天翼云的资源池是2+31+N，分布在全国各地，每个省及大点的地市几乎都有资源池，如果你的客户在不同省份的资源池都部署了云上应用并且想把这些资源池共享数据，你可以首先通过互联网的EIP实现，其次如果想要数据安全传输，可以用天翼云云间高速产品通过专线实现不同云池间的高速安全连接，但是价格也非常感人，一般人是根本不敢用，那有么有既保障安全又可以高速连接的方法呢？下面的内容就是介绍如何实现在不同资源池之间通过IPSEC设置实现互通，由于众所周知的原因我不能提一个词，所以本文中都已其主要实现技术IPSEC来代替这个词，因为这个词我前面有好几篇介绍MPLS的文章都被屏蔽了，我😓

    一、组网情况介绍

   

    客户一个账号在武汉资源池有一批云主机 网络是192.168.0.0/24，另一个账号在上海资源池有一批云主机，网络是10.37.0.0/24，目标是实现两边的云主机直接通过内网IP可以互相访问，并且实现不低于100M的专线带宽效果。

   二、天翼云操作步骤

   这种组网情况我以前的一篇博客曾经提到过使用IPSEC的方式打通，以前提的方案是自己安装IPSEC的开源软件openswan或者strongswan来实现，这种方案的弊端在于，第一连接速率受制于云主机的购买带宽，第二需要用户自己搭建，过程也不简单，配置比较复杂，容易出错。

    这里我推荐使用电信天翼云的"虚拟专用网络"产品，该产品目前还处于公测阶段，暂不收费，优点在于配置简单，性能可靠，速度奇快。

主要配置步骤分武汉资源池和上海资源池两部分，这里假设你已经有了天翼云的不同资源池资源，已经配好VPC，子网，云主机及网络安全组，下面首先讲武汉资源池的配置

   1、进入武汉资源池网络控制台点击创建虚拟专用网络



 填写参数如下



密码定义要与下面在上海资源池创建的一样，远端网关要等上海资源池的创建工作结束后才可以填写。



确认参数正确直接点击确认申请即可。

 

此时在虚拟专用网列表中会出现创建过程，状态显示为创建中，等创建完成后等待1分钟不到，会出现本端网关（上图的IP被我隐藏了）的公网IP，这个地址需要你在上海资源池做上面操作时填入的远端网关中，等上海资源池的操作完成后记下上海资源池的本端网关IP地址，将其填入武汉资源池的远端网关中。

2、进入上海资源池操作虚拟专用网，步骤与武汉资源池一模一样，变化在于远端子网要填写192.168.0.0/24，远端网关地址可以直接填写正确的武汉资源池虚拟专网本端网关IP地址

    

3、配置完后注意观察状态，主要关注共享密码是否输入正确一致，本远端网关IP地址及本远端子网是否输入正确， 如果配置完全正确，大约不到1分钟时间，状态就会显示为上面的正常。

4、连通性测试

登录一台武汉资源池192.168.0.0/24子网的云主机



直接ping上海资源池10.37.0.179云主机并通过traceroute观察路由

 

直接在武汉资源池云主机上ssh到上海资源池的云主机上



  三、高网速效果测试

1、在两边的云主机上分别安装测速软件iperf3



2、武汉云主机运行为服务端，上海云主机运行为客户端进行测速



武汉云主机192.168.0.144运行为服务端，接受上海云主机的测试

iperf3 -c 192.168.0.144

  

观察从上海到武汉资源池间的连接网速达到340M，下面再反过来把上海云主机运行为服务端，从武汉云主机对上海方向发起测速，效果如下：

 

观察从上海至武汉资源池的测试带宽也达到了330M

四、总结

     电信天翼云的虚拟专用网真的是配置简单且效果非常棒，对应300M的云带宽一个月就要7500元，而通过虚拟专用网当前阶段可以免费使用，电信真是土豪呀，对应于阿里、亚马逊的虚拟专用网解决方案大家技术上都是通过IPSEC实现，操作细节上稍有不同但是电信当前的资费真是爽呀！

