• 首页 > 
  • 混合云网络通:专有云企业版VPC和公共云VPC专线场景联通实战

混合云网络通:专有云企业版VPC和公共云VPC专线场景联通实战

本实践将基于专有云企业版混合云业务场景,打通专有云侧业务VPC和阿里公共云上业务VPC网络。

前提条件

  • 已开通阿里公共云账号。

  • 已开通阿里公共云专有网络VPC服务。

  • 已开通阿里公共云高速通道服务。

背景信息

专有云和公共云专线联通,是通过高速通道产品打通专有云企业版业务VPC网络和公共云业务VPC网络,架构图如下所示。架构图

专有云侧操作

首先需要开通物理专线,开通专线接口操作如下:

  1. 开通专线接口。

    1. 登录Apsara Uni-manager运营控制台。

    2. 单击顶部菜单栏的产品>高速通道

    3. 在左侧导航栏中单击独享物理专线

    4. 单击自主申请专线接口

    5. 填写物理专线相关信息。

      模块

      名称

      说明

      区域

      组织

      选择物理专线所属的项目组。

      资源集

      选择物理专线所属的资源组。

      地域

      选择物理专线所处地域。

      基本配置

      专线名称

      填写物理专线名称。

      描述

      填写物理专线描述。

      对端位置

      填写对端IDC所处位置。

      专线配置

      接入点

      选择物理专线接入点。

      接入端口类型

      选择物理专线接口类型。

      说明

      接口类型由专有云实际物理设备的端口形态决定,一般为光口。

      接入设备

      选择物理专线接入设备。

      物理端口

      填写需符合CSW的物理端口名称描述格式,不填写则自动分配空闲端口。

      建议采用自动分配。

      专线带宽

      (可选)填写物理专线带宽。

    6. 填写完成后单击提交

      专线处于正在分配资源状态。等待分配资源

    7. 当专线状态变为待确认后,单击确认接入

      接入后专线状态变为已开通

  2. (可选)查询物理专线。

    如果需要查询物理专线所在接入设备和接入端口,您可以按以下步骤进行操作。

    1. 登录Apsara Uni-manager运维控制台。

    2. 在顶部菜单栏中单击运维

    3. 在左侧导航栏中单击产品运维管理>产品列表

    4. 选择laaS服务>齐天

    5. 在顶部菜单栏中单击产品>高速通道>网络环境管理

    6. 在左侧导航栏中单击物理专线管理

    7. 输入需要查询专线的相关信息后单击查询,即可查看专线的详情。

  3. 创建VBR。

    1. 登录Apsara Uni-manager运营控制台。

    2. 单击顶部菜单栏的产品>高速通道

    3. 在左侧导航栏中单击边界路由器(VBR)

    4. 单击创建边界路由器

    5. 在面板中配置边界路由器,然后单击确定。

      配置

      说明

      账号类型

      选择需要创建边界路由器的账号的类型。

      所属账号

      账号类型为为他人账号创建时,才显示此参数,输入其他账号ID。

      名称

      账号类型为当前账号时,才显示配置此参数,设置边界路由器的名称。

      物理专线接口

      选择边界路由器绑定的施工完成且状态正常的物理专线接口。

      VLAN ID

      输入边界路由器的VLAN ID,范围为0~2999。VLAN ID为0时,代表此VBR的物理交换机端口不使用VLAN模式,而使用三层路由口模式。三层路由口模式下每一根物理专线对应一个VBR。VLAN ID为1~2999时,代表此VBR的物理交换机端口使用基于VLAN的三层子接口。三层子接口模式下每个VLAN ID对应一个VBR。此时,该VBR的物理专线可以连接多个账号下的VPC。每个不同VLAN的VBR是二层隔离网络不通的。例如,一个公司下的多个子部门或子公司都有独立的阿里云账号,且每个账号下都有各自的VPC。如果由总公司来申请物理专线,则需要规划每个子部门或子公司的VLAN ID。在创建路由器接口时,通过VLAN ID来划分使用该专线的子公司或部门,相互之间二层隔离网络不通。

