阿里云首页

敏捷版ZStack VPC和公共云VPC网络互通

本实践基于专有云敏捷版混合云业务场景,介绍敏捷版ZStack VPC和公共云VPC网络互通的操作步骤。

前提条件

  • 环境条件

    • 开通阿里公共云账号

    • 开通阿里公共云专有网络VPC服务

    • 开通阿里公共云VPN网关服务

  • 配置条件

    • 专有云平台具备出互联网能力

    • 需随专有云敏捷版部署ZStack平台

背景概述

在专有云敏捷版混合云业务场景下,打通专有云侧业务VPC和阿里公共云上业务VPC网络。利用阿里公共云上的VPN网关服务,通过IPsec连接打通专有云敏捷版ZStack业务VPC网络和公共云业务VPC网络。

部署架构图

图示

网络联通配置

  1. 准备工作。

    使专有云平台具备出互联网能力。

    1. 配置出口网络设备路由。

      本文以H3C交换机为例。

      登录专有云出口设备ISW,执行以下命令。

      ip route-static 0.0.0.0 0 [$Firewall_IP]
      说明
      • [$Firewall_IP]为接入区防火墙地址。

      • 默认路由指向云外互联网接入区防火墙。

    2. 配置互联网接入区防火墙。

      本文以USG6600为例。

      1. 配置防火墙安全策略。

        登录Firewall,执行以下命令。

        firewall zone untrust
         set priority 5
         add interface GigabitEthernet1/0/0          //连互联网接口
        #
        firewall zone trust
         set priority 85
         add interface GigabitEthernet1/0/8          //连专有云侧接口
        #
        security-policy
         rule name policy_to_internet
          source-zone trust
          destination-zone untrust
          source-address [$NAT_IP] mask [$Subnet Mask]
          action permit
        #
        
      2. 配置防火墙SNAT。

        登录Firewall,执行以下命令。

        nat-policy
         rule name policy_to_internet
          source-zone trust
          egress-interface GigabitEthernet1/0/0          //连互联网接口
          source-address [$NAT_IP] mask [$Subnet Mask]
          action nat easy-ip
        #

        说明
        • [$NAT_IP]为NAT前地址段。本文以10.14.0.0为例。

        • [$Subnet Mask]为子网掩码。上述命令中子网掩码为255.255.0.0,您可以根据自己的地址段位对应修改子网掩码。

  2. 专有云侧操作。

    1. 创建专有云侧VPC。

      1. 登录ASCM控制台,在页面顶部的菜单栏中,单击产品>网络>专有网络VPC

      2. 选择创建网络>创建专有网络,在创建专有网络VPC页面配置专有网络。

        1. 选择VPC所属组织。

        2. 填写VPC名称。

        3. 定义VPC所使用的地址段。

          创建专有云专有云网络
      3. 单击提交

      4. 选择交换机>创建交换机,在虚拟交换机页面配置交换机。

        1. 选择VSwitch所属组织。

        2. 选择地域

        3. 选择可用区

        4. 选择VSwitch所属的VPC。

        5. 填写VSwitch名称。

        6. 定义VSwitch网段。

          创建虚拟交换机
      5. 单击提交

    2. 在ZStack控制台添加专有云侧IPsec隧道。

      1. 登录ASO,选择产品运维管理>产品列表>ZStack,进入ZStack管理界面。

        图示
      2. 选择网络服务>IPsec隧道,进入IPsec隧道页面。

        图示
      3. 单击创建IPsec隧道,在创建IPsec隧道页面配置IPsec隧道。

        1. 填写IPsec连接名称。

        2. 选择对外暴露虚拟IP的方式。

        3. 选择对外暴露IP的网络。

        4. 选择本地(即专有云侧)对应的VPC内网段。

        5. 填写专有云对端(即公共云侧)VPN网关地址。参见部署架构图中位置2。

        6. 填写专有云对端(即公共云侧)VPC内网段。

        7. 输入连接密钥。

        8. 高级选项可视情况修改。

          创建IPsec隧道
      4. 单击确定

  3. 公共云侧操作。

    1. 登录公共云VPC控制台

    2. 创建公共云侧VPC。

      1. 选择专有网络>创建专有网络。

      2. 创建专有网络页面配置专有网络。

        1. 填写VPC名称。

        2. 选择VPC所使用CIDR网段。

        3. 填写VPC内VSwitch名称。

        4. 选择VSwitch所在可用区。

        5. 填写VSwitch所使用的CIDR网段。

          创建公共云专有网络
      3. 单击确定

    3. 创建VPN网关。

      说明

      公共云VPN网关需要在公共云控制台上购买。

      1. 选择VPN>VPN网关>创建VPN网关

      2. 在购买页面,配置VPN网关。

        1. 填写VPN网关实例名称。

        2. 选择VPN网关所处地域。

        3. 选择VPN网关所关联的VPC。

        4. 选择带宽规模。

        5. 开启IPsec-VPN能力。

          创建vpn网关
      3. 单击立即购买并完成支付。

    4. 创建VPN用户网关。

      1. 选择VPN>用户网关>创建用户网关

      2. 创建用户网关页面,配置用户网关。

        1. 填写用户网关名称。

        2. 输入公共云对端(即专有云端)VPN网关的地址。参见部署架构图中位置1。

          创建用户网关
      3. 单击确定

    5. 在公共云上创建IPsec连接。

      1. 选择IPsec连接>创建IPsec连接

      2. 创建IPsec连接页面,配置IPsec连接。

        1. 填写IPsec连接名称。

        2. 选择需要关联的VPN网关。

        3. 选择需要关联的用户网关。

        4. 填写公共云侧的VPC网段。

        5. 填写公共云对端(即专有云侧VPC)的网段。

          配置参数

          高级配置中,公共云和专有云两端应保持一致。本文选项参考如下。

          图示
      3. 单击确定

    6. 在VPN网关中添加路由。

      1. 选择VPN>VPN网关,单击所关联的VPN网关。

        图示
      2. 单击添加路由条目,配置添加的路由条目信息。

        1. 填写公共云对端(即专有云侧VPC)网段。

        2. 选择下一跳类型IPsec连接

        3. 选择需要关联的IPsec连接。

        4. 选择发布到VPC

          添加路由条目
      3. 单击确定

联通性能测试验证

  1. 确认IPsec连接状态。

    1. 登录公共云VPC控制台

    2. 单击左侧导航栏IPsec连接,在IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功

  2. 确认公共云和专有云ECS互通。

    1. 公共云侧创建ECS实例

    2. 专有云侧创建ECS实例

    3. 增加安全组策略。

      公共云和专有云侧均需修改ECS所对应的安全组,增加安全组策略,放通所涉及的IP和端口,本步骤以专有云侧为例说明。

      1. 登录ASCM控制台,在页面顶部的导航栏中,单击产品>弹性计算>云服务器ECS

      2. 在左侧导航栏中,单击网络和安全>安全组

      3. 在顶部状态栏处,选择组织、资源集和地域。

      4. 找到安全组,在操作列中,单击配置规则

      5. 单击添加安全组规则

      6. 配置安全组规则属性。

        注意

        放通所要使用的IP和端口。

      7. 单击确定

    4. 测试公共云和专有云ECS联通性。

      1. 公共云ECS ping通专有云ECS。

        登录公共云ECS实例,ping专有云ECS实例测试通信是否正常。

        图示
      2. 专有云ECS ping通公共云ECS。

        登录专有云ECS实例,ping公共云ECS实例测试通信是否正常。

        图示
首页 敏捷版ZStack VPC和公共云VPC网络互通