云网络白皮书.pdf

1、1云网络白皮书白皮书Cloud NetworkingWhite Paper byAlibaba Cloud云网络 数字经济的连接1212364533456111314202327313335428284858661626771727477CONTENTAlibaba Cloud Storage云网络白皮书云网络白皮书云网络起源云网络白皮书云网络产品体系云网络白皮书云网络技术体系云网络白皮书云网络未来展望云网络白皮书云网络架构设计云网络白皮书解决方案和案例什么是网络网络发展驱动应用变革云计算驱动云网络诞生阿里云云网络发展历程云网络是数字经济的连接基本概念产品体系架构数据中心网络产品跨地域网络产品

2、混合云网络产品网络安全产品云网络技术概述云网络业务特征云网络技术特征洛神云网络技术云原生网络专用计算高性能网络分布式云网络万物互联网络架构设计思考架构设计原则架构设计实践概述企业级云上网络解决方案全球网络互联解决方案全球应用加速解决方案云网络白皮书34云网络白皮书什么是网络1计算机网络（Computer Network），通常也简称网络，是指允许节点分享资源的数字电信网络。在网络中，电脑设备会透过节点之间的数据链路互相交换数据。数据链路是异地用于收发数据的工具和介质，它也可以是一个由通信终端和连接电路组成的系统，具体的通信由专门设计的协议来控制。传输介质可分为有线及无线两类，如我们熟悉的光纤，

3、Wi-Fi等。用于创建、路由及终止数据传输的电脑网络设备即为网络节点，节点包括像个人电脑、电话、服务器主机及其他网络硬件（如网关及路由器）等。节点一般以网络地址作标识符，当一个设备能够与另一设备交换信息时，便可视它们已连接成网络。2010年5月10日，阿里云对外发布第一个商业化的产品-云服务器ECS，正式提供公共云服务。那时候，可能很多人都没有想到，云计算对网络的影响会如此之大。2012年底，随着虚拟化技术的发展，单物理机的虚拟比在逐步提高，对网络设备提出了非常高的要求，当时全世界都已经找不到满足业务虚拟比的网络设备了。除此之外，当时的云网络架构还存在迁移域过小导致成本增加，稳定性、性能、安全

4、等也都存在问题和隐患，这些问题极大的影响云业务的开展。与此同时，随着更多用户上云，尤其是大型互联网企业和传统企业的上云，用户对云上网络管理需求也与日俱增。比如，用户在云上多地域部署业务，需要多地域内网互通，或者用户需要把云下IDC和云上网络互通，构建混合云等等，而这些网络管理能力，当时云上的传统网络服务方式都难以满足。因此，不管是用户，还是云服务平台，都迫切需要进行网络创新。2012年，阿里云率先放弃传统的大二层网络架构，设计新的网络虚拟化（Overlay）技术方案，开启了云网络的新篇章。云计算驱动云网络诞生3云网络白皮书云网络起源1网络发展驱动应用变革2今天，我们的生活已经离不开网络，不管是

5、购物，工作，和朋友聊天，还是娱乐等都离不开网络。淘宝，支付宝，微信，抖音，钉钉等APP也成为大家使用频率很高的应用，这些超级APP的背后，都有无处不在的网络支撑，可以说网络的发展驱动了应用的变革。在移动网络方面，在1G时代，只能打电话，摩托罗拉大哥大，BP机就是移动通信网络的开创者。在2G时代，开始可以传输文本信息了，用诺基亚手机看文本小说是2G时代的缩影。3G时代，互联网浪潮席卷全球。3G扩展了频谱，提升了速率，更高的带宽和更稳定的传输让移动互联网蓬勃发展。智能手机开始进入我们的日常生活中。2007年1月9日，乔布斯发布了第一代iPhone。iTunes Music Store、Safari

6、、Email等应用，皆以图形化的方式呈现在简洁优美屏幕上。淘宝，微博等应用也纷纷搬到了手机上。4G时代，带宽更高，手机已经脱离了只是通讯设备的定位，手机屏幕变得更大，人们用手机来购物、看视频、语音、打游戏、打车等等。只要一部手机就能完成日常生活所需。今天，5G正扑面而来，5G速率高达10Gbps，比 4G 快100倍，可以轻松看3D影片或4K电影。另外，5G延时更低，可以满足远程医疗，车联网等低时延场景需求。5G的诞生，将进一步改变我们的生活和社会，推动一场新的信息革命。与移动网络的快速发展相对应，承载众多服务的数据中心网络也在蓬勃发展，短短十年间，就从1G，10G，25G发展到了100G，并

