联合物联网卡和云连接器实现本地网络访问VPC

场景示例

本文以上图场景为例。某本地机构已在华东1（杭州）地域创建了一个VPC实例，并在VPC中使用云服务器ECS（Elastic Compute Service）产品部署了相关应用，现本地机构希望机构内的客户端可以私网访问VPC内的应用。

本地机构可以购买一台SAG-1000设备和一个物联网卡，然后再通过物联网卡和云连接器产品实现本地机构与VPC的私网互通。

网段规划

准备工作

• 您已经在阿里云华东1（杭州）地域创建了一个VPC实例，并使用ECS部署了相关业务。具体操作，请参见搭建IPv4专有网络。
• 您已经了解VPC中ECS实例所应用的安全组规则，并确保安全组规则允许本地机构和ECS实例互相通信。具体操作，请参见查询安全组规则和添加安全组规则。
• 您已开通云连接器服务。如未开通，请先完成开通服务。
• 您已购买并激活物联网卡，且获取了物联网卡的IP地址以及专用APN。具体操作，请参见新购凭证和激活物联网卡。
  购买物联网卡时，运营商需选择为虚拟运营商（一卡多网）、虚拟类型需选择三网全网通版、定向类型需选择为阿里定向-VPC出口。

  说明

  • 当前阿里定向-VPC出口定向类型的功能默认不开放，您需要向客户经理申请使用。
  • 本场景使用的是三网全网通的智能物联网卡，支持多个运营商网络通道，可以在移动、联通、电信运营商之间进行智能切换。关于智能物联网卡的更多信息，请参见智能卡简介。

  购买物联网卡后您可以在物联网无线连接服务控制台查看当前物联网卡在每一个运营商下可使用的APN信息和IP地址信息。具体操作，请参见查看卡详情。

步骤一：部署SAG设备

1. 购买SAG设备。
   1. 登录阿里云账号，单击购买页链接进入SAG设备购买页面。
   2. 在智能接入网关设备页面，根据以下信息配置SAG设备，然后单击立即购买。

      配置项	说明
      区域	选择SAG设备的使用区域。 本文选择中国内地。
      版本	选择SAG设备版本。 本文使用默认标准版。
      实例类型	选择SAG设备的规格。 本文选择SAG-1000。
      已有SAG硬件	选择是否已有SAG设备。 本文选择否。
      购买数量	选择SAG设备的购买数量。 本文选择1。

   3. 确认订单信息并选中服务协议，然后单击去支付。
   4. 在弹出的收货地址对话框，填写SAG设备的收货地址，然后单击去下单。
   5. 在弹出的支付页面，选择支付方式，然后完成支付。
      SAG设备会在下单后两个工作日内发货。
2. 连接SAG设备。
   1. 收到SAG设备后，请检查SAG设备配件是否完整。关于SAG设备配件信息，请参见SAG-1000设备说明。
      SAG设备检查完成后，请保持SAG设备启动。
   2. 通过网线，将本地机构的客户端连接至SAG设备的LAN口。
   3. 登录SAG设备的Web管理控制台，为SAG设备的LAN口添加一个IP地址。具体操作，请参见SAG-1000 Web配置。
      SAG设备LAN口的IP地址需与VPC内的IP地址以及本地机构内的IP地址互不冲突。

步骤二：部署云连接器

1. 创建云连接器实例。
   由于当前购买的是三网全网通的物联网卡，因此您需要根据以下步骤创建三个云连接器实例，每个云连接器实例关联一个运营商的APN信息。
   1. 登录云连接器管理控制台。
   2. 在顶部菜单栏处，选择云连接器实例所在的地域。
      云连接器实例所属的地域需和待互通的VPC实例的地域相同。本文选择华东1（杭州）。
   3. 在实例列表页面，单击创建实例。
   4. 在创建实例页面，根据以下信息配置实例，然后单击完成。

