边界网关场景

边界网关是一个通用的边缘路由对象。本页不逐一描述所有可能的架构，而是重点介绍涵盖大多数部署场景的四种典型用例，分为两组：

• 将您的 VPC 连接到另一云平台的网络 — 最常见的多云模式。BGP 在 ZEC 边界网关与对方云平台的路由端点之间运行。

• 连接两个 ZEC VPC — 无论是同账户内还是跨账户。两个 VPC 默认始终相互独立；各侧的边界网关负责交换路由。

如果您的情况与其中某个场景相符，本页将说明如何进行规划。如果不完全匹配，底层组件（动态路由、路由模式）的组合方式仍然相同。

连接到另一云平台

引入边界网关最常见的原因：工作负载的组件分别运行在 ZEC 和另一云服务商上。无论您需要从单个区域还是所有区域建立连接，区别仅在于路由模式和网关数量。

场景 1 — 另一云平台连接到单个区域

场景描述： 将 ZEC 中的一个 VPC 连接到另一云平台（AWS / Azure / GCP / 其他）的网络，使两侧的私有工作负载可以通信。双方均运行 BGP。

规划方式：

1. 在距离对方云平台端点最近的区域，为 VPC 挂载一个边界网关。

2. 在对方云平台的路由器与边界网关之间建立 BGP 会话。流量通过 Zenlayer 的全球私有连接骨干网传输 — 无需自行配置隧道。

3. 在 ZEC 侧，广播您希望暴露的 VPC 子网 — 可以是全部子网，也可以是特定列表。参见动态路由。

4. 在对方云平台侧，广播您希望该 VPC 能访问的前缀。边界网关学习这些前缀后，将其作为动态路由写入 VPC 路由表。

5. 将路由模式保持为区域模式 — 只有该区域需要访问对方云平台。参见路由模式。

为何使用 BGP： 云路由表会持续演变 — 新增子网、重新编址、故障切换。BGP 会自动跟踪这些变化，无需您修改 ZEC 侧的配置。

场景 2 — 另一云平台连接到所有区域（Hub 模式）

场景描述： 与场景 1 相同的多云对等，但每个 VPC 区域都需要访问对方云平台的前缀。相较于在每个区域分别建立对等，您将 BGP 会话集中在一个 Hub 区域。

规划方式：

1. 在外部对等关系所在的区域挂载一个边界网关。将该区域称为 Hub 区域。

2. 从该网关与对方云平台的路由器（及其他外部邻居）建立对等。

3. 将边界网关的路由模式设为全局模式。参见路由模式。

4. 学习到的前缀通过私有骨干网传播至每个区域的 VPC 路由表。任意区域的实例均可访问外部前缀。

此方案的价值： 集中管理外部对等关系。只需维护一个 BGP 会话，只需在一处修改策略，只需审计一个网关。替代方案 — 每个区域各部署一个边界网关并与同一外部合作伙伴建立对等 — 虽然可行，但会成倍增加运维负担。

权衡： 来自距离较远区域的流量需要先经骨干网转至 Hub 区域，再从 Hub 区域出口到外部对等方。如果这些区域到外部对等方的延迟很重要，按区域部署网关可能更值得，尽管复杂度更高。

场景 3 — 多云互联（连接多个云服务商）

场景描述： 将一个 ZEC VPC 连接到多个其他云平台（例如 AWS + GCP）。两个路由器之间的 BGP 是路由模式；底层传输使用私有骨干网。

规划方式：

1. 在 ZEC 侧为 VPC 挂载一个边界网关。

2. 从该网关向每个云平台的路由器分别建立 BGP 会话。

3. 向每个对等方广播该 VPC 的子网，并学习对方的前缀。

注意： 各对等方之间的地址空间重叠问题。如果两个云平台都广播了冲突的 10.0.0.0/8 段，BGP 仍会正常传递路由 — 但流量将进入错误的目的地。在建立对等之前，请规划好地址空间。

连接两个 ZEC VPC

两个 ZEC VPC 默认相互独立。即使在同一账户内，VPC A 的子网也无法从 VPC B 访问 — 跨区域带宽只连接同一 VPC 内的子网，而非跨 VPC。边界网关是两个 VPC 交换可达性信息的方式。

场景 4 — 通过 BGP 实现 VPC 间互联

场景描述： 两个 VPC — 同账户或不同账户 — 需要交换路由。双方均运行 BGP，使前缀变更能自动传播，无需手动维护路由表。

规划方式：

1. 为每个 VPC 各挂载一个边界网关。

2. 在两个边界网关之间运行 BGP。流量通过私有骨干网传输。

3. 各侧广播其希望暴露的 VPC 子网。任意一侧的变更均通过 BGP 传播，无需手动维护。

VPC 间使用 BGP 的原因：

• 跨区域带宽无法桥接 VPC — 它只在同一 VPC 内生效。

• 将对方 VPC 的前缀列表作为手动条目维护，随着双方不断变化会难以扩展。

• 当 VPC 属于不同账户时，没有单一团队可以协调更新。

选择方案