     今天介绍一下通过软路由MikroTik通过IPSEC Site-to-Site方式连接天翼云与内网，实现混合云组网，本文在上一篇天翼云不同资源池之间互通的基础上进行扩展，重点介绍的是软路由侧的操作，关于天翼云侧的详细操作请自行参考上一篇博文内容。

一、混合云组网环境介绍



内网网段10.37.0.0/16，有一台通过vsphere部署的ros虚拟机运行了6.4版本的软路由，开启IPSEC功能与天翼云侧对接Site-to-Site方式的连接，对接完成后可以实现内网10.37.0.0/16与天翼云侧内网192.168.0.0/24互通，双方主机可以直接通过对方内网IP进行通信，接入速率取决于内网接入互联网的速度。

预定义密钥：password

ros路由器外网IP：1.1.1.1

ros路由器内网IP:10.37.2.6

云侧IPSEC外网IP：2.2.2.2

云侧主机内网：192.168.0.0/24

 二、配置思路及流程

1、首先配置天翼云侧的虚拟专用网功能

2、记录下天翼云侧虚拟专用网本地网关IP及策略详情参数

3、回内网ROS服务器上配置IPSEC功能

4、配置内网核心路由器静态路由将天翼云内网网段的网关地址指向ROS服务器内网接口10.37.2.6

5、连通性测试及速率测试

三、天翼云侧操作

1、创建虚拟专网



2、查看策略详情



3、IPsec需要关注的参数

IKE策略及版本为IKE V1

认证算法默认SHA1，加密算法为AES-CBC-128，密钥交换协议DH算法为1536bit即group 5

Diffie-Hellman Group
			
Name
			
Reference
		
Group 1
			
768 bit MODP group
			
RFC2409
		
Group 2
			
1024 bits MODP group
			
RFC2409
		
Group 3
			
EC2N group on GP(2^155)
			
RFC2409
		
Group 4
			
EC2N group on GP(2^185)
			
RFC2409
		
Group 5
			
1536 bits MODP group
			
RFC3526
		
 

三、软路由侧操作



软路由采用在虚拟机上部署的方式，版本为6.40.5 

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-128-ctr,aes-128-gcm \

    pfs-group=modp1536

/ip ipsec peer

add address=2.2.2.2/32 compatibility-options=skip-peer-id-validation \

    dh-group=modp1536 enc-algorithm=aes-128 local-address=1.1.1.1 secret=\

    password

/ip ipsec policy

add dst-address=192.168.0.0/24 sa-dst-address=2.2.2.2 sa-src-address=\

    1.1.1.1 src-address=10.37.0.0/16 tunnel=yes

上面的命令在ros中配置完成后，可以直接在ros上以内网ip10.37.2.6为源地址去ping天翼云侧的主机，正确配置后应该可以ping通。


四、内网路由器操作

前三步做完天翼云与内网ros路由器已经可以互通了，但是内网其它主机不能通，需要在内网核心路由器上添加一条针对天翼云内网网段192.168.0.0/24的回程路由指向ros路由器的内网接口10.37.2.6

 ip route-static 192.168.0.0 24 10.37.2.6

五、连通性测试



局域网内部测试主机10.37.6.3跟踪路由至天翼云主机192.168.0.144，可以看出首先经过了内网核心路由器转发至ros接口，然后有ros路由器转发至天翼云内网服务器。

 



天翼云主机192.168.0.144直接跟踪路由器至内网主机10.37.6.3，结果如下：

 

六、网速测试

由于内网接入互联网的网速为100M，我们看通过IPSEC建立专网后，两个内网的通信速度有多快，这里还是使用iperf3测试网速，通过内网10.37.6.3直接测试到云主机192.168.0.144的网速为83M，这里的速度大部分情况下取决于用户接入互联网的带宽，如果用户超过了300M的接入带宽，则速度瓶颈会体现在云侧，正如昨天的实验中体现出来的云侧最高接入速度在330M左右。

