云企業網支持在地域內定義靈活的互通、隔離、引流策略。本文為您介紹如何通過云企業網實現相互隔離的VPC同時訪問同一個共享服務。
背景信息
本文以下圖場景為例。某企業在阿里云美國(硅谷)地域已經部署有三個VPC,其中VPC3為部署共享服務的VPC。企業希望VPC1和VPC2均能訪問VPC3使用共享服務,而VPC1和VPC2之間不互通。
網絡規劃
為實現上述需求,結合云企業網自定義路由表、關聯轉發、路由學習等功能,對企業網段和路由規劃如下:
將VPC3連接到轉發路由器時,開啟自動關聯至轉發路由器的默認路由表和自動傳播系統路由至轉發路由器的默認路由表高級功能。
開啟后,轉發路由器默認路由表能自動學習到VPC3的系統路由,并且VPC3通過查詢轉發路由器的默認路由表進行流量轉發。
將VPC1和VPC2連接到轉發路由器時,均只開啟自動傳播系統路由至轉發路由器的默認路由表一個高級配置,然后將VPC1和VPC2關聯到轉發路由器的自定義路由表,且在自定義路由表中,添加去往VPC3的自定義路由條目。
完成后,轉發路由器默認路由表能學習到VPC1和VPC2的全部系統路由。VPC1和VPC2通過查詢自定義路由表將流量轉發到VPC3。此時,VPC1和VPC2之間不互通。
分別在VPC1、VPC2、VPC3的路由表中添加0.0.0.0/0,下一跳指向轉發路由器的路由。
在美國(硅谷)地域創建三個VPC,并在指定可用區中創建交換機。VPC中的網段規劃,如下表所示。
重要在您進行網段規劃時,請確保VPC之間的網段沒有重疊。
美國硅谷地域VPC
交換機
交換機可用區
網段規劃
云服務器ECS地址
VPC1
主網段:192.168.0.0/16
交換機1
可用區A
192.168.0.0/24
192.168.1.224
交換機2
可用區B
192.168.1.0/24
VPC2
主網段:172.16.0.0/16
交換機3
可用區A
172.16.0.0/24
172.16.0.222
交換機4
可用區B
172.16.1.0/24
VPC3
主網段:10.0.0.0/16
交換機5
可用區A
10.0.0.0/24
10.0.0.112
交換機6
可用區B
10.0.1.0/24
前提條件
您已經在同一個地域創建了三個專有網絡VPC(Virtual Private Cloud)。具體操作,請參見創建和管理專有網絡。
您的VPC網絡實例所在的地域和交換機的可用區支持企業版轉發路由器。關于企業版轉發路由器支持的地域和可用區信息,請參見企業版轉發路由器支持的地域和可用區。
配置流程
步驟一:創建云企業網實例
在您連接網絡實例前,您需要先創建一個云企業網實例。
- 登錄云企業網管理控制臺。
在云企業網實例頁面,單擊創建云企業網實例。
在創建云企業網實例對話框,根據以下信息配置云企業網實例,然后單擊確認。
名稱:云企業網實例的名稱。
描述:云企業網實例的描述。
步驟二:創建VPC連接
在云企業網實例頁面,單擊目標實例ID。
在云企業網實例詳情頁面的基本信息頁簽,單擊VPC下的
圖標。在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
實例類型:系統默認選擇專有網絡(VPC)。
地域:選擇要連接的網絡實例所在的地域。本示例選擇美國(硅谷)。
轉發路由器:系統自動為您在該地域創建轉發路由器。
資源歸屬UID:選擇要連接的網絡實例所歸屬的賬號類型。本示例使用默認值同賬號。
付費方式:使用默認值按量付費。
連接名稱:輸入連接名稱。
網絡實例:選擇要連接的VPC網絡實例ID。本示例選擇VPC3。
交換機:在轉發路由器支持的可用區選擇交換機實例。
- 如果企業版轉發路由器在當前地域僅支持一個可用區,則您需要在當前可用區選擇一個交換機實例。
- 如果企業版轉發路由器在當前地域支持多個可用區,則您需要在至少2個可用區中各選擇一個交換機實例。在VPC和企業版轉發路由器流量互通的過程中,這2個交換機實例可以實現可用區級別的容災。
推薦您在每個可用區中都選擇一個交換機實例,以減少流量繞行,體驗更低傳輸時延以及更高性能。
高級配置:系統默認幫您選中以下三種高級功能。本示例中VPC3只開啟自動關聯至轉發路由器的默認路由表和自動傳播系統路由至轉發路由器的默認路由表高級功能。
- 自動關聯至轉發路由器的默認路由表
開啟本功能后,VPC連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VPC實例的流量。
- 自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
