配置SAG vCPE实现ENS访问云上资源-智能接入网关-阿里云

本文为您介绍如何通过智能接入网关SAG（Smart Access Gateway）vCPE实现边缘节点服务ENS（Edge Node Service）和阿里云上资源互通。

场景说明

本文以下图场景为例，为您介绍SAG vCPE如何实现ENS服务和阿里云上资源互通。某企业已经在阿里云华东（上海）地域部署了VPC，该企业计划在同地域的ENS上部署业务系统，并希望通过SAG vCPE实现ENS业务系统和云上资源互通。本场景中计划创建两个ENS实例，其中一个ENS实例用于部署业务系统，另一个ENS实例用于部署SAG vCPE镜像。SAG vCPE镜像部署完成后，该ENS实例可作为SAG vCPE设备为您提供服务，业务系统可通过SAG vCPE设备与云上资源互通。

ENS场景架构

部署流程

ENS侧互通

前提条件

在您开始操作前，请确保您已经满足以下条件：

您已经开通ENS。具体操作，请参见开通服务。
您已经在阿里云平台创建了专有网络VPC（Virtual Private Cloud）并部署了相关云服务。具体操作，请参见搭建IPv4专有网络。
您已经了解阿里云VPC中云服务所应用的安全组规则，并确保安全组规则允许ENS内的资源访问阿里云VPC内的资源。具体操作，请参见查询安全组规则和添加安全组规则。
您已在阿里云VPC中创建了ECS实例。具体操作，请参见自定义购买实例。

步骤一：创建SAG vCPE实例

您需要在SAG管理控制台创建SAG vCPE实例，创建后您可以通过SAG vCPE实例管理SAG vCPE设备。

登录智能接入网关管理控制台。
在智能接入网关页面，选择购买智能接入网关 > 创建智能接入网关（VCPE）。

在智能接入网关vCPE软件版页面，根据以下信息配置SAG vCPE实例信息，然后单击立即购买并完成支付。

配置	说明
区域	选择SAG vCPE实例所属的区域。本文选择华东2（上海）。
实例名称	输入SAG vCPE实例的名称。
实例类型	默认为SAG-vCPE。
版本	默认为基础版。
使用方式	选择SAG vCPE设备的使用方式。默认为双机方式下一个SAG vCPE实例中默认可以连接两台SAG vCPE设备。您可以配置两台SAG vCPE设备为主备模式，共同帮您将本端网络接入阿里云，提高您网络的可用性。本文中只使用主设备。
带宽峰值	网络通信的带宽峰值。单位：Mbps。
购买数量	选择需要创建的SAG vCPE实例的数量。本文设置为1。
购买时长	选择购买时长。
资源组	选择SAG vCPE实例所属的资源组。

返回SAG管理控制台，在顶部菜单栏，选择已创建实例的区域。
在左侧导航栏，选择智能接入网关。
在智能接入网关页面，单击已创建的实例ID。
在实例详情页面，单击设备管理页签，查看并记录当前SAG vCPE主设备的序列号和密钥，用于后续SAG vCPE实例和SAG vCPE设备的绑定。

步骤二：部署SAG vCPE镜像

预部署ENS私网网段。
预部署ENS私网网段由阿里云边缘计算团队帮您操作，需要您提交工单申请。
您可以将ENS实例所需的私网网段（请根据全网规划IP地址，避免IP地址冲突）发送给阿里云边缘计算团队，边缘计算团队会从网络的大网网段中分出一个小网网段给每个节点使用，保证每个节点的私网IP地址不重复。
本文预部署的IP地址网段为10.0.0.0/8，划分给业务系统实例和部署SAG vCPE镜像实例的私网IP地址段为10.0.2.0/24。

创建边缘服务。

登录ENS控制台。
在左侧导航栏，选择算力与镜像 > 实例。
在实例页面，单击创建实例。
在边缘节点服务ENS页面，单击边缘服务页签。

在边缘服务页签下，配置基础配置。

在您进行基础配置前，建议您先了解部署SAG vCPE镜像对环境的要求。更多信息，请参见环境要求。

配置	说明
服务名称	您可以填写不超过30个字符的自定义名称。
镜像	ENS支持自定义镜像和公共镜像。本文选择公共镜像，操作系统和版本分别选择Ubuntu和ubuntu_18_04_64_20G_alibase_20191119。
规格	选择SAG vCPE镜像要安装的实例规格。本文选择2C4G。 SAG vCPE镜像部署在2C4G规格实例下，实例的加密私网带宽可达300 Mbps以上（1024字节）。
存储	配置系统盘和数据盘的大小，单位：GB。本文使用默认值。
带宽	选择实例的公网带宽峰值。单位：Mbps。关于带宽的计费信息，请参见计费概述。
登录密码	密码长度为8~30个字符，必须包含大小写字母、数字和特殊字符至少3种。说明登录密码中不能包含的特殊字符为：`"\`和空格。

