VPC對等連接
當您需要實現兩個VPC之間的網絡互通時,您可以選擇VPC對等連接實現VPC間高速安全的網絡連接。
功能介紹
VPC對等連接是兩個VPC之間的網絡連接,支持IPv4或IPv6互連。您可以通過VPC對等連接實現IPv4或IPv6流量互通,從而實現同賬號或跨賬號的兩個VPC間同地域或跨地域的私網互通。
使用場景
資源安全訪問:當您使用VPC對等連接實現跨地域VPC之間的私網互通,不同VPC內的資源通過私網通信,不流經公網,有效避免了常見的網絡攻擊和DDoS攻擊,確保資源訪問的安全性。
多賬號互連:多賬號體系架構中,您可以使用VPC對等連接以連通跨賬號VPC,保障跨團隊業務安全互訪,促進高效安全的資源共享。
業務容災:使用跨地域VPC對等連接進行數據同步與備份,實現數據冗余和容災,保障業務的可靠性。
發起端和接收端
在建立VPC對等連接時,要連接的兩端VPC,一個是發起端,另一個是接收端。主動發起VPC對等連接請求的一方被稱為發起端,被動等待連接請求的一方被稱為接收端。發起端和接收端僅用于控制連接建立的過程,在實際進行網絡通信時,通信鏈路是雙向的,發起端和接收端沒有任何差別,相當于在同一個網絡中。
對于同賬號的VPC對等連接,發起端發起VPC對等連接請求后,系統會自動接收連接請求并建立連接,無需接收端接收連接請求。
對于跨賬號的VPC對等連接,接收方可以接收或者拒絕連接請求,只有接收了連接請求,VPC對等連接才會激活。
發起端和接收端的VPC可以是同地域的,也可以是跨地域的。
VPC對等連接的狀態
VPC對等連接過程由發起端發起連接,然后接收端接收連接請求,最后連接成功。
如果您創建的是同賬號VPC對等連接,系統會自動發起連接請求并自動接受請求,VPC對等連接變為已激活狀態。
在不同的連接過程和階段,VPC對等連接的狀態也不同。
狀態 | 說明 |
創建中 | 發起端發起VPC對等連接請求后的狀態。 |
對端接收中 | 等待接收端接受VPC對等連接請求的狀態。 |
更新中 | 接收端接受VPC對等連接請求后,該VPC對等連接的狀態。 |
已激活 | 接收端接受VPC對等連接請求后,發起端和接收端協商激活VPC對等連接后的狀態。 |
已拒絕 | 接收端拒絕VPC對等連接請求后,該VPC對等連接的狀態。 |
已過期 | 接收端超過7天未接受或者拒絕VPC對等連接請求,則該VPC對等連接處于已過期狀態。 |
刪除中 | 發起端或者接收端刪除VPC對等連接后的中間狀態。 |
已刪除 | VPC對等連接成功刪除后的狀態。 |
使用指引
使用VPC對等連接
您需要按照以下步驟在兩個VPC之間建立對等連接,實現簡單安全的私網互通。具體操作,請參見使用VPC對等連接實現VPC私網互通。
在您使用VPC對等連接進行跨VPC互聯時,您需要提前做好網絡規劃,建議要互通的VPC CIDR網段沒有重疊。
發起端向接收端發送創建VPC對等連接的請求。
接收端接受VPC對等連接請求,激活VPC對等連接。
說明接收端賬號為同賬號時,發起端發起對等連接請求后,系統會自動建立連接,無需在接收端接收。
為VPC對等連接的兩端配置指向對端的路由條目以實現VPC之間的私網互通。
VPC對等連接配置示例
為VPC對等連接的兩端配置指向對端的路由條目時,您可以結合具體需求選擇以下方式。
將對端VPC網段作為目標網段,實現連通的VPC內資源的完全訪問,即VPC中的ECS能訪問對端VPC中所有交換機內的實例資源,簡化管理。
配置更精細的路由,將對端VPC中的交換機網段作為目標網段,將對等連接的流量帶寬限制在必要范圍內,增強數據傳輸安全性。
當VPC對等連接創建完成且狀態為已激活后,需要在VPC對等連接的兩端添加指向對端的路由條目以實現VPC私網互通。
上圖所示場景中,您可以選擇為對等連接的兩端配置指向對端VPC網段的路由條目。更多配置示例,請參見VPC對等連接路由配置示例。
路由表 | 目標地址 | 下一跳 |
VPC1 | 192.168.0.0/16 | pcc-aaabbb |
2408:XXXX:XXXX:4000::/56 | pcc-aaabbb | |
VPC2 | 172.16.0.0/12 | pcc-aaabbb |
2408:XXXX:XXXX:3f00::/56 | pcc-aaabbb |
您需要確保創建VPC對等連接的兩端VPC及交換機網段沒有重疊。
當兩端VPC網段重疊,但交換機網段不重疊時,您配置對端VPC網段作為目標地址后,由于此時系統路由和對等連接路由的目的地址重疊,訪問對端VPC的流量會優先匹配系統路由,在發送端VPC內部轉發,無法抵達對端VPC。您可以配置對端VPC未產生重疊的交換機網段作為目標地址,建立VPC對等連接。
當兩端交換機網段重疊時,由于無法配置比系統路由更明細的路由,您無法配置對端交換機網段作為目標地址。
問題排查
