閱讀514 返回首頁    go 阿裏雲

經典網絡專線接入__使用金融雲產品_金融雲-阿裏雲

本篇文章主要針對的是杭州金融雲經典網絡專線接入,金融雲VPC集群的專線接入可參考VPC物理專線接入

為了實現企業與阿裏雲機房的互通,金融雲經典網絡提專線接入支持。專線類型支持MSTP,一般網絡端口類型是RJ45。金融機構可以複用其與阿裏集團的現有專線鏈路,網絡上進行安全控製。也可新增一條物理鏈路,建立與阿裏集團的連接。機構間通過防火牆進行隔離。

接入流程

接入

接入主要分為三大部分

  1. 專線接入申請。目前金融雲經典網絡隻在杭州有專線接入點。如需要進行專線接入需要提交工單,選擇工單類型:“金融雲相關問題 > 申請專線/VPN接入”。在工單中阿裏雲會提供《金融雲專線接入申請表》,用戶填寫完畢上傳後,後台進行申請審批,審批完工後會返回給用戶唯一的阿裏鏈路ID:如:LL-20161124112421450。

  2. 聯係運營商進行專線施工。

    專線施工,需要與運營商協商專線價格及服務協議等事項。

  3. 提交工單進行專線業務接入申請。

    1. 進行業務接入申請的前提是物理鏈路已經到位並測試通過,需用戶在工單中已提交專線施工完畢的完工報告,同時提交鏈路PING通對端的截圖。

    2. 填寫金融雲業務需求申請表,通過控製台的工單模塊提交到阿裏雲,選擇工單類型:“金融雲相關問題 > 申請專線/VPN接入”。

所有專線接入過程,都是通過工單形式交互,阿裏網工暫不提供電話支持。專線施工時,運營商員工會向阿裏網工協商施工時間、技術支持等事項。

在經典網絡環境下,專線接入成功後,會由阿裏雲分配幾個互聯IP地址,機構與金融雲之間的訪問需要通過分配的IP地址進行,也就是需要在機構側配置NAT轉換。例如從機構主動發起到金融雲的訪問,需要把源地址轉換成分配的互聯地址(源NAT,如下圖);從金融雲主動發起到機構的訪問,需要把目的地址轉換成機房內部的地址(目的NAT)。因為阿裏雲分配的IP地址個數有限,必要時需要結合目的IP和端口轉換到機構內部的某個服務。

從機構訪問金融雲上的ECS服務器,還需要在ECS上進行防火牆配置(安全組),允許來自機構側互聯IP地址(阿裏雲分配)的訪問。機構側的防火牆也應進行相應的安全配置。

其它說明

支持運營商

  1. 目前杭州經典網絡專線隻支持電信和聯通運營商線路,暫不支持移動線路的接入;

接入周期

  1. 專線接入周期,市內鏈路1個月左右,省際鏈路1個半月左右,具體以運營商施工時間為準。

  2. 專線業務對接周期:在鏈路狀態已經為調通狀態下,三個工作日完成網絡相關配置。 一般在周二/周四兩個變更窗口實施操作。

線路備份

  1. 如果對線路備份有要求,可以同時接入雙運營商線路。這兩條線路可以同時承擔業務流量,當故障發生時,一條線路上的流量會自動切換到另一條線路;
  2. 每條專線都由阿裏雲分配了固定的接入IP地址,每條專線上傳輸的流量是由IP地址控製的,所以能夠做到線路的雙活。阿裏側檢測到線路故障,會自動把兩條專線的IP地址都合並到健康的專線上,用戶的網絡配置也需要支持此種模式;
  3. 雙線都接入後,建議進行故障演練。

地址規劃

由於金融雲經典網絡的IP地址均統一由阿裏雲規劃,而且阿裏雲會為每一個客戶初始化分配一個掩碼為/29 的IP地址段,共8個地址。可根據ECS的實際數量進行IP地址擴容。

擴容規則如下:

10台>ECS數量 > 0 台 隻分配8個業務IP

100台>ECS數量 >10 台 每增加10台可新增8個業務IP

1000台>ECS數量>100台 每增加100台可新增64個IP地址,最多隻能申請254個IP地址。

費用

  1. 專線費用需要與運營商洽談,非浙江省為長途專線;
  2. 如果已經與阿裏雲建立專線,則新業務可以複用原來的專線,必要時進行擴容;
  3. 阿裏雲把專線上的數據流量和帶寬視為內網流量,不收取任何費用。

常見問題

Q:金融雲是否支持專線接入?如果支持的話,支持何種線路?如何收費?

A:支持專線接入,接入點位於杭州,隻支持電信、聯通。接口方式為MSTP和千兆光纖專線接入時,阿裏雲不進行任何收費,物理鏈路的費用需要用戶自行與運營商進行洽談,金融雲配合物理接入機房並參與網絡聯調;

另外,如果用戶與支付寶已有專線鏈路連接,金融雲也支持用戶複用該鏈路。接入點位於杭州,支持電信、聯通運營商,接口類型為MSTP,暫時不支持SDH的接入。

Q:專線接入對帶寬的要求是什麼?

A:用戶根據自己的實際情況計算所需內網專線帶寬bps,TPS(筆/秒) X 每秒交易大小(KB) X 8/1000,帶寬接口類型推薦如下:

2M 及以上推薦MSTP。

Q:是否支持NAT服務?

A:由於金融雲暫不比較NAT服務,所以不支持業務地址由客戶來規劃,統一由阿裏雲統一規劃。

Q:金融雲如何與支付寶業務對接?

A:金融雲與支付寶對接已經不支持直接通過內網地址進行通訊,目前的方案是通過阿裏的ABTN網絡互通,要求被訪問端具體公網的負載均衡地址,請求訪問端需要具體出公網的環境。

簡單來說:

支付寶訪問金融雲,用戶需要有SLB的公網VIP,在SLB的公網VIP上打開支付寶公網出口地址的白名單,保證訪問的安全。

金融雲訪問支付寶,就要求金融雲ECS具備公網地址,同時支付寶具備有LVS的VIP,這個VIP一般是互聯網VIP開443的端口訪問。如果是其它非標希望不暴露到公網的形式,可以開辦公網VIP,加白名單的方式實現,具體的地址用戶可以谘詢支付寶方麵谘詢。

Q:金融雲的專線複用說明

A:金融雲的專線和支付寶的專線由於分屬於不同的安全域,因此不能夠相互進行複用,所以在申請線路的時候一定要明確線路是對接到金融雲還是對接到支持寶,否則後續會造成無法對接的情況。

Q:專線聯調時,如果阿裏雲訪問機構不通怎麼辦?

A:需機構網工確認,是否機構端已做好表格中應用調用的VIP到機構真實IP的防火牆策略,阿裏雲出口未做策略限製。

Q:專線聯調時,如果機構訪問阿裏雲不通怎麼辦?

A:首先,確認您在阿裏雲上的雲盾防火牆是否打開,ECS安全組默認不允許任何源訪問,其次,確認您的機構是否已完成機構端客戶端到表格中NAT_IP的映射,您可以通過telnet命令進行驗證端口是否已打開,詳細操作請參考https://bbs.aliyun.com/read/157768.html?spm=5176.7189909.0.0.kLl0cY

Q:發起網絡申請後,多久能得到反饋?

A:網工會在24小時內響應工單、反饋配置表,用戶請先完成ECS防火牆、機構防火牆的策略設置,阿裏雲的策略生效日在每周二、四的晚上。整個聯調完成按照經驗值,專線需要3-5工作日。

最後更新:2016-12-13 16:31:19

  上一篇:go 經典網絡IPSecVPN接入__使用金融雲產品_金融雲-阿裏雲
  下一篇:go 安全組配置(經典網絡)__使用金融雲產品_金融雲-阿裏雲