随着企业客户上云的深入,越来越多的客户会选择在阿里云全球region多地部署其企业业务系统,以便其全球化业务的迅速开展。阿里云在云上有非常丰富云网络产品,来协助企业客户在全球region迅速构建云上多个地域的互联互通,帮忙企业客户快速实现业务上线。本章节为您介绍如何使用云企业网转发路由器CEN-TR(Transit Router),来实现客户本地多个不同城市数据中心IDC(Internet Data Center)和云上VPC跨地域互通互联。
方案概述
方案介绍
在企业发展过程中,企业可能会需要在海外创建分支机构,实现业务出海。同时,也会需要海外机构可以和国内总部互通。云企业网提供一种能够快速构建混合云和分布式业务系统的全球网络的方法,帮助您打造一张具有企业级规模和通信能力的云上网络。
方案架构
本章节以下图场景为例,为您介绍全球跨地域上云互通方案。某企业在杭州拥有一个IDC,且企业已经在阿里云华东1(杭州)地域创建了一个专有网络VPC(VirtualPrivate Cloud),其中已在云服务器ECS(ElasticCompute Service)上部署了应用业务系统。现企业因业务扩展,已在海外创建了一个IDC作为海外总部。企业需要中国内地IDC、海外总部与云上VPC可以全互通,其中企业计划通过物理专线分别将杭州IDC和新加坡IDC接入阿里云,物理专线可为企业IDC提供高可靠的上云链路。
目标读者
全球化企业客户、大型集团公司网络架构师及网络运维人员
适用场景
全球化业务企业
跨国企业/大型集团公司云上组网
从IDC/AWS/Azure/GCP搬站的大型企业客户云上组网
相关产品概念
专有网络VPC: 专有网络VPC(Virtual Private Cloud)是您专有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源,如云服务器、云数据库RDS和负载均衡等。
云企业网转发路由器CEN-TR: 转发路由器TR(Transit Router)提供连接网络实例、添加自定义路由表、添加路由条目、添加路由策略等丰富的网络互通和路由管理功能。本文为您介绍企业版和基础版转发路由器工作原理。
高速通道EC: 阿里云高速通道(Express Connect)可在本地数据中心IDC(Internet Data Center)和云上专有网络VPC间建立高速、稳定、安全的私网通信。 边界路由器VBR是本地CPE(Customer Premises Equipment)设备和阿里云接入点之间连接的一个路由器,作为数据在本地IDC和阿里云机房之间的转发桥梁。 专线连接是高速通道提供的一种快速安全连接阿里云与本地数据中心的方法。
方案优势
稳定安全的云上网络:通过CEN-TR和云防火墙实现云上网络的多地域互联、安全可控。
安全灵活的混合云网络:IDC、分支及office可通过不同专线/VPN/SAG混合云网络接入,灵活组网。
一点接入,全球互联:依托于CEN全球化的资源,金融企业一点接入上云,业务迅速实现全球化。
跨境合规:跨境线路由中国联通提供多条跨境专线,满足安全合规要求,保障业务的稳定性。
方案实施
前提条件
在您执行本章节操作前,请先完成以下准备工作:
1、您已经注册了阿里云账号。如未注册,请先完成 账号注册。
2、您已经在阿里云华东1(杭州)地域部署了VPC。具体操作,请参见 使用专有网络。
3、您已经通过跨境产品售卖合规检查。更多信息,请参见 【跨境合规】云企业网跨境合规公告。
4、本章节示例中的网段规划如下表所示。您可以自行规划网段,请确保您的网段之间没有重叠。
配置项 |
网段规划 |
服务器IP地址 |
|---|---|---|
IDC1 |
10.2.1.0/24 |
10.2.1.204 |
IDC2 |
10.2.2.0/24 |
10.2.2.200 |
VBR1 |
o VLAN:0 o 阿里云侧IPv4互联IP:172.16.1.2/30 o 客户侧IPv4互联IP:172.16.1.1/30 |
不涉及 |
VBR2 |
o VLAN:0 o 阿里云侧IPv4互联IP:172.16.2.2/30 o客户侧IPv4互联IP:172.16.2.1/30 |
不涉及 |
VPC |
192.168.20.0/24 |
192.168.20.161 |
配置步骤
步骤一:创建物理专线
您需要在华东1(杭州)地域和新加坡地域分别申请一条物理专线,与杭州IDC的CPE1(Customer-premisesequipment)设备连接的物理专线的名称为leasedline1,与新加坡地域CPE2连接的物理专线的名称为leasedline2。具体操作,请参见 创建独享专线连接或 创建共享专线连接。
步骤二:创建VBR
边界路由器VBR(Virtual border router)是IDC中CPE设备和阿里云接入点连接的一个路由器,作为数据从IDC到阿里云机房之间的桥梁。物理专线的一端连接到您IDC的CPE设备,另一端连接到边界路由器。
