通过云连接CC实现内网跨区域访问OBS
应用场景
为了降低访问延迟、满足当地的数据合规性等需求,您的业务数据可能存储在各区域的OBS桶中,与此同时,您可能需要集中访问、处理和分析各区域OBS桶中的数据。例如,您的ECS云服务器部署在华东-上海一,存储数据的OBS桶可能部署在华北-北京四等其他区域,此时ECS云服务器需要跨区域访问OBS桶。在使用云连接(Cloud Connect,以下简称CC)前,跨区域访问需要通过公网,公网网络延迟高、带宽不稳定,并且会产生较高的公网流量费用。使用云连接CC后,可以打通跨区域的内网通道,实现内网跨区域访问OBS桶。基于云连接CC的内网跨区域访问方案具有以下优势:
- 高速传输:通过华为云优质的内网骨干网,数据传输速度优于公网,延迟更低,稳定性更高。
- 成本优化:通过内网跨区域访问OBS,不收取流量费用,为您节省成本。
- 数据安全:数据全程在华为云内网中传输,安全性更高。
本文为您详细介绍通过云连接CC跨区域访问OBS的方案,方案中配套使用了桶的专线域名和专线IP,使用时您只需直接访问OBS桶的专线域名,CC就会自动将访问请求路由到对应区域的OBS桶。
背景介绍
了解使用云连接跨区域访问OBS前,您可能需要了解以下背景知识:
- 云连接:云连接能够帮助您构建跨区域VPC之间高速、优质、稳定的网络访问,更多关于云连接的内容,请参见云连接。
- OBS桶域名:桶创建成功后,OBS会根据桶名和桶的区域信息生成一个桶的默认域名“BucketName.obs.RegionID.myhuaweicloud.com”。例如:华北-北京四名为test-zcy-abc的桶,它的桶域名为test-zcy-abc.obs.cn-north-4.myhuaweicloud.com。
- OBS桶的内网IP:OBS桶在华为云内网的访问地址。桶域名通过内网DNS解析得到的就是桶的内网IP,通过公网DNS解析得到的就是桶的公网IP。
- 专线域名:多云互联场景下,为了解决IDC专线接入OBS时发生的IP冲突问题,OBS为云专线场景提供了专线域名“BucketName.obs-private.RegionID.myhuaweicloud.com”。例如:华北-北京四名为test-zcy-abc的桶,它的专线域名为test-zcy-abc.obs-private.cn-north-4.myhuaweicloud.com。
- 专线IP:专线域名通过公网DNS解析后即可得到对应的专线IP。依据IETF和IANA标准,OBS为内网访问保留了100.125.0.0/16网段,此网段多用于IDC数据中心和云厂商内部服务互联。但是对于IDC多云互联场景,由于各云厂商均使用了该网段,导致IDC在配置各云厂商路由时出现IP冲突。为了解决该冲突,OBS为每个华为云Region预留一段专线IP,该专线IP可以通过公网DNS解析专线域名得到,但只能用于内网访问OBS。
方案架构
通过CC跨Region访问OBS桶的流程如下:
- 使用ECS访问桶(test-zcy-abc)的专线域名(test-zcy-abc.obs-private.cn-north-4.myhuaweicloud.com)。
- DNS将专线域名解析的专线IP返回给ECS。华为云内部已完成专线域名到专线IP的映射,因此本实践中您无需配置DNS域名解析。
- ECS访问专线IP,经过同区域的CC网络实例。
- 云连接实例将对专线IP的访问路由到桶所在区域的CC网络实例。
- CC网络实例将访问路由到同VPC的VPC终端节点(OBS网关型终端节点),通过OBS网关型终端节点可以实现大带宽低时延访问OBS桶。
- 访问经由VPCEP后到达OBS,完成跨区域对OBS桶的访问。
方案优势
- 架构精简:您无需为了解析OBS域名而购买并配置DNS,OBS预留的专线域名通过公网DNS解析即可得到专线IP,直接访问专线IP即可访问OBS。
- 传输高效:专用网络进行数据传输,网络性能高,延迟低;使用OBS网关型终端节点可以实现大带宽低时延访问OBS桶。
- 安全可靠:云连接使用专属私密通道接入华为云VPC,网络隔离,安全性极高。
约束与限制
专线域名当前支持华东-上海一和华北-北京四,其他区域可提交工单联系技术支持申请使用。
资源和成本规划
|
区域 |
资源 |
资源名称 |
资源说明 |
数量 |
费用 |
|---|---|---|---|---|---|
|
华东-上海一 |
虚拟私有云VPC |
VPC-B-test |
VPC网段:172.16.0.0/16 在虚拟私有云控制台创建VPC。 |
1 |
