卢 泉,林 同/Lu Quan,Lin Tong
(中国电信股份有限公司广州研究院 广州510630)
1 引言
云计算是目前最热门的互联网技术之一。从概念上看,最基本的云计算就是把应用资源(程序或基础设施)从本地搬到网络上,由高性能服务器集群集中进行计算处理,用户只需要通过网络(一般是Web)访问相应资源,就可得到需要的结果输出。这里说的网络,可以是公有的互联网,也可以是私有的局域网。总体来说,现在流行的云计算服务分为3 类,分别是SaaS(Software as a Service,软件即服务)、PaaS(Platform as a Service,平台即服务)和IaaS(Infrastructure as a Service,基础设施即服务),也就是美国国家标准与技术研究院定义的SPI。从全球来看,虽然国外云计算的发展比国内领先,但由于国内中小型企业对云计算资源的需求相当强劲,知名企业和政府机构合作的云计算中心在火速建设中,与国际应用的距离正在不断缩小。
由于云计算是由集中式高性能服务器处理的,处理速度比在用户本地快,用户感知结果的主要瓶颈是云服务器访问的网络速度,用户与服务器之间的网络访问速度越快,用户体验就越好。因此,提高网络访问速度成为云计算发展中需要解决的重要问题之一。
2 云资源访问现状
企业访问的云资源服务一般分为两类:一类是互联网上的公有云资源服务,如亚马逊的EC2(Elastic Compute Cloud,弹性计算云)和S3(Simple Storage Service,简单存储服务),由于是第三方提供的企业级应用,一般来说是按租期收费的;另一类是局域网的私有云资源服务,通常由企业自己建设和维护,由于投资建设成本和维护成本比较高,一般的中小型企业,特别是小型互联网企业在多数情况下不会采用。总体来说,大型企业通常会混合使用公有云资源和私有云资源,中小型企业一般只使用公有云资源。由于企业对公有云的需求巨大,对运营商来说,通过骨干网优势实现企业对公有云资源的高速访问具有重大意义。
现阶段在大多数情况下,企业客户主要通过互联网访问公有云资源。由于互联网尽力而为的设计理念,企业数据与个人上网流量混合承载,在承载网拥塞的情况下,企业客户对云资源的访问质量将严重劣化。特别地,如果企业要访问的云服务器处在地理位置相隔较远的不同区域,由于互联网骨干的原因,传输距离越长,体验会越差。
目前,大型电信运营商的三层VPN 已实现全球覆盖。由于VPN 与互联网承载网络相对隔离,在VPN 内的流量相当于内网流量,其访问速度将大大提高。因此,可采用基于三层VPN的方案在网络层提高企业客户对公有云资源的访问质量和体验。
3 云服务访问加速方案说明
通过三层VPN实现对云资源服务访问的加速,需要解决两个关键问题:一是VPN 路由与互联网路由的互联互通; 二是VPN 流量与互联网流量的隔离,以保障企业数据的安全性。
在此提出两个云服务访问加速方案:一是互联网路由器对接VPN 方案,二是公有云私有化方案。
3.1 互联网路由器对接VPN 方案
互联网路由器对接VPN 方案(以下简称“互联网对接方案”)是通过PE(VPN 边缘设备)与SR(互联网接入设备)互联来实现VPN 客户访问公有云。
企业客户流量必须经过一台放在PE 与SR 之间的防火墙。这样,防火墙起到两个作用:一是能按每个VPN 客户的不同需求解决安全性问题;二是通过NAT(Network Address Translation,网络地址转换)把VPN 客户的私网源地址转换为SR的公网地址,并在互联网上传递。另外,由于PE 上有很多逻辑上隔离VPN的客户存在,为了实现端到端的隔离,防火墙上也需要通过类似VR(Virtual Router)或VRF(Virtual Routing Forwarding,虚拟路由转发)技术把不同客户流量隔离开,使不同客户之间不能互相访问,并针对每个VR/VRF 自定义不同的出口策略。按照这样的思路,可在网络覆盖范围内选取适当的复数个节点进行相应改造。由于某些国家或地区的互联网流量受所在国特殊法律法规的监督(以下简称“特殊区域”),所以在每个方案中都要特殊处理。
互联网对接方案可以根据客户需求分为两个子方案: 子方案1 满足客户CE 只访问离CE 最近的防火墙站点所连接的公有云服务器;子方案2 满足客户CE 访问公有云服务器的防火墙站点是可以任意指定的。
(1)子方案1
子方案1 是基于BGP 来实现的,如图1所示,方案要点如下。
①对于SR B 与防火墙,两者通过一个物理链路相连。对于使用IPv4 互联的企业客户,在防火墙中分配一个全局的虚拟子接口给所有来自VPN的IPv4 流量共用。这里需要防火墙支持从不同客户的VR/VRF 到全局VR的源NAT;对于使用IPv6 互联的企业客户,要为每个客户VPN 分配一个基于VR/VRF的封装802.1q的逻辑子接口,并通过IPv6 地址与SR 互联。SR 只在全局下分配相应封装802.1q的子接口通过IPv4/IPv6 与防火墙互联。FW的每个逻辑子接口通过静态IPv4/IPv6 默认路由指向SR B。
