云服务器内容精选

  • 企业路由器最佳实践汇总 企业路由器(Enterprise Router, ER)可以连接虚拟私有云(Virtual Private Cloud, VPC)或本地网络来构建中心辐射型组网,是云上大规格,高带宽,高性能的集中路由器。企业路由器使用边界网关协议(Border Gateway Protocol, BGP),支持路由学习、动态选路以及链路切换,极大的提升网络的可扩展性及运维效率,从而保证业务的连续性。 您可以通过企业路由器和华为云上的其他服务,灵活构建不同的组网,本文档提供典型组网的最佳实践供您参考。 表1 场景说明 组网 场景示例 云服务 说明 云上跨区域组网 通过企业路由器和云连接中心网络实现跨区域VPC互通 企业路由器ER 云连接中心网络 虚拟私有云VPC 弹性 云服务器ECS 为了实现业务的就近接入,XX企业在华为云区域A、区域B以及区域C内均部署了业务,承载业务的不同VPC之间需要网络互通。 在三个区域中,分别创建三个企业路由器ER,包括区域A的ER-A、区域B的ER-B以及区域C的ER-C。 创建云连接中心网络,并在云连接中心网络中加入ER-A、ER-B以及ER-C,连通不同区域的企业路由器。 在区域A内,将VPC-A01和VPC-A02接入ER内,实现同区域内VPC互通。在区域B和区域C进行同样的操作。最终,通过中心网络和企业路由器,实现不同区域的VPC网络互通。 云上同区域组网 通过企业路由器实现同区域VPC隔离 企业路由器ER 虚拟私有云VPC 弹性云服务器E CS XX企业在华为云区域A内部署了4个虚拟私有云VPC,业务A、业务B、业务C分别部署在VPC1、VPC2、VPC3,公共业务部署在VPC4中,网络要求如下: 业务A、业务B以及业务C所在的3个VPC需要隔离,不互通。 业务A、业务B以及业务C都需要和公共业务所在的VPC4互通。 云上同区域组网 通过企业路由器和第三方防火墙实现多VPC互访流量清洗 企业路由器ER 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了3个虚拟私有云VPC,其中业务A、业务B分别部署在VPC1、VPC2,VPC3部署有第三方防火墙软件。出于安全考虑,要求业务A和业务B互相访问的流量必须通过VPC3中防火墙软件的过滤清洗。 混合云组网 通过企业路由器和中转VPC构建组网 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟专用网络 VPN 虚拟私有云VPC 弹性云服务器ECS 您可以通过企业路由器构建中心辐射型组网,简化网络架构。当前为您提供两种典型组网方案,方案一是将业务VPC直接接入企业路由器,方案二是使用中转VPC,结合VPC对等连接和企业路由器共同构建组网。相比方案一,方案二可以降低成本,并且免去一些限制。 混合云组网 通过企业路由器和云专线构建混合云组网(全域接入网关DGW) 企业路由器ER 云专线DC(全域接入网关DGW) 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了2个虚拟私有云VPC,这2个VPC需要互相访问,并且通过DC全域接入网关和线下IDC网络互通。 混合云组网 通过企业路由器构建DC双链路负载混合云组网(全域接入网关DGW) 企业路由器ER 云专线DC(全域接入网关DGW) 虚拟私有云VPC 弹性云服务器ECS 云专线(Direct Connect,DC)用于搭建线下IDC和云上虚拟私有云(Virtual Private Cloud,VPC)之间高速、低时延、稳定安全的专属连接通道,您可以通过企业路由器和云专线的全域接入网关,构建满足企业通信的大规模混合云组网。 为了提升混合云组网的网络性能以及可靠性,XX企业同时部署了两条专线DC链路,均可以连通云上VPC和线下IDC的网络。两条DC链路形成负载均衡,当两条DC链路网络均正常,同时工作可提升网络传输能力。当其中一条DC链路故障时,另外一条DC链路可确保整个混合云组网的正常运行,避免了单点故障带来的业务中断。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过两条DC和线下IDC通信。 当其中一条DC链路故障时,VPC1和VPC2可以通过另外一条DC链路和线下IDC通信。 混合云组网 通过企业路由器构建DC双链路主备混合云组网(全域接入网关DGW) 企业路由器ER 云专线DC(全域接入网关DGW) 虚拟私有云VPC 弹性云服务器ECS 云专线(Direct Connect,DC)用于搭建线下IDC和云上虚拟私有云(Virtual Private Cloud,VPC)之间高速、低时延、稳定安全的专属连接通道,您可以通过企业路由器和云专线的全域接入网关,构建满足企业通信的大规模混合云组网。 为了提升混合云组网的网络可靠性,并且控制成本费用,XX企业同时部署了两条DC链路,均可以连通云上VPC和线下IDC的网络。两条DC链路形成主备,当主链路故障后,可自动切换至备链路,降低了单链路故障导致的业务中断风险。 