本文介紹如何聯合使用智能接入網關SAG(Smart Access Gateway)、物聯網卡和云連接器(Cloud Connector)產品實現本地網絡與阿里云專有網絡VPC(Virtual Private Cloud)私網互通。

場景示例

物聯網卡+CCIOT+云鷹卡

本文以上圖場景為例。某本地機構已在華東1(杭州)地域創建了一個VPC實例,并在VPC中使用云服務器ECS(Elastic Compute Service)產品部署了相關應用,現本地機構希望機構內的客戶端可以私網訪問VPC內的應用。

本地機構可以購買一臺SAG-1000設備和一個物聯網卡,然后再通過物聯網卡和云連接器產品實現本地機構與VPC的私網互通。

網段規劃

重要 在您規劃網段時,請確保本地機構和VPC之間要互通的網段沒有重疊。
資源網段及IP地址
VPC主網段:10.0.0.0/16
  • 交換機1網段:10.0.0.0/24
  • 交換機2網段:10.0.1.0/24
  • ECS1實例IP地址:10.0.0.1,ECS1實例位于交換機1下
  • ECS2實例IP地址:10.0.1.1,ECS2實例位于交換機2下
本地機構192.168.0.0/24

準備工作

  • 您已經在阿里云華東1(杭州)地域創建了一個VPC實例,并使用ECS部署了相關業務。具體操作,請參見搭建IPv4專有網絡
  • 您已經了解VPC中ECS實例所應用的安全組規則,并確保安全組規則允許本地機構和ECS實例互相通信。具體操作,請參見查詢安全組規則添加安全組規則
  • 您已開通云連接器服務。如未開通,請先完成開通服務
  • 您已購買并激活物聯網卡,且獲取了物聯網卡的IP地址以及專用APN。具體操作,請參見新購憑證激活物聯網卡
    購買物聯網卡時,運營商需選擇為虛擬運營商(一卡多網)虛擬類型需選擇三網全網通版定向類型需選擇為阿里定向-VPC出口
    說明
    • 當前阿里定向-VPC出口定向類型的功能默認不開放,您需要向客戶經理申請使用。
    • 本場景使用的是三網全網通的智能物聯網卡,支持多個運營商網絡通道,可以在移動、聯通、電信運營商之間進行智能切換。關于智能物聯網卡的更多信息,請參見智能卡簡介

    購買物聯網卡后您可以在物聯網無線連接服務控制臺查看當前物聯網卡在每一個運營商下可使用的APN信息和IP地址信息。具體操作,請參見查看卡詳情

步驟一:部署SAG設備

  1. 購買SAG設備。
    1. 登錄阿里云賬號,單擊購買頁鏈接進入SAG設備購買頁面。
    2. 智能接入網關設備頁面,根據以下信息配置SAG設備,然后單擊立即購買
      配置項說明
      區域選擇SAG設備的使用區域。

      本文選擇中國內地

      版本選擇SAG設備版本。

      本文使用默認標準版

      實例類型選擇SAG設備的規格。

      本文選擇SAG-1000

      已有SAG硬件選擇是否已有SAG設備。

      本文選擇

      購買數量選擇SAG設備的購買數量。

      本文選擇1

    3. 確認訂單信息并選中服務協議,然后單擊去支付
    4. 在彈出的收貨地址對話框,填寫SAG設備的收貨地址,然后單擊去下單
    5. 在彈出的支付頁面,選擇支付方式,然后完成支付。
      SAG設備會在下單后兩個工作日內發貨。
  2. 連接SAG設備。
    1. 收到SAG設備后,請檢查SAG設備配件是否完整。關于SAG設備配件信息,請參見SAG-1000設備說明
      SAG設備檢查完成后,請保持SAG設備啟動。
    2. 通過網線,將本地機構的客戶端連接至SAG設備的LAN口。
    3. 登錄SAG設備的Web管理控制臺,為SAG設備的LAN口添加一個IP地址。具體操作,請參見SAG-1000 Web配置
      SAG設備LAN口的IP地址需與VPC內的IP地址以及本地機構內的IP地址互不沖突。

步驟二:部署云連接器

  1. 創建云連接器實例。
    由于當前購買的是三網全網通的物聯網卡,因此您需要根據以下步驟創建三個云連接器實例,每個云連接器實例關聯一個運營商的APN信息。
    1. 登錄云連接器管理控制臺
    2. 在頂部菜單欄處,選擇云連接器實例所在的地域。
      云連接器實例所屬的地域需和待互通的VPC實例的地域相同。本文選擇華東1(杭州)
    3. 實例列表頁面,單擊創建實例
    4. 創建實例頁面,根據以下信息配置實例,然后單擊完成
      配置說明
      基本信息
      地域系統自動顯示需要創建云連接器實例的地域。

