需求背景

算力全网调度是云基础设施的核心目标之一,实现服务可在公有云(阿里\华为等)、IDC私有云、跨境等多场景运行(ECS\容器等)。算力全网调度的基础是实现算力互联,如:阿里云\华为云的VPC内计算实例网络互联,公有云\IDC私有云网络互联等等,而算力互联的核心便是多云网络。

多云网络分为控制面、转发面。控制面屏蔽不同公有云的资源管理差异,转发面需要屏蔽各公有云的VPC网络实现差异,同时需要在公有云的VPC链路之上构建多云转发链路。

实现方案

基于多云网络的构建目标,整体实现方案如下:

上图中,主要包含以下四类内容:

云专线。360北京IDC通过各公有云厂商云专线接入公有云,实现物理网络基础链路,可在IDC内访问公有云VPC内ECS。

多云网关。部署在360北京IDC内,承载Overlay网络的封装\解封及VPC间路由功能,与公有云内边界路由器通过云专线物理链路互联,两者在专线链路之上构建Overlay链路;多云网关同时与360其他地域云网络网关通过骨干链路互联,实现跨地域VPC互通;多云网关具备BGP发布能力,实现360IDC访问VPC网络。

边界路由器。部署在各公有云内的跳板VPC(边界路由器专属VPC),该VPC与360IDC物理链路互通。边界路由器具备Overlay网络封装\解封及路由转发功能,接收四类核心流量,以阿里云举例,阿里云内业务VPC->360IDC、业务VPC->360云、业务VPC->华为云、360IDC Overlay流量。针对前三类流量,边界路由器收到网络报文后,路由后,额外封装Overlay报文,并发送至多云网关,多云网关收到Overlay报文后解封,根据VPC标识及路由表进行路由转发,若目标是360云VPC,再次封装Overlay报文转发至360云计算节点;若目标是360IDC,多云网关直接发送到IDC;若目标是华为云VPC,再次封装Overlay报文转发至华为云边界路由器。对于第四类流量,边界路由器收到多云网关的Overlay流量后解封,将流量通过边界路由器ECS发出。

公有云内路由互联。主要依托各公有云内的云网络能力,实现业务VPC和边界路由器专属VPC互联。以阿里云举例,通过阿里云CEN互联业务VPC和边界路由专属VPC,同时在业务VPC、CEN内下发路由条目,将目标网段为360IDC及其他公有云的流量转发至边界路由器VPC,在边界路由器VPC内下发路由条目,将目标网段为360IDC等流量转发至边界路由器ECS,这是阿里云的出向链路。在边界路由器VPC内下发路由条目,将目标网段为阿里云内业务VPC的流量转发至CEN,进而通过CEN转发至业务VPC内,这是阿里云的入向链路。华为云等其他公有云转发逻辑类似。

以上是多云网络的基础转发链路,基于该链路即可实现算力互联、流量调度等。下图是详细的策略配置及转发结构:

前述实现均为360私有云如何与阿里云等公有云VPC互联,整体的VPC网段规划是全局管理,没有网段重叠的场景。在360奇云(公有云)场景下,业务VPC网段由用户指定,不同业务用户的网段存在重叠场景。在重叠场景下,上图中的公有云内网络功能,如:路由管理以及边界路由器等都公共基础链路无法实现复用,所以在业务VPC内构建vRouter网关,VPC vRouter与Edge vRouter构建Overlay网络,转发链路如下:

如上所示,在业务VPC内建设vRouter网关(ECS),业务VPC内调整自定义路由,将去往360的流量导向VPC vRouter,由VPC vRouter和Edge vRouter构建Overlay链路,屏蔽重叠VPC网段。VPC vRouter的IP为VPC内IP,与Edge vRouter的互联,将流量导向VPC NAT,完成源地址替换为非重叠IP(该IP由全局统一管理),至此,重叠VPC的流量也通过Overlay链路进入Edge vRouter,在Edge vRouter内根据Overlay标识进行转发即可,复用原有Edge vRouter的转发链路。

在多云链路中,会遇到链路MTU的问题。阿里云等公有云ECS、容器内MTU为1500,公有云专线MTU也是1500,这就导致vRouter封装Overlay链路后,MTU大于1500,进而导致多云转发异常,该异常场景下,在vRouter内针对TCP进行MSS调整,将TCP建连的双向SYN动态设置MSS为1410,以便双侧TCP MSS协商在正常值内,通过该项策略,不需双侧显性调整自身网卡MTU;在UDP场景下,则需开启PMTU进行感知。

相关收益

基于前述多云链路,当前可实现阿里云、华为云、火山云的多云互通,360内相关业务可部署至阿里云硅谷、法兰克福等提供境外服务,同时与360IDC服务互通;相关业务可弹性调度到阿里云ECS、容器实例及阿里云乌兰察布PAI等,与360IDC镜像服务、其他计算实例互联。

未来展望

当前的多云链路,在可用性、性能等方面尚存不足,下图是后续优化路线,安全方面也将加入相关安全防范能力,主要包含:流量审计、策略隔离等。

基于以上转发结构实现多云网络转发链路的几个核心目标:边界路由器及IDC多云网关高可用、边界路由器高性能、边界路由器双卡安全策略隔离、互联网备份链路接入。

360智汇云官网:智汇云-企业数智化核心引擎

# 网络
Logo
九章云极普惠算力

更多推荐

Microsoft.Extensions项目实战:从零构建生产级电商系统完整案例

Microsoft.Extensions是一套强大的.NET库套件,提供了构建生产就绪应用所需的各种基础设施功能。本文将通过一个电商系统案例,展示如何利用这些库快速构建稳定、可扩展的企业级应用。## 核心库选择与项目搭建 🚀构建电商系统需要考虑依赖注入、配置管理、缓存、 resilience(弹性)等关键组件。通过以下命令快速搭建项目基础架构:```consolegit clone

avatar 九章云极普惠算力

vLLM-v0.17.1作品分享:医疗问答服务中束搜索与并行采样效果对比

本文介绍了如何在星图GPU平台上自动化部署vLLM-v0.17.1镜像,优化医疗问答服务的性能。该镜像支持束搜索与并行采样两种解码策略,适用于需要高准确性或多样性的医疗场景,如诊断建议和患者教育,显著提升AI医疗助手的响应效率与专业度。

avatar 九章云极普惠算力

SeqGPT-560M实战案例:用自定义Prompt完成金融新闻实体抽取

本文介绍了如何在星图GPU平台自动化部署nlp_seqgpt-560m镜像,实现金融新闻实体抽取。该零样本模型无需训练即可从金融文本中精准提取关键信息,如公司名称、财务数据和市场反应,大幅提升金融信息处理效率。

avatar 九章云极普惠算力