混合云网络通:专有云企业版VPC和公共云VPC互联网场景联通实战
本实践基于专有云企业版混合云业务场景,联通专有云侧业务VPC和阿里云公共云上业务VPC网络。
前提条件
环境条件
已开通阿里云公共云账号。
已开通阿里云公共云专有网络VPC服务。
已开通阿里云公共云VPN网关服务。
配置条件
专有云平台具备出互联网能力。
背景信息
本实践利用阿里云公共云上的VPN网关服务,通过IPsec连接联通专有云企业版业务VPC网络和公共云业务VPC网络,架构图如下。
本文所涉及的IP地址均为示例,您需要根据实际的使用情况进行更改。
网络联通配置
准备工作
使专有云平台具备出互联网能力。
以下步骤为示例组网配置,具体出互联网能力根据您网络的实际情况而定。
配置云平台出口网络设备路由。
本文以H3C交换机为例。
登录专有云出口设备ISW,执行以下命令。
ip route-static 0.0.0.0 0 <Firewall_IP>
说明<Firewall_IP>为接入区防火墙地址。
默认路由指向云外互联网接入区防火墙。
配置互联网接入区防火墙。
本文以USG6600为例。
配置防火墙安全策略。
登录Firewall,执行以下命令。
firewall zone untrust set priority 5 add interface GigabitEthernet1/0/0(连互联网接口) # firewall zone trust set priority 85 add interface GigabitEthernet1/0/8(连专有云侧接口) # security-policy rule name policy_to_internet source-zone trust destination-zone untrust source-address <NAT_IP> mask <Subnet Mask> action permit #
配置防火墙SNAT。
登录Firewall,执行以下命令。
Firewall(以USG6600为例): nat-policy rule name policy_to_internet source-zone trust egress-interface GigabitEthernet1/0/0(连互联网接口) source-address <NAT_IP]> mask <Subnet Mask> action nat easy-ip #
说明<NAT_IP>为NAT前地址段。本文以10.14.0.0为例。
<Subnet Mask>为子网掩码。上述命令中子网掩码为255.255.0.0,您可以根据自己的地址段位对应修改子网掩码。
专有云侧操作
此步骤只对主要参数进行说明,其他配置参数设置请参见专有云企业版专有网络VPC用户指南。
创建专有云侧VPC。
登录Apsara Uni-manager运营控制台。
在页面顶部的菜单栏中,单击产品>网络>专有网络VPC。
在左侧导航栏中选择专有网络,单击创建专有网络,在创建专有网络VPC页面配置专有网络。
选择VPC所属组织。
填写VPC名称。
定义VPC所使用的地址段。
单击提交。
创建vSwitch。
在左侧导航栏中选择交换机>创建交换机,在虚拟交换机页面配置交换机。
选择vSwitch所属组织。
选择地域。
选择可用区。
选择vSwitch所属的VPC。
填写vSwitch名称。
定义vSwitch网段。
单击提交。
部署VPN网关。
在左侧导航栏中选择VPN>VPN网关。
单击创建VPN网关。
配置VPN网关后单击提交。
选择VPN网关所在组织名称。
选择VPN网关所处地域。
填写VPN网关实例名称。
选择VPN网关所关联的VPC。
选择带宽规模。
开启IPsec-VPN能力。
创建用户网关。
在左侧导航栏中选择VPN>用户网关。
单击创建用户网关。
配置用户网关信息后单击提交。
选择用户网关所在组织名称。
选择用户网关所处地域。
选择用户网关所处可用区。
填写用户网关名称。
输入专有云对端(即公共云端)VPN网关的地址。