      阿里云侧IPv4互联IP

      输入VPC到本地数据中心的路由网关地址。

      客户侧IPv4互联IP

      输入本地数据中心到VPC的路由网关地址。

      IPv4子网掩码

      阿里云侧和客户侧IPv4地址的子网掩码。由于只需要两个IP地址,所以可以选择较长的子网掩码。

  4. 创建VBR与VPC侧的对等连接。

    1. 在左侧导航栏中单击专有网络对等连接>VBR上连

    2. 单击创建对等连接

    3. 配置对等连接。

      模块

      配置

      说明

      通用配置

      应用场景

      使用默认场景VBR上连。

      组织

      选择VBR所属的项目组。

      资源集

      选择VBR所属的资源组。

      VBR侧配置

      路由器类型

      使用默认项边界路由器VBR。

      地域

      选择VBR的所属地域。

      接入点

      选择一个接入点。

      VBR ID

      选择VBR ID。

      路由器接口规格

      选择一个路由器接口规格,例如1000 Mbps。

      路由器接口名称

      输入路由器接口名称。

      描述

      输入路由器描述。

      VPC侧配置

      路由器类型

      使用默认项VPC路由器VRouter。

      地域

      选择VPC的所属地域。

      VPC ID

      选择VPC ID。

      路由器接口名称

      输入一个路由器接口名称。

      健康检查源IP

      输入健康检查的源IP地址。

      说明

      输入的健康检查源IP地址必须是本端VPC VSwitch地址段内的一个可用IP地址。

      健康检查目的IP

      输入健康检查的目的IP地址。

      说明

      输入的健康检查目的IP地址一般是VBR关联的专线对端客户设备端口IP地址。

      描述

      输入VPC描述。

    4. 单击,等待状态变为已激活

  5. 进行VBR与公共云侧的路由宣告。

    创建静态路由。

    1. 单击左侧导航栏的边界路由器(VBR)

    2. 单击要配置的VBR后选择路由条目页签。

    3. 单击添加路由条目,配置路由条目。

      配置

      说明

      下一跳类型

      选择物理专线接口。

      目标网段

      输入公共云侧VPC内路由网段。

      下一跳

      根据下一跳类型,选择接收流量的下一跳实例。

    4. 单击确定,等待状态变为可用

  6. 然后进行VBR与VPC间的路由宣告。

    创建静态路由。操作方式与步骤5相同,配置如下:

    配置

    说明

    下一跳类型

    选择专有网络。

    目标网段

    填写本端专有云VPC内的路由网段。

    下一跳

    选择路由所对应的下一跳VPC。

  7. VPC上指向公共云侧的路由。

    1. 登录Apsara Uni-manager运营控制台。

    2. 在顶部菜单栏中单击产品>网络>专有网络VPC

    3. 在左侧导航栏中单击路由表,单击要配置VPC的路由表实例。

    4. 单击添加路由条目,填写静态路由相关信息。

      配置

      说明

      名称

      输入路由条目的名称。名称长度为2~128个字符之间,以英文字母或中文开头,可包含数字、短横线(-)和下划线(_)。

      目标网段

      对端公共云侧VPC内路由网段。

      下一跳类型

      下一跳类型选择路由器接口(边界路由器方向)

      ECS实例/高可用虚拟IP/NAT网关/辅助弹性网卡/专有网络

      选择下一跳VBR实例。

    5. 单击确定,等待状态变为可用

公有云侧操作

  1. 开通高速通道。

    1. 登录高速通道管理控制台

    2. 在左侧导航栏,单击物理专线连>独享物理专线

    3. 选择所在Region。

    4. 单击自主申请专线接口

    5. 配置物理专线接入端口信息。

      配置

      说明

      地域

      选择物理专线接入地域。

      您期望安装专线的地域,一般为您VPC所在的地域,如果选择跨地域安装,您需要额外支付连接跨地域的云企业网费用。

      运营商

      选择租用专线的运营商。

      为您提供专线服务的电信运营商,不同运营商可选择的接入点是不同的。

      说明
      • 中国联通、中国电信和中国移动只能使用自己的专线,不允许使用其他运营商提供的专线。

      • 中国联通、中国电信和中国移动不支持裸光纤接入。

      接入点

      选择离您本地数据中心最近的一个接入点。

      接入点是物理阿里云在各个地域的数据中心,每个地域下会有一个或者多个接入点。不同接入点对应不同的物理线路接入位置和接入能力。

      知晓计费规则

      确保您已经了解专线接入的计费规则。

      知晓计费规则后,选择是。

      端口规格

      不同规格的端口资源占用费价格不同,请按实际需求申请。

      • 物理专线带宽小于1Gbps时,请购买1G专线端口。

      • 物理专线带宽大于1Gbps时,请购买10G专线端口。

      • 专线带宽从500Mbps升配到2Gbps时,需要您自主联系运营商调整线路带宽,并联系阿里云更换光模块。

      说明

      40G和100G需要开通白名单申请。

      端口类型

      选择使用电口或光口:

