云服务器内容精选
-
VPC、VPN网关、VPN连接之间有什么关系? 当用户数据中心需要和VPC下的E CS 资源进行相互访问时,可以通过创建VPN网关,在用户数据中心和VPC之间建立VPN连接,快速实现云上云下网络互通。 VPC 即云上私有专用网络,同一Region中可以创建多个VPC,且VPC之间相互隔离。一个VPC内可以划分多个子网网段。 用户可以通过VPN服务,安全访问VPC内的ECS。 VPN网关 基于VPC创建,是VPN连接的接入点。一个VPC下支持购买多个VPN网关,每个网关可以创建多个VPN连接。 用户可以通过VPN网关建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。 VPN连接 基于VPN网关创建,用于连通VPC子网和用户数据中心(或其它Region的VPC)子网,即每个VPN连接连通了一个用户侧数据中心的网关。 VPN连接的数量与VPN连接的本端子网和对端子网的数量无关,仅与用户VPC需要连通的用户数据中心(或其它Region的VPC)的数量有关,已创建的VPN连接的数量即VPN连接列表中展示的数量(一个条目即一个VPN连接),也可以在VPN网关中查看当前网关已创建的VPN连接数量。
-
解释说明 用于VPN网关和VPC通信。请从虚拟私有云的子网中选择其中一个,请确保选择的互联子网存在4个及以上可分配的IP地址。 如果没有互联子网可选择,请您单击“新建子网”,在子网页面先创建子网。 如何创建子网,请参见为虚拟私有云创建新的子网。 子网内可用IP数量:子网创建成功后,不支持修改网段,请您结合业务所需的IP地址数量,提前合理规划好子网网段。 子网网段避免冲突:如果子网所在的VPC与其他VPC、或者VPC与云下数据中心需要通信时,则VPC子网网段和网络对端网段不能相同,否则无法正常通信。 图1 互联子网
-
解释说明 用于指定需要通过VPN连接访问云上VPC的用户侧子网。 若存在多个对端子网,请用半角逗号(,)隔开。 对端子网可以和本端子网重叠,但不能重合。 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的协议端口。 VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
-
配置VPN连接的本端子网和对端子网时需要注意什么? 子网数量满足规格限制,数量超出规格限制请进行聚合汇总。 每个VPN网关配置的本地子网数量:50 每个VPN连接支持配置的对端子网个数:50 本端子网不可以包含对端子网,对端子网可以包含本端子网。 推荐配置的本端子网在VPC内有路由可达。 同一个VPN网关创建两条连接:若这两条连接的对端子网存在包含关系,在访问的目的网络处于交集网段部分时,按照创建连接的先后顺序匹配VPN连接,且与连接状态无关(策略模式不能按照掩码长度进行匹配)。
-
解释说明 高可靠性(High Availability),简称为HA,用于控制链路发生故障时,VPN的切换行为。支持双活和主备两种方式。 双活 关联模式选择“虚拟私有云”时,对端子网和哪个EIP先创建VPN连接1,则VPN网关到该对端子网的出云流量优先走VPN连接1。VPN连接1故障失效后,出云流量会自动切换到该对端子网的另一条VPN连接2;故障失效的VPN连接1恢复后,出云流量会仍然通过VPN连接2,不会切回到VPN连接1。 关联模式选择“企业路由器”时,VPN网关到该对端子网的出云流量由该对端子网对应的所有VPN连接负载分担。 主备 VPN网关到该对端子网的出云流量优先走该对端子网和主EIP建立的VPN连接1。VPN连接1失效后,出云流量自动切换到该对端子网和备EIP建立的VPN连接2;故障失效的VPN连接1恢复后,出云流量会自动切回到VPN连接1。
-
解释说明 用于VPC和用户数据中心通信的子网。支持“输入网段”和“选择子网”两种方式。 选择子网 选择本VPC子网信息。如果没有子网可选择,请您单击“新建子网”,在子网页面先创建子网。 如何创建子网,请参见为虚拟私有云创建新的子网。 不同的VPN网关可以选择相同的子网。 输入网段 可以输入本VPC下的子网信息;也可以输入与本VPC建立了对等网络的VPC子网信息。 请输入数量不超过50个且不重复的正确子网地址和掩码,多个以半角逗号隔开。例如:192.168.52.0/24,192.168.54.0/24。 互联子网和本端子网可以重合。 对端子网可以和本端子网重叠,但不能重合。