1.登录 高速通道管理控制台。
2.在左侧导航栏,单击边界路由器(VBR)。
3.在顶部状态栏,选择要创建的VBR的地域。
本示例选择华东1(杭州)地域。
4.在边界路由器(VBR)页面,单击创建边界路由器。
5.在创建边界路由器面板,根据以下信息配置边界路由器,然后单击确定。
o账号类型:本示例选择当前账号。
o名称:本示例输入VBR1。
o物理专线接口:选择申请的leasedline1接口。
oVLANID:0。
o阿里云侧互联IP:172.16.1.2。
o客户侧互联IP:172.16.1.1。
o子网掩码:255.255.255.252。
6.重复上述步骤,为新加坡的物理专线创建VBR实例。
配置参数如下:
o账号类型:本示例选择当前账号。
o名称:本示例输入VBR2。
o物理专线接口:选择申请的leasedline2接口。
oVLANID:0。
o阿里云侧互联IP:172.16.2.2。
o客户侧互联IP:172.16.2.1。
o子网掩码:255.255.255.252。
步骤三:配置VBR路由
您需要在VBR上分别添加指向IDC的路由。
1.在边界路由器(VBR)页面,单击VBR1实例的ID。
2.单击路由条目页签,然后单击添加路由条目。
3.在添加路由条目面板,根据以下信息配置路由条目,然后单击确定。
o下一跳类型:选择物理专线接口。
o目标网段:输入IDC1中业务系统的网段。本示例输入10.2.1.0/24。
o下一跳:选择物理专线leasedline1接口。
4.重复上述步骤,为VBR2配置指向本地IDC的路由。
配置参数如下:
o下一跳类型:选择物理专线接口。
o目标网段:输入IDC2的网段。本示例输入10.2.2.0/24。
o下一跳:选择物理专线leasedline2接口。
VBR指向IDC的路由如下表所示:
实例 |
目标网段 |
下一跳 |
|---|---|---|
VBR1 |
10.2.1.0/24 |
leasedline1接口 |
VBR2 |
10.2.2.0/24 |
leasedline2接口1.1.1.1加入云企业网转发路由器 |
步骤四、加入云企业网转发路由器
完成物理专线接入后,您需要将物理专线关联的VBR和要互通的VPC分别加入到对应地域的CEN-TR中。
1.登录 云企业网管理控制台。
2.在云企业网实例页面,创建云企业网实例。创建云企业网实例。具体操作,请参见 云企业网实例。
3.云企业网创建对应地域转发路由器并加载网络实例。本示例中需要将VBR1、VBR2、VPC加载到对应地域CEN-TR中具体操作,请参见 创建VPC连接、 创建VBR连接或 创建CCN连接。网络实例加载完成后,VBR1、VBR2、VPC的路由条目会自动发布到转发路由器中。
步骤五、配置路由策略
为避免在双物理专线场景下,VBR发布同样的本地IDC路由到阿里云上,造成路由环路的风险,系统默认会在云企业网出地域网关方向添加优先级为5000、策略行为为拒绝的路由策略。该条路由策略会限制VBR、云连接网与加入到云企业网中的其它VBR、云连接网互通。在本章节示例中,您需要分别在华东1(杭州)地域和新加坡地域添加高优先级的路由策略,允许VBR1和VBR2可以学习到对方的路由。
1.登录 云企业网管理控制台。
2.在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
3.在基本信息 > 转发路由器页签,找到目标地域的转发路由器实例,单击目标实例ID。
4.在转发路由器实例详情页面,单击转发路由器路由表页签。
5.在转发路由器路由表详情页面的左侧区域,单击默认路由表ID。
6.在默认路由表详情页面,单击路由策略页签。
7.在路由策略页签下,单击添加路由策略。
8.在添加路由策略页面,根据以下信息配置路由策略,然后单击确定。
本操作在华东1(杭州)地域添加路由策略,允许VBR2的路由传递到VBR1中。
o策略优先级:路由策略的优先级。优先级数字越小,优先级越高。本示例输入50。
o地域:选择路由策略应用的地域。本示例选择华东1(杭州)。
o应用方向:选择路由策略应用的方向。本示例选择出地域网关。
o匹配条件:路由策略的匹配条件。本示例设置源实例ID列表为VBR1实例ID和VBR2的实例ID;目的实例ID列表为VBR1实例ID和VBR2的实例ID。
o策略行为:选择策略行为。本示例选择允许。
更多信息,请参见 路由策略概述。
2.请重复 步骤3,在新加坡地域配置路由策略,允许VBR1的路由传递到VBR2中。
o策略优先级:路由策略的优先级。优先级数字越小,优先级越高。 本示例输入50。
o地域:选择路由策略应用的地域。本示例选择新加坡。
o应用方向:选择路由策略应用的方向。 本示例选择出地域网关。
o匹配条件:路由策略的匹配条件。本示例设置源实例ID列表为VBR1实例ID和VBR2的实例ID;目的实例ID列表为VBR1实例ID和VBR2的实例ID。
