983
上雲實踐之使用VPN網關輕鬆構建混合雲
在2017阿裏雲網絡技術高峰論壇上,阿裏雲VPN網關產品經理奈玟分享主題《使用VPN網關輕鬆構建混合雲》。奈玟,阿裏雲VPN網關產品經理,有七年的網絡相關開發和設計經驗,最開始是做傳統網絡路由器交換機的傳統協議,2012年在傳統交換機上實現了OpenFlow 1.0協議,由此開始轉到雲網絡。本文介紹的內容包括混合雲概念、混合雲私網構建、VPN網關產品簡介和應用場景以及VPN網關搭建混合雲架構的實戰演示。
混合雲簡介
十年前,幾乎所有的IT企業都是選擇自建IDC,但是自建IDC十分複雜且成本巨大,不僅需要考慮風火水電煤、選址、廠房、采購和搭建等問題,還需要企業自己來運維和運營。由於雲上資源利用率高,在同等性能規格下,租用雲服務器的成本僅為IDC的1/3,此外IDC設備更新周期長,涉及采購、運輸、安裝等,通常一次擴容需要3個月左右,在業務發展很快的情況下不可能等這麼久。雲的出現很好地解決了這些痛點,憑借極強的編排能力和彈性負載能力以及極高的性價比,雲很好地滿足了業務快速發展的需要。
在企業已有自建IDC的條件下,可以通過三種方式實現雲化:一是公有雲,相當於割肉方式,把已經投入的IDC重資產全部舍棄,再重新上雲;二是私有雲,相當於手術方式,把已有的數據中心雲化,需要進行痛苦的改造;三是混合雲,指仍然保留自建IDC,讓其去負載正常水位的服務,而彈性部分則放到雲上。
混合雲對於已有自建IDC的企業實現雲化有很大的好處:按需定製,滿足業務的個性化需求;多級容災,能夠規避單一的采購商風險;兼得私有環境安全獨立的優勢和公有雲彈性伸縮、快速編排定製的優勢;最後,對已有的IT重資產最大化的保護和利用,極大降低成本。
IDC和雲網絡的連接
想要在已有IDC的情況下構建混合雲,需要把IDC與雲網絡連接起來。一般來說,IDC和雲網絡的連接有兩種方式:公網通信和私網通信,公網通信就是通過Internet訪問,私網通信是在IDC和公有雲之間建設一條私有專用通信線路。
對比分析公網通信和私網通信,可以發現:
- 公網通信必須使用公網IP、帶寬等網絡資源,私網卻可以自己規劃私有IP等資源;
- 公網環境較為複雜,私網則為專用網絡;
- 公網限製較多,私網能夠自定義限製;
- 成本方麵,大規模場景下,私網相對於公網占用的收費資源更少,更省錢;
- 安全方麵很明顯專網不受外界幹擾更安全。
私網產品對比
通過上麵的比較能夠看出,混合雲場景下私網具有絕對優勢。私網通信包括兩類產品:專線(高速通道)和VPN,兩者沒有絕對的優劣,隻是所針對的客戶定義不同。
專線就是自建高速公路,具有網絡帶寬高、時延低的優點,但是建設周期長,成本更高;VPN就是在公有網絡上承包一條線路作為專用,價格更為經濟便宜,而且即開即用,但是時延相對專線來說更高。
VPN網關產品是基於Internet所搭建的專用隧道,特點鮮明:
- 首先是安全,產品采用標準IPSec-VPN協議,能夠認證數據來源、數據加密、防篡改、抗重放,且VPN基於租戶隔離;
- 其次是高可靠,雲端的VPN網關節點雙機熱備,實時同步,主節點掛了會自動切換到備節點;
- 再次是便捷,快速搭建、即開即用,可以在10分鍾內輕鬆搭建混合雲網絡;
- 最後是價格,可以稱得上是公網的價格,私網的享受,價格僅為高速通道的40%~60%。
VPN網關的應用場景
