敏捷版ZStack VPC和公共云VPC网络互通-阿里云帮助中心

本实践基于专有云敏捷版混合云业务场景，介绍敏捷版ZStack VPC和公共云VPC网络互通的操作步骤。

前提条件

环境条件
- 开通阿里公共云账号
- 开通阿里公共云专有网络VPC服务
- 开通阿里公共云VPN网关服务
配置条件
- 专有云平台具备出互联网能力
- 需随专有云敏捷版部署ZStack平台

背景概述

在专有云敏捷版混合云业务场景下，打通专有云侧业务VPC和阿里公共云上业务VPC网络。利用阿里公共云上的VPN网关服务，通过IPsec连接打通专有云敏捷版ZStack业务VPC网络和公共云业务VPC网络。

部署架构图

网络联通配置

准备工作。
使专有云平台具备出互联网能力。
1. 配置出口网络设备路由。
  本文以H3C交换机为例。
  登录专有云出口设备ISW，执行以下命令。
```
ip route-static 0.0.0.0 0 [$Firewall_IP]
```
  说明
  - [$Firewall_IP]为接入区防火墙地址。
  - 默认路由指向云外互联网接入区防火墙。
2. 配置互联网接入区防火墙。
  本文以USG6600为例。
  1. 配置防火墙安全策略。
    登录Firewall，执行以下命令。
```
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0          //连互联网接口
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/8          //连专有云侧接口
#
security-policy
 rule name policy_to_internet
  source-zone trust
  destination-zone untrust
  source-address [$NAT_IP] mask [$Subnet Mask]
  action permit
#
```
  2. 配置防火墙SNAT。
    登录Firewall，执行以下命令。
```
nat-policy
 rule name policy_to_internet
  source-zone trust
  egress-interface GigabitEthernet1/0/0          //连互联网接口
  source-address [$NAT_IP] mask [$Subnet Mask]
  action nat easy-ip
#
```
    说明
    [$NAT_IP]为NAT前地址段。本文以10.14.0.0为例。
    [$Subnet Mask]为子网掩码。上述命令中子网掩码为255.255.0.0，您可以根据自己的地址段位对应修改子网掩码。
专有云侧操作。
1. 创建专有云侧VPC。
  1. 登录ASCM控制台，在页面顶部的菜单栏中，单击产品>网络>专有网络VPC。
  2. 选择创建网络>创建专有网络，在创建专有网络VPC页面配置专有网络。
    1. 选择VPC所属组织。
    2. 填写VPC名称。
    3. 定义VPC所使用的地址段。
  3. 单击提交。
  4. 选择交换机>创建交换机，在虚拟交换机页面配置交换机。
    1. 选择vSwitch所属组织。
    2. 选择地域。
    3. 选择可用区。
    4. 选择vSwitch所属的VPC。
    5. 填写vSwitch名称。
    6. 定义vSwitch网段。
  5. 单击提交。
2. 在ZStack控制台添加专有云侧IPsec隧道。
  1. 登录ASO，选择产品运维管理>产品列表>ZStack，进入ZStack管理界面。
  2. 选择网络服务>IPsec隧道，进入IPsec隧道页面。
  3. 单击创建IPsec隧道，在创建IPsec隧道页面配置IPsec隧道。
    1. 填写IPsec连接名称。
    2. 选择对外暴露虚拟IP的方式。
    3. 选择对外暴露IP的网络。
    4. 选择本地（即专有云侧）对应的VPC内网段。
    5. 填写专有云对端（即公共云侧）VPN网关地址。参见部署架构图中位置2。
    6. 填写专有云对端（即公共云侧）VPC内网段。
    7. 输入连接密钥。
    8. 高级选项可视情况修改。
  4. 单击确定。
公共云侧操作。
1. 登录公共云VPC控制台。
2. 创建公共云侧VPC。
  1. 选择专有网络>创建专有网络。
  2. 在创建专有网络页面配置专有网络。
    1. 填写VPC名称。
    2. 选择VPC所使用CIDR网段。
    3. 填写VPC内vSwitch名称。
    4. 选择vSwitch所在可用区。
    5. 填写vSwitch所使用的CIDR网段。
  3. 单击确定。
3. 创建VPN网关。
  说明
  公共云VPN网关需要在公共云控制台上购买。
  1. 选择VPN>VPN网关>创建VPN网关。
  2. 在购买页面，配置VPN网关。
    1. 填写VPN网关实例名称。
    2. 选择VPN网关所处地域。
    3. 选择VPN网关所关联的VPC。
    4. 选择带宽规模。
    5. 开启IPsec-VPN能力。
  3. 单击立即购买并完成支付。
4. 创建VPN用户网关。
  1. 选择VPN>用户网关>创建用户网关。
  2. 在创建用户网关页面，配置用户网关。
    1. 填写用户网关名称。
    2. 输入公共云对端（即专有云端）VPN网关的地址。参见部署架构图中位置1。
  3. 单击确定。
5. 在公共云上创建IPsec连接。
  1. 选择IPsec连接>创建IPsec连接。
  2. 在创建IPsec连接页面，配置IPsec连接。
    1. 填写IPsec连接名称。
    2. 选择需要关联的VPN网关。
    3. 选择需要关联的用户网关。
    4. 填写公共云侧的VPC网段。
    5. 填写公共云对端（即专有云侧VPC）的网段。
      高级配置中，公共云和专有云两端应保持一致。本文选项参考如下。
  3. 单击确定。
6. 在VPN网关中添加路由。
  1. 选择VPN>VPN网关，单击所关联的VPN网关。
  2. 单击添加路由条目，配置添加的路由条目信息。
    1. 填写公共云对端（即专有云侧VPC）网段。
    2. 选择下一跳类型为IPsec连接。
    3. 选择需要关联的IPsec连接。
    4. 选择发布到VPC为是。
  3. 单击确定。

联通性能测试验证

确认IPsec连接状态。
1. 登录公共云VPC控制台。
2. 单击左侧导航栏IPsec连接，在IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功。
确认公共云和专有云ECS互通。
1. 公共云侧创建ECS实例。
2. 专有云侧创建ECS实例。
3. 增加安全组策略。
  公共云和专有云侧均需修改ECS所对应的安全组，增加安全组策略，放通所涉及的IP和端口，本步骤以专有云侧为例说明。
  1. 登录ASCM控制台，在页面顶部的导航栏中，单击产品>弹性计算>云服务器ECS。
  2. 在左侧导航栏中，单击网络和安全>安全组。
  3. 在顶部状态栏处，选择组织、资源集和地域。
  4. 找到安全组，在操作列中，单击配置规则。
  5. 单击添加安全组规则。
  6. 配置安全组规则属性。
    重要
    放通所要使用的IP和端口。
  7. 单击确定。
4. 测试公共云和专有云ECS联通性。
  1. 公共云ECS ping通专有云ECS。
    登录公共云ECS实例，ping专有云ECS实例测试通信是否正常。
  2. 专有云ECS ping通公共云ECS。
    登录专有云ECS实例，ping公共云ECS实例测试通信是否正常。