一、先搞清楚:混合云网络打通,到底在解决什么问题?
你在本地数据中心(IDC)有一套业务系统,网段是10.0.0.0/24。你在天翼云上创建了一个VPC,子网是192.168.1.0/24。
现在你需要:VPC里的云主机能访问IDC里的数据库,IDC里的员工能调用VPC里的API。
但这两个网络,物理上是隔离的。互联网是公共的、不可控的、不安全的——你不可能把数据库端口直接暴露在公网上。
所以你需要一条"专属通道",让这两个私网像在同一个局域网里一样自由通信。
这条通道,就是混合云网络打通要解决的核心问题。
目前主流方案有两条路:
| 方案 | 本质 | 一句话总结 |
|---|---|---|
| 云专线 | 物理隔离的专属线路 | 修一条从你机房到云端的"私人高速公路" |
| VPN(IPsec) | 公网上的加密隧道 | 在公共互联网上挖一条"加密地道" |
二、云专线:关键业务的"生命线"
2.1 它是什么?
云专线是通过物理专线(OTN、MSTP等光纤线路),把你的本地数据中心和天翼云的VPC直接连起来。它的架构包含三个核心组件:
- 本地网关设备:部署在你机房,负责把内部流量汇聚并加密传输
- 专线接入点:运营商提供的物理端口,是本地与云端的交汇点
- 云端VPC:云上的逻辑隔离网络,通过专线与本地互通
这条线路与互联网逻辑隔离,数据不经过任何公共节点,彻底规避了互联网传输的不可控因素。
2.2 核心能力:为什么它是"关键业务的生命线"?
| 能力 | 指标 | 实战意义 |
|---|---|---|
| 超低时延 | 1-5ms以内 | 金融交易、工业控制等实时场景的刚需 |
| 弹性带宽 | 1G~100G按需扩容 | 某大型制造企业通过专线将生产线数据实时上云,带宽随业务动态调整 |
| 数据安全 | MACsec加密+物理隔离 | 数据传输过程中不被窃取或篡改,满足等保合规 |
| 高可用 | 双专线冗余,毫秒级切换 | 某金融机构主链路故障时,系统自动切到备链路,业务零中断 |
2.3 云专线的配置要点
第一步:开通专线接口
在控制台选择"云专线"产品,填写物理专线信息:对端位置(你的IDC所在位置)、接入点、接口类型(一般为光口)、带宽等。提交后等待状态变为"待确认",确认接入即开通。
第二步:创建边界路由器(VBR)
VBR是连接专线和VPC的关键设备。你需要:
- 绑定已开通的物理专线接口
- 配置VLAN ID(VLAN ID为0时使用三层路由口模式,每个物理专线对应一个VBR;VLAN ID为1~2999时,每个VLAN对应一个VBR,可实现二层隔离)
- 输入天翼云侧和客户侧的互联IP及子网掩码
第三步:创建VPC侧对等连接
在VPC控制台创建"VBR上连",配置路由器接口规格(如1000Mbps)、健康检查源IP和目的IP,等待状态变为"已激活"。
第四步:配置路由
- 在VBR上添加路由条目:下一跳类型选物理专线接口,目标网段填VPC内路由网段
- 在VPC路由表中添加静态路由:目标网段填IDC网段,下一跳选VBR实例
第五步:验证通信
从VPC内的云主机ping IDC内的服务器,收到回复即证明通信正常。
2.4 什么时候必须用云专线?
| 场景 | 原因 |
|---|---|
| 核心交易系统(银行支付、医院HIS) | 数据零丢失、时延<5ms是硬性要求 |
| PB级数据迁移 | 需要持续、稳定的高带宽通道 |
| 金融/政务合规 | 《网络安全法》等法规要求数据传输安全,专线是合规必备 |
| 大规模数据同步 | 专线带宽可达100G,远超VPN的公网带宽限制 |
三、VPN(IPsec):高性价比的"加密隧道"
3.1 它是什么?
IPsec VPN是一种基于互联网的加密隧道技术。它在你的IDC网关和天翼云VPN网关之间,通过IKE和IPsec协议建立安全联盟,对传输数据进行加密。
数据走的是公网,但被加密了——所以既安全,又便宜。
它由两部分组成:
- VPN网关:部署在天翼云VPC侧,提供公网出口
- 用户网关(对端网关):部署在你IDC侧,支持IKEv1/IKEv2和IPsec协议
3.2 核心优势:为什么80%的企业先选VPN?