免费。 |
|
虚拟私有云子网 |
subnet-VPC-B |
子网网段:172.16.0.0/24 在虚拟私有云控制台创建VPC时,同时配置好子网。 |
1 |
免费。 |
|
|
弹性云服务器ECS |
ecs-test |
私有IP地址: 在弹性云服务器控制台创建ECS,该ECS属于VPC-B-test,用于访问OBS桶。 |
1 |
本实践中,ECS按需计费,计费项包含云服务器、镜像、云硬盘等费用,请参见ECS按需计费。 |
|
|
CC网络实例 |
- |
在云连接控制台的云连接实例中加载华东-上海一的VPC-B-test的网络实例。 |
1 |
免费。 |
|
|
全局资源,无区域限制。 |
云连接CC |
cloudconnect-test |
在云连接控制台创建云连接实例。 |
1 |
免费。 |
|
云连接带宽包 |
bandwidthPackge-test |
云连接必须搭配带宽包才能正常使用。 |
1 |
本实践中,云连接带宽包按需计费,具体请参见云连接按需计费。 |
|
|
华北-北京四 |
CC网络实例 |
- |
在云连接控制台的云连接实例中加载华北-北京四的VPC-A-test的网络实例。 |
1 |
免费。 |
|
虚拟私有云VPC |
VPC-A-test |
VPC网段:192.168.0.0/16 在虚拟私有云控制台创建VPC。 |
1 |
免费。 |
|
|
虚拟私有云子网 |
subnet-VPC-A |
子网网段:192.168.0.0/24 在虚拟私有云控制台创建VPC时,同时配置好子网。 |
1 |
免费。 |
|
|
VPC终端节点 |
- |
在华北-北京四VPCEP控制台,购买OBS桶所在集群终端节点(OBS网关型终端节点)。 |
1 |
本实践所使用的终端节点为OBS网关型终端节点,是免费的。 |
|
|
OBS桶 |
test-zcy-abc |
用于被ECS访问的桶。 在OBS控制台创建桶。 |
1 |
根据上传至桶中的对象占用的存储空间收费,具体请参见存储费用。 |
操作流程
实施步骤
步骤一:创建VPC、ECS、OBS桶
1. 创建VPC
在华北-北京四和华东-上海一分别创建两个VPC(VPC-A-test、VPC-B-test),用于实现相关资源的网络隔离。
- 进入创建虚拟私有云页面。
- 在“创建虚拟私有云”页面,设置以下参数,其他参数保持默认。
更多关于创建VPC的内容,请参见创建虚拟私有云和子网。
表2 虚拟私有云参数说明 参数
示例
说明
区域
华北-北京四
不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。
名称
VPC-A-test
输入VPC的名称。要求如下:- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
IPv4网段
192.168.0.0/16
VPC的地址范围,VPC内的子网地址必须在VPC的地址范围内。
目前支持网段范围:- 10.0.0.0/8~24
- 172.16.0.0/12~24
- 192.168.0.0/16~24
未开启IPv4/IPv6双栈的区域显示参数“网段”,开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。
企业项目
default
创建VPC时,可以将VPC加入已启用的企业项目。
企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。
如无特殊的企业项目划分和管理需求,此处可直接选择默认企业项目“default”。
关于创建和管理企业项目的详情,请参见《企业管理用户指南》。
子网名称
subnet-VPC-A
输入子网的名称。要求如下:- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
- 参数设置完成后,单击“立即创建”。
返回VPC列表,可以查看新创建的VPC。
- 重复1至3,创建第2个VPC,参数要求如下:
- 区域:华东-上海一
- 名称:VPC-B-test
- IPv4网段:172.16.0.0/16
- 企业项目:default
- 子网名称:subnet-VPC-B
2. 创建ECS
在华东-上海一的VPC-B-test中创建ECS,用于访问OBS桶。
- 登录控制台,进入购买弹性云服务器页面。选择“自定义购买”。
- 设置“基础配置”。
- 设置“操作系统”。
表4 “操作系统”参数设置说明 参数
示例
说明
镜像
