本文簡介

本文重點介紹如何實現公共云網絡的負載均衡掛載部署在IDC的服務器，完成IDC服務器的應用交付網絡設計，實現IDC公網出入口上云，從而快速構建具備彈性伸縮能力的混合云，以滿足企業的云化進程。

本文關鍵詞

• ALB：阿里云推出的專門面向HTTP、HTTPS和QUIC等應用層負載場景的負載均衡服務，具備超強彈性及大規模應用層流量處理能力。ALB具備處理復雜業務路由的能力，與云原生相關服務深度集成，是阿里云官方提供的云原生Ingress網關。并且支持掛載線下IDC服務器。

• NLB：阿里云面向萬物互聯時代推出的新一代四層負載均衡，支持超高性能和自動彈性能力，單實例可以達到1億并發連接，幫您輕松應對高并發業務。并且支持掛載線下IDC服務器。

• EIP：可以獨立購買和持有的公網IP地址資源。本架構中彈性公網IP會綁定IPv4網關并映射云下IDC服務器，為IDC提供云上公網訪問能力。

• VPC：用戶基于阿里云創建的自定義私有網絡, 不同的專有網絡之間二層邏輯隔離，用戶可以在自己創建的專有網絡內創建和管理云產品實例，比如ECS、SLB、RDS等。

• 云企業網：運行在阿里云私有全球網絡上的一張高可用網絡。云企業網通過轉發路由器TR（Transit Router）幫助您在跨地域專有網絡之間，專有網絡與本地數據中心間搭建私網通信通道，為您打造一張靈活、可靠、大規模的企業級云上網絡。

• 共享帶寬：提供地域級帶寬共享和復用功能。創建共享帶寬實例后，您可以將同地域下的彈性公網IP（EIP）添加到共享帶寬實例中，復用共享帶寬中的帶寬，節省公網帶寬使用成本。

• 高速通道：一款連接企業數據中心與阿里云的網絡服務，可在企業數據中心與云上網絡之間建立高速、穩定、安全的私網通信通道。高速通道的數據傳輸過程可信可控，能有效提高網絡通信的質量及安全性。

• 物理專線：通過物理電纜或光纖連接不同機房的物理線路連接，通常由運營商提供和維護。根據不同的交付形態，連接阿里云專線接入點機房的物理專線分為獨享物理專線和共享物理專線。

• VBR：阿里云基于軟件自定義網絡SDN架構下的三層Overlay技術和交換機虛擬化技術，將物理專線的接入端口隔離起來，并抽象成邊界路由器VBR（Virtual border router）。VBR是CPE（Customer-premises equipment）設備和專有網絡VPC之間的一個路由器，作為數據從VPC到本地數據中心IDC的轉發橋梁。

• VBR上連：通過VBR上連實現專有網絡VPC和邊界路由器VBR之間的簡單的點到點靜態路由私網互通。

• 專線網關ECR：全球混合云專線組網的轉發服務組件，提供全球范圍專線網絡互通、全動態路由組網和統一路由發布管理等功能。例如，您可以通過為專線網關ECR添加VBR，再將ECR綁定至轉發路由器TR實例或為ECR綁定VPC實例，實現本地IDC與云上資源之間的互訪。

• NIS：一系列云上網絡AIOps工具集，提供了云上網絡從網絡規劃到網絡運維全生命周期。包括流量分析、網絡巡檢、網絡性能監控、網絡診斷、路徑分析、網絡拓撲等功能，幫助用戶優化網絡架構、提升網絡運維效率、降低網絡運營成本。

• 云監控：一項針對阿里云資源和互聯網應用進行監控的服務。

• CLB：將訪問流量根據轉發策略分發到后端多臺云服務器的流量分發控制服務。CLB擴展了應用的服務能力，增強了應用的可用性。

穩定性

• 負載均衡（應用型負載均衡/網絡型負載均衡）：

  相對于傳統的主備模式的CLB，阿里云ALB、NLB使用多可用區部署，某個可用區故障時仍能保障業務運行，實現業務高可用性。ALB與NLB采用多層次容災架構設計，通過集群容災、會話保持、可用區多活等機制保障實例的可用性。

