華為云Stack基礎網絡云服務基于國內政企市場的豐富客戶經驗積累，深入理解客戶業(yè)務上云過程中對于云網絡的訴求，提供了一系列以客戶網絡為中心、以客戶習慣為中心、以客戶業(yè)務為中心的網絡服務和能力。

云資源池網絡平滑對接數據中心網絡

企業(yè)IT云化過程中，云資源池只是數據中心的一部分，華為云Stack的網絡部署架構可以平滑接入到數據中心內，和數據中心網絡無縫集成，并且云上云下網絡互通可以靈活匹配不同分區(qū)網絡規(guī)劃。

使用L3GW服務實現客戶云上云下一張網

客戶業(yè)務上云是一個漸進的過程，在這個過程中，客戶的網絡是覆蓋云上云下的混合組網，對于政企客戶來說，傳統的數據中心網絡規(guī)模比較龐大，一般會分多個物理網絡分區(qū)，連接不同的網絡：

? 數據中心互聯區(qū)，用于同城跨數據中心互聯；

? 廣域網接入區(qū)，接入企業(yè)骨干網，用于異地多數據中心互聯；

? 互聯網接入區(qū)，用于連接公網；

? 外聯網接入區(qū)，用于公司的合作伙伴接入。

每個業(yè)務根據服務的對象不同而要求接入不同的網絡分區(qū)，有的業(yè)務只接入一個網絡分區(qū)，有的業(yè)務會接入多個網絡分區(qū)。這些業(yè)務上云之后，對外提供的服務不會變化，連接網絡分區(qū)的訴求也不會變化，而客戶云下物理分區(qū)的組網和配置是全局規(guī)劃的，不能因為業(yè)務上云后適配云平臺的組網和外部網絡類型而調整云下的組網，造成云下網絡管理和云平臺網絡管理有明顯的差異，加大了網絡管理和維護的難度。

華為云Stack網絡L3GW服務，可以實現云上云下一張網，云上的業(yè)務網絡通過L3GW服務作為一個業(yè)務區(qū)平滑的接入到傳統數據中心的網絡，保證客戶數據中心現有的網絡架構無需改動。

圖1 通過L3GW服務實現云上云下業(yè)務一張網

承載L3GW服務的L3GW網關作為云上云下互通的邊界網關，一邊連接客戶數據中心傳統網絡，一邊連接云上的 虛擬網絡 ?？紤]到客戶數據中心的組網方式多種多樣，L3GW支持多種組網方式，比如堆疊組網、VRRP組網、雙活口字型組網以及雙活交叉組網等，這幾種組網下云平臺L3GW服務都能實現L3GW網關的配置 自動化 下發(fā)，另外還支持客戶自定義組網，滿足客戶個性化訴求，實現客戶數據中心網絡不需要改造，也可以使用L3GW服務。對于自定義組網，虛擬網絡的配置也是云平臺L3GW服務自動化下發(fā)的，客戶只需要配置自定義部分的網絡即可。

傳統業(yè)務上云，網絡規(guī)劃方案不變

華為云Stack可以支持業(yè)務上云后，網絡管理員繼續(xù)使用上云前的網絡規(guī)劃和配置習慣，平移上云。

使用VPC服務實現業(yè)務網絡平移上云

VPC是華為云Stack提供的云上的安全隔離的虛擬私有網絡，可以理解成傳統物理網絡的虛擬版本：

? 它是一個完全由客戶自己掌控的網絡，包括子網配置，網關配置，路由配置等，通過VPC實現業(yè)務東西向互通訴求；

? 它支持豐富的連接，可以連接到其它VPC，也可以連接到客戶本地數據中心，也可以連接到其它Region的VPC，由客戶按需定制，通過豐富的連接實現業(yè)務南北向通信訴求；

