本文簡介

本文重點介紹在云上云下業務協同或多云協同場景下，如何通過物理專線和阿里云云網絡產品實現云上云下或多云之間的業務協同，快速構建安全、穩定、彈性的混合云或多云協同網絡，以滿足客戶的云化進程。

本文面向技術人員，如CTO（首席技術官）、架構師、開發人員及運營團隊成員等，介紹基于專線構建混合云或者多云相關的方案和方法，旨在為讀者提供參考，以結合現有業務進行混合云或者多云網絡的規劃與設計。?

本文關鍵詞

• 物理專線：物理專線是通過物理電纜或光纖實現不同機房之間的物理線路連接，通常由運營商提供并維護。根據不同的交付形態，連接阿里云專線接入點機房的物理專線可分為獨享物理專線和共享物理專線：

  • 獨享物理專線：企業可以自主將本地IDC與阿里云接入點通過專線方式連接，該方式確保獨享一個物理端口，您可以通過高速通道控制臺自主申請物理專線連接。此方案適用于帶寬需求較大且對安全性與可靠性有較高要求的中大型企業客戶。

  • 共享物理專線：合作伙伴的接入點已經與阿里云的接入點完成對接，您只需要聯系阿里云的合作伙伴，合作伙伴將負責從本地IDC機房到其接入點機房的物理專線部署。此方案合作伙伴與阿里云之間的連接采用多租戶共享模式，適用于帶寬需求較小，安全性和可靠性要求一般的中小型企業客戶。

• 高速通道：高速通道（Express Connect）是一項連接企業數據中心與阿里云的網絡服務，可以在企業數據中心與云上網絡之間建立高速、穩定且安全的私網通信通道。高速通道的數據傳輸過程具有可信性和可控性，能夠有效提升網絡通信的質量和安全性。

• VBR：阿里云基于軟件定義網絡（SDN）架構下的三層Overlay技術和交換機虛擬化技術，將物理專線的接入端口進行隔離，并抽象為邊界路由器（Virtual Border Router，簡稱VBR）。VBR是客戶終端設備（CPE）與專有網絡（VPC）之間的路由器，作為數據從VPC轉發至本地數據中心IDC的橋梁。

• 專線網關ECR：專線網關ECR（Express Connect Router）是全球混合云專線組網的重要轉發服務組件，提供全球范圍內的專線網絡互通、全動態路由組網以及統一路由發布管理等功能。例如，通過為專線網關ECR添加VBR，并將ECR綁定至轉發路由器TR實例，可以實現本地IDC與云上資源之間的互訪。

• 云企業網：云企業網CEN（Cloud Enterprise Network）是建立在阿里云私有全球網絡上的高可用網絡。云企業網通過轉發路由器TR（Transit Router）在跨地域專有網絡之間，專有網絡VPC與本地數據中心IDC之間搭建私網通信通道，構建了一張靈活、可靠且大規模的企業級云上網絡。

• 專有網絡：專有網絡VPC（Virtual Private Cloud）是用戶在阿里云平臺上創建的自定義私有網絡,。不同的專有網絡之間實現二層邏輯隔離，用戶可以在其創建的專有網絡內創建和管理云產品實例，例如ECS、SLB、RDS等。

該架構的設計原則如下：

• 穩定性：專線承載的流量均為企業內部的業務流量，因此混合云/多云鏈路的穩定性至關重要。一旦鏈路中斷，云上與云下、云間的業務互訪將不可達，從而影響業務間的交互，甚至可能出現核心業務不可用等嚴重問題，對業務產生較大的影響。因此混合云/多云網絡的穩定性是企業網絡架構設計的重中之重。

• 彈性：企業在不同階段的業務規模或者處于不同的上云階段，對混合云/多云鏈路的帶寬需求也不同。在架構設計時，需具備根據客戶業務需求靈活擴縮容能力，以幫助客戶更平滑的上云，更高效的利用云資源，充分發揮公共云的彈性、按需優勢，降低使用成本。

