通过SAG vCPE实现阿里云和Azure互通_智能接入网关(SAG)-阿里云帮助中心

本文为您介绍如何通过智能接入网关SAG（Smart Access Gateway）vCPE将已经部署在Microsoft Azure平台中的网络接入阿里云，实现阿里云和Azure互通。

前提条件

您已经在Azure平台部署了云服务。部署详情请咨询Microsoft Azure平台。
您已经在阿里云平台创建了专有网络VPC（Virtual Private Cloud）并部署了相关云服务。具体操作，请参见搭建IPv4专有网络。
您已经了解阿里云VPC中云服务所应用的安全组规则，并确保安全组规则允许Azure内的资源访问阿里云VPC内的资源。具体操作，请参见查询安全组规则和添加安全组规则。
您已在阿里云VPC中创建了ECS实例。具体操作，请参见自定义购买实例。

场景说明

本文以下图场景为例，为您介绍如何通过SAG vCPE实现多云互通。某企业已经在Azure平台的欧洲中部区域和阿里云平台的华东1（杭州）地域分别部署了云服务。该企业计划使用SAG vCPE产品将两个云服务连通，实现资源互访。

您可以在Azure虚拟网络VNet（Virtual Network）内的一台虚拟机中部署SAG vCPE镜像，使该虚拟机作为一台SAG vCPE设备帮您连接阿里云。SAG vCPE设备连接至阿里云后，可通过阿里云云连接网和云企业网实现Azure VNet内资源与阿里云VPC内资源的互访。

Azure流程图

部署流程

Azure

说明

当您需要配置同地域的Azure平台的云服务通过SAG vCPE访问阿里云上服务资源的场景时，无需配置云上网络互联的步骤。本文以跨地域场景配置流程为例。

步骤一：创建SAG vCPE实例

您需要在SAG管理控制台创建SAG vCPE实例，创建后您可以通过SAG vCPE实例管理SAG vCPE设备。

登录智能接入网关管理控制台。
在智能接入网关页面，选择购买智能接入网关 > 创建智能接入网关（VCPE）。

在智能接入网关vCPE软件版页面，根据以下信息配置SAG vCPE实例信息，然后单击立即购买并完成支付。

配置	说明
区域	选择SAG vCPE实例所属的区域。本文选择德国（法兰克福）。
实例名称	输入SAG vCPE实例的名称。
实例类型	默认为SAG-vCPE。
版本	默认为基础版。
使用方式	选择SAG vCPE设备的使用方式。默认为双机。双机方式下一个SAG vCPE实例中默认可以连接两台SAG vCPE设备。您可以配置两台SAG vCPE设备为主备模式，共同帮您将本端网络接入阿里云，提高您网络的可用性。本文中只使用主设备。
带宽峰值	网络通信的带宽峰值。单位：Mbps。
购买数量	选择需要创建的SAG vCPE实例的数量。本文设置为1。
购买时长	选择购买时长。
资源组	选择SAG vCPE实例所属的资源组。

返回SAG管理控制台，在顶部菜单栏，选择已创建实例的区域。
在左侧导航栏，选择智能接入网关 > 实例管理。
在智能接入网关页面，单击已创建的实例ID。
在实例详情页面，单击设备管理页签，查看并记录当前SAG vCPE主设备的序列号和密钥，用于后续SAG vCPE实例和SAG vCPE设备的绑定。

步骤二：部署SAG vCPE镜像

为实现Azure和阿里云的云服务互通，您需要在Azure云服务所属的VNet中新建一个虚拟机，作为SAG vCPE镜像的宿主机。SAG vCPE镜像部署完成后，该虚拟机可作为SAG vCPE设备为您提供服务，连接Azure云服务至阿里云。

在Azure VNet内新建一个虚拟机。
新建Azure虚拟机的具体操作请参见Azure平台相关文档。请确保新建的Azure虚拟机，满足以下条件：
- 实例安装的操作系统类型：64位，Ubuntu 18.04。
- 虚拟机安装了3.10.0-957.21.3.el7.x86_64或以上规格的内核版本。
- 虚拟机有单独的可连接公网的网卡。
- 虚拟机支持远程登录。
- 虚拟机未运行业务系统。
- 虚拟机的vCPU个数需在1个及以上，内存需在2 GB及以上。
  推荐您使用2核vCPU、4 GB内存或以上规格的虚拟机，该规格下虚拟机的加密私网带宽可达350 Mbps（1024字节）以上。
登录Azure虚拟机，并根据以下信息将脚本下载至虚拟机的/root目录下。具体操作，请参见Azure平台相关文档。
重要
- 您可以将脚本下载到自定义路径内，请注意后续执行脚本时路径需修改为您的自定义路径。
- 脚本下载后，请勿修改脚本内容以及脚本名称。
- 如果您的虚拟机部署在中国内地区域，请通过以下命令下载脚本。
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-cn-shanghai.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```
- 如果您的虚拟机部署在非中国内地区域，请通过以下命令下载脚本。
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-accelerate.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```

