阅读514 返回首页    go 新东方

经典网络专线接入__使用金融云产品_金融云-阿里云

本篇文章主要针对的是杭州金融云经典网络专线接入,金融云VPC集群的专线接入可参考VPC物理专线接入

为了实现企业与阿里云机房的互通,金融云经典网络提专线接入支持。专线类型支持MSTP,一般网络端口类型是RJ45。金融机构可以复用其与阿里集团的现有专线链路,网络上进行安全控制。也可新增一条物理链路,建立与阿里集团的连接。机构间通过防火墙进行隔离。

接入流程

接入

接入主要分为三大部分

  1. 专线接入申请。目前金融云经典网络只在杭州有专线接入点。如需要进行专线接入需要提交工单,选择工单类型:“金融云相关问题 > 申请专线/VPN接入”。在工单中阿里云会提供《金融云专线接入申请表》,用户填写完毕上传后,后台进行申请审批,审批完工后会返回给用户唯一的阿里链路ID:如:LL-20161124112421450。

  2. 联系运营商进行专线施工。

    专线施工,需要与运营商协商专线价格及服务协议等事项。

  3. 提交工单进行专线业务接入申请。

    1. 进行业务接入申请的前提是物理链路已经到位并测试通过,需用户在工单中已提交专线施工完毕的完工报告,同时提交链路PING通对端的截图。

    2. 填写金融云业务需求申请表,通过控制台的工单模块提交到阿里云,选择工单类型:“金融云相关问题 > 申请专线/VPN接入”。

所有专线接入过程,都是通过工单形式交互,阿里网工暂不提供电话支持。专线施工时,运营商员工会向阿里网工协商施工时间、技术支持等事项。

在经典网络环境下,专线接入成功后,会由阿里云分配几个互联IP地址,机构与金融云之间的访问需要通过分配的IP地址进行,也就是需要在机构侧配置NAT转换。例如从机构主动发起到金融云的访问,需要把源地址转换成分配的互联地址(源NAT,如下图);从金融云主动发起到机构的访问,需要把目的地址转换成机房内部的地址(目的NAT)。因为阿里云分配的IP地址个数有限,必要时需要结合目的IP和端口转换到机构内部的某个服务。

从机构访问金融云上的ECS服务器,还需要在ECS上进行防火墙配置(安全组),允许来自机构侧互联IP地址(阿里云分配)的访问。机构侧的防火墙也应进行相应的安全配置。

其它说明

支持运营商

  1. 目前杭州经典网络专线只支持电信和联通运营商线路,暂不支持移动线路的接入;

接入周期

  1. 专线接入周期,市内链路1个月左右,省际链路1个半月左右,具体以运营商施工时间为准。

  2. 专线业务对接周期:在链路状态已经为调通状态下,三个工作日完成网络相关配置。 一般在周二/周四两个变更窗口实施操作。

线路备份

  1. 如果对线路备份有要求,可以同时接入双运营商线路。这两条线路可以同时承担业务流量,当故障发生时,一条线路上的流量会自动切换到另一条线路;
  2. 每条专线都由阿里云分配了固定的接入IP地址,每条专线上传输的流量是由IP地址控制的,所以能够做到线路的双活。阿里侧检测到线路故障,会自动把两条专线的IP地址都合并到健康的专线上,用户的网络配置也需要支持此种模式;
  3. 双线都接入后,建议进行故障演练。

地址规划

由于金融云经典网络的IP地址均统一由阿里云规划,而且阿里云会为每一个客户初始化分配一个掩码为/29 的IP地址段,共8个地址。可根据ECS的实际数量进行IP地址扩容。

扩容规则如下:

10台>ECS数量 > 0 台 只分配8个业务IP

100台>ECS数量 >10 台 每增加10台可新增8个业务IP

1000台>ECS数量>100台 每增加100台可新增64个IP地址,最多只能申请254个IP地址。

费用

  1. 专线费用需要与运营商洽谈,非浙江省为长途专线;
  2. 如果已经与阿里云建立专线,则新业务可以复用原来的专线,必要时进行扩容;
  3. 阿里云把专线上的数据流量和带宽视为内网流量,不收取任何费用。

常见问题

Q:金融云是否支持专线接入?如果支持的话,支持何种线路?如何收费?

A:支持专线接入,接入点位于杭州,只支持电信、联通。接口方式为MSTP和千兆光纤专线接入时,阿里云不进行任何收费,物理链路的费用需要用户自行与运营商进行洽谈,金融云配合物理接入机房并参与网络联调;

另外,如果用户与支付宝已有专线链路连接,金融云也支持用户复用该链路。接入点位于杭州,支持电信、联通运营商,接口类型为MSTP,暂时不支持SDH的接入。

Q:专线接入对带宽的要求是什么?

A:用户根据自己的实际情况计算所需内网专线带宽bps,TPS(笔/秒) X 每秒交易大小(KB) X 8/1000,带宽接口类型推荐如下:

2M 及以上推荐MSTP。

Q:是否支持NAT服务?

A:由于金融云暂不比较NAT服务,所以不支持业务地址由客户来规划,统一由阿里云统一规划。

Q:金融云如何与支付宝业务对接?

A:金融云与支付宝对接已经不支持直接通过内网地址进行通讯,目前的方案是通过阿里的ABTN网络互通,要求被访问端具体公网的负载均衡地址,请求访问端需要具体出公网的环境。

简单来说:

支付宝访问金融云,用户需要有SLB的公网VIP,在SLB的公网VIP上打开支付宝公网出口地址的白名单,保证访问的安全。

金融云访问支付宝,就要求金融云ECS具备公网地址,同时支付宝具备有LVS的VIP,这个VIP一般是互联网VIP开443的端口访问。如果是其它非标希望不暴露到公网的形式,可以开办公网VIP,加白名单的方式实现,具体的地址用户可以咨询支付宝方面咨询。

Q:金融云的专线复用说明

A:金融云的专线和支付宝的专线由于分属于不同的安全域,因此不能够相互进行复用,所以在申请线路的时候一定要明确线路是对接到金融云还是对接到支持宝,否则后续会造成无法对接的情况。

Q:专线联调时,如果阿里云访问机构不通怎么办?

A:需机构网工确认,是否机构端已做好表格中应用调用的VIP到机构真实IP的防火墙策略,阿里云出口未做策略限制。

Q:专线联调时,如果机构访问阿里云不通怎么办?

A:首先,确认您在阿里云上的云盾防火墙是否打开,ECS安全组默认不允许任何源访问,其次,确认您的机构是否已完成机构端客户端到表格中NAT_IP的映射,您可以通过telnet命令进行验证端口是否已打开,详细操作请参考https://bbs.aliyun.com/read/157768.html?spm=5176.7189909.0.0.kLl0cY

Q:发起网络申请后,多久能得到反馈?

A:网工会在24小时内响应工单、反馈配置表,用户请先完成ECS防火墙、机构防火墙的策略设置,阿里云的策略生效日在每周二、四的晚上。整个联调完成按照经验值,专线需要3-5工作日。

最后更新:2016-12-13 16:31:19

  上一篇:go 经典网络IPSecVPN接入__使用金融云产品_金融云-阿里云
  下一篇:go 安全组配置(经典网络)__使用金融云产品_金融云-阿里云