7、且还在快速发展着。56云网络白皮书阿里云云网络发展历程云网络是数字经济的连接45阿里云网络发展经历三个阶段，从2009年的云网络1.0到2020年的云网络3.0。阿里云从2009年开始投入云计算的研发，早期云上基础网络采用传统大二层网络构建，租户之间的隔离基于安全组实现。阿里云2012年开始研发网络虚拟化（Overlay）技术方案，到2014年，VPC产品正式发布，VPC是一个标志性的产品，意味着云上用户网络从此从传统网络转向VPC网络，用户在云上有了一个自己私有隔离的网络环境，也开始拥有之前在云下才具备的网络管理能力。加上前后发布的弹性公网IP-EIP，负载均衡SLB，NAT网关等产品，构成

8、了云网络1.0。云网络1.0主要做的是云数据中心网络，用户在云上通过VPC，虚拟交换机，虚拟路由器构建了网络环境，通过EIP，负载均衡SLB，NAT网关等产品实现互联网访问，负载均衡等功能。那么，到底什么是云网络？它和传统网络有什么不同吗？首先，云网络是IT和CT融合的产物。云网络并不是要重建一张新的网络来取代现有的网络基础设施，而是在现有网络基础上通过网络虚拟化等技术重构。前面讲到，云计算驱动云网络的诞生，云网络其实是CT（Communication Technology，通信技术）与IT（Information Technology，信息技术，这里主要是云计算）融合的产物。其次，云网络其实

9、一种是网络服务，也是一张面向企业租户和应用的虚拟网络。最后，云网络是数字经济的连接，连接计算、存储、数据库等等，也连接企业/IDC/总部/分支/IoT终端/个人移动端等等。云网络和传统网络的最大区别是云网络具备共享/弹性/自助服务/按需等云的特征。云网络2.0的核心是云广域网络。用户在云上多地域部署业务系统后，很自然的需求就是多地域内网互通，另外，用户还有云下IDC和云上VPC互通的需求，云广域网络可以很好的满足用户这两个业务场景的需求。2017年，阿里云在业内率先发布云企业网CEN，用户可以非常简单快速的构建一张全球化网络。2018年，阿里云发布了云原生SDWAN产品-智能接入网关SAG，方

10、便用户快速上云。云网络2.0让用户具备了构建一张云化的全球网络能力。2020年，5G/IoT/边缘计算技术的发展，社会进入万物互联和产业互联网时代，云计算已经成为整个数字社会的基础设施，云网络也开启了3.0时代，云网络作为数字化社会的高速公路，将万物互联，助力产业互联网的发展。阿里云网络发展历程云网络1.0云数据中心网络大规模OverlayDevOps2009-2016多租户隔离云网络2.0云广域网络软硬一体弹性网元2016-2019全球互联云网络3.0应用-云-边一体网络5G/边缘/IoT2020万物互联2017年2016年2015年2014年2009-2013年AVS 上线SLB 上线 V

11、PC上线 EIP 上线 高速通道上线 NAT网关上线 迁移VPC方案上线 VPN网关上线 共享流量包上线 共享带宽上线 全球加速上线 云企业网上线智能接入网关上线 IPv6网关上线 IPv6转换服务上线2018年2020年 全球加速2.0上线 NAT2.0上线 ALB上线 CEN-TR上线云网络产品十年大事记全球首发云企业网CEN，引领业界云上网络互联产品发展方向全球云服务商首发云原生SDWAN国内首家全面支持IPv6洛神1.0发布国内首发自研SDN系统云产品全面支持VPC业内首家支持跨地域VPC互联 网络分析平台公测 UIS-IoT公测 PrivateLink公测2019年洛神2.0发布云网

12、络支撑阿里100%核心系统上云国内云网络首家！洛神Vtrace论文入选顶会SIGCOMMSLB在Gartner ADC报告增速全球第一，份额全球第四SAG在IDC中国SDWAN服务市场报告中排名第一第一是资源共享。为了实现资源共享，网络必须虚拟化与安全隔离。这里就会1云网络具备云的特征78云网络白皮书用到Overlay技术。网络技术的本质是“编址+路由”，Overlay的编址是指在数据报文编址上再叠加一层租户标识，通常现在使用VxLAN技术，在租户报文先增加了IP+UDP+VxLAN（租户ID）。使用VxLAN技术对云网络进行编址避免了对物理网络设备（交换机/路由器）的升级。在路由层面是实现路

