3月14日，騰訊云宣布推出私有網(wǎng)絡VPC三大獨家功能：彈性網(wǎng)卡、廣播&組播、專線NAT網(wǎng)關(guān)。InfoQ對騰訊云進行采訪，幫助大家進一步了解三大私有網(wǎng)絡獨家功能的研發(fā)背景、研發(fā)過程等相關(guān)內(nèi)容。

背景：三項功能均為騰訊云自主研發(fā)，取得多項技術(shù)突破：彈性網(wǎng)卡作為云主機網(wǎng)絡能力的一項重大突破，真正助力金融政企客戶實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)、傳輸網(wǎng)的三網(wǎng)隔離;廣播&組播極大提升私有網(wǎng)絡中的多點投遞效率。而專線NAT網(wǎng)關(guān)解決了服務專線互聯(lián)中的IP沖突、內(nèi)網(wǎng)IP屏蔽等痛點問題。3項獨家功能在安全和靈活性上開創(chuàng)了全新的行業(yè)標準，標志騰訊云成為國內(nèi)私有網(wǎng)絡技術(shù)最為領(lǐng)先的云服務商。

InfoQ訪談如下：

InfoQ：可以談談三大私有網(wǎng)絡獨家功能的研發(fā)背景，基于什么樣的因素來研發(fā)的，研發(fā)過程是什么樣的?

彈性網(wǎng)卡：研發(fā)背景主要目標群體是金融云客戶，金融云對網(wǎng)絡隔離性要求較高，不同網(wǎng)絡的流量類型不同，希望分布在不同網(wǎng)絡并配置不同的安全策略，實現(xiàn)多網(wǎng)隔離，這是我們做彈性網(wǎng)卡的初衷。當然彈性網(wǎng)卡帶來的網(wǎng)絡遷移能力也可以幫助客戶搭建基于Keepalived的高可用組件，或者在騰訊云服務器上部署自己的Docker服務。彈性網(wǎng)卡的研發(fā)過程對平臺整體的管理流程帶來比較大的挑戰(zhàn)，很多內(nèi)部的管理對象、流程設(shè)計都有較大挑戰(zhàn)。為了完整的實現(xiàn)功能，我們將需求分解為多個迭代：a)后臺功能API支持 b)單網(wǎng)卡多IP c)綁定&解綁彈性網(wǎng)卡。后面還會對網(wǎng)卡的創(chuàng)建綁定流程進行自動化優(yōu)化。

廣播&組播：廣播和組播是傳統(tǒng)網(wǎng)絡中比較成熟的技術(shù)，在心跳保持、消息訂閱等應用領(lǐng)域相對單播有其特有的優(yōu)勢。多個金融和游戲行業(yè)用戶向我們表達了在網(wǎng)絡基礎(chǔ)設(shè)施層面支持組播和廣播的需求，便于應用無縫的上云。在公有云行業(yè)，這兩項特性之前沒有成熟的技術(shù)方案，挑戰(zhàn)也是巨大的。我們通過深入思考，將組播和廣播的使用靈活性與VPC的網(wǎng)絡隔離性結(jié)合起來，形成了高安全性和可靠性的VPC內(nèi)組播和廣播產(chǎn)品。在這個產(chǎn)品的研發(fā)過程中，我們探索了VPC產(chǎn)品架構(gòu)中不少全新的領(lǐng)域，比如高效的報文多路復制網(wǎng)關(guān)、與動態(tài)網(wǎng)絡協(xié)議聯(lián)動的路由自動學習與更新等。

專線NAT網(wǎng)關(guān)：是隨著騰訊云發(fā)展金融行業(yè)云的關(guān)鍵需求之一。金融云客戶對專線互聯(lián)鏈路可用性要求高，同時對接第三方個數(shù)多，經(jīng)常會出現(xiàn)IP地址沖突等問題，專線NAT網(wǎng)關(guān)就是對各種IP地址沖突場景進行抽象總結(jié)后研發(fā)出的產(chǎn)品。這個產(chǎn)品研發(fā)過程很長，由于網(wǎng)絡地址轉(zhuǎn)換場景較多，按照傳統(tǒng)物理路由器標準的SNAT、DNAT方式配置管理起來十分復雜。我們采用了更加直觀的本端IP、對端IP一一映射來解決地址轉(zhuǎn)換管理的問題。底層集群上面我們采用了NFV集群化設(shè)計思路，各個租戶的專線NAT網(wǎng)關(guān)邏輯隔離，不會因為網(wǎng)絡配置錯誤而相互影響，減少了傳統(tǒng)路由器中配置地址轉(zhuǎn)換策略的網(wǎng)絡變更風險。

InfoQ：騰訊云在租戶間安全模型設(shè)置上，采用“完全”強制隔離還是可“配置”隔離?

騰訊云的內(nèi)網(wǎng)環(huán)境分為基礎(chǔ)網(wǎng)絡和私有網(wǎng)絡兩種，無論是基礎(chǔ)網(wǎng)絡還是私有網(wǎng)絡，多租戶之間都采用了完全隔離的網(wǎng)絡安全策略，無論用戶如何配置安全組都會保證網(wǎng)絡間的安全隔離。但在私有網(wǎng)絡環(huán)境，用戶可以使用對等連接和其他租戶的私有網(wǎng)絡VPC建立PEER，通過合理的配置路由表、安全組和網(wǎng)絡ACL功能可以兼顧跨賬戶內(nèi)網(wǎng)互聯(lián)及網(wǎng)絡安全。但是跨賬戶的對等互聯(lián)申請需要在對端賬號同意并配置路由策略后方可生效。

InfoQ：彈性網(wǎng)卡支持綁定8個網(wǎng)卡、30個內(nèi)網(wǎng)IP，實現(xiàn)三網(wǎng)隔離，是不是就完全能保證各個租戶的安全性了?

從技術(shù)角度來講，公有云的云主機都是在母機上進行的虛擬化，虛擬網(wǎng)卡也是在母機中虛擬化出來的。如果用戶突破了KVM虛擬化的安全屏障，還是有可能入侵至綁定有彈性網(wǎng)卡的云服務器的。但是相比普通不支持彈性網(wǎng)卡的云主機來說，每個網(wǎng)卡獨立的路由策略及ACL策略支持，讓綁定多網(wǎng)卡的云主機安全性有了很大提高。

InfoQ：三大私有網(wǎng)絡獨家功能可以抵擋什么樣的黑客攻擊?抵擋多大的攻擊量?

騰訊云大部分的防黑客功能都是在外網(wǎng)層面就進行掃描和狙擊的，很少有黑客可以直接滲透至騰訊云內(nèi)網(wǎng)展開黑客行為。在DDos攻擊能力防護上，騰訊云大禹分布式DDos服務可以承接1Tbps以上的流量攻擊。