一、初识
在认识转发路由器TR(Transit Router)之前,需要先知道云企业网CEN(Cloud Enterprise Network)是啥。云企业网CEN是运行在阿里云私有全球网络上的一张高可用网络。要想实现在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,就需要借助转发路由器TR。说白点转发路由器TR是地域范围内的核心转发网元,可帮助用户转发同地域或跨地域间的流量,从而打造一张灵活、可靠、大规模的企业级云上网络。
转发路由器TR分为基础版和企业版。企业版可看作时基础版的升级,除包含基础版转发路由器的所有功能外,还支持定义灵活的路由策略。下面是两个版本的工作原理图。
- 基础版
- 企业版
二、试用
有两种方式可以试用转发路由器TR产品,第一就是免费试用中心,通过搜索关键字TR,点击立即试用。如图:
第二种就是直接在产品的评测活动页,点击立即试用。如图:
本次产品的开通试用还是非常简单的,全部配置项采用默认,勾选同意协议,点击立即试用即可。如图:
看到如下页面,说明你已获得了三个月的企业版免费试用权限,产品规格是750小时连接 100GB跨地域。如图:
你也可以从用户中心——我的试用,看到完整的产品试用类型及规格。如图:
从图上咋一看,你会觉得奇怪,怎么一个产品会有三条试用记录,不要慌,在实例ID/实例名称处悬停鼠标,你就知晓为啥是三个了,因为这是三个实例类型,分别是15GB流量处理费/月x3个月、750小时连接费/月x3个月、100GB/月x3个月。
三、实操
前提准备
在开始入门实践之前需要明确一些资源环境需求,如下:
- 资源需求
| 云资源 | 地域 | 说明 |
|---|---|---|
| 1个云企业网CEN实例 | - | - |
| 1个转发路由器TR实例 | 华东1(杭州) | 为该地域下的2个VPC分别创建与TR实例的连接 |
| 1个转发路由器TR实例 | 华东2(上海) | 为该地域下的VPC创建1个到华东1(杭州)地域的连接,按流量计费(通过CDT计费) |
| 2个专有网络VPC | 华东1(杭州) | 2个VPC分属不同的网段 |
| 1个专有网络VPC | 华东2(上海) | - |
| 6个交换机 | 华东1(杭州) | 每个VPC下至少有3个vSwitch,且分属不同的可用区 |
| 3个交换机 | 华东2(上海) | 每个VPC下至少有3个vSwitch,且分属不同的可用区 |
| 2个云服务器ECS实例 | 华东1(杭州) | 确保安全组规则允许3个VPC资源互访,需添加ICMP的入方向规则 |
| 1个云服务器ECS实例 | 华东2(上海) | 确保安全组规则允许3个VPC资源互访,需添加ICMP的入方向规则 |
- 网络规划
| vpc01 | vpc02 | vpc03 |
|---|---|---|
| 华东1(杭州) | 华东1(杭州) | 华东2(上海) |
| VPC网段:172.16.0.0/16 交换机1网段:172.16.208.0/20 交换机2网段:172.16.0.0/24 交换机3网段:172.16.16.0/20 | VPC网段:192.168.0.0/16 交换机1网段:192.168.0.0/24 交换机2网段:192.168.1.0/24 交换机3网段:192.168.2.0/24 | VPC网段:10.0.0.0/8 交换机1网段:10.0.0.0/24 交换机2网段:10.0.1.0/24 交换机3网段:10.0.2.0/24 |
| ECS IP地址:172.16.219.113 | ECS IP地址:192.168.0.107 | ECS IP地址:10.0.0.210 |
资源创建
点击前往云企业网控制台,如图:
在云企业网实例页面,单击创建云企业网实例,填入实例名称及描述,点击确认。如图:
接下来需要创建转发路由器TR实例,在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。在\基本信息\ > *转发路由器**页签,单击创建转发路由器*。如图:
分别在你ECS所在地域创建TR实例,我这里选择杭州TR01和上海TR02。如图:
此时,眼尖的同学会发现,无法点击确认进行实例的提交。这是因为使用新版控制台需要开通转发路由器服务。点击开通转发路由器服务按钮,随后弹窗点击确认开通即可。如图:
创建完成需要稍等片刻,完成后可以看到如下图:
同地域不同VPC间互通
接下来需要实现同地域的两台ECS互通,需要创建网络实例连接。在\基本信息\ > *转发路由器**页签,找到华东1(杭州)地域的转发路由器实例,在操作单击创建网络实例连接*。如图:
在连接网络实例页面,实例类型选择专有网络VPC、地域选择华东1(杭州)、资源归属UID选择同账号、连接名称填conn01、网络类型选择ECS所在VPC,然后单击确定创建。如图:
根据上述步骤,继续添加第二台ECS的网络连接。在连接网络实例页面,实例类型选择专有网络VPC、地域选择华东1(杭州)、资源归属UID选择同账号、连接名称填conn02、网络类型选择ECS所在VPC,然后单击确定创建。如图:
通过如上操作,实际上已经实现了同地域不同VPC之间的主机互通,下面我们验证一下。打开workbench,输入ECS的账号和密码,登录,并开始互相ping另外一台VPC下的主机IP,如图:
这里需要注意的是,ECS默认安全组是不允许ping的,需要在安全规则的入方向添加上ICMP的策略,如图:
之所以能够实现同地域不同VPC下主机互通,是因为华东1(杭州)地域下的转发路由器TR01实例自动学习不同VPC下的路由条目信息。云企业网自动在不同VPC下的系统路由表中添加三条自定义路由条目,下一跳均指向转发路由器实例。2个VPC通过上述三条路由条目将流量发送至转发路由器实例,通过转发路由器实例实现VPC与VPC之间的相互通信。如图:
跨地域VPC间互通
下面将验证跨地域如何通过TR实现连接。首先需要在华东2(上海)创建实例网络连接,在\基本信息\ > *转发路由器**页签,找到华东2(上海)地域的转发路由器实例TR02,在操作单击创建网络实例连接*。如图:
在连接网络实例页面,实例类型选择专有网络VPC、地域选择华东2(上海)、资源归属UID选择同账号、连接名称填conn03、网络类型选择ECS所在VPC,然后单击确定创建。如图:
接下来需要创建跨地域连接,在云企业网实例页面,单击目标云企业网实例ID。在\基本信息\ > *带宽包管理**页签,单击设置跨地域带宽*。如图:
在连接网络实例页面,配置跨地域连接信息,实例类型选择跨地域连接、地域选择华东1(杭州)、对端地域选择华东2(上海)、带宽分配方式选择按流量付费、带宽值填入1。然后单击确定创建。如图:
在选择带宽分配方式为按流量付费时,会弹出首次开通需同意非跨境服务协议的弹窗,点击确认即可。如图:
完成后,可以看到转发路由器TR02已新增一条实例连接。如图:
同样地,连接华东2(上海)地域的ECS,来验证能否与华东1(杭州)下两个VPC下的主机互通。如下:
当然,此时华东1(杭州)地域的两台ECS到华东2(上海)的连接也是相通的。如图:
通过上述的入门操作,实际上是使用云企业网CEN通过TR转发路由器实现了跨地域跨VPC的网络互通。
当然,如果你觉得上述操作有点繁琐,这里完全可以基于阿里云资源编排服务ROS(Resource Orchestration Service)来实现一键部署。可点击此连接前往了解。
资源释放
为了避免结束产品体验后产生不必要的扣费,这里需要及时释放掉上述创建的所有实例。包含ECS、安全组、交换机、专有网络、实例网络连接、转发路由器实例、云企业网实例。下面就介绍下如何释放实例网络连接、释放转发路由器、释放云企业网实例。如图:
- 释放实例网络连接
点击转发路由器实例ID,来到实例详情页,点击地域内连接管理、跨地域连接管理,可以看到标签下的实例,在操作项下点击卸载。如图:
在弹窗里勾选协议,点击确定即可完成实例的释放。如图:
- 释放转发路由器实例
当TR实例下存在未释放的连接时,会出现操作项中的删除是灰色不可用状态。如图:
所以释放TR实例前务必先完全释放掉其下的实例连接。而后点击操作项中的删除,在弹窗中点击确认即可释放TR实例。如图:
- 释放云企业网实例
云企业网CEN实例释放,只需在CEN对应的实例ID操作项中点击删除。如图:
在弹窗中点击确认即可完成CEN实例的释放。如图:
四、总结
通过上述实操体验,很直观可以了解到转发路由器TR有如下的优点:
- 高效转发:TR能够高效地转发同地域或不同地域的网络实例间的流量,确保数据传输的顺畅和快速。
- 灵活策略:TR支持在地域内定义灵活的互通、隔离、引流策略,可以帮助企业实现多样化的网络需求。
- 大规模互联:TR能够支持大规模的企业级互联网络,满足企业不断增长的网络规模需求。
- 安全性较高:TR具备足够的安全性,能够防止各种网络攻击和威胁,确保企业数据的安全。
- 精细带宽管理:TR支持跨地域、混合云带宽的精细化分析和管理。
但体验过程中,也能发现还存在如下缺点:
- 配置复杂:TR的配置相对复杂,新人上手还是比较困难的,需要具备经验的人员进行操作,增加了使用成本。
- 依赖度高:TR是地域范围内企业级核心转发网元,一旦出现故障,可能会对整个企业的网络运行造成影响。
- 安全风险:虽然TR设备本身具备一定安全性,但在使用过程中,如果配置不当或者受到恶意攻击,可能会引发安全问题。
- 安全管理:由于TR是核心网元,因此其安全性至关重要。任何安全漏洞都可能导致数据泄露或网络攻击。
五、拓展
- 官方文档
- 最佳实践
