针对直播平台的专属云架构设计与实现*

肖漫漫 刘骥琛 李艳丽 马迎

摘   要：在线教育直播平台是未来线上线下教育模式相结合的最主要的技术模式。文章针对直播平台占用带宽高、多终端并发接入困难的现象，从网络架构出发，采用了公有云与私有云结合的专属云网络接入模型，解决了校外访问直播平台高并发情况下带宽不足的问题，并从数据安全的角度采用GRE隧道技术，确保专属云架构下直播平台的数据安全传输，最终在校园网直播平台的基础上实现了基于专属云网络架构的直播平台。

关键词：直播平台;专属云;云专线;高并发

中图分类号：TP393.1 文献标志码：A 文章编号：1673-8454（2021）03-0088-04

一、引言

在新冠肺炎疫情的影响下，我国在线教育呈现爆发式增长，据统计，2020年我国在线教育用户规模达4.23亿。[1]由于全国大中小学校推迟开学，在线网络教学取代了传统教室教学模式，教学直播平台进入飞速发展阶段，由此带来的校园网直播平台的网络接入问题也呈現在高校信息化建设者的面前。

由于教学直播平台涉及数据范围广、安全要求高，传统教学直播平台多部署在校园网私有云架构上，由于直播数据高带宽传输的特点，部署在校园网内的传统教学直播平台会受校园网出口带宽的限制，因此存在无法满足全体校外学生访问的高并发要求以及校内资源不足等问题。同时，随着云计算技术的日趋成熟，包括公有云、私有云、专属云在内的云计算具有的业务灵活、成本低、安全性高、可扩展性强和容量大等优势逐渐突显。

为实现全校师生在校外流畅地访问校内直播平台以及直播平台数据安全的要求，本文在网络架构上提出了基于私有云与公有云结合、云资源物理隔离的IP-RAN（IP Radio Access Network，IP的无线接入网）专属云网络接入模型，解决了校外访问校内直播平台高并发情况下带宽不足的问题，并从数据安全的角度在校园网与专属云互联节点之间采用GRE（Generic Routing Encapsulation，通用路由封装）隧道技术，从而确保了专属云架构下直播平台的数据安全传输，最终在校园网直播平台的基础上实现了基于专属云网络架构的直播平台。

二、关键技术

1.IP-RAN专属云

专属云是一种以公有云为基础、在公有云上物理隔离出来的专属虚拟化资源池。专属云内提供专用的服务器或服务器集群，并通过虚拟私有网络等技术实现计算和网络资源的隔离，同时使用可靠先进的存储和安全技术，实现专属云的安全和高可用性。目前应用较为广泛的专属云网络接入模型主要包含IPSec（IP Security，IP安全）云专线、EPON（Ethernet Passive Optical Network，以太网无源光网络）云专线、IP-RAN云专线，本文主要采用的是基于IP-RAN技术的专属云网络接入模型（即IP-RAN云专线）。[2]

IP-RAN即无线接入网IP化，[3]是一种应用场景较多的移动IP承载技术，IP-RAN技术基于IP/MPLS（多协议标记交换）技术标准体系，并支持MPLS-TP（传送多协议标记交换）标准协议。相对于传统的电路交换传送网络，IP-RAN是基于包交换的分组传送网络，并引入了BFD（Bidirectional Forwarding Detection，双向转发检测）、FRR（Fast Reroute，快速重路由）、PWE3（Pseudo-Wire Emulation Edge to Edge，边缘到边缘的伪线仿真）、IEEE 1588v2、RSVP（Resource ReSerVation Protocol，资源预留协议）、BGP/OSPF/IS-IS等协议，实现了快速连通性检测、业务快速保护、TDM业务仿真、业务时钟同步、保留带宽路径、多路由协议支持等功能，同时兼容传统SDH、ATM、帧中继、以太网等业务。

2.GRE隧道技术

隧道技术是一种VPN（Virtual Private Network，虚拟专用网）组网常用的报文封装技术，隧道利用一种协议封装另一种协议，将其他协议产生的数据报文封装在自己的报文内进行网络传输，报文到达对端之后，再通过解封装还原出原始数据报文。隧道技术基于隧道协议来实现，GRE协议是一种三层隧道协议，其隧道由其两端的源IP地址和目的IP地址来定义，它允许用户使用IP封装IP，并支持全部的路由协议，如路由信息协议（RIP）、开放式最短路径优先（OSPF）协议、内部网关路由协议（IGRP）和增强型内部网关路由协议（EIGRP）。[4]通过GRE封装，用户可以使用保留地址进行网络互联，或者对公网隐藏私有IP地址，从而在隧道两端建立一条安全的网络传输通道。[5]

三、传统直播平台

1.传统直播平台的网络架构

传统直播平台部署在校园网内，通过校园网内网环境与学校统一身份认证平台、教务系统等信息管理系统实现对接，传统直播平台架构如图1所示。

如图1所示，教学直播平台主要由直播业务平台、流媒体服务器、录播服务器、音视频服务器、存储服务器五个部分组成。其中直播业务平台对接学校统一身份认证平台和教务系统，主要功能是用户的统一身份认证、权限分配、直播教室分配等;流媒体服务器负责音视频数据流的推流、拉流、监控管理等;录播服务器提供资源的点播、下载等功能;音视频服务器对接学校教务系统，实现音视频、文档等教学数据在直播平台和教务系统之间的转解码功能;存储服务器实现直播平台资源的存储;以上直播平台各功能服务器均部署在校园网内，经校园网出口与互联网连接。

