作者｜韓煒

　　編輯｜Bella

　　源自 Azure 的 Azure stack 作為一款業(yè)界唯一的和領(lǐng)先的公有云平臺(tái)一致的混合云平臺(tái)，能夠幫助企業(yè)客戶從自有數(shù)據(jù)中心交付 Azure 云服務(wù)。它作為微軟混合云戰(zhàn)略中的重頭戲，官方宣稱其將在今年年中 GA 局域網(wǎng)的帶寬是多少了。上海儀電集團(tuán)高度重視這一產(chǎn)品，同時(shí)成立了一個(gè)專門的團(tuán)隊(duì)來跟蹤最新的 Azure Stack 技術(shù)動(dòng)態(tài)并積極推動(dòng) Azure Stack 在中國(guó)落地。在今后一段時(shí)間內(nèi)容，我們將在過去一年間追蹤 Azure Stack 的技術(shù)內(nèi)容匯總為 Azure Stack 技術(shù)深入淺出系列文章分享給對(duì)微軟混合云產(chǎn)品感興趣的相關(guān)人員。

　　本篇文章作為 Azure Stack 技術(shù)深入淺出系列的第一篇，將描述我們目前在構(gòu)建基于 Azure Stack 混合云業(yè)務(wù)解決方案方面所面臨的網(wǎng)絡(luò)連通困難，以及相關(guān)技術(shù)人員為解決這一問題所做出的努力及技術(shù)探索。

　　ExpressRouter+Site2Site VPN 混合云聯(lián)通實(shí)驗(yàn)

　　微軟 ExpressRoute服務(wù)和 Site2Site VPN服務(wù)介紹

　　ER局域網(wǎng)的帶寬是多少： Azure ExpressRoute 可讓你通過連接服務(wù)提供商（這里是上海電信）擴(kuò)展到 Azure 云。使用 ER 可與 Azure 云服務(wù)建立連接。ER 連接不通過公共 Internet 。與通過 Internet 的典型連接相比，ExpressRoute 連接提供更高的可靠性、更快的速度、更低的延遲和更高的安全性。

　　詳細(xì)的 ER 的介紹可以參考微軟官網(wǎng)：https://www.azure.cn/documentation/services/expressroute/

　　S2S VPN： 是一種站點(diǎn)到站點(diǎn)通過 VPN 技術(shù)互聯(lián)的 azure 服務(wù)。詳細(xì)介紹可以參考微軟官網(wǎng)：https://www.azure.cn/documentation/articles/vpn-gateway-howto-site-to-site-resource-manager-portal/

　　ER+S2S VPN 配置設(shè)計(jì)

　　站點(diǎn)到站點(diǎn) VPN 做為 ExpressRoute 的故障轉(zhuǎn)移路徑

　　可以將站點(diǎn)到站點(diǎn) VPN 連接配置為 ExpressRoute 的備份。這僅適用于鏈接到 Azure 專用對(duì)等路徑的虛擬網(wǎng)絡(luò)。對(duì)于可通過 Azure 公共線路訪問的服務(wù)，沒有基于 VPN 的故障轉(zhuǎn)移解決方案。ExpressRoute 線路始終是主鏈接。僅當(dāng) ExpressRoute 線路失敗時(shí)，數(shù)據(jù)才會(huì)流經(jīng)站點(diǎn)到站點(diǎn) VPN 路徑。參見圖二。

圖一. 將 S2S VPN 作為 ER 的故障轉(zhuǎn)移路徑

　　站點(diǎn)到站點(diǎn) VPN 作為 ExpressRoute 的補(bǔ)充

　　可以對(duì)網(wǎng)絡(luò)進(jìn)行配置，使得部分站點(diǎn)通過站點(diǎn)到站點(diǎn) VPN 直接連接到 Azure，部分站點(diǎn)通過 ExpressRoute 進(jìn)行連接。參見圖三。

圖二. 將 S2S VPN 作為 ER 的補(bǔ)充

　　ER+S2S VPN 混合云聯(lián)通實(shí)驗(yàn)

　　儀電集團(tuán)中央研究院的 ER+S2S VPN 混合云實(shí)驗(yàn)環(huán)境打通了儀電集團(tuán)中央研究院的 Azure 公有云訂閱和位于紫竹微軟的私有云環(huán)境，詳細(xì)的架構(gòu)圖及網(wǎng)絡(luò)規(guī)劃如下圖一。（這里非常感謝微軟 ER 團(tuán)隊(duì)的支持）

