云服务器内容精选

  • 企业路由器最佳实践汇总 企业路由器(Enterprise Router, ER)可以连接虚拟私有云(Virtual Private Cloud, VPC)或本地网络来构建中心辐射型组网,是云上大规格,高带宽,高性能的集中路由器。企业路由器使用边界网关协议(Border Gateway Protocol, BGP),支持路由学习、动态选路以及链路切换,极大的提升网络的可扩展性及运维效率,从而保证业务的连续性。 您可以通过企业路由器和华为云上的其他服务,灵活构建不同的组网,本文档提供典型组网的最佳实践供您参考。 表1 场景说明 组网 场景示例 云服务 说明 云上跨区域组网 通过企业路由器和云连接中心网络实现跨区域VPC互通 企业路由器ER 云连接中心网络 虚拟私有云VPC 弹性 云服务器ECS 为了实现业务的就近接入,XX企业在华为云区域A、区域B以及区域C内均部署了业务,承载业务的不同VPC之间需要网络互通。 在三个区域中,分别创建三个企业路由器ER,包括区域A的ER-A、区域B的ER-B以及区域C的ER-C。 创建云连接中心网络,并在云连接中心网络中加入ER-A、ER-B以及ER-C,连通不同区域的企业路由器。 在区域A内,将VPC-A01和VPC-A02接入ER内,实现同区域内VPC互通。在区域B和区域C进行同样的操作。最终,通过中心网络和企业路由器,实现不同区域的VPC网络互通。 云上同区域组网 通过企业路由器实现同区域VPC隔离 企业路由器ER 虚拟私有云VPC 弹性云服务器E CS XX企业在华为云区域A内部署了4个虚拟私有云VPC,业务A、业务B、业务C分别部署在VPC1、VPC2、VPC3,公共业务部署在VPC4中,网络要求如下: 业务A、业务B以及业务C所在的3个VPC需要隔离,不互通。 业务A、业务B以及业务C都需要和公共业务所在的VPC4互通。 云上同区域组网 通过企业路由器和第三方防火墙实现多VPC互访流量清洗 企业路由器ER 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了3个虚拟私有云VPC,其中业务A、业务B分别部署在VPC1、VPC2,VPC3部署有第三方防火墙软件。出于安全考虑,要求业务A和业务B互相访问的流量必须通过VPC3中防火墙软件的过滤清洗。 混合云组网 通过企业路由器和中转VPC构建组网 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟专用网络 VPN 虚拟私有云VPC 弹性云服务器ECS 您可以通过企业路由器构建中心辐射型组网,简化网络架构。当前为您提供两种典型组网方案,方案一是将业务VPC直接接入企业路由器,方案二是使用中转VPC,结合VPC对等连接和企业路由器共同构建组网。相比方案一,方案二可以降低成本,并且免去一些限制。 混合云组网 通过企业路由器和云专线构建混合云组网(全域接入网关DGW) 企业路由器ER 云专线DC(全域接入网关DGW) 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了2个虚拟私有云VPC,这2个VPC需要互相访问,并且通过DC全域接入网关和线下IDC网络互通。 混合云组网 通过企业路由器构建DC双链路负载混合云组网(全域接入网关DGW) 企业路由器ER 云专线DC(全域接入网关DGW) 虚拟私有云VPC 弹性云服务器ECS 云专线(Direct Connect,DC)用于搭建线下IDC和云上虚拟私有云(Virtual Private Cloud,VPC)之间高速、低时延、稳定安全的专属连接通道,您可以通过企业路由器和云专线的全域接入网关,构建满足企业通信的大规模混合云组网。 为了提升混合云组网的网络性能以及可靠性,XX企业同时部署了两条专线DC链路,均可以连通云上VPC和线下IDC的网络。两条DC链路形成负载均衡,当两条DC链路网络均正常,同时工作可提升网络传输能力。当其中一条DC链路故障时,另外一条DC链路可确保整个混合云组网的正常运行,避免了单点故障带来的业务中断。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过两条DC和线下IDC通信。 当其中一条DC链路故障时,VPC1和VPC2可以通过另外一条DC链路和线下IDC通信。 混合云组网 通过企业路由器构建DC双链路主备混合云组网(全域接入网关DGW) 企业路由器ER 云专线DC(全域接入网关DGW) 虚拟私有云VPC 弹性云服务器ECS 云专线(Direct Connect,DC)用于搭建线下IDC和云上虚拟私有云(Virtual Private Cloud,VPC)之间高速、低时延、稳定安全的专属连接通道,您可以通过企业路由器和云专线的全域接入网关,构建满足企业通信的大规模混合云组网。 为了提升混合云组网的网络可靠性,并且控制成本费用,XX企业同时部署了两条DC链路,均可以连通云上VPC和线下IDC的网络。两条DC链路形成主备,当主链路故障后,可自动切换至备链路,降低了单链路故障导致的业务中断风险。 混合云组网 通过企业路由器构建DC/VPN双链路主备混合云组网(全域接入网关DGW) 企业路由器ER 云专线DC(全域接入网关DGW) 虚拟专用网络VPN 虚拟私有云VPC 弹性云服务器ECS 云专线(Direct Connect,DC)用于搭建线下IDC和云上虚拟私有云(Virtual Private Cloud,VPC)之间高速、低时延、稳定安全的专属连接通道,您可以通过企业路由器和云专线的全域接入网关,构建满足企业通信的大规模混合云组网。 虚拟专用网络(Virtual Private Network,VPN)用于在线下IDC和华为云上VPC之间建立一条安全加密的公网通信隧道。