• 首页 > 
  • 混合云网络通:专有云企业版VPC和公共云VPC互联网场景联通实战

混合云网络通:专有云企业版VPC和公共云VPC互联网场景联通实战

本实践基于专有云企业版混合云业务场景,打通专有云侧业务VPC和阿里公共云上业务VPC网络。

前提条件

  • 环境条件

    • 已开通阿里公共云账号。

    • 已开通阿里公共云专有网络VPC服务。

    • 已开通阿里公共云VPN网关服务。

  • 配置条件

    专有云平台具备出互联网能力。

背景信息

本实践利用阿里公共云上的VPN网关服务,通过IPsec连接打通专有云企业版业务VPC网络和公共云业务VPC网络,架构图如下:架构图

说明

本文所涉及的IP地址均为示例,您需要根据实际的使用情况进行更改。

网络联通配置

  1. 准备工作。

    使专有云平台具备出互联网能力。

    以下步骤为示例组网配置,具体出互联网能力根据您网络的实际情况而定。

    1. 配置云平台出口网络设备路由。

      本文以H3C交换机为例。

      登录专有云出口设备ISW,执行以下命令。

      ip route-static 0.0.0.0 0 [$Firewall_IP]
      说明

      • [$Firewall_IP]为接入区防火墙地址。

      • 默认路由指向云外互联网接入区防火墙。

    2. 配置互联网接入区防火墙。

      本文以USG6600为例。

      1. 配置防火墙安全策略。

        登录Firewall,执行以下命令。

        firewall zone untrust
         set priority 5
         add interface GigabitEthernet1/0/0(连互联网接口)
        #
        firewall zone trust
         set priority 85
         add interface GigabitEthernet1/0/8(连专有云侧接口)
        #
        security-policy
         rule name policy_to_internet
          source-zone trust
          destination-zone untrust
          source-address [$NAT_IP] mask [$Subnet Mask]
          action permit
        #
        
      2. 配置防火墙SNAT。

        登录Firewall,执行以下命令。

        Firewall(以USG6600为例):
        nat-policy
         rule name policy_to_internet
          source-zone trust
          egress-interface GigabitEthernet1/0/0(连互联网接口)
          source-address [$NAT_IP] mask [$Subnet Mask]
          action nat easy-ip
        #
        说明

