446
技術社區[雲棲]
阿裏雲VPC私網連接技術白皮書
概要
阿裏雲專有網絡VPC(Virtual Private Cloud)是您基於阿裏雲構建的一個隔離的網絡環境,專有網絡之間邏輯上徹底隔離。您能夠在自己定義的虛擬網絡中使用阿裏雲資源,例如選擇自己的IP地址範圍、劃分網段、配置路由表和網關等,從而實現安全而輕鬆的資源訪問和應用程序訪問。
阿裏雲提供多種將VPC和其他私有網絡打通的連接選項和高級功能,幫助您安全高效地訪問部署在VPC上的內部應用。本文介紹以下私網互連場景和可選的網絡產品,幫助您在不同的需求場景選擇對應的產品構建合適的企業私有網絡。
|
場景 |
產品 |
描述 |
優點 |
缺點 |
|
企業IDC與VPC互連 |
VPN網關 |
IDC網絡通過基於internet的IPSec-VPN加密隧道連接到VPC網絡 |
低成本 安全 即開即用 |
網絡質量受internet影響 |
|
高速通道 |
IDC網絡通過物理專線連接到VPC網絡 |
網絡質量好 帶寬高 |
成本高 開通時間長 |
|
|
雲市場VPN軟件 |
在雲市場購買VPN網關並部署到VPC內,IDC網絡通過基於internet的IPSec-VPN加密隧道連接到VPC網絡, |
安全 可選VPN軟件 即開即用 |
成本中 自己搭建、運維 網絡質量受internet影響 |
|
|
企業IDC-VPC高級連接 |
高速通道雙鏈路冗餘 |
建立2條高速通道,兩條線路通過等價路由的方式實現雙活 |
網絡質量好 故障無縫切換 可靠性高 |
成本高 |
|
高速通道+VPN雙鏈路冗餘(即將推出) |
主用高速通道,故障時自動切換為VPN鏈路 |
成本低 網絡質量好 可靠性高 |
大帶寬時可能帶寬不匹配 |
|
|
私網NAT網關+高速通道接入VPC(工單申請) |
通過NAT功能實現對內部網絡更好的掌控 |
私網NAT網關暫無法購買,工單谘詢“VPN產品組” |
- |
|
|
私網NAT網關+VPN網關接入VPC(工單申請) |
通過NAT功能實現對內部網絡更好的掌控 |
私網NAT網關暫無法購買,工單谘詢“VPN產品組” |
- |
|
|
同地域VPC互連 |
高速通道 |
同地域2個VPC連接到高速通道路由接口實現互通 |
免費 大帶寬 即開即用 |
無 |
|
跨地域VPC互連 |
VPN網關 |
通過基於internet加密的IPSec-VPN隧道實現跨地域多VPC互連 |
低成本 安全 即開即用 |
帶寬低 網絡質量受internet影響 |
|
高速通道 |
通過阿裏雲骨幹網,實現跨地域多VPC互連 |
高帶寬 低時延 即開即用 |
成本高 |
|
|
用戶遠程接入VPC |
VPN網關(即將推出) |
遠程撥號接入阿裏雲SSL-VPN服務器 |
低成本 可靠 易配置部署 |
|
|
雲市場SSL-VPN軟件 |
雲市場購買SSL-VPN軟件並部署到VPC,遠程撥號接入阿裏雲VPN服務器 |
可選豐富的SSL-VPN軟件/鏡像 |
成本高 可靠性低 自己搭建、運維 |
企業VPC-IDC互通
您可以將雲上專有網絡(VPC)和雲下IDC網絡私網連接並將兩部分應用組合起來構建混合雲架構。通過VPC和IDC之間安全可靠的連接,並借助阿裏雲海量的計算、存儲、網絡、CND、GBP資源,您可將按需按量實時將IDC本地的IT基礎架構無縫地擴展到阿裏雲上來處理業務波動。
VPN網關
阿裏雲VPC提供VPN網關產品,購買產品後包含VPN網關實例和internet IP,您可以在在IDC部署用戶網關並通過Internet和阿裏雲VPC內的VPN網關建立IPSec-VPN隧道實現IDC和VPC安全互連,如圖1所示。另外需要說明阿裏雲的VPN網關默認包含了2個不同的網關實例形成主備雙機熱備,主節點故障時自動切換到備節點,本文後續不再贅述。
圖 1
每個VPN網關支持10個VPN連接,如圖2所示,您可以購買一個VPN網關,最多連接到10個位於不同地域的IDC或者辦公點。如果超過10個連接,您需要購買多個VPN網關。
圖 2
最佳實踐參考:
高速通道
阿裏雲高速通道( Express Connect ) 服務,幫助您在VPC與自有數據中心間搭建私網通信通道,提高網絡拓撲的靈活性和跨網絡通信的質量和安全性。使用高速通道可以使您避免繞行公網帶來的網絡質量不穩定問題,同時可以免去數據在傳輸過程中被竊取的風險。
