内网DNS解析&VPN网关联动实现云上访问云下资源

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 内网DNS解析&VPN网关联动实现云上访问云下资源

自建IDC和阿里云VPC分别属于两套网络环境,但部署在自建IDC和阿里云VPC内的业务都需要通过DNS解析进行业务间调用,并且分别管理两套数据不仅给运维工程师带来重复性工作的增加,同时也会产生数据一致性管理的风险,给业务带来很高的不确定性,所以需要在自建IDC和阿里云VPC共享DNS解析数据,来实现业务间能实时调用。本文章九河云将讲解如何实现云上内网解析访问云下DNS解析数据的方法。


解决方案

实现云上访问云下资源,可以通过3种解决方案实现。本文则主要为您详细说明方案一:通过解析器实现云上访问云下资源的操作步骤和验证方法。


方案一:通过解析器实现云上访问云下资源

  1. 通过SAG/专线/VPN等连接方式,将云上VPC与传统数据中心互联。本示例采用IPsec-VPN隧道方式。


方案二:通过修改云上服务器的LocalDns实现云上访问云下资源

  1. 通过SAG/专线/VPN等连接方式,将云上VPC与传统数据中心互联。本示例采用IPsec-VPN隧道方式。
  2. 通过修改云上服务器的LocalDNS,客户端发起直接向线下自建DNS服务器发起解析请求。


vim /etc/resolv.conf
#根据线下自建DNS实际IP修改下方nameserver
nameserver 2.2.XX.XX
nameserver 3.3.XX.XX

方案三:通过辅助DNS实现云上访问云下资源

  1. 通过SAG/专线/VPN等连接方式,将云上VPC与传统数据中心互联。本示例采用IPsec-VPN隧道方式。
  2. 开启辅助DNS通过辅助DNS将线下自建DNS的解析同步至云上进行解析。


重要

自建DNS建议使用Bind,目前辅助DNS对Windows DNS Server不提供完整支持。

通过转发管理实现云上访问云下资源

什么是转发管理?

转发管理通过创建域名转发规则和DNS出站终端节点,可将阿里云VPC下内网解析的DNS请求流量转发到外部DNS系统,能够有效解决混合云、云上&云下的业务间调用场景。


资源准备

  1. 使用阿里云服务器模拟线下IDC,然后通过Bind搭建自建DNS服务。
  2. 阿里云VPC侧VPN网关产品服务。
  3. 内网解析产品服务。

操作步骤

步骤一:创建VPN网关

完成以下操作,创建VPN网关。

  1. 登录专有网络管理控制台 。
  2. 在左侧导航栏,单击 网间互联 > VPN > VPN网关。
  3. 在 VPN网关 页面,单击 创建VPN网关。
  4. 购买页面,根据实际需求配置VPN网关,然后单击 立即购买 完成支付。
  5. 返回VPN网关页面,查看创建的VPN网关。本示例VPC公网IP为:47.111.XX.XX。

说明

刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态表明VPN网关完成了初始化,可以正常使用了。


步骤二:创建用户网关

完成以下操作,创建用户网关。

  1. 在左侧导航栏,单击 网间互联 > VPN > 用户网关
  2. 选择创建用户网关的地域
  3. 用户网关 页面,单击 创建用户网关
  4. 创建用户网关 页面,根据以下信息配置用户网关,然后单击 确定


  • 名称:输入用户网关的名称。
  • IP地址:输入VPC要连接的本地数据中心网关设备的公网IP。本示例模拟自建IDC的IP为:223.5.XX.XX。
  • 描述:输入用户网关的描述信息。


步骤三:创建IPsec连接

完成以下操作,创建IPsec连接。

  1. 在左侧导航栏,单击 网间互联 > VPN > IPsec连接
  2. 选择创建IPsec连接的地域。
  3. IPsec连接 页面,单击 创建IPsec连接
  4. 创建IPsec连接 页面,根据以下信息配置IPsec连接,然后单击确定


  • 名称:输入IPsec连接的名称。
  • VPN网关: 选择已创建的VPN网关。
  • 用户网关:选择要连接的用户网关。
  • 本端网段:输入已选VPN网关所属VPC的网段。本示例为:172.25.0.0/16。
  • 对端网段:输入本地数据中心的网段。本示例为:172.28.0.0/16。
  • 立即生效:选择是否立即生效。
  • 是:配置完成后立即进行协商。
  • 否:当有流量进入时进行协商。
  • 预共享密钥:输入共享密钥,该值必须与本地网关设备的预共享密钥一致。其他选项使用默认配置。
  • 加密配置、BGP配置、健康检查、标签 等根据您实际场景进行选择。


步骤四:在本地网关设备中加载VPN配置

完成以下操作,在本地网关设备中加载VPN配置。

  1. 在左侧导航栏,单击网间互联 > VPN > IPsec连接
  2. 选择IPsec连接的地域。
  3. IPsec连接 页面,找到目标IPsec连接,然后单击 操作 列下的 下载对端配置
  4. 根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。
  5. 本示例采用的是Strongswan搭建IPsec-VPN服务,具体部署过程如下:


