本地数据中心IDC通过冗余专线连接到阿里云云上专有网络VPC时,您需要在本地IDC侧和阿里云侧分别配置健康检查来检测物理专线的连通性。当其中一条物理专线检测出故障时,可以顺利切换到另一条物理专线。
背景信息
阿里云默认每隔2秒从每个健康检查源IP地址向本地IDC中的健康检查目的IP地址发送一个ping报文,如果ping报文从被探测专线链路原路返回,则认为物理专线链路正常。如果某条物理专线上连续8个ping报文都无响应,则说明该物理专线链路故障。
被探测地址必须保证能正常回应ping的探测,不能对ping探测进行限速或者禁止ping探测。
场景 | VBR路由形式 | 说明 |
通过VBR上连实现本地IDC连接上云 | 静态路由 | 您需要在VBR侧配置一条目标网段为源IP地址,子网掩码为32位,下一跳指向VPC的路由条目;同时需要在IDC侧手动配置一条目标网段为源地址,子网掩码为32位,下一跳指向对应物理专线的路由条目,否则健康检查探测ping报文无法正常从被探测专线原路返回,导致阿里云侧误判链路不可用。 |
动态路由 | 您需要在VBR侧配置一条目标网段为源IP地址,子网掩码为32位,下一跳指向VPC的路由条目;配置完成后您需要在VBR侧宣告BGP网段中配置该路由条目。 | |
通过云企业网实现本地IDC连接上云 | 静态路由 | 您需要在CEN侧通过配置源IP地址与目标IP地址之间的健康检查,同时需要在IDC侧手动配置一条目标网段为源地址,子网掩码为32位,下一跳指向对应物理专线的路由条目。 |
动态路由 | 您需要在CEN侧通过配置源IP地址与目标IP地址之间的健康检查;配置完成后,阿里云侧默认会将健康检查源地址通过掩码为32位路由方式宣告给本地数据中心。 |
如果本地IDC网络设备配置了控制面板策略CoPP(Control Plane Policing)(如思科设备) 或者本机防攻击策略可能会导致健康探测报文被丢弃,造成健康检查链路震荡,建议本地IDC网络设备取消CoPP限速配置。
前提条件
您已经配置了冗余链路:
通过VBR上连实现本地IDC连接上云的健康检查
VBR上连静态路由
步骤一:配置高速通道VBR侧的健康检查
当使用跨账号进行VBR上连时,您需要在接收端的账号下进行VBR侧健康检查的配置。
登录高速通道管理控制台。
在顶部菜单栏,选择目标地域,然后在左侧导航栏,选择。
在VBR上连页面,找到已创建的目标对等连接,然后在操作列单击健康检查。
在健康检查面板,单击设置。
在修改边界路由器面板,根据以下信息配置健康检查,然后单击确定。
配置
说明
网络类型
选择边界路由器的网络类型。本文只支持选择IPv4路由。
源IP
输入需要互通的VPC内任意一个空闲的私网IP地址。
目标IP
输入本地IDC网络设备的接口IP地址。
发包时间间隔(秒)
指定健康检查时发送连续探测报文的时间间隔。单位:秒。
默认值:2。取值范围:2~3。
探测报文个数(个)
指定健康检查时发送探测报文的个数。单位:个。
默认值:8。取值范围:3~8。
步骤二:配置本地IDC侧的健康检查
您需要在本地IDC侧配置健康检查探测报文的回程路由、健康检查以及健康检查和路由联动的配置,实现冗余物理专线接入阿里云。
在配置本地IDC侧健康检查前,您必须要先配置本地IDC侧健康检查探测报文的回程路由,确保从本地IDC发起的健康检查探测报文能够成功地往返。
请勿将VBR的互联IP作为本地IDC对云端进行健康检查的源IP地址,应该使用云上VPC中的一个空闲IP地址作为源IP,并对该源IP地址进行探测检查,确保源IP地址的真实性。
配置本地IDC侧健康检查探测报文的回程路由。
不同厂商的设备,配置命令不同,以下示例仅供参考。具体配置命令,请您咨询设备厂商。
#配置健康检查探测报文的回程路由 ip route <健康检查源IP地址1> 255.255.255.255 <目标VBR实例阿里侧互联IP地址1> ip route <健康检查源IP地址2> 255.255.255.255 <目标VBR实例阿里侧互联IP地址2>该条命令的作用是为本地IDC侧的边界路由器添加一条目标网段为健康检查源IP地址,下一跳指向与VBR连接的阿里云侧互联IP地址。确保从本地IDC侧发起的健康检查探测报文能够通过正确的路径到达阿里云VPC中的目标服务。
本地IDC侧实施健康检查。
