本文为您介绍如何通过智能接入网关SAG(Smart Access Gateway)vCPE将已经部署在亚马逊云计算服务(AWS)平台中的云服务接入阿里云实现多云互通。

方案概述

在企业上云过程中,企业可能会因分支机构服务不同、境内和境外部署业务不同选择不同的云服务提供商,企业总部和分支机构之间要相互通信,则需要云间互联技术。SAG vCPE是智能接入网关的软件镜像版,可为您提供云间互联技术。SAG vCPE突破了物理的限制,支持多种形态的网络加密接入阿里云。您可以将SAG vCPE镜像部署在AWS的云服务器中,部署后,SAG vCPE作为一个虚拟CPE设备帮您提供服务,实现AWS云服务和阿里云服务的互连互通。

场景说明

本文以下图场景为例,为您介绍SAG vCPE如何实现多云互通。某新加坡企业在AWS平台部署有业务系统,在阿里云平台部署有安全服务系统。出于安全考虑,企业希望员工在访问互联网时,其流量能够先通过阿里云平台的安全服务系统进行过滤,然后再进行通信。基于上述期望,企业需要AWS云服务和阿里云服务能够互联互通,企业计划使用SAG vCPE产品实现AWS云服务和阿里云服务之间互联互通的需求。

SAG vCPE上云

准备工作

在您开始操作前,请确保您已经满足以下条件:
  • 您已经在AWS中部署了业务系统。部署详情请咨询相关云服务提供商。
  • 您已经在阿里云中创建了专有网络VPC(Virtual Private Cloud)并部署了相关服务。具体操作,请参见使用专有网络
  • 本文示例中,网段规划如下表所示。您可以自行规划网段,请确保您的网段之间没有重叠。
    配置目标 网段规划 服务器IP地址
    阿里云VPC 192.168.0.0/24 192.168.20.161
    AWS 10.0.2.0/24 10.0.2.210

配置流程

AWS流程

步骤一:购买SAG vCPE设备

您需要在智能接入网关管理控制台,购买SAG vCPE设备和带宽,购买后系统会为您创建一个SAG vCPE实例,以便您管理SAG vCPE设备并对其进行网络配置。

  1. 登录智能接入网关管理控制台
  2. 智能接入网关页面,单击购买智能接入网关
  3. 选择创建智能接入网关(VCPE),根据以下信息配置SAG vCPE购买信息,然后单击立即购买
    • 区域:选择SAG vCPE使用的区域。本示例选择亚太东南1(新加坡)
    • 实例名称:输入SAG vCPE的实例名称。

      实例名称为非必填参数,长度为2~128个字符,以大小写字母或中文开头,可包含数字,半角句号(.),下划线(_)或短划线(-)。

    • 实例类型:选择SAG vCPE的实例类型。默认为SAG-vCPE
    • 版本:选择SAG vCPE的版本。默认为基础版
    • 使用方式:选择SAG vCPE的使用方式。默认为双机

      购买两台SAG vCPE,共享上云接入带宽,主设备故障时可切换到备用设备。本示例中只使用主设备。

    • 带宽峰值:选择网络通信的带宽峰值。单位:Mbps。
    • 购买数量:选择您需要购买的SAG vCPE实例的数量。本示例输入1
    • 购买时长:选择购买时长。

      您可以选中下方的到期自动续费进行自动续费。

  4. 确认订单页面,确认订单信息并选中我已阅读并同意《智能接入网关vCPE软件版服务协议》,单击去支付
  5. 返回智能接入网关管理控制台,在顶部菜单栏,选择已创建实例的区域。
  6. 智能接入网关页面,单击已创建的实例ID。
  7. 在智能接入网关详情页面,单击设备管理,查看并记录当前SAG vCPE主设备的序列号和密钥。查看SN和密钥

步骤二:部署SAG vCPE镜像

为实现AWS和阿里云的云服务互通,您需要在已创建的AWS云服务的VPC网络中新建一个实例,用于部署SAG vCPE镜像。部署完成后,AWS SAG vCPE实例可作为AWS云服务与阿里云云服务互通的桥梁。