- 自動為VPC的所有路由表配置指向轉發路由器的路由
開啟本功能后,系統將在VPC實例的所有路由表內自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接,用于引導VPC實例的流量進入轉發路由器。轉發路由器默認不向VPC實例傳播路由。
- 自動關聯至轉發路由器的默認路由表
VPC3連接創建完成后,單擊繼續創建連接。
VPC連接創建完成后,單擊返回列表,返回到云企業網實例詳情頁面。
步驟三:VPC1和VPC2關聯自定義路由表
在云企業網實例詳情頁面,找到已創建的轉發路由器,單擊其實例ID。
在轉發路由器詳情頁面,單擊轉發路由器路由表頁簽。
在頁簽左側區域,單擊創建路由表。
在創建路由表對話框,根據以下信息進行配置,然后單擊確定。
轉發路由器:系統自動選擇當前地域的轉發路由器。
路由表名稱:輸入路由表名稱。
路由表描述:輸入路由表描述。
多地域等價路由:保持默認值。
單擊返回路由表詳情,返回到轉發路由器路由表頁簽下。
在轉發路由器路由表頁簽下,選擇剛剛創建的自定義路由表,單擊關聯轉發頁簽,然后單擊創建關聯轉發。
在添加關聯轉發對話框,選擇要關聯至該自定義路由表的網絡實例連接,然后單擊確定。
本文示例中,分別將VPC1和VPC2關聯至該自定義路由表。關聯后,VPC1和VPC2將通過查詢該路由表進行流量轉發。
在自定義路由表詳情頁面,單擊路由條目頁簽,然后單擊創建路由條目。
在添加路由條目對話框,根據以下信息進行配置,然后單擊確定。
路由表:系統默認選擇當前自定義路由表。
所屬轉發路由器:系統默認選擇當前地域的轉發路由器。
路由條目名稱:輸入路由條目名稱。
目的地址CIDR:輸入要添加的路由目標網段。本示例輸入10.0.0.0/16。
是否為黑洞路由:如果選擇路由為黑洞路由后,所有去往該路由的流量均會被丟棄。本示例選擇否。
下一跳連接:選擇路由的下一跳連接。本示例選擇VPC3連接。
路由條目描述:路由條目描述。
步驟四:為VPC添加默認路由條目
您需要在VPC控制臺分別為VPC1、VPC2、VPC3添加網段為0.0.0.0/0,下一跳指向轉發路由器的路由。
- 登錄專有網絡管理控制臺。
在左側導航欄,單擊路由表。
在頂部菜單欄,選擇路由表所屬的地域。
在路由表頁面,找到目標路由表,單擊路由表的ID。
本示例選擇VPC3的路由表。
在路由表實例詳情頁面,單擊路由條目列表頁簽下的自定義路由條目,然后單擊添加路由條目。
在添加路由條目面板,根據以下信息配置路由條目,然后單擊確定。
名稱:輸入路由條目的名稱。
目標網段:輸入要添加的目標網段。本示例輸入0.0.0.0/0。
下一跳類型:選擇下一跳類型。本示例選擇轉發路由器。
轉發路由器:選擇網絡實例連接。本示例選擇VPC3連接。
更多參數說明,請參見子網路由。
請重復步驟4到步驟6,分別為VPC1、VPC2添加網段為0.0.0.0/0,下一跳指向轉發路由器的路由。
在您完成配置后,您可以在云企業網控制臺轉發路由器詳情頁面查看VPC1、VPC2、VPC3以及轉發路由器路由表的路由信息。
在轉發路由器詳情頁面,單擊網絡實例路由信息,分別查看VPC1、VPC2和VPC3的路由。
在轉發路由器詳情頁面,單擊網絡實例路由信息。
在網絡實例后面,選擇VPC1、VPC2或VPC3的實例ID,查看路由。
圖 1. VPC1的路由
圖 2. VPC2的路由
圖 3. VPC3的路由
您可以在轉發路由器路由表頁簽下,查看轉發路由器默認路由表已學習到的VPC1、VPC2、VPC3的路由。
在轉發路由器詳情頁面,單擊轉發路由器路由表。
在轉發路由器路由表頁簽下,查看路由表路由條目。
圖 4. 默認路由表
圖 5. 自定義路由表
步驟五:驗證測試
完成上述配置后,您可以通過以下步驟,測試VPC1、VP2、VPC3之間的連通性。
在您執行以下步驟前,請您先了解您VPC1、VPC2、VPC3中的ECS實例所應用的安全組規則,確保安全組規則允許三個VPC中的ECS實例之間可以互通。具體操作,請參見查詢安全組規則。
登錄VPC1的ECS實例。具體操作,請參見連接方式概述。
通過ping命令,ping VPC3下的ECS實例的IP地址,測試VPC1和VPC3之間的連通性。
經驗證,VPC1和VPC3之間可以正常通信。
登錄VPC2的ECS實例,通過ping命令,ping VPC3下的ECS實例的IP地址,測試VPC2和VPC3之間的連通性。
經驗證,VPC2和VPC3之間可以正常通信。
登錄VPC1的ECS實例,通過ping命令,ping VPC2下的ECS實例的IP地址,測試VPC1和VPC2之間的連通性。
經驗證,VPC1和VPC2之間不能通信。
