VPC對等連接作為連接兩個VPC的產品,可以實現多個VPC之間的互通,也可以與云企業網轉發路由器組合使用實現多VPC之間的互通。本文為您介紹VPC對等連接的使用示例。
示例場景
VPC對等連接的使用示例場景如下:
VPC對等連接實現多個VPC之間全連通的互訪
VPC對等連接可以實現兩個VPC或者多個VPC之間完全對等的關系,也可以實現您VPC與其他阿里云賬號VPC之間完全對等的關系,使得VPC之間能夠互聯互通及共享資源。
配置步驟
創建需要互通的VPC。具體操作,請參見創建專有網絡和交換機。
創建VPC對等連接。具體操作,請參見創建VPC對等連接。
配置路由。具體操作,請參見配置路由。
兩個VPC之間互訪
在此場景下,VPC A與VPC B之間建立對等連接(pcc-aaabbb),二者之間能夠互聯且共享資源。
當VPC A與VPC B都關聯了IPv6 CIDR網段時,每個VPC的路由表可同時配置對端VPC的IPv4與IPv6路由條目,您可以根據需求選擇采用IPv4或IPv6通信。
路由表 | 目標地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb |
當VPC A與VPC B網段相同,但VPC內需要互通的交換機網段不沖突時,每個VPC的路由表可配置對端VPC未產生重疊的交換機網段作為目標地址,建立VPC對等連接。
路由表 | 目標地址 | 下一跳 |
VPC A | 10.2.1.0/24 | pcc-aaabbb |
VPC B | 10.2.0.0/24 | pcc-aaabbb |
三個VPC之間互訪
在此場景下,VPC A、VPC B、VPC C兩兩之間建立對等連接,各VPC之間能夠互聯且共享資源。
當VPC A與VPC B都關聯了IPv6 CIDR網段、VPC C未關聯IPv6 CIDR網段時,VPC路由表的配置如下表所示。VPC A與VPC B間可通過VPC對等連接進行IPv6通信,而VPC C無法通過IPv6協議與VPC A或VPC B通信。
路由表 | 目標地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-bbbccc | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
172.16.0.0/16 | pcc-bbbccc |
多個VPC之間互訪(大于三個VPC)
在此場景下,VPC A、VPC B、VPC C、VPC D、VPC E兩兩之間建立對等連接,各VPC之間能夠互聯且共享資源。以5個VPC之間互訪為例。
如上圖所示,5個VPC之間兩兩建立對等連接,建立對等連接的數目為N*(N-1)/2,其中N=5,一共10個對等連接。通過將對端VPC路由指向VPC對等連接實例,實現5個VPC之間的兩兩互通。 所有VPC都關聯了IPv6 CIDR網段,路由配置如下表所示。
路由表 | 目標地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
2408:4006:121b:5b00::/56 | pcc-aaaccc | |
172.17.0.0/16 | pcc-aaaddd | |
2408:4006:121b:5d00::/56 | pcc-aaaddd | |
10.2.0.0/16 | pcc-aaaeee | |
2408:4006:121b:5c00::/56 | pcc-aaaeee | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-bbbccc | |
2408:4006:121b:5b00::/56 | pcc-bbbccc | |
172.17.0.0/16 | pcc-bbbddd | |
2408:4006:121b:5d00::/56 | pcc-bbbddd | |
10.2.0.0/16 | pcc-bbbeee | |
2408:4006:121b:5c00::/56 | pcc-bbbeee | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
2408:4006:121b:4000::/56 | pcc-aaaccc | |
172.16.0.0/16 | pcc-bbbccc | |
2408:4006:121b:3f00::/56 | pcc-bbbccc | |
172.17.0.0/16 | pcc-cccddd | |
2408:4006:121b:5d00::/56 | pcc-cccddd | |
10.2.0.0/16 | pcc-ccceee | |
2408:4006:121b:5c00::/56 | pcc-ccceee | |
VPC D | 192.168.0.0/16 | pcc-aaaddd |
2408:4006:121b:4000::/56 | pcc-aaaddd | |
172.16.0.0/16 | pcc-bbbddd | |
2408:4006:121b:3f00::/56 | pcc-bbbddd | |
10.1.0.0/16 | pcc-cccddd | |
2408:4006:121b:5b00::/56 | pcc-cccddd | |
10.2.0.0/16 | pcc-dddeee | |
