本文指導您如何使用雲企業網實現跨地區跨帳號Virtual Private Cloud(Virtual Private Cloud)間互連。
情境樣本
本文以上圖情境為例。某企業使用帳號A在阿里雲華東1(杭州)地區、華北1(青島)地區分別建立了VPC1和VPC3,使用帳號B在華東1(杭州)地區建立了VPC2,3個VPC使用Elastic Compute Service(Elastic Compute Service)分別部署了應用服務,各個VPC之間互不相通。現在因業務發展需要,企業需要3個VPC可以互相通訊,資源互訪。
企業可以使用雲企業網產品,將華東1(杭州)地區的VPC1和VPC2串連至帳號A下華東1(杭州)地區的轉寄路由器,將華北1(青島)地區的VPC3串連至帳號A下華北1(青島)地區的轉寄路由器,然後通過跨地區串連實現華東1(杭州)地區和華北1(青島)地區的轉寄路由器互連,進而實現3個VPC互相通訊。
本文的跨帳號指的是不同阿里雲帳號(主帳號),而非RAM使用者(子帳號)。
前提條件
您已經使用帳號A在華東1(杭州)地區、華北1(青島)地區各建立了1個VPC,使用帳號B在華東1(杭州)地區建立了1個VPC,3個VPC均使用ECS部署了應用服務。具體操作,請參見搭建IPv4專用網路。
請確保每個VPC在企業版轉寄路由器支援的可用性區域中擁有足夠的交換器執行個體,且每個交換器執行個體擁有至少一個閒置IP地址。
對於企業版轉寄路由器僅支援一個可用性區域的地區(例如華東5(南京-本地地區)地區),VPC執行個體需在當前可用性區域下擁有至少一個交換器執行個體。
對於企業版轉寄路由器支援多個可用性區域的地區(例如華東2(上海)地區),VPC執行個體需在這些可用性區域中擁有至少2個交換器執行個體,2個交換器執行個體需位於不同的可用性區域。
更多資訊,請參見VPC串連原理。
本樣本3個VPC網路規劃如下表所示,在您規劃網路時請確保要互連的網段沒有重疊。
屬性
VPC1
VPC2
VPC3
網路執行個體所屬帳號
帳號A
帳號B
帳號A
網路執行個體所屬地區
華東1(杭州)
華東1(杭州)
華北1(青島)
網路執行個體的網段規劃
VPC網段:192.168.0.0/16
交換器1網段:192.168.20.0/24
交換器2網段:192.168.21.0/24
VPC網段:10.0.0.0/16
交換器1網段:10.0.0.0/24
交換器2網段:10.0.1.0/24
VPC網段:172.16.0.0/16
交換器1網段:172.16.0.0/24
交換器2網段:172.16.1.0/24
網路執行個體交換器的可用性區域
交換器1位於可用性區域H
交換器2位於可用性區域I
交換器1位於可用性區域H
交換器2位於可用性區域I
交換器1位於可用性區域B
交換器2位於可用性區域C
ECS執行個體IP地址
192.168.20.161
10.0.0.33
172.16.0.89
您已經瞭解3個VPC中ECS執行個體所應用的安全性群組規則,並確保安全性群組規則允許3個VPC資源互訪。具體操作,請參見查詢安全性群組規則和添加安全性群組規則。
開始配置
步驟一:建立雲企業網執行個體
本樣本將帳號B的VPC2串連至帳號A的雲企業網中,在帳號A的雲企業網中實現3個VPC相互連信。您需要使用帳號A建立一個雲企業網執行個體。
使用帳號A登入雲企業網管理主控台。
在雲企業網執行個體頁面,單擊建立雲企業網執行個體。
在创建云企业网实例對話方塊,根據以下資訊進行配置,然後單擊确认。
名称:輸入雲企業網執行個體的名稱。
描述:輸入雲企業網執行個體的描述資訊。
资源组:選擇雲企業網執行個體所屬的資源群組。
本文不選擇,雲企業網執行個體建立完成後將歸屬於預設資源群組。
标签:輸入雲企業網執行個體的標籤。本文保持為空白值。
步驟二:建立轉寄路由器執行個體
在串連網路執行個體前,您需要在雲企業網執行個體中在網路執行個體所屬地區建立轉寄路由器執行個體。
使用帳號A登入雲企業網管理主控台。
在云企业网实例頁面,選擇在步驟一中建立的雲企業網執行個體,單擊雲企業網執行個體ID。
在頁簽,單擊创建转发路由器。
在创建转发路由器對話方塊,配置轉寄路由器執行個體資訊,然後單擊确认。
請根據下表資訊分別在華東1(杭州)和華北1(青島)地區建立轉寄路由器執行個體。
配置項
說明
華東1(杭州)
華北1(青島)
地域
