IBM Cloud Transit Gateway服务概览及使用
作者:互联网
企业通常会在公有云上根据业务需求使用各种网络,比如VPC网络,经典架构网络等。而且需要将不同的基础设施和服务部署到位于不同地理位置的 Region 中,以便客户能够以最快的速度访问到自己需要的内容。同时为了服务多个业务领域、团队、项目等,为此客户需要创建大量的网络子网。
但是当企业需要在这些网络之间建立连接时,事情会变得复杂。如果都是通过点对点的连接,无疑整个网络连接的数量会迅速增长,且很难维护和管理。为了帮助客户更好的管理且控制这些网络之间的流量走向,IBM Cloud提供了Transit Gateway服务。
IBM Cloud Transit Gateway 可以理解为公有云上的路由器,它能够打通不同的 VPC网络,VPC网络和经典网络,集中化地控制这些网络之间的网络流量走向。新的网络子网只需要直接连接到 Transit Gateway 上,就可以与现有网络之间互通,而不需要像以前那样管理各个VPC网络之间,VPC网络和经典网络之间的复杂 Peering 关系。
通过IBM Cloud Transit Gateway服务,我们可以获得以下优势:
- 网络连接更轻松:Transit Gateway 用作云路由器,可简化网络架构。随着网络数量增加,管理增量连接的复杂性也不会提高,同时在构建全球应用程序时,可以使用Transit Gateway跨区域轻松方便的连接更多网络环境。
- 更好的流量控制和可见性: 利用Transit Gateway, 可以更好的控制全球范围内各个子网环境的网络流量,进行集中管理。
- 提高安全性:通过Transit Gateway,各个子网之间的流量一直位于IBM Cloud全球私有网络上,不会暴露到公共 Internet上。网络流量传输更安全和高效。
我们可以用以下两张图来说明使用Transit Gateway服务前后的差异
使用Transit Gateway前
使用Transit Gateway后
通过Transit Gateway服务,我们将结构复杂且难以管理的网状结构变成易维护,易管理且扩展快捷的星型结构。
通过IBM Cloud Transit Gateway服务,我们可以在IBM Cloud上实现以下这些网络互连需求:
- 同一账号下,同一MZR下的多个VPC网络互通
- 同一账号下,不同MZR下的多个VPC网络互通
- 同一账号下,同一MZR下的VPC网络和经典网络互通
- 同一账号下,不同MZR下的VPC网络和经典网络互通
- 跨账号的VPC网络互通
- 跨账号的VPC网络和经典网络互通
我们先看一下如何在IBM Cloud上订购Transit Gateway服务,在使用Transit Gateway之前,我们需要先满足以下两个条件:
- 账号需要启用VRF和Service Endpoint
- 要互通的各个子网不存在IP地址冲突
在导航菜单里选择互连
选择Transit Gateway
创建Transit Gateway服务实例
接下来就针对以下的网络互通场景来看一下如何使用Transit Gateway服务实现,首先介绍一下我们所用的测试环境. 账号A在达拉斯有两个VPC网络,在法来克福有一个VPC网络,同时还有一个经典网络。账号B在达拉斯有一个VPC网络和一个经典网络。各自网络的IP段如下图所示
接下来我们看一下以下网络互通场景如何建立连接
1. 同一账号下,同一MZR下的多个VPC网络互通
先创建Transit Gateway服务
本地路由表示该Transit Gateway只支持在同一个Region下的网络建立连接,但是同一个Region之内的流量免费
全局路由表示该Transit Gateway支持在不同Region下的网络建立连接,跨Region的流量需要收费
在这里我们要实现账号A下达拉斯区域的两个VPC网络互通,选择本地路由即可。在连接部分,先添加达拉斯Region下的VPC A的连接。
Transit Gateway服务创建完成后,可以在管理页面看到创建好的服务
点击dalas-tgw,进入Transit Gateway的配置页面,点击添加连接按钮,添加达拉斯Region下的VPC B连接
等待连接状态变成已连接
在VPC A网络下的虚机访问VPC B网络下的虚机,已经可以互通
2. 同一账号下,不同MZR下的多个VPC网络互通
如果要实现不同MZR region下的多个VPC网络互通,需要建立全球路由类型的Transit Gateway服务
添加Account A下法兰克福Region的VPC C网络
添加Account A下达拉斯Region的VPC A网络
等待两个连接的状态都变成已连接,用达拉斯VPC A网络下的虚机访问法兰克福VPC C网络下的虚机
3. 同一账号下,不同地区的VPC网络和经典网络互通
在这里,我们需要连接同一账号下不同地区之间的VPC网络和经典网络,由于需要连接不同地区之间的网络,我们使用前面所创建的全球路由类型的Transit Gateway服务
这个Transit Gateway下已经创建了法来克福区域的VPC C网络,我们还需要创建到达拉斯地区的经典网络连接
经典网络的连接状态变成已连接后,这时法来克福的VPC C网络到Classic network还不通
原因如下描述:
我们需要在经典网络下的服务器添加到VPC C网络的路由
route add -net 192.168.60.0/25 gw 10.185.217.65 dev eth0 (添加Fra1-subnet的路由)
route add -net 192.168.30.0/25 gw 10.185.217.65 dev eth0(添加Fra2-subnet的路由)
添加成功以后,这时候VPC C网络的服务器就可以和经典网络下的服务器互通了
4. 跨账号的VPC网络互通
接下来我们我们看一下如何让两个跨账号的VPC网络互通, 首先我们还是使用前几步创建的全球路由类型的Transit Gateway服务—global gtw, 前面我们已经添加了账号A下的VPC网络连接,我们还需要添加账号B下的VPC网络连接,点击添加连接,按下图所示进行添加
这里我们需要指定要连接的VPC网络的CRN,可以在资源列表页面的VPC详细信息里查看对应的CRN
连接添加完成后,登录账号B,会收到一个要求建立Transit Gateway连接的通知
打开通知详细里的查看所有受影响的实例,点击批准,这样就批准了账号A的连接请求
批准完成后,跨账号的VPC网络之间已可以互通,可以尝试服务器之间的互相访问
5. 跨账号的VPC网络和经典网络互通
接下来我们继续看如何让跨账号的VPC网络和经典网络互通,同样我们需要先创建一个到账号B经典网络的连接
这里需要指定一个账号B的Cloud account ID,我们可以在账号B的账号设置页面里查看这个Cloud account ID
创建完连接后,同样会在账号B下收到一个要求建立Transit Gateway连接的通知
核准连接即可,完成后账号A和账号B下的VPC网络和经典网络即可实现互通
以上我们介绍了IBM Cloud Transit Gateway服务和几种可以使用Transit Gatway实现网络互通的场景,大家有兴趣可以去尝试更多的网络互通场景,在这里笔者就不累赘了
本文参考文档:
https://cloud.ibm.com/docs/transit-gateway?topic=transit-gateway-getting-started
https://www.ibm.com/cloud/blog/announcements/ibm-cloud-transit-gateway?mhsrc=ibmsearch_a&mhq=blog%20transit%20gateway
https://www.ibm.com/cloud/blog/announcements/ibm-cloud-transit-gateway-multi-account-support-now-available?mhsrc=ibmsearch_a&mhq=blog%20transit%20gateway
https://www.ibm.com/cloud/transit-gateway
标签:IBM,账号,Transit,网络,互通,VPC,Gateway 来源: https://blog.csdn.net/brown_xdz/article/details/118244616