• 專線接入（高速通道）：

  通過高速通道產品經過物理專線連接阿里云POP點和IDC。推薦采用雙專線接入雙阿里云POP點，雙專線盡量采取不同物理路由/專線供應商，以保證業務穩定性。

  高速通道專線互聯建議采用BGP協議并開啟BFD功能，保證單根專線出現故障時可完成線路倒換和路由快速收斂。基于BFD最快可實現200ms*3的網絡中斷檢測時間。

• 公網入口（彈性公網IP）：

  彈性公網IP建議使用多線BGP（Border Gateway Protocol）類型。通過多線BGP，阿里云的EIP能夠利用多條線路，確保網絡訪問的穩定性，并優化網絡路徑，以獲得更快的訪問速度和更高的可靠性。多線BGP優點在于，它能夠自動選擇最優的路徑進行數據傳輸，當某條線路發生故障或性能下降時，BGP網絡會根據網絡狀況的實時變化，調整路由策略，轉而使用其他更優的線路，這樣即便是面臨單點故障的情況，也能夠保證服務的連續性和穩定性。

• 云內連接（ECR）：

  VBR與VPC連接推薦采用ECR，ECR采用全動態路由模式，可全鏈路覆蓋，更穩定。同時ECR支持調度最優的轉發路徑，有效優化專線接入的轉發時延。

安全合規

• 負載均衡（應用型負載均衡/網絡型負載均衡）：

  • NLB支持TCPSSL協議，單雙向認證、可自定義TLS策略。

  • ALB支持HTTPS協議，單雙向認證、可自定義TLS策略。

  • 安全組：NLB/ALB可以加入安全組實現黑白名單策略。

  • VPC的網絡ACL：可以支持到私網NLB/ALB VIP的訪問流量過濾。

• 防御DDoS攻擊（DDoS防護增強版EIP）：

  EIP實例默認提供不超過5 Gbps的基礎DDoS防護能力。不同地域支持的最大免費防護流量不同。阿里云提供DDoS防護（增強版）EIP，在購買EIP實例時，選擇DDoS防護（增強版）安全防護級別，即可提供Tbps級的專業DDoS防護能力。使用DDoS防護（增強版）EIP，無需額外進行DDoS高防配置，業務IP也無需進行轉換。

• Web安全防護（WAF）：

  公網入口上云后，建議開啟Web安全防護能力，實現對網站或者App的業務流量進行惡意特征識別及防護。在對流量清洗和過濾后，將正常、安全的流量返回給服務器，避免網站服務器被惡意入侵導致性能異常等問題，從而保障網站的業務安全和數據安全。

  如果使用ALB，建議使用WAF 3.0透明模式，透明接入模式只需將需要防護的網站信息添加到WAF，無需修改域名的DNS解析設置，即可實現WAF防護。

• 互聯網邊界防護（互聯網邊界防火墻）：

  互聯網邊界防火墻作用于互聯網邊界，對所有公網資產進出流量統一管控防護。可以使用互聯網邊界防火墻，精細化管控業務公網資產出入互聯網的訪問流量，減少公網資產在互聯網的暴露面，降低業務流量的安全風險。

高效性能

• 負載均衡（應用型負載均衡/網絡型負載均衡）：

  多可用區地域，ALB實例初始QPS上限值為10萬QPS，不隨著可用區的增多而變化。ALB固定IP模式實例最大10萬QPS，ALB動態IP模式實例會隨著彈性SLA自動擴容，最高可達100萬QPS。

  NLB單實例最大支持1億并發連接和100 Gbps帶寬。NLB無需指定或手動調整NLB的實例規格，實例性能會隨著業務增減自動彈性伸縮。

  NLB、ALB可以跨地域掛載后端服務器，將NLB/ALB靠近客戶端所在地域部署可以縮短公網接入距離、優化網絡質量。

• 公網入口（彈性公網IP/共享帶寬）：

  通過配合云企業網的跨地域能力，可實現多地域不同公網入口接入同地域IDC，從而實現公網就近接入和多ISP覆蓋提高整體公網接入性能。多達89條覆蓋全球的優質BGP線路，享受與淘寶網和天貓網相同級別的BGP多線帶寬。中國內地的每個地域均提供電信、聯通、移動、鐵通、網通、教育網、廣電、鵬博士、方正寬帶等多條線路的直連覆蓋。根據地域情況，共享帶寬最大能提供數百Gbps的帶寬能力。

