企业运维训练营之云上网络原理与实践
第五讲 云上网络互连(中)
视频地址:
https://developer.aliyun.com/learning/course/991/detail/14983
三、云企业网组件
1. 概述
云企业网架构图
在云企业网架构中,包含以下三个重要组件:
a. TR实例:每个Region的核心路由器,每个CEN每个Region只有一个TR实例;
b. TR连接(Attachment):TR与边界网络的连接,一个TR上可以有多个连接,连接分为四种类型:
- VPC Attachment
- VBR Attachment:VBR(Virtual Border Router,虚拟边界路由)
- CCN Attachment
- 跨地域Attachment
c. TR路由表:一个TR上可以存在多个路由表,多个Attachment可以关联到相同或者不同的TR路由表中,应用该路由表中的路由进行转发。
2. TR的路由表&关联转发、路由学习
路由表有三个列表引用Attachment对象:
a. 路由条目:在路由表中配置静态路由时,可以将下一跳配置成对应Attachment;
b. 关联转发条目:每个Attachment都必须关联到一个路由表上,代表TR从该attachment上收到流量后,从该路由表中寻找目的地址进行转发;
c. 路由学习条目:每个路由表都可以配置从多个Attachment上学习对端的路由,作为快速导入路由的方式;
在默认情况下,创建attachment会自动关联默认路由表,且默认路由表自动学习对端路由,实现快速互通。
高级场景可以在创建attachment的时候,指定关联的路由表,关闭自动学习,配置自定义路由。
下表中列举了四种Attachment类型在限制、属性、路由表操作三方面的对比。比如,属性中的带宽,TR-VPC Attachment的带宽没有限制,TR-VBR Attachment带宽有保护性限速,TR-CCN Attachment的带宽不可配置,跨地域Attachment带宽需要付费购买带宽包;另外,创建TR-VPC Attachment需要创建TR的VSW,TR-CCN Attachment的路由表不可操作,直接关联唯一的路由表,并动态学习路由。
3. 关联转发&路由学习
通过两个示例来详细解释关联转发路径和路由学习。
示例一:
在这个示例中有两个VPC,杭州VPC1和杭州VPC2,两个路由表A&B。
- 杭州VPC1经VPC Attachment关联转发到路由表A,在路由表中通过路由学习将下一跳指定为杭州VPC2,因此杭州VPC1的流量就转入杭州VPC2;
- 杭州VPC2流量通过关联转发到路由表B,路由表通过路由学习选择下一跳到杭州VPC1,因此杭州VPC2流量回转到杭州VPC1;
示例二:
在这个示例中只有一个默认路由表,2个VPC(杭州VPC1&VPC2),1个本地IDC(杭州),1个杭州TR和1个跨地域TR(新加坡转发路由器)。
- 在杭州VPC1和杭州TR之间引入路由策略,其目的是阻止路由表学习VPC1的10.1.4.0/24网段路由,因此在路由表目标网段中没有这个网段列表,这一网段与云企业网不连接;
- 也可以通过关闭自动学习,自定义设置学习网段的方式来实现这一目的。
4. TR的路由传播过程
TR路由表传播到其他节点(VPC/VBR/CCN/跨地域TR)时,应用以下规则:
- TR任何路由表都不传播到VPC中,VPC路由表需要用户自行配置;
- 只有Attachment所关联的路由表才能被传播;
- 从一个Attachment学来的路由不会被发布给这个 Attachment;
TR路由表从其他节点(VPC/VBR/CCN/跨地域TR)学习路由时:
- 只有配置了路由学习条目的路由表才会学习对应Attachment的路由;
- 所有路由按照最长匹配原则进行路由匹配。
5. 应用场景
与前面介绍的办公局点架构(下图左)对比,云企业网的典型企业级层级网络架构(下图右),可以实现更复杂的企业组网。
在右图典型企业级层级网络中,下层可信区的VPC_B和VPC_C,是两个互不连接的可用区,如果希望将它们通过一个防火墙设备进行互通,可以通过以下方式实现:
a. 首先,在TR上生成2个路由表,将VPC_B和VPC_C Attach到不可信流量路由表,VPC_A Attach到可信流量路由;
b. VPC_B和VPC_C的流量通过Attachment关联转发到TR的不可信路由表,指向下一跳到VPC_A;
c. VPC_A的子网路由表指向下一跳是ECS(安全管控),流量通过交换机转入ECS;
d. ECS路由表指向下一跳为TR转发路由器,流量转入TR的可信流量路由,再根据指向路径返回VPC_B和VPC_C;
e. 至此,实现VPC_B和VPC_C通过安全管控设备互通。
