谈谈天翼云VPCE

本文分享自天翼云开发者社区《谈谈天翼云VPCE》，作者:天枫霁月

一、VPCE产品出现的背景

跨VPC通信，且能够严格限制访问，任意两个租户之间都能互通，性能高，花费少，通过VPCE产品实现安全、灵活、高效的跨VPC访问。

二、VPCE产品简介

VPC终端节点（VPC Endpoint）：能够将VPC私密地连接到终端节点服务（云服务、用户私有服务等），使VPC中的云资源无需弹性公网IP就能够访问服务提供方的服务，提高了访问效率，提供了更加灵活、安全的组网方式。

三、VPCE产品相关概念

终端节点服务（Endpoint Service）：用户或服务提供商可将VPC内的资源作为服务端，创建为一个终端节点服务，可以被终端节点连接并访问。

终端节点（Endpoint）：连接到终端节点服务，作为服务使用方访问服务的入口。

约束：一个终端节点服务可提供给多个终端节点访问；一个终端节点只能连接到一个终端节点服务。

四、VPCE产品特点

安全可信

1.用户通过终端节点服务，实现跨VPC的点对点单向发起访问，不暴露服务端相关的网络信息，使用户的访问更加安全。

2.服务提供方通过租户白名单来管理服务使用方的账号接入权限；服务使用方通过IP地址白名单来限制对终端节点访问，使得通信安全可控。

灵活便捷

1.无需购买弹性IP和NAT网关等产品

2.避免复杂的路由和安全配置

3.秒级创建，快速生效，迅速响应，方便用户及时使用。

高可靠高性能

1.跨AZ多活集群实现跨AZ高可用性

2.自研DPOS数据面，单机支持千万级会话

3.最低时延，报文仅经过一跳网关

4.单网元带宽25G，转发时延15us

服务资源覆盖全

1.后端服务资源类型全：云主机、物理机、弹性负载均衡、高可用虚IP

2.协议支持全：服务支持TCP和UDP端口映射

五、VPCE功能

终端节点服务（Endpoint Service）

1.后端支持：支持将服务端VPC内的云主机、物理机、弹性负载均衡、高可用虚IP

2.租户白名单：支持添加白名单租户，从而允许其他租户与该终端节点服务建立终端节点连接

3.端口映射规则：可配置多条规则以提供终端节点访问，协议支持TCP和UDP，支持设置每个真实后端的端口与服务访问端口映射关系

终端节点（Endpoint）

1.终端节点网卡：在创建终端节点时，选定子网自动创建，占用一个用户子网IP，作为访问服务的入口

2.CIDR白名单：支持通过白名单设置允许访问终端节点的CIDR地址范围，最多允许添加20条CIDR记录（默认放通全部）

3.域名：支持为终端节点创建内网域名，实现通过内网域名访问终端节点（规划中）

其他

1.跨AZ访问：终端节点可跨AZ访问，但不支持跨Region访问

2.访问终端节点的源：支持VPC内及VPC连接的各类源端进行访问（支持从专线、VPN、云间高速访问终端节点）

3.路由配置：自动配置路由，用户无需配置

4.流量类型支持：TCP和UDP，IPv4，IPv6（规划中）

5.限速：带宽默认限速1Gbps，最大会话数默认限制5000，可申请调整

6.监控支持：支持流量统计用于监控和计费

7.流量放行：后端服务需要放行源IP为198.19.128.0/20的网段

8.配额：单个VPC可以创建的终端节点服务、终端节点数量

六、VPCE其他说明

终端节点服务模式说明

当前VPCE产品（包括接口类型和反向类型）流量转发为Full NAT模式，即访问后端的时候会做SNAT+DNAT地址转换

终端节点服务类型说明

1.Interface（接口类型）: 终端节点作为一个接口，占用租户子网内的一个IP地址（标准产品）

2.Reverse（反向类型）：服务侧可通过反向终端节点来访问客户侧VPC内的虚机等（标准产品）

3.Gateway（网关类型）： 终端节点作为一个网关，不占用租户私网IP地址，作为路由表中的下一跳（规划中）

七、VPCE的跨AZ高可用及高性能设计

1.网元多活：每个网元均为主节点，并且会话同步，流量可经由任一节点转发；节点故障时自动切换流量

2.就近访问：就近通过本AZ网元转发，最大化减少跨AZ流量，并且同AZ内多个网元负载均衡

3.最少跳数：仅经过1跳网元，低时延、高吞吐

自研可控数据面：天翼云0使用基于DPDK开发的自研DPOS软件作为数据转发网元

超高性能：25Gbps网卡实现线速转发，支持亿级会话数，典型转发时延15us（使用CPU的8核心转发）

八、VPCE 典型应用场景

1.提供云上服务

基于VPC终端节点，可以快速构建的云生态系统，增强应用的扩展能力。

服务提供方

在己方VPC内配置终端节点服务，后端资源可以是自己VPC内的云主机、负载均衡、裸金属、虚拟IP。

当终端节点服务配置完成后，将己方后端资源对应的应用服务在云上进行共享。

针对不同账号间云服务共享场景，服务提供方可以配置白名单管控使用方的接入权限，安全可控。

典型服务：镜像源、API网关、数据库等

服务使用方

其他VPC通过配置VPC终端节点与终端节点服务连接，可以访问对应的云服务。

2.云外访问云上服务

用户自建数据中心/分支机构通过云专线、VPN、SD-WAN产品接入用户云上VPC内部，通过VPC内部已经建立的终端节点，用户即可在云外可以使用私网访问后端共享的云服务。通过云间高速产品，实现在其他Region跨区域访问云服务。

降成本：由于不涉及弹性IP、公网带宽等部署，降低了用户的使用成本；

提效率：部署简单、便捷，提高访问效率，更加安全。