通过云盒物理专线实现本地IDC与云盒互通

本文为您介绍如何通过云盒物理专线实现本地IDC与云盒(Cloud Box)互通。

背景信息

云盒是将阿里云公共云的计算、存储、网络等基础设施以软硬一体方式,延伸部署到您的本地机房,满足数据安全、数据本地处理、低延时等业务需求的全托管云服务。关于云盒的更多信息,请参见什么是云盒

专有网络 VPC(Virtual Private Cloud)是逻辑上彻底隔离的云上私有网络。您可以在指定地域部署云盒并创建虚拟交换机(子网),然后通过物理专线将云上VPC延伸到本地IDC的云盒中。架构图

前提条件

  • 您已经购买并完成了云盒的安装部署。具体操作,请参见入门概述

  • 您已经在云盒所属地域下创建了一个VPC2,并在该VPC2下创建一个云盒子网,且需确保云盒子网和公共云之间的网络连通性正常。具体操作,请参见配置网络

  • 您已经通过物理专线实现本地IDC与阿里云公共云上云盒VPC2的互通。具体操作,请参见通过物理专线实现本地IDC与云上VPC互通

配置流程

流程

步骤一:购买云盒物理专线

在配置本地IDC与云盒互通前,您需要先购买一条云盒物理专线以实现本地IDC可以通过该专线连接到云盒物理端口。

  1. 登录高速通道管理控制台

  2. 在顶部菜单栏,选择目标地域。

  3. 物理端口页面,单击申请物理端口,配置以下参数,然后单击确定

    此处仅列出与云盒强相关的配置项。本文通过自主创建物理专线(独享端口)方式创建云盒物理专线,更多信息,请参见创建和管理独享专线连接

    接入点:选择目标地域的云盒接入点。

    云盒设备集群名:选择云盒设备集群。

    说明
    • 云盒专线端口购买需要联系您的阿里云客户经理申请权限。

    • 云盒物理专线和云上互联仅支持独享端口互联。

    • 云盒物理专线端口费用为0元,但需要您进行0元续费,否则将会影响端口状态。

步骤二:为云盒物理专线创建边界路由器

云盒物理专线开通后,您还需要为云盒物理专线创建一个边界路由器VBR(Virtual Border Router),该VBR是实现数据从VPC到本地IDC转发的桥梁。

  1. 登录高速通道管理控制台

  2. 在顶部菜单栏,选择目标地域。

  3. 物理端口页面,找到已开通的云盒物理专线,单击实例ID。

  4. 边界路由器页签,单击创建边界路由器

  5. 创建边界路由器面板,配置以下参数信息,然后单击确定

    配置

    说明

    基础信息

    账号类型

    创建VBR的账号类型。默认选择当前账号,为当前登录的阿里云账号创建VBR。

    名称

    设置VBR的名称。

    资源组

    在下拉列表中选择实例所属的资源组。

    您可以单击管理资源组前往资源管理控制台创建或修改资源组。更多操作,请参见创建资源组

    标签

    • 标签键:标签的标签键,支持选择已有标签键或输入新的标签键。标签键最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    • 标签值:标签的标签值,支持选择已有标签值或输入新的标签值。标签值最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    物理专线接口信息

    物理专线接口

    选择VBR需要绑定的物理专线接口类型,确保物理专线施工完成且状态正常,然后在下拉列表中选择具体的物理专线接口。

    支持的物理专线接口类型如下:

    • 独享专线:为独享物理专线创建VBR。

    • 共享专线:为共享物理专线创建VBR。

    本文选择独享专线,然后在下拉列表中选择云盒物理专线。

    VLAN ID

    输入VBR的VLAN ID,范围为0~2999。

    VLAN ID的说明如下:

    • VLAN ID为0时,表示VBR的物理交换机端口不使用VLAN模式,而使用三层路由接口模式。三层路由接口模式下每一根物理专线对应一个VBR。

    • VLAN ID为1~2999时,表示VBR的物理交换机端口使用基于VLAN的三层子接口。三层子接口模式下每个VLAN ID对应一个VBR。此时,该VBR的物理专线可以连接多个账号下的VPC。不同VLAN下的VBR二层网络隔离,无法互通。

    配置说明如下:

    • 当为独享物理专线配置VLAN ID时,请确保运营商专线、阿里云VBR和本地IDC接入设备之间的任何二层或三层设备,对您的VLAN标签启用了VLAN中继功能,即能识别您的VLAN标签并允许流量通过且不存在VLAN转换的情况,否则可能存在链路不通的情况。如果运营商侧没有VLAN ID的配置要求,建议您将VLAN ID设置为0

