文档

混合云网络通:专有云企业版VPC和公共云VPC互联网场景联通实战

更新时间:
一键部署

本实践基于专有云企业版混合云业务场景,联通专有云侧业务VPC和阿里云公共云上业务VPC网络。

前提条件

  • 环境条件

    • 已开通阿里云公共云账号。

    • 已开通阿里云公共云专有网络VPC服务。

    • 已开通阿里云公共云VPN网关服务。

  • 配置条件

    专有云平台具备出互联网能力。

背景信息

本实践利用阿里云公共云上的VPN网关服务,通过IPsec连接联通专有云企业版业务VPC网络和公共云业务VPC网络,架构图如下。架构图

说明

本文所涉及的IP地址均为示例,您需要根据实际的使用情况进行更改。

网络联通配置

准备工作

使专有云平台具备出互联网能力。

以下步骤为示例组网配置,具体出互联网能力根据您网络的实际情况而定。

  1. 配置云平台出口网络设备路由。

    本文以H3C交换机为例。

    登录专有云出口设备ISW,执行以下命令。

    ip route-static 0.0.0.0 0 <Firewall_IP>
    说明

    • <Firewall_IP>为接入区防火墙地址。

    • 默认路由指向云外互联网接入区防火墙。

  2. 配置互联网接入区防火墙。

    本文以USG6600为例。

    1. 配置防火墙安全策略。

      登录Firewall,执行以下命令。

      firewall zone untrust
       set priority 5
       add interface GigabitEthernet1/0/0(连互联网接口)
      #
      firewall zone trust
       set priority 85
       add interface GigabitEthernet1/0/8(连专有云侧接口)
      #
      security-policy
       rule name policy_to_internet
        source-zone trust
        destination-zone untrust
        source-address <NAT_IP> mask <Subnet Mask>
        action permit
      #
    2. 配置防火墙SNAT。

      登录Firewall,执行以下命令。

      Firewall(以USG6600为例):
      nat-policy
       rule name policy_to_internet
        source-zone trust
        egress-interface GigabitEthernet1/0/0(连互联网接口)
        source-address <NAT_IP]> mask <Subnet Mask>
        action nat easy-ip
      #
      说明