13、由表的隔离，这就要求向每个租户提供虚拟设备，如虚拟交换机/虚拟路由器/虚拟负载均衡等。第二是弹性伸缩。网络处理能力主要由转发能力与控制能力决定。对于传统设备来说，设备买回来，处理性能就确定了，难以弹性伸缩。云网络为了应对弹性伸缩的，将控制面与转发平面进行分离部署，并且采用集群的方式支持扩展，结合网络虚拟化技术为每个用户提供了弹性网络能力。第三是自助服务。这是从用户视角看到的云网络与传统网络的最大区别。传统网络采用分布式智能控制，支持人-机接口对多台设备的配置，需要专业网络管理员敲CLI(Command Line)命令行进行配置，而云网络支持机-机接口，集中管理，通过编程或者集中的控制台就可以完

14、成网络搭建。第四是按需付费。云网络改变了网络购买方式。传统网络设备会根据设备性能规格+功能特性+维保进行收费，即使有的企业设备利用率不到30%，也只能超额购买，而云网络借鉴了CT领域按量计费方式，支持采用预付费或者后付费方式，根据企业实际使用量进行收费。从技术上看，就需要云网络对每个租户的处理能力和转发的流量进行定时的打点计费和出账单。从最终用户看，云网络改变了企业购买网络的方式。传统的方式中，提供应用服务的企业为了搭建数据中心，需要购买多项业务。1.向集成商购买咨询与交付服务；2.向多家设备商分别购买交换机/路由器/防火墙/负载均衡/服务器和维保服务 3.向云计算软件厂商或利用开源搭建虚拟化

15、环境 4.向多家运营商购买带宽与专线。这需要涉及漫长的协调/沟通过程，需要耗费很长时间与精力。CT行业运营商，在构建移动与固定网络时，首先需要考虑是互通的标准。这样的标准化对于降低成本也有极大的好处。采用相同的标准就可以由多个设备提供商制造，通过招标采购达到降低社会总体成本的目标。这种方式的弊端在于形成标准的时间过长，回顾2G到5G的发展历程，基本上从标准制定到商用需要5年以上的时间。网络设备的发展经历了技术+竞争+场景的不断的叠加，在特定场景中会发现某类网络设备中包含了很多无用的功能。当云网络出现以后，企业直接在控制台或者写程序调用云网络API，很快完成部署。对于云能力欠缺的企业也可以找到M

16、SP（Management Service Provider管理服务提供商）来完成云环境的搭建。对于仅提供移动互联网应用的企业，云环境搭建是相对简单的操作。但对传统企业需要实现总部/分支/移动办公等向云的平滑迁移，云网络的设计就尤为重要。通过云网络的服务化提供方式，企业可获得许多传统网络中无法获得的能力。比如获得企业应用全球部署的互联与加速能力；具备云-管-边-端的连接能力；可感知到应用的实际使用量与网络服务质量。当然由于涉及与传统网络对接，在企业专线上云等还是需要向运营商购买。云网络的服务化提供改变了咨询服务行业。20年前获得各种设备厂商的认证是一件很有含金量的事情，运营商和企业都招聘了一批

17、精通网络配置的专家。今天采用云服务以后，需要具备的技能发生了很大的转变，需要了解计算/安全/数据库/大数据/AI的基础知识，更需要懂得应用部署方式，才能更好地进行网络规划与设计。在部署上不再需要敲命令行，而是需要学会编程根据应用负载驱动网络的调度。从上游供应链角度看，由于云网络的服务化提供，运营商更多的将带宽资源通过云厂商进行售卖。对于技术开发实力较弱，通过售卖资源的IDC提供商正在逐步转变为云管理服务提供商，帮助企业通过构建混合云平滑迁移上云。23云网络改变了商业模式DevOps变革了产业生态体系910云网络白皮书“天下武功，唯快不破”，为了提升云网络服务发布效率，云网络在开发模式上采用了I

18、T行业的DevOps方式。在云网络产品开发模式发生了变化，为了快速满足市场需求，不再采用招标模式，而是采用了自研方式。一些公司将开发的成果贡献到开源社区。完全采用开源模式是否可支撑云网络发展呢？以开源OpenvSwitch为例：为了避免对Linux内核改造，充分复用 Linux TCP/IP协议栈的特性与能力，OpenvSwitch在内核的处理性能并不理想。在10G服务器时代还可勉强维持，但升级到25G/100G以后，这样的架构就勉为其难了。由于需要利用软/硬件结合提升转发处理性能，也给网卡芯片/交换芯片提供商带来了新的机会与挑战。通过对最新技术的不懈追求，持续提升网络处理性能，使云网络产品快

19、速发展。云网络的技术架构与开发模式，对传统的物理网络设备会带来一些冲击。这些设备主要包括交换机，路由器，负载均衡和防火墙等。由于服务器与存储间的物理连接依然存在，对物理交换机/路由器的影响有限，依然要求具备高性能、低时延的转发需求。由于云网络中的虚拟交换机采用VxLAN等Overlay技术，对物理交换机的表项要求变小了。当复杂的应用协议层处理剥离到云网络虚拟化层后，物理连接层尽量减少使用二层部署带来的环路问题，对底层物理交换机的功能需求也会减少。为了提升运维效率，要求物理网络的监控功能提升，物理网络的人-机 CLI（Command Line）接口转变为API接口实现机-机监控。但由于各厂商标准

