方案概述

应用场景

在企业IDC上云的过程中，用户云下IDC长期保持复杂的混合云架构：云下IDC生产、云下IDC测试、云上华为云生产、云上华为云测试、云上其他云的生产和测试等等，因此经常存在云下IDC通过内网（专线或VPN）上云访问云上业务的功能需求，而单纯依赖专线或VPN上云后很多云上资源和云服务依然无法访问。

如图1所示，云下IDC希望不通过公网的方式访问云上VPC1、VPC2内的资源（ELB、ECS）以及其他云服务（OBS、DNS）。

图1 云下IDC访问华为云服务（业务需求）

方案架构

结合用户业务需求分析，不仅需要实现云下用户数据中心与华为云上互通，同时要不借助公网访问云上VPC内的资源和其他云服务。

本实践中主要用到以下两个服务来实现用户业务需求：

• 云专线（Direct Connect），用于搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道，充分利用华为云服务优势的同时，继续使用现有的IT设施，实现灵活一体，可伸缩的混合云计算环境。

  云专线服务在本方案中主要用于实现云下用户数据中心与华为云VPC上互通

• VPC终端节点（VPC Endpoint），可以在VPC内提供便捷、安全、私密的通道与终端节点服务（华为云服务、用户私有服务）进行连接，该服务使用华为云内部网络，无需弹性公网IP。

  VPC终端节点服务在本方案中主要用于实现通过华为云内网访问云上VPC内的资源和其他云服务。

如图2所示：

• 通过云专线实现云下IDC与云上VPC1互通。
• 通过终端节点1，IDC可以访问VPC1内的云资源ELB。
• 通过终端节点2，IDC可以跨VPC访问VPC2内的云资源ECS。
• 通过终端节点3，IDC可以通过内网访问云服务DNS。
• 通过终端节点4，IDC可以通过内网访问云服务OBS。

图2 通过云专线和VPC终端节点实现云下IDC访问华为云服务

并非所有的云服务都支持用户云下通过VPCEP走内网访问，仅支持提供了VPCEP的服务可以通过内网访问云上资源和云服务。

方案优势

• 创建简易，响应迅速，敏捷高效。
• 无需弹性公网IP，直连内网，使用方便灵活。
• 避免泄漏服务端相关信息所带来不可知的风险，安全私密。

约束与限制

• 已拥有华为账号，并且华为账号已实名认证。
• 华为账号未欠费，并且有足够的金额可以购买本最佳实践所涉及的资源。
• 确定专线接入点地址并完成运营商工勘。详细请参见准备工作。
• 用户需要访问的云上资源或云服务按照VPCEP的标准开发流程已开发相关能力并上线至对应区域。