通过中心网络和企业路由器实现同账号下跨区域的VPC互通
中心网络基于华为云骨干网络面向客户提供全球网络编排能力,帮助用户便捷、安全的创建和管理云上、云下的全球网络资源。您可以将两个及以上不同区域的企业路由器接入中心网络,构成ER对等连接,实现云上跨区域网络互通。
本文介绍通过中心网络和企业路由器实现跨区域同账号内的VPC互通。
方案架构
- 在三个区域中,分别创建三个企业路由器ER,包括区域A的ER-A、区域B的ER-B以及区域C的ER-C。
- 创建云连接中心网络,并在云连接中心网络中加入ER-A、ER-B以及ER-C,连通不同区域的企业路由器。
- 在区域A内,将VPC-A01和VPC-A02接入ER内,实现同区域内VPC互通。在区域B和区域C进行同样的操作。最终,通过中心网络和企业路由器,实现不同区域的VPC网络互通。
规划组网和资源
- 规划组网:规划中心网络、VPC及其子网的网段、VPC路由表和ER路由表信息等。
- 规划资源:规划云上资源的数量、名称以及主要参数等信息,云上资源包括中CC中心网络、ER、VPC以及ECS等。
规划组网
跨区域VPC互通组网规划如图2所示,将3个不同区域的ER接入中心网络中,组网规划说明如表2所示。
说明:
本示例中,每个区域内创建一个VPC接入企业路由器ER内,仅供您参考配置,实际网络规划请以您的业务需求为准。
|
路径 |
说明 |
|---|---|
|
请求路径:VPC-A→VPC-B |
|
|
响应路径:VPC-B→VPC-A |
|
|
资源 |
说明 |
|---|---|
|
VPC |
|
|
中心网络 |
|
|
ER |
区域A、区域B和区域C下的ER组网配置相同,路由信息如表4所示。 当使用中心网络连通ER时,必须开启ER的“默认路由表关联”和“默认路由表传播”功能,那么在ER中添加连接时,系统会自动添加ER指向连接的路由,无需手动添加。 |
|
ECS |
ECS分别位于不同的VPC内,VPC中的ECS如果位于不同的安全组,需要在安全组中添加规则放通其他安全组的网络。 |
|
目的地址 |
下一跳 |
路由类型 |
|---|---|---|
|
10.0.0.0/8 |
企业路由器 |
静态路由:自定义 |
|
172.16.0.0/12 |
企业路由器 |
静态路由:自定义 |
|
192.168.0.0/16 |
企业路由器 |
静态路由:自定义 |
说明:
- 如果您在创建连接时开启“配置连接侧路由”选项,则不用手动在VPC路由表中配置静态路由,系统会在VPC的所有路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。
- 如果VPC路由表中的路由与这三个固定网段冲突,则会添加失败。此时建议您不要开启“配置连接侧路由”选项,并在连接创建完成后,手动添加路由。
- 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0,如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由,并且优先级高于ER路由,此时会导致流量转发至EIP,无法抵达ER。
|
企业路由器 |
目的地址 |
下一跳 |
路由类型 |
|---|---|---|---|
|
区域A:ER-A |
VPC-A网段:172.16.0.0/16 |
VPC连接:er-attach-VPC-A |
传播路由 |
|
VPC-B网段:192.168.0.0/16 |
Peering连接:region-A-region-B |
传播路由 |
|
|
VPC-C网段:10.0.0.0/16 |
Peering连接:region-A-region-C |
传播路由 |
|
|
区域B:ER-B |
VPC-B网段:192.168.0.0/16 |
VPC-B连接:er-attach-VPC-B |
传播路由 |
|
VPC-A网段:172.16.0.0/16 |
Peering连接:region-B-region-A |
传播路由 |
|
|
VPC-C网段:10.0.0.0/16 |
Peering连接:region-B-region-C |
传播路由 |
|
|
区域C:ER-C |
VPC-C网段:10.0.0.0/16 |
VPC-C连接:er-attach-VPC-C |
传播路由 |
|
VPC-A网段:172.16.0.0/16 |
Peering连接:region-C-region-A |
传播路由 |
|
|
VPC-B网段:192.168.0.0/16 |
Peering连接:region-C-region-B |
传播路由 |
规划资源
说明:
以下资源规划详情仅为示例,实际情况请根据您的业务需求规划。
操作流程
|
步骤 |
说明 |
|---|---|
|
使用云服务前,您需要注册华为账号并开通华为云、完成实名认证、为账户充值。 |
|
|
|
|
针对每个区域的企业路由器,分别在企业路由器中添加“虚拟私有云(VPC)”连接,即将VPC接入企业路由器中。 |
|
|
为中心网络内的跨区域连接配置带宽,根据业务的实际需要配置,确保带宽满足业务需求。 |
|
|
分别登录不同区域的ECS,执行ping命令,验证网络互通情况。 |
准备工作
在创建云连接资源之前,请先注册华为账号并开通华为云、完成实名认证、为账户充值。请保证账户有足够的资金,以免创建资源失败。
