场景描述
由于业务发展,企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接,实现云上和云下数据互通。
如果用户数据中心仅有一个对端网关,且对端网关只能配置一个IP地址,推荐VPN网关使用双活模式,组网如下图所示。
双活模式下,如果连接1链路故障,流量自动切换至连接2进行传输,企业业务不受影响;连接1恢复正常后,VPN仍使用连接2进行数据交互。
如果用户数据中心存在两个对端网关,或一个对端网关可以配置两个IP地址,推荐VPN网关使用主备模式,组网下图所示。
主备模式下,连接1和连接2互为主备,主链路为连接1,备链路为连接2。默认情况下流量仅通过主链路进行传输,如果主链路故障,流量自动切换至备链路进行传输,企业业务不受影响;主链路恢复正常后,VPN回切至主链路进行数据交互。
约束与限制
对端网关需要支持标准IKE和IPsec协议。
本地数据中心和VPC间互通的子网需要没有重叠,且数据中心待互通的子网中不能包含100.64.0.0/10和214.0.0.0/8。
如果VPC使用云专线服务和其他VPC互通,则本地数据中心的子网也不能和其他VPC包含的子网存在重叠。
数据规划
| 类别 | 规划项 | 规划值 |
|---|---|---|
| VPC | 待互通子网 | 192.168.0.0/16 |
| VPN网关 | 互联子网 | 用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 |
| HA模式 | 双活 | |
| EIP地址 | EIP地址在购买EIP时由系统自动生成,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下:
| |
| VPN连接 | Tunnel接口地址 | 用于VPN网关和对端网关建立IPsec隧道,配置时两边需要互为镜像。
|
| 数据中心 | 待互通子网 | 172.16.0.0/16 |
| 对端网关 | 网关IP地址 | 网关IP地址由运营商统一分配。本示例假设网关IP地址如下: 22.xx.xx.22 |
| Tunnel接口地址 |
|
操作流程
通过VPN实现数据中心和VPC互通的操作流程如下图所示。
表-操作流程及步骤说明
| 序号 | 步骤 | 说明 |
|---|---|---|
| 1 | 步骤一:创建VPN网关 | VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP,则此处可以直接绑定使用。 |
| 2 | 步骤二:创建对端网关 | 添加数据中心的VPN设备为对端网关。 |
| 3 | 步骤三:创建第一条VPN连接 | VPN网关的主EIP和对端网关组建第一条VPN连接。 |
| 4 | 步骤四:创建第二条VPN连接 | VPN网关的主EIP2和对端网关组建第二条VPN连接。 第二条VPN连接的路由模式、预共享密钥、IKE/IPsec策略建议和第一条VPN连接配置保持一致。 |
| 5 | 步骤五:配置对端网关设备 |
|
| 6 | 步骤六:验证网络互通情况 | 登录ECS,执行ping命令,验证网络互通情况。 |
