随着越来越多的企业用户上云，且客户业务场景多种多样的情况下，云计算面临的挑战也越来越多。如企业多 IDC、异地办公区、远程运维人员接入到企业内网需要一致的体验等场景下，还要提供高可靠、安全和易维护的网络能力。我们可以通过组合百度智能云网络模块提供的虚拟网络 VPC、云智能网、负载均衡等丰富的云网络产品，利用安全组、子网 ACL 提供的全面网络安全能力，来帮助企业去构建这样一个支持多业务部署、全网互联、安全可靠的云上网络。

我们既能够满足客户超大规模业务量运行需求，支持多 Region；也可面向云化初期客户提供小型化云平台，降低上云门槛，支持规模按需，同时与公有云同根同源。

作为云中最为神秘且复杂的网络模块，我们是如何提供这样强有力的支持的呢？下面让我们来揭秘。

百度智能云的专有云 ABC Stack 的虚拟网络架构，依托百度智能云强大的研发能力，90%以上的网络组件均为自研组件，可为云上服务提供更强、更全的业务保障，是虚拟网络的理想选择。今天，就来揭秘百度智能云专有云虚拟网络。

五大网元，构建专有云虚拟网络基石

百度智能云专有云虚拟网络拥有虚拟交换机、虚拟路由器、公网网关、负载均衡器、下一代网关五大网元，且基于 DPDK 进行定制开发，自适应 CPU 单 NUMA、多 NUMA 架构，极限逼近物理网卡带宽。同时，基于集群式部署架构，更利于横向扩展。

? 虚拟交换机 BVS（Baidu VSwitch）

百度智能云虚拟交换机，作为宿主机节点的关键网元，对云服务器（BCC）及二代弹性裸金属服务器（BBC）流量进行虚拟化，有地址转换、限速、路由、安全组、ACL 等功能。

? 虚拟路由器 BVR（Baidu Virtual Router）

百度智能云虚拟路由器是虚机的集中式网关，提供路由、访问控制、限速、地址空间转换、网络地址转换等功能。其中，网络地址转换功能包含：

• 从 VPC 内部到物理网络的 SNAT 功能
• 从物理网络到 VPC 内部的 DNAT 功能
• 从物理网络到 VPC 内部的 FULLNAT 功能

? 公网网关 BCNAT（Baidu Cloud NAT）

专有云 IDC 的公网网关通过控制台进行管理，为弹性公网 IP 功能底层实现，专有云 IDC 的公网网关。

租户所有进出公网流量均需要经过 BCNAT，提供访问控制（黑名单）、统计计费限速、3层地址转换、只出不进、VXLAN 等功能。常规走 BGP 出口，也可以根据用户需求实现运营商静态单线出口。

? 负载均衡网关 BGW（Baidu Gateway）

百度智能云负载均衡器作为 BLB（负载均衡）、服务网卡等产品的底层实现设备，提供负载均衡、4层地址转换、单机限速等功能。当前专有云有两个 BGW 集群：

>> 产品 BGW 集群，租户创建的常规 BLB 使用该集群，VPC 通过该集群向外（VPC 内、外网、专有云物理网络）提供4层负载均衡服务。

>> 内部服务 BGW 集群，主要提供两种功能：

• 为专有云物理网络提供区内的负载均衡服务；
• 部署于专有云物理网络的业务使用该集群向VPC提供公有云的公共服务。

? 下一代网关 NGW（Next Gateway）

百度智能云专有云内宿主机访问公网的网关，提供物理服务器出访公网的 SNAT、ACL 等功能。

七种“武器”，选择更多、体验更优

上云进程中，为用户创造安全可靠的上云体验是终极目标。百度智能云夯实产品能力，提供服务网卡、内网 DNS、流日志等在内的七种秘密“武器”，提升上云流畅度，给予客户更多选择。

?东西向流量优化

传统的云上流量，在同 VPC 内跨子网时，会先经过子网的网关，在路由器（BVR）内部进行子网网关跳转。

而专有云则不同，它基于控制面数据监听，将同 VPC 下的所有网络资源分布式配置到资源所在节点，实现单节点掌控 VPC 所有资源信息。虚机间跨子网、跨宿主机的流量路径在宿主机间直接互通，而跳过路由器，大 VPC 东西向流量访问不再受 BVR 网元带宽限制。

? 服务网卡

百度智能云专有云服务网卡是一个高可用、高扩展性的 VPC 访问外部服务的代理，可以将 BOS、ORACLE 等 VPC 外部公共服务映射到 VPC 内部，也可以挂载服务发布点生成的服务域名，用户可以在 VPC 内或者混合云对端通过内网便捷、安全地访问这些服务。

此外，对于 VPC 内的服务，用户可以将其作为服务发布点发布出去，对其他用户进行授权，其他用户 VPC 内可以创建服务网卡访问此服务。

? 内网 DNS

内网 DNS 服务基于百度专有云私有网络环境，支持私有域名解析和管理服务。可以在自定义的一个或多个私有网络中快速构建 DNS 系统，实现私有域名映射到资源 IP 地址。

通过内网 DNS 服务，用户可以方便地使用私有域名记录来管理 VPC 中的云服务器、负载均衡等百度智能云资源，而这些私有域名在 VPC 之外将无法访问。

? 流日志

百度智能云专有云流日志用于记录 VPC 中云服务器实例发送和接收的网络流信息，可以为用户提供流量分析、可视化、故障诊断/定位以及网络架构调优的能力。流日志的核心字段为五元组、统计信息、时间戳，以及流量操作（是否被访问控制允许）等。

? 对等连接

对等连接提供了 VPC 级别的网络互联服务，帮助用户实现在不同虚拟网络之间的流量互通。同用户/不同用户之间都可以实现同区域或跨区域虚拟网络互联。

对于跨地域的对等连接，源 VPC 流量需要两次经过虚拟路由器（BVR）（源目 VPC 各一次）。而对于同地域的对等连接，百度专有云基于两端 VPC 控制面数据对流量路径进行了优化，源目 VPC 通信由两次经过 BVR 改为源目 VPC 直接通信，流量不再受 BVR 带宽限制。

? IDC 专线

物理专线是一款高性能、高安全性、物理隔离的网络传输服务，为用户提供与百度智能云专有云快速、可靠的连接方式。专线有效地避免了用户核心数据走公网线路带来的抖动、延时、丢包等网络质量问题，极大提升了用户业务的性能与安全性。

通过专线服务（ET），用户可以将本地数据中心扩展到百度专有云，在用户数据中心（IDC）与百度专有云之间，建立一条高速、稳定、安全的外网连接通道。

百度智能云专有云专线服务分为物理专线（EVR）和专线网关（BVR 实现）两个组成部分。用户可在物理专线上划分多个专线通道作为虚拟链路资源。专线网关由用户在其 VPC 中创建并维护，用户将专线通道绑定在指定专线网关上，并配置两端路由最终实现流量互通。

? 云智能网

CSN（Cloud Smart Network）实现了不同地域 VPC 之间、VPC 与本地数据中心之间的高性能、低延迟的网络互通，具有全网多点互联、路由自动学习与发布、链路选优等能力，帮助用户打造一张具有企业级规模和通信能力的全球专有云上网络。云智能网与其他链路类型相比，有链路全网互通、路由自主学习、低延时高速率及低成本的优势。

激增的数据洪流，不断出现的业务需求，都对专有云虚拟网络提出了更多新要求，百度智能云将继续提升产品性能， 简化网络功能模块，以完善的虚拟网络架构满足用对响应速度、扩展性等多方面的要求，创造极速安全的上云新体验！