1、金山云混合云网络架构设计与实现全球网络布局六大数据中心集群:北京 上海 杭州 扬州 香港 新加坡混合云产品矩阵全局智能流量调度全局智能流量调度多云管理解决方案多云管理解决方案 异地互联解决方案异地互联解决方案金山云云 IDC公有云专属云云主机云物理机客户 IDCKing-stackBM其他云多云互联解决方案专线/VPN 解决方案云主机King-stackBM支撑混合云的网络产品金山云网络产品是以优质的IDC网络,同城 , 异地骨干网络,自建BGP网络为基础,以自主研发技术为核心, 高可用,高性能,软件定义的基础产品。单网关集群可支撑2万物理机万物理机国内最早全最早全Region VPC化化提供
2、服务自建北京,上海,广州三地冗余骨干网络冗余骨干网络80线线BGP公网公网,超500G公网带宽公网带宽提供云物理机(EPC),托管云(KIS)云解析(智能云解析(智能DNS)托管云(托管云(KIS)弹性IP对等连接负载均衡专线NATVPNVPC(虚拟私有网络)虚拟机物理机混合云-专线客户异地IDC专线特性专线特性大吞吐,低延时用户独占,数据传输安全, 无泄漏风险全链路冗余部署,高可用POP点全球覆盖,客户就近 接入VM可用区A客户同城IDC某公有云客户 Gateway客户 Gateway客户 Gateway云交换云交换金山云金山云 POP合作商合作商 POPVM可用区B金山云金山云VPC专线
3、Gateway1专线 Gateway2专线 Gateway3混合云-VPNVPNGateway客户IDC3客户IDC2客户IDC1VPN特性特性Site to Site VPN 隧道IPSec , GRE , IKEV2保证数 据传输安全可靠多机部署,自动容灾监控告警,弹性扩容VM可用区AVM可用区B客户 Gateway客户 Gateway客户 Gateway加密通道加密通道加密通道混合云-云物理机(EPC)云服务器云物理机云物理机弹性资源区弹性资源区企业专有大数据企业专有大数据 处理平台区处理平台区企业运维 人员SSL VPNNAT,EPC特性特性独享裸金属物理机,按需购 买按量付费,稳定可
4、靠无缝对接公有云VPC,使用 高质量的公网 BGP , SLB等功能。云监控;自助化带外管理; 专业高效7*24小时运维服务灵活自定义配置,满足多样 性计算,存储需求。VPCSLBInternetVPC混合云-专属云专属云专属云专属云是金山云提供的用户专属虚拟化资源池,用户 可在专属宿主机上创建自定义配置的专属云服务器, 应用领先的虚拟化技术满足资源独享、安全等需求。资源物理隔离专属宿主机VM专属宿主机VMVMVMVM特点特点灵活分配资源安全可靠异地互联多活/灾备连接解决方案金山云智能 GSLB客户IDC2VMVM可用区B可用区ARegion B客户IDC1专线/VPNVMVM可用区B可用区A
5、金山云长途 骨干网专线/VPNRegion A案例场景1-VPC上部署多层web应用Web层层10.0.2.0/24子网 B10.0.1.0/24子网 ANAT网关网关SLB数据层数据层RDS网网 络络ACL-C逻辑层逻辑层安全组B云主机云主机网网 络络ACL-B网网 络络ACL-AInternet10.0.3.0/24子网C(终端子网)安全组A云主机云主机VPC需求需求云上业务快速部署, 安全可控,业务分层。部署方式部署方式网络规划三级,配合安全组,ACL等功能进行访问控制; SLB和NAT,实现统一接入接出,并隐藏内部服务。受益受益网络规划分钟级完成,业 务隔离化,服务可扩展。案例场景2-
6、混合云电商大促VPC专线专线/VPN网关网关专线专线/VPN连接连接用户网关用户网关企业私有企业私有IDC/托管云(托管云(KIS)需求需求某大型电商业务具有较强的时 效性,双11、6.18大促销活动, 需应对突增访问量。部署方式部署方式内部核心系统与核心数据存储在用户自建数据中;云上部署服务应用服务,应对用户实时业务访问激增。受益受益企业原有核心业务安全,同时 给客户每年节省数百万成本。Internet负载均衡+NAT子网子网1-云主机云主机子网子网2-云物理机(云物理机(EPC)案例场景3-智能家居生态云Internet负载均衡+NAT双活专线双活专线客户客户 IDC,核心核心 用户数据库
7、用户数据库用户网关用户网关专线专线/VPN网关网关子网子网1-云主机,云主机,WEB 前端前端金山云金山云VPC子网子网4-云物理机云物理机(EPC) MapReduce,分布式存储集群,分布式存储集群子网子网2-RDS,KCS,MongoDB子网子网5-云物理机(云物理机(EPC) P40 GPU 训练集群训练集群子网子网3-P4 GPU 推理集群推理集群混合云网络产品核心优势软件定义网络100% 自研核心网关;分钟级网络环境自主化部署 (OpenAPI,SDK,或者控制台);混合云,多云互通。高可用全系产品SLA 99.99%;AZ内,跨AZ,跨Region三 级高可用部署;80线BGP(
