VPC企业云上网络搭建+TR转发路由器测评报告
一、测评前言
TR转发路由器是阿里云为企业打造的一张灵活、可靠、大规模的企业级互联网络。这款设备可以将同地域或不同地域的网络实例间的流量进行转发,支持在地域内定义灵活的互通、隔离、引流策略,帮助企业打造一个高效的网络环境。通过搭配云数据传输,用户可以实现在跨地域连接场景下数据传输按流量计费的能力。此外,TR转发路由器还提供了丰富的网络互通和路由管理功能,包括连接网络实例、添加自定义路由表、添加路由条目、添加路由策略等。本文将会详细介绍TR转发路由器企业版和基础版的工作原理。企业版适用于大型企业网络,提供更高的性能和更高级的安全性;基础版则更适合小型企业使用,具有更低的成本和简单的配置流程。
企业版转发路由器工作原理
连接网络实例
连接VPC实例的过程相对简单,只需要确保VPC实例在企业版转发路由器支持的可用区中拥有至少一个交换机实例,并拥有至少一个空闲的IP地址即可。接着,企业版转发路由器会在VPC实例的交换机中创建一个弹性网卡ENI,作为VPC实例与企业版转发路由器流量互通的接口。同时,企业版转发路由器还会将VPC实例添加到企业的网络拓扑图中,使得这些实例可以在内部互相通信。对于边界路由器VBR实例的连接,需要先在其上安装并运行CloudBridge SDK,然后通过创建IPsec隧道的方式将其与企业版转发路由器连接起来,从而实现网络间的加密通信。对于连接其他地域的转发路由器实例,需要先购买带宽包,以便为跨地域连接分配足够的带宽。完成后,可以通过创建跨地域连接的方式将两个地域的企业版转发路由器实例连接起来,从而实现数据的跨地域传输。
管控路由
它可以连接不同的网络实例,如VPC实例、VBR实例、IPsec连接和跨地域连接。在创建网络实例连接时,系统默认开启了高级功能,包括自动关联至转发路由器的默认路由表、自动传播系统路由至转发路由器的默认路由表和自动为VPC的所有路由表配置指向转发路由器的路由等功能。这些功能可以帮助我实现路由的自动学习和传播,让我可以更方便地管理和控制网络的连通性。
基础版转发路由器工作原理
二、测评步骤
北京开发环境和杭州生产环境通过VPC对等连接打通,可以实现北京开发环境ECS-DEV访问杭州生产环境中文件服务器ECS-FS的SSH服务,文件服务器ECS-FS访问杭州生产环境中WEB服务器ECS-WEB01的SSH服务,以及WEB服务器ECS-WEB01访问杭州生产环境中数据库服务器ECS-DB01的MySQL数据库服务。同时,杭州生产环境中的WEB服务器ECS03对外开放了WEB服务。
创建北京开发环境专有网络VPC-DEV(172.16.0.0/16)和开发交换机VSW-DEV(172.16.1.0/24)
复制如下链接,并粘贴至右侧远程桌面中的浏览器中,访问专有网络VPC控制台,点击创建专有网络。
https://vpc.console.aliyun.com/vpc/cn-beijing/vpcs
在弹出的创建专有网络窗口,完成如下配置后,点击确定创建开发专有网络和交换机:
专有网络地域为华北2(北京),名称为VPC-DEV,IPv4网段为172.16.0.0/16
交换机名称为VSW-DEV,可用区为北京 可用区I,IPv4网段为172.16.1.0/24
创建研发安全组SG-DEV,并配置规则允许文件服务器ECS-FS(192.168.200.1)通过TCP协议从22端口(SSH服务)进行通信
复制如下链接,并粘贴至右侧远程桌面中的浏览器中,访问云服务器ECS控制台中的安全组管理页面,点击创建安全组。
https://ecs.console.aliyun.com/securityGroup/region/cn-beijing
创建安全组SG-DEV。
将网络设置为VPC-DEV。
在入方向访问规则中,添加规则允许文件服务器ECS-FS(192.168.200.1)以及Workbench远程连接IP(100.104.0.0/16)通过TCP协议从22端口(SSH服务)进行通信。 具体操作是:
添加一条规则,授权策略为允许,优先级为1,协议类型为自定义TCP,目的端口为SSH(22),源:192.168.200.1,100.104.0.0/16。
删除其它TCP协议类型规则。
创建研发服务器ECS-DEV(172.16.1.1)
复制如下链接,并粘贴至右侧远程桌面中的浏览器中,访问云服务器ECS控制台页面,点击创建实例。
https://ecs.console.aliyun.com/server/region/cn-beijing
(一)创建从杭州生产环境到北京开发环境的VPC对等连接
复制如下链接,并粘贴至右侧远程桌面中的浏览器中,打开专有网络中的VPC对等连接页面,第一次使用可能需要开通CDT功能权限,确定开通后,点击刷新按钮,即可进行接下来的创建VPC对等连接操作。
