本文为您介绍如何使用云企业网CEN(Cloud Enterprise Network),实现跨地域的本地数据中心IDC(Internet Data Center)上云互通。

方案概述

在企业发展过程中,企业可能会需要在海外创建分支机构,实现业务出海。同时,也会需要海外机构可以和国内总部互通。云企业网提供一种能够快速构建混合云和分布式业务系统的全球网络的方法,帮助您打造一张具有企业级规模和通信能力的云上网络。

本文以下图场景为例,为您介绍跨地域IDC上云互通方案。某企业在杭州拥有一个IDC,且企业已经在阿里云华东1(杭州)地域创建了一个专有网络VPC(Virtual Private Cloud),其中已在云服务器ECS(Elastic Compute Service)上部署了应用业务系统。现企业因业务扩展,已在海外创建了一个IDC作为海外总部。企业需要国内IDC、海外总部与云上VPC可以全互通,其中企业计划通过物理专线分别将杭州IDC和新加坡IDC接入阿里云,物理专线可为企业IDC提供高可靠的上云链路。跨地域异地容灾

准备工作

在您执行本文操作前,请先完成以下准备工作:
  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 您已经在阿里云华东1(杭州)地域部署了VPC。具体操作,请参见使用专有网络
  • 您已经通过跨境产品售卖合规检查。更多信息,请参见云企业网跨境售卖公告
  • 本文示例中的网段规划如下表所示。您可以自行规划网段,请确保您的网段之间没有重叠。
    配置项 网段规划 服务器IP地址
    IDC1 10.2.1.0/24 10.2.1.204
    IDC2 10.2.2.0/24 10.2.2.200
    VBR1
    • VLAN:0
    • 阿里云侧IPv4互联IP:172.16.1.2/30
    • 客户侧IPv4互联IP:172.16.1.1/30
    不涉及
    VBR2
    • VLAN:0
    • 阿里云侧IPv4互联IP:172.16.2.2/30
    • 客户侧IPv4互联IP:172.16.2.1/30
    不涉及
    VPC 192.168.20.0/24 192.168.20.161

配置流程

跨地域容灾-步骤

步骤一:创建物理专线

您需要在华东1(杭州)地域和新加坡地域分别申请一条物理专线,与杭州IDC的CPE1(Customer-premisesequipment)设备连接的物理专线的名称为leasedline1,与新加坡地域CPE2连接的物理专线的名称为leasedline2。具体操作,请参见创建独享专线连接创建共享专线连接

步骤二:创建VBR

边界路由器VBR(Virtual border router)是IDC中CPE设备和阿里云接入点连接的一个路由器,作为数据从IDC到阿里云机房之间的桥梁。物理专线的一端连接到您IDC的CPE设备,另一端连接到边界路由器。

  1. 登录高速通道管理控制台
  2. 在左侧导航栏,单击边界路由器(VBR)
  3. 在顶部状态栏,选择要创建的VBR的地域。
    本示例选择华东1(杭州)地域。
  4. 边界路由器(VBR)页面,单击创建边界路由器
  5. 创建边界路由器面板,根据以下信息配置边界路由器,然后单击确定
    • 账号类型:本示例选择当前账号
    • 名称:本示例输入VBR1。
    • 物理专线接口:选择申请的leasedline1接口。
    • VLANID:0。
    • 阿里云侧互联IP:172.16.1.2。
    • 客户侧互联IP:172.16.1.1。
    • 子网掩码:255.255.255.252。
  6. 重复上述步骤,为新加坡的物理专线创建VBR实例。
    配置参数如下:
    • 账号类型:本示例选择当前账号
    • 名称:本示例输入VBR2。
    • 物理专线接口:选择申请的leasedline2接口。
    • VLANID:0。
    • 阿里云侧互联IP:172.16.2.2。
    • 客户侧互联IP:172.16.2.1。
    • 子网掩码:255.255.255.252。

步骤三:配置VBR路由

您需要在VBR上分别添加指向IDC的路由。

  1. 边界路由器(VBR)页面,单击VBR1实例的ID。
  2. 单击路由条目页签,然后单击添加路由条目
  3. 添加路由条目面板,根据以下信息配置路由条目,然后单击确定
    • 下一跳类型:选择物理专线接口
    • 目标网段:输入IDC1中业务系统的网段。本示例输入10.2.1.0/24。
    • 下一跳:选择物理专线leasedline1接口。
  4. 重复上述步骤,为VBR2配置指向本地IDC的路由。
    配置参数如下:
    • 下一跳类型:选择物理专线接口
    • 目标网段:输入IDC2的网段。本示例输入10.2.2.0/24。
    • 下一跳:选择物理专线leasedline2接口。

