阿里云专有云网络架构
- 叶脊(spine-leaf)网络和传统三层网络
- 拓扑
- 对比
- 阿里云网络架构V3
- 拓扑
- 角色介绍
- 推荐设备
- 设备组网举例
- 带外管理网络
- 带外网和带内网对比
- 设备介绍
- 安全网络
- 设备介绍
- 参考
后续更新流量分析
叶脊(spine-leaf)网络和传统三层网络
拓扑
对比
| 对比项目 | 叶脊网络 | 传统三层网络 |
|---|---|---|
| 架构拓扑 | 采用叶节点(ToR)和脊节点(Spine)的两层架构,叶节点与脊节点直接相连,所有叶节点之间的通信都通过脊节点进行数据交换 | 采用核心层、汇聚层和接入层的三层架构,接入层负责连接终端设备,汇聚层将多个接入层连接起来,核心层负责快速转发大量数据 |
| 端口需求 | 叶节点和脊节点通常需要大量的高速端口来实现彼此之间的互联,以满足高带宽需求 | 核心层设备需要具备大量高速端口用于连接汇聚层设备,汇聚层设备端口数量需求相对核心层少,接入层设备端口密度要求较高,但端口速率相对较低 |
| 扩展性 | 扩展能力强,增加叶节点或脊节点相对简单,只需增加相应设备并连接到现有网络即可,能较好地应对数据中心规模的快速扩展 | 扩展性相对受限,扩展时需要考虑核心层、汇聚层和接入层设备的升级和扩展,涉及多个层次的配置和调整,复杂度较高 |
| 网络延迟 | 在叶节点间通信时,如果数据需要经过多个脊节点转发,可能会引入一定的延迟,但在合理设计下可以控制在较低水平 | 数据在从接入层到核心层再到目的接入层的传输过程中,通常会经过多个设备和链路,可能会产生较高的延迟 |
| 可靠性 | 具备较高的可靠性,脊节点之间通常采用冗余连接,叶节点与多个脊节点相连,当部分链路或设备出现故障时,数据可以通过其他路径传输 | 通过在各层设备之间采用冗余链路和备份机制来提高可靠性,但相对来说故障恢复时间可能较长,尤其是跨层故障时 |
| 成本 | 初期建设成本较高,需要大量高性能的叶节点和脊节点设备,且设备之间的高速互联线缆成本也较高,但在大规模数据中心场景下,长期运营成本可能较低 | 在中小规模网络中,建设成本相对较低,但在大规模网络中,由于需要较多的设备和复杂的布线,总体成本可能会增加 |
| 配置复杂度 | 相对简单,主要集中在叶节点和脊节点的配置,路由策略等相对清晰 | 配置较为复杂,需要在核心层、汇聚层和接入层分别进行不同功能的配置,包括VLAN划分、路由协议配置等 |
阿里云网络架构V3
拓扑
阿里云专有云 V3 网络架构并非单纯的传统三层网络或叶脊网络,而是融合了两者优势的混合架构
角色介绍
| 设备角色 | 名称 | 功能 |
|---|---|---|
| 云盾 | Aliguard | DDoS 防护和 WAF 等形式对外部攻击进行拦截;在内部网络,通过安全漏洞扫描和密钥管理服务对云资产进行全面保护 |
| LSW | 接入层交换机(Layer - Access Switch) | 作为网络的边缘设备,LSW 是网络流量的入口和出口 |
| ASW | 接入交换机(Access Switch) | 负责接入服务器,实现服务器与网络的连接,提供端口资源供服务器上联,完成数据的汇聚与分发等功能 |
| DSW | 汇聚交换机/分布交换机(Distribution Switch) | 汇聚多个接入交换机的数据,进行数据的整合与初步处理,提供更高速率的端口与核心交换机连接,实现不同接入区域之间的数据交互,承担一定的流量控制和安全策略实施功能 |
| ISW | 互联交换机(Inter-Connection Switch)/核心交换机 | 互联SP、客户外网、客户骨干网接入,或多AZ,多Regiont场景下DCl互联外网接入 |
| CSW | 客户接入交换机(Customer Switch) | 客户内网接入,VPC转往接入 |
| SLB | 服务器负载均衡器(Server Load Balancer) | 将网络流量均匀地分配到多个服务器或服务实例上,以实现服务器资源的合理利用,提高系统的可用性和性能,通过健康检查等机制监控后端服务器的状态,确保流量分配到正常运行的服务器上 |
| XGW | 扩展网关(Extended Gateway) | XGW 能够支持多个 VPC(虚拟专用网络)之间的隔离与互联 具备对多种网络协议的支持能力,如 TCP、UDP、ICMP 等 可配置丰富的安全策略,如访问控制列表(ACL)、防火墙规则等 |
| OPS | 运维(Operations) | 运维操作、管理、监控等工作相关的设备集合,不单指设备或人 |
| NCs | 服务器节点(Node Computers 或 Network Computers) | 承载业务应用和数据处理的核心设备 它们具备计算、存储和网络通信等功能,能够运行各种操作系统和应用程序,为企业的业务系统提供所需的计算资源和服务支持,例如处理数据库事务、运行 Web 服务、进行大数据分析计算等 |
LSW和ASW作用相似,区别是:
ASW更侧重于面向服务器接入场景
LSW应用场景相对更广泛,除了连接服务器外,还大量用于连接各种终端用户设备
推荐设备
| 设备角色 | 推荐设备(华为) | 图例 |
|---|---|---|
| ASW | CE6851-48S6Q-Hl |  |
| LSW | CE6851-48S6Q-HI |  |
| CSW | CE8860-4C-EI |  |
| ISW | CE6851-48S6Q-Hl |  |
| DSW | CE12804E |  |
设备组网举例
| 设备角色 | 型号 | 数量 | 下联带宽 | 上联带宽 | 下联接入设备数量 | 上联接入设备数量 | 备注 |
