跨帳號VPC互連
可將不同阿里雲帳號下的VPC加入到同一個雲企業網中,實現跨帳號的VPC互連。
情境樣本
假設您擁有2個阿里雲帳號:
-
帳號A:擁有兩個VPC(
VPC1、VPC2)和一個雲企業網(CEN1)。 -
帳號B:擁有一個VPC(
VPC3)。
其中VPC1和VPC2已加入到雲企業網CEN1,並已根據同地區VPC互連教程實現網路互連。
現計劃將VPC3加入到雲企業網CEN1中,實現3個VPC網路互連。
3個VPC的資源規劃如下:
|
配置項 |
VPC1 |
VPC2 |
VPC3 |
|
所屬帳號 |
帳號A |
帳號A |
帳號B |
|
地區 |
華東1(杭州) |
華東1(杭州) |
華東1(杭州) |
|
IPv4網段 |
10.0.0.0/16 |
172.16.0.0/16 |
192.168.0.0/16 |
|
交換器1 |
位於可用性區域J,網段10.0.0.0/24 |
位於可用性區域J,網段172.16.0.0/24 |
位於可用性區域J,網段192.168.0.0/24 |
|
交換器2 |
位於可用性區域K,網段10.0.1.0/24 |
位於可用性區域K,網段172.16.1.0/24 |
位於可用性區域K,網段192.168.1.0/24 |
|
ECS執行個體IP(用於驗證連通性) |
ECS1: 10.0.0.1 |
ECS2: 172.16.0.1 |
ECS3: 192.168.0.1 |
如果您自行規劃網路資源,請注意:
-
互連VPC的網段範圍不能重疊。如果已存在重疊,請考慮重新規劃網路,並將資源遷移到新的、網段不重疊的VPC中。
-
為實現可用性區域層級的容災,在支援多可用性區域的地區,您需要至少在2個不同的可用性區域下分別建立1台交換器。
開始配置
僅需2步:
-
先登入帳號B進行跨帳號授權,以允許帳號A將
VPC3加入CEN1。 -
再登入帳號A將
VPC3加入到CEN1。
一、帳號B:向帳號A授權
-
控制台登入帳號B,前往專用網路頁面。
-
單擊
VPC3的執行個體ID進入詳情頁,切換到跨帳號授權頁簽,單擊雲企業網跨帳號授權,在彈窗中進行配置:
二、帳號A:將VPC3加入到CEN1
-
控制台登入帳號A,前往雲企業網執行個體頁面。
-
單擊
CEN1的執行個體ID進入詳情頁,找到華東1(杭州)地區的轉寄路由器,在其操作列單擊创建网络实例连接 > 创建地域内连接。 -
在 创建地域内连接頁面進行配置:
-
執行個體類型:選擇Virtual Private Cloud。
-
地區:選擇華東1(杭州)。
-
资源归属UID:選擇跨帳號,並填入帳號B的阿里雲帳號ID(
VPC3歸屬於帳號B)。 -
连接名称:填入
attach3。 -
網路執行個體:下拉選擇
VPC3對應的執行個體ID。如果此處下拉選項為空白,則代表未在帳號B中將
VPC3跨帳號授權給CEN1。請檢查上一步跨帳號授權的配置,確保填寫的對方帳號UID為帳號A的帳號ID,且對方雲企業網執行個體ID為當前操作的雲企業網CEN1的執行個體ID。 -
交换机:系統自動選擇
VPC3內的2個交換器。為實現多可用性區域容災,系統會幫您自動勾選當前VPC下的2個可用性區域內的交換器。如果VPC3僅有1個交換器,需要至少再建立1個交換器,且這2個交換器必須位於不同可用性區域。
-
高级配置:保持預設全部勾選,具體解釋詳見路由說明。
-
測實驗證
-
確保3台ECS的安全性群組已允許存取入方向的ICMP協議流量。
-
登入到帳號B的
ECS3,執行ping命令訪問ECS1:ping 10.0.0.1[root@iZbp xxx ~]# ping 10.0.0.1 PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. 64 bytes from 10.0.0.1: icmp_seq=1 ttl=63 time=0.580 ms 64 bytes from 10.0.0.1: icmp_seq=2 ttl=63 time=0.421 ms 64 bytes from 10.0.0.1: icmp_seq=3 ttl=63 time=0.281 ms 64 bytes from 10.0.0.1: icmp_seq=4 ttl=63 time=0.295 ms 64 bytes from 10.0.0.1: icmp_seq=5 ttl=63 time=0.296 ms 64 bytes from 10.0.0.1: icmp_seq=6 ttl=63 time=0.247 ms 64 bytes from 10.0.0.1: icmp_seq=7 ttl=63 time=0.269 ms如果能ping通,則證明
VPC3和VPC1已互連。可利用同樣的方法,執行ping 172.16.0.1訪問ECS2,驗證VPC3和VPC2的連通性。
路由說明
建立VPC串連時,系統根據預設選中的3個進階功能自動完成路由相關的配置:
自动关联至转发路由器的默认路由表
開啟本功能後,VPC串連會自動關聯至轉寄路由器的預設路由表,轉寄路由器通過查詢預設路由錶轉發VPC執行個體的流量。
自动传播系统路由至转发路由器的默认路由表
開啟本功能後,VPC執行個體會將自身的系統路由傳播至轉寄路由器的預設路由表中,用於網路執行個體的互連。
自动为VPC的所有路由表配置指向转发路由器的路由
開啟本功能後,系統將在VPC執行個體的所有路由表內自動設定10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC串連,用於引導VPC執行個體的IPv4流量進入轉寄路由器。轉寄路由器預設不向VPC執行個體傳播路由。
轉寄路由器預設路由表
|
目標網段 |
下一跳 |
路由類型 |
|
10.0.0.0/24 |
|
自動學習 |
|
10.0.1.0/24 |
|
自動學習 |
|
172.16.0.0/24 |
|
自動學習 |
|
172.16.1.0/24 |
|
自動學習 |
|
192.168.0.0/24 |
|
自動學習 |
|
192.168.1.0/24 |
|
自動學習 |
VPC1系統路由表
|
目標網段 |
下一跳 |
路由類型 |
|
10.0.0.0/24 |
本地 |
系統 |
|
10.0.1.0/24 |
本地 |
系統 |
|
10.0.0.0/8 |
|
自訂 |
|
172.16.0.0/12 |
|
自訂 |
|
192.168.0.0/16 |
|
自訂 |
VPC2系統路由表
|
目標網段 |
下一跳 |
路由類型 |
|
172.16.0.0/24 |
本地 |
系統 |
|
172.16.1.0/24 |
本地 |
系統 |
|
10.0.0.0/8 |
|
自訂 |
|
172.16.0.0/12 |
|
自訂 |
|
192.168.0.0/16 |
|
自訂 |
VPC3系統路由表
|
目標網段 |
下一跳 |
路由類型 |
|
192.168.0.0/24 |
本地 |
系統 |
|
192.168.1.0/24 |
本地 |
系統 |
|
10.0.0.0/8 |
|
自訂 |
|
172.16.0.0/12 |
|
自訂 |
|
192.168.0.0/16 |
|
自訂 |
更多資訊
跨地區且跨帳號的VPC如何互連?
整體流程與跨地區VPC互連教程類似,但區別是2個VPC屬於不同帳號。只需在建立跨帳號的VPC串連之前,參考本文第一步完成跨帳號授權即可。
如何?有限的互連和隔離?
可通過配置TR多路由表實現VPC1和VPC2隔離、VPC1和VPC3互連、VPC2和VPC3互連,詳情參考隔離VPC使用共用服務。