圖三. 儀電中央研究院混合云環(huán)境

　　Azure 公有云和私有云環(huán)境通過 ExpressRoute 和站點(diǎn)到站點(diǎn) VPN 方式聯(lián)通，這種聯(lián)通方式可以將站點(diǎn)到站點(diǎn) VPN 配置為 ExressRoute 的安全故障轉(zhuǎn)移路徑，實(shí)現(xiàn)高可用?；蛘呤褂谜军c(diǎn)到站點(diǎn) VPN 連接到不是通過 ExpressRoute 進(jìn)行連接的站點(diǎn)，承載一些對(duì)網(wǎng)絡(luò)延時(shí)不敏感的流量。

　　混合云實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)拓?fù)?/p>

　　ExpressRoute 架構(gòu)

　　Azure ExpressRoute 可讓你通過連接服務(wù)提供商所提供的專用連接，將本地網(wǎng)絡(luò)擴(kuò)展到 Azure 云。使用 ExpressRoute 可與 Azure 云服務(wù)建立連接。

　　ExpressRoute 連接不通過公共 Internet 。與通過 Internet 的典型連接相比，ExpressRoute 連接提供更高的可靠性、更快的速度、更低的延遲和更高的安全性。ExpressRoute 的架構(gòu)如下圖四。

　　ExpressRoute 的優(yōu)勢(shì)如下：

通過連接服務(wù)提供商在本地網(wǎng)絡(luò)與 Azure 云之間建立第 3 層連接?？梢酝ㄟ^點(diǎn)到點(diǎn)以太網(wǎng)，或通過以太網(wǎng)交換經(jīng)由虛擬交叉連接來建立這種連接。

跨地緣政治區(qū)域中的所有區(qū)域連接到 Azure 云服務(wù)。

通過 ExpressRoute 高級(jí)版附加組件從全球連接到所有區(qū)域的 Azure 服務(wù)。

通過行業(yè)標(biāo)準(zhǔn)協(xié)議 (BGP) 在你的網(wǎng)絡(luò)與 Azure 之間進(jìn)行動(dòng)態(tài)路由。

在每個(gè)對(duì)等位置提供內(nèi)置冗余以提高可靠性。

連接運(yùn)行時(shí)間 SLA。

圖四.ExpressRoute 架構(gòu)圖

　　混合云實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)拓?fù)?/p>

　　研究院的混合云環(huán)境依托上海電信的兩條點(diǎn)到點(diǎn)物理線路，將位于南匯的 Azure 公有云數(shù)據(jù)中心和位于紫竹的微軟 lab 環(huán)境做二層打通。在兩條物理線路上運(yùn)行 Azure ExpressRoute 服務(wù)，實(shí)現(xiàn)公有云和私有云的聯(lián)通。詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D如下。

　　ExpressRoute 費(fèi)用

　　ExpressRoute 費(fèi)用分為兩部分，電信運(yùn)營(yíng)商的費(fèi)用和 Azure ExpressRoute 服務(wù)的費(fèi)用。

　　電信運(yùn)營(yíng)商的費(fèi)用

　　這一塊方案都是開兩條線路，兩臺(tái)交換機(jī)分別做接入，帶寬為兩條線路的帶寬之和，這樣兩條線路相互做備份，實(shí)現(xiàn)高可用。

　　Azure ExpressRoute 的服務(wù)費(fèi)用

　　服務(wù)費(fèi)用分為兩種計(jì)費(fèi)方式，按照帶寬計(jì)費(fèi)和按照流量計(jì)費(fèi)（流量只計(jì)算從公有云下載數(shù)據(jù)的流量，建議如果下載量不大的情況下，采用按流量計(jì)費(fèi)的方式）。

按照帶寬計(jì)費(fèi)

按照傳出的數(shù)據(jù)流量計(jì)費(fèi)

　　詳細(xì) Azure ExpressRoute 服務(wù)的計(jì)費(fèi)細(xì)節(jié)參見 azure 官網(wǎng)的價(jià)格表： https://www.azure.cn/pricing/details/expressroute/