      本文顯示華東1(杭州)

      名稱輸入云連接器實例的名稱。
      運營商選擇物聯網卡所屬的網絡運營商。
      APN選擇物聯網卡使用的運營商下的專用APN。
      網絡配置
      VPC選擇已創建的VPC。

      本地機構的客戶端可通過SAG設備、物聯網卡和云連接器實例連接至該VPC。

      交換機選擇VPC在兩個不同可用區下已創建的交換機。

      如果當前您在對應可用區下沒有交換機,您可以單擊輸入框,然后在輸入框底部單擊新建交換機。更多信息,請參見創建和管理交換機

      說明
      • 云連接器實例創建成功后,運營商和APN信息不可更改。
      • 創建云連接器實例時,系統會判斷是否擁有服務關聯角色AliyunServiceRoleForCCIoT和AliyunServiceRoleForNatgw,如果不存在,系統會自動創建上述服務關聯角色。更多信息,請參見AliyunServiceRoleForCCIoTAliyunServiceRoleForNatgw
  2. 添加物聯網卡IP。

    創建云連接器實例后,您需要根據以下步驟分別為三個云連接器實例添加物聯網卡IP,用于本地機構內的客戶端通過物聯網卡訪問VPC內的應用。

    1. 實例列表頁面,找到目標云連接器實例,在操作列單擊添加IP
    2. IP管理頁簽下,單擊下載IP模板,在模板中添加當前云連接器實例關聯的運營商為物聯網卡分配的IP地址,然后進行保存。
      此處的物聯網卡IP地址即為您在準備工作中獲取的物聯網卡的IP地址。
    3. IP管理頁簽下,單擊添加IP
    4. 添加IP對話框,根據以下信息進行配置。
      1. 添加類型:選擇添加的類型。本文選擇IP
      2. 上傳IP:單擊選擇文件,然后選擇已編輯的IP模板文件,上傳完成后,單擊確定
      說明 待上傳的IP地址文件需為CSV格式。
  3. 創建云連接器實例組。
    1. 在左側導航欄,選擇實例組
    2. 實例組頁面,單擊創建實例組
    3. 創建實例組對話框,輸入實例組的名稱,然后單擊確定
  4. 將云連接器實例添加至實例組。
    1. 實例組頁面,找到目標實例組,在操作列單擊添加實例
    2. 添加實例頁面,選中步驟1創建的三個云連接器實例,然后單擊確定
    3. 單擊返回實例組列表
  5. 為實例組配置授權規則。
    您需要為云連接器實例組配置授權規則,將授權規則的目標地址配置為要訪問的IP地址,即可實現本地機構的客戶端訪問VPC內的應用。
    1. 實例組頁面,找到目標實例組,在操作列單擊配置授權規則
    2. 授權規則頁簽下,單擊授權規則 > 添加規則
    3. 添加規則對話框,單擊添加單個授權規則,然后根據以下信息配置授權規則,單擊確定
      配置說明
      規則名稱輸入自定義授權規則名稱。
      目的配置要訪問的目標地址。

      由于本地機構的客戶端要通過SAG設備訪問VPC內的應用,因此在您配置目標地址時,您除了要添加VPC應用所在的網段外,您還需要添加SAG設備使用的網段。關于需要配置的目標地址信息,請參見目標地址

      動作選擇訪問動作。本文選擇允許
      表 1. 目標地址
      目標地址類型目標地址說明
      域名*.aliyuncs.comSAG設備使用的網段和域名。
      *.aliyun.com
      *.alibaba-inc.com
      *.ipify.org
      網段106.15.83.15/32
      106.15.100.130/32
      139.196.67.8/32
      47.102.52.9/32
      47.101.62.108/32
      114.114.114.114/32
      223.5.5.5/32
      10.0.0.0/24VPC應用所屬的網段。
      10.0.1.0/24

步驟三:測試連通性

  1. 將購買的物聯網卡插入SAG設備。
    SAG設備出廠時會攜帶一個4G卡,但該4G卡只能從云端接收配置,不能用于傳輸數據。您可以將該4G卡替換為您購買的物聯網卡,替換卡片后需將SAG設備斷電重啟。
  2. 登錄本地機構內的客戶端(請確保該客戶端已經連接至SAG設備的LAN口),在客戶端中使用ping命令嘗試訪問ECS,如果可以收到響應報文,則表示本地機構和VPC之間已經實現私網互通。
    ping <ECS實例的私網IP地址>