網絡是奠定上層系統穩定和安全的重要基石。目前專有云版本以V3居多,且V2版本也將於2020年12月31日停止服務和技術支持。本文將對V3版本的專有云網絡架構進行介紹。
1 V3專有云網絡整體架構
圖1:V3專有云網絡架構圖
如上圖所示,V3專有云網絡整體架構的特徵如下:
- V3版本網絡架構為兩層CLOS,去除PSW層,ASW與DSW直接互連,有效降低網絡建設成本。
- 兩層組網(DSW/ASW),ASW和DSW之間跑Layer3。
- 一組ASW為基礎的網絡建設單元,全萬兆組網。
- 可根據服務器規模,選擇DSW的數量(2/4核心)和設備型號(4/8/16個slot)。
2 設計概要
- DSW數量為4臺,分為兩種規格:
(1)18個插槽DSW,每個插槽最大支持3640G端口密度(同時支持100G端口)。
(2)4個插槽DSW,每個插槽最大支持3640G端口密度(同時支持100G端口)。
- 無PSW層設計。
- ASW兩臺為一對最小部署單元,進行堆疊後提供跨設備的鏈路聚合能力。並提供48個萬兆接入端口,和440G的上行端口,240G的互連端口。
- 上聯:
(1)8槽DSW每臺預留不超過32個40G端口作為上聯CSR或者其他設備使用。整個集群最大的外聯帶寬5.12Tbps。
(2)4槽DSW每臺預留不超過16個40G端口作為上聯CSR或者其他設備使用。整個集群最大的外聯帶寬2.56Tbps。
- 每臺ASW上下行帶寬收斂比為1:3。
- ASW與DSW之間運行直連EBGP路由協議,構成underlay的邏輯拓撲。
3 功能模塊設計
V3網絡架構可劃分為綜合接入區和業務服務區,綜合接入區分為內網接入模塊、外網接入模塊,業務服務區分為綜合接入模塊、數據交換模塊。
圖2:V3網絡架構功能劃分
4 內網接入模塊
圖3:內網接入模塊結構圖
由一組兩臺CSW通過專線與客戶網絡打通,提供用戶自有網絡接入雲上VPC,實現用戶自有網絡與專有云網絡打通,既可以滿足用戶訪問雲上VPC,也可以滿足用戶的普通雲服務接入,這也就是我們通常說的“併網”。
CSW做為專有云網絡與客戶網絡的“邊界”,在金融領域實際項目中需要接入物理防火牆等安全產品保障網絡邊界安全性,另外CSW還是用戶訪問VPC虛擬網絡的入口,做為VXLAN接入點,承擔著VXLAN隧道的封裝和解封裝的重任,V1.0網絡架構中,一組CSW連接客戶專線最大支持160G。
5 外網接入模塊
圖4:外網接入模塊結構圖
由兩臺ISW/CSR作為一組外網接入節點,與ISP骨幹連接,通過靜態路由或EBGP實現雲網絡內外部路由分發,交互業務服務區通過外網接入模塊與公網互通。
需要注意的是ISW與ISP運營商的交互信息,會使用分光器獲取到一份in/out雙向流量傳輸給雲盾模塊(分流器、beaver、guard)。當出現網絡攻擊時,雲盾會給ISW發送明細路由將攻擊流量引入雲盾服務器清洗,清洗乾淨的流量通過策略路由回注回ISW。
另外ISW與CSR的區別需要看具體場景,ISW是三層交換機,CSR是路由器,默認情況外網接入模塊輸出ISW,只有對於有高級三層應用的場景或要求非以太網接口類型時可考慮採用CSR。
6 綜合接入模塊
圖5:綜合接入模塊結構圖
負責接入各類網絡雲產品,例如XGW/SLB/OPS服務器,LSW會與這些服務器跑OSPF動態路由協議,將網絡打通,實現NAT轉換、SLB負載均衡等重要功能。
7 數據交換模塊
圖6:數據交換模塊結構圖
數據交換模塊是整個IDC網絡的核心,由DSW和ASW組成,為所有云業務服務器提供接入,所有云業務服務器間的內部流量交互在本模塊內完成,根據網絡規模支持DSW2~4臺橫向擴展。整個數據交換模塊內部DSW與ASW之間,以及與各個模塊之間均用EBGP互聯,通過DSW接收ISW發佈的外網路由,發佈雲產品公網服務地址網段到ISW;ASW交換機兩兩堆疊,NC網卡bond後雙上到一組ASW,且ASW根據需要可選配千兆或者萬兆;每張網絡會固定一組千兆ASW作為XGW/SLB/OPS帶內管控接入。
