移动云云网络_虚拟私有云VPC_云防火墙

移动云云网络

移动云云网络全网统一规划，集中建设，由运营管理平台以及一个或多个资源池组成。VPC基于SDN（软件定义网络），使用户能够在移动云里创建完全私有和完全隔离的网络空间，并通过云防火墙（可选）提高安全性。在VPC里，用户可以自定义所需要的子网/网段/IP地址，也可以通过专线或VPN隧道将VPC与传统数据中心连接，部署混合云。云主机OS上的以太网卡叫做虚拟网卡。创建云主机时，选定基础网络或子网后，就会自动给云主机创建和绑定一个虚拟网卡，同时由DHCP自动分配一个内网私有IP地址。

立即咨询

首页 > 产品中心 > 网络安全 > 移动云云网络

移动云整体部署架构

总体建设原则

根据移动云业务发展要求，计算（大小规格虚机）、存储（对象、文件、块存储）、网络等配比和建设能力适度超前，满足集团公司总体发展战略。设备配置选型尽可能贴近集采，充分利用集采的议价优势带来的成果。在保证业务安全情况下，尽可能提高机房机架的利用率。

总体架构

移动云全网统一规划，集中建设，由运营管理平台以及一个或多个资源池组成。

移动云为完善资源布局，采用“N（中心节点）+31（省级节点）+X（边缘节点）”三级架构。综合考虑业务规模、区域优势、成本优势和行业对标等因素，设置中心节点，采用大Region、多AZ大规模可扩展系统架构。

运营管理平台

负责相应全网公众服务云业务的运营，并对公众服务云各资源池进行集中运维管理；在广州南方基地节点建设运营平台主节点，在其他节点建设运营管理平台纳管节点。

资源池系统

由资源池管理平台和对外提供的各类IT资源组成，其中IT资源包括计算资源、网络资源以及存储资源；采用长期布局+动态扩容的方式安排建设，按照最小交付单元Pod进行长期布局，根据业务发展动态扩容，pod扩容单元为1000个节点。

移动云中心节点

中心节点选择综合考虑业务规模、区域优势、成本优势和行业对标等因素，设置中心节点，采用大Region、多AZ大规模可扩展系统架构。

中心节点设置标准

业务均衡：兼顾业务密度（单大区业务量占比>15%）和业务均衡（大区平均业务量占比20%左右）

格局稳定：各大区管辖省份保持长期稳定，按照各自业务发展独立规划资源配置

跨度合理：设置大区跨度（约2000KM）控制合理入云时延

网络具备：每业务大区至少具备一个CMNET骨干核心节点和一干传输核心骨干节点

移动云新架构-全国范围多Region，单Region多AZ icon

重新规划地域、可用区的概念

地域(Region)：临近省市集合，比如华南、华北、华中、华东、西南等；一个地域可包含多个可用区。可用区(AZ)：一个省市区域，比如苏州市、无锡市、常州市。

引入交付单元、主机组概念：交付单元(POD)：POD为交付单元，通常为一个城市的同一机房；

主机组(HAG)：同一类型主机集合，仅用于计算资源调度，属于逻辑资源组，通常位于同一机房内。

移动云新架构-部署架构图 icon

总体网络组网架构-选取某一中心节点 icon

管理域网络

管理域网络及安全方案

与业务域共用CMNET出口路由器，实现接入互联网和外部专线；与业务域共用CE路由器实现接入IP承载网及与其他资源池管理域的互通；DMZ区与核心生产区/内部互联区物理隔离；并组管理域分布式块存储；管理域服务器两对10GE网络上联至一对接入交换机，业务流量和管理流量由1对10GE网卡承载；服务器访问分布式块存储流量由一对10GE网卡承载；DMZ区配置防火墙、IDS入侵检测、WAF、负载均衡设备等安全设备，并与业务域共用抗DDOS设备部署防病毒软件。

VXLAN与SDN

VTEP

overlay网络的本质是在三层网络中实现二层网络的扩展。无法提升设备表项规格，只能将大量VM的MAC地址“隐形”。 VTPE的作用就是VM发出的原始报文封装成一个新的UDP报文，即所谓的加解封装VXLAN功能。

VNI

一个VNI代表了一个租户，属于不同VNI的虚拟机之间不能直接进行二层通信，给VNI分配24比特的空间，支持多16M（即：2^24-1）的租户隔离。

VXLAN隧道

overlay网络的本质是在三层网络中实现二层网络的扩展。虚拟的二层网络想做多大就做多大。