阿里云專有云網絡架構
- 葉脊(spine-leaf)網絡和傳統三層網絡
- 拓撲
- 對比
- 阿里云網絡架構V3
- 拓撲
- 角色介紹
- 推薦設備
- 設備組網舉例
- 帶外管理網絡
- 帶外網和帶內網對比
- 設備介紹
- 安全網絡
- 設備介紹
- 參考
后續更新流量分析
葉脊(spine-leaf)網絡和傳統三層網絡
拓撲
對比
| 對比項目 | 葉脊網絡 | 傳統三層網絡 |
|---|---|---|
| 架構拓撲 | 采用葉節點(ToR)和脊節點(Spine)的兩層架構,葉節點與脊節點直接相連,所有葉節點之間的通信都通過脊節點進行數據交換 | 采用核心層、匯聚層和接入層的三層架構,接入層負責連接終端設備,匯聚層將多個接入層連接起來,核心層負責快速轉發大量數據 |
| 端口需求 | 葉節點和脊節點通常需要大量的高速端口來實現彼此之間的互聯,以滿足高帶寬需求 | 核心層設備需要具備大量高速端口用于連接匯聚層設備,匯聚層設備端口數量需求相對核心層少,接入層設備端口密度要求較高,但端口速率相對較低 |
| 擴展性 | 擴展能力強,增加葉節點或脊節點相對簡單,只需增加相應設備并連接到現有網絡即可,能較好地應對數據中心規模的快速擴展 | 擴展性相對受限,擴展時需要考慮核心層、匯聚層和接入層設備的升級和擴展,涉及多個層次的配置和調整,復雜度較高 |
| 網絡延遲 | 在葉節點間通信時,如果數據需要經過多個脊節點轉發,可能會引入一定的延遲,但在合理設計下可以控制在較低水平 | 數據在從接入層到核心層再到目的接入層的傳輸過程中,通常會經過多個設備和鏈路,可能會產生較高的延遲 |
| 可靠性 | 具備較高的可靠性,脊節點之間通常采用冗余連接,葉節點與多個脊節點相連,當部分鏈路或設備出現故障時,數據可以通過其他路徑傳輸 | 通過在各層設備之間采用冗余鏈路和備份機制來提高可靠性,但相對來說故障恢復時間可能較長,尤其是跨層故障時 |
| 成本 | 初期建設成本較高,需要大量高性能的葉節點和脊節點設備,且設備之間的高速互聯線纜成本也較高,但在大規模數據中心場景下,長期運營成本可能較低 | 在中小規模網絡中,建設成本相對較低,但在大規模網絡中,由于需要較多的設備和復雜的布線,總體成本可能會增加 |
| 配置復雜度 | 相對簡單,主要集中在葉節點和脊節點的配置,路由策略等相對清晰 | 配置較為復雜,需要在核心層、匯聚層和接入層分別進行不同功能的配置,包括VLAN劃分、路由協議配置等 |
阿里云網絡架構V3
拓撲
阿里云專有云 V3 網絡架構并非單純的傳統三層網絡或葉脊網絡,而是融合了兩者優勢的混合架構
角色介紹
| 設備角色 | 名稱 | 功能 |
|---|---|---|
| 云盾 | Aliguard | DDoS 防護和 WAF 等形式對外部攻擊進行攔截;在內部網絡,通過安全漏洞掃描和密鑰管理服務對云資產進行全面保護 |
| LSW | 接入層交換機(Layer - Access Switch) | 作為網絡的邊緣設備,LSW 是網絡流量的入口和出口 |
| ASW | 接入交換機(Access Switch) | 負責接入服務器,實現服務器與網絡的連接,提供端口資源供服務器上聯,完成數據的匯聚與分發等功能 |
| DSW | 匯聚交換機/分布交換機(Distribution Switch) | 匯聚多個接入交換機的數據,進行數據的整合與初步處理,提供更高速率的端口與核心交換機連接,實現不同接入區域之間的數據交互,承擔一定的流量控制和安全策略實施功能 |
| ISW | 互聯交換機(Inter-Connection Switch)/核心交換機 | 互聯SP、客戶外網、客戶骨干網接入,或多AZ,多Regiont場景下DCl互聯外網接入 |
| CSW | 客戶接入交換機(Customer Switch) | 客戶內網接入,VPC轉往接入 |
