概要
阿里云专有网络VPC(Virtual Private Cloud)是您基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。您能够在自己定义的虚拟网络中使用阿里云资源,例如选择自己的IP地址范围、划分网段、配置路由表和网关等,从而实现安全而轻松的资源访问和应用程序访问。
阿里云提供多种将VPC和其他私有网络打通的连接选项和高级功能,帮助您安全高效地访问部署在VPC上的内部应用。本文介绍以下私网互连场景和可选的网络产品,帮助您在不同的需求场景选择对应的产品构建合适的企业私有网络。
| 场景 | 产品 | 描述 | 优点 | 缺点 |
| 企业IDC与VPC互连 | VPN网关 | IDC网络通过基于internet的IPSec-VPN加密隧道连接到VPC网络 | 低成本 安全 即开即用 | 网络质量受internet影响 |
| 高速通道 | IDC网络通过物理专线连接到VPC网络 | 网络质量好 带宽高 | 成本高 开通时间长 | |
| 云市场VPN软件 | 在云市场购买VPN网关并部署到VPC内,IDC网络通过基于internet的IPSec-VPN加密隧道连接到VPC网络, | 安全 可选VPN软件 即开即用 | 成本中 自己搭建、运维 网络质量受internet影响 | |
| 企业IDC-VPC高级连接 | 高速通道双链路冗余 | 建立2条高速通道,两条线路通过等价路由的方式实现双活 | 网络质量好 故障无缝切换 可靠性高 | 成本高 |
| 高速通道+VPN双链路冗余(即将推出) | 主用高速通道,故障时自动切换为VPN链路 | 成本低 网络质量好 可靠性高 | 大带宽时可能带宽不匹配 | |
| 私网NAT网关+高速通道接入VPC(工单申请) | 通过NAT功能实现对内部网络更好的掌控 | 私网NAT网关暂无法购买,工单咨询“VPN产品组” | - | |
| 私网NAT网关+VPN网关接入VPC(工单申请) | 通过NAT功能实现对内部网络更好的掌控 | 私网NAT网关暂无法购买,工单咨询“VPN产品组” | - | |
| 同地域VPC互连 | 高速通道 | 同地域2个VPC连接到高速通道路由接口实现互通 | 免费 大带宽 即开即用 | 无 |
| 跨地域VPC互连 | VPN网关 | 通过基于internet加密的IPSec-VPN隧道实现跨地域多VPC互连 | 低成本 安全 即开即用 | 带宽低 网络质量受internet影响 |
| 高速通道 | 通过阿里云骨干网,实现跨地域多VPC互连 | 高带宽 低时延 即开即用 | 成本高 | |
| 用户远程接入VPC | VPN网关(即将推出) | 远程拨号接入阿里云SSL-VPN服务器 | 低成本 可靠 易配置部署 |
|
| 云市场SSL-VPN软件 | 云市场购买SSL-VPN软件并部署到VPC,远程拨号接入阿里云VPN服务器 | 可选丰富的SSL-VPN软件/镜像 | 成本高 可靠性低 自己搭建、运维 |
企业VPC-IDC互通
您可以将云上专有网络(VPC)和云下IDC网络私网连接并将两部分应用组合起来构建混合云架构。通过VPC和IDC之间安全可靠的连接,并借助阿里云海量的计算、存储、网络、CND、GBP资源,您可将按需按量实时将IDC本地的IT基础架构无缝地扩展到阿里云上来处理业务波动。
VPN网关
阿里云VPC提供VPN网关产品,购买产品后包含VPN网关实例和internet IP,您可以在在IDC部署用户网关并通过Internet和阿里云VPC内的VPN网关建立IPSec-VPN隧道实现IDC和VPC安全互连,如图1所示。另外需要说明阿里云的VPN网关默认包含了2个不同的网关实例形成主备双机热备,主节点故障时自动切换到备节点,本文后续不再赘述。
图 1
每个VPN网关支持10个VPN连接,如图2所示,您可以购买一个VPN网关,最多连接到10个位于不同地域的IDC或者办公点。如果超过10个连接,您需要购买多个VPN网关。
图 2
最佳实践参考:
高速通道
阿里云高速通道( Express Connect ) 服务,帮助您在VPC与自有数据中心间搭建私网通信通道,提高网络拓扑的灵活性和跨网络通信的质量和安全性。使用高速通道可以使您避免绕行公网带来的网络质量不稳定问题,同时可以免去数据在传输过程中被窃取的风险。