相比通过DC构建混合云,使用VPN更加快速,成本更低。 为了提升混合云组网的可靠性,XX企业同时部署了DC和VPN两条网络链路,均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备,主链路为DC,备链路为VPN,当DC链路故障时,可自动切换到VPN链路,降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中,当主链路DC故障时,VPC1和VPC2可以通过备链路VPN和线下IDC通信。 混合云组网 通过企业路由器和云专线实现线下IDC和云上VPC互通(虚拟网关VGW) 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了2个虚拟私有云VPC,这2个VPC需要互相访问,并且共享同一条云专线DC访问客户线下的IDC。 在区域A内创建一个企业路由器ER,将VPC和DC的虚拟网关接入ER内,ER可以在接入的VPC和虚拟网关之间转发流量,实现2个VPC共享DC。 混合云组网 通过企业路由器构建DC双链路负载混合云组网(虚拟网关VGW) 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟私有云VPC 弹性云服务器ECS 为了提升混合云组网的网络性能以及可靠性,XX企业同时部署了两条专线DC链路,均可以连通云上VPC和线下IDC的网络。两条DC链路形成负载均衡,当两条DC链路网络均正常,同时工作可提升网络传输能力。当其中一条DC链路故障时,另外一条DC链路可确保整个混合云组网的正常运行,避免了单点故障带来的业务中断。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过两条DC和线下IDC通信。 当其中一条DC链路故障时,VPC1和VPC2可以通过另外一条DC链路和线下IDC通信。 混合云组网 通过企业路由器构建DC/VPN双链路主备混合云组网(虚拟网关VGW) 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟专用网络VPN 虚拟私有云VPC 弹性云服务器ECS 为了提升混合云组网的可靠性,XX企业同时部署了DC和VPN两条网络链路,均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备,主链路为DC,备链路为VPN,当DC链路故障时,可自动切换到VPN链路,降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中,当主链路DC故障时,VPC1和VPC2可以通过备链路VPN和线下IDC通信。 云内网络访问公网 通过企业路由器和NAT网关实现同区域VPC共享SNAT访问公网 企业路由器ER NAT网关 弹性公网IP 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了4个虚拟私有云VPC,VPC1、VPC2、VPC3需要互相访问,并且可以共享VPC4的SNAT访问公网。 组网迁移 将VPC对等连接组网迁移至企业路由器 企业路由器ER 虚拟私有云VPC 弹性云服务器ECS VPC-A、VPC-B、VPC-C位于区域A,通过对等连接连通三个VPC的网络,为了提升网络可扩展性、降低运维成本,现在需要将这三个VPC的网络迁移至企业路由器上。 组网迁移 将DC直连VPC组网迁移至企业路由器ER 企业路由器ER 云专线DC(虚拟网关VGW) 虚拟私有云VPC 弹性云服务器ECS VPC-X和云专线DC的虚拟网关VGW-A、虚拟接口VIF-A01、虚拟接口VIF-A02位于区域A,通过DC连通VPC-X和线下IDC之间的网络,为了提升混合云组网可靠性并降低维护成本,现在需要将VPC-X和云专线网络迁移至企业路由器上。 组网迁移 将云连接实例直连VPC组网迁移至中心网络和企业路由器 企业路由器ER 云连接(云连接实例) 云连接(中心网络) 虚拟私有云VPC 弹性云服务器ECS 当前组网中,通过云连接实例连通区域A、区域B以及区域C内的VPC网络,为了提升组网的可扩展性,并降低维护难度,现在需要将VPC迁移到企业路由器中,并通过中心网络连通不同区域的企业路由器。 如果您需要连通云上VPC和线下IDC构建混合云组网,则推荐您使用企业路由器和云专线的全域接入网关DGW。 从2024年5月份开始,通过企业路由器和云专线的虚拟网关VGW构建混合云组网的功能不再支持新增组网,只针对存量组网进行维护。
  • ER计费模式概述 如您需要快速了解企业路由器不同计费模式的具体价格,请参见ER价格详情。 企业路由器提供按需计费模式,一种后付费模式,即先使用再付费,按照企业路由器内连接的实际使用时长和使用流量计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。如您需要快速了解企业路由器的具体价格,请参见ER价格详情。 表1 计费模式 计费模式 按需计费 付费方式 后付费 计费周期 连接费用:秒级计费,按小时结算。 流量费用:按照企业路由器的使用流量计费。 适用计费项 连接费用:按接入的连接数量计费 流量费用:按连接实际产生的流量计费 变更规格 - 适用场景 适用于资源需求波动的场景,可以根据实际使用资源计算费用。 父主题: 计费模式
