阿里云互通AWS全球region解决方案
一、背景说明我们公司是做全球化业务的公司,在中国我们用的阿里云,在海外我们使用AWS,中国访问海外的region资源,这是最基本的需求之一,在运维层面,领导要求一套平台实现全球管理,也就是说我们的监控、发布、跳板机等等所有运维工具只部署一套,再加上我们每个region有三个VPC,VPC之间默认是隔离的,我们在海外目前有两个region,也就是6个VPC,如果要从国内阿里云拉专线到海外,实现访问海外所有VPC,那需要拉6根专线,只似乎有点不现实,了解到AWS十月份出了一个直连网关的服务,只要拉一条专线到AWS海外的任意一个region,就可以实现专线到海外AWS任意region的所有VPC互通,关于直连网关使用限制和详细介绍:https://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/direct-connect-gateways.html
二、架构图
我们国内阿里云是在华北2,海外两个AWS的region分布在加利福尼亚和法兰克福,所以我们选择AWS的新加坡region作为专线的接入点,在新加坡建立直连网关,AWS的其他region分别关联到这个直连网关
https://s1.运维网.com/images/blog/201801/08/3caa893a85237c004a454ec69a35f7a0.png
三、实施
1、阿里侧
选择一家专线提供商,开始实施,专线厂商都会有阿里云上配置的操作手册,按文档操作完成后,会在阿里云的高速通道--》物理专线连接--》边界路由器里面会生成一个边界路由器;在高速通道--》专有网络连接--》路由器接口里面生成两个路由接口,一个是边界路由接口,一个是VPC路由接口。
a、在高速通道--》物理专线连接--》边界路由器--》选择刚才生成的边界路由器,这里需要做的操作就是添加路由,一条路由是指向阿里云VPC的,下一跳是VPC路由接口;其他路由是指向专线方向的,下一跳是边界路由接口
https://s1.运维网.com/images/blog/201801/08/97580466cd099b1d3a6c1604d799a2e0.png
b、在高速通道--》专有网络连接--》路由器接口--》选择刚才生成的VPC路由接口,配置路由,目标网段就是AWS的VPC网段,下一跳就是刚才生成的VPC路由接口
https://s1.运维网.com/images/blog/201801/08/20532e35fbc09f022a19ecb9af00e07a.png
c、配置阿里云的安全组,放行AWS的6个vpc网段访问
2、AWS侧
a、在每个region新建虚拟专用网关并关联VPC(在法兰克福和加利福尼亚分别操作)
在VPC控制面板,创建虚拟专用网关,ASN号使用默认即可
https://s1.运维网.com/images/blog/201801/08/d433ba397c81619fdbf1ba38e0f01f44.png
然后选中刚才建的虚拟专用网关,操作---》附加到VPC,即可关联到VPC
https://s1.运维网.com/images/blog/201801/08/f4153c55a68d26a5142b83b9cec46cad.png
b、在新加坡新建直连网关,需要注意的是直连网关的ASN号,必须是有效范围内的(在新加坡操作)
https://s1.运维网.com/images/blog/201801/08/fa646d6ecd1d00391d2a5e4455ff5de6.png
c、当专线厂商给我们开通专线以后,会在AWS的Direct Connect服务里面开通一个虚拟接口,我们在接受虚拟接口时需要注意,一定要关联到上面建的直连网关,这是最关键的一步,在没有直连网关之前都是关联到虚拟专用网关,从而也就限制了专线只能访问到关联该虚拟专用网关的VPC(在新加坡操作)
https://s1.运维网.com/images/blog/201801/08/d682f758dfe9d252b5a79d04c7e7e008.png
d、当虚拟接口成功关联到直连网关之后,会在直连网关的虚拟接口附件显示(在新加坡操作)
https://s1.运维网.com/images/blog/201801/08/7d8feffc16e15c4413e4af621c015f5b.png
e、把虚拟专用网关关联到直连网关(在法兰克福和加利福尼亚分别操作)
https://s1.运维网.com/images/blog/201801/08/acf5ac1da909593c8480139d53315dc6.png
当状态变成"associated”说明已经关联成功
https://s1.运维网.com/images/blog/201801/08/50f90b56b6026e9ef6204459176b33a0.png
f、分别配置每个VPC的路由表,添加到阿里云VPC的路由策略,下一跳选择虚拟专用网关(在法兰克福和加利福尼亚分别操作)
https://s1.运维网.com/images/blog/201801/08/87bf1f536a349ecae3b13e3072ce1b17.png
g、配置ec2的安全组,添加阿里云VPC网段白名单
至此,所有的配置工作已经完成,我们已经可以从阿里云访问到aws的法兰克福和加利福尼亚的任意VPC了。
https://s1.运维网.com/images/blog/201801/08/122938da8913494d05b8a152c6cc5fcc.png
页:
[1]