通過SAGvCPE實現多雲互連 - Smart Access Gateway

本文為您介紹如何通過Smart Access Gateway（Smart Access Gateway）vCPE將已經部署在亞馬遜雲端運算服務AWS（Amazon Web Services）平台中的網路接入阿里雲，實現多雲互連。

前提條件

您已經在AWS平台部署了雲端服務。部署詳情請諮詢AWS平台。
您已經在阿里雲平台建立了Virtual Private Cloud（Virtual Private Cloud）並部署了相關雲端服務。具體操作，請參見搭建IPv4專用網路。
您已經瞭解阿里雲VPC中雲端服務所應用的安全性群組規則，並確保安全性群組規則允許AWS內的資源訪問阿里雲VPC內的資源。具體操作，請參見查詢安全性群組規則和添加安全性群組規則。
您已在阿里雲VPC中建立了ECS執行個體。具體操作，請參見自訂購買執行個體。

情境說明

本文以下圖情境為例，為您介紹如何通過SAG vCPE實現多雲互連。某新加坡企業已經在AWS平台和阿里雲平台的華東1（杭州）地區分別部署了雲端服務。該企業計劃使用SAG vCPE產品將兩個雲端服務連通，實現資源互訪。

您可以在Amazon VPC內的一台執行個體中部署SAG vCPE鏡像，使該執行個體作為一台SAG vCPE裝置幫您串連阿里雲。SAG vCPE裝置串連至阿里雲後，您可通過阿里雲雲串連網和雲企業網實現Amazon VPC內資源與阿里雲VPC內資源的互訪。

流程圖

部署流程

配置流程

說明

當您需要配置同地區的AWS平台的雲端服務通過SAG vCPE訪問阿里雲上服務資源的情境時，無需配置雲上網路互聯的步驟。本文以跨地區情境配置流程為例。

步驟一：建立SAG vCPE執行個體

您需要在SAG管理主控台建立SAG vCPE執行個體，建立後您可以通過SAG vCPE執行個體管理SAG vCPE裝置。

登入Smart Access Gateway管理主控台。
在智能接入网关頁面，選擇購買Smart Access Gateway > 建立Smart Access Gateway（vCPE）。

在Smart Access GatewayvCPE軟體版頁面，根據以下資訊配置SAG vCPE執行個體資訊，然後單擊立即購買並完成支付。

配置	說明
地區	選擇SAG vCPE執行個體所屬的地區。本文選擇新加坡。
執行個體名稱	輸入SAG vCPE執行個體的名稱。
執行個體類型	預設為SAG-vCPE。
版本	預設為基礎版。
使用方式	選擇SAG vCPE裝置的使用方式。預設為雙機備份。雙機備份方式下一個SAG vCPE執行個體中預設可以串連兩台SAG vCPE裝置。您可以配置兩台SAG vCPE裝置為主備模式，共同幫您將本端網路接入阿里雲，提高您網路的可用性。本文中只使用主裝置。
頻寬峰值	網路通訊的頻寬峰值。單位：Mbps。
購買數量	選擇需要建立的SAG vCPE執行個體的數量。本文設定為1。
購買時間長度	選擇購買時間長度。

返回SAG管理主控台，在頂部功能表列，選擇已建立執行個體的地區。
在左側導覽列，選擇Smart Access Gateway > 執行個體管理。
在智能接入网关頁面，單擊已建立的執行個體ID。
在執行個體詳情頁面，單擊裝置管理頁簽，查看並記錄當前SAG vCPE主裝置的序號和密鑰，用於後續SAG vCPE執行個體和SAG vCPE裝置的綁定。

步驟二：部署SAG vCPE鏡像

為實現AWS和阿里雲的雲端服務互連，您需要在AWS雲端服務所屬的VPC網路中建立一個執行個體，用於部署SAG vCPE鏡像。部署完成後，AWS執行個體可作為SAG vCPE裝置為您提供服務，串連AWS雲端服務至阿里雲。

在Amazon VPC內建立一個執行個體。
建立AWS執行個體的具體操作請參見AWS平台相關文檔。請確保建立的AWS執行個體，滿足以下條件：
- 執行個體安裝的作業系統類型：64位，Ubuntu 18.04。
- 執行個體支援安裝3.10.0-957.21.3.el7.x86_64或以上規格的核心版本。
- 執行個體有單獨的可串連公網的網卡。
- 執行個體支援遠程登入。
- 執行個體未運行業務系統。
- 如果您的宿主機為雲端服務器執行個體或邊緣節點服務ENS（Edge Node Service）執行個體，則vCPU個數需在1個及以上，記憶體需在2 GB及以上。
  推薦您選擇2核vCPU、4 GB記憶體規格的執行個體，該規格下執行個體的加密私網頻寬可達350 Mbps（1024位元組）以上。
登入AWS執行個體，將指令碼下載至執行個體的/root目錄下。具體操作，請參見AWS平台相關文檔。
重要
- 您可以將指令碼下載到自訂路徑內，請注意後續執行指令碼時路徑需修改為您的自訂路徑。
- 指令碼下載後，請勿修改指令碼內容以及指令碼名稱。
- 如果您的宿主機部署在中國內地地區，請通過以下命令下載指令碼。
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-cn-shanghai.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```
- 如果您的宿主機部署在非中國內地地區，請通過以下命令下載指令碼。
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-accelerate.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```

