用户通过虚拟网关主备冗余方式访问VPC

方案概述

应用场景

用户因业务需求，需要使用两条物理专线主备冗余接入同区域的两个华为云专线接入点访问同一个VPC。

主备冗余接入建议使用BGP路由协议，出云主备链路可通过设置虚拟接口优先级实现，入云主备链路可以通过用户侧设置Local_Pref来实现。

方案架构

用户侧网络通过双专线接入华北-北京四区域接入点“北京-亦庄-中金”和“廊坊-广阳-华为”，在华北-北京四区域创建了VPC。

VPC创建请参考《虚拟私有云用户指南》。

本方案使用地址信息如下：

图1 双专线双接入点主备冗余方式访问VPC

方案优势

多云架构：多地接入，拓扑灵活，多云备份容灾。

安全可靠：专属网络通信，安全隔离，稳定可靠。

约束与限制

• 必须使用单模的1GE、10GE、40GE或100GE的光模块与华为云的接入设备对接。
• 必须禁用端口的自动协商功能，同时必须手动配置端口速率和全双工模式。
• 用户侧网络需端到端支持 802.1Q VLAN 封装。
• 用户侧设备必须支持BGP，且不能使用64512（该AS号华为已使用）。

资源成本与规划

本节介绍最佳实践中资源规划情况，包含以下内容：

双专线双接入点主备冗余方式访问VPC流程简介

本场景使用两条物理专线接入同区域的两个华为云专线接入点，通过BGP路由协议接入同一个VPC。

实施步骤

1. 创建两条物理连接
   1. 登录管理控制台。
   2. 在系统首页，单击管理控制台左上角的，选择区域和项目。
   3. 在系统首页，单击管理控制台左上角的，选择“网络 > 云专线”。
   4. 在左侧导航栏，单击“云专线 > 物理连接”。
   5. 单击“创建物理连接”，在物理连接页面单击 “自建专线接入”，进入物理连接的端口购买页面。
   6. 根据界面提示，在物理连接购买页面配置机房地址、华为云接入点、物理连接端口等信息，可参照表3输入相关参数。
      图2 自建专线接入
      

      表3 购买物理连接参数

      参数	说明
      计费模式	专线服务付费方式，目前仅支持包年/包月方式付费。
      区域	物理连接开通的区域。用户可以在管理控制台左上角或购买页面切换区域。
      物理连接名称	用户将要创建的物理连接的名称（可自定义）。
      华为云接入点	物理连接接入点的位置。
      运营商	提供物理连接的运营商。
      端口类型	物理连接接入端口的类型：1GE，10GE、40GE、100GE。
      专线带宽	物理连接的带宽大小，请在下拉框中选择对应的带宽。仅作为运营商接入带宽描述。
      您的机房地址	用户填写机房地址，可精确到楼层。例如上海市浦东新区华京路xx号xx楼xx机房。
      标签	云专线服务的标识，包括键和值。可以为云专线服务创建20个标签。 标签的命名规则请参考表4。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定云专线服务的相关标签策略，则需按照标签策略规则为物理连接添加标签。标签如果不符合标签策略的规则，则可能会导致物理连接创建失败，请联系组织管理员了解标签策略详情。
      描述	用户可以对物理连接添加备注信息。
      联系人姓名/手机/Email	用户可以在此提供用户侧专线负责人信息。 注意：如不提供负责人信息，将只能通过帐号信息查询，会增加需求确认时长。
      购买时长	购买专线服务的时长。
      自动续费	自动续费时长与购买时长相同。 例如：用户购买时长为三个月，当勾选该项后，将自动续费三个月，以此类推。
      企业项目	企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

      表4 物理连接标签命名规则

      参数	规则
      键	不能为空。 对于同一资源键值唯一。 长度不超过36个字符。 取值只能包含大写字母、小写字母、数字、中划线、下划线、以及从\u4e00到\u9fff的Unicode字符。
      值	可以为空。 长度不超过43个字符。 取值只能包含大写字母、小写字母、数字、点、中划线、下划线、以及从\u4e00到\u9fff的Unicode字符。