  可以隨時申請和釋放EIP，且可以將其快速綁定到不同的云下IDC服務器/網絡設備上。提供了極高的IP地址管理靈活性和業務部署的便捷性。

  共享帶寬根據實際需求動態調整帶寬大小，無論是手動還是通過API自動化，都可以快速響應業務流量變化，從而在成本和性能之間取得平衡。如果需要應對突發流量，大帶寬場景下可采取95計費模式，擁有多達5倍的彈性帶寬上限。

• 專線網關ECR：

  專線網關ECR可以調度最優的轉發路徑，有效優化專線接入的轉發時延。

• 專線接入（高速通道）：

  專線接入端口并不具備實時彈性能力，建議根據業務需求提前進行規劃。

可觀測

• 負載均衡（應用型負載均衡/網絡型負載均衡）：

  • ALB/NLB監控：支持連接、帶寬等監控并配置告警。

  • ALB/NLB操作日志：可以記錄OpenAPI或控制臺等方式操作ALB/NLB的行為，用于回溯。

  • NLB秒級監控：用于觀測微突發。

  • ALB訪問日志：將用戶訪問記錄在日志服務SLS中，用于分析用戶行為、了解用戶的地域分布、進行問題排查等。

• 智能運維：

  網絡智能服務 NIS（Network Intelligence Service）支持對公網流量與負載均衡與進行健康分析、性能監控、診斷修復、流量分析和測量仿真的云服務，通過集成機器學習、知識圖譜等AIOps方法減少網絡使用復雜性，提供自助運維能力，方便網絡架構師和運維工程師更快捷的設計和使用網絡。

• 流量分析：

  CEN TR企業版和VPC支持流日志，支持將業務流量通過流日志形式進行記錄輸出并實現流量的詳細分析。

• 云監控：

  提供相關云產品的整體運維/告警/監控能力。

四層應用交付（使用NLB）

最佳實踐核心架構：

• NLB：實現互聯網四層業務流量的多可用區接入，掛載IDC的服務器。

• ECR+高速通道：全動態路由設計，專線多接入點接入，IDC和阿里云之間采用BGP+BFD互聯。

七層應用交付（使用ALB）

最佳實踐核心架構：

• ALB：實現互聯網七層業務流量的多可用區接入。

• ECR+高速通道：全動態路由設計，專線多接入點接入，IDC和阿里云之間采用BGP+BFD互聯。

七層應用交付（NLB+云上自建七層網關）

最佳實踐核心架構：

• NLB：實現互聯網四層業務流量的多可用區接入，掛載云上同VPC自建七層網關/通過TR掛載其他VPC自建七層網關。

• 自建網關：實現互聯網流量的七層應用處理。

• ECR+高速通道：全動態路由設計，專線多接入點接入，IDC和阿里云之間采用BGP+BFD互聯。

七層應用交付（NLB+IDC自建七層網關）

最佳實踐核心架構：

• NLB：實現互聯網四層業務流量的多可用區接入，掛載IDC的七層自建網關。

• 自建網關：實現互聯網流量的七層應用處理。

• ECR+高速通道：全動態路由設計，專線多接入點接入，IDC和阿里云之間采用BGP+BFD互聯。

四層應用交付（使用NLB）

代碼流程：

1. 創建云上VPC與交換機。在VPC中創建網絡型負載均衡NLB，其中NLB后端服務器掛載線下IDC服務器。

2. 創建VBR與ECR并將ECR與VPC關聯，配置BGP+BFD構建高可用專線網絡。

需要創建的實例如下：

• 1個VPC

• 2個交換機

• 1個NLB

• 1個ECR

• 2個VBR

七層應用交付（使用ALB）

代碼流程：

1. 創建云上VPC與交換機。在VPC中創建應用型負載均衡ALB，其中ALB后端服務器掛載線下IDC服務器。

2. 創建VBR與ECR并將ECR與VPC關聯，配置BGP+BFD構建高可用專線網絡。

需要創建的實例如下：

• 1個VPC

• 2個交換機

• 1個ALB

• 1個ECR

• 2個VBR

四層應用交付（使用NLB）

四層應用交付的可視化部署架構圖：

使用流程

七層應用交付（使用ALB）

七層應用交付的可視化部署架構圖：

使用流程