-
配置VPN连接的本端子网和对端子网时需要注意什么? 子网数量满足规格限制,数量超出规格限制请进行聚合汇总。 每个VPN网关配置的本地子网数量:50 每个VPN连接支持配置的对端子网个数:50 本端子网不可以包含对端子网,对端子网可以包含本端子网。 推荐配置的本端子网在VPC内有路由可达。 同一个VPN网关创建两条连接:若这两条连接的对端子网存在包含关系,在访问的目的网络处于交集网段部分时,按照创建连接的先后顺序匹配VPN连接,且与连接状态无关(策略模式不能按照掩码长度进行匹配)。
-
解释说明 接口地址分配方式,仅“连接模式”采用“静态路由模式”和“BGP路由模式”时需要配置。 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。 如果对端网关的tunnel接口地址固定不可更改,请使用“手动分配”模式,并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。 手动分配 仅支持在169.254.x.x/30网段(除169.254.195.x/30)范围内,配置VPN网关本端接口地址的tunnel接口地址;对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。 当“连接模式”采用“BGP路由模式”的场景下,选择“手动分配”的方式配置隧道接口地址时,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。 自动分配 VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。 自动分配的本端接口地址/对端接口地址,可以在VPN连接页面,单击“修改连接信息”进行查看。 当“连接模式”采用“BGP路由模式”的场景下,选择“自动分配”的方式,在创建连接后,可查看分配的本端隧道接口地址和对端隧道接口地址,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。 本地隧道接口地址 配置在VPN网关上的tunnel接口地址。 对端隧道接口地址 配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 必须是主机地址,不能是广播地址或网段地址。 只支持在169.254.x.x/30网段(除169.254.195.x/30)范围内对tunnel接口分配地址。
-
静态路由与NQA联动 静态路由本身并没有检测机制,如果非本机直连链路发生了故障,静态路由不会自动从IP路由表中自动删除,需要网络管理员介入,这就无法保证及时进行链路切换,可能造成较长时间的业务中断。 使用静态路由模式创建VPN连接时,为了避免出现以上问题,需要使用NQA来检测静态路由所在的链路,确保VPN连接稳定性。使能NQA时需要确保对端网关设备支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。 静态路由模式的VPN连接的使能NQA探测失败会撤销路由,需要对端网关放通从VPN连接本端隧道接口地址到对端隧道接口地址的ICMP协议流量。 VPN连接的健康检查的NQA探测仅上报 CES ,失败无影响,需要对端网关放通从VPN网关公网IP到对端网关的公网IP的ICMP协议流量。
-
为什么需要NQA 随着运营商增值业务的开展,用户和运营商对QoS(Quality of Service)的相关要求越来越高,特别是在传统的IP网络承载语音和视频业务后,运营商与客户之间签订SLA(Service Level Agreement)成为普遍现象。 为了让用户看到承诺的带宽是否达到需求,运营商需要提供相关的时延、抖动、丢包率等相关的统计参数,以及时了解网络的性能状况。传统的网络性能分析方法(如Ping、Tracert等)已经不能满足用户对业务多样性和监测实时性的要求。NQA可以实现对网络运行状况的准确测试,输出统计信息。NQA可以监测网络上运行的多种协议的性能,使网络运营商能够实时采集到各种网络运行指标,例如:HTTP的总时延、TCP连接时延、DNS解析时延、文件传输速率、FTP连接时延、DNS解析错误率等。通过对这些指标进行控制,网络运营商可以为用户提供不同等级的网络服务。同时,NQA也是网络故障诊断和定位的有效工具。
-
