本文指導您如何使用云企業網實現跨地域跨賬號專有網絡VPC(Virtual Private Cloud)間互通。
場景示例
本文以上圖場景為例。某企業使用賬號A在阿里云華東1(杭州)地域、華北1(青島)地域分別創建了VPC1和VPC3,使用賬號B在華東1(杭州)地域創建了VPC2,3個VPC使用云服務器ECS(Elastic Compute Service)分別部署了應用服務,各個VPC之間互不相通。現在因業務發展需要,企業需要3個VPC可以互相通信,資源互訪。
企業可以使用云企業網產品,將華東1(杭州)地域的VPC1和VPC2連接至賬號A下華東1(杭州)地域的轉發路由器,將華北1(青島)地域的VPC3連接至賬號A下華北1(青島)地域的轉發路由器,然后通過跨地域連接實現華東1(杭州)地域和華北1(青島)地域的轉發路由器互通,進而實現3個VPC互相通信。
本文的跨賬號指的是不同阿里云賬號(主賬號),而非RAM用戶(子賬號)。
前提條件
您已經使用賬號A在華東1(杭州)地域、華北1(青島)地域各創建了1個VPC,使用賬號B在華東1(杭州)地域創建了1個VPC,3個VPC均使用ECS部署了應用服務。具體操作,請參見搭建IPv4專有網絡。
請確保每個VPC在企業版轉發路由器支持的可用區中擁有足夠的交換機實例,且每個交換機實例擁有至少一個空閑的IP地址。
對于企業版轉發路由器僅支持一個可用區的地域(例如華東5(南京-本地地域)地域),VPC實例需在當前可用區下擁有至少一個交換機實例。
對于企業版轉發路由器支持多個可用區的地域(例如華東2(上海)地域),VPC實例需在這些可用區中擁有至少2個交換機實例,2個交換機實例需位于不同的可用區。
更多信息,請參見VPC連接原理。
區域
地域
可用區
中國內地
華東1(杭州)
B、H、I、J、K
華東2(上海)
B、E、F、G、L、M、N
華東5(南京-本地地域)
A
華東6(福州-本地地域)
A
華中1(武漢-本地地域)
A
華南1(深圳)
A(停止新用戶新購)、 C、D、E、F
華南2(河源)
A、B
華南3(廣州)
A、B
華北1(青島)
B、C
華北2(北京)
C、G、H、I、J、K、L
華北3(張家口)
A、B、C
華北5(呼和浩特)
A、B
華北6(烏蘭察布)
A、B、C
西南1(成都)
A、B
亞太
新加坡
A、B、C
中國香港
B、C、D
馬來西亞(吉隆坡)
A、B
印度尼西亞(雅加達)
A、B、C
菲律賓(馬尼拉)
A
日本(東京)
A、B、C
韓國(首爾)
A
泰國(曼谷)
A
歐洲
德國(法蘭克福)
A、B、C
英國(倫敦)
A、B
北美
美國(弗吉尼亞)
A、B
美國(硅谷)
A、B
本示例3個VPC網絡規劃如下表所示,在您規劃網絡時請確保要互通的網段沒有重疊。
屬性
VPC1
VPC2
VPC3
網絡實例所屬賬號
賬號A
賬號B
賬號A
網絡實例所屬地域
華東1(杭州)
華東1(杭州)
華北1(青島)
網絡實例的網段規劃
VPC網段:192.168.0.0/16
交換機1網段:192.168.20.0/24
交換機2網段:192.168.21.0/24
VPC網段:10.0.0.0/16
交換機1網段:10.0.0.0/24
交換機2網段:10.0.1.0/24
VPC網段:172.16.0.0/16
交換機1網段:172.16.0.0/24
交換機2網段:172.16.1.0/24
網絡實例交換機的可用區
交換機1位于可用區H
交換機2位于可用區I
交換機1位于可用區H
交換機2位于可用區I
交換機1位于可用區B
交換機2位于可用區C
ECS實例IP地址
192.168.20.161
10.0.0.33
172.16.0.89
您已經了解3個VPC中ECS實例所應用的安全組規則,并確保安全組規則允許3個VPC資源互訪。具體操作,請參見查詢安全組規則和添加安全組規則。
開始配置
步驟一:創建云企業網實例
本示例將賬號B的VPC2連接至賬號A的云企業網中,在賬號A的云企業網中實現3個VPC相互通信。您需要使用賬號A創建一個云企業網實例。
使用賬號A登錄云企業網管理控制臺。
在云企業網實例頁面,單擊創建云企業網實例。
在創建云企業網實例對話框,根據以下信息進行配置,然后單擊確認。
名稱:輸入云企業網實例的名稱。
描述:輸入云企業網實例的描述信息。
資源組:選擇云企業網實例所屬的資源組。
本文不選擇,云企業網實例創建完成后將歸屬于默認資源組。
標簽:輸入云企業網實例的標簽。本文保持為空值。
步驟二:創建轉發路由器實例