  • 步骤三:在企业路由器中添加并配置DGW连接 本示例中,云专线DC资源的总体规划说明,请参见表2。 执行以下步骤,搭建第一条专线链路并验证网络通信情况。 创建物理连接。 创建方法,具体请参见物理连接接入。 在企业路由器中添加“全域接入网关(DGW)”连接。 在云专线管理控制台,执行以下操作: 创建全域接入网关。 创建虚拟接口。 将全域接入网关接入企业路由器,即添加“全域接入网关(DGW)”连接。 具体方法请参见创建全域接入网关。 在企业路由器控制台,查看“全域接入网关(DGW)”连接的添加情况。 具体方法请参见查看连接。 “全域接入网关(DGW)”连接的状态“正常”,表示已成功接入企业路由器中。 由于本示例创建ER时,开启“默认路由表关联”和“默认路由表传播”,因此添加完“全域接入网关(DGW)”连接后,以下均为系统自动配置: 在ER默认路由表中创建关联。 在ER默认路由表中创建传播,并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后,才可以在ER路由表中查看到IDC侧的路由信息。 配置IDC侧路由到华为云的路由。 以华为网络设备为例,配置BGP路由: bgp 64555 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple 12345678 network 172.16.1.0 255.255.255.0 表1 BGP路由 命令 命令说明 bgp 64555 启动BGP,其中: 64555:IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP),其中: 10.0.0.1:华为云的网关。 64512:全域接入网关的BGP ASN。 peer 10.0.0.1 password simple 12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证,其中: 12345678:BGP MD5认证密码。 network 172.16.1.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中,其中: 172.16.1.0:IDC侧子网。 255.255.255.0:IDC侧子网掩码。 登录弹性云服务器ecs-A。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 执行以下命令,验证第一条专线链路的通信情况。 ping IDC侧任意一个IP地址 命令示例: ping 172.16.1.10 回显类似如下信息,表示vpc-A与IDC可以通过第一条专线链路通信。 [root@ecs-A ~]# ping 172.16.1.10 PING 172.16.1.10 (172.16.1.10) 56(84) bytes of data. 64 bytes from 172.16.1.10: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.10: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.10: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.10: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.10 ping statistics --- 执行以下步骤,搭建第二条专线链路并验证网络通信情况。 参考1.a~1.c,搭建第二条专线链路。 构造第一条专线链路的故障,确保业务VPC已无法通过该链路和IDC通信。 请您务必在没有业务的情况下,构造专线链路故障,以免对业务造成影响。 参考1.d~1.e,验证第二条专线链路的通信情况。
  • 步骤四:在ER侧和IDC侧分别配置主备路由 在ER路由表中,检查ER通过DGW连接学习的BGP路由是否优选DGW-A连接。 查看ER路由,具体方法请参见查看路由。 当专线链路差异导致AS_Path不一样,从而自动形成主备路由的情况,您无需额外配置路由策略。 其他场景均需要配置路由策略,请您执行2,在ER侧配置主备路由。 路由172.16.1.0/24的下一跳对应的DGW-A连接,则表示形成主备模式。 (可选)在ER侧配置主备路由,即创建路由策略并绑定至DGW-B连接的传播上。 创建路由策略,路由策略中包含两个策略节点。 本示例中,路由策略的总体规划说明,请参见表5。 创建路由策略,具体方法请参见创建路由策略。 分别将路由策略绑定至两个DGW连接上,将ER通过DGW连接学习的BGP路由形成主备路由。 为DGW连接的传播绑定路由策略,具体方法请参见将路由策略绑定至ER连接的传播。 再次执行1,检查路由是否形成主备关系。 配置路由策略,追加路由的AS_Path值,可能会导致网络环路,因此配置前请检查网络规划,根据实际情况谨慎配置。 登录线下IDC侧网络设备,需要根据网络的实际规划,将IDC侧去往云上专线的路由配置成主备路由,形成主备冗余。 假设希望连接DC-A的线路为入云主线路,可以通过设置Local_Pref来实现,降低DC-B线路的BGP路由本地优先级。 BGP路由配置示例(以华为设备为例): route-policy slave_direct_in permit node 10 apply local-preference 90 bgp 64555 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple Qaz12345678 peer 10.1.0.1 as-number 64512 peer 10.1.0.1 password simple Qaz12345678 peer 10.1.0.1 route-policy slave_direct_in import network 172.16.1.0 255.255.255.0 表2 BGP路由 命令 命令说明 route-policy slave_direct_in permit node 10 apply local-preference 90 备链路的路由策略。 