试想业务场景,公司内网有访问云VPC的需求,形成云上云下混合云。解决办法:

  1. 内网出口部署VPN网关和公有云做IPSEC IKE VPN对等体 ,实现L2L
  2. 申请云专线,通过物理线路直连接入公有云服务商机房或专线接入点,实现L2L
  3. 跳板机、SSLVPN,实现单节点访问

学习资料查看了阿里云、腾讯云官网产品文档

vpc介绍

不同私有网络基于逻辑网络隔离,通过SDN管理VPC,实现子网、路由表、IP地址、ACL、流日志进行配置管理
私有网络可以通过云联网、对等连接打通多VPC之间内网互通,也可以通过vpn连接专线接入公有云与IDC构建混合云

VPC关键项

私有网络创建(实质为创建一个大的网段,规划网络。控制台-云产品-网络-私有网络)

子网创建(子网是私有网络的一个空间,理解为不同部门不同也去分配私有网络总池的地址)
每个子网需要关联一个路由表,控制路由走向;每个子网只能关联一个路由表,一个路由表可以关联多个子网
ACL用于控制进出子网的数据流,可以精确到协议和端口粒度

路由表
系统默认生成缺省路由表、用户可以自定义路由表
自定义路由策略目的端不能为路由表所在私有网络内的IP段,原因是 Local 路由已表示此私有网络内默认内网互通
路由策略优先级、云上也有条目限制
等价、主备路由都可以部署

NAT网关
SNAT支持VPC内多个云服务器通过同一公网 IP 主动访问互联网。
NAT网关可以绑定多个EIP,云服务器实例会随机通过 NAT 网关绑定的 EIP 访问公网
如希望云服务器仅通过特定EIP访问公网时,您可以将特定EIP加入SNAT地址池,这时云服务器仅会通过SNAT 地址池中的 EIP 访问公网
DNAT将外网IP、协议、端口映射到VPC内的云服务器内网 IP、协议、端口,使得云服务器上的服务可被外网访问

VPC、云专线、云VPN_子网

VPC、云专线、云VPN_云服务_02

VPC、云专线、云VPN_子网_03

云专线介绍

云专线高可用混合云网络

用户 IDC 通过物理专线接入至少两个腾讯云专线接入点,在物理层面实现线路的高可用和负载分担
专线网关基于 DSR 系统设计,集成了 DSR 集群,作为腾讯云和 IDC 的桥梁与 IDC 本地路由器形成虚拟专用通道,通过腾讯云 VPC 或者 CCN 实现资源互通
DSR 集群对外提供了2个腾讯云边界 IP 地址实现控制面路由双活机制(active-active system),这样 IDC 侧本地路由器通过 BGP 协议分别与两个 DSR 集群分别建立了 BGP 邻居关系,有效的保证了 DSR 集群升级或者单集群故障时业务的高可用,避免因单 BGP 邻居中断导致路由收敛而对业务产生的影响。
同时在 DSR 集群内通过实时监测机制动态调整并剔除异常服务节点,保证了单集群的可用性;集群间通过大规模集群扩展技术,实现用户业务在多个集群间横向扩容,确保了跨集群的可用性。

高可用网络架构

VPC、云专线、云VPN_路由表_04

故障热切换

线路故障切换

当检测到物理线路1发生故障,系统自动将流量切换至物理线路2,保证业务正常运行。故障修复后,流量自动切回

VPC、云专线、云VPN_云服务_05

DSR 故障切换

当检测到 DSR 集群发生故障,系统自动将流量切换至物理线路2,保证业务正常运行。故障修复后,流量自动切回

VPC、云专线、云VPN_子网_06

接入点故障切换

当检测到接入点1发生故障,系统自动将流量切换至接入点2,保证业务正常运行。故障修复后,流量自动切回

VPC、云专线、云VPN_云服务_07

传统专用通道切换至云联网专用通道

用户本地 IDC 通过一根物理专线使用传统专用通道上云,拓扑图如下:

VPC、云专线、云VPN_云服务_08

云联网释义:

云联网组成
1、关联实例,加入到同一个云联网内的网络实例即可实现互通,支持类型包含:VPC、VPC(黑石)、专线网关、VPN 网关
2、路由表,网络实例加入到云联网后,云联网即可自动学习到相关路由,呈现在该路由表中

VPC、云专线、云VPN_云服务_09

VPC、云专线、云VPN_云服务_10

VPC、云专线、云VPN_子网_11

云VPN

云VPN查阅下来没有什么特别的,就是IPSEC IKE、SSL VPN等常见的工作做到了GUI而已

​https://cloud.tencent.com/document/product/554/52864​