   7. 单击“确认配置”。
   8. 确认物理连接信息，单击“去支付”。
   9. 确认订单信息，选择付款方式，单击“确认”。
   10. 重复操作1.d到1.i，创建物理连接dc-connect2，其中参数“华为云接入点”选择“廊坊-广阳-华为”。

2. 创建虚拟网关
   1. 在左侧导航栏，选择“云专线 > 虚拟网关”。
   2. 在虚拟网关页面，单击右上角“创建虚拟网关”。
   3. 根据界面提示，配置相关参数，可参考表5。
      图3 创建虚拟网关
      

      表5 虚拟网关参数

      参数	说明
      名称	虚拟网关名称。 字符长度为1~64。
      企业项目	企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。
      虚拟私有云	虚拟网关所关联的虚拟私有云。
      本端子网	云专线允许访问的VPC子网。 用户可以添加多个网段，以“,”隔开，使用一条专线访问多个VPC子网。
      BGP ASN	虚拟网关的BGP AS号。 说明： 一般情况下，华为云BGP AS号默认是64512。除此之外，还包括以下两种特殊情况： 华北-北京一区域，华为云BGP AS号默认是65533。 亚太-曼谷区域，部分接入点的BGP AS号默认是65535，具体请联系专线经理确认。
      标签	虚拟网关的标识，包括键和值。可以为虚拟网关创建20个标签。 标签的命名规则请参考表6。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定云专线服务的相关标签策略，则需按照标签策略规则为虚拟网关添加标签。标签如果不符合标签策略的规则，则可能会导致虚拟网关创建失败，请联系组织管理员了解标签策略详情。
      描述	虚拟网关描述。

      表6 虚拟网关标签命名规则

      参数	规则
      键	不能为空。 对于同一资源键值唯一。 长度不超过36个字符。 取值只能包含大写字母、小写字母、数字、中划线、下划线、以及从\u4e00到\u9fff的Unicode字符。
      值	可以为空。 长度不超过43个字符。 取值只能包含大写字母、小写字母、数字、点、中划线、下划线、以及从\u4e00到\u9fff的Unicode字符。

   4. 单击“确定”。

3. 创建两个虚拟接口

   创建虚拟接口vif-test1和vif-test2关联虚拟网关vgw-test，同时虚拟接口vif-test1关联物理连接dc-connect1，虚拟接口vif-test2关联物理连接dc-connect2，两个虚拟接口设置不同的虚拟接口优先级，实现主备冗余。

   1. 在左侧导航栏，选择“云专线 > 虚拟接口”。
   2. 在虚拟接口页面，单击右上角“创建虚拟接口”。
   3. 根据界面提示，配置相关参数，可参考表7。
      图4 创建当前账号的虚拟接口
      