slave_direct_in:备链路的路由策略名称 bgp 64555 启动BGP,其中: 64555:IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP),其中: 10.0.0.1:主链路的华为云网关。 64512:全域接入网关的BGP ASN。 peer 10.0.0.1 password simple Qaz12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证,其中: 10.0.0.1:主链路的华为云网关。 Qaz12345678:BGP MD5认证密码。 peer 10.1.0.1 as-number 64512 创建BGP的对等体(EBGP),其中: 10.1.0.1:备链路的华为云网关。 64512:全域接入网关的BGP ASN。 peer 10.1.0.1 password simple Qaz12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证,其中: 10.1.0.1:备链路的华为云网关。 Qaz12345678:BGP MD5认证密码。 peer 10.1.0.1 route-policy slave_direct_in import 备链路的BGP对等体应用入方向的路由策略。 10.1.0.1:备链路的华为云网关。 slave_direct_in:备链路的路由策略名称。 network 172.16.1.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中,其中: 172.16.1.0:IDC侧子网。 255.255.255.0:IDC侧子网掩码。
  • 步骤二:在企业路由器中添加并配置VPC连接 将业务VPC接入企业路由器中,即在ER中添加VPC连接。 添加连接时,开启“配置连接侧路由”功能。 开启该功能后,会在VPC路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中指向VPC的路由。 本示例中,ER开启了“默认路由表关联”和“默认路由表传播”功能,那么在ER中添加“虚拟私有云(VPC)”连接时,系统会自动添加ER指向VPC的路由,无需手动添加,只需要检查即可。 ER路由规划详情,请参见表2和表4,本示例中两条路由的下一跳分别为VPC-A连接和VPC-B连接。 查看ER路由,具体方法请参见查看路由。 在业务VPC的路由表中,添加指向ER的路由。 VPC路由规划详情,请参见表3,本示例中添加目的地址为线下IDC侧网段172.16.1.0/24的路由。 配置路由信息,具体方法请参见在VPC路由表中配置路由。
  • 步骤一:创建云服务资源(业务VPC、ECS、ER) 本步骤指导您创建业务VPC、ECS以及ER服务资源,云服务资源的总体规划说明,请参见表5。 创建企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 创建业务VPC。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 创建业务ECS。 本示例中1个业务ECS主要用于验证云上VPC和线下IDC通信使用,数量和配置仅供参考,请您根据实际需要创建业务ECS。 创建ECS,具体方法请参见自定义购买ECS。
  • DC双链路主备混合云组网构建流程 本章节介绍通过企业路由器构建DC双链路主备混合云组网总体流程,流程说明如表1所示。 表1 构建DC双链路主备混合云组网流程说明(全域接入网关DGW) 步骤 说明 步骤一:创建云服务资源 创建1个企业路由器,构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网,本示例中创建1个VPC和子网。 在业务VPC子网内,创建ECS,本示例中创建1个ECS。 步骤二:在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云(VPC)”连接:将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由:在VPC路由表中配置到企业路由器的路由信息,目的地址为IDC侧网段。 步骤三:在企业路由器中添加并配置DGW连接 搭建第一条专线链路并验证网络通信情况。 创建1个物理连接:物理连接是线下IDC侧和华为云的专属通道,需要运营商进行施工,搭建物理专线链路连接线下和云上。 创建1个全域接入网关:创建1个全域接入网关。 创建1个虚拟接口:虚拟接口用来连接全域接入网关和物理连接。 在全域接入网关中关联实例,添加到ER的连接。 配置IDC侧路由:在线下IDC侧路由设备配置网络参数。 登录ECS,执行ping命令,验证DC链路通信情况。 参考1,搭建第二条专线链路并验证网络通信情况。 步骤四:在ER侧和IDC侧分别配置主备路由 在ER路由表中,检查ER通过DGW连接学习的BGP路由是否优选DGW-A连接。 当专线链路差异导致AS_Path不一样,从而自动形成主备路由的情况,您无需额外配置路由策略。 其他场景,则需要执行2,在ER侧配置主备路由。 (可选)在ER侧配置主备路由,即创建路由策略并绑定至DGW-B连接的传播上。 配置路由策略,追加路由的AS_Path,可能会导致网络环路,配置前请检查网络规划,谨慎配置。 创建路由策略,路由策略中包含两个策略节点。 分别将路由策略绑定至两个DGW连接上,将ER通过DGW连接学习的BGP路由形成主备路由。 登录IDC侧网络设备,配置IDC侧的主备路由。 父主题: 通过企业路由器构建DC双链路主备混合云组网(全域接入网关DGW)
