2019.3.21 北京云智能峰会(原北京云栖峰会)盛大发布,总体报名人数超过10,000人!网络产品团队也在本次峰会,针对企业用户常见的三大网络痛点—公网数据安全、企业网络移动/差旅接入、个性化网络功能及产品需求,提出最新解决方案及最佳实践分享。以下摘取阿里云智能网络产品线高级产品专家演讲实录:
大家好,我是谭礼铨,是阿里云智能网络产品线的高级产品专家,谢谢大家来参加基础设施专场。今天我的主题是安全,智能,开放的网络,主要分享一下我们在这三个方面思考和工作,以及赋予用户的网络能力。
先简单介绍一下阿里云网络产品大图。网络产品发展到今天我们已经有10几个网络产品了。分成四大块,上面是云上网络,就是对应传统数据中心网络的,相应的技术系统我们叫洛神,这部分有大家熟悉的VPC和SLB这样的产品,还有EIP,NAT网关,IPv6网关,以及共享流量包和共享带宽包这2个节省带宽成本的产品。左边中间部分是跨地域网络,主要有我们的云企业网CEN产品,可以把用户多个不同地域的VPC连起来,组成一张fullmesh的网络。当然这一块还有其它的一些产品,如全球加速。下面是我们的混合云产品,包括VPN网关,高速通道专线,智能接入网关,这些产品能够让云下的IDC/分支/门店/总部/甚至移动端都连到云上。最右边是我们计划推出的智能网络,主要定位是帮助用户解决网络问题的,比如说网络质量可视化,网络问题诊断,还有网络分析等。
回到今天的主题,企业级网络,安全,智能,开放,这些话题都很大,这次我们聚焦在网络方面。安全方面这次我们主要聚焦在通过在云上构建私有网络达到安全隔离以及我们在私有网络方面的安全能力增强。智能是说当云网络的规模,用户网络的规模上来后,网络越来越复杂,我们需要通过智能的方法来管理我们的网络。开放主要谈下阿里云网络在网络开放方面的思考和动作,我们认为,只有开放,让更多合作伙伴进来,才能服务好这么多的客户。
安全。安全我主要提的是用户在构建私网络方面的安全,包括云上网络,混合云网络还有私网云服务这三个方面。
首先是云上私有网络,我们来阿里云云上网络的演进,首先是经典网络,或者说传统网络,阿里云09年开始做云计算,那时候还没有SDN,更没有VPC网络。
在经典网络下,给云上用户的网络能力很少,主要有几个网络方面的能力,一是网卡是有个公网IP可以和Internet互访,其次是ECS虚拟机有安全组。另外,在经典网络下,租户隔离是通过三层来实现的,比如我们熟悉的Iptables这样的手段。由于经典网络对用户和平台来说都存在比较大的缺陷,后面出现了VPC网络,现在已经是云上默认的网络类型了,经典网络占比越来越少。VPC主要有2个好处,一是更安全,基于2层的租户隔离,其次是赋予用户更强大的网络功能,如自定义地址,子网划分,混合云等等。没有VPC,这些能力用户都没有。
有了VPC后,很自然的,用户如果有多个VPC,就需要把多个VPC连起来,这就是云企业网CEN。这就是阿里云网络的一个简单演进的说明。
回到私有网络安全,刚才讲了,云上主要是VPC和CEN。首先是VPC,VPC和VPC是安全隔离的。用户可以把生产环境放在一个VPC,测试环境放在另一个VPC来做到业务的隔离。除了VPC之间的安全隔离,在VPC内部我们也提供了很多安全的机制和措施,首先是安全组,用户可以使用不同的安全组来做到安全隔离,另外,正在各地域上线的子网路由也能实现一定的路由调度,可以把流量调度到网关等设备进行流量审计。VPC网络下还支持FlowLog,可以提供安全审计的能力。最后是正在开发的网络ACL,能够实现网络层的安全隔离。接下来我们说下CEN,我们知道CEN可以加载VPC,VBR,CCN这些实例。CEN的安全首先要说的是CEN和CEN之间是互相隔离的。其次在CEN内部,用户可以控制这些实例的自定义路由是否发布到CEN或者被其它实例学习,还可以在Region纬度控制是否接受其它Region发布的路由等等,总的来说在VPC和CEN层面,我们会提供更多的安全能力给用户。
接下来是混合云私有网络安全,这个是混合网络产品的一个大图,混合云产品的目的是把云下机构,包括idc/分支/总部/门店等和云连起来,构建一张云上云下的私有网络。我们有三个产品,分布是VPN网关,智能接入网关,高速通道专线,支持IPSec,SSL,GRE,未来我们也在考虑在专线上支持IPSec,也是有用户提这样的需求。接下来是我们在混合云网络产品上两个重要的安全相关特性更新,支持移动办公和远程运维的智能接入网关软件版即将发布,软件版会提供Windows,Android,IOS等平台的支持。另外,智能接入网关的ACL功能正在发布中,ACL功能基于5元组,作用在智能接入网络设备上,控制该设备入出流量的。
