网易云网络服务研发实践—第2代云网络服务|网易云 _vxlan

浙江大学计算机学院本科、博士毕业。网易专业技术委员会委员、网易云计算基础设施研发负责人。专注于云计算、虚拟化、软件自定义网络（SDN）、分布式存储、大数据处理等技术。
在网易私有云研发3年多以来，伴随着社区的发展，在公司需求的推动下，云网络服务已进行着架构和技术上的演进。我们一共研发并发布了两个版本的云网络服务：基于Nova 模块研发的第一代云网络服务和基于的第二代云网络服务。
第二代云网络服务
随着私有云平台的规模不断增长扩大，第一代云网络服务Nova 模块较死板的网络结构和较差的可扩展性在应付公司线上服务时已渐渐显得力不从心。于是第二代云网络服务的研发工作提上了日程表。第二代云网络服务是基于项目研发，使用Open 作为承载底层SDN网络的技术解决方案。
为什么选择？
网络资源管理更加灵活方便，可以根据自己的需求定制网络
软件架构则更加先进灵活，可以方便的添加和
可以同时支持众多网络虚拟化解决方案
提供网络ACL管理、VPN接入管理、网络状态监控等功能
功能介绍
得益于组件为网络管理提供的强大功能与可扩展性，第二代云网络服务在基于组件基础上研发并解决企业特定需求，其主要提供了网络资源管理与网络策略管理两大类功能。
>>>>网络资源管理
网络管理功能包括：网络拓扑管理以及网络资源生命周期管理。第二代云网络服务为云环境租户提供了三类可配置管理的网络环境：
1.私有网络：用于云环境租户内云主机互联，租户外不可见，创建租户时就默认为其创建并由云环境租户管理；
2.机房内部网络（简称机房内网）：用于云环境租户间云主机及云环境租户云主机与非云环境互联，管理员根据租户的需求为租户创建并管理；
3.外部网络：用于云环境租户云主机与公网（互联网）互联，默认创建，而租户可以通过申请公网IP使用该网络。
网络资源生命周期管理包括：
1.创建、删除网络（机房内网）；
2.创建、删除、绑定、解绑端口以及查看端口信息；
3.添加、删除ACL规则以及查看ACL规则信息；
4.子网信息查看；
>>>>网络策略管理
网络策略管理功能包括：网络连通性管理以及网络接入管理。第二代云网络服务提供了强大的网络访问控制权限（ACL）管理功能来控制云主机与机房内网访问的连通性。
网络ACL管理使用白名单的机制以控制云主机允许访问的目标网段，由云环境管理员配置，以网段为单位。第二代云网络服务实现了通过VPN接入租户网络的功能，允许非云环境的用户远程安全地接入云环境租户的私有网络。
网络逻辑架构
下图展示了第二代云网络服务的网络逻辑架构图。在第二代云网络服务中，整个私有云网络分为私有网络、机房内网、外部网络三大部分。

文章插图
每个租户默认都拥有一个独立的私有网络，在这个网络中云环境租户可以自由的规划和分配IP的使用，用于同一租户下的云主机的相互访问。这个私有网络相当于一个独立的二层网络，不同用户私有网络中的IP地址空间可以复用，跨租户访问默认是不通的。例如，图中租户A的云主机VM1、VM2可以通过A的私有网络互相访问，租户B的云主机VM4、VM5也可通过B的私有网络互相访问，但租户A的云主机VM1、VM2不能通过私有网络直接与租户B的云主机VM4、VM5互相访问。注意租户A中云主机VM2的私有网络IP地址与租户B中云主机VM5的私有网络IP地址相同，这是允许的，并不会有冲突发生。