云网络白皮书.pdf

1 云网络白皮书 白皮书 Cloud Networking White Paper by Alibaba Cloud 云网络 数字经济的连接 1 2 1 2 3 6 4 5 3 3 4 5 6 11 13 14 20 23 27 31 33 35 42 82 84 85 86 61 62 67 71 72 74 77 CONTENT Alibaba Cloud Storage 云网络白皮书 云网络白皮书 云网络起源 云网络白皮书 云网络产品体系 云网络白皮书 云网络技术体系 云网络白皮书 云网络未来展望 云网络白皮书 云网络架构设计 云网络白皮书 解决方案和案例 什么是网络 网络发展驱动应用变革 云计算驱动云网络诞生 阿里云云网络发展历程 云网络是数字经济的连接 基本概念 产品体系架构 数据中心网络产品 跨地域网络产品 混合云网络产品 网络安全产品 云网络技术概述 云网络业务特征 云网络技术特征 洛神云网络技术 云原生网络 专用计算高性能网络 分布式云网络 万物互联网络 架构设计思考 架构设计原则 架构设计实践 概述 企业级云上网络解决方案 全球网络互联解决方案 全球应用加速解决方案 云网络 白皮书 3 4 云网络白皮书 什么是网络1 计算机网络（Computer Network），通常也简称网络，是指允许节点分享资源 的数字电信网络。在网络中，电脑设备会透过节点之间的数据链路互相交换数据。数 据链路是异地用于收发数据的工具和介质，它也可以是一个由通信终端和连接电路组 成的系统，具体的通信由专门设计的协议来控制。传输介质可分为有线及无线两类， 如我们熟悉的光纤，Wi-Fi等。用于创建、路由及终止数据传输的电脑网络设备即为 网络节点，节点包括像个人电脑、电话、服务器主机及其他网络硬件（如网关及路由 器）等。节点一般以网络地址作标识符，当一个设备能够与另一设备交换信息时，便 可视它们已连接成网络。 2010年5月10日，阿里云对外发布第一个商业化的产品-云服务器ECS，正式 提供公共云服务。那时候，可能很多人都没有想到，云计算对网络的影响会如此之 大。2012年底，随着虚拟化技术的发展，单物理机的虚拟比在逐步提高，对网络设 备提出了非常高的要求，当时全世界都已经找不到满足业务虚拟比的网络设备了。除 此之外，当时的云网络架构还存在迁移域过小导致成本增加，稳定性、性能、安全等 也都存在问题和隐患，这些问题极大的影响云业务的开展。与此同时，随着更多用户 上云，尤其是大型互联网企业和传统企业的上云，用户对云上网络管理需求也与日 俱增。比如，用户在云上多地域部署业务，需要多地域内网互通，或者用户需要把 云下IDC和云上网络互通，构建混合云等等，而这些网络管理能力，当时云上的传统 网络服务方式都难以满足。因此，不管是用户，还是云服务平台，都迫切需要进行 网络创新。2012年，阿里云率先放弃传统的大二层网络架构，设计新的网络虚拟化 （Overlay）技术方案，开启了云网络的新篇章。 云计算驱动云网络诞生3 云网络白皮书 云网络起源 1 网络发展驱动应用变革 2 今天，我们的生活已经离不开网络，不管是购物，工作，和朋友聊天，还是娱乐 等都离不开网络。淘宝，支付宝，微信，抖音，钉钉等APP也成为大家使用频率很高 的应用，这些超级APP的背后，都有无处不在的网络支撑，可以说网络的发展驱动了 应用的变革。 在移动网络方面，在1G时代，只能打电话，摩托罗拉大哥大，BP机就是移动 通信网络的开创者。在2G时代，开始可以传输文本信息了，用诺基亚手机看文本 小说是2G时代的缩影。3G时代，互联网浪潮席卷全球。3G扩展了频谱，提升了 速率，更高的带宽和更稳定的传输让移动互联网蓬勃发展。智能手机开始进入我 们的日常生活中。2007年1月9日，乔布斯发布了第一代iPhone。iTunes Music Store、Safari、Email等应用，皆以图形化的方式呈现在简洁优美屏幕上。淘宝，微 博等应用也纷纷搬到了手机上。4G时代，带宽更高，手机已经脱离了只是通讯设备的 定位，手机屏幕变得更大，人们用手机来购物、看视频、语音、打游戏、打车等等。 只要一部手机就能完成日常生活所需。今天，5G正扑面而来，5G速率高达10Gbps， 比 4G 快100倍，可以轻松看3D影片或4K电影。另外，5G延时更低，可以满足远程 医疗，车联网等低时延场景需求。5G的诞生，将进一步改变我们的生活和社会，推动 一场新的信息革命。 