　　ExpressRoute 的配置方法

圖五 ExpressRoute 的配置流程圖

下面的步驟說明了預(yù)配端到端 ExpressRoute 線路所要執(zhí)行的任務(wù)。

使用 PowerShell 配置 ExpressRoute 線路。詳見 Powershell 腳本“ER-Webinar-”。

從服務(wù)提供商訂購(gòu)連接（中國(guó)電信）。此過程根據(jù)情況而有所不同。有關(guān)如何訂購(gòu)連接的詳細(xì)信息，請(qǐng)聯(lián)系你的連接服務(wù)提供商。

通過 PowerShell 驗(yàn)證 ExpressRoute 線路預(yù)配狀態(tài)，以確保線路預(yù)配成功。詳見 Powershell 腳本“ER-Webinar-”。

配置路由域。連接服務(wù)提供商管理第 3 層，他們將為你的線路配置路由。

啟用 Azure 專用對(duì)等互連 - 只有啟用此對(duì)等互連才能連接到部署在虛擬網(wǎng)絡(luò)中的 VM/ 云服務(wù)。

啟用 Azure 公共對(duì)等互連 - 如果你想要連接到托管在公共 IP 地址上的 Azure 服務(wù)，則必須啟用 Azure 公共對(duì)等互連。如果你已選擇為 Azure 專用對(duì)等互連啟用默認(rèn)路由并想要訪問 Azure 資源，則必須執(zhí)行上述操作。

將虛擬網(wǎng)絡(luò)鏈接到 ExpressRoute 線路 - 可以將虛擬網(wǎng)絡(luò)鏈接到 ExpressRoute 線路。請(qǐng)按照說明將 VNet 鏈接到你的線路。這些 VNet 可以位于 ExpressRoute 線路所在的同一 Azure 訂閱中，也可以位于不同的訂閱中。

詳細(xì)的配置請(qǐng)參見 ExpressRoute 的 Powershell 腳本“ER-Webinar-”

詳細(xì)的配置方法詳見官網(wǎng)：https://www.azure.cn/documentation/articles/expressroute-howto-coexist-classic/

　　ExpressRoute 測(cè)試結(jié)果

　　網(wǎng)絡(luò)延遲測(cè)試

圖 5.1 是從本機(jī)（研究院內(nèi)網(wǎng)的一臺(tái) PC）ping 到研究院內(nèi)網(wǎng)的 wiki 服務(wù)器，看圖延時(shí)基本在 10ms 以內(nèi)，有一定的抖動(dòng)。

圖 5.1 研究院內(nèi)網(wǎng)測(cè)試

圖 5.2 是從本機(jī)（研究院內(nèi)網(wǎng)的一臺(tái) PC）ping 到宜山機(jī)房的一臺(tái)服務(wù)器，研究院內(nèi)網(wǎng)和宜山路機(jī)房通過一條 100M 的專線相連接，看圖延時(shí)基本在 10-30ms 左右，抖動(dòng)較大。

圖 5.2 研究院內(nèi)網(wǎng)和宜山數(shù)據(jù)中心測(cè)試

圖 5.3 是從本機(jī)（研究院內(nèi)網(wǎng)的一臺(tái) PC）ping 到寶山機(jī)房的一臺(tái)服務(wù)器的外網(wǎng)地址，研究院內(nèi)網(wǎng)和寶山機(jī)房只能通過外網(wǎng)（WAN）訪問，看圖延時(shí)基本在 10-30ms 左右，抖動(dòng)較大。圖 5.4 是從本機(jī)（研究院內(nèi)網(wǎng)的一臺(tái) PC）ping 到百度服務(wù)器，延時(shí)基本在 30ms 左右。

圖 5.3 研究院網(wǎng)絡(luò)到寶山服務(wù)器

圖 5.4 研究院電腦到百度服務(wù)器

最后是從我們 Azure 共有云的一臺(tái)電腦到微軟私有云環(huán)境的網(wǎng)關(guān)地址，兩者通過 Azure 的 ExpressRoute 相連，可以發(fā)現(xiàn)每個(gè)包的反饋時(shí)間非常穩(wěn)定在 4ms 左右，通過對(duì)比，通過 Azure ExpressRoute 的混合云方案基本和純內(nèi)網(wǎng)環(huán)境的網(wǎng)絡(luò)延時(shí)相當(dāng)。

實(shí)驗(yàn)結(jié)論： 通過 Azure ExpressRoute 相連的網(wǎng)絡(luò)延時(shí)非常小，網(wǎng)絡(luò)抖動(dòng)也很小，網(wǎng)絡(luò)的 QOS 做的非常好，甚至優(yōu)于我們研究院的內(nèi)網(wǎng)環(huán)境。

