本文分享自天翼云开发者社区《谈谈天翼云VPCE》,作者:天枫霁月
一、VPCE产品出现的背景 跨VPC通信,且能够严格限制访问,任意两个租户之间都能互通,性能高,花费少,通过VPCE产品实现安全、灵活、高效的跨VPC访问。
二、VPCE产品简介 VPC终端节点(VPC Endpoint):能够将VPC私密地连接到终端节点服务(云服务、用户私有服务等),使VPC中的云资源无需弹性公网IP就能够访问服务提供方的服务,提高了访问效率,提供了更加灵活、安全的组网方式。
三、VPCE产品相关概念 终端节点服务(Endpoint Service):用户或服务提供商可将VPC内的资源作为服务端,创建为一个终端节点服务,可以被终端节点连接并访问。 终端节点(Endpoint):连接到终端节点服务,作为服务使用方访问服务的入口。 约束:一个终端节点服务可提供给多个终端节点访问;一个终端节点只能连接到一个终端节点服务。
四、VPCE产品特点 安全可信 1.用户通过终端节点服务,实现跨VPC的点对点单向发起访问,不暴露服务端相关的网络信息,使用户的访问更加安全。 2.服务提供方通过租户白名单来管理服务使用方的账号接入权限;服务使用方通过IP地址白名单来限制对终端节点访问,使得通信安全可控。 灵活便捷 1.无需购买弹性IP和NAT网关等产品 2.避免复杂的路由和安全配置 3.秒级创建,快速生效,迅速响应,方便用户及时使用。 高可靠高性能 1.跨AZ多活集群实现跨AZ高可用性 2.自研DPOS数据面,单机支持千万级会话 3.最低时延,报文仅经过一跳网关 4.单网元带宽25G,转发时延15us 服务资源覆盖全 1.后端服务资源类型全:云主机、物理机、弹性负载均衡、高可用虚IP 2.协议支持全:服务支持TCP和UDP端口映射
五、VPCE功能 终端节点服务(Endpoint Service) 1.后端支持:支持将服务端VPC内的云主机、物理机、弹性负载均衡、高可用虚IP 2.租户白名单:支持添加白名单租户,从而允许其他租户与该终端节点服务建立终端节点连接 3.端口映射规则:可配置多条规则以提供终端节点访问,协议支持TCP和UDP,支持设置每个真实后端的端口与服务访问端口映射关系 终端节点(Endpoint) 1.终端节点网卡:在创建终端节点时,选定子网自动创建,占用一个用户子网IP,作为访问服务的入口 2.CIDR白名单:支持通过白名单设置允许访问终端节点的CIDR地址范围,最多允许添加20条CIDR记录(默认放通全部) 3.域名:支持为终端节点创建内网域名,实现通过内网域名访问终端节点(规划中) 其他 1.跨AZ访问:终端节点可跨AZ访问,但不支持跨Region访问 2.访问终端节点的源:支持VPC内及VPC连接的各类源端进行访问(支持从专线、VPN、云间高速访问终端节点) 3.路由配置:自动配置路由,用户无需配置 4.流量类型支持:TCP和UDP,IPv4,IPv6(规划中) 5.限速:带宽默认限速1Gbps,最大会话数默认限制5000,可申请调整 6.监控支持:支持流量统计用于监控和计费 7.流量放行:后端服务需要放行源IP为198.19.128.0/20的网段 8.配额:单个VPC可以创建的终端节点服务、终端节点数量
六、VPCE其他说明 终端节点服务模式说明 当前VPCE产品(包括接口类型和反向类型)流量转发为Full NAT模式,即访问后端的时候会做SNAT+DNAT地址转换 终端节点服务类型说明 1.Interface(接口类型): 终端节点作为一个接口,占用租户子网内的一个IP地址(标准产品) 2.Reverse(反向类型):服务侧可通过反向终端节点来访问客户侧VPC内的虚机等(标准产品) 3.Gateway(网关类型): 终端节点作为一个网关,不占用租户私网IP地址,作为路由表中的下一跳(规划中)
七、VPCE的跨AZ高可用及高性能设计 1.网元多活:每个网元均为主节点,并且会话同步,流量可经由任一节点转发;节点故障时自动切换流量 2.就近访问:就近通过本AZ网元转发,最大化减少跨AZ流量,并且同AZ内多个网元负载均衡 3.最少跳数:仅经过1跳网元,低时延、高吞吐
自研可控数据面:天翼云0使用基于DPDK开发的自研DPOS软件作为数据转发网元 超高性能:25Gbps网卡实现线速转发,支持亿级会话数,典型转发时延15us(使用CPU的8核心转发)
八、VPCE 典型应用场景 1.提供云上服务
基于VPC终端节点,可以快速构建的云生态系统,增强应用的扩展能力。
服务提供方 在己方VPC内配置终端节点服务,后端资源可以是自己VPC内的云主机、负载均衡、裸金属、虚拟IP。 当终端节点服务配置完成后,将己方后端资源对应的应用服务在云上进行共享。 针对不同账号间云服务共享场景,服务提供方可以配置白名单/管控使用方的接入权限,安全可控。 典型服务:镜像源、API网关、数据库等 服务使用方 其他VPC通过配置VPC终端节点与终端节点服务连接,可以访问对应的云服务。
2.云外访问云上服务
用户自建数据中心/分支机构通过云专线、VPN、SD-WAN产品接入用户云上VPC内部,通过VPC内部已经建立的终端节点,用户即可在云外可以使用私网访问后端共享的云服务。通过云间高速产品,实现在其他Region跨区域访问云服务。 降成本:由于不涉及弹性IP、公网带宽等部署,降低了用户的使用成本; 提效率:部署简单、便捷,提高访问效率,更加安全。