為指令碼賦予可執行許可權。

chmod +x /root/sag_vcpe_v2.3.0_deployment.sh

執行指令碼。

/root/sag_vcpe_v2.3.0_deployment.sh -n sage6nniq3**** -k **** -t aws  -w eth0

下表為您提供參數說明。關於指令碼的更多參數資訊，請參見指令碼參數說明。

參數	說明
-n	SAG vCPE裝置的序號。
-k	SAG vCPE裝置的密鑰。
-t	安裝SAG vCPE鏡像的宿主機所在的平台。取值： aliyun（預設值）：表示SAG vCPE鏡像部署在阿里雲Elastic Compute Service（Elastic Compute Service）中。 aws：表示SAG vCPE鏡像部署在Amazon EC2中。 azure：表示SAG vCPE鏡像部署在Microsoft Azure平台的虛擬機器中。如果您的SAG vCPE鏡像部署在本網的伺服器中，則本參數的取值可為aliyun、ens、aws、azure之外的任意英文字元。
-w	WAN口的網卡名稱。您可以通過`ifconfig`命令查看宿主機的網卡名稱。

執行指令碼時，系統會自動檢測部署環境是否滿足需求。如果部署環境相關的組件安裝不完整，系統會出現下圖提示，請輸入：yes，系統將自動幫您安裝相關組件。
如果檢測到部署環境已經滿足需求，則會直接開始部署SAG vCPE鏡像，鏡像部署完成後系統會出現下圖提示。
查看部署結果。
部署完成後，請執行docker ps命令，查看系統中是否已有以下兩個容器：
如果系統已包含vsag-core和vsag-manager-base兩個容器，則證明部署成功。

步驟三：配置阿里雲側網路

SAG vCPE鏡像部署完成後，您還需要在SAG管理主控台對SAG vCPE裝置進行網路設定，以便SAG vCPE裝置能正常接入阿里雲。

配置線下路由同步方式。
1. 登入Smart Access Gateway管理主控台。
2. 在頂部功能表列，選擇目的地區域。
3. 在Smart Access Gateway頁面，找到目標執行個體，在操作列單擊網路設定。
4. 在網路設定 > 線下路由同步方式頁簽，單擊添加靜態路由。
5. 在添加靜態路由對話方塊中，輸入AWS雲端服務所在的私網網段，然後單擊確定。
綁定雲串連網。
雲串連網是SAG的重要組成部分，SAG通過雲串連網將您的網路接入阿里雲。
1. 建立雲串連網。具體操作，請參見建立雲串連網。
  雲串連網所在地區需和SAG vCPE執行個體所在地區相同。
2. 在左側導覽列，選擇Smart Access Gateway > 執行個體管理。
3. 在Smart Access Gateway頁面，找到目標執行個體，在操作列單擊網路設定。
4. 在執行個體詳情頁面，選擇网络配置 > 綁定網路詳情頁簽。
5. 在已绑定同账号实例地區下，單擊添加網路，選擇已建立的雲串連網執行個體，然後單擊確定。
6. 在您綁定雲串連網後，在裝置管理頁簽下，查看SAG vCPE裝置的VPN狀態和管控狀態，兩者均為正常則表示SAG vCPE裝置已接入阿里雲。
建立並配置雲企業網。
您需要通過以下操作將SAG vCPE執行個體串連到雲企業網，並在雲企業網中載入已建立的VPC執行個體。操作完成後，SAG vCPE執行個體和阿里雲上VPC執行個體可學習到對方的路由，SAG vCPE裝置可與阿里雲VPC內的資源互連。
1. 在左側導覽列，單擊雲串連網。
2. 在雲串連網頁面，找到目標雲串連網執行個體，在操作列單擊綁定雲企業網。
3. 在绑定云企业网面板，選擇要綁定的雲企業網執行個體，然後單擊確定。
  您可以通過以下兩種方式選擇目標雲企業網執行個體，本文選擇建立CEN。
  - 選擇現有CEN：如果您已經建立了雲企業網，您可以單擊下方文字框，選擇已建立的雲企業網執行個體進行綁定。
  - 建立CEN：如果您未建立過雲企業網，您可以在下方文字框中，輸入雲企業網執行個體名稱，系統會為您建立雲企業網執行個體並自動進行綁定。
4. 將已經建立的阿里雲VPC執行個體，綁定到此雲企業網中。具體操作，請參見建立VPC串連。