　　網(wǎng)絡(luò)帶寬測(cè)試

從 Azure 共有云賬戶里的虛機(jī)里通過 ftp 傳文件到微軟測(cè)試機(jī)器中的傳輸速度如下：

從微軟測(cè)試機(jī)器里通過 ftp 傳文件到 Azure 共有云賬戶里的虛機(jī)中的傳輸速度如下：

對(duì)比 S2S VPN 傳輸速度：

測(cè)試結(jié)論：ER 的物理線路的帶寬為 10M，測(cè)試下來 FTP 傳輸數(shù)據(jù)的速度基本在 1.2M/s 這個(gè)級(jí)別，帶寬穩(wěn)定有保障，而 S2S VPN 更多的需要看當(dāng)前網(wǎng)絡(luò)環(huán)境的情況，在測(cè)試過程中還出現(xiàn)了多次 FTP 傳輸斷掉。

通過實(shí)驗(yàn)我們發(fā)現(xiàn) ER 線路的帶寬決定于物理線路的帶寬，由于是專線，網(wǎng)絡(luò)帶寬穩(wěn)定，延時(shí)也非常小。而 S2S VPN 的方案更多的取決于當(dāng)前網(wǎng)路狀況，由于路由到公網(wǎng)，導(dǎo)致網(wǎng)絡(luò)帶寬、延時(shí)沒有辦法保證。

結(jié)合兩種聯(lián)通方案的特點(diǎn)，將站點(diǎn)到站點(diǎn) VPN 做為 ExpressRoute 的故障轉(zhuǎn)移路徑是一個(gè)非常好的配置方案。

　　小結(jié)與建議

很快，Azure Stack 就要發(fā)布，相信屆時(shí)會(huì)有很多的 Azure Stack 的使用者需要一個(gè)可靠的聯(lián)通方案來支撐他們的混合云業(yè)務(wù)。從上文中的對(duì)比測(cè)試中可以發(fā)現(xiàn)，ExpressRoute 作為一種保證網(wǎng)絡(luò)帶寬和運(yùn)行時(shí)間的可靠聯(lián)通方式，能很好的保證您本地?cái)?shù)據(jù)中心和 Azure 公有云的訪問和數(shù)據(jù)傳輸。同時(shí)，Azure 和 Azure Stack 提供和各種各樣的 VPN 接入方式，如上文中提到的 site2site VPN 可以實(shí)現(xiàn)數(shù)據(jù)中心和 Azure 云平臺(tái)的網(wǎng)絡(luò)連接，point2site VPN 可以解決移動(dòng)辦公人員的網(wǎng)絡(luò)接入問題，vnet2vnet 可以實(shí)現(xiàn)混合云數(shù)據(jù)中心內(nèi)的虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)聯(lián)通。

通過 ER 這種可靠的網(wǎng)絡(luò)聯(lián)通方式和多種多樣的 VPN 接入方式，來構(gòu)建一個(gè)靈活可靠的混合云環(huán)境，快速靈活高效的實(shí)現(xiàn)我們的業(yè)務(wù)場(chǎng)景。

如果你對(duì) Azure Stack 深入淺出系列文章感興趣，請(qǐng)及時(shí)關(guān)注我們的相關(guān)后續(xù)文章。在下篇文章中，Azure Stack 產(chǎn)品經(jīng)理將跟你分享 Azure Stack 在私有云領(lǐng)域?qū)⑷绾误w現(xiàn)競(jìng)爭(zhēng)力，適合什么樣的業(yè)務(wù)場(chǎng)景，尤其將會(huì)在功能和業(yè)務(wù)方向上與國(guó)內(nèi)火熱的 OpenStack 系做一個(gè)深入的比較，敬請(qǐng)期待。

作者：韓煒 (hanw@rc.inesa.com)

如果對(duì)文章內(nèi)容感興趣請(qǐng)聯(lián)系儀電（集團(tuán)）有限公司中央研究 Azure Stack 技術(shù)支持團(tuán)隊(duì)：hanw@rc.inesa.com/gaoc@rc.inesa.com/niuhx@rc.inesa.com

　　細(xì)說云計(jì)算

「細(xì)說云計(jì)算」是InfoQ旗下關(guān)注云計(jì)算技術(shù)的垂直社群，投稿請(qǐng)發(fā)郵件到editors@cn.infoq.com，注明“細(xì)說云計(jì)算投稿”即可。