1. 混合云組網(wǎng)的問(wèn)題與挑戰(zhàn)

企業(yè)用云量持續(xù)增長(zhǎng)。隨著時(shí)間的推移，逐漸形成了混合云架構(gòu)?；旌显萍軜?gòu)如何解決通“網(wǎng)”需求？

成都做網(wǎng)站、網(wǎng)站制作服務(wù)團(tuán)隊(duì)是一支充滿(mǎn)著熱情的團(tuán)隊(duì)，執(zhí)著、敏銳、追求更好，是創(chuàng)新互聯(lián)的標(biāo)準(zhǔn)與要求，同時(shí)竭誠(chéng)為客戶(hù)提供服務(wù)是我們的理念。創(chuàng)新互聯(lián)公司把每個(gè)網(wǎng)站當(dāng)做一個(gè)產(chǎn)品來(lái)開(kāi)發(fā)，精雕細(xì)琢，追求一名工匠心中的細(xì)致，我們更用心！

1.1 多云網(wǎng)絡(luò)互通
常見(jiàn)的組網(wǎng)方案有：用戶(hù)自建IPSec網(wǎng)關(guān)，使用加密隧道連接。但會(huì)帶來(lái)以下問(wèn)題：

1) 配置復(fù)雜，維護(hù)成本高
例如，將阿里云北京的VPC資源接入AWS新加坡的VPC。通常我們使用×××軟件解決，但通過(guò)繁瑣的CLI在不同的云服務(wù)商實(shí)施不同的部署工作流，會(huì)造成在基礎(chǔ)設(shè)施上花費(fèi)太多的精力。

2) 網(wǎng)絡(luò)結(jié)構(gòu)臃腫，失去靈活性。
業(yè)務(wù)需求是更快的發(fā)布應(yīng)用程序。拼湊使用多種連接方式組網(wǎng)，會(huì)使網(wǎng)絡(luò)架構(gòu)臃腫，增加復(fù)雜度?？?，敏捷將是難以實(shí)現(xiàn)的。

1.2 企業(yè)和云網(wǎng)絡(luò)互通

常見(jiàn)的組網(wǎng)方案有：云專(zhuān)線(xiàn)。 但也會(huì)帶來(lái)以下問(wèn)題：

1) 受服務(wù)商約束，需要改動(dòng)網(wǎng)絡(luò)。
例如，將阿里云北京，騰訊云深圳的VPC基礎(chǔ)設(shè)施接入到北京的數(shù)據(jù)中心。云專(zhuān)線(xiàn)連接方式依賴(lài)服務(wù)商，需要在用戶(hù)側(cè)部署接入設(shè)備，花費(fèi)幾天或幾周的時(shí)間改動(dòng)網(wǎng)絡(luò)。由于涉及到專(zhuān)線(xiàn)服務(wù)商，運(yùn)營(yíng)商，云服務(wù)商多方面配合，在資源協(xié)同，線(xiàn)路選擇方面通常會(huì)有限制。

2) 高昂的組網(wǎng)成本，限制企業(yè)通網(wǎng)。
云專(zhuān)線(xiàn)每年支出在數(shù)十萬(wàn)級(jí)。創(chuàng)業(yè)公司沒(méi)有大企業(yè)的資源優(yōu)勢(shì)，較高的支出，顯然不符合需求。

1.3 客戶(hù)端遠(yuǎn)程接入

常見(jiàn)的組網(wǎng)方案有：Open×××。 但也會(huì)帶來(lái)以下問(wèn)題：

1) 多用戶(hù)多VPC環(huán)境，繁瑣的證書(shū)管理。
每個(gè)VPC中都部署Open×××服務(wù)器會(huì)導(dǎo)致繁瑣的證書(shū)管理。如果您有超過(guò)10個(gè)用戶(hù)和多個(gè)VPC，則客戶(hù)端證書(shū)管理和Open×××配置維護(hù)可能成為一項(xiàng)重大挑戰(zhàn)。

2) 需要安裝客戶(hù)端。
對(duì)于大多數(shù)技術(shù)人員，Open×××使用上沒(méi)有門(mén)檻，但接入系統(tǒng)有可能需要開(kāi)放給非技術(shù)人員使用，例如，銷(xiāo)售使用IPSec訪問(wèn)內(nèi)網(wǎng)中的CRM。需要安裝客戶(hù)端的方案，加大了實(shí)施難度。

