技术性能领先，阿里云网络产品全面升级为企业级

时间 2019-12-05

标签技术性能领先阿里网络产品全面升级企业栏目系统性能繁體版

原文原文链接

摘要：在12月13日的阿里云网络产品发布会上，阿里云将详细介绍其网络产品家族重大更新，阿里云网络产品已经全面升级为企业级。届时，云栖社区将会对发布会进行直播，欢迎预定https://yq.aliyun.com/promoti...。安全

在12月13日的阿里云网络产品发布会上，阿里云将详细介绍其网络产品家族重大更新，阿里云网络产品已经全面升级为企业级。届时，云栖社区将会对发布会进行直播，欢迎预定https://yq.aliyun.com/promoti...服务器

那么，如何理解升级为企业级呢？咱们认为企业级需求主要有产品丰富度、性能、稳定、安全几个方面。网络

首先，丰富的产品家族知足企业级多样需求。并发

随着云骨干网的发布，阿里云已经有涵盖5大场景的11款网络产品（还不包括DNS），是Top云计算公司中网络产品最多的。负载均衡

尤为是云骨干网的发布，标志着阿里云网络产品进一步向企业级用户演进、向智能网络演进。性能

其次，企业级需求的一个重要特色是高性能。对网络来讲，主要是ECS网络性能，负载均衡性能，NAT网关性能，以及VPC相关的容量。通过多年的自主研发，目前网络相关的性能已经彻底知足各类规模的企业级用户的需求。特别值得一提的是，阿里云网络产品系列在今年的双11中经受了实战考验。具体实战性能以下表所示优化

注：部分双11指标超过核心指标是针对实例级别的单独调整。阿里云

ECS网络性能方面，随着物理网络升级到25G，第二代Apsara vSwitch全面上线，单实例PPS性能已经达到450万，Latency下降了66%，实现了媲美物理机的性能。有兴趣的同窗能够参考技术揭秘https://yq.aliyun.com/article...云计算

负载均衡性能方面，业内独创的性能保障型实例在全部地域陆续上线，确保用户得到须要的性能，而不须要预热等机制。在具体的性能指标上，单实例可支持100万并发链接，10万新建链接，5万QPS，而且有单实例更高性能需求的用户还能够申请开通更高性能的实例。这些性能指标的背后是负载均衡产品软件，硬件，OS等多个层面的深度优化。有兴趣的同窗能够参考技术揭秘https://yq.aliyun.com/article...加密

NAT网关产品，主要是SNAT最大链接数指标，目前线上公有云是100万，随着NAT网关技术升级，NAT网关的最大链接数和新建链接数指标即将“无限”，成为更强的企业级公网网关产品。

VPC容量方面，单VPC可支撑10万台ECS，单个Region支持100万VPC，双11的场景下，单VPC已经支持超过2万ECS和5万容器了。

再次，稳定是企业级需求中压倒一切的根本。主动维护时99%的场景下能热升级，不影响用户使用。集群中的机器出现异常时能自动处理不影响用户。整个可用区故障时，系统能自动切换，尽量短的影响用户。通过长时间的研发，目前网络产品在如下方面取得了不错的进展。

第一是全局配置同步，支持可用区级别的容灾。即一个实例的配置在Region内全部可用区都是存储的，好比华东1Region的一个EIP，这个EIP的配置会在华东1下全部的可用区存在，这是出现问题时可以快速恢复的前提。在这个基础上网络相关产品，如EIP，负载均衡，NAT网关等都实现了可用区级别的容灾，即若是一个可用区出现故障，系统能在20秒内自动切换到另外一个可用区继续服务，从而提高了用户系统的稳定性。

第二是热升级，升级时99%的状况下0中断。云产品须要快速迭代，这就意味着须要常常对系统进行升级。此外，随着集群规模的不断扩大，机器故障也变成了常态，这就须要系统支持热升级，尽可能减小用户系统的闪断。特别是对于有状态的负载均衡来讲，这一点尤为重要。负载均衡采用集群部署模式，避免了单点性能瓶颈和单点故障，可是，集群中的多台机器若是有一台出现故障，其它机器如何接管这台机器的会话从而不中断故障机器上的会话呢？负载均衡采用了Session同步机制来解决这个问题，能够参考https://yq.aliyun.com/article...

除了这些产品方面的稳定性功能外，在数据中心IDC的风火水电网等基础设施方面，阿里云IDC采用双向独立市电引入，机架服务器AB路供电，而且具备电池后备电源，可无缝接管25分钟，IDC具备业界顶尖的N+1冗余柴油发电机，可分钟级切换。同时IDC具备高可用的骨干网络，AZ间低延迟、AZ内双冗余、三路由出口光纤冗余，3+N超多线冗余BGP，平均延迟小于40ms，平均丢包率小于1%。诸多的基础设施保障稳定性。

最后，企业级需求必需要保障的一点是安全。安全涉及的面比较广，本文不讨论诸如DDoS攻击，WAF，加密审计等方面的安全，仅仅从网络产品的角度谈谈网络安全。对网络产品来讲，最关键的安全就是VPC。VPC基于数据链路层，使用隧道技术进行租户隔离，比经典网络的三层隔离更安全。
以下图所示，VM1和VM3使用隧道ID 100，VM2和VM4使用隧道ID 200，这2个隧道ID就对应两个不一样的用户，虽然都在一张网络中通讯，但因为隧道ID不一样，彼此是没法通讯的，这确保了租户的安全隔离。

除了VPC外，还有一系列的安全机制，好比安全组在VPC内也能够正常使用，还有负载均衡白名单以及即将上线的黑名单功能，后续公网相关产品会统一支持相似黑白名单的机制。另外，网络ACL功能也在研发中，上线后能进一步增长网络安全性。

将来，网络产品会继续关注企业级用户的需求，提供更多的企业级功能和特性。