与移动网络的快速发展相对应，承载众多服务的数据中心网络也在蓬勃发展，短 短十年间，就从1G，10G，25G发展到了100G，并且还在快速发展着。 5 6 云网络白皮书 阿里云云网络发展历程 云网络是数字经济的连接 4 5 阿里云网络发展经历三个阶段，从2009年的云网络1.0到2020年的云网络3.0。阿 里云从2009年开始投入云计算的研发，早期云上基础网络采用传统大二层网络构建， 租户之间的隔离基于安全组实现。阿里云2012年开始研发网络虚拟化（Overlay） 技术方案，到2014年，VPC产品正式发布，VPC是一个标志性的产品，意味着云上 用户网络从此从传统网络转向VPC网络，用户在云上有了一个自己私有隔离的网络 环境，也开始拥有之前在云下才具备的网络管理能力。加上前后发布的弹性公网IP- EIP，负载均衡SLB，NAT网关等产品，构成了云网络1.0。云网络1.0主要做的是云数 据中心网络，用户在云上通过VPC，虚拟交换机，虚拟路由器构建了网络环境，通过 EIP，负载均衡SLB，NAT网关等产品实现互联网访问，负载均衡等功能。 那么，到底什么是云网络？它和传统网络有什么不同吗？首先，云网络是IT和CT 融合的产物。云网络并不是要重建一张新的网络来取代现有的网络基础设施，而是在 现有网络基础上通过网络虚拟化等技术重构。前面讲到，云计算驱动云网络的诞生， 云网络其实是CT（Communication Technology，通信技术）与IT（ Information Technology，信息技术，这里主要是云计算）融合的产物。 其次，云网络其实一种 是网络服务，也是一张面向企业租户和应用的虚拟网络。最后，云网络是数字经济的连 接，连接计算、存储、数据库等等，也连接企业/IDC/总部/分支/IoT终端/个人移动端等 等。云网络和传统网络的最大区别是云网络具备共享/弹性/自助服务/按需等云的特征。 云网络2.0的核心是云广域网络。用户在云上多地域部署业务系统后，很自然的需 求就是多地域内网互通，另外，用户还有云下IDC和云上VPC互通的需求，云广域网 络可以很好的满足用户这两个业务场景的需求。2017年，阿里云在业内率先发布云企 业网CEN，用户可以非常简单快速的构建一张全球化网络。2018年，阿里云发布了 云原生SDWAN产品-智能接入网关SAG，方便用户快速上云。云网络2.0让用户具 备了构建一张云化的全球网络能力。 2020年，5G/IoT/边缘计算技术的发展，社会进入万物互联和产业互联网时代， 云计算已经成为整个数字社会的基础设施，云网络也开启了3.0时代，云网络作为数字 化社会的高速公路，将万物互联，助力产业互联网的发展。 阿里云网络发展历程 云网络1.0 云数据中心网络 大规模Overlay DevOps 2009-2016 多租户隔离 云网络2.0 云广域网络 软硬一体 弹性网元 2016-2019 全球互联 云网络3.0 应用-云-边一体网络 5G/边缘/IoT 2020 万物互联 2017年2016年2015年2014年2009-2013年 null AVS 上线 null SLB上线 null VPC上线 null EIP 上线 null 高速通道上线 null NAT网关上线 迁移VPC方案上线 VPN网关上线 共享流量包上线 共享带宽上线 全球加速上线 云企业网上线 智能接入网关上线 IPv6网关上线 IPv6转换服务上线 2018年 2020年 全球加速2.0上线 NAT2.0上线 ALB上线 CEN-TR上线 云网络产品十年大事记 全球首发云企业网CEN，引 领业界云上网络互联产品发 展方向 全球云服务商首发云原 生SDWAN 国内首家全面支持IPv6 洛神1.0发布 国内首发自研 SDN系统 云产品全面 支持VPC 业内首家支持 跨地域VPC互联 网络分析平台公测 UIS-IoT公测 PrivateLink公测 2019年 洛神2.0发布 云网络支撑阿里 100%核心系统上云 国内云网络首家！洛神Vtrace 论文入选顶会SIGCOMM SLB在GartnerADC报告增速 全球第一，份额全球第四 SAG在IDC中国SDWAN服务市 场报告中排名第一 第一是资源共享。为了实现资源共享，网络必须虚拟化与安全隔离。这里就会 1 云网络具备云的特征 7 8 云网络白皮书 用到Overlay技术。