云服务器内容精选

  • 步骤四:在企业路由器中添加并配置VGW连接 本示例中,云专线DC资源的总体规划说明,请参见表8。 创建物理连接。 创建方法,具体请参见物理连接接入。 创建虚拟网关,即在企业路由器中添加“虚拟网关(VGW)”连接。 在云专线管理控制台,创建虚拟网关。 具体方法请参见步骤2:创建虚拟网关。 在企业路由器控制台,查看“虚拟网关(VGW)”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关(VGW)”连接的状态“正常”,表示已成功接入企业路由器中。 由于本示例创建ER时,开启“默认路由表关联”,未开启“默认路由表传播”,因此添加完“虚拟网关(VGW)”连接后: 系统自动在ER默认路由表中创建关联,无需手动创建。 需要继续执行3,手动创建传播。 在ER路由表中,为“虚拟网关(VGW)”连接创建传播,自动学习IDC的路由信息。 创建传播,具体方法请参见创建传播。 需要执行以下步骤连通DC后,才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC,具体方法请参见步骤3:创建虚拟接口。 配置IDC侧路由到华为云的路由。 以华为网络设备为例,配置BGP路由: bgp 65525 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple 12345678 network 10.10.0.0 255.255.0.0 表1 BGP路由 命令 命令说明 bgp 65525 启动BGP,其中: 65525:IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP),其中: 10.0.0.1:华为云侧网关。 64512:华为云侧AS号,固定为64512。 peer 10.0.0.1 password simple 12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证,其中: 12345678:BGP MD5认证密码。 network 10.10.0.0 255.255.0.0 将IP路由表中已存在的路由添加到BGP路由表中,其中: 10.10.0.0:IDC侧子网。 255.255.0.0:IDC侧子网掩码。
  • 步骤三:在企业路由器中添加并配置VPC连接 将中转VPC接入企业路由器中。 添加连接时,不开启“配置连接侧路由”功能,更多资源详情请参见表9。 开启该功能后,会在VPC路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。本示例需要添加业务VPC的网段地址作为路由目的地址,因此需要手动添加。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。 在中转VPC路由表中,添加下一跳为ER的路由。 配置路由信息,具体方法请参见在VPC路由表中配置路由。 本示例中,在VPC-Transit的路由表中,添加表3中下一跳为ER,目的地址为10.10.0.0/16的路由。 在ER路由表中,添加下一跳为VPC连接的静态路由。 创建静态路由,具体方法请参见创建静态路由。 本示例中,在er-demo的路由表中,添加表4中下一跳为VPC-T连接,目的地址分别为172.16.0.0/16和172.17.0.0/16的路由。
  • 步骤五:验证VPC和IDC的通信情况 登录弹性云服务器,执行以下步骤,验证业务VPC与IDC通信情况。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 登录E CS -A,执行以下命令,验证VPC-A与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例: ping 10.10.0.27 回显类似如下信息,表示VPC-A与IDC可以通过ER通信。 [root@ECS-A ~]# ping 10.10.0.27 PING 10.10.0.27 (10.10.0.27) 56(84) bytes of data. 64 bytes from 10.10.0.27: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 10.10.0.27: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 10.10.0.27: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 10.10.0.27: icmp_seq=4 ttl=64 time=0.372 ms ... --- 10.10.0.27 ping statistics --- 登录ECS-B,执行以下命令,验证VPC-B与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例: ping 10.10.0.30 回显类似如下信息,表示VPC-B与IDC可以通过ER通信。 [root@ECS-B ~]# ping 10.10.0.30 PING 10.10.0.30 (10.10.0.30) 56(84) bytes of data. 64 bytes from 10.10.0.30: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 10.10.0.30: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 10.10.0.30: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 10.10.0.30: icmp_seq=4 ttl=64 time=0.372 ms ... --- 10.10.0.30 ping statistics --- 登录弹性云服务器,执行以下步骤,验证业务VPC之间的通信情况。