公有云基于 Overlay 技术提供的 VPC 混合云网络架构

《数据中心网络架构演进 — 从传统的三层网络到大二层网络架构》
《数据中心网络架构演进 — 从物理网络到虚拟化网络》
《数据中心网络架构演进 — CLOS 网络模型的第三次应用》
《数据中心网络架构演进 — 从 Underlay 到 Overlay 网络》
《数据中心网络架构演进 — SDN 将控制面与数据面分离》

• 企业上云已是大势所趋：通常的，企业上云会分阶段进行，第一阶段通常是外包的、互联化的非核心应用最先上云；第二阶段是企业办公应用上云；第三个阶段则是企业的核心生产系统、控制系统上云。以此推进，企业对云的依赖逐步提高，企业本地与云端的网络连接质量自然就成为了关注的焦点。

• 混合云兴起：当单纯的公有云或私有云不再能够满足企业的生产业务需求时，多种云环境并存是企业 IT 能力适应企业业务发展的唯一方向。在混合云环境中，网络要如何应对云于云之间的连接成为了重中之重。

• 云计算的 2.0 时代：应用云计算的主体从互联网行业扩展至传统行业，随着各个 B2B 市场的出现，跟云相关的 ICT 的需求也逐步增强，网络首当其冲。

目前业界广泛认同的混合云概念源自 NIST 发布的云计算定义，该定义赋予云计算五大特征、3 类业务模式、4 种部署模式。

• 五大特征：是资源池化、按需自助服务、宽带网络接入、快速弹性、服务可计量；
• 3 类业务模式：是 IaaS（基础设施即服务）、PaaS（平台即服务）、SaaS（软件即服务）；
• 4 种部署模式：公有云、社区云、私有云、混合云。

• 兼容传统和互联网应用，同时实现敏捷性和安全
• 实现规划内和规划外的灵活扩展
• 实现 DevOps 的快速迭代
• 成本效益

而且从云计算市场垂直细分的发展路径来看，单一企业对云计算的需求贯穿 IaaS、PaaS、SaaS 将会成为常态，混合云能够提供统一的资源编排平台。

• IaaS：企业的敏感数据会长期存在于在私有云，或企业数据中心，或是租用的公有云服务器中。
• PaaS：企业开发者利用公有云服务提供商持续释出的技术积累来提升自身人工智能算法、数据库方面的创新能力。
• SaaS：企业数字化转型推动采用云化的办公应用服务，比如：Azure Office 365，WorkDay，SAP 等企业应用。

举个例子：你认为从 0 开始搭建一个类似滴滴的后台雏形需要多长时间？

以谷歌云为例，最早云计算提供最简单的虚拟机和存储服务。客户需要维护自己的数据库和创建自己的算法代码。最新的云计算公司提供更完整服务，开放最新的数据库技术，提供人工智能机器学习算法（AI/ML），并且提供的完整的数据处理架构。举一个简单的例子，最近参加谷歌新加坡 Google 云研讨会，他们介绍如果从头开始一个类似滴滴的 Beta 项目， 对某个城市例如北京，实时检测司机在地图上的具体地点，乘客的路径规划要求需要匹配最优的司机。而且需要很多前台/后台工作，包括架设很多服务器处理海量请求等等。大家可以想像，如果从头开发，需要多少人来做一个类似的 APP？正常情况下大概需要 30-50 工程师，至少需要 6-12 个月开发。在谷歌云上已经提供包括地图映射，路径规划算法和信息流处理，并且很容易 Scale Out 处理海量请求。利用这种成熟的 Cloud 开发环境，一个有经验的工程师，二十分钟左右可以做一个类似滴滴雏形的后台系统。可以看到越来越多的中小企业不光采用云服务来获得便宜的计算和存储资源，越来越多的企业采用混合云来利用云公司的先进技术，数据库，人工智能算法，大规模消息处理等等来加速创新。云服务成为创新的催化剂，并且极大提高和简化技术易用性，使得中小企业不需要高端算法工程师，也能很快地推出很酷的主意，解决客户痛点。
– https://www.sdnlab.com/21293.html

再举个例子：你认为获取千台数量级的服务器扩容需要花费多少成本和时间？

2015 年的春晚，在不到 2 天的时间内共完成 1375 台阿里云 ECS 的扩容，实现了无降级业务的情况下平滑地抗住了春晚的峰值。
– https://www.infoq.cn/article/weibo-DCP1