网络技术的本质是“编址+路由”，Overlay的编址是指在数据 报文编址上再叠加一层租户标识，通常现在使用VxLAN技术，在租户报文先增加了 IP+UDP+VxLAN（租户ID）。使用VxLAN技术对云网络进行编址避免了对物理网络 设备（交换机/路由器）的升级。在路由层面是实现路由表的隔离，这就要求向每个租 户提供虚拟设备，如虚拟交换机/虚拟路由器/虚拟负载均衡等。 第二是弹性伸缩。网络处理能力主要由转发能力与控制能力决定。对于传统设备 来说，设备买回来，处理性能就确定了，难以弹性伸缩。云网络为了应对弹性伸缩 的，将控制面与转发平面进行分离部署，并且采用集群的方式支持扩展，结合网络虚 拟化技术为每个用户提供了弹性网络能力。 第三是自助服务。这是从用户视角看到的云网络与传统网络的最大区别。传统网 络采用分布式智能控制，支持人-机接口对多台设备的配置，需要专业网络管理员敲 CLI(Command Line)命令行进行配置，而云网络支持机-机接口，集中管理，通过编 程或者集中的控制台就可以完成网络搭建。 第四是按需付费。云网络改变了网络购买方式。传统网络设备会根据设备性能规 格+功能特性+维保进行收费，即使有的企业设备利用率不到30%，也只能超额购买， 而云网络借鉴了CT领域按量计费方式，支持采用预付费或者后付费方式，根据企业实 际使用量进行收费。从技术上看，就需要云网络对每个租户的处理能力和转发的流量 进行定时的打点计费和出账单。 从最终用户看，云网络改变了企业购买网络的方式。传统的方式中，提供应用服 务的企业为了搭建数据中心，需要购买多项业务。1.向集成商购买咨询与交付服务；2. 向多家设备商分别购买交换机/路由器/防火墙/负载均衡/服务器和维保服务 3.向云计算 软件厂商或利用开源搭建虚拟化环境 4.向多家运营商购买带宽与专线。这需要涉及漫 长的协调/沟通过程，需要耗费很长时间与精力。 CT行业运营商，在构建移动与固定网络时，首先需要考虑是互通的标准。这样 的标准化对于降低成本也有极大的好处。采用相同的标准就可以由多个设备提供商制 造，通过招标采购达到降低社会总体成本的目标。 这种方式的弊端在于形成标准的时 间过长，回顾2G到5G的发展历程，基本上从标准制定到商用需要5年以上的时间。网 络设备的发展经历了技术+竞争+场景的不断的叠加，在特定场景中会发现某类网络设 备中包含了很多无用的功能。 当云网络出现以后，企业直接在控制台或者写程序调用云网络API，很快完成部 署。对于云能力欠缺的企业也可以找到MSP（Management Service Provider管理 服务提供商）来完成云环境的搭建。 对于仅提供移动互联网应用的企业，云环境搭建是相对简单的操作。但对传统 企业需要实现总部/分支/移动办公等向云的平滑迁移，云网络的设计就尤为重要。通过 云网络的服务化提供方式，企业可获得许多传统网络中无法获得的能力。比如获得企 业应用全球部署的互联与加速能力；具备云-管-边-端的连接能力；可感知到应用的 实际使用量与网络服务质量。当然由于涉及与传统网络对接，在企业专线上云等还是 需要向运营商购买。 云网络的服务化提供改变了咨询服务行业。20年前获得各种设备厂商的认证是 一件很有含金量的事情，运营商和企业都招聘了一批精通网络配置的专家。今天采用 云服务以后，需要具备的技能发生了很大的转变，需要了解计算/安全/数据库/大数据/ AI的基础知识，更需要懂得应用部署方式，才能更好地进行网络规划与设计。在部署 上不再需要敲命令行，而是需要学会编程根据应用负载驱动网络的调度。 从上游供应链角度看，由于云网络的服务化提供，运营商更多的将带宽资源通 过云厂商进行售卖。对于技术开发实力较弱，通过售卖资源的IDC提供商正在逐步转变 为云管理服务提供商，帮助企业通过构建混合云平滑迁移上云。 2 3 云网络改变了商业模式 DevOps变革了产业生态体系 9 10 云网络白皮书 “天下武功，唯快不破”，为了提升云网络服务发布效率，云网络在开发模式上 采用了IT行业的DevOps方式。在云网络产品开发模式发生了变化，为了快速满足市场 需求，不再采用招标模式，而是采用了自研方式。一些公司将开发的成果贡献到开源 社区。完全采用开源模式是否可支撑云网络发展呢？以开源OpenvSwitch为例：为了 避免对Linux内核改造，充分复用 Linux TCP/IP协议栈的特性与能力，OpenvSwitch 在内核的处理性能并不理想。在10G服务器时代还可勉强维持，但升级到25G/100G以 后，这样的架构就勉为其难了。