下面是私网云服务。大家知道,云服务可以通过公网和私网两种方式提供服务,公网云服务可以通过Internet访问,私网云服务通过云内部网络访问,相比而言,私网云服务在安全性,稳定性,可控性方面都更有优势。今天,针对私网云服务,我们即将推出一个新的产品,PrivateLink,或者叫私有连接。PrivateLink可以让用户在VPC网络中通过自己的弹性网卡ENI经私网访问阿里云云服务。右边是一个示意图,ECS通过弹性网卡经PrivateLink访问到阿里云公共服务。因为是用户自己的弹性网卡,用户可以设置安全组等,并且这个弹性网卡其它用户也是无法访问到的。因此,更可控,更安全,内网访问网络质量也更高。这是我们对私网云服务增强的一个重大发布,后面我们也会把这个能力开放给合作伙伴,让合作伙伴在云上也能提供私网服务。
接下来我们谈下智能,其实现在在网络方面谈智能真不是蹭热点,而是实实在在必须依靠智能来解决实际问题。我们看下现在云平台和用户面临的网络挑战。对平台来说,面临的规模是百万租户,百万服务器,千万虚拟机。还有各种各样非常复杂繁多的技术和系统。在这个基础上,必须保持稳定性,还要做到用户无感的升级,出了问题能先于用户发现并定位,以及能进行故障逃逸等等。在如此大的体量下,要做到这些非常困难。从用户来说,用户可能有几万台ECS,使用了几十个云产品,构建了几十个系统,还要关心网络质量,网络问题定位,容灾,节约网络成本等等,这些也是很大的挑战。
面对这些挑战,我们这几年持续投入,建设基于大数据驱动的智能网络,我们内部叫齐天系统,这个系统是专门用来管理运营阿里云整个网络的。这里简单写了其中的几个功能,如网络大盘,了解整体运行状况。还有网络异常的实时监控,网络资源的使用情况,以及网络产品和用户的异常波动等等。这只是其中几个功能,实际上齐天系统远不止这些。基于这几年我们内部系统的积累,我们会把齐天的能力产品化,输出给用户,比如提供网络质量可视化,一键网络诊断,网络分析等能力给用户。
最后一部分内容是开放。网络开放的本质还是赋能生态,期望和生态合作伙伴一起更好的服务用户。这是阿里云网络开放的规划大图,有的已经提供了,有的还在做。最底层是我们的网络能力开放平台,开放各种网络能力。如网元功能赋能开放,云连接网接如层开放,应用加速网络开放,网络分析能力开放等。中间是基于这些能力合作伙伴可以提供的产品和服务。比如第三方SDWAN,厂商设备,百盒设备可以对接我们的云连接网。最上面是云市场网络集市,这是最近上线的由网络产品线运营的网络专区,网络合作伙伴的产品和服务都可以在这个专区上线。云网络也会给予流量并在解决方案中集成合作伙伴产品和服务。
接下来说下云市场网络集市,刚说了是我们最近发布的,其实我们看有的云服务商云市场网络板块有几百个产品,各方面的都有,整个生态比较繁荣。这也是我们努力的目标。简单说,云市场网络集市是网络合作伙伴的产品和服务的统一出口。我们正通过各种网络能力开放让合作伙伴的产品和服务更有竞争力。右边是一个入驻的简单流程。
接下来简单介绍下几个我们开放的网络能力。首先是云连接网接入层开放,助力SDWAN。云连接网是阿里云提供的网络接入层组件,目前服务于智能接入网关产品和合作伙伴相关产品。仅仅从网络上来说就是阿里云提供网络,合作伙伴提供设备等,一起服务用户。设备可以是白盒设备,也可以是厂商设备。厂商设备对接这个是我们目前已经具备的能力,支持松耦合和紧耦合两种对接模式。紧耦合就是使用阿里云网络的管控和软件,设备由阿里云系统进行管理。松耦合其实就是自己从云端下载配置,并自行完成配置。这是目前我们的一些合作伙伴,包括驻云,鹏博士,畅捷通,瑞捷等。我们为合作伙伴提供高额返佣,免费培训等支持和服务。下面是一个网络设备商紧耦合对接的简单流程说明,首先是对接开发,完成后在云市场上线该硬件设备,然后用户购买智能接入网关,选第三方设备,再在云市场购买该硬件设备并通过智能接入网关控制台完成关联。
最后一个介绍的是应用加速网络的能力开放,应用加速网络是基于阿里云各地域的IaaS资源构建的一个加速PAAS产品。比如在北京 上海 深圳三个Reion各有一个节点,并在节点的ECS上部署程序,再把这些节点用云企业网CEN打通,就组建了一个加速网络。实际上用户操作比这更简单,用户只需要开通一个应用加速实例并选择需要的节点即构建了一张加速网络,其它如云企业网CEN,节点所使用的VPC/ECS/NAT等用户都不需要感知。 应用加速网络主要通过API/SDK交付,ISV或合作伙伴集成后再对他的客户提供服务。比如,某在线教育应用,因为偏远地区用户通过Internet访问其服务,服务质量差。这个时候就可以考虑使用应用加速网络,在在线教育应用中通过SDK集并发布给用户,通过这种方式,可以让偏远地区的用户能够更快的访问到在线教育资源。