  • 规划资源 企业路由器ER、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可,可用区可以任意选择,不用保持一致。 以下资源规划详情仅为示例,您可以根据需要自行修改。 企业路由器ER:1个,资源规划详情如表5所示。 表5 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 关联路由表 传播路由表 连接 er-test-01 64512 开启 开启 默认路由表 默认路由表 er-attach-01 er-attach-02 er-attach-03 er-attach-04 虚拟私有云VPC:4个,VPC的网段不能重复,资源规划详情如表6所示。 表6 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-demo-01 192.168.0.0/16 subnet-demo-01 192.168.1.0/24 默认路由表 vpc-demo-02 172.16.0.0/16 subnet-demo-02 172.16.1.0/24 默认路由表 vpc-demo-03 10.1.0.0/16 subnet-demo-03 10.1.1.0/24 默认路由表 vpc-demo-04 10.2.0.0/16 subnet-demo-04 10.2.1.0/24 默认路由表 弹性云服务器ECS:4个,分别接入4个不同的VPC,资源规划详情如表7所示。 表7 ECS资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-demo-01 公共镜像: EulerOS 2.5 6 vpc-demo-01 subnet-demo-01 sg-demo: 通用Web服务器 192.168.1.12 ecs-demo-02 vpc-demo-02 subnet-demo-02 172.16.1.189 ecs-demo-03 vpc-demo-03 subnet-demo-03 10.1.1.105 ecs-demo-04 vpc-demo-04 subnet-demo-04 10.2.1.83
  • 规划组网 同区域VPC互通组网规划如图1所示,将4个VPC接入ER中,组网规划说明如表2所示。 图1 同区域VPC互通组网规划 表1 网络流量路径说明 场景 说明 请求路径:VPC1→VPC3 在VPC1路由表中,通过下一跳为ER的路由将流量转送到ER。 在ER路由表中,通过下一跳为VPC3连接的传播路由将流量送达VPC3。 响应路径:VPC3→VPC1 在VPC3路由表中,通过下一跳为ER的路由将流量转送到ER。 在ER路由表中,通过下一跳为VPC1连接的传播路由将流量送达VPC1。 表2 同区域VPC互通组网规划说明 资源 说明 VPC VPC网段(CIDR)不能重叠。 本示例中,ER路由表使用的是“虚拟私有云(VPC)”连接的传播路由,由ER自动学习VPC网段作为目的地址,不支持修改,因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠,则不建议您使用传播路由,请在ER路由表中手动添加静态路由,目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下: local:表示VPC本地IPV4的默认路由条目,用于VPC内子网通信,系统自动配置。 ER:表示将VPC子网流量路由至ER,建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16,路由信息如表3所示。 ER 开启“默认路由表关联”和“默认路由表传播”功能,添加完“虚拟私有云(VPC)”连接,系统会自动执行以下配置: 将4个“虚拟私有云(VPC)”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云(VPC)”连接的传播,路由自动学习VPC网段,路由信息如表4所示。 ECS 4个ECS分别位于不同的VPC内,VPC中的ECS如果位于不同的安全组,需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 10.0.0.0/8 企业路由器 静态路由:自定义 172.16.0.0/12 企业路由器 静态路由:自定义 192.168.0.0/16 企业路由器 静态路由:自定义 如果您在创建连接时开启“配置连接侧路由”选项,则不用手动在VPC路由表中配置静态路由,系统会在VPC的所有路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突,则会添加失败。此时建议您不要开启“配置连接侧路由”选项,并在连接创建完成后,手动添加路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0,如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由,并且优先级高于ER路由,此时会导致流量转发至EIP,无法抵达ER。 表4 ER路由表 目的地址 下一跳 路由类型 VPC1网段:192.168.0.0/16 VPC1连接:er-attach-01 传播路由 VPC2网段:172.16.0.0/16 VPC2连接:er-attach-02 传播路由 VPC3网段:10.1.0.0/16 VPC3连接:er-attach-03 传播路由 VPC4网段:10.2.0.0/16 VPC4连接:er-attach-04 传播路由