https://vpc.console.aliyun.com/vpcpeer/cn-hangzhou/vpcpeers
在弹出的创建对等连接页面完成如下配置,并点击确定,完成创建:
对等连接名称:PEER-PRD-DEV
发起端VPC实例:VPC-PRD
接收端账号类型:同账号
接收端地域类型:跨地域
接收端地域:华北2(北京)
接收端VPC实例:VPC-DEV
(二)完成发起端和接收端VPC实例的路由条目配置,联通杭州文件服务器交换机VSW-FS(192.168.200.0/24)和北京开发交换机VSW-DEV(172.16.1.0/24)
点击左侧菜单中的VPC对等连接,找到刚刚创建的对等连接PEER-PRD-DEV,可以看到发起端为杭州的VPC-PRD,接收端为北京的VPC-DEV,接下来我们需要分别配置发起端和接收端VPC实例的路由条目。
点击发起端VPC实例配置路由条目,因为发起端为VPC-PRD(192.168.0.0/16),接收端为VPC-DEV(172.16.0.0/16),其中需要联通VSW-FS(192.168.200.0/24)和VSW-DEV(172.16.1.0/24),所以发起端的目标网段为VSW-DEV(172.16.1.0/24),详细配置如下:
路由条目名称:R-FS-DEV
目标网段:172.16.1.0/24
点击接收端VPC实例配置路由条目,因为发起端为VPC-PRD(192.168.0.0/16),接收端为VPC-DEV(172.16.0.0/16),其中需要联通VSW-FS(192.168.200.0/24)和VSW-DEV(172.16.1.0/24),所以接收端的目标网段为VSW-FS(192.168.200.0/24),详细配置如下:
路由条目名称:R-DEV-FS
目标网段:192.168.200.0/24
(三)完成文件服务器安全组SG-FS配置,允许ECS-DEV能够访问SSH服务(22端口)
复制如下链接,并粘贴至右侧远程桌面中的浏览器中,打开ECS控制台中的安全组页面(杭州地域),找到文件服务器安全组SG-FS,点击右侧操作列中的配置规则按钮,进行规则配置。
https://ecs.console.aliyun.com/securityGroup/region/cn-hangzhou
在入方向规则配置中,手动添加一条规则,放行从开发服务器ECS-DEV(172.16.1.1)访问SSH(22)服务:允许,1,自定义TCP,目的端口:SSH(22),源:172.16.1.1,点击保存完成配置。
(四)测试开发服务器ECS-DEV(172.16.1.1)与文件服务器ECS-FS(192.168.200.1)是否能够相互访问SSH服务(22端口)
通过Workbench分别远程连接开发服务器ECS-DEV(172.16.1.1)与文件服务器ECS-FS(192.168.200.1)
远程连接后,分别在两台服务器中进行如下测试:
在开发服务器ECS-DEV(172.16.1.1)中通过SSH远程登录文件服务器ECS-FS(192.168.200.1):ssh 192.168.200.1
在文件服务器ECS-FS(192.168.200.1)中通过SSH远程登录开发服务器ECS-DEV(172.16.1.1):ssh 172.16.1.1
复制如下链接,并粘贴至右侧远程桌面中的浏览器中,打开云服务器ECS控制台中的安全组页面,找到数据库服务器所在的安全组SG-WEB01,点击右侧操作列中的配置规则。
https://ecs.console.aliyun.com/securityGroup/region/cn-hangzhou
在入方向规则配置中,手动添加如下两条规则:
放行WEB服务器ECS-WEB01(192.168.1.1)的WEB服务端口HTTP(80)访问:允许,1,自定义TCP,目的端口:HTTP(80),源:0.0.0.0/0,点击保存
允许从文件服务器ECS-FS(192.168.200.1)通过SSH服务(22端口)访问:允许,1,自定义TCP,目的端口:SSH(22),源:192.168.200.1,点击保存
访问权限测试
在云服务器ECS控制台获取ECS-WEB01的公网IP,并复制到本地浏览器进行访问测试,如可以看到”ECS-WEB01页面“说明已经开放了WEB服务的80端口:
在云服务器ECS控制台通过Workbench远程连接文件服务器ECS-FS,并通过SSH(22端口)服务远程连接WEB服务器ECS-WEB01(192.168.1.1):ssh 192.168.1.1
(五)配置数据库安全组:SG-DB01,设置入方向规则,仅允许ECS-WEB01可以访问该安全组中服务器的MySQL数据库服务(3306端口)
复制如下链接,并粘贴至右侧远程桌面中的浏览器中,打开云服务器ECS控制台中的安全组页面,找到数据库服务器所在的安全组SG-DB01,点击右侧操作列中的配置规则。
