使用VPC對等連接實現(xiàn)VPC私網(wǎng)互通
VPC對等連接是兩個VPC之間的網(wǎng)絡(luò)連接,支持IPv4或IPv6互連。您可以通過VPC對等連接實現(xiàn)IPv4或IPv6流量互通,從而實現(xiàn)同賬號或跨賬號的兩個VPC間同地域或跨地域的私網(wǎng)互通。
場景示例
某企業(yè)分別在華北2(北京)和華東2(上海)地域創(chuàng)建了VPC1和VPC2。
為實現(xiàn)資源安全互訪,企業(yè)通過建立對等連接實現(xiàn)VPC1與VPC2之間的網(wǎng)絡(luò)互通。跨地域流量不流經(jīng)公網(wǎng),有效避免了常見的數(shù)據(jù)泄漏、DDoS攻擊等安全威脅,確保資源訪問的安全性。
如果需要創(chuàng)建跨賬號VPC對等連接,需確保發(fā)起端和接收端賬號均已創(chuàng)建VPC。
操作步驟
步驟一:創(chuàng)建VPC對等連接
登錄專有網(wǎng)絡(luò)管理控制臺。在頂部菜單欄處,選擇發(fā)起端VPC所在地域,本文為華北2(北京)。在左側(cè)導(dǎo)航欄,單擊VPC對等連接。
如果您是初次使用VPC對等連接,請在VPC對等連接頁面,單擊開通CDT功能,然后在彈出的對話框單擊確定開通。
說明如果創(chuàng)建跨賬號VPC對等連接,您需要確保接收端阿里云賬號已經(jīng)開通了CDT功能。
在VPC對等連接頁面,單擊創(chuàng)建對等連接,配置以下參數(shù)信息。
說明您可以創(chuàng)建同賬號同地域、同賬號跨地域、跨賬號同地域以及跨賬號跨地域的VPC對等連接。
接收端賬號為同賬號時,發(fā)起端發(fā)起對等連接請求后,系統(tǒng)會自動建立連接,無需在接收端接收。
接收端賬號為跨賬號時,發(fā)起端發(fā)起對等連接請求后,需要接收端接收連接請求后,才能建立VPC對等連接;接收端也可以拒絕連接請求,從而終止VPC對等連接的請求。接收端具體操作如下:
使用接收端賬號登錄專有網(wǎng)絡(luò)管理控制臺。在左側(cè)導(dǎo)航欄,單擊VPC對等連接。
在VPC對等連接頁面,找到目標(biāo)VPC對等連接,此時VPC對等連接的狀態(tài)為接收中。
根據(jù)實際場景選擇是否接收請求:接收請求:VPC對等連接的狀態(tài)由接收中變?yōu)?b data-tag="uicontrol" id="uicontrol-usw-jwr-kt5" class="uicontrol">更新中。
待VPC對等連接激活成功后狀態(tài)變?yōu)?b data-tag="uicontrol" id="uicontrol-xht-hv6-v5d" class="uicontrol">已激活,表明該VPC對等連接可以正常使用。
拒絕請求:VPC對等連接的狀態(tài)由接收中變?yōu)?b data-tag="uicontrol" id="uicontrol-u0t-vzn-1uz" class="uicontrol">已拒絕。
狀態(tài)為已拒絕的VPC對等連接無法使用,可以在發(fā)起端或者接收端刪除該VPC對等連接。
如果接收端未對跨賬號VPC對等連接請求做任何操作,7天后,該VPC對等連接進入已過期狀態(tài)。
步驟二:配置路由
VPC對等連接創(chuàng)建完成且狀態(tài)為已激活后,需要在VPC對等連接的兩端添加指向?qū)Χ说穆酚蓷l目以實現(xiàn)VPC私網(wǎng)互通。
在VPC對等連接頁面,找到已創(chuàng)建的VPC對等連接,在發(fā)起端VPC實例列/接收端VPC實例列單擊配置路由條目。
分別配置發(fā)起端VPC和接收端VPC的IPv4/IPv6路由條目。下圖以IPv4路由條目配置為例。
配置項
說明
專有網(wǎng)絡(luò)
系統(tǒng)自動顯示當(dāng)前發(fā)起端的VPC實例。
路由表
在下拉列表中選擇該VPC實例所關(guān)聯(lián)的路由表。
目標(biāo)網(wǎng)段
為VPC對等連接配置IPv4路由
選擇目標(biāo)網(wǎng)段類型為IPv4,輸入接收端的IPv4 CIDR網(wǎng)段。
為VPC對等連接配置IPv6路由
選擇目標(biāo)網(wǎng)段類型為IPv6,輸入接收端的IPv6 CIDR網(wǎng)段。
下一跳
系統(tǒng)自動顯示下一跳對等連接實例。
跨賬號對等連接的場景下,您需要使用接收端賬號登錄專有網(wǎng)絡(luò)管理控制臺。輸入發(fā)送端VPC的IPv4/IPv6 CIDR網(wǎng)段,以配置接收端VPC的路由。