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 登录ECS-A,验证VPC-A与VPC-B是否可以通过对等连接通信。 ping ECS-B的私有IP地址 命令示例: ping 172.17.1.113 回显类似如下信息,表示VPC-A与VPC-B通信正常。 [root@ECS-A ~]# ping 172.17.1.113 PING 172.17.1.113 (172.17.1.113) 56(84) bytes of data. 64 bytes from 172.17.1.113: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.1.113: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.1.113: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.1.113: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.1.113 ping statistics --- 登录ECS-B,验证VPC-B与VPC-A是否可以通过对等连接通信。 ping ECS-A的私有IP地址 命令示例: ping 172.16.1.25 回显类似如下信息,表示VPC-B与VPC-A通信正常。 [root@ECS-B ~]# ping 172.16.1.25 PING 172.16.1.25 (172.16.1.25) 56(84) bytes of data. 64 bytes from 172.16.1.25: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.25: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.25: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.25: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.25 ping statistics ---
  • 步骤二:创建对等连接并配置路由 创建业务VPC和中转VPC之间的对等连接。 创建对等连接Peer-A-T,连通VPC-A和VPC-Transit。 创建对等连接Peer-B-T,连通VPC-B和VPC-Transit。 VPC对等连接的资源详情规划请参见表7。 如果业务VPC和中转VPC位于同一个账户下,创建方法请参见:创建相同账户下的对等连接。 如果业务VPC和中转VPC位于不同的账户下,创建方法请参见:创建不同账户下的对等连接。 在VPC-A、VPC-B和VPC-Transit的路由表中,依次添加下一跳为对等连接的路由。 配置路由信息,具体方法请参见在VPC路由表中配置路由。 本示例中添加表3中下一跳为对等连接的路由。 在VPC-A的路由表中,添加172.17.0.0/16和10.10.0.0/16两条路由。 在VPC-B的路由表中,添加172.16.0.0/16和10.10.0.0/16两条路由。 在VPC-Transit的路由表中,添加172.17.0.0/16和172.16.0.0/16两条路由。 在弹性云服务器的远程登录窗口,执行以下步骤,验证VPC-A和VPC-B的网络通信情况。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 登录ECS-A,验证VPC-A与VPC-B是否可以通过对等连接通信。 ping ECS-B的私有IP地址 命令示例: ping 172.17.1.113 回显类似如下信息,表示VPC-A与VPC-B通信正常。 [root@ECS-A ~]# ping 172.17.1.113 PING 172.17.1.113 (172.17.1.113) 56(84) bytes of data. 64 bytes from 172.17.1.113: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.1.113: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.1.113: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.1.113: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.1.113 ping statistics --- 登录ECS-B,验证VPC-B与VPC-A是否可以通过对等连接通信。 ping ECS-A的私有IP地址 命令示例: ping 172.16.1.25 回显类似如下信息,表示VPC-B与VPC-A通信正常。 [root@ECS-B ~]# ping 172.16.1.25 PING 172.16.1.25 (172.16.1.25) 56(84) bytes of data. 64 bytes from 172.16.1.25: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.25: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.25: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.25: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.25 ping statistics ---