      • <NAT_IP>为NAT前地址段。本文以10.14.0.0为例。

      • <Subnet Mask>为子网掩码。上述命令中子网掩码为255.255.0.0,您可以根据自己的地址段位对应修改子网掩码。

专有云侧操作

说明

此步骤只对主要参数进行说明,其他配置参数设置请参见专有云企业版专有网络VPC用户指南

  1. 创建专有云侧VPC。

    1. 登录Apsara Uni-manager运营控制台。

    2. 在页面顶部的菜单栏中,单击产品>网络>专有网络VPC

    3. 在左侧导航栏中选择专有网络,单击创建专有网络,在创建专有网络VPC页面配置专有网络。

      1. 选择VPC所属组织。

      2. 填写VPC名称。

      3. 定义VPC所使用的地址段。

    4. 单击提交

  2. 创建vSwitch。

    1. 在左侧导航栏中选择交换机>创建交换机,在虚拟交换机页面配置交换机。

      1. 选择vSwitch所属组织。

      2. 选择地域

      3. 选择可用区

      4. 选择vSwitch所属的VPC。

      5. 填写vSwitch名称。

      6. 定义vSwitch网段。

    2. 单击提交

  3. 部署VPN网关。

    1. 在左侧导航栏中选择VPN>VPN网关

    2. 单击创建VPN网关

    3. 配置VPN网关后单击提交

      1. 选择VPN网关所在组织名称。

      2. 选择VPN网关所处地域。

      3. 填写VPN网关实例名称。

      4. 选择VPN网关所关联的VPC。

      5. 选择带宽规模。

      6. 开启IPsec-VPN能力。

  4. 创建用户网关。

    1. 在左侧导航栏中选择VPN>用户网关

    2. 单击创建用户网关

    3. 配置用户网关信息后单击提交

      1. 选择用户网关所在组织名称。

      2. 选择用户网关所处地域。

      3. 选择用户网关所处可用区。

      4. 填写用户网关名称。

      5. 输入专有云对端(即公共云端)VPN网关的地址。

  5. 创建IPsec连接。

    1. 在左侧导航栏中选择VPN>IPsec连接

    2. 单击创建IPsec连接

    3. 配置IPsec连接信息后单击提交

      1. 选择IPsec连接所在组织名称。

      2. 选择IPsec连接所处地域。

      3. 选择IPsec连接所处可用区。

      4. 填写IPsec连接名称。

      5. 选择需要关联的VPN网关。

      6. 选择需要关联的用户网关。

      7. 填写专有云侧的VPC网段。

      8. 填写专有云对端(即公共云侧VPC)的网段。

      高级配置中,专有云和公共云两端应保持一致。本实践选项如下图所示:创建IPsec连接

  6. 在VPN网关中添加路由。

    1. 在左侧导航栏中选择VPN>VPN网关

    2. 单击进入所关联的VPN网关。

    3. 选择目的路由表页签后单击添加路由条目

    4. 配置路由条目信息后单击确定。

      1. 选择发布到VPC。

      2. 选择下一跳为IPsec连接。

      3. 选择需要关联的IPsec连接。

      4. 填写专有云对端(即公共云侧VPC)网段。

公共云侧操作

  1. 登录公共云VPC控制台

  2. 创建公共云VPC。

    1. 选择专有网络>创建专有网络

    2. 创建专有网络页面配置专有网络。

      1. 填写VPC名称。

      2. 选择VPC所使用CIDR网段。

      3. 填写VPC内vSwitch名称。

      4. 选择vSwitch所在可用区。

      5. 填写vSwitch所使用的CIDR网段。

    3. 单击确定

  3. 购买VPN网关。

    说明

    公共云VPN网关需要在公共云控制台上购买。

    1. 选择VPN>VPN网关>创建VPN网关

    2. 在购买页面,配置VPN网关。

      1. 填写VPN网关实例名称。

      2. 选择VPN网关所处地域。

      3. 选择VPN网关所关联的VPC。

      4. 选择带宽规模。

      5. 开启IPsec-VPN能力。

    3. 单击立即购买并完成支付。

  4. 创建VPN用户网关。

    1. 选择VPN>用户网关>创建用户网关

    2. 创建用户网关页面,配置用户网关。

      1. 填写用户网关名称。

      2. 输入公共云对端(即专有云端)VPN网关的地址。

    3. 单击确定

  5. 在公共云上创建IPsec连接。

    1. 选择IPsec连接>创建IPsec连接

    2. 创建IPsec连接页面,配置IPsec连接。

      1. 填写IPsec连接名称。

      2. 选择需要关联的VPN网关。

      3. 选择需要关联的用户网关。

      4. 填写公共云侧的VPC网段。

      5. 填写公共云对端(即专有云侧VPC)的网段。

      高级配置中,公共云和专有云两端应保持一致。本实践选项如下图所示。公有云ipsec连接

    3. 单击确定

  6. 在VPN网关中添加路由。

    1. 在左侧导航栏中选择VPN>VPN网关,单击所关联的VPN网关。

    2. 单击添加路由条目,配置添加的路由条目信息。

      1. 填写公共云对端(即专有云侧VPC)网段。

      2. 选择下一跳类型IPsec连接

      3. 选择需要关联的IPsec连接。

      4. 选择发布到VPC

    3. 单击确定

联通性验证测试

  1. 确认公有云侧IPsec连接状态。

    1. 登录公共云VPC控制台

    2. 单击左侧导航栏IPsec连接

      IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功

  2. 确认专有云侧IPsec连接状态。

    1. 登录Apsara Uni-manager运营控制台。

    2. 在页面顶部的菜单栏中,单击产品>网络>专有网络VPC

    3. 在左侧导航栏中选择VPN>IPsec连接

      IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功

  3. 确认公共云和专有云ECS互通。

    1. 在公有云侧创建ECS,创建方式请参见云服务器ECS用户指南

    2. 在专有云侧创建ECS,创建方式请参见专有云企业版云服务器ECS用户指南

    3. 增加安全组策略。

      公共云和专有云侧均需修改ECS所对应的安全组,增加安全组策略,放通所涉及的IP和端口。下文以专有云侧为例。

      1. 登录Apsara Uni-manager运营控制台。

      2. 在顶部菜单栏中,选择产品>弹性计算>云服务器ECS

      3. 在左侧导航栏中,选择网络和安全>安全组

      4. 单击待配置安全组操作栏中的配置规则

      5. 在顶部状态栏处,选择组织资源集地域

      6. 找到安全组,在操作列中,单击配置规则

      7. 单击添加安全组规则

      8. 配置安全组规则属性。

        注意

        放通所要使用的IP和端口。

      9. 单击确定

    4. 测试公共云和专有云ECS联通性。

      1. 公共云ECS ping通专有云ECS。

        登录公共云ECS实例,ping专有云ECS实例测试通信是否正常。测通1

      2. 专有云ECS ping通公共云ECS。

        登录专有云ECS实例,ping公共云ECS实例测试通信是否正常。测通2

  • 本页导读
文档反馈