NQA工作原理 图1 NQA客户端对NQA服务器端进行测试 在NQA测试中,将发起NQA测试的源端称为NQA客户端,测试的目的端称为NQA服务器端。为使NQA客户端能够发起NQA测试,用户需要在NQA客户端中创建各类型的测试实例,构造符合相应协议的报文并打上时间戳,再发送至服务器端。 NQA服务器负责处理NQA客户端发来的测试报文,通过侦听指定IP地址和端口号的报文对客户端发起的测试进行响应。客户端根据发送和接收报文来计算各项性能指标,如连通性、时延、丢包率等。
-
NQA测试例处理机制 ICMP测试是通过发送ICMP报文来判断目的地的可达性、计算网络响应时间及丢包率。 源端向目的端发送构造的ICMP Echo Request报文。目的端收到报文后,直接回应ICMP Echo Reply报文给源端。 源端收到报文后,通过计算源端接收时间和源端发送时间之差,计算出源端到目的端的通信时间,从而清晰的反映出网络性能及网络畅通情况。 NQA探测周期为10s,探测频率为10s内发3个ping请求。
-
资源规划说明 企业路由器ER、云专线DC、 虚拟专用网络 VPN、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可,可用区可以任意选择,不用保持一致。 以下资源规划详情仅为示例,您可以根据需要自行修改。 表5 DC/VPN双链路互备混合云组网资源规划总体说明 资源类型 资源数量 说明 VPC 2 业务VPC,实际运行客户业务的VPC,需要接入ER中。 VPC名称:请根据实际情况填写,本示例为vpc-for-er。 IPv4网段:VPC网段与客户IDC侧网段不能重复,请根据实际情况填写,本示例为172.16.0.0/16。 子网名称:请根据实际情况填写,本示例为subnet-for-er。 子网IPv4网段:VPC子网网段与客户IDC侧子网网段不能重复,请根据实际情况填写,本示例为172.16.0.0/24。 VPN网关使用的VPC,需要从中分配一个子网提供给VPN网关使用。 VPC名称:请根据实际情况填写,本示例为vpc-for-vpn。 IPv4网段:请根据实际情况填写,本示例为10.0.0.0/16。 子网名称:您创建VPC时,必须创建一个默认子网,请根据实际情况填写,本示例为subnet-01。 子网IPv4网段:默认子网在本示例中不使用,请根据实际情况填写,本示例为10.0.0.0/24。 须知: 您在创建VPN网关时,“虚拟私有云”需要选择该VPC,“互联子网”填写该VPC下的网段,请确保选择的互联子网存在4个及以上可分配的IP地址。 ER 1 名称:请根据实际情况填写,本示例为er-test-01。 ASN:此处AS号不能和线下IDC的AS号一样,本示例中保持默认值64512。 默认路由表关联:开启 默认路由表传播:开启 自动接受共享连接:请根据实际情况选择,本示例选择“开启”。 连接,本示例需要在企业路由器中添加3个连接: VPC连接:er-attach-VPC VGW连接:er-attach-VGW VPN连接:er-attach-VPN DC 1 物理连接:请根据实际需求创建。 虚拟网关 名称:请根据实际情况填写,本示例为vgw-demo。 关联模式:请选择“企业路由器”。 企业路由器:选择您的企业路由器,本示例为er-test-01。 BGP ASN:此处AS号和企业路由器的AS号一样或者不一样均可,本示例中和ER的AS号一致,保持默认值64512。 虚拟接口 名称:请根据实际情况填写,本示例vif-demo。 虚拟网关:选择您的虚拟网关,本示例为vgw-demo。 本端网关:请根据实际情况填写,本示例为10.0.0.1/30。 远端网关:请根据实际情况填写,本示例为10.0.0.2/30。 远端子网:请根据实际情况填写,本示例为192.168.3.0/24。 路由模式:请选择“BGP”。 BGP邻居AS号:此处为线下IDC侧的AS号,不能和云上虚拟网关的AS号一样,本示例为65525。 VPN 1 VPN网关 名称:请根据实际情况填写,本示例为vpngw-demo。 关联模式:请选择“企业路由器”。 企业路由器:选择您的企业路由器,本示例为er-test-01。 BGP ASN:由于DC和VPN为双链路互备,此处AS号和DC虚拟网关的AS号必须一样,本示例为64512。 虚拟私有云:选择您的虚拟私有云,本示例为vpc-for-vpn。 互联子网:用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。