由于需要利用软/硬件结合提升转发处理性能，也给网卡 芯片/交换芯片提供商带来了新的机会与挑战。通过对最新技术的不懈追求，持续提升网 络处理性能，使云网络产品快速发展。 云网络的技术架构与开发模式，对传统的物理网络设备会带来一些冲击。这些设 备主要包括交换机，路由器，负载均衡和防火墙等。由于服务器与存储间的物理连接 依然存在，对物理交换机/路由器的影响有限，依然要求具备高性能、低时延的转发需 求。由于云网络中的虚拟交换机采用VxLAN等Overlay技术，对物理交换机的表项要 求变小了。当复杂的应用协议层处理剥离到云网络虚拟化层后，物理连接层尽量减少 使用二层部署带来的环路问题，对底层物理交换机的功能需求也会减少。为了提升运 维效率，要求物理网络的监控功能提升，物理网络的人-机 CLI（Command Line） 接口转变为API接口实现机-机监控。但由于各厂商标准不统一，交换机有被白盒化的 趋势。云网络对于47层防火墙，负载均衡等网络设备的冲击尤为巨大，简单的把传统 的设备进行软件化，并不能带来弹性伸缩能力，很多原有的4-7层网络设备正被取代。 由于采用了DevOps方式，云厂商同时具备开发与服务运维能力，可以根据实际 运维过程中的需求，在开发时快速提供管理接口。由于涉及众多租户和应用在线不间 断的使用，基本上靠人使用脚本方式来管理已经不可能。需要考虑使用更智能的方式 对网络进行监控、故障逃逸、版本升级管理。云网络要求新/旧版本间能进行平滑升级 与回滚。 对于企业来说，管理运维云网络也发生了巨大的变革。因为已经看不到实体设 备，很多网络的管理工作交给了云厂商，但是依然需要从应用的视角去感知网络的质 量与故障，进行应用层的可靠性保障。 在过去的10年间，大部分的互联网企业已经将应用部署在云上，充分利用云网络 的能力向消费大众提供服务。基于互联网升级的云计算已经成为社会经济基础设施。 变革已致，未来已来。企业上云，网络先行，云网络必将作为数字经济的连接，携互 联网新技术惠及各行业。 11 12 云网络白皮书 基本概念1 在介绍云网络产品体系前，先介绍几个相关的基础概念和产品名称及简写。阿里 云在基础设施层面分为地域和可用区两层，关系如下图，在一个地域内有多个可用 区。每个地域完全独立。每个可用区完全隔离，同一个地域内的可用区之间使用低时 延链路相连。 云网络改变了用户购买和使用网络的方式，用户不再需要购买硬件设备，而是通 过购买云网络产品和服务来满足业务的网络需求。因此，在云计算时代，用户使用网 络往往接触到的是云网络产品。 云网络白皮书 云网络产品体系 2 地域（Region） 地域是指物理的数据中心。资源创建成功后不能更换地域。用户可以根据目标用 户所在的地理位置选择地域，不同地域的相同产品之间，内网不能直接通信；同时就 产品维度来看，不同地域的资源价格可能有差异。 可用区（Availability Zone，简称AZ） 可用区是指在同一地域内，电力和网络互相独立的物理区域。同一可用区内实例 之间的网络延时更小。在同一地域内可用区与可用区之间内网互通，可用区之间能做 到故障隔离。 接入点（POP点） 一般指物理专线接入阿里云的地理位置，在每个接入点有两台接入设备。每个地 域下有一到多个接入点，本地数据中心可以从任意一接入点与VPC互连。 主要相关产品中英文名称和简写如下： 阿里云 地域 可用区 可用区 可用区 地域 可用区 可用区 可用区 专有网络VPC IPv6网关 私网连接 负载均衡 NAT网关 弹性公网IP 共享带宽 云企业网 全球加速 VPN网关 VPC 无 无 SLB NAT EIP 无 CEN GA VPN Virtual Private Cloud IPv6 Gateway PrivateLink Server Load Balander NAT Gateway Elastic IP Address 无 Cloud Enterprise Network Global Accelerator VPN Gateway 产品名称(中文) 产品名称（英文） 简称 13 14 云网络白皮书 智能接入网关 高速通道 DDoS防护 云防火墙 Web应用防火墙 云服务器 SAG 无 无 无 WAF ECS Smart Access Gateway Express Connect Anti-DDoS Service Cloud Firewall Web Application Firewall Elastic Compute Service 产品名称(中文) 产品名称（英文） 简称 产品体系架构 数据中心网络产品 2 3 云网络产品体系主要分为数据中心网络，跨地域网络，混合云网络三大部分，可以 分别映射为传统网络的数据中心网络，数据中心互联网络，接入网络。