新建实例的详细步骤请参见云服务提供商相关文档,在新建过程中请注意以下步骤说明。

  1. 为实例选择系统镜像时,请选择SAG vCPE的镜像进行启动。
    当前SAG vCPE的镜像处于私有状态,请您提交工单给阿里云团队,提供AWS账号后SAG vCPE的镜像可被分享到您的账号。选择AMI
  2. 选择实例类型时,推荐您选择2核vCPU,4 GB内存的实例规格。
    SAG vCPE镜像在2核vCPU,4 GB内存的实例规格下,加密私网带宽可达300 Mbps以上(1024字节)。SAG vCPE镜像也支持1核vCPU,2 GB内存的实例规格,在此规格下系统性能会降低30%以上,您可根据业务需要进行选择。2C4G
  3. 配置实例时,请将SAG vCPE设备的序列号和密钥与实例进行绑定并保证实例分配了公网IP地址。
    序列号和密钥绑定示例如下所示:
    {"sn":"sage6m2ph5sit**********","key":"y7y7LUWqnbc4fCpIJnxRQ2c1nOYtW***********"}
    AMI绑定SN
  4. 配置安全组时,您需要允许阿里云云服务私网网段和AWS云服务私网网段可以访问SAG vCPE实例。
  5. 实例启动后,您需要关闭源、目标检查。
    关闭源目检查

步骤三:SAG vCPE设备网络配置

AWS SAG vCPE实例部署完成后,该实例可作为一个虚拟的CPE设备帮您提供服务。您还需要在智能接入网关管理控制台对该虚拟设备进行网络配置,以便AWS SAG vCPE实例能正常接入阿里云并访问其云服务。

  1. 配置线下路由同步方式。
    1. 登录智能接入网关管理控制台
    2. 在顶部菜单栏,选择目标区域。
    3. 智能接入网关页面,找到目标实例,单击操作列的网络配置
    4. 线下路由同步方式页面,单击添加静态路由
    5. 添加静态路由对话框,输入您AWS云服务所在的私网网段,单击确定
      线下路由同步
  2. 绑定云连接网。
    云连接网是智能接入网关的重要组成部分,智能接入网关通过云连接网将您的网络接入阿里云。更多信息,请参见云连接网介绍

    如果您未创建过云连接网,请先创建云连接网实例,再进行下面的绑定操作。具体操作,请参见创建云连接网

    1. 智能接入网关页面,找到目标实例,单击操作列的网络配置
    2. 单击绑定网络详情页签。
    3. 单击添加网络,在添加网络对话框,选择目标云连接网实例,然后单击确定
    4. 在您绑定网络后,在设备管理页签下,SAG vCPE设备的VPN状态和管控状态均变为正常。
      查看SAG vCPE状态
  3. 配置云企业网。
    云企业网可让SAG vCPE设备和阿里云上VPC资源互通。更多信息,请参见什么是云企业网

    您需要参考以下操作将SAG vCPE设备绑定云企业网,并在云企业网中加载已创建的VPC实例,操作完成后,SAG vCPE和阿里云上VPC实例可学习到对方的路由。

    1. 在左侧导航栏,单击云连接网
    2. 云连接网页面,找到目标云连接网实例,单击操作列的绑定云企业网
    3. 绑定云企业网页面,选择要绑定的云企业网实例,然后单击确定
      您可以通过以下两种方式选择目标云企业网实例,本示例选择新建CEN
      • 选择现有CEN:如果您已经创建了云企业网,您可以单击下方文本框,选择已创建的云企业网实例进行绑定。
      • 新建CEN:如果您未创建过云企业网,您可以在下方文本框中,输入云企业网实例名称,系统会为您新建云企业网实例并自动进行绑定。

        云企业网实例名称长度为2~100个字符,以大小字母或中文开头,可包含数字、下划线(_)或短划线(-)。

    4. 将您已经创建的阿里云VPC实例,绑定到此云企业网中。具体操作,请参见加载网络实例
    5. 将VPC加载到云企业网后,您需要为VPC下的云服务器ECS(Elastic Compute Service)配置安全组,允许AWS云服务实例的私网网段访问VPC资源。具体操作,请参见添加安全组规则
      安全组设置

步骤四:AWS云服务实例配置

为实现AWS和阿里云资源互通,您还需要执行以下步骤完成对AWS云服务实例的配置,步骤中需要执行的具体命令请咨询相应云服务提供商。

  1. 登录AWS云服务中要访问阿里云云服务的实例。
  2. 为实例配置路由。
    在AWS的VPC中配置路由,将要访问的阿里云云服务网段的下一跳指向VPC中SAG vCPE实例,由SAG vCPE实例帮您完成和阿里云云服务的互通。AWS配置路由
  3. 为实例配置安全组。
    允许阿里云云服务私网网段和SAG vCPE私网网段访问AWS云服务。
  4. 路由配置完成后,测试网络连通性。
    1. 登录阿里云VPC中的ECS实例。具体操作,请参见连接方式概述ECS远程连接操作指南
    2. 通过ping命令,ping AWS云服务实例的私网IP地址,测试AWS云服务和阿里云云服务之间的连通性。
      经验证,AWS云服务和阿里云云服务之间可以正常通信。SAG vCPE-ping