私有网络 VPC
产品概述
私有网络VPC是云上隔离的私有网络空间,商汤VPC提供标准的VPC网络,同时面向AI场景,支持高速RDMA网络。以VPC私有、高性能的网络为基础,结合AI算力,可快速构建云上私有的超算中心。
应用场景
- 云上私有的网络空间构建,VPC可以提供与其它租户/VPC完全隔离的网络环境,有独立的IP地址规划;
- 轻松构建基于RDMA技术的大带宽、高IO网络,支撑大模型训练等场景。
产品优势
- 云上隔离的私有网络空间,不同VPC相互隔离,租户间无相互干扰;
- 高性能训练专属网络,轻松支持多机多卡,分布式训练网络需求;
- 独立的存储网络,通过链路直通技术,支撑高IO、低时延数据读写请求。
计费说明
私有网络(VPC)当前不收取费用。
操作指南
租户开通账号后,会自动创建第一个初始私有网络VPC提供初始的网络环境,弹性裸金属服务器(BMS)、高性能AI算力池(ACP)、云容器实例(CCI)等云实例创建时,会指定使用的私有网络VPC。
私有网络VPC列表页面可查看VPC概况;私有网络VPC详情页面可查看和编辑VPC基本信息。
VPC子网
在VPC列表页点击资源显示名称可进入如图的VPC的详情页,可以看到VPC下具有多个子网,说明如下:
- /20 不带数据/训练标识的子网为容器子网,供容器资源(ACP、CCI)和ECS使用。
- /27、/27(数据)分别为裸金属的业务子网和数据子网,当您使用数据网BMS时,其从数据子网内获取IP地址,仅数据网BMS支持通过专线接入、IPSec VPN等方式和其他网络路由互通。
- 其他子网为训练RDMA子网
VPC内资源与公网互通
私有网络VPC内的实例,分配的均为VPC内的私网地址,若需访问公网,需为VPC绑定EIP。
- 未绑定EIP
EIP列为未绑定时,说明当前VPC的Internet网关没有配置弹性公网IP EIP。此时不允许Internet主动访问VPC内的实例,私有网络VPC内的实例可以访问Internet,但无带宽保证,主要用于承载少量的DNS解析等管理服务。
- VPC内资源主动出公网
当前VPC仅支持有一个EIP可以供VPC内资源主动访问公网,称之为主EIP,可在VPC详情页查看当前VPC的主EIP或切换主EIP,切换后原本的主动出VPC的公网连接需使用新的主EIP重新建联。
- VPC内资源被公网访问
当对Internet发布服务时,需通过配置 弹性公网IP DNAT 实现。详见弹性公网IP帮助文档。
VPC网关
VPC网关是负责VPC和外网通信的网关,提供NAT能力。当VPC内资源访问公网(除业务网裸金属)或者某些公共服务时,需经由VPC网关通信。
VPC网关性能规格如下,请您务必注意,如果对网关有更高性能要求请联系您的客户经理,避免由于网络性能不足导致的业务阻塞。
| 性能项 | 规格 | 采集方法 |
|---|---|---|
| 新建连接数 | 1w/s | 采集时间段内VPC内资源(除业务网裸金属)访问公网和公共服务时网关上新增加的连接数/时间 |
| 并发连接数 | 5w | 某一时刻VPC内资源(除业务网裸金属)访问公网和公共服务时网关上所有的连接数量 |
| 带宽 | 10Gbps/单方向 | 采集时间内VPC内资源(除业务网裸金属)访问公网和公共服务时传输的数据量/时间 |
| 包速率 | 10wpps/单方向 | 采集时间内VPC内资源(除业务网裸金属)访问公网和公共服务时传输的包数/时间 |
自定义路由
当需要在云上安装IPSec VPN等服务时,可以使用自定义路由功能定义VPC路由,为访问目的网段的流量指定下一跳IP地址。
进入VPC管理页面后,选择对应的VPC,可在“自定义路由”模块中对路由条目进行添加、更新、删除等操作。添加自定义路由时,支持一次性添加最多5条规则,规则配置说明如下:
当前自定义路由仅对容器、云服务器资源生效,裸金属不受自定义路由影响。
| 配置 | 说明 |
|---|---|
| 显示名称 | 自定义路由的显示名称,可按需设置和修改,作为对该路由的注解说明 (格式要求:由中文字符、英文字母、数字、下划线“_"和连字符"-"组成, 且中文字符、英文字母或数字开头, 0-256个字符)。 |
| 目的网段 | 需填写合法的IPv4网段,例如 192.168.0.0/16。 |
| 下一跳IP地址 | 仅支持当前VPC的容器子网内的IP地址。若此IP地址被ECS拥有,则路由创建成功后会自动展示关联的ECS信息。 |
路由优先级
- 自定义路由的优先级低于系统默认路由
- 若存在多个匹配的路由条目,掩码数字大者路由优先级更高
MTU
