1. 背景描述
客户从传统的高速通道迁移到云企业网,加入云企业网的VPC,VBR默认全通,但是实际业务场景需要更严格的策略做选择性放通。此外,由于测试账号没有实际专线和VBR,本文均以VPC举例讲解路由策略的配置,VBR类似。
2. 概念理解
图1
3. 环境准备
3.1 创建VPC,vswitch,ECS
VPC1:vpc-j**nv 网段:10.0.0.0/8 地域:香港地
vswitch1: 10.0.1.0/24 香港 可用区B
VPC1-ECS1:10.0.1.*
vswitch2: 10.0.2.0/24 香港 可用区B
VPC1-ECS2:10.0.2.*
VPC2:vpc-j**ob 网段:172.16.0.0/12 地域:香港
vswitch: 172.16.1.0/24 香港 可用区B
VPC2-ECS1:172.16.*
VPC3:vpc-g**rl 网段:192.168.0.0/16 地域:法兰克福
vswitch: 192.168.1.0/24 法兰克福 可用区A
VPC3-ECS1:192.168.1.*
以上3个VPC的4个vswitch各创建一台ECS,安全组上放开10.0.0.0/8,172.16.0.0/12 ,192.168.0.0/16
3.2 创建CEN
参考官网:https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha
I 登录云企业网控制台。
II 在云企业网实例页面,单击创建云企业网实例。
III 在创建云企业网实例页面,完成以下操作:
- 输入实例名称。名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短横线(-)。
- 可选: 输入实例描述信息。名称长度为2~256个中英文字符,不能以
http://
和https://
开头。 - 加载同账号下的网络实例。您可以在创建CEN实例时,将同账号下的网络实例包括专有网络VPC、边界路由器VBR或云连接网CCN直接加载到CEN实例中。加载后,CEN实例内的网络实例可私网互通。
说明:确保要加载的网络实例没有加入到其他的云企业网实例中。
IV 单击确定。
图2
4. 场景实战
4.1 场景一:VPC通过CEN实现全通
4.1.1 场景描述:VPC1,VPC2,VPC3全部互通
图3
4.1.2 实现步骤
4.1.2.1 ping检验当前连通性
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1
- VPC1-ECS1/2----Nok----VPC3-ECS1
- VPC2-ECS1----Nok----VPC3-ECS1
(ok表示可以ping通,Nok表示无法ping通,下同)
4.1.2.2 将3个VPC加入云企业网
参考官网:
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF
4.1.2.3 企业网以及VPC的路由分析
理解路由是很关键的步骤,也是检查配置问题最终、最有效的手段,所以我们花点时间。
1)香港地域网关
图4
100.64.0.0/10是云服务的保留地址段,由系统自动添加,以下不再重复解释。
2)法兰克福地域网关
图5
从香港和法兰克服地域网关的路由信息来看:
①VPC1,VPC2的路由成功上报给香港地域网关,并且同步至法兰克福的地域网关。
②VPC3的路由成功上报给法兰克福的地域网关,并且同步至香港的地域网关。
接下来我们看下各个VPC的情况,看下地域网关是否将对应的路由信息下发。
3)VPC1
图6
4)VPC2
图7
5)VPC3
图8
从VPC内的路由信息来看:
VPC内部的交换机网段,系统自动添加了本地路由,且已经上报至对应地域网关。
地域网关中的VPC上报的路由信息,已经下发至其他VPC中。
4.1.2.4 ping再次检验当前连通性
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----ok----VPC2-ECS1 (云企业网连通)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)
4.2 场景二:限制VPC间互通
4.2.1 场景描述
VPC1与VPC3互通(场景一已实现),VPC1与VPC2不通,VPC2与VPC3不通。
图9
4.2.2 策略分析-VPC1与VPC2不通(同地域)