基於軟件自定義網絡(Software Defined Network,簡稱SDN)架構下的三層overlay技術和交換機虛擬化技術,阿裏雲將客戶的物理專線接入的端口隔離起來,並抽象成邊界路由器。通過目前主流的隧道技術,阿裏雲將客戶的數據包在交換機內部進行封裝,在用戶的物理專線和VPC的路由器之間加上隧道封裝,然後將數據傳輸到VPC內,如圖3所示。
圖 3
最佳實踐參考:
雲市場VPN軟件
阿裏雲雲市場有豐富的VPN軟件或鏡像可以選擇,通過雲市場購買VPN軟件後,需要另外購買ECS用以部署您購買的VPN軟件,還需要購買彈性公網IP用以通過Internet和您的IDC用戶網關進行連接。
圖 4
企業VPC-IDC互連高級功能
高速通道雙鏈路冗餘
您可以通過冗餘物理專線將 IDC 和阿裏雲 VPC 連接起來。實現一個更為高可靠、高效、彈性的內網互通。
圖 5
最佳實踐參考:
高速通道+VPN雙鏈路冗餘(即將上線)
您可以創建一條高速通道作為主用鏈路,再創建一條VPN鏈路作為備用鏈路。高速通道鏈路正常時使用主用鏈路保證IDC到VPC網絡帶寬和時延,而在主用鏈路異常時切換到VPN鏈路,既保證了鏈路質量和可靠性,又節省了網絡成本。
圖 6
NAT+高速通道接入(即將上線)
為了提高高速通道產品可擴展性,方便您更好地掌控您的私有網絡包括VPC端和IDC端,阿裏雲提供私網NAT功能,您可以在使用高速通道時,使用NAT網關指定從VPC到線下IDC的源地址,或者從IDC到VPC方向目的地址。另外需要說明阿裏雲的私網NAT網關默認包含了2個不同的網關實例形成主備雙機熱備,主節點故障時自動切換到備節點。
圖 7
NAT+VPN網關接入(即將上線)
同樣的,您可以在使用VPN網關時,使用NAT網關指定從VPC到線下IDC的源地址,或者從IDC到VPC方向目的地址。另外需要說明阿裏雲的私網NAT網關默認包含了2個不同的網關實例形成主備雙機熱備,主節點故障時自動切換到備節點。
圖 8
同地域VPC互連
高速通道
您可以在同地域創建多個VPC用以部署不同的應用,並通過阿裏雲高速通道將這些VPC互連。雖然使用了高速通道產品,但是流量是在阿裏雲內網傳輸,並不會傳輸到該地域外,也不會產生任何費用。
圖 9
實踐參考:
跨地域VPC互連
您可以在不同的地域創建VPC並部署您的應用,用以構建多地域服務網絡,實現就近提供服務降低網絡時延並相互備份提高整個係統的可靠性。阿裏雲高速通道和VPN網關都可以實現跨地域VPC互連。
高速通道
您可以通過阿裏雲高速通道實現跨地域VPC互連,高速通道支持位於相同地域或不同地域,同一賬號或不同賬號的VPC之間進行內網互通。阿裏雲通過在兩側VPC的路由器上分別創建虛擬路由器接口,以及自有的骨幹傳輸網絡來搭建高速通道,輕鬆實現兩個VPC之間安全可靠,方便快捷的通信。
圖 10
實踐參考:
VPN網關
您可以通過VPN網關實現跨地域、跨賬號的VPC互通,分別在2個VPC創建VPN網關,2個網關之間通過基於阿裏雲骨幹網的IPSec加密隧道來傳輸您的私網數據。安全可靠、高速高效地實現跨地域VPC互通。
圖 11
最佳實踐:
用戶遠程接入VPC
您可以將企業內部應用部署在阿裏雲VPC內,並提供網絡連接供內部員工通訪問內部係統。比如企業IT人員需要內網接入VPC運維管理、出差人員需要遠程接入VPC訪問企業應用。您可以通過VPN網關並開啟SSL-VPN功能或者雲市場購買VPN軟件/鏡像,並在遠程客戶端通過SSL-VPN客戶端撥號來接入VPC。
VPN網關(即將支持SSL-VPN)
您可以購買VPN網關並開啟SSL-VPN功能,配置並生成SSL證書後下載到本地客戶端,在客戶端通過internet在遠程撥號接入到VPC。輕鬆實現任何地點、任何設備隻要有internet網就可以接入到VPC。另外需要說明阿裏雲的SSL-VPN服務器默認包含了2個不同的網關實例形成主備雙機熱備,主節點故障時自動切換到備節點。
圖 12
雲市場購買SSL-VPN軟件
您可以在雲市場購買SSL-VPN軟件或者鏡像,再購買ECS用以部署購買的SSL-VPN服務器,另外再購買彈性公網IP用以客戶端從internet撥號接入。雲市場有豐富的SSL-VPN軟件、鏡像供您選擇。
最後更新:2017-10-28 15:03:33