您可以使用云監控服務收集跨地域VPC對等連接實例的流量帶寬與丟包情況等指標,通過創建閾值報警規則,實時監控實例運行情況,保證業務的穩定。
當VPC對等連接實例出現訪問不通的問題時,您可以使用網絡智能服務NIS進行雙向路徑分析,診斷網絡配置錯誤引起的連接問題。
說明NIS當前不支持同時進行雙向路徑分析,您需要結合反向路徑分析校驗雙向路徑的連通性。
路由不可達:您需要檢查路由配置,驗證VPC路由表中是否配置了以對端VPC網段為目標網段、下一跳為VPC對等連接的路由條目。
匹配安全組丟棄規則或被默認規則拒絕:驗證VPC內ECS實例的安全組是否允許來自對端VPC的出入流量,根據業務需求配置安全組出/入方向規則。
匹配網絡ACL丟棄規則或被默認規則拒絕:檢查與交換機綁定的網絡ACL是否允許來自對端VPC的出入流量,根據業務需求配置網絡ACL出/入方向規則。
功能計費
您可以創建同地域同賬號、同地域跨賬號、跨地域同賬號以及跨地域跨賬號的VPC對等連接。同地域同賬號、同地域跨賬號VPC對等連接不收取任何費用,跨地域同賬號、跨地域跨賬號VPC對等連接統一由云數據傳輸CDT(Cloud DataTransfer)按出向流量收取流量傳輸費。更多信息,請參見跨地域流量。
跨地域VPC對等連接的SLA承諾的可用性不低于99.95%。
CDT僅提供計費和出賬功能,跨VPC互聯能力由VPC對等連接提供。
跨地域VPC對等連接計費示例
如上圖所示,客戶1在華北5(呼和浩特)創建了VPC1,客戶2在華南3(廣州)創建了VPC2,VPC1和VPC2建立了跨地域跨賬號對等連接。依據出向流量計費規則,客戶1為通過VPC對等連接流出到VPC2的流量付費,客戶2為通過VPC對等連接流出到VPC1的流量付費。
若VPC1和VPC2通過VPC對等連接流出的流量分別為200GB和100GB,華北5(呼和浩特)到華南3(廣州)的跨地域流量費單價為0.6元/GB,客戶需支付的費用為:
客戶1需要支付的費用為:0.6元/GB×200GB=120元
客戶2需要支付的費用為:0.6元/GB×100GB=60元
使用限制
功能限制
兩個VPC之間不能同時創建多個VPC對等連接。
VPC對等連接不具備路由傳遞能力,創建VPC對等連接后,您可以通過配置發起端和接收端的路由條目實現發起端VPC和接收端VPC之間的互通。
假設有3個VPC,分別為VPC1、VPC2和VPC3。其中VPC1和VPC2建立了VPC對等連接并配置路由條目,VPC2和VPC3建立了VPC對等連接并配置路由條目,但VPC1和VPC3不能通過VPC2做中轉互通。您可以建立VPC1和VPC3的對等連接并配置路由條目來實現VPC1和VPC3的互通。
多賬號共享VPC場景下,資源所有者可以創建VPC對等連接或對已創建的對等連接進行修改或刪除,而資源使用者對VPC對等連接沒有操作權限。
功能發布及地域支持情況
公有云支持的地域
區域 | 支持VPC對等連接的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地域)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地域)、華東6(福州-本地地域)、日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、泰國(曼谷) |
歐洲與美洲 | 德國(法蘭克福)、英國(倫敦)、美國(硅谷)、美國(弗吉尼亞) |
中東 | 阿聯酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運營。 |
金融云支持的地域
區域 | 支持VPC對等連接的地域 |
亞太 | 華南1 金融云、華東2 金融云、華北2 金融云(邀測) |
政務云支持的地域
區域 | 支持VPC對等連接的地域 |
亞太 | 華北2 阿里政務云1 |
配額限制
配額名稱 | 描述 | 默認限制 | 申請限制 |
vpc_quota_cross_region_peer_num_per_vpc | 單個VPC支持的跨地域VPC對等連接數量 | 20個 | 您可以通過以下任意方式自助提升配額: |
vpc_quota_intra_region_peer_num_per_vpc | 單個VPC支持的同地域VPC對等連接數量 | 10個 | |
vpc_quota_peer_num | 單個阿里云賬號單地域支持的VPC對等連接數量 | 20個 | |
vpc_quota_peer_cross_border_bandwidth | 跨境帶寬允許的最大值 | 1024 Mbps | |
vpc_quota_peer_cross_region_bandwidth | 跨地域帶寬允許的最大值 | 1024 Mbps | |
無 | 同地域帶寬默認值 | -1 Mbps,即不限制帶寬 | 無法提升 |