如VPC1与VPC2不通,那么我们要从1,2,3,4入手,其中1,4是VPC上报路由给地域网关,为了不影响VPC1,VPC2的路由上报并且下发给VPC3,所以我们需要保证畅通,那么可以从2和3入手。
1)其中2中可以设置策略让VPC1拒绝由香港地域网关同步过来的VPC2的路由,源是VPC2,目的是VPC1,出地域网关方向。
2)对于3可以设置策略:让VPC2拒绝由香港地域网关同步过来的VPC1的路由,源是VPC1,目的是VPC2,出地域网关方向。
图10
4.2.3 策略配置-VPC1与VPC2不通(同地域)
4.2.3.1 拒绝VPC1访问VPC2的路由
对应图10中线路2
1)点击添加路由策略
图11
2)填写策略信息
- 策略优先级:数字越小,优先级越高
- 地域:香港地域
- 应用方向:出地域网关
- 匹配条件:源和目的VPC
- 策略行为:拒绝
图12
3)检查效果,查看VPC1的路由表,可以看到已经拒绝VPC1访问VPC2的路由。
图13
4.2.3.2 拒绝VPC2访问VPC1的路由
对应图10中线路3
1)配置步骤同上,配置截图如下:
图14
2)检查效果:查看VPC2的路由表,可以看到已经拒绝VPC2访问VPC1的路由。
图15
4.2.4 策略验证-VPC1与VPC2不通(同地域)
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)
4.2.5 策略分析-VPC2与VPC3不通(跨地域)
如VPC2与VPC3不通,那么我们要从3,4,5,6,7,8入手,其中4,8是VPC上报路由给地域网关,为了不影响VPC2,VPC3的路由上报并且下发给VPC1,所以我们需要保证畅通,然后5,6是保证两个地域之间的路由互通的,为了不影响地域下其他VPC的互通,需要保证通畅,那么可以从3和7入手。
1)其中3中可以设置策略让VPC2拒绝由香港地域网关同步过来的VPC3的路由,源是VPC3,目的是VPC2,出地域网关方向。
2)对于7可以设置策略:让VPC2拒绝由法兰克福地域网关同步过来的VPC2的路由,源是VPC2,目的是VPC3,出地域网关方向。
图16
4.2.6 策略配置-VPC2与VPC3不能互通(跨地域)
4.2.6.1 拒绝VPC2访问VPC3的路由
对应图16中线路3
1)配置截图如下:
主要注意点,由于配置跨地域了,需要指明源实例对应的地域:法兰克福。
图17
2)检查效果,查看VPC2的路由表,可以看到已经拒绝VPC2访问VPC3的路由。
图18
4.2.6.2 拒绝VPC2访问VPC3的路由
对应图16中线路7
1)配置截图如下:
主要注意点,这次地域选择法兰克福,由于配置跨地域了,需要指明源实例对应的地域:香港。
图19
2)检查效果,查看VPC3的路由表,可以看到已经拒绝VPC3访问VPC2的路由。
图20
4.2.7 策略验证-VPC2与VPC3不通(跨地域)
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----Nok----VPC3-ECS1 (访问控制策略生效)
至此,场景二的需求已经完全实现!
4.3 场景三:限制网段间互通
4.3.1 场景描述
VPC1与VPC2不通(场景二已实现),VPC2与VPC3连通(需要去除场景二中4.2.6章节的控制策略),VPC1的vswitch1与VPC3不通,vswitch2与VPC连通。
图21
4.3.2 策略分析-VPC2与VPC3互通
删除4.2.6中配置的路由策略即可。
4.3.3 策略配置-VPC2与VPC3互通
1)删除策略(这里为实验环境,实际生产环境删除策略需谨慎评估)。
图22
2)检查效果
- VPC2中VPC3的路由条目恢复可用。
图23
- VPC3中VPC2的路由条目恢复可用。
图24
4.3.4 策略验证-VPC2与VPC3互通
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----ok----VPC3-ECS1 (访问控制策略删除)
4.3.5 策略分析-VPC1与VPC3限制网段互通
VPC1与VPC3的联通,要从1,2,5,6,7,8入手,其中1,8是VPC上报路由给地域网关,为了不影响VPC1,VPC3的路由上报并且下发给其他VPC,所以我们需要保证畅通,然后5,6是保证两个地域之间的路由互通的,为了不影响地域下其他VPC的互通,需要保证通畅。最后由于VPC1中只是部分网段与VPC3不通,所以VPC3的路由还是需要通过2给到VPC1,所以我们从7入手。
