3月14日,腾讯云推出私有网络VPC三大独家功能:弹性网卡、广播&组播、专线NAT网关。上述三项功能均为腾讯云自主研发,取得多项技术突破:弹性网卡作为云主机网络能力的一项重大突破,真正助力金融政企客户实现内网、外网、传输网的三网隔离;广播&组播极大提升私有网络中的多点投递效率。而专线NAT网关解决了服务专线互联中的IP冲突、内网IP屏蔽等痛点问题。
3项独家功能在安全和灵活性上开创了全新的行业标准,进一步丰富腾讯云私有网络的软件定义网络、NAT网关、跨地域互联等核心功能矩阵,标志腾讯云成为国内私有网络技术最为领先的云服务商。
使用弹性网卡的云主机
更灵活更安全
腾讯云在私有网络云主机上率先推出的弹性网卡服务,可提供多网卡绑定、网卡灵活迁移、单网卡多IP绑定、网卡独立路由转发等4大领先服务,最多支持绑定8个网卡、30个内网IP。
企业可使用该功能实现更加安全、灵活的网络架构设计。简单来说,使用弹性网卡的企业一方面可以利用多网卡搭建内网、外网、传输网三网隔离的网络解决方案,一方面可以利用云主机弹性网卡灵活迁移能力,搭建基于keepalived主备容灾的高可用组件。
使用弹性网卡的云主机与普通云主机相比,功能差异对比如下:
业内首发广播&组播
极大降低网络负载
腾讯云是首个在私有网络中加入广播&组播功能的云服务商,属于业界创新。广播&组播是传统网络中比较成熟的技术,但在公有云行业,这两项特性之前没有成熟的技术方案。腾讯云将广播&组播的使用灵活性与VPC的网络隔离性结合起来,形成了高安全性和可靠性的私有网络内的广播&组播产品。
在此之前,原来在云服务中提供的单播是一对一的通信方式,而广播&组播是一对多的通信方式,通过单点到多点的高效数据传送,可以为企业极大节约网络带宽、降低网络负载。具体而言,如果使用单播技术,一个主机只能使用单播协议向n个主机发送相同的数据,发送主机需要分别向n个主机发送,共发送n次。现在,一个主机用广播&组播协议向n个主机发送相同的数据时,只要发送1次,数据由网络中的路由器和交换机逐级进行复制并发送给各个接收方,既节省服务器资源也节省网络主干的带宽资源。
广播&组播有效降低服务器网络负载的特性,尤其适用于金融和游戏行业的业务场景。在金融状态监视中,如需获取股票价格等实时数据,券商可通过腾讯云广播技术,对海量用户组实时发送交易数据,有效降低网络负载。而在游戏领域,多人游戏作为一种带讨论组能力的简单分布式交互场景,对带宽和时延的要求都比较高,通过腾讯云组播技术,可快速实现网络中点到多点的高效数据传送。目前已有多家游戏和金融客户在使用广播&组播的服务。
独家提供专线NAT网关
重点解决专线互联3大痛点
专线NAT网关是腾讯云首推的网络地址转换一站式解决方案,可很好的解决混合云网络互通过程中出现的IP冲突、内网IP屏蔽、自定义对外服务端口等3大痛点问题。
在实际业务中,金融客户对专线互联链路可用性要求高,同时对接第三方个数多,经常会出现IP地址冲突等问题。如果使用传统的方式,由于网络地址转换场景较多,传统物理路由器标准的SNAT、DNAT方式配置管理起来十分复杂。对此,腾讯云自主研发的专线NAT网关对各种IP地址冲突场景进行抽象总结,采用了更加直观的本端IP、对端IP一一映射可解决地址转换管理的问题。其中,深圳前海大数金融服务有限公司通过腾讯云专线NAT网关,轻松实现了专线内外的地址转换。
私有网络相较于传统的基础网络,灵活性和安全性更高,正在成为越来越多金融、政企等行业的主流选择。在实际的应用中,企业正在将腾讯云私有网络广泛应用于安全隔离性高的业务、托管多层web应用、弹性混合云部署等业务场景。
针对此次发布,InfoQ也对腾讯云技术团队进行了专访,帮助大家进一步了解三大私有网络独家功能的研发背景、研发过程等相关内容。
InfoQ:可以谈谈三大私有网络独家功能的研发背景,基于什么样的因素来研发的,研发过程是什么样的?