  • 操作步骤 进入企业路由器列表页面。 单击页面右上角的“创建企业路由器”。 进入“创建企业路由器”页面。 图1 创建企业路由器 根据界面提示,配置企业路由器的基本信息,如表1所示。 表1 创建企业路由器-参数说明 参数名称 参数说明 取值样例 区域 选择靠近业务的区域,不可修改。 华北-北京一 可用区 选择两个可用区部署企业路由器。 可用区1 可用区2 名称 企业路由器名称,支持修改。 er-test-01 ASN 根据网络规划指定自治系统编号,不支持修改。 64512 默认路由表关联 开启“默认路由表关联”功能,可以免去创建路由表、创建关联等操作,支持修改。 开启 默认路由表传播 开启“默认路由表传播”功能,可免去创建路由表、创建传播、添加路由等操作,支持修改。 开启 自动接受共享连接 关闭“自动接受共享连接”功能,接受者创建的连接需要所有者审批,所有者接受后才会创建。 关闭 企业项目 将企业路由器加入已有的企业项目内,支持修改。 default 标签 为企业路由器绑定标签,用来标识资源,支持修改。 “标签键”:test “标签值”:01 描述 该企业路由器的描述信息,支持修改。 - 基本信息设置完成后,单击“立即创建”。 在产品配置信息确认页面,再次核对企业路由器信息,确认无误后,单击“提交”。 返回企业路由器列表页面。 在企业路由器列表页面,查看企业路由器状态。 待状态由“创建中”变为“正常”,表示企业路由器创建完成。
  • 相关操作 企业路由器创建完成后,需要为网络实例创建连接,将网络实例接入企业路由器中,并配置路由信息,常见组网的配置流程请参见企业路由器快速入门。 如果创建企业路由器时,未开启“默认路由表关联”和“默认路由表传播”功能,则连接创建完成后,需要手动执行以下操作: 在企业路由器中创建自定义路由表,具体请参见创建路由表。 在路由表中为指定连接创建关联,具体请参见创建关联将连接关联至路由表中。 在路由表中配置连接的路由信息,以下两个方法二选一: 在路由表中创建传播,具体请参见在路由表中创建连接的传播。 创建传播之后,企业路由器可以自动学习连接的路由信息,不用手动配置路由。 在路由表中创建静态路由,具体请参见创建静态路由。
  • 操作步骤 进入企业路由器列表页面。 单击页面右上角的“创建企业路由器”。 进入“创建企业路由器”页面。 图1 创建企业路由器 根据界面提示,配置企业路由器的基本信息,如表1所示。 表1 创建企业路由器-参数说明 参数名称 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。 华东-上海一 可用区 必选参数。 可用区是在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。一个区域内有多个可用区,一个可用区发生故障后不会影响同一区域内下的其它可用区。 此处建议您同时选择两个可用区,表示企业路由器将同时部署在这两个可用区内,属于双活模式,为业务容灾提供可靠保障。 两个可用区均部署企业路由器时,可用区内流量遵循本地优先原则,即优先访问同一个可用区内的企业路由器,减少时延,提升访问速率。 可用区1 可用区2 名称 必选参数。 输入企业路由器的名称。要求如下: 长度范围为1~64位。 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。 er-test-01 ASN 必选参数。 自治系统(AS)是一个实体管辖下拥有相同选路策略的IP网络。在边界网关协议(BGP)网络中,每个AS都被分配一个唯一的自治系统编号 (ASN),用于区分不同的AS。 您可以在64512-65534或4200000000-4294967294范围内指定专用ASN。 对于同一个区域内的组网,您可以将其视为一个自治系统,企业路由器的ASN在指定范围内选择任意一个即可。 通过云专线和企业路由器连接线下IDC构建混合云组网时,建议企业路由器的ASN和云专线虚拟网关的BGP ASN不能一样。如果您在企业路由器内同时接入多条云专线,且云专线之间不组建负载均衡或者主备模式,则这些云专线虚拟网关的BGP ASN也不能一样。 通过云连接中心网络加载不同区域的企业路由器来构建跨区域组网时,建议不同区域的企业路由器使用不同的ASN。 64800 默认路由表关联 可选参数。 默认开启。 为了简化您后续的网络配置,此处建议您开启“默认路由表关联”功能,开启之后: 创建企业路由器时,系统会自动创建名称为“defaultRouteTable”的路由表,将其作为默认关联路由表。 默认关联路由表支持修改,企业路由器创建完成后,您可以创建新的路由表,并将新的路由表设置为默认关联路由表,具体请参见修改企业路由器配置。 设置完默认关联路由表后,在企业路由器中新创建连接时(比如连接A),会自动为连接A在默认关联路由表中创建关联。 创建关联后,会有以下作用: 创建关联后,来自连接A的报文根据它关联的路由表进行转发。 如果连接A的类型是“对等连接(Peering)”、“虚拟网关(VGW)”或者“VPN网关(VPN)”等,那么连接A会自动学习企业路由器的路由信息。 查看更多支持路由学习的连接类型,请参见企业路由器工作原理 如果连接A的类型是“虚拟私有云(VPC)”,不支持路由学习,需要在虚拟私有云的路由表中配置企业路由器的路由信息。 开启 默认路由表传播 可选参数。 默认开启。 为了简化您后续的网络配置流程,此处建议您开启“默认路由表传播”功能,开启之后: 创建企业路由器时,系统会自动创建名称为“defaultRouteTable”的路由表,将其作为默认传播路由表。 同时开启“默认路由表关联”和“默认路由表传播”功能,则默认关联路由表和默认传播路由表为同一个路由表,均为系统创建的名称为“defaultRouteTable”的路由表。 默认传播路由表支持修改,企业路由器创建完成后,您可以创建新的路由表,并将新的路由表设置为默认传播路由表,具体请参见修改企业路由器配置。 