步驟三:互通性驗證
登錄ECS1實例,訪問ECS2實例的私網(wǎng)IP地址。
登錄ECS2實例,訪問ECS1實例的私網(wǎng)IP地址。
收到上圖所示的返回報文,則表示VPC1和VPC2之間網(wǎng)絡(luò)已連通。確認(rèn)網(wǎng)絡(luò)正常連通后,您即可在兩個私網(wǎng)互通的VPC中搭建并使用業(yè)務(wù),實現(xiàn)資源安全互訪。
若您的網(wǎng)絡(luò)出現(xiàn)無法連通的異常情況,您可以使用網(wǎng)絡(luò)智能服務(wù)NIS,結(jié)合反向路徑分析,對以下配置進行排查,校驗雙向路徑的連通性。
確認(rèn)對等連接兩端的VPC已正確配置了以對端VPC網(wǎng)段為目標(biāo)網(wǎng)段、下一跳為VPC對等連接的IPv4/IPv6路由條目。
確認(rèn)VPC內(nèi)ECS實例的安全組,已配置放行對端IP的出/入方向規(guī)則。
確認(rèn)與交換機綁定的網(wǎng)絡(luò)ACL,已配置放行對端IP的出/入方向規(guī)則。
更多操作
刪除VPC對等連接
您可以刪除不再需要的VPC對等連接。
VPC對等連接刪除后,您的私網(wǎng)訪問能力也會中斷,且刪除后無法恢復(fù),請您確保對業(yè)務(wù)無影響的情況下謹(jǐn)慎操作。
在VPC對等連接頁面,找到需要刪除的VPC對等連接,在操作列單擊刪除。
在彈出的對話框,單擊確定。
非強制刪除:刪除VPC對等連接前,需要將路由表中指向VPC對等連接的路由條目刪除。
強制刪除:無需刪除路由表中指向VPC對等連接的路由條目刪除,系統(tǒng)會自動刪除該路由條目。
如需強制刪除VPC對等連接,請在對話框中選中確認(rèn)不影響業(yè)務(wù),刪除上述所有對等連接及配置的路由條目。
修改跨地域VPC對等連接的帶寬值
在VPC對等連接頁面,找到要修改帶寬的跨地域VPC對等連接,單擊VPC對等連接的實例ID。
在VPC對等連接詳情頁面,在基本信息區(qū)域,在帶寬(Mbps)右側(cè)單擊編輯。
在彈出的對話框,輸入要修改的帶寬值,單擊確定。
輸入的帶寬值為大于0的整數(shù),最大值為1024。
使用私網(wǎng)連接PrivateLink私網(wǎng)訪問VpcPeer OpenAPI服務(wù)
使用私網(wǎng)連接PrivateLink私網(wǎng)訪問OpenAPI服務(wù),當(dāng)前支持的地域有:華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華南1(深圳)、中國香港、新加坡、美國(硅谷)、美國(弗吉尼亞)。
登錄終端節(jié)點控制臺。在終端節(jié)點頁面,單擊創(chuàng)建終端節(jié)點。
在創(chuàng)建終端節(jié)點頁面,根據(jù)以下信息配置終端節(jié)點,單擊確定創(chuàng)建。此處僅列舉和本文強相關(guān)的配置,其余參數(shù)的配置,請參見創(chuàng)建和管理終端節(jié)點。創(chuàng)建完成后,您可以通過終端節(jié)點域名
vpcpeer.vpc-proxy.aliyuncs.com訪問VPC對等連接API。配置
說明
終端節(jié)點類型
本文選擇接口終端節(jié)點。
終端節(jié)點服務(wù)
選擇目標(biāo)終端節(jié)點服務(wù)。
本文先單擊阿里云服務(wù),然后選擇名稱為
com.aliyuncs.privatelink.cn-[Region-ID].vpcpeer的終端節(jié)點服務(wù)。
相關(guān)文檔
如果您需要了解VPC對等連接的功能簡介、使用場景、使用限制及計費等信息,請參見VPC對等連接。
如果您需要了解VPC對等連接的路由配置示例,請參見VPC對等連接使用示例。
您可以通過其他方式,SDK、Terraform、ROS調(diào)用以下API管理VPC對等連接:
創(chuàng)建VPC對等連接:創(chuàng)建VPC對等連接。
DeleteVpcPeerConnection:刪除VPC對等連接。
AcceptVpcPeerConnection:接收VPC對等連接請求。
RejectVpcPeerConnection:拒絕VPC對等連接請求。
GetVpcPeerConnectionAttribute:查詢指定VPC對等連接的詳細(xì)信息。
ModifyVpcPeerConnection:修改VPC對等連接的名稱或者描述信息。
CreateRouteEntry:添加自定義路由條目。
DeleteRouteEntry:刪除自定義路由條目。