|---|---|---|---|---|---|---|---|
| ASW | CE6841 | 128 | 128*48*10G | 128*4*40G | 128*48/2 | 4 | 还有6条40G互联端口,用于可靠性配置 |
| DSW | CE12804 | 4 | 4*36*40G | 4*16*40G | 128 | 4*36-128 |
- 下联带宽为什么比上联多
在大多数网络应用场景中,存在着明显的流量不对称性
终端设备的请求属于上联带宽,服务器的发送数据属于下联带宽,明显上联带宽的需求更低
这里有个概念收敛比,就是两者的比值,一般在1:3左右
但是当下联带宽总和为 160G,而上联带宽只有 40G 时,理论上在某一时刻下联端口即使有大量数据要发送,也只能有 40G 的数据能够同时通过上联端口传输出去,其余数据需要等待缓冲,这就是上联带宽对下联带宽的限制作用
综合来说,这样设计的原因是为了控制成本,极端情况需求可以选择收敛比更高的组网
带外管理网络
带外管理网络(Out-of-Band Management Network)是一种独立于业务数据网络的设计,用于设备管理、监控和运维,确保在业务网络故障时仍能对基础设施进行可靠控制
涉及带外的设备,简写都带O,比如,带外ASW——OASW
带内网络就是业务网和管理网在同一网络中
带外网和带内网对比
| 特性 | 带外管理网络 | 带内管理网络 |
|---|---|---|
| 网络路径 | 独立物理链路,与业务隔离 | 与业务流量共享同一链路 |
| 可靠性 | 高(不受业务流量影响) | 依赖业务网络稳定性 |
| 安全性 | 更高(独立访问控制) | 需依赖业务网络安全策略 |
| 典型协议 | IPMI、Redfish、SNMP、SSH | SSH、HTTP、API(如OpenStack) |
| 适用场景 | 硬件级运维、紧急恢复 | 日常业务管理和资源调度 |
设备介绍
| 英文简称英文全称 | 中文名称 | 功能描述 | 所属分区 | |
|---|---|---|---|---|
| ISW | Inter-ConnectionSwitch | 互联交换机 | 互联ISP、客户外网、客户骨干网接入,或 多AZ,多Region场景下DCl互联 | 外网接入 |
| OMR | Out-of-BandMangerSwitch | 带外核心交换机 | 带外核心网关设备 | 带外管理 |
| OSW-N | Out-of-BandSwitchforNetworkDeivces | 带外汇聚交换机-网络 | 网络设备带外接入汇聚 | 带外管理 |
| OSW-S | Out-of-BandSwitchforServers | 带外汇聚交换机-服务器 | 服务器带外接入汇聚 | 带外管理 |
| OASW | Out-of-BandAccessSwitch | 带外接入交换机 | 带外接入层交换机 | 带外管理 |
| ACS | AccessControl Server | 串口服务器 | 串口服务器,联网络设备的console口,作 设备管理 | 带外管理 |
- 比较MGNT和console口
| 比较项 | MGNT口 | Console口 |
|---|---|---|
| 功能用途 | 用于设备的远程管理、配置、监控、软件升级等操作,可实现对设备的日常管理和维护 | 主要用于设备的初始配置和紧急故障处理,当设备无法通过网络正常通信时,通过Console口进行本地配置 |
| 连接方式 | 一般通过RJ45接口,使用专用管理线缆连接到管理终端或通过网络IP地址进行远程访问 | 通过RJ45接口,使用Console线缆连接到计算机的串口(COM口)或USB转串口设备 |
| 通信范围 | 可实现远程管理,只要设备和管理终端在网络可达范围内即可进行通信 | 通常是本地连接,管理终端需与设备物理连接,通信范围仅限于设备附近 |
| 数据传输量 | 主要传输设备管理相关的数据,如配置信息、监控数据等,数据传输量相对较小 | 在初始配置和故障处理时传输少量配置命令和反馈信息,数据传输量也较小 |
| 安全性 | 具有严格的访问控制机制,通过用户名、密码、IP地址等进行授权访问,保障设备管理的安全性 | 一般在本地连接时使用,相对来说安全性依赖于物理环境的安全,但也可设置密码等进行一定的保护 |
| 适用场景 | 适用于对设备进行日常的远程管理和维护,如企业网络中对核心设备的集中管理、数据中心对服务器和网络设备的统一监控等 | 适用于设备的首次安装配置、设备故障时的紧急修复等场景,如新设备上线前的初始参数设置、设备网络接口故障时的本地配置 |
- 配置带外管理网络
安全网络
流量检测
beaver检测到流量含有攻击特征,通过干兆口下发清洗消息给aliguard千兆口
流量牵引
aliguard收到消息后下发送32位掩码的bgp路由给ISW设备,从而攻击流量通过ISW牵引至aliguard
流量清洗
AliGuard按照流量清洗模板对攻击流量清洗
流量回注
清洗的流量由AliGuard端口绑定VPN的方式回注到内网
设备介绍
| 设备 | 型号举例(华为) | 图例 | 功能 |
|---|---|---|---|
| 分光器 | SPL1202 |  | 光信号的分配和管理 local表示观察,mirror表示镜像,remote表示远程连接 |
| 分流器 | 派网 ng-tap |  | 将进入网络的流量按照一定规则,分发到多个后端服务器或链路中 |
参考
https://www.panabit.com/Article?article_id=204
阿里云专有云网络架构.pdf
