Private Service Connect 架构和性能
本页面介绍了 Private Service Connect 的工作原理。
Private Service Connect 使用 Cloud de Confiance by S3NS 中名为 Andromeda (PDF) 的软件定义网络 (SDN) 来实现。Andromeda 是Cloud de Confiance 网络模块中的分布式控制平面和数据平面,可为虚拟私有云 (VPC) 网络提供网络连接。Andromeda 网络架构会处理负责托管虚拟机的物理服务器上的数据包。因此,数据平面是完全分布式的,不存在涉及中间代理或设备的集中性瓶颈。
由于 Private Service Connect 的流量完全是在物理主机上处理的,因此与面向代理的模型相比,它具有显著的性能优势:
- Private Service Connect 不会施加额外的带宽限制。实际上,Private Service Connect 的带宽限制是由来源虚拟机和目标虚拟机接口的总带宽决定的。
- Private Service Connect 对流量的延迟影响可减至最低。流量路径与单个 VPC 网络内虚拟机之间的流量的路径相同。只有在对流量进行网络地址转换时需要执行额外的流量处理步骤,而该步骤完全是在目标主机上完成的。
下图展示了使用方 VPC 网络和提供方 VPC 网络之间的 Private Service Connect 流量的典型流量路径。
从逻辑角度来看,是存在使用方 Private Service Connect 端点和提供方负载均衡器。不过,从物理角度来看,流量是直接从托管客户端虚拟机的物理服务器流向托管提供方负载均衡器虚拟机的物理服务器。
Andromeda 会对 Private Service Connect 流量应用相应功能,如下图所示:
- 对来源主机 (
Host 1) 应用客户端负载均衡,以确定要将流量发送到哪个目标主机。此决策是基于位置、负载和运行状况。 - 来自
VPC1的内部数据包会封装在目标网络为VPC2的 Andromeda 标头中。 - 目标主机 (
Host 2) 会对数据包应用 SNAT 和 DNAT,使用 NAT 子网作为数据包的来源 IP 地址范围,使用提供方负载均衡器 IP 地址作为目标 IP 地址。
但有一些例外情况,流量会由中间路由主机来处理,例如区域间流量或是极小或间歇性的流量。不过,Andromeda 会尽可能动态地分流流量,以实现直接的主机间网络连接,从而最大限度地优化延迟和吞吐量性能。