      表7 虚拟接口参数

      参数	说明
      区域	物理连接开通的区域。用户可以在管理控制台左上角或购买页面切换区域。
      名称	虚拟接口名称。 字符长度为1~64。
      虚拟接口优先级	虚拟接口的优先级。支持选择“优先”或“普通”。 接口优先级不同时表示主备关系： 主物理连接下的虚拟接口选择“优先”。 备物理连接下的虚拟接口选择“普通”。
      物理连接	选择可用的物理连接。
      虚拟网关	虚拟接口关联的虚拟网关。
      VLAN	虚拟接口的VLAN。 标准专线的虚拟接口的VLAN由用户配置 。 托管专线的虚拟接口的VLAN会使用运营商或合作伙伴为托管专线分配的VLAN，用户无需配置。
      带宽	虚拟接口带宽，单位为Mbit/s。虚拟接口带宽不可以超过物理连接带宽。
      开启限速	虚拟接口带宽限速。开启后，将根据配置的带宽值按照以下规则对虚拟接口进行限速： 带宽<=100Mbps，限速梯度为 10Mbps 100Mbps < 带宽<=1000Mbps（1Gbps）：限速梯度为 100Mbps 1Gbps<带宽<=100Gbps（100Gbps）：限速梯度为 1Gbps 100Gbps<带宽：限速梯度为 10Gbps 示例，带宽值设置为52Mbps，实际限速值为60Mbps；带宽值设置为115Mbps，实际限速值为200Mbps。 说明： 目前虚拟接口带宽限速功能已在各个区域陆续上线，具体上线区域请以管理控制台显示为准。
      企业项目	企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。
      标签	虚拟接口的标识，包括键和值。可以为虚拟接口创建20个标签。 标签的命名规则请参考表8。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定云专线服务的相关标签策略，则需按照标签策略规则为虚拟接口添加标签。标签如果不符合标签策略的规则，则可能会导致虚拟接口创建失败，请联系组织管理员了解标签策略详情。
      地址类型	虚拟接口的地址类型。 默认为IPv4。
      本端网关	云专线华为云侧接口互联IP地址。
      远端网关	用户本地数据中心侧网络的互联IP地址。 远端网关与本端网关需要设置为同一网段的IP地址，一般使用30位掩码。
      远端子网	用户数据中心的子网和子网掩码。多个远端子网时，请以逗号隔开。
      路由模式	路由模式：静态路由/BGP 双线或者后期有冗余专线接入请选择BGP模式。
      BGP邻居ASN	BGP邻居自治系统的标识。 当路由模式为BGP时，需要设置此参数。
      BGP MD5认证密码	BGP邻居的MD5值即BGP密码。 当路由模式为BGP时，可设置此参数，两侧网关参数需保持一致。 字符长度为8~255，至少包含以下字符的两种： 大写字母 小写字母 数字 特殊字符（~!,.:;-_"(){}[]/@#$%^&*+\|=）
      描述	可自定义虚拟接口的相关描述。

      表8 虚拟接口标签命名规则

      参数	规则
      键	不能为空。 对于同一资源键值唯一。 长度不超过36个字符。 取值只能包含大写字母、小写字母、数字、中划线、下划线、以及从\u4e00到\u9fff的Unicode字符。
      值	可以为空。 长度不超过43个字符。 取值只能包含大写字母、小写字母、数字、点、中划线、下划线、以及从\u4e00到\u9fff的Unicode字符。

   4. 单击“立即创建”。
   5. 重复操作3.a到3.d，创建虚拟接口vif-test2。
   

   • 创建虚拟接口vif-test2的参数“物理连接”选择“dc-connect2”，“本端网关”填入“10.0.0.5/30”，“远端网关”填入“10.0.0.6/30”。

   • 两个虚拟接口的BGP AS号和MD5可以根据需要设置不同的值。

   • 系统默认安全组规则是入方向访问受限，请确认区域内互访资源的安全组出方向、入方向规则配置正确，保证跨区域通信正常。

4. 云上路由发布

   用户自助方式开通后，华为云侧设备自动下发，且通过设置虚拟接口优先级，已指定出云主链路。

5. 用户侧路由发布

   假设希望连接华为云接入点“北京-亦庄-中金”“的线路为入云主线路，可以通过设置Local_Pref来实现，降低“廊坊-广阳-华为”线路的BGP路由本地优先级。

   BGP路由配置示例（以华为设备为例）：

   bgp 64510

   peer 10.0.0.1 as-number 64512

   peer 10.0.0.1 password simple Qaz12345678

   peer 10.0.0.5 as-number 64512

   peer 10.0.0.5 password simple Qaz12345678

   peer 10.0.0.5 route-policy slave_direct_in import

   network 10.1.123.0 255.255.255.0

   route-policy slave_direct_in permit node 10

   apply local-preference 90

连通性验证

从华为云的ECS去ping云下用户侧的虚机。经验证，云上虚机与用户侧虚机正常通信。

关闭任意一个物理专线端口，再次执行ping命令。经验证，云上虚机与用户侧虚机仍正常通信。

如果想查看路由的具体路径，可执行tracert路由追踪命令，不同的设备，该命令略有不同，请咨询相关设备厂商。

相关文档

• 连接故障排查请参考排查网络与连接和排查路由问题。
• 云专线安装施工常见问题请参考专线施工。
• 云专线对接配置常见问题请参考对接配置。