云数据中心网络(二):弹性公网 IP
- 1.什么是弹性公网 IP
- 2.弹性公网 IP 的类型
- 2.1 多线 EIP
- 2.2 任播 EIP
- 2.3 单线静态 EIP
- 2.4 精品 EIP
- 2.5 识别不同类型的 IP 的地址
- 3.弹性公网 IP 功能
- 3.1 自带公网 IP 地址上云
- 3.2 尽力找回公网 IP 地址
- 3.3 连续 EIP 地址分配
- 3.4 EIP 的 Anti DDoS 和安全清洗
- 4.公网计费方式
- 4.1 按流量计费
- 4.2 按固定带宽计费
- 4.3 按 95 去峰带宽计费
云面向大众提供各种各样的、随时可获取的云服务,包括各种计算、存储、数据库服务,也包括人脸识别、人工智能服务。互联网是连接用户和云服务的媒介,弹性公网 IP 就是这个媒介产品化的形态。
1.什么是弹性公网 IP
我们通常用域名访问某一个网站,但这个域名最终还是会通过 DNS 被解析成一个具体的公网 IP 地址,网络中的物理路由器和交换机是通过这个具体的公网 IP 地址找到具体服务器的。所有对 Internet 提供服务的服务器都必须具备全球唯一的公网 IP 地址,这个公网 IP 地址在云网络产品中就是弹性公网 IP,简称 EIP。EIP是可以独立购买和持有的公网 IP 地址资源,由一个公网 IP 地址和一份公网带宽构成。目前,EIP 可绑定到 VPC 类型的 ECS 实例、私网 SLB 实例、NAT 网关和弹性网卡上。EIP 的最大特点就是 可以随时与云产品绑定和解绑,和云产品是松耦合的关系。松耦合的架构带来了管理的灵活性和高可用性,如下图所示。
2.弹性公网 IP 的类型
2.1 多线 EIP
有资质的云服务提供商的公网 IP 地址一般会通过 BGP(Border Gateway Protocol
,一种 自治系统路由协议)将与多个运营线直连的链路播报给运营商。运营商就具备了这些公网 IP 地址的路由,运营商网络中的客户可以像访问内网资源一样访问这个公网 IP 地址,所以不存在跨运营商互访导致的访问体验变差的问题。我们把这种类型的公网 IP 地址称之为多线 EIP,如下图所示。
2.2 任播 EIP
普通的弹性 EIP 只会从一个地域发布,如中国香港的 EIP 资源只会从中国香港地域发布,如果新加坡的用户访问中国香港的 EIP,那么得通过运营商的国际骨干网到新加坡,而运营商的国际骨干网是有可能出现拥塞的,一旦网络拥塞,就会增加业务的访问时延和丢包,如下图所示。这对游戏、实时音视频行业客户的上层业务影响较大。
一些国际化的游戏和实时音视频行业客户,希望获取比普通 EIP 更稳定的公网服务,任播 EIP 应运而生,其技术架构如下图所示。
- 任播 EIP 会把一个 IP 地址从多个 POP 点发布出去,而这些 POP 点是处于不同地域的,这样就能够让用户通过一个 IP 地址就近接入阿里云 POP 点。
- 阿里云不同 POP 点之间是通过阿里云内部专线网络连接在一起的。用户通过任播 EIP 就近接入 POP 点后,会通过阿里云专线网络访问后端的源站服务器。这样就避免了国际骨干网的拥塞问题,进而提供更稳定的网络。
2.3 单线静态 EIP
单线静态 EIP 只有国内云厂商才有对应的产品形态。国内云厂商支持单线静态 EIP 的产品形态是为了和 BGP 类型的带宽做区分。BGP 类型的带宽具备动态路由收敛能力,可靠性和抗 DDoS 能力好,但价格昂贵。静态带宽不具备动态路由收敛能力,可靠性较低,无抗 DDoS 能力,但价格较低。
在涉及大带宽的数据搬运不需要太高的可靠性时,由于流量价值较低也不会被黑客进行 DDoS 攻击,如果用 BGP 带宽进行此类数据的公网传输,其性价比是很低的,那么比较合理的方案是用单线静态 EIP 进行数据传输。
2.4 精品 EIP
如果服务器部署在中国香港并绑定普通的 EIP,那么在一般情况下,中国内地的用户访问中国香港的服务器的体验较差,因为 EIP 默认走运营商的国际互联网出口,可能先到美国绕一圈再到中国香港。有一些在中国香港部署业务的证券应用希望为其中国内地的客户提供优质的公网访问体验。在这种场景下,阿里云包装出了精品 EIP,如下图所示。
需要说明的是,精品 EIP 全链路的流量都是在运营商的公网上传输的。
2.5 识别不同类型的 IP 的地址
前文提到了很多类型的公网 IP 地址,如何识别一个公网 IP 地址是多线地址、单线地址还是主播地址呢?
