技術性能領先，阿里雲網絡產品全面升級爲企業級

時間 2019-12-05

標籤技術性能領先阿里網絡產品全面升級企業欄目系統性能简体版

原文原文鏈接

摘要：在12月13日的阿里雲網絡產品發佈會上，阿里雲將詳細介紹其網絡產品家族重大更新，阿里雲網絡產品已經全面升級爲企業級。屆時，雲棲社區將會對發佈會進行直播，歡迎預定https://yq.aliyun.com/promoti...。安全

在12月13日的阿里雲網絡產品發佈會上，阿里雲將詳細介紹其網絡產品家族重大更新，阿里雲網絡產品已經全面升級爲企業級。屆時，雲棲社區將會對發佈會進行直播，歡迎預定https://yq.aliyun.com/promoti...服務器

那麼，如何理解升級爲企業級呢？咱們認爲企業級需求主要有產品豐富度、性能、穩定、安全幾個方面。網絡

首先，豐富的產品家族知足企業級多樣需求。併發

隨着雲骨幹網的發佈，阿里雲已經有涵蓋5大場景的11款網絡產品（還不包括DNS），是Top雲計算公司中網絡產品最多的。負載均衡

尤爲是雲骨幹網的發佈，標誌着阿里雲網絡產品進一步向企業級用戶演進、向智能網絡演進。性能

其次，企業級需求的一個重要特色是高性能。對網絡來講，主要是ECS網絡性能，負載均衡性能，NAT網關性能，以及VPC相關的容量。通過多年的自主研發，目前網絡相關的性能已經徹底知足各類規模的企業級用戶的需求。特別值得一提的是，阿里雲網絡產品系列在今年的雙11中經受了實戰考驗。具體實戰性能以下表所示優化

注：部分雙11指標超過核心指標是針對實例級別的單獨調整。阿里雲

ECS網絡性能方面，隨着物理網絡升級到25G，第二代Apsara vSwitch全面上線，單實例PPS性能已經達到450萬，Latency下降了66%，實現了媲美物理機的性能。有興趣的同窗能夠參考技術揭祕https://yq.aliyun.com/article...雲計算

負載均衡性能方面，業內獨創的性能保障型實例在全部地域陸續上線，確保用戶得到須要的性能，而不須要預熱等機制。在具體的性能指標上，單實例可支持100萬併發鏈接，10萬新建鏈接，5萬QPS，而且有單實例更高性能需求的用戶還能夠申請開通更高性能的實例。這些性能指標的背後是負載均衡產品軟件，硬件，OS等多個層面的深度優化。有興趣的同窗能夠參考技術揭祕https://yq.aliyun.com/article...加密

NAT網關產品，主要是SNAT最大鏈接數指標，目前線上公有云是100萬，隨着NAT網關技術升級，NAT網關的最大鏈接數和新建鏈接數指標即將「無限」，成爲更強的企業級公網網關產品。

VPC容量方面，單VPC可支撐10萬臺ECS，單個Region支持100萬VPC，雙11的場景下，單VPC已經支持超過2萬ECS和5萬容器了。

再次，穩定是企業級需求中壓倒一切的根本。主動維護時99%的場景下能熱升級，不影響用戶使用。集羣中的機器出現異常時能自動處理不影響用戶。整個可用區故障時，系統能自動切換，儘量短的影響用戶。通過長時間的研發，目前網絡產品在如下方面取得了不錯的進展。

第一是全局配置同步，支持可用區級別的容災。即一個實例的配置在Region內全部可用區都是存儲的，好比華東1Region的一個EIP，這個EIP的配置會在華東1下全部的可用區存在，這是出現問題時可以快速恢復的前提。在這個基礎上網絡相關產品，如EIP，負載均衡，NAT網關等都實現了可用區級別的容災，即若是一個可用區出現故障，系統能在20秒內自動切換到另外一個可用區繼續服務，從而提高了用戶系統的穩定性。

第二是熱升級，升級時99%的狀況下0中斷。雲產品須要快速迭代，這就意味着須要常常對系統進行升級。此外，隨着集羣規模的不斷擴大，機器故障也變成了常態，這就須要系統支持熱升級，儘可能減小用戶系統的閃斷。特別是對於有狀態的負載均衡來講，這一點尤爲重要。負載均衡採用集羣部署模式，避免了單點性能瓶頸和單點故障，可是，集羣中的多臺機器若是有一臺出現故障，其它機器如何接管這臺機器的會話從而不中斷故障機器上的會話呢？負載均衡採用了Session同步機制來解決這個問題，能夠參考https://yq.aliyun.com/article...

除了這些產品方面的穩定性功能外，在數據中心IDC的風火水電網等基礎設施方面，阿里雲IDC採用雙向獨立市電引入，機架服務器AB路供電，而且具備電池後備電源，可無縫接管25分鐘，IDC具備業界頂尖的N+1冗餘柴油發電機，可分鐘級切換。同時IDC具備高可用的骨幹網絡，AZ間低延遲、AZ內雙冗餘、三路由出口光纖冗餘，3+N超多線冗餘BGP，平均延遲小於40ms，平均丟包率小於1%。諸多的基礎設施保障穩定性。

最後，企業級需求必需要保障的一點是安全。安全涉及的面比較廣，本文不討論諸如DDoS攻擊，WAF，加密審計等方面的安全，僅僅從網絡產品的角度談談網絡安全。對網絡產品來講，最關鍵的安全就是VPC。VPC基於數據鏈路層，使用隧道技術進行租戶隔離，比經典網絡的三層隔離更安全。
以下圖所示，VM1和VM3使用隧道ID 100，VM2和VM4使用隧道ID 200，這2個隧道ID就對應兩個不一樣的用戶，雖然都在一張網絡中通訊，但因爲隧道ID不一樣，彼此是沒法通訊的，這確保了租戶的安全隔離。

除了VPC外，還有一系列的安全機制，好比安全組在VPC內也能夠正常使用，還有負載均衡白名單以及即將上線的黑名單功能，後續公網相關產品會統一支持相似黑白名單的機制。另外，網絡ACL功能也在研發中，上線後能進一步增長網絡安全性。

將來，網絡產品會繼續關注企業級用戶的需求，提供更多的企業級功能和特性。