跳至内容

联网

Equinix 混合云环境允许创建虚拟网络和能力,以实现云中所需的虚拟机和服务之间的通信,包括以下组件。

网络类型

  • 隔离网络 – 内部网络可在源 VDC(专用、灵活或按需)中使用,无需外部路由到其他服务或 VDC。
  • 路由网络 – VDC(专用、灵活或按需)中提供可路由网络,如果通过用户边缘设备上的防火墙规则和 BGP 路由策略预先配置,则 VDC 之间以及与外部云通信之间将有默认路由。

边缘网关

用于网络通信的内部路由器可在虚拟数据中心 (VDC) 或外部云网络之间进行路由。此功能由 Equinix 预配置,并连接到专用于用户的高可用性 VRF-TierO(虚拟路由和转发),同时采用 BGP 路由进行外部云通信。其配置基于防火墙或托管服务 L3 的技术勘测进行,前提是与 Equinix 混合云产品一同签订合同。

除了 Equinix 标准产品组合中提供的 网络硬件 L3 产品外,如果您的设备满足 BGP 协议支持和连接先决条件,您还可以选择通过现有环境连接边缘网关和 VRF-TierO。

防火墙、NAT和外部网络

边缘网关(Tier-1)默认提供网关防火墙(南北向 - 第 7 层)和 NAT(网络地址转换)功能,在 VDC 边缘运行。这可以允许或拒绝虚拟数据中心与外部云之间的通信。

网络可分为内部路由网络的入站端口或出站端口。它们是 Equinix 根据合同连接产品技术调查预先配置的,并在启用 Nat 服务时使用。这会屏蔽连接入口或出口处的内部路由网络的访问。

注意

尽管混合云解决方案的 Tier-1 层具有原生 L4 防火墙功能,但它并不能取代具有 BGP 路由支持、可与 VRF-TierO 通信且支持第 7 层安全功能(如果已签订合同)的边缘防火墙的需求。

创建和编辑防火墙规则

在混合云门户的主页上,转到网络→边缘网关,然后单击与所需 VDC 关联的边缘网关。确认连接到混合云边缘的外部服务类型(托管服务或托管防火墙)。

在下一个屏幕上,选择服务→防火墙并查看默认规则。使用编辑规则按钮添加或管理新规则。

通过“安全”菜单,您可以创建安全组、IP 和服务,以简化规则管理。

微分割 – VDC-Group(销售结束)

注意

此功能已于2024年5月29日停止销售。它仅适用于在此日期之前已激活的客户。在此日期之后签约混合云服务的客户将无法使用此功能。

虚拟数据中心组 (VDC-Group) 允许对虚拟数据中心进行分组,并启用分布式防火墙功能以实现微隔离。这可以根据名称和属性对虚拟机进行隔离,并支持专用、灵活集群和按需集群之间共享网络。

分布式防火墙内置于虚拟机管理程序内核中,可为工作负载和虚拟化网络产品与服务可视性和控制。您可以基于虚拟机名称和网络(IP 地址或 IP 地址集)等对象创建访问控制策略。防火墙规则应用于每个虚拟机的虚拟网卡 (vNIC) 级别,即使在 vMotion 迁移期间也能确保访问控制的一致性。这支持微隔离安全模型,可以检查高达第 7 层的东西向流量。

important

创建新环境时即可申请激活 VDC 组。对于现有环境,请提交支持工单,以便Equinix在启用该功能前进行需求评估和影响分析。

使用 VDC-Group 创建和编辑网络

启用微隔离功能后,将出现一个名为“数据中心组”的新选项卡,其中显示了 VDC 的分组情况。要创建新网络,请选择“数据中心组”选项,网络将在各个 VDC 之间自动共享。

分布式防火墙 – 创建和编辑规则

要在分布式防火墙中创建安全策略,请转到混合云门户中的网络 → 数据中心组

打开租户的 VDC 组,然后选择分布式防火墙 → 编辑规则

创建和编辑 NAT 规则

NAT 服务是可选的,应根据您的环境拓扑结构来决定是否启用。常见用例:

  • 用例 1: NAT 发生在混合云外部的边缘防火墙上,连接到 VRF-Tier0。在这种情况下,EdgeGateway-Tier1 中的 NAT 和外部网络功能是不需要的。
  • 用例 2: NAT 在 VDC 的 EdgeGateway-Tier1 上进行,使用为客户保留的一系列公共 IP 地址。
  • 用例 3: 链式 NAT:外部防火墙对 VRF-Tier0 执行 NAT,然后 EdgeGateway-Tier1 对内部路由网络执行第二次 NAT。

