎng)關(guān)所屬 VPC 下所有虛擬機均可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)����。
- 一個 NAT 網(wǎng)關(guān)僅允許創(chuàng)建一條源地址為 ALL 的 SNAT 規(guī)則����。
- 源地址為 ALL 規(guī)則的優(yōu)先級最低,在未匹配到精確規(guī)則時�,以源地址為 ALL 的規(guī)則訪問外網(wǎng)。
(2)源地址為子網(wǎng) CIDR
- 子網(wǎng)下虛擬機可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)����,子網(wǎng) SNAT 規(guī)則優(yōu)先級高于源地址為 ALL 的規(guī)則。
- 每個子網(wǎng)僅可創(chuàng)建一條 SNAT 規(guī)則����,不允許重復。
- 支持為子網(wǎng)下虛擬機多帶帶配置 SNAT 規(guī)則����,優(yōu)先級高于源地址為子網(wǎng)的 SNAT 規(guī)則。
(3)源地址為虛擬機IP
- 虛擬機可通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)。
- 每個虛擬機 IP 僅可創(chuàng)建一條 SNAT 規(guī)則��,不允許重復��。
- 源地址為虛擬機 IP 的 SNAT 規(guī)則優(yōu)先級高于源地址為 ALL 和 子網(wǎng)的 SNAT 規(guī)則����。
SNAT 規(guī)則的目標地址可以為 NAT 網(wǎng)關(guān)已綁定的一個或多個外網(wǎng) IP �����,當目標外網(wǎng) IP 為 ALL 時���,源地址資源從網(wǎng)關(guān)上所有外網(wǎng) IP 池中隨機選擇 IP 訪問外網(wǎng)�����。
一個 NAT 網(wǎng)關(guān)默認可創(chuàng)建 100條 SNAT 規(guī)則�����。
用戶配置 SNAT 規(guī)則后�,NAT 網(wǎng)關(guān)會自動下發(fā)默認路由至源地址匹配的虛擬機�����,使虛擬機通過 SNAT 規(guī)則的外網(wǎng) IP 訪問外網(wǎng)。具體通信邏輯如下:
- 虛擬機未綁定 IPv4 外網(wǎng) IP �,則默認通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)。
- 虛擬機已綁定 IPv4 外網(wǎng) IP 且存在默認網(wǎng)絡出口����,則通過虛擬機默認網(wǎng)絡出口訪問外網(wǎng)。
- 虛擬機已綁定 IPv4 外網(wǎng) IP 且無默認網(wǎng)絡出口�,則通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)。
虛擬機通過 NAT 網(wǎng)關(guān)訪問外網(wǎng)時�,使用的外網(wǎng) IP 取決于 SNAT 規(guī)則的配置,若規(guī)則配置的外網(wǎng) IP 為多個�����,則會從多個外網(wǎng) IP 中隨機選擇 IP 地址作為虛擬機的出口�。
NAT 網(wǎng)關(guān)支持 DNAT(Destination Network Address Translation 目的地址轉(zhuǎn)換),也稱為端口轉(zhuǎn)發(fā)或端口映射����,即將外網(wǎng) IP 地址轉(zhuǎn)換為 VPC 子網(wǎng)的 IP 地址提供網(wǎng)絡服務。
- 支持 TCP 和 UDP 兩種協(xié)議的端口轉(zhuǎn)發(fā)�����,支持對端口轉(zhuǎn)發(fā)規(guī)則進行生命周期管理。
- 支持批量進行多端口轉(zhuǎn)發(fā)規(guī)則配置����,即支持映射端口段,如 TCP:1024~TCP:1030 ��。
- NAT 網(wǎng)關(guān)綁定外網(wǎng) IP 時�����,端口轉(zhuǎn)發(fā)規(guī)則為 VPC 子網(wǎng)內(nèi)的虛擬機提供互聯(lián)網(wǎng)外網(wǎng)服務����,可通過外網(wǎng)訪問子網(wǎng)內(nèi)的虛擬機服務����。
平臺支持對 NAT 網(wǎng)關(guān)進行監(jiān)控數(shù)據(jù)的收集和展示,通過監(jiān)控數(shù)據(jù)展示每一個 NAT 網(wǎng)關(guān)的指標數(shù)據(jù)��,同時支持為每一個監(jiān)控指標設置閾值告警及通知策略���。支持的監(jiān)控指標包括網(wǎng)絡出/帶寬�、網(wǎng)絡出/包量及連接數(shù)��。
支持查看一個 NAT 網(wǎng)關(guān)多時間維度的監(jiān)控數(shù)據(jù),包括 1 小時���、6 小時��、12 小時��、1 天����、7 天���、15 天及自定義時間的監(jiān)控數(shù)據(jù)�����。默認查詢數(shù)提成為 1 小時的數(shù)據(jù)�,最多可查看 1 個月的監(jiān)控數(shù)據(jù)����。
NAT 網(wǎng)關(guān)實例支持高可用架構(gòu),即至少由 2 個虛擬機實例構(gòu)建���,支持雙機熱備����。當一個 NAT 網(wǎng)關(guān)的實例發(fā)生故障時,支持自動在線切換到另一個虛擬機實例���,保證 NAT 代理業(yè)務正常�����。同時基于外網(wǎng) IP 地址的漂移特性���,支持在物理機宕機時,保證 SNAT 網(wǎng)關(guān)出口及 DNAT 入口的可用性���。
NAT 網(wǎng)關(guān)的網(wǎng)絡訪問控制可以關(guān)聯(lián)安全組給予安全保障,通過安全組的規(guī)則可控制到達 NAT 網(wǎng)關(guān) 所綁定外網(wǎng) IP 的入站流量及出站流量�,支持 TCP、UDP����、ICMP、GRE 等協(xié)議數(shù)據(jù)包的過濾和控制���。
安全組及安全組的規(guī)則支持對已關(guān)聯(lián)安全組的 NAT 網(wǎng)關(guān)的流量進行限制����,僅允許安全組規(guī)則內(nèi)的流量透傳安全組到達目的地。為保證 NAT 網(wǎng)關(guān)的資源和網(wǎng)絡安全�����,平臺為 NAT 網(wǎng)關(guān)提供資源隔離及網(wǎng)絡隔離機制:
(1)資源隔離
- NAT 網(wǎng)關(guān)具有數(shù)據(jù)中心屬性����,不同數(shù)據(jù)中心間 NAT 網(wǎng)關(guān)資源物理隔離;
- NAT 網(wǎng)關(guān)資源在租戶間相互隔離��,租戶可查看并管理賬號及子賬號下所有 NAT 網(wǎng)關(guān)資源��;
- 一個租戶內(nèi)的 NAT 網(wǎng)關(guān)資源���,僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的 VPC 子網(wǎng)資源�����;
- 一個租戶內(nèi)的 NAT 網(wǎng)關(guān)資源����,僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的外網(wǎng) IP 資源��;
- 一個租戶內(nèi)的 NAT 網(wǎng)關(guān)資源,僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的安全組資源�����。
(2)網(wǎng)絡隔離
- 不同數(shù)據(jù)中心間 NAT 網(wǎng)關(guān)資源網(wǎng)絡相互物理隔離����;
- 同數(shù)據(jù)中心 NAT 網(wǎng)關(guān)網(wǎng)絡采用 VPC 進行隔離,不同 VPC 的 NAT 網(wǎng)關(guān)資源無法相互通信��;
- NAT 網(wǎng)關(guān)綁定的外網(wǎng) IP 網(wǎng)絡隔離取決于用戶物理網(wǎng)絡的配置����,如不同的 Vlan 等。
