公有云服務(wù)訪問加速方案研究

盧 泉，林 同/Lu Quan，Lin Tong

（中國(guó)電信股份有限公司廣州研究院 廣州510630）

1 引言

云計(jì)算是目前最熱門的互聯(lián)網(wǎng)技術(shù)之一。從概念上看，最基本的云計(jì)算就是把應(yīng)用資源（程序或基礎(chǔ)設(shè)施）從本地搬到網(wǎng)絡(luò)上，由高性能服務(wù)器集群集中進(jìn)行計(jì)算處理，用戶只需要通過網(wǎng)絡(luò)（一般是Web）訪問相應(yīng)資源，就可得到需要的結(jié)果輸出。這里說的網(wǎng)絡(luò)，可以是公有的互聯(lián)網(wǎng)，也可以是私有的局域網(wǎng)。總體來說，現(xiàn)在流行的云計(jì)算服務(wù)分為3 類，分別是SaaS（Software as a Service，軟件即服務(wù)）、PaaS（Platform as a Service，平臺(tái)即服務(wù)）和IaaS（Infrastructure as a Service，基礎(chǔ)設(shè)施即服務(wù)），也就是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院定義的SPI。從全球來看，雖然國(guó)外云計(jì)算的發(fā)展比國(guó)內(nèi)領(lǐng)先，但由于國(guó)內(nèi)中小型企業(yè)對(duì)云計(jì)算資源的需求相當(dāng)強(qiáng)勁，知名企業(yè)和政府機(jī)構(gòu)合作的云計(jì)算中心在火速建設(shè)中，與國(guó)際應(yīng)用的距離正在不斷縮小。

由于云計(jì)算是由集中式高性能服務(wù)器處理的，處理速度比在用戶本地快，用戶感知結(jié)果的主要瓶頸是云服務(wù)器訪問的網(wǎng)絡(luò)速度，用戶與服務(wù)器之間的網(wǎng)絡(luò)訪問速度越快，用戶體驗(yàn)就越好。因此，提高網(wǎng)絡(luò)訪問速度成為云計(jì)算發(fā)展中需要解決的重要問題之一。

2 云資源訪問現(xiàn)狀

企業(yè)訪問的云資源服務(wù)一般分為兩類：一類是互聯(lián)網(wǎng)上的公有云資源服務(wù)，如亞馬遜的EC2（Elastic Compute Cloud，彈性計(jì)算云）和S3（Simple Storage Service，簡(jiǎn)單存儲(chǔ)服務(wù)），由于是第三方提供的企業(yè)級(jí)應(yīng)用，一般來說是按租期收費(fèi)的；另一類是局域網(wǎng)的私有云資源服務(wù)，通常由企業(yè)自己建設(shè)和維護(hù)，由于投資建設(shè)成本和維護(hù)成本比較高，一般的中小型企業(yè)，特別是小型互聯(lián)網(wǎng)企業(yè)在多數(shù)情況下不會(huì)采用。總體來說，大型企業(yè)通常會(huì)混合使用公有云資源和私有云資源，中小型企業(yè)一般只使用公有云資源。由于企業(yè)對(duì)公有云的需求巨大，對(duì)運(yùn)營(yíng)商來說，通過骨干網(wǎng)優(yōu)勢(shì)實(shí)現(xiàn)企業(yè)對(duì)公有云資源的高速訪問具有重大意義。

現(xiàn)階段在大多數(shù)情況下，企業(yè)客戶主要通過互聯(lián)網(wǎng)訪問公有云資源。由于互聯(lián)網(wǎng)盡力而為的設(shè)計(jì)理念，企業(yè)數(shù)據(jù)與個(gè)人上網(wǎng)流量混合承載，在承載網(wǎng)擁塞的情況下，企業(yè)客戶對(duì)云資源的訪問質(zhì)量將嚴(yán)重劣化。特別地，如果企業(yè)要訪問的云服務(wù)器處在地理位置相隔較遠(yuǎn)的不同區(qū)域，由于互聯(lián)網(wǎng)骨干的原因，傳輸距離越長(zhǎng)，體驗(yàn)會(huì)越差。

