3月14日,腾讯云宣布推出私有网络VPC三大独家功能:弹性网卡、广播&组播、专线NAT网关。InfoQ对腾讯云进行采访,帮助大家进一步了解三大私有网络独家功能的研发背景、研发过程等相关内容。
背景:三项功能均为腾讯云自主研发,取得多项技术突破:弹性网卡作为云主机网络能力的一项重大突破,真正助力金融政企客户实现内网、外网、传输网的三网隔离;广播&组播极大提升私有网络中的多点投递效率。而专线NAT网关解决了服务专线互联中的IP冲突、内网IP屏蔽等痛点问题。3项独家功能在安全和灵活性上开创了全新的行业标准,标志腾讯云成为国内私有网络技术最为领先的云服务商。
InfoQ访谈如下:
InfoQ:可以谈谈三大私有网络独家功能的研发背景,基于什么样的因素来研发的,研发过程是什么样的?
弹性网卡:研发背景主要目标群体是金融云客户,金融云对网络隔离性要求较高,不同网络的流量类型不同,希望分布在不同网络并配置不同的安全策略,实现多网隔离,这是我们做弹性网卡的初衷。当然弹性网卡带来的网络迁移能力也可以帮助客户搭建基于Keepalived的高可用组件,或者在腾讯云服务器上部署自己的Docker服务。弹性网卡的研发过程对平台整体的管理流程带来比较大的挑战,很多内部的管理对象、流程设计都有较大挑战。为了完整的实现功能,我们将需求分解为多个迭代:a)后台功能API支持 b)单网卡多IP c)绑定&解绑弹性网卡。后面还会对网卡的创建绑定流程进行自动化优化。
广播&组播:广播和组播是传统网络中比较成熟的技术,在心跳保持、消息订阅等应用领域相对单播有其特有的优势。多个金融和游戏行业用户向我们表达了在网络基础设施层面支持组播和广播的需求,便于应用无缝的上云。在公有云行业,这两项特性之前没有成熟的技术方案,挑战也是巨大的。我们通过深入思考,将组播和广播的使用灵活性与VPC的网络隔离性结合起来,形成了高安全性和可靠性的VPC内组播和广播产品。在这个产品的研发过程中,我们探索了VPC产品架构中不少全新的领域,比如高效的报文多路复制网关、与动态网络协议联动的路由自动学习与更新等。
专线NAT网关:是随着腾讯云发展金融行业云的关键需求之一。金融云客户对专线互联链路可用性要求高,同时对接第三方个数多,经常会出现IP地址冲突等问题,专线NAT网关就是对各种IP地址冲突场景进行抽象总结后研发出的产品。这个产品研发过程很长,由于网络地址转换场景较多,按照传统物理路由器标准的SNAT、DNAT方式配置管理起来十分复杂。我们采用了更加直观的本端IP、对端IP一一映射来解决地址转换管理的问题。底层集群上面我们采用了NFV集群化设计思路,各个租户的专线NAT网关逻辑隔离,不会因为网络配置错误而相互影响,减少了传统路由器中配置地址转换策略的网络变更风险。
InfoQ:腾讯云在租户间安全模型设置上,采用“完全”强制隔离还是可“配置”隔离?
腾讯云的内网环境分为基础网络和私有网络两种,无论是基础网络还是私有网络,多租户之间都采用了完全隔离的网络安全策略,无论用户如何配置安全组都会保证网络间的安全隔离。但在私有网络环境,用户可以使用对等连接和其他租户的私有网络VPC建立PEER,通过合理的配置路由表、安全组和网络ACL功能可以兼顾跨账户内网互联及网络安全。但是跨账户的对等互联申请需要在对端账号同意并配置路由策略后方可生效。
InfoQ:弹性网卡支持绑定8个网卡、30个内网IP,实现三网隔离,是不是就完全能保证各个租户的安全性了?
从技术角度来讲,公有云的云主机都是在母机上进行的虚拟化,虚拟网卡也是在母机中虚拟化出来的。如果用户突破了KVM虚拟化的安全屏障,还是有可能入侵至绑定有弹性网卡的云服务器的。但是相比普通不支持弹性网卡的云主机来说,每个网卡独立的路由策略及ACL策略支持,让绑定多网卡的云主机安全性有了很大提高。
InfoQ:三大私有网络独家功能可以抵挡什么样的黑客攻击?抵挡多大的攻击量?
腾讯云大部分的防黑客功能都是在外网层面就进行扫描和狙击的,很少有黑客可以直接渗透至腾讯云内网展开黑客行为。在DDos攻击能力防护上,腾讯云大禹分布式DDos服务可以承接1Tbps以上的流量攻击。
