云连接
产品介绍
文档版本 01
发布日期 2022-01-30
版权所有 © 华为技术有限公司 2022。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目 录
1 什么是云连接... 1
2 产品优势...4
3 应用场景...5
4 约束与限制... 7
5 已上线区域清单... 8
6 大区和区域的对应关系... 10
7 计费说明...11
8 权限管理...13
9 与其它服务的关系... 16
10 基本概念... 18
10.1 网络实例... 18
10.2 带宽包... 18
10.3 域间带宽... 18
10.4 区域和可用区... 19
产品介绍 目 录
1 什么是云连接
云连接(Cloud Connect)为用户提供一种能够快速构建跨区域VPC之间以及云上多 VPC与云下多数据中心之间的高速、优质、稳定的网络能力,帮助用户打造一张具有 企业级规模和通信能力的全球云上网络。
通过创建云连接,将用户所需要实现互通的不同区域的网络实例加载到创建的云连接 实例中,这里的网络实例可以是用户自己创建的VPC实例或用户创建的用于本地数据 中心接入的VGW实例,也可以是其它用户授予权限允许加载的VPC实例,最后通过配 置需要互通的网络实例之间的域间带宽,就可以快速的为您提供全球网络互通服务。
云连接的实现原理如图1-1所示。
图1-1 云连接原理图
基本概念
VGW:
VGW即虚拟网关,是云专线的接入路由器。在云专线服务里,物理专线是用户本地数 据中心与云上VPC建立网络连接线路的抽象。虚拟接口是用户本地数据中心访问VPC的 入口。VGW将虚拟接口和VPC关联,即可实现本地数据中心访问VPC。
产品介绍 1 什么是云连接
图1-2 云专线原理图
网络实例:
网络实例包括VPC与虚拟网关(VGW)。
● 将VPC加载到云连接,可以实现VPC之间的互通。
● 将虚拟网关加载到云连接,可以实现云下IDC与云上多VPC互通,构建混合云。
带宽包:
跨区域网络实例互通需要购买带宽包,包括以下两种场景:
● 大区内互通的带宽,用于配置同一个大区内不同区域间,网络实例互通的域间带 宽。
● 大区之间互通的带宽,用于配置两个大区内不同区域间,网络实例互通的域间带 宽。
同区域网络实例互通不需要购买带宽包。
域间带宽:
域间带宽指所规划的场景中,一个区域到另一个区域的网络带宽,可以实现两个区域 之间的互通。基于一个带宽包配置的多个域间带宽的总和不能超过带宽包的总带宽。
以中国大陆与亚太大区互通为例,详细请参考图1-3
图1-3 跨大区互通带宽包和域间带宽
访问方式
云连接服务提供了Web化的服务管理平台,即管理控制台。
用户可直接登录管理控制台访问云连接服务。
产品介绍 1 什么是云连接
● 如果用户已注册帐户,可直接登录管理控制台,在主页选择“网络 > 云连接”。
● 如果未注册,请参见准备工作中的“注册华为云并实名认证”。
产品介绍 1 什么是云连接
2 产品优势
云连接服务具有以下几大产品优势:
● 全网互联
云上网络任意两点互联,保证网络转发一跳可达,无须中转。
● 简单灵活
只需三步,分钟级构建跨区域跨境多VPC互通网络,支持混合云架构。
● 性能优异
华为全球网络基础设施能力,提供低时延、高质量体验。
● 全球合规
提供全球一站式合规的网络能力,支持用户专注自身业务创新。
产品介绍 2 产品优势
3 应用场景
跨区域多 VPC 私网互通
当云上多个区域的VPC之间需要跨区域进行私网通信时,云连接可以根据您的网络规 划,轻松实现多个跨区域VPC连通的场景,提高网络拓扑的灵活性,并为您提供安全 可靠的私网通信。跨区域多VPC私网互通场景如图3-1所示。这里的VPC可以是同帐号 的VPC,也可以是不同帐号经过授权的VPC,通过云连接服务,都可以为您实现私网互 通。
图3-1 跨区域多 VPC 私网互通场景图
多数据中心与多区域 VPC 互通
当用户本地的多个数据中心需要与云上多个区域的VPC进行私网通信时,您可以通过 云专线实现本地数据中心接入云上VPC,再通过云连接加载需要互通的VPC和数据中心 接入的VGW,实现本地数据中心与多区域的VPC的私网通信,实现多点全网通场景,
全网通场景如图3-2所示。这里的VPC可以是同帐号的VPC,也可以是不同帐号经过授 权的VPC,通过云连接服务,都可以为您实现私网互通。
产品介绍 3 应用场景
图3-2 多数据中心与多区域 VPC 互通场景图
产品介绍 3 应用场景
4 约束与限制
资源 限制 说明
每个帐号支持创建的云连
接实例数 6 可以通过提交工单提高此
限制。
每个云连接实例支持加载