在連接網絡實例前,您需要在云企業網實例中在網絡實例所屬地域創建轉發路由器實例。
使用賬號A登錄云企業網管理控制臺。
在云企業網實例頁面,選擇在步驟一中創建的云企業網實例,單擊云企業網實例ID。
在頁簽,單擊創建轉發路由器。
在創建轉發路由器對話框,配置轉發路由器實例信息,然后單擊確認。
請根據下表信息分別在華東1(杭州)和華北1(青島)地域創建轉發路由器實例。
配置項
說明
華東1(杭州)
華北1(青島)
地域
選擇轉發路由器實例所屬的地域。
本文選擇華東1(杭州)地域。
本文選擇華北1(青島)地域。
版本
轉發路由器實例的版本。
系統自動判斷并顯示當前地域下轉發路由器實例的版本。
系統自動判斷并顯示當前地域下轉發路由器實例的版本。
開通組播
選擇是否打開轉發路由器實例的組播功能。
本文保持默認值,即不打開組播功能。
本文保持默認值,即不打開組播功能。
名稱
輸入轉發路由器實例的名稱。
請自定義轉發路由器實例的名稱。
請自定義轉發路由器實例的名稱。
描述
輸入轉發路由器實例的描述信息。
請自定義轉發路由器實例的描述信息。
請自定義轉發路由器實例的描述信息。
標簽
為轉發路由器實例添加標簽。
本文保持為空值。
本文保持為空值。
TR地址段
輸入轉發路由器地址段。
更多信息,請參見轉發路由器地址段。
本文無需配置轉發路由器地址段。
本文無需配置轉發路由器地址段。
步驟三:跨賬號VPC實例授權
在將賬號B的VPC2連接至賬號A之前,需要在賬號B中操作授權,允許賬號A下的轉發路由器實例連接VPC2。
使用賬號B登錄專有網絡管理控制臺。
在頂部菜單欄,選擇VPC2所屬的地域。
本示例選擇華東1(杭州)。
在專有網絡頁面,找到VPC2,單擊VPC2實例ID。
單擊跨賬號授權頁簽。在云企業網頁簽下,單擊云企業網跨賬號授權。
在加入云企業網對話框,根據以下信息進行配置,然后單擊確定。
配置項
說明
對方賬號UID
轉發路由器實例所屬的阿里云賬號(主賬號)ID。
本示例為賬號A的賬號ID。
對方云企業網實例ID
轉發路由器實例所屬的云企業網實例ID。
本示例為步驟一創建的云企業網實例ID。
資費承擔方式
選擇付費方。
CEN用戶承擔資費(默認值):表示VPC實例產生的連接費和流量處理費由轉發路由器實例所屬的賬號承擔。
VPC用戶承擔資費:表示VPC實例產生的連接費和流量處理費由VPC實例所屬的賬號承擔。
本示例使用默認值。
重要請謹慎選擇資費承擔方。后續變更資費承擔方,可能會影響您的業務。更多信息,請參見變更網絡實例資費承擔方。
步驟四:連接VPC實例
VPC2為賬號A授權后,您需要將VPC1、VPC2、VPC3連接至賬號A的轉發路由器實例,在賬號A中實現網絡互通。
在您首次連接VPC實例時,系統會自動為您創建一個服務關聯角色,角色名稱為AliyunServiceRoleForCEN。該角色將允許轉發路由器實例在VPC的交換機上創建ENI。更多信息,請參見AliyunServiceRoleForCEN。
使用賬號A登錄云企業網管理控制臺。
在云企業網實例頁面,單擊步驟一中創建的云企業網實例ID。
- 在頁簽,找到目標地域的轉發路由器實例,在操作單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
下表羅列了各個配置項的說明以及VPC1、VPC2、VPC3對應的參數值,請依據下表中的數據,分別將VPC1、VPC2、VPC3連接至賬號A的轉發路由器實例。
配置項
配置項說明
VPC1
VPC2
VPC3
實例類型
選擇待連接的網絡實例類型。
專有網絡(VPC)
專有網絡(VPC)
專有網絡(VPC)
地域
選擇待連接的網絡實例所在的地域。
華東1(杭州)
華東1(杭州)
華北1(青島)
轉發路由器
系統自動顯示該地域下已創建的轉發路由器實例ID。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
同賬號
跨賬號
選擇跨賬號后,需輸入賬號B的阿里云賬號(主賬號)ID。
同賬號
付費方式
默認值按量付費。
連接名稱
輸入網絡實例連接的名稱。
Attachment-for-VPC1
Attachment-for-VPC2
Attachment-for-VPC3
標簽
為網絡實例連接添加標簽。
本文保持為空值。
本文保持為空值。
本文保持為空值。
網絡實例
選擇待連接的網絡實例。
選擇VPC1
選擇VPC2
選擇VPC3
交換機
在轉發路由器支持的可用區選擇一個交換機實例。