设置完默认传播路由表后,在企业路由器中新创建连接时(比如连接A),会自动为连接A在默认传播路由表中创建传播。 创建传播后,会有以下作用: 如果连接A的类型是“对等连接(Peering)”、“虚拟网关(VGW)”或者“VPN网关(VPN)”等,那么企业路由器可以自动学习连接A的全部路由信息。 查看更多类型连接的路由学习信息,请参见企业路由器工作原理 如果连接A的类型是“虚拟私有云(VPC)”,那么企业路由器只能学习VPC的网段。 开启 自动接受共享连接 可选参数。 作为企业路由器的所有者,您可以将企业路由器共享给其他账号的使用者,使用者可以在共享企业路由器中创建连接。 关闭该选项,使用者创建的连接需要所有者审批,所有者接受后才会创建。 开启该选项,使用者创建的连接会被自动接受,无需所有者审批。 关于共享更详细的说明,请参见共享概述。 关闭 企业项目 必选参数。 创建企业路由器时,需要将企业路由器加入已有的企业项目内。 企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。 default 标签 可选参数。 您可以在创建企业路由器的时候为企业路由器绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明,请参见标签概述。 说明: 如您的组织已经设定企业路由器的相关标签策略,则需按照标签策略规则为企业路由器添加标签。标签如果不符合标签策略的规则,则可能会导致企业路由器创建失败,请联系组织管理员了解标签策略详情。关于标签策略的详细说明,请参见标签策略概述。 “标签键”:test “标签值”:01 描述 可选参数。 您可以根据需要在文本框中输入对该企业路由器的描述信息。 - 基本信息设置完成后,单击“立即创建”。 在产品配置信息确认页面,再次核对企业路由器信息,确认无误后,单击“提交”。 返回企业路由器列表页面。 在企业路由器列表页面,查看企业路由器状态。 待状态由“创建中”变为“正常”,表示企业路由器创建完成。
  • 操作步骤 进入路由策略列表页面。 在路由策略列表中,单击目标路由策略名称。 进入路由策略详情页面。 单击页面左上角的“添加策略节点”。 弹出“添加策略节点”页面。 根据界面提示,配置策略节点的基本信息,如表1所示。 表1 添加策略节点-参数说明 参数名称 参数说明 取值样例 节点号 必选参数。 一个路由策略由一个或多个策略节点构成,当使用路由策略过滤路由信息时,节点号取值小的策略节点先执行。 请根据需要填写相应的节点号,取值范围为0~65535。 20 匹配模式 必选参数。 路由策略的匹配模式,取值如下: 允许:当匹配上策略节点中的所有过滤条件,如果该策略节点的匹配模式是允许,则这条路由被允许通过。 拒绝:当匹配上策略节点中的所有过滤条件,如果该策略节点的匹配模式是拒绝,则这条路由被拒绝通过。 须知: 默认所有未与任何一个路由策略节点匹配的路由,均为未通过路由策略的过滤。因此在一个路由策略中创建了一个或多个拒绝模式的路由策略节点后,需要创建一个路由策略节点来允许所有其他路由通过。 允许 匹配条件 必选参数。 设置路由的过滤条件,匹配上的路由,根据匹配原则,被允许通过或拒绝。当前路由策略支持以下匹配条件: 路由类型 静态路由:用户手动配置的路由。 在ER场景下,位于ER路由表中的自定义路由和“虚拟私有云(VPC)”连接对应的传播路由属于静态路由。 BGP路由:通过BGP协议学习的路由。 在ER场景下,以云专线DC为例,DC的虚拟网关和ER在云上通信使用BGP协议,那么在ER路由表中,“虚拟网关(VGW)”连接学习来的传播路由,属于BGP路由。 “对等连接(Peering)”、“VPN网关(VPN)”以及“全域接入网关(DGW)”类型的连接同理。 IP地址前缀列表:是一种包含一组路由信息过滤规则的过滤器,用户可以在规则中定义IP地址前缀和掩码长度范围,用于匹配路由信息的目的网段地址或下一跳地址。更多详细信息,请参见IP地址前缀列表概述。 AS_Path列表:是一组针对BGP路由的AS_Path属性进行过滤的规则。在BGP的路由信息中,包含有AS_Path属性,AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号,因此基于AS_Path属性定义一些过滤规则,就可以实现对BGP路由信息的过滤。更多详细信息,请参见AS_Path列表概述。 路由类型:动态路由 IP地址前缀列表:prefixFilter-ab AS_Path列表:asPathFilter-ab 策略值 可选参数。 当路由策略的匹配模式选择“允许”时,您可以根据需要设置路由的策略值。当前路由策略支持两个策略值,通过“添加策略值”按钮,可同时添加两个策略值。 PrefVal: 华为规定的路由特有属性,代表路由的优先级。PrefVal值越大,路由优先级越高。 通过在路由策略中设置PrefVal值,可以修改路由的PrefVal值。 PrefVal值为整数。 企业路由器中不同类型连接的默认值如下: 虚拟网关(VGW):100 对等连接(Peering):60 VPN网关(VPN):80 全域接入网关(DGW):100 须知: 修改路由的PrefVal值,会影响不同类型连接路由的选路策略。如果您修改不当,可能会对业务造成影响,请您提交工单联系华为云客服,评估修改方案。 AS_Path:在BGP的路由信息中,包含有AS_Path属性,AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号。 通过在路由策略中设置AS_Path,可以为路由执行以下动作: 追加:在AS_Path的左侧位置中追加策略中设置的值。 替换:替换路由原有的AS_Path为路由策略中设置的值。 删除:删除路由原有AS_Path中的指定值。 AS_Path值的填写要求如下: 格式为x或x.y的整型数字,其中x的范围为1-65535, y的范围为0-65535。 一次最多可填写10个值。 值不允许重复。 prefVal:20 AS_Path:2000 10.2 3.7 500 一个策略节点信息设置完成后,单击“添加策略节点”,可继续添加策略节点。 所有策略节点的基本信息设置完成后,单击“确定”。 返回策略节点列表页面,可查看已添加的策略节点。
