網絡是云計算數據中心最重要的部分，這主要體現在：

網絡的重要性：網絡連接所有節點，各類服務都通過網絡鏈接，用戶通過網絡遠程操作。沒有網絡，一切都是空的。

網絡的復雜性：不像一般的業務系統，要么是單服務器級別的或者集群級別的；網絡系統基本上都是數據中心級別的，在整個數據中心的規模上，構建各種復雜的網絡業務邏輯，整個系統復雜度非常高。

網絡故障的嚴重性：計算服務器故障、存儲服務器故障都是相對局部的故障，而網絡故障則牽一發而動全身。任何一個微小的網絡故障，都可能會引起整個數據中心不可用，網絡故障一旦發生，必然是重大故障。

如果按照功能邏輯把網絡分層，云計算數據中心網絡可以分成三層：

第一層，物理網絡。基礎的物理承載網絡，也就是我們通常所理解的Underlay底層承載網。物理網絡跟用戶沒有直接關系，因此沒有必要暴露給用戶。

第二層，虛擬網絡。基于基礎的物理網絡構建的虛擬網絡，也就是我們通常理解的基于隧道的Overlay網絡。虛擬網絡主要用于租戶隔離，典型服務如AWS的虛擬私有網絡VPC；

第三層，應用網絡。各種用戶可見的應用級的網絡服務，比如接入網關、負載均衡等，如AWS的彈性負載均衡ELB。

1 AWS網絡相關服務概覽

云計算快速發展，產生了很多網絡相關的產品服務，如表 8.1所示，以AWS為例，介紹網絡相關的產品服務。

表 1AWS的網絡和分發服務（或功能）

2 虛擬私有網絡服務VPC

借助VPC，用戶可以在AWS云中預置一個邏輯隔離的私有網，在自定義的這個虛擬網絡中啟動AWS資源。用戶可以完全掌控自己的虛擬網絡環境，包括選擇自己的IP地址范圍、創建子網以及配置路由表和網絡網關。用戶VPC中可以使用IPv4和IPv6，因此能夠輕松安全地訪問資源和應用程序。

用戶可以輕松自定義VPC的網絡配置。例如，可以為Web服務器創建一個能訪問Internet的公有子網。此外，還可以將后端系統（如數據庫或應用程序服務器）安置在無Internet訪問的私有子網中?？梢允褂冒踩M和網絡訪問控制列表等多種安全層，對各個子網中的EC2實例的訪問進行控制。

VPC的功能總結如下：

在AWS的可擴展基礎設施中創建VPC，并可以選擇任何的私有IP地址范圍；

通過添加輔助IP范圍來擴展VPC；

將VPC的私有IP地址范圍分割成一個或多個公有或私有子網，以便在VPC中運行應用程序和服務；

使用網絡控制列表控制進出各個子網的入站和出站訪問；

在S3中存儲數據并設置權限，以便僅可從VPC內部訪問這些數據；

為VPC中的實例分配多個IP地址并連接多個彈性網絡接口；

將一個或多個彈性IP地址連接到VPC中的某個實例，以便直接從Internet訪問該實例；

將VPC與其他VPC相連接，可以跨VPC訪問其他VPC中的資源；

通過VPC終端節點建立與AWS服務的私有連接，無需使用Internet網關、NAT或防火墻代理；

建立到私有服務或由AWS PrivateLink提供支持的SaaS解決方案的私有連接；

使用AWS站點到站點VPN橋接VPC和現場IT基礎設施；

在EC2-Classic平臺中啟用EC2實例，以使用私有IP地址與VPC中的實例進行通信；

將VPC安全組與EC2-Classic中的實例進行關聯；

使用VPC Flow Logs來記錄有關進出VPC的網絡接口的網絡流量的信息；

支持VPC中的IPv4和IPv6；

使用VPC流量鏡像，為EC2實例捕獲和鏡像網絡流量；

使用網絡和安全設備（包括第三方產品）來阻止或分析入口和出口流量。

3 彈性負載均衡ELB

ELB在多個目標（如EC2實例、容器、IP地址和Lambda函數）之間自動分配傳入的應用程序流量。它可以在單個可用區內處理不斷變化的應用程序流量負載，也可以跨多個可用區處理此類負載。

ELB提供三種負載均衡器，它們均能實現高可用性、自動擴展和可靠的安全性，因此能讓用戶的應用程序獲得容錯能力：

ALB（Application Load Balancer，應用負載均衡器）：ALB最適合HTTP和HTTPS流量的負載均衡，面向包括微服務和容器在內的現代應用程序架構，提供高網絡層級請求的路由功能。ALB運行于單獨的請求級別（第7層），可根據請求的內容將流量路由至VPC內的不同目標。

NLB（Network Load Balancer, 網絡負載均衡器）：若要對需要極高性能的傳輸控制協議（TCP）、用戶數據報協議（UDP）和傳輸層安全性（TLS）協議流量進行負載均衡，最適合使用網絡負載均衡器。網絡負載均衡器運行于連接層（第4層），可將流量路由至VPC內的不同目標，每秒能夠處理數百萬請求，同時能保持超低延遲。網絡負載均衡器還針對處理突發和不穩定的流量模式進行了優化。

CLB（Classic Load Balancer，經典負載均衡器）：CLB同時運行于請求級別和連接級別，可在多個EC2實例之間提供基本的負載均衡。CLB適用于在EC2-Classic網絡內構建的應用程序。