選擇轉寄路由器執行個體所屬的地區。
本文選擇華東1(杭州)地區。
本文選擇華北1(青島)地區。
版本
轉寄路由器執行個體的版本。
系統自動判斷並顯示當前地區下轉寄路由器執行個體的版本。
系統自動判斷並顯示當前地區下轉寄路由器執行個體的版本。
開通組播
選擇是否開啟轉寄路由器執行個體的組播功能。
本文保持預設值,即不開啟組播功能。
本文保持預設值,即不開啟組播功能。
名称
輸入轉寄路由器執行個體的名稱。
請自訂轉寄路由器執行個體的名稱。
請自訂轉寄路由器執行個體的名稱。
描述
輸入轉寄路由器執行個體的描述資訊。
請自訂轉寄路由器執行個體的描述資訊。
請自訂轉寄路由器執行個體的描述資訊。
标签
為轉寄路由器執行個體添加標籤。
本文保持為空白值。
本文保持為空白值。
TR地址段
輸入轉寄路由器位址區段。
更多資訊,請參見轉寄路由器位址區段。
本文無需配置轉寄路由器位址區段。
本文無需配置轉寄路由器位址區段。
步驟三:跨帳號VPC執行個體授權
在將帳號B的VPC2串連至帳號A之前,需要在帳號B中操作授權,允許帳號A下的轉寄路由器執行個體串連VPC2。
使用帳號B登入專用網路管理主控台。
在頂部功能表列,選擇VPC2所屬的地區。
本樣本選擇華東1(杭州)。
在專用網路頁面,找到VPC2,單擊VPC2執行個體ID。
單擊跨帳號授權頁簽。在雲企業網頁簽下,單擊雲企業網跨帳號授權。
在加入雲企業網對話方塊,根據以下資訊進行配置,然後單擊確定。
配置項
說明
對方帳號UID
轉寄路由器執行個體所屬的阿里雲帳號(主帳號)ID。
本樣本為帳號A的帳號ID。
對方雲企業網執行個體ID
轉寄路由器執行個體所屬的雲企業網執行個體ID。
本樣本為步驟一建立的雲企業網執行個體ID。
資費承擔方式
選擇付費方。
CEN使用者承擔資費(預設值):表示VPC執行個體產生的串連費和流量處理費由轉寄路由器執行個體所屬的帳號承擔。
VPC使用者承擔資費:表示VPC執行個體產生的串連費和流量處理費由VPC執行個體所屬的帳號承擔。
本樣本使用預設值。
重要請謹慎選擇資費承擔方。後續變更資費承擔方,可能會影響您的業務。更多資訊,請參見變更網路執行個體資費承擔方。
步驟四:串連VPC執行個體
VPC2為帳號A授權後,您需要將VPC1、VPC2、VPC3串連至帳號A的轉寄路由器執行個體,在帳號A中實現網路互連。
在您首次串連VPC執行個體時,系統會自動為您建立一個服務關聯角色,角色名稱為AliyunServiceRoleForCEN。該角色將允許轉寄路由器執行個體在VPC的交換器上建立ENI。更多資訊,請參見AliyunServiceRoleForCEN。
使用帳號A登入雲企業網管理主控台。
在云企业网实例頁面,單擊步驟一中建立的雲企業網執行個體ID。
在頁簽,找到目標地區的轉寄路由器執行個體,在操作列單擊创建网络实例连接。
在连接网络实例頁面,根據以下資訊進行配置,然後單擊确定创建。
下表羅列了各個配置項的說明以及VPC1、VPC2、VPC3對應的參數值,請依據下表中的資料,分別將VPC1、VPC2、VPC3串連至帳號A的轉寄路由器執行個體。
配置項
配置項說明
VPC1
VPC2
VPC3
实例类型
選擇待串連的網路執行個體類型。
Virtual Private Cloud
Virtual Private Cloud
Virtual Private Cloud
地域
選擇待串連的網路執行個體所在的地區。
華東1(杭州)
華東1(杭州)
華北1(青島)
转发路由器
系統自動顯示該地區下已建立的轉寄路由器執行個體ID。
资源归属UID
選擇待串連的網路執行個體所屬的帳號類型。
同帳號
跨帳號
選擇跨帳號後,需輸入帳號B的阿里雲帳號(主帳號)ID。
同帳號
付费方式
預設值隨用隨付。
连接名称
輸入網路執行個體串連的名稱。
Attachment-for-VPC1
Attachment-for-VPC2
Attachment-for-VPC3
标签
為網路執行個體串連添加標籤。
本文保持為空白值。
本文保持為空白值。
本文保持為空白值。
网络实例
選擇待串連的網路執行個體。
選擇VPC1
選擇VPC2
選擇VPC3
交换机
在轉寄路由器支援的可用性區域選擇一個交換器執行個體。
如果您在轉寄路由器支援的多個可用性區域均擁有交換器執行個體,您可以同時選擇多個可用性區域並在每個可用性區域下選擇一個交換器執行個體以實現可用性區域層級的容災。
