看如何巧用VPN网关玩转混合云
发布时间:2017-09-29 18:01
在2017阿里云网络技术高峰论坛上,阿里云VPN网关产品经理奈玟分享主题《使用VPN网关轻松构建混合云》。奈玟,阿里云VPN网关产品经理,有七年的网络相关开发和设计经验,最开始是做传统网络路由器交换机的传统协议,2012年在传统交换机上实现了OpenFlow 1.0协议,由此开始转到云网络。本文介绍的内容包括混合云概念、混合云私网构建、VPN网关产品简介和应用场景以及VPN网关搭建混合云架构的实战演示。
混合云简介
十年前,几乎所有的IT企业都是选择自建IDC,但是自建IDC十分复杂且成本巨大,不仅需要考虑风火水电煤、选址、厂房、采购和搭建等问题,还需要企业自己来运维和运营。由于云上资源利用率高,在同等性能规格下,租用云服务器的成本仅为IDC的1/3,此外IDC设备更新周期长,涉及采购、运输、安装等,通常一次扩容需要3个月左右,在业务发展很快的情况下不可能等这么久。云的出现很好地解决了这些痛点,凭借极强的编排能力和弹性负载能力以及极高的性价比,云很好地满足了业务快速发展的需要。
在企业已有自建IDC的条件下,可以通过三种方式实现云化:一是公有云,相当于割肉方式,把已经投入的IDC重资产全部舍弃,再重新上云;二是私有云,相当于手术方式,把已有的数据中心云化,需要进行痛苦的改造;三是混合云,指仍然保留自建IDC,让其去负载正常水位的服务,而弹性部分则放到云上。
混合云对于已有自建IDC的企业实现云化有很大的好处:按需定制,满足业务的个性化需求;多级容灾,能够规避单一的采购商风险;兼得私有环境安全独立的优势和公有云弹性伸缩、快速编排定制的优势;最后,对已有的IT重资产最大化的保护和利用,极大降低成本。
IDC和云网络的连接
想要在已有IDC的情况下构建混合云,需要把IDC与云网络连接起来。一般来说,IDC和云网络的连接有两种方式:公网通信和私网通信,公网通信就是通过Internet访问,私网通信是在IDC和公有云之间建设一条私有专用通信线路。
对比分析公网通信和私网通信,可以发现:
-
公网通信必须使用公网IP、带宽等网络资源,私网却可以自己规划私有IP等资源;
-
公网环境较为复杂,私网则为专用网络;
-
公网限制较多,私网能够自定义限制;
-
成本方面,大规模场景下,私网相对于公网占用的收费资源更少,更省钱;
-
安全方面很明显专网不受外界干扰更安全。
私网产品对比
通过上面的比较能够看出,混合云场景下私网具有绝对优势。私网通信包括两类产品:专线(高速通道)和VPN,两者没有绝对的优劣,只是所针对的客户定义不同。
专线就是自建高速公路,具有网络带宽高、时延低的优点,但是建设周期长,成本更高;VPN就是在公有网络上承包一条线路作为专用,价格更为经济便宜,而且即开即用,但是时延相对专线来说更高。
VPN网关产品是基于Internet所搭建的专用隧道,特点鲜明:
-
首先是安全,产品采用标准IPSec-VPN协议,能够认证数据来源、数据加密、防篡改、抗重放,且VPN基于租户隔离;
-
其次是高可靠,云端的VPN网关节点双机热备,实时同步,主节点挂了会自动切换到备节点;
-
再次是便捷,快速搭建、即开即用,可以在10分钟内轻松搭建混合云网络;
-
最后是价格,可以称得上是公网的价格,私网的享受,价格仅为高速通道的40%~60%。
VPN网关的应用场景
VPN网关的应用场景主要包括以下四类:VPC和IDC对接、跨地域VPC互连、线下多门店接入、云上多门店接入总部。
应用场景1 VPC和IDC对接
这类应用适用的场景是传统IDC负载正常水位业务,公有云负载弹性部分业务。比如具有波峰、波谷特点明显的票务系统。通过基于公网搭建的专用隧道、VPN网关双机热备、Ipsec协议协商和加密,可以充分实现传统业务向云上的平滑迁移,同时云上的超大资源池能够作为弹性负载。
应用场景2 跨地域VPC互连
这类应用适用的场景是一个企业在云上有多个VPC,每个VPC放在不同地域,实现跨地域容灾备份的同时客户就近接入降低网络时延和跨地域容灾备份。跨地域VPC之间的互联是基于阿里云骨干网所搭建的专用隧道而不是Internet,进一步提高了跨地域VPC互访的质量。
应用场景3 线下多门店接入
这类应用适合具有很多分支的多门店系统或连锁机构,如金融、保险、酒店业等。总部系统部署在云上VPC内,线下分支通过VPN和云上VPC对接,可以满足企业门店分支快速扩张的需求。
应用场景4 云上多门店接入总部
这类应用与场景3正相反,也同样适用于具有很多分支的多门店系统或连锁机构,但是它的总部部署在IDC内,每个门店分支系统部署在独立的VPC中,每个门店分支之间的网络二层隔离。增加一个门店分支只需要10分钟即可完成门店IT系统部署:在公有云上开通一个VPC、ECS集群等资源部署门店,最后通过VPN和IDC对接即可完成,能够快速适应门店扩张需求。本场景下即将推出的私网NAT(可以指定源地址接入),总部就可以方便快速地识别业务具体来自哪一个门店。
实操演示:通过VPN搭建一个混合云网络
分享最后以具体操作演示了通过山石网科防火墙,云上VPC和云下IDC是如何实现IPSEC-VPN对接的。如上图所示,左边为云上VPC,且VPC上有多台ECS,右边是云下IDC,IDC里包含传统的服务器,两端都是私网口。首先需要分别登陆两台服务器,因为云端和线下IDC都是私网口,在私网未打通的情况下是无法互通的,所以需要购买一个VPN网关,再通过公网实现对接,打通这两端的私网。
第一步:创建云上VPN网关,要选择对应的地域和VPC,购买支付后就可以在控制台看到所选择的VPN网关,示例中的公网IP地址是118,所以在搭建时会把环境要素集成到表格中(如上表所示),右边指的是网络信息(包括云上和云下,私网IP段和公网IP地址),左边指的是协议信息(创建VPN连接和线下配置);第二步:创建用户网关,用户网关里的IP地址就是云下VPN网关的公网地址;第三步:创建VPN连接,设置网关地址;第四步:在云上创建路由,从ECS视角来看,路由就是指到云下的私网地址和云上的网关地址相同。这时候云上就创建完成了,再登录云下的VPN网关,对应云上进行相应配置。然后再配备IKE VPN配置,VPN协议的配置就完成了。然后还需要创建安全域(策略是基于安全域的,所以每个VPN都要创建安全域)和隧道口,把隧道口加到所创建的安全域中协议就通了,但这时候流量仍是不通的,所以要人工放行从公网到私网以及反过来的策略,所以这时候就可以最终互通互联了。这个案例只展示了实际操作的一部分细节,更多内容请参见官网。
目前VPN网关公测已结束,新用户现在购买即可享受五折优惠,活动有效期:2017/9/18-2017/11/17,联系电话:0371-56982772
