方案概述
应用场景
在企业IDC上云的过程中,用户云下IDC长期保持复杂的混合云架构:云下IDC生产、云下IDC测试、云上华为云生产、云上华为云测试、云上其他云的生产和测试等等,因此经常存在云下IDC通过内网(专线或VPN)上云访问云上业务的功能需求,而单纯依赖专线或VPN上云后很多云上资源和云服务依然无法访问。
如图1所示,云下IDC希望不通过公网的方式访问云上VPC1、VPC2内的资源(ELB、ECS)以及其他云服务(OBS、DNS)。
方案架构
结合用户业务需求分析,不仅需要实现云下用户数据中心与华为云上互通,同时要不借助公网访问云上VPC内的资源和其他云服务。
本实践中主要用到以下两个服务来实现用户业务需求:
- 云专线(Direct Connect),用于搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道,充分利用华为云服务优势的同时,继续使用现有的IT设施,实现灵活一体,可伸缩的混合云计算环境。
云专线服务在本方案中主要用于实现云下用户数据中心与华为云VPC上互通。
- VPC终端节点(VPC Endpoint),可以在VPC内提供便捷、安全、私密的通道与终端节点服务(华为云服务、用户私有服务)进行连接,该服务使用华为云内部网络,无需弹性公网IP。
VPC终端节点服务在本方案中主要用于实现通过华为云内网访问云上VPC内的资源和其他云服务。
- 通过云专线实现云下IDC与云上VPC1互通。
- 通过终端节点1,IDC可以访问VPC1内的云资源ELB。
- 通过终端节点2,IDC可以跨VPC访问VPC2内的云资源ECS。
- 通过终端节点3,IDC可以通过内网访问云服务DNS。
- 通过终端节点4,IDC可以通过内网访问云服务OBS。
并非所有的云服务都支持用户云下通过VPCEP走内网访问,仅支持提供了VPCEP的服务可以通过内网访问云上资源和云服务。
方案优势
- 创建简易,响应迅速,敏捷高效。
- 无需弹性公网IP,直连内网,使用方便灵活。
- 避免泄漏服务端相关信息所带来不可知的风险,安全私密。
约束与限制
- 已拥有华为账号,并且华为账号已实名认证。
- 华为账号未欠费,并且有足够的金额可以购买本最佳实践所涉及的资源。
- 确定专线接入点地址并完成运营商工勘。详细请参见准备工作。
- 用户需要访问的云上资源或云服务按照VPCEP的标准开发流程已开发相关能力并上线至对应区域。