跳转至

跨云网格网络 (Cross-Cloud Mesh Networking)

连接全球异构数据中心不仅是连通性挑战,更是安全挑战。Cyberun Cloud 构建了一套 软件定义广域网 (SD-WAN),在公共互联网之上建立了一个加密的、运营商级的私有骨干网。

零信任边缘架构 (Zero-Trust Edge Architecture)

graph TB
    %% 定义高对比度样式
    classDef internet fill:#f5f5f5,stroke:#616161,stroke-width:2px,color:#000;
    classDef gateway fill:#e0f2f1,stroke:#00695c,stroke-width:2px,color:#000;
    classDef internal fill:#eceff1,stroke:#455a64,stroke-width:2px,stroke-dasharray: 5 5,color:#000;

    Internet((公共互联网)):::internet

    subgraph RegionA [区域 A - Tokyo]
        LB1[HAProxy 网关]:::gateway
        Node1[内部 K8s 节点]:::internal
    end

    subgraph RegionB [区域 B - New York]
        LB2[HAProxy 网关]:::gateway
        Node2[内部 K8s 节点]:::internal
    end

    %% 一般流量
    Internet -->|TCP 443| LB1
    Internet -->|TCP 443| LB2

    %% 加密隧道 (使用粗线表示)
    LB1 ===|WireGuard 隧道| LB2

    %% 内部流量 (虚线)
    LB1 -.->|明文流量| Node1
    LB2 -.->|明文流量| Node2

我们的网络设计遵循“默认拒绝 (Default Deny)”原则,采用了 “堡垒 (Fortress)” 式的安全拓扑。

1. 边缘网关矩阵

  • 全网格互联: 每个区域的边缘网关(Load Balancers)通过 WireGuard 建立持久化的 Full-Mesh 加密隧道。
  • VIP 漂移机制: 利用 Keepalived (VRRP) 协议,网关节点以主备 (Master/Backup) 模式运行。一旦主节点发生故障,虚拟 IP (VIP) 在毫秒级内自动漂移至备用节点,确保入口流量不中断。
  • 协议封装: 在加密隧道内部运行 GRE 封装,支持 BGP/OSPF 等动态路由协议及多播流量,实现企业级组网能力。

2. 暗网隔离 (Dark Network Isolation)

  • 隐蔽性: 所有业务工作节点(Worker Nodes)均部署在严格隔离的内部网络中,不持有公网 IP,且不开放任何公网入站端口。
  • 攻击面最小化: 攻击者无法直接寻址或扫描数据库与应用服务器,唯一的入口是经过严格过滤的边缘网关.

多集群服务互通 (Multi-Cluster Services, MCS)

Cyberun 实现了 Kubernetes 原生的 MCS API 标准,打破了集群间的网络边界。

  • 扁平化寻址: 借助 Cilium ClusterMesheBPF 原生路由,纽约集群的 Pod 可以直接访问纽伦堡集群的 Pod IP,无需经过 NAT 转换,性能损耗近乎为零。
  • 全球服务发现: 应用程序只需访问 service.global 域名,系统即根据 拓扑感知路由 (Topology-Aware Routing) 自动将请求导向最近的健康端点。

全球 IPAM 规划 (Global IPAM Strategy)

为了实现扁平化的 Pod-to-Pod 通信,我们实施了严格的 非重叠 CIDR 规划。这消除了跨集群通信时复杂的 NAT (网络地址转换) 规则,降低了调试难度。

区域 (Region) 集群角色 节点网段 (Node CIDR) Pod 网段 (Pod CIDR) 服务网段 (Service CIDR)
Tokyo Carrier (控制面) 10.10.0.0/20 10.100.0.0/16 10.96.0.0/16
New York Destroyer (计算) 10.20.0.0/20 10.101.0.0/16 10.97.0.0/16
Nuremberg Aegis (AI 算力) 10.30.0.0/20 10.102.0.0/16 10.98.0.0/16
  • 路由传播: 当一个新的 Pod 在 New York (10.101.x.x) 启动时,Cilium 会自动通过 BGP 将其路由宣告给 Tokyo 和 Nuremberg,实现毫秒级的网络收敛。

流量工程 (Traffic Engineering)

  • BGP 路由优化: 我们利用 BGP 协议动态监测全球链路质量。当直连链路出现拥塞或高丢包时,流量会自动绕行至更健康的中继节点。
  • L7 智能路由: 入口层的 HAProxy 与集群内的 Cilium Ingress 协同工作,能够识别 HTTP/gRPC 标头,实现金丝雀发布 (Canary) 与蓝绿部署 (Blue/Green) 的流量精确切分。