本文介紹如何通過企業版轉發路由器實現專有網絡VPC(Virtual Private Cloud)中的云服務器ECS(Elastic Compute Service)私網訪問跨地域的對象存儲OSS(Object Storage Service)服務。
場景示例
本文以下圖場景為例。某企業在華東2(上海)地域下擁有一個VPC1,VPC1中使用ECS部署了一些應用服務。企業在華東1(杭州)地域部署了OSS服務,企業希望VPC1下的ECS實例可以私網訪問華東1(杭州)地域下的OSS服務以獲取相關資源。
企業可以在OSS服務所屬的地域(即華東1(杭州)地域)創建一個VPC2,然后將要訪問OSS服務的VPC1和VPC2都連接至云企業網下的企業版轉發路由器中,VPC1和VPC2可以通過企業版轉發路由器實現跨地域私網互通,VPC1下的ECS實例可以通過企業版轉發路由器和VPC2實現私網訪問跨地域的OSS服務。
VPC下的ECS實例通過企業版轉發路由器訪問跨地域的OSS服務時,OSS服務所屬的地域下需至少擁有一個VPC實例,ECS實例將通過企業版轉發路由器和該VPC實例訪問OSS服務。在本文中如果您在華東1(杭州)地域已有VPC實例,則您可以將此VPC實例連接至企業版轉發路由器,無需新建VPC2。華東2(上海)地域的ECS實例可通過華東1(杭州)地域下的任意一個VPC實例訪問OSS服務。
網段規劃
在您規劃網段時,請確保VPC之間要互通的網段沒有重疊。
資源 | VPC所屬地域 | 網段及IP地址 |
VPC1 | 華東2(上海) | 主網段:192.168.0.0/16
|
VPC2 | 華東1(杭州) | 主網段:172.16.0.0/16
|
準備工作
在開始配置前,請確保您已完成以下操作:
您已經在華東1(杭州)地域部署了OSS服務。具體操作,請參見開始使用OSS。
您已經在華東2(上海)地域創建了VPC1,VPC1中使用ECS部署了相關應用服務。具體操作,請參見搭建IPv4專有網絡。
您已經在華東1(杭州)地域創建了VPC2。具體操作,請參見創建和管理專有網絡。
請確保每個VPC在企業版轉發路由器支持的可用區中擁有足夠的交換機實例,且每個交換機實例擁有至少一個空閑的IP地址。- 對于企業版轉發路由器僅支持一個可用區的地域(例如華東5(南京-本地地域)地域),VPC實例需在當前可用區下擁有至少一個交換機實例。
- 對于企業版轉發路由器支持多個可用區的地域(例如華東2(上海)地域),VPC實例需在這些可用區中擁有至少2個交換機實例,2個交換機實例需位于不同的可用區。
更多信息,請參見VPC連接原理。
您已經了解VPC1和VPC2所應用的安全組規則,并確保安全組規則允許VPC1中的ECS實例可以通過VPC2訪問OSS服務。具體操作,請參見查詢安全組規則和添加安全組規則。
您已經創建了一個云企業網實例。具體操作,請參見創建云企業網實例。
您已經在云企業網實例下的華東2(上海)和華東1(杭州)地域分別創建了企業版轉發路由器。具體操作,請參見創建轉發路由器實例。
創建企業版轉發路由器實例時均使用默認配置即可。
配置流程
步驟一:創建VPC連接
將VPC1連接至華東2(上海)地域的企業版轉發路由器,將VPC2連接至華東1(杭州)地域的企業版轉發路由器。
- 登錄云企業網管理控制臺。
在云企業網實例頁面,找到目標云企業網實例,單擊云企業網實例ID。
本文中的目標云企業網實例指在準備工作中創建的云企業網實例。
在頁簽,找到任意一個轉發路由器實例,在操作列單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
請根據下表中的信息,將VPC1連接至華東2(上海)地域的企業版轉發路由器,將VPC2連接至華東1(杭州)地域的企業版轉發路由器。
配置項
配置項說明
VPC1
VPC2
實例類型
選擇待連接的網絡實例類型。
專有網絡(VPC)
專有網絡(VPC)
地域
選擇待連接的網絡實例所在的地域。
華東2(上海)
華東1(杭州)
轉發路由器
系統自動顯示該地域下已創建的轉發路由器實例ID。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
同賬號
同賬號
付費方式
默認值按量付費。
連接名稱
輸入網絡實例連接的名稱。
VPC1連接
VPC2連接
網絡實例
選擇待連接的網絡實例。
選擇VPC1
選擇VPC2
交換機
在轉發路由器支持的可用區選擇一個交換機實例。
如果您在轉發路由器支持的多個可用區均擁有交換機實例,您可以同時選擇多個可用區并在每個可用區下選擇一個交換機實例以實現可用區級別的容災。
上海 可用區F:選擇交換機1
上海 可用區G:選擇交換機2
杭州 可用區H:選擇交換機1