混合云组网 通过企业路由器构建DC/VPN双链路主备混合云组网(全域接入网关DGW) 企业路由器ER 云专线DC(全域接入网关DGW) 虚拟专用网络VPN 虚拟私有云VPC 弹性云服务器ECS 云专线(Direct Connect,DC)用于搭建线下IDC和云上虚拟私有云(Virtual Private Cloud,VPC)之间高速、低时延、稳定安全的专属连接通道,您可以通过企业路由器和云专线的全域接入网关,构建满足企业通信的大规模混合云组网。 虚拟专用网络(Virtual Private Network,VPN)用于在线下IDC和华为云上VPC之间建立一条安全加密的公网通信隧道。相比通过DC构建混合云,使用VPN更加快速,成本更低。 为了提升混合云组网的可靠性,XX企业同时部署了DC和VPN两条网络链路,均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备,主链路为DC,备链路为VPN,当DC链路故障时,可自动切换到VPN链路,降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中,当主链路DC故障时,VPC1和VPC2可以通过备链路VPN和线下IDC通信。 混合云组网 通过企业路由器和云专线实现线下IDC和云上VPC互通(虚拟网关VGW) 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了2个虚拟私有云VPC,这2个VPC需要互相访问,并且共享同一条云专线DC访问客户线下的IDC。 在区域A内创建一个企业路由器ER,将VPC和DC的虚拟网关接入ER内,ER可以在接入的VPC和虚拟网关之间转发流量,实现2个VPC共享DC。 混合云组网 通过企业路由器构建DC双链路负载混合云组网(虚拟网关VGW) 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟私有云VPC 弹性云服务器ECS 为了提升混合云组网的网络性能以及可靠性,XX企业同时部署了两条专线DC链路,均可以连通云上VPC和线下IDC的网络。两条DC链路形成负载均衡,当两条DC链路网络均正常,同时工作可提升网络传输能力。当其中一条DC链路故障时,另外一条DC链路可确保整个混合云组网的正常运行,避免了单点故障带来的业务中断。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过两条DC和线下IDC通信。 当其中一条DC链路故障时,VPC1和VPC2可以通过另外一条DC链路和线下IDC通信。 混合云组网 通过企业路由器构建DC/VPN双链路主备混合云组网(虚拟网关VGW) 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟专用网络VPN 虚拟私有云VPC 弹性云服务器ECS 为了提升混合云组网的可靠性,XX企业同时部署了DC和VPN两条网络链路,均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备,主链路为DC,备链路为VPN,当DC链路故障时,可自动切换到VPN链路,降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中,当主链路DC故障时,VPC1和VPC2可以通过备链路VPN和线下IDC通信。 云内网络访问公网 通过企业路由器和NAT网关实现同区域VPC共享SNAT访问公网 企业路由器ER NAT网关 弹性公网IP 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了4个虚拟私有云VPC,VPC1、VPC2、VPC3需要互相访问,并且可以共享VPC4的SNAT访问公网。 组网迁移 将VPC对等连接组网迁移至企业路由器 企业路由器ER 虚拟私有云VPC 弹性云服务器ECS VPC-A、VPC-B、VPC-C位于区域A,通过对等连接连通三个VPC的网络,为了提升网络可扩展性、降低运维成本,现在需要将这三个VPC的网络迁移至企业路由器上。 组网迁移 将DC直连VPC组网迁移至企业路由器ER 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟私有云VPC 弹性云服务器ECS VPC-X和云专线DC的虚拟网关VGW-A、虚拟接口VIF-A01、虚拟接口VIF-A02位于区域A,通过DC连通VPC-X和线下IDC之间的网络,为了提升混合云组网可靠性并降低维护成本,现在需要将VPC-X和云专线网络迁移至企业路由器上。 组网迁移 将云连接实例直连VPC组网迁移至中心网络和企业路由器 企业路由器ER 云连接(云连接实例) 云连接(中心网络) 虚拟私有云VPC 弹性云服务器ECS 当前组网中,通过云连接实例连通区域A、区域B以及区域C内的VPC网络,为了提升组网的可扩展性,并降低维护难度,现在需要将VPC迁移到企业路由器中,并通过中心网络连通不同区域的企业路由器。 如果您需要连通云上VPC和线下IDC构建混合云组网,则推荐您使用企业路由器和云专线的全域接入网关DGW。 从2024年5月份开始,通过企业路由器和云专线的虚拟网关VGW构建混合云组网的功能不再支持新增组网,只针对存量组网进行维护。