  • 步骤一:创建云服务资源 本步骤指导您创建业务VPC、ECS以及ER服务资源,云服务资源的总体规划说明,请参见表5。 创建1个企业路由器。 企业路由器的“默认路由表传播”功能需要关闭,更多资源详情请参见表9。 创建企业路由器,具体方法请参见创建企业路由器。 创建业务VPC和中转VPC。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 创建ECS。 本示例中ECS主要用于验证网络通信使用,数量和配置仅供参考,请您根据实际需要创建ECS。 创建ECS,具体方法请参见自定义购买ECS。
  • 应用场景 您可以通过企业路由器构建中心辐射型组网,简化网络架构。当前为您提供两种典型组网方案,方案一是将业务VPC直接接入企业路由器,方案二是使用中转VPC,结合VPC对等连接和企业路由器共同构建组网。相比方案一,方案二可以降低成本,并且免去一些限制,详细说明如下: 相比方案一,使用方案二可以降低流量费用和连接费用,详细说明如下: 业务VPC之间的流量通过VPC对等连接转发,而不再需要经过ER转发,省去部分流量费用。 您只需要将一个中转VPC接入ER,相比接入多个业务VPC,省去部分连接费用。 当前将业务VPC直接接入ER,针对业务VPC有部分使用限制。由于方案二中您只需要将中转VPC接入ER,则可以解决以下针对业务VPC的限制: 当业务VPC下存在共享型弹性负载均衡、 VPC终端节点 私网NAT网关 、分布式缓存服务时,请提交工单联系华为云客服,确认服务的兼容性,并优先考虑使用中转VPC组网方案。 若您在弹性负载均衡、VPC终端节点以及分布式缓存服务场景下,直接将业务VPC接入ER,则当ER处于容灾切换、弹性扩缩容、升级等业务可靠性保障过程中,可能造成长连接会话闪断,请您确保业务客户端具有重连机制,在闪断情况下可以自动重连。 当接入ER的VPC存在以下情况时,则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0,那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC被ELB(独享型或者共享型)、NAT网关、VPCEP、DCS服务占用。 当接入ER的VPC关联NAT网关,并配置SNAT或者DNAT规则的“使用场景”选择“云专线/云连接”,则网络不通。
  • 方案架构 在方案二中,业务VPC之间通过对等连接通信,业务VPC和线下IDC通过ER通信,组网架构图如图1所示。 在业务VPC-A和中转VPC-Transit、业务VPC-B和中转VPC-Transit之间各创建一个VPC对等连接,通过VPC-Transit和对等连接转发VPC-A和VPC-B之间的流量。 将VPC-Transit接入企业路由器中,VPC-A和VPC-B访问线下IDC的流量通过中转VPC转发至ER,再通过ER和DC抵达线下IDC。 图1 中转VPC接入企业路由器组网架构图(方案二)
  • 资源规划说明 企业路由器ER、云专线DC、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可,可用区可以任意选择,不用保持一致。 以下资源规划详情仅为示例,您可以根据需要自行修改。 表5 企业路由器和中转VPC组网资源规划总体说明 资源类型 说明 虚拟私有云VPC 本示例中共创建3个VPC,资源规划示例如表6所示。 业务VPC:2个,实际运行客户业务的VPC。业务VPC只需要和中转VPC建立对等连接,不需要接入ER中。 中转VPC:1个,用于转发业务VPC之间、以及业务VPC和线下IDC之间的流量,该VPC下不建议运行任何业务。中转VPC需要接入ER中。 须知: 业务VPC和中转VPC的网段与客户IDC侧网段不能重复。 通过对等连接连通的VPC子网网段不能重叠,因此业务VPC和中转VPC的子网网段不允许重叠。 由于中转VPC需要接入企业路由器,关于接入企业路由器的约束,更多详细请参见约束与限制。 VPC对等连接 本示例中共创建2个对等连接,用于连通VPC-A、VPC-B和VPC-Transit之间的网络,资源规划示例如表7所示。 云专线DC 本示例中的DC包含1个物理连接,1个虚拟网关以及1个虚拟接口,资源规划示例如表8所示。 企业路由器ER 本示例中创建1个ER,并在ER中添加2个连接,资源规划示例如表9所示。 弹性云服务器ECS 本示例共创建2个ECS,每个业务VPC内各有1个ECS,资源规划示例如表10所示。