    • 当独享专线的VLAN ID设置为0时,则该VBR不能再创建其他VLAN的子接口。

    • 当为共享专线配置VLAN ID时,VLAN ID为共享物理专线的VLAN ID,无需配置。

    设置VBR带宽值

    设置VBR的带宽。

    阿里云侧IPv4互联IP

    输入云盒通往本地IDC的路由网关IPv4地址。阿里云侧IPv4互联IP客户侧IPv4互联IP必须在同一个网段内。

    客户侧IPv4互联IP

    输入本地IDC通往云盒的路由网关IPv4地址。

    IPv4子网掩码

    阿里云侧和客户侧IPv4地址的子网掩码。由于只需要两个IP地址,您可以选择位数多的子网掩码。

    支持IPv6

    选择是否为VBR开启IPv6功能。本文选择不开启

    说明

    云盒场景下不支持IPv6功能。

    • 不开启:默认值,不开启IPv6功能。

    • 开启:为VBR开启IPv6功能。IPv6功能开启后不支持关闭。为VBR配置以下参数:

      • 阿里云侧IPv6互联IP:输入VPC通往本地IDC的路由网关IPv6地址。阿里云侧IPv6互联IP客户侧IPv6互联IP必须在同一个网段内。

      • 客户侧IPv6互联IP:输入本地IDC通往VPC的路由网关IPv6地址。

      • IPv6子网掩码:阿里云侧和客户侧IPv6地址的子网掩码。

步骤三:为云盒VPC创建自定义路由表并配置路由

创建完VBR后,您需要在云盒VPC和VBR中添加对应的路由条目,引导和管理云盒VPC和VBR的流量实现流量的安全互访。

在VPC控制台配置云盒VPC的路由表并关联云盒虚拟交换机

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击路由表
  3. 在顶部菜单栏,选择目标地域。

  4. 路由表页面,单击创建路由表
  5. 创建路由表页面,根据以下信息配置路由表,然后单击确定

    配置

    说明

    资源组

    选择自定义路由表所属的资源组。

    标签

    • 标签键:标签的标签键,支持选择已有标签键或输入新的标签键。标签键最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    • 标签值:标签的标签值,支持选择已有标签值或输入新的标签值。标签值最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    专有网络

    选择自定义路由表所属的云盒VPC。

    本文输入VPC2

    名称

    输入自定义路由表的名称。

    描述

    输入自定义路由表的描述。

  6. 为云盒VPC的路由表添加路由条目。

    1. 路由表页面,找到已创建的自定义路由表,单击路由表的ID。

    2. 在路由表详情页面,单击已绑定交换机页签,然后单击绑定交换机

    3. 绑定交换机对话框,选择已创建的云盒VPC所在的交换机,然后单击确定

    4. 在路由表详情页面,选择路由条目列表 > 自定义路由条目

    5. 自定义路由条目页签,单击添加路由条目

    6. 添加路由条目面板,配置以下参数信息,然后单击确定

      配置

      说明

      名称

      输入自定义路由条目的名称。

      资源组

      选择添加路由条目所属的资源组。

      目标网段

      输入要转发到的目标网段。

      本文选择IPv4网段,然后设置为VBR的互连地址。

      下一跳类型

      选择下一跳类型。

      本文选择路由器接口(边界路由器方向),然后在普通路由页签,选择已创建的VBR。

  7. 在云盒VPC内创建用于健康检查的交换机,然后绑定至已创建的自定义路由表。

    说明

    默认路由表关联的为VPC2中的虚拟交换机2,自定义路由表关联的为云盒中的虚拟交换机3。

在高速通道控制台添加路由条目

  1. 登录高速通道管理控制台

  2. 在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)

  3. 边界路由器(VBR)页面,单击目标VBR实例ID。

  4. 在VBR详情页面,选择路由条目 > 自定义路由条目页签,然后单击添加路由条目

  5. 添加路由条目面板,配置以下参数信息,然后单击确定

    配置

    说明

    下一跳类型

    选择下一跳的类型。

    本文选择专有网络

    目标网段

    输入目标网段。

    本文输入健康检查交换机的网段。

    下一跳

    选择下一跳的实例。

    本文选择云盒VPC。

    描述

    输入路由条目的描述。

步骤四:创建VBR上连并配置健康检查

您需要创建VBR上连来实现VPC与边界路由器之间的私网互通。创建VBR上连后,您还需要配置健康检查,健康检查会以您指定的发包时间间隔发送探测报文来监测您本地IDC的网络状况。