20、不统一，交换机有被白盒化的趋势。云网络对于47层防火墙，负载均衡等网络设备的冲击尤为巨大，简单的把传统的设备进行软件化，并不能带来弹性伸缩能力，很多原有的4-7层网络设备正被取代。由于采用了DevOps方式，云厂商同时具备开发与服务运维能力，可以根据实际运维过程中的需求，在开发时快速提供管理接口。由于涉及众多租户和应用在线不间断的使用，基本上靠人使用脚本方式来管理已经不可能。需要考虑使用更智能的方式对网络进行监控、故障逃逸、版本升级管理。云网络要求新/旧版本间能进行平滑升级与回滚。对于企业来说，管理运维云网络也发生了巨大的变革。因为已经看不到实体设备，很多网络的管理工作交给了云厂商，但是依然需

21、要从应用的视角去感知网络的质量与故障，进行应用层的可靠性保障。在过去的10年间，大部分的互联网企业已经将应用部署在云上，充分利用云网络的能力向消费大众提供服务。基于互联网升级的云计算已经成为社会经济基础设施。变革已致，未来已来。企业上云，网络先行，云网络必将作为数字经济的连接，携互联网新技术惠及各行业。1112云网络白皮书基本概念1在介绍云网络产品体系前，先介绍几个相关的基础概念和产品名称及简写。阿里云在基础设施层面分为地域和可用区两层，关系如下图，在一个地域内有多个可用区。每个地域完全独立。每个可用区完全隔离，同一个地域内的可用区之间使用低时延链路相连。云网络改变了用户购买和使用网络的方式，

22、用户不再需要购买硬件设备，而是通过购买云网络产品和服务来满足业务的网络需求。因此，在云计算时代，用户使用网络往往接触到的是云网络产品。云网络白皮书云网络产品体系2地域（Region）地域是指物理的数据中心。资源创建成功后不能更换地域。用户可以根据目标用户所在的地理位置选择地域，不同地域的相同产品之间，内网不能直接通信；同时就产品维度来看，不同地域的资源价格可能有差异。可用区（Availability Zone，简称AZ）可用区是指在同一地域内，电力和网络互相独立的物理区域。同一可用区内实例之间的网络延时更小。在同一地域内可用区与可用区之间内网互通，可用区之间能做到故障隔离。接入点（POP点）一

23、般指物理专线接入阿里云的地理位置，在每个接入点有两台接入设备。每个地域下有一到多个接入点，本地数据中心可以从任意一接入点与VPC互连。主要相关产品中英文名称和简写如下：阿里云地域可用区可用区可用区地域可用区可用区可用区专有网络VPCIPv6网关私网连接负载均衡NAT网关弹性公网IP共享带宽云企业网全球加速VPN网关VPC无无SLBNATEIP无CENGAVPNVirtual Private CloudIPv6 GatewayPrivateLinkServer Load BalanderNAT GatewayElastic IP Address无Cloud Enterprise NetworkG

24、lobal AcceleratorVPN Gateway产品名称(中文)产品名称（英文）简称1314云网络白皮书智能接入网关高速通道DDoS防护云防火墙Web应用防火墙云服务器SAG无无无WAFECSSmart Access GatewayExpress ConnectAnti-DDoS ServiceCloud FirewallWeb Application FirewallElastic Compute Service产品名称(中文)产品名称（英文）简称产品体系架构数据中心网络产品23云网络产品体系主要分为数据中心网络，跨地域网络，混合云网络三大部分，可以分别映射为传统网络的数据中心网络，

25、数据中心互联网络，接入网络。如下图所示：用户在使用云下数据中心构建业务系统的时候，对于网络的构建往往需要以下几个步骤：完整的云网络产品和解决方案数据中心网络产品让用户具备在云上某个地域构建业务系统的网络能力，包括构建云上网络环境，管理Internet流量等。产品主要包括专有网络VPC，负载均衡SLB，NAT网关，弹性公网IP等。跨地域网络产品为用户提供了多地域私网互联和跨地域公网加速能力。用户通过跨地域网络产品可以满足多地域，甚至全球化部署业务系统的需求。跨地域网络产品主要包括云企业网CEN和全球加速GA。混合云网络产品可以为用户构建云上云下互通的混合云，为传统用户提供快捷的上云通道。混合云网