ELB的主要功能：

高可用性：ELB在單個可用區或多個可用區內的多個目標（EC2實例、容器和IP地址）之間自動分配流量。

運行狀況檢查：ELB可以檢測無法正常運行的目標、停止向它們發送流量，然后將負載分散到剩余的正常運行的目標上。

安全性功能：使用VPC創建和管理與負載均衡器關聯的安全組，以提供更多網絡和安全選項。還可以創建內部（非面向Internet的）負載均衡器。

TLS終止：ELB提供集成化證書管理和SSL/TLS解密，使用戶可以靈活地集中管理負載均衡器的SSL設置，并從用戶自己的應用程序上卸載CPU密集型工作。

第4層或第7層負載均衡：用戶可以對HTTP/HTTPS應用程序執行負載均衡以實現特定于第7層的功能，或者對依賴于TCP和UDP協議的應用程序使用嚴格的第4層負載均衡。

運行監控：ELB提供與Amazon CloudWatch指標的集成和請求跟蹤，以便實時監控應用程序的性能。

可以根據應用程序按需選擇合適的負載均衡器。如果需要靈活管理應用程序，推薦使用ALB；如果應用程序需要實現極致性能和靜態IP，推薦使用NLB。如果現有應用程序構建于EC2-Classic網絡內，則應使用CLB。

4 云計算網絡的特點

網絡是數據中心最核心的功能，對網絡來說，最關鍵的兩個性能指標是帶寬和延遲。云計算是多租戶場景，多租戶域間隔離和跨域訪問，以及動態的網絡變化也是數據中心網絡非常重要的特點。

更大的帶寬

前面我們講了大數據的迅猛發展，數據量越來越大，網絡傳輸的帶寬也在快速升級。疊加數據中心東西向流量，英特爾估計，數據中心內部的流量每年以25％的速度增長。當前數據中心大規模商用的主流的數據帶寬是25Gbps，預計未來兩三年內，將逐步過渡到100Gbps。

帶寬逐步增大，意味著許多現有的網絡數據處理架構，會逐漸的無法滿足如此高性能的處理要求。例如，傳統的基于內核TCP/IP的網絡處理逐漸被DPDK所取代，并且現在已經有完全硬件卸載的網絡處理設備批量部署。

更低的延遲

Akami的一項研究表明，頁面加載速度的延遲一秒會導致轉化率平均下降7％，頁面瀏覽量下降11％，用戶滿意度下降16％。在金融業中，即使是一毫秒的延遲也會對高速交易算法的性能產生巨大影響。金融業對延遲的敏感性的一個案例是，某公司投資了4億多美元，只是為了將紐約和倫敦之間的傳輸時間縮短5毫秒。

在線事務處理（OLTP）的工作負載主要由南北流量控制，客戶端請求，然后服務器響應，通過相對簡單的三層網絡結構就能得到很好的服務。但是，隨著社交媒體和移動應用程序的爆炸性增長，流量模式已從南北（在客戶端和數據中心之間）轉變為東西向（數據中心內的流量）。據估計，單個在線查詢可以在數據中心內生成數百甚至數千個請求，然后才能響應來自客戶端的請求。在這種環境下，即使數千個訪問同時執行，需要花費較長響應時間的訪問相對少見，但其仍然最終決定了服務的總體響應時間。

域間隔離和跨域訪問

VPC是云服務商在數據中心內為用戶提供的一個邏輯隔離的區域，用戶可以在自己定義的的虛擬網絡中創建云服務資源。底層的虛擬網絡系統保證了不同用戶網絡區域的隔離。

但是，不同的私有網絡區域并不是完全封閉的，有些場景是需要跨域訪問的。比如，一些非實例型“獨立服務”提供的服務，當用戶從自己的VPC訪問另外某個VPC中服務的時候，通常有兩種做法，一種是使用公網IP通過公網訪問，還有一種方法就是通過提供一些特定的滿足安全機制情況下的跨域訪問服務來走數據中心內部網絡路徑去訪問，以此來提升訪問效率，這種就是數據中心內部的跨域訪問。再比如，數據中心按照區域和可用區進行劃分，用戶在不同的跨區域的數據中心多地容災、或者特定的服務和數據通信，則需要跨數據中心訪問。

通過VPC把不同用戶或者系統的資源隔離，是為了安全的考慮；跨域訪問，則是在保證安全基礎上的性能和功能的考慮。

動態的網絡變化

單個數據中心服務器規?？梢赃_到數萬臺，如此大規模服務器集群需要數千臺網絡設備連接在一起。這種大規模的數據中心網絡管理難度大，網絡運行故障定位難，運維成本非常高。大規模數據中心動態網絡變化主要體現在：

云計算是多租戶模式，不同的租戶業務之間是要完全隔離的，數據中心通過虛擬網絡來實現不同租戶網絡域的隔離。租戶以及租戶的資源一直處在一個動態的變化中，這加劇了網絡變化的頻次和難度。

數據中心數萬臺服務器，不可避免會發生故障，而要保證用戶服務的高可用，用戶業務在不同的物理服務器之間遷移也會影響網絡的變化。

并且，互聯網上層業務日新月異的變化，也會影響網絡的變化。

審核編輯：劉清