當(dāng)前云計(jì)算的建設(shè)已經(jīng)如火如荼，云計(jì)算帶來的好處也顯而易見，各行各業(yè)都在積極上云。對于IaaS這層來說，主要由計(jì)算、存儲、網(wǎng)絡(luò)組成。如果說計(jì)算像人體的靈魂，那存儲就是大腦，保存了認(rèn)知的所有信息；網(wǎng)絡(luò)是血管，連通了身體每一個(gè)部分。計(jì)算是最核心的，存儲是最重要的，而網(wǎng)絡(luò)是最復(fù)雜的。

　　在ZStack云網(wǎng)絡(luò)中，網(wǎng)絡(luò)的部署模式可以分為扁平網(wǎng)絡(luò)和VPC網(wǎng)絡(luò)，而在VPC網(wǎng)絡(luò)中，又可以通過EIP或者OSPF動態(tài)路由兩種模式來讓外部網(wǎng)絡(luò)訪問VPC內(nèi)部虛擬機(jī)，本文來分析一下這幾種模式的特點(diǎn)和適用場景。

　　在看各種網(wǎng)絡(luò)模型的適用場景之前，咱們先來了解下動態(tài)路由和OSPF的相關(guān)概念

　　路由是指在路由器上指導(dǎo)數(shù)據(jù)包流量轉(zhuǎn)發(fā)的路徑信息，讓路由器知道該從哪個(gè)接口將數(shù)據(jù)包發(fā)出去。路由器就好比交叉路口，而路由就好比路牌，數(shù)據(jù)包就好比轎車，路牌告訴司機(jī)，到某某路該從哪個(gè)路口走，這個(gè)和路由器轉(zhuǎn)發(fā)數(shù)據(jù)包非常相像。那么問題又來了，路牌是政府建造的，路由是怎么生成的呢？

　　靜態(tài)路由因?yàn)樗�有的路由條目都是手工配置，那么在規(guī)模越來越大的情況下，配置的復(fù)雜度會成倍上升，并且無法自適應(yīng)網(wǎng)絡(luò)拓?fù)涞母�改。一旦某臺路由器宕機(jī)，會使得和這臺路由器相關(guān)的所有網(wǎng)段都無法通信，如果要更改拓?fù)洌�修改配置也會變得非常麻煩；而動態(tài)路由的出現(xiàn)很好地解決了靜態(tài)路由的問題，只需要進(jìn)行協(xié)議初始配置即可，路由條目都是動態(tài)生成，也能夠自適應(yīng)拓?fù)涞母淖�，自動改變�?shù)據(jù)的轉(zhuǎn)發(fā)路徑。

　　OSPF就屬于動態(tài)路由中應(yīng)用最廣泛的一種。OSPF是一種基于鏈路狀態(tài)的路由協(xié)議，使用最短路徑優(yōu)先算法來計(jì)算出路由。OSPF的工作過程如下所示：

　　在OSPF啟動以后，會周期性的發(fā)送Hello包，當(dāng)收到鄰居發(fā)來的Hello包以后，狀態(tài)變更為2-way；然后，在整個(gè)網(wǎng)段上所有的OSPF路由器開始進(jìn)行DR/BDR的選舉，也就是網(wǎng)段的管理者/備份管理者；后續(xù)所有的路由器都和DR/BDR建立鄰接關(guān)系，將本地連接的所有網(wǎng)段信息傳遞給DR/BDR，再由DR將計(jì)算出的整個(gè)網(wǎng)絡(luò)的拓?fù)湫畔�發(fā)送給所有路由器；最后，所有路由器以自己為根，根據(jù)算法計(jì)算出到各網(wǎng)段的最優(yōu)路徑并寫入路由表。

　　2.1 拓?fù)浼軜?gòu)

　　扁平網(wǎng)絡(luò)其實(shí)就是個(gè)純二層網(wǎng)絡(luò)，云平臺只提供二層轉(zhuǎn)發(fā)的功能，通過DHCP給虛擬機(jī)自動分配IP。云平臺會創(chuàng)建一個(gè)虛擬網(wǎng)橋，分別連接虛擬機(jī)和物理網(wǎng)卡，虛擬機(jī)數(shù)據(jù)包通過物理網(wǎng)卡轉(zhuǎn)發(fā)到物理交換機(jī)上，由物理交換機(jī)提供網(wǎng)關(guān)以及三層轉(zhuǎn)發(fā)。

　　2.2 適用場景

　　扁平網(wǎng)絡(luò)最大的特色就是簡單，配置完二三層網(wǎng)絡(luò)即可，數(shù)據(jù)流量也非常簡單，物理網(wǎng)卡只是做橋接；但是相應(yīng)的，扁平網(wǎng)絡(luò)支持的網(wǎng)絡(luò)服務(wù)就非常少，比如負(fù)載均衡、IPSec、端口轉(zhuǎn)發(fā)等功能，扁平網(wǎng)絡(luò)都是不支持的，而這些在企業(yè)網(wǎng)絡(luò)中使用比較普遍。因此，扁平網(wǎng)絡(luò)適用于對網(wǎng)絡(luò)要求簡單，只需要互通性的場景。

　　3.1 拓?fù)浼軜?gòu)

　　在VPC網(wǎng)絡(luò)中，云平臺提供vrouter功能，vrouter一端是公有網(wǎng)絡(luò)，用于和物理網(wǎng)絡(luò)相連接，這邊的公有網(wǎng)絡(luò)只是一個(gè)概念，表示公共的網(wǎng)絡(luò)，并不是一定需要用真正的公網(wǎng)IP；另一端連接租戶的VPC網(wǎng)絡(luò)，作為VPC網(wǎng)絡(luò)的網(wǎng)關(guān)，并可以提供EIP、LB、端口轉(zhuǎn)發(fā)等網(wǎng)絡(luò)服務(wù)，提供多租戶隔離，支持VXLAN，可以進(jìn)行更好的網(wǎng)絡(luò)擴(kuò)展。