2. 混合云組網(wǎng)的實(shí)現(xiàn)思路

如何能減少網(wǎng)絡(luò)改動(dòng)，低成本快速組網(wǎng)，同時(shí)簡(jiǎn)化IPSec隧道的創(chuàng)建，刪除和管理？我們探索出了一種自動(dòng)化實(shí)現(xiàn)方案。

從圖中可以看出，我們參考了SDN軟件架構(gòu)設(shè)計(jì)，將×××網(wǎng)關(guān)抽象出來(lái)邏輯分層，實(shí)現(xiàn)集中管理。

2.1 組網(wǎng)自動(dòng)化方案的組件

1) IPSec容器
運(yùn)行在VPC或用戶(hù)側(cè)網(wǎng)絡(luò)的主機(jī)上；
處理IPSec通道（IPSec加密）流量；
通過(guò)WebSocket與控制器連接。

2) 控制器
通過(guò)Restful API完成指定隧道的創(chuàng)建，刪除，管理；
通過(guò)云服務(wù)商網(wǎng)絡(luò)API完成VPC的路由配置；
通過(guò)Restful API與Web Client通信。

3) Web Client
隧道管理；
用戶(hù)管理；
數(shù)據(jù)可視化。
各組件連接關(guān)系如下圖：

2.2 對(duì)等連接的過(guò)程及其實(shí)現(xiàn)
1) 用戶(hù)在管理界面點(diǎn)擊需要互通的網(wǎng)絡(luò)，Web Client向控制器發(fā)送創(chuàng)建連接請(qǐng)求，控制器向指定IPSec容器下發(fā)IPSec配置，同時(shí)在VPC路由表添加到達(dá)對(duì)端網(wǎng)絡(luò)的路由條目。配置完成后拉起隧道，兩端網(wǎng)絡(luò)完成互通。

2) 如果遇到兩端網(wǎng)絡(luò)VPC CIDR沖突的情況，可以通過(guò)管理界面修改指定連接的CIDR，Web Client向控制器發(fā)送修改CIDR請(qǐng)求，控制器向IPSec容器下發(fā)新的IPSec配置，同時(shí)更新VPC路由條目。完成后重新拉起隧道。

3) 通過(guò)界面，可以集中管理所有IPSec容器以及隧道。如果網(wǎng)絡(luò)環(huán)境發(fā)生變化，例如云服務(wù)器的公網(wǎng)IP變更，監(jiān)控服務(wù)會(huì)通知容器自動(dòng)更新IPSec配置，同時(shí)更新VPC路由條目，重新拉起隧道。

以上就是系統(tǒng)的工作原理。從中我們可以看出，系統(tǒng)已經(jīng)很好地解決了傳統(tǒng)連接方式所遇到的問(wèn)題：

1) 控制器通過(guò)IPSec容器API接口完成IPSec連接配置，使用云服務(wù)商網(wǎng)絡(luò)API接口完成VPC路由配置，從而實(shí)現(xiàn)了自動(dòng)化。這種設(shè)計(jì)的優(yōu)勢(shì)在于可以消除復(fù)雜度，不需要網(wǎng)絡(luò)工程師，任何人都可以運(yùn)行。

2) 對(duì)于用戶(hù)側(cè)網(wǎng)絡(luò)和云網(wǎng)絡(luò)互通需求，由運(yùn)行在用戶(hù)側(cè)主機(jī)上的IPSec容器向運(yùn)行在云網(wǎng)絡(luò)的IPSec容器發(fā)起IPSec連接，這樣設(shè)計(jì)是為了避免對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行改動(dòng)，減少對(duì)硬件設(shè)備的依賴(lài)。由于不需要在企業(yè)用戶(hù)側(cè)開(kāi)放端口，可以適應(yīng)直接路由，NAT，Proxy等主流的互聯(lián)網(wǎng)接入方式。

3) 采用容器化的部署方式，將企業(yè)邊界軟化，不需要在用戶(hù)側(cè)網(wǎng)絡(luò)部署CPE設(shè)備，不需要配置公有云邊界路由器。由于采用了集中管理，分布運(yùn)行的設(shè)計(jì)，可以滿(mǎn)足隨處運(yùn)行，可持續(xù)升級(jí)的需求。