o策略行为:选择策略行为。本示例选择允许。
配置完成后,云企业网、VPC和VBR中的路由条目如下所示:
o云企业网华东1(杭州)地域和新加坡地域下的路由条目
目标网段 |
下一跳 |
|---|---|
10.2.1.0/24 |
VBR1 |
10.2.2.0/24 |
VBR2 |
192.168.20.0/24 |
VPC |
oVPC中IDC的路由条目
目标网段 |
下一跳 |
|---|---|
10.2.1.0/24 |
VBR1 |
10.2.2.0/24 |
VBR2 |
oVBR1中的路由条目
目标网段 |
下一跳 |
|---|---|
10.2.1.0/24 |
物理专线 |
10.2.2.0/24 |
VBR2 |
192.168.20.0/24 |
VPC |
oVBR2中的路由条目
目标网段 |
下一跳 |
|---|---|
10.2.1.0/24 |
VBR1 |
10.2.2.0/24 |
物理专线 |
192.168.20.0/24 |
VPC |
步骤六、设置跨地域带宽
网络实例加载完成后,您还需要设置跨地域带宽,实现华东1(杭州)和新加坡地域的互通。
1.登录 云企业网管理控制台。
2.在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
3.在云企业网实例详情页面,您可以通过以下两种方式,进入连接网络实例页面,创建跨地域连接。
说明如果您未在目标地域创建过转发路由器实例,请选择第一种方式创建您的跨地域连接,在您创建跨地域连接的过程中,系统自动帮您创建转发路由器实例。
i.在基本信息 > 带宽包管理页签,单击设置跨地域带宽。
ii.在基本信息 > 转发路由器页签,找到目标转发路由器实例,在操作列单击创建网络实例连接。
4.在连接网络实例页面,配置跨地域连接信息,然后单击确定创建。
步骤七:配置CEN健康检查
您需要分别为两条物理专线配置健康检查,探测链路的连通性。健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,则判断健康检查失败。如果健康检查失败,请检查您的物理专线链路是否正常。具体操作,请参见 故障排查。
1.返回到云企业网实例页面。
2.在左侧导航栏,单击健康检查。
3.选择VBR的地域,然后单击设置健康检查。
本示例选择华东1(杭州)。
4.在设置健康检查面板,根据以下信息配置健康检查,然后单击确定。
o云企业网实例:选择VBR加载的云企业网实例。
o边界路由器(VBR):选择VBR1。
o源IP:本示例选择自动生成源IP。
使用自动生成源IP,系统将自动分配100.96.0.0/16地址段内IP地址,探测链路的连通性。
o目标IP:输入VBR1实例中客户侧IP地址。
o发包时间间隔(秒):指定健康检查时发送连续探测报文的时间间隔。单位:秒。本示例使用默认值。
o探测报文个数(个):指定健康检查时发送探测报文的个数。单位:个。本示例使用默认值。
更多信息,请参见 设置健康检查。
5.重复上述步骤,为新加坡的物理专线配置健康检查。
步骤八:本地IDC侧路由配置
完成上述配置后,您可以分别在杭州IDC和新加坡IDC的CPE设备上,查看从云上学来的路由,同时您需要分别为两个IDC的CPE设备配置健康检查的回程路由。
·为CPE设备配置健康检查的回程路由。
以下配置示例仅供参考,不同厂商的设备配置命令可能会有所不同。具体命令,请咨询相关设备的厂商。
·IDC从云上学习到的路由如下所示。
oIDC1
目标网段 |
下一跳 |
|---|---|
10.2.2.0/24 |
172.16.1.2 |
192.168.20.0/24 |
172.16.1.2 |
oIDC2
目标网段 |
下一跳 |
|---|---|
10.2.1.0/24 |
172.16.2.2 |
192.168.20.0/24 |
172.16.2.2 |
方案验证
完成以下操作,测试网络的连通性:
说明在您执行以下步骤前,请您先了解您VPC中的ECS实例所应用的安全组规则,确保安全组规则允许IDC中的设备访问VPC中的ECS实例。具体操作,请参见 查询安全组规则。
1.登录阿里云VPC中的ECS实例。具体操作,请参见 连接方式概述ECS远程连接操作指南。
2.执行ping命令,ping杭州IDC的服务器10.2.1.204,如果能接收到回复报文,则表示网络连接成功。
经验证,VPC和杭州IDC可正常通信。
3.在新加坡IDC下,打开客户端的命令行窗口。
4.执行ping命令,ping杭州IDC的服务器地址,如果能接收到回复报文,则表示新加坡IDC和杭州IDC可正常通信。
经验证,新加坡IDC和杭州IDC可正常通信。
5.依旧在新加坡客户端下,执行ping命令,ping云上VPC的服务器IP地址192.168.20.161,如果能接收到回复报文,则表示网络连接成功。
经验证,VPC和新加坡IDC可以正常通信。