https://ecs.console.aliyun.com/securityGroup/region/cn-hangzhou
在入方向规则配置中,手动添加一条规则,放行从WEB服务器ECS-WEB01(192.168.1.1)访问MySQL(3306)服务:允许,1,自定义TCP,目的端口:MySQL(3306),源:192.168.1.1,点击保存完成配置。
点击左侧实例与镜像中的实例页面,找到云服务器ECS-DB01,通过Workbench进行远程连接
远程连接成功后,通过如下命令本地登录数据库服务,输入正确密码(初始管理员root用户密码为Test123!)后,显示”mysql>“,可输入SQL命令进行数据库操作:
mysql -uroot -p
成功登录MySQL后,通过如下命令创建一个可远程登录的web用户:
create user 'webuser'@'192.168.1.1' identified with mysql_native_password by 'Test_123';
flush privileges;
测试通过ECS-WEB01远程访问ECS-DB01的MySQL服务,远程连接ECS-WEB01实例:
远程连接成功后,通过如下命令安装MySQL客户端:
yum install -y mysql
远程连接ECS-WEB01成功后,通过如下命令测试是否能够成功登录ECS-DB01中的MySQL服务:
mysql -h192.168.100.1 -uwebuser -pTest_123
如上图所示,说明已经成功通过ECS-WEB01连接ECS-DB01的数据库。
(六)配置数据库服务器的网络ACL:ACL-DB,关联数据库交换机VSW-DB,并分别设置入方向和出方向规则,确保仅ECS-WEB01允许访问MySQL数据库服务的3306端口。
复制如下链接,并粘贴至右侧远程桌面中的浏览器中,打开专有网络VPC控制台中的网络ACL页面(杭州地域),点击创建网络ACL。
https://vpc.console.aliyun.com/nacl/cn-hangzhou/nacls
在弹出的创建网络ACL页面中,进行如下配置后,点击确定:
所属网络ACL:VPC-PRD
名称:ACL-DB
找到刚刚创建的网络ACL:ACL-DB,点击右侧操作列中的关联交换机,选择suoECS-DB01所在的交换机VSW-DB01,点击确定关联。
设置网络ACL入方向规则配置:在ACL-DB的配置页面中点击入方向规则,点击管理入方向规则。添加入下两条规则:
优先级1,策略允许,协议类型TCP,源地址192.168.1.1/32,目的端口3306/3306
优先级2,策略拒绝,协议类型ALL,源地址0.0.0.0/0
例下图所示,入方向规则中,来自源地址为192.168.1.1的请求,访问3306目的端口的TCP协议数据包,在经过如下表所示的ACL规则配置后,匹配生效顺序1和生效顺序2规则中的源地址,由于生效顺序1的优先级高于生效顺序2,所以会根据生效顺序1规则允许该请求。
设置网络ACL出方向规则配置:在ACL-DB的配置页面中点击出方向规则,点击管理出方向规则。添加入下两条规则:
优先级1,策略允许,协议类型TCP,目的地址192.168.1.1/32,目的端口1/65535
优先级2,策略拒绝,协议类型ALL,目的地址0.0.0.0/0
由于业务需要,企业在云上同地域有多个 VPC,希望可以实现多 VPC 之间的灵活通信,例如部分VPC 之间可以互相访问、部分 VPC 隔离、所有流量引流至安全 VPC 做安全管控等场景。
重新远程连接ECS-WEB01,并通过如下命令测试是否能够成功登录ECS-DB01中的MySQL服务:
mysql -h192.168.100.1 -uwebuser -pTest_123
发现可以访问,此时我们的整个架构即可完成。
(七)测评演示视频
三、测评体验
通过此次体验,我对TR转发路由器有了深入了解,其强大的连接网络实例、管控路由和网络安全特性给我留下了深刻印象。TR转发路由器可以轻松连接各种网络实例,包括VPC实例、VBR实例和IPsec连接,而且可以跨地域连接,为我的业务发展提供了很大便利。它的路由管理功能也非常出色,它不仅支持自动关联至转发路由器的默认路由表,还可以自动传播系统路由至转发路由器的默认路由表,极大地简化了我的工作量。
对于安全性方面,TR转发路由器也做得很好。它提供了很多安全措施,比如IPsec连接,可以保障我的数据在传输过程中不被窃取或篡改。总的来说,我觉得TR转发路由器是一款很实用的产品,能帮我解决很多网络问题,提高工作效率,新增的大型企业通常会按照部门、业务、安全等级、生产/开发环境来划分VPC,并需要VPC之间互联互通实现内网业务的互访。过去TR单实例仅支持最多连接200个VPC,而本次发布中将此限制提升到连接1000个VPC,助力企业客户在云上业务的规模发展。