杭州 可用區I:選擇交換機2
高級配置
VPC1和VPC2均保持默認配置,即選中所有高級配置選項。
步驟二:創建跨地域連接
由于VPC1連接的企業版轉發路由器和VPC2連接的企業版轉發路由器位于不同的地域,跨地域的VPC實例默認無法互通。您需要在華東1(杭州)和華東2(上海)地域的企業版轉發路由器實例之間創建跨地域連接,實現VPC1和VPC2之間的跨地域互通。
購買帶寬包。
在創建跨地域連接前,您需要先購買帶寬包,以便為跨地域連接分配跨地域帶寬。
在云企業網實例頁面,找到目標云企業網實例,單擊云企業網實例ID。
在云企業網實例詳情頁面,選擇,單擊購買帶寬包(預付費)。
在購買頁面,根據以下信息配置帶寬包,然后單擊立即購買并完成支付。
配置項
說明
商品類型
選擇帶寬包的商品類型。
非跨境:指互通區域為中國內地與中國內地的帶寬包或者互通區域為非中國內地與非中國內地的帶寬包。例如:亞太與北美。
跨境:指互通區域為中國內地與非中國內地的帶寬包。例如:中國內地與北美。
本文選擇非跨境。
云企業網
選擇需購買帶寬包的云企業網實例。
完成支付后,帶寬包自動綁定至該云企業網實例。
本文選擇已創建的云企業網實例。
區域-A
選擇參與互通的網絡實例所在的區域。
本文選擇中國內地。
說明帶寬包創建后,不支持修改互通區域。
帶寬包支持的區域及地域信息,請參見使用帶寬包。
區域-B
選擇參與互通的網絡實例所在的區域。
本文選擇中國內地。
計費方式
顯示帶寬包的計費方式。默認為按帶寬計費。
帶寬包計費說明,請參見計費說明。
帶寬值
請根據實際業務需求選擇帶寬包的帶寬值。單位:Mbps。
帶寬包名稱
輸入帶寬包的名稱。
購買時長
選擇帶寬包的購買時長。
選中到期自動續費可開啟帶寬包自動續費功能。
資源組
選擇帶寬包所屬的資源組。
僅購買非跨境的帶寬包時,支持配置該項。
創建跨地域連接。
在云企業網實例頁面,找到目標云企業網實例,單擊云企業網實例ID。
在頁簽,單擊設置跨地域帶寬。
在連接網絡實例頁面,根據以下信息配置跨地域連接,然后單擊確定創建。
配置項
說明
實例類型
選擇跨地域連接。
地域
選擇要互通的地域。
本文選擇華東1(杭州)。
轉發路由器
系統自動顯示當前地域下轉發路由器的實例ID。
連接名稱
輸入跨地域連接的名稱。
本文輸入Cross-Region-test。
對端地域
選擇要互通的對端地域。
本文選擇華東2(上海)。
轉發路由器
系統自動顯示當前地域下轉發路由器的實例ID。
帶寬分配方式
跨地域連接支持以下帶寬分配方式:
從帶寬包分配:從已經購買的帶寬包中分配帶寬。
按流量付費:按照跨地域連接實際使用的流量計費。
本文選擇從帶寬包分配。
帶寬包實例
選擇云企業網實例已綁定的帶寬包實例。
帶寬
輸入跨地域連接的帶寬值。單位:Mbps。
高級配置
保持默認配置,即選中全部高級配置選項。
步驟三:在VPC中配置OSS服務的路由
創建跨地域連接后,VPC1和VPC2可以通過企業版轉發路由器實現私網互通,但是VPC1中的ECS實例依舊無法通過企業版轉發路由器和VPC2私網訪問OSS服務,您需要在VPC1的路由表中添加OSS服務的路由,引導VPC1訪問OSS服務的流量進入企業版轉發路由器。
- 登錄專有網絡管理控制臺。
在頂部菜單欄,選擇VPC1實例所屬的地域。
本文選擇華東2(上海)地域。
在左側導航欄,單擊路由表。
在路由表頁面,找到VPC1實例的路由表,單擊路由表實例ID。
本文中VPC1僅擁有一張系統路由表,如果您的VPC中擁有多張路由表,請選擇ECS實例所在交換機關聯的路由表。
在路由條目列表頁簽下單擊自定義路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,配置以下信息,然后單擊確定。
請根據以下信息將華東1(杭州)地域下OSS服務所有網段的路由均添加至VPC1的路由表中。
華東1(杭州)地域下OSS服務所有網段的信息,請參見OSS內網域名與VIP網段對照表。
配置項
配置項說明
路由條目1
路由條目2
路由條目3
路由條目4
名稱
輸入自定義路由條目的名稱。
OSS網段1
OSS網段2
OSS網段3
OSS網段4
目標網段
輸入目標網段。
100.118.28.0/24
100.114.102.0/24
100.98.170.0/24
100.118.31.0/24
下一跳類型
選擇自定義路由條目的下一跳類型,并選擇下一跳。
選擇轉發路由器,然后選擇VPC1連接。
選擇轉發路由器,然后選擇VPC1連接。
選擇轉發路由器,然后選擇VPC1連接。
選擇轉發路由器,然后選擇VPC1連接。
步驟四:在轉發路由器中配置OSS服務的路由
您還需要在華東1(杭州)地域的企業版轉發路由器路由表下添加OSS服務的路由,在VPC1下ECS實例訪問OSS服務的流量進入企業版轉發路由器后,企業版轉發路由器可以根據OSS服務的路由將流量引導至VPC2,然后ECS實例可通過VPC2私網訪問OSS服務。
- 登錄云企業網管理控制臺。
在云企業網實例頁面,找到目標云企業網實例,單擊云企業網實例ID。
在頁簽,找到華東1(杭州)地域下的轉發路由器實例,單擊實例ID。
在轉發路由器實例詳情頁面,單擊轉發路由器路由表頁簽,在頁簽左側選擇目標轉發路由器路由表。
由于VPC1連接和VPC2連接均采用了默認高級配置,均與轉發路由器的默認路由表建立了關聯轉發關系,因此本文選擇轉發路由器的默認路由表(即系統路由表)。
在路由條目頁簽下,單擊創建路由條目。
在添加路由條目對話框,根據以下信息進行配置,然后單擊確定。
請根據以下信息將華東1(杭州)地域下OSS服務所有網段的路由均添加至轉發路由器的路由表中。
配置項
配置項說明
路由條目1
路由條目2
路由條目3
路由條目4
路由條目名稱
輸入路由條目的名稱。
OSS網段1
OSS網段2
OSS網段3
OSS網段4
目的地址CIDR
輸入路由條目的目標網段。
100.118.28.0/24
100.114.102.0/24
100.98.170.0/24
100.118.31.0/24
是否為黑洞路由
選擇當前路由條目是否為黑洞路由。
是:表示該路由為黑洞路由,所有去往該路由的流量均會被丟棄。
否:表示該路由不為黑洞路由,需要您設置路由的下一跳連接。
選擇否
選擇否
選擇否
選擇否
下一跳連接
選擇路由條目的下一跳連接。
選擇VPC2連接
選擇VPC2連接
選擇VPC2連接
選擇VPC2連接
步驟五:測試連通性
完成上述配置后,VPC1中的ECS實例可以私網訪問跨地域的OSS服務了。本文以ECS1下載OSS服務中的一張圖片為例測試VPC1下ECS實例和OSS服務之間的連通性。
登錄VPC1實例下的ECS1實例。具體操作,請參見ECS遠程連接操作指南。
在ECS1實例中嘗試下載OSS服務下一張名為OSStest.jgp的圖片。
說明在您測試前請確保目標文件擁有的讀寫權限允許其被ECS實例訪問。更多信息,請參見訪問控制概述。
wget https://zxtXXXXX.oss-cn-hangzhou-internal.aliyuncs.com/OSStest.jpg #“zxtXXXXX.oss-cn-hangzhou-internal.aliyuncs.com”為OSS服務訪問域名。 #“OSStest.jpg”為目標文件名稱。關于OSS訪問域名的更多信息,請參見OSS訪問域名使用規則。
如果ECS1可以收到如下所示的回復,則證明ECS1已經可以私網訪問跨地域的OSS服務了。
路由說明
在本文中,創建VPC連接、創建跨地域連接時均采用默認路由配置,默認路由配置下云企業網會自動完成路由的分發和學習以實現VPC1和VPC2之間的相互通信。默認路由配置說明如下:
VPC實例
創建VPC連接時如果采用默認路由配置(即開啟所有高級配置),則系統會自動對VPC實例進行以下路由配置:
自動關聯至轉發路由器的默認路由表
開啟本功能后,VPC連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VPC實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動為VPC的所有路由表配置指向轉發路由器的路由
開啟本功能后,系統將在VPC實例的所有路由表內自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接。
跨地域連接
創建跨地域連接時如果采用默認路由配置(即開啟所有高級配置),則系統會自動對跨地域連接進行以下路由配置:
自動關聯至轉發路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發路由器的默認路由表建立關聯轉發關系,兩個地域的轉發路由器將會通過查詢默認路由表轉發跨地域間的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發路由器的默認路由表建立路由學習關系。
自動發布路由到對端地域
開啟本功能后,即允許跨地域連接將本端轉發路由器路由表(指與跨地域連接建立關聯轉發關系的路由表)下的路由自動傳播至對端轉發路由器的路由表(指與跨地域連接建立路由學習關系的路由表)中,用于網絡實例跨地域互通。
查看路由條目
您可以在阿里云管理控制臺查看對應實例的路由條目信息:
查看轉發路由器實例路由條目信息,請參見查看企業版轉發路由器路由條目。
查看VPC實例路由條目信息,請參見創建和管理路由表。