如果您在轉發路由器支持的多個可用區均擁有交換機實例,您可以同時選擇多個可用區并在每個可用區下選擇一個交換機實例以實現可用區級別的容災。
杭州可用區H:選擇交換機1
杭州可用區I:選擇交換機2
杭州可用區H:選擇交換機1
杭州可用區I:選擇交換機2
青島可用區B:選擇交換機1
青島可用區C:選擇交換機2
高級配置
系統默認幫您選中以下三種高級功能。您可以依據實際需求取消選中一個或多個配置項。
VPC1、VPC2、VPC3均保持默認配置,即選中全部高級配置項。
自動關聯至轉發路由器的默認路由表
開啟本功能后,VPC連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VPC實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動為VPC的所有路由表配置指向轉發路由器的路由
開啟本功能后,系統將在VPC實例的所有路由表內自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接,用于引導VPC實例的IPv4流量進入轉發路由器。轉發路由器默認不向VPC實例傳播路由。
連接所有VPC后,同地域的VPC1與VPC2之間可以互相通信,VPC3與VPC1之間、VPC3與VPC2之間為跨地域網絡,無法互相通信。為實現VPC3與VPC1、VPC3與VPC2的正常通信,還需要創建跨地域連接。
步驟五:創建跨地域連接
使用賬號A登錄云企業網管理控制臺。
在云企業網實例頁面,單擊步驟一創建的云企業網實例ID。
- 在頁簽,找到目標地域的轉發路由器實例,在操作單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息配置跨地域連接,然后單擊確定創建。
配置項
說明
實例類型
選擇跨地域連接。
地域
選擇要互通的地域。
本示例選擇華東1(杭州)。
轉發路由器
系統自動顯示當前地域下轉發路由器的實例ID。
連接名稱
輸入跨地域連接的名稱。
本示例輸入Inter-region connection。
對端地域
選擇要互通的對端地域。
本示例選擇華北1(青島)。
轉發路由器
系統自動顯示當前地域下轉發路由器的實例ID。
標簽
為跨地域連接添加標簽。
本示例保持為空值。
帶寬分配方式
跨地域連接支持以下帶寬分配方式:
按流量付費:按照跨地域連接實際使用的流量計費。
從帶寬包分配:從已經購買的帶寬包中分配帶寬。
本示例選擇按流量付費。
說明選擇按流量付費時,費用由云數據傳輸CDT產品結算。如果界面顯示未開通CDT服務,請點擊開通。
帶寬
輸入跨地域連接的帶寬值。單位:Mbps。
默認鏈路類型
保持默認值。
高級配置
保持默認配置,即選中全部高級配置選項。
自動關聯至轉發路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發路由器的默認路由表建立關聯轉發關系,兩個地域的轉發路由器將會通過查詢默認路由表轉發跨地域間的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發路由器的默認路由表建立路由學習關系。
自動發布路由到對端地域
開啟本功能后,即允許跨地域連接將本端轉發路由器路由表(指與跨地域連接建立關聯轉發關系的路由表)下的路由自動傳播至對端轉發路由器的路由表(指與跨地域連接建立路由學習關系的路由表)中,用于網絡實例跨地域互通。
步驟六:測試連通性
完成上述操作后,VPC1、VPC2、VPC3之間已經可以互相通信。以下內容為您展示如何測試3個VPC之間的連通性。
本示例中VPC1、VPC2、VPC3的ECS實例安裝了Alibaba Cloud Linux操作系統,如果您使用的是其他操作系統,關于如何使用ping命令請參見您的操作系統手冊。
測試VPC1和VPC2之間的連通性。
登錄VPC1的ECS實例。具體操作,請參見ECS遠程連接操作指南。
在VPC1的ECS實例中執行ping命令,嘗試訪問VPC2的ECS實例。
ping <VPC2 ECS實例IP地址>收到如下所示的回復報文,則表示VPC1和VPC2之間網絡已連通,可以實現資源互訪。
測試VPC3與VPC1之間的連通性。
登錄VPC3的ECS實例。
在VPC3的ECS實例中執行ping命令,嘗試訪問VPC1的ECS實例。
ping <VPC1 ECS實例IP地址>收到如下所示的回復報文,則表示VPC3和VPC1之間網絡已連通,可以實現資源互訪。
測試VPC3與VPC2之間的連通性。
登錄VPC3的ECS實例。