为脚本赋予可执行权限。

chmod +x /root/sag_vcpe_v2.3.0_deployment.sh

执行脚本。

/root/sag_vcpe_v2.3.0_deployment.sh -n sage6nniq3**** -k **** -t azure  -w eth0

下表为您提供参数说明。关于脚本的更多参数信息，请参见脚本参数说明。

参数	说明
-n	SAG vCPE设备的序列号。
-k	SAG vCPE设备的密钥。
-t	安装SAG vCPE镜像的宿主机所在的平台。取值： aliyun（默认值）：表示SAG vCPE镜像部署在阿里云云服务器ECS（Elastic Compute Service）中。 aws：表示SAG vCPE镜像部署在Amazon EC2中。 ens：表示SAG vCPE镜像部署在阿里云边缘节点服务ENS（Edge Node Service）的实例中。 azure：表示SAG vCPE镜像部署在Microsoft Azure平台的虚拟机中。如果您的SAG vCPE镜像部署在本地网络的服务器中，则本参数的取值可为aliyun、ens、aws、azure之外的任意英文字符。
-w	WAN口的网卡名称。您可以通过`ifconfig`或`ip -br address`命令查看宿主机的网卡名称。

执行脚本时，系统会自动检测部署环境是否满足需求。如果部署环境相关的组件安装不完整，系统会出现下图提示，请输入：yes，系统将自动帮您安装相关组件。
如果检测到部署环境已经满足需求，则会直接开始部署SAG vCPE镜像，镜像部署完成后系统会出现下图提示。
查看部署结果。
部署完成后，执行docker ps命令，查看系统中是否已有以下两个容器：
如果系统已包含vsag-core和vsag-manager-base两个容器，则证明部署成功。

步骤三：配置阿里云侧网络

SAG vCPE镜像部署完成后，您还需要在SAG管理控制台对SAG vCPE设备进行网络配置，以便SAG vCPE设备能正常接入阿里云。

配置线下路由同步方式。
1. 登录智能接入网关管理控制台。
2. 在顶部菜单栏，选择目标区域。
3. 在智能接入网关页面，找到目标实例，在操作列单击网络配置。
4. 在网络配置 > 线下路由同步方式页签，单击添加静态路由。
5. 在添加静态路由对话框中，输入Azure云服务所在的私网网段，然后单击确定。
绑定云连接网。
云连接网是SAG的重要组成部分，SAG通过云连接网将您的网络接入阿里云。
1. 创建云连接网。具体操作，请参见创建云连接网。
  云连接网所在区域需和SAG vCPE实例所在区域相同。
2. 在左侧导航栏，选择智能接入网关 > 实例管理。
3. 在智能接入网关页面，找到目标实例，在操作列单击网络配置。
4. 在实例详情页面，选择网络配置 > 绑定网络详情页签。
5. 在已绑定同账号实例区域下，单击添加网络，选择已创建的云连接网实例，然后单击确定。
6. 在您绑定云连接网后，在设备管理页签下，查看SAG vCPE设备的VPN状态和管控状态，两者均为正常则表示SAG vCPE设备已接入阿里云。
创建并配置云企业网。
您需要通过以下操作将SAG vCPE实例连接到云企业网，并在云企业网中加载已创建的VPC实例。操作完成后，SAG vCPE实例和阿里云上VPC实例可学习到对方的路由，SAG vCPE设备可与阿里云VPC内的资源互通。
1. 在左侧导航栏，单击云连接网。
2. 在云连接网页面，找到目标云连接网实例，在操作列单击绑定云企业网。
3. 在绑定云企业网面板，选择要绑定的云企业网实例，然后单击确定。
  您可以通过以下两种方式选择目标云企业网实例，本文选择新建CEN。
  - 选择现有CEN：如果您已经创建了云企业网，您可以单击下方文本框，选择已创建的云企业网实例进行绑定。
  - 新建CEN：如果您未创建过云企业网，您可以在下方文本框中，输入云企业网实例名称，系统会为您新建云企业网实例并自动进行绑定。
4. 将已经创建的阿里云VPC实例，绑定到此云企业网中。具体操作，请参见创建VPC连接。