26、络产品包括VPN网关，智能接入网关，高速通道。从另外一个角度看，云网络的最底层是全球网络基础设施，之上是洛神云网络平台，再上一层是数据中心网络，跨地域网络和混合云网络三大产品体系，之上是云网络的智能和开放，分别通过网络分析平台和网络开放平台承载，最上层云网络解决方案，包括通用和行业网络解决方案。云网络产品体系架构边界路由器（上海）新加坡Internet数据中心网络杭州regionVPC阿里公网VPC阿里公网VPC阿里公网云企业网边界路由器（杭州）云连接网（中国大陆）云连接网（新加坡）边界路由器（新加坡）智能接入网关智能接入网关智能接入网关CPE高速通道宽带 4G中国大陆宽带4G高速通道智能接入

27、网关Internet智能接入网关香港region新加坡regionCPE智能网络全球网络互联解决方案全球应用加速网络解决方案云原生智能网络解决方案智能运维互动课堂网络解决方案新零售网络解决方案游戏加速网络解决方案POPRegion通用网络解决方案企业级云上网络解决方案行业网络解决方案网络分析平台网络开放平台智能运营大数据分析开放网络网络服务开放网络应用开放网元生态开放数据中心网络混合云网络跨地域网络VPN上云SD-WAN上云5G/IOT上云专线上云私网互联公网加速网元功能公网带宽基础组网飞天洛神云网络平台全球网络基础设施路由器交换机服务器Edge高速通道VPN网关智能接入网关极致互联网服务专有

28、网络 VPCPrivate LinkIPv6 网关弹性公网 IP共享带宽共享流量包云企业网 CEN全球加速 GA负载均衡 SLBNAT 网关Internet数据中心网络跨地域网络混合云网络用户网络1516云网络白皮书1）寻找合适的数据中心，租赁机柜2）从运营商购买IP地址和Internet带宽3）购买网络设备，如路由器和交换机4）配置网络设备，如划分VLAN，配置IP地址等经过这些步骤后，数据中心的基础网络环境就配置好了，但还不够，一般还需要购买和配置负载均衡设备，进行流量调度和实现系统高可用，此外往往还需要购买和配置防火墙设备。数据中心网络产品就是为满足用户上述需求的，让用户具备在云上某个地

29、域（Region）构建云上数据中心网络的能力，而且用户只需要通过在线购买服务的方式就可以很快实现。如下图所示，是北京Region的云上数据中心网络产品架构图。北京Region可用区A可用区BECSECS虚拟路由器VPCEIPSLBNAT虚拟交换机ECSECS虚拟交换机EIPInternet共享带宽VPC是用户在云上私有的安全隔离的网络环境，是用户在云上部署业务系统首先需要开通的云网络产品。VPC基于隧道技术来实现，不同用户的流量都只在各自的隧道里面流动，默认情况下都是不能互通的，从而实现了VPC的安全隔离。使用VPC，用户可以在云上获得完全自己掌控的专有网络，例如选择IP地址范围、配置路由表、

30、配置网络ACL等等。VPC的基本组成包括虚拟路由器和虚拟交换机，路由器是专有网络的枢纽，可以连接专有网络的各个虚拟交换机，同时也是连接专有网络与其它网络的网关设备。路由器根据路由条目来转发网络流量。虚拟交换机代表专有网络的一个子网，在子网中可以存放各种云资源，包括云服务器ECS，数据库RDS等。VPC还支持网络ACL，子网路由，Flowlog，ShareVPC等高级功能，可以很好的满足用户构建云上数据中心网络环境。1构建专有网络环境VPC 192.168.0.0/16交换机 192.168.1.0/24交换机 192.168.2.0/24可用区A可用区B北京Region路由器ECSECSECS

31、ECSECSECS公网IP地址和互联网带宽-EIP和共享带宽要让云上部署的业务系统对用户提供服务，公网IP地址和互联网带宽必不可2Internet带宽和流量1718云网络白皮书可用区A可用区BSLBECSECSECSECSECSECS北京RegionInternetVPC少。云上提供了丰富的公网IP地址资源和不同性价比的带宽。弹性公网IP（Elastic IP Address）是可以独立购买和持有的公网IP地址资源，可以绑定到私网SLB、NAT网关和云服务器ECS上，使用非常灵活。互联网带宽类型包括Anycast、多线带宽、单线带宽等，用户可以根据需要选择。当用户IP地址很多，流量峰值很大时，