请根据实际情况填写,本示例为10.0.5.0/24。 对端网关 名称:请根据实际情况填写,本示例为cgw-demo。 路由模式:请选择“动态BGP”。 BGP ASN:此处为线下IDC侧的AS号,由于DC和VPN为双链路互备,该AS号和DC虚拟接口处设置的AS号必须一样,本示例为65525。 2条VPN连接,互为主备: 名称:请根据实际情况填写,本示例中,主VPN连接为vpn-demo-01,备VPN连接为vpn-demo-02。 VPN网关:选择您的VPN网关,本示例为vpngw-demo。 公网IP:请根据实际情况选择,主VPN连接选择主EIP,备VPN连接选择备EIP。 连接模式:请选择“路由模式”。 对端网关:选择您的对端网关,本示例为cgw-demo。 接口分配方式:本示例选择“自动分配”。 路由模式:请选择“BGP”。 ECS 1 名称:根据实际情况填写,本示例为ecs-demo。 镜像:请根据实际情况选择,本示例为公共镜像(CentOS 8.2 64bit)。 网络: 虚拟私有云:选择您的虚拟私有云,本示例为vpc-for-er。 子网:选择子网,本示例为subnet-for-er。 安全组:请根据实际情况选择,本示例安全组模板选择“通用Web服务器”,名称为sg-demo。 私有IP地址:172.16.1.137 由于DC和VPN是主备链路,为了防止网络环路,DC虚拟网关和VPN网关的AS号必须保持一致,本示例为64512。 ER的AS号和DC、VPN的一样或者不一样均可,本示例为64512。 线下IDC侧的AS号,不能和云上服务的AS号一样,请根据客户的实际情况填写,本示例为65525。
-
网络规划说明 DC/VPN双链路主备混合云组网规划如图1所示,将VPC、DC和VPN分别接入ER中,组网规划说明如表2所示。 图1 DC/VPN双链路主备混合云组网规划 DC和VPN互为主备网络链路,在DC网络链路正常的情况下,流量优选云专线DC。 在ER路由表中只显示优选路由,由于VGW连接(DC)路由的优先级高于VPN连接,因此ER路由表中不显示VPN连接的路由。 云上VPC和线下IDC通信时,默认使用DC这条网络链路,本示例的网络流量路径说明请参见表1 表1 网络流量路径说明 路径 说明 请求路径:VPC1→线下IDC 在VPC1路由表中,通过下一跳为ER的路由将流量转送到ER。 在ER路由表中,通过下一跳为VGW连接的路由将流量转送到虚拟网关。 虚拟网关连接虚拟接口,通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径:线下IDC→VPC1 通过物理专线将流量转送到虚拟接口。 虚拟接口连接虚拟网关,通过虚拟接口将流量从本端网关转送到虚拟网关。 通过虚拟网关将流量转送到ER。 在ER路由表中,通过下一跳为VPC1连接的路由将流量送达VPC1。 表2 DC/VPN双链路互备混合云组网规划说明 资源 说明 VPC 业务VPC,实际运行客户业务的VPC,本示例中为VPC1,具体说明如下: VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下: local:表示VPC本地IPV4的默认路由条目,用于VPC内子网通信,系统自动配置。 ER:表示将VPC子网流量转发至ER,此处目的地址配置为IDC的子网网段,路由信息如表3所示。 VPN网关使用的子网,建议您创建一个新的VPC,并从中分配子网。 您在创建VPN网关时,需要填写该子网网段,VPN网关使用的子网不能与VPC内已有的子网网段重叠。 DC 1个物理连接:需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个虚拟网关:将虚拟网关接入ER中,即表示将“虚拟网关(VGW)”连接添加到ER。 1个虚拟接口:连接虚拟网关和物理连接。 VPN 1个VPN网关:将VPN接入ER中,即表示将“VPN网关(VPN)”连接添加到ER。 1个对端网关:用户IDC侧的对端网关。 2条VPN连接:连接VPN网关和对端网关,两条VPN连接互为主备链路。 ER 开启“默认路由表关联”和“默认路由表传播”功能,添加完连接后,系统会自动执行以下配置: VPC: 将1个“虚拟私有云(VPC)”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云(VPC)”连接的传播,路由自动学习VPC网段,路由信息如表4所示。 