基于软件自定义网络(Software Defined Network,简称SDN)架构下的三层overlay技术和交换机虚拟化技术,阿里云将客户的物理专线接入的端口隔离起来,并抽象成边界路由器。通过目前主流的隧道技术,阿里云将客户的数据包在交换机内部进行封装,在用户的物理专线和VPC的路由器之间加上隧道封装,然后将数据传输到VPC内,如图3所示。
图 3
最佳实践参考:
云市场VPN软件
阿里云云市场有丰富的VPN软件或镜像可以选择,通过云市场购买VPN软件后,需要另外购买ECS用以部署您购买的VPN软件,还需要购买弹性公网IP用以通过Internet和您的IDC用户网关进行连接。
图 4
企业VPC-IDC互连高级功能
高速通道双链路冗余
您可以通过冗余物理专线将 IDC 和阿里云 VPC 连接起来。实现一个更为高可靠、高效、弹性的内网互通。
图 5
最佳实践参考:
高速通道+VPN双链路冗余(即将上线)
您可以创建一条高速通道作为主用链路,再创建一条VPN链路作为备用链路。高速通道链路正常时使用主用链路保证IDC到VPC网络带宽和时延,而在主用链路异常时切换到VPN链路,既保证了链路质量和可靠性,又节省了网络成本。
图 6
NAT+高速通道接入(即将上线)
为了提高高速通道产品可扩展性,方便您更好地掌控您的私有网络包括VPC端和IDC端,阿里云提供私网NAT功能,您可以在使用高速通道时,使用NAT网关指定从VPC到线下IDC的源地址,或者从IDC到VPC方向目的地址。另外需要说明阿里云的私网NAT网关默认包含了2个不同的网关实例形成主备双机热备,主节点故障时自动切换到备节点。
图 7
NAT+VPN网关接入(即将上线)
同样的,您可以在使用VPN网关时,使用NAT网关指定从VPC到线下IDC的源地址,或者从IDC到VPC方向目的地址。另外需要说明阿里云的私网NAT网关默认包含了2个不同的网关实例形成主备双机热备,主节点故障时自动切换到备节点。
图 8
同地域VPC互连
高速通道
您可以在同地域创建多个VPC用以部署不同的应用,并通过阿里云高速通道将这些VPC互连。虽然使用了高速通道产品,但是流量是在阿里云内网传输,并不会传输到该地域外,也不会产生任何费用。
图 9
实践参考:
跨地域VPC互连
您可以在不同的地域创建VPC并部署您的应用,用以构建多地域服务网络,实现就近提供服务降低网络时延并相互备份提高整个系统的可靠性。阿里云高速通道和VPN网关都可以实现跨地域VPC互连。
高速通道
您可以通过阿里云高速通道实现跨地域VPC互连,高速通道支持位于相同地域或不同地域,同一账号或不同账号的VPC之间进行内网互通。阿里云通过在两侧VPC的路由器上分别创建虚拟路由器接口,以及自有的骨干传输网络来搭建高速通道,轻松实现两个VPC之间安全可靠,方便快捷的通信。
图 10
实践参考:
VPN网关
您可以通过VPN网关实现跨地域、跨账号的VPC互通,分别在2个VPC创建VPN网关,2个网关之间通过基于internet的IPSec加密隧道来传输您的私网数据。安全可靠、高速高效地实现跨地域VPC互通。
图 11
最佳实践:
用户远程接入VPC
您可以将企业内部应用部署在阿里云VPC内,并提供网络连接供内部员工通访问内部系统。比如企业IT人员需要内网接入VPC运维管理、出差人员需要远程接入VPC访问企业应用。您可以通过VPN网关并开启SSL-VPN功能或者云市场购买VPN软件/镜像,并在远程客户端通过SSL-VPN客户端拨号来接入VPC。
VPN网关(即将支持SSL-VPN)
您可以购买VPN网关并开启SSL-VPN功能,配置并生成SSL证书后下载到本地客户端,在客户端通过internet在远程拨号接入到VPC。轻松实现任何地点、任何设备只要有internet网就可以接入到VPC。另外需要说明阿里云的SSL-VPN服务器默认包含了2个不同的网关实例形成主备双机热备,主节点故障时自动切换到备节点。
图 12
云市场购买SSL-VPN软件
您可以在云市场购买SSL-VPN软件或者镜像,再购买ECS用以部署购买的SSL-VPN服务器,另外再购买弹性公网IP用以客户端从internet拨号接入。云市场有丰富的SSL-VPN软件、镜像供您选择。
原文连接http://click.aliyun.com/m/33940/
来源:oschina
链接:https://my.oschina.net/u/3715907/blog/1559281