CentOS 6.10 64bit (40GiB)
华为云提供的Linux类型公共镜像。
- 设置“存储与备份”。
表5 “存储与备份”参数设置说明 参数
示例
说明
开启备份(可选)
不开启
云备份用于当发生病毒入侵、人为误删除、软硬件故障等事件时,将数据恢复到任意备份点。
本实践中,暂不需要开启备份。您在实际使用过程中,请根据需求开启。
更多信息,请参见云备份概述。
- 设置“网络”。
表6 “网络”参数设置说明 参数
示例
说明
虚拟私有云
VPC-B-test
选择ECS所在的VPC,用于对ECS实现网络隔离。
更多信息,请参见虚拟私有云和子网规划建议。
主网卡
- 主网卡:subnet-VPC-B
- 私有IP地址分配方式:自动分配IP地址
选择VPC子网。
- 设置“公网访问”。
表7 “公网访问”参数设置说明 参数
示例
说明
弹性公网IP
暂不购买
如需访问公网,则可以为ECS购买和绑定弹性公网IP。
更多信息,请参见弹性公网IP概述。
- 设置“云服务器管理”。
表8 “云服务器管理”参数设置说明 参数
示例
说明
云服务器名称
ecs-test
根据命名规则,自定义ECS的名称。
登录凭证
密码
选择“登录凭证”方式为“密码”。设置密码并确认密码。
企业项目
default
仅当使用企业类型的账号购买ECS时,会显示该参数。
用于按项目统一管理云资源。
- 在页面右侧的“配置概要”中,确认ECS配置详情。
- 阅读协议并勾选同意后,单击“立即购买”。
- 支付订单,完成ECS的购买。
- 单击“返回云服务器列表”,查看已购买的ECS。
3. 创建OBS桶
在华北-北京四创建OBS桶,用作被ECS访问的桶。
- 在OBS管理控制台左侧导航栏选择“桶列表”。
- 在页面右上角单击“创建桶”。
- 设置以下参数,其他参数保持默认。
更多关于创建OBS桶的内容,请参见创建桶。
表9 创建桶参数说明 参数名称
示例
说明
区域
华北-北京四
桶所属的区域。
- 桶创建成功后,不支持变更区域,请谨慎选择。
- 请选择靠近您业务的区域创建桶,以降低网络时延,提高访问速度。
桶名称
test-zcy-abc
创建桶时,需要设置合适的桶名称。
桶创建成功后,不支持修改桶名称。
OBS中桶按照DNS规范进行命名,DNS规范为全球通用规则,其具体命名规则如下:
- 需全局唯一,不能与已有的任何桶或并行文件系统(包含其他用户创建的)名称重复。删除桶后,立即创建同名桶或并行文件系统会创建失败,需要等待30分钟才能创建。
- 长度范围为3到63个字符。
- 支持小写字母、数字、中划线(-)、英文句号(.),且不能以中划线(-)或英文句号(.)开头及结尾。
- 禁止两个英文句号(.)相邻,禁止英文句号(.)和中划线(-)相邻。
- 禁止使用IP地址。
企业项目
default
将桶加入到企业项目中统一管理。如无特殊的企业项目划分和管理需求,此处可直接选择默认企业项目“default”。
如果您想要了解更多关于如何通过企业项目管理OBS桶,具体请参见创建桶中的“企业项目”参数说明。
- 单击右下角的“立即创建”,确认提示信息,并单击“确定”。
- 在“创建成功”弹窗,单击“确定”。在桶列表页可以看到新创建的桶,即表示创建成功。
- 桶创建成功后,需要获取桶对应区域的专线域名和专线IP等信息,以便在后续配置中使用,如表10所示。其他区域可提交工单联系技术支持申请使用。
本实践中,test-zcy-abc桶所在区域的专线域名为“obs-private.cn-north-4.myhuaweicloud.com”,专线IP网段为“120.46.235.0/25”。
步骤二:创建云连接实例并加载网络实例
创建云连接实例并分别在“华东-上海一”和“华北-北京四”两个区域的两个VPC中加载网络实例,使得两个区域两个VPC之间可以互相通信。
- 创建云连接实例。
- 进入云连接实例列表页面。
- 单击页面右上方的“创建云连接”。
- 在弹出的对话框中,设置以下参数,其他参数保持默认。
更多关于创建云连接的内容,请参见创建云连接实例。
表11 云连接实例参数说明 参数
示例
说明
名称
cloudconnect-test
云连接实例的名称。
企业项目
default
创建云连接实例时,可以将云连接实例加入已启用的企业项目。
企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理。
如无特殊的企业项目划分和管理需求,此处可直接选择默认企业项目“default”。
关于创建和管理企业项目的详情,请参见《企业管理用户指南》。
使用场景
虚拟私有云
