混合云建设与规划（传统企业发展电商业务）

在说混合云之前我们还是和之前一样，多问几个为什么？
（一）为什么要用混合云去解决问题？
1、传统企业新增电商业务介绍（一般传统企业都有自己的数据中心，也就是我们常见的私有云）：
电商业务中，用户访问量可能会出现剧烈波动，特别是在促销活动或节假日期间，需要快速增加服务器和存储资源来应对高峰期的访问需求。而本地数据中心数据中心（私有云）资源是有限的，不具备快速增加服务器和存储资源来应对高峰期的访问需求。
我们看到大量的客户把电商平台、供应链业务放在云上运行，根据实际使用的资源量进行灵活的付费，也就是需要多少使用多少。
2、电商业务上云要解决哪些问题？
我们如何保障云上业务和本地业务互联互通？
我们如何保障云上业务和本地云业务安全隔离（暴露面增加带来的安全问题也是很严重的）？
3、如何去解决这些问题？
我们先说第一问题，互联互通如何解决？
本地业务是经典网络，云上业务是VPC网络，基本的结构如下：

这里我们还是说下本地经典网络和云上VPC网络的概念：
经典网络：所有用户共享公共网络资源池，用户之间未做逻辑隔离。用户的内网IP由系统统一分配，相同的内网IP无法分配给不同用户。
VPC网络：在云上为用户建立一块逻辑隔离的虚拟网络空间。在VPC内，用户可以自由定义网段划分、IP地址和路由策略，安全可提供网络ACL及安全组的访问控制，因此，VPC有更高的灵活性和安全性。
对比可以看到，VPC优势明显，通过VPC，用户可以自由定义网段划分、IP地址和路由策略；安全方面，VPC可提供网络ACL及安全组的访问控制，VPC灵活性和安全性更高。可适用于对安全隔离性要求较高的业务、托管多层web应用、弹性混合云部署等使用场景中，符合金融、政企等行业的强监管、数据安全要求。
回归到主题，我们要实现互联互通如何做？首先，这两个是不同的网络架构，我们能想到的办法是拉物理专线，打通大二层。这个成本太高了。所以主流的都是跨三层网络。类似我们看到的腾讯云、阿里云。但是，站在用户的角度看，还是有一个关键的问题：
业务上云需要修改私网IP地址，涉及到改应用配置、改客户端访问配置，变革本身的风险不说，且会导致长时间的业务中断。业务下云同样存在这样的问题。
那么如何去处理这个事情呢？
思路：低成本的方案是采用互联网线路+云间互联组件，快速实现本地和云上VPC网络大二层互通。
技术原因：VXLAN 通过 MAC in UDP 的方式构建大型二层网络，同时以 VNI、BD 来隔离不同的二层网络，用二层网关、三层网络来实现 VNI 内、VNI 间通信。
相关链接：https://zhuanlan.zhihu.com/p/78025180
我们接着说第二问题，云上业务和本地云业务安全隔离？
通过云间互联组件走防火墙到公网以及打通了本地经典网络和云上VPC网络的互联互通。但是此时只是隧道建立起来了。谁能跑在这个隧道里面需要通过子网来实现的。
有两种形态，一种是二层互联（即同一个子网网段），一种是三层互联（即不同子网网段，通过路由转发）。
这里以二层互联为例：
首先选择线下子网，这里的选择以线下需要互联互通业务连接的交换机或者物理出口。子网网段是10.10.40.X
接下来选择线上子网，VPC的子网网段是10.10.40.0/24
因此，对于第二个问题的解决本质是：通过子网来隔离，未配置子网关联的云主机，则无法与线上的云主机通信，从而实现线上线下业务的访问隔离。
讨论到这来，对于传统企业发展电商业务使用混合云架构从技术上已经解决了问题。既考虑了互联互通，又考虑了访问隔离。