ENS通過SAG vCPE訪問云上資源
本文為您介紹如何通過智能接入網(wǎng)關(guān)SAG(Smart Access Gateway)vCPE實現(xiàn)邊緣節(jié)點服務(wù)ENS(Edge Node Service)和阿里云上資源互通。
場景說明
本文以下圖場景為例,為您介紹SAG vCPE如何實現(xiàn)ENS服務(wù)和阿里云上資源互通。某企業(yè)已經(jīng)在阿里云華東(上海)地域部署了VPC,該企業(yè)計劃在同地域的ENS上部署業(yè)務(wù)系統(tǒng),并希望通過SAG vCPE實現(xiàn)ENS業(yè)務(wù)系統(tǒng)和云上資源互通。本場景中計劃創(chuàng)建兩個ENS實例,其中一個ENS實例用于部署業(yè)務(wù)系統(tǒng),另一個ENS實例用于部署SAG vCPE鏡像。SAG vCPE鏡像部署完成后,該ENS實例可作為SAG vCPE設(shè)備為您提供服務(wù),業(yè)務(wù)系統(tǒng)可通過SAG vCPE設(shè)備與云上資源互通。
部署流程
前提條件
在您開始操作前,請確保您已經(jīng)滿足以下條件:
您已經(jīng)開通ENS。具體操作,請參見開通服務(wù)。
- 您已經(jīng)在阿里云平臺創(chuàng)建了專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)并部署了相關(guān)云服務(wù)。具體操作,請參見搭建IPv4專有網(wǎng)絡(luò)。
您已經(jīng)了解阿里云VPC中云服務(wù)所應(yīng)用的安全組規(guī)則,并確保安全組規(guī)則允許ENS內(nèi)的資源訪問阿里云VPC內(nèi)的資源。具體操作,請參見查詢安全組規(guī)則和添加安全組規(guī)則。
您已在阿里云VPC中創(chuàng)建了ECS實例。具體操作,請參見自定義購買實例。
步驟一:創(chuàng)建SAG vCPE實例
您需要在SAG管理控制臺創(chuàng)建SAG vCPE實例,創(chuàng)建后您可以通過SAG vCPE實例管理SAG vCPE設(shè)備。
- 登錄智能接入網(wǎng)關(guān)管理控制臺。
- 在智能接入網(wǎng)關(guān)頁面,選擇。
在智能接入網(wǎng)關(guān)vCPE軟件版頁面,根據(jù)以下信息配置SAG vCPE實例信息,然后單擊立即購買并完成支付。
配置
說明
區(qū)域
選擇SAG vCPE實例所屬的區(qū)域。本文選擇華東2(上海)。
實例名稱
輸入SAG vCPE實例的名稱。
實例類型
默認(rèn)為SAG-vCPE。
版本
默認(rèn)為基礎(chǔ)版。
使用方式
選擇SAG vCPE設(shè)備的使用方式。默認(rèn)為雙機(jī)方式下一個SAG vCPE實例中默認(rèn)可以連接兩臺SAG vCPE設(shè)備。您可以配置兩臺SAG vCPE設(shè)備為主備模式,共同幫您將本端網(wǎng)絡(luò)接入阿里云,提高您網(wǎng)絡(luò)的可用性。本文中只使用主設(shè)備。
帶寬峰值
網(wǎng)絡(luò)通信的帶寬峰值。單位:Mbps。
購買數(shù)量
選擇需要創(chuàng)建的SAG vCPE實例的數(shù)量。本文設(shè)置為1。
購買時長
選擇購買時長。
資源組
選擇SAG vCPE實例所屬的資源組。
返回SAG管理控制臺,在頂部菜單欄,選擇已創(chuàng)建實例的區(qū)域。
在左側(cè)導(dǎo)航欄,選擇智能接入網(wǎng)關(guān)。
在智能接入網(wǎng)關(guān)頁面,單擊已創(chuàng)建的實例ID。
在實例詳情頁面,單擊設(shè)備管理頁簽,查看并記錄當(dāng)前SAG vCPE主設(shè)備的序列號和密鑰,用于后續(xù)SAG vCPE實例和SAG vCPE設(shè)備的綁定。
步驟二:部署SAG vCPE鏡像
預(yù)部署ENS私網(wǎng)網(wǎng)段。
預(yù)部署ENS私網(wǎng)網(wǎng)段由阿里云邊緣計算團(tuán)隊幫您操作,需要您提交工單申請。
