IDC通过专线访问云服务
1 场景描述
客户除了访问VPC内的计算网络资源外,通常需要访问其他类型的云服务,如OSS,SLS,百炼,大数据计算服务。
阿里云上的云服务/云产品,从网络角度看可以分为3类:
客户VPC内部署的(标准的VPC私网地址),比如RDS,客户可以规划这些私网地址并通过标准的VPC内网网络或跨VPC网络设计进行通信
非客户VPC内部署的(没有标准的VPC私网地址)、但提供阿里云上公共地址段(100.64.0.0/10)内地址,如OSS。客户VPC可以直接访问到,但不支持私网地址规划和管理
只有公网地址(没有私网地址),如服务平台百炼。
该场景下客户的IDC需要通过专线访问VPC内部署以及非VPC内部署的云服务。
2 解决方案
2.1 客户需求
客户需要IDC/办公室连通云上,要求稳定质量或者大带宽,长期使用
客户需多云互联,要求稳定质量或者大带宽,长期使用
客户需要IDC/办公室等其他非阿里云系统访问阿里云云上云服务(例如数据库,对象存储等等),而这个访问时通过内网而不是公网访问的,可以参考以下云服务访问对比
2.2 方案架构
2.2.1 通常云服务访问形式
云服务访问方式 | 互联网访问 | 私有网络访问 |
复杂应用对访问质量有更高要求 |
|
|
企业级应用对于安全的要求更高 |
|
|
企业对IT应用提出降本增效新需求 |
| |
注意,专线需要一定施工时间,且受专线供应商/机房限制影响,通常来说不适合临时使用。如需快速完成IDC/其他云和阿里云互联,可采用IPsec VPN或3rd SD-WAN方案进行替代。
2.2.2 云服务架构
VPC内部署的云服务:通过ENI等形式提供,该云服务IP地址为VPC内交换机的所属网段。无需额外配置,完成专线和VPC的路由打通后,可以直接访问
私网地址接入云服务:该类型的云服务IP通常为100.64.0.0/10,IP地址不是VPC所属网段。
私网连接(Privatelink,PVL)接入云服务:该类型的云服务通过Privatelink产品接入VPC,提供的地址是VPC内地址。PVL接入的云服务可以参考集成私网连接的阿里云服务
2.2.3 访问云服务架构
本方案通过物理专线将客户本地 IDC 安全、低延迟地接入阿里云,经由 Express Connect 的边界路由器(VBR)和专线网关(ECR)连接至云企业网(CEN)的转发路由器(TR),实现 IDC 与云上 VPC 的私网互通;
根据云服务架构的不同,IDC 可通过不同方式访问阿里云云服务:
直接访问部署在 VPC 内的云服务(如通过 ENI 暴露的服务);
通过 TR 路由访问使用 100.64.0.0/10 私网地址段的云服务;
对于存在 IP 冲突或需增强安全管控的场景,采用 PrivateLink(PVL)将云服务以 VPC 内网地址形式安全暴露,确保所有访问均在私有网络中完成,避免公网暴露,同时支持跨地域、跨账号统一调度。
2.3 客户价值
客户可通过专线以私网方式安全、高效地访问阿里云各类云服务(如数据库、对象存储等),显著提升访问性能与安全性——相比公网访问,私网通道提供更低时延、更高稳定性,并默认关闭公网入口,减少攻击面;同时避免公网流量费用,降低总体成本。结合 ECR+TR 架构与 PrivateLink,客户还能灵活应对 IP 地址冲突、实现精细化访问控制,并在统一网络平台下完成 IDC 与多云资源的协同管理,真正实现安全可控、降本增效与运维简化。
2.4 涉及产品和计费
高速通道(物理专线接入):高速通道通过物理专线将您本地IDC内部网络连接到阿里云的接入点。物理专线的一端连接您本地IDC的网关设备,另一端连接高速通道的边界路由器VBR,实现更加安全可靠、速度更快、延迟更低的连接。
专线网关ECR:阿里云高速通道中用于连接物理专线与云上VPC的网络枢纽,负责路由转发和流量管理,实现本地IDC与云资源的私网互通。
转发路由器TR:阿里云云企业网(CEN)中的高性能网络中枢,支持跨地域、跨账号、混合云场景下的大规模VPC与本地IDC统一互联与智能路由调度,适用于中大型企业复杂组网需求。
私网连接:私网连接(PrivateLink)能够帮助您在阿里云VPC和本地数据中心中,通过私有网络,安全稳定地访问部署在其他 VPC中的服务,简化网络架构,同时避免通过公网访问服务带来的安全风险。