32、还可以选择使用共享带宽产品。Internet流量管理-SLB和NAT网关负载均衡是常用的流量管理和调度产品，几乎我们熟悉的所有网站或者应用背后都有负载均衡的支撑。比如淘宝网站，钉钉，支付宝等等。负载均衡可以通过流量分发来提升应用系统的服务能力，通过消除单点故障来提升应用系统的可用性。负载均衡SLB主要解决用户以下几个问题：1）单ECS处理能力不足，需要多ECS做负载均衡一些中大规模的系统和网站，访问流量比较大，单台ECS处理能力不足，需要使用多台ECS，因此需要SLB做流量调度以提升系统的服务能力。2）单ECS可用性不足，需要多ECS做负载均衡高可用一些关键的系统和网站都需要考虑高可用，避免一

33、台ECS故障就受影响。SLB支持健康检查，可及时发现和屏蔽故障ECS。3）大流量处理和调度访问量大的网站和系统，对大流量的处理调度能力要求很高，比如双11购物节的天猫网站，就需要面对海量访问洪峰。SLB超强性能，丰富的调度算法可以轻松面对大流量的调度。4)基于应用层的流量调度应用负载均衡支持HTTP和HTTPS协议，提供高级的7层功能，如基于内容的路由，QUIC协议支持等，满足越来越多元化的应用层负载需求，大大提升交付效率，同时还具备超强性能（100万QPS/实例）、安全可靠、面向云原生、即开即用等优势。NAT网关产品可以让无公网IP地址的ECS访问互联网，如用户有大量无公网地址的ECS有访问

34、互联网的需求，但为了简化管理，不想为所有的ECS申请绑定公网IP地址，就可以使用NAT网关的SNAT功能。天猫双11购物，当我们选择好宝贝，点支付的时候，就需要通过部署在ECS上的程序通过NAT网关的SNAT功能去访问支付宝的支付接口，以完成支付。截止到2020年7月，据中国信息通信研究院监测分析，我国IPv6活跃用户数达3.62亿，在互联网用户中的占比达40%，可以说IPv6已经从发展趋势变成了事实。云3IPv6产品和方案1920云网络白皮书网络产品已经提供了丰富的IPv6产品和解决方案，包括：内网通信支持IPv6，如VPC支持IPv6，CEN支持IPv6，高速通道支持IPv6等，用户可以在

35、云上建立纯IPv6通信网络。公网通信支持IPv6，如SLB支持IPv6，IPv6网关等等。此外，云网络还为其它产品提供了IPv6支持，如安全，数据库等等，用户可以基于云构建完整的IPv6体系。私网连接（PrivateLink）允许用户在自己的VPC内通过内网访问阿里云服务，第三方服务或者自建服务。内网访问更安全，更稳定，更可控，更重要的是，私网连接（PrivateLink）是跨企业提供服务的，为云上企业之间构建了内网通信通道，是企业服务总线。如下图所示ISV A和ISV B分别在自己的VPC发布基于私网的服务ServiceA 和ServiceB，企业A和企业B在自己的VPC内就可以通过Priv

36、ateLink私网去访问这两个服务。4企业服务总线AliyunMarketAnt FinancialServicePrivateServicePrivateLinkAliyunServiceThird PartServiceSecurityServiceOperationServiceDataServiceUser私有网络ISV AVPCService AVPC企业1VPC企业2ISV BVPCService B跨地域网络产品4跨地域网络产品对应的是传统网络中的数据中心互联产品，但比传统的数据中心互联产品又有所不同和延展，不同的是云上跨地域互联产品也可以在同地域的不同VPC间实现互联，还可以实

37、现云上VPC和云下IDC的互联，构建一张云上云下一体的私有网络，延展的是基于跨地域网络的公网应用加速产品。注：阿里云跨地域网络产品中涉及跨境部分均由中国联通运营。云企业网CEN为用户提供了在云上构建多地域互联核心网的能力。为什么需要云企业网CEN呢？如下图所示，主要是因为企业需要多地域部署业务系统和构建云上云下混合云。1跨地域内网互联2122云网络白皮书OSS云服务云企业网CEN-新加坡TRCEN-中国内地云连接网TR中国内地云连接网SAG杭州门店苏州门店中国内地云连接网硅谷VPC硅谷VBRTR路由表CEN-上海TR上海VPC上海VPCCEN-美国硅谷TRSAG温州工厂杭州总部北美数据中心1）

38、多地域部署业务系统多地域部署业务系统可以极大的提升业务系统的可靠性和用户体验。多地域部署业务系统可以避免单地域不可用而导致故障。用户在多地域部署业务系统需要开通多个VPC，多个VPC的业务系统往往需要私网通信，以保障通信安全和质量，用户使用云企业网CEN把多个地域的VPC连起来，组成一张内部网络。当然，用户在同一个地域使用多个VPC时，也可以使用云企业网CEN。此外，在多地域部署业务系统对用户提供服务，也意味着可以离用户更近提供服务，提升用户体验。2）云上云下构建混合云有的用户还处在上云过程中，云下IDC还部署了业务系统，这时，采用混合云就是一个很好的选择。而构建云上云下的混合云，首先需要考虑