? 它也是一個安全隔離的網絡，安全隔離能力可以做到和傳統網絡設備vlan隔離級別一樣。

客戶云上的業(yè)務都是運行在VPC里，云上業(yè)務使用的VPC分兩種場景，一種是大量小規(guī)格的VPC，另一種是少量大規(guī)格的VPC。大量小規(guī)格VPC場景，是類公有云的一種用法，各個業(yè)務部門有自己的賬號，自助在云上申請根據業(yè)務類型申請VPC和自定義VPC網絡，云的特點天然能支持這種多VPC的場景。比較有挑戰(zhàn)的是少量大規(guī)格VPC的場景，這種場景是企業(yè)客戶由于傳統業(yè)務網絡分區(qū)規(guī)劃方式，固有組織流程，合規(guī)要求等因素，希望業(yè)務平移上云的普遍訴求。

如上文所說，傳統的數據中心網絡一般會分多個物理網絡分區(qū)，有數據中心互聯區(qū)、廣域網接入區(qū)、互聯網接入區(qū)、外聯網接入區(qū)。網絡管理員根據業(yè)務規(guī)模以及增長趨勢預先給每個分區(qū)規(guī)劃獨立的網段池子，業(yè)務上線的時候，網絡管理員基于業(yè)務的互通訴求從對應的分區(qū)網段池子下分配子網給業(yè)務使用，而不用感知業(yè)務類型給每個業(yè)務預先規(guī)劃網段池子。

業(yè)務上云后，為了保留這種網絡管理方式，云上的VPC根據網絡分區(qū)規(guī)劃，比如規(guī)劃成內網VPC，互聯網VPC，外網VPC等，每個VPC里的子網劃分還是保留上云前的分配方式，那業(yè)務規(guī)模的大小決定了VPC子網規(guī)格，以及VPC下IP個數。以內網VPC舉例，假設網絡管理員規(guī)劃的內網網段為1個B類地址，每次分配給業(yè)務使用為24位掩碼子網，那么內網VPC下的子網個數為256個，可用IP個數高達6w左右。云上VPC要能支持大規(guī)格子網和大規(guī)格IP才能滿足客戶保留網絡管理習慣，業(yè)務平移上云。

VPC下子網和IP個數越多，云平臺管控面壓力越大，因為同一個VPC下所有IP默認是可以互通，高可用訴求下的業(yè)務反親和部署，虛機會打散部署在資源池內所有主機上，導致VPC內不同的IP覆蓋不同的計算節(jié)點，當有新的IP分配給業(yè)務使用后，VPC覆蓋的所有計算節(jié)點都要處理新IP，下發(fā)IP對應的ARP表，控制器需要通知所有計算節(jié)點處理新IP上線，控制器的處理數據量隨著VPC規(guī)模變大而變大；還有一種考驗控制面性能的場景是虛機 遷移 場景，尤其是虛機并發(fā)遷移到新的主機上，新的主機要下發(fā)VPC下全量子網信息對應的路由表項，全量IP信息對應的ARP表項，表項越多，耗時越長，遷移導致的網絡零中斷越難保證。

華為云Stack的 VPC控制器，采用分布式系統架構，管控層和數據層分離，管控層controller通過狀態(tài)外置到nosql，實現彈性橫向擴容；通過MQ，實現消息分發(fā)和流量削峰；數據層通過agent組件接收controller的配置消息，轉換成數據面的配置，幫助數據面屏蔽業(yè)務信息，讓數據面更簡單可靠。controller和agent之間的消息推送采用push-pull機制，controller無需感知agent的狀態(tài)，邏輯簡單；agent減少無效輪詢，配置快速生效。

基于這種軟件架構，華為云Stack 單VPC支持的大規(guī)格子網和大規(guī)格IP，可以滿足絕大部分企業(yè)客戶，保留原有的網絡管理習慣的訴求，業(yè)務網絡平移上云。

使用網絡ACL服務解決業(yè)務安全配置平移上云

數據中心的網絡安全防護必不可少，安全防護一般由安全部門負責。數據中心內部是私有環(huán)境，相對安全，業(yè)務之間互相訪問，通過在硬件防火墻配置ACL規(guī)則防護即可，網絡管理員給每個業(yè)務分區(qū)規(guī)劃硬件防火墻，業(yè)務上線的時候，給安全部門提要求，安全部門根據業(yè)務的訴求，在硬件防火墻上配置對應的ACL規(guī)則。業(yè)務下線的時候，再把安全規(guī)則從硬件防火墻上移除。業(yè)務規(guī)模大的時候，硬件防火墻上配置的ACL規(guī)則會非常多。我們曾經遇到一個金融客戶，單個網絡分區(qū)的硬件防火墻上配置了60w條ACL規(guī)則。

