---

name: hybrid-cloud-networking description: "配置本地环境与云环境之间安全、高性能的连接，使用 VPN、Direct Connect 和 ExpressRoute。" risk: safe source: community date_added: "2026-02-27"

混合云网络

配置本地环境与云环境之间安全、高性能的连接，使用 VPN、Direct Connect 和 ExpressRoute。

不要在以下情况使用此技能

• 任务与混合云网络无关
• 你需要此范围之外的其他领域或工具

说明

• 明确目标、约束条件和所需输入。
• 应用相关最佳实践并验证结果。
• 提供可操作的步骤和验证方法。
• 如需详细示例，请打开 resources/implementation-playbook.md。

目的

在本地数据中心和云提供商（AWS、Azure、GCP）之间建立安全、可靠的网络连接。

在以下情况使用此技能

• 将本地连接到云
• 将数据中心扩展到云
• 实施混合主动-主动架构
• 满足合规要求
• 逐步迁移到云

连接选项

AWS 连接

1. 站点到站点 VPN

• 通过互联网的 IPSec VPN
• 每条隧道最高 1.25 Gbps
• 适合中等带宽的经济方案
• 延迟较高，依赖互联网

resource "aws_vpn_gateway" "main" {
  vpc_id = aws_vpc.main.id
  tags = {
    Name = "main-vpn-gateway"
  }
}

resource "aws_customer_gateway" "main" {
  bgp_asn    = 65000
  ip_address = "203.0.113.1"
  type       = "ipsec.1"
}

resource "aws_vpn_connection" "main" {
  vpn_gateway_id      = aws_vpn_gateway.main.id
  customer_gateway_id = aws_customer_gateway.main.id
  type                = "ipsec.1"
  static_routes_only  = false
}

2. AWS Direct Connect

• 专用网络连接
• 1 Gbps 到 100 Gbps
• 更低延迟，稳定带宽
• 成本更高，需要安装时间

参考： 见 references/direct-connect.md

Azure 连接

1. 站点到站点 VPN

resource "azurerm_virtual_network_gateway" "vpn" {
  name                = "vpn-gateway"
  location            = azurerm_resource_group.main.location
  resource_group_name = azurerm_resource_group.main.name

  type     = "Vpn"
  vpn_type = "RouteBased"
  sku      = "VpnGw1"

  ip_configuration {
    name                          = "vnetGatewayConfig"
    public_ip_address_id          = azurerm_public_ip.vpn.id
    private_ip_address_allocation = "Dynamic"
    subnet_id                     = azurerm_subnet.gateway.id
  }
}

2. Azure ExpressRoute

• 通过连接提供商的专用连接
• 最高 100 Gbps
• 低延迟，高可靠性
• Premium 版本支持全球连接

GCP 连接

1. Cloud VPN

• IPSec VPN（经典或 HA VPN）
• HA VPN：99.99% SLA
• 每条隧道最高 3 Gbps

2. Cloud Interconnect

• 专用（10 Gbps、100 Gbps）
• 合作伙伴（50 Mbps 到 50 Gbps）
• 比 VPN 延迟更低

混合网络模式

模式 1：中心辐射型

本地数据中心
         ↓
    VPN/Direct Connect
         ↓
    Transit Gateway (AWS) / vWAN (Azure)
         ↓
    ├─ 生产 VPC/VNet
    ├─ 预发布 VPC/VNet
    └─ 开发 VPC/VNet

模式 2：多区域混合

本地
    ├─ Direct Connect → us-east-1
    └─ Direct Connect → us-west-2
            ↓
        跨区域对等连接

模式 3：多云混合

本地数据中心
    ├─ Direct Connect → AWS
    ├─ ExpressRoute → Azure
    └─ Interconnect → GCP

路由配置

BGP 配置

本地路由器：
- AS 号：65000
- 通告：10.0.0.0/8

云路由器：
- AS 号：64512 (AWS)、65515 (Azure)
- 通告：云 VPC/VNet CIDR

路由传播

• 在路由表上启用路由传播
• 使用 BGP 进行动态路由
• 实施路由过滤
• 监控路由通告

安全最佳实践

1. 使用专用连接（Direct Connect/ExpressRoute）
2. 为 VPN 隧道实施加密
3. 使用 VPC 端点避免互联网路由
4. 配置网络 ACL 和安全组
5. 启用 VPC Flow Logs 进行监控
6. 实施 DDoS 防护
7. 使用 PrivateLink/Private Endpoints
8. 使用 CloudWatch/Monitor 监控连接
9. 实施冗余（双隧道）
10. 定期安全审计

高可用性

双 VPN 隧道

resource "aws_vpn_connection" "primary" {
  vpn_gateway_id      = aws_vpn_gateway.main.id
  customer_gateway_id = aws_customer_gateway.primary.id
  type                = "ipsec.1"
}

resource "aws_vpn_connection" "secondary" {
  vpn_gateway_id      = aws_vpn_gateway.main.id
  customer_gateway_id = aws_customer_gateway.secondary.id
  type                = "ipsec.1"
}

主动-主动配置

• 从不同位置建立多条连接
• 使用 BGP 实现自动故障转移
• 等价多路径（ECMP）路由
• 监控所有连接的健康状态

监控