本文为您介绍如何通过智能接入网关SAG(Smart Access Gateway)vCPE将已经部署在亚马逊云计算服务AWS(Amazon Web Services)平台中的网络接入阿里云,实现多云互通。

前提条件

  • 您已经在AWS平台部署了云服务。部署详情请咨询AWS平台
  • 您已经在阿里云平台创建了专有网络VPC(Virtual Private Cloud)并部署了相关云服务。具体操作,请参见搭建IPv4专有网络
  • 您已经了解阿里云VPC中云服务所应用的安全组规则,并确保安全组规则允许AWS内的资源访问阿里云VPC内的资源。具体操作,请参见查询安全组规则添加安全组规则

场景说明

本文以下图场景为例,为您介绍如何通过SAG vCPE实现多云互通。某新加坡企业已经在AWS平台和阿里云平台的新加坡地域分别部署了云服务。该企业计划使用SAG vCPE产品将两个云服务连通,实现资源互访。

您可以在AWS VPC内的一台实例中部署SAG vCPE镜像,使该实例作为一台SAG vCPE设备帮您连接阿里云。SAG vCPE设备连接至阿里云后,可通过阿里云云连接网和云企业网实现AWS VPC内资源与阿里云VPC内资源的互访。

AWS场景架构

部署流程

AWS多云互通流程-202107

步骤一:创建SAG vCPE实例

您需要在SAG管理控制台创建SAG vCPE实例,创建后您可以通过SAG vCPE实例管理SAG vCPE设备。

  1. 登录智能接入网关管理控制台
  2. 智能接入网关页面,选择购买智能接入网关 > 创建智能接入网关(VCPE)
  3. 根据以下信息配置SAG vCPE实例信息,然后单击立即购买并完成支付。
    • 区域:选择SAG vCPE实例所属的区域。本文选择亚太东南1(新加坡)
    • 实例名称:输入SAG vCPE实例的名称。

      名称可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、半角句号(.)、下划线(_)或短划线(-)。

    • 实例类型:默认为SAG-vCPE
    • 版本:默认为基础版
    • 使用方式:选择SAG vCPE设备的使用方式。默认为双机

      双机方式下一个SAG vCPE实例中默认可以连接两台SAG vCPE设备。您可以配置两台SAG vCPE设备为主备模式,共同帮您将本端网络接入阿里云,提高您网络的可用性。本文中只使用主设备。

    • 带宽峰值:网络通信的带宽峰值。单位:Mbps。
    • 购买数量:选择需要创建的SAG vCPE实例的数量。本文设置为1。
    • 购买时长:选择购买时长。
    • 资源组:选择SAG vCPE实例所属的资源组。
  4. 返回SAG管理控制台,在顶部菜单栏,选择已创建实例的区域。
  5. 在左侧导航栏,选择智能接入网关
  6. 智能接入网关页面,单击已创建的实例ID。
  7. 在实例详情页面,单击设备管理页签,查看并记录当前SAG vCPE主设备的序列号和密钥,用于后续SAG vCPE实例和SAG vCPE设备的绑定。记录密钥

步骤二:部署SAG vCPE镜像

为实现AWS和阿里云的云服务互通,您需要在AWS云服务所属的VPC网络中新建一个实例,用于部署SAG vCPE镜像。部署完成后,AWS实例可作为SAG vCPE设备为您提供服务,连接AWS云服务至阿里云。

  1. 在AWS VPC内新建一个实例。

    新建AWS实例的具体操作请参见AWS平台相关文档。请确保新建的AWS实例,满足以下条件:

    • 实例支持安装以下类型的操作系统:
      • 64位,CentOS 7.6或以上规格。
      • 64位,Ubuntu 18.04或以上规格。

      推荐您安装64位,CentOS 7.6规格的操作系统。

    • 实例支持安装3.10.0-957.21.3.el7.x86_64或以上规格的内核版本。
    • 实例有单独的可连接公网的网卡。
    • 实例支持远程登录。
    • 实例未运行业务系统。
    • 如果您的宿主机为云服务器实例或边缘节点服务ENS(Edge Node Service)实例,则vCPU个数需在1个及以上,内存需在2 GB及以上。
      推荐您选择2核vCPU、4 GB内存规格的实例,该规格下实例的加密私网带宽可达350 Mbps(1024字节)以上。2C4G
  2. 登录AWS实例,将脚本下载至实例的/root目录下。具体操作,请参见AWS平台相关文档。
    注意
    • 您可以将脚本下载到自定义路径内,请注意后续执行脚本时路径需修改为您的自定义路径。
    • 脚本下载后,请勿修改脚本内容以及脚本名称。
    • 如果您的宿主机部署在中国内地区域,请通过以下命令下载脚本。
      wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-cn-shanghai.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
    • 如果您的宿主机部署在非中国内地区域,请通过以下命令下载脚本。
      wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-accelerate.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
  3. 为脚本赋予可执行权限。
    chmod +x /root/sag_vcpe_v2.3.0_deployment.sh
  4. 执行脚本。
    /root/sag_vcpe_v2.3.0_deployment.sh -n sage6nniq3**** -k X8==**** -t aws  -w eth0