VBR指向IDC的路由如下表所示:

实例 目标网段 下一跳
VBR1 10.2.1.0/24 leasedline1接口
VBR2 10.2.2.0/24 leasedline2接口

步骤四:加入云企业网

完成物理专线接入后,您需要将物理专线关联的VBR和要互通的VPC加入同一个云企业网中。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,创建云企业网实例。具体操作,请参见创建云企业网实例
    在您创建云企业网实例过程中,您需要加载一个网络实例,您从已创建的VPC或VBR实例中,选择一个即可。
  3. 云企业网实例页面,找到已创建的云企业网实例,单击操作列下的管理
  4. 单击网络实例管理页签,然后单击加载网络实例加载物理专线关联的VBR和要互通的VPC。
    本示例中需要将VBR1、VBR2、VPC加载到同一云企业网中,本操作请将剩余的VPC或VBR网络实例加载到云企业网中。具体操作,请参见加载网络实例

    网络实例加载完成后,VBR1、VBR2、VPC的路由条目会自动发布到云企业网中。

  5. 如果VPC中存在指向ECS实例、VPN网关、HAVIP等路由条目,请根据连通性需求,在VPC控制台将这些路由发布到云企业网中。
    具体操作,请参见发布路由到云企业网

步骤五:配置路由策略

为避免在双物理专线场景下,VBR发布同样的本地IDC路由到阿里云上,造成路由环路的风险,系统默认会在云企业网出地域网关方向添加优先级为5000、策略行为为拒绝的路由策略。该条路由策略会限制VBR、云连接网与加入到云企业网中的其它VBR、云连接网互通。在本文示例中,您需要分别在华东1(杭州)地域和新加坡地域添加高优先级的路由策略,允许VBR1和VBR2可以学习到对方的路由。

  1. 云企业网实例页面,找到目标云企业网实例,单击操作列下的管理
  2. 云企业网页面,单击路由策略页签,然后单击添加路由策略
  3. 添加路由策略页面,根据以下信息配置路由策略,然后单击确定
    本操作在华东1(杭州)地域添加路由策略,允许VBR2的路由传递到VBR1中。
    • 策略优先级:路由策略的优先级。优先级数字越小,优先级越高。本示例输入50
    • 地域:选择路由策略应用的地域。本示例选择华东1(杭州)
    • 应用方向:选择路由策略应用的方向。本示例选择出地域网关
    • 匹配条件:路由策略的匹配条件。本示例设置源实例ID列表为VBR1实例ID和VBR2的实例ID;目的实例ID列表为VBR1实例ID和VBR2的实例ID。
    • 策略行为:选择策略行为。本示例选择允许
    更多信息,请参见路由策略概述
  4. 请重复步骤3,在新加坡地域配置路由策略,允许VBR1的路由传递到VBR2中。
    • 策略优先级:路由策略的优先级。优先级数字越小,优先级越高。 本示例输入50
    • 地域:选择路由策略应用的地域。本示例选择新加坡
    • 应用方向:选择路由策略应用的方向。 本示例选择出地域网关
    • 匹配条件:路由策略的匹配条件。本示例设置源实例ID列表为VBR1实例ID和VBR2的实例ID;目的实例ID列表为VBR1实例ID和VBR2的实例ID。
    • 策略行为:选择策略行为。本示例选择允许
    配置完成后,云企业网、VPC和VBR中的路由条目如下所示:
    • 云企业网华东1(杭州)地域和新加坡地域下的路由条目
      目标网段 下一跳
      10.2.1.0/24 VBR1
      10.2.2.0/24 VBR2
      192.168.20.0/24 VPC
    • VPC中IDC的路由条目
      目标网段 下一跳
      10.2.1.0/24 VBR1
      10.2.2.0/24 VBR2
    • VBR1中的路由条目
      目标网段 下一跳
      10.2.1.0/24 物理专线
      10.2.2.0/24 VBR2
      192.168.20.0/24 VPC
    • VBR2中的路由条目
      目标网段 下一跳
      10.2.1.0/24 VBR1
      10.2.2.0/24 物理专线
      192.168.20.0/24 VPC

