指定VPC間互通
本文為您介紹如何利用云企業(yè)網(wǎng)路由策略功能讓加入到云企業(yè)網(wǎng)中的專有網(wǎng)絡(luò)(VPC)間的網(wǎng)絡(luò)默認(rèn)不互通,只單獨(dú)放行需要互通的VPC實(shí)例,提高您網(wǎng)絡(luò)的安全性,建議您用此方式管理云企業(yè)網(wǎng)路由。
前提條件
本文僅適用于基礎(chǔ)版轉(zhuǎn)發(fā)路由器。
您已經(jīng)創(chuàng)建了云企業(yè)網(wǎng)實(shí)例。詳情請(qǐng)參見(jiàn)云企業(yè)網(wǎng)實(shí)例。
您已經(jīng)將要互通的網(wǎng)絡(luò)實(shí)例加載到同一個(gè)云企業(yè)網(wǎng)中。具體操作,請(qǐng)參見(jiàn)網(wǎng)絡(luò)實(shí)例連接。
您已經(jīng)購(gòu)買了帶寬包并設(shè)置了跨地域互通帶寬。詳情請(qǐng)參見(jiàn)使用帶寬包和跨地域連接。
背景信息
默認(rèn)情況下,云企業(yè)網(wǎng)采取VPC與VPC、VPC與邊界路由器(VBR)、VPC與云連接網(wǎng)(CCN)間互通的策略。但對(duì)于VPC、VBR、CCN網(wǎng)絡(luò)實(shí)例較多,且時(shí)有新增網(wǎng)絡(luò)實(shí)例,訪問(wèn)控制較為復(fù)雜的用戶,您可以選擇先設(shè)置默認(rèn)拒絕的低優(yōu)先級(jí)路由策略,然后根據(jù)需求再做開(kāi)通的高優(yōu)先級(jí)路由策略。
如上圖所示,VPC1、VPC2位于中國(guó)香港,VPC3位于德國(guó)(法蘭克福),且三個(gè)VPC均已加載到云企業(yè)網(wǎng)中。默認(rèn)情況下,VPC1、VPC2和VPC3全互通。為了方便您后續(xù)擴(kuò)大網(wǎng)絡(luò)規(guī)模,管理維護(hù)網(wǎng)絡(luò),您可以先設(shè)置全部網(wǎng)絡(luò)實(shí)例VPC1、VPC2、VPC3默認(rèn)拒絕云企業(yè)網(wǎng)中國(guó)香港轉(zhuǎn)發(fā)路由器和德國(guó)(法蘭克福)轉(zhuǎn)發(fā)路由器下發(fā)的路由,然后再設(shè)置高優(yōu)先級(jí)路由策略讓VPC1和VPC3互通。
網(wǎng)段規(guī)劃
VPC1、VPC2、VPC3的網(wǎng)段規(guī)劃如下表所示。
網(wǎng)絡(luò)實(shí)例 | 網(wǎng)段規(guī)劃 | 云服務(wù)器(ECS)IP地址 |
VPC1 | VPC網(wǎng)段:10.0.0.0/8 vswitch1網(wǎng)段:10.0.1.0/24 vswitch2網(wǎng)段:10.0.2.0/24 | ECS1:10.0.1.95 ECS2:10.0.2.120 |
VPC2 | VPC網(wǎng)段:172.16.0.0/12 vswitch網(wǎng)段:172.16.1.0/24 | ECS:172.16.1.80 |
VPC3 | VPC網(wǎng)段:192.168.0.0/16 vswitch網(wǎng)段:192.168.1.0/24 | ECS:192.168.1.151 |
步驟一:設(shè)置全部網(wǎng)絡(luò)實(shí)例拒絕云企業(yè)網(wǎng)轉(zhuǎn)發(fā)路由器下發(fā)路由的路由策略
