您可以使用Express Connect、VPN網關產品,實現阿里雲VPC與使用者本機資料中心、辦公終端或其他雲廠商網路互連。
VPC串連本機資料中心
選擇串連方案
常見的有如下兩種串連方案:
專線:通過電訊廠商物理專線將本機資料中心網路連接到阿里雲存取點機房。在物理專線兩端距離很遠的情況下,仍可以提供低時延、低丟包率和高頻寬的內網級通訊品質。
VPN:通過建立公網加密隧道的方式,實現本機資料中心與阿里雲VPC之間建立安全可靠的網路連接。VPN串連品質會受到公網網路品質的影響。
串連方式 | 專線 | VPN |
網路時延 | 低 | 中 |
建設周期 | 長 | 短 |
總體成本 | 高 | 低 |
安全性 | 高 | 中 |
擴充便捷性 | 低 | 高 |
使用專線串連
本機資料中心使用專線串連到阿里雲,您需要使用到Express Connect產品。
串連過程中您需要進行的操作:
申請物理專線連接埠,並完成您本機資料中心裝置到阿里雲存取點機房裝置的物理專線串連。物理專線類型分為獨享專線和共用專線,會涉及到電訊廠商工勘、專線鋪設、布線施工等工作,整個施工周期預計按月為單位,建議您提前做好時間與預算規劃。
獨享專線:電訊廠商從您的本機資料中心機房,新增一條專線並串連到阿里雲存取點機房,整個施工周期預計需要1至3個月。該條專線及對應連接埠為您專屬。
共用專線:部分電訊廠商會預先與阿里雲存取點建立串連,使用共用專線需要電訊廠商從電訊廠商的存取點新增專線,並串連到您的本機資料中心機房,整個施工周期一般在1個月內。在這種串連方式下,電訊廠商存取點和阿里雲存取點之間的串連是多租戶共用。
其他建議:
為了避免單條物理專線可能因外界不可抗力導致網路中斷(例如專線某處被誤挖斷),您可以通過雙專線、雙存取點的方式,提升物理專線鏈路可靠性。對於非核心業務,您可考慮使用專線+VPN做主備,降低總體成本。
由於專線流量本身沒有加密機制,而部分行業又因安全合規政策,要求敏感性資料即使通過專線傳輸也需要進行加密,此時您可以參考:通過私網VPN網關實現物理專線加密通訊。
實際生產環境中,通常有多個VPC需要與本機資料中心互連,同時VPC之間也需要互連,人工配置路由相對繁瑣,您可以考慮更加便捷的組網方式。您可以通過將Virtual Private Cloud與專線網關ECR均串連至轉寄路由器TR,結合BGP動態路由實現全網高效互聯。動態路由能夠根據網路拓撲的變化自動調整路由表,減少人工配置的工作量,降低組網配置複雜度。
使用VPN串連
本機資料中心使用VPN串連到阿里雲,推薦您使用IPsec-VPN產品。
IPsec-VPN有2種使用方式,主要區別如下:
使用方式 | 綁定VPN網關 | 綁定轉寄路由器TR |
應用情境 | 本機資料中心僅能與VPN網關執行個體所在的VPC互連。 | |
雙隧道時實現高可用鏈路的方式 | 主備鏈路 | ECMP鏈路 ECMP(Equal-Cost Multipath Routing)通過多重路徑同時分擔流量,實現負載平衡和鏈路備份,提升網路效率和可靠性。 |
IPsec串連頻寬是否可擴充 | 否 | 是。可以建立多個IPsec串連,通過ECMP鏈路同時傳輸串流量,從而間接實現頻寬擴充。 |
綁定VPN網關
IPsec串連綁定VPN網關情境下,兩條隧道一主一備。在一條隧道故障後,可以切換至另一條隧道進行傳輸。
實際生產環境中,部分企業在進行網路設計時往往會設計單獨的DMZ VPC,用於統一公網出入口管控、安全隔離公網流量。您可參考該方案設計VPN上云:通過VPN網關串連到DMZ VPC方式(主備隧道)。
綁定轉寄路由器TR
IPsec串連綁定轉寄路由器TR情境下,兩條隧道自動形成ECMP鏈路,本地網關裝置也開啟ECMP時,兩條隧道均傳輸串流量。在一條隧道故障後,可以切換至另一條隧道進行傳輸。
VPC串連其他雲(多雲)
VPC串連其他雲,與VPC串連本機資料中心類似。您可以將其他雲視為“特殊的本機資料中心”,使用專線或IPsec-VPN進行串連,構建多雲環境。
以阿里雲VPC與AWS VPC進行互連為例。
專線串連多雲
建議雙專線、雙存取點等方式,提升專線鏈路可靠性。
多雲環境下,往往有多個VPC需要互連,人工配置路由相對繁瑣,您可以通過將Virtual Private Cloud與專線網關ECR均串連至轉寄路由器TR,結合BGP動態路由實現全網高效互聯。動態路由能夠根據網路拓撲的變化自動調整路由表,減少人工配置的工作量,降低組網配置複雜度。
IPsec-VPN串連多雲
阿里雲和AWS平台下的IPsec-VPN串連均支援雙隧道模式,但由於AWS平台的兩條隧道預設關聯至同一個客戶網關,而阿里雲側兩條隧道擁有不同的IP地址,導致AWS平台和阿里雲側的兩條隧道無法做到一一對應建立串連。
為確保阿里雲側IPsec-VPN串連下兩條隧道同時啟用,您需要在AWS平台建立兩個網站到網站的VPN串連,每個網站到網站VPN串連關聯不同的客戶網關。
多雲環境下,往往有多個VPC需要互連,人工配置路由相對繁瑣,您可以通過將IPsec串連綁定至轉寄路由器TR,結合BGP動態路由實現全網高效互聯。動態路由能夠根據網路拓撲的變化自動調整路由表,減少人工配置的工作量,降低組網配置複雜度。
阿里雲IPsec-VPN綁定轉寄路由器TR時,預設開啟ECMP,建議您在AWS側也開啟ECMP。如果AWS側未開啟ECMP,則AWS流向阿里雲的流量需要指定串連,阿里雲流向AWS的流量則會根據ECMP自動選擇隧道。
辦公終端串連VPC
辦公終端使用VPN串連到阿里雲VPC,推薦您使用SSL-VPN產品。
SSL-VPN支援市場主流的案頭用戶端(Windows、Linux、macOS)和移動用戶端(Android、iOS)接入。
如果企業一部分應用同時部署在本機資料中心,您可以為VPN網關執行個體一併開啟IPsec-VPN和SSL-VPN功能,同時串連本機資料中心和用戶端。
串連建立後,用戶端和本機資料中心均可以訪問VPC,且用戶端和本機資料中心之間可以互相通訊。