一、背景说明
我们公司是做全球化业务的公司,在中国我们用的阿里云,在海外我们使用AWS,中国访问海外的region资源,这是最基本的需求之一,在运维层面,领导要求一套平台实现全球管理,也就是说我们的监控、发布、跳板机等等所有运维工具只部署一套,再加上我们每个region有三个VPC,VPC之间默认是隔离的,我们在海外目前有两个region,也就是6个VPC,如果要从国内阿里云拉专线到海外,实现访问海外所有VPC,那需要拉6根专线,只似乎有点不现实,了解到AWS十月份出了一个直连网关的服务,只要拉一条专线到AWS海外的任意一个region,就可以实现专线到海外AWS任意region的所有VPC互通,关于直连网关使用限制和详细介绍:https://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/direct-connect-gateways.html
二、架构图
我们国内阿里云是在华北2,海外两个AWS的region分布在加利福尼亚和法兰克福,所以我们选择AWS的新加坡region作为专线的接入点,在新加坡建立直连网关,AWS的其他region分别关联到这个直连网关
三、实施
1、阿里侧
选择一家专线提供商,开始实施,专线厂商都会有阿里云上配置的操作手册,按文档操作完成后,会在阿里云的高速通道--》物理专线连接--》边界路由器里面会生成一个边界路由器;在高速通道--》专有网络连接--》路由器接口里面生成两个路由接口,一个是边界路由接口,一个是VPC路由接口。
a、在高速通道--》物理专线连接--》边界路由器--》选择刚才生成的边界路由器,这里需要做的操作就是添加路由,一条路由是指向阿里云VPC的,下一跳是VPC路由接口;其他路由是指向专线方向的,下一跳是边界路由接口
b、在高速通道--》专有网络连接--》路由器接口--》选择刚才生成的VPC路由接口,配置路由,目标网段就是AWS的VPC网段,下一跳就是刚才生成的VPC路由接口
c、配置阿里云的安全组,放行AWS的6个vpc网段访问
2、AWS侧
a、在每个region新建虚拟专用网关并关联VPC(在法兰克福和加利福尼亚分别操作)
在VPC控制面板,创建虚拟专用网关,ASN号使用默认即可
然后选中刚才建的虚拟专用网关,操作---》附加到VPC,即可关联到VPC
b、在新加坡新建直连网关,需要注意的是直连网关的ASN号,必须是有效范围内的(在新加坡操作)
c、当专线厂商给我们开通专线以后,会在AWS的Direct Connect服务里面开通一个虚拟接口,我们在接受虚拟接口时需要注意,一定要关联到上面建的直连网关,这是最关键的一步,在没有直连网关之前都是关联到虚拟专用网关,从而也就限制了专线只能访问到关联该虚拟专用网关的VPC(在新加坡操作)
d、当虚拟接口成功关联到直连网关之后,会在直连网关的虚拟接口附件显示(在新加坡操作)
e、把虚拟专用网关关联到直连网关(在法兰克福和加利福尼亚分别操作)
当状态变成"associated”说明已经关联成功
f、分别配置每个VPC的路由表,添加到阿里云VPC的路由策略,下一跳选择虚拟专用网关(在法兰克福和加利福尼亚分别操作)
g、配置ec2的安全组,添加阿里云VPC网段白名单
至此,所有的配置工作已经完成,我们已经可以从阿里云访问到aws的法兰克福和加利福尼亚的任意VPC了。
原文地址:http://blog.51cto.com/navyaijm/2058643