網絡云化后，相比傳統網絡，安全邊界發(fā)生變化，云下硬件防火墻規(guī)則需要平移到云上網絡ACL，基于傳統安全配置管理習慣，安全規(guī)則跟著業(yè)務上云，云上提供的網絡ACL服務必須支持大量的規(guī)則才能滿足訴求。

云上的網絡ACL服務，業(yè)界常見實現方式是分布式，ACL規(guī)則下發(fā)到各個主機上，而不是傳統的集中式的方式。ACL是有狀態(tài)的，ACL規(guī)則越多，新建連接逐條規(guī)則匹配，性能就越低，因此單個ACL實例下規(guī)則數一般不會很大，大多數友商都小于200條。這對于業(yè)務規(guī)模比較大，或者是有安全合規(guī)要求的行業(yè)比如金融行業(yè)是遠遠不夠的。

華為云Stack網絡ACL服務，優(yōu)化了網絡ACL匹配算法，解決了ACL規(guī)則多帶來的新建連接數低的影響，單個網絡ACL規(guī)則從200條，提升到1w條，新建連接沒有任何影響。基于這個優(yōu)化，華為云Stack單個網絡ACL實例支持的ACL規(guī)則數1w條（按照IP和Port展開計算），業(yè)務上云過程中，安全配置管理還是保留原有的習慣，平移上云。

云上業(yè)務繼續(xù)使用傳統高級網絡設備

華為云Stack可以支持業(yè)務上云后，繼續(xù)使用傳統的高級網絡設備，業(yè)務不需要改造。

使用L2BR服務集成第三方 負載均衡 器

客戶在傳統數據中心部署的業(yè)務，可能會使用到硬件負載均衡設備提供的某些特性，而這些特性云平臺提供的負載均衡服務短期內無法支持，這類業(yè)務上云，如果使用云平臺提供的負載均衡服務，需要對業(yè)務進行改造，改造成不使用云平臺不支持的特性，業(yè)務改造尤其是生產業(yè)務改造帶來的代價和風險是不可預知的，因此很難落地；還有一種場景，客戶由于使用習慣、技術儲備、設備利舊和已有資產保護等原因，要求云上的業(yè)務可以繼續(xù)使用傳統的第三方硬件負載均衡設備。

解決這兩個問題的常見思路是在云上手動部署負載均衡設備的虛擬化版本，手動部署對客戶的網絡技能要求很高，并且管理和運維復雜度大大提升，可靠性也比較低。而華為云Stack IaaS網絡L2BR服務支持集成第三方硬件負載均衡設備，遷移到云上的業(yè)務還可以像在云下一樣使用傳統的負載均衡設備，應用零改造上云。

圖2 L2BR集成硬件LB應用場景

如上圖所示，傳統硬件LB旁掛在L2BR網關上，硬件LB上配置LB實例提供LB服務，LB實例所在子網通過L2BR實例接入到云內VPC，后端server運行在云上，client可以在云外，也可以在云上。云上多個VPC可以共享硬件LB，也支持跨VPC訪問LB實例。客戶可以根據業(yè)務訴求按需靈活組網，既可以使用硬件設備的高級功能，也可以保持原有的操作習慣和體驗。

華為云Stack適配政企業(yè)務上云，充分考慮客戶業(yè)務上云過程中既可以把網絡平移到云上，同時又保留原有的網絡架構，操作體驗和習慣。通過深入理解客戶業(yè)務和網絡，設計匹配政企應用的網絡部署模型和網絡使用方案，實現客戶網絡配置從云下到云上的零修改平移，應用快速遷移入云；通過集成傳統負載均衡設備，實現深度特性功能要求，應用零改造上云；通過高性能、低時延、低成本的硬件交換機L3GW/L2BR網關，實現云上云下高速互聯、云上云下一張網，為客戶數字化轉型極大提升了資源的使用效率和業(yè)務的運作效率。