背景
上周在给某自动驾驶企业落地LANDING ZONE。遇到了一个网络上面的问题。
客户诉求:“客户会由多个软件供应商(ISV)提供部分功能,不同ISV人员需要登录到云控制台进行软件发布。客户希望对供应商能够做到强隔离,包括资源管理、人员身份权限及财务隔离。并且部分供应商的软件之间需要互相调用,且调用数据量到达PB级别。客户希望能够有一套可扩展、易管理且成本可控的组网方案。”
一开始按照目前LANDING ZONE的组网方案推荐客户使用CEN-TR。但客户一看到跨VPC流量费用就觉得这个费用太高了。接受不了,于是就有了这篇方案,结合CEN-TR + VPC对等连接的方式来给客户组网。
架构图
VPC对等连接与转发路由器的对比如下表所示:
对比项 |
VPC对等连接 |
转发路由器 |
连接方式 |
Full Mesh全连接方式,VPC两两之间建立对等连接。 |
Hub-Spoke连接方式,VPC以网络连接方式加入转发路由器。 |
路由传播 |
不支持 |
支持 |
带宽限制 |
带宽无限制 |
受限于转发路由器的处理能力。 |
配置复杂度 |
复杂度高,需要两两建立对等关系并相互配置对端路由。 |
复杂度低,VPC只需要加入转发路由器并配置路由指向转发路由器的网络连接即可。 |
支持互联VPC数目 |
最大支持20个 |
最大支持200个 |
延迟 |
延迟低 |
由于流量经过转发路由器,会增加额外一跳的延迟。 |
收费 |
同地域不收费,跨地域收取出方向流量传输费。 |
收取实例费、流量处理费,跨地域收取出方向流量传输费。 |
从上表中可以看到这两种组网方式(VPC对等连接、转发路由器)有各自适用的场景与优势。如果同城不同VPC之间有大流量传输需求,那推荐客户可以组合使用:
大流量传输的VPC走对等连接
其他VPC如果需要互联走TR
实施步骤
场景规划
本文会介绍一个场景的实施步骤:
场景1:跨账号同地域多VPC通过对等连接与转发路由器组合组网。
实施准备
请确保提前规划好各个账号内VPC及Vswitch的网段。具体操作,请参见创建和管理专有网络。
操作步骤
场景1:跨账号同地域多VPC通过对等连接与转发路由器组合组网
数据规划
账号UID |
VPC名称 |
备注 |
VPC段 |
Vswitch段 |
ECS-IP |
114671 |
VPC1 |
连接到TR |
10.0.0.0/19 |
10.0.0.0/24 |
10.0.0.159 |
VPC2 |
配置VPC对等连接 |
10.0.32.0/19 |
10.0.32.0/24 |
10.0.32.246 |
|
106251 |
VPC3 |
连接到TR |
10.0.64.0/19 |
10.0.64.0/24 |
10.0.64.100 |
VPC4 |
配置VPC对等连接 |
10.0.96.0/19 |
10.0.96.0/24 |
10.0.96.151 |
说明:
为了简化配置,Vswitch没有将连接TR的单独出来,而是跟业务公用一个。
为了简化配置,云企业网也是直接部署在106251这个账号内。而没有单独开一个共享账号。
配置VPC2与VPC4对等连接
具体操作可以参考官方文档。
完成这一步操作之后,登录VPC2下面的ECS(10.0.32.246)可以PING 通VPC4下面的ECS。
配置云企业网和转发路由器
这一步,可以将VPC3、VPC4添加到TR里面。
配置VPC跨账号网络实例授权
登录114671账号,完成跨账号网络实例授权。操作见官方文档。需要完成VPC1、VPC2的跨账号授权。
切换到106251账号,继续配置转发路由器,添加VPC连接,操作见官方文档。这一步完成将VPC1、VPC2添加到TR。
配置完成之后TR的截图:
完成这步操作之后,登录VPC1下面的ECS(10.0.0.159)可以PING通其他三个VPC下面的ECS。
验证VPC2到VPC4的流量走的是VPC对等连接而不是转发路由器
从VPC2中的ECS(10.0.32.246)发起PING 大包请求到其他VPC的ECS。从TR的监控数据来看
VPC2对应的TR流量(源端):
VPC3/VPC1对应的TR流量(目标端):
VPC4对应的TR流量(走的是VPC对等连接而非TR):
从TR的监控数据来看,可以证明VPC2到VPC4的路由是没有走TR转发的。
客户收益
借助VPC对等连接,极大降低跨VPC互联的流量费用。
借助转发路由器,可以将其他小流量的VPC组网,降低网络管理复杂度。
