混合云网络通：混合云管理（专有云企业版）专线场景联通实战-阿里云帮助中心

本次实践将基于专有云企业版混合云业务场景，利用专线线路打通混合云管理平台调用公共云接口的能力，管理公共云。

前提条件

已开通阿里公共云账号。
已开通阿里公共云专有网络。
已开通阿里公共云高速通道服务。
已开通专有云企业版租户侧DNS产品。

背景信息

联通后将具备以下能力：

专有云租户侧DNS负责将公共云域名转发至公共云VPC内的Private Zone进行查找。
利用专有云平台物理专线的路径，混合云管理平台联通阿里公共云VPC内的API接口Endpoint，调用OpenAPI管理公共云。

说明

本文所涉及的IP地址均为示例，您需要根据实际的使用情况进行更改。

公共云侧操作

开通高速通道。

登录高速通道管理控制台。
在左侧导航栏，单击物理专线连接>独享物理专线。
选择所在Region。
单击自主申请专线接口。

配置物理专线接入端口信息。

名称	描述
地域	选择物理专线接入地域。您期望安装专线的地域，一般为您VPC所在的地域，如果选择跨地域安装，您需要额外支付连接跨地域的云企业网费用。
运营商	选择租用专线的运营商。为您提供专线服务的电信运营商，不同运营商可选择的接入点是不同的。说明中国联通、中国电信和中国移动只能使用自己的专线，不允许使用其他运营商提供的专线。中国联通、中国电信和中国移动不支持裸光纤接入。
接入点	选择离您本地数据中心最近的一个接入点。接入点是物理阿里云在各个地域的数据中心，每个地域下会有一个或者多个接入点。不同接入点对应不同的物理线路接入位置和接入能力。
知晓计费规则	确保您已经了解专线接入的计费规则。知晓计费规则后，选择是。
端口规格	不同规格的端口资源占用费价格不同，请按实际需求申请。物理专线带宽小于1 Gbps时，请购买1G专线端口。物理专线带宽大于1 Gbps时，请购买10G专线端口。专线带宽从500 Mbps升配到2 Gbps时，需要您自主联系运营商调整线路带宽，并联系阿里云更换光模块。说明 40G和100G需要开通白名单申请。
端口类型	选择使用电口或光口：电口都是MSTP链路，运营商在接入点机房通过光端机将传输网的光路转换为低带宽的网线RJ45接口给用户使用的。行业标准就是百兆以下速率都会提供这个接口类型，所以低带宽适合选择百兆电口。阿里云接入点的交换机硬件型号所支持的电口默认10GE端口。端口速率由端口规格决定。光口，俗称裸光纤，运营商直接将传输网的光路给最终用户使用。光路的速率理论上无限大，只取决于互联两端接口的光模块协商速率，例如千兆、万兆、40G和100G。说明不同接入点提供的端口类型不同，在购买专线端口时请仔细确认。阿里云默认提供端口规格为1G和10G且传输距离为10公里的光模块，超过10公里的光模块或者购买端口规格为40G和100G端口均需自行购买光模块。购买光口，请确保线路供应商提供光纤线路接入阿里设备。阿里云不支持托管任何光电转换设备，请要求线路供应商接入阿里设备时使用正确的线路类型。
冗余专线 ID	选择一条已申请的物理专线和该条专线构成ECMP冗余链路。接入同一地域的两条物理专线可以作为冗余物理专线：当接入不同的接入点时，两条物理专线默认相互冗余。当接入相同的接入点时，需要指定其中一条专线为另一条的冗余线路。互为冗余的线路分配到不同的物理接入设备上。

单击立即购买，在确认订单页面，单击去支付。

机房布线施工。

返回物理专线接口页面，查看已申请的物理专线接口。
此时，物理专线接口的状态为LOA待申请。
单击操作列的申请LOA。
LOA是进入阿里接入点所在机房进行专线施工的授权书，没有此文件，无法进入阿里机房施工。

在申请LOA页面，输入专线施工信息，然后单击添加施工工程师，填写施工工程师身份信息，可以添加多个施工工程师。

如果需要提前告知机房位置和设备端口等信息，请提交工单或者联系销售人员处理。

名称	描述
公司名称	当前用户注册账号时设置的公司名称。个人用户可以填写账号所有者姓名。
进入阿里机房施工单位	输入您的施工运营商的单位名称，一般是您的专线运营商或者IDC运营商。
专线类型	选择专线类型，包括以下选项： MSTP MPLSVPN 光纤直连其他说明不支持SDH专线。
计划施工时间	设置专线施工单位入场时间。
本地IDC地址	输入您本地数据中心的位置，可选。
专线带宽值	输入您的专线线路带宽，可选。说明此处填写的带宽不会影响您的资费和使用。
单击添加施工工程师，进入阿里云机房施工工程师的个人信息为必选项。
工程师姓名	进入阿里机房施工工程师姓名。
工程师联系方式	进入阿里机房施工工程师联系方式。
工程师证件类型	进入阿里机房施工工程师有效证件类型。身份证国际护照其他证件
工程师证件号码	进入阿里机房施工工程师证件号码。
工程师性别	进入阿里机房施工工程师性别。