　　不同的租戶之間的IP段是可以重復(fù)的，VPC網(wǎng)絡(luò)訪問外部的時(shí)候，在VPC路由器的公網(wǎng)接口會進(jìn)行SNAT，轉(zhuǎn)換為公網(wǎng)IP；而外部訪問VPC網(wǎng)絡(luò)的時(shí)候，通過訪問虛擬機(jī)綁定的EIP，在VPC路由器的公網(wǎng)接口會進(jìn)行DNAT，轉(zhuǎn)換為虛擬機(jī)的真實(shí)IP，這樣就可以進(jìn)行內(nèi)外互通。

　　3.2 適用場景

　　VPC網(wǎng)絡(luò)提供的網(wǎng)絡(luò)服務(wù)非常豐富，如EIP、IPSec、端口轉(zhuǎn)發(fā)、分布式路由、負(fù)載均衡等，可以應(yīng)對各種網(wǎng)絡(luò)的需求，不同租戶之間相互隔離，IP段都是自定義，而且不需要擔(dān)心沖突的問題。EIP模式和公有云網(wǎng)絡(luò)是一致的，每個(gè)租戶都在VPC內(nèi)部自定義IP段，對外訪問通過SNAT，外部訪問虛擬機(jī)則通過EIP。

　　EIP模式適用于公有云、托管云以及一些特殊場景，比如不允許暴露真實(shí)IP、公司被收購IT系統(tǒng)需要合并，當(dāng)然，私有云場景也是適合的。

　　在上節(jié)咱們看到了EIP的特點(diǎn)，事實(shí)上大多數(shù)的私有云網(wǎng)絡(luò)都是EIP模式，但是咱們來仔細(xì)分析一下，EIP模式的虛擬機(jī)和外部通信，其實(shí)是要經(jīng)過SNAT和DNAT的，這樣就涉及到IP地址的轉(zhuǎn)換，會引起如下的幾個(gè)問題：

　　OSPF是VPC路由器的一個(gè)功能模塊，可以和物理交換機(jī)的OSPF進(jìn)行無縫對接，使用時(shí)需要先關(guān)閉SNAT的功能，將VPC網(wǎng)絡(luò)的IP宣告給鄰居。通過OSPF，物理網(wǎng)絡(luò)可以學(xué)習(xí)到VPC網(wǎng)絡(luò)的真實(shí)IP并直接訪問，不需要再做DNAT轉(zhuǎn)換，相對于傳統(tǒng)VPC網(wǎng)絡(luò)來說架構(gòu)更簡單，更容易和物理網(wǎng)絡(luò)進(jìn)行聯(lián)動。使用OSPF，VPC路由器就是物理網(wǎng)絡(luò)在虛擬環(huán)境中的一個(gè)延伸，100%還原物理路由器的NFV方案，并且VPC路由器依然可以支持負(fù)載均衡、IPSec、端口轉(zhuǎn)發(fā)等功能。

　　4.2 適用場景

　　OSPF模式本質(zhì)上是把物理交換機(jī)的部分功能以NFV的形式來實(shí)現(xiàn)，和傳統(tǒng)物理網(wǎng)絡(luò)相比較，除了接入層是由物理設(shè)備變更為虛擬設(shè)備，其他都沒有變化，整體架構(gòu)和傳統(tǒng)網(wǎng)絡(luò)是一樣的，因此，可以適用于絕大部分的私有云環(huán)境，并且沒有NAT的性能損耗，網(wǎng)絡(luò)架構(gòu)更加簡單，和EIP模式相比較，OSPF模式更適合私有云場景。

　　可能有人會問多租戶場景怎么辦？IP無法重復(fù)的話是否會不夠用？多租戶隔離怎么辦？其實(shí)這個(gè)完全沒必要擔(dān)心，10.0.0.0/8這個(gè)段就是專門給私有網(wǎng)絡(luò)分配的，足足1000多萬個(gè)IP，完全滿足99%以上的私有云環(huán)境，而且企業(yè)內(nèi)部的IP都是網(wǎng)工統(tǒng)一分配管理的，如果讓使用者自定義網(wǎng)絡(luò)，反而會將整體架構(gòu)變復(fù)雜，增加網(wǎng)絡(luò)運(yùn)維的工作量；多租戶隔離其實(shí)并不是靠NAT來做的，多租戶隔離一是路由沒有發(fā)布，二是依靠虛擬防火墻來做訪問控制，而NAT的作用是允許內(nèi)部IP重復(fù)。

　　公有云能否不用EIP呢？這個(gè)其實(shí)是不行的，因?yàn)楣�有云是所有不同公�?個(gè)人的用戶共享一個(gè)平臺，IP的規(guī)劃必然會有重復(fù)，所以需要用NAT來做防IP沖突，用EIP來提供外部訪問。而私有云只是一個(gè)公司內(nèi)部的環(huán)境，IP規(guī)劃必然不能有沖突，所以絕大部分的私有云場景不需要NAT和EIP，使用動態(tài)路由是更適合的方式。

　　綜上所述，扁平網(wǎng)絡(luò)、VPC網(wǎng)絡(luò)EIP模式、OSPF模式都有各自的適用場景，對于網(wǎng)絡(luò)需求簡單、只需要連通性的場景，適合使用扁平網(wǎng)絡(luò)；對于絕大部分的私有云場景，更適合使用OSPF模式，對接物理交換機(jī)，將物理網(wǎng)絡(luò)延伸到虛擬環(huán)境；對于公有云、托管云以及一些特殊場景，適合使用EIP模式。