您可以將ENS實例所需的私網(wǎng)網(wǎng)段(請根據(jù)全網(wǎng)規(guī)劃IP地址,避免IP地址沖突)發(fā)送給阿里云邊緣計算團(tuán)隊,邊緣計算團(tuán)隊會從網(wǎng)絡(luò)的大網(wǎng)網(wǎng)段中分出一個小網(wǎng)網(wǎng)段給每個節(jié)點使用,保證每個節(jié)點的私網(wǎng)IP地址不重復(fù)。
本文預(yù)部署的IP地址網(wǎng)段為10.0.0.0/8,劃分給業(yè)務(wù)系統(tǒng)實例和部署SAG vCPE鏡像實例的私網(wǎng)IP地址段為10.0.2.0/24。
創(chuàng)建邊緣服務(wù)。
登錄ENS控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在實例頁面,單擊創(chuàng)建實例。
在邊緣節(jié)點服務(wù)ENS頁面,單擊邊緣服務(wù)頁簽。
在邊緣服務(wù)頁簽下,配置基礎(chǔ)配置。
在您進(jìn)行基礎(chǔ)配置前,建議您先了解部署SAG vCPE鏡像對環(huán)境的要求。更多信息,請參見環(huán)境要求。
配置
說明
服務(wù)名稱
您可以填寫不超過30個字符的自定義名稱。
鏡像
ENS支持自定義鏡像和公共鏡像。
本文選擇公共鏡像,操作系統(tǒng)和版本分別選擇Ubuntu和ubuntu_18_04_64_20G_alibase_20191119。
規(guī)格
選擇SAG vCPE鏡像要安裝的實例規(guī)格。本文選擇2C4G。
SAG vCPE鏡像部署在2C4G規(guī)格實例下,實例的加密私網(wǎng)帶寬可達(dá)300 Mbps以上(1024字節(jié))。
存儲
配置系統(tǒng)盤和數(shù)據(jù)盤的大小,單位:GB。本文使用默認(rèn)值。
帶寬
選擇實例的公網(wǎng)帶寬峰值。單位:Mbps。關(guān)于帶寬的計費信息,請參見計費概述。
登錄密碼
密碼長度為8~30個字符,必須包含大小寫字母、數(shù)字和特殊字符至少3種。
說明登錄密碼中不能包含的特殊字符為:
"\和空格。單擊下一步,開始配置邊緣算力分布。
配置
說明
網(wǎng)絡(luò)層級
本文使用默認(rèn)值大區(qū)級。
節(jié)點調(diào)度策略
分散度可選擇城市分散或城市集中。本文選擇城市分散和優(yōu)先高價。
說明當(dāng)所選區(qū)域需要多臺實例時,城市分散策略表示實例盡量調(diào)度到不同城市,城市集中策略表示實例盡量調(diào)度到同一城市。
區(qū)域
您可以自定義添加或刪除東北、華東、華北、華中、華南、西南、西北的電信、聯(lián)通、移動運營商實例。
本文添加華東大區(qū),2個移動實例。
單擊下一步,進(jìn)入服務(wù)配置確認(rèn)頁面。
在服務(wù)配置確認(rèn)頁面確認(rèn)配置后,查閱并選中相關(guān)服務(wù)條款,然后單擊確認(rèn)創(chuàng)建。
關(guān)于參數(shù)的更多說明信息,請參見創(chuàng)建邊緣服務(wù)。
創(chuàng)建邊緣服務(wù)后,查看ENS實例信息。
在左側(cè)導(dǎo)航欄,選擇。
在實例頁面,通過已創(chuàng)建的邊緣服務(wù)ID篩選出實例,查看當(dāng)前邊緣服務(wù)下已創(chuàng)建的實例的IP地址等信息。
在ENS實例中部署SAG vCPE鏡像。
部署完成后,ENS實例可作為SAG vCPE設(shè)備為您提供服務(wù),連接ENS服務(wù)至阿里云。
下載部署腳本至ENS實例中。
通過SSH方式登錄至要部署SAG vCPE鏡像的ENS實例上,將腳本下載至ENS實例的/root目錄下。
重要您可以將腳本下載到自定義路徑內(nèi),請注意后續(xù)執(zhí)行腳本時路徑需修改為您的自定義路徑。
腳本下載后,請勿修改腳本內(nèi)容以及腳本名稱。
ssh root@112.XX.XX.25 #通過ENS實例公網(wǎng)IP地址進(jìn)行登錄,請您根據(jù)實際情況更換公網(wǎng)IP地址。 yes #第一次通過SSH登錄時請輸入yes建立認(rèn)證文件。 密碼 #ENS實例的登錄密碼。密碼默認(rèn)為邊緣服務(wù)的密碼。 #通過以下命令下載腳本。 wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-cn-shanghai.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh為腳本賦予可執(zhí)行權(quán)限。
