《猫猫钓游记》可爱+收集+钓鱼游戏试玩
2026-06-30
2026-07-02 0
服务端从单体 → 多线程 → 微服务,客户端从 PC 浏览器 → 几十屏 App,中间这条「客户端到服务的连接」越来越复杂。应用交付网络要解决两件事:

这条链路对应到云上,就是一组「网络袋里」产品的组合。本文聚焦互联网场景——服务端在阿里云或 IDC、通过阿里云接入公网、让全球用户能流畅访问。
后端是 ECS、IDC 服务器,还是 K8s Pod,决定了你该挂谁。先记住一张总表:
| 后端类型 | 4 层入口(TCP/UDP) | 7 层入口(HTTP/HTTPS/gRPC) | 复杂 7 层(自研/定制) |
|---|---|---|---|
| ECS | NLB 挂 ECS | ALB 挂 ECS | NLB 自建 7 层袋里 |
| IDC 服务器(通过阿里云出公网) | NLB 直挂 IDC | ALB 直挂 IDC | NLB 7 层袋里(云上或 IDC 侧) |
| 容器 Pod (ACK) | NLB 做 LoadBalancer Service | ALB Ingress 直接对外 | NLB Nginx/MSE Ingress |
下面分场景展开三个关键设计点。
典型组合
简单 Web 服务 → ALB 挂 ECS,走 7 层 URL 路由,省心 高并发 / IoT / 游戏类 4 层入口 → NLB 挂 ECS,直接吃 EIP 7 层有强定制需求(自研 OpenResty、APISIX 等)→ NLB 自建 7 层袋里位置怎么放
Region:尽量和 ECS 同地域;如果业务需要贴近某海外客户端做加速、或跨地域容灾,再考虑跨地域 可用区:多可用区双活(ALB/NLB 默认主主),并尽量和 ECS 同可用区,能拿到最短转发时延 访问入口:用 SLB 自带的域名,不要用单 VIP 写死——可用区故障时 DNS 会自动摘除故障 VIP,自带容灾和后端怎么连
优先同 VPC;跨 VPC / 跨地域时用转发路由器 TR 打通私网路由 别忘了安全组 NACL DDoS/WAF 这三件套兜在公网入口前IDC 服务器通过阿里云出公网,整体形态和 ECS 类似,但有几个隐藏细节:
| 场景 | 选择 | 注意点 |
|---|---|---|
| 4 层 TCP/UDP 直通 | NLB 直挂 IDC 服务器 | 源 IP 不能透传,需要走 Proxy Protocol 或 TOA 携带 |
| 7 层 URL 路由 | ALB 直挂 IDC 服务器 | 源 IP 通过 HTTP XFF 头携带 |
| 复杂 7 层 | NLB 自建 7 层袋里(云上或 IDC 侧均可) | 袋里位置决定了源 IP 传递方式 |
ACK 集群对外暴露服务有四套主流玩法:
| 方案 | 谁来纳管 | 适合什么 |
|---|---|---|
| NLB LoadBalancer Service | ACK 的 CCM 自动管 NLB | 4 层入口,IoT / 游戏 / 长连接最常用 |
| ALB Ingress(推荐 7 层默认值) | ALB-Ingress-Controller AlbConfig CRD | 全托管、自动弹性、免运维,云原生 7 层首选 |
| NLB 自建 Nginx Ingress | Nginx-Ingress-Controller 创建 LB Service | 定制化强、技术栈深的团队,社区扩展生态大 |
| NLB MSE Ingress | MSE-Ingress-Controller 创建 LB Service | 想要复杂 Ingress 功能(限流、灰度、安全等)又不愿自运维 |
几个常被踩的坑
ALB Ingress 不需要再单独建 LoadBalancer Service,它自带南北入口 NLB / ALB 都有配额上限,量大集群上线前查一下「产品性能及使用限制」 在 K8s 里用 Annotation / AlbConfig 定义,把声明式留在集群内,比手工配 SLB 更易回滚负载均衡只解决「请求进入阿里云之后」的转发。进来之前的公网质量——丢包、抖动、跨境时延——是另一段战场。
全球加速 GA 的工作方式: 在离客户端近的「上车点」部署反向袋里 → 把客户端流量吸入阿里云骨干网(专线互联:丢包少、抖动小、时延低)→ 回到源站,同时对 TCP/HTTP 协议自动调优。
接入推荐 CNAME 方式:把业务域名 CNAME 到 GA 的加速域名,自带地域智能解析 加速 IP 不可达时自动摘除。
跨境业务(一端在中国内地、一端在海外)有两种通道:
精品带宽:默认通道,BGP 精品线路 联通跨境专线:效果更好,但需要申请跨境业务合规认证,且源站域名要在中国内地有 ICP 备案容灾设计:同业务多地域源站时,用「多地域终端节点组 优先级 流量百分比 健康检查」组合,实现主备 / 负载分担 / 就近覆盖 / 跨地域平滑迁移。
别漏的安全三件套:访问控制 ACL、DDoS 基础防护(默认开)、WAF(GA 与源站之间串入)。
| 维度 | CLB(传统型) | ALB(应用型 7 层) | NLB(网络型 4 层) |
|---|---|---|---|
| 代际 | 第一代,功能停演进 | 第二代,7 层应用交付 | 第二代,4 层应用交付 |
| 协议 | TCP/UDP/HTTP/HTTPS | HTTP/HTTPS/QUIC | TCP/UDP/TCP SSL |
| 架构 | 物理机 | NFV 弹性伸缩 | NFV 弹性伸缩 |
| 单实例性能 | 100 万并发 / 5 万 QPS / 5 G 带宽 | 100 万 QPS / 100 G | 1 亿并发 / 100 G |
| 可挂载 | ECS/ENI/ECI | ECS/ENI/ECI/私网 IP/FC | ECS/ENI/ECI/私网 IP |
| SLA | 99.95% 主备 | 99.995% 主主 | 99.995% 主主 |
| 典型场景 | 同地高可靠、同城双活 | 互联网 7 层、音视频、云原生灰度蓝绿 | 高并发 4 层入口、IoT、IDC 出入口 |
一句话原则:新业务别再选 CLB,4 层走 NLB、7 层走 ALB。
| 维度 | Nginx Ingress | ALB Ingress |
|---|---|---|
| 定位 | 自有组件、自行运维、可深度定制 | 全托管、自动弹性、免运维 |
| 性能 | 依赖手动调参,需配副本与资源限制 | 单实例 100 万 QPS / 千万级连接,默认 SSL 硬件加速 |
| 配置变更 | 证书变更需 Reload,对长连接有损 | OpenAPI 动态下发,热配置无损长连接 |
| 协议 | HTTP/HTTPS | HTTP/HTTPS/QUIC/WebSocket/WSS/gRPC |
| 灰度发布 | 金丝雀、蓝绿 | 金丝雀、蓝绿 路由优先级、双向规则 |
| 成本 | 自占 Pod 资源 额外 LB | 兼做 LoadBalancer,省一个 LB 省 Pod |
怎么选:技术栈深、要插件生态、要定制 Lua 逻辑 → Nginx;要稳定 / 大流量 / 少运维 / 走云原生默认 → ALB Ingress。
把这六步内化成肌肉记忆,下次设计应用交付链路就不会漏掉关键决策点。
本文基于阿里云官方帮助文档改写整理,原文(含完整产品参数与配额说明):
应用交付网络方案设计选型指南|阿里云云网络规划设计