完成以下操作,設(shè)置VPC1、VPC2、VPC3網(wǎng)絡(luò)實(shí)例拒絕中國(guó)香港轉(zhuǎn)發(fā)路由器和德國(guó)(法蘭克福)轉(zhuǎn)發(fā)路由器下發(fā)路由的路由策略。
在云企業(yè)網(wǎng)實(shí)例頁(yè)面,找到目標(biāo)云企業(yè)網(wǎng)實(shí)例,單擊目標(biāo)實(shí)例ID鏈接。
在云企業(yè)網(wǎng)實(shí)例詳情頁(yè)面,根據(jù)要配置路由策略的地域,單擊該地域的轉(zhuǎn)發(fā)路由器ID鏈接。
在轉(zhuǎn)發(fā)路由器詳情頁(yè)面,單擊轉(zhuǎn)發(fā)路由器路由表頁(yè)簽,然后單擊路由策略。
在路由策略頁(yè)面,單擊添加路由策略。根據(jù)以下信息配置德國(guó)(法蘭克福)轉(zhuǎn)發(fā)路由器路由策略,然后單擊確定。
策略優(yōu)先級(jí):路由策略的優(yōu)先級(jí)。優(yōu)先級(jí)數(shù)字越小,優(yōu)先級(jí)越高。本示例輸入100。
描述:(可選項(xiàng))路由策略描述。本示例輸入法蘭克福地域所有VPC實(shí)例拒絕云企業(yè)網(wǎng)轉(zhuǎn)發(fā)路由器下發(fā)的路由。
地域:選擇路由策略應(yīng)用的地域。本示例選擇德國(guó)(法蘭克福)。
生效方向:選擇路由策略應(yīng)用的方向。本示例選擇出地域網(wǎng)關(guān)。
匹配條件:路由策略的匹配條件。本示例選擇目的實(shí)例類型為VPC。
策略行為:選擇策略行為。本示例選擇拒絕。
在添加路由策略頁(yè)面,根據(jù)以下信息配置中國(guó)香港轉(zhuǎn)發(fā)路由器路由策略,然后單擊確定。
策略優(yōu)先級(jí):路由策略的優(yōu)先級(jí)。優(yōu)先級(jí)數(shù)字越小,優(yōu)先級(jí)越高。本示例輸入100。
描述:(可選項(xiàng))路由策略描述。本示例輸入中國(guó)香港地域所有VPC實(shí)例拒絕云企業(yè)網(wǎng)轉(zhuǎn)發(fā)路由器下發(fā)的路由。
地域:選擇路由策略應(yīng)用的地域。本示例選擇中國(guó)香港。
生效方向:選擇路由策略應(yīng)用的方向。本示例選擇出地域網(wǎng)關(guān)。
匹配條件:路由策略的匹配條件。本示例輸入目的實(shí)例類型為VPC。
策略行為:選擇策略行為。本示例選擇拒絕。
添加路由策略后,您可以在網(wǎng)絡(luò)實(shí)例路由信息頁(yè)簽下分別查看VPC1、VPC2、VPC3實(shí)例拒絕了所有本地域的云企業(yè)網(wǎng)關(guān)發(fā)來(lái)的路由。VPC1示例如下圖所示。
步驟二:配置允許VPC1接受VPC3路由的路由策略
完成以下操作,允許VPC1接受VPC3的路由。
在左側(cè)導(dǎo)航欄,單擊云企業(yè)網(wǎng)實(shí)例。
在云企業(yè)網(wǎng)實(shí)例頁(yè)面,找到目標(biāo)云企業(yè)網(wǎng)實(shí)例,單擊目標(biāo)實(shí)例ID鏈接。
在云企業(yè)網(wǎng)實(shí)例詳情頁(yè)面,根據(jù)要配置路由策略的地域,單擊該地域的轉(zhuǎn)發(fā)路由器ID鏈接。
在轉(zhuǎn)發(fā)路由器詳情頁(yè)面,單擊轉(zhuǎn)發(fā)路由器路由表頁(yè)簽,然后單擊路由策略。
在路由策略頁(yè)面,單擊添加路由策略。根據(jù)以下信息配置路由策略,然后單擊確定。
策略優(yōu)先級(jí):路由策略的優(yōu)先級(jí)。優(yōu)先級(jí)數(shù)字越小,優(yōu)先級(jí)越高。本示例輸入50。