8、三大运营商+数 十家中小运营商)覆盖。高性能负载均衡最大支撑吞吐带宽 120Gbps,每秒新建连接数 1800w,最大并发连接数8亿;云解析单节点超800wpps,全 国数10个节点,最大可防御超 过200G攻击。设计原则自研设备性能用户QOS性能保障SLA 99.99%云产品之间互联用户多样访问场景尽量与传统网络无差异Scale outScale up十万级VM,EIP管理多AZ扩展稳定性性能可扩展性灵活性实现方式使用技术使用技术具体实现具体实现VxlanDPDKKernel Vrouter10G/25G/40G/100GSmart NICEVPN以VPC为核心Network Functio
9、n Middle Box 实现Service ChainController实现配置管理,流量 路径控制SDN + NF实现方式VrouterVPCBMVMPub-service( YUM/DNS/S3)Private-service( Redis/RDS)EIPSLBNATVPN/DC/peerNetwork Function Middle BoxInternet公网计费/防攻击IntranetIDC/托管云 controllerVrouter+NFMB+ControllerVrouterSWSWTORTORTORTOREVPNBMBMBMBMVMVMvrouterVMCompute nod
10、eVxlan networkVMVrouter on CNBMVrouter on TOREVPNVrouterVirtiovrouterkernelNICVM OSVirtioDPDK-vrouterNIC(10G/25G)VM OSDevice driverSmart NIC(vrouter)VM OSEvolutionVMDistributed VrouterVxlan Stateless OffloadKernel + DPDK version10G-25GNIC-Smart NICSRIOVVrouterSWSWRRcontrollermpbgpnetconfBMEVPNMPBGP
11、monitor支持LB/EIP/NAT等网络产品由controller配置管理TOR(vtep)BM BMBM BMBM BMBM BMTOR(vtep)TOR(vtep)TOR(vtep)Vxlan networkIBGPBGP peerMonitorNFMBNFDPDKNICAbstract layerDPDKAbstract layerDPDKNICVendorANICVendorBNICVendorA 10/40/100NICVendorB 10/40/100NFMBX86 platformBase on DPDK故障隔离Service chain10G/40G/100G集群部署,水平
12、扩展(受限ECMP)EvolutionNF1NFnNF1NFnNFMBVPC与内网服务( YUM/S3/RDS)VPC与IDC/其他VPCVPC与InternetNFMBclusterinternetNFMBclusterNFMBclustercontroller公网互联intranet 内网服务互联 IDC/托管云/peer混合云互联NFMB.ControllerAPISDN controller clusterNetconf service clusterSwitchRouterDistribute vrouter management agentDistribute vrouter ma
13、nagement agentNFMB1management agentNFMB1management agentTenant A,BTenant C,DController管理万级别CN节点,千万级别 配置条目处理10K+cps api请求网络设备(交换机,路由器) 管理定义用户流量路径NFMB分集群管理,使NFMB 具有集群扩展能力NFMB2management agentNFMB2management agentControllerNetwork Function Middle Box ClusterVPN/DCVirtual routerVMcontrollerDC switchIDC switch用户IDC场景场景1用户vpc与自建IDC 专线互联ControllerNetwork Function Middle Box ClusterVPN/DCcontroller场景场景2用户VPC与自建 IDC专线互联,通 过专线访问S3Network function Middle box clusterPub-serviceIntranet S3DC switchIDC switch用户IDC谢谢