  • ER计费模式概述 如您需要快速了解企业路由器不同计费模式的具体价格,请参见ER价格详情。 企业路由器提供按需计费模式,一种后付费模式,即先使用再付费,按照企业路由器内连接的实际使用时长和使用流量计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。如您需要快速了解企业路由器的具体价格,请参见ER价格详情。 表1 计费模式 计费模式 按需计费 付费方式 后付费 计费周期 连接费用:秒级计费,按小时结算。 流量费用:按照企业路由器的使用流量计费。 适用计费项 连接费用:按接入的连接数量计费 流量费用:按连接实际产生的流量计费 变更规格 - 适用场景 适用于资源需求波动的场景,可以根据实际使用资源计算费用。 父主题: 计费模式
  • 步骤三:在企业路由器中添加并配置VPC连接 将业务VPC接入企业路由器中。 添加连接时,不开启“配置连接侧路由”功能。 开启该功能后,会自动VPC路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。本示例中,需要在VPC路由表中手动配置指向ER的路由,目的地址为IDC侧的网段。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中指向VPC的路由。 本示例中,ER开启了“默认路由表关联”和“默认路由表传播”功能,那么在ER中添加“虚拟私有云(VPC)”连接时,系统会自动添加ER指向VPC的路由,无需手动添加,只需要检查即可。 ER路由规划详情,请参见表2和表4。 查看ER路由,具体方法请参见查看路由。 在业务VPC的路由表中,添加指向ER的路由。 VPC路由规划详情,请参见表3。 配置路由信息,具体方法请参见在VPC路由表中配置路由。
  • 步骤四:验证DC链路的通信情况 登录弹性云服务器ecs-demo。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 执行以下命令,验证业务VPC与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例: ping 192.168.3.10 回显类似如下信息,表示vpc-for-er与IDC可以通过ER通信。 [root@ecs-A02 ~]# ping 192.168.3.10 PING 192.168.3.10 (192.168.3.102) 56(84) bytes of data. 64 bytes from 192.168.3.102: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 192.168.3.102: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 192.168.3.102: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 192.168.3.102: icmp_seq=4 ttl=64 time=0.372 ms ... --- 192.168.3.102 ping statistics ---
  • 步骤五:在企业路由器中添加并配置VPN连接 本示例中,虚拟专用网络VPN、VPN网关使用的VPC资源的总体规划说明,请参见表5。 创建1个VPN网关使用的VPC。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 您在创建VPN网关时,“虚拟私有云”需要选择该VPC,“互联子网”填写该VPC下的网段,请确保选择的互联子网存在4个及以上可分配的IP地址。 创建VPN网关,即在企业路由器中添加“VPN网关(VPN)”连接。 在虚拟专用网络管理控制台,创建VPN网关。 具体方法请参见创建VPN网关。 在企业路由器控制台,查看“VPN网关(VPN)”连接的添加情况。 具体方法请参见查看连接。 “VPN网关(VPN)”连接的状态“正常”,表示已成功接入企业路由器中。 由于本示例创建ER时,开启“默认路由表关联”和“默认路由表传播”,因此添加完“VPN网关(VPN)”连接后,以下均为系统自动配置: 在ER默认路由表中创建关联。 在ER默认路由表中创建传播,并自动学习IDC侧的路由信息。 需要执行以下步骤连通VPN后,才可以在ER路由表中查看到IDC侧的路由信息。 创建对端网关。 具体方法请参见创建对端网关。 分别创建两条VPN连接,用作主备。 创建主VPN连接,请参见创建第一条VPN连接。 创建备VPN连接,请参见创建第二条VPN连接。 在IDC侧的网络设备上,配置网络参数。 由于组网为DC和VPN的双链路互备,因此配置路由时,需要注意以下方面: DC和VPN的路由类型保持一致,构造双链路互备需要配置为BGP路由。 配置DC和VPN路由的主备优先级,确保DC的优先级高于VPN。 DC和VPN网络链路的断连感知时间建议和云上网络保持一致。
