作者:阿裡雲MVP 孫承會
摘要
混合雲時代,多雲管理的重要性日漸凸顯。特别是集團化多分支架構的企業,總部和分支,分支與資料中心,分支與雲之間需要高效,安全,可靠的IT整體解決方案。通過阿裡雲的雲企業網,智能接入網關等服務可以提供高效的廣域網接入、多分支組網,實作雲、資料中心、企業分支之間的專屬網絡,實作三者之間網絡任意互聯。以更低的成本獲得更高品質的網絡環境。提高企業網絡安全性,降低運維成本,建構極緻的企業互聯體驗。
正文
混合雲時代,多雲管理的重要性日漸凸顯。特别是集團化多分支架構的企業,集團有各個方面的應用要在多個節點間需要有高品質的網絡環境,例如異地辦公、視訊會議、遠端桌面、支付交易系統、遠端醫療等場景,越來越多的實時應用要在多個節點間傳遞,斷線、通路慢等問題将會放大使用者的不滿,造成交易流失。解決集團化多分支的混合雲網絡問題尤為重要。
下圖為典型的集團化多分支的企業:
解決該種混合雲組網傳統主要有VPN和專線兩種方式,VPN的方式線路不穩定難以保證客戶業務系統的穩定運作,專線方式雖然網絡品質比較好,但也會帶來以下問題:
1) 受服務商限制,需要改動網絡。
例如,不同雲平台的北京,深圳的VPC基礎設施接入到北京的資料中心。雲專線連接配接方式依賴服務商,需要在使用者側部署接入裝置,花費幾天或幾周的時間改動網絡。由于涉及到專線服務商,營運商,雲服務商多方面配合,在資源協同,線路選擇方面通常會有限制。
2) 高昂的組網成本,限制企業通網。
雲專線每年支出在數十萬級。創業公司沒有大企業的資源優勢,較高的支出,顯然不符合需求。
阿裡雲雲企業網和智能接入網關能更好的幫助客戶解決混合雲組網的場景。雲企業網的主要場景如下:
同區域網絡資源互通
您隻需完成兩步便可實作同賬号下同地域内所有加載的專有網絡(VPC)和邊界路由器(VBR)互通。首先建立一個雲企業網執行個體,然後将要互通的網絡執行個體(專有網絡和路由器接口)加載到雲企業網執行個體中即可。
跨區域網絡資源互通
您可以通過雲企業網實作任意兩個區域下的雲資源互通,比如使亞太區域的VPC和北美區域的VPC互通。您首先需要建立一個雲企業網執行個體,然後将要互通的網絡執行個體(專有網絡和路由器接口)加載到雲企業網執行個體,再購買一個跨區域帶寬包,設定跨地域互通帶寬即可。
使用智能接入網關解決高可用上雲的場景。智能接入網關執行個體可以直接通過Internet綁定CCN執行個體或者綁定高速上雲服務關聯的VBR執行個體,将VBR執行個體和CCN執行個體加入雲企業網通路雲上資源,實作上雲連接配接的高可用備份。
智能接入網關+Internet+高速上雲服務的部署模式如下圖所示:
我們通過一個例子來說明雲企業網如何通過和高速通道實體專線、VPN網關、智能接入網關組合使用,快速建構一張混合雲網絡。
網絡拓撲介紹
• 客戶分别在北京、上海、杭州和廣州部署了雲下IDC服務。
• 客戶也在雲上部署了服務,包括北京VPC、上海VPC、杭州VPC和深圳VPC。
• 北京IDC和上海IDC通過專線接入到阿裡雲接入點,并将對應的邊界路由器(VBR)加載到雲企業網内。
• 杭州IDC通過VPN網關連接配接到杭州VPC。
• 廣州IDC通過智能接入網關上雲,并将智能接入網關所屬的雲連接配接網加載到雲企業網内。
• 分别将北京、上海、深圳和杭州的VPC加載到雲企業網内。
IP位址規劃
建構混合雲網絡時,必須確定所有要互通的網絡位址不沖突。本教程中的網段規劃如下:
| 網絡 | IP位址段 |
|---|---|
| 杭州IDC | 10.1.1.0/24 |
| 廣州IDC | 10.1.2.0/24 |
| 北京IDC | 10.1.3.0/24 |
| 上海IDC | 10.1.4.0/24 |
| 北京VPC | 192.168.1.0/24 |
| 深圳VPC | 192.168.2.0/24 |
| 上海VPC | 192.168.3.0/24 |
| 杭州VPC | 192.168.4.0/24 |
不同接入方式的配置
北京、上海IDC專線接入上雲
1.北京、上海的IDC通過專線連接配接到邊界路由器(VBR),并且IDC和邊界路由器之間已經建立起BGP鄰居關系。
2.北京IDC和上海IDC的CPE裝置,将IDC位址段通過BGP宣告到雲企業網。CPE主要配置如下:
| 配置 | 北京CPE | 上海CPE |
|---|---|---|
| Local BGP ASN | A | B |
| Peer BGP ASN | 45104 | |
| Network |
IDC和VBR之間建立起BGP鄰居關系,IDC和VBR就可以彼此學習到對方的路由資訊。
杭州IDC通過VPN網關接入上雲
1.杭州IDC通過VPN方式連接配接到杭州VPC内的VPN網關,接入阿裡雲。
2.本地IDC已與阿裡雲VPN網關之間建立起IPsec-VPN連接配接,并且配置指向雲上的明細路由或預設路由。
3.為了能夠讓IDC和雲企業網内加載的各網絡執行個體之間互相通信,需要在連接配接VPN網關的VPC内,配置一條指向IDC側(VPN網關)的路由,并且宣告到CEN内。
廣州IDC通過智能接入網關上雲
1.在智能接入網關控制台,将智能接入網關所連接配接的廣州IDC業務位址段10.1.2.0/24配置為私網網段。
2.将智能接入網關所綁定的雲連接配接網CCN加載到雲企業網中,這樣廣州IDC便可以和雲企業網内任意加載的網絡執行個體進行互通。
通過以上接入方式實作了客戶全網的互聯互通:
• 北京、上海IDC通過專線BGP上雲,VBR加載到雲企業網中。
• 杭州IDC通過VPN網關上雲,挂載VPN網關的VPC加載到雲企業網中。
• 廣州IDC通過智能接入網關上雲,智能接入網關關聯的雲連接配接網加載到雲企業網中。
總結
通過雲企業網和智能接入網關幫助您在 VPC 間,VPC 與本地資料中心間搭建私網通信通道,通過自動路由分發及學習,提高網絡的快速收斂和跨網絡通信的品質和安全性,實作全網資源的互通,通過智能接入網關實作Internet就近加密接入,獲得更加智能、更加可靠、更加安全的上雲體驗,幫助您打造一張具有企業級規模和通信能力的網際網路絡。
更多雲計算、大資料、實戰架構等優質、熱門内容,微信搜尋“拜托了王教授”公衆号添加關注擷取~
更有優質技術交流社群、技術大牛一對一接觸機會等衆多福利等你來撩~