单击确定，阿里云审核人员会对您的LOA申请进行审核。
此时，物理专线接口的状态为LOA申请中。
正常情况下，阿里云审核人员2个工作日内审核通过后，您可以在控制台下载LOA文件。
此时，物理专线接口的状态为LOA已批准。
说明
非境内接入点，阿里审核人员会在3个工作日内完成审核。
单击操作列的查看LOA。
在查看LOA页面，单击下载，下载LOA文件。LOA文件可查看接入设备的机柜位置和端口信息等信息。
根据LOA信息，联系专线施工方按照专线工勘时确认的接入方案，将专线接入阿里机房包间外的接入设备。
说明
- 专线施工方完成施工后，请要求施工方向您提供专线线路的检查报告，确保到运营商网络的连接是正常的。
- 境内机房，阿里工程师会协助专线施工方完成专线接入到阿里包间。您在控制台单击完工报竣后，工程师会完成尾纤铺设，并接入到专线端口。
- 境外机房，专线施工方完成专线接入到阿里包间外的接入设备（ODF/Patch Pannel等）。您在控制台单击完工报竣后，工程师会完成尾纤铺设，并接入到专线端口。
- 进入北京、上海、杭州和深圳的中国电信、中国联通和中国移动IDC施工，运营商会要求您额外签署机房专线接入授权书，该文件需要在施工时交付给运营商审核人员，请您提前准备该文件。
- 运营商的机房专线接入授权书，需要您公司和阿里盖章认证，申请阿里盖章，请提交工单或联系阿里客户经理。
- 阿里云出具的LOA，请交付给的阿里驻场工程师。
施工方完成施工后，联系施工的运营商人员获取运营商专线ID和楼内线缆标签或配线架端口信息，然后在独享物理专线页面，单击完工报竣。在完工报竣页面输入获取的线路信息，单击确定进行完工确认。
此时，物理专线接口的状态为等待阿里尾纤施工。
正常情况下，两个工作日内，阿里云驻场工程师会根据客户信息将专线插入指定阿里云接入点机房的专线端口。
此时，物理专线接口的状态为等待用户支付。
说明
非境内接入点，阿里驻场工程师会在3个工作日内完成阿里侧的尾纤施工。
您确认物理专线接口成功部署后，单击操作列的支付资源占用费，选择购买时长和续费方式，单击立即购买，支付资源占用费。
支付完成后，专线状态变为已开通，表示专线开通成功。

创建边界路由。

在左侧导航栏，单击边界路由器（VBR）>边界路由器（VBR）。
选择所在的Region。
单击创建边界路由器。

配置边界路由器，然后单击确定。

名称	描述
账号类型	默认为当前账号。即选择为同一账号创建边界路由器。
名称	账号类型为当前账号时，才显示配置此参数，设置边界路由器的名称。
物理专线接口	选择VBR所要对应的物理专线ID。
VLAN ID	定义的互通VLAN-ID。
阿里云侧IPv4互联IP	公共云侧接口IP。
客户侧IPv4互联IP	专有云侧接口IP。
IPv4子网掩码	阿里云侧和客户侧IPv4地址的子网掩码。由于只需要两个IP地址，所以可以选择较长的子网掩码。

单击进入刚创建的VBR，选择路由条目页签。
单击添加路由条目。
配置条目后单击确定。
名称
描述
目标网段
专有云平台内混合云管理平台地址网段路由。
下一跳类型
选择指向物理专线接口。
下一跳
选择所对应的专线接口ID。
选择BGP组页签，单击创建BGP组。

名称	描述
目标网段	专有云平台内混合云管理平台地址网段路由。
下一跳类型	选择指向物理专线接口。
下一跳	选择所对应的专线接口ID。

配置BGP组后单击确定。

配置	说明
IPv6	选中IPv6复选框开启IPv6地址。
名称	输入BGP组的名称。
Peer AS号	输入本地数据中心侧网络的AS（Autonomous System）号码。
BGP密钥	输入该BGP组的密钥。
描述	输入BGP组的描述信息。