VPN網關的應用場景主要包括以下四類:VPC和IDC對接、跨地域VPC互連、線下多門店接入、雲上多門店接入總部。
應用場景1 VPC和IDC對接
這類應用適用的場景是傳統IDC負載正常水位業務,公有雲負載彈性部分業務。比如具有波峰、波穀特點明顯的票務係統。通過基於公網搭建的專用隧道、VPN網關雙機熱備、Ipsec協議協商和加密,可以充分實現傳統業務向雲上的平滑遷移,同時雲上的超大資源池能夠作為彈性負載。
應用場景2 跨地域VPC互連
這類應用適用的場景是一個企業在雲上有多個VPC,每個VPC放在不同地域,實現跨地域容災備份的同時客戶就近接入降低網絡時延和跨地域容災備份。跨地域VPC之間的互聯是基於阿裏雲骨幹網所搭建的專用隧道而不是Internet,進一步提高了跨地域VPC互訪的質量。
應用場景3 線下多門店接入
這類應用適合具有很多分支的多門店係統或連鎖機構,如金融、保險、酒店業等。總部係統部署在雲上VPC內,線下分支通過VPN和雲上VPC對接,可以滿足企業門店分支快速擴張的需求。
應用場景4 雲上多門店接入總部
這類應用與場景3正相反,也同樣適用於具有很多分支的多門店係統或連鎖機構,但是它的總部部署在IDC內,每個門店分支係統部署在獨立的VPC中,每個門店分支之間的網絡二層隔離。增加一個門店分支隻需要10分鍾即可完成門店IT係統部署:在公有雲上開通一個VPC、ECS集群等資源部署門店,最後通過VPN和IDC對接即可完成,能夠快速適應門店擴張需求。本場景下即將推出的私網NAT(可以指定源地址接入),總部就可以方便快速地識別業務具體來自哪一個門店。
實操演示:通過VPN搭建一個混合雲網絡
分享最後以具體操作演示了通過山石網科防火牆,雲上VPC和雲下IDC是如何實現IPSEC-VPN對接的。如上圖所示,左邊為雲上VPC,且VPC上有多台ECS,右邊是雲下IDC,IDC裏包含傳統的服務器,兩端都是私網口。首先需要分別登陸兩台服務器,因為雲端和線下IDC都是私網口,在私網未打通的情況下是無法互通的,所以需要購買一個VPN網關,再通過公網實現對接,打通這兩端的私網。
第一步:創建雲上VPN網關,要選擇對應的地域和VPC,購買支付後就可以在控製台看到所選擇的VPN網關,示例中的公網IP地址是118,所以在搭建時會把環境要素集成到表格中(如上表所示),右邊指的是網絡信息(包括雲上和雲下,私網IP段和公網IP地址),左邊指的是協議信息(創建VPN連接和線下配置);第二步:創建用戶網關,用戶網關裏的IP地址就是雲下VPN網關的公網地址;第三步:創建VPN連接,設置網關地址;第四步:在雲上創建路由,從ECS視角來看,路由就是指到雲下的私網地址和雲上的網關地址相同。這時候雲上就創建完成了,再登錄雲下的VPN網關,對應雲上進行相應配置。然後再配備IKE VPN配置,VPN協議的配置就完成了。然後還需要創建安全域(策略是基於安全域的,所以每個VPN都要創建安全域)和隧道口,把隧道口加到所創建的安全域中協議就通了,但這時候流量仍是不通的,所以要人工放行從公網到私網以及反過來的策略,所以這時候就可以最終互通互聯了。這個案例隻展示了實際操作的一部分細節,更多內容請參見官網。
****目前VPN網關公測已結束,新用戶現在購買即可享受五折優惠,活動有效期:2017/9/18-2017/11/17,進入官網立享。****
最後更新:2017-09-28 15:33:24