2408:4006:121b:5c00::/56 | pcc-dddeee | |
VPC E | 192.168.0.0/16 | pcc-aaaeee |
2408:4006:121b:4000::/56 | pcc-aaaeee | |
172.16.0.0/16 | pcc-bbbeee | |
2408:4006:121b:3f00::/56 | pcc-bbbeee | |
10.1.0.0/16 | pcc-ccceee | |
2408:4006:121b:5b00::/56 | pcc-ccceee | |
172.17.0.0/16 | pcc-dddeee | |
2408:4006:121b:5d00::/56 | pcc-dddeee |
隨著VPC數量的增多,VPC對等連接的數目以及路由條目的數量會相應增多,例如,10個VPC兩兩互通,則需創建45個VPC對等連接實例,每個VPC需要配置到其他9個VPC的路由,配置復雜度會變高。因此,建議創建兩兩VPC對等連接的VPC數量不超過10個。
VPC對等連接實現多個VPC與中心VPC互通
您在部署業務的時候,出于對安全隔離的需求,需要為不同的業務或者分支機構規劃獨立的VPC,這些VPC需要和中心服務VPC或者中心機構VPC之間互聯互通,以便實現與中心服務VPC或者中心機構VPC之間的資源共享。例如以下場景:
公司為不同業務部門規劃了不同的VPC,這些業務部門之間不能互通,但需要訪問共同的服務(例如,文件共享服務、中間件服務等),這些服務部署在中心VPC內。
公司為多個用戶提供服務,且服務部署在一個獨立服務VPC內,每個用戶VPC都與公司的獨立服務VPC互通,但是不同用戶VPC之間不能互通。
配置步驟
創建需要互通的VPC。具體操作,請參見創建專有網絡和交換機。
創建VPC對等連接。具體操作,請參見創建VPC對等連接。
配置路由。具體操作,請參見配置路由。
如上圖所示,某公司有4個分支機構以及一個中心部門,且服務部署在中心部門內。現在各個分支機構需要訪問中心部門的服務,且各個部門之間不能互通。您可以如上圖創建VPC對等連接,通過配置指向VPC對等連接的路由,實現訪問需求。VPC的路由配置如下表所示。
路由表 | 目標地址 | 下一跳 |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
2408:4006:121b:5b00::/56 | pcc-aaaccc | |
172.17.0.0/16 | pcc-aaaddd | |
2408:4006:121b:5d00::/56 | pcc-aaaddd | |
10.2.0.0/16 | pcc-aaaeee | |
2408:4006:121b:5c00::/56 | pcc-aaaeee | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
2408:4006:121b:4000::/56 | pcc-aaaccc | |
VPC D | 192.168.0.0/16 | pcc-aaaddd |
2408:4006:121b:4000::/56 | pcc-aaaddd | |
VPC E | 192.168.0.0/16 | pcc-aaaeee |
2408:4006:121b:4000::/56 | pcc-aaaeee |
VPC對等連接與轉發路由器組合實現多VPC間互通
VPC對等連接與轉發路由器的對比如下表所示。
對比項 | VPC對等連接 | 轉發路由器 |
連接方式 | Full Mesh全連接方式,VPC兩兩之間建立對等連接。 | Hub-Spoke連接方式,VPC以網絡連接方式加入轉發路由器。 |
路由傳播 | 不支持 | 支持 |
配置復雜度 | 復雜度高,需要兩兩建立對等關系并相互配置對端路由。 | 復雜度低,VPC只需要加入轉發路由器并配置路由指向轉發路由器的網絡連接即可。 |
支持互聯VPC數目 | 最大支持10個 | 最大支持1000個 |
收費 | 同地域不收費,跨地域收取出方向流量傳輸費。 | 收取實例費、流量處理費,跨地域收取出方向流量傳輸費。 |
由于VPC對等連接的配置方式以及點對點的路由配置,當需要互聯的VPC數目增多時,相應地配置復雜度也會增大,因此不適合大量VPC全連通的場景。然而,VPC對等連接具備延遲低、同地域不收費等優點。
轉發路由器的Hub-Spoke連接方式,只需要VPC以網絡連接的方式加入轉發路由器,轉發路由器便會自動同步路由。轉發路由器的配置復雜度比較低,同時支持豐富的路由策略及QoS機制,可以實現復雜的組網及訪問控制。然而,轉發路由器自身具有帶寬限制會收取流量處理費等費用,使用成本高于VPC對等連接。
不論是VPC對等連接還是轉發路由器,單個產品都無法滿足復雜組網、帶寬要求高以及成本要求的組網需求。因此,可以通過VPC對等連接組合轉發路由器的方式解決這類較復雜的需求。
以下圖為例,某公司在多個地域擁有多個VPC,多個VPC之間不僅有互聯互通的需求、還有路由策略控制及降低成本的需求。
針對同個地域的VPC可以通過VPC對等連接的方式將多個VPC連通,做到同地域無任何費用產生,且訪問延遲低。
跨地域訪問通過Transit VPC加入轉發路由器,實現本地域VPC與其他地域VPC互聯互通以及精細化的路由策略控制。
部分VPC之間需要跨域互聯但帶寬較大的場景,通過跨地域VPC對等連接實現互通(例如,VPC A 和VPC C)。