如下图所示： 用户在使用云下数据中心构建业务系统的时候，对于网络的构建往往需要以下几个 步骤： 完整的云网络产品和解决方案 数据中心网络产品让用户具备在云上某个地域构建业务系统的网络能力，包括 构建云上网络环境，管理Internet流量等。产品主要包括专有网络VPC，负载均衡 SLB，NAT网关，弹性公网IP等。 跨地域网络产品为用户提供了多地域私网互联和跨地域公网加速能力。用户通过跨 地域网络产品可以满足多地域，甚至全球化部署业务系统的需求。跨地域网络产品主要 包括云企业网CEN和全球加速GA。 混合云网络产品可以为用户构建云上云下互通的混合云，为传统用户提供快捷的上 云通道。混合云网络产品包括VPN网关，智能接入网关，高速通道。 从另外一个角度看，云网络的最底层是全球网络基础设施，之上是洛神云网络平 台，再上一层是数据中心网络，跨地域网络和混合云网络三大产品体系，之上是云网络 的智能和开放，分别通过网络分析平台和网络开放平台承载，最上层云网络解决方案， 包括通用和行业网络解决方案。 云网络产品体系架构 边界路由器 （上海） 新加坡 Internet 数据中心网络 杭州region VPC阿里公网VPC阿里公网VPC阿里公网 云企业网 边界路由器 （杭州） 云连接网 （中国大陆） 云连接网 （新加坡） 边界路由器 （新加坡） 智能接入网关 智能接入网关 智能接入网关 CPE 高速通道 宽带4G 中国大陆 宽带4G高速通道 智能接入网关 Interne t 智能接入网关 香港region新加坡region CPE 跨地域网络 Internet 混合云网络 用户网络 智能接入网关 智能网络 全球网络互联 解决方案 全球应用加速 网络解决方案 云原生智能 网络解决方案 智能运维 互动课堂 网络解决方案 新零售网络 解决方案 游戏加速 网络解决方案 POPRegion 通用网络解决方案 企业级云上 网络解决方案 行业网络解决方案 网络分析平台 网络开放平台 智能运营 大数据分析 开放网络 网络服务开放 网络应用开放 网元生态开放 数据中心网络 混合云网络跨地域网络 VPN上云 SD-WAN上云 5G/IOT上云专线上云私网互联 公网加速网元功能 公网带宽基础组网 飞天洛神云网络平台 全球网络基础设施 路由器 交换机 服务器Edge IPv6网关 共享流量包 Private Link NAT网关 共享带宽 专有网络VPC 负载均衡SLB 弹性公网IP 云企业网CEN 全球加速GA 高速通道 VPN网关 智能接入网关 极致互联网服务 VPC Private Link IPv6 IP CEN GA SLB NAT Internet 数据中心网络 跨地域网络 混合云网络 用户网络 15 16 云网络白皮书 1）寻找合适的数据中心，租赁机柜 2）从运营商购买IP地址和Internet带宽 3）购买网络设备，如路由器和交换机 4）配置网络设备，如划分VLAN，配置IP地址等 经过这些步骤后，数据中心的基础网络环境就配置好了，但还不够，一般还需要购 买和配置负载均衡设备，进行流量调度和实现系统高可用，此外往往还需要购买和配置 防火墙设备。 数据中心网络产品就是为满足用户上述需求的，让用户具备在云上某个地域 （Region）构建云上数据中心网络的能力，而且用户只需要通过在线购买服务的方式 就可以很快实现。如下图所示，是北京Region的云上数据中心网络产品架构图。 北京Region 可用区A 可用区B ECS ECS 虚拟路由器 VPC EIP SLB NAT 虚拟交换机 ECS ECS 虚拟交换机 EIP Internet 共享带宽 VPC是用户在云上私有的安全隔离的网络环境，是用户在云上部署业务系统首先 需要开通的云网络产品。VPC基于隧道技术来实现，不同用户的流量都只在各自的隧 道里面流动，默认情况下都是不能互通的，从而实现了VPC的安全隔离。 使用VPC，用户可以在云上获得完全自己掌控的专有网络，例如选择IP地址范 围、配置路由表、配置网络ACL等等。