阿里云互通AWS全球region解決方案

一、背景說明

我們公司是做全球化業(yè)務的公司，在中國我們用的阿里云，在海外我們使用AWS，中國訪問海外的region資源，這是最基本的需求之一，在運維層面，領導要求一套平臺實現(xiàn)全球管理，也就是說我們的監(jiān)控、發(fā)布、跳板機等等所有運維工具只部署一套，再加上我們每個region有三個VPC，VPC之間默認是隔離的，我們在海外目前有兩個region，也就是6個VPC，如果要從國內(nèi)阿里云拉專線到海外，實現(xiàn)訪問海外所有VPC，那需要拉6根專線，只似乎有點不現(xiàn)實，了解到AWS十月份出了一個直連網(wǎng)關的服務，只要拉一條專線到AWS海外的任意一個region，就可以實現(xiàn)專線到海外AWS任意region的所有VPC互通，關于直連網(wǎng)關使用限制和詳細介紹：https://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/direct-connect-gateways.html

二、架構圖

我們國內(nèi)阿里云是在華北2，海外兩個AWS的region分布在加利福尼亞和法蘭克福，所以我們選擇AWS的新加坡region作為專線的接入點，在新加坡建立直連網(wǎng)關，AWS的其他region分別關聯(lián)到這個直連網(wǎng)關

三、實施

1、阿里側

選擇一家專線提供商，開始實施，專線廠商都會有阿里云上配置的操作手冊，按文檔操作完成后，會在阿里云的高速通道--》物理專線連接--》邊界路由器里面會生成一個邊界路由器；在高速通道--》專有網(wǎng)絡連接--》路由器接口里面生成兩個路由接口，一個是邊界路由接口，一個是VPC路由接口。

a、在高速通道--》物理專線連接--》邊界路由器--》選擇剛才生成的邊界路由器，這里需要做的操作就是添加路由，一條路由是指向阿里云VPC的，下一跳是VPC路由接口；其他路由是指向?qū)＞€方向的，下一跳是邊界路由接口

b、在高速通道--》專有網(wǎng)絡連接--》路由器接口--》選擇剛才生成的VPC路由接口，配置路由，目標網(wǎng)段就是AWS的VPC網(wǎng)段，下一跳就是剛才生成的VPC路由接口

c、配置阿里云的安全組，放行AWS的6個vpc網(wǎng)段訪問

2、AWS側

a、在每個region新建虛擬專用網(wǎng)關并關聯(lián)VPC（在法蘭克福和加利福尼亞分別操作）

在VPC控制面板，創(chuàng)建虛擬專用網(wǎng)關，ASN號使用默認即可

然后選中剛才建的虛擬專用網(wǎng)關，操作---》附加到VPC，即可關聯(lián)到VPC

b、在新加坡新建直連網(wǎng)關，需要注意的是直連網(wǎng)關的ASN號，必須是有效范圍內(nèi)的（在新加坡操作）

c、當專線廠商給我們開通專線以后，會在AWS的Direct Connect服務里面開通一個虛擬接口，我們在接受虛擬接口時需要注意，一定要關聯(lián)到上面建的直連網(wǎng)關，這是最關鍵的一步，在沒有直連網(wǎng)關之前都是關聯(lián)到虛擬專用網(wǎng)關，從而也就限制了專線只能訪問到關聯(lián)該虛擬專用網(wǎng)關的VPC（在新加坡操作）

d、當虛擬接口成功關聯(lián)到直連網(wǎng)關之后，會在直連網(wǎng)關的虛擬接口附件顯示（在新加坡操作）

e、把虛擬專用網(wǎng)關關聯(lián)到直連網(wǎng)關（在法蘭克福和加利福尼亞分別操作）

當狀態(tài)變成"associated”說明已經(jīng)關聯(lián)成功

f、分別配置每個VPC的路由表，添加到阿里云VPC的路由策略，下一跳選擇虛擬專用網(wǎng)關（在法蘭克福和加利福尼亞分別操作）

g、配置ec2的安全組，添加阿里云VPC網(wǎng)段白名單

至此，所有的配置工作已經(jīng)完成，我們已經(jīng)可以從阿里云訪問到aws的法蘭克福和加利福尼亞的任意VPC了