• 安全性：混合云/多云架構涉及不同網絡域之間的互通，且企業內部存在不同安全等級的業務，特別是對重要業務的訪問，通常需要遵循安全可控及最小權限按需互通原則，以防止企業內部數據泄露和濫用，滿足企業內部的數據安全要求。

穩定

專線帶寬的可靠性設計

高速通道單實例提供50Mbps至100Gbps的帶寬連接（若存在更高的帶寬需求，可通過鏈路聚合方式實現擴容），您需要根據業務需求，確保故障切換時具備足夠的帶寬以承載切換后的流量。同時在此過程中可以使用云監控的告警服務對專線配額進行管理，以防止流量超限導致的丟包，從而影響業務，請參考：配置監控報警。

專線鏈路的可靠性設計

在混合云或多云網絡使用過程中，通常可能會因為網絡維護等原因，需要臨時關閉其中的部分連接。因此，在此之前需要根據業務需求選擇不同的高可靠組網模式：物理鏈路級的高可靠模式選擇。

從穩定性角度考慮，建議優先選擇雙專線雙接入點方式構建混合云/多云網絡。同時，建議在VBR與IDC/多云之間盡量采用BGP動態路由協議而非靜態路由，以便線路故障時可以自動切換。在專線多鏈路情況下，阿里云提供多種專線冗余方案實現業務的高可靠保障：

• BGP+BFD實現主備冗余專線方案，請參考：本地IDC通過ECR主備專線鏈路上云方案。

• BGP+BFD實現負載冗余專線方案，請參考：本地IDC通過ECR實現負載專線鏈路上云方案。

當然，除了物理專線級的高可靠方案，阿里云也支持物理專線聯合VPN實現高可靠方案，請參考：物理專線聯合VPN實現主備鏈路方案。當預算有限時，可以考慮使用VPN（IPsec隧道）備份專線，由于IPsec隧道帶寬容量限制，建議優先考慮備份關鍵業務。另外，建議在IPSec隧道中啟用BGP動態路由協議，以便于監測IPSec隧道的可用性并實現路由的自動收斂。

故障演練

高速通道故障演練功能是一種模擬故障場景的工具。模擬在高速通道冗余鏈路中的一條鏈路發生故障時，網絡流量會自動切換至其他冗余鏈路的場景。借助該工具，可以測試和驗證IDC與阿里云組建的混合云組網的可靠性。請參考：故障演練?。

性能&彈性

專線規格

• 獨享專線：1 Gbps及以下，10 Gbps，40Gbps，100Gbps。

• 共享專線：50 Mbps，100 Mbps，200 Mbps，300 Mbps，400 Mbps，500 Mbps，1 Gbps，2 Gbps，5 Gbps，8 Gbps，10 Gbps，20 Gbps，40 Gbps，50 Gbps，60 Gbps，80 Gbps，100 Gbps。

  說明

  • 高速通道管理控制臺支持直接申請的物理專線最大規格為10 Gbps，10 Gbps以上獨享專線接入需求，請提交工單申請。

  • 高速通道管理控制臺支持直接申請的共享專線的最大規格為1 Gbps，1 Gbps以上共享專線接入需求，請提交工單申請。

專線規格擴容

• 獨享專線變配：當業務所需的專線帶寬超過單端口規格時，可以采用多端口三層聚合成ECMP方式實現帶寬獨享專線的變配，即將多條物理專線接入同一個接入點設備，并綁定到同一個VBR來實現物理專線的帶寬擴容。請參考：通過ECMP鏈路聚合方式連接上云。?

• 共享專線變配：共享專線支持按需調整規格，具體操作，請參考：變配管理—>共享專線實例變配。?