步骤四：配置Azure侧网络

为实现Azure和阿里云资源互通，您还需要根据以下信息在Azure侧进行网络配置，具体配置命令或操作请咨询Azure平台。

在Azure中创建一个路由表。
将Azure云服务所在的子网关联至该路由表。
在Azure路由表中添加去往阿里云的路由。
- 地址前缀：输入阿里云云服务所在私网网段。
- 下一个跃点类型：选择虚拟设备。
- 下一个跃点IP地址：输入部署了SAG vCPE镜像的虚拟机的私网IP地址。
找到部署了SAG vCPE镜像的虚拟机的私网网络接口，开启网络接口的IP转发功能。

步骤五：云上网络互联

配置完Azure侧网络后，您需要为已创建的云企业网购买带宽包以及设置跨地域连接，以实现在阿里云华东1（杭州）地域部署的云服务通过SAG vCPE与在欧洲中部的Azure平台部署的云服务实现资源互访。

说明

如果您要实现Azure平台的云服务通过SAG vCPE访问同地域的阿里云服务资源的场景时，您无需配置此步骤。

购买带宽包。

登录云企业网管理控制台。
在云企业网实例页面，找到目标云企业网，单击云企业网实例ID。
在云企业网实例详情页面，选择基本信息 > 带宽包管理页签，单击购买带宽包（预付费）。

在购买页面，根据以下信息配置带宽包，然后单击立即购买并完成支付。

配置	说明
商品类型	选择带宽包的商品类型。本文选择跨境。
云企业网	选择需购买带宽包的云企业网实例。本文选择创建的云企业网实例。
区域-A	选择参与互通的网络实例所在的区域。本文选择中国内地。
区域-B	选择要互通的区域。本文选择欧洲。
计费方式	显示带宽包的计费方式。默认显示为按带宽计费。
带宽值	根据业务需要选择带宽包的带宽值。单位：Mbps。
带宽包名称	输入自定义带宽包的名称。
购买时长	选择带宽包的购买时长。本文默认显示1个月。选中到期自动续费可开启带宽包自动续费功能。

创建跨地域连接。

在云企业网实例页面，找到目标云企业网，单击云企业网实例ID。
在云企业网实例详情页面，选择基本信息 > 带宽包管理页签，单击购买带宽包（预付费）。

在连接网络实例页面，配置跨地域连接信息，然后单击确定创建。

配置	说明
实例类型	连接网络的实例类型。本文选择跨地域。
地域	选择要互通的地域。本文选择华东1（杭州）。
转发路由器	系统自动显示要互通地域下转发路由器的实例ID。
连接名称	自定义跨地域连接名称。
对端地域	选择要互通的对端地域。本文选择德国（法兰克福）。
转发路由器	系统自动显示对端地域下的转发路由器的实例ID。
带宽分配方式	跨地域连接支持从带宽包分配和按流量付费这两种带宽分配方式。本文选择从带宽包分配。
带宽包实例	选择云企业网实例已绑定的带宽包实例。本文选择已创建的带宽包实例。
带宽	输入跨地域连接的带宽值。单位：Mbps。
默认链路类型	跨地域连接支持多种链路类型，不同链路类型提供不同质量的流量传输服务。
高级配置	保持默认配置，即选中全部高级配置选项。

步骤六：测试连通性

完成上述操作后，阿里云VPC中部署的服务和Azure侧的服务资源已经可以互相通信。以下内容为您展示如何测试阿里云VPC与Azure侧的服务资源之间的连通性。

说明

本文阿里云VPC中创建的ECS实例安装了Alibaba Cloud Linux操作系统，如果您使用的是其他操作系统，关于如何使用ping命令请参见您的操作系统手册。

登录阿里云VPC内的ECS实例。具体操作，请参见连接方式概述。
通过ping命令，访问Azure VNet中一个云服务虚拟机，验证两个虚拟专有网络间的通信是否正常。
如下图所示，表示阿里云VPC中的资源与Azure VNet中的资源可正常通信。