单击下一步，开始配置边缘算力分布。

配置	说明
网络层级	本文使用默认值大区级。
节点调度策略	分散度可选择城市分散或城市集中。本文选择城市分散和优先高价。说明当所选区域需要多台实例时，城市分散策略表示实例尽量调度到不同城市，城市集中策略表示实例尽量调度到同一城市。
区域	您可以自定义添加或删除东北、华东、华北、华中、华南、西南、西北的电信、联通、移动运营商实例。本文添加华东大区，2个移动实例。

单击下一步，进入服务配置确认页面。
在服务配置确认页面确认配置后，查阅并选中相关服务条款，然后单击确认创建。
关于参数的更多说明信息，请参见创建边缘服务。

创建边缘服务后，查看ENS实例信息。
1. 在左侧导航栏，选择资源管理 > 实例。
2. 在实例页面，通过已创建的边缘服务ID筛选出实例，查看当前边缘服务下已创建的实例的IP地址等信息。

在ENS实例中部署SAG vCPE镜像。

部署完成后，ENS实例可作为SAG vCPE设备为您提供服务，连接ENS服务至阿里云。

下载部署脚本至ENS实例中。

通过SSH方式登录至要部署SAG vCPE镜像的ENS实例上，将脚本下载至ENS实例的/root目录下。

重要

您可以将脚本下载到自定义路径内，请注意后续执行脚本时路径需修改为您的自定义路径。
脚本下载后，请勿修改脚本内容以及脚本名称。

ssh root@112.XX.XX.25   #通过ENS实例公网IP地址进行登录，请您根据实际情况更换公网IP地址。
yes                     #第一次通过SSH登录时请输入yes建立认证文件。
密码                    #ENS实例的登录密码。密码默认为边缘服务的密码。
#通过以下命令下载脚本。   
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-cn-shanghai.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh

为脚本赋予可执行权限。

chmod +x /root/sag_vcpe_v2.3.0_deployment.sh

执行部署脚本。

/root/sag_vcpe_v2.3.0_deployment.sh -n sage6nniq3**** -k **** -t ens  -w eth0

下表为您提供参数说明。关于脚本的更多参数信息，请参见脚本参数说明。

参数	说明
-n	SAG vCPE设备的序列号。
-k	SAG vCPE设备的密钥。
-t	安装SAG vCPE镜像的宿主机所在的平台。取值： aliyun（默认值）：表示SAG vCPE镜像部署在阿里云云服务器ECS（Elastic Compute Service）中。 aws：表示SAG vCPE镜像部署在Amazon EC2中。 ens：表示SAG vCPE镜像部署在阿里云边缘节点服务ENS（Edge Node Service）的实例中。 azure：表示SAG vCPE镜像部署在Microsoft Azure平台的虚拟机中。如果您的SAG vCPE镜像部署在本地网络的服务器中，则本参数的取值可为aliyun、ens、aws、azure之外的任意英文字符。
-w	WAN口的网卡名称。您可以通过`ifconfig`命令查看宿主机的网卡名称。

执行脚本时，系统会自动检测部署环境是否满足需求。如果部署环境相关的组件安装不完整，系统会出现下图提示，请输入：yes，系统将自动帮您安装相关组件。
如果检测到部署环境已经满足需求，则会直接开始部署SAG vCPE镜像，镜像部署完成后系统会出现下图提示。
查看部署结果。
部署完成后，请执行命令docker ps，查看系统中是否已有如下两个容器：
如果系统已包含vsag-core和vsag-manager-base两个容器，则证明部署成功。

