基于云连接服务实现跨区域多VPC互通
背景
默认情况下,在不同区域的虚拟私有云(VPC)内资源需要互通,一般可以通过弹性公网IP(EIP)或虚拟专用网络(VPN)来实现,但两个服务都基于公网Internet,前者不稳定而且数据未加密,存在泄密风险,后者数据被IPSec加密,安全上有保证,但仍然会因为Internet不稳定而导致通信不稳定,许多跨区域的多虚拟私有云(VPC)互通的业务,都需要安全,稳定,高性能,高可靠的网络,云连接服务能够满足用户这一诉求。用户可以创建云连接实例,然后在该云连接实例中加载需要互通的各区域的VPC,通过购买不同类型的带宽包并配置域间带宽,来实现不同区域之间的VPC互通。
操作场景
假设用户在华为云华东区域创建了两个VPC,分别有两个子网,同时,在华为云香港区域以及南非区域也分别各部署了一个VPC。出于在各个区域上部署的业务需要,各个区域的VPC需要高性能,高可用,低时延的互通网络。在这种场景下,我们可以通过云连接来实现跨区域多VPC互通。基于云连接服务实现跨区域多VPC互通的典型应用场景如图1所示。
在配置云连接时,需要注意通过云连接实现跨区域互通的各个VPC:
- 其子网的IP地址不能重叠或冲突。
- 现存的路由条目,包括因VPC Peering,云专线和VPN等服务所增加的路由条目,不能与加入云连接后的子网路由产生冲突。
前提条件
- 已创建好需要跨区域互通的虚拟私有云(VPC)以及子网。
- 请确保帐号中有足够余额以完成云连接服务带宽包的购买。
- 在本最佳实践的互通场景下,华为云华东区域内的VPC需要分别与香港区域的VPC以及南非区域的VPC互通,该场景属于中国大陆跨境场景。因此在进行带宽包购买之前,根据工信部等相关规定,我们需要先向云连接服务的跨境专线服务提供商——中国联通提供相应的申请材料以申请跨境资质,确保合规跨境。
如果您的场景不涉及中国大陆跨境场景(例如中国大陆内多区域互通或中国大陆境外多区域互通),请忽略该条件。
配置步骤
- 跨境申请
如果用户的网络规划中不涉及跨大区的通信时,则无需操作本步骤。
云连接中,中国大陆区的VPC需要与中国大陆区外的VPC进行通信时,先要进行跨境申请,提交您的基本资料,保障跨境业务的安全性。
- 登录管理控制台。
- 在系统首页,单击管理控制台左上角的,选择“网络 > 云连接”。
- 在左侧导航中,选择“云连接 > 带宽包”。
- 在带宽包页面,单击“立即申请”。
- 在跨境云服务在线申请页面,根据提示配置相关参数,并上传相关材料。
表1 跨境云服务在线申请 参数
客户名称
华为云ID
产品类型
签约带宽(M)
合同生效时间
合同终止时间
客户类型
客户所属国家
客户统一社会信用代码
客户组织机构代码
客户法人
法人证件类型
法人证件号
客户联系人
客户联系人电话
联系人证件类型
联系人证件号
经营范围
客户企业规模(人数)
客户人均带宽
客户境内外分公司所在国家
“华为云ID”指用户在华为云管理控制台的“帐号ID”,从控制台获取帐号ID的步骤如下:- 登录管理控制台。
- 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。
图2 我的凭证
- 在“API凭证”页面的项目列表中查看并获取帐号ID。
图3 获取帐号ID
表2 跨境申请材料 材料名称
签字
盖章(企业公章)
说明
营业执照扫描件
-
√
盖章位置请参考相应的模板文件。
联系人身份证正反面
-
√
盖章位置请参考相应的模板文件。
《华为云服务跨境专线业务服务协议》扫描件
√
√
- 请在签字栏处签字。
- 盖章需覆盖签名。
《中国联通专线业务信息安全承诺书》扫描件
√
√
- 请在签字栏处签字。
- 盖章需覆盖签名。
- 该材料中需要填写公司名称、带宽值,带宽值可按照初始预估值填写。
《跨境业务办理授权书》扫描件
-
√
盖章位置请参考相应的模板文件。
- 单击“立即申请”。
- 创建云连接实例
- 登录管理控制台。
- 在系统首页,单击管理控制台左上角的,选择“网络 > 云连接”。
- 在云连接服务管理控制台首页,单击“创建云连接”,开始创建云连接实例。
图4 创建云连接
- 根据界面提示配置相关参数,详细请参见表3。
表3 参数说明 参数
说明
名称