一言以蔽之，未来的云计算不会仅仅是提供计算、存储资源，而是提供一切企业用户需要的技术平台。混合云就是企业整合技术堆栈，继而追求利益最大化的最佳手段。

全球范围内，混合云已经成为企业用云的主要形式。根据 RightScale 2019 年云状态报告，有 84% 的受访企业采用了多云战略。其中，使用混合云的企业比例继续提高，由 2018 年的 51% 增长到 2019 年的 58%。
从国内市场来看，企业应用混合云的比例仍处于较低水平。根据中国信息通信研究院调查统计，2018 年我国企业应用云计算的比例接近 6 成，其中采用混合云比例为 14%，相比 2017 年小幅度上升。中国信息通信研究院发布的《中国混合云发展调查报告（2019年）》显示，减少基础设施投资是企业采用混合云的首要原因。在企业应用混合云原因的调查中，因减少基础设施投资而选择混合云的企业占比最高，达到 56.3%，与去年相比提高了 1.6%。企业通过将并发量较大的应用迁移到混合云中的公有云上，来满足峰值处理需求，同时减少相应基础设施的投资。其次，46.8%的企业因资源拓展速度快而应用了混合云，与 2017 年相比提高了 2.6%。此外，企业应用混合云的原因还包括：增加平台可靠性（25.6%）、提高平台安全性（23.4%）和同业内已有典型应用案例（22.3%）等。缺少适合的解决方案是企业尚未应用混合云的首要原因。调查显示，出于缺少适合解决方案而未使用的混合云的企业占比达到 37.5%，与 2017 年相比提高了 12.4%。随着企业对于混合云的接受程度逐步提高，企业迁移上云的需求更加多样化，解决方案的适配性仍有较大的提升空间。其次，30.7%的企业因现有技术不够成熟而尚未应用混合云。其他因素还包括：没有明确的监管指引（19.2%）、混合云带来的优势不明显（18.3%）等。

• 灾难恢复、数据备份和负载扩容是混合云三个重要的应用场景。
• 单独管理各平台是企业最重要的混合云管理方式。
• VPN 和专线是应用较为广泛的混合云平台间的网络连接方式。
• 网络连接不够稳定是企业应用混合云面临的首要问题。

– http://www.caict.ac.cn/kxyj/qwfb/bps/201907/P020190704511581594525.pdf

随着云计算市场激烈的竞争，原来各自领域的玩家都在进行全方位的渗透，原来的公有云服务提供商，或者现在称之为云服务提供商会更加贴切。AWS、Azure、阿里云处理公有云之后，都提出了自家的私有云、专有云（公有云的专有化）、混合云全家桶方案，进一步压缩了私有云初创企业的生存空间。笔者切身的体会到，在经过了一轮洗牌之后，更多的私有云初创公司都转向、或考虑转型深耕云生态周边的服务市场，不再以单纯的云产品与大型厂商正面对碰。相反，现在仍以私有云服务立足的公司都是经受住市场考验的公司，它们都找到了赖以生存的支点，或容器、或边缘 5G、或高级人力外包服务。

混合云架构中的关键技术主要包括： 云应用架构、混合云网络、混合云管理（资源、业务、计费）、负载迁移、云爆发、云灾备、互操作性。

混合云架构需要解决以下问题：

• 集成联网：通过网络无缝连接多个云，以创建一个统一的企业环境。
• 集成身份和权限：要做一点接入，全网互通。
• 数据集成：数据通过网络在多云中流传。
• 集成资源和部署管理：跨多云集成应用程序部署和管理。
• 集成设备和边缘系统：本地物联网设备或边缘的系统可以直接接入公有云中，而不需要通过私有云中心系统再上报到公有云。
• 管理及自动化编排软件：允许用户通过由自动扩展和动态资源分配支持的自助服务门户按需、且无感的访问多云资源，私有云、公有云双线提取资源，并交替使用这两种云。

对于拥有多个分支的企业，尤其是跨国企业来说，如果业务都由总部数据中心来集中处理，随着业务量的增加，总部的处理能力和接入带宽将明显成为瓶颈。通过混合云方案，将前端服务部署在公有云上，利用公有云多 Region 和 CDN 的优势使服务尽量靠近最终用户，后端仍部署在总部私有云中。前端处理完成后，只需要少量的前后端交互访问即可完成整个业务处理。

公有云与私有云是两朵不同的云，都有自己的服务门户，而且彼此对资源的使用方式也是不一样的，公有云通常是预付费式，只要帐户里的费用足够，就可去开通与使用相应的云服务；而私有云通常是审批式，云平台只计费，但不需要支付，只需要走完相应的资源申请与审批流程，便可以去使用相应的云服务。

