企业上云以后,云上云下如何高速稳定互通?那当然是云专线了。华为云提供云专线接入方案,将云下IDC和云上VPC之间高速互联。本文详细介绍一下专线接入方案,剖析静态接入方式和BGP接入方式的原理,解读单专线接入访问单VPC、单专线接入访问多VPC等典型场景的建议使用方式。
专线,即客户云下机房到公有云机房之间,有独享的光纤通道,保证有独立的带宽,可靠性SLA保证。它区别于互联网传输,互联网是多人共享的,而专线是独占的。
专线穿越运营商网络,从客户机房直接连到华为云VPC上。然而这跟专线并不是华为云提供的,而是运营商提供的服务,故租户需要跟运营商购买专线接到华为云的专线网关上,华为云负责将专线打通到指定的VPC,完成端到端高速互通。
在华为云侧来说,其实是分成2个部分的:
Ø 专线到专线网关
Ø 专线网关到VPC
专线到专线网关,即为客户接入方式,又可以从不同的维度分为几种典型场景:
Ø 单专线静态接入
Ø 单专线动态接入
Ø 双专线静态接入
Ø 双专线动态接入
可以简单地用下面的图形表示:
华为云的region,每一个region都提供了2个专线网关,互为冗余备份。单线接入时,会选择某一个专线网关接入,而双线接入会分别接到2个专线网关。而对接方式提供2种,静态路由和BGP。
这里有几个疑问:专线是否可以比2根多?是否可以多线接入同1个专线网关?多线是否可以从客户机房的同1台路由器接入连出来?
当然,上面画出来的,只是几种典型的场景,如果有多个客户机房都要连到同一个region,便会存在多线。但是云侧只会提供每region2个专线网关,保证冗余即可,线路如何分配客户可以自行决定。如果需要多线只接入1个专线网关,那当然是可以的。但是多线本身就是出于冗余的考虑,如果接入同一个专线网关,网关本身故障多线同时中断,就无法发挥它的价值了。客户侧亦是如此,如果从同一台连出,必然存在单点问题。
当存在多条专线时,专线的冗余模式和自动切换便是我们所追求,使用BGP对接,切换的方式更灵活。
单线接入的方式比较简单,就不打开看了。下面重点看看双线接入场景下的配置问题。
双线静态接入:
双专线静态接入的场景,客户的2台CPE分别与华为云的2个专线网关对接,对接IP地址由客户指定。专线网关静态配置路由,将客户机房的网段指向CPE,而CPE将VPC的网段指向专线网关。专线网关内部会完成冗余。
Ø CPE往专线网关方向,正常情况下流量是分担或者是主备,由客户自己指定,当任意一跟线路中断,客户机房需要保证流量能在CPE之间冗余
Ø 专线网关往CPE方向,正常情况下,专线网关会根据就近原则选择线路发送,当任意一跟线路中断,专线网关会完成冗余
双线动态接入:
双专线动态接入场景,客户的2台CPE与专线网关之间建立BGP,专线网关之间亦建立BGP。专线网关将VPC的subnet以BGP的方式发送给CPE,而CPE将IDC的subnet以BGP方式发送给专线网关。
Ø CPE往专线网关方向,客户可自行配置本地优先级,决定线路是主备或者是主主。当某线路故障情况下通过BGP自动切换
Ø 专线网关往CPE方向,专线网关无法感知客户业务,客户可自行通过调整as-path的值,影响专线网关的选路规则,从而决定线路是主备或者是主主。当某线路故障,BGP可自行切换
专线网关到VPC内部。单根专线或者是多根专线接入到专线网关后,专线网关连接到后端的VPC,可分为2种场景:
Ø 接入访问1个VPC
Ø 接入访问多个VPC
专线接入访问1个VPC,是天然就支持的场景(因为申请专线时就已经指定要访问哪一个VPC),在此不再累述。
针对于客户专线要访问多个VPC的诉求,华为云提供了transit VPC的方案,可以通过某一个VPC,连通到其他的VPC。
如图举例:
假设IDC网段为10.20.0.0/16,客户在云上规划10.10.0.0/16,云上有多个VPC,每一个VPC分配1个C类地址,希望通过专线访问到所有的VPC。
配置方案:
Ø 指定1个VPC为transit VPC,申请专线访问transit VPC,专线侧将10.10.0.0/16都指向transit VPC
Ø Transit VPC跟其他VPC之间通过peering对接,将各个VPC的subnet指向各个VPC
Ø 各个VPC将IDC的subnet通过peering指向transit VPC
如此便可实现互通。
来源:华为云社区 作者:Harvey_Zhao