Сервис Direct Connect: резервируемый доступ к удаленной клиентской инфраструктуре (L2 P2P)

Взаимодействие между клиентской виртуальной инфраструктурой и платформой Advanced может быть организовано с применением сервиса Direct Connect.

Сервис Direct Connect для платформы Advanced обеспечивает взаимодействие между клиентской виртуальной инфраструктурой и внешними аппаратными ЦОД-ами, офисными LAN-сетями, смежными платформами, а также различными технологическими системами, например, системами по обеспечению сетевой безопасности.

Общая структурная схема сервиса Direct Connect для двух транзитных зон облачной платформы Advanced и двух узлов связи для внешних физических подключений к транспортной сети Cloud.ru:

../../_images/schm__templates_adv_network-tools_dc-overview.svg

Организация отказоустойчивого взаимодействия c удаленным клиентским ЦОДом или ЛВС с использованием L2-сервиса — востребованный паттерн взаимодействия с платформой Advanced.

Паттерн предполагает организацию физического сетевого Ethernet-подключения на двух узлах связи (М-9 и МР-4) транспортной сети Cloud.ru. Организация сетевого подключения к узлам связи транспортной сети выполняется с согласованием режима портов подключения на коммутационном оборудовании Cloud.ru.

В зависимости от используемого протокола маршрутизации (Static или BGP) для реализации паттерна доступны два сценария:

Резервируемый доступ к удаленным ЦОДам или ЛВС клиента (L2 P2P, Static)

Паттерн взаимодействия VPC на платформе Advanced c удаленным ЦОДом или ЛВС клиента с использованием резервируемого L2-сервиса и статической маршрутизации имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Коммутация нескольких VLAN для взаимодействия аппаратной и облачной инфраструктур клиента.

  • Поддерживаются L2- или L3-сервисы для каждой VLAN.

  • Ethernet-подключение непосредственно к платформе Advanced на двух площадках ЦОДа/ В терминологии Cloud.ru Advanced — Transit Zone #1 и Transit Zone #2.

  • Отдельно взятому VPC клиента допустимо назначить только один Virtual Gateway. Требуется заказ дополнительного сервиса Direct Connect (с отдельным VLAN ID) и создание дополнительного Virtual Interface для организации отказоустойчивого подключения. Организацию дополнительного сервиса Direct Connect рекомендуется выполнять в смежной Transit Zone — отличной от Transit Zone основного сервиса Direct Connect.

  • Выбор IP-адресов для подсетей ограничен — допустимо использовать любое адресное пространство, за исключением значений, принадлежащих внутреннему адресному пространству платформы Advanced:

    • 100.64.0.0/10

    • 127.0.0.0/8

    • 169.254.0.0/16

    • 198.19.128.0/20

Общая схема

../../_images/schm__templates_adv_network-tools_dc-redundant-static-l2-p2p-hw.svg

Описание паттерна

Предварительные требования:
  • VPC клиента должна содержать одну или более IP-подсетей.

  • Удаленный ЦОД клиента также должен иметь несколько IP-подсетей.

  • Должно быть согласованы сетевые подключения к коммутаторам транспортной сети Cloud.ru на двух узлах связи (M9 и МР4).

  • Согласован режим сетевых портов на коммутаторах (Access или Trunk), и назначены Vlan IDs на транспортной сети Cloud.ru.

  • На транспортной сети Cloud.ru должен быть обеспечен L2-сервис от портов подключения до коммутаторов Advanced в Transit #1 и Transit #2.

Архитектурной особенностью IP-маршрутизации внутри платформы Advanced является создание для каждого клиентского сервиса Direct Connect отдельного VRF на пограничных коммутаторах Direct Connect Clusters в Transit #1 и Transit #2. Внутри платформы Advanced между маршрутизатором VPC (VPC Router) и VRF (Virtual Routers) используются статические IP-маршруты:

  • При указании CIDR Block в конфигурации Virtual Gateway клиент задает статические маршруты в Route Table соответствующего VRF на Direct Connect Clusters.

  • При указании Remote IP Subnets в конфигурации Virtual Interface клиент задает статические маршруты в Route Table ассоциированного VPC, а также статические маршруты к данным IP-подсетям через клиентский Router.

