谈谈天翼云VPCE

本文分享自天翼云开发者社区《谈谈天翼云VPCE》，作者:天枫霁月
一、VPCE产品出现的配景
跨VPC通信，且可以或许严格限定访问，恣意两个租户之间都能互通，性能高，花费少，通过VPCE产品实现安全、灵活、高效的跨VPC访问。

二、VPCE产品简介
VPC终端节点（VPC Endpoint）：可以或许将VPC私密地毗连到终端节点服务（云服务、用户私有服务等），使VPC中的云资源无需弹性公网IP就可以或许访问服务提供方的服务，提高了访问效率，提供了更加灵活、安全的组网方式。

 
三、VPCE产品相关概念
终端节点服务（Endpoint Service）：用户或服务提供商可将VPC内的资源作为服务端，创建为一个终端节点服务，可以被终端节点毗连并访问。
终端节点（Endpoint）：毗连到终端节点服务，作为服务使用方访问服务的入口。
束缚：一个终端节点服务可提供给多个终端节点访问；一个终端节点只能毗连到一个终端节点服务。
四、VPCE产品特点
安全可信
1.用户通过终端节点服务，实现跨VPC的点对点单向发起访问，不暴露服务端相关的网络信息，使用户的访问更加安全。
2.服务提供方通过租户白名单来管理服务使用方的账号接入权限；服务使用方通过IP地址白名单来限定对终端节点访问，使得通信安全可控。
灵活便捷
1.无需购买弹性IP和NAT网关等产品
2.避免复杂的路由和安全配置
3.秒级创建，快速生效，迅速响应，方便用户及时使用。
高可靠高性能
1.跨AZ多活集群实现跨AZ高可用性
2.自研DPOS数据面，单机支持千万级会话
3.最低时延，报文仅颠末一跳网关
4.单网元带宽25G，转发时延15us
服务资源覆盖全
1.后端服务资源类型全：云主机、物理机、弹性负载均衡、高可用虚IP
2.协议支持全：服务支持TCP和UDP端口映射
五、VPCE功能
终端节点服务（Endpoint Service）
1.后端支持：支持将服务端VPC内的云主机、物理机、弹性负载均衡、高可用虚IP
2.租户白名单：支持添加白名单租户，从而答应其他租户与该终端节点服务建立终端节点毗连
3.端口映射规则：可配置多条规则以提供终端节点访问，协议支持TCP和UDP，支持设置每个真实后端的端口与服务访问端口映射关系
终端节点（Endpoint）
1.终端节点网卡：在创建终端节点时，选定子网自动创建，占用一个用户子网IP，作为访问服务的入口
2.CIDR白名单：支持通过白名单设置答应访问终端节点的CIDR地址范围，最多答应添加20条CIDR纪录（默认放通全部）
3.域名：支持为终端节点创建内网域名，实现通过内网域名访问终端节点（规划中）
其他
1.跨AZ访问：终端节点可跨AZ访问，但不支持跨Region访问
2.访问终端节点的源：支持VPC内及VPC毗连的各类源端举行访问（支持从专线、VPN、云间高速访问终端节点）
3.路由配置：自动配置路由，用户无需配置
4.流量类型支持：TCP和UDP，IPv4，IPv6（规划中）
5.限速：带宽默认限速1Gbps，最大会话数默认限定5000，可申请调解
6.监控支持：支持流量统计用于监控和计费
7.流量放行：后端服务需要放行源IP为198.19.128.0/20的网段
8.配额：单个VPC可以创建的终端节点服务、终端节点数量
六、VPCE其他说明
终端节点服务模式说明
当前VPCE产品（包括接口类型和反向类型）流量转发为Full NAT模式，即访问后端的时候会做SNAT+DNAT地址转换
终端节点服务类型说明
1.Interface（接口类型）: 终端节点作为一个接口，占用租户子网内的一个IP地址（尺度产品）
2.Reverse（反向类型）：服务侧可通过反向终端节点来访问客户侧VPC内的虚机等（尺度产品）
3.Gateway（网关类型）： 终端节点作为一个网关，不占用租户私网IP地址，作为路由表中的下一跳（规划中）
七、VPCE的跨AZ高可用及高性能设计
1.网元多活：每个网元均为主节点，并且会话同步，流量可经由任一节点转发；节点故障时自动切换流量
2.就近访问：就近通过本AZ网元转发，最大化减少跨AZ流量，并且同AZ内多个网元负载均衡
3.最少跳数：仅颠末1跳网元，低时延、高吞吐

自研可控数据面：天翼云0使用基于DPDK开发的自研DPOS软件作为数据转发网元
超高性能：25Gbps网卡实现线速转发，支持亿级会话数，典型转发时延15us（使用CPU的8核心转发）
八、VPCE 典型应用场景
1.提供云上服务

 
基于VPC终端节点，可以快速构建的云生态体系，增强应用的扩展能力。
服务提供方
在己方VPC内配置终端节点服务，后端资源可以是自己VPC内的云主机、负载均衡、裸金属、假造IP。
当终端节点服务配置完成后，将己方后端资源对应的应用服务在云上举行共享。
针对差别账号间云服务共享场景，服务提供方可以配置白名单管控使用方的接入权限，安全可控。
典型服务：镜像源、API网关、数据库等
服务使用方
其他VPC通过配置VPC终端节点与终端节点服务毗连，可以访问对应的云服务。
2.云外访问云上服务

 
用户自建数据中央/分支机构通过云专线、VPN、SD-WAN产品接入用户云上VPC内部，通过VPC内部已经建立的终端节点，用户即可在云外可以使用私网访问后端共享的云服务。通过云间高速产品，实现在其他Region跨区域访问云服务。
降本钱：由于不涉及弹性IP、公网带宽等部署，低落了用户的使用本钱；
提效率：部署简朴、便捷，提高访问效率，更加安全。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。