1)7可以设置策略:让VPC3拒绝由法兰克福地域网关同步过来的VPC1的路由条目10.0.1.0/24,源是VPC1,目的是VPC3,出地域网关方向,并且指定网段。
图25
4.3.6 策略配置-VPC1与VPC3限制网段互通
1)配置截图,重点是增加路由前缀的匹配条件。
图26
2)检查效果
VPC3中已经拒绝了VPC1中10.0.1.0/24网段的路由。
图27
4.3.7 策略验证-VPC1与VPC3限制网段互通
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
- VPC1-ECS1----Nok----VPC3-ECS1 (访问控制策略)
- VPC1-ECS2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)
至此,场景三的全部需求实现。
4.4 反向思维:默认不通,选择性打通
4.4.1 场景描述
云企业网(CEN)默认策略是加入的实例全部互通,对于VPC,VBR实例较多,且时不时有新增实例,访问控制较为复杂的用户,可以选择先设置默认Deny的低优先级策略然后根据需求再做开通的高优先级策略。建议用户用此方式管理CEN路由策略。
让我们用反向的思维,重新看待下场景二:
图28
4.4.2 策略分析--反向思维
如何做到让加入的VPC,VBR实例都默认不通呢?在前面的整个配置过程中,我们都是通过拒绝CEN的地域网关下发到VPC,VBR的路由来实现不互通的需求,那么我们考虑设置整个地域的实例默认拒绝CEN地域网关下发的路由即可,效果如下图。
1)香港地域网关:出地域网关方向,所有VPC,VBR,CCN(云链接网)拒绝网关的下发路由。
2)法兰克福地域网关:出地域网关方向,所有VPC,VBR,CCN(云链接网)拒绝网关的下发路由。
图29
经过上面两步后,两个地域除了网关之间的所有入地域网关均被阻断,包括后续新增加的VPC,VBR实例。所以,当前场景二就演变成需要打通VPC2与VPC3。即新增策略(策略优先级一定要高于默认Deny的策略)允许3和7。
图30
1)其中3中可以设置策略让VPC1允许由香港地域网关同步过来的VPC3的路由,源是VPC3,目的是VPC2,出地域网关方向。
2)对于7可以设置策略:让VPC3允许由法兰克福网关同步过来的VPC2的路由,源是VPC2,目的是VPC3,出地域网关方向。
4.4.3 策略配置--反向思维
4.4.3.1 配置香港与法兰克福地域网关默认不通
对应图29
对于我们的实验环境,为了演示方便,清理场景二、三种配置的路由策略(实际生产环境删除策略需谨慎评估)。然后所有VPC,VBR,CCN拒绝CEN地域网关下发的路由,策略优先级设置低一些,后续设置的放通策略优先级是一定要高于默认拒绝的策略,配置截图如下:
a.香港地域
图31
b.法兰克福地域
图32
此时VPC1,VPC2,VPC3中拒绝了所有本地域的CEN网关发来的路由,VPC1举例截图如下:
图33
4.4.3.2 配置VPC1与VPC3可以互通
对应图30
a. 允许VPC1接受VPC3的路由,策略优先级要高于默认的策略。
图34
路由验证:VPC1中已经接受VPC3的路由信息。
图35
b. 允许VPC3接受VPC1的路由,策略优先级要高于默认的策略。
图36
路由验证:VPC3中已经接受VPC1的路由信息。
图37
4.4.4 策略验证-反向思维
图38
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (默认不通的访问控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (允许VPC1与VPC3通信的访问策略生效)
- VPC2-ECS1----Nok----VPC3-ECS1 (默认不通的访问控制策略生效)
至此,场景二的需求已经通过反向思维完全实现!后续:
如果在香港,法兰克福地域有新加入VPC,VBR实例,需要与已经在CEN中的实例通信时,只需要按照4.4.3.2的方式配置一对放通策略即可。
如果有其他地域的VPC,VBR实例加入CEN,可以先如4.4.3.1配置默认deny的策略,然后再根据情况按4.4.3.2配置放通策略。
原文链接
本文为阿里云原创内容,未经允许不得转载。