| SLB | 服務器負載均衡器(Server Load Balancer) | 將網絡流量均勻地分配到多個服務器或服務實例上,以實現服務器資源的合理利用,提高系統的可用性和性能,通過健康檢查等機制監控后端服務器的狀態,確保流量分配到正常運行的服務器上 |
| XGW | 擴展網關(Extended Gateway) | XGW 能夠支持多個 VPC(虛擬專用網絡)之間的隔離與互聯 具備對多種網絡協議的支持能力,如 TCP、UDP、ICMP 等 可配置豐富的安全策略,如訪問控制列表(ACL)、防火墻規則等 |
| OPS | 運維(Operations) | 運維操作、管理、監控等工作相關的設備集合,不單指設備或人 |
| NCs | 服務器節點(Node Computers 或 Network Computers) | 承載業務應用和數據處理的核心設備 它們具備計算、存儲和網絡通信等功能,能夠運行各種操作系統和應用程序,為企業的業務系統提供所需的計算資源和服務支持,例如處理數據庫事務、運行 Web 服務、進行大數據分析計算等 |
LSW和ASW作用相似,區別是:
ASW更側重于面向服務器接入場景
LSW應用場景相對更廣泛,除了連接服務器外,還大量用于連接各種終端用戶設備
推薦設備
| 設備角色 | 推薦設備(華為) | 圖例 |
|---|---|---|
| ASW | CE6851-48S6Q-Hl |  |
| LSW | CE6851-48S6Q-HI |  |
| CSW | CE8860-4C-EI |  |
| ISW | CE6851-48S6Q-Hl |  |
| DSW | CE12804E |  |
設備組網舉例
| 設備角色 | 型號 | 數量 | 下聯帶寬 | 上聯帶寬 | 下聯接入設備數量 | 上聯接入設備數量 | 備注 |
|---|---|---|---|---|---|---|---|
| ASW | CE6841 | 128 | 128*48*10G | 128*4*40G | 128*48/2 | 4 | 還有6條40G互聯端口,用于可靠性配置 |
| DSW | CE12804 | 4 | 4*36*40G | 4*16*40G | 128 | 4*36-128 |
- 下聯帶寬為什么比上聯多
在大多數網絡應用場景中,存在著明顯的流量不對稱性
終端設備的請求屬于上聯帶寬,服務器的發送數據屬于下聯帶寬,明顯上聯帶寬的需求更低
這里有個概念收斂比,就是兩者的比值,一般在1:3左右
但是當下聯帶寬總和為 160G,而上聯帶寬只有 40G 時,理論上在某一時刻下聯端口即使有大量數據要發送,也只能有 40G 的數據能夠同時通過上聯端口傳輸出去,其余數據需要等待緩沖,這就是上聯帶寬對下聯帶寬的限制作用
綜合來說,這樣設計的原因是為了控制成本,極端情況需求可以選擇收斂比更高的組網
帶外管理網絡
帶外管理網絡(Out-of-Band Management Network)是一種獨立于業務數據網絡的設計,用于設備管理、監控和運維,確保在業務網絡故障時仍能對基礎設施進行可靠控制
涉及帶外的設備,簡寫都帶O,比如,帶外ASW——OASW
帶內網絡就是業務網和管理網在同一網絡中
帶外網和帶內網對比
| 特性 | 帶外管理網絡 | 帶內管理網絡 |
|---|---|---|
| 網絡路徑 | 獨立物理鏈路,與業務隔離 | 與業務流量共享同一鏈路 |
| 可靠性 | 高(不受業務流量影響) | 依賴業務網絡穩定性 |
| 安全性 | 更高(獨立訪問控制) | 需依賴業務網絡安全策略 |
| 典型協議 | IPMI、Redfish、SNMP、SSH | SSH、HTTP、API(如OpenStack) |
| 適用場景 | 硬件級運維、緊急恢復 | 日常業務管理和資源調度 |