| 优势 | 说明 |
|---|---|
| 高安全 | IKE+IPsec双重加密,电信级可靠机制,从硬件、软件、链路三层面保证稳定 |
| 低成本 | 不需要拉专线,利用公网构建加密通道,费用远低于云专线 |
| 即开即用 | IDC侧VPN设备简单配置即可对接,部署快速、实时生效 |
| 无缝扩展 | 业务快速上云,实现混合云部署 |
| 跨云互通 | 不仅能打通IDC和VPC,还能实现不同区域VPC互通,甚至与其他云服务商VPC互联(前提是对方也支持IPsec VPN) |
3.3 VPN的配置全流程
第一步:创建VPN网关
在天翼云控制台选择"VPN连接",创建VPN网关,选择网关规格(根据你的带宽需求),支付后即创建成功。
第二步:创建用户网关(对端网关)
在"IPsec VPN"页面创建用户网关,填写你IDC侧网关的公网IP、子网等信息。
关键约束:本地数据中心和VPC间互通的子网不能重叠。 比如VPC子网是192.168.1.0/24和192.168.2.0/24,那么IDC子网绝对不能包含这两个网段。同时,IDC待互通子网不能包含100.64.0.0/10和214.0.0.0/8。
第三步:创建IPsec连接
配置IKE版本(IKEv1或IKEv2)、加密算法(如AES128-SHA1-MODP3072)、ESP协议等。创建完成后,系统会生成对端配置信息,下载后导入到你IDC侧的VPN设备中。
第四步:配置路由(关键!)
这里有两种路由模式,选错了通信就不通:
| 路由模式 | 适用场景 | 配置方式 |
|---|---|---|
| 目的路由 | 大多数场景 | 需要在VPN网关中添加路由条目,并发布到VPC路由表 |
| 感兴趣路由 | 简化配置 | 无需手动配置路由,系统自动处理 |
推荐新手用"感兴趣路由",省心。
第五步:验证通信
从VPC内的云主机ping IDC内的服务器,收到回复即证明打通。
3.4 双活模式 vs 主备模式:别选错了
| 模式 | 适用场景 | 行为 |
|---|---|---|
| 双活模式 | IDC只有一个对端网关,且只能配一个IP | 两条隧道同时工作,一条故障自动切另一条,业务不受影响 |
| 主备模式 | IDC有两个对端网关,或一个网关能配两个IP | 默认走主链路,主链路故障自动切备链路,恢复后回切 |
某企业采用双活模式后,即使一条IPsec隧道因公网抖动中断,流量毫秒级切换到另一条隧道,业务零感知。
四、进阶方案:私网NAT网关 + 云专线,解决地址不信任问题
这是一个很多团队忽略的高阶场景。
问题:你的VPC网段是192.168.0.0/24,但你的IDC只信任10.0.0.0/24的私网地址。VPC里的云主机用192.168.0.x的地址去访问IDC,IDC的防火墙直接拒绝——通信失败。
解决方案:私网NAT网关 + 云专线
架构如下:
- 创建一个中转VPC,网段为IDC信任的10.1.0.0/24
- 用云专线把IDC和中转VPC连通
- 在业务VPC中部署私网NAT网关,配置SNAT规则:把192.168.0.x的源地址映射为10.1.0.10(中转IP)
- 配置DNAT规则:把访问10.1.0.10特定端口的请求转发到业务VPC的云主机
这样,IDC看到的永远是它信任的10.1.0.x地址,通信畅通无阻,同时满足安全合规要求。
五、选型决策:专线还是VPN?一张表搞定
| 维度 | 云专线 | VPN(IPsec) |
|---|---|---|
| 时延 | 1-5ms | 20-100ms(取决于公网质量) |
| 带宽 | 1G-100G独享 | 受限于公网带宽,通常<1G |
| 安全性 | 物理隔离+MACsec加密 | IKE+IPsec加密,安全但走公网 |
| 成本 | 5000元/月起步 | 300-600元/月(网关费) |
| 部署速度 | 需要施工,数天到数周 | 即开即用,分钟级生效 |
| 适用场景 | 核心业务、大数据迁移、强合规 | 一般业务互通、快速上云、跨区域VPC互联 |
我的建议:核心业务必须专线,一般业务先用VPN,等业务稳定了再评估是否升级专线。
某大型企业的做法是:支付清算系统走双专线,办公OA和开发测试环境走VPN,一年省下40多万。
六、避坑指南:这些错误我见太多了
| 坑 | 后果 | 正确做法 |
|---|---|---|
| IDC和VPC子网重叠 | 路由冲突,通信完全失败 | 规划时就确保两边网段不重合 |
| IDC子网包含100.64.0.0/10或214.0.0.0/8 | VPN建立失败 | 换一个网段 |
| VPN只建了一条隧道 | 公网抖动就断连 | 至少建两条,用双活模式 |
| 安全组没放行IDC网段 | 通道通了但应用层不通 | 安全组入站规则允许IDC网段访问 |
| 用了感兴趣路由还手动加路由 | 路由冲突,流量黑洞 | 二选一,别同时用 |
| 云专线只买了一条 | 主链路一断,全线瘫痪 | 关键业务必须双专线冗余 |
七、写在最后:网络通了,混合云才真正活了
混合云不是把服务器往云上一扔就完事了。网络才是混合云的脊梁骨。 专线是钢筋,VPN是韧带——选对了,你的业务在云端和本地之间自由穿梭,像在同一个机房里一样丝滑。选错了,要么贵得肉疼,要么慢得让用户骂街。
作为开发工程师,你写的每一行代码、部署的每一个服务,最终都要通过这条通道到达用户。通道的品质,就是你系统的天花板。
别等出了事故才来研究网络打通——现在就打开控制台,对照你的业务场景,选专线还是VPN,把这条"生命线"先架起来。
混合云的第一步,不是上云,是通路。路通了,一切皆有可能。