  1. 安装Strongswan:yum install strongswan -y。
  2. 配置Strongswan。本示例配置仅供参考。
    (1).[centos ~]# vim /etc/strongswan/ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
 
config setup
    # strictcrlpolicy=yes
    uniqueids = never
 
conn %default
        ikelifetime=1440m   
        keylife=60m
        rekeymargin=3m
        keyingtries=0
        keyexchange=ikev1   #ike版本
        authby=psk
 
conn toMyIdc
      left=%defaultroute
      leftid=x.x.x.44    #本地IDC网关公网IP
      leftsubnet=172.28.0.0/16    #本地IDC私有网络地址,如果要确保VPC网段都能通,需要添加整段VPC地址
      right=x.x.x.152      #阿里云VPN网关公网IP
      rightid=x.x.x.152    #阿里云VPN网关公网IP
      rightsubnet=172.17.0.0/16     #阿里云VPN网关关联VPC私有网络地址
      auto=start   #进程主动时立即建立 IPsec 安全连接
      type=tunnel
      ike=3des-md5-modp1024
      esp=3des-md5

(2).运行以下命令打开ipsec.secrets配置文件。本示例配置仅供参考。

[centos ~]# vi /etc/strongswan/ipsec.secrets
# ipsec.secrets - strongSwan IPsec secrets file
x.x.x.44 x.x.x.152 : PSK 1234567

(3)./etc/sysctl.conf系统配置。本示例配置仅供参考。

vim /etc/sysctl.conf
#配置转发,默认是0
net.ipv4.ip_forward = 1
#关闭重定向,防止恶意用户可以使用IP重定向来修改远程主机中的路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
 
#使配置生效
[centos ~]# sysctl -p

c. 启动Strongswan服务。
systemctl start strongswan.service
d. 添加路由,本示例直接在界面化添加。

在IDC核心网关上添加到对端172.17.0.0/16的路由,下一跳指向strongswan的IP 172.28.0.7。


步骤五:配置VPN网关路由

完成以下操作,配置VPN网关路由。

  1. 在左侧导航栏,单击网间互联 > VPN > VPN网关。
  2. 选择VPN网关的地域。
  3. 在 VPN网关 页面,找到目标VPN网关,单击 实例ID/名称 列下的实例ID。
  4. 在 目的路由表 页签,单击 添加路由条目。
  5. 在 添加路由条目 页面,根据以下信息配置目的路由,然后单击 确定。


  • 目标网段:输入本地IDC侧的私网网段。本示例为:172.28.0.0/16。
  • 下一跳类型:IPsec连接。
  • 下一跳:选择IPsec连接实例。
  • 发布到VPC:选择是否将新添加的路由发布到VPC路由表。本例选择
  • 权重:选择权重值。本例选择 100(主)


步骤六:测试网络访问

登录到阿里云VPC内一台无公网IP的ECS实例,并通过ping命令ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。

步骤七:搭建自建DNS服务

  1. 安装Bind:yum install -y *bind
  2. 配置named.conf:vim /etc/named.conf。本示例配置仅供参考。


zone "alidns-example.com" IN {
        type master;
        file "alidns-example.com.zone";
        allow-update {127.0.0.1; };
};

3.配置alidns-example.com.zone:vim /var/named/alidns-example.com.zone。本示例配置仅供参考。

$TTL 3600
@       IN SOA  172.28.0.7. admin.alidns-example.com. (
                                        8       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
@       IN      NS      172.28.0.7.
@       IN      A       15.15.XX.XX

4.启动Bind:systemctl start named.service

步骤八:转发管理配置

一、创建出站终端节点

完成以下操作,配置出站终端节点。

  1. 登录云解析控制台
    > 内网DNS解析(PrivateZone) >选择 管理配置模式 > 转发管理 > 出站终端节点 > 创建出站终端节点
  2. 创建出站终端节点 页面,根据以下信息进行配置,然后点击 确定
  • 终端节点名称:输入终端节点名称。本示例采用Test。
  • 出站VPC:转发管理所有出站的DNS查询流量都将由此VPC进行流量转发。本示例选取北京Region下的VPC。
  • 安全组:安全组里面的规则将应用于出站VPC。本示例进行了TCP/UDP 53端口入站/出站开放。
    说明
  • 目前仅支持选择非托管安全组。托管安全组信息,请参见托管安全组
  • 出站流量源IP地址:选择并填入可用区内子网下的IP地址(非ECS已占用IP地址)。
二、创建转发规则
  • 在 转发管理 页面选择 转发规则 页签,再点击 创建转发规则。并根据以下信息进行配置转发规则,然后点击确定。
  • 规则名称:输入规则名称。本示例采用Test。
  • 规则类型:目前仅可选择“转发至外部IP”。
  • 转发域名(Zone):填入您需要转发查询的域名名称。本示例为:alidns-example.com。
  • 出站终端节点:选择已经创建好的出站终端节点。本示例为上一步创建的出站终端节点Test。
  • 外部DNS系统的IP地址和端口:线下IDC中自建DNS服务器的IP地址与端口号。本示例为:172.28.XX.XX:53。