39、的就是使用什么产品构建混合云。通常情况下，用户使用高速通道（专线）和智能接入网关SAG构建混合云，并配合云企业网CEN和云上VPC实现内网通信，构建云上云下一体的私有网络。借助云企业网CEN，用户可以低成本、分钟级构建一张全球化的云上网络，快速为全球用户提供服务。同时，云企业网底层使用阿里云覆盖全球的优质传输网络，保障了网络的稳定性和低延迟。全球加速GA是跨地域网络产品中的公网应用加速产品，是基于跨地域网络构建的网络PAAS产品，是一款覆盖全球的公网应用加速服务，依托阿里云优质的全球互联网带宽与高品质传输网络，实现网络服务全球范围就近接入和跨地域部署，提升服务可用性和性能。全球加速GA可以为用

40、户解决以下问题：1）互联网应用全球用户访问网络质量差当前，软件与应用互联网在线化是大势所趋，尤其是受新冠疫情的影响，远程在线协同办公与跨地域跨国长距离的应用访问需求集中爆发，无论是互联网公司还是传统企业，都更加依赖高质量的服务访问，这离不开高质量的网络。2）传统静态内容加速方案对动态交互应用效果差2跨地域公网加速客户端就近接入全球加速阿里云上服务非阿里云上服务服务区域RegionRegion加速区域RegionPOPRegionRegion加速IPPOP阿里巴巴覆盖全球的传输网络2324云网络白皮书对于实时性要求高的动态交互型内容，传统的静态加速方案效果有限，必须依赖网络底层资源的加速方案。3

41、）向全球用户快速提供高质量的服务面向全球用户提供高质量的服务，一种做法是在全球部署业务系统，即使基于云构建，也相对比较复杂，需要较大的投入，耗费较长时间，这无法满足“唯快不破”的互联网时代需求，而且很多用户也没有这么大的资金投入。这时，采用全球加速GA就是最快速、最经济、最简单的方案。通过全球加速把应用访问入口全球部署，但应用只部署在少量地方，可以快速向全球用户提供高质量的服务。此外，全球加速GA和云原生的安全能力联动，保护互联网服务免受攻击，加固对终端节点的安全访问，随时升级防御T级别攻击。快速（分钟级）完成部署开通，业务架构“零”改动。混合云网络产品5混合云是当前和未来较长一段时间都会持续

42、存在的一种形态，因此，选择什么产品构建混合云就显得尤为重要。如下是阿里云混合云网络产品大图。阿里云混合云网络产品可以把IDC/总部/分支/门店/边缘/移动终端等通过VPN网关，智能接入网关SAG，高速通道产品和云上VPC构建一张云上云下一体的私有网络。这些产品简单对比如下，用户可以根据需要选择一种或多种混合云网络产品。此外，这些混合云网络产品可以单独使用，也可以配合使用，比如使用高速通道作为主链路，使用SAG作为备份链路，支持自动切换，再配合云企业网CEN构建一张企业级的私有网络。上海分支深圳分支北京 IDC杭州 VPC北京 VPC美西VPC杭州分支北京总部CEN云企业网IPSecSSL移动终

43、端VPN网关移动终端InternetSAG-1000SAG-100WMSAG-APPSAG-VCPE私有云/边缘专线移动带宽SAG-1000CCN-云连接网VBR-虚拟边界路由器高速通道固定带宽智能接入网关项目智能接入网关SAGVPN网关高速通道链路公网+专线公网专线质量中低高成本中低高交付周期中（硬件版-天/软件版-分钟）短（分钟）长（月）VPN网关是一款基于Internet链路，通过加密通道将企业数据中心、企业办公网络等和阿里云专有网络(VPC)安全可靠连接起来的服务。VPN网关是快速低成本构建混合云的最佳选择，可满足小带宽（一般小于500M），且对网络质量相对不敏感的业务需求。此外，VP

44、N网关也经常用于高速通道（专线）开通前的POC以及备份。VPN网关功能丰富，支持IPSec和SSL协议、支持动态路由协议BGP、国密、IDaaS服务通过AD认证等。智能接入网关（Smart Access Gateway,简称SAG）是阿里云自研的云原生SD-WAN解决方案，可以实现企业IDC、分支、门店、边缘节点、移动端等多种类型网络节点一站式接入上云，形成一张企业级私有网络。SD-WAN(Software-Defined WAN)，即软件定义广域网，相比传统WAN网络脱颖而出，主要是具有以下几个优点：12VPN网关智能接入网关2526云网络白皮书1）最具性价比通过专线链路和互联网链路的组合，