步骤六:设置跨地域带宽

网络实例加载完成后,您还需要设置跨地域带宽,实现华东1(杭州)和新加坡地域的互通。

  1. 购买并绑定带宽包。具体操作,请参见购买带宽包绑定带宽包
    本示例中购买中国内地区域至亚太区域的带宽包。
  2. 设置跨地域互通带宽。
    1. 登录云企业网管理控制台
    2. 云企业网实例页面,找到目标云企业网实例,单击操作列下的管理
    3. 单击跨地域互通带宽管理页签,然后单击设置跨地域带宽
    4. 设置跨地域带宽面板,根据以下信息配置跨地域互通带宽,然后单击确定
      • 带宽包:选择已购买的带宽包。
      • 互通地域:选择需要互通的地域。

        本示例选择华东1(杭州)新加坡

      • 带宽:输入跨地域互通带宽的带宽值。

        每个带宽包下的跨地域互通带宽的总和不能大于该带宽包的带宽值。更多信息,请参见设置跨地域互通带宽

步骤七:配置健康检查

您需要分别为两条物理专线配置健康检查,探测链路的连通性。健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,则判断健康检查失败。如果健康检查失败,请检查您的物理专线链路是否正常。具体操作,请参见故障排查

  1. 返回到云企业网实例页面。
  2. 在左侧导航栏,单击健康检查
  3. 选择VBR的地域,然后单击设置健康检查
    本示例选择华东1(杭州)
  4. 设置健康检查面板,根据以下信息配置健康检查,然后单击确定
    • 云企业网实例:选择VBR加载的云企业网实例。
    • 边界路由器(VBR):选择VBR1。
    • 源IP:本示例选择自动生成源IP

      使用自动生成源IP,系统将自动分配100.96.0.0/16地址段内IP地址,探测链路的连通性。

    • 目标IP:输入VBR1实例中客户侧IP地址。
    • 发包时间间隔(秒):指定健康检查时发送连续探测报文的时间间隔。单位:秒。本示例使用默认值。
    • 探测报文个数(个):指定健康检查时发送探测报文的个数。单位:个。本示例使用默认值。
    更多信息,请参见设置健康检查
  5. 重复上述步骤,为新加坡的物理专线配置健康检查。

步骤八:本地IDC侧配置

完成上述配置后,您可以分别在杭州IDC和新加坡IDC的CPE设备上,查看从云上学来的路由,同时您需要分别为两个IDC的CPE设备配置健康检查的回程路由。
  • 为CPE设备配置健康检查的回程路由。

    以下配置示例仅供参考,不同厂商的设备配置命令可能会有所不同。具体命令,请咨询相关设备的厂商。

    #IDC1配置
    ip route 100.96.0.0 255.255.0.0 172.16.1.2  #健康检查探测报文的回程路由
    
    #IDC2配置
    ip route 100.96.0.0 255.255.0.0 172.16.2.2  #健康检查探测报文的回程路由
  • IDC从云上学习到的路由如下所示。
    • IDC1
      目标网段 下一跳
      10.2.2.0/24 172.16.1.2
      192.168.20.0/24 172.16.1.2
    • IDC2
      目标网段 下一跳
      10.2.1.0/24 172.16.2.2
      192.168.20.0/24 172.16.2.2

步骤九:连通性测试

完成以下操作,测试网络的连通性:
说明 在您执行以下步骤前,请您先了解您VPC中的ECS实例所应用的安全组规则,确保安全组规则允许IDC中的设备访问VPC中的ECS实例。具体操作,请参见查询安全组规则
  1. 登录阿里云VPC中的ECS实例。具体操作,请参见连接方式概述ECS远程连接操作指南
  2. 执行ping命令,ping杭州IDC的服务器10.2.1.204,如果能接收到回复报文,则表示网络连接成功。
    经验证,VPC和杭州IDC可正常通信。跨地域IDC-ping业务
  3. 在新加坡IDC下,打开客户端的命令行窗口。
  4. 执行ping命令,ping杭州IDC的服务器地址,如果能接收到回复报文,则表示新加坡IDC和杭州IDC可正常通信。
    经验证,新加坡IDC和杭州IDC可正常通信。跨地域IDC-ping业务
  5. 依旧在新加坡客户端下,执行ping命令,ping云上VPC的服务器IP地址192.168.20.161,如果能接收到回复报文,则表示网络连接成功。
    经验证,VPC和新加坡IDC可以正常通信。专线静态主备-ping