的区域数 6 可以通过提交工单提高此
限制。
每个区域支持加载的网络
实例数 6 跨区域互通可以通过提交
工单提高此限制。最多可 申请10个。
同一云连接内,支持购买 的相同互通区域带宽包的 数量
1 此限制不能提高。
每个云连接内,支持创建 的路由条目的数量
50 可以通过提交工单提高此
限制。
注意
关于云连接的使用,您需要注意以下几点:
● 在同一个云连接实例里,所有网络实例Subnet子网CIDR不能冲突,否则可能会引起 互通问题。
● 在云连接实例中,同帐号加载VPC网络实例,并通过其他网段引入自定义CIDR时,
不能引入回环地址,组播地址或广播地址。
● 在同一个云连接实例里加载的所有VPC网络实例里,如果某个VPC同时创建了NAT 网关,则只能同时在该VPC网络实例里通过高级配置自定义子网的方式引入默认路 由“0.0.0.0/0”。
产品介绍 4 约束与限制
5 已上线区域清单
● 中国站云连接服务已上线区域请参考表5-1。
表5-1 云连接已上线大区和区域(中国站)
大区 区域
中国大陆 华北-北京一
华北-北京四 华北-乌兰察布一 华东-上海一 华东-上海二 华南-广州 华南-深圳 西南-贵阳一
亚太 中国-香港
亚太-新加坡 亚太-曼谷
南非 非洲-约翰内斯堡
拉美西 拉美-圣地亚哥
拉美东 拉美-圣保罗一
拉美北 拉美-墨西哥城一
● 国际站云连接服务已上线区域请参考表5-2。
产品介绍 5 已上线区域清单
表5-2 云连接已上线大区和区域(国际站)
大区 区域
中国大陆 华北-北京一
华北-北京四 华东-上海一 华东-上海二 华南-广州
亚太 中国-香港
亚太-新加坡 亚太-曼谷
南非 非洲-约翰内斯堡
拉美西 拉美-圣地亚哥
拉美东 拉美-圣保罗一
拉美-布宜诺斯艾利斯一
拉美北 拉美-墨西哥城一
产品介绍 5 已上线区域清单
6 大区和区域的对应关系
表6-1 大区和区域的对应关系
大区 区域
中国大陆 华北-北京一
华北-北京四 华北-乌兰察布一 华东-上海一 华东-上海二 华南-广州 华南-深圳 西南-贵阳一
亚太 中国-香港
亚太-新加坡 亚太-曼谷
南非 非洲-约翰内斯堡
拉美西 拉美-圣地亚哥
拉美东 拉美-圣保罗一
拉美北 拉美-墨西哥城一
产品介绍 6 大区和区域的对应关系
7 计费说明
云连接服务提供多区域的虚拟私有云(VPC)之间的高速,优质和稳定高可用的互通 网络能力,也能帮助您云下IDC实现就近接入后与全球Region的虚拟私有云(VPC)互 通的诉求。
要支撑您的业务在多区域之间的互通,需要购买相应的带宽包,单区域内多虚拟私有 云(VPC)之间的互通免费。
计费项
带宽包。
说明
一个云连接只能绑定一个相同规格(即相同互通大区)的带宽包。
例如,用户A创建了云连接实例cc1,购买并绑定了一个中国大陆到中国大陆的50Mbit/s的带宽 包bandwidthPackge1。
需注意:
● 云连接cc1未与带宽包bandwidthPackge1解绑前,不能再与其他中国大陆到中国大陆的带宽 包绑定,即带宽包不能叠加使用。
● 云连接cc1配置域间带宽超出带宽包大小(50Mbit/s)时,则需要根据实际使用情况修改带 宽包大小。例如,用户A已为北京四到上海一配置域间带宽30Mbit/s,还需要为上海一到上 海二配置域间带宽40Mbit/s时,则需修改带宽包bandwidthPackge1的大小不小于
70Mbit/s。
● 同一个带宽包只能绑定到一个云连接实例中,不能将同一个带宽包同时绑定到多个云连接实 例。如果用户需要更换带宽包绑定的云连接实例,需先解除已绑定的云连接实例。
云连接费用详情请参见产品价格详情。
计费模式
预付费:包年/包月。
后付费:按需计费。
产品介绍 7 计费说明
说明
用户云连接相关业务上线前,如果想评估云连接带宽质量、带宽大小,可以联系您的客户经理申 请开通后付费带宽包(按需带宽包)。
● 按需带宽包仅供业务测试期间使用。
● 按需带宽包按小时计费。具体价格以购买页为准。
● 按需带宽包只有删除后才会停止计费,使用完毕后需及时删除。
变更配置
● 按需转包年/包月 a. 登录管理控制台。
b. 在系统首页,选择“网络 > 云连接”。
c. 在左侧导航栏选择“云连接> 带宽包管理”,进入带宽包列表页。
d. 在目标带宽包所在行,选择“更多>转包年/包月”。
e. 在对话框中,单击“确定”。
f. 在按需转包年/包月页面,选择资源规格,单击“去支付”。
g. 在支付页面,选择支付方式,单击“确认付款”。
● 包年/包月转按需
详细操作请参考包年/包月转按需。
续费
详细请查看续费管理。
到期与欠费
详细请查看欠费还款。
产品介绍 7 计费说明