对于用例 2 和 3,通过 服务 → NAT 添加新的 NAT 规则(DNAT 和 SNAT),然后单击 新建

边缘网关 - 高级拓扑结构

接下来是一个高层次的拓扑结构,以帮助澄清与混合云的内部和外部连接。

  • Tier-0 网关 – 这些 VRF 边缘路由器负责混合云与外部环境之间的 BGP 链路,以及 VDC 之间的内部路由。它们由 Equinix 根据合同服务和连接解决方​​案的技术调研进行配置。
  • 一级网关 – 在混合云门户中被归类为边缘网关,负责网络连接和路由、DHCP、网关防火墙和 VDC NAT 服务。它最初由 Equinix 赋能团队配置,基于对合同服务和连接解决方​​案的技术调研。
  • 段 – 在混合云门户中,段被归类为网络,可以选择内部网络路由网络。用户可以创建和配置段,随后通过云边缘的路由策略和防火墙规则进行清理。

创建和编辑虚拟网络

有些虚拟网络是由Equinix启用团队根据连接产品的技术调查或与解决方案签订的专业服务默认创建的。然而,新的网络可以随时创建和路由,以满足新的需求。

在 Equinix 混合云门户的主页上,访问 网络 | 网络,然后单击 新建

New Organization VDC Network
ScopeSelect the desired VDC and click Next.In this case we can choose to create networks in the Dedicated, Flex or On-Demand Virtual Datacenter.
Network TypeSelect the type of network you want, opting for a routed or isolated connectionEach VDC can contain up to two routers in the routed connection model, one dedicated for connecting to external networks and the Internet and the other specifically for connecting to the Equinix services network, delivering products such as “Backup”, “Intelligent Data” and others.
GeneralEnter a name, CIDR Gateway and Description.For example: LAN01, 192.168.110.1/24
Static IP PoolsEnter a pool of IPs available for automatic allocation when creating new VMsFor example: 192.168.10.100-192.168.110.100
DNSEnter the primary, secondary and Suffix DNS addressesFor example: 8.8.8.8, 8.8.4.4, domain.local
Ready to completeReview options and confirm the creation of the new virtual network.

:::笔记 默认情况下,VDC 之间的网络路由是内部的。但是,必须检查 BGP 路由策略和防火墙规则才能启用外部访问和互联网访问。如果用户的边缘防火墙由我们托管,则可以向我们的支持团队申请此额外配置;如果防火墙未由我们托管,则可以由用户自行配置。此外,非托管客户还可以选择付费预约技术支持,以清除和创建路由和防火墙策略。 :::

创建和编辑防火墙规则

  1. 在 Equinix 混合云门户的主页上,单击网络 | 边缘网关

  2. 根据与混合云边缘关联的外部服务类型(托管服务或托管防火墙),选择与所需 VDC 相关的边缘网关

  3. 在下一个屏幕上,点击“服务 -> 防火墙”菜单,并勾选默认环境规则。点击“编辑规则”添加和管理新规则。

  4. 在“安全”菜单中,创建安全组、IP 和服务,以方便规则管理。

    Security GroupsCreate security groups and add the networks used by the VMs in the VDC. For example: SC-LAN-ONDEMAND (Will encompass all VMs connected to that network).
    IP SetsCreate IP groups to identify networks external to the VDC.
    Application Port ProfilesCreate services to identify the applications and ports used.

创建和编辑NAT规则

NAT服务是可选的,其使用必须根据环境的拓扑结构来考虑。一些使用情况列举如下:

  • 用例 1 – 地址可以直接在混合云外部的边缘防火墙(连接到 VRF-Tier0)中进行转换。它将转换后的通信提供给内部路由网络。在这种情况下,无需使用 VDC 的 EdgeGateway-TierI 的 NAT 和外部网络功能。
  • 用例 2 – 外部 VDC 网络可能包含一系列为用户保留的公网 IP 地址。在这种情况下,NAT 可以直接在 VDC 的边缘网关层进行,从而掩盖内部路由网络。
  • 用例 3 – 此用例发生在 NAT 与其他 NAT 连接时。例如,一个公网连接到混合云和 VRF-Tier0 外部的防火墙。它为 VDC 边缘网关层 (EdgeGateway-Tier) 中具有私有 IP 的另一个外部网络执行 NAT,该网络再为内部路由网络执行第二次 NAT。

在上述用例 2 和 3 中,您可以通过 服务 -> NAT,选择 新建 来添加新的 NAT 规则(DNAT 和 SNAT)。

此页面有帮助吗?