    下表为您提供参数说明。关于脚本的更多参数信息,请参见脚本参数说明

    参数 说明
    -n SAG vCPE设备的序列号。
    -k SAG vCPE设备的密钥。
    -t 安装SAG vCPE镜像的宿主机所在的平台。取值:
    • aliyun(默认值):表示SAG vCPE镜像部署在阿里云云服务器ECS(Elastic Compute Service)中。
    • aws:表示SAG vCPE镜像部署在AWS EC2中。
    • ens:表示SAG vCPE镜像部署在阿里云边缘节点服务ENS(Edge Node Service)的实例中。
    • 如果您的SAG vCPE镜像部署在本地网络的服务器中,则本参数的取值可为aliyunaws之外的任意英文字符。
    -w WAN口的网卡名称。您可以通过ifconfig命令查看宿主机的网卡名称。
  5. 执行脚本时,系统会自动检测部署环境是否满足需求。如果部署环境相关的组件安装不完整,系统会出现下图提示,请输入:yes,系统将自动帮您安装相关组件。
    安装组件
  6. 如果检测到部署环境已经满足需求,则会直接开始部署SAG vCPE镜像,镜像部署完成后系统会出现下图提示。
    部署成功
  7. 查看部署结果。
    部署完成后,请执行docker ps命令,查看系统中是否已有以下两个容器:查看部署结果

    如果系统已包含vsag-corevsag-manager-base两个容器,则证明部署成功;如果系统未包含上述两个容器,则说明部署失败,请提交工单至阿里云团队进行处理。

步骤三:配置阿里云侧网络

SAG vCPE镜像部署完成后,您还需要在SAG管理控制台对SAG vCPE设备进行网络配置,以便SAG vCPE设备能正常接入阿里云。

  1. 配置线下路由同步方式。
    1. 登录智能接入网关管理控制台
    2. 在顶部菜单栏,选择目标区域。
    3. 智能接入网关页面,找到目标实例,在操作列单击网络配置
    4. 网络配置 > 线下路由同步方式页签,单击添加静态路由
    5. 添加静态路由对话框中,输入AWS云服务所在的私网网段,然后单击确定
      线下路由同步
  2. 绑定云连接网。
    云连接网是SAG的重要组成部分,SAG通过云连接网将您的网络接入阿里云。
    1. 创建云连接网。具体操作,请参见创建云连接网
      云连接网所在区域需和SAG vCPE实例所在区域相同。
    2. 在左侧导航栏,选择智能接入网关
    3. 智能接入网关页面,找到目标实例,在操作列单击网络配置
    4. 在实例详情页面,选择网络配置 > 绑定网络详情页签。
    5. 已绑定同账号实例区域下,单击添加网络,选择已创建的云连接网实例,然后单击确定
    6. 在您绑定云连接网后,在设备管理页签下,查看SAG vCPE设备的VPN状态管控状态,两者均为正常则表示SAG vCPE设备已接入阿里云。
      查看VCPE状态
  3. 配置云企业网。
    您需要通过以下操作将SAG vCPE实例连接到云企业网,并在云企业网中加载已创建的VPC实例。操作完成后,SAG vCPE实例和阿里云上VPC实例可学习到对方的路由,SAG vCPE设备可与阿里云VPC内的资源互通。
    1. 在左侧导航栏,单击云连接网
    2. 云连接网页面,找到目标云连接网实例,在操作列单击绑定云企业网
    3. 绑定云企业网面板,选择要绑定的云企业网实例,然后单击确定
      您可以通过以下两种方式选择目标云企业网实例,本文选择新建CEN
      • 选择现有CEN:如果您已经创建了云企业网,您可以单击下方文本框,选择已创建的云企业网实例进行绑定。
      • 新建CEN:如果您未创建过云企业网,您可以在下方文本框中,输入云企业网实例名称,系统会为您新建云企业网实例并自动进行绑定。

        云企业网实例名称长度为2~100个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

    4. 将已经创建的阿里云VPC实例,绑定到此云企业网中。具体操作,请参见加载网络实例

步骤四:配置AWS侧网络

为实现AWS和阿里云资源互通,您还需要在AWS的VPC中进行网络配置,配置需要的具体命令请咨询AWS平台。

  1. 为云服务配置路由。
    在AWS的VPC中配置路由,将要访问的阿里云云服务网段的下一跳指向AWS实例,由该实例帮您完成和阿里云云服务的互通。AWS配置路由
  2. 配置AWS云服务所属的安全组。
    允许阿里云云服务私网网段和AWS云服务所在私网网段可相互通信。
  3. 关闭AWS实例的源、目标检查。
    关闭源目检查

步骤五:测试连通性

  1. 登录阿里云VPC内的一个ECS实例。具体操作,请参见连接方式概述
  2. 通过ping命令,访问AWS VPC中一个云服务实例,验证两个VPC间的通信是否正常。
    经验证,阿里云VPC中的资源与AWS VPC中的资源可正常通信。测试结果

相关文档