1.

概述与前置准备

小分段：目标与资源准备
说明：目标是利用台湾CN2链路实现公网/专线的低时延、高稳定性访问。准备项包括：确认业务需求（带宽/延迟/可用性目标）、获取AS号或与云/机房签订BGP对等、准备两条或以上CN2链路（最好不同运营商出口或不同PoP）、预留公网前缀或弹性IP、服务器/虚拟机与跳板机权限。还需准备监控主机、堡垒机和自动化脚本。

2.

网络接入与链路设计

小分段：多出口与双活原则
步骤：1) 与台湾CN2服务方沟通，确认是否提供BGP对等或专线接入；2) 申请/租用两条物理或逻辑链路，建议跨多个PoP；3) 规划拓扑：双出口到不同交换机→聚合路由器→数据中心/云路由；4) 采用ECMP或Anycast做流量分发，确保单链路故障不影响整体可用性。

3.

BGP 对等与路由策略

小分段：BGP 参数与健康检测
操作：1) 在路由器或云端配置BGP，填写本地ASN与对端ASN、邻居IP；2) 设置合理的prefix-limit、TTL-security、md5（如支持）以防止劫持；3) 配置BFD用于快速检测链路故障（建议interval 50ms/200ms）；4) 使用AS-PATH、COMMUNITY策略实现流量工程（本地优先/备份路由）；5) 验证路由：使用show bgp neighbors、show ip bgp summary、bgp routes等命令。

4.

IP 高可用与故障切换技术

小分段：Anycast / VRRP / BGP备份
步骤：1) Anycast：在多个PoP同时宣布同一前缀，配合流量调度决定就近路由；2) VRRP/Keepalived：在单机房内部署Keepalived实现VIP漂移，示例配置：vrrp_instance VI { state MASTER; interface eth0; virtual_router_id 51; priority 100; virtual_ipaddress { 1.2.3.4 } }；3) BGP备份：主链路宣布更高的local-pref，备链路在故障时接替。

5.

负载均衡层部署（L4/L7）

小分段：HAProxy、LVS与K8s Ingress实战
操作：1) L4：使用LVS（IPVS）+Keepalived实现高性能四层转发，配置ipvsadm添加虚拟服务并设置real servers；2) L7：HAProxy用于HTTP/HTTPS流量，示例bind配置：frontend http-in bind *:80 default_backend app; backend app balance roundrobin server app1 10.0.0.1:80 check；3) 在Kubernetes场景下使用MetalLB或云LB结合CN2链路，确保外部IP可在多个节点间漂移。

6.

安全与网络优化

小分段：ACL、防火墙与MTU调整
步骤：1) 在边界路由器上配置ACL，允许BGP端口（TCP179）、NTP、监控端口与业务端口；2) 配置同城/跨境防火墙策略，做端口白名单并启用DDoS防护；3) MTU：CN2链路可能通过MPLS，确认路径MTU并在Linux上调整tcp_mtu_probing或net.ipv4.tcp_mtu_probing=1以避免分片。

7.

监控架构总体设计

小分段：监控采集、可视化与告警体系
方案：采用Prometheus作为时序数据库，Grafana做可视化，Alertmanager管理告警，Blackbox Exporter做外部探测，Node Exporter采集主机指标，BGP Exporter或Bird/Quagga状态采集BGP邻居信息，使用Packetbeat/tcpdump做链路流量分析。建立SLA指标：丢包率、RRT/延迟、连接建立成功率、BGP邻居状态。

8.

Prometheus 与黑盒探测实战

小分段：配置示例与探测项
实操：1) Blackbox Exporter配置targets（例如http, tcp, icmp）并在prometheus.yml中添加scrape_configs；2) 常见探测：icmp延迟/丢包、TCP三次握手时间、HTTP响应时间与状态码；3) 示例PromQL：avg_over_time(probe_success[5m])<1 比例检测失败；probe_duration_seconds{job="blackbox"}用于延迟告警。

9.

告警规则与自动化恢复

小分段：告警阈值与Runbook
建议：1) 设定多级告警：警告级（延迟>100ms或丢包>1%）、严重级（延迟>300ms或丢包>5%）、紧急（链路Down或BGP邻居Down）；2) 在Alertmanager配置route和receivers（邮件/电话/钉钉/Slack）；3) 编写自动化Runbook并实现自动化恢复脚本：例如链路失联时自动切换BGP local-pref、触发DNS加权切流、或自动重启HAProxy/Keepalived。

10.

演练与故障排查步骤

小分段：验证项与排查命令
实操步骤：1) 故障演练：定期做单链路断连、BGP邻居down、主节点宕机等演练；2) 排查命令：使用ping、mtr、traceroute、tcpdump -i any port 179、show ip bgp、ipvsadm -L -n、systemctl status keepalived haproxy；3) 记录并优化：记录每次演练数据，调整BFD、优先级、健康检查探测频率。

11.

运维自动化与SRE建议

小分段：自动化脚本与CI/CD集成
建议：1) 把网络配置（BGP、ACL、Keepalived、HAProxy）代码化，使用Ansible/Terraform管理；2) 在CI流水线中加入配置校验（lint）与回滚策略；3) 设置持续的合规检查：定期验证路由表是否符合预期、监控告警是否触发并自动关闭已解决告警。

12.

问：为什么选择台湾CN2而不是普通国际链路？

小分段：回答要点
答：台湾CN2常提供更低抖动、更稳定的跨海链路与专业的MPLS/专线服务，尤其对台湾与中国大陆互联场景，能显著降低延迟与丢包；另外CN2通常有更好的流量工程与SLA支持，便于满足实时业务要求。

13.

问：如何快速验证CN2链路的可用性与性能？

小分段：回答要点
答：使用mtr做端到端延迟与丢包检测、使用tcping检测TCP连通性、用blackbox exporter做持续探测并在Prometheus中建图表；同时观察BGP邻居状态与BFD告警，做流量切换演练来验证切换时间与业务影响。

14.

问：遇到链路突发丢包或延迟升高，首要排查流程是什么？

小分段：回答要点
答：第一步查看监控（丢包/延迟/流量突变）与BGP邻居状态；第二步用mtr/traceroute定位丢包跳数并用tcpdump抓包确认是链路层还是应用层问题；第三步若是链路问题，触发BGP备份或手动调整local-pref回避问题链路，并在供应商处提交工单。

来源：使用台湾cn2 构建高可用架构的实战部署与监控技巧