網絡是奠基上層系統穩定和安全的重要基石。目前專有云版本以V3居多,且V2版本也將於2020年12月31日中止服務和技術支持。本文將對V3版本的專有云網絡架構進行介紹。安全
1 V3專有云網絡總體架構
圖1:V3專有云網絡架構圖服務器
如上圖所示,V3專有云網絡總體架構的特徵以下:網絡
- V3版本網絡架構爲兩層CLOS,去除PSW層,ASW與DSW直接互連,有效下降網絡建設成本。
- 兩層組網(DSW/ASW),ASW和DSW之間跑Layer3。
- 一組ASW爲基礎的網絡建設單元,全萬兆組網。
- 可根據服務器規模,選擇DSW的數量(2/4核心)和設備型號(4/8/16個slot)。
2 設計概要
- DSW數量爲4臺,分爲兩種規格:
(1)18個插槽DSW,每一個插槽最大支持36*40G端口密度(同時支持100G端口)。
(2)4個插槽DSW,每一個插槽最大支持36*40G端口密度(同時支持100G端口)。
架構
- 無PSW層設計。
- ASW兩臺爲一對最小部署單元,進行堆疊後提供跨設備的鏈路聚合能力。並提供48個萬兆接入端口,和440G的上行端口,240G的互連端口。
- 上聯:
(1)8槽DSW每臺預留不超過32個40G端口做爲上聯CSR或者其餘設備使用。整個集羣最大的外聯帶寬5.12Tbps。
(2)4槽DSW每臺預留不超過16個40G端口做爲上聯CSR或者其餘設備使用。整個集羣最大的外聯帶寬2.56Tbps。
負載均衡
- 每臺ASW上下行帶寬收斂比爲1:3。
- ASW與DSW之間運行直連EBGP路由協議,構成underlay的邏輯拓撲。
3 功能模塊設計
V3網絡架構可劃分爲綜合接入區和業務服務區,綜合接入區分爲內網接入模塊、外網接入模塊,業務服務區分爲綜合接入模塊、數據交換模塊。spa
圖2:V3網絡架構功能劃分設計
4 內網接入模塊
圖3:內網接入模塊結構圖接口
由一組兩臺CSW經過專線與客戶網絡打通,提供用戶自有網絡接入雲上VPC,實現用戶自有網絡與專有云網絡打通,既能夠知足用戶訪問雲上VPC,也能夠知足用戶的普通雲服務接入,這也就是咱們一般說的「併網」。路由
CSW作爲專有云網絡與客戶網絡的「邊界」,在金融領域實際項目中須要接入物理防火牆等安全產品保障網絡邊界安全性,另外CSW仍是用戶訪問VPC虛擬網絡的入口,作爲VXLAN接入點,承擔着VXLAN隧道的封裝和解封裝的重任,V1.0網絡架構中,一組CSW鏈接客戶專線最大支持160G。部署
5 外網接入模塊
圖4:外網接入模塊結構圖
由兩臺ISW/CSR做爲一組外網接入節點,與ISP骨幹鏈接,經過靜態路由或EBGP實現雲網絡內外部路由分發,交互業務服務區經過外網接入模塊與公網互通。
須要注意的是ISW與ISP運營商的交互信息,會使用分光器獲取到一份in/out雙向流量傳輸給雲盾模塊(分流器、beaver、guard)。當出現網絡攻擊時,雲盾會給ISW發送明細路由將攻擊流量引入雲盾服務器清洗,清洗乾淨的流量經過策略路由回注回ISW。
另外ISW與CSR的區別須要看具體場景,ISW是三層交換機,CSR是路由器,默認狀況外網接入模塊輸出ISW,只有對於有高級三層應用的場景或要求非以太網接口類型時可考慮採用CSR。
6 綜合接入模塊
圖5:綜合接入模塊結構圖
負責接入各種網絡雲產品,例如XGW/SLB/OPS服務器,LSW會與這些服務器跑OSPF動態路由協議,將網絡打通,實現NAT轉換、SLB負載均衡等重要功能。
7 數據交換模塊
圖6:數據交換模塊結構圖
數據交換模塊是整個IDC網絡的核心,由DSW和ASW組成,爲全部雲業務服務器提供接入,全部雲業務服務器間的內部流量交互在本模塊內完成,根據網絡規模支持DSW2~4臺橫向擴展。整個數據交換模塊內部DSW與ASW之間,以及與各個模塊之間均用EBGP互聯,經過DSW接收ISW發佈的外網路由,發佈雲產品公網服務地址網段到ISW;ASW交換機兩兩堆疊,NC網卡bond後雙上到一組ASW,且ASW根據須要可選配千兆或者萬兆;每張網絡會固定一組千兆ASW做爲XGW/SLB/OPS帶內管控接入。