一、背景說明
我們公司是做全球化業務的公司,在中國我們用的阿里雲,在海外我們使用AWS,中國訪問海外的region資源,這是最基本的需求之一,在運維層面,領導要求一套平臺實現全球管理,也就是說我們的監控、發佈、跳板機等等所有運維工具只部署一套,再加上我們每個region有三個VPC,VPC之間默認是隔離的,我們在海外目前有兩個region,也就是6個VPC,如果要從國內阿里雲拉專線到海外,實現訪問海外所有VPC,那需要拉6根專線,只似乎有點不現實,瞭解到AWS十月份出了一個直連網關的服務,只要拉一條專線到AWS海外的任意一個region,就可以實現專線到海外AWS任意region的所有VPC互通,關於直連網關使用限制和詳細介紹:https://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/direct-connect-gateways.html
二、架構圖
我們國內阿里雲是在華北2,海外兩個AWS的region分佈在加利福尼亞和法蘭克福,所以我們選擇AWS的新加坡region作爲專線的接入點,在新加坡建立直連網關,AWS的其他region分別關聯到這個直連網關
三、實施
1、阿里側
選擇一家專線提供商,開始實施,專線廠商都會有阿里雲上配置的操作手冊,按文檔操作完成後,會在阿里雲的高速通道--》物理專線連接--》邊界路由器裏面會生成一個邊界路由器;在高速通道--》專有網絡連接--》路由器接口裏面生成兩個路由接口,一個是邊界路由接口,一個是VPC路由接口。
a、在高速通道--》物理專線連接--》邊界路由器--》選擇剛纔生成的邊界路由器,這裏需要做的操作就是添加路由,一條路由是指向阿里雲VPC的,下一跳是VPC路由接口;其他路由是指向專線方向的,下一跳是邊界路由接口
b、在高速通道--》專有網絡連接--》路由器接口--》選擇剛纔生成的VPC路由接口,配置路由,目標網段就是AWS的VPC網段,下一跳就是剛纔生成的VPC路由接口
c、配置阿里雲的安全組,放行AWS的6個vpc網段訪問
2、AWS側
a、在每個region新建虛擬專用網關並關聯VPC(在法蘭克福和加利福尼亞分別操作)
在VPC控制面板,創建虛擬專用網關,ASN號使用默認即可
然後選中剛纔建的虛擬專用網關,操作---》附加到VPC,即可關聯到VPC
b、在新加坡新建直連網關,需要注意的是直連網關的ASN號,必須是有效範圍內的(在新加坡操作)
c、當專線廠商給我們開通專線以後,會在AWS的Direct Connect服務裏面開通一個虛擬接口,我們在接受虛擬接口時需要注意,一定要關聯到上面建的直連網關,這是最關鍵的一步,在沒有直連網關之前都是關聯到虛擬專用網關,從而也就限制了專線只能訪問到關聯該虛擬專用網關的VPC(在新加坡操作)
d、當虛擬接口成功關聯到直連網關之後,會在直連網關的虛擬接口附件顯示(在新加坡操作)
e、把虛擬專用網關關聯到直連網關(在法蘭克福和加利福尼亞分別操作)
當狀態變成"associated”說明已經關聯成功
f、分別配置每個VPC的路由表,添加到阿里雲VPC的路由策略,下一跳選擇虛擬專用網關(在法蘭克福和加利福尼亞分別操作)
g、配置ec2的安全組,添加阿里雲VPC網段白名單
至此,所有的配置工作已經完成,我們已經可以從阿里雲訪問到aws的法蘭克福和加利福尼亞的任意VPC了。