      配置	说明
      基本信息
      地域	系统自动显示需要创建云连接器实例的地域。 本文显示华东1（杭州）。
      名称	输入云连接器实例的名称。
      运营商	选择物联网卡所属的网络运营商。
      APN	选择物联网卡使用的运营商下的专用APN。
      网络配置
      VPC	选择已创建的VPC。 本地机构的客户端可通过SAG设备、物联网卡和云连接器实例连接至该VPC。
      交换机	选择VPC在两个不同可用区下已创建的交换机。 如果当前您在对应可用区下没有交换机，您可以单击输入框，然后在输入框底部单击新建交换机。更多信息，请参见创建和管理交换机。

      说明

      • 云连接器实例创建成功后，运营商和APN信息不可更改。
      • 创建云连接器实例时，系统会判断是否拥有服务关联角色AliyunServiceRoleForCCIoT和AliyunServiceRoleForNatgw，如果不存在，系统会自动创建上述服务关联角色。更多信息，请参见AliyunServiceRoleForCCIoT和AliyunServiceRoleForNatgw。
2. 添加物联网卡IP。

   创建云连接器实例后，您需要根据以下步骤分别为三个云连接器实例添加物联网卡IP，用于本地机构内的客户端通过物联网卡访问VPC内的应用。

   1. 在实例列表页面，找到目标云连接器实例，在操作列单击添加IP。
   2. 在IP管理页签下，单击下载IP模板，在模板中添加当前云连接器实例关联的运营商为物联网卡分配的IP地址，然后进行保存。
      此处的物联网卡IP地址即为您在准备工作中获取的物联网卡的IP地址。
   3. 在IP管理页签下，单击添加IP。
   4. 在 添加IP对话框，根据以下信息进行配置。
      1. 添加类型：选择添加的类型。本文选择IP。
      2. 上传IP：单击选择文件，然后选择已编辑的IP模板文件，上传完成后，单击确定。

      说明 待上传的IP地址文件需为CSV格式。
3. 创建云连接器实例组。
   1. 在左侧导航栏，选择实例组。
   2. 在实例组页面，单击创建实例组。
   3. 在创建实例组对话框，输入实例组的名称，然后单击确定。
4. 将云连接器实例添加至实例组。
   1. 在实例组页面，找到目标实例组，在操作列单击添加实例。
   2. 在添加实例页面，选中步骤1创建的三个云连接器实例，然后单击确定。
   3. 单击返回实例组列表。
5. 为实例组配置授权规则。
   您需要为云连接器实例组配置授权规则，将授权规则的目标地址配置为要访问的IP地址，即可实现本地机构的客户端访问VPC内的应用。
   1. 在实例组页面，找到目标实例组，在操作列单击配置授权规则。
   2. 在授权规则页签下，单击授权规则 > 添加规则。
   3. 在添加规则对话框，单击添加单个授权规则，然后根据以下信息配置授权规则，单击确定。

      配置	说明
      规则名称	输入自定义授权规则名称。
      目的	配置要访问的目标地址。 由于本地机构的客户端要通过SAG设备访问VPC内的应用，因此在您配置目标地址时，您除了要添加VPC应用所在的网段外，您还需要添加SAG设备使用的网段。关于需要配置的目标地址信息，请参见目标地址。
      动作	选择访问动作。本文选择允许。

      表 1. 目标地址

      目标地址类型	目标地址	说明
      域名	*.aliyuncs.com	SAG设备使用的网段和域名。
      	*.aliyun.com
      	*.alibaba-inc.com
      	*.ipify.org
      网段	106.15.83.15/32
      	106.15.100.130/32
      	139.196.67.8/32
      	47.102.52.9/32
      	47.101.62.108/32
      	114.114.114.114/32
      	223.5.5.5/32
      	10.0.0.0/24	VPC应用所属的网段。
      	10.0.1.0/24

步骤三：测试连通性

1. 将购买的物联网卡插入SAG设备。
   SAG设备出厂时会携带一个4G卡，但该4G卡只能从云端接收配置，不能用于传输数据。您可以将该4G卡替换为您购买的物联网卡，替换卡片后需将SAG设备断电重启。
2. 登录本地机构内的客户端（请确保该客户端已经连接至SAG设备的LAN口），在客户端中使用ping命令尝试访问ECS，如果可以收到响应报文，则表示本地机构和VPC之间已经实现私网互通。

   ping <ECS实例的私网IP地址>