杭州可用性區域H:選擇交換器1
杭州可用性區域I:選擇交換器2
杭州可用性區域H:選擇交換器1
杭州可用性區域I:選擇交換器2
青島可用性區域B:選擇交換器1
青島可用性區域C:選擇交換器2
高级配置
系統預設幫您選中以下三種進階功能。您可以依據實際需求取消選中一個或多個配置項。
VPC1、VPC2、VPC3均保持預設配置,即選中全部進階配置項。
自动关联至转发路由器的默认路由表
開啟本功能後,VPC串連會自動關聯至轉寄路由器的預設路由表,轉寄路由器通過查詢預設路由錶轉發VPC執行個體的流量。
自动传播系统路由至转发路由器的默认路由表
開啟本功能後,VPC執行個體會將自身的系統路由傳播至轉寄路由器的預設路由表中,用於網路執行個體的互連。
自动为VPC的所有路由表配置指向转发路由器的路由
開啟本功能後,系統將在VPC執行個體的所有路由表內自動設定10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC串連,用於引導VPC執行個體的IPv4流量進入轉寄路由器。轉寄路由器預設不向VPC執行個體傳播路由。
串連所有VPC後,同地區的VPC1與VPC2之間可以互相通訊,VPC3與VPC1之間、VPC3與VPC2之間為跨地區網路,無法互相通訊。為實現VPC3與VPC1、VPC3與VPC2的正常通訊,還需要建立跨地區串連。
步驟五:建立跨地區串連
使用帳號A登入雲企業網管理主控台。
在云企业网实例頁面,單擊步驟一建立的雲企業網執行個體ID。
在頁簽,找到目標地區的轉寄路由器執行個體,在操作列單擊创建网络实例连接。
在连接网络实例頁面,根據以下資訊配置跨地區串連,然後單擊确定创建。
配置項
說明
实例类型
選擇跨地域连接。
地域
選擇要互連的地區。
本樣本選擇華東1(杭州)。
转发路由器
系統自動顯示當前地區下轉寄路由器的執行個體ID。
连接名称
輸入跨地區串連的名稱。
本樣本輸入Inter-region connection。
對端地區
選擇要互連的對端地區。
本樣本選擇華北1(青島)。
转发路由器
系統自動顯示當前地區下轉寄路由器的執行個體ID。
标签
為跨地區串連添加標籤。
本樣本保持為空白值。
頻寬分配方式
跨地區串連支援以下頻寬分配方式:
按流量付費:按照跨地區串連實際使用的流量計費。
從頻寬包分配:從已經購買的頻寬包中分配頻寬。
本樣本選擇按流量付費。
說明選擇按流量付費時,費用由雲資料轉送CDT產品結算。
頻寬
輸入跨地區串連的頻寬值。單位:Mbps。
預設鏈路類型
保持預設值。
高级配置
保持預設配置,即選中全部進階配置選項。
自动关联至转发路由器的默认路由表
開啟本功能後,跨地區串連將與兩個地區的轉寄路由器的預設路由表建立關聯轉寄關係,兩個地區的轉寄路由器將會通過查詢預設路由錶轉發跨地區間的流量。
自动传播系统路由至转发路由器的默认路由表
開啟本功能後,跨地區串連將與兩個地區的轉寄路由器的預設路由表建立路由學習關係。
自动发布路由到对端地域
開啟本功能後,即允許跨地區串連將本端轉寄路由器路由表(指與跨地區串連建立關聯轉寄關係的路由表)下的路由自動傳播至對端轉寄路由器的路由表(指與跨地區串連建立路由學習關係的路由表)中,用於網路執行個體跨地區互連。
步驟六:測試連通性
完成上述操作後,VPC1、VPC2、VPC3之間已經可以互相通訊。以下內容為您展示如何測試3個VPC之間的連通性。
測試VPC1和VPC2之間的連通性。
登入VPC1的ECS執行個體。具體操作,請參見ECS遠端連線操作指南。
在VPC1的ECS執行個體中執行ping命令,嘗試訪問VPC2的ECS執行個體。
ping <VPC2 ECS執行個體IP地址>收到如下所示的回複報文,則表示VPC1和VPC2之間網路已連通,可以實現資源互訪。
測試VPC3與VPC1之間的連通性。
登入VPC3的ECS執行個體。
在VPC3的ECS執行個體中執行ping命令,嘗試訪問VPC1的ECS執行個體。
ping <VPC1 ECS執行個體IP地址>收到如下所示的回複報文,則表示VPC3和VPC1之間網路已連通,可以實現資源互訪。
測試VPC3與VPC2之間的連通性。
登入VPC3的ECS執行個體。
在VPC3的ECS執行個體中執行ping命令,嘗試訪問VPC2的ECS執行個體。