创建VBR上连

  1. 登录高速通道管理控制台

  2. 在顶部菜单栏,选择需要创建VBR上连的地域。

  3. 在左侧导航栏,选择专有网络对等连接 > VBR上连

  4. VBR上连页面,单击创建对等连接

  5. 创建VBR上连页面,配置以下参数信息。

    配置

    说明

    资源组

    选择VBR上连所属的资源组。

    发起端地域

    选择发起端的VBR实例所在的地域。

    发起端VBR实例

    在下拉列表中选择发起端的VBR实例。本文选择步骤二创建的边界路由器。

    接收端地域类型

    选择接收端云盒VPC实例所在地域类型。本文选择同地域

    接收端账号类型

    选择接收端云盒VPC实例所属的阿里云账号类型。本文选择同账号

    接收端VPC实例

    在下拉列表中选择接收端的云盒VPC实例。

    标签

    • 标签键:标签的标签键,支持选择已有标签键或输入新的标签键。标签键最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    • 标签值:标签的标签值,支持选择已有标签值或输入新的标签值。标签值最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    费用详情

    系统自动显示带宽费用

  6. 选中服务协议,然后单击确定

    说明

    当VBR上连需要互通的地域为跨境地域,即发起端地域和接收端地域为中国内地和非中国内地或者非中国内地和中国内地时,您还需要勾选对应的跨境申明后才能创建跨境VBR上连。

    待连接成功后,发起端和接收端的状态均为已激活

  7. 配置本地IDC和VBR之间的BGP路由。具体操作,请参见配置和管理BGP

  8. 在VBR详情页面,单击宣告BGP网段页签,然后单击宣告BGP网段

  9. 宣告BGP网段面板,然后在宣告网段文本框中输入云盒健康检查交换机的网段,然后单击确定

配置健康检查

  1. 登录高速通道管理控制台

  2. 在顶部菜单栏,选择需要创建VBR上连的地域。

  3. 在左侧导航栏,选择专有网络对等连接 > VBR上连

  4. VBR上连页面,找到已创建的VBR上连,然后在操作列选择更多操作 > 健康检查

  5. 健康检查面板,单击设置,然后在修改边界路由器面板,配置以下参数信息,然后单击确定

    配置

    说明

    网络类型

    选择边界路由器的网络类型。本文自动显示IPv4路由

    源IP

    输入互通的VPC内未被使用的任意一个私网IP地址。

    说明

    该私网IP需要在步骤9中宣告的BGP网段之内。

    目标IP

    输入本地IDC网络设备的接口IP地址。

    如果需要从IDC向VPC做ICMP健康检查,建议将目标地址设置为VPC健康检查源地址,并配置指向新的健康检查目的地址的路由。

    发包时间间隔(秒)

    设置发包间隔,单位:秒。推荐值为2秒,即阿里云每2秒从每个健康检查源IP地址向本地IDC的健康检查目的地址发送一个ping报文。

    本文设置为1

    探测报文个数(个)

    设置探测报文的个数。推荐值为8个,如果某条物理专线上连续8个ping报文都无法得到回复,则将流量切换至另一条链路。请确保本地IDC网关设备对健康检查源地址的探测包限速值不能小于每秒500个。

    本文设置为3

    健康检查面板,确认健康检查的状态为正常

步骤五:配置VBR到云盒VPC的路由

您需要配置本地IDC指向云盒VPC的路由,以实现本地IDC与云盒VPC流量的安全互访。

  1. 登录高速通道管理控制台

  2. 在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)

  3. 边界路由器(VBR)页面,单击目标VBR实例ID。

  4. 单击路由条目页签,然后在自定义路由条目页签单击添加路由条目

  5. 添加路由条目面板,配置以下参数信息,然后单击确定

    配置

    说明

    下一跳类型

    选择下一跳的类型。

    本文选择专有网络

    目标网段

    输入目标网段。

    本文输入云盒VPC的网段。

    下一跳

    选择下一跳的实例。

    本文在下拉列表中选择云盒VPC。

    描述

    输入路由条目的描述信息。

  6. 单击宣告BGP网段页签,然后单击宣告BGP网段

  7. 宣告BGP网段面板的宣告网段处,输入云盒VPC2的网段,然后单击确定

测试连通性

完成上述配置后,您需要测试本地IDC与云盒VPC之间的连通性。

  1. 在云盒子网中创建一个ECS实例。具体操作,请参见管理ECS实例

  2. 在本地IDC,打开电脑端的命令行窗口。

  3. 执行ping命令,ping云盒子网ECS实例的IP。

    如果可以ping通,表明网络已经连通。