通过云连接实例实现华东,中国香港和南非跨区域多VPC互通
背景
默认情况下,在不同区域的虚拟私有云(VPC)内资源需要互通,一般可以通过弹性公网IP(EIP)或虚拟专用网络(VPN)来实现,但两个服务都基于公网Internet,前者不稳定而且数据未加密,存在泄密风险,后者数据被IPSec加密,安全上有保证,但仍然会因为Internet不稳定而导致通信不稳定,许多跨区域的多虚拟私有云(VPC)互通的业务,都需要安全,稳定,高性能,高可靠的网络,云连接服务能够满足用户这一诉求。用户可以创建云连接实例,然后在该云连接实例中加载需要互通的各区域的VPC,通过购买不同类型的带宽包并配置域间带宽,来实现不同区域之间的VPC互通。
操作场景
假设用户在华为云华东区域创建了两个VPC,分别有两个子网,同时,在华为云中国香港区域以及南非区域也分别各部署了一个VPC。出于在各个区域上部署的业务需要,各个区域的VPC需要高性能,高可用,低时延的互通网络。在这种场景下,可以通过云连接实例来实现跨区域多VPC互通。基于云连接实例实现跨区域多VPC互通的典型应用场景如图1所示。
在配置云连接实例时,需要注意通过云连接实例实现跨区域互通的各个VPC:
- 其子网的IP地址不能重叠或冲突。
- 现存的路由条目,包括因VPC Peering,云专线和VPN等服务所增加的路由条目,不能与加入云连接后的子网路由产生冲突。
前提条件
- 已创建好需要跨区域互通的虚拟私有云(VPC)以及子网。
- 请确保账号中有足够余额以完成云连接实例带宽包的购买。
- 在本最佳实践的互通场景下,华为云华东区域内的VPC需要分别与中国香港区域的VPC以及南非区域的VPC互通,该场景属于中国大陆跨境场景。因此在进行带宽包购买之前,根据工信部等相关规定,需要先向云连接服务的跨境专线服务提供商——中国联通提供相应的申请材料以申请跨境资质,确保合规跨境。
如果您的场景不涉及中国大陆跨境场景(例如中国大陆内多区域互通或中国大陆境外多区域互通),请忽略该条件。
步骤一:跨境申请
中国大陆区的VPC需要与中国大陆区外的VPC进行通信时,先要进行跨境申请,提交您的基本资料,保障跨境业务的安全性。
如果用户的网络规划中不涉及跨大区的通信时,则无需操作本步骤。
- 进入带宽包管理列表页面。
- 在带宽包管理页面,单击“立即申请”。
如果您业务主体的注册地址在中国大陆,请单击此处进入中国联通跨境云服务在线申请页面。
如果您业务主体的注册地址在中国大陆之外,请单击此处进入中国联通跨境云服务在线申请页面。
请根据您实际业务主体的注册地址来选取跨境资质申请地址。
- 在跨境云服务在线申请页面,选择“申请人类型”,然后根据提示配置相关参数,并上传相关材料。
请根据实际申请页面完成跨境资质申请材料的准备和上传。
表1 跨境云服务在线申请 参数
说明
客户名称
必须与《信息安全承诺书》中的“用户名称”保持一致。
华为云ID
指用户在华为云管理控制台的“账号ID”,从控制台获取账号ID的步骤如下:- 登录管理控制台。
- 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。
- 在“API凭证”页面的项目列表中查看并获取账号ID。
跨境需求带宽(M)
仅做备案参考。
跨境服务生效时间
仅做备案参考。
跨境服务终止时间
仅做备案参考。
客户类型
根据企业类型选择。
客户所属国家
申请跨境业务的主体所在国家。
客户联系人
-
客户联系人电话
-
联系人证件类型
-
联系人证件号
-
经营范围
概括描述主营业务即可。
客户企业规模(人数)
仅做备案参考。
客户境内外分公司所在国家
根据企业实际情况填写。
表2 跨境申请材料 参数
说明
具体申请材料说明
签字
盖章(企业公章)
营业执照
请上传加盖过公章的营业执照照片。
盖章位置请参考相应的模板文件。
营业执照扫描件
-
√
业务协议
请下载《华为云服务跨境专线业务服务协议》后,填写签字盖章后上传扫描件。
- 请在签字栏处签字。
- 盖章需覆盖签名。
《华为云服务跨境专线业务服务协议》扫描件
√
√
信息安全承诺书
下载《信息安全承诺书模板》 后,填写签字盖章后上传扫描件。
- 请在签字栏处签字。
- 盖章需覆盖签名。
- 该材料中需要填写公司名称、带宽值,带宽值可按照初始预估值填写。
《中国联通专线业务信息安全承诺书》扫描件
√
√
- 单击“立即申请”。
步骤二:创建云连接实例
- 进入云连接实例列表页面。