  • 产品功能 企业路由器提供丰富的功能供您灵活配置服务,具体说明如表1所示。 提供添加连接、创建自定义路由表、创建关联、创建传播、添加路由等丰富的网络构建和路由管理功能。 提供权限管控、标签管理、配额管理等提升服务使用安全和便捷的多种实用功能。 表1 企业路由器功能概览 功能 功能描述 参考链接 企业路由器 您可以将企业路由器看作一个支持路由学习的高性能集中路由器,创建企业路由器时,您可以设置部署区域、可用区、名称等参数。 企业路由器创建完成后,您可以根据业务使用情况灵活调整部分参数。 创建企业路由器 连接 为企业路由器添加网络实例对应的连接,即表示将网络实例接入企业路由器中。 不同类型连接的添加方法不同: 虚拟私有云(VPC):通过企业路由器控制台来添加。 虚拟网关(VGW): 通过云专线控制台来添加。 VPN网关(VPN): 通过虚拟专用网络控制台来添加。 对等连接(Peering):通过云连接中心网络控制台加载不同区域的企业路由器来添加。 企业连接网(ECN):通过企业连接控制台来添加。 全域接入网关(DGW):通过云专线控制台来添加。 云防火墙 (CFW):通过云防火墙控制台来添加。 连接概述 路由表 路由表是企业路由器发送报文的依据,包含连接的关联关系、传播关系以及路由信息。 一个企业路由器可以拥有多个路由表,您可以将连接关联至不同的路由表,从而实现网络实例的灵活互通或者隔离。 路由表概述 关联 关联是将连接关联至ER路由表中,您可以通过以下方法创建关联: 手动创建:选择任意路由表,并在路由表中为连接创建关联。 自动创建:开启“默认路由表关联”功能,指定默认路由表,系统会自动为连接在默认路由表中创建关联。 关联概述 传播 传播是企业路由器和连接的路由学习关系,您可以通过以下方法创建传播: 手动创建:选择任意路由表,并在路由表中为连接创建传播。 自动创建:开启“默认路由表传播”功能,指定默认路由表,系统会自动为连接在默认路由表中创建传播。 传播概述 路由 路由是目的地址、下一跳以及路由类型等信息组成。路由分为两种: 自动学习的传播路由 手动添加的静态路由 路由概述 共享 依托于 资源访问管理 服务(Resource Access Manager,简称 RAM ),可以实现跨账号共享企业路由器,您可以将账号A所属的企业路由器同时共享给多个其他账号,比如账号B、账号C以及账号D等使用者。 使用者可以在共享企业路由器中添加连接,将自己名下的网络实例加入该企业路由器中,实现多个账号内的网络实例接入同一个企业路由器构建组网的需求。 共享概述 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息,您可以监控连接的网络流量、进行网络攻击分析等,帮助您实现高效的网络运维。 企业路由器流日志功能支持采集以下连接的流日志: 虚拟私有云(VPC) 虚拟网关(VGW) VPN网关(VPN) 对等连接(Peering) 全域接入网关(DGW) 流日志概述 监控 通过 云监控服务 ,您可以监控企业路由器实例以及企业路由器连接的网络情况。 支持的监控指标 审计 通过 云审计 服务,您可以记录与企业路由器相关的操作事件,便于日后的查询、审计和回溯。 支持审计的关键操作 权限 针对位于华为云上的企业路由器资源,您可以通过 IAM 进行精细的权限管理,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,从而实现资源的安全管控。 创建用户并授权使用ER 标签 标签用于标识云资源,可通过标签实现对云资源的分类和搜索。你可以为企业路由器和路由表添加标签。 标签概述 配额 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个企业路由器、每个企业路由器添加多少个连接、每个路由表可以添加多少条路由等。 配额概述
  • 操作步骤 进入企业路由器列表页面。 通过名称过滤,快速找到待创建路由表的企业路由器。 您可以通过以下两种操作入口,进入企业路由器的“路由表”页签。 在企业路由器右上角区域,单击“管理路由表”。 单击企业路由器名称,并选择“路由表”页签。 在“路由表”页签下,单击“创建路由表”。 弹出“创建路由表”对话框。 根据界面提示,配置路由表的基本信息,如表1所示。 表1 创建路由表-参数说明 参数名称 参数说明 取值样例 名称 必选参数。 输入路由表的名称。要求如下: 长度范围为1~64位。 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。 er-rtb-01 描述 可选参数。 你可以根据需要在文本框中输入对该路由表的描述信息。 - 标签 可选参数。 您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明,请参见标签概述。 说明: 如您的组织已经设定路由表的相关标签策略,则需按照标签策略规则为路由表添加标签。标签如果不符合标签策略的规则,则可能会导致路由表创建失败,请联系组织管理员了解标签策略详情。关于标签策略的详细说明,请参见标签策略概述。 “标签键”:test “标签值”:01 基本信息设置完成后,单击“确定”。 返回路由表列表页面。 在路由表列表页面,查看路由表状态。 待状态由“创建中”变为“正常”,表示路由表创建完成。