腾讯云技术团队:
弹性网卡研发背景主要目标群体是金融云客户,金融云对网络隔离性要求较高,不同网络的流量类型不同,希望分布在不同网络并配置不同的安全策略,实现多网隔离,这是我们做弹性网卡的初衷。当然弹性网卡带来的网络迁移能力也可以帮助客户搭建基于Keepalived的高可用组件,或者在腾讯云服务器上部署自己的Docker服务。弹性网卡的研发过程对平台整体的管理流程带来比较大的挑战,很多内部的管理对象、流程设计都有较大挑战。为了完整的实现功能,我们将需求分解为多个迭代:a)后台功能API支持, b)单网卡多IP, c)绑定&解绑弹性网卡。后面还会对网卡的创建绑定流程进行自动化优化。
广播和组播是传统网络中比较成熟的技术,在心跳保持、消息订阅等应用领域相对单播有其特有的优势。多个金融和游戏行业用户向我们表达了在网络基础设施层面支持组播和广播的需求,便于应用无缝的上云。在公有云行业,这两项特性之前没有成熟的技术方案,挑战也是巨大的。我们通过深入思考,将组播和广播的使用灵活性与VPC的网络隔离性结合起来,形成了高安全性和可靠性的VPC内组播和广播产品。在这个产品的研发过程中,我们探索了VPC产品架构中不少全新的领域,比如高效的报文多路复制网关、与动态网络协议联动的路由自动学习与更新等。
专线NAT网关是随着腾讯云发展金融行业云的关键需求之一。金融云客户对专线互联链路可用性要求高,同时对接第三方个数多,经常会出现IP地址冲突等问题,专线NAT网关就是对各种IP地址冲突场景进行抽象总结后研发出的产品。这个产品研发过程很长,由于网络地址转换场景较多,按照传统物理路由器标准的SNAT、DNAT方式配置管理起来十分复杂。我们采用了更加直观的本端IP、对端IP一一映射来解决地址转换管理的问题。底层集群上面我们采用了NFV集群化设计思路,各个租户的专线NAT网关逻辑隔离,不会因为网络配置错误而相互影响,减少了传统路由器中配置地址转换策略的网络变更风险。
InfoQ:腾讯云在租户间安全模型设置上,采用“完全”强制隔离还是可“配置”隔离?
腾讯云技术团队:
腾讯云的内网环境分为基础网络和私有网络两种,无论是基础网络还是私有网络,多租户之间都采用了完全隔离的网络安全策略,无论用户如何配置安全组都会保证网络间的安全隔离。但在私有网络环境,用户可以使用对等连接和其他租户的私有网络VPC建立PEER,通过合理的配置路由表、安全组和网络ACL功能可以兼顾跨账户内网互联及网络安全。但是跨账户的对等互联申请需要在对端账号同意并配置路由策略后方可生效。
InfoQ:弹性网卡支持绑定8个网卡、30个内网IP,实现三网隔离,是不是就完全能保证各个租户的安全性了?
腾讯云技术团队:
从技术角度来讲,公有云的云主机都是在母机上进行的虚拟化,虚拟网卡也是在母机中虚拟化出来的。如果用户突破了KVM虚拟化的安全屏障,还是有可能入侵至绑定有弹性网卡的云服务器的。但是相比普通不支持弹性网卡的云主机来说,每个网卡独立的路由策略及ACL策略支持,让绑定多网卡的云主机安全性有了很大提高。
InfoQ:三大私有网络独家功能可以抵挡什么样的黑客攻击?抵挡多大的攻击量?
腾讯云技术团队:
腾讯云大部分的防黑客功能都是在外网层面就进行扫描和狙击的,很少有黑客可以直接渗透至腾讯云内网展开黑客行为。在DDos攻击能力防护上,腾讯云大禹分布式DDos服务可以承接1Tbps以上的流量攻击。