您可以通过双向转发检测BFD(Bidirectional Forwarding Detection)或者网络质量分析NQA(Network Quality Analyzer)方式检测本地IDC到VBR的路由可达性,具体配置命令,请咨询设备厂商。
配置健康检查和路由联动。
对于本地数据中心通过多个物理专线连接至阿里云的场景,您需要在本地数据中心添加健康检查和路由联动的配置,以确保本地数据中心侧也可以探测到物理专线的连通性并可以根据健康检查结果自动实现路由切换。具体配置命令,请咨询设备厂商。
VBR上连BGP路由
步骤一:配置高速通道VBR侧的健康检查
当使用跨账号进行VBR上连时,您需要在接收端的账号下进行VBR侧健康检查的配置。
登录高速通道管理控制台。
在顶部菜单栏,选择目标地域,然后在左侧导航栏,选择。
在VBR上连页面,找到已创建的目标对等连接,然后在操作列单击健康检查。
在健康检查面板,单击设置。
在修改边界路由器面板,根据以下信息配置健康检查,然后单击确定。
配置
说明
网络类型
选择边界路由器的网络类型。本文只支持选择IPv4路由。
源IP
输入需要互通的VPC内任意一个空闲的私网IP地址。
目标IP
输入本地IDC网络设备的接口IP地址。
发包时间间隔(秒)
指定健康检查时发送连续探测报文的时间间隔。单位:秒。
默认值:2。取值范围:2~3。
探测报文个数(个)
指定健康检查时发送探测报文的个数。单位:个。
默认值:8。取值范围:3~8。
步骤二:在高速通道VBR侧配置指向VPC的路由条目
通过在VBR侧配置指向VPC的路由条目,确保健康检查的探测报文能够正确地从VBR出发,经过指定路径到底VPC。
登录高速通道管理控制台。
在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)。
在边界路由器(VBR)页面,单击目标VBR实例ID。
在VBR详情页面,选择页签,然后单击添加路由条目。
在添加路由条目面板,配置以下参数信息,然后单击确定。
配置
说明
下一跳类型
选择下一跳的类型。
本文选择专有网络。
目标网段
输入目标网段。
本文输入健康检查源IP地址的掩码为/32位路由,例如:192.168.0.1/32。
下一跳
选择下一跳的实例。
本文选择目标VPC实例。
描述
输入路由条目的描述。
步骤三:在高速通道VBR侧宣告BGP网段
在宣告BGP网段前,您需要确保在目标VBR上已配置指向VPC的路由条目。
登录高速通道管理控制台。
在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)。
在边界路由器(VBR)页面,单击目标VBR实例ID。
在VBR详情页面,单击宣告BGP网段页签,然后单击宣告BGP网段。
在宣告BGP网段面板,然后在宣告网段文本框中输入健康检查源IP地址的掩码为/32位路由(例如:192.168.0.1/32),然后单击确定。
通过云企业网实现本地IDC连接上云的健康检查
步骤一:在云企业网控制台配置阿里云侧健康检查
登录云企业网管理控制台。
在左侧导航栏,单击健康检查。
在健康检查页面,选择VBR实例所属的地域,然后单击设置健康检查。
在设置健康检查面板,配置以下参数,然后单击确定。
配置
说明
云企业网实例
选择已加载VBR实例的云企业网实例。
边界路由器(VBR)
选择要监控的VBR实例。
源IP
源IP地址可通过以下两种方式进行配置:
自动生成源IP(推荐):系统自动为您分配100.96.0.0/16网段内的IP地址。
说明若您选择自动生成的IP地址且在对端配置过ACL策略,请修改ACL策略允许此网段通过, 否则将会出现健康检查失败的情况。
自定义源IP:源IP地址可以是10.0.0.0/8、192.168.0.0/16、172.16.0.0/12三个网段内任意一个没有被使用的IP地址。但不能与云企业网中要互通的地址冲突,也不能和边界路由器实例的阿里云侧、客户侧IP地址冲突。
目标IP
目标IP地址为目标VBR实例客户侧IP地址。
发包时间间隔(秒)
指定健康检查时发送连续探测报文的时间间隔。单位:秒。
探测报文个数(个)
指定健康检查时发送探测报文的个数。单位:个。
切换路由
是否开启健康检查的路由切换功能。
系统默认选择是,即开启健康检查的路由切换功能。健康检查探测到物理专线连接故障时,如果云企业网实例中存在冗余的路由,健康检查则会立刻触发路由切换使用可用链路。
