专线网关用于连接腾讯云 VPC 与物理专线(专用通道),是专线网络的流量入口。专线网关分为私有网络专线网关、云联网专线网关和 NAT 网络专线网关,您可以根据不同的场景进行选择。
使用限制
标准型专线网关支持传递辅助 CIDR,但需要遵循如下限制:
金融云地域的标准型专线网关不支持传递辅助 CIDR。
标准型专线网关支持传递10个辅助 CIDR。
NAT 型专线网关不支持传递辅助 CIDR。
长时间无业务的专线网关(即同时满足以下条件),将会被系统清理:
创建超过180天
持续90天未绑定专用通道
持续90天内无业务流量
私有网络专线网关
在专线网络架构中,专用通道的模式对 IDC 到腾讯云 VPC 方向的路由目的网段有影响,具体如下表所示:
专用通道模式 | IDC 侧上云路由 |
静态 | IDC 到腾讯云 VPC 方向的路由规则,由用户在本地路由器配置。 |
BGP | IDC 侧通过 BGP 协议学习到 VPC CIDR。 |
例如某专线网络架构中,使用私有网络专线网关实现腾讯云 VPC 与一个数据中心连接,不同模式的专用通道下路由配置如下:
若专用通道为静态模式,IDC 到腾讯云 VPC 方向的路由目的网段,由用户在本地路由器配置,如 VPC CIDR(172.21.0.0/16)。
?
若专用通道为 BGP 模式,IDC 到腾讯云 VPC 方向的路由目的网段,为本地路由器通过 BGP 协议学习到的 VPC CIDR(172.21.0.0/16)。
?
云联网专线网关
一个云联网专线网关可以关联一个云联网和多个专用通道,实现云联网内的多个 VPC 与不同的 IDC 互联。在专线网络架构中,创建云联网专线网关的时间、专用通道的模式均对 IDC 到腾讯云 VPC 方向的路由目的网段有影响,具体如下表所示:
创建时间 | 专用通道模式 | IDC 侧上云路由 |
2020 年 9 月 15 日零点前 | 静态 | IDC 到腾讯云 VPC 方向的路由规则,由用户在本地路由器配置。 |
? | BGP | IDC 侧通过 BGP 协议学习到 VPC 子网 CIDR。 |
2020 年 9 月 15 日零点后 | 静态 | IDC 到腾讯云 VPC 方向的路由规则,由用户在本地路由器配置。 |
? | BGP | IDC 侧通过 BGP 协议学习到 VPC CIDR。 |
例如在某专线网络架构中,专线网关 A 为 2020 年 9 月 15 日零点前创建,专线网关 B 为 2020 年 9 月 15 日零点后创建。不同专用通道模式的路由流转如下:
当专用通道 A 和专用通道 B 均为静态模式时,IDC 到腾讯云 VPC 方向的路由目的网段为用户在本地路由器配置的 VPC CIDR(172.21.0.0/16)。专线网关 A 和专线网关 B 的路由完全一致,因此本地 IDC 的流量均匀发送至两个专线网关。
?
当专用通道 A 和专用通道 B 均为 BGP 模式时,本地路由器通过 BGP 协议从专线网关 A 学习到的路由目的网段为子网 CIDR(172.21.0.0/20、172.21.16.0/20),从专线网关 B 通过 BGP 路由协议学习到目的网段为 VPC CIDR(172.21.0.0/16)。由于本地路由器按最长掩码匹配原则进行转发,因此流量将全部转发至专线网关 A。当专用通道 A 故障时,IDC 侧去往专线网关A 的路由条目消失,上云流量才会转发至专线网关 B。
说明
?
NAT 网络专线网关
在专线网关架构中,可以通过 NAT 网络型专线网关(后简称 NAT 型专线网关)进行 IP 地址转换,从而解决云上云下 IP 冲突问题。
专用通道建议优先使用 BGP 模式,可以自动学习 IDC 到腾讯云 VPC 方向的目的网段。
在私网 NAT 中配置的 SNAT 本端三层、SNAT 本端四层和 DNAT 对端四层会自动产生映射关系;对端三层不会产生 NAT 映射关系。同时由于默认不发布 VPC CIDR,因此不能单独配置对端三层使用,需要与本端搭配使用。
2023年03月对 NAT 型专线网关进行了优化。网络地址转换配置内容标准化,由原来的专线侧配置映射关系,优化为 NAT 侧配置映射关系,专线侧绑定 NAT 实例。新旧版配置对应关系如下:
原配置参数名称 | 新参数名称 | |
本端IP转换 | 映射方向:本端 | 映射类型:三层 |
对端IP转换 | 映射方向:对端 | 映射类型:三层 |
本端源IP端口转换 | 映射方向:本端 | 映射类型:四层 |
本端目的IP端口转换 | 映射方向:对端 | 映射类型:四层 |
本端:对 VPC 内网 IP 地址转换。
对端:对 VPC 对端网络的内网 IP 地址进行转换,如对端为 IDC 网络,则可转换 IDC 内的 IP 地址。
三层:仅转换 IP 地址。
四层:将 IP 和端口映射为指定 IP 池内随机端口。
?
高可用概述
专线网关是连接云上网络和云下用户 IDC 的桥梁,其服务的高可用性对业务稳定运行至关重要。
DSR 概述
腾讯自研分布式 SDN 路由系统(Disaggregated Software-Defined Router,DSR),是腾讯基于 SDN、NFV 和微服务技术自助研发的新一代软件路由系统,从系统架构、路由控制、数据转发等层面避免单点故障,用于替代传统的商业路由器,目前广泛的部署在腾讯超大规模、高性能、高弹性的云网络系统。
与传统的网络物理设备相比,腾讯云 DSR 系统支持 NFV、微服务等多种云计算虚拟技术,通过分布式架构有效的避免了单一组件故障对整体系统的影响,实现组件级故障自动发现、隔离和恢复。
专线网关高可用设计
?
腾讯云专线继承了腾讯云 DSR 高可用特性,大大提高了专线网关可用性。
在路由转发平面,DSR 通过多活技术为每个专用通道提供2个双活的路由系统,每个路由系统独立分布在不同的 DSR 集群上,同时 DSR 集群对外提供了2个腾讯云边界 IP 地址来实现控制面路由双活机制(active-active system),这样 IDC 侧本地路由器通过 BGP 协议分别与两个 DSR 集群分别建立了 BGP 邻居关系,有效的保证了 DSR 集群升级或者单集群故障时业务的高可用,避免因单 BGP 邻居中断导致路由收敛而对业务产生的影响。
在数据转发面,DSR 系统通过大规模集群控制和自研集群扩展技术,实现海量数据和流量的分布式转发。在集群内通过实时监测机制动态调整并剔除异常服务节点,保证了单集群的可用性;集群间通过大规模集群扩展技术,实现用户业务在多个集群间横向扩容,确保了跨集群的可用性。
推荐配置
1. 腾讯云侧:DSR 通过 BGP 协议学习腾讯云到用户 IDC 的路由,下一跳为用户本地路由器。
2. 用户 IDC 侧:用户本地路由器通过 BGP 协议学习到腾讯云 VPC 的路由,下一跳为2个 DSR 集群的 IP 地址。