chmod +x /root/sag_vcpe_v2.3.0_deployment.sh執(zhí)行部署腳本。
/root/sag_vcpe_v2.3.0_deployment.sh -n sage6nniq3**** -k **** -t ens -w eth0下表為您提供參數(shù)說明。關(guān)于腳本的更多參數(shù)信息,請參見腳本參數(shù)說明。
參數(shù)
說明
-n
SAG vCPE設(shè)備的序列號。
-k
SAG vCPE設(shè)備的密鑰。
-t
安裝SAG vCPE鏡像的宿主機(jī)所在的平臺。取值:
- aliyun(默認(rèn)值):表示SAG vCPE鏡像部署在阿里云云服務(wù)器ECS(Elastic Compute Service)中。
- aws:表示SAG vCPE鏡像部署在Amazon EC2中。
- ens:表示SAG vCPE鏡像部署在阿里云邊緣節(jié)點服務(wù)ENS(Edge Node Service)的實例中。
- azure:表示SAG vCPE鏡像部署在Microsoft Azure平臺的虛擬機(jī)中。
- 如果您的SAG vCPE鏡像部署在本地網(wǎng)絡(luò)的服務(wù)器中,則本參數(shù)的取值可為aliyun、ens、aws、azure之外的任意英文字符。
-w
WAN口的網(wǎng)卡名稱。您可以通過
ifconfig命令查看宿主機(jī)的網(wǎng)卡名稱。執(zhí)行腳本時,系統(tǒng)會自動檢測部署環(huán)境是否滿足需求。如果部署環(huán)境相關(guān)的組件安裝不完整,系統(tǒng)會出現(xiàn)下圖提示,請輸入:yes,系統(tǒng)將自動幫您安裝相關(guān)組件。
如果檢測到部署環(huán)境已經(jīng)滿足需求,則會直接開始部署SAG vCPE鏡像,鏡像部署完成后系統(tǒng)會出現(xiàn)下圖提示。
查看部署結(jié)果。
部署完成后,請執(zhí)行命令
docker ps,查看系統(tǒng)中是否已有如下兩個容器:
如果系統(tǒng)已包含vsag-core和vsag-manager-base兩個容器,則證明部署成功。
SAG vCPE鏡像部署完成后,您需要在另一個ENS實例中部署您的業(yè)務(wù)系統(tǒng)。請您根據(jù)您的業(yè)務(wù)需要進(jìn)行部署,此處不再詳細(xì)描述。
步驟三:配置SAG vCPE實例側(cè)網(wǎng)絡(luò)
SAG vCPE鏡像部署完成后,您還需要在SAG管理控制臺對SAG vCPE設(shè)備進(jìn)行網(wǎng)絡(luò)配置,以便SAG vCPE設(shè)備能正常接入阿里云。
配置線下路由同步方式。
在頂部菜單欄,選擇目標(biāo)區(qū)域。
在智能接入網(wǎng)關(guān)頁面,找到目標(biāo)實例,在操作列單擊網(wǎng)絡(luò)配置。
在頁簽,單擊添加靜態(tài)路由。
在添加靜態(tài)路由對話框中,輸入ENS業(yè)務(wù)系統(tǒng)實例所在的私網(wǎng)網(wǎng)段,然后單擊確定。
綁定云連接網(wǎng)。
云連接網(wǎng)是SAG的重要組成部分,SAG通過云連接網(wǎng)將您的網(wǎng)絡(luò)接入阿里云。
創(chuàng)建云連接網(wǎng)。具體操作,請參見創(chuàng)建云連接網(wǎng)。
云連接網(wǎng)所在區(qū)域需和SAG vCPE實例所在區(qū)域相同。
在左側(cè)導(dǎo)航欄,選擇。
在智能接入網(wǎng)關(guān)頁面,找到目標(biāo)實例,在操作列單擊網(wǎng)絡(luò)配置。
在實例詳情頁面,選擇頁簽。
在已綁定同賬號實例區(qū)域下,單擊添加網(wǎng)絡(luò),選擇已創(chuàng)建的云連接網(wǎng)實例,然后單擊確定。
在您綁定云連接網(wǎng)后,在設(shè)備管理頁簽下,查看SAG vCPE設(shè)備的VPN狀態(tài)和管控狀態(tài),兩者均為正常則表示SAG vCPE設(shè)備已接入阿里云。