云是将服务器虚拟化，形成虚拟资源池，相比于以前的物理机更加节省资源成本，便于管理。云是计算、存储、网路资源池化的概念。我们每天使用的搜索引擎、邮箱、网盘，就是很标准的云，而这大多都是免费的。云是对互联网的升级，意味着互联网并不仅仅是存储数据，而是为你提供某种服务。云计算、云存储、云服务、云平台等就是利用云通过一堆机器经过网络组合到一起的不同形式，是云下面的子概念。总的来说就是，云服务=云平台，云服务=云计算+云存储！
云计算
随着互联网的发展，云服务和应用也变得越来越复杂，需要支持更多的用户、需要更强的计算能力、需要更加稳定安全等等。用传统的方法比如配备更加完备的IT运维部门将会耗费大量的精力和财力，而且对于大公司来说需求仍会难以满足，对于那些中小规模的企业，甚至个人创业者来说，创造软件产品的运维成本就更加难以承受了。而“云计算”出现以后就可以完美的解决这个问题。
将应用部署到云端后，就不必再关注那些令人头疼的硬件和软件问题，它们会由云服务提供商的专业团队去解决。使用的是共享的硬件，只要按照你的需求买了这个云服务就可以使用了关于软件的更新，资源的按需扩展都能自动完成。云计算具有大规模分布式、虚拟化、高可用性和扩展性、按需服务更加经济及安全五大特点。
云服务和云平台
云计算将我们传统的IT工作转为以网络为依托的云平台运行，而云服务则是在这个云平台上发布出来的供用户使用的产品服务。云平台比较通俗的可以理解为云计算服务商有N多服务器和存储设备，用信息技术将其整合为一种提供存储服务的平台，这个平台以租赁的方式对外提供服务。
云服务常规上是指通过网络以按需、易扩展的方式获得所需服务。简单来说，云服务可以将企业所需的软硬件、资料都放到网络上，在任何时间、地点，使用不同的IT设备互相连接，实现数据存取、运算等目的。
云服务的两种主要形式：公有云 & 私有云
公有云(Public Cloud)：SaaS、PaaS和IaaS
公有云是最基础的服务，成本较低，是指多个客户可共享一个服务提供商的系统资源，他们毋须架设任何设备及配备管理人员，便可享有专业的IT服务，这对于中小企来说，无疑是一个降低成本的好方法。
私有云(Private Cloud)：虽然公有云成本低，但是大企业(如金融、保险行业)为了兼顾行业、客户私隐，不可能将重要数据存放到公共网络上，故倾向于架设私有云端网络。私有云的运作形式，与公共云类似。然而，架设私有云却是一项重大投资，企业需自行设计数据中心、网络、存储设备，并且拥有专业的顾问团队。企业管理层必须充分考虑使用私有云的必要性，以及是否拥有足够资源来确保私有云正常运作。
云存储
云存储官方定义是一个以数据存储和管理为核心的云计算系统。
即是指通过集群应用、网格技术或分布式文机房集中监控系统件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的一个系统。云存储设备横向扩展的方式让存储系统具有了无限扩展的能力，能够实现控制器与硬盘的同时扩展，即性能与容量可以同时实现线性扩展，云存储一般可以分为私有云存储、公有云存储。
通过云存储模式，私有网络的资源和数据得到链接，并且这些资源和数据放到了公有云服务提供商共享公共网络上。这些数据一方面创造着无限价值，但是另一方面一旦发生某云计算平台泄漏了用户的数据隐私，或是数据在云端存储的过程中由于设备故障而导致大量丢失，亦或是数据在传输过程中被其他用户任意篡改，这种后果所造成的后果是难以估量的。因此，在云时代，关于这些方面的问题也是非常值得注意的。
【腾讯云】新注册可领取总价值达2860元代金券，每种代金券限量500张，先到先得。