8 权限管理
如果您需要对华为云上购买的Cloud Connect资源,为企业中的员工设置不同的访问权 限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、
权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
通过IAM,您可以在华为云帐号中给员工创建IAM用户,并授权控制他们对华为云资源 的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有Cloud Connect 的使用权限,但是不希望他们拥有删除云连接等高危操作的权限,那么您可以使用 IAM为开发人员创建用户,通过授予仅能使用云连接,但是不允许删除云连接的权 限,控制他们对云连接资源的使用范围。
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您 可以跳过本章节,不影响您使用云连接服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍,请参见IAM产品介绍。
云连接权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。
授权后,用户就可以基于被授予的权限对云服务进行操作。
云连接部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,
访问云连接时,不需要切换区域。
根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业 对权限最小化的安全管控要求。例如:针对云连接服务,管理员能够控制IAM用
产品介绍 8 权限管理
表8-1 云连接系统权限 系统角色/策略 名称
描述 类别 依赖关系
Cross Connect
Administrator 云连接服务的管理员权 限,拥有该权限的用户 拥有云连接服务所有执 行权限。拥有该权限的 用户必须同时拥有 Tenant Guest、VPC Administrator权限。
系统角色 依赖Tenant Guest、VPC Administrator策略。
● VPC Administrator:项 目级策略,在同项目中 勾选。
● Tenant Guest:项目级 策略,在同项目中勾 选。
CC FullAccess 云连接服务的所有执行 权限。
系统策略 -
CCReadOnlyAcce ss
云连接服务的只读权 限,拥有该权限的用户 仅能查看云连接服务下 的资源信息。
系统策略 -
CC Network Depend QueryAccess
云连接服务依赖的只读 权限。
拥有该权限的用户可以 查看VPC实例或者VGW 实例信息。
系统策略 -
表8-2列出了云连接常用操作与系统权限的授权关系,您可以参照该表选择合适的系统 权限。
表8-2 常用操作与系统权限的关系 操作 Cross Connect
Administrator CC FullAccess CC
ReadOnlyAccess
创建云连接 √ √ ×
查看云连接 √ √ √
修改云连接 √ √ ×
删除云连接 √ √ ×
绑定带宽包 √ √ ×
解绑带宽包 √ √ ×
加载网络实例 √ √ ×
查看网络实例 √ √ √
更新网络实例 √ √ ×
产品介绍 8 权限管理
操作 Cross Connect
Administrator CC FullAccess CC
ReadOnlyAccess
删除网络实例 √ √ ×
购买带宽包 √ √ ×
查看带宽包 √ √ √
修改带宽包 √ √ ×
退订包年/包月带宽 包
√ √ ×
续费包年/包月带宽 包
√ √ ×
配置域间带宽 √ √ ×
查看域间带宽 √ √ √
修改域间带宽 √ √ ×
删除域间带宽 √ √ ×
查看域间带宽监控数 据
√ √ √
查看路由信息 √ √ √
跨帐号授权网络实例 × × ×
查看授权 √ √ √
查看被授权VPC √ √ √
取消授权 × × ×
创建跨境申请 × × ×
编辑跨境申请 × × ×
撤销跨境申请 × × ×
查看跨境申请 √ √ √
相关链接
● IAM产品介绍
● 创建用户组、用户并授予云连接权限
产品介绍 8 权限管理
9 与其它服务的关系
图9-1 云连接服务与其他服务的关系示意图
表9-1 云连接服务与其他服务的关系
相关服务 交互功能 位置
虚拟私有云(Virtual
Private Cloud,VPC) 通过VPC服务,创建 VPC,不同VPC通过云连 接服务实现互通。
创建虚拟私有云及默认子 网