目前，大型電信運(yùn)營(yíng)商的三層VPN 已實(shí)現(xiàn)全球覆蓋。由于VPN 與互聯(lián)網(wǎng)承載網(wǎng)絡(luò)相對(duì)隔離，在VPN 內(nèi)的流量相當(dāng)于內(nèi)網(wǎng)流量，其訪問速度將大大提高。因此，可采用基于三層VPN的方案在網(wǎng)絡(luò)層提高企業(yè)客戶對(duì)公有云資源的訪問質(zhì)量和體驗(yàn)。

3 云服務(wù)訪問加速方案說明

通過三層VPN實(shí)現(xiàn)對(duì)云資源服務(wù)訪問的加速，需要解決兩個(gè)關(guān)鍵問題：一是VPN 路由與互聯(lián)網(wǎng)路由的互聯(lián)互通； 二是VPN 流量與互聯(lián)網(wǎng)流量的隔離，以保障企業(yè)數(shù)據(jù)的安全性。

在此提出兩個(gè)云服務(wù)訪問加速方案：一是互聯(lián)網(wǎng)路由器對(duì)接VPN 方案，二是公有云私有化方案。

3.1 互聯(lián)網(wǎng)路由器對(duì)接VPN 方案

互聯(lián)網(wǎng)路由器對(duì)接VPN 方案（以下簡(jiǎn)稱“互聯(lián)網(wǎng)對(duì)接方案”）是通過PE（VPN 邊緣設(shè)備）與SR（互聯(lián)網(wǎng)接入設(shè)備）互聯(lián)來實(shí)現(xiàn)VPN 客戶訪問公有云。

企業(yè)客戶流量必須經(jīng)過一臺(tái)放在PE 與SR 之間的防火墻。這樣，防火墻起到兩個(gè)作用：一是能按每個(gè)VPN 客戶的不同需求解決安全性問題；二是通過NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）把VPN 客戶的私網(wǎng)源地址轉(zhuǎn)換為SR的公網(wǎng)地址，并在互聯(lián)網(wǎng)上傳遞。另外，由于PE 上有很多邏輯上隔離VPN的客戶存在，為了實(shí)現(xiàn)端到端的隔離，防火墻上也需要通過類似VR（Virtual Router）或VRF（Virtual Routing Forwarding，虛擬路由轉(zhuǎn)發(fā)）技術(shù)把不同客戶流量隔離開，使不同客戶之間不能互相訪問，并針對(duì)每個(gè)VR/VRF 自定義不同的出口策略。按照這樣的思路，可在網(wǎng)絡(luò)覆蓋范圍內(nèi)選取適當(dāng)?shù)膹?fù)數(shù)個(gè)節(jié)點(diǎn)進(jìn)行相應(yīng)改造。由于某些國(guó)家或地區(qū)的互聯(lián)網(wǎng)流量受所在國(guó)特殊法律法規(guī)的監(jiān)督（以下簡(jiǎn)稱“特殊區(qū)域”），所以在每個(gè)方案中都要特殊處理。

互聯(lián)網(wǎng)對(duì)接方案可以根據(jù)客戶需求分為兩個(gè)子方案： 子方案1 滿足客戶CE 只訪問離CE 最近的防火墻站點(diǎn)所連接的公有云服務(wù)器；子方案2 滿足客戶CE 訪問公有云服務(wù)器的防火墻站點(diǎn)是可以任意指定的。

（1）子方案1

子方案1 是基于BGP 來實(shí)現(xiàn)的，如圖1所示，方案要點(diǎn)如下。

①對(duì)于SR B 與防火墻，兩者通過一個(gè)物理鏈路相連。對(duì)于使用IPv4 互聯(lián)的企業(yè)客戶，在防火墻中分配一個(gè)全局的虛擬子接口給所有來自VPN的IPv4 流量共用。這里需要防火墻支持從不同客戶的VR/VRF 到全局VR的源NAT；對(duì)于使用IPv6 互聯(lián)的企業(yè)客戶，要為每個(gè)客戶VPN 分配一個(gè)基于VR/VRF的封裝802.1q的邏輯子接口，并通過IPv6 地址與SR 互聯(lián)。SR 只在全局下分配相應(yīng)封裝802.1q的子接口通過IPv4/IPv6 與防火墻互聯(lián)。FW的每個(gè)邏輯子接口通過靜態(tài)IPv4/IPv6 默認(rèn)路由指向SR B。

