本文地址:http://www.cnblogs.com/taosha/p/6528730.html
在雲計算的大時代,大型客戶都有業務全球拓展的需求,考慮到成本,時間因素,一般都是選擇雲計算,現在雲計算提供商有很多,客戶在采取多雲方案時,最頭疼的就是國外和國內數據中心訪問的時延與穩定性問題。最近就碰到一個案例,客戶國內用了阿里雲,現在考慮業務出海,將業務擴展到東南亞去(走出國門賺錢都是應該贊一下的),客戶很擔心海外公有雲中心和國內阿里雲的連接速度問題。本着為客戶負責的態度,趕緊找了超給力的小伙伴浙大網新和線路供應商一起來做個測試,耳聽為虛,眼見為實。
測試的拓撲如下圖:
具體的步驟是:
- 在Azure門戶(ARM Portal)中設置專線(Azure中英文術語叫Express Route),將線路密鑰給到線路運營商;
- 運營商得到密鑰后開通專線物理線路;
- 雙方設置私有對等參數,開通路由連接;
- 在Azure創建VNET和VNET 網關,將Vnet關聯到專線上;
- 在阿里雲上創建虛機並建立Tunnel;
- 最終測試與結果
第一步,配置EXPRESSROUTE:
New portal下導航至ExpressRoute線路配置頁面:
在線路選擇中,發現海外Azure的線路供應商好多好多,
我趕緊回國內看一眼:
真清爽,有且只有一個選擇,不用為選擇而困惑了,資本主義太笨了,這么賺錢的生意讓這么多家做還怎么賺錢啊,這是是題外話,感慨完我們繼續。
完成后截圖如下:
創建完成后,提供程序狀態為未設置。將服務密鑰提供給線路服務商,等待線路服務商開通線路。開通線路后,程序提供狀態會自動變成已設置。 
未開通前對等配置界面Azure 私有顯示為已禁用,點擊進去會看到全灰色,不可配置.
第二步,線路提供商開通線路
第三步,設置Azure私有對等的參數,
等待提供程序狀態變為已設置后,可配置私有對等網絡。
參數說明:
對等 ASN:
Microsoft Azure 使用 AS 12076 進行 Azure 公共和Azure 專用,保留了 AS 65515-65520 供內部使用。此處和線路提供商商定ASN 設為18084;
主要子網 & 輔助子網:
Azure 專用對等互連的 IP 地址:
可以使用專用 IP 地址或公共 IP 地址來配置對等互連。用於配置路由的地址范圍不得與用於在 Azure 中創建虛擬網絡或您的本地網絡的地址范圍重疊。
第一個 /30 子網用於主鏈路,第二個 /30 子網用於輔助鏈路。
對於每個 /30 子網,在路由器上使用 /30 子網的第一個 IP 地址。Microsoft 使用 /30 子網的第二個 IP 地址來設置 BGP 會話。
只有設置了兩個 BGP 會話,Azure的可用性 SLA 才有效。
專用對等互連示例:
如果你選擇使用 a.b.c.d/29 來設置對等互連,它將拆分成兩個 /30 子網。在以下示例中,我們可以了解 a.b.c.d/29 子網的用法。
a.b.c.d/29 拆分成 a.b.c.d/30 和 a.b.c.d+4/30 並通過預配 API 一路傳遞到 Windows Azure。使用 a.b.c.d+1 作為主要 PE 的 VRF IP,而 Windows Azure 將使用 a.b.c.d+2 作為主要 MSEE 的 VRF IP。使用 a.b.c.d+5 作為輔助 PE 的 VRF IP,而 Windows Azure 將使用 a.b.c.d+6 作為輔助 MSEE 的 VRF IP。
本例中,使用198.19.127.48/30和198.19.127.52/30 來設置專用對等互連。那么198.19.127.48將分配給 link1(線路提供商使用 198.19.127.49,而 Windows Azure 使用198.19.127.50)。
備份線路使用198.19.127.52/30 ,線路提供商使用 198.19.127.53,Windows Azure 使用 198.19.127.54)。
VLAN ID:
VLAN ID是客戶自定義的intExpressRoutenal VLAN(C-tag)。不同的客戶可以使用相同的VLAN ID(C-tag),對於IXP來說,會有一個唯一的S-tag進行標記,不需要客戶配置網絡底層的S-tag。可以使用1至4094之間的數字配置VLAN ID:
Azure 私有(專用對等互連):
可以通過專用對等域來連接虛擬網絡內部署的 Azure 計算服務(即虛擬機 (IaaS) 和雲服務 (PaaS))。專用對等域被視為進入 Microsoft Azure 的核心網絡的受信任擴展。可以在核心網絡和 Azure 虛擬網絡 (VNet) 之間設置雙向連接。這樣,你便可以使用專用 IP 地址直接連接到虛擬機和雲服務。可以將多個虛擬網絡連接到專用對等域。
Azure公用(公共對等互連):
Azure 存儲空間、SQL 數據庫和 Web 應用等服務是使用公共 IP 地址提供的。你可以通過公共對等路由域私下連接到公共 IP 地址(包括雲服務的 VIP)上托管的服務。可以將公共對等域連接到外圍網絡,並從 WAN 連接到公共 IP 地址上的所有 Azure 服務,而無需通過 IntExpressRoutenet 連接。啟用公共對等互連后,您將能夠連接到所有 Azure 服務。
第四步,新建VNET和網關,並將其關聯至專線
New portal下導航到"虛擬網絡"頁面,點擊"添加",新建虛擬網絡Vnet,定義Azure虛擬網絡的名稱、地址空間(不要和對端網絡的虛擬網絡地址空間重疊)、子網名稱及子網地址范圍(不要和地址空間相同,需要保留一部分留給后續的虛擬網絡網關子網使用)等設置。
創建成功后,截圖如下:
添加網關子網:
新建虛擬網絡網關:
New portal下導航至"虛擬網絡網關"頁面,點擊"添加",為剛剛創建的VNET創建網關:
為VNET新建網關,點擊OK和Create:
網關創建好后,截圖如下:
創建VNET到EXPRESSROUTE線路的Link:
New portal連接頁面,點擊"添加":
新建new portal下VNET到EXPRESSROUTE線路的連接:
點擊"確定":
創建成功后如圖示:
第五步,配置阿里雲到線路運營商的Tunnel及路由配置
阿里的機房在杭州,線路運營商的POP點在上海,本次配置阿里雲到線路運營商的連接,過程如下:
在阿里雲的linux虛機上配置Tunnel:
sudo ip tunnel add gre1 mode gre remote 180.169.21.133 local 118.178.231.70 ttl 255
sudo ip link set gre1 up
sudo ip addr add 198.19.122.86/30 dev gre1
然后在阿里雲虛擬機上添加如下路由:
route add -net 10.0.0.0 netmask 255.255.255.0 gw 198.19.122.85
第六步,測試
從測試結果看網絡連接是比較穩定的,ping時延保持在90ms以下,考慮到是從新加坡到國內阿里機房,跨越Great Wall,最后一段還是走的VPN,這個結果還是非常理想的。
另外本次測試使用的是1M專線,使用iperf測試,tcp帶寬也保持在1Mbits /sec,效果非常好。
使用ping命令進行穩定性時延測試結果:
阿里雲上的centos虛擬機默認已經安裝好iperf,Azure上虛擬機需要安裝iperf。
首先運行yum install epel-release安裝Fedora 社區提供的第三方源。
然后運行yum install iperf即可安裝iperf工具。
最后總結:
通過專線+VPN方式連通了新加坡微軟Azure機房和中國國內的阿里雲機房,時延在80-90ms,帶寬穩定,非常滿意,很多想出海的客戶選擇海外Azure有多了一個理由,提供了國內外多雲架構的新思路,為了避免打廣告嫌疑,就不說線路供應商名稱了,有興趣的話可以發郵件saltosha#microsoft.com。