产品 | 计费 | 备注 |
高速通道EC | ||
转发路由器TR | ||
云数据传输CDT | 仅跨地域场景涉及 | |
私网连接PVL | 仅使用私网连接PVL的产品涉及 |
3 注意事项
专线本身不具备弹性能力,需提前规划,专线的扩容周期较长,带宽应满足未来至少3个月的业务增长需求,避免因带宽不足导致性能瓶颈和业务损失 。
使用专线QoS或VBR限速能力进行资源分配。
多接入点接入 :用户IDC通过至少两个独立的云专线接入点连接至少2个不同的阿里云接入点,实现物理链路的冗余和负载分担,多接入点接入时尽量选择不同运营商。
多专线接入 :在多接入点接入的基础上,在每个接入点可以增加更多的专线接入,专线需要选择不同运营商,接入路由,园区线路尽量不同。
多专线使用ECMP等价模式接入:相对于主备路由多专线接入模式,ECMP等价路由模式具备故障快速收敛,横向扩展性强,资源利用率高(偶发流量场景)等优势,建议业务无源进源出等限制的场景,多专线接入优先使用ECMP等价路由模式。
VPN作为专线备份:在企业版TR场景下,VPN支持备份专线,可使用VPN网关对专线进行冗余备份,保证专线全部中断下混合云连接依然可用。
优先使用BGP+BFD作为专线互联协议
优先使用ECR+TR作为专线上联产品,而不是VBR上联
配置监控和告警,使用容灾演练确定专线故障检测和恢复能力。
注意私网地址接入云服务,该类型的云服务IP通常为100.64.0.0/10,IDC不能使用该网段以避免冲突。如果冲突,该云服务如果接入私网连接,可使用私网连接的接入方式。
如需云服务网络访问控制,需要使用私网连接接入云服务
4 实施步骤
4.1 实施准备
确定云服务访问方式,完成云上网络和云下网络规划设计
4.2 操作步骤
4.2.1 专线配置
适用高速通道接入专线:选取专线接入点,联系供应商,并接入阿里云,参考独享专线接入流程或者共享专线接入流程。
独享专线方案
企业自主连接本地数据中心到阿里云接入点的专线,该方式独占一个物理端口。您可以通过高速通道控制台自主申请物理专线独享连接。
共享专线方案
合作伙伴的接入点已经与阿里云的接入点完成了对接。您只需联系阿里云的合作伙伴,合作伙伴会完成本地IDC机房到合作伙伴接入点的专线部署。在这种连接方式下,运营商和阿里云之间的连接是多租户共享。
高速通道接入完毕后,创建VBR,并配置BGP路由相关配置, 参考配置和管理BGP。注意 ECR场景下,VBR不支持静态路由
如需快速故障切换,可使用BFD+快速倒换组,参考配置快速倒换组
将VBR加入ECR,参考创建和管理专线网关ECR
ECR作为专线承载网关,接入地域转发路由器TR,创建ECR连接
TR连接本地域VPC,配置相应路由规则
如需访问其他地域资源,连接不同地域TR
4.2.2 云服务访问配置
4.3 监控告警设置点
请参考以下建议对专线进行云监控的告警规则配置:
监控对象 | 告警级别 | 监控指标和条件 |
高速通道-物理端口 | Info | 当以下某个条件发生时:
|
Warn | 当以下某个条件发生时:
| |
Critical | 当以下某个条件发生时:
| |
高速通道-边界路由器 | Info | 当以下某个条件发生时:
|
Warn | 当以下某个条件发生时:
| |
Critical | 当以下某个条件发生时:
| |
高速通道-专线网关 | Info | 当转发路由器(TR)实例监控维度以下某个条件发生时:
当跨域连接维度以下某个条件发生时:
|
Warn | 当转发路由器(TR)实例监控维度以下某个条件发生时:
当跨域连接维度以下某个条件发生时:
| |
Critical | 当转发路由器(TR)实例监控维度以下某个条件发生时:
当跨域连接维度以下某个条件发生时:
| |
高速通道-对等连接 | Info | 当实例维度以下某个条件发生时:
|
Warn | 当实例维度以下某个条件发生时:
| |
Critical | 当实例维度以下某个条件发生时:
|
订阅以下云监控系统事件并推送告警:
产品:高速通道-专线连接;事件类型:Down;事件名称:BGP Peer状态从Established变为Down