步驟四：配置AWS側網路

為實現AWS和阿里雲資源互連，您還需要在AWS的VPC中進行網路設定，配置需要的具體命令請諮詢AWS平台。

為雲端服務配置路由。
在AWS的VPC中配置路由，將要訪問的阿里雲雲端服務網段的下一跳指向AWS執行個體，由該執行個體幫您完成和阿里雲雲端服務的互連。
配置AWS雲端服務所屬的安全性群組。
允許阿里雲雲端服務私網網段和AWS雲端服務所在私網網段可相互連信。
關閉AWS執行個體的源、目標檢查。

步驟五：雲上網路互聯

配置完AWS側網路後，您需要為已建立的雲企業網購買頻寬包以及設定跨地區串連，以實現在阿里雲華東1（杭州）地區部署的雲端服務通過SAG vCPE與在新加坡的AWS平台部署的雲端服務實現資源互訪。

說明

如果您要實現AWS平台的雲端服務通過SAG vCPE訪問同地區的阿里雲服務資源的情境，您無需配置此步驟。

購買頻寬包。

登入雲企業網管理主控台。
在雲企業網執行個體頁面，找到目標雲企業網，單擊雲企業網執行個體ID。
在雲企業網執行個體詳情頁面，選擇基本資料 > 頻寬包管理頁簽，單擊購買頻寬包（預付費）。

在購買頁面，根據以下資訊配置頻寬包，然後單擊立即購買並完成支付。

配置	說明
雲企業網	選擇需購買頻寬包的雲企業網執行個體。本文選擇步驟 3建立的雲企業網執行個體。
地區-A	選擇參與互連的網路執行個體所在的地區。本文選擇中國內地。
地區-B	選擇要互連的地區。本文選擇亞太地區。
計費方式	顯示頻寬包的計費方式。預設顯示為按頻寬計費。
頻寬值	根據業務需要選擇頻寬包的頻寬值。單位：Mbps。
頻寬包名稱	輸入自訂頻寬包的名稱。
購買時間長度	選擇頻寬包的購買時間長度。本文預設顯示1個月。選中到期自動續約可開啟頻寬包自動續約功能。

建立跨地區串連。

在雲企業網執行個體頁面，找到目標雲企業網，單擊雲企業網執行個體ID。
在雲企業網執行個體詳情頁面，選擇基本資料 > 頻寬包管理頁簽，單擊設定跨地區頻寬。

在串連網路執行個體頁面，配置跨地區串連資訊，然後單擊確定建立。

配置	說明
執行個體類型	串連網路的執行個體類型。本文選擇跨地區。
地區	選擇要互連的地區。本文選擇華東1（杭州）。
轉寄路由器	系統自動顯示要互連地區下轉寄路由器的執行個體ID。
串連名稱	自訂跨地區串連名稱。
對端地區	選擇要互連的對端地區。本文選擇新加坡。
轉寄路由器	系統自動顯示對端地區已建立的轉寄路由器的執行個體ID。
頻寬分配方式	跨地區串連支援從頻寬包分配和按流量付費這兩種頻寬分配方式。本文選擇從頻寬包分配。
頻寬包執行個體	選擇雲企業網執行個體已綁定的頻寬包執行個體。本文選擇已建立的頻寬包執行個體。
頻寬	輸入跨地區串連的頻寬值。單位：Mbps。
預設鏈路類型	跨地區串連支援多種鏈路類型，不同鏈路類型提供不同品質的流量傳輸服務。
進階配置	保持預設配置，即選中全部進階配置選項。

步驟六：測試連通性

完成上述操作後，阿里雲VPC中部署的服務和Amazon VPC中部署的服務已經可以互相通訊。以下內容為您展示如何測試阿里雲VPC與Amazon VPC之間的連通性。

說明

本文阿里雲VPC中建立的ECS執行個體安裝了Alibaba Cloud Linux作業系統，如果您使用的是其他動作系統，關於如何使用ping命令請參見您的作業系統手冊。

登入阿里雲VPC內的ECS執行個體。具體操作，請參見串連方式概述。
通過ping命令，訪問Amazon VPC中一個雲端服務執行個體，測試兩個VPC間的通訊是否正常。
經測試，阿里雲VPC中的ECS與Amazon VPC中的雲端服務執行個體可正常通訊。