云专线(Direct
Connect,DC) 通过云专线服务,实现本 地数据中心访问多个跨区 域VPC。
多数据中心与多区域VPC 互通
虚拟专用网络(Virtual
Private Network,VPN) 通过VPN服务,可以实现 本地数据中心和跨境VPC 之间的稳定网络连通。
构建稳定的跨境网络连接
产品介绍 9 与其它服务的关系
相关服务 交互功能 位置 NAT网关(NAT
Gateway) 通过NAT网关服务,可以 实现本地数据中心服务器 访问公网或为公网提供服 务。
基于云连接和SNAT实现 跨区域内网访问公网服务 器加速
云监控(Cloud Eye
Service) 通过云监控服务,查看云 连接资源的监控数据,还 可以获取可视化监控图 表。
查看监控指标
统一身份认证服务
(Identity and Access Management,IAM)
通过IAM服务,针对您在 华为云上创建的云连接资 源,向不同用户设置不同 的使用权限,可以帮助您 安全地控制华为云云连接 资源的访问权限。
统一身份认证服务
产品介绍 9 与其它服务的关系
10 基本概念
10.1 网络实例
网络实例包括VPC与虚拟网关(VGW)。
● 将VPC加载到云连接,可以实现VPC之间的互通。
● 将虚拟网关加载到云连接,可以实现云下IDC与云上多VPC互通,构建混合云。
10.2 带宽包
跨区域网络实例互通需要购买带宽包,包括以下两种场景:
● 大区内互通的带宽包,用于配置同一个大区内不同区域间,网络实例互通的域间 带宽。
● 大区之间互通的带宽包,用于配置两个大区内不同区域间,网络实例互通的域间 带宽。
同区域网络实例互通不需要购买带宽包。
10.3 域间带宽
域间带宽指所规划的场景中,一个区域到另一个区域的网络带宽,可以实现两个区域 之间的互通。基于一个带宽包配置的多个域间带宽的总和不能超过带宽包的总带宽。
以中国大陆与亚太大区互通为例,详细请参考图10-1
产品介绍 10 基本概念
图10-1 跨大区互通带宽包和域间带宽
10.4 区域和可用区
什么是区域、可用区?
我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资 源。
● 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计 算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为 通用Region和专属Region,通用Region指面向公共租户提供通用云服务的 Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用 Region。
● 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,
有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。
一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统 的需求。
图10-2阐明了区域和可用区之间的关系。
图10-2 区域和可用区
产品介绍 10 基本概念
如何选择区域?
选择区域时,您需要考虑以下几个因素:
● 地理位置
一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络 时延,提高访问速度。不过,在基础设施、BGP网络品质、资源的操作与配置等 方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可 以不用考虑不同区域造成的网络时延问题。
– 在除中国大陆以外的亚太地区有业务的用户,可以选择“中国-香港”、“亚 太-曼谷”或“亚太-新加坡”区域。
– 在南非地区有业务的用户,可以选择“非洲-约翰内斯堡”区域。
● 资源的价格
不同区域的资源价格可能有差异,请参见华为云服务价格详情。
如何选择可用区?
是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。
● 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区 内。
● 如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区 内。
区域和终端节点
当您通过API使用资源时,您必须指定其区域终端节点。有关华为云的区域和终端节点 的更多信息,请参阅地区和终端节点。
产品介绍 10 基本概念