- 单击页面右上方的“创建云连接”。
- 在弹出的对话框中根据表3填写对应参数。
图2 创建云连接
表3 创建云连接实例参数 参数
示例
说明
名称
云连接实例的名称。
长度为1~64个字符,中、英文字母,数字,下划线,中划线,点。
企业项目
企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
使用场景
虚拟私有云:选择虚拟私有云场景时,网络实例类型支持选择虚拟私有云(VPC)和虚拟网关(VGW)。
标签
云连接实例的标识,包括键和值。可以为云连接实例创建20个标签。
说明:如果已经通过TMS的预定义标签功能预先创建了标签,则可以直接选择对应的标签键和值。
预定义标签的详细内容,请参见预定义标签简介。
描述
云连接实例的描述。
长度为0~255个字符。
- 单击“确定”,完成云连接实例的创建。
步骤三:加载网络实例
将需要互通的网络实例加载到同一个云连接实例里。
- 在云连接服务管理控制台界面上,您可以看到已创建好的云连接实例CloudConnect。单击云连接名称进入该云连接实例基本信息页面,接下来需要加载跨区域互通的网络实例VPC。
- 选择并进入“网络实例”页面,单击“加载网络实例”。
- 在“加载网络实例”弹框里,下拉“区域”菜单选择“华东-上海一”,实例类型选择“虚拟私有云(VPC)”,在“VPC”以及“VPC CIDR”的下拉菜单里分别选择要互通的VPC和对应的子网,单击“确定”,完成华东区域的VPC加载。
- 重复上述操作,在“加载网络实例”弹窗中,选择中国香港区域以及南非区域的虚拟私有云(VPC),并将其加载到云连接实例中。
在加载完成后,这三个区域的4个VPC网络已经基于云连接实例打通了,您可以通过查看“路由信息”页面确认当前基于云连接实例可以互通的各个区域的VPC路由条目。
步骤四:购买带宽包
云连接默认跨区域互通带宽为10kbps,仅用于测试连通性,需购买带宽包并配置域间带宽以保证业务正常使用。
为了实现网络实例跨区域互通,需要在带宽包管理页面先购买跨区域对应的跨大区或大区内的带宽包,并绑定到相应的云连接实例,支撑业务测试或部署。
- 在云连接实例列表中,单击实例名称“CloudConnect”,进入该云连接实例。
- 在云连接实例的详情页面,选择“带宽包”页签,单击“购买带宽包”。
- 在带宽包购买页面,您可以分别自定义该带宽包的“名称”,计费方式,互通类型,互通大区,带宽大小,购买时长,并确定是否开启自动续费,最后选择是否将购买的该带宽包资源直接绑定给某云连接实例。在本最佳实践的互通场景下,需要打通华东区域与中国香港区域以及南非区域之间的内网互通,因此“互通类型”需要选择为“跨大区互通”:
- 为支持华东区域与中国香港区域之间的互通,需要购买的带宽包的互通大区分别选择“中国大陆”与“亚太”,带宽选择30M。
- 为支持华东区域与南非区域之间的互通,需要购买的带宽包的互通大区需要分别选择“中国大陆”与“南非”,带宽选择2M。
购买带宽包时,选择绑定已经创建好的云连接实例,在确定信息选择和输入无误后,单击右下角的“立即购买”。
- 在订单确认页面再次确认购买带宽包的信息,单击“去支付”。
- 单击“确认”。
在带宽包列表中可查看带宽包信息,如果“状态”为“正常”,表示购买成功。
购买完成后,您可以在“带宽包管理”页面找到该带宽包资源,并查询到该带宽包资源的计费模式,订单信息,已绑定的云连接信息和已用/剩余带宽,可以针对该带宽包资源进行“修改带宽”、“解绑”、“续费”以及“退订”等操作。
步骤五:配置域间带宽
在购买带宽包后,在云连接实例详情页面配置需要实现互通的域间带宽,以完成不同区域之间的带宽配置,支撑不同区域的VPC内业务的网络互通。
- 进入创建好的云连接实例详情页面,选择“域间带宽”,单击“配置域间带宽”。
- 在弹出的对话框中,互通区域分别选择“华东-上海一”以及“中国-香港”,下面会自动匹配出您所购买的可以使用在该互通场景下的带宽包资源,带宽处可以输入您所需要分配在这两个区域之间的带宽,在这里,设置为30M全部分配。
重复上述操作,将购买的中国大陆到南非的2M带宽包,分配给“华东-上海一”与“非洲-约翰内斯堡”之间。
- 在配置完成后,可以在“域间带宽”页面查看已经分配的域间带宽配置。
通过云连接实例跨区域打通华东,中国香港和南非VPC的操作完成。
系统默认安全组规则是入方向访问受限,请确认区域内互访资源的安全组出方向、入方向规则配置正确,保证跨区域通信正常。