  • 步骤六:验证VPN链路的通信情况 由于VPN链路为备选,如果您需要验证VPN链路通信情况,需要先构造DC主链路故障,然后验证备VPN链路的通信情况。 构造DC主链路的故障,确保业务VPC已无法通过该链路和IDC通信。 请您务必在没有业务的情况下,构造DC链路故障,以免对业务造成影响。 登录弹性云服务器ecs-demo。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 执行以下命令,验证业务VPC与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例: ping 192.168.3.10 回显类似如下信息,表示vpc-for-er与IDC可以通过ER通信。 [root@ecs-A02 ~]# ping 192.168.3.10 PING 192.168.3.10 (192.168.3.102) 56(84) bytes of data. 64 bytes from 192.168.3.102: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 192.168.3.102: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 192.168.3.102: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 192.168.3.102: icmp_seq=4 ttl=64 time=0.372 ms ... --- 192.168.3.102 ping statistics ---
  • 步骤一:创建云服务资源(业务VPC、ECS、ER) 本步骤指导您创建业务VPC、ECS以及ER服务资源,云服务资源的总体规划说明,请参见表5。 创建企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 创建业务VPC。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 创建业务ECS。 本示例中1个业务ECS主要用于验证云上VPC和线下IDC通信使用,数量和配置仅供参考,请您根据实际需要创建业务ECS。 创建ECS,具体方法请参见购买方式概述。
  • 步骤二:在企业路由器中添加并配置VGW连接 本示例中,云专线DC资源的总体规划说明,请参见表5。 创建物理连接。 创建方法,具体请参见物理连接接入。 创建虚拟网关,即在企业路由器中添加“虚拟网关(VGW)”连接。 在云专线管理控制台,创建虚拟网关。 具体方法请参见步骤2:创建虚拟网关。 在企业路由器控制台,查看“虚拟网关(VGW)”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关(VGW)”连接的状态“正常”,表示已成功接入企业路由器中。 由于本示例创建ER时,开启“默认路由表关联”和“默认路由表传播”,因此添加完“虚拟网关(VGW)”连接后,以下均为系统自动配置: 在ER默认路由表中创建关联。 在ER默认路由表中创建传播,并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后,才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC,具体方法请参见步骤3:创建虚拟接口。 在IDC侧的网络设备上,配置网络参数。 由于组网为DC和VPN的双链路互备,因此配置路由时,需要注意以下方面: DC和VPN的路由类型保持一致,构造双链路互备需要配置为BGP路由。 配置DC和VPN路由的主备优先级,确保DC的优先级高于VPN。 DC和VPN网络链路的断连感知时间建议和云上网络保持一致。
  • 步骤三:在企业路由器中添加并配置DGW连接 本示例中,云专线DC资源的总体规划说明,请参见表2。 执行以下步骤,搭建第一条专线链路并验证网络通信情况。 创建物理连接。 创建方法,具体请参见物理连接接入。 在企业路由器中添加“全域接入网关(DGW)”连接。 在云专线管理控制台,执行以下操作: 创建全域接入网关。 创建虚拟接口。 将全域接入网关接入企业路由器,即添加“全域接入网关(DGW)”连接。 具体方法请参见创建全域接入网关。 在企业路由器控制台,查看“全域接入网关(DGW)”连接的添加情况。 具体方法请参见查看连接。 “全域接入网关(DGW)”连接的状态“正常”,表示已成功接入企业路由器中。 由于本示例创建ER时,开启“默认路由表关联”和“默认路由表传播”,因此添加完“全域接入网关(DGW)”连接后,以下均为系统自动配置: 在ER默认路由表中创建关联。 在ER默认路由表中创建传播,并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后,才可以在ER路由表中查看到IDC侧的路由信息。 配置IDC侧路由到华为云的路由。 以华为网络设备为例,配置BGP路由: bgp 64555 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple 12345678 network 172.16.1.0 255.255.255.0 表1 BGP路由 命令 命令说明 bgp 64555 启动BGP,其中: 64555:IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP),其中: 10.0.0.1:华为云的网关。 64512:全域接入网关的BGP ASN。 