敏捷版ZStack VPC和公共云VPC网络互通
本实践基于专有云敏捷版混合云业务场景,介绍敏捷版ZStack VPC和公共云VPC网络互通的操作步骤。
前提条件
环境条件
开通阿里公共云账号
开通阿里公共云专有网络VPC服务
开通阿里公共云VPN网关服务
配置条件
专有云平台具备出互联网能力
需随专有云敏捷版部署ZStack平台
背景概述
在专有云敏捷版混合云业务场景下,打通专有云侧业务VPC和阿里公共云上业务VPC网络。利用阿里公共云上的VPN网关服务,通过IPsec连接打通专有云敏捷版ZStack业务VPC网络和公共云业务VPC网络。
部署架构图
网络联通配置
准备工作。
使专有云平台具备出互联网能力。
配置出口网络设备路由。
本文以H3C交换机为例。
登录专有云出口设备ISW,执行以下命令。
ip route-static 0.0.0.0 0 [$Firewall_IP]
说明[$Firewall_IP]为接入区防火墙地址。
默认路由指向云外互联网接入区防火墙。
配置互联网接入区防火墙。
本文以USG6600为例。
配置防火墙安全策略。
登录Firewall,执行以下命令。
firewall zone untrust set priority 5 add interface GigabitEthernet1/0/0 //连互联网接口 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/8 //连专有云侧接口 # security-policy rule name policy_to_internet source-zone trust destination-zone untrust source-address [$NAT_IP] mask [$Subnet Mask] action permit #
配置防火墙SNAT。
登录Firewall,执行以下命令。
nat-policy rule name policy_to_internet source-zone trust egress-interface GigabitEthernet1/0/0 //连互联网接口 source-address [$NAT_IP] mask [$Subnet Mask] action nat easy-ip #
说明[$NAT_IP]为NAT前地址段。本文以10.14.0.0为例。
[$Subnet Mask]为子网掩码。上述命令中子网掩码为255.255.0.0,您可以根据自己的地址段位对应修改子网掩码。
专有云侧操作。
创建专有云侧VPC。
登录ASCM控制台,在页面顶部的菜单栏中,单击产品>网络>专有网络VPC。
选择创建网络>创建专有网络,在创建专有网络VPC页面配置专有网络。
选择VPC所属组织。
填写VPC名称。
定义VPC所使用的地址段。
单击提交。
选择交换机>创建交换机,在虚拟交换机页面配置交换机。
选择vSwitch所属组织。
选择地域。
选择可用区。
选择vSwitch所属的VPC。
填写vSwitch名称。
定义vSwitch网段。
单击提交。
在ZStack控制台添加专有云侧IPsec隧道。
登录ASO,选择产品运维管理>产品列表>ZStack,进入ZStack管理界面。
选择网络服务>IPsec隧道,进入IPsec隧道页面。
单击创建IPsec隧道,在创建IPsec隧道页面配置IPsec隧道。
填写IPsec连接名称。
选择对外暴露虚拟IP的方式。
选择对外暴露IP的网络。
选择本地(即专有云侧)对应的VPC内网段。
填写专有云对端(即公共云侧)VPN网关地址。参见部署架构图中位置2。
填写专有云对端(即公共云侧)VPC内网段。
输入连接密钥。
高级选项可视情况修改。
单击确定。
公共云侧操作。
创建公共云侧VPC。
选择专有网络>创建专有网络。
在创建专有网络页面配置专有网络。
填写VPC名称。
选择VPC所使用CIDR网段。
填写VPC内vSwitch名称。
选择vSwitch所在可用区。
填写vSwitch所使用的CIDR网段。
单击确定。
创建VPN网关。
说明公共云VPN网关需要在公共云控制台上购买。
选择VPN>VPN网关>创建VPN网关。
在购买页面,配置VPN网关。
填写VPN网关实例名称。
选择VPN网关所处地域。
选择VPN网关所关联的VPC。
选择带宽规模。
开启IPsec-VPN能力。
单击立即购买并完成支付。
创建VPN用户网关。
选择VPN>用户网关>创建用户网关。
在创建用户网关页面,配置用户网关。
填写用户网关名称。
输入公共云对端(即专有云端)VPN网关的地址。参见部署架构图中位置1。
单击确定。
在公共云上创建IPsec连接。
选择IPsec连接>创建IPsec连接。
在创建IPsec连接页面,配置IPsec连接。
填写IPsec连接名称。
选择需要关联的VPN网关。
选择需要关联的用户网关。
填写公共云侧的VPC网段。
填写公共云对端(即专有云侧VPC)的网段。
高级配置中,公共云和专有云两端应保持一致。本文选项参考如下。
单击确定。
在VPN网关中添加路由。
选择VPN>VPN网关,单击所关联的VPN网关。
单击添加路由条目,配置添加的路由条目信息。
填写公共云对端(即专有云侧VPC)网段。
选择下一跳类型为IPsec连接。
选择需要关联的IPsec连接。
选择发布到VPC为是。
单击确定。
联通性能测试验证
确认IPsec连接状态。
单击左侧导航栏IPsec连接,在IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功。
确认公共云和专有云ECS互通。
增加安全组策略。
公共云和专有云侧均需修改ECS所对应的安全组,增加安全组策略,放通所涉及的IP和端口,本步骤以专有云侧为例说明。
登录ASCM控制台,在页面顶部的导航栏中,单击产品>弹性计算>云服务器ECS。
在左侧导航栏中,单击网络和安全>安全组。
在顶部状态栏处,选择组织、资源集和地域。
找到安全组,在操作列中,单击配置规则。
单击添加安全组规则。
配置安全组规则属性。
重要放通所要使用的IP和端口。
单击确定。
测试公共云和专有云ECS联通性。
公共云ECS ping通专有云ECS。
登录公共云ECS实例,ping专有云ECS实例测试通信是否正常。
专有云ECS ping通公共云ECS。
登录专有云ECS实例,ping公共云ECS实例测试通信是否正常。
- 本页导读