1 概述
云存储网关是一款帮助客户在现有本地应用程序、基础设施和数据存储与阿里云之间实现无缝集成的存储服务。通过可在本地和云上部署的兼容行业标准存储协议的虚拟设备,将现有的存储应用程序和工作负载链接阿里云存储服务,无缝对接阿里云的存储和计算服务。
目前公测中的云存储网关服务,把网关服务的部署和资源配置做了自动化部署,大大简化了使用流程,方便用户使用。云存储网关服务可以自动适配用户在VPC内的ECS客户端,打通网络层面配置。但是阿里云公网里有大量的企业客户的采用多个VPC互联的方式支持大规模ECS集群。云存储网关服务在1.0.31及以前,只支持单个VPC的ECS实例链接,不支持多个VPC互联。从1.0.32云存储网关服务增加了对多个VPC网段的支持,目前可以同时支持阿里云标准VPC的所有网段:192.168.0.0/16, 172.16.0.0./12和10.0.0.0/8。下面以一个三个VPC互联的场景介绍一下,如何配置对应的云企业网和安全组设置,使得三个VPC里的ECS实例都可以访问云存储网关的在线服务。
2 配置实战
下面以一个典型的3个互通VPC为例,介绍如何在云企业网互联的情况下实现在阿里云全VPC网段实现共享云存储网关服务。
2.1. VPC和云企业网拓扑和配置
云企业网的服务开通比较简单,可以参考云企业网的参考文档把多个VPC加入同一个云企业网即可。在云企业配置后,各个VPC之间无需配置安全组设置,各个ECS实例即可连通。图 2‑1描述了加入云企业网的VPC网络和云存储网关的网络拓扑。
图 2‑1
2.2. 配置网关安全组策略
在VPC下可以有很多安全组,可以根据自身需求来配置相应的安全组策略,下面以图 2.1‑1为例介绍如何配置云存储网关安全组实现整个云企业网可以共享同一个云存储网关。而对于我们的网关来讲需要增加3项授权,授权对象为SG-10和SG-192的安全组,可以通过安全组规则中的授权类型通过授权对应的安全组的方法,便捷的把已有ECS实例纳入云存储网关的服务范围。
图 2‑2
具体配置如图 2‑3:
图 2‑3
对于VPC-10下的安全组SG-10以及VPC-192下的安全组SG-192配置如图 2‑4安全组规则
图 2‑4
如果需要使用ldap和ad,需要在安全组中再加上2条规则:TCP:53/636和 UDP 53/636即可。
2.3. 客户端挂载测试
此时配置好的ECS实例已经可以联通云存储网关服务。
1. 在Linux客户端可以用如下命令挂载创建的nfs共享。更详细的操作可以参考,云存储网关的NFS客户端配置
mount.nfs 172.16.239.102:/<nfs 共享名称> <linux 本地目录>
成功后,可以用df -ah 命令看到挂载结果:
此时本地目录/mnt/test就对接了海量的OSS存储。
2. 在Windows客户端可以如图 2.4‑1挂载CIFS共享。更详细的操作可以参考,云存储网关的CIFS客户端配置。
图 2‑5
3. 在Windows和Linux客户机上的iSCSI卷配置可以参考,块存储网关的卷使用。
2.4. 升级注意事项
云存储网关从1.0.32版本开始支持多个VPC连通的IP段。由于之前部署网络环境的限制,旧网关不能支持所有的IP段,具体的支持如表格 2‑1:
| 升级路线 |
升级前支持网段 |
升级后支持网段 |
|
1.0.30/31 升级到 1.0.32及以后 |
192.168.0.0/16 |
192.168.0.0/16 172.16.0.0/12 |
| 172.16.0.0/12 |
192.168.0.0/16 172.16.0.0/12 |
|
| 10.0.0.0/8 |
172.16.0.0/12 10.0.0.0/8 |
表格 2‑1