②對(duì)于FW 與PE B，F(xiàn)W 與PE B 基于Option A（RFC4364中定義）標(biāo)準(zhǔn)建立BGP 連接。然后，F(xiàn)W往PE B 按每個(gè)VRF/VR 通過BGP 下發(fā)默認(rèn)路由。由于三層VPN 業(yè)務(wù)是基于全球的，所以防火墻系統(tǒng)肯定是多節(jié)點(diǎn)部署的。為了讓客戶CE 收到最接近自己的防火墻發(fā)布的默認(rèn)路由，必須在一定范圍內(nèi)適當(dāng)部署路由反射器。

圖1 互聯(lián)網(wǎng)路由器對(duì)接VPN 子方案1

③對(duì)于靠近CE的PE 和CE，一般來說，靠近CE的PE 不需要做額外配置；對(duì)特殊區(qū)域的CE，靠近CE的PE 需要進(jìn)行特殊配置，做法有多種，這里只列舉一種，例如把非特殊區(qū)域的防火墻站點(diǎn)劃分歸于BGP AS#65535，特殊區(qū)域的防火墻站點(diǎn)與CE同一個(gè)AS 號(hào)。在特殊區(qū)域的PE VRF中配置Route-Map，過濾來自BGP AS#65535的默認(rèn)路由，只接受特殊區(qū)域發(fā)布的默認(rèn)路由。CE 如果使用BGP與PE 互聯(lián)，則無需額外配置；如果使用靜態(tài)路由互聯(lián)，則需要增加一條靜態(tài)默認(rèn)路由指向PE。

（2）子方案2

子方案2的特點(diǎn)在于可人工指定互聯(lián)網(wǎng)出口的防火墻站點(diǎn)，具體部署如圖2所示，方案要點(diǎn)如下。

①實(shí)現(xiàn)原理： 從CE 向防火墻站點(diǎn)的流量走的路由為全程靜態(tài)路由，從防火墻向CE 返回的流量走的路由是BGP 發(fā)布的明細(xì)VPN 網(wǎng)段路由。

②對(duì)于SR B 與防火墻，配置同子方案1。

③對(duì)于防火墻和PE B，兩者基于Option A 建立BGP 鄰居關(guān)系后，PE B 還需在每個(gè)VRF中配置IPv4/IPv6 靜態(tài)默認(rèn)路由指向FW。

④對(duì)于靠近CE的PE 與CE，PE 要按VRF 配置一條靜態(tài)默認(rèn)路由指向需求的互聯(lián)網(wǎng)出口防火墻站點(diǎn)；CE的配置同子方案1。對(duì)于特殊區(qū)域的CE，PE的靜態(tài)路由只能指向特殊區(qū)域內(nèi)部署的防火墻。

3.2 公有云私有化方案

圖2 互聯(lián)網(wǎng)路由器對(duì)接VPN 子方案2

考慮到三層VPN的封閉性及安全性，直接把公有云服務(wù)供應(yīng)商在不同地區(qū)部署的服務(wù)器集群分別連接到VPN中，即公有云私有化，這也是一種縮短訪問時(shí)延的優(yōu)選方案。運(yùn)營(yíng)商只需解決管道搭建問題和安全性問題就能實(shí)現(xiàn)公有云接入業(yè)務(wù)。管道問題的解決是通過在全球范圍選取節(jié)點(diǎn)PE 搭建通道，連接云服務(wù)商，云服務(wù)器需針對(duì)每個(gè)VPN 為云服務(wù)器分配接入VPN的私網(wǎng)地址；安全性問題的解決還是通過防火墻來實(shí)現(xiàn)。由此衍生出兩種方案，本文只列舉每種方案對(duì)接的云服務(wù)商中的一個(gè)。出現(xiàn)多個(gè)云服務(wù)商要求連接時(shí)，只需按方案分配多組端口連接就可以實(shí)現(xiàn)。防火墻策略配置可以根據(jù)不同云服務(wù)進(jìn)行個(gè)性化訂制。特殊區(qū)域的CE只能訪問部署服務(wù)器在特殊區(qū)域的云服務(wù)供應(yīng)商。

