跨雲與跨地端的區塊鏈實戰部署:以 Overlay VPN 架構打造高可用共識網路
Jul 17, 2025
BSOS Medium
Enterprise Blockchain
Tech
Blockchain Application
Medium

本篇文章將介紹透過以 Nebula 為核心的 Overlay VPN 架構,克服各節點在異地機構環境造成的網路隔閡,實現安全、自動化且具擴展性的共識節點通訊。

誰適合這篇文章?如果你想了解:

  • 不同環境下的區塊鏈節點,該如何高效建立共識環境
  • 可自動化、可擴展、安全的 Overlay 網路方案

Outline

一、導入動機與部署挑戰 — — 「謀」與「痛」

二、定:使用 Overlay VPN 與靜態節點的部署架構設計

三、動:透過 Overlay VPN(Nebula)實作節點部署

四、部署成果與總結

一、導入動機與部署挑戰 — — 「謀」與「痛」

區塊鏈作為多方協作的分散式系統,機構或企業部署節點,絕非僅是「啟動一個容器」那麼簡單。各參與方往往擁有不同的 IT 網路政策、橫跨雲端與地端的基礎架構,使得整體共識網路的協調與建置,成為一項高度複雜的挑戰。當機構開始面對這個議題時,必須從策略規劃的「謀」,一路思考到實務落地的「痛」,全面盤整並提前因應。

【謀】我們需要一個金融機構等級的節點部署架構,能跨越網路限制但兼顧安全、彈性與可維運性

機構部署區塊鏈節點時,挑戰不只在於節點能否互通,更在於這些節點能否持續擴充、安全控管、易於維運。我們需要的是一套能真正支撐整體區塊鏈長期運作的網路基礎架構:

1. 建立可跨組織的共識層基礎架構

目標是讓來自不同實體的節點,在不依賴公網或專線的前提下,能組成一條穩定共識的網路,支援資料同步與交易驗證。

2. 不受限於特定雲端供應商

我們希望架構本身不依賴公有雲(Public Cloud)平台內建機制,而是使用能橫跨雲商、地端的中立解法。

3. 對應機構級的安全與維運要求

部署節點不只要能通,還要能控。機構關心的是:誰可以進來?如何授權?節點壞了怎麼補?這些都需要在架構階段被納入。

4. 支援未來自動化與擴充的可能性

部署方式要能被腳本化、標準化,未來有新成員、新節點時,不需推倒重來。這也意味著設定要清楚、流程要模組化。

【痛】我們面臨了什麼現實挑戰?
1. 雲與雲之間彼此無法打通

各節點部署在不同的網段與平台上,彼此封閉。防火牆、NAT、虛擬網路隔離等機制導致節點無法彼此連線。

2. 傳統 VPN 架構不適合網狀節點

OpenVPN、IPsec 等 VPN 模式多數為集中式或 star topology,與區塊鏈網狀共識節點的需求衝突。

3. TLS 信任機制操作複雜又難維護

每個節點都要交換 TLS 憑證與設定 CA,是非常繁瑣且不易自動化的流程,一旦配置出錯將導致整條區塊鏈無法運行。

4. 缺乏統一部署標準與流程

每個節點來自不同維運團隊,部署方式各異。沒有共用腳本或配置模板,導致設定混亂、部署效率低落,容易出錯。

5. 無法預先知道節點的可連線位址

動態 IP、無法綁定 hostname、重啟 VM 後 IP 改變等情形,讓節點之間無法靜態設定彼此的連線參數。

基於以上的問題背景,下一章,我們將分享一套務實有效的架構與技術方案 — — 以 Nebula 為核心,實作一個可擴展、可自動化的 Overlay VPN 通訊。

二、定:使用 Overlay VPN 與靜態節點的部署架構設計

在進入部署前,我們先定義一個架構決策──讓所有節點先變成「區網裡的節點」,再談共識、交易與同步。

Overlay VPN 架構的目的,便是讓分散在不同雲端或地端的節點,不需使用公網、不依賴 DNS、不牽涉到 NAT 穿透技術,直接彼此視為「內部節點」。

我們選擇的實作工具是 Nebula 一套專為跨主機、跨網段通訊設計的開源 Overlay VPN 系統,具備安全、穩定與高度可控的特性。透過這套工具,每個節點都會獲配一個虛擬 IP,所有通訊均在這個虛擬區網中進行,並透過自建 CA 憑證完成節點驗證與信任授權。

補充說明 Nebula 為何具備安全保障?

Nebula 是由 Slack 開源並由 Defined Networking 維護的 Overlay VPN 系統。

這個做法的邏輯思路如下:

  • 只要先成為區網的一員,就能自然地建立連線
  • 通訊可控、IP 可預期,部署變得單純
  • 不用設 VPN Gateway,也不需要中心伺服器
  • 未來新增節點,只要給一張 IP 清單,就能無縫接入

這套架構的本質,是在節點間抽象出一層與雲商無關、與實體地點無關的「虛擬區網」。每個節點都拿到一個乾淨、固定的虛擬 IP,然後所有的共識、同步、管理與監控都基於這個 IP 層進行。

此方案架構的概念說明如下:

  • 實體網路中的 Besu validator 節點,會在 Nebula 的虛擬網路中分別對應到一個虛擬節點
  • 在做完初始發現的動作後
  • 節點之間都是加密通訊

跨雲與跨地端的區塊鏈實戰部署_架構圖 (3).png Nebula 虛擬區網

當這個 Overlay 成形後:

  • 共識節點只需要啟動並填入對應 IP 清單即可組網
  • 各節點的維運、重啟、替換都不影響整體拓撲
  • 防火牆不再是問題,只需開一個 UDP port
  • 不需要再調整各種 NAT、憑證交換與 TLS 配置

這樣的設計,讓我們的網路不再受到「誰有浮動 IP」、「誰被公司資安封鎖」、「誰不能開某個埠」這類限制。

此做法定義的不是一組設定,而是一個方法──讓節點之間先變成可控、可預期的區網環境,一切部署與協作的困難就能迎刃而解。

*本文僅擷取全文前半段內容,詳細實作請至 Medium 文章查看:https://medium.com/bsos-taiwan/besu-nebula-ff2764509d87

share-link
Copy to clipboard
Share on X
Share on Facebook
share
產品
VelaroRWA SuiteXSUPLEX
資源
部落格BSOS 研究室SUPLEX 常見問題媒體報導
法務
隱私權聲明服務條款
關於
關於我們職缺聯繫我們
Get in Touch with BSOS
United States Office
8 The Green A, Dover, DE 19901 United States
台灣辦公室
台北市大安區敦化南路二段 267 號 17 樓之 7
Email
Copyright © 2025 BSOS All rights reserved.
服務條款
隱私權聲明