簡單聊聊VPC和SDN/NFV

註：本文部分內容來自網路搜索的整合

大家都知道，目前各大雲服務商都提供了VPC（Virtual Private Cloud）產品，VPC已經成為用戶使用雲首先需要考慮的雲產品，甚至是比ECS更早需要考慮的雲產品，可以說是基礎中的基礎。首先，我們還是來簡單介紹下什麼是VPC？VPC又有什麼好處？再來討論我們今天的主題，即阿里雲VPC和SDN及NFV的關係。

什麼是VPC

可以從下面三點來理解VPC。

首先，VPC可以認為是一個網路容器。用戶可以免費開通這個容器，開通後再在這個容器中「放置」用戶需要的雲產品，比如ECS，SLB，RDS等。VPC的基本組件包含路由器和交換機，如下圖所示，即是華北1地域的一個VPC。

其次，VPC是用戶私有的，它和其它的VPC默認都是隔離的，和經典網路也是隔離的。

最後，VPC是用戶在雲上具備網路管理能力的基礎。在經典網路中，用戶在雲上其實是非常缺乏網路管理能力的，用戶有一台經典網路的ECS，用戶也只有了和公網通信的能力，最多加上安全組可以做一些安全控制的能力，但如網段規劃、子網劃分、路由管理、使用NAT管理公網出入等網路管理能力都幾乎沒有或很弱，而VPC則讓用戶具備了很多的網路管理能力。

什麼是SDN

SDN是Software Defined Network的縮寫, 翻譯成中文就是軟體定義網路 。SDN不是一種具體的技術或協議，而是一種新的網路設計理念。SDN的核心思想是控制和轉發分離。SDN產生的原因是由於傳統網路難以維護，人肉操作太多，變更困難效率低，尤其是在雲計算的環境下，虛擬化帶來的高密度、業務的高速增長、對快速響應能力的高要求，以及用戶對網路安全隔離和靈活管理的需求，使傳統網路的慢和業務發展的快之間的矛盾越來越大，因此，有了SDN，也有了NFV。SDN網路和傳統網路的對比可以參考下圖

什麼是NFV

NFV是Network Function Virtualization的英文縮寫，翻譯成中文就是網路功能虛擬化。我們知道，傳統的網路設備基本都是使用專用的硬體設備實現的，比如我們熟悉的防火牆，F5這樣的硬體設備，又如路由器和交換機。而NFV則是希望使用普通的x86伺服器來代替專用的網路設備，使網路功能不再依賴專用設備，而是通過x86伺服器和軟體來實現。NFV除了可以節約成本外，還通過開放API的方式，使得網路功能更靈活，更有彈性。

VPC和SDN/NFV的關係

我們在做SDN，也在做NFV，我們在用SDN的思想實現NFV。從SDN的思想來說，我們有自研的Controller（控制器）和XGW（轉發設備）。從NFV來說，我們的Controller（控制器）和XGW（轉發設備）都是基於x86伺服器和自己研發的軟體實現的，在這基礎上，實現了VPC、路由器、交換機、NAT網關等等網路功能。因此，VPC可以認為是NFV的一個網路功能或網路產品。

VPC的具體實現路徑

那麼VPC又有哪些具體實現方式呢？要談這個問題，首先需要簡單了解一下Overlay網路虛擬化技術。Overlay是在現有的網路架構上疊加的虛擬化技術，本質是L2 Over IP的隧道技術。可以在對現有基礎網路不進行大規模修改的條件下實現，並且和其它網路隔離。簡單說就是在現有的物理網路基礎上進行了一次虛擬化，稱之為Overlay。Overlay可以讓系統和服務（如雲計算中的ECS，SLB等雲產品）運行中虛擬化層，「不再依賴」物理網路，達到與物理網路解耦的目的。當然，這個「不再依賴」是從業務邏輯上說的，而不是真正底層不再依賴。

如下圖的Overlay網路示意圖，虛擬網路運行在物理網路上，虛擬網路上承載了ECS，RDS，SLB等雲產品，也有虛擬交換機，虛擬路由器這樣的虛擬化網路設備，在虛擬網路層面，ECS和SLB，RDS等雲產品的通信從業務邏輯上理解，可以認為是直接在虛擬網路層面完成的，而「不需要」通過物理網路。

那麼，Overlay又有哪些實現技術呢？早期有一些標準二層Overlay技術，如

RFC3378（Ethernet ip IP）

H3C的EVI（Ethernet Virtual Interconnection）

Cisco的OTV(Overlay Transport Virtualization)

現在雲服務商用的比較多的是基於主機(x86伺服器)的Overlay技術，在伺服器的Hypervisor內vSwitch上支持基於IP的二層Overlay技術。主機的vSwitch支持基於IP的Overlay之後，虛擬機的二層訪問直接構建在Overlay上，物理網路不再感知虛擬機的諸多特性，從而實現了和虛擬網路的解耦。

再進一步細分Overlay的技術路線，主要可分為如下三大技術路線

VXLAN

NVGRE

STT

VXLAN是將乙太網報文封裝在UDP傳輸層上的一種隧道轉發模式，VXLAN通過將原始乙太網數據頭(MAC、IP、四層埠號等)的HASH值作為UDP的號。採用24比特標識二層網路分段，稱為VNI(VXLAN Network Identifier)，類似於VLAN ID作用。

NVGRE

NVGRE是將乙太網報文封裝在GRE內的一種隧道轉發模式。採用24比特標識二層網路分段，稱為VSI，類似於VLAN ID作用。NVGRE在GRE擴展欄位flow ID，這就要求物理網路能夠識別到GRE隧道的擴展信息，並以flow ID進行流量分擔。

STT

STT利用了TCP的數據封裝形式，但改造了TCP的傳輸機制，數據傳輸不遵循TCP狀態機，而是全新定義的無狀態機制，將TCP各欄位意義重新定義，無需三次握手建立TCP連接，因此稱為無狀態TCP。

這三種技術大體思路都是將乙太網報文承載到某種隧道層面，差異性在於選擇和構造隧道的不同，而底層均是IP轉發。總體而言，VXLAN利用了現有通用的UDP傳輸，成熟度高。具有更明顯的優勢，L2-L4層鏈路HASH能力強，不需要對現有網路改造，對傳輸層無修改，使用標準的UDP傳輸流量，業界支持度最好，目前商用網路晶元大部分支持。這也是阿里雲VPC採用的技術路線。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！