peer 10.0.0.1 password simple 12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证,其中: 12345678:BGP MD5认证密码。 network 172.16.1.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中,其中: 172.16.1.0:IDC侧子网。 255.255.255.0:IDC侧子网掩码。 登录弹性云服务器ecs-A。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 执行以下命令,验证第一条专线链路的通信情况。 ping IDC侧任意一个IP地址 命令示例: ping 172.16.1.10 回显类似如下信息,表示vpc-A与IDC可以通过第一条专线链路通信。 [root@ecs-A ~]# ping 172.16.1.10 PING 172.16.1.10 (172.16.1.10) 56(84) bytes of data. 64 bytes from 172.16.1.10: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.10: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.10: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.10: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.10 ping statistics --- 执行以下步骤,搭建第二条专线链路并验证网络通信情况。 参考1.a~1.c,搭建第二条专线链路。 构造第一条专线链路的故障,确保业务VPC已无法通过该链路和IDC通信。 请您务必在没有业务的情况下,构造专线链路故障,以免对业务造成影响。 参考1.d~1.e,验证第二条专线链路的通信情况。
  • 步骤四:在ER侧和IDC侧分别配置主备路由 在ER路由表中,检查ER通过DGW连接学习的BGP路由是否优选DGW-A连接。 查看ER路由,具体方法请参见查看路由。 当专线链路差异导致AS_Path不一样,从而自动形成主备路由的情况,您无需额外配置路由策略。 其他场景均需要配置路由策略,请您执行2,在ER侧配置主备路由。 路由172.16.1.0/24的下一跳对应的DGW-A连接,则表示形成主备模式。 (可选)在ER侧配置主备路由,即创建路由策略并绑定至DGW-B连接的传播上。 创建路由策略,路由策略中包含两个策略节点。 本示例中,路由策略的总体规划说明,请参见表5。 创建路由策略,具体方法请参见创建路由策略。 分别将路由策略绑定至两个DGW连接上,将ER通过DGW连接学习的BGP路由形成主备路由。 为DGW连接的传播绑定路由策略,具体方法请参见将路由策略绑定至ER连接的传播。 再次执行1,检查路由是否形成主备关系。 配置路由策略,追加路由的AS_Path值,可能会导致网络环路,因此配置前请检查网络规划,根据实际情况谨慎配置。 登录线下IDC侧网络设备,需要根据网络的实际规划,将IDC侧去往云上专线的路由配置成主备路由,形成主备冗余。 假设希望连接DC-A的线路为入云主线路,可以通过设置Local_Pref来实现,降低DC-B线路的BGP路由本地优先级。 BGP路由配置示例(以华为设备为例): route-policy slave_direct_in permit node 10 apply local-preference 90 bgp 64555 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple Qaz12345678 peer 10.1.0.1 as-number 64512 peer 10.1.0.1 password simple Qaz12345678 peer 10.1.0.1 route-policy slave_direct_in import network 172.16.1.0 255.255.255.0 表2 BGP路由 命令 命令说明 route-policy slave_direct_in permit node 10 apply local-preference 90 备链路的路由策略。 slave_direct_in:备链路的路由策略名称 bgp 64555 启动BGP,其中: 64555:IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP),其中: 10.0.0.1:主链路的华为云网关。 64512:全域接入网关的BGP ASN。 peer 10.0.0.1 password simple Qaz12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证,其中: 10.0.0.1:主链路的华为云网关。 Qaz12345678:BGP MD5认证密码。 peer 10.1.0.1 as-number 64512 创建BGP的对等体(EBGP),其中: 10.1.0.1:备链路的华为云网关。 