2.3 客戶(hù)端遠(yuǎn)程接入的過(guò)程及實(shí)現(xiàn)

1) 管理員可以手動(dòng)添加用戶(hù)，也可以使用邀請(qǐng)注冊(cè)的方式導(dǎo)入用戶(hù)，將注冊(cè)地址，注冊(cè)碼分發(fā)給團(tuán)隊(duì)成員。用戶(hù)登記郵箱，密碼，手機(jī)號(hào)，注冊(cè)碼完成賬號(hào)注冊(cè)。如果有LDAP環(huán)境，還可以使用系統(tǒng)的LDAP自動(dòng)同步功能，對(duì)接LDAP服務(wù)器，周期性自動(dòng)更新賬號(hào)信息。

2) 賬號(hào)生效后，用戶(hù)不需要安裝客戶(hù)端，直接使用macOS，Windows，iOS，Android，Linux原生IPSec客戶(hù)端即可接入。IPSec類(lèi)型為使用預(yù)共享密鑰的L2TP/IPSec。

3) 如果用戶(hù)需要重置密碼，可前往自助IT服務(wù)頁(yè)面自行重置密碼，就像重設(shè)郵箱密碼一樣簡(jiǎn)單。

以上就是客戶(hù)端接入的流程。從中我們可以看出，系統(tǒng)已經(jīng)很好地解決了Open×××所遇到的問(wèn)題：

1) 使用預(yù)共享密鑰的接入方式。這樣設(shè)計(jì)是為了避免維護(hù)客戶(hù)端證書(shū)，同時(shí)還能直接使用操作系統(tǒng)原生IPSec客戶(hù)端，不需要用戶(hù)再額外安裝IPSec客戶(hù)端。好處是降低了使用門(mén)檻，降低了實(shí)施難度，使得適應(yīng)更多的應(yīng)用場(chǎng)景，適應(yīng)更多用戶(hù)群。

2) 提供多種用戶(hù)導(dǎo)入方式。這樣設(shè)計(jì)是為了兼容企業(yè)的IT環(huán)境。管理員可以手動(dòng)添加用戶(hù)，或者使用邀請(qǐng)注冊(cè)的方式導(dǎo)入團(tuán)隊(duì)成員。還可以通過(guò)系統(tǒng)的LDAP自動(dòng)同步功能，自動(dòng)更新賬號(hào)。

3) 通過(guò)管理界面，可以集中管理所有IPSec容器以及用戶(hù)。為用戶(hù)提供密碼重置，接入配置指南等自助式IT服務(wù)界面。管理員無(wú)須介入，降低IT服務(wù)成本。

3. 自動(dòng)化組網(wǎng)的價(jià)值
   IPSec組網(wǎng)自動(dòng)化方案解決了幾個(gè)問(wèn)題：

快速組網(wǎng)：使用IPSec 連接基礎(chǔ)設(shè)施，在多云，企業(yè)與云之間建立任意互聯(lián)。在幾分鐘內(nèi)，將資源連接到任何位置。

網(wǎng)絡(luò)改動(dòng)少：適應(yīng)原有網(wǎng)絡(luò)，無(wú)需部署硬件，不需要對(duì)原有網(wǎng)絡(luò)進(jìn)行改動(dòng)。

使用簡(jiǎn)單：消除復(fù)雜度，用全點(diǎn)擊式操作取代CLI手動(dòng)配置，不需要網(wǎng)絡(luò)工程師，任何人都可以組網(wǎng)通網(wǎng)。

實(shí)施簡(jiǎn)單：使用操作系統(tǒng)原生客戶(hù)端即可接入，不需要管理證書(shū)。

提高效率：集成云服務(wù)商API實(shí)現(xiàn)組網(wǎng)自動(dòng)化。讓用戶(hù)專(zhuān)注于核心業(yè)務(wù)，而不是基礎(chǔ)設(shè)施。

降低成本：通過(guò)廉價(jià)的Internet獲得近似專(zhuān)線(xiàn)的特性，節(jié)省90%的通網(wǎng)支出。

Accesshub為企業(yè)簡(jiǎn)化混合云組網(wǎng)，產(chǎn)品地址是 www.accesshub.cn。

注冊(cè)即可使用。