创建IPsec连接。
在左侧导航栏中选择VPN>IPsec连接。
单击创建IPsec连接。
配置IPsec连接信息后单击提交。
选择IPsec连接所在组织名称。
选择IPsec连接所处地域。
选择IPsec连接所处可用区。
填写IPsec连接名称。
选择需要关联的VPN网关。
选择需要关联的用户网关。
填写专有云侧的VPC网段。
填写专有云对端(即公共云侧VPC)的网段。
高级配置中,专有云和公共云两端应保持一致。本实践选项如下图所示:
在VPN网关中添加路由。
在左侧导航栏中选择VPN>VPN网关。
单击进入所关联的VPN网关。
选择目的路由表页签后单击添加路由条目。
配置路由条目信息后单击确定。
选择发布到VPC。
选择下一跳为IPsec连接。
选择需要关联的IPsec连接。
填写专有云对端(即公共云侧VPC)网段。
公共云侧操作
创建公共云VPC。
选择专有网络>创建专有网络。
在创建专有网络页面配置专有网络。
填写VPC名称。
选择VPC所使用CIDR网段。
填写VPC内vSwitch名称。
选择vSwitch所在可用区。
填写vSwitch所使用的CIDR网段。
单击确定。
购买VPN网关。
说明公共云VPN网关需要在公共云控制台上购买。
选择VPN>VPN网关>创建VPN网关。
在购买页面,配置VPN网关。
填写VPN网关实例名称。
选择VPN网关所处地域。
选择VPN网关所关联的VPC。
选择带宽规模。
开启IPsec-VPN能力。
单击立即购买并完成支付。
创建VPN用户网关。
选择VPN>用户网关>创建用户网关。
在创建用户网关页面,配置用户网关。
填写用户网关名称。
输入公共云对端(即专有云端)VPN网关的地址。
单击确定。
在公共云上创建IPsec连接。
选择IPsec连接>创建IPsec连接。
在创建IPsec连接页面,配置IPsec连接。
填写IPsec连接名称。
选择需要关联的VPN网关。
选择需要关联的用户网关。
填写公共云侧的VPC网段。
填写公共云对端(即专有云侧VPC)的网段。
高级配置中,公共云和专有云两端应保持一致。本实践选项如下图所示。
单击确定。
在VPN网关中添加路由。
在左侧导航栏中选择VPN>VPN网关,单击所关联的VPN网关。
单击添加路由条目,配置添加的路由条目信息。
填写公共云对端(即专有云侧VPC)网段。
选择下一跳类型为IPsec连接。
选择需要关联的IPsec连接。
选择发布到VPC为是。
单击确定。
联通性验证测试
确认公有云侧IPsec连接状态。
单击左侧导航栏IPsec连接。
在IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功。
确认专有云侧IPsec连接状态。
登录Apsara Uni-manager运营控制台。
在页面顶部的菜单栏中,单击产品>网络>专有网络VPC。
在左侧导航栏中选择VPN>IPsec连接。
在IPsec连接页面确认IPsec连接状态列显示第二阶段协商成功。
确认公共云和专有云ECS互通。
在公有云侧创建ECS,创建方式请参见云服务器ECS用户指南。
在专有云侧创建ECS,创建方式请参见专有云企业版云服务器ECS用户指南。
增加安全组策略。
公共云和专有云侧均需修改ECS所对应的安全组,增加安全组策略,放通所涉及的IP和端口。下文以专有云侧为例。
登录Apsara Uni-manager运营控制台。
在顶部菜单栏中,选择产品>弹性计算>云服务器ECS。
在左侧导航栏中,选择网络和安全>安全组。
单击待配置安全组操作栏中的配置规则。
在顶部状态栏处,选择组织、资源集和地域。
找到安全组,在操作列中,单击配置规则。
单击添加安全组规则。
配置安全组规则属性。
注意放通所要使用的IP和端口。
单击确定。
测试公共云和专有云ECS联通性。
公共云ECS ping通专有云ECS。
登录公共云ECS实例,ping专有云ECS实例测试通信是否正常。
专有云ECS ping通公共云ECS。
登录专有云ECS实例,ping公共云ECS实例测试通信是否正常。
- 本页导读