VPC的基本组成包括虚拟路由器和虚拟交换 机，路由器是专有网络的枢纽，可以连接专有网络的各个虚拟交换机，同时也是连接 专有网络与其它网络的网关设备。路由器根据路由条目来转发网络流量。虚拟交换机 代表专有网络的一个子网，在子网中可以存放各种云资源，包括云服务器ECS，数据 库RDS等。 VPC还支持网络ACL，子网路由，Flowlog，ShareVPC等高级功能，可以很好 的满足用户构建云上数据中心网络环境。 1 构建专有网络环境 VPC 192.168.0.0/16 交换机192.168.1.0/24 交换机192.168.2.0/24 可用区A可用区B 北京Region 路由器 ECS ECSECS ECSECS ECS 公网IP地址和互联网带宽-EIP和共享带宽 要让云上部署的业务系统对用户提供服务，公网IP地址和互联网带宽必不可 2 Internet带宽和流量 17 18 云网络白皮书 可用区A 可用区B SLB ECS ECSECS ECS ECSECS 北京Region Internet VPC 少。云上提供了丰富的公网IP地址资源和不同性价比的带宽。弹性公网IP（Elastic IP Address）是可以独立购买和持有的公网IP地址资源，可以绑定到私网SLB、NAT 网关和云服务器ECS上，使用非常灵活。互联网带宽类型包括Anycast、多线带 宽、单线带宽等，用户可以根据需要选择。当用户IP地址很多，流量峰值很大时，还 可以选择使用共享带宽产品。 Internet流量管理-SLB和NAT网关 负载均衡是常用的流量管理和调度产品，几乎我们熟悉的所有网站或者应用背后 都有负载均衡的支撑。比如淘宝网站，钉钉，支付宝等等。负载均衡可以通过流量分 发来提升应用系统的服务能力，通过消除单点故障来提升应用系统的可用性。负载均 衡SLB主要解决用户以下几个问题： 1）单ECS处理能力不足，需要多ECS做负载均衡 一些中大规模的系统和网站，访问流量比较大，单台ECS处理能力不足，需要使 用多台ECS，因此需要SLB做流量调度以提升系统的服务能力。 2）单ECS可用性不足，需要多ECS做负载均衡高可用 一些关键的系统和网站都需要考虑高可用，避免一台ECS故障就受影响。SLB支 持健康检查，可及时发现和屏蔽故障ECS。 3）大流量处理和调度 访问量大的网站和系统，对大流量的处理调度能力要求很高，比如双11购物节的 天猫网站，就需要面对海量访问洪峰。SLB超强性能，丰富的调度算法可以轻松面对 大流量的调度。 4)基于应用层的流量调度 应用负载均衡支持HTTP和HTTPS协议，提供高级的7层功能，如基于内容的路 由，QUIC协议支持等，满足越来越多元化的应用层负载需求，大大提升交付效率， 同时还具备超强性能（100万QPS/实例）、安全可靠、面向云原生、即开即用等优 势。 NAT网关产品可以让无公网IP地址的ECS访问互联网，如用户有大量无公网地 址的ECS有访问互联网的需求，但为了简化管理，不想为所有的ECS申请绑定公网 IP地址，就可以使用NAT网关的SNAT功能。天猫双11购物，当我们选择好宝贝， 点支付的时候，就需要通过部署在ECS上的程序通过NAT网关的SNAT功能去访问 支付宝的支付接口，以完成支付。 截止到2020年7月，据中国信息通信研究院监测分析，我国IPv6活跃用户数达 3.62亿，在互联网用户中的占比达40%，可以说IPv6已经从发展趋势变成了事实。云 3 IPv6产品和方案 19 20 云网络白皮书 网络产品已经提供了丰富的IPv6产品和解决方案，包括： 内网通信支持IPv6，如VPC支持IPv6，CEN支持IPv6，高速通道支持IPv6 等，用户可以在云上建立纯IPv6通信网络。 公网通信支持IPv6，如SLB支持IPv6，IPv6网关等等。此外，云网络还为其它产 品提供了IPv6支持，如安全，数据库等等，用户可以基于云构建完整的IPv6体系。 私网连接（PrivateLink）允许用户在自己的VPC内通过内网访问阿里云服务，第 三方服务或者自建服务。内网访问更安全，更稳定，更可控，更重要的是，私网连接 （PrivateLink）是跨企业提供服务的，为云上企业之间构建了内网通信通道，是企业 服务总线。 如下图所示ISV A和ISV B分别在自己的VPC发布基于私网的服务ServiceA 和 ServiceB，企业A和企业B在自己的VPC内就可以通过PrivateLink私网去访问这两个 服务。 