对于华为云新同学而言，经常会听到Global、Region、AZ、资源池、主机组，对这些概念，初次接触不怎么清楚相应的区别和规划原则，下面就每个概念做个简单介绍，有什么不当之处，敬请留言。
Global
这是全局概念，一套华为云Stack解决方案内的唯一。比如，Global区部署ManageOne作为多Region的统一管理平台(划重点，每个Region也可部署运维组件，即多级运维)，而IAM作为全局统一认证服务。
Region
这是一个地理区域概念，即一个以时延为半径的圈，通常会包含接入时延(即该圈内的用户获得服务的时延需在某个范围以内，比如100ms)、覆盖范围(超过时延的举例，会影响服务质量，从而建议另行规划一个区域/Region)及容灾(每个Region通常分布在不同的地理位置，当然同一地理位置也可按需规划不同的Region)属性。对于华为云Stack，在进行Region规划通常会参考以下原则：
如两个物理数据中心间时延超过2ms，则需规划不同的Region。
Region内设备间管理流量、存储流量、业务流量较大，对网络带宽有较高的要求，故通常Region不跨物理数据中心。
Region内管理平面互通，如项目对安全要求严格，可将某些高安全等级业务部署在单独的Region。
云服务器容灾服务(CSDR)是跨Region级别容灾，使用该服务时需规划主Region和容灾Region。
AZ
即 Available Zone(可用分区)，它是一个物理资源(计算、存储、网络)的分区，AZ中的计算、存储、网络资源是全互通的，用户可以将在AZ内不受限制地绑定虚拟机与磁盘、网络的关系，而不能跨AZ进行这种绑定关系。1个Region可以包含多个AZ，但1个AZ不可跨多个Region。 同一个Region的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。每个AZ包含1个或者多个主机组(后面会有该概念介绍)。此外，在规划AZ时要注意以下要求：
资源池类型：不同类型计算资源池要划分成不同AZ ，例如裸金属服务器(BMS)资源池、虚拟机资源池、异构资源池(如Vmware资源池)。
可靠性：AZ内物理资源共享了可靠性故障点，比如共享相同电源供应、磁盘阵列、交换机等，如希望业务应用实现跨AZ的可靠性(例如某个业务应用的VM部署在两个AZ内)，则需要划分为多个AZ。
云服务器高可用服务(CSHA)为跨AZ容灾，使用该服务时需要规划主AZ和容灾AZ(划重点，这和上面提到的CSDR有明显区别)。
资源池
按资源组合形式来看，资源池可分为物理数据中心层、统一资源层和业务层，具体介绍如下。
物理数据中心层：一套云平台通常包括多个物理区域分布的数据中心。
单个物理数据中心的形态和传统云数据中心基本一致，分为物理基础设施和物理基础架构。采用扁平化二层网络设计，将数据中心IT设备高速连接到一起。
统一资源池层：统一的计算资源池(如通用计算资源池、裸金属服务器计算资源池、GPU计算资源池)、存储资源池(EVS服务对应的块存储资源池、OBS服务对应的对象存储资源池、SFS服务对应的文件存储资源池)和网络资源池。每种类型的资源池，都有实际的作用域。
资源池的划分和底层物理设备位置无任何关联，华为云Stack中FusionSphere组件将物理分散的计算、存储、网络设备纳入逻辑统一资源池，供上层业务按需调度。
业务层：应用计算环境，包括企业/运营商的各种业务部署，以及根据业务需求而划分相应的VDC。
主机组
在华为云Stack解决方案中，一个主机组就是FusionSphere OpenStack一个逻辑组，它包括一组物理主机以及相关的元数据。通常由一组相同硬件配置(CPU，内存)以及连接同一后端共享存储的计算服务器组成一个主机组(划重点，一个主机组可包含一台或多台主机，一台主机也可分属于一个或多个主机组)，由管理员在系统中逻辑划分。