      • 电口都是MSTP链路,运营商在接入点机房通过光端机将传输网的光路转换为低带宽的网线RJ45接口给用户使用的。行业标准就是百兆以下速率都会提供这个接口类型,所以低带宽适合选择百兆电口。阿里云接入点的交换机硬件型号所支持的电口默认10GE端口。端口速率由端口规格决定。

      • 光口,俗称裸光纤,运营商直接将传输网的光路给最终用户使用。光路的速率理论上无限大,只取决于互联两端接口的光模块协商速率,例如千兆、万兆、40G和100G。

      说明
      • 不同接入点提供的端口类型不同,在购买专线端口时请仔细确认。

      • 阿里云默认提供端口规格为1G和10G且传输距离为10公里的光模块,超过10公里的光模块或者购买端口规格为40G和100G端口均需自行购买光模块。

      • 购买光口,请确保线路供应商提供光纤线路接入阿里设备。

      • 阿里云不支持托管任何光电转换设备,请要求线路供应商接入阿里设备时使用正确的线路类型。

      冗余专线 ID

      选择一条已申请的物理专线和该条专线构成ECMP冗余链路。 接入同一地域的两条物理专线可以作为冗余物理专线:

      • 当接入不同的接入点时,两条物理专线默认相互冗余。

      • 当接入相同的接入点时,需要指定其中一条专线为另一条的冗余线路。 互为冗余的线路分配到不同的物理接入设备上。

    6. 单击立即购买,在确认订单页面,单击去支付

  2. 机房布线施工。

    1. 返回物理专线接口页面,查看已申请的物理专线接口。

      此时,物理专线接口的状态为LOA待申请

    2. 单击操作列的申请LOA

      LOA是进入阿里接入点所在机房进行专线施工的授权书,没有此文件,无法进入阿里机房施工。

    3. 申请LOA页面,输入专线施工信息,然后单击添加施工工程师,填写施工工程师身份信息,可以添加多个施工工程师。

      如果需要提前告知机房位置和设备端口等信息,请提交工单或者联系销售人员处理。

      配置

      说明

      公司名称

      当前用户注册账号时设置的公司名称。

      个人用户可以填写账号所有者姓名。

      进入阿里机房施工单位

      输入您的施工运营商的单位名称,一般是您的专线运营商或者IDC运营商。

      专线类型

      选择专线类型,包括以下选项:

      • MSTP

      • MPLSVPN

      • 光纤直连

      • 其他

      说明

      不支持SDH专线。

      计划施工时间

      设置专线施工单位入场时间。

      本地IDC地址

      输入您本地数据中心的位置,可选。

      专线带宽值

      输入您的专线线路带宽,可选。

      说明

      此处填写的带宽不会影响您的资费和使用。

      单击添加施工工程师,进入阿里云机房施工工程师的个人信息为必选项。

      工程师姓名

      进入阿里机房施工工程师姓名。

      工程师联系方式

      进入阿里机房施工工程师联系方式。

      工程师证件类型

      进入阿里机房施工工程师有效证件类型。

      • 身份证

      • 国际护照

      • 其他证件

      工程师证件号

      进入阿里机房施工工程师证件号码。

      工程师性别

      进入阿里机房施工工程师性别。

    4. 单击确定,阿里云审核人员会对您的LOA申请进行审核。

      此时,物理专线接口的状态为LOA申请中

    5. 正常情况下,阿里云审核人员2个工作日内审核通过后,您可以在控制台下载LOA文件。

      此时,物理专线接口的状态为LOA已批准

      说明

      非境内接入点,阿里审核人员会在3个工作日内完成审核。

    6. 单击操作列的查看LOA。

    7. 在查看LOA页面,单击下载,下载LOA文件。LOA文件可查看接入设备的机柜位置和端口信息等信息。

    8. 根据LOA信息,联系专线施工方按照专线工勘时确认的接入方案,将专线接入阿里机房包间外的接入设备。

      说明

      • 专线施工方完成施工后,请要求施工方向您提供专线线路的检查报告,确保到运营商网络的连接是正常的。

      • 境内机房,阿里工程师会协助专线施工方完成专线接入到阿里包间。您在控制台单击完工报竣后,工程师会完成尾纤铺设,并接入到专线端口。

      • 境外机房,专线施工方完成专线接入到阿里包间外的接入设备(ODF/Patch Pannel等)。您在控制台单击完工报竣后,工程师会完成尾纤铺设,并接入到专线端口。

      • 进入北京、上海、杭州和深圳的中国电信、中国联通和中国移动IDC施工,运营商会要求您额外签署机房专线接入授权书,该文件需要在施工时交付给运营商审核人员,请您提前准备该文件。

      • 运营商的机房专线接入授权书,需要您公司和阿里盖章认证,申请阿里盖章,请提交工单或联系阿里客户经理。

      • 阿里云出具的LOA,请交付给的阿里驻场工程师。

    9. 施工方完成施工后,联系施工的运营商人员获取运营商专线ID和楼内线缆标签或配线架端口信息,然后在独享物理专线页面,单击完工报竣。在完工报竣页面输入获取的线路信息,单击确定进行完工确认。

      此时,物理专线接口的状态为等待阿里尾纤施工

    10. 正常情况下,两个工作日内,阿里云驻场工程师会根据客户信息将专线插入指定阿里云接入点机房的专线端口。

      此时,物理专线接口的状态为等待用户支付

      说明

      非境内接入点,阿里驻场工程师会在3个工作日内完成阿里侧的尾纤施工。

    11. 您确认物理专线接口成功部署后,单击操作列的支付资源占用费,选择购买时长和续费方式,单击立即购买,支付资源占用费。

      支付完成后,专线状态变为已开通,表示专线开通成功。

  3. 创建边界路由。

    1. 在左侧导航栏,单击边界路由器(VBR)>边界路由器(VBR)