45、可以极大的降低昂贵的专线带宽使用量从而降低企业网络线路成本。2）ZTP快速安装部署支持零配置安装部署（ZTP），自动协商建立VPN隧道，即插即用。除此之外所有网络路由信息集中处理、自动分发，即使有数千家门店，任何一个节点的网络变化，全网其他节点无需任何网络配置。3）远程集中管理降低运维成本传统网络架构是同一个网络设备既有转发模块也有控制模块，而SD-WAN将转发和控制分离，所有节点统一通过中心化控制台远程管理极大的简化了运维管理。从运维视角来看，传统组网看到的是多个点（网络设备）+多个连接，而SD-WAN架构下看到的是一张网。4）云原生以云为中心，为云而生，依云而建。企业上云后，云下的数据中心

46、、办公室以及各种各样的终端设备要和云上的应用进行交互。要做到云上云下深度的应用集成，就要求整个网络以云为中心，实现云-管-边-端一体化。另一方面对应用来说，对云和网的感知是一体的无差异的。所有节点一键访问云服务，云上云下统一端到端的安全策略。5）丰富的产品形态SAG提供了硬件和软件两种产品形态，以满足不同的接入需求。硬件形态提供了SAG-100WM，SAG-1000两种型号，分别适合在分支/门店和总部/IDC使用，软件形态提供了SAG-APP和SAG-vCPE两种形态，分别适合在移动终端和边缘/其它云使用。硬件形态SAG-100WM分支/门店总部IDCSAG-1000软件形态SAG-APP移动

47、终端其他云/边缘PC手机SAG-vCPEA云边缘3rd2020年11月，权威调研机构 IDC 发布了 2020 年上半年中国软件定义广域网（SD-WAN）市场跟踪报告，阿里云智能接入网关SAG同比增速超600%，以 25%的市场份额领跑中国 SD-WAN 服务领域。高速通道（Express Connect）提供了通过基于运营商专线接入公共云的能力，可以提供超大带宽、稳定安全的私有上云通道，是大型混合云架构的最佳选择。高速通道的核心优势是高性能和高质量。随着互联网的快速发展，产生了越来越多的海量数据，对网络带宽性能的要求越高。传统VPN等基于互联网的软专线受限于互联网的带宽规格以及加密处理的性能

48、损耗，通常很难提供单点高于1Gbps的带宽规格，而高速通道单链路最大支持100Gbps的带宽，而且支持多线负载理论上可以无限水平扩容，非常适合互联网、大数据、人工智能等数据密集型应用。在质量方面，高速通道依靠运营商的专线资源，相对于VPN底层通过互联网加密技术，网络路径无绕行提供了最低的时延，另外不用和其他用户争抢带宽资源则保证了质量。3高速通道高速通道运营商专线阿里云网络IDC阿里专线接入点边界路由器VBR云企业网CEN专有网络VPC2728云网络白皮书高速通道提供了独享专线和共享专线两种接入方式。独享专线是企业自主拉通本地数据中心到阿里云接入点的专线，该方式独占一个物理端口，相对来说周期比

49、较长但是对专线资源更有掌控力。企业先需要向运营商购买专线再向阿里云购买接入资源。线路开通过程中运营商需要进行工勘、铺设专线等工作，整个施工周期预计需要2个月左右。共享专线是合作伙伴的接入点已经与阿里云的接入点完成了对接，用户只需联系阿里云的专线合作伙伴，合作伙伴会完成本地IDC机房到合作伙伴接入点的专线部署。相比自建独享专线连接，合作伙伴已经预先完成了从运营商接入点到阿里接入点的最后一公里专线铺设，运营商只需要为企业完成从运营商接入点到本地IDC机房的最后一公里专线铺设，大大节约了上云施工周期时间。网络安全产品6云网络产品为用户提供了诸多安全能力，如VPC给用户在云上提供了私有安全隔离的网络环

50、境，VPC还支持网络ACL，子网路由，CEN支持TR等实现网络访问控制和通信管理等功能。除此之外，阿里云还为用户提供了丰富的高级网络安全能力以及产品，帮助用户在云上搭建层次化的纵深防御体系，多维度提升整体云上网络安全。主要网络安全产品包括DDoS防护，云防火墙，Web应用防火墙等。阿里云的DDoS防护系统，不仅仅能够支持客户的云上业务，也可支持云下企业客户使用阿里云在全球部署的大流量清洗中心资源，结合AI智能防护引擎，通过全流量代理的方式实现对大流量攻击防护和精细化Web应用层资源耗尽型攻击的防护。DDoS防护（Anti-DDoS Service）是针对在互联网上提供服务的企业在遭受DDoS攻