DC: 将1个“虚拟网关(VGW)”连接关联至ER默认路由表。 在默认路由表中创建“虚拟网关(VGW)”连接的传播,路由自动学习DC侧的所有路由信息,路由信息如表4所示。 VPN: 将1个“VPN网关(VPN)”连接关联至ER默认路由表。 在默认路由表中创建“VPN网关(VPN)”连接的传播,路由自动学习VPN侧的所有路由信息,路由信息如表4所示。 ECS 1个ECS位于业务VPC内,本示例用该ECS来验证云上和线下IDC的网络通信情况。 如果您有多台ECS,并且这些ECS位于不同的安全组,需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 192.168.3.0/24 企业路由器 静态路由:自定义 如果您在创建连接时开启“配置连接侧路由”选项,则不用手动在VPC路由表中配置静态路由,系统会在VPC的所有路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突,则会添加失败。此时建议您不要开启“配置连接侧路由”选项,并在连接创建完成后,手动添加路由。 除了系统自动添加的3个VPC固定网段,您还需要在VPC路由表中添加目的地址为IDC侧网段,下一跳指向ER的路由。 表4 ER路由表 目的地址 下一跳 路由类型 VPC1网段:172.16.0.0/16 VPC1连接:er-attach-01 传播路由 IDC侧网段:192.168.3.0/24 VGW连接:vgw-demo 传播路由 IDC侧网段:192.168.3.0/24 VPN连接:vpngw-demo 传播路由 当两条路由功能一样时,ER路由表中只会显示优选路由。当DC和VPN网络链路均正常时,由于VGW连接和VPN连接的传播路由均指向线下IDC,因此只能在ER路由表中看到优先级较高的VGW连接的路由,暂时不支持查看ER路由中VPN连接的所有路由(包括未优选的路由)。 当DC出现故障,网络链路切换到VPN时,此时通过管理控制台,可以在ER路由表中看到VPN连接的传播路由。
-
DC/VPN双链路互备混合云组网构建流程 本章节介绍通过企业路由器构建DC/VPN双链路主备混合云组网总体流程,流程说明如表1所示。 表1 构建DC/VPN双链路主备混合云组网流程说明 步骤 说明 步骤一:创建云服务资源 创建1个企业路由器,构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网,本示例中创建1个VPC和子网。 在业务VPC子网内,创建ECS,本示例中创建1个ECS。 步骤二:在企业路由器中添加并配置VGW连接 创建物理连接,物理连接是线下IDC侧和华为云的专属通道,需要运营商进行施工,搭建物理专线链路连接线下和云上。 创建虚拟网关:创建1个关联企业路由器的虚拟网关,企业路由器中会自动添加“虚拟网关(VGW)”连接。 创建虚拟接口:创建关联虚拟网关的虚拟接口,连接虚拟网关和物理连接。 配置IDC侧路由:在线下IDC侧路由设备配置网络参数。 步骤三:在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云(VPC)”连接:将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由:在VPC路由表中配置到企业路由器的路由信息,目的地址为IDC侧网段。 步骤四:验证DC链路的通信情况 登录ECS,执行ping命令,验证DC链路的网络互通情况。 步骤五:在企业路由器中添加并配置VPN连接 创建VPN网关:创建1个关联企业路由器的VPN网关,企业路由器中会自动添加“VPN网关(VPN)”连接。 创建对端网关:创建1个用户IDC侧的对端网关。 创建2条VPN连接:VPN连接用来连通VPN网关和对端网关,两条VPN连接互为主备链路。 配置IDC侧路由:在线下IDC侧路由设备配置网络参数。 步骤六:验证VPN链路的通信情况 登录ECS,执行ping命令,验证VPN链路的网络互通情况。 由于VPN链路为备选,如果您需要验证VPN链路通信情况,需要先构造DC主链路故障,然后验证备VPN链路的通信情况。 父主题: 通过企业路由器构建DC/VPN双链路主备混合云组网
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