ECR連接轉發路由器TR的規格

每個ECR連接TR的網絡實例所支持的最大帶寬為：華東1（杭州）、華東2（上海）、華北2（北京）、華南1（深圳）及新加坡地域為50 Gbps，其余地域為10 Gbps。如需更大的帶寬，請聯系商務經理以進行單獨的帶寬需求評估。

時延

單個地域提供多個不同地址位置的接入點，每個接入點與同一地域內不同可用區之間的網絡延遲均小于5毫秒。當業務對云下與云上之間的網絡延遲要求較高時，用戶可以提交工單咨詢距離云服務器所在可用區最近的接入點。

故障切換性能

高速通道通過BGP、BFD和快速倒換組的技術組合提供多種故障的快速切換方式。

• 其中BGP路由自動收斂方式實現故障鏈路的秒級切換。

• BGP+BFD可實現故障鏈路的毫秒級檢測和秒級切換。

• BGP+BFD+快速倒換組可實現故障鏈路的毫秒級切換。

BGP路由協議建議開啟BFD、開啟快速倒換組，加速路由收斂和縮短故障切換時間。

安全

網絡分級安全防護

混合云網絡邊界對安全防護至關重要，通過安全組、網絡訪問控制列表（ACL）和TR多路由表等措施可以提供多級分段保護能力，從而有效保障混合云網絡的安全性。

• 安全組：安全組是一種虛擬防火墻，能夠控制ECS實例的出入站流量。安全組的入方向規則用于控制ECS實例的入站流量，而出方向規則則用于管理ECS實例的出站流量。請參考：安全組應用案例。

• 網絡ACL：網絡ACL（Network Access Control List）是專有網絡VPC中的網絡訪問控制功能。用戶可以自定義設置網絡ACL規則，并將其與交換機進行綁定，以實現對交換機中云服務器ECS實例流量的訪問控制。若需要對部分IDC訪問云上VPC進行限制，請參考：限制本地數據中心與云上的互通。

• TR多路由表：通過多路由表的方式，可以實現VPC與IDC業務之間的靈活互通、隔離以及安全引流，從而滿足云上云下的安全互通需求。請參考：使用企業版轉發路由器實現流量安全互訪。

• TR多路由表+云防火墻：基于TR多路由表，支持建立可信流量與不可信流量的不同路由表隔離網絡流量，并通過云防火墻實現對流量的異常檢測與防護。

數據加密保護：

本地IDC通過物理專線與云上VPC實現私網通信，但該通信流量未經過加密處理。在無法滿足安全要求較高的通信場景時，聯合IPsec VPN可實現基于物理專線的私網流量加密通信。具體請參考：通過BGP路由方式實現私網流量加密通信。

可觀測

根據物理專線場景的問題分類，主要可分為以下幾個觀測內容：

• 物理專線連通性觀測：通過云監控的報警服務，可以監控物理專線的連接狀態（可用或不可用）。請參考：物理端口監控及預警。

• 物理專線的流量使用情況觀測：通過在高速通道控制臺查看物理端口的出方向流量使用情況，可以監測不同時間段內的流量使用情況。請參考：出方向流量費。

• 物理專線帶寬利用率觀測：結合阿里云的云監控服務，高速通道所提供的VBR監控及預警功能能夠實時探測VBR的實時狀態和流入流出的速率，并支持根據配置的報警規則發送報警通知。專線下同一時間點的多個VBR的流入流出速率累加，即可評估整條物理專線的帶寬利用率情況。請參考：邊界路由器監控及預警。

• Top N流量觀測：在使用云企業網組網架構下，通過網絡智能服務（NIS）的混合云流量分析，能夠以IP、端口、協議多維度展示通過TR的云服務器ECS與線下IDC間出入方向的流量。并展示在目標地域和目標時間段內云端端口統計Top流量、對端端口統計Top流量、協議統計Top流量數據。具體請參考：使用混合云流量分析。

自服務?

異常信息快速感知

• 可開啟云監控監控項的告警，自定義物理端口和VBR等告警閾值，即可及時感知相關異常，具體請參考：配置高速通道監控報警。?