4 企业服务总线 Aliyun Market Ant Financial Service Private Service PrivateLink Aliyun Service Third Part Service Security Service Operation Service Data Service User 私有网络 ISV A VPC Service A VPC 企业1 VPC 企业2 ISV B VPC Service B 跨地域网络产品 4 跨地域网络产品对应的是传统网络中的数据中心互联产品，但比传统的数据中心互 联产品又有所不同和延展，不同的是云上跨地域互联产品也可以在同地域的不同VPC 间实现互联，还可以实现云上VPC和云下IDC的互联，构建一张云上云下一体的私有网 络，延展的是基于跨地域网络的公网应用加速产品。 注：阿里云跨地域网络产品中涉及跨境部分均由中国联通运营。 云企业网CEN为用户提供了在云上构建多地域互联核心网的能力。为什么需要云 企业网CEN呢？如下图所示，主要是因为企业需要多地域部署业务系统和构建云上云 下混合云。 1 跨地域内网互联 21 22 云网络白皮书 OSS云服务 云企业网 CEN-新加坡TR CEN-中国内地 云连接网TR 中国内地 云连接网 SAG 杭州门店 苏州门店 中国内地 云连接网 硅谷VPC 硅谷VBR TR路由表 CEN-上海TR 上海VPC 上海VPC CEN-美国硅谷TR SAG 温州工厂 杭州总部 北美数据中心 1）多地域部署业务系统 多地域部署业务系统可以极大的提升业务系统的可靠性和用户体验。多地域部署 业务系统可以避免单地域不可用而导致故障。用户在多地域部署业务系统需要开通多 个VPC，多个VPC的业务系统往往需要私网通信，以保障通信安全和质量，用户使用 云企业网CEN把多个地域的VPC连起来，组成一张内部网络。当然，用户在同一个地 域使用多个VPC时，也可以使用云企业网CEN。此外，在多地域部署业务系统对用户 提供服务，也意味着可以离用户更近提供服务，提升用户体验。 2）云上云下构建混合云 有的用户还处在上云过程中，云下IDC还部署了业务系统，这时，采用混合云就是 一个很好的选择。而构建云上云下的混合云，首先需要考虑的就是使用什么产品构建 混合云。通常情况下，用户使用高速通道（专线）和智能接入网关SAG构建混合云， 并配合云企业网CEN和云上VPC实现内网通信，构建云上云下一体的私有网络。 借助云企业网CEN，用户可以低成本、分钟级构建一张全球化的云上网络，快速 为全球用户提供服务。同时，云企业网底层使用阿里云覆盖全球的优质传输网络，保 障了网络的稳定性和低延迟。 全球加速GA是跨地域网络产品中的公网应用加速产品，是基于跨地域网络构建的 网络PAAS产品，是一款覆盖全球的公网应用加速服务，依托阿里云优质的全球互联网 带宽与高品质传输网络，实现网络服务全球范围就近接入和跨地域部署，提升服务可 用性和性能。 全球加速GA可以为用户解决以下问题： 1）互联网应用全球用户访问网络质量差 当前，软件与应用互联网在线化是大势所趋，尤其是受新冠疫情的影响，远程在 线协同办公与跨地域跨国长距离的应用访问需求集中爆发，无论是互联网公司还是传 统企业，都更加依赖高质量的服务访问，这离不开高质量的网络。 2）传统静态内容加速方案对动态交互应用效果差 2 跨地域公网加速 客户端 就近接入 全球加速 阿里 云上 服务 非阿里 云上服务 服务 区域 Region Region 加速区域 Region POP Region Region 加速IP POP 阿里巴巴覆盖全球的 传输网络 23 24 云网络白皮书 对于实时性要求高的动态交互型内容，传统的静态加速方案效果有限，必须依赖 网络底层资源的加速方案。 3）向全球用户快速提供高质量的服务 面向全球用户提供高质量的服务，一种做法是在全球部署业务系统，即使基于云 构建，也相对比较复杂，需要较大的投入，耗费较长时间，这无法满足“唯快不破” 的互联网时代需求，而且很多用户也没有这么大的资金投入。这时，采用全球加速GA 就是最快速、最经济、最简单的方案。通过全球加速把应用访问入口全球部署，但应 用只部署在少量地方，可以快速向全球用户提供高质量的服务。 此外，全球加速GA和云原生的安全能力联动，保护互联网服务免受攻击，加固对 终端节点的安全访问，随时升级防御T级别攻击。快速（分钟级）完成部署开通，业务 架构“零”改动。 