若您取消选中是,则表示不开启健康检查的路由切换功能,健康检查仅执行链路探测功能。若健康检查探测到物理专线连接故障,则不会触发路由切换。
警告若您选择关闭本功能,请确保您有其他方式保证链路的冗余性,否则当物理专线连接故障后,会导致网络中断。
步骤二:配置本地IDC侧的健康检查
您需要在本地数据中心侧添加健康检查相关配置,以确保健康检查正常工作。
在本地数据中心侧添加健康检查探测报文的回程路由。
重要如果您的VBR实例使用的是边界路由协议BGP(Border Gateway Protocol)协议,配置健康检查后阿里云侧默认会将健康检查源地址通过掩码为32位路由方式宣告给本地数据中心,您无需再在本地数据中心侧配置健康检查探测报文的回程路由。
如果您的VBR实例使用的是静态路由,您必须在本地数据中心手动配置目标网段为健康检查源地址,子网掩码为32位,下一跳指向对应物理专线的路由条目,否则健康检查探测ping报文无法正常从被探测物理专线原路返回,会导致阿里云误判物理专线链路不可用。
不同厂商的设备,配置命令不同,以下示例仅供参考。具体配置命令,请您咨询设备厂商。
#配置健康检查探测报文的回程路由 ip route <健康检查源IP地址1> 255.255.255.255 <目标VBR实例阿里侧互联IP地址1> ip route <健康检查源IP地址2> 255.255.255.255 <目标VBR实例阿里侧互联IP地址2>该条命令的作用是为本地IDC侧的边界路由器添加一条目标网段为健康检查源IP地址,下一跳指向与VBR连接的阿里云侧互联IP地址。确保从本地IDC侧发起的健康检查探测报文能够通过正确的路径到达阿里云VPC中的目标服务。
本地IDC侧实施健康检查。
您可以通过双向转发检测BFD(Bidirectional Forwarding Detection)或者网络质量分析NQA(Network Quality Analyzer)方式检测本地IDC到VBR的路由可达性,具体配置命令,请咨询设备厂商。
配置健康检查和路由联动。
对于本地数据中心通过多个物理专线连接至阿里云的场景,您需要在本地数据中心添加健康检查和路由联动的配置,以确保本地数据中心侧也可以探测到物理专线的连通性并可以根据健康检查结果自动实现路由切换。具体配置命令,请咨询设备厂商。
更多操作
以下为高速通道VBR侧健康检查的更多操作,关于CEN侧健康检查的更多操作,请参见配置健康检查。
清除健康检查
您可以清除在高速通道VBR侧已配置的健康检查配置。
登录高速通道管理控制台。
在顶部菜单栏,选择目标地域,然后在左侧导航栏,选择。
在VBR上连页面,找到已创建的目标对等连接,然后在操作列选择
> 健康检查。在健康检查面板,单击清除,然后在清除健康检查对话框中,单击确定。
配置健康检查相关的云监控报警规则
登录云监控控制台。
在左侧导航栏,选择 。
在报警规则列表页面,单击创建报警规则。
在创建报警规则面板,选择产品为高速通道-对等连接、高速通道-边界路由器或高速通道-物理端口的健康检查相关报警规则,然后单击确认。
此处仅列举和本文强相关的配置。关于其余参数的配置,请参见创建报警规则。
单击,然后在添加规则描述面板配置以下参数信息,然后单击确定。
配置
说明
规则名称
阈值报警规则的名称。
指标类型
阈值报警规则的指标类型。本文以简单指标为例进行配置说明,关于多指标和动态阈值的参数配置说明,请参见创建报警模板。
监控指标
选择需要监控的指标。关于对等连接、边界路由器、物理端口选择的健康检查相关监控指标分别为:
高速通道-对等连接
丢包率:VPC发起的健康检查丢包率。
时延:VPC发起的健康检查时延。单位:ms。
高速通道-边界路由器
VBR健康检查时延:VBR健康检查的时延。单位:μs。
VBR健康检查丢包率:VBR健康检查的丢包率。
高速通道-物理端口
物理专线状态:物理专线的连接状态。
阈值及报警级别
报警规则的报警条件、报警阈值和报警级别。
监控图表预览
监控指标的监控图表预览效果。
相关文档
ModifyRouterInterfaceAttribute:修改路由器接口的配置。
DescribeRouterInterfaces:查询指定地域内的路由器接口。
DescribeRouterInterfaceAttribute:查看路由器接口的配置。
AddBgpNetwork:宣告BGP网络。