64512:全域接入网关的BGP ASN。 peer 10.1.0.1 password simple Qaz12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证,其中: 10.1.0.1:备链路的华为云网关。 Qaz12345678:BGP MD5认证密码。 peer 10.1.0.1 route-policy slave_direct_in import 备链路的BGP对等体应用入方向的路由策略。 10.1.0.1:备链路的华为云网关。 slave_direct_in:备链路的路由策略名称。 network 172.16.1.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中,其中: 172.16.1.0:IDC侧子网。 255.255.255.0:IDC侧子网掩码。
  • 步骤二:在企业路由器中添加并配置VPC连接 将业务VPC接入企业路由器中,即在ER中添加VPC连接。 添加连接时,开启“配置连接侧路由”功能。 开启该功能后,会在VPC路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中指向VPC的路由。 本示例中,ER开启了“默认路由表关联”和“默认路由表传播”功能,那么在ER中添加“虚拟私有云(VPC)”连接时,系统会自动添加ER指向VPC的路由,无需手动添加,只需要检查即可。 ER路由规划详情,请参见表2和表4,本示例中两条路由的下一跳分别为VPC-A连接和VPC-B连接。 查看ER路由,具体方法请参见查看路由。 在业务VPC的路由表中,添加指向ER的路由。 VPC路由规划详情,请参见表3,本示例中添加目的地址为线下IDC侧网段172.16.1.0/24的路由。 配置路由信息,具体方法请参见在VPC路由表中配置路由。
  • 步骤一:创建云服务资源(业务VPC、ECS、ER) 本步骤指导您创建业务VPC、ECS以及ER服务资源,云服务资源的总体规划说明,请参见表5。 创建企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 创建业务VPC。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 创建业务ECS。 本示例中1个业务ECS主要用于验证云上VPC和线下IDC通信使用,数量和配置仅供参考,请您根据实际需要创建业务ECS。 创建ECS,具体方法请参见自定义购买ECS。
  • DC双链路主备混合云组网构建流程 本章节介绍通过企业路由器构建DC双链路主备混合云组网总体流程,流程说明如表1所示。 表1 构建DC双链路主备混合云组网流程说明(全域接入网关DGW) 步骤 说明 步骤一:创建云服务资源 创建1个企业路由器,构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网,本示例中创建1个VPC和子网。 在业务VPC子网内,创建ECS,本示例中创建1个ECS。 步骤二:在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云(VPC)”连接:将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由:在VPC路由表中配置到企业路由器的路由信息,目的地址为IDC侧网段。 步骤三:在企业路由器中添加并配置DGW连接 搭建第一条专线链路并验证网络通信情况。 创建1个物理连接:物理连接是线下IDC侧和华为云的专属通道,需要运营商进行施工,搭建物理专线链路连接线下和云上。 创建1个全域接入网关:创建1个全域接入网关。 创建1个虚拟接口:虚拟接口用来连接全域接入网关和物理连接。 在全域接入网关中关联实例,添加到ER的连接。 配置IDC侧路由:在线下IDC侧路由设备配置网络参数。 登录ECS,执行ping命令,验证DC链路通信情况。 参考1,搭建第二条专线链路并验证网络通信情况。 步骤四:在ER侧和IDC侧分别配置主备路由 在ER路由表中,检查ER通过DGW连接学习的BGP路由是否优选DGW-A连接。 当专线链路差异导致AS_Path不一样,从而自动形成主备路由的情况,您无需额外配置路由策略。 其他场景,则需要执行2,在ER侧配置主备路由。 (可选)在ER侧配置主备路由,即创建路由策略并绑定至DGW-B连接的传播上。 配置路由策略,追加路由的AS_Path,可能会导致网络环路,配置前请检查网络规划,谨慎配置。 创建路由策略,路由策略中包含两个策略节点。 分别将路由策略绑定至两个DGW连接上,将ER通过DGW连接学习的BGP路由形成主备路由。 登录IDC侧网络设备,配置IDC侧的主备路由。 父主题: 通过企业路由器构建DC双链路主备混合云组网(全域接入网关DGW)