2.传统直播平台面临的问题

基于上述传统直播平台网络架构，直播平台部署在校园私有云内，面临以下几个问题：

（1）出口带宽资源不足

师生在校外访问直播平台时均需经过校园网出口，因此在高并发用户的使用场景中，校园网出口带宽远不足以支撑直播平台。以中国人民大学为例，为保障直播视频流的清晰度，直播单用户带宽需为2Mbps，我校整体出口带宽为10Gbps，在校园网全部出口带宽均用于直播平台的情况下，也仅能支持最多5000人同时在线参与直播教学，远不能满足实际用户需求。

set ip 10.12.40.10 255.255.255.252 //配置防火墻和校园网之间互联地址

直播平台部署在专属云VPC内，一个VPC配置一个vRouter作为网关，因此在校园网数据中心防火墙一侧，配置了校园网vRouter与专属云vRouter互联，同时配置vRouter之间的GRE隧道，确保云专线虚拟链路的安全传输，详细配置如下：

edit "vRouter1" //配置校园网侧对应vRouter

set vdom "TeleCloud"

set ip 10.254.0.2 255.255.255.255 //配置GRE隧道校园网侧地址

set type tunnel

set remote-ip 10.254.0.1 255.255.255.255 //配置GRE隧道专属云侧地址

set interface "portA"

config system gre-tunnel //配置GRE隧道

edit "vRouter1" //

set interface "portA"

set remote-gw 10.1.8.21  //配置专属云vRouter作为GRE隧道专属云侧网关地址

set local-gw 192.168.248.6 //配置校园网vRouter作为GRE隧道校园网侧网关地址

2.校园网内至数据中心防火墙的路由配置

基础信息配置完成之后，为保障校内用户经校园网访问云侧直播平台，校园网侧还需配置校园网至专属云VPC的路由信息，配置示例如下：

config router static

set dst 10.40.0.0 255.255.248.0 //目的地址为专属云VPC服务器地址

set device "vRouter1" //由vRouter1转发

set dst 10.1.8.21 255.255.255.255  //目的地址为专属云vRouter

set gateway 192.168.248.5 //下一跳为专属云侧POP交换机

set device "portA" //由校园网侧防火墙A转发

数据中心防火墙配置完成之后，校园网和数据中心核心设备需添加相应路由，以满足校内用户到云侧直播平台服务器之间的互联互通。

3.防火墙安全策略

校内直播平台的专属云架构在设计时，从安全角度出发，针对校内校外访问直播平台的路径和功能不同，制定了不同的访问策略：校内用户访问直播平台时，不需访问认证，属于校园网内网访问;而校外用户访问直播平台时，经云侧互联网入口直接访问专属云即可。

因此，在数据中心防火墙制定安全策略时，放行校内至云侧全部数据报文，而云侧访问校园网时，仅放行直播平台相关服务访问流量，以及专属云直播平台至校内统一身份认证、教务系统的部分访问流量，其他专属云至校园网侧的访问流量均不予放行，具体配置如下：

config firewall policy

edit 1

set name "From Trust To Untrust" //校园网至云侧直播平台

set srcaddr "all"

set dstaddr "all"

set action accept

set schedule "always"

set service "ALL" //放行全部数据

next

edit 2

set name "From Untrust to Trust" //云侧访问校园网

set srcaddr "all"

set dstaddr "all"

set action accept

set schedule "always"

set service "电信云视频会议" "ALL_ICMP" "NFS" //仅允许访问直播平台相关服务

next

专属云访问统一身份认证等配置不再赘述。

六、总结

针对传统直播平台网络架构占用带宽高、多终端并发接入困难等缺点，本文结合当前流行的专属云技术和服务模式，设计并实现了针对校内直播平台的专属云网络架构，并从网络架构设计、网络架构实现、专属云网络安全的角度阐述了专属云架构下直播平台的实现方案，也为在网络带宽受限的条件下提高流媒体直播平台的高可用性和稳定性提供了参考思路。目前，基于专属云架构的直播平台已应用在校内20余间教室，供全校国内外3万余师生使用，因此该平台更深层次的安全保障机制仍待深入研究。

参考文献：

[1]中国互联网络信息中心（CNNIC）.第45次中国互联网络发展状况统计报告[R].2020-4-28.

[2]董铮等.公有云承载的多种网络场景下的专属云网络接入模型[C].2019电力行业信息化年会论文集，2019.

[3]杨兴东.浅谈IP RAN关键技术及其应用前景[J].电子世界，2017（11）：46.

[4]李军、劳凤丹等.GRE隧道技术在一卡通专网中的应用研究[J].华中师范大学学报（自然科学版），2017（s1）：161-164.

[5]秦磊华.VPN隧道技术研究[J].计算机工程与科学，2003，25（2）：16-19.

（编辑：王天鹏）