公有云私有化方案根據(jù)具體互聯(lián)技術(shù)的不同又可分為兩個(gè)子方案。子方案1（如圖3所示）是在一個(gè)POP的兩個(gè)PE 下面，通過主備線路分別連接兩臺(tái)防火墻，防火墻之間通過堆疊方式合并為一臺(tái)邏輯防火墻，防火墻與兩臺(tái)PE 之間按VR/VRF 通過BGP Option A 互聯(lián)，防火墻與云服務(wù)供應(yīng)商的邊緣設(shè)備Edge 通過兩條主備鏈路進(jìn)行BGP Option A互聯(lián)；主備線路通過BGP 不同的MED 值實(shí)現(xiàn)。靠近CE的PE 與CE 之間若使用BGP 互聯(lián)，則不需要額外配置；若使用靜態(tài)路由互聯(lián)，CE 需要增加目的為云服務(wù)器私網(wǎng)地址的靜態(tài)路由。

子方案2（如圖4所示）是在子方案1的基礎(chǔ)上，引入二層鏈路聚合保護(hù)，提高鏈路使用率和冗余性。在防火墻與Edge 設(shè)備之間啟用LACP，使兩條物理鏈路捆綁為一條邏輯線路； 在PE 與防火墻之間、兩個(gè)PE 之間采用跨機(jī)架LACP 技術(shù)，把PE與FW 之間的兩條鏈路捆綁為一條邏輯線路。

4 分析與討論

對(duì)于互聯(lián)網(wǎng)對(duì)接VPN 方案中的子方案1，其優(yōu)點(diǎn)是動(dòng)態(tài)路由收斂，缺點(diǎn)是要部署多點(diǎn)路由反射器，有一定的成本，配置相對(duì)復(fù)雜，且由于下發(fā)默認(rèn)路由是動(dòng)態(tài)的，會(huì)與VPN 域內(nèi)已部署的默認(rèn)路由沖突；子方案2 減少了子方案1 下發(fā)默認(rèn)路由的影響范圍，且可以任意指定出口，但由于是靜態(tài)路由，沿路配置繁瑣并且缺乏故障時(shí)動(dòng)態(tài)收斂特性。互聯(lián)網(wǎng)對(duì)接方案對(duì)于訪問公有云服務(wù)及類似的產(chǎn)品開發(fā)具有一定的啟發(fā)意義，但由于部署步驟復(fù)雜，將來實(shí)際落地的可能性不大。

圖3 公有云私有化子方案1

圖4 公有云私有化子方案2

對(duì)于公有云私有化方案，無論是動(dòng)態(tài)路由收斂還是安全性都達(dá)到了運(yùn)營(yíng)商要求的程度，而且Option A 互聯(lián)已經(jīng)是很成熟的做法，基本沒有開發(fā)難度和成本。總體來說，子方案1 比子方案2 更容易實(shí)現(xiàn)，維護(hù)相對(duì)簡(jiǎn)單，影響業(yè)務(wù)質(zhì)量的關(guān)鍵就落在云服務(wù)供應(yīng)商的選擇上。

5 結(jié)束語

在不久的將來，云計(jì)算會(huì)滲透到人們生活的方方面面。各國(guó)電信運(yùn)營(yíng)商都在不遺余力地推進(jìn)自己的云計(jì)算業(yè)務(wù)發(fā)展，例如通過與廠商合作，部署基于云計(jì)算的智能化城市方案等。筆者認(rèn)為，運(yùn)營(yíng)商通過三層VPN 與云計(jì)算結(jié)合，現(xiàn)階段的目標(biāo)客戶可能只是企業(yè)客戶，但未來10年，待物聯(lián)網(wǎng)和大數(shù)據(jù)得到商用并普及時(shí)，目標(biāo)客戶就會(huì)逐漸從單一的企業(yè)擴(kuò)展到汽車、機(jī)器人、手機(jī)等其他移動(dòng)設(shè)備供應(yīng)商，因此，本文提出的方案將具有廣闊的發(fā)展和應(yīng)用前景。

[1]ROSEN E，REKHTER Y.RFC 4364 BGP/MPLS IP Virtual Private Networks (VPNs)[Z].2006.