金山云侯震宇：如何在国内最早提供全Region VPC服务

10月19日，2017中国系统架构师大会在京开幕。作为国内顶级技术盛会之一，大会云集了数百位国内外云计算、人工智能、大数据、移动互联网、产业应用等前沿领域的技术专家和行业领袖，分享实践经验和技术成果。金山云高级副总裁侯震宇受邀出席本次大会并发表主题演讲，系统阐述了金山云虚拟网络的设计思路与实现方法。

侯震宇表示，秉承高稳定性、高可靠性、高扩展性及灵活组配的设计思路，金山云虚拟网络以VPC为核心，通过Controller实现配置管理、流量路径控制，结合SDN+NF控制架构实现物理网络和虚拟网络统一的管控，达到资源的最优调配和有序处理。

金山云高级副总裁侯震宇发表《金山云虚拟网络的设计与实现》的演讲

自研核心技术打造高性能网络产品

金山云网络产品以优质的IDC网络、同城/异地骨干网络、自建BGP网络为基础，以自主研发技术为核心，打造软件自定义、高可用、高性能的网络产品。作为国内最早提供全Region VPC化服务的云厂商，金山云自建了北京、上海、广州三地冗余骨干网络，具有80线BGP公网和超500G公网带宽，提供云物理机（EPC）和托管云（KIS）服务，在单网关集群方面，最高可支撑2万台物理机，构建出了完善的公有云服务基础设施。

据了解，金山云网络产品核心优势主要体现在软件定义网络、高可用性和高性能三个方面。在软件定义网络方面，金山云采用了100% 自研核心网关和控制器，支持分钟级网络环境自主化部署(OpenAPI，SDK，控制台)，并在混合云、多云互通层面具有多项领先技术优势。

在高可用性方面，其全系产品SLA达到99.99%，并支持AZ内、跨AZ、跨Region三级高可用部署，80线BGP实现了对三大运营商和数十家中小运营商网络的全面覆盖。

在高性能方面，负载均衡最大支撑吞吐带宽120Gbps，每秒新建连接数1800w，最大并发连接数8亿，云解析单节点超800wpps，全国数10个节点，最大可防御超过200G攻击。

“现在一些大型网站或传统公司，都会有一些历史积累，有自己的数据中心，但同时又想享受到一些公有云的优势服务，”侯震宇讲到。这个时候金山云提供的混合云解决方案，能够很好地解决这个问题，侯震宇以采用了金山云服务的国内某知名电商网站为例，“该网站业务具有较强的时效性，‘双11’、‘618’大促销活动，需要应对成倍突增的访问量。通过把内部核心系统与核心数据存储在自建数据中心内，云上部署应用服务来应对实时业务访问激增，既可有效保障企业原有核心业务安全，又可极大降低IT建设成本支出。”

Vrouter+NFMB+Controller提供最优网络管控

Vrouter+NFMB+Controller网络分发处理示意图

作为国内Top3的云服务商，经过多年积累，金山云在虚拟网络层面积累了丰富的研发和实践经历，其产品设计之初即考虑到云计算所需的高扩容性，预留了充足的弹性空间，这也是其基础网络能够从10G/25G/40G/100G平滑演进的根本原因。而随着Vrouter+NFMB+Controller的进一步迭代，能够愈发高效实现报文转发、复杂网络环境互联和集权管控于一体的虚拟网络服务。

在Vrouter方面，金山云虚拟机Vrouter配置在CN上，物理机Vrouter配置在TOR上，利用EVPN实现。在迭代过程中，金山云开发的DPDK版Vrouter，可成倍提升报文转发性能；而近期将会实现的新型智能网卡功能，则可完全消除Hypervisor的CPU开销，极大降低资源占用，有效提升利用率。

在NFMB方面，基于经典的X86平台，通过Abstract layer，向下屏蔽DPDK和硬件实现细节，复用配置方面的代码；向上提供网络常用库（ACL 路由 hash等）和并行编程模型，降低了开发和性能调试的难度。NFMB采用集群部署，支持水平扩展，在内网服务互联、公网互联和混合云互联方面达到最佳匹配效果。

在Controller方面，金山云面对复杂的日常网络状况，以Controller来管控整体集群，实现效率的最大化。其目前已经能够管理万级别CN节点和千万级别配置条目，处理10K+cps api访问请求，实现对包括交换机、路由器等网络设备的统一管理，并能够自定义用户流量路径，让流量通过最优线路传输。此外，Controller还支持NFMB分集群管理，使NFMB具有集群扩展能力。

在实际应用方面，侯震宇分别从用户VPC与自建IDC专线互联、用户VPC与自建IDC专线互联通过专线访问S3两个场景进行了说明。“客户通过自己的IDC，来连接到金山云的IDC，全部都是由controller来实现，可以实现分钟级的响应，极大提升连接稳定性和连接速度。