描述:(可選項(xiàng))路由策略描述。本示例輸入允許VPC1接受VPC3的路由。
地域:選擇路由策略應(yīng)用的地域。本示例輸入中國(guó)香港。
生效方向:選擇路由策略應(yīng)用的方向。本示例選擇出地域網(wǎng)關(guān)。
匹配條件:路由策略的匹配條件。本示例配置信息如下所示。
源地域:選擇德國(guó)(法蘭克福)。
源實(shí)例ID列表:選擇VPC3實(shí)例ID。
目的實(shí)例ID列表:選擇VPC1實(shí)例ID。
策略行為:選擇策略行為。本示例選擇允許。
添加路由策略后,您可以在網(wǎng)絡(luò)實(shí)例路由信息頁(yè)簽下查看VPC1已經(jīng)接受VPC3的路由。
步驟三:配置允許VPC3接受VPC1路由的路由策略
完成以下操作,允許VPC3接受VPC1的路由。
在左側(cè)導(dǎo)航欄,單擊云企業(yè)網(wǎng)實(shí)例。
在云企業(yè)網(wǎng)實(shí)例頁(yè)面,找到目標(biāo)云企業(yè)網(wǎng)實(shí)例,單擊目標(biāo)實(shí)例ID鏈接。
在云企業(yè)網(wǎng)實(shí)例詳情頁(yè)面,根據(jù)要配置路由策略的地域,單擊該地域的轉(zhuǎn)發(fā)路由器ID鏈接。
在轉(zhuǎn)發(fā)路由器詳情頁(yè)面,單擊轉(zhuǎn)發(fā)路由器路由表頁(yè)簽,然后單擊路由策略。
在路由策略頁(yè)面,單擊添加路由策略。根據(jù)以下信息配置路由策略,然后單擊確定。
策略優(yōu)先級(jí):路由策略的優(yōu)先級(jí)。優(yōu)先級(jí)數(shù)字越小,優(yōu)先級(jí)越高。本示例輸入50。
描述:(可選項(xiàng))路由策略描述。本示例輸入允許VPC3接受VPC1的路由。
地域:選擇路由策略應(yīng)用的地域。本示例輸入德國(guó)(法蘭克福)。
生效方向:選擇路由策略應(yīng)用的方向。本示例選擇出地域網(wǎng)關(guān)。
匹配條件:路由策略的匹配條件。
源地域:選擇中國(guó)香港。
源實(shí)例ID列表:選擇VPC1實(shí)例ID。
目的實(shí)例ID列表:選擇VPC3實(shí)例ID。
策略行為:選擇策略行為。本示例選擇允許。
添加路由策略后,您可以在網(wǎng)絡(luò)實(shí)例路由信息頁(yè)簽下查看VPC3已經(jīng)接受VPC1的路由。
步驟四:測(cè)試網(wǎng)絡(luò)連通性
完成以下操作,測(cè)試VPC之間的網(wǎng)絡(luò)連通性。
登錄VPC1下的ECS1實(shí)例。
通過(guò)ping命令pingVPC3下的ECS實(shí)例的IP地址,驗(yàn)證通信是否正常。
經(jīng)驗(yàn)證,VPC1實(shí)例可以正常訪問(wèn)VPC3實(shí)例,VPC1與VPC3之間互通。
登錄VPC2下的ECS實(shí)例。
通過(guò)ping命令pingVPC1下的ECS1實(shí)例的IP地址,驗(yàn)證通信是否正常。
經(jīng)驗(yàn)證,VPC2實(shí)例不可訪問(wèn)VPC1實(shí)例,VPC2和VPC1之間不通。
登錄VPC3下的ECS實(shí)例。
通過(guò)ping命令pingVPC2下的ECS實(shí)例的IP地址,驗(yàn)證通信是否正常。
經(jīng)驗(yàn)證,VPC3實(shí)例不可訪問(wèn)VPC2實(shí)例,VPC2和VPC3之間不通。