SAG vCPE镜像部署完成后，您需要在另一个ENS实例中部署您的业务系统。请您根据您的业务需要进行部署，此处不再详细描述。

步骤三：配置SAG vCPE实例侧网络

SAG vCPE镜像部署完成后，您还需要在SAG管理控制台对SAG vCPE设备进行网络配置，以便SAG vCPE设备能正常接入阿里云。

配置线下路由同步方式。
1. 登录智能接入网关管理控制台。
2. 在顶部菜单栏，选择目标区域。
3. 在智能接入网关页面，找到目标实例，在操作列单击网络配置。
4. 在网络配置 > 线下路由同步方式页签，单击添加静态路由。
5. 在添加静态路由对话框中，输入ENS业务系统实例所在的私网网段，然后单击确定。
绑定云连接网。
云连接网是SAG的重要组成部分，SAG通过云连接网将您的网络接入阿里云。
1. 创建云连接网。具体操作，请参见创建云连接网。
  云连接网所在区域需和SAG vCPE实例所在区域相同。
2. 在左侧导航栏，选择智能接入网关 > 实例管理。
3. 在智能接入网关页面，找到目标实例，在操作列单击网络配置。
4. 在实例详情页面，选择网络配置 > 绑定网络详情页签。
5. 在已绑定同账号实例区域下，单击添加网络，选择已创建的云连接网实例，然后单击确定。
6. 在您绑定云连接网后，在设备管理页签下，查看SAG vCPE设备的VPN状态和管控状态，两者均为正常则表示SAG vCPE设备已接入阿里云。
配置云企业网。
您需要通过以下操作将SAG vCPE实例连接到云企业网，并在云企业网中加载已创建的VPC实例。操作完成后，SAG vCPE实例和阿里云上VPC实例可学习到对方的路由，SAG vCPE设备可与阿里云VPC内的资源互通。
1. 在左侧导航栏，单击云连接网。
2. 在云连接网页面，找到目标云连接网实例，在操作列单击绑定云企业网。
3. 在绑定云企业网面板，选择要绑定的云企业网实例，然后单击确定。
  您可以通过以下两种方式选择目标云企业网实例，本文选择新建CEN。
  - 选择现有CEN：如果您已经创建了云企业网，您可以单击下方文本框，选择已创建的云企业网实例进行绑定。
  - 新建CEN：如果您未创建过云企业网，您可以在下方文本框中，输入云企业网实例名称，系统会为您新建云企业网实例并自动进行绑定。
4. 将已经创建的阿里云VPC实例，绑定到此云企业网中。具体操作，请参见创建VPC连接。

步骤四：配置ENS侧网络

为实现业务系统和云上资源互通，您需要为业务系统实例配置访问云上资源的路由。

登录ENS中业务系统实例。

以管理员身份打开您电脑的命令行窗口。
通过SSH方式登录您的业务系统实例。

ssh root@112.XX.XX.27   #通过业务系统实例公网IP地址进行登录，请您根据实际情况更换公网IP地址。
yes                     #第一次通过SSH登录时请输入yes建立认证文件。
密码                    #业务系统实例的登录密码。密码默认为边缘服务的密码。

配置路由。

将要访问的云上网段的下一跳指向ENS中SAG vCPE设备的公网网卡IP地址，由SAG vCPE设备帮您完成和云上资源的互通。

#在/etc/sysconfig/static-routes文档中写入永久静态路由。

vi /etc/sysconfig/static-routes #创建并进入static-routes文档。
#按下键盘的i键，进入文档编辑模式。
any net 172.16.1.0/24 gw 112.XX.XX.25 #配置路由。将要访问的云上网段的下一跳指向ENS中SAG vCPE设备的公网网卡IP地址。
#按下键盘的Esc键退出编辑模式。
:wq #输入:wq并回车，保存退出文档。
service network restart #重启网络服务。
route -n #查看添加的路由。

步骤五：测试连通性

完成上述操作后，阿里云VPC中部署的服务和ENS中部署的服务已经可以互相通信。以下内容为您展示如何测试阿里云VPC与ENS的业务实例之间的连通性。

登录到ENS的业务系统实例。具体操作，请参见步骤1。
通过ping命令，以业务系统实例的私网IP地址为源地址，访问阿里云VPC中的一个ECS实例，验证两个实例间的通信是否正常。
```
ping -I src-ip dst-ip
```
- -I：表示要指定发起访问的源IP地址。
- src-ip：发起访问的源IP地址。例如：业务系统实例的私网网卡IP地址。
- dst-ip：要访问的目的IP地址。例如：阿里云VPC中的ECS实例私网网卡IP地址。
经测试，业务系统实例可与阿里云VPC中的ECS实例正常通信。

ENS通过SAG vCPE访问云上资源