选择BGP邻居页签，单击创建BGP邻居。
填写对端专有云内BGP邻居IP地址后单击确定。

创建CEN实例。

登录云企业网控制台。
在云企业网实例页面，单击创建云企业网实例。

配置云企业网实例后单击确定。

名称	描述
名称	填写实例名称。
描述	（可选）输入实例描述信息。
实例类型	选择边界路由器（VBR）。
地域	选择实例所在Region。
网络实例	选择所需要挂载的VBR实例。

CEN设置云服务。

登录云企业网管理控制台。
单击目标云企业网实例ID。
选择云服务页签，然后单击设置云服务。

配置以下参数。

名称	描述
云服务IP地址	填写云服务IP地址，（即OpenAPI内网Endpoint地址段）。一般定义为100.100.0.0/16。
服务所在地	选择Endpoint所在Region。
服务VPC	选择对应的VPC。
访问所在地	填写访问地，一般为本地访问。
描述	自定义描述信息，要求在256字以内。

设置后VBR自动向客户侧BGP发布云服务地址路由，无需单独手工发布

设置Private Zone。
1. 选择Private Zone页签，单击设置PrivateZone。
2. 配置以下参数。
  名称
  描述
  服务所在地
  选择服务所在的Region。
  服务VPC
  选择服务所在的VPC。
  访问所在地
  选择发起访问的地域，一般为本地访问。
  设置后VBR自动向客户侧BGP发布Private Zone地址路由，无需单独手工发布。

名称	描述
服务所在地	选择服务所在的Region。
服务VPC	选择服务所在的VPC。
访问所在地	选择发起访问的地域，一般为本地访问。

添加PrivateZone。

登录到云解析DNS控制台。
在左侧导航栏中单击PrivateZone，并单击添加Zone。

在添加PrivateZone对话框中，填写以下内容后单击确定。

名称	描述
Zone名称	设置一个已支持云解析Endpoint接入地址，如vpc.cn-example.aliyuncs.com。
子域名递归解析代理	选中后，当DNS查询的域名以Zone名称为后缀，但是在Zone文件里未配置时，会以公网的权威解析为准。

添加完成，您可在Zone列表中看到新添加的Zone。

对于已添加的Zone，其记录数下的数值代表该私有域名的PrivateZone解析记录数量。单击Zone名称，可以进入解析记录控制台，为该私有域名添加PrivateZone解析记录。
1. 找到需要配置PrivateZone解析记录的Zone，并单击其名称，进入解析设置控制台。
2. 在解析设置页面，单击添加记录。
3. 为该Zone（私有域名）添加PrivateZone解析记录后单击确定。
  名称
  描述
  记录类型
  选择CNAME。
  主机记录
  填写@可以解析@.exmaple.com域名。
  记录值
  设置为对应地域下的CNAME记录值。
  TTL值
  生存时间，选择了1分钟。
PrivateZone关联VPC。
1. 找到需要关联VPC的Zone，单击其操作列下的关联VPC。
2. 在关联VPC对话框中，从对应地域的专有网络列表中选择并添加需要关联的VPC。
通过内网调用API。
设置域名之后，各个产品可以通过混合云的管理平台，去调用公共云的Endpoint。
调用方法请参见如何通过内网调用API文档。

名称	描述
记录类型	选择CNAME。
主机记录	填写@可以解析@.exmaple.com域名。
记录值	设置为对应地域下的CNAME记录值。
TTL值	生存时间，选择了1分钟。

专有云侧操作

配置出口网络设备路由协议。
- ISW上通过静态路由方式。
  登录专有云出口设备ISW，执行以下命令。
```
ip route-static [$IP] [$IP_Prefix] [$GW_IP] preference 10 ------将公共云侧云服务和PrivateZone地址段路由指向公共云侧接入点
```
  说明
  - [$IP]:公共云侧云服务和PrivateZone地址段路由。
  - [$IP_Prefix]：地址段路由对应的掩码。
  - [$GW_IP]：公共云侧接入点IP。
- ISW上通过BGP路由方式。
  如果云平台出口设备是通过BGP和公共云侧通信，需要在相关配置中设置专有云侧的混合云管理平台地址段路由和公共云侧云服务及Private Zone地址段路由。

配置租户DNS。

登录域名控制台。
单击左侧导航栏中的内网DNS解析管理。
单击全局转发配置。

单击添加域名后，填写相关配置。

名称	描述
全局转发域名	填写公共云内网API Endpoint域名，前文Private Zone内配置的一致。
转发模式	选择强制转发模式。
转发目的IP列表	填写公共云侧创建的内网PrivateZone服务地址。