在VPC3的ECS實例中執行ping命令,嘗試訪問VPC2的ECS實例。
ping <VPC2 ECS實例IP地址>收到如下所示的回復報文,則表示VPC3和VPC2之間網絡已連通,可以實現資源互訪。
路由說明
在本示例中,連接VPC以及創建跨地域連接時,云企業網自動完成路由的分發和學習以實現VPC之間的相互通信:
華東1(杭州)和華北1(青島)地域下的轉發路由器實例自動學習VPC1、VPC2、VPC3的路由條目信息。
云企業網自動在VPC1、VPC2和VPC3實例的系統路由表中添加10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條自定義路由條目,下一跳均指向網絡實例連接。
3個VPC通過上述三條路由條目將流量發送至轉發路由器實例,通過轉發路由器實例實現VPC之間的互相通信。
以下內容為您展示本示例中轉發路由器實例、VPC1、VPC2和VPC3的路由條目信息,方便您了解本示例的路由原理。您可以在控制臺查看對應實例的路由條目信息:
查看轉發路由器實例路由條目信息,請參見查看企業版轉發路由器路由條目。
查看VPC實例路由條目信息,請參見創建和管理路由表。
表 1. 華東1(杭州)地域轉發路由器實例默認路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | Attachment-for-VPC2 | 自動學習 |
10.0.1.0/24 | Attachment-for-VPC2 | 自動學習 |
172.16.0.0/24 | Inter-region connection | 自動學習 |
172.16.1.0/24 | Inter-region connection | 自動學習 |
192.168.20.0/24 | Attachment-for-VPC1 | 自動學習 |
192.168.21.0/24 | Attachment-for-VPC1 | 自動學習 |
表 2. 華北1(青島)地域轉發路由器實例默認路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | Inter-region connection | 自動學習 |
10.0.1.0/24 | Inter-region connection | 自動學習 |
172.16.0.0/24 | Attachment-for-VPC3 | 自動學習 |
172.16.1.0/24 | Attachment-for-VPC3 | 自動學習 |
192.168.20.0/24 | Inter-region connection | 自動學習 |
192.168.21.0/24 | Inter-region connection | 自動學習 |
表 3. VPC1系統路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
192.168.20.0/24 | 本地 | 系統 |
192.168.21.0/24 | 本地 | 系統 |
10.0.0.0/8 | Attachment-for-VPC1 | 自定義 |
172.16.0.0/12 | Attachment-for-VPC1 | 自定義 |
192.168.0.0/16 | Attachment-for-VPC1 | 自定義 |
表 4. VPC2系統路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | 本地 | 系統 |
10.0.1.0/24 | 本地 | 系統 |
10.0.0.0/8 | Attachment-for-VPC2 | 自定義 |
172.16.0.0/12 | Attachment-for-VPC2 | 自定義 |
192.168.0.0/16 | Attachment-for-VPC2 | 自定義 |
表 5. VPC3系統路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
172.16.0.0/24 | 本地 | 系統 |
172.16.1.0/24 | 本地 | 系統 |
10.0.0.0/8 | Attachment-for-VPC3 | 自定義 |
172.16.0.0/12 | Attachment-for-VPC3 | 自定義 |
192.168.0.0/16 | Attachment-for-VPC3 | 自定義 |