  • 网络规划说明 企业路由器和中转VPC组网规划如图1所示,业务VPC之间通过对等连接通信,将中转VPC和DC分别接入ER中,组网规划说明如表2所示。 图1 企业路由器和中转VPC组网规划 使用企业路由器和中转VPC组网方案,可以实现业务VPC之间的云上网络通过对等连接连通,云上和云下之间的网络通过ER和DC连通。 云上VPC和线下IDC通信时,通过ER和DC实现通信,本示例的网络流量路径说明请参见表1中的“路径一” 云上VPC通信时,通过业务VPC和中转VPC之间的对等连接实现通信,本示例的网络流量路径说明请参见表1中的“路径二”。 表1 网络流量路径说明 序号 路径 说明 路径一 请求路径:VPC-A→线下IDC 在VPC-A路由表中,通过下一跳为Peer-A-T的路由将流量转送到VPC-Transit。 在VPC-Transit路由中,通过下一跳为ER的路由将流量转送到ER。 在ER路由表中,通过下一跳为VGW连接的路由将流量转送到虚拟网关。 虚拟网关连接虚拟接口,通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径:线下IDC→VPC-A 通过物理专线将流量转送到虚拟接口。 虚拟接口连接虚拟网关,通过虚拟接口将流量从本端网关转送到虚拟网关。 通过虚拟网关将流量转送到ER。 在ER路由表中,通过下一跳为VPC-T连接的路由将流量转送到VPC-Transit。 在VPC-Transit路由中,通过下一跳为Peer-A-T的路由将流量送达VPC-A。 路径二 请求路径:VPC-B→VPC-A 在VPC-B路由表中,通过下一跳为Peer-B-T的路由将流量转送到VPC-Transit。 在VPC-Transit路由表中,通过下一跳为Peer-A-T的路由将流量送达VPC-A。 响应路径:VPC-A→VPC-B 在VPC-A路由表中,通过下一跳为Peer-A-T的路由将流量转送到VPC-Transit。 在VPC-Transit路由表中,通过下一跳为Peer-B-T的路由将流量送达VPC-B。 表2 企业路由器和中转VPC组网规划说明 资源 说明 VPC 业务VPC,实际运行客户业务的VPC,本示例中为VPC-A和VPC-B,具体说明如下: 业务VPC的网段,不能与客户IDC侧网段重复。 通过对等连接连通的VPC子网网段不能重叠,本示例中业务VPC-A、业务VPC-B以及中转VPC-Transit的网段均不相同。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下: VPC-A:表示通过VPC-A和VPC-Transit之间的对等连接Peer-A-T,将VPC子网流量转发至中转VPC,此处配置两条路由,目的地址分别为VPC-B的网段和线下IDC的子网网段,路由信息如表3所示。 VPC-B:表示通过VPC-B和VPC-Transit之间的对等连接Peer-B-T,将VPC子网流量转发至中转VPC,此处配置两条路由,目的地址分别为VPC-A的网段和线下IDC的子网网段,路由信息如表3所示。 中转VPC,接入ER的VPC,本示例中为VPC-Transit,具体说明如下: 中转VPC用于中转业务VPC之间、以及业务VPC和线下IDC之间的流量,该VPC下不建议运行任何业务。 中转VPC的网段,不能与客户IDC侧网段重复。 通过对等连接连通的VPC子网网段不能重叠,本示例中业务VPC-A、业务VPC-B以及中转VPC-Transit的网段均不相同。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下,详细路由信息请参见表3。 下一跳为对等连接:表示通过Peer-A-T和Peer-B-T,转发业务VPC-A和VPC-B之间的流量,此处目的地址分别配置为VPC-A和VPC-B的网段。 下一跳为企业路由器:表示通过ER,将业务VPC-A和VPC-B的流量转发至DC的虚拟网关,再经过虚拟网关送达线下IDC,此处目的地址配置为线下IDC网段。 DC 1个物理连接:需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个虚拟网关:将虚拟网关接入ER中,即表示将“虚拟网关(VGW)”连接添加到ER。 1个虚拟接口:连接虚拟网关和物理连接。 ER 在企业路由器中添加以下连接,并配置路由信息: VPC: 将1个“虚拟私有云(VPC)”连接关联至ER默认路由表,不开启“配置连接侧路由”,手动在VPC路由表中添加路由。 在默认路由表中添加“虚拟私有云(VPC)”连接的路由,此处不使用传播自动学习路由,需要手动在ER路由表添加静态路由,路由信息如表4所示。 DC: 将1个“虚拟网关(VGW)”连接关联至ER默认路由表。 在默认路由表中创建“虚拟网关(VGW)”连接的传播,路由自动学习DC侧的所有路由信息,路由信息如表4所示。 ECS 每个业务VPC内各有1个ECS,本示例用该ECS来验证云上业务VPC之间、以及业务VPC和线下IDC的网络通信情况。 如果您有多台ECS,并且这些ECS位于不同的安全组,需要在安全组中添加规则放通网络。 表3 VPC路由表 VPC名称 目的地址 下一跳 路由类型 VPC-A 172.17.0.0/16 对等连接:Peer-A-T 静态路由:自定义 10.10.0.0/16 对等连接:Peer-A-T 静态路由:自定义 VPC-B 172.16.0.0/16 对等连接:Peer-B-T 静态路由:自定义 10.10.0.0/16 对等连接:Peer-B-T 静态路由:自定义 VPC-Transit 172.17.0.0/16 对等连接:Peer-B-T 静态路由:自定义 172.16.0.0/16 对等连接:Peer-A-T 静态路由:自定义 10.10.0.0/16 企业路由器:ER 静态路由:自定义 在ER中添加VPC连接时,不开启“配置连接侧路由”选项,需要手动在VPC-Transit路由表中配置路由。 表4 ER路由表 目的地址 下一跳 路由类型 VPC-A网段:172.16.0.0/16 VPC-T连接:er-attach-VPCtransit 静态路由 VPC-B网段:172.17.0.0/16 VPC-T连接:er-attach-VPCtransit 静态路由 本端网关和远端网关:10.0.0.0/30 VGW连接:vgw-demo 传播路由 IDC侧网段:10.10.0.0/16 VGW连接:vgw-demo 传播路由