設備介紹
| 英文簡稱英文全稱 | 中文名稱 | 功能描述 | 所屬分區 | |
|---|---|---|---|---|
| ISW | Inter-ConnectionSwitch | 互聯交換機 | 互聯ISP、客戶外網、客戶骨干網接入,或 多AZ,多Region場景下DCl互聯 | 外網接入 |
| OMR | Out-of-BandMangerSwitch | 帶外核心交換機 | 帶外核心網關設備 | 帶外管理 |
| OSW-N | Out-of-BandSwitchforNetworkDeivces | 帶外匯聚交換機-網絡 | 網絡設備帶外接入匯聚 | 帶外管理 |
| OSW-S | Out-of-BandSwitchforServers | 帶外匯聚交換機-服務器 | 服務器帶外接入匯聚 | 帶外管理 |
| OASW | Out-of-BandAccessSwitch | 帶外接入交換機 | 帶外接入層交換機 | 帶外管理 |
| ACS | AccessControl Server | 串口服務器 | 串口服務器,聯網絡設備的console口,作 設備管理 | 帶外管理 |
- 比較MGNT和console口
| 比較項 | MGNT口 | Console口 |
|---|---|---|
| 功能用途 | 用于設備的遠程管理、配置、監控、軟件升級等操作,可實現對設備的日常管理和維護 | 主要用于設備的初始配置和緊急故障處理,當設備無法通過網絡正常通信時,通過Console口進行本地配置 |
| 連接方式 | 一般通過RJ45接口,使用專用管理線纜連接到管理終端或通過網絡IP地址進行遠程訪問 | 通過RJ45接口,使用Console線纜連接到計算機的串口(COM口)或USB轉串口設備 |
| 通信范圍 | 可實現遠程管理,只要設備和管理終端在網絡可達范圍內即可進行通信 | 通常是本地連接,管理終端需與設備物理連接,通信范圍僅限于設備附近 |
| 數據傳輸量 | 主要傳輸設備管理相關的數據,如配置信息、監控數據等,數據傳輸量相對較小 | 在初始配置和故障處理時傳輸少量配置命令和反饋信息,數據傳輸量也較小 |
| 安全性 | 具有嚴格的訪問控制機制,通過用戶名、密碼、IP地址等進行授權訪問,保障設備管理的安全性 | 一般在本地連接時使用,相對來說安全性依賴于物理環境的安全,但也可設置密碼等進行一定的保護 |
| 適用場景 | 適用于對設備進行日常的遠程管理和維護,如企業網絡中對核心設備的集中管理、數據中心對服務器和網絡設備的統一監控等 | 適用于設備的首次安裝配置、設備故障時的緊急修復等場景,如新設備上線前的初始參數設置、設備網絡接口故障時的本地配置 |
- 配置帶外管理網絡
安全網絡
流量檢測
beaver檢測到流量含有攻擊特征,通過干兆口下發清洗消息給aliguard千兆口
流量牽引
aliguard收到消息后下發送32位掩碼的bgp路由給ISW設備,從而攻擊流量通過ISW牽引至aliguard
流量清洗
AliGuard按照流量清洗模板對攻擊流量清洗
流量回注
清洗的流量由AliGuard端口綁定VPN的方式回注到內網
設備介紹
| 設備 | 型號舉例(華為) | 圖例 | 功能 |
|---|---|---|---|
| 分光器 | SPL1202 |  | 光信號的分配和管理 local表示觀察,mirror表示鏡像,remote表示遠程連接 |
| 分流器 | 派網 ng-tap |  | 將進入網絡的流量按照一定規則,分發到多個后端服務器或鏈路中 |
參考
https://www.panabit.com/Article?article_id=204
阿里云專有云網絡架構.pdf
)
 spring-security-oauth2 官方表結構解析)