- 注册华为账号并开通华为云,完成实名认证。
- 为账户充值。
您需要确保账户有足够金额,充值方式请参见账户充值。
步骤一:创建云服务资源
本示例中,您需要创建企业路由器,虚拟私有云、中心网络等资源,资源规划详情请参见表5。
- 在3个区域内,各创建1个企业路由器。
创建企业路由器,具体方法请参见创建企业路由器。
说明:
不同区域内的企业路由器,建议您使用不同的AS号。
- 在3个区域内,各创建1个VPC。
创建VPC及子网,具体方法请参见创建虚拟私有云和子网。
- 在3个区域内,各创建1个ECS。
创建ECS,具体方法请参见自定义购买ECS。
- 创建中心网络,并在策略中添加需要连通的企业路由器。
- 创建3个全域互联带宽,连通不同区域的网络链路。
创建全域互联带宽,具体方法请参见购买全域互联带宽。
步骤二:在企业路由器中配置VPC连接
在企业路由器中配置“虚拟私有云(VPC)”连接,即将VPC接入企业路由器中,资源规划详情请参见表5。
- 在区域A内,在企业路由器ER-A中添加“虚拟私有云(VPC)”连接。
- 将VPC接入企业路由器中。
本示例添加“虚拟私有云(VPC)”连接时开启“配置连接侧路由”,免去手工在VPC路由表中配置路由。
添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。
由于本示例创建ER时,开启“默认路由表关联”和“默认路由表传播”,因此添加完“虚拟私有云(VPC)”连接后,以下均为系统自动配置:- 在默认路由表中创建关联。
- 在默认路由表中创建传播,并自动学习VPC网段路由信息。
- (可选)在VPC路由表中配置ER的路由信息。
如果您添加“虚拟私有云(VPC)”连接时开启“配置连接侧路由”,则无需执行该操作,系统会自动在VPC路由表中添加路由,路由详情请参见表3。
配置路由信息,具体方法请参见在VPC路由表中配置路由。
- 将VPC接入企业路由器中。
- 在区域B内,参考1,在企业路由器ER-B中添加“虚拟私有云(VPC)”连接。
- 在区域C内,参考1,在企业路由器ER-C中添加“虚拟私有云(VPC)”连接。
步骤三:在中心网络内为跨区域连接配置带宽
为中心网络内的跨区域连接配置带宽,根据业务的实际需要配置,确保带宽满足业务需求,跨地域连接带宽的详细规划请参见表5。
说明:
云连接服务默认为您在各个区域之间分配了10kbps的域间带宽,用来支撑连通性测试。“对等连接(Peering)”连接添加完成后,您就可以验证网络连通性,具体方法请参见步骤四:验证跨区域网络的通信情况。
为了业务正常使用,您需要继续执行以下操作购买全域互联带宽,并为跨区域连接配置带宽。
- 为连通区域A和区域B的连接配置带宽。
基于购买的全域互联带宽为两个互通的区域配置带宽,具体方法请参见配置跨地域连接带宽。
- 为连通区域A和区域C的连接配置带宽。
- 为连通区域B和区域C的连接配置带宽。
步骤四:验证跨区域网络的通信情况
- 登录弹性云服务器。
弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。
本示例是通过管理控制台远程登录(VNC方式)。
- 在弹性云服务器的远程登录窗口,执行以下命令,验证网络互通情况。
- 执行以下命令,验证跨区域VPC网络互通情况。
以登录ECS-A,验证VPC-A与VPC-B的网络互通情况为例:
ping 192.168.0.5
回显类似如下信息,表示VPC-A与VPC-B通信正常。[root@ECS-A ~]# ping 192.168.0.5 PING 192.168.0.5 (192.168.0.5) 56(84) bytes of data. 64 bytes from 192.168.0.5: icmp_seq=1 ttl=62 time=30.6 ms 64 bytes from 192.168.0.5: icmp_seq=2 ttl=62 time=30.2 ms 64 bytes from 192.168.0.5: icmp_seq=3 ttl=62 time=30.1 ms 64 bytes from 192.168.0.5: icmp_seq=4 ttl=62 time=30.1 ms ... --- 192.168.0.5 ping statistics ---
- 执行以下命令,验证跨区域VPC网络互通情况。
以登录ECS-A,验证VPC-A与VPC-C的网络互通情况为例:
ping 10.0.0.29
回显类似如下信息,表示VPC-A与VPC-C通信正常。[root@ECS-A ~]# ping 10.0.0.29 PING 10.0.0.29 (10.0.0.29) 56(84) bytes of data. 64 bytes from 10.0.0.29: icmp_seq=1 ttl=62 time=27.4 ms 64 bytes from 10.0.0.29: icmp_seq=2 ttl=62 time=27.0 ms 64 bytes from 10.0.0.29: icmp_seq=3 ttl=62 time=26.10 ms 64 bytes from 10.0.0.29: icmp_seq=4 ttl=62 time=26.9 ms ... --- 10.0.0.29 ping statistics ---
- 执行以下命令,验证跨区域VPC网络互通情况。
- 重复执行1~2,验证其他VPC之间的网络互通情况。