• 您可以直接訂閱網絡智能服務NIS事件中心提供的主動告警能力，幫助及時獲知風險，查看可能受影響的資源，避免業務受損。具體請參考：NIS事件中心的高速通道章節。

• 網絡智能服務NIS默認提供了基于整體架構的網絡診斷，覆蓋穩定性、安全、性能、成本優化和卓越運營等檢查項。通過巡檢結果，可以檢查混合云/多云網絡是否存在風險，具體請參考：網絡巡檢。

混合云/多云網絡不可達

當遇到混合云/多云鏈路不可達時，可通過如下兩種方式快速定位可能的問題原因。

• 方式一：通過網絡智能服務（NIS）進行路徑分析，可以實現網絡異常的自助定位。執行路徑分析后，將自動生成VPC與IDC之間的虛擬網絡路徑逐跳的詳細信息。當目的地不可達時，系統會檢查阻塞的位置及其原因，并展示從源資源到目標資源的流量路徑。如果自助服務無法修復問題，您可以提交工單向阿里云報告故障。

• 方式二：在本地數據中心的網關設備上，需對物理專線的客戶端側IP與阿里云側IP連通性進行測試，即驗證此物理專線的直連IP是否能夠ping通。如果不通，則需向運營商報告故障。同時，您可以提交工單向阿里云反饋問題，阿里云會檢查專線接入情況。阿里云與用戶的分工界面在阿里側交換機的端口，接入設備正常，但端口不通則屬于運營商線路中斷，需要向運營商報告故障。

核心業務的混合云/多云互通場景

最佳實踐核心架構：

• 雙線雙接入點：申請兩個接入點內的資源，建立兩條專用線路連接，專用線路之間可以實現負載均衡（ECMP），并具備主備功能，確保接入的高可靠性和良好的性能。

• 基于全動態路由和底層分布式設計的ECR網關：能夠有效提升路由配置管理的效率，縮短專線到可用區（AZ）的時延，并增強地域接入TR專線的整體帶寬能力。

• TR實現了ECR與VPC之間的有效隔離及按需互通。

• IDC與第三方云及阿里云之間采用BGP+BFD進行互聯。

  

非核心業務的混合云/多云互通場景

最佳實踐核心架構：

• 專線+VPN主備：以專線作為主用鏈接，當專線發生故障時將自動切換至備用VPN，從而有效降低混合云與多云互通的成本。

• 基于全動態路由和底層分布式設計的ECR網關：可以提升路由管理效率、縮短專線到可用區AZ的時延，提升地域接入TR專線的總帶寬能力。

• TR實現了ECR與VPC之間的有效隔離及按需互通。

• IDC/三方云和阿里云之間采用BGP+BFD互聯。

  

核心業務的混合云/多云互通場景

代碼流程：

1. 雙物理專線&雙接入點：申請2個接入點內的資源，建立2根物理專線連接，專線間可做負載均衡ECMP、可做主備，接入可靠性高、性能好。

2. 基于全動態路由和底層分布式設計的ECR網關：可提升路由配置管理效率、縮短專線到可用區AZ的時延，并提升Region接入TR專線的總帶寬能力。

3. TR實現ECR和VPC間的有效隔離和按需互通。

4. IDC/三方云和阿里云間采用BGP+BFD互聯。

需要創建的實例如下：

• 2個VPC

• 4個交換機

• 1個CEN

• 1個TR

• 1個ECR

• 2個VBR

非核心業務的混合云/多云互通場景

代碼流程：

1. 物理專線+VPN主備：物理專線為主用，當專線故障后切換到備用的VPN，節省混合云/多云互通成本。

2. ECR網關：基于全動態路由和底層分布式設計，可以提升路由管理效率、縮短專線到可用區AZ的時延和提升Region接入TR專線的總帶寬能力。

3. TR實現ECR/VPN和VPC間的有效隔離和按需互通。

4. IDC/三方云和阿里云間采用BGP+BFD互聯。

需要創建的實例如下：

• 2個VPC

• 4個交換機

• 1個CEN

• 1個TR

• 1個ECR

• 1個VBR