主要是一些网络厂商在做，帮助用户快速完成私有云与公有云网络的对接服务，达到互联互通的目的。包括 VPN、VPC 等技术。其中，VPC 是在云内单独为某一租户划分一块专有的区域，提供虚拟主机、存储、网络、安全相关资源，让租户在公有云上构建属于自己的 “私有云”，再经由 VPN 技术实现本地私有云和远程 “私有云” 的互联。

公有云的存储资源可以看成无限大，而且使用成本低，但公有云存储最大的问题就是数据的安全性与远程访问的时延，因此公有云存储最适合做企业数据的备份归档和异地容灾，而私有云存储适合做企业核心业务的在线存储。

• 容灾产品：主要是新一代的容灾厂商在做，例如：Veeam，可以将本地 VMware vCenter 的虚拟机与公有云中的虚拟机建立容灾，当本地虚拟机故障时，可以马上在公有云上启动并建立业务网络，以此达到容灾的效果。
• 备份产品：主要是存储厂商在做，例如：XSKY，通过用户自定义的策略将用户的数据备份到公有云，并可以恢复到本地。
• 迁移产品：有一些新兴的初创公司和公有云服务提供商自己在做，例如：AWS Storage Gateway，通过存储建立本地存储和公有云存储的连接通道。

VPC 最早由 AWS 在 2009 年提出，不过 VPC 的一些组成元素（网络、存储、计算）在其提出之前就已经存在。VPC 只是将这些元素以私有云的视角重新包装了一下，单一用户的云主机只能使用 VPC 内部的元素。所以 VPC 的本质是公有云服务商以打包的形式提供服务。
用户可以在公有云上创建一个或者多个 VPC，每个部门一个 VPC，对于需要连通的部门创建 VPC 连接。同时，用户也可以通过 VPN 将自己内部的数据中心与公有云上的 VPC 连接，构成混合云。不论哪种用例，VPC 都以更加直观形象让用户来设计如何在公有云上存放自己的数据。

VPC 有两种硬件租用模式，共享（shared）和专属（dedicated）。前者指 VPC 中的虚拟机运行在共享的硬件资源上；后者是指 VPC 中的虚拟机运行在专属的硬件资源上，不同 VPC 中的虚拟机在物理上是隔离的，同时 VPC 还帮助实现了网络上的隔离。专属模式相当于用户直接向公有云服务商租用物理主机，适合对数据安全比较敏感的用户。

NOTE：专属 VPC 与私有云的多租户隔离有本质的区别，多租户隔离是为了 “共享” 底层基础架构的物理资源，只能做到管理面和数据面的隔离，做不到故障面的隔离（因为物力资源是共享的）。

从技术的角度来看：VPC 是用户专属的一个二层网络，是一个构建在 L3 之上的 L2 Overlay 网络。VPC 的数据封装与 VxLAN 之类的 Overlay 网络技术很类似，原始的二层帧，被 VPC 标签封装，之后再封装到另一个 IP 数据包内。

NOTE：VPC 虽然指的是专有二层网络，但是跟网络配套的资源有很多，这些网络资源都是以 VPC 作为单位划分。定义在一个 VPC 内的网络资源，只能被这个 VPC 内的虚机使用。这些网络资源包括：Security Group, Subnet, Network ACL, Routing Table, Router。

VPC 的本质就是一个租户专属的二层网络，所以同样存在 L2 广播域跨 POD 的问题，这个问题我们在之前已经提到过，不再赘述。总之，VPC 解决这个问题的方案依旧是采用了 Overlay 技术。可见，VPC 通常是一个 L2 in L3 或 IP in IP，甚至是 VLAN in VLAN（QinQ）的 Overlay 网络。

AWS 还提供了一个 Edge（边缘）设备（Blackfoot Edge Device），它使得 VPC 变得异常强大，是公有云厂商的真正竞争力的所在。通过这个 Edge，VPC 可以做到：

• 与别的 VPC 相连

• 与互联网相连

• 与用户私有云的 VPN 相连

还是以 AWS VPC 为例，VPC 通常会有一个 IGW（Internet GW）提供缺省路由 NAT/LB 等功能。还会提供一个 VGW 来提供 IPSec 互联。AWS 提供了一个边缘设备（Blackfoot Edge Device）来提供 VGW IPSec 功能，它使得 VPC 变得异常强大，是公有云厂商的真正竞争力的所在。

• Private Link：满足多个 VPC 互访需求，用户可以在 VPC 上注册一个私有链路（Private Link），在 VPC上 提供 Elastic Network Interfaces（ENI），其他 VPC 可以通过这个 ENI 以白名单方式访问对应 VPC 的资源。
  
• Internet traffic：与互联网相连，走 IGW。
• VPN：与私有云的 VPN 相连。
• S3/DynamoDB Endpoints：与 AWS 的其他服务相连。