当前VPC的默认MTU是1400,如果您使用不允许分片的协议,可能会由于MTU导致丢包,可在client端调低MTU,避免丢包或者调整内核参数配置:“sudo sysctl -w net.ipv4.tcp_mtu_probing=2” 。
裸金属使用RoCE训练网
SenseCore RoCE按照“轨”进行组网,同一训练网内同序号的GPU卡会在同一轨内,且需使用对应的RoCE子网,整个映射链条为: GPU <==> mlx 设备 <==> 网卡设备 <==> 网段。
查询节点各GPU网卡所需使用的RoCE子网方法如下:
- GPU <==> mlx 设备:
nvidia-smi topo -m
- mlx 设备 <==> 网卡设备:
ibdev2netdev
$ ibdev2netdev
mlx5_0 port 1 ==> eth10 (Up)
mlx5_3 port 1 ==> eth11 (Up)
mlx5_4 port 1 ==> eth12 (Up)
mlx5_5 port 1 ==> eth13 (Up)
mlx5_6 port 1 ==> eth14 (Up)
mlx5_7 port 1 ==> eth15 (Up)
mlx5_8 port 1 ==> eth16 (Up)
mlx5_9 port 1 ==> eth17 (Up)
mlx5_bond_0 port 1 ==> bond1 (Up)
- 网卡设备 <==> 网段:
ip a show [if_dev]
$ ip a show eth10
4: eth10: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc mq state UP group default qlen 1000
link/ether c4:70:bd:22:1f:32 brd ff:ff:ff:ff:ff:ff
altname enp25s0np0
inet 100.124.6.8/19 brd 100.124.31.255 scope global noprefixroute eth10
valid_lft forever preferred_lft forever
$ ip a show eth13
9: eth13: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc mq state UP group default qlen 1000
link/ether c4:70:bd:21:ac:72 brd ff:ff:ff:ff:ff:ff
altname enp93s0np0
inet 100.124.6.11/19 brd 100.124.31.255 scope global noprefixroute eth13
valid_lft forever preferred_lft forever
$ ip a show eth15
11: eth15: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc mq state UP group default qlen 1000
link/ether c4:70:bd:22:20:2a brd ff:ff:ff:ff:ff:ff
altname enp187s0np0
inet 100.124.6.13/19 brd 100.124.31.255 scope global noprefixroute eth15
valid_lft forever preferred_lft forever
$ ip a show eth17
13: eth17: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc mq state UP group default qlen 1000
link/ether c4:70:bd:21:af:42 brd ff:ff:ff:ff:ff:ff
altname enp219s0np0
inet 100.124.6.15/19 brd 100.124.31.255 scope global noprefixroute eth17
valid_lft forever preferred_lft forever
裸金属网关使用规范:例如网卡 IP
100.124.6.8/19
- 网段网关是 cidr 的第一个有效 IP,例如
100.124.6.1- 裸金属网关是 cidr 的最后一个有效 IP,例如
100.124.31.254- 系统保留 IP 范围是前 10 个和后 6 个,请勿使用,例如
100.124.6.0~100.124.6.9、100.124.31.250~100.124.31.255