深度解析：UCloud 获得 VPC 技术创新奖的 7 个秘诀

2017 年度可信云大会于 7 月 26 日在北京召开。作为中国云计算市场的权威认证体系之一，可信云大会在行业内有着极高的认可度和威望，而此次 UCloud 凭借在云计算网络领域的精耕细作和锐意创新，斩获可信云 VPC 网络类唯一的技术创新奖。

虚拟私有网络 VPC（Virtual Private Cloud）作为云计算网络的强需求，已成为主流云厂商的标配产品。UCloud 能在众多 VPC 技术产品中脱颖而出，斩获该项大奖，凭借的秘诀是什么？下面小编就将深入展开，为大家揭晓 UCloud 在 VPC 功能和技术创新上的 7 大独到之处。

图：UCloud VPC 整体架构

一、单 VPC 内同时支持 10/172/192 三种网段并可随意扩展

VPC 网络相比传统 IDC 的大二层网络，最大的突破就是在多租户环境下，允许不同用户独立、自由、灵活地定义其想要使用的内网地址。一个合格的 VPC 产品应该支持 10.0.0.0/8 ,172.16.0.0/12，192.168.0.0/16 三种标准的内网地址。而对这些地址的管理是否灵活强大，便是衡量 VPC 产品能力的重要要素之一。

当前所有云厂商的做法是，一个 VPC 只能指定 10/172/192 中的一种地址段，并且网段确定后，其范围便不可再扩大。但是单一地址段无法解决异构网络环境下对多种地址段的需求。而如果网段无法扩充，则可能面临 VPC 使用一段时间后 IP 池耗尽的窘境。

这显然不是用户希望的解决方式，也正是技术创新的价值所在。结果便是，UCloud 的 VPC 中，能支持多种地址段的混合使用，并且可以随时在现有 VPC 中添加新的网段，只要不和已有地址重合即可。

二、业内首创的子网跨可用区

子网是对一个 VPC 网络的更细致划分。合理地定义子网段，有助于在不同子网间更加安全、方便、有效的部署不同应用和服务。

另一方面，基于云厂商对地域和可用区的设计，在同一地域中，很多用户倾向于跨可用区的资源部署，因为容灾能力更强。但在通常云主机跨可用区迁移时，内网地址肯定会变化。原因就在于，主流的 VPC 技术方案，对于子网和可用区的分布规则上存在限制：一个子网只能属于一个特定的可用区，不同可用区的子网段必然不同。这一限制会造成服务无法透明切换，从而带来额外的管理成本。

为解决鱼和熊掌的问题，UCloud 的 VPC 打破了子网和可用区间非此即彼的隔阂，子网可跨跃多个可用区。从此各种跨数据中心的高可用方案将越来越简单。

三、内网产品 VIP 在 VPC 中灵活使用

VIP（VirtualIP）是一个可漂移的虚拟 IP，通常被配置到多个节点上。当一个节点故障时，VIP 可漂移到另一个节点，从而实现服务的容灾。UCloud 提供的内网 VIP 产品，通过产品化为用户提供快速的容灾能力，避免自己搭建之苦。VIP 可以在 VPC 内跨可用区使用，形成高可用能力上的完美配合。

四、混合云网关

混合云方案可以打通用户自建 IDC 和公有云，是分阶段上云的利器，也是云计算的主流趋势。UCloud 是最早提供混合云的云厂商之一，混合云网关的出现，统一了混合云和公有云的 VPC 定义，且其性能优异并可无缝扩展。

传统方案中，混合云只是作为若干网段接入公有云，导致路由管理、带宽容量管理等诸多日常运维需求，仍需大量人力和沟通成本。

在设计 UCloud 的 VPC 网络时，充分考虑了组网的灵活性，混合云被抽象成一个独立的 VPC，其中可包含多个子网。子网可以是托管设备网段，也可以是通过光纤、数字联路、VPN 连接到公有云 POP 点的自建 IDC 网段，从而达到和公有云 VPC 统一管理的目的。

此外，混合云网关采用了 DPDK 技术，内网转发能力最高达到 100 Gbps 吞吐且可无缝扩展。

五、分布式路由

早期的云计算网络多数采用集中式路由器的模式。这种情况下，东西向和南北向的流量都会经过一个虚拟路由器，路由器很容易成为性能瓶颈。

为了克服这一问题，VPC 技术团队重构了路由定义，并抽象为分布式虚拟路由（DVR）。DVR 的载体是分散在各个计算节点上的虚拟交换机，而路由表是其核心。东西向流量通过虚拟交换机进行分发，实现点对点通信。同时路由表支持丰富的路由类型，包括直连路由、缺省路由、混合云路由、主机路由等，此外也可采用策略路由及自定义路由优先级。

六、公共服务

所谓公共服务，通俗便是指 DNS、NTP、镜像源等服务。云平台需提供公共服务，并对所有用户开放。在 VPC 环境下，多租户的 IP 可能相同，当他们同时访问时，公共服务的后端无法通过 VPC 路由表决定请求返回的路径，为此需设计额外方案。

传统的 NAT 转换方案存在两个问题，一是源地址不可见，如果公共服务依赖源地址，则此方案不可行；二是 NAT 的性能瓶颈，特别是针对大流量的访问请求（如对象存储）时。

为此，VPC 技术团队吸收了分布式 NAT 理念，将集中式的 NAT 网关分散到各个计算节点的虚拟交换机上，解决了网关性能的问题。此外还自主研发一套 NAT Plugin 来解决源地址问题，让不同租户即使 IP 相同也能正常访问公共服务。

七、原地升级

在 UCloud 之前的各家 VPC 实践中，普遍采用的是另起炉灶的方式。也就是说，保留原有的非 VPC 网络架构，以维持老用户存量云资源的使用。并重新搭建一套新 VPC 网络，让没有历史包袱的用户使用。这种方式让原有用户无法抛开既有业务顺畅的使用 VPC，即使是 AWS，其 VPC 使用率多年后仍只有 50%左右。

为了让所有用户的所有资源都能确保用上 VPC，技术团队决意挑战高难度进行原地升级。通过复杂详细的过程拆分，设计出可行的四阶段升级方案，并在不影响用户业务情况下平滑切换。最终，用户原有的基础网络被原地升级为一个全新的 VPC 网络。原网络配置得到继承，也可以自由使用 VPC 新特性，最大限度的保护了既有资产的价值。

看到这里，是否感到要做好 VPC 这个产品，确实技术满满？

此次荣获可信云 VPC 科技创新奖，代表了业内对 UCloud 技术团队创新精神的高度认可，也体现出了 UCloud 产品独具行业竞争力的雄厚实力。后续 VPC 产品也必定会推陈出新、不断演进，期望为用户带来更加独具创新的技术盛筵。

本文转载自公众号 UCloud 技术（ID：ucloud_tech）。

原文链接：

https://mp.weixin.qq.com/s/gqmNo5MF5NIgFS2TiyA5SQ