对于国内的 IP 地址,最简单的方式是通过类似于 IPIP.net 等第三方工具进行查询。比如说,阿里云杭州的多线 EIP 地址为 121.40.142.XXX
,通过 IPIP.net 查询出其发布的线路是 阿里云 / 电信 / 联通 / 移动 / 铁通,还是教育网,如下所示,这个查询结果是阿里云实际互联的 BGP Peer 的子集,可以看出这个地址的类型是 多线 EIP。
对应到杭州移动的 IP 地址,117.147.204.XXX
,通过 IPIP.net 可以很清晰地查到,这个 IP 地址是杭州移动的 单线 IP,如下图所示。
3.弹性公网 IP 功能
EIP 除了可以独立持有和绑定各种云资源,还提供了一些高级功能。
3.1 自带公网 IP 地址上云
公网 IP 地址就像手机号码一样,可以让外界访问用户。有一些企业用户有自己的 IP 地址,这些用户上云前需要解决的最大问题是如何保持公网 IP 地址不变。就像手机可以想换就换,但更换手机号码是很痛苦的事情,因为手机号码很多时候在第三方是有备案的,比如银行、邮箱。
为了解决这种场景下的问题,阿里云云网络在中国内地之外的地域推出了自带公网 IP 地址上云的产品功能。用户仅需要在 Internet 注册机构的网站将 IP 地址端的 AS 号修改为阿里云的 AS45102,并提交工单即可。此时 IP 地址的归属信息并未改变,只是发布的 AS 号变更到了阿里云,相当于“携号转网”。在工单处理完之后,用户可在云上以 EIP 的产品形态使用自己之前的公网 IP 地址。
3.2 尽力找回公网 IP 地址
前面提到,公网 IP 地址和我们的手机号码差不多。那么,如果公网 IP 地址不小心被用户误释放掉,用户想找回这个公网 IP 地址怎么办?对于这种场景,阿里云提供了类似于公网 IP 地址找回的功能。但这个 “找回” 是尽力而为,如果这个公网 IP 地址已分配给其他用户,那么是无法找回的。
3.3 连续 EIP 地址分配
在很多场景下,企业用户希望能分配到连续的公网 IP 地址,即类似从 8.210.1.1
到 8.210.1.31
的地址。在这种场景下,用户真正的需求是简化第三方为用户加白名单。比如一个大型企业,需要为其多个公网 IP 地址加白名单。如果是 32 个不连续的公网 IP 地址,那么对方需要加多条白名单,而对于连续的公网 IP 地址,对方仅需要加一条白名单。
3.4 EIP 的 Anti DDoS 和安全清洗
公网业务是容易被黑客进行 DDoS 攻击的。如果一个用户的超大攻击流量不及时被“黑洞”掉,那么会影响这个地域其他用于正常业务的流量。所以每个 EIP 都有一个默认的黑洞阈值,这个值是和购买的带宽正相关的,如果用户被攻击的流量超过了黑洞阈值,阿里云就会针对这个地址向外发黑洞路由,把攻击流量“黑洞”在运营商侧,以保护阿里云整体的公网出口的带宽。
当然,阿里云也会为用户提供一定额度的免费清洗攻击流量的服务,在一定阈值内,会把攻击流量中的垃圾流量清洗掉,然后把干净的流量回注到用户的 VPC 中。
4.公网计费方式
云厂商的公网带宽主要是向运营商采购的,云厂商和运营商之间的公网带宽结算方式为在入方向和出方向取较大值进行收费。讲清楚了云厂商和运营商之间的结算方式后,再讲云厂商的公网计费方式会很好理解。
4.1 按流量计费
按流量计费是主流云厂商都支持的计费模式。当前大部分云厂商在一般情况下,只收取出云流量费。在云计算发展初期,云上的流量模型主要以出方向为主。云厂商和运营商结算时,由于整体上出云带宽比入云带宽要大,运营商按照出云带宽向云厂商收费。云厂商的公网主要成本是出云流量成本,基于成本定价的思路,云厂商只向用户收取出云流量费。
但随着云计算和移动互联网的快速发展,大量智能终端开始向云上传数据,云上的流量模型已经发生了变化。在一些地域,阿里云的入云方向带宽已经大于出云方向带宽,开始按照入云方向带宽和运营商进行成本结算。国外云厂商在一些新产品上线时,开始对入云方向进行收费,如 Azure 的 Front Door 等。
4.2 按固定带宽计费
按流量计费方式是一种特别简单明了的后付费方式。但在一些场景下,尤其当持续有出方向流量时,如游戏,按流量计费的总体费用是很高的。为了降低这类客户的公网费用,按固定带宽计费的模式应运而生。比如用户购买 100Mbit/s 的固定带宽,入云方向会有 100Mbit/s 的带宽,出云方向也有 100Mbit/s 的带宽,超出带宽部分的流量会被限速丢弃。
阿里云除了支持单 EIP 实例的按固定带宽计费模式,还支持多个 EIP 实例按固定带宽计费的模式,也就是共享带宽的计费模式。
用户在一个地域下只需购买一份共享带宽,整个地域下所有公网相关的云产品都可以绑定 EIP 统一使用共享带宽,如下图所示。
按带宽计费相对于按流量计费,对云厂商后端的限速逻辑和技术要求较高,很多海外云计算厂商还不支持按固定带宽计费。
4.3 按 95 去峰带宽计费
按固定带宽计费的模式在一些场景下为用户节省了公网成本,但超出购买带宽的流量会被限速丢弃,一些业务量波动较大的行业客户对此是无法接受的。
为了让用户的公网带宽具备一定的弹性,按 95 去峰带宽计费模式应运而生,这是一种只需预先支付少量保底带宽费用,即可享受多倍弹性峰值带宽,并在月底按多次去峰后的带宽峰值和实际使用时长收费的计费模式。
一般情况下,在线教育、实时音视频行业客户的主要业务时间和工作时间重合,夜间没有流量,选择按流量计费比较节约成本。
游戏行业、电商行业白天和夜间都有业务流量,一般情况下选择按固定带宽计费或按 95 去峰带宽计费比较划算。