跨 VPC 大规模组网

本文介绍如何利用云平台中的网络组件，构建跨越多个 VPC 的大规模网络。

适用场景

当企业业务非常复杂时，VPC 内云服务器数量的增长会导致防火墙规则数量指数级爆炸增长，将严重消耗网络性能。这时，便可以充分利用 VPC 网络自身的隔离功能，组建安全的大规模网络。VPC 网络 100% 二层隔离，天然具备安全可靠性。

组网方案

方案一：小规模跨 VPC 通信

VPC 自身的 NAT 功能 和 VPN 组件，可以应用在小规模的跨 VPC 通信场景下，例如用于 VPC 内云服务器对外提供服务。

通过 VPC 的 NAT 功能

VPC 网络支持源地址转换（通过公网 IP）和目的地址转换（通过“端口转发”）。

给 VPC 绑定一个公网 IP ，会自动配置源 NAT 功能，VPC 内所有机器可以使用 VPC 的公网地址去访问公网，就不再需要每台机器绑定公网 IP 地址。

端口转发通过转发公网 IP 的不同端口给不同云服务器，VPC 内的不同机器可以使用 VPC 的公网地址的不同端口来对外提供服务。

劣势：由于常见的 HTTP 和 HTTPS 服务需要用 80 端口和 443 端口对公网提供服务，而端口转发一个端口只能对应后端一台服务器，所以不适用大规模的 Web 服务。因此，VPC 的 NAT 功能对于单一端口的应用和服务不具备广泛适用性，不太适用构建大量的跨 VPC 服务。

通过隧道和 VPN 服务

在 VPC 内还可以使用隧道服务，基于 Internet，通过加密通道将企业数据中心、企业办公网络、或 Internet 终端、VPC 和 VPC 安全连接起来。

VPN 服务也是基于 Internet 的传输加密方式，在单台机器而非整个网络连接 VPC 内网时可以通过输入登录名密码的方式简单实现。

劣势：虽然隧道和 VPN 对数据进行了加密，但是仍然完全依赖公网链路，所以无法避免公网的波动导致的网络不稳定。如果 VPN 和隧道经过的网络链路出现丢包和高延迟，将导致网络服务的波动。

方案二：搭建大规模高性能自治网络

通过采用内网路由器实现大规模高性能的跨 VPC 通信：内网路由器可以将企业内网从单一路由的 VPC 网络，扩展为一个虚拟的自治系统(Autonomous Systems)。其架构图如下：

架构说明：

• 虚拟路由器是分布在各个物理计算节点的分布式路由器 DVR (Distributed Virtual Router)，由于数据包并未真正汇聚到某个虚拟路由器中，所以避免了单点故障和单点性能瓶颈。
  
• 内网路由器运行在物理交换机上，性能和稳定性都远远强于虚拟路由器，物理交换机之间还存在bonding，防止单点故障。
  
• 通过内网路由器实现不同 VPC 之间的私有网络直接三层互通，所以内网路由器是整个虚拟网络的核心路由器。在逻辑上，云上的网络和物理网络已基本没有区别，且完全摆脱了命令行，能够以可视化界面管理您的 “自治网络” 。
  

操作方法：

1. 在控制台中，您可以选择需要关联内网路由器的私有网络，内网路由器在三层转发的性能远远超过普通的 VPC ，所以也可以将内网路由器绑定到 VPC，加强 VPC 的内网 PPS 和带宽性能。 
   
2. 在内网路由器里加入私有网络 Vxnet 后，您需要在私有网络所在的 VPC 配置内网路由策略，将对目标网络的下一跳指向内网路由器。
   
   

方案三：云上构建“两地三中心”的网络

对 IT 企业来说，传统的单数据中心，已不足以保护企业数据的安全。因此，云平台在 PEK3a / PEK3 / SH1A / GD2 区域之间搭建了物理专线，方便大型企业打造容灾的网络架构。

通过内网路由器+网关（+云平台专线）的方式，可以直接利用机房间的专线，从物理链路层实现高可靠，打通不同可用区之间的 VPC ，在公有云上实现“两地三中心”的网络架构。

构建“两地三中心”的网络，与上一节中搭建“自治网络”的操作一致，只需要额外在每个业务可用区部署一个网关。完整的操作步骤请见 VPC 跨区互联。

方案四：构建云上云下“云网一体化”

内网路由器除了作为公有云的核心路由器，也可以作为公有云的“边界路由”，与私有云的边界设备打通，构建“云网一体化”方案。

内网路由器可以用于承接来自边界网关和 SD-WAN 的流量，发挥边界路由作用，与 SD-WAN 共同构建跨多地域多 VPC，云上云下一体的“云网一体化”方案。

SD-WAN 接入不受地域限制，只需要盒子连接公网；专线接入目前覆盖北上广一线城市，提供物理链路支持。

企业 WAN 网采用***的 SD-WAN 方案，接入方式可以选择普通宽带接入或者物理专线接入，还支持 MPLS/VPN 和 4G LTE 等多种接入方式，让您轻松摆脱运营商网络抖动、丢包问题，具备实时监控隧道质量, 动态链路切换的功能。同时可以即插即用，无需二次部署和配置。

FAQ

Q：为什么不使用负载均衡器？

A：负载均衡器功能属于 4 ~ 7 层设备，依赖 2 ~ 3 层的互通，而不是去实现 2 ~ 3 层互通。若已有网络 ping 不通，是无法通过负载均衡器解决的。除非您绑定一个公网 IP。但这种方式的互通是公网 IP 去实现的，也并非通过负载均衡器实现了互通。并且，针对只对内网开放的服务（比如开发测试环境），是不允许绑定公网 IP 的，从成本来说也是浪费公网的流量。