配置云企業(yè)網(wǎng)。
您需要通過以下操作將SAG vCPE實例連接到云企業(yè)網(wǎng),并在云企業(yè)網(wǎng)中加載已創(chuàng)建的VPC實例。操作完成后,SAG vCPE實例和阿里云上VPC實例可學(xué)習(xí)到對方的路由,SAG vCPE設(shè)備可與阿里云VPC內(nèi)的資源互通。
在左側(cè)導(dǎo)航欄,單擊云連接網(wǎng)。
在云連接網(wǎng)頁面,找到目標(biāo)云連接網(wǎng)實例,在操作列單擊綁定云企業(yè)網(wǎng)。
在綁定云企業(yè)網(wǎng)面板,選擇要綁定的云企業(yè)網(wǎng)實例,然后單擊確定。
您可以通過以下兩種方式選擇目標(biāo)云企業(yè)網(wǎng)實例,本文選擇新建CEN。
選擇現(xiàn)有CEN:如果您已經(jīng)創(chuàng)建了云企業(yè)網(wǎng),您可以單擊下方文本框,選擇已創(chuàng)建的云企業(yè)網(wǎng)實例進(jìn)行綁定。
新建CEN:如果您未創(chuàng)建過云企業(yè)網(wǎng),您可以在下方文本框中,輸入云企業(yè)網(wǎng)實例名稱,系統(tǒng)會為您新建云企業(yè)網(wǎng)實例并自動進(jìn)行綁定。
將已經(jīng)創(chuàng)建的阿里云VPC實例,綁定到此云企業(yè)網(wǎng)中。具體操作,請參見創(chuàng)建VPC連接。
步驟四:配置ENS側(cè)網(wǎng)絡(luò)
為實現(xiàn)業(yè)務(wù)系統(tǒng)和云上資源互通,您需要為業(yè)務(wù)系統(tǒng)實例配置訪問云上資源的路由。
登錄ENS中業(yè)務(wù)系統(tǒng)實例。
以管理員身份打開您電腦的命令行窗口。
通過SSH方式登錄您的業(yè)務(wù)系統(tǒng)實例。
ssh root@112.XX.XX.27 #通過業(yè)務(wù)系統(tǒng)實例公網(wǎng)IP地址進(jìn)行登錄,請您根據(jù)實際情況更換公網(wǎng)IP地址。 yes #第一次通過SSH登錄時請輸入yes建立認(rèn)證文件。 密碼 #業(yè)務(wù)系統(tǒng)實例的登錄密碼。密碼默認(rèn)為邊緣服務(wù)的密碼。配置路由。
將要訪問的云上網(wǎng)段的下一跳指向ENS中SAG vCPE設(shè)備的公網(wǎng)網(wǎng)卡IP地址,由SAG vCPE設(shè)備幫您完成和云上資源的互通。
#在/etc/sysconfig/static-routes文檔中寫入永久靜態(tài)路由。 vi /etc/sysconfig/static-routes #創(chuàng)建并進(jìn)入static-routes文檔。 #按下鍵盤的i鍵,進(jìn)入文檔編輯模式。 any net 172.16.1.0/24 gw 112.XX.XX.25 #配置路由。將要訪問的云上網(wǎng)段的下一跳指向ENS中SAG vCPE設(shè)備的公網(wǎng)網(wǎng)卡IP地址。 #按下鍵盤的Esc鍵退出編輯模式。 :wq #輸入:wq并回車,保存退出文檔。 service network restart #重啟網(wǎng)絡(luò)服務(wù)。 route -n #查看添加的路由。
步驟五:測試連通性
完成上述操作后,阿里云VPC中部署的服務(wù)和ENS中部署的服務(wù)已經(jīng)可以互相通信。以下內(nèi)容為您展示如何測試阿里云VPC與ENS的業(yè)務(wù)實例之間的連通性。
通過ping命令,以業(yè)務(wù)系統(tǒng)實例的私網(wǎng)IP地址為源地址,訪問阿里云VPC中的一個ECS實例,驗證兩個實例間的通信是否正常。
ping -I src-ip dst-ip-I:表示要指定發(fā)起訪問的源IP地址。
src-ip:發(fā)起訪問的源IP地址。例如:業(yè)務(wù)系統(tǒng)實例的私網(wǎng)網(wǎng)卡IP地址。
dst-ip:要訪問的目的IP地址。例如:阿里云VPC中的ECS實例私網(wǎng)網(wǎng)卡IP地址。
經(jīng)測試,業(yè)務(wù)系統(tǒng)實例可與阿里云VPC中的ECS實例正常通信。
