混合云模式下多分支机构的云网络实践

作者:阿里云MVP 孙承会

摘要

混合云时代,多云管理的重要性日渐凸显。特别是集团化多分支架构的企业,总部和分支,分支与数据中心,分支与云之间需要高效,安全,可靠的IT整体解决方案。通过阿里云的云企业网,智能接入网关等服务可以提供高效的广域网接入、多分支组网,实现云、数据中心、企业分支之间的专属网络,实现三者之间网络任意互联。以更低的成本获得更高品质的网络环境。提高企业网络安全性,降低运维成本,构建极致的企业互联体验。

正文

混合云时代,多云管理的重要性日渐凸显。特别是集团化多分支架构的企业,集团有各个方面的应用要在多个节点间需要有高质量的网络环境,例如异地办公、视频会议、远程桌面、支付交易系统、远程医疗等场景,越来越多的实时应用要在多个节点间传递,断线、访问慢等问题将会放大用户的不满,造成交易流失。解决集团化多分支的混合云网络问题尤为重要。
下图为典型的集团化多分支的企业:

混合云模式下多分支机构的云网络实践

解决该种混合云组网传统主要有VPN和专线两种方式,VPN的方式线路不稳定难以保证客户业务系统的稳定运行,专线方式虽然网络质量比较好,但也会带来以下问题:

1) 受服务商约束,需要改动网络。
例如,不同云平台的北京,深圳的VPC基础设施接入到北京的数据中心。云专线连接方式依赖服务商,需要在用户侧部署接入设备,花费几天或几周的时间改动网络。由于涉及到专线服务商,运营商,云服务商多方面配合,在资源协同,线路选择方面通常会有限制。
2) 高昂的组网成本,限制企业通网。
云专线每年支出在数十万级。创业公司没有大企业的资源优势,较高的支出,显然不符合需求。

阿里云云企业网和智能接入网关能更好的帮助客户解决混合云组网的场景。云企业网的主要场景如下:

同区域网络资源互通

您只需完成两步便可实现同账号下同地域内所有加载的专有网络(VPC)和边界路由器(VBR)互通。首先创建一个云企业网实例,然后将要互通的网络实例(专有网络和路由器接口)加载到云企业网实例中即可。

跨区域网络资源互通

您可以通过云企业网实现任意两个区域下的云资源互通,比如使亚太区域的VPC和北美区域的VPC互通。您首先需要创建一个云企业网实例,然后将要互通的网络实例(专有网络和路由器接口)加载到云企业网实例,再购买一个跨区域带宽包,设置跨地域互通带宽即可。

混合云模式下多分支机构的云网络实践
使用智能接入网关解决高可用上云的场景。智能接入网关实例可以直接通过Internet绑定CCN实例或者绑定高速上云服务关联的VBR实例,将VBR实例和CCN实例加入云企业网访问云上资源,实现上云连接的高可用备份。
智能接入网关+Internet+高速上云服务的部署模式如下图所示:

混合云模式下多分支机构的云网络实践

我们通过一个例子来说明云企业网如何通过和高速通道物理专线、VPN网关、智能接入网关组合使用,快速构建一张混合云网络。

网络拓扑介绍

• 客户分别在北京、上海、杭州和广州部署了云下IDC服务。
• 客户也在云上部署了服务,包括北京VPC、上海VPC、杭州VPC和深圳VPC。
• 北京IDC和上海IDC通过专线接入到阿里云接入点,并将对应的边界路由器(VBR)加载到云企业网内。
• 杭州IDC通过VPN网关连接到杭州VPC。
• 广州IDC通过智能接入网关上云,并将智能接入网关所属的云连接网加载到云企业网内。
• 分别将北京、上海、深圳和杭州的VPC加载到云企业网内。

混合云模式下多分支机构的云网络实践

IP地址规划

构建混合云网络时,必须确保所有要互通的网络地址不冲突。本教程中的网段规划如下:

网络 IP地址段
杭州IDC 10.1.1.0/24
广州IDC 10.1.2.0/24
北京IDC 10.1.3.0/24
上海IDC 10.1.4.0/24
北京VPC 192.168.1.0/24
深圳VPC 192.168.2.0/24
上海VPC 192.168.3.0/24
杭州VPC 192.168.4.0/24

不同接入方式的配置

北京、上海IDC专线接入上云

1.北京、上海的IDC通过专线连接到边界路由器(VBR),并且IDC和边界路由器之间已经建立起BGP邻居关系。
2.北京IDC和上海IDC的CPE设备,将IDC地址段通过BGP宣告到云企业网。CPE主要配置如下:

配置 北京CPE 上海CPE
Local BGP ASN A B
Peer BGP ASN 45104 45104
Network 10.1.3.0/24 10.1.4.0/24

IDC和VBR之间建立起BGP邻居关系,IDC和VBR就可以彼此学习到对方的路由信息。

杭州IDC通过VPN网关接入上云

1.杭州IDC通过VPN方式连接到杭州VPC内的VPN网关,接入阿里云。
2.本地IDC已与阿里云VPN网关之间建立起IPsec-VPN连接,并且配置指向云上的明细路由或默认路由。
3.为了能够让IDC和云企业网内加载的各网络实例之间互相通信,需要在连接VPN网关的VPC内,配置一条指向IDC侧(VPN网关)的路由,并且宣告到CEN内。

广州IDC通过智能接入网关上云

1.在智能接入网关控制台,将智能接入网关所连接的广州IDC业务地址段10.1.2.0/24配置为私网网段。
2.将智能接入网关所绑定的云连接网CCN加载到云企业网中,这样广州IDC便可以和云企业网内任意加载的网络实例进行互通。

通过以上接入方式实现了客户全网的互联互通:
• 北京、上海IDC通过专线BGP上云,VBR加载到云企业网中。
• 杭州IDC通过VPN网关上云,挂载VPN网关的VPC加载到云企业网中。
• 广州IDC通过智能接入网关上云,智能接入网关关联的云连接网加载到云企业网中。

总结

通过云企业网和智能接入网关帮助您在 VPC 间,VPC 与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通,通过智能接入网关实现Internet就近加密接入,获得更加智能、更加可靠、更加安全的上云体验,帮助您打造一张具有企业级规模和通信能力的互联网络。


更多云计算、大数据、实战架构等优质、热门内容,微信搜索“拜托了王教授”公众号添加关注获取~
更有优质技术交流社群、技术大牛一对一接触机会等众多福利等你来撩~

上一篇:linux禁止普通用户su到root用户


下一篇:阿里高可用架构建设实践经验