三、设置规则生效范围
  1. 转发规则 页面,点击目标转发规则 操作 列的 转发规则生效范围。在 转发规则生效范围 弹框中选择域名生效范围VPC(绑定的VPC与出站终端节点需要在相同的Region下)。


步骤九:解析测试

  1. 登录关联VPC内的任一ECS进行以下命令测试:
    dig alidns-example.com
目录
打赏
0
0
0
0
31
分享
相关文章
2025年阿里云弹性裸金属服务器架构解析与资源配置方案
🚀 核心特性与技术创新:提供100%物理机性能输出,支持NVIDIA A100/V100 GPU直通,无虚拟化层损耗。网络与存储优化,400万PPS吞吐量,ESSD云盘IOPS达100万,RDMA延迟<5μs。全球部署覆盖华北、华东、华南及海外节点,支持跨地域负载均衡。典型应用场景包括AI训练、科学计算等,支持分布式训练和并行计算框架。弹性裸金属服务器+OSS存储+高速网络综合部署,满足高性能计算需求。
DataWorks 稳定性保障全解析:深入监控与资源调配
DataWorks 的稳定性保障体系涵盖精细监控与资源调配,确保企业数据业务高效、稳定运行。监控模块包括资源、任务和质量监控,及时预警并处理异常;资源调配策略则针对集成、调度、数据服务及计算资源进行科学配置,保障数据同步、任务优先级和高并发需求。通过全方位的监控和合理的资源配置,DataWorks 为企业筑牢数据根基,助力数字化转型。
90 10
搭建域名访问环境二(负载均衡到网关)
这篇文章讲述了如何配置Nginx实现域名访问环境,通过负载均衡将请求从Nginx反向代理到服务网关,并提供了详细的配置步骤和测试验证方法。
搭建域名访问环境二(负载均衡到网关)
|
6月前
|
超实用!深度解析Unity引擎,手把手教你从零开始构建精美的2D平面冒险游戏,涵盖资源导入、角色控制与动画、碰撞检测等核心技巧,打造沉浸式游戏体验完全指南
【8月更文挑战第31天】本文是 Unity 2D 游戏开发的全面指南,手把手教你从零开始构建精美的平面冒险游戏。首先,通过 Unity Hub 创建 2D 项目并导入游戏资源。接着,编写 `PlayerController` 脚本来实现角色移动,并添加动画以增强视觉效果。最后,通过 Collider 2D 组件实现碰撞检测等游戏机制。每一步均展示 Unity 在 2D 游戏开发中的强大功能。
346 6
Java中的集合框架深度解析云上守护:云计算与网络安全的协同进化
【8月更文挑战第29天】在Java的世界中,集合框架是数据结构的代言人。它不仅让数据存储变得优雅而高效,还为程序员提供了一套丰富的工具箱。本文将带你深入理解集合框架的设计哲学,探索其背后的原理,并分享一些实用的使用技巧。无论你是初学者还是资深开发者,这篇文章都将为你打开一扇通往高效编程的大门。
深度解析Hologres计算资源配置:如何根据业务场景选择合适的计算类型?
【8月更文挑战第22天】Hologres是一款由阿里云提供的分布式分析型数据库,支持高效的大数据处理与分析。本文通过电商优化商品推荐策略的案例,介绍了Hologres中的计算组型与通用型配置。计算组型提供弹性扩展资源,适合大规模数据及高并发查询;通用型则适用于多数数据分析场景,具备良好计算性能。通过实例创建、数据加载、计算任务建立及结果查询的步骤展示,读者可理解两种配置的差异并根据业务需求灵活选择。
97 2
【Axure高手秘籍】掌握这招,让你的原型设计效率飙升!——元件库导入与使用教程及主流资源下载全解析
【8月更文挑战第20天】Axure RP是界面设计与交互原型制作的强大工具。掌握元件库能显著提升设计效率。元件库包含预设UI元素如按钮、表单等,可直接拖放构建布局。在Axure RP中,通过“元件”选项下的“库”可访问并导入新元件库。导入后,轻松拖放元件至画布调整,甚至自定义样式和交互。利用脚本还能模拟真实交互效果,如按钮点击反馈。推荐资源包括Axure Marketplace、UIZilla等,助力高效设计。
200 0
远程访问内网设备:对比IPsec VPN,SD-WAN异地组网更具优势
无论是远程办公还是工业物联,高效网络连接至关重要。传统IPsec VPN虽能提供安全通道,但部署复杂且灵活性有限。相比之下,SD-WAN作为一种软件定义广域网技术,以其简易部署、智能选路及云端管理等优势脱颖而出。它不仅简化了配置流程,支持任意网络环境下的快速组网,还通过智能优化路径保证了跨地域和运营商间的高质量传输。此外,SD-WAN的云端化管理平台使得维护与扩展更为灵活便捷,集成的安全功能进一步提升了整体网络防护水平。
315 0
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
138 2

热门文章

最新文章

推荐镜像

更多
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等