    2. 选择所在的Region。

    3. 单击创建边界路由器

    4. 配置边界路由器,然后单击确定

      配置

      说明

      账号类型

      默认为当前账号。即选择为同一账号创建边界路由器。

      名称

      账号类型为当前账号时,才显示配置此参数,设置边界路由器的名称。

      物理专线接口

      选择VBR所要对应的物理专线ID。

      VLAN ID

      定义的互通VLAN-ID。

      阿里云侧IPv4互联IP

      公共云侧接口IP。

      客户侧IPv4互联IP

      专有云侧接口IP。

      IPv4子网掩码

      阿里云侧和客户侧IPv4地址的子网掩码。由于只需要两个IP地址,所以可以选择较长的子网掩码。

    5. 单击进入刚创建的VBR,选择路由条目页签。

    6. 单击添加路由条目

    7. 配置条目后单击确定

      配置

      说明

      目标网段

      填写专有云上VPC内的网段。

      下一跳类型

      选择指向物理专线接口。

      下一跳

      选择所对应的专线接口ID。

  4. 创建CEN实例。

    1. 登录云企业网控制台

    2. 云企业网实例页面,单击创建云企业网实例

    3. 配置云企业网实例后单击确定

      将步骤3创建的VBR挂载至CEN实例。

      配置

      说明

      名称

      填写实例名称。

      描述

      (可选)输入实例描述信息。

      实例类型

      选择边界路由器(VBR)。

      地域

      选择实例所在Region。

      网络实例

      选择所需要挂载的VBR实例。

  5. 将VPC挂载至CEN实例。

    1. 单击刚创建的CEN实例名后,选择网络实例管理。

    2. 单击加载网络实例

    3. 选择同账号页签,配置当前页面后单击确定

      配置

      说明

      实例类型

      选择专有网络(VPC)。

      地域

      选择实例所在Region。

      网络实例

      选择所需要挂载的VPC实例。

  6. 路由检查。

    单击路由信息页签,选择所在Region,查看专有云侧VPC路由条目。

连通性测试验证

  1. 在公共云侧创建ECS。

    创建方法请参见公有云ECS用户指南

  2. 在专有云侧创建ECS。

    创建方法请参见有云ECS用户指南

  3. 增加安全组策略。

    公共云和专有云侧均需修改ECS所对应的安全组,增加安全组策略,开放所涉及的IP和端口。以下以专有云侧为例,公有云操作相同。

    1. 登录Apsara Uni-manager运营控制台。

    2. 在顶部菜单栏中单击产品>弹性计算>云服务器ECS

    3. 在左侧导航栏中单击网络和安全>安全组

    4. 在待操作安全组的操作栏中单击配置规则

    5. 单击添加安全组规则

    6. 配置安全组规则属性后单击确定

      配置项

      是否必选

      说明

      网卡类型

      支持内网网卡。

      专有网络中,ECS实例内部无法看到公网网卡,也只能设置内网安全组规则,但安全组规则同时对内网和公网生效。

      规则方向

      • 出方向:指ECS实例访问内网中其他ECS实例或者公网上的资源。

      • 入方向:指内网中的其他ECS实例或公网上的资源访问ECS实例。

      授权策略

      • 接受:放行该端口相应的访问请求。

      • 拒绝:直接丢弃数据包,不会返回任何回应信息。

      如果两个安全组规则其他都相同,只有授权策略不同,则拒绝策略生效,接受策略不生效。

      协议类型

      • ALL:可用于完全互相信任的应用场景。

      • TCP:可用于允许或拒绝一个或几个连续的端口。

      • UDP:可用于允许或拒绝一个或几个连续的端口。

      • ICMP:使用ping程序检测实例之间的通信状况。

      • ICMPv6:使用ping6程序检测实例之间的通信状况。

      • GRE:用于VPN服务。

      端口范围

      端口范围的设置受协议类型影响。

      • 协议类型为ALL:显示为-1/-1,表示不限制端口。不能设置。

      • 协议类型为TCP:自定义端口范围,有效的端口值是1~65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,例如:22/22表示端口22。

      • 协议类型为UDP:自定义端口范围,有效的端口值是1~65535,端口范围的合法格式是开始端口/结束端口。即使是一个端口,也需要采用合法格式设置端口范围,例如:3389/3389表示端口3389。

      • 协议类型为ICMP:显示为-1/-1,表示不限制端口。不能设置。

      • 协议类型为ICMPv6:显示为-1/-1,表示不限制端口。不能设置。

      • 协议类型为GRE:显示为-1/-1,表示不限制端口。不能设置。

      优先级

      设置优先级。默认值为1,即最高优先级,可设置范围1~100。

      授权类型

      • IPv4地址段访问:授权IPv4地址或地址段访问本安全组中的ECS实例。

      • IPv6地址段访问:授权IPv6地址或地址段访问本安全组中的ECS实例。

      • 安全组访问:安全组访问只对内网有效。授权本账号下某个安全组中的ECS实例访问本安全组中的ECS实例,实现内网互通。

      授权对象

      授权对象的设置受授权类型影响。

      授权类型为IPv4地址段访问

      • 填写单一IP地址或者CIDR网段格式,例如:192.0.2.1192.0.2.0/24

      • 支持多组授权对象,用英文逗号(,)隔开,最多支持10组授权对象。

      • 如果填写0.0.0.0/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。

      授权类型为IPv6地址段访问

      • 填写单一IP地址或者CIDR网段格式,例如:2001:db8:1:1:1:1:1:12001:db8::/32

      • 支持多组授权对象,用英文逗号(,)隔开,最多支持10组授权对象。

      • 如果填写::/0表示允许或拒绝所有IP地址的访问,设置时请务必谨慎。

      授权类型为安全组访问:选择安全组ID。如果是专有网络VPC类型的安全组,目的端必须为同一个专有网络VPC中的安全组。

      描述

      安全组规则描述信息,方便后续管理。长度为2~256个英文或中文字符,不能以http://和https://开头。

  4. 确认公共云和专有云ECS能够互通。

    • 在公共云侧ECS ping通专有云ECS。

    • 在专有云侧ECS ping通公共云ECS。