云连接实例的使用场景。
选择虚拟私有云场景时,实例类型只能选择虚拟私有云(VPC)和虚拟网关(VGW)。
- 单击“确定”。
- 加载网络实例。
- 单击已创建的云连接实例名称,进入云连接实例基本信息页面。
- 切换至“网络实例”页签,然后单击“加载网络实例”。
- 在“加载网络实例”弹窗,设置如下参数,其他参数保持默认。
更多关于加载网络实例的内容,请参见将网络实例加载至云连接实例。
表12 加载同账号网络实例参数 参数
示例
说明
区域
华北-上海一
需要连接的VPC所在区域。
这里选择ECS所在区域,即华东-上海一。
VPC
VPC-B-test
需要加载到云连接实例中实现网络互通的VPC名称。
当实例类型参数选择虚拟私有云时,需要配置此参数。
VPC CIDRs
subnet-VPC-B
需要加载到云连接实例中实现网络互通的VPC内的网段路由。
当实例类型参数选择虚拟私有云时,需配置以下两个参数:
- 子网:虚拟私有云的子网,这里选择华东-上海一的VPC的子网“subnet-VPC-B”。
- 其他网段:置空。
- 单击“确定”。
- 重复2.b至2.d,加载华北-北京四网络实例。参数要求如下:
- 区域:华北-北京四
- VPC:VPC-A-test
- VPC CIDRs:
- 选择子网:subnet-VPC-A
- 其他网段:本实践中,此处填写被访问桶(华北-北京四的桶)所在区域的专线域名对应的专线IP网段,6已获取。
- 购买带宽包。
- 切换至云连接实例的“带宽包”页签,单击“购买带宽包”。
- 在“购买带宽包”页面,设置如下参数,其他参数保持默认。
更多关于购买带宽包的内容,请参见购买带宽包。
表13 购买带宽包参数 参数
示例
说明
计费模式
按需计费
带宽包的计费模式。
按需计费:按实际使用时长计费,可以随时开通或删除。
更多信息请参见云连接按需计费。
名称
bandwidthPackge-test
带宽包的名称。
长度为1~64个字符,支持数字,英文字母,下划线,中划线,点。
企业项目
default
将带宽包加入到已启用的企业项目中进行管理。
企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
如无特殊的企业项目划分和管理需求,此处可直接选择默认企业项目“default”。
关于创建和管理企业项目的详情,请参见《企业管理用户指南》。
互通类型
大区内互通
互通大区的类型。支持:
- 大区内互通:指配置域间带宽的区域在同一个大区内。
- 跨大区互通:指配置域间带宽的区域在不同的大区内。
本实践中,华东-上海一和华北-北京四之间通讯属于大区内互通。
互通大区
中国大陆
需要实现互通的区域,即配置域间带宽时涉及的区域。
带宽
5
带宽是所有基于该带宽包配置的域间带宽总和,请根据网络情况提前做好规划。
单位:Mbit/s
云连接实例
cloudconnect-test
选择需要绑定的云连接名称。
本实践中,需要绑定1创建的云连接示例“cloudconnect-test”。
- 单击“立即购买”。
- 确认购买信息无误后,单击右下角的“提交”。
- 配置域间带宽。
步骤三:购买VPC终端节点
在“华北-北京四”购买OBS网关型终端节点,使VPC-A-test中的云资源无需弹性公网IP就能够访问OBS。
- 进入终端节点列表页。
- 在“终端节点”列表页,单击“购买终端节点”,进入“购买终端节点”页面。
- “购买终端节点”页面,配置以下参数。其他参数保持默认。
更多关于购买终端节点的内容,请参见购买终端节点。
表15 终端节点配置参数 参数
示例
描述
区域
华北-北京四
终端节点所在区域。
不同区域的资源之间内网不互通。请选择靠近您的区域,可以降低网络时延、提高访问速度。
服务类别
按名称查找服务
当您要连接的终端节点服务为用户私有服务时,需要选择“按名称查找服务”。
服务名称
-
“服务类别”选择“按名称查找服务”,则需要配置该参数。
本实践中,此处填写被访问桶(华北-北京四的桶)所在集群终端节点服务名称,请提交工单获取。
输入服务名称,单击“验证”:
- 若显示“已找到服务”,继续后续操作。
- 若显示“未找到服务”,请检查“区域”是否和终端节点服务所在区域一致或输入的“服务名称”是否正确。
虚拟私有云
VPC-A-test
选择终端节点所属的虚拟私有云。
本实践中,此处选择被访问桶所在区域华北-北京四的虚拟私有云VPC-A-test。
- 单击右下角的“立即购买”。
- 在信息确认页面,单击“提交”。
- 返回终端节点列表,可以看到创建的终端节点,即表示创建成功。