        • [$NAT_IP]为NAT前地址段。本文以10.14.0.0为例。

        • [$Subnet Mask]为子网掩码。上述命令中子网掩码为255.255.0.0,您可以根据自己的地址段位对应修改子网掩码。

  2. 专有云侧操作。

    说明

    此步骤只对主要参数进行说明,其他配置参数设置请参见专有云企业版专有网络VPC用户指南

    1. 创建专有云侧VPC。

      1. 登录Apsara Uni-manager运营控制台。

      2. 在页面顶部的菜单栏中,单击产品>网络>专有网络VPC

      3. 在左侧导航栏中选择专有网络,单击创建专有网络,在创建专有网络VPC页面配置专有网络。

        1. 选择VPC所属组织。

        2. 填写VPC名称。

        3. 定义VPC所使用的地址段。

      4. 单击提交

    2. 创建VSwitch。

      1. 在左侧导航栏中选择交换机>创建交换机,在虚拟交换机页面配置交换机。

        1. 选择VSwitch所属组织。

        2. 选择地域

        3. 选择可用区

        4. 选择VSwitch所属的VPC。

        5. 填写VSwitch名称。

        6. 定义VSwitch网段。

      2. 单击提交

    3. 部署VPN网关。

      1. 在左侧导航栏中选择VPN>VPN网关

      2. 单击创建VPN网关

      3. 配置VPN网关后单击提交

        1. 选择VPN网关所在组织名称。

        2. 选择VPN网关所处地域。

        3. 填写VPN网关实例名称。

        4. 选择VPN网关所关联的VPC。

        5. 选择带宽规模。

        6. 开启IPsec-VPN能力。

    4. 创建用户网关。

      1. 在左侧导航栏中选择VPN>用户网关

      2. 单击创建用户网关

      3. 配置用户网关信息后单击提交

        1. 选择用户网关所在组织名称。

        2. 选择用户网关所处地域。

        3. 选择用户网关所处可用区。

        4. 填写用户网关名称。

        5. 输入专有云对端(即公共云端)VPN网关的地址。

    5. 创建IPsec连接。

      1. 在左侧导航栏中选择VPN>IPsec连接

      2. 单击创建IPsec连接

      3. 配置IPsec连接信息后单击提交

        1. 选择IPsec连接所在组织名称。

        2. 选择IPsec连接所处地域。

        3. 选择IPsec连接所处可用区。

        4. 填写IPsec连接名称。

        5. 选择需要关联的VPN网关。

        6. 选择需要关联的用户网关。

        7. 填写专有云侧的VPC网段。

        8. 填写专有云对端(即公共云侧VPC)的网段。

        高级配置中,专有云和公共云两端应保持一致。本实践选项如下图所示:创建IPsec连接

    6. 在VPN网关中添加路由。

      1. 在左侧导航栏中选择VPN>VPN网关

      2. 单击进入所关联的VPN网关。

      3. 选择目的路由表页签后单击添加路由条目

      4. 配置路由条目信息后单击确定。

        1. 选择发布到VPC。

        2. 选择下一跳为IPsec连接。

        3. 选择需要关联的IPsec连接。

        4. 填写专有云对端(即公共云侧VPC)网段。

  3. 公共云侧操作。

    1. 登录公共云VPC控制台

    2. 创建公共云VPC。

      1. 选择专有网络>创建专有网络

      2. 创建专有网络页面配置专有网络。

        1. 填写VPC名称。

        2. 选择VPC所使用CIDR网段。

        3. 填写VPC内VSwitch名称。

        4. 选择VSwitch所在可用区。

        5. 填写VSwitch所使用的CIDR网段。

      3. 单击确定

    3. 购买VPN网关。

      说明

      公共云VPN网关需要在公共云控制台上购买。

      1. 选择VPN>VPN网关>创建VPN网关

      2. 在购买页面,配置VPN网关。

        1. 填写VPN网关实例名称。

        2. 选择VPN网关所处地域。

        3. 选择VPN网关所关联的VPC。

        4. 选择带宽规模。

        5. 开启IPsec-VPN能力。

      3. 单击立即购买并完成支付。

    4. 创建VPN用户网关。

      1. 选择VPN>用户网关>创建用户网关

      2. 创建用户网关页面,配置用户网关。

        1. 填写用户网关名称。

        2. 输入公共云对端(即专有云端)VPN网关的地址。

      3. 单击确定

    5. 在公共云上创建IPsec连接。

      1. 选择IPsec连接>创建IPsec连接

      2. 创建IPsec连接页面,配置IPsec连接。

        1. 填写IPsec连接名称。

        2. 选择需要关联的VPN网关。

        3. 选择需要关联的用户网关。

        4. 填写公共云侧的VPC网段。

        5. 填写公共云对端(即专有云侧VPC)的网段。

        高级配置中,公共云和专有云两端应保持一致。本实践选项如下图所示。公有云ipsec连接

      3. 单击确定

    6. 在VPN网关中添加路由。

      1. 在左侧导航栏中选择VPN>VPN网关,单击所关联的VPN网关。

      2. 单击添加路由条目,配置添加的路由条目信息。

        1. 填写公共云对端(即专有云侧VPC)网段。

        2. 选择下一跳类型IPsec连接

        3. 选择需要关联的IPsec连接。

        4. 选择发布到VPC

      3. 单击确定

联通性验证测试

  1. 确认公有云侧IPsec连接状态。

    1. 登录公共云VPC控制台

    2. 单击左侧导航栏IPsec连接

      IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功

  2. 确认专有云侧IPsec连接状态。

    1. 登录Apsara Uni-manager运营控制台。

    2. 在页面顶部的菜单栏中,单击产品>网络>专有网络VPC

    3. 在左侧导航栏中选择VPN>IPsec连接

      IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功。。

  3. 确认公共云和专有云ECS互通。

    1. 在公有云侧创建ECS,创建方式请参见云服务器ECS用户指南

    2. 在专有云侧创建ECS,创建方式请参见专有云企业版云服务器ECS用户指南

    3. 增加安全组策略。

      公共云和专有云侧均需修改ECS所对应的安全组,增加安全组策略,放通所涉及的IP和端口。下文以专有云侧为例。

      1. 登录Apsara Uni-manager运营控制台。

      2. 在顶部菜单栏单击产品>弹性计算>云服务器ECS。

      3. 在左侧导航栏中选择网络和安全>安全组。

      4. 单击待配置安全组操作栏中的配置规则。

      5. 在顶部状态栏处,选择组织、资源集和地域。

      6. 找到安全组,在操作列中,单击配置规则

      7. 单击添加安全组规则

      8. 配置安全组规则属性。

        注意

        放通所要使用的IP和端口。

      9. 单击确定

    4. 测试公共云和专有云ECS联通性。

      1. 公共云ECS ping通专有云ECS。

        登录公共云ECS实例,ping专有云ECS实例测试通信是否正常。测通1

      2. 专有云ECS ping通公共云ECS。

        登录专有云ECS实例,ping公共云ECS实例测试通信是否正常。测通2