②对于FW 与PE B,FW 与PE B 基于Option A(RFC4364中定义)标准建立BGP 连接。然后,FW往PE B 按每个VRF/VR 通过BGP 下发默认路由。由于三层VPN 业务是基于全球的,所以防火墙系统肯定是多节点部署的。为了让客户CE 收到最接近自己的防火墙发布的默认路由,必须在一定范围内适当部署路由反射器。
图1 互联网路由器对接VPN 子方案1
③对于靠近CE的PE 和CE,一般来说,靠近CE的PE 不需要做额外配置;对特殊区域的CE,靠近CE的PE 需要进行特殊配置,做法有多种,这里只列举一种,例如把非特殊区域的防火墙站点划分归于BGP AS#65535,特殊区域的防火墙站点与CE同一个AS 号。在特殊区域的PE VRF中配置Route-Map,过滤来自BGP AS#65535的默认路由,只接受特殊区域发布的默认路由。CE 如果使用BGP与PE 互联,则无需额外配置;如果使用静态路由互联,则需要增加一条静态默认路由指向PE。
(2)子方案2
子方案2的特点在于可人工指定互联网出口的防火墙站点,具体部署如图2所示,方案要点如下。
①实现原理: 从CE 向防火墙站点的流量走的路由为全程静态路由,从防火墙向CE 返回的流量走的路由是BGP 发布的明细VPN 网段路由。
②对于SR B 与防火墙,配置同子方案1。
③对于防火墙和PE B,两者基于Option A 建立BGP 邻居关系后,PE B 还需在每个VRF中配置IPv4/IPv6 静态默认路由指向FW。
④对于靠近CE的PE 与CE,PE 要按VRF 配置一条静态默认路由指向需求的互联网出口防火墙站点;CE的配置同子方案1。对于特殊区域的CE,PE的静态路由只能指向特殊区域内部署的防火墙。
3.2 公有云私有化方案
图2 互联网路由器对接VPN 子方案2
考虑到三层VPN的封闭性及安全性,直接把公有云服务供应商在不同地区部署的服务器集群分别连接到VPN中,即公有云私有化,这也是一种缩短访问时延的优选方案。运营商只需解决管道搭建问题和安全性问题就能实现公有云接入业务。管道问题的解决是通过在全球范围选取节点PE 搭建通道,连接云服务商,云服务器需针对每个VPN 为云服务器分配接入VPN的私网地址;安全性问题的解决还是通过防火墙来实现。由此衍生出两种方案,本文只列举每种方案对接的云服务商中的一个。出现多个云服务商要求连接时,只需按方案分配多组端口连接就可以实现。防火墙策略配置可以根据不同云服务进行个性化订制。特殊区域的CE只能访问部署服务器在特殊区域的云服务供应商。
公有云私有化方案根据具体互联技术的不同又可分为两个子方案。子方案1(如图3所示)是在一个POP的两个PE 下面,通过主备线路分别连接两台防火墙,防火墙之间通过堆叠方式合并为一台逻辑防火墙,防火墙与两台PE 之间按VR/VRF 通过BGP Option A 互联,防火墙与云服务供应商的边缘设备Edge 通过两条主备链路进行BGP Option A互联;主备线路通过BGP 不同的MED 值实现。靠近CE的PE 与CE 之间若使用BGP 互联,则不需要额外配置;若使用静态路由互联,CE 需要增加目的为云服务器私网地址的静态路由。
子方案2(如图4所示)是在子方案1的基础上,引入二层链路聚合保护,提高链路使用率和冗余性。在防火墙与Edge 设备之间启用LACP,使两条物理链路捆绑为一条逻辑线路; 在PE 与防火墙之间、两个PE 之间采用跨机架LACP 技术,把PE与FW 之间的两条链路捆绑为一条逻辑线路。
4 分析与讨论
对于互联网对接VPN 方案中的子方案1,其优点是动态路由收敛,缺点是要部署多点路由反射器,有一定的成本,配置相对复杂,且由于下发默认路由是动态的,会与VPN 域内已部署的默认路由冲突;子方案2 减少了子方案1 下发默认路由的影响范围,且可以任意指定出口,但由于是静态路由,沿路配置繁琐并且缺乏故障时动态收敛特性。互联网对接方案对于访问公有云服务及类似的产品开发具有一定的启发意义,但由于部署步骤复杂,将来实际落地的可能性不大。
图3 公有云私有化子方案1
图4 公有云私有化子方案2
对于公有云私有化方案,无论是动态路由收敛还是安全性都达到了运营商要求的程度,而且Option A 互联已经是很成熟的做法,基本没有开发难度和成本。总体来说,子方案1 比子方案2 更容易实现,维护相对简单,影响业务质量的关键就落在云服务供应商的选择上。
5 结束语
在不久的将来,云计算会渗透到人们生活的方方面面。各国电信运营商都在不遗余力地推进自己的云计算业务发展,例如通过与厂商合作,部署基于云计算的智能化城市方案等。笔者认为,运营商通过三层VPN 与云计算结合,现阶段的目标客户可能只是企业客户,但未来10年,待物联网和大数据得到商用并普及时,目标客户就会逐渐从单一的企业扩展到汽车、机器人、手机等其他移动设备供应商,因此,本文提出的方案将具有广阔的发展和应用前景。
[1]ROSEN E,REKHTER Y.RFC 4364 BGP/MPLS IP Virtual Private Networks (VPNs)[Z].2006.