ping <VPC2 ECS執行個體IP地址>收到如下所示的回複報文,則表示VPC3和VPC2之間網路已連通,可以實現資源互訪。
路由說明
在本樣本中,串連VPC以及建立跨地區串連時,雲企業網自動完成路由的分發和學習以實現VPC之間的相互連信:
華東1(杭州)和華北1(青島)地區下的轉寄路由器執行個體自動學習VPC1、VPC2、VPC3的路由條目資訊。
雲企業網自動在VPC1、VPC2和VPC3執行個體的系統路由表中添加10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條自訂路由條目,下一跳均指向網路執行個體串連。
3個VPC通過上述三條路由條目將流量發送至轉寄路由器執行個體,通過轉寄路由器執行個體實現VPC之間的互相通訊。
以下內容為您展示本樣本中轉寄路由器執行個體、VPC1、VPC2和VPC3的路由條目資訊,方便您瞭解本樣本的路由原理。您可以在控制台查看對應執行個體的路由條目資訊:
查看轉寄路由器執行個體路由條目資訊,請參見查看企業版轉寄路由器路由條目。
查看VPC執行個體路由條目資訊,請參見建立和管理路由表。
表 1. 華東1(杭州)地區轉寄路由器執行個體預設路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | Attachment-for-VPC2 | 自動學習 |
10.0.1.0/24 | Attachment-for-VPC2 | 自動學習 |
172.16.0.0/24 | Inter-region connection | 自動學習 |
172.16.1.0/24 | Inter-region connection | 自動學習 |
192.168.20.0/24 | Attachment-for-VPC1 | 自動學習 |
192.168.21.0/24 | Attachment-for-VPC1 | 自動學習 |
表 2. 華北1(青島)地區轉寄路由器執行個體預設路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | Inter-region connection | 自動學習 |
10.0.1.0/24 | Inter-region connection | 自動學習 |
172.16.0.0/24 | Attachment-for-VPC3 | 自動學習 |
172.16.1.0/24 | Attachment-for-VPC3 | 自動學習 |
192.168.20.0/24 | Inter-region connection | 自動學習 |
192.168.21.0/24 | Inter-region connection | 自動學習 |
表 3. VPC1系統路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
192.168.20.0/24 | 本地 | 系統 |
192.168.21.0/24 | 本地 | 系統 |
10.0.0.0/8 | Attachment-for-VPC1 | 自訂 |
172.16.0.0/12 | Attachment-for-VPC1 | 自訂 |
192.168.0.0/16 | Attachment-for-VPC1 | 自訂 |
表 4. VPC2系統路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | 本地 | 系統 |
10.0.1.0/24 | 本地 | 系統 |
10.0.0.0/8 | Attachment-for-VPC2 | 自訂 |
172.16.0.0/12 | Attachment-for-VPC2 | 自訂 |
192.168.0.0/16 | Attachment-for-VPC2 | 自訂 |
表 5. VPC3系統路由表的路由條目
目標網段 | 下一跳 | 路由類型 |
172.16.0.0/24 | 本地 | 系統 |
172.16.1.0/24 | 本地 | 系統 |
10.0.0.0/8 | Attachment-for-VPC3 | 自訂 |
172.16.0.0/12 | Attachment-for-VPC3 | 自訂 |
192.168.0.0/16 | Attachment-for-VPC3 | 自訂 |