混合云网络产品 5 混合云是当前和未来较长一段时间都会持续存在的一种形态，因此，选择什么产品 构建混合云就显得尤为重要。如下是阿里云混合云网络产品大图。 阿里云混合云网络产品可以把IDC/总部/分支/门店/边缘/移动终端等通过VPN网 关，智能接入网关SAG，高速通道产品和云上VPC构建一张云上云下一体的私有网 络。这些产品简单对比如下，用户可以根据需要选择一种或多种混合云网络产品。 此外，这些混合云网络产品可以单独使用，也可以配合使用，比如使用高速通道作 为主链路，使用SAG作为备份链路，支持自动切换，再配合云企业网CEN构建一张企 业级的私有网络。 上海分支 深圳分支北京IDC 杭州VPC北京VPC美西VPC 杭州分支北京总部 CEN云企业网 IPSec SSL 移动终端 VPN网关 移动终端 Internet SAG-1000 SAG-100WM SAG-APPSAG-VCPE 私有云/边缘 专线 移动带宽 SAG-1000 CCN-云连接网VBR-虚拟边界路由器 高速通道 固定带宽 智能接入网关 项目智能接入网关SAG VPN网关高速通道 链路公网+专线公网专线 质量中低高 成本中低高 交付周期中（硬件版-天/软件版-分钟）短（分钟）长（月） VPN网关是一款基于Internet链路，通过加密通道将企业数据中心、企业办公 网络等和阿里云专有网络(VPC)安全可靠连接起来的服务。VPN网关是快速低成本 构建混合云的最佳选择，可满足小带宽（一般小于500M），且对网络质量相对不 敏感的业务需求。此外，VPN网关也经常用于高速通道（专线）开通前的POC以 及备份。VPN网关功能丰富，支持IPSec和SSL协议、支持动态路由协议BGP、国 密、IDaaS服务通过AD认证等。 智能接入网关（Smart Access Gateway, 简称SAG）是阿里云自研的云原生 SD-WAN解决方案，可以实现企业IDC、分支、门店、边缘节点、移动端等多种 类型网络节点一站式接入上云，形成一张企业级私有网络。SD-WAN( Software- Defined WAN)，即软件定义广域网，相比传统WAN网络脱颖而出，主要是具有以下 几个优点： 1 2 VPN网关 智能接入网关 25 26 云网络白皮书 1）最具性价比 通过专线链路和互联网链路的组合，可以极大的降低昂贵的专线带宽使用量从而 降低企业网络线路成本。 2）ZTP快速安装部署 支持零配置安装部署（ZTP），自动协商建立VPN隧道，即插即用。除此之外 所有网络路由信息集中处理、自动分发，即使有数千家门店，任何一个节点的网络变 化，全网其他节点无需任何网络配置。 3）远程集中管理降低运维成本 传统网络架构是同一个网络设备既有转发模块也有控制模块，而SD-WAN将转发 和控制分离，所有节点统一通过中心化控制台远程管理极大的简化了运维管理。从运 维视角来看，传统组网看到的是多个点（网络设备）+多个连接，而SD-WAN架构下 看到的是一张网。 4）云原生 以云为中心，为云而生，依云而建。企业上云后，云下的数据中心、办公室以及各 种各样的终端设备要和云上的应用进行交互。要做到云上云下深度的应用集成，就要求 整个网络以云为中心，实现云-管-边-端一体化。另一方面对应用来说，对云和网的感 知是一体的无差异的。所有节点一键访问云服务，云上云下统一端到端的安全策略。 5）丰富的产品形态 SAG提供了硬件和软件两种产品形态，以满足不同的接入需求。硬件形态提供了 SAG-100WM，SAG-1000两种型号，分别适合在分支/门店和总部/IDC使用，软件 形态提供了SAG-APP和SAG-vCPE两种形态，分别适合在移动终端和边缘/其它云 使用。 硬件形态 SAG-100WM 分支/门店 总部 IDC SAG-1000 软件形态 SAG-APP 移动终端 其他云/边缘 PC 手机 SAG-vCPE A云 边缘 3rd 2020年11月，权威调研机构 IDC 发布了 2020 年上半年中国软件定义广域网 （SD-WAN）市场跟踪报告，阿里云智能接入网关SAG同比增速超600%，以 25% 的市场份额领跑中国 SD-WAN 服务领域。 高速通道（Express Connect）提供了通过基于运营商专线接入公共云的能力， 可以提供超大带宽、稳定安全的私有上云通道，是大型混合云架构的最佳选择。 高速通道的核心优势是高性能和高质量。 随着互联网的快速发展，产生了越来越多的海量数据，对网络