  • 规划资源 企业路由器ER、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可,可用区可以任意选择,不用保持一致。 以下资源规划详情仅为示例,您可以根据需要自行修改。 企业路由器ER:1个,资源规划详情如表5所示。 表5 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 关联路由表 传播路由表 连接 er-test-01 64512 开启 开启 默认路由表 默认路由表 er-attach-01 er-attach-02 er-attach-03 er-attach-04 虚拟私有云VPC:4个,VPC的网段不能重复,资源规划详情如表6所示。 表6 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-demo-01 192.168.0.0/16 subnet-demo-01 192.168.1.0/24 默认路由表 vpc-demo-02 172.16.0.0/16 subnet-demo-02 172.16.1.0/24 默认路由表 vpc-demo-03 10.1.0.0/16 subnet-demo-03 10.1.1.0/24 默认路由表 vpc-demo-04 10.2.0.0/16 subnet-demo-04 10.2.1.0/24 默认路由表 弹性云服务器ECS:4个,分别接入4个不同的VPC,资源规划详情如表7所示。 表7 ECS资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-demo-01 公共镜像: EulerOS 2.5 6 vpc-demo-01 subnet-demo-01 sg-demo: 通用Web服务器 192.168.1.12 ecs-demo-02 vpc-demo-02 subnet-demo-02 172.16.1.189 ecs-demo-03 vpc-demo-03 subnet-demo-03 10.1.1.105 ecs-demo-04 vpc-demo-04 subnet-demo-04 10.2.1.83
  • 规划组网 同区域VPC互通组网规划如图1所示,将4个VPC接入ER中,组网规划说明如表2所示。 图1 同区域VPC互通组网规划 表1 网络流量路径说明 场景 说明 请求路径:VPC1→VPC3 在VPC1路由表中,通过下一跳为ER的路由将流量转送到ER。 在ER路由表中,通过下一跳为VPC3连接的传播路由将流量送达VPC3。 响应路径:VPC3→VPC1 在VPC3路由表中,通过下一跳为ER的路由将流量转送到ER。 在ER路由表中,通过下一跳为VPC1连接的传播路由将流量送达VPC1。 表2 同区域VPC互通组网规划说明 资源 说明 VPC VPC网段(CIDR)不能重叠。 本示例中,ER路由表使用的是“虚拟私有云(VPC)”连接的传播路由,由ER自动学习VPC网段作为目的地址,不支持修改,因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠,则不建议您使用传播路由,请在ER路由表中手动添加静态路由,目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下: local:表示VPC本地IPV4的默认路由条目,用于VPC内子网通信,系统自动配置。 ER:表示将VPC子网流量路由至ER,建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16,路由信息如表3所示。 ER 开启“默认路由表关联”和“默认路由表传播”功能,添加完“虚拟私有云(VPC)”连接,系统会自动执行以下配置: 将4个“虚拟私有云(VPC)”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云(VPC)”连接的传播,路由自动学习VPC网段,路由信息如表4所示。 ECS 4个ECS分别位于不同的VPC内,VPC中的ECS如果位于不同的安全组,需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 10.0.0.0/8 企业路由器 静态路由:自定义 172.16.0.0/12 企业路由器 静态路由:自定义 192.168.0.0/16 企业路由器 静态路由:自定义 如果您在创建连接时开启“配置连接侧路由”选项,则不用手动在VPC路由表中配置静态路由,系统会在VPC的所有路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突,则会添加失败。此时建议您不要开启“配置连接侧路由”选项,并在连接创建完成后,手动添加路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0,如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由,并且优先级高于ER路由,此时会导致流量转发至EIP,无法抵达ER。 表4 ER路由表 目的地址 下一跳 路由类型 VPC1网段:192.168.0.0/16 VPC1连接:er-attach-01 传播路由 VPC2网段:172.16.0.0/16 VPC2连接:er-attach-02 传播路由 VPC3网段:10.1.0.0/16 VPC3连接:er-attach-03 传播路由 VPC4网段:10.2.0.0/16 VPC4连接:er-attach-04 传播路由