云连接实例的名称。由中文、英文字母、数字、下划线、中划线、点组成。
企业项目
企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
使用场景
虚拟私有云:选择虚拟私有云场景时,网络实例类型支持选择虚拟私有云(VPC)和虚拟网关(VGW)。
企业路由器:选择企业路由器场景时,实例类型只能选择企业路由器(ER)。
标签
云连接服务的标识,包括键和值。可以为云连接服务创建10个标签。
标签的命名规则请参考表4。
说明:如果已经通过TMS的预定义标签功能预先创建了标签,则可以直接选择对应的标签键和值。
预定义标签的详细内容,请参见预定义标签简介。
描述
云连接实例的描述和注释。一般不超过255个字符。
- 单击“确定”,完成云连接实例的创建。
- 加载网络实例
将需要互通的网络实例加载到同一个云连接实例里。
- 在云连接服务管理控制台界面上,您可以看到已创建好的云连接实例CloudConnect。单击云连接名称进入该云连接实例基本信息页面,接下来我们需要加载跨区域互通的网络实例VPC。
- 选择并进入“网络实例”页面,单击“加载网络实例”。
- 在“加载网络实例”弹框里,下拉“区域”菜单选择“华东-上海一”,实例类型选择“虚拟私有云(VPC)”,在“VPC”以及“VPC CIDR”的下拉菜单里分别选择要互通的VPC和对应的子网,单击“确定”,完成华东区域的VPC加载。
图5 加载网络实例
- 重复上述操作,在“加载网络实例”弹窗中,选择香港区域以及南非区域的虚拟私有云(VPC),并将其加载到云连接实例中。
在加载完成后,这三个区域的4个VPC网络已经基于云连接服务打通了,我们可以通过查看“路由信息”的选项卡确认当前基于云连接可以互通的各个区域的VPC路由条目。
- 购买带宽包
云连接默认跨区域互通带宽为10kbps,仅用于测试连通性,需购买带宽包并配置域间带宽以保证业务正常使用。
为了实现网络实例跨区域互通,需要在带宽包管理页面先购买跨区域对应的跨大区或大区内的带宽包,并绑定到相应的云连接实例,支撑业务测试或部署。
- 在云连接服务管理控制台页面上,单击进入创建的云连接实例详情页面,选择“带宽包”,单击“购买带宽包”,启动带宽包的购买。
- 在带宽包购买页面,您可以分别自定义该带宽包的“名称”,计费方式,互通类型,互通大区,带宽大小,购买时长,并确定是否开启自动续费,最后选择是否将购买的该带宽包资源直接绑定给某云连接实例。在本最佳实践的互通场景下,我们需要打通华东区域与香港区域以及南非区域之间的内网互通,因此“互通类型”需要选择为“跨大区互通”:
- 为支持华东区域与香港区域之间的互通,我们需要购买的带宽包的互通大区分别选择“中国大陆”与“亚太”,带宽选择30M。
- 为支持华东区域与南非区域之间的互通,我们需要购买的带宽包的互通大区需要分别选择“中国大陆”与“南非”,带宽选择2M。
购买带宽包时,选择绑定我们已经创建好的云连接实例,在确定信息选择和输入无误后,单击右下角的“立即购买”。
- 在订单确认页面再次确认购买带宽包的信息,单击“去支付”。
- 单击“确认付款”。
在带宽包列表中可查看带宽包信息,如果“状态”为“正常”,表示购买成功。
购买完成后,您可以在管理控制台云连接服务的子页面“带宽包管理”页面找到该带宽包资源,并查询到该带宽包资源的计费模式,订单信息,已绑定的云连接信息和已用/剩余带宽,我们可以针对该带宽包资源进行“修改带宽”、“解绑”、“续费”以及“退订”等操作。
- 配置域间带宽
在购买带宽包后,在云连接实例详情页面配置需要实现互通的域间带宽,以完成不同区域之间的带宽配置,支撑不同区域的VPC内业务的网络互通。
- 进入创建好的云连接实例详情页面,选择“域间带宽”,单击“配置域间带宽”。
- 在弹出的“配置域间带宽”对话框内,互通区域分别选择“华东-上海一”以及“中国-香港”,下面会自动匹配出您所购买的可以使用在该互通场景下的带宽包资源,带宽处可以输入您所需要分配在这两个区域之间的带宽,在这里,我们设置为30M全部分配。
- 在配置完成后,我们可以在“域间带宽”选项卡页面查看已经分配的域间带宽配置。
系统默认安全组规则是入方向访问受限,请确认区域内互访资源的安全组出方向、入方向规则配置正确,保证跨区域通信正常。