На внутреннем технологическом соединении между Virtual Routers двух смежных Transit Zones используется протокол internal BGP (AS#64512). Такое взаимодействие необходимо, чтобы обеспечить прохождение трафика к удаленным ресурсам от виртуальной машины ECS из любой зоны доступности (AZ).

В зависимости от расположения ECS и выбора определенной Transit Zone для сервиса Direct Connect путь исходящего трафика из платформы к удаленному ЦОДу клиента может отличаться. Приоритетным промежуточным узлом для трафика ECS в AZ#1 и AZ#3 к удаленным ресурсам является Transit Zone #1, а для ECS в AZ#2 — Transit Zone #2. Поэтому в данном сценарии маршрут от ECS из AZ#2 в удаленный ЦОД будет иметь на один L3-hop меньше по сравнению с ECS из AZ#1 или AZ#3. Маршрут обратного входящего трафика на уровне L3-hops отличаться не будет.

../../_images/schm__templates_adv_network-tools_dc-redundant-static-l2-p2p-logic.svg

Реализация

Порядок конфигурации данного сценария клиентом в консоли Cloud.ru Advanced:

  1. В консоли Advanced убедиться, что во вкладке Virtual Private Cloud → Direct Connect → Connection имеется запись о созданных службой эксплуатации сетевых соединениях с назначенными Vlan IDs.

  2. На вкладке Virtual Private Cloud → Direct Connect → Virtual Gateways выбрать Create Virtual Gateway и затем:

    • Задать произвольное имя Virtual Gateway в разделе Name.

    • Выбрать в выпадающем меню в разделе VPC один из имеющихся виртуальных тенантов.

    • Указать в разделе Subnet CIDR Block, к каким IP-подсетям данного тенанта разрешается доступ извне.

    • Нажать ОK.

  3. На вкладке Virtual Private Cloud → Direct Connect → Virtual Interfaces выбрать Create Virtual Interface и затем:

    • Задать произвольное имя Virtual Interface в разделе Name.

    • Выбрать в выдающем меню в разделе Connection соответствующий профиль соединения — Connection #1 (VLAN X).

    • Выбрать в выдающем меню в разделе Virtual Gateway вновь созданный Virtual Gateway.

    • Назначить IP-адрес в разделе Local Gateway для соединения (VLAN X) Point-to-Point со стороны Advanced.

    • Указать IP-адрес в разделе Remote Gateway для соединения (VLAN X) Point-to-Point на удаленном роутере клиента.

    • Указать в разделе Remote Subnet список удаленных IP-подсетей, к которым разрешается доступ.

    • Выбрать в разделе Routing Mode режим статической маршрутизации — Static.

    • Нажать Create Now.

  4. Пункт 3 выполнить повторно для параметров Connection #1 (VLAN Y).

Резервируемый доступ к удаленным ЦОДам или ЛВС клиента (L2 P2P, BGP)

Паттерн взаимодействия VPC на платформе Advanced c удаленным ЦОДом или ЛВС клиента с использованием резервируемого L2-сервиса и динамической маршрутизации имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Коммутация нескольких VLAN для взаимодействия аппаратной и облачной инфраструктур клиента.

  • Поддерживаются L2- или L3-сервисы для каждой VLAN.

  • Ethernet-подключение непосредственно к платформе Advanced на двух площадках ЦОДа. В терминологии Cloud.ru Advanced — Transit Zone #1 и Transit Zone #2.

  • Отдельно взятому VPC клиента допустимо назначить только один Virtual Gateway. Требуется заказ дополнительного сервиса Direct Connect (с отдельным Vlan ID) и создание дополнительного Virtual Interface для организации отказоустойчивого подключения. Организацию дополнительного сервиса Direct Connect рекомендуется выполнять в смежной Transit Zone — отличной от Transit Zone основного сервиса Direct Connect.

  • Выбор IP-адресов для подсетей ограничен — допустимо использовать любое адресное пространство, за исключением значений, принадлежащих внутреннему адресному пространству платформы Advanced:

    • 100.64.0.0/10

    • 127.0.0.0/8

    • 169.254.0.0/16

    • 198.19.128.0/20

Общая схема

../../_images/schm__templates_adv_network-tools_dc-redundant-bgp-l2-p2p-hw.svg

Описание паттерна

Предварительные требования:
  • VPC клиента должна содержать одну или более IP-подсетей.

  • Удаленный ЦОД клиента также должен иметь несколько IP-подсетей.

  • Должно быть согласованы сетевые подключения к коммутаторам транспортной сети Cloud.ru на двух узлах связи (M9 и МР4).

  • Согласован режим сетевых портов на коммутаторах (Access или Trunk), и назначены Vlan IDs на транспортной сети Cloud.ru.

  • На транспортной сети Cloud.ru должен быть обеспечен L2-сервис от портов подключения до коммутаторов Advanced в Transit #1 и Transit #2.

Архитектурной особенностью IP-маршрутизации внутри платформы Advanced является создание для каждого клиентского сервиса Direct Connect отдельного VRF на пограничных коммутаторах Direct Connect Clusters в Transit #1 и Transit #2. Внутри платформы Advanced между маршрутизатором VPC (VPC Router) и VRF (Virtual Routers) используются статические IP-маршруты:

  • При указании CIDR Block в конфигурации Virtual Gateway клиент задает статические маршруты в Route Table соответствующего VRF на Direct Connect Clusters.

  • При указании Remote IP Subnets в конфигурации Virtual Interface клиент задает статические маршруты в Route Table ассоциированного VPC, а также статические маршруты к данным IP-подсетям через клиентский Router.

На внутреннем технологическом соединении между Virtual Routers двух смежных Transit Zones используется протокол internal BGP (AS#64512). Такое взаимодействие необходимо, чтобы обеспечить прохождение трафика к удаленным ресурсам от виртуальной машины ECS из любой зоны доступности (AZ).

В зависимости от расположения ECS и выбора определенной Transit Zone для сервиса Direct Connect путь исходящего трафика из платформы к удаленному ЦОДу клиента может отличаться. Приоритетным промежуточным узлом для трафика ECS в AZ#1 и AZ#3 к удаленным ресурсам является Transit Zone #1, а для ECS в AZ#2 — Transit Zone #2. Поэтому в данном сценарии маршрут от ECS из AZ#2 в удаленный ЦОД будет иметь на один L3-hop меньше, по сравнению с ECS из AZ#1 или AZ#3. Маршрут обратного входящего трафика на уровне L3-hops отличаться не будет.

../../_images/schm__templates_adv_network-tools_dc-redundant-bgp-l2-p2p-logic.svg

Реализация

Порядок конфигурации данного сценария клиентом в консоли Cloud.ru Advanced:

  1. В консоли Advanced убедиться, что во вкладке Virtual Private Cloud → Direct Connect → Connection имеется запись о созданных службой эксплуатации сетевых соединениях с назначенными Vlan IDs.

  2. На вкладке Virtual Private Cloud → Direct Connect → Virtual Gateways выбрать Create Virtual Gateway и затем:

    • Задать произвольное имя Virtual Gateway в разделе Name.

    • Выбрать в выпадающем меню в разделе VPC один из имеющихся виртуальных тенантов.

    • Указать в разделе Subnet CIDR Block, к каким IP-подсетям данного тенанта разрешается доступ извне.

    • Нажать ОK.

  3. На вкладке Virtual Private Cloud → Direct Connect → Virtual Interfaces выбрать Create Virtual Interface и затем:

    • Задать произвольное имя Virtual Interface в разделе Name.

    • Выбрать в выдающем меню в разделе Connection соответствующий профиль соединения — Connection #1 (VLAN X).

    • Выбрать в выдающем меню в разделе Virtual Gateway вновь созданный Virtual Gateway.

    • Назначить IP-адрес в разделе Local Gateway для соединения (VLAN X) Point-to-Point со стороны Advanced.

    • Указать IP-адрес в разделе Remote Gateway для соединения (VLAN X) Point-to-Point на удаленном роутере клиента.

    • Указать в разделе Remote Subnet список удаленных IP-подсетей, к которым разрешается доступ.

    • Выбрать в разделе Routing Mode режим динамической маршрутизации — BGP.

    • Нажать Create Now.

  4. Пункт 3 